Is uw bedrijf gehackt? Dan moet u zich niet verschuilen maar juist in de openbaarheid treden en lering trekken uit het incident.
Dat betoogt Brenno de Winter in een opiniestuk in ICT/Magazine. Bestuurlijke moed tonen is je kwetsbaar opstellen. Bovendien bewijs je de samenleving ook een dienst.
Volwassen gedrag
Op volwassen gedrag bij problemen rond informatiebeveiliging rust nog altijd een taboe. Dat is niet vreemd. Diep in ons hart weten we heel goed dat we zelf tekort zijn geschoten. Toch zijn er positieve uitzonderingen op deze regel. Sommige bestuurders van bedrijven of overheden durven hun kwetsbaarheid juist wel te tonen.
De schaamte kan ik me heel goed voorstellen. Ik heb het namelijk zelf ervaren toen ik in oktober 2012 met Webwereld Lektober organiseerde. Gedurende een maand publiceerden we iedere dag een lek om daarmee het probleem van datalekken op de kaart te zetten. Tegen het einde van de maand hackte een beveiliger mijn website. Alleen ik begrijp de impact en treed direct naar buiten. Niet geheimzinnig doen, maar lering trekken.
Fouten
Precies datzelfde doet ook het Amerikaanse beveiligingsbedrijf Cloudflare als het in 2012 wordt gehackt. De onderneming handelt ongeveer tien procent van alle internetverzoeken af. Door een combinatie van fouten bij deels telecombedrijf AT&T, Google en het bedrijf zelf, krijgt een hacker toegang tot de beheeromgeving.
Het bedrijf treedt publiekelijk naar buiten met niet alleen het incident, maar ook met gedetailleerde informatie over de hack. Ook zij waren, evenals Deloitte, vergeten een meerfactor-authenticatie voor de beheerder in te stellen. De zaak legt het bedrijf geen windeieren, want juist vanwege de openheid ontvangt het bedrijf veel vertrouwen.
Weer een stap verder gaat de voormalig wethouder Depla in Eindhoven als hij met mij in 2014 de actie ‘Hack Me Please’ organiseert. Hackers worden actief gevraagd om zwakheden te vinden.
Lees het hele verhaal van Brenno de Winter online of in ICT/Magazine van oktober/november.
