De zeer omvangrijke data hack bij telecomaanbieder Odido maakt maar weer eens duidelijk dat ondernemers grote risico’s lopen. Hackers hebben het vaak gemunt op kleine en middelgrote bedrijven omdat die de cyber security lang niet altijd goed geregeld hebben. Als je je onderneming wilt beschermen tegen datalekken en andere criminele activiteiten dan is het zaak om hier direct maatregelen voor te treffen.
Data opslag in de cloud
Steeds vaker wordt data ‘in de cloud’ opgeslagen. Niet alleen bedrijven, ook particulieren doen dit. De foto’s op je smartphone staan ook in de cloud, zodat je ze niet kwijt bent als je een nieuwe telefoon in gebruik neemt. Voor bedrijven is het belangrijk om voor veilige en stabiele cloudoplossingen te kiezen. Je gegevens moeten zo goed mogelijk worden beveiligd. Als je de opslag van data uitbesteedt, dan zal het ICT bedrijf er alles aan doen om een hackaanval te voorkomen. Dat is nog niet zo eenvoudig, want hackers zijn beveiligers vaak net een stap voor. Dat was vroeger al zo toen het nog ging om het verspreiden van redelijk onschuldige virussoftware. Die zorgde er dan voor dat je computer om vijf uur ’s middags ineens een bepaald melodietje speelde of dat er een grappig plaatje in beeld kwam. Hinderlijk misschien, maar het veroorzaakte geen schade. Het professioneel schade toebrengen aan bedrijven is iets van de laatste jaren.
Wat gebeurt er met gestolen gegevens?
Zoals ook bij de hack bij Odido gebeurde, worden gestolen data vaak gepubliceerd op het zogenaamde Dark Web. Dit is niet één plek, maar criminelen weten het feilloos te vinden. Als daar bijvoorbeeld persoonsgegevens van klanten of medewerkers van je bedrijf te vinden zijn, dan kan hier misbruik van worden gemaakt. E-mailadressen worden gebruikt voor phishing, persoonlijke gegevens kunnen worden gebruikt voor identiteitsfraude. Vooral dat laatste kan verstrekkende gevolgen hebben voor de slachtoffers. Je kunt als ondernemer hiervoor aansprakelijk worden gesteld als kan worden aangetoond dat je nalatig bent geweest in het beveiligen van gevoelige informatie.
Wat moet je doen als het toch misgaat?
Zodra je merkt dat er gevoelige data is gestolen via je bedrijfsnetwerk, moet je hier melding van maken. Je doet dit bij de Fraudehelpdesk en bij de ACM. Uiteraard stel je ook mogelijk gedupeerde klanten in kennis. Zij kunnen dan alert zijn op bijvoorbeeld het ontvangen van phishingmails of niet geautoriseerde betalingen met hun bank- of creditcardgegevens. Vervolgens is het belangrijk om de beveiliging te laten controleren, bijvoorbeeld door een ethisch hacker. Deze kan onderzoeken waar het lek zit en hoe dit kan worden opgelost. Op die manier kun je een nieuwe aanval in de toekomst hopelijk voorkomen. Uiteraard is het verstandig om passwords te wijzigen en dit ook aan klanten te adviseren die via een account op je website kunnen inloggen. Een datalek dat bekend wordt in de media levert hoe dan ook imagoschade op. Hoe groot die is, is afhankelijk van de omvang van de hack. Niets doen is geen optie, want de waarheid komt hoe dan ook een keer aan het licht.