Niets menselijks is ons vreemd. Ook niet in de wereld die informatiebeveiliging heet. Symantec (u weet wel: van de antivirus software) had blijkbaar de beveiliging niet op orde, want een hacker is er vandoor met hun broncode. En dreigt deze openbaar te maken.
Wat is er aan de hand? Een hacker met de naam “Yama Tough” claimt broncodes van Symantec gestolen te hebben. En dreigt deze vrij te geven. De betreffende hacker lijkt deel uit te maken van een hackers collectief uit India, die deze maand al eerder broncodes van Symantec heeft gepubliceerd. Waarom is niet geheel duidelijk, maar het collectief heeft het gemunt op de regering van India.
Wat heeft dat met Symantec te maken? De code is niet gestolen bij Symantec, maar schijnbaar bij een derde partij uit India. Het zou gaan om de Indiase geheime dienst. En dat verbaast: uitgerekend de Indiase geheime dienst heeft zijn beveiliging niet op orde. En lekt code voor antivirus software. Dat ze blijkbaar in bezit hebben gekregen van Symantec (wellicht ter controle, voordat men het breedschalig binnen de overheid zou gaan inzetten..?).
Niets menselijks is dus ook informatiebeveiligers vreemd. Want dit riekt naar slechte beveiliging, door organisaties die er zelf in gespecialiseerd moeten zijn (waarom staat dergelijke broncode bijvoorbeeld op servers die vanuit Internet te benaderen zijn en scheid men die data niet?). Symantec zal ongetwijfeld de zaak wat bagetelliseren en gaan wijzen naar de geheimde dienst die de zaakjes niet op orde had (wellicht begeleidt door een of ander juridische claim). Maar ze zijn wel de klos.
En dat is een goede wake-up call. Want dit kan u ook overkomen. Veel organisaties besteden tegenwoordig ICT uit. Maar vergeten even dat er ook informatie in die ICT wordt verwerkt. En als die informatie uitlekt via een ICT dienstverlener, raakt dat bijna altijd ook de opdrachtgever: de eigenaar van de informatie. Stelt u zich maar eens voor dat uw financiele- of klantgegevens per ongeluk gelekt worden via de partij waar u uw ICT heeft ondergebracht. Niet alleen slecht voor uw imago, maar ook leuk voor de concurrent.
En dat kan nog erger worden als het persoonsgegevens betreft. Want als u die vastlegt en verwerkt (ook al is dat door inschakeling van een externe ICT dienstverlener), bent u ook verantwoordelijk voor de beveiliging (of het laten beveiligen) van deze gegevens. Dat moet u van de Wet bescherming persoonsgegevens (Wbp). Misschien verstandig om naar aanleiding van dit incident uw ICT contracten eens onder de loep te nemen. Om eens te zien of u afgesproken heeft wie welke verantwoordelijkheden heeft. En om te zien of u hier regelmatig op controleert. Want de praktijk leert dat dat nog wel eens vergeten wordt…
RSS Feed (Nieuws)
Twitter