We zijn de dader op het spoor, het kan niet missen. We kunnen zien dat een password is misbruikt. Nu snel de bewijzen bij elkaar zoeken en een schadeclaim indienen. Want de schade is aanzienlijk. Onze website is namelijk gekraakt en we hebben een sterk vermoeden wie de dader is. Het kan haast niet anders dan dat het X is, die ons bedrijf net voor de zomer met trammelant en gemene gezichten heeft verlaten. We moeten nu de hosting provider en de internet provider vragen naar een logboek en kijken waar het is misgegaan.
De hoster zegt: “We kunnen wel een paar fragmenten uit de log ophalen als u dat wilt.” De internet service provider zou de identiteit van de schurk kunnen onthullen, maar zegt: “Ho ho, alleen op verzoek van de Officier van Justitie. Wij kunnen niks doen; wet op de privacy.” Daar stopt het spoor. De isp moet weliswaar van de wet alle gegevens bijhouden, maar dat wil nog niet zeggen dat die daarmee openbaar zijn. Niet in de verste verte enige kijk op het bewijs van de identiteit van onze virtuele inbreker. En dus geen claim tot schadevergoeding. We zitten met de schade en de kater.
Het bovenstaande is exemplarisch in onze praktijk. Bedrijven, instellingen, zelfs overheden denken hun beveiliging goed geregeld te hebben. De passwoorden zijn veilig, we hebben een degelijke provider, de afspraken zijn waterdicht en toch gaat het mis. Breng de risico’s altijd in kaart en houd die bij! Veranderingen in software, hardware en medewerkers zijn van die risico’s. De informatiebeveiliging is misschien nooit 100 procent te maken, je kunt er wel dicht bijkomen. Maar het werkt pas als je er een proces van gemaakt hebt. In kaart brengen dus, die risico’s. Met militaire precisie.
Remco Bakker
Directeur irC2