Kan een kale kip leiden tot minimum beveiligingseisen?

De Nederlandse Staat eist 8,7 miljoen euro van het failliete Diginotar als vergoeding voor de gemaakte kosten na de hack bij het bedrijf (bron).

Voor diegene die de naam Diginotar vaag wel iets zegt maar die het niet meer precies weten: Diginotar was het bedrijf dat allerlei beveiligingscertificaten leverde zodat organisaties veilig konden communiceren via netwerken. Een aantal maanden geleden alweer werden ze gehackt en daarna duurde het niet lang voor ze failliet waren.

De Nederlandse Staat heeft inderdaad veel werk moeten verzetten om de boel nog een beetje veilig te houden. Inmiddels is de balans opgemaakt en eisen ze 8,7 miljoen. Nu kun je natuurlijk rustig geld eisen van een failliet bedrijf, maar van een kale kip valt niet te plukken. Maar toch zou zo’n eis ergens toe kunnen leiden.

De vraag is natuurlijk of de bestuurders van Diginotar nu ook persoonlijk aansprakelijk zullen worden gesteld. Is dat niet het geval dan kun je net zo goed 87 miljoen eisen want het geld krijg je toch nooit meer. Maar als deze bestuurders wel aansprakelijk worden gesteld dan ben ik benieuwd naar de uitkomsten.

Op welke gronden ga je de bestuurders aansprakelijk stellen? Onbehoorlijk bestuur? Misschien, maar ik weet niet of de wet beveiligingslekken ook onder onbehoorlijk bestuur verstaat. Als ze inderdaad persoonlijk aansprakelijk worden gesteld dan is dat een waarschuwing voor alle andere bestuurders.

100% beveiligen is niet mogelijk en de vraag voor bestuurders wordt dan: hoeveel beveiliging is genoeg? Is het genoeg als we de lekken niet weten, want ja, wat niet weet wat niet deert. Of gaan we nog wat verder en eisen we een minimaal beveiligingsniveau van organisaties? Of sterker nog: we hebben ook een jaarlijkse accountants controle, misschien moeten we die voor informatiebeveiliging ook in gaan voeren.

Er is in de wet nog erg weinig beschreven over de rechten en plichten op het gebied van informatiebeveiliging. Misschien dat deze eis van de Nederlandse Staat daar verandering in kan brengen (maar misschien ben ik te optimistisch).

Mij lijkt het een goed plan om duidelijkere kaders te gaan stellen voor bedrijven en bestuurders van bedrijven. Daarin geven we aan wat de verantwoordelijkheden zijn en wat er kan gebeuren als we die verantwoordelijkheid niet nemen.

Of het er ooit van komt? Ik ben benieuwd en als het onder de juiste voorwaarden gebeurt dan ben ik er nog voorstander van ook.

Eigenaar videotheken failliet

Hoewel we bij continuïteit vaak denken aan allerlei beveiligingsrisico’s die ons voortbestaan kunnen bedreigen zijn er daarnaast natuurlijk nog vele andere zaken die kunnen zorgen voor risico’s. Zo zul je een goede prijs/kwaliteitsverhouding moeten hebben, zul je aan marketing moeten doen, moet je voldoende personeel hebben en moet je natuurlijk voldoende klanten behouden. De nieuwe economie, beïnvloed door het internet, moet hierbij zeker niet uit het oog worden verloren.

Zo zag ik dit bericht op Nu.nl staan:
De Entertainment Retail Group (ERG), het bedrijf achter bekende videotheken als Movie Max en Videoland, is failliet. Het bedrijf hoopt in afgeslankte vorm een doorstart te kunnen maken, aldus directeur Ruud Bakker donderdag (bron).

Hier zie je typisch zo’n markt die sterk beïnvloed is door het internet en haar mogelijkheden. Laten we eerlijk zijn, wanneer ben jij voor het laatst naar de videotheek gelopen om een VHS-je te huren? Voor mij is dit al jaren geleden in ieder geval.

Nu kun je als organisatie je beveiliging op orde hebben en toch je continuïteit in gevaar zien komen. Dit toont de rol van beveiliging maar weer eens aan, het is ondersteunend aan je totale bedrijfsvoering. Zit je bedrijfsvoering niet goed in elkaar dan heeft het ook niet zoveel zin om je volledige aandacht te richten op je beveiliging. We zullen dit de komende tijd meer zien, hoewel beveiliging belangrijk wordt gevonden door het management hebben ze wel andere zaken aan hun hoofd: overleven.

Toch moet beveiliging niet uit het oog worden verloren. Nee, juist in economisch zware tijden moet je juist goed naar je beveiliging kijken. Waar kan ik verbeteringen aanbrengen die minder kosten dan de huidige situatie? Welke beveiligingsmaatregelen neem ik al jaren maar leveren eigenlijk alleen maar schijnveiligheid? Ik ben er van overtuigd dat je met een goede aanpak van beveiliging zomaar 10% tot 20% er op kunt besparen. Uiteraard gaan de kosten voor de baten uit, je zult dus eerst moeten investeren in het inzichtelijk krijgen van je beveiliging en met name in de kosten daarvan, maar daarna kun je redelijk eenvoudig flinke sommen geld besparen zonder dat je een toename in risico’s ziet.

Een flinke uitdaging voor veel organisaties omdat de kosten voor beveiliging veelal niet gespecificeerd zijn. Dat zal dus je eerste stap worden: specificeer de kosten van je beveiligingsmaatregelen. De volgende stap is de getroffen maatregelen nog eens goed tegen het licht houden en kijken waar besparingen mogelijk zijn.

Om terug te komen op en af te sluiten met het bericht waar we mee begonnen: we kunnen het internet natuurlijk als bedreiging zien en ons rustig naar het slachtbankje laten leiden, maar we kunnen er ook voor zorgen dat we het internet begrijpen en inbedden in onze bedrijfsvoering. Hadden de videotheken dat gedaan dan waren ze misschien met nieuwe diensten of andere afzetkanalen gekomen waardoor ze nu niet failliet waren gegaan. Veel organisaties zullen last krijgen van het internet als ze het als bedreiging blijven zien en als het ze niet lukt om goed in te bedden. We zullen dan ook nog behoorlijk wat faillissementen voorbij zien komen.

Willen we de continuïteit borgen dan moeten we dus niet alleen kijken naar onze beveiligingsrisico’s, nee we moeten juist kijken naar de mogelijkheden die de nieuwe economie ons biedt. En dat is makkelijker gezegd dan gedaan.

En een gratis advies voor de heer Bakker: een doorstart heeft alleen maar zin als je ook echt iets anders gaat doen. Het heeft geen zin om de videotheken in ongewijzigde vorm te laten doorstarten…dan steven je af op een nieuw faillissement in de nabije toekomst. Ik wil best met je meedenken…maar ja dan gaan de kosten voor de baten uit: it’s your choice.

Curator snapt failliete eigenaar bij inbraak

Een 64-jarige man uit Den Bosch is dinsdag door de curator betrapt toen hij samen met een 35-jarige plaatsgenoot wilde inbreken in het pand van zijn failliet verklaarde bedrijf aan de Van Berckelstraat…De man wilde inbreken om spullen op te halen, liet de politie woensdag weten. Na het uitspreken van het faillissement mocht de eigenaar het pand niet meer betreden. De curator betrapte beide mannen toen zij een deur probeerden te openen en waarschuwde de politie. De mannen zijn na verhoor vrijgelaten. De curator heeft aangifte gedaan (bron).

Triest, heb je jaren hard gewerkt om je bedrijf op te bouwen en te laten floreren gaat het uiteindelijk toch nog verkeerd. Al die jaren heb je gewoon de sleutel van je voordeur gehad en kon je gewoon naar binnen als je dat wilde, moet je nu ineens inbreken om nog wat spullen op te halen.

Het is natuurlijk niet goed te praten, maar ik denk dat iedere ondernemer zich er wel iets bij voor kan stellen. De vraag is natuurlijk of deze man alle voorraden en waardevolle spullen weg wilde sluizen of dat hij nog wat persoonlijke spullen op wilde halen (zoals de foto’s van zijn vrouw en kinderen, wat persoonlijke aandenkens etc.). Ik kan me nog herinneren dat Marco Borsato kort geleden (voor het eerst) failliet ging, al zijn spullen stonden te koop op een openbare veilingsite voor failliete inboedel. Met een beetje moeite en geld had je zo zijn gouden platen kunnen kopen.

Natuurlijk moet er beslag gelegd worden na een faillissement, maar dat moet toch ook wat menselijker kunnen? De persoonlijke spullen die eigenlijk geen of zeer weinig geldelijke waarde hebben, daar kunnen we toch anders mee omgaan dan met de voorraden, de waardevolle zaken en de inboedel?