‘Meer investeringen nodig om datalek te voorkomen’
De Autoriteit Persoonsgegevens – waar bedrijven (vermeende) datalekken verplicht moeten melden – ontving in 2016 bijna 5.700 meldingen van datalekken. Naar verwachting komt 2017 op ongeveer een gelijk aantal uit. In 12 procent van de gevallen gaat het om incidenten waarbij de cybersecurity niet op orde was. In de autobranche zijn sinds deze maand drie datalekgevallen bekend: bij Autocash, Flipse en Carwise.
Welke technische oorzaken tot deze lekken hebben geleid wordt niet naar buiten gebracht, maar in het geval van Volkswagen-dochter Autocash was het voldoende als ingelogde klanten een paar cijfers in het webadres veranderden, om de gegevens van andere mensen met een financiering in te zien. Inclusief naw-gegevens, rekeningnummer, salaris, woonlasten en eventuele alimentatieverplichtingen. Ook gegevens van mensen die alleen een kredietaanvraag hadden gedaan, waren opvraagbaar. Dat is dus iets anders dan wanneer alle gegevens ‘op straat liggen’. Toch: het gaat om gegevens die niemand graag openbaar maakt en waar criminelen hun voordeel mee kunnen doen. In het geval van Autocash zijn er volgens het bedrijf zelf geen gegevens in verkeerde handen gevallen.
Onontdekt
Begin deze maand werden ook in de software van Carwise en Flipse Automatisering een lek ontdekt, waardoor de gegevens van zo’n 100 duizend leaserijders ingezien konden worden. De lekken werden snel gedicht en er zijn geen aanwijzingen dat er gegevens op straat zijn gekomen. Toch: voor criminelen die een bepaald model auto willen stelen is het strategische informatie, vertelde Wouter Verkerk van Verzekeringsbureau Voertuigcriminaliteit toen aan het AD.
Deze lekken kwamen in de openbaarheid, maar er zullen minstens zoveel onontdekte lekken zijn waar criminelen gebruik van kunnen maken. De Australische beveiligingsdeskundige Troy Hunt heeft een site waarop alle datalekken staan vermeld. Daar kun je je eigen mailadres invoeren en kijken of je gegevens openbaar zijn: ‘have I been pawned?‘
Meldplicht datalekken
In januari 2016 werd de Wet meldplicht datalekken actief. Bedrijven die een datalek hebben (gehad) moeten dat lek direct dichten en melden bij de Autoriteit Persoonsgegevens, op straffe van boetes tot dik acht ton. Het doel van de wet is dat bedrijven hun data beter beveiligen.
De vraag is natuurlijk: wat is er als bedrijf te doen tegen een lek? Anna Sophia Posthumus, woordvoerder van het NCSC (Nationaal Cyber Security Centrum) stelt zij dat er meer aandacht nodig is voor goede digitale beveiliging. “Er worden al veel stappen gezet om de weerbaarheid van bedrijven te vergroten. Maar we constateren ook dat het niet snel genoeg gaat, en Nederland qua security achterblijft bij de groei van dreigingen. Iedereen zal een stap bij moeten zetten.” Het verbeteren van de veiligheid begint bij bewustwording, stelt Posthumus, waarbij de inzet is dat bedrijven 10 procent van hun ICT-budget besteden aan beveiliging. “Ik denk dat niet veel bedrijven in de automotive dit percentage halen.”
Bovag biedt hulp
Paul de Waal van Bovag zegt dat de branchevereniging zich de gevaren realiseert en er alles aan doet om de leden te attenderen op de risico’s. “Een artikel in ons magazine, heel praktische informatie op de website, een checklist. We bieden heel hands-on hulp. Maar dit soort lekken blijven voorkomen. Zo’n lek fungeert als een wake-up call, dus we verwachten wel dat ze steeds minder vaak voorkomen.”
De Bovag zelf is zich ook bewust van het gevaar van een datalek, zegt De Waal. “We houden als Bovag ook onze processen tegen het licht en met onze leveranciers van software in gesprek om de risico’s in beeld te brengen. Waar nodig nemen we maatregelen. Uiteindelijk gaat het erom dat je er alles aan hebt gedaan om die persoonsgegevens zo goed mogelijk te beschermen. Wij adviseren onze leden ook: neem de beveiliging regelmatig met je leveranciers op. Je moet alles doen wat in je vermogen ligt om dit te voorkomen. Maar zelfs dan kan er eens iets misgaan. Dit zijn dynamische systemen en bijzonder complex.”
