Tag: wet

RTL laat expert 25 webwinkels hacken

  door

Televisiezender RTL heeft een beveiligingsexpert gevraagd om bij 25 webwinkels in te breken, wat onder andere een database met de gegevens van 95.000 klanten opleverde…In totaal werden er bij vijf webwinkels ernstige problemen ontdekt, waardoor het mogelijk was om klantgegevens in te zien, schadelijke software te installeren of wachtwoorden te achterhalen (bron).

Informatiebeveiliging en het hacken van websites krijgt steeds meer aandacht. Op zich goed natuurlijk dat we ons meer en meer bewust worden van de risico’s. Maar nu moeten we met zijn allen ook weer niet doorschieten. Een Televisiezender die opdracht geeft om in te breken. Ik kan me zomaar voorstellen dat hier een strafbaar feit gepleegd wordt en ik ben dan ook benieuwd of hier stappen tegen worden genomen (als ik verantwoordelijk was voor een van de websites dan zou ik in ieder geval een advocaat raadplegen).

Misschien vind je dat ik doorschiet. Maar hoe zou jij het vinden als RTL besluit om uit te zoeken hoe makkelijk het is om bij jou thuis in te breken of hoe makkelijk het is om jouw auto te stelen voor een “joyride”?

De sociale discussie hierbij is natuurlijk wat zwaarder weegt: moet de eigenaar van de website privacy gevoelige gegevens beschermen en overtreedt hij de wet als hij dat onvoldoende doet? Of is en blijft inbreken bij wet verboden en mag niet zomaar iedereen opdracht geven om dergelijke tests uit te voeren? De vraag is natuurlijk of het maatschappelijk belang opweegt en of daar wel sprake van is als een televisiezender dergelijke opdrachten geeft.

Wat mij betreft begeven ze zich op glad ijs en is het eerder in het belang van een leuk nieuwsbericht dan dat ze het opnemen voor het maatschappelijk belang. Als hier geen duidelijke kaders voor komen dan wordt er straks, in opdracht van allerlei media, ingebroken in websites, bedrijfspanden en misschien zelfs bij jou thuis.

Kan een kale kip leiden tot minimum beveiligingseisen?

  door

De Nederlandse Staat eist 8,7 miljoen euro van het failliete Diginotar als vergoeding voor de gemaakte kosten na de hack bij het bedrijf (bron).

Voor diegene die de naam Diginotar vaag wel iets zegt maar die het niet meer precies weten: Diginotar was het bedrijf dat allerlei beveiligingscertificaten leverde zodat organisaties veilig konden communiceren via netwerken. Een aantal maanden geleden alweer werden ze gehackt en daarna duurde het niet lang voor ze failliet waren.

De Nederlandse Staat heeft inderdaad veel werk moeten verzetten om de boel nog een beetje veilig te houden. Inmiddels is de balans opgemaakt en eisen ze 8,7 miljoen. Nu kun je natuurlijk rustig geld eisen van een failliet bedrijf, maar van een kale kip valt niet te plukken. Maar toch zou zo’n eis ergens toe kunnen leiden.

De vraag is natuurlijk of de bestuurders van Diginotar nu ook persoonlijk aansprakelijk zullen worden gesteld. Is dat niet het geval dan kun je net zo goed 87 miljoen eisen want het geld krijg je toch nooit meer. Maar als deze bestuurders wel aansprakelijk worden gesteld dan ben ik benieuwd naar de uitkomsten.

Op welke gronden ga je de bestuurders aansprakelijk stellen? Onbehoorlijk bestuur? Misschien, maar ik weet niet of de wet beveiligingslekken ook onder onbehoorlijk bestuur verstaat. Als ze inderdaad persoonlijk aansprakelijk worden gesteld dan is dat een waarschuwing voor alle andere bestuurders.

100% beveiligen is niet mogelijk en de vraag voor bestuurders wordt dan: hoeveel beveiliging is genoeg? Is het genoeg als we de lekken niet weten, want ja, wat niet weet wat niet deert. Of gaan we nog wat verder en eisen we een minimaal beveiligingsniveau van organisaties? Of sterker nog: we hebben ook een jaarlijkse accountants controle, misschien moeten we die voor informatiebeveiliging ook in gaan voeren.

Er is in de wet nog erg weinig beschreven over de rechten en plichten op het gebied van informatiebeveiliging. Misschien dat deze eis van de Nederlandse Staat daar verandering in kan brengen (maar misschien ben ik te optimistisch).

Mij lijkt het een goed plan om duidelijkere kaders te gaan stellen voor bedrijven en bestuurders van bedrijven. Daarin geven we aan wat de verantwoordelijkheden zijn en wat er kan gebeuren als we die verantwoordelijkheid niet nemen.

Of het er ooit van komt? Ik ben benieuwd en als het onder de juiste voorwaarden gebeurt dan ben ik er nog voorstander van ook.

Aantoonbaarheid voldoen aan wet- en regelgeving

  door

Het weekend is weer achter de rug en vorige week hebben we afgesloten met de relevante wet- en regelgeving. Hoewel we in dit weekend nog steeds geen jurist zijn geworden is het wel belangrijk om aan te tonen dat we de wet- en regelgeving onderkennen en dat we aan kunnen tonen dat we naar ons beste kunnen daaraan voldoen. De volgende vraag wordt dan belangrijk:

Kan het aantoonbaar worden gemaakt dat aan de toepasselijke wet en regelgeving, door de organisatie, wordt voldaan?

Kortom: in de vorige exercitie zijn we met de juridische afdeling in gesprek gegaan om duidelijk te krijgen wat we verplicht zijn om te doen. Dan wordt het ook belangrijk om duidelijk te documenteren welke wet- en regelgeving volgens ons op ons van toepassing is en hoe we die vertaald hebben naar ons beleid en onze inrichting van de beveiliging.

Over niet al te lange termijn zal er vanuit de EU meer wet- en regelgeving opgelegd gaan worden. Hierbij zullen we ook incidenten openbaar moeten gaan maken waarbij de privacy van onze klanten in het geding is gekomen. We willen ons natuurlijk niet laten verrassen door die nieuwe regels en nemen nu al onze verantwoordelijkheid door er goed over na te denken.

Pakken we bijvoorbeeld de Code voor Informatiebeveiliging en maken we daarvan een goede doorvertaling naar onze organisatie dan dekken we al hele grote delen van de wet- en regelgeving af. Maken we aantoonbaar dat we inderdaad aan die Code voldoen dan maken we daarmee ook aantoonbaar dat we serieus met het onderwerp bezig zijn.

Wet- en regelgeving. Het blijft aan lastig aspect waar we eens goed in moeten duiken en waar we zeer waarschijnlijk specialistisch advies goed bij kunnen gebruiken. Maar denken we met ons gezond boeren verstand na en gebruiken we de beschikbare informatie de branche en van het internet dan zijn we al een groot aantal stappen op weg om ook aan deze wet- en regelgeving te voldoen.