De melding van ChipSoft op 28 april klinkt als een afronding.

Maar dat is het niet.

"Alle gestolen data is vernietigd” dat is in elk geval wat het bedrijf naar buiten brengt. Wat ChipSoft er niet bij zegt: hoe ze dat zeker weten, of de hackers geen kopie hebben, en of er losgeld is betaald.

Begrijpelijk misschien, maar voor bestuur en toezicht is dit precies het moment om de juiste vragen te stellen.
Want een verklaring is nog geen bewijs. En het verschil tussen die twee is groter dan het lijkt.

Wat wij in de praktijk zien, en wat dit soort incidenten keer op keer blootlegt, is dat organisaties de afhankelijkheid van hun leveranciers wel ergens kennen, maar nergens echt hebben vastgelegd.
Niet gekoppeld aan processen, niet aan risico's, niet aan wie er verantwoordelijk is als het misgaat.

Als er dan iets gebeurt, weet iedereen intuïtief dát het pijn doet, maar niemand weet precies waar, hoe diep en bij wie het probleem ligt. Dat is een ongemakkelijke positie om in te zitten als bestuurder.
Hetzelfde geldt voor de besluitvorming ná een incident.

Welke afwegingen zijn gemaakt, door wie, op basis van welke informatie?
Als je dat niet kunt reconstrueren, heb je eigenlijk geen herstelproces maar een verhaal.
En toezichthouders willen geen verhaal, ze willen een spoor.

IRM360 richt zich op precies dit vraagstuk: hoe zorg je dat afhankelijkheden, risico's, besluiten en de bijbehorende bewijslast niet versnipperd liggen over losse documenten en e-mailketens, maar samenhangen in één structuur die je ook echt kunt laten zien?
Niet omdat het er netjes uitziet, maar omdat aantoonbare beheersing iets fundamenteel anders is dan communiceerbare rust.
Het risico zit niet alleen in de aanval zelf. Het zit in wat je daarna kunt bewijzen.