Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Bewustwordingstraining voor beveiliging

    Identificeren en melden van inbreuken op gegevens

    De meeste organisaties krijgen op een bepaald moment te maken met een datalek. Omdat er zoveel op het spel staat, is het van cruciaal belang te weten hoe je een inbreuk herkent en meldt.

    by Allan Halcrow
    gettyimages-1300319507.png

    Hoofdpunten

    • Inbreuken op gegevens komen nu zo vaak voor dat veel deskundigen denken dat het onvermijdelijk is dat bijna elk bedrijf er ooit mee te maken krijgt.
    • Het niet melden van een datalek kan gevolgen hebben voor het vermogen van een organisatie om de schade te beperken, kan de reputatie schaden - en kan illegaal zijn.
    • Een lappendeken van wetten bepaalt welke inbreuken moeten worden gemeld, wanneer ze moeten worden gemeld en wie moet worden ingelicht.

    Geen nieuws is vaak goed nieuws, maar wanneer een organisatie te maken krijgt met een datalek, is geen nieuws - d.w.z. het niet melden van de inbreuk - zeer slecht nieuws. Niet alleen is het in veel gevallen illegaal om een inbreuk niet te melden, maar het kan klanten of verkopers van een bedrijf ook de kans ontnemen om de gevolgen van de blootgelegde gegevens te beperken. De gevolgen kunnen ook het vertrouwen van de klant en de merkreputatie schaden. Aangezien er zoveel op het spel staat, zeggen deskundigen dat weten hoe een inbreuk op de beveiliging van gegevens moet worden herkend en gemeld, een cruciaal onderdeel is van sterke protocollen voor gegevensbeveiliging.

    Datalek: Hoe kan het gebeuren?

    Hoewel criminele inbraken in grote databanken de voorpagina's halen, kan datalekken vele vormen aannemen. Deze omvatten:

    • Gegevens die door een niet-gemachtigde derde partij zijn geopend of verwijderd.
    • Opzettelijke of onopzettelijke wijziging van gegevens door een gemachtigde gebruiker.
    • Persoonsgegevens die met de verkeerde persoon worden gedeeld, zoals het sturen van een e-mail naar het verkeerde adres.
    • Verlies van een apparaat, zoals een laptop of mobiele telefoon, dat persoonlijke gegevens bevat.
    • Persoonsgegevens die onbedoeld op de website of in de sociale media van een bedrijf zijn geplaatst.
    • Diefstal van inloggegevens.
    • Vertrouwelijke gegevens die aan een mailinglijst zijn verstrekt.
    • Blootstelling van e-mailadressen door gebruik te maken van de CC, in plaats van BCC, functie.
    • Werknemers die - via e-mail phishing of tijdens een telefoongesprek - worden misleid tot het onthullen van vertrouwelijke gegevens of het downloaden van malware.

    Gezien de vele manieren waarop gegevens kunnen worden blootgelegd, is het niet verrassend hoe vaak inbreuken voorkomen. In 2020 zijn volgens het RiskBased Security-rapport 2020 Year End Data Breach QuickView Report door criminele acties 37 miljard records blootgesteld - "verreweg de meeste records die in één jaar zijn blootgesteld sinds de RBS-rapportage in 2005 begon." [1] Deze inbreuken zijn ook duur. In 2020 bedroegen de gemiddelde kosten van een datalek 3,86 miljoen dollar en de gemiddelde kosten per record 146 dollar, volgens het Ponemon Institute's Cost of Data Breach Report 2020. [2]

    De dreiging is nu zo wijdverbreid dat deskundigen ervan uitgaan dat elk bedrijf wel eens met een inbreuk te maken krijgt.

    Inbreuken op gegevens kunnen moeilijk op te sporen zijn

    Als uw organisatie wordt getroffen door een datalek, zult u dat dan weten? Dat is geen strikvraag. Uit onderzoek blijkt dat bedrijven er gemiddeld bijna 280 dagen over doen om een datalek te ontdekken. [3] Aangezien deskundigen adviseren zo snel mogelijk op een inbreuk te reageren, is een vertraging van meer dan zes maanden een ernstig probleem. Sommige inbreuken liggen voor de hand - klanten die bellen om vertrouwelijke informatie te melden die zichtbaar is op uw website, bijvoorbeeld - maar vele blijven onopgemerkt als mensen niet zijn opgeleid om de tekenen te herkennen .

    Hoewel er geen eenduidige, waterdichte manier is om een inbreuk te ontdekken, zijn er toch een aantal veel voorkomende waarschuwingssignalen die tot nader onderzoek zouden moeten aanzetten. Deze omvatten:

    • Onbekende software of processen op een of meer computers.
    • Veelvuldige crashes.
    • Ongebruikelijke gebruikersactiviteiten, zoals inloggen vanaf nieuwe locaties, inloggen op afwijkende tijdstippen of inloggen vanaf verschillende locaties binnen een korte tijd.
    • Plotselinge en/of onverwachte systeemvergrendelingen, wachtwoordwijzigingen of wijzigingen in groepslidmaatschappen.
    • Ongewone activiteit tijdens het surfen op internet, zoals omleiding naar andere sites of talrijke pop-ups.
    • Aanzienlijk verhoogde netwerk- of systeemactiviteit.
    • Berichten van klanten of verkopers dat zij twijfelachtige e-mails of berichten op sociale media van u ontvangen.

    Als het op een datalek aankomt, is tijd geld. Deskundigen raden aan potentiële inbreuken zo snel mogelijk te onderzoeken om de mogelijke kosten tot een minimum te beperken.

    Een lappendeken van meldingswetten

    Als u een datalek bevestigt, wat dan? Een van de opties is de inbreuk te melden; niets in de wet beperkt de mogelijkheid van uw organisatie om dit te doen. Sommige bedrijven zijn van mening dat transparantie helpt het vertrouwen van de klant te winnen. Anderen daarentegen zeggen dat wat klanten niet weten, hen niet schaadt, vooral als de inbreuk klein is en/of er geen persoonlijke informatie is gecompromitteerd.

    Maar u zult niet altijd een keuze hebben. Alle 50 staten (en ook het District of Columbia, de Maagdeneilanden en Puerto Rico) hebben wetten die vereisen dat datalekken in bepaalde situaties worden gemeld. De lappendeken van deze wetten kan het voor bedrijven moeilijk maken om eraan te voldoen, vooral als ze in meerdere staten actief zijn; de wetten zijn niet altijd universeel van toepassing. Of een inbreuk moet worden gemeld, kan afhangen van

    • Hoeveel bestanden zijn aangetast: Een inbreuk op een handvol bestanden is anders dan een inbreuk op vele duizenden bestanden.
    • Welk soort gegevens werd aangetast: Een inbreuk op medische gegevens of socialezekerheidsnummers is ernstiger dan e-mailadressen.
    • Waar de inbreuk heeft plaatsgevonden: De wet kan bijvoorbeeld alleen gelden voor mensen in een bepaald gebied.
    • In welke branche zit je: De Health Insurance Portability and Accountability Act (HIPAA) vereist bijvoorbeeld dat zorgaanbieders inbreuken waarbij 500 of meer personen betrokken zijn, binnen 60 dagen melden.[4]
    • Hoe de inbreuk gebeurde: Een bediende die per ongeluk het verkeerde medische dossier verstuurde, is niet hetzelfde als een criminele inbreuk op duizenden dossiers.

    Bovendien mag u de Algemene Verordening Gegevensbescherming (GDPR) van de Europese Unie niet negeren met het argument dat deze niet van toepassing is op uw organisatie. De verordening is van toepassing op elke entiteit die gegevens van Europese burgers bewaart, dus als u Europese klanten hebt, bent u dat ook. Het niet melden van een datalek bij die klanten kan boetes tot wel 10 miljoen euro (11,78 miljoen dollar) opleveren.

    Om te voldoen aan alle wetten inzake datalekken die op uw bedrijf van toepassing kunnen zijn, stellen deskundigen voor:

    • In kaart brengen van de wetten die op uw bedrijf van toepassing zijn.
    • Documenteren van de meldingsplicht voor inbreuken in het kader van die wetten.
    • De strengste wet volgen telkens wanneer meer dan één wet van toepassing is.
    • Het opstellen van een beleid dat uw rapportageproces formaliseert.

    Een datalek melden

    Als u vaststelt dat u een datalek moet melden, zijn de volgende twee vragen: Hoe meldt u de inbreuk en aan wie?

    Dat hangt ervan af. Verschillende wetten hebben verschillende verslagleggingsvereisten, maar er zijn enkele algemene beginselen die ze allemaal bepalen:

    • Zodra een bedrijf op de hoogte is van een datalek, begint de klok te tikken. De California Consumer Privacy Act (CCPA) vereist bijvoorbeeld een melding "zo snel mogelijk en zonder onredelijke vertraging",[5] GDPR geeft bedrijven 72 uur en New Mexico geeft bedrijven volgens zijn Data Breach Notification Act 45 dagen om een inbreuk te melden als deze meer dan 1.000 inwoners treft.[6] Maar alle wetten vereisen melding binnen een bepaalde tijd. Het kan dus zijn dat u meer tijd hebt om een inbreuk aan uw klanten te melden dan aan de regelgevende instanties.
    • De autoriteiten moeten altijd van inbreuken op de hoogte worden gebracht, hoewel het kan verschillen welke dat zijn. U kunt een inbreuk wellicht melden bij de plaatselijke rechtshandhaving, hoewel niet alle instanties expertise op dit gebied hebben. Als dat niet het geval is, is contact opnemen met de FBI of de Geheime Dienst wellicht een betere gok. GDPR vereist dat de inbreuk wordt gemeld aan het Information Commissioner's Office (ICO). En afhankelijk van de inhoud van de inbreuk en de aard van uw bedrijf, gelden voor u mogelijk aanvullende vereisten. Een beursgenoteerd bedrijf moet bijvoorbeeld mogelijk de Securities and Exchange Commission (SEC) op de hoogte brengen.

    Naast de autoriteiten moet u de inbreuk wellicht ook melden aan de media en aan de getroffen personen.

    De kern van de zaak

    Datalekken zijn ontwrichtend en kostbaar, en de ingewikkeldheid van het melden kan intimiderend en frustrerend zijn. De prijs van niet melden kan echter resulteren in hoge boetes en negatieve publiciteit. Als u dat scenario wilt vermijden, train dan uw personeel om op tekenen van een inbreuk te letten, maak uzelf vertrouwd met de toepasselijke meldingswetgeving en onderneem actie bij het eerste teken van problemen.

     

    [1] " 2020 Year End Data Breach Quickview Report ," RiskBased Security

    [2] Cost of Data Breach Report 2020 , Ponemon Institute/IBM Security

    [3] Ibid

    [4] " Kennisgeving van een inbreuk aan de minister voorleggen ," U.S. Department of Health & Human Services

    [5] California Consumer Privacy Act , California Legislative Information

    [6] New Mexico Data Breach Notification Act , New Mexico Legislature

    1225504334.jpg
    Up Next
    Bewustwordingstraining voor beveiliging |
    Nieuwe manieren van werken, nieuwe manieren om aangevallen te worden

    Verwante Artikelen

    Bewustwordingstraining voor beveiliging
    The Good, the Bad, and the Ugly of Security Awareness    
    Bewustwordingstraining voor beveiliging
    E-Commerce Surge Put Cyber Target on Retailers’ Backs  
    Bewustwordingstraining voor beveiliging
    Baiting: Hoe Cybercriminelen de menselijke natuur uitbuiten

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven