Dinsdag 06/12/2022

Verplicht: firewall tegen hackers

Staatssecretaris voor Privacy Bart Tommelein (Open Vld) wil bedrijven die gevoelige data bijhouden, verplichten tot een plan voor onlineveiligheid. Dat moet een antwoord bieden op hackers die gegevens buitmaken en er 'losgeld' voor vragen. Hackerkoning Rex Mundi gooide klantendata online toen getroffen firma's niet over de brug kwamen.

Het is genoeg geweest, vindt Bart Tommelein. Naar aanleiding van verschillende gevallen van hacking die de voorbije tijd plaatsvonden, meldt de staatssecretaris voor Privacy dat er een verplicht veiligheidsplan moet komen voor bedrijven die gevoelige persoonlijke data bijhouden. Hij is daarrond al gesprekken aan het voeren met de Privacycommissie.

"Het is niet de bedoeling bedrijven met extra administratieve lasten op te zadelen, maar een minimum aan beveiliging is wel nodig. Bedrijven die persoonlijke gegevens bijhouden, moeten een veiligheidsplan hebben. Veel bedrijven hebben dat al, maar niet iedereen", stelt Tommelein. "We moeten er rekening mee houden dat er ook kmo's zijn die gevoelige data bijhouden. Het is niet de bedoeling die te verstikken met regels die ze onmogelijk kunnen opvolgen."

Aanleiding voor de uitspraak van Tommelein is de publicatie van persoonlijke gegevens van duizenden Belgen door hacker Rex Mundi, die het nieuws daarover zelf bekendmaakte op Twitter. De hacker maakte de gegevens buit bij dertien bedrijven, waaronder medische controledienst Mensura, kabelgroep Numéricable, pizzaketen Domino's, de online kredietverstrekker Buyway en verschillende interimbureaus die weigerden losgeld te betalen in ruil voor niet-publicatie.

De gelekte gegevens kunnen gebruikt worden om identiteitsfraude te plegen, mensen te spammen of op te lichten. Maar de al eerder gepubliceerde informatie plaatst sommige mensen ook in een slecht daglicht tegenover toekomstige werkgevers. Zo wordt melding gemaakt van iemand die ziek is 'omdat hij te veel is gaan feesten' of 'iemand die een arbeidsongeval in de hand gewerkt heeft'.

"Het is geen nieuwe hack, maar de herpublicatie van gegevens die hij de voorbije twee jaar in handen wist te krijgen", vertelt security-blogger Len Lavens. De gegevens zijn niet te bekijken met een gewone browser, omdat ze geplaatst werden op het zogenaamde dark web, een verzameling websites die enkel met een speciale browser kunnen bekeken worden.

De onbekende hacker, die over zichzelf in de wij-vorm spreekt, is al twee jaar bezig met zijn pogingen om Belgische bedrijven te chanteren. "Hij begon met vijfduizend euro per bedrijf te vragen, daarna vijfentwintigduizend en vervolgens 1 miljoen euro", zegt Len Lavens. "Of hij daarin slaagde? Ik weet dat hij ooit dreigde gegevens van VOO (telecombedrijf actief in Brussel en Wallonië, DSO) bekend te maken, maar dat hij dat hij uiteindelijk niet gedaan heeft. Tel één en één bij elkaar op."

Ondanks het voornemen van Bart Tommelein om een verplicht veiligheidsplan in het leven te roepen, blinkt de Belgische overheid vooral uit in getreuzel bij de aanpak van cybersecurityproblemen. Ons land kreeg onlangs nog een veeg uit de pan van de Europese cyberwaakhond CERT-EU omdat er niet genoeg geld en middelen worden vrijgemaakt voor onlineveiligheid.

Sinds vorig jaar wordt er al gesproken van de oprichting van een Centrum voor Cybersecurity, maar dat is er vandaag nog altijd niet. Bart Tommelein kondigde in december wel aan een taskforce op te richten die moet bekijken hoe gegevens beter kunnen beveiligd worden.

Getroffen werknemers

De christelijke vakbond ACV reageerde eerder al heftig op het te grabbel gooien van persoonsgegevens van werknemers. "Wat echt erg is op dit moment, is dat de getroffen werknemers op dit moment nog altijd niet op de hoogte gebracht zijn door Mensura", vertelt Herman Fonck, hoofd van de dienst ondernemingen bij het ACV.

"De Privacycommissie geeft het advies om dat wel te doen, maar bindend is dat niet. Daarom hebben we Mensura in gebreke gesteld. Wij willen dat bedrijven in de toekomst verplicht worden om in zo'n geval de slachtoffers te verwittigen."

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234