Tag: meldplicht

Bedrijven in zes sectoren moeten hack melden

  door

Hadden we het gisteren nog over het tekort aan kennis op het gebied van informatiebeveiliging in 2016 en zagen we daarbij dat dat tekort er eigenlijk op dit moment al is? Dan sluiten we daar vandaag bij aan met een bericht waarmee nog duidelijker zal worden dat het tekort snel zal toenemen.

Er komt een meldplicht voor bedrijven die de dupe zijn geworden van een ernstige hack. De meldplicht geldt alleen voor bedrijven in zes sectoren, waar het gevaar bestaat dat een digitale inbraak het maatschappelijk leven ontwricht…De meldplicht moet er nog dit jaar zijn voor onder meer sectoren die zich bezighouden met nutsvoorzieningen, telecom en de luchthavens als Schiphol en Rotterdam The Hague Airport. Maar ook de overheid zelf en de financiële sector moeten zich aan de meldplicht houden. Nog voor het einde van het jaar moet de wettelijke verplichting een feit zijn (bron).

Nu is de meldplicht op zich al een reden voor bedrijven om er wakker van te liggen maar als we nog net even een paar stappen verder denken dan betekent een dergelijke meldplicht ook dat we daadwerkelijk “in control” moeten komen op het gebied van informatiebeveiliging. We moeten niet alleen het beveiligingsniveau op orde hebben maar moeten daar ook sturing aan geven. We moeten gaan meten wat we al goed doen en waar we nog achter lopen. We moeten meetbaar maken waar zich risico’s voor zouden kunnen doen en waar zich reeds incidenten voor hebben gedaan.

Een hele interessante want er zijn nog maar weinig bedrijven die echt “in control” zijn op dit gebied. Een aantal is nog niet eens compliant en heeft nog bergen werk te verzetten. En nu kun je concluderen dat je natuurlijk als bedrijf alleen maar hoeft te melden wat je ook daadwerkelijk weet. Maar zo makkelijk kom je er (hopelijk) niet vanaf.

Nee, vergelijk het met de jaarrekening die veel bedrijven op moeten leveren. Daarbij moet je daadwerkelijk zicht hebben op je financiën. En natuurlijk weet ik dat je een jaarrekening ook met een dikke of dunne pen in het rood of in het groen kunt kleuren…er is niets tegen een beetje creatief boekhouden als het de waarheid maar weergeeft (welke waarheid mag je deels zelf bepalen maar ga je daarin te ver dan komt je dat duur te staan).

Iets dergelijks zou je op basis van een dergelijke meldplicht ook voor informatiebeveiliging (of breder voor je hele bedrijfsvoering) in kunnen stellen. Dat is misschien voor nu nog een brug te ver en zal alleen nog maar meer druk zetten op de aantallen informatiebeveiligers die nodig zijn, maar als ons dat ooit lukt hebben we een grotere kans dat er meer organisaties ook echt serieus naar gaan kijken.

Bekendheid met meldingsplicht beveiligingsincidenten

  door

Zo, inmiddels hebben we de medewerkers verteld dat ze beveiligingsincidenten moeten melden en we hebben ze ook geprobeerd duidelijk te maken wat wij onder beveiligingsincidenten verstaan. Nu is het natuurlijk de vraag of het aantal meldingen inderdaad toeneemt.

Het gaat dus niet zozeer om de vraag, maar het feit of het ook echt werkt. De vraag:
Is het personeel duidelijk gemaakt dat beveiligingsincidenten gemeld moeten worden?

Bekende termen zijn “opzet”, “bestaan” en “werking”. In opzet en bestaan kunnen we het best goed geregeld hebben. We hebben mooie beleidsdocumenten, mooie procedures en voorschriften en we hebben ze ook nog eens beschikbaar gesteld op het intranet en via de mail aan iedereen verzonden. Nu willen we toch wel graag weten of het allemaal effect heeft, oftewel: werkt het? Want daar gaat het toch uiteindelijk allemaal om, is het niet?

We kunnen de medewerkers natuurlijk allemaal op de man (of vrouw) af vragen of ze weten dat ze beveiligingsincidenten moeten melden. Grote kans dat het antwoord volmondig ja is. Het is immers logisch dat we dat soort zaken melden. Toch is hier het risico op sociaal wenselijke antwoorden te groot. We zullen dus op zoek moeten naar aanvullende mogelijkheden om te testen of er ook echt gemeld wordt.

Nu wil ik je natuurlijk niet aanmoedigen om allerlei illegale of niet toegestane acties uit te voeren, maar er zijn best manieren om te kijken hoe het er mee gesteld is. Is het zichtbaar dragen van toegangspasjes binnen jouw bedrijf bijvoorbeeld verplicht? Draag dan het pasje eens een dag niet zichtbaar om te kijken of je er op wordt aangesproken (dat werk natuurlijk minder goed als je iedereen binnen het bedrijf persoonlijk kent).

Loop eind van de dag, als iedereen al lekker naar huis is, nog eens een rondje over je afdeling en kijk welke waardevolle spullen of informatie voor het grijpen ligt. Je zou dat kunnen melden, je zou er niets mee kunnen doen, of je zou de informatie kunnen verzamelen en eventueel een briefje achter kunnen laten dat ze het bij jou op kunnen komen halen. In principe mist iemand de volgende dag de informatie en hij gaat op zoek. Heb je een briefje achter gelaten dan zal hij het bij je op komen halen, ligt dat briefje er niet dan zal hij met een zoekende blik over de afdeling lopen.

Laat eens een deur open staan (uiteraard even in de gaten houden wie er stiekem naar binnen glipt) en kijk wat mensen doen. Laten ze de deur zelf ook open staan, doen ze de deur juist dicht of bellen ze even met de beveiliging om door te geven dat deze deur open staat?

Een aantal simpele manieren om te testen hoe het gesteld is met de beveiligingscultuur van de medewerkers. Nemen ze zelf actie, doen ze juist helemaal niets of maken ze er melding van? Zodra we dat weten kunnen we weer volgende stappen zetten en het melden van beveiligingsincidenten verder onder de aandacht brengen.

We moeten er dan natuurlijk wel voor zorgen dat het melden makkelijk is. Dus geen lange wachttijden als ze telefonisch melden en geen ingewikkelde formulieren om het op papier te doen.

Een leuke optie is om er een competitie van te maken. Iedere zoveelste melder krijgt een taart, gemelde beveiligingsincidenten worden gebruikt om de medewerkers te trainen (bijvoorbeeld door ze te behandelen in ons “security krantje”). Oppassen natuurlijk dat medewerkers er geen sport van gaan maken om maar zoveel mogelijk incidenten te veroorzaken, dan schieten we juist weer door naar de verkeerde kant.

Voorwaarde is natuurlijk wel dat we over voldoende (en kwalitatief goede) capaciteit beschikken om de incidenten op te pakken, te analyseren en verbeteringen door te voeren.

Beveiligingsincidenten zien er op papier vaak ingewikkeld uit: zware aanvallen op het netwerk, ramkraken om ons gebouw binnen te dringen…maar juist de dagelijkse gang van zaken kunnen grote risico’s met zich meebrengen en voor die dagelijkse gang van zaken hebben we de oren en ogen van onze medewerkers nodig om de boel steeds veiliger te krijgen.

Meldplicht voor datalekken in regeerakkoord

  door

Nederlandse bedrijven en overheden krijgen een meldplicht voor datalekken. Ook moeten zij het melden als zij misbruik van privégegevens hebben geconstateerd. Dat blijkt uit het donderdagmiddag gepresenteerde regeerakkoord. Als de meldplicht niet wordt nageleefd, mag de toezichthouder boetes uitdelen (bron).

Veel beveiligingsincidenten die we voorbij zien komen, komen uit Amerika of Engeland. Niet omdat daar zoveel meer gebeurt maar omdat dergelijke incidenten daar openbaar gemaakt moeten worden. Deze verplichting was er in Nederland nog niet, waardoor een berg incidenten in de afgelopen jaren onder de pet zijn gehouden. Met het nieuwe regeerakkoord lijkt zo’n verplichting er nu ook voor Nederland te komen.

Juich niet te vroeg want alles moet eerst nog uitgewerkt, goedgekeurd en ingeregeld worden. Maar we lijken een stap in de goede richting te zetten. Ja, klopt, ik ben er voorstander van. Ik hoef zeker niet alle details te weten maar hoor graag als mijn gegevens mogelijk zijn gecompromitteerd.

Hopelijk krijgt informatiebeveiliging hiermee ook meer de aandacht die het verdient. De Security Managers krijgen het een stuk drukker maar krijgen wellicht ook een luisterend oor bij het (top)management. Doen we het als organisatie niet goed dan komen we negatief in het nieuws, imagoschade is iets waar het management wel ontvankelijk voor is.

En voor dat we allerlei doemscenario’s gaan verkondigen. Dit legt ons als beveiligingsexperts ook een verplichting op, namelijk om professioneel advies te geven waarbij we reële risico’s en verwachtingen moeten toe passen.

Waarschijnlijk gaan we dezelfde weg in als met “compliance”. Eerst zorgen we dat we “security compliant” zijn (beter bekend als het afvinken van vinklijstjes) waarna we meer en meer zullen groeien naar “in control” zijn. Voor wat betreft compliance verlaten we nu zo’n beetje de eerste fase en gaan we toe naar beheersing, beveiliging zal daar achteraan lopen en het zal nog even duren voordat we de volgende fase bereiken. Maar ik ben positief gestemd, “in control” op het gebied van beveiliging, security management zoals het ooit bedoeld was, een professionalisering van het vakgebied.

De vlag hangt uit, een mijlpaal op beveiligingsgebied (voor de datalekken tenminste).