Société Générale debacle toont gevaar van insider
Het debacle bij de Franse bank Société Générale, waarbij een werknemer voor vijf miljard euro schade veroorzaakte, camoufleert niet alleen het ware pobleem van de bancaire wereld, het toont ook het gevaar van de insider. Handelaar Jérôme Kerviel zou namelijk wachtwoorden en vervalste documenten hebben gebruikt om zijn sporen te wissen. Niet alleen was de interne controle bij de bank een rommeltje, bedrijven moeten ook voorzichtig zijn met werknemers die risico en beveiligingsmaatregelen kennen. Zij hebben namelijk de kennis en tools om alle voorzorgsmaatregelen te omzeilen, waarschuwt Richard Stiennon.
"De enige reden volgens mij dat de meeste bedrijven geen gigantische diefstal hebben meegemaakt, is dat mensen in het algemeen, en met name IT-personeel, betrouwbaar zijn. Vertrouwen is echter geen goed beleid. De aandeelhouders van SG zullen zeker vragen stellen over het vertrouwen dat de bank aan haar handelaren gaf."
De kans is groot dat sommige controles door SG uit gebruiksgemak of kosten zijn overgeslagen, maar de gevolgen van dit soort oplossingen kunnen groot zijn. Nu bekend is geworden dat Kerviel wachtwoorden van collega's gebruikte, is het de hoogste tijd voor banken om te overwegen of het niet aanschaffen van sterke authenticatie controle wel juist was, gaat Stiennon verder.
Insiders zitten overal
Om de dreiging van insiders beter in kaart te brengen, voerde het Amerikaanse Ministerie van Defensie, samen met het CERT van de Carnegie Mellon universiteit, een onderzoek uit. Onderzoekers keken naar de gevolgen voor de kritieke infrastructuur, hoe insiders te werk gaan en hoe ze zijn te bestrijden. Met name het screenen van personeel, gebruik van access controls en het controleren van logins en authenticatie kan volgens het rapport een hoop ellende voorkomen. Het rapport is op deze pagina te vinden.
vanuit gaan dat een outsider het ook kan.
Dat is niet met technische middelen volledig te voorkomen; je zult ook het
ontwerp van de bedrijfsprocessen moeten verbeteren.
beurshandelaren gewoon met oogluikende toestemming de regels
overtraden. Als je de berichten over Kerviel bijvoorbeeld leest, dan blijkt
dat tal van handelaren dezelfde werkwijze hanteerden, en dat wanneer
de koers van de beurs niet zo dramatisch was gekelderd de afgelopen
weken, de SG miljarden had kunnen verdienen aan de wijze van handelen
van Kerviel e.d.
Volgens mij moet je dus als eerste kijken of hier sprake was van onmacht
bij het handhaven van de regels, of van onwil gezien de kapitalen die men
kon verdienen door het negeren van de regels, en het nemen van extra
risico.
hun klanten niet wensen te beschermen tegen ongevraagde
beroving via incasso en hoe ze dat straks in SEPA zelfs
Europees willen invoeren en het is meteen duidelijk dat er
een verandering in hun houding moet komen. Banken kunnen
zich niet langer verschuilen achter hun status, ze behoren
het voorbeeld te geven hoe je met bescherming omgaat.
gedaan maar door het management als zondebok werd gebruikt. Lijkt mij tot het
tegendeel is bewezen ook een zeer goede mogelijkheid.
management.
zulke incidenten vinden nu eenmaal plaats en heeft weinig van doen
met 'het ware probleem'. daarom is het ook een incident, als we elke dag
in de krant berichten moeten lezen van de banken waar het wel onder
controle is wordt het wel erg saai allemaal.
in een beetje bank waar de zaken wel goed geregeld zijn heeft het IT
personeel overigens heel weinig vertrouwen en worden ook zij nauwgezet
gemonitored door een control unit in de organisatie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.