Hoe voorkom je imagoschade na een hack of een lek?

Blog

Robert Pennings    26 September 2014   

abstract-1009219_960_720.jpg

Praktisch alle afwegingen tijdens een internet project worden gemaakt op basis van de aspecten: Budget, Deadline en Scope.

Doordat veel webprojecten geleidt en geïnitieerd worden door marketing, communicatie of sales afdelingen wordt de beveiliging van de site vaak onder de laatste optie geschaard. Hierdoor moet dit belangrijke onderdeel vaak wedijveren met social media buttons en check-out offers. In deze setting zal de balans vaak doorslaan richting de Facebook plug-in of een check-out offer omdat deze naar verwachting meer klantinteractie en omzet zal opleveren. Losstaand van de vragen of dit de meest verstandige keus is en of veiligheid niet altijd het vierde belangrijke onderdeel van een project zou moeten zijn, is deze keus wel verklaarbaar. De Nederlandse rechtspraak is nog lang niet ver genoeg om bepaalde eisen aan beveiliging te kunnen stellen. Mocht er toch ingebroken worden (als dit gedetecteerd wordt), zal er alleen sprake zijn van imagoschade. Tenminste, als de webwinkelier genoeg moeite (naar alle redelijkheid) heeft gedaan om de webshop te beveiligen.

De laatste maanden zijn er veel voorvallen geweest van Nederlandse website die niet veilig bleken of echt gehacked zijn, waarbij persoonsgegevens zijn buitgemaakt. Dit heeft de nodige imagoschade voor de betrokken partijen opgeleverd. Zelfs ministers mochten zich komen verantwoorden tegenover de tweede kamer.


Welke reactie is het meest effectief om imagoschade na een hack of lek te beperken?
De afgelopen maanden zijn er verschillende typen reacties voorbij gekomen. Is er een trend te herkennen in het type reactie en de opgelopen imagoschade? Om deze vraag te kunnen beantwoorden heb ik een inventarisatie gemaakt van verschillende reacties. In deze analyse zijn veel reacties, van lekken uit oktober, gebruikt omdat dit veel verschillende gevallen betreft.

Ontkennen/verzwijgen/geen commentaar
Op mijn netvlies geprint staat ene Muhammed Saeed al-Sahhaf in Bagdad te verkondigen dat Irak de oorlog wint, terwijl Amerikaanse tanks achter hem over een brug rijden. Persoonlijk heb ik dan mijn twijfels of deze meneer te vertrouwen is. Gek genoeg durven bedrijven ook te ontkennen dat er een lek is op de website is, nadat duidelijk is aangetoond dat dit het geval is.

Diginotar is hier een goed voorbeeld van. Het lek was aan het licht gekomen en het bedrijf heeft dit destijds niet kenbaar gemaakt. Nadat het lek was opgepikt door enkele websites heeft het bedrijf eerst geprobeerd het lek te ontkennen.

Hiermee zou je kunnen voorkomen dat je in de media komt en imagoschade oploopt. Maar dat geldt alleen op het moment dat het je lukt om uit de media te blijven. Mocht het onverhoopt toch worden ontdekt, dan leidt dit tot praktisch onherstelbare imagoschade en kun je je webwinkel beter sluiten voordat dit voor jou gedaan wordt. Gevolg voor Diginotar? Diginotar bestaat niet meer. Het vertrouwen was weg en het bedrijf kon worden opgedoekt.


Verdedigen/Goed praten/bagatelliseren
Het is allemaal niet zo ernstig als het lijkt. De site is veilig, maar we updaten toch even onze 10 jaar(!) jonge software. Zo reageerde Gemeente De Bilt nadat bleek dat de site zo lek was als een mandje. Gevolg; vragen in de gemeenteraad en imagoschade voor de gemeente en raadsleden. Deze reactie is bijna gelijkstaand aan het verzwijgen van een lek en net zo schadelijk voor het imago.

Ook Cheaptickets probeerde het geheel te verminderen door de nadruk te leggen op het feit dat het hier een test omgeving betrof. Het lek is in ieder geval lang in het nieuws gebleven. Of dit direct samenhangt met de officiële reactie is moeilijk te zeggen.


De beste verdediging is de aanval
Vliegschool AIS Flight Academy draaide de rollen om. Het is niet hun schuld, maar die van de hacker. Juridisch gezien hebben zij gelijk. Als men een auto met draaiende motor ergens laat staan en wegloopt en vervolgens gaat er iemand mee vandoor, is dat nog steeds diefstal.

Ook Gemeente Landgraaf heeft gedreigd met juridische stappen. Zolang het gaat om het zoeken en vervolgens melden van lekken bij de partij waar het lek zich bevindt, zonder misbruik van dit lek te maken, vind ik een actie als deze niet nodig. Echter ook hier is er juridische grondslag voor een aanklacht. Wat gedaan is, is en blijft strafbaar. Een mogelijke oplossing is een klokkenluidersregeling. Deze kan helaas ook averechts werken en het testen van sites op lekken aanmoedigen.

De vraag is natuurlijk wat men hiermee opschiet. Naar mijn idee weinig. Men probeert de focus te verleggen van het ernstige feit dat de site lek is, naar het minder ernstige feit dat iemand naar lekken gezocht heeft. De media zullen hier doorheen prikken en extra nadruk leggen op het feit dat er een zondebok gezocht wordt. Het nieuws omtrent het gehackte bedrijf wordt hierdoor vaak negatiever en de imagoschade daarmee groter. Neem het voorbeeld van de vliegschool. Hadden zij geen aangifte gedaan, dan was het nieuws waarschijnlijk nooit opgepikt door luchtvaartnieuws.nl.

Spijt betuigen
“Oeps en sorry, we hebben het lek gezien en per direct gedicht. We hadden beter op moet letten en zullen dat in de toekomst ook zeker doen.”

Veruit de meest populaire respons welke werd gebruikt door onder ander QQ tickets, Davilex, Gemeente Gilze-Rijen enV&D.


Bedanken en belonen
“Hartelijk dank voor het vinden en rapporteren van het lek! Hier heb je een beloning!”. Dit is weer de geheel andere kant van de medaille. Zo reageerde Bovag nadat er een lek werd gemeld. Persoonlijk zou ik deze reactie niet aandurven omdat dit naar mijns inziens uitnodigt tot nieuwe pogingen.

Opvallend is om te zien dat gevallen waarop dit type reacties volgen vaak met een sisser aflopen en dat er verder geen nadruk op wordt gelegd in de pers.

Het lek snel dichten en vervolgens vragen of jouw bedrijfsnaam niet genoemd hoeft te worden, resulteert echter in een extra eervolle vermelding in de pers.


Conclusie
Wellicht al verwacht, maar het betuigen van spijt blijkt veruit de minste negatieve aandacht te trekken en het verzwijgen en wegmoffelen het meest. Het identiek aan “real-life”, iedereen maakt fouten. Als je mans genoeg bent om deze toe te geven, zul je ook eerder vergeven worden met minimale schade. Probeert men het te verstoppen en komt het toch uit, zijn de gevolgen niet te overzien.

Ik ben nog geen geval tegen gekomen van een lekke website, die zegt alle problemen verholpen te hebben en belooft er alles aan te doen om lekken te voorkomen, en enige tijd later weer lek blijkt. Naar verwachting zal dit een grotere negatieve lading krijgen.

Gevalletje van “Stichting open deur”? Misschien wel, maar waarom reageren bedrijven dan vaak anders?

Meer informatie kunt u hier vinden.