Kağıt üzerinde dijital hijyen kuralları iyi bilinmektedir: güçlü bir parola, gerekirse değiştirilir, dijital kasada saklanır ve açıkçası post-it’te tutulmaz. Ancak Apple, Google ve Microsoft, şifreyi akıllı telefonunuz aracılığıyla kimlik doğrulamasıyla değiştirerek sona erdirme niyetlerini açıkladıysa, bunun nedeni çoğu zaman çalışmamasıdır. 9 Mayıs Pazartesi günü, Paris yargı mahkemesinin 12. ıslah dairesinde henüz karara bağlanan bir ceza davasıyla kanıtlanan, çok ileri gidebilecek sonuçlarla.
Başlangıçta, bir yönetim ile çalışanlarından biri arasındaki nispeten banal bir çatışmadır. Sosyal sektörde çalışan bu orta ölçekli Ile-de-France derneği, eski mali muhasebecisine dava açıyor. Haziran 2021’de CEO’nun posta kutusunu hacklediğinden şüpheleniliyor. Derneğin avukatı Aurélien Wulveryck, şikayetçiler için bunun “bir ikramiye hikayesi için kıskançlık” güdümlü casusluk olduğunu belirtiyor. Bir davanın da endüstriyel mahkemeye başka bir açıdan bakıldığını ekliyor.
barok şifre yönetimi
Ancak bu basit mesele, parolaların barok yönetimi tarafından tekil olarak karıştırılmıştır. Bu aynı zamanda çok ölçülü bir karar veren yargıçların da anlayışsız kalmasına neden oldu. Sanık böylece mesajlaşma sistemini hackleme ve yazışmaların gizliliğini ihlal suçlamalarından aklandı ve yargılama kapsamındaki tek suç olan erişim girişimi nedeniyle 1.000 Euro’luk tecilli para cezasına çarptırıldı.
Bu hatalar nelerdir? Birincisi boyuttur. Derneğin genel müdürüne göre, BT hizmet sağlayıcısı, iki yıl önce ofis 365 paketine yapılan bir geçiş sırasında, yapı yöneticilerinin tanımlayıcılarını ve şifrelerini yönetici muhasebesine e-posta ile göndermeyi önerdi. Daha sonra, ofisinde bulunan fiziksel kasada saklamak için e-postayı yazdırmak ona kalmıştır.
“Gerçekten ilgiyi görmüyoruz”, bir değerlendirme hakimi şaşırdı, mesajın gözle görülür bir şekilde kağıt izlenimi olan bir sayfa salladı. “Uzatmamak içindi: bilgisayar uzmanının bana listelerini göndermesi gerektiği açık”, genel müdür aynı fikirde. Başkan Rouaud, “Yönetimin çalışanların şifrelerine sahip olması da şok edici” diyerek tepki veriyor. Parolanızı yanlış yere koyarak veri kaybetmekten korkuyorsanız, onu dijital bir kasada saklamak daha iyidir. E-posta ile gönderme düşünülebilir ancak bu durumda mesajın şifrelenmesi gerekecektir.
Büyük yanlış anlama
Her neyse, şifrelerin gönderilmesi en azından büyük bir yanlış anlaşılmanın kaynağıydı. Eski muhasebe müdürü için bu gönderme aslında bir erişim yetkisiydi. “Genel müdür onlara sahip olduğumu biliyordu,” diye hatırlıyor dümende. Bu da hastalık iznindeyken amirinin e-postasına neden bu kadar kolay bağlandığını açıklıyor. Sadece bir birleşme projesinin nerede olduğunu bilmek istediğini söylüyor dümende. Seçmelerde, “sağlıksız bir merak” olduğunu kabul etmişti. Avukatı Jean-Baptiste Laplace, “Kötü niyetli bir niyeti yoktu” diye ısrar ediyor. Yargıçlardan biri, “Ama bu mesajlaşma servisine erişme yetkiniz var mıydı?” diye soruyor. “Yasak değildi,” diye karşılık verdi.
Parolaların bu yanlış yönetimi, mesajlaşma organizasyonuyla ilgili sorunlar tarafından vurgulandı. Örneğin dernek, Île-de-France bölgesinden talep edilen önemli bir hibe dosyasını takip etmek için hastalık iznindeki bir müdürün posta kutusuna erişmek zorunda kaldı. Olası devamsızlıkları telafi etmek için, bir çalışanın e-postasına erişmek zorunda kalmamak için “yönetim” veya örneğin “sübvansiyon” gibi genel e-posta adresleri oluşturmak daha kolaydır. Cevaplayıcı, “Hizmetin devamlılığı için genel müdürün talebi üzerine diğer mesajlaşma servislerine bağlandım” gözleminde bulundu.
Dernek nihayet şifrelerinin niteliğini araştırdı. Mahkemede okunduğu gibi, bazıları çok basitti, örneğin “tırmık” ve ardından kısa bir sayı listesi. Her şeyden önce, şifresini düzenli olarak değiştirmek gerekli olurdu. “Gerçekten inek değiliz: Değiştirebileceğimizi bile bilmiyordum”, diye özetliyor genel müdür. Artık dernek çalışanları şifrelerinde büyük ve küçük harf ve özel karakterleri karıştırmalıdır. Ve altı ayda bir değiştirin.