Een van de meest lastige begrippen in securityland is imagoschade. Je treft het regelmatig aan in risicoanalyses, waarbij gemeld wordt dat als je maatregel y niet treft, je een gerede kans loopt op imagoschade. Pracht van een stoplapargument, maar eentje die als je er goed over na denkt, toch niet zo makkelijk hanteerbaar is.

In het echte leven is de werkelijkheid een stuk minder maakbaar: je kunt maatregelen implementeren tot je een ons weegt, maar die Ene zit er vrijwel zeker niet bij. Stel je voor dat een beperkt aantal beveiligingsincidenten zich afspeelt midden in een veel grotere reeks incidenten die je organisatie toch al voor het voetlicht brengt. Stel je voor dat dit net op een dag gebeurt dat de hele wereld braaf is, en er geen enkel ander nieuws is. Geheid dat je het acht uur journaal haalt. Stort er daarentegen tijdens het opmaken van de voorpagina’s van de ochtendbladen een Turks chartertoestel op de forensentrein van Kampen naar Zwolle – nou dan hoor je weinig meer over het informatiebeveiligingsincident. Je speelt dus in een soort lotto, en je kunt moeilijk als maatregel opnemen dat er een ander nieuwsevenement gecreëerd moet worden om de aandacht af te leiden. Je kunt er dus maar het beste vanuit gaan dat je rampenscenario zich afspeelt op een dag dat het grootste nieuws is dat Pino van Sesamstraat de baard in de keel krijgt.

Daar kwam Justitie ten tijde van de Tonino-affaire ook achter: de maatregelen die je als ICT club kunt treffen reiken namelijk niet tot het privé-domein van de kopstukken van de organisatie. Het advies van burger@overheid, naar aanleiding van deze affaire, luidt: “Om te voorkomen dat gevoelige digitale informatie via het privé-domein weglekt, moet ervoor worden gezorgd dat die informatie daar überhaupt niet wordt opgeslagen.” Mooi gezegd, maar is er wat van te maken?

Laten we dit eens op de technische en op de organisatorische manier doen. Immers, voor een organisatorisch probleem bestaan geen technische oplossingen en geen enkele technische oplossing kan zonder een organisatorische pendant. Tenminste, dat zeggen ze vaak.

Vanuit de organisatorische procedure zie ik een absoluut verbod opdoemen op het thuis werken aan vertrouwelijke gegevens. Mja, klinkt een beetje zoals het VIR voorschrijft. Dat is al een tijdje geleden ingevoerd, en ik kan mij zo voorstellen dat het ook bij het OM niet toegestaan is thuis te werken aan gevoelige dossiers. Het heeft alleen niet echt geholpen.

Vanuit het technische domein zie ik een DRM-achtige encryptie voor mij – op bestandsniveau dus, waardoor je documenten weliswaar elders kunt opslaan, maar niet kunt openen als je geen toestemming krijgt van een validatiesysteem. Laat deze encryptie goed stevig zijn, en bij voorkeur van Amerikaanse makelij, dan pleeg je met het kraken ervan een terroristische daad en dan kunnen we wellicht tot uitlevering overgaan.
Op deze manier wordt het probleem in ieder geval al heel veel hanteerbaarder. Ik vermoed dat Peter R. de Vries hierdoor afdoende geremd zou worden. In dit geval is de technische oplossing wellicht een stuk doeltreffender dan de puur organisatorische benadering. Maar zou het geholpen hebben in de affaire Tonino?

Was de schade voor het OM zo groot dat er vertrouwelijke werkgegevens letterlijk op straat kwamen, of dat de indruk gewekt werd dat Tonino zich bezighield met kinderporno? Kan een organisatie zich wapenen tegen een dergelijke situatie? Onwaarschijnlijk. Hier kun je feitelijk alleen terugvallen op de ruime ervaring die de voedselindustrie heeft met de communicatie rond glassplinters in Olvaritpotjes en vergelijkbare situaties van crisiscommunicatie. Betrek als ICT de reguliere communicatieafdeling bij het afhandelen van imagovraagstukken. Daar heb je een afdeling communicatie immers voor.

De les is duidelijk: ontkenning van een incident levert de meeste schade op. Als je de beschuldiging in eerste instantie ontkent en later moet toegeven (zoals Shell in de Brent Spar-zaak) beschadigt een organisatie zichzelf maximaal. Net iets minder slecht is herhaaldelijk met andere lezingen komen – zoals Microsoft een jaar of 5 geleden deed toen een paar websites gehacked werden. Met arrogantie en bestuurlijke onzorgvuldigheid maak je extra veel stuk, en blijf je vanzelf lang in beeld. Je kunt beter komen met een consistent, plausibel verhaal, waarbij je in zekere mate het boetekleed aantrekt. Vaak is de waarheid best een goede kandidaat. Als je kunt inspelen op het sentiment dat iedereen fouten maakt, kom je een heel eind en wordt het volgende nieuwtje al snel weer interessant. Een voorlichter die niets te melden heeft is taboe, dan kun je er beter één hebben met de uitstraling van Balkenende die zeer gedetailleerd de pers eindeloos verveelt. Tot er weer écht nieuws is.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter