Kansloos tegen hackers?

Nog veel te doen aan awareness bij de medewerkers
Column door Maria Genova

De hoge boetes bij datalekken per 1 januari en het risico op reputatieschade hebben veel bedrijven en organisaties doen schrikken. Maar schrikken is niet genoeg. De meeste bedrijven lopen nog steeds achter de feiten aan. In de eerste drie maanden van dit jaar ontving de Autoriteit Persoonsgegevens meer dan zevenhonderd meldingen die met datalekken te maken hadden. Dat is waarschijnlijk slechts het topje van de ijsberg, want heel veel organisaties weten helemaal niet dat ze gehackt zijn. Er zijn al veel gevallen in de media geweest waarin bedrijven pas maanden later erachter kwamen dat al die tijd iemand de gegevens van klanten en andere data uit hun computersysteem aan het stelen was.

Ik geef zo’n tien lezingen per maand over cybercrime en databeveiliging en ik verbaas me keer op keer over de enorme onwetendheid van de medewerkers die met privacygevoelige informatie omgaan. Niet dat ik het ze kwalijk neem: als niemand je verteld heeft hoe je twintig verschillende lange wachtwoorden kunt onthouden, hoe je kopieën van paspoorten veilig kunt opslaan, waarom je je zakelijke e-mail niet via open WIFI moet ophalen en op welke manier hackers het bedrijfsnetwerk proberen over te nemen, is het nogal logisch dat de medewerkers dat niet weten.

Door al die digitale ontwikkelingen en koppelingen van databanken, hebben bedrijven vaak een enorme berg waardevolle informatie over hun klanten. Op het moment dat die in verkeerde handen terecht komt, is het heel erg gemakkelijk om hiermee fraude te plegen.

bestseller en mustreadHet boek “komt een vrouw bij de hacker” is een eyeopener

Identiteitsfraude

Identiteitsfraude is momenteel de snelst groeiende vorm van criminaliteit. Het overkomt honderden Nederlanders per dag. Het ergste is dat je zoiets ook niet even ongedaan kan maken. Op het moment dat een crimineel genoeg gegevens over je heeft, kan hij zich als jou blijven voordoen. De kans dat die crimineel opgepakt wordt, is bijzonder klein, want alle sporen wijzen naar jou. De kans dat jij wordt opgepakt door de politie, is een stuk groter. Voor mijn boek ‘Komt een vrouw bij de h@cker’ sprak ik met tientallen mensen van wie de identiteit gestolen was. Pas als je hun aangrijpende verhalen hoort, besef je waarom het belangrijk is om klantdata goed te beveiligen. Met een simpel gelekt kopietje van een paspoort kan iemand woningen op je naam huren en daar wietplantages opzetten. Boudewijn was ruim twee jaar bezig om te bewijzen dat hij hier niets mee te maken had, dat hij een brave burger was die geen verstand had van drugs en ook geen foute vrienden had. Hij werkte bij de overheid met vertrouwelijke informatie en raakte zijn werk kwijt. Zelfs toen de zaak eindelijk achter de rug was, bleef de identiteitsfraude hem achtervolgen.

Linda was een ander slachtoffer van wie het verhaal veel indruk op me maakte. Iemand bestelde constant spullen op haar naam. De spullen ontving ze niet, wel de rekeningen en omdat ze die weigerde te betalen, kreeg ze met verschillende deurwaarders te maken. De rekeningen stapelden zich op, meer dan 11.000 euro aan spullen en leningen, en Linda kon er niets tegen doen. Ze raakte psychisch in de knel, de druk werd haar te hoog. Bij elk deurtje dat ze dicht zette, ging ergens anders een deurtje open door bedrijven die zaken deden met oplichters. In het boek geef ik nog veel meer aangrijpende voorbeelden, van iemand die 1737 auto’s op zijn naam kreeg en dakloos werd omdat zijn uitkering werd stopgezet tot mensen die onschuldig in de gevangenis belandden.

Hackers

KomtvrouwbijhackerAls ik dat soort voorbeelden tijdens de lezingen geef, begint het eindelijk tot de organisaties door te dringen waarom databeveiliging belangrijk is. De vraag is natuurlijk hoe je dat doet. Om te beginnen moet je er niet vanuit gaan  dat je bedrijfsnetwerk goed beschermd is. Ik spreek best vaak met ethische hackers die tests uitvoeren en ze komen bij vrijwel alle bedrijven binnen. Er zijn altijd goedwillende medewerkers die bereid zijn om op een phishinglink te klikken of een onbekende het gebouw binnen te laten. Als de medewerkers nog nooit een fatsoenlijke awareness-sessie hebben gehad, dan is de kans daarop heel groot, want ze begrijpen de risico’s niet. De hackers zeggen dat er twee soorten bedrijven zijn: bedrijven die al gehackt zijn en bedrijven die gehackt gaan worden. Als burger vind ik dat soort uitspraken zeer verontrustend, maar ik geloof ze wel, want ik heb met eigen ogen gezien hoe hackers werken.

Wat de ict-afdelingen op z’n minst kunnen doen is kijken wie toegang heeft tot privacygevoelige informatie en of dat echt nodig is voor zo’n functie.

Ik was laatst bij een woningcorporatie die kopietjes van de paspoorten van alle huurders maakte. Toen ik vroeg of die kopietjes versleuteld werden opgeslagen, keek de medewerker me glazig aan. Nee, dat was niet het geval. En wie had dan toegang tot al die kopietjes? Dat bleken alle medewerkers te zijn in deze grote organisatie. Dat is geen toeval, want ook andere bleken zo te werken. Ik sprak met woningcorporaties die geen kopieën van paspoorten meer maakten, maar wel alle oude kopieën bewaarden. Ook geen briljante oplossing, aangezien het allebei van de wet niet mag.

Kennis

Er zijn nog steeds te veel bedrijven die paspoorten en rijbewijzen kopiëren, terwijl dat wettelijk verboden is. Sportscholen, autoschadebedrijven, verhuurbedrijven, hotels, etc. mogen dat bijvoorbeeld niet, maar sommige doen het wel. Eigenlijk zijn er maar een paar commerciële bedrijven die dat van de wet mogen.

Voorkomen is beter dan genezen, dus vraag je af welke data je opslaat en waarom. Kijk ook of het mogelijk is om die te pseudonimiseren. Encyptie en hashing verlagen de kans op misbruik. Als organisatie kun je de gegevens nog steeds aan de juiste klant koppelen, maar voor hackers wordt het lastiger.

En deel alsjeblieft je kennis over de toenemende digitale gevaren met je medewerkers, want die begrijpen er nog steeds niets van. Zolang je hen niet van het belang van cybersecurity kunt overtuigen en praktische tips geeft, dan ben je kansloos tegen hackers.

TP Over de schrijfster:
M
aria Genova is schrijfster van het boek ‘Komt een vrouw bij de h@cker’ dat in februari 2014 uitkwam. Het lezerspubliek groeit nog steeds gestaag doordat het echt een boek is dat men anderen aanraadt. Het begint als een echt instapboek voor dummies, maar halverwege is het niet langer mogelijk de cyberwereld en de koppeling van bestanden met persoonsgegevens te negeren. Naast haar carrière als schrijfster van vele boeken -over heel andere onderwerpen- is ze nog steeds een veelgevraagd spreker op congressen over cybercrime, identiteitsfraude en informatiebeveiliging. Zij weet een brug te slaan tussen dummies en geeks door haar praktische inslag en vaak hilarische voorbeelden. Met haar niet aflatende no-nonsense nieuwsgierigheid stelt ze logische vragen: Hoe werkt dit? En hoe kán dat? En tenslotte de vraag: Waarom accepteren wij dit?

admin

Antropoloog. Journalist. Informatieve teksten. Onderzoek. Interviews.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *