Friday, April 1, 2016

Drie maanden Wet Meldplicht Datalekken, wat nu?

1 april 2016 10:38 | Henk Meeuwisse
   
Het zal weinig security functionarissen zijn ontgaan dat de Wet Meldplicht Datalekken begin dit jaar van kracht is gegaan. Nu we drie maanden verder zijn, kunnen we voorzichtige conclusies gaan trekken of de wet al dan niet een succes is.

Eigenlijk kunnen we stellen dat er weinig veranderd is in de manier waarop we met informatiebeveiliging omgaan in vergelijking tot afgelopen jaar. Wat wel is veranderd, is dat met de meer dan zevenhonderd meldingen die inmiddels hebben plaatsgevonden, inzichtelijk wordt gemaakt dat er daadwerkelijk sprake is van datalekken. Usb-sticks kwijtraken, een laptop op de parkeerplaats laten staan of het ongeoorloofd uitdelen van wachtwoorden, werden afgelopen jaren veelal onder de pet gehouden. Dit nieuwe inzicht zou je een succes kunnen noemen.

Inzicht en voorkomen

Maar is dat een succes? Het liefst wil je elke vorm van melding voorkomen. Dan zou je pas kunnen spreken van een succes. Dat zou betekenen dat de informatiebeveiliging op orde is. En dat laatste is natuurlijk maar de vraag. Veel organisaties werken flink aan de invulling van hun informatie-beveiligingsbeleid. Tegelijkertijd is dat beleid niet van de ene op de andere dag op orde. Dus ook de boetes die de Autoriteit Persoonsgegevens (voormalig CPB) gaat uitdelen, gaan er zeker komen.
Op zichzelf natuurlijk niet zo vreemd. Ga maar na; het gaat immers om persoonsgegevens. Vrijwel elke organisatie, groot of klein, overheid of bedrijf, slaat wel een of meerdere vormen van gegevens op. Sterker nog, de gegevens waar het om gaat, zijn de meest voorkomende vastgelegde gegevens. Denk daarbij aan persoonlijke informatie over gezondheid, levensovertuiging, salaris, schulden, wachtwoorden, school- of werkprestaties en het bekende burgerservicenummer. De kans dat deze gecompromitteerd worden, is daarom vrij groot.

Anonimisering van persoonsgegevens

Voorkoming is nog altijd beter dan genezen. Dus ik pleit voor meer anonimisering van persoonsgegevens dan dat we tot dus ver doen. Meer technische en organisatorische maatregelen zijn nodig om daadwerkelijke ongewenste identificatie van individuele natuurlijke personen uit te sluiten. Dat helpt bij het voorkomen van misbruik van gelekte gegevens. Elke organisatie zal zich moeten afvragen of het mogelijk is data zodanig op te slaan dat een lek geen directe gevolgen heeft voor op persoonsniveau te herleiden gegevens.
Pseudonimisering is van andere orde. Cryptografische bewerkingen zoals encryptie of hashing op identificerende gegevens leiden tot het vervangen van zo’n gegeven door een ander identificerend gegeven. Ook dat verlaagt de kans op misbruik. De verantwoordelijke partij is zelf nog steeds in staat gegevens tot een individu te herleiden, maar voor een derde wordt het wel erg moeilijk.

Risico’s in kaart brengen

Maar voordat je een van deze maatregelen neemt, is het vooral zaak dat eerst de risico’s in kaart worden gebracht. Op basis daarvan kunnen adequate maatregelen worden getroffen. Onnodig, veelal dure veiligheidsmaatregelen zijn uiteraard overbodig als risico’s zeer beperkt zijn. Het is relevant te weten of incidenten zich hebben voorgedaan zonder dat dit geleid heeft tot datalekken. Zo kan een werknemer toegangsgegevens (bijvoorbeeld wachtwoorden die bijvoorbeeld toegang geven tot klantinformatie van het bedrijf) hebben verstrekt aan een persoon buiten de organisatie. Zodra dat ontdekt wordt, kan de organisatie de wachtwoorden aanpassen zodat de buitenstaander geen toegang meer heeft. Vervolgens onderzoekt de organisatie of de derde daadwerkelijk toegang heeft gezocht en gekregen. Bij dit onderzoek wordt gebruik gemaakt van logbestanden, waarin per gebruikersnaam is vastgelegd welke acties er op welk tijdstip hebben plaatsgevonden. Als op basis daarvan ongewenste toegang tot klantgegevens wordt uitgesloten, is er sprake van een beveiligingslek, maar geen sprake van een datalek.

Datalekken wet succes

Dus ja: meer anonimisering is doeltreffend, maar kijk vooral goed waar dat wel of niet nodig is. Veel gebruikelijke veiligheidsmaatregelen als logging, monitoring, toegangsrechten en het bewustzijn vergroten onder medewerkers zijn nog altijd van het grootste belang. De Wet Meldplicht Datalekken heeft er in ieder geval voor gezorgd dat bestuurders inzien dat er geen ontkomen aan is aan de schade die wordt geleden als gevolg van onverantwoorde veiligheidsrisico’s. Ook dat is een succes voor alle security functionarissen, die zich al veel langer bewust waren van de risico’s.

Henk Meeuwisse, senior management consultant security bij Sogeti

No comments:

Post a Comment