Brandjes blussen, mensen sussen
Problemen met informatiebeveiliging komen zo frequent voor dat je er een weerbericht aan kan wijden. Sterker, tijdens een uitzending van het weerbericht bij FOX kwam levensgroot een pop-up window in beeld: "You are not protected against new viruses".
Problemen met informatiebeveiliging komen zo frequent voor dat je er een weerbericht aan kan wijden. Sterker, tijdens een uitzending van het weerbericht bij FOX kwam levensgroot een pop-up window in beeld: “You are not protected against new viruses”.
Het eerste radionieuws item vanmorgen is dat nu.nl is gehackt en dat er mogelijk honderduizenden computers besmet zijn met een nieuw Russisch virus. Naar het schijnt was er een login buit gemaakt waardoor men een virus in het CMS kon plaatsen. Het plan was de bankrekeningen van de NU.nl-bezoekers te plunderen.
Je gegevens zijn tegenwoordig goud waard en iedereen kan meelezen in de brievenbus zonder dat men uit de luie stoel hoeft te komen. Had je vroeger anti-hengel technologie voor brievenbussen, nu hebben we expired virusscanners en gecompromitteerde login procedures. Oude wijn in nieuwe zakken.
Het probleem zit echter bij wat Wim Kan al noemde: nieuwe wijn in oude zakken. De bestuurders die nog uit de tijd van de anti-hengel technologie komen en geen benul hebben van informatiebeveiliging. In hun handen belanden uw gegevens stelselmatig op straat. De rij is inmiddels zo hopeloos lang dat Jacob Kohnstamm mensen tekort komt bij zijn CBP vanwege alle problemen met de privacy.
Kohnstamm wil er dus geld bij van het Kabinet. Ik zou dat anders aan willen pakken. Keer het om. Naast een meldplicht bij datalekken in ieder geval verplichte periodieke certificering van de informatiehuishouding wat betreft informatiebeveiliging. Dit kennen we uit andere hoeken al sinds jaar en dag. Neem iets als de Wet Medische Keuringen. Er zijn normen voor aanstellings- en periodieke keuringen. Als een brandweerman is afgekeurd en toch gaat blussen dan is dat niet alleen een gevaar voor hemzelf maar ook voor collega’s en burgers. Aansprakelijkheden worden in dat soort gevallen niet door de verzekering gedekt.
Je doet er dus goed aan om iedereen die persoonsinformatie verwerkt onder dit soort toezicht te stellen. Het probleem is nu dat de business case voor informatiebeveiliging niet wordt gezien. Je zegt een keer sorry, maakt een mooie advertentie, legt twee miljoen email addressen plat.
Symptoombesrijding, brandjes blussen, mensen sussen. Neen. Voordat je je met dit soort praktijken bezig mag houden is alles op orde en hou je alles op orde.
Dan bedoel ik niet alleen de systemen, maar ook de gehele informatiehuishouding. En de competenties van het personeel. Een verplichte cursus over social engineering (IT babbeltrucs). Denk verder aan ISO 27001 certificering.
Als er desondanks iets mis gaat dan gaan we onderzoeken. Maar eerst betalen! Torenhoge boetes, direkt af te rekenen. Per gelekt gegeven minimaal 100 Euro. Per slachtoffer twee jaar lang de financiele stromen actief laten nalopen zodat identiteitsfraude snel zichtbaar wordt. Alle kosten van de fraude betalen. Vooraf geld in een fonds dumpen en anderen handelen de schade af. En ook dat moet je betalen. Normen stellen, en die handhaven.
