"Waarschuwen van klanten na hack is te kostbaar"
Terroristen en computercriminelen mogen dan misbruik van het internet maken, veel cybersecurity ideeën van het Amerikaanse congres zullen dit niet veranderen, aldus experts. Sommige wetgeving, zoals het inlichten van klanten na een aanval, zorgt er alleen voor dat bedrijven extra kosten krijgen, net als met Sarbanes-Oxley het geval was. Volgens rechtenprofessor Bruce Kobayashi moet het congres een stapje terug doen. "Anders krijgen we een soort SOX-achtige wetgeving waardoor bedrijven veel geld besteden aan het versturen van waarschuwingen aan klanten".
Na een reeks security lekken en aanvallen begin 2005 heeft het Amerikaanse congres meer dan 10 voorstellen gedaan voor het waarschuwen van klanten na een incident. "Het congres moet juist meer naar de kosten en opbrengsten kijken" aldus Kobayashi.
Ken Silva, CSO van Verisign, vindt dat bedrijven veiligere IT producten moeten eisen. Bedrijven doen er verstandig aan om zich bij organisaties aan te sluiten die zich sterk maken voor veiligere producten. "We kunnen niet op het congres wachten om dit probleem op te lossen, omdat dit niet het probleem oplost" zo laat Silva weten.
ook geen geld uit te geven om je klanten te waarschuwen.
boeiend, gewoon zorgen dat er geen incidenten zijn. hoef je
ook geen geld uit te geven om je klanten te waarschuwen.
Toch meer boeiend dan je zou denken, het artikel heeft te
maken met due diligence en de wetgeving die hier mee gepaard
gaat. Je kunt due diligence nog verder oprekken maar zoals
Ken Silva juist oppert, het wordt tijd om de overhead te
stoppen en 'het kwaad' bij de bron aan te pakken. En dat
laatste dat begint bij veiliger, dus betere produkten.
Nu lopen bedrijven achter de feiten aan terwijl de
werkelijke oorzaak elders gevonden moet worden.
Kapitaalvernietiging van het hoogste niveau dus.
Nu lopen bedrijven achter de feiten aan terwijl de
werkelijke oorzaak elders gevonden moet worden.
Kapitaalvernietiging van het hoogste niveau dus.
Ik ken de motivatie achter de wetgeving niet, maar deze zou
best juist gericht kunnen zijn op kapitaalvernietiging. Dat
is het enige waar de grote bedrijven naar luisteren.
maar de laatste high profile privacy problemen zoals het
verliezen van backup tapes en laptops met klantgegevens
liggen niet er aan dat de producten wel of niet goed zijn,
maar dat ze domweg niet gebruikt worden. Bedrijven dwingen
het te melden als ze zoiets doms doen, zet druk op ze om de
procedures in te voeren en de producten echt te gebruiken.
Ten eerste geeft het verplicht inlichten van klanten inzicht
in hoe vaak inbraken voorkomen, om wat voor soort inbraken
het dan gaat, en welke bedrijven het meest slachtoffer
worden. Ik vind dat belangrijke informatie die niet in de
doofpot gestopt moet worden. Dat is al een reden om voor
verplicht inlichten te zijn.
Ten tweede is het feit dat dat inlichten bedrijven geld kost
(dat het ze _veel_ geld kost kan ik niet geloven) juist een
voordeel: in plaats van dat de kosten van een inbraak een
externaliteit zijn voor een bedrijf, brengt het nu direct
kosten met zich mee. Dit moet een motivatie zijn om de
beveiliging goed te regelen.
Natuurlijk is het voor een bedrijf goedkoper als er geen
inlichtingsplicht is: ze kunnen dan de kantjes er vanaf
lopen met de beveiliging, en de schade die klanten daardoor
wordt toegebracht (wegens diefstal en misbruik van
persoonlijke gegevens) kost het bedrijf verder niks. Dus het
verbaast me niets dat bedrijven hun best doen om te zorgen
dat er geen inlichtingsplicht komt.Maar dat wil niet zeggen
dat zo'n plicht geen goed idee is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
