Over crimineel gesproken – Equifax

      Reacties uitgeschakeld voor Over crimineel gesproken – Equifax

Het is nu twee jaar geleden dat Equifax grondig werd gehackt. Equifax heeft deze zaak niet goed aangepakt. Een vorige week bekend gemaakt vonnis geeft ook nog eens aan dat bestuurders voor de verplichte bekendmaking van de hack snel de aandelen hebben gedumpt. Over crimineel gesproken.

Nation state hack

Als gevolg van de Equifax hack, die onopgemerkt van mei tot september 2017 plaatsvond, is een onvoorstelbaar grote verzameling data in verkeerde handen gevallen. Het gaat om de data van tientallen miljoenen Amerikanen. Het aantal komt overeen met de helft van de volwassen Amerikaanse bevolking. Omdat de data nog niet op illegale marktplaatsen is verschenen gaan specialisten er van uit dat het een nation state hack is geweest. Met andere woorden de actie is uitgevoerd door, of in opdracht van, een niet bevriende mogendheid.

Equifax cultuur probleem

Equifax had de actie uiteraard kunnen voorkomen. Het bedrijf had en heeft echter de reputatie weinig te doen aan security. Eind mei schreef Technite al over de consequenties van die nalatigheid. De business heeft een lagere rating gekregen, wat het aantrekken van nieuw kapitaal en aandeelhouders bemoeilijkt.

Er is echter, buiten het structureel te weinig aandacht geven aan veiligheid, nog iets anders aan de hand met de cultuur van Equifax. Vlak voor het weekend werd onder andere via Darkreading bekend dat de CIO van Equifax tot een gevangenisstraf van vier maanden is veroordeeld. Het door hem begane misdrijf is het verkopen van zijn aandelen Equifax voor het datalek aan aandeelhouders, toezichthouders en de pers bekend werd gemaakt.

Uit het artikel valt op te maken dat de directie van Equifax al de nodige signalen van het datalek had ontvangen maar heeft gewacht met het bekend maken. Wie afwachtende houding zou te verklaren kunnen zijn als het gaat om het verkrijgen van zekerheid. Dat is hier waarschijnlijk niet het geval geweest. Equifax was eerder gehackt en de omvang van de 2017 hack was zo omvangrijk dat alleen al daarom spoedige actie was vereist.

Tweede veroordeling

Dat heeft Equifax nagelaten en de verkoop van aandelen door de CIO doet vermoeden dat bij het achterhouden van het lek hele andere factoren een rol hebben gespeeld. Het verhaal houdt echter niet op bij CIO Jun Ying. Ying is niet de eerste Equifax medewerker die voor insider trading is veroordeeld. Hij heeft 4 maanden celstraf gekregen wegens het voor het lek verkopen van zijn aandelen. Een andere medewerker is vorig jaar al veroordeeld tot huisarrest, een boete en het terugbetalen van het behaalde voordeel. Deze persoon was op basis van voorkennis over het lek tot de conclusie gekomen dat het slim was put opties te kopen. Na het bekend maken van het lek, daalde het aandeel en hij streek $75.000 op.

In Nederland heeft dit aspect van de afhandeling van de Equifax zaak de pers niet gehaald. Het is echter goed te weten wat er nog meer fout kan gaan bij een datalek. Het ophouden van de melding om er zelf beter van te worden is een kwalijke, ja zelfs criminele, handeling waar niet snel aan wordt gedacht. Of toezicht op de AVG ook impliceert dat bij een lek naar dit soort misstanden wordt gekeken of dat dit bij de beurs instanties blijft is tot zo ver bekend nog niet in de Nederlandse pers als vraag opgekomen. Deze update van de Equifax zaak kan aanleiding zijn daar nog eens naar te kijken.