Datalekken zijn aan de orde van de dag. Hun aantal stijgt met alarmerende snelheid en er heerst in het post-Snowden-tijdperk een voortdurende strijd tussen veiligheid en privacy. Ondanks een recordaantal verloren en/of gestolen bestanden en de angstaanjagende krantenkoppen over datalekken, voelt niemand echt de pijn.
Consumenten weten dat banken hun creditcards vervangen bij verlies of diefstal, en het verloren geld vult de bank in principe weer aan. Bedrijven die het slachtoffer zijn van cybercriminaliteit, weten dat de aandelenkoersen terugveren. En de regelgeving van de overheid in Nederland spreekt voor zich: die is niet bepaald het recept voor een veilig gevoel.
Als het gaat om gegevensbeveiliging, is het verontrustend dat veel organisaties nog steeds op één paard wedden. Perimeter-security-technologieën beschermen slechts de buitenste laag, terwijl die niet meer bestaat. Toch leunen veel bedrijven hierop en beschouwen die als het fundament van hun databeveiligingsstrategie. Het is net als met inbreken in huizen: als de dief echt wil binnenkomen, dan lukt dat altijd.
Wat is dan wel een houdbare strategie? Bedrijven moeten zich concentreren op wat echt belangrijk is: de bescherming van gegevens. Dit kan door het bouwen van een intelligentere beveiligingsstrategie, het inzetten van een diepgravende beveiliging met multifactor-authenticatie en het direct beveiligen van data door middel van dataencryptie.
Zes trends
Tegen deze achtergrond wil ik graag zes trends bespreken, die zich in 2015 zullen voortzetten, waardoor we hopelijk datalekken serieuzer gaan nemen en overheid, bedrijfsleven en burgers dwingen om maatregelen te nemen.
1. Privacy & Databescherming. Vanaf het moment dat de nieuwe EU-richtlijn inzake gegevensbescherming in werking treedt, neemt de bezorgdheid in Europa over privacy/datalekken toe. Het doel van de nieuwe richtlijn is om deze wetgeving in alle 28 lidstaten van de EU te harmoniseren. En om de macht van de nationale autoriteit voor gegevensbescherming te versterken, zodat deze de EU-regelgeving beter kan handhaven. De verwachting is dat de naleving van deze nieuwe richtlijnen nogal kostbaar wordt.
Invoering betekent dat bedrijven binnen de EU - zowel Europese als internationale - geconfronteerd worden met meer kosten en dat ze meer capaciteit moeten toewijzen. De Nederlandse overheid is er voorstander van om privacywaakhond College Bescherming Persoonsgegevens (CBP) meer en hogere boetes te laten opleggen wanneer een database met persoonsgegevens niet is aangemeld bij het CBP. Ook wil het kabinet dat het college boetes oplegt als gegevens worden misbruikt of niet goed beveiligd zijn.
2. Veiligheidsbeleid bij de overheid. Ook de overheid zet het veiligheidsbeleid voort. Zo komt er een verdere samenwerking met private vitale organisaties om de detectiecapaciteit voor digitale dreigingen te verbeteren. Er wordt meer focus gelegd op de uitwisseling van kennis en expertise, en hiermee wordt de ict-weerbaarheid van organisaties vergroot. Dit laatste gebeurt aan de hand van de Nationale Cyber Security Strategie. Ook zullen overheid, bedrijfsleven en wetenschap gezamenlijk een cyber security-platform lanceren. Door dit initiatief zal het debat over cyberveiligheid een prominenter plaats krijgen.
3. Cybersecurity in de bestuurskamers. Cyber security blijft ook een hot topic in de bestuurskamers. Bedrijven zouden hun aandacht voor beveiligingsrisico’s alleen meer van ict-niveau naar strategisch niveau moeten verschuiven. Verder proberen bedrijven grip te krijgen op hun juridische en verzekeringsbehoeften als gevolg van de cybercrime-epidemie. In Nederland zijn veel publiek-private samenwerkingsverbanden op het gebied van cyber security. De vraag is of deze onafhankelijk van elkaar heel effectief zijn. Daarnaast springen verzekeraars in de groeimarkt die cyber security heet. Zo kunnen bedrijven met een omzet tot vijftig miljoen euro zich tegen cybercrime verzekeren bij Aon.
4. Mobile security. Beveiliging voor mobiele devices komt centraal te staan. Die worden een steeds populairder doelwit voor hackers, en gebruikers slaan steeds meer gevoelige en persoonlijke informatie op het apparaat op, bijvoorbeeld creditcard- en bsn-nummers. Volgens een recent onderzoek van British Telecom is de afgelopen twaalf maanden meer dan twee derde (68 procent) van alle bedrijven wereldwijd getroffen door mobiele-beveiligingsproblemen.
5. Internet of Things. IoT blijft ons bezighouden. In tegenstelling tot hypes zijn vrijwel alle consumentenapparaten met een netwerkverbinding - en alle daarmee samenhangende beveiligingsissues - van blijvende aard. Hoewel er veel wordt gesproken over het ‘inbakken’ van beveiliging in consumentenelektronica, zijn al deze apparaten in essentie kwetsbaar. Daarom zal de discussie zich meer richten op het bouwen van authenticatie voorziene, versleutelde connectiviteit op deze apparaten.
6. Bewustere consumenten. Consumenten worden zich eindelijk bewust van de risico’s die ze lopen. Er komt een overnamegolf van cloud-gebaseerde diensten. Hierdoor gaan consumenten meer de pijn van het hyperconnected leven voelen. Het interesseert ze nu nog niet of hun wachtwoorden, rekeningnummers of creditcardnummers worden gestolen, maar misschien piepen ze anders als het om hun medische dossiers, belastingaangifte of reisdocumenten gaat en deze worden gebruikt voor fraude, chantage of inbraak. En waarschijnlijk heeft het ook impact als ze zouden weten dat hun persoonlijke gegevens op dit moment al gelekt zijn - alleen is de diefstal nog niet ontdekt. Want als de allermachtigste financiële instellingen ter wereld er met hun dure beveiligingsinfrastructuren niet in slagen om massale datalekken te voorkomen, hoe denkt het publiek dan dat het zit met het plaatselijke ziekenhuis? Consumentenbelangengroepen en hacktivistengroepen worden opgericht om mensen te dwingen deze problemen onder ogen te zien en meer transparantie te eisen van bedrijven waar ze hun producten of diensten afnemen.
Dirk Geeraerts, regional sales director Benelux SafeNet
