Ik lees dit vooral als "We zouden het leuk vinden als de overheid extra geld voor ons beschikbaar maakt".
Dat puntje over 'digitale weerbaarheid' is daar een mooi voorbeeld van. Vele bedrijven zouden best gebruik willen maken van Europese hosting providers, of van Europese cloud diensten, office pakketten, en dergelijke... maar niet uit hun eigen portemonnee.
Dat vind ik een uitstekend voorstel. Iedereen weet dat veiligheid belangrijk is, maar het wordt al snel (te) duur. De meeste klanten zijn namelijk niet zo bezig met beveiliging en gaan ze er ook niet extra voor betalen. Als ze er niet voor willen betalen dan is je product te duur en gaat je bedrijf failliet.
Het mooiste zou misschien zijn als de overheid direct betaald voor veiligheid zodat bedrijven dat gewoon kunnen doen zonder zich zorgen te hoeven over hun product niet te duur wordt, maar ik denk dat dat onder staatssteun zou vallen.
Wat de overheid wel kan doen, en het kost ze zelf geen cent, is minimumeisen stellen aan digitale veiligheid zodat goede bedrijven niet kapot worden geconcurreeerd door bedrijven die niet aan veiligheid doen. Ik ben echter bang dat velen dan kiezen voor goedkope buitenlandse software, tenzij we die op de een of andere manier laten meewerken maar dat is makkelijker gezegd dan gedaan (zie bv het tiktok fiasco).
Zelf het goede voorbeld geven is natuurlijk ook een manier. Als de overheid veel geld uitgeeft aan security experts, beveiliginssoftware, penetration tests en weet ik wat nog meer dan ontstaan er vanzelf meer bedrijven die dat aanbieden. Daardoor zal de prijs dalen en de kwaliteit stijgen. Dat maakt het goedkoper voor het bedrijfsleven om het ook te doen.
Hoe reageert het bedrijfsleven tegenover de GDPR? Ze kijken het met de nek aan.
Toch wordt die wet niet massaal genegeerd. Alle organisaties waar ik mee werk weten wat de GDPR is. Er wordt steen en been geklaagd en links en rechts probeert men de wet te ontwijken en er zijn veel misverstanden, maar ondertussen is er al best veel veranderd.
De meeste organisaties hebben goede bedoelingen, die willen helemaal geen data harken of mensen tracken of hun data verkopen, maar hebben ook te weinig verstand. Dan is de nijging al snel om maar zo veel mogeijk informatie te verzamelen op te slaan "voor de toekomst" want iedereen doet het. Daar heeft de GDPR grotendeels een einde aan gemaakt. Er wordt veel minder verzameld, opgeslagen en gedeeld en er is dus ook minder dat gelekt of gestolen kan worden.
De GDPR is verre van perfect en er zijn ook nog organisaties die zich er niks van aantrekken, maar toch zijn we flink vooruit gegaan. Nu we hier zijn kunnen we gaan denken over een volgende stap.
We blijven super kwetsbaar, en de meeste vinden het wel best.
Moeilijk hoor. Volgens mij vinden de meesten het helemaal niet best, maar ze weten ook niet wat ze er aan moeten doen. Beveiliging beoordelen is moeilijk en duur en je bent eigenlijk altijd afhankelijk van anderen wiens werk je zelf niet kan beoordelen.
Het is haast niet uit te leggen dat je voor 500 euro een website kan laten bouwen die voor 5 euro per maand gehost wordt, maar dat het 5000 euro kost om de site op veiligheid te laten testen, en dat je dat eigenlijk ieder jaar moet herhalen.
Als je niet kan beoordelen wat je krijgt voor je geld is het ook erg lastig om te beoordelen hoeveel je moet uitgeven. Voor ieder budget is er wel een security test te vinden waar je positief uitkomt, en, als je maar genoeg betaalt, ook eentje waar je negatief uit komt. Outsiders kunnen absoluut beoordelen wat wat is.
Waar ik naar toe werk is dat de overheid dit kan oplossen met duidelijke regels en eisen.
De overheid kan minimum eisen stellen aan bepaalde soorten software ("website moeten https gebruiken", of zo iets). De overheid kan keurmerken opzetten en verplicht stellen. ("iedere webhoster moet test X ondergaan bij een tester die volgens Y werkt").
Nu is security voor de meeste organisaties een bodemloze put. Ze kunnen oneindig veel geld uitgeven aan beveiliging zonder ooit te weten of het effectief is. Net zoals ik bij het kopen van een auto niet kan beoordelen hoe sterk de gordels moeten zijn of wat dat moet kosten. Ik heb geen idee of een gordel 1000 of 10000 kilo moet kunnen dragen en of dat 5 euro of 50 euro moet kosten. En eigenlijk wil ik het ook niet weten ook.
De overheid kan het veel voorspelbaarder maken wat er nodig is en wat dat kost zonder dat organisaties zelf een afweging moeten maken tussen kosten en veiligheid want dat kunnen ze helemaal niet.
[Reactie gewijzigd door CAPSLOCK2000 op 22 september 2020 10:13]