OPINIE: Blaming the provider

Directeur Jens Schulte-Bockum heeft excuses aangeboden vanwege de belabberd geregelde beveiliging van de voicemail bij Vodafone. Netjes van hem, maar afleidend. Afleidend, omdat het de onjuiste indruk wekt dat de dienstverlener verantwoordelijk is voor de naleving van basale beveiligingsrichtlijnen, zoals dat gebruikers als tijdelijk bedoelde initiële wachtwoorden zelf dienen te veranderen.

Redactie AG ConnectMeer van deze auteur

Natuurlijk weten we allemaal dat de arrogantste x procent dat niet doet. En daarom is het verstandig ze te dwingen. Natuurlijk, lamlendig van Vodafone dat ze dat verzuimde. Maar die vaststelling en het bijbehorende excuus mag niet het eindpunt van de redenatie zijn. Hoe komt het dat eigenaren van informatie databeveiliging zien als verantwoordelijkheid van een ander? Hoe zien organisaties toe op de databeveiligingsmoraal van medewerkers? Kan vertrouwen op dienstverleners en technologieleveranciers een beveiligingsstrategie zijn?

Zeker in het onderhavige geval van de bewindslieden lijkt het meer voor de hand te liggen dat de IT-afdelingen van de departementen hun gebruikers op dit punt begeleiden en coachen. En dat de AIVD - onder meer door middel van ‘legal hacking’ - fanatiek controleert, en mankementen aan de Kamercommissie voor de Inlichtingen- en Veiligheidsdiensten rapporteert.

En de wake-up-call geldt natuurlijk net zo zeer voor het bedrijfsleven. Mijn advies aan aandeelhouders en raden van commissarissen is: neem geen genoegen met het bestaan van beveiligingsprocedures, zelfs niet met de naleving ervan. Verlang dat het feitelijke resultaat ervan wordt getoetst, voor dat terroristen of cybercrimelen het doen.