….. en wat leren wij uit deze affaire. Wanneer je als informatiebeveiliger ook wel eens te maken hebt gehad met bedrijfscontinuïteit zul je weten dat er één ding is dat je koste wat kost dient te beschermen: je imago.
Imagoschade is het lastigst te repareren van alle potentiële schades. Jammer maar helaas betekent dit wat mij betreft dat het voor Diginotar 'game over' is. Een dergelijk akkefietje wordt niet vergeten. Is dat erg? Ja, als we er niet van leren ofer de consequenties ui trekken en eerlijk gezegd waag ik te betwijfelen of dat zal gebeuren.
Laten we wel wezen, wat nu gebeurd is had overal kunnen gebeuren. Het is de reactie van Diginotar geweest – of het gebrek daaraan – die de problemen behoorlijk verergerd heeft, die het imago om zeep geholpen heeft. Daarom geldt voor Diginotar: 'you're the weakest link, goodbye'.
Waarom kon dit gebeuren? Als je op de autosnelweg vijf kilometer te hard rijdt staat er wel iemand met een bonnenboek klaar. Als je op de digitale snelweg rare capriolen uithaalt is er echt niemand die je op de vingers tikt.
Dat is erg. Evenzo is het erg dat de overheid – grote klant van Diginotar – op het terrein van de controles volledig lijkt te hebben gefaald. Voor een deel zal het misschien onbegrip zijn, voor een ander deel waarschijnlijk gewoon kostenbesparing. Diginotar zal wel de goedkoopste aanbieding hebben gedaan en dat scoort Andere clubs die ongetwijfeld wel hun zaken op orde hadden zullen om die reden mogelijk buiten de boot zijn gevallen. Zij kunnen nu in het ontstane gat stappen.
Het is de hoogste tijd dat de overheid haar verantwoordelijkheid neemt en zich druk gaat maken over het inrichten van een controle apparaat voor de digitale snelweg. Het aantal digitale verkeersslachtoffers -dat nu op zestien miljoen staat- kan voorlopig alleen maar dalen.
Dat de overheid haar verantwoordelijkheid moet nemen is wel duidelijk. Maar moet de overheid een dergelijk onderdeel wel uitbesteden? Uiteindelijk gaat het erom dat je zeker weet dat je met de overheid zaken doet, en niet met een andere partij die zich voordoet alsof zij de overheid is. Ik durf te stellen dat het uitdelen van certificaten gelijk staat met het legitimeren van een ambtenaar. En dat besteed je niet uit. Dat is onderdeel van je core business. Nu lijkt alle aandacht uit te gaan naar Diginotar, terwijl in feite de overheid degene is die heeft gefaald. Diginotar was responsible, maar de overheid is en blijft altijd accountable. De overheid heeft in deze niet voldoende governance ingericht. Over imagoschade gesproken. Is het iedereen nu duidelijk waar de “weakest link” zit?
“Wanneer je als informatiebeveiliger ook wel eens te maken hebt gehad met bedrijfscontinuïteit zul je weten dat er één ding is dat je koste wat kost dient te beschermen: je imago.”
Deze kapitale fout staat aan de basis van veel meer problemen en – jawel – imagoschade.
Imago moet je verdienen, moet je bouwen. Koste wat het kost beschermen is kwalijk, want je geeft daarmee eigenlijk al aan het niet te verdienen.