Het is heden ten dage nog onvoorstelbaar dat er bij grote organisaties nog gewoon grote hoeveelheden data gestolen wordt. Onlangs kreeg ik bericht waarin werd medegedeeld dat “via een account op werk.nl 150.000 cv’s zijn bekeken en mogelijk gedownload. Uw cv zat hierbij. Het gaat hierbij om persoonsgegevens zoals: voornaam, achternaam, geslacht, geboortedatum, adres, postcode, woonplaats, e-mailadres en telefoonnummer.”
Sinds het bestaan van internet zijn er zeker een aantal oplossingen bedacht. Zeker omdat security bedrijven en de makers van operating systemen de balans tussen hackers (wit, grijs of zwart) in evenwicht proberen te houden.
Maar waarom gebeurt dit dan nog steeds? Mijn ervaring: 1. Arrogantie, 2. Het mag niet te veel kosten, 3. Het zijn anderen die de dupe zijn.
1. Ik ben in mijn leven toch wel een aantal Security Officers (BSO, CSO, ISO of CISO) tegengekomen die wel de bel hadden gehoord maar niet wisten waar de klepel hing. Met andere woorden, wel goed erover kunnen praten maar geen oplossingen weten of kunnen bedenken.
2. Vaak is het zo, dat voor uitgaven in de ICT, eerst goedkeuring moest worden verleend door een controller. En ja, die kijkt alleen maar naar de kosten.
3. Wanneer er een hack heeft plaatsgevonden en je gegevens zijn gestolen dan wordt, als je geluk hebt, je dat medegedeeld. Thats it! m.a.w. Jammer, maar we kunnen er nu niks meer aan doen.
Het ergste hierdoor is dat je jaren lang moet afwachten dat er met jouw gegevens niets gebeurt want anders moet je ook nog gaan bewijzen dat jij het niet was.
Gelukkig hebben ze een oplossing bedacht zodat het niet meer voorkomt. Ja, dat hoop je dan maar het is een beetje mosterd na de maaltijd. Oh ja, je krijgt dan ook nog even medegedeeld hoe jij spam en phishing kunt herkennen. Om zeg maar, even te ‘levelen’ met jou.
Het trieste van dit alles is dat er een eenvoudig proces bestaat die data diefstal kan voorkomen, zelfs door eigen personeel. Maar ja, dat kost wel iets aan ontwikkeling en misschien een extra servertje.
Deze oplossing is door mijzelf wel eens toegepast bij kleine bedrijven. Maar hé, wie luistert er nou naar iemand met ruim 40 jaar ervaring in de ICT en vele jaren in security? (lees ervaring) Zeker niet de grote bedrijven.