Web 2.0 speelt hackers in de kaart

Het bedrijfsleven onderschat de risico’s van web 2.0. Bedrijven houden in hun veiligheidsbeleid geen rekening met nieuwe technologieën en communicatiemiddelen, zoals bloggen en social networking. De onduidelijke risicoverdeling tussen het management en de ict-verantwoordelijke verhoogt de kans op veiligheidslekken. Dit zegt Macdonnell Ulsch, directeur van Jefferson Wells, in een vraaggesprek met Computable.

Jefferson Wells is een internationale dienstverlener op het gebied van interne audit en controlemaatregelen, beheersing van technologierisico's, tax en finance & accounting. De Amerikaanse directeur Macdonnell Ulsch bezocht onlangs de Nederlandse vestiging.

Welke risico's kleven er aan web 2.0?
"Een nieuwe generatie werknemers die is opgegroeid met internet staat in de startblokken. Ze gebruiken pda's, iPods, laptops en mobiele telefoons met internettoegang. Ze maken gebruik van sociale netwerken, zoals Hyves en Facebook. Ze doen aan instant messaging en bloggen. Het bedrijfsleven is hier niet op voorbereid. Het management denkt dat beleid met betrekking tot internet- en e-mailgebruik voldoende is. Er is geen adequaat veiligheidsbeleid."

Waarom is bloggen zo gevaarlijk?
"Er wordt veel geblogd tijdens werktijd en weinig bedrijven verbieden bloggen. Mijn zorg gaat niet uit naar bloggen, dat doen werknemers toch wel, maar naar hoe je als bedrijf omgaat met de risico's. Corporate blogs worden steeds vaker misbruikt voor diefstal van identiteitsgegevens en andere vormen van cybermisdaad. Een voorbeeld? Omdat de corporate website continue werd gehackt, vroeg de ict-verantwoordelijke van een groot Amerikaans telecombedrijf hulp op een aantal veiligheidsblogs. De ‘vriend' die aanbood om te helpen, wilde een blauwdruk van de softwarearchitectuur. Niet veel later ging het netwerk van het bedrijf plat. De ict'er in kwestie dacht dat in bloggen geen enkel gevaar school. Hij werd ontslagen."

Volgens u spinnen terroristen, georganiseerde misdaad en drughandelaren garen bij web 2.0.
"In Rusland is de georganiseerde misdaad sterk in opkomst. Er zijn 5.000 tot 8.000 bendes actief, waarvan sommige banden hebben met de voormalige KGB. De internationale drugshandel wil zijn winsten witwassen. Terroristen hebben geld en een dekmantel nodig om aanslagen voor te bereiden. Deze groeperingen maken zich in toenemende mate schuldig aan diefstal van identiteitsgegevens. Nieuwe technologieën geven eenvoudiger dan ooit toegang tot die informatie. In Amerika krijgen studenten honderden dollars aangeboden voor hun Facebook-profiel. In Boston betaalden criminelen de politie om aan de hand van nummerborden van dure auto's de bijbehorende persoonsgegevens uit het computersysteem te halen. Een medewerker van een bank werd vervolgens omgekocht om met die gegevens van die welgestelde mensen creditcardtransacties te verrichten. In dit geval was er sprake van een undercoveroperatie van de FBI, maar het zijn geen ondenkbare scenario's."

De onduidelijke risicoverdeling tussen de ceo en ict-verantwoordelijke maakt kwetsbaar?
"De ict-afdeling en het management communiceren vaak moeizaam. De meeste managers snappen niet eens welke infrastructuur nodig is om informatie te beveiligen en netwerken te beschermen. De trend die lange tijd gaande was – krachtigere technologie voor minder geld – heeft databeveiliging geen goed gedaan. Veel bedrijven hebben een basale bescherming tegen hackers, meer niet. Terwijl de verantwoordelijkheid voor veiligheidslekken in Amerika steeds vaker bij de werknemer zelf of diens leidinggevende, en niet het bedrijf wordt gelegd. Geen manager riskeert graag celstraf of ontslag. Dat betekent dat ze zich beter op de hoogte moeten stellen van informatie- en netwerkbeveiliging. Dat kan alleen door samen te werken met de ict-afdeling. Dat besef dringt meer en meer door."

Gaat het in Europa dezelfde kant op?
"Dat is moeilijk te zeggen. De Amerikaanse overheid gebruikt privacywetgeving als pressiemiddel om bedrijven aan te sporen hun informatie beter te beschermen tegen diefstal. In Europese landen wordt informatie, vooral privacygevoelige data, beter beveiligd. Binnen de EU is er discussie om de BSI-standaard en de Code of Practice (van het Duitse bureau voor Veiligheid in Informatietechnologie) tot norm te verheffen. Dat zou een goede zaak zijn. Het is een strenge standaard. Maar kern van de zaak blijft dat Europese bedrijven evengoed kwetsbaar zijn voor informatiediefstal."

Hoe je te wapenen als bedrijf?
"Uit een onderzoek van Capgemini kwam naar voren dat 80 procent van de Nederlandse bedrijven geen veiligheidsprogramma heeft. In de hoogste regionen van het bedrijf weet men vaak uitstekend hoe informatie is beveiligd, maar hoe verder je zakt in de hiërarchie hoe minder dat besef aanwezig is. Risicomanagement vereist een multidisciplinaire aanpak waarin operations, personeelszaken, boekhouding, marketing en ict een stem moeten hebben. De eerste stap voor ieder bedrijf is een doortimmerde compliance-strategie. Stel een hiërarchie vast van alle wetten, richtlijnen en regels, waaraan je moet voldoen."

Hoe bewerkstellig je compliance in een globale economie?
"Toegegeven: het is tegenwoordig niet eenvoudig om zaken te doen. Je moet als bedrijf aan zoveel wetten, regels en internationale verdragen voldoen, alle bedoeld om informatie en privacy te beschermen. Als bedrijf moet je altijd afwegen welk risico je loopt als je niet aan de regels en wetten van de landen voldoet, waarmee je zaken doet. Veel managers redeneren: zolang er niets gebeurt, gaat het goed. Een risicovolle strategie. Een compliance-manager van een Nederlandse bank vertelde me dat ze met zoveel wetten en regels rekening dienen te houden dat ze per wet zullen vaststellen wie er verantwoordelijk voor is. Dat is een enorme stap in de goede richting."