Erik de Jong: Hacks worden snel vergeten, data-afval niet
In de cybersecuritywereld regeert vaak de angst, maar Erik de Jong (Tesorion) brengt een nuchter tegenwicht. In de radioshow People Work Technology fileert hij de mythes rondom hacks. Zijn centrale stelling: de impact van een datalek op de reputatie is tijdelijk, maar de omgang met data is een tikkende tijdbom.
De Jong, die zichzelf graag afficheert als ‘Mr. No Fluff’, stelt dat de "halfwaardetijd" van een hack kort is. Over een jaar is het publiek een incident meestal weer vergeten. Dat betekent echter niet dat organisaties stil moeten blijven zitten. Integendeel: transparantie is volgens hem het machtigste wapen.
Stealing Thunder: De kracht van de eerste klap
Wanneer het misgaat, adviseert De Jong het principe van ‘stealing thunder’. Door als organisatie zelf als eerste en volledig transparant naar buiten te treden, voorkom je speculatie. "Je haalt de wind uit de zeilen van roddels," aldus De Jong. Hij haalt een brand in een datacenter in Almere aan als schoolvoorbeeld: direct communiceren wat er aan de hand is, zonder rookgordijnen.
Data als nucleair afval
Een van de meest pregnante vergelijkingen van De Jong is die tussen data en nucleair afval. "Het ontploft in je gezicht als je het niet goed beheert." Veel organisaties bewaren bergen klantgegevens die ze allang hadden moeten wissen. Informatie "kruipt" door de organisatie; even een kopie van een database maken voor een test en die vervolgens vergeten te verwijderen, is een klassiek recept voor een lek. Zijn advies is radicaal simpel: verzamel alleen wat strikt noodzakelijk is. Wat je niet hebt, kan immers ook niet gestolen worden.
Empowerment op de helpdesk
Techniek is één, maar de mens blijft de zwakste én sterkste schakel. De Jong trekt het Zero Trust-principe door naar de werkvloer. Omdat aanvallers zich vaak voordoen als vertrouwde personen (zoals de directeur of IT-support), moeten medewerkers leren om "nee" te zeggen. Vooral op helpdesks, waar medewerkers getraind zijn om behulpzaam te zijn, is dit een cultuuromslag. Het doel is een gezonde basis van achterdocht: weet met wie je daadwerkelijk te maken hebt.
Nederland: Van een zeven naar een negen
Hoewel het aantal incidenten hoog lijkt, schat De Jong de digitale weerbaarheid van Nederland in op een zeven. Daarmee doen we het beter dan veel buurlanden, die hij op een vijf inschat. Toch is er werk aan de winkel om naar een negen te groeien.
De sleutel tot die groei? Openheid. De Jong looft organisaties zoals de Universiteit Maastricht, die hun onderzoeksrapporten na een hack publiekelijk deelden. Door lessen uit fouten breed beschikbaar te stellen, versterkt de hele BV Nederland zijn defensie. "Dat is pas echte samenwerking," besluit De Jong.
Kernpunten uit het interview:
- Reputatie: De schade na een hack is vluchtig; eerlijkheid duurt het langst.
- Dataminimalisatie: Sla alleen op wat je nodig hebt; zie data als een risicovolle grondstof.
- Social Engineering: Empower medewerkers om kritisch te zijn, zelfs tegenover 'superieuren'.
- Kennisdeling: Publiceer onderzoeksrapporten na incidenten zodat anderen kunnen leren.
Over Witold Kepinski
