Sinds 1 januari 2016 is het in Nederland verplicht om datalekken waarbij persoonsgegevens betrokken zijn te melden bij de Autoriteit Persoonsgegevens. Deze instantie gaat over datalekken die herleidbaar zijn naar personen. De boetes die bedrijven kunnen krijgen wanneer bekend wordt dat ze een lek hebben en er niets aan hebben gedaan, kunnen zeer hoog oplopen. Soms gaat het over een bepaald percentage van de omzet waarbij een maximum bedrag wordt gehanteerd. Ook voor het datalek zelf kan een onderneming worden beboet.

Als bedrijf moet je kunnen aantonen dat je alles in het werk hebt gesteld om een datalek te vermijden. Het is mogelijk om hier deskundige hulp voor in te roepen. Zo wordt samen met u bekeken of u al in orde bent met uw bedrijf of welke actiepunten er nog open staan. Binnen 72 uur na het ontdekken van een datalek moet dit gemeld zijn bij de Autoriteit Persoonsgegevens. Organisaties zijn wel vrijgesteld van het melden van het lek bij betrokkenen, mits er voldoende technische en organisatorische maatregelen zijn genomen ter bescherming van de persoonsgegevens, zoals encryptie of versleuteling. Een goede voorbereiding op een mogelijk datalek bestaat onder andere uit het opstellen van heldere beleidsmaatregelen en het regelmatig testen van procedures.

Wat betekent Global data protection Regulation (GDPR) voor uw bedrijf?

Nederland is al enkele jaren bezig met het opstellen van regelgeving voor het bewaren en beveiligen van digitale gegevens en wat er dient te gebeuren als deze digitale gegevens naar buiten lekken. In de toekomst zal dit Europese materie worden. Vanaf 25 mei 2018 zal de GDPR op Europees niveau worden gehandhaafd. Als u hierin betrokken partij bent, dan adviseren wij u nu te beginnen met het treffen van voorbereidingen. De GDPR website werd in het leven geroepen om bedrijven en gebruikers te helpen om de GDPR beter te begrijpen en de vereiste maatregelen in kaart te brengen.

De GDPR zal gelden voor alle organisaties die werkzaam zijn in de EU en persoonlijke data verwerken. De regelgeving is ingewikkeld en de boetes bij nalatigheid zijn exorbitant hoog (tot 4% van de
jaarlijkse omzet of 20 miljoen euro). De GDPR vraagt organisaties die persoonsgegevens verwerken om maatregelen te nemen die het risico op een datalek aanzienlijk verminderen. Daarnaast dient u aan te kunnen tonen welke maatregelen u getroffen heeft. Onder de maatregelen wordt verstaan: Privacy Impact Assessments, audits, het nalopen van beleidsregels, het loggen van activiteiten en het aanstellen van een Functionaris Gegevensbescherming (FG).

De GDPR definieert een datalek als “een inbreuk op de beveiliging die resulteert in een onopzettelijke of onwettige vernietiging, verlies, wijziging, niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens die zijn verstuurd, opgeslagen of anderszins verwerkt”. Dit is een uitgebreidere definitie dan voorheen en maakt geen onderscheid tussen een datalek met schade voor het individu of zonder. 25 mei komt er snel aan. Daarom is het zaak snel te beginnen met uw organisatie bewust te maken van de regels van de GDPR en de verscherpte richtlijnen. Het transparant verwerken van persoonsgegevens en de aangepaste rechten van het individu vragen wellicht aanpassingen die een behoorlijke impact kunnen hebben op de financiën en IT processen binnen uw bedrijf of organisatie. Een gerichte professionele vorming van uw personeel kan hun alertheid en bewustzijn verhogen. U dient ervoor te zorgen dat persoonsgegevens gegarandeerd veilig worden verwerkt en worden beschermd tegen onbevoegde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of schade: “De organisatie en service provider die namens organisatie persoonsgegevens verwerkt neemt passende technische en organisatorische maatregelen waarmee een minimaal beveiligingsniveau wordt gegarandeerd passend bij de risico’s”. Gelukkig kan het bedrijf dat de security scan uitvoert u helpen met deze lastige materie. Mocht er toch nog iets gebeuren dan kunt u aantonen dat u er alles aan gedaan heeft om de risico’s tot een minimum te beperken.

Waarom een cyber security scan laten uitvoeren?

Cybercriminaliteit blijft lucratief. Er valt goed geld mee te verdienen. We denken hierbij aan ransomware zoals de zogenaamde cryptolockers. Bij dit soort van aanval worden alle bestanden van het slachtoffer versleuteld. Alle bestanden krijgen hierbij een andere extensie waardoor ze onbruikbaar zijn geworden. Nadien krijgt de gebruiker een melding met het verzoek om te betalen om de bestanden weer bruikbaar te maken. Het wordt algemeen ten sterkste ontraden om te betalen. De kans dat bestanden weer bruikbaar worden na de betaling is klein. Het is beter om nergens op in te gaan en een back-up terug te plaatsen. Elk bedrijf dient een goede back-up routine te hanteren. In geval van een ransom ware aanval duurt het slechts minuten om een compleet bedrijf lam te leggen. U bent gewaarschuwd.

Waarom heeft mijn bedrijf een security scan nodig?

Het internet evolueert. Deze ontwikkelingen gaan steeds sneller. De online handel floreert. Er valt dus veel geld te verdienen op het internet. Waar veel geld is, vind je ook criminelen. Het aantal manieren die criminelen bedenken om mensen geld afhandig te maken nemen steeds toe. Bedrijven en particulieren zijn erg kwetsbaar voor aanvallen van deze criminelen. Het gaat al lang niet meer alleen om virussen en malware. De lijst van kwetsbaarheden is bijna onuitputtelijk geworden. Het is de hoogste tijd dat bedrijven inzien dat aanpak en beheer van al deze facetten de inzet van specialisten vereist. Een netwerkbeheerder of systeembeheerder is prima bezig om het netwerk te beheren. Een cyber security survey vergt een andere aanpak omdat de materie gespecialiseerd is en aan verandering onderhevig. Een systeembeheerder kan dit onmogelijk erbij nemen want dit is een dagtaak geworden.

Ieder bedrijf of organisatie is interessant voor een hacker

Vaak geven bedrijven aan dat ze geen tijd en geld voor een cyber security scan hebben. Nadat de onderneming het slachtoffer werd van een cyberaanval komt spijt te laat. ZZP-ers en kleine bedrijven zijn vaak van mening dat ze niet interessant zijn voor hackers.

security scan laten uitvoeren

Cyberaanvallen bij het MKB

Grote bedrijven zijn noodgedwongen al jaren bezig met deze materie is zijn nu goed beveiligd. Hackers zoeken daarom naar een makkelijker doelwit en dat zijn de kleinere bedrijven en particulieren. Dit zijn mensen die vaak geen budget hebben voor een security scan. Zo komen ze bij ons terecht. De laatste jaren zijn het juist steeds vaker MKB bedrijven die worden getroffen door een cyberaanval. Het is voor die doelgroep dat we speciaal deze security scan hebben opgezet.

Absolute cyber veiligheid bestaat niet

Het is belangrijk om weten dat het ook na een security scan mogelijk blijft om uw IT-infrastructuur binnen te dringen. Een cyber security scan geeft nooit 100% garantie op veiligheid. Geen enkel securitybedrijf kan u die garantie geven. Cyberbeveiliging is immers een continu proces. Wanneer u vandaag een scan laat uitvoeren en uw systeem helemaal schoon bevonden wordt en vervolgens gedurende maanden geen enkele update installeert, bent u verre van veilig. Dit lijken genoeg redenen om een stevig securitybeleid op te zetten voor uw bedrijf en als referentiepunt een grondige security scan te laten uitvoeren.

Wat is een cyber security scan?

Bij het uitvoeren van een security scan kruipt onze engineer als het ware in de huid van een hacker. Hij heeft als doel om uw beveiliging te testen en zal dus alles in het werk stellen om ongezien uw ICT infrastructuur binnen te dringen. Hierbij zullen diverse technieken worden ingezet. Standaard wordt uw infrastructuur op een aantal kwetsbaarheden gecontroleerd.

Goede afspraken zijn het halve werk

Uiteraard is het laten uitvoeren van een security scan gebaseerd op wederzijds vertrouwen. Voor we aan een security scan beginnen wordt uitvoerig besproken wat de werkzaamheden precies inhouden, wat er gedaan wordt en wat absoluut niet. De focus van de werkzaamheden bepaalt u samen met het bedrijf dat de scan uitvoert. Uiteraard gebeurt alles in goed overleg. Na het bepalen van de focus heeft het bedrijf voldoende informatie om een offerte te kunnen opmaken. Na goedkeuring van deze offerte wordt de startdatum van de scan bepaald. Hoelang een scan duurt, is afhankelijk van het doel van de cyberscan en het te onderzoeken gebied binnen uw infrastructuur. Een gemiddelde cyber security scan duurt gemiddeld een aantal weken. Dit is nodig om een degelijk eindverslag te kunnen uitbrengen.

cyberaanvallen bij het mkb

Ons beroepsgeheim is heilig

Een cyber security bedrijf zal aan niemand doorgeven voor welke klanten het werkt. Een potentiële hacker zou hier namelijk voordeel uit kunnen halen, als hij te weten komt hoe een bedrijf werkt en waar ze al dan niet op controleren. Dit is gevaarlijk, want de hacker zal zich op deze kwetsbaarheden richten.

Kies voor een gereputeerd bedrijf voor uw security survey

Gereputeerde bedrijven zijn aangesloten bij beroepsverenigingen die garant kunnen staan voor de kwaliteit van het geleverde werk. Niet alle bedrijven die security scans aanbieden zijn te vertrouwen. Relatief onervaren IT-jongens kunnen met de beste bedoelingen veel dingen over het hoofd zien. Daar zit u niet op te wachten. Uw security scan is dan waardeloos.

Zijn security surveys de nieuwe hype?

Overal duiken bedrijven op die zichzelf voorstellen als een bedrijf met veel expertise op
beveiligingsgebied. Cyber security is een heel ruim begrip. Echt alles weten is schier onmogelijk. Het
allerbelangrijkste is dat u zeker kunt zijn van de eerlijke bedoelingen van de aanbieder. Een security
scan door black hat hackers schiet niet op. Het checken van referenties op dit gebied is vaak lastig
omdat bedrijven vaak geheim houden dat ze een security scan hebben laten uitvoeren.

Hoe wordt de scan uitgevoerd: onsite of remote?

In de meeste gevallen zal de scan compleet op afstand worden uitgevoerd. Dit is trouwens afhankelijk van het doel en de gemaakte afspraken. Een aantal dingen moet wel op locatie worden uitgevoerd. In geval social engineering noodzakelijk is, is het belangrijk te vermijden dat uw onderneming of bedrijf fysiek wordt bezocht. Er zal geprobeerd worden om rond te lopen en te bekijken hoever de uitvoerders van de security scan kunnen komen, voor ze door iemand worden opgemerkt als vreemd aan het bedrijf. Receptionistes zijn dan gewilde doelwitten. Zij kunnen wat vragen verwachten, puur om informatie los te krijgen. Alle informatie zoals namen, telefoonnummers, mailadressen dient u te beschermen tijdens de cyber security scan. Het is allemaal nuttige informatie in de handen van een hacker.

Zijn mijn gegevens en mijn wachtwoorden veilig?

Uw gegevens zijn bij het uitvoeren van een security scan absoluut veilig. Er wordt niets gewijzigd. Er kan eventueel worden geprobeerd of men ergens schrijfrechten heeft op het systeem, nadat men binnen is gedrongen. Het zo aangemaakte bestand wordt nadien verwijderd. De resultaten worden vastgelegd in het eindverslag. Voor het uitvoeren van een security scan heeft het beveiligingsbedrijf geen wachtwoorden nodig.

Hoe lang duurt een security scan?

Het totale tijdsbestek van een cyber security scan verschilt van situatie tot situatie. Hoe groot is het bedrijf? Wat is er afgesproken? Sommige scans duren enkele weken en andere duren enkele maanden vooraleer er een eindverslag kan worden opgemaakt.

Het eindverslag

Nadat het bedrijf onderworpen werd aan een grondige security scan wordt de vergaarde informatie verwerkt en geanalyseerd. Daarna volgt de verwerking in een rapportage. Doorgaans zal dit verslag op een low-tech niveau beschikbaar worden gesteld zonder al te veel vakjargon. In dit verslag staan de bevindingen van wat de experts tijdens de security scan hebben ontdekt. Normaal gesproken wordt er volgens een vaste methode gewerkt. U kunt ervan uitgaan dat er altijd wel iets gevonden zal worden dat beter kan. U zult vervolgens informatie krijgen over hoe deze kwetsbaarheden in uw systeem kunnen opgelost
worden. De keuze is aan u om deze onvolkomenheden door hetzelfde bedrijf te laten oplossen of door uw eigen personeel. Een particulier of ZZP-er zal eerder geneigd zijn om dit ook door het beveiligingsbedrijf te laten uitvoeren. Soms wordt er meteen al een prijs gemaakt als het beveiligingsbedrijf de beveiligingsfouten zal oplossen. De oplossing van de kwetsbaarheden behoort nooit tot de initiële opdracht. Dit is bijgevolg een bijkomende opdracht. Het verslag met de verbeterpunten is bedoeld als opbouwende kritiek waarmee aan de slag gegaan wordt. U kunt dit niet uitstellen. Het is verstandig om bij de aanbesteding van een cyber security scan hier meteen al rekening te houden. Mogelijk kunt u het bij het intake gesprek al melden dat het de bedoeling is dat kwetsbaarheden meteen worden gedicht. Alles is bespreekbaar.

security survey