Search


Waarom is security pas belangrijk als onszelf iets overkomt?

Door: Henri Kluijtmans 13-09-2017

Op 7 september jl. kwam een datalek bij Equifax in het nieuws.   Zijn de 209.000 gelekte creditcardnummers het meest schokkend? Nee!
Digitaal slot


Zijn de 143 miljoen gelekte klanten records hebben het meest schokkend? Nee!

Het meest schokkend is dat de hackers toesloegen in de periode mei-juli en het lek pas werd ontdekt op 29 juli. De hackers hebben 2 maanden lang hun gang kunnen gaan.


Hoe bestaat het dat een bedrijf dat wereldwijd ruim 800 miljoen klanten heeft en zeer privacy gevoelige informatie verzamelt, opslaat en verkoopt niet in de gaten heeft dat hackers al twee maanden lang gegevens aan het verzamelen zijn?

Kan dit in Nederland ook gebeuren?


Iedereen die deze vraag met nee beantwoordt leest geen krant, kijkt nooit naar het journaal, luistert niet naar de radio of spreekt nooit andere mensen over dit onderwerp.

Het AMC was op 28 februari van dit jaar nog in het nieuws omdat de gegevens van 2000 patiënten toegankelijk waren ten gevolge van een datalek.


Wat is eigenlijk een datalek?


Volgens de Autoriteit Bescherming Persoonsgegevens is de definitie als volgt:

“Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten.”


We hebben met drie belangrijke vragen te maken:

  1. Wat moet/kan ik doen om hackers buiten de deur te houden?
  2. Waar kan een hacker naar op zoek zijn?
  3. Hoe weet ik dat hackers bezig zijn op mijn systeem?

Voor een antwoord op de eerste vraag is een risicoanalyse de beste start. Als je als organisatie weet welke risico’s je loopt dan kun je er ook iets tegen doen. Een risicoanalyse bepaalt onder andere hoe moeilijk of eenvoudig een hack te plaatsen is, hoe bekend de opening en/of fout in een systeem is en aan welke eisen een hacker moet voldoen om de hack te plaatsen. Op basis van deze afwegingen kunnen dan maatregelen worden genomen.

Zodra de risico’s bekend zijn komt vraag twee aan de orde. "Waar kan een hacker naar op zoek zijn?"

  • Wil hij geld (overmaken naar een bankrekening of afpersen)?
  • Wil hij (persoons)gegevens?
  • Wil hij (bedrijfs)geheimen?
(Bij persoonsgegevens is het daarnaast ook nog van belang dat er bij een datalek zonder tijdige melding een boete opgelegd kan worden door de autoriteit bescherming persoonsgegevens.)
  • En de aanvullende vraag; wat is de schade die de hacker daarmee aanricht?

De derde vraag "hoe weet ik dat hackers bezig zijn op mijn systeem?" is een hele belangrijke, wat juist bij Equifax niet goed is gegaan. Als je niet weet wie legaal dan wel illegaal op je systeem bezig is dan weet je ook niet wat je kwijt raakt. Gehackt worden is misschien wel niet eens zo erg, maar niet weten dat je gehackt wordt is zeker een heel groot probleem.

Dus naast het beveiligen van je infrastructuur en applicaties, het opleiden en bewust maken van gebruikers, het testen van de maatregelen, procedures en applicaties, is ook het monitoren van systemen een heel belangrijke activiteit die vaak wordt.

Denk de volgende keer bij het opstarten van een project eens aan de Secure Development Lifecycle. Dat zijn tools en aanwijzingen voor het inrichten van de beveiliging van je applicatie en systemen. Van risico assessment tot security testen en incident response.

 
Secure Development Cycle

Dit is het eerste artikel in onze security-reeks, schrijf je in voor onze nieuwsbrief om op de hoogte te worden gehouden van de nieuwste artikelen.