De gevolgen van een datalek

Het was niet te missen: het nieuws dat de GGD is getroffen door een grote datadiefstal.

Enorm veel gegevens gestolen – naar verwachting van miljoenen Nederlanders. Inmiddels zijn we alweer een aantal grote datalekken verder, zoals je hebt kunnen lezen in de media. Maar wat zijn de achtergronden? Nog interessanter is de vraag hoe het zo ver heeft kunnen komen.

Dat actie nodig is, is duidelijk: juist organisaties in het publieke domein zijn meer en meer doelwit van criminelen. Daarnaast stijgt in zowel het publieke als private domein het aantal hack-aanvallen, ransomware infecties en het aantal datadiefstallen.

De stijging is zelfs zo groot dat de Autoriteit Persoonsgegevens onlangs de noodklok luidde.

Slachtoffer

Het is ook niet zo gek dat organisaties in het publieke domein slachtoffer worden; zij hebben veel persoonlijke en gevoelige data in huis. Vaak zoveel dat er eenvoudig een profiel te maken is van een persoon. En dan ligt identiteitsfraude en oplichting om de hoek. Zoals al gezegd: één moment van onoplettendheid en je bankrekening is leeg.

Hackers worden steeds slimmer, handiger en harder. Door organisaties als lokale en centrale overheidsinstellingen, zorginstellingen, ziekenhuizen, woningcorporaties en onderwijsinstellingen als doelwit te gebruiken zijn er twee businessmodellen in één klap te verzilveren:

  1. Geld buit maken van de organisatie in de vorm van losgeld of via de zogenaamde CEO-fraude; én
  2. Geld buit maken van de klanten van deze organisaties met onder andere identiteitsfraude.

De druk ligt inmiddels niet alleen maar bij de IT-afdeling of de security officer. Deze druk gaat ook gevoeld worden door de directeuren, bestuurders en de raden van toezicht.

Risico’s verminderen

Maar hoe maak je de kans op een hack, datadiefstal of ransomware nou kleiner:

  1. Zoals het AP al zegt: stel multi-factor authenticatie in.
  2. Gebruik zero-trust als uitgangspunt. Het klinkt negatief (vertrouw niemand en niets), maar kan echt het verschil maken.
  3. Maak collega’s bewust van de risico’s van phishing en social engineering; zorg dat de ‘human firewall’ aan gaat!
  4. Zorg voor een security architectuur. Daardoor blijf je je bewust van de sterke en zwakke punten in je beveiliging.
  5. Meet en wees alert. Ieder klein incident kan een signaal zijn van iets groots. Zorg dat je incident en crisisproces goed is ingericht en oefen dit.
  6. Zorg dat back-ups gemaakt worden en dat deze niet gecorrumpeerd kunnen worden door ransomware. Anders kan je ze net zo goed niet maken.
  7. Omarm governance, in plaats van het zien als ‘papierschuiverij’. Als je geen sterke governance inricht, zijn checks and balances op volledigheid en veiligheid niet te controleren.
  8. Leg vast wat je doet, meet, rapporteer en verbeter. Plan, do, check en act. Het werkt. En het Compliance Management Framework helpt je in control te komen.

En als je het even niet meer weet: huur een expert in. Om je te helpen of je te toetsen. Beter dat dan al je klanten of patiënten met onoverzienbare schade op te zadelen..

Dit soort hacks mogen we nooit normaal gaan vinden! Actie is nodig.

Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy en GRC. Audittrail ondersteunt organisatie met het opzetten van bewustwordingsprogramma’s en biedt organisatie inzicht in het bewustwordingsniveau van haar medewerker. Ben je geïnteresseerd in hoe jouw organisatie reageert op een phishingmail of heb je vragen naar aanleiding van dit artikel? laat het ons weten via mail@audittrail.nl of via 071 – 747 17 17.