Voor sommige is het wellicht onduidelijk in hoeverre informatiebeveiliging een noodzaak is. Ik ben van mening dat informatiebeveiliging essentieel is voor een goede bedrijfsvoering. Uit het onderzoeksrapport van Ernst & Young van 2016 blijkt dat 57% van de respondenten recent in aanraking is gekomen met een incident ten aanzien van cyberveiligheid. De Cyber Security Raad is dan ook van mening dat er meer geld geïnvesteerd dient te worden in cyberveiligheid, om op deze manier onder andere informatie beter te kunnen beveiligen.
Voor veel mensen is informatiebeveiliging een ver-van-mijn-bed-show, daarom ga ik het in dit blog hebben over de toename van cybercriminaliteit, de verschillende aspecten van informatiebeveiliging en de wetgeving omtrent informatiebeveiliging.
De toename van cybercriminaliteit
Er lijkt geen dag voorbij te gaan zonder dat we een artikel lezen over cyberveiligheid. Een aantal recente voorbeelden zijn:
- Nederlandse toezichthouder leidt Europees onderzoek naar datalek Uber
- Brabantse hacker gezocht voor oplichting internationale bedrijven
- Ernstig beveiligingslek biedt toegang tot macOS zonder wachtwoord
De toename is duidelijk te zien, vooral in 2015-2016 was er sprake van een significante toename. In 2016 gebeurde het 9.967 keer dat criminelen digitale documenten ‘gijzelden’, een jaar eerder was dat nog 814 keer. Een stijging van 1.224 procent blijkt uit cijfers van Kaspersky Lab.
De toename is grotendeels te wijten aan de lage pakkans en de hoge opbrengsten. Daarnaast zijn cybercriminelen ook steeds vaker uit op het berokkenen van immateriële schade. Een beveiligingsincident kan namelijk ook invloed hebben op het imago en de reputatie van een onderneming. In extreme gevallen kan dit leiden tot faillissement.
Aspecten van informatiebeveiliging
Informatiebeveiliging is meer dan alleen de technische kant. Techniek is slechts een gedeelte van de oplossing. Behalve technische maatregelen, zullen er ook organisatorische en procedurele maatregelen moeten worden getroffen. Er zijn voldoende security experts die erkennen dat de mens de zwakste schakel is bij informatiebeveiliging. Dit komt onder andere doordat medewerkers veelal over onvoldoende kennis beschikken en er sprake is van een gebrek aan bewustzijn. Zo zie ik persoonlijk heel vaak mensen in de trein werken, ze zijn vaak aan het bellen en ondertussen op een laptop aan het werk. Ze hebben informatie op hun scherm staan, waar ik niet over zou mogen beschikken. Voor iemand met slechte intenties, is dit een gemakkelijke manier om informatie te verkrijgen.
Om het medewerkersbewustzijn te vergroten dient het allereerst te worden getoetst door bijvoorbeeld een nulmeting, aan de hand van de uitkomsten kan er een passende aanpak worden bedacht om het bewustzijn te vergroten. Voorbeelden van maatregelen zijn: lezingen, informatiebeveiligingsbeleid, een awarenessprogramma en het Information Security Management System (ISMS). Dat laatste borgt alle voorkomende maatregelen, procedures en instructies met betrekking tot het waarborgen van informatieverwerking binnen een organisatie.
Naast de bovenstaande aspecten, speelt de wet- en regelgeving een belangrijke rol. Met de komst van de nieuwe wetgeving, worden er door verschillende instanties hulpmiddelen aangeboden om te kunnen voldoen aan de vereisten die er gesteld worden.
Wetgeving
De Europese Unie en de landelijke overheden hechten steeds meer waarde aan het beschermen van inwoners ten aanzien van het verwerken van gegevens. Daarom is er in 2016 nieuwe wet- en regelgeving aangekondigd, die op 25 mei 2018 van kracht zal gaan. Deze wet, de Algemene Verordening Gegevensbescherming (AVG) vervangt de Wet Bescherming Persoonsgegevens (WBP) omdat deze achterhaald is. Deze WBP is van kracht gegaan in 2001, gelet op de (technologische) ontwikkelingen sindsdien, voldoet deze niet meer en is de kans op een beveiligingsincident vele malen groter.