De startonderbreker van auto's kan eenvoudig gekraakt worden, zo kwam Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen, recentelijk met een bericht. Nadat de startonderbreker gekraakt is kunnen auto's gemakkelijk gestolen worden zonder de aanwezigheid van een sleutel. Gevolg: zeer hoge recall-kosten.


Een dergelijk incident, ingegeven door een goedkope ontwerpkeuze in de embedded softwaresystemen leidt tot een omvangrijke en dure herstelactie. De autofabrikant maakt onverwacht zeer veel recall-kosten die ten laste komen van het resultaat van de onderneming. Hiermee komt het onderwerp onder de verantwoordelijkheid van de CFO.

De CFO is in de meeste gevallen eindverantwoordelijk voor de ICT (-kosten) en wordt geacht te weten welke risico’s zijn onderneming loopt, maar weet dit vaak niet. Het kraken van startonderbrekers en ook recentelijk het uitvallen van internetbankieren zorgen voor maatschappelijk leed en zeer veel (onnodige) kosten. En dat terwijl de oplossing eenvoudig is: Check van tevoren in hoeverre de softwaresystemen die gebruikt worden op drijfzand zijn gebouwd of bestand zijn tegen de toekomst.

In het geval van de startonderbreker, bleek dat de chip dateert uit de jaren negentig. De chipontwikkeling is in de laatste jaren enorm verbeterd. Het is daarom opvallend dat autofabrikanten toch (nog steeds) voor de oude en onveiligere chip gaan die enkele euro’s minder kost. Bovendien heeft de chipproducent, NXP, de autofabrikanten op de hoogte gebracht van de beperkingen van de chip en de mogelijkheid deze te kraken. Men zou zeggen: “Een gewaarschuwd mens telt voor twee”. Helaas is dat niet geval…

Zoals gezegd, moet een CFO van een organisatie zich regelmatig afvragen of de technologie die wordt toegepast nog state of the art is en of er voldoende op verbeteringen wordt ingespeeld waardoor toekomstige kosten voor herstel kunnen worden vermeden. Indien CFO’s van grote organisaties hier in de toekomst niet op gaan sturen, zal het corporate imago een grote deuk oplopen. Daarnaast zijn sommige technologieën van zodanig levensbelang dat lange onderbrekingen niet meer geaccepteerd worden. Men gaat er ten slotte van uit dat er dagelijks gas en elektra beschikbaar is en men te allen tijde kan internetbankieren.

De CFO zal in de nabije toekomst steeds meer verantwoording moeten afleggen aan toezichthouders en maatschappelijke organisaties die zich gaan bezighouden met de risico’s en (on)veiligheid van ICT. Nu wordt al wettelijk verwacht dat hij
jaarlijks aangeeft te weten welke risico’s worden gelopen binnen zijn organisatie en welke maatregelen getroffen moeten worden om de problemen definitief op te lossen. Indien de CFO daar niet in slaagt, loopt hij grote risico’s op het gebied van aansprakelijkheid en zal de houdbaarheid van zijn functioneren in  zijn organisatie snel verkort worden.  

Om deze ellende te voorkomen is het van belang dat de CFO’s samen tot een aanpak komen die leidt tot verbetering van de kennis over de ICT en over de wijze waarop risico’s kunnen worden geminimaliseerd. Ook dient er een open kennisuitwisseling tussen branches plaats te vinden zodat het wiel niet voortdurend opnieuw uitgevonden wordt. Het is tenslotte niet de bedoeling dat er weer een nieuw gremium in het leven wordt geroepen.

Door op intensieve wijze kennis te delen en kennis toegankelijk te maken kan worden gezorgd dat de CFO in control komt met betrekking tot de gang van zaken in zijn eigen bedrijf en kunnen incidenten als de gekraakte startonderbreker -met de vele recall-kosten tot gevolg- voorkomen worden.

Geachte CFO, neem uw verantwoordelijkheid en laat controleren dat uw systemen niet op drijfzand zijn gebouwd!