IBM hekelt Europese meldplicht datalekken
Volgens IBM topman Joe Anthony is het onmogelijk voor gehackte bedrijven om de autoriteiten binnen 24 uur op zinnige wijze in te lichten, zoals de Europese Commissie wil. Bedrijven hebben straks een dag de tijd om in het geval van een datalek de autoriteiten te informeren. Het nieuwe privacyvoorstel zorgt ervoor dat bedrijven niet de tijd hebben om de details te overhandigen die duidelijk maken hoe groot het probleem is, stelt Anthony.
"Ik denk dat aansprakelijkheid belangrijk is, maar het is lastig voor bedrijven om de autoriteiten zo snel te informeren", aldus de directeur security, risk en compliance product management. "Een datalek is ernstig, maar je moet eerst goed onderzoeken om de volledige omvang van het datalek te bepalen en ik twijfel of veel bedrijven de mogelijkheden hebben om dat binnen 24 uur te doen."
"Zelfs als je een datalek detecteert, kan het in meer dan één applicatie of database hebben plaatsgevonden. Daarom is er tijd nodig om een onderzoek uit te voeren."
Als managers als Anthony binnen hun eigen bedrijf en als dienstverlener voor duizenden andere bedrijven verantwoord met onze persoonsgegevens waren omgesprongen hadden ze nu niet wettelijk zo'n sprong op hun bord gekregen. Ze gaan vanaf nu maar eens doen wat ze al jaren hadden moeten doen.
Het liefst investeerd het bedrijfsleven er helemaal niet in, tenzij het winstgevend is. Dit verantwoord werken kost ze alleen maar tijd en dus kostbaar geld. Het komt juist door de zelfregulering en de luiheid dat Joe Anthony en zijn zakenvriendjes zo'n enorme sprong moet maken in veranwoord omgaan met andermans gegevens dat het net lijkt alsof die sprong niet verantwoord is. Maar dat is de wereld volledig op zijn kop.
We hebben in Nederland echt een vreselijk slecht security model en alles behalve proactief en geoptimaliseerd.
Bedrijven hebben een erg luie houding m.b.t. security. Zelfs als er kalveren verdrinken...... dan haalt met de put even leeg en gaan we door.
We hebben in Nederland echt een vreselijk slecht security model en alles behalve proactief en geoptimaliseerd.
Bedrijven hebben een erg luie houding m.b.t. security. Zelfs als er kalveren verdrinken...... dan haalt met de put even leeg en gaan we door.
Nee, het geeft aan dat (forensisch) onderzoek, het doorploegen van mogelijkerwijs gigabytes aan logbestanden en het bepalen van de impact van een aanval niet tussen het voor- en nagerecht wordt uitgevoerd, maar dat daar veel meer bij komt kijken. Denk even aan Diginotar. Denken we nou echt dat zij binnen 24 uur wisten wat er aan de hand was? Joe Anthony weet heel goed dat de analyseketen, die op strikte wijze doorlopen dient te worden om duidelijk te krijgen wat er is gebeurd zonder daarmee stappen over te slaan die mogelijkerwijs resulteren in een zaak die niet voor de rechter gebracht kan worden, niet afgeraffeld kan worden. En dat kost wel vaker wat meer dan 24 uur om het plaatje voldoende duidelijk te krijgen om een meldplicht zinvol te maken. Hij keurt de meldplicht niet af, hij keurt de 24 uur af. En daar kan ik helemaal in meegaan. Maak er 72 uur van. Dat geeft voldoende tijd en vereist een proactieve houding aan de kant van het bedrijf, zonder dat de lopende operationele zaken (ja, die zijn er ook) in gedrang komen en forensisch onderzoekers of andere personen worden weggetrokken van projecten, vakanties, ziekte e.d.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
