Datalek: V&D verzendt bestelgegevens 5.900 klanten

Inbraak op Epsilon illustreert probleem verzameldrift

Interessante Kamerstukken – week 13
DOSSIER / Versleuteling

We waarschuwen vaak voor de massale verzameldrift van bedrijven en overheden. Waarom? Onder meer omdat massale databanken met privé-gegevens een aantrekkelijk doelwit zijn voor criminelen. Nu denk je misschien: zo’n vaart zal het niet lopen. Helaas wel, zoals de inbraak op de databank van Amerikaanse e-mailer Epsilon illustreert.

Epsilon stuurt op verzoek van grote Amerikaanse bedrijven, zoals JP Morgan Chase, Capital One en CitiGroup, e-mails naar hun klanten. Eind maart is ingebroken op de servers van Epsilon. De namen en e-mailadressen van miljoenen klanten is buitgemaakt. Hierdoor verwachten experts meer spam en meer phishing-aanvallen (nep-emails waarin wordt gevraagd om wachtwoorden weg te geven).

Het is heel moeilijk om informatiesystemen goed te beveiligen, zeker als ze op het internet zijn aangesloten. En als een databank met e-mailadressen al interessant voor criminelen blijkt te zijn: moet je eens voorstellen hoeveel uitgebreidere profielen waard zijn, of medische gegevens. Helaas zien we bijna wekelijks dat het misgaat, zoals blijkt uit ons Zwartboek Datalekken. Ook daarom moet bedrijfsleven en overheid terughoudend zijn met het opslaan van onze gegevens.

  1. Nick

    De ernst is nog niet bekend, maar inbraak bij de RSA is ook noteworthy vrees ik.

  2. CtrlSPATIE

    Het duurt nog even voordat overheden de conclusie gaan trekken dat de toenemende omvang van systemen het risico niet vergroot, maar de kans op aanvallen en het effect van de gevolgen wel.

  3. cisca1953

    Met mijn 21 jaar IT-ervaring durf ik te stellen dat geen enkele geautomatiseerde gegevensverzameling voor 100% veilig is. Is het niet door hacking, dan is het wel door fraude of malversatie van binnenuit. Elke database die bepaalde met andere databases gemeenschappelijke unieke sleutels bevat levert bij koppeling weer een schat aan andere gegevens op (BSN b.v.). Hartstikke handig, hartstikke leuk, hartstikke nuttig maar ook hartstikke gevaarlijk

  4. Geen

    Omdat geen enkele gegevensverzameling voor 100% veilig is moeten we denk ik zorgen dat vooral de overheid minder bewaard wil hebben. Dan kan er ook minder mis gaan.
    Verder moeten er wetten komen dat een overheid strafrechtelijk vervolgd kan worden, het pikmeer II arrest moet gerepareerd worden.
    Bij een bedrijf kan ik meestal nog naar een ander, de overheid is een monopolist.

  5. Ben

    Me dunkt dat het tijd wordt dat bedrijven en overheden gaan beseffen dat databases die op Internet aangesloten zijn erg kwetsbaar zijn, ongeacht hoe goed je ze ook beveiligd (oké, er zijn sommige databases die met de huidige generaties computers nog niet te kraken zijn).
    Maar wat me het beste lijkt, is ALS je de gegevens wilt opslaan, zet ze op een server neer die niet verbonden is met Internet! Natuurlijk is het wat omslachtiger, maar je kan altijd een intranet maken (waarbij nog wel met de gegevens gewerkt kan worden) en een extranet, dat gewoon niet bij de gegevens kan.
    Ik ben geen ICTer, dus ik weet niet of er een veilige manier is om toch nog een switch er tussen te zetten waarmee toch gegevens door het extranet opgevraagd kunnen worden zonder dat het kwetsbaar wordt?…

  6. tifkap

    @Ben: Het probleem met een ‘airgap’ is dat het ook niet mogelijk is om de data te updaten, of op te vragen vanuit het internet. Je kan data ook in een kluis doen, en deze dumpen op een geheime locatie in de Adriane trog, maar het word dan wel erg lastig om nog iets met de data te doen.

    BTW: Ik denk dat je encryptie en databases door elkaar haalt. Er bestaat niet zoiets als een onkraakbare database. Er bestaat wel zoiets als encryptie die (voorlopig,theoretisch) niet te kraken is (mits er geen fouten gemaakt worden in de implemenatie natuurlijk).

  7. tifkap

    Security experts wisten het allang, maar het is nu zelfs voor het grote publiek wel duidelijk dat elk systeem gehacked kan worden, en dat het slechts een kwestie van tijd is voordat dit ooit gebeurt. De focus hoort daarom te liggen op het verminderen van de impact (door zo min mogelijk data te verzamelen, en systemen decentraal op te zetten), en het zo onaantrekkelijk mogelijk te maken om een hack te doen (door het verhandelen van persoonlijke informatie straftbaar te stellen, en te zorgen dat bijv. niet alle informatie gekoppeld is aan BSN’s).

    Als namelijk zelfs beveiligings bedrijven gehacked worden (Kaspersky, Symantec, Trend Micro, F-Secure, HBGary, RSA, Zelfs Comodo uitgifte certificaten ging hard onderuit. ), en organisaties als Google en zelfs de bouwers van de populairste weblogsoftware WordPress last heeft van SQL-injectie-attacks, dan is het toch wel duidelijk dat vroeg of laat elke organisatie een keer voor de bijl gaat.

    De meeste organisaties kiezen er alleen voor om niet hardop te zeggen dat ze gehacked zijn, aangezien dit maar onrust zou kunnen veroorzaken onder de gebruikers. Daarom is een meldplicht datalekken voor *elke* organisatie die werkt met andermans data (oa. persoonsgegevens) een goede zaak.

Laat een reactie achter op Ben Reactie annuleren

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.