Met Big Data komt ook Big Responsibility

door Hans Vandam |

KrebsOnSecurity is een blog van Brian Krebs, een voormalig journalist van The Washington Post. Hij geeft dagelijks een schat aan informatie over security en de wereld van cybercriminelen. Na het lezen van een post blijft de bezoeker steevast achter met een heel dubbel gevoel. Aan de ene kant de fascinatie die nu eenmaal schijnt te horen bij lezen over crime. Aan de andere kant is er ook een ongemakkelijk gevoel: als de criminelen zo slim en met zulke geavanceerde tools en methoden werken, hoe kunnen we hen dan tegenhouden? Of beter gezegd: hoe kan ik persoonlijk voorkomen dat ook ik een van hun slachtoffers wordt?

Tegelijkertijd valt op hoe georganiseerd die - zeg maar - georganiseerde misdaad eigenlijk is. Natuurlijk zijn er eenzame hackers die wegkwijnend op hun zolderkamer op het verkeerde pad zijn terecht gekomen. Daarentegen zien we ook hoe er hele netwerken van specialisten zijn die elkaar diensten leveren. De een steelt data, de andere is volledig gespecialiseerd in het schrijven van speciale scripts. Weer een ander is een soort makelaar in contacten, op een ander kunnen we altijd vertrouwen als het gaat om veelbelovende ‘zero day vulnerabilities’. Voor iedere klus een specialist zeg maar.

Waar het echter met name fout gaat is bij gewone en volstrekt eerlijke bedrijven. Brian Krebs schrijft bijvoorbeeld al een hele tijd over een situatie bij een bedrijf dat onder andere informatie verzamelt en verkoopt over de kredietwaardigheid van Amerikaanse consumenten. Dit bedrijf heeft enige tijd terug een overname gedaan, waardoor het ook een klant in huis kreeg dat cash betaalde voor de geleverde informatie. Een bedrijf dat cash betaalt? Inmiddels is duidelijk dat de overgenomen firma - ongetwijfeld geheel onbedoeld - gegevens over Amerikaanse consumenten verkocht aan een partij die deze data weer doorverkocht aan cybercriminelen. Dat kon gebeuren doordat de criminelen er kennelijk in waren geslaagd zich voor te doen als normale bedrijven.

Data is tegenwoordig het nieuwe zwarte goud. Sterker nog: op die zee aan data denken veel bedrijven hun toekomstige innovaties te kunnen baseren. Dus Iedereen wil data hebben, want iedere ondernemer weet dat daar veel geld mee te verdienen is. We verzamelen gegevens uit tal van bronnen, koppelen al die bestanden aan elkaar, doen daarop - liefst in realtime - analyses en verkopen of gebruiken de resultaten aan iedereen die bereid is daarvoor te betalen. Anders gezegd: de wereld van Big Data.

Maar met Big Data komt ook - zoals dat heet - Big Responsibility. Juist voor bedrijven die handelen in data en al helemaal als het gaat om persoonsgebonden gegevens. Dat vereist in deze tijd waarin al die gegevens online beschikbaar worden gesteld en bovendien online worden verzameld een heel stringent security-beleid. Dat beleid dient bovendien niet ‘alleen maar’ op technische maatregelen te zijn gebaseerd. Minstens zo belangrijk is een weldoordachte strategie rond risk management. Welke risico’s willen en mogen we als bedrijf lopen ten aanzien van bepaalde bedrijfsprocessen of typen data? Daarmee hebben we dan ook meteen een heel aardige indicatie te pakken van de investeringen die we bereid zijn om het optreden van deze risico’s te vermijden.