Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 40, views: 15.352 •

Een Belgische man is door een rechtbank veroordeeld tot twee jaar cel wegens het hacken van computersystemen van Delta Lloyd. Ook moet hij een schadevergoeding van 37.000 euro betalen met daarbovenop nog een boete van 1100 euro.

De 36-jarige verdachte was niet bij de zitting aanwezig, maar dient nu direct worden aangehouden, zo luidde de uitspraak van de rechtbank in Antwerpen waar de Belgische site HLN over bericht. De man werd schuldig bevonden aan het inbreken op computersystemen van Delta Lloyd en het installeren van keyloggers. Daarbij zou hij in augustus 2011 vertrouwelijke gegevens hebben proberen te stelen en zou hij tevens geprobeerd hebben om zijn sporen uit te wissen.

Alhoewel de hacker, die ten tijde van de inbraak als ict-dienstverlener werkzaam was bij Delta Lloyd, claimt geen kwaad in de zin te hebben gehad en alleen een beeld van het banknetwerk zou hebben willen krijgen, meent de rechter dat hier wel degelijk sprake van was. Naast een celstraf van twee jaar moet de man ook een schadevergoeding van 37.000 euro en een boete van 1100 euro betalen. Delta Lloyd had echter een schadevergoeding van ruim 300.000 euro geëist. Volgens de financiële dienstverlener zijn dit de kosten van imagoschade, herstel van de computersystemen en het verbeteren van de beveiliging.

Reacties (40)

Heel sterk dat "het verbeteren van de beveiliging" uit een schadevergoeding moet komen...
Ruim de helft van alle ICT beveiligingsincidenten komen voort door interne medewerkers, daar kan je je niet tegen beschermen, hooguit procedureel monitoring/detectie opties heb je, maar dat zal niet tegen elke medewerker afdoende zijn, zoals je Security Officer zelf... (wat vaak een manager is zonder diepe technische kennis...)
En daar benoem je direct de pijnpunten: Security officers die geen kennis hebben van wat ze managen (van de 4 grote banken waar ik heb gewerkt waren er 3 incapabele security officers). Bedrijven die geen goeie policy hebben qua rechten en controle (ook intern kan je je rechten definieeren en toegang ontzeggen of op zijn minst loggen).

Mijn ervaring bij dergelijke partijen is dat er geen monitoring is intern, er is geen kennis en uberhaubt niet de behoefte om te investeren in security.

Een hacker laten opdraaien voor interne beveiliging die faalde, dacht het niet. En gelukkig denkt de rechter daar net zo over.

[Reactie gewijzigd door DreamCatchers op 4 april 2012 20:22]

Ik kan dit onderschrijven en de afweging bij banken lijkt te zijn: als we flink gaan investeren dan zullen mensen wel denken dat het niet in orde is (reputatieschade) en als we niets doen worden we van binnenuit bestolen, maar dat is goedkoper dan investeren (met kans op reputatieschade als bekend wordt dat er intern geld verdwijnt).
Even een nuance, bij banken lopen vele CISSP'ers rond.

Business risk manager/directeur gaat niet alleen over ICT maar ook over de risico's van hun diensten.

Handhaven en toezicht houden op policy is hun taak, dat ze daarbij afhankelijk zijn van de techneuten (engineers en beheerders) is evident.

Maar als daar een rotte appel tussen zit doe je er niets aan.

Verder kan ook de beste techneut geen complex infrastructuur overzien indien daar andere MENSEN aan kunnen zitten. Dus in theorie kan het wel kloppen maar de rest risico blijft altijd.

Een voorbeeld is certificaat installeren op een FIPS-140 device in de financiŽle/assurantie sector, ik zou dat persoonlijk dat door manager/directeur laten doen. Echter hebben mijn handen dat anders ervaren.

Men ziet dat soort dingen als onderdeel van engineering en niet als het hang en sluitwerk waar je de sleutel niet enige tijd in handen van derden achterlaten. (laat staan van externen)

Gezien de sommige reacties hier zijn de normen en waarden erg gedaald en is ethisch handelen kennelijk iets wat alleen vroeger normaal was.

Als je niet loyaal kunt zijn aan je broodheer, aan wie ben je dat dan wel? Want je verloochend jezelf door een jezelf een prijs toe te kennen.
Met deze redenering kan je elke beveiliging wel financieren lijkt me }:O
Imagoschade... oh kom op zeg... De rest snap ik, maar imagoschade? Iedereen is verantwoordelijk voor z'n eigen fouten.
Als jij je niet bewust bent van een fout, en in feite dus ook niet wilt dat iemand in je systeem komt...waarom mag dan iemand zomaar misbruik van iets maken?
Naar mijn mening hebben hun zeker wel imagoschade, dat stukje "vertrouwen" kan bij sommige wel weg zijn namelijk.
Juist het stukje "verbeteren van de beveiliging" is iets waar je je twijfels over mag trekken. Zoiets staat helemaal los van alles. Dat je een kwetsbaarheid dicht, en je systemen moeten herstellen.. dat is logisch. Een extra buffer er bij zetten als investering hoort hier totaal niet bij..
Het enige product van een bank is zijn reputatie de rest is vervangbaar. Als bekend wordt dat bij een bank je geld niet veilig is en mensen het geld opnemen heb je een bankrun.
De enige reden dat jij bij de bank zit waar je nu zit is historie en reputatie, de productdifferentatie is minimaal (iedere bank heeft ATMs, internet bankieren etc. etc.)
Volgens het artikel in de standaard datanews werkte de persoon niet rechtstreeks voor de bank, maar voor een ict dienstverlener die de bank als klant had.
De imago schade slaat dus op de dienstverlener en is wel degelijk reŽel.

[Reactie gewijzigd door fdh op 4 april 2012 21:00]

Delta Lloyd, niets is zeker :+

Ontopic: Goed dat de hacker wordt berecht, maar leren de grote instanties hier niets van? Waarom huren ze geen mensen in die de systemen controleren op veiligheid? Keyloggers zijn volgens mij gewoon te detecteren.

Imagoschade vind ik ook nergens op slaan. Ze hebben het immers aan zichzelf te danken.

[Reactie gewijzigd door JoZ1 op 4 april 2012 19:09]

Dat wordt wel elke keer geroepen..

Maar het zit al in de wortels.
Ontwikkeling -> Testen -> implementatie.

Als dit door 3 verschillende afdelingen gebeurt (die uiteraard kritisch kijken naar het systeem) dan haal je er imo meer uit dan dat 1 persoon dit doet.
Daarnaast heb je dan een 4-ogen principe. Vergeet niet dat 80% van de fraude e.d. intern gebeurt!

BIj een systeem als deze, welke dus al geÔmplementeerd is, is het inderdaad verstandig om IT-audits te ondergaan. Wat me wel lijkt te gebeuren in een dergelijke organisatie?

Dit om de grote gaten bovenwater te halen.

Deze meneer was wederom intern werkzaam. Daarom zijn er ook goede interne procedures nodig om de systemen dicht te houden.

Dan kom je op het kosten/baten principe. Er staat niet in het artikel of het de man gelukt is. Maar als het dus met de interne beheersing is opgevangen en de man niet tot zijn daad heeft kunnen komen (er staat immers: proberen te stelen). Dan slaat je opmerking alweer nergens op :).
Je vergeet acceptatie.

Tenzij je het over ING hebt, die doen geen acceptatie testen, laat staan loadtesten ;-)
Tenzij je het over ING hebt, die doen geen acceptatie testen, laat staan loadtesten ;-)
Dat is niet mijn ervaring met ze.
De bank had hier wel degelijk zelf gedetecteerd dat er iets niet pluis was. Daarna is men samen , Bank - ICT verlener en de politie gaan traceren in de logs wat er gebeurd was.

En iemand, met lokale admin en domain admin rechten en de firewalls beheert , verhinderen dat hij/zij een keylogger installeert , kan niemand / geen enkele tool.
Volgens de financiŽle dienstverlener zijn dit de kosten van imagoschade, herstel van de computersystemen en het verbeteren van de beveiliging.
Ik snap nou nooit waarom een "hacker" verantwoordelijk zou zijn voor deze kosten. Zo zou het wel erg makkelijk zijn voor bedrijven. Die zorgen gewoon voor een slechte beveiliging voor een niet belangrijk systeem en denken, we wachten wel op de eerste de beste hacker en die betaald dan wel voor een beter systeem als hij gepakt wordt.

EDIT: wat Keejoz zegt dus :)

[Reactie gewijzigd door Jeroen797 op 4 april 2012 19:09]

Ik vind 2 jaar wel weinig voor iemand die als werknemer zoiets flikt.

Mensen die een vertrouwensband hebben en derhalve toegang hebben tot ICT systemen behoren echte straffen te krijgen als ze dat vertrouwen (ter kwader trouw) beschamen.

Als ze er tien tot twintig jaar voor geven zal het als voorbeeld dienen voor mensen die om wat voor reden dan ook hun broodheer willen benadelen of die gedachten hebben.

Verder vind ik de term "hacker" is deze context totaal misplaatst het is gewoon een corrupte crimineel.

Ook de boete is belachelijk, een database met b.v. ziektekosten verzekering declaraties van 1 miljoen mensen kun je makkelijk exploiteren voor 100 euro tot wel 1000 euro per persoon.
Er is altijd wel iemand die om wat voor reden dan ook die informatie wil kopen.

[Reactie gewijzigd door totaalgeenhard op 4 april 2012 19:09]

Het blijft me altijd verbazen hoe mensen alles precies denken te weten zonder dat ze ook maar iets weten. Je denkt aan de hand van een klein artikeltje iemand een crimineel te kunnen noemen en hem dan ook nog eens twintig jaar cel geven?

Ik zeg niet dat hij het niet is, ik wil alleen aangeven dat jou conclusie helemaal nergens op slaat en totaal niet onderbouwt is omdat je geen achtergrond kennis hebt (iets dat de rechter wel heeft).
Generaliseren noem je dat "Dit soort mensen ondermijnen de samenleving".

Als je mijn bericht beter had gelezen had je gemerkt dat ik doelde op het feit dat je geen idee hebt wie dat is, niet of wat hij gedaan heeft goed of fout is. Je kent zijn situatie niet en je hoort hem niet te beoordelen als je dat allemaal niet weet.

En voor zo ver ik weet ben je onschuldig tot het tegendeel bewezen is. Dit betekent dat hij inderdaad een crimineel is omdat hij veroordeeld is, hier moet ik je gelijk in geven. Maar twintig jaar en zeggen dat hij een bepaald type persoon is slaat nergens op.
Het gaat erom dat dat in dit geval niet aan de orde is. Als het installeren van een keylogger en het wissen van sporen het enige is wat deze man op zijn kerfstok heeft, vind ik 2 jaar al best stevig te noemen.

Normaliter vind ik er zo'n situatie niet eens een strafzaak plaats, maar wordt de betreffende werknemer gewoon ontslagen en daarmee is de kous af. Er is blijkbaar veel rancune vanuit de werkgever... in mijn ogen is dat -juist- hetgeen de imagoschade toebrengt.
Twee jaar is zeer stevig als je ook in ogenschouw neemt dat deze man nu dus ook een strafblad heeft. In zijn vakgebied zal hij niet snel meer aan het werk komen, althans, ik zou hem niet aannemen in een baan op IT gebied.

Daarnaast heb ik een vermoeden dat hij behoorlijk jong is. Boven de 21, anders hadden ze hem geen man genoemd. Maar dat hij "alleen een beeld van het banknetwerk" wilde krijgen en sporen probeerde te wissen klinkt bij mij als (over de grens) nieuwsgierig kwajongens werk, zonder in te zien wat de gevolgen kunnen zijn.
Quote: "36-jarige verdachte", zo jong dus ook niet meer. Lijkt mij geen onschuldige kwajongensstreek. Bij een 36-jarige mag wel wat verantwoordelijkheidsgevoel verondersteld worden.
Kennelijk is het vandaag de dag dat je op de infrastructuur van je broodheer zaken uithaalt die het daglicht niet kunnen weerstaan.

Toen ik 16 was zat ik eens in een kluis van een grote warenhuis keten, weekend opbrengst te sorteren en te tellen een paar miljoen, geen enkele seconde dacht ik om een zak te vullen met dat papier. Sterker nog ik irriteren me er aan omdat ik telkens paper-cuts in me vingers op liep van het tellen.

Als je ergens voor betaald wordt dien je je taak naar eer en geweten uit te voeren.

Overigens wordt witte-boorden criminaliteit veels te laag gestraft terwijl de risico's voor samenleving vele malen groter zijn.

Iemand die een oma overvalt en die mevrouw valt en sterft krijgt hier 3 tot 8 jaar (dood door schuld of doodslag indien hij duwde).

Iemand die hier een bank besteelt digitaal (intern of extern) van een paar miljoen krijgt maar een paar jaar.

Dat zal ook gelden voor iemand die een pensioenfonds laat klappen door te kwader trouw risico's te nemen om andere verliezen te compenseren. (wat weleens gebeurd is in het buitenland).

Als mensen uit zichzelf niet over ethische waarden beschikken misschien helpt het dan wel als ze weten dat ze lange tijd vast komen te zitten, dan kunnen ze hun winsten ook niet nuttigen. (ABN AMRO zoekt nog steeds naar het geld die een medewerker heel lang geleden had gestolen dankzij login gegevens van zijn collega.)
blijkbaar 36

iets te oud om enkel over kwajongens werk te spreken, zeker als dan blijkt dat hij een pc van een collega gebruikte en dit tijdens de nacht deed

http://datanews.knack.be/...article-4000076754134.htm
en dan mensen die kleine kinderen misbruiken minder zwaar straffen.

waar gaat het heen met de wereld/nederland...
Redelijk ongefundeerde vergelijking en mijns inziens OffTopic. Waarom een vergelijk met kindermisbruik, wat in heel veel gradaties kan bestaan? (Let wel, ik heb zelf kinderen, en in elke vorm vind ik misbruik walgelijk).
Ik ben het wel eens met eerdere posters dat DL de imagoschade en de onveiligheid aan zichzelf te danken had, dus dat kosten van imagoschade en het verbeteren van de veiligheid dus gewoon hun eigen kosten zijn.

Aan de andere kant: het is wel een werknemer die zijn werkgever in diskrediet brengt. Dat is op zich wel een ernstige zaak.

Verder moet ik wel zeggen dat ik niks van de zaak weet, want als bedrijf zou ik blij zijn als een white-hat-hacker/werknemer problemen intern aan de kaak stelt. Dat er ergens iemand op zijn teentjes getrapt is OK, maar aanklagen doet wel vermoeden dat hij niet helemaal white-hat was? EDIT: Oh ja, er staat in het bericht al iets over keyloggers en stelen van informatie.

[Reactie gewijzigd door Martao op 4 april 2012 19:10]

Ondanks dat ik vind dat deze persoon inderdaad gestraft moet worden kan ik hieruit niet opmaken waarom zo'n hoge straf als 2 jaar cel voor hem terecht is? Wat heeft hij precies gedaan waarvoor hij 2 jaar van zijn leven kan gaan brommen? Is hij daadwerkelijk overgegaan tot zeer kwalijke zaken of gaat het hier slechts om voorbereidende werkzaamheden voor iets potentieels? Wat zijn de bewijzen?

Zoals anderen al zeggen vind ik ook de schadevergoeding die deltalloyd eist niet gepast en al zeker niet om de reden die ze hebben opgegeven.
Waarschijnlijk speelt ook mee dat hij keyloggers installeerde, dan is het niet meer zomaar 'eens kijken hoe de beveiliging hier in elkaar steekt', dat is echt proberen in te breken en te stelen.
Gewoon afschrikken voor anderen..
De titel van het artikel doet de veroordeelde eigenlijk al teveel eer aan, je bent niet echt een hacker als je toegang had tot de systemen... er is misbruik gemaakt van het vertrouwen wat hem is gegeven.

Overigens wel vreemd dat een 'schadevergoeding' gebruikt kan worden voor het 'verbeteren' van de systemen, wat is dan de werkelijk veroorzaakte schade als er blijkbaar geld in had moeten zitten voor verbeteringen? Die beveiliging had toch al op orde moeten zijn...? Dat is toch een stukje imago-schade wat ze zichzelf nu aanpraten lijkt mij.
300,000 voor imagoschade en Computer herstel?

Computer herstel? Je mag er toch vanuit gaan dat ze een degelijke image hebben?
Weet je wat het kost om op het knopje te drukken om dat image terug te zetten? Precies een paar duizend euro op zijn minst en dan alle handelingen eromheen (helpdesk, leidinggevende die akkoord met geven, security afdeling die zijn plasje erover moet doen etc. etc.). Dit soort zaken loopt snel in de papieren bij dit soort clubs ;-)
En al de tijd dat je kwijt bent met het aanbrengen en samenwerken met de politie ...
eindelijk gaan ze deze mensen ook aanpakken.

iedereen moet gewoon met z'n tengels van andermans spullen afblijven [punt]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013