Datarisico’s na een datalek door diefstal, hack of verlies

Is een datalek een IT of boardroom probleem?

Het komt maar al te vaak voor dat de mogelijkheid van een cyberincident als een IT-probleem wordt beschouwd, en niet als een organisatie breed probleem, dat op boardroomniveau besproken moet worden. Een ernstig cyberincident kan catastrofale gevolgen hebben: het beschadigt het vertrouwen van klanten, kan leiden tot sancties van overheidswege, verstoort de bedrijfsvoering en veroorzaakt langdurige financiële schade. In de praktijk zien wij nog vaak genoeg dat ondernemingen cyberrisico’s niet serieus genoeg nemen, of dit te laat inzien. Met alle gevolgen van dien.

Datalek na cyberincident

Een cyberincident vindt plaats. Er is data uit uw systemen verwijderd, gelekt , versleuteld of gestolen. Of er is hardware verloren, denk aan een vergeten USB stick, harde schijf of laptop. Op het moment dat er persoonsgegevens tussen die data zit, spreken we van een datalek.

Als cybercriminelen bedrijfsgegevens buit maken, via wat voor manier dan ook, dan valt dat niet direct in de categorie datalek. Tussen uw bedrijfsgegevens zijn namelijk niet altijd persoonsgegevens te vinden. Echter, vaak is dit wel het geval. Als een cyberincident of datalek optreedt, of u heeft het vermoeden ervan. Bel ons incident response team 24/7 op +31 (0)88 676 9999.

Welke risico’s creëren (cyber-)criminelen met gestolen data?

Het in bezit hebben van gestolen data verhoogt de kans op identiteitsfraude. Bij identiteitsfraude kan iemand anders zich uitgeven onder uw namen uitgeven. De kwaadwillende beschikt immers over voldoende persoonlijke data over u.

Ook is er een verhoogde kans op phishing. Phishing is een vorm van cybercriminaliteit waarin de kwaadwillende zich voordoet als een bedrijf. Bijvoorbeeld een bank. Om zo weer andere informatie te bemachtigen, of financiële transacties te bewerkstelligen.

En er is verhoogde kans op fraude. Incidenten die veel voorkomen hebben te maken met Whatsapp fraude. Door je als kwaadwillende voor te doen als een bekende, via Whatsapp, wordt bijvoorbeeld gevraagd om een bepaald bedrag over te maken. Zo kan iemand al snel opgelicht worden.

Hoe voorkom ik datadiefstal of -verlies?

De belangrijkste data-gerelateerde risico’s kunnen ook geïdentificeerd worden door te denken als een hacker en de maximale schade te bepalen die zij kunnen veroorzaken. Hoe vindt u uw kroonjuwelen; uw belangrijkste en meest gevoelige data tussen al uw bytes? Wat maakt data een hoog, laag of gemiddeld risico?

Bij de risico’s rond data geldt bij veel bedrijven het Pareto-principe. Dat wil zeggen dat 20% van de bedrijfsgegevens zorgt voor 80% van het risico. Alle gegevens beschermen is onbegonnen werk. Bedrijven kunnen zich beter richten op data waarvan de beveiliging echt essentieel is voor het bedrijf en voor de klanten.

Het is niet realistisch om te proberen alle spreadsheets, gearchiveerde e-mails of databestanden van uw organisatie te categoriseren. Het kan ook niet volledig worden geautomatiseerd - er zijn tools die helpen bij databeheer - maar er is altijd een menselijk oordeel nodig. Uiteindelijk komt het erop neer dat uw personeel actief moet nadenken over de verschillende soorten data in hun beheer. Zo kunnen ze de middelen die verdere aandacht vereisen eruit halen.

Het Digital trust center van de Rijksoverheid stelt voor om datadiefstal tegen te gaan door:

1. Harde schijf encryptie toe te passen
   Zorg dat de data op de harde schijf van devices versleuteld is. Dit maakt het voor cybercriminelen lastiger om deze data in te zien.
   
   
2. Maak gebruik van tweestapsverificatie
   Als digitale accounts het toelaten, maak dan gebruik van tweestapsverificatie of multifactor authenticatie voor uw loginprocedure. Dit houdt in dat u naast een gebruikersnaam en wachtwoord een extra veiligheidsstap moet nemen voordat u kunt inloggen. Dit kan bijvoorbeeld door gebruik te maken van tokens, waarbij bijvoorbeeld een code continu wisselt. Lees ook meer tips voor het versterken van wachtwoorden.
   
   
3. De mogelijkheid om devices op afstand te blokkeren
   Een mobiel apparaat op afstand blokkeren en data eventueel wissen is mogelijk middels Mobile device management (MDM). Er zijn hier verschillende mogelijkheden voor in omloop. Afhankelijk van bijvoorbeeld het type apparaat.
   
   
4. Stel een databeleid op
   Veel organisaties laten het niet toe om data lokaal op laptops en apparaten op te slaan. Door beleid toe te passen via netwerk en machine policies kunt u afdwingen dat medewerkers een en ander niet lokaal op kunnen slaan.

Veelvoorkomende situaties van datalekken

In veel gevallen van een datalek zijn medewerkers de zwakste schakel.

1. Verkeerde ontvanger bij het verzenden van een e-mail
   Het kan ‘de beste’ overkomen. U verstuurt per e-mail een bestand met daarin persoonsgegevens. Per abuis verzendt u dit aan verkeerde ontvanger. Dit is al een datalek te noemen.
   
   
2. Een gegevensdrager kwijtraken
   Een smartphone die vergeten wordt, een USB-stick die uit een tas valt, of een laptop die gestolen wordt. Allemaal situaties waarin een gegevensdrager kwijtraakt en daarmee ook (gevoelige) data.
   
   
3. Ransomware, phishing, malware
   Er is ransomware geplaatst op uw computer. Cybercriminelen blokkeren uw computer, of nog erger uw bedrijfsnetwerk. U kunt pas weer bij uw systemen komen na het betalen van losgeld. Bescherm uw onderneming tegen ransomware aanvallen.
   Bij phishing wordt een valse e-mail aan u of uw medewerkers verzonden. Klikt u op een link, dan wordt u vaak naar een nagebootste website geleid, bijvoorbeeld die van uw bank. Met alle gevolgen van dien. Zorg dat u en uw personeel phishing herkennen om datarisico’s te beperken en datalekken te voorkomen.
   
   
4. CEO-fraude
   Uw medewerker van de financiële administratie krijgt een e-mail namens u, de CEO of CFO. Terwijl u deze e-mail niet heeft verzonden. In die e-mail wordt opgedragen een fors bedrag (in één keer of in stapjes) over te maken. Op een listige wijze wordt uw controller of administrateur door cybercriminelen erin geluisd. In 2018 werd bioscoopketen Pathé slachtoffer van CEO-fraude.
   
   
5. Fraude met lekken van persoonsgegevens
   In het voorbeeld van CEO-fraude ging het om een onbewuste keuze van de medewerker. Dit jaar is er sprake van een voorval bij de GGD waar medewerkers bewust data lekten. Persoonsgegevens van burgers die zich lieten testen op corona werden online te koop aangeboden. Zo kwamen namen, adressen, Burgerservicenummers en andere persoonsgegevens ‘op straat te liggen’. Bekijk onze animatievideo waarin zes fraudetypes worden besproken.

Reputatieschade na datalek

Een datalek kan een flinke kostenpost voor een bedrijf veroorzaken. Er ligt namelijk reputatieschade op de loer. Een ernstig datalek kan:

• klantvertrouwen beschadigen;
• wettelijk toezicht teweegbrengen;
• bedrijfsvoering verstoren;
• langdurige financiële schade veroorzaken.

Klantverlies is een risico. Uiteraard zal de omvang van het datalek hiertoe bepalend zijn, evenals de sector waarin het bedrijf actief is. En ook al zou het om het verlies van enkele klanten gaan… het winnen van nieuwe klanten in combinatie met reputatieschade wordt des te lastiger.

Stappenplan bij een datalek (uw incident response plan)

U kunt niet alles voorkomen. Goed in staat zijn te reageren op een cyberincident is minstens zo belangrijk. Snel handelen helpt om de gevolgen te beheersen bij een cyberaanval, fraude, datalek of andere incidenten om schade aan uw organisatie te voorkomen en uw reputatie te beschermen.

Betrek de juiste mensen

De afweging wie te betrekken bij een incident kunt u vooraf maken en scheelt tijd. Gaat het om een cyberincident? Betrek dan de CIO of het hoofd systeembeheer, hoofd IT, de CEO, CFO of directie, een jurist en communicatie. Reputatieschade is snel opgelopen, daarom is ‘hoe’ u het nieuws naar buiten brengt een belangrijke afweging. Is de organisatie onderdeel van een keten? Laat een jurist dan de verantwoordelijkheden en dus aansprakelijkheden ten aanzien van de keten onderzoeken.

Het stappenplan

1. U constateert dat er persoonsgegevens gestolen of verloren zijn.
2. Rol uw incident response plan (zie paragraaf hierna wat daar in moet staan) uit. Dit incident response plan moet bestaan uit:
   1. Uit wie bestaat het incident response team? Dit moeten beslissingsbevoegde medewerkers zijn met kennis van zaken.
   2. Wie doet wat, wie neemt welke beslissingen en welke (externe) specialisten kunnen gebeld worden als er assistentie nodig is.
   3. Welke informatie moet verzameld worden, door wie en hoe worden beslissingen vastgelegd. Welke stakeholders worden geïnformeerd door wie.
   4. Bepaal of u een melding moet maken bij de Autoriteit Persoonsgegevens. Zo ja, wie meldt een datalek indien relevant? En maak melding via het meldloket datalekken.
   5. Hoe wordt het incident geëvalueerd en voorkomen dat dit nogmaals gebeurt?
   6. Hoe is de vervanging geregeld? Wie vervangt de IT-manager wanneer diegene met vakantie is, etc.
3. Los de oorzaak van het datalek op, indien dit kan.
4. Bereid u en uw bedrijf voor op juridische consequenties

Wanneer schakelt u een cyber security specialist of incident response team in?

Als u beslissingen hebt genomen die onomkeerbaar zijn, is het te laat om een specialist in te schakelen. Bijvoorbeeld wanneer u bitcoins hebt betaald om de gijzeling van uw systemen en data op te lossen. Wanneer u alle back-ups al terug hebt gezet, maar niet precies weet waar het fout ging en misschien dus ook uw back-ups aan het besmetten bent. Wanneer u logfiles hebt overschreven waardoor toekomstig onderzoek niet meer mogelijk is. Onze cyber security specialisten hebben het liefst een ‘schone crime scene’, waar iedereen overal vanaf gebleven is.

Een grote uitdaging voor een incident response team is vaak inzicht krijgen in de organisatie en de processen en systemen bij gegevensverzameling. Ook bij incident response is het van belang te weten hoe de digitale infrastructuur eruit ziet. Waar staat wat? En wat is met elkaar verbonden? Organisaties die dit inzicht hebben en aan de preventiekant privacy en cybersecurity met elkaar combineren, hebben een voorspong bij incident response.

De toekomst: drie stappen om data beter te begrijpen

Drie stappen om bedrijven te helpen het belang van data te erkennen – en uiteindelijk een beter ontwikkelde benadering van informatierisicobeheersing te creëren.

Stap 1: Maak eigenaarschap duidelijk – systeembreed en dataspecifiek

Informatiebeveiliging moet een organisatie breed, consequent toegepaste risicobeheersingskwestie zijn. Wijs een eigenaar aan op managementniveau – vaak de Chief Financial Officer, de Chief Revenue Officer of meer specifiek de Chief Information Security Officer – en ook een eigenaar op operationeel niveau. Maak duidelijk dat data een strategisch bezit zijn die een risicocategorie toegewezen dienen te krijgen en opgenomen moeten worden in een risicoregister. Een van de voordelen van het toewijzen van eigenaarschap is dat data-eigenaren zich meer verantwoordelijk voelen en het vergroot de efficiency binnen een organisatie.

Stap 2: Informatierisicobeheer standaard opnemen

Het aanstellen van een eigenaar van informatierisico-beheersing op managementniveau maakt het ook makkelijker om te garanderen dat effectieve data-categorisatie of -beoordeling al bij aanvang in projecten wordt verwerkt en duidelijk is aan welke privacy verplichtingen (bijvoorbeeld het uitvoeren van een data protection impact assessment) moet worden voldaan.

“Beveiliging en privacy moeten standaard zijn,” zegt Nick Oldham, databeveiliging en privacy advocaat bij het internationale advocatenkantoor King & Spalding. “Beveiliging en privacy zijn een laag die organisaties pas aan het eind van een nieuw initiatief toevoegen. Dit zorgt later voor problemen.”

Stap 3: Meer ‘menselijke’ communicatie en training

Om ervoor te zorgen dat uw medewerkers de realiteit van privacy- en cyberrisico’s beter begrijpen, moet u de risico’s vertalen naar de dagelijkse praktijk en technisch jargon vermijden. Het gaat om eenvoudige menselijke interactie.

Voor Ross Anderson van de University of Cambridge draait succesvolle communicatie om betere storytelling. “Organisaties moeten niet over data praten,” zegt hij. “Ze moeten praten over wat er mis kan gaan op menselijk niveau. Onze hersenen zijn geoptimaliseerd voor het vertellen van verhalen. Zodra u dus praat over datacategorieën haken mensen af.”

Vraag een willekeurige hacker wat het zwakste punt in een systeem is, en het antwoord is altijd de mensen. Daarom is het belangrijk te focussen op training. Er zijn echter grenzen aan wat met een training bereikt kan worden. Ons advies is om niet op training alleen in te zetten. Bedenk ook welke technische oplossingen kunnen helpen om zoveel mogelijk risicofactoren weg te nemen.

Uw belangrijkste data

Uiteindelijk komt het erop neer dat u moet weten wat uw belangrijkste data is (afhankelijk van uw sector, risicoprofiel en bedrijfsdoelstellingen) en specifieke organisatorische, juridische en technische maatregelen neemt. Dit is niet altijd even makkelijk en is een continu proces, maar het is een essentieel onderdeel van risicobeheer in ons digitale tijdperk.