Iedere bank heeft als het goed is auditoren - extern maar ook intern. De problemen die je schetst horen bij internal audit bekend te zijn, en vaak kun je die mensen gewoon bellen en/of mailen - even zoeken in het adresboek. Formeel zullen ze echter opgelost zijn - ihk van Basel II hebben banken sinds eind 2003 immers de beheerdersaccounts strak geregeld, inclusief opruimen accounts en complexiteit wachtwoorden. Maar klokkenluiden kan politiek gevoelig zijn - het management heeft aantoonbaar zitten liegen.

Het probleem van de PC's naar binen sjouwen dat je schetst is lastiger. Je scenario werkt bij bijna iedere toko - en de ICT middelen helpen niet (behalve wellicht NAC achtige zaken - die echter weer zelf ook niet heel erg goed zijn. Daarbij kun je nog een heleboel andere scenario's bedenken die zullen lukken, zo lang ze zich op het grensvlak ict en fysiek bevinden, is het gedeelde verantwoordelijkheid, en dus die van niemand. Ik heb zelf bij een bank meegemaakt dat iemand met stofjas, goed verhaal en vrachtwagen tientallen rolcontainers met nieuwe PC's 'meenam'. De enige oplossing is een strakke bezoekersregistratie incl. legitimatie, zoals sommige clubs hebben, en sturing van goederenstromen, bijvoorbeeld met actieve RFID in iedere PC. Hoe dat dan met laptops moet ..... Zonder beveiliging van de patchpoorten en andere aanvullende zaken ben je er nóg niet.

Dit soort informatie moet je door geven aan de fysieke beveiliging en/of de netwerkbeheerder(s). En anders moet je met hun baas gaan spreken (net zo lang met basen blijven spreken tot je bij de grote baas komt). Want zoals je zelf al zegt.. dit kan natuurlijk niet... en ik hoop dat het in mijn bank er niet zo aan toe gaat.

Melden bij de security officer van die bank

Beste Anoniem,

Ik wil u hier graag bij helpen. Bij welke bank werkt u, dan kan ik helpen? Mogelijk kunt u mij vertellen wat de naam van het account en het type netwerk/verbinding.

I afwachting op uw antwoord,
brutus

PS: er zijn nog mensen die van banken houden, vooral wat erop staat...

1. Dat idee van melden en escaleren werkt niet. Iedereen die het ooit probeerde, weet dat. Men heeft wel wat anders aanhet hoofd! En auditors, security-staf etc. hebben het al zó vaak geroepen dat er niet meer naar wordt geluisterd. Zekerheidje!
2. Kennelijk heeft men te weinig inzicht in de werkelijke risico's. Ook dat kan je melden maar er zal niet naar worden geluisterd. Ook een zekerheidje. Je kan nog beter vertellen dat ze een risico lopen van een miljard, misschien (...) komen ze dan in actie. Voor minder doen ze niks.
3. Hoeveel gelijk je ook hebt, als je een kik geeft, vlieg je eruit. Want zeurende mensen, dat verstoort de borrel dus daar houdt management niet van.
Nou succes hè?

Persoonlijk vind ik dat je nogal uit de school klapt met deze info, ondanks het feit dat je deze post "anoniem" doet. Wij ( de lezers ) kunnen niet achterhalen waar je vandaan post, maar ongetwijfeld is je IP adres bij je post weggeschreven in de database van security.nl. Gezien het tijdstip van posten ( 10.00 uur) is de kans groot dat je op je werk zit en je frustraties even uit en dus kom je met een reverse lookup / WHOIS / AS lookup erg ver indien je bij het IP adres kunt. Nu kun je zeggen, ja maar security.nl doet daar toch niets mee? Maar uit [url=http://sync.nl/een-cyber-crimineel-op-de-loonlijst/]onderzoek[/url] blijkt dat 6% van de jaarwinst door interne criminaliteit word verloren, dus statistisch gezien kun je er vanuit gaan dat er ook bij security.nl een rotte appel tussen kan zitten...
Ik zou dergelijke informatie nooit prijsgeven, behalve aan de persoon die daar verantwoordelijk voor: De security manager bij jouw bank.

Security dient gedragen te worden door het management. Indien deze de zaak niet serieus nemen, dan kun je zo hard schreeuwen als je wilt maar zul je nooit gehoor krijgen.

Maar schrijf eerst je bevindingen en de gevaren die jij erbij ziet op en mail dit naar mensen uit de management laag van de bank. Indien hier geen gehoor gegeven wordt kun je de bevindingen bij de audit afdeling melden en als laatste stap kun je naar de DNB gaan. Probeer eerst het probleem binnen de bank bespreekbaar te maken en ga als laatste naar de DNB!

Ik heb 7 jaar bij een bank gewerkt en kan jouw opmerkingen alleen maar onderschrijven. Het lijkt wel dezelfde bank......
Je moet hiervan melding maken bij de Security en/of Compliance officer van jouw afdeling. Als jouw afdeling die niet heeft (wat me vreemd zou voorkomen) ga je op zoek binnen de afdeling die Security & Compliance zaken in het pakket heeft.
Zij moeten hierop reageren.
Je moet hier niet mee bij de beveiligingsdienst aankomen. Die houden alleen maar iemand tegen (of niet) a.d.h.v. het beleid dat mede door Security & Compliance wordt vastgesteld.

Hij is waarschijnlijk al lang ontslagen voordat hij bij DNB aangeland is. En mochten er tussentijds problemen met de beveiliging zijn dan is hij de eerste verdachte. Ik zou, zeker in het huidige klimaat, rustig m'n kop houden en zolang beveiliging niet mijn verantwoordelijkheid is maar hopen dat er niks fout gaat. Als ze niet willen luisteren, dan maar niet.

Das toevallig, zo houden wij van WC-Eend de boel ook schoon..... !

Als er problemen zijn met een bank, ga je naar de vereniging voor Effecten bezitters....... ;)
Die jongens en meisjes waken feitelijk over 'de stand van zaken', ook binnen DNB en hebben hun zaakjes meestal redelijk voor elkaar, zo niet beginnen ze een rechtszaak die zij bijna altijd winnen.
De achtenswaardige Pieter Lakerman is deze club ooit begonnen als tegenhanger voor de Vereniging van Effecten Handelaren (Maffia) en is (in opdracht van hen!?), door het tijdschrift 'Quote' ooit uitgeroepen tot 'een van de grootste etters van Nederland'; dan weet je genoeg ! ;)

Beste Anoniem,

Positief dat je dit meldt, echter uit eigen ervaring kan ik je vertellen dat een dergelijk account met (bekend) wachtwoordt niet het grootste lek zal zijn.
Het grootste lek zijn de beheerders die lak hebben aan elke vorm van beveiliging. Deze beheerders waren verantwoordelijk voor meer dan 6000 lokale accounts binnen minder dan 50 domeinen van een niet-nader-te-noemen-overheids-afhankelijke-bank.
Op elk van deze domeinen was de combo userid + wachtwoordt hetzelfde "want dat werkte zo makkelijk".

Het opruimen van deze puinhoop heeft meer dan 3 maanden geduurd en stuitte op een enorme hoeveelheid tegenwerking van de voornoemde 'beheerders'. Echter werd ik daarin wel gesteund door een security officer die armslag had gegeven om een andere structuur in autorisaties aan te brengen.
Indien je dit bij een security officer gaat melden en er niet adequaat op gereageerd wordt moet je dit dan ook escaleren.

1. De meeste banken hebben hun werkstations vastgezet met een stevige kabel, dus het in- en uitlopen met PC's zou niet zomaar moeten kunnen.

2. Je zal eerst langs de bewaking moeten komen en bij een bank moet je je in dat geval kunnen legitimeren. Kopie legitimatie paar dagen bewaren en dan vernietigen.

3. Iedere bank werkt met invoer- en uitvoerdocumenten dus zonder de juiste authorisatie gaat er niets in of uit.

Punt 2 en 3 zijn echter met wat social enginering goed te omzeilen en ook punt 1 is met een goede tang te fixen.

Eigenlijk zou een bewaker de medewerker die voor de leverancier werkt, constant moeten begeleiden.
Ook zou er een verificatie moeten plaats vinden bij de leverancier alvorens de medewerker toegang te verlenen.

Hiermee dek je het dan alweer een stukje af maar helemaal waterdicht krijg je het natuurlijk nooit.

Kies een bank :

Fortis
Fortis
Fortis
Fortis
Fortis
Fortis
Fortis
Fortis

Maar ik denk zelf dat je met een PC zelf niet veel kan doen, de meeste banken en grote bedrijven gebuiken Citrix iets soort gelijks.

Euh nee, dat was de ABN :P

Je spreekt jezelf behoorlijk tegen.
Aan de ene kant zeg je dat 'je je kop moet houden' en aan de andere kant zeg je: 'Als ze niet willen luisten'. Het is moeilijk luisteren als iedereen z'n kop moet houden!

Mijn persoonlijke mening is: Beveiliging is ieder zijn verantwoordelijkheid! Dus blijf ik bij mijn advies: Bevindingen en gevaren rapporteren in genoemde volgorde.

ik heb diverse security projecten gedaan bij banken gefocussed op ISO27001, SOX en SAS70. In die projecten ook een aantal audits en vulnerability assessments uitgevoerd. Een woord "TREURIG"