Harm van Koppen van Sophos over GDPR: “Houdt het simpel, begin met kleine stapjes”
De GDPR richtlijn beslaat ruim 250 pagina’s. Het is dan ook niet vreemd dat bedrijven niet goed weten waar te beginnen. Temeer daar GDPR niet alleen over security gaat. Het gaat ook over compliancy, toestemming, one-stop-shop reporting en veel meer. Harm van Koppen, Distribution Channel Manager bij Sophos, heeft inmiddels geleerd: “Ook met kleine stappen kun je richting compliancy komen.”
Toen de meldplicht datalekken twee jaar geleden werd ingesteld, benadrukte Sophos vooral dat bedrijven encryptie moesten gaan gebruiken. Inmiddels klinkt er een ander geluid. Van Koppen: “Wij zijn tot inkeer gekomen, want we hebben gezien dat encryptie voor veel bedrijven gewoon te ingrijpend is. Het vergt veel van de resources waar MKB-organisaties vaak niet over beschikken. Bovendien is heel veel data niet GDPR-gevoelig, dus encryptie zou hier een te zwaar middel zijn. Nu zeggen we: houdt het vooral simpel en begin met kleine stapjes. Bekijk eerst jouw interne processen en breng in kaart wat er gebeurt met de data. Waar wordt de data voor gebruikt? Hoe zijn de medewerkers verbonden met internet, via mobile devices of anderszins? Ben je vooral bang voor ransomware of ook voor andere cyberaanvallen? Vanuit deze analyses kun je met hele simpele stappen voor adequate beveiliging zorgen op die punten. Ook kun je dan in het kader van de GDPR aantonen dat je de nodige stappen hebt ondernomen.”
Jurisprudentie
Als securityspecialist kan Sophos veel betekenen op het gebied van databeveiliging. Met hun oplossingen kan een bedrijf onder meer aantonen dat de content van een gestolen laptop beveiligd is met schijf- of bestandsversleuteling. Een crimineel kan dan vrijwel onmogelijk bij die gegevens. “Toch gaat slecht één artikel in de GDPR echt over security”, weet Van Koppen. “Artikel 32 maakt expliciet melding van zogeheten pseudonymisation (anonimisering) en versleuteling van data. Twee andere artikelen raken zijdelings aan securityzaken. Vanuit onze ruime ervaring maken wij ook richtlijnen over hoe je kunt aangeven waarom je bepaalde data verzamelt, over het inrichten van interne procedures en dergelijke. Bedrijven die bij ons voor hulp aankloppen, stellen ons meestal de vraag: waar moet ik beginnen? Organisaties die nog volledig in het duister tasten over de juiste aanpak, adviseren wij om allereerst met een jurist te praten. Ondanks de verordening wordt de praktijk pas echt duidelijk na de eerste jurisprudentie. Pas dan wordt duidelijk hoe de EU bepaalde situaties interpreteert, invult en bestraft. We hadden gehoopt dat er jurisprudentie zou komen met de meldplicht datalekken, maar dat is gebleven bij een paar tikjes op de vingers.”
De belangrijkste jurisprudentie zal volgens Van Koppen het eerst de grote vissen betreffen. “Ik vermoed dat het MKB(+) iets meer tijd zal krijgen om aan de richtlijnen te voldoen.”
Onderzoek
Sophos onderzocht de impact van de GDPR op organisaties. Hieraan deden 625 it-managers mee uit de UK, Frankrijk en de Benelux. Ongeveer een kwart van hen geeft aan dat ze weinig of niets begrijpen van de GDPR. Het is duidelijk dat de meesten (81%) de richtlijn serieus nemen, maar vooralsnog zegt slechts 14 procent compliant te zijn. Iets minder dan de helft (42%) is naar eigen zeggen klaar in mei 2018, maar een flink deel (41%) is daar nog niet zeker van. Gezien de enorme boetes die kunnen worden opgelegd en de grote reputatieschade die een datalek kan veroorzaken, is dit aantal verontrustend hoog.
Haalt uw organisatie de GDPR-deadline van 25 mei 2018?
De meerderheid van de ondervraagde managers (60%) vertrouwt volledig op de effectiviteit van hun anti-malware beveiliging. Minder zeker zijn ze van hun zaak als het gaat over verloren of gestolen devices (46%), menselijke fouten en onbedoelde openbaarmaking (31%) of doelbewuste openbaarmaking door een crimineel uit de eigen gelederen (38%).
Drie stappen
Wat het beveiligen van data betreft, stelt Sophos drie overzichtelijke stappen voor. Stap 1: Begin met beveiliging tegen malware (waaronder ransomware). Uit eigen onderzoek [zie kader] blijkt dat de meeste datalekken het gevolg zijn van malware of hacking. Dus zelfs wanneer organisaties inschatten dat ze niet op tijd volledig GDPR-compliant zijn, kunnen ze in ieder geval anti-malware maatregelen nemen. Daarmee vangen ze het leeuwendeel van het probleem af. “Wij positioneren Sophos Intercept X als een anti-ransomwareoplossing”, vertelt Van Koppen. “Maar eigenlijk is het anti-malware en anti-exploit software. Het detecteert en bestrijdt bijvoorbeeld ook zero-day exploits. Naast die relatief simpele oplossing kun je ook je mobile devices beschermen met een degelijke EMM-oplossing en de data op je laptops met diskencryptie. Dat is een uitstekende databeveiliging ingeval van verlies van endpoints.”
Stap 2 betreft netwerkbeveiliging via firewalling en het beveiligen van e-mail clients. In stap 3 zorg je voor bestandsversleuteling (file encryptie). Het afhandelen van de eerste stap vraagt relatief weinig investering en weinig tijd, weet Van Koppen. “Bovendien blijft een en ander goed draaien zonder al teveel beheer. Met die eerste stap ben je voor ongeveer 75 procent beschermd tegen datalekken. Wil je als organisatie nog beter voldoen aan GDPR, dan ga je ook aan de slag met stap 2 en 3. De derde stap is met name geschikt voor grotere bedrijven. Goede encryptie vereist wel enige implementatietijd, dus wie dit wil doen, kan daar het beste zo snel mogelijk mee beginnen.”
‘Had ik maar’
Bedrijven die echt niet weten waar ze moeten beginnen, blijven vaak langs de zijlijn toekijken. Van Koppen vergelijkt het met het autorijden met of zonder gordel. “Wie ervoor kiest nooit een autogordel te dragen, heeft een kans dat hem nooit iets overkomt. Maar mocht er toch iets gebeuren – de politie deelt een boete uit, of erger, je krijgt een ongeluk – dan kijk je gegarandeerd terug met de gedachte ‘had ik maar’. Nu laat de wetgeving scherpere tanden zien en dat maakt toch indruk. In ons onderzoek zegt 17 procent dat ze het bedrijf kunnen sluiten als ze vanuit de GDPR beboet worden. Anderen (36%) moeten serieus in budgetten of personeel gaan snijden. Is het dan dat risico waard om die gordel niet om te doen?”
Illusie
Tot slot wijst Van Koppen op de illusie van privacy. “Velen geloven dat privacy echt nog bestaat. Wie op Facebook, Twitter of Instagram zit, heeft geen privacy meer. Voor echte privacy moet je bijna in een hutje in het bos gaan zitten, zonder internet. Maar goed, desondanks geeft de GDPR ons een flinke duw in de goede richting. We moeten ook niet vergeten dat het internet en de social media er relatief gezien nog maar net zijn. Het is logisch dat we daarin nog een leercurve moeten doormaken. En daar draagt de GDPR zeker aan bij.”
