“Wij hebben de veiligheid van klantgegevens hoog in het vaandel staan.” Als je een mailtje ontvangt dat zo begint, dan weet je bij de meeste bedrijven dat ze tot gisteren helemaal niet zo bezig waren met de veiligheid van jouw gegevens. Die zijn namelijk uitgelekt.
Onder informatiebeveiligers doet een grap de ronde: er zijn twee soorten
bedrijven – bedrijven, die gehackt zijn, en bedrijven, die niet weten dat ze
gehackt zijn. Natuurlijk heeft deze knipoog-uitspraak een serieuze ondertoon:
er wordt zoveel gehackt, dat het bijna niet anders kan dan dat op z’n minst
iemand geprobeerd heeft om jouw bedrijf te hacken. Net zoals we als individu
allemaal kennis hebben gemaakt met phishing.
Je moet er dus als bedrijf op zijn ingesteld dat hackers proberen bij je
binnen te dringen. Met welk doel ze dat nastreven, hangt af van de aard van de
hacker én van de aard van het bedrijf. Sommige hackers doen het gewoon omdat
het kan – zo is het ooit begonnen. Anderen doen het om er geld aan te verdienen
of om te spioneren, al dan niet in opdracht van hun regering. Het is dus zaak
om je daar in alle redelijkheid tegen te beschermen. In alle redelijkheid,
omdat de inspanning in balans moet zijn met het te verwachten geweld: elk
bedrijf zou bestand moeten zijn tegen een huis-tuin-en-keukenhack, maar van een
klein, onbelangrijk bedrijf kun je moeilijk verwachten dat het weerstand kan
bieden tegen statelijke actoren. Die zijn waarschijnlijk ook helemaal niet in
zo’n bedrijfje geïnteresseerd.
Tenzij… Ja, tenzij zo’n bedrijfje zaken doet met een bedrijf dat wél
interessant is voor een inlichtingendienst. Dan kan dat onbeduidende bedrijf
wel eens als springplank worden gebruikt. Bijvoorbeeld door de mailserver te
hacken en vervolgens een mailtje naar dat belangrijke bedrijf te sturen, dat er
dan uitziet als legitieme mail van het gehackte bedrijf. Als je zelf een
belangrijk bedrijf hebt, is het goed om je te realiseren dat je
toeleveringsketen als aanvalsroute naar jouw systemen kan worden gebruikt.
Ik dwaal af. Het ging immers om bedrijven die na een hack opeens
toeteren hoe belangrijk jouw privacy wel niet voor ze is. Ik word altijd wat
kregelig van kruipende zinnetjes als “We value your privacy”. Ja, nu opeens wel
hè, denk ik dan, omdat je met de billen bloot moet, omdat de AVG voorschrijft
dat je mij erover informeert als een hacker mijn gegevens bij jou heeft
gestolen. Had dan beter opgelet!
Als ergens iets misgaat, of als iemand iets stoms doet, dan heb ik –
ondanks mijn ergernis over het gebeurde – altijd de neiging om de zaak ook
vanuit het perspectief van de ander te bekijken. Ah, je hebt je bord niet in de
vaatwasser gezet omdat je dacht dat die vol was? Ja, dan begrijp ik het wel.
Maar ja, die aanname had je niet moeten doen, je had het even moeten checken.
Oh, je hebt je beveiliging de laatste drie jaar niet gecontroleerd omdat je
ervan uitging dat die nog wel goed zou zijn? Ja, vanuit die aanname snap ik
het, maar tenzij je de laatste tien jaar afgesneden was van de bewoonde wereld,
had je kunnen weten dat cybercrime zich razendsnel ontwikkelt en dat
beveiligingsmaatregelen regelmatig moeten worden geëvalueerd en bijgewerkt.
Doe je dat niet, dan ben je nalatig. Niemand kan zich tegenwoordig nog
beroepen op “wist-ik-veel”. Een bedrijf heeft allerlei verplichtingen, en het
principe van goed huisvaderschap is er daar een van. Ik vertrouw jou mijn
gegevens toe, dan wil ik ook dat jij ze een redelijke mate van beveiliging
biedt. Redelijk als in: voldoende bescherming tegen de dreigingen die je
redelijkerwijs zou moeten kunnen weerstaan.
Laatst kreeg ik zo’n mailtje van een gehackt bedrijf. Het begon met het
gebruikelijke jeukzinnetje, maar verderop in het mailtje werd mijn stemming
toch iets milder. Ja, mijn NAW-gegevens waren buitgemaakt, maar ze gaven ook
aan dat mijn wachtwoord én mijn bankrekeningnummer versleuteld waren opgeslagen
en dus geen gevaar liepen. Het versleutelen van wachtwoorden is een open deur,
maar dat ook het bankrekeningnummer was versleuteld, betekende dat bij dat
bedrijf daadwerkelijk iemand had nagedacht over informatiebeveiliging. Of het
een meesterzet was om het rekeningnummer te versleutelen laat ik even in het
midden, waar het om gaat is dat er meer is gedaan dan het minimale, en nog wel
bij een bedrijf waarvan ik het niet op voorhand had verwacht.
En in de grote boze buitenwereld …
- betaalde RTL losgeld, ondanks dat ze hun met ransomware besmette systemen zelf konden herstellen met intacte back-ups.
- onderzoekt de overheid of ze verzekeraars kan verbieden om losgeld te vergoeden bij een ransomware-aanval.
- kan een klein tekstbestand op de website een bedrijf helpen om geholpen te worden.
- stelen criminelen ook van criminelen.
- negeren sommige iPhone-apps de wens van gebruikers om hen niet te tracken.
- introduceert Apple tweefactorauthenticatie voor diensten van derden.
- maant de AIVD ons om belangrijke gegevens nu al te beschermen tegen aanvallen met quantumcomputers.
- waarschuwt het Litouwse NCSC voor Chinese smartphones.
- heeft het vorige bericht in Nederland tot Kamervragen geleid.
- lanceert Facebook een zonnebril met ingebouwde camera.
- brengt de terugkeer naar kantoor beveiligingsrisico’s met zich mee.
- werken Nederland en Duitsland samen aan een digitale identiteit.