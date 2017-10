Security

De FDIC is de Amerikaanse overheidsinstelling die toezicht houdt op de banken. Daarnaast staat de FDIC binnen grenzen garant voor het kapitaal dat spaarders bij de bank inbrengen. Uit recent onderzoek is gebleken dat deze instelling in 2015 en 2016 meer dan 50 cyberveiligheidsincidenten heeft gekend. Bij deze incidenten zijn de gegevens persoonlijke gegeven van honderdduizenden bankklanten beschikbaar geweest. DE FDIC ligt al geruime tijd onder een vuur dat door deze onthullingen weer verder opgerakeld is.

Wat maakt de cyberincidenten bij de FDIC zo kwalijk?

Naast het feit dat 50 veiligheidsincidenten in 2 jaar wel erg veel is en er wel erg veel gegevens betrokken zijn, zijn er twee grote bezwaren. Allereerst de termijn voordat er actie genomen wordt. Zo blijkt dat het haast negen maanden (gemiddeld 288 dagen) duurt voordat degenen van wie eventueel persoonlijke gegevens zijn buitgemaakt worden geïnformeerd. Het probleem hierbij is dat betrokkenen zo onwetend blijven. Daarom nemen zij, onwetend als zij zijn veel te laat actie. Hierdoor worden incidenten erger en gevolgen schadelijker dan nodig.

Maar liefst zeven van deze incidenten zijn veroorzaakt door (ex)werknemers die bij hun vertrek bestanden hebben gedownload met daarin allerlei persoonlijke gegevens. BSN-nummers, gegevens over leningen en banksaldi zijn onderdeel van deze verduisterde persoonlijke gegevens.

Als derde pijnpunt geldt de zogenoemde ‘Data Breach Handling Guide (DBHG)’. Deze handleiding stelt maatregelen verplicht die de privacy van bankklanten beschermd. Zo zijn impactanalyses en risicomanagementanalyses verplicht na een veiligheidsincident. Bovendien moeten deze analyses binnen een bepaalde tijd worden uitgevoerd. Het blijkt dat de FDIC zich daar niet aan gehouden heeft. Dat is al pijnlijk omdat de toezichthouder een voorbeeldfunctie heeft. Nog pijnlijker is dat de FDIC dit protocol zelf heeft opgesteld.

Nadat eerder deze week al bekend werd dat Amerikaanse inlichtingendiensten zich niet aan de wet houden lijkt het erop dat de Amerikaanse overheid nu opnieuw in verlegenheid is gebracht op het gebied van cybersecurity. De president kennende zullen we binnenkort op Twitter de reactie kunnen lezen.