Onze collega Roos Dijkxhoorn sprak met BNR Nieuwsradio over dit datalek: hoe heeft dit kunnen gebeuren en hoe voorkom je dit in de toekomst?
In deze situatie is er sprake van een gedeelde verantwoordelijkheid. Survalyzer is verantwoordelijk voor de veiligheid van de software, terwijl DUO verantwoordelijk is voor het correct inschatten van de informatiebeveiligingsrisico’s. Het datalek had voorkomen kunnen worden als de kwetsbaarheid eerder was ontdekt door een pentest, maar ook als de gegevens niet waren gedeeld.
Vragen die je kunt stellen in deze situatie zijn:
- Is er nagedacht over de gevoeligheid van de informatie?
- Hoe en waarom is de keuze gemaakt voor een derde partij om enquêtes te versturen?
Die gedeelde verantwoordelijkheid gaat over meerdere partijen, maar ook over meerdere vakgebieden: privacy en security. De oplossing begint bij het nadenken over de risico's van een bepaalde verwerking. Wat kan er gebeuren als deze informatie beschikbaar komt voor onbevoegden? Is dat risico acceptabel?
Vervolgens kijk je naar de security eisen: hoe gaat de leverancier om met de risico’s en hebben ze hun security op orde? Ook als je op papier alles in orde hebt, kunnen er nog steeds fouten worden gemaakt. Daarom is het verstandig om extra technisch onderzoek te doen, zoals een pentest. In een pentest komen dit soort kwetsbaarheden naar boven en kunnen ze opgelost worden voordat, in dit geval, de enquête verstuurd werd.
Ben je benieuwd naar het hele artikel of de uitzending? Deze vind je hier:
https://www.bnr.nl/nieuws/nieuws-politiek/10550815/gegevens-60-000-terugbetalers-op-straat-na-fout-bij-duo
Risk assessmentHet is niet eenvoudig om te bepalen wat er nodig is om je organisatie te beschermen tegen diverse risico’s op het gebied van informatiebeveiliging zoals ransomware aanvallen, phishing of het stelen van data door criminelen. Inzicht in risico’s en de relatie met de doelstellingen van de organisatie zijn essentieel om de juiste acties te definiëren en prioriteiten te bepalen. Een risk assessment helpt met het verkrijgen van dit inzicht zodat gestart kan worden met het verbeteren van de informatiebeveiliging, op een manier die bij de organisatie past.
ISO 27001Een goed beleid is de basis voor het op orde krijgen van je cybersecurity. Het is belangrijk dat het beleid is afgestemd op de risico’s maar ook de werkwijze van je bedrijf. Zo zorg je dat processen en procedures daadwerkelijk hun doel dienen en ook worden toegepast.
Security officer as a serviceJe kunt veel expertise inhuren voor zowel de korte als de lange termijn, maar het belangrijkste is om ook binnen je eigen organisatie zoveel mogelijk kennis te borgen. Daarmee wordt de organisatie weerbaarder en kunnen onderbouwde keuzes worden gemaakt op het gebied van cybersecurity.
PentestenVeel problemen kunnen worden voorkomen door het goed inregelen van de technische beveiliging binnen een organisatie. Het is hierbij belangrijk om rekening te houden met de risico’s van de organisatie en na te denken over realistische aanvalsscenario’s. Vervolgens kan een goed plan worden gemaakt om hier maatregelen tegen te treffen en deze te testen.
