Er zijn twee woorden om elke discussie in it dood te slaan en projecten te traineren: privacy en security. Samen met oud-bevelhebber der strijdkrachten, Dick Berlijn en journalist Brenno de Winter was ik een van de drie spekers op de bijeenkomst ‘Gevleugelde Verhalen’ met als thema ‘veiligheid’.
Bedrijven gaan heel krampachtig om met digitale fuckups. Hacks en outages leiden tot steeds meer imagoproblemen en economische schade wanneer een bedrijf plat ligt. Voor security is er steeds meer aandacht: de grote organisaties investeren fors in kennis en middelen om zich te wapenen tegen domme beveiligingsfouten en kwaadwillendheid. Het is oud-bevelhebber der strijdkrachten Berlijn's missie om topmanagers – veelal van de generatie digibeet – bewust te maken van het feit dat ze vroeg of laat worden gehackt. Wanneer je weet dat je wordt aangevallen kun je je er ook het beste tegen verdedigen.
Hoewel nerdmaffiosi multinationals en overheden op hun knieën proberen te krijgen met DDOS-aanvallen of chantage na gegevensinbraak, is het grootste gevaar vooral eigen domheid. Moet je een goedbedoelende hacker – of de journalist die het verhaal naar buiten brengt – opjagen of omarmen? Toen Brenno het verhaal uitbracht over privacylekken bij de Bovag zorgde deze brancheorganisatie via Brenno dat de anonieme hacker taart en bloemen kreeg. Ze waren dankbaar. Helaas proberen de meeste bedrijven nog steeds alles onder het vloerkleed te schuiven.
PR-aanpak: word boos, ontken zoveel mogelijk en ga in de aanval. Dat gedrag is niet alleen dom, maar ook stom. Je staat niet open om snel te leren. Bedrijven gaan na het luwen van de storm rustig door met het stoten aan dezelfde steen: it wordt aangepast maar zwakheden worden niet structureel opgelost. Vroeg of laat gaat het weer mis. Hoe meer je ontkent, hoe ongeloofwaardiger je als bedrijf of overheid wordt. Wanneer wel gecommuniceerd wordt over digitale achterdeurtjes of gegevens die op straat liggen, dan gaat het vaak via nietszeggende persberichten en holle commentaren van persvoorlichters. Dat leidt vervolgens weer tot geruchten op sociale media en zo voed je het ‘monster van wantrouwen’. Het wordt tijd dat er een bijspijkercursus komt over dit soort crisismanagement.
De tweede categorie ellende zijn de zware verstoringen, zoals recent bij NS en ING. Bij de ING werd verrassend open gecommuniceerd over de internetstoringen door hun CIO Retail Nederland, Ron van Kemenade. De ultieme uiting over een megafuckup is die van Amazon met hun E2C cloud. Vorig jaar werd na twee dagen outage een complete probleemanalyse op het internet gepubliceerd. Hoewel de business van vele klanten van Amazon’s plat lag, hebben de meeste klanten door de openheid het vertrouwen niet verloren. Ook voor je eigen mensen en service providers – wanneer je it uitbesteedt – is openheid van eminent belang. Je wilt het liefst zware verstoringen voorkomen. Dat kan alleen maar door werkelijk te leren van fouten. In de luchtvaart geldt de regel dat een crash nooit een eerder achterhaalde oorzaak mag hebben: zero repeat. Die indicator geeft aan of je werkelijk leert. Veilige vlucht!
Foutloze code is een illusie en de standaard opvatting dat de aanval de beste verdediging is zorgt voor meer schade dan de fouten erkennen en eerlijke vinder. Criminaliseren en ondankbaarheid zorgen ervoor dat de markt voor 0-days exploits alleen maar lucratiever wordt. Onopgemerkte fouten zijn daardoor veel geld waar voor de oneerlijke vinder en kunnen voor veel meer schade zorgen dan een mea culpa. Zie ook artikel hierover in Forbes enige maanden geleden:
http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/
Hacks en outages zijn twee totaal verschillende zaken. Natuurlijk is de wijze van communicatie er over naar buiten belangrijk. Maar nog veel belangrijker is welke maatregelen er zijn om ze te voorzien, te voorkomen. Dat het gaat gebeuren staat wel vast, ICT gaat namelijk altijd wel een keer stuk, maar ook, initiële beveiligingssterkte neemt af, doordat de ICT- wereld zich verder ontwikkeld.
Twee dimensies, die beiden direct van invloed zijn op het eindresultaat van de dienstverlening voor de gebruiker.
Er over communiceren naar buiten is dus een secondair gevolg van iets wat primair niet of niet goed ingericht is, of wat ‘helaas’ van latent naar ‘actueel’ geraakt is.