De Utrechtse netwerkdienstverlener Qfast en het digitale forensisch onderzoeksbureau Digital Investigation (DI) hebben een datalek-dienst ontwikkeld voor het midden- en kleinbedrijf. Voor een vast bedrag per maand regelen zij de monitoring van de digitale data met persoonsgegevens conform de richtlijnen van het College Bescherming Persoonsgegevens (CBP). Bedrijven die deze dienst afnemen zijn 'meldplicht-bestendig', met het oog op de meldplicht datalekken die op 1 januari 2016 van kracht gaat.
In eerste instantie richten Qfast en Digital Investigation zich op kleinere zorgaanbieders, zoals huisartsen fysiotherapeuten en tandartsen. Maar ook voor andere kleinere mkb-partijen is de datalek-dienst interessant, zoals sportverenigingen. Grote bedrijven en instellingen, zoals ziekenhuizen, zijn in de gelegenheid zelf maatregelen te nemen en hun systemen te beveiligen tegen cybercriminaliteit.
Vanaf 1 januari 2016 geldt voor bedrijven en instellingen een meldplicht datalekken wanneer digitale informatie met persoonsgegevens ongewenst buiten de organisatie terechtkomt. Het CBP moet daarvan onmiddellijk op de hoogte worden gesteld. Blijft de melding achterwege, dan kan het CBP de betreffende organisatie een hoge boete opleggen.
Boete
John van der Zwaan, manager business development bij Qfast, vertelt dat de nieuwe datalekdienst is ontwikkeld op basis van gesprekken met een zestigtal zorgverleners op het gebied van fysiotherapie, manuele therapie, medici en paramedici, alsmede tandartsen. ‘Die waren zich allen niet bewust van het feit dat zij hun digitale patiëntendossiers afdoende moeten beveiligen’, aldus Van der Zwaan.
Hij vervolgt: ‘Op die datalekken zitten ze niet te wachten gelet op de vertrouwelijke relatie met hun patiënten en ook een boete van het CBP willen ze vermijden. Met onze vriendelijk geprijsde dienst analyseren we op afstand hun it-infrastructuur en rapporteren wij over mogelijke risico’s van datalekken en de aanwezigheid van malware in hun systemen. Met de bevindingen in het rapport kan in het geval van een datalek tijdig melding worden gedaan bij CBP’.
Bewustzijn
Op dit moment voert Qfast een aantal proefprojecten uit. Vanaf 1 januari 2016 is de dienst operationeel. Het bedrijf werkt nauw samen met Digital Investigation, een digitaal forensisch onderzoeksbureau uit Hilversum. Dat heeft een zogeheten SOC (Security Operations Center) in huis dat met behulp van ‘intrusion/detection’-software en patroonherkenningen, op basis van een rule-based platform het netwerk continu in de gaten kan houden. ‘Daarmee krijgen wij grip op het netwerk en zien wij welke data het netwerk verlaten’, zegt commercieel directeur Arwi van der Sluijs van Digital Investigation.
Van der Sluijs benadrukt dat het invoeren van een technologische oplossing niet alles is, maar dat een bedrijf, hoe klein ook, tevens bewust moet zijn van de risico’s rond ict-beveiliging. ‘De meeste mkb-ondernemers denken dat de instelling van een firewall afdoende is; ze hebben niet door dat malware zich pas later manifesteert. Wij zien via ons SOC wat de gevolgen zijn van het bijvoorbeeld klikken op een verdachte link in een e-mail en kunnen de malware afvangen voordat die naar buiten spuit.’
Schade
Volgens de commercieel directeur wordt in Nederland de schade als gevolg van inbraak in de ict-systemen en het verlies van waardevolle informatie vijf keer hoger ingeschat dan de totale jaarlijkse brandschade. Van der Sluijs: ‘De kleine ondernemer maakt zich terecht zorgen om de hoogte van de CBP-boete, maar misschien is er met een mogelijke diefstal van data of het in ongerede raken van de it-voorzieningen nog wel een veel groter bedrag gemoeid. In hoeverre de verzekeraars die schade willen dekken, via bijvoorbeeld een inboedelverzekering of een speciale ict-verzekering, hangt natuurlijk nauw samen met de mate waarin beveiligingsmaatregelen zijn doorgevoerd. Al geruime tijd hebben wij ervaring met het verrichten van ‘Cyber Due Diligence’-onderzoeken, waarmee we de pijnpunten in kaart brengen’.