Beveiligingsbelang voorop

Je CEO negeren: soms nuttig en zelfs nodig voor security

Bevel van de hoogste baas blijkt niet boven beveiliging te gaan.

door Jasper Bakker, beeld: Shutterstock

Onbeperkte datatoegang geven aan buitenstaanders is normaliter al niet zo'n veilig idee, maar zeker niet als je onder een langlopend bevel van een toezichthouder staat. Gelukkig voor X (voorheen Twitter) hebben security­werknemers daar een bevel van hun toenmalige CEO Elon Musk naast zich neergelegd. Anders was het een dure zaak geworden voor dit bedrijf.

Nadat miljardair Elon Musk Twitter had overgenomen en voordat hij zijn rol als CEO had overgedragen, heeft hij een onverstandig dienstbevel gegeven. Dit heeft de omstreden topman wel vaker gedaan, maar ditmaal ging het om een kwestie die ronduit een schending zou zijn.

Concrete verplichtingen

­En dan niet eens schending van securityregels of van wetgeving waar dan een mogelijk langlopende zaak over gevoerd zou kunnen worden. Nee, het zou een schending zijn van heldere maatregelen die de Amerikaanse marktwaakhond FTC (Federal Trade Commisison) eerder al heeft opgelegd. Verplichtingen voor databeveiliging die onderdeel zijn van een schikking­sovereenkomst voor eerder begane misstappen op het gebied van security en databescherming.
De inmiddels vorige CEO Musk is gelukkig genegeerd, door ervaren securitywerknemers bij zijn bedrijf. Dit blijkt uit een open brief van FTC-voorzitter Linda Khan over onderzoek naar Twitter. Dat negeren van deze CEO-instructies door werknemers heeft gevoelige data beschermd en daarmee voorkomen dat kostbare boetes zijn opgelegd. Plus voorkomen dat er mogelijk verdergaand zou worden ingegrepen door toezichthouder FTC.

De baas heeft niet altijd gelijk.

Volledige toegang, onbeperkte toegang

Topmensen op het gebied van security, privacy, databescherming en compliance kunnen hier waardevolle lessen uit trekken. De baas heeft niet altijd gelijk. De baas heeft niet altijd het beveiligingsbelang -goed voor ogen. Het afgegeven bevel van de toenmalige CEO betrof het verstrekken van volledige toegang tot interne documenten en systemen van Twitter.
Musk, die zich politiek naar rechts en anti-woke beweegt, wilde namelijk bewijs laten ontdekken dat Twitter doelbewust 'de linkse agenda' promootte. Het voorgaande management, voordat de Tesla-topman gedwongen werd Twitter over te nemen, zou volgens hem conservatief-Amerikaanse geluiden op het social network hebben gecensureerd.
Om die bewering te onderbouwen, heeft Musk externe schrijvers inzage willen geven in interne documenten en systemen van het bedrijf. De door hem geselecteerde 'onderzoekers' moesten vergaande toegang - en in één geval onbeperkte toegang - krijgen tot die Twitter-gegevens. Dit leidde tot gefronste wenkbrauwen bij zowel data- en securitywerknemers van Twitter als ook bij de FTC, schrijft Mashable.

Informatiebeveiliging en toezicht

De door de FTC veel eerder al opgelegde maatregelen zijn namelijk voor het implementeren en onderhouden van een veelomvattend programma voor informatiebeveiliging. Dat betreft ook het beschermen van persoonlijke informatie van Twitter-gebruikers en het beperken van personeelstoegang tot die gevoelige gegevens. De overeenkomst waarin deze maatregelen zijn opgenomen, stamt uit 2011 en is vanwege misdragingen uit 2009.
Daarbij staat het bedrijf ook onder toezicht van de FTC. Dat toezicht heeft een looptijd van twintig jaar. Die monitoringsperiode is echter begin 2022 gereset, nadat Twitter zich in 2019 schuldig heeft gemaakt aan een schending van de oorspronkelijke overeenkomst. Daarbij is ook een flinke boete opgelegd: van wel 150 miljoen dollar.
Na de overname door Musk, die zichzelf enige tijd de officiële rol van CEO heeft gegeven, gelden dus nog de FTC-verplichtingen plus toezicht vanuit die marktwaakhond. De nieuwe baas leek zich daar weinig aan gelegen te laten liggen, getuige zijn interne bevel voor datatoegang wat uiteindelijk tot de omstreden 'Twitter files' heeft geleid.

Het juiste gedaan, aldus waakhond

De publicatie van die subjectief geselecteerde interne informatie is toch mogelijk gemaakt. Maar wel anders dan de CEO had bevolen. Oudgediende securitywerknemers bij Twitter zijn tussenbeide gekomen, schrijft FTC-voorzitter Khan in haar open brief. Zij hebben waarborgen ingesteld om de risico's te beperken.
Deze extra maatregelen voor data­bescherming betroffen bijvoorbeeld het aanstellen van werknemers die dan als intermediair dienden voor de door Musk bevolen toegang tot de interne gegevens en systemen. FTC-topvrouw Khan stelt dat hierbij het juiste is gedaan, door de 'ongehoorzame' Twitter-werknemers. Het onderzoek van de toezichthouder wijst namelijk uit dat de vergaande toegang door buitenstaanders een schending zou zijn geweest van de FTC-overeenkomst.­