Door een flink datalek liggen de gegevens van klanten en werknemers van Tesla op straat. De Nederlandse Autoriteit Persoonsgegevens duikt erin.
Data is fijn en data is handig. Als het netjes versleuteld is en je gegevens veilig zijn opgeborgen. Als het mis gaat dan heb je een datalek en dus een probleem. Tesla heeft nu zo’n probleem meldt de Duitse krant Handelsblatt.
Het begint allemaal in Duitsland. De waakhond in de Duitse deelstaat Brandenburg schakelde namelijk de Nederlandse Autoriteit Persoonsgegevens in vanwege een datalek bij Tesla. Maar liefst 100 gigabyte aan data zou zo maar op straat liggen.
Europees hoofdkantoor
Via een oud-medewerker in Duitsland zou die 100 gigabyte zomaar op straat zijn te komen liggen. Dat lijkt ons toch geen USB-stickie dat per ongeluk in je tas is gevallen. De ex-werknemer blijkt dan ook een ontevreden medewerker die de gegevens heeft ontvreemd en zo jouw gegevens in de openbaarheid kan slingeren.
Omdat het Europese hoofdkantoor van Tesla in Amsterdam zit mag de Nederlandse Autoriteit Persoonsgegevens nu bepalen of er een grondig onderzoek naar het datalek bij Tesla nodig is.
Saillant detail is dat in de gelekte data niet alleen burgerservicenummers van werknemers zitten, maar dat ook het BSN van CEO Elon Musk erin te vinden zou zijn. Verder zijn er bankgegevens van klanten en telefoonnummers en privé mailadressen van medewerkers in de datalek terecht gekomen.
Slecht werkende autopilot
Problemen met de autopilot zijn niet onbekend. Maar via dit datalek bij Tesla is er wel meer bekend geworden over de omvang. Er blijken namelijk duizenden klachten over de automatische piloot van Tesla te liggen. Zo’n vierduizend mensen hebben gemeld bij het merk dat hun auto plotseling zou versnellen of remmen.
Medewerkers van Tesla wordt gevraagd dit onder de pet te houden om te voorkomen dat die klanten het Amerikaanse merk aanklagen. Er lopen al aardig wat rechtszaken tegen Tesla en uit het lek lijkt te blijken dat het autopilot probleem een stuk groter is dan gedacht.
Nou moet de Nederlandse Autoriteit Persoonsgegevens nog bepalen of ze een onderzoek in gaan stellen, maar ons lijkt dat niet onlogisch. Als een datalek van 100 gigabyte geen goede reden voor onderzoek is. Tesla kijkt tegelijkertijd of Duitse ex-servicetechinicus, die blijkbaar zelfs bij de gegevens van grote roerganger Musk kon komen, kan worden vervolgd.
Ietwat uit context getrokken. Er is geen lek dat door derden is uitgebuit. Een eigen medewerker met de benodigde toegang voor zijn werkzaamheden heeft in een kwade bui alles op straat gegooid. Daar doe je als bedrijf heel weinig tegen helaas.
Maar wel zeer vervelend als jouw privé gegevens op straat liggen, wat de oorzaak ook mag zijn.
Datalek:
https://www.justitia.nl/privacy/datalekken
Ik ken de definitie van een datalek. Maar de nuance is dat dit diefstal is door iemand met autorisatie voor klantgegevens. Daar doe je als bedrijf vrijwel niets aan helaas. Dit soort diefstal is vrijwel niet te voorkomen. Probeer bijvoorbeeld maar een netwerkadministrator te beperken in wat hij kan inzien. Vrij lastig.
Je kan er in ieder geval op controleren. Wanneer een gebruiker dan een grote hoeveelheid data wilt verkrijgen, gaan er alarmbellen af of wordt het zelfs geblokkeerd.
Of zelfs dmv kunstmatige intelligentie kunnen zien dat wat een persoon doet in de systemen afwijkt van eerder gedrag in die systemen.
Of het blokkeren van downloaden van gegevens uit systemen (of eventueel met goedkeuring).
Tenzij deze persoon de gegevens over een langere periode stukje bij beetje heeft verzameld, is het eigenlijk anders gewoon een gemakzuchtige IT inrichting. Omgaan met persoonsgegevens moet je gewoon uiterst zorgvuldig doen. En hedendaagse IT biedt daar veel meer mogelijkheden toe dan vroeger.
Zolang je met je smartphone een foto kunt maken van de info op je beeldscherm, blijft de mens nog steeds de zwakste schakel.
Tuurlijk… maar de impact als iemand zoveel moeite moet doen is wel kleiner. Er zijn er maar weinig die 10.000 foto’s gaan maken om die dat te verzamelen.
En overigens kan je daar ook algoritmes op zetten. Wanneer iemand opvallend veel records achter elkaar opent, krijg je een melding. Want er zijn vaak maar weinig scenario’s waarom dat nodig is.
Het is opvallen is dus vaak reactief, maar in ieder geval ben je er meestal sneller bij.
Ik werk bij heel wat grote bedrijven, inclusief banken verzekeraars en overheden. Ook daar is het voor een administrator vrij eenvoudig om zo’n hoeveelheid data mee te nemen. Dit soort lekken zijn vrijwel onmogelijk om goed af te dichten. Enige wat je kunt doen is ze af te sluiten van internet en fysieke controle op datadragers bij de uitgang. En zelfs dan nog lukt het mensen om gegevens te stellen. En dan heb je nog het punt, hoe die mensen hun werk moeten uitvoeren zonder internet.
Voor sommigen kan Tesla niets fout doen, heb ik het idee.
Wat mij betreft doen ze juist meer en meer fout. Waar ik echt lyrisch was over mijn auto, begint dat telkens meer af te nemen. Om verschillende redenen overigens.
ICT beveiliging wordt steeds meer een hot issue, we moeten, ja moeten bijna alles digitaal doen, het is een kwestie van tijd hoelang dit nog goed gaat, de mens blijft altijd de zwakste schakel.