Het nieuws hierover wordt met de dag erger.

Tja, er staat in je gegevens waar het geld vandaan komt (dat moet van de wet) dus als de deurwaarder je rekeningen betaald staat dat erbij..

Omg, wat ben ik blij dat ik nog nooit klant ben geweest bij hen. Wat een shitshow is dit.

Tja, het is maar het prive leven van de klant.
Dat kan om deurwaarders gaan of betalingsproblemen. Maar ook over relatieproblemen (ex doet zich voor als...), en bewindvoerders.

Allemaal haken waarmee criminelen mensen extra onder druk kunnen zetten.
Dus vergoeilijk het maar met "dat moet van de wet".

Politici verliezen steeds weer opnieuw de menselijke maat.
Die zien overal criminelen, oplichters, fraudeurs. (alsof ze zelf steeds in die kringen rondhangen)
En maken wetten die daar op gericht zijn. Enige bijkomende schade aan burgers interesseert politici te weinig. Daar zijn die wetten niet op ingericht om te voorkomen.

En als er dan iets lekt.... dan geven ze niet thuis. Niet hun probleem.
En lekken zal het. Niet of, maar wanneer.
Dat blijkt keer op keer.

Maar als de deurwaarder onder invloed was - staat dat dan ineens niet in dergelijke notities over de klant?

Tja als je een wet maak waarin staat dat alles 7 jaar bewaard moet blijven en er wordt gelekt ja dan ben je de sjaak!

Wel goed om te beseffen dat Odido uiteindelijk ook slachtoffer is in dit hele gebeuren en dat vrijwel geen enkele organisatie in Nederland uiteindelijk volledig beschermd is tegen cybercriminaliteit. Zowel op het gebied van beschikbaarheid, integriteit en vetrouwelijkheid.

We moeten nog het onderzoek afwachten en ongetwijfeld zullen ze van alles niet goed hebben gedaan, maar laten we nou ook niet doen alsof dit allemaal alleen Odido kan overkomen. Het zal veel vaker gebeuren en bij allerlei organisaties. Telecomproviders zijn een heel interessant doelwit.

Hopelijk een goede wake-up call voor de rest. Investeren in cybersecurity is niet 'sexy' en ook niet goedkoop, implementeren van maatregelen is niet 'leuk' en best complex (en dan heb ik het niet eens over de techniek, maar gewoon de factor mens en hoe je cultuurverandering bewerkstelligt, governance, etc..) maar het is het dubbel en dwars waard blijkt maar weer.

A.k.a. de volledige salesforce omgeving is leeggetrokken.
Ben daar dan open over Odido

Alsof andere bedrijven dit niet doen.
Droom maar lekker verder.

Op naar de volgende hack.
Het zijn maar klant- en persoonlijke gegevens.

idem

Oei, open tekstvelden... Wat zegt de AP daarover ;)

Een ding is zeker: als Odido niet betaalt en dus de gestolen info op het darkweb wordt gegooid, dan pas weten we precies hoe groot deze datalek werkelijk was.

En als het ernstig is en verwijtbaar, dan mag het Openbaar Ministerie van mijn part de hele Odido-berg uit elkaar trekken.

Wat een achterlijk gezwam. Dit had bij iedere andere provider en ieder ander bedrijf kunnen gebeuren.


Nog een reactie waar m.i. niet over is nagedacht. Het is het verdienmodel van hackers dit zo te spelen. Als bedrijf sta je in spagaat: wil je de privacy van je klanten beschermen met als risico dat de hackers de info alsnog online gooien of wil je de hackers laten vergoren door ze niet te betalen (in de hoop dat andere bedrijven hierin meegaan) met de achterliggende gedachten "wel data, geen geld; niet meer interessant voor hen". En dan bestaat weer het risico dat (potentiële) klanten je niet meer vertrouwen en wegblijven. Dus wat is wijs.

Die wet schrijft niet voor dat die gegevens live toegankelijk in operationele moeten staan. Er gelden zeker wel eisen, maar die zijn voor wat er beschikbaar moet zijn of komen bij een controle door de belastinginspectie, niet over wat permanent beschikbaar is in operationele systemen.

Uit een brochure daarover van de belastingdienst (nadruk door mij toegevoegd):
Over die redelijke termijn wordt meer gezegd, zie het volgende citaat, maar dat is iets anders dan nu direct.

Om te waarborgen dat gegevens beschikbaar blijven en niet verloren gaan of beschadigd worden is opslag in een operationeel systeem waarin dingen mis kunnen gaan, inclusief hackers en ransomware, in mijn ogen juist niet de beste oplossing maar een die risico's verhoogt.

Op het moment dat je een controle krijgt spreek je dus een termijn af voor het leveren van gegevens. Ze hoeven dus niet direct beschikbaar te zijn.

Hier is de hele brochure:
https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/themaoverstijgend/brochures_en_publicaties/uw_geautomatiseerde_administratie_en_de_fiscale_bewaarplicht
Het is duidelijk dat een onderneming hierin zijn huiswerk moet doen en zich op dingen heeft voor te bereiden, en die voorbereiding kan ook omvatten dat met de Belastingdienst al vooraf afspraken worden gemaakt over wat er bewaard wordt en hoe. Maar er is geen eis om de benodigde gegevens permanent in de operationele systemen paraat te hebben, en om de integriteit en beschikbaarheid te waarborgen, en lekken te voorkomen, is het zelfs veiliger om dat niet te doen in mijn ogen.

Ergens zitten we in een spagaat, tussen Scilla en Charybdis dus.

Het weer door overheden overgaan tot de orde van de dag via inertie,
dat is denk ik het meest frustrerende.

Cybercriminaliteit floreert als nooit tevoren.
Aan de ene kant als illegale misdaad en aan de andere kant via legitiem gemaakte staatelijke actoren.
Dit om geld te krijgen voor projecten, die buiten de boeken dienen te blijven.

En voorlopig verandert er nog niet veel tot heel erg weinig.

PII bescherming zou op nummer 1 moeten komen.

Nee hoor, daar is niks achterlijks aan. Ik ben ook blij dat ik niet bij Odido zit. Dat het bij een ander bedrijf kan gebeuren is waar, maar dat is het dus niet. Dat vind ik dan weer achterlijk gezwam. Odido heeft het ontzettend slecht geregeld van bedrijfsvoering tot klantbescherming.