Zwitsers datalek door menselijke fout

De Zwitserse vestiging van de HSBC Private Bank bekent dat gegevens over 15.000 Zwitserse bankrekeningen werden uitgeleverd door een werknemer van de bank.

De Zwitserse vestiging van de HSBC Private Bank bekent dat gegevens over 15.000 Zwitserse bankrekeningen werden uitgeleverd door een werknemer van de bank.

Daarmee erkent de bank dat het datalek heel wat groter was dan de 10 klanten waarover de eerste berichten, begin december van vorig jaar, het hadden. De omvang werd evenwel duidelijk, wanneer begin deze maand kopies van de data aan de bank werden bezorgd door de Zwitserse politiediensten. Die laatste hadden op hun beurt de info uit Frankrijk ontvangen.

Ondertussen blijkt de diefstal uit 2006 te dateren en gepleegd door een (voormalige) werknemer van HSBCPB, Hervé Falciani. Als ‘technical analyst’ bouwde hij mee aan de nieuwe ict-systemen van de bank, inclusief de overzetting van de data naar een meer beveiligde database. Het is precies door zijn positie dat hij toegang tot (zoveel) data had, in tegenstelling tot de gebruikelijke politiek in dergelijke banken om gevoelige informatie slechts volgens de noden aan zo klein mogelijke groepjes werknemers te verstrekken, legt de Financial Times uit. “De mens is de zwakste schakel in de security van eender welke bank”, klinkt het daar nog ten overvloede.

In een interview op de Zwitserse televisie in het programma ‘Mise au point’ van 7 februari, stelt Falciani dat hij de gegevens ontvreemdde uit ongenoegen over de belastingsontduiking die hieruit bleek, terwijl het nieuwe systeem daar geen komaf mee zou maken. Hij zou zelf de data niet hebben bekeken, maar die uit burgerzin hebben doorgegeven, ongeacht de gevolgen voor zijn carrière. Andere berichten spreken dat ‘witte ridder’-beeld tegen, en hebben het over een uiterst pragmatisch ingestelde persoon, die de diefstal zou hebben gepleegd omdat zijn salaris naar beneden werd herzien door zijn werkgever. Voorts zou hij pas naar Frankrijk zijn gevlucht, nadat een ex-collega hem zou hebben aangegeven bij de Zwitserse overheid.

De HSBC Private Bank meldt al voor meer dan 100 miljoen Zwitserse frank bijkomende beveiligingsmaatregelen te hebben genomen en excuseert zich bij zijn klanten. Overigens hadden de uitgelekte data al aanleiding gegeven tot een geschil tussen Frankrijk en Zwitserland, inclusief de opschorting van onderhandelingen rond een verdrag inzake bankgegevens. Frankrijk zou nu hebben toegezegd geen gebruik te maken van deze informatie in het kader van rechtszaken.

Moraal van het verhaal: security is een verhaal van mensen, en mensen moeten worden omkaderd met solide procedures.