Cyber Security

"Men koopt geen parels in het donker, noch zoekt men liefde in de nacht", aldus een oud gezegde: wees verstandig en loop geen onnodig risico. Na de Amerikaanse verkiezingen ontstond onrust over het feit dat Russische inlichtingendiensten computers zouden hebben gehackt om actief de Amerikaanse verkiezingen te beïnvloeden. Natuurlijk is het - in termen van Trump - niet netjes om in elkaars computers in te breken. Men hoeft echter niet Machiavellistisch te zijn, om dergelijke inbraken niet vreemd te vinden. Sterker nog, over de periode mei 2015-april 2016 werd ook al in Nederland vastgesteld dat economische en politieke spionage door buitenlandse inlichtingendiensten plaatsvindt. Dit vormt  een risico voor de Nederlandse concurrentiepositie en ondermijnt de democratie. Dat dit risico bestaat, blijkt wel uit het feit dat RTL in januari 2017 nog een account van kamerlid Van der Staaij (tevens lid van de Commissie voor de Veiligheids- en Inlichtingendiensten) heeft gehacked. Cybercrime bestaat volgens  de definitie van de Europese Commissie: uit "strafbare feiten gepleegd door gebruikmaking van elektronische communicatienetwerken en informatiesystemen of tegen dergelijke netwerken en systemen." Daarbij zijn niet alleen terroristen, hactivisten of criminelen actief, en gaat het om meer dan ransomware of uw betalingsysteem. Ook collega-ondernemers of concurrenten kunnen de integriteit van uw onderneming bedreigen door bijvoorbeeld financiële en/of klantgegevens te bemachtigen en zo hun concurrentiepositie te verbeteren. Cyberonderzoekers kunnen in hun zoektocht naar kwetsbaarheden in ICT-omgevingen ook bij u terecht komen. Publiciteit over hun geslaagde poging  kan uw organisatie extra kwetsbaar maken voor kwaadwillenden. In 2013 is door het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitiecrime de Leidraad Responsible Disclosure opgesteld. Deze leidraad regelt op welke wijze door derden kwetsbaarheden in geautomatiseerde systemen kunnen worden aangetoond. Deze ze leidraad heft echter strikt formeel de strafbaarheid van cyberonderzoekers niet op. Henk Krol kwam er niet mee weg, toen hij de gebrekkige afscherming van medische gegevens aan de kaak wilde stellen. Niet omdat op dat moment de leidraad toen nog niet bestond, maar wel omdat zijn manier van handelen volgens de Rechtbank niet proportioneel was en er volgens de Rechtbank geen aanleiding bestond om de media in te schakelen op de manier zoals hij dat had gedaan. Het gaat bij cybersecurity niet alleen om gevaren van buiten, maar soms ook om gevaren van binnenuit. Niet alleen in het geval van een 'mol', maar wat te denken van de in augustus 2015 veroordeelde Jumbo-medewerker, die volgens krantenberichten uit verveling bijna 100 laptops van zijn werkgever hackte. Kortom: het kan uw organisatie ook overkomen. Als uw gegevens worden gecorrumpeerd, kan dat niet alleen (in het geval van onder meer datalekken) oplopen tot een bestuurlijke boete van € 820.000,-, maar kunnen uw systemen onbetrouwbaar worden en zelfs uw bedrijfsgeheimen op straat komen te liggen en is de reputatie van zowel uw bedrijf als van het management mogelijk bezoedeld!