Société Générale debacle toont gevaar van insider
Het debacle bij de Franse bank Société Générale, waarbij een werknemer voor vijf miljard euro schade veroorzaakte, camoufleert niet alleen het ware pobleem van de bancaire wereld, het toont ook het gevaar van de insider. Handelaar Jérôme Kerviel zou namelijk wachtwoorden en vervalste documenten hebben gebruikt om zijn sporen te wissen. Niet alleen was de interne controle bij de bank een rommeltje, bedrijven moeten ook voorzichtig zijn met werknemers die risico en beveiligingsmaatregelen kennen. Zij hebben namelijk de kennis en tools om alle voorzorgsmaatregelen te omzeilen, waarschuwt Richard Stiennon.
"De enige reden volgens mij dat de meeste bedrijven geen gigantische diefstal hebben meegemaakt, is dat mensen in het algemeen, en met name IT-personeel, betrouwbaar zijn. Vertrouwen is echter geen goed beleid. De aandeelhouders van SG zullen zeker vragen stellen over het vertrouwen dat de bank aan haar handelaren gaf."
De kans is groot dat sommige controles door SG uit gebruiksgemak of kosten zijn overgeslagen, maar de gevolgen van dit soort oplossingen kunnen groot zijn. Nu bekend is geworden dat Kerviel wachtwoorden van collega's gebruikte, is het de hoogste tijd voor banken om te overwegen of het niet aanschaffen van sterke authenticatie controle wel juist was, gaat Stiennon verder.
Insiders zitten overal
Om de dreiging van insiders beter in kaart te brengen, voerde het Amerikaanse Ministerie van Defensie, samen met het CERT van de Carnegie Mellon universiteit, een onderzoek uit. Onderzoekers keken naar de gevolgen voor de kritieke infrastructuur, hoe insiders te werk gaan en hoe ze zijn te bestrijden. Met name het screenen van personeel, gebruik van access controls en het controleren van logins en authenticatie kan volgens het rapport een hoop ellende voorkomen. Het rapport is op deze pagina te vinden.
vanuit gaan dat een outsider het ook kan.
Dat is niet met technische middelen volledig te voorkomen; je zult ook het
ontwerp van de bedrijfsprocessen moeten verbeteren.
beurshandelaren gewoon met oogluikende toestemming de regels
overtraden. Als je de berichten over Kerviel bijvoorbeeld leest, dan blijkt
dat tal van handelaren dezelfde werkwijze hanteerden, en dat wanneer
de koers van de beurs niet zo dramatisch was gekelderd de afgelopen
weken, de SG miljarden had kunnen verdienen aan de wijze van handelen
van Kerviel e.d.
Volgens mij moet je dus als eerste kijken of hier sprake was van onmacht
bij het handhaven van de regels, of van onwil gezien de kapitalen die men
kon verdienen door het negeren van de regels, en het nemen van extra
risico.
hun klanten niet wensen te beschermen tegen ongevraagde
beroving via incasso en hoe ze dat straks in SEPA zelfs
Europees willen invoeren en het is meteen duidelijk dat er
een verandering in hun houding moet komen. Banken kunnen
zich niet langer verschuilen achter hun status, ze behoren
het voorbeeld te geven hoe je met bescherming omgaat.
gedaan maar door het management als zondebok werd gebruikt. Lijkt mij tot het
tegendeel is bewezen ook een zeer goede mogelijkheid.
management.
zulke incidenten vinden nu eenmaal plaats en heeft weinig van doen
met 'het ware probleem'. daarom is het ook een incident, als we elke dag
in de krant berichten moeten lezen van de banken waar het wel onder
controle is wordt het wel erg saai allemaal.
in een beetje bank waar de zaken wel goed geregeld zijn heeft het IT
personeel overigens heel weinig vertrouwen en worden ook zij nauwgezet
gemonitored door een control unit in de organisatie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
