- Door
- Rashid Niamat
- geplaatst op
- 25 november 2013 08:01 uur
ISPam.nl heeft dit jaar, net als de voorgaande jaren, diverse keren aandacht besteed aan incidenten in de sector. Gevallen uiteenlopend van onderbreking van de dienstverlening bij datacenters en hosters tot schade door defecten of diefstal zijn de revue gepasseerd. Deze keer aandacht voor de meetbare schade van dergelijke incidenten.
Als je je auto tegen een lantaarnpaal zet, weet je binnen enkele uren wat het nieuwe spatbord je kost, hoe lang je de auto kwijt bent, de kosten voor vervangend vervoer en welk prijskaartje er bij het rechtbuigen van een lantaarnpaal hoort. Bij schade door stroomstoringen en verlies van data is dat – inherent aan de materie – veel lastiger te bepalen. Je ziet dat ook op een heel andere manier terug: het aantal verzekeringen specifiek voor onze branche is uiterst beperkt en daarom weinig gevraagd.
Logisch dat je handelt naar beste eer en geweten, je overeenkomsten spreken van uptime, inspanningsverplichting en nog wat termen die vooral de indruk moeten wekken dat je alles zult doen om je klant te behoeden van echte ernstige consequenties. En gelukkig voor de sector nemen de meeste klanten daar genoegen mee. Nu nog wel, maar voor hoelang is een valide vraag.
De vraag komt niet uit de lucht vallen. Al eerder is uit onderzoeken (zie o.a. de internationale Databreach rapportages van Verizon) gebleken dat bedrijven die het slachtoffer zijn van datadiefstal vaker dan concurrenten die dat niet overkomt het loodje leggen. De kritische termijn daarvoor blijkt te zijn tussen de 1 en 18 maanden na het incident. Naarmate meer bedrijven dit weten en zien gebeuren, des te groter wordt de druk op de partijen die men mede verantwoordelijk acht voor die data – inderdaad de hosters en DC’s – verder te gaan dan het noemen van een inspanningsverplichting in de leveringsvoorwaarden.
In de VS zien we zelfs extra druk op deze partijen ontstaan nu daar recent onderzoeksresultaten zijn gepubliceerd (het haalde zelfs de mainstream pers!) die draaiden om de vraag: wat zou u als klant doen van een bedrijf waarvan de data is compromised. De resultaten logen er niet om. Als klantdata bij de bank is ontvreemd, wil 55 procent overstappen. Nu zullen de meeste lezers van ISPam.nl geen banken hosten, dus die bedreiging laat zich niet echt 1 op 1 vertalen. Maar wat te denken van goede doelen: 38 procent van de ondervraagden wil geen geld meer doneren aan een goed doel als dat gehackt is. 39 procent vindt compromised data een reden van advocaat te wisselen en 40 procent kiest dan voor een ander (tand-)arts.
De conclusie is helder. Als een datalek ontstaat – los van de vraag wie daarvoor verantwoordelijk is – kost je klant dat zeer waarschijnlijk klanten. Afhankelijk van het type klant zijn dat veel of weinig klanten en gaat dat snel of langzamer. En als jou klant zijn klanten ziet weglopen is de kans groter dat jij daar ook de gevolgen van gaat voelen. Het informeren van je klanten hoe zij het beste met security-risico’s en veiligheidsissues om moeten gaan, is daarom iets dat je niet alleen doet als service. Je doet het ook heel opportunistisch en uit eigen belang omdat het bijdraagt aan het voortbestaan van je eigen bedrijf.