Internetbedrijven moeten beveiligingsproblemen melden

Meer bedrijven moeten beveiligingsproblemen rapporteren bij de overheid. Vervolgens deelt de overheid die details over het beveiligingsprobleem met andere overheden in de Europese Unie. Dat blijkt uit de nieuwe cyber security-richtlijn van de Europese Unie.

De nieuwe richtlijn, die donderdag door onder anderen Eurocommissaris Neelie Kroes van ict-zaken is gepresenteerd, breidt de meldplicht voor datalekken flink uit. Op dit moment moeten bedrijven beveiligingsproblemen enkel rapporteren als er persoonsgegevens in het geding zijn, of als ze onderdeel uitmaken van kritieke infrastructuur, zoals energiecentrales.

Als de nieuwe richtlijn door het Europees Parlement wordt aangenomen, moeten belangrijke internetbedrijven digitale beveiligingsproblemen verplicht melden. Daaronder vallen zoekmachines, hostingbedrijven, betalingsverwerkers, aanbieders van clouddiensten, sociale netwerken, video- en muziekdiensten en app stores. Onder meer Facebook, Google, Spotify, Apple en Amazon worden in een toelichting op de richtlijn bij naam genoemd. Volgens Ryan Heath, woordvoerder van Neelie Kroes, gaat het naar schatting om 40.000 bedrijven die straks beveiligingsproblemen met de overheid moeten gaan delen. In Nederland wordt overigens al langer gewerkt aan een meldplicht datalekken.

"Bedrijven moeten straks onder meer de schaal van het probleem, de datum en tijd waarop het gebeurde en de aard van het incident doorgeven aan de overheid", zegt Heath. Ook de reactie van het bedrijf op het beveiligingsprobleem moet worden doorgegeven. Bedrijven hoeven het beveiligingsprobleem echter niet openbaar te maken; die keuze wordt aan het bedrijf in kwestie gelaten. Details van de meldplicht - zoals de vraag welke incidenten wel en niet moeten worden gemeld - moeten nog worden uitgewerkt, en die hangen ook af van de implementatie door de EU-lidstaten. Europese richtlijnen moeten worden omgezet in lokale wetgeving, en daarbij gaan sommige landen verder dan andere.

Overheden gaan onderling ook meer informatie uitwisselen. Er wordt een speciaal netwerk opgezet waarbinnen vertrouwelijke gegevens over beveiligingsproblemen onderling kunnen worden uitgewisseld, onder leiding van de Europese dataprotectiewaakhond ENISA. Via dit netwerk worden ook de incidenten die door bedrijven zijn gerapporteerd, uitgewisseld. Zij worden echter niet rechtstreeks op het netwerk aangesloten, geeft woordvoerder Heath aan.

Volgens de Europese Commissie is de richtlijn nodig om de enorme toename van beveiligingsproblemen het hoofd te bieden. Andere maatregelen in de richtlijn zijn bijvoorbeeld de eis dat elk land een computer emergency response team heeft, waarover Nederland en België al beschikken, en dat bedrijven maatregelen nemen om het risico op beveiligingsproblemen zo klein mogelijk te maken.

IT-banen

Reacties (17)

Znorkus 7 februari 2013 13:27

"Bedrijven hoeven het beveiligingsprobleem echter niet openbaar te maken; die keuze wordt aan het bedrijf in kwestie gelaten."

Ben benieuwd of de overheid hun logs met gemelde lekken publiek toegankelijk maakt. Zo klinkt het niet. Ik zou er wel voor zijn, omdat dit immers direct de digitale bescherming van burgers raakt, en dit de reden was om het uberhaupt op te zetten. Zonder vrije toegang tot dit bestand, met waarschijnlijk websites die als nieuws af en toe de zaken voor een breed publiek toegankelijk maken, vind ik het een beetje een raar idee.

SirBlade 7 februari 2013 13:38

Komt er ook een plicht voor bedrijven om te monitoren? Want de makkelijkste en goedkoopste manier om te voorkomen dat je problemen bekend moet maken is er voor zorgen dat je niet weet dat er problemen zijn.

Anoniem: 95759 7 februari 2013 13:15

Wat natuurlijk dan wel noodzakelijk is, is dat het meldpunt meteen met een aanbeveling komt om het probleem op te lossen.
Als je zo'n meldpunt centraliseert kan je natuurlijk heel goed de problemen categoriseren en snel op (laten) lossen.
Moet de data over lekken natuurlijk zelf ook goed worden beveiligd

Anoniem: 28557 @Anoniem: 95759 • 7 februari 2013 13:21

De overheid is geen gratis security-consultancy-bedrijf. Als bedrijven niet weten hoe ze het op moeten lossen moeten ze eigenlijk de dienst al niet aanbieden of anders maar een security-consultant inhuren.
De meldingsplicht gaat erom dat het duidelijker voor de consumenten moet zijn als hun gegevens gestolen worden. Naar mijn mening zou de meldingsplicht ook niet naar de overheid, maar naar de klanten (slachtoffers) moeten zijn. Nu gebeurt het maar al te vaak dat securityincidenten onder het tapijt geveegd worden, terwijl de echte slachtoffers niet het "getroffen" bedrijf is, maar de klanten van dat bedrijf.

Chrotenise @Anoniem: 28557 • 7 februari 2013 13:26

Het heeft niks met het duidelijker maken voor de consumenten te maken op het moment. Er wordt een melding gedaan bij de overheid, zodat zij beter kunnen zien wat er precies allemaal mis gaat in cybersecurity land.

Hier kunnen ze dan mooie statistiekjes van laten maken om meer (on)zinnige wetgeving omtrent cybersecurity mee te kunnen onderbouwen.

Anoniem: 132385 @Chrotenise • 7 februari 2013 13:46

Je hebt gelijk Chrotenise. Tegenwoordig doen overheden alles om bedrijven te beschermen in plaats van de consumenten. Dat blijkt wel weer uit het feit dat de bedrijven zelf mogen kiezen om het incident openbaar te maken voor het 'gespuis' dat hun services gebruikt.

'Dom' houden van het volk is natuurlijk het beste om schimmige nieuwe regelgeving te introduceren met weinig tot geen weerstand. Daarom moet alles het liefst geheim zijn. Wet van openbaar bestuur moet daarom ook geregeld in een rechtzaal afgedwongen worden want politici zijn van nature achterbaks. In de camera zeggen ze het ene en in de achterkamertjes zeggen ze precies het omgekeerde. Dat moeten ze wel zijn anders komen ze nooit hogerop in hun partij.

Maargoed dat is nu eenmaal waar Nederland voor kiest. Als ze verandering hadden gewild dan hadden ze niet massaal op de VVD/PvdA gestemd.

Ok dit is dan weer een europese regeling maar daar heb je als Nederlandse kiezer praktisch geen invloed op.

Anoniem: 199803 @Anoniem: 95759 • 7 februari 2013 13:29

Zo! Dat is niet mis. ...En dan krijg je te maken met zo'n arrogant websitebeheerdertje die ijskoud roept dat de door hem ontworpen en beheerde site schoon is, èn dat zijn beveiliging in orde en up to date is. Terwijl de website zo lek als een mandje is en malware verspreid. Als het inlichten van de eigenaar van zo'n website ook niet helpt, wat moet je dan?

Cerberus_tm

7 februari 2013 15:50

Moet je kijken, in de PDF van die richtlijn zijn allemaal van die rode "wijzigingen" uit Word te zien! Wat een onemeloen, je moet altijd "alle wijzigingen accepteren" voordat je het document doorstuurt. Ik zie de annotaties bij de wijzigingen trouwens in het Nederlands staan, dus zijn die misschien van de hand van Neelie zelf? In dat geval moet ze misschien eens kijken naar de beveiliging van haar eigen gegevens, want ik vind wijzigingen toch best wel privé.

Voorbeeld uit de PDF:
http://i.imgur.com/zsKZ0nQ.jpg

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 13:59]

GateKeaper @Cerberus_tm • 7 februari 2013 16:08

Ja poe.. echt serieus privé, een paar opmaak wijzigingen! Niet erg netjes inderdaad, maar je reactie vind ik wel wat overdreven.

Cerberus_tm

@GateKeaper • 7 februari 2013 17:01

Zelfs in dit document gaat het veel verder dan opmaakwijzigingen. Ik zou het zelf niet zo leuk vinden als mensen kunnen zien dat ik b.v. niet zo goed Engels kan, of dat mijn assistent al het werk heeft gedaan en ik alleen maar een handtekening zet of zo. Ik bedoel niet dat dit op Kroes van toepassing is, maar zulke en andere conclusies kun je in bepaalde gevallen wel trekken uit Word-wijzigingen; veel mensen zetten ook eerst commentaar in de text dat ze dan later deleten... Ik zag bijvoorbeeld wel dat de laatste auteur (Kroes?) een aantal keren achter elkaar zinnetjes had toegevoegd over proportionaliteit. Dit kan ons wellicht van alles vertellen over standpunten binnen haar departement, en haar strategie om de richtlijn aantrekkelijker te maken voor het EP. Ik noem maar wat, heb het niet uitgebereid bestudeerd. Dit moet gewoon niet zo.

GateKeaper @Cerberus_tm • 7 februari 2013 17:20

Daar zeg je het toch al: "wel dat de laatste auteur (Kroes?) ".. Je hebt dus geen idee wie die laatste auteur is, en doet maar een wilde gok. Ik zie dus niet in hoezo dit "toch best wel privé" is. Als er een naam bij de opmerkingen stond (wat vaak gewoon automatisch gebeurd) dan is het een heel ander verhaal.

En zonder gekheid, ook een aanname, maar ik verwacht niet dat Kroes dit soort documenten zelf typt / reviseert.

mrlammers 7 februari 2013 14:06

Ik bewonder het werk van mevrouw Kroes, maar dit is wel een beetje vechten tegen de spreekwoordelijke bierkaai. Want je kunt niet alles weten en als je het wél weet, kun je soms maar beter je mond dichthouden.

Bij veel bedrijven vind je nog steeds security door obscurity. Als niet bekend is dat er een lek is, dan ga je dat niet melden. Net zo veilig.

Als je als bedrijf een lek meldt, dan heeft vaak (financiële) gevolgen - want dan moet je het probleem ook oplossen. Je mond houden is vaak ook goedkoper.

En als er dan toch onverhoopt persoonsgegevens op straat komen te liggen dan kun je je nog verschuilen achter onwetendheid. En dat is een stuk goedkoper.

Netjes? Nee. Praktijk? Jazeker.

Cerberus_tm

@mrlammers • 7 februari 2013 16:08

En deze richtlijn is nou precies bedoeld om dat tegen te gaan. Als bedrijven beboet kunnen worden wanneer ze beveiligingsproblemen niet melden aan de overheid, gaan ze dat hopelijk wel doen, en gaan ze hopelijk ook beter op hun eigen veiligheid letter. Dus de idee is dat het moeilijk wordt om problemen in de doofpot te gooien.

Verder blijft "security through obscurity" in stand: als alleen de Europese waakhond het weet, blijft het geheim. Die waakhond zelf moet natuurlijk wel extreem goed beveiligd worden.

Volgens mij wordt "security through obscurity" trouwens voornamelijk gebruikt om aan te duiden dat gaten in kleine websites niet opgemerkt worden door kwaadwillenden, omdat ze simpelweg niet op het idee komen om die sites te hacken, en omdat er ook weinig te halen valt.

Jeroen V. 7 februari 2013 13:29

Goede kwestie, we lezen steeds vaker dat er veiligheidsrisico's aanwezig zijn op platformen van grote bedrijven of zelfs instellingen van de overheid zelf. DigID is hier een mooi voorbeeld van. Aan de andere kant snap ik ook dat bedrijven niet zomaar vertrouwelijke gegevens kenbaar willen maken bij de overheid. Zeker niet wanneer deze gegevens worden gedeeld met andere landen uit de EU.

Daarnaast lees ik soms kritiek op de instellingen bij een platform waarbij het fout gaat. Natuurlijk is het niet fijn als je persoonlijke gegevens in gevaar zijn ( in het geval van DigID ). Maar dit zijn vaak dergelijke grote producties dat de kans op een beveiligingsrisico steeds groter wordt. En als je zelf een hacker bent, zou je dan de website van een overheidsinstelling kraken of de website van de bakker om de hoek? Platformen van dit formaat zijn ook een uitdaging voor kwaadwillende.

Caelestis 7 februari 2013 13:50

Ik ben benieuwd hoe ze denken hier controle op uit te voeren. Hoe weet je of een data lek gemeld is zodra het gevonden is?
Het is te makkelijk te zeggen als bedrijf dat je er niks van af wist totdat het te laat is dus zou je als overheid zelf moeten hacken om de data lekken te vinden.

Dit soort wetgeving maakt het erg makkelijk om de deur open te gooien voor hack wetgevingen die totaal niks te maken hebben met het probleem waarvoor het oorspronkelijke wetgeving is aangelegd omdat ze dan de middelen moeten creëren om het wetgeving te handhaven.

Amanoo 7 februari 2013 15:41

Wordt nog leuk voor Amerikaanse bedrijven, die graag beveiligen door middel van problemen in de doofpot gooien. Een poging tot security through obscurity, maar zelfs daarvan een slechte implementatie (alsof security through obscurity überhaupt ooit een goed idee was). En het is natuurlijk goedkoper.

[Reactie gewijzigd door Amanoo op 22 juli 2024 13:59]

Op dit item kan niet meer gereageerd worden.

Internetbedrijven moeten beveiligingsproblemen melden

Lees meer

IT-banen

Reacties (17)

Sorteer op:

Weergave: