Cybercrime komt inmiddels vaker voor dan fietsendiefstal, zo blijkt uit onderzoek van De Nederlandsche Bank (DNB). In 2018 werden er in totaal meer dan 20.000 meldingen gedaan van datalekken, vaak als gevolg van hacking, phishing of ransomware. Hoe voorkomt u dat ook úw bedrijf hier de dupe van wordt? En wat zegt de Algemene verordening gegevensbescherming (AVG) hierover?
De Algemene verordening gegevensbescherming (AVG) schrijft voor dat persoonsgegevens op een juiste en doeltreffende manier beveiligd moeten worden. Maar hoe doet u dat? Wat moet u in elk geval regelen? En wat kunt u van uw leveranciers en serviceproviders verwachten op het gebied van beveiliging? In dit artikel vindt u het antwoord op deze vragen. Daarbij besteden we extra aandacht aan digitale bedreigingen, zoals ransomware, phishing en cryptominers.
Persoonsgegevens goed beveiligen
Wat bedoelt de AVG precies met het ‘op een juiste en doeltreffende manier beveiligen van persoonsgevens’? Hiervoor moet u met de volgende zaken rekening houden:
• De stand van de techniek – Die is wat betreft technische maatregelen bepalend voor wat er minimaal van u verwacht wordt.
• De aard, de omvang en doeleinden van de verwerkingen – Welke maatregelen u moet nemen, is afhankelijk van welke categorie(ën) persoonsgegevens u verwerkt, de hoeveelheid persoonsgegevens en met welke doelen u dat doet.
• De qua waarschijnlijkheid en ernst uiteenlopende risico’s voor personen – U moet een risico-inschatting maken van uw verwerkingen en op basis daarvan uw maatregelen treffen.
• Verwerkers – U kunt alleen een beroep doen op verwerkers (bijvoorbeeld SAAS-leveranciers of hostingpartijen) die afdoende garanties met betrekking tot het toepassen van technische en organisatorische maatregelen bieden. U moet deze maatregelen opnemen in een verwerkersovereenkomst. Bovendien heeft u het recht om te (laten) controleren of deze maatregelen van uw verwerkers adequaat zijn.
• De uitvoeringskosten – De AVG biedt tevens ruimte om een kostenafweging te maken. Indien de risico’s beperkt zijn, wordt niet van u verwacht dat u grote investeringen doet om een hoog beschermingsniveau te bereiken.
• Beleid – Bent u van mening dat u, gezien voorgaande zaken, hoge risico’s loopt bij de verwerking van persoonsgegevens? Dan dient u een passend gegevensbeschermingsbeleid op te stellen.
Digitale bedreigingen: ransomware, phishing en cryptominers
Wat houden de begrippen ransomware, phishing en cryptomining nu eigenlijk precies in? En wanneer heeft u met een datalek te maken? Hieronder leggen we het uit.
Ransomware
Ransomware is kwaadaardige software die harde schijven, netwerkopslag of virtuele (cloud)disks blokkeert, met als gevolg dat computersystemen en/of gegevensbestanden niet meer toegankelijk zijn. Meestal wordt daarna betaling geëist (via bijvoorbeeld Bitcoins) om de blokkade op te heffen. De gijzeling verloopt meestal via besmette e-mailbijlagen (waarin bijvoorbeeld wordt gevraagd een link aan te klikken voor het activeren van een gewonnen prijs) of via advertenties op internet die een lek in niet-geüpdatete software misbruiken. Criminelen kunnen ransomware inmiddels voor een geringe prijs inkopen.
Phishing
Phishing is een methode waarbij criminelen via slinkse wijze informatie weten te verkrijgen van individuen of medewerkers van bedrijven. Methodes zijn bijvoorbeeld dat u ongemerkt naar een valse, identieke website van een bank wordt geleid waar u nietsvermoedend uw inlognaam, wachtwoord en bankrekeningnummer gebruikt. Deze zijn dan in handen gevallen van de criminelen. Andere methodes die gebruikt worden, zijn betrouwbaar lijkende e-mails of sms’jes met een link naar een nep-website waarin gevraagd wordt bijvoorbeeld uw wachtwoord opnieuw in te stellen.
Cryptomining
Cryptomining is een bedreiging waarbij kwaadaardige software bij nietsvermoedende gebruikers wordt geïnstalleerd, op vergelijkbare wijze als bij ransomware. Op de achtergrond wordt dan een deel van het rekenvermogen van deze computer ingezet om zogenaamde cryptomunten te delven. Gedupeerden krijgen door het verlies van rekenkracht last van trage computersystemen.
Datalek
Als bestanden die persoonsgegevens bevatten door ransomware zijn geblokkeerd, spreken we van een datalek. Om de bestanden te kunnen blokkeren, is er ongeoorloofde toegang geweest tot deze gegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd. Ondernemingen dienen op basis van eigen vastgesteld beleid te besluiten of het betreffende datalek wel of niet gemeld wordt aan de Autoriteit Persoonsgegevens en aan betrokkenen.
Zo voorkomt u digitale aanvallen of beperkt u de gevolgen daarvan
Om te voorkomen dat u slachtoffer wordt van cybercrime, is het slim om de volgende maatregelen in acht te nemen:
- Open geen onbekende bijlagen of links van een e-mail; wees extra alert bij het downloaden van software, muziek, films, tv-series, pdf’s en andere bestanden.
- Zorg dat ook uw medewerkers zich bewust zijn van digitale bedreigingen en de risico’s.
- Gebruik nooit internet zonder antivirusprogramma en firewall.
- Implementeer direct actuele beveiligingsupdates voor besturingssysteem en programma’s.
- Zorg altijd voor volledige back-ups van de belangrijkste data.
Andere noodzakelijke maatregelen
Hieronder vindt u overzicht van andere noodzakelijke technische en organisatorische maatregelen die u kunt treffen om te voorkomen dat uw organisaties gedupeerd raakt door cybercrime. Uiteindelijk gaat het om het kiezen van een set aan maatregelen die voor uw organisatie effectief en kostenefficiënt is.
- richt een wachtwoordbeleid, rechten- en autorisatiestructuur in;
- log en controleer (monitoring) van toegang tot de informatiesystemen;
- monitor kwetsbaarheden op het interne en externe netwerk;
- tref adequate fysieke beschermingsmaatregelen;
- stel procedures op voor opslag, onderhoud en vernietiging van data;
- stel procedures op voor het behandelen van informatiebeveiligingsincidenten en datalekken;
- richt een incidentenregister in.