Een van de grootste bedreigingen voor de beveiliging van bedrijfs- en persoonsgegevens op dit moment is phishing. Hackers proberen steeds vaker en steeds effectiever om mensen zover te krijgen dat ze klikken op een verkeerde link in een mail. Uit de rapportage over gemelde datalekken in 2020 van de Autoriteit Persoonsgegevens staan hacking, malware en phishing op de derde plek van meest voorkomende oorzaken. Vorige maand werden zo de pensioengegevens van duizenden medewerkers van Philips en KLM onderschept door een moment van onoplettendheid van een medewerker. Een zeer geavanceerde aanval, waar iedereen in kan trappen. Hoe bescherm je je zo effectief mogelijk?
De Autoriteit Persoonsgegevens licht toe in haar jaarverslag datalekken 2020:
In 2020 ontving de AP 1.173 meldingen over hacking, malware of phishing-incidenten. Dit is een stijging van 30% ten opzichte van 2019. Bij 41,5% van de meldingen werden meer dan 500 personen getroffen. Dit type datalek komt het meest voor in de sector gezondheid en welzijn (13%) gevolgd door onderwijs (11%), ICT-dienstverlening (9%) en handel en autobranche (8%). Vooral grotere organisaties, die persoonsgegevens van veel mensen verwerken, lijken doelwit van hacking, malware of phishing.
Als organisatie kun je verschillende maatregelen nemen . Het helemaal voorkomen van phishing kan haast niet. Honderd procent veiligheid bestaat immers niet. Je kunt grofweg twee strategieën volgen:
Het verkleinen van de kans op een incident houdt in dat je maatregelen treft die gericht zijn op de oorzaken van incidenten. Dat wil zeggen: het ontwikkelen en uitvoeren van een effectief informatiebeveiligingsbeleid. De belangrijkste factor bij phishing is de mens, dus als je medewerkers zich goed bewust zijn van de gevaren en wat ze moeten doen om problemen te voorkomen kan je de kans verkleinen op een incident. Investeren in goede awareness trainingen en het herhalen ervan draagt hier ook aan bij. Een phishing test uitvoeren helpt ook. Het belangrijkste is immers om medewerkers te trainen zodat ze een phishing mail makkelijker herkennen. Maar je kunt ook technische maatregelen nemen: door het toepassen van tweefactorauthenticatie is het veel onwaarschijnlijker dat een klik op een slechte link ertoe leidt dat een aanvaller langdurig toegang krijgt tot je systemen.
Het verkleinen van de impact van een incident betekent dat je maatregelen neemt die gericht zijn op het zo beperkt mogelijk houden van de schade van een incident. Dit kan gaan over de omvang van de gevolgen, maar ook over de ernst van de gevolgen.
Het helpt erg als degene die per ongeluk toch op de kwade link klikt niet overal bij kan. Maak dus meer onderscheid tussen verschillende datasets of systemen. Dan kan de aanvaller niet direct alle datasets of systemen buitmaken. Als die niet in staat is om kwetsbare gegevens te koppelen aan namen en adressen, kan de aanvaller er weinig mee beginnen.
De impact kun je ook verkleinen door de tijd te beperken dat een aanvaller zijn gang kan gaan. Alleen door goede logs bij te houden van welke medewerker toegang heeft tot welke informatie, kun je zien of zich rare gebeurtenissen voordoen. En het bijhouden van goede logs is niet genoeg. Je moet ze ook structureel onderzoeken op ongewenste incidenten. Goede logging is ook belangrijk om achteraf vast te kunnen stellen welke informatie buit is gemaakt door de aanvallers en om de betrokkenen goed te kunnen informeren.
Om de kans en de impact te verkleinen zijn er een veelheid aan organisatorische en technische maatregelen die je als organisatie kunt nemen. Welke maatregelen bij jouw organisatie passen, hangt vaak af van de context waarin je werkt. Belangrijk is dat de AVG je verplicht om de maatregelen af te stemmen op de gevoeligheid van je verwerkingen van persoonsgegevens.
Tips voor de organisatie:
Tips voor de medewerker: