VK dreigt met boetes voor bedrijven die te weinig doen tegen internetaanvallen

Het Verenigd Koninkrijk heeft een wetsvoorstel in behandeling waarmee Britse organisaties en bedrijven die te weinig doen aan het beveiligen van hun netwerken tegen internetaanvallen boetes kunnen krijgen tot maximaal 4 procent van hun totale wereldwijde omzet.

Het gaat vooral om organisaties waarbij het lamleggen van de systemen door bijvoorbeeld ransomware een ernstige verstoring van transport- en gezondheidsdiensten of de elektriciteitsnetwerken oplevert. De Britse krant The Guardian schrijft dat het instrument van de boetes pas wordt ingezet als een laatste redmiddel. Er zal geen boete worden opgelegd als bedrijven kunnen aantonen de risico's adequaat te hebben ingeschat.

De plannen om boetes uit te delen beperken zich niet tot de beveiliging van computersystemen tegen internetaanvallen. Ze zijn ook gericht op falende systemen. Eind mei was dat het geval bij de systemen van luchtvaartmaatschappij British Airways, waardoor meer dan duizend vluchten geannuleerd werden en zo'n 75.000 passagiers niet konden vliegen. Volgens de nieuwe plannen moeten bedrijven tonen wat ze hebben gedaan om de risico's te verkleinen.

De eventuele boetes zijn onderdeel van een consultatie van de overheid, als onderdeel van de invoering van de Europese Network en Information Systems-richtlijn. Deze richtlijn is in de EU al aangenomen en verplicht lidstaten om de regels binnen 21 maanden in te voeren via nationale wetgeving. Het instrument om boetes op te leggen komt niet in de richtlijn voor en is deels een reactie op de WannaCry-aanval die het gezondheidszorgstelsel in het Verenigd Koninkrijk, de NHS, in mei flink ontregelde. Daarbij werden veel systemen in ziekenhuizen en huisartsenpraktijken getroffen.

Door Joris Jansen

Redacteur

Feedback • 08-08-2017 13:36 33

08-08-2017 • 13:36

33

Lees meer

VK overweegt verbod op ransomwarebetalingen door instanties in publieke sector
VK overweegt verbod op ransomwarebetalingen door instanties in publieke sector Nieuws van 14 januari 2025
Overheid VK werkt aan richtlijnen om eigenaren slimme auto's te beschermen
Overheid VK werkt aan richtlijnen om eigenaren slimme auto's te beschermen Nieuws van 6 augustus 2017
Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update
Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update Nieuws van 12 mei 2017
Premier VK: Silicon Valley kan en moet meer doen tegen online extremisme
Premier VK: Silicon Valley kan en moet meer doen tegen online extremisme Nieuws van 25 maart 2017
Meer producten en artikelen
Politiek en recht Netwerk en systeembeheer Malware Ransomware Verenigd koninkrijk WannaCry

Reacties (29)

-Moderatie-faq
29
29
27
0
0
1
Wijzig sortering

Sorteer op:

Weergave:
Gerrit T. 8 augustus 2017 13:39
Het zou eens tijd worden! Maar die 4% wereldwijde omzet aan boete?... Tenzij de bedrijven de risico's adequaat hebben ingeschat, en dat aan kunnen tonen? Nog een hoop vaagheid, ik hoop dat er wel iets concreters uit komt. Bijvoorbeeld opslageisen, encryptie-eisen, noem maar op.
swhnld @Gerrit T.8 augustus 2017 13:48
In de EU GDPR regelgeving zit 10% wereldwijde boete als afschrikmiddel.

Ze moeten wel duidelijk zijn in wat de eisen zijn en wie het betreft en hoe te handhaven. Perfect zou zijn een standaard certificering als ISO270001 of zo iets te verplichten voor bedrijven in betreffende sectoren, dan wordt er regelmatig op gecontroleerd dat de zaken op orde zijn.
Verwijderd @swhnld8 augustus 2017 13:53
Ja want ISO27001 is een goed voorbeeld van hoe je als bedrijf kunt aantonen dat je zaken op orde zijn :9
swhnld @Verwijderd8 augustus 2017 14:37
Een ISO certificering heeft bepaalde zaken in zich, zoals beperkte geldigheid, controle door een externe auditor om het te behouden, doorontwikkeling van standaarden om je aan te houden, etc. Er is ook een register van, dus eenvoudig te controleren dat een bedrijf er aan voldoet.

Het alternatief als je niet zoiets doet, is hopen dat een bedrijf het zelf wel goed regelt, en er dan achteraf achter komen dat dat niet het geval is geweest, mocht het dus niet in orde zijn kom je er achter nadat het kalf verdronken is, geef je een boete, en enige tijd later gaat het elders fout en geef je weer een boete.
Verwijderd @swhnld8 augustus 2017 14:51
ISO27001 heeft weinig te maken met 'security' en alles te maken met compliance. Het feit dat het certificaat verloopt en dat een externe partij deze audit uitvoert betekend helemaal niets. Het is een typische 'check-box' exercitie dat vooral een gevoel van (schijn) veiligheid teweeg brengt onder de massa.

Het bedrijf (security) waar ik voor werk staat dagelijks in contact met allerlei ISO27001 gecertificeerde bedrijven die, simpel gezegd, kapot gehacked worden. Een mooi voorbeeld is hoe de notpetya malware de disaster recovery procedures voortkomend uit ISO27001 volledig omzeilt/geinfecteerd heeft.

Investeer in goede awareness training. Niets is waterdicht.
Verwijderd @Verwijderd9 augustus 2017 09:35
Maar dan is de disasterrecovery procedure toch gewoon niet in orde? Wij hebben van letterlijk alles toch nog steeds offline backups. Oké, je bent misschien wat dat kwijt maar kunt bij een echte 'disaster' in ieder geval weer productie voeren.
Verwijderd @Verwijderd8 augustus 2017 14:07
Nee, ISO certificering is vooral een goed middel om je als management in te dekken tegen claims.
CP3BEST @Verwijderd8 augustus 2017 14:27
Als je wel een goed voorbeeld zou willen hebben om aan te kunnen tonen dat je het als bedrijf redelijk op orde hebt, wat zou jij dan aanraden?
CAPSLOCK2000
@Verwijderd8 augustus 2017 15:46
Neuh, ik draai het liever om. Als je zelfs niet aan ISO27001 voldoet dan ben je gewoon niet veilig. Dan hoeven we niet meer verder te kijken naar wat er nu precies wel en niet goed gaat. Zonder mis je de basis die nodig is om een goed systeem op te zetten.
Willekeurig voorbeeld, het vinkje "backups". Dat je een vinkje zet bij "backups" betekent nog niet dat het goede of veilige backups zijn. Als je het echter niet zet dan is het echter zeker niet goed.

Althans, dat is de theorie. In praktijk is het vooral een manier om kleine IT-bedrijven weg te jagen. Die durven niet zomaar te zeggen dat ze aan zo'n standaard voldoen en er wel aan voldoen kost ze te veel papierwerk. De grootste IT-bedrijven hebben geen enkel probleem met het papierwerk waarna de sales droids met een stalen gezicht beweren dat je hun moet hebben omdat ze veiliger zijn dan de kleinere concurrent die het in praktijk misschien wel beter heeft gregeld.
Origin64 @Verwijderd8 augustus 2017 14:07
Als je je scherm lockt als je van je pc wegloopt, kun je ook niet gehackt worden toch? 8)7
stefanhendriks @swhnld8 augustus 2017 13:53
een ISO certificering forceren gaat alleen helaas niet oplossen dat een bedrijf waterdicht is. Je legt wel een bepaalde lat op, maar garanties kun je niet geven.
sspiff @stefanhendriks8 augustus 2017 14:00
Klopt, maar garanties op waterdichte software kan je ook nooit geven, ongeacht de hoeveelheid moeite, tijd en kapitaal je investeert.

Iets als een ISO certificering is het beste dat bedrijven en overheden kunnen doen om overeen te komen wat "voldoende moeite doen" juist betekend.
mashell @sspiff8 augustus 2017 14:46
Maar met als nadeel dat het als kille checklist gebruikt wordt en er hele cyclussen doorlopen moeten worden om naar een actuelere versie te komen. Snel een actie nemen om op de actuele stand van de techniek te reageren is bij die standaarden niet bij. Ik denk daarom dat je het bewust onduidelijk moet houden, wat er precies geeist wordt, zodat de IT managers zelf moeten nadenken en zelf verantwoordelijkheid moeten nemen.
stefanhendriks @mashell8 augustus 2017 19:46
hmm. Je zou kunnen stellen dat misschien Mean Time To Recover beter/hoger staat op de agenda dan het voorkomen van Failures.

Als je toch al eigenlijk zegt dat een aanval zal gaan gebeuren...

Dat zou niet betekenen dat je helemaal 'niets' hoeft te doen natuurlijk.
RedPixel @swhnld8 augustus 2017 13:54
De hoogste boete is maximaal 4%, of 20 mln euro (neem de grootste) hoor:
Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher
bron: 2016/679 Artikel 83 Lid 5
Ircghost @swhnld8 augustus 2017 16:33
De standaard certificering, zoals ISO270001 zou een eerste stap zijn. Een veel betere stap zou zijn om het proces rondom certificering te verbeteren. Wij krijgen nu ook een nieuwe certificering voor proces management, super.. in theorie. In de praktijk betaal je vooral een bak met geld aan een audit bedrijf. Tenzij je de intrinsieke motivatie van het personeel echt aanpakt zegt zo'n certificering helemaal niks.

De eisen die daar dus aan gesteld worden mogen van mij part flink verhoogd worden, zodat de certificering echt iets zegt over de veiligheid of x,y,z..
emnich @Gerrit T.8 augustus 2017 13:44
Ik hoop juist dat er niet iets concreets uitkomt want dat verouderd nogal snel en kan zelfs een betere beveiliging tegenhouden. Adequaat lijkt me dan ook prima.
Verwijderd @Gerrit T.8 augustus 2017 13:54
Die opslageisen en encryptie-eisen moet je juist niet zo specificeren in wetgeving. Dan moet je iedere paar maanden de wetgeving aanpassen. De wetgeving moet onafhankelijk zijn van de technologie.
TweakerPas @Gerrit T.8 augustus 2017 14:19
Dan moet de overheid / regering zelf ook beboet kunnen worden mijn inziens!
Kijk eens naar Nederland hoe vaak wel een minister of wie dan ook een laptop of usb stick laat liggen in een taxi / bus / trein etc... Hoe vaak de beveiliging daar te wensen overlaat. Mensen zich niet kunnen houden aan protocollen en prive mail gewoon openen op overheidssystemen. Geen up to virusscanner en adware scanners hebben etc...

Op staande voet ontslag een geen wachtgeld regeling! Maakt niet uit hoe hoog je functie is!
harrytasker @Gerrit T.8 augustus 2017 14:32
Misschien dat overheidsinstanties eerst eens bij zichzelf moeten gaan kijken?
TheekAzzaBreek @Gerrit T.8 augustus 2017 17:11
Het zou eens tijd worden! Maar die 4% wereldwijde omzet aan boete?... Tenzij de bedrijven de risico's adequaat hebben ingeschat, en dat aan kunnen tonen? Nog een hoop vaagheid, ik hoop dat er wel iets concreters uit komt. Bijvoorbeeld opslageisen, encryptie-eisen, noem maar op.
Er is een reden waarom dit soort eisen in wetgeving vaag gehouden worden. Wetgeving gaat nou eenmaal langzaam, en techniek gaat snel. Als je concrete technische maatregelen eist loop je de kans dat je over een aantal jaar met een volkomen verouderde wet zit. "Adequaat" kan meegroeien met de realiteit, middels jurisprudentie.
MPAnnihilator 8 augustus 2017 14:09
Definieer dan wel heel specifiek wat "voldoende" of "onvoldoende maatregelen" juist zijn. Want anders is de wet gewoon voor iedereen anders. Lees : hoe groter de ( financiële ) ramp, hoe meer eisen dat men gaat stellen om dat bedrijf dan toch maar aansprakelijk te kunnen stellen. En dat is willekeur.
Het zou beter zijn gewoon te vereisen dat men moet voldoen aan bepaalde normen , bijvoorbeeld ISO 27001 , PCI-DSS enz ...
Dat zou dan hopelijk het welles nietes spelletje de mond kunnen snoeren.
Knijper1962 @MPAnnihilator8 augustus 2017 14:59
Ik ken wel wat " vriendjes " die zulke bedrijfssystemen eens willen "testen". En als ze dan aantonen dat binnendringen is gelukt, willen ze ook wel een bonusje daarvoor.
livePulse @Knijper19628 augustus 2017 15:31
Precies wat ik dacht. Dat wordt "bedrijfje pesten" of blackmailen...
MPAnnihilator @Knijper19628 augustus 2017 20:15
Klopt wellicht , maar daar ging het ook niet over. Het ging over aansprakelijkheid. Als je aan die standaarden voldoet bewijst het wel dat je als bedrijf tenminste een moeite hebt gedaan en kunnen ze dat al niet tegen jou gebruiken.
Als men dan vindt dat bedrijven aan beter normen moet voldoen , dan moet men die maar bekend maken zodat bedrijven er naartoe kunnen werken. Want achteraf gezien kon het natuurlijk altijd wel beter.
mhnl1979 8 augustus 2017 13:40
Goed plan. Verdient navolging. Je hebt een verantwoordelijkheid voor de data die je hebt. Natuurlijk kun je niet overal wat aan doen, maar je kunt wel je best doen om zoveel mogelijk aan schadebeperking te doen.
Verwijderd 8 augustus 2017 14:09
GDPR is inderdaad 2% jaarlijkse omzet of 10 miljoen euro en voor zwaardere misdrijven 4 % van de jaarlijkse omzet of 20 miljoen euro. Het grootste is van tel.
T0mBa 8 augustus 2017 14:30
Dus langs de ene kant vindt het VK dat bedrijven zich zo goed mogelijk moeten beveilingen tegen hacking, maar langs de andere kant eist datzelfde VK dat bedrijven ook backdoors moeten inbouwen in hun producten zodat ze hun burgers kunnen bespioneren? :?

Mij lijkt het ene het andere behoorlijk uit te sluiten, maar dat heb je nu eenmaal met politici die maar wat raaskallen als over over technologie gaat.... Ik kan niet wachten tot ze een bedrijf een boete geven omdat er op hun netwerk ingebroken is via een door de overheid verplichte backdoor!

[Reactie gewijzigd door T0mBa op 25 juli 2024 16:55]

Philpend 8 augustus 2017 17:00
In wat andere artikelen over dit onderwerp wordt ook gewezen naar de NHS, het Britse systeem van ziektekosten-verzekering met uiteraard heel veel privacy gevoelige informatie. Saillant detail is dat de NHS door de Britse overheid al een aantal jaren financieel zwaar wordt afgeknepen. Eerst maken ze het financieel zo goed als onmogelijk om helemaal up-to-date te zijn met beveiliging en vervolgens gaan ze ook nog een boete opleggen.......

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq