Pennenstreek

Er was eens een groot bedrijf, dat uit meerdere onderdelen bestond. Die onderdelen opereerden relatief onafhankelijk van elkaar, maar naar de buitenwereld toe was het één bedrijf, zoals wij buitenstaanders alleen Shell zien en niet wat daar in het harkje allemaal onder hangt. Dat bedrijf, waarvan ik de naam verder in het midden laat, omdat die voor dit verhaal niet relevant is, had ook bedrijfsonderdelen die een ondersteunende taak voor meerdere andere bedrijfsonderdelen hadden, zoals het IT-bedrijf en HR.

Door een reorganisatie veranderde de naam van het IT-bedrijf. Dat was een intern feestje; de buitenwereld merkte er niets van. En toch had die wijziging een paar jaar later bijna tot een publicitaire blamage en commerciële schade voor dit trotse bedrijf geleid. Dat had ermee te maken dat het IT-bedrijf een eigen inschrijving bij de Kamer van Koophandel had.

Intermezzo Je hebt in mijn blog al vaker iets gelezen over digitale certificaten. Als je een website bezoekt en je browser toont naast de adresbalk het bekende slotje, dan zorgt zo’n certificaat ervoor dat de verbinding tussen jouw computer en die website beveiligd is – niemand behalve jij en de website kan zien wat jij daar doet. Ook de gegevens die je eventueel invult zijn onleesbaar voor derden. Maar het certificaat doet meer: het werkt als een digitaal paspoort. Ik moet daar meteen bij vermelden dat de vergelijking met het paspoort een beetje mank gaat. Jouw eigen paspoort of id-kaart wordt door de overheid uitgegeven en bevestigt onomstotelijk wie jij bent. Digitale certificaten worden in diverse smaken door commerciële bedrijven verstrekt. Bij de uitgifte van de eenvoudigste certificaten wordt alleen gecontroleerd of jij, als je een certificaat aanvraagt voor het domein hatsekiedee.nl, ook de eigenaar van dat domein bent. Voor sommige websites is meer zekerheid gewenst dat de inhoud ervan uit vertrouwde bron komt – iedere crimineel kan immers het domein hatsekiedee.nl registreren en daar vervolgens zo’n eenvoudig certificaat op zetten. Bij uitgifte van de luxere certificaten wordt ook de inschrijving bij de Kamer van Koophandel gecontroleerd. Zo wordt er een link gelegd tussen de domeinnaam en wie daar feitelijk achter zit. Bovendien weet de uitgever van het certificaat dat jij gemachtigd bent om namens de firma Hatsekiedee certificaten aan te vragen.

Terug naar het eigenlijke verhaal. Dat IT-bedrijf werd gereorganiseerd en kreeg een nieuwe naam. Toen hun certificatenleverancier daar lucht van kreeg, waarschuwde hij het bedrijf: als de inschrijving bij de KvK ook zou worden aangepast, dan zou die niet meer overeenkomen met wat er in de certificaten staat. Dat zou tot gevolg hebben dat alle certificaten ongeldig zouden worden verklaard. En aangezien het IT-bedrijf de certificaten voor het hele bedrijf beheerde, zou dat betekenen dat bezoekers van alle websites van het hele bedrijf opeens een waarschuwing van hun browser te zien zouden krijgen: pas op, het is hier niet veilig, maak dat je wegkomt!

De certificaatbeheerder van het IT-bedrijf lichtte zijn directie hierover in: denk erom, als jullie de KvK-inschrijving willen wijzigen, dan moeten jullie dat met mij afstemmen. Dat was geen probleem; de directie had geen haast met die inschrijving, als ze daar überhaupt al aan hadden gedacht.

Enkele jaren later wilde de beheerder een nieuw certificaat voor een of ander project bestellen. Tot zijn verbazing kreeg hij de melding dat het certificaat niet konden worden verstrekt. Even later had hij zijn verontruste leverancier aan te telefoon: “Wat hebben jullie gedaan? Jullie inschrijving bij de KvK is gewijzigd! Ga dit gauw rechttrekken, anders moeten we al jullie certificaten intrekken…”

Het bedrijf startte onmiddellijk een onderzoek, dat aan het licht bracht dat een ánder bedrijfsonderdeel, dat kennelijk over de KvK-inschrijvingen ging, had gesignaleerd dat de inschrijving niet meer met de werkelijkheid klopte. Met de beste bedoelingen gingen ze dat even rechtzetten. En zo kwam, met een enkele pennenstreek, het digitale voortbestaan van het hele bedrijf in gevaar. Alleen door de alertheid van de leverancier, kordaat optreden van de certificaatbeheerder en allerlei collega’s en de medewerking van de KvK kon het tij tijdig worden gekeerd.

De moraal van dit verhaal: dénken dat je alles onder controle hebt, is niet altijd genoeg. Als het om zaken gaat die het voortbestaan van je bedrijf kunnen beïnvloeden, dan moet je het honderd procent zeker weten. Heb jij zoiets cruciaals als certificaten onder je hoede, zorg dan dat je weet welke functionarissen bij machte zijn om (onbedoeld) roet in jouw eten te gooien. En kijk daarbij verder dan je eigen bedrijfsonderdeel.

 

En in de grote boze buitenwereld …

• beveiligt de GGD onze coronatestgegevens niet goed
• staat de GGD daarom inmiddels onder verscherpt toezicht van de Autoriteit Persoonsgegevens
• valt er geld te verdienen met medische gegevens
• lekt data niet zomaar
• hebben internationale politiediensten cybercrime een zware slag toegebracht met het neerhalen van Emotet. De volgende – en laatste – versie van deze malware zal uitgebracht worden door… de Nederlandse politie.
• Nederlands artikel
• Engels artikel
• Ode aan Emotet
• kun je bij de politie checken of jij ook slachtoffer van Emotet bent
• informeren Duitse internetproviders hun met Emotet besmette klanten
• leed Nederland vorig jaar veel meer schade door digifraude dan in 2019
• richt Noord-Korea zijn digitale pijlen op beveiligingsonderzoekers
• houd je je iPhone 12 (en sommige andere smartphones) maar beter op gepaste afstand van je pacemaker of geïmplanteerde defibrillator
• moet je security en privacy mee-ontwerpen
• worden topmanagers gephisht met Office 365-documenten
• is er nu een heus security awareness-lied
• kun je veel geld verdienen met het hacken van Zoom of Teams. Wil je echt rijk worden? Hack dan de Tesla 3.
• weet je straks of die site, die niet meer bestaat, offline is gehaald vanwege oplichting