Datalekken, nieuw ontdekte kwetsbaarheden en aanvallen zijn dagelijks in het nieuws. Daarnaast kan de Autoriteit Persoonsgegevens sinds 1 januari torenhoge boetes uitdelen indien privacygevoelige informatie wordt gelekt. Veel organisaties beginnen zich te realiseren dat ze iets moeten doen om dergelijke data beter te beschermen. Ze weten alleen niet waar te beginnen. De KPN-case laat zien dat het integreren van security in systemen met klantinformatie makkelijker is dan veel organisaties denken.
Het zijn drukke tijden voor Dave van Stein, security consultant bij Xebia. Hij merkt dat veel bedrijven zenuwachtig worden van de vele hacks en aanvallen, en de hoge boetes die horen bij de nieuwe wetgeving. En niet zonder reden, denkt hij. “De meeste organisaties hebben best een goed incident-response-mechanisme. Als er een keertje privacygevoelige informatie weglekt, kunnen ze behoorlijk adequaat reageren en het lek dichten. Daarmee kwam je tot 1 januari vaak wel weg, maar die tijd is voorbij. Aanvallen zijn niet altijd meteen duidelijk of worden direct publiekelijk bekend gemaakt. Bovendien loop je het risico een boete opgelegd te krijgen.”
Dat vraagt om een andere benadering van security. Een benadering die het strategische beleid van een organisatie integreert met innovatie. En dat is voor de meeste bedrijven nieuw, ziet Van Stein. “In de meeste organisaties vormen de securityspecialisten een aparte afdeling die weinig interactie heeft met andere afdelingen. Ze komen in actie als er bij een beleidswijziging een business-impactanalyse moet worden gemaakt en ze voeren periodiek risk assessments en penetratietesten uit. In de dagelijkse praktijk heeft de business weinig afstemming met deze securityspecialisten. Zeker in langere projecten maakte die scheiding het makkelijker voor alle partijen.”
Iedereen loopt risico
Makkelijk was die scheiding zeker, maar verantwoord is het niet meer, vindt de security consultant. “De boetes op datalekken zijn hoog genoeg om veel bedrijven meteen de das om te doen. Organisaties lopen kans hun ‘license to operate’ te verliezen. Als je als bank of hypotheekverstrekker bijvoorbeeld niet aan De Nederlandsche Bank kunt aantonen dat data van klanten bij jou veilig zijn, verlies je gewoon je banklicentie of hypotheeklicentie.” Een concreet voorbeeld is DigiD. Toen Logius eiste dat er aangetoond kon worden dat het veilig was ingericht, bleek plotseling dat veel, met name kleinere, partijen zelf te weinig securitymaatregelen hadden genomen en volledig op DigiD vertrouwden. Daarmee liepen ze van de ene op de andere dag het risico hun digitale dienstverlening te moeten stoppen omdat deze niet veilig genoeg was.
Veel organisaties vragen zich af: wat is het risico dat mijn systemen worden gehackt? En vooral: wat kunnen cybercriminelen met de privacygevoelige informatie van mijn klanten? Veel meer dan je denkt, vertelt Van Stein. “Criminelen betalen veel geld voor een uitgebreid profiel van een persoon. Die profielen bestaan uit de combinatie van heel veel verschillende data. Het simpele gegeven dat iemand bij jou klant is kan zo’n profiel al verrijken en is dus geld waard. Dat maakt dat vandaag de dag eigenlijk ieder bedrijf potentieel interessant is voor cybercriminelen.”
Alle reden dus om security hoger op de agenda te zetten.
Lees het hele verhaal online of in ICTMagazine van juni 2016.