Op 8 februari 2020 kopt NRC over gijzelsoftware ‘Na fatale klik hadden hackers vrij spel’ en verder in de krant stond dat er bijna 27.000 datalekken zijn gemeld in 2019. Cyber security is hot item. Hoe goed je je computersystemen ook beveiligt, een hack of datalek vindt plaats. Combineer ICT, beleid en de medewerkers om internetfraude te voorkomen. De mens is hierbij namelijk de zwakste schakel. Lees hier hoe je problemen voorkomt.
Gijzelsoftware Het artikel over de fatale klik betreft de hack bij Universiteit Maastricht. Deze universiteit had wel degelijk beveiliging, zoals een virusscan, maar toch ging het mis. Er bleek een medewerker te hebben geklikt op een link in een bestand dat vervolgens toegang bood aan hackers. Deze hackers plaatsten gijzelsoftware in het universiteitsnetwerk. Na de fatale klik hadden hackers dus vrij spel. Het duurde enkele weken totdat de hackers toesloegen. Ze verwijderden eerst de virusscanner. Juist in de kerstvakantie sloegen ze pas echt goed toe: gijzelsoftware werd geplaatst over het hele netwerk.
De universiteit had geen toegang meer tot gegevens vanwege de geplaatste gijzelsoftware. Zo’n universiteitsnetwerk bevat onderzoeksresultaten van wetenschappers en mogelijkerwijze liep uitbetaling van salaris in gevaar. Grote problemen ontstonden er en dat allemaal vanwege één simpele klik op een verkeerde link.
Datalekken Wist je dat het plaatsen van gijzelsoftware ook een datalek is? Het artikel in de krant over datalekken vermeldt een andere interessante oorzaak. Het blijkt dat de meeste datalekken betreffen het toezenden van een e-mail aan de verkeerde ontvanger. Dat overkomt iedereen wel eens. Toch kunnen de gevolgen groot zijn en is het raadzaam je hierop voor te bereiden. Wat doe jij als je per ongeluk een e-mail aan de verkeerde ontvanger verzendt?
Op grond van de AVG ben je in bepaalde situaties verplicht binnen 72 uur melding te doen bij de AP, zie de website van de Autoriteit Persoonsgegevens. Vermeld het in ieder geval in je registerdatalekken. Maar als het personeel zich niet realiseert dat er sprake is van een datalek, door simpelweg de vergissing te onderschatten, dan voldoet je bedrijf niet aan de wettelijke verplichting. Geplaatste gijzelsoftware geeft ongeoorloofd toegang tot en inzage in gegevens zodat gijzelsoftware ook een datalek is. Het gevaar is dan dat de AP ook nog eens een boete oplegt. Dit is gebeurd bij Uber. Verder kan het voorkomen dat een verkeerd verzonden e-mail in handen komt van hackers en er misbruik van maken.
Jouw bedrijf is hiervoor verantwoordelijk.
Hoe voorkom je dit? Uiteraard is je bedrijf al helemaal up to date met beveiliging van de computers. Stap 2 is dan bewustwording van het personeel. De mens is de zwakste schakel. Is je personeel bekend met het herkennen van gevaarlijke links? Waar let je op bij links? Zo’n hacker laat het niet bij één e-mail. Er worden meerdere e-mails verzonden met vergelijkbare links. Goede opvolging van de melding zet beveiligers eerder op het spoor van de hacker.
Zorg voor een wachtwoordenbeleid zodat het personeel weet wat goede wachtwoorden zijn en zodat personeel deze wachtwoorden regelmatig vervangt. Is een computerupdate vereist? Voer updates direct uit! Personeel dat het druk heeft wil nog wel eens denken ‘komt morgen wel’, maar juist dan gaat het mis. Computerupdates hebben vaak een verbetering van de beveiliging tot gevolg. Direct actie is dus vereist.
Bij de universiteit ging het bovendien mis, omdat de back up zich in hetzelfde systeem bevond. Ook dat is een goeie tip: Zorg voor een back up die elders wordt bewaard. En zo zijn er nog meer praktische tips om dit soort problemen te voorkomen. Onderschat cyber crime niet. Lees mijn eerdere blog voor meer praktische informatie: Voorkom internetfraude met behulp van de AVG. Combineer ICT, beleid en de medewerkers om internetfraude te voorkomen.
Is jouw personeel voldoende op de hoogte van privacy & cyber security? Een ongeluk zit in een klein hoekje. Schakel juriste S.B. Punt in voor een in-company training. Ik verstrek praktische informatie aan de hand van spraakmakende voorbeelden zodat jouw bedrijf voorbereid is op cyber crime.
Auteur mr. S.B. Punt
Ik ben Sylvia Punt, juriste arbeidsrecht, en in dat kader heb ik mij verdiept in de AVG. De privacywetgeving AVG helpt cyber crime te voorkomen. Hoe? Laat mij jouw personeel informeren zodat hackers geen kans maken. Nu ben ik werkzaam via Vanhier Accountants & Adviseurs en ben ik u nog steeds graag van dienst als juriste. Mijn dienstverlening is zelfs uitgebreid. Het full service kantoor Vanhier is de perfecte sparringspartner voor het MKB.