Oefen eens een crisis rond een datalek met een serious game

Hoe goed bent u in staat een datalek te bestrijden als een hacker zijn slag heeft geslagen?  Hoe is het zelf te belanden in een heuse crisis? Test het uit tijdens een heuse crisisoefening. Een hacker heeft toegeslagen en eist nu een ‘beloning. U stapt in het crisiscentrum om samen met anderen mee te helpen de schade, gevolgen en verspreiden van gelekte gegevens tegen te gaan. Hoe leiden we een crisis in goede banen? Welke stappen gaan we zetten en in welke volgorde? Welke organisaties zijn nuttig en wat is een verspilling? Kunt uw klant tevreden houden?

Tijdens de serious game spelen deze en andere vragen een belangrijk rol. De spannende crisis die ongeveer 70 minuten duurt, voeren de deelnemers de regie over het afwikkelen van het datalek. Sta stil bij de vele aspecten, zoals techniek, juridische gevolgen, continuïteit van de organisatie en organisatiepolitiek.  De deelnemers bepalen welke rol communicatie, juridische zaken, technische beschikbaarheid, onderzoek, de justitiële keten en de ketenpartners krijgen. Tijdens de oefening zijn er allerlei verstoringen. Voor welke is aandacht en vooral voor welke interrupties niet? Met behulp van audioboodschappen, video’s, interacties en opdrachten ondergaat de groep de hack met al haar facetten. De oefening is een eigen productie gemaakt in samenwerking met het Centrum voor Informatiebeveiliging en Privacybescherming en de Informatiebeveiligingsdienst. Snel aan de slag, want de klok tikt door!

Een voorproefje met hoogtepunten ziet u hier:

Erik de Jong: Ik heb een datalek. Wat nu?

Sinds 1 januari 2016 geldt er een meldpunt datalekken voor alle organisaties in Nederland. Iedere organisatie moet datalekken melden aan de Autoriteit Persoonsgegevens. De vraag is hoe je erachter komt dat jouw organisatie een datalek heeft. Erik de Jong van FoxIT legt aan Brenno de Winter uit hoe je datalekken kunt opsporen en wat je moet vastleggen om bij misdaad eventuele daders te identificeren.

Hackers kraken webwinkel, die zwijgt

Hackers stalen klantgegevens bij elektronica-webwinkel ReplaceDirect.nl. Die besloot de zaak stil te houden. Dat is dom en onfatsoenlijk.

Vaak wordt in Nederland lacherig gedaan als er kleine datalekken zijn, waarbij niet veel meer uitlekt dan iemands naam en e-mailadres. Maar met die gegevens kun je al een misleidende mailing maken, die volledig correct is geadresseerd. Omdat de gegevens kloppen gaan alarmbellen niet zo snel af en is het slachtoffer dus eerder geneigd in de val te trappen. Als het misgaat is het vervolgens maar helemaal de vraag hoe en waar de gegevens zijn gelekt.

Slimme burgers
Met dank aan sommige oplettende burgers komt dit soort zaken soms wel naar boven. Toen Erik Jan Koedijk namelijk een mail van Paypal kreeg met de mededeling dat zijn account was geblokkeerd, leken de gegevens wel erg authentiek. De mail bleek erop gericht om mensen te bedonderen: phishing heet dat. Omdat Koedijk een eigen domein heeft, gebruikt hij overal een ander e-mailadres en was het meteen duidelijk waar de data die de oplichters gebruiken vandaan komt. Dat blijkt elektronica-webwinkel ReplaceDirect. Erg handig en slim van Koedijk.

Maar vreemd genoeg heeft ReplaceDirect Koedijk nooit geïnformeerd dat ze waren gehacked of dat de data was gestolen. Als hij verhaal haalt, erkent het bedrijf in bedekte woorden het probleem. “Het is ons bekend dat in februari enkele klanten last hebben ondervonden van phishingmail. Deze phisingmail werd inderdaad verzonden uit naam van PayPal”, schrijft de onderneming. “Inmiddels laten wij door een extern beveiligingsbedrijf actief onze servers scannen en testen. Hieruit zijn een aantal punten naar voren gekomen die door onze IT afdeling zijn opgelost.”

Diginotartje
MyMicro Group B.V., de onderneming waar ReplaceDirect onder valt, wist dus dat gegevens misbruikt werden (worden?) en informeerde de klanten niet. Het bedrijf geeft geen antwoord op herhaalde vragen van mijn kant en dus blijft het onduidelijk wat er precies is gebeurd. Maar wie klant is laat in ieder geval voorletters, tussenvoegsel, achternaam, adres, woonplaats, e-mailadres en telefoonnummer achter. Bij betaling kan dat meer zijn, bijvoorbeeld een creditcard- en/of bankrekeningnummer.

Met het niet informeren miskent de onderneming de eigen klanten. Zij zijn immers het slachtoffer. Het doet allemaal erg denken aan de zaak-Diginotar. Na de inbraak daar was er eveneens hard bewijs dat gegevens werden misbruikt. Ook de certificaatautoriteit hield haar mond en deed er richting de media het zwijgen toe. ReplaceDirect flikt dus ook een Diginotartje.

In de beveiligingsindustrie is het gebruikelijk klanten juist wel te informeren om zo het risico te beperken. Binnenkort zal een meldplicht in de wet worden opgenomen en in de toekomst zal dit soort bedrijven dus wel melding aan de klanten moeten doen. Nu is het vooral dom en onfatsoenlijk van de onderneming. Helemaal omdat Koedijk ze heeft geprobeerd te overtuigen het goede te doen.

Maar nu het bekend is, zal ik honneurs voor ReplaceDirect waarnemen:

Geachte klant, 

Ergens in februari is ingebroken bij ReplaceDirect. Hierdoor zijn uw klantgegevens in handen van oplichters gevallen. Ons is bekend dat deze criminelen ook proberen via zogenaamde phishingmails klanten te benaderen en te bedonderen. Reageer niet op dit soort mails en wees erg voorzichtig. Voor wachtwoorden geldt het advies overal een ander wachtwoord te gebruiken en deze bij ReplaceDirect meteen te veranderen.
Natuurlijk zijn we bij HP/de Site erg geschrokken en zijn we meteen een onderzoek gestart. We hebben de verantwoordelijk gegevensverwerker, MicroGroup, om opheldering gevraagd. Ook hebben we de zaak natuurlijk gemeld bij het Openbaar Ministerie, dat nu overweegt op eigen gezag een strafrechtelijk onderzoek te starten. Dat is wel het minste dat u van ons als verantwoordelijke partij mag verwachten. De ontstane situatie vinden we erg vervelend voor u.

Met vriendelijke groet, 

Brenno de Winter
Columnist HP/de Site

Deze zaak is slecht voor het vertrouwen in online winkelen en strekt niet tot eer van het Thuiswinkel Waarborg. Het vertrouwen waar ReplaceDirect over spreekt op zijn site is echt wel geschonden. Wat moet u met zo’n club? Ik zeg: haal inspiratie uit hun naam!

OV-site lekt persoonlijke data 168.000 reizigers

Een bestelsite voor persoonlijke OV-chipkaarten blijkt lek. Hackers hadden langdurig toegang tot informatie van 168.000 reizigers. De SP wil de minister ter verantwoording roepen. Een website om reizigers te verleiden om een op naam gestelde OV-chipkaart te kopen, blijkt open te staan. Aanvallers hebben de persoonlijke gegevens van ruim 168.000 reizigers in handen gekregen. Lees het verhaal op Webwereld.