G Data: "Goede IT-security is essentieel onder nieuwe dataprotectiewet"
Om welke ontwikkeling in de IT security moeten ondernemingen zich het komende jaar zorgen maken?
Het thema dat de komende twee jaar dé prioriteit zou moeten zijn van alle ondernemers in België is dataprotectie. In april heeft, na jaren aan voorbereiding, een meerderheid van het Europees Parlement voor een pakket nieuwe databeschermingsregels gestemd. Deze regels zullen leiden tot de nieuwe Data Protection Directive, die in 2018 in werking zal treden. Dat klinkt ver weg, totdat je beseft wat de implicaties van de nieuwe wet zijn: dan weet je dat het een heel korte tijd is om alle Belgische bedrijven op het gewenste niveau van dataprotectie te krijgen.
Kun je een concreet voorbeeld geven?
Er zal een wettelijke verplichting komen om datalekken binnen 72 uur te melden bij de nationale privacywaakhond, in ons geval de Belgische Privacycommissie. Wanneer aan deze verplichting niet wordt voldaan, kan de waakhond, zonder tussenkomst van een rechter, boetes opleggen. Bij ernstige nalatigheid is de maximale boete 4% van de (wereldwijde) omzet, of €20 miljoen, afhankelijk van welke van de twee het hoogst uitvalt.
En wat is een datalek precies?
De definitie is op zijn minst vaag en breed, omdat een datalek talloze verschillende gezichten kan hebben. In Nederland is men, vooruitlopend op de Europese Directive, al begonnen om de nationale wetgeving aan te passen. Daar geldt: “Bij een datalek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.”
Kun je wat voorbeelden van datalekken geven?
Er zijn een aantal zeer duidelijke gevallen. Denk bijvoorbeeld aan een computer met vertrouwelijke informatie erop, die op straat bij het vuilnis wordt gezet, zonder dat deze voldoende gewist is. Of een externe harde schijf met de onversleutelde medische en persoonlijke gegevens van patiënten, die uit een auto wordt gestolen. Maar het wordt allemaal al iets onduidelijker wanneer een datalek minder fysiek wordt.
Wanneer een hacker zich toegang verschaft tot een digitale databank, voelt dat voor de meesten wel als een datalek, maar hoe ontdek je dat dit gebeurd is? Het is immers meestal de bedoeling dat de eigenaar van een dergelijke databank niets merkt van de diefstal. Hoe verschaft een hacker zich eigenlijk toegang tot een digitale databank? Vaak is dat helemaal niet zo gemakkelijk te zeggen.
En hoe kom je er dan achter als zich een dergelijk datalek heeft voorgedaan?
Meestal wordt voor een hack schadelijke software (malware) ingezet. Een keylogger stelt een cybercrimineel in staat om inloggegevens te stelen door toetsaanslagen te registreren. Een exploit kan misbruik maken van een zwakke plek in de software die gebruikt wordt, waarmee een database rechtstreeks kan worden benaderd. Ransomware gijzelt en/of versleutelt alle bestanden op een systeem. Er valt niet uit te sluiten dat er eerst een kopie van de bestanden naar het ‘moederschip’ van de malware is gestuurd. Het is dan ook zeer terecht dat een infectie met malware wordt gelijkgesteld aan een datalek. Met andere woorden: een infectie met malware moet in de toekomst altijd worden gemeld aan de Belgische Privacycommissie als op het systeem persoonsgegevens opgeslagen stonden. Dat is een flinke drempel voor ondernemers.
Hoezo is dat een drempel?
Bijna alle ondernemers ontkennen stelselmatig dat zij ooit malware op hun netwerk hebben gehad. Je hebt toch ergens iets verkeerd gedaan: je systeem was niet goed beveiligd tegen malware en je hebt waarschijnlijk je software niet goed up-to-date gehouden. En daar kom je liever niet voor uit, want dat levert hoe dan ook reputatieschade op. Hoewel het lijkt alsof men iets gemakkelijker uitkomt voor een besmetting met een Cryptolocker of andere gijzelmalware, geldt hiervoor hetzelfde: je hebt gefaald en het vertrouwen van je klanten (en medewerkers, wiens persoonlijke gegevens ook in de waagschaal zijn gesteld) geschaad.
Maar vanaf 2018 is melding maken van een malware-infectie geen vrijblijvende optie meer. Wanneer ondernemers nalaten om melding te maken van een malware-infectie (dus: datalek), hangt hen een boete boven het hoofd. Je moet dus kiezen tussen ernstige imagoschade en een torenhoge boete, die het einde van hun onderneming kan betekenen.
Het voorkomen van malware-infecties wordt dus van levensbelang voor ondernemers?
Inderdaad. Gelukkig zijn er veel ‘best practices’ die bedrijven kunnen helpen met een goede aanpak van hun beveiliging. Het altijd tijdig uitvoeren van patches en het gebruiken van een solide antimalware, zoals die van G Data, zijn de eerste essentiële stappen. Uiteraard adviseren wij bedrijven die met deze materie aan de slag willen heel graag.
Disclaimer: Voor de gegevens op deze pagina zijn enkel de adverteerders verantwoordelijk.