Het bedrijf Verizon heeft tien jaar lang informatie verzameld over ICT-beveiligingsincidenten. Door de loop der jaren is het aantal partijen dat gegevens aanlevert gestegen tot maarliefst 50. Er is dan ook een goed beeld te schetsen en daar word je niet vrolijk van.
De overheden en bedrijven die we toevertrouwen met onze persoonsgegevens maken er volgens het laatste Data Breach Investigation Report een potje van: veel hacks zijn eenvoudig te voorkomen en nog erger de hacks worden niet echt snel ontdekt.
Het rapport is heel duidelijk dat de meeste organisaties eigenlijk niet in staat zijn zelf te ontdekken dat ze een probleem hebben. Een groeiend aantal lekken komt via strafrechtelijke onderzoeken aan het licht, wordt ontdekt door beveiligingsonderzoekers of relaties van de organisatie. Zelf ontdekken gebeurt wel maar onvoldoende.
Het gevolg is dat detectie traag is. Dat is niet alleen het probleem van de organisatie, maar van ons allemaal. Veel van onze informatie ligt bij overheden en bedrijven en lekken zo uit. Hetzelfde rapport maakt ook duidelijk dat voor een groot deel financieel gewin, waaronder het misbruiken van bijvoorbeeld creditcardnummers, een belangrijk doel is.
Hoe actueel dat is bleek dit paasweekeinde, want gegevens van 50.000 Nederlanders bleken te zijn gestolen. En ook deze informatie bleek al sterk verouderd te zijn. Daarnaast is ook economische spionage vaak een doel en dat kost onze economie keihard geld.
Veel lekken zijn eenvoudig te voorkomen en worden vaak ontdekt door goed bedoelende hackers. Als nu zo duidelijk is dat die waarschuwingen van buitenaf cruciaal zijn dan moeten we die hackers koesteren. Want een hack blijkt uit datzelfde onderzoeken in minuten of uren te worden gepleegd, maar detectie laat vaak maanden op zich wachten.
De Nederlandse praktijk is echter anders: wie wat ontdekt kan dat melden en daarvoor is er de ‘responsible disclosure’ richtlijn van het National Cyber Security Center, een onderdeel van het Ministerie van Veiligheid en Justitie. Maar wie dat doet riskeert wel een strafrechtelijk onderzoek van een ander onderdeel van dat ministerie: het OM. Hoe betrouwbaar kun je als overheid zijn?
Misschien moeten deze mensen meer als klokkenluiders gaan zien. Ja veel hebben de wet overtreden. Dat is geen wonder als je zelfs kijken naar informatie die beveiligd had moeten zijn strafbaar stelt. Maar deze mensen dienen dus een kwantificeerbaar, maatschappelijk steeds belangrijker wordend doel.
Er zou meer naar intenties moeten worden gekeken, want de echte criminelen liggen nu op grote voorsprong. Meer opsporingstechnieken, zoals hacken, meer privacyschendingen en de randen opzoeken leveren dan niets op. Maar gewoon bij de basis beveiligen wel. Of je het leuk vindt of niet: goede hackers heb je dan nodig!
