De nieuwe General Data Protection Regulation (GDPR) blijft de gemoederen beroeren. Wij spraken met drie security-experts over de impact op (Belgische) bedrijven en de it-afdeling in het bijzonder. En kwamen met vijf gevolgen voor security, die elke it’er moet weten.
Rond de tafel zaten Filip Savat (country manager Belux bij Fortinet), Luk Schoonaert (technology director bij security distributeur Exclusive Networks) en Eddy Willems (security evangelist bij G Data Software). Vijf voorspellingen passeerden de revue.
1: de GDPR zal voor elk Belgisch bedrijf gevolgen hebben
Enkele weken geleden werd in het Europees parlement over deze zogenaamde General Data Protection Regulation (GDPR) gestemd, de nieuwe Europese privacyregels. Er werd een overgangsperiode van ongeveer twee jaar ingebouwd. De echte uitvoering van de maatregelen gaan dus pas in op mei 2018. De timing is duidelijk, de impact minder. Heeft deze nieuwe wetgeving, zoals wordt beweerd, ook impact op elk bedrijf en elke it-afdeling?
Het meest opvallende onderdeel van de nieuwe wetgeving zijn de verplichtingen bij datalekken van (in Europa opgeslagen) persoonsgegevens. ‘De GDPR-wetgeving slaat in eerste instantie in op de persoonlijke klanteninformatie die je als organisatie beheert. Dat lijkt dus eerder iets voor een ziekenhuis dan bijvoorbeeld voor fabrikant Johnson & Johnson’, oppert Luk Schoonaert van Exclusive Networks. ‘Ik denk in eerste instantie aan overheden en banken die de meeste impact zullen voelen. Maar de Panama Papers hebben bijvoorbeeld aangetoond dat een middelgroot advocatenkantoor ook over heel wat persoonlijke klanteninformatie beschikt’, vertelt hij.
Eddy Willems van G Data treedt dit bij. ‘De GDPR zal niet voor elk bedrijf dezelfde impact hebben. Maar ik denk wel dat het voor elk bedrijf gevolgen zal hebben. Alleen al omdat de bewustwording rond security en risico’s absoluut zal toenemen.’
2: Monitoring wordt belangrijker in security
Vooral de eis in de GDPR-wetgeving dat bedrijven binnen de 72 uur een ernstig datalek moeten melden aan de privacyautoriteiten veroorzaakt de nodige nervositeit. Bedrijven die de regels schenden, riskeren een boete van 2 tot 4 procent van hun wereldwijde omzet. Voor grote bedrijven kan een boete dus al snel in de miljarden lopen.
Ook deze straffen, al gaat het voorlopig om theorie, zullen gevolgen hebben. ‘In Nederland is de wetgeving al langer in voegen, en daar gaan we veel uit kunnen leren’, meent Eddy Willems, die benadrukt dat bedrijven toch veel meer betrokken zullen moeten zijn voor dergelijke kwesties. ‘Afhankelijk van de studie blijkt er vandaag een tijdsinterval te zijn van 90 tot 150 dagen tussen data-inbreuk en detectie. Er blijkt in veel bedrijven nog een probleem op het vlak van het inschatten van de gevolgen van een data-inbreuk. Je merkt ook dat monitoring en rapportering van security-oplossingen nog belangrijker wordt. Vroeger was dat eerder bijkomstig, nu wordt dat pas echt gebruikt.’
Filip Savat van Fortinet vult aan: ‘Elk bedrijf moet om te beginnen al identificeren wat een hacker met jouw bedrijfsgegevens kan doen en daar de waarde aan koppelen. Monitoring is dan de volgende stap, maar evenzeer noodzakelijk. Elk bedrijf moet de verantwoordelijkheid bij zichzelf leggen, en niet bij de leverancier.’
3: Data protection officer wordt knelpuntberoep
Door de wetgeving moeten bedrijven op zoek naar een nieuw type van werknemer, die bijvoorbeeld in Duitsland al vrij gebruikelijk is: de data protection officer, die ze zullen moeten inhuren om onder meer de rapportering te doen. Luk Schoonaert: ‘We zullen in België naar schatting tweeduizend van dergelijke data protection officers nodig hebben, voor bedrijven van boven de vijfhonderd werknemers. In Europa gaat het om twintigduizend profielen.’
Deze profielen zullen niet zo makkelijk te vinden zijn, omdat het om een specifieke combinatie van competenties gaat. ‘In de praktijk gaat het bij wijze van spreken om half techneuten en half juristen’, weet Schoonaert.
4: Gebruik encryptie neemt toe
Encryptie lijkt dus een goede manier om data (extra) te beschermen. ‘Tenminste als de encryptie gebeurt voordat de data in de cloud worden opgeslagen’, nuanceert Willems. ‘Anderzijds mag je niet vergeten dat er ook wel een probleem kan zijn met encryptie. Het zorgt ervoor dat je niet alle data kan zien, dus ook niet de mogelijke problemen. Als je gaat over-encrypteren, heb je ook de noodzakelijke visibiliteit en transparantie niet meer als organisatie’, stelt hij.
Gelijkaardige wetgeving als de GDPR in VS zorgde voor een behoorlijke toename in encryptie. Dat zit er hier ook aan te komen. Vaak valt encryptie onder de noemer ‘pseudonimiseren’. In die categorie zijn gegevens (eventueel na een lange rekentijd van een computer) toch terug te voeren op individuen. ‘Lekken van geëncrypteerde en gepseudonimiseerde gegevens tellen juridisch dus wel als datalek. Maar de kans dat een bedrijf in een dergelijk geval een boete krijgt voor nalatig gedrag is minimaal.’
5: Steeds minder security spelers: consolidatie zet zich door
Dat is de stelling waar de meeste discussie over bestaat. Gaan bedrijven een beroep doen op slechts één leverancier (of een beperkt aantal) voor al hun security-zaken? Het is in elk geval een trend die meer en meer speelt. Een partij als Fortinet, vooral bekend van zijn utm-oplossing, omschrijft zich als totaalpartij in security. Filip Savat: ‘Wij zijn met Fortinet de leverancier, en mogelijk zelfs de enige, die volledig end-to-end gaat. Binnen perimeter, cloud, endpoint,…. Wij doen de ontwikkelingen volledig zelf en nemen eigenlijk enkel bedrijven over die zich specialiseren in kleine technologieën die binnen ons geheel passen. Dit geeft het voordeel dat we alle componenten die nodig zijn voor een optimale beveiliging, zelf beheren en niet afhankelijk zijn van derden, met als gevolg dat we qua security sneller proactief kunnen optreden en dat het beheer voor de klant eenvoudiger wordt’, zo beweert hij.
Niet iedereen is het hier overigens mee eens, al is het maar omdat sommige van onze gesprekspartners liefst één security-onderdeel voor hun rekening nemen. ‘Als ik een stereoketen wil kopen, kies ik voor de oplossing met de beste componenten. In security is dat ook zo. Je bent als bedrijf ook minder kwetsbaar als je je op oplossingen van meer dan één leverancier richt’, meent Eddy Willems van G Data.
Toch is er zeker een trend naar consolidatie in de markt, die zich lijkt door te zetten. Luk Schoonaert: ‘Van gemiddeld vijf à zes security leveranciers per bedrijf zijn we bijvoorbeeld eerder naar twee à drie spelers gegaan. Ik denk dat die consolidatie zich zal verder zetten, maar geloof niet dat bedrijven, en ook kmo’s niet, zich aan het eind van de rit met technologie van één enkele fabrikant gaan uitrusten. De zogenaamde multi-layer approach is nog steeds de standaard in security, en dat is maar goed ook.’
