Informatiebeveiliging & AVG/GDPR: 6 essentiële stappen
Als de informatiebeveiliging niet op orde is, lopen gebruikers het gevaar dat persoonsgegevens op straat komen te liggen. Mogelijk met dramatische gevolgen. Met de intrede van de AVG en GDPR, was informatiebeveiliging tijdelijk een hot topic. Toch lijken overheden en bedrijven de veiligheid van data nog steeds niet hoog op de prioriteitenlijst te hebben staan. Of het lukt hen simpelweg niet om hier zorgvuldig mee om te gaan. Tijd om hier eens kritisch naar te kijken.
Informatiebeveiliging in Nederland
De voorbeelden van bedrijven die de informatiebeveiliging niet op orde hebben, vliegen je om de oren. Alleen dit jaar al zagen we 117.000 gelekte cv’s via het UWV, medische dossiers van kinderen en jongeren kwamen op straat te liggen door een fout van Bureau Jeugdzorg en zelfs de Belastingdienst strooit met BSN-nummers van zzp’ers.
Dit soort lekken en onzorgvuldigheden werken identiteitsfraude in de hand, wat nare gevolgen kan hebben voor individuen. Denk aan het afsluiten van een lening of abonnement, het huren van een auto of het kopen van een huis door iemand anders op jouw naam. Of simpelweg verdacht worden van zaken en misdrijven waar je niets mee te maken hebt. De meest bizarre verhalen hoor je voorbijkomen.
Zes belangrijke inzichten
Graag deel ik zes inzichten die ik als security-expert heb opgedaan.
1. Bespreek ook de voor de hand liggende gevaren
Laten we beginnen bij de meest basale zaken. Je laat je paspoort ook niet zomaar ergens liggen. Waarom gaan mensen dan wel onzorgvuldig om met hun digitale gegevens? Ze vergeten uit te loggen op publieke computers, laten USB-sticks rondslingeren en denken niet na bij het openen, beantwoorden of klikken op links in e-mails van onbekenden.
Phishing is nog steeds een populaire manier om wachtwoorden te achterhalen. Mensen letten niet op en denken ‘het zal wel kloppen’. Maar veel te vaak klopt het toch niet. En zo heeft phishing in 2018 banken 3,8 miljoen euro aan schade gekost. 3,5 keer zo veel als in 2017!
Het moeilijke is dat er een gedragsverandering nodig is om dit probleem op te lossen. Hierin ligt een opvoedende rol voor bedrijven en overheden richting het publiek, maar ook voor organisaties richting hun medewerkers. Zo zien we bijvoorbeeld dat veel banken hun verantwoordelijkheid nemen in het attenderen van hun gebruikers. Een goede ontwikkeling, ook al is de ene bank daar actiever in dan de andere.
Door het verplichten van password managers en two-factor authentication zorgen bedrijven dat hun medewerkers automatisch zorgvuldiger omgaan met gevoelige informatie. Al is het wel zaak om verder te gaan dan alleen het opstellen van regels. Er moet bewustwording worden gecreëerd.
2. Creëer bewustwording met angst
Het probleem bij bewustwording van veiligheid en privacy, is dat het geen directe impact heeft op mensen. Bij gelekte persoonsgegevens ondervind je hier niet direct hinder van. Mogelijk pas jaren later merkt een individu dat zijn of haar gegevens onrechtmatig gebruikt zijn. En dan wordt het een zware strijd om je gelijk te halen.
Identiteitsfraude komt steeds vaker voor. Wat tegenwoordig bijvoorbeeld populair is, is Tikkie-fraude. Eerst worden bankgegevens gestolen. Daarna wordt iemand anders zijn rekeningnummer gebruikt om een Tikkie te versturen. Het slachtoffer wordt als geldezel gebruikt en staat vervolgens ook bekend als degene die geld heeft gestolen.
Bewustwording creëer je met angst. Laat de mogelijke gevolgen zien van een gelekt wachtwoord, een ID-kaart of BSN-nummer. Door dit soort verhalen te blijven delen, zowel in de media als binnen organisaties, zal het publiek steeds beter het belang inzien van digitale veiligheid en het verantwoord omgaan met gegevens.
3. Voer updates zo snel mogelijk uit
Windows voert nog even een update uit, net nu je in alle haast je laptop wil dichtklappen. Vervelend. Maar wel noodzakelijk! Mensen ervaren het uitvoeren van updates helaas slechts als ‘irritant’.
Elke tweede dinsdag van de maand is het Patch Tuesday. Op deze dag voert Microsoft de maandelijkse beveiligingsupdates voor Windowssystemen en andere Microsoft-producten uit. Nu heeft Windows gelukkig een redelijk agressief update-beleid. Je kunt er eigenlijk niet om heen. Bij macOS daarentegen kun je updates maanden uitstellen. Kijk zelf maar eens naar welke updates er nog klaarstaan in je App Store. Bij normale updates is dat niet zo’n probleem, maar bij security patches is het zaak om zo snel mogelijk de updates door te voeren. Zolang je dit niet doet, blijf je kwetsbaar.
Eerder deze maand zagen we bijvoorbeeld nog een groot lek in Whatsapp, waardoor het Israëlische bedrijf NSO Group spionagesoftware kon installeren. Zo’n lek heet een zerodayattack. Vanaf dag één dat het lek bekend is, loopt iedere gebruiker zolang ze hun updates niet doorvoeren risico. Voor zo’n aanval wordt op de zwarte markt veel geld betaald om spyware te kunnen installeren. Na tien dagen kwam Whatsapp met een update, maar deze moet dan nog wel doorgevoerd worden door de gebruikers.
4. Sla zo min mogelijk gegevens op
Data-minimalisatie is één van de kernwaarden van de AVG. Sinds de intrede van de privacywetgeving zijn bedrijven verplicht om zo min mogelijk gegevens op te slaan en te verwerken.
Veel bedrijven wuiven deze verplichting weg. De pakkans is immers laag. Facebook en Google verzamelen toch ook alle data die ze maar kunnen verzinnen, waarom mag ik dan niet wat extra informatie van mijn bezoekers vragen?
Toch is het advies om zo min mogelijk gegevens te verzamelen en op te slaan. En als je de gegevens niet meer nodig hebt, verwijder het dan zo snel mogelijk. Hoe meer data er verzameld wordt, hoe meer er kan uitlekken. En als dat gebeurt, begint de ellende pas.
Hier ligt niet alleen een taak voor bedrijven, maar ook zeker voor overheden. Zo hebben wij in Nederland de regel dat bij ieder nieuw ID-bewijs een vingerafdruk digitaal wordt opgeslagen. Amerika deed dit al, Europa volgde en Nederland doet daar nu dus netjes aan mee. Terwijl deze data in Nederland nergens voor dient en dus ook nooit wordt gebruikt. Maar als de data uitlekt, verzwakt dit gebruiksvriendelijke alternatief de wachtwoord authenticatie voor iedereen.
5. Budget voor veiligheid
Bedrijven stellen budgetten op voor facilitaire zaken, ICT en trainingen en er worden potjes gemaakt voor teambuilding-uitjes. Eigenlijk zou er ook standaard budget moeten worden vrijgemaakt voor informatiebeveiliging. Helaas wordt informatiebeveiliging in de regel niet serieus genomen. Er wordt pas budget voor vrijgemaakt als het al een keer flink fout is gegaan. Een andere reden is dat het als bedrijf vaak als te duur wordt gezien om zich ervoor te verzekeren.
Toch is het beter om je bedrijf goed te beveiligen dan achteraf de schade op te ruimen. Een voorbeeld hiervan is de wereldwijde WannaCry ransomware-aanval in 2017 die onder andere twee terminalhavens in Rotterdam platlegde. De totale economische schade was 8 miljard euro.
Dit budget zou besteed moeten worden aan het organisatorisch rekening houden met de privacy en veiligheid van gebruikers en klanten. Dit gaat over het algemeen over het goed nadenken over welke persoonsgegevens je opslaat en het documenteren van deze denkstappen om te kunnen bewijzen dat hierover is nagedacht.
6. Design met veiligheid in je achterhoofd
Ook webdevelopers en webmasters moeten hun verantwoordelijk nemen en beveiliging als belangrijke pijler van hun werkzaamheden zien. Door direct de focus op informatiebeveiliging te leggen, wordt een veilige omgeving gecreëerd.
Ik adviseer ook altijd bewust om geen website met WordPress te bouwen, maar een custom website te (laten) bouwen. Jaarlijks worden honderdduizenden WordPress websites gehackt. Een belangrijke reden zijn de verschillende plug-ins die elk weer een apart veiligheidsrisico met zich meebrengen. Vooral als er geen updates worden doorgevoerd. Een beroemd voorbeeld is een lek in de Revolution Slider-plugin, waardoor de Panama Papers gelekt konden worden.
Laten we ervoor zorgen dat de aandacht blijft groeien, maar ook dat het steeds vanzelfsprekender wordt om verantwoord met informatiebeveiliging om te gaan.