Teeven: groot deel gemelde datalekken kan niet onderzocht worden

Het CBP zal na invoering van de meldplicht voor datalekken over onvoldoende mankracht en financiële middelen beschikken om alle meldingen te kunnen onderzoeken. Dat erkent staatssecretaris Teeven in een brief naar de Kamer.

Fred Teeven, staatssecretaris van Veiligheid en Justitie, schrijft in antwoord op Kamervragen over de meldplicht en de mogelijke capaciteits- en geldtekorten bij het CBP, dat de overheidsinstelling na een risico-inschatting alleen de belangrijkste zaken waarin de privacy wordt overtreden, kan aanpakken. Naar verwachting krijgt de privacywaakhond na invoering van de meldplicht circa 66.000 meldingen per jaar binnen. Slechts een klein deel zou voor het CBP voldoende aanleiding geven om een onderzoek in te stellen en, bij het overtreden van de Wet bescherming persoonsgegevens, bestuurlijke boetes op te leggen. Het CBP kan een boete tot 200.000 euro uitdelen.

Teeven stelt dat hij vanuit het CBP geen signalen heeft gekregen dat een groot deel van de aangebrachte zaken op de plank zullen blijven liggen. Mochten er toch budgettaire problemen ontstaan, dan verwacht de staatssecretaris dat de privacywaakhond tijdig bij de politiek zal aankloppen. Verder stelt Teeven dat hij samen met de minister van Financiën aan het bekijken is of de opbrengsten van door het CBP uitgedeelde boetes gebruikt kunnen worden om de organisatie deels te financieren.

De stellingname van Teeven is opmerkelijk, omdat Jacob Kohnstamm, voorzitter van het CBP onlangs in een interview liet weten dat de organisatie onvoldoende mankracht heeft om alle datalekken te beoordelen. De organisatie zou momenteel de helft van de datalekken door personeelsgebrek al niet kunnen onderzoeken en het CBP vreest dat bij invoering van de meldplicht dit aantal nog verder zal groeien.

IT-banen

Reacties (26)

innerchild 28 maart 2012 19:47

Ik werk zelf in de IT sector en het valt mij altijd op dat de meeste infiltraties te wijten zijn aan het draaien van verouderde software.

- Software van meervoudige bedrijven die gezamenlijk doel hebben geeft opties tot indringing
- Kostenplaatje. Waarom oude troep weg doen als het gewoon goed draait. Zeker bij grote bedrijven is dat een hot issue. Ook waar ik werk. Wij werken nog met windows xp op onze laptoppen en thinclients.
- Updaten van software in bedrijfskritische onderdelen zoals een mailplatform zijn altijd onderhevig aan vragen van het management.
- Beveiliging van de machines binnen in het park nogal te kort schieten. Komen ze eenmaal via de buitenkant binnen dan is vaak de beveiliging/updates van machines die intern draaien niet up 2 date..

Deze zorgen ervoor imo dat veel bedrijven gewoon niet goed de zaakjes op orde hebben

RazorBlade72nd @innerchild • 28 maart 2012 20:42

Ik herken dit heel sterk. ICT wordt vaak gezien als een kostenpost i.pv. een manier waarop een heleboel geld bespaard kan worden. Ik heb bij een aantal kleine tot middelgrote bedrijven gewerkt als systeembeheerder en het leek wel als ik daar binnenkwam dat ik iedere keer het wiel opnieuw moest uitvinden. De meeste basale dingen zoals backups en updates waren niet goed geregeld, daarnaast werd er in vrijwel alle gevallen met de pet gegooid naar basale beveiliging. Ik heb het dan niet over 3 lagen van firewalls en alle data encrypted etc. Nee ik heb het er over dat er bijvoorbeel geen wachtwoorden op switches zitten, of dat het domain administrator password uit 4 karakters bestaat of letterlijk de naam van het bedrijf is.

Vaak gaat het dus niet eens om enorme investeringen maar gaat het gewoon om doodnormaal systeembeheer wat al niet klopt. En doen die systeembeheerders dan helemaal niets? Juist wel, ze zijn vaak op een hele inefficiente manier bezig om brandjes te blussen. In plaats van het uitrollen van een golden image op laptops via het netwerk, wordt iedere laptop met het handje geinstalleerd. In plaats van software installeren via GPO’s gaat iemand met een USB stickje op pad. Ze doen vaak liever 10 jaar achter elkaar iedere dag het zelfde in plaats van één keer een scriptje te schrijven. Als ze dat namelijk wel zouden doen dan zouden ze tijd hebben om eens een keer de beveiliging onder de loop te nemen.

Het zal best zo zijn dat het heel lastig is om iets echt helemaal waterdicht te krijgen, maar een slot zet je ook niet op je voordeur met de illusie dat het dan onmoggelijk is om ooit binnen te komen, je probeert er voor te zorgen dat je het de hacker zo moeilijk maakt dat hij liever een IP adresje verderop gaat kijken.

tofus @RazorBlade72nd • 29 maart 2012 08:32

Ik zit ook in de ICT; heb zelfs enkele jaartjes als security-expert mogen meedraaien, en ik kan je vertellen: de strijd tegen hackers vanuit het bedrijfsleven is bij voorbaat al een verloren race.

Dankzij het globale karakter van internet komen hack-aanvallen niet alleen netjes tijdens kantoor-uren, maar gewoon 24/7. Er is bijna geen bedrijf met een ICT-budget om hier mankracht tegenover te zetten.

Het zal dus altijd dweilen met de kraan open blijven. Het is praktisch gewoon onmogelijk om hackers 'voor te blijven'; In de praktijk is het gewoon een kwestie van puinruimen en een backup terugplaatsen in het geval er toch een succesvolle hack-poging doorheen komt.

Eigenlijk dus precies zoals vandalisme-bestrijding in de niet-virtuele wereld werkt: iemand trapt een bushokje in, de politie komt even kijken en iemand anders mag de troep opruimen. Je kunt natuurlijk rond ieder bushokje 24/7 beveiliging gaan plaatsen, maar daar is simpel het geld en het maatschappelijk draagvlak niet voor. Gelukkig.

Dus ja. Dweilen met de kraan open. Gelukkig zijn hack-attacks, net als vandalisme van bushokjes op straat, voor een gemiddeld bedrijf doorgaans een uitzondering ipv de regel. Het gros van de internet-gebruikers gedraagd zich gelukkig redelijk netjes

[Reactie gewijzigd door tofus op 23 juli 2024 06:24]

Raventhorn @tofus • 29 maart 2012 16:06

Dankzij het globale karakter van internet komen hack-aanvallen niet alleen netjes tijdens kantoor-uren, maar gewoon 24/7. Er is bijna geen bedrijf met een ICT-budget om hier mankracht tegenover te zetten.

Dat is geen excuus om er niet voor te zorgen dat het zo moeilijk mogelijk gemaakt wordt.
Er kan ook ieder moment van iedere dag worden ingebroken in je huis, is dat ook een reden om er maar geen slot op te zetten? Of om de sleutel in de plantenbak naast je deur te leggen?

Het zal dus altijd dweilen met de kraan open blijven. Het is praktisch gewoon onmogelijk om hackers 'voor te blijven'; In de praktijk is het gewoon een kwestie van puinruimen en een backup terugplaatsen in het geval er toch een succesvolle hack-poging doorheen komt.

Er zullen altijd mensen zijn die langs je beveiliging kunnen komen, maar je kan er wel voor kiezen door vrij eenvoudige en niet eens dure eenmalige investeringen de groep die binnen kan komen zo klein mogelijk te maken.

Je kunt natuurlijk rond ieder bushokje 24/7 beveiliging gaan plaatsen, maar daar is simpel het geld en het maatschappelijk draagvlak niet voor.

Is hierbij ook niet nodig; switches, routers en vooral servers draaien sowieso al 24/7.
De 'beveiliging' ervan is dus ook geen extra kostenpost wat dat betreft. Moet je er alleen wel voor zorgen dat het op orde is.
Als je ICT infrastructuur op orde is, kost het ook geen extra manuren. De tijd die wordt bespaard op het nutteloos herhalende werk kan dan worden gebruikt om de beveiliging op te schroeven (zoals RazorBlade72nd al aangeeft).

Al met al dus meer laksheid dan 'dweilen met de kraan open'.

tofus @Raventhorn • 30 maart 2012 01:32

[..] is dat ook een reden om er maar geen slot op te zetten? Of om de sleutel in de plantenbak naast je deur te leggen?

Nee, en dat beweer ik ook helemaal niet. Het is alleen naief om te denken dat wanneer je je een slot op je deur hebt, dat er niet bij je zal worden ingebroken.

Je kunt natuurlijk al je ramen en kozijnen van stalen balken en prikkeldraad voorzien, maar mijn punt was dat we gelukkig niet in een maatschappij leven waarin dat soort drastische maatregelen in de praktijk nodig zijn. Gewoon je deur op slot doen is meestal goed en veilig genoeg.

En dat is precies de afweging die bedrijven maken: welke mate van security is acceptabel, en welke kosten horen daarbij? Dat deze overweging er in de praktijk toe leidt dat niet elk bedrijf de laatste patches tegen de nieuwste exploits op al hun machines heeft draaien, is denk ik iets wat daar natuurlijkerwijs uit volgt. Of dit een goede of slechte zaak is, laat ik aan anderen over. Maar laksheid is het in mijn ervaring meestal niet, al zijn er natuurlijk altijd uitzonderingen te vinden.

[Reactie gewijzigd door tofus op 23 juli 2024 06:24]

Verwijderd @tofus • 29 maart 2012 16:54

En zo komen jullie tot de conclusie dat we technorealistischer moeten worden. De beveiliging, zeggen jullie, blijft achter lopen bij de technische vindingrijkheid van hackers. Het zou beter zijn als er een rem kwam op innovatie in de ICT. Dan kan het gebied beveiliging terug krabbelen. En er zou juist wel meer onderzoek moeten komen naar middelen voor beveiliging.

Helaas is de ICT de enige sector waar door innovatie nog wat banen gecreëerd kunnen worden. Dat komt met het prijskaarrtje in de vorm van slechte beveiliging. Technologie die nu ontwikkelt wordt houdt volgens mij maar zelden rekening met hacking. Het is meer zo van 'wij hebben deze app, deze software en die ontwikkelen voor dit of dat doel -oh ja en we moeten ook nog een maandje nadenken over hoe we de boel beveiligen.' Dat is secundair aan het primaire doel van de applicatie.

Misschien zou er anders nagedacht moeten worden. Ga eerst eens een beveiliging ontwikkelen waarin je de app stopt. Of de software, of whatever. Het dient een integraal te zijn met het hele product.

sumac @RazorBlade72nd • 29 maart 2012 10:44

Je kunt dit eenvoudig oplossen, vooral in grotere organisaties. ICT wordt dan een zelfstandig bedrijfsonderdeel dat als interne ondernemer gaat werken. Ze verkopen hun diensten dan voor een bepaalde prijs, maken winst, kopen evt zelf ook weer in. ING doet dit geloof ik. Het kan zelfs zover gaan dat een bedrijfsonderdeel besluit de ICT buiten in te kopen omdat dat goedkoper is.

Het probleem bij deze aanpak is dat als het management deze aanpak voorstaat, dat ze het belang (en de prijs) van ICT al kennen. En het werkt gewoon niet in een bedrijf met 100 medewerkers.

tofus @sumac • 29 maart 2012 12:24

[..] besluit de ICT buiten in te kopen omdat dat goedkoper is.

Ik denk dat je hier eerder een onderdeel van het probleem beschrijft, dan van de oplossing. Wie voor een dubbeltje op de eerste rang wil zitten, en z'n kostbare bedrijfsgegevens toevertrouwt aan een 'goedkope' externe partij, krijgt vaak precies de security waarvoor wordt betaald...

Verwijderd @RazorBlade72nd • 29 maart 2012 11:56

Strict genomen is ICT natuurlijk ook een kostenpost. Er is geen enkel bedrijf voor wie de operationele IT systemen core business zijn. Het is slechts een middel om geld te verdienen. Maar ik ben het met je eens dat betere veiligheid geld kan besparen.

Een probleem is echter dat er vrijwel geen ICT-ers zijn die in staat zijn hun "toko" op het hoogste management niveau in een bedrijf kunnen verkopen. Met een goed onderbouwd businessplan is iedere directie te overtuigen, mits je hun taal spreekt. Geen technische details (daar is men helemaal niet in geinteresseerd in eerste instantie), maar gewoon een plan maken van: dit zijn de investeringen, dit is de terugverdientijd, en dit zijn de structurele efficiency verbeteringen. Traditioneel zijn andere disciplines binnen de meeste bedrijven hier beter in dat ICT-ers, waardoor die anderen wel gehoord worden door het management.

pazzje @innerchild • 28 maart 2012 20:56

Waarom oude troep weg doen als het gewoon goed draait. Zeker bij grote bedrijven is dat een hot issue. Ook waar ik werk. Wij werken nog met windows xp

Wat is het probleem?? Een goed beveiligde gepatchte omgeving waar xp op draait is minstens (zo niet) veiliger dan windows 7. Iedere keer dat argument dat een nieuwer os veiliger is is pure marketing. Fouten die in xp zitten/zaten zitten vaak ook in vista/7 en op het moment dat de hele wereld op windows 7 draait gaat daar alle aandacht naar toe en dan zullen ze echt wel lekken vinden.

Vaak blijkt dat de mens de zwakste schakel is, geen patch beleid, slecht ingestelde firewalls, iedereen adminrechten enz

CaptJackSparrow @innerchild • 28 maart 2012 21:22

Als je kosten wilt besparen hoef je maar één keer een project uit te voeren om de overstap te maken naar Open Source software. Dit project van al enkele jaren geleden door het St. Antonius Ziekenhuis laat zien dat dit heel goed te doen is.

webcamjan 28 maart 2012 19:49

Verder stelt Teeven dat hij samen met de minister van Financiën aan het bekijken is of de opbrengsten van door het CBP uitgedeelde boetes gebruikt kunnen worden om de organisatie deels te financieren.

Exact waar het allemaal omgaat, graaien graaien.
Boete oke, maar dan ook het geld gebruiken daar waar het nodig is, bij het CBP en niet eerst zeggen alles naar ome staat, afroomen en dan zeggen er is geen geld voor het CBP wat Teeven dus nu zegt.

Als het allemaal niet kan omdat er geen mankracht is, laat het dan waar het nu is, bij de "hackers" die het openbaren, komt het allemaal wel goed. Alleen dan komt de vinger op de zere plek en dat vinden ze niet zo fijn.

CAPSLOCK2000

Privacy
Overheid
Internet
Politiek en recht

@webcamjan • 28 maart 2012 20:53

Het CBP is er niet om boetes uit te delen. Dat is zoiets als zeggen dat een bibliotheek z'n geld moet verdienen met de boetes voor te laat ingeleverde boeken. Dan kun je de bibliotheken wel sluiten, niemand leent nog een boek als je het risico loopt op een boete van E1000 wegens het te laat inleveren van een boek.

zvbhvb @webcamjan • 28 maart 2012 21:29

Ik vraag mij ook af of het CPB wel het juiste orgaan is. De juiste expertise zal wat betreft datalekken veel meer liggen bij het Cyber Crime Center.

Het riekt naar scheefgroei zoals boete exessen voor lekke uitlaten en dergelijke die de verkeersveiligheid al lang niet meer dienen.

Meer mankracht nodig om boetes te kunnen innen voor de staatskas.

coretx 28 maart 2012 19:29

Staat er ook ergens omschreven hoeveel $$$ dit de Nederlandse economie gaat opleveren?
Het is zo net alsof het alleen maar geld kost, maar dat is natuurlijk niet zo.

Pikoe @coretx • 28 maart 2012 19:50

Je zou inderdaad verwachten dat ze die boetes zo hoog maken dat ze minimaal de kosten dekken, maar in het artikel staat:

Verder stelt Teeven dat hij samen met de minister van Financiën aan het bekijken is of de opbrengsten van door het CBP uitgedeelde boetes gebruikt kunnen worden om de organisatie deels te financieren.

[Reactie gewijzigd door Pikoe op 23 juli 2024 06:24]

CJ_Latitude

@Pikoe • 28 maart 2012 20:16

Waar het hier over gaat is natuurlijk niet het enige wat het CBP doet, dus de hele organisatie uit deze inkomsten financieren (zoals in het artikel staat gesteld) zou dan ook wat scheef zijn.

CAPSLOCK2000

Privacy
Overheid
Internet
Politiek en recht

@Pikoe • 28 maart 2012 20:50

Het doel van die organisatie is niet om boetes uit te delen. Als je zo'n organisatie afhankelijk maakt van boetes dan krijg je hetzelfde als met het bonnenquotum van de politie een paar jaar geleden. Namelijk dat ze op zoek gaan naar excuusjes om nog maar een lullig boete uit te delen zodat het quotum gehaald wordt.

djoelzz 28 maart 2012 22:53

Een meldplicht voor datalekken?

Hoe ziet deze eruit? Ik weet bijvoorbeeld dat er voor verdachte transacties binnen het bankwezen ook een meldplicht bestaat. Hierbij is dacht ik helder omschreven wanneer iets gemeld moet worden. Is dat hierbij ook het geval?

beascob

28 maart 2012 23:11

Wat mij opvalt, is dat er geen echte transparantie is.
waarom niet het volgende:
Alle aangemelde lekken binnen 2 maanden openbaren.
Blame and shame werkt imho beter dan alleen maar bureaucratisch geneuzel.

De twee maanden "wachttijd" zijn er voor het bedrijf om zijn fouten te verklaren en een verbeterplan te implementeren.

Cybje 28 maart 2012 19:29

Zorgen die hackers indirect toch mooi voor werkgelegenheid

Verwijderd @Cybje • 29 maart 2012 11:51

Ik denk niet dat werkgelegenheid in deze sector dit nodig heeft. Ik heb liever dat ICT-ers zich op development kunnen richten zodat we als Nederland wat kunnen exporteren, dan dat ICT-ers voor datalekken worden ingezet.

Verwijderd 29 maart 2012 01:40

Men moet zich afvragen wat ze dan daar doen de hele dag bij het CBP
Tabelletjes bekijken die uiteindelijk niets brengen

Verwijderd 29 maart 2012 01:43

Het gaat slecht in het land.
Daarvoor heeft men geen CBP voor nodig
Kost veel geld en brengt niets op
Stekker eruit is finacieel beter

Verwijderd @Verwijderd • 29 maart 2012 12:02

Het gaat helemaal niet slecht in Nederland. De werkeloosheid is nog steeds behoorlijk laag, onze huisvesting hoort tot de beste in de wereld, onze snelwegen zijn zo goed als perfect, breedband internettoegang is heel erg goed, gezien de grootte van ons land zijn we relatief een behoorlijk grote economie, we horen tot de beste voetballanden in de wereld, we hebben de beste schaatsers, relatief veel multinationals van betekenis. Dus hoezo gaat het slecht?

Het enige probleem dat er is is dat we een overheid hebben die veel te veel uitgeeft.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (26)

Sorteer op:

Weergave: