Cybercriminaliteit: wat kunt u er tegen doen
Digitaal werken heeft veel voordelen, dat is evident. We kunnen gegevens eenvoudig invoeren, analyseren en opslaan. Thuis met een opdracht aan de slag. Via online bestelsystemen klanten allerlei producten laten bestellen, en ga zo maar door. Maar: dit gemak heeft ook een keerzijde. Professionele hackers proberen op steeds meer geavanceerde manieren de virtuele poorten binnen te dringen. Met alle gevolgen van dien. Wat kunnen én moeten organisaties hiertegen doen? We vragen het aan Floris van den Broek, CEO van cybersecurity-bedrijf RedSocks Security.
“Grote organisaties die met gevoelige informatie werken, zoals banken, zijn zich bewust van de gevaren van cybercriminaliteit. Ze zijn meestal goed beschermd. Maar organisaties daarbuiten hebben er vaak veel minder aandacht voor en willen er ook niet teveel geld aan besteden. Ze denken nog vaak: ‘Zo’n hack, dat gebeurt mij niet’. Maar er zijn bedrijven waar honderden laptops voor thuiswerk worden gebruikt. Via allerlei kanalen, zoals een usb-stick, bezoek van een website of download, kan een besmetting plaatsvinden en loop je een serieus risico dat het bedrijfssysteem geïnfecteerd raakt.”
Hacks
“Grote hacks werden tot nu toe nauwelijks aan de grote klok gehangen. Af en toe komt er iets naar buiten als er veel mensen bij betrokken zijn, zoals bij de hack van LinkedIn.” Daarbij werden 117 miljoen inloggegevens buitgemaakt. Die gegevens werden vervolgens gebruikt om op allerlei sites in te loggen en transacties te doen en om de social media-accounts van bekende personen over te nemen.”
Invoering Meldplicht Datalekken
“Sinds 1 januari 2016 geldt de wet Meldplicht Datalekken. Deze meldplicht houdt in dat organisaties een vermoedelijk datalek binnen 72 uur moeten melden bij de Autoriteit Persoonsgegevens.” Bij het lekken van data - al dan niet gemeld - kan deze autoriteit een bestuurlijke boete opleggen van maximaal € 820.000. Als de overtreding niet opzettelijk is en er geen sprake is van een ernstig verwijtbare nalatigheid wordt er wellicht eerst een bindende aanwijzing opgelegd. Maar de reputatieschade is vaak net zo groot.”
Wat is een datalek?
U kunt de regels van de Autoriteit Persoonsgegevens gebruiken om te bepalen of er sprake is van een datalek en een daaruit voortvloeiende meldplicht. De regels zijn strak. Zo valt het kwijtraken van een laptop of USB-stick met persoonsgegevens al onder een datalek.
Wanneer krijg je een boete?
-
-
- Bij het niet (tijdig) melden van een datalek terwijl dit wel moet;
- Bij het niet op orde hebben van de beveiliging;
- Bij het verwerken van persoonsgegevens zonder toestemming;
- Bij de export van persoonsgegevens naar landen buiten de EU zonder de juiste maatregelen te treffen.
-
Verstrekkend
“De meldplicht betekent een grote verandering. Het is een complex, gevoelig onderwerp. Veel mensen hebben naar mijn idee nog niet goed door hoe verstrekkend de wet is. Want als er een deel van de gegevens is gelekt, moet je aan de Autoriteit bewijzen dat de rest van de gegevens níet is gelekt. Dat is een zeer lastige zaak als je daarvoor geen tools of technische middelen hebt.”
Preventie
“Wat organisaties kunnen doen om een cyberincident te voorkomen en de eventuele gevolgen te beperken? Veel dingen hebben te maken met discipline binnen het bedrijf. Kies voor moeilijke wachtwoorden of ‘two-factor authentication’. Versleutel de informatie. Maak een overzicht van wie welke informatie heeft en wie er bij kan. Het is ook verstandig richtlijnen op te stellen voor bewust computergebruik. Of een crisisplan te maken. En zorg natuurlijk voor goede beveiliging zodat je geen data verliest. De RedSocks Malware Threat Defender – een speciaal apparaatje - meet alle verkeer tussen organisaties en internet en kijkt of er bedreigingen tussen zitten. Als er informatie naar de verkeerde bestemming gaat of op andere wijze verdacht is, slaat het alarm. Ook registreert het continu alle normale verkeersgegevens voor een periode van maximaal drie jaar. Dat is vaak een grote hulp bij het voldoen aan de Meldplicht.”
Wat kan Meijers voor u betekenen?
Een mogelijkheid om de gevolgen van een cyberincident te beheersen is het afsluiten van een specifieke cyberrisicoverzekering. Traditionele verzekeringen bieden slechts een beperkte dekking. Sommige verzekeraars bieden korting op de premie of het eigen risico vervalt als de dienst van RedSocks Security wordt gebruikt. U kunt onze specialisten op het gebied van cyberrisico’s altijd vrijblijvend raadplegen via r.vanleyen@meijers.nl en 020-5042721. Zij helpen u graag verder met meer informatie en advies over cyberdekkingen.
Over RedSocks Security
RedSocks Security (2012) biedt organisaties bescherming tegen huidige en nieuwe generaties malware (schadelijke en ongewenste software, zoals virussen en spyware). Software of een speciaal kastje (een ‘snuffelaar’) controleert via het dataverkeer of het systeem is geïnfecteerd. RedSocks Security heeft een eigen zogeheten malware lab waar dreigingsinformatie wordt gevonden. Per uur worden maar liefst zo’n 50.000 nieuwe virussen of andere nieuwe indicatoren van bedreigingen ontdekt. RedSocks Security heeft klanten over de hele wereld, waaronder bedrijven uit China en Japan. Ze wonnen in 2015 een Computable Award voor Nederlandse start-up van het jaar en de Dutch IT channel Award. Inmiddels werken er meer dan 35 mensen.