Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Tegen een verplichte cyberverzekering

  • Door
  • Rashid Niamat
  • geplaatst op
  • 10 maart 2014 08:01 uur

usa-vlag-150150Nog steeds verschijnen er berichten over nieuwe hacks van retailers in de VS. Na de omvangrijke diefstal van 110 miljoen records uit verschillende databases van retailer Target lijkt niets meer veilig. Retailers, IT-bedrijven en overheidsdiensten hebben er nu vooral belang bij consumenten en ook winkeliers maximaal gerust te stellen, maar hoe doe je dat?

Het is een vraag die makkelijk te beantwoorden lijkt: zorg dat het betalen via debet- of creditcard in de VS zo snel mogelijk (tenminste) net zo veilig wordt als in Europa (EMV) en je bent al voor een groot deel van de ellende af. Dat is dan ook de boodschap die je bij heel veel journalisten en beleidsmakers ziet terugkomen. Maar de VS weigert vooralsnog versneld in deze technologieverbetering te investeren. Banken en winkeliers strijden nog steeds over wie deze operatie gaat betalen. Het lobbycircuit om overheden en publieke opinie daarover ‘te informeren’ draait overuren.

Vanuit een heel andere (lobby)hoek, namelijk die van de juristen, zien we nu ook een ander pleidooi worden gehouden. En dat pleidooi heeft een link met bedrijven die hosting en dataopslag c.q. verwerking aanbieden. Onder andere op het blog van de Infolawgroup wordt hardop nagedacht over de voordelen van verplichte verzekering – een cyber insurance – voor bedrijven die betalingen accepteren. Een van de redenen hiervoor een lans te breken is volgens David Navetta, schrijver van een van de artikelen, de lage PCI-compliance score. Navetta refereert daarbij naar een recente publicatie van Verizon, waaruit blijkt dat slechts 10% van een groep onderzochte bedrijven aan alle 12 PCI-eisen voldoet. De achterliggende gedachte lijkt te zijn dat er een link is tussen een wettelijke verplichte cyberverzekering (WA-Cyber?) en het voldoen aan zo veel mogelijk PCI-eisen. De uitleg daarvan kun je zelf nalezen in het artikel, inclusief een vergelijking met WA-verzekeringen voor auto’s.

Wat veel interessanter is, al noemt Navetta dat in dit artikel niet expliciet maar wel in eerdere bijdragen, is dat er nog een heel andere groep ondernemers is, dan de winkeliers met pinautomaten bij de kassa’s, die onvermijdelijk met cyberverzekering te maken zouden gaan krijgen als dat ooit wordt ingevoerd. Dat zijn – inderdaad – de partijen waar de data staat dan wel wordt bewerkt. Hosters en datacenters dus. In lijn met wat op ISPam.nl al vaker is geschreven over ISO27001 – je doet het omdat een klant het moet eisen van een van zijn eigen klanten – zou de cyberverzekering in de VS onvermijdelijk leiden tot een keten die maximaal is verzekerd tegen de ongemakken van een hack.

Hoewel het idee winkeliers en ondergeschikte dienstverleners te dwingen zich te verzekeren op het eerste gezicht niet wereldvreemd overkomt, heeft het tenminste een groot nadeel. Het leidt vooral af van de ware oorzaak van de hacks. En dat is zowel het bezuinigen op als het onderschatten van goede en permanente veiligheid. Daarom is het idee van een WA-Cyber het foute antwoord op de vraag: hoe zorgen we ervoor dat verwerking van online bestellingen en betalingen veiliger wordt.

Dennis Nuijens, 12 maart 2014 8:05 am

Hoi Rachid,

Je noemt ook het Verizon Rapport 2014. Vandaag of morgen publiceren wij een begrijpelijk en kort verslag daarvan voorzien van commentaar van een PCI-DSS professional (Frans van Gessel)

Ik zou mij daarnaast graag inschrijven voor jullie nieuwsbrief.

Ik kies ook nu voor opt-in '-)

Groet, Dennis

Rashid Niamat, 12 maart 2014 8:45 am

Dennis,

in tegenstelling tot het Databreach rapport vind ik het PCI-DSS onderzoek van Verizon eigenlijk niet geschikt voor ISPam.nl. Het is lastig leesbaar en bevat heel weinig tips die de lezers eenvoudig kunnen omzetten naar acties in de eigen bedrijven.

Ik ben benieuwd of Frans van Gessel die vertaalslag wel kan maken.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.