Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Media Services om cookies te gebruiken. verder gaan
 

Hoe de GDPR Europeanen beschermt tegen een Equifax-fiasco

Michaël Aussems

 
[Analyse] Gedetailleerde persoonsgegevens van meer dan 100 miljoen Amerikanen zijn in handen van hackers na een lek bij kredietrapportbedrijf Equifax. De hack toont het belang van de GDPR-wetgeving bij ons aan.

 

143 miljoen Amerikanen zien hun volledige naam, geboortedatum, socialezekerheidsnummer, thuisadres en gegevens over hun rijbewijs in handen vallen van cybercriminelen. De hackers stalen naast bovenstaande gegevens ook nog eens 209.000 kredietkaartnummers. Ze bemachtigden de informatie door binnen te breken bij Equifax. Dat bedrijf houdt kredietkaartscores bij en bezit zo gegevens van het gros van de Amerikanen.

 

De criminelen verschaften zich in mei toegang tot de servers van Equifax via een lek in de website van het bedrijf. Pas op 29 juli werd de inbraak ontdekt, en trof het bedrijf maatregelen.

 

Historisch hack

De hack is zeker niet de grootste ooit. Hackers maakten de afgelopen jaren meer accountgegevens buit bij onder andere Yahoo en eBay. Toch kan je deze inbraak gerust als één van de meest ernstige, zo niet de ernstigste hack uit de recente geschiedenis beschouwen. De gestolen informatie is immers exceptioneel gevoelig. Bovendien werd ongeveer 44 procent van de populatie van de VS er door getroffen. Wanneer je kinderen, die logischerwijze geen kredietkaart hebben, buiten beschouwing laat, loopt de procentuele impact van de inbraak nog op. Een kleine rekensom leert ons dat 57,4 procent van de volwassen Amerikaanse populatie zijn gegevens op straat zag belanden.

 

 

Het Amerikaanse bedrijf wachtte maar liefst vijf weken alvorens het communiceerde over het lek. In die periode verkochten drie hooggeplaatste werknemers van Equifax, waaronder de CFO, 1,8 miljoen dollar aan aandelen. Officieel waren ze op het moment van de verkoop niet op de hoogte van het lek, maar die uitleg suggereert in het beste geval een slecht management.

 

GDPR-eisen

De erbarmelijk slechte en trage communicatie van het bedrijf illustreert het nut van de Europese GDPR-wetgeving, die volgend jaar van kracht gaat. Hoe Equifax deze situatie heeft aangepakt, is binnenkort illegaal in Europa. De GDPR zet transparantie centraal als het op persoonsgegevens aankomt, en vereist een snelle communicatie van zowel de getroffenen als de bevoegde instanties wanneer er een beveiligingsprobleem ontdekt wordt. Zoiets zou op z’n minst de verdachte aandelenverkoop van de CFO onmogelijk maken.

 

 

Bovendien stelt de GDPR-regelgeving bedrijven die persoonsdata hanteren verantwoordelijk voor de bescherming ervan. Het gaat hier niet noodzakelijk om een resultaatsverplichting, wel om een inspanningsverplichting. Wie met persoonsgegevens omgaat, moet kunnen aantonen dat hij de nodige voorzorgsmaatregelen heeft genomen.

 

Onprofessionele afhandeling

Hoewel de beschikbare informatie schaars is, wijst alles erop dat Equifax het eerder laks neemt op het vlak van cybersecurity. Een website die het bedrijf uit de grond stampte om getroffen klanten verder te helpen, is gebaseerd op een standaardversie van WordPress die bijlange niet veilig genoeg is om gevoelige gegevens mee op te vragen, wat Equifax wel doet. Verder staat het domein niet op naam van Equifax, wat bij Cisco’s DNS-dienst Open-DNS phishingalarmen deed afgaan.

 

 

Bovendien toonde de hoofdwebsite van het bedrijf vlak na de bekendmaking van het lek allerhande debug-codes, wat het alleen maar handiger maakt voor hackers om opnieuw binnen te breken. De hele situatie lijkt een vorm van incompetentie aan te tonen, waardoor het een goede zaak is dat de GDPR van je verwacht dat je de nodige technische kunde in huis haalt om gevoelige data te beschermen.

 

Mindset

De GDPR zal hackers niet tegenhouden, maar de wetgeving heeft alles aan boord om de mindset van bedrijven te veranderen. De manier waarop Equifax het hack in de VS afhandelt, is een fiasco. Trage communicatie, vermoedens van handel met voorkennis, een informatiewebsite die op een phishingsite lijkt en onprofessioneel management van de hoofdwebsite zijn allemaal zaken waarvoor een Europees bedrijf binnenkort geen excuus meer heeft. Bovendien moeten Amerikaanse bedrijven die Europese gegevens hanteren, ook de GDPR naleven. In casu maakten hackers via Equifax gegevens van Britten buit. Als het VK nog bij de EU hoort wanneer de GDPR in werking treedt, wacht Equifax een flinke boete wanneer het op dezelfde manier zou handelen.

 

Het hack bij Equifax treft ons niet, maar het illustreert heel mooi waarom de GDPR-wetgeving een goede zaak belooft te zijn voor Europa. Verder kan iedereen de historie aanzien als een prachtig voorbeeld van hoe je niet moet omgaan met een pijnlijk datalek.

 

Zo ga je niet om met een lekke website: een pijnlijk verhaal

 

 

Reacties

comments powered by Disqus
 

RECENT NIEUWS