Digitalisering heeft er de afgelopen jaren voor gezorgd dat we efficiënter (samen)werken, ongeacht locatie en tijd. Tegelijkertijd heeft het ons kwetsbaarder gemaakt voor cyberaanvallen. Kwaadwillenden hoeven immers niet meer fysiek op kantoor in te breken om gevoelige data te stelen.
Voor een paar tientjes is op de zwarte markt kant-en-klare malware te vinden die relatief gemakkelijk is te verspreiden, bijvoorbeeld via een phishingmail of usb-stick. Het stelt de aanvaller in staat om op afstand een systeem over te nemen en ongestoord zijn gang te gaan.
Problemen voorkomen
Vooral gemeenten en de zorg worden regelmatig geconfronteerd met datalekken, maar ook in de financiële sector komen ze bovengemiddeld vaak voor. Veel problemen zijn te voorkomen door het treffen van de juiste technische maatregelen.
Denk aan het gebruik van systemen met een up-to-date besturingssysteem, antivirus- en malwarescanner, een firewall en de verplichting om met een VPN-verbinding in te loggen op het bedrijfsnetwerk. Een VPN versleutelt het internetverkeer en voorkomt dat communicatie afgetapt kan worden.
Een IT-afdeling kan er daarnaast voor kiezen gebruikers alleen toegang te geven tot beveiligde HTTPS-websites met een digitaal certificaat, te herkennen aan een (groen) slotje en de tekst ‘veilig’ vóór de URL van de website. Zo voorkom je dat medewerkers per abuis terechtkomen op nepwebsites, aangezien die zo’n certificaat meestal niet kunnen overleggen.
Meldplicht datalekken
Dat het slim is dergelijke maatregelen te treffen moge duidelijk zijn. Geen enkel bedrijf zit immers te wachten op een datalek. Helemaal sinds 1 januari 2016 de meldplicht datalekken is ingevoerd. Die is onder meer in het leven geroepen om de gevolgen van een datalek te beperken en het vertrouwen in de omgang met persoonsgegevens te waarborgen.
De meldplicht houdt in dat organisaties ernstige lekken direct moeten melden bij de Autoriteit Persoonsgegevens (AP). Die registreert de meldingen en kan boetes opleggen als er sprake is van roekeloos gedrag. Zijn er persoonsgegevens in het spel, dan moeten ook de betrokkenen op de hoogte worden gesteld. Wordt dat niet of te laat gedaan, dan volgen boetes.
Met de overstap op de AVG – de Europese privacyverordening die op 25 mei 2018 ingaat – stelt de AP strengere eisen aan de omgang met datalekken. Die moeten dan niet alleen gemeld, maar ook gedocumenteerd worden. Dat brengt een hoop rompslomp met zich mee, naast de kosten die gemoeid zijn met het dichten van een lek en de (reputatie)schade.
Tips datalekken voorkomen
Voorkomen is dus beter dan genezen, maar technische maatregelen zijn uiteindelijk net zo sterk (of zwak) als de belangrijkste schakel in het beschermen van gegevens: de mens. Het lijkt misschien lastig om de gebruiker zelf te beveiligen, maar met onderstaande tips kom je al een heel eind.
#1. Creëer bewustwording
Kennis is macht, zeker op het gebied van informatiebeveiliging. Maak medewerkers bekend met de grootste risico’s, hoe hackers te werk gaan en wat de actuele privacyregels inhouden. Hoe meer kennis ze hebben, des te minder snel ze door cybercriminelen in de val worden gelokt.
#2. Train medewerkers
Iedereen is verantwoordelijk voor informatiebeveiliging, niet alleen de IT-afdeling. Geef geregeld trainingen om de cyberskills van de organisatie op peil te houden. Stel ambassadeurs aan die informatiebeveiliging onder de aandacht (blijven) brengen.
#3. Beveiliging als prioriteit
In het verlengde van de vorige tip: maak beveiliging een speerpunt binnen de organisatie. Benadruk het belang van sterke wachtwoorden, encryptie en regelmatige back-ups. Geef medewerkers handvatten om hiermee aan de slag te gaan.
#4. Maak het werkbaar
Goed beveiligingsmanagement zorgt ervoor dat gebruikers weinig merken van (automatische) updates, zodat ze die niet kunnen of hoeven te negeren. Wordt beveiliging te lastig, dan gaan ze op zoek naar omwegen.
#5. Maak afspraken
Voorkom bijvoorbeeld dat medewerkers gevoelige gegevens verspreiden via e-mail, onbeveiligde usb-sticks en/of clouddiensten waar geen contract mee is afgesloten (bijvoorbeeld Dropbox of Google Drive).
#6. Draaiboek
Zorg dat er een draaiboek klaarligt voor het moment dat een datalek zich voordoet. Zo is duidelijk wie verantwoordelijk is en welke stappen ondernomen moeten worden. Door snel en adequaat te handelen beperk je de schade.
Mobiel werken
Realiseer je tot slot dat er steeds meer mobiel gewerkt wordt. Daarmee neemt het belang van informatiebeveiliging verder toe. Dit is dan ook een van de belangrijkste mobiele trends, naast de toenemende focus op de flexibele werkplek en de cloud. Houd hier dus rekening mee als je aan de slag gaat met het voorkomen van datalekken.
Dit artikel is onderdeel van het dossier ‘Mobile Security’ op mt.nl. Dit dossier wordt mede mogelijk gemaakt door Samsung.
Lees ook: