We gaan nog even door op wat ondertussen #NMBSgate en #sncbgate genoemd wordt. Het is duidelijk dat de NMBS mislukt is in haar pogingen om het datalek van anderhalf miljoen klantgegevens in de doofpot te stoppen. Minimaliseren kon al niet meer, toen duidelijk werd dat het bestand wel degelijk bestaat uit 1.460.735 entries (hier en daar dubbels meegerekend). De woordvoerder probeert nog wel een perfide spelletje te spelen door op de boodschappers te blijven schieten, maar ook dat zal snel een doodlopend straatje blijken. (Merk tussen haakjes ook de ironie op in de reactie van de NMBS, die erop wijst “dat elke verspreiding van privégegevens illegaal is.” – Is dat niet net wat de NMBS met haar NMBSgate zelf gedaan heeft?)
Foute communicatie
Feit is dat de NMBS vanaf het begin een compleet foute communicatiestrategie gevolgd heeft. Was het dan echt zo moeilijk om toe te geven dat er een fout gemaakt is? Om verontschuldigingen aan te bieden (en niet op een onbenullige manier)? Om gedupeerden op de hoogte te brengen? En vervolgens duidelijk te maken welke stappen er ondernomen worden om dit soort datalekken in de toekomst te voorkomen?
Duidelijke wetgeving, strikte opvolging en stevige sancties
Het datalek bij de NMBS en de communicatie daarrond (en neem er ook maar de datalekken waaraan minder ruchtbaarheid wordt gegeven bij) tonen nog maar eens het belang aan van een duidelijke wetgeving en een strikte controle op databanken. Hoog tijd dat daar werk van gemaakt wordt. Voor inspiratie kunnen de heren en dames politici onder meer terecht bij Bits of Freedom dat een tijdje geleden een wetsvoorstel (hier in pdf) uitwerkte dat databankbeheerders verplicht om datalekken direct te melden. In één zin samengevat: zowel vastgestelde als vermoede datalekken zouden onmiddellijk gemeld moeten worden aan de Privacycommissie, aan (potentiële) slachtoffers en aan het brede publiek. Gekoppeld aan een stevige sanctie kan een dergelijke meldplicht op zijn minst de waakzaamheid van bedrijven en de gevoeligheid van het publiek voor de beveiliging van persoonsgegevens verhogen.
- Volgen via twitter: #NMBSgate #sncbgate
- SNCB Leak Check
- Meer over NMBSgate op onze website hier (23/12/2012) en hier (31/12/2012)
Niet het eerste datalek bij de NMBS!
Overigens blijkt de NMBS op dit gebied niet aan haar eerste flater toe. Op de blog van belsec is te lezen dat de NMBS-SNCB al in 2011 problemen had met het laten rondslingeren van data. Daar werd toen geen ruchtbaarheid aan gegeven. Dat was wellicht beter wel gebeurd, zodat de NMBS daar (wellicht, hopelijk) lessen uit had kunnen trekken. Hoewel belsec er tegelijk op wijst dat dit betekent dat dit geen ‘accident de parcours’ is. “Something is very wrong with the infrastracture and the security policies and since 2011 things haven’t changed for the better cumulating in this massive dataleak. It was an accident waiting to happen.” Wat zou betekenen dat niet alleen de NMBS, maar ook de CERT haar job niet naar behoren uitgevoerd heeft en het hele verhaal des te pijnlijker maakt.
Nog wat extra lectuur:
- An analysis of the leaked personal data of 1.5 million @SNCBEurope customers
- NMBS heeft een groter probleem dan het denkt
- Post-mortem: LA SNCB met en ligne les coordonnées de 1.400.000 clients
- SNCB-NMBS 1.5 million (inter)national customers dataleak (problems and issues)
- nmbs-sncb 1.5 million dataleak : not the first time they were leaking online
- check if you have lost some information in the sncb-nmbs dataleak
- The stupidity of the sitemap-robot.txt advice in the nmbs-scnb scandal
this is not the only big dataleak in 2012 – another important Belgian ……….. had probably half a million accounts compromised (search on belsec for rex mundi in september 2012)
I think that with 2 million probably compromised Belgian accounts in 2012 it is time for real action now
you’re right. This looks like a good moment for real action. And there are certainly more partners for this (like nurpa and others).
Any suggestions?
Waking up politicians?
Waking up the CERT? (“Wij waarschuwen u ondermeer over belangrijke veiligheidsupdates en virussen” … en over datalekken)
Setting up a page with all known dataleaks in Belgium?
…
Let’s get things started.
Good idea to start something like a belgian dataleaks page.
Any place for this on the datapanik site?
Also, contacts with politicians?
Some lobbying could be done for a decent law.
collecting dataleaks on a separate page? +1
but that’s not enough! political action required
Misschien moeten we de NMBS selecteren als kandidaat voor de Big Brother Awards 2013 !
Gegarandeerde winnaar!
Er zijn veel datalekken, maar nmbs is topper door manier waarop ze reageren.
Knoeiers in alle betekenissen.