Op 1 januari 2016 treedt de wet ‘Meldplicht datalekken en uitbreiding boetebevoegdheid’ in werking. Een belangrijk punt is dat de meldplicht uitsluitend van toepassing is op situaties waar de beveiligingsmaatregelen van persoonsgegevens worden doorbroken. De beveiligingsverplichtingen staan beschreven in artikel 13 van de Wet Bescherming Persoonsgegevens (WBP), maar een definitie van een ‘passende beveiligingsmaatregel’ is er niet. De invulling hiervan overlaten aan de markt lijkt me een gevaarlijke situatie.
Over deze blogger
Mark-Peter Mansveld is sinds april 2012 country manager Benelux van Dell Software Group. In deze rol is hij verantwoordelijk voor de Dell Software Group in Nederland, België en Luxemburg. Hij richt zich vooral op Identity & Access Management, Performance Monitoring en Cloud Information & Integration Management. Voor de overstap naar Dell was Mark-Peter country manager voor Quest Software dat in 2012 werd overgenomen door Dell. Daarvoor bekleedde hij diverse commerciële functies bij Novell, Hewlett-Packard en Compaq.
Mark-Peter studeerde technische bedrijfskunde aan de Haagse Hogeschool/TH Rijswijk en deed een sales leadership masterclass aan de Universiteit Nyenrode.
In de Wet Bescherming Persoonsgegevens worden geen algemene uitspraken gedaan over wat een ‘passende beveiligingsmaatregel’ is. Dit zorgt ervoor dat ondernemingen de vrije hand hebben om de beveiliging naar eigen inzicht te implementeren. Is alleen een virusscanner bijvoorbeeld al voldoende? Volgens de documentatie van gerenomeerde leveranciers van virusscanners beveiligt hun software een computersysteem tegen alle inbraken. Sommige leveranciers vergoeden zelfs de geleden schade als gevolg van een inbraak. Voldoet dit type beveiliging dus aan de genoemde ‘passende beveiligingsmaatregel’ of moet er een uitgebreid security-systeem worden opgetuigd met tweede generatie routers, DMZ’s en firewalls? Deze wet verschaft daarover geen duidelijkheid, en dat lijkt me niet verstandig.
Is regelgeving voldoende?
De meldplicht datalekken is niet meer dan een maatregel die de inbreuk op persoonsgegevens of andere gevoelige informatie bestraft. Maar gaat dit het probleem oplossen door de beveiliging naar een hoger niveau te tillen? Waarschijnlijk niet. Het is een goed bedoelde maar veel te vrijblijvende regelgeving, die betrekking heeft op een kwaad dat al is geschied. Het lijkt mij veel effectiever om regelgeving te ontwikkelen die gericht is op het voorkomen van inbraak. Denk bijvoorbeeld aan een door de EU uitgevaardigd certificaat dat voorschrijft welke beveiligingsmaatregelen ondernemingen moeten nemen. Vergelijk het met een milieucertificaat dat de normen voor schadelijke uitstoot van auto’s voorschrijft. Maar misschien is dit niet zo’n goed voorbeeld, omdat in de praktijk is gebleken dat er nauwelijks adequate controle op de naleving van dit soort verouderde voorschriften wordt uitgevoerd. Als gevolg hadden autoleveranciers vele jaren de vrije hand om met de meetwaarden te sjoemelen. Een algemeen probleem hierbij is dat regelgeving en de controle op de naleving lastig zijn. Dit heeft alles te maken met de snelle veranderingen in de techniek, wat natuurlijk in hoge mate geldt voor informatietechnologie. Dit probleem is duidelijk met regelgeving alleen niet op te lossen.
Beveiliging begint bij de basis
Volgens mij is de oplossing voor het vastleggen van duidelijke en controleerbare security-standaarden in eerste instantie het realiseren van een verandering in de mentaliteit en bewustwording bij de gebruikers. Dat begint al bij de basis. Nog steeds hebben gebruikers meerdere wachtwoorden nodig om hun werk te doen. Dit security-probleem is op te lossen met Single sign-on (SSO) technologie, maar nog steeds worden wachtwoorden vaak op briefjes bij de desktop bewaard. Bovendien zijn het veelal ‘zwakke’ wachtwoorden met een oneindige levensduur. En hoe vaak komt het niet voor dat wachtwoorden voor het gemak via e-mail worden verstuurd of tijdelijk door systembeheerders worden ‘uitgeleend’? Ook als een systeembeheerder zijn werkplek verlaat, wordt zeker niet altijd uitgelogd, met alle risico van dien.
Role-based access-control
Een ander probleem dat ik veel in de praktijk zie is dat IT-beheer vaak geen actueel overzicht heeft van alle gebruikers en hun bevoegdheden. Gebruikersaccounts blijven soms maanden actief nadat de (tijdelijke) werknemer de onderneming al lang heeft verlaten. Ook worden accounts regelmatig op verschillende niveaus of afdelingen gecreëerd, waardoor geen algemeen overzicht bestaat van alle actieve en inactieve gebruikers en hun bevoegdheden. Dit brengt allerlei ongewenste beveiligingsproblemen met zich mee. Role-Based Access Control (RBAC) of Attribute-Based Access Control (ABAC) kunnen daarvoor een oplossing bieden en zijn een goede methode voor authorisatiebeheer. Nog een stapje verder is aanbrengen van een One Identity-policy binnen de organisatie. Dit houdt in dat elke medewerker die op de loonlijst staat centraal wordt geadministreerd, met daaraan gekoppeld de juiste rechten, autorisaties en workflow.
Dit zijn volgens mij de ‘passende beveiligingsmaatregelen’ die eigenlijk in de Wet Bescherming Persoonsgegevens zouden moeten staan. Maar daarnaast zou het ook goed zijn om verder gaande regelgeving uit te vaardigen die voorschrijft welke maatregelen op andere lagen van een beveiligings-stack nodig zijn (netwerk, applicaties, cloud, endpoints, cyber). Een optimale informatiebeveiliging begint bij de gebruikers en het inrichten van één identiteit per gebruiker. Daarnaast is een effectieve koppeling naar de overige security-domeinen cruciaal om uiteindelijk een solide Connected Security beleid te realiseren.