Kaspersky: ‘Een datalekmelding moet wel lonen’
Het loopt alles behalve storm bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen van datalekken was in 2016 veel lager dan velen verwacht hadden. De onwetendheid is groot, het nut onduidelijk en de pakkans nihil. Het moet voor organisaties gaan lonen om een datalek te melden, vinden ze bij Kaspersky Lab. Voor channel partners zien ze een adviserende rol weggelegd.
De securityspecialist liet onderzoeken waarom de AP in het eerste jaar van de Meldplicht Datalekken slechts 5500 meldingen ontving, terwijl er meer dan 24.000 werden verwacht. Het blijkt dat veel organisaties in het duister tasten over de impact van een datalek en bang zijn voor reputatieschade. Ook heerst onder medewerkers angst voor repercussie.
Door datalekken niet te melden leert niemand ervan, meent Martijn van Lom. Volgens de General Manager Benelux bij Kaspersky Lab is het juist broodnodig dat er meer inzicht komt in de omvang van het probleem en de aard van de incidenten. ‘Het zou goed zijn om deze kennis te delen met de community. Door benchmarking steken organisaties er veel van op: hoe gebeuren datalekken, welke plannen moet je maken?’
Op de blaren zitten
‘Datalekken kun je nooit 100 procent voorkomen’, zegt Van Lom. ‘Het is onderdeel van de digitalisering die je overal ziet. Waar gewerkt wordt, vallen spaanders. Er zijn zó veel processen waar het fout kan gaan, je ontkomt er niet aan. Maar je kunt wel zorgen dat de schade beperkt blijft. Test je kwetsbaarheid, stel een communicatieplan op.’
Om databescherming af te dwingen, beschikt de Autoriteit Persoonsgegevens over de mogelijkheid om flinke boetes op te leggen. Tot dusver is echter nog geen enkele boete uitgedeeld, weet Van Lom. Onterecht, vindt hij. ‘Sommige bedrijven investeren heel veel in de beveiliging van data. Anderen doen dat niet, maar worden er niet op afgerekend als het misgaat. Als je het echt niet op orde hebt, moet je maar op de blaren zitten. Niet alleen met een hoge boete, maar bijvoorbeeld ook door met naam en toenaam te worden genoemd.’
Wijziging van beleid
Veel organisaties zijn zich bewust dat ze nog niet voldoen aan de regels, blijkt uit het onderzoek dat Kaspersky Lab liet uitvoeren. Acht op de tien zeggen hun databeschermingsbeleid dit jaar onder de loep te nemen. Ze voeren dan ook wijzigingen door, zodat ze compliant zijn aan de Europese Algemene Verordening Gegevensbescherming (AVG). Die treedt in mei 2018 in werking.
Bijna een kwart van de respondenten noemt als belangrijkste wijziging dat ze meer aandacht aan datalekpreventie gaan besteden. Het is volgens Van Lom opvallend dat 7 procent van plan is om hun beleid zo te formuleren dat ze minder hoeven melden. Uit eerder onderzoek bleek bovendien dat directies de uitwerking van het beleid meestal delegeren naar de IT-afdeling. En dat terwijl bijna de helft van de respondenten meent dat hun organisatie een interessant doelwit is. Dit geldt vooral voor bedrijven en instellingen met meer dan duizend medewerkers, en dan met name overheden en financiële dienstverleners.
Adviesrol voor resellers
Voor resellers ziet Van Lom een belangrijke rol weggelegd. Als het goed is, zijn ze bekend met de problematiek en hebben ze kennis van mogelijke oplossingen om de schade te beperken, is zijn gedachte. Het gaat dan niet alleen om de beveiliging van devices en IT-infrastructuur, maar ook om de organisatie eromheen.
‘Onze partners moeten de kans aangrijpen om hun klanten voor te lichten over data-incidenten. Vooral voor resellers die groot zijn in de publieke sector en de zorg, zie ik enorme kansen liggen’, zegt Van Lom. ‘Hoe kan een bedrijf of instelling zich voorbereiden op een incident waarbij persoonsgegevens op straat belanden? Hoe zorg je voor een open cultuur waarbij medewerkers geen angst voor straf hebben? Welke kwetsbare informatie staat eigenlijk op de laptops? Hoe moet je een lek melden en wie voert het woord?’
‘Vergelijk het maar met een BHV-training of brandoefening. Je zult incidenten moeten nabootsen, tot en met de board en het PR-team. Alleen door te oefenen kun je zorgen dat de procedures op orde zijn. Zo kom je er bijvoorbeeld snel achter dat het bewaren van je crisisplan op een server, niet slim is. Als de server is gehackt, kun je er niet meer bij. Soms is papier zo slecht nog niet.’
MSP-programma
Channel partners staan de laatste tijd behoorlijk in de belangstelling bij Kaspersky Lab, en niet alleen in verband met de regels voor databescherming. De securityspecialist onthulde in februari zijn programma voor managed service providers (MSP’s). Daarmee kunnen resellers hun aanbod van beheerdiensten eenvoudig, snel en zonder extra kosten uitbreiden.
Het fonkelnieuwe MSP-programma gebruikt een volledig geïntegreerde portal voor het beheer van klantorganisaties, legt Van Lom uit. ‘Managed service providers kunnen het gemakkelijk zelf inrichten en er zijn diverse online trainingen beschikbaar. Alles is erop gericht om dienstverleners te helpen hun omzet te verhogen, een snelle start te maken en meer nieuwe klanten te werven.’
Strategische partner
Aan de hand van het nieuwe programma positioneren resellers zich gemakkelijker als strategische beveiligingspartner voor hun eindklanten, is het idee. Vanuit één enkele console is het mogelijk om de beveiliging van endpoints en virtuele omgevingen bij hun klanten te implementeren en beheren. Het MSP-programma biedt mogelijkheden voor flexibele maandabonnementen, volumekorting en pay-as-you-go-modellen. Jaarlicenties zijn ook mogelijk. Er zijn daarnaast diverse verkooptrainingen en technische trainingen beschikbaar, evenals verkoop- en marketingmateriaal voor partners.
Aanmelding voor het MSP-programma verloopt via een online portal. General Manager Benelux Van Lom wijst er wel op dat het programma momenteel alleen beschikbaar is met DSD Europe als distributeur. Andere distributeurs, zoals Copaco en Ingram Micro, volgen later dit jaar.
Door: Diederik Toet
