Kostbare datalekken

Na de jaarwisseling is het zover. Datalekken waarbij persoonsgegevens betrokken zijn, moeten binnen twee werkdagen worden gemeld bij het College bescherming persoonsgegevens (CBP). Het is onderdeel van de nieuwe Wet Bescherming Persoonsgegevens. Bovendien: de beveiliging van persoonsgegevens moet ‘passend’ zijn. En daar ligt een vervelend knelpunt, want kan dat wel binnen twee dagen. En wat betekent ‘passend’?

In de praktijk valt het niet mee om na een datalek snel en effectief op te treden. Een grondig onderzoek na een securityincident kost veel organisaties wel wat meer tijd dan twee werkdagen. Moet er dan alvast maar wat gemeld worden, zonder dat duidelijk is of er wel sprake is van een lek? En als er een lek was, wat er dan precies is weggelekt? Als je dat dan maar voor de zekerheid doet, is het risico groot dat je die melding later moet aanvullen, bijstellen of zelfs moet intrekken.

Wat je wel zou kunnen vaststellen, en het CBP zou dit eveneens kunnen doen, is dat deze gang van zaken betekent dat dat de beveiliging niet het vereiste ‘passende niveau’ heeft dat de wet vereist. Erger nog, lekken worden in veel gevallen niet eens opgemerkt door de organisatie zelf, maar door beveiligingsonderzoekers of opsporings- en inlichtingendiensten. Erg vervelend als dat nu gebeurt, maar nog veel vervelender over twee maanden wanneer de meldplicht in werking treedt.

Slechte voorbereiding

Organisaties zijn vaak niet goed voorbereid op security-incidenten. Er zijn geen goede logbestanden voorhanden of ze gaan niet ver genoeg terug in de tijd, er is geen inzicht in activiteiten op het netwerk, procedures blijken niet te werken in de praktijk en medewerkers blijken niet voldoende kennis te hebben. Dat brengt met zich mee dat de detectie van verdachte activiteiten te wensen overlaat, of zelfs helemaal niet heeft gewerkt. En als er dan wat wordt ontdekt, kost het verhelpen van een incident veel meer tijd, geld en moeite. Daar komt bij dat niet altijd meer te achterhalen is wat de oorzaken van een incident precies zijn geweest. Als incidenten erg laat worden opgemerkt, kunnen veel relevante sporen intussen zijn gewist.

Onbekend welke gegevens weg zijn

Wanneer het lek serieus genoeg is om te moeten melden, is vervolgens de vraag om welke gegevens het precies gaat. In onze dagelijkse praktijk blijkt dat zelfs dit soms slechts ten dele en vaak helemaal niet vast te stellen is. Dat een cybercrimineel door de gegevensbeveiliging heeft weten te breken, kan meest nog wel uitgelegd worden. Maar dat je vervolgens niet weet welke gegevens precies weg zijn, laat staan waar ze naartoe zijn gegaan, is een stuk kwalijker. Dat valt niet uit te leggen.

Torenhoge boete

Organisaties hebben de komende tijd nog wel het een en ander te verbeteren voordat de nieuwe wetgeving van kracht wordt. De beveiliging moet op ‘passend niveau’ worden gebracht. En mocht het mis gaan, dan moet een lek onmiddellijk ontdekt kunnen worden. Vervolgens moet de voorbereidingen in orde zijn zodat de organisatie dan wanneer nodig direct in actie kan komen. En, zeer belangrijk: je moet weten welke gegevens je hebt, en direct kunnen nagaan wat er precies weg is in het geval van een lek. Al deze verschillende aspecten moeten ook nog eens naadloos op elkaar aansluiten. Dat vereist een heldere visie, strategie en uitvoering, die begint op het niveau van de raad van bestuur en eindigt in de dagelijkse operatie. Alleen als dit allemaal in orde is kan een organisatie zich op tijd bij het CPB melden met een volledige en geloofwaardige uitleg van een lek. Zo niet, dan hangt de organisatie - na de jaarwisseling - een torenhoge boete boven het hoofd.

Kevin Jonkers is Manager Forensics & Incident Response bij Fox-IT