Digitaal veilige producten en diensten. Koopt u die in?
Inzake digitale veiligheid moet u als ondernemer een heleboel. De overheid en bijvoorbeeld uw bank komen telkens met nieuwe programma’s waaraan u maar beter kunt voldoen om veilig te zijn. Wat u vaak niet verteld wordt, is wat anderen (eigenlijk zouden) moeten doen om u en alle andere internet- en softwaregebruikers en Internet of Things artikelen veilig te maken en te houden. Dat staat in een rapport dat een van onze medewerkers heeft opgeleverd voor het Internet Governance Forum van de Verenigde Naties te Genève. Hoe zit dat?
Laten we alle acties die u zelf kunt nemen, let wel, ze zijn heel belangrijk, voor nu vergeten en focussen op hoe andere ondernemers u meer veiligheid kunnen/moeten bieden en hoe u daar invloed op uit kunt oefenen.
De reden dat u het internet op kunt, websites kunt bereiken, kunt e-mailen, etc., komt omdat onder deze diensten protocollen, of internet standaarden, werkzaam zijn die de verbindingen tot stand brengen. Deze standaarden zijn gemaakt in een periode dat enkel het Amerikaanse ministerie van Defensie en een beperkt aantal Amerikaanse universiteiten op het internet zaten. Veiligheid was geen issue, dus zit dat element niet in de standaarden ingebouwd. Dit heeft consequenties. Internet criminelen kunnen zich via de e-mail voor doen als uw bank, het maakt zogenaamd DDoS verkeer mogelijk, uw bericht kan naar iets anders op het internet worden gerouteerd dan u denkt, of uw e-mail kan door iedereen worden gelezen, etc.
Voor deze “lekkages” zijn in de afgelopen decennia nieuwe internetstandaarden geschreven. Ze heten bijvoorbeeld DNSSEC, voor veilige domeinnamen, RPKI, voor veilige routering, BCP38, dat e-mail van nepafzenders tegenhoudt, zoals een e-mail die van uw bank lijkt te komen, maar een poging tot phishing is. Deze standaarden bestaan soms al 20 jaar.
En nu komt het rare. De internetbedrijven die deze standaarden moeten aanpassen in hun bedrijfsvoering, doen dit op grote schaal niet of heel erg langzaam. Daarmee maken ze uw bedrijf iedere dag weer onveilig en, hard gezegd, faciliteren ze op deze manier criminelen, hackers en spionnen. De redenen hiervoor, mocht u dit interesseren, kunt u vinden in het rapport. Dat kunt u hier downloaden:
https://www.intgovforum.org/multilingual/index.php?q=filedepot_download/9615/2023
Dat is (niet zo) mooi, zult u wellicht denken, maar wat moet ik hiermee? U kunt druk uitoefenen op de providers waar u diensten van afneemt. U kunt er vrij gemakkelijk achter komen of uw website, domeinnaam en e-mail veilig is. Als u naar de website www.internet.nl gaat en daar uw domeinnaam invult, laat internet.nl u binnen een paar seconden zien hoe u en dus uw service providers er voor staan. Staat DNSSEC niet aan bijvoorbeeld, dan kunt u uw provider daar direct om vragen. Overigens is onze directeur Gerben Klein Baltink al jaren verbonden aan internet.nl als adviseur en blikvanger.
De kans is groot dat u er individueel zwak voor staat. Zeker als het gaat om grote bedrijven als Microsoft, Amazon of Google en u daar diensten afneemt. Het voornoemde rapport adviseert bedrijven dan ook om druk uit te oefenen via de branche organisaties. Als u collectief optreedt, is uw onderhandelingspositie veel beter en is de kans op succes groter. Dat kan ook voor overheidsdiensten gelden waar u gebruik van moet maken en deze niet veilig (genoeg) zijn. De overheid kan een voorbeeld stellen.
De digitale omgeving vraagt veel van u. Ter bescherming van uzelf, uw personeel, de bedrijfsvoering en –geheimen, uw klanten, neemt u al vele maatregelen. Er komt veel op u af, waar u veel voor terugkrijgt. Zonder internet kan er niet meer gewerkt worden. Maar, er komt ook veel op u af wat eigenlijk niet zou hoeven, doordat andere ondernemers minder goed zijn dan zij zouden kunnen, eigenlijk moeten, zijn. Daar kunt u iets aan doen bij de inkoop. Vraag om een veilige dienstenomgeving, laat een veilige website bouwen op basis van de OWASP top 10. Kent uw websitebouwer die niet, dan zit u echt bij de verkeerde persoon of bedrijf, sluit niet zo maar IoT devices aan zonder dat u weet of het product u een gegarandeerde veiligheid biedt, inclusief updates in de toekomst en vraag uw hostingbedrijf of dit uw data afdoende beveiligd, dat ziet u of het bedrijf ISO 27001 gecertificeerd is.
Dat zijn allemaal maatregelen die u zelf niet kunt nemen, maar wel broodnodig hebt voor een veilige, digitale omgeving. Laat u horen voor een veiliger internet en eis het van uw toeleveranciers. Wilt u meer weten? neemt u dan gerust contact op met een van onze adviseurs.