Hoe vaker en meer we online zijn, hoe kwetsbaarder we worden. We worden overal geacht maar gegevens achter te laten of zetten onze intiemste gedachtes op websites als die van Hyves. Dit betekent ook dat er een groeiend aantal gebruikers is die niets meer snapt van de technologie en dus niet kan inschatten of wat ze doen, gevaarlijke consequenties heeft. Dit vraagt om ethisch handelen, door mensen tegen zichzelf te beschermen. Dit nalaten is niet meer acceptabel.
Hoe vaak voer je een formuliertje in met je adresgegevens? Let je er dan nog op of dit allemaal wel 'veilig' gebeurt? En hoe is dat te controleren? Wat weet je van de opslag van al die gegevens? De tijd om simpelweg een formuliertje online te zetten en door klanten in te laten vullen, valt niet langer onder verantwoordelijk ondernemerschap en zou zo'n beetje verboden moeten worden. We moeten al onze gegevens beschermen tegen het meekijken van wie dan ook. Het feit dat je niets illegaals doet, betekent ook niet dat iedereen alles maar hoeft te weten van je (al zou je van sommige mensen op Hyves denken dat ze wel erg royaal strooien met hun wel en wee).
Bedrijven zullen een ethische code moeten formuleren en zich daar ook aan conformeren. De passieve rol die het CPB momenteel speelt is niet voldoende om te garanderen dat er geen hele grote problemen gaan ontstaan, maar voordat we de 'grote gevaren' gaan aanpakken, is er tenminste een kleine ingreep die elk zichzelf respecterend bedrijf zou moeten doen: installeer voor elke website een 'extended validation certificate', zodat we tenminste op een veilige manier met elkaar kunnen communiceren.
Het komt nog veel te vaak voor dat mensen allerlei persoonlijke informatie moeten invullen, dat vervolgens over een onbeveiligde verbinding wordt verstuurd. Nu doen mensen dat met e-mail ook nog steeds, maar we moeten met kleine stapjes gaan werken aan bewustwording en ethisch gaan handelen met de aan ons toevertrouwde informatie.
We kunnen het niet aan klanten overlaten, dus moet elke ict-professional zich bij elke oplossing, website, formulier of database af gaan vragen hoe het zit met de beveiliging en veilige opslag van de ontvangen gegevens. En hoewel dit natuurlijk wat kosten met zich meebrengt, is er geen groter risico (en kostenpost) dan het afbreukrisico dat je haalt door in de media te komen dat alle aan jou toevertrouwde gegevens op straat liggen.
Klanten snappen niets van beveiliging, managers niet voldoende, dus het is aan de bron, bij de ict'er, om te zorgen voor een deken van veiligheid. Vraag jezelf dus af, wanneer gaan we werken met elektronische handtekeningen onder de e-mail? En heeft jouw webmail al een certificaat? En waarom laten we 'voor het gemak' niet ook onze gewone website met een certificaat uitrusten? Dat geeft toch een signaal van doordachtzaamheid, veiligheid en betrouwbaarheid af? En voor de kosten hoef je het niet meer te laten.
“installeer voor elke website een ‘extended validation certificate'”
Waarom? Ik zou als ondernemer eerst de vraag stellen of de klant wel al zijn gegevens moet achterlaten, om een antwoord op een simpele vraag te krijgen. Waarom moeten mensen hun volledige NAW-gegevens, telefoonnummer, e-mailadres achterlaten?
Ik zou eerder zeggen. Vraag alleen de hoognodige gegevens, en mocht de klant meer gegevens moeten achterlaten, doe dit dan via een aparte, beveiligde verbinding.
“Klanten snappen niets van beveiliging, managers niet voldoende, dus het is aan de bron, bij de ict’er, om te zorgen voor een deken van veiligheid.”
Volgens mij ligt dit probleem niet bij de ICT-er (op een enkeling na), maar bij het hogere management. Die snappen er niks van, ze zien alleen een kostenplaatje, en daarin moet zoveel mogelijk weggeschrapt worden.
Een EV certificaat voegt niets toe, behalve dat de identiteit van de aanvrager strikter wordt gechecked. Bovendien gaat het niet helpen als je wel via https communiceert maar door middel SQL injection je hele klanten bestand kan worden gedownload.