Beheer

Security
Struisvogel

Securityzwijgen is struisvogelpolitiek

Per saldo toch geen goed idee van Aldo Verbruggen, zijn verkapte advies om geen aangifte te doen van cybercrime.

31 oktober 2016
Niet melden van cybercrime is onverstandig, alleen merken we dat niet meteen. Juridisch advies om datalekken of security-incidenten stil te houden, werkt uiteindelijk tegen ons én werkt onveiligheid in de hand.

Uiteraard kan ik best begrijpen dat bedrijven liever zwijgen over digitale inbraken. Melden van datalekken en aangifte doen van cybercrime is een rompslomp. Daarbij stuit je als getroffen bedrijf soms ook nog eens op onbegrip en onkunde. Bovendien levert melden ook schade op, al was het maar door extra controle of een eventuele boete van toezichthouder AP (Autoriteit Persoonsgegevens). Deze argumenten vóór stilhouden van Aldo Verbruggen, partner bij het internationale advocatenkantoor Jones Day, snijden zeker hout.

Het grotere plaatje

Alleen vormen die argumenten om security-incidenten binnenskamers op te lossen niet het hele plaatje. Als we om die redenen overgaan tot minder of zelfs niet meer melden, dan gaan we helemaal de verkeerde kant op. Dan is er namelijk geen controle en geen zicht meer op het probleem. Dan weten we niet meer hoe veilig of onveilig onze zakenwereld eigenlijk is.

Consumenten beschikken op deze manier niet over informatie om te kiezen welk bedrijf zij hun kostbare data en waardevolle klandizie toevertrouwen. Tegelijkertijd ontbeert het politie en Justitie aan informatie om inzicht te krijgen in de omvang van cybercrime. Ook bedrijven hebben sterk de behoefte om van elkaar te leggen. Zo hebben banken en verzekeraars regelmatig met elkaar overleg hoe ze het zich kunnen beschermen tegen allerlei vormen van digitale inbraken.

Stilte maakt onveilig

Verbruggen merkt op dat de kans op vervolging en veroordeling van cybercriminelen minimaal is. Dat heeft vooral te maken met het internationale karakter van cybercrime. Dat klopt allemaal. Maar weerbaarder worden is belangrijker dan alle boeven laten vangen. Het domweg verzwijgen en verdragen van digitale misdrijven is niet de oplossing. Stilhouden is een gevaarlijke struisvogelpolitiek, want daarmee gaat het gevaar heus niet weg. Sterker nog: daarmee wordt het gevaar juist groter.

Voormalig officier van Justitie Verbruggen vertelt aan het FD dat recht en justitie hopeloos achterlopen op techniek. Misschien is dat wel zo, maar datalekken niet melden en geen aangifte doen van cybercrime betekent dat er een verkeerde inschatting komt van aard en omvang. Dan komt er ook geen budget, opleiding, expertise, enzovoorts. Stilhouden zorgt dus voor een vicieuze cirkel.

Stokken en wortels

Het is wel zo dat er wat meer wortel mag komen voor meldende en aangifte doende bedrijven. Dus een aanlokkelijk en beter antwoord op de vraag ‘What’s in it for me?, naast de stok van dreigende boetes voor het niet melden van datalekken.

Verbruggen zegt dat de overheid hem niet duidelijk kan maken wat het zijn klanten brengt om zaken aan te kaarten.Daarbij vermeldt hij het gevaar dat ze in de openbaarheid komen. Dat kan een kostbare kwestie zijn. Verbruggen informeert zijn cliënten nadrukkelijk over de nadelen van melding doen. Maar stilhouden heeft ook zeker nadelen. Want wie bepaalt wat er wel en niet wordt verzwegen? Wie is er verantwoordelijk en wie is er aansprakelijk op het moment dat stilgehouden datalekkages of security-incidenten toch uitkomen? Wiens hoofd ligt wanneer op het blok?

Balanceren tussen uitersten

Laten we in ieder geval vermijden dat we doorschieten. Ik doel hierbij op beide uitersten in de kwestie van wel of niet melden. Aan de ene kant is er het door Verbruggen geadviseerde uiterste van stilhouden, plus het risico nemen van mogelijk later betrapt en beboet te worden. Aan de andere kant is er het uiterste van overregulering zoals die nu in de Verenigde Staten speelt. Daar is de regelgeving dermate doorgeslagen dat het voor organisaties onwerkbaar is geworden om daaraan te voldoen.

Beide uitersten slaan de plank mis als het gaat om het langetermijndoel van meldingsplichten en aangifte doen. We moeten ervoor zorgen dat de zakenwereld, ons digitale domein en landen veiliger worden. Dat doen we door van elkaar te leren. Grensoverschrijdende cybercrime doorkruist weliswaar nationale wet- en regelgeving, maar actieve melding en samenwerking kan dat weer pareren. Dit pareren gaat verder dan alleen opsporing, vervolging en uiteindelijk eventuele veroordelingen.

Weerbaarheid

Het pareren moet ook juist vanuit en voor bedrijven zelf zijn. Meldingen en aangiftes geven inzichten. Zo kunnen bedrijven, sectoren en overheidsinstellingen ervaringen met elkaar vergelijken. En vaststellen wat de meest effectieve maatregelen zijn naast de dreiging van stokslagen. Bedrijven kunnen zichzelf zo beter beschermen, zich meten aan hun peers en bewuster omgaan met hun digitale beveiliging.

Bewustwording is een belangrijk aandachtspunt, waar het nu nog aan schort. Bijvoorbeeld over de - vage - scheidslijnen tussen privacy, security en ransomware. Laatstgenoemde, kwaadaardige software die gegevens gijzelt, valt formeel onder de Meldplicht Datalekken. Maar weinig mensen beseffen dit. Bewuste omgang met cyberbeveiliging komt pas op gang als we weten, als we melden. Al doende leren we, dat cybersecurity niet zwart/wit is.

Reactie toevoegen