(Blog) Op 28 januari is het Data Protection Day en staan we stil bij de huidige stand van zaken rond de richtlijnen voor gegevensbescherming. Momenteel is er op dit gebied sprake van tegenstrijdige beleidsontwikkelingen voor cybersecurity. Dit zorgt voor verwarring tijdens inspanningen voor het waarborgen van gegevensbescherming.
Initiatieven op het gebied van gegevensbescherming schieten als paddenstoelen uit de grond. En dat is goed bedoeld. Ondertussen blijft het echter voorstellen voor datalokalisatie regenen, die alle inspanningen voor het verbeteren van de gegevensbescherming, en cyberveerkracht in het bijzonder, dreigen te ondermijnen.
Harmonisatie van de beveiligingseisen als routekaart voor compliance op privacygebied
Richtlijnen voor gegevensbescherming zoals de AVG, CCPA en APPI stellen in feite dezelfde eisen aan cybersecurity. Denk aan het toepassen van “passende” mechanismen om bescherming te bieden die in “redelijke” mate in verhouding staat tot de risico’s. Jarenlang werd ervan uitgegaan dat deze eisen bedoeld waren om ervoor te zorgen dat organisaties het naleven van de richtlijnen voor gegevensbescherming niet als een eenmalige zaak beschouwden. In plaats daarvan zouden beschermingsmechanismen verbeteren naarmate het bedreigingslandschap en beveiligingstechnologieën evolueerden.
We gaan 2023 van start met meer duidelijkheid en consensus dan in de afgelopen jaren met betrekking tot datgene wat als “passend” of “redelijk” wordt gezien. Zo worden er onder andere gemeenschappelijke eisen gesteld aan technologieën en best practices voor cybersecurity in de “State of the Art”-richtlijnen van de European Union Agency for Cybersecurity (ENISA), de Amerikaanse Executive Order on Improving the Nation’s Cybersecurity en de laatste richtlijnen van het New York State Department of Financial Services. Voorbeelden hiervan zijn endpoint detection & response (EDPR), monitoring van het dark web, het beheer van logbestanden, threat hunting en identiteitsbescherming op basis van zero trust. Daarnaast lijkt het erop dat het patchen van bekende kwetsbaarheden is uitgegroeid tot een prioriteit op compliance-gebied na de waarschuwing van de Federal Trade Commission inzake Log4Shell. Deze brede erkenning van de noodzaak om gebruik te maken van bepaalde best practices voor cybersecurity biedt beveiligingsprofessionals meer zekerheid ten aanzien van de basisvereisten, zodat ze rechtszaken en sancties van toezichthouders kunnen voorkomen.
Verwarrende beleidsontwikkelingen kunnen best practices ondergraven
Momenteel worden er allerhande nieuwe voorstellen voor datalokalisatie ingediend. Maar in plaats van meer duidelijkheid te scheppen, dreigen ze de prioriteiten op het gebied van gegevensbescherming in de war te gooien. De laatste security-trends wijzen erop dat indringers een serieuze bedreiging voor de privacy blijven vormen. De beveiligingseisen en aanbevolen best practices zijn in de kern bedoeld om onbevoegde toegang tot data te voorkomen. Desondanks worden er op wereldwijde schaal beleidsvoorstellen ingediend die ook de bevoegde toegang tot data aan banden proberen te leggen. Dat zal problemen opleveren voor het beheer van netwerken die meerdere rechtsgebieden omspannen. Want het beperkt juist de mogelijkheden van security-teams om bescherming te bieden tegen onbevoegde toegang.
Hoewel de discussies over deze beleidsvoorstellen nog in volle gang zijn, is het duidelijk dat de eis van datalokalisatie in de praktijk juist ten koste zou gaan van de best practices voor cybersecurity waarover wereldwijde consensus bestaat. Want het toepassen daarvan vraagt om SaaS-platforms, wereldwijd verzamelde beveiligingsgegevens, bedrijfsbreed overzicht, centraal beheer van logbestanden, mogelijkheden voor het volgen van de verplaatsingen van cybercriminelen door netwerken en diensten die in 24/7 beveiliging voorzien. En al deze zaken gaan steevast gepaard met internationale gegevensstromen.
De ironie is dat cybercriminelen natuurlijk lak hebben aan regels. Security-professionals die het zonder wereldwijde bedreigingsinformatie en threat hunting-mogelijkheden moeten stellen hebben te maken met tegenstanders die data naar het buitenland proberen weg te sluizen en zich binnen een wereldwijd netwerk verplaatsen. Met andere woorden: de roep om datalokalisatie zou organisaties ertoe kunnen aanzetten om buitenlandse rechtszaken te vermijden op manieren die ten koste gaan van de naleving van nationale richtlijnen om de juiste technologieën te gebruiken om gegevens te beschermen tegen inbreuken. Gelukkig is er ook sprake van enkele positieve ontwikkelingen, zoals een akkoord van de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) over principes voor de toegang tot overheidsgegevens. Dit kan een hoop punten van zorg wegnemen bij voorstanders van datalokalisatie.
De beveiligingspraktijk geeft een nieuwe betekenis aan de huidige privacyvoorschriften
Nu security- en privacy-teams hun krachten bundelen om tegemoet te komen aan de eis van “redelijke” en “passende” gegevensbescherming die in verhouding staat tot de risico’s en beleidsmakers de verdiensten afwegen van voorstellen voor datalokalisatie, is het belangrijk om oog te hebben voor het feit dat moderne cyberbedreigingen sterk verschillen van traditionele bedreigingen. Pogingen tot afpersing onder dreiging van het lekken van data vormen momenteel een serieuze bedreiging voor de privacy en beveiliging. Bovendien zijn moderne cyberaanvallen tactisch gezien identiteitsgericht. Ze maken namelijk gebruik van bonafide aanmeldingsgegevens. Andere ontwikkelingen die onder meer werden gesignaleerd in het laatste Falcon OverWatch Threat Hunting Report:
- Malwareloze aanvallen waren goed voor 71 procent van alle detecties die door de CrowdStrike Threat Graph® werden geïndexeerd.
- Cybercriminelen gaan snel te werk. Gemiddeld doen zij er 1 uur en 24 minuten over om vanaf het eerste aanvalspunt het uiteindelijke doelwit te bereiken. Bij dertig procent van alle indringingspogingen begaven cybercriminelen zich binnen dertig minuten van de ene host naar de andere.
Cybercriminelen maken gebruik van steeds geavanceerdere aanvalstechnieken. Er staat daarmee enorm veel op het spel voor organisaties. Het is belangrijk dat zij nagaan of de beveiligingstechnologieën die zij binnen hun netwerk inzetten in de juiste verhouding tot de risico’s staan, voldoen aan de wettelijke voorschriften en gebruikmaken van de aanbevolen best practices. Kennis van deze realiteit kan dienen als input voor discussies over de vraag of bepaalde beleidsvoorstellen al dan niet bijdragen aan verbeterde beveiliging.
Het is belangrijk om tijdens Data Privacy Day te reflecteren over de vraag hoe integrale gegevensbescherming eruitziet en in te zien hoe belangrijk cybersecurity is voor de bescherming van privacy en mensenrechten. Datalekken vertegenwoordigen een serieuze bedreiging voor de privacy. Beleidsmakers en overheidsinstellingen kunnen de bescherming daarvan niet alleen verbeteren door het bevorderen van transparantie, maar ook door het aanmoedigen van het gebruik van best practices voor het voorkomen van datalekken. Dat zou prioriteit moeten krijgen in plaats van ogenschijnlijk arbitraire maatregelen zoals datalokalisatie. Het introduceren van regelgevingskaders die bijdragen aan verbeterde beveiliging en de mogelijkheid van internationale gegevensoverdracht waarborgen, is een belangrijke voorwaarde voor integrale gegevensbescherming.
Drew Bagley
vice president en counsel Privacy & Cyber Policy
CrowdStrike