Wat moet je als organisatie doen om een datalek te voorkomen?

Thomas van Eldijk

| Bijgewerkt op 7 september 2021

Als het gaat om beveiliging dan is het altijd lastig te bepalen wanneer je ‘voldoende’ doet. Er is namelijk geen grens. Er zijn oneindig veel maatregelen om je website te beveiligen en er zijn net zoveel manieren om je website te hacken. Met andere woorden: een 100% veilige website bestaat niet.

Enkele jaren geleden was het vervelend als de website gehackt werd en er iets ‘geks’ in de vorm van een tekst of een link op je website stond. Tegenwoordig laten hackers liever geen sporen achter en maken ze persoonsgegevens buit of zetten ze je website in bij een DDoS-aanval.

Sinds de meldplicht voor bedrijven en overheidsorganisaties om een datalek bij de Autoriteit Persoonsgegevens te melden, is het voor organisaties van belang om de beveiliging in orde te hebben. Niemand zit te wachten op een boete van € 820.000,-. Dit is de maximale boete die de Autoriteit Persoonsgegevens kan uitdelen wanneer men een organisatie nalatig acht.

Elke dag meldt een ziekenhuis een datalek

Eind 2016 maakte de Autoriteit Persoonsgegevens bekend dat er 304 meldingen door ziekenhuizen zijn gedaan sinds de wet van kracht is. Bron: Trouw

Wanneer ben je nalatig als organisatie en hoe voorkom je dit?

Een 100% veilige website bestaat niet. Maar wanneer je overduidelijk acties achterwege laat die de website en daarmee de gebruikers ervan, moeten beschermen, kun je als nalatig worden gezien. Wanneer je dus voldoende doet om de gegevens van jouw gebruikers te beschermen, voorkom je het risico om als nalatig te worden gezien. Hieronder licht ik enkele manieren toe om je website en de persoonsgegevens van je gebruikers te beschermen.

HTTPS

Dit is de meest simpele manier om de website te beveiligen. Door de website alleen nog maar aan te bieden in https-mode wordt al het verkeer van en naar de website voorzien van een encryptielaag. Een stuk veiliger dus. Met name als er gevoelige gegevens verstuurd worden zoals persoons-, inlog- of betaalgegevens.

85,6 procent van de Nederlandse bedrijfswebsites (exclusief webshops) die gevoelige gegevens verwerken maken niet gebruik van https blijkt uit onderzoek van SIDN en MKB Servicedesk.

Onderhoud

Goed onderhoud, met name bij open source-systemen, is een must om de website zo up-to-date mogelijk te houden. Hackers maken graag gebruik van websites die belangrijke veiligheidsupdates niet doorvoeren. Niet alleen het CMS moet up-to-date gehouden worden. Zo gebruikt een CMS vrijwel altijd meerdere modules, themes en plug-ins die op zichzelf ook updates nodig hebben.

Naast de website zelf is ook de webserver onderhevig aan updates. Bij een shared hosting-omgeving ligt deze verantwoordelijkheid bij de hostingprovider, maar veel organisaties huren een eigen (dedicated) webserver. Op deze webserver draaien verschillende softwaresystemen om o.a. de website te kunnen hosten, en bij gebrek aan onderhoud biedt dit opties voor een hacker om toegang te krijgen tot de webserver. Huur je een eigen (dedicated) webserver? Maak dan goede afspraken met de hostingprovider over de beveiliging of stap over naar een ‘managed’ webserver. Bij een managed server is de hostingprovider verantwoordelijk voor het beheer en up-to-date houden van de webserver.

Beveiligingsmaatregelingen

Wanneer de basis in orde is, dan is het raadzaam te kijken naar het gebruikte CMS om de beveiliging te verscherpen.

Vergelijk het met een huis waarbij de sloten op de deuren in orde zijn, maar waar je ook aandacht moet geven aan dat kleine raampje in de keuken.

Hieronder noem ik enkele verbeteringen die wij vaak doorvoeren. Per CMS wisselen deze, maar wij werken voornamelijk met Drupal. Andere open source CMS-en zoals Wordpress en Joomla kennen vergelijkbare beveiligingsmaatregelingen.

Wachtwoorden sterker maken. Het is natuurlijk niet handig als een gebruiker een wachtwoord als ‘welkom’ of ‘geheim’ gebruikt. Binnen Drupal wordt standaard aangegeven of een wachtwoord veilig is of niet, maar nog beter is het om eisen te stellen aan de lengte of toevoeging van cijfers en speciale karakters aan het wachtwoord.
Het standaard loginpath veranderen. Dit is een vrij makkelijke aanpassing die vooral bots weert. Deze bots kennen de standaardpaden van de bekende CMS-en zoals /user, /wp-admin en /administrator en proberen op deze manier automatisch een nieuw account aan te maken of in te loggen.
Beveiligings(controle)modules installeren. Deze modules zijn beschikbaar voor open source-systemen zoals Drupal, Wordpress en Joomla en controleren het CMS op bekende zwakke plekken zoals de rechten van mappen of instellingen die ervoor zorgen dat het CMS toegang verleent aan derden. Deze modules zorgen meestal niet zelf voor extra beveiliging maar controleren en adviseren.
Toegang beperken tot de server. Een webserver heeft als belangrijke eigenschap dat deze bereikbaar is via het internet. Dit is vrij essentieel voor de website die gehost wordt, maar niet alle onderdelen op de webserver zijn bestemd voor alle bezoekers. Daarom is het verstandig om toegang tot de database of het beheergedeelte alleen toegankelijk te maken voor bekende IP-nummers.
Het opslaan van persoonsgegevens beperken of uitsluiten. Wanneer je bijvoorbeeld nieuwsbriefaanmeldingen verwerkt via de website en deze aanmeldingen gekoppeld zijn aan een e-marketingsysteem. Dan is het niet noodzakelijk de e-mailadressen ook nog binnen de database van de website op te slaan. Door de persoonsgegevens van deze nieuwsbriefaanmeldingen bijvoorbeeld na 7 dagen te wissen, voorkom je dat als er een datalek plaatsvindt, een hacker een groot bestand aan persoonsgegevens aantreft.

Helft van alle datalekken bij Gemeenten wordt niet gemeld

Uit een steekproef van Reporter Radio blijkt dat de helft van alle datalekken bij gemeenten niet gemeld wordt aan de Autoriteit Persoonsgegevens. Autoriteit Persoonsgegevens wil strenger gaan optreden tegen datalekken. Bron: NPO

Bewerkersovereenkomst

Een bewerkersovereenkomst is een wettelijk verplichte overeenkomst die je aangaat met partijen waarmee je samenwerkt en die toegang hebben tot jouw persoonsgegevens. Denk aan een hostingprovider of een internetbureau dat onderhoud doet aan je CMS. In de bewerkersovereenkomst leg je vast dat de ‘bewerker’ correct en veilig omgaat met jouw systeem en data. Wil je hier meer over weten? Bezoek dan de website van de Autoriteit Persoonsgegevens.

Wanneer moet je een datalek melden?

Bij de wet zijn bedrijven en organisaties sinds 1 januari 2016 verplicht een ernstig datalek binnen 72 uur te melden. Een datalek is ernstig als het gaat om een grote hoeveelheid data. Denk aan de inloggegevens van duizenden gebruikers. Het datalek kan ook als ernstig worden gezien als de data zeer gevoelig is. Denk aan rijbewijsgegevens, BSN-nummers, etc.

Grootste datalek ooit

Het ‘record’ van het grootste datalek tot nu toe staat op naam van Yahoo. Onlangs meldde Yahoo dat in 2013 de gegevens van 1 miljard accounts zijn buitgemaakt, bestaande uit e-mailadressen, geboortedata, wachtwoorden en telefoonnummers. Bron: NRC

Conclusie

Helemaal voorkomen dat er ooit een datalek ontstaat is niet mogelijk, maar je kunt het hackers wel een stuk lastiger maken. Dus stel een plan op, maak werk van je beveiliging en zorg dat alle partijen waarmee je samenwerkt bewust omgaan met de persoonsgegevens die zich binnen jouw website bevinden. Hierdoor maak je de kans op een datalek in ieder geval een stuk kleiner.

Gerelateerde artikelen

Wij delen graag de kennis die we in huis hebben

Podcast - Next.js

Tijdens deze speciale aflevering met videobeeld bespreken we Next.js, een javascript framwork.

Jurrien Meyrahn

16 extra signalen dat je website aan vernieuwing toe is

In het eerste deel van dit artikel kun je 23 designelementen vinden die je website ouderwets doen lijken. Maar hier zijn nog eens 16 extra signalen dat je website aan vernieuwing toe is. Misschien bevat jouw site ook deze problemen?

Jurrien Meyrahn

Podcast - Borrel Special: Toekomst van het Web

Het internet gaat nog veel veranderen. Naar welke technologieën kijken we uit? Welke rol gaat Big Data spelen in de toekomst? En gaat AI de wereld de komende twee jaar drastisch veranderen?

Jurrien Meyrahn

Podcast - De toekomst van Drupal

De officiële ondersteuning van Drupal 7 loopt binnenkort af. Wat is de geschiedenis van Drupal 7? Wat is er mis mee? Hoe werkt een upgrade naar Drupal 9? En waarom is dat zo cruciaal?

Jurrien Meyrahn

Podcast - Open Source: Kansen en Risico's

Overstappen naar Open Source kan spannend zijn. Is het wel veilig? Wie is de eigenaar van je digitale product? En is het mogelijk om van leverancier te wisselen?

Jurrien Meyrahn

Podcast - Kunstmatige Intelligentie

Steeds vaker lezen en horen we over ontwikkelingen rondom kunstmatige intelligentie. Wat voor een rol gaat AI spelen op het internet? En welke effecten heeft dat op ons dagelijks leven?

Jurrien Meyrahn

De ultieme Drupal security checklist: 20 tips die je Drupal website veiliger maken

Je Drupal website beveiligen lijkt lastig maar als je deze checklist doorloopt is de beveiliging van je Drupal website helemaal op orde.

Thomas van Eldijk

Hoe stap je over naar HTTPS?

Je website via HTTPS aanbieden is de norm aan het worden, maar hoe zorg je ervoor dat je website via een ‘slotje’ beveiligd is?

Thomas van Eldijk

Bekijk alle artikelen

Reacties

"Goed onderhoud, met name bij open source-systemen, is een must om de website zo up-to-date mogelijk te houden"

ook hier weer, open of gesloten systeem, beide moeten up-to-date worden gehouden.

vooral bij gesloten systemen is het probleem dat niemand de code kan controleren en er in sommige gevallen zelfs jaren lang gesloten systemen konden worden gehacked omdat de bedrijven van deze software dan wel zelf niet op de hoogte waren van het lek dan wel het lek stil hielden.

Dit soort security-by-obscurity is helaas tot op de dag van vandaag nog regelmatig aan de orde bij bedrijven die gesloten software leveren.

Des te meer reden om met open source software te werken.

Hier worden lekken veelal veel sneller en door meerdere partijen tegelijk gevonden en gemeld.

Reactie van guus op 22 mei 2018