Cyber-criminaliteit is een steeds grotere risicofactor binnen overheden en bedrijven. Zeker als er persoonlijke gegevens op straat komen te liggen, kan de schade hoog oplopen. Met de vernieuwde meldplicht datalekken wordt de wetgeving op dit gebied strenger. Het is daarom belangrijk dat elke organisatie een incident response-procedure heeft klaarliggen als er een incident optreedt.
Over deze blogger
Stefan Sijswerda is binnen Dell adviseur informatiebeveiliging. Hij is verantwoordelijk voor de begeleiding van informatiebeveiligingstrajecten bij relaties van Dell. De specifieke kennisgebieden liggen rondom Identity & Access Management/ Governance en netwerkbeveiliging. Hij studeerde bedrijfskunde en heeft zich verder ontwikkeld op het vlak van bedrijfsprocesautomatisering. Daarnaast doorloopt hij samen met relaties de opbouw van business cases en assisteert bij de transitie van bedrijven om informatiebeveiliging te gebruiken bij verbeteren en vereenvoudigen van bedrijfsprocessen.
Per 1 januari 2016 wordt de meldplicht datalekken en de uitbreiding van het College Bescherming Persoonsgegevens (CBP) van kracht. Dit besluit van de Rijksoverheid houdt in dat zowel overheidsorganisaties als private ondernemingen verplicht zijn te melden als er een inbreuk plaatsvindt op de organisatiebeveiliging die kan leiden tot het verlies of misbruik van persoonsgegevens. Met name de boete die kan worden opgelegd door het CBP wordt fors uitgebreid. Deze kan nu oplopen tot 810.000 euro of tot 10 procent van de jaaromzet. Dat is een aanzienlijke stijging. Ter vergelijking: in 2013 was er slechts een boetebeleid van 23.000 euro. Ik vind het een goede zaak dat de wet is aangepast. Die meldingsplicht is er niet om de bedrijven een hak te zetten, maar om er voor te zorgen dat dit soort incidenten inzichtelijk worden. En dat daar gericht actie op wordt ondernomen.
Gestructureerd
Vandaag de dag zien we dat het aantal datalekken toeneemt als gevolg van een toenemende cyber-criminaliteit en geavanceerdere hackmethoden. Vorig jaar was de Sony-hack nog wereldnieuws, maar inmiddels kijken we al bijna niet meer op van inbraken als de recent gehackte Amerikaanse dating site, waarmee miljoenen persoonsgegevens op straat kwamen te liggen. De risico’s voor bedrijven nemen toe, en daarom zou in mijn optiek elk bedrijf een incident response-procedure moeten hebben. Zeker bij grote bedrijven en multinationals, waar de risico’s en exposure groot zijn, moet dit gestructureerd aangepakt worden. Er moet bijvoorbeeld bepaald worden welke personen in de organisatie verantwoordelijkheid dragen. Ik kan me een team voorstellen waarin naast de security officer of IT-directeur ook het hoofd communicatie plaatsneemt. En zo’n procedure moet daarnaast verankerd zijn in het informatiebeveiligingsbeleid. Ook is het belangrijk dat de procedure, net als een brandweeroefening, regelmatig getest wordt. Bedrijven die kritische infrastructuren beheren, zoals banken, waterleidingbedrijven en nutsbedrijven, zijn nu verplicht om crisisprocedures te hebben. Dit moet ook verplicht worden bij cyber-criminaliteit. Voor kleinere bedrijven is het opschalen van een compleet team natuurlijk niet haalbaar. Voor hen is het daarom van belang om vooraf te bepalen welke externe partijen ingezet kunnen worden om adequaat op de eventuele schade te reageren. Dus als de systemen bijvoorbeeld met malware zijn geïnfecteerd, moet expertise worden ingehuurd om dit te verhelpen.
Responsible disclosure
Naast een incident response-procedure, is het natuurlijk ook belangrijk om vooraf te investeren in het lokaliseren van zwakke plekken in de bedrijfsbeveiliging. Bedrijven als webshops, die dagelijks online duizenden betalingen verwerken, zijn bijvoorbeeld cybercrime-doelwitten die hiermee veel financiële en reputatieschade kunnen voorkomen. Gebruik maken van ethische hackers en de online community is hier van groot belang. Wellicht kan een button op de site van de online store worden geïmplementeerd met ‘meld hier de zwakheden in onze beveiliging.’ Maar dan moet er wel een responsible disclosure aan de meldingspagina worden toegevoegd, zodat de ethische hacker er zeker van is dat melding niet tot juridische vervolging gaat leiden.
Ten slotte geef ik graag nog een paar tips voor bedrijven voor een goede incident response-procedure:
- Weet waar de grootste risico’s in de IT-infrastructuur zich bevinden. Welke gegevens zijn van belang en waar zijn ze opgeslagen?
- Welke personen moeten worden ingeschakeld als er iets met deze gegevens gebeurt?
- Welke stappen moeten vervolgens worden genomen om de crisis onder controle te krijgen?
Ik vind het een uiterst goede zaak dat de overheid een meldplicht heeft ingesteld voor cyber-criminaliteit waarbij persoonsgegevens op straat komen te liggen. Het is nu vervolgens de verantwoordelijkheid van elk bedrijf om te investeren in een goede incident response-procedure. De verhoogde boetes zouden voldoende motivatie moeten zijn. Maar vergeet niet dat deze procedure na de implementatie ook regelmatig getest moet worden. Alleen dan ben je ervan verzekerd dat er bij een incident daadkrachtig en correct gereageerd kan worden.
Vaag en een beetje laat van Dell.’Tips’ ….het gaat om echte procedures. En daar gaat Dell niet voor zorgen. Houd je beter bij je leest.
Beste heer, mevrouw. Dit artikel is ook niet bedoeld om diensten van Dell te promoten. U heeft inderdaad gelijk dat het hier om procedures gaat. Het betreft een toelichting op bewegingen in de markt.
MVG
Redactie IT Security for Business