Der Kollege hat möglicherweise böswillig mit dem PC getäuscht, wie verlasse ich das Unternehmen sicher? [geschlossen]

Als ich zu diesem Unternehmen kam, hatte ich die unglückliche Erfahrung, mit sehr abgestumpften und unprofessionellen Entwicklern zusammenzuarbeiten. Sie wollten, dass ich an ihren persönlichen Projekten arbeite und meine Aktivitäten vor der IT verberge, indem ich ein anderes Betriebssystem auf einer Testmaschine installiere, die die IT nicht ausspionieren kann. Ich lehnte ab und wollte mich stattdessen auf meine eigentliche Arbeit konzentrieren. Mein Ruf wurde hinter meinem Rücken beschmiert, ich wurde wegen Projekten belogen und zum Scheitern verurteilt.

Einer dieser Entwickler namens Bob hat das Passwort zu meinem Arbeits-PC. Er hat es mir aus der IT mitgebracht, als ich dort anfing zu arbeiten. Er versuchte, es so aussehen zu lassen, als würde er helfen, aber ich bin äußerst misstrauisch. Die IT muss auch unsere Passwörter kennen. Dieser Typ arbeitet mit einem Familienmitglied zusammen und ist mit der Geschäftsleitung in unserem Büro befreundet, einschließlich des Chefingenieurs und des Sicherheitschefs. Der Chefingenieur und Sicherheitschef feuerte den IT-Mann und beförderte seine Freunde zu den neuen IT-Leuten, sodass er die IT vollständig kontrolliert. Dieser Platzhirsch ist sehr informell und neckt gerne Leute, daher bezweifle ich, dass er Bedenken bezüglich Mobbing oder IT-Verstößen ernst nimmt.

Ich mache mir Sorgen, dass Bob etwas in meinen PC eingeschleust haben könnte, da er mein Passwort hat. Ich habe mein Passwort nie geändert, da die IT sowieso unsere Passwörter kennt. Ich bezweifle nicht, dass er mein Passwort hätte bekommen können, wenn ich es geändert hätte.

Wenn ich etwas melde, werde ich meinen Job wahrscheinlich nicht behalten. Ich bezweifle, dass das Management riskieren würde, mehrere Entwickler und Freunde der Familie zu disziplinieren und zu verärgern. Es wäre einfacher, mich loszuwerden.

Wie kann ich dieses Unternehmen verlassen und die Haftung minimieren, einen Computer zurückzulassen, der in Zukunft gegen mich verwendet werden könnte?

Ich arbeite in den USA und diese Typen arbeiten für die Regierung.

Wie hat er dein Passwort bekommen? Hatten sie alle persönliche Projekte – oder glauben Sie daran?
Sie stellen viel zu viele Fragen in einem Beitrag und schließen auch die plausibelsten Antworten aus. Die Abstimmung zum Schließen ist unklar, was Sie fragen. Bitte bearbeiten Sie die Frage, um sich genau darauf zu konzentrieren, welche Hilfe Sie benötigen.
Das ist eine schreckliche Situation, in der man sich befindet – und es gibt wirklich nichts anderes zu tun, als daraus herauszukommen und in einen neuen Job zu wechseln.
"Die IT muss auch unsere Passwörter kennen." - nein, sind sie nicht, wenn sie wissen, was sie tun.
Tatsächlich sollte die IT Ihre Passwörter nicht kennen.
Ändern Sie Ihr Passwort
"Ich denke darüber nach, meine Bedenken bezüglich Mobbing und Verstößen gegen IT-Richtlinien schriftlich mitzuteilen" - Was sagt die IT-Richtlinie über das Ändern von Passwörtern und den Zugriff der IT darauf? Sie scheinen auch unglaublich paranoid in Bezug auf Bob zu sein, nur weil er Ihnen Ihren PC von der IT mitgebracht und Ihnen das anfängliche Passwort gegeben hat (von dem Sie nach den meisten Richtlinien sowieso bei der ersten Verwendung erwarten würden?)
"da er mein Passwort hat und versucht hat, mich zu feuern. Ich habe mein Passwort nie geändert, da die IT sehr informell ist und unsere Passwörter kennt. " Was für eine Mickey-Maus-IT ist das?
Ändern Sie einfach Ihr Passwort, nachdem die IT Ihnen eines zugewiesen hat. Sie sollten die Befugnis haben, Ihr Passwort bei Bedarf zurückzusetzen , ohne Ihr Passwort zu kennen.
Arbeiten Sie auch für die Regierung der USA (oder der Bundesstaaten)? Ist das ein Regierungsarbeitsplatz?
Das macht keinen Sinn. Wenn Bob mit der Geschäftsleitung befreundet ist, die ihre eigenen IT-Leute installiert hat und im Wesentlichen die Kontrolle über die IT hat. Warum möchte er, dass Sie Projekte durchführen, um sich „vor der IT zu verstecken“?
@DJClayworth Darauf bin ich auch neugierig. Ich bin mir ziemlich sicher, dass diese Praktiken in der IT-Politik der US-Regierung nicht legal sind – in keiner Abteilung.
Die IT sollte Ihr Passwort niemals kennen. Die IT hat möglicherweise Mittel, um ohne Ihr Passwort auf Ihren Computer oder Ihr Konto zuzugreifen, aber sie darf Ihr Passwort niemals kennen. Gehen Sie direkt zur IT, sagen Sie ihnen, dass jemand anderes Ihr Passwort hat, und fragen Sie sie, was damit zu tun ist. Es ist ein immenses Sicherheitsrisiko für das Unternehmen (weil jemand denken könnte, er könnte Schaden anrichten, ohne erwischt zu werden).
Für solche Dinge gibt es übrigens eine Hotline für Betrug, Verschwendung und Missbrauch.

Antworten (1)

Ich werde meine Antwort möglicherweise ablehnen, aber ich werde antworten, da ich im IT-Sicherheitsberuf arbeite und grundlegende Sicherheitsprobleme sehe, die nicht angesprochen werden und ein echtes Risiko für Sie darstellen. Es gibt auch eine implizite Frage, die sehr legitim ist:

„Wie schütze ich mich beim Verlassen des Unternehmens“

Erstens versagt Ihr Unternehmen auf Unternehmensebene an den Grundlagen der Computersicherheit und arbeitet mit Praktiken, die in einem regulierten Umfeld (wie der Regierung) nicht funktionieren. Ein eklatantes Beispiel ist die folgende Aussage:

Die IT muss unsere Passwörter kennen.

Allein die Tatsache, dass die IT das Passwort für Ihren Computer hat, bedeutet, dass sie sich als Sie ausgeben kann . Alle skrupellosen Aktionen, die sie im Netzwerk durchführen, werden direkt zu Ihnen zurückverfolgt, und Sie können die Aktion nicht leugnen, da Ihr Konto verwendet wurde. Die Tatsache, dass jetzt mehrere andere Personen Ihr Konto verwenden können, spielt keine Rolle, da in den Prüfprotokollen nur Ihre Benutzer-ID mit legitimen oder böswilligen Änderungen verknüpft wird.

Einige Ihrer Aussagen sind auch problematisch. Sie geben an, dass diese Leute in der Regierung arbeiten und dass die IT sehr informell ist. Nur weil die IT informell agiert, wie es oft die IT-Kultur ist, heißt das nicht, dass Security Best Practices plötzlich nicht mehr anwendbar sind.

Ich habe mein Passwort sowieso nie geändert

Es sollte Ihnen gar nicht erst möglich gewesen sein, die Wahl zu haben. Gute Praxis schreibt vor, dass das Passwort bei der ersten Verwendung durch den zugewiesenen Benutzer geändert wird.

Um sich selbst zu schützen, können Sie verlangen, dass Ihr Gerät vor dem Verlassen abgewischt wird, wodurch das Gerät für den nächsten Benutzer desinfiziert werden sollte. Darüber hinaus schützt Sie eine klare Dokumentation von Vorfällen, z. B. wenn Sie gebeten wurden, an Lieblingsprojekten zu arbeiten, und von wem, und nicht durch legitime Arbeit, indem Sie eine Papierspur über das Gesagte führen.

Obwohl Sie dieses Mal möglicherweise keine große Chance haben, können die obigen Informationen verwendet werden, wenn Sie in Zukunft jemals in eine ähnliche Situation geraten.

Ganz im Gegenteil, wenn bekannt ist, dass die IT Ihr Passwort hat – gerade weil sie sich als Sie ausgeben kann , kann nichts effektiv zu Ihnen zurückverfolgt werden. Aus diesem Grund kennt keine anständige IT-Abteilung Ihr Passwort.
@ Gnasher729 , überprüfen Sie die von mir vorgenommene Änderung. Obwohl mehrere Personen sein Konto verwenden können, werden alle von diesem Konto vorgenommenen Aktionen in Überwachungsprotokollen unter seiner einzelnen Benutzer-ID erfasst.
@Anthony ja, aber wenn die Richtlinie, dass die IT sein Passwort kennt, bekannt ist, dh wenn er nachweisen kann, dass dies die Richtlinie ist, dann gilt die in den Protokollen erscheinende Benutzer-ID nicht als Beweis gegen OP, da die IT ihn hätte verkörpern können . Plausible Leugnung.
Der Kollege hat möglicherweise böswillig mit dem PC getäuscht, wie verlasse ich das Unternehmen sicher? [geschlossen]
AntwortenHierDatenschutz-Bestimmungen1y, 0v