<p dir="ltr">Is it worth exploring/clarifying the level of liability incurred by the employee? Or the split across the institution and the employee? The allocation of people/resources made available to you depends on this.</p>

<p dir="ltr">Also, are we assuming that this will always be due to an employee? What happens when a password is compromised due to a direct decision made by the employer?</p>
<p dir="ltr">A possibly silly question: are there any insurance policies that would cover people against such work-related liabilities?</p>
<p dir="ltr">Siraj</p>
<div class="gmail_quote">On 5 Mar 2013 11:29, "Martin Hepworth" <<a href="mailto:maxsec@gmail.com">maxsec@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I suggest this is trying to make you think twice about sharing passwords and the like, but it does seem poorly worded and under evidence they'd have to prove it wasnt you anyway (innocent until proved guiltly).<br><br>

I see your point though, esp if you have quite a powerfull account with access to lots of sensitive data.<br clear="all"><div><br>-- <br>Martin Hepworth, CISSP<br>Oxford, UK</div>
<br><br><div class="gmail_quote">On 4 March 2013 23:29, Root <span dir="ltr"><<a href="mailto:root@mikieboy.net" target="_blank">root@mikieboy.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hi All,<br>
<br>
I am not sending this from my usual account as gmail seems to have hit<br>
various blacklists. Even though the 2 factor auth and MITM detection seems<br>
to be a good thing in a web-mail service. So instead i am probably going to<br>
be giving spamd on this OBSD box a good work out.<br>
<br>
I am looking for a bit of advice.<br>
I work for part of the NHS and was recently given a new version of our<br>
security policy to sign.<br>
It contains the usual i will be a good citizen, take care of the datas,<br>
not hand out my password or transfer data onto unencrypted memory<br>
sticks/laptops and leave them in taxis etc.<br>
<br>
I am generally in favor of these and usually have no problems appending my<br>
signature but the difference between the old and new policy is the<br>
following:<br>
"I further understand that I am responsible for any transactions carried<br>
out under my personal password and code"<br>
<br>
I have no confidence that it wouldn't be trivial for someone to get hold<br>
of my user-name and password by methods which don't involve me being<br>
irresponsible.<br>
<br>
Any advice would be very helpful before i make a nuisance of myself.<br>
<br>
thanks<br>
mike<br>
<br>
</blockquote></div><br>
</blockquote></div>