Directeur van Equifax legt functie neer na omvangrijke hack

De directeur van de Amerikaanse kredietbeoordelaar Equifax, Richard Smith, heeft zijn functie neergelegd vanwege de hack bij het bedrijf, die data van miljoenen mensen betrof. Volgens de topman is het in het belang van het bedrijf dat een nieuwe leiding de koers gaat bepalen.

Smith legt per direct zijn functie neer. Hij was twaalf jaar topman bij het bedrijf. Zijn functie wordt tijdelijk waargenomen door de voormalig voorzitter van de Aziatische tak van het bedrijf, terwijl een lid van het bestuur als non-executive voorzitter gaat dienen in de periode dat gezocht wordt naar een nieuwe ceo.

Smith is niet de eerste topman die het veld moest ruimen vanwege de hack. Eerder vertrokken de chief security officer en de chief information officer. Bij de hack kregen onbevoegden toegang tot de gegevens van 143 miljoen mensen, voornamelijk Amerikanen. Van enkele honderdduizenden konden de creditcardgegevens ingezien worden. De criminelen kwamen binnen via een al maanden bekend lek in Apache Struts.

IT-banen

Reacties (34)

geenidee 26 september 2017 16:23

De verantwoordelijke binnen het bedrijf voor grove nalatigheid zullen vast wel zwaar strafrechtelijk gestraft worden....ja toch?.....iemand?

mashell @geenidee • 26 september 2017 18:46

Is nalatig zijn met onderhoud van servers iets wat onder het strafrecht valt? Volgens mij niet. Dus zullen de verantwoordelijken niet strafrechterlijk vervolgd worden.

bilgy_no1

@mashell • 26 september 2017 20:57

Wat mogelijk wel strafrechtelijk vervolgd kan worden is het feit dat het management van Equifax voor het bekendmaken van de hacks nog even snel aandelen verkocht. Dat is namelijk handel met voorkennis.

freaq @bilgy_no1 • 26 september 2017 23:24

grap is dat de leiding in grote bedrijven vaak van te voren moet vastleggen wanneer ze aandelen gaan verkopen, regelmatig jaren van te voren, dus de kans dat daar iets vies is gebeurt is vrij klein. en als het wel het geval is is het erg duidelijk.

bilgy_no1

@freaq • 27 september 2017 11:01

Nee volgens mij werkt het anders. Bij een beursgang of ander belangrijk event geldt meestal een lock up periode waarbinnen het management geen aandelen mag verhandelen. Daarna moeten ze (in het geval van beursgenoteerde bedrijven) transacties melden.

Maar ook al hadden ze zo'n vastgelegde meerjarige afspraak, dan hadden ze de hacks moeten disclosen alvorens de transacties door te laten gaan. Het doet dus niet af aan een aanklacht wegens handel met voorkennis.

synoniem @geenidee • 26 september 2017 16:34

Ik weet niet hoe dat in het Amerikaanse strafrecht werkt maar hier zou de systeembeheerder dan aangesproken kunnen worden. Tenzij deze kan aantonen dat hij door bedrijfspolitieke redenen niet tijdig de updates kon aanbrengen. Bottomline is dat het bedrijf kennelijk niet heel veel aandacht besteedt heeft aan het beheer en veiligheid van hun aan het internet gekoppelde systemen. Dus wat mij betreft is het vertrek van deze leidinggevenden helemaal terecht.

Verwijderd @synoniem • 26 september 2017 17:04

In dit geval lijkt het er inderdaad op dat de IT veiligheid niet geheel op orde is maar we moeten enorm uitkijken met het willen straffen van managers or beheerders. ELK bedrijf kan gehacked worden, zeker als een vijandige overheid daar moeite voor wil doen. Dan kan je veiligheid nog zo goed zijn maar dan zullen tweakers toch weer om bloed vragen.

Daarnaast kan elk persoon gewoon fouten maken en ons strafrecht bied weinig mogelijkheid om fouten te bestraffen. Als een van mijn medewerkers de deur van het bedrijf open laat staan op vrijdag avond en gedurende het weekend verdwijnen er dossiers (ja die hebben we ook nog wel) is strafrechtelijke vervolging ook niet gebruikelijk. IT veiligheid door strafrecht afdwingen heeft nog nooit gewerkt. Daarnaast is het bedrijf dat gehacked word natuurlijk het slachtoffer en die straffen we meestal niet.

Nogmaals, verantwoording afleggen als persoonsgegevens gestolen zijn is een ding maar 'zwaar strafrechtelijk gestraft worden' is een tweede. Je moet om te beginnen wetgeving hebben die dat mogelijk maakt. Daarnaast moet je dan aantonen dat de persoon in zeker mate bewust was van de gevaren en dat de betroffen mensen inderdaad schade opgelopen hebben. Allemaal geen kattenpis maar wel hoe ons (en het Amerikaanse) strafrecht werkt. Gelukkig maar.

lazershark @Verwijderd • 26 september 2017 17:20

Daarnaast is het bedrijf dat gehacked word natuurlijk het slachtoffer en die straffen we meestal niet.

....Daarnaast moet je dan aantonen dat de persoon in zeker mate bewust was van de gevaren en dat de betroffen mensen inderdaad schade opgelopen hebben.

Euhm, neen miljoenen burgers zijn het slachtoffer, van het lekken van hun persoonlijke gegevens, waar ze nota bene nooit akkoord mee gegaan zijn dat deze bedrijven ze ooit zouden verzamelen (neen, ook niet in de kleine lettertjes). Miljoenen mensen zijn nu vatbaar voor identiteitsdiefstal, want Sociale Zekerheidsnummers, in combinatie met adresgegevens, telefoonnummers, e.d. zijn buitgemaakt. Met dergelijke info kan je in iemands naam een kredietkaart aanvragen, bankrekening openen/sluiten enz. ZEER ERNSTIG!! Zo kan je iemand totaal in het faillissement krijgen.

En ja, het bedrijf was al sinds eind juli op de hoogte, en heeft pas eind augustus wereldkundig gemaakt dat ze gehackt zijn. In tussentijd heeft de bedrijfstop al hun eigen aandelen verkocht. Handel met voorkennis heet dat, en dat IS strafbaar!

Vervolgens heeft de bedrijfstop nalatig gereageerd bij het ontdekken van de hack, door pas meer dan een maand nadien mensen op de hoogte te brengen, en niet uit voorzorg alles te bevriezen. Nalatigheid is ook WEL strafbaar!

Daarnaast hebben deze bedrijven nog het lef om een "fee" aan te rekenen van $3 tot $10 (afhankelijk van de staat waarin je woont) om je kredietfile te "bevriezen" en om je dus te beveiligen tegen het misbruik van je persoonsgegevens. Telkens je een nieuwe kaart wil aanvragen of krediet wil aanvragen voor het kopen van een auto moet je dit dan tijdelijk "ontdooien", wat ook weer een fee kost. Dus deze bedrijven hebben eerst verdiend aan het, ongevraagd, verzamelen van je persoonlijke gegevens, en nu gaan ze ook nog geld verdienen op het bevriezen en ontvriezen. Te gek voor woorden.

Uiteraard lagen al deze geautomatiseerde systemen voor 'credit freezes' plat de eerste dagen/weken na het bekend worden van de hack, waardoor je je gegevens zelfs niet KON bevriezen.

Tot slot bood Equifax "gratis" een soort van "beveiliging" met 'kredietmonitoring' aan na de hack. In de kleine lettertjes hiervan stond dan dat je, door hiermee akkoord te gaan, het recht opzegt om ze met een class-action-lawsuit voor de rechter te dagen. Insult to injury!

Kortom daag ze voor de rechter:
- Handel met voorkennis
- Nalatigheid bij het bekend maken
- Nalatigheid bij het beveiligen van klanten NA de feiten

Bron: Ik woon in de VS, en heb me de laatste weken mogen bezighouden met de leuke taak van het bevriezen van mijn gegevens bij alle 4 (!) kredietbureaus, die me telkens een leuk bedragje hebben mogen aanrekenen ook nog! Afgrijselijk!

[Reactie gewijzigd door lazershark op 22 juli 2024 15:49]

w0nnapl4y @lazershark • 26 september 2017 22:40

Ik betwist je verhaal niet hoor, maar heb je bewijs of een bron voor dit stukje? 'In tussentijd heeft de bedrijfstop al hun eigen aandelen verkocht'
Dat is namelijk - mits het te bewijzen is - inderdaad behoorlijk ernstig.

JackBol @w0nnapl4y • 27 september 2017 08:06

Bedrijven zijn verplicht dit te melden bij de SEC. Check hun volgende 10K filing.

lazershark @w0nnapl4y • 27 september 2017 17:31

Ja hoor, is hier uitgebreid in het nieuws geweest:

https://www.bloomberg.com...fore-revealing-cyber-hack

w0nnapl4y @lazershark • 28 september 2017 16:41

Thanks, dit gedeelte had ik gemist.

deorder @lazershark • 27 september 2017 14:47

Als Equifax een beetje als Experian is dan hebben ze ook nog andere gegevens (sommige alleen toegankelijk via "speciale" dienst) zoals: evt. strafblad, medische gegevens, foto's van voordeur (soms zelfs als je daar alleen kan komen via een extra deur met sleutel), waarde van huis, overige info zoals belgedrag (want krijgen ook gegegens van tel. providers), koopgedrag etc.

Meer hierover op:

https://www.reddit.com/r/...ts/6m2cc6/comment/djz14h3

Het is ernstig. Heb al vaker poging gedaan mensen hierop te wijzen. Alleen klinkt het zo sterk in hun oren dat men je nog net niet uitlacht.

[Reactie gewijzigd door deorder op 22 juli 2024 15:49]

lazershark @deorder • 27 september 2017 17:36

Ja Equifax is net hetzelfde soort bedrijf als Xperian en TransUnion. Dat zijn de "grote drie" creditbureaus blijkbaar.

Crimineel is het, dat dergelijke gegevens ongevraagd verzameld worden. Hopelijk wordt er na deze inbreuk iets aan gedaan, en worden deze bedrijven ingeperkt.

Dit wetsvoorstel (leuke naam: Freedom from Equifax Exploitation Act) is een eerste stap: http://money.cnn.com/2017...schatz-equifax/index.html

warzaw @Verwijderd • 26 september 2017 20:38

Ik zou denken dat het dan minimaal moet gaan om buitensporige nalatigheid of opzet voordat vervolging kan plaatsvinden. Daarnaast is het inderdaad niet gebruikelijk de uitvoerende partij of beheerder aansprakelijk te stellen. Er worden namelijk net zo goed keuzes gemaakt op manager- en/of directieniveau die een nalatige uitvoering tot gevolg kunnen hebben. Als je dan alles in het werk stelt om de verantwoordelijken in te lichten en er gebeurt niets mee dan is dat niet perse de fout van de operationeel verantwoordelijke.

Deadsy @geenidee • 26 september 2017 16:36

Ben je gek, buiten de VS misschien.
Het is al bekend dat de site die ze gemaakt hebben zodat mensen kunnen zien of ze slachtoffer zijn niet werkt, je krijgt een willekeurig resultaat.

Tevens is bekend dat de top 2 miljoen aandelen heeft verkocht na de hack maar nog voor dat ze het bekend gemaakt hebben.

En het ziet er naar uit dat zewaarschijnlijk alleen voor dat laatste vervolgd worden.

arnovos 26 september 2017 16:45

Uit een artikel hierover op CNN Money blijkt dat Smith niet helemaal vertrekt:

Smith, who had also served as chairman, isn't leaving the company completely. Equifax said he agreed to serve as an "unpaid adviser" to assist in the CEO transition.

Alsof iemand hem ook nog zou willen betalen...

[Reactie gewijzigd door arnovos op 22 juli 2024 15:49]

Dubbeldrank

@arnovos • 26 september 2017 17:11

Die laatste zin was echt niet nodig. Je begrijpt toch ook wel dat zo'n CEO vanwege bedrijfspolitiek het veld ruimt. Je gaat mij niet vertellen dat die man op de hoogte was van het feit dat Apache Struts niet geupdate was. Zo'n man zou misschien vragen of de security op orde is en daar een positief antwoord op krijgen, de echte verantwoordelijken zitten lager in de hiërachie, de mensen die er op moeten toezien dat de security daadwerkelijk in orde is.

Saint2Saint @Dubbeldrank • 26 september 2017 17:29

Het gaat niet alleen om de hack, maar ook om hoe dit verder afgehandeld is.

Enkele voorbeelden:

De hack is pas na een week bekend gemaakt.
Er was een do not sue policy als je wilde controleren of je ook gecompromiteerd was
Hoge bestuurders hebben vlak voor bekend maken van de hack aandelen verkocht.

Een uitgebreid overzicht van het nieuws omtrent de hack kan je hier vinden

Dubbeldrank

@Saint2Saint • 26 september 2017 17:39

Bedankt voor de informatie, dit was niet allemaal bij mij bekend. Die combinatie maakt het allemaal wat makkelijker te verklaren. Het eerste was mij duidelijk.

ariekanari @Saint2Saint • 26 september 2017 17:57

Vergeet de ongekwalificeerde Chief Security Officer niet.

http://www.zerohedge.com/...y-officer-was-music-major

mmjjb @ariekanari • 27 september 2017 13:15

Ja volledig gebaseerd op Linkedin profiel, of te wel weer sensatie makerij.

Voordat ze bij equifax ging werken heeft ze bij een aantal grote andere bedrijven gewerkt, First Data bijvoorbeeld. De website doet alsof je een security achtergrond moet hebben om dat als werk te doen, helemaal niet. Als jij een goede training / cursus volgt en je certificering krijgt, dan maakt het niet uit of je vroeger een studie naar muziek hebt gedaan of niet.

Ik geloof er niks van dat ze ongekwalificeerd was, is weer puur een speculatie verhaal

arnovos @Dubbeldrank • 26 september 2017 17:24

De meer relevante vraag is wat deze man deed toen het lek aan het licht kwam, toen werd het namelijk heel stil binnen Equifax.

Je maakt mij niet wijs dat het probleem met het datalek niet tot de boardroom is doorgedrongen. Al is het maar omdat de CSO en CIO direct aan Smith rapporteerden. Bovendien heeft deze man zich laten verleiden om zowel CEO als Chairman te zijn, een uitvloeisel van een single tier board. Met een aparte Raad van Toezicht (double tier) is de kans kleiner op brokken.

En zelfs als de man er niks aan kon doen, geef me 1 reden om hem na ontslag/pensioen door te betalen voor een adviesrol. Het is niet alsof we niet weten wat er fout ging.

Dubbeldrank

@arnovos • 26 september 2017 17:35

Met de eerste twee alinea's ben ik het volledig eens. Natuurlijk is het datalek tot in de boardroom doorgedrongen, vandaar dat ook deze man het veld ruimt. Dat valt ook binnen de bedrijfspolitiek waar ik op doel.

Maar ik ben nog steeds van mening dat de CEO niet op de hoogte was van het feit dat de security niet in orde was, dat kan hij zich letterlijk niet veroorloven zoals je ziet. Juist hij kan prima in een adviesrol zitten, hij weet wat er van iemand verwacht moet worden en heeft hopelijk nu van een fout geleerd die hij een nieuwe CEO mee kan geven. Ik vond het wat onderbuik qua reactie.

arnovos @Dubbeldrank • 26 september 2017 20:03

Jammer dat je geen reden geeft waarom de advisering aan de nieuwe CEO tegen betaling zou moeten.

Overigens denk ik dat bedrijven zeker iets hebben aan mensen die leren van hun fouten. Of meneer Smith in die categorie valt is vers 2, aangezien hem is gevraagd om op te stappen en niet zelf zijn conclusies heeft getrokken.

Deadsy @Dubbeldrank • 26 september 2017 20:24

Is de CEO niet mede verantwoordelijk voor het aannemen van mensen in management functies?
Dat hij nu een advies rol krijgt is misschien hun vorm van een gouden handdruk of hij heeft dit geëist om minder gezichtsverlies op te lopen.

T0mBa @Dubbeldrank • 26 september 2017 17:25

Je kan hem moeilijk van alle verantwoordelijkheid vrijpleiten zonder een diepgaand onderzoek. De uitvoering van die taak lag misschien wel bij iemand veel lager, maar degenen die het budget bepaalde zat waarschijnlijk een pak hoger. Als het bedrijf niet wilde investeren in een goede patch policy (want dat komt nu eenmaal niet uit de lucht gevallen) omdat dat geld koste, ligt de fout echt wel bij het management. Vaak hebben managers geen kaas gegeten van IT en als je dan als beheerder vraagt achter budget voor zoiets is het vaak van 'maar het werkt nu toch ook?'

TerraGuy 26 september 2017 17:17

@HvB83 Ze schijnt op haar (inmiddels verwijderde) LinkedIn-profiel geen relevante opleidingen of werkervaring te hebben staan, dat pleit tegen haar. Tegelijk heb ik een vriend die basgitaar gestudeerd heeft en nu een belangrijke IT-functie heeft op het gebied van onderhoud en beveiliging, en dat ook goed kan. Hij was enorm toegewijd op het conservatorium (dat zijn de meesten, je komt er niet zomaar op) en nu enorm toegewijd aan zijn huidige functie. Het zit m vooral in de toewijding waar een bedrijf veel aan heeft, dat is heel waardevol. Als je dan van vakgebied switched neem je die toewijding vaak mee.

Maar goed, het kan beide kanten op gaan, of de waarheid ligt zoals zo vaak ergens in het midden

[Reactie gewijzigd door TerraGuy op 22 juli 2024 15:49]

SuddenTwitch 26 september 2017 18:20

Ik snap dat nooit, waarom weg gaan als je de rommel beter kan opruimen? en denk niet dat ie zelf de updates bijhield dus waarschijnlijk zou eerder iemand anders ontslag moeten krijgen als mensen dan toch koppen willen zien rollen.

cariolive23 @SuddenTwitch • 26 september 2017 19:53

Rommel maken en puinruimen zijn twee verschillende kwaliteiten. Als CEO ben je eindverantwoordelijk en in dit geval voor de gemaakte rommel. Hij is ook verantwoordelijk voor de cultuur waarin dit heeft kunnen gebeuren. Politiek is het zeker niet handig om te blijven zitten, dat kan het bedrijf alleen maar meer schaden. En uiteindelijk gaat het om het voortbestaan van het bedrijf en niet om de mensen die er tijdelijk (want dat is het) werken.

synoniem @mrtl • 26 september 2017 16:38

En ze heeft natuurlijk niets bijgeleerd voordat ze cso werd? Iemands opleiding zegt hooguit iets over het niveau waarop hij/zij kan functioneren niet over wat hij/zij na die opleiding geleerd heeft.

HvB83 @synoniem • 26 september 2017 16:47

Maar het zegt wel iets over je interesses en je sterke kanten. Een architect zal ook eerder een kunstzinnig type zijn die mooie dingen wil maken en eindeloos blijft ontwerpen en perfectioneren, meer dan dat hij op hoofdlijnen kan sturen en ontwerp ondergeschikt kan maken aan de functie van het gebouw en wat een gebruiker er uiteindelijk mee kan.

Uitzonderingen op die regel zijn er altijd, maar iemand met een kunst & cultuuropleiding als CSO aanstellen klinkt op het eerste gezicht niet als heel voor de hand liggend.

g0tanks Moderator CSA @mrtl • 26 september 2017 17:04

Waarschijnlijk komt het veel vaker voor dat (in het bedrijfsleven) iemands opleiding niet aansluit op zijn/haar baan dan je denkt. In bijvoorbeeld de consultancy komt het vaak genoeg voor en zolang je wel over de analytische vaardigheden beschikt hoeft dat geen probleem zijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (34)

Sorteer op:

Weergave: