Ethisch hacken; er valt meer te halen dan bedrijven denken

Geplaatst op: 20-02-2018

De beveiliging van persoonsgegevens is een hot item. Bij bedrijven, bij de overheid, bij consumenten ook. Gelukkig zijn er mensen zoals Mischa Rick van Geelen die zo vaardig zijn dat ze lekken opsporen en melden, zodat er iets aan gedaan kan worden. Over hacken, beveiliging en tips; óók voor iedereen binnen GGZ Friesland.

Zeventien jaar is-ie pas, maar nu al een fenomeen en expert tegelijk op het gebied van beveiliging van digitale gegevens. Het ontdekken en melden van gaten in de beveiliging is iets dat Mischa al honderden keren heeft gedaan; ook in opdracht van bedrijven zelf. ‘Ethisch hacken’ heet het in de volksmond. Maar met die term is Mischa niet blij. ‘Dat klinkt zo negatief. Ik ben beveiligingsonderzoeker. Zo noem ik het liever. Hacken heeft meteen een negatieve associatie.’ En dat terwijl het werk - ja, het is een fulltime baan en beslist geen hobby – allesbehalve negatief is. Want het is dankzij mensen als Mischa dat bedrijven, instellingen, de overheid en wat al niet meer erachter komen dat er aan hun beveiliging iets mankeert. Doel is bewustwording en natuurlijk het oplossen ervan. In de medische sector, dus óók de geestelijke gezondheidssector, zijn er eveneens risico’s. Neem GGZ Friesland. Privacy van cliënten is van groot belang, de bescherming van hun persoonsgegevens dus ook. Maar ja, wat moeten kwaadwillenden nu met gegevens van onze cliënten?

Mischa: ‘Persoonsgegevens zijn de kroonjuwelen van bedrijven en instellingen. Als dergelijke gegevens in verkeerde handen komen, kunnen ze zomaar doorverkocht worden. Maar ook kan er gechanteerd worden, of het wordt gebruikt voor bijvoorbeeld het doen van valse uitkeringsaanvragen.’ Volgens Mischa is het niet zo dat in de medische wereld sprake is van onderschatting of naïviteit. Binnen de gezondheidssector wordt ook heus erkend dat er gevaren zijn. De denkfout is echter dat er vaak gedacht wordt dat er niets te halen valt. ‘Dan is er een opvatting als: wat zouden ze nou bij ons te zoeken hebben?’ Geen paniek: het wil niet zeggen dat er bijvoorbeeld bij GGZ Friesland iets niet klopt. Integendeel. Heus niet elk bedrijf of instelling heeft per se een zorgwekkend lek in de internetbeveiliging. Maar toch raadt Mischa aan om waakzaam te zijn én te blijven. ‘Bedrijven en instellingen doen er goed aan om een IT-bedrijf in de hand te nemen die eens de beveiliging controleert van buitenaf. Neem vervolgens een advies ter harte, doe er iets aan.’

Ook in de privésituatie is en blij ft voorzichtigheid geboden. Het fenomeen phishing - emails die sprekend lijken op echte mails, maar ondertussen nep zijn - is bekend; criminelen verdienen er veel geld mee. ‘Om je gegevens te beveiligen moet je alert zijn. Maak ook altijd backups en wees niet te nonchalant’, adviseert Mischa. Overigens ziet hij binnen bepaalde sectoren en in het bedrijfsleven opvallende verschillen. ‘Neem bij voorbeeld oliebedrijven. Die doen heel moeilijk. Maar luchtvaartmaatschappij en staan dan weer heel open voor het opsporen van lekken in hun systemen en beveiliging. Die vinden dat belangrijk om te weten. En in de gezondheidszorg is het een beetje dubbel, daar zijn de reacties en opvattingen gemengd.’ Werk aan de winkel dus? Mischa wikt en weegt zijn antwoord, alsmede zijn woorden. ‘In Nederland is het wel beter dan gemiddeld. Aan de andere kant: het blijft op dit gebied dweilen met de kraan open, het kan beter.’

Mischa Rick van Geelen

Wie?
Mischa Rick van Geelen, geboren op 12 juli 1999, woonachtig in Alkmaar.

Wat?
Digitaal Beveiligingsexpert, oftewel iemand die soft- en hardware van bedrijven (in opdracht) controleert om de bedrijven dan te wijzen op kwetsbaarheden. Die worden niet publiekelijk kenbaar gemaakt, maar wel aan de bedrijven zelf. Dit wordt Responsible Disclosure genoemd.

Waar?
Bij bedrijven en instellingen in allerhande sectoren en ook bij de overheid. Mischa wees onder meer al ABN Amro, de Belastingdienst, Sony, KPN en Microsoft op kwetsbaarheden.

Persoonsgegevens zijn de kroonjuwelen van bedrijven en instellingen

Gegevens weg = bijna 1 miljoen euro boete

Dat bedrijven en instellingen hun beveiliging van persoonsgegevens maar beter serieus kunnen nemen, blijkt uit de wettelij ke maatregelen op dit gebied. Mischa: ‘Als persoonsgegevens op straat belanden en het blij kt dat het te wijten is aan nalatigheid, is de boete fors.’ Dat klopt, zo leert een check-dubbelcheck. De boete kan oplopen tot 810.000 euro of 10 procent van de jaaromzet. Vanaf begin dit jaar is er een meldplicht voor datalekken van persoons- of personeelsgegevens. Dat betekent dat IT-afdelingen en ook HRM-afdelingen ermee te maken hebben. Bij zo’n lek kan het gaan om een hack, een technisch mankement of de gevolgen van bij voorbeeld een kwij tgeraakte telefoon of laptop van een medewerker. Wordt een datalek niet gemeld aan het College Bescherming Persoonsgegevens (CBP) dan kan, na een waarschuwing om de gegevens op orde te krijgen, de eerder genoemde boete opgelegd worden. Zorgwekkend is dat uit onderzoek dit jaar bleek dat maar liefst 58 procent van de IT-managers bij overheid en in andere sectoren niet wist van de meldplicht en de mogelijke boete.

Hoe zit het met de persoonsbeveiliging bij GGZ Friesland?

De wetgeving op het gebied van bescherming van persoonsgegevens is niet mals (zie kader vorige pagina). En dus is de logische vraag die je jezelf stelt: hoe zit het bij GGZ Friesland op dit gebied? Hielko Ophoff weet er alles van. De manager Informatiemanagement reageert op de wetgeving, de gevolgen voor bedrij ven en de maatregelen die genomen worden. Een datalek bij een bedrijf is iets dat zeer serieus moet worden genomen. Daarover is iedereen het eens, van publiek tot bedrij ven of instellingen en overheid. Indien privacygevoelige informatie op straat belandt en uit een onderzoek vervolgens blij kt dat er sprake is geweest van nalatigheid dan zijn de boetes hoog. Ze kunnen oplopen tot ruim acht ton of 10 procent van de jaaromzet.

Hielko Ophoff, manager Informatiemanagement bij GGZ Friesland, wat vind je van de wetgeving op dit gebied?
‘Op zich is het een prima wetgeving, want bescherming van persoonsgegevens is enorm belangrijk. Privacy-bewaking is een groot aandachtspunt in de samenleving, bij bedrijven en instellingen. Je moet voortdurend goed beseffen waar je mee bezig bent op dat gebied en ook hóe je ermee omgaat. Aan de andere kant: de boetes zijn wel erg hoog, zijn ook gebaseerd op Microsoft-achtige bedrijven.

Zijn de boetes te hoog?
‘Een hoge boete kan zomaar de doodsteek zijn voor een zorginstelling. Je zal maar met moeite quitte draaien en dan een boete zoals deze krijgen. Dus of dat de juiste bedragen of percentages zijn... Mogelijk vallen de boetes in de praktijk veel lager uit voor zorginstellingen, er is nog geen jurisprudentie.

Vaak denk je aan IT-systemen, het technische verhaal. Maar de menselijke kant, ook van zorgmedewerkers, is minstens zo risicovol

Hoe staat de bescherming van persoonsgegevens er binnen GGZ Friesland voor?
‘Wij hebben een continue monitoring van onze systemen. Daarvoor hebben we een extern bedrij f ingeschakeld die gespecialiseerd is op dit gebied. Zij controleren alles en rapporteren ook steeds aan ons. Wij zijn er dus heel veel mee bezig. Het risico van een datalek bestaat natuurlij k altij d nog, ook als je er nog zo alert op bent. Maar je wilt het zoveel mogelijk uitsluiten en dat is waar we heel gericht mee bezig zijn. Bij voorbeeld door het project Informatiebeveiliging.’

Uit onderzoek onder IT-managers in verschillende sectoren bleek afgelopen jaar dat maar liefst 58 procent niet wist van de meldplicht van een datalek en bijbehorende boete. Schrik je daar van?
‘Wij wisten er in ieder geval wél van. Er is zelfs een ‘Procedure Datalek’, dat staat in het Kwaliteitshandboek. We hebben dat speciaal geschreven met het oog op de nieuwe wetgeving.’

Er is binnen GGZ Friesland nog geen melding geweest, toch?
‘Dat klopt. Maar, let wel: een datalek is het ook als je bij voorbeeld op een verjaardag privacygevoelige informatie weggeeft. Dat vergeten mensen soms wel eens. Het kwijtraken van een usb-stick is ook zo’n voorbeeld. Vaak denk je aan IT-systemen, het technische verhaal. Maar de menselijke kant, ook van zorgmedewerkers, is minstens zo risicovol.’

Hielko Ophoff, manager Informatiemanagement GGZ Friesland

 

Meer weten?