Tijdens het evenement Holland Strikes Back op 27 oktober 2015 sprak Michel van Eeten (cybersecurity onderzoeker aan de TU Delft) over het principe ‘De vervuiler betaalt’. Hiermee bedoelt hij dat degenen die een vervuiling (van welke soort dan ook) veroorzaken, financieel verantwoordelijk zouden moeten zijn voor de schade die dit met zich meebrengt. Zijn stelling was dat we ervoor moeten zorgen dat dit ook binnen de informatiebeveiliging gaat gelden.
Want wat blijkt uit zijn onderzoek naar de effecten van grote hacks? Ondanks dat de gehackte bedrijven negatief in het nieuws kwamen, was er nauwelijks invloed op het functioneren van deze organisaties. Er was geen aantoonbaar effect op klandizie, omzet of beurskoers. Zelfs bedrijven als Target en Hacking Team, die behoorlijke reputatieschade leken te lijden, opereren nog ‘gewoon’ als toen ze nog niet gehackt waren.
De gevolgen voor derden zijn daarentegen wel merkbaar: de gestolen data wordt gebruikt voor afpersing, leidt tot reputatieschade, werkt betalingsfraude in de hand en draagt bij aan identiteitsfraude en verlies van privacy.
Het probleem hierbij is dat ‘incentives’ niet deugen, de partij die moet beveiligen draagt de gevolgen niet wanneer het fout gaat. Dat leidt automatisch tot onderbeveiliging door deze bedrijven. Daardoor vinden er meer hacks dan nodig plaats en is de schade bij derden – de slachtoffers van die onderbeveiliging – groot.
Van Eeten gebruikt het principe van ‘De vervuiler betaalt’ om maatregelen voor te stellen die ervoor zorgen dat de schade terecht komt bij de veroorzaker. Hij onderscheidt daarbij een aantal verschillende vormen van aansprakelijkheid en vervolging: civielrechtelijke aansprakelijkheid, intermediaire aansprakelijkheid, bestuursrechtelijke vervolging, strafrechtelijke vervolging en een meldplicht. Ondertussen lijkt het belang van ‘de vervuiler betaalt’ ook elders aan te slaan: zo wordt bijvoorbeeld de EU-richtlijn PSD2 voor de financiële sector in de komende 1,5 jaar opgenomen in Nederlandse wetgeving. Daardoor zijn banken verplicht om slachtoffers van fraude binnen 24 uur schadeloos te stellen, tenzij ze kunnen aantonen dat het slachtoffer zelf verwijten gemaakt kan worden. De verwachting is dat deze civielrechtelijke aansprakelijkheid ervoor gaat zorgen dat banken nog beter hun best gaan doen om fraude te voorkomen.
Verder is binnen de Wet Bescherming Persoonsgegevens per 1 januari 2016 een meldplicht datalekken opgenomen. De uitwerking en handhaving daarvan zijn nog niet volledig duidelijk, maar er is wel een trend zichtbaar: de vervuiler betaalt. Partijen die data verzamelen en verwerken krijgen te maken met strengere regels, en als het fout gaat, met torenhoge boetes en imago- en reputatieschade. Dit zorgt er hopelijk voor dat er meer aandacht komt voor informatiebeveiliging, en dat organisaties ook meer aandacht krijgen voor het vergroten van de awareness binnen hun organisatie. Er kunnen immers al vele risico’s verkleind worden door personeel goed te instrueren over de omgang met persoonsgegevens. Daarnaast is het zaak altijd goed inzicht te hebben in bedreigingen voor uw IT-infrastructuur.