Hoe kunnen bedrijven het hoofd bieden aan de toenemende mate van digitale criminaliteit? Het antwoord op die vraag gaf Danny Mekic’ in zijn lezing over cybersecurity bij Business Leaders.
Volgens Danny hechten veel bedrijven nog te weinig waarde aan de veiligheid van hun digitale systemen. Wachtwoorden worden onterecht gezien als adequate beveiliging, terwijl ze kwaadwillenden slechts vertragen in hun hackpogingen. Bovendien blijkt vaak dat werknemers wachtwoorden niet of zelfden veranderen of hetzelfde wachtwoord gebruiken voor elke omgeving. Gelukkig zijn er steeds meer bedrijven die zich dit realiseren en aanvullende beveiligingsmaatregelen treffen. Beveiligingssystemen worden echter vaak niet up-to-date gehouden, waardoor nieuwe lekken ontstaan en bestaande kwetsbaarheden niet worden opgelost.
Eén van de belangrijkste adviezen die Danny bedrijven geeft is het opstellen van een responsible disclosure: een statement waarin een bedrijf hackers die een lek vinden in hun systeem uitnodigt om deze aan hen voor te leggen en niet openbaar te maken. In ruil daarvoor krijgt diegene een vergoeding en ziet het bedrijf af van juridische vervolgstappen. Op die manier ontwijken bedrijven het risico een lek mis te lopen door een intern gebrek aan expertise en worden enthousiaste hackers gestimuleerd hun kennis — ten behoeve van het verbeteren van online veiligheid — in te zetten.
Een startup die op deze ontwikkeling inhaakt is HackerOne, stelt Danny. Hij omschrijft het Nederlandse bedrijf als ‘een marktplaats voor hackers’: bedrijven melden zich gratis aan en stellen voorwaarden en een vergoeding op. Degene die erin slaagt een lek te vinden bij dat bedrijf strijkt met de beloning op. Het is een platform voor ethische hackers die het bedrijfsleven hard nodig heeft, vindt Mekic’.
Naast het opstellen van een responsible disclosure stelt Danny dat bedrijven kritisch moeten heroverwegen hoe zij hun ICT-budget uitgeven. Onderhoudskosten voor ICT-systemen stijgen namelijk exponentieel vanaf het moment dat het een bepaalde ouderdom bereikt heeft. Om innovatieve, kostenefficiënte en veilige digitale omgeving te behouden is het volgens Danny namelijk belangrijk dat bedrijven elke zes jaar met een leeg vel starten om te bepalen welke behoeften er zijn op het gebied van ICT en welke middelen daar het beste toe dienen.
De veilige digitale omgeving van de toekomst wordt dus beveiligd via intern beleid, namelijk door de prioriteit van veiligheid benadrukken onder de werknemers en extern beleid, namelijk door ethische hackers uit te nodigen systemen op de proef te stellen en innovatieve en periodieke verversing van bestaande systemen, aldus Mekic’.