Waarom de strijd tegen cybercriminelen niet te winnen is

Correspondentie van ministers hoort gearchiveerd te zijn. Maar van Clinton was geen mailtje te vinden. Bij navraag bleek de reden dat ze voor haar correspondentie haar persoonlijke e-mailadres gebruikte. Inmiddels heeft Clinton zo'n 55.000 pagina's aan e-mail alsnog overgedragen aan het archief. Of ze daarmee alle e-mails die ze tijdens haar ministerschap heeft gewisseld alsnog heeft gearchiveerd, is onduidelijk, meldt The New York Times, die de zaak naar buiten bracht.

Onbegrijpelijke onzorgvuldigheid

Je zou het nog kunnen proberen af te doen als een geslaagde poging tot 'security by obscurity'. Maar dat is het natuurlijk niet. Alle mailpartners van Clinton konden gewoon zien dat ze haar persoonlijke mailadres gebruikte. Dat was in kringen die opdracht kunnen geven tot cyberspionage ook algemeen bekend. De IT-beveiligers van de Amerikaanse overheid hadden geen enkel zicht en geen enkele grip op de beveiliging van Clintons mail. Dat lag helemaal bij de - onbekende - mailprovider van Clinton; een situatie die ieder weldenkend mens te allen tijde zou willen vermijden.

Het is domweg onbegrijpelijk dat een minister van de Verenigde Staten daarmee wegkomt, dat niemand in haar omgeving haar op dit punt bij haar verstand kon brengen en dat in kringen van IT-beheer van de Amerikaanse regering niemand in de gaten had dat er wat mis was, als de minister van Buitenlandse Zaken niet alleen geen mail archiveert, maar zelfs geen mailadres heeft.

Uitermate zorgelijk

Maar meer dan dat, het is ook uitermate zorgelijk. Nog maar enkele dagen geleden pleitte president Barack Obama voor meer aandacht voor cyber security, en riep hij de IT-industrie op meer gegevens te delen. Maar het incident met Clintons e-mail suggereert dat hij beter eerst in eigen huis schoon schip kan maken, en dat de beveiliging meer gediend is met striktere discipline en gezond boerenverstand bij de leiders die zich bewust zijn van hun voorbeeldfunctie dan bij praatjes over wat anderen moeten doen.

Maar anderen vertellen wat zíj moeten doen is natuurlijk altijd makkelijker dan zelf de conclusie trekken. En als een vis begint te stinken, begint dat bij de kop. Zo lang discipline bij IT-beveiliging niet in alle sectoren en lagen van de maatschappij - ook, maar zeker niet alleen in de IT-industrie - door de leidinggevenden als prioriteit wordt uitgedragen en gefaciliteerd, zal de strijd tegen cybercriminaliteit niet te winnen zijn.