OPINIE: Eigen onverantwoordelijkheid

Voor eindgebruiker niet inzichtelijk
Er is geen reden om aan te nemen dat in die systemen de beveiliging beter is geregeld dan bij de voicemail van de regering of het lokale netwerk van de Tweede Kamer. Te meer daar er ook heel andere lekken bestaan dan simpele wachtwoordmanipulaties; echte hackers bedienen zich van mazen die vindingrijkheid en diepgaande technische kennis vereisen. Eindgebruikers kun je niet verantwoordelijk houden voor dingen die ze niet kunnen overzien en dus kun je niet volstaan met de constatering dat beveiliging "ieders eigen verantwoordelijkheid" is.

Maar wiens verantwoordelijkheid is het dan wel? Die van de leverancier? Zeker, maar daarmee is nog niet gezegd dat je er op mag blindvaren dat zo’n leverancier die verantwoordelijkheid ook waarmaakt. Beveiliging kost inspanning (=geld) en staat haaks op gebruiksvriendelijkheid. Daardoor staan leveranciers en interne IT-afdelingen doorlopend bloot aan druk van gebruikers om de beveiliging niet al te zwaar aan te zetten.

Acceptabel aantal inbraken per jaar
Bovendien, als je de leveranciers of de interne IT-staf verantwoordelijk maakt, wat wordt dan de toetsing? Hoe leg je in leverings- of inkoopvoorwaarden vast wat 'veilig' is? Niet in een maximum aantal systeeminbraken per jaar, mag ik hopen. Volstaat een aantoonbaar niveau van inspanning? Of zetten we in op 'resultaatverantwoordelijkheid'?

Het zal duidelijk zijn dat bedrijven en overheidsinstellingen die vragen zelf moeten beantwoorden en zelf regie moeten voeren over de beveiliging. Dat kan alleen als de verantwoordelijkheid voor beveiliging wordt neergelegd bij een functionaris met kennis van zaken en doorzettingsmacht, noem het maar een ‘Chief Security Officer’.

Waar dat niet gebeurt - en dat is vooralsnog bij de overgrote meerderheid van de bedrijven en instellingen - daar laat men de verantwoordelijkheid voor gegevensbeveiliging impliciet over aan iedereen en dus aan niemand, en kun je problemen verwachten.