david vanoppen

David Vanoppen: “Luie gebruikers veroorzaken datalekken, niet hackers”

In de nasleep van het datalek bij de Stad Antwerpen lijken de media onophoudend met scherp te schieten. Terecht? Volgens David Vanoppen, CEO van Privatum in Lummen, niet helemaal. Constructief? Helemaal niet. In een opiniestuk haalt hij hard uit:

David Vanoppen haalt eerst uit naar de media: “De journalistiek flirt in deze zaak met haar deontologische grens”, vindt hij. “Vooraleerst: er lijkt in de media een blindheid te heersen voor het juridische karakter van deze zaak. Waarin niet zomaar alles kan óf mag gezegd worden, in het kader van het onderzoek. Het eindeloos doorvragen om toch maar die sappige – zij het ongelukkige – quote vast te krijgen getuigt van journalistieke hoogdravendheid.”

“Waar is de sereniteit van het onderzoek?,” vraagt hij zich af. “Volledige openbaarheid kan en hoeft nu niet. Respecteer het proces waarbij de wettelijke bepalingen en regels gevolgd moeten worden. Wanneer er een ‘klassieke’ gijzeling aan de gang is, waarbij personen fysiek vastgehouden worden, dan ga je als journalist toch ook niet de onderhandelaars en speciale eenheden moedwillig voor de voeten lopen? Neen, dan zet je geduldig en respectvol een stapje opzij en laat je die mensen hun werk doen. Achteraf, als het stof is gaan liggen, hoop ik dat de Stad Antwerpen de geleerde lessen mag en wil delen zodat anderen hiervan kunnen leren.”

En dan to the point: “Hoe dit kon gebeuren? In een notendop: laksheid”, vindt Vanoppen. “Had Antwerpen miljoenen euro meer geïnvesteerd in cybersecurity, was dit dan niet gebeurd? Daar ben ik niet van overtuigd. Een goede cybersecurity omgeving is een verzameling van maatregelen. Langs de ene kant heb ik via de pers vernomen dat de Stad Antwerpen nog geen MFA (Multi Factor Authentication) had geïmplementeerd. Toch een maatregel die al enige tijd als onmisbaar wordt beschouwd in onze sector. Langs de andere kant weet ik dat je de beste beveiliging kan voorzien maar dat wij als gebruikers altijd de zwakste schakel zijn.”

20% laat zich vangen
En hij gaat voort: “Vingerwijzen is makkelijk. In eigen boezem kijken confronterend. Phishing bijvoorbeeld heeft een gemiddelde hit-rate van 20%. Als je een organisatie met duizend medewerkers runt, dan zijn er dus tweehonderd (200!) mensen die zich wel eens laten vangen door een valse e-mail. Wij kunnen het weten, want bij Privatum organiseren we zelf elk jaar phishing-campagnes bij onze klanten als test. Dan hebben we het nog niet gehad over wachtwoorden. Hoeveel mensen gebruiken voor Facebook, privé e-mail én werklogin hetzelfde wachtwoord? Meestal ook nog een te eenvoudig wachtwoord. Want ja, we zijn nu eenmaal wat lui en zo één paswoord voor alles is toch makkelijk. Onze eigen laksheid is de beste voedingsbodem voor cybercriminaliteit.

“Hoeveel mensen gebruiken voor Facebook, privé e-mail én werklogin hetzelfde wachtwoord? Want ja, we zijn nu eenmaal wat lui en zo één paswoord voor alles is toch makkelijk.”

David Vanoppen, CEO Privatum

“Cybercriminelen zijn geen ‘nerds in de kelder’. Het is georganiseerde misdaad. Burger, overheid en privé zijn niet geholpen met soundbite-journalistiek en profileringsdrang. We zouden beter de ernst van cybercriminaliteit onder ogen zien. De daders zijn al lang niet meer de nerds in een kelder achter een pc. Het gaat hier om georganiseerde misdaad op grote schaal: grote ‘bedrijven’ plegen deze aanvallen, doelend op grote inkomsten en met een grote impact op ons leven. Niemand is 100% veilig. Zoals ik eerder stelde: wij als gebruiker zijn zelf de grootste oorzaak van datalekken. We hebben er pas aandacht voor als iemand geld van onze bankrekening haalt. Of foto’s van onze kinderen gebruikt voor onfrisse praktijken. Dan beklimmen we schuimbekkend de barricaden, klaar om met scherp te schieten op alles en iedereen. Terwijl we net onze eigen laksheid in het vizier moeten nemen.”

De tijd voor ‘data-etiquette’ is nu.
“Ik hoorde men in de media de vraag stellen of er anno 2022 niet bij elke stad een draaiboek zou mogen klaarliggen voor dit soort situaties? Eigenlijk wel. Van aan de zijlijn lijkt het mij dat de Stad Antwerpen op dit moment ad hoc te werk gaat en weinig plan volgt. Qua crisiscommunicatie had het wellicht ook net iets beter gekund. Anderzijds is het niet makkelijk je specifiek voor te bereiden op dit soort situaties.”

“We moeten het op dat vlak breder bekijken,” vindt Vanoppen nog. “Wij als mensen – privé en professioneel – zijn te weinig opgeleid én opgevoed wanneer het op data aankomt. We beseffen de ernst van de zaak niet. Ik vind dat iets als ‘data-etiquette’ aan het algemeen curriculum mag toegevoegd worden. Aan de laagste schoolbank leren we een hand voor onze mond houden wanneer we hoesten, aan de hoogste hoe ons te houden tijdens een sollicitatie. Awel, ergens daartussen mag er gerust een stukje data-etiquette passeren. Dat is waar we bij Privatum alleszins voor pleiten: laat ons leren dat niet alles zomaar op Snapchat, Facebook en Instagram moet staan. En dat WhatsApp niet het meest veilige kanaal is voor regeringsonderhandelingen. Maar dat is een andere discussie.”