Nederland is kampioen in datalekken creëren, maar jij toch zeker niet?
Hoe zorg je ervoor dat het jouw organisatie niet overkomt?
Dinsdag 22 oktober 2019 | Leestijd: 8 minuten
In mei 2018 is de Algemene Verordening Gegevensbescherming (AVG), ook bekend als GDPR, in werking getreden. Een belangrijk onderdeel van de AVG is de verplichting voor organisaties om te zorgen dat persoonsgegevens veilig opgeslagen worden én onbevoegden deze gegevens niet kunnen inzien. Een steeds groter wordend probleem hierbij is het fenomeen datalek. In Nederland zijn we kampioen in het creëren van datalekken en dat is geen status om trots op te zijn. Niemand zit te wachten op een datalek en al het gedoe wat daar ook nog eens bij komt kijken. Onze tips helpen je op weg om datalekken in jouw organisatie zoveel mogelijk te voorkomen!
Wat is een datalek ook alweer?
Je weet vast wel wat een datalek is. Heb je even een opfrisser nodig?
Oftewel, een datalek kan op verschillende manieren ontstaan en betreft vaak geen (kwade) opzet. Toch is een organisatie verantwoordelijk voor een datalek en kan er een boete opgelegd worden als blijkt dat er onvoldoende maatregelen zijn genomen om datalekken te voorkomen. Sterker nog, Ferdinand Grapperhaus, minister van Justitie en Veiligheid, stelde recent dat hij organisaties die de digitale veiligheid (cybersecurity) niet op orde hebben harder wil aanpakken. Dat kan een boete betekenen, maar ook ingrijpen in de bedrijfsvoering. Dit gaat zeker ver, maar geeft ook wel aan hoe belangrijk het onderwerp is. Het betekent dat je, als het doorgaat, al voordat je daadwerkelijk met een datalek te maken hebt een boete kunt krijgen. Hoog tijd dus om de veiligheid binnen jouw organisatie onder de loep te nemen!
Updates uitstellen maakt je organisatie kwetsbaar
Updates komen vaak niet gelegen. Vooral in organisaties die 24/7 ‘aan’ staan, betekent een update dat het proces enige tijd stil komt te liggen. Tijd is geld, dus het is begrijpelijk dat dit niet voor elke update gedaan wordt. Helaas kunnen er dan wel situaties ontstaan waarbij er een kwetsbaarheid ontstaat in het netwerk. En hierdoor wordt het eenvoudiger voor onbevoegden om binnen te komen.
Een recent voorbeeld is dat van de VPN verbindingen van Pulse Secure. In april brengt Pulse een belangrijke update uit nadat blijkt dat de beveiliging niet op orde is en iedereen vrij eenvoudig binnen kan komen op het netwerk van organisaties via een zwakte in de VPN verbinding. Helaas blijkt een half jaar later dat maar liefst 538 organisaties deze update nog niet hebben uitgevoerd. Zo ook KLM, Shell en Boskalis. Ook de Nederlandse Luchtverkeersleiding had zijn netwerk nog wagenwijd openstaan. We kunnen ons allemaal wel voorstellen wat er kan gebeuren als een kwaadwillende hier lucht van had gekregen…
De wijze les is dan ook om updates niet te lang uit te stellen. Tijd is geld en productie stilleggen komt nooit uit, maar als hackers binnenkomen door een beveiligingslek dat met een ‘simpele’ update voorkomen had kunnen worden, kost dat alleen maar meer (tijd, geld en imago)!
Weet wat je deelt
De tijd dat je als organisatie een fileserver had (of één schijf met allemaal mappen) die voor iedereen binnen de organisatie vrij toegankelijk was, is inmiddels wel geweest. Ook alle medewerkers toegang geven tot alle mogelijke systemen binnen de organisatie, is niet langer ‘done’. Hetzelfde geldt voor gedeelde inloggegevens. Heeft iedereen altijd toegang nodig tot alle gegevens? Je ziet dat steeds meer organisaties zich daar bewust van zijn en daar maatregelen voor treffen. Toch zijn we er nog niet, informatiebeveiliging kan en moet bij veel organisaties nog beter!
Een documentmanagementsysteem biedt naast een centrale plek waar documenten opgeslagen kunnen worden ook de mogelijkheid om te bepalen wie welke documenten mag raadplegen. Daarnaast kun je instellen dat er bijvoorbeeld een leesbevestiging verstuurd wordt en dat alleen specifieke personen (denk aan managers) bepaalde documenten mogen bewerken.
Tot slot is ook het inlogproces voor systemen een punt van aandacht. Je wilt dit niet onnodig moeilijk maken, maar je wil ook voorkomen dat er veel te makkelijk ingelogd kan worden. Denk aan oplossingen als multi-factor authentication waarmee je een extra beveiligingsstap inbouwt en die voorkomt dat er ingelogd kan worden met enkel een wachtwoord.
Bescherm álle apparaten van je medewerkers
Je kunt aan alle kanten nog zoveel beveiligen, maar wat gebeurt er als een medewerker een laptop of telefoon verliest, of deze worden gestolen? Uiteraard zijn devices tegenwoordig steeds vaker beveiligd met wachtwoorden, pincodes, vingerafdrukken of gezichtsherkenning, maar niet iedereen gebruikt dit vrijwillig.
Het is dus goed om protocollen te hebben om dit soort zaken te regelen. Denk aan het afdwingen van een bepaalde vorm van toegangscontrole op eigen devices, als daarop bedrijfsgegevens geraadpleegd worden (zoals e-mail op een eigen smartphone). Maar ook het wissen op afstand van verloren of gestolen apparaten, het instellen van encryptie voor de harde schijf of de externe opslag als USB-sticks én de eerder genoemde multi-factor authentication, zijn zaken die je met devicemanagement kunt regelen.
De menselijke factor is een risicofactor
Een groot deel van de datalekken ontstaat door menselijk handelen. De top 3:
- Verkeerde ontvanger van e-mailberichten
- Verkeerd geadresseerde fysieke post
- Verliezen smartphone met data
Deze laatste optie is nooit helemaal te voorkomen, maar de gevolgen kunnen wel beperkt worden met devicemanagement.
Maar ook de eerste twee zijn niet te voorkomen en daarvan zijn de gevolgen ook lastig te beperken. Een brief die eenmaal op de post is gegaan, is niet meer tegen te houden. En hoewel de meeste e-mailprogramma’s een ‘bericht intrekken’ functie hebben, werkt deze alleen als de mail nog niet op de server van de ontvanger is afgeleverd.
Is er dan helemaal niets wat je kunt doen? Natuurlijk wel! Met voorlichting en training kun je de bewustwording van medewerkers verhogen, waardoor ze in ieder geval beter op de hoogte zijn van wat een bepaalde handeling voor gevolgen kan hebben.
Voorlichting en training stopt niet bij een eenmalige actie. Om het goed te laten landen, is de kracht van herhaling zeker aan te raden. Met e-learning software kun je op een laagdrempelige manier trainingen aanbieden die medewerkers op een voor hun passend moment kunnen volgen. Vervolgens kun je middels een toets checken of de informatie voldoende is overgekomen.
Datalekken voorkomen is utopie
Ook al volg je alle tips op en heb je je informatiebeveiliging tot in de puntjes geregeld, dan nog is dat geen garantie dat er binnen je organisatie geen datalek meer zal voorkomen. Het is namelijk nooit helemaal te voorkomen omdat je nu eenmaal van verschillende factoren afhankelijk bent.
Wél kun je middels deze tips jezelf ervan verzekeren dat je al het mogelijke hebt gedaan om een datalek zoveel mogelijk te voorkomen (en de gevolgen zover mogelijk te beperken). Moet je toch een datalek melden? Dan kun je in ieder geval aantonen dat je alles hebt gedaan om deze zo veel mogelijk te voorkomen en daar houdt de Autoriteit Persoonsgegevens rekening mee in het bepalen van schuld en een eventuele boete.
Ben je benieuwd hoe de software van Infoland kan bijdragen aan het voorkomen van datalekken binnen jouw organisatie? Neem dan eens contact op met onze experts.