Op 1 januari 2016 is het zover, dan treedt de nieuwe Wet Bescherming Persoonsgegevens in werking. Belangrijk onderdeel daarvan is de verplichting om datalekken waarbij persoonsgegevens betrokken zijn, te melden. Bij veel van die incidenten blijkt dat klanten grote moeite hebben om snel en effectief te kunnen handelen.
Door Kevin Jonkers, Manager Forensics & Incident Response bij Fox-IT
Bovendien worden lekken heel vaak niet opgemerkt door de organisatie zelf, maar door externe partijen zoals opsporings- en inlichtingendiensten of beveiligingsonderzoekers. Erg vervelend allemaal, maar het wordt een stuk nijpender wanneer de meldplicht van kracht wordt. Die stelt namelijk (volgens de recentelijk gepubliceerde conceptrichtsnoeren van het CBP) dat binnen twee werkdagen na ontdekking melding gemaakt moet worden van een datalek.
Na twee werkdagen zal bij veel organisaties het onderzoek nog in de beginfase zitten en dus nog lang niet zijn afgerond. De melding moet dan dus later nog worden aangevuld, bijgesteld of wellicht ingetrokken. Daarmee maak je geen beste beurt bij het CBP, want alleen al het feit dat een incident laat wordt ontdekt, geeft al aan dat de beveiliging van persoonsgegevens hoogstwaarschijnlijk niet het vereiste ‘passende niveau’ heeft.
Sporen verdwenen
We zien maar al te vaak dat organisaties zich niet goed hebben voorbereid. Er blijken geen goede logbestanden aanwezig of deze gaan niet ver genoeg terug in de tijd, er is geen inzicht in activiteit op het netwerk, procedures blijken in de praktijk niet te werken en de mensen zijn niet goed opgeleid of voorbereid. Dat betekent vaak dat detectie van een verdachte activiteit te wensen over laat of helemaal niet heeft gewerkt. En dan kost ook het oppakken en oplossen van een incident aanzienlijk meer tijd, geld en moeite dan noodzakelijk is. Bovendien bestaat de kans dat oorzaken en gevolgen van een incident nooit meer helemaal duidelijk worden, want als incidenten laat worden opgemerkt is de kans groot dat veel relevante sporen met de tijd zijn verdwenen.
Onbekend welke gegevens weg zijn
Wanneer het lek zo serieus is dat betrokkenen geïnformeerd moeten worden, moet de organisatie natuurlijk wel precies weten welke gegevens al dan niet getroffen zijn. In onze dagelijkse praktijk blijkt dat zelfs dit soms ten dele en vaak helemaal niet vast te stellen is! Dat de beveiliging van gegevens te omzeilen valt, kan in veel gevallen nog uitgelegd worden. Maar dat je vervolgens geen idee hebt van welke gegevens precies weg zijn, laat staan waar ze naartoe zijn gegaan, is een stuk kwalijker en valt eigenlijk niet uit te leggen.
Geloofwaardige uitleg
Voor organisaties valt er de komende tijd dus, naast het inregelen van allerlei juridische en procedurele zaken, ook op technisch vlak nog erg veel te verbeteren om te kunnen voldoen aan de nieuwe wetgeving. Dat betekent dat er niet alleen een beveiliging moet komen op ‘passend niveau’, maar ook dat, mocht het mis gaan, een lek onmiddellijk ontdekt wordt. Ook moeten alle voorbereidingen zijn getroffen om dan direct in actie te komen. En, misschien nog wel belangrijker: weet welke gegevens je hebt, zodat je ook kunt nagaan welke precies weg zijn als er een lek wordt ontdekt.
Al deze verschillende aspecten moeten ook nog eens naadloos op elkaar aansluiten. Dat vereist een duidelijke visie en strategie, die begint op het niveau van de raad van bestuur en pas eindigt in de dagelijkse operatie. Alleen als dit allemaal in orde is kan een organisatie zich op tijd bij het CPB melden met een juiste en geloofwaardige uitleg van een lek. Zo niet, hangt de organisatie – na de jaarwisseling – een torenhoge boete boven het hoofd.
In de emergency response praktijk van Fox-IT is het onderzoeken van security-incidenten al jaren dagelijkse kost. Bij grote en kleine digitale inbraken ondersteunt het Computer Emergency Response Team van Fox-IT, FoxCERT, klanten in het onderzoeken, onder controle krijgen en verhelpen van de noodsituatie.