Het was niet te missen: het nieuws dat de GGD is getroffen door een grote datadiefstal.

Enorm veel gegevens gestolen – naar verwachting van miljoenen Nederlanders. Inmiddels zijn we alweer een aantal grote datalekken verder, zoals je hebt kunnen lezen in de media. Maar wat zijn de achtergronden? Nog interessanter is de vraag hoe het zo ver heeft kunnen komen.

Dat actie nodig is, is duidelijk: juist organisaties in het publieke domein zijn meer en meer doelwit van criminelen. Daarnaast stijgt in zowel het publieke als private domein het aantal hackaanvallen, ransomware infecties en het aantal datadiefstallen.

De stijging is zelfs zo groot dat de Autoriteit Persoonsgegevens onlangs de noodklok luidde.

Slachtoffer

Het is ook niet zo gek dat organisaties in het publieke domein slachtoffer worden; zij hebben veel persoonlijke en gevoelige data in huis. Vaak zoveel dat er eenvoudig een profiel te maken is van een persoon. En dan ligt identiteitsfraude en oplichting om de hoek. Zoals al gezegd: éen moment van onoplettendheid en je bankrekening is leeg.
 

Hackers worden steeds slimmer, handiger en harder. Door organisaties als lokale en centrale overheidsinstellingen, zorginstellingen, ziekenhuizen, woningcorporaties en onderwijsinstellingen als doelwit te gebruiken zijn er twee businessmodellen in één klap te verzilveren:

1. Geld buit maken van de organisatie in de vorm van losgeld of via de zogenaamde CEO-fraude; én
2. Geld buit maken van de klanten van deze organisaties met onder andere identiteitsfraude.
    

De druk ligt inmiddels niet alleen maar bij de IT-afdeling of de security officer. Deze druk gaat ook gevoeld worden door de directeuren, bestuurders en de raden van toezicht.

Risico’s verminderen

Maar hoe maak je de kans op een hack, datadiefstal of ransomware nou kleiner:

1. Zoals het AP al zegt: stel multi-factor authenticatie in.
2. Gebruik zero-trust als uitgangspunt. Het klinkt negatief (vertrouw niemand en niets), maar kan echt het verschil maken.
3. Maak collega's bewust van de risico's van phishing en social engineering; zorg dat de 'human firewall' aan gaat!
4. Zorg voor een security architectuur. Daardoor blijf je je bewust van de sterke en zwakke punten in je beveiliging.
5. Meet en wees alert. Ieder klein incident kan een signaal zijn van iets groots. Zorg dat je incident en crisis-proces goed is ingericht en oefen dit.
6. Zorg dat back-ups gemaakt worden en dat deze niet gecorrumpeerd kunnen worden door ransomware. Anders kan je ze net zo goed niet maken.
7. Omarm governance, in plaats van het zien als ‘papierschuiverij’. Als je geen sterke governance inricht, zijn checks and balances op volledigheid en veiligheid niet te controleren.
8. Leg vast wat je doet, meet, rapporteer en verbeter. Plan, do, check en act. Het werkt.

En als je het even niet meer weet: huur een expert in. Om je te helpen of je te toetsen. Beter dat dan al je klanten of patiënten met onoverzienbare schade op te zadelen..

Dit soort hacks mogen we nooit normaal gaan vinden! Actie is nodig.

Auteur, Jorrit van de Walle | Audittrail

Over de auteur

Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.