Spreken is zilver, zwijgen is lood

“Onze data is gestolen, ook van onze klanten.” Stilte. “Als we het stilhouden, wat is de kans dat iemand daar dan achter komt?” Zomaar een conversatie uit een boardroom van

“Onze data is gestolen, ook van onze klanten.” Stilte. “Als we het stilhouden, wat is de kans dat iemand daar dan achter komt?” Zomaar een conversatie uit een boardroom van een willekeurige onderneming. Geen fictieve conversatie en helaas ook geen fictieve vraag. Wel een foute, kortzichtige vraag.

Spreken is zilver, zwijgen is goud. Zo luidt de oud-Hollandse wijsheid die voor ICT-security echter hard aan een update toe is. Spreken is misschien wel zilver, maar zwijgen kan lood zijn. Dankzij de Meldplicht Datalekken moeten bedrijven in Nederland datadiefstal melden bij de Autoriteit Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens). Die toezichthouder kan fikse boetes opleggen, maar dat is niet eens het gevaarlijkste lood.

Onwetendheid

Nee, het grotere gevaar schuilt in onwetendheid. En dat is een probleem voor de langere termijn. Het stilhouden van datalekken en security-incidenten zorgt ervoor dat er geen controle meer is op cyber(in)security. Het zorgt ervoor dat consumenten geen onderbouwde keuzes kunnen maken voor welk bedrijf zij hun kostbare gegevens toevertrouwen. Het zorgt ervoor dat er geen inzicht is in de aard en omvang van het probleem.

Toch is stilhouden volgens voormalig officier van Justitie Aldo Verbruggen “vaak verstandig”. In gesprek met het FD stelt de huidig partner bij het internationale advocatenkantoor Jones Day dat door cybercrime getroffen bedrijven “er vaak om goede redenen voor kiezen om een digitaal misdrijf binnenskamers op te lossen”. Er kan namelijk grote materiële schade volgen uit aangifte doen of uit het melden van datalekken, zo luidt de uitleg. Bovendien is de kans op vervolging en veroordeling minimaal, schrijft het FD.

Langetermijndoel

Een verbijsterend en ook nog eens gevaarlijk ‘advies’, dit stilhouden. Even los van het feit dat melding van datalekken in Nederland sinds begin dit jaar wettelijk verplicht is. Ja, melden en ook aangifte doen kan soms moeizaam zijn. Ja, vervolging en uiteindelijk veroordeling van cybercrime is een lastig, internationaal pakket. En ja, met de billen bloot gaan voor datalekken en security-incidenten kan pijnlijk zijn. Maar we moeten het eigenlijke, langetermijndoel niet uit het oog verliezen.

Het langetermijndoel overstijgt nu namelijk securitykosten, boetevermijding of zelfs klantenbehoud. De Meldplicht Datalekken is er niet voor niets. Boetes of schandpalen zijn niet de crux. Het gaat erom Nederland – en liefst ook andere landen natuurlijk – digitaal veiliger te maken. Door kennis te delen, kunnen we dat worden. Dit omvat ook kennis over datalekken en security-incidenten. Want daar valt veel van te leren.

Schadebeperking

Op de korte termijn kunnen getroffen bedrijven en geraakte consumenten maatregelen nemen om vervolgschade te beperken. Bedrijven kunnen bijvoorbeeld log-ins resetten en dan gelijk krachtigere wachtwoorden afdwingen. Gebruikers kunnen hun elders gebruikte wachtwoorden aanpassen. Partnerbedrijven kunnen extra waakzaam zijn. Creditcardtransacties kunnen beter gemonitord worden. Tegelijkertijd kunnen andere bedrijven hun ICT-systemen, de beveiliging daarvan en de algehele configuratie nalopen en versterken.

Stilhouden zorgt ervoor dat dergelijke maatregelen niet worden genomen. Digitale dieven kunnen hun buit hierdoor beter verzilveren of zelfs nogmaals toeslaan elders. Daarnaast krijgen overheid, toezichthouders en wetshandhavers door stilhouden geen goed beeld van wat er gebeurt. Dat werkt digibete aangifteloketten in de hand en zorgt ervoor dat er geen prioriteit of budgetten worden toegekend aan cybersecurity.

De balans vinden

Aan de andere kant moeten we ook niet ‘de Amerikaanse kant’ opgaan. In de Verenigde Staten heerst er namelijk overregulering. Daar is de regelgeving rondom datalekken dermate zwaar en verstikkend dat het in de praktijk onwerkbaar is voor bedrijven om eraan te voldoen. Dat is het ene uiterste, dat eigenlijk net zo ongewenst is als het genoemde uiterste van dan-maar-niet-melden.

De schade van melden – en soms zelfs van publiekelijke openheid – moet zeker niet onderschat worden. Het kan fors en pijnlijk zijn. Maar stilhouden is de verkeerde reactie. Om de zoveel tijd klinken er geluiden op om security-incidenten stil te houden. Zo zijn we er pas dit jaar achter gekomen dat Yahoo! in 2014 getroffen is door een vergaande cyberinbraak. Daarbij zijn de accountgegevens van 500 miljoen gebruikers geraakt. Vijf-honderd miljoen. Een half miljard. Laat dat even bezinken.

Komt toch wel uit

Na twee jaar stilhouden is het toch uitgekomen. Twee jaar waarin alleen topmanagement de digitale datadieven ervan wisten. Yahoo! Is nu verwikkeld in diverse problemen die elk flinke schade brengen. Naast het nu beter verklaarde plotse opstappen van Yahoo!’s securitytopman spelen er meerdere rechtszaken en wordt de geplande overname door Verizon geraakt. Spreken is zilver, maar zwijgen blijkt kostbaarder.

Tips