Wij maken gebruik van Cookies. Cookies zijn bestanden die in je browser worden opgeslagen en zorgen dat de website optimaal werkt, dat je sneller vindt wat je zoekt en dat getoonde content voor jou zo relevant mogelijk is. Lees er meer over in ons cookies- en privacybeleid. Klik hieronder het gewenste niveau.
Niveau 1: Deze cookies zijn noodzakelijk voor een goed en veilig werkende website.
Niveau 1+2: Met deze cookies maken we de website persoonlijker en gebruiksvriendelijker.
Niveau 1+2+3: Deze cookies zorgen ervoor dat we je relevante advertenties kunnen laten zien.
Blog

Waarom is security pas belangrijk als onszelf iets overkomt?

Door: Henri Kluijtmans 13-09-2017

Op 7 september jl. kwam een datalek bij Equifax in het nieuws.

Het meest schokkend

Zijn de 209.000 gelekte creditcardnummers het meest schokkend? Nee!

Zijn de 143 miljoen gelekte klanten records hebben het meest schokkend? Nee!

Het meest schokkend is dat de hackers toesloegen in de periode mei-juli en het lek pas werd ontdekt op 29 juli. De hackers hebben 2 maanden lang hun gang kunnen gaan.

Data van een bedrijf met ruim 800 miljoen klanten

Hoe bestaat het dat een bedrijf dat wereldwijd ruim 800 miljoen klanten heeft en zeer privacy gevoelige informatie verzamelt, opslaat en verkoopt niet in de gaten heeft dat hackers al twee maanden lang gegevens aan het verzamelen zijn?

Buddy de mascotte die voor een scherm staat met een slot erop
Buddy de Mascotte staat voor de kaart van Nederland

Kan dit in Nederland ook gebeuren?

Iedereen die deze vraag met nee beantwoordt leest geen krant, kijkt nooit naar het journaal, luistert niet naar de radio of spreekt nooit andere mensen over dit onderwerp.

Het AMC was op 28 februari van dit jaar nog in het nieuws omdat de gegevens van 2000 patiënten toegankelijk waren ten gevolge van een datalek.

Wat is eigenlijk een datalek?

Volgens de Autoriteit Bescherming Persoonsgegevens is de definitie als volgt:

"Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan.

Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek.

Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten."

Wat kun je doen aan het verbeteren van de security

Om antwoord op die vraag te geven moeten we eerst onderstaande vragen beantwoorden

Dit zijn de drie belangrijke vragen

  1. Wat moet/kan ik doen om hackers buiten de deur te houden?
  2. Waar kan een hacker naar op zoek zijn?
  3. Hoe weet ik dat hackers bezig zijn op mijn systeem?

1. Wat moet/kan ik doen om hackers buiten de deur te houden?

Voor een antwoord op de eerste vraag is een risicoanalyse de beste start. Als je als organisatie weet welke risico’s je loopt dan kun je er ook iets tegen doen. Een risicoanalyse bepaalt onder andere hoe moeilijk of eenvoudig een hack te plaatsen is, hoe bekend de opening en/of fout in een systeem is en aan welke eisen een hacker moet voldoen om de hack te plaatsen. Op basis van deze afwegingen kunnen dan maatregelen worden genomen.

2. Waar kan een hacker naar op zoek zijn?

Zodra de risico’s bekend zijn komt vraag twee aan de orde. "Waar kan een hacker naar op zoek zijn?"

  • Wil hij geld (overmaken naar een bankrekening of afpersen)?
  • Wil hij (persoons)gegevens?
  • Wil hij (bedrijfs)geheimen?

(Bij persoonsgegevens is het daarnaast ook nog van belang dat er bij een datalek zonder tijdige melding een boete opgelegd kan worden door de autoriteit bescherming persoonsgegevens.)

  • En de aanvullende vraag; wat is de schade die de hacker daarmee aanricht?

3. Hoe weet ik dat hackers bezig zijn op mijn systeem?

De derde vraag "hoe weet ik dat hackers bezig zijn op mijn systeem?" is een hele belangrijke, wat juist bij Equifax niet goed is gegaan. Als je niet weet wie legaal dan wel illegaal op je systeem bezig is dan weet je ook niet wat je kwijt raakt. Gehackt worden is misschien wel niet eens zo erg, maar niet weten dat je gehackt wordt is zeker een heel groot probleem.

Dus naast het beveiligen van je infrastructuur en applicaties, het opleiden en bewust maken van gebruikers, het testen van de maatregelen, procedures en applicaties, is ook het monitoren van systemen een heel belangrijke activiteit die vaak wordt.

Denk de volgende keer bij het opstarten van een project eens aan de Secure Development Lifecycle. Dat zijn tools en aanwijzingen voor het inrichten van de beveiliging van je applicatie en systemen. Van risico assessment tot security testen en incident response.

Buddy de mascotte is op zoek naar antwoorden op vragen

Secure Development Lifecycle

Zo ziet een Secure Development Lifecycle eruit

Benieuwd naar de verschillende security trainingen?

Bekijk dan de mogelijkheden op Fundamental, Practical en Management niveau via onderstaande knop. ../trainingen/security">Security trainingen

Heb je vragen?
Onze deskundige opleidingsadviseurs helpen je graag bij het maken van de juiste keuze!
Waarom @The Academy?
Praten Icon
Hoge klanttevredenheid
8,7 uit 4072 evaluaties
Checklist Icon
Spreiden van lesdagen
flexibiliteit voor uw gemak
Medewerker Icon
Persoonlijk advies
bij het zoeken van de juiste training
Virtueel Icon
Virtueel trainen
voor alle klassikale en blended trainingen