4min Security

Bernold Nieuwesteeg Erasmus School of Law: Bedrijven, maak datalekken gewoon openbaar

Bernold Nieuwesteeg Erasmus School of Law: Bedrijven, maak datalekken gewoon openbaar

In 2017 ontving de Autoriteit persoonsgegevens twee keer zo veel meldingen van datalekken als het jaar ervoor. Een groot deel daarvan komt niet in de openbaarheid.

Dat is een gemiste kans, zegt onderzoeker Bernold Nieuwesteeg van Erasmus School of Law. Datalekken zijn net als de griep, meent hij. “Iedereen moet er een keer aan geloven. Organisaties kunnen maar beter open en eerlijk zijn als het een keer gebeurt.  Die transparantie leidt er uiteindelijk toe dat bedrijven veel effectiever kunnen investeren in cybersecurity.”

 

Dreiging

Nieuwesteeg is directeur van het EUR-instituut Centre for the Law and Economics of Cyber Security. Als je “Centre for” weglaat, heb je de titel van het proefschrift waarmee hij in juni 2018 promoveerde. Met dreigingen van zowel ‘statelijke actoren’ als commerciële computerkrakers, staat cybersecurity hoog op de agenda van overheid.

Aan de lopende band verschijnen beleidsstukken. Bernold Nieuwesteeg kan ze wel dromen: “Nederland digitaliseert in rap tempo. Om onze koppositie te behouden zijn er dreigingen te overkomen. In dit document laten we aantal experts aan het woord.”

 

Reputatieschade

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) zijn bedrijven wettelijk verplicht om “iedere inbreuk in verband met persoonsgegevens” te melden. Onder deze “inbreuk” vallen bijvoorbeeld kwijtraken van een USB-stick, diefstal van een laptop of inbraak door een hacker.

Als het lek ook nadelige gevolgen kan hebben voor betrokkenen (denk aan financiële gegevens, identificatiebewijzen of inloggegevens) moeten die ook gemeld worden bij de betreffende personen. Maar daar blijft het meestal bij.  incidenten worden niet openbaar gepubliceerd, uit angst voor reputatieschade.

“Begrijpelijk”, zegt Nieuwesteeg, “Want vertellen dat je bent gehackt, maakt je kwetsbaar. Toch is er een enorm verschil tussen de vrees van mensen en de daadwerkelijke gevolgen. De meeste mensen interesseert het namelijk vrij weinig dat een bedrijf is gehackt. Uit eerder onderzoek blijkt dat er op lange termijn geen nadelige effecten zijn.”

 

Emotietraining

Toch reageren security officers van bedrijven vaak panisch op een lek. “Je hebt een baan, kinderen, een hypotheek, en ineens liggen de gegevens van 100.000 personen op straat. Vervolgens geven ze bakken met geld uit aan beveiligingstests. Maar wat levert het nou op? Zo’n penetratietest is een momentopname. Er zijn duizend manieren om een bedrijf binnen te komen. Eén lek dichten zegt niets over de 999 andere manieren. Zo’n test geeft een valse illusie van veiligheid.”

Nieuwesteeg ziet meer in gedragsverandering. “Iedere security officer zou verplicht een emotietraining moeten krijgen, want mensen reageren niet rationeel in zo’n situatie.”

Volgens Nieuwesteeg moeten we af van het idee dat alleen sukkels gehackt worden. “Uit Amerikaans onderzoek blijkt dat organisaties die hun beveiliging goed op orde hebben, juist vaker melding maken van een lek. Een indicatie van goede beveiliging is bijvoorbeeld encryptie. Wie de moeite neemt om gegevens te versleutelen, zorgt meestal ook voor backups. Als zo’n bedrijf dan een keer gehackt wordt, is er eigenlijk geen man over boord. Daarnaast is het alternatief -onder de pet houden- eigenlijk geen optie. Want als het vroeg of laat toch uitkomt heb je de poppen echt aan het dansen. Toen internetbeveiligingsbedrijf Fox-IT werd gehackt, zijn ze dan ook volledig transparant geweest. Dat vereist moed, maar het publiek waardeert dat uiteindelijk.”

 

Verdwijnen

Nieuwesteeg is voor het openbaar maken van lekken. “De kennis die de meldplicht oplevert, wordt niet benut. De meldingen komen binnen bij de AP, maar verdwijnen vervolgens in de digitale bureaulade. Het is een bureaucratische exercitie, terwijl het een kans kan zijn om te zien waar je kwetsbaarheden liggen, trends te analyseren en kijken welke veiligheidsmaatregelen effect hebben.”

Is het probleem van datalekken wel op te lossen, of moeten we het, net als de griep, accepteren als natuurverschijnsel? Nieuwesteeg: “We moeten vooral blijven melden als er een datalek is geweest. Daarmee vergroot je het bewustzijn en herken je trends. Investeren in beveiliging is prima, maar vervolgens moeten we wel kritisch kijken naar de baten van maatregelen. Je kunt een euro maar één keer uitgeven, dus dan wil je ook dat het effect heeft.”