Zijn je creditcardgegevens gestolen? Bedrijven houden dat liever stil

hackers

Foto Reuters

Economie

Hoewel er om de haverklap op computernetwerken van organisaties wordt ingebroken, verschijnen er zelden persberichten over dat soort incidenten. Je staat er namelijk gekleurd op als er klantgegevens buit gemaakt zijn. In tegenstelling tot slachtoffers wisselen hackers echter wel ervaringen uit.

Bij drieduizend computerinbraken zijn er sinds 2005 meer dan zeshonderd miljoen Social Security-nummers (equivalent van BSN-nummer), rekeningnummers en creditcardnummers gestolen. Dat blijkt uit cijfers van belangenorganisatie Privacy Rights Clearinghouse. The New York Times, in januari zelf slachtoffer van een Chinese hack, opent de discussie over de voor- en nadelen van het verzwijgen van informatiediefstal. De Amerikaanse krant liet vier deskundigen aan het woord in opiniestukken.

‘Hackers hebben informatievoorsprong’

Lauren Gelman, voormalig directeur van het Center for Internet and Society aan de Stanford Law School, wil dat bedrijven verplicht worden inbreuken op hun beveiliging openbaar te maken. Dan kan iedereen leren van het incident, schrijft ze. Net als hackers zouden ook bedrijven kwetsbaarheden met elkaar moeten delen. Open communiceren over inbreuken leert het publiek hoeveel de overheid moet investeren in computerbeveiliging, aldus Gelman. Een federaal agentschap zou de inbreuken vervolgens moeten onderzoeken. “Het is helder dat hackers nu profiteren van het delen van informatie - over bugs, technieken en toegangspoorten. Bedrijven moeten daar een voorbeeld aan nemen. Meer bewustwording en betere beveiliging zullen volgen, ten gunste van het grote publiek.”

‘Vestig niet de aandacht op zwakke plekken’

Alexander Tabb, partner bij marktonderzoeksbureau Tabb Group, is fel tegenstander van openbaarmaking. “Dan verplicht je bedrijven hun zwakheden te vertellen. Aanvallers weten dan precies welke hackpogingen zijn ontdekt.” Indien nodig volstaat het volgens Tabb de politie in te lichten. De rol van beveiligers is volgens hem niet zozeer om systemen ondoordringbaar te maken, aangezien ze dan veelal onbruikbaar worden. “Het doel is om het zo moeilijk, duur en tijdrovend te maken dat aanvallers hun aandacht op een ander bedrijf richten. Zoals de oude grap over de man die met een vriend door het bos wandelde en over een beer struikelde. De man hoefde de beer er niet uit te lopen, hij moest gewoon sneller dan zijn vriend zijn.”

‘Verplicht en standaardiseer meldingen aan klanten’

Lee Tien, advocaat bij Electronic Frontier Foundation, een stichting die opkomt voor digitale rechten, wijst op het grote gevaar van identiteitsdiefstal na een hack. Heil ziet hij in zogeheten notificatiewetten, zodat burgers maatregelen kunnen nemen als hun gegevens op straat liggen. Klanten inlichten is in de meeste staten al verplicht, maar de informatie die bedrijven geven is volgens hem onvolledig. Hij pleit daarom voor standaardisatie van dat soort meldingen, zodat bepaalde gegevens sowieso verstrekt worden. Burgers kunnen dan betere maatregelen nemen om misbruik van verloren data te voorkomen.

‘Wie investeert er nou er in een lek bedrijf?’

Jacob Olcott, voormalig adviseur computerbeveiliging voor de senaat en hoofd van Good Harbor Security Risk Management, weet dat de kwaliteit van de beveiliging kritieke informatie is voor investeerders. “Zou je in een bedrijf investeren dat stelselmatig gevoelige informatie aan concurrenten verliest? Een bedrijf dat jaren investeert in onderzoek en ontwikkeling en de resultaten daarvan binnen enkele minuten laat stelen?” Olcott benadrukt dat veel bedrijven bestaan bij de gratie van intellectueel eigendom. “Bedrijven die hun kroonjuwelen geheim kunnen houden hebben meer kans om te groeien en bloeien dan degenen die daar niet toe in staat zijn.” Experts zijn bezorgd over computerveiligheid, besluit hij. “Dat zou een teken aan de wand moeten zijn voor investeerders.”

Lees meer over:
computerbeveiliging
hacken
identiteitsdiefstal
The New York Times

Volg nrc.nl op en , lees onze dagelijkse nieuwsbrief