Hoe lang blijft cybersecurity nog een mediahype?

Philips, Bavaria, KPN. Het zijn stuk voor stuk bekende merken die na meldingen van beveiligingsincidenten schoorvoetend toegaven dat ze tekort geschoten waren in de beveiliging van klantgegevens. En in Veere zijn sluizen te bedienen omdat wachtwoorden gemakkelijk te kraken waren.

Diep door het stof ging bijvoorbeeld telecombedrijf KPN in februari toen duidelijk werd dat slecht gepatchte webservers een hacker de kans had gegeven om zichzelf toegang te geven tot het bedrijfsnetwerk. Dan hebben we het over een van de voornaamste automatiseerders van ons land, waarvan je verwacht dat het zijn zaakjes op orde heeft. Deze uitglijder had ongekende gevolgen, omdat er even het vermoeden was dat de onverlaat klantgegevens buit had gemaakt. Het drastische besluit werd genomen om miljoenen klanten een paar dagen de toegang tot hun e-mail te ontzeggen. Een niet bijgewerkte server heeft hiermee de potentie om het primaire proces in het honderd te sturen.

Het zijn op dit moment hackers die triomfantelijk een proeve van kunst aan de pers laten zien. Hoe groter het concern hoe hoger de roem lijkt het. Als u denkt dat dit wel weer zal overwaaien dan zit u fout. Straks komt er een geïnstitutionaliseerde schandpaal waar organisaties zich verplicht moeten melden als klantgegevens gecompromitteerd zijn. Zover is het nu nog niet. Het College Bescherming Persoonsgegevens neemt op dit moment onderhands de meldingen aan dat er beveiligingsincidenten zijn geweest bij organisaties die van vitaal belang zijn voor de Nederlandse samenleving. Daar komt verandering in als als de Nederlandse politiek een publicatieplicht voor het lekken van klantgegevens in de wet opneemt. Een andere mogelijkheid zijn boetes. Als bedrijven per consument wiens gegevens geheel of gedeeltelijk gelekt zijn bij een hack 100 euro moeten betalen dan wordt het risicobeheer een stuk concreter.
Slecht hoeven dit soort maatregelen voor de it-manager niet te zijn. De kostprijs van reputatieschade is lastig aan te geven. Bij hoge boetes is dit een stuk gemakkelijker. Zo'n risico-analyse is prima te gebruiken in het business plan voor nieuwe investeringen. U heeft tegenover de directie hardere argumenten voor goede hygiënemaatregelen. Maar denk eraan dat nieuwe technologie niet het belangrijkste is. Aan de basis van de meeste beveiligingsincidenten staan niet zozeer krakkemikkige systemen maar eerder slordige gebruikers die bijvoorbeeld gemakkelijk te kraken wachtwoorden gebruiken of na een telefoontje ongewild cruciale informatie aan een hacker overhandigen. Wat dat betreft heeft de pers de komende tijd nog genoeg stof om nieuwe beveiligingslekken groots te brengen zolang dit nog als nieuws bestempeld wordt.