Wie een - enigszins - christelijke opvoeding heeft gehad, weet dat het licht en de duisternis onlosmakelijk met elkaar verbonden zijn. De Bijbel vertelt in het boek Genesis dat God al op dag één licht in de duisternis bracht. Het licht was dus duidelijk een prioriteit.
Beeld: Dreamstime
Ook in de wereld van cybersecurity en privacy zijn de begrippen licht en duisternis van groot belang. En ook hier krijgen licht en openheid over incidenten steeds meer prioriteit. De meldplicht datalekken heeft bijvoorbeeld potentieel de kracht om licht te laten schijnen op de duistere wereld van de inbreuken op persoonsgegevens. Michael Faure, Michel van Eeten en ik deden in opdracht van de Cyber Security Raad (CSR) onderzoek naar het effect van de meldplicht datalekken. Onlangs besloot minister Grapperhaus (JenV) een advies van die raad, naar aanleiding van ons onderzoek, positief in ontvangst te nemen.
Het vinden van de juiste schakering tussen licht en duisternis is misschien wel de essentie van veel regels en strategieën omtrent cybersecurity. Wanneer treden we naar buiten? En wanneer houden we de cybersecuritygeheimen dicht tegen de borst? Amerikaanse cybersecurityspecialisten spreken over security through obsecurity (duisternis) versus security through openness (licht). De duisternis staat hier voor de vele geheimen die in de wereld van de cybersecurity en privacy ook geheim dienen te blijven voor hen die er geen toegang tot zouden moeten hebben. Denk aan het werk van de AIVD, het geheim geachte wachtwoord en de vele persoonsgegevens die tegenwoordig worden opgeslagen volgens de Algemene verordening gegevensbescherming. Men zou dus kunnen stellen dat – in tegenstelling tot in het scheppingsverhaal – binnen een cybersecuritystrategie juist de duisternis te prevaleren is boven het licht. Maar het ligt genuanceerder. Vaak zijn juist geheimen kwetsbaar. Zodra een wachtwoord – bedoeld om geheim te blijven – publiek is, dan is het ook voor altijd publiek. Zodra cybersecuritygeheimen ongewild aan het licht komen, kunnen systemen gekraakt worden. Denk bijvoorbeeld aan de levendige handel in ‘zero-days’, nieuwe beveiligingslekken in systemen waarvoor nog geen oplossing is gevonden. Natuurlijk maken veel concepten in de wereld van cybersecurity juist gebruik van die geheimen. De cryptografie maakt bijvoorbeeld gebruik van sleutels. Maar de sleutel is dan ook vaak het enige geheim. De berekening om tot die sleutel te komen is vaak juist publiek, zodat deze ook weer verbeterd kan worden.
De Universiteit van Maastricht koos er onlangs voor om op een duistere situatie het licht te laten schijnen door volledige openheid te verschaffen omtrent de ransomware-aanval die de universiteit zwaar trof eind 2019. Zo’n publieke verantwoording gebeurt niet vaak en dat is ook begrijpelijk. Organisaties vrezen reputatieschade als ze naar buiten treden. Wetenschappers spreken hier echter vaak over gepercipieerde reputatieschade, want onderzoek laat zien dat consumenten nauwelijks weglopen na een cybersecurityincident of een datalek van een organisatie. Dat is op zichzelf overigens wel verontrustend: wellicht hechten consumenten in grote meerderheid geen groot belang aan de cybersecurity van bedrijven, maar dat terzijde.
Voordelen van openheid
Hoe het ook zij, in de praktijk zien we dat bedrijven en overheden nog maar zeer zelden licht in de duisternis toelaten. Zo werden in de jaren ‘90 softwarebugs standaard niet gepubliceerd door IT-leveranciers, werd het bestaan ervan simpelweg ontkend en was er dus ook geen enkele prikkel om deze bugs te repareren. En dat is zonde, want veel incidenten zijn net als de griep, of helaas actueler, het coronavirus: het kan iedereen overkomen. Daarom is het juist belangrijk om openheid van zaken te geven om te voorkomen dat anderen besmet raken en om er zelf van te leren. Maar hiervoor is het wel noodzakelijk dat een organisatie uit haar eigen duisternis van schaamte en (gepercipieerde) reputatieschade komt en incidentdata deelt. De voordelen van openheid doen zich op verschillende vlakken van cybersecurity voor.
De wetgever is al langer doordrongen van de voordelen van openheid voor betere cybersecurity en privacy en de barrières die organisaties voelen om incidentdata te delen. Sinds 2018 is er in de Algemene verordening gegevensbescherming een meldplicht datalekken opgenomen. Daarvóór hadden we een tijd een nationale variant. De meldplicht datalekken is kortgezegd een wettelijke verplichting voor organisaties om datalekken te melden aan de persoon wiens data gelekt zijn en aan de Autoriteit Persoonsgegevens (AP). Als een organisatie een datalek niet meldt, kan er een boete opgelegd worden.
Het ‘licht’ dat de meldplicht datalekken genereert heeft in theorie verschillende voordelen. Zo kunnen consumenten wiens data gelekt zijn snel op de hoogte zijn en stappen zetten om de gevolgen te verminderen. Het delen van kennis over datalekken en de oorzaken ervan kan ook zorgen voor extra kennisdeling tussen bedrijven over internetdreigingen. Deze beschikbare data in de markt kunnen helpen bij het ontwerpen van cyberveiligheidsproducten zoals cyberverzekeringen. Ook kunnen we trends in cybersecurity beter detecteren (wanneer is welk type hack gevaarlijk) en kan het datalekregister de effectiviteit van investeringen in beveiliging van computersystemen bepalen. Daarover weten we weinig.
Onbevredigende uitkomst
In opdracht van de CSR deden wij samen met de TU-Delft een wetenschappelijk onderzoek naar de effectiviteit van de huidige meldplicht datalekken. Heeft de huidige meldplicht de juiste balans tussen licht en duisternis? Maximale openheid heeft namelijk ook nadelen. Zo is het bijvoorbeeld niet de bedoeling om allerlei kwetsbaarheden stante pede te delen met het publiek als de organisatie in kwestie deze kwetsbaarheden nog niet heeft opgelost. In een dergelijke situatie zou openheid juist additionele onveiligheid kunnen creëren.
Onze conclusie: leren van datalekken, dat gebeurt nu juist niet. Ongeveer de helft van de meldingen wordt alleen gedaan via een individuele mail aan de betrokken individuen. Daar kunnen we dus weinig mee op maatschappelijk niveau. En de andere helft van de datalekken; daar gebeurt vrijwel niets mee. In 2016 en 2017 verdwenen ruim achtduizend van dit soort datalekken letterlijk in een digitale bureaula. De AP publiceert alleen sterk geaggregeerde statistieken van datalekken die niet gebruikt kunnen worden voor onderzoek. Bij ons doemde het beeld op van een meldplicht met een onbevredigende uitkomst.
Het geïdentificeerde verbeterpotentieel in de meldplicht datalekken leidde begin dit jaar tot een advies dat positief ontvangen werd door minister Grapperhaus; dat gebeurde op 11 februari, tijdens de internationale Safer Internet Day 2020. Het advies omvat een projectvoorstel voor het – onder strikte voorwaarden – ontsluiten van bij de AP gemelde datalekken voor wetenschappelijk en statistisch onderzoek. De gegevens zullen worden ontsloten via het Centraal Bureau voor de Statistiek (CBS).
De positieve reactie van minister Grapperhaus is een belangrijke eerste stap naar meer openheid omtrent cybersecurity. Wij verwachten en hopen dat andere landen en instituten ook belangrijke stappen zullen zetten naar het beschikbaar stellen van datalekken, zodat trends wereldwijd kunnen worden onderzocht en vergeleken. Zodat er op verstandige wijze meer licht in de duistere en ondoorgrondelijke wereld van cybersecurity en privacy kan worden geschenen. Amen.
Rapport – Scientific research data breach notification obligation (PDF, 287 kB)
Bernold Nieuwesteeg is verbonden aan het Centre for the Law and Economics of Cyber Security (CLECS) aan de Erasmus Universiteit Rotterdam. Daarnaast is hij adviseur cybersecurity en partner bij CrossOver.
Het onderzoek naar de meldplicht datalekken waarover gesproken wordt in dit artikel werd uitgevoerd samen met prof. Michael Faure (ook verbonden aan het CLECS) en prof. Michel van Eeten (TU Delft).
Dit artikel staat ook in iBestuur magazine 34