Samenwerken beperkt schade datalekken
Voorkomen kun je een datalek niet, maar preventieve maatregelen nemen en weten wat je moet doen kan de schade flink beperken. VenJ en Logius sloegen de handen ineen om gezamenlijk informatie over datalekken te versterken.
Het onderwerp datalekken is erg actueel. Sinds 1 januari 2016 geldt de meldplicht voor datalekken. Een fikse boete van de Autoriteit Persoonsgegevens hangt je boven het hoofd als een datalek in een systeem waar je verantwoordelijk voor bent, niet tijdig wordt gemeld. Zo heeft KPN pas een flinke boete gekregen doordat zij niet juist gehandeld hadden na het constateren van een datalek.
Henk-Jan van der Molen, Corporate Information Security Officer (CISO) bij VenJ: “We spreken van een datalek als iemand zich onbevoegd toegang verschaft tot persoonsgegevens. Het doet er niet toe of die persoon dan wel of geen wijzigingen aanbrengt in de data. Het gaat hierbij dus specifiek om persoonsgegevens. Als iemand toegang krijgt tot andere informatie, dan noemen we dat een informatielek.”
“Als het alleen NAW-gegevens zijn, is er weinig risico”, vervolgt Roeland Derksen (Logius), “Het is de combinatie van gegevens die een gevaar kan zijn of zelfs heel pijnlijk.” Snel worden de mobieltjes gecheckt om een beruchte hack op te zoeken. “De Ashley Madison-hack (2015) is zo’n voorbeeld van een pijnlijk datalek. Dat is een datingsite voor mensen die al een relatie hebben. Je kunt je voorstellen dat het lekken van persoonsgegevens een enorme impact kan hebben op iemands leven. We zijn erg alert op datalekken met combinaties die met overheidsgegevens te maken hebben. Denk aan DigiD waar Logius verantwoordelijk voor is en aan strafrechtelijke gegevens van het ministerie van Veiligheid en Justitie.”
Maanden
Het kan een hele tijd duren voordat je doorhebt dat er een datalek is. “Soms lift een besmet bestand mee met een ander bestand en kan het een paar maanden duren voordat het lek zich manifesteert. Je merkt het vaak aan reacties uit je omgeving: ‘Ik krijg vreemde berichten van je’ of ‘Jouw systeem doet raar’. Wat je dan moet doen is in ieder geval zo snel mogelijk aan de slag om het lek te dichten en tegelijkertijd denk je na over de vervolgstappen. Welke data zijn blootgesteld? Welke risico’s zijn er? Wie moet je informeren en hoe? Hieraan zie je ook meteen dat het verstandig is om van tevoren na te denken over datalekken en als het kan ook om te oefenen met een crisisorganisatie. Bij datalekken ligt de aandacht vooral op het voorkomen ervan door preventieve maatregelen. Het is net zoals bij inbraak: als een dief veel tijd heeft en koste wat kost naar binnen wil, dan lukt dat vaak ook. Je kunt natuurlijk wel maatregelen nemen om het hackers lastig te maken of om de risico’s zo klein mogelijk te houden.” Sandra van Denderen werkt als crisiscommunicatiespecialist bij Logius. “We hebben afgelopen week nog geoefend met een crisissituatie. Dat is erg belangrijk. Zo weet je precies wie wanneer wat moet doen. We zorgen voor up-to-date draaiboeken voor crises en organiseren opleidingen.
Als een dief veel tijd heeft en koste wat kost naar binnen wil, dan lukt dat vaak ook
Verder ontwikkelen we scenario’s: wat zou er eventueel kunnen gebeuren? En wat zijn de risico’s daarvan? Hoe moet je handelen?” Dan gaat haar telefoon: ze heeft piketdienst en er is een incident. Roeland gaat verder: “Het correct melden van een incident is wel een punt van aandacht. Als je een melding van een lek maakt terwijl er niets aan de hand is kan dat ernstige imagoschade opleveren voor een overheidsorganisatie. Mensen denken dan: ‘wat is dat voor een zooitje daar?’ We kunnen het niet vaak genoeg zeggen: de enige manier om goed met datalekken om te kunnen gaan is door goede voorbereiding. Oefen met een crisisorganisatie, maak scenario’s en zorg dat je kennis up-to-date is!”
Handreiking
Logius en VenJ zijn hiermee aan de slag gegaan en hebben samen een handreiking en een factsheet ontwikkeld. Henk-Jan: “Hoewel deze documenten zijn gemaakt voor VenJ kunnen ze met wat copypaste ook door andere organisaties worden gebruikt. In de handreiking staan verschillende mogelijke scenario’s en de manier waarop je die moet tackelen. In de factsheet staat de belangrijkste informatie over datalekken en de meldplicht op een rij. Geoefend met een crisisorganisatie voor datalekken hebben we bij VenJ nog niet, maar alle directies zijn wel geïnformeerd.”
“De documenten en kennis van VenJ in combinatie met de kennis van Logius geeft een mooie basis ook andere overheidsorganisaties te informeren. We vinden het belangrijk om onze kennis en ervaringen te delen. Daarom hebben we ook met z’n vieren een workshop gegeven tijdens de Ambtenaar 2.0 Dag. Daar merkten we dat er veel behoefte is aan informatie”, zegt Monique Barnhoorn die eerder werkte bij het ministerie van BZK en nu bij VenJ. Zij zorgde voor de verbinding tussen Logius en VenJ. “We leren zelf ook steeds bij en zoeken ook contact met andere overheden. Behalve bij Logius en bij VenJ kunnen ambtenaren ook terecht bij KING en NVVB voor kennisdelen en informatie.”
—————————————
Links:
• Handreiking datalekken
• Factsheet datalekken
—————————————