'All your files have been encrypted.' Veroorzaakte deze melding enkele jaren geleden nog grote verwarring, ongeloof en blinde paniek, nu roept het vooral een gevoel van onmacht op. 'Wij zijn ook geraakt.'
Een ransomware-aanval wordt zo langzamerhand genormaliseerd, het is een digitaal verkeersongeluk geworden.
Iedereen die in de auto stapt, weet dat een ongeluk tot de mogelijkheden behoort, maar blijft toch rijden. We hebben immers gordels, airbags en rijhulpsystemen die ons beschermen? Ook in het bedrijfsleven komen er meer en meer veiligheidsmaatregelen beschikbaar en neemt de aandacht ervoor toe. Zo zijn bijvoorbeeld backups geregeld. Dat is de oplossing voor een ransomware-aanval, toch?
Maar wat als je de volgende boodschap leest: ‘All your files have just been stolen’, wat doe je dan? Welke gegevens liggen er precies op straat en weten we überhaupt welke gegevens we hadden? Zitten daar geheimen bij? Schadelijke documenten? Vaak is het lekken van data een drukmiddel van ransomware-criminelen en dit wordt alleen maar erger. Denk aan de recente situaties bij ROC Mondriaan en de Hogeschool van Arnhem en Nijmegen (HAN). Een backup-beleid is in de huidige situatie niet meer afdoende, er moet meer gebeuren.
Wapenen
Wat als… Waarschijnlijk heb je al weleens over nagedacht hoe je jouw organisatie kunt wapenen tegen deze vormen van cybercriminaliteit. Maar heb je met jouw organisatie al eens gekeken naar het worstcasescenario? Wat als werkelijk álle data die je als bedrijf ooit opgeslagen hebt ineens op straat ligt? Wat baart jou dan het meeste zorgen? Wat doe je? En ben je je bewust van welke data je als organisatie überhaupt opslaat en voor hoelang?
De vraag ‘hoe erg is het als dit uitlekt?’ stellen bij de data die je opslaat, is voor elke type data verstandig, ook wanneer je bepaalde e-mails of interne memo’s schrijft. Alles dat je digitaal opslaat, moet je goed beveiligen. Maar een garantie op honderd procent veiligheid heb je nooit, al helemaal niet wanneer deze data ook verspreid worden of voor velen in het bedrijf beschikbaar zijn. Aanvallen en datalekken, zoals bij het ROC Mondriaan en de HAN, zouden daarom onze ogen moeten openen. We moeten anders omgaan met data.
Heroverwegen
Ransomware laat zien dat we de manier waarop we omgaan met data moeten veranderen en dat bedrijven de datastrategie moeten heroverwegen. Binnen de it-wereld zien wij nog te vaak dat veel data onnodig lang worden bewaard.
Eén van de punten waar je als organisatie zeker naar moet kijken, is dan ook hoelang je data wilt bewaren en hoe je goed om kunt gaan met het bewaren van deze data. Duik eens in je huidige beleid, en stel de volgende vragen.
Moet je alle data die je tegenkomt wel opslaan? Of zijn er gegevens die je net zo goed meteen kunt verwijderen? Mocht je de data op moeten slaan, hoelang heb je het dan nodig? Zijn er gegevens die je wettelijk gezien niet eens op mag slaan, of niet langer dan een bepaalde termijn mag bewaren?
Vervolgens is de vraag: wie mag er allemaal bij? Maar vooral ook, wat doen we als deze data op straat komt te liggen? En tot slot: wat is onze manier van communiceren, zowel in- als extern, en hoe erg is het als dat uitlekt?
Ooit lekken jouw data uit. Naast alle preventieve maatregelen die belangrijk zijn, kan het op papier hebben van je databeleid helpen ten tijde van crisis. Niemand wil immers in deze situatie belanden.
De huidige hoeveelheid aanvallen maakt het heroverwegen van het interne databeleid dan ook zeker de moeite waard. Niet alleen voor de medewerkers en de it-afdeling, maar juist ook voor het hogere management dat moet beseffen dat alle informatie die je te lang bewaart een extra risico geven op imagoschade, boetes of ernstige nadelige gevolgen voor jouw klanten omdat hun data is gelekt aan kwaadwillenden. Maar ook dat uitgelekte data zoals interne communicatie, camerabeelden en documenten je gehele organisatie en de bedrijfscultuur bloot kunnen leggen. Want ook al gebruik je encryptie, je moet aannemen dat de data van jouw organisatie ooit een keer uit gaan lekken.
Kritisch
De huidige tijd eist om kritisch te kijken naar hoe data worden geproduceerd, hoe die worden opgeslagen, en waarom die bewaard zou moeten blijven.
Het juiste doen, ook als niemand kijkt. Dat is één van de belangrijkste leiderschapsprincipes. De huidige realiteit zal organisaties laten beseffen dat integer zaken doen een randvoorwaarde is voor de moderne tijd. De recente “Pandora Papers” zijn hier een goed voorbeeld van. Transparantie is niet altijd een keuze meer, ga er vanuit dat je data ooit op straat komt te liggen, en handel daar ook naar.
