Meldplicht datalekken in de praktijk Nationaal onderzoek onder > 300 organisaties

Transcriptie

1 Meldplicht datalekken in de praktijk Nationaal onderzoek onder > 300 organisaties

2 1 Analyse Sinds het in werking treden van de Meldplicht Datalekken begin 2016 is de hoeveelheid meldingen van datalekken die we in de media voorbij zien komen, merkbaar gestegen. Vooral datalekken in de gezondheidszorg lijken daarbij aan de orde van de dag. De realiteit is dat de meeste datalekken, zeker die uit andere sectoren, de media nooit bereiken. De Autoriteit Persoonsgegevens meldde begin 2017 dat ze sinds deze een jaar oude wet datalekken hebben geregistreerd. Dat is veel minder dan het Ministerie van Veiligheid & Justitie had verwacht. Het lijkt inderdaad slechts de top van de ijsberg. Uit dit onderzoek onder meer dan 300 Nederlandse organisaties met 30 of meer medewerkers, blijkt dat de meeste organisaties minimaal eens per twee jaar gevoelige data verliezen door slordigheden of cybercrime. Voor het publiek is dat best schokkend. Daarmee wordt het begrijpelijk dat organisaties huiverig zijn voor het melden van datalekken. De onderzoeksuitkomsten laten zien dat een sector als de financiële dienstverlening bovengemiddeld vaak te maken heeft met lekken. Velen vrezen dat meldingen (als gevolg van de meldplicht) het vertrouwen in de sector niet ten goede komt. Noodzakelijke meldingen blijven niet alleen uit vanwege reputatieschade. Veel organisaties die niet (alles) melden hebben te maken met onwetendheid, een eigen interpretatie van de regels, of een gebrek aan prioriteit. Voor veel organisaties is het niet duidelijk wanneer een datalek tot een meldingsplicht leidt. Van die interpretatieruimte lijken vooral organisaties in industrie en handel gebruik te maken. Bovendien blijkt slechts een minderheid van de organisaties volledig voorbereid te zijn op de huidige wetgeving voor de Meldplicht Datalekken. Datalekken komen dan ook intern lang niet altijd boven water: vooral binnen de publieke sector worden lekken intern vaak niet gemeld. Dat blijkt vooral te maken te hebben met de angst voor disciplinaire maatregelen. Juist bij overheidsinstellingen is beleid vaak wel geformuleerd. Willen meldplichten succesvol zijn (en organisaties in het beheersen van datalekken), dan zullen bedrijven en instellingen een open cultuur rond datalekken dienen te voeden: fouten maken mag, verbergen is een doodzonde. Peter Vermeulen, Principal Analyst, Pb7 Research

3 2 Achtergrond In opdracht van Kaspersky Lab heeft Pb7 Research onderzoek gedaan naar houding en gedrag van Nederlandse organisaties ten aanzien van het melden van datalekken. De concrete aanleiding is de publicatie van een advocaat in het FD die aangaf bedrijven aan te raden om juist niet te melden 1. Enerzijds is het de vraag of dit moreel juist is, of dat het vertrouwen van burgers en bedrijven niet ondermijnt, en of een uitgelekte niet-melding niet juist tot grotere (reputatie-)schade leidt. Anderzijds, en daar heeft het onderzoek zich op gericht, is het de vraag wat de huidige praktijk en houding is ten opzichte van meldplichten, in het bijzonder de Meldplicht Datalekken. december van 2016 zijn 310 organisaties ondervraagd met behulp van een web gebaseerde panel survey. Dit document is een samenvatting van de belangrijkste resultaten en conclusies uit het onderzoek en vertegenwoordigt de visie en mening van Pb7 Research. De opdrachtgever van het onderzoek, Kaspersky Lab Benelux, is het dus niet per definitie eens met de analyse en de conclusies. Figuur 1: Steekproefverdeling, Nederland (N=310) Overig Finance De (overkoepelende) vraagstelling van het onderzoek is: Zakelijke diensten 66 Hoe kijkt het bedrijfsleven aan tegen het al dan niet melden van cybercrime incidenten? Gezondheidszorg 48 De basis voor het onderzoek is een kwantitatief online onderzoek onder beleidsmakers in bedrijven met 30 of meer medewerkers. Het onderzoek is uitgevoerd door onafhankelijk ICT onderzoeksbureau Pb7 Research. In Overheid en onderwijs Industrie en handel 'Niet melden cybercrime is vaak verstandiger', Financieel Dagblad,

4 3 1. De meeste organisaties hebben gevoelige data verloren in Meer dan de helft van alle ondervraagde organisaties zegt in 2016 met één of meer lekken van gevoelige informatie te maken hebben gehad. Hoe groter de organisatie, hoe groter de kans dat er lekken ontstaan. De meest voorkomende gevallen van dataverlies hebben weinig met cybercriminaliteit te maken. Meer dan 30% van de organisaties heeft te maken gehad met het verlies van gevoelige data door het verdwijnen van computerapparatuur, zoals laptops of smartphones. Nog eens 23% geeft aan dat informatiedragers als USB-sticks met gevoelige informatie zijn kwijtgeraakt. En als medewerkers deze niet zelf verliezen, heeft 22% ook nog eens te maken gehad met diefstal van apparatuur en informatiedragers. Uiteindelijk heeft ook nog zo n 13% data verloren door verschillende vormen van cybercrime. Aangezien er ruim bedrijven zijn met 30 of meer medewerkers, zou dit tot een minimaal aantal van ruim meldingen (veel bedrijven hebben incidenten in meerdere categorieën ingevuld) bij de Autoriteit Persoonsgegevens moeten leiden van alleen al deze groep, terwijl er per 1 januari meldingen zijn geregistreerd. Daarmee kunnen we stellen dat minder dan een kwart van de incidenten uiteindelijk wordt gemeld. Volgens de respondenten ligt dat percentage iets hoger: 33% zegt dat het laatste incident is gemeld. Daarbij dienen we 2 Zie Beleidsregels Meldplicht Datalekken, Autoriteit Persoonsgegevens op te merken dat niet ieder lek hoeft te worden gemeld 2. Bij niet ieder datalek zijn gevoelige persoonsgegevens betrokken en in een aantal gevallen is mogelijk misbruik redelijkerwijs uit te sluiten. Figuur 2: Incidenten Met welk van de volgende vormen van datalekken, waarbij klantgegevens of andere privacygevoelige gegevens betrokken waren, heeft uw organisatie in 2016 mee te maken tot zover? * Aantal werknemers Verlies computerapparatuur (laptops, PC s, smartphones, tablets, etc.) Verlies informatiedragers (CD- ROMs, USB-sticks, etc.) Diefstal van apparatuur of informatiedragers Datadiefstal door eigen medewerkers Datalek/diefstal door cybercrime (ransomware, hacking, etc.) Geen datalekken 1 13% 23% 22% 31% 4 0% 10% 20% 30% 40% 50% 60% Totaal of meer

5 4 2. Onduidelijkheid over wat en hoe te melden. Figuur 3: Wanneer wordt een meldplichtig lek gemeld? Van de ondervraagde organisaties zegt 28% dat ze iedere lek melden, ongeacht of duidelijk is of er ook data ontvreemd is. Met een beetje goede wil valt ook de tweede optie als klantgegevens ontvreemd zijn, maar nog geen misbruik is vastgesteld binnen de regels van de Meldplicht Datalekken. Vervolgens zegt 41% van de ondervraagde organisaties dat ze geen melding doen of afwachten tot er sprake is van misbruik van data. Deze organisaties voldoen daarmee in de meeste gevallen bewust of onbewust niet aan de meldplicht. Wat opvalt, is dat organisaties binnen de overheid aanzienlijk netter melden dan bedrijven uit diverse sectoren in de zakelijke markt. Bij de overheid meldt 39% van de organisaties al voordat duidelijk is of er data is ontvreemd. Binnen de zakelijke markt zien we dat vooral financiële dienstverleners (47%) vaak wachten tot daadwerkelijk misbruik wordt geconstateerd door hen zelf of door klanten. Kijken we naar hoe organisaties van verschillende omvang ermee om gaan, dan zien we dat vooral organisaties met minder dan 250 medewerkers veelal te laat of niet melden. Maar ook bij grotere organisaties zegt slechts de helft op de juiste wijze te melden. Wanneer wordt een (meldplichtig) datalek gemeld bij de autoriteiten? Als we een mogelijk lek hebben, maar niet weten of er data ontvreemd is Als klantgegevens ontvreemd zijn, maar nog geen misbruik is vastgesteld Als we enig misbruik constateren van verloren klantgegevens Als we op grote schaal misbruik constateren van verloren klantgegevens Als onze klanten het ondervinden en ons er op aanspreken Als onze klanten het ondervinden en we niet in staat zijn om er samen met ze uit te komen Als de autoriteiten het lek in het vizier dreigen te krijgen 1% 2% 10% 19% 19% 28% Nooit 4% Weet niet 11% 0% 10% 1 20% 2 30%

6 5 3. Positief over meldplicht maar liever zo min mogelijk meldingen. Slechts 8% van de respondenten is het oneens met de stelling dat meldplichten voor datalekken een positief effect hebben op het vertrouwen in organisaties binnen hun sector. Maar tegelijkertijd geeft 39% aan dat deze zelfde meldplichten funest zijn voor het vertrouwen. In de financiële dienstverlening gaat het zelfs om 44%. Het grote aantal benodigde meldingen zet digitale veiligheid weliswaar op scherp, maar zal niet bepaald een positief effect hebben op het vertrouwen van de klant. Veel organisaties willen een datalek daarom ook pas melden als er duidelijke gevolgen van misbruik zijn. Figuur 4: Waarom worden meldplichtige datalekken NIET gemeld? Mocht er bij een meldplichtig datalek binnen uw organisatie worden ontdekt, wat is dan de voornaamste reden om GEEN melding te maken? De impact van het lek is beperkt of onduidelijk Mogelijke reputatieschade Voorkomen van verder misbruik van het lek of de data Medewerkers vrezen disciplinaire maatregelen (en melden het intern niet) 10% 1 19% 18% Op de vraag waarom organisaties meldplichtige datalekken niet melden, geeft men dan ook vooral aan dat het onzin is om een lek met een onduidelijke impact te melden (19%). Of men vreest voor reputatieschade (18%). Een ander veel genoemde reden is dat een melding de kans zou vergroten dat er misbruik van het datalek wordt gemaakt (1). Het is gênant Voorkomen van eventuele boetes Voorkomen van administratieve rompslomp 8% 8% 7% Binnen overheid en gezondheidszorg wordt de angst voor reputatieschade het meest aangewend als reden om een melding onder de pet te houden. Daarnaast speelt in deze twee sectoren de angst voor disciplinaire maatregelen sterk mee, waardoor medewerkers het intern vaak al niet melden. Melden is niet echt verplicht Het melden van datalekken is alleen verplicht voor grote organisaties We melden altijd 2% 6% 0% 10% 1 20%

7 6 4. Beleid wordt aangescherpt door opkomst meldplichten Met de introductie van de Meldplicht Datalekken in 2016 en de aankomende algemene verordening gegevensbescherming (AVG, ook wel GDPR) in mei 2018, moeten organisaties hun beleid toetsen ten aanzien van de bescherming van persoonsgegevens en waar nodig aanpassen. Veruit de meeste organisaties geven aan dat ze in 2017 hiermee aan de slag gaan. Slechts 17% geeft aan dat het beleid ongewijzigd blijft. Op de vraag wat de belangrijkste beleidswijziging zal zijn, geeft 24% aan dat ze zich meer op preventie gaan richten, terwijl nog eens 6% zegt meer budget voor preventie beschikbaar te gaan stellen. Een bijna even grote groep (23%) geeft in meer algemene zin aan het beleid verder te gaan uitwerken dan wel aanscherpen, terwijl voor het eerst het beleid omtrent datalekken gaat beschrijven. De meest opvallende groep bestaat uit de 7% die zegt dat de belangrijkste wijziging is dat het beleid zo geformuleerd gaat worden dat er minder gaat worden gemeld. Het gaat weliswaar niet om een hele grote groep, maar we kunnen er vanuit gaan dat dit ook bij veel andere organisaties onderdeel uitmaakt van de beleidswijzigingen. Ondanks dat veel organisaties met AVG en de Meldplicht datalekken bezig zijn, zijn maar weinig organisaties voldoende voorbereid. Uit de Nationale IT Security Monitor 2016 bleek dat AVG steeds hoger op de agenda staat bij de directie, maar ook dat het meestal naar IT wordt gedelegeerd. En er is nog een lange weg te gaan voordat organisaties klaar zijn voor AVG. Zo is maar 28% voorbereid op één van de voorlopers, de Meldplicht Datalekken, terwijl deze begin dit jaar al in werking trad. Figuur 5: Beleidswijzigingen voor 2017 Wat is de belangrijkste beleidswijziging als gevolg van nieuwe wet- en regelgeving op het gebied van datalekken en cybercrime die u voorziet voor 2017 binnen uw organisatie? We gaan ons meer richten op preventie We gaan het beleid verder uitwerken en/of aanscherpen We gaan ervoor zorgen dat we beter inzicht verkrijgen in datalekken We gaan het beleid zo formuleren dat we zo min mogelijk lekken melden We gaan (meer) budget beschikbaar stellen voor preventie We gaan het beleid beschrijven (voor het eerst) We formuleren een communicatiebeleid bij datalekken We gaan een Chief Privacy Officer aannemen We gaan (meer) budget beschikbaar stellen voor melden en de nasleep Weet niet Ons beleid blijft onveranderd 1% 0% 2% 6% 7% 10% 17% 24% 23% 0% 10% 1 20% 2 30%

8 7 5. Iedere organisatie is interessant doelwit voor cybercriminelen Hoge bomen vangen veel wind, ook als het gaat om cybercriminaliteit. Grote organisaties hebben het meest te maken met gerichte aanvallen. Dat betekent niet dat kleinere bomen uit de wind staan. Iedere organisatie is een interessant doelwit voor cybercriminelen. Maar daar is nog niet iedereen zich bewust van. Figuur 6: Doelwit voor cybercriminelen? Denkt u dat uw organisatie een interessant doelwit kan zijn voor cybercriminelen? 20% Bijna de helft van de ondervraagde organisaties denkt dat ze een interessant doelwit zijn. 4 van de bedrijven en instellingen met meer dan 1000 medewerkers ziet zichzelf als potentieel doel. Bij organisaties met minder dan 1000 werknemers, halveert dit percentage. Vooral overheden en financiële dienstverleners zien zichzelf als doelwit, terwijl bedrijven in de industrie en handel zich redelijk veilig achten. De redenen waarom organisaties een doelwit denken te zijn, zijn met name dat privacygevoelige informatie wordt verzameld (47%), of het besef dat iedere organisatie een interessant doelwit is (43%). 3 4 Ja Nee Weet niet Voor een deel van de organisaties staan ook andere zaken op het spel, zoals unieke kennis (27%), de hoeveelheid transacties (2), of de dreiging van hacktivisme (1). Vooral organisaties binnen de overheid maken zich zorgen over cybercrime vanwege politieke gevoeligheden, terwijl financiële dienstverleners en bedrijven in de industrie en handel vrezen dat de hoeveelheid transacties de aandacht trekt.

9 8 Overige figuren Figuur 7: Heeft u, als gevolg van een datalek, het afgelopen jaar te maken gehad met zakelijke identiteitsfraude waarbij een crimineel een bedrijfsidentiteit gebruikte om bijvoorbeeld aankopen te doen? Figuur 8: Bij het laatste incident van dataverlies, is dat gemeld aan de Autoriteit Persoonsgegevens? * Aantal werknemers Totaal 33% 41% 26% 13% % 54% 22% Ja Nee Weet niet % 32% 28% 72% 1000 of meer 38% 30% 33% 0% 20% 40% 60% 80% 100% Ja Nee Weet niet

10 9 Figuur 9: Bij het laatste incident van dataverlies, is dat gemeld aan de Autoriteit Persoonsgegevens? * Sector Figuur 10: Wie is er binnen uw organisatie eindverantwoordelijk voor het naleven van wet- en regelgeving? Finance 47% 38% 16% Algemeen Directeur 32% Chief Privacy Officer 11% Zakelijke diensten 33% 42% 24% CIO/IT directeur 11% Gezondheidszorg 31% 33% 3 Risk manager 11% Financieel directeur/controller 11% Overheid en onderwijs 36% 24% 39% Directeur/hoofd juridische zaken/legal & compliance 11% Industrie en handel 30% 51% 19% Hoofd informatiebeveiliging CISO (Chief Information Security Officer) Overig 26% 42% 33% Business unit managers 4% 0% 20% 40% 60% 80% 100% Ja Nee Weet niet Weet niet 1% 0% 10% 1 20% 2 30% 3

11 10 Figuur 11: Kennis en kennisdeling Bent u het eens of oneens met de volgende stellingen met betrekking tot cybercrime wet- en regelgeving? Figuur 12: Rol overheid en branche-organisaties Bent u het eens of oneens met de volgende stellingen met betrekking tot cybercrime wet- en regelgeving? Meldplichten voor datalekken zijn enkel relevant voor grote organisaties 13% 24% 36% 24% 4% We weten goed wanneer we een lek wel of niet moeten melden 1% 12% 34% 4 8% Brancheorganisaties moeten een grotere rol spelen bij de educatie van hun leden 0% 6% 39% 4 10% We zijn goed bekend met de Europese Algemene Data Protectie Verordening 4% 14% 37% 39% 6% Collega s houden datalekken voor elkaar achter 8% 29% 41% 19% 4% Het is voor onze organisatie helder welke incidenten we wel moeten 2% 12% melden en welke we niet hoeven We zouden onze inspanningen graag willen benchmarken met andere organisaties uit eigen sector 1% 8% 3 41% 46% 42% 6% 8% De overheid zou betere en meer eenduidige informatie over regulering als de Meldplicht Datalekken moeten verspreiden 0% 4% 3 48% 13% 0% 20% 40% 60% 80% 100% Zeer Oneens Oneens Neutraal Eens Zeer Eens 0% 20% 40% 60% 80% 100% Zeer Oneens Oneens Neutraal Eens Zeer Eens

12 11 Figuur 13: Impact meldingen op reputatie Bent u het eens of oneens met de volgende stellingen met betrekking tot cybercrime wet- en regelgeving? Figuur 14: [INDIEN JA OF WEET NIET BIJ FIGUUR 6] Waarom denkt u dat uw organisatie een interessant doelwit kan zijn? We verzamelen privacygevoelige gegevens 47% Meldplichten voor datalekken versterken het vertrouwen in organisaties als de onze 1% 7% 42% 40% 10% Iedere organisatie is een interessant doelwit 43% We beschikken over specialistische kennis, patenten, etc. 27% We doen veel elektronische transacties 2 Meldplichten voor datalekken zijn funest voor het vertrouwen in organisaties als de onze 4% 17% 40% 32% 7% Onze activiteiten liggen (bij sommigen) politiek gevoelig 1 Ontevreden (oud-)werknemers, studenten, burgers, etc. 0% 20% 40% 60% 80% 100% Zeer Oneens Oneens Neutraal Eens Zeer Eens Anders 1% 0% 10% 20% 30% 40% 50%