Home Security Vingers in de Panama-pot

Vingers in de Panama-pot

78

Het gebeurt niet vaak, maar met de Panama Papers is het raak. Het grote publiek én alle media zijn het eens en uiten saamhorig hun afschuw over die graaiende, hebberige bedrijven en machthebbers, die weigeren belasting te betalen over hun volledige inkomsten. Een legale constructie, toegegeven, maar wel een die moreel verwerpelijke activiteiten uitlokt. Bovendien zijn er niet alleen veel bedrijven, maar ook veel landen bij betrokken. Ook Nederland. Door het inzetten van brievenbusfirma’s in ons belastingparadijs betalen buitenlandse multinationals hier slechts 1,8 miljard belasting per jaar. Leuke kanttekening: tegelijkertijd loopt de Nederlandse schatkist hierdoor jaarlijks zo’n 20 tot 30 miljard euro mis.

Sommige journalisten hebben gelukkig ook oog voor de oorzaak van al het tumult: waar komt de informatie vandaan? Is er sprake van een hackpoging bij het juridisch adviesbureau Mossack Fonseca, of was het een ongelukkige medewerker die informatie naar buiten bracht? Wie zat er met zijn vingers in de Panama-pot? De medeoprichter van het advieskantoor zegt zelf dat de gelekte informatie deels afkomstig is uit zijn kantoor en gestolen is via een succesvolle, maar “gelimiteerde hack”. Dat kan zijn, maar sinds wikileaks en Edward Snowdon weten we dat ook werknemers kans zien mappen vol belastend bewijs door te geven.

De vraag is, wat gaat Mossack Fonseca (en alle andere vergelijkbare adviesbureaus) doen aan het feit dat hun data niet goed beschermd is? Drie jaar geleden werd de online notitieapplicatie Evernote gehackt, waarna het bedrijf zijn gebruikers direct dwong om hun wachtwoord te wijzigen. Ook werd bij het bedrijf de mogelijkheid tot multi-factor authentication versneld ingevoerd. Steeds meer organisaties kiezen niet alleen voor een solide firewall die hackers buiten de deur houdt, maar ook voor een oplossing die ervoor zorgt dat eindgebruikers niet per ongeluk een datalek kunnen veroorzaken. Dit is een goede ontwikkeling, helemaal nu de strafmaat sinds de invoering van De Wet Meldplicht Datalekken flink verhoogd is.

Multi-factor authentication is een veilige manier om toegang te geven tot bedrijfsapplicaties of documenten die slechts voor enkele werknemers inzichtelijk mogen zijn. Het login-proces vereist twee of meer authenticatiemiddelen (factoren), vaak een gebruikersnaam of emailadres en:

  • Iets wat de gebruiker heeft,
  • iets wat de gebruiker weet,
  • iets wat de gebruiker is.

Iedereen heeft een mobiel, en weinigen lenen deze uit. Een ideaal device dus om een code naartoe te sturen, zodat de gebruiker dit kan invoeren. Maar het is ook gebruikelijk om werknemers een token te geven die een unieke code aanmaakt, die vervolgens de authenticatie bevestigt. Een andere manier om aan te tonen dat je bent wie je zegt dat je bent, is door iets dat de gebruiker weet. Een ‘geheime vraag’ (wat is de meisjesnaam van je moeder?) of een pincode bijvoorbeeld. Het nadeel hiervan is dat gebruikers deze gegevens vaak opschrijven, wat dus niet zo veilig is. De veiligste authenticatiemethode is natuurlijk de meest unieke code (dus wat een gebruiker is): een irisscan of vingerafdruk. Het inloggen op basis van biometrische gegevens wordt nog niet veel gebruikt omdat het extra hardware vereist, maar is al wel flink in opkomst.

Zal de inzet van multi-factor authentication een einde maken aan datalekken? Niet als dit geen onderdeel is van een grotere data breach preventionstrategie. Het beschermen van data vereist bijvoorbeeld ook dat je kijkt waar de data is opgeslagen (lokaal of in de cloud) en welke gebruikersrechten er zijn toegewezen aan welke werknemers. Bij een datalek preventieplan komt veel kijken, maar het is voor elke onderneming essentieel. Want zolang de datalekken voorkomen bij bedrijven die belastingontduikers faciliteren is er natuurlijk niets aan de hand. Maar wat is uw reactie als dit uw organisatie overkomt?

Bram Haasnoot, RealOpen IT

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in