Tag: GGD

Zaken onder het vloerkleed vegen. Datalekken niet verzwijgen

Datalekken: hoe schadelijk of gevaarlijk is dat?

Rudy Brinkman - Brinkman.IT
Rudy Brinkman – Brinkman.IT

GGD, Global Marketing Bridge, AlleKabels, Autobedrijven (RDC, een bedrijf dat autogarages ICT-diensten aanbiedt), Booking.com, Expedia, Hotels.com, bol.com, EasyJet, bouwbedrijf Heijmans. Datalekken zijn aan de orde van de dag.

Keer op keer worden duizenden tot zelfs miljoenen gegevens zoals email adressen, wachtwoorden, financiële gegevens inclusief bankrekeningnummers en vermogen alsmede ID-kaarten en BSN-nummers gelekt. Of gestolen. Is uitsluiten van een datalek mogelijk?

Hoe veilig zijn je privé gegevens nog in deze digitale wereld? Wat kun je doen om te voorkomen dat je privé gegevens gestolen of gelekt worden? Hoe gevaarlijk is al dat lekken van data en stelen van je gegevens door criminelen? En, wat zijn de gevolgen van een datalek voor je bedrijf en hoe voorkom je dat?

Voorbeelden recente datalekken

Bouwbedrijf mailt per ongeluk adressen en inkomens van woningzoekers rond
https://www.nu.nl/tech/6127712/bouwbedrijf-mailt-per-ongeluk-adressen-en-inkomens-van-woningzoekers-rond.html

Datalek bij telemarketingbedrijf Global Marketing Bridge
https://radar.avrotros.nl/uitzendingen/gemist/item/datalek-bij-telemarketingbedrijf-global-marketing-bridge-zegt-iets-over-bedrijfscultuur-radar-checkt/

Groot datalek bij autobedrijven
https://radar.avrotros.nl/nieuws/item/groot-datalek-bij-autobedrijven-criminelen-maken-miljoenen-gegevens-buit/

Datalek bij GGD: gegevens van miljoenen Nederlanders in criminele handen
https://www.volkskrant.nl/nieuws-achtergrond/datalek-bij-ggd-gegevens-van-miljoenen-nederlanders-in-criminele-handen~b7f17bea/

Meer artikelen over recente datalekken bij TROS Radar
https://radar.avrotros.nl/zoeken/#/&sort=datetime:desc&page=1&layout=list&q=datalek

Hoe gevaarlijk is het lekken van data?

Wanneer data ‘gelekt’ of gestolen wordt gaan deze gegevens meestal vrij snel zwerven in het criminele circuit. Dit betekent dat mensen met onzuivere bedoelingen gegevens gestolen bij bijvoorbeeld een webwinkel, zoals een gebruikersnaam met wachtwoord, gaan gebruiken om bijvoorbeeld op uw naam bestellingen uit te voeren. Aangezien er dan vaak een ander afleveradres opgegeven wordt (in de praktijk iets wat bij bol.com e.a. bijvoorbeeld vaak voorkomt) zijn de facturen die hier uit voortkomen niet rechtsgeldig.

Het is aan de webwinkel of leverancier om te bewijzen dat u het ook daadwerkelijk hebt besteld. Het geeft echter wel een hoop narigheid voor zowel de verzender van de goederen als de persoon die als “besteller” staat vermeld!

Het wordt erger wanneer er ook identificerende gegevens zoals een ID-kaart, BSN-nummer zichtbaar, of andere gegevens worden gestolen of gelekt waarmee mensen identiteitsfraude kunnen gaan plegen. Dit kan enorme consqeunties hebben.

Het lek bij de GGD bijvoorbeeld, waar ook BSN en adresgegevens zijn buitgemaakt, is ernstiger. Hoewel het een en ander gedownplayed wordt is het zeker niet ondenkbaar dat met een valse ID-kaart (wie ziet of een kopie van een ID-kaart wel of niet geldig is?) met juist BSN er op fraude gepleegd kan worden. Er wordt gesteld “De kans op identiteitsfraude met alleen het BSN is zoals aangegeven klein.”. Maar dus zeker niet uigesloten! Wie dat gelooft onderschat de kennis en kunde aanwezig in het criminele circuit alsmede het wijdvertakte netwerk waar zij gebruik van kunnen maken. Immers, zo ontstond dit lek ook?

Het Juridisch loket heeft de nodige informatie over wat u kunt doen als u slachtoffer van identiteitsfraude bent geworden.

Hoe voorkom je dat gegevens gelekt of gestolen worden?

Bij heel veel webwinkels is het mogelijk een bestelling te plaatsen zónder een account aan te maken. Persoonlijk kies ik daar áltijd voor als het mogelijk is. Zorg ook, en ik ben niet de eerste die dat zegt, dat je gebruik maakt van verschillende wachtwoorden voor elke website waar je een account aanmaakt. Dat vinden veel mensen lastig want “ik kan al die wachtwoorden niet onthouden”. Dat moet je dan ook niet doen, daar zijn hulpmiddelen voor zie: https://veiliginternetten.nl/themes/situatie/ik-kan-mijn-wachtwoord-niet-onthouden/

  • Gebruik, wanneer mogelijk, 2FA of tweestapsverificatie. Zie: Leer (van de hack) van Fred van Leer.
  • Gebruik alleen websites die veilig zijn. Die herken je aan het ‘slotje’ op een site. Dat zegt echter niet alles. Het slotje laat zien dat data tussen je computer en de website veilig over en weer gaan. Maar dat zegt niets over de persoon of organisatie achter de site.

Ik heb in het verleden meegemaakt dat een bedrijf alles keurig op orde had: SSL-certificaat, alle protocollen op orde, email beveiligd. Maar één dingetje waren ze vergeten: alle gebruikersnamen en wachtwoorden stonden open en bloot, in leesbaar format, in een tekstbestandje op de webserver. Gewoon leesbaar en te benaderen als je via Google er op zocht.. Ook al doe je zelf alles helemaal veilig, dan nog ben je afhankelijk van derden: de personen of bedrijven die je gegevens beheren. Verzeker je er zo goed mogelijk van dat zij dit veilig doen en controleer bijvoorbeeld hun privacy protocol.

Wat te doen als je bedrijf getroffen wordt door een datalek?

Helemaal uitsluiten van een datalek is onmogelijk, de blunder van de medewerker van bouwbedrijf Heijmans maakt dat maar weer eens duidelijk. Een menselijke fout kan altijd gebeuren! Voor een bedrijf is het echter een verschrikking: in het nieuws komen met een groot datalek. Maar hoe ga je daar mee om?

Zaken onder het vloerkleed vegen. Datalekken niet verzwijgenAls eerste dient er direct een melding te worden gemaakt bij de AP (Autoriteit Persoonsgegevens) en dienen alle betrokkenen geïnformeerd te worden. Dit laatste wordt vaak verzuimd.

AlleKabels laat bijvoorbeeld op 16 april jl. in een email aan haar klanten weten:

“Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack door cybercriminelen [..] Alleen de wachtwoorden van klanten die zich voor 1 september 2018 geregistreerd hebben, kunnen worden gekraakt. Voor u is het belangrijk te weten dat dit ook om uw gegevens gaat. [..] Om de belangen van u als klant maximaal te beschermen heeft Allekabels besloten om onmiddellijk de wachtwoorden van deze klanten te wissen. Dat geldt dus ook voor uw wachtwoord.”

Pas nádat de pers melding doet over het datalek neemt het bedrijf, acht maanden(!) later, actie richting de cliënten en downplayed de gevolgen ook nog eens door te melden dat het om “een minderheid” van de klanten gaat (waar wij één van waren). Ze maken hier mijns inziens twee fouten:

  • Het wissen van de wachtwoorden van de klanten heeft alléén gevolgen voor het inloggen op het systeem van het bedrijf zelf. De klant is hier absoluut niet mee geholpen;
  • Doordat de email een algemene mail is, weet de klant niet om welk email adres het gaat dat mogelijk misbruikt is (onvolledige informatie). Zeker wanneer klanten vaak dezelfde email/wachtwoord combinatie gebruiken is het mogelijk dat er ook bij andere webshops ingebroken kan worden met deze gegevens. Dit is een relevant, maar ontbrekend, gegeven voor de klant!

Ik schrijf hier niet over om AlleKabels in discrediet te brengen maar omdat zij het zelf zo melden in een algemene mail aan hun klanten.

Een bedrijf dient goed en volledig te informeren. De AP is hier helder over: “Zijn de risico’s van een datalek hoog? Dan moet u de betrokken personen zo snel mogelijk informeren. Het belangrijkste doel hiervan is dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd. En begrijpen wat zij kunnen doen om zichzelf te beschermen.”

De eerste reactie van de veroorzaker(s) van een datalek is vaak: “hush-hush, niet over praten, snel onder het vloerkleed”. Dat is een absoluut verkeerde insteek. Het ’toverwoord’ is: informeren. Open, eerlijk en zo snel mogelijk! Informeer de AP, de betrokkenen. Ook als het niet verplicht is betrokkenen te informeren.

Voor ondernemers heeft de KvK een informatieve pagina over de AVG en datalekken.

Hoe is onze beveiliging geregeld?

Zoals gezegd: voorkomen van een datalek is nagenoeg onmogelijk. Net als inbraak op een systeem. Criminelen moet je absoluut niet onderschatten. Niemand kan 100% garanderen dat een systeem veilig is.

  • Om diefstal van gegegevens te voorkomen, slaan wij de inloggegevens van klanten niet op in een database. Ook niet off-line;
  • we maken gebruik van een SSL verbinding met de website
  • inlogverificatie op servers, toegang via beveiligde verbinding (SSL). 2FA is beschikbaar voor klanten
  •  geen ‘root’ toegang via internet op onze shared hosting servers
  • geen ssh-toegang voor cliënten en derden
  • Firewall op alle servers
  • Gebruik van Malware- en Virusscanners.

Tot slot testen en controleren we regelmatig onze servers en gebruiken zelf 2FA verificatie. Zie voor meer informatie ons Privacy Protocol.