Een datalek dichten? Niet alleen een kwestie van ICT

Natuurlijk kunnen we de zeventien manieren bij elkaar Googlen om datalekken tegen te gaan, maar we kunnen natuurlijk ook even bellen met dé specialist op dit gebied: Brenno de Winter. Hij heeft als journalist meer dan tweeduizend datalekken onderzocht en tegenwoordig adviseert hij bedrijven hierover. Onze vraag? Wat is het beste plan om datalekken tegen te gaan?

Sinds vorig jaar is het verplicht om een datalek te melden. In 2016 werden er 5500 gevallen van datalekken gemeld bij de Autoriteit Persoonsgegevens. Bijna een derde van die meldingen is afkomstig uit de gezondheidszorg, daarna de financiële dienstverlening (17 procent) en het openbaar bestuur (15 procent). “Het is maar het topje van de ijsberg” aldus De Winter. ”Je ziet dat die sectoren zich heel bewust zijn van de wetgeving en die melden dat heel braaf. Maar branches als de bouw en de makelaardij zijn ook heel kwetsbaar omdat er  veel persoonsgegevens in omgaan. Tevens zijn ze niet zo gezagsgetrouw als een ambtenaar óf ze kennen de wet niet.’’

Concrete maatregelen helpen

De Winter, die bekend werd door de kwetsbaarheid van de OV-chipkaart bloot te leggen, volgt het onderwerp ‘datalekken’ al jaren. Ziet hij progressie in het bewustzijn van bedrijven om geen onbedoelde gegevens naar buiten te brengen? ”Ik zie wel verbetering hoor! Wat helpt zijn de concrete maatregelen zoals bijvoorbeeld de DigiD Audit waarbij je aantoonbaar moet voldoen aan de ISO- norm 27001. Ik zeg niet dat het de beste methodiek is, maar het dwingt je wel om over veiligheid na te denken en dat is al een stap vooruit.’’

Schimmig doen over incidenten

Het leren van datalekken kan nog veel beter volgens De Winter. Alleen melden is niet genoeg! ”Als je een datalek meldt, wordt deze niet in de openbaarheid gebracht. Hierdoor leren we er dus niets van. Ik vergelijk het altijd met de Titanic waarbij, sinds het zinken van dat schip, alle rampen tot op de bodem worden uitgezocht door goede instituten als de Onderzoeksraad voor Veiligheid. Dat zou in het geval van datalekken ook moeten gebeuren. Alleen dan kan je de veiligheid pas echt verbeteren. Momenteel blijven we nog een beetje schimmig doen over incidenten. Echter leven we nu eenmaal in een digitaal ecosysteem en kwaadwillenden overleggen wél met elkaar over de laatste technieken en aanvalsmogelijkheden.’’

Beveiliging: het hoeft niet ingewikkeld te zijn

De Winter ziet ook dat het MKB nog achterloopt op het grote bedrijfsleven. “Er komt een nieuwe Europese wetgeving waarbij het MKB ook haar zaken goed op orde moet hebben. Daar is beveiliging nu nog hapsnap geregeld of (in het ergste geval) nog helemaal niet. Je moet daar ook in het MKB serieus over nadenken.” En dat terwijl het inhoudelijk helemaal niet zo ingewikkeld hoeft te zijn! “Heel vaak kunnen mensen zelf ook iets bedenken. Stel dat je in een wijk gaat wonen waar de criminaliteit wat hoger is. Wat doe je dan? Dan is een alarmsysteem een goede optie. Dat kun je zelf prima regelen. Je loopt door het huis en gaat zelf na hoe mensen binnen kunnen komen.” Die zelfredzaamheid, voor de lange termijn, is in alle sectoren heel normaal; maar niet in de ICT. “Ik adviseer echt om na incidenten je hele organisatie aan te pakken. Natuurlijk moet je eerst het probleem oplossen, maar al snel moet je bedenken hoe je in het vervolg omgaat met zo’n incident. Op die manier ben je constructief bezig en zorg je ervoor dat zo’n veiligheidsscan echt een verbeteringsslag oplevert in je bedrijf.”

“Maar dan ben je er nog niet! Wat veel organisaties namelijk doen is kijken naar de korte termijn. Ze gaan gaten dichten maar dat is niet voldoende!”

De Winter was altijd werkzaam als journalist, maar tegenwoordig is hij consultant. Hij wordt dan uitgenodigd om iets te vertellen over datalekken, geeft trainingen, maar draaft ook nog wel eens op als het helemaal mis is (denk aan een veiligheidslek). Zijn werkzaamheden komen neer op het laten zien aan bedrijven en overheden dat beveiliging méér is dan een paar firewalls installeren of een andere technische maatregel. ”Je moet bedrijfsprocessen blootleggen omdat dát uiteindelijk de kroonjuwelen zijn die je probeert te beschermen. Dat moet je vertrekpunt zijn bij het nemen van structurele maatregelen tegen datalekken.”

Eerst analyseren dan tactiek bepalen

Na het blootleggen en analyseren van de bedrijfsprocessen maak je een risico-inschatting waarmee je aan de slag gaat. De Winter vindt dat de techniek daarbij niet het belangrijkste aspect is. Het gaat om de organisatorische maatregelen die op de lange termijn voor verbeteringen gaan zorgen. “Je hebt bepaalde bedrijfsdoelen vastgesteld en pas daarna ga je ze uitvoeren; de tactiek bepalen.” Focus dus niet alleen op het instaleren van een antivirus scan. Een oplossing kan ook zijn dat je minder mensen toegang moet verlenen tot een bepaalt systeem. Daarom is het in de ogen van De Winter ook zo belangrijk dat het veiligheidsaspect tot op het allerhoogste niveau van een organisatie wordt onderkend. “Laatst overlegde ik met een organisatie, waarbij de directie het probleem niet erkende. Toen hebben we snel afscheid van elkaar genomen. Je kunt een beveiligingsprobleem namelijk niet oplossen door simpelweg tegen de systeembeheerder te zeggen: los het probleem even snel op.”

Leer hoe mensen zichzelf moeten redden

De Winter heeft duidelijke ideeën over zijn rol als consultant bij het analyseren van datalekken. “Je moet stimuleren om mensen het zelf te laten doen. Een beetje zoals dat in de hulpverlening gebeurt. Hier leren mensen hoe ze zichzelf moeten redden. Kijk, mijn verhaal houdt op een gegeven moment op. Ik leg bijvoorbeeld vaak een meetlat neer waarmee organisaties zelf aan de slag kunnen. En dan kom ik een jaar later terug om te kijken of er progressie in zit.” De Winter vindt ook dat je als consultant niet in de uitvoering moet gaan zitten; het gaat om het geven van strategische advies over de bedrijven die je kan inschakelen. “Daarom gaat die metafoor van de Titanic ook zo goed op; voor het maken van de schroef heb je een ander bedrijf nodig dan voor de verlichting. Dat moet ergens bij elkaar komen.”

Stappen om datalekken tegen te gaan

Kijkend naar bovenstaande stukken dan pleit Brenno de Winter voor de volgende stappen om datalekken tegen te gaan:

  1. Leer van fouten door datalekken openbaar te maken;
  2. Kijk goed naar bedrijfsprocessen en analyseer waar de kwetsbaarheid zit voor datalekken;
  3. Bepaal vervolgens hoe groot de veiligheidsrisico’s zijn voor de betreffende datalekken;
  4. Neem daarbij technische en organisatorische maatregelen ter voorkoming van datalekken;
  5. En tot slot; voer maatregelen door in de gehele bedrijfscultuur.

Wil jij altijd als eerste op de hoogte worden gesteld over de ontwikkelingen, nieuwtjes en evenementen van Infoland?

Meld je dan vrijblijvend aan voor onze maandelijkse nieuwsbrief.