- Door
- Rashid Niamat
- geplaatst op
- 3 oktober 2013 10:47 uur
ISPam.nl besteedt met enige regelmaat aandacht aan databreaches. Cases waarbij data van individuele bedrijven rechtstreeks of via lekken bij leveranciers zoals datacenters in verkeerde handen viel, zijn beschreven en ook is stilgestaan bij grotere onderzoeken naar dit verschijnsel. Tijd voor een update over deze materie.
En om met de deur in huis te vallen: wie denkt dat de inmiddels van kracht zijnde of aangekondigde wetgeving met Europese dan wel nationale werking voldoende is om orde op zaken te stellen, heeft het mis. In de perceptie van velen is de meldplicht datalekken in Nederland primair bedoeld om een beperkt aantal sectoren bij de les te houden. Hierbij wordt gedacht aan de B2C-sectoren omdat daar zoveel klantgegevens worden verzameld. Leveranciers van diensten in de B2B-omgeving melden ons echter dat ook zij nog vaker dan voorheen – met explicite verwijzing naar wetgeving – moeten voldoen aan tal van eisen, waaronder ISO2700x. Of certificering ook echt altijd helpt, dat is weer een ander verhaal.
SAS70
Wat echter als een paal boven water staat, is dat de hele drang naar meer certificaten en garanties een internationaal fenomeen is. Verklaarbaar omdat een deel van business die in het geding is globaal wordt aangeboden (telco’s, banken en energiebedrijven en daarmee hun data en klanten zitten overal) en ook omdat in de VS wetgeving op dit vlak voor loopt. Dat de VS voor loopt is best handig, omdat we door het volgen van de regelgeving die daar wordt gemaakt een idee krijgen wat er aan deze kant van de plas staat te gebeuren. Een mooi voorbeeld daarvan was eerder de discussie over het afschaffen van SAS70 die gestart werd in de VS. SAS70 werd daar opgevolgd door SSAE16 en in Europa kwam ISAE3402.
Specifiek waar het betreft tegengaan van databreaches zien we nu in de VS een ontwikkeling die zeer waarschijnlijk ook hier naartoe zal overwaaien. Door de tsunami van uiteenlopende aanvallen (DDoS, skim, fraude) op financiële instellingen in de VS zijn de toezichthouders vaker dan ooit betrokken geraakt bij onderzoeken naar de veiligheid van de bedrijven. Dit heeft begin september geleid tot een officiële melding van de FDIC. Banken en kredietinstellingen moeten meer en vooral actiever controleren of leveranciers in de hele keten (!) wel voldoen aan de eisen gesteld in de Bank Service Act (BSA).
Deze aanscherping volgt nadat meerdere gevallen bekend werden dat een third party databreach bij een bankleverancier niet is gesignaleerd, laat staan gemeld, waardoor de main target – de bank – uiteindelijk slachtoffer is geworden van een makkelijk te voorkomen aanval. Eveneens geconstateerd zijn gevallen van datalekken veroorzaakt omdat het verkeer tussen bank en leveranciers niet encrypted was of data niet veilig was opgeslagen bij/door die leverancier.
Banken krijgen nu dus de aanwijzing strenger, vaker en actiever te controleren op de professionaliteit et cetera van hun leveranciers. Doen ze dat niet dan overtreden ze de BSA en zonder BSA geen bankvergunning. Gevolg: leveranciers (niet alleen de IT-bedrijven, ook de cateraar!) moeten rekening gaan houden met een hausse aan due dillegence onderzoeken en lastige vragen. Dat kost tijd en geld, maar partijen lijken weinig keuze te hebben. Ook onvermijdelijk is dat lager in de keten die zelfde vragen gesteld gaan worden. Want als er een ding duidelijk lijkt te zijn, is dat third party breaches veel omvangrijker en bedreigender zijn dan menigeen aannam. Het is welhaast onvermijdelijk slechts een kwestie van tijd eer deze aanscherping van de procedures voor financials ook in Nederland en Europa gaat gelden.
Een voordeel, de bedrijven die het betreft kunnen op basis van de aangescherpte FDIC eisen zich zelf vast voorbereiden. Dus heb je klanten in de financiële sector, of heb je een klant die op zijn beurt een belangrijke leverancier van financials is, wees je er dan van bewust dat er waarschijnlijk een nieuwe ronde van lastige vragen over je bedrijfsvoering en over je eigen leveranciers (!) aan zit te komen.
