Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Search in posts
Search in pages
dslc_downloads
events_agenda
klanten
dslc_projects
vacature
Header image blog datalekken_gevegevensbeveliging

Oeps, een datalek….Tips om ze te voorkomen

  • 10 februari 2022

We hebben er tegenwoordig allemaal mee te maken: data. Grote techbedrijven, kleine organisaties, sportverenigingen, maar ook privé. Helaas zien en horen we in het nieuws steeds meer verhalen over grootschalige datalekken.

Wanneer je het boek “Ik weet je wachtwoord” van schrijver Daniël Verlaan leest, wordt meteen duidelijk dat geen enkele organisatie veilig is en dat er niet één methode is die meteen volledige bescherming biedt. Zo zijn medewerkers vaak een groot risico voor een bedrijf. Ze veroorzaken regelmatig bewust of onbewust een datalek.  Reden voor mij om een aantal tips op een rijtje te zetten waarmee je het risico voor een bedrijf verkleint en waar je als privépersoon ook zeker wat aan hebt.

Wachtwoorden

Je ontkomt tegenwoordig niet meer aan het hebben en aanmaken van wachtwoorden. Er zijn zoveel plekken waar je wachtwoorden moet invullen; van webshops en social media accounts tot aan de laptops en applicaties op je werk. Omdat we zoveel wachtwoorden moeten ‘onthouden’ bedenken we meestal makkelijk te onthouden en dus ook te raden wachtwoorden. Het liefste gebruiken we deze wachtwoorden dan op meerdere plekken of we maken voor verschillende inlogplekken een versie van hetzelfde wachtwoord door er een nummer achter te zetten. Een wachtwoord als ‘Nieuwegein1’ is makkelijk te raden en zou je dus niet moeten gebruiken. Een tip is om eens gebruik te gaan maken van zinnen. Een voorbeeld als ‘Ik_w3rk_1n_Nieuwegein!’ is veel complexer, minder makkelijk te raden en is nog steeds goed te onthouden.

Wachtwoordmanager

Wat nog beter is, is het gebruiken van een willekeurig wachtwoord, zoals ‘Rt3-PnQ24-v783-NW’. Maar hoe onthoud je die willekeurige wachtwoorden dan? Het gebruik van een wachtwoordmanager kan hierbij helpen. Hierdoor hoef je in principe maar één hoofdwachtwoord te onthouden, waarmee je inlogt in de wachtwoordmanager. Je kunt in de wachtwoordmanager willekeurige wachtwoorden genereren en ze vastleggen in je eigen ‘kluis’. De meeste wachtwoordmanagers hebben ook vaak de optie om gebruikersnamen en wachtwoorden die in je kluis staan, automatisch in te vullen zodra je ergens moet inloggen. Het enige wat je hiervoor hoeft te doen is eenmaal in je kluis inloggen. Belangrijk is hierbij wel dat je een complex hoofdwachtwoord kiest en dat je bij voorkeur werkt met tweestapsverificatie.

Tweestapsverificatie

Het inlogproces wordt nog veiliger als je gebruik maakt van een tweestapsverificatie, ofwel een ‘tweefactor’ authenticatie. Deze manier van authenticatie bestaat uit twee componenten: iets dat je al weet, zoals je wachtwoord, en iets wat je hebt, zoals een token. Je moet je bij het inloggen identificeren via een code die toegestuurd wordt via SMS of e-mail. Een steeds meer gebruikt alternatief voor een code via SMS of e-mail is een authenticatie app. Deze app genereert een ‘token’: een code die je binnen een bepaalde tijd moet invullen bij het inloggen, anders vervalt de code. Je zou kunnen zeggen dat deze vorm zelfs betrouwbaarder is, omdat je dan fysiek je telefoon, met de app erop, bij je moet hebben. Meestal ben je echter in je keuze afhankelijk van wat het bedrijf als tweefactor authenticatie ingesteld heeft. Een goed en bekend voorbeeld van een tweestapsverificatie, waarbij zowel de optie via SMS of e-mail als gebruik van een app wordt ondersteund, is je DigiD.

Versleuteling

Een belangrijke manier om te voorkomen dat je data ‘leesbaar’ op de verkeerde plekken terecht komt is versleuteling. Mijn collega’s Roxanne Robijns en Bas Rekveldt schreven een blogserie over pseudonimiseren, een methode van versleuteling, waarmee je voorkomt dat iemands identiteit bekend wordt bij personen die dit niet hoeven of mogen weten. Het is extra veiligheid waarmee je gegevens over individuen beschermt in het geval van een datalek. Door het pseudonimiseren van gegevens wordt het moeilijker gemaakt om de gegevens te herleiden (direct of indirect) naar een individu. Het zorgt ervoor dat de impact bij ongeoorloofd gebruik of openbaring van de persoonsgegevens wordt verkleind terwijl de persoonsgegevens wel verwerkt kunnen worden. De blogserie kun je hier teruglezen.

Monitoring

Het monitoren van alles wat er gebeurt op beveiligingsgebied is een belangrijk onderdeel van het voorkomen van datalekken. Dit kun je bijvoorbeeld doen door gebruik te maken van BI-tooling, waar veel organisaties al mee werken. Op deze manier zet je een bestaande applicatie in voor een betere beveiliging. Applicaties houden op de achtergrond meestal een log bij om te kijken wie geautoriseerd is, wie een dashboard mag bekijken of zelfs wie een export van gegevens naar Excel maakt. Door een monitoringdashboard te maken waarin dit soort loggegevens worden weergegeven, krijg je zelf meer inzicht in wie wat doet binnen een organisatie. Hier kun je dan weer beveiligingsacties op uitzetten door bijvoorbeeld te bepalen dat gebruikers, nadat ze zes maanden niet inloggen, automatisch de autorisatie ontnomen wordt. Zo voorkom je in ieder geval dat medewerkers die niet meer werkzaam zijn voor je organisatie nog altijd toegang hebben tot vertrouwelijke bedrijfsgegevens.

Bewustwording

Je kunt allerlei maatregelen treffen om je data te beschermen, maar je bent hierbij in veel gevallen afhankelijk van het gedrag van de mens. Een menselijke fout is snel gemaakt. Dat is maar weer eens gebleken tijdens de grootschalige storing van Facebook begin oktober 2021. Een medewerker had, tijdens een update proces, op een verkeerde knop geklikt. Systemen hadden hier een melding van moeten maken maar bleken ook niet te werken. Gelukkig is er in dit geval geen datalek geweest, maar het had zomaar anders kunnen aflopen.

Personen gaan in veel gevallen nog niet goed om met beveiliging en specifiek met wachtwoorden. De wachtwoorden die ze gebruiken zijn eenvoudig te raden of ze hangen zelfs met een sticky note aan schermen of op laptops op de werkplek. Een ander voorbeeld is het fenomeen phishing, waarbij mailtjes die afkomstig lijken te zijn van bijvoorbeeld een klant op de achtergrond een link bevatten waardoor je je (inlog)gegevens deelt.

Door medewerkers bewust te maken van de noodzaak van beveiliging en de gevaren die er zijn, verklein je het risico op een datalek. Dit kun je doen in de vorm van jaarlijks terugkerende trainingen of assessments. Er zijn al veel bedrijven waar je ieder jaar een korte privacy assessment moet maken dat eventuele risico’s in beeld brengt en dat je laten weten wat je moet doen als je bijvoorbeeld op zo’n phishing mailtje geklikt hebt.

Conclusie

Er zijn veel technische mogelijkheden om een datalek te voorkomen. Maar hoe goed je dit ook regelt, de mens is en blijft een bepalende factor bij het wel of niet succesvol zijn van de technische maatregelen die je hebt getroffen. Bewustwording van de gevaren en de noodzaak van beveiliging is daarom het allerbelangrijkste in de strijd tegen datalekken. 

Stefan van Iersel
BI Consultant

Deel dit met uw volgers

    • Paul Rakké
    • 13 februari 2022

    Beste Stefan, heb getwijfeld of ik rectie zou sturen, doe ik meestal niet, maar toch maar gedaan. Vooral omdat ik het opvallend vind dat de rol van autorisaties i.c.m. gebruik door medewerkers nagenoeg onbenoemd blijft. Het moet m.i. hier meer overgaan dan de bekende opmerkingen over wachtwoorden, tweestapsverificatie etc. De rol van eigen medewerkers met geaccepteerde usernaam/password is groot punt van zorg. Het verkeerd omgaan met autorisaties is ook een datalek. Een proces om te kunnen handelen bij gewenste autorisatie wijziging is cruciaal. Monitoring zoals hier beschreven is vaak onvoldoende. Een andere rol voor een medewerker kan al gauw een datalek opleveren. Is er een proces dat actief reageert op bijvoorbeeld rolwijziging. Daar helpen de door jou genoemde onderwerpen niet bij. Ik mis uitwerking van dergelijke risico’s op een datalek.
    Tot zover mijn reactie. Succes verder, greot Paul Rakké

      • Stefan van Iersel
      • 15 februari 2022

      Hallo Paul,
      Bedankt voor je reactie. Altijd fijn om feedback te krijgen.
      De blog die ik heb geschreven is voornamelijk gericht op de gebruikers. Wat kunnen zij zelf doen om datalekken te voorkomen?
      De tips zijn dan ook laagdrempelig en gericht op een breder publiek. Als het gaat om organisaties, ben ik het helemaal met je eens.
      Organisaties moeten heel wat dingen regelen en ook een raamwerk inrichten voor autorisatie en omgang met wijzigingen in dienstverband en rollen van medewerkers.
      Wellicht voer voor een volgende blog!
      Groet, Stefan van Iersel

Comments are closed.

We hebben er tegenwoordig allemaal mee te maken: data. Grote techbedrijven, kleine organisaties, sportverenigingen, maar ook privé. Helaas zien en horen we in het nieuws steeds meer verhalen over grootschalige datalekken.

Wanneer je het boek “Ik weet je wachtwoord” van schrijver Daniël Verlaan leest, wordt meteen duidelijk dat geen enkele organisatie veilig is en dat er niet één methode is die meteen volledige bescherming biedt. Zo zijn medewerkers vaak een groot risico voor een bedrijf. Ze veroorzaken regelmatig bewust of onbewust een datalek.  Reden voor mij om een aantal tips op een rijtje te zetten waarmee je het risico voor een bedrijf verkleint en waar je als privépersoon ook zeker wat aan hebt.

Wachtwoorden

Je ontkomt tegenwoordig niet meer aan het hebben en aanmaken van wachtwoorden. Er zijn zoveel plekken waar je wachtwoorden moet invullen; van webshops en social media accounts tot aan de laptops en applicaties op je werk. Omdat we zoveel wachtwoorden moeten ‘onthouden’ bedenken we meestal makkelijk te onthouden en dus ook te raden wachtwoorden. Het liefste gebruiken we deze wachtwoorden dan op meerdere plekken of we maken voor verschillende inlogplekken een versie van hetzelfde wachtwoord door er een nummer achter te zetten. Een wachtwoord als ‘Nieuwegein1’ is makkelijk te raden en zou je dus niet moeten gebruiken. Een tip is om eens gebruik te gaan maken van zinnen. Een voorbeeld als ‘Ik_w3rk_1n_Nieuwegein!’ is veel complexer, minder makkelijk te raden en is nog steeds goed te onthouden.

Wachtwoordmanager

Wat nog beter is, is het gebruiken van een willekeurig wachtwoord, zoals ‘Rt3-PnQ24-v783-NW’. Maar hoe onthoud je die willekeurige wachtwoorden dan? Het gebruik van een wachtwoordmanager kan hierbij helpen. Hierdoor hoef je in principe maar één hoofdwachtwoord te onthouden, waarmee je inlogt in de wachtwoordmanager. Je kunt in de wachtwoordmanager willekeurige wachtwoorden genereren en ze vastleggen in je eigen ‘kluis’. De meeste wachtwoordmanagers hebben ook vaak de optie om gebruikersnamen en wachtwoorden die in je kluis staan, automatisch in te vullen zodra je ergens moet inloggen. Het enige wat je hiervoor hoeft te doen is eenmaal in je kluis inloggen. Belangrijk is hierbij wel dat je een complex hoofdwachtwoord kiest en dat je bij voorkeur werkt met tweestapsverificatie.

Tweestapsverificatie

Het inlogproces wordt nog veiliger als je gebruik maakt van een tweestapsverificatie, ofwel een ‘tweefactor’ authenticatie. Deze manier van authenticatie bestaat uit twee componenten: iets dat je al weet, zoals je wachtwoord, en iets wat je hebt, zoals een token. Je moet je bij het inloggen identificeren via een code die toegestuurd wordt via SMS of e-mail. Een steeds meer gebruikt alternatief voor een code via SMS of e-mail is een authenticatie app. Deze app genereert een ‘token’: een code die je binnen een bepaalde tijd moet invullen bij het inloggen, anders vervalt de code. Je zou kunnen zeggen dat deze vorm zelfs betrouwbaarder is, omdat je dan fysiek je telefoon, met de app erop, bij je moet hebben. Meestal ben je echter in je keuze afhankelijk van wat het bedrijf als tweefactor authenticatie ingesteld heeft. Een goed en bekend voorbeeld van een tweestapsverificatie, waarbij zowel de optie via SMS of e-mail als gebruik van een app wordt ondersteund, is je DigiD.

Versleuteling

Een belangrijke manier om te voorkomen dat je data ‘leesbaar’ op de verkeerde plekken terecht komt is versleuteling. Mijn collega’s Roxanne Robijns en Bas Rekveldt schreven een blogserie over pseudonimiseren, een methode van versleuteling, waarmee je voorkomt dat iemands identiteit bekend wordt bij personen die dit niet hoeven of mogen weten. Het is extra veiligheid waarmee je gegevens over individuen beschermt in het geval van een datalek. Door het pseudonimiseren van gegevens wordt het moeilijker gemaakt om de gegevens te herleiden (direct of indirect) naar een individu. Het zorgt ervoor dat de impact bij ongeoorloofd gebruik of openbaring van de persoonsgegevens wordt verkleind terwijl de persoonsgegevens wel verwerkt kunnen worden. De blogserie kun je hier teruglezen.

Monitoring

Het monitoren van alles wat er gebeurt op beveiligingsgebied is een belangrijk onderdeel van het voorkomen van datalekken. Dit kun je bijvoorbeeld doen door gebruik te maken van BI-tooling, waar veel organisaties al mee werken. Op deze manier zet je een bestaande applicatie in voor een betere beveiliging. Applicaties houden op de achtergrond meestal een log bij om te kijken wie geautoriseerd is, wie een dashboard mag bekijken of zelfs wie een export van gegevens naar Excel maakt. Door een monitoringdashboard te maken waarin dit soort loggegevens worden weergegeven, krijg je zelf meer inzicht in wie wat doet binnen een organisatie. Hier kun je dan weer beveiligingsacties op uitzetten door bijvoorbeeld te bepalen dat gebruikers, nadat ze zes maanden niet inloggen, automatisch de autorisatie ontnomen wordt. Zo voorkom je in ieder geval dat medewerkers die niet meer werkzaam zijn voor je organisatie nog altijd toegang hebben tot vertrouwelijke bedrijfsgegevens.

Bewustwording

Je kunt allerlei maatregelen treffen om je data te beschermen, maar je bent hierbij in veel gevallen afhankelijk van het gedrag van de mens. Een menselijke fout is snel gemaakt. Dat is maar weer eens gebleken tijdens de grootschalige storing van Facebook begin oktober 2021. Een medewerker had, tijdens een update proces, op een verkeerde knop geklikt. Systemen hadden hier een melding van moeten maken maar bleken ook niet te werken. Gelukkig is er in dit geval geen datalek geweest, maar het had zomaar anders kunnen aflopen.

Personen gaan in veel gevallen nog niet goed om met beveiliging en specifiek met wachtwoorden. De wachtwoorden die ze gebruiken zijn eenvoudig te raden of ze hangen zelfs met een sticky note aan schermen of op laptops op de werkplek. Een ander voorbeeld is het fenomeen phishing, waarbij mailtjes die afkomstig lijken te zijn van bijvoorbeeld een klant op de achtergrond een link bevatten waardoor je je (inlog)gegevens deelt.

Door medewerkers bewust te maken van de noodzaak van beveiliging en de gevaren die er zijn, verklein je het risico op een datalek. Dit kun je doen in de vorm van jaarlijks terugkerende trainingen of assessments. Er zijn al veel bedrijven waar je ieder jaar een korte privacy assessment moet maken dat eventuele risico’s in beeld brengt en dat je laten weten wat je moet doen als je bijvoorbeeld op zo’n phishing mailtje geklikt hebt.

Conclusie

Er zijn veel technische mogelijkheden om een datalek te voorkomen. Maar hoe goed je dit ook regelt, de mens is en blijft een bepalende factor bij het wel of niet succesvol zijn van de technische maatregelen die je hebt getroffen. Bewustwording van de gevaren en de noodzaak van beveiliging is daarom het allerbelangrijkste in de strijd tegen datalekken. 

Stefan van Iersel
BI Consultant

    • Paul Rakké
    • 13 februari 2022

    Beste Stefan, heb getwijfeld of ik rectie zou sturen, doe ik meestal niet, maar toch maar gedaan. Vooral omdat ik het opvallend vind dat de rol van autorisaties i.c.m. gebruik door medewerkers nagenoeg onbenoemd blijft. Het moet m.i. hier meer overgaan dan de bekende opmerkingen over wachtwoorden, tweestapsverificatie etc. De rol van eigen medewerkers met geaccepteerde usernaam/password is groot punt van zorg. Het verkeerd omgaan met autorisaties is ook een datalek. Een proces om te kunnen handelen bij gewenste autorisatie wijziging is cruciaal. Monitoring zoals hier beschreven is vaak onvoldoende. Een andere rol voor een medewerker kan al gauw een datalek opleveren. Is er een proces dat actief reageert op bijvoorbeeld rolwijziging. Daar helpen de door jou genoemde onderwerpen niet bij. Ik mis uitwerking van dergelijke risico’s op een datalek.
    Tot zover mijn reactie. Succes verder, greot Paul Rakké

      • Stefan van Iersel
      • 15 februari 2022

      Hallo Paul,
      Bedankt voor je reactie. Altijd fijn om feedback te krijgen.
      De blog die ik heb geschreven is voornamelijk gericht op de gebruikers. Wat kunnen zij zelf doen om datalekken te voorkomen?
      De tips zijn dan ook laagdrempelig en gericht op een breder publiek. Als het gaat om organisaties, ben ik het helemaal met je eens.
      Organisaties moeten heel wat dingen regelen en ook een raamwerk inrichten voor autorisatie en omgang met wijzigingen in dienstverband en rollen van medewerkers.
      Wellicht voer voor een volgende blog!
      Groet, Stefan van Iersel

Comments are closed.