"Waarschuwen van klanten na hack is te kostbaar"
Terroristen en computercriminelen mogen dan misbruik van het internet maken, veel cybersecurity ideeën van het Amerikaanse congres zullen dit niet veranderen, aldus experts. Sommige wetgeving, zoals het inlichten van klanten na een aanval, zorgt er alleen voor dat bedrijven extra kosten krijgen, net als met Sarbanes-Oxley het geval was. Volgens rechtenprofessor Bruce Kobayashi moet het congres een stapje terug doen. "Anders krijgen we een soort SOX-achtige wetgeving waardoor bedrijven veel geld besteden aan het versturen van waarschuwingen aan klanten".
Na een reeks security lekken en aanvallen begin 2005 heeft het Amerikaanse congres meer dan 10 voorstellen gedaan voor het waarschuwen van klanten na een incident. "Het congres moet juist meer naar de kosten en opbrengsten kijken" aldus Kobayashi.
Ken Silva, CSO van Verisign, vindt dat bedrijven veiligere IT producten moeten eisen. Bedrijven doen er verstandig aan om zich bij organisaties aan te sluiten die zich sterk maken voor veiligere producten. "We kunnen niet op het congres wachten om dit probleem op te lossen, omdat dit niet het probleem oplost" zo laat Silva weten.
ook geen geld uit te geven om je klanten te waarschuwen.
boeiend, gewoon zorgen dat er geen incidenten zijn. hoef je
ook geen geld uit te geven om je klanten te waarschuwen.
Toch meer boeiend dan je zou denken, het artikel heeft te
maken met due diligence en de wetgeving die hier mee gepaard
gaat. Je kunt due diligence nog verder oprekken maar zoals
Ken Silva juist oppert, het wordt tijd om de overhead te
stoppen en 'het kwaad' bij de bron aan te pakken. En dat
laatste dat begint bij veiliger, dus betere produkten.
Nu lopen bedrijven achter de feiten aan terwijl de
werkelijke oorzaak elders gevonden moet worden.
Kapitaalvernietiging van het hoogste niveau dus.
Nu lopen bedrijven achter de feiten aan terwijl de
werkelijke oorzaak elders gevonden moet worden.
Kapitaalvernietiging van het hoogste niveau dus.
Ik ken de motivatie achter de wetgeving niet, maar deze zou
best juist gericht kunnen zijn op kapitaalvernietiging. Dat
is het enige waar de grote bedrijven naar luisteren.
maar de laatste high profile privacy problemen zoals het
verliezen van backup tapes en laptops met klantgegevens
liggen niet er aan dat de producten wel of niet goed zijn,
maar dat ze domweg niet gebruikt worden. Bedrijven dwingen
het te melden als ze zoiets doms doen, zet druk op ze om de
procedures in te voeren en de producten echt te gebruiken.
Ten eerste geeft het verplicht inlichten van klanten inzicht
in hoe vaak inbraken voorkomen, om wat voor soort inbraken
het dan gaat, en welke bedrijven het meest slachtoffer
worden. Ik vind dat belangrijke informatie die niet in de
doofpot gestopt moet worden. Dat is al een reden om voor
verplicht inlichten te zijn.
Ten tweede is het feit dat dat inlichten bedrijven geld kost
(dat het ze _veel_ geld kost kan ik niet geloven) juist een
voordeel: in plaats van dat de kosten van een inbraak een
externaliteit zijn voor een bedrijf, brengt het nu direct
kosten met zich mee. Dit moet een motivatie zijn om de
beveiliging goed te regelen.
Natuurlijk is het voor een bedrijf goedkoper als er geen
inlichtingsplicht is: ze kunnen dan de kantjes er vanaf
lopen met de beveiliging, en de schade die klanten daardoor
wordt toegebracht (wegens diefstal en misbruik van
persoonlijke gegevens) kost het bedrijf verder niks. Dus het
verbaast me niets dat bedrijven hun best doen om te zorgen
dat er geen inlichtingsplicht komt.Maar dat wil niet zeggen
dat zo'n plicht geen goed idee is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.