Niet lang geleden schreef ik dat er zo’n 5 miljard aan schade is veroorzaakt door het overdragen van veel te veel informatie naar een lab (dat ook nog eens slechte security had). Intussen is het aantal slachtoffers al opgelopen tot bijna 1 miljoen! Hoe kom ik dan tot zo’n hoge schadepost? Hiernaast staat een overzicht van de kosten als je privégegevens zijn gestolen. Waarom zijn deze kosten zo hoog? Veel organisaties denken dat je geboortedatum, adres, BSN allemaal niet erg bekende gegevens zijn waarmee ze snel kunnen vaststellen of ze jou inderdaad aan de telefoon hebben. Nu is het een schadepost om daar nog op te vertrouwen.
Tienduizend euro x 1 miljoen mensen levert een schadepost op van 10 MILJARD. Gaat iemand dat kunnen uitkeren? Ik ben bang van niet.
Wat je wel kan doen is de impact van deze diefstal beperken.
Als je wachtwoord wordt gestolen krijg je de instructie dit te veranderen. Het BSN systeem is er niet op gemaakt om een nieuw BSN te kunnen krijgen. Je geboortedatum en adres kan je ook niet zomaar veranderen. Dus de gegevens zelf ongeldig maken werkt niet, wat kan wel?
Wat er nodig is is een manier die snel ingevoerd kan worden om de identiteit van iemand vast te stellen. Alle organisaties die nu leningen accepteren (dus inclusief webwinkels, banken etc) kunnen dit gebruiken. Ze moeten het niet, maar als ze ondanks dit middel niet kijken of jij wel echt aan de telefoon hangt, dan is het hun risico, niet meer het jouwe…
Je kan hierbij denken aan het gebruik van DigiD, praktisch iedereen heeft dat al dus het is snel in te voeren. DigiD is echter alleen toegestaan voor de (semi)overheid, voor commerciële partijen zijn er alternatieven zoals iDIN. Er zijn vast ook betere manieren te bedenken, maar die moeten nog ontwikkeld worden en we hebben haast.
Dit betekent wel heel veel werk bij alle organisaties die nu ineens DigiD en iDIN zullen moeten integreren, upgrades bij deze aanbieders zelf et cetera.
Voor de bedrijven die dit moeten gaan gebruiken zal het integreren van een dergelijke verificatie misschien een ton kosten. Het kan lager uitvallen als je competente mensen hebt, en hoger als dat niet zo is. Deze kosten gaan dus vallen bij pak hem beet 100-500 bedrijven in Nederland. De directe kosten voor een dergelijke operatie kunnen dus zomaar 50 miljoen worden. Dat is serieus geld, maar tegelijkertijd is het maar 1/200ste van 10 miljard! Het is dus een schijntje voor lab of ministerie die aangesproken gaan worden voor geleden schade van dit lek.
Wat we hier nog niet hebben benoemd is hoe phishing op basis van deze gegevens gestopt gaat worden…
Echter wat eerst nodig is, is dat in de publieke opinie het besef doordringt wat gestolen gegevens aan schade kunnen aanrichten. Dat een “veiligheidsrisico” uiteindelijk bewaarheid kan en zal worden. Dat als het fout gaat dat het einde van je bedrijf kan betekenen en mogelijk persoonlijke aansprakelijkheid van de directeur die het probleem heeft genegeerd. Ook politici moeten dit gaan snappen en serieus gaan nemen.
Als je iemand zoekt die een kennissessie kan geven bij je bedrijf over dit soort problematiek, op managementniveau, vul het contactformulier in!
Niet lang geleden schreef ik dat er zo’n 5 miljard aan schade is veroorzaakt door het overdragen van veel te veel informatie naar een lab (dat ook nog eens slechte security had). Intussen is het aantal slachtoffers al opgelopen tot bijna 1 miljoen!
Hoe kom ik dan tot zo’n hoge schadepost?
Hiernaast staat een overzicht van de kosten als je privégegevens zijn gestolen. Waarom zijn deze kosten zo hoog? Veel organisaties denken dat je geboortedatum, adres, BSN allemaal niet erg bekende gegevens zijn waarmee ze snel kunnen vaststellen of ze jou inderdaad aan de telefoon hebben. Nu is het een schadepost om daar nog op te vertrouwen.
Tienduizend euro x 1 miljoen mensen levert een schadepost op van 10 MILJARD. Gaat iemand dat kunnen uitkeren? Ik ben bang van niet.
Wat je wel kan doen is de impact van deze diefstal beperken.
Als je wachtwoord wordt gestolen krijg je de instructie dit te veranderen. Het BSN systeem is er niet op gemaakt om een nieuw BSN te kunnen krijgen. Je geboortedatum en adres kan je ook niet zomaar veranderen. Dus de gegevens zelf ongeldig maken werkt niet, wat kan wel?
Wat er nodig is is een manier die snel ingevoerd kan worden om de identiteit van iemand vast te stellen. Alle organisaties die nu leningen accepteren (dus inclusief webwinkels, banken etc) kunnen dit gebruiken. Ze moeten het niet, maar als ze ondanks dit middel niet kijken of jij wel echt aan de telefoon hangt, dan is het hun risico, niet meer het jouwe…
Je kan hierbij denken aan het gebruik van DigiD, praktisch iedereen heeft dat al dus het is snel in te voeren. DigiD is echter alleen toegestaan voor de (semi)overheid, voor commerciële partijen zijn er alternatieven zoals iDIN. Er zijn vast ook betere manieren te bedenken, maar die moeten nog ontwikkeld worden en we hebben haast.
Dit betekent wel heel veel werk bij alle organisaties die nu ineens DigiD en iDIN zullen moeten integreren, upgrades bij deze aanbieders zelf et cetera.
Voor de bedrijven die dit moeten gaan gebruiken zal het integreren van een dergelijke verificatie misschien een ton kosten. Het kan lager uitvallen als je competente mensen hebt, en hoger als dat niet zo is. Deze kosten gaan dus vallen bij pak hem beet 100-500 bedrijven in Nederland.
De directe kosten voor een dergelijke operatie kunnen dus zomaar 50 miljoen worden. Dat is serieus geld, maar tegelijkertijd is het maar 1/200ste van 10 miljard! Het is dus een schijntje voor lab of ministerie die aangesproken gaan worden voor geleden schade van dit lek.
Wat we hier nog niet hebben benoemd is hoe phishing op basis van deze gegevens gestopt gaat worden…
Echter wat eerst nodig is, is dat in de publieke opinie het besef doordringt wat gestolen gegevens aan schade kunnen aanrichten. Dat een “veiligheidsrisico” uiteindelijk bewaarheid kan en zal worden. Dat als het fout gaat dat het einde van je bedrijf kan betekenen en mogelijk persoonlijke aansprakelijkheid van de directeur die het probleem heeft genegeerd. Ook politici moeten dit gaan snappen en serieus gaan nemen.
Als je iemand zoekt die een kennissessie kan geven bij je bedrijf over dit soort problematiek, op managementniveau, vul het contactformulier in!