Het zal weinig security functionarissen zijn ontgaan dat de Wet Meldplicht Datalekken begin dit jaar van kracht is gegaan. Nu we drie maanden verder zijn, kunnen we voorzichtige conclusies gaan trekken of de wet al dan niet een succes is.
Eigenlijk kunnen we stellen dat er weinig veranderd is in de manier waarop we met informatiebeveiliging omgaan in vergelijking tot afgelopen jaar. Wat wel is veranderd, is dat met de meer dan zevenhonderd meldingen die inmiddels hebben plaatsgevonden, inzichtelijk wordt gemaakt dat er daadwerkelijk sprake is van datalekken. Usb-sticks kwijtraken, een laptop op de parkeerplaats laten staan of het ongeoorloofd uitdelen van wachtwoorden, werden afgelopen jaren veelal onder de pet gehouden. Dit nieuwe inzicht zou je een succes kunnen noemen.
Inzicht en voorkomen
Maar is dat een succes? Het liefst wil je elke vorm van melding voorkomen. Dan zou je pas kunnen spreken van een succes. Dat zou betekenen dat de informatiebeveiliging op orde is. En dat laatste is natuurlijk maar de vraag. Veel organisaties werken flink aan de invulling van hun informatie-beveiligingsbeleid. Tegelijkertijd is dat beleid niet van de ene op de andere dag op orde. Dus ook de boetes die de Autoriteit Persoonsgegevens (voormalig CPB) gaat uitdelen, gaan er zeker komen.
Op zichzelf natuurlijk niet zo vreemd. Ga maar na; het gaat immers om persoonsgegevens. Vrijwel elke organisatie, groot of klein, overheid of bedrijf, slaat wel een of meerdere vormen van gegevens op. Sterker nog, de gegevens waar het om gaat, zijn de meest voorkomende vastgelegde gegevens. Denk daarbij aan persoonlijke informatie over gezondheid, levensovertuiging, salaris, schulden, wachtwoorden, school- of werkprestaties en het bekende burgerservicenummer. De kans dat deze gecompromitteerd worden, is daarom vrij groot.
Anonimisering van persoonsgegevens
Voorkoming is nog altijd beter dan genezen. Dus ik pleit voor meer anonimisering van persoonsgegevens dan dat we tot dus ver doen. Meer technische en organisatorische maatregelen zijn nodig om daadwerkelijke ongewenste identificatie van individuele natuurlijke personen uit te sluiten. Dat helpt bij het voorkomen van misbruik van gelekte gegevens. Elke organisatie zal zich moeten afvragen of het mogelijk is data zodanig op te slaan dat een lek geen directe gevolgen heeft voor op persoonsniveau te herleiden gegevens.
Pseudonimisering is van andere orde. Cryptografische bewerkingen zoals encryptie of hashing op identificerende gegevens leiden tot het vervangen van zo’n gegeven door een ander identificerend gegeven. Ook dat verlaagt de kans op misbruik. De verantwoordelijke partij is zelf nog steeds in staat gegevens tot een individu te herleiden, maar voor een derde wordt het wel erg moeilijk.
Risico’s in kaart brengen
Maar voordat je een van deze maatregelen neemt, is het vooral zaak dat eerst de risico’s in kaart worden gebracht. Op basis daarvan kunnen adequate maatregelen worden getroffen. Onnodig, veelal dure veiligheidsmaatregelen zijn uiteraard overbodig als risico’s zeer beperkt zijn. Het is relevant te weten of incidenten zich hebben voorgedaan zonder dat dit geleid heeft tot datalekken. Zo kan een werknemer toegangsgegevens (bijvoorbeeld wachtwoorden die bijvoorbeeld toegang geven tot klantinformatie van het bedrijf) hebben verstrekt aan een persoon buiten de organisatie. Zodra dat ontdekt wordt, kan de organisatie de wachtwoorden aanpassen zodat de buitenstaander geen toegang meer heeft. Vervolgens onderzoekt de organisatie of de derde daadwerkelijk toegang heeft gezocht en gekregen. Bij dit onderzoek wordt gebruik gemaakt van logbestanden, waarin per gebruikersnaam is vastgelegd welke acties er op welk tijdstip hebben plaatsgevonden. Als op basis daarvan ongewenste toegang tot klantgegevens wordt uitgesloten, is er sprake van een beveiligingslek, maar geen sprake van een datalek.
Datalekken wet succes
Dus ja: meer anonimisering is doeltreffend, maar kijk vooral goed waar dat wel of niet nodig is. Veel gebruikelijke veiligheidsmaatregelen als logging, monitoring, toegangsrechten en het bewustzijn vergroten onder medewerkers zijn nog altijd van het grootste belang. De Wet Meldplicht Datalekken heeft er in ieder geval voor gezorgd dat bestuurders inzien dat er geen ontkomen aan is aan de schade die wordt geleden als gevolg van onverantwoorde veiligheidsrisico’s. Ook dat is een succes voor alle security functionarissen, die zich al veel langer bewust waren van de risico’s.
Henk Meeuwisse, senior management consultant security bij Sogeti
Zomaar een vraag, maar valt het afvoeren van oude pc’s en harde schijven ook onder een datalek wanneer dit op een onjuiste manier gebeurt?
Er is toch tegenwoordig die Weeelabex certificering waaraan voldaan moet worden?Maar weinigen weten daarvan of letten daarop. Is er in het geval er gebruik gemaakt wordt van een niet gecertificeerde afvoerder ook sprake van een datalek?
Iets ‘afdwingen’ is natuurlijk nog steeds heel iets anders dan je ergens bewust van worden, toch ben ik professioneel wel voor die stap. Wat ik bijvoorbeeld nu nog steeds niet begrijp, met alle zelfs gratis mogelijkheden van dien, dat data nog steeds niet word versleuteld voor het op een mobiele gegevensdrager word gezet of dit vandaag de dag, het gebruik van dan, nog een noodzaak zou zijn.
Flash data
Ik zie nog steeds geen ‘flashdata’ verschijnen. Data die alleen maar kan worden opgehaald als je die wil zien/bewerken. Een pracht gedachte ergens uit 1996 herinner ik me.
Wat mijn voorganger hier stelt, een basale taak bij afscheid nemen van IT apparatuur, wat eveneens nog steeds niet word opgevolgd met hierbij inderdaad de stelling/vraag, of dat inderdaad geen datalek zou betreffen.
Meldplicht vs daadwerkelijk melden
Persoonlijk zou het mij om het even zijn wanneer iemand bedrijfsdata laat rondslingeren op laptop die word gestolen of die usbstick die die of gene zou laten slingeren ergens.
Ik maak mij veel meer zorgen om kruisbestuivingen publiek/privaat koppelingen, lees private ondernemingen die toegang hebben en gebruik mogen maken van publieke overheidsdata en de gevaren die dit met zich mee brengt of die ambtenaar die door impotentie en incompetentie zaken doen die de belastingbetaler miljarden kost.
Datzelfde behelst private data zoals persoonsgegevens. Als een bedrijf daar niet goed mee om weet te gaan kun je afscheid nemen van dat betreffende bedrijf. Dit is een ander verhaal dan jouw persoonlijke gegevens bij de overheid
Is het geen dataverlies als een private zorgverzekeraar in overheidsdata mag kijken naar ue persoonlijke gegevens, overigens, zonder dat u daar ooit ordentelijk van in kennis bent gesteld? Dus dataverlies gelegaliseerd?
Het toegang verlenen aan iemand tot bepaalde data neemt per definitie met zich mee dat er een kans zal zijn op datalekken. En ik geloof echt niet dat op individueel persoonlijk niveau mensen zullen staan te trappelen te melden dat zij een usb stickje zouden zijn verloren als ze er mee weg kunnen komen.
Of het een succes is? Ik ben er allesbehalve zeker van.
René Civile
Je hebt een punt, de kruisbestuivingen tussen overheid en quartaire sector zijn ondertussen inderdaad nogal zorgelijk: http://www.wiekrijgtmijngegevens.nl/
Een boete – als die opgelegd wordt – in de quartaire sector is rondpompen van belastinggeld en zal dus averechts werken, ICT moet dan nog goedkoper (gratis?) waardoor het hele spel zich herhaald. De les met DigiNotar aangaande cryptografie ging vooral om ‘penny wise and pound foolish’ en je moet even zoeken op Google naar kortgeding waarmee notarissen het intrekken van de certificaten probeerden tegen te houden, je moet nogal wat poetsen als je hele archief opeens ongeldig wordt verklaard omdat de Chain of Custody verbroken is. Voordat ik het vergeet, de ‘zoekgeraakte’ bonnetjes zijn dus ook een datalek als we kijken naar de integriteit van het proces.
Digitale transformatie gaat niet om een verfrissing van de technologie, die steeds minder mag kosten met het idee van Consumerization of IT, maar de aanpassing van organisatorische processen want het beheermodel van Looijen (in combinaties met het corporatisme van polderen) blijkt failliet. Probleem van het ‘Too many chiefs and not enough Indians’ met alle innovatie gaat om het data management en weinig TCO modellen nemen data portabiliteit mee in berekeningen. Heilige graal van Vendor-Neutral Archiving (VNA) gaat om de vendor-lock van legacy van de technische protocollen in de back-end want deze drukken elk jaar steeds zwaarder op de IT budgetten door een technologische singulariteit. Door de wet van Moore kost het opslaan van een DNA-profiel meer dan de sequencing.
Je bent abuis aangaande het toegang verlenen, zolang je de data in de kluis houdt en de gebruiker er naar toe brengt dan hou je er meer grip op dan andersom. Principe van de cloud gaat om centralisatie en niet om (EPD?) de uitbesteding. Hele verhaal van SIEM is leuk als je een horizontaal toezicht hebt over de organisatorisch verticale silo’s aangaande de metadata. En daarmee bedoel ik dat je een etiket over de voedingswaarde en de houdbaarheid op het blik moet plakken voordat je het in het rek van het datacentrum plaatst. Want je kunt aan de bovenkant kijken hoe het gras groeit maar de lijken liggen er onder:-)
Als we ervan uitgaan dat dagelijks minimaal 1000 keer een datalek voorkomt (en dat lijkt me een voorzichtige schatting) dan betekent dit, dat minder dan 0,1% gemeld wordt.
Veel van die datalekken zijn bovendien geen incident maar bestaan structureel (bijv onze data op websites, bij de overheid en bij datahandelaren).
Deze wet draagt dus slechts bij aan de administratieve belasting van bedrijven in geval van buitenissige incidenten en is dus een totale mislukking.
Je zou hem moeten omdraaien. Iedereen, die een datalek meldt, krijgt een beloning. Die dreiging op reputatieschade is veel groter en zo’n wet heeft waarschijnlijk meer een gedragsverandering tot gevolg.
Ik zou graag een tip willen meegeven, dat antwoord geeft op bovengestelde vragen en onduidelijkheden in het artikel. Kijk gewoon eens op de site van Autoriteit Persoonsgegevens en lees bijvoorbeeld:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf
Wellicht ten overvloede:
Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking.
Het helpt als je weet wat er onder persoonsgegevens en (onrechtmatige) verwerking wordt verstaan. Daar geeft de Wbp een goed antwoord op.
Tja dat krijg je ervan als je gebruikersgemak prevaleert boven beveiliging van gegevens. De eindgebruiker wil gemak en geen NEE horen. Ga er maar aan staan als de directeur het zo handig vindt om alle gegevens overal beschikbaar te hebben.
Het is inderdaad een spanningsveld tussen beveiliging en gebruikersgemak. Het is echter ook aan de ontwikkelaars etc om inventief om te gaan met de wensen. Zo kun je elk beeldscherm, dat in een publieke omgeving staat of waar ‘vreemden’ (deels) zicht hebben op het beeldscherm, uitrusten met privacy folie (3M heeft dit á € 35 gemiddeld). Elke laptop zou daarmee moeten worden uitgerust als deze privacygevoelige informatie kan weergeven.
Zo zijn er meer truucjes om beveiliging zo goed mogelijk te implementeren. Een Fort Knox zal het nooit worden. Maar daar gaat de wetgever ook niet van uit.
Goed dat pseudonimiseren apart als maatregel wordt genoemd. Zie voor een leuk filmpje: pseudonimiseer op youtube
Beste Wieroeptmij,
Ik blijf stellen dat beveiliging en veiligheid, in en met IT ICT een samenspel is tussen de IT ICT professional en de klant/gebruiker. Let wel wat ik hier schrijf, ‘IT ICT professional’, niet dus al die andere professionals werkend in de IT ICT. Dit betekend dat de IT ICT professional oog dient te hebben voor het veiligheids aspect van zijn werk, maar ook voor het aspect veiligheid naar de klant/eindgebruiker. Het is wat mij betreft gewoon een gedeelde verantwoordelijkheid.
Gebruikersgemak
Doordat, klaarblijkelijk, de wereld van IT ICT nog steeds niet in staat is gebleken de brug te slaan naar de Non IT ICT wereld, waar het betreft het uitleggen hoe IT ICT werkt en waarom je er op een bepaalde manier mee om gaat, krijg je telkenmale weer dit soort stelling/standpunt/discussie. Het mag gezegd worden dat het al voor minstens de helft scheelt wanneer je een klant/eindgebruiker uit legt dat er grenzen zijn aan het stellen van wensen/eisen, waar het IT ICT betreft, je ook steeds minder discussies hebt.
Business vs privé
Er moet wat mij betreft gewoon een zeer strikte scheidslijn blijven bestaan tussen een situatie zakelijk en een situatie privé. Immers, zakelijk IT ICT dient als vehikel besparingen te bewerkstelligen en door besparen winst te maximaliseren. Privé moet een ieder vooral zelf weten wat die wil met haar/zijn IT ICT.
Het melden van datalekken mag dan natuurlijk wel aardig zijn opgezet en geïmplementeerd maar gaat u individueel melden dat u een document niet meer weet te vinden of dat u een document per ongeluk naar de verkeerde heeft gemaild? Ik waag dit gerust hardop te betwijfelen.
als laatste….
IT ICT als vehikel is bedoeld juist GEEN geld uit te geven. Dus waarom zou ik dan zakelijk toe moeten staan dat er een risico aanzienlijk word vergroot door ‘vreemde’ IT ICT apparatuur op mijn netwerkt toe te staan? (Nadenkertje) Immers, het eerste beste incident en de schade die dat met zich mee gaat brengen weegt niet op tegen de toename van de uitgaven die ik zakelijk alleen al voor iets als, bijvoorbeeld, byod zou moeten maken.