Onderzoeker: maak gegevens over datalekken openbaar
Bedrijven en organisaties die met een datalek te maken krijgen moeten dit niet alleen bij de Autoriteit Persoonsgegevens melden, maar gegevens over het incident ook openbaar maken. Dat vergroot het bewustzijn, maakt trends inzichtelijk en laat zien welke investeringen echt helpen.
Dat stelt onderzoeker Bernold Nieuwesteeg van Erasmus School of Law. Organisaties kunnen maar beter open en eerlijk zijn als het een keer gebeurt, zegt Nieuwesteeg. Die transparantie leidt er uiteindelijk volgens hem toe dat bedrijven veel effectiever kunnen investeren in cybersecurity. Onder de Algemene verordening gegevensbescherming (AVG) zijn bedrijven wettelijk verplicht om datalekken te melden, afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.
Details over datalekken of incidenten worden meestal niet gegeven. "Begrijpelijk", zegt Nieuwesteeg, "Want vertellen dat je bent gehackt, maakt je kwetsbaar. Toch is er een enorm verschil tussen de vrees van mensen en de daadwerkelijke gevolgen. De meeste mensen interesseert het namelijk vrij weinig dat een bedrijf is gehackt. Uit eerder onderzoek blijkt dat er op lange termijn geen nadelige effecten zijn."
De onderzoeker is dan ook voor het openbaar maken van datalekken. "De kennis die de meldplicht oplevert, wordt niet benut. De meldingen komen binnen bij de Autoriteit Persoonsgegevens, maar verdwijnen vervolgens in de digitale bureaulade. Het is een bureaucratische exercitie, terwijl het een kans kan zijn om te zien waar je kwetsbaarheden liggen, trends te analyseren en kijken welke veiligheidsmaatregelen effect hebben."
Het blijven melden van datalekken kan verder helpen bij het vergroten van bewustzijn en het herkennen van trends. "Investeren in beveiliging is prima, maar vervolgens moeten we wel kritisch kijken naar de baten van maatregelen. Je kunt een euro maar één keer uitgeven, dus dan wil je ook dat het effect heeft", aldus de onderzoeker.
Je krijgt toch ook slachtoffer hulp als er bij je is ingebroken en spullen zijn gejat? Waarom is dit in de digitale wereld niet zo? Omdat er een kopietje wordt gemaakt, en jij als consument je data niet kwijt bent? Daar komen we over 10 jaar wel op terug!
We zijn nog nooit zo afhankelijk van die computer gemaakt. Daarom was het tot nu toe dat gehackte data geen negatieve invloed had. Maar als straks alleen nog maar digitaal iets kan, zul je snel merken dat de data hacks echt wel negatieve invloed heeft iemands leven.
TheYOSH
Dat is de basis (pdca dmaic) van een security framework zoals iso iec 27001. Dan wordt dat als nutteloos management gedoe afgedaan https://www.security.nl/posting/587922/ISO+standaarden+voor+management …
Een vraag: Waarom kan het AP niet zelf geanonimiseerde overzichten uit de binnengekomen meldingen maken?
Je krijgt toch ook slachtoffer hulp als er bij je is ingebroken en spullen zijn gejat? Waarom is dit in de digitale wereld niet zo? Omdat er een kopietje wordt gemaakt, en jij als consument je data niet kwijt bent? Daar komen we over 10 jaar wel op terug!
We zijn nog nooit zo afhankelijk van die computer gemaakt. Daarom was het tot nu toe dat gehackte data geen negatieve invloed had. Maar als straks alleen nog maar digitaal iets kan, zul je snel merken dat de data hacks echt wel negatieve invloed heeft iemands leven.
TheYOSH
Ik denk meer dat hij doelt op het bedrijf. Dat het geen nadelig effect voor het bedrijf heeft. Klanten lopen kennelijk niet direct bij je weg etc. (kijk maar naar gezichtsboek)
Ik denk dat dit probleem vanzelf ook wel minder zal worden. Nu is het nog heel vervelend als je digitale identiteit
gestolen wordt omdat er nog zoveel mogelijkheden zijn om daar misbruik van te maken. We kennen allemaal de
situatie rond BSN nummers. Owee owee als je BSN gelekt is. Maar als dat meer en meer gebeurt dan zullen degenen
die nu nog zo dom zijn om een BSN als legitimatie te zien een een kopietje-paspoort als bewijs van identiteit wel tot
inkeer komen en wordt de impact van dergelijke identiteitsdiefstal vanzelf weer minder. Het probleem van de
identiteitsdiefstal wordt dan verschoven van een persoonlijk probleem naar een probleem voor de samenleving
(omdat we wel blijven zitten met veel moeilijker identificatie en daarmee hogere kosten voor contracten en transacties)
maar als slachtoffer zit je er dan niet meer zo mee.
Hetzelfde geldt voor het lekken van persoonlijke informatie. De mate waarin iemand geraakt wordt door het lekken
van privé foto's enzo wordt voornamelijk bepaald door de eigen psyche, niet zozeer door het lek zelf. Als het vaker
en vaker voorkomt dan zal de impact voor individueen beslist afnemen, omdat men zich kan spiegelen aan anderen
en omdat de emotionele waarde van dit soort informatie zal dalen.
Ik denk meer dat hij doelt op het bedrijf.…
In de eerste zin is het duidelijk dat "de mensen" het onderwerp is. Als je dan in de volgende zin niet specifiek aangeeft wie je bedoelt, dan lijkt het me toch echt dat het over het onderwerp van de vorige zin gaan. Dus de mensen!
Ook uit de zin die voor het geciteerde stuk staat, blijkt dat het toch echt over "de mensen' gaat.
Voor mij betekent dat twee eerlijkheden.
1. In de faq's er eerlijk over zijn dat je nooit 100% veilig kunt zijn.
2. Zou er wat gebeuren, direct iedereen mailen. En ook even aan herinneren dat als ze wachtwoord of erger gebruikersnaam/wachtwoord ook elders gebruikt hebben, dat ook super kwetsbaar is geworden.
Heel belangrijk is dat als je vooraf netjes bent en niet de verkeerde indruk wekt, een groot lek altijd nog een bom is, maar je gebruiker toch sneller geneigd is om je te vergeven. Daarnaast zou ik absoluut niet beledigd zijn als een gebruiker me zou vragen of ik wel netjes "bij" ben met updaten. Eerlijk duurt het langst!
Dat slachtoffers er maar aan moeten wennen is een rare vorm van function creep.
Dan heb je eigenlijk het veilighouden al opgegeven. Dat je slecht management, incompetent beheer e.d. niet wenst af te straffen maakt het alleen maar erger. Altijd wordt de meetlat gelegd aan de kant van de eindgebruiker en niet bij degenen die dik verdienen aan onze data en de eindgebruiker eigenlijk diep in hun k*nt hebben om het plat-Hollands duidelkijk te maken.
Zijn ze onaantastbaar of wanen ze zich zo? Ik moest op school ook mijn best doen anders kreeg ik een 2 voor de moeite,
waarom Big Tech en Overheid dan niet? Ze komen verdikkie overal mee weg tegenwoordig.
situatie rond BSN nummers. Owee owee als je BSN gelekt is. Maar als dat meer en meer gebeurt dan zullen degenen
die nu nog zo dom zijn om een BSN als legitimatie te zien een een kopietje-paspoort als bewijs van identiteit wel tot
inkeer komen en wordt de impact van dergelijke identiteitsdiefstal vanzelf weer minder. ....
Dat het AP overheden en andere instanties zich niet aan de wet houden is onwettelijk.
Het noemen van bsn mag de identificatie zijn het bewijs ofwel de autenticatie dient door de verwerkende partij te gebeuren en daar hoort het probleem van Föten en schade te liggen.
Dat het rvig er nu makkelijk mee wegkomt is niet goed.
die het niet goed beveiligt of waar ondanks beveiliging toch iets gebeurd is. Als je niet met de gevolgen kunt leven
moet je data ook niet delen.
Om bij je school te blijven: daar heb je vast ook wel (door schade en schande) geleerd dat je een geheim niet aan je
vriendje moet vertellen en al helemaal niet aan 3-4 vriendjes. Zelfs niet als ze zeggen dat ze het niet gaan doorvertellen.
Sommige bedrijven kregen door de slechte PR juist meer klanten dan dat ze hadden voor dat er iets mis ging. Dus ik denk niet dat we al heel ver zijn als maatschappij als het om dit soort dingen gaat.
Ook uit de zin die voor het geciteerde stuk staat, blijkt dat het toch echt over "de mensen' gaat.
Je moet niet alleen naar de vorige zin kijken voor de betekenis, de context is groter. Alinea's zijn er niet voor niets, die vormen ook een geheel. Zinnen in een alinea kunnen refereren aan het onderwerp van de alinea als geheel, niet per se alleen over wat (grammaticaal) het onderwerp van de voorgaande zin is.
De onderzoeker zou mogen weten dat als je generieke uitspraken wilt doen, je eerst moet kijken of je onderzoek wel voldoende representatief is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
