Overslaan en naar de inhoud gaan

Wat gaat het winnen? De angst voor de hacker of voor de toezichthouder?

De impact van cybercrime is groter geworden, niet alleen doordat digitalisering de economie afhankelijker heeft gemaakt van technologie. Wat Nederlandse organisaties minstens evenveel kopzorgen baart is de nieuwe meldplicht datalekken. Privacy-toezichthouder CBP, die een reputatie gevestigd heeft met een strenger dan streng cookiebeleid, mag in 2016 forse boetes uitdelen aan Nederlandse bedrijven bij een hack van persoonsgegevens. Daar wordt het nodige van verwacht zo bleek op de bijeenkomst Innovating NL die gewijd was aan het onderwerp cybersecurity.

Wat gaat het winnen: de angst voor een discutabel imago, wat een speelgoedfabrikant als Vtech kan bevestigen, of een overijverige toezichthouder? Deze vraag speelde een centrale rol tijdens de bijeenkomst Innovating NL die op donderdag 3 december gehouden werd in het kantoor van The Hague Security Delta (HSD) in Den Haag.

Gastvrouw Ida Haisma, directeur van HSD, kreeg de eer de middag te openen en wees op de driehoek van overheidsorganisaties, marktpartijen en onderwijs en onderzoeksinstellingen die gezamenlijk cybercrime op de internationale kaart hebben gezet.

Het heeft nieuwe succesvolle starters voortgebracht zoals Autasas, maar minstens even belangrijk zijn nieuwe opleidingen. Het Haagse ROC Mondriaan heeft een aparte cybercrime-opleiding en recent zijn de Universiteit Leiden, de Technische Universiteit Delft en De Haagse Hogeschool de Stichting Cyber Security Academy (CSA) gestart om meer professionals met een cyber security-specialisme op te leiden.
 

Het nieuwe goud

Digitalisering en een versnellende innovatie belooft geweldige mogelijkheden. Maar om die te kunnen benutten is een nieuwe aanpak van (cyber) security noodzakelijk. Dat stelde generaal (b.d.) Dick Berlijn, aan Deloitte verbonden als specialist binnen de Enterprise Risk Services praktijk. Systemen moeten “secure by design” zijn opgezet en er moet vanuit worden gegaan dat het breken van digitale beveiliging een reële mogelijkheid is.

Incrementele verbetering wordt de nieuwe norm, maar ook internationale samenwerking en het opstellen van normen verdient de aandacht. Al deze zaken zijn volgens Berlijn een uitvoeringskwestie. Belangrijk aandachtspunt is dat Nederlandse organisaties zich er onvoldoende bewust van zijn dat data het nieuwe goud is. Je kunt er de mooiste dingen mee doen maar het kan ook van je gestolen worden als je niet goed oplet.
 

Wat gaat het winnen: de angst voor een discutabel imago of een overijverige toezichthouder?


En wat kan er dan gebeuren? Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij aan de Universiteit Leiden en partner van internationaal advocatenkantoor Bird & Bird, wijst op de nieuwe meldplicht datalekken die vanaf begin 2016 Nederlandse organisaties verplicht om inbreuken op persoonsgegevens door een hack te melden bij toezichthouder College Bescherming Persoonsgegevens en bij de betrokkenen. “Het gaat pijn doen en het hacken van databestanden met persoonsgegevens komt in de krant te staan”, aldus Zwenne.

“Het CPB kan sancties opleggen als zaken niet goed beveiligd zijn. Dat gaat om forse bedragen: 10 procent van de jaaromzet of 810 duizend euro. Een lek is heel ruim gedefinieerd. Zo valt het verliezen van een usb-stick met persoonsgegevens in de trein er ook onder. Dat is best ruim voor een wet die doordringt tot in de haarvaten van de bedrijfsvoering.”
 

Openhartig

Zwenne stelt dat het CBP openhartigheid verwacht van bedrijven en uitgaat van 60 duizend meldingen per jaar. Hun beleid is om bij twijfel meteen al aan de bel te trekken. Maar die melding kan een onaangenaam staartje krijgen, als een organisatie geen passende technische en organisatorische maatregelen heeft genomen om de persoonsgegevens goed te beschermen. Is dat het geval dan kan het CBP met een boete dreigen. Om zo'n boete daadwerkelijk uit te kunnen delen moet het CBP eerst een bindende aanwijzing geven. Zijn er dan nog geen afdoende maatregelen genomen dan kan die boete ook daadwerkelijk opgelegd worden.

Op de vraag wat passende maatregelen zijn, valt moeilijk een antwoord te geven. Versleuteld opslaan van persoonsgegevens wordt als een belangrijke maatregel gezien. In dialoog met de zaal wordt ook de richtlijn ISO 27001 genoemd die organisaties handvatten biedt om beveiliging procesmatig te verankeren. Op het moment dat organisaties dit certificaat op de deur mogen plakken, is te veronderstellen dat informatiebeveiliging serieus genomen is. Maar een garantie is het niet en voor kleinere organisaties is zo'n certificering een onhaalbare kaart. Doorslaggevend is de beveiligingsmaatstaf in een bepaalde branche. De medische sector krijgt hogere verwachtingen opgelegd. Hetzelfde geldt voor organisaties die kritieke infrastructuren in beheer hebben.
 

Aansprakelijk

Ben je als organisatie juridisch aansprakelijk te stellen als je de informatiebeveiliging niet op orde hebt? Evelyn Tjon-En-Fa, advocaat en partner bij Bird & Bird, betoogt van wel. Ze haalt het voorbeeld aan van Diginotar, de leverancier van beveiligingscertificaten voor grote delen van de Nederlandse overheid die in 2011 failliet is gegaan na een desastreuze hack. Door het gebruik van verouderde software, het niet versleutelen van wachtwoorden en het niet toepassen van verschillende netwerksegmenten elk met hun adequate beveiligingsmaatregelen konden hackers ongestraft toegang krijgen tot de beveiligingssleutels. 

“Als je weet dat je zo kwetsbaar bent, dan kun je daarvoor aansprakelijk gesteld worden, zeker als de gevoeligheid van de data tot grote schade kan leiden bij een lek”, aldus Tjon-En-Fa. “De benodigde maatregelen gaan verder dan het installeren van de meest dringende patches. Als gegevens kwetsbaar zijn dan kunnen zwaardere eisen worden gesteld aan beveiligingsmaatregelen. Anders kun je met succes aansprakelijk gesteld worden, zoals blijkt uit het voorbeeld van Diginotar. Daarbij moest de verkoper van de aandelen in Diginotar schadevergoeding betalen aan de koper voor de waardeloos geworden aandelen, wegens schending van contractuele garanties rondom de IT-beveiliging. De Amsterdamse rechtbank is daarbij diep in de technische aspecten van de beveiliging gedoken.”
 

Driekwart van de mkb'ers weet niks van cybersecurity en vindt het de verantwoordelijkheid van de IT-leverancier


Is de schade die voortkomt uit cybercrime te verzekeren inclusief een boete die het CBP uitdeelt? Dat blijkt het geval. Er zijn op dit moment al cybersecurity polissen in de markt waarmee risico's breed af te dekken zijn. Dat kan gaan om kosten voor het vinden en repareren van het datalek, schade die voortvloeit door het platleggen van processen, maar ook het in waarde verminderen van bedrijfsgeheimen door het uitlekken van deze vertrouwelijke informatie en eventueel geleden imagoschade.

Ook een eventuele boete van het CBP valt onder de verzekering, mits geen sprake is van opzet. Dit soort schade is niet of maar zeer ten dele gedekt onder traditionele verzekeringen. De geleden schade kan fors oplopen doordat incidenten als een olievlek ook andere organisaties in een waardeketen raakt. Naast dit soort gespecialiseerde cyber-polissen valt hoofdelijke aansprakelijkheid van bestuurders voor cyber-incidenten onder gangbare bestuurdersaansprakelijkheidsverzekeringen.
 

Kleine lettertjes

Sla de kleine lettertjes in de verzekeringspolissen zeker niet over, raadt Tjon-En-Fa aan. Ze noemt het een zachte, nieuwe markt waarbij verzekeraars graag nieuwe polissen willen verkopen. Kijk wel goed naar wat er van de dekking is uitgesloten en vergelijk verschillende aanbieders. Naast dergelijke nieuwe verzekeringsproducten is het ook raadzaam om de leveringsvoorwaarden van bestaande leveranciers te screenen op hun aansprakelijkheid wat betreft de schade die voortvloeit uit cyber-incidenten. Het is raadzaam om meer en expliciete garanties te vragen rondom de informatiebeveiliging op het moment dat een organisatie voor het eigen functioneren afhankelijk is van de infrastructuurdiensten van deze partij.
 

Bewustwording

En dan komt de dialoog in de zaal op een voor de IT-sector interessant punt. Bij de vraag van dagvoorzitter Ferry Mingelen of de IT-leverancier verantwoordelijk is voor de informatiebeveiliging steekt een overgrote meerderheid van de deelnemers in de zaal een groene kaart op. De leverancier wordt er blijkbaar op aangesproken als de beveiliging niet op orde is, terwijl dit in eerste instantie een verantwoordelijkheid van de gebruiker is.

Bij grotere organisaties die met uitbestedingsopdrachten werken wordt die verantwoordelijkheid meestal goed afgekaart. Bij kleinere organisaties die IT-diensten afnemen is dat minder goed geregeld en afgesproken. Afnemers willen over het algemeen voor een dubbeltje op de eerste rang zitten en gaan er stilzwijgend van uit dat de leverancier de beveiliging op orde heeft. De leverancier brengt het onderwerp niet ter sprake omdat er aanvullende maatregelen nodig zijn en hiervoor een extra factuur gestuurd moet kunnen worden. Hier zit een spanningsveld.

Dat bevestigt Frans van de Wetering die vanuit zijn bedrijf Threadstone betrokken is geweest bij een bewustwordingscampagne van MKB Nederland rondom cybersecurity. “Het animo om mee te doen aan deze scan onder mkb'ers naar kwetsbaarheden was laag”, aldus Van de Wetering. “Driekwart van de ondernemers weet niks van cybersecurity af en vindt dat de verantwoordelijkheid hiervoor in zijn geheel ligt bij de IT-leverancier. Die zou net als een autofabrikant verborgen gebreken als een slechte beveiliging kosteloos moeten repareren als deze zich voordoen.

Gevolg is dat tal van kleinere bedrijven niet goed beveiligd zijn tegen verlies, diefstal of misbruik van persoonsgegevens. Naast de schade kan hen dat straks ook nog op een bestuurlijke boete komen te staan. Meer ruchtbaarheid aan deze meldplicht is geen overbodige luxe.”
 

Hogere eisen

In de discussie gaan fabrikanten en leveranciers zeker niet vrijuit. Succesvolle hacks bestaan bij de gratie van kwetsbaarheden in veel gebruikte software. Afnemers kunnen hun opdrachtgevers eisen opleggen rond het uitbrengen en uitrollen van patches om deze kwetsbaarheden tijdig en adequaat te repareren. Bij het ontwikkelen van nieuwe software is het verstandig om expliciet te vereisen dat het eindproduct tal van maatregelen en hulpmiddelen bevat om informatie goed te kunnen beveiligen. Hetzelfde gebeurt voor de huidige en toekomstige consumentenproducten die op de markt gebracht zullen worden. Steeds meer apparaten krijgen een ip-adres, waardoor ze aan internet gekoppeld zijn met bijkomende gevolgen voor de bescherming van deze informatie. Aan dit soort nieuwe producten mogen hoge eisen gesteld worden rond de beveiliging.


 

Meldplicht

Met ingang van 1 januari 2016 treedt een wijziging van de Wet bescherming persoonsgegevens (Wbp) in werking die een meldplicht regelt voor datalekken. Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aan het College bescherming persoonsgegevens (CBP). Een organisatie mag de melding aan de betrokkenen achterwege laten als aantoonbaar passende technische beschermingsmaatregelen genomen zijn. Belangrijkste maatregelen is het versleutelen van de informatie zodat de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden.

 

Legacy besmettelijk

Het Nationaal Cyber Security Center (NCSC) waarschuwt bedrijven voor de risico's van legacysystemen. Deze zijn groter omdat legacysystemen kwetsbaarder zijn. De gebruikte technologie wordt niet of nauwelijks meer ondersteund door externe leveranciers of de eigen organisatie. Als er zich wel een incident of probleem voordoet, is er vaak binnen de eigen organisatie niet meer voldoende kennis aanwezig om het op te lossen. Daarnaast zijn veel legacysystemen inmiddels gekoppeld aan andere systemen of aan het internet, koppelingen waar de systemen oorspronkelijk niet voor zijn ontworpen. Het kenniscentrum voor cybersecurity heeft een self-assessment ontwikkeld om deze risico's inzichtelijk te maken.

Auteur: Sytse van der Schaaf

TAGS

Copyright © 2019 Mavim B.V.