Ik denk dat iedereen hier aan de oorzaak voorbij gaat. De inbraak kwam voort uit een gebruikers account dat, middels Social Engineering gekraakt was. Met dit account is er toegang tot een systeem verkregen. En op dit systeem stond nog een Beheerdersaccount waar het wachtwoord van ontsleuteld is. Daarna stond het netwerk open. En omdat er hier valide accounts werden gebruikt is het lastiger detecteren. Wel weer vreemd dat er grote hoeveelheden data verplaatst kunnen worden zonder dat iemand het ziet. Granulair toegangsbeheer zou iets beter ingericht moeten worden. Ook voor Admins. Let wel: Een Windows Admin hoeft geen Admin te zijn op Applicatie niveau. En ook een Windows Admin kan restricties hebben op wat deze kan en mag doen. Social Engineering zal altijd gebeuren. En soms ook succesvol. Daar kan je awareness trainingen voor organiseren, maar dat geeft geen 100% dekking. Wat veel interesanter is (en ook 100% beheersbaar) is om binnen de "Admin" setup, ervoor te zorgen dat de "Desktop" admins geen rechten ...