Uit de halfjaarlijkse rapportage van de Autoriteit Persoonsgegevens blijkt dat het aantal datalekmeldingen in 2018 verdubbeld is ten opzichte van 2017. In 2018 zijn er 20.881 datalekken gemeld aan de Autoriteit Persoonsgegevens. De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (29%), financiële dienstverlening (26 %) en openbaar bestuur (17%). Deze percentages zijn vergelijkbaar met de percentages van de voorgaande jaren.
Vergelijkbaar beeld
Net als in 2017 was in het afgelopen jaar het meest voorkomende type datalek het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (63% van de meldingen). Dit kan bijvoorbeeld een brief met gevoelige gegevens zijn die bij de verkeerde persoon terecht is gekomen en is geopend. Het kwijtraken of diefstal van een gegevensdrager zoals een laptop of usb-stick (14%) is daarna het meest voorkomende type datalek.
De soorten gegevens die het meest vrijkomen bij een datalek zijn NAW-gegevens, BSN en medische gegevens.
Hacking & Phishing = datalek
AP: ‘Uit de meldingen valt op dat datalekken door hacking en phishing met name voorkomen in de zorg. Bij phishing kan het gaan om nep e-mails die afkomstig lijken van een betrouwbare partij. Wanneer op de link wordt geklikt of een bijlage wordt geopend kan een virus, bijvoorbeeld ransomware, worden geïnstalleerd. Dit is een type malware dat gegevens versleutelt en ervoor zorgt dat deze niet meer toegankelijk zijn.’
Welke acties neemt de Autoriteit Persoonsgegevens in de praktijk, hieronder twee voorbeelden:
Voorbeeld 1: Hacking met veel betrokkenen.
Een organisatie doet een datalekmelding bij de AP waarin zij aangegeven dat de website van de organisatie is gehackt en er daarbij een ‘skimmer’ is geplaatst op het Content Management Systeem (CMS) van de website. Daardoor kunnen gegevens die bezoekers op de website invullen mogelijk worden onderschept. De organisatie geeft in de melding aan dat ze haar klanten niet informeert over het datalek omdat het volgens haar niet waarschijnlijk is dat betalingsgegevens van haar klanten zijn onderschept. De AP onderzoekt de website van de organisatie en stelt vast dat er via de website onder andere creditcardgegevens worden verwerkt. De AP stuurt een normoverdragende brief aan de organisatie. Naar aanleiding daarvan informeert de organisatie onmiddellijk alle 5.000 klanten die mogelijk zijn getroffen. De organisatie stelt de AP hiervan schriftelijk op de hoogte. Daarnaast kondigt de organisatie aanvullende beveiligingsmaatregelen aan om soortgelijke inbreuken in de toekomst te voorkomen.
Voorbeeld 2: Phishing bij ziekenhuis Een ziekenhuis meldt een datalek als gevolg van een phishingaanval.
Een medewerker van het ziekenhuis heeft op een phishingmail geklikt en vervolgens zijn/haar inlognaam en wachtwoord ingevoerd. Hierdoor heeft een hacker toegang gekregen tot het account van de medewerker en heeft de hacker vanuit het account nieuwe phishingberichten verstuurd aan alle e-mailadressen in het adressenboek van het gehackte account. De geadresseerden zijn door de organisatie gewaarschuwd om de phishingmail niet te openen en direct te verwijderen. De AP neemt naar aanleiding van de melding contact op en stelt aanvullende vragen. Onder andere of er mogelijk toegang is geweest tot de gegevens in de e-mailbox van de medewerker en welke maatregelen de organisatie neemt om phishing in de toekomst te voorkomen. Het ziekenhuis start vervolgens een onderzoek. Uit de resultaten van het onderzoek blijkt dat er medische gegevens van vijftien patiënten in de e-mailbox aanwezig waren en dat niet uitgesloten kan worden dat de hacker toegang heeft gekregen tot deze gegevens. Het ziekenhuis informeert de patiënten over het datalek. Ook organiseert het ziekenhuis trainingssessies om medewerkers bewust te maken van phishing en kwaadaardige e-mails te herkennen.
Menselijke fouten grootste oorzaak bij datalekken
Ruim 60% van de datalekken ontstaan na het versturen van persoonsgegevens naar een verkeerde ontvanger. Ook het gebruik van de CC functie in plaats van de BCC functie in e-mails vallen onder deze categorie. Wat ligt hieraan ten grondslag? Onwetendheid van de functies, of onwetendheid van de gestelde normen? Daarbij onderstreept de Autoriteit Persoonsgegevens expliciet dat juist medewerkers de fout in gaan (door slinkse praktijken van Hackers). Dit resulteert in datalekken die ontstaan door Phishing of Hacking.
Preventieve producten, trainingen en (crisis) ondersteuning door Becs IT Services
Producten:
Managed Firewall (Beveiliging van het interne netwerk vanuit het internet)
VPN verbindingen (Virtueel privé internetten over een netwerk)
Total Endpoint Security (virus, malware én ransomware beveiliging)
MFA (2 factor authenticatie)
Monitoring 365/24/7 (digitaal in de gaten houden van cruciale onderdelen)
Back-up & restore service (het maken van veilige en goede back-ups inclusief controle en restore tests)
Ondersteuning:
- AVG Advies & ondersteuning bij het ontwikkelen van modelovereenkomsten, registers, etc.
- Awareness training: veilig omgaan met data; gebruik computer (applicaties) & internet
- Direct hulp en ondersteuning bij Hacking, Phishing en / of Cryptolocking (crisismanagement)
Bekijk alle diensten
Bronnen:
1. https://autoriteitpersoonsgegevens.nl/nl/publicaties/onderzoeken
Comments are closed.