Hacken? Dat gebeurt mij toch niet?

Bij hacking is het nog te vaak de gedachte dat het altijd een ander overkomt en mij (of jou in dit geval) niet. Komen er weer eens gegevens op straat dan is dat toch vaak van een site die we zelf nog nooit bezocht hebben.

Daarom vandaag onderstaand bericht die het voor jou misschien allemaal wat dichterbij plaatst.

Gegevens van 84.000 klanten van Bol.com waren toegankelijk na een lek bij een partner van de webwinkel. Het lek is inmiddels gedicht. Het gaat om klanten die hebben meegedaan aan een actie eind vorig jaar met de naam Warm Welkom. De naam, geboortedatum, het e-mailadres en het geslacht van deelnemers werden opgeslagen in een database bij een partner van Bol.com (bron).

Eerlijk is eerlijk. Bol.com is een grote jongen en veel van ons hebben daar wel eens spullen aangeschaft. Zelden horen we slechte berichten en ze leveren netjes wat ze beloofd hebben. Ja, ook ik ben een grote fan van Bol.com en kijk er altijd naar uit als er weer een pakketje bezorgd is. Maar ook een bedrijf als Bol.com ontkomt er niet aan.

En nee, het mag dan zo zijn dat ze zelf niet gehackt zijn maar zijn zij ook niet verantwoordelijk voor hun leveranciers? Sterker nog. Juist een bedrijf als Bol.com, dat met name bestaat bij de gratie van haar leveranciers moet er op toezien dat ook die zich aan de regels houden.

Het imago is een kostbaar goed en Bol.com heeft er jaren hard aan gewerkt om dat imago te krijgen waar het nu is. Het kan niet zo zijn dat een leverancier te makkelijk met de beveiliging omgaat waardoor het imago van Bol.com een deuk oploopt.

Overigens zal dat met dit bericht nog meevallen. Het imago van Bol.com is te goed en het bericht is te klein (en te snel weggemoffeld). Slechts weinig mensen zullen dit bericht hebben gelezen. Laat het daarom een goede waarschuwing zijn voor alle bedrijven die zaken doen met leveranciers (ieder bedrijf) en dat hiervoor gegevens deelt met die leverancier (ook ieder bedrijf).

Je kunt zelf je informatiebeveiliging nog zo goed op orde hebben, als je leveranciers dat niet hebben loop je nog steeds een groot risico. Daarom goede afspraken maken met je leveranciers, ook als het gaat om informatiebeveiliging. Ook periodiek controleren of je leveranciers wel aan jouw standaarden voldoen. En hebben we het over dit soort standaarden dan moet je er als bedrijf natuurlijk zelf ook voor zorgen dat je informatiebeveiliging op orde is.

Het staat nogal knullig als jij het slechter voor elkaar hebt dan je leveranciers. Informatiebeveiliging kunnen we pas goed regelen als we het in de keten aanpakken en daarvoor moet de sterkste schakel in die keten (en dat is in dit geval Bol.com) voorop lopen en het goede voorbeeld geven.

Nou, van mij krijgen ze nog het voordeel van de twijfel maar als het vaker gebeurt dan ga ik toch eens kijken wat er nog meer op internet te halen is bij concurrenten van Bol.com.

Noodstroomvoorziening

We haalden het al aan bij de installatie van nieuwe apparatuur: de noodstroomvoorziening. We gaan daar nog even wat dieper op in.

De vraag is daarom niet geheel onverwacht:
Is er een toereikende noodstroomvoorziening voor de kritische systemen?

Noodstroomvoorzieningen zijn er om de voorkomen dat we gedurende stroomuitval tot stilstand komen. Geen goedkope oplossingen en hier geldt zeker: goedkoop is duurkoop. We gaan dus zeker niet voor alle gebouwen een noodstroomvoorziening aanschaffen. Nee, dat doen we alleen voor die locaties waar echt kritische processen plaats vinden. We zullen dus eerst goed moeten kijken waar we noodstroom echt noodzakelijk vinden.

Nadat we dat bepaald hebben moeten we er uiteraard ook voor zorgen dat die noodstroom werkt op het moment dat we het nodig hebben. We moeten dus zorgen voor preventief onderhoud en periodiek testen van die systemen. We willen niet dat de wet van Murphy op ons van toepassing is, toch? Maar we moeten ook bepalen hoe lang we die noodstroom nodig hebben? Hoe realistisch zijn verschillende scenario’s en hoe lang zijn we in het verleden wel eens afgekapt geweest van stroom en hoe stabiel is onze toeleveranciers?

Vliegt er een helikopter in een elektriciteitsmast dan zal onze leverancier er langer over doen om de stroom weer up-and-running te krijgen dan dat er lokaal een kortsluiting is ontstaan (die hopelijk makkelijker is op te lossen). Kortom: wat is realistisch, wat kan onze leverancier ons garanderen en hoe kunnen we doordraaien als echt alles verkeerd gaat? Kunnen we over naar een andere locatie aan de andere kant van Nederland? Kunnen onze klanten het accepteren dat we uit de lucht zijn? Dit zijn de vragen die we ons moeten stellen als we keuzes maken voor noodstroom.

Hoe noodstroom exact wordt ingeregeld is een vak apart. We moeten de juiste specialisten inschakelen om ons van een noodstroomvoorziening te voorzien. Uitdaging is daarbij dat deze leverancier je erg graag een dergelijke voorziening wil verkopen maar dat er soms te weinig rekening wordt gehouden met de wensen en behoeften van de klant. Al snel komen de negatiefste scenario’s voorbij en al snel schaft de organisatie de duurste oplossing aan om er vervolgens bij een noodsituatie achter te komen dat het toch niet blijkt te werken. Ook hier geldt dat gezondboerenverstand moet worden toegepast maar dat er ook een second opinion kan worden overwogen.

De voorkeur heeft het natuurlijk om een onafhankelijk adviseur te laten adviseren over het nut en de noodzaak van noodstroom. Deze adviseur moet dan niet direct de leverancier van de apparatuur zijn en moet ook niet achterlangs de steekpenningen ontvangen. In de praktijk zien we nog te vaak dat de leverancier ook direct het advies geeft (dat geldt overigens niet alleen voor noodstroom, maar ook voor firewalls, alarmsystemen, brandmeldsystemen en ga zo maar door). Het risico hiervan is dat we schoenmaat 45 kopen terwijl we maar maatje 38 nodig hebben.

Bij dergelijke hoge investeringen is het verstandig om niet over een nacht ijs te gaan. Beschik je over noodstroom dan is het goed om deze te blijven testen. Overweeg je noodstroom dan is het een kwestie van de juiste eisen stellen en de verschillende aanbiedingen naast elkaar leggen. Op grond daarvan kun je een keuze maken die we na installatie natuurlijk ook periodiek testen. Waarbij we niet moeten vergeten dat het bewust kiezen voor het niet toepassen van noodstroom ook een keuze is.