Het verplicht aanmelden van datalekken dat sinds 5 juni verplicht is riekt naar symboolpolitiek, betoogt Morteza Esteki.

Door Morteza Esteki

Het beveiligen van informatie lijkt een ondergeschoven kindje, maar door recente datalekken realiseert de samenleving wat de impact is. Het ondergeschoven kindje blijkt dan ineens the talk of the town.

Een aantal lekken ter illustratie: In april bleek dat medische en persoonlijke gegevens van meer dan 300.000 werknemers door een softwarelek van verzuimapplicatie Hummanet maandenlang toegankelijk waren geweest voor onbevoegden.

In mei kreeg RTL Nieuws toegang tot de online klanten database van Perry Sport. Hierdoor waren de gegevens van 95.776 klanten zichtbaar; in juni werd een bestand met bijna 6,5 miljoen hashcodes online gedumpt; dit waren de wachtwoorden van evenzoveel LinkedIn-gebruikers.

En tot slot iets minder erg, maar in mijn ogen wel opvallend vanwege het jaarlijkse karakter: Het steevast uitlekken van de miljoenennota voor de derde dinsdag van september. Niemand lijkt er meer door gechoqueerd.

Snelheid

De snelheid waarmee lekken elkaar opvolgen baart me zorgen. De overheid lijkt dat gevoel te delen, blijkt nu uit de verplichting tot het melden van datalekken bij het College Bescherming Persoonsgegevens.

Frappant is echter dat het CBP niet eens de wettelijke bevoegdheden en de mankracht blijkt te hebben om grote datalekken aan te pakken. Enkel de verplichting om een datalek te melden zet wat mij betreft weinig zoden aan de dijk.

Datalekken moeten je bij de bron aanpakken. Kortom: zorg dat je IT-infrastructuur op orde is. Achteraf een wijzend vingertje lost nog geen probleem op.

Beveiliging gaat over vertrouwelijkheid, integriteit en beschikbaarheid. Met de opkomst van Het Nieuwe Werken en de trend van Bring Your Own Device is deze uitdaging alleen maar groter geworden.

We willen gebruikers de gelegenheid geven om op elke plek en wanneer dan ook, met elk apparaat te kunnen werken. Hoe doe je dat veilig want op sommige plekken willen we niet dat de gebruiker bij bepaalde data kan?

Content is koning

Je kunt stellen dat content koning is, maar context het koninkrijk. Natuurlijk moet een gebruiker de juiste applicaties, met de juiste data, de juiste randapparatuur en de juiste settings krijgen, maar bedrijfsregels geven soms aan dat niet alles mag. De applicatie is het centrale punt in de content, en ja, content is koning.

Maar wel gebaseerd op de bedrijfsregels. Wie is de gebruiker? Waar is hij? Van welk apparaat komt hij? En hoe laat is het? Dus context is inderdaad het koninkrijk.

Zorg dat de informatie wordt beveiligd, maar niet door het buitenhouden van mensen. Organisaties moeten snel op zoek naar een beveiligingsaanpak waarin zowel applicatie als gebruiker een belangrijke rol spelen.

Morteza Esteki is Sales Director Benelux bij RES Software