11 april 2008

De jaarlijkse RSA Conferentie in San Francisco gaat, uiteraard, in op de nieuwste ontwikkelingen in computerbeveiliging, een redelijk uit de hand gelopen hobby om de digitale identiteit, de bestanden, de computer te beveiligen tegen de eveneens aanzienlijk uit de hand gelopen computercriminaliteit. Het besluit van een bedrijf echter om gebruik te maken van een specifieke beveiligingsstrategie of -product berust op meer dan alleen de laatste trends. Wet- en regelgeving alsmede de eigen zakelijke behoeften van een bedrijf spelen daarin een belangrijke rol. Terwijl in de Verenigde Staten Sarbanes-Oxley en HIPAA standaarden hebben gezet voor bescherming en bewaring van gegevens, blijkt steeds meer dan de focus van de Verenigde Staten, Europa en Azie niet hetzelfde is als het gaat om beveiliging. Globalisering heeft beveiliging aanzienlijk veranderd, en wat ook helder geworden is, is dat wet- en regelgeving zover uiteen loopt dat dat de focus van de beveiligingsindustrie verschillende kanten opstuurt, wat erg onhandig is bij de ontwikkeling van producten. NSFocus bijvoorbeeld, een Chinees bedrijf dat suites levert voor beveiligingsmanagement, laat bij monde van woordvoerder Ma Bo weten dat 'the company has a huge market share in our home base of China, thanks to our goverment's rules demanding advanced security for financial and commercial institutions. We find U.S. regulations more lax'. Ook andere leveranciers vinden de Verenigde Staten achterblijven als het gaat om de beveiliging van privacygegevens.

Dat is overigens nog maar de vraag, het zou best eens kunnen zijn dat er een andere nadruk wordt gelegd. Wetgeving in de Europese Unie legt er vooral nadruk op dat bedrijven niet teveel persoonsgegevens verzamelen, terwijl in de Verenigde Staten van bedrijven vooral geeist wordt dat ze duidelijk maken wanneer persoonlijke gegevens gecomprommitteerd zijn. Niet dat de klanten daar dan nog iets aan kunnen doen, trouwens. 'To them, privacy is paramount and trumps security', zegt Michael Markulec, Chief Operating Officer van Lumeta, een netwerkbeveiliger. 'I'd argue that in the United States, security is trumping the privacy issues. Efforts to control things like identify theft tend to focus on keeping people from unauthorized access to the network, rather than on limiting data collection. Network security is more important to businesses, but we need to strike a balance'. Markulec beschouwt databasebeveiliging als een van de topissues in de beveiligingswereld dit jaar. 'That could be because they want to avoid the embarrassment of making te news when customer data is lost or stolen'. Senator Dianne Feinstein uit Californie heeft twee wetsvoorstellen ingediend, de Notification of Risk to Personal Data Act en de Social Security Number Misuse Prevention Act. 'The data breach act was introduced in 2005; neither of them have passed. California passed a similar bill requiring data brokers to disclose security breaches to the public in 2006, and other states have followed suit. But there remains no federal law, in part because California lawmakers refused to vote for a bill that would trump more stringent state laws', zo zegt Feinstein. 'In fact, most legislation sets the bar low', zo zegt Paul Davie, oprichter van het Britse Secerno, een databasebeveiliger. 'They can't set the level at best-of-breed. They need to set something that's doable by the majority of companies. Otherwise, the kickback from business would be enormous'. Compliance met audits en wettelijke eisen is het belangrijkste pijnpunt van informatiebeveiligingsspecialisten. 'Ultimately, legislation can't drive security', zegt Sam Paone, eveneens van Secerno. 'The technology evolves and outstrips legislation all the time. As soon as hackers know what it take to be compliant, they figure out ways around it. A lot of compliance is looking in the rearview mirror'. Maar het beantwoordt niet echt de vraag wat nu belangrijker is: privacy of security. De insteek aan beide kanten van de oceaan is dermate verschillend dat dat repercussies moet gaan hebben. Bekend maken dat persoonlijke gegevens gecompromitteerd zijn is natuurlijk een niet acceptabele manier van omgaan met persoonlijke gegevens, vooral als er steeds meer Europese namen in de Amerikaanse bestanden komen. Het is dan ook niet voor niets dat de ruzie over de vergaring van persoonlijke gegevens door Amerikaanse bedrijven die tussen de Amerikaanse en Europese regeringen al verschillende keren gewoed heeft, waarschijnlijk binnen niet al te lange tijd opnieuw zal losbarsten.