Sinds de invoering van de nieuwe Wet Bescherming Persoonsgegevens (Wbp) begin 2016 heeft Fox-IT meerdere incidenten onder de loep genomen. De securityspecialist signaleert hierbij een aantal zaken die vooral voortvloeien uit de invoering van de Meldplicht Datalekken. Zo blijkt er vooral een omkering van de bewijslast plaats te vinden en is vaak niet duidelijk welke data een organisatie zijn kwijtgeraakt.
De nieuwe Wet Bescherming Persoonsgegevens (Wbp) is begin dit jaar ingegaan. Met de nieuwe Wbp kwamen er een hogere boetebevoegdheid voor de Autoriteit Persoonsgegevens (AP) en een meldplicht voor datalekken waarbij persoonsgegevens betrokken zijn. Het afgelopen half jaar heeft Fox-IT ervaring opgedaan met incidenten waarop de meldplicht van toepassing was. Een van de belangrijkste bevindingen is dat de Autoriteit Persoonsgegevens een omgekeerde bewijslast hanteert. Dat betekent dat een organisatie verplicht is te melden als niet redelijkerwijs valt uit te sluiten dat een aanvaller zich toegang heeft verschaft tot persoonsgegevens.
Logging en netwerkmonitoring
Een tweede bevinding van Fox-IT is dat niet altijd duidelijk is welke data er gestolen en/of vernietigd zijn. Met uitgebreide logging en netwerkmonitoring kan echter veel worden onderzocht. Dat maakt het makkelijk om aan te tonen dat toegang tot persoonsgegevens niet heeft plaatsgevonden, zodat melding achterwege kan blijven. Dit kan bijvoorbeeld spelen als een laptop wordt gestolen. Als dan niet met zekerheid valt vast te stellen welke gegevens zich daarop bevinden, is melding onvermijdelijk. Versleutelen van laptops en door werknemers te laten werken vanaf centraal beheerde databronnen (netwerkmappen, documentmanagementsystemen, et cetera) kan dit voorkomen.
Tot slot blijkt volgens Fox-IT in het licht van de meldplicht zeer snelle detectie en respons cruciaal. Dat kan voorkomen dat malware daadwerkelijk actief wordt, en met de juiste loggegevens en gegevens over het netwerkverkeer kan de organisatie dat ook aantonen. Daarmee wordt voldaan aan de strenge eis van de AP: uitsluiten dat persoonsgegevens onrechtmatig zijn verwerkt.
Meldplicht: een half jaar datalekken
Kevin Jonkers, manager forensics en incident response bij Fox-IT, gaat in zijn opiniebijdrage ‘Meldplicht: een half jaar datalekken’ dieper op bovenstaande materie in.
Het is wel lastig om aan te tonen of er wel of niet data is vervreemd. In tegenstelling tot juwelen en geld nemen de boeven immers niet het origineel mee. Eigenlijk maken ze een kopie. In vergelijk met juwelen en geld. Als iemand daar een foto van maakt zie je dat ook niet. Maar met een foto van een juweel kun je minder doen dan een kopie van data.
Zou je er dan wellicht altijd vanuit moeten gaan dat als iemand ‘binnen’ geweest is dat de data vervreemd is? Is het dan ook zo dat per definitie je geld weg is als er is ingebroken? Blijft een lastig punt. Vaak kun je aan de aard van de hack wel zien wat de intenties waren. Maar is dat geen dwaalspoor?
Kortom.. wordt het tijd om all data te encrypten (voorkom het gebruik) en te voorzien van fingerprints (om ze terug te vinden). Maar hoe bewijs je dan dat ze niet de encryptiesleutel hebben gevonden die ergens onder de deurmat lag?
@Luuk
Wat nog vaker voorkomt zijn default (bekende) encryptie keys die nooit zijn gewijzigd na installatie.
Zie bijvoorbeeld ook: http://www.theregister.co.uk/2015/06/19/sap_hana_vulns/
Wat ook veel voorkomt is dat een bedrijf zowel webmail als mailserver gebruikt en vervolgens de mail van alle medewerkers opslaat op een Gmail adres zodat de directie kan controleren wie wat al dan wanneer gedaan heeft, en credit card info door mensen laat invullen op papier en deze vervolgens per emailadres verstuurd zonder encryptie of beveiliging