Het horrorscenario van iedere hosting-provider: een kwaadwillende medewerker die jarenlang zijn gang kan gaan. Afgelopen weekend werd dit realiteit voor een provider uit Den Haag: een ex-medewerker verwijderde alle data van alle systemen. Het gevolg: gedupeerde klanten, reputatieschade, hoge kosten en een onzekere toekomst. En omdat het hele internet zich al verontwaardigd afvraagt hoe dit toch kon gebeuren, wil ik het graag van een andere kant belichten: waarom gaat een bedrijf er tegenwoordig niet vanuit dat dit gebeurt? En zou dat een verschil maken?

Zwakke schakels?

Er wordt vaak geroepen dat de mens de zwakste schakel is als het om (cyber) security gaat. En met de recente verhalen in het achterhoofd zou je dat maar zo kunnen geloven. Maar mijns inziens klopt het niet, de mens is hooguit de minst betrouwbare schakel. Dat zet het geheel toch in een ander perspectief, want hoe ga je om met een onbetrouwbaar element in je ketting? Het klinkt klein, maar het gaat om de mindset die een bepaald stempel met zich meebrengt. Denk maar eens na: als je zegt dat de mens de zwakste schakel is, gaat iedereen het daar ontzettend mee eens zijn. Het is een feit: bij genoeg kracht, breekt deze schakel. Dat weten we allemaal en dus wordt het geaccepteerd. Maar dit is wel erg zwart-wit en geeft onvoldoende beeld van de werkelijkheid.

Een andere benadering

Graag wil ik dan ook pleiten voor een andere benadering: de mens is de minst betrouwbare schakel. Mogelijk merk je het al bij het lezen van deze zin: er komen direct vragen en een gevoel van gradatie naar boven: minst betrouwbaar? Maar wanneer dan? Wat betekent dat? Is dit niet een risico? Exact het soort vragen waar je mee bezig moet zijn! Met deze hernieuwde blik wordt het spectrum van (cyber) security ook ineens een stuk breder en dat levert een veel genuanceerder beeld op.

Grijs gebied

Even terug naar afgelopen weekend. Het verhaal zoals het nu bekend is, vertelt dat een ex-medewerker alle data heeft gewist. De eerste reacties op internet liegen er niet om: ‘Waarom is zijn account niet direct verwijderd bij uitdiensttreding?’ Waarom kon hij bij alle gegevens van alle klanten?’ en uiteraard: ‘Waarom heeft niemand dit al veel eerder opgemerkt’? Logische vragen, maar in de context van wat nu bekend is, misschien wat minder zwart-wit. Het blijkt dat de betreffende ex-medewerker dit jarenlang voorbereid heeft. Jarenlang. Als afgestudeerd informaticus kan ik me goed voorstellen dat je in meerdere jaren erg veel kan bereiken, zonder dat dit echt opvalt, zeker als je technisch erg bekwaam bent. Dus waarschijnlijk verstond deze man zijn vak ook nog eens erg goed. Zwak? Nee. Onbetrouwbaar? Blijkbaar wel...

Voorkomen of anticiperen?

Had dit dan voorkomen kunnen worden? Moeilijke vraag. Als iemand echt kwaad wil en daarvoor bereid is grof de wet te overtreden, blijft dat lastig te voorkomen. Het gaat hier echter om de risico’s, de gevolgen en de impact van maatregelen. Die discussie moet gevoerd worden. Uiteraard is een goede screening van belang. Natuurlijk moet de IT-architectuur op orde zijn. Vanzelfsprekend moet je af van gedeelde wachtwoorden en ‘super-admins’ die almachtig zijn. Maar het belangrijkste: denk na over veiligheid en ben daarin zo transparant mogelijk. Besef dat mensen de minst betrouwbare schakel zijn. En bedenk waar jouw risico’s zitten als je over een aantal jaar op de maandelijkse borrel die nieuwe collega tegen het lijf loopt die onder het genot van een biertje vertelt dat hij na een paar jaar ‘tijd voor zichzelf’ blij is dat hij zijn carrière als sysadmin nu bij jouw bedrijf mag vervolgen...