Door Anoniem: Door Anoniem: Dit is wederom weer een frappant bewijs van de onkunde in de ICT wereld. Men geeft iedereen maar toegang tot productie systemen zonder enige controle op de toegang. Zonder enige bewaking op wijzigingen zonder goedgekeurde changes. Als het bij die bank zo slecht is georganiseerd vraag ik me serieus af hoe veilig je geld daar is...
Waarom zijn er hier zoveel scholieren die doen alsof ze alles beter weten ?
Waarom denk jij dat er geen controle op toegang was ? Wie zegt dat de dader geen netwerk admin was die, tot het moment van z'n actie, alle noodzakelijke toegangsrechten gewoon _had_ ?
Wat voor systeem stel jij voor waarbij een trusted insider die een kamikaze actie wil doen dat technisch _niet kan doen_ ?
Je kunt tig-factor authenticatie hebben, je kunt uitgevoerde wijzigingen loggen, inclusief het account dat ze uitgevoerd heeft, je kunt een enorm change approval proces hebben, maar als een insider met alle authenticatie credentials het gewoon _doet_ heb je wel een storing. En inderdaad is het een ongeplande change zonder approval. Maar het is wel gebeurd.
En dan kun je met al je logging goed herleiden naar wie het was - dat maakt het een kamikaze actie voor de dader. Maar dat er achteraf straf volgt is dus niet voor 100% van de mensen voldoende reden om af te zien van dit soort acties.
Wat veiligheid van je geld betreft, het is natuurlijk ook herhaaldelijk gebleken dat de beurstraders van banken absoluut niet _technisch_ beperkt zijn in bedragen of mogelijkheden , hooguit procedureel. Ook dat bleek wel eens spectulair mis te gaan, (met heel veel impact dan een tijdelijke storing) hoewel het motief in de bekende gevallen dan geen wraak op de baas was.
Ik
Door Anoniem: Door Anoniem: Dit is wederom weer een frappant bewijs van de onkunde in de ICT wereld. Men geeft iedereen maar toegang tot productie systemen zonder enige controle op de toegang. Zonder enige bewaking op wijzigingen zonder goedgekeurde changes. Als het bij die bank zo slecht is georganiseerd vraag ik me serieus af hoe veilig je geld daar is...
Waarom zijn er hier zoveel scholieren die doen alsof ze alles beter weten ?
Waarom denk jij dat er geen controle op toegang was ? Wie zegt dat de dader geen netwerk admin was die, tot het moment van z'n actie, alle noodzakelijke toegangsrechten gewoon _had_ ?
Wat voor systeem stel jij voor waarbij een trusted insider die een kamikaze actie wil doen dat technisch _niet kan doen_ ?
Je kunt tig-factor authenticatie hebben, je kunt uitgevoerde wijzigingen loggen, inclusief het account dat ze uitgevoerd heeft, je kunt een enorm change approval proces hebben, maar als een insider met alle authenticatie credentials het gewoon _doet_ heb je wel een storing. En inderdaad is het een ongeplande change zonder approval. Maar het is wel gebeurd.
En dan kun je met al je logging goed herleiden naar wie het was - dat maakt het een kamikaze actie voor de dader. Maar dat er achteraf straf volgt is dus niet voor 100% van de mensen voldoende reden om af te zien van dit soort acties.
Wat veiligheid van je geld betreft, het is natuurlijk ook herhaaldelijk gebleken dat de beurstraders van banken absoluut niet _technisch_ beperkt zijn in bedragen of mogelijkheden , hooguit procedureel. Ook dat bleek wel eens spectulair mis te gaan, (met heel veel impact dan een tijdelijke storing) hoewel het motief in de bekende gevallen dan geen wraak op de baas was.
Ik zeg: 4-ogen principe! (of vinden we dit te ouderwets...;-)