Vier jaar lang een gigantisch datalek over het hoofd zien

De  bank CapitalOne heeft vier jaar een datalek van ongekende omvang en het is niemand opgevallen. Dankzij de aanklacht en het vonnis is precies te achterhalen wat fout ging. De vragen die na het lezen blijven bestaan gelden ook voor de Nederlandse markt.

100 miljoen klanten

Een jaar geleden bleek de data van 100 miljoen klanten door de Amerikaanse bank CapitalOne gelekt te zijn. Daarvoor heeft het vorige week een boete gekregen van $80 miljoen Dollar. De hoogte van die boete heeft veel te maken met de omvang van het lek en de oorzaak.

De aanklacht tegen de bank is online beschikbaar (PDF) . Het acht pagina’s tellende document laat het beeld zien van een bank die naar de cloud moest gaan om te kunnen blijven concurreren. Dat argument blijkt dus echt te bestaan. Wat ook bestaat zijn bedrijven die dan de snelheid van de migratie belangrijker vinden dan een gedegen voorbereiding en training van de mensen.

Geen kennis

Die twee laatste punten zijn namelijk de hoofdredenen van de ontstane fout. In 2015 stapte CapitalOne over naar AWS. Sindsdien bleef de kennis van de medewerkers onder peil. Dat betrof niet alleen de direct betrokken technici. Aangetoond is tijdens de zaak dat ook de interne en externe auditors niet in de gaten hadden dat delen van de bank activiteiten in de cloud niet goed waren afgeschermd.

Wie dat wel zag was een medewerkster van AWS en die is in het voorjaar van 2019 een copy van die dataset gaan maken. Waarschijnlijk heeft zij daarbij besloten een deel van die data te koop aan te bieden of om andere redenen online te plaatsen. Toen pas viel het CapitalOne datalek op. Daarna ging het nog niet snel. De bank ontkende aanvankelijk dat er data was gelekt. Pas toen de klanten zich gingen roeren kwam inzicht, gevolgd door acties van politie en het ministerie van financiën.

De zaak heeft in Nederland weinig aandacht gekregen. In de Amerikaanse pers is er al veel over geschreven. De hoogte van de boete en de omvang van het lek zijn dan ook bijzonder. Maar wat veel ernstiger is de constatering dat vier jaar lang het eigen personeel en de auditors niet in de gaten hebben gehad dat de S3 fout geconfigureerd was.

Vervelende vragen

Met de details van zowel de aanklacht als het vonnis van CapitalOne in de hand dringen dan ook twee vervelende vragen op. De eerste is hoe groot is de kans dat dit datalek al eerder bekend was en door cybercriminelen is misbruikt. De tweede vraag is hoe groot de kans is dat in Europa of Nederland zoiets kan gebeuren. De afgelopen jaren zijn ook hier heel veel bedrijven met grote haast naar de cloud gestapt. Kunnen we er van uitgaan dat de kennis van de medewerkers en van de auditors heier wel in orde is?