Verliezen vertrouwelijke data kan consument niets schelen
Imagoschade wordt vaak de belangrijkste reden genoemd waarom bedrijven geen aangifte doen en hun mond houden als ze gehackt zijn of vertrouwelijke informatie hebben verloren. Ten onrechte zo blijkt nu. Zowel de consument als aandeelhouders kan het namelijk niets schelen als een bedrijf haar beveiliging niet op orde heeft. Een goede graadmeter is de koers van de aandelen van een bedrijf dat met de beveiliging blunderde.
Tim Erlin van nCircle vergeleek de koersen van TJX, Ameriprise, Choicepoint en ADP, die bij elkaar de gegevens van bijna een half miljoen klanten verloren, maar nog steeds bestaan. De aandelen kregen zelfs geen klap te verwerken en de koers staat inmiddels hoger dan voor de incidenten. Dit betekent volgens Erlin dat de bedrijven of heel erg hun best hebben gedaan om het imago te herstellen, of dat imagoschade eigenlijk helemaal geen invloed heeft op het bestaan van een onderneming.
Een andere reden is dat imagoschade wordt bepaald door de perceptie van het publiek. En hoe vaker dataverlies bekend wordt gemaakt, des te normaler het publiek dit vindt, waardoor ook het risico van imagoschade kleiner wordt. In het onderzoek van het High Tech Crime Center uit 2005, noemt 18% van de Nederlandse bedrijven imagoschade als gevolg van computercriminaliteit. Negatieve publiciteit speelde ook in dit onderzoek een belangrijke rol waarom bedrijven geen aangifte doen.
imago-schade, maar wel bijvoorbeeld als de winstverwachting
naar beneden moet worden bijgesteld.
Beleggers kijken meer naar de economische trekpaarden in een
bedrijf dan naar de veiligheidsrisico's die gelopen zijn.
voor wat voor zaken dan ook, afgezien van de wispelturigheid
van de aandeelhouders.
is gebeurd.
Als er echt grof misbruik van wordt gemaakt dan denk ik niet
dat "de consument" het niets kan schelen.
Maar als er idd niks mee gebeurd is: who cares?!?
Beurskoersen zijn in de regel niet onderhevig aan
imago-schade, maar wel bijvoorbeeld als de winstverwachting
naar beneden moet worden bijgesteld.
dacht het te begrijpen maar blijkbaar zijn de regels anders.
geval van een fabrikant die producten levert via een
distributeur en een wederverkoper zal het de consument
inderdaad worst zijn. Zodra echter de gegevens van de
consument zelf op straat liggen wordt het een ander verhaal.
Creditcardgegevens die gestolen worden kunnen tot
aanzienlijke schade en flinke papierwinkel leiden. Hetzelfde
gaat op voor identiteit diefstal waarbij ook schade en een
flinke papierwinkel het gevolg kunnen zijn.
Wie bovendien enige tijd besteed aan het bestuderen van de
onderzochte cases komt al vrij snel tot de conclusie dat de
bedrijven naar hun klanten toe communiceren dat het allemaal
wel meevalt. In het geval bij voorbeeld van TJX blijkt
volgens een schrijven van de directie dat er niet voldoende
informatie gelekt is om daadwerkelijk schade te kunnen
lijden. Zij zeggen in de FAQ over de inbraak:
Experts tell us that it would be extremely unlikely for
cyber thieves to commit identity fraud with the information
that was breached in this incident. Most of the information
at risk does not include names and addresses. We never
request customers’ social security numbers in our
transaction processes, which is usually a critical piece of
information needed to commit identity theft.
In de media echter wordt de organisatie afgeslacht. Teksten
zoals de onderstaande zijn bepaald geen reclame:
Unlike most organizations that have had similar, although
far smaller, breaches, TJX has not said it would protect
customers by buying credit watch services for them. I expect
the company will have to do so at some point but because it
is delaying so long, it's clear that protecting customers
has not been a concern for TJX and it will only do so when
forced.
Bron:
http://www.networkworld.com/columnists/2007/012907-bradner.html
Eerdere situaties zoals deze hebben in het verleden wel
degelijk een negatieve impact gehad op de organisaties die
getroffen werden. Los van de civiele aansprakelijkheden die
ontstaan bij een dergelijke situatie is er een trend om
bestuurders persoonlijk aansprakelijk te stellen voor
misstanden. Er is nog onvoldoende jurisprudentie om de
daadwerkelijke draagwijdte te bepalen van al deze nieuwe
wetgeving.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.