Security awareness met betrekking tot beveiligingsincidenten heeft gelukkig flinke stappen gemaakt sinds de wet meldplicht datalekken per 1 januari 2016 is ingevoerd.
De Autoriteit Persoonsgegevens, het orgaan dat zich bezig houdt met de naleving van de meldplicht, krijgt regelmatig meldingen binnen van zware lekken. Sterker nog! Als de meldplicht niet wordt nageleefd, heeft het orgaan de macht om een zeer grote geldboete op te leggen. Heel bizar, maar zeker terecht. Eerlijk gezegd had ik gehoopt dat dit proces ook door bedrijven geadopteerd zou worden voor beveiligingslekken. Uiteraard zijn de twee aan elkaar gelieerd, maar er zit ook zeker verschil tussen. In deze blog probeer ik beknopt en begrijpelijk uit te leggen waarom het belangrijk is om beveiligingsincidenten te kunnen herkennen en waarom ze ook direct gemeld moeten worden.
Wat zijn dan precies beveiligingsincidenten?
Om dit goed te kunnen uitleggen is het misschien beter om eerst het verschil weer te geven tussen een beveiligingsincident en een datalek. In de praktijk stelt men het volgende: ‘Een datalek is altijd een beveiligingslek, maar een beveiligingslek hoeft niet altijd een datalek te zijn.’ Huh?! Vraag je je af? We gaan er even dieper op in. De definitie van een datalek is het volgende: Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als je de onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Uiteraard van de website gekopieerd, maar de boodschap is duidelijk. Hoe staat dit dan tegenover een beveiligingsincident? Een inbreuk op de beveiliging, waarbij de vertrouwelijkheid van informatie in gevaar is of kan komen. Het magische woord, wat dus voor het verschil zorgt, is kan. ‘Ja, mijn USB-stick is gestolen. Nee, daar staat geen persoonsgebonden data op, alleen wat random plaatjes van google.’ Een datalek geeft aan dat persoonsgebonden data gecompromitteerd is. Een beveiligingsincident geeft aan dat er iets is gebeurd waardoor persoonsgebonden data gecompromitteerd is of kan worden.
Heldere definitie, maar wat moet ik me erbij voorstellen?
Harde voorbeelden werken natuurlijk beter dan beschrijvingen. Bedenk je daarom bij beveiligingsincidenten het volgende in:
- Het kwijtraken of de diefstal van een USB-stick, dvd of cd-rom, etc.
- Het kwijtraken of de diefstal van een laptop, smartphone of tablet, etc.
- Een share die per ongeluk publiekelijk toegankelijk was.
- Een malware-besmetting (ransomware, virussen, etc).
- Een calamiteit zoals een brand of inbraak in het datacentrum.
- Een inbraak van een hacker.
- Een mail die per ongeluk naar de verkeerde groep of extern wordt gestuurd.
Nu zal je ongetwijfeld een beter beeld bij een beveiligingsincident hebben.
Hartstikke mooi allemaal, maar wat moet ik er nu mee?
Uiteraard is het antwoord op deze vraag tevens het doel van deze blog. Om het heel strak uit te leggen heb ik even de slogan van de FBI gejat en vertaald: Cyber security is de verantwoordelijkheid van iedereen! De FBI geeft met behulp van deze slogan lessen aan Amerikaans overheidspersoneel om ze bewust te maken van veiligstelling voor digitaal bewijs. Waarom ze het doen maakt me eigenlijk niet zoveel uit. Dat ze het doen vind ik geweldig! Vanuit mijn positie als security officer word ik hier helemaal warm van. Want ze hebben gelijk! Veiligheid is de verantwoordelijkheid van al het personeel binnen een organisatie, niet alleen het security personeel.
Uiteraard moet er vanuit het management mandaat zijn voor het opzetten van campagnes enzovoorts, maar uiteindelijk is iedereen verantwoordelijk voor zijn eigen stukje veiligheid. Heel simpel: Als werknemer wordt je USB-stick gestolen met daarop onversleutelde persoonsgebonden data. Dit is natuurlijk een enorm datalek. Stel je meldt dit pas na een week aan je chef (moet binnen 6 uur eigenlijk) – en de Autoriteit Persoonsgegevens komt hier achter? Dat is een boete van maximaal 900.000 euro. Er zijn genoeg toekomstige paden om te bewandelen na dit incident, maar dat je werkend leven er niet beter van gaat worden is wel duidelijk. Als je überhaupt nog werk hebt. Door het verbergen, verzwijgen of domweg negeren van beveiligingsincidenten gaat niemand ooit vrolijk worden – dat is dus inclusief jezelf.
Moraal van dit verhaal?
Zorg ervoor dat je alle mogelijke beveiligingsincidenten meldt bij de daarvoor bestemde personen (security officer / manager / service desk). Ook bij twijfel, gewoon doen. Beter een melding teveel dan te weinig. Met andere woorden: beter teveel zeuren dan je baan verliezen plus een boete van bijna een miljoen.
