D66 wil strengere eisen stellen aan telecomproviders om grootschalige datalekken te voorkomen zoals bij Odido is gebeurd. Ook zouden er meer toezichtmaatregelen moeten komen. Dit blijkt uit vragen van de Tweede Kamer-leden Sarah El Boujdaini en Jan Schoonis aan minister Vincent Karrermans (Economische Zaken) en staatssecretaris Eddie van Marum (Digitalisering).
Beide D66-Kamerleden vragen zich af of de eisen, die momenteel worden gesteld aan telecomproviders voor wat betreft cyberbeveiliging en gegevensbescherming, nog aan de huidige dreigingscontext voldoen. Veel aanvallen zijn verschoven naar identiteiten in plaats van firewalls. De meeste grote incidenten vinden momenteel via geldige accounts plaats, merkt Ronald Prins, medeoprichter van het cybersecuritybedrijf Hunt & Hackett op.
El Boujdani wil ook weten of er sprake is van nalatigheid dan wel onvoldoende naleving van de Europese privacy- en beveiligingsverplichtingen, zoals de Algemene verordening gegevensbescherming (AVG), door Odido.
Lampje branden?
Veiligheidsexperts vinden het opmerkelijk dat de monitoring bij Odido geen alarm sloeg, terwijl massale data-exfiltratie van 6,2 miljoen records plaatsvond. Als dit ook ‘s nachts of buiten de kantooruren gebeurt en de hele dag voortduurt, had er volgens Prins toch ergens een lampje moeten gaan branden. Pieken in het netwerkverkeer dienen te worden gesignaleerd, zegt hij.
Momenteel is nog niet duidelijk wat de aanvallers met de ‘buit’ gaan doen. D66 vraagt het kabinet het risico te beoordelen dat de bij Odido gestolen persoonsgegevens in de toekomst alsnog openbaar worden gemaakt, en welke gevolgen dit kan hebben voor de veiligheid en privacy van betrokken burgers.
Niet nog meer regeltjes en richtlijnen! Geef gewoon hogere boetes en zorg ervoor dat gebruikers makkelijker schadevergoeding kunnen eisen.
Bedrijven moeten vrij zijn om hun security in te richten zolang het maar afdoende is om diefstal en misbruik te voorkomen. Afvinklijstjes gaan niets doen om de beveiliging te verbeteren zoals we in de zorg al hebben gezien.
Nu moet iedere gebruiker nog zelf een rechtszaak aanspannen en bewijzen dat zij schade hebben geleden. Dat is een onnodig zware drempel en zorgt ervoor dat bedrijven die laks met hun beveiliging omgaan hier gewoon mee wegkomen. Behalve reputatieschade is de financiële schade vaak beperkt.