Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Klant met een lekke site wat nu? (column)

  • Door
  • John T. Knieriem
  • geplaatst op
  • 11 oktober 2011 08:08 uur

Het is natuurlijk een fantastische actie van Webwereld. De Lektober maand. Hulde. Eindelijk wordt security echt een issue. En terrecht.

Steeds blijkt weer op pijnlijke wijze dat organisaties en overheden veel te weinig aandacht besteden aan het beveiligen van de privégegevens die ze beheren.  Afgelopen weekend waren de gemeentesites aan de beurt. De gemeenten krijgen onder uit de zak van GeenStijl en Webwereld.

Het is slechts een kwestie van tijd voordat het jou of een andere conculega gebeurt. Dan blijken vertrouwelijke gegevens van jouw klant op straat te liggen. En hoe ga je daar dan mee om?

Webbouwer SIM groep, verantwoordelijk voor de bouw van een aantal van de gehackte sites, hult zich in stilzwijgen. Daarmee de verdenking op zich latend dat ze schuldig zijn. Ze leggen immers niks uit. Tot nu toe blijft de webhoster van veel van de aangevallen websites nog buiten schot. Maar dat kan zo veranderen. En dan heeft ineens de hoster het gedaan.

En wat dan? Hoe ga je uitleggen dat het de keuze van de klant is om nog op een oude Windows-versie te draaien? Hoe ga je uitleggen dat de programmacode lek was?  Of hoe ga je uitleggen dat de klant geen uitgebreid security pakket wilde? En bovendien waarom scherm je dan met de ISO-certificaten? Stellen die dan niks voor?

Het is techniek en dus voor veel mensen te ingewikkeld. Maar de beeldvorming is snel en met een ongenuanceerde oneliner is je reputatie kapot. Branchegenoten  zullen best begrijpen dat de verantwoordelijkheid hoogstwaarschijnlijk niet, of maar gedeeltelijk, bij de hoster ligt. Maar in de beeldvorming is het leed al geschied en heb je een enorme commerciële schade opgelopen.

Wat is wijsheid? Met de billen bloot en transparant aangeven wat er gebeurd is?  Charles Huijskens voor de crisiscommunicatie inschakelen? Of net doen of er niks aan de hand is? Ik weet het nog niet. Maar wij gaan het er intern maar eens over hebben. Want het kan ons allemaal gebeuren. Hoe goed we elke dag ons best ook doen.

 

patrick, 11 oktober 2011 10:31 am

ISO certificaten stellen inderdaad geen bal voor als het om produkt kwaliteit gaat, want ISO certificaten schrijven alleen voor dat je alles moet doen zoals je bescrhijft dat je het doet, dus als je beschrijft dat je troep maakt, krijg je als nog een certificeering. Een ISO certificaat zegt niet of je product goed is en heeft dus niets met de daadwerkelijke kwaliteit te maken, alleen met de organisatie.

Maar buiten dat; als ik een auto koop en ik rij er veelste snel mee, dan heeft de auto dealer het toch ook niet gedaan ? want hij had er tenslote een snelheidsbegrenzer in kunnen bouwen.

Ed, 11 oktober 2011 12:20 pm

Dit artikel haalt inderdaad een zeer reeel beeld aan, namelijk het zijn altijd de beheerders/hosters die het gedaan hebben.
Heel vaak worden tactische beslissingen gemaakt gedreven door
(het gebrek aan) geld.
Als je als beheerder/hoster dan publiekelijk gaat lopen schermen dat het de klant zijn eigen schuld is, maak je het voor de getroffene alleen nog vervelender.
Dus stilzwijgen is in dat geval misschien wel de meest voor de hand liggende optie.
Als je zo'n (grote) klant verliest kost het je misschien nog wel meer dan dat nu het geval is.

Ik word een beetje moe van alle negatieve uitlatingen aan het adres van de beheerders op diverse fora terwijl die vaak uitvoerend zijn en geacht worden volgzaam te klikken en vooral niet moeilijk te doen.

Jochem, 11 oktober 2011 12:33 pm

Patrick, niet elke ISO certificering is gericht op het enkel documenteren van processen. Er zijn ook ISO certificeringen die bepaalde processen eisen (normatief dus), bijvoorbeeld ISO27001.

Het probleem wat wordt besproken zou ik aanpakken door een makkelijke analogie maken (zoals Patrick bijvoorbeeld maakt) en die zo veel mogelijk communiceren. In principe zou de journalistiek wederhoor moeten plegen, dus hopelijk wordt jouw verhaaltje dan meegenomen. Een analogie zou bijvoorbeeld die met een verhuurder of woningcorporatie kunnen zijn: je levert woningen, maar wat daar binnen gebeurd kan je lang niet altijd controleren. Je kan er op hameren dat men geen kaarsen onder het gordijn zetten (onveilige situatie creëren), maar je kan het niet verbieden en vaak ook niet voorkomen.

patrick, 11 oktober 2011 12:40 pm

@jochem,

Je hebt wel gelijk, tot een bepaald punt, want uiteindelijk ...

Design and implement a coherent and comprehensive suite of information security controls and/or other forms of risk treatment (such as risk avoidance or risk transfer) to address those risks that are deemed unacceptable.

wie of wat bepaald wat is unacceptable.

Ik zeg niet dat een ISO nomering niet goed is, ik denk dat het erg goed is als men over alles nadenkt, maar helaas blijkt in de praktijk dat(naar mijn mening) een ISO certificaat te snel wordt toegekend. Ik zou graag zien dat normeringen beter zouden kunnen worden vastgesteld. Of dat mogelijk is in een industrie die zo snel gaat als deze is dan natuurlijk ook nog maar de vraag.

Buiten dat; lijkt me veel van deze taken niet altijd bij een hoster thuishoren, tenzij deze natuurlijk deze diensten heeft aangeboden aan de klant. En dan zijn we weer terug bij het verhaal hier boven, mond dicht, of de journalisten een cursus geven ?

johanneke, 13 oktober 2011 8:48 pm

Blijkbaar is de heer Knieriem niet op de hoogte van het werkelijke verhaal. Triest dat een directeur van een hostingbedrif niet op de hoogte is dat een server van een derde partij was gehackt. Beetje goedkoop de "expert" uithangen.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.