'Cyber value at risk'. Het was de titel van het rapport dat Deloitte vorige week uitbracht. Vooral de baseline vond ik best ironisch: 'dealing efficiently with cybercrime'. Kort erna raakte bekend dat Deloitte zelf op grote schaal slachtoffer was geweest van cybercrime.
Het was de Britse krant The Guardian, ook bekend van de Snowden files, die het bericht vorige week maandag uitbracht. ‘s Avonds brachten wij het nieuws ook met Computable en kregen we een woordvoerder van Deloitte aan de lijn.
Haast alle mailverkeer
Maar eerst nog even op een rijtje. Volgens de krant werd de hack bij Deloitte in maart ontdekt, maar zouden de cybercriminelen al sinds eind 2016 toegang hebben tot het it-park van het bedrijf. Ze drongen binnen in de globale e-mailserver van Deloitte via een administrator’s account, die slechts met een wachtwoord beveiligd bleek, en kregen zo toegang tot haast alle mailverkeer. Niet onbelangrijk: mails van 244.000 werknemers werden opgeslagen bij de Azure cloud-dienst van Microsoft.
Big stuff dus. De woordvoerder van Deloitte ontkende het bericht alvast niet. Maar hij vertelde me die avond wel dat ‘de Belgische it-systemen op geen enkel moment geaffecteerd werden’. Die dag, zo bleek later, lag overigens ook het interne it-systeem van Deloitte België drie uur plat. Al had dat, nog steeds volgens de woordvoerder, niets met de hack te maken. Ze hadden daar bij Deloitte dus hun dagje wel.
Leedvermaak
Ik was de dag na nadien aanwezig op de adviesgroep om het seminarieprogramma van Data & Cloud Expo (een samenvoeging van de voormalige The Tooling Event en Storage Expo beurzen) voor maart volgend jaar voor te bereiden, waar Deloitte in de vorige editie overigens ook spreker was.
Het zal je waarschijnlijk niet verbazen dat de Deloitte-hack daar talk of the town was. Toegegeven, ik voelde wel wat leedvermaak. Rond de tafel zaten ook concurrenten van Deloitte. En het verhaal is voor een bedrijf met de allure en omvang van Deloitte nu eenmaal ook behoorlijk gênant. Het is toch een beetje als de bekende adviseur die zijn eigen advies in de wind slaagt. Zeker als je de ruime portfolio van het bedrijf rond cyber risk overloopt. ‘Hoe is het mogelijk’, vroeg iemand zich af.
Er werden specifieke elementen aangehaald, zoals de rol en impact van cloud in security. Maar al snel groeide de tafel naar een consensus. En die was best nobel: het kan ons allemaal overkomen. 100 procent security bestaat niet. Je kan er alleen maar zoveel mogelijk naar streven. Of met andere woorden: dealing efficiently with cybercrime.
Allereerst heb ik niet zoveel met leedvermaak of schaamte in dit soort gevallen. Wat wel ernstig is is een bedrijf dat zich voor geeft, duurbetaald en op hoge echelon, met cybercrime bezig te houden de eigen spullenboel niet op orde heeft en dan nog eens zelf bezoek krijgt van cybercriminelen, dat is een Double Dutch. Niet alleen leid je schade door criminelen maar ersntiger, je naam en reputatieschade die je op loopt.
Bijzonder pregnant en pijnlijk….
We hebben het hier, mijn beste lezer(es) nog steeds over digitaal automatiseren. Een materie die univrsele wetmatigheden kent en zo zijn do’s en don’ts. Het frappante aan deze hele zaak, overigens niet alleen aan deze zaak, maar alle fails in en met IT, dat deze 100% kunnen worden voorkomen. Er bestaan geen uitvluchten voor zaken die mis gaan. Sterker, we stevenen gezamenlijk af op een niveau van steeds grootschaliger falen met nog grotere impact. Noteert u even voor December 31, 2017.
Dat dat zal gebeuren heeft alles te maken met het gegeven dat er steeds minder IT professionals en managers begrijpen wat digitaal automatiseren is en meer dan 95% van het politiek geangageerde contingent in het bedrijfsleven niet weet dat digitaal automatiseren volkomen voorspelbaar is, in al haar facetten, op elk niveau waarop IT word bedreven.Dat dit gegeven niet blijk door te zijn gedrongen bij de professionals van Deloitte maakt het voor hen des te pijnlijker. Want als je exact en volkomen dit had kunnen voorkomen, kan ik me voorstellen dat dit ‘AU’ doet.
Problemen met digtaal automatiseren zijn te voorkomen. Sterker, moeten worden voorkomen. Daar is Digitaal Automatiseren namelijk voor bedoeld.