\u201cOnze data is gestolen, ook van onze klanten.\u201d Stilte. \u201cAls we het stilhouden, wat is de kans dat iemand daar dan achter komt?\u201d Zomaar een conversatie uit een boardroom van een willekeurige onderneming. Geen fictieve conversatie en helaas ook geen fictieve vraag. Wel een foute, kortzichtige vraag.<\/p>\n
Spreken is zilver, zwijgen is goud. Zo luidt de oud-Hollandse wijsheid die voor ICT-security echter hard aan een update toe is. Spreken is misschien wel zilver, maar zwijgen kan lood zijn. Dankzij de Meldplicht Datalekken<\/a> moeten bedrijven in Nederland datadiefstal melden bij de Autoriteit Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens). Die toezichthouder kan fikse boetes opleggen, maar dat is niet eens het gevaarlijkste lood.<\/p>\n Nee, het grotere gevaar schuilt in onwetendheid. En dat is een probleem voor de langere termijn. Het stilhouden van datalekken en security-incidenten zorgt ervoor dat er geen controle meer is op cyber(in)security. Het zorgt ervoor dat consumenten geen onderbouwde keuzes kunnen maken voor welk bedrijf zij hun kostbare gegevens toevertrouwen. Het zorgt ervoor dat er geen inzicht is in de aard en omvang van het probleem.<\/p>\n Toch is stilhouden volgens voormalig officier van Justitie Aldo Verbruggen \u201cvaak verstandig\u201d. In gesprek met het FD stelt de huidig partner bij het internationale advocatenkantoor Jones Day dat door cybercrime getroffen bedrijven \u201cer vaak om goede redenen voor kiezen om een digitaal misdrijf binnenskamers op te lossen\u201d. Er kan namelijk grote materi\u00eble schade volgen uit aangifte doen of uit het melden van datalekken, zo luidt de uitleg. Bovendien is de kans op vervolging en veroordeling minimaal, schrijft het FD<\/a>.<\/p>\n Een verbijsterend en ook nog eens gevaarlijk \u2018advies\u2019, dit stilhouden. Even los van het feit dat melding van datalekken in Nederland sinds begin dit jaar wettelijk verplicht is. Ja, melden en ook aangifte doen kan soms moeizaam zijn. Ja, vervolging en uiteindelijk veroordeling van cybercrime is een lastig, internationaal pakket. En ja, met de billen bloot gaan voor datalekken en security-incidenten kan pijnlijk zijn. Maar we moeten het eigenlijke, langetermijndoel niet uit het oog verliezen.<\/p>\n Het langetermijndoel overstijgt nu namelijk securitykosten, boetevermijding of zelfs klantenbehoud. De Meldplicht Datalekken is er niet voor niets. Boetes of schandpalen zijn niet de crux. Het gaat erom Nederland \u2013 en liefst ook andere landen natuurlijk \u2013 digitaal veiliger te maken. Door kennis te delen, kunnen we dat worden. Dit omvat ook kennis over datalekken en security-incidenten. Want daar valt veel van te leren.<\/p>\n Op de korte termijn kunnen getroffen bedrijven en geraakte consumenten maatregelen nemen om vervolgschade te beperken. Bedrijven kunnen bijvoorbeeld log-ins resetten<\/a> en dan gelijk krachtigere wachtwoorden afdwingen. Gebruikers kunnen hun elders gebruikte wachtwoorden aanpassen. Partnerbedrijven kunnen extra waakzaam zijn. Creditcardtransacties kunnen beter gemonitord worden. Tegelijkertijd kunnen andere bedrijven hun ICT-systemen, de beveiliging daarvan en de algehele configuratie nalopen<\/a> en versterken.<\/p>\n Stilhouden zorgt ervoor dat dergelijke maatregelen niet worden genomen. Digitale dieven kunnen hun buit hierdoor beter verzilveren of zelfs nogmaals toeslaan elders. Daarnaast krijgen overheid, toezichthouders en wetshandhavers door stilhouden geen goed beeld van wat er gebeurt. Dat werkt digibete aangifteloketten in de hand en zorgt ervoor dat er geen prioriteit of budgetten worden toegekend aan cybersecurity.<\/p>\n Aan de andere kant moeten we ook niet \u2018de Amerikaanse kant\u2019 opgaan. In de Verenigde Staten heerst er namelijk overregulering. Daar is de regelgeving rondom datalekken dermate zwaar en verstikkend dat het in de praktijk onwerkbaar is voor bedrijven om eraan te voldoen. Dat is het ene uiterste, dat eigenlijk net zo ongewenst is als het genoemde uiterste van dan-maar-niet-melden.<\/p>\n De schade van melden \u2013 en soms zelfs van publiekelijke openheid<\/a> \u2013 moet zeker niet onderschat worden. Het kan fors en pijnlijk zijn. Maar stilhouden is de verkeerde reactie. Om de zoveel tijd klinken er geluiden op om security-incidenten stil te houden. Zo zijn we er pas dit jaar achter gekomen<\/a> dat Yahoo! in 2014 getroffen is door een vergaande cyberinbraak. Daarbij zijn de accountgegevens van 500 miljoen gebruikers geraakt. Vijf-honderd miljoen. Een half miljard. Laat dat even bezinken.<\/p>\n Na twee jaar stilhouden is het toch uitgekomen. Twee jaar waarin alleen topmanagement de digitale datadieven ervan wisten. Yahoo! Is nu verwikkeld in diverse problemen die elk flinke schade brengen. Naast het nu beter verklaarde<\/a> plotse opstappen van Yahoo!\u2019s securitytopman spelen er meerdere rechtszaken<\/a> en wordt de geplande overname door Verizon geraakt<\/a>. Spreken is zilver, maar zwijgen blijkt kostbaarder.<\/p>\n","protected":false},"excerpt":{"rendered":" \u201cOnze data is gestolen, ook van onze klanten.\u201d Stilte. \u201cAls we het stilhouden, wat is de kans dat iemand daar dan achter komt?\u201d Zomaar een conversatie uit een boardroom van<\/p>\n","protected":false},"author":2384,"featured_media":357,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[20,78],"tags":[60,101,49,97,102,100,64],"class_list":{"0":"post-354","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-privacy","9":"tag-cybersecurity","10":"tag-datalek","11":"tag-datalekken","12":"tag-ict","13":"tag-incident","14":"tag-meldplicht","15":"tag-privacy"},"hreflang":[{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/spreken-is-zilver-zwijgen-is-lood\/354\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.nl\/blog\/tag\/privacy\/","name":"privacy"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/354","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/users\/2384"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/comments?post=354"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/354\/revisions"}],"predecessor-version":[{"id":24529,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/354\/revisions\/24529"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media\/357"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media?parent=354"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/categories?post=354"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/tags?post=354"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Onwetendheid<\/strong><\/h3>\n
Langetermijndoel<\/strong><\/h3>\n
Schadebeperking<\/strong><\/h3>\n
De balans vinden<\/strong><\/h3>\n
Komt toch wel uit<\/strong><\/h3>\n