Slecht beveiligd bedrijf krijgt 275.000 euro boete
Een Amerikaanse effectenmakelaar die klantgegevens onvoldoende beveiligde, waardoor Letse hackers uiteindelijk de informatie van 192.000 klanten buitmaakten, is veroordeeld tot een boete van 275.000 euro. Volgens FIRA, de Amerikaanse Autoriteit Financiële Markten, had Davidson & Co geen adequate beveiligingsmaatregelen getroffen om de beveiliging en vertrouwelijkheid van klantgegevens en opgeslagen informatie te beschermen. Het ging onder andere om accountnummers, social security nummers, namen, adressen, geboortedata en andere vertrouwelijke gegevens. Verder was de informatie in de database niet versleuteld en was er geen wachtwoord ingesteld. Daardoor kon iedereen via een leeg wachtwoord inloggen.
Op 25 en 26 december 2007 wisten hackers via een SQL-injectie aanval de database van Davidson & Co te stelen. De aanval was zichtbaar in de webserver logs, maar het bedrijf controleerde die niet. Tussen april 2006 en oktober 2007 huurde het bedrijf verschillende security consultants en auditors in om de netwerkbeveiliging te controleren. Davidson & Co ontving verschillende aanbevelingen, waarvan het de meeste opvolgde. Het advies om een intrusion detection systeem te installeren, zoals voorgesteld in april 2006, werd niet opgevolgd.
Afpersing
Het lek kwam pas aan het licht toen het bedrijf op 16 januari 2008 door één van de hackers werd afgeperst. Na het ontvangen van de dreiging deed Davidson & Co aangifte en schakelde het de Secret Service in. Uiteindelijk ontdekte de Amerikaanse geheime dienst dat de aanval het werk van vier Letten was, waarvan er inmiddels drie zijn uitgeleverd. Bij het opstellen van de boete hield FINRA rekening met de snelle reactie van het bedrijf na de dreigmail en het feit dat de klantgegevens nog niet misbruikt zijn.
Ook zouden er in NL en EU wettelijke kaders moeten komen waarin 'cybercrime' (zoals hacking, dataverlies, manipulaties etc.) in elk geval bij gerechterlijke instanties en liefst publiekelijk gemeld worden op sanctie van relatieve boetes (zoals US dat ook al langer doet).
Ook de kwaliteitshandhaving in volledigheid en tijdigheid moeten daarin meegenomen worden.
Maar daarvoor is nog een lange weg te gaan vanwege de vele tegenstrijdige (commerciele) belangen, onkunde en onwetendheid.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.