De berichtgeving over Diginotar beheerst het nieuws. Onze data zijn mogelijk niet meer veilig en de overheid was hierop niet voorbereid. De gevolgen voor webwinkels kunnen wel eens verstrekkend zijn.
Vorige week woensdag begon het balletje over het lek bij Diginotar te rollen. Met enkele van-horen-zeggen tweets van experts ontrolde zich een ongekend digitaal drama. Als snel kwamen de ernstige berichten via de vakblogs, kranten en tv-journaals. Afgelopen zaterdagnacht was er die historische persconferentie van minister Donner.
Informatie delen
Steeds meer informatie over onze inkopen, verkopen en transacties zit in community-systemen. We delen die informatie met anderen en steeds vaker ook nog eens via de cloud. Handelstransacties lopen via Portbase, Cargonaut en de douanesystemen. Onze financiële data staan in Swift. We betalen met creditcards of iDeal. En als we zelf over de wereld reizen zitten onze gegevens in de boekingssystemen van Amadeus, maar ook in vele douanesystemen. Al die systemen in de informatieketen grijpen in elkaar. En al die systemen staan of vallen met het vertrouwen in de data in die systemen. Wat als dat vertrouwen verdwijnt?
VNO NCW riep bedrijven die gebruik maken van certificaten van DigiNotar op om snel over te stappen naar andere dienstverleners van beveiligingscertificaten. Maar, wie vertrouwt die andere certificaten nu nog wel? Diginotar-gate spreidt zich uit als een olievlek. De Iraanse hackers hebben inmiddels ook Yahoo, Twitter en Facebook te pakken. Geen enkele organisatie blijkt immuun te zijn en het einde van de veiligheidsproblemen zijn nog niet in zicht.
Vertrouwen
Wat gebeurt er als bedrijven, of nog erger klanten, straks die informatie niet meer vertrouwen? Klopt die financiële overboeking wel? Klopt die orderbevestiging echt? Is deze iDeal-boeking betrouwbaar? En zit er in de container uit China wel echt wat de leverancier ons vertelt? En wat als consumenten die informatie niet meer vertrouwen?
Thuiswinkeldirecteur Wijnand Jongen zegt vandaag op de site van Emerce: 'De digitale infrastructuur van Nederland is kwetsbaar. Van de overheid vragen we al langer aandacht hiervoor, maar tevergeefs.'
Het is begrijpelijk dat de overheid online jaagt op mogelijke terroristen en kindermisbruikers, maar ze zou evenveel prioriteit aan economische misdaden moeten verbinden. De digitale economie in Nederland en Europa is tientallen miljarden euro’s groot, maar Wijnand Jongen betreurt het dat de Nederland niets doet om dit vitale economisch fundament te beschermen. Ik deel zijn zorgen, die hij ook op deze site kenbaar heeft gemaakt.
Ernstiger dan de bankencrisis
Je moet er niet over nadenken wat het voor de wereldwijde online handel kan betekenen als handelspartners en klanten informatie niet meer vertrouwen. Zijn bedrijven hierop, anders dan de overheid, wel voorbereid? Dit kan wel eens ernstiger zijn dan de bankencrisis.
Een incident als deze kan in potentie zorgen voor een vertrouwensbreuk op grote schaal. Dus ja, meldingsplicht moet er komen en de instanties die deze certificaten uitgeven moeten heel erg goed gecontroleerd worden op security, integriteit, processen etc. De vraag is of de NL overheid dit kan organiseren. Veel van de CA's, zoals Versign, Thawte en Digicert zijn buitenlandse bedrijven.
Webwinkels kunnen ook zelf veel doen aan online consumentenvertrouwen, zoals zichzelf voorbereiden op een eventueel datalek. De Online Trust Alliance heeft hiervoor de Data Breach Readiness Guide ontwikkeld https://otalliance.org/resources/Incident.html
Discl. ik ben actief in OTA's International Committee.