Gehackte verzekeraar krijgt boete wegens missende patches
Een Brits verzekeringsbedrijf heeft een boete van 175.000 pond (239.000 euro) gekregen omdat het beveiligingsupdates was vergeten te installeren waardoor klantgegevens konden worden gestolen. Bij de aanval op Staysure hadden aanvallers toegang tot de gegevens van meer dan 100.000 creditcards, alsmede medische gegevens. De beveiligingscode van de creditcards, die achterop de kaart staat, was ook toegankelijk.
Dit is echter in strijd met industrieregels, die stellen dat ze helemaal niet mogen worden opgeslagen. Uiteindelijk werd met de creditcards van meer dan 5.000 mensen gefraudeerd. Uiteindelijk bleek dat het bedrijf geen beleid of procedures had voor het controleren en updaten van IT-beveiligingssystemen. Daarnaast was de verzekeraar twee keer vergeten om de databasesoftware te updaten, waardoor de inbraak voorkomen had kunnen worden.
"Het is onvoorstelbaar dat een bedrijf met drie miljoen klantgegevens geen procedures had om die informatie te beveiligen", zegt Steve Eckersley, hoofdhandhaving bij het Britse Information Commissioner's Office. Eckersley hoopt dan ook dat de boete als waarschuwing voor andere bedrijven zal dienen om hun IT-security op orde te houden.
We hebben in de fysieke wereld zijn bedrijven er voor verantwoordelijk dat medewerkers veilig kunnen werken, en daarvoor moet er bv. deugdelijk onderhoud aan apparatuur gedaan worden.
In de virtuele/ICT wereld wordt onderhoud (bv. patchen) als verstorend en lastig gezien, niet als een middel om veiligheid te bewerkstelligen.
Het is wel een erg gemakkelijke aanname dat de inbraak voorkomen had kunnen worden door het installeren van deze update. Het exploiten van deze zwakheid had men daarmee kunnen voorkomen. Dat wil niet zeggen dat er geen andere mogelijkheden waren, en dat de hacker daar geen gebruik van had kunnen maken.
Het installeren van een patch impliceert niet per definitie onkwetsbaarheid.
Nee hoor, men is dit na 1 maand vergeten.
Hier is maar 1 oplossing voor. Dit bedrijf moet dicht. Als je eigen bedrijfvoering niet voor elkaar hebt, en daardoor 100.000 potentiele mensen schade kunnen leiden, is er maar 1 oplossing. Dicht! Zeker als het nalatigheid is.
Kunnen we Nederland BV dan ook gelijk sluiten? Dat is ook zo lek als een mandje. Met de gegevens van miljoenen mensen.
Het is wel een erg gemakkelijke aanname dat de inbraak voorkomen had kunnen worden door het installeren van deze update. Het exploiten van deze zwakheid had men daarmee kunnen voorkomen. Dat wil niet zeggen dat er geen andere mogelijkheden waren, en dat de hacker daar geen gebruik van had kunnen maken.
Het installeren van een patch impliceert niet per definitie onkwetsbaarheid.
Er zijn waarschijnlijk meer mogelijkheden om binnen te komen. Maar goed onderhouden systemen maken het voor de aanvaller lastiger om in te breken. Het is dan maar net hoe groot je als target bent.
In dit geval is er blijkbaar gebruik gemaakt van een bekend lek wat opgelost had kunnen worden door te patchen. Dat heeft men verzuimd waardoor de dief kon inbreken.
Nee hoor, de oplossing is (en dat geldt voor meer bedrijfstakken) de Raad van Commissarissen, het bestuur en de topmanagers hoofdelijk aansprakelijk stellen voor geleden schade en voor de terechte boete, EN dat moeten ze vermelden op hun CV en zakelijk profiel.
Als het bedrijf gesloten wordt zijn met name de werknemers op de werkvloer de klos; het hogere echelon verdiend genoeg om het nog wel even uit te zingen dus die liggen daar niet meteen wakker van.
En helaas lijkt het overstappen naar een ander bedrijf voor topmanagers nooit beïnvloedt te worden door 'resultaten uit het verleden'. Als ik op mijn CV zou zetten dat ik bij een vorige werkgever een schadepost van tonnen heb veroorzaakt denk ik dat ik niet zo snel nog ergens uitgenodigd wordt....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.