Datalekken en de noodzaak van communicatie (Column)

Daarover nadenkend vraag ik me af is in hoeverre hosters en andere it-bedrijven nu al een handboek klaar hebben liggen om met dit soort ellende om te gaan. Die vraag bleek vorige maand extra relevant toen er bij mijn eigen hoster duidelijk iets fout ging. Het begon met opvallende hoeveelheid verkeer richting enkele van mijn websites. Een groot deel van de default verdachte IP-reeksen is al geblacklist, maar er bleef in de meest exotische landen bijzondere belangstelling bestaan voor de paar gewone websites die ik beheer.

Bijna gelijktijdig kreeg ik een groot aantal privé en zakelijke e-mails retour. Stuk voor stuk met de bekende foutmeldingen dat de ontvangende partijen ‘mijn’ IP’s had geblacklist. Ik vermoedde dat er iets fout zat bij mijn hoster, dus stuurde een mail met de foutmelding en de vraag naar het hoe en waarom van deze status. Als privépersoon maar ook als ondernemer wist ik namelijk niet zeker of mijn mails werden ontvangen, met andere woorden ik leed wellicht schade.

Mijn hoster heeft duidelijk geen draaiboek voor communiceren over security breaches klaarliggen. Pas na 5 dagen (!) werd de mail beantwoord met ‘als het goed is kunt u nu weer mailen’. Daarmee kon ik het doen. Geen enkele verklaring wat er aan de hand was. Toen ik een paar dagen later via Cpanel wilde inloggen op een website moest ik eerst mijn wachtwoord wijzigen. Dat bleek niet alleen voor die site, maar voor alle sites die ik bij die hoster heb staan.

OK, ik meen te weten wat er fout is gegaan en de mailserverinstellingen wijzigen is voor mij geen probleem. Maar stel nou dat je een minder ervaren hostingklant bent. Dan ga je je afvragen of je bij de juiste partij zit en wellicht ook of dat hele internet niet een te groot risico vormt.

En precies om dat effect te voorkomen is het echt noodzakelijk dat je als it-leverancier een draaiboek klaar hebt liggen. Weet wat je wanneer aan je klanten gaat communiceren en onthou vooral dat zwijgen niet werkt. Openheid waar mogelijk en tussentijdse status updates geven is echt in je voordeel. Doe je dat niet, dan kom je even ongeloofwaardig over als ICT~Office dat een pleidooi hield tegen de wet op de datalekken omdat ‘een lek [melden] slecht [is] voor de reputatie van een bedrijf.’