Een datalek in je organisatie: wat nu?

Een datalek kan zware schade toebrengen aan de reputatie van je bedrijf, maar vooral ook vervelende gevolgen hebben voor betrokken personen. Voorkomen is altijd beter dan genezen, maar wat doe je als het noodlot toch toeslaat?

De recente cyberaanval op Limburg.net maakt het nog maar eens duidelijk: het gevaar loert constant om de hoek. Op 13 december kreeg de Limburgse afvalbeheermaatschappij ongewenst bezoek van hackers van de Russische groepering Medusa. Aanvankelijk zorgde dat vooral voor chaos in de containerparken, maar de voorbije weken is duidelijk geworden dat de gevolgen veel groter zijn: persoonlijke gegevens van meer dan driehonderdduizend burgers liggen daardoor open en bloot op straat, van namen tot rijksregisternummers en zelfs notarisdocumenten.. Er wordt zelfs al gesproken over ‘de grootste hack ooit’ in ons land.

Limburg.net is zeker niet de eerste Belgische organisatie die ten prooi valt aan hackers, en zal ook niet de laatste zijn. Een jaar geleden zorgde een cyberaanval op de stad Antwerpen voor de nodige oproer. Datalekken nemen wereldwijd toe en nemen ook steeds grotere proporties aan. Maar ook datalekken van een beperktere omvang kunnen zware gevolgen hebben. De manier waarop je als organisatie met een datalek omgaat, zal bepalen met hoeveel kleerscheuren je uit het incident zal komen. Iedere beslissing die je neemt (of net niet neemt), is daarbij van cruciaal belang.

Grootste datalek ooit? Database met gegevens over 26 miljard accounts ontdekt

Geen momentopname

Cyberaanvallen komen tegenwoordig bijna dagelijks in het nieuws. Je zou denken dat de risico’s inmiddels wel gekend zijn, maar toch laten veel bedrijven zich nog vangen. Lodi Hensen, VP Security Operations bij Eye Security, een Nederlands cybersecuritybedrijf dat ook actief is in België, geeft een mogelijke verklaring. “Cybersecurity is geen momentopname. Veel bedrijven laten eens één keer een penetratietest uitvoeren en volgen de aanbevelingen op, maar daar blijft het dan bij. Je moet zwaktes in je systemen continu bijhouden om de deuren dicht te houden. Pas als je weet wat je hebt, kan je ook weten hoe je alles moet beveiligen.”

Dit is niet de enige beveiligingsfout die Hensen bedrijven ziet maken. “Er wordt vandaag veel gebruik gemaakt van de cloud, maar bedrijven gaan er te gemakkelijk vanuit dat alles goed beveiligd is. Het is aan jou als gebruiker om ervoor te zorgen dat alles goed ingesteld staat om hackers buiten te houden, en je mensen aan te leren de cloud ook correct te gebruiken. De drie pijlers van beveiliging zijn people, process en technology: die moeten in samenwerking met elkaar staan om je bedrijf continu te beschermen.”

Steek je hoofd niet in het zand

Soms zijn zelfs de beste voorzorgsmaatregelen niet genoeg om een aanval te vermijden. Tijdens de eerste uren is het zaak om een ‘inventaris’ op te maken van wat de indringers exact hebben buitgemaakt. Dat is niet altijd eenvoudig, zegt Hensen. “Bedrijven zijn vaak pas op de hoogte van een cyberaanval wanneer de hackers dreigen met afpersing. Op dat moment moet men in allerijl onderzoeken wat er gebeurd is, hoe dat komt en welke data gestolen kunnen zijn. Uit dat onderzoek kan evengoed blijken dat er helemaal niets gestolen is, maar het is bijna onmogelijk om meteen te weten wat de impact van de aanval zal zijn.”

Te midden van de chaos, zal je als bedrijf toch vaak al moeten communiceren over het incident. Ook dat is weer geen sinecure, toont het incident bij Limburg.net aan. De organisatie gaf in eerste instantie aan dat er geen persoonsgegevens buitgemaakt zijn: woorden die nadien moesten ingeslikt worden.

“Wij raden onze klanten altijd aan om een juridische en communicatie-expert onder de arm te nemen”, zegt Hensen. “Crisissituaties zoals cyberaanvallen kunnen paniek veroorzaken. Journalisten en vooral betrokken personen zullen antwoorden willen die je misschien op dat moment nog niet kan geven. Tijdens het onderzoek komen altijd nieuwe zaken naar boven, maar dat is een tijdrovend proces.”

“Het slechtste dat je kan doen, is de zaken minimaliseren”, zegt Herman Bogaerts, CEO van KMO Legal, een Oost-Vlaams bedrijf dat juridisch advies verleent aan kmo’s. “Het is misschien een menselijke reactie om gerust te stellen, maar je jaagt alleen maar iedereen op de kast als het achteraf dan ernstiger blijkt te zijn dan je eerst hebt gezegd. Steek je hoofd niet in het zand en doe niet alsof er niets aan de hand is. Eventuele onzekerheid over wat gestolen is, mag geen excuus zijn om je achter te verstoppen.”

In een communicatieplan zijn twee zaken essentieel: de inhoud en de timing. KMO Legal raadt aan om een ‘need-to-know’-strategie te hanteren, waarbij je je beperkt tot de informatie die je noodzakelijk moet delen. Timing is grotendeels afhankelijk van de wettelijke verplichtingen waaraan je gebonden bent – hier gaan we zo meteen dieper op in – al zal je voorbereid moeten zijn op vragen van externe partijen.

Het slechtste dat je kan doen, is de zaken minimaliseren om mensen gerust te stellen. Je jaagt alleen maar iedereen op de kast als het achteraf ernstiger blijkt te zijn.
Herman Bogaerts, CEO KMO Legal

Wie moet ik op de hoogte brengen?

Na een cyberaanval dient het organisaties om niet enkel reactief te zijn in de communicatie. In bepaalde situaties geldt een meldingsplicht. Houdt het lekken van de gegevens een risico in voor de rechten en vrijheden van betrokken personen? Dan dien je het datalek binnen de 72 uur te melden aan de Gegevensbeschermingsautoriteit (via het online formulier). Deze factoren moeten afgewogen worden:

Wat is de aard en de omvang van de gelekte gegevens?
Hoe hoog is de ‘gevoeligheid’?
Kunnen personen aan de hand van de gegevens eenvoudig geïdentificeerd worden?
Hoe ernstig zijn de mogelijke gevolgen van het datalek voor de betrokken personen?
Zijn er gegevens van minderjarigen of andere kwetsbare personen in het spel?

Ongeacht de omvang, is het altijd verplicht om het datalek te laten opnemen in een ‘register’, licht Inanna Pringels, privacy-expert bij KMO Legal, schriftelijk toe. De melding moet een omschrijving van het datalek bevatten (inclusief het aantal betrokken personen en een classificatie van de gelekte gegevens), de mogelijke gevolgen van het datalek en de maatregelen waarmee die zoveel mogelijk worden beperkt. In de meeste situaties zal je ook de betrokken personen op de hoogte moeten brengen. Hier bestaan wel enkele uitzonderingen op, als het bijvoorbeeld ‘disproportioneel veel moeite kost’ om ieder persoon individueel te verwittigen. Dan volstaat een publieke mededeling, voegt Pringels toe.

Bogaerts vult verder aan: “Toch is het altijd beter om een keer te veel te communiceren dan te weinig. Uit vrees voor een onderzoek durven organisaties wel eens dingen verzwijgen die achteraf dan toch aan het licht komen. Niet handelen kan evengoed als nalatigheid worden gezien. Toezichthouders kunnen boetes opleggen na een datalek, maar het zijn ook geen pitbulls die zonder reden bijten. Zij zien liever dat bedrijven hun verantwoordelijkheid opnemen bij een incident. Deze verantwoordelijkheidsplicht is overigens ook opgenomen in de GDPR-wet. Goede trouw speelt dus wel degelijk mee.”

Betalen of niet?

De kans is zeer waarschijnlijk dat de hackers een losgeld van je zullen eisen om de gegevens niet openbaar te maken. Hensen zal organisaties nooit aanraden om losgeld te betalen, maar is begripvol dat bedrijven soms geen andere uitweg zien. “Wel of niet betalen is een overweging die ieder slachtoffer moet maken. Dit is niet eenvoudig, want je weet niet wat aanvallers gaan doen na de betaling, al zoeken ze dan meestal wel een nieuw slachtoffer. Soms is betalen het laatste redmiddel om klanten te beschermen, je kan bedrijven dat dus niet altijd kwalijk nemen.”

“Het betalen van afpersingsgeld is vaak een ‘snelle weg’ naar een oplossing om de bedrijfsactiviteiten van de betrokken organisatie zo snel als mogelijk voort te kunnen zetten”, zegt Pringels. “We vinden dit vanuit juridisch en moreel oogpunt echter niet verstandig. In de eerste plaats biedt de betaling geen garantie dat de aanval ook effectief wordt stopgezet en/of de gegevens worden terugbezorgd. Bovendien worden criminelen hierdoor aangemoedigd: niet alleen is hun opzet geslaagd, ze beschikken door de betaling ook over nieuwe middelen voor toekomstige aanvallen.”

“Het is moeilijk om er exacte cijfers op te kleven, maar op Europees niveau zien we wel dat bedrijven steeds minder vaak ingaan op het betalen van losgeld”, gaat Hensen op een positievere noot over. “Redenen zijn dat bedrijven betere back-ups hebben en betere inschattingen maken over de gevoeligheid van gegevens. Verzekeringen gaan daar ook minder en minder in mee.” “Toch denken wij dat bedrijven nog vaker betalen dan dat de media doen uitschijnen, net omdat er zo weinig informatie over beschikbaar is”, merkt Bogaerts op.

Reputatieschade en fraude

Een datalek kan een hoge financiële tol hebben voor de slachtoffers. Nog vervelender is misschien wel de reputatieschade die bedrijven oplopen. Hensen: “Na een datalek liggen persoonsgegevens op straat waar in principe iedereen aan kan. Hackers gebruiken die gegevens om nieuwe slachtoffers te zoeken. Datalekken zijn een goudmijn voor iedereen die kwaad wil doen.”

Ben je als individu de dupe van een datalek, dan is fraude je grootste zorg, gaat Hensen verder. Dat betekent niet dat je dat zomaar moet ondergaan. “Probeer te achterhalen welke gegevens gelekt zijn. Wees ook een goede burger en waarschuw mensen uit je omgeving die mee betrokken kunnen zijn. Als werkgever is het je plicht om werknemers in te lichten. Na een datalek ben je best extra scherp: valideer wie je mailt of belt.”

Pringels: “Als je je als slachtoffer van een cyberaanval afvraagt welke gegevens de betrokken organisatie eigenlijk van jou verwerkt, kan je inzage vragen in je persoonsgegevens. Dit is één van je rechten conform de GDPR. De verwerkingsverantwoordelijke moet hier binnen een maand na ontvangst op ingaan. Stel dat het datalek te wijten is aan het feit dat de organisatie in strijd met de gegevensbeschermingsregels heeft gehandeld en dat je hierdoor schade hebt geleden, dan heb je mogelijk recht op een schadevergoeding.”

“Het beste advies dat ik kan geven, is om niet af te wachten totdat hackers jouw gegevens misbruiken. Bij enige vorm van twijfel neem je beter proactief actie door je wachtwoorden aan te passen en/of je kaart te blokkeren. Dat is misschien even vervelend, maar klein bier vergeleken met de gevolgen van identiteitsmisbruik”, zegt Bogaerts.

Datalekken zijn een goudmijn voor iedereen die kwaad wil doen.
Lodi Hensen, VP Security Operations Eye Security

Verzorg de basis

Het beste medicijn tegen datalekken blijft natuurlijk ze zo goed mogelijk voorkomen. “Door je basisprincipes op orde te hebben, kom je al ver. Hang je meest kritieke systemen alleen aan het internet als dat noodzakelijk is en schakel MFA in. Ook back-ups zijn cruciaal tegen ransomware. Investeer niet alleen in monitoring en detectie, maar ook response. Dit wordt nog te vaak vergeten: je kan een goed slot hebben, maar als inbrekers een raam ingooien en je hebt dan geen alarm, dan wordt er nog altijd bij je ingebroken”, besluit Hensen.

Als beveiliging nog niet bovenaan de agenda stond, dan zal dat voor veel bedrijven spoedig niet alleen een morele, maar ook een wettelijke plicht zijn. De NIS2-wet breidt de richtlijnen van zijn voorganger uit naar meerdere sectoren, waardoor bedrijven die onder de wetgeving vallen geen excuses meer zullen hebben. Ook de Europese Cyber Resilience Act zal bedrijven uit de IT-sector beter doen nadenken of ze alles op orde hebben. Deze wetgevingen zullen – hopelijk – het aantal jaarlijkse cyberincidenten opnieuw kunnen doen terugdringen. Nalatigheid met persoonsgegevens kan bedrijven ook nu al aansprakelijk maken voor beveiligingsincidenten.

NIS2: redundante regelneverij, of broodnodige sprong richting een veilig Europa?

“Alles begint bij preventie en sensibilisering, maar zorg ervoor dat je naast technisch ook juridisch in orde bent, anders loop je alsnog tegen de lamp”, klinkt de raad van Bogaerts. “Toch is de gemiddelde Belgische kmo hier naar mijn gevoel nog te weinig mee bezig. De GDPR bestaat inmiddels meer dan vijf jaar: je komt er gewoon niet meer mee weg als je niet in orde bent. Het zijn misschien investeringen die niet meteen opleveren, maar beschouw het als een noodzakelijk kwaad. Ik wil niet pessimistisch klinken, maar ik denk dat we nog maar het topje van de ijsberg hebben gezien. We zullen niet meer af geraken van cyberaanvallen, maar ook niet van regelgevingen.”

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.