Tonny Roelofs: “Een 100% veilig internet bestaat niet”

Trend Micro Mobile SecurityEen Duitse krant publiceerde zojuist het bericht dat de NSA 1,8 miljoen Nederlandse nummers aftapte. En ook een paar weken geleden las ik een artikel dat de Nederlandse politie naar aanleiding van een Whatsapp-bericht een inval heeft gedaan. Blijkbaar was het woord “bommetje” in de tekst van het bericht(je)  reden genoeg voor een inval. Na het incident is er ophef ontstaan omdat men zich afvraagt hoe de politie de inhoud van dit bericht eigenlijk kon weten…

En dit zijn slechts enkele berichten uit de grote stroom aan nieuws over digitale spionage van de afgelopen tijd. Alleen al gezien het feit dat Snowden tot op heden nog maar een klein deel van zijn ontdekkingen heeft laten publiceren, zal er gegarandeerd nog meer volgen. Er is een interessante maatschappelijke discussie ontstaan over consequenties, verantwoordelijkheden en grenzen. En belangrijker nog, hoe gaan we hier mee om? De oplossing ligt naar mijn mening in risico-gebaseerd handelen.

Digitale spionage doel of eerste stap
De belangrijkste consequentie van digitale spionage is dat gevoelige informatie toegankelijk wordt en gebruikt kan worden voor verschillende doeleinden. De hacker steelt jouw intellectuele eigendom of gebruikt de informatie om imagoschade aan te richten. Doordat digitale spionage redelijk eenvoudig is toe te passen, zien we het in toenemende mate tussen bedrijven plaatsvinden; verkregen informatie is in een offertetraject voor een concurrerend bedrijf nu eenmaal goud waard. Daarnaast kan digitale spionage een eerste stap zijn naar een gerichte aanval, die de continuïteit van bedrijfsprocessen in gevaar brengt. Voorbeelden zijn de diverse denial-of-service-aanvallen op banken, waardoor de online dienstverlening dagen lang onacceptabele vertragingen heeft gehad. Om maar te zwijgen over de imago-schade die dit met zich meebrengt.

Van controle-gebaseerd naar risico-gebaseerd
Kortom, digitale spionage is niet futuristisch, maar vindt nu al op zeer grote schaal plaats. Een 100% veilig internet bestaat niet en zal gezien de structuur van het internet ook nooit gaan ontstaan. Het tijdstip van “ik ben geen bank dus mij hoeven ze niet te hebben” ligt ver achter ons. Wellicht is dit het moment om tot inkeer te komen en daarbij ons streven naar 100% controle los te laten en voortaan op basis van een inschatting van de risico’s beslissingen te nemen. Dus eigenlijk de stap zetten van “controle-gebaseerd“ naar “risico-gebaseerd” handelen. Bepaal welke informatie publiekelijk toegankelijk mag zijn en welke informatie beter binnen de organisatie moet blijven en kies op basis daarvan de vorm van opslag en transport. Wellicht is het beter om bepaalde zaken niet zo maar te e-mailen of in een gratis cloud-dienst op te slaan. De belangen zijn zo groot en breed, dat er voor elke organisatie wel redenen te vinden zijn waarom er op het netwerk gespioneerd wordt.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *