We lezen steeds vaker dat gevoelige bedrijfsinformatie op straat komt te liggen vanwege datalekken door kwaadaardige aanvallen door hackers. Hoewel het bedrijf gehackt is, spreken we hier toch over het lekken van data. Bedrijven zijn namelijk zelf verantwoordelijk voor hun security-beleid en daarmee ook voor de toegankelijkheid van bedrijfs- en persoonsgegevens. Nu blijkt uit onderzoek van Iron Mountain dat meer dan de helft van de ondervraagde Europese bedrijven gelooft, dat er gegevensverlies binnen de organisatie zou kunnen optreden. Nog eens 67 procent van de respondenten stelt daarnaast dat de dreigende boetes weinig invloed hebben op hun huidige security-beleid. Ik vind dat onbegrijpelijk.
Datalekken hebben grote gevolgen
Het gevolg van datalekken is dat de privé-gegevens van bijvoorbeeld consumenten voor een breed publiek zichtbaar worden. Dit kan een organisatie enorme reputatieschade toebrengen. Niet alleen lezen onbevoegde mensen nu vertrouwelijke klantgegevens, ook kunnen concurrerende bedrijven belangrijke bedrijfsinformatie in handen krijgen. Dit kan niet goed zijn voor de concurrentiepositie van zo’n organisatie.
Er schort veel aan informatiebeveiliging
Nog steeds zien we in de media veel berichten over hacking en cybercrime. Op het gebied van informatiebeveiliging heeft ons land dan ook nog veel te winnen. Halverwege 2012 werd er al een wetsvoorstel voor gegevensbescherming ingediend bij de Europese Commissie. Bedrijven en instellingen kunnen door deze wet worden beboet als zij hun beveiliging niet in orde hebben. De overheid wil hiermee bereiken dat organisaties – die verantwoordelijk zijn over grote hoeveelheden persoonsgegevens – zich gaan realiseren welke schade een digitale inbraak kan toebrengen aan henzelf of anderen. Maar is deze aanpak wel zo succesvol?
Acceptatie van boetes
Het conceptwetsvoorstel van de Europese Commissie bevat boeteclausules tot maximaal een miljoen euro of 2 procent van de jaaromzet, indien een bedrijf om wat voor reden dan ook te maken krijgt met datalekken. Deze boetes zijn zeker niet kinderachtig en de dreiging van zo’n boete is bovendien zeer reëel. Wellicht dat bedrijven de risico’s op hoge boetes nog onderschatten, maar via diverse audits test de overheid risicovolle organisaties wel degelijk op hun security-beleid. Overigens zijn bedrijven verplicht om ook zelf datalekken te melden.
Maar zoals uit het onderzoek van Iron Mountain blijkt, lijken (security)managers niet wakker te liggen van dit soort boetes. Hun organisaties zien datalekken kennelijk als onvermijdelijk. Vreemder is nog dat zij zich liever indekken tegen de boetes van de overheid, dan dat zij een manier bedenken om hun gegevens beter te beschermen. Een groot aantal organisaties heeft zich daarom verzekerd tegen de eventuele financiële consequenties van een datalek.
Security is niet lastig
Dat bedrijven boetes voor het lekken van bedrijfs- en persoonsgegevens niet serieus nemen, blijft voor mij een raadsel. Vooral omdat een nieuw solide security-beleid geen grote investeringen vereist. We zijn de laatste jaren steeds dichter bij informatiebeveiliging gekomen in plaats van infrastructuurbeveiliging. Hiervoor zijn diversie oplossingen beschikbaar. Denk maar eens aan de eindeloze mogelijkheden van een goede identity en access managementoplossing, aan encryptie of aan een veiligere opslagplaats. Door de toegangsprocedure tot kritische gegevens en bestanden voor geautoriseerde mensen zorgvuldig in te richten, kun je cybercriminelen en anderen onbevoegden wel degelijk buiten de deur houden. Het idee dat datalekken onvermijdelijk zouden zijn, is wat mij betreft dan ook volstrekt achterhaald.
Paul Ferron, Director Security Solutions Sales EMEA bij CA Technologies
