Waarom duurt het soms zo lang voordat cyberincidenten worden gemeld?
Helaas komen securityincidenten nog regelmatig voor
18 januari 2023 -
Wanneer bij een cyberaanval of door een datalek persoonlijke gegevens zijn gestolen, worden de getroffenen daar vrijwel altijd over geïnformeerd. Maar soms gebeurt dat pas dagen, weken of zelfs maanden nadat het incident heeft plaatsgevonden. Dat is zorgelijk, want al tijd hebben de criminelen die deze data hebben gestolen misbruik kunnen maken van deze gegevens en mogelijk zelfs om de identiteit van slachtoffers te stelen, wat ernstige gevolgen kan hebben.
Dit stelt Alain Luxembourg, Vice President Benelux and Nordics, Barracuda. Er zijn verschillende factoren die van invloed zijn op de tijd die het duurt voordat getroffenen worden geïnformeerd over een datalek. Een aantal daarvan zijn volkomen legitiem en begrijpelijk. Andere geven blijk van zwakke security. En sommige zijn gewoon onacceptabel.
Wat zegt de wet?
Luxembourg: " Om te beginnen zijn er concrete wetten en regels waar organisaties zich aan moeten houden bij een cyberincident waarbij (mogelijk) gegevens zijn gestolen. De Europese AVG behoort tot de strengste wet/regels ter wereld en verplicht organisaties om getroffen personen zonder onnodige vertraging en niet later dan 72 uur nadat een datalek is ontdekt hierover te informeren. In de VS zegt de Health Insurance Portability and Accountability Act (HIPAA) dat organisaties iedere -inbraak op persoonlijke gezondheidsdossiers (PHR) ‘zonder onredelijke vertraging’ en in ieder geval binnen 60 dagen moeten melden zowel het Amerikaanse ministerie van Volksgezondheid als aan alle getroffen personen."
Redenen voor vertragingen
Luxembourg: "Ondanks deze wetten en voorschriften gebeurt het regelmatig dat data-inbraken pas ver na de wettelijke periode worden gemeld. Zo legde de Autoriteit Persoonsgegevens (AP) in maart 2021 Booking.com een boete op van 475.000 euro voor het te laat melden van een datalek. Bij dit incident maakten criminelen persoonsgegevens buit van ruim 4.000 klanten. Daarbij konden ze van bijna 300 slachtoffers ook de hand leggen op creditcardgegevens. Booking.com meldde dit datalek 22 dagen te laat.
Hier zijn enkele mogelijke oorzaken voor vertragingen bij het melden van securityincidenten.
1. Het duurt lang voor dat de data-inbraak wordt gedetecteerd
Een veel voorkomende reden voor vertraagde melding is dat de organisatie in kwestie de data-inbraak pas ontdekt lang nadat deze heeft plaatsgevonden. Cybercriminelen die erin slagen om het netwerk van een organisatie binnen te dringen, zijn vaak weken of zelfs maanden bezig om de gegevens van hun doelwit te onderzoeken, om logingegevens met meer rechten te bemachtigen etc., zonder dat ze worden ontdekt. We spreken dan vaak van een ‘geavanceerde, persistente dreiging’ (Advanced Persistent Threat; APT). Dus zelfs als een organisatie direct na het ontdekken van een data-inbraak de getroffenen op de hoogte brengt, is het goed mogelijk dat de gegevens inmiddels allang in de handen van criminelen zijn.
Hoewel dit soort vertraging begrijpelijk is, laat het wel zien dat de organisatie haar security kan verbeteren. Moderne oplossingen om gecompromitteerde accounts, imitatie, het ongeautoriseerd wegsluizen van gegevens en ‘illegaal’ intern dataverkeer te detecteren kunnen ervoor zorgen dat incidenten sneller worden ontdekt.
Politieonderzoek
Soms schakelen getroffen organisaties de politie in om een incident te onderzoeken. Dan kan het zijn dat de politie (of de ingeschakelde onderzoeksinstantie) de organisatie vraagt om het incident nog niet openbaar te maken. De vrees is namelijk dat de criminelen dan hun sporen proberen te wissen om zo vervolging te ontlopen.
Dit soort vertraging is uiteraard niet te wijten aan de getroffen organisatie. En als het uitblijven van meldingen ertoe bijdraagt dat de betrokken criminelen worden opgepakt, kan dit er zelfs voor zorgen dat getroffen personen minder risico lopen dat hun gestolen gegevens misbruikt worden.
Vertragingen door derde partijen
Veel organisaties besteden de verwerking, de opslag of het beheer van beschermde gegevens uit aan derden. Wanneer de data-inbraak plaatsvindt bij zo’n externe partij, is het nog steeds de verantwoordelijkheid van de primaire datahouder om de getroffenen te informeren. Maar als die externe partij de organisatie niet tijdig op de hoogte brengt van het incident, betekent dit ook automatisch dat het langer duurt voordat de getroffen klanten of werknemers worden geïnformeerd, zelfs als de organisatie de beste bedoelingen heeft.
Zorgen om reputatieschade
Zo nu en dan blijkt dat een organisatie de melding lange tijd heeft uitgesteld – of zelfs heeft geweigerd een data-inbraak openbaar te maken – omdat ze uit bezorgd zijn om reputatieschade, de aandelenkoers enz.
Dat is begrijpelijk. Een aantal grote organisaties heeft na grote datalekken aanzienlijke verliezen geleden aan business, omzet en beurswaarde. Denk bijvoorbeeld aan de beruchte diefstal van creditcardgegevens bij Target in 2013. Toch is dit niet legaal en is het een blijk van minachting voor de klanten en werknemers die de (mogelijk ernstige) gevolgen ervan dragen. Daarnaast is die poging om de zaak onder de pet te houden uiteindelijk zinloos. Vroeg of laat komt het incident toch aan het licht en dan is de reputatieschade uiteindelijk vaak nog groter.
Een bekend en recent voorbeeld van een bedrijf dat deze les op de harde manier heeft geleerd is Uber. Toen Uber in 2016 te maken had met een groot datalek, hield het die informatie meer dan een jaar geheim - en toen dat uiteindelijk aan het licht kwam, was de ophef enorm. Maar in 2022 maakte Uber een nieuw datalek onmiddellijk bekend, zelfs voordat de aard en omvang van de hack volledig was onderzocht."
Er is ook (enigszins) goed nieuws
Luxembourg: "Helaas komen securityincidenten nog regelmatig voor. Daarbij zijn er al zoveel gegevens gekraakt en te koop op het dark web dat securityprofessionals er intussen wel vanuit moeten gaan dat criminelen toegang hebben tot deze gegevens en tot gecompromitteerde accounts.
Het goede nieuws is dat uitstel van het melden van data-inbraken tegenwoordig veel minder vaak voorkomt dan een paar jaar geleden. Dit is deels te danken aan betere handhaving en hoge boetes voor het overtreden van de meldingsregels en deels aan het voortschrijdende inzicht dat het uiteindelijk schadelijker en kostbaarder is om een incident geheim te houden dan om deze direct te melden (zie Uber hierboven).
Ook positief is dat veel van deze incidenten inmiddels te voorkomen zijn. Door inzet van moderne, platformgebaseerde oplossingen voor e-mailsecurity, netwerksecurity, app- en API-security en gegevensbescherming, kunnen de meeste organisaties het risico op een data-inbraak drastisch verminderen. Op deze manier beschermen ze hun klanten, werknemers en andere stakeholders tegen potentieel ernstige gevolgen van persoonlijke of financiële gegevens die in verkeerde handen vallen."