Onderzoeker Bernold Nieuwesteeg (Erasmus School of Law) wil dat bedrijven en organisaties die met een datalek te maken krijgen het incident ook openbaar moeten maken. Nu moet dit enkel gemeld worden bij de Autoriteit Persoonsgegevens (of in België de Gegevensbeschermingsautoriteit), Volgens Nieuwesteeg zal dat het bewustzijn vergroten, trends inzichtelijk maken en laten zien welke investeringen echt helpen.
Een groot deel van datalekken wordt wel gemeld bij de Autoriteit Persoonsgegevens, maar komt vervolgens niet in de openbaarheid. Dat is een gemiste kans, zegt onderzoeker Bernold Nieuwesteeg van Erasmus School of Law. Datalekken zijn net als de griep, meent hij. Iedereen moet er een keer aan geloven. Organisaties kunnen maar beter open en eerlijk zijn als het een keer gebeurt, zegt Nieuwesteeg. Die transparantie leidt er uiteindelijk toe dat bedrijven veel effectiever kunnen investeren in cybersecurity, stelt hij.
Nieuwesteeg is directeur van het EUR-instituut Centre for the Law and Economics of Cyber Security. Als je “Centre for” weglaat, heb je de titel van het proefschriftOpent extern waarmee hij in juni 2018 promoveerde. Met dreigingen van zowel ‘statelijke actoren’ als commerciële computerkrakers, staat cybersecurity hoog op de agenda van overheid. Aan de lopende band verschijnen beleidsstukken. Bernold Nieuwesteeg kan ze wel dromen: ‘Nederland digitaliseert in rap tempo. Om onze koppositie te behouden zijn er dreigingen te overkomen. In dit document laten we aantal experts aan het woord.’
Angst voor reputatieschade
Met de komst van de Algemene Verordening Gegevensbescherming (AVG) zijn bedrijven wettelijk verplicht om “iedere inbreuk in verband met persoonsgegevens” te melden bij de Autoriteit Persoonsgegevens (AP). Onder deze “inbreuk” vallen bijvoorbeeld het kwijtraken van een USB-stick, diefstal van een laptop of inbraak door een hacker. Als het lek ook nadelige gevolgen kan hebben voor betrokkenen (denk aan financiële gegevens, identificatiebewijzen of inloggegevens) moeten die ook gemeld worden bij de betreffende personen. Maar daar blijft het meestal bij; incidenten worden niet openbaar gepubliceerd, uit angst voor reputatieschade.
‘Begrijpelijk’, zegt Nieuwesteeg, ‘Want vertellen dat je bent gehackt, maakt je kwetsbaar. Toch is er een enorm verschil tussen de vrees van mensen en de daadwerkelijke gevolgen. De meeste mensen interesseert het namelijk vrij weinig dat een bedrijf is gehackt. Uit eerder onderzoek blijkt dat er op lange termijn geen nadelige effecten zijn.’
Verplichte emotietraining
Toch reageren security officers van bedrijven vaak panisch op een lek. ‘Je hebt een baan, kinderen, een hypotheek, en ineens liggen de gegevens van 100.000 personen op straat. Vervolgens geven ze bakken met geld uit aan beveiligingstests. Maar wat levert het nou op? Zo’n penetratietest is een momentopname. Er zijn duizend manieren om een bedrijf binnen te komen. Eén lek dichten zegt niets over de 999 andere manieren. Zo’n test geeft een valse illusie van veiligheid.’
Nieuwesteeg ziet meer in gedragsverandering. ‘Iedere security officer zou verplicht een emotietraining moeten krijgen, want mensen reageren niet rationeel in zo’n situatie.’
Niet alleen sukkels
Volgens Nieuwesteeg moeten we af van het idee dat alleen sukkels gehackt worden. ‘Uit Amerikaans onderzoek blijkt dat organisaties die hun beveiliging goed op orde hebben, juist vaker melding maken van een lek. Een indicatie van goede beveiliging is bijvoorbeeld encryptie. Wie de moeite neemt om gegevens te versleutelen, zorgt meestal ook voor backups. Als zo’n bedrijf dan een keer gehackt wordt, is er eigenlijk geen man over boord. Daarnaast is het alternatief -onder de pet houden- eigenlijk geen optie. Want als het vroeg of laat toch uitkomt heb je de poppen echt aan het dansen. Toen internetbeveiligingsbedrijf Fox-IT extern werd gehackt, zijn ze dan ook volledig transparant geweest. Dat vereist moed, maar het publiek waardeert dat uiteindelijk.’
Digitale bureaulade
Nieuwesteeg is voor het openbaar maken van lekken. ‘De kennis die de meldplicht oplevert, wordt niet benut. De meldingen komen binnen bij de AP, maar verdwijnen vervolgens in de digitale bureaulade. Het is een bureaucratische exercitie, terwijl het een kans kan zijn om te zien waar je kwetsbaarheden liggen, trends te analyseren en kijken welke veiligheidsmaatregelen effect hebben.’
Blijven melden
Is het probleem van datalekken wel op te lossen, of moeten we het, net als de griep, accepteren als natuurverschijnsel? Nieuwesteeg: ‘We moeten vooral blijven melden als er een datalek is geweest. Daarmee vergroot je het bewustzijn en herken je trends. Investeren in beveiliging is prima, maar vervolgens moeten we wel kritisch kijken naar de baten van maatregelen. Je kunt een euro maar één keer uitgeven, dus dan wil je ook dat het effect heeft.’