NRC heeft met het bericht over de rechtszaak van de AP tegen Northwave om meer te weten te komen over Leaseweb voor vuurwerk gezorgd. Omdat AP de informatie van Leaseweb over een succesvolle cyberaanval onvoldoende vindt sleept men de externe onderzoeker voor de rechter.
Onbegrip juristen AP actie
Security kijkt er anders naar
Er is online het nodige te lezen van personen die te maken hebben met security. Daar lopen de meningen meer uiteen. Een deel vindt de actie van AP onverstandig, maar er zijn ook reacties die volledig staat achter het besluit Northwave aan te pakken. Die reacties zijn interessant want ze vertellen ook iets over de werkwijze van dit soort bedrijven.
Andere aspecten
De andere aspecten van de zaak waar NRC over schrijft krijgen veel minder aandacht en dat is jammer. Dat een brancheorganisatie schriftelijk een standpunt inneemt en daarmee de verdere rechtsgang probeert de beïnvloeden is zo’n punt. Het argument dat securitybedrijven hun werk niet kunnen doen als ze voor de rechter gesleept kunnen worden roept niet alleen vragen op. Elke professional weet dat de toepassing van dat argument de ruimte schept misstanden bewust uit het zicht te houden.
IaaS en keten
Wat ook vreemd aan de zaak is, is de onduidelijkheid over wat er is aangevallen. Leaseweb wordt in de voorlopige voorziening een ‘hostingprovider:” genoemd. Het incident dat de aanleiding vormde voor het conflict betrof een aanval op (een deel van) de cloud infra omgeving. Dat een rechter het verschil tussen hosting en IaaS niet scherp op het netvlies heeft is tot daar aan toe. Dat AP in dit geval de term hanteert is vreemd.
Voor de aanval en schade maakt het echt veel uit of een hostingprovider onder vuur ligt of een IaaS partij. De klanten van IaaS aanbieder zijn nooit de eindgebruikers, terwijl dat bij hosting (de website van de fietsenmaker is hosting) wel het geval kan zijn.
“Klant”
Leaseweb stelt dat naast AP ook de betroffen klanten zijn geïnformeerd. Maar wat is daar de definitie van “klant”. Als de klant waarmee Leaseweb een factuurrelatie heeft zelf ook weer klanten heeft, heeft die klant dan ook een datalek gemeld bij het AP? Heeft die klant zijn eigen klanten gewaarschuwd? Is dat de taak van Leaseweb daar op aan te dringen of dat te communiceren naar het AP? En wat de denken van een hoster met resellers – een bekende/beruchte constructie waar bepaalde eindklanten graag gebruik van maken om onder de radar te blijven.
De keten vanaf het IaaS platform gerekend kan echt lang zijn. Maar hoe zit dat hoger in de keten, is de aanval beperkt tot Leaseweb of waren de datacenters ook in het vizier van de aanvallers?
Imago
Dit zijn maar enkele van de vragen die, met de kennis van nu op basis van openbare bronnen, kunnen worden gesteld. Van een heel andere orde is de volgende vraag. Wat betekent al deze persaandacht voor het imago en de reputatie van Leaseweb? Opeens is immers duidelijk dat de provider een deel van het incident voor de toezichthouder geheim wil houden. Als dat de houding is naar de toezichthouder, hoe compleet en eerlijk is dan de communicatie naar de klanten?
Iedereen met kennis van reputatie ziet met kromme tenen wat hier gebeurt; een poging de schade te beperken door het AP niet te veel informatie te verschaffen werkt averechts, Leaseweb staat vol in de schijnwerpers.