Datalekken: oorzaken en oplossingen

Organisaties werken vandaag de dag veelal met bedrijfs- en persoonsgegevens die online toegankelijk zijn. Dat deze gegevens niet altijd veilig zijn wordt mede bewezen door de continue stroom van datalekken. Het verminderen van de risico’s vereist eerder discipline dan rocket science.

Omvang datalekken

Datalekken omvatten alle toegang, verlies, wijziging of beschikbaar komen van gegevens zonder dat dit de bedoeling is van de organisatie. Dat datalekken een omvangrijk probleem vormen mag blijken uit de omvang van incidenten die het afgelopen jaar het nieuws hebben gehaald.

Datalekken data security
[Bron: https://www.statista.com/chart/5983/data-breaches/]
Zie de blog ‘Datalekken: wetgever breidt maatregelen uit‘ voor verdere voorbeelden van datalekken in Nederland.

Veroorzakers datalekken

Het zijn met name de eigen medewerkers die de beveiligingsproblemen veroorzaken (60%). In 85% van alle gevallen (intern en extern veroorzaakt) gaat het om een bewuste acties.

Most cyber attacks are an inside job
[Bron: https://www.statista.com/chart/4994/most-cyber-attacks-are-an-inside-job/]

Oorzaken datalekken

Belangrijke oorzaak van het onbedoeld lekken van data is het kwijtraken van een laptop, tablet of usb-stick die onvoldoende is beschermd tegen onbevoegde toegang.

Kwaadwillende datalekken ontstaan vooral via het onderscheppen, ontfutselen (phishing) of raden van inloggegevens en wachtwoorden. Vooral dat laatste is een veel toegepaste methode door hackers en eigen collega’s. Naast de namen van kinderen, partners en huisdieren zijn er nog diverse andere veelvoorkomende wachtwoorden waarmee een beginnend en gevorderde hacker aan de slag kan (en in de praktijk ook gaat).

De wachtwoorden in het onderstaand overzicht werden bekend las gevolg van de diefstal van de gegevens van 117 miljoen LinkedIn gebruikers. De wachtwoorden bleken in een groot aantal gevallen te worden gebruikt voor meerdere social media accounts.  Het mag worden aangenomen dat betreffende gebruikers voor hun zakelijke toepassingen dezelfde eenvoudige wachtwoorden kiezen.

[Bron: https://www.statista.com/chart/4974/social-media_-people-still-use-pathetic-passwords/]

Risico’s datalekken

Naast het onbedoeld vrijkomen van concurrentiegevoelige digitale informatie zorgt ook de openbaring van digitaal opgeslagen persoonlijke informatie voor de nodige risico’s: zowel in de vorm van aansprakelijkheid als ook reputatie- en omzetschade (verlies klanten) en het potentiële verlies van partners in de supply chain.

Daarnaast zijn wettelijke maatregelen van kracht die via hoge boetes zowel het bewustzijn als een hoger niveau van gegevensbeveiliging beogen af te dwingen. Zie de blog “Datalekken: wetgever breidt maatregelen uit”.

Datalekken: wetgever neemt maatregelen


Lees meer over: gevolgen Wet Datalekken

Verminderen van risico’s

Het beheersen of wegnemen van de oorzaken van datalekken vraagt om technische en organisatorische maatregelen.

Technische maatregelen zijn laagdrempelig, breed beschikbaar en afdwingbaar. Hiertoe behoren maatregelen als encryptie van gegevens en gegevensverkeer en afgedwongen beveiliging voor de toegang tot gegevens en infrastructuur (datalijnen, wifi, hardware) en het niet kunnen installeren van (illegale) software.

De hoofdoorzaken van datalekken komen echter voort uit een gebrek aan bewustzijn en discipline. Dit vraagt om organisatorische maatregelen die niet altijd afdwingbaar zijn.

Te denken valt aan:

  • Medewerkers bewust maken van de risico’s van datalekken, leren oorzaken te herkennen;
  • Veilig gedrag te bevorderen (o.a. niet openen van links of bestanden van onbekende email-herkomst, het niet ingaan op telefonische en e-mailverzoeken; aangaande het vrijgeven of veranderen inloggen en wachtwoordgegevens, het onversleuteld opschrijven of digitaal opslaan van inlog- en wachtwoordgegevens;
  • Voorkomen van het opslaan van onnodige gegevensverzamelingen;
  • Intern melden van het versturen van gegevens naar verkeerde e-mailadressen;
  • Discipline en voldoende niveau van wachtwoordbeveiliging.

Governance en de wet

Zowel Corporate Governance (de vereiste beheersing van interne processen) als ook wetgeving vereisen dat een organisatie over een plan beschikt dat duidelijk maakt op welke wijze een voldoende mate van gegevensbeveiliging wordt gerealiseerd.

Via een quick scan is het mogelijk om op korte termijn tegen een lage investering een goed beeld te krijgen van de belangrijkste risico’s en de te nemen maatregelen om een adequaat niveau van gegevens beveiliging te realiseren.

Mocht u hierover meer willen weten, neem dan contact op met één van onze kennispartners.

——-

Interessante links

Phishing: http://www.phishing.org/phishing-techniques/

Scroll naar boven