Kan een kale kip leiden tot minimum beveiligingseisen?

De Nederlandse Staat eist 8,7 miljoen euro van het failliete Diginotar als vergoeding voor de gemaakte kosten na de hack bij het bedrijf (bron).

Voor diegene die de naam Diginotar vaag wel iets zegt maar die het niet meer precies weten: Diginotar was het bedrijf dat allerlei beveiligingscertificaten leverde zodat organisaties veilig konden communiceren via netwerken. Een aantal maanden geleden alweer werden ze gehackt en daarna duurde het niet lang voor ze failliet waren.

De Nederlandse Staat heeft inderdaad veel werk moeten verzetten om de boel nog een beetje veilig te houden. Inmiddels is de balans opgemaakt en eisen ze 8,7 miljoen. Nu kun je natuurlijk rustig geld eisen van een failliet bedrijf, maar van een kale kip valt niet te plukken. Maar toch zou zo’n eis ergens toe kunnen leiden.

De vraag is natuurlijk of de bestuurders van Diginotar nu ook persoonlijk aansprakelijk zullen worden gesteld. Is dat niet het geval dan kun je net zo goed 87 miljoen eisen want het geld krijg je toch nooit meer. Maar als deze bestuurders wel aansprakelijk worden gesteld dan ben ik benieuwd naar de uitkomsten.

Op welke gronden ga je de bestuurders aansprakelijk stellen? Onbehoorlijk bestuur? Misschien, maar ik weet niet of de wet beveiligingslekken ook onder onbehoorlijk bestuur verstaat. Als ze inderdaad persoonlijk aansprakelijk worden gesteld dan is dat een waarschuwing voor alle andere bestuurders.

100% beveiligen is niet mogelijk en de vraag voor bestuurders wordt dan: hoeveel beveiliging is genoeg? Is het genoeg als we de lekken niet weten, want ja, wat niet weet wat niet deert. Of gaan we nog wat verder en eisen we een minimaal beveiligingsniveau van organisaties? Of sterker nog: we hebben ook een jaarlijkse accountants controle, misschien moeten we die voor informatiebeveiliging ook in gaan voeren.

Er is in de wet nog erg weinig beschreven over de rechten en plichten op het gebied van informatiebeveiliging. Misschien dat deze eis van de Nederlandse Staat daar verandering in kan brengen (maar misschien ben ik te optimistisch).

Mij lijkt het een goed plan om duidelijkere kaders te gaan stellen voor bedrijven en bestuurders van bedrijven. Daarin geven we aan wat de verantwoordelijkheden zijn en wat er kan gebeuren als we die verantwoordelijkheid niet nemen.

Of het er ooit van komt? Ik ben benieuwd en als het onder de juiste voorwaarden gebeurt dan ben ik er nog voorstander van ook.