Wees klaar voor het volgende datalek

Organisaties die te maken hebben met een beveiligingsincident ervaren een zeer hectische tijd. Er komt namelijk veel op de organisatie af. Maar vanaf 1 januari 2016 wordt het nog belangrijker snel en goed te handelen. In veel gevallen moet u een incident binnen 72 uur melden. En daar komt heel wat bij kijken.

Uit diverse onderzoeken komt naar voren dat meer dan de helft van de beveiligingsincidenten niet door de organisatie zelf wordt ontdekt. De melding wordt gedaan door iemand van buitenaf. Wanneer de technische inrichting zo ingericht is dat afwijkende zaken te detecteren zijn, kan de organisatie vaker zelf beveiligingsincidenten ontdekken.

Detecteren

Om een beveiligingsincident te ontdekken kan er van veel informatie gebruik worden gemaakt. Zo valt informatie uit langskomend verkeer te halen en kunnen logboeken op servers, routers, firewalls en andere systemen in de netwerken worden bijgehouden. Hierbij kan gelet worden op afwijkingen en kan men achteraf nakijken wat er bij een incident allemaal is gebeurd. Wanneer er daadwerkelijk wordt gestolen, is het soms mogelijk om uit de hoeveelheid netwerkverkeer informatie over het datalek te achterhalen.

Maar de verantwoordelijkheid ligt niet alleen bij de IT-afdeling en de technologie. Een goede detectie kan ook vanuit de organisatie komen. Veel prominente hacks zijn begonnen met een e-mail. Bewuste en oplettende medewerkers die vreemde e-mails detecteren, kunnen daarom ook een aanval vroegtijdig ontdekken.

Hoe een beveiligingsincident ook ontdekt wordt: wanneer een aanval wordt uitgevoerd, is het van belang om als organisatie zelf de regie te houden. Het beter inrichten van de technische omgeving heeft ook als voordeel dat technologie ingezet kan worden om een eventuele aanval in de kiem te smoren.

Wel of geen datalek

Mocht er toch een beveiligingsincident plaatsvinden, dan is het bij een incident dat door de organisatie zelf wordt ontdekt sneller duidelijk of er – en zo ja welke – gegevens zijn getroffen. Hierdoor is de omvang van het incident en de daaruit voortkomende schade sneller vast te stellen. Een organisatie kan daarmee een crisis naar de eigen hand te zetten. Het hebben van een goede infrastructuur en detectie helpt om de zaak te versnellen.

Zonder informatie over getroffen gegevens wordt het ingewikkelder als er een melding binnenkomt. Dan moet namelijk eerst worden vastgesteld of er wel sprake is van een incident. Pas na deze vaststelling kan worden gezocht naar de omvang van het incident. Zo plaatste iemand tijdens de hack op KPN in 2012 persoonsgegevens op het internet en suggereerde dat dit met de hack te maken had. Met eigen onderzoek kon ik vaststellen dat de data van een bedrijf afkomstig was en niets te maken had met de hack.

Persoonsgegevens

Een organisatie moet dus duidelijkheid hebben over de eventuele betrokkenheid van persoonsgegevens bij het lek. Wanneer dit het geval is moet er binnen 72 uur melding worden gedaan bij de Autoriteit Persoonsgegevens, per 1 januari 2016 de opvolger van het College Bescherming Persoonsgegevens. Wanneer de betrokkenen het risico lopen dat hun persoonsgegevens misbruikt worden, moeten ook zij een melding krijgen en is het zaak om nauwkeurige informatie over het lek te verschaffen. Daarvoor moet dus duidelijk zijn wat er aan de hand is.

In veel gevallen is het wel duidelijk welke soort gegevens onder persoonsgegevens vallen. Logisch zijn adresgegevens, telefoonnummers, een medisch dossier of het burgerservicenummer. Maar ook een registratienummer dat naar een persoon kan leiden, een internetadres of een kenteken vallen onder persoonsgegevens. Wat er precies onder persoonsgegevens valt moet voordat er een incident plaatsvindt al goed over zijn nagedacht. Het valt namelijk niet mee om dat binnen 72 uur nog vast te stellen terwijl er veel tegelijkertijd moet gebeuren.

Ook moeten organisaties zich realiseren dat een datalek niet per definitie betekent dat de organisatie gehackt is. Iedere medewerker kan de oorzaak van het datalek zijn. Ook een gestolen laptop of een verloren USB-stick met daarop persoonsgegevens zijn datalekken die onder de komende meldplicht gaan vallen. Het gaat er hierbij vooral om dat er persoonsgegevens in verkeerde handen zijn gevallen. De manier waarop deze gegevens zijn verloren is daarbij minder belangrijk. Bij het niet melden van een datalek riskeert de organisatie een boete van maximaal €820.000. De meldplicht is dus zeker niet vrijblijvend.

Kennis

Om de ernst van een datalek goed te kunnen inschatten moet een organisatie de eigen omgeving goed kennen. Dat geldt natuurlijk voor de techniek: welke systemen hebben we en wat doen ze? Maar het gaat ook om het boven tafel krijgen van de bedrijfsprocessen. Uit die processen is te halen wat er belangrijk is om de organisatie draaiende te houden. Ook maakt dat duidelijk welke gegevens op welk moment toegankelijk zijn.

Die kennis van de eigen organisatie en de technische omgeving is niet alleen nuttig bij een eventueel incident. Om te voorkomen dat het mis gaat, moeten de risico’s van te voren in kaart zijn gebracht. Op basis daarvan kunnen dan maatregelen worden bedacht om de gevaren te beteugelen, een werkwijze aan te passen of misschien te stoppen met het verwerken van bepaalde gegevens op risicovolle plekken.

Plannen maken

Naast het beperken van risico’s is het ook belangrijk vooraf al na te denken over wat er tijdens een incident moet gebeuren. Wanneer er tijdens een incident nog moet worden nagedacht over hoe er met het probleem moet worden omgegaan, komen er nog meer vragen op de organisatie af en wordt de kans op het maken van fouten groter.

Daarom is het goed om plannen te maken voor de antwoorden op de volgende vragen: wie neemt welke taak op zich? Wat wordt wanneer gecommuniceerd en met wie en hoe? Wanneer wordt de dienstverlening onderbroken en opnieuw gestart? Welke partijen zijn een partner? Hoe voorkomen we dat signalen intern en extern worden gemist? Wanneer is aangifte noodzakelijk? Hoe moet het onderzoek lopen? Het opstellen van zulke draaiboeken heeft nog wel wat voeten in de aarde.

De nieuwe regelgeving rond de meldplicht datalekken is een goede aanleiding om eens kritisch te kijken naar de eigen organisatie en nu al voorbereidingen te treffen. Risico’s moeten worden verkleind, de omgeving moet klaar zijn om een incident te detecteren, personeel moet worden geïnstrueerd en als het toch misgaat moeten de juiste mensen weten wat ze moeten doen.

Dit blog werd geschreven voor de campagne I Feel Secure.