Informatiebeveiliging: bewust onbekwaam

helpIn Den Haag rommelt het al een tijdje over de uitbreiding van de meldplicht voor datalekken. Bij het initiële wetsvoorstel (juni 2013) was het uitgangspunt dat een datalek aan het College Bescherming Persoonsgegevens (CBP) moet worden gemeld wanneer redelijkerwijs kan worden aangenomen dat het lek tot een aanmerkelijke kans op nadelige gevolgen leidt. Staatssecretaris Fred Teeven heeft het wetsvoorstel Meldplicht Datalekken inmiddels afgezwakt: het aangepaste wetsvoorstel zegt nu dat alleen datalekken met ernstige nadelige gevolgen moeten worden gemeld. Dit betekent dat een partij die een datalek heeft geconstateerd, zelf moet bepalen of redelijkerwijs kan worden aangenomen dat het lek leidt tot aanmerkelijke kansen op nadelige gevolgen. Teeven vreesde dat bedrijven en instellingen alle datalekken zouden melden – om risico’s op boetes te vermijden.

Datalekken nemen in omvang toe, zo blijkt uit onderzoek. Ten opzichte van 2012 is de gemiddelde schadepost van een datalek in 2013 met 15 procent gestegen tot 2,5 miljoen euro, zo valt op te maken uit het jaarlijkse Cost of Data Breach-onderzoek van IBM.
In het eerste kwartaal van 2014 was een stijging van 233 procent te zien in het aantal gestolen bestanden, aldus de SafeNet Breach Level Index (BLI). Er werden bijna 200 miljoen bestanden gestolen. Zuid-Korea voert de lijst aan: het land is goed voor bijna tachtig procent van de hacks. De financiële sector wordt het zwaarst getroffen met 56 procent van alle verloren databestanden. Ook de gezondheidszorg is kwetsbaar met 24 procent van alle lekken.

Veel datalekken zijn het gevolg van relatief kleine menselijke fouten, aldus het Data Breach investigations Report (DBiR) 2014 van Verizon waarin 63.437 beveiligingsincidenten werden onderzocht. Meestal gaat het om e-mails en documenten die naar de verkeerde persoon, afdeling of organisatie worden gemaild of gestuurd. In 1.367 gevallen veroorzaakten de incidenten ook een bevestigd datalek. Ruim 16.000 incidenten, waarvan er 412 voor een bevestigd datalek zorgden, waren aan menselijke fouten toe te schrijven, zoals e-mailblunders, programmeerfouten en het weggooien van informatie zonder die eerst te wissen of te shredden. Eindgebruikers en IT-professionals gaan beiden de fout in.

De Nederlandse Cyber Security Raad pleit voor meer aandacht voor informatiebeveiliging op strategisch niveau, maar voorlopig lijkt de boardroom daar nog niet klaar voor. Volgens onderzoek van Deloitte vindt slechts 8 procent van de CFO’s dat commissarissen een hoog kennisniveau van digitalisering hebben. 29 procent van de commissarissen beschouwt zichzelf in hoge mate als sparring partner voor de RvB. Toch staat minder dan een derde van de commissarissen (en 24 procent van de CFO’s) positief tegenover het benoemen van een Chief Technology Officer of een Chief Information Officer in de Raad van Bestuur. Een typisch gevalletje van bewust onbekwaam?

ICT~Office, de voorloper van branchevereniging Nederland ICT, heeft staatssecretaris Teeven in 2012 geadviseerd om met de meldplicht niet vooruit te lopen op Europese privacyregels. De toename van de regeldruk moet in verhouding staan tot het beoogde doel, zo was het argument. In 2013 uitte Nederland ICT opnieuw kritiek op het Nederlandse initiatief: er zou te veel regeldruk ontstaan omdat er inmiddels vier verschillende instanties bestaan waar IT-gerelateerde problemen en verstoringen moeten worden gemeld. Misschien is dat juist een goede tussenoplossing die stimuleert om aan verbeteringen te werken?
Anderen vinden dat een wettelijke meldplicht voor datalekken het doel voorbij schiet doordat bedrijven uit angst voor imagoschade de incidenten juist niet melden.

Het bedrijfsleven staat dus niet te popelen om dit probleem te tackelen. Kan een wettelijk afgedwongen meldplicht de meldcultuur aanzwengelen? Of ontstaat een gezonde meldcultuur juist op basis van zelfregulering? De westerse luchtvaartsector kent al een flinke tijd een veiligheidscultuur waarbij het melden van problemen een geaccepteerde gewoonte is en waar feedback wordt gebruikt om processen te verbeteren. Grote luchtvaartmaatschappijen en de International Air Transport Association (IATA) zetten daarbij de toon.

Om tot die verbeterde cultuur te komen waren wel enkele grote vliegtuigcrashes in de jaren zeventig nodig. Daaruit kwam naar voren dat intensieve vliegtraining menselijke fouten niet uitsluit. Met Crew Resource Management, ontwikkeld door NASA, werd ingezet op intelligente samenwerking in de cockpit. Die veiligheidscultuur heeft vliegen tot de meest veilige vervoersmethode gemaakt.

Na een vliegtuigcrash haal je als vliegmaatschappij direct voorpagina’s en primetime. De merkbare gevolgen van beveiligingsproblemen en datalekken bij bedrijven en instellingen zijn tot nu toe relatief gering. Alhoewel? In Nederland doet 65 procent van de middelgrote en grote bedrijven geen zaken met organisaties die te maken hebben gehad met een datalek. Biedt dat hoop? Nee, want tegelijkertijd beschouwt 36 procent van de bedrijven dataverlies als een bedrijfsrisico.

Er is nog een extra reden tot zorg. Meer dan de helft van de gemelde lekken in ons land kan niet worden onderzocht. Het College Bescherming Persoonsgegevens heeft te weinig mankracht. Maar ja, ICT en overheid, da’s geen gelukkige combinatie. Het wachten is dus op het moment dat het een keer goed mis gaat.