De afgelopen maand wordt het een na het andere datalek bekend. Ikzelf ben er van minstens één medeslachtoffer: dat van Odido. Klanten ontvingen deze week een uitgebreide mail over de cyberaanval door ShinyHunters. De toon is warm, persoonlijk en ernstig. In de eerste paragraaf wordt gezegd dat ze me graag “persoonlijk willen meenemen in wat er is gebeurd, wat we hebben geleerd en wat we precies gaan doen (en al doen) om verder te gaan”. Maar er wordt uiteindelijk zo goed als niets in de mail en de video gezegd.
Het bericht bestaat grotendeels uit zinnen die tegelijk professioneel klinken en vrijwel niets betekenen. Odido “blijft investeren in beveiliging”. Odido “blijft open over wat we leren”. Odido “blijft extra ondersteuning bieden”. Alles blijft. Alleen wat wordt er geleerd? Hoe helpt die extra ondersteuning ons tegen het al gebeurde datalek? Wat er concreet misging blijft opmerkelijk vaag. Wat er precies gedaan wordt om het in de toekomst te voorkomen ontbreekt grotendeels of is zo vaag dat het alles kan betekenen.
Dat is ergens indrukwekkend. Een telecombedrijf weet een complete mail over een enorm beveiligingsincident te schrijven zonder daadwerkelijk uit te leggen welke beveiliging faalde, welke systemen kwetsbaar waren, welke keuzes verkeerd uitpakten of welke structurele maatregelen nu zijn genomen. Het woord “transparantie” valt meerdere keren, terwijl de tekst zelf vooral uit abstracte mist bestaat.
Zelfs de periode van stilte, die door veel mensen onbegrijpelijk werd gevonden, wordt gladgestreken. De communicatie was volgens Odido namelijk tijdelijk “minder zichtbaar en direct”, omdat eerst het onderzoek moest worden afgerond. Natuurlijk. Alsof die radiostilte een vorm van zorgvuldigheid was.
Ook de hack zelf wordt handig geabstraheerd. Er is sprake van “steeds complexere cyberdreigingen”, alsof het bedrijf werd getroffen door extreem weer, en er allemaal ook niets meer . Een soort digitale natuurramp waar niemand echt iets aan kon doen. Daarmee verdwijnen alle ongemakkelijke vragen uit beeld. Hoeveel gegevens werden te lang bewaard en waarom? Hoeveel werd er mogelijk bespaard op beveiliging? Hoe lang bestonden kwetsbaarheden al? Welke interne afwegingen speelden mee? Welke waarschuwingen zijn eerder genegeerd? Over hoeveel weken wordt Odido weer gehackt?
In plaats daarvan krijgen klanten een CEO-video en gratis toegang tot een beveiligingsdienst. Leuk, maar iets wat totaal los staat van het lek, en niks opgelost zou hebben. Dat voelt ongeveer alsof je een nieuw slot krijgt aangeboden terwijl net je huis is afgebrand.
Het interessante aan dit soort mails is dat ze vooral gaan over het gevoel rond het lek, nauwelijks over het lek zelf. Het draait om vertrouwen, verbinding, betrokkenheid en herstel. Het datalek verandert zo van een technisch en organisatorisch falen in een communicatiemoment. Een reputatievraagstuk, waar je misschien als organisatie nog iets uit kan halen.
Ondertussen weet ik als klant nog steeds helemaal niets.