Na het geval waarbij een koffer met informatie over spionage vliegtuigjes gestolen werd, gaan we nog even verder met voorbeelden van hetgeen er allemaal in de analoge wereld gebeurt.
De beveiliging van de gebouwen waarin Belgoprocess in Dessel, over de grens bij Reusel, radioactief afval opslaat is niet in orde. Dat blijkt uit een inspectie van het Federaal Agentschap voor Nucleaire Controle (FANC). De inspecteurs stelden een reeks mankementen vast. Dat schrijft Het Belang van Limburg (hBvL) (bron).
Ja, zegt u het maar. Wat is er nu eigenlijk erger? Dat er email-adressen van 100.000+ klanten op internet gezet worden na een hack of dat we grote risico’s lopen met radioactief afval? Het antwoord hangt er natuurlijk vanaf in hoeverre het ons als persoon treft.
Stel dat je in Amerika woont en je email-adres is op straat gekomen. Dan vind jij dat als individu zeer waarschijnlijk een stuk erger dan dat er radio actief afval in verkeerde handen kan komen. Andersom: je zal in de buurt van Belgoprocess wonen. Dan maak jij je waarschijnlijk niet zo druk om dat email-adres van die Amerikaan.
Simpelweg kunnen we dus niet zomaar stellen dat het een erger is dan het ander. Dat hangt er helemaal vanaf aan wie je het vraagt. Feit is wel dat we naar de mogelijke gevolgen moeten kijken. Wat ik hiermee wil zeggen is dat we dergelijke informatie ook kunnen gebruiken bij het uitvoeren van onze risico analyses. We moeten dus altijd met gezond verstand kijken naar de inschatting van de kans en de impact die we van mensen ontvangen.
Raakt een risico een manager in een bedrijf bijvoorbeeld niet dan zal hij zich daar weinig zorgen over maken. Mocht zijn bonus er direct door in gevaar komen dan is het wellicht in eens een zeer belangrijk risico dat we moeten zien te beheersen. Daarom willen we bij het uitvoeren van een risico analyse ook meer mensen betrekken en de verschillende antwoorden combineren. Zo kunnen we zien welke risico’s voor onze organisatie nu echt belangrijk zijn.
Voor Belgoprocess zouden we in ieder geval aan het standaard risico lijstje toe kunnen voegen de risico’s op diefstal van radio actief materiaal, maar natuurlijk ook het op straat raken van de email-adressen. Welke kans en impact daarbij horen mogen ze dan zelf bepalen.
Lijkt vrij logisch, toch? Dat ze dergelijke issues meenemen in hun risico analyse? Ja, dat zou je inderdaad mogen verwachten, maar: Een jaar geleden tikte FANC het bedrijf al eens op de vingers vanwege ontoereikend management.
Als dergelijke organisaties het al niet in de klauw hebben, dan maak ik mij grote zorgen over andere organisaties. Stel dat bedrijven die de bruggen en sluizen van Nederland bewaken er ook zo slecht mee om gaan…oh, wacht, dat is ook al een feit gebleken de afgelopen weken. We houden het nieuws weer in de gaten en als je weer ergens voor gewaarschuwd moet worden, dan lees je dat hier.