Een hacker breekt in bij Booking.com maar het bedrijf hield dat stil, zo meldde de media in november 2021. Eerder in NRC over gijzelsoftware ‘Na fatale klik hadden hackers vrij spel’. In 2020 zijn er bij de AP maar liefst 24.000 datalekken gemeld. Cyber security is hot item. Hoe goed je je computersystemen ook beveiligt, een hack of datalek vindt plaats. Combineer ICT, beleid en de medewerkers om internetfraude te voorkomen. De mens is hierbij namelijk de zwakste schakel. Lees hier hoe je problemen voorkomt.

Gijzelsoftware Het artikel over de fatale klik betreft de hack bij Universiteit Maastricht. Deze universiteit had wel degelijk beveiliging, zoals een virusscan, maar toch ging het mis. Er bleek een medewerker te hebben geklikt op een link in een bestand dat vervolgens toegang bood aan hackers. Deze hackers plaatsten gijzelsoftware in het universiteitsnetwerk. Na de fatale klik hadden hackers dus vrij spel. Het duurde enkele weken totdat de hackers toesloegen. Ze verwijderden eerst de virusscanner. Juist in de kerstvakantie sloegen ze pas echt goed toe: gijzelsoftware werd geplaatst over het hele netwerk.

De universiteit had geen toegang meer tot gegevens vanwege de geplaatste gijzelsoftware. Zo’n universiteitsnetwerk bevat onderzoeksresultaten van wetenschappers en mogelijkerwijze liep uitbetaling van salaris in gevaar. Grote problemen ontstonden er en dat allemaal vanwege één simpele klik op een verkeerde link.

Datalekken Wist je dat het plaatsen van gijzelsoftware ook een datalek is? Toch heeft een datalek vaak een andere interessante oorzaak. Het blijkt dat de meeste datalekken als oorzaak hebben het toezenden van een e-mail aan de verkeerde ontvanger. Dat overkomt iedereen wel eens. Kan gebeuren! Maar realiseer je dat de gevolgen groot kunnen zijn en het is dan ook infinfraadzaam je hierop voor te bereiden. Wat doe jij als je per ongeluk een e-mail aan de verkeerde ontvanger verzendt?

Op grond van de AVG ben je in bepaalde situaties verplicht binnen 72 uur melding te doen bij de AP, zie de website van de Autoriteit Persoonsgegevens.  Vermeld het in ieder geval in je registerdatalekken. Maar als het personeel zich niet realiseert dat er sprake is van een datalek, door simpelweg de vergissing te onderschatten, dan voldoet je bedrijf niet aan de wettelijke verplichting. Geplaatste gijzelsoftware geeft ongeoorloofd toegang tot en inzage in gegevens zodat gijzelsoftware ook een datalek is. Het gevaar is dan dat de AP ook nog eens een boete oplegt. Dit is gebeurd bij Uber. Verder kan het voorkomen dat een verkeerd verzonden e-mail in handen komt van hackers en er misbruik van maken. Jouw bedrijf is hiervoor verantwoordelijk.

Hoe voorkom je dit? Uiteraard is je bedrijf al helemaal up to date met beveiliging van de computers.  Stap 2 is dan bewustwording van het personeel. De mens is de zwakste schakel. Is je personeel bekend met het herkennen van gevaarlijke links? Waar let je op bij links? Zo’n hacker laat het niet bij één e-mail. Er worden meerdere e-mails verzonden met vergelijkbare links. Goede opvolging van de melding zet beveiligers eerder op het spoor van de hacker.

Zorg voor een wachtwoordenbeleid zodat het personeel weet wat goede wachtwoorden zijn en zodat personeel deze wachtwoorden regelmatig vervangt. Is een computerupdate vereist? Voer updates direct uit! Personeel dat het druk heeft wil nog wel eens denken ‘komt morgen wel’, maar juist dan gaat het mis. Computerupdates hebben vaak een verbetering van de beveiliging tot gevolg. Direct actie is dus vereist.

Bij de Universiteit Maastricht ging het bovendien mis, omdat de back up zich in hetzelfde systeem bevond. Ook dat is een goeie tip: Zorg voor een back up die elders wordt bewaard. En zo zijn er nog meer praktische tips om dit soort problemen te voorkomen.

Onderschat cyber crime niet. Combineer ICT, beleid en de medewerkers om internetfraude te voorkomen.

Auteur mr. S.B. Punt

Mijn naam is Sylvia Punt, juriste arbeidsrecht, en in dat kader heb ik mij verdiept in de AVG. De privacywetgeving AVG helpt cyber crime te voorkomen. Hoe? Laat mij jouw personeel informeren zodat hackers geen kans maken. Het full service kantoor Vanhier is de perfecte sparringpartner voor het MKB.