Een datalek kan zware schade toebrengen aan de reputatie van je bedrijf, maar vooral ook vervelende gevolgen hebben voor betrokken personen. Voorkomen is altijd beter dan genezen, maar wat doe je als het noodlot toch toeslaat?
De recente cyberaanval op Limburg.net maakt het nog maar eens duidelijk: het gevaar loert constant om de hoek. Op 13 december kreeg de Limburgse afvalbeheermaatschappij ongewenst bezoek van hackers van de Russische groepering Medusa. Aanvankelijk zorgde dat vooral voor chaos in de containerparken, maar de voorbije weken is duidelijk geworden dat de gevolgen veel groter zijn: persoonlijke gegevens van meer dan driehonderdduizend burgers liggen daardoor open en bloot op straat, van namen tot rijksregisternummers en zelfs notarisdocumenten.. Er wordt zelfs al gesproken over ‘de grootste hack ooit’ in ons land.
Limburg.net is zeker niet de eerste Belgische organisatie die ten prooi valt aan hackers, en zal ook niet de laatste zijn. Een jaar geleden zorgde een cyberaanval op de stad Antwerpen voor de nodige oproer. Datalekken nemen wereldwijd toe en nemen ook steeds grotere proporties aan. Maar ook datalekken van een beperktere omvang kunnen zware gevolgen hebben. De manier waarop je als organisatie met een datalek omgaat, zal bepalen met hoeveel kleerscheuren je uit het incident zal komen. Iedere beslissing die je neemt (of net niet neemt), is daarbij van cruciaal belang.
Geen momentopname
Cyberaanvallen komen tegenwoordig bijna dagelijks in het nieuws. Je zou denken dat de risico’s inmiddels wel gekend zijn, maar toch laten veel bedrijven zich nog vangen. Lodi Hensen, VP Security Operations bij Eye Security, een Nederlands cybersecuritybedrijf dat ook actief is in België, geeft een mogelijke verklaring. “Cybersecurity is geen momentopname. Veel bedrijven laten eens één keer een penetratietest uitvoeren en volgen de aanbevelingen op, maar daar blijft het dan bij. Je moet zwaktes in je systemen continu bijhouden om de deuren dicht te houden. Pas als je weet wat je hebt, kan je ook weten hoe je alles moet beveiligen.”
Dit is niet de enige beveiligingsfout die Hensen bedrijven ziet maken. “Er wordt vandaag veel gebruik gemaakt van de cloud, maar bedrijven gaan er te gemakkelijk vanuit dat alles goed beveiligd is. Het is aan jou als gebruiker om ervoor te zorgen dat alles goed ingesteld staat om hackers buiten te houden, en je mensen aan te leren de cloud ook correct te gebruiken. De drie pijlers van beveiliging zijn people, process en technology: die moeten in samenwerking met elkaar staan om je bedrijf continu te beschermen.”
Steek je hoofd niet in het zand
Soms zijn zelfs de beste voorzorgsmaatregelen niet genoeg om een aanval te vermijden. Tijdens de eerste uren is het zaak om een ‘inventaris’ op te maken van wat de indringers exact hebben buitgemaakt. Dat is niet altijd eenvoudig, zegt Hensen. “Bedrijven zijn vaak pas op de hoogte van een cyberaanval wanneer de hackers dreigen met afpersing. Op dat moment moet men in allerijl onderzoeken wat er gebeurd is, hoe dat komt en welke data gestolen kunnen zijn. Uit dat onderzoek kan evengoed blijken dat er helemaal niets gestolen is, maar het is bijna onmogelijk om meteen te weten wat de impact van de aanval zal zijn.”
Te midden van de chaos, zal je als bedrijf toch vaak al moeten communiceren over het incident. Ook dat is weer geen sinecure, toont het incident bij Limburg.net aan. De organisatie gaf in eerste instantie aan dat er geen persoonsgegevens buitgemaakt zijn: woorden die nadien moesten ingeslikt worden.
“Wij raden onze klanten altijd aan om een juridische en communicatie-expert onder de arm te nemen”, zegt Hensen. “Crisissituaties zoals cyberaanvallen kunnen paniek veroorzaken. Journalisten en vooral betrokken personen zullen antwoorden willen die je misschien op dat moment nog niet kan geven. Tijdens het onderzoek komen altijd nieuwe zaken naar boven, maar dat is een tijdrovend proces.”
“Het slechtste dat je kan doen, is de zaken minimaliseren”, zegt Herman Bogaerts, CEO van KMO Legal, een Oost-Vlaams bedrijf dat juridisch advies verleent aan kmo’s. “Het is misschien een menselijke reactie om gerust te stellen, maar je jaagt alleen maar iedereen op de kast als het achteraf dan ernstiger blijkt te zijn dan je eerst hebt gezegd. Steek je hoofd niet in het zand en doe niet alsof er niets aan de hand is. Eventuele onzekerheid over wat gestolen is, mag geen excuus zijn om je achter te verstoppen.”
In een communicatieplan zijn twee zaken essentieel: de inhoud en de timing. KMO Legal raadt aan om een ‘need-to-know’-strategie te hanteren, waarbij je je beperkt tot de informatie die je noodzakelijk moet delen. Timing is grotendeels afhankelijk van de wettelijke verplichtingen waaraan je gebonden bent – hier gaan we zo meteen dieper op in – al zal je voorbereid moeten zijn op vragen van externe partijen.
Het slechtste dat je kan doen, is de zaken minimaliseren om mensen gerust te stellen. Je jaagt alleen maar iedereen op de kast als het achteraf ernstiger blijkt te zijn.
Herman Bogaerts, CEO KMO Legal
Wie moet ik op de hoogte brengen?
Na een cyberaanval dient het organisaties om niet enkel reactief te zijn in de communicatie. In bepaalde situaties geldt een meldingsplicht. Houdt het lekken van de gegevens een risico in voor de rechten en vrijheden van betrokken personen? Dan dien je het datalek binnen de 72 uur te melden aan de Gegevensbeschermingsautoriteit (via het online formulier). Deze factoren moeten afgewogen worden:
- Wat is de aard en de omvang van de gelekte gegevens?
- Hoe hoog is de ‘gevoeligheid’?
- Kunnen personen aan de hand van de gegevens eenvoudig geïdentificeerd worden?
- Hoe ernstig zijn de mogelijke gevolgen van het datalek voor de betrokken personen?
- Zijn er gegevens van minderjarigen of andere kwetsbare personen in het spel?
Ongeacht de omvang, is het altijd verplicht om het datalek te laten opnemen in een ‘register’, licht Inanna Pringels, privacy-expert bij KMO Legal, schriftelijk toe. De melding moet een omschrijving van het datalek bevatten (inclusief het aantal betrokken personen en een classificatie van de gelekte gegevens), de mogelijke gevolgen van het datalek en de maatregelen waarmee die zoveel mogelijk worden beperkt. In de meeste situaties zal je ook de betrokken personen op de hoogte moeten brengen. Hier bestaan wel enkele uitzonderingen op, als het bijvoorbeeld ‘disproportioneel veel moeite kost’ om ieder persoon individueel te verwittigen. Dan volstaat een publieke mededeling, voegt Pringels toe.
Bogaerts vult verder aan: “Toch is het altijd beter om een keer te veel te communiceren dan te weinig. Uit vrees voor een onderzoek durven organisaties wel eens dingen verzwijgen die achteraf dan toch aan het licht komen. Niet handelen kan evengoed als nalatigheid worden gezien. Toezichthouders kunnen boetes opleggen na een datalek, maar het zijn ook geen pitbulls die zonder reden bijten. Zij zien liever dat bedrijven hun verantwoordelijkheid opnemen bij een incident. Deze verantwoordelijkheidsplicht is overigens ook opgenomen in de GDPR-wet. Goede trouw speelt dus wel degelijk mee.”
Betalen of niet?
De kans is zeer waarschijnlijk dat de hackers een losgeld van je zullen eisen om de gegevens niet openbaar te maken. Hensen zal organisaties nooit aanraden om losgeld te betalen, maar is begripvol dat bedrijven soms geen andere uitweg zien. “Wel of niet betalen is een overweging die ieder slachtoffer moet maken. Dit is niet eenvoudig, want je weet niet wat aanvallers gaan doen na de betaling, al zoeken ze dan meestal wel een nieuw slachtoffer. Soms is betalen het laatste redmiddel om klanten te beschermen, je kan bedrijven dat dus niet altijd kwalijk nemen.”
“Het betalen van afpersingsgeld is vaak een ‘snelle weg’ naar een oplossing om de bedrijfsactiviteiten van de betrokken organisatie zo snel als mogelijk voort te kunnen zetten”, zegt Pringels. “We vinden dit vanuit juridisch en moreel oogpunt echter niet verstandig. In de eerste plaats biedt de betaling geen garantie dat de aanval ook effectief wordt stopgezet en/of de gegevens worden terugbezorgd. Bovendien worden criminelen hierdoor aangemoedigd: niet alleen is hun opzet geslaagd, ze beschikken door de betaling ook over nieuwe middelen voor toekomstige aanvallen.”
“Het is moeilijk om er exacte cijfers op te kleven, maar op Europees niveau zien we wel dat bedrijven steeds minder vaak ingaan op het betalen van losgeld”, gaat Hensen op een positievere noot over. “Redenen zijn dat bedrijven betere back-ups hebben en betere inschattingen maken over de gevoeligheid van gegevens. Verzekeringen gaan daar ook minder en minder in mee.” “Toch denken wij dat bedrijven nog vaker betalen dan dat de media doen uitschijnen, net omdat er zo weinig informatie over beschikbaar is”, merkt Bogaerts op.
Reputatieschade en fraude
Een datalek kan een hoge financiële tol hebben voor de slachtoffers. Nog vervelender is misschien wel de reputatieschade die bedrijven oplopen. Hensen: “Na een datalek liggen persoonsgegevens op straat waar in principe iedereen aan kan. Hackers gebruiken die gegevens om nieuwe slachtoffers te zoeken. Datalekken zijn een goudmijn voor iedereen die kwaad wil doen.”
Ben je als individu de dupe van een datalek, dan is fraude je grootste zorg, gaat Hensen verder. Dat betekent niet dat je dat zomaar moet ondergaan. “Probeer te achterhalen welke gegevens gelekt zijn. Wees ook een goede burger en waarschuw mensen uit je omgeving die mee betrokken kunnen zijn. Als werkgever is het je plicht om werknemers in te lichten. Na een datalek ben je best extra scherp: valideer wie je mailt of belt.”
Pringels: “Als je je als slachtoffer van een cyberaanval afvraagt welke gegevens de betrokken organisatie eigenlijk van jou verwerkt, kan je inzage vragen in je persoonsgegevens. Dit is één van je rechten conform de GDPR. De verwerkingsverantwoordelijke moet hier binnen een maand na ontvangst op ingaan. Stel dat het datalek te wijten is aan het feit dat de organisatie in strijd met de gegevensbeschermingsregels heeft gehandeld en dat je hierdoor schade hebt geleden, dan heb je mogelijk recht op een schadevergoeding.”
“Het beste advies dat ik kan geven, is om niet af te wachten totdat hackers jouw gegevens misbruiken. Bij enige vorm van twijfel neem je beter proactief actie door je wachtwoorden aan te passen en/of je kaart te blokkeren. Dat is misschien even vervelend, maar klein bier vergeleken met de gevolgen van identiteitsmisbruik”, zegt Bogaerts.
Datalekken zijn een goudmijn voor iedereen die kwaad wil doen.
Lodi Hensen, VP Security Operations Eye Security
Verzorg de basis
Het beste medicijn tegen datalekken blijft natuurlijk ze zo goed mogelijk voorkomen. “Door je basisprincipes op orde te hebben, kom je al ver. Hang je meest kritieke systemen alleen aan het internet als dat noodzakelijk is en schakel MFA in. Ook back-ups zijn cruciaal tegen ransomware. Investeer niet alleen in monitoring en detectie, maar ook response. Dit wordt nog te vaak vergeten: je kan een goed slot hebben, maar als inbrekers een raam ingooien en je hebt dan geen alarm, dan wordt er nog altijd bij je ingebroken”, besluit Hensen.
Als beveiliging nog niet bovenaan de agenda stond, dan zal dat voor veel bedrijven spoedig niet alleen een morele, maar ook een wettelijke plicht zijn. De NIS2-wet breidt de richtlijnen van zijn voorganger uit naar meerdere sectoren, waardoor bedrijven die onder de wetgeving vallen geen excuses meer zullen hebben. Ook de Europese Cyber Resilience Act zal bedrijven uit de IT-sector beter doen nadenken of ze alles op orde hebben. Deze wetgevingen zullen – hopelijk – het aantal jaarlijkse cyberincidenten opnieuw kunnen doen terugdringen. Nalatigheid met persoonsgegevens kan bedrijven ook nu al aansprakelijk maken voor beveiligingsincidenten.
“Alles begint bij preventie en sensibilisering, maar zorg ervoor dat je naast technisch ook juridisch in orde bent, anders loop je alsnog tegen de lamp”, klinkt de raad van Bogaerts. “Toch is de gemiddelde Belgische kmo hier naar mijn gevoel nog te weinig mee bezig. De GDPR bestaat inmiddels meer dan vijf jaar: je komt er gewoon niet meer mee weg als je niet in orde bent. Het zijn misschien investeringen die niet meteen opleveren, maar beschouw het als een noodzakelijk kwaad. Ik wil niet pessimistisch klinken, maar ik denk dat we nog maar het topje van de ijsberg hebben gezien. We zullen niet meer af geraken van cyberaanvallen, maar ook niet van regelgevingen.”