- Door
- Fred Teunissen (Fastbyte)
- geplaatst op
- 12 april 2016 10:00 uur
Op 1 januari 2016 is de nieuwe meldplicht voor datalekken van kracht geworden. Vier experts spraken over dit onderwerp op een door IT-dienstverlener Fastbyte georganiseerd middagseminar op 31 maart 2016 in Houten. Het motto van de bijeenkomst: voorkomen is beter dan genezen.
Hoe detecteer je een datalek?
Je kunt een datalek nooit helemaal uitsluiten, maar wel het risico daarop beperken. Alles staat of valt wat dit aangaat bij een goed overzicht van wat er op je netwerk gebeurt, benadrukt Martijn Nielen, senior Sales Engineer bij WatchGuard. Hij wijst op een onderzoek waaruit blijkt dat 77% van de grotere organisaties aan logging van het netwerkverkeer doet, maar dat slechts een kwart daarvan met een zekere regelmaat naar deze gegevens kijkt. “Het is dan ook niet verwonderlijk dat slechts 10% van de organisaties het gevoel heeft dat het met de inrichting van hun informatiebeveiliging wel goed zit.”
En zo kan het gebeuren dat het heel lang duurt voordat een datalek aan het licht komt, vervolgt hij. “Gemiddeld is dat 80 dagen na het ontstaan van een lek en dan duurt het gemiddeld nog eens 123 dagen voordat het is gedicht.”
Dat organisaties onvoldoende ‘in control’ zijn, blijkt ook uit het feit dat veel lekken pas aan het licht komen nadat externe partijen hun er op wijzen. Dit gaat op in 69% van de gevallen. Nog geen derde van de datalekken wordt intern gedetecteerd. “Hiervoor moeten betere detectietools worden ingezet die snel overzicht en inzicht bieden, zodat organisaties sneller kunnen reageren. Ook is het aan te bevelen om het netwerk te segmenteren. De schade van een lek kan daardoor aanzienlijk worden beperkt.”
Nielen raadt verder iedereen aan om de reportage van Brandpunt Reporter over de hack bij ASML te zien.” Je ziet daar dat alleen het loggen van netwerkgegevens onvoldoende soelaas biedt.”
Wanneer moet je een datalek melden?
Uit het betoog van Thomas van Essen, jurist bij SOLV in Amsterdam, blijkt dat dit een lastige afweging kan zijn. In de wet staat dat melden moet als er ‘aanzienlijke kans is op ernstige nadelige gevolgen’ voor degenen van wie de privacy is geschonden. “De vraag is dan wat de Autoriteit Persoonsgegevens onder aanzienlijke kans en ernstig nadeel zal verstaan. Daarvoor zijn als hulpmiddel beleidsregels opgesteld, maar deze zijn lang niet overal even helder.”
Van Essen onderstreept allereerst het belang van beleid op dit punt. “Het maakt echt uit of je kunt laten zien dat erover nagedacht is. Stel een protocol op voor het veilig omgaan met persoonsgegevens en leg ook een procedure vast voor als het fout gaat. Je moet binnen 72 uur een melding doen. Daarvoor moet je een aanpak in huis hebben. Als je dit kunt laten zien aan de Autoriteit, dan ben je al een heel eind. Bij een ernstige lek zal je dan hoogstwaarschijnlijk een waarschuwing krijgen en geen boete.”
Verder zijn er verschillende ‘gevoeligheden’ in het spel, legt hij uit. Gewone NAW-gegevens zijn het minst gevoelig. Gegevens over iemands ras, politieke overtuiging of seksuele voorkeur wegen al een stuk zwaarder en het meest gevoelig zijn financiële gegevens, zoals van salarissen. “Dus als je tijdens een kantooruitje een laptop verliest met daarop je complete financiële administratie, dan moet je dat vrijwel zeker melden.”
In de zaal leven nogal wat vragen over de rol van de externe bewerkers van gegevens. Van Essen is hier zeer duidelijk over: “Privacygevoelige gegevens die door derden worden bewerkt, blijven de verantwoordelijkheid van de eigenaar van die gegevens. Gaat er ergens in de cloud bij een dienstverlener iets mis met jouw gegevens, dan ben en blijf jij aansprakelijk. Het enige dat je hieraan kunt doen, is een vrijwaringsclausule opnemen in de overeenkomst met zo’n externe partij.”
Hoe voorkom je datalekken?
De kern van het voorkomen van incidenten is een verstandig beheer van gebruikersrechten, stelt Richard Nootebos, country manager Benelux van softwareleverancier Netwrix. “Uit onderzoek van Verizon naar de oorzaken van 1360 datalekken blijkt dat in 88 procent van de gevallen sprake was van misbruik van toegangsrechten. Bijvoorbeeld doordat een admin-password was achterhaald of omdat een medewerker in strijd met de regels zijn password aan een collega had gegeven.
Het is dus van belang precies te weten wie welke rechten heeft en wie, wat, waar en wanneer wat met die rechten doet. Een andere, daarmee verbonden vraag is of iedereen nog wel de juiste rechten heeft. Vaak zie je dat medewerkers na verloop van tijd veel meer rechten hebben dan ze voor hun actuele werk nodig hebben. Dat schept risico’s.”
Met auditsoftware kunnen organisaties hier een beter beeld van krijgen. “Audits zijn nodig”, aldus Nootebos, “om te verifiëren of alles nog wel zo in elkaar steekt als je denkt dat het in elkaar steekt. En verder om precies te kunnen vaststellen waar, wanneer en waarom het mis ging in het geval van een beveiligingsincident.”
Nootebos haalt een onderzoek onder hackers aan waaruit zonneklaar blijkt dat er in veel organisaties nog erg slordig wordt omgegaan met het rechtenbeheer. 99% van de hackers geeft namelijk aan dat ze met relatief simpele middelen al kunnen binnenkomen. 88% van hen zegt bovendien goed te beseffen zelf ook kwetsbaar te zijn. “Dat is een veel hoger niveau van ‘risk awareness’ dan je in een gemiddelde organisatie zal aantreffen.”
Wie is er verantwoordelijk voor data?
“Ik geloof niet in hacken. Ik geloof in fouten van mensen. Je kunt niet zomaar, zonder enige menselijke tussenkomst, ergens binnenkomen. Er is nog nooit een hack geweest zonder dat een gebruiker ergens iets fout heeft gedaan.”
André Koot, adviseur Identity en Acces Management en onder meer werkzaam voor het nieuwe cyberbeveiligingsbedrijf NIXU, legt met deze statements direct de vinger op de zere plek. Die plek heet verantwoordelijkheid. “De vraag is wie de grootste pijn heeft als het mis gaat. Dat is de verantwoordelijke. In veel organisaties is dat – tot dat moment – helemaal niet zo duidelijk.”
Koot onderscheidt vijf niveaus van mogelijke ‘eigendom’ dan wel eindverantwoordelijkheid:
- De organisatie als geheel, vertegenwoordigd door de CEO of Raad van Bestuur
- De proceseigenaar
- De eigenaar van de applicatie
- De IT-afdeling
- De eigenaar van de data
Hij wijst vervolgens op het belang om de datastromen van een organisatie beter in kaart te brengen, de mate van gevoeligheid daarvan te benoemen en vast te stellen wie voor welke data de verantwoordelijkheid draagt. “Dat is dan ook degene die voor de beveiliging zorg dient te dragen.”
Koot pleit voor security by design. “Er wordt gemakkelijk veel geld uitgegeven voor grafisch design. Evenveel zorg en geld zou besteed moeten worden aan het veilige ontwerp van nieuwe systemen. In het ontwerp kun je er al voor zorgen dat mensen geen dingen kunnen doen die ze niet hoeven te doen.”
Chris Franso, CTO van Fastbyte, sloot de bijeenkomst af door te signaleren dat er nog veel vragen bestaan over de meldplicht. “Dit is ons tweede seminar over dit onderwerp. Het eerste vond plaats op 8 oktober vorig jaar en ging vooral over de risico’s. Nu vormde de feitelijke aanpak de kern. Het bleek opnieuw dat er veel behoefte is aan verdiepende informatie over informatiebeveiliging. Wij zullen die ook in de toekomst blijven aanbieden aan onze klanten.”
Geschreven door Fred Teunissen (Fastbyte)
Dit ingezonden artikel is geschreven door Fred Teunissen van Fastbyte.
Stuur ook uw blog, achtergrond artikel of andere bijdrage in!
Indien u zelf een interessante bijdrage, zoals een blog, how-to of achtergrond heeft, dan plaatsen wij die graag en dat kost u niks. Neem contact op met de ISPam.nl redactie via [email protected] of kijk op deze pagina voor meer informatie over het leveren van een bijdrage aan ISPam.nl.