Nieuws
image

Gehackte verzekeraar krijgt boete wegens missende patches

woensdag 25 februari 2015, 13:50 door Redactie, 9 reacties

Een Brits verzekeringsbedrijf heeft een boete van 175.000 pond (239.000 euro) gekregen omdat het beveiligingsupdates was vergeten te installeren waardoor klantgegevens konden worden gestolen. Bij de aanval op Staysure hadden aanvallers toegang tot de gegevens van meer dan 100.000 creditcards, alsmede medische gegevens. De beveiligingscode van de creditcards, die achterop de kaart staat, was ook toegankelijk.

Dit is echter in strijd met industrieregels, die stellen dat ze helemaal niet mogen worden opgeslagen. Uiteindelijk werd met de creditcards van meer dan 5.000 mensen gefraudeerd. Uiteindelijk bleek dat het bedrijf geen beleid of procedures had voor het controleren en updaten van IT-beveiligingssystemen. Daarnaast was de verzekeraar twee keer vergeten om de databasesoftware te updaten, waardoor de inbraak voorkomen had kunnen worden.

"Het is onvoorstelbaar dat een bedrijf met drie miljoen klantgegevens geen procedures had om die informatie te beveiligen", zegt Steve Eckersley, hoofdhandhaving bij het Britse Information Commissioner's Office. Eckersley hoopt dan ook dat de boete als waarschuwing voor andere bedrijven zal dienen om hun IT-security op orde te houden.

Reacties (9)
25-02-2015, 14:02 door Mysterio
Boete is een schijntje natuurlijk, de echte pijn doet de deuk in de reputatie.
25-02-2015, 14:12 door Anoniem
Prima zaak die boete wegens achterstallig en ondeugdelijk onderhoud.

We hebben in de fysieke wereld zijn bedrijven er voor verantwoordelijk dat medewerkers veilig kunnen werken, en daarvoor moet er bv. deugdelijk onderhoud aan apparatuur gedaan worden.

In de virtuele/ICT wereld wordt onderhoud (bv. patchen) als verstorend en lastig gezien, niet als een middel om veiligheid te bewerkstelligen.
25-02-2015, 14:13 door Anoniem
Zo'n boete zorgt er voor dat het management van bedrijven zich realiseert dat het geld kost als je bespaard op ICT onderhoud
25-02-2015, 14:14 door Anoniem
Daarnaast was de verzekeraar twee keer vergeten om de databasesoftware te updaten, waardoor de inbraak voorkomen had kunnen worden.

Het is wel een erg gemakkelijke aanname dat de inbraak voorkomen had kunnen worden door het installeren van deze update. Het exploiten van deze zwakheid had men daarmee kunnen voorkomen. Dat wil niet zeggen dat er geen andere mogelijkheden waren, en dat de hacker daar geen gebruik van had kunnen maken.

Het installeren van een patch impliceert niet per definitie onkwetsbaarheid.
25-02-2015, 14:33 door Anoniem
Door Mysterio: Boete is een schijntje natuurlijk, de echte pijn doet de deuk in de reputatie.

Nee hoor, men is dit na 1 maand vergeten.

Hier is maar 1 oplossing voor. Dit bedrijf moet dicht. Als je eigen bedrijfvoering niet voor elkaar hebt, en daardoor 100.000 potentiele mensen schade kunnen leiden, is er maar 1 oplossing. Dicht! Zeker als het nalatigheid is.
25-02-2015, 17:54 door Anoniem
De vorige poster heeft het goed.
Kunnen we Nederland BV dan ook gelijk sluiten? Dat is ook zo lek als een mandje. Met de gegevens van miljoenen mensen.
25-02-2015, 17:55 door Anoniem
Door Anoniem:
Daarnaast was de verzekeraar twee keer vergeten om de databasesoftware te updaten, waardoor de inbraak voorkomen had kunnen worden.

Het is wel een erg gemakkelijke aanname dat de inbraak voorkomen had kunnen worden door het installeren van deze update. Het exploiten van deze zwakheid had men daarmee kunnen voorkomen. Dat wil niet zeggen dat er geen andere mogelijkheden waren, en dat de hacker daar geen gebruik van had kunnen maken.

Het installeren van een patch impliceert niet per definitie onkwetsbaarheid.

Er zijn waarschijnlijk meer mogelijkheden om binnen te komen. Maar goed onderhouden systemen maken het voor de aanvaller lastiger om in te breken. Het is dan maar net hoe groot je als target bent.

In dit geval is er blijkbaar gebruik gemaakt van een bekend lek wat opgelost had kunnen worden door te patchen. Dat heeft men verzuimd waardoor de dief kon inbreken.
25-02-2015, 18:43 door Anoniem
Hier is maar 1 oplossing voor. Dit bedrijf moet dicht. Als je eigen bedrijfvoering niet voor elkaar hebt, en daardoor 100.000 potentiele mensen schade kunnen leiden, is er maar 1 oplossing. Dicht! Zeker als het nalatigheid is.

Nee hoor, de oplossing is (en dat geldt voor meer bedrijfstakken) de Raad van Commissarissen, het bestuur en de topmanagers hoofdelijk aansprakelijk stellen voor geleden schade en voor de terechte boete, EN dat moeten ze vermelden op hun CV en zakelijk profiel.
Als het bedrijf gesloten wordt zijn met name de werknemers op de werkvloer de klos; het hogere echelon verdiend genoeg om het nog wel even uit te zingen dus die liggen daar niet meteen wakker van.
En helaas lijkt het overstappen naar een ander bedrijf voor topmanagers nooit beïnvloedt te worden door 'resultaten uit het verleden'. Als ik op mijn CV zou zetten dat ik bij een vorige werkgever een schadepost van tonnen heb veroorzaakt denk ik dat ik niet zo snel nog ergens uitgenodigd wordt....
26-02-2015, 10:04 door Anoniem
Door Anoniem: Zo'n boete zorgt er voor dat het management van bedrijven zich realiseert dat het geld kost als je bespaard op ICT onderhoud
Denk je? Misschien hebben ze wel veel meer bespaard dan 175.000 pond en denken ze een goede deal te hebben...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure