Bedrijf gehackt – schuldvraag

c't-partner
0

Falend beleid of onvermijdelijk bedrijfsrisico?

Aanvallen op organisaties zijn aan de orde van de dag. Cybercriminelen vallen het netwerk van een bedrijf aan, data wordt ontvreemd en het werk ligt tijdelijk helemaal stil. Is het dan eenduidig wie het slachtoffer is en dat alle schuld bij de aanvaller ligt, of moet de verantwoordelijkheid toch bij meerdere partijen liggen?

Het doel van een aanval kan een werkgever zijn, een klant, een sociale­mediaplatform, een tussen­persoon die verantwoordelijk is voor het beveiligen van de toegang of een financiële partner. De betrokken organisatie is in alle gevallen het slachtoffer, maar de repercussies spreiden zich meestal ook uit naar gebruikers en klanten.

Of de motivatie voor een aanval nu voortkomt uit financieel gewin, ‘hack­tivisme’, klokkenluiden of iets anders, elke vorm van cyberaanval is op zich illegaal en dient te worden vervolgd. Desondanks dragen de aangevallen be­drijven die succesvol gehackt worden zelf ook enige verantwoordelijkheid voor de ontvreemde data als hun veilig­heids­controles niet correct waren ge­ïmplementeerd en ook als er geen ade­quate be­schermings­­maat­regelen waren getroffen. Maar hoe ver gaat deze verant­woordelijkheid?

Wie we als slachtoffer zien of wie er verantwoordelijk is, hangt meestal niet af van de veiligheidsmaatregelen die een bedrijf nam, maar van hoe het bedrijf op de aanval reageert.
In de praktijk wordt dan meestal vooral een uitdaging voor de mensen van de marketingafdeling. Als klant hangt waar je de schuld legt af van hoe je die uitingen binnenkrijgt en interpreteert en waar je persoonlijke bias ligt. Dat zou echter niet zo moeten zijn.

Bij veel situaties waarbij een bedrijf gehackt is, is het duidelijk waar de ver­antwoordelijkheid ligt. Het bedrijf kan bijvoorbeeld onverantwoordelijk zijn om­gesprongen met gegevens, met het beheer van de systemen of het onderhoud daarvan. Dan ligt de schuld zeker deels bij het bedrijf.

In gevallen waarbij er een ernstig gebrek aan veiligheidscontroles aan het licht komt, moet een groot deel van de schuld dan ook aan de organisatie worden toegeschreven. Er zijn de laatste tijd veel gevallen geweest waarbij er een aanval plaatsvond en het bedrijf reageerde met een clichéopmerking zoals ‘uw beveiliging is onze prioriteit’, ‘we nemen beveiliging zeer serieus’ of ‘dit was een gerichte aanval door professionele hackers’.

Vaak blijkt echter dat een hack is gelukt vanwege vermijdbare fouten, zoals een niet gepatchte webserver, Java-­code van een externe partij, een on­beveiligde ftp-verbinding en talloze andere bekende kwetsbaarheden en configuratie­fouten.

Uiteindelijk komt een adequate be­scherming neer op geld, tijd en expertise, wat zich weer vertaalt in het hebben van de juiste mensen, processen en tech­nologie. Het merendeel van de hacks en gegevensdiefstallen die de afgelopen tien jaar hebben plaatsgevonden, heeft zijn oorsprong in vermijdbare fouten.

Je hoort ook wel eens het argument dat je de slachtoffers – al dan niet in het bedrijfsleven – nooit de schuld kunt geven. Daarbij wordt een gegevens­inbreuk ver­geleken met een straat­roof: ‘Je kunt het slachtoffer niet de schuld geven van een beroving, zelfs niet als ze ‘s avonds laat bellend over straat lopen en dure juwelen dragen, duidelijk in het zicht. Het is nooit hun schuld’.

Dat voorbeeld gaat echter niet hele­maal op, omdat in die situatie het slacht­offer dan niet de persoonlijke gegevens van 10.000 mensen bij zich draagt. Want in dat geval zou je wel geneigd zijn de schuld deels te leggen bij iemand die op die manier onverantwoordelijk met de gegevens van anderen omgaat. Je mag dan toch zeker wel verwachten dat er dan verstandige voorzorgsmaatregelen worden genomen.

In gevallen waarin bedrijven falen bij het beoordelen, controleren en rap­porteren van beveiligingsfouten, moet de schuldvraag adequaat worden be­antwoord. Als je van huis vertrekt en wel alle deuren op slot draait, maar je ramen allemaal open laat staan, kun je realistisch gezien verwachten dat er bij terugkomst het een en ander zal zijn ontvreemd. Als je in huis de persoonlijke en privégegevens van je medewerkers, klanten en het alge­mene publiek bewaart, verwachten zij dat hun belang je hoogste prioriteit is, niet dat van de aandeelhouders.
In de huidige wereld waarin alles en iedereen via internet is verbonden en data de motor is die alles aandrijft, van financiële instanties tot politiek, ver­trouwen we extreem veel van onze informatie toe aan allerlei bedrijven. Dat vertrouwen moet worden verdiend en gekoesterd worden.

Simon Vernon

Simon Vernon, GSEC, GCIH, GCFE, GPEN Senior Security Researcher, SANS EMEA.Voor meer informatie zie de SANS-website (sans.org/train-with-SANS-NL).

Sans logo

Deel dit artikel

Lees ook

Een Asus laptop kopen: welke laptop past bij jou?

Als je een laptop kopen wilt, kan het aanbod nogal overweldigend zijn. Het maken van een keuze wordt makkelijker als je weet hoe het aanbod, zoals bij...

Groei in Remote Desktop Protocol-aanvallen tijdens Corona-crisis

Criminelen zien hun kansen schoon. Cijfers wijzen op een risico voor bedrijven die vanwege de COVID-19-uitbraak op afstand werken via het Remote Deskt...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er