Spam: hoge kostenpost bedrijfsleven
13 mei, 2016Algehele wereldwijde storing op de DNS servers van Microsoft
2 november, 2016Een leuk artikel uit de pen van Brenno de Winter, onderzoeksjournalist en IT-expert.
Brenno geeft je zes handige tips om online veiligheid te creëren.
Ondernemers, maar ook particulieren worden dagelijks belaagd door cybercriminaliteit. De gevolgen hiervan voor je bedrijf hebben wij al in een eerder artikel besproken aan de hand van uitkomsten van recent onderzoek.
Cybercriminelen hebben het met name voorzien op onze persoonsgegevens. De Wbp (Wet bescherming persoonsgegevens moet ons bescherming bieden deze tegen praktijken.
Kort samengevat zegt deze wet dat persoonlijke gegevens alleen gebruikt mogen voor het doel waarvoor ze verzameld worden en niet langer als noodzakelijk bewaard mogen blijven.
Als voorbeeld; je koopt iets in een webwinkel en je geeft je adres- en bankgegevens door om producten te kunnen bestellen. Hier geef je toestemming voor (vaak voor de algemene voorwaarden) om vervolgens je spullen te kunnen ontvangen.
De Wbp (Wet Bescherming Persoonsgegevens) bepaalt dat het bedrijf je gegevens niet langer dan noodzakelijk mag bewaren en niet mag doorspelen aan derden (mits je hiervoor toestemming hebt gegeven).
Maar door de komst van nieuwe wetten krijgen bedrijven meer verantwoordelijkheid voor de onlineveiligheid van hun bedrijfs- en persoonsgegevens.
Buiten het feit dat een goed werkend spamfilter onmisbaar is tegen de bestrijding van cybercriminaliteit, zoals ons Maq2 Spamfilter, wilden wij jullie Brenno’s tips niet onthouden:
Tip 1 Datalekken; meldplicht
Bedrijven krijgen een grotere verantwoordelijkheid in het beschermen van persoonsgegevens. Er komt een meldplicht voor datalekken. Als er ook maar een vermoeden is tot datalekken dan moet er bij het College Bescherming Persoonsgegevens (CBP) melding worden gemaakt. Tevens is er een groter boeterisico bij schending van privacyregels (tot €820.000,0).
Bedrijven moeten zich dus afvragen en in kaart brengen of data (persoonlijke gegevens) welke zij in hun bezit hebben, na een hack makkelijk te herleiden zijn tot een persoon. Hiervan moet een risico inschatting worden gemaakt en een plan van aanpak.
Tip 2 Actieplan
Als er eenmaal gegevens zijn gehackt, dan gebeurt dit vaak zeer snel en onverwachts. Belangrijk is om van te voren een actieplan of draaiboek te hebben.
In ieder geval moeten bedrijven binnen 2 á 3 dagen melding doen bij het CBP. Tevens moet men zich afvragen of de risico’s die gelopen zijn dermate groot zijn dat privé personen moeten worden ingelicht. Immers de betrokkenen hebben het recht om te weten of ze gevaar lopen.
Tip 3 Houd de regie
“Als je gehackt wordt, neemt een hacker de regie over en is het lastig de sturing terug te pakken. Maar als je zelf van te voren goed in kaart hebt wat je dient te doen, dan kun je een stukje van de regie terugnemen. Een maatregel om te overwegen is om systemen volledig te onderbreken”, stelt De Winter. “Organisaties denken eigenlijk alleen aan continuïteit, maar onderbreken kan soms juist een redding zijn. Het is belangrijk om zo onbevangen mogelijk in een incident te staan.”
Tip 4 Documentatie
Als bedrijf moet je alle feiten van een hack goed vastleggen. Als achteraf onderzoek komt naar het voorval moet je goed kunnen uitleggen waarom je bepaalde acties hebt gedaan of nagelaten. De Winter: “In IT is dat nog buitengewoon onprofessioneel, terwijl je met een helder afwegingskader het beeld van een incident kunt veranderen en onderzoek een beetje kunt sturen.”
Tip 5 Safe Harbour verdrag is ongeldig
Gerechtelijk is bepaald dat het Safe Harbour verdrag ongeldig is. Hierdoor zijn gegevens welke zijn opgeslagen op servers in de VS niet meer geborgd.
“Je zult moeten nagaan of er data van jou in de VS ligt en afspraken moeten maken wat er met die gegevens wordt gedaan”, zegt De Winter over de gevolgen. “Het is goed een bewerkersovereenkomst te hebben.”
Een bewerkerovereenkomst of data processing agreement (DPA) is een overeenkomst welke wordt afgesloten tussen de verantwoordelijke en de bewerker van persoonsgegevens. In de bewerkerovereenkomst staan zaken als locatie van de data, geheimhouding, aansprakelijkheid etc.
Tip 6 Het menselijk handelen
Computers kunnen beveiligd worden, veiligheidsmaatregelen richten zich niet alleen op systemen. Maar zeker ook op mensen die met deze systemen werken. Opmerkzaamheid bij je personeel op cybercriminaliteit is van groot belang. Leer ze spam van echte mail te onderscheiden. uit onderzoek blijken zelfs hoger opgeleide mensen nog altijd in Phishing mail te trappen.
