Bliksem kan geen twee keer op dezelfde plek inslaan...


..Toch?

De data is al gelekt. Het bedrijf krijgt een hoop negatieve publiciteit, mogelijk een boete van AP, en daarmee een schop onder zijn kont om het voortaan beter te doen. Het is daardoor niet automatisch zo dat overstappen naar een partij die die schop onder zijn kont nog niet heeft gehad een verbetering blijkt te zijn.

Daar staat tegenover dat als geen hond opstapt dat een als signaal kan worden opgevat dat het klanten geen donder kan schelen.

Dus wat is wijsheid in zo'n situatie?

Hangt er wat mij betreft sterk vanaf hoe het datalek is ontstaan, als het onachtzaamheid is dan is dat een goede reden om inderdaad te vertrekken, als het is omdat er een exploit is gebruikt voor een pakket wat nog niet of nog maar net gepatched kon worden heb je het al over iets heel anders.

Dus, maybe?

Sterker nog; bliksem slaat meestal op dezelfde plekken in aangezien dat vaak de hoogste punten zijn.
Maar inderdaad, LastPass is daar een goed voorbeeld van, evenals Citrix, etc.

Ik zit er wel mee, maar ik ga niet meteen wegrennen. (dat is de optie die ik mis)
Zo'n lek kan bij de andere telco's ook ontstaan. Je loopt dus risico dat er meerdere datasets van je data gaan rondzwerven.

Eerst maar eens zien wat er nu echt gebeurd is, en dan de consequenties proberen in te schatten.
Nu is het paniekvoetbal. Dat levert niets op.
Veel lawaai, weinig resultaat. Want de data is al gelekt. Is al ergens daarbuiten.
Als en kip zonder kop wegrennen stopt niet dat die data al gelekt is.

Wat ik liever zou zien, is dst de politiek nu eindelijk eens met een opzet komt (wetsvoorstel), waarbij je persoonsdata veilig is of niet misbruikt kan worden, ook als er een keer iets lekt. Maak gelekte persoonsdata proactief waardeloos.
Nu zijn er alleen maar slachtoffers. Die zelf de puin maar moeten zien te ruimen.
Die de politiek in de kou laat staan.

Het merendeel van de datalekken is preventief te voorkomen en incidenten zijn meestal de materialisatie van een geaccepteerd risico. Er is geen reden om aan te nemen dat een 'gehackt bedrijf' in het toekomst dat soort risico's niet meer zou accepteren. Vermijden is daarom de beste optie, alleen bestaat die keuze niet altijd wanneer het gaat om bijvoorbeeld overheid, zorg of nuts bedrijven. In die gevallen bestaat enkel de ijdele hoop op strakkere handhaving.

Vertrekken naar een bedrijf dat het volgende slachtoffer van een datalek wordt?
Dat heeft toch geen zin?

Meeste bedrijven en organisaties die een datalek hebben, verklaren dat ze nu experts in huis hebben gehaald om de veiligheid van persoonsgegevens te beoordelen. NA EEN LEK. Elke organisatie die zo een uitspraak doet heeft dus voor het lek verzuimd (voldoende) geld uit te geven om expertise in te huren.

En hoe stel je dat voor ? wat voor systeem denk je dat wel persoonsdata veilig heeft zonder dat het misbruikt kan worden?
Wat ik wel verstandig zou vinden is als zaken als BSN e.d. aangepast kunnen worden en ook koste loze vervanging als bedrijf deze data lekt.

Klopt. Maar dan zijn er ongetwijfeld nog een hoop organisaties die het net zo slecht doen die nog geen datalek voor hun kiezen hebben gekregen of die er hun bek over hebben gehouden. Die zien er goed uit terwijl ze het geen haar beter doen.

Van de organisaties die wel een datalek voor hun kiezen hebben gekregen zal een deel wakker geschrokken zijn en het voortaan echt beter doen.

Dus waar moet je precies op afgaan?

Waarom de brondata delen, als er bv een on-time-dedicated-use versie afgegeven zou kunnen worden.
Of nog beter, niet meer dan een: "ja, wij de overheid verklaren (op datum/tijd aan bedrijf x,y,z) dat deze persoon is wie hij zegt dat hij is". Dat kunnen ze dan opslaan in hun systemen.
Dat kunnen criminelen niet hergebruiken voor misbruik bij andere bedrijven na een datalek.
Geen kopietjes ID-kaart of paspoort. Geen BSN-nummer of geboortedatum meer opslaan als (extra) verificatie.

Als ze dan zo nodig moeten digidramme in de politiek, laat ze het dan eens een keer goed doen en dit soort lekken waardeloos maken.

Dit zijn de mensen die het hele land ondermijnen.

ten eerste, de bliksem kan 50 keer op 1 punt inslaan als het moet.
ten tweede, ze hebben oktober ook al problemen gehad.

Maar zelf onderzoek doen, ho maar! Gelijk op security.nl brullen wat je mening is, dat is typisch Nederlands.

-
alsof het niet bij een andere kan gebeuren. de personen die de fout in zijn gegaan ontslaan. en het hoofd van die afdeling ook ontslaan en de baas kan de boetes gaan betalen die de klanten problemen oplevert. en het bedrijf een flinken aanscherping mee geven zodat er in vervolg 2 keer nagedacht moet gaan worden eer men een smsje link opent;

Uit ervaring weet ik dat jouw aaname niet geheel klopt. Ja, ze halen soms experts in om forensische analyses te doen om erachter te komen waar het is fout gegaan maar aangezien ze hun cultuur meestal niet aanpassen blijven ze een risico vormen. Maatregelen worden dan soms wel genomen, of maar beperkt omdat deze meestal duur zijn, en na verloop van tijd neemt de oude cultuur het weer over en is het niet de vraag of ze weer gehackt worden maar wanneer.
Buiten een zero day om treden datalekken op door een foute cultuur hoe een organisatie tegen data aankijkt. Security by design is veelal een onbekend gegeven en men doet maar wat. Gebruikers klagen steen en been dat ze ergens niet bij kunnen of hun werk niet meer kunnen doen, als er al wat aan security gedaan wordt. Genomen maatregelen worden dan vaak (deels) teruggedraaid om gebruikers tevreden te houden terwijl dat pamperen van gebruikers juist het grootste risico vormt. Die zul je moeten opvoeden met de nieuwe werkelijkheid, naast uiteraard de juiste security hygiene op je omgeving. Het gaat om een gezonde balans leggen tussen veiligheid en werkgemak. En bij veel organisaties slaat de balans nog steeds vaak veel te ver door naar werkgemak. En dat zijn de bedrijven waar datalekken het meeste voorkomen.

Ja hoor, dat kan zeker. Kijk maar eens in een laboratorium waar ze niets anders doen dan dat.

Precies, als je verkast loop je meer kans dat je data lekt omdat het dan op 2 plekken beschikbaar is.
Als je een telco hopper bent die meerdere providers heeft gehad staat je al overal en loop je het grootste risico.

verwijderd

Tja... de gegevens zijn al gelekt... daar is weinig aan te doen. Als je daarna naar een concurrent gaat, staan je gegevens op weer een extra plaats, waar ze ook net zo hard weer kunnen lekken.

Heeft geen zin, alles ligt al drie keer op straat, is het dit niet dan is het wel weer een bevolkingsonderzoek, de RDW, etcetera

Ontlek ik mijn data daarmee? nee

Toch… niet.

Bliksem kan wel degelijk twee keer op dezelfde plek inslaan, en ik durf te wedden dat dit niet het enige datalek, social engineering of anderzijds, van ODIDO in het komende kwartaal zal zijn.
Zolang ODIDO’s dienstverlening niet al te erg aangetast is, zullen betalende klanten niet gauw vertrekken, hoe onverstandig dat ook mag zijn gezien privacy.

Vertrekken naar de concurrent is trouwens niet de enige optie; wat had je gedacht van overstappen op een MVNO die niet afhankelijk is van ODIDO’s eigen klantensystemen, of simpelweg het minimale delen van persoonsgegevens door prepaid gebruik?


Ik vind trouwens niet echt dat deze comment heel het land ondermijnt, meneertje (-;

-
het spreekt woord kun je niet vergelijken met de mensen die zijn/haar hersens niet gebruikt.
ofwel dommerigen hersens worden niet gebruikt wanneer het nodig is;