Hoe een datalek het MKB de kop kan kosten
Een datalek: de calamiteit die iedere ondernemer, zo ook binnen het MKB, hoort te vrezen. Het gebeurt in een handomdraai en kan grote tot catastrofale gevolgen hebben voor een bedrijf.
60 procent van de kleinbedrijven die een groot dataverlies leiden is binnen drie jaar failliet, blijkt uit onderzoek van Cisco. Het is dan ook zaak dat organisaties hun dataopslag enigszins onder controle hebben, zeker nu de AVG van kracht is en er verschillende boetes worden uitgedeeld bij overtreding van dataopslagwetten - boetes die met goede reden in het leven zijn geroepen.
Een hacker die toeslaat en een bepaalde hoeveelheid data weet te bemachtigen; vaker voorkomend dan gedacht wordt binnen het MKB. Data die de hacker pas in ruil voor een bepaald bedrag terug wil geven. Dat de veiligheid van data niet altijd vanzelfsprekend is, ontdekte de Amerikaanse organisatie American Medical Collection Agency (AMCA). AMCA werd vorig jaar gehackt in een tijdspanne die geschat wordt van 1 augustus 2018 tot 30 maart 2019, resulterend in de diefstal van informatie van zakelijke klanten waaronder Quest Diagnostics, LabCorp en BioReference Laboratories – gigantische namen en partners.
Het lek had desastreuze gevolgen. Voor AMCA blijkt faillissement het eindstation. De bedrijven in kwestie gebruikten het betaalportaal van AMCA om hun medische klanten te factureren. Bedrijfsgevoelige informatie – informatie die absoluut niet aan de buitenwereld getoond mocht worden. Maar wat niemand hoopte of verwachtte, gebeurde toch. De informatie lag met de hack in een keer op straat. De gestolen gegevens werden later in ondergrondse webfora te koop aangeboden, waardoor het nog altijd onduidelijk is in welke handen de vertrouwelijke gegevens terecht zijn gekomen.
Rechtszaak
Nadat het lek bekendgemaakt werd en de impact verduidelijkte, werden meerdere class-action rechtszaken aangespannen tegen Quest Diagnostics, AMCA en LabCorp. Slachtoffers beweerden dat er een onnodige vertraging was bij het informeren van gedupeerden, dat officiële veiligheidsnormen mogelijk niet werden gehaald en dat een algehele adequate beveiliging mogelijk niet aanwezig was voor de bescherming van hun persoonlijke informatie. Een waslijst van beschuldigingen dus aan het adres van AMCA.
Amerikaanse toezichthouders en de Amerikaanse rechter onderzoeken het incident. De verwoestende gevolgen van het datalek hebben ertoe geleid dat AMCA's moedermaatschappij, Retrieval-Masters Creditors Bureau Inc., vrijwillig faillissementsbescherming heeft aangevraagd. Door faillissementsbescherming in te dienen, blijft het bedrijf gewoon doorgaan, terwijl AMCA zijn schuldeisers betaalt. AMCA is echter failliet door de gevolgen van het lek.
AVG
De casus toont de gevolgen die een datalek kan hebben voor organisaties in binnen- en buitenland. Het is dan ook niet voor niets dat de overheid heeft besloten preventief de beveiliging van gevoelige bestanden na te gaan. Zo kreeg het UWV een dwangsom van € 150.000,- per maand opgelegd vanwege de gebrekkige beveiliging van hun immense database aan persoonsgegevens.
De Algemene Verordening Gegevensbescherming (AVG) blijkt overigens nog niet bepaald omarmd door de Nederlandse samenleving, zo blijkt uit onderzoek van OnePoll. Maar liefst twintig procent van de onderzochte populatie geeft aan geen idee te hebben wat de AVG precies is. Het onderzoek werd uitgevoerd onder 500 Nederlandse medewerkers in diverse sectoren.
MKB
Lekken zetten daadkracht achter de controles van de overheid. En terwijl de Autoriteit Persoonsgegevens (AP, controlerend orgaan AVG) zich met name richt op grotere databases en bedrijven, geldt de boodschap evengoed voor het MKB. Verlies van klantgegevens op een NAS, cloud of ander veelvoorkomende opslagmiddel, leidt tot mogelijke fraude, verlies van productiviteit en uiteindelijk faillissement.
Dataverlies
Een datalek kan plaatsvinden nadat een kwaadwillende partij toegang verkrijgt tot een opslagmiddel en de inhoud hiervan infecteert met virussen of malware. In de praktijk is dit opslagmiddel de harde schijf binnen een computer of NAS, een server of een extern device als USB-stick. Een hacker kan ervoor kiezen om een schijf te corrupten en daarmee onbruikbaar te stellen. Dat levert een hacker weinig op, dus wordt de schijfinhoud vaak gegijzeld. Ransomware is met name venijnig voor kleinere bedrijven, omdat ondernemers in welk geval dan ook geld verliezen. Zij het door de betaling van een geldsom, of het permanente verlies van waardevolle klanten- of productiegegevens.
Hackers krijgen op verschillende manieren toegang tot lokale gegevens. Het internet is bij uitstek het meest gebruikte portaal. Software kan ingezet worden om de risico’s van internetgebruik van werknemers en ondernemers te verminderen. Filters die links controleren, webcontent voortijdig checken en dreigingen aankaarten en wegzetten. Het aanbod is breed, maar de meeste antiviruspakketten bieden een web-, OS- en e-mailfilter: een totaalplaatje waarmee bedrijven niet overgelaten zijn aan het vermijden of handmatige controleren van links.
Zodoende: investeer in dataveiligheid, bijvoorbeeld via securitysoftware. Met de onderstaande punten vatten we de ernst samen.
1. Netwerkinfectie
Zonder de juiste tools voor internetbeheer zou zorgeloos browsen ertoe kunnen leiden dat werknemers, al dan niet opzettelijk, toegang krijgen tot gecompromitteerde websites en geïnfecteerde downloads. Downloads en sites die op veel manieren de bedrijfsvoering kunnen hinderen. Niet alleen de schijf van de computer van een werknemer zelf loopt risico: ook het bedrijfsnetwerk, waarna de schadelijke content met gemak naar elk device binnen het bedrijf verspreid wordt.
2. Juridische aansprakelijkheid
Mogelijk heeft de meest schadelijke consequentie van ongepast internetgebruik te maken met de wettelijke risico's die een bedrijf loopt door werknemers vrij te laten surfen op het web. Ongepaste berichten die verzonden worden op een bedrijfsnetwerk zijn onvermijdelijke HR-nachtmerries en kunnen resulteren in een juridisch onderzoek. Wanneer blijkt dat de berichten verzonden worden door een hacker, vervolgens naar voren komt dat er geen voorzorgsmaatregelen rondom security intact zijn, dan is het bedrijf juridisch aansprakelijk voor de gevolgen van de berichten.