image

Onderzoeker: maak gegevens over datalekken openbaar

vrijdag 23 november 2018, 14:26 door Redactie, 13 reacties

Bedrijven en organisaties die met een datalek te maken krijgen moeten dit niet alleen bij de Autoriteit Persoonsgegevens melden, maar gegevens over het incident ook openbaar maken. Dat vergroot het bewustzijn, maakt trends inzichtelijk en laat zien welke investeringen echt helpen.

Dat stelt onderzoeker Bernold Nieuwesteeg van Erasmus School of Law. Organisaties kunnen maar beter open en eerlijk zijn als het een keer gebeurt, zegt Nieuwesteeg. Die transparantie leidt er uiteindelijk volgens hem toe dat bedrijven veel effectiever kunnen investeren in cybersecurity. Onder de Algemene verordening gegevensbescherming (AVG) zijn bedrijven wettelijk verplicht om datalekken te melden, afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.

Details over datalekken of incidenten worden meestal niet gegeven. "Begrijpelijk", zegt Nieuwesteeg, "Want vertellen dat je bent gehackt, maakt je kwetsbaar. Toch is er een enorm verschil tussen de vrees van mensen en de daadwerkelijke gevolgen. De meeste mensen interesseert het namelijk vrij weinig dat een bedrijf is gehackt. Uit eerder onderzoek blijkt dat er op lange termijn geen nadelige effecten zijn."

De onderzoeker is dan ook voor het openbaar maken van datalekken. "De kennis die de meldplicht oplevert, wordt niet benut. De meldingen komen binnen bij de Autoriteit Persoonsgegevens, maar verdwijnen vervolgens in de digitale bureaulade. Het is een bureaucratische exercitie, terwijl het een kans kan zijn om te zien waar je kwetsbaarheden liggen, trends te analyseren en kijken welke veiligheidsmaatregelen effect hebben."

Het blijven melden van datalekken kan verder helpen bij het vergroten van bewustzijn en het herkennen van trends. "Investeren in beveiliging is prima, maar vervolgens moeten we wel kritisch kijken naar de baten van maatregelen. Je kunt een euro maar één keer uitgeven, dus dan wil je ook dat het effect heeft", aldus de onderzoeker.

Image

Reacties (13)
23-11-2018, 14:55 door Anoniem
De meeste mensen interesseert het namelijk vrij weinig dat een bedrijf is gehackt. Uit eerder onderzoek blijkt dat er op lange termijn geen nadelige effecten zijn.
Dit is wel kort door de bocht. Het hacken gebeurd nog maar 10 jaar... en nu gaan we pas merken wat het inhoud om je data te verliezen. Want we worden steeds meer afhankelijk van de computer. Dan kun je nu niet stellen dat het hacken van data geen nadelige invloed heeft.

Je krijgt toch ook slachtoffer hulp als er bij je is ingebroken en spullen zijn gejat? Waarom is dit in de digitale wereld niet zo? Omdat er een kopietje wordt gemaakt, en jij als consument je data niet kwijt bent? Daar komen we over 10 jaar wel op terug!

We zijn nog nooit zo afhankelijk van die computer gemaakt. Daarom was het tot nu toe dat gehackte data geen negatieve invloed had. Maar als straks alleen nog maar digitaal iets kan, zul je snel merken dat de data hacks echt wel negatieve invloed heeft iemands leven.

TheYOSH
23-11-2018, 15:07 door karma4
. "De kennis die de meldplicht oplevert, wordt niet benut. De meldingen komen binnen bij de Autoriteit Persoonsgegevens, maar verdwijnen vervolgens in de digitale bureaulade. Het is een bureaucratische exercitie, terwijl het een kans kan zijn om te zien waar je kwetsbaarheden liggen, trends te analyseren en kijken welke veiligheidsmaatregelen effect hebben."
Als je die kennis zou hebben waar zwaktes zitten dan ga je als het goed is een verbeterproces in.
Dat is de basis (pdca dmaic) van een security framework zoals iso iec 27001. Dan wordt dat als nutteloos management gedoe afgedaan https://www.security.nl/posting/587922/ISO+standaarden+voor+management

Een vraag: Waarom kan het AP niet zelf geanonimiseerde overzichten uit de binnengekomen meldingen maken?
23-11-2018, 17:00 door Anoniem
Door Anoniem:
De meeste mensen interesseert het namelijk vrij weinig dat een bedrijf is gehackt. Uit eerder onderzoek blijkt dat er op lange termijn geen nadelige effecten zijn.
Dit is wel kort door de bocht. Het hacken gebeurd nog maar 10 jaar... en nu gaan we pas merken wat het inhoud om je data te verliezen. Want we worden steeds meer afhankelijk van de computer. Dan kun je nu niet stellen dat het hacken van data geen nadelige invloed heeft.

Je krijgt toch ook slachtoffer hulp als er bij je is ingebroken en spullen zijn gejat? Waarom is dit in de digitale wereld niet zo? Omdat er een kopietje wordt gemaakt, en jij als consument je data niet kwijt bent? Daar komen we over 10 jaar wel op terug!

We zijn nog nooit zo afhankelijk van die computer gemaakt. Daarom was het tot nu toe dat gehackte data geen negatieve invloed had. Maar als straks alleen nog maar digitaal iets kan, zul je snel merken dat de data hacks echt wel negatieve invloed heeft iemands leven.

TheYOSH

Ik denk meer dat hij doelt op het bedrijf. Dat het geen nadelig effect voor het bedrijf heeft. Klanten lopen kennelijk niet direct bij je weg etc. (kijk maar naar gezichtsboek)
23-11-2018, 17:17 door Anoniem
Door Anoniem:
De meeste mensen interesseert het namelijk vrij weinig dat een bedrijf is gehackt. Uit eerder onderzoek blijkt dat er op lange termijn geen nadelige effecten zijn.
Dit is wel kort door de bocht. Het hacken gebeurd nog maar 10 jaar... en nu gaan we pas merken wat het inhoud om je data te verliezen. Want we worden steeds meer afhankelijk van de computer. Dan kun je nu niet stellen dat het hacken van data geen nadelige invloed heeft.

Ik denk dat dit probleem vanzelf ook wel minder zal worden. Nu is het nog heel vervelend als je digitale identiteit
gestolen wordt omdat er nog zoveel mogelijkheden zijn om daar misbruik van te maken. We kennen allemaal de
situatie rond BSN nummers. Owee owee als je BSN gelekt is. Maar als dat meer en meer gebeurt dan zullen degenen
die nu nog zo dom zijn om een BSN als legitimatie te zien een een kopietje-paspoort als bewijs van identiteit wel tot
inkeer komen en wordt de impact van dergelijke identiteitsdiefstal vanzelf weer minder. Het probleem van de
identiteitsdiefstal wordt dan verschoven van een persoonlijk probleem naar een probleem voor de samenleving
(omdat we wel blijven zitten met veel moeilijker identificatie en daarmee hogere kosten voor contracten en transacties)
maar als slachtoffer zit je er dan niet meer zo mee.

Hetzelfde geldt voor het lekken van persoonlijke informatie. De mate waarin iemand geraakt wordt door het lekken
van privé foto's enzo wordt voornamelijk bepaald door de eigen psyche, niet zozeer door het lek zelf. Als het vaker
en vaker voorkomt dan zal de impact voor individueen beslist afnemen, omdat men zich kan spiegelen aan anderen
en omdat de emotionele waarde van dit soort informatie zal dalen.
23-11-2018, 18:29 door Briolet
Door Anoniem:
Door Anoniem:
De meeste mensen interesseert het namelijk vrij weinig dat een bedrijf is gehackt. Uit eerder onderzoek blijkt dat er op lange termijn geen nadelige effecten zijn.
Dit is wel kort door de bocht. …

Ik denk meer dat hij doelt op het bedrijf.…

In de eerste zin is het duidelijk dat "de mensen" het onderwerp is. Als je dan in de volgende zin niet specifiek aangeeft wie je bedoelt, dan lijkt het me toch echt dat het over het onderwerp van de vorige zin gaan. Dus de mensen!

Ook uit de zin die voor het geciteerde stuk staat, blijkt dat het toch echt over "de mensen' gaat.
23-11-2018, 18:43 door Anoniem
Mijn database ligt hopelijk nog niet op straat, en hopelijk gebeurt dat nooit. Het lek wat bestaat is er al. Dat wordt namelijk volgende week gedicht in de update die ik nog niet heb. En het kan overal zitten want zelfs mijn processors van een heel bekend wereldmerk bleken al twee keer lek.

Voor mij betekent dat twee eerlijkheden.
1. In de faq's er eerlijk over zijn dat je nooit 100% veilig kunt zijn.
2. Zou er wat gebeuren, direct iedereen mailen. En ook even aan herinneren dat als ze wachtwoord of erger gebruikersnaam/wachtwoord ook elders gebruikt hebben, dat ook super kwetsbaar is geworden.

Heel belangrijk is dat als je vooraf netjes bent en niet de verkeerde indruk wekt, een groot lek altijd nog een bom is, maar je gebruiker toch sneller geneigd is om je te vergeven. Daarnaast zou ik absoluut niet beledigd zijn als een gebruiker me zou vragen of ik wel netjes "bij" ben met updaten. Eerlijk duurt het langst!
23-11-2018, 19:27 door Anoniem
Dan kun je er dus beter van te voren rekening mee houden en niet delen met het Internet wat je per se niet kwijt wilt.
Dat slachtoffers er maar aan moeten wennen is een rare vorm van function creep.

Dan heb je eigenlijk het veilighouden al opgegeven. Dat je slecht management, incompetent beheer e.d. niet wenst af te straffen maakt het alleen maar erger. Altijd wordt de meetlat gelegd aan de kant van de eindgebruiker en niet bij degenen die dik verdienen aan onze data en de eindgebruiker eigenlijk diep in hun k*nt hebben om het plat-Hollands duidelkijk te maken.

Zijn ze onaantastbaar of wanen ze zich zo? Ik moest op school ook mijn best doen anders kreeg ik een 2 voor de moeite,
waarom Big Tech en Overheid dan niet? Ze komen verdikkie overal mee weg tegenwoordig.
23-11-2018, 21:12 door karma4
Door Anoniem:..... We kennen allemaal de
situatie rond BSN nummers. Owee owee als je BSN gelekt is. Maar als dat meer en meer gebeurt dan zullen degenen
die nu nog zo dom zijn om een BSN als legitimatie te zien een een kopietje-paspoort als bewijs van identiteit wel tot
inkeer komen en wordt de impact van dergelijke identiteitsdiefstal vanzelf weer minder. ....
Volgens de mvt bij de invoering van het bsn, voormalig klantnummer belastingdienst, is duidelijk gesteld dat de accepterende partij een gedegen controle persoon bsn moet doen. Zo is het ook in de wet letterlijk opgenomen.

Dat het AP overheden en andere instanties zich niet aan de wet houden is onwettelijk.
Het noemen van bsn mag de identificatie zijn het bewijs ofwel de autenticatie dient door de verwerkende partij te gebeuren en daar hoort het probleem van Föten en schade te liggen.
Dat het rvig er nu makkelijk mee wegkomt is niet goed.
23-11-2018, 21:45 door Anoniem
Door Anoniem: Dan kun je er dus beter van te voren rekening mee houden en niet delen met het Internet wat je per se niet kwijt wilt.
Inderdaad
Dat slachtoffers er maar aan moeten wennen is een rare vorm van function creep.
Nee dat is gewoon de reele situatie. Als er maar genoeg externe partijen je data hebben dan is er altijd wel eentje
die het niet goed beveiligt of waar ondanks beveiliging toch iets gebeurd is. Als je niet met de gevolgen kunt leven
moet je data ook niet delen.

Om bij je school te blijven: daar heb je vast ook wel (door schade en schande) geleerd dat je een geheim niet aan je
vriendje moet vertellen en al helemaal niet aan 3-4 vriendjes. Zelfs niet als ze zeggen dat ze het niet gaan doorvertellen.
24-11-2018, 22:07 door Anoniem
Wat alle genieën en zelfbenoemde slimbo's nog wel eens willen vergeten is dat het de gebruiker is die uiteindelijk je gas en licht betaalt.
24-11-2018, 23:28 door Anoniem
Door Anoniem:
De meeste mensen interesseert het namelijk vrij weinig dat een bedrijf is gehackt. Uit eerder onderzoek blijkt dat er op lange termijn geen nadelige effecten zijn.
Dit is wel kort door de bocht. Het hacken gebeurd nog maar 10 jaar... en nu gaan we pas merken wat het inhoud om je data te verliezen. Want we worden steeds meer afhankelijk van de computer. Dan kun je nu niet stellen dat het hacken van data geen nadelige invloed heeft.

Sommige bedrijven kregen door de slechte PR juist meer klanten dan dat ze hadden voor dat er iets mis ging. Dus ik denk niet dat we al heel ver zijn als maatschappij als het om dit soort dingen gaat.
25-11-2018, 09:57 door Anoniem
Door Briolet: In de eerste zin is het duidelijk dat "de mensen" het onderwerp is. Als je dan in de volgende zin niet specifiek aangeeft wie je bedoelt, dan lijkt het me toch echt dat het over het onderwerp van de vorige zin gaan. Dus de mensen!

Ook uit de zin die voor het geciteerde stuk staat, blijkt dat het toch echt over "de mensen' gaat.
De hele alinea uit het geciteerde stuk:
'Begrijpelijk', zegt Nieuwesteeg, 'Want vertellen dat je bent gehackt, maakt je kwetsbaar. Toch is er een enorm verschil tussen de vrees van mensen en de daadwerkelijke gevolgen. De meeste mensen interesseert het namelijk vrij weinig dat een bedrijf is gehackt. Uit eerder onderzoek blijkt dat er op lange termijn geen nadelige effecten zijn.'
De "je" die gehackt is is het gehackte bedrijf. De mensen in "vrees van mensen" gaat over andere mensen dan die het in de volgende zin vrij weinig interesseert dat er gehackt is, de mensen die iets vrezen zijn mensen in het gehackte bedrijf. Die context maakt weer duidelijk dat het toch over nadelige gevolgen voor het bedrijf gaat.

Je moet niet alleen naar de vorige zin kijken voor de betekenis, de context is groter. Alinea's zijn er niet voor niets, die vormen ook een geheel. Zinnen in een alinea kunnen refereren aan het onderwerp van de alinea als geheel, niet per se alleen over wat (grammaticaal) het onderwerp van de voorgaande zin is.
26-11-2018, 08:31 door Anoniem
Als ik het onderzoek even kort scan dan heeft dit cybersecurity als uitgangspunt. De AP geeft in tegenstelling tot wat wordt gesuggereerd regelmatig inzicht in de meest voorkomende datalekken. De meeste hebben niets met cyber security te maken, maar bijvoorbeeld het verkeerd adresseren van e-mails. Dit is bijvoorbeeld ook het geval in de zorg. Oorzaken zijn dan domme menselijke fouten, denken te kunnen Multi-tasken maar het niet kunnen, hoge werkdruk, onderbezetting, cultuur, e.d., waarbij de mailprogrammatuur niet/onvoldoende in staat is om te kunnen zien dat adres en inhoud niet overeenstemmen. Als je dan nog eens details gaat prijsgeven van het datalek, lek je (opnieuw) privacy gevoelige gegevens.

De onderzoeker zou mogen weten dat als je generieke uitspraken wilt doen, je eerst moet kijken of je onderzoek wel voldoende representatief is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.