- ScreeningScreeningRisico's inventariseren, risico's beperken
Met screening weet u of uw toekomstig en huidig personeel (voor invulling van een andere functie) echt betrouwbaar is.
- CybersecurityCybersecurityVeiligheid
Heeft uw organisatie cyberrisico's voldoende afgedicht?
- Onderzoek fraude & integriteitFraude onderzoekenVermoedt u fraude?
Ontdekt u tekenen van fraude? Laat het ons onderzoeken. Zo heeft u bewijzen voor eventuele juridische stappen.
- Family Security OfficeFamily Security OfficeWie helpt mijn gezin als het gaat om veiligheid?
Het internet is een mooi medium. Maar via internet wordt het ook steeds eenvoudiger voor kwaadwilligen om mensen in hun privé-omgeving lastig te vallen.
- Security ConsultancySecurity ConsultancyIs mijn bedrijf voldoende beveiligd?
Plotseling wordt u geconfronteerd met een incident, zoals een inbraak of brand. Dan vraagt u zich wellicht af, of u de juiste maatregelen heeft genomen.
- CrisismanagementCrisismanagementOmgaan met crisissituaties
Een e-mailtje met een rekening van uw vaste leverancier. Zo op het eerste gezicht niets aan de hand, toch? Totdat even later al uw bestanden vergrendeld blijken te zijn.
- Actueel
- Over ons
- Veelgestelde vragen
- Team
- Vacatures
- Contact
Eerste hulp bij een datalek: “als mensen niet bij de data kunnen komen, kunnen ze het ook niet lekken”
De gegevens van ProRail-medewerkers, de geheime adressen van ondernemers uit het Kadaster, de klantgegevens van driehonderdduizend Toyotarijders, de persoonsgegevens van een GGZ-instelling in Utrecht – afgelopen jaar belandde er nogal wat data op straat. En het aantal datalekken zal in ons digitale tijdperk alleen maar toenemen. “Met alle gevolgens van dien”, vertelt ISP-consultant Ruben Gomes Faria. “Maar met de juiste preventieve maatregelen kunnen organisaties de kans op óf de schade van een datalek zoveel mogelijk beperken.”
Wanneer spreken we van een datalek?
‘Datalekken door cyberaanvallen bijna verdubbeld’, schreef de Autoriteit Persoonsgegevens (AP) afgelopen mei. Opnieuw mat de onafhankelijke toezichthouder van het recht op bescherming van persoonsgegevens een explosieve toename van het aantal meldingen van datalekken. Met een datalek bedoelen we de ongeoorloofde of onbedoelde toegang tot persoonsgegevens. In de meeste gevallen is een datalek het gevolg van een cyberaanval, een human error of door een systeemfout. “Heeft u updates niet geïnstalleerd of is uw systeem niet goed beveiligd, dan neemt de kans op een datalek toe”, legt Gomes Faria uit.
Wat zijn de gevolgen van een datalek?
“Een datalek heeft meestentijds een enorme impact op een organisatie”, legt Gomes Faria uit. “Bedrijven komen soms zelfs helemaal stil te liggen. Als je als webshop wekenlang niets kunt verkopen, dan loop je grote financiële schade op.” Maar ook imagoschade, wantrouwen en verlies van klanten en partners en emotionele schade onder personeelsleden kunnen het gevolg zijn. Is uw organisatie slachtoffer van een datalek? Dan kan het zijn dat u dit moet melden aan de Autoriteit Persoonsgegevens en aan de betrokken personen. Dit hangt af van het risico op schade.
Wanneer moet ik een datalek melden?
Ernstige datalekken die een risico vormen voor de rechten en vrijheden van betrokken, moeten binnen 72 uur gemeld worden bij het Meldloket van de AP. Twijfelt u of u een meldplicht heeft? Lees hier meer. Als een mail met daarin een factuur bij de verkeerde ontvanger terecht komt, hoeft dit niet meteen enorme gevolgen te hebben. “Toch is het bij ieder datalek belangrijk om een afweging van de risico’s te maken en de situatie te de-escaleren”, aldus Ruben Gomes Faria. “In het geval van een foutief verzonden mail zou dat al kunnen door de ontvanger te verzoek om de eerdere mail te verwijderen. Daarna moet degene die de mail oorspronkelijk had moeten ontvangen op de hoogte worden gesteld van het lek én de stappen die vervolgens genomen zijn.” Volg dit stappenplan indien u te maken heeft met een datalek.
Hoe kan ik een datalek voorkomen?
“Ieder bedrijf verwerkt gegevens”, vertelt Gomes Faria. “Ieder bedrijf heeft dus ook de verplichting een informatiebeveiligingsbeleid op te stellen.” Volgens Gomes Faria komen veel organisaties pas in actie als ze slachtoffer zijn geworden van een datalek. “Maar veel beter is preventieve maatregelen te treffen.” Dat is sinds enige tijds zelfs verplicht met NIS (Network and Information Security), de eerste EU-brede wetgeving op het gebied van cyberbeveiliging.
“Dat begint dus met een goed beleid. Het is de verantwoording van een bedrijf om dit beleid op te stellen én te managen.” Ook de beveiliging van systemen zou hierin opgenomen moeten worden: “om een hack te voorkomen, is het belangrijk de informatiebeveiliging op orde te hebben en beleid te vertalen naar elektronische, organisatorische en fysieke maatregelen die aansluiten op de dagelijkse werkzaamheden van medewerkers”, legt Gomes Faria uit. “Denk aan het implementeren van een tweestapsverificatie, encryptie, werken via een VPN-verbinding en een duidelijk wachtwoordbeleid. Eén maatregel is niet genoeg. Ook een diefstal op locatie kan immers een dreiging zijn voor een datalek. Het gaat juist om een totaalpakket aan maatregelen”, voegt Gomes Faria toe. “Ik denk altijd maar zo: als mensen niet gemachtigd zijn om alle toepassingen op data te gebruiken, is de kans dat ze data lekken ook een stuk kleiner.” Minstens zo belangrijk is het om bewustzijn te creëren onder uw medewerkers. “Als een collega een nep e-mailtje herkent, kan een datalek zelfs voorkomen worden.”
Wat kan ISP voor u betekenen bij een datalek?
Met een breed pakket aan diensten, helpt ISP de risico’s van cybercriminaliteit te verkleinen. Wij ondersteunen u bij het opstellen van het beleid en het installeren van veilige systemen, we adviseren over passende maatregelen en helpen u het bewustzijn en de weerbaarheid van uw werknemers te verhogen. Dit doen we meer aan de hand van een kwetsbaarheidsscan of pentest en door cyber-awareness trainingen aan te bieden. Daarnaast organiseren we crisismanmagementtrainingen specifiek gericht cyber risico’s zoals dat van een datalek. Tijdens de simulatie wordt aan de hand van een zo realistisch mogelijk scenario, bijvoorbeeld dat van een ransomware aanval, het crisisteam getraind in het managen van een dergelijk ingrijpend incident. Het volledige informatiebeveiligingsbeleid nemen we onder de loep tijdens een zogenoemde informatiebeveiligingsaudit. “Dan checken we of het beleid aan alle voorwaarden voldoen”, legt Gomes Faria uit. “Naar aanleiding van de audit, stellen we een rapportage op met heldere aanbevelingen en geven we duidelijke handvatten over hoe u deze kunt implementeren in uw organisatie.”
Wilt u meer weten of heeft u vragen over hoe we uw organisatie kunnen helpen een datalek te voorkomen? Neem contact met ons op voor een vrijblijvend adviesgesprek. Wij helpen u graag verder!