image

Boze supermarktmedewerker lekte gegevens 100.000 collega's

zaterdag 18 juli 2015, 08:06 door Redactie, 5 reacties

Een voormalige medewerker van de Britse supermarktketen Morrisons is veroordeeld tot een gevangenisstraf van acht jaar wegens het lekken van de salarisgegevens en andere gegevens van zo'n 100.000 collega's. De 43-jarige man handelde uit woede over een eerder incident in 2013 waarbij hij werd gedisciplineerd omdat hij de postkamer van het bedrijf voor zaken op eBay gebruikte.

Uit woede over de disciplinering een jaar eerder plaatste de Brit, die als interne auditor bij de supermarktketen werkte, vorig jaar op verschillende websites informatie over salarisgegevens, bankrekeningen en verzekeringsnummers, alsmede namen en adresgegevens. Ook stuurde hij de de data naar een aantal kranten. Vervolgens probeerde hij zijn sporen te wissen door met de gegevens van een collega een vals e-mailaccount aan te maken, aldus de BBC.

Een aantal dagen na het lekken van de gegevens werd de Brit echter aangehouden. Het incident kostte de supermarktketen uiteindelijk zo'n 3 miljoen euro. Tijdens het onderzoek vond de politie een concept ontslagbrief die de man op het moment van het incident had geschreven en waarin hij zijn woede en frustratie over het bedrijf uitte, zo meldt de Mirror.

Reacties (5)
18-07-2015, 09:18 door karma4
Die man heeft fout gehandeld. Dan verder om er lering uit te trekken:
- had de impact niet verminderd kunnen zijn. Waarom heeft een auditor zelf persoolijk toegang tot alle data?
Als hij een security auditor zou zijn dan gaat het toch om de vraag "wie die toegang heeft" en of dat kwaad kan
Als hij een boekhoudkunding auditor zou zijn dan gaat het toch om steekproeven met die controles.
In beide gevallen had hij geen toegang tot alle data zelf nodig.
- Als het werk een vertrouwenspositie betreft dan is dat verhaal raar met dat eerdere postkamer misbruik. Dan is er reden om aan de benodigde integriteit te twijfelen. Helaas speelt dat ook vaak op zo'n manier in het top management.

Nu is het een auditor.
De toegang tot alle data zit vaak op dezelfde wijze in het marketing dan wel big-data gebeuren. Die krijgen toegang tot alle data met de redden dat daar bijzondere verbanden uit te halen zouden zijn. Dit bericht toont het negatieve aspect aan van die kant. Het kan met die toagang tot "alle data" ook gelekt worden.
18-07-2015, 20:01 door Eric-Jan H te D
Een auditor dient onbeperkte toegang tot alle data te hebben. Hij heeft deze nodig om:
- zijn steekproeven te valideren
- verantwoordelijkheid voor zijn conclusies te kunnen nemen
- die verantwoordelijkheid te kunnen afwijzen als achteraf blijkt dat er cruciale data is achter gehouden
19-07-2015, 15:11 door karma4
Eens kijken: https://nl.wikipedia.org/wiki/Interne_audit en https://en.wikipe dia.org/wiki/Internal_audit
Ik mis elke eis dat een auditor overal bij zou moeten kunnen. Hij is adviserend en onderzoekend meer niet.

Nu heb ik daarvan het nodige meegemaakt en gezien intern en extern. Ik heb ook gezien hoe de boel achtergehouden werd (gebrek aan kennis, niet gebrek aan gegevens) dan wel zo gedraaid werd om er toch een goedkeuring aan te geven. Het zijn de praktijken waar KPMG EY het nieuws mee gehaald hebben, dat waren wel gevallen op andere schaal.

In het kort: nog nooit gezien dat een auditor ongelimiteerde toegansrechten nodig had. Er zijn andere methoden.
20-07-2015, 13:36 door Anoniem
Precies. Een auditor vraagt gewoon goed door, en vraagt bijvoorbeeld naar een specifieke dataset, bijvoorbeeld alle toegangslogs uit systeem X in de periode Y to Z. Als er twijfels zijn of die dataset wel helemaal compleet is, roep je desnoods bijvoorbeeld hulp in van de leverancier van de betreffende software om er zeker van te zijn dat je alles hebt. Toegang tot allerhande informatie gevoelige informatie uit personele systemen (waar het in deze case om gaat) heb je normaliter helemaal niet nodig, en is ook niet wenselijk.
20-07-2015, 23:10 door Anoniem
"wie bewaakt de bewaker" ??
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.