Blog Dedicated to Data: Lars Klumpes over nieuwe Europese databeveiligingsregels die manen tot actie

De afgelopen jaren presenteerde Verizon steeds, in samenwerking met een groot aantal bedrijven en organisaties, zijn Data Breach Investigations Report. De editie 2014 biedt in de inleiding een interessant jaaroverzicht van inbreuken. Zo moesten in maart 2013 miljoenen Evernote-gebruikers hun wachtwoord veranderen na een inbreuk. In april wist een organisatie die zich The Syrian Electronic Army noemt, het twitter-account van Associated Press te kapen en een tweet te posten over een explosie in het Witte Huis, met een directe reactie op Wall Street. Hetzelfde gebeurde in mei met de twitter-accounts van The Guardian en The Financial Times. In de zomer waren enkele grote Amerikaanse retailers het slachtoffer van aanvallen op hun betaalsystemen. En in het najaar moesten gerenommeerde bedrijven waaronder Vodafone en Abobe bekend maken dat er was ingebroken op hun systemen met consequenties voor miljoenen accounts.

95/46/EC

De uitkomsten van het rapport geven aan dat het voor bedrijven en organisaties steeds nadrukkelijker tijd is voor actie, zeker tegen de achtergrond van wat er nu op Europees niveau speelt. De Europese Commissie werkt op dit moment aan het aanpassen van de min of meer vrijblijvende dataprotectielijn 95/46/EC naar echte regelgeving die de Europese landen in hun eigen wetgeving moeten opnemen. Deze General Data Protection Regulation (GDPR) is naar verwachting vanaf 2015 effectief. Een van de onderdelen is een meldplicht na een data-inbreuk bij de nationale privacywaakhond. Dat moet volgens de nieuwe regels binnen 24 uur. Met deze regel wil de commissie de bestaande dataprotectiewetgeving in de Europese landen laten aansluiten bij ontwikkelingen als social media, globalisering van informatie en cloud computing.

Data-inbreuk binnen 24 uur melden

De plicht om een inbreuk binnen 24 uur te melden heeft al tot veel discussie geleid. Vraag is bijvoorbeeld wanneer die 24 uur ingaan: op het moment dat je de inbreuk zelf ontdekt of het moment waarop je de melding van een externe bron krijgt? Vaak zal een bedrijf nog willen vaststellen wat er precies is gebeurd en welke impact de inbreuk mogelijk heeft. Dan is 24 uur niet erg lang. Vast staat dat het Europa ernst is: bij nalatigheid zijn forse boetes mogelijk, die in de miljoenen euro’s kunnen lopen.

Actie

Het is daarom tijd voor actie. Bedrijven moeten beginnen bij de bron: de database. Zoals de bankrover in het wilde westen de kluis van een bank roofden, zoeken cybercriminelen nu het liefst in een databank naar zaken van hun gading: creditcardnummers, persoonsgegevens, bankgegevens. Het is inmiddels een stuk  eenvoudiger om data goed af te schermen dankzij moderne encryptie. Veel organisaties zijn daar nog terughoudend in.Onnodig, want met moderne encryptiemethodenis het eenvoudig om encryptie toe te passen en door middel van zogenoemde hardware accelleration is ook de performance overhead nagenoeg nihil. Ze zorgen er wel voor dat data niet interessant is voor een cybercrimineel, omdat er niets te lezen valt. De nieuwe Europese regelgeving speelt daarop in: bedrijven die hun data versleuteld hebben en te maken hebben met een databreach, krijgen een minder strengere behandeling dan zij die data niet hebben versleuteld. Kortom: er is alle reden om snel aan de slag te gaan met encryptie.