Hoe kunt u het risico op een datalek binnen uw organisatie beperken?

Regelmatig lees ik berichten over gevoelige gegevens die op straat zijn beland. Sterker nog, één keer zoeken op “data op straat” over de afgelopen maand brengt mij op de eerste pagina al bij een datalek van het mega-festival Tomorrowland, een dubbel lek van een Amersfoortse school in het speciaal onderwijs en schijnbaar het grootste datalek ooit van Collection #1. In dit laatste geval stonden maar liefst 773 miljoen unieke e-mail adressen en 21 miljoen unieke wachtwoorden openbaar online.

Vreemd genoeg verbaast dit aantal datalekken mij niet, want recentelijk meldde de Autoriteit Persoonsgegevens dat er in 2018 bijna 21.000 (!) datalekken gemeld zijn. Ter beeldvorming: dit zijn er meer dan 50 per dag. In de meeste gevallen ligt de oorzaak bij een medewerker van de organisatie. U wilt natuurlijk niet dat door uw medewerker gevoelige bedrijfsinformatie, klantgegevens of persoonsgegevens van personeel op straat belanden. Dus hoe kunt u dit voorkomen?

Veilig omgaan met data in 2018: opvallende feiten

Uit de jaarrapportage datalekken van de Autoriteit Persoonsgegevens komt interessante, maar schrikbarende informatie naar voren. Allereerst is er in 2018 een stijging van 109% gerealiseerd ten opzichte van het jaar ervoor wat betreft datalek-meldingen. De kans is groot dat dit te maken heeft met de AVG/GDPR die sinds mei vorig jaar van kracht zijn, maar een meldplicht geldt al vanaf 2016. Laten we deze stijging dus als positief ervaren: datalekken worden in ieder geval meer gemeld sinds de invoering.

Meest voorkomende oorzaken van een datalek

Ten tweede geeft de jaarrapportage duidelijk weer wat voor een type datalekken gemeld zijn in 2018. Oftewel, wat was de oorzaak? Met kop en schouders staat het versturen van gevoelige informatie naar de verkeerde ontvanger bovenaan. In 63% van de gemelde gevallen was dit de oorzaak. De overige 37% bestaat uit andere oorzaken, zoals kwijtgeraakte brieven of postpakketten, verloren of gestolen gegevensdragers zoals usb-sticks, maar ook hack- en phishing-activiteiten staan in de lijst. De laatstgenoemde categorie (hacking, malware en/of phishing) beslaat 4% van de meldingen en is de enige die niet bij interne medewerkers ligt. Dit is dus relatief een zeer kleine groep, zeker als u bedenkt dat ook deze oorzaken intern tot een minimum beperkt kunnen worden.

Wat u zelf kunt doen om een datalek te voorkomen

Uit de voorgaande tekst kunt u al enkele conclusies trekken. “Ga niet naar Tomorrowland”, bijvoorbeeld. Of u richt zich op de hoofdzaak en haalt er praktische tips uit voor uw eigen organisatie om een datalek te voorkomen. Want zoals u merkt, het menselijke aspect is de grootste in deze context. Wanneer alle medewerkers in uw organisatie oplettend zijn, boekt u al een enorme winst. Hieronder vindt u enkele afspraken die u met uw personeel kunt maken om het risico op een datalek te beperken.

1. Vergrendel uw apparaat, waar dan ook.

De eerste afspraak is een simpele en een effectieve. Gevoelige informatie staat nou eenmaal op pc’s, laptops, telefoons en vergelijkbare apparaten. Bent u niet in de buurt van dit apparaat? Vergrendel hem dan of sluit hem volledig af.

2. Ga verantwoord met wachtwoorden om.

Vervolgens is het raadzaam om ook uw wachtwoorden te versleutelen. Slaat u uw wachtwoorden op? Doe dit dan versleuteld en in een beschermde omgeving. Slaat u uw wachtwoorden lokaal op? Doe dit dan via een wachtwoordmanager, zoals KeePass. Dit soort managers vraagt u ook regelmatig wachtwoorden te wijzigen. Doen ze dit niet of maakt u toch geen gebruik van dergelijke applicaties? Zorg er dan zelf voor dat u en uw collega’s uw wachtwoorden regelmatig wijzigen.

3. Houd uw software en firmware up-to-date

In ons blog over legacy software updaten werd het belang van up-to-date software al eens benoemd. Naast dat u altijd over de nieuwste functionaliteiten beschikt, bent u ook optimaal beveiligd. Hackers richten zich namelijk vooral op verouderde software, omdat ze vanaf de update-patch terug kunnen werken. Zo vinden ze in een mum van tijd de zwakte van de verouderde versie. Om een wat simpelere metafoor te gebruiken: het lek in uw uitlaat is zo gevonden als u de speciale uitlaat-tape afwikkelt. Houd uw ICT-afdeling scherp op het updaten van uw software en voorkom datalekken.

4. Deel bestanden (met de juiste ontvanger) altijd via een beveiligde omgeving

Aangezien het meest voorkomende datalek informatie met de verkeerde persoon delen was, moet deze ertussen staan. Om hier wat dieper op in te gaan: als u bestanden deelt, doe dit dan via een veilige omgeving. Zet niet zomaar documenten op Dropbox of een usb-stick.

5. Vertrouw niemand

Deze vijfde en laatste afspraak klinkt mogelijk wat heftig, maar wat betreft bedrijfsgevoelige gegevens moet deze wel in het achterhoofd gehouden worden. Virussen, zoals malware, komen vaak via phishing e-mails binnen. Een onoplettende collega klikt zonder kwaad in de zin door op een ogenschijnlijk persoonlijk gerichte e-mail en het kwaad is al geschied.

Kijk goed uit voordat u invoegt op de digitale snelweg

Wanneer u met Boltrics’ Microsoft software in de cloud werkt, werkt u met Microsoft Azure. Oftewel, u werkt met een cloud platform waar voor ruim $1.000.000.000,- (één miljard) aan security in is geïnvesteerd. Daar staat alles veilig. Hopelijk ziet u in dat het grootste risico in een veel kleinere hoek zit en neemt u de tijd om de bovenstaande en vergelijkbare afspraken te introduceren in uw organisatie. We zitten tegenwoordig allemaal praktisch op de datasnelweg, nu alleen de theorie nog.