Bestuurlijke moed = kwetsbaar durven zijn

Op volwassen gedrag bij problemen rond informatiebeveiliging rust nog altijd een taboe. Dat is niet vreemd. Diep in ons hart weten we heel goed dat we zelf te kort zijn geschoten. Toch zijn er positieve uitzonderingen op deze regel. Sommige bestuurders van bedrijven of overheden durven hun kwetsbaarheid juist wel te tonen.

We schrijven maart 2017 als bij Deloitte iets opvalt. Een of meerdere onbevoegden hebben toegang gekregen tot de interne ict-omgeving van de onderneming. De hack is waarschijnlijk een half jaar eerder begonnen en bij de aanval is in ieder geval het wachtwoord van de beheerder in foute handen gekomen. Om in zo’n belangrijk account te komen, is het kennelijk niet nodig om nog een vorm van authenticatie te hebben.

Door de hack zijn niet alleen e-mails van de onderneming toegankelijk geweest, maar waarschijnlijk ook medische gegevens, architectuurdiagrammen van klanten en nog meer. Want tussen de buit zit naar verluid in ieder geval ook vertrouwelijke bedrijfsinformatie van zogeheten bluechip-ondernemingen (beursgenoteerde Amerikaanse bedrijven met een A-merk reputatie).

 

Niet kwetsbaar opstellen

Omdat Deloitte zelf naast accountancy en het uitvoeren van audits ook expertise in ‘cybersecurity’ verkoopt, is een interessante vraag hoe het bedrijf reageert. Geeft het een goed voorbeeld of duikt het juist weg voor de problematiek? Dat laatste blijkt het geval te zijn. Uiteindelijk onthult de krant The Guardian in september – dus zeven maanden na dato – de hack en geeft veel details. Het bedrijf reageert nauwelijks en presenteert na elf dagen een magere ‘key facts’ van nog geen 550 woorden.

Daardoor blijven veel belangrijke leerpunten voor de samenleving ook verborgen: is e-mail wel het juiste kanaal om bluechip-bedrijven gevoelige data te laten afleveren? Hoe heeft de situatie zo kunnen groeien en waarom duurde het zo lang voor de aanval werd gedetecteerd? Die vragen stellen wij niet om verwijten te maken, maar vooral om van te leren. Want de centrale vragen zijn natuurlijk: Wat kan de kans op herhaling van een dergelijke situatie verminderen? En: Hoe hadden de gevolgen verder beperkt kunnen worden?

 

Geheimzinnigheid troef

Naar de achtergronden van deze geheimzinnigheid en summiere reactie van Deloitte kunnen we alleen gissen. Is dit een advies van de advocaten die op 27 april werden opgetrommeld? Is dit omdat men niet weet wie er achter de hack zit? Is dat een kind, een concurrent, een inlichtingendienst, een boze klant of een misdaadsyndicaat? Het enige dat het bedrijf kwijt wil is dat er melding is gemaakt bij een overheid. Maar welke overheid of overheden dat zijn, is ook weer geheim.

In Nederland neemt de lokale vestiging afstand van de hack door te stellen dat een en ander in Amerika heeft plaatsgevonden. Dat medewerkers dezelfde @deloitte.com-emailadressen hebben en dat er wereldwijd dezelfde dienstverlening en producten wordt geleverd, doet kennelijk niet ter zake. In het televisieprogramma Goedemorgen Nederland vertelt Inge Philips namens het bedrijf: “Allereerst: Deloitte bestaat uit 245.000 man verspreid over 150 landen. De Nederlandse firma heeft hier geen schade van gehad, maar wij hebben wel de imagoschade.” Of ze überhaupt meer kennis van de zaak heeft dan het publiek, is twijfelachtig. Volgens The Guardian zijn alleen de meest senior partners en enkele advocaten van de zaak op de hoogte gebracht. En of er inderdaad geen schade is voor Nederlandse klanten valt dus nog te bezien.

 

Andere benadering

De schaamte voor Deloitte is goed voor te stellen. Ik heb het namelijk zelf ervaren toen ik in oktober 2012 met Webwereld Lektober organiseerde. Gedurende een maand publiceerden we iedere dag een lek om daarmee het probleem van datalekken op de kaart te zetten. Tegen het einde van de maand hackte een beveiliger mijn website. Alleen ik begrijp de impact en treed direct naar buiten. Niet geheimzinnig doen, maar lering trekken.

Precies datzelfde doet ook het Amerikaanse beveiligingsbedrijf Cloudflare als het in 2012 wordt gehackt. De onderneming handelt ongeveer tien procent van alle internetverzoeken af. Door een combinatie van fouten bij deels telecombedrijf AT&T, Google en het bedrijf zelf, krijgt een hacker toegang tot de beheeromgeving. Het bedrijf treedt publiekelijk naar buiten met niet alleen het incident, maar ook met gedetailleerde informatie over de hack. Ook zij waren, evenals Deloitte, vergeten een meerfactor-authenticatie voor de beheerder in te stellen. De zaak legt het bedrijf geen windeieren, want juist vanwege de openheid ontvangt het bedrijf veel vertrouwen.

 

Moedige bestuurders

Weer een stap verder gaat de voormalig wethouder Depla in Eindhoven als hij met mij in 2014 de actie ‘Hack Me Please’ organiseert. Hackers worden actief gevraagd om zwakheden te vinden. Daarmee laat Depla zien dat hij niet wegduikt voor problemen, maar ze juist tegemoet wil treden. De winnaar krijgt een reis aangeboden naar een hackersconferentie in Duitsland. Eindelijk ontstaat er bestuurlijke ruimte om open te staan voor zwakheden.

In de zomer van 2017 organiseren burgemeester Sebastiaan van ’t Erve van Lochem en ik de mogelijkheid voor hackers om brandweerauto’s te kraken tijdens het hackerskamp SHA2017. De wagens zit vol met technologie die toegang geeft tot levensreddende informatie over gebouwen bij een brand en die een spil vormen in de coördinatie bij grote bos- en heidebranden. Door de actie wordt bij andere bestuurders de problematiek inzichtelijk.

De moed van de bestuurders zit erin dat ze als slachtoffer van een incident niet wegkruipen, maar de situatie juist opzoeken en de confrontatie met open vizier aangaan om er vervolgens iets mee te doen.

Veel incidenten worden veroorzaakt door basale fouten. Een kritische blik helpt de risico’s te verkleinen. Maar om die demonen tegemoet te treden is naast inzicht wel bestuurlijke moed nodig. Daarmee kunnen we digitale zwakheden opsporen en lering trekken van fouten. Goed omgaan met informatiebeveiliging vereist dus naast kennis en techniek vooral veel bestuurlijke draagkracht en moed.

 

Brenno de Winter

brenno de winter werkt al heel lang in IT

Gerelateerde berichten...