Brudd på IT-reglement, grunn til "avskjedigelse"?

[Manfred]

Han gav seg selv tilgang til noe som i utgangspunktet egentlig var sperret. Det at "tunneling" er ganske "uskyldig" gjør det ikke mindre til et brudd på de sperrene som er satt opp.

 

Det er ikke dette nettet skal brukes til, det er en grunn til at de har besluttet å sperre den slags tjenester. Når man bevisst omgår en slik sperre er dette adgang til en tjeneste han ikke skulle hatt i utgangspunktet.

[TEE]

Pisspreik. Trådstarter hverken brutt noen beskyttelse eller skaffet seg adgang til data/programutrustning han ikke skulle ha tilgang til.

Siden han måtte bruke tunneling er det trygt å anta at utgående ssh er sperret i bedriftens systemer. Han har dermed skaffet seg tilgang til en tjeneste og en maskin han ikke skulle ha tilgang til via bedriftens nettverk.

 

Han har brukt en allerede åpen tjeneste i arbeidsgivers nett. Punktum.

Hvis ssh var åpent ville han ikke hatt behov for å bruke tunneling.

 

Hvis han var opptatt med private ting i arbeidstiden, så er selvsagt det kritikkverdig.

Hvis det var relatert til arbeidet kunne han kontaktet bedriftens IT-avdeling for å få åpnet for utgående ssh-tilkobling til den maskinen som var relevant for jobben.

 

PS: Jeg ville unngått formuleringen "omgå brannmur" hvis jeg var involvert her. Lett for folk som ikke har peiling å misforstå hva som har pågått..

Tja, hva er det han har gjort da?

HTTP Tunneling is a technique by which communications performed using various network protocols are encapsulated using the HTTP protocol, the network protocols in question usually belonging to the TCP/IP family of protocols. The HTTP protocol therefore acts as a wrapper for a covert channel that the network protocol being tunneled uses to communicate.

 

The HTTP stream with its covert channel is termed an HTTP Tunnel.

 

HTTP Tunnel software consists of client-server HTTP Tunneling applications that integrate with existing application software, permitting them to be used in conditions of restricted network connectivity including firewalled networks, networks behind proxy servers, and NATs.

Man bruker http tunneling til å omgå restriksjoner, bl.a. brannmurer og proxyservere. Ser ikke noen grunn til å kalle det noe annet enn det er.

[Wabby]

Først og fremst så var det en bevist handling....

 

Vi hadde en i min gamle jobb som gjorde det samme for å sitte på IRC i arbeidstiden. Han fikk advarsler og *poff*... Så var ikke selskapet intresser å fornye kontrakten mer. Han var også innleid.

 

Samme om han gjorde brudd på IT-reglement eller ikke så spiller det ingen rolle. Er du innleid så kan selskapet alltid si at de ikke vil fornye kontrakten.

Og er du på jobb så skal du jobbe.

 

Det skal sies at det er lett og fort gjort å gjøre private ting eller ikke-jobb ting i arb.tiden, og de fleste aksepterer det... Så lenge det ikke går ut over produktiviteten. Noe det gjorde hos han som satt på IRC, han var ufokusert og det var lett og se hvilket vindu som hadde mest fokus på skjermen hans.

[Wattengård]

I dette tilfellet var det snakk om en tester, i en periode hvor det tok litt tid mellom hver test som skulle utføres.

 

Og det var ikke for å sitte på IRC men for å være produktiv (med private/åpne prosjekter) i "dødtiden".

[Thorsen]

Det er ikke alle arbeidsgivere som ser på det å holde på med andre prosjekter i arbeidstiden som positivt. Det er mange kontrakter som har klausul mot at du i arbeidstiden (og på fritiden i mange tilfeller) skal jobbe med prosjekter som kan være konkurerende til bedriften, eller der du kan komme til å bruke metoder utviklet internt i bedriften.

 

Men for å si det enkelt, bedriften har nok ikke vært fornøyd med den innleides innsats og har sett dette som en flott mulighet til å kvitte seg med innleide. Dersom bedriften faktisk hadde vært fornøyd med den innleide tør jeg påstå at de fleste ledrene fort hadde sett gjennom fingrene på noe slikt. Det er i mange tilfeller vanskelig for bedrifter å kvitte seg med udugelige folk (pga streng lovgivning i Norge) derfor kan man ofte oppleve at småting blir utslagsgivene, da man endelig får noe konkret å gå ut fra.

 

Det er mye lettere å si opp en kontrakt fordi man bryter noe man har skrevet under på, enn f.eks for at man skaper et dårlig miljø for sine arbeidskolleger.

[trn100]

Relativt nylig ble 3 personer ved vårt hovedkontor i Tyskland avskjediget for å distribuere e-post med innhold som ikke var i tråd med konsernets retningslinjer.

 

Dette har selvsagt ikke bare med selve innholdet å gjøre men også belastningen på ett intranett med rundt 30-40.000 arbeidstasjoner på verdensbasis.

 

Nå er kanskje ikke det sammenlignbart i forhold til trådstarters problem, men det er en grunn til at det lages regler for slikt.

 

Som konsernets IT ansvarlige i Norge fant jeg det nødvendig å minne vår lille norske avdeling om dette i dag, selv om også jeg synes det artig med noen videosnutter hver fredag.

 

Men om 15-20.000 arbeidsstasjoner i et internt nettverk spyr ut 20-30MB med morsomme videofiler dagen før helgen sier det seg selv at det kan oppstå flaskehalser i nettet som ikke er i konsernets interresse.

 

Når de samme ansatte ofte sutrer over intranett hastigheten i jobb relatert virksomhet er det lett for å bli litt frustrert.

[Wattengård]

Men for å si det enkelt, bedriften har nok ikke vært fornøyd med den innleides innsats og har sett dette som en flott mulighet til å kvitte seg med innleide. Dersom bedriften faktisk hadde vært fornøyd med den innleide tør jeg påstå at de fleste ledrene fort hadde sett gjennom fingrene på noe slikt. Det er i mange tilfeller vanskelig for bedrifter å kvitte seg med udugelige folk (pga streng lovgivning i Norge) derfor kan man ofte oppleve at småting blir utslagsgivene, da man endelig får noe konkret å gå ut fra.

 

Jeg kan avkrefte at dette er tilfellet da både daværende leder samt tidligere ledere tidligere hadde uttrykt at de var meget fornøyd med vedkommendes innsats.

 

-C-

[trn100]

Da kan det faktisk tyde på at om man driter i reglene i akkurat den bedriften har man driti seg ut!?

 

Snodig? Noen som kjenner til andre virksomheter hvor det kanskje ikke er så lurt å gi blanke i regler og instrukser om man ønsker seg en fremtid der?

 

Kanskje vi burde lage en liste over firmaer som er like nøye på egne regler og sende den til TV2 hjelper deg slik at ikke andre går i samme fella?

[panzerwolf]

Det hjelper ikke så mye hva lederen sier hvis en sjef høyere opp sier noe annet. Kan være at lederen til vedkommende så at det bare var mens han venta på noe, mens sikkerhetsansvarlig så temmelig grovt på dette. Og du skal ikke opprette uautoriserte kanaler mellom bedriften der du jobber og steder på utsiden. Neste gang han kjeder seg, for han kanskje heller lese nettaviser eller t.o.m spørre lederen om det er noen oppgaver han kan ta innimellom.

 

Jeg skjønner godt at han ikke gir et så veldig bra inntrykk når han har gjort som han gjort, selv om det var aldri så "uskyldig". Alle årene jeg har jobbet i IT-bransjen har det vært i internasjonale miljøer. Og vi nordmenn er flinkere til å surfe privat på jobb enn andre er inntrykket mitt....

[NgZ]

Dette er helt klart ikke et datainnbrudd. Det vesentlige er om han har brutt noen sperrer for å skaffe seg tilgang til data eller programvare han ikke har rettmessig tilgang til. Han utnyttet en mulighet i bedriftens internettsystemer til å koble seg til sitt eget datautstyr og sine egne data. Da han i prosessen hverken har brutt seg inn i/endret/tuklet med eller på noe som helst annet vis klusset med bedriftens sikkerhetssystem er dette helt klart ikke noe datainnbrudd. Allikevel kan det godt hende det er et grovt nok tillitsbrudd til at det gir grunnlag for direkte oppsigelse. Akkurat det har jeg ikke tid å sette meg inn i.

[Wattengård]

Har fått lese IT-reglementet og hvis man skal være spesiellt pirkete så står det faktisk ingen ting om at det som er gjort ikke er lov. Det nærmeste man kommer en regel som er brutt er den med at det ikke er lov å laste ned programmer som ikke inngår i applikasjonsplattformen.

 

-C-

[panzerwolf]

Men det er jo uansett ganske enkelt da: Vedkommende var innleid til en kunde. Ovenfor kunden har han gjort noe som kunden ikke liker. Særlig når man er leid inn skal man være ekstra forsiktig med hva man sysler med utover arbeidsoppgavene sine. Kunden har betalt for en konkret tjeneste, firmaet man er leid inn fra vil gjøre et godt inntrykk ved å ha "profesjonelle" folk og for ens egen del sikrer det framtidige og lengre oppdrag. Fordelen ved å jobbe som innleid er at man kan friere bytte arbeidssted og kan få en del forskjellig erfaring. Ulempen er at man har mindre rettigheter enn det en fast ansatt ville ha. En fast ansatt hadde antageligvis bare fått en advarsel i dette tilfelle her.

 

Kameraten din gjorde en tabbe. Han må bare leve med det og ta med seg den erfaringen videre. Hadde jeg sett en av de innleide på jobben min gjøre noe liknende hadde jeg sagt i fra til ham/ henne at "det burde du kanskje ikke gjøre" (er ikke noe leder, bare vanlig dødelig). Det er ofte en større toleranse for å akseptere at ansatte leker seg litte grann ettersom de da lærer mer, mens de innleide er der kun for å gjøre noen spesifikke arbeidsoppgaver. Sånn er det bare.

 

Det finnes ikke bare rettigheter her i verden. Det er noe som heter plikter også og dét er det mange som glemmer.

[Manfred]

Hadde vi leid inn en som hadde gjort det samme, så hadde jeg ganske kjapt tatt en prat med sjefen hans i vikarbyrået. Jeg hadde følt at vi ikke kunne stole på han, siden han først hadde begynt å omgå sperrene i nettverket for å drive med private sysler, og hadde helt klart vurdert å be om å få en annen vikar, eller avslutte oppdraget øyeblikkelig.