Verklein de impact van een datalek

Privacy

In het afgelopen jaar is Nederland geconfronteerd met meerdere, grote datalekken. Welke schade veroorzaakt een datalek? En hoe kun je als organisatie de impact kunt beperken?

Om een datalek als enorm groot te typeren, is niet alleen het aantal betrokken personen relevant. Er zijn ook een aantal andere kenmerken: 

  • het gaat voor ieder persoon om vertrouwelijke en gevoelige gegevens 
  • ze kunnen leiden tot identiteitsfraude
  • ze kunnen leiden tot fysiek gevaar
  • ze kunnen leiden tot discriminatie door commerciële dienstverleners

In dit filmpje (op LinkedIn) vertel ik vanuit mijn rol bij het Privacy Expertise Centrum van SURF iets over datalekken. Dat wil ik hier graag iets verder uitdiepen. 

39

0 Praat mee

Fysiek gevaar

Bijvoorbeeld het Odido-datalek bevat zoveel namen en adressen van de Nederlandse bevolking, dat het interessant wordt voor bijvoorbeeld stalkers om te kijken of ze zo achter het geheime adres van hun idool kunnen komen. De kans is immers groot dat de informatie in de dataset zit. Of bijvoorbeeld een gewelddadig ex-partner die het telefoonnummer of nieuwe adres van de ex-partner op deze manier weet te achterhalen. Vooral kwetsbare groepen mensen zijn door een datalek extra kwetsbaar. Dat kan letterlijk tot fysiek gevaar leiden. 

Financiële gevolgen

Maar denk bijvoorbeeld ook aan financiële gevolgen, niet alleen voor de betrokken mensen, maar ook voor de organisatie. Een succesvolle phishingpoging kan bijvoorbeeld flinke financiële schade betekenen als hierdoor frauduleuze acties mogelijk zijn. Bijvoorbeeld salarissen die naar een onjuiste rekening worden overgemaakt, verduistering van geld. Maar vergeet ook de herstelkosten niet. Bij het oplossen van het herstellen na een succesvolle phishingactie komt er van alles om de hoek kijken: kostbare technische herstelmaatregelen, juridische kosten, compensatie aan klanten, uitgaven voor communicatie om reputatieschade te beperken, etc.

De oorzaak ligt meestal ingewikkelder dan je denkt

Achteraf is het vaak gemakkelijk om te zeggen dat het datalek voorkomen had kunnen worden. De oorzaak lijkt dan eenvoudig. Soms is dat ook zo, maar meestal is de werkelijkheid weerbarstiger. Dan blijkt dat het door een samenloop van omstandigheden fout gaat. Vergelijk het met een vliegtuigcrash, waarbij niet alleen één menselijk of technisch foutje tot een ongeluk leidt, maar door een combinatie van toevalligheden. En als je als organisatie als oorzaak verwijst naar de ene persoon die door op een linkje te klikken een heel systeem laat omvallen, dan gaat er duidelijk iets anders mis. De gevolgen van zo'n fout kun je technisch voor een groot deel beperken. 

Onderwijs en onderzoek zijn ook kwetsbaar voor een datalek

Ook in de onderwijs- en onderzoekssector hebben we verschillende voorbeelden gezien waarbij bijvoorbeeld gijzelingssoftware actief werd of informatie uit databases werd gestolen. Van die situaties leren we veel. Dat leidt ertoe dat we nu beter in staat zijn vreemde, potentieel gevaarlijke patronen in de systemen te detecteren, waardoor we veel eerder of zelfs tijdig kunnen ingrijpen. De impact van een datalek is natuurlijk veel kleiner als je van tevoren goede, defensieve maatregelen hebt genomen. Naast een detectiesysteem moet je daarbij ook denken aan het versleutelen van gegevens en het scheiden ("segmenteren") van gegevens, waarbij je niet alles op dezelfde plaats opslaat en je bijvoorbeeld een aanvullende code nodig hebt om extra informatie te kunnen zien. Goed toegangsmanagement is essentieel, je wilt dat niemand toegang heeft tot gegevens die niet nodig zijn voor hun werk. Zo kun je delen van velden beschermen. Je kent vast het voorbeeld van een creditcardnummer waarbij een deel van het getal is afgeschermd met ****. Die bescherming heet maskering. Dit soort maatregelen helpen om de gevolgen van een inbreuk te beperken. Privacy by Design is een sleutelwoord, daarover lees je meer in het verdiepingsdossier van SURFs Privacy Expertise Centrum.

Transparantie en leren van elkaar

Om zover te komen met elkaar, is het nodig dat je van elkaar leert, kennis uitwisselt. Zo kunnen we elkaar helpen om met minimale middelen een maximaal resultaat te krijgen. Transparantie is belangrijk, niemand heeft er iets aan als je geheimzinnig doet over een situatie waarbij het mis gaat. Bovendien hebben de betrokken personen ook recht op informatie. 

Schaam je niet

Ten slotte denk ik dat er meer aandacht mag komen voor wat mensen ervaren als zijn bij een fout betrokken zijn die tot problemen leidt. Slachtoffers van phishing voelen vaak stevige emoties gerelateerd aan stress, schaamte en angst. Mensen voelen zich schuldig als het bedrijf door hun actie schade oploopt. Dat kan van invloed zijn op het welzijn, werkplezier en vertrouwen in het gebruik van online-diensten, etc. 

En is het jou overkomen? Je bent niet de enige. Haal geruststelling uit het besef dat phishing er specifiek voor is bedoeld om je op het verkeerde been te zetten. Dat gebeurt heel geraffineerd waarbij men inspeelt op menselijke kwaliteiten als willen helpen en vertrouwen. En daardoor kan het gemakkelijk misgaan. Bij iedereen. Ja, ook bij mij. 

Voor de privacyprofessional ...

Wist je trouwens dat er een heuse calculator is om de privacyimpact van een datalek te berekenen? Dat kan, privacyvriendelijk, via de website privacyimpactcalculator.eu. Zo weet je precies hoe je in een voorkomend geval de impact van het datalek bij jouw organisatie moet inschatten.

Dit artikel heeft 0 reacties

Gerelateerde artikelen

  1. Grip op ongevraagd ingeschakelde functionaliteit

    Privacy

  2. Privacyrede 2025: 'Nooit meer pauze'?

    Privacy

  3. Privacyprofessional? Deze tools zijn voor mij onmisbaar ...

    Privacy