Wat moet je als organisatie doen om een datalek te voorkomen?

Als het gaat om beveiliging dan is het altijd lastig te bepalen wanneer je ‘voldoende’ doet. Er is namelijk geen grens. Er zijn oneindig veel maatregelen om je website te beveiligen en er zijn net zoveel manieren om je website te hacken. Met andere woorden: een 100% veilige website bestaat niet.

Enkele jaren geleden was het vervelend als de website gehackt werd en er iets ‘geks’ in de vorm van een tekst of een link op je website stond. Tegenwoordig laten hackers liever geen sporen achter en maken ze persoonsgegevens buit of zetten ze je website in bij een DDoS-aanval.

Sinds de meldplicht voor bedrijven en overheidsorganisaties om een datalek bij de Autoriteit Persoonsgegevens te melden, is het voor organisaties van belang om de beveiliging in orde te hebben. Niemand zit te wachten op een boete van € 820.000,-. Dit is de maximale boete die de Autoriteit Persoonsgegevens kan uitdelen wanneer men een organisatie nalatig acht.

Elke dag meldt een ziekenhuis een datalek

Eind 2016 maakte de Autoriteit Persoonsgegevens bekend dat er 304 meldingen door ziekenhuizen zijn gedaan sinds de wet van kracht is. Bron: Trouw

Wanneer ben je nalatig als organisatie en hoe voorkom je dit?

Een 100% veilige website bestaat niet. Maar wanneer je overduidelijk acties achterwege laat die de website en daarmee de gebruikers ervan, moeten beschermen, kun je als nalatig worden gezien. Wanneer je dus voldoende doet om de gegevens van jouw gebruikers te beschermen, voorkom je het risico om als nalatig te worden gezien. Hieronder licht ik enkele manieren toe om je website en de persoonsgegevens van je gebruikers te beschermen.

HTTPS

Dit is de meest simpele manier om de website te beveiligen. Door de website alleen nog maar aan te bieden in https-mode wordt al het verkeer van en naar de website voorzien van een encryptielaag. Een stuk veiliger dus. Met name als er gevoelige gegevens verstuurd worden zoals persoons-, inlog- of betaalgegevens.

85,6 procent van de Nederlandse bedrijfswebsites (exclusief webshops) die gevoelige gegevens verwerken maken niet gebruik van https blijkt uit onderzoek van SIDN en MKB Servicedesk.

Onderhoud

Goed onderhoud, met name bij open source-systemen, is een must om de website zo up-to-date mogelijk te houden. Hackers maken graag gebruik van websites die belangrijke veiligheidsupdates niet doorvoeren. Niet alleen het CMS moet up-to-date gehouden worden. Zo gebruikt een CMS vrijwel altijd meerdere modules, themes en plug-ins die op zichzelf ook updates nodig hebben.

Naast de website zelf is ook de webserver onderhevig aan updates. Bij een shared hosting-omgeving ligt deze verantwoordelijkheid bij de hostingprovider, maar veel organisaties huren een eigen (dedicated) webserver. Op deze webserver draaien verschillende softwaresystemen om o.a. de website te kunnen hosten, en bij gebrek aan onderhoud biedt dit opties voor een hacker om toegang te krijgen tot de webserver. Huur je een eigen (dedicated) webserver? Maak dan goede afspraken met de hostingprovider over de beveiliging of stap over naar een ‘managed’ webserver. Bij een managed server is de hostingprovider verantwoordelijk voor het beheer en up-to-date houden van de webserver.

Beveiligingsmaatregelingen

Wanneer de basis in orde is, dan is het raadzaam te kijken naar het gebruikte CMS om de beveiliging te verscherpen.

Vergelijk het met een huis waarbij de sloten op de deuren in orde zijn, maar waar je ook aandacht moet geven aan dat kleine raampje in de keuken.

Hieronder noem ik enkele verbeteringen die wij vaak doorvoeren. Per CMS wisselen deze, maar wij werken voornamelijk met Drupal. Andere open source CMS-en zoals Wordpress en Joomla kennen vergelijkbare beveiligingsmaatregelingen.

• Wachtwoorden sterker maken. Het is natuurlijk niet handig als een gebruiker een wachtwoord als ‘welkom’ of ‘geheim’ gebruikt. Binnen Drupal wordt standaard aangegeven of een wachtwoord veilig is of niet, maar nog beter is het om eisen te stellen aan de lengte of toevoeging van cijfers en speciale karakters aan het wachtwoord.
• Het standaard loginpath veranderen. Dit is een vrij makkelijke aanpassing die vooral bots weert. Deze bots kennen de standaardpaden van de bekende CMS-en zoals /user, /wp-admin en /administrator en proberen op deze manier automatisch een nieuw account aan te maken of in te loggen.
• Beveiligings(controle)modules installeren. Deze modules zijn beschikbaar voor open source-systemen zoals Drupal, Wordpress en Joomla en controleren het CMS op bekende zwakke plekken zoals de rechten van mappen of instellingen die ervoor zorgen dat het CMS toegang verleent aan derden. Deze modules zorgen meestal niet zelf voor extra beveiliging maar controleren en adviseren.
• Toegang beperken tot de server. Een webserver heeft als belangrijke eigenschap dat deze bereikbaar is via het internet. Dit is vrij essentieel voor de website die gehost wordt, maar niet alle onderdelen op de webserver zijn bestemd voor alle bezoekers. Daarom is het verstandig om toegang tot de database of het beheergedeelte alleen toegankelijk te maken voor bekende IP-nummers.
• Het opslaan van persoonsgegevens beperken of uitsluiten. Wanneer je bijvoorbeeld nieuwsbriefaanmeldingen verwerkt via de website en deze aanmeldingen gekoppeld zijn aan een e-marketingsysteem. Dan is het niet noodzakelijk de e-mailadressen ook nog binnen de database van de website op te slaan. Door de persoonsgegevens van deze nieuwsbriefaanmeldingen bijvoorbeeld na 7 dagen te wissen, voorkom je dat als er een datalek plaatsvindt, een hacker een groot bestand aan persoonsgegevens aantreft.

Helft van alle datalekken bij Gemeenten wordt niet gemeld

Uit een steekproef van Reporter Radio blijkt dat de helft van alle datalekken bij gemeenten niet gemeld wordt aan de Autoriteit Persoonsgegevens. Autoriteit Persoonsgegevens wil strenger gaan optreden tegen datalekken. Bron: NPO

Bewerkersovereenkomst

Een bewerkersovereenkomst is een wettelijk verplichte overeenkomst die je aangaat met partijen waarmee je samenwerkt en die toegang hebben tot jouw persoonsgegevens. Denk aan een hostingprovider of een internetbureau dat onderhoud doet aan je CMS. In de bewerkersovereenkomst leg je vast dat de ‘bewerker’ correct en veilig omgaat met jouw systeem en data. Wil je hier meer over weten? Bezoek dan de website van de Autoriteit Persoonsgegevens.

Wanneer moet je een datalek melden?

Bij de wet zijn bedrijven en organisaties sinds 1 januari 2016 verplicht een ernstig datalek binnen 72 uur te melden. Een datalek is ernstig als het gaat om een grote hoeveelheid data. Denk aan de inloggegevens van duizenden gebruikers. Het datalek kan ook als ernstig worden gezien als de data zeer gevoelig is. Denk aan rijbewijsgegevens, BSN-nummers, etc.

Grootste datalek ooit

Het ‘record’ van het grootste datalek tot nu toe staat op naam van Yahoo. Onlangs meldde Yahoo dat in 2013 de gegevens van 1 miljard accounts zijn buitgemaakt, bestaande uit e-mailadressen, geboortedata, wachtwoorden en telefoonnummers. Bron: NRC

Conclusie

Helemaal voorkomen dat er ooit een datalek ontstaat is niet mogelijk, maar je kunt het hackers wel een stuk lastiger maken. Dus stel een plan op, maak werk van je beveiliging en zorg dat alle partijen waarmee je samenwerkt bewust omgaan met de persoonsgegevens die zich binnen jouw website bevinden. Hierdoor maak je de kans op een datalek in ieder geval een stuk kleiner.