- Door
- Rashid Niamat
- geplaatst op
- 10 maart 2014 08:01 uur
Nog steeds verschijnen er berichten over nieuwe hacks van retailers in de VS. Na de omvangrijke diefstal van 110 miljoen records uit verschillende databases van retailer Target lijkt niets meer veilig. Retailers, IT-bedrijven en overheidsdiensten hebben er nu vooral belang bij consumenten en ook winkeliers maximaal gerust te stellen, maar hoe doe je dat?
Het is een vraag die makkelijk te beantwoorden lijkt: zorg dat het betalen via debet- of creditcard in de VS zo snel mogelijk (tenminste) net zo veilig wordt als in Europa (EMV) en je bent al voor een groot deel van de ellende af. Dat is dan ook de boodschap die je bij heel veel journalisten en beleidsmakers ziet terugkomen. Maar de VS weigert vooralsnog versneld in deze technologieverbetering te investeren. Banken en winkeliers strijden nog steeds over wie deze operatie gaat betalen. Het lobbycircuit om overheden en publieke opinie daarover ’te informeren’ draait overuren.
Vanuit een heel andere (lobby)hoek, namelijk die van de juristen, zien we nu ook een ander pleidooi worden gehouden. En dat pleidooi heeft een link met bedrijven die hosting en dataopslag c.q. verwerking aanbieden. Onder andere op het blog van de Infolawgroup wordt hardop nagedacht over de voordelen van verplichte verzekering – een cyber insurance – voor bedrijven die betalingen accepteren. Een van de redenen hiervoor een lans te breken is volgens David Navetta, schrijver van een van de artikelen, de lage PCI-compliance score. Navetta refereert daarbij naar een recente publicatie van Verizon, waaruit blijkt dat slechts 10% van een groep onderzochte bedrijven aan alle 12 PCI-eisen voldoet. De achterliggende gedachte lijkt te zijn dat er een link is tussen een wettelijke verplichte cyberverzekering (WA-Cyber?) en het voldoen aan zo veel mogelijk PCI-eisen. De uitleg daarvan kun je zelf nalezen in het artikel, inclusief een vergelijking met WA-verzekeringen voor auto’s.
Wat veel interessanter is, al noemt Navetta dat in dit artikel niet expliciet maar wel in eerdere bijdragen, is dat er nog een heel andere groep ondernemers is, dan de winkeliers met pinautomaten bij de kassa’s, die onvermijdelijk met cyberverzekering te maken zouden gaan krijgen als dat ooit wordt ingevoerd. Dat zijn – inderdaad – de partijen waar de data staat dan wel wordt bewerkt. Hosters en datacenters dus. In lijn met wat op ISPam.nl al vaker is geschreven over ISO27001 – je doet het omdat een klant het moet eisen van een van zijn eigen klanten – zou de cyberverzekering in de VS onvermijdelijk leiden tot een keten die maximaal is verzekerd tegen de ongemakken van een hack.
Hoewel het idee winkeliers en ondergeschikte dienstverleners te dwingen zich te verzekeren op het eerste gezicht niet wereldvreemd overkomt, heeft het tenminste een groot nadeel. Het leidt vooral af van de ware oorzaak van de hacks. En dat is zowel het bezuinigen op als het onderschatten van goede en permanente veiligheid. Daarom is het idee van een WA-Cyber het foute antwoord op de vraag: hoe zorgen we ervoor dat verwerking van online bestellingen en betalingen veiliger wordt.
