Europese meldplicht datalekken in aantocht: praktische richtlijnen voor de voorbereiding

  1. 6 sep 2016
  2. 0 reacties
Fox_IT_portretten_91

Het is zo ver: binnen twee jaar wordt de General Data Protection Regulation (GDPR) van kracht in alle Europese lidstaten, waarbij ook sprake is van een Europese meldplicht voor datalekken. Nederland loopt wat het laatste betreft voorop, omdat hier zo’n meldplicht al vanaf 1 januari 2016 van kracht is geworden. Dat betekent dat er al de nodige praktijkervaringen zijn opgedaan met de meldplicht. Die ervaringen kunnen helpen om beter voorbereid te zijn op de Europese versie.

Strengere uitleg

De GDPR zal in alle lidstaten uiteraard gelijk zijn. Maar de nationale privacy-autoriteiten geven grotendeels aan hoe deze verordening in de praktijk moet worden uitgelegd. Dat heeft belangrijke gevolgen, zoals de Nederlandse praktijk laat zien. Zo geeft de Nederlandse wet aan dat bij een vermoeden van een datalek melding moet plaatsvinden bij de Autoriteit Persoonsgegevens (AP). Deze autoriteit zegt daarentegen dat als een dergelijk lek redelijkerwijs niet kan worden uitgesloten er een melding moet plaatsvinden. Het overstappen van een vermoeden van een datalek naar het uitsluiten ervan, komt in feite neer op een omkering van de bewijslast! Dat heeft ingrijpende consequenties, óók op security-technisch vlak. Ook in andere landen kan de nationale AP de verordening dus strenger uitleggen.

Historisch gezien houdt de Nederlandse AP zich redelijk rustig, maar in andere landen ligt dat anders. Al worden de Europese privacy-autoriteiten geacht samen te werken, de uitleg kan in andere landen dus strenger uitvallen dan in Nederland. Maar voor het zover is zijn hier enkele ervaringen die wij hebben opgedaan rond de meldplicht sinds die begin dit jaar in Nederland van kracht is geworden.

Waar zijn de relevante sporen?

De belangrijkste kwestie is dat relevante sporen vaak ontbreken. Daardoor is het erg moeilijk om te zeggen óf er iets gelekt is, en zo ja, wat dat dan zou kunnen zijn. Ook valt niet uit te sluiten dat er persoonsgegevens zijn gelekt, wat volgens de AP gemeld moet worden. De volgende maatregelen zijn nodig om dit probleem aan te pakken:

  • Veel meer logbestanden bijhouden en deze bestanden langer bewaren.
  • Niet uitgaan van de standaardinstellingen. Deze zijn voor logbestanden meestal niet het beste om sporen vast te leggen.
  • In de praktijk wordt het bijhouden van logbestanden vaak beperkt tot dat wat operationeel essentieel is, vanwege (dure) opslag en de cpu-belasting. Dat is een kwestie van penny-wise, pound foolish.

Deze maatregelen zorgen er niet alleen voor dat ‘sporen’ van een incident zichtbaar worden, maar dragen ook bij aan meer inzicht in wat er gebeurt, waardoor ook de algemene security kan verbeteren. Een relevant aspect van het securitybeleid dus!

Zorg voor netwerkdetectie

Een volgend probleem dat we zijn tegengekomen lijkt een beetje op het voorgaande: het ontbreken van netwerkdetectie. Goede netwerkdetectie zorgt als het ware voor een ‘zwarte doos’. Doordat netwerkverkeersdata worden opgeslagen, kun je terugkijken in het verleden. Dan valt vaak ook vast te stellen of er via het netwerk gegevens werden weggesluisd. Het belangrijkste hierbij is dat het dus een solide bewijslast kan opleveren waarmee je kunt stellen: ‘ik kan uitsluiten dat data is gelekt’.

Breng preventie, detectie en respons in balans

Netwerkdetectie snijdt aan twee kanten. Het geeft sneller zicht op wanneer incidenten ontsporen en beter zicht op wat er dan precies gebeurt. Netwerkdetectie kost natuurlijk geld en dat blijkt nogal eens de reden om niet aan netwerkmonitoring te doen. Maar ik denk dat er in veel gevallen een verkeerde afweging is gemaakt. Daarbij is te veel uitgegaan van vertrouwen in preventie, terwijl onvoldoende is stilgestaan bij wat er allemaal moet gebeuren als het toch misgaat. Preventie, detectie en respons zijn dan niet in balans.

We hebben bijvoorbeeld bij een bedrijf een dure, geavanceerde firewall gezien, maar tegelijk een lekke website. Tja, de security lijkt dan in orde, maar vanwege die website valt er dan bij een incident niet uit te sluiten dat er persoonsgegevens weglekken en is melding verplicht. Tot slot, zonder netwerkmonitoring kost het in veel gevallen veel moeite en tijd om vast te stellen of er echt is ingebroken (als het al gaat), terwijl een lek binnen 72 uur gemeld moet worden. In een aantal praktijkgevallen heeft dit tot mogelijk onnodige meldingen geleid, doordat de organisatie geen zicht kon krijgen op wat er precies had plaatsgevonden.

Versleutel alle gegevens

Een derde issue is het ontbreken van data-encryptie. Op laptops is versleuteling gemakkelijk te realiseren, Windows heeft hiervoor bijvoorbeeld standaard BitLocker beschikbaar. De huidige encryptietechniek is absoluut adequaat, alleen zwakke wachtwoorden (‘123456 en password’) blijven een kwetsbaar punt. Als een onversleutelde laptop wordt gestolen of zoekraakt en het is niet uit te sluiten dat er persoonsgegevens op staan, moet dat onherroepelijk worden gemeld. Ook op servers en ‘reizende’ data (denk aan cloud, USB sticks, e-mail, e.d.) kan encryptie vaker worden toegepast. Door dat te doen krijgt een aanvaller misschien wel de beschikking over bepaalde bestanden, maar de data in die bestanden zijn nog steeds versleuteld. Een goede maatregel dus om de impact van een digitale inbraak te beperken.

Digitale hulpverlener

In de praktijk duurt het nog vaak te lang voordat de juiste mensen binnen de organisatie op de hoogte zijn van een incident. We zien dat door onvoldoende training mensen niet weten wat er precies moet gebeuren. Praktijk is dat meldingen niet meteen serieus worden genomen. Er wordt eerst zelf gekeken wat er aan de hand is. Dat leidt tot uitglijders, zoals het meteen opschonen van de pc, met als gevolg dat alle sporen weg zijn. Het is echt belangrijk dat iedereen in de organisatie snapt wat er moet gebeuren – deze respons is net zo belangrijk als preventie en detectie. Neem een voorbeeld aan de financiële sector, waar organisaties zeer veel aandacht besteden aan de eerste respons na een incident. Kortom, er is behoefte aan een digitale hulpverlener die weet wat er moet gebeuren en wie er moet worden ingeschakeld.

Neem nu maatregelen

De komst van de GDPR is een extra stimulans om de IT-security verder te verbeteren. De praktijkervaringen die we tot nu toe in Nederland hebben opgedaan zijn daarbij een goede richtlijn. Voor grotere bedrijven, met name multinationals, verandert er overigens nog meer. Bedrijven met een bepaalde hoeveelheid persoonsgegevens moeten een privacy officer aanstellen die verantwoordelijk is voor de juiste gang van zaken rond de beveiliging van persoonsgegevens. Het is zaak om daar nu al rekening mee te houden. De effecten van de meldplicht moeten nog indalen en het loopt in Nederland nog niet storm bij de AP. Maar dat zal ongetwijfeld veranderen zodra de AP de eerste zware boete oplegt.

Kevin Jonkers, Manager Forensics en Incident Response, Fox-IT