België meldt steeds meer datalekken, maar u toch zeker niet?
Hoe zorgt u ervoor dat een datalek uw organisatie niet overkomt?
Dinsdag 22 oktober 2019 | Leestijd: 8 minuten
In mei 2018 is de Algemene Verordening Gegevensbescherming (AVG), ook bekend als GDPR, in werking getreden. Een belangrijk onderdeel van de AVG is de verplichting voor organisaties om te zorgen dat persoonsgegevens veilig opgeslagen worden én onbevoegden deze gegevens niet kunnen inzien. Een steeds groter wordend probleem hierbij is het fenomeen datalek. Het aantal gemelde datalekken is in 2018 in België toegenomen tot 449 sinds de invoering van de verordening. Vergelijken we dat met onze buurlanden is dit aantal echter zeer laag. In Nederland waren er in dezelfde periode 15.400 meldingen en in Duitsland 12.600. Dit komt waarschijnlijk omdat het nog niet geheel bekend is wat nu wel en niet gemeld moet worden als datalek. Wel kunnen we zeggen dat niemand zit te wachten op een datalek en al het gedoe wat daar ook nog eens bij komt kijken. Onze tips helpen u op weg om datalekken in uw organisatie zoveel mogelijk te voorkomen!
Wat is een datalek ook alweer?
U weet vast wel wat een datalek is. Heeft u even een opfrisser nodig?
Updates uitstellen maakt de organisatie kwetsbaar
Updates komen vaak niet gelegen. Vooral in organisaties die 24/7 ‘aan’ staan, betekent een update dat het proces enige tijd stil komt te liggen. Tijd is geld, dus het is begrijpelijk dat dit niet voor elke update gedaan wordt. Helaas kunnen er dan wel situaties ontstaan waarbij er een kwetsbaarheid ontstaat in het netwerk. En hierdoor wordt het eenvoudiger voor onbevoegden om binnen te komen.
Een recent voorbeeld is dat van de VPN verbindingen van Pulse Secure. In april brengt Pulse een belangrijke update uit nadat blijkt dat de beveiliging niet op orde is en iedereen vrij eenvoudig binnen kan komen op het netwerk van organisaties via een zwakte in de VPN verbinding. Helaas blijkt een half jaar later dat maar liefst 538 organisaties deze update nog niet hebben uitgevoerd. Zo ook KLM/Air France en Shell. Ook de Nederlandse Luchtverkeersleiding had zijn netwerk nog wagenwijd openstaan. We kunnen ons allemaal wel voorstellen wat er kan gebeuren als een kwaadwillende hier lucht van had gekregen…
De wijze les is dan ook om updates niet te lang uit te stellen. Tijd is geld en productie stilleggen komt nooit uit, maar als hackers binnenkomen door een beveiligingslek dat met een ‘simpele’ update voorkomen had kunnen worden, kost dat alleen maar meer (tijd, geld en imago)!
Weet wat u deelt
De tijd dat een organisatie een fileserver had (of één schijf met allemaal mappen) die voor iedereen binnen de organisatie vrij toegankelijk was, is inmiddels wel geweest. Ook alle medewerkers toegang geven tot alle mogelijke systemen binnen de organisatie, is niet langer ‘done’. Hetzelfde geldt voor gedeelde inloggegevens. Heeft iedereen altijd toegang nodig tot alle gegevens? We zien dat steeds meer organisaties zich daar bewust van zijn en daar maatregelen voor treffen. Toch zijn we er nog niet, informatiebeveiliging kan en moet bij veel organisaties nog beter!
Een documentmanagementsysteem biedt naast een centrale plek waar documenten opgeslagen kunnen worden ook de mogelijkheid om te bepalen wie welke documenten mag raadplegen. Daarnaast kunt u instellen dat er bijvoorbeeld een leesbevestiging verstuurd wordt en dat alleen specifieke personen (denk aan managers) bepaalde documenten mogen bewerken.
Tot slot is ook het inlogproces voor systemen een punt van aandacht. U wilt dit niet onnodig moeilijk maken, maar u wil ook voorkomen dat er veel te makkelijk ingelogd kan worden. Denk aan oplossingen als multi-factor authentication waarmee een extra beveiligingsstap wordt ingebouwd en voorkomen wordt dat er ingelogd kan worden met enkel een wachtwoord.
Bescherm álle apparaten van uw medewerkers
U kunt aan alle kanten nog zoveel beveiligen, maar wat gebeurt er als een medewerker een laptop of telefoon verliest, of deze worden gestolen? Uiteraard zijn devices tegenwoordig steeds vaker beveiligd met wachtwoorden, pincodes, vingerafdrukken of gezichtsherkenning, maar niet iedereen gebruikt dit vrijwillig.
Het is dus goed om protocollen te hebben om dit soort zaken te regelen. Denk aan het afdwingen van een bepaalde vorm van toegangscontrole op eigen devices, als daarop bedrijfsgegevens geraadpleegd worden (zoals e-mail op een eigen smartphone). Maar ook het wissen op afstand van verloren of gestolen apparaten, het instellen van encryptie voor de harde schijf of de externe opslag als USB-sticks én de eerder genoemde multi-factor authentication, zijn zaken die u met devicemanagement kunt regelen.
De menselijke factor is een risicofactor
Een groot deel van de datalekken ontstaat door menselijk handelen. De top 3:
- Verkeerde ontvanger van e-mailberichten
- Verkeerd geadresseerde fysieke post
- Verliezen smartphone met data
Deze laatste optie is nooit helemaal te voorkomen, maar de gevolgen kunnen wel beperkt worden met devicemanagement.
Maar ook de eerste twee zijn niet te voorkomen en daarvan zijn de gevolgen ook lastig te beperken. Een brief die eenmaal op de post is gegaan, is niet meer tegen te houden. En hoewel de meeste e-mailprogramma’s een ‘bericht intrekken’ functie hebben, werkt deze alleen als de mail nog niet op de server van de ontvanger is afgeleverd.
Is er dan helemaal niets wat u kunt doen? Natuurlijk wel! Met voorlichting en training kunt u de bewustwording van medewerkers verhogen, waardoor ze in ieder geval beter op de hoogte zijn van wat een bepaalde handeling voor gevolgen kan hebben.
Voorlichting en training stopt niet bij een eenmalige actie. Om het goed te laten landen, is de kracht van herhaling zeker aan te raden. Met e-learning software kunt u op een laagdrempelige manier trainingen aanbieden die medewerkers op een voor hun passend moment kunnen volgen. Vervolgens kunt u middels een toets checken of de informatie voldoende is overgekomen.
Datalekken voorkomen is utopie
Ook al volgt u alle tips op en heeft u de informatiebeveiliging tot in de puntjes geregeld, dan nog is dat geen garantie dat er binnen de organisatie geen datalek meer zal voorkomen. Het is namelijk nooit helemaal te voorkomen omdat u nu eenmaal van verschillende factoren afhankelijk bent.
Wél kunt u zich er middels deze tips van verzekeren dat u al het mogelijke hebt gedaan om een datalek zoveel mogelijk te voorkomen (en de gevolgen zover mogelijk te beperken). Moet u toch een datalek melden? Dan kunt u in ieder geval aantonen dat u alles heeft gedaan om deze zo veel mogelijk te voorkomen en daar houdt de Gegevensbeschermigsautorisateit rekening mee in het bepalen van schuld en een eventuele boete.
Bent u benieuwd hoe de software van Infoland kan bijdragen aan het voorkomen van datalekken binnen uw organisatie? Neem dan eens contact op met onze experts.