‘None of this should have happened, and I will not make excuses for it. While I can’t erase the past, I can commit on behalf of every Uber employee that we will learn from our mistakes. We are changing the way we do business, putting integrity at the core of every decision we make and working hard to earn the trust of our customers’. Zo eindigt ceo Dara Khosrowshahi haar recente blog over het verzwegen maar gigantische hackerincident bij Uber.
Naam, e-mail en telefoonnummers van 57 miljoen klanten en zeshonderdduizend bestuurders werden buitgemaakt. Volgens Uber werden er geen kredietkaartgegevens gestolen. Het is een van de grootste hacks van de afgelopen jaren. En erger nog. Het gebeurde eind 2016 al en werd dus een jaar lang verzwegen. De hackers kregen honderdduizend dollar, zo’n 89.500 euro, om het lek stil te houden. Eigenlijk een peulschil.
Het is onwaarschijnlijk dat Uber het zo lang kon stilhouden. Dat zal vanaf mei volgend jaar ook niet meer kunnen. Dan moet immers volgens de General Data Protection Regulation (GDPR)-richtlijn van de Europese Commissie. Elk datalek moet aangegeven worden binnen de 72 uur. Het mag trouwens verbazen dat dit vandaag al geen verplichting is. Waarom mogen burgers, klanten, partners niet meteen weten dat hun gegevens op malafide wijze gestolen zijn?
Kan België dat trouwens vandaag al niet verplichten?
Maar er is meer. Ik had deze week in Helsinki een afspraak met Mikko Hypponen, de chief research officer van F-Secure, een beveiligingsbedrijven die zich vooral op de kmo-markt richt.
Herinnert u zich nog de Petya-ransomware aanval eind juni van dit jaar. Wereldwijd waren bedrijven het slachtoffer van deze cyberaanval die zich vooral op Windows-systemen entte. Niet alleen de Nationale Bank van Oekraïne werd gehackt, ook heel wat bedrijven, ook in België, onder andere de containerterminals van APM in Zeebrugge. Het duurde maanden voordat moederbedrijf Maersk opnieuw wist waar de duizenden containers zich bevonden.
Petya: 255 euro, GDPR: twintig miljoen
De makers van deze ransomware eisten driehonderd dollar, omgerekend zo’n 255 euro, uiteraard te betalen in bitcoin, opdat de gegevens opnieuw vrijgegeven zouden worden. Wat na betaling ook meteen gebeurt: ‘Ze zijn uitstekend in het opleveren’, vertelt Mikko Hypponen, ‘want ze weten ook dat indien ze dat niet doen, niemand nog zal betalen.’
255 euro is echter een peulschil. Naar schatting hebben de uitvoerders van het Petya-virus zo’n 120.000 dollar, 107.000 euro buitgemaakt. Beetje vergelijkbaar dus met wat Uber betaalde. ‘De Europese Commissie heeft er met GDPR nu voor gezorgd dat de criminelen een prijsaanduiding hebben. Tot nu toe hadden ze geen idee wat ze zouden moeten vragen’, aldus Hypponen.
De boetes kunnen vanaf mei 2018 oplopen tot twintig miljoen euro of 4 procent van de omzet. ‘De criminelen zullen er vermoedelijk iets onder blijven,’ zegt Hypponen, ‘maar eindelijk weten ze nu waar ze aan toe zijn.’ En meteen weten we ook dat het wellicht geen goed idee was om die bedragen voorop te stellen. Vermoedelijk zal het niet zo’n vaart lopen als bedrijven niet voldoen aan de GDPR-richtlijnen, maar hackers zullen daar wellicht anders over denken. Men weze voorbereid.
Drie dingen hadden hier beter gekund: snellere openbaarmaking, betere encryptie van gegevens in de gehele levenscyclus en het gebruik van access management, inclusief sterke authenticatie. Vertraging in de bekendmaking van een hack zorgt voor schade in de vertrouwensrelaties. Het doel moet niet zijn om inbreuken te verbergen of te voorkomen, het doel moet zijn dat inbreuken geen schade aan kunnen richten door een intelligentere aanpak van beveiliging waarin data centraal staat. Dit betekent dat men precies weet waar waardevolle gegevens zich bevinden, wie er toegang tot heeft, hoe het wordt getransporteerd en wanneer en waar het is ge(de)codeerd. Van de 1,9 miljard gegevens die wereldwijd in de eerste helft van 2017 zijn aangetast, was minder dan 1 procent versleuteld. Identiteitsdiefstal, de waarschijnlijke motivatie achter deze aanval, is de meest voorkomende vorm van schending. Het vertegenwoordigt 74 procent van alle datalekken in de eerste helft van 2017. Een flinke stijging ten opzichte van de vorige periode, toen was het 49 procent. Om dit te voorkomen was het alleen nodig om de toegang tot de data te beveiligen en de informatie te encrypten. En dit is precies wat organisaties in de toekomst moeten doen om dit te voorkomen.
– Jan Smets, Security Specialist bij Gemalto