image

IBM hekelt Europese meldplicht datalekken

dinsdag 13 maart 2012, 10:53 door Redactie, 4 reacties

Volgens IBM topman Joe Anthony is het onmogelijk voor gehackte bedrijven om de autoriteiten binnen 24 uur op zinnige wijze in te lichten, zoals de Europese Commissie wil. Bedrijven hebben straks een dag de tijd om in het geval van een datalek de autoriteiten te informeren. Het nieuwe privacyvoorstel zorgt ervoor dat bedrijven niet de tijd hebben om de details te overhandigen die duidelijk maken hoe groot het probleem is, stelt Anthony.

"Ik denk dat aansprakelijkheid belangrijk is, maar het is lastig voor bedrijven om de autoriteiten zo snel te informeren", aldus de directeur security, risk en compliance product management. "Een datalek is ernstig, maar je moet eerst goed onderzoeken om de volledige omvang van het datalek te bepalen en ik twijfel of veel bedrijven de mogelijkheden hebben om dat binnen 24 uur te doen."

"Zelfs als je een datalek detecteert, kan het in meer dan één applicatie of database hebben plaatsgevonden. Daarom is er tijd nodig om een onderzoek uit te voeren."

Reacties (4)
13-03-2012, 11:06 door Anoniem
IBM topman Joe Anthony geeft daarmee aan dat bedrijven wel wat anders te doen hebben dan verantwoord met de persoonsgegevens van anderen om te gaan.

Als managers als Anthony binnen hun eigen bedrijf en als dienstverlener voor duizenden andere bedrijven verantwoord met onze persoonsgegevens waren omgesprongen hadden ze nu niet wettelijk zo'n sprong op hun bord gekregen. Ze gaan vanaf nu maar eens doen wat ze al jaren hadden moeten doen.

Het liefst investeerd het bedrijfsleven er helemaal niet in, tenzij het winstgevend is. Dit verantwoord werken kost ze alleen maar tijd en dus kostbaar geld. Het komt juist door de zelfregulering en de luiheid dat Joe Anthony en zijn zakenvriendjes zo'n enorme sprong moet maken in veranwoord omgaan met andermans gegevens dat het net lijkt alsof die sprong niet verantwoord is. Maar dat is de wereld volledig op zijn kop.
13-03-2012, 13:12 door NepZeb
Lol ja, inderdaad. Zo is het wel. Het zou ook helpen als we nu eens wat zinnige regelgeving hadden die ook eisen stelt aan beveiligings niveau's en dit wat helderder uiteenzet.
We hebben in Nederland echt een vreselijk slecht security model en alles behalve proactief en geoptimaliseerd.

Bedrijven hebben een erg luie houding m.b.t. security. Zelfs als er kalveren verdrinken...... dan haalt met de put even leeg en gaan we door.
13-03-2012, 13:12 door NepZeb
Lol ja, inderdaad. Zo is het wel. Het zou ook helpen als we nu eens wat zinnige regelgeving hadden die ook eisen stelt aan beveiligings niveau's en dit wat helderder uiteenzet.
We hebben in Nederland echt een vreselijk slecht security model en alles behalve proactief en geoptimaliseerd.

Bedrijven hebben een erg luie houding m.b.t. security. Zelfs als er kalveren verdrinken...... dan haalt met de put even leeg en gaan we door.
14-03-2012, 10:34 door Overcome
Door Anoniem: IBM topman Joe Anthony geeft daarmee aan dat bedrijven wel wat anders te doen hebben dan verantwoord met de persoonsgegevens van anderen om te gaan.

Nee, het geeft aan dat (forensisch) onderzoek, het doorploegen van mogelijkerwijs gigabytes aan logbestanden en het bepalen van de impact van een aanval niet tussen het voor- en nagerecht wordt uitgevoerd, maar dat daar veel meer bij komt kijken. Denk even aan Diginotar. Denken we nou echt dat zij binnen 24 uur wisten wat er aan de hand was? Joe Anthony weet heel goed dat de analyseketen, die op strikte wijze doorlopen dient te worden om duidelijk te krijgen wat er is gebeurd zonder daarmee stappen over te slaan die mogelijkerwijs resulteren in een zaak die niet voor de rechter gebracht kan worden, niet afgeraffeld kan worden. En dat kost wel vaker wat meer dan 24 uur om het plaatje voldoende duidelijk te krijgen om een meldplicht zinvol te maken. Hij keurt de meldplicht niet af, hij keurt de 24 uur af. En daar kan ik helemaal in meegaan. Maak er 72 uur van. Dat geeft voldoende tijd en vereist een proactieve houding aan de kant van het bedrijf, zonder dat de lopende operationele zaken (ja, die zijn er ook) in gedrang komen en forensisch onderzoekers of andere personen worden weggetrokken van projecten, vakanties, ziekte e.d.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.