Tag: diginotar

Kan een kale kip leiden tot minimum beveiligingseisen?

  door

De Nederlandse Staat eist 8,7 miljoen euro van het failliete Diginotar als vergoeding voor de gemaakte kosten na de hack bij het bedrijf (bron).

Voor diegene die de naam Diginotar vaag wel iets zegt maar die het niet meer precies weten: Diginotar was het bedrijf dat allerlei beveiligingscertificaten leverde zodat organisaties veilig konden communiceren via netwerken. Een aantal maanden geleden alweer werden ze gehackt en daarna duurde het niet lang voor ze failliet waren.

De Nederlandse Staat heeft inderdaad veel werk moeten verzetten om de boel nog een beetje veilig te houden. Inmiddels is de balans opgemaakt en eisen ze 8,7 miljoen. Nu kun je natuurlijk rustig geld eisen van een failliet bedrijf, maar van een kale kip valt niet te plukken. Maar toch zou zo’n eis ergens toe kunnen leiden.

De vraag is natuurlijk of de bestuurders van Diginotar nu ook persoonlijk aansprakelijk zullen worden gesteld. Is dat niet het geval dan kun je net zo goed 87 miljoen eisen want het geld krijg je toch nooit meer. Maar als deze bestuurders wel aansprakelijk worden gesteld dan ben ik benieuwd naar de uitkomsten.

Op welke gronden ga je de bestuurders aansprakelijk stellen? Onbehoorlijk bestuur? Misschien, maar ik weet niet of de wet beveiligingslekken ook onder onbehoorlijk bestuur verstaat. Als ze inderdaad persoonlijk aansprakelijk worden gesteld dan is dat een waarschuwing voor alle andere bestuurders.

100% beveiligen is niet mogelijk en de vraag voor bestuurders wordt dan: hoeveel beveiliging is genoeg? Is het genoeg als we de lekken niet weten, want ja, wat niet weet wat niet deert. Of gaan we nog wat verder en eisen we een minimaal beveiligingsniveau van organisaties? Of sterker nog: we hebben ook een jaarlijkse accountants controle, misschien moeten we die voor informatiebeveiliging ook in gaan voeren.

Er is in de wet nog erg weinig beschreven over de rechten en plichten op het gebied van informatiebeveiliging. Misschien dat deze eis van de Nederlandse Staat daar verandering in kan brengen (maar misschien ben ik te optimistisch).

Mij lijkt het een goed plan om duidelijkere kaders te gaan stellen voor bedrijven en bestuurders van bedrijven. Daarin geven we aan wat de verantwoordelijkheden zijn en wat er kan gebeuren als we die verantwoordelijkheid niet nemen.

Of het er ooit van komt? Ik ben benieuwd en als het onder de juiste voorwaarden gebeurt dan ben ik er nog voorstander van ook.

Een mogelijke meldplicht voor digitale inbraken

  door

De discussie is al meerdere malen gevoerd en zal waarschijnlijk ook nog vaker gevoerd worden als de meldplicht voor digitale inbraken niet van de grond komt. Het blijft een interessant onderwerp met voors en tegens. Maar laten we iets verder kijken dan onze neus lang is.

De Europese Commissie wil vanaf volgend jaar richtlijnen om het vertrouwen in certificaat-autoriteiten als DigiNotar in de toekomst te herstellen. Eurocommissaris Neelie Kroes denkt verder na over een mogelijke meldplicht voor digitale inbraken…

Een Iraanse hacker kraakte dit jaar de Nederlandse ssl-autoriteit DigiNotar en wist daardoor honderden vervalste certificaten aan te maken. De kritiek op het handelen van DigiNotar was groot en het bedrijf ging failliet. Securitybedrijven pleiten als reactie op de problemen voor beveiligingsstandaarden. Verder denkt het Nederlandse parlement na over de oprichting van een zogeheten ‘ict-brandweer’. (bron)

Kijken we terug naar het bericht dat we gisteren aanhaalden. Dan is het niet zo gek dat de IT-managers het onderwerp zo stressvol vinden. Je gaat er toch vanuit dat jouw leverancier van certificaten het goed voor elkaar heeft. Helaas weten we inmiddels beter. Maar trek deze lijn eens door. Gaan we er ook niet vanuit dat onze energieleverancier het goed voor elkaar heeft? Willen we niet zeker zijn van een bepaalde stroomvoorziening?

Geloof me, deze vraag gaat veel verder dan je certificaat-leverancier en je energiemaatschappij. Het geldt uiteindelijk voor de gehele keten. Wij als organisatie kunnen het nog zo goed voor elkaar hebben, maar als onze leveranciers en afnemers er minder aan doen, dan komt het al snel onder druk te staan.

We hebben de leveranciers nodig om onze eigen producten en diensten te kunnen leveren. We hebben de afnemers nodig om onze producten en diensten aan te kunnen verkopen. Allemaal geen hogere wiskunde natuurlijk. Maar wat als we de leveranciers onder druk zetten? Zij moeten nog goedkoper gaan leveren omdat we anders niet op prijs kunnen concurreren. Drie keer raden waar zoal op beveiligd wordt.

We haalden het al vaker aan. Informatiebeveiliging is gewoon een bedrijfskundig onderdeel dat we af moeten stemmen op onze strategie. Daar zit hem, in de huidige economie, wellicht een knelpunt. Er zijn verschillende concurrentiestrategieën (focus, differentiatie en prijs).

Veel organisaties kiezen op dit moment voor een prijsstrategie. Blijkbaar kunnen zij zich onvoldoende onderscheiden en blijkbaar durven ze geen keuze te maken voor bepaalde marktsegmenten. Kiezen we inderdaad voor “prijs” dan moeten we de keten onder grote druk zetten om maar zo goedkoop mogelijk te leveren. Dan gaan we al snel bezuinigen op kwaliteit…en daar is informatiebeveiliging onderdeel van.