Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse bedrijven hebben vermoedelijk 18.500 datalekken niet gemeld

Volgens onderzoek meldt maar een derde van de bedrijven met dertig of meer medewerkers datalekken. Zo'n 41 procent doet dat niet en 26 procent zegt niet te weten of het gedaan is. Volgens het onderzoek waren er vorig jaar zo'n 24.000 lekken, bij de AP zijn 5500 lekken gemeld.

Onderzoeksbureau Pb7 Research voerde het onderzoek uit bij 310 Nederlandse bedrijven, in opdracht van Kaspersky Lab. De respondenten gaven in het onderzoek aan hoe ze omgaan met datalekken. Meer dan de helft van de ondervraagden heeft te maken gehad met een of meerdere lekken. Volgens het bureau zijn er in Nederland ruim 23.000 bedrijven met dertig of meer medewerkers. Veel van de ondervraagde bedrijven hebben te maken gehad met meerdere datalekken en zodoende komt het onderzoeksbureau uit op een totaal van 24.000 datalekken.

Bedrijven die toegeven dat er een datalek niet is gemeld, zeggen veelal dat te doen omdat de impact van het lek beperkt of onduidelijk is. Op de tweede plaats komt angst voor reputatieschade. Ook zegt 15 procent geen melding te doen om verder misbruik van het datalek te willen voorkomen.

Het verlies van apparatuur zoals laptops, pc's of smartphones is de voornaamste oorzaak van datalekken. Verlies van informatiedragers zoals usb-sticks en cd-roms komt op de tweede plaats. Daarna komen diefstal van apparatuur en informatiedragers, en datadiefstal door eigen medewerkers. Datalekken komen volgens de bedrijven relatief weinig voort uit de gevolgen van een hack of besmetting met ransomware. In 13 procent van de gevallen worden die oorzaken opgegeven.

De Autoriteit Persoonsgegevens maakte eind december bekend dat er 5500 meldingen binnen zijn gekomen gedurende 2016. Voordat de meldplicht actief werd, maakte het ministerie van Veiligheid en Justitie nog een schatting dat er in een jaar tijd 60.000 meldingen werden verwacht, al is dat later om onduidelijke redenen bijgesteld naar 6000 meldingen.

Een woordvoerder van de Autoriteit Persoonsgegevens laat aan Tweakers weten dat het onderzoek het vermoeden dat organisaties datalekken niet melden, onderschrijft. Dat vermoeden sprak de autoriteit in mei vorig jaar voor het eerst uit.

Door Julian Huijbregts

Nieuwsredacteur

01-02-2017 • 17:17

28 Linkedin Google+

Reacties (28)

Wijzig sortering
Ik snap niet waarom dit niet gemeld wordt. Het enige wat vervelender is dan een lek hebben is dat deze misbruikt wordt. Neem gewoon tijdig actie en dicht het. Daarnaast zorg je als bedrijf toch dat je hardware beveiligd wordt op een dermate manier dat deze op afstand te wissen is.

[Reactie gewijzigd door Biogi op 1 februari 2017 17:31]

Misschien dat de overheid zelf eerst een goed voorbeeld moet geven
http://www.nu.nl/politiek...stig-beveiligingslek.html

Bovendien wat zijn de richtlijnen, wanneer is iets lek en wanneer is iets in gevaar.
De richtlijnen m.b.t. meldplicht en definitie datalek staan uitgebreid beschreven.

https://autoriteitpersoon...ldplicht_datalekken_0.pdf
Dit zijn alleen meldingen onder de Wbp. Er zijn ook meldingsplichten opgenomen in bijvoorbeeld de Wft en de telecommunicatiewet.
Daar zijn tal van redenen voor:
- melding brengt reputatieschade met zich mee
- melding kan een boete van de AP ten gevolge hebben
- melding brengt veel kosten met zich mee (informeren van de klant, alle vragen n.a.v. het datalek beantwoorden kost een boel support-tijd)

Daar tegenover staat dat de kans op ontdekking van het niet-melden van een lek vaak klein is.
Hier een artikel uit het FD waarin het massale niet-melden enkele maanden terug al voorspeld werd:
https://fd.nl/economie-po...rime-is-vaak-verstandiger
Allemaal onzin redenen.
- de melding is niet publiek
- niet melden kan een grotere boete opleveren
- het hoeft lang niet altijd aan de betrokkenen gemeld te worden
Dat is wel wat stellig:
- dat de melding niet publiek is wil niet zeggen dat het datalek niet naar buiten komt. Bedrijven hebben zich ook vaak contractueel gebonden om dit soort meldingen aan één of meer derden te melden;
- dat is waar, maar bij heel veel datalekken is de kans op ontdekking door de AP zo klein, dat dit voor veel bedrijven een economisch rendabele gok is;
- dat klopt, maar het is niet langer in je eigen handen. bedrijven kunnen niet voorspellen wat de AP van hen zal verlangen.
Je eerste punt heeft niks te maken met de AP-melding, en alle drie punten zijn typisch gedrag van bedrijven waar je niks mee te maken moet willen hebben

Sowieso zou het goed zijn als Kaspersky de lijst van bedrijven die niet melden openbaar zou maken, zodat je als consument weet welke bedrijven je moet vermijden omdat ze hun eigen belang en imago belangrijker vinden dan (de persoonsgegevens van) hun klanten.
Ik vermoed dat vele bedrijven zolang er geen misbruik wordt gebruikt van hun lek de tijd nemen om het te herstellen. Indien ze het meteen zouden melden kan er wel eens misbruik optreden alvorens het hersteld is gok ik.
Dat is een kulargument. De melding is niet publiek, anders dan de AP hoeft niemend te weten dat er een datalek geweest is. Behalve eventueel degenen van wie er gegevwens gelekt zijn
Stel dat tussen degenen vanwie er data gestolen is ook maar 1 iemand zit met de vaardigheden om als tegenreactie nog meer gegevens te stelen.. Probleem dus. Ook al is de kans miniem.
Het zal wel aan mij liggen maar ik heb geen flauw idee wat je probeert te zeggen en hoe dat relevant is.
Privilege escalation als ik het zo lees. Bijv: ik heb mij toegang verleend tot systeem XX met gevonden DB gegevens, via de DB user weet ik mij toegang tot een server user te verschaffen, vanuit daar heb ik weer toegang tot alles op de server (want uiteraard is het de root user).

Bovenstaande ter groffe illustratie.

Maar gezien je actieve posts @tinzarian over dat men verplicht en altijd een lek moet melden. Heb je dan ook wat bronnen om mensen die jouw berichten lezen het leven gemakkelijker te maken, zoals misschien een (enkel!) centraal punt waar zo super duidelijk beschreven staat wat een lek is dat we er ook een echte definitie aan kunnen hangen? (Dus niet meer dan 1, zoals: wbp, wft, telecomwet, whatever else)

En als een lek gevonden wordt door devs (zeg een webbureau), die checkt voor gegevens misbruik, vind dat niet en dicht daarnaast het lek. Vind je dat het dan ook gemeld moet worden/had moeten zijn?

En als een lek wordt gevonden door een derde partij (laten we "white hat") aannemen. De bouwer/hoster/eigenaar wordt geinformeerd, lek wordt zonder misbruik gedicht, had dit dan ook weer gemeld moeten worden?

Ik vraag het vanwege je tal van reacties hierboven en ik nieuwsgierig ben waarom iemand zo strikt een praktijk van je medemens aangeven zou willen hanteren zonder hiervoor een duidelijke beredenering te geven anders dan "ja maar, dat moet"...
Ik zeg helemaal nergens dat een lek "altijd verplicht" gemeld moet worden. Ik geef alleen maar aan dat de genoemde argumenten geen goede reden zijn om niet te melden.
En ik zie nog steeds niet hoe killerbies tekst en ook jouw voorbeeld ook maar iets te maken heeft met het wel of niet melden van een datalek bij de AP.

Wat een datalek is en wanneer er wel of niet gemeld moet worden staat keurig beschreven in de richtsnoeren waar densoN naar gelinkt heeft

[Reactie gewijzigd door tinzarian op 2 februari 2017 18:09]

Zoals ik vorige week al schreef.
niki_lauda in 'nieuws: 'Helft datalekken gemeenten niet gemeld aan Autoriteit...

Gaan we dit dan ook voor bedrijven doen? Want ik denk dat we van bedrijven nog veel minder datalekken horen omdat die nog meer onder de pet houden.

[Reactie gewijzigd door niki_lauda op 1 februari 2017 21:58]

Het hoeft niet zo zeer een lek te zijn waarbij data op straat kan komen te liggen. Verlies van data door Cryptolockers icm geen of slechte back-ups valt daar ook onder.

[Reactie gewijzigd door Dograver op 1 februari 2017 18:22]

Overheid geeft het slechte voorbeeld en juristen raden het af.

https://fd.nl/economie-po...rime-is-vaak-verstandiger
Als je een versleutelde USB stick verliest met veel persoonlijke gegevens er op moet je dit dan ook melden?
Indien u passende technische beschermingsmaatregelen heeft genomen waardoor de
persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder
die geen recht heeft op kennisname van de gegevens, dan kunt u de melding aan de
betrokkene achterwege laten (artikel 34a, zesde lid, Wbp)
Dus je hoeft het niet direct te melden aan de personen die op de usb-stick staan, maar wel altijd aan de AP. Die kan dan vervolgens besluiten dat je alsnog melding moet doen aan de betrokkenen.

https://autoriteitpersoon...ldplicht_datalekken_0.pdf (pag. 33, 7.2)
De meldplicht is terug te vinden in artikel 34a lid 1 Wet bescherming persoonsgegevens:

'De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.'

In art. 13 staat dat je de gegevens met 'passende technische en organisatorische maatregelen' moet beveiligen.

Wanneer je de gegevens goed hebt versleuteld, is er geen 'aanzienlijke kans op ernstige nadelige gevolgen' en lijkt het me heel goed pleitbaar dat een melding achterwege kan blijven.
''Het verlies van apparatuur zoals laptops, pc's of smartphones is de voornaamste oorzaak van datalekken. Verlies van informatiedragers zoals usb-sticks en cd-roms komt op de tweede plaats. Daarna komen diefstal van apparatuur en informatiedragers, en datadiefstal door eigen medewerkers. Datalekken komen volgens de bedrijven relatief weinig voort uit de gevolgen van een hack of besmetting met ransomware. In 13 procent van de gevallen worden die oorzaken opgegeven.''

Deze opsomming gaat vooral over offline lekken. Lees ik er nou overheen? Volgens mij gebeuren de meeste lekken van gegevens toch online. Iemand die dat weet?
Volgens mij heeft de AP daar (nog) geen cijfers over openbaar gemaakt.
Wat ik wel weet is dat het begrip 'datalek' veel meer is dan het typische datalek (gehackte database) waar wij Tweakers al snel aan denken.

De AP definieert het als volgt:
'Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.'
Het kan dus zelfs gaan om de diefstal van papieren met gegevens bij een papiervernietigingsbedrijf, maar ook om e-mails die aan de verkeerde persoon zijn verstuurd, brieven met een foutieve adressering, enzovoorts.
Ik heb zelf vorig jaar een email met financiële gegevens naar een verkeerd persoon gestuurd.
Had van een klant telefonisch zijn emailadres een keer gehad, maar hij had een foutje gemaakt in het doorgeven en de email kwam dus bij iemand anders terecht.
Gelijk intern gemeld (zo iets moet namelijk binnen iets van 48 uur na ontdekking gemeld zijn) en juridische zaken heeft dit direct opgepakt door het te melden en natuurlijk door dit richting klant en verkeerde afzender op te pakken.

Het vraagt wel van de medewerkers dat ze dit melden, ik verwacht dat diverse van mijn collega's het namelijk niet gemeld zouden hebben puur omdat ze daar niet over na zouden denken.
Black hat hacking is maar 13%, pfff we zijn veilig! ;)
Dat gaat leuk worden wanneer GDPR in trede gaat :9
Want? Zoveel verandert er onder de AVG niet met betrekking tot datalekken en het melden daarvan.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Apple

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True