Cybersecurity Tech Accord

Cybersecurity Tech Accord: wat is het?

- 19 April 2018

Microsoft, Facebook, HP, Symantec en zo'n dertig andere grote internationale ICT-merken hebben deze week het Cybersecurity Tech Accord ondertekend. Het akkoord is een overeenkomst waarmee de organisaties toezeggen alle klanten wereldwijd beter te beschermen tegen cyberaanvallen door ondernemingen en staten.

AVG: 25 mei 2018

Nationale en internationale ondernemingen en overheden, toch zeker die binnen de EU, werken hard om de laatste voorbereidingen te treffen voor de komst van de AVG. De nieuwe Europese privacywetgeving is immers nog maar een maandje van ons vandaan. In het kielzog van die voorbereidingen zien we behalve de benodigde stappen om privacy en persoonsgegevens op de juiste manier te beschermen ook veel bedrijven schermen met hun bewustzijn met betrekking tot het grote plaatje. Over de rol van de AVG als dé business case van nu schreven we dan ook al eerder: 'Privacy als hulpmiddel voor consumentenvertrouwen'. Het Cybersecurity Tech Accord lijkt in de basis vooral een collectieve stap in diezelfde richting.

Cybersecurity Tech Accord

De overeenkomst, die afgelopen dinsdag op de RSA Conference in San Francisco werd ondertekend, zat er al een tijdje aan te komen. Op de 2017-editie van het jaarlijkse IT-security event wierp Microsoft zich al op als ambassadeur voor een open, vrij en vooral veilig internet, waarvoor nieuwe maatregelen noodzakelijk zijn.

"Vernietigende cyberaanvallen van het laatste jaar alleen laten zien dat cybersecurity niet alleen gaat om wat één individueel bedrijf kan doen, maar wat we gezamenlijk moeten doen", aldus Microsoft-president Brad Smith. "Deze overeenkomst zal ons helpen met een pad voor effectievere stappen om samen te werken en klanten over de hele wereld te verdedigen."

Het resulterende akkoord bestaat in de basis uit vier onderdelen: stronger defense, no offense, capacity building en collective action. Dat vertaalt zich naar wereldwijde bescherming van klanten en gebruikers (zoals bijvoorbeeld ook het eigen personeel), bestrijding van cyberaanvallen op burgers en bedrijven, alle betrokkenen (klanten, developers, toeleveranciers) ondersteunen om ze sterker te maken in de strijd met cybercriminaliteit en tot slot samenwerking op het vlak van cyberveiligheid.

Die onderdelen hebben een sterk defensief karakter, want het enige offensieve element in de overeenkomst is dus een belofte géén offensief beleid te voeren, No offense. Deelnemende bedrijven beloven namelijk dat ze overheden niet bij zullen staan in het lanceren van cyberaanvallen tegen burgers en bedrijven en dat ze hun diensten en producten daarvoor niet ter beschikking zullen stellen. Dat is mogelijk ook meteen een verklaring voor de grote afwezige in het rijtje namen: Google. Van dat bedrijf weten we dat er Artificial Intelligence en andere technologische expertise benut wordt door het Amerikaanse leger. 

Hoewel de diverse bedrijven een of meerdere van deze elementen al eens eerder uitgesproken hebben - het zijn immers geen compleet nieuwe ideeën - vertegenwoordigt het akkoord een publiekelijk gedeelde betrokkenheid om samen te werken aan cyberveiligheids. Het Tech Accord blijft dan ook openstaan voor nieuwe ondertekenaars, groot of klein en ongeacht sector, met hoge cybersecuritynormen en een onvoorwaardelijk intentie om zich te houden aan de principes van de overeenkomst. 

"De gevolgen van cyberbedreigingen voor de echte wereld zijn herhaaldelijk bewezen. Als bedrijfstak moeten we ons verenigen om cybercriminelen te bestrijden en toekomstige aanvallen te stoppen," vult Kevin Simzer, Chief Operating Officer van Trend Micro, aan. 

Samen FERM

Hoewel het uiteraard een goed initiatief is dat er ook vanuit de private sector afspraken over cybersecurity gemaakt worden, is het tegelijkertijd de vraag in hoeverre de goede bedoelingen veel meer dienen dan een marketingdoel alleen. Met grote partijen als Facebook aan boord is het tenslotte nooit duidelijk of het niet slechts een signaal is dat er 'heus aan de bescherming van privacy en persoonsgegevens gewerkt wordt'.

Nota bene op dezelfde dag dat er vanuit de organisatie van het Cybersecurity Tech Accord persberichten verstuurd worden over de plannen brengt Facebook namelijk naar buiten dat het de gegevens van zo'n 1,5 miljard gebruikers zal migreren. De reden? Van iedereen met een account in de VS en Canada zijn de gegevens gekoppeld aan het Amerikaanse hoofdkwartier in het Californische Menlo Park, maar alle gebruikers daarbuiten hebben een contract met Facebooks Ierse dochteronderneming, want het internationale hoofdkantoor staat in Dublin. Al die gegevens vallen onder de Europese wetgeving (en dus straks onder de AVG). De 1,5 miljard gebruikers uit Afrika, Azië, Australië en Latijns-Amerika worden nu doodleuk aan de Amerikaanse regelgeving gekoppeld, want op overtredingen van de Europese richtlijn staan namelijk boetes tot 4 procent van de wereldwijde omzet. Het lijkt erop dat Mark Zuckerberg het interessanter vindt om boetes te vermijden dan er daadwerkelijk voor te zorgen dat de gegevens van alle gebruikers de juiste bescherming krijgen. 

Laten we daarom hopen dat de goede bedoelingen zoals uitgesproken in het akkoord tot wasdom komen. Vanuit de FERM-gedachte zien we veel heil in een collectieve aanpak van gedeelde problematiek!