Het is voor veel bedrijven een voortdurende bron van bezorgdheid: vertrouwelijke gegevens die op straat komen te liggen. Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG) en daarmee riskeer je als ondernemer een forse boete wanneer je niet aan de meldplicht en richtlijnen voldoet én vertrouwelijke gegevens niet op de juiste manier beschermt. Steeds vaker komen bedrijven in het nieuws met de melding dat er weer een datalek is, zoals bijvoorbeeld de KNVB of de Universiteit van Maastricht.
Ook worden regelmatig boetes uitgedeeld. Dit gaat ook vaak gepaard met dat deze bedrijven slachtoffer zijn van een cyberaanval. Datalekken komen veelvuldig voor en die wil je altijd voorkomen. Omdat jij als bedrijf verantwoordelijk bent voor de persoonsgegevens van klanten die jij opslaat. Niet als jij als bedrijf lijdt schade door een datalek, maar ook jouw klanten.
Met welke dreigingen moet jouw bedrijf rekening houden en wat zijn de gevolgen van datalekken? Plus: welke maatregelen tref je om datalekken in jouw bedrijf zoveel mogelijk te voorkomen?
Wat is een datalek?
Er is sprake van een datalek wanneer vertrouwelijke gegevens gedeeld, verloren, gewijzigd of vernietigd worden zónder dat dit de bedoeling was. Gegevens hoeven niet per se gelekt te worden naar derden, maar ook een onversleutelde laptop in een trein laten liggen behoort tot een datalek. Denk dus altijd goed na wanneer jij een datalek moet melden. Volgens de meldplicht moet jij binnen 72 uur wanneer jij kennis hebt van een datalek deze melden. Vaak is het verstandig om samen met een legal team of eenjurist de melding te doen.
Wat zijn de gevolgen van datalekken voor bedrijven?
Het grootste gevolg van een datalek is dat vertrouwelijke persoonsgegevens van klanten in handen van derden kunnen vallen. Kwaadwillenden kunnen met deze data allerlei vormen van cybercrime plegen. Het lekken van data kan bijvoorbeeld leiden tot identiteitsdiefstal of BEC-fraude. Maar ook het bedrijf zelf zijn de gevolgen groot.
Afhankelijk van de omstandigheden kun jij als ondernemer verantwoordelijk zijn voor de gevolgen van een datalek. Jij kunt een forse boete krijgen van de Autoriteit Persoonsgegevens. Omdat jij een datalek moet melden, kan het ook tot reputatieschade leiden. Vaak heb je ook enorme kosten om de datalek te onderzoeken en te dichten en om maatregelen te nemen zodat een volgende keer niet weer gebeurt. Om die reden is het belangrijk te weten welke externe en interne dreigingen er zijn voor jouw bedrijf of organisatie.
Wat wordt bedoeld met een externe dreiging voor bedrijven?
Hackers kunnen vertrouwelijke gegevens van klanten buitmaken door middel van ransomware. Dit is software die bestanden en computers 'gijzelt'. Ransomware is een chantagemiddel, want vaak moet er losgeld worden betaald voor versleutelde data weer wordt vrijgegeven.
Bij ransomware wordt de data versleuteld en daardoor gewijzigd. Als er geen goede back-ups zijn die kunnen worden teruggezet, is de data ook verloren. En omdat bij ransomware kwaadwillende al toegang hebben verkregen tot vertrouwelijke informatie en hiermee ook dreigen te publiceren/lekken, behoort ransomware sowieso tot een datalek.
Eigenlijk altijd als een cybercrimineel een (e-mail)account of systeem heeft gehackt is het ook een datalek, als daar vertrouwelijke informatie in stond. Daarom is het ook goed om te weten welke informatie waar staat opgeslagen. Als bij BEC-fraude een e-mailaccount is gehackt, is dit ook een datalek.
Een DDoS aanval kan ook tot een datalek behoren als het systeem die wordt aangevallen zoveel schade heeft dat deze vernietigd wordt. Wat wel en geen datalek is, zou je het beste kunnen bespreken met juristen. Maar bedenk dat over het algemeen alles wat te maken heeft met een cyberaanval al snel een datalek is en dus gemeld moet worden.
Wat zijn interne dreigingen voor bedrijven?
Behalve externe dreigingen liggen er ook interne bedreigingen op de loer. Het gaat bijvoorbeeld om medewerkers die data lekken, bijvoorbeeld door per ongeluk belangrijke documenten te printen en die vervolgens in de trein te laten liggen. Het komt ook voor dat een niet-versleutelde laptop of een USB-stick onbeheerd wordt achtergelaten met alle gevolgen van dien.
Ook komt het steeds vaker voor dat medewerkers worden omgekocht om data te lekken van bedrijven. Zoals we hebben gezien bij het GGD-datalek waarbij drie medewerkers grootschalig data illegaal verhandelden
Wat kun je doen om je bedrijf te beschermen tegen dreigingen?
Wil jij je bedrijf beschermen tegen interne of externe dreigingen? Wil je ransomware voorkomen? Tref de nodige maatregelen om het risico op datalekken zoveel mogelijk te verkleinen. We geven je een aantal tips:
Stel tweefactorauthenticatie in
Tweefactorauthenticatie (2FA) is een extra veiligheidslaag om in te loggen op een website of applicatie. Op die manier verklein je de kans dat hackers toegang krijgen tot accounts of andere privacygevoelige informatie.
Maak gebruik van monitoring detectiesystemen
Vroegtijdig verdachte patronen signaleren? Maak gebruik van monitoring detectiesystemen. Hierbij richt je je systeem zo in dat phishingmails worden gedetecteerd zodra er op een link wordt geklikt. Via een phishingmail kan toegang worden verkregen tot bedrijfssystemen. Het monitoren van je bedrijfsnetwerk is essentieel om aanvallen door hackers te detecteren en een succesvolle aanval te voorkomen, doordat je de juiste maatregelen neemt.
Stel een wachtwoordpolicy op
Adviseer medewerkers in je bedrijf om minimaal eenmaal per drie maanden hun wachtwoorden te wijzigen. Het opstellen van een wachtwoordpolicy helpt om dit praktisch vorm te geven. Hierin neem je op hoe werknemers sterke wachtwoorden kiezen, hoe ze de wachtwoorden opslaan en hoe vaak ze wachtwoorden moeten wijzigen. Maak medewerkers ook bewust van je privacybeleid zodat ze altijd zorgvuldig omgaan met vertrouwelijke informatie van klanten. Door deze maatregel zal een brute-force aanval door hackers, waarbij ze proberen om wachtwoorden te kraken veel minder kans van slagen hebben.
Maak je medewerkers bewust
Stel een privacybeleid op en maak medewerkers bewust van je privacybeleid zodat ze altijd zorgvuldig omgaan met vertrouwelijke informatie van klanten. Maar maak jouw medewerkers ook bewust van cybersecurity en train ze bijvoorbeeld in het herkennen van phishing.
Zorg dat ze altijd een computer locken als zij van hun werkplek weglopen. Maar ook vertrouwelijke gegevens versturen naar hun privé e-mail zou niet mogen! Dit gebeurt helaas wel vaak, medewerkers nemen vertrouwelijke gegevens mee naar huis. Het bedrijf heeft geen zicht op de beveiliging. Stel hiervoor een beleid op waar de medewerkers zich aan moeten houden.
Houd software up-to-date
Wil je een infectie door ransomware verkleinen? Houd alle software in je bedrijf up-to-date. Op die manier werk je altijd met de nieuwste en veiligste software en maak je het hackers lastig om binnen te dringen in je netwerk.
Investeer in goede antivirusprogramma's
Met goede antivirussoftware bescherm jij je bedrijf permanent tegen virussen, ransomware en andere schadelijke software die bekend zijn. Maar als een kwaadaardige software nog niet bekend is voor de wereld, zal alleen een antivirus programma jou niet beschermen. Dus zorg ook dat je de andere maatregelen implementeert zoals hier beschreven..
Wie geef je toegang tot welke informatie?
Bepaal en beperk de toegangsrechten per medewerker om te voorkomen dat derden toegang krijgen vertrouwelijke informatie. Bekijk per gebruiker welke toegang nodig is. Doe je dit niet, dan geef je hackers via een gebruiker meerdere rechten en kan relevante data op straat komen te liggen. Deze maatregel maakt je ook minder vatbaar voor ransomware.
Conclusie
Datalekken berokkenen bedrijven en directbetrokkenen schade. Houd je daarom aan de richtlijnen die gelden vanuit de Algemene Verordening Gegevensbescherming en zorg dat je de juiste maatregelen treft om de gevolgen van interne en externe bedreigingen zoveel mogelijk te beperken.
