Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 136 reacties

Een Rabobankmedewerker heeft woensdag een usb-stick met daarop gegevens van drieduizend particulieren en van kerken, scholen en ondernemingen verloren. De gegevens stonden onversleuteld op het flashgeheugen.

De stick werd woensdag gevonden door een persoon die anoniem wil blijven en die het opslagmedium afleverde bij de redactie van De Gelderlander in Elst. Op de stick stonden gegevens van duizenden klanten die beleggen via Rabobank Oost Betuwe. Het ging om persoonsgegevens, beleggingsvormen en in veel gevallen ook om de hoogte van de belegging, niet alleen van particulieren, maar ook van kerken, scholen en ondernemingen.

De stick is inmiddels weer in handen van de Rabobank en de bank is bezig om de betreffende klanten een excuusbrief te sturen. Daarnaast onderzoekt de bank hoe het voorval heeft kunnen gebeuren. "Resultaten zijn er nog niet omdat het informeren van de klanten prioriteit had", vertelt Marco Hofland, woordvoerder van de Rabobank, tegen Tweakers.net. Wel acht hij het uitgesloten dat de gegevens door derden op de stick gezet zijn.

Hofland bevestigt dat de data niet versleuteld was: "Hoe dit kan is ons een raadsel. De Rabobank hanteert strikte regels en in de zeldzame gevallen dat gegevens op een draagbaar opslagmedium gezet mogen worden, moeten deze versleuteld zijn. Het op een usb-stick zetten is onder voorwaarden alleen toegestaan voor intern transport." De Rabobankmederwerkers zullen nog eens extra op het beveiligingsbeleid gewezen worden, belooft de bank. "We zitten er erg mee in onze maag", vertelt Hofland.

Moderatie-faq Wijzig weergave

Reacties (136)

Ten eerste, wat moet een medewerker met zoveel klantgegevens op een USB stick..
En ten tweede, maar even een schopje richting de systeembeheerders dat ze (onbeveiligde) USB sticks toestaan....

Is er dan NIETS meer veilig hedendaags?
Tja, het jammere is dat een oordeel over dit gebeuren nogal snel geveld is.

Hoe vaak gebeurt het namelijk dat een versleutelde USB stick met klantgegevens verloren en door iemand gevonden is. Dat weten we niet, omdat we bij het vinden van zo'n USB stick niet kunnen zien dat er belangrijke data op staat omdat het versleuteld is :+

Ik ben dus benieuwd hoe je dit in het juiste perspectief kunt plaatsen.

Buiten dat, blijft het natuurlijk slecht dat dit voorkomt, laat dat wel duidelijk zijn :)
De rabobank hanteert, zoals in de tekst aangegeven, strikte regels over het gebruik van USB sticks binnen het bedrijf. Blijkbaar (zie ik als enige mogelijkheid) is er een medewerker geweest die voor gemak voor zijn eigen usb stick koos. Het is goed mogelijk dat "simpele" werknemers van de rabobank de hele encryptie als "te veel gedoe" zien, en dat kan "prima ook wel even met m'n eigen stick".
Dat hoeft niet te kunnen, met de juiste producten zijn dat soort zaken af te schermen.
Volgens mij gebruikt Rabobank mcafee data encryption en die hoeft voor de gebruiker zeker geen belemmering te zijn, kan transparant worden toegepast voor de gebruiker en bied een hoge mate van bescherming.

een goed ingericht systeem kan volledig worden afgeschermd voor dit soort fouten, zeker voor medewerkers.

zie case studies:
http://www.mcafee.com/uk/.../endpoint_encryption.html

[Reactie gewijzigd door TheTeek op 17 december 2009 15:00]

Wij van WC-eend adviseren WC-eend. Tuurlijk zal McAfee in zijn whitepapers melden dat het veilig en perfect is. De praktijk laat zien dat dit wel meevalt.
Meerdere mensen zijn hier de fout in gegaan.

Het NOOIT mogelijk zijn dat werknemers eigen software en/of hardware kunne gebruiken. Er zijn veel methoden om te voorkomen dat dit mogelijk is. Natuurlijk zullen er mensen denken "had dan maar Linux/OS X of BSD gebruikt" maar dat heeft er geen ruk mee te maken. Elk OS heeft zwaktes en met de juiste software zijn die allemaal tegen te gaan. Er is hier dus spraken van een hele luie IT afdeling.

Aan de andere kant moeten werknemers weten waarom deze techniek zo belangrijk is. Ze mogen niet denken dat het alleen maar onhandig is. Maja, hou er rekening mee dat het Tweakers publiek nogal 'geavanceerd' is. De meeste mensen zijn te stom om te weten wat een web-browser is. Om zulke mensen vervolgens uit te leggen dat ze alleen draadloze WPA2-ASK verbindingen mogen gebruiken is als schaatsen in zand. Ga dan vooral niet beginnen over AES of twofish encryptie beginnen.

Edit; gelukkig geen systeem admin, Bij ons op school moet je de PC zelf herstellen als je iets verneukt, maar ik zie dat liever niet bij de Rabobank. Natuurlijk is 'nooit' onhaalbaar, maar dit gebeurt gewoon te vaak.

Moest ook wel opkijken van de stro-redenering van Lakta. Laat ik je er aan herinneren dat je als klant van de Rabobank liever hebt dat hun een klant mislopen, dan dat ze jouw persoonsgegevens verliezen. Wij hanteren ook deadlines, en als je tijd te kort hebt is er niemand die je tegen houd om de nacht door te halen.

[Reactie gewijzigd door Eonfge op 17 december 2009 22:46]

Nooit?
Wat een onzin. Typisch systeembeheerderspraat IMHO. Systeembeheerders vergeten weleens dat ze in dienst werken van de mensen die met de systemen moeten werken, niet andersom.

Natuurlijk moet je bij een bank, op machines waarbij bij belangrijke gegevens gekomen kan worden zeer voorzichtig zijn. En op vergelijkbare plaatsen ook. Maar dat wil niet zeggen dat het op elke plaats nuttig is. Ik zou mijn werk niet kunnen doen als onze systeembeheerder er zo'n strakke policy op na zou houden. Die vent heeft geen idee van de applicaties die wij nodig hebben, en die volgen elkaar in hoog tempo op. Hem office en exchange laten administreren gaat prima, maar voor de rest moet hij zich niet mijn met machine bemoeien.
Hem office en exchange laten administreren gaat prima, maar voor de rest moet hij zich niet mijn met machine bemoeien.
Wat een onzin. Typische gebruikerspraat IMHO.

Gebruikers vergeten wel eens dat ze werken op een PC van de baas en niet op een eigen pc waarop ze alles mogen doen en laten.

En ook jouw pc kan zo ingericht worden dan jij daar alles op kunt doen wat je moet zonder dat veiligheid in het geding komt. Dus ja systeembeheer moet zich wel degelijk met "jouw" machine bemoeien.

oh ja...ik ben systeembeheerder
Wat zou jij er van vinden als ze een snelheidsbegrenzer op je auto zetten want je mag toch maar 100km/uur rijden? Als je dat zegt dan zeggen ze: maar als ik even snel moet inhalen dan kan dat niet om uit een gevaarlijke situatie te komen!! Dit is precies hetzelfde: deadline oid in zicht ff. snel de presentatie op een stick zetten... shit stick ligt thuis. Dan maar de achterdeur/eigen stick whatever. Kun je wel roepen: dat mag niet, maar soms is het geven van een presentatie (en het binnenhalen van een klant) een miljoen of wat waard... Mag jij gaan verzinnen hoe ze denken over een 'snelheidsbegrenzer op de pc'... Noem het gebruikerspraat, noem het sysadminpraat. Ze zijn alletwee menselijk en niemand zit te wachten op een ander die hem 'het leven zuur maakt'

Neemt niet weg dat een USB stick op zo'n moment extra bewaakt moet worden om dti soort reputatieschade te beperken.
incl. ontwikkelen van drivers/windows services ?
Nee inclusief het correct instellen van de policies, sysadmins hebben daar erg veel mogelijkheden voor in windows wat mag en niet mag.

Eerste google search: Windows policy no usb drive
http://windowsdevcenter.c...ge-with-group-policy.html

Dus zo makkelijk is het. (Rabobank leest u mee :D )
Zoals boven al is te lezen, kan een user de lijst naar zijn/haar privemail hebben gestuurd en daar op de usb-stick hebben gezet.

Die policy stelt niet zoveel voor en kan omzeild worden. We weten niet wie het is geweest. Misschien was het wel een supporter of beheerder die de stick was kwijt geraakt.
da's handig, en als je dan apparatuur heb waarbij de config op een usb stick staat?
Natuurlijk leest Rabobank mee.
Nu weet ik niet hoe het bij de betreffende locale bank is, maar hier mag je niets naar usb-schrijven, alleen lezen. Schrijven mag alleen naar speciale usb-sticks met vingerafdrukherkenning, die je alleen met een goede reden kunt krijgen.
Mijns inziens is het dus voldoende dichtgetimmert om onnozelen te beschermen. Moedwillig lukt het namelijk altijd toch wel.
Joh. Het zou me overigens niks verbazen dat het een systeembeheerder was die die fout gemaakt heeft. Grappig om te zien dat banken vaak enorm strikt zijn met hun IT, maar dat de systeembeheerders ongeveer carte blanche hebben. Niemand beheerder de systemen van de systeembeheerders. Zo heb ik het dus meegemaakt dat bij een grote bank een systeembeheerder de passwords voor z'n admin accounts gewoon ingesteld had op de voornaam van z'n pasgeboren dochter.
Met de juiste software kun je ervoor zorgen dan je geen gewone USB sticks meer kan gebruiken, maar enkel die door de IT afdeling zijn goedgekeurd en beveiligd.
Doen wij hier ook.
Dan mail je het naar je prive adres en zet je het daar op een onbeveiligde stick. Iemand die de bewuste gegevens prive in het bezit wil hebben doet het toch wel. Het is heel erg lastig om alles (dus via mensen of techniek) dicht te timmeren zodat het nog wel werkbaar blijft.
Daarvoor heb je een firewall. Een firewall is nml meer dan een portblocker, zoals de meeste mensen em denken te kennen. Een echte firelwall controleert of er geen mails verstuurd worden waarin gevoelige gegevens voorkomen. Zelfde geldt dan voor FTP en andere "makkelijke" wegen, terwijl dingen die niet gescreend kunnen worden, volledig geblokkeerd worden.

Wat nou uploaden :P

Vervolgens kun je onbeveiligde USB-sticks, diskettes, externe harde schijven en beschrijfbare optische disks ook blokkeren of beperken.

[Reactie gewijzigd door _Thanatos_ op 17 december 2009 15:32]

Hoe kan een firewall nou weten welke gegevens wel of niet gevoelig zijn?
Op dezelfde manier als dat ook spam emails worden gedetecteerd. Wat voor informatie staat erin, wat voor woorden, opbouw, bijlages etc etc. Daar zullen vast wel slimme filters voor zijn.
Zeker als het dan naar een prive adres gaat en niet naar een business partner.

Goed als een medewerker data naar buiten wil krijgen dan krijgt ie het echt wel naar buiten, maar als je als IT afdeling zorgt dat in het gewone proces het niet mogelijk is om dat uit te voeren en er bij moedwillig doorbreken van die beveiliging er een signaal wordt afgegeven heb je je denk ik al aardig goed ingedekt.

Blijkbaar wordt bij de rabo niet afgedwongen dat een stick beveiligd danwel goedgekeurd door de IT afdeling is, dat is toch een behoorlijke fout die met weinig kosten en middelen afgeschermd had kunnen worden.
Altijd grappig hoe ITers het in de techniek zoeken en alles willen afdwingen maar dezelfde mensen die ik spreek er schande van spreken als er trajectcontroles worden ingevoerd...

Hoe strakker je de lijntjes aanhaalt hoe creatiever mensen worden om toch nog gewoon te kunnen werken. Wat vaak niet gezien wordt is dat het verstikkend werkt voor 'gewone mensen' als er een soort big-brother organisatie ontstaat. Te vaak zie ik in dit soort bedrijven dit soort beleid zonder dat het voorzien is van enige uitleg/opleiding/luisteren naar de klant(=gebruikers).
<hoon>Rabobank medewerker probeert zijn net nieuw verworven klant een e-mail te sturen met daarin een draft contract. Echter, volgens de hyper-up-to-date filter van sysbeh siepeltjuh is dit een niet bekende klant en is het document highly classified en kan het niet bezorgd worden. Teneinde raad grijpt Rabobank medewerker terug naar bestaande technologie; de postduif.</hoon>
Met behulp van een eenvoudig BASIC script in bijvoorbeeld ms-Excel is het gemakkelijk om een verzameling gegevens licht te versleutelen. Een firewall zal dan niet blokkeren op basis van de inhoud. Geef het versleutelde bestand vervolgens de extensie ".jpg " en dan moet je maar eens opletten... et voila! De firewall herkent de gegevens helemaal niet en laat ze gewoon door! Je kunt ook de versleutelde gegevens rechtstreeks in het bestand plakken als het niet teveel is. Maar JPG bestanden vallen natuurlijk minder op.

Verder zijn firewalls vaak te omzeilen door informatie in nep DNS pakketjes te stoppen, want die poort wordt vaak niet geblokkeerd, zelfs vaak niet bij kabel modem die zijn geblokkeerd wegens wanbetaling etc. NSLookup werkt namelijk vaak nog als je een dns-ip weet. Je kunt dan dus communiceren via je eigen externe nep-dns server.

[Reactie gewijzigd door E_E_F op 18 december 2009 13:47]

Ken je Websense? Dat is software die zoekt op steekwoorden en daarop blokkeert, of op basis van ldap de uitgaande mails gebruikers blokt.

Daarnaast, om op je vraag terug te komen: application firewalling. Onderdeel van de generatie 5 utm's.

Zie ook http://www.sonicwall.com/...ur_Firewall_Should_Do.pdf punten 3 en 9. Sorry Gartner heeft een paper over de next gen firewall, maar die is blocked: http://www.gartner.com/DisplayDocument?doc_cd=171540
Als je je klanten als kleuters gaat behandelen gaan ze zich ook gedragen.
Als er met privacy gevoelige gegevens niet voorzichtig wordt omgegaan dan heb je ten eerste een mentaliteitsprobleem ipv een security / it probleem.

Je bereikt meer met de juiste mindset dan met allemaal it foefjes te blokkeren.
Maakt niet uit wat je verzint , ik weet wel een omweg en anders wel de tweakers hier..
Ik mag toch hopen dat die data alleen beschikbaar is op computers die alleen beschikken over een intranet, niet het internet.
Waarom? Dat hoeft helemaal geen probleem te zijn. Jouw pc hangt ook aan het internet en beschikt ook over al die (internetbankieren) gegevens zo niet nog veel meer.

Als het netwerk en de randapparatuur maar goedgenoeg afgeschermd zijn en de pc goed genoeg dichtgezet is, kan er weinig tot niets gebeuren. Het inzien van data is natuurlijk vervelend, maar het kunnen muteren van die gegevens is nog tig keer erger.
De regels zijn gewoon niet strikt genoeg. Kennelijk mag je dus gegevens meenemen op een USB-stick. Als ik de Rabo was zou ik verbieden dat welke gegevens ook op welke manier dan ook naar buiten kunnen. Er is geen enkele noodzaak toe ook. De persoon in kwestie zorgt er maar voor dat ie dat gedeelte van z'n werk op kantoor af krijgt, overwerkt of dat ie via een vpn o.i.d verder werkt aan z'n projectje.
uhh, de Rabobank heeft een prima geavanceerde VPN mogelijkheid hoor.

vandaar dat ik ook zeker niet snap dat er iemand daar een usb stick met gegevens heeft meegenomen.

even afgezien van het feit dat het technisch redelijk valt te blokkeren is het inderdaad bij de Rabo totaal overbodig om data op stick mee te nemen.

men heeft het of:

1) via vpn beschikbaar
2) encrypted op een laptop
3) niet buiten het kantoor nodig.

* whizzy81 kent mensen die bij de Rabobank werken.
De sticks zijn bedoeld voor intern gebruik. De medewerker loopt met die stick naar een andere medewerker op een andere afdeling. De gezochte medewerker zit niet op zijn stek en de eerste gaat wat anders doen en vergeet de stick uit zijn zak te halen.
Op weg naar huis verliest hij de stick. Onbedoeld en onbewust.

Zou kunnen. (speculatie)

Alle betrokkenen berispen en geen bonussen toekennen.
Via het interne netwerk kunnen ze deze data delen, dus een usb stick is niet noodzakelijk. Tenzij hij/zij thuis wil werken. Dan nog kan hij/zij naar zichzelf mailen. Dit laatste zal sowieso tegen de bedrijfsregels zijn, zoals bij alle andere bedrijven.

Overigens, vpn is niet voor iedereen beschikbaar.

Beveiliging is bij ieder bedrijf: afweging risico's tegen kosten. De banken en andere bedrijven kunnen niet niet onbeperkt beveiligen, anders betalen worden de diensten en producten veel te duur (en gaan wij consumenten weer klagen).
Via het interne netwerk kunnen ze deze data delen, dus een usb stick is niet noodzakelijk.
Tenzij overenthousiaste systeembeheerders dit ongemogelijk gemaakt hebben. Ik kom als 'externe' veel bij grote (vaak overheids-) klanten waarbij vaak enorm rigide omgegaan wordt met het netwerk. Dan krijg je dus dat binnen notime mensen om een file naar binnen te krijgen dit via een USB stick doen, of gewoon een iPhone tetheren en het via gmail versturen.
En dat is nou precies de reden waarom ik dus tegen bijvoorbeeld en electronisch patiŽntendossier ben. Er hoeft maar 1 medewerker zich niet aan de voorschriften te houden, en dan liggen er vele privacygevoelige gegevens op straat.
Met die logica kan je zo'n beetje ieder systeem waar mensen bij betrokken zijn afschaffen. Je neemt dus blijkbaar ook niet het vliegtuig, want er hoeft maar ťťn piloot zich niet aan de voorschriften te houden en je bent morsdood.
Hoewel ik vind dat alle informatie die ik verstrek aan derden als vertrouwelijk en privacygevoelig moet worden behandeld (of anders staat aangegeven in de voorwaarden) vind ik het elektronisch patiŽntendossier van een hele andere orde dan de ledenlijst van de biljartclub.

Dus ik vind niet dat alle systemen waar mensen bij zijn betrokken moeten worden afgeschaft.

Met name voor verzekering en werkgevers is dit interessante informatie. Bv. personen met een ziekte die uiterlijk niet zichtbaar is en waarbij is gekozen om dit niet naar de buitenwereld te brengen kunnen door dit soort praktijken ernstig gediscrimineerd worden.

Het verleden heeft geleerd dat:
a. beveiligen niet of maar tijdelijk werkt
b. deze systemen staan of vallen met de gebruikers en dat juist deze vaak in de fout gaan

Dus ja ik ben voor het delen van informatie en zie hier zeker de toegevoegde waarde van, maar zolang dit niet op een veilige manier kan ben ik tegen een elektronisch patiŽntendossier.
Maar in dat geval staat het leven van die piloot ook op het spel.
Is toch net anders ;)
Dat kan je blokkeren, dat er geen ongeauthoriseerde (unencrypted) USB-sticks mogen worden gebruikt.

En dat had hier ook gebeurd moeten zijn uiteraard, het beveiligingsbeleid heeft hier dan ook redelijk hard gefaald, want kennelijk waren deze maatregelen helemaal niet getroffen.
Yep dat kan. Wat ze echter vergeten waren is dat er ook VMware op die machines stond waar je dan doodleuk je USB aankoppelt en dan met VMWare file-sharing gewoon de data op de USB stick zet. Zo heb ik nog wel een aantal mannieren gezien om die beveiligingen te omzeilen en altijd is er een achterdeur. M.a.w. het is een zinloze tijdverspillende excercitie om data die op Windows PCs staat veilig te willen houden. Als dit echt het doel is zijn mainframe achtige/thinclient oplossingen vele malen eenvoudiger dicht te timmeren... Oh ja, ook alle printers afkoppelen anders komt het geprint en al op straat...
Die VM's hebben toch ook een virusbeveiliging? Trouwens, alle data over het netwerk kun je aan policy onderwerpen zoals ik eerder schreef. Hier wat demo's van Websense: http://www.websense.com/evaluations/Default.aspx
En wie heeft het hier over virussen dan?
Maar je kunt als systeembeheerder een systeem implementeren dat automatisch alle filetransfers naar externe schijven encrypt (of weigert als de schijf dit niet ondersteund).

Automatische decryptie is ook mogelijk, door andere computers, door bijvoorbeeld via een server keys aan hardware_id's van sticks te koppelen.

Klinkt misschien een beetje far-fetched maar het is wel een bank waar het hier over hebben. Dan zijn dit soort maatregelen toch niet zo gek?
Het systeem is kennelijk niet helemaal monkey-proof.

Dat zou ook niet nodig zijn wanneer ze personeel beter zouden opleiden en screenen.
@maceddy2004 - over je laatste opmerking:

*kuch* Nieuwe standaard betaalpas met EMV chip ipv magneetstrip die over 2 jaar wordt ingevoerd...*kuch*
en die inmiddels ook al gekraakt is :-)
Alles waar menselijke interactie voor nodig is, is in principe te kraken, zeker als het resultaat 1 op 1 identiek moet zijn. Nu kun je in financiŽle gegevens niet een paar nummers aanpassen om een kopie te kunnen herleiden naar een bron, wat bijvoorbeeld wel kan bij een film die een recensent krijgt (ja, zat films bij recensenten waar een nummer altijd in beeld staat op wisselende plekken wat een gelekte kopie naar die recensent kan herleiden, incluus een paar minder zichtbare unieke dingen). Als iets reproduceerbaar moet zijn, kun je het in feite niet 100% veilig maken.
Er is nooit IETS veilig geweest. Er hangt overal een risico aan.
De echt grote vraag is: Waarom beschikt er iemand over zulke massale exportfunctionaliteit. Als het systeem goed ingericht was, dan zijn er maar weinig mensen met de rechten om de gegevens van grote hoeveelheden klanten te exporteren (sysops ed), en kan de rest het enkel zien per klant, of zeer beperkte hoeveelheden (bijvoorbeeld alleen adressen)
Ik mag hopen dat de persoon die deze USB-stick verloren heeft op staande voet ontslagen is. En ik hoop ook dat de Rabobank juridische stappen gaat nemen richting deze anonieme persoon die de stick in plaats van bij de Rabobank het bij een andere partij afgeleverd heeft. Dit is gewoon grove schending van bedrijfsgeheimen, en privacy.

[Reactie gewijzigd door elmuerte op 17 december 2009 14:56]

Daar mag je heus wel vanuit gaan ja.

Maar mijns inziens zou ook de verantwoordelijk IT-manager en IT-beheerder de laan uitgestuurd moeten worden. Zij hebben er, als eindverantwoordelijken, niet voor gezorgd dat er geen unencrypted USB-sticks (of andere removable media) gebruikt konden worden.

In andere woorden, het IT-beveiligingsbeleid binnen de Rabobank functioneert onvoldoende, of bestaat helemaal niet (dat kan ook nog). Daar mogen de verantwoordelijk best wel eens op aangesproken worden.

Domme blunder iig, en ik hoop dat de schade voor klanten beperkt blijft, en dat de vinder van de stick de informatie niet nog eens naar andere, minder goedwilende, partijen gestuurd heeft.

[Reactie gewijzigd door wildhagen op 17 december 2009 14:50]

Daarom zijn er zoveel IT vacatures bij de rabobank... :S
Ik vind niet dat je de systeembeheerder of it manager op aan kunt kijken, maar de leidinggevende van desbetreffende persoon, it maakt de regels en zorgt dat ze na geleefd worden, bij teamleiders wordt geacht dat ze hun personeel mee in de gate houden...

En welke apetjoek zet er nou zoveel gegevens op een usb stick, ook al is het voor intern transport, een ftp server is zo opgezet namelijk.

maar ja ik ben het er mee eens dat de zwakste schakel in dit stuk toch echt de gebruiker is en niemand anders!!
En welke apetjoek zet er nou zoveel gegevens op een usb stick, ook al is het voor intern transport, een ftp server is zo opgezet namelijk.
Wa's dat nou weer voor argument? Een FTP server opzetten is lang niet voor iedereen weggelegd. Daar heb je veel meer kennis voor nodig dan even dingen op een USB stick zetten.
Waarom spreek je jezelf hier tegen?
"Ik vind niet dat je de systeembeheerder of it manager op aan kunt kijken"
"it maakt de regels en zorgt dat ze na geleefd worden"
:S Daar zeg je toch dat de IT afdeling ervoor moet zorgen dat de regels nageleefd worden? Dus is IT wel verantwoordelijk.
IT maakt de regels helemaal niet. IT realiseert, implementeert en beheerd de IT systemen naar de specificaties van de klant. dat rabobank ict nu de rabobank lokale bank als klant heeft is weer een ander verhaal maar ict is toch een vak van u vraagt wij draaien.

Rabobank heeft voor dit soort vraagstukken gewoon een afdeling "Beleid"
Juist de Chief Technology Officer of hoofd systeembeheer moet je hierop aankijken. Het is toch onbestaanbaar dat zij een policy handhaven die toestaat dat een willekeurige medewerker even een database leegtrekt!?

Het ging hier om namen en adressen, dus gegevens uit het CRM, en beleggingsvormen en bedragen dus gegevens uit de boeken. Waarschijnlijk slechts het deel waar hij toegang toe had, maar dit betekent dat een boekhouder van de Rabobank transactiegegevens naar zijn USB stick kan kopieren. Om gegevens te raadplegen is een webportal net zo goed, daarvoor hoef je niet met een bestand te gaan leuren.

Dit is geen ongeluk maar een voorspelbare fout in de policies die dus nog wel vaker zal voorkomen. Dat de bank regels heeft over hoe om te gaan met zulke gekopieerde data betekent dat het kopieren an sich daar heel normaal gevonden wordt. En dat zou het niet mogen zijn.
En welke apetjoek zet er nou zoveel gegevens op een usb stick, ook al is het voor intern transport, een ftp server is zo opgezet namelijk.
neen FTP is een lekker veilig protocol. Neem dan SFTP of FTPS.
Daar mag je heus wel vanuit gaan ja.

Maar mijns inziens zou ook de verantwoordelijk IT-manager en IT-beheerder de laan uitgestuurd moeten worden. Zij hebben er, als eindverantwoordelijken, niet voor gezorgd dat er geen unencrypted USB-sticks (of andere removable media) gebruikt konden worden.
Die zijn er waarschijnlijk wel, maar wie zegt dat een gewone werknemer niet even dacht dat die de gegevens even op zijn eigen USB-stickje kon zetten...
In andere woorden, het IT-beveiligingsbeleid binnen de Rabobank functioneert onvoldoende, of bestaat helemaal niet (dat kan ook nog). Daar mogen de verantwoordelijk best wel eens op aangesproken worden.

Domme blunder iig, en ik hoop dat de schade voor klanten beperkt blijft, en dat de vinder van de stick de informatie niet nog eens naar andere, minder goedwilende, partijen gestuurd heeft.
Een beetje een voorbarige conclusie dus.
Die zijn er waarschijnlijk wel, maar wie zegt dat een gewone werknemer niet even dacht dat die de gegevens even op zijn eigen USB-stickje kon zetten...
En hoe kan het dat hij Łberhaupt zijn eigen. niet-geauthoriseerde USB-stick kon gebruiken? Dat hoor je als systeembeheeder te blokkeren, je hoort ervoor te zorgen dat er of helemaal gťťn USB-sticks gebruikt kunnen worden, of alleen die sticks die door de IT-afdeling goedgekeurd zijn, en dus encrypted.

Dat is hier dus niet gebeurd kennelijk, en dan is de conclusie dat het beveiligingsbeleid gefaald heeft helemaal niet voorbarig. Had het namelijk wťl gefunctioneerd, dan had dit niet kunnen gebeuren.

Tuurlijk, de stick verliezen had dan nog wel gekund, maar dan was hij tenminste encrypted geweest.
Je werknemers bewust maken van de gevoeligheid van de data en ze daarna vertrouwen is ook een vorm van beleid. een cursus security awareness hebben ze bij de rabobank echt wel.
Je vergeet even dat de IT afdeling een dienstverlenende afdeling is en overigens vaak ook makkelijk te outsourcen. Een security afdeling bepaalt samen met het management de beleidsregels en dat wordt opgelegd aan de medewerkers. De IT afdeling faciliteert daarin, niets meer en niets minder.
Geen IT beveiligingsbeleid? Dat zou in theorie kunnen, maar je suggereert hier wel een criminele nalatigheid van de Rabobank. Dat is een zware beschuldiging, heb je daarvan ook maar 1 greintje onderbouwing?

Met name de quote "in de zeldzame gevallen dat gegevens op een draagbaar opslagmedium gezet mogen worden, moeten deze versleuteld zijn." wijst erop dat er wel degelijk een beleid is.
Ik beschuldig helemaal niemand, jij verbuigt mijn woorden. Ik zeg dat het een mogelijkheid is, en dat is ook zo.

In tegenstelling tot jou ken ik de interne Rabobank-organisatie op het gebied van IT-beleid niet, maar het lijkt me toch redelijk evident dat het beleid, of de implementatie ervan, niet deugt als er zomaar unencrypted sticks worden geaccepteerd op het netwerk. Dit had technisch onmogelijk gemaakt moeten zijn.
Door wildhagen, donderdag 17 december 2009 14:49

[...]

Maar mijns inziens zou ook de verantwoordelijk IT-manager en IT-beheerder de laan uitgestuurd moeten worden. Zij hebben er, als eindverantwoordelijken, niet voor gezorgd dat er geen unencrypted USB-sticks (of andere removable media) gebruikt konden worden.
Dat klinkt toch echt als een beschuldiging. In plaats van MSalters onterecht te beschuldigen van het verbuigen van je woorden had je beter kunnen aangeven dat je het niet zo ongezouten bedoelde.

[Reactie gewijzigd door jpk op 17 december 2009 15:42]

Beleid is leuk als het toegepast wordt en het daarna werkt zoals bedoeld. Anders zijn het wat krabbels op een stuk papier.
dat vind ikk wel weer erg sterk gezegd, wie weet waarom hij de gegevens bij zich had? misschien wel in opdracht van zijn baas. en tja, een usb stick kun je nu eenmaal verliezen, omdaarom nou gelijk iemand te ontslaan...
In opdracht van de baas , voor een vergadering etc etc maakt allemaal toch niet uit? Je werkt bij een BANK en daar staat MOET veiligheid op de eerste plaats komen het gaat namelijk niet om zomaar wat gegevens. Deze persoon mag van mij echt zwaar gestraft worden.
Nee, echt direct ontslaan. Het moet een duidelijk signaal afgeven dat dit ECHT niet kan. Anders leren ze het nooit.

Jammer maar helaas, wie bij een bank werkt hoort dit simpelweg te weten.
Nee, echt direct ontslaan. Het moet een duidelijk signaal afgeven dat dit ECHT niet kan. Anders leren ze het nooit.

Jammer maar helaas, wie bij een bank werkt hoort dit simpelweg te weten.
Volgens mij is het direct ontslaan van een persoon vanwege een domme fout (en we zijn mensen, we mogen gelukkig fouten maken) in strijd met de wet. De enige geldige reden voor ontslag op staande voet is als iemand agressief wordt of diefstal pleegt. In theorie kun je dit onder diefstal scharen, maar ik denk niet dat je er mee weg komt.

Voor al het andere moet je een ontslag vergunning aanvragen, en ik vraag me ernstig af of je die in deze situatie krijgt.

Ik denk wel dat de persoon zijn/haar promotie kansen ernstig verkeken zijn, echter.
In oostblok landen wordt je privacy echt veel beter beschermd. Als je daar gegevens lekt als bankmedewerker dan ga je gewoon naar het gevang. Zonder pardon. Dus als je je geld nog echt veilig weg wilt zetten doe dat dan niet in deze bananenrepubliek.
Ook al was het de opdracht van de baas. Je jou beter moeten weten, je zal echt niet ontslagen worden omdat jij een opdracht van je baas niet uitvoerdt die nadelige gevolgen kan hebben voor het bedrijf. En als ze daar echt moeilijk over gaan doen, dat moet jij je afvragen of je uberhaupt voor zo'n bedrijf wil blijven werken.
... in opdracht van zijn baas...

In dat geval moet de baas eruit worden gewipt. Helaas is de praktijk vaak anders...
En ik hoop ook dat de Rabobank juridische stappen gaat nemen richting deze anonieme persoon die de stick in plaats van bij de Rabobank het bij een andere partij afgeleverd heeft

Ja dat moeten ze zeker doen, kunnen ze hem aanklagen, dat ze kans niet hebben gekregen de zaak in de doofpot te stoppen.
Denk toch eens na, voordat je zoiets schrijft.
De vinder had de USB stick ook gewoon samen met de krant kunnen afgeven bij de rabobank. Nu hebben op z'n minst 2 personen de data bekeken die hun niet aan hoort te gaan. Er is een redelijke kans dat delen van de data bij de krant gewoon nog rond zwerven.
Er is niets strafbaars aan zo'n stick bij de krant afgeven.
Leuk,
En ik hoop ook dat de Rabobank juridische stappen gaat nemen richting deze anonieme persoon die de stick in plaats van bij de Rabobank het bij een andere partij afgeleverd heeft,

Nu hebben ze het niet in de doofpot kunnen stoppen.
Zo'n werknemer moet je houden. die gaat op dit moment door de grond en je weet haast zeker dat die zo'n fout in de toekomst niet weer maakt. nog even de USB-fail award pontificaal op zijn/haar bureau en heel 2010 flauwe grappen "heb je nog goede voornemens dit jaar" is wel een mooie om mee te beginnen.
Wat ik nog steeds niet begrijp is het feit dat de vinder gelijk naar de krant rent, wat is er mis met gevonden voorwerpen op het politiebureau afgeven?
Ik denk dat het juist wel goed is om het naar de krant te brengen. Niet om misbruik te maken van de gegevens, maar wel om duidelijk te maken hoe snel dit soort foutjes gemaakt worden.
Het is 'gevaarlijk' om dit soort gegevens naar een krant te brengen. Imho kun je hem beter idd naar een politiebureau brengen.
Wees blij dat die naar de krant gaan. Die publiceren een artikel, maar doen niks met de gegevens.

Hij had ook de bank kunnen chanteren en zo een vindersloon afdwingen.

Of aan een of andere onderwereld persoon verkopen die er iets mee kan.
moet jij me eens zeggen wat je aan die gegevens hebt...
het lijkt me dat er best wel interesse is van zekere 'mannetjes" in de adressen van alle clienten met een saldo van +1 miljoen. Ik bedoel iets als: "5 ton en je krijgt je dochtertje terug"...
Wat ik nog steeds niet begrijp is het feit dat de vinder gelijk naar de krant rent,
Eerst naar een computer uiteraard, om te zien wat er op die stick staat. En dan misschien naar een krant, of de bank, de belasting of het politiekantoor.
Of de stick wissen en voor een beter doel inzetten.
eens. altijd maar dat geren naar de krant. je kan het toch ook gewoon melden en niet die stick aan de krant geven... alsof de krant ineens een soort eerlijke instantie is. als iemand mijn pr()n foto's vind op mn usb stick heb ik ook liever dat ie er mee naar mij komt ipv bij geenstijl of de krant af te leveren
Tsjonge, wat zijn er weer een boel mensen die precies weten hoe het in elkaar zit en zou moeten.
DE rabobank zou dit en DE rabobank zou dat.
Het gaat hier niet om DE rabobank maar om EEN rabobank.
Daarvan hebben we er zo'n 150 in nederland.
Die zijn allemaal zelfstandig, OOK voor wat betreft het uit te voeren beleid.
En daar valt beveiliging ook onder.
O ja, is dat zo? Een aantal dingen binnen de Rabobank worden namelijk wel degelijk landelijk geregeld, en niet apart door elke bank, zoals bijvoorbeeld het personeelsbeleid, maar ook de automatisering word landelijk geregeld, en dus niet door elk filiaal op zich.

Zie dit artikel:
De landelijke organisatie doet centrale taken voor alle kantoren zoals de verwerking van hypotheken,de automatisering en personeelsbeleid.
En dit is nog steeds actueel voor zover mij bekend.

[Reactie gewijzigd door wildhagen op 17 december 2009 15:35]

Krantenarchief
4 juni 2004...
Daarnaast voert Rabobank Nederland een aantal centrale staffuncties uit voor de lokale banken en de gehele Rabobank Groep, zoals ..., Groep ICT en CoŲperatie en Bestuur, ...

http://overons.rabobank.c...satie/rabobank_nederland/
© Rabobank, 2009
Ik denk niet dat ze 150x alles zelf laten regelen dan heb je een grote puinhoop.

Zelfde regels, zelfde beleid, zelfde beheer.

Dat er bij 1 van de 150 iets fout gaat, dat kan ja.

Rabobank is nog steeds een goede betrouwbare bank.

maar fouten maken ze allemaal wel eens.
In het orginele bericht is te lezen dat het om de beleggings gegevens van deze klanten gaat.
Ik zou best wel eens willen zien waar kerken in beleggen. ;)
Manchester Cathedral, de kerk die klaagde over het feit dat hun kerk in Resistance: Fall of Man gebruikt werd, met als reden dat zij niet betrokken willen zijn bij welk geweld dan ook, bleek een beleggingsportefeulle te hebben waaronder ook wapenhandelaars vielen.
Hangt van hun beleggingsprofiel af, het is niet zonder meer zo dat zij in religieuze zaken beleggen natuurlijk...
Tsja, zo zie je maar weer dat de zwakste schakel in iedere beveiligings-policy de mens is. Je kunt nog zo'n mooie regels hanteren wbt encrypte en beveiliging, als je medewerkers het keihard negeren heb je nog niks bereikt.
tja, elke beveiliging is net zo sterk als de zwakste schakel en dat is toch meestal de gebruiker :)

enige manier om dit te voorkomen is alle usbsticks bannen... mijn vraag is meer, wat deed een medewerker uberhaubt met gegevens van de klanten buiten de bank? daar heb je toch vpn etc voor?
Hofland bevestigt dat de data niet versleuteld was: "Hoe dit kan is ons een raadsel.

Nou volgens mij heb je gewoon je usb poorten niet afgesloten op de werkstations en heeft een medewerker zijn excelletje gekopieerd. Duh...

Dit is een stick die beland bij de krant door een fout van een onwetende medewerker.

Er zullen waarschijnlijk niet alleen onwetende medewerkers werken...
Wie zegt overigens dat deze gegevens bij de Rabobank zelf op de stick gezet zijn?

Je kunt deze gegevens echt wel met een omweg bij jezelf thuis bezorgen als je er toegang tot hebt, en dan thuis op een onbeveiligde stick zetten.
Je zou iig verwachten dat alle bestanden bij een bank sowieso encrypted zijn waardoor je het niet zomaar meer naar buiten kunt brengen...
De zoveelste verloren USB stick of Overheids Computer bij het vuil affaire.

Ik neem aan dat de rabobank wel iets heeft als de ironkey enterprise voor gevoelige data, het zijn dure usb sticks, maar het verlies (en misbruik?) van de data en de imagoschade zijn vele malen duurder.

[Reactie gewijzigd door donny007 op 17 december 2009 15:08]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True