Je zou kunnen denken dat beveiligingsteams binnen grote bedrijven het haten als onderzoekers en de pers op kwetsbaarheden wijzen, maar dat is niet altijd het geval.
Beveiligingsteams zijn slechts één van de vele stemmen, en vaak hebben ze moeite om bazen te overtuigen dat beveiliging en privacy een prioriteit moeten zijn. Een beschamend verhaal in de pers kan daar snel verandering in brengen.
Bijvoorbeeld: beveiligingsonderzoeker Troy Hunt belde ooit Betfair Security voor een systeem waarmee iedereen die de verjaardag van een gebruiker kende, zijn wachtwoord kon wijzigen. Een maand later ontmoette Hunt een medewerker van dat bedrijf, dat hij schreef over op zijn persoonlijke blog:
… Een kerel kwam naar me toe en gaf me zijn kaart – “Betfair Security”. Ah shit. Maar de aarzeling ging snel voorbij toen hij me bedankte voor de berichtgeving. Zie je, ze wisten dat dit proces waardeloos was – elk redelijk persoon met een half idee over beveiliging deed het – maar het interne beveiligingsteam alleen dat het management vertelde dat dit niet cool was, was niet genoeg om verandering te stimuleren. Negatieve berichtgeving in de media is echter iets waar het management naar luistert.
We weten allemaal hoe moeilijk het kan zijn voor kleine teams om hun agenda in grote bedrijven te pushen, dus er is hier een zekere logica. Maar ik zou willen dat bedrijven zouden luisteren naar interne beveiligingsteams en externe onderzoekers, voordat problemen worden massaal openbaar. Het is meestal een communicatiestoring binnen bedrijven, maar het verhelpen van deze storing kan veel slechte pers voorkomen – en ons allemaal beter beveiligen.
Afbeelding tegoed: Virgiliu Obada / Shutterstock.com
