Visie: Meldplicht datalekken vraagt om andere focus informatiebeveiliging

28-12-2015

Visie: Meldplicht datalekken vraagt om andere focus informatiebeveiliging

De aanpak van informatiebeveiliging binnen organisaties moet nu echt anders. De afgelopen jaren is binnen de securityindustrie de focus al langzaam verschoven van primair het beschermen tegen aanvallen naar vooral het snel detecteren en corrigeren van verdachte activiteiten op het netwerk. De realiteit is dat vastberaden, slimme aanvallers telkens weer gaten en kwetsbaarheden vinden in netwerken en informatiesystemen en deze snel weten te misbruiken. Het is weliswaar in principe mogelijk om systemen en informatie volledig af te sluiten en 100% beveiliging te bereiken, maar daarmee worden bedrijfsinformatiesystemen in feite onwerkbaar. Er zal daarom altijd gezocht moeten worden naar een goede balans tussen beveiliging en bruikbaarheid.

Noodzaak voor real-time inzicht

Gezien deze realiteit is er dan ook steeds meer noodzaak om naast bescherming veel meer aandacht te schenken aan het snel detecteren van ongewone activiteiten op het netwerk. En wanneer er iets wordt ontdekt, daar direct tegen op te treden. Uit onderzoek dat Intel Security eerder dit jaar heeft laten doen, blijkt dat organisaties te maken hebben met gemiddeld 78 beveiligingsincidenten per jaar. Dat is veel. Gevraagd naar wat de grootste obstakels zijn bij het snel en effectief aanpakken van deze incidenten, komen vooral gebrek aan real-time inzicht en betere, automatische analysemogelijkheden naar voren. Met andere woorden: organisaties willen sneller en beter weten wat er zich afspeelt op hun informatiesystemen, zodat er eerder kan worden opgetreden. Vooral die reactiesnelheid is een belangrijke factor. In de medische wereld wordt wel gesproken over het ‘Gouden Uur’ na een hartaanval. Wanneer patiënten binnen een uur na een hartaanval in het ziekenhuis behandeld worden, nemen hun overlevingskansen significant toe. Dit geldt ook voor cyberaanvallen: hoe sneller deze worden gedetecteerd en gestopt, hoe groter de kans dat aanzienlijke schade kan worden voorkomen.

In de praktijk blijkt echter dat cybercriminelen soms weken, maanden of zelfs jaren ongemerkt bij organisaties hun gang kunnen gaan. Ironisch genoeg is dit deels het gevolg van de vele beveiligingsmiddelen die in gebruik zijn. Al die oplossingen leveren enorme hoeveelheden aan informatie en meldingen, soms zo veel dat het beveiligingsprofessionals niet meer lukt om al die meldingen goed te analyseren. Belangrijke meldingen die daadwerkelijk duiden op verdachte activiteiten, gaan verloren in de ruis, met alle gevolgen van dien. Een systeem dat al die meldingen automatisch evalueert en alleen echt belangrijke zaken onder de aandacht van de beveiligingsafdeling brengt, kan daarin verbetering brengen.

Nieuwe wet betreft meer dan alleen diefstal van persoonsgegevens

Voor organisaties in Nederland is de noodzaak voor real-time inzicht nog groter, nu met ingang van 1 januari 2016 de nieuwe ‘Meldplicht datalekken’ in werking treedt. Organisaties zijn volgens deze nieuwe wet verplicht om beveiligingsincidenten waarbij mogelijk persoonsgegevens zijn gestolen of gewijzigd, te melden. En dat binnen twee werkdagen na het incident. Organisaties die zich hier niet aan houden, kunnen rekenen op fikse boetes: toezichthouder College Bescherming Persoonsgegevens (CBP) kan een boete opleggen tot maar liefst €810.000, of zelfs 10 procent van de jaaromzet. En ondanks een oproep van Nederland ICT heeft het CBP laten weten dat het zich bij de invoering niet coulant zal opstellen. Daarbij is inmiddels ook duidelijk dat organisaties niet alleen daadwerkelijke diefstal van persoonsgegevens moeten melden, maar alle incidenten waarbij mogelijk toegang tot opgeslagen persoonsgegevens is verkregen. De scope van de nieuwe wet betreft dus een zeer breed scala aan mogelijke incidenten.

Organisaties zijn volgens de bepalingen in de wet verplicht om zowel organisatorische als technische maatregelen te nemen om persoonsgegevens te beschermen. Dit betekent enerzijds dat die informatie afdoende moet worden beveiligd tegen ongeoorloofde toegang, maar anderzijds dat er ook voor moet worden gezorgd dat organisaties weten wanneer zich onverhoopt toch een incident heeft voorgedaan. En teruggrijpend naar mijn betoog eerder in deze column, moet de kans om op enig moment het slachtoffer te worden van een aanval niet worden onderschat.

Hoe de nieuwe wet in de praktijk zal uitwerken, zal de tijd leren. Het is niet ondenkbaar dat de benodigde beschermingsmaatregelen in sommige gevallen kostbaarder kunnen uitvallen dan een boete, waardoor organisaties er wellicht voor kiezen om het risico te nemen. Maar in de meeste gevallen zal het wel degelijk effectiever om organisatorische maatregelen te nemen en te investeren in effectieve oplossingen om continu te monitoren op verdachte activiteiten en bij detectie direct op te treden.

Wim van Campen is Vice President Noord- en Oost-Europa, Intel Security


###

Terug naar nieuws overzicht
Security