De meldplicht datalekken is inmiddels een aantal maanden oud en veel it-managers verdiepen zich erin. Opvallend is dat nog weinig bestuurders notie hebben van de meldplicht. Zeker met eenzelfde soort wet op Europees niveau op handen, is het belangrijk dat it-managers hun cfo weten te overtuigen dat het securitybudget omhoog moet. ‘Haak daarvoor in op de issues waar de cfo wakker van ligt’, zegt Pieter Lacroix, managing director bij Sophos Nederland.
Het is onvermijdelijk dat een organisatie te maken krijgt met dataverlies of -diefstal. Hacks en datalakken kosten het Nederlandse bedrijfsleven naar schatting jaarlijks zo’n tien miljard euro, aldus cijfers van Deloitte. Waar voorheen de fysieke en digitale beveiliging van een organisatie separate onderdelen waren, is het belangrijk om deze twee zaken steeds meer in elkaar te laten schuiven. Niet alle gestolen data is immers afkomstig uit een hack. Op het moment dat een bedrijf te maken krijgt met een datalek of diefstal van gevoelige data, is er sprake van een kritisch risico.
1. De bedrijfscontinuïteit komt in het gedrang
De continuïteit van een organisatie is een onderwerp dat bij cfo’s hoog op de agenda staat. Bij een beveiligingslek komt die continuïteit met zekerheid in het gedrang. Bij risicomanagement worden kwesties in een matrix gezet waarin de kans en impact worden weergegeven. Iets kan een hoge of lage kans hebben en een hoge of lage impact. ‘De kans dat er op securityvlak iets mis gaat bij een bedrijf is 100 procent’, stelt Lacroix. ‘Als een organisatie duizend laptops heeft en duizend smartphones, dan is het slechts een kwestie van tijd voordat er een apparaat gestolen wordt of kwijt raakt.’
Dat betekent dat de kans op een datalek hoog is. De gevolgen van zo’n lek kunnen fors zijn. De Autoriteit Persoonsgegevens mag bedrijven een boete opleggen van 820.000 euro. Lacroix: ‘Ik moet het eerste bedrijf nog tegenkomen die dat geen hoge impact vindt.’ Dat betekent dat security voor een onderneming per definitie een kritisch risico vormt. En kritische risico’s zijn precies hetgeen waar cfo’s zich dagelijks mee bezig houden.
2. De reputatieschade is fors na een datalek
Geen enkel bedrijf wil met een datalek of hack voorpaginanieuws zijn. Zo was een aantal Nederlandse ziekenhuizen begin dit jaar in het nieuws nadat vertrouwelijke medische data van ongeveer 158.000 patiënten per ongeluk op straat kwamen te liggen. ‘Het is de vraag hoe vergevingsgezind je klanten zijn als dat gebeurt’, zegt Lacroix. ‘Het ligt aan het type gegevens dat gestolen of verloren is, maar ook aan de branche. We merken dat klanten tegenover overheidsinstellingen en banken een stuk minder coulant zijn.’
Het is ook mogelijk dat gedupeerde klanten zich organiseren en gezamenlijk een rechtszaak tegen het bedrijf starten. Het mag duidelijk zijn: een datalek is een pr- en financiële ramp. Vaak komen bedrijven er te laat achter dat ze zijn gehackt en reageren niet adequaat, wat kan resulteren in ongewilde media-aandacht en teruglopende omzetten.
3. De positie van bestuurders staat op de tocht
Bestuurders worden sinds Sarbanes-Oxley geacht zichzelf, van alles dat er in hun onderneming gebeurt, actief op de hoogte te stellen. Het volstaat niet meer om in geval van een incident te zeggen dat een directeur er niets van wist of te weinig verstand heeft van technologie. ‘Het feit dat de directie dus op de hoogte moet zijn, in combinatie met de nieuwe Nederlandse en Europese wetten, zorgt ervoor dat als het mis gaat, er daadwerkelijk koppen gaan rollen’, voorspelt Lacroix. ‘Als het mis gaat in een organisatie, dan is de kans groot dat de naam en toenaam van de bestuurders in de kranten komen te staan omdat er confidentiële informatie is gelekt van klanten. Dit zijn zaken waar mensen publiekelijk voor af moeten treden.’
Bedrijven investeren fors in de bescherming van hun informatie en netwerken: meer firewalls, meer intrusion detection-systemen. Toch zijn de muren vaak al hoog genoeg. De kans is groot dat hackers allang binnen zijn (geweest). Het is daarom raadzaam om de nadruk meer te leggen op de opsporing van inbreuken om zo de waakzaamheid tegen aanvallen te verhogen, beter voorbereid te zijn en sneller te herstellen na een aanval.
Vanaf 2018 wordt de Europese databeschermingswet (General Data Protection Regulation) van kracht. Voor de multinationals die geen slapeloze nachten krijgen van de Nederlandse boete, schrikt de Europese strafmaat wellicht wat meer af: 4 procent van de jaarlijkse wereldwijde omzet of twintig miljoen euro. Op deze manier zorgt Europa ervoor dat ook giganten als Google en Apple zich aan de regels houden. Doen ze dat niet, dan voelen ze dat. Om al deze boetes te vermijden is het raadzaam om de cfo te attenderen op en zich te laten verdiepen in de nieuwe wetten. Is het bewustzijn er op dat niveau, dan is het securitybudget automatisch veilig gesteld.
Dit artikel is ook verschenen in Computable Magazine, jaargang 49, nummer 6, zomer 2016.
Media-aandacht
In januari meldde Omroep Max dat de gegevens van zeker 200.000 patiënten van het Sint Anna Ziekenhuis in Geldrop en het Canisius-Wilhelmina Ziekenhuis in Nijmegen minimaal een maand lang toegankelijk zijn geweest voor onbevoegden als gevolg van een datalek. In mei volgden berichten over de GGD IJsselland die persoonlijke informatie over een familie uit Balkbrug op een onbeveiligde usb-stick per post verstuurde en vervolgens kwijt raakte. En ook Omroep Max zelf meldde in mei dat een computer met inloggegevens en e-mailadressen van websitebezoekers werd gestolen bij hun externe webontwikkelaar.