Twee nieuwsfeiten heb ik de voorbije dagen onthouden. Enerzijds was er die vaudeville rond de plannen van die Brusselse tunnels. In het Brusselse parlement had een ingenieur gezegd dat die ergens opgeslagen zaten in een kokertunnel en waarschijnlijk door muizen waren opgegeten.
Muizen dus. En Brussel. Behalve misschien het feit dat Telenet binnenkort Brussel (en niet langer Mechelen) als hoofdzetel neemt, komt de maanden uit die stad niet zo veel goed nieuws. Dus dit namen ze er nog wel bij.
Maar het muizenverhaal – dat alle voorpagina’s sierde – bleek achteraf ‘too good to be true’, zoals dat heet. Want de dag later onthulde een Brusselse ambtenaar dat de plannen van de tunnels gewoon in het archief zaten opgeborgen en ‘voor een deel’ waren gedigitaliseerd. De ambtenaar vertelde het alsof het om een exclusieve behandeling ging. Vooral het gedeelte ‘voor een deel’ in haar zin viel me op.
Helaas was het hele verhaal intussen al een eigen leven gaan leiden. Het Belgische archiefbedrijf Merak kwam met een advertentiecampagne waarbij een muis werd afgebeeld. ‘Is uw archief veilig of knaagt er iets’, was de slogan. ‘Archief Brusselse tunnels in brugpijler opgegeten door muizen’, stond er bovenaan bij. Het geeft aan hoe sterk de impact van iets kan zijn, want eigenlijk was het muizenverhaal dan al twee dagen formeel ontkend. Too good to be true.
Ziekenhuizen
Het tweede nieuwsfeit vond ik opmerkelijker. Het ging over het Hollywood Presbyterian Medical Center in Los Angeles, het ziekenhuis dat virtueel werd gegijzeld door hackers. Data van het ziekenhuis waren geëncrypteerd en de sleutels werden pas bezorgd nadat een flinke som van drie miljoen dollar werd betaald. Terwijl het muizenverhaal een hoog ‘failed state’-gehalte had, had dat tweede verhaal een Hollywood-gehalte dat veel meer tot de verbeelding sprak.
Uiteraard was het ziekenhuis niet goed beveiligd en had er blijkbaar iemand op een phishingmail geklikt. Maar vooral de duiding van de cio van het UZ Leuven vond ik interessant. ‘Ik vind het opmerkelijk dat dat Hollywood-ziekenhuis blijkbaar geen recente back-ups maakte’, stelde hij. In Leuven gebeurt dat diverse keren per dag. Voor de medische dossiers zelfs om het uur, zo vertelde hij. Al gaf de cio uit Leuven toe dat toestanden zoals in Hollywood in zijn ziekenhuis ‘niet onmogelijk’ zouden zijn. ‘Die hoogmoed heb ik niet’, zo zei hij eerlijk.
UZ Leuven is dan vermoedelijk nog bij de betere van de klas. Van hun collega’s van het UZA uit Antwerpen herinner ik me dat enkele maanden geleden een aantal cruciale it-systemen urenlang plat lagen. De woordvoerder van het ziekenhuis benadrukte me dat ‘de goede werking van het ziekenhuis niet in het gedrang is gekomen’. Woordvoerders worden natuurlijk betaald om communicatiebrandjes te doven, en niet om ze op te stoken. Want ervoor had ik via interne bronnen vernomen dat er toch flink wat paniek was. Zo zou op een bepaald moment zelfs zijn overwogen om de spoedafdeling van het UZA te sluiten.
Broccoli
Wat is de overeenkomst tussen deze twee nieuwsfeiten. Wat hebben muizen en ziekenhuizen met elkaar gemeen? Simpel: dat we anno 2016 het belang van onze systemen en data danig onderschatten. We hebben de mond vol over digitalisering, disruptie en big data, maar slagen er in de praktijk niet in om onze data deftig te beveiligingen en beschermen. Zelfs de meest elementaire back-up wordt in veel gevallen over het hoofd gezien.
Een tijd geleden was ik spreker op een seminar over business continuity en disaster recovery. En het onderzoek dat daar bij werd gedaan, onthulde het helemaal. De prioriteit in business continuity daalt in bedrijven ten opzichte van andere it-noden. En vermoedelijk is dat best menselijk: mobile apps of social media lijken voor een bedrijf veel hipper. Met business continuity en back-up win je de schoonheidsprijs niet.
Ik herinner me de beruchte brocoli-quote die we op het seminar op de bezoekers loslieten. Back-up is als broccoli: ik weet dat het heel erg gezond voor me is, maar daarom vind ik het nog niet lekker. Backup is de broccoli van alle groenten. Gezond, maar niet lekker.
