Datalekken zijn aan de orde van de dag. Hun aantal stijgt met alarmerende snelheid en er heerst in het post-Snowden-tijdperk een voortdurende strijd tussen veiligheid en privacy. Ondanks een recordaantal verloren en/of gestolen bestanden en de angstaanjagende krantenkoppen over datalekken, voelt niemand echt de pijn.
Consumenten weten dat banken hun creditcards vervangen bij verlies of diefstal, en het verloren geld vult de bank in principe weer aan. Bedrijven die het slachtoffer zijn van cybercriminaliteit, weten dat de aandelenkoersen terugveren. En de regelgeving van de overheid in Nederland spreekt voor zich: die is niet bepaald het recept voor een veilig gevoel.
Als het gaat om gegevensbeveiliging, is het verontrustend dat veel organisaties nog steeds op één paard wedden. Perimeter-security-technologieën beschermen slechts de buitenste laag, terwijl die niet meer bestaat. Toch leunen veel bedrijven hierop en beschouwen die als het fundament van hun databeveiligingsstrategie. Het is net als met inbreken in huizen: als de dief echt wil binnenkomen, dan lukt dat altijd.
Wat is dan wel een houdbare strategie? Bedrijven moeten zich concentreren op wat echt belangrijk is: de bescherming van gegevens. Dit kan door het bouwen van een intelligentere beveiligingsstrategie, het inzetten van een diepgravende beveiliging met multifactor-authenticatie en het direct beveiligen van data door middel van dataencryptie.
Zes trends
Tegen deze achtergrond wil ik graag zes trends bespreken, die zich in 2015 zullen voortzetten, waardoor we hopelijk datalekken serieuzer gaan nemen en overheid, bedrijfsleven en burgers dwingen om maatregelen te nemen.
1. Privacy & Databescherming. Vanaf het moment dat de nieuwe EU-richtlijn inzake gegevensbescherming in werking treedt, neemt de bezorgdheid in Europa over privacy/datalekken toe. Het doel van de nieuwe richtlijn is om deze wetgeving in alle 28 lidstaten van de EU te harmoniseren. En om de macht van de nationale autoriteit voor gegevensbescherming te versterken, zodat deze de EU-regelgeving beter kan handhaven. De verwachting is dat de naleving van deze nieuwe richtlijnen nogal kostbaar wordt.
Invoering betekent dat bedrijven binnen de EU – zowel Europese als internationale – geconfronteerd worden met meer kosten en dat ze meer capaciteit moeten toewijzen. De Nederlandse overheid is er voorstander van om privacywaakhond College Bescherming Persoonsgegevens (CBP) meer en hogere boetes te laten opleggen wanneer een database met persoonsgegevens niet is aangemeld bij het CBP. Ook wil het kabinet dat het college boetes oplegt als gegevens worden misbruikt of niet goed beveiligd zijn.
2. Veiligheidsbeleid bij de overheid. Ook de overheid zet het veiligheidsbeleid voort. Zo komt er een verdere samenwerking met private vitale organisaties om de detectiecapaciteit voor digitale dreigingen te verbeteren. Er wordt meer focus gelegd op de uitwisseling van kennis en expertise, en hiermee wordt de ict-weerbaarheid van organisaties vergroot. Dit laatste gebeurt aan de hand van de Nationale Cyber Security Strategie. Ook zullen overheid, bedrijfsleven en wetenschap gezamenlijk een cyber security-platform lanceren. Door dit initiatief zal het debat over cyberveiligheid een prominenter plaats krijgen.
3. Cybersecurity in de bestuurskamers. Cyber security blijft ook een hot topic in de bestuurskamers. Bedrijven zouden hun aandacht voor beveiligingsrisico’s alleen meer van ict-niveau naar strategisch niveau moeten verschuiven. Verder proberen bedrijven grip te krijgen op hun juridische en verzekeringsbehoeften als gevolg van de cybercrime-epidemie. In Nederland zijn veel publiek-private samenwerkingsverbanden op het gebied van cyber security. De vraag is of deze onafhankelijk van elkaar heel effectief zijn. Daarnaast springen verzekeraars in de groeimarkt die cyber security heet. Zo kunnen bedrijven met een omzet tot vijftig miljoen euro zich tegen cybercrime verzekeren bij Aon.
4. Mobile security. Beveiliging voor mobiele devices komt centraal te staan. Die worden een steeds populairder doelwit voor hackers, en gebruikers slaan steeds meer gevoelige en persoonlijke informatie op het apparaat op, bijvoorbeeld creditcard- en bsn-nummers. Volgens een recent onderzoek van British Telecom is de afgelopen twaalf maanden meer dan twee derde (68 procent) van alle bedrijven wereldwijd getroffen door mobiele-beveiligingsproblemen.
5. Internet of Things. IoT blijft ons bezighouden. In tegenstelling tot hypes zijn vrijwel alle consumentenapparaten met een netwerkverbinding – en alle daarmee samenhangende beveiligingsissues – van blijvende aard. Hoewel er veel wordt gesproken over het ‘inbakken’ van beveiliging in consumentenelektronica, zijn al deze apparaten in essentie kwetsbaar. Daarom zal de discussie zich meer richten op het bouwen van authenticatie voorziene, versleutelde connectiviteit op deze apparaten.
6. Bewustere consumenten. Consumenten worden zich eindelijk bewust van de risico’s die ze lopen. Er komt een overnamegolf van cloud-gebaseerde diensten. Hierdoor gaan consumenten meer de pijn van het hyperconnected leven voelen. Het interesseert ze nu nog niet of hun wachtwoorden, rekeningnummers of creditcardnummers worden gestolen, maar misschien piepen ze anders als het om hun medische dossiers, belastingaangifte of reisdocumenten gaat en deze worden gebruikt voor fraude, chantage of inbraak. En waarschijnlijk heeft het ook impact als ze zouden weten dat hun persoonlijke gegevens op dit moment al gelekt zijn – alleen is de diefstal nog niet ontdekt. Want als de allermachtigste financiële instellingen ter wereld er met hun dure beveiligingsinfrastructuren niet in slagen om massale datalekken te voorkomen, hoe denkt het publiek dan dat het zit met het plaatselijke ziekenhuis? Consumentenbelangengroepen en hacktivistengroepen worden opgericht om mensen te dwingen deze problemen onder ogen te zien en meer transparantie te eisen van bedrijven waar ze hun producten of diensten afnemen.
Dirk Geeraerts, regional sales director Benelux SafeNet
Ik denk dat de (gemiddelde) consument zich wel zorgen maakt over zijn persoonlijke gegevens, maar steeds meer gedwongen wordt om zijn gegevens te delen met meer en meer bedrijven. Ik heb daar zelf ook last van. Heb inmiddels al meer dan 100 websites waar ik een wachtwoord voor moet hebben, overal een ander wachtwoord werkt niet, maar overal dezelfde is ook niet goed. Wachtwoorden lijst opslaan is niet slim. Een stuk of 20 webwinkels hebben mijn rekeningnummers, ik heb kopie van mijn id al eens moeten sturen en al vaak mijn adresgegevens moeten invullen. Je komt hier helaas niet meer omheen tegenwoordig.
@Babette
Aangaande constatering over verstrekking van allerlei niet relevante gegevens schreef ik al eens wat naar aanleiding van ALT-S congres:
“HCC-directeur en oud-parlementariër Arda Gerkens wees op de vele webformulieren die vaak onnodig veel persoonlijke informatie vragen. Hoewel deze gegevens onder de wet bescherming persoonsgegevens vallen is beveiliging vaak slecht geregeld. Zo wordt er informatie gevraagd zonder een geldige reden en wordt lang niet altijd gebruik gemaakt van een beveiligde verbinding. Verder maakte ze ook bekend dat HCC hiervoor een meldpunt heeft ingericht.”
Betreffende anonimiteit aangaande e-commerce loopt discussie al 20 jaar, weinig webshops accepteren nog bitcoins of een andere vorm van anonieme betaling wat vreemd is omdat je wel anoniem kunt betalen met muntgeld bij een automaat hoewel dat in Nederland inderdaad steeds moeilijker wordt. Net als dat je dus gewoon redelijk anoniem wat kunt kopen in een gewone winkel omdat ze daar alleen vragen naar het verschuldigde bedrag, in dat geval wel contant geld gebruiken en ‘bonuskaart’ of een ander loyaliteitsprogramma weigeren. Gemiddelde consument geeft namelijk voor een paar centen voordeel zijn privacy op en dus betwijfel ik of deze zich werkelijk zorgen maakt aangaande zijn of haar persoonsgegevens.
Onze regering maakt zich er in elk geval geen zorgen om want deze stimuleert namelijk het gebruik van traceerbare betalingen, belastingdienst weet nog eerder dat mijn vrouw nieuwe schoenen ofzo gekocht heeft dan dat ik het weet. Drang om inzichtelijkheid te verkrijgen in het inkomsten- en uitgavenpatroon van de burger is ronduit ziekelijk als ik overweeg dat dit hele systeem ook nog eens met belastinggeld overeind wordt gehouden. Grootste overtreder van de wet op bescherming persoonsgegevens is dan ook de overheid zelf via het nationale incassobureau belastingdienst. Zelfs heling schuwen ze niet als ik kijk naar de wijze waarop zwartspaarders opgespoord worden, met boeven vang je boeven is dan ook heel toepasselijk voor deze vorm van gelegaliseerde diefstal.
Recent las ik hier dat de ‘opsporingsmethoden’ van V&J Radar systeem als staatsgeheim zijn geclassificeerd, hoorde niemand in de politiek over de onwenselijkheid hiervan in een systeem dat ook nog eens een omgekeerde bewijslast hanteert. Maar ja, Opstelten criminaliseert dan ook liever de brave burger dan dat hij zijn corrupte vriendjes afvalt en een groot deel van Nederland heeft daar ook nog eens op gestemd. Verkiezingsprogramma van de VVD stelt tenslotte duidelijk dat ‘veiligheid’ boven privacy gaat en dus wordt deze nog meer geschonden dan in voormalig Oost-Duitsland dus wederom vraag ik me af of de consument zich werkelijk zorgen maakt om zijn of haar privacy.
Laten we niet vergeten dat identificatieplicht vooral de overheid dient zoals Europese eerder hof al constateerde, bewaarplicht telecomgegevens is nog maar het topje van de ijsberg als we kijken naar gemak waarmee de overheid gegevensverzamelingen kan koppelen. En dit dus volledig buiten het zicht van controlerende instanties want alles wat daglicht niet kan verdragen wordt door de VVD als staatsgeheim geclassificeerd.
In navolging van Edward Snowden zeg ik dan ook dat het niet zo zeer de bedrijven zijn waarover we ons zorgen moeten maken, schenden ze ons vertrouwen dan kunnen we met onze voeten stemmen, het is dus met name onze eigen overheid die ons vertrouwen niet meer verdient.
Ik val hier Ewout graag bij. Maar dan vanuit het private domein. Ik heb het geluk dat mijn digid nog steeds niet functioneerd en na enkele pogingen dit wel aan het werk te krijgen, en een paar zeer onwillige ambtenaren laat ik dit tegenwoordig graag zo. Wanneer men schermt dat er toch echt een digid nodig is voor die of gene actie, dan leg ik het ‘probleem’ graag bij hen neer waarna er plots toch…. Hosanna… een alternatieve route mogelijk blijkt.
De meest onbetrouwbare bron die ik ervaar is de overheid zelf. Hier hebben we het niet meer over een democratie, maar de D van Dictatuur. Immers, wanneer een overheid je geen keuzes meer laat waarbij je als vrij mens kunt profileren maar je dient te onderwerpen aan… is er sprake van dictaat, dus Dictatuur.
Er bestaan gelukkig VN handvesten die mij steunen in mijn perceptie een Dictatuur niet te hoeven steunen als zijnde vrij en soeverein mens.
Netten worden inderdaad door een steeds minder controleerbare overheid aangetrokken waardoor de vrijheden die je als individu hebt, in deze digitale wereld, geen vrijheden meer kunnen worden genoemd.
Deze richting gaat de komende jaren zich verder voort zetten totdat mensen echt beseffen hoe gevangen zijn zijn van deze overheid die alleen nog maar zal kijken daar God uit Brussel.
Dit geld uiteraard ook de bewegingsruimte en vrijheid voor ondernemingen. Ook zij zijn in steeds heviger mate onderworpen aan de enorme regel en controlezucht van de overheid waardoor vrij handelen steeds minder echt vrij handelen zal zijn.