Noodzaak meldplicht datalekkage bedrijfsleven

Vandaag las ik het nieuwsbericht dat Neelie Kroes zich op dit moment bezig houdt met een meldplicht voor datalekkage in het bedrijfsleven. Iets wat ik al jaren roep, wordt eindelijk behandeld in de politiek. Je zal je misschien afvragen: “Waarom is een meldplicht hiervoor een goed idee?”.

Vanuit mijn IT beveiligingsbedrijf help ik bedrijven om beveiligingslekken te vinden en te verhelpen in IT infrastructuur. Vaak is de aanleiding voor bedrijven om een beveiligingsscan uit te laten voeren alleen gedreven uit de noodzaak voor het behalen van een certificaat of door een wettelijke verplichting, zoals bijvoorbeeld in de gezondheidszorg het geval is. Wanneer een scan wordt uitgevoerd, komen daaruit bijna altijd vrij ernstige, nog tot dusver onbekende beveiligingsrisico’s naar voren.

Door een datalekkage meldplicht te verplichten, dwing je bedrijven om proactief te investeren in beveiliging. Dat bedrijven dit niet doen blijkt wel uit mijn ervaring, maar nog vele malen belangrijker, door de recente grootschalige hackincidenten die met grote gemak door hackersbewegingen LulzSec en Anonymous zijn uitgevoerd. Bedrijven zijn als de dood dat door een hack het imago en het vertrouwen in het bedrijf afneemt. Wanneer nu een bedrijf gehackt wordt, wordt dit intern snel afgehandeld en gehoopt dat de buitenwereld hier nooit over te horen zal krijgen. In bijna alle gevallen wordt er geen aangifte gedaan, want daarmee geef je als bedrijf aan dat je je eigen beveiliging niet op orde hebt.

De oplossing is vrij simpel: Openheid van zaken dwingt een betere beveiliging af. Verplicht bedrijven om hackincidenten te rapporteren. Daarmee voorkom je voor een deel dat incidenten zullen plaatsvinden, omdat de gevolgen daarvan vergroot worden door de meldplicht.

About Sijmen Ruwhof

Independent IT Security Researcher / Ethical Hacker
This entry was posted in data leakage, security audit. Bookmark the permalink.