'Beveiligingsonderzoeker waarschuwde Equifax al eind vorig jaar voor lekken'

Een beveiligingsonderzoeker zou Equifax al eind vorig jaar op de hoogte hebben gesteld van kwetsbaarheden in de infrastructuur. Via een website zouden gegevens van miljoenen Amerikanen simpelweg opgezocht kunnen worden.

Een anonieme beveiligingsonderzoeker vertelt Motherboard dat hij eind vorig jaar de servers en sites van Equifax onder de loep nam en niet kon geloven wat hij aantrof. Via een website kreeg hij toegang tot de persoonlijke gegevens van elke Amerikaan, waaronder socialsecuritynummer, namen, geboortedatum, adres en woonplaats.

Het ging om een site die eruit zag alsof deze voor werknemers bedoeld was, maar die via forced browsing toegang kon geven tot de gegevens in de databases voor in potentie iedere internetter. De onderzoeker wist zo in korte tijd honderdduizenden gegevens te downloaden. Hij gaf Motherboard inzage in een deel ervan om zijn claims te staven. Hij trof tal van andere problemen met de servers van het bedrijf aan, van sql-injectiekwetsbaarheden tot het gebruik van verouderde software.

Toen hij Equifax in december 2016 met zijn bevinding confronteerde, deed het bedrijf echter niets. Dat gebeurde pas in juni toen bekend werd dat het bedrijf slachtoffer was geworden van een omvangrijke hack. Motherboard sprak medewerkers en voormalige personeelsleden die een beeld schetsen van een bedrijf waar beveiliging niet als de prioriteit gezien werd zoals zou moeten. Zo zouden beveiligingsaudits niet serieus genomen worden, kwetsbaarheden geen patch krijgen, tweetrapsauthenticatie niet toegepast zijn en zouden er onvoldoende logs bijgehouden worden.

IT-banen

Reacties (60)

Houtenklaas 26 oktober 2017 20:42

Tja, beveiliging kost geld en levert geen geld op aldus veel commercieel gedreven mensen. En gaat het mis, dan zijn die sukkels van ICT de oorzaak. Dat er geen of volstrekt onvoldoende geld wordt vrijgemaakt voor security of ICT is dan even geen onderwerp. Tijd dat directies hoofdelijk aansprakelijk gesteld kunnen worden voor dit soort wanbeheer tot wat mij betreft de optie van een persoonlijk faillissement aan toe, anders zal dit nooit veranderen. De markt die zelf laten oplossen is het geloven in sprookjes!

dakathefox @Houtenklaas • 26 oktober 2017 20:58

Nou nou... Die sukkels van IT hebben het ook vaak gewoon zelf gedaan. De fouten die ik tegenkom hebben geen ruk te maken met geld, maar gewoon met over het paard getilde it'ers of programmeurs die graag de situatie bagetaliseren.

the_stickie @dakathefox • 26 oktober 2017 21:27

Dat klopt jammer genoeg maar al te vaak. Het management zal dat wel niet toestaan en het al-dan-niet kwalitatieve security team is sowieso de vijand

Security is een mentaliteit.
Een warme oproep aan mede IT Pros (en devs) om je management uit te dagen met goede oplossingen en njets alleen zwart op wit te accepteren. Laat je niet wegzetten als 'die sukkels van IT' en dek jezelf en je team in tegen beslissingen die later kunnen backfiren. Besef dat het bedrijf leunt op jouw expertise.

dakathefox @the_stickie • 26 oktober 2017 22:28

Security is inderdaad een mentaliteitskwestie. De mentaliteit van de gemiddelde IT'er valt mij in ieder geval altijd zwaar tegen. De eindgebruiker wordt vaak als een kneus neergezet, terwijl externe IT'ers of adviesbureaus als bedreiging gezien worden. Wat dat betreft juich ik SaaS oplossingen dan ook van harte toe: dan kan die compleet overbodige groep mentaliteitsloze IT'ers de deur uit gebonjourd kunnen worden ten faveure van IT'ers die intussen wél snappen wat eindgebruikers willen.

rookie no. 1 @dakathefox • 26 oktober 2017 23:35

Heel erg kort door de bocht. Je scheert elke IT-er over dezelfde kam en verlegt het probleem naar externe partijen die er ook een zooitje van kunnen maken. SAAS is niet heilig, sterker nog: daar worden ook keuzes gemaakt die je soms liever niet hebt vanwege de lage marges.

Waar ik het wel mee eens ben: er zijn veel IT-ers die het allemaal wel prima vinden. De oorzaak daarvan kan van allerlei aard zijn, maar inderdaad daag je management uit om er zaak van te maken over IT en beveiliging na te denken.

djwice

@dakathefox • 28 oktober 2017 16:07

Breek me de bek niet open over SaaS, Openslaande versies van 4 jaar terug zijn geen uitzondering. Of wat dacht je van met naam en toe naam in headers opnamen van alle server componenten. Ook als het gaat om componenten met CVE, welke ze na maanden aandringen en veel gemorrel dan voor je patchen, maar de volgende CVE is het weer het zelfde liedje.
Of gewoon configuraties waarbij ze standaard persoonsgegevens un-encrypted opslaan, op een server die toegankelijk is via internet.

En dat maak je wekelijks dan meerdere keren mee, yeah, SaaS.

RoestVrijStaal @the_stickie • 26 oktober 2017 23:00

Security is een mentaliteit.

Dat gekweekt en beloond moet worden!

Maar als het teveel gevraagd is om er een financiële prikkel van te maken of deadlines erop af te stemmen. Prima, dan maar minder veiligere en/of netjes geschreven programmatuur. De stakeholders en/of product owner vragen er zelf om

Armin

Netwerk en systeembeheer

@dakathefox • 26 oktober 2017 21:31

Bij Equifax was het ook een minder-competent security team. Een paar jaar eerder had men juist extra aandacht aan security gegeven, maar daarna liet men het sloffen. Veel talent was ook vertrokken omdat men niet graag in die omgeving wilde werken. Immers een top-voetballer wil ook graag bij een top-club voetballen.

Maar ja, dat is natuurlijk weer de taak van het hoger managent. Als je security belangrijk vindt, moet je ook je best doen top-talent aan te trekken, en via trainingen, etc een cultuur scheppen waarin goede mentaliteit komt bovendrijven.

Vaak gaat dus gebrek aan interesse in security bij management en slechte security/ICT hand in hand.

dakathefox @Armin • 26 oktober 2017 22:18

Vaak gaat dus gebrek aan interesse in security bij management en slechte security/ICT hand in hand.

Het heeft helemaal niet te maken met een gebrek aan interesse bij het management. Vergeet niet dat een directeur van een gemiddeld bedrijf natuurlijk geen klap verstand heeft van IT. Het is gewoon iemand met een vlotte babbel, een people manager die de juiste koppen bij elkaar kan brengen, die weet waar de markt naartoe wil, etc... Maar hij of zij zal geen klap verstand hebben van IT, want als ze dat wel hadden waren ze wel systeembeheerder of IT-manager worden.

Ik kom echt veel directieleden tegen. Er zitten heus wel handige Harry's tussen die je echt niets hoeft te vertellen over iOS, IMAP, Exchange en andere fratsen. Maar nog veel vaker kom ik directieleden tegen die amper aan weten hoe ze de laptop moeten opstarten, laat staan via VPN verbinding moeten maken met het bedrijfsnetwerk. Dat is geen gebrek aan interesse, maar gewoon het aard van het beestje.

Het is aan de heren van IT om daar een passende oplossing voor te verzinnen. Daarbij wordt maar al te vaak voorbij gegaan aan het feit dat IT'ers dit soort dingen dagelijks doen, terwijl de gemiddelde gebruiker al lang blij is als ze met CTRL C en CTRL V de tekst van Outlook naar Word kan plakken.

Armin

Netwerk en systeembeheer

@dakathefox • 26 oktober 2017 22:44

Het heeft helemaal niet te maken met een gebrek aan interesse bij het management. Vergeet niet dat een directeur van een gemiddeld bedrijf natuurlijk geen klap verstand heeft van IT.

Dat hoeft ook niet natuurlijk. Een goede manager weet wat hij niet weet, en vooral weet waar de belangrijke zaken in zijn bedrijf zitten. Als je een data-broker bent, is veiligheid van die data evident belangrijk. En dan huur je goede mensen in die wél verstand hebben van veiligheid/IT.

Het gaat fout als die manager geen interesse heeft in veiligheid, omdat die kennelijk niet beseft dat dat een fundamentele steunpilaar is van zijn bedrijf.

Maar nog veel vaker kom ik directieleden tegen die amper aan weten hoe ze de laptop moeten opstarten, laat staan via VPN verbinding moeten maken met het bedrijfsnetwerk. Dat is geen gebrek aan interesse, maar gewoon het aard van het beestje.

Je verwart allereerst technische ICT-achtige vaardigheden met kennis over ICT op bedrijfsvoering niveau. Ik ken een manager die letterlijk nog moeite heeft met het sturen van een SMS, maar wel uitstekende aansturing geeft aan software engineers over product flows in een project management programma. Andere abstractie-niveau.

Zo kan een manager dus moeite hebben met concrete vaardigheden, maar wel degelijk beseffen dat ICT en veiliheid relevant zijn. Vergelijk dat je als directeur van een ziekenhuis liever een arts wilt, dan een ICT'er, ook al zal die arts mogelijk ook moeite hebben een VPN verbinding op te zetten.

dasiro @dakathefox • 27 oktober 2017 09:25

geen idee welke functie die mensen bekleden, maar zeker zo'n bedrijf moet een CIO hebben die daar zwaar op in zet. Nee hij moet het niet technisch kennen, maar wel op de hoogte zijn van potentiële gevaren en daar proactief maatregelen voor (laten) nemen.

hmartino @dakathefox • 26 oktober 2017 21:36

Dat is natuurlijk niet helemaal waar, je bent gezamenlijk verantwoordelijk. Je moet medewerkers ook op de juiste competenties (skills) aannemen. En medewerkers moeten ook waar maken wat ze zeggen te kunnen.

dakathefox @hmartino • 26 oktober 2017 22:21

Juist. Maar het lastige is dat dit een grijs gebied is. Een aannemer kan mij alles vertellen over het gebruikte bouwmateriaal en ik zou hem vertrouwen op zijn blauwe ogen. Tegelijkertijd kan een automonteur precies hetzelfde doen, waarbij ik zeer waarschijnlijk dat direct kan parereren.

De enige oplossing is door externe audits te laten uitvoeren door partijen die er écht verstand van hebben. Die keuze heb ik lang geleden al gemaakt toen ik CEO was van een bedrijf dat in Big Data deed. En ja, dat kost geld en dat kán zorgen voor scheve gezichten. Maar tegelijkertijd is het ook verdomd plezierig om succesvol de audit door te komen en je IT'er daarvoor te kunnen belonen.

hmartino @dakathefox • 26 oktober 2017 22:41

Er bestaat niet zo iets als de enige oplossing. Althans in anderen hun ogen.

Een controle systeem moet onderdeel zijn van elke bedrijfsvoering anders loopt er iets mis. Dit hoeft niet altijd extern te zijn tegen hoge kosten. Maar kan wel een verschil maken op het moment dat het nodig is. Elke organisatie heeft baat bij een check van interne processen. En als je dan scheve gezichten krijgt en uiteindelijk het compliment dan heb je in mijn ogen iets goeds gedaan. Al moeten deze kosten natuurlijk altijd tegen de baten worden weggezet. Blijkbaar hebben de heren en dames van deze organisatie 'Equifax' andere prioriteiten gesteld. Baten boven kosten of verkeerd inzicht van de toekomst? Het is eenvoudiger achteraf te praten.

Ik wens ze en de medewerkers en klanten veel sterkte.

RobbieB @dakathefox • 26 oktober 2017 21:50

Onervaren IT’ers op belangrijke posities is een geld kwestie. Als bedrijven niet de portemonnee willen trekken voor degelijk IT en Security personeel, dan kun je niet het onervaren personeel dat zijn stinkende best doet (maar niet de kennis/kunde heeft), voor een kwart vh bedrag van een professional, de schuld geven.

dakathefox @RobbieB • 26 oktober 2017 22:22

Wie zegt dat ik het heb over onervaren IT'ers? De gasten die ik op mijn pad tref zijn toch vaak al 40+, HBO of WO geschoold. Die werken niet voor 2k per maand.

Houtenklaas @dakathefox • 26 oktober 2017 22:09

'k Heb het hier niet over een per ongeluk gewiste harde schijf of een gewiste maildirectory, maar over structurele maatregelen van zaken die een bedrijf potentieel te gronde kunnen richten. Die gewoon geld kosten en ogenschijnlijk niet bijdragen aan het bedrijfsresultaat. Ik zal niet zeggen dat nooit de schuld is van de ICT club, maar laat ik het dan bij mezelf houden. Het OS wat end of support is die nog een jaar moet doordraaien. Het gebruik van Windows XP voor een toepassing die allang vervangen had moeten worden. Systemen die dicht hadden moeten staan voor de ontslagen medewerker, maar die koppeling met het HRM systeem was er alleen nog niet. Achterdeurtjes voor systeembeheer die er niet hadden mogen zijn. Onveilige apps en webservices ... Het gebruik van privémail in combinatie met bedrijfskritische informatie. Het vriendelijke openhouden van een deur voor een vent met zijn handen vol met apparatuur ...

En uiteraard heb je overal wel iemand zitten die beter in de wei kon staan en hooi lusten ...

Nou nou... Die sukkels van IT hebben het ook vaak gewoon zelf gedaan. De fouten die ik tegenkom hebben geen ruk te maken met geld, maar gewoon met over het paard getilde it'ers of programmeurs die graag de situatie bagetaliseren.

Ik moest toch aan een paar mensen denken

[Reactie gewijzigd door Houtenklaas op 28 juli 2024 04:18]

OddesE @Houtenklaas • 26 oktober 2017 21:41

Hoofdelijk aansprakelijk stellen zie ik de noodzaak niet zo van in...

Boetes. Snel en zwaar straffen met boetes. Had je niks fout gedaan? Toch een (kleine) boete. Fouten gemaakt? Hogere boete. Nalatigheid? Nog hogere boete. Was je gewaarschuwd of is het al eerder voorgekomen? Nog hogere boete. Etc etc.

Directies formuleren beleid en voeren dat uit. Maar ze kunnen teruggefloten worden door de aandeelhouders. Welke directeur gaat zijn aandeelhouders ervan overtuigen dat er geld naar beveiliging moet als die er zelf nauwelijks onder lijden als het mis gaat?

En dan gelijk de vraag: krijgt Equifax nu een boete? En zo ja, hoe hoog?

Als er nooit straffen uitgedeeld worden dan kun je praten over zwaarder straffen maar dat gaat dan nergens over. Eerst gewoon met 'normale straffen' werken, maar zorgen dat je die ook consequent uitdeelt. Mocht ook dat niet helpen kun je altijd nog naar hoofdelijke aansprakelijkheid toe.

Houtenklaas @OddesE • 26 oktober 2017 21:54

Hoofdelijk aansprakelijk stellen zie ik de noodzaak niet zo van in...

Ik wel. Met een boete tref je een bedrijf en niet de verantwoordelijke CEO. In het ergste geval ziet hij de bui hangen en is gevlucht naar de volgende lucratieve baan. De enige manier is de persoon in kwestie zelf in de portemonnee raken, dan laat je het wel uit je hersens. En kipsimpel houden, niet de afdelingsmanager, niet de filiaalchef, maar het is de CEO die de Sjaak is. Alleen hij kan een dergelijke mentaliteitsverandering op gang brengen. Als je stelselmatig 0,01 promille van de omzet in security steekt, is er sprake van opzet.

Overigens biedt de wet voldoende aanknopingspunten om een dergelijke aanpak ook te faciliteren. Dit zou geschaard kunnen worden onder: Nalaten uw onderneming te beschermen tegen voorzienbare risico's, door bijvoorbeeld afdoende voorzieningen op te nemen. Dat valt dan ook onder onbehoorlijk bestuur waar je als bestuurder wel degelijk als persoon op aangesproken kan worden.

OddesE @Houtenklaas • 26 oktober 2017 22:09

Maar hoe kun je van een enkel persoon (ook al is hij CEO) verwachten dat hij de beveiliging van een groot bedrijf in de gaten houdt? Met een boete tref je het hele bedrijf en dat vind ik juist terecht want het hele bedrijf zou er verantwoordelijk moeten zijn. Verder is de CEO niet de machtigste figuur.... dat is/zijn de grote aandeelhouder(s). Zeker bij grote bedrijven zijn dat vaak niet dezelfde mensen.

Als men consequent boetes uitdeelt bij lekken , dan wordt beveiligen goedkoper dan niet beveiligen en gaat de rest vanzelf.

Mocht een CEO besluiten een lek niet te melden wordt het weer een ander verhaal. Meldplicht voor lekken en daar persoonlijke aansprakelijkheid aan hangen lijkt me prima. Simpele procedure: vind je een lek binnen je eigen bedrijf, of wordt je door een derde partij op de hoogte gesteld van een lek, dan meld je dit via een simpel webformulier bij je lokale overheid EN per e-mail bij je meerdere. Voor die meerdere geldt hetzelfde, helemaal tot aan de CEO aan toe. Dan laat men het wel uit zijn hoofd een lek geheim te houden. En is het uitdelen van boetes bij alle lekken ineens ook simpel uitvoerbaar.

Houtenklaas @OddesE • 26 oktober 2017 22:18

Met een boete tref je het hele bedrijf en dat vind ik juist terecht want het hele bedrijf zou er verantwoordelijk moeten zijn.

Denk je nu werkelijk dat de staalwerker van bijvoorbeeld een staalverwerkend bedrijf zich aangesproken voelt bij een boete als er een contract of zoiets uitlekt? Welnee ... Dat voelt het bedrijf helemaal niet. Mijn punt is, de CEO met zijn Raad van Bestuur bepaalt het beleid in zijn bedijf. Zelf hoeft hij er geen verstand van te hebben, zolang hij maar verstandige besluiten neemt en zijn verantwoording neemt. En een bedrijf bestuurt waar openheid wordt gewaardeerd, los van het feit dat daar wel degelijk consequenties aan kunnen zitten. Bij Equifax zat natuurlijk iemand op de ICT post die volstrekt incapabel was. Dan is het toch aan de CEO om dat in te zien, desnoods door een externe tent de boel te laten doorlichten als je dat zelf niet kan. Dat soort mensen verdient geen modaal salaris, die worden prima betaald omdat wat ze doen een grote verantwoordelijkheid met zich meebrengt. Kan je die niet aan? Prima, wegwezen dan.

Ik ben er 100% van overtuigd dat een persoonlijke aanpak (zie ook de link in mijn post hierboven) de enige juiste is.

OddesE @Houtenklaas • 26 oktober 2017 22:27

Kijk ik wil een boete voor élk lek. Maar niet elk lek is het gevolg van slecht beleid. Daar zit het verschil in onze filosofie denk ik. Een lek kan ook gewoon het gevolg zijn van onwetendheid, menselijk falen etc etc. Die boete is gewoon een tik op de vingers die langzaam aan een pets wordt en uiteindelijk je bedrijf K.O. slaat als je niks doet. Dan komt men wel in actie.

Je geeft zelf al aan dat er geld in gestoken moet worden. Maar een security lek is een heel abstract iets voor mensen die er geen verstand van hebben. Die denken 'het zal wel goed zitten want het is nog nooit fout gegaan'. Jij en ik weten dat het omgekeerd is: tenzij je continu op de hoogte blijft van gevonden kwetsbaarheden en echt actief beveiligingsbeleid voert kun je gewoon wachten totdat het mis gaat. Maar een zakenman die een online shop als onderdeel van zijn bedrijf heeft kan dat niet inschatten. En kan ook niet controleren hoeveel geld genoeg geld is. Terwijl hij heel makkelijk kan snappen: die boetes kosten me geld! Hier moet ik iets aan doen!

Bovendien krijg je dat ze juist actief de lekken gaan geheim houden want ze lopen persoonlijk risico gestraft te worden als ze het melden. Terwijl ik juist wil dat het de CEO persoonlijk niet raakt TENZIJ hij het niet meldt. Het moet de aandeelhouders raken. Vergeet niet: de CEO is ook maar een werknemer met een salaris. En ook de CEO kan ontslagen worden.

Houtenklaas @OddesE • 26 oktober 2017 22:32

We zitten op één lijn hoor! Security is niet alleen IT en geld, maar ook bewustwording, processen, werkwijzes. Zolang jij maar maatregelen treft om onwetendheid een plaatsje te geven, een loket in te richten, risico analyses te doen, etcetera. En doe je dat allemaal en gaat het toch mis? Dan kan je toch keurig aantonen dat je voldoende maatregelen hebt genomen om dit te voorkomen? Dan hoef je ook niet bang te zijn. Maar zeg ik dan, als het makkelijk was, dan was het allang ingevoerd, klaar en geen enkel issue. En dat is het niet, mijn redenering staat ook bol van het simplisme, ik geloof dan ook in eenvoudige oplossingen

Maar we zitten echt niet ver uit elkaar met onze mening hoor!

OddesE @Houtenklaas • 26 oktober 2017 22:39

Ik ben bang dat beveiligingslekken niet compleet te voorkomen zijn. Net zoals andere dingen die eigenlijk niet mogen maar toch gebeuren, zoals te laat betalen. Een automatische boete helpt als stok achter de deur.

Wellicht moet het én én. En een boete als je een lek hebt (dat je dus zelf moet melden!) En persoonlijke aansprakelijkheid voor iedereen in de keten omhoog die op de hoogte is van het lek maar het niet meldt en/of geen werk maakt van verbetering.

Houtenklaas @OddesE • 26 oktober 2017 22:43

$_/-\o_$ En wettelijk is beide mogelijk. Lekken moet nu al naar de ACM en persoonlijke aansprakelijkheid is al mogelijk op dit moment. Het is dan wachten op de eerste case

OddesE @Houtenklaas • 26 oktober 2017 22:45

Ja precies.

Maar waar ik dus elke keer zo verbaasd over ben is dat ik nooit iets hoor over boetes. Terwijl ik denk dat zou een no-brainer moeten zijn.

Kijk wanbestuur is natuurlijk lastiger aan te tonen. Maar die lekken komen gewoon allemaal hier voorbij. De ene na de andere. Waar blijven die boetes??

Houtenklaas @OddesE • 26 oktober 2017 22:50

Presenteer het als mogelijke extra inkomsten voor onze nieuwe regering, dan zijn de boetes kansrijker denk ik

Superkanjo @Houtenklaas • 26 oktober 2017 21:10

Ik ben het deels met je eens, maar het is natuurlijk wel heel kort door de bocht. Zullen we andersom de IT'ers/ICT managers ook hoofdelijk aansprakelijk stellen bij het onjuist informeren van de directie of bij het maken van grove fouten cq nalatigheden.

Ik snap de emotie, het komt ook voor maar er is ook een andere kant natuurlijk. Bovendien weet ik niet of zulke harde sancties (buiten dat dit niet in te voeren is) zullen helpen. Misschien werkt het wel averechts, er zullen geen beslissingen meer genomen durven te worden.

Houtenklaas @Superkanjo • 26 oktober 2017 21:45

Nee, het is absoluut niet kort door de bocht. Het is dan ook te taak van het topmanagement om een sfeer te creëren dat dit ook gewoon gemeld kan worden zonder dat je daar als melder bezorgd over hoeft te zijn dat je laatste werkdag inmiddels aan de gang is. Sterker nog, dat het wordt beloond als er iets dergelijks wordt geconstateerd, maar dan wel graag met "lessons learned" na afloop. Security is iets wat van hoog tot laag in je bedrijf moet leven. Een postieve uitzondering lijkt een bedrijf als KPN te zijn, daar lijkt security na de hack van een paar jaar geleden een prominente plek gekregen te hebben met een eigen CERT club. Daar lijkt een serieuze drive achter te zitten.

Superkanjo @Houtenklaas • 26 oktober 2017 21:50

En wederom ga je ervan uit dat het niet melden en de fouten allemaal hun oorzaak hebben liggen in het topmanagement? Het speelt wat jij schetst, maar het ligt niet altijd aan het topmanagement.

Houtenklaas @Superkanjo • 26 oktober 2017 22:01

Daar heb je uiteraard gelijk in. De vraag is dan echter waarom dit niet wordt gemeld. Ik denk dat dat grotendeels (80/20) komt door angst voor de gevolgen gecombineerd met de naïeve hoop dat het overwaait. En een ander deel onkunde, niet op waarde kunnen schatten van de melding, of het komt domweg op de verkeerde plek terecht. En heel veel andere opties zie ik niet ...

hcQd @Houtenklaas • 26 oktober 2017 20:48

Tijd dat directies hoofdelijk aansprakelijk gesteld kunnen worden voor dit soort wanbeheer

De senaat heeft het al weer een stuk onwaarschijnlijker gemaakt dat dit gaat gebeuren.

Houtenklaas @hcQd • 26 oktober 2017 20:53

Iets met een eigenbelang? Net als hier gaan die mannen ooit bij een bedrijf aan de slag, dan moet je natuurlijk wel een "old boys" netwerk hebben. Mensen gedragen zich naar gelang ze worden afgerekend, nu of in de toekomst. De enkeling die wel integer handelt wordt er wel uitgewerkt door de wat minder integere mensen, hoe sneu dat ook is. Een dergelijke dissonant kunnen we natuurlijk niet hebben op die plek ...

0xygen500 @Houtenklaas • 26 oktober 2017 22:04

Is er bij wanbeleid niet al zo'n regeling, dat de directie aansprakelijk is.

Houtenklaas @0xygen500 • 26 oktober 2017 22:10

Wet onbehoorlijk bestuur inderdaad. Linkje staat in een reply van enige minuten geleden ...

0xygen500 @Houtenklaas • 26 oktober 2017 22:24

ik had mijn page daarvoor al geopend en niet meer gerefresht, dus zag je bericht niet.

Verwijderd @Houtenklaas • 26 oktober 2017 21:21

Totdat data je core business is. Dan zorg je beter voor een heel degelijke beveiliging.

Luinwethion 26 oktober 2017 21:11

Volgens John Oliver (LWT) had begin dit jaar ook de departement van Homeland security een waarschuwing gegeven.

https://youtu.be/mPjgRKW_Jmk

mutley69 26 oktober 2017 21:22

Equifax komt bij mij zeker m'n huis nooit binnen - daarvoor heb ik m'n zwarte lijst. Zeker weten!

Armin

Netwerk en systeembeheer

@mutley69 • 26 oktober 2017 21:35

Equifax komt bij mij zeker m'n huis nooit binnen - daarvoor heb ik m'n zwarte lijst. Zeker weten!

Tenzij jij een (Amrikaans) bedrijf bent dat gegevens over de financiele gezondheid moet hebben van (Amerikaanse) burgers zul je ook niet snel in de verleiding komen iets van hen te kopen. Zij verkopen niet aan burgers, maar data over burgers.

En ondanks alle ophef is er geen enkele aanwijzing dat de producten die ze verkochten ondeugelijk waren. Integendeel, dus dikke kans dat hun klanten gewoon blijven.

De Equifax hack was niet de eerste, of zelfs de grootste hack in deze bussinestak. Concurent Experian was een jaar of twee al eerder slachtoffer, maar vanwege betere PR en wat geluk wist dat vrijwel buiten de media te houden.

Tetraquark @Armin • 26 oktober 2017 23:44

amerikaans?
De hack bevatte ook data van 40+miljoen Britten.
De teller van data van Europese burgers loopt ook langzaam op.

Ze zijn gelukkig wel voorgedragen als partner voor de IRS om hun data te beheren, je verzint het niet

"IRS temporarily suspends contract with Equifax"

Armin

Netwerk en systeembeheer

@Tetraquark • 26 oktober 2017 23:59

amerikaans?

Ja, daarom stond er ook "(Amrikaans)" [sic] $_/-\o_$

Overigens is de berichtgeving niet geheel juist, en is het niet perse zo dat de data van X miljoen mensen perse gehacked is, maar dat er toegang was tot de data van die X miljoen. Er zijn aanwijzingen dat het gaat om natie-staat hackers, die geen belang hebben in ramdom personen, maar specifieke doelen zochten. Maar goed, wellicht is de wens de vader van de gedachte

Tetraquark @Armin • 27 oktober 2017 01:39

natie-staat hackers

de eeuwige mythe van "natie-staat hackers" zonder ook maar een cent bewijs te leveren

Armin

Netwerk en systeembeheer

@Tetraquark • 27 oktober 2017 01:52

zonder ook maar een cent bewijs te leveren

Pavlov reactie

Er zijn al diverse hacks geweest vanuit bijvoorbeeld China waar wel degelijk behoorlijk bewijs was. Bewijs zoals een vingerafdruk zul je in dit soort zaken nooit hebben. Het is echter algemeen bekend, dat de grote 3 (China, USA en Rusland) dit soort zaken van elkaar proberen te bemachtigen. Dus het is eerder vreemd als dit soort hacks niet zouden plaatsvinden. Dat het soms misbruikt wordt als argument, is geen reden om alle suggesties dan maar te negeren.

Maar een goede aanwijzing is bijvoorbeeld hacks waarbij dit soort informatie nooit op de zwarte markt kwam. Dit terwijl identiteitsfraude met financieel gewin in de USA door het niet bestaan van een centraal GBA juist relatief gemakkelijk is, en dus ook veel voorkomt.
Er is bijvoorbeeld nog geen enkele dump van de Equifax data of toename in algemene identiteitsfraude. Kan nog komen,maar de ervaring leert dat bij hacks door commerciele partijen deze doorgaans zeer snel werken, omdat deze informatie vaak snel veroudert en minder waardevol wordt.

Maar ook als het geen natie-staat hackers waren, blijft de vraag of men daadwerkelijk X 'records' heeft gedownload, of enkel toegang had tot X 'records'. Equifax is schandalig vaag, maar de data die we hebben lijkt dat laatste te suggeren.

Tetraquark @Armin • 27 oktober 2017 08:54

eerst noem je het "bewijs" en 2 zinnen later een "suggestie"

er is nog helemaal geen bewijs geleverd. Je kijkt teveel CNN

vanuit bijvoorbeeld China waar wel degelijk behoorlijk bewijs was

waar dan?

Tetraquark @mutley69 • 26 oktober 2017 23:41

huh? heb jij geen invloed op.

dakathefox 26 oktober 2017 20:54

Oh, dit is zo herkenbaar. Als je een veiligheidslek ontdekt en meldt krijg je in de regel een grote bek terug. Je wordt bovendien direct verdacht data te hebben gestolen of men dreigt je juridisch te vervolgen als je het publiekelijk bekend maakt.

Dat werkt bij mij dus compleet averechts......

mrdemc @dakathefox • 26 oktober 2017 21:40

Wat ik mij alleen dan wel weer afvraag is waarom deze onderzoeker dus blijkbaar deze data van 100.000en mensen nu al bijna een jaar lang heeft bewaard op zijn systeem

Waarom heeft hij dat niet gewoon verwijderd...

mr.paaJ @mrdemc • 26 oktober 2017 21:48

Bewijs dat hij de waarheid spreekt?

dakathefox @mrdemc • 26 oktober 2017 22:13

Dat moet je hem uiteindelijk vragen. Ik kom op wekelijkse basis veiligheidslekken tegen [knip] en één van de dingen die ik daarbij doe is direct mijn bevindingen documenteren, communiceren en de 'buitgemaakte' data verwijderen. No way dat iemand met z'n dikke vette vingers mij gaat aanwijzen als schuldige.

Admin-edit:Het aanbieden van producten of diensten kan in V&A.

[Reactie gewijzigd door Zeehond op 28 juli 2024 04:18]

OddesE @dakathefox • 26 oktober 2017 22:34

Maar wacht.... die grote bek.. krijg je die van je opdrachtgever?
Of is jouw manier van opdrachten binnenhalen hun systeem hacken en daarna proberen er een betaalde opdracht uit te slepen?

dakathefox @OddesE • 26 oktober 2017 23:10

Dit zijn met name de partijen bij wie ik zelfstandig een lek heb gevonden. Daar krijg ik in principe niets voor, behalve dan een grote bek van de it en een taart / diner / kadobon vanuit de directie.

rookie no. 1 @dakathefox • 26 oktober 2017 23:39

Het maakt ook nog uit hoe je het brengt, hé!?

Zo stellig als je in dit nieuws item bent, kan problemen opleveren en niet eerlijk zijn als je de achtergrond niet weet en dus mogelijk de onjuiste partij / persoon als 'schuldige' aanwijst. Desalniettemin goed wat je doet, zij het met respect voor de ander en zijn/haar werk.

dakathefox @rookie no. 1 • 27 oktober 2017 08:54

Ik wijs alleen niemand aan als schuldige. Ik meld gewoon dat ik een veiligheidslek heb geconstateerd. Degene die het hardste roept dat dat niet kan is overigens vaak de schuldige.

lagefrequentie 26 oktober 2017 20:41

Het blijkt een groot bedrijf met 9000 werknemers.
ik snap dat men slecht nieuws niet graag naar buiten brengt maar als je van alle kanten gewaarschuwd wordt is het vreemd dat je niet acteert.

Houtenklaas @lagefrequentie • 26 oktober 2017 20:50

Ik mocht ooit op bezoek bij een CEO van een HEEL groot bedrijf en die vertelde me open en eerlijk dat dit soort nieuws vaak dat soort mensen niet eens bereikt. De boodschap was dan ook dat de managerslaag tussen de CEO en de werkvloer dermate "dik" was, dat de werkelijkheid domweg niet op tafel kwam, of op een immens gefilterde manier. En hoe teleurgesteld ik ook was, ik geloof ook wel dat dat zo is. Dat ontslaat je niet van de verplichting om je bedrijf dan anders in te richten om dat te voorkomen, maar ik geloof inmiddels wel dat ongewenst nieuws niet naar boven wordt gebracht als de persoon in kwestie daar mee weg denkt te kunnen komen. Uiterst laakbaar uiteraard, maar om maatregelen te nemen, moet de juiste afdeling er kennis van genomen hebben. En ik denk dat juist daar het issue zit.

OddesE @Houtenklaas • 26 oktober 2017 22:16

Ik vind het wel frappant dat je tegelijkertijd dit zegt (ik geloof dit ook namelijk) maar diezelfde CEO dan toch persoonlijk aansprakelijk wil stellen. Spreekt dat elkaar niet tegen?

Wat gebeurt er met degene die het lek niet meldt aan zijn baas? Of het zo verpakt dat het onbelangrijk lijkt? En is het redelijk om van een CEO te verwachten dat hij kan inschatten wat SQL injection is? Of een patch release? Of spoofing, Man in the Middle, etc etc?

IT is complex en security behoort tot het meest complexe deel van IT durf ik te beweren. Omdat er maar één onderdeel in de keten kapot hoeft te zijn om een anderzijds prima systeem ineens zo lek als een mandje te maken. Als je nu nog md5 gebruikt om wachtwoorden te hashen ben je eigenlijk onverantwoord bezig, maar 10 jaar geleden was het gewoon een logische keus, om maar wat te noemen.

Houtenklaas @OddesE • 26 oktober 2017 22:27

Nee, dat spreekt elkaar niet tegen. Jij hebt als CEO maar te zorgen dat er geen enkele reden is om een dergelijke melding achter te houden. Ervoor te zorgen dat de buitenwereld ook weet hoe een melding te doen en hoe je daarmee omgaat. Ik geloof ook heilig in de aanpak van General Electric (jaja, ik weet dat ze het net een tikkie minder doen dan wat langer geleden). Kleine cellen die zelf verantwoordelijk zijn voor hun eigen bestaan. Doe je niet meer mee? Dan ben je de volgende maand opgeheven. In ieder geval er voor zorgen dat die middenlaag nooit de reden kan zijn dat jij als CEO niet op de hoogte bent.

Als CEO heb je de plicht om daar werk van te maken, als jij dat niet doet, wie doet dat dan in jouw bedrijf? Dus, die dikke laag zal in een hoop bedrijven er echt wel zijn, maar op het moment dat jij je als CEO dat beseft, moet je dat met vuur en zwaard te lijf gaan, anders ben je in mijn ogen af en doe je niet meer mee. En dat geldt trouwens ook als je je dat NIET beseft, dan ben je ongeschikt als CEO.

Dat het makkelijk is zeg ik niet, het lijkt me ook extreem moeilijk, het zijn immers ook maar feilbare mensen, maar je moet maatregelen treffen als CEO en dat consequent blijven volgen en bijsturen, dat is mijn boodschap. En maak je er en potje van? Dan mag je dat uitleggen voor de rechter.

OddesE @Houtenklaas • 26 oktober 2017 22:30

Wanbestuur kun je nu al persoonlijk aansprakelijk voor gesteld worden natuurlijk. En terecht dat ben ik met je eens.

Iblies @OddesE • 26 oktober 2017 22:35

Omdat het al jaren naïef is om te denken dat het perfect is.

Een CEO die geen signalen ontvangt,
al is het maar incidenteel dat ze belangrijke updates moeten doen ivm 0-days,
die wordt niet alleen voor de gek gehouden,
die houd zichzelf ook voor de gek.

ICT is dusdanig belangrijk geworden dat het zijn deel moeten hebben in overleg en management. Praktisch alles hangt daar vanaf.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (60)

Sorteer op:

Weergave: