E-mailaanbieder en marketingbureau Epsilon is na de recente diefstal van miljoenen e-mailadressen weer begonnen met het versturen van marketing e-mails. Aanvallers wisten toegang tot de gegevens van meer dan 50 bedrijven te krijgen die bij Epsilon klant zijn…In een nieuwe verklaring laat Epsilon weten dat er alleen e-mailadressen en namen zijn gestolen, en er geen persoonlijke identificeerbare informatie, zoals social security nummers of creditcards, zijn buitgemaakt…Wel maakt het bedrijf zich zorgen dat vanwege het incident “grote klanten” zullen vertrekken. Het terugwinnen van het vertrouwen van de klanten heeft dan ook op zowel korte als lange termijn de hoogste prioriteit. Daarnaast maakt Epsilon nogmaals excuses voor het datalek (bron).
Excuses niet aanvaard…en nu? Als klant heb je natuurlijk niet zoveel keuze. Je kunt best weglopen bij het bedrijf, maar het leed is al geschied. De e-mailadressen en namen liggen op straat.
Natuurlijk kan ik je hier nogmaals vertellen dat het bij informatiebeveiliging eigenlijk maar om drie zaken gaat: omzet, kosten en imago. Maar dat gaan we niet doen, omdat Epsilon inmiddels ook wel weet dat, dat het echte probleem is.
Nee, laten we nu maar eens de keten aanhalen. Zoals we weten (althans, we zeggen dat we dat weten) is de keten zo zwak als de zwakste schakel. Dat is niet alleen zo in een ketting, maar bijvoorbeeld ook in een logistiek proces. Als de grondstofleverancier niet kan leveren, dan komt mijn eindproduct nooit bij de consument.
Maar trek nu eens de parallel naar informatiebeveiliging? Meer en meer organisaties beschikken over elkaars gegevens of kunnen bij elkaar in de systemen. Hartstikke prettig dat ik als organisatie dan ISO-gecertificeerd ben, maar hoe zit het met mijn leverancier en afnemers? Zijn die wel net zo bezorgd om beveiliging van de gegevens als dat wij dat zijn?
Uiteraard sluiten veel organisaties SLA’s af om zeker te kunnen zijn van een bepaalde mate van dienstverlening. Daarin nemen we ook graag de optie op om de leverancier te mogen auditen. Een goede beveiligingsparagraaf ontbreekt echter nog vaak in de SLA en controleren van de beveiliging doen we al helemaal niet, stel je voor.
Zolang de ketens steeds meer van elkaars systemen gebruik gaan maken is een eenzijdige aanpak van informatiebeveiliging niet voldoende meer. Nee, willen we de risico’s echt afdekken dan zullen we toch echt naar de hele keten moeten kijken.
Is dat dan zo makkelijk? Nee, natuurlijk niet maar het oplossen van je eerste Sudoku puzzel was dat ook niet, nu los je die puzzeltjes in een paar minuten op. Was je er toen nooit mee begonnen dan was het nu nog steeds zo ingewikkeld. Dat zelfde geldt net zo hard voor de controle van de keten: natuurlijk is het niet makkelijk, maar bedenk dat het over een jaar nog net zo ingewikkeld is als we niet nu al beginnen.
Wat ik voor je kan betekenen? Dat leg ik je graag uit, maar laten we eerst beginnen met het op orde brengen van de informatiebeveiliging binnen jouw organisatie voordat we naar de keten kijken…je wilt immers niet tot de conclusie komen dat jij de zwakste schakel bent.