In sommige gevallen zorgen dergelijke wetten er namelijk voor dat het lastiger is om forensisch onderzoek te doen. Vaak is de wetgeving niet zo strikt dat dit niet mogelijk is, maar zijn bedrijven bang een actie te ondernemen die mogelijk hoge boetes oplevert.

"De boete voor het overtreden van GDPR is zo enorm dat het leidt tot deze onbedoelde effecten en tegelijkertijd is het dreigingsbeeld minder compleet vanwege het verlies van Whois-gegevens", zegt Caleb Barlow, beveiligingschef bij IBM Security. "Het aanvalsoppervlak is flink vergroot vanwege GDPR - niet een beetje, maar met een vergrotingsfactor."

Barlow, die voorstander is van privacybeheer, ziet gevallen waarin de reactiesnelheid van IT-beveiliging op een aanval afneemt, omdat de beveiligers niet bij de benodigde gegevens kunnen vanwege privacyzorgen. Diezelfde zorgen geven "aanvallers een plek om te schuilen en ermee weg te komen, want zij hebben óók privé-informatie."

"Dit kan leiden tot letterlijk de grootste privacylekken in de geschiedenis", voorspelt de IBM-chef. In sommige gevallen hebben bedrijven overtrokken gereageerd op hoe security kan reageren op incidenten. Want in de wetgeving (PDF) staat letterlijk dat beveiligingsteams gevrijwaard zijn van de regelingen als het gaat om het uitvoeren van hun taak:

De verwerking van persoonsgegevens voor zover die strikt noodzakelijk en evenredig is met het oog op netwerken informatiebeveiliging, d.w.z. dat een netwerk of informatiesysteem op een bepaald vertrouwelijkheidsniveau bestand is tegen incidentele gebeurtenissen of onrechtmatige of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of doorgegeven persoonsgegevens in het gedrang brengen, en de beveiliging van de daarmee verband houdende diensten die door deze netwerken en systemen worden geboden of via deze toegankelijk zijn, door overheidsinstanties, computercrisisteams (computer emergency response teams), computercalamiteitenteams (computer security incident response teams), aanbieders van elektronische communicatienetwerken en -diensten en aanbieders van beveiligingstechnologie en -diensten, vormt een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie. Zo kan er bijvoorbeeld sprake zijn van het verhinderen van ongeoorloofde toegang tot elektronische-communicatienetwerken en van verspreiding van kwaadaardige codes, alsook van het stoppen van „denial of service"- aanvallen en van schade aan computers en elektronische communicatiesystemen.

Wat volgt is een aantal praktijkvoorbeelden van onbedoelde negatieve consequenties die beveiligingsteams hebben als gevolg van AVG-regels en andere privacyreglementen.

1. Aanvallers krijgen meer persoonlijke gegevens door inzagerecht

Geen van de privacywetten zorgt ervoor dat aanvallers individuele accounts niet meer te pakken kunnen krijgen. De informatie die ze daarvoor nodig hebben is vrij simpel beschikbaar. De meeste privacywetten, waaronder de AVG, geven consumenten het recht om de persoonlijke gegevens die een organisatie over ze heeft op te vragen.

Dat is fantastisch, zolang de persoon die het opvraagt ook maar daadwerkelijk de persoon is om wie het gaat. Aanvallers kunnen een hoop voor hun doeleinden zinvolle gegevens opvragen middels frauduleuze verzoeken om data en kunnen zo meer schade aanrichten.

"In het oude scenario kon een aanvaller een account bemachtigen van een winkel waar ik iets had gekocht", vertelt Barlow, "maar het probleem nu is dat winkels allerlei informatie over je kopen en verzamelen. Als je eenmaal dat account hebt, kun je gekoppelde gegevens opvragen, wat je dus de mogelijkheid om lateraal te bewegen naar andere accounts. De aanvaller heeft zo meer persoonsgegevens dan de gehackte persoon ooit aan de winkel heeft gegeven."

2. Verdwijnen van Whois-gegevens maakt simpel sluiten van malafide domeinen verleden tijd

Veel domeinregistrars verwijderen persoonlijke gegevens uit de Whois-database om de AVG niet te schenden. Dat is niet eens beperkt tot EU-domeinen, maar het hele web en die gegevens worden gebruikt door beveiligingsonderzoekers die domeinen proberen te vinden die phishen, ransomware verspreiden en andere aanvallen uitvoeren. Ja, criminelen gebruiken nepgegevens, maar ook die nepgegevens verbindt slechteriken aan andere malafide domeinen zodat criminelen effectiever aangepakt kunnen worden.

"Vroeger gebruikte je een combinatie van Whois-data en andere tools om te bepalen wat de oorsprong was van een malafide website", zegt Barlow. Nepdata maken uiteraard direct duidelijk dat je te maken hebt met een slechterik, voegt hij daaraan toe. Op dat moment zie je dat de enige 'echte' informatie een e-mailadres en telefoonnummer is. "Ze gebruiken dan een burnertoestel en gratis e-maildienst", legt hij uit. "Je ziet dat vrijwel direct en vaak kun je dat geautomatiseerd doen. Je kunt bijvoorbeeld zien of de entiteit meerdere domeinen heeft geregistreerd en dan zie je opeens 1000 malafide domeinen.

"De slechteriken zijn lui en gaan geen nieuw wegwerpnummer gebruiken voor elk domein dat ze registreren. Ze zullen hetzelfde telefoonnummer gebruiken voor duizenden zo niet tienduizenden malafide url's", zegt de IBM-securitychef. "Of ik kan naar een e-mailadres kijken en zien dat er nog eens 5000 domeinen mee geassocieerd zijn." Een indicator van malafide gebruik, zelfs als het een nepgegeven is, kan leiden tot het blokkeren van duizenden verdachte domeinen zonder dat je ze allemaal hoeft door te nemen. "Dat kan direct gebeuren, zodat mensen meteen zijn beschermd. Maar dat proces is nu niet meer mogelijk."

Met de AVG hebben registrars moeten kiezen tussen het volgen van ICANN-rules wat betreft het registreren van domeinen en het zo klein mogelijk maken van het risico op een boete van de Europese Commissie. ICANN legt geen boete op voor het schenden van de regels en daarmee is de Whois-database in feite verdwenen, zegt Barlow. "Je ziet geen telefoonnummer, adres, naam en ik kan alleen dat ene domein blokkeren. Dat alleen al kan leiden tot het grootste privacyverlies in onze geschiedenis wat veel zwaarder weegt dan het positieve doel dat de GDPR probeert te bereiken."

De IBM-chef denkt dat de EU en ICANN samen een werkbare oplossing kunnen vinden voor Whois-data. "De Europese wetgevers moeten om de tafel gaan zitten met de internetbeheerder om er samen uit te komen. Het gaat nog een paar maanden duren voordat we beseffen hoe groot dit probleem is", zegt hij.

3. Verhoogde werkdruk voor beveiligingsteams

Door de werklast van de nieuwe regels wordt het alleen maar lastiger voor beveiligingsteams om hun werk uit te voeren. "De beveiligings- en IT-teams zijn de laatste linie van de verdediging die ervoor zorgt dat er voldaan wordt aan principes als dataminimalisatie, beveiligde verwerking van gegevens, doelbeperking en privacy by design", zegt Matt Dumiak, privacychef bij CompliancePoint.

Joan Antokol, partner bij de juridische informatiebeveiligers van Park Legal, zegt dat ze vermoed dat security- en IT-teams lange uren moeten draaien, "Interne beveiligingsteams krijgen meer verantwoordelijkheden op hun bord door de GDPR en sommige daarvan zijn overbelast en bezorgd. Ze kunnen hun werk niet fatsoenlijk doen als ze aan zoveel dingen tegelijk moeten voldoen."

Een van de probleemgebieden die Antokol ziet is de in de AVG vereiste Data Protection Impact Assessment (DPIA), gedetailleerde formulieren die erg veel informatie vereisen - veel meer dan wat de wetgeving eigenlijk verwacht. Ze merkt bijvoorbeeld op dat één klant een DPIA-sjabloon van 67 pagina's maakte om 500 of meer vragen te beantwoorden en ze wilden die gebruiken om een stuk of vijftig DPIA's uit te voeren.

Het zou echt veel te veel tijd kosten om een enkele DPIA in te vullen van 67 pagina's met zoveel vragen en dat is zeker niet wat de wetgevers verwachten", zegt Antokol. Bedrijven moeten procedures ontwikkelen en maatregelen nemen die volledig in lijn zijn met de eisen van de AVG en richtlijnen die daarbij horen, maar die tegelijkertijd redelijk en praktisch zijn.

Het vermeende risico op torenhoge boetes is debet aan deze druk, voegt ze eraan toe, en ze ziet parallellen met wetgeving over financiële rapportage. Met de Amerikaanse SOx bijvoorbeeld, heerste er veel onzekerheid en de druk op IT nam vervolgens af toen organisaties eenmaal hadden geleerd wat er precies van ze werd verwacht. Antokol verwacht dat hetzelfde gaat gebeuren met de Europese privacywetten zodra organisaties hun bedrijfsvoering aanpassen aan de nieuwe standaarden en plichten.

4. Tragere reactie op inbraken

Als een inbraak plaatsvindt, moeten IT'ers snel schakelen om het probleem te identificeren, de schade te beperken, de aanvaller tegen te houden en ervoor te zorgen dat dit niet nog eens gebeurt. IBM's Barlow heeft gevallen gezien, met name in Europa, waar zulke processen tot stilstand komen omdat er zorgen ontstaan dat AVG-regels worden geschonden.

Hij noemt als voorbeeld dat een bedrijf dat het slachtoffer is geworden van een inbraak extra endpointbeveiliging moet inzetten om een toekomstige aanval te kunnen pareren. "Je wilt zulke tools zo snel mogelijk inzetten om de onverlaten buiten het netwerk te kunnen zetten, maar je wilt het tegelijkertijd allemaal in één keer aanzetten, zodat de aanvaller niet opmerkt waar je mee bezig bent voordat je op detectie overgaat", legt Barlow uit.

Een groot bedrijf kan duizenden endpoints hebben om de nieuwe tool gedurende een korte tijdsperiode uit te rollen. "Organisaties lopen tegen problemen aan omdat deze tools een hoop informatie vergaren van wat er bij het endpoint gebeurt, inclusief potentiële persoonsgegevens. Het doel daarvan is niet om privégegevens te verzamelen, maar als je kijkt naar de bestanden en servers die op een machine draaien kun je daar uiteraard enkele persoonsgegevens uithalen." Wat er nu in Europa gebeurt, en met name in Duitsland, is dat bedrijven toestemming nodig hebben om deze tools in te zetten, vaak van een gemeentelijke commissie. Volgens Barlow is de doorlooptijd daarvan 30 tot 90 dagen.

Barlow meent dat er daarom aan gewerkt moet worden om specifieke uitzonderingen in de AVG in te bouwen omtrent compliance gedurende een actief onderzoek zodat een beveiliger sneller actie kan ondernemen. "Bedrijven en overheden moeten vrij genoeg kunnen opereren om te doen wat nodig is om de verliezen tegen te houden om het bedrijf weer lopend te krijgen", zegt hij.

5. Strikte privacyregels leveren veilige havens op voor criminelen

Strikte interpretaties over de bescherming van persoonsgegevens maken helaas ook veilige havens voor criminelen. "Bekijk dit vanuit het perspectief van de aanvaller. Waar ga je je infrastructuur neerzetten, de command-and-control-servers? In Duitsland natuurlijk." Een slachtoffer kan zo'n infrastructuur niet direct neerhalen, zelfs als de vijand virtueel in de kraag wordt gegrepen.

Het is analoog aan de boef die een bank berooft, de politie die aankomt en de crimineel in de kluis ziet. Ze komen binnen, geven de dief een hand en zeggen 'Hé, je bent gesnapt, maar vertel me je naam niet. Over dertig tot zestig dagen kom ik terug met een dwangbevel voor die informatie'", zegt Barlow. "Wat gaan de slechteriken doen? Ze blijven rondhangen, legen de kluis en doen wat ze kunnen om de plaats delict op te ruimen."

6. Dreigen met AVG-overtreding als afpersingstactiek

We konden niet bevestigen of dit ook daadwerkelijk gebeurt, maar verschillende deskundigen vertelden ons dat het zeer waarschijnlijk is dat een aanvaller gaat dreigen met openbaar maken van een inbraak om het bedrijf aansprakelijk te maken - en afkopen is dan goedkoper. En daar is niet eens een daadwerkelijke inbraak voor nodig,

Antokol denkt dat we gaan zien dat criminelen op zoek gaan naar kwetsbaarheden die aantonen dat het bedrijf niet voldoet aan beveiligingseisen en vervolgens overgaan op afpersing met het dreigement deze informatie op straat te gooien. De aanvallers kunnen zeggen dat het minder duur is om met hen een deal te sluiten dan het is als een (EU-)organisatie een onderzoek doet met mogelijke boetes en publiciteitsschade tot gevolg. Aangezien dat afpersing met DDoS en ransomware al eerder effectief is gebleken, is het niet moeilijk om te zien waarom dit een aantrekkelijk voorstel is voor criminelen en daarom is het iets waar bedrijven rekening mee moeten houden.

7. Dreigingen van binnenuit lastiger te onderzoeken

Als verdachte activiteit wordt gedetecteerd op het apparaat van een werknemer moet je bepalen of de niet toegestane actie is uitgevoerd door de werknemer of een derde partij die het account of apparaat te pakken heeft gekregen. Sommige bedrijven hebben dat onderzoek bemoeilijkt vanwege zorgen om de AVG.

Een degelijk onderzoek vereist namelijk ook toegang tot de persoonsgegevens van de werknemer. "Normaal gesproken kijk je naar verschillende dingen", zegt Barlow. "Kijk bijvoorbeeld naar e-mailaccounts of naar gegevens over het gebruik van een toegangspas." Zulke gegevens geven een snel beeld of de werknemer er zelf bij betrokken was. "Nu gaat dat om gegevens waar je niet noodzakelijkerwijs toestemming voor hebt om ze in te zien."

Dit gebeurde eerder dit jaar bij een groot Europees telecombedrijf. Een beveiligingsbedrijf vond indicaties dat er sprake was van een malafide insider binnen het bedrijf en de leverancier gaf dit door aan het telecommunicatiebedrijf, zoals je in dit artikel op zustersite CSOonline kunt lezen. Omdat de vakbond van de werknemer privacyregels van de AVG had overgenomen in diens eigen clausules, durfde het bedrijf geen verder onderzoek uit te voeren, ook al was de data intern aanwezig.