Edward Roozenburg: Datalekken, bangmakerij of reëel risico?
Edward Roozenburg: Datalekken, bangmakerij of reëel risico?
Door Edward Roozenburg, Risk Management Consultant bij Probability & Partners
Data zijn waardevol. Marketeers zijn er gek op, maar ook criminelen maken er handig gebruik van. Met de digitalisering neemt het belang van het beschermen van die data toe. Data mogen niet lekken. Ook in de financiële sector doen we daar veel aan. Zijn al die zorgen over datalekken eigenlijk wel gerechtvaardigd? Is het echt zo'n groot risico, of is het slechts bangmakerij?
Een datalek is simpel gezegd een blootstelling van gevoelige informatie. Dit kan variëren van het verlies van een fysiek apparaat zoals een laptop of USB-stick tot een cyberaanval waarbij hackers toegang krijgen tot een netwerk en gegevens stelen. Dat gebeurt vaak. Recent nog gaf de Autoriteit Persoonsgegevens aan dat ‘Nederlanders ervan uit moeten gaan dat hun gegevens ooit zijn gelekt of dat dat gaat gebeuren.’
Maar is dat nou erg? Vroeger gingen we heel anders met data om. Ik heb de fysieke telefoongids nog meegemaakt. Hoewel er nog steeds een digitale telefoongids is, staan veel mensen er niet meer in nadat ze zijn overgegaan op een mobiel nummer. Alleen als je gevonden wilt worden, kan je je daarvoor aanmelden.
De fysieke telefoongids
Veertig jaar geleden stonden alle mensen met een vast nummer standaard in de gids. En vrijwel iedereen had een vast nummer. Niet alleen je naam en nummer stonden erin, maar ook je adres. Deze persoonsgegevens lagen letterlijk op straat.
Bij ons op de hoek stond een telefooncel met daarin een stuk of tien telefoongidsen van meerdere woonkernen in de omgeving en van Amsterdam en Den Haag. Voor elke passant waren naam, adres en telefoonnummer van miljoenen mensen toegankelijk. Ook kreeg iedereen elk jaar een nieuwe gids thuisbezorgd.
De oude gidsen werden opgehaald door de lokale fanfare. Ze zamelden deze in omdat ze dan wat geld kregen voor het oud papier. De gidsen werden bij de inzameling gewoon op straat gelegd. Je kunt het je misschien niet voorstellen, maar niemand maakte zich er druk om.
In die tijd was het veel gebruikelijker dan nu dat informatie over individuen vrijelijk beschikbaar was voor een breed publiek. Een bezoek aan een gemeentearchief of een bibliotheek leverde vaak al toegang op tot gevoelige gegevens van mensen.
Het digitale tijdperk
Tegenwoordig gaan we anders met persoonlijke data om. Enerzijds laten sommigen van ons nog steeds veel persoonlijke data in de openbaarheid liggen. Veel mensen gebruiken sociale media om hun dagelijkse leven met de buitenwereld te delen. Tegelijkertijd zijn we ons veel bewuster geworden van privacy en de risico's die het delen van gegevens met zich meebrengt. En dat is terecht.
Dat komt doordat met de technologie van nu er veel meer data beschikbaar zijn dan ooit tevoren. Waren vroeger bij wijze van spreken alleen je naam, adres en telefoonnummer geregistreerd, nu worden enorme hoeveelheden data van je opgeslagen in cloud services, over onder meer je surfgedrag, betalingen, zoekopdrachten, belastinggegevens, werkervaring, gebeurtenissen uit het privéleven, gebruik van datingsites, medische gegevens, verzekeringen, enzovoort.
De gegevens kunnen digitaal ook makkelijker verwerkt worden. Het (digitale) data-oppervlak waar kwaadwillenden misbruik van kunnen maken, is daarmee vergroot. Deze overvloed aan digitale gegevens biedt meer mogelijkheden dan vroeger om grote hoeveelheden gegevens te verzamelen en te combineren tot waardevolle informatie waar men misbruik van kan maken. Gelukkig maar, dat met de groei van deze beschikbare digitale data deze kanalen ook steeds beter beveiligd zijn, op zijn minst met wachtwoorden. Je wachtwoord is misschien wel het belangrijkste persoonlijke gegeven dat er tegenwoordig is.
De impact van kwaadwillenden
De impact die een kwaadwillende kan hebben door data te misbruiken is veel groter dan vroeger. Waar je veertig jaar geleden de bankmedewerker van gezicht kende als je geld kwam opnemen bij het bankkantoor in de buurt (en deze jou waarschijnlijk ook), kan geld nu zonder tussenkomst van personen van eigenaar verwisselen. Alleen jouw wachtwoord is voor veel transacties voldoende.
Met het wachtwoord van jouw mail account heeft een kwaadwillende waarschijnlijk toegang tot veel van je andere accounts. Dit omdat je via je mail account bijvoorbeeld het wachtwoord voor veel van je andere accounts kan aanpassen. En daarmee kan iemand boodschappen namens jou doen, een boek bestellen, maar mogelijk ook een nieuwe identiteitskaart aanvragen of een creditkaart regelen. Hoewel voor dat laatste tegenwoordig bijna altijd meer nodig is dan alleen een wachtwoord, maakt het wel duidelijk wat de potentiële impact kan zijn van kwaadwillenden op het gebied van cybercrime en misbruik van data.
Daarom is het zo belangrijk dat alle persoonlijke data veilig zijn opgeslagen en afgegrendeld en niet in verkeerde handen vallen. We moeten zo voorzichtig mogelijk zijn met welke informatie we delen en met wie.
De (beperkte) reikwijdte van wet- en regelgeving
Gelukkig maakt onze overheid zich er ook druk om. Iedereen in Europa is beschermd door de wet op gegevensbescherming, beter bekend als de GDPR. Deze wet legt de verantwoordelijkheid bij organisaties om de gegevens van hun klanten te beschermen en biedt individuen meer controle over hun persoonlijke informatie. Dit is een belangrijke stap in de goede richting.
Maar we moeten realistisch blijven. De Autoriteit Persoonsgegevens had vorige jaar 21 duizend meldingen van datalekken. En dat zijn alleen maar de gemelde lekken. Mogelijk zijn er nog veel meer lekken die niet zijn gemeld, bijvoorbeeld omdat ze niet als lek zijn geïdentificeerd. Met circa 200 medewerkers is het voor de Autoriteit bijna onmogelijk om al deze meldingen op te volgen.
Het is al helemaal onmogelijk voor de Autoriteit om ervoor te zorgen dat alle organisaties de data volledig beschermd hebben. Risico’s op datalekken en cybercrime zijn er altijd. En de Autoriteit wijst er dan ook op dat iedereen er rekening mee moet houden dat je data in verkeerde handen vallen. De overheid kan je dus maar ten dele beschermen.
Het belang van individuele verantwoordelijkheid
Daarom is het van cruciaal belang dat individuen zelf ook stappen zetten om zich te beschermen. Neem bijvoorbeeld het gebruik van sterke en unieke wachtwoorden, het regelmatig bijwerken van software en het vermijden van verdachte links en bijlagen in e-mails. Daarnaast is het belangrijk om je bewust te zijn van phishing-aanvallen en nooit persoonlijke gegevens te verstrekken aan verdachte bronnen.
Kortom, datalekken in de financiële sector zijn geen bangmakerij, maar een reëel risico. Hoewel veel mensen vrijwillig veel informatie delen op sociale media, zijn de risico’s wel degelijk toegenomen door de technologische vooruitgang. Het is belangrijk om je bewust te zijn van de mogelijke gevolgen en proactieve maatregelen te nemen om jezelf te beschermen.
Hoewel de wetgeving in Europa een goede basis biedt, geeft die maar beperkte zekerheid. Daarom is het cruciaal dat we zélf verantwoordelijkheid nemen voor onze gegevensbeveiliging en de nodige voorzorgsmaatregelen nemen. Alleen door gezamenlijke inspanningen kunnen we een veiligere digitale wereld creëren waarin onze persoonlijke gegevens beter beschermd zijn.
Probability & Partners is een Risk Advisory Firm die geïntegreerde risicomanagement en kwantitatieve modelleringsoplossingen biedt aan de financiële sector en aan data-gedreven ondernemingen.