De hack op Sony is zonder enige twijfel een van de grootste ICT-beveiligingsincidenten ooit. Als we de FBI mogen geloven dan is Noord-Korea hiervoor verantwoordelijk. Toch heeft de Amerikaanse president Barack Obama nu gezegd dat het incident geen oorlogshandeling is. Die vaststelling is heel belangrijk, omdat de Navo eerder heeft besloten dat een digitale aanval ook als oorlogshandeling kan worden gezien. Bij zo’n incident zou dan artikel 5 van het Navo-verdrag in werking treden, waarin staat dat een aanval op een Navo-lid wordt gezien als een aanval op alle Navo-leden.
De taal klinkt heel dreigend en is vooral stoere mannenpraat. In de praktijk is informatiebeveiliging toch wat ingewikkelder. Vorig jaar bleek uit documenten van Edward Snowden van de inbraak op systemen van telefoonbedrijf Belgacom in het kader van ‘Operation Socialist’. De klanten, waaronder de Europese Unie en de Belgische regering, kunnen zo in de gaten worden gehouden.
Na de onthulling startte een onderzoek en bleek de klokkenluider gelijkt te hebben. Er is malware geïnstalleerd en die is niet zomaar te verwijderen. De hoogtechnologische aanval blijkt te zijn uitgevoerd door de Britse inlichtingendienst GCHQ.
Onder de Navo-regels is het dan tijd om de Nederlandse F16 in de richting van het Verenigd Koninkrijk te sturen. Dat gebeurt natuurlijk niet en zo eindigt een statelijke operatie toch anders dan de stoere belofte om een digitale aanval militair te vergelden. Gelukkig maar, want een digitale aanval is toch anders dan een fysieke.
In het geval van Sony was het zien van de hack als een oorlogshandeling ook heel ongelukkig geweest. De reactie zou niet in verhouding staan en zou iedere hacker de mogelijkheid geven om een wereldoorlog te ontketenen. Dat is geen prettige gedachte.
Daarnaast is er nog iets. Een deel van het succes van de aanval heeft ook met Sony zelf te maken. Het bedrijf heeft kennelijk weinig geleerd van de grote hacks die in 2005 en 2011 plaats vonden. Een gebruikersnaam en wachtwoord van de beheerder zouden volgens bronnen rond het onderzoek zijn misbruikt. Als dat klopt dan is inloggen eenvoudig en is daar Sony tekort geschoten. Op afstand inloggen als beheerder met alleen een wachtwoord en gebruikersnaam is niet acceptabel.
Maar het wordt nog erger als vervolgens allerhande gevoelige informatie toegankelijk wordt. Medische gegevens hoor je niet te kunnen ophalen met hetzelfde gemak als filmscripts en wachtwoordlijsten. Dat de aanval met een download van 11Tb niet is ontdekt, maakt het falen van Sony groter.
Met andere woorden. Het bijzondere is niet de hack zelf, maar de ernst van de gevolgen. In een normale omgeving was de situatie niet zo uit de hand gelopen. Wat dat betreft hebben de daders ook wel het geluk aan hun kant gehad. Om dat te bestempelen als oorlogshandeling was heel heftig geweest. Artikel 5 van het Navo-verdrag hoort nu niet in beeld te komen.
Als we toch grijpen naar artikel 5 dan liever van de Federal Trade Act. Met dat wetsartikel kun je in de Verenigde Staten namelijk bedrijven onderzoeken die slecht met de privacy en beveiliging omspringen. De Federal Trade Commission kan vervolgens maatregelen afdwingen om de administratie op orde te krijgen. Die zijn vaak niet mals. Dan wordt er tenminste gepast gereageerd op zowel Noord-Korea als Sony en dat lijkt mij hier wel geboden.