Het gebruik van data neemt nog steeds toe. Persoonlijke informatie wordt steeds belangrijker en gegevens worden meer en meer gekoppeld. Dat heeft zijn voor- en nadelen. Maar één ding is zeker, het blijft daarmee een interessante markt voor cybercriminelen. Daarom is het van belang de juiste maatregelen te nemen en te ‘oefenen’, zodat je voorbereid bent op een cyberaanval en een datalek voorkomt.
Zomaar wat datalekken in 2022
Voordat we vooruitkijken naar 2023 kijken we even terug. We geven je enkele voorbeelden van datalekken in 2022 waarbij bewustzijn van informatiebeveiliging cruciaal was. “Hebben we alles doorlopen? En weten de medewerkers hoe ze moeten handelen?”. Ofwel had dit gewoon voorkomen kunnen worden?
Energiemaatschappij Budget Energie
Energiemaatschappij Budget Energie lekte de gegevens van dertienhonderd klanten door het versturen van een verkeerde inloglink via e-mail. Door middel van de link konden klanten de gegevens van andere klanten inzien. Het ging onder andere om persoonlijke informatie zoals telefoonnummers en bankgegevens.
Kamer van Koophandel
Kamer van Koophandel liet privéadressen opvragen. Het datalek kon ontstaan doordat het autorisatiebeheer bij de KvK niet op orde was.
Jeugdzorgbedrijf Samen Veilig Midden Nederland
Jeugdzorgbedrijf Samen Veilig Midden Nederland had opnieuw een groot datalek nadat een systeembeheerder per ongeluk het intranet vanaf het internet toegankelijk maakte.
Gemeente Groningen
De Gemeente Groningen stuurde per ongeluk e-mails naar een grote groep waarbij alle deelnemers zijn meegenomen in de CC in plaats van in de BCC. Gevolg was dat de mailadressen van 450 kwetsbare mensen die in de bijstand zaten, op straat liggen. Dat is volgens de letter van de wet een datalek. Een behoorlijke zelfs waar de Autoriteit Persoonsgegevens, die waakt over de privacy, niet blij mee is.
“Bewustwording is in 2023 nog belangrijker”
Wpg wordt steeds belangrijker
De afgelopen twee jaar stond in het teken van de nieuwe audit op de wet Politiegegevens (Wpg). De Autoriteit Persoonsgegevens (AP) stelde de rapportage een jaar uit. Dus in 2022 werden de auditrapporten eindelijk ingeleverd bij de AP.
Nu gaat het echte werk pas starten. Bij veel gemeenten zijn een flink aantal zaken nog niet op orde, vooral op het gebied van de werking. Plaats de Wpg in 2023 dus als vast onderwerp op de agenda van jouw gemeente. Hoe gaat jouw gemeente dit aanpakken? Weet je al precies wat je moet doen?
Lees meer: 5 praktische tips voor de Wpg-audit.
Integraal in control zijn
De onderwerpen informatiebeveiliging, privacy en financiën staan nu nog los van elkaar. Terwijl deze drie aspecten allemaal ten dienste staan van de burger en jouw klant. Goed financieel beheer en een systeem van interne controle hebben veel raakvlakken met informatiebeveiliging. Betrouwbare systemen leveren betrouwbare informatie op.
Er is behoefte om met een integrale oplossing om zijn geheel in control te komen en te blijven. Concerncontrollers willen inzicht in de mate waarin de organisatie op diverse vlakken scoort. De controller moet hierin gefaciliteerd worden zoals een piloot. Zo kan hij vanuit zijn cockpit de relatie leggen tussen budget, maatschappelijk effect, kwaliteit en risico’s.
“Inergy levert hiervoor in 2023 heldere dashboards op die inzicht en overzicht geven.”
Wachtwoorden zijn uit de tijd
Wachtwoorden zijn niet meer van deze tijd, maar toch zitten we eraan vast. Er zijn nieuwe ontwikkelingen om authenticatie in te bouwen in hardware, zodat je alleen maar vanaf een bepaald device toegang kan krijgen. Intel is bezig met een nieuwe ontwikkeling in speciale chips. Helaas is het chiptekort ook in 2023 weer een uitdaging.
De ultieme tip. Behandel je wachtwoorden zoals je ondergoed!
- Houd het spannend voor anderen: maak geen voorspelbare wachtwoorden
- Verwissel zeer regelmatig: verander je wachtwoorden regelmatig
- Deel nooit met je vrienden: deel dus ook geen accounts. Zeker niet als je daar hetzelfde wachtwoord gebruikt als op andere plekken.
- Laat het niet slingeren: print het niet uit of schrijf een wachtwoord op een post-it op je laptop.
- Langer beschermt beter: Een wachtwoord hoeft niet moeilijk te zijn, maar moet tegenwoordig juist langer zijn. Maak er dus een zin van.
Lees meer: 8 tips voor het maken van een veilig wachtwoord.
Ransomware ook in 2023 grootste dreiging
Ransomware blijft ook in 2023 één van de grootste dreigingen die op ons afkomt. Niet alleen gericht op de grote bedrijven, maar juist ook bij de (kleine) toeleveranciers die mogelijk een makkelijker doel zijn. Dat maakt iedereen een potentieel doelwit en niemand ziet zijn bedrijfsvoering graag stilvallen. Moet je je verzekeren tegen de gevolgen van een ransomware aanval? Moet je betalen aan criminelen of juist niet? Komt de overheid met wetgeving die betalingen verbiedt? Het zijn de vraagstukken die we in 2023 moeten bespreken.
Gemeente Buren slachtoffer van hackers
De gemeente Buren is getroffen door een ransomware-aanval. Ransomware of gijzelsoftware is een door hackers gebruikt chantagemiddel op internet. Letterlijk vertaald betekent ransom: losgeld.
Bij de hack van de gemeente Buren zijn gegevens van de gemeente gestolen. Vervolgens is een set van 130GB aangeboden op het darkweb, een afzonderlijk en anoniem deel van het internet.
De ransomware-aanval is ontstaan doordat criminelen toegang hebben verkregen door misbruik te maken van inloggegevens van een leverancier. Omdat de 2-factorauthenticatie op dit account ontbrak, konden de hackers gemakkelijk binnenkomen in de ICT-omgeving van de gemeente.
Phishing wordt steeds geniepiger
Een van de bekendste manieren om binnen te komen bij organisaties is phishing. Deze aanvallen worden steeds professioneler en blijven groeien. Er zal meer en beter worden ingespeeld op actualiteit. Voorbeelden zijn maatschappelijk ontwrichtende nieuwsberichten zoals de vermeende gevolgen van vaccinaties en het chiptekort in verschillende industrieën. Ook in 2023 zullen grote bekende bedrijven met phishing- en ransomwareaanvallen te maken krijgen. Zorg dat jij niet één van hen bent.
Uitbesteding IT-werkzaamheden
Steeds meer ICT-diensten verhuizen van de eigen gemeente-omgeving naar een externe partij. Dit leidt tot nieuwe relaties tussen de gemeente en de serviceprovider. De gemeente wordt hierdoor meer een regie-organisatie. Dat vraagt andere kwaliteiten en andere aandachtspunten. De vertaling van de beheersmaatregelen rondom informatiebeveiliging naar contracten en het leveranciersmanagement moet in 2023 concreet vorm krijgen. Hierdoor krijgt de gemeente scherp in beeld heeft wat de externe partij moet presteren en wat er daadwerkelijk gerealiseerd ís.
In het eerste kwartaal van 2023 geeft Daan Koot een webinar over de werking op de maatregelen van verschillende audits zodat hij je daar alvast in mee kan nemen.
Aanpassing DigiD normen én toetsing op werking
Sinds 2022 is er een nieuwe norm in de DigiD audit waarop wordt getoetst: ‘de B.01 Informatiebeveiligingsbeleid’. “De organisatie formuleert een informatiebeveiligingsbeleid en besteedt hierin specifiek aandacht aan webapplicatie gerelateerde onderwerpen zoals dataclassificatie, toegangsvoorziening en kwetsbaarhedenbeheer.”
De onderdelen dataclassificatie, toegangsvoorziening en kwetsbaarheden zaten al verwerkt in het normenkader en de organisatie moest hier al maatregelen voor treffen. Deze nieuwe norm zorgt ervoor dat de organisatie het treffen van maatregelen niet meer voldoende is. Er moet nadrukkelijk worden gekeken naar uitgangspunten voor deze onderdelen.
In 2023 zal het mogelijk zijn om naast opzet en bestaan óók te gaan toetsen op werking. Uiteraard verwelkomen onze auditors de toets op werking met open armen. Hiermee laat je als organisatie daadwerkelijk zien of je over een langere tijd voldoet aan opzet en bestaan.
“Onze auditors verwelkomen de toets op werking met open armen.”
Waar mensen werken worden fouten gemaakt
Een goed georganiseerde informatiebeveiliging is een continu proces en moet geborgd zijn binnen jouw organisatie. Het is voortdurend zoeken naar de balans tussen veiligheid en privacy aan de ene kant en gebruikersgemak en toegankelijkheid aan de andere kant. Naast technische oplossingen zoals een ISMS, zijn eigen handelingen hierin essentieel. “Waar mensen werken worden fouten gemaakt”. Dat maakt een organisatie zo sterk als de zwakste schakel.
Het aantal meldingen bij de AP van hacking, phishing of malware neemt explosief toe. Als organisatie moet je dus kunnen aantonen in hoeverre je in control bent op de geldende wetgeving. Ga er maar aan staan. Informatieveiligheid is verweven in alle processen van een organisatie. Zeg je privacy, dan zeg je informatieveiligheid. Het ene valt of staat namelijk met het andere, omdat veel informatie meer of minder gevoelige persoonsgegevens bevat.
Heel veel succes met dit broodnodige, soms ook best lastige maar ook mooie vakgebied. En heb je hulp nodig? Of heb je vragen naar aanleiding van deze blog? Neem dan gerust contact met ons op.
