Een datalek dichten? Niet alleen een kwestie van ICT (deel 1)

10 oktober 2017 in Nieuws, Risicomanagement door

Natuurlijk kan ik de zeventien manieren bij elkaar Googlen om datalekken tegen te gaan, maar ik kan natuurlijk ook even bellen met dé specialist op dit gebied: Brenno de Winter. Hij heeft als journalist meer dan tweeduizend datalekken onderzocht en tegenwoordig adviseert hij bedrijven hierover. Mijn vraag? Wat is het beste plan om datalekken tegen te gaan?

Sinds vorig jaar is het verplicht om een datalek te melden. In 2016 werden er 5500 gevallen van datalekken gemeld bij de Autoriteit Persoonsgegevens. Bijna een derde van die meldingen is afkomstig uit de gezondheidszorg, daarna de financiële dienstverlening (17 procent) en het openbaar bestuur (15 procent). “Het is maar het topje van de ijsberg” aldus De Winter. ”Je ziet dat die sectoren zich heel bewust zijn van de wetgeving en die melden dat heel braaf. Maar branches als de bouw en de makelaardij zijn ook heel kwetsbaar omdat er  veel persoonsgegevens in omgaan. Tevens zijn ze niet zo gezagsgetrouw als een ambtenaar óf ze kennen de wet niet.’’

Concrete maatregelen helpen

De Winter, die bekend werd door de kwetsbaarheid van de OV-chipkaart bloot te leggen, volgt het onderwerp ‘datalekken’ al jaren. Ziet hij progressie in het bewustzijn van bedrijven om geen onbedoelde gegevens naar buiten te brengen? ”Ik zie wel verbetering hoor! Wat helpt zijn de concrete maatregelen zoals bijvoorbeeld de DigiD Audit waarbij je aantoonbaar moet voldoen aan de ISO- norm 27001. Ik zeg niet dat het de beste methodiek is, maar het dwingt je wel om over veiligheid na te denken en dat is al een stap vooruit.’’

Schimmig doen over incidenten

Het leren van datalekken kan nog veel beter volgens De Winter. Alleen melden is niet genoeg! ”Als je een datalek meldt, wordt deze niet in de openbaarheid gebracht. Hierdoor leren we er dus niets van. Ik vergelijk het altijd met de Titanic waarbij, sinds het zinken van dat schip, alle rampen tot op de bodem worden uitgezocht door goede instituten als de Onderzoeksraad voor Veiligheid. Dat zou in het geval van datalekken ook moeten gebeuren. Alleen dan kan je de veiligheid pas echt verbeteren. Momenteel blijven we nog een beetje schimmig doen over incidenten. Echter leven we nu eenmaal in een digitaal ecosysteem en kwaadwillenden overleggen wél met elkaar over de laatste technieken en aanvalsmogelijkheden.’’

Beveiliging: het hoeft niet ingewikkeld te zijn

De Winter ziet ook dat het MKB nog achterloopt op het grote bedrijfsleven. “Er komt een nieuwe Europese wetgeving waarbij het MKB ook haar zaken goed op orde moet hebben. Daar is beveiliging nu nog hapsnap geregeld of (in het ergste geval) nog helemaal niet. Je moet daar ook in het MKB serieus over nadenken.” En dat terwijl het inhoudelijk helemaal niet zo ingewikkeld hoeft te zijn! “Heel vaak kunnen mensen zelf ook iets bedenken. Stel dat je in een wijk gaat wonen waar de criminaliteit wat hoger is. Wat doe je dan? Dan is een alarmsysteem een goede optie. Dat kun je zelf prima regelen. Je loopt door het huis en gaat zelf na hoe mensen binnen kunnen komen.” Die zelfredzaamheid, voor de lange termijn, is in alle sectoren heel normaal; maar niet in de ICT. “Ik adviseer echt om na incidenten je hele organisatie aan te pakken. Natuurlijk moet je eerst het probleem oplossen, maar al snel moet je bedenken hoe je in het vervolg omgaat met zo’n incident. Op die manier ben je constructief bezig en zorg je ervoor dat zo’n veiligheidsscan echt een verbeteringsslag oplevert in je bedrijf.”

“Maar dan ben je er nog niet! Wat veel organisaties namelijk doen is kijken naar de korte termijn. Ze gaan gaten dichten maar dat is niet voldoende!”

 Bas schrijft blogs voor Infoland die gaan over thema’s zoals risicomanagement, innovatie en ondernemen. Zijn kracht: een groot netwerk en een vlotte pen.
© Infoland B.V. 1998-2017