Meer en zwaarder straffen werkt niet

Gepost op: 19-10-2016 09:13:22 door Jeroen Veraart
Tags: Cyber Security Raad, GDPR, meldplicht datalekken, NCSC, security management
Jeroen Veraart

In mijn column ‘Zijn we klaar voor big data?’ had ik een voorschot genomen op het Security-Congres 2016 getiteld ‘Data in the future’. Daarin had ik onder andere geschreven over de bizarre vlucht die de hoeveelheid data de komende jaren neemt. Die vlucht kwam tijdens het genoemde congres op 12 oktober in de Amsterdam ArenA mooi ter sprake tijdens de afsluitende sessie van Aart van der Vlist, trendwatcher en CTO/CIO van het UWV. Maar ook de sprekers die hem voor gingen, boden voldoende voer voor discussie.

De eerste spreker was Wilbert Tomesen, de vice-voorzitter van de Autoriteit Persoonsgegevens. Hij meldde dat er sinds 1 januari 2016, toen de meldplicht datalekken van kracht werd, ongeveer vierduizend meldingen zijn gedaan. Dat lijkt een behoorlijk aantal, maar klopt dit wel als er 130.000 bedrijven staan geregistreerd die persoonsgegevens verwerken? Zeer opvallend is dat niet één webwinkel een melding heeft gedaan. Veel meer meldingen komen er uit de financiële, zorg- en gemeentelijke sectoren. Dat heeft ook wel te maken met de verschillende brancheverenigingen die een actieve rol spelen.

Tot nu toe zijn er nog geen boetes uitgedeeld, maar de AP waarschuwt nu wel dat een organisatie die een echt lek heeft gehad en dat niet heeft gemeld zeer waarschijnlijk aan de beurt is voor de eerste boete.

GDPR 

Tomesen stond vervolgens stil bij de nieuwe Europese privacyverordening (de General Data Protection Regulation) die vanaf mei 2018 de huidige privacywetgeving in Nederland vervangt. Deze nieuwe wet stelt onder andere een PIA (Privacy Impact Analyse) verplicht. Als de assessment pijnpunten aan het licht brengt, dan moeten deze worden gemeld bij de AP. Organisaties met meer dan 250 medewerkers dienen ook een DPO (Data Protection Officer) in dienst te hebben.

Het liefst ziet Tomesen dat iedereen privacybescherming ziet als het ‘groen’ in de samenleving. We willen graag dat we alles CO2-neutraal doen, dat we spijkerbroeken kopen die niet met kinderarbeid zijn gemaakt, dus willen we ook geen zaken doen met bedrijven die het niet zo nauw nemen met de privacy van klanten en burgers.

Tomesen houdt niet van achterdeurtjes zoals het ministerie van Veiligheid en Justitie recentelijk heeft geopperd. Hij raakt ook erg geïrriteerd door een opmerking van het hoofd van de AIVD, een opmerking die Tomesen als volgt samenvatte: “Jij zeurt nu over privacy? Moet je maar eens een aanslag van dichtbij meemaken, dan denk je daar wel anders over.”

‘Mijn valse identiteit’ 

Na Tomesen was het de beurt aan Marcel van der Velde, een social engineer/white hacker van een speciaal soort. Hij weet in enkele minuten de zaal aardig in verwarring te brengen over zijn eigen identiteit en koppelt dat aan ‘vertrouwen’. Hij maakte daarbij een mooie vergelijking met de identiteit van vroeger en nu. Vroeger ging alles op vertrouwen omdat we elkaar kenden. Je kon als kind naar de bank om spaargeld te storten zonder enige vorm van legitimatie; dat kunnen we ons nu niet meer voorstellen.

Van der Velde hekelde de aanpak van minister Van der Steur die de verkoop van prepaid telefoonkaarten wil verbieden. Daarmee ontneem je de personen die legitieme bescherming nodig hebben hun anonimiteit, zoals journalisten. De criminelen vinden wel een andere manier en maken bijvoorbeeld misbruik van de zwakkeren in onze samenleving. Een interessante tip van Van der Velde: indien je in de toekomst van een andere of valse identiteit gebruik zou willen maken, dan is het nu tijd om deze vast aan te maken. Zorg dat je deze identiteit digitaal laat bestaan zodat deze over enige tijd (jaren?) veel betrouwbaarder zal lijken.

Drieluik op de toekomst 

Aart van der Vlist tot slot wist het publiek op het puntje van zijn stoel te krijgen met zijn doorkijk naar de toekomst gecombineerd met praktisch tips van de CIO van nu. Dat deed hij door een drieluik op te zetten.

Luik 1: de snelheid en de voorspellingen 

Van der Vlist beschreef in een rap tempo een aantal ontwikkelingen die we allemaal kennen: drones die pakketjes bezorgen, de Watson supercomputer in medische diagnostiek, datagestuurde powergrids, zelfsturende auto’s. Hoe dat allemaal kan? De wet van Moore. Van der Vlist: “Over een aantal jaren koop je in de winkel een USB-stick die zoveel data kan bevatten dat alles wat de mensheid ooit heeft gezegd op stick kan worden opgeslagen.” De snelheid waarmee nieuwe technologie zich in de wereld verspreidt, wordt steeds hoger. Dat zal de komende jaren zo blijven, is zijn voorspelling. Maar kunnen we dit allemaal verwerken, is de vraag.

Met een tweetal voorbeelden wilde Van der Vlist aantonen dat voorspellingen nooit zullen uitkomen:

  1. Thomas J. Watson, CEO van IBM, zou in 1943 hebben gezegd: "I think there is a world market for maybe five computers.”
  2. Steve Ballmer, CEO Microsoft van 2000 tot 2014, zei ooit: “There’s no chance that the iPhone is going to get any significant market share. No chance”.

Oftewel: doe gerust voorspellingen, ze komen toch niet uit.

Luik 2: groei in IT is ook groei in IT-risico’s 

Van der Vlist komt met een flink aantal recente hacks en incidenten om de toename van de hoeveelheid data te kunnen staven. Hij noemt onder andere: de Sony-hack (door het Noord-Koreaans Bureau 121), een lek bij het Isala ziekenhuis, het Almelo-datalek maar ook zijn eigen UWV waar de persoonsgegevens van elfduizend werkzoekenden door een menselijke fout in verkeerde handen zijn gevallen. Daarnaast geeft hij aan dat zelfs de huidige wereldorde in het gedrang komt door bijvoorbeeld de beschuldigingen van Russische betrokkenheid in de politieke campagnes voor de presidentsverkiezingen in Amerika. Zijn advies is om de rapporten van het NCSC (Cybersecuritybeeld Nederland) en de Cyber Security Raad aandachtig te lezen. Dit zijn zeer leesbare rapporten.

Luik 3: welke stappen gaan we nemen? 

De CIO zal worden aangesproken op alle risico’s die er bestaan. Hij zal dan ook snel in actie moeten komen. Dat kan volgens Van der Vlist door de volgende vijf stappen te nemen:

  1. fix the basics (zorg voor een baseline),
  2. ontkoppel ketens (verwijder de complexiteit),
  3. maak IT weer lichtvoetig,
  4. regel de beveiliging, en
  5. zorg dat er waarde wordt toegevoegd.

Filosofische Al Capone-aanpak? 

Wat niet gaat werken, is alsmaar maatregelen toevoegen en meer straffen. We moeten verschuiven naar ‘handelen op basis van vertrouwen’. Van der Vlist beschrijft dit onder andere door het vinden van een evenwicht tussen de ‘Al Capone’-aanpak met de inzet van wapens en bedreigingen, en de filosofische aanpak van Lucius Seneca die kiest voor de individuele autonomie en innerlijke vrijheid. De waarheid zal ergens in het midden liggen.
Blog postsRSS