Ict-leveranciers kunnen binnenkort de Autoriteit Persoonsgegevens (AP) op hun dak krijgen. Op korte termijn wil de privacywaakhond bij een aantal marktpartijen controleren hoe ze hun digitale beveiliging hebben geregeld. Door een actievere rol te spelen hoopt de AP dat deze organisaties tijdig maatregelen treffen.
Ict-bedrijven verwerken vaak grote hoeveelheden persoonsgegevens namens veel klantorganisaties. Als bij ict-leveranciers een datalek plaatsvindt, zijn de gevolgen al snel enorm. Vandaar dat preventieve controle bij ict-leveranciers volgens de AP een doelgerichte, effectieve manier is om de begrensde middelen als toezichthouder in te zetten.
Dat de AP overgaat tot deze aanpak, hangt samen met de groeiende risico’s van cyberaanvallen en grote datalekken die mensen in Nederland treffen. De AP zal meerdere ict-organisaties bekijken. En ze, waar nodig, van advies voorzien en verder op weg helpen.
Zorgsector
Sinds kort controleert de AP ook bij zorgorganisaties hoe het ervoor staat met de bescherming en beveiliging van gevoelige gegevens. De cyberbeveiliging is nadrukkelijk een onderdeel van deze steekproef.
Directe aanleiding van deze bezoeken door de AP is het datalek van vorig jaar bij Clinical Diagnostics. Dit bedrijf werd vorig jaar slachtoffer van ransomware. Hackers hadden toegang tot de data van 850.000 vrouwen die hadden meegedaan aan het bevolkingsonderzoek naar baarmoederhalskanker.
Net als bij de controles op ict-leveranciers is het doel van de AP om zorgorganisaties de juiste richting op te helpen bij het beschermen van persoonsgegevens.
Ze delen nog geen boetes uit. Ze gaan alleen nog maar “advies” geven. Maar moesten organisaties hun beveiliging niet al veel langer op orde hebben?
Eigenlijk vind ik dat er gewoon boetes uitgedeeld moeten worden. Odido, Clinical Diagnostics en ChipSoft laten zien dat bedrijven hun beveiliging gewoon niet op orde hebben.
Bij de hosted versie van ChipSoft’s Hix zaten alle gegevens van verschillende organisaties gewoon in één database! Als hackers daar binnendrongen dan konden ze de gegevens van ALLE organisaties zo meenemen. Dat is al een enorme “red flag” zou ik zeggen.
Zou niet best zijn als ze daar een ‘red flag’ van gaan maken. 😁 Rechtenstructuur per per server, per database en erbinnen is volkomen veilig. Helemaal op een encrypted partitie.
Als ze root access krijgen op de database dan kunnen ze bij alle databases. Maar ik denk dat ze dat zelfs niet nodig hadden omdat alles in één database zat (is mijn vermoeden).
En een versleutelde partitie is nutteloos want dat beschermt alleen maar “at rest.” Ze gaan niet de database bestanden meenemen maar doen gewoon queries op de database en sturen die informatie op.
Een versleutelde database is mogelijk maar wordt zelden toegepast omdat het gewoon veel werk is om een applicatie te ontwikkelen hiervoor. En zelfs dat is niet fool-proof.
Je kunt een database host prima op veiligheid beheren. Niet goed of helemaal niet beheren van 1000 databases geeft zelfs veiliger gevoel. Ter beperking van omvang van lekschade werkt het ook helemaal niet. Alleen Microsoft, Oracle e.d. worden er beter van.
Segmentatie (database of netwerk) of sharding is een standaard manier om de impact van zo’n lek te beperken. Zeggen dat dit niet helpt is fatalistisch.
ja, dat klopt. Maar segmentatie van database of netwerk moet altijd virtueel zijn. Anders wordt het onhanteerbaar bij opschaling en wordt het middel veel erger dan de kwaal. Fysiek kun je het ook altijd maar op één manier doen met als gevolg dat het niet te handhaven is. Het is net als met fysieke documentfoldersystemen. Of je nu begonnen bent met vestigingslokaties en daaronder per lokatie de medewerkersgroepen (boekhouding, medisch, backoffice) of je hebt de functiegroepen bovenaan met in iedere de respectievelijke vestigingslokaties erin, te handhaven valt het niet.
Dat is met databases precies zo. Het begint er al mee dat één database per organisatie een volstrekt willekeurige keuze is die vroeger of later niet te handhaven is. Fysieke structuren moeten alleen maar waarborgen dat virtuele segmentatie (van welke entiteit dan ook) geheel of zo veel mogelijk niet onmogelijk is geraakt.