Delta Lloyd-hacker krijgt twee jaar cel

Een Belgische man is door een rechtbank veroordeeld tot twee jaar cel wegens het hacken van computersystemen van Delta Lloyd. Ook moet hij een schadevergoeding van 37.000 euro betalen met daarbovenop nog een boete van 1100 euro.

De 36-jarige verdachte was niet bij de zitting aanwezig, maar dient nu direct worden aangehouden, zo luidde de uitspraak van de rechtbank in Antwerpen waar de Belgische site HLN over bericht. De man werd schuldig bevonden aan het inbreken op computersystemen van Delta Lloyd en het installeren van keyloggers. Daarbij zou hij in augustus 2011 vertrouwelijke gegevens hebben proberen te stelen en zou hij tevens geprobeerd hebben om zijn sporen uit te wissen.

Alhoewel de hacker, die ten tijde van de inbraak als ict-dienstverlener werkzaam was bij Delta Lloyd, claimt geen kwaad in de zin te hebben gehad en alleen een beeld van het banknetwerk zou hebben willen krijgen, meent de rechter dat hier wel degelijk sprake van was. Naast een celstraf van twee jaar moet de man ook een schadevergoeding van 37.000 euro en een boete van 1100 euro betalen. Delta Lloyd had echter een schadevergoeding van ruim 300.000 euro geëist. Volgens de financiële dienstverlener zijn dit de kosten van imagoschade, herstel van de computersystemen en het verbeteren van de beveiliging.

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 04-04-2012 19:02 40

04-04-2012 • 19:02

40

Lees meer

Amerikaanse 15-jarige hacker veroordeeld voor fraude en identiteitsdiefstal
Amerikaanse 15-jarige hacker veroordeeld voor fraude en identiteitsdiefstal Nieuws van 10 november 2012
Hacker van 240.000 creditcardnummers krijgt zeven jaar cel
Hacker van 240.000 creditcardnummers krijgt zeven jaar cel Nieuws van 19 juli 2012
Criminelen stelen data van mogelijk 1,5 miljoen creditcardhouders
Criminelen stelen data van mogelijk 1,5 miljoen creditcardhouders Nieuws van 2 april 2012
LulzSec claimt hack van militaire datingsite
LulzSec claimt hack van militaire datingsite Nieuws van 27 maart 2012
Verdachte hack KPN bekent schuld
Verdachte hack KPN bekent schuld Nieuws van 27 maart 2012
Bol.com komt in handen van investeringsmaatschappij Delta Lloyd
Bol.com komt in handen van investeringsmaatschappij Delta Lloyd Nieuws van 24 april 2009
Meer producten en artikelen
Politiek en recht Privacy België Beveiliging Hackers Rechtszaak

Reacties (40)

-Moderatie-faq
40
38
23
3
0
5
Wijzig sortering
keejoz 4 april 2012 19:04
Heel sterk dat "het verbeteren van de beveiliging" uit een schadevergoeding moet komen...
totaalgeenhard @keejoz4 april 2012 19:11
Ruim de helft van alle ICT beveiligingsincidenten komen voort door interne medewerkers, daar kan je je niet tegen beschermen, hooguit procedureel monitoring/detectie opties heb je, maar dat zal niet tegen elke medewerker afdoende zijn, zoals je Security Officer zelf... (wat vaak een manager is zonder diepe technische kennis...)
Verwijderd @totaalgeenhard4 april 2012 20:21
En daar benoem je direct de pijnpunten: Security officers die geen kennis hebben van wat ze managen (van de 4 grote banken waar ik heb gewerkt waren er 3 incapabele security officers). Bedrijven die geen goeie policy hebben qua rechten en controle (ook intern kan je je rechten definieeren en toegang ontzeggen of op zijn minst loggen).

Mijn ervaring bij dergelijke partijen is dat er geen monitoring is intern, er is geen kennis en uberhaubt niet de behoefte om te investeren in security.

Een hacker laten opdraaien voor interne beveiliging die faalde, dacht het niet. En gelukkig denkt de rechter daar net zo over.

[Reactie gewijzigd door Verwijderd op 2 augustus 2024 14:18]

latka @Verwijderd4 april 2012 20:47
Ik kan dit onderschrijven en de afweging bij banken lijkt te zijn: als we flink gaan investeren dan zullen mensen wel denken dat het niet in orde is (reputatieschade) en als we niets doen worden we van binnenuit bestolen, maar dat is goedkoper dan investeren (met kans op reputatieschade als bekend wordt dat er intern geld verdwijnt).
totaalgeenhard @Verwijderd4 april 2012 22:04
Even een nuance, bij banken lopen vele CISSP'ers rond.

Business risk manager/directeur gaat niet alleen over ICT maar ook over de risico's van hun diensten.

Handhaven en toezicht houden op policy is hun taak, dat ze daarbij afhankelijk zijn van de techneuten (engineers en beheerders) is evident.

Maar als daar een rotte appel tussen zit doe je er niets aan.

Verder kan ook de beste techneut geen complex infrastructuur overzien indien daar andere MENSEN aan kunnen zitten. Dus in theorie kan het wel kloppen maar de rest risico blijft altijd.

Een voorbeeld is certificaat installeren op een FIPS-140 device in de financiële/assurantie sector, ik zou dat persoonlijk dat door manager/directeur laten doen. Echter hebben mijn handen dat anders ervaren.

Men ziet dat soort dingen als onderdeel van engineering en niet als het hang en sluitwerk waar je de sleutel niet enige tijd in handen van derden achterlaten. (laat staan van externen)

Gezien de sommige reacties hier zijn de normen en waarden erg gedaald en is ethisch handelen kennelijk iets wat alleen vroeger normaal was.

Als je niet loyaal kunt zijn aan je broodheer, aan wie ben je dat dan wel? Want je verloochend jezelf door een jezelf een prijs toe te kennen.
Ketho @keejoz4 april 2012 21:06
Met deze redenering kan je elke beveiliging wel financieren lijkt me }:O
Verwijderd 4 april 2012 19:05
Delta Lloyd, niets is zeker :+

Ontopic: Goed dat de hacker wordt berecht, maar leren de grote instanties hier niets van? Waarom huren ze geen mensen in die de systemen controleren op veiligheid? Keyloggers zijn volgens mij gewoon te detecteren.

Imagoschade vind ik ook nergens op slaan. Ze hebben het immers aan zichzelf te danken.

[Reactie gewijzigd door Verwijderd op 2 augustus 2024 14:18]

Hoowgii @Verwijderd4 april 2012 19:11
Dat wordt wel elke keer geroepen..

Maar het zit al in de wortels.
Ontwikkeling -> Testen -> implementatie.

Als dit door 3 verschillende afdelingen gebeurt (die uiteraard kritisch kijken naar het systeem) dan haal je er imo meer uit dan dat 1 persoon dit doet.
Daarnaast heb je dan een 4-ogen principe. Vergeet niet dat 80% van de fraude e.d. intern gebeurt!

BIj een systeem als deze, welke dus al geïmplementeerd is, is het inderdaad verstandig om IT-audits te ondergaan. Wat me wel lijkt te gebeuren in een dergelijke organisatie?

Dit om de grote gaten bovenwater te halen.

Deze meneer was wederom intern werkzaam. Daarom zijn er ook goede interne procedures nodig om de systemen dicht te houden.

Dan kom je op het kosten/baten principe. Er staat niet in het artikel of het de man gelukt is. Maar als het dus met de interne beheersing is opgevangen en de man niet tot zijn daad heeft kunnen komen (er staat immers: proberen te stelen). Dan slaat je opmerking alweer nergens op :).
totaalgeenhard @Hoowgii4 april 2012 22:04
Je vergeet acceptatie.

Tenzij je het over ING hebt, die doen geen acceptatie testen, laat staan loadtesten ;-)
arjankoole
@totaalgeenhard5 april 2012 06:40
Tenzij je het over ING hebt, die doen geen acceptatie testen, laat staan loadtesten ;-)
Dat is niet mijn ervaring met ze.
MPAnnihilator @Verwijderd4 april 2012 20:53
De bank had hier wel degelijk zelf gedetecteerd dat er iets niet pluis was. Daarna is men samen , Bank - ICT verlener en de politie gaan traceren in de logs wat er gebeurd was.

En iemand, met lokale admin en domain admin rechten en de firewalls beheert , verhinderen dat hij/zij een keylogger installeert , kan niemand / geen enkele tool.
Gammort 4 april 2012 19:15
Ondanks dat ik vind dat deze persoon inderdaad gestraft moet worden kan ik hieruit niet opmaken waarom zo'n hoge straf als 2 jaar cel voor hem terecht is? Wat heeft hij precies gedaan waarvoor hij 2 jaar van zijn leven kan gaan brommen? Is hij daadwerkelijk overgegaan tot zeer kwalijke zaken of gaat het hier slechts om voorbereidende werkzaamheden voor iets potentieels? Wat zijn de bewijzen?

Zoals anderen al zeggen vind ik ook de schadevergoeding die deltalloyd eist niet gepast en al zeker niet om de reden die ze hebben opgegeven.
ieperlingetje @Gammort4 april 2012 19:24
Waarschijnlijk speelt ook mee dat hij keyloggers installeerde, dan is het niet meer zomaar 'eens kijken hoe de beveiliging hier in elkaar steekt', dat is echt proberen in te breken en te stelen.
Verwijderd @Gammort4 april 2012 19:53
Gewoon afschrikken voor anderen..
Jeroen797 4 april 2012 19:06
Volgens de financiële dienstverlener zijn dit de kosten van imagoschade, herstel van de computersystemen en het verbeteren van de beveiliging.
Ik snap nou nooit waarom een "hacker" verantwoordelijk zou zijn voor deze kosten. Zo zou het wel erg makkelijk zijn voor bedrijven. Die zorgen gewoon voor een slechte beveiliging voor een niet belangrijk systeem en denken, we wachten wel op de eerste de beste hacker en die betaald dan wel voor een beter systeem als hij gepakt wordt.

EDIT: wat Keejoz zegt dus :)

[Reactie gewijzigd door Jeroen797 op 2 augustus 2024 14:18]

Martao 4 april 2012 19:09
Ik ben het wel eens met eerdere posters dat DL de imagoschade en de onveiligheid aan zichzelf te danken had, dus dat kosten van imagoschade en het verbeteren van de veiligheid dus gewoon hun eigen kosten zijn.

Aan de andere kant: het is wel een werknemer die zijn werkgever in diskrediet brengt. Dat is op zich wel een ernstige zaak.

Verder moet ik wel zeggen dat ik niks van de zaak weet, want als bedrijf zou ik blij zijn als een white-hat-hacker/werknemer problemen intern aan de kaak stelt. Dat er ergens iemand op zijn teentjes getrapt is OK, maar aanklagen doet wel vermoeden dat hij niet helemaal white-hat was? EDIT: Oh ja, er staat in het bericht al iets over keyloggers en stelen van informatie.

[Reactie gewijzigd door Martao op 28 juli 2024 06:59]

MicGlou 4 april 2012 19:26
De titel van het artikel doet de veroordeelde eigenlijk al teveel eer aan, je bent niet echt een hacker als je toegang had tot de systemen... er is misbruik gemaakt van het vertrouwen wat hem is gegeven.

Overigens wel vreemd dat een 'schadevergoeding' gebruikt kan worden voor het 'verbeteren' van de systemen, wat is dan de werkelijk veroorzaakte schade als er blijkbaar geld in had moeten zitten voor verbeteringen? Die beveiliging had toch al op orde moeten zijn...? Dat is toch een stukje imago-schade wat ze zichzelf nu aanpraten lijkt mij.
Verwijderd 5 april 2012 06:14
En dat omschrijven ze dan als een "hacker" het is niks meer dan een zielig script kiddy met z'n keyloggertje.
Hij verdient het sowieso om keihard ontslagen te worden.

Meneer de ICT specialist...., kan niet eens zijn eigen sporen verbergen...., kneus!

Voor wat betreft 'reputatie schade' en 'beveiliging verbeteren' dat zijn kosten die het bedrijf lekker zelf voor rekening moet nemen.
Als ze al een hele goede beveiliging hadden gehad dan zou het niet verbeterd hoeven worden, was dit niet gebeurd en hadden ze geen reputatie schade geleden.
Er zijn genoeg tools om het netwerk ook voor 'problemen' van binnen uit te kunnen beveiligen en monitoren, zelfs voor mensen met admin rechten!

[Reactie gewijzigd door Verwijderd op 2 augustus 2024 14:18]

Verwijderd 4 april 2012 19:05
Imagoschade... oh kom op zeg... De rest snap ik, maar imagoschade? Iedereen is verantwoordelijk voor z'n eigen fouten.
Douweegbertje @Verwijderd4 april 2012 19:38
Als jij je niet bewust bent van een fout, en in feite dus ook niet wilt dat iemand in je systeem komt...waarom mag dan iemand zomaar misbruik van iets maken?
Naar mijn mening hebben hun zeker wel imagoschade, dat stukje "vertrouwen" kan bij sommige wel weg zijn namelijk.
Juist het stukje "verbeteren van de beveiliging" is iets waar je je twijfels over mag trekken. Zoiets staat helemaal los van alles. Dat je een kwetsbaarheid dicht, en je systemen moeten herstellen.. dat is logisch. Een extra buffer er bij zetten als investering hoort hier totaal niet bij..
latka @Verwijderd4 april 2012 20:49
Het enige product van een bank is zijn reputatie de rest is vervangbaar. Als bekend wordt dat bij een bank je geld niet veilig is en mensen het geld opnemen heb je een bankrun.
De enige reden dat jij bij de bank zit waar je nu zit is historie en reputatie, de productdifferentatie is minimaal (iedere bank heeft ATMs, internet bankieren etc. etc.)
fdh @Verwijderd4 april 2012 20:58
Volgens het artikel in de standaard datanews werkte de persoon niet rechtstreeks voor de bank, maar voor een ict dienstverlener die de bank als klant had.
De imago schade slaat dus op de dienstverlener en is wel degelijk reëel.

[Reactie gewijzigd door fdh op 2 augustus 2024 14:18]

joeriz9 4 april 2012 20:13
300,000 voor imagoschade en Computer herstel?

Computer herstel? Je mag er toch vanuit gaan dat ze een degelijke image hebben?
latka @joeriz94 april 2012 20:52
Weet je wat het kost om op het knopje te drukken om dat image terug te zetten? Precies een paar duizend euro op zijn minst en dan alle handelingen eromheen (helpdesk, leidinggevende die akkoord met geven, security afdeling die zijn plasje erover moet doen etc. etc.). Dit soort zaken loopt snel in de papieren bij dit soort clubs ;-)
MPAnnihilator @joeriz94 april 2012 21:14
En al de tijd dat je kwijt bent met het aanbrengen en samenwerken met de politie ...
arjanv 4 april 2012 21:32
eindelijk gaan ze deze mensen ook aanpakken.

iedereen moet gewoon met z'n tengels van andermans spullen afblijven [punt]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq