Auditors raken personeelsgegevens Sun en McAfee kwijt

Accountantsbureaus Deloitte & Touche en Ernst & Young zijn de persoonsgegevens van duizenden mensen kwijtgeraakt. De laptop van een medewerker van Ernst & Young, met daarop de gegevens van onder andere Sun-topman Scott McNealy, werd uit zijn auto gestolen, terwijl een auditor van Deloitte & Touche een cd met gegevens van McAfee-werknemers in een vliegtuig achterliet. Ernst & Young noemde de laptopdiefstal een incident, en stelde dat de bewuste gegevens beveiligd waren. Over de aard van de beveiliging wilde het bedrijf geen commentaar geven. McNealy, die door een anonieme tipgever op de hoogte werd gesteld van de diefstal, was 'not amused', al helemaal omdat de accountants in eerste instantie verzuimden om hun klanten in te lichten. 'We betalen die mensen enorm veel geld om te zorgen dat ónze bedrijfsvoering aan alle eisen van transparantie voldoet', aldus McNealy.

Identiteitsdiefstal Het 'vergeten' cd'tje van Deloitte & Touche was niet beveiligd en bevatte onder meer de sofinummers en de persoonlijke financiële gegevens van negenduizend McAfee-werknemers. Ook dit accountantsbureau had even tijd nodig om de klap te verwerken: de cd werd op 15 december van het vorige jaar kwijtgeraakt, en pas op 11 januari werd McAfee ingelicht. De laatste betrokken werknemers zijn pas vorige week ingelicht. Het bedrijf heeft maatregelen getroffen om te zorgen dat ook de accountants voortaan niet meer zomaar toegang tot personeelsgegevens krijgen. Ironisch genoeg adverteert juist McAfee met software die 'gebruikers zonder technische kennis of ervaring bestanden laat beveiligen', maar die was kennelijk niet ter beschikking van de auditors van het bedrijf gesteld.

Beide incidenten zijn uiteraard koren op de molen van de privacywaakhonden, die hiermee eens te meer bevestigd zien hoe kwetsbaar de opslag van grote hoeveelheden persoonlijke gegevens is. Het kabinetsvoornemen om een centrale database met persoonsgegevens van alle Nederlanders aan te leggen werd door Bits of Freedom al eerder als onwenselijk betiteld omdat een succesvolle aanval op deze centrale database 'een nationale ramp' zou betekenen. De mogelijkheid dat een kwaadwillende hacker uit een dergelijke database hapklare gegevens krijgt aangeleverd, kan door menselijke fouten nooit helemaal worden uitgesloten, zo blijkt maar weer.

IT-banen

Reacties (47)

cyctech 26 februari 2006 20:04

Typisch weer een geval van onoplettendheid.
Ik snap niet dat het moeilijk is voor mensen, om eens te leren wat verantwoordelijkheid betekend binnen hun functie.
Zo mag een vrachtwagenchaffeur geen ongelukken veroorzaken en zo mag een gegevensbeheerder die gegeves niet kwijt raken.
klink logisch maar het is aan de mensen van heden ten dagen, niet meer aan het hoofd te krijgen dat wat ze doen belangrijk is in een overkoepelende organisatie.

ATS @cyctech • 26 februari 2006 23:45

Nee, natuurlijk mag een vrachtwagenchauffeur geen ongelukken veroorzaken, maar toch gebeurt het met enige regelmaat. Misschien dat een deel verwijtbaar is, maar uiteindelijk blijven dit soort dingen gebeuren. Dat heet een ongeluk. Dat kan net zo goed in andere branches gebeuren. Soms heeft een (opeenstapeling van) kleine foutjes nu eenmaal grote gevolgen, en fouten maken we allemaal.

Verwijderd @ATS • 27 februari 2006 09:24

Maar dit zijn wel knap knullige foutjes. En van een vrachtwagenchauffeur (om maar bij het voorbeeld te blijven) wordt verwacht dat hij professioneel genoeg is zodat hij geen domme foutjes maakt.

Verwijderd @Verwijderd • 27 februari 2006 13:33

Toch gebeurt het nog regelmatig dat een vrachtwagen chauffeur in slaap valt achter het stuur...

-R-

Verwijderd @Verwijderd • 27 februari 2006 13:52

Dat is dan geen professioneel gedrag. En zeker wanneer je met zoveel persoonsgegevens rondloopt is professioneel gedrag zeer wenselijk.

Verwijderd 26 februari 2006 19:35

RTFA: niet McAfee maar hun auditor (D&T) is de CD kwijtgeraakt. E&Y had de gegevens moeten beveiligen, niet McAfee.

/edit: hmm reactie op lfs

Verwijderd 27 februari 2006 02:39

Ik bergijp niet dat deze dagen het nog steeds voorkomt dat personeel "zomaar" gevoelige gegevens mee naar buiten kan nemen. Recente gevallen bij zelfs de politie of de AIVD geeft aan dat het gewoonweg niet "mag" !

Beter lijkt me ook, als iemand dan al de gegevens nodig heeft op een andere locatie, dat deze dat dan doet via een database waar men in kan loggen. Tevens kan dit juist veiliger zijn als je de sessie's logged en bij houd wat voor gegevens worden overgezet.

Ik zie dan ook graag dat in grote ondernemingen op de client workstations de cd/dvd branders en USB poorten verdwijnen. Vooral het gesmokkel met USB stickjes komt nogal eens voor. Zolang een toestenbord en muis nog steeds op een PS2 poort kan is dat ruim voldoende. Voor printen zijn er genoeg alternatieven dan USB.

Maar goed, hopelijk worden ze door schade en schande wijzer, de enigste manier vaak om te leren

KMK @Verwijderd • 27 februari 2006 11:09

Gewoon
HOW TO: Disable the Use of USB Storage Devices in Windows XP:
http://support.microsoft....aspx?scid=kb;en-us;823732
Dan ben je daar teminste van af.. zorg ook dat je niet kan booten van CD en dat er geen brander in zit. Dan ben je een eind

SPee @Verwijderd • 27 februari 2006 11:15

Ik denk heus wel dat het professionele mensen zijn. Zij wilden (volgens mij) gewoon onderweg verder werken. Over het algemeen niets mis mee, maar als ze gejat worden heb je (grote) problemen.
Dat is waar je vaak niet aan denk, maar nu wel is gebeurd.

Ik vraag me af hoe groot de claim gaat worden.

werk zelf niet bij die bedrijven. Mijn broertje loopt er trouwens wel stage

FicoF @SPee • 27 februari 2006 11:49

Je kunt je wel afvragen of het verstandig is om met zulke gevoelige gegevens in het vliegtuig te gaan zitten werken.

Als ik in de bus/trein zit met m`n laptop ga ik ook geen prive dingen typen / openen. Buurmannen en vrouwen kunnen zo meekijken en dat is in een vliegtuig niet anders.

tweakerbee @FicoF • 28 februari 2006 03:14

Een businessclass stoel is wel iets anders dan een tweedeklas coupe in een trein of economy class stoel in een vliegtuig.

Verwijderd 26 februari 2006 19:23

Weer een Tonino schandaal, alleen nu internationaal.
Ongelooflijk dat zulke grote bedrijven (vooral een IT-bedrijf als McAfee) nog steeds data ongecodeerd opslaan. Zelfs op mijn laptop is dat een kleine moeite om te doen en daar staan weinig privé spullen op.
Bizar

Verwijderd @Verwijderd • 26 februari 2006 19:34

Weer een Tonino schandaal, alleen nu internationaal.

Het probleem is internationaal (VS) groter dan je denkt:

Dit voorval is slechts de laatste in een hele serie incidenten waarbij persoonsgegevens uitlekten. In de afgelopen twaalf maanden zijn in de VS de gegevens van zo'n 53 miljoen mensen op straat - of in een vliegtuig - komen te liggen.

lees hier verder.

klakkie.57th @Verwijderd • 26 februari 2006 19:39

Dit voorval is natuurlijk niet goed te praten, maar laten we eerlijk zijn, de bedrijven die encryptie hebben op hun laptops zijn echt wel op 1 hand te tellen.
Technieken als safeboot helpen natuurlijk een hele hoop maar zijn vaak erg omslachtig en helpen natuurlijk niet wanneer data opgeslagen wordt een cdeetje.

Blokker_1999

Economie en maatschappij

@klakkie.57th • 26 februari 2006 19:53

beveiliging van gegevens is niet moeilijk.De ATA standaard voorziet uit zichzelf al in wachtwoord bescherming van harde schijven. Uiteraard kan je hier rond hoewel het al redelijk wat moeite zal kosten. En anders kan je nog altijd heel de schijf versleutelen. Bestaan zelfs speciale schijven voor die naast de versleuteling ook nog extra hardwarematige bescherming aanbieden.

Voor zulke bedrijven is de meerprijs beperkt. Het is meer de onwil en het feit dat men het simpelweg niet nodig vind.

The Zep Man

Economie en maatschappij

@Blokker_1999 • 26 februari 2006 21:42

De ATA standaard voorziet uit zichzelf al in wachtwoord bescherming van harde schijven.

Dit is geen beveiliging! Deze standaard voorziet alleen dat de interface geen toegang geeft tot de platters. Vervang de interface (of wijzig de EEPROM van de harde schijf) en je hebt zo weer toegang.

Een vorm van beveiliging voor Windows op een harde schijf is Safeguard Easy. Het encrypt de harde schijf, maar zorgt ervoor dat deze nog steeds bootable is. Dit product wordt door verschillende grote bedrijven gebruikt.

Pietervs @Verwijderd • 27 februari 2006 17:41

Ongelooflijk dat zulke grote bedrijven (vooral een IT-bedrijf als McAfee) nog steeds data ongecodeerd opslaan.
Misschien toch even beter lezen:
Het 'vergeten' cd'tje van Deloitte & Touche was niet beveiligd en bevatte onder meer de sofinummers en de persoonlijke financiële gegevens van negenduizend McAfee-werknemers.
Dus je hebt maar ten dele gelijk: dat Deloitte&Touche hun gegevens niet beter beschermen is wat vreemd, hoewel niet veel mensen hun CD's encrypten o.i.d.. Maar om McAfee de schuld te geven klopt natuurlijk niet...

s_sabbagh 26 februari 2006 20:17

Ik vraag me eigenlijk af waarom zulk soort gegevens überhaupt op laptops, cds, etc. worden vervoerd? Is het niet makkelijker (lees veiliger) om de gegevens centraal op te slaan en dan via remote login te kunnen gebruiken?

Er zijn zat grote bedrijven die op zo'n manier dit soort schandalen voorkomen...

jozy @s_sabbagh • 26 februari 2006 23:50

Laat ik nou net bij D&T werken. Alle data is inderdaad op een centrale server opgeslagen en deze kan je dan ook via remote login inzien, maar deze kan je dus ook gewoon op je laptop opslaan. Dat laatste vind ik superdom, maar als je laptop gejat wordt en ze weten je password te achterhalen, kunnen ze ook via remote login alsnog data opzoeken (maar dan van meer mensen dan alleen Mcafee). Dus of dat ook wel zo slim is weet ik niet.

Hmm vroeg me ook altijd af waarom we Mcafee beveiliging hadden

chucky666

@jozy • 27 februari 2006 09:50

Als jij er bij werkt.
Waarom noem jij het dan nog steeds D&T

Terwijl je dan donders goed weet dat het tegenwoordig gewoon Deloitte.(groene punt) heet.

Verwijderd @jozy • 27 februari 2006 11:15

maar om daarop in te loggen moet je een VPN verbinding maken toch? kan je dan niet gewoon die hele laptop blocken op de centrale server?

misschien is 't een idee om een soort eigen trojan te installeren, die zodra de laptop 't internet opgaat z'n harde schijf volledig trasht (heb weinig technische kennis wat dit betreft, ik gis dus maar wat, aub niet flamen)? is 't uberhaupt mogelijk om een computer met 100% zekerheid te identificeren? IP-adres e.d. zijn natuurlijk zo te veranderen.

cavey @s_sabbagh • 26 februari 2006 21:14

ah

remote login via unencrypted wlan

[hmmm, overbodig? waar zijn de funnybones heen mensen..... zuur dagje gehad? ]

p0p0 @s_sabbagh • 26 februari 2006 22:48

ook zat bedrijven die dan gehacked worden, zolang de fysieke verbinding er is, kan er ingebroken worden.

echter, zolang je mensen er mee over weg laat gaan kan er altijd iets mis gaan natuurlijk

Proxy 26 februari 2006 20:24

Het is weer wachten op de standaardreactie: "ik heb niets te verbergen".

Sir Guinhill @Proxy • 26 februari 2006 20:34

Klopt de meesten van ons hebben ook niets te verbergen, maar ik zit er niet op te wachten dat de eerste de beste ambtenaar kan zien dat ik idd niets te verbergen heb, of als ik dat wel heb, mij daar mee gaat lopen afpersen

, want dat zie ik dan ook nog wel gebeuren, mensen die illegale practijken van anderen verborgen houden om daar weer een slaatje uit te slaan.

Proxy @Sir Guinhill • 27 februari 2006 00:12

Opvallend, maar iedereen heeft iets te verbergen, dat merk je snel genoeg als links de politiek volledig heeft overgenomen. Camera's in je slaapkamer, toilet en badkamer.... zeg dan nog maar eens dat je niets te verbergen hebt.

MeNTaL_TO @Proxy • 27 februari 2006 07:12

Vandaar dat we onder rechts steeds meer vrijheden hebben ingeleverd.

ATS @Proxy • 26 februari 2006 23:47

Dat klopt, ik heb niets te verbergen. En als ik dat wel had, dan was mijn reactie natuurlijk niet anders geweest.

Tegelijk heb ik echter ook geen behoefte aan identity theft, en dat maak je natuurlijk wel erg eenvoudig zo.

NS_5 26 februari 2006 20:14

Dat je die data op CD hebt en niet in een centrale DB vink ook raar ja

LieveNiels @NS_5 • 26 februari 2006 22:16

Dat hebben ze natuurlijk ook, maar alleen een kopie van die gegevens is kwijtgeraakt.

De titel van het bericht is inderdaad een beetje misleidend en ook ik dacht meteen bij mezelf van; teeering, moeten ze van al die medewerkers opnieuw de gegevens in gaan zitte voeren!

Een betere titel had geweest "Auditors laten persooneelsgegevens van Sun en McAfee op straat slingeren" imo

Verwijderd 26 februari 2006 20:15

Wat ik mij ook afvraag:

In welk formaat wordt dit opgeslagen, het zal zeker geen Excel oid zijn. Misschien zit op de data-file zelf ook wel (beperkte) beveiliging.

SuperDre 26 februari 2006 21:24

achja, dit is lullig, maar niet onontkoombaar in de huidige maatschappij.. wij willen allemaal dat we minder gezever aan loketten hebben en niet eeuwen formulieren moeten blijven invullen als we weer een sneetje hebben..
Dit is iets waar je mee moet leren leven.. ik heb liever dat alles op 1 plek is opgeslagen, dan dat iedereen maar wat heeft waarvan je niet weet wie wat heeft...
En denk nou niet dat jouw gegevens beveiligd zijn of dat jij weet wie jouw gegevens heeft..
Als je ziet dat er commerciele bedrijven gewoon koppelingen hebben met het GBA, en ook met medische gegevens en god weet welk ander systeem, dan weet je dat het niet lang zal duren voordat iemand je 'kwaad' kan willen doen.. pfff.. ik hoef in principe alleen maar bij een bank door te geven dat jij dood bent, en dan gaat dat als een vuurtje door al die digitale systemen, en voor je het weet ben je maanden verder om te zorgen dat je weer je spaarrekening terug hebt..

TW_RdV @SuperDre • 27 februari 2006 08:13

Ik heb wel eens gehoord dat er directe verbindingen mogelijk zijn, bijv. van banken, naar GBA en BKR. Maar dit is een vrij beperkte en enigszins beveiligde interface (o.a. op IP-range, of vi een beveiligde, vrijwel directe lijn) waar je alleen gegevens kan opvragen als je een aantal zaken weet (bijv. naam, voorletters, geboortedatum). Dus geen bulkgegevens.
Okee, je kan frauduleuze handelingen verrichten met op die manier verkregen gegevens.
Ik denk dat een bank toch wel even een verificatie via de GBA-koppeling vraagt of iemand echt wel dood is. Mocht je toch "zomaar" iemand dood kunnen verklaren en de bank reageert hierop met het blokkeren van e rekeningen e.d., kan je je afvragen wie hier nu de meeste schuld heeft....

SPee @SuperDre • 27 februari 2006 10:56

Dan moet je wel een verklaring hebben dat hij dood is. Die wordt door een dokter en/of notaris vastgelegd (voor zover ik weet). Dus 1,2,3 is het niet.

Verwijderd 26 februari 2006 19:19

Aan dvogel

waarschijnlijk wel... meerdere waarschijnlijk, maar daarmee zijn die (gevoelige) gegevens nog niet van de straat.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (47)

Sorteer op:

Weergave: