Schneier: Wetgeving dataverlies helpt niet
In de meeste Amerikaanse staten zijn bedrijven verplicht om te melden als ze persoonlijke informatie hebben verloren, iets wat ook de Europese Unie verplicht wil stellen, het helpt alleen voor geen meter om dataverlies terug te dringen. De reden om dit soort wetgeving in te stellen is dat het wel zo netjes is om mensen te informeren als je iets van ze verliest. Ten tweede biedt het onderzoekers statistieken om het probleem in kaart te brengen en als laatste zou het bedrijven moeten bewegen om hun beveiliging te verscherpen.
Volgens Schneier is het niet in het financiële belang van bedrijven om persoonsgegevens te beschermen. De bedrijven die voor het beschermen van de data verantwoordelijk zijn, dragen niet de kosten als die op straat belandt. Het zijn de klanten en gebruikers die eronder lijden, maar die hebben geen controle, of zelfs kennis, van hoe het bedrijf z'n beveiliging regelt. "Het idee achter de wetgeving, en hoe ze aan beleidsmakers zijn verkocht, is dat ze de kosten vanwege de slechte publiciteit en het waarschuwen, zouden vergroten. Wat de bedrijven weer zou motiveren om hun beveiliging te verbeteren."
Negatieve publiciteit
Het idee van negatieve publiciteit werkt alleen als de pers eraan meewerkt. De eerste gevallen, zoals bij Choicepoint, wisten nog de media te halen, maar vandaag de dag is het geen nieuws meer. Daarnaast trekken de bedrijven zich er ook weinig van aan. Onderzoekers vergeleken staten waar bedrijven wel verplicht zijn om dataverlies te melden met staten waar dit niet het geval is. Het verschil was slechts twee procent.
Daarnaast doet de meeste identiteitsdiefstal zich voor als iemands computer wordt gehackt en niet in het geval van gehackte bedrijven, aldus Schneier. "Het effect van deze wetten is dus klein. De meeste security verbeteringen die bedrijven doorvoerden maakten niet veel verschil, wat het effect van de wetten vermindert." Toch is Schneier blij met de wetgeving, al is het alleen vanuit beleefdheid ende informatie die het oplevert.
Oplossing
Het zal echter nooit een oplossing voor identiteitsdiefstal zijn. "De reden dat diefstal van persoonlijke informatie zo gewoon is, komt omdat de data waardevol is zodra die gestolen wordt. Om het risico van fraude te voorkomen, moeten we niet proberen het stelen van persoonlijke informatie lastiger te maken, maar het gebruik ervan."
Het zal echter nooit een oplossing voor identiteitsdiefstal zijn.
Een re-active maatregel is nooit een oplossing. Het verminderd alleen de kans op...
Meneer Scheier heeft een open deur ingetrapt. Hopelijk heeft het niet tot gevolg dat men de wetgeving stop zet. Ik wordt namelijk wel graag op de hoogte gesteld als een bedrijf mijn gegevens verliest.
Als je denkt dat een re-active maatregel de oplossing is geloof je zeker ook aan:
- Hoge straf op moord voorkomt dat moorden gepleegd worden.
- Hoge straf op misbruik EPD voorkomt misbruik EPD.
etc..
Als je de databestanden altijd automatisch m.b.v. SecureZIP secure beveiligt, kunnen hackers of "vinders" van de databestanden er helemaal niet mee. SecureZIP is een bewezen technologie die bij heel veel financiele instellingen, overheidsinstellingen wereldwijd al jaren met succes wordt gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
