Oh ja, dat is een hele industrie op zich. Het probleem is dat ik er als klant met een IQ > 50 niets van geloof. Het is damage control, een poging tot reputatiebehoud en vertrouwen proberen te herstellen maar feitelijk is het lucht zonder inhoud geschreven door reclamemensen en communicatiebureaus.

Ik zit er verder niet meer mee hoor, mocht die indruk ontstaan . Leuk om erover te blijven schrijven en fascinerend hoe zo’n bedrijf hier mee omgaat en vooral: is gegaan.

de claimers kunnen maar beter rekenen op 20 jaar

Ik heb zojuist even uitgerekend op de achterkant van een sigarendoosje dat ik over 20 jaar hetzij dood hetzij dement ben en in beide gevallen me niet meer kan herinneren wie ook al weer die "meneer Odido" was.

 

... over 20 jaar hetzij dood hetzij dement ben

Als je sigaren blijft roken gaat het hard ja .

...en heeft ShinyHunters vandaag wederom laten zien dat ze zich wél aan de afspraak houdt. Ook in de Canvas hack geen slachtoffers en geen gegevens op straat.

Denk je niet dat ze gewoon het volledige bestand achter de hand hebben gehouden, om dat bv over een jaar of zo alsnog ten gelde te maken?
Robin Hood bestaat niet, en heeft ook nooit bestaan.

Dat denk ik eerlijk gezegd niet. Uiteraard is het koffiedik kijken en kán het zo zijn maar het is niet logisch, niet slim en het einde van hun business model. Want iedereen weet dat het van hun komt. Bovendien: zou het veel opleveren? Een succesvolle onderhandeling met het getroffen bedrijf is lucratiever. ShinyHunters heeft de Odido data toch ook niet verkocht toen er geen deal kwam maar volledig gratis online gezet? De data verkopen is blijkbaar geen verdienmodel.

Ik zie de logica van je betoog, maar ik ben toch voorzichtig met het trekken van conclusies.

Want we weten natuurlijk niet wat er allemaal nog meer gebeurt achter de schermen; nu en in de toekomst. Criminelen zijn criminelen, dat is nou eenmaal de aard van het beestje; afspraken gelden alleen als zij er beter van worden. Het zou dus zomaar kunnen dat ze het 'ransom' model niet meer werkt, ze alsnog data op straat gooien of opnieuw een afpers-poging doen.
Ik heb iig weinig vertrouwen in de 'ridders' van ShinyHunters.

Dan moet die data er tegen die tijd nog wel zijn:

ShinyHunters bevestigt dat: "De data zijn verdwenen, weg". Ook zeggen de hackers dat Canvas en de bedrijven die er gebruik van maken niet meer zullen worden afgeperst.

.. zeiden ze na de Canvas hack een paar dagen geleden. Natuurlijk kunnen ze hierover liegen, en ik wil hier geen criminelen verdedigen of hun praktijken goedpraten. Uit het eerder gelinkte NRC interview kreeg ik alleen de indruk dat ze goed georganiseerd zijn, interne richtlijnen hebben, voorspelbaar werken en zelfs enige moraal hebben ('we vallen geen zorginstellingen aan'). Voor wat het waard is, daar heb je uiteraard gelijk in.

Hoe stop je hackers?

Je kunt je bedrijf/data zeer strak gaan beveiligen. Niet dat je daarmee het hacken stopt. Het blijft een kat-en-muisspel tussen hackers en beveiligers. Een ander nadeel is dat dit ook een negatieve invloed heeft op je bedrijfsvoering; het werken met de data wordt steeds lastiger door extra wachtwoord controles, multifactor logins, beperkingen in de rollen van medewerkers, extra trainingen, meer uitgaven voor expertise van IT beveiligers enz. Hier moet je als organisatie een balans zien te vinden tussen de inspanningen (financieel, acceptatie, kennis) en de veiligheid van de data. Dit is een dynamische keuze welke per organisatie zal kunnen verschillen. Achteraf kan het zijn dat een genomen beslissing minder gunstig blijkt dan gedacht. Waar gehakt wordt vallen spaanders. Dit is de huidige situatie.

Een andere manier is om de hackers het verdienmodel te ontnemen. Dit kan door consequent na een hack geen losgeld te betalen. De criminele hacker die op geld uit is zal daarmee langzaam de motivatie verliezen. Ook dan hou je natuurlijk nog wel de hobby-hackers over zodat de noodzaak voor een goede beveiliging blijft. Deze manier voelt echter rechtvaardiger aan en heeft daarom mijn voorkeur. Diefstal mag nooit lonen.

Goeie tekst sdequack , en dat is de kern van de discussie inderdaad. Ik begrijp dat, het is een mooi principieel standpunt. Is het echter reëel? En vooral: klopt die redenering wel dat als je ze nooit betaalt ze vanzelf stoppen? Ik denk namelijk van niet. Misschien verschuift het verdienmodel. misschien veranderen de tactieken maar criminelen zijn van alle tijden en deze groepen vinden weer andere zwakke plekken. Ook al vinden we met z'n allen dat dit de beste manier is (nooit betalen!) zal ieder bedrijf zich er dan aan houden? Als de ontwrichting zo groot is dat het bedrijf ten onder dreigt te gaan of de maatschappelijke gevolgen enorm: ook niet betalen..?

Odido blijft wel bestaan (dat weten ze) en kon makkelijk deze beslissing nemen want alleen de klant heeft een probleem. Dat is best arrogant als er reële mogelijkheden bestonden om de schade voor die klanten juist te beperken. Ik ben er niet van overtuigd dat Odido die beslissing heeft genomen vanwege hun mooie principes, dat is de tekst achteraf van de afdeling communicatie. Ik zie het vooral als een bedrijfseconomische afweging.

Buiten deze hackers-zaken: er worden regelmatig met volledige steun van overheidsinstanties deals gesloten met criminelen! Om allerlei redenen maar altijd met winst voor de crimineel die mee wil werken. Daar zouden dan dezelfde principes voor moeten gelden. Maar zo werkt het nou eenmaal niet in deze wereld. Odido had geen goed slot op de deur -> vette pech. Dan betaal je maar 'leergeld' zodat je klanten in ieder geval niet de dupe worden van iets waar zij niks aan konden doen. Zolang de sloten nog stukken beter kunnen is dát de manier om het tij te keren. ShinyHunters stopt als het te moeilijk wordt, als het hun teveel werk of geld kost om ergens binnen te komen.

Wat mij vooral stoort aan deze Odido-hack — die naar mijn bescheiden mening voorkomen had kunnen worden — is de arrogantie van het bedrijf. Natuurlijk: 'waar gehakt wordt, vallen spaanders'. Maar in dit geval heeft Odido naar mijn mening te veel naar het bedrijfsbelang (het principe van niet betalen) en te weinig naar het klantbelang gekeken. Bovendien is de communicatie naar de klanten sinds de hack zeer gebrekkig. Ik denk dat dát de meeste mensen nog het meest stoort.

De communicatie naar de klant liet inderdaad veel te wensen over. Dat wordt ook door Odido erkent en is dan ook een leermoment.

Die arrogantie van het bedrijf zie ik niet zo. Zover ik heb begrepen is van verschillende kanten geadviseerd om niet te betalen. Dat advies is gevolgd. Is dat een arrogante houding naar de klanten?

M.b.t. de analogie met het slot op de deur: stel ik heb wél een goed slot op de deur maar ze komen toch binnen door een ruitje in te drukken. Moet ik daar dan leergeld uit betalen en rolluiken rondom nemen?

ShinyHunters stopt als het te moeilijk wordt, als het hun teveel werk of geld kost om ergens binnen te komen.

Dat kan dan wel eens heel lang gaan duren als gevolg van de financiële buffers die ze ondertussen van de losgelden hebben kunnen opbouwen. Het is beter wanneer ze die buffers überhaupt niét hebben.

Ik zie die arrogantie wel, maar goed, dat ben 'ik'. Zoveel hoofden, zoveel zinnen.

Die arrogantie allitereert met het falende ICT beleid om dit soort hacks te voorkomen en niet de juiste maatregelen te hebben getroffen.

En als het dan toch fout gaat, communiceer dan snel en transparant. Wees een vent en geef je fout toe. Søren Abildgaard is dat duidelijk niet.

Zolang je betaalt (en niet klaagt) ben je tegenwoordig nog een klantnummer, zo niet dan ben je een probleem.

En die 'leermomenten' ? meestal verandert er niets...

En ja, waar 'gehackt' wordt vallen spaanders...

Zijn jullie niet bang dat het misnoegen over Odido andere organisaties ertoe kan aanzetten om bij een hack het losgeld dan maar te betalen?

Dat doen ze toch al? In de Chipsoft en Canvas hack is er betaald. Die organisaties hebben dus een andere afweging gemaakt, ondanks de ‘experts’ die bij Odido anders adviseerden (niet alle experts overigens, er waren er ook met tegengestelde adviezen).

We hebben gewoon een andere kijk op deze zaak en dat mag natuurlijk .

(De inkt is nog niet droog of ik zie alweer een nieuwe hack op de voorpagina staan! Ben benieuwd hoe die af gaat lopen…)

Blijkbaar ben je als klant van welk willekeurig bedrijf dan ook vogelvrij wat data van jou betreft. Daar moet echt steviger (Europees) politiek op ingegrepen worden.
Data van oud klanten van Odido die na jaren nog niet verwijderd waren; 'ach ja, jammer. We kunnen het nu niet meer terugdraaien...'

De laksheids ten top.

Data van oud klanten van Odido die na jaren nog niet verwijderd waren; 'ach ja, jammer. We kunnen het nu niet meer terugdraaien...'

Of Odido hierin strafbaar heeft gehandeld wordt nog onderzocht.