Het is natuurlijk oerstom hoe dit zo heeft kunnen gebeuren. Odido heeft abssoluut fouten gemaakt en het is terecht om daar wat van te zeggen, misschien zelfs je contract opzeggen. Laten we echter niet vergeten dat deze hackersgroep uit doorgewinterde professionals bestaat. Het zijn mensen wiens fulltime baan het is om zich voor te doen als een betrouwbaar persoon om jouw sociale verdedigingen te mitigeren en je te overtuigen om een deurtje open te zetten.
Het is een enorm moeilijke taak om je tegen dit soort aanvallen te weren. Het is bijna onvoorkoombaar. Natuurlijk zijn er protocollen en trainingen voor personeel. Daar heeft odido wel steken laten vallen,maar er is maar 1 zwakke schakel nodig in een ketting van duizenden schakels.
Wat odido goed heeft gedaan is niet betalen. Wanneer slachtoffers dit soort criminelen gaan betalen, krijgt het business model van de criminelen legitimiteit. Nu hebben de hackers maandenlang moeite gestopt in Odido en ze hebben er niks voor terug gekregen. Nog een paar keer zo’n tegenvaller en deze hackersgroep kan de koffers pakken.
Wat Odido niet goed heeft gedaan, is data langer bewaren dan nodig. (En ook langer dan ze in de voorwaarden aangeven.)
Tegelijkertijd: je ziet wel dat dit soort gebeurtenissen soms leidt tot een soort institutioneel trauma, waardoor ze in de toekomst misschien juist voorzichtiger met je data omgaan. Zie ook: de medewerker die bang is ontslagen te worden nadat ie net per ongeluk z’n baas €1 miljoen heeft gekost door een foutje te maken. Zijn baas: “Je ontslaan? Nadat ik net €1 miljoen heb geïnvesteerd in je ontwikkeling?”
Ik ben helaas sceptisch dat de concurrenten van Odido het op dit vlak beter doen.
(Of nou ja, freedom.nl, van voormalige XS4All-mensen, vertrouw ik wel.)