ALLES WAT JIJ MOET WETEN OVER DATALEKKEN

Datalekken voorkomen moet makkelijk zijn en geen dagtaak!

De meeste datalekken worden veroorzaakt door menselijke fouten. Door het proces simpel te maken, worden er minder fouten gemaakt. Maar wat is een datalek? Wat moet je doen als je een datalek hebt veroorzaakt? En nog belangrijker: hoe zorgen we ervoor dat we datalekken in de toekomst voorkomen. We duiken er voor je in!

Wat is een datalek?

Wat is een datalek?

Bij een datalek denken we meestal aan hackers die zich toegang verschaffen tot onze gegevens en deze verkopen op het dark web. Iedereen kan zich waarschijnlijk wel een hackincident van het afgelopen jaar herinneren, maar bij datalekken gaat het niet alleen om dieven die er 's nachts op uit zijn om je gegevens te stelen.

Als we het technisch willen benaderen, is een datalek een inbreuk op de beveiliging waarbij vertrouwelijke of beschermde informatie per ongeluk of opzettelijk wordt vrijgegeven. Bij een datalek gaat het ook om meer dan alleen het verlies van persoonsgegevens.

Wist je dat deze voorbeelden ook tellen als datalekken? 

  • Inbreuk op de vertrouwelijkheid: versturen van persoonlijke informatie naar de verkeerde ontvanger;
  • Inbreuk op de integriteit: Het wijzigen van persoonsgegevens zonder toestemming;
  • Inbreuk op de beschikbaarheid: Verlies van beschikbaarheid van persoonsgegevens.

Vijf meest voorkomende datalekken

Over het algemeen hebben datalekken twee belangrijke oorzaken: of je technologie is niet voldoende beschermd, of je gebruikers hebben een fout gemaakt. We kunnen hieronder de vijf meest voorkomende soorten datalekken beschrijven:

Menselijke fout
Niet elke inbreuk wordt veroorzaakt door kwade opzet, soms maken mensen fouten die leiden tot een datalek.

Phishing
Phishing is de methode waarbij e-mails er precies uitzien als die van een betrouwbaar bedrijf om je op links te laten klikken en zo je persoonlijke gegevens in te vullen.

Een fysiek beveiligingslek
Niet alles komt natuurlijk neer op digitale cybercriminaliteit, soms wordt persoonlijke informatie 'gewoon' gestolen door bijvoorbeeld een USB van iemands bureau grissen of een laptop te stelen.

Ramsomware of malware
Ransomware is wanneer je computer plotseling wordt 'gegijzeld' en versleuteld, daarna betaal je meestal een vergoeding voordat de hackers hem ontsleutelen. Malware zijn oude vertrouwde virussen die we al uit het verleden kennen (Limewire, iemand?) of een modern voorbeeld is 'keylogging'.

Crimineel hacken
Iemand breekt illegaal door je beveiligingssysteem en hackt het.

Grootste oorzaak van datalekken: menselijke fout

Een van deze oorzaken is anders dan de rest... Je raadt het al, de menselijke fout! Volgens IBM was een menselijke fout een factor in 95 procent van alle datalekken. Onderzoekers van de Stanford University stelden dat het ongeveer 88 procent was, duizelingwekkende cijfers! Zeker als je bedenkt dat de kosten van een datalek gemiddeld $4.45 miljoen bedragen...

95%

van datalekken komen door menselijke fouten, aldus IBM's onderzoek.

Praktijkvoorbeelden van menselijke fouten die datalekken veroorzaakten, zijn onder meer: 

In augustus 2018 heeft een werknemer van het Strathmore Secondary College in de Verenigde Staten per ongeluk 300 leerlingendossiers op het intranet gepubliceerd die door alle leerlingen en hun ouders konden worden ingezien.

In 2018 werden de persoonlijke gegevens van ongeveer 21.500 mariniers, matrozen en burgers openbaar gemaakt omdat het Amerikaanse ministerie van Defensie een onversleutelde e-mail naar de verkeerde distributielijst stuurde.

In april 2022 lekte het Universitair Medisch Centrum Groningen per ongeluk alle e-mailadressen van mannen met plasklachten door ze allemaal te cc'en in een verzoek om aanvullende informatie.

Dus wat telt er precies als menselijke fout? 

Wanneer we het hebben over menselijke fouten in cyberbeveiliging, krijgt het een nieuwe (en ernstigere!) betekenis: het zijn de onbedoelde acties, of het gebrek daaraan, van eindgebruikers die een inbreuk op de beveiliging veroorzaken. Natuurlijk kunnen deze fouten van alles zijn, van het vallen voor een phishing e-mail tot het versturen van gevoelige informatie naar de verkeerde ontvanger, meestal onbedoeld.

Dus waarom gebeurt het dan? Mensen moeten zich een weg banen door complexe, en soms vermoeiende, veiligheidsmaatregelen. Denk aan alle verschillende plugins en programma's die je zelf al moet gebruiken! Wachtwoord generatoren, twee-factor authenticatie, een complex navigatiesysteem... Het is niet altijd even makkelijk om veilig te blijven! Voeg daar een veeleisende job aan toe en je hebt een gestresseerde Gerda aan je bureau.

Het probleem is dat wanneer deze complexiteit toeneemt, mensen twee dingen kunnen doen: ze maken uiteindelijk een fout of ze gaan om deze complexe oplossingen heen werken. Beide kunnen leiden tot een datalek.

vrouw met laptop na menselijke fout

In het algemeen kunnen menselijke fouten worden verdeeld in twee "soorten" fouten, namelijk: vaardigheidsafhankelijke fouten en beslissingsafhankelijke fouten.

vaardigheidsafhankelijke menselijke fouten

Vaardigheidsafhankelijke fouten

Vaardigheidsafhankelijke menselijke fouten bestaan meestal uit fouten die voorkomen wanneer je 'gewoon je werk doet'. Je weet hoe je het correct moet doen, maar je hebt toch een kleine fout gemaakt. Je maakt een fout omdat je misschien moe of te druk bent om goed op te letten.

Elke e-mailbeveiliging die de moeite waard is, zou altijd op de achtergrond moeten werken zonder dat activering nodig is om deze fouten te verminderen!

beslissingsafhankelijke menselijke fouten

Beslissingsafhankelijke fouten

Beslissingsafhankelijke menselijke fouten doen zich voor wanneer een gebruiker een verkeerde beslissing neemt. Misschien zijn ze gewoon niet op de hoogte van de juiste procedures, of misschien maken ze een actieve beslissing om jouw complexe oplossing te omzeilen.

Door je gebruikers bewuster te maken van hun beoordelingsfouten, zullen deze beslissingen waarschijnlijk afnemen.

 

De meest voorkomende factoren bij menselijke fouten:

Nu je op de hoogte bent van de twee meest voorkomende soorten fouten, wat zit er nu echt achter sommige van deze fouten? Er zijn een aantal oorzaken voor de menselijke fout aan te geven:

Een gebrek aan bewustzijn
Mensen weten gewoon niet wat ze moeten doen of waar ze de fout ingaan. 

Overmoedigheid
Een gebruiker heeft dit zo vaak gedaan dat het een routinetaak wordt, het kán gewoon niet fout gaan. Totdat het toch fout gaat.

Lees meer - Menselijke fout in databeveiliging: Stellige Stella

Slecht ontworpen systemen
Mensen zullen een complexe oplossing omzeilen om het zichzelf gemakkelijker te maken, wat leidt tot datalekken.

Wat moet je doen in het geval van een datalek?

Omdat menselijke fouten zo vaak voorkomen bij datalekken, kan er een moment komen waarop ook jij te maken krijgt met een datalek. Dus wat doe je dan? Onderneem onmiddellijk actie! Hieronder vind je een stappenplan dat je kunt volgen om je gegevens zo goed mogelijk te beschermen en ervoor te zorgen dat alle betrokkenen zo snel mogelijk op de hoogte worden gebracht.

01. Bepaal welke persoonlijke informatie is gelekt

Zoek uit welke persoonlijke gegevens door het datalek zijn gelekt. Was het een e-mailadres? Of misschien vertrouwelijke patiëntgegevens? Je moet ook vaststellen wie er toegang heeft tot deze gegevens en wie door dit datalek is getroffen.

02. Beperk de schade waar mogelijk

Als je eenmaal een datalek hebt ontdekt, zorg er dan voor dat je de verspreiding van het lek beperkt. Is er een manier waarop je de e-mail die je hebt verstuurd kunt terughalen of het bestand dat eraan is gekoppeld kunt blokkeren?

03. Informeer je CISO


Ongeacht of het datalek aan de autoriteiten moet worden gemeld, moet je het datalek binnen 72 uur aan je CISO melden. Die kan beslissen of hij dit datalek moet melden of dat het niet gemeld hoeft te worden.

04. Informeer je klanten

Bepaal eerst of je klanten van het datalek op de hoogte moeten worden gebracht. Als je je klanten wél moet informeren, moet je dat binnen 72 uur doen. Niemand vindt het leuk om bij een datalek betrokken te raken, maar zolang je snel reageert, kan je bedrijf snel herstellen.

05. Meld het datalek

Inbreuken in verband met persoonsgegevens die een risico inhouden voor personen, moeten binnen 72 uur aan de Autoriteit Persoonsgegevens worden gemeld. In de VS is dit bij HIPAA bijvoorbeeld 60 dagen.


06. Update je veiligheidstraining

Datalekken kunnen de besten van ons overkomen, maar als er eenmaal een lek is, is het belangrijk dat iedereen in het bedrijf weet wat hij moet doen in geval van een datalek en ook wat hij niet moet doen.



Wat zijn de consequenties van een datalek?

Als je een datalek hebt meegemaakt, je CISO het heeft afgehandeld en je het niet hoeft te melden, kun je even opgelucht ademhalen. Andere consequenties dan een kort gesprek met je CISO (en mogelijk meer beveiligingstraining) zijn je bespaard gebleven. Maar als je niet zoveel geluk hebt, kunnen de gevolgen van een datalek verstrekkende gevolgen hebben. Daarom denken wij dat tijd rekken na een datalek een slechte zaak is:

  • Financiële kosten

  • Reputatieschade

Financiële kosten van een datalek

Volgens IBM zijn de gemiddelde kosten van een datalek gestegen tot 4.45 miljoen dollar. 

Maar zelfs met dat duizelingwekkende gemiddelde kunnen de kosten nog verder oplopen. Volgens gegevensbeschermingswetten zoals GDPR en HIPAA kan een inbreuk in verband met persoonsgegevens betekenen dat je de wet hebt overtreden, wat je dan weer blootstelt aan sancties en boetes.

  • Organisaties die de GDPR overtreden, kunnen een boete krijgen die kan oplopen tot 4% van hun wereldwijde omzet of 20 miljoen euro, afhankelijk van welk bedrag het hoogst is.
  • Wat de Amerikaanse HIPAA-wetgeving betreft, kunnen overtredingen je tot 50.000 dollar per overtreding kosten, met een maximum van 1,5 miljoen dollar per jaar.

Menselijke fouten worden dus een kostbare vergissing!

Financial cost of a data breach

Reputatieschade

Zoals we allemaal weten, verspreid nieuws zich snel! Iedereen kan wel een sappig verhaal vertellen over een datalek in de afgelopen jaren. Herinner je je Facebook nog? Het is misschien al een tijdje geleden, maar in 2019 werden 530 miljoen gebruikers van Facebook getroffen door een datalek. Het gebruik van het platform kelderde daarna.

Natuurlijk is het voor klanten ook niet zo gemakkelijk om datalekken te vergeten! Uit onderzoek is gebleken dat tot wel 70(!) procent van de consumenten simpelweg geen zaken meer wil doen met organisaties waar een datalek is geweest. Reputatieschade kan op de lange termijn ernstige gevolgen hebben voor je bedrijf en ervoor zorgen dat je in de toekomst geen nieuwe klanten meer kan aantrekken. Reputatieschade kan dus ernstig genoeg zijn om tot bedrijfsverlies te leiden.

reputation damange data breaches

Hoe voorkom je een datalek?

Na al dit gepraat over wat er gebeurt als je te maken krijgt met een datalek, is het tijd om te praten over wat je kunt doen om een datalek te voorkomen. Er is tenslotte een oplossing voor elk probleem, en dat geldt ook voor zoiets ernstigs als een datalek.

Ten eerste hoeft het voorkomen van een datalek helemaal niet zo moeilijk te zijn. Omdat de meeste datalekken worden veroorzaakt door menselijke fouten, moet je ervoor zorgen dat deze menselijke fouten zo weinig mogelijk kans krijgen.

De meeste communicatie verloopt tegenwoordig digitaal, waardoor e-mail een groot risico vormt voor mogelijke datalekken. Door te kiezen voor een veilige e-mailoplossing kun je het risico op een datalek praktisch uitsluiten. 

houd datalekken buiten de deur

Houd datalekken buiten de deur

Download onze whitepaper en ontdek de beste aanpak om je gegevens te beschermen.

Download jouw gratis exemplaar

Wanneer je een veilige e-mailoplossing kiest, let dan op de volgende kenmerken:

voorkom datalekken met encryptie

Encryptie

Encryptie, en in het bijzonder end-to-end encryptie met zero knowledge, is een van de belangrijkste manieren om datalekken te voorkomen. Dat komt omdat encryptie informatie wordt gecodeerd. Alleen jij en een geautoriseerde ontvanger bezitten de encryptiesleutel om de verzonden informatie te ontcijferen. Zonder die sleutel blijft het bericht een mysterie en kan niemand er bij.

Mogelijkheid e-mails in te trekken

Maar wat als je toch een e-mail naar de verkeerde persoon hebt gestuurd? Je weet wel, als je per ongeluk hebt geklikt op Petra, je klant, in plaats van Petra je collega. Of wanneer je de verkeerde bijlage aan een e-mail hebt toegevoegd, waardoor je ontvanger nu toegang heeft tot persoonlijke informatie. Door een veilige e-mailoplossing te kiezen die je in staat stelt om e-mails in te trekken, kan je snel de e-mail terughalen of het bestand blokkeren

Het bewustzijn van je gebruikers vergroten

Menselijke fouten komen voor omdat mensen onzorgvuldig of te druk zijn, niet omdat ze het expres doen. De beste manier om menselijke fouten te voorkomen, is je gebruikers bewuster te maken. Dit kan bijvoorbeeld door ze hun ontvangers te laten bevestigen voordat de e-mail wordt verstuurd of door middel van een content filter dat gevoelige persoonsgegevens eruit pikt.

smartlockr product
Kies een gebruiksvriendelijke e-mailoplossing

Kies een gebruiksvriendelijke e-mailoplossing

Als je veilige e-mailoplossing niet gebruiksvriendelijk is, dan is de kans groot dat je werknemers  er omheen gaan werken. Dat maakt deze oplossing vrijwel nutteloos. Zorg er dus voor dat welke oplossing je ook kiest, dat deze zo eenvoudig mogelijk is.

smartlockr testimonial
Je wordt om de oren geslagen met datalekken in de media. Als je de gebruikers dan een oplossing kunt geven, dan geeft je dat gewoon een goed gevoel. [...] We krijgen enkel positieve reacties. Smartlockr werkt veel makkelijker en alles is hartstikke duidelijk
Stanley Gemeente Zeist

Voorkom datalekken met Smartlockr

Met Smartlockr kies je voor een oplossing met alle bovenstaande kenmerken en meer! Smartlockr stelt je in staat om al je e-mails en bestanden veilig te versturen en tegelijkertijd datalekken te voorkomen, door middel van een e-mailoplossing die zo eenvoudig is dat iedereen het kan gebruiken.

Wij doen dit door het bewustzijn te vergroten, met een naadloze integratie in bestaande werkprocessen, en door je in staat te stellen bestanden te blokkeren, zelfs nadat ze zijn verzonden!

Datalekken en menselijke fouten behoren met Smartlockr tot het verleden. 

smartlockr encryption

Ontdek een gebruiksvriendelijke encryptie oplossing die wél datalekken voorkomt!