Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

VK dreigt met boetes voor bedrijven die te weinig doen tegen internetaanvallen

Door , 33 reacties

Het Verenigd Koninkrijk heeft een wetsvoorstel in behandeling waarmee Britse organisaties en bedrijven die te weinig doen aan het beveiligen van hun netwerken tegen internetaanvallen boetes kunnen krijgen tot maximaal 4 procent van hun totale wereldwijde omzet.

Het gaat vooral om organisaties waarbij het lamleggen van de systemen door bijvoorbeeld ransomware een ernstige verstoring van transport- en gezondheidsdiensten of de elektriciteitsnetwerken oplevert. De Britse krant The Guardian schrijft dat het instrument van de boetes pas wordt ingezet als een laatste redmiddel. Er zal geen boete worden opgelegd als bedrijven kunnen aantonen de risico's adequaat te hebben ingeschat.

De plannen om boetes uit te delen beperken zich niet tot de beveiliging van computersystemen tegen internetaanvallen. Ze zijn ook gericht op falende systemen. Eind mei was dat het geval bij de systemen van luchtvaartmaatschappij British Airways, waardoor meer dan duizend vluchten geannuleerd werden en zo'n 75.000 passagiers niet konden vliegen. Volgens de nieuwe plannen moeten bedrijven tonen wat ze hebben gedaan om de risico's te verkleinen.

De eventuele boetes zijn onderdeel van een consultatie van de overheid, als onderdeel van de invoering van de Europese Network en Information Systems-richtlijn. Deze richtlijn is in de EU al aangenomen en verplicht lidstaten om de regels binnen 21 maanden in te voeren via nationale wetgeving. Het instrument om boetes op te leggen komt niet in de richtlijn voor en is deels een reactie op de WannaCry-aanval die het gezondheidszorgstelsel in het Verenigd Koninkrijk, de NHS, in mei flink ontregelde. Daarbij werden veel systemen in ziekenhuizen en huisartsenpraktijken getroffen.

Door Joris Jansen

Nieuwsredacteur

08-08-2017 • 13:36

33 Linkedin Google+

Reacties (33)

Wijzig sortering
Het zou eens tijd worden! Maar die 4% wereldwijde omzet aan boete?... Tenzij de bedrijven de risico's adequaat hebben ingeschat, en dat aan kunnen tonen? Nog een hoop vaagheid, ik hoop dat er wel iets concreters uit komt. Bijvoorbeeld opslageisen, encryptie-eisen, noem maar op.
In de EU GDPR regelgeving zit 10% wereldwijde boete als afschrikmiddel.

Ze moeten wel duidelijk zijn in wat de eisen zijn en wie het betreft en hoe te handhaven. Perfect zou zijn een standaard certificering als ISO270001 of zo iets te verplichten voor bedrijven in betreffende sectoren, dan wordt er regelmatig op gecontroleerd dat de zaken op orde zijn.
Ja want ISO27001 is een goed voorbeeld van hoe je als bedrijf kunt aantonen dat je zaken op orde zijn :9
Een ISO certificering heeft bepaalde zaken in zich, zoals beperkte geldigheid, controle door een externe auditor om het te behouden, doorontwikkeling van standaarden om je aan te houden, etc. Er is ook een register van, dus eenvoudig te controleren dat een bedrijf er aan voldoet.

Het alternatief als je niet zoiets doet, is hopen dat een bedrijf het zelf wel goed regelt, en er dan achteraf achter komen dat dat niet het geval is geweest, mocht het dus niet in orde zijn kom je er achter nadat het kalf verdronken is, geef je een boete, en enige tijd later gaat het elders fout en geef je weer een boete.
ISO27001 heeft weinig te maken met 'security' en alles te maken met compliance. Het feit dat het certificaat verloopt en dat een externe partij deze audit uitvoert betekend helemaal niets. Het is een typische 'check-box' exercitie dat vooral een gevoel van (schijn) veiligheid teweeg brengt onder de massa.

Het bedrijf (security) waar ik voor werk staat dagelijks in contact met allerlei ISO27001 gecertificeerde bedrijven die, simpel gezegd, kapot gehacked worden. Een mooi voorbeeld is hoe de notpetya malware de disaster recovery procedures voortkomend uit ISO27001 volledig omzeilt/geinfecteerd heeft.

Investeer in goede awareness training. Niets is waterdicht.
Maar dan is de disasterrecovery procedure toch gewoon niet in orde? Wij hebben van letterlijk alles toch nog steeds offline backups. Okť, je bent misschien wat dat kwijt maar kunt bij een echte 'disaster' in ieder geval weer productie voeren.
Nee, ISO certificering is vooral een goed middel om je als management in te dekken tegen claims.
Als je wel een goed voorbeeld zou willen hebben om aan te kunnen tonen dat je het als bedrijf redelijk op orde hebt, wat zou jij dan aanraden?
Neuh, ik draai het liever om. Als je zelfs niet aan ISO27001 voldoet dan ben je gewoon niet veilig. Dan hoeven we niet meer verder te kijken naar wat er nu precies wel en niet goed gaat. Zonder mis je de basis die nodig is om een goed systeem op te zetten.
Willekeurig voorbeeld, het vinkje "backups". Dat je een vinkje zet bij "backups" betekent nog niet dat het goede of veilige backups zijn. Als je het echter niet zet dan is het echter zeker niet goed.

Althans, dat is de theorie. In praktijk is het vooral een manier om kleine IT-bedrijven weg te jagen. Die durven niet zomaar te zeggen dat ze aan zo'n standaard voldoen en er wel aan voldoen kost ze te veel papierwerk. De grootste IT-bedrijven hebben geen enkel probleem met het papierwerk waarna de sales droids met een stalen gezicht beweren dat je hun moet hebben omdat ze veiliger zijn dan de kleinere concurrent die het in praktijk misschien wel beter heeft gregeld.
Als je je scherm lockt als je van je pc wegloopt, kun je ook niet gehackt worden toch? 8)7
een ISO certificering forceren gaat alleen helaas niet oplossen dat een bedrijf waterdicht is. Je legt wel een bepaalde lat op, maar garanties kun je niet geven.
Klopt, maar garanties op waterdichte software kan je ook nooit geven, ongeacht de hoeveelheid moeite, tijd en kapitaal je investeert.

Iets als een ISO certificering is het beste dat bedrijven en overheden kunnen doen om overeen te komen wat "voldoende moeite doen" juist betekend.
Maar met als nadeel dat het als kille checklist gebruikt wordt en er hele cyclussen doorlopen moeten worden om naar een actuelere versie te komen. Snel een actie nemen om op de actuele stand van de techniek te reageren is bij die standaarden niet bij. Ik denk daarom dat je het bewust onduidelijk moet houden, wat er precies geeist wordt, zodat de IT managers zelf moeten nadenken en zelf verantwoordelijkheid moeten nemen.
hmm. Je zou kunnen stellen dat misschien Mean Time To Recover beter/hoger staat op de agenda dan het voorkomen van Failures.

Als je toch al eigenlijk zegt dat een aanval zal gaan gebeuren...

Dat zou niet betekenen dat je helemaal 'niets' hoeft te doen natuurlijk.
De hoogste boete is maximaal 4%, of 20 mln euro (neem de grootste) hoor:
Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher
bron: 2016/679 Artikel 83 Lid 5
De standaard certificering, zoals ISO270001 zou een eerste stap zijn. Een veel betere stap zou zijn om het proces rondom certificering te verbeteren. Wij krijgen nu ook een nieuwe certificering voor proces management, super.. in theorie. In de praktijk betaal je vooral een bak met geld aan een audit bedrijf. Tenzij je de intrinsieke motivatie van het personeel echt aanpakt zegt zo'n certificering helemaal niks.

De eisen die daar dus aan gesteld worden mogen van mij part flink verhoogd worden, zodat de certificering echt iets zegt over de veiligheid of x,y,z..
Ik hoop juist dat er niet iets concreets uitkomt want dat verouderd nogal snel en kan zelfs een betere beveiliging tegenhouden. Adequaat lijkt me dan ook prima.
Die opslageisen en encryptie-eisen moet je juist niet zo specificeren in wetgeving. Dan moet je iedere paar maanden de wetgeving aanpassen. De wetgeving moet onafhankelijk zijn van de technologie.
Dan moet de overheid / regering zelf ook beboet kunnen worden mijn inziens!
Kijk eens naar Nederland hoe vaak wel een minister of wie dan ook een laptop of usb stick laat liggen in een taxi / bus / trein etc... Hoe vaak de beveiliging daar te wensen overlaat. Mensen zich niet kunnen houden aan protocollen en prive mail gewoon openen op overheidssystemen. Geen up to virusscanner en adware scanners hebben etc...

Op staande voet ontslag een geen wachtgeld regeling! Maakt niet uit hoe hoog je functie is!
Misschien dat overheidsinstanties eerst eens bij zichzelf moeten gaan kijken?
Het zou eens tijd worden! Maar die 4% wereldwijde omzet aan boete?... Tenzij de bedrijven de risico's adequaat hebben ingeschat, en dat aan kunnen tonen? Nog een hoop vaagheid, ik hoop dat er wel iets concreters uit komt. Bijvoorbeeld opslageisen, encryptie-eisen, noem maar op.
Er is een reden waarom dit soort eisen in wetgeving vaag gehouden worden. Wetgeving gaat nou eenmaal langzaam, en techniek gaat snel. Als je concrete technische maatregelen eist loop je de kans dat je over een aantal jaar met een volkomen verouderde wet zit. "Adequaat" kan meegroeien met de realiteit, middels jurisprudentie.
Definieer dan wel heel specifiek wat "voldoende" of "onvoldoende maatregelen" juist zijn. Want anders is de wet gewoon voor iedereen anders. Lees : hoe groter de ( financiŽle ) ramp, hoe meer eisen dat men gaat stellen om dat bedrijf dan toch maar aansprakelijk te kunnen stellen. En dat is willekeur.
Het zou beter zijn gewoon te vereisen dat men moet voldoen aan bepaalde normen , bijvoorbeeld ISO 27001 , PCI-DSS enz ...
Dat zou dan hopelijk het welles nietes spelletje de mond kunnen snoeren.
Ik ken wel wat " vriendjes " die zulke bedrijfssystemen eens willen "testen". En als ze dan aantonen dat binnendringen is gelukt, willen ze ook wel een bonusje daarvoor.
Precies wat ik dacht. Dat wordt "bedrijfje pesten" of blackmailen...
Klopt wellicht , maar daar ging het ook niet over. Het ging over aansprakelijkheid. Als je aan die standaarden voldoet bewijst het wel dat je als bedrijf tenminste een moeite hebt gedaan en kunnen ze dat al niet tegen jou gebruiken.
Als men dan vindt dat bedrijven aan beter normen moet voldoen , dan moet men die maar bekend maken zodat bedrijven er naartoe kunnen werken. Want achteraf gezien kon het natuurlijk altijd wel beter.
Goed plan. Verdient navolging. Je hebt een verantwoordelijkheid voor de data die je hebt. Natuurlijk kun je niet overal wat aan doen, maar je kunt wel je best doen om zoveel mogelijk aan schadebeperking te doen.
GDPR is inderdaad 2% jaarlijkse omzet of 10 miljoen euro en voor zwaardere misdrijven 4 % van de jaarlijkse omzet of 20 miljoen euro. Het grootste is van tel.
Dus langs de ene kant vindt het VK dat bedrijven zich zo goed mogelijk moeten beveilingen tegen hacking, maar langs de andere kant eist datzelfde VK dat bedrijven ook backdoors moeten inbouwen in hun producten zodat ze hun burgers kunnen bespioneren? :?

Mij lijkt het ene het andere behoorlijk uit te sluiten, maar dat heb je nu eenmaal met politici die maar wat raaskallen als over over technologie gaat.... Ik kan niet wachten tot ze een bedrijf een boete geven omdat er op hun netwerk ingebroken is via een door de overheid verplichte backdoor!

[Reactie gewijzigd door T0mBa op 8 augustus 2017 14:30]

Let er wel op dat, ook al moeten bedrijven hun beveiliging goed op orde hebben, ze die gegevens wel aan de overheid moeten tonen en dus geen encryptie kunnen gebruiken. Ook mag je er geen porno kijken, of in ieder geval niks buiten missionaris stand met als enige doel voortplanting. Met de lichten uit en onder de dekens, natuurlijk.
In wat andere artikelen over dit onderwerp wordt ook gewezen naar de NHS, het Britse systeem van ziektekosten-verzekering met uiteraard heel veel privacy gevoelige informatie. Saillant detail is dat de NHS door de Britse overheid al een aantal jaren financieel zwaar wordt afgeknepen. Eerst maken ze het financieel zo goed als onmogelijk om helemaal up-to-date te zijn met beveiliging en vervolgens gaan ze ook nog een boete opleggen.......
Ik weet niet of ik deze humor snap en of het uberhaupt grapig bedoeld is.

Ik persoonlijk vind de term 'gelukzoeker' een erg ongelukkig term. Zijn we niet allemaal op zoek naar 'geluk'.

Bovendien klink jij ook behoorlijk als een 'gelukzoeker' als ik je reactie lees.
Bovendien klink jij ook behoorlijk als een 'gelukzoeker' als ik je reactie lees.
De ironie druipt er inderdaad vanaf. ;)

Overigens zijn er ook zat landverraders gelukzoekers economische vluchtelingen Nederlanders die net over de grens in Duitsland en BelgiŽ wonen omdat dat economisch voordeliger is.

Alle doorstreepte termen zijn natuurlijk sarcastisch bedoeld. Het maakt mij niet uit. ;)

Iets meer on-topic:
Geen verkeerde maatregel. Op deze manier wordt er een zwaarder gewicht in de kosten-batenanalyse geplaatst op het voldoende (beter) beveiligen van systemen. Zelf zou ik liever zien dat voor het verwerken van persoonsgegevens mensen persoonlijk (strafrechtelijk) aansprakelijk gesteld worden bij misbruik door nalatigheid.

Vergelijk de Sarbanes-Oxley Act in de VS waarbij bedrijven hun boekhouding op orde moeten hebben omdat anders verantwoordelijken persoonlijk vervolgd worden (met mogelijk gevangenisstraf tot gevolg). Het resultaat? Plots hebben praktisch alle bedrijven hun boekhouding tot op de cent nauwkeurig in orde.

[Reactie gewijzigd door The Zep Man op 8 augustus 2017 13:56]

Dus jij verwacht dat ze eerst de "gelukzoekers" eruit gooien en daarna weer binnenlaten?

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*