Cybercriminaliteit rukt op. Als antwoord daarop hebben alle 28 lidstaten van de Europese Unie besloten om in 2018 een meldplicht voor datalekken te verplichten. Nederland loopt voorop en heeft eerder dit jaar de Wet Meldplicht Datalekken ingevoerd. Hoe ver is België met zo’n meldplicht? En hoe kan de voorsprong van Nederland Belgische bedrijven helpen? Diverse experts geven hun mening.
Dirk Geeraerts, identity & data protection expert bij Gemalto zou het mooi vinden als België, als het hart van Europa, een voortrekkersrol op zich neemt en in de voetsporen van Nederland treedt. ‘Vicepremier en minister van Digitale Agenda en Telecom Alexander De Croo heeft in het kader van deze digitalisering ‘Digital Minds for Belgium’ opgestart’, vertelt hij. Dit is een collectief van mensen met een diepgewortelde ervaring in de digitale wereld. Tot de groep behoren internetondernemers, ceo’s van techbedrijven, academici, durfkapitalisten en opiniemakers. Met ‘Digital Minds for Belgium’ wil De Croo het economisch potentieel van de digitale economie in België losmaken en de invoering van de meldplicht zou een logische stap zijn.
Nog niet klaar
Dat Nederland deze meldplicht heeft ingevoerd, wil niet zeggen dat de Nederlandse ondernemingen hier klaar voor zijn, meent Eddy Willems, security evangelist bij G Data. ‘De meeste Nederlandse ondernemers zijn ook nog niet klaar voor de nieuw meldplicht, maar er is in elk geval een bepaald niveau van besef hiervan. In België is zelfs dat nog niet aan de orde. Ik maak mij sterk dat 90 procent van de ondernemers in België geen idee hebben dat de Europese Unie werkt aan nieuwe wetten rondom dataprotectie.’
Willems stelt dat België daarom nog een lange weg heeft te gaan voor een meldplicht. Hierbij geven grote partijen niet het goede voorbeeld. ‘Kijk maar naar hoe de overheid met onze gegevens omgaat. Of hoe partijen als Belgacom behoorlijk gemakkelijk worden gehackt, waarna dit pas maanden later bekend wordt. Als zulke grote partijen er al zo laks mee omgaan, is dat een teken aan de wand hoe dat bij kleine bedrijven zit’, sluit hij af.
Niet afwachten
Wim De Smet, cto bij SecureLink België, meent dat België naar Nederland moet kijken om te zien welke impact de meldplicht heeft. ‘Ik ben er ook van overtuigd dat overheid en bedrijven meer moeten gaan samenwerken. Door onze krachten te bundelen en informatie te delen, vormen we immers een sterker front tegen hedendaagse bedreigingen.’
De Smet waarschuwt wel dat we niet kunnen wachten tot de deadline valt. ‘We moeten nu al actie ondernemen, niet volgend jaar. Kijk dus nu al naar ’the bigger picture’. Wat is belangrijk voor jouw organisatie? Waar zitten met andere woorden jouw kroonjuwelen? Waar zitten mijn kwetsbaarheden? Een audit helpt je een degelijke risico-analyse te maken zodat je weet waar je eventueel actie moet ondernemen.’
Sancties opleggen
Ook Peter Magez, country manager bij Sophos merkt dat België nog niet echt wakker ligt van de meldplicht en bijhorende beveiliging. ‘Wij moeten een voorbeeld nemen aan Nederland. In België geldt er enkel regelgeving voor telecomoperatoren, die stelt dat zij een melding van een datalek moeten maken. Daarmee is dan ook alles gezegd.’
Magez pleit voor een overkoepelende wetgeving waarbij sancties worden vastgelegd voor het hebben van datalekken en het niet naleven van de meldplicht. ‘Europa komt hier sowieso mee. Met Europese boetes die oplopen tot een miljoen euro of 4 procent van de internationale jaarlijkse omzet, denk ik dat veel Belgische bedrijven erbij gebaat zijn nu al eens hun databeveiligingsbeleid onder de loep te nemen en passende beveiligingsmaatregelen te overwegen’, aldus Magez.
Financiering
Bart Renard, director business development bij Vasco, meent dat de overheid in de nodige wetgeving moet voorzien, maar meent dat dit niet gebeurt door een gebrek aan goede financiering en andere resources. ‘Cybersecurity wordt stiefmoederlijk behandeld en budgettair verwaarloosd wegens andere prioriteiten. Sommige landen (waaronder de Angelsaksische) zijn vooruitstrevender dan andere.’
Maatregelen
Steven Heyde, regional director bij Trend Micro werkt zowel in Nederland als in België. Hij meent daardoor een goede vergelijking tussen de twee landen te kunnen maken. ‘Al te vaak merk ik dat België het liefst een afwachtende houding aanneemt. Ons land kijkt dus liever de kat uit de boom tot Europa de meldingsplicht ook echt doorvoert.’
Hij meent dat deze afwachtende houding van de overheid geen reden moet zijn voor bedrijven om ook afwachtend te zijn. ‘Integendeel! Zij kunnen zich maar beter al beginnen voorbereiden op de meldplicht datalekken. Denk hierbij aan preventie (encryptie van data), detectie (rapportages om datalekken op te sporen) en inspectie (onderzoek om aan te tonen dat een lek werd uitgevoerd met geavanceerde methodes die de normale beveiligingsmaatregelen omzeilden).’
Vier tips
Heyde geeft vier technische en organisatorische maatregelen voor organisaties om hun beveiliging te verbeteren.
1. Gebruik niet meer gegevens dan nodig.
Durf kritisch te kijken naar de informatie die je als organisatie in je bezit hebt en verzamelt. Zijn al die gegevens echt nodig? Zorg dat je niet meer data verzamelt en bewaard dan nodig. Verwijder van tijd tot tijd data die je niet meer nodig hebt en verwijder indien mogelijk identificerende kenmerken.
2. Beperk toegang tot gegevens.
Hoe meer mensen toegang hebben tot bepaalde gegevens, hoe groter de kans is dat deze op onbedoelde plaatsen terecht komen. Geef daarom niet iedereen toegang tot bepaalde gegevens, maar beperk dit tot een zeer select aantal.
3. Adequate beveiliging.
Organisaties worden geacht passende maatregelen te treffen voor de beveiliging van gegevens tegen verlies of enige vorm van onrechtmatige verwerking. Kijk daarom kritisch naar de huidige beveiliging. Laat bij voorkeur een audit uitvoeren, zodat je exact weet hoe je er als organisatie voor staat. Blijkt hieruit dat de beveiliging nog niet voldoende op orde is, dan heb je nu nog kort de tijd hier stappen tegen te ondernemen.
Word je na januari geconfronteerd met bijvoorbeeld een cyberaanval waarbij gegevens op straat komen te liggen, dan ben je als organisatie verplicht dit te melden. Als bovendien blijkt dat de beveiliging van deze informatie niet op orde was, dan kan hiervoor een (hoge) boete uitgedeeld worden. Zaak dus om direct orde op zaken te stellen en stappen te ondernemen.
4. Beleid en een plan.
Naast het treffen van de juiste beveiligingsmaatregelen en het opstellen van een intern protocol voor beveiliging van data, moet je als organisatie zorgen dat er een beleid is rondom cybercrime. Zorg dat er een protocol klaar ligt waarin duidelijk geformuleerd staat wat je moet doen wanneer je met bijvoorbeeld een datalek of gerichte aanval wordt geconfronteerd.
Snel, maar vooral ook doordacht en adequaat handelen, is hierbij cruciaal. Vergeet ook niet dat er bij een datalek bijna altijd melding gemaakt moet worden bij de toezichthouder, het CBPL. In veel gevallen zal ook de betrokkene geïnformeerd moeten worden. De impact op de reputatie van de organisatie is dan aanzienlijk.
ICT-beurzen
Cybersecurity is een belangrijk thema tijdens Infosecurity.be, Storage Expo en The Tooling Event 2016. Deze beurzen vinden plaats op woensdag 15 en donderdag 16 juni 2016.
