Wat een toeval of eigenlijk: wat een ontzettend slechte timing van het universum! Als ik mijn persoonlijke ‘mobile way to connect’ en mijn vrije tijd bekijk, bevind ik me momenteel in het oog van een digitale storm. Ik ben namelijk al jarenlang trouw klant van Odido (voorheen Tele2) en had mijn eerste abonnement in 2002 met een Nokia telefoon. Daarnaast zit ik al sinds de openingswedstrijd van het Eredivisie Seizoen 1996/1997, 1-0 winst tegen NAC dankzij een goal van Jari Litmanen, op de tribune van (tegenwoordig) de Johan Cruijff Arena met mijn Ajax-seizoenkaart. Ik ben een zeer loyale klant, maar de laatste weken voelt het eerder alsof ik een schietschijf ben voor hackers.
Recent werden duizenden klanten van Odido en supporters van Ajax opgeschrikt: hun persoonsgegevens liggen op straat. De oorzaak? Niet een directe kraak van hun eigen systemen, maar een ernstig datalek bij een gedeelde partner: onderzoeksbureau Blauw. Dit incident legt de vinger op de zere plek van de moderne digitale economie: Supply Chain Security.
Een kwetsbare keten
Twee van mijn grootste passies en dagelijkse gemakken zijn geraakt door hetzelfde lek bij onderzoeksbureau Blauw. Dat is niet alleen een administratieve irritatie; het zet je aan het denken over de wereld achter die ‘handige’ digitale koppelingen.
Om even tot rust te komen van deze aaneenschakeling van data-lek-ellende, besloot ik onlangs een lekker ontspannen weekendje weg te boeken via Booking.com. Je raadt het al: dat levert juist enorm veel extra stress op. Bij het recente datalek van Booking.com zijn namelijk reserveringsgegevens van klanten buitgemaakt. Dit lijkt vooral te zijn ontstaan doordat systemen van de hotels en partners zelf werden gecompromitteerd. Aanvallers konden vervolgens via díe accounts simpelweg de reserveringsgegevens uit Booking.com halen. Deze data wordt nu misbruikt voor zeer geloofwaardige ‘phishing’ en zogenaamde ‘reservation hijacking’. In plaats van uit te rusten, zit ik nu paranoïde mijn mail te scannen.
Het toont op een wrange manier precies aan waar dit blog over gaat: een kwetsbare keten.
De onzichtbare schade:
Bij een datalek wordt vaak direct gekeken naar de technische herstelkosten of de mogelijke AVG-boetes. Maar de werkelijke schade bij dit lek zit dieper. Voor organisaties als Booking.com, Ajax en Odido is hun klantrelatie hun kostbaarste bezit. Vertrouwen komt te voet en gaat te paard.
Voor een supporter is Ajax meer dan een club; het is een passie. Als jouw privégegevens lekken omdat de beveiliging bij een extern bureau als Blauw niet op orde was, voelt dat als een persoonlijke schending. Het roept boosheid en onmacht op richting de club. Tel daar ook nog eens bij op de sportieve malaise en je vraagt je onderhand echt wel af of de juiste en capabele mensen mijn club besturen. Wellicht dat dit, naast het sportieve verval, een extra reden is om toch de seizoenkaart op te zeggen.
Het ‘waarom’ van wantrouwen
Als klant van Odido stelde ik meteen de vraag: “Als jullie mijn naam en nummer al niet veilig kunnen delen met een onderzoeksbureau, hoe gaan jullie dan om met andere partners?” Odido is immers ook sponsor van clubs als Feyenoord en FC Utrecht. Kan ik er wel op vertrouwen dat mijn gegevens als bloedfanatieke Ajax-supporter daar niet ineens in een gedeelde database opduiken, zodat ‘verkeerd-willenden’ ineens bij mij op de stoep staan. Dit wantrouwen sijpelt door in mijn klantrelatie en laat mij wel kritischer nadenken over het verlengen van mijn mobiele abonnement.
De illusie van een veilige haven
Een boeking via Booking.com doe je om even op te laden, maar door dit datalek kreeg ik er gratis een flinke dosis acute stress bij. Omdat de systemen van aangesloten hotelpartners zo lek als een mandje bleken, trokken aanvallers mijn reserveringsgegevens zo uit het platform. Nu word ik bestookt met sluwe ‘phishing’ en ‘reservation hijacking.’ Het riep direct de vraag bij me op: als een techgigant de beveiliging van zijn eigen ketenpartners niet eens kan garanderen, is mijn creditcard daar dan nog wel veilig? Dit wantrouwen overschaduwt de vakantievoorpret volledig en laat me wel twee keer nadenken voordat ik weer via zo’n platform boek. Misschien toch maar weer rechtstreeks het hotel bellen.
Reputatie is niet uitbesteedbaar
De publieke opinie is onverbiddelijk. De klant of supporter zoals ik wijst naar het merk op de gevel (Booking, Odido of Ajax), niet naar de voor mij onbekende toeleverancier / ketenpartner. Een miljoenenboete van de toezichthouder herstelt geen geschonden privacy. Handhaving corrigeert de norm, maar het herstelt het verloren veiligheidsgevoel van een individu niet. Stel dat die man met een stadionverbod wegens mishandeling door gebrekkige identiteitscontroles toch ‘gewoon’ weer in de Johan Cruijff Arena kan zitten. Op dat moment voelen de stewards en echte supporters zich in hun hemd gezet en fundamenteel onveilig. De theorie van beveiliging faalt dan in de praktijk.
De illusie van controle en financiële ravage
We hebben een infrastructuur gebouwd waarin identiteit veel te eenvoudig te kopiëren en synthetisch te reconstrueren is. Organisaties die hier onzorgvuldig mee omgaan, faciliteren onbedoeld een blijvende dreiging voor échte mensen. Als mijn gegevens door derden misbruikt worden en ik daardoor vaker in phishingmails trap of betalingen doen aan criminelen, zijn de problemen niet te overzien. Daar komt nog een lawine aan extra ellende, tijd en kosten bovenop. Denk aan onterechte boetes voor te hard rijden omdat iemand met jouw gegevens een auto heeft gehuurd, verwoestende creditcardfraude, of zelfs hypotheekfraude en afgesloten leningen op jouw naam. De nasleep van zo’n lek achtervolgt je jarenlang.
Tweede Kamer stemt in met Cyberbeveiligingswet
Op 15 april heeft de Tweede Kamer de wetsvoorstellen voor de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten aangenomen. De Cbw implementeert de Europese NIS2-richtlijn direct in de Nederlandse wetgeving en vervangt daarmee de huidige Wbni. Met deze stap worden de zorgplicht, meldplicht en registratieplicht voor duizenden organisaties in Nederland definitief en wettelijk verankerd. Je kunt je als bestuurder dus niet meer verschuilen achter onwetendheid van je partners.
Je organisatie is zo sterk als de zwakste schakel.
Bent je een bestuurder die blind vertrouwt op ‘blauwe ogen’ van je toeleveranciers, of de leider die de regie voert over het volledige ecosysteem? Benieuwd hoe je de regie pakt en de ketenweerbaarheid versterkt? Neem contact op voor een kennismaking. Bij Ventus weten we alles over de manier waarop je jouw data én je organisatie kunt beschermen en hoe je op een snelle en effectieve manier kunt voldoen aan alle richtlijnen die de wetgever stelt. Bel +31 (0)622670425 of mail met Barry Laan: b.laan@ventus.nl.