Slechte IT-beveiliging oorzaak miljardenfraude Sociéte Générale

Normaliter had Kerviel het risico moeten spreiden; minder winstgevend, maar wel veiliger.Uit intern onderzoek blijkt nu hoe Kerviel te werk ging. Hij had eerder gewerkt op de IT-afdeling van de bank en had daarom kennis van het systeem en de procedures. De controle-afdeling houdt zich normaliter aan deze procedures maar deed geen onderzoek toen de Kerviel's transacties voorbij kwamen.Kerviel wist ook handig onontdekt te blijven door het gebruik van valse e-mails om missende transacties goed te praten en leende logins van collega’s om in hun naam te handelen. Uiteindelijk werd Kerviel ontmaskerd toen er geen spoor in het e-mailarchief kon worden gevonden van de ontvangst van de vervalste berichten.Verder blijkt dat er tussen juli 2006 en september 2007 al 24 keer alarm is geslagen toen Kerviel zijn budget overschreed. Het risicomanagement gaf de schuld echter aan softwareproblemen en vroeg enkel aan Kerviel’s leidinggevenden om te controleren of hij voortaan zijn limiet niet weer te boven ging.De onderzoekscommissie heeft nu alvast enkele aanbevelingen gegeven om in de toekomst fraude te voorkomen. Zo moet een biometrische authenticatiesysteem het gebruik van andere accounts voorkomen en moet de alarmprocedure verbeterd worden zodat waarschuwingen eerder bij de juiste manager terechtkomen. Ook moeten geannuleerde en aangepaste transacties gecontroleerd worden, twee van de trucs die Kerviel gebruikte.De commissie doet nog verder onderzoek naar andere verdachte transacties en het gebruik van een instant messaging service door Kerviel voor zijn handelingen. Het definitieve rapport over het intern onderzoek wordt op 27 mei op de jaarlijkse vergadering gepresenteerd.