Door Erik van Straten: Door Anoniem: Het maakt voor dat soort lekken weinig uit of de computer in de praktijk staat of ergens in een datacenter. Je denkt toch niet dat dat soort lokale computers niet op afstand beheerd worden en helemaal standalone draaien zonder allerlei verbindingen voor offsite backups enzo?
Als je huisarts nog alles met een kaartenbak doet dan kan de (kwaadwillende) assistente ook copietjes maken.
Voor het geval dat je het
écht niet begrijpt:
Om meerdere redenen gaat het om
de aantallen personen waarvan cybercriminelen steeds vaker vertrouwelijke gegevens kunnen bemachtigen.
Er zullen in het verleden best wel eens incidenten met archiefkasten en kaartenbakken zijn geweest, of zelfs met lokale servertjes met een tapedrive voor back-ups, maar niet met de grootschaligheid + aantal (potentiële) slachtoffers van datalekken.
Bovendien hadden criminelen vroeger (toen er nog geen bestaansreden was voor security.nl) veel minder aan die gegevens; nu kun je als crimineel waar ook ter wereld bijvoorbeeld de bankrekening van kwetsbare mensen plunderen of medische gegevens verkopen (kopers daarvan zitten niet te wachten op kleine aantallen records).
Tenzij je heel jong bent of onder een steen hebt geleefd, zou je deze trend moeten herkennen lijkt me - vooral als je deze site bezoekt.
Er zijn in dit verband verschillende mogelijke incidenten. Een bekend probleem is "men verkrijgt gegevens van bekende
mensen". Dat was altijd al een probleem lijkt me, en nog veel moeilijker te traceren ook zonder computer. Een kaart
kun je gewoon copieren, in een systeem komen (door legale gebruikers) wordt vaak nog wel gelogd.
Wat de andere categorie betreft, "dieven stelen banknummers en medische informatie en gaan die verkopen" denk ik
dat in het algemeen de gevolgen verschrikkelijk overdreven worden, gedeeltelijk ook doordat buitenlandse situaties
geprojecteerd worden op Nederland. Als jij mijn banknummer weet, wat ga je daar dan mee doen? En aan wie ga
je het verkopen en wat gaat die er dan mee doen?
Het "weten van nummers" moet geen probleem zijn, en voorzover het dat wel is moet er gewerkt worden aan beveiligen
van de situatie "crimineel weet mijn nummer" (bankrekening, BSN). Dat mag gewoon geen gevolgen hebben, en als
het dat wel heeft moet DAAR iets aan gedaan worden. Bij Banken is dat ook gebeurd: de ouderwetse manier van
automatische incasso waarbij je alleen naam en banknummer hoefde te weten wordt vervangen door SEPA incasso
waarbij je als rekeninghouder eerst toestemming moet geven en die ook weer kunt intrekken. En de bescherming
van incassoslachtoffers was toch al vrij hoog: je kunt incasso's altijd terug laten boeken. Kortom, gering risico.
Met BSN moet het gelijk zijn of gemaakt worden. Je leest steeds weer "als je een BSN weet kun je een lening afsluiten
of een telefoonabonnement", nou dat is dan verkeerd. Laten ze dat oplossen, of laten de verkopers die op deze basis
een contract afsluiten daar zelf verantwoordelijk voor gemaakt worden (ze accepteren het risico dat de houder van
de BSN zegt "dat was ik niet" en dat ze dan het contract terug moeten draaien zonder gezeik).
Wat de medische gegevens betreft, tja... is aan iedereen wat die daar van vindt. Ik kan me niet voorstellen dat die
zo duur te verkopen zijn, en ik vind ook dat mensen die chanteren of services die dat faciliteren (plekken waar je
data kunt publiceren zonder dat de plaatser te vinden is) keihard aangepakt moeten worden.
We laten ons veel te veel het leven bepalen door cybercriminelen.