“GDPR maakt ons nóg bewuster van databeveiliging”

Het is nog even wachten maar in mei 2018 zal de General Data Protection Regulation (GDPR) van kracht zijn. Iedere EU-burger heeft vanaf dan het recht om te weten hoe zijn data worden gebruikt. Op dit moment kennen we in Nederland de Meldplicht Datalekken, een regelgeving die gemachtigd is om bedrijven die een ‘faux pas’ maken een boete op te leggen. GDPR is de Europese variant en is gemachtigd fikse boetes uit te delen wanneer je als bedrijf niet kunt uitleggen hoe je data van burgers gebruikt. “Hoe je je het beste op GDPR kunt voorbereiden? Neem kleine stappen maar zet het op je agenda”, stelt Michael Heering van Sophos.

GDPR is vijf jaar geleden bedacht en is er op Europees niveau snel doorheen gedrukt. De wet is in het leven geroepen om data van Europeanen te beschermen en geeft deze burgers tevens controle over hun gegevens. Michael Heering, Product Marketing Manager Data Protection bij Sophos: “Strengere maatregelen en boetes zullen volgen wanneer men de GDPR-regels overtreedt. Je mailadres, BSN of mobiele nummer: alle gegevens vallen onder deze wetgeving die bedrijven verplicht om beter na te denken over wat voor data zij bezitten. Wat zit er in mijn database, hoe goed zijn data beveiligd, waar staan gegevens opgeslagen en wie kan erbij? In het kort komt het erop neer dat alle bedrijven door de komst van GDPR hun databeheer en -beveiliging dienen te herstructureren. Want als zij niet weten waar deze data zich in de organisatie begeven en wie er toegang toe heeft, liggen datalekken op de loer. Breaches kunnen gigantische financiële consequenties met zich meebrengen: boetes van een miljoen euro of twee procent van de jaaromzet behoren dan tot de mogelijkheden. En dan nog maar te zwijgen over de reputatieschade.”

 

Bangmakerij

Een wetgeving als GDPR komt ons enigszins ‘bekend’ voor: de Meldplicht Datalekken van de Autoriteit Persoonsgegevens werd in januari 2016 in Nederland van kracht. “Allemaal leuk en aardig, maar deze Nederlandse regulering kent zwakke boetemaatregelen die niet voldoende afschrikken. Meldpunt Datalekken zou in principe boetes van honderdduizenden euro’s kunnen opleggen maar tot nu toe is het bij bangmakerijen en ‘lopende onderzoeken’ gebleven. Afgelopen februari publiceerde de Autoriteit Persoonsgegevens een rapport waarin 5.500 datalekken werden genoemd. Relatief weinig voor 2016, want in het eerste kwartaal van 2017 waren er al meer dan 2.600 meldingen. Wij denken dat slechts zo’n tien procent wordt aangegeven, ook al ervaren we nu een snellere stijging van het aantal meldingen.”

 

WannaCry

Een gestolen laptop, een verloren USB-stick of een ransomware-aanval zoals WannaCry: stuk voor stuk voorbeelden van datalekken die onder de nieuwe GDPR-wetgeving aangegeven dienen te worden. Een zegen of een vloek? “Door deze Europese centralisatie is dit voor alle bedrijven een goede ontwikkeling. Voorheen moest je een datalek bij de autoriteiten in ieder betrokken land apart rapporteren. Nu kun je het in Nederland bij de Autoriteit Persoonsgegevens aangeven die het op Europees niveau verder coördineert. Datalekken kunnen onder GDPR grotere financiële gevolgen hebben, en de beveiligingsindustrie is dan ook benieuwd of na 25 mei 2018 meer bedrijven zich zullen melden. Uit een recent gehouden onderzoek blijkt dat bedrijven databescherming, en helemaal na de WannaCry-affaire, als hoogste prioriteit hebben. Het aantal aanvragen bij ons en onze collega’s in de industrie groeit dan ook met de dag.”

Nederland loopt qua innovatie altijd voorop, maar geldt dit ook voor databeveiliging? Nogmaals Heering: “Als rapportcijfer geef ik Nederland een zeven. Nederland heeft met de inzet van het National Cyber Security Centrum al stappen in de goede richting gezet, maar het kan natuurlijk altijd beter. Los van de aanstaande GDPR is reeds een andere Europese regelgeving actief die zich puur op nutsbedrijven richt. Deze Network Information and Security Directive verplicht bedrijven in deze sector hun cybersecurity op orde te hebben. Niet geheel onbelangrijk want al voor WannaCry bleek een Nederlands nutsbedrijf van een ransomware-aanval slachtoffer te zijn geworden.”

 

Koude Oorlog 2.0

De it-wereld is het er roerend over eens: ransomware is ‘populair’ en zal in de komende jaren nog veel van zich laten horen. “Het is inderdaad hot en verplicht organisaties om nog beter over hun securitybeleid na te denken. Back-ups, patches en security-software zijn essentieel in de strijd tegen datalekken onder de nieuwe GDPR-regels. Antivirussoftware alleen is vandaag de dag niet sterk genoeg meer. Dat bewees WannaCry, die als worm binnen netwerken actief op zoek ging naar kwetsbare systemen, maar al te goed. Hackers worden steeds slimmer. De vergelijking met de wapenwedloop ten tijde van de Koude Oorlog gaat enigszins op. Dit keer staan alleen niet de Russen en de Amerikanen, maar de securityindustrie en de hackers tegenover elkaar.”

Hoe weten organisaties in het kader van GDPR waar ze aan toe zijn? “In het afgelopen jaar waren 91 procent van de geziene datalekken bij bedrijven het gevolg van hackers of malware. Het is aan het bedrijfsleven een afweging te maken in hoeverre zij zich tegen toekomstige uitbraken willen beschermen. Ons advies? Begin klein. Zo zijn voor het MKB een mobile security- en anti-ransomware-oplossing een goede, eerste stap. Maar ook device encryption loont: het kan iedereen overkomen dat zijn laptop wordt gestolen. Is je schijf in dat geval versleuteld, dan ben je ‘safe’ en kan dit als bewijsmiddel dienen in het geval van een datalek. Het is ook belangrijk dat bedrijven hun medewerkers ‘opvoeden’ binnen het nieuwe GDPR-kader en verantwoord met data laten omgaan. Security-oplossingen krijgen veel voor elkaar maar kunnen het nooit voor 100 procent afdichten.”

 

Van klein naar groot

Tot vorig jaar kon het College Bescherming Persoonsgegevens slechts boetes van maximaal € 4.500 opleggen, maar deze tijden zijn inmiddels veranderd. Daarom is het voor CEO’s belangrijk om met hun it-verantwoordelijken om de tafel te gaan zitten en in kaart te brengen wat zij aan data van klanten én personeel hebben. Wie heeft er toegang tot deze data, en wat gebeurt ermee? Op basis hiervan moeten organisaties bekijken of er intern zich al zaken voordoen die niet door de beugel kunnen. Heering besluit: “Laten we eerlijk zijn: hoe ‘eenvoudig’ is het voor een medewerker om klantinformatie via zijn Gmail-account te verzenden en thuis aan de keukentafel een marketingcampagne verder uit te werken? Dát zijn nu van die situaties waar je meteen maatregelen tegen dient te nemen. Van fikse GDPR-boetes wordt uiteindelijk niemand blij. Voor de rest op het gebied van security: neem kleine stappen, one at a time. De industrie heeft zich lang op encryptie gericht, maar dat is voor veel bedrijven meteen een te ingrijpende veiligheidsmaatregel. Gedegen beveiliging tegen ransomware en verlies van mobiele apparaten zijn doeltreffende stappen in het kader van GDPR. Komt er meer tijd, budget en personeel beschikbaar, dán kunnen bedrijven denken aan bijvoorbeeld uitbreidingen van de firewall en de email gateway. In een laatste fase kan encryptie de deur in het slot gooien.”

 

Gerelateerde berichten...