NMBSgate: Operatie doofpot mislukt

We gaan nog even door op wat ondertussen #NMBSgate en #sncbgate genoemd wordt. Het is duidelijk dat de NMBS mislukt is in haar pogingen om het datalek van anderhalf miljoen klantgegevens in de doofpot te stoppen. Minimaliseren kon al niet meer, toen duidelijk werd dat het bestand wel degelijk bestaat uit 1.460.735 entries (hier en daar dubbels meegerekend). De woordvoerder probeert nog wel een perfide spelletje te spelen door op de boodschappers te blijven schieten, maar ook dat zal snel een doodlopend straatje blijken. (Merk tussen haakjes ook de ironie op in de reactie van de NMBS, die erop wijst “dat elke verspreiding van privégegevens illegaal is.” – Is dat niet net wat de NMBS met haar NMBSgate zelf gedaan heeft?)

Foute communicatie

Feit is dat de NMBS vanaf het begin een compleet foute communicatiestrategie gevolgd heeft. Was het dan echt zo moeilijk om toe te geven dat er een fout gemaakt is? Om verontschuldigingen aan te bieden (en niet op een onbenullige manier)? Om gedupeerden op de hoogte te brengen? En vervolgens duidelijk te maken welke stappen er ondernomen worden om dit soort datalekken in de toekomst te voorkomen?

Duidelijke wetgeving, strikte opvolging en stevige sancties

Het datalek bij de NMBS en de communicatie daarrond (en neem er ook maar de datalekken waaraan minder ruchtbaarheid wordt gegeven bij) tonen nog maar eens het belang aan van een duidelijke wetgeving en een strikte controle op databanken. Hoog tijd dat daar werk van gemaakt wordt. Voor inspiratie kunnen de heren en dames politici onder meer terecht bij Bits of Freedom dat een tijdje geleden een wetsvoorstel (hier in pdf) uitwerkte dat databankbeheerders verplicht om datalekken direct te melden. In één zin samengevat: zowel vastgestelde als vermoede datalekken zouden onmiddellijk gemeld moeten worden aan de Privacycommissie, aan (potentiële) slachtoffers en aan het brede publiek. Gekoppeld aan een stevige sanctie kan een dergelijke meldplicht op zijn minst de waakzaamheid van bedrijven en de gevoeligheid van het publiek voor de beveiliging van persoonsgegevens verhogen.

Niet het eerste datalek bij de NMBS!

Overigens blijkt de NMBS op dit gebied niet aan haar eerste flater toe. Op de blog van belsec is te lezen dat de NMBS-SNCB al in 2011 problemen had met het laten rondslingeren van data. Daar werd toen geen ruchtbaarheid aan gegeven. Dat was wellicht beter wel gebeurd, zodat de NMBS daar (wellicht, hopelijk) lessen uit had kunnen trekken. Hoewel belsec er tegelijk op wijst dat dit betekent dat dit geen ‘accident de parcours’ is. “Something is very wrong with the infrastracture and the security policies and since 2011 things haven’t changed for the better cumulating in this massive dataleak. It was an accident waiting to happen.” Wat zou betekenen dat niet alleen de NMBS, maar ook de CERT haar job niet naar behoren uitgevoerd heeft en het hele verhaal des te pijnlijker maakt.

Nog wat extra lectuur:

6 reacties
  1. len 5 jaar ago
    • Wim 5 jaar ago
    • Marnix 5 jaar ago
    • Frank Dhondt 5 jaar ago
  2. Bram 5 jaar ago
    • Andrea Bis 5 jaar ago