Organisaties zien hun webserver niet als kritisch onderdeel van het bedrijf en riskeren een boete
Of je nu een hightech company hebt, of een accountantskantoor in Groningen, elke onderneming loopt risico op het veroorzaken van een datalek. Het is namelijk zo gebeurd: je stuurt per ongeluk een bestand met uitgebreide klantengegevens naar een verkeerde ontvanger en zie daar: een lek. En dat is pijnlijk, voor zowel de betrokkenen als verantwoordelijke partij. Niemand wil dat de persoonlijke gegevens van zijn klanten of relaties op straat liggen. Toch lijkt het aantal datalekken de afgelopen jaren alleen maar toe te nemen. De impact van een datalek op de organisatie kan flink zijn. Volgens het jaarlijkse rapport ‘Cost of data breach’ van het Ponemon Institute bedragen de totale kosten van datalekken in 2018 wereldwijd 3,86 miljard US dollar (3,4 miljard euro). En dan zijn de kosten door imagoschade nog niet eens meegenomen.
Voorzichtigheid
Om personen te beschermen tegen misbruik van hun privégegevens, heeft de overheid vorig jaar de Algemene verordening gegevensbescherming (AVG) in het leven geroepen. Organisaties doen zo goed mogelijk hun best te voldoen aan deze wet, en gebruiken hiervoor technieken om data veilig te bewaren en slechts toegankelijk te maken voor bevoegden. Want anders kan er een boete volgen. Er wordt dus voorzichtiger met informatie omgegaan dan enkele jaren terug. Maar soms doe je alles goed, en gaat het toch mis.
Bedrijven en instellingen gebruiken firewalls, identity & access management-oplossingen en endpoint security toepassingen om hun IT-omgeving én alle data die hierin bewaard wordt, zo veilig mogelijk te houden. So far so good. Wat wel eens vergeten wordt, is dat de website, ook al wordt deze door een externe partij op een aparte server gehost, ook onderdeel is van het bedrijf. En deze kan dus ook voor datalekken zorgen. Want de webserver of het hostingbedrijf kan gehackt zijn zonder dat de alarmbellen afgaan. Amerikaanse bedrijven komen er gemiddeld pas na 206 dagen achter dat ze te maken hebben met een hack. Wat betekent dat in de praktijk?
Informatie-misbruik
Uitzendorganisaties, detacheringsbedrijven of bijvoorbeeld schadeverzekeraars vragen klanten regelmatig gegevens via de site te uploaden. Dat kan gaan om schadefoto’s, maar ook om CV’s, kentekens, adressen, rekeningnummers en geboortedata. Allemaal informatie die je niet publiekelijk wilt maken. Als de server gehackt is, kan de cybercrimineel makkelijk meekijken als er weer een upload plaatsvindt, en de informatie misbruiken. Dat is een zeer reëel gevaar. Organisaties die hun webserver niet als kritisch onderdeel van het bedrijf zien, riskeren vervolgens niet alleen een datalek en imagoschade, maar ook een flinke boete.
Natuurlijk is dit allemaal te voorkomen. De belangrijkste regel is dat informatiestromen altijd beveiligd moeten zijn. Vraag klanten niet om informatie te uploaden via de website of deze te mailen, want dit is zeer onveilig. Zorg voor een beveiligde omgeving waarin gegevens met encryptie verstuurd worden. Dit kan met FileCap, een secure e-mail en file-transfer-oplossing die zeer geschikt is voor bedrijven die regelmatig gevoelige informatie toegestuurd krijgen. Een handige optie van FileCap is om een ‘blijvende link’ te maken, die beschikbaar is voor klanten en relaties.
FileCap
Deze link is lange tijd te gebruiken, zodat deze ook geplaatst kan worden op een website. Via deze link komen gebruikers in de veilige FileCap omgeving. Hier wordt de informatie geüpload en met encryptie verstuurd naar de ontvanger. Zo krijgen hackers geen kans, en hoeven bedrijven niet te vrezen voor een flinke boete. En het allerbelangrijkste: zo weet je zeker dat de gegevens van je gewaardeerde klanten niet al 206 dagen misbruikt worden.
Thomas Calf, account manager Contec
