Wanneer een datalek wordt gesignaleerd, is het van cruciaal belang om meteen een onderzoek te starten. De eerste stappen in het onderzoek – schade vermijden, de oorzaak achterhalen, en indien nodig de juiste autoriteiten inlichten – zijn vaak vergezeld met een strikte deadline. Die deadline wordt echter bijna door de helft van de bedrijven niet gehaald.

Meldplicht
Dat concludeert securitybedrijf Balabit na een kleinschalige ondervraging van IT-professionals op de RSA Conference in San Francisco. Een honderdtal IT- en securityspecialisten beantwoordde een aantal vragen over het proces na een security-inbreuk. Ten eerste werkt 45 procent van hen in een bedrijf waar een meldplicht geldt na een datalek. De relevante autoriteiten moeten in dat geval vaak al worden ingelicht binnen enkele uren na de ontdekking van het datalek of tegen het einde van de werkdag. Bovendien zegt 75 procent dat ze ook een gelijkaardige tijdslimiet krijgen voor het onderzoek naar het lek.

Data is knelpunt
Die strikte deadlines zorgen ervoor dat maar liefst 44 procent van de ondervraagden toegeeft dat hun bedrijf in het afgelopen jaar een deadline heeft gemist; 6 procent mist die zelfs altijd. Het grootste knelpunt is het omzetten van data naar begrijpelijke informatie. Volgens de respondenten is dat aspect het belangrijkste in het onderzoeksproces, maar is er nog veel ruimte voor verbetering. “Het onderzoek van Balabit toont aan dat de deadlines voor het onderzoeken van datalekken niet worden gehaald omdat organisaties voornamelijk hun eigen data nog steeds niet goed begrijpen,” zegt Péter Gyöngyösi, productmanager van Blindspotter bij Balabit. “Het is lastig voor ze om met behulp van hun bestaande tools de benodigde informatie uit ongestructureerde data te filteren. Daarnaast beschikken ze niet over voldoende contextuele informatie om deze data om te zetten in waardevolle, bruikbare informatie.”

Wat in 2018?
Het onderzoek is brandend actueel, aangezien de toekomstige privacywetgeving een meldplicht oplegt aan alle bedrijven die Europese persoonsgegevens verwerken. De GDPR, zoals de wetgeving ook genoemd wordt, stelt dat datalekken binnen de 72 uur gemeld moeten worden aan de lokale autoriteiten, en kan een monsterboete van 2 of 4 procent van de jaarlijkse, wereldwijde omzet opleggen indien dat niet op tijd gebeurt. Bedrijven hebben nog tot 2018 om zich voor te bereiden; dan wordt de wetgeving van kracht.

Bron:
ZDNet, 21/12/2016
http://www.zdnet.be/nieuws/188854/b...adline-datalek/

Eigen mening:
Het te laat melden van een datalek kan ernstige gevolgen hebben voor de mensen wiens data is gelekt. Vaak gebruiken mensen dezelfde inloggegevens voor verschillende websites en diensten. Als bedrijven hun klanten niet inlichten over een datalek, weten de klanten ook niet dat ze hun wachtwoord moeten veranderen op websites waar ze hetzelfde wachtwoord gebruiken. Dit maakt het natuurlijk zeer gemakkelijk voor hackers om meerdere gegevens te stelen. Het gebeurd ook regelmatig dat mensen dezelfde inloggegevens gebruiken voor diensten waaraan je je bankkaart/kredietkaart kan koppelen, zoals bijvoorbeeld PayPal. Vanaf het moment dat hackers toegang krijgen tot een PayPal account, kunnen ze zomaar aankopen doen met jouw bankkaart/kredietkaart, en kunnen ze ook geld overmaken van jouw rekening naar andere rekeningen. Het is dus verstandig om voor diensten waar persoonlijke gegevens en geldzaken mee gemoeid zijn, een ander, sterk wachtwoord te kiezen dat je op geen enkele andere website gebruikt.