0 Flares 0 Flares ×

Emergono nuovi particolari e nuove teorie sulla truffa subita da Société Générale, in cui un singolo trader avrebbe eseguito transazioni non autorizzate per oltre 50 miliardi di euro. Abbiamo già detto che più di qualcuno sospetta che Jerome Kerviel sia poco più di un capro espiatorio, che viene sacrificato per nascondere colpe della banca e operazioni a rischio non documentate.

Quello che però emerge con disarmante chiarezza è, in ogni caso, una gestione decisamente approssimativa delle procedure basilari delle minime buone prassi di sicurezza informatica, che si davano per acquisite almeno per le banche nel settore finanziario (dove peraltro si riscontrano il maggior numero di certificazioni ISO 17799, sulla sicurezza informatica, appunto).

Come forse saprete, infatti, Kreviel utilizzava gli account di alcuni suoi colleghi allo scopo di “nascondere” e bilanciare con operazioni fittizie le sue operazioni non autorizzate, allo scopo di non fare scattare i campanelli d’allarme che avrebbero potuto insospettire i suoi capi.

Quello che sorprende non è tanto come Kreviel fosse in possesso delle password di oltre 90 altri dipendenti, ma di come le buone prassi di gestione delle password fossero del tutto ignorate. Anzi, sembra quasi che la banca francese presa una guida alla gestione delle password e applicata a rovescio. Infatti:

  • Non veniva apparentemente posto un obbligo a cambiare la password periodicamente;
  • Non venivano cancellate le password degli impiegati che cambiavano posizione;
  • Non venivano aggiornati i diritti di accesso per i dipendenti che cambiavano ruolo;
  • Capitava che impiegati in ferie o ammalati indicassero le loro password a dei colleghi, in modo da poter accedere al loro account

Insomma, uno scenario che fa molto riflettere sulla sicurezza delle banche, forse di quelle “tradizionali” ancor più di quelle online, che sono continuamente messe sotto pressione per mantenere standard di sicurezza elevati, forse più delle altre.

Banche e Risparmio [http://www.banknoise.com]