Wolkbreuken - Wat doet de industrie bij een inbraak in de cloud?
Je hoort er de laatste tijd steeds meer over, cloud breaches, oftewel inbraken in systemen die in de cloud draaien. Een van de meest recente is die van Diginotar, de meest bekende die van het Sony entertainment systeem (Via Amazon). Afgezien of je als leverancier hier wat aan kan doen, bij een hoop cloud breaches worden die over het algemeen pas gemeld als het, soms toevallig, ontdekt wordt door de buitenwereld. Een zorgwekkende situatie als we steeds meer gevoelige data aan de cloud toevertrouwen. Hoe gaat de wetgever hiermee om en wat kan de industrie zelf doen?
De Nederlandse Wet Computercriminaliteit is ondubbelzinnig: Het opzettelijk en wederrechtelijk binnendringen in een computersysteem of een netwerk is een misdrijf. De straffen hiervoor zijn maximaal 1 jaar in de bak of 16.750 euro boete (art. 138ab lid 1). Hierbij wordt uitgegaan van een hacker die doelbewust inbreekt in een computersysteem of -netwerk
Imagoschade
De andere kant op is echter vanuit de wetgever niets geregeld en is een leverancier niet verplicht om een computerinbraak te melden. Logischerwijs loopt een leverancier niet te koop met de mededeling dat er in het netwerksysteem is ingebroken, het zou het vertrouwen in die leverancier over het algemeen geen goed doen. De schade die men aan de eigen klanten kan berokkenen kan echter vele malen groter zijn. Denk aan het uitlekken van creditcard gegevens of passwords die toegang verschaffen tot gevoelige data. Wat is dan belangrijker? Mogelijke imagoschade als gevolg van een inbraakmelding of klanten benadelen omdat de leverancier zelf besloot niets over de inbraak te zeggen en deze ook niet te melden (aangifte doen)?
Transparantie en meldingsplicht
Imagoschade zal vele malen hoger zijn als het bedrijf besluit niets te communiceren. Ik denk dat bedrijven hier meer verantwoordelijkheid moeten tonen en dat de wetgever melding van computer- en netwerkinbraken als plicht in de wet opneemt voor bedrijven, met name daar waar het persoonlijke en/of financiële data betreft. Daarnaast zouden, in het kader van transparantie, de cloud breaches gecommuniceerd moeten worden, zodat andere bedrijven hier ook weer van kunnen leren. Ook de eindgebruikers zijn hierbij gebaat, omdat ze op basis van deze openbare gegevens direct zouden kunnen zien welke bedrijven serieuze problemen hebben met hun beveiliging. Als gevolg hiervan zullen meer bedrijven de plicht voelen om meer aan hun beveiliging te doen.
Wie neemt het initiatief?
De industrie staat over het algemeen niet te springen om wetgeving te krijgen op dit vlak, het zou inhouden dat ze zelf weer aan regels moeten voldoen, terwijl we juist minder regels willen. Daarbij wordt ook het risico gelopen dat innovatie geremd wordt als gevolg van striktere controlemethodieken. Aan de andere kant zou het de industrie ook sieren als ze zelf initiatieven zouden ontwikkelen om te communiceren over (cloud)breaches in hun systemen. Uiteindelijk worden we daar allemaal beter van en kunnen we leren van elkaar hoe we hackers buitenspel, en buiten de deur, kunnen houden.
Maurice van der Woude is General Director van Eurocloud Europa en vice-voorzitter van de Nederlandse tak. Van der Woude is tevens strategisch adviseur op het gebied van Cloud Computing.
Tags:
wetgeving, maurice van der woude, inbraak, bescherming persoonsgegevens, cloud breach, sony, diginotar
