Cybersecurity en de waarde van uw dataset

Onze visie op innovatie en het risico-rendementsdenken

In onze visie gaan innovatie en risico-rendementsdenken hand in hand. Het operationaliseren van deze visie doen wij via drie perspectieven, namelijk Performance, Conformance en Socialformance. Het vertrekpunt is de invalshoek Performance. Organisaties bepalen bij het ontwikkelen van hun visie en strategie hoe innovatie bijdraagt aan hun strategische doelstellingen en het verbeteren van hun dienstverlening.

Vanuit de Conformance hoek moeten organisaties bij het innoveren rekening houden met en voldoen aan wet- en regelgeving, waarbij de complexiteit ligt in het feit dat innovaties vaak voorlopen op wet- en regelgeving. Daar ligt dus ook een rol voor de wetgevers en toezichthouders. Zij zullen een manier moeten bedenken om de wet- en regelgeving gelijke tred te laten houden met innovaties, zonder daarbij een beperking te zijn voor innoverende organisaties.

De derde en laatste invalshoek is socialformance. Vanuit deze hoek kijken we met een maatschappelijke bril naar innovaties, bijvoorbeeld via data ethiek en de ethische vraagstukken rondom data en kunstmatige intelligentie. Maatschappelijke normen moeten bij innovaties de boventoon voeren, niet de uitkomsten van een algoritme. Een voorbeeld hiervan is dat er door mensen normen geformuleerd worden bij het ontwikkelen van een kunstmatig intelligentie model (machine ethics [bron 4]). Immers, een systeem of model kan niet verantwoordelijk gehouden worden voor de uitkomsten. Er zijn bekende voorbeelden, waarbij er te veel op uitkomsten van een model gestuurd werd. Ook in Nederland.

Technologische ontwikkelingen op gebied van AI

Door de in hoog tempo groeiende technologische ontwikkelingen is het steeds makkelijker om grote hoeveelheden data, waaronder persoonsgegevens, op te slaan (datacenters), te verwerken (groei in rekenkracht) en te analyseren (kunstmatige intelligentie). Door de komst van Big Data, kunnen aan de hand van grote dataverzamelingen nieuwe inzichten worden verkregen over gebruikers van slimme apparaten, maar ook afnemers van diensten. Daardoor is het niet ondenkbaar dat aan de hand van deze verzamelingen profielen van gebruikers ontstaan met veel gevoelige gegevens.

Naast organisaties die data verzamelen voor het verhogen van gebruiksgemak of het in kaart brengen van hun klanten (Performance), zijn er ook organisaties waarvoor het opslaan van data over personen onderdeel van de dienstverlening is en zelfs noodzakelijk is om deze diensten te leveren, bijvoorbeeld administraties van banken, verzekeraars en pensioenfondsen.

Digital ID

Naast de huidige realiteit wordt er ook al veelvuldig nagedacht over nieuwe toepassingen op basis van Big data. Een interessant voorbeeld is het Digital ID. Met een digitaal bewijs of eID kunnen burgers bij overheden, banken en bedrijven hun identiteit kenbaar maken via een unieke identificatiecode, gekoppeld aan persoonsgegevens. Naam, geboortedatum, geslacht en de persoonlijke financiële situatie, maar ook biometrische gegevens afkomstig van gezichtsherkenningsystemen (informatie over grootte en onderlinge afstand van ogen, mond, neus en oren), irisscans (vorm, kleur, patroon en textuur van de ogen) en vingerafdrukken. Het digital ID kan worden ingezet voor vele doeleinden, bijvoorbeeld voor het aanvragen van een lening, het toetsen van kredietwaardigheid van een persoon en het solliciteren voor een baan. Een dergelijke digital ID durven wij op voorhand al een interessant doelwit voor cybercriminelen te noemen, omdat wij de waarde van deze dataset hoog inschatten.

U beseft zich wellicht door het lezen van dit stuk dat er een hoop interessante data beschikbaar is bij organisaties, waarmee zij het doelwit worden van cybercriminelen. Om de beheersing van cyberrisico’s gedegen te kunnen uitvoeren, is het ook van belang om kennis te nemen van de mogelijke werkwijze van cybercriminelen.

Methoden en motieven van cybercriminaliteit

Cybercriminelen kunnen op verschillende manieren toegang tot uw data of systemen verkrijgen. Inmiddels kennen we allemaal de termen Malware, Phishing en DoS of DDoS aanvallen, die regelmatig in het nieuws verschijnen. Deze methoden zijn er op gericht om geld te verdienen of data te stelen.

Maar in tijden van oorlog komen hele andere motieven voor digitale aanvallen naar voren, zoals het verstoren van organisaties en het verspreiden van desinformatie. In het huidige conflict tussen Rusland en Oekraïne wordt er veelvuldig gewaarschuwd voor een cyberoorlog. Russische hackers kunnen bijvoorbeeld belangrijke voorzieningen in Oekraïne verstoren, zoals de stroomvoorziening en ziekenhuizen [bron 5]. Dit doen zij aan de hand van wipermalware, met als doel harde schijven van computers te wissen en zo organisaties digitaal plat te leggen. Daarnaast wordt er gebruik gemaakt van defacement aanvallen, waarbij websites worden overgenomen om informatie van de tegenpartij te tonen.

Terug naar het eerder genoemde motief van het stelen van data. We zien dat er bij hacks vaak datasets buit gemaakt worden door criminelen. Deze datasets bevatten vaak gegevens over personen, zoals BSN, telefoonnummers, adressen of zelfs complete elektronische zorgdossiers. Met deze gegevens kunnen de cybercriminelen nog gerichter fraude plegen. Als gevolg hiervan worden er op het Dark Web actief gegevens verhandeld tegen een bepaalde prijs. Aan het begin van het artikel stelde wij de vraag wat dit cybercriminelen nou oplevert? Daar gaan we in de volgende paragraaf nader op in.

De waarde van datasets

Graag geven wij u onze visie bij de waarde van uw dataset, om aan te geven waarom uw organisatie interessant is voor cybercriminelen en daarmee het belang van een goede informatiebeveiliging te benadrukken. Dit doen wij aan de hand van enkele praktijkvoorbeelden. Een inschatting van de waarde van een dataset hebben wij uitgevoerd op basis van een logische causaliteit ten aanzien van deze praktijkvoorbeelden.

De waarde van datasets is afhankelijk van verschillende factoren, zoals:

• Het type gegevens in de dataset;
• Welke wijze van fraude met de dataset uit te voeren is;
• En of de gegevens “vers” zijn of dat deze al eerder gebruikt zijn bij frauduleuze handelingen.

Daarnaast zien wij in de praktijk dat er minstens twee waarden aan een dataset toegewezen kunnen worden, namelijk de criminele waarde en de claim waarde:

Criminele waarde – De criminele waarde is de waarde die voor een dataset betaald wordt op de zwarte markt of het Dark Web.

Claim waarde – De claim waarde is het bedrag dat als schadevergoeding of claim ingediend wordt bij de organisatie waarbij een datalek heeft plaatsgevonden.

Om een inschatting te maken van de criminele en claim waarde van een dataset hebben wij een boven en ondergrens voor de waarde bepaald op basis van twee praktijkvoorbeelden.

Praktijkvoorbeeld 1
Mogelijk kent u het recente voorbeeld dat de gegevens van miljoenen Nederlanders in de coronasystemen van de GGD werden verhandeld. Voor het opzoeken van BSN, mailadres, telefoonnummer en adresgegevens werd tussen de 30 en 50 euro gevraagd [bron 6] (de zogenaamde criminele waarde). In reactie hierop sleept een stichting het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) voor de rechter voor een schadevergoeding voor de gedupeerde personen in deze zaak. Voor de personen voor wie vastgesteld is dat de gegevens gestolen zijn, wordt een schadevergoeding geëist van 1.500 euro (de claim waarde). De oplettende lezer heeft dan snel het rekensommetje gemaakt dat de claim waarde (dus de schadevergoeding die een organisatie moet betalen) in deze zaak ongeveer 30x hoger ligt dan de criminele waarde (de waarde op de zwarte markt).

Praktijkvoorbeeld 2
Het Department of Health and Human Services (HHS) in de Verenigde Staten heeft onderzoek gedaan naar het illegaal verwerven en verhandelen van crimineel verkregen elektronische zorgdossiers op het Dark Web [bron 7]. Volgens de onderzoekers is een zorgdossier één van de meest populaire type data op het Dark Web. Criminelen gebruiken deze zorgdossiers om (niet-limitatief)via identiteitsfraude op illegale wijze medicijnen, bijvoorbeeld opiaten, op recept in handen te krijgen en deze te verhandelen. Dergelijke zorgdossiers zouden op het Dark Web tussen de 250 en 1.000 dollar opbrengen.

Op basis van deze casussen hebben wij op basis van een logische causaliteit een inschatting gemaakt van de waarde van een dataset (1.000 records) voor verschillende sectoren, inclusief een toelichting op het type fraude dat met de dataset kan worden uitgevoerd. We nemen hierbij de voorbeelden van de GGD en het Department of HHS als onder- en bovengrenzen, namelijk 50 euro voor een basisgegeven en 1.000 euro (voor het gemak in euro) voor een compleet elektronisch zorgdossier. Op basis van deze analyse kunt u zich, afhankelijk van de sector waarin u werkzaam bent, een beeld schetsen bij de waarde van de dataset van uw organisatie.

Basisgegevens – Dit betreft data zoals werden verkocht vanuit de GGD-systemen, zoals BSN, e-mail, adressen en telefoonnummers. Deze dataset zien wij als basisgegevens voor een prijs van 50 euro per datapunt. Een datapunt bestaat uit een BSN, een e-mailadres, een adres en een telefoonnummer. Voor een dataset van 1.000 datapunten schatten wij de criminele waarde op 50.000 euro. Dit betekent een claim waarde van 1.500.000 euro, gebaseerd op de eerder toegelichte factor 30. Dit type data is al geschikt om identiteitsfraude mee uit te voeren. Veel organisaties hebben dit type data (los van BSN) opgeslagen in systemen van haar deelnemers, leden of patiënten.

+ financiële gegevens ­– Gaan we een stapje dieper, dan nemen we een dataset met basisgegevens en financiële gegevens, zoals creditcard gegevens en bankrekeningnummers. Naast identiteitsfraude kan hier ook financiële fraude mee gepleegd worden, zoals creditcard fraude. Door de wat uitgebreidere mogelijkheden voor fraude schatten wij de criminele waarde van dit type datasets op 250.000 euro (1.000 datapunten), met een claim waarde van 7.500.000 euro. Voornamelijk in de financiële sector, zoals pensioenfondsen, verzekeraars en banken zijn deze gegevens voorhanden. Daarnaast bijvoorbeeld ook bij administratiekantoren die loonadministraties bijhouden.

+ lichte medische gegevens – Zoals reeds vermeld is zorgdata populair. Niet alle instellingen hebben complete elektronische zorgdossiers beschikbaar, maar beschikken zeker wel over medische informatie van personen. Denk hierbij aan zorgverzekeraars en pensioenfondsen. Pensioenfondsen hebben naast de basisgegevens en financiële gegevens ook data over de medische situatie van personen, zoals arbeidsongeschiktheid en mogelijke uitkeringen vanuit overheidsinstanties. Op basis van deze informatie kan er individuele afpersing plaatsvinden of criminelen doen zich voor als een medewerker van een instantie waar de persoon een uitkering van krijgt. Wij schatten de criminele waarde van een dergelijke dataset op 500.000 euro. De claim waarde is in dit geval 15.000.000 euro.

+ zware medische gegevens – De meest uitgebreide data in onze analyse zijn de elektronische zorgdossiers, zoals deze beschikbaar zijn bij de meeste zorginstellingen. Zoals eerder vermeld kunnen deze dossiers voor circa 1.000 euro per stuk worden verkocht, wat de criminele waarde van onze voorbeeld dataset op ruim 1.000.000 euro brengt. De potentiële claim bij een lek of diefstal van deze dataset kan 30.000.000 euro bedragen.

Wij merken (waarschijnlijk ten overvloede) op dat het verliezen van gegevens uit elke laag uit bovenstaand voorbeeld voor uw organisatie tot serieuze reputatierisico’s kan leiden, omdat u als organisatie een maatschappelijke verantwoordelijkheid heeft voor de informatiebeveiliging van uw gegevens en die van uw deelnemers, patiënten, leden of klanten (socialformance).

Laten we nog eens terugdenken aan het eerdergenoemde voorbeeld van het Digital ID. De gegevens in dit Digital ID zijn mogelijk nog uitgebreider dan in een elektronisch zorgdossier. Nemen we ons voorbeeld, dan kan de potentiële waarden voor 1.000 personen boven de 1.000.000 euro liggen, waarmee we ons moeten realiseren dat dergelijke innovaties ook cybercriminaliteit met zich meebrengen.

Wij benadrukken dat de genoemde cijfers gebaseerd zijn op een logische causaliteit. Echter, of we nu een factor 30, een factor 10 of een factor 50 hanteren tussen criminele waarde en claim waarde: het gaat uiteindelijk om grote bedragen die een significante impact op uw organisatie kunnen hebben.

Beheersing van de cyberrisico’s: de CISO
Uit de jaarlijkse publicaties van de Autoriteit Persoonsgegevens (AP) komt naar voren dat de gezondheidssector samen met de financiële dienstverlening en het openbaar bestuur de eerste en tweede plek innemen van organisaties waar de meeste datalekken plaatsvinden. Als we Nederland vergelijken met andere Europese landen dan constateert de AP dat wij in de top 3 staan waar de meeste datalekken worden gemeld. Nederland is ten opzichte van andere landen sterk gedigitaliseerd en hiermee loopt het dan ook meer risico op grote en/of ernstige datalekken. Ten opzichte van het jaar ervoor constateert de AP een stijging van 30 procent in de datalekken door hacking, malware en phishing, waarbij het bij 41,5 procent ging om datalekken waar mogelijk meer dan 500 personen werden geraakt. Veel van de datelekken die plaatsvinden hadden voorkomen kunnen worden door een extra beveiligingsmaatregel door te voeren. Het nemen van passen en technische en organisatorische maatregelen is een verplichte eis om te voldoen aan de regels van de AVG. [bron 8]artikel 5, eerste lid, onder f, artikel 24 en artikel 32 AVG Om die reden zien wij vanuit de toezichthouders dat extra aandacht wordt gevraagd voor essentiële vraagstukken als cybersecurity en privacy waarop zij nog strenger zullen toezien op de waarborging van een juist afgestemde beveiligingsniveau.[bron 9]Rapportage datalekken: Overzicht feiten en cijfers, Autoriteit Persoonsgegevens 2020, Rapportage Z-CERT Cybersecurity dreigingsbeeld 2021 Zorg. Daarnaast heeft DNB ook in haar jaarlijkse onderzoeken naar Cyber een aantal constateringen gedaan. Hieruit volgen drie belangrijkste bevindingen, namelijk dat er dringend aandacht nodig is voor het versterken van de weerbaarheid tegen cyberaanvallen, het verhogen van de effectiviteit van de risicomanagementcyclus gericht op informatiebeveiliging en het beheersen van informatiebeveiliging in de gehele uitbestedingsketen.[bron 10]Resultaat jaarlijkse onderzoeken naar Cyber gepubliceerd in IB monitor 2021.

Allereerst moeten organisaties kunnen steunen op een sterk fundament van informatiebeveiliging. Het is van belang om als organisatie een risicohouding voor informatiebeveiliging te formuleren en daarbij passende beheersingsmaatregelen in te richten, die ook gericht zijn op de toenemende mate van cyberdreigingen. Daarnaast is het van belang om bewustzijn rondom cyberrisico’s te creëren binnen de organisatie, bij bestuurders, medewerkers en externe gebruikers van de systemen.

We zien vanuit Europese regelgeving [bron 11]O.a. EIOPA Richtsnoeren betreffende beveiliging en governance van informatie- en Communicatietechnologie, Digital Operational Resilience Act (DORA) en The Network and Information Security (NIS) Directive, the first piece of EU-wide legislation on cybersecurity. dat er extra richtlijnen en regels zijn geformuleerd om informatiebeveiliging en cyberrisico’s zoveel mogelijk het hoofd te bieden, maar ook verwachten dat organisaties daarin hun verantwoordelijkheden nemen en goed op de hoogte blijven van de snel veranderde technologische ontwikkelingen op zowel het gebied van cyberrisk als informatiebeveiliging.

Om overzicht te behouden op de beheersing van informatiebeveiliging en cyberrisico’s waarbij rekening gehouden wordt met wet- en regelgeving (conformance), kan een organisatie een CISO (Chief Information Security Officer) functie inrichten. Meestal wordt er door organisaties al veel gedaan op het gebied van informatiebeveiliging, maar het beleggen van alle taken bij een functie heeft als voordeel dat de CISO-functie een informatie brede kijk op informatiebeveiliging krijgt, heeft en behoudt. De CISO heeft een centrale rol bij het beheren van informatiebeveiliging en alle beheersmaatregelen hieromheen. Door de in rap tempo technologische veranderingen op het gebied van ICT is het voordeel en belang bij het beleggen van deze taken bij een medewerker, zoals de CISO, dat de CISO zich volledig kan richten op informatiebeveiliging en constant in ontwikkeling blijft en kennis op doet van nieuwe ontwikkelingen. De CISO kan vooraf meedenken bij de invoering van nieuwe systemen en ondersteunt het management bij het opsporen en, tot aanvaardbare risico’s, terugbrengen van kwetsbaarheden binnen de organisatie.

Voor de positie van de CISO is het belangrijk om de onafhankelijkheid ten opzichte van functies in de organisatorische lijn te waarborgen. Het is van belang dat de CISO snel en direct kan schakelen met het management om voldoende bestuurlijk gewicht te kunnen geven voor het treffen en handhaven van voldoende beveiligingsmaatregelen.

De functie kan bij een pensioenfonds worden ingevuld door een bestuurslid of iemand van het bestuursbureau. Bij een zorginstelling kan dit iemand zijn in het managementteam of een managementassistent. Wij merken op dat een CISO fundamenteel anders is dan een FG: een FG ziet erop toe dat de AVG-regelgeving wordt nageleefd. De CISO en FG kunnen naast elkaar bestaan, zodat de FG de controlerende onafhankelijke rol behoudt en de CISO inhoudelijke zaken kan oppakken. Wij raden aan de CISO niet te plaatsen in de ICT-directie, omdat daar de nadruk meer op de technische aspecten van informatiebeveiliging komt te liggen, terwijl juist ook van belang is om oog te hebben voor de beleidsmatige kant. Een goede samenhang tussen de technische en organisatorische kant is essentieel voor de effectiviteit van beveiligingsmaatregelen.

Het belang van het beleggen van de verantwoordelijkheid en het overzicht van informatiebeveiliging bij de CISO illustreren wij graag met enkele laatste voorbeelden. Enkele jaren geleden werd een Nederlands ziekenhuis een boete opgelegd door de Autoriteit Persoonsgegevens na een datalek. Het bedrag van de boete was gelijk aan ca. 25% van het jaarresultaat. Daarnaast zou een boete of schadeclaim van 15.000.000 euro (geschatte claim waarde dataset pensioenfonds) voor menig pensioenfonds een aanzienlijke impact hebben op de dekkingsgraad. Naast de boete of schadeclaim blijkt uit onderzoek dat los van de betaling van ransomware ook herstelkosten een aanzienlijk impact kunnen hebben. Zo blijkt uit het Rapport dreigingsbeeld 2021 van Z-cert dat Nederlandse organisaties gemiddeld 2.3 miljoen euro kwijt waren aan operationele losses. [bron 12]Rapportage Z-CERT Cybersecurity dreigingsbeeld 2021 Zorg. Wij illustreren hiermee dat boetes of schadeclaims als gevolg van onvoldoende beheersing op informatiebeveiliging of cybercriminaliteit een significante impact kunnen hebben op de balans van uw organisatie. Beleg daarom de verantwoordelijkheid voor de beheersing van informatiebeveiliging bij de CISO-functie of een sleutelfunctiehouder Compliance en start vandaag nog met het (verder) mitigeren van uw cyberrisico’s.

Samenvattend
In dit artikel hebben wij u een beter beeld trachten te geven waarom uw data potentieel interessant is voor cybercriminelen. Daarnaast zijn wij nader ingegaan op de criminele waarde en de claim waarde van een dataset. Daarnaast hebben wij enkele voorbeelden en handvaten gegeven over hoe u uw informatiebeveiliging kunt inrichten om de kans zo klein mogelijk te houden dat uw datasets in verkeerde handen vallen. Een concrete suggestie daarbij is om de beheersing op cyberrisico’s te beleggen bij een Sleutelfunctiehouder Compliance of een CISO functie.

Wilt u meer weten over dit onderwerp, neem dan contact op met Loubna Haddad en Aron Jeurninck.