Een vraag via Twitter:
Suppose during a contracted test a security testers stumbles upon a number of personal data… Is that a data breach? #gdpr – no clue yet…
Van een datalek is onder de AVG/GDPR sprake bij “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” (artikel 4 definitie 12). Kernwoorden hierbij zijn dat de beveiliging geschonden is en dat die persoonsgegevens vervolgens per ongeluk of onrechtmatig zijn verwerkt.
Je kunt als security-onderzoeker bij een opdracht ontdekken dat persoonsgegevens kwetsbaar zijn voor zulk onrechtmatig verwerken. Dat kan per toeval of door gericht onderzoek naar security-kwetsbaarheden. Een simpel voorbeeld is dat je een standaardwachtwoord gebruikt (het bekende admin/admin voorbeeld) of een trucje uithaalt om een beveiliging te omzeilen, dat is immers deel van security onderzoek bij een bedrijf.
Met zulk handelen wordt dan een beveiliging geschonden, en vervolgens krijg je toegang tot persoonsgegevens die niet voor jou bestemd zijn. Dat zou volgens de letter dan een datalek zijn.
Alleen, gezien de aard van het onderzoek zou ik het raar vinden om deze toegang als “onrechtmatig” te kwalificeren. Het is deel van je werk, het kan gebeuren dat je dit tegenkomt. Daar is dan niets onrechtmatigs (of per ongeluks) bij. Ook zou ik dit geen ‘inbreuk’ in de zin van de wet noemen – die term heeft een ondertoon van illegaal gedrag, en een ingehuurde security onderzoeker handelt natuurlijk niet illegaal in zijn werk.
Natuurlijk moet je als onderzoeker wel gebonden zijn aan geheimhouding, het is immers niet de bedoeling dat je die gegevens vervolgens ergens anders voor gaat gebruiken. Maar dat staat standaard in de algemene voorwaarden (of apart getekende NDA) lijkt me zo.
Belangrijk is wel dat deze constatering door de security onderzoeker moet leiden tot een nader onderzoek. Want als de onderzoeker erbij kon, dan konden anderen dat misschien ook. En dát zou dan wel een datalek opleveren.
Arnoud
En dan nog zonder data lek….is de pentester een verwerker? Of latente verwerker waar wel of geen verwerkersovk gesloten moet worden. #avg discussie is de echte millenium-bug
Ik zou het net zoals jij geen inbreuk en niet onrechtmatig noemen.
Maar ik denk dat je nog wel een voorwaarde mist om dit geen datalek te laten zijn: dat je ‘uitvoeren van veiligheidschecks’ in je verwerkingsregister mbt die data hebt opgenomen (en een verwerkersovereenkomst hebt als het een externe onderzoeker is) en daar een verantwoording voor hebt en het in je privacyverklaring gemeld hebt.
Alleen dan is het geen datalek, anders wel.
Zou je zeggen dat er met de betreffende ICT partij (die de test doet) een verwerkersovereenkomst gesloten dient te worden?
Het is soms wel apart hoe complete organisaties, juist ook organisaties van respectabele grote, compleet in de paniek schieten van een wetswijziging. In dit geval de AVG.
Alsof elke redelijkheid en billijkheid opeens totaal onbekend is bij grote organisaties. Ja, er is een aangescherpte wetgeving, in navolging van een wet uit 2016, maar het is niet oneens alsof de hele wereld op zijn kop staat. Als jij je als organisatie al in 2016 aan de wet hield, is er niets wezenlijks veranderd: Klant en persoonsdata moet je secuur en discreet behandelen. Iets wat volgens mij altijd al de bedoeling was maar wat niet adequaat genoeg in de wet was omschreven.
Het verwerken van persoonsgegevens mag nog gewoon als dit een wettelijke noodzaak heeft of als dit nodig is voor de uitvoering van een dienstverlening. Ik heb het nu al meermalen persoonlijk meegemaakt dat salaris administraties opeens in de paniek schieten omdat ze niet weten of ze nog wel recht hebben op de N.A.W. gegevens van een arbeidskracht.
Het zijn vooral nevenactiviteiten die zwaar op hun flikker krijgen. Dus u verkocht u klantgegevens tot dusver zonder vrijwillige goedkeuring, direct of indirect? Wel, dat mocht eigenlijk al niet. Die Like knop van Facebook en het delen van klantendossiers is namelijk wat eigenlijk al niet deugde, en wat nu ook hard duidelijk is gemaakt.
De implicitatie in deze opmerking is dat het de verantwoordelijke geoorloofd is aan een onderzoeker toestemming te verlenen om in live-systemen met echte persoonsgegevens te gaan inbreken. Maar het is niet hard te maken waarom niet een aantal nepprofielen wordt aangemaakt die dan als doelwit worden aangemerkt. Daarmee lijkt mij deze verwerking toch onrechtmatig, omdat deze niet noodzakelijk is voor de doelen waarvoor de gegevens worden verwerkt (uitvoeren bestelling/contract etc.). En dan moet dus ook sprake zijn van een datalek.
Mochten de persoonsgegevens louter als bijvangst bij een verder ongerelateerde onderzoeksopdracht ingezien worden, lijkt me dat per definitie per ongeluk c.q. ongeoorloofd. De verantwoordelijke kan de onderzoeker natuurlijk vrijwaren van juridische gevolgen, maar daarmee is het datalek niet opeens van tafel.
Op zich is het een bruikbaar idee om nepprofielen of andere trofeeën in je systeem te stoppen, waarmee een security-onderzoeker kan aantonen dat hij/zij tot die gegevens toegang heeft. Maar wat helpt dat als de security-onderzoeker een gat vind waardoor je een hele database naar buiten kunt kopiëren? Een aanvaller zou die vervolgens thuis in alle rust kunnen uitpluizen. Je kunt jezelf als onderzoeker dan hooguit beperken door niet meer dan een X aantal bytes te kopiëren, waarmee je het probleem bewijst. Maar je weet dan niet van te voren op wie of wat die data betrekking heeft.
Je moet security-onderzoekers zo min mogelijk beperkingen opleggen. Anders beperk je al gauw een onderzoeker tot alleen maar het onderzoeken van die delen van je systeem waarover je zelf al meer dan gemiddeld goed nagedacht hebt.
Je moet met de onderzoeker een goede NDA sluiten. Ook moet je de onderzoeker verbieden meer gegevens te benaderen dan strikt nodig zijn om een lekt te bewijzen. Als een onderzoeker meer gegevens benaderd dan noodzakelijk, is er alsnog sprake van een datalek. Twee profielen ophalen is genoeg om het lek aan te tonen. 2000 profielen ophalen voor een secutiry-onderzoek is een datalek.
De casus gaat er vanuit dat de verantwoordelijke een onderzoeker inhuurt. Het is dan genoeg om de weten dat deze toegang heeft gekregen tot de database. De inhoud van de database is eigenlijk niet relevant. Maar de onderzoeker kan aantonen dat hij toegang heeft gekregen met hulp van het nepprofiel.
Wat ik bedoelde te zeggen is, dat wanneer je een hele database kunt kopiëren, je toegang gekregen hebt tot een niveau waar je geen toegang toe zou moeten hebben. Als je in zo’n geval een gedeelte van de database kopieert om te bewijzen dat dat kan, heb je mogelijk al (delen) van een profiel gekopieerd zonder dat je je bewust kon richten op het nepprofiel. Een onderzoeker kan een lek gevonden hebben dat groot genoeg is om aan data van een willekeurig profiel te komen, maar (nog) niet groot genoeg om aan een specifiek kanarie-profiel te komen.
Als het technisch onmogelijk is om te verhinderen dat de onderzoeker de persoonsgegevens onder ogen krijgt, lijkt me dat ook weinig problematisch (want: noodzakelijk voor het beveiligen van de persoonsgegevens zelf).
Dat een ingehuurde veiligheidsonderzoeker bij gegevens kan, is geen datalek. De onderzoeker doet dit immers in opdracht en zal daar de nodige contacten voor hebben getekend en laten tekenen.
Maar, als die onderzoeker dat kan, dan konden kwaadwillenden dat ook. En dát is wél een datalek. Daarvan zal onderzocht moeten worden of er inderdaad door kwaadwillenden gebruik van is gemaakt.
In veel gevallen kun je al snel zeggen dat het zeer onwaarschijnlijk is dat buitenstaanders hetzelfde gat gebruikt hebben als de beveiligingsonderzoeker. Als de onderzoeker zijn gebruikers-permissies op een server weet te verhogen, maar de server staat achter de firewall dan hadden alleen medewerkers van het bedrijf mogelijk van de fout gebruik kunnen maken.
Zodra je als bedrijf aanwijzingen hebt dat derden van een beveiligingslek gebruikt hebben gemaakt moet je dat wel melden. Ook in gevallen waar gegevens zonder beveiliging toegankelijk waren (publiek toegankelijke cloudopslag).
Moet je er melding van doen als een gecontracteerde pentester een persoonsgegevenslek vindt?
Ik vind van wel, tenzij je met zekerheid kunt aantonen dat de pentester de eerste vinder is. Anders is er is sprake van een gebrek in de beveiliging en deze zou eerder door anderen gebruikt kunnen zijn.
Of is dat een te strenge interpretatie?
Hangt er denk ik vanaf. In de guidelines staat dat melden alleen hoeft als het redelijk aannemelijk is dat data ook daadwerkelijk gelekt is. Als je weet wat de kwetsbaarheid is, weet je vaak ook of en hoe misbruik in de logs te zien is. Als je logs bewaart en je kan zien dat dit niet is gebeurd, heb je mazzel.
En als de aanval zeer complex is, kan je ook wel beargumenteren dat het niet aannemelijk is dat daar gebruik van is gemaakt… Ook zonder logs.