CBP: aantal gemelde datalekken te hoog om te onderzoeken

Het College bescherming persoonsgegevens heeft te weinig mankracht om alle datalekken die worden gemeld te onderzoeken. Meer dan de helft van alle datalekken kan nu al niet meer worden onderzocht, aldus de voorzitter van het CBP.

Bovendien worden nog veel meer gevallen van datalekken verwacht als er een meldplicht voor datalekken wordt ingevoerd, zegt Jacob Kohnstamm, voorzitter van het CBP, in een interview met Het Financieele Dagblad. Het CBP kan met zijn budget van 7,5 miljoen euro ongeveer 75 fulltime banen invullen. Een onderzoek naar een datalek kost voor ongeveer 6 mensen een halfjaar, aldus Kohnstamm.

Het CBP onderzoekt datalekken, omdat daardoor veelal persoonlijke gegevens van klanten van bedrijven gestolen zijn of hadden kunnen worden. Daarmee is de bescherming van die persoonsgegevens veelal niet afdoende geregeld. Als een wetsvoorstel het haalt, kan het CBP daarvoor binnen afzienbare tijd een boete opleggen. Die boete is maximaal 200.000 euro.

Het aantal datalekken dat in het afgelopen anderhalf jaar naar buiten is gekomen, is ernstig toegenomen. In veruit de meeste gevallen is een zwak of standaardwachtwoord de reden dat een database met klantgegevens kan worden benaderd, maar vaak kan ook een sql-injectie worden gebruikt. In de afgelopen tijd werden onder meer KPN, Bavaria en Nationale Theaterkassa het slachtoffer van hacks. Eerder gebeurde dat onder meer met partijen als de Nederlandse Energie Maatschappij en de Geassocieerde Pers Diensten.

IT-banen

Reacties (44)

GrowMyHair 5 maart 2012 09:30

Wellicht doen ze het al, maar het lijkt mij verstandig als ze een pdf-je online zouden zetten met tips hoe je een database met persoonsgegevens zo kunt bewaren dat het risico op lekken zo klein mogelijk is. Vooral voor kleinere bedrijven die geen heel team aan IT specialisten in huis hebben, maar wel klantgegevens verzamelen, lijkt me dat erg nuttig.
Als bij grote bedrijven zo'n lek optreedt, lijkt me dat de achterliggende oorzaak vooral dat ze de privacy van hun klanten niet genoeg waarderen. Die kunnen zich wat mij betreft niet verschuilen achter een gebrek aan recources, dan is het gewoon een kwestie van prioriteit. Als de data slecht afgeschermd is is hij natuurlijk ook voor hen het makkelijkst bereikbaar.

humbug @GrowMyHair • 6 maart 2012 02:08

Dit PDF zou in feite 2 regesl moeten zijn. Regel 1:" Doe het niet".
Het gaat er niet enkel om of je het wachtwoord of het creditcard nummer al dan niet onleesbaar maakt, maar in principe zijn alle persoonsgegevens die je hebt riskant. Zelfs als je de persoonsgegevens encrypted in een database stopt en die weer op een encrypted volume wegschrijft blijven de gegevens beschikbaar via applicaties.

Les 1 zou dus moeten zijn. Sla alleen maar op wat je echt nodig hebt en zolang je het nodig hebt. Wat je niet hebt kun je ook niet verliezen.

Kleinere bedrijven zonder team aan IT specialisten hebben over het algemeen de gegevens niet nodig. Waarom zou men credit card gegevens opslaan? Moet je echt zo nodig die geboortedatum of dat telefoonnummer hebben? In veel gevallen is het antwoord op die vraag niet duidelijk en wordt het enkel opgeslagen omdat het kan.

Hoe je de zaken die je wel nodig hebt dan wel ontsluit is weer een ander verhaal.

Regel 2: "Doe het goed"
In het geval van kleine bedrijven zou het advies moeten zijn: "Ga niet zelf lopen prutsen" maar huur experts in ($) of maak gebruik van een standaard oplossing.

Uiteindelijk hebben kleine bedrijven dezelfde verantwoordelijkheid als grote bedrijven en onkunde is geen argument bij slechte beveiliging.

Een PDFje met generieke tips gaat echt niet voor een goede beveiliging zorgen. Integendeel, men gaat lopen prutsen en denkt door zich ook nog aan de adviezen in het PDFje te "houden" dat men goed bezig is. Dat men nog 100 andere gaten in de beveiliging heeft ziet men over het hoofd.

kimborntobewild @humbug • 10 maart 2012 08:48

Het PDF-je zou dan vooral over regel 2 gaan; over regel 1 ben je snel uitgepraat.
En regel twee is dan natuurlijk niet louter "Doe het goed". Daar heeft niemand wat aan.

Maar we kunnen alvast beginnen (wie breidt uit?

):

Hoe databases met persoonsgegevens zo veilig mogelijk te bewaren:
1. Weet dat u strafbaar bent als u meer gegevens opslaat die strict noodzakelijk zijn. Alleen gegevens waarvan kan worden aangetoond dat het belangrijk is dat het nodig is ze te bewaren, en alleen gegevens waarvan kan worden aangetoond dat ze gebruikt worden, mogen worden bewaard. Alle andere gegevens MOGEN niet worden bewaard; zelfs niet als de klanten toestemming geven. Want zulke toestemming neemt namelijk nog steeds niet de wettelijke verplichtingen weg die gelden voor het verzamelen, bewaren en beveiligen van gegevens van klanten. (Een goed voorbeeld van hoe het niet moet, is het Sinterklaasboek in 2011.)

2. Gebruik best practices.
2A: Gebruik dus geen Windows op je servers; dat is een huisvoorbeeld van slechte practices vanwege relatief veel veiligheidslekken en relatief langdurige veiligheidslekken.
2B: Gebruik nergens wireless. Dit zorgt voor relatief veel lekkages, en ook gewoon voor onnodige lekkages.
2C: Gebruik geen cloud-systemen, anders dan in-company cloud-systemen. Simpelweg omdat er NOOIT gegarandeerd kan worden dat derden dan mee kunnen kijken. Denk niet dat encryptie voldoende is.
2D: ...

3. Maak iemand (veilgheidsmanager) binnen de organisatie verantwoordelijk voor het maandelijks handmatig controleren op updates (dit dus naast eventuele automatische updates). Die persoon is verplicht maandelijks een rapportage te sturen naar de bedrijfsleiding en naar alle technici die betrokken zijn of zouden moeten zijn bij de veiligheid. De programmacode die met security te maken heeft, moet na elke wijziging naar de bedrijfsleiding en naar alle technici die betrokken zijn of zouden moeten zijn bij de veiligheid. De veiligheidsmanager ziet hierop toe of doet het zelf als het anders niet zou gebeuren.
De bedrijfsleiding is verantwoordelijk om het snel aan betrokkenen door te geven zodra een andere persoon de veiligheidsmanager wordt.

4. ...

...
etc.

[Reactie gewijzigd door kimborntobewild op 25 juli 2024 07:05]

frickY 5 maart 2012 09:09

Wat voor salaris betalen ze die onderzoekers dan wel niet

En wat moet er in hemelsnaam een half jaar lang onderzocht worden? Of er identiteitsfraude wordt gepleegd? Welke gegevens exact gelekt zijn?

[Reactie gewijzigd door frickY op 25 juli 2024 07:05]

Heronimo @frickY • 5 maart 2012 09:15

Volgens mij is een budget van 100.000 euro per werknemer best netjes als daaruit ook de huisvesting, apparatuur en alle andere zaken betaald worden.

Misschien is een model waarbij bedrijven verplicht moeten melden en mee moeten betalen aan het onderzoek een optie. Dat zou de boel behoorlijk kunnen versnellen lijkt me.

Gert @Heronimo • 5 maart 2012 09:25

6 man een half jaar zou neerkomen op €150000 per melding, dan nemen bedrijven wel het risico door het niet te melden.
(afgezien van dat de gemiddelde webwinkel dan direct op de fles zou gaan, wat mij niet helemaal het doel lijkt van de meldplicht).

DJMaze @Gert • 5 maart 2012 11:39

Maar elke webwinkel wil wel voor een dubbeltje op de eerste rang zitten, en dat werkt niet als je je buurjongen de website laat maken.
Dat is het risico van ondernemen en als je iets meer geld uit zou geven aan een bedrijf, dan kan je dat bedrijf aansprakelijk stellen voor de beveiliginsproblemen.

Het is maar net welk risico jij wilt lopen.

YopY @DJMaze • 5 maart 2012 12:18

Nouja, sommige van de gehackte websites e.d. zijn niet bepaald in elkaar geprutst door een buurjongen; beveiligingsfouten zitten gewoon overal in en worden door iedereen gemaakt, simpelweg omdat ze het meestal gewoon niet beter weten.

Ik bedoel, ik ben ook begonnen met onbeveiligde mysql_query aanroepen.

[Reactie gewijzigd door YopY op 25 juli 2024 07:05]

Zyppora @YopY • 6 maart 2012 13:11

Ik bedoel, ik ben ook begonnen met onbeveiligde mysql_query aanroepen.

Maar niet met privacy-gevoelige en/of financiële gegevens in je database, mag ik toch hopen. Als je dat soort gegevens gaat opslaan, dan zul je wel degelijk meer van de beveiliging van je website moeten weten dan 'dat je overal mysql_real_escape_string moet gebruiken'.

Of, zoals DJMaze zegt, het ontwikkelen/onderhouden van je website aan een professioneel bedrijf overlaten zodat je je hoofd niet over dit soort zaken hoeft te breken, en dat als het dan toch misgaat, je dat bedrijf aansprakelijk kunt stellen.

GrowMyHair @Gert • 5 maart 2012 09:36

Rekenvoutje?

7.5 M€ voor 75 werknemers -> 100 k€ per werknemer per jaar

100 k€ * 6 werknemers * 0.5 jaar = 300 k€

Ivootje @Heronimo • 5 maart 2012 09:28

Salaris x 2 = een goede indicator voor de kosten per operationele werknemer in een kantooromgeving. Dus reken maar uit.

Mellow Jack @Ivootje • 5 maart 2012 10:08

In je achterhoofd houdend dat ze ook receptionisten, administratieve en overige ondersteunende functies hebben die bij lange na geen 100K per jaar zullen kosten (eerder iets van 60k.)

Ik ben benieuwd wat zo'n onderzoeker echt zal verdienen (en hoeveel geld de directie in hun zak steekt)

Daarnaast vraag ik me ook wel af of ze de goede dingen doen.

Een onderzoek naar een datalek kost voor ongeveer 6 mensen een halfjaar, aldus Kohnstamm.

Het komt op mij over alsof deze personen dan niet helemaal de goede dingen doen. Ze zullen hun werk vast en zeker goed doen mjah als ze de verkeerde dingen doen dan heb je dr weinig aan wanneer je ze wel goed doet.

Voorbeeldje van de verkeerde dingen doen: Een Windows expert de router hack bij KPN laten onderzoeken. Hij zal het vast goed doen MAAR neemt zo ontiegelijk veel meer tijd in beslag vergeleken bij een Linux/router expert waardoor het totaal niet rendabel is

[Reactie gewijzigd door Mellow Jack op 25 juli 2024 07:05]

Superstoned @Mellow Jack • 5 maart 2012 13:41

Laten we hopen dat ze niet zo stom zijn als in je voorbeeld. Hoe dan ook zullen er heel wat uurtjes besteed worden aan papierwerk, praten met het slachtoffer etcetera. Ik kan er wel inkomen, hoor, een serieus datalek kost gewoon tijd om te onderzoeken. Al zal er heus wel ruimte zijn voor verbetering...

Maar laten we ook eerlijk zijn, als het salaris van zo'n expert zeg 60K per jaar is - da's niet gek. Als in - niet te veel, een beetje security expert kan op de vrije markt toch ook wel heel aardig verdienen!

kimborntobewild @Mellow Jack • 10 maart 2012 08:31

Niet dat ik zeg dat ik het niet geloof, maar kan je een paar voorbeelden geven waarom een Windows/router-expert véél meer tijd nodig zou hebben dan een Linux/router-expert?

Verwijderd @Heronimo • 5 maart 2012 15:02

Of een ICT belasting. Het wordt minder naarmate het veiliger wordt. ICT inspecties, zoals de Warenautoriteit ook doet lijkt me ook leuk. Er moet iets gedaan worden anders gaan we er allemaal aan.

Verwijderd @Verwijderd • 5 maart 2012 23:20

Of een ICT belasting

Want als je er belasting over heft word het beter ? Waar slaat dat nou weer op ?

ICT inspecties, zoals de Warenautoriteit ook doet lijkt me ook leuk.

Controle of een ICT systeem veilig is niet zo makkelijk als een keuken inlopen en kijken of er een zeep dispenser hangt.

Dat heeft echt geen zin. Ik denk dat menig Tweaker hier kan mee praten over de ISO 27000 audits e.d. Het is allemaal onzin. Ik heb de meest brakke ICT systemen door dergelijk audits zien komen omdat het gewoon voor 99% een praat stuk is.

Er moet iets gedaan worden anders gaan we er allemaal aan.

Overdrijven is ook een kunst....

kimborntobewild @Verwijderd • 10 maart 2012 08:33

Er moet iets gedaan worden anders gaan we er allemaal aan.
Overdrijven is ook een kunst....

Overdrijven is inderdaad een kunst. Echter, in de praktijk is het momenteel vooral naïeviteit die heerst (dus het andere uiterste).

kimborntobewild @Verwijderd • 10 maart 2012 08:36

Dat heeft echt geen zin. Ik denk dat menig Tweaker hier kan mee praten over de ISO 27000 audits e.d. Het is allemaal onzin. Ik heb de meest brakke ICT systemen door dergelijk audits zien komen omdat het gewoon voor 99% een praat stuk is.

I.p.v. je af te zetten tegen de praktijk van niet-deugelijke audits die slechts 'praat stukken' zijn, zit je je af te zetten tegen 't feit dat (goede!) audits juist een heel positieve werking zouden kunnen hebben.

Als er gevangenen uit je gevangenis ontsnappen maar de controles op de veiligheid van die gevangenissen hebben gefaald, dan zeg je toch ook niet dat je beter op kunt houden met die controles? Nee! Je zegt dan dat die controles niet deugen.

Rob Coops

Beveiliging

@frickY • 5 maart 2012 09:39

Inderdaad als ik even snel reken en ik deel 7.500.000 door 75 dan zouden deze mensen 100.000 euro per persoon per jaar kosten. Laten we zeggend at we ze allemaal hun woon werk verkeer betalen (telewerken zou heel erg goed mogelijk zijn maar goed laten we even ouderwets gaan doen semi-overheid immers) dan houden we nog makkelijk 80.000 over per jaar. Daar moet dan de kosten voor kantoor en apparatuur van af laten we ongeveer 20.000 per jaar nemen dat kost immers nog al niet wat een leuke kantoor op een hippe plek en zo. Dan houd de gemiddelde persoon (van receptionist tot directeur) dus als nog 60.000 euro over per jaar, dat is niet niks zeker als je bedenkt dat een redelijk aantal van deze mensen nauwelijks de 25k aan zullen tikken dan moeten de hogere regionen toch aardig binnen lopen...

Hoe dan ook waarom men een half jaar met 6 mensen naar de impact van een data lek zou moeten kijken of wat er dan allemaal wel niet onderzocht moet worden is me geheel onduidelijk. Het lijkt me redelijk simpel, even een VM van het systeem maken en kijken wat er gebeurt is duurt ongeveer een paar weken. De impact is dan redelijk simpel vast te stellen immers wat is er gestolen en wat zou dat betekenen voor de klanten als er misbruik gemaakt wordt van deze data. Met een paar weken moet het toch wel over zijn...

TMDevil

@Rob Coops • 5 maart 2012 09:48

Jou methode van "even een VM maken" is wel heel makkelijk gezegd. Dat kan misschien bij de "hack" van de "Nationale Energie Maatschappij". Maar de hack bij KPN stop je niet zomaar in een VM (is tenslotte een router hack). En bij sommige hacks weet je niet hoe er precies is binnengekomen, en dat kost best tijd.

Maar met 6man er een halfjaar naar kijken lijkt me inderdaad ook vrij overdreven.

rik86 @Rob Coops • 5 maart 2012 10:27

100.000 gemiddeld per persoon valt echt wel mee hoor, daar zitten alle kosten bij, dus huisvesting, ICT, werkgeverslasten, training en opleiding van de werknemers, etc.

Als je dan op gemiddeld 50.000 bruto uitkomt zit je op een maandsalaris van 3500-4000 bruto, wat als gemiddelde helemaal niet raar is; Ik vermoed dat in een organisatie als deze het aantal hoger opgeleiden relatief hoog is; Daarnaast telt een directie ook mee in het gemiddelde; En die zal toch ook snel 100k - 150k bruto verdienen (als 't niet meer is, de gemiddelde overheidsorganisatie kennende)

Dus zo gek klinkt 't allemaal niet in mijn ogen.

Alleen wekken de doorlooptijdcijfers wel de schijn dat ze niet zo effectief zijn

phosporus @frickY • 5 maart 2012 09:14

Bedrag wat er staat is niet alleen voor loon/salaris en dergelijke. Een werkplek kost ook veel geld. Huur voor het gebouw en andere onkosten tellen denk ik ook mee.

Marcelloz @frickY • 5 maart 2012 09:22

De doorlooptijd van zo'n onderzoek is denk ik een half jaar. Ik ga ervan uit dat ze niet per geval een half jaar met z'n 6-en aan het onderzoeken zijn. Snel geteld zouden ze daar dan 25 gevallen per jaar kunnen onderzoeken. Als dat zo is, kan je het beter opdoeken...

kimborntobewild @Marcelloz • 10 maart 2012 08:37

Als dat zo is, kan je het beter opdoeken...

Nee. Want 25 gevallen per jaar onderzoeken is nog altijd oneindig veel beter dan 0 gevallen onderzoeken.

i-chat 5 maart 2012 09:59

wordt het dan niet eens tijd dat ze 'ik noem maar een voorbeeld' alle ict'ers in de sociale dienst, op een project zetten om hier iets mee te doen, lijkt me een betere investering dan ze thuis laten zitten ...

zeker in de it moet je bezig blijven om bij te blijven,

Zelalas @i-chat • 5 maart 2012 10:13

Wat voor een project?
Er bestaan al vele tools waarmee je kunt testen of je database veilig is, Bijv. sqlmap .

Zo ver ik kan zien zijn er maar één reden waarom je een systeem niet wil beveiligen: De kosten zijn hoger dan de baten. Simpel en waar.

Voorbeeld, kosten om het systeem veilig te krijgen is ca. 400.000 euro.
Het systeem moet nog 5 maanden mee voordat je een nieuw en beter systeem gaat gebruiken.

De vraag is dan: 'Zijn de kosten hoger dan de baten?'.

Tsjah, wat voor kosten heb je dan?
Volgens het artikel heb je er al één, je riskeert namelijk ,we nemen even aan dat het wetsvoorstel het haalt, de boete van 200.000. In mijn voorbeeld gaat dat echter niet gebeuren. Immers is 5 maanden minder dan de 6 maanden nodig voor het onderzoek.

Je hebt echter ook imago schade de vraag is dus, hoeveel schade, minder klanten, etc, is er?
Als het minder is dan de 400.000. Waarom zou je je systeem als gezonde kapitalist beveiligen?
Het kost altijd geld en geen overheidsproject zal dit oplossen.

Oh, en voordat men begint met: 'Als Software Engineer heb je de kennis al!' Dat klopt, echter moet je nog steeds verantwoordelijkheid afleggen tegen je baas waarom je het zo en zo hebt geïmplementeerd. Als deze zegt dat beveiliging te veel kost, dan kom je ook niet verder

Edit: Typo's

[Reactie gewijzigd door Zelalas op 25 juli 2024 07:05]

YopY @Zelalas • 5 maart 2012 12:21

Oh, en voordat men begint met: 'Als Software Engineer heb je de kennis al!' Dat klopt, echter moet je nog steeds verantwoordelijkheid afleggen tegen je baas waarom je het zo en zo hebt geïmplementeerd. Als deze zegt dat beveiliging te veel kost, dan kom je ook niet verder

Oneens op twee punten: Ten eerste kan het voorkomen dat je als ontwikkelaar gewoon niet beter weet, zoals bijv. de GitHub hack.

Ten tweede, je baas moet zich niet met implementatiedetails bemoeien. Als ontwikkelaar gebruik je gewoon standaard (ik noem maar wat) prepared statements ipv geklooi met mysql_query en mysql_real_escape_string, en flans je hashing voor passwords in elkaar - dat is 0.0 extra werk, en daar hoef je je ook niet voor te verantwoorden bij een leidinggevende.

Bilel @YopY • 5 maart 2012 13:03

Juist... nee. FF een paar PHP commands oproepen, paar bronnen opnoemen die niets te maken hebben met wat je probeert je bewijzen en dan doen alsof het makkelijk is.

Je kunt nooit beter weten dan de documentatie die je ter beschikking hebt en de ervaring die je opgedaan hebt als beheerder. Zero-day exploits, talloze bugs die system met zich meebrengen en bugs die alleen in je eigen systeemomgeving voorkomen doordat programma's elkaar in de weg zitten zijn al simpele voorbeelden.

En misschien dat je nog nooit gewerkt hebt, maar je bent VERPLICHT om te maken te hebben met je leidinggevende. Ooit gehoord van documentatie? Misschien dat je baas ze niet leest/snapt maar je moet ze wel maken. En daarin leg je dus ook uit waarom je doet wat je doet. Extra '0.0' werk kost ook tijd en moeite, bovendien... je kunt wel een paar onderdelen (zoals jouw PHP voorbeeldjes) gaan beveiligen maar uiteindelijk is je systeem veel groter dan alleen het web-server gedeelte.

Zelalas @YopY • 5 maart 2012 13:13

Je hebt bij beide punten gelijk en toch wil ik toevoegen
Dat van de GitHub geeft een heel mooi voorbeeld voor 3rd party software.

Laten we stellen dat de 3rd party Software voor een lek zorgt. Los je dit als bedrijf intern op? Ga je in de code van de 3rd Party Software kloten? Is dat legaal? Wie is verantwoordelijk?
We gaan er tevens van uit dat je het niet simpel met een mysql_real_escape_string kan repareren aan je eigen kant.

Dat het 0.0 werk kost is waar. Je moet het maar weten.
Denk er echter aan, veel fouten in software komen pas naar buiten, NADAT het programmeren klaar is.

Onderhoud moet je leveren, maar wat heeft een hogere prioriteit?

Een gebruiksvriendelijkere UI
Performance
Een fout fixen welke een zeer lage kans heeft om te worden misbruikt
Nieuwe features die de gebruiker graag wil

Niet alle datalekken worden ook gemeld, en de meeste zijn wel wat complexer dan een simpele sql injection á la ' or 1=1;--' en zullen ook wel wat meer werk kosten.

[Reactie gewijzigd door Zelalas op 25 juli 2024 07:05]

kimborntobewild @Zelalas • 10 maart 2012 09:05

Onderhoud moet je leveren, maar wat heeft een hogere prioriteit?
1: Een gebruiksvriendelijkere UI
2: Performance
3: Een fout fixen welke een zeer lage kans heeft om te worden misbruikt
4: Nieuwe features die de gebruiker graag wil

Zonder meer nr. 3.
Veiligheid staat voorop. Pas NADAT aan punt 3 is voldaan, mag je uberhaupt denken aan de overige zaken.

[Reactie gewijzigd door kimborntobewild op 25 juli 2024 07:05]

GrowMyHair @Zelalas • 5 maart 2012 12:58

Ik snap je punt, soms zijn de kosten hoger dan de baten.
Je voorbeeld is echter niet zo sterk, de getallen die je gebruikt zijn namelijk bepaald niet onderbouwd. Als ik begin met "De kosten om het systeem veilig te maken zijn €4000", dan kom ik tot een heel andere conclusie.

Het uitgangspunt van een bedrijf zou trouwens moeten zijn: persoonsgegevens worden pas extern bereikbaar als dat op een veilige manier kan. De kosten-baten afweging die dan gemaakt moet worden is: zijn de baten van het toegankelijk hebben van de gegevens groter dan de kosten om ze veilig toegankelijk te maken?
Dus je zou er niet achteraf achter moeten komen dat je al een tijd draait met een systeem dat onveilig is. Als je er toch achter komt dat je systeem onveilig is, zou de afweging moeten zijn: haal ik m'n systeem offline, of neem ik de kosten op me om de beveiliging op orde te krijgen.

De overheid zou er voor moeten waken dat uit kosten-baten overwegingen persoonsgegevens lekken. Dit kunnen ze doen door de boete op het slecht beveiligd beschikbaar maken van persoonsgegevens zo hoog te maken dat het niet meer financieel rendabel kan zijn, of als het verwijtbaar is er een gevangenisstraf op te zetten.

RemcoDelft 5 maart 2012 09:17

Een onderzoek naar een datalek kost voor ongeveer 6 mensen een halfjaar

Da's dus zo'n 6000 uur werk (en 300.000 euro kosten) om 1 lek te onderzoeken? Zo op het eerste gezicht lijkt dat me enorm veel, nu ben ik erg benieuwd naar hun tijdsbesteding hiervoor.

Ivootje @RemcoDelft • 5 maart 2012 09:30

Het zal hem met name zitten in de juridische onderbouwing en zorgvuldigheid om te zorgen dat als de zaak voor een rechter komt er geen gehakt van je onderzoek wordt gemaakt.

debroervanhenk 5 maart 2012 10:02

Misschien kan het CPB deels gefinancierd worden door de boetes die bedrijven opgelegd kunnen worden bij nalatigheid (of gebeurt dat nu al)? In dat geval zullen de zaken met de grootste kans op slagen (en ik neem aan grootste nalatigheid) het grondigst behandeld worden. En natuurlijk moet er een nog forsere boete zijn voor het niet melden van een datalek.

Killemov 5 maart 2012 10:14

Het lijkt mij normaal dat als je begint met het onderzoeken van datalekken dat er dan even een stortvloed aan meldingen kan binnenkomen. Daar moeten de potentieel meest ernstige gevallen de meeste prioriteit krijgen. Een lek in het bestand van een ziekenhuis lijkt me iets ernstiger dan een lek in het bestand van de voetbalclub.

tweaker2010 5 maart 2012 10:22

Het CBP kan met zijn budget van 7,5 miljoen euro ongeveer 75 fulltime banen invullen.

Aardig budget, maar ik denk niet dat al het geld naar het salaris van die onderzoekers gaat:

Minimum salaris : € 2851 bruto per maand
Maximum salaris : € 4381 bruto per maand
http://www.werkenbijdeoverheid.nl/vacatures/CBP

[Reactie gewijzigd door tweaker2010 op 25 juli 2024 07:05]

kimborntobewild @tweaker2010 • 10 maart 2012 09:08

Er zullen niet alleen onderzoekers zijn, maar ook directeuren, managers, etc.
En er zal externe hulp ingehuurd worden.

benji83 5 maart 2012 11:16

Mensen vergeten dat niet alleen de ICT aspecten van het lek worden onderzocht (het hoe heeft het kunnen gebeuren is voor het CPB niet eens zo interessant) maar vooral de impact voor de getroffen personen.
Waar zijn de gegevens heen gegaan?
In welke mate wordt het misbruikt?
Hoe een lek heeft kunnen gebeuren en hoe het te voorkomen is zaak voor ICT beveiligings bedrijven zoals Fox, niet voor het CPB.

zvbhvb @benji83 • 5 maart 2012 11:28

Mensen vergeten dat niet alleen de ICT aspecten van het lek worden onderzocht (het hoe heeft het kunnen gebeuren is voor het CPB niet eens zo interessant) maar vooral de impact voor de getroffen personen.

Ja en dan nog een boete opleggen, dat geeft je betrokkenheid wel aan.

Waar zijn de gegevens heen gegaan?
In welke mate wordt het misbruikt?

Kan Fox je zo vertellen.

zvbhvb 5 maart 2012 10:27

Wie legt de overheid een boete op als er weer eens een usb stick argeloos wordt vergeten?
Nee in plaats van de zoveelste manier om de schatkist te vullen is het beter om preventie te stimuleren.

Een beetje penetratietest door een gerenommeert bedrijf levert veel sneller resultaat. Als je de aanvals vectoren in kaart gebracht hebt, blijven er meestal niet zoveel mogelijkheden over om binnen te dringen. Een van de mogelijkheden zal de cracker ook wel gebruikt hebben. Dan hoeft het echt geen half jaar meer te duren.

En als je wat betreft het onderwijs en onderzoek nu ook eens gericht mee gaat met de tijd zou je studenten begeleid kunnen inschakelen. Met het oog op de toekomst en nieuwe markten voor it security met name in het midden oosten is het voor de universiteiten/HBO´s en last but not least de studenten zelf ook interessant.

[Reactie gewijzigd door zvbhvb op 25 juli 2024 07:05]

kimborntobewild @zvbhvb • 10 maart 2012 09:09

De systemen dienen zo ingericht te worden dat USB-gegevens die vanaf het bedfijdsnetwerk op zo'n stick terecht komen, altijd geëncrypt zijn. Daarnaast kan gedacht worden aan stickjes die van zichzelf al encryptie toepassen.
Dus dubbele encryptie.

Verwijderd 5 maart 2012 11:02

Laat ze maar mensen gaan benaderen die dat wel kunnen, scherpe prijs inkopen, vooral niet zelf willen gaan doen, veel te duur. Welligt Universiteiten en HBO en andere middelen inzetten.

Succes met deze staat!

mashell @Verwijderd • 5 maart 2012 13:26

Je wilt het onderwijs iets laten doen wat nu door specialisten gedaan wordt?

Op dit item kan niet meer gereageerd worden.

CBP: aantal gemelde datalekken te hoog om te onderzoeken

Lees meer

Sql-injectie en xss: de beste verdediging

IT-banen

Reacties (44)

Lees meer

Sql-injectie en xss: de beste verdediging

IT-banen

Reacties (44)

Sorteer op:

Weergave: