- Door
- Rashid Niamat
- geplaatst op
- 23 april 2013 08:01 uur
Vorig jaar besteedde ISPam.nl aandacht aan het Databreach Investigation Report 2011 van Verizon. Het rapport, dat trends rond hacks en datalekken in kaart brengt op basis van de input van politiediensten en CERTS, bevatte toen al informatie waarmee ook datacenters en hosters aan de slag konden.
Vorige week hadden we als eerste Nederlandse partij de mogelijkheid de eindverantwoordelijke voor deze rapportage, Wade Baker, te interviewen over de 2013 editie. Deze editie is nog uitgebreider dan die van vorig jaar, wat vooral komt omdat inmiddels 18 partijen geheel vrijwillig input leveren. Een team van experts is daarmee aan de slag gegaan om in iets meer dan twee maanden een rapport te schrijven dat sinds vanmorgen is online staat.
Wie denkt dat het rapport is geschreven met focus op de diensten van een telco, wat Verizon is, komt bedrogen uit. Natuurlijk is er aandacht voor de datalekken en veiligheidsrisico’s die ontstaan bij het gebruik van mobiele telefoons, maar dat is een gering deel van de bevindingen. De meeste aandacht gaat uit naar voorvallen waar juist ook datacenters en hostingbedrijven van kunnen leren. Het rapport geeft geen tips hoe voorvallen te voorkomen maar alleen al de opsomming en beschrijving van ontwikkelingen leerzaam. Dat het rapport woordgrappen en knipogen voor insiders bevat, maakt het lezen van de 65 pagina’s trouwens naast een nuttige ook een aangename tijdsbesteding.
Met Baker hebben we onder andere gesproken over de constatering dat externe businesspartners steeds vaker een risico vormen voor databreaches in de brede zin van het woord. De online sector zit daar namelijk in een bijzonder positie omdat er zelf vaak met externe partijen wordt gewerkt en het door de aard van de dienstverlening per definitie een externe partner is.
Waarom is dit nuttige informatie? Omdat op basis van rapportages als DBIR2012 te verwachten valt dat vaker navraag zal worden gedaan naar de maatregelen die externe partners getroffen hebben om databreaches voortijdig signaleren en te rapporteren. Iedereen die bekend is met de begrippen waardeketens en aansprakelijkheid zal de impact van dergelijke vragen maar al te goed begrijpen evenzo dat certificering naar ISO27001 en ISO9001 hier niet direct het gewenste antwoord is.
Een ander punt waarbij we stil stonden, was de impact van Responsible Disclosures (RD) op de kwaliteit van de datasets (dus data van politie, CERTS en dergelijke) waarmee het team van Baker jaarlijks aan de slag gaat. In Californië is het melden van datalekken al sinds 2005 wettelijk geregeld en inmiddels hebben 40 andere staten vergelijkbare wetten. Deze wettelijke plicht in combinatie met RD’s heeft geleid tot een indrukwekkende kwaliteitsverbetering van de datasets. Mede daardoor kunnen risico’s beter en sneller in kaart worden gebracht, waarmee bedrijven zich dan weer kunnen wapenen tegen aanvallen. Baker heeft wel een aantal praktische vragen bij de omgang met RD’s en meldplicht datalekken. Het zou ertoe kunnen leiden dat de snelheid van rapporteren belangrijker wordt dan de inhoud van de boodschap. Maar los van die kanttekening zijn het ontwikkelingen waar wij volgens hem van kunnen profiteren.
Gevraagd naar de bevindingen rond HNW was Baker een stuk korter van stof. Ook dit jaar was er geen aanleiding te stellen dat dit verschijnsel een groter risico vormt voor het verloren gaan, gekopieerd of misbruikt worden van data. Daarmee is dit vooroordeel wederom ontkracht. Dat geldt ook voor andere negatieve verwachtingen. Zo is er tot op heden geen nieuw type bedreiging waarneembaar rond tablets, smartphones of BYOD, het zijn hoogstens variaties op bestaande risico’s.
Baker is minder positief naar aanleiding van het groeiend aantal meldingen van breaches en de manier waarop ze worden vastgesteld. Ondanks de enorme investeringen die worden gedaan, de gestage verandering van de mindset dat we ons als industrie niet langer blindstaren op preventie maar het belang van detectie (‘forward defense’) steeds beter inzien, blijft het een moeizame strijd. In het beste geval, aldus Baker, zijn we in staat de status quo tussen aanvallers en verdedigers te handhaven.
Baker denkt dat een verklaring hiervoor kan zijn dat we te veel vertrouwen hebben in techniek. Hij wijst op de structurele understaffing die hij soms tegenkomt. Wat heb je aan state of the art detectiesystemen en terrabytes aan info als er te weinig handen beschikbaar zijn om de data te analyseren en op basis daarvan een effectieve preventie strategie te hanteren.
Kenners zullen zijn zorgen herkennen, overal is understaffing een risicofactor die er mede voor zorgt dat impact van databreaches zo groot kan zijn. Impact die écht verder gaat dan direct aantoonbare schade. Kijk wat dat betreft maar naar de klappen die het imago van onze banken of ziekenhuizen hebben opgelopen door de recente voorvallen.