Hacker betekent ook crimineel

Er is nog altijd discussie over de betekenis van het woord ‘hacker’, maar de eerste bekende vermelding beschrijft een criminele daad. Hacker heeft zowel een negatieve als positieve lading, aldus Robert Graham van Errata Security. “Mensen blijven beweren dat hacker geen crimineel betekent en er daarom cracker moet worden gebruikt. Die claim valt niet te rechtvaardigen.” Het woord wordt zowel gebruikt om criminelen als “enthousiaste nerds” te omschrijven (bron).

Het is natuurlijk een definitiekwestie en of je nu hacker of cracker gebruikt maakt mij persoonlijk niet zoveel uit. Het gaat wat mij betreft om de daad die uitgevoerd wordt en dan wordt het in de digitale wereld ineens een stuk mistiger.

Sommige zaken vinden we digitaal heel normaal, terwijl we die in de analoge wereld niet zo snel zouden doen. Heb jij wel eens iemand aan alle voordeuren zien rammelen om te kijken of ze wel of niet op slot zijn?

Digitaal doen we dat dagelijks en als we merken dat er inderdaad een gaatje zit dan wordt het wel heel verleidelijk om daardoor naar binnen te glippen. Hoe goed je bedoeling misschien ook mag zijn, het blijft natuurlijk gewoon een misdadige daad die je normaal niet zo plegen.

Stel dat je wel aan de voordeur rammelde en dat daarbij de deur spontaan open springt. Zou jij dan midden in de nacht naar binnen gaan om te kijken wat er binnen allemaal te halen valt? Waarschijnlijk niet want je weet nooit of de bewoners een flinke waakhond in huis hebben.

Het blijft nog steeds vreemd dat we anders aan kijken tegen de digitale en analoge wereld en het blijft vreemd dat we (in al onze anonimiteit) in de digitale wereld bereid zijn om veel verder te gaan dan we normaal gesproken zouden doen.

Rammel jij dus weer eens aan een digitale of analoge voordeur, bedenk dan goed aan welke kant van de streep je blijft. Een digitale inbraak is ook een inbraak en die wil jij vast niet op je geweten hebben.

Voorschriften ter bescherming van informatie

De afgelopen tijd hebben we het met name gehad over het beschermen van de digitale informatie en informatievoorziening. Informatiebeveiliging wordt nogal eens gelijkgesteld aan alles wat in bits en bytes is uit te drukken.

Maar als je kijkt naar het begrip “informatie” dan omvat dat natuurlijk net zo goed de analoge of niet digitale informatie. De vraag van vandaag wordt dan ook:
Zijn er (algemene) voorschriften opgesteld ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging?

Voor veel, zo niet alle, organisaties is informatie van groot belang voor het voortbestaan. Maar dan moeten we informatie wel in de breedste vorm bekijken. De klantinformatie, de financiële gegevens, de strategie, de procesbeschrijvingen en ga zo nog maar even door. Allemaal informatie die er aan bijdraagt dat we als organisatie kunnen blijven draaien.

Informatiebeveiliging wordt al vaak gelijk gesteld aan digitale informatie maar ook aan de exclusiviteit daarvan. Hoe vaak horen we niet dat informatiebeveiliging voor een betreffende organisatie niet van belang is omdat ze toch geen geheime gegevens hebben?

Natuurlijk moeten we kijken naar de exclusiviteit van informatie, we willen immers niet dat de informatie zomaar op straat ligt of dat onze concurrenten daar vrij in kunnen kijken. Maar ook de beschikbaarheid en integriteit van die informatie moeten we meewegen.

We willen wel dat de kritische informatie er is op het moment dat we die nodig hebben (beschikbaarheid) en willen dan ook nog eens over de juiste gegevens beschikken (integriteit). Dat geldt echt niet alleen voor de vertrouwelijke of geheime gegevens. Op het moment dat de belastinginspecteur aan de deur klopt willen we toch wel graag beschikken over onze financiële gegevens. Gebruiken we de verkeerde gegevens dan kan ons dat duur komen te staan…we betalen dan teveel belasting of we krijgen achteraf de claim aan onze broek.

Maar denk je ook eens in wat je doet als de klantinformatie verdwenen is of niet meer klopt. Hoe weten we dan welke klanten we al geleverd hebben en wie er nog moet betalen? Beetje slordig als we spullen niet leveren omdat de informatie verdwenen is of als we de geleverde spullen niet in rekening brengen, toch? Beide gevallen kost onze organisatie direct omzet…om het over het imago nog maar niet te hebben.

Natuurlijk hebben we veel van die informatie digitaal beschikbaar. Als het goed is maken we back-ups en die testen we ook nog regelmatig (toch?). Maar hoeveel informatie staat er alleen maar op papier? Hoeveel informatie zit er in de hoofden van de medewerkers?

Hier komt het verschil tussen gegevens en informatie om de hoek kijken. Het kan best zijn dat we de gegevens allemaal digitaal hebben maar dat een medewerker daar de informatie van maakt. Hij of zij weet waar de gegevens te vinden zijn en hoe ze gebruikt kunnen worden. Een groot gevaar om dat alleen maar bij een persoon in het hoofd te laten zitten.

En we willen het wederom weer niet te cryptisch maken, dus een concreet en simpel voorbeeld: stel dat we een mooie database hebben opgebouwd met al onze klantgegevens daarin. We weten exact wie onze klanten zijn, wat ze zoal kopen en wanneer ze mogelijk weer wat nieuws aan zullen schaffen. Deze database beveiligen we natuurlijk met een wachtwoord, want niet iedereen mag de gegevens zien. Wat doen we nu als de beheerder van de database besluit om te vertrekken naar een andere organisatie? Laat hij dan het wachtwoord achter? Kunnen we er dan nog wel bij? Hoe weten we nu zeker dat hij de gegevens niet kopieert en meeneemt naar de concurrent? En zo kunnen we nog wel meer vraagtekens plaatsen.

We zullen dus (algemene) voorschriften op moeten stellen ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging. Het zijn immers de medewerkers die dergelijke gegevens benaderen om er informatie van te maken. Organisatorisch is dat allemaal goed te regelen, maar hoe zorgen we ervoor dat het ook allemaal echt werkt? Vertrouwen is goed, controle is beter en op papierentijgers zit niemand te wachten.

De informatie is te kostbaar om er niet over na te denken, of het nu digitaal of niet digitaal is doet er eigenlijk niet zo toe. Hopelijk weet jij waar de kritische informatie is en hoe die beveiligd is. We willen niet in de krant lezen dat jouw organisatie gegevens is verloren, toch?