Als bewoner van de Haarlemmermeer ben ik hier niet heel blij mee. Samen met de andere bewoners mogen wij weer opdraaien voor de schade. Juist vanwege de toch wel redelijke bekendheid van het fenomeen "mail account hacking" zou je voorzichtig verwachten dat een gemeente niet accepteert dat een factuur met afwijkend rekeningnummer wordt geaccepteerd zonder enige vorm van verificatie. Ik zou graag het echte verhaal horen.

Inderdaad, dat is amateuristisch prutswerk. In ieder serieus bedrijf zijn er procedures rond wijziging van een rekeningnummer van een crediteur, die strict gevolgd moeten worden. Mededeling van een wijziging per e-mail wordt daarin zeker niet geaccepteerd zonder verdere verificatie.
Een gemeente is ook een bedrijf. Dat ze lekker makkelijk de door het personeel veroorzaakte problemen kunnen neerleggen bij de (weerloze) belastingbetaler dat ontslaat hen niet van de plicht om dit soort dingen goed te controleren.
Als het systeem niet waterdicht is, dan moet het waterdicht gemaakt worden! Zeker bij een gemeente, waar het probleem niet opgelost wordt door faillissement, maar door het bij anderen neer te leggen.

Stel je eens voor dat jij keer op keer een controle moet uitvoeren op iets dat 999 van de 1000 keer gewoon klopt. Na hoeveel controles waarbij alles precies klopt begint jou het gevoel te bekruipen dat het gewoon altijd klopt? Tenzij je een heel uitzonderlijk mens bent is dat veel minder dan 1000. En dat is wanneer mensen nonchalant worden, wanneer hun aandacht verslapt.

Om alert te blijven is het nodig dat regelmatig een misser wordt afgevangen, zo zitten mensen in elkaar. Bij dingen die vrijwel altijd goed gaan verliezen mensen hun alertheid. En als het dan toch een keer misgaat komt het onvermijdelijk over als iets dat behoorlijk stom is. Het is alleen niet stom, het is een volstrekt normale manier van reageren.

Wat stom is is de verwachting dat dat volstrekt normale menselijke gedrag met een mededeling aan de betrokken medewerkers uit te schakelen is. Mensen kunnen niet op bevel alert blijven, zo werkt alertheid niet. Wat je nodig hebt is een werkwijze, gesteund door automatisering, die maakt dat je voor die alertheid niet meer afhankelijk bent van de genoemde menselijke beperking.

Voor zover ik het heb meegemaakt is de typische kantoorautomatisering daar niet op ingericht, en is de typische leidinggevende zich schokkend slecht bewust van hoe mensen eigenlijk functioneren.

Ja maar dat is ook het moment (of daarvoor al) dat ze moeten worden ontslagen bij de crediteurenadministratie!
Dat is werk voor mensen die precies zijn en die zich niet laten afleiden door dergelijke afwegingen. Als dat soort mensen
er werkt kun je die afdeling net zo goed opdoeken.

Onzin, 99999 van de 100000 knal ik niet tegen een boom aan en toch doe ik een gordel om in de auto en een helm op op de motor.
Lakse mensen zonder verantwoordelijkheidsgevoel. Die niet. Tis gewoon mentaliteit niet menselijkheid.

Gezien de lakse reactie van deze gemeente op de phishingaanval denk ik dat die vaker slachtoffer van internetcriminaliteit gaat worden.

Tenzij alles gewoon correct verlopen is.

Kan zomaar zijn dat ze een mail ontvangen hadden, en daarover heen een telefoontje.
Of dat de procedures niet correct zijn voor dit soort aanpassingen.

De beste stuurlui staan immers altijd op Security.nl

Maar dat rekeningnummer staat ook registreerd aan een persoon toch?
Kunnen ze daarmee de dader niet pakken?

Waarom niet een meer basale controle op afzender... Pgp siging en s/mime bestaan al jaren... En dat legt de drempel al een stuk hoger.

Nou ik weet wel dat de mensen op de crediteurenadministratie bij ons precies weten wat ze moeten doen als er een
rekeningnummer moet worden veranderd bij een crediteur, en dat "een mail ontvangen, en daarover heen een telefoontje"
daar niet aan voldoet.
Je weet dat het werk op zo'n afdeling alleen maar bestaat uit controleren, controleren, controleren. Als je dat niet kunt
of gevoelig bent voor afleidingsmanouvres dan moet je daar gewoon niet gaan werken.
"ja sorry we zijn er in getrapt maar gelukkig kunnen we de rekening bij de burgers leggen" dat past daar niet in.