Zijn antwoord is helder. Hackers buiten de deur houden, lukt je niet. Het is wel mogelijk de juiste maatregelen te nemen zodat je kan aantonen dat je er alles aan gedaan hebt om jouw zaakjes goed te beschermen. Tijdens de Insight Techshow op 28 september a.s. in Amsterdam geeft Erik Westhovens, bekend als hacker van DigiD en EPD’s, aan de hand van recente datalekvoorvallen concrete tips. Hij vertelt welke maatregelen nodig zijn om aantoonbaar voorbereid te zijn op datalekken.
“Nog altijd leeft bij veel organisaties het idee dat je hackers buiten de deur moet houden. Als het ons al niet lukt om alle gevangenen gegarandeerd binnen de muren van de gevangenis te houden, wat moeten we dan in hemelsnaam doen om 100% garantie op digitale databescherming te geven?” Een onmogelijke zaak volgens Erik Westhovens. “Organisaties moeten vooral werk maken van het inzichtelijk krijgen van de stappen die ze zelf ondernomen hebben om hun IT-huishouding te beveiligen. Hoe kom je erachter dat er sprake is van een cyberaanval of datalek? Wat te doen op zo’n moment en hoe weet je welke data exact buit is gemaakt? Wie binnen de organisatie is verantwoordelijk voor de maatregelen? Dit zijn vragen die elke willekeurige organisatie, van groot tot klein, moet kunnen beantwoorden.
Gehackt en nu?
Erik Westhovens komt bij een uiteenlopend aantal bedrijven en overheidsinstellingen over de vloer. Hij ervaart dat grote organisaties wel in staat zijn hun veiligheidsmaatregelen aantoonbaar te maken. Erik maakt zich vooral zorgen om de wat kleinere organisaties die afgelopen jaren bang zijn gemaakt door de hoge boetes die de overheid voorschrijft bij een datalek. “Natuurlijk gaat het de overheid niet om die boetes. De overheid wil bedrijven forceren om de juiste aantoonbare maatregelen te nemen.
Als ik bij een bedrijf binnenkom, dan gaan we concreet aan de gang. We starten met de vraag: je bent gehackt en nu? Dan wijs je iemand aan die de verantwoordelijkheid krijgt als Data Protection Officer. Dat moet vooral niet de directeur zijn. Die moet zich met ondernemen bemoeien. Het is de medewerker die vertrouwen wekt en weet hoe om te gaan met calamiteiten. Dat kan bijvoorbeeld de leidinggevende BHV’er zijn. Met die persoon gaan we kijken wat er dan gehackt is. Bij de bank gaat de hacker op zoek naar de sleutel van de geldkluis en bij de koffie-automatenproducent is zijn intellectual property natuurlijk interessant. Dus ga na welke bedrijfs- en/of persoonsgevoelige informatie interessant is. Welke stappen moeten dan vervolgens ondernomen worden? Wel of niet de Autoriteit Persoonsgegevens inschakelen? Welke dataset is vervreemd? En geef absoluut openheid van zaken. Daarmee beperk je de schade. Ervaring leert dat het onder de pet houden van datalekken uiteindelijk tot meer schade leidt.
Kijk naar medewerkers, niet naar hackers
Volgens Erik Westhovens zijn hackers overigens niet het grootste probleem. “We hebben slechts een handjevol hackers in ons land die echt niet geϊnteresseerd zijn in een paar factuurgegevens van de fietsenwinkel. Het grootste probleem is die willekeurige medewerker die besluit vanuit huis een harde schijf met gegevens aan te spreken waarmee het netwerk onveilig wordt. Of een ambtenaar die via het gemeentenetwerk filmpjes gaat downloaden. Of wat denk je van die politieman die even gaat opzoeken wie toch dat nieuwe vriendje is van zijn dochter? Je daartegen wapenen, dat is de grootste uitdaging! Hoe? De antwoorden krijg je op de Insight Techshow! Van de Insight security specialisten èn Erik tijdens zijn ‘GDPR versus cybercriminaliteit’ presentatie..
Meer weten? Kijk op https://techshow2017.events-at-insight.com
