Topman Art Coviello van securityleverancier RSA roept op tot een herziening van privacywetten. Hij stelt dat het delen van informatie noodzakelijk is voor een goede beveiliging. Coviello schetst in zijn openingstoespraak voor de RSA Conference Europe 2012 dat er een nieuw model voor cybersecurity nodig is, meldt de News Service van Webwereld-uitgever IDG.

'Als inlichtingendiensten'

Tot dat inzicht is Coviello gekomen na uitgebreide gesprekken met cio's, bestuursraden en andere topmensen, vertelt hij de aanwezigen op de conferentie van zijn bedrijf. Ondernemingen moeten over naar een securitysysteem dat gebaseerd is op inlichtingen, luidt zijn conclusie. Zo'n opzet omvat dan uiteenlopende zaken, waaronder bestaande ict-beveiliging maar ook bedrijfsstrategieën om risico's te beperken én een geavanceerder gebruik van data-analyse.

Juist dat laatste ondervindt hinder van privacywetten, legt Coviello uit. De topman van de EMC-dochteronderneming is niet tegen privacywetgeving, maar meent dat die in de huidige vorm te beperkend is. Data-analyse, ten gunste van beveiliging, valt volgens hem best te doen mét toch waarborgen voor privacy.

Grootschalige data-uitwisseling

De zogeheten intelligence-based security vereist het op grote schaal delen van informatie. Dat dient dan als tegenmiddel voor het oprukken van cyberaanvallers. Bedrijven moeten er tegenwoordig vanuit gaan dat hackers hun perimeter weten te doorbreken.

Om snel daarop te kunnen reageren, en op het eventuele informatieverlies door succesvolle aanvallen, moeten organisaties gegevens kunnen analyseren en ook uitwisselen. Dat kan dan intern zijn, maar ook met externe partijen zoals beveiligingsbedrijven, opsporingsinstanties en mogelijk andere bedrijven die ook slachtoffer (kunnen) zijn. Als een cio nu dergelijke maatregelen neemt, om waardevolle informatie te beschermen, loopt hij het risico om diverse wetten te schenden die de privacy van werknemers moeten beschermen.

Door schade en schande

Het feit dat er nu geen veelomvattend systeem bestaat om informatie snel te delen verergert het securityprobleem, argumenteert de RSA-topman. Daarnaast speelt er nog het volgens hem groeiende gebrek aan competente mensen in de security-industrie.

Ook moeten beveiligingsbudgetten anders worden verdeeld, stelt Coviello. "Organisaties hebben lange tijd zo'n 70 tot 80 procent van hun budgetten besteed aan preventie, 15 tot 20 procent aan monitoring en detectie, en slechts 5 tot 10 procent aan respons." Dat laatste moet flink omhoog, argumenteert de topman. RSA heeft zelf pijnlijke ervaring opgedaan met cyberaanvallen: het bedrijf is begin vorig jaar slachtoffer geworden van een diepgaande cyberinbraak.