Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Ransomware-pandemie schreeuwt om sterk databeleid

Dit artikel delen:

Computable Expert

Dave Maasland
CEO, ESET Nederland. Expert van Computable voor het topic Security.

'All your files have been encrypted.' Veroorzaakte deze melding enkele jaren geleden nog grote verwarring, ongeloof en blinde paniek, nu roept het vooral een gevoel van onmacht op. 'Wij zijn ook geraakt.'

Een ransomware-aanval wordt zo langzamerhand genormaliseerd, het is een digitaal verkeersongeluk geworden.

Iedereen die in de auto stapt, weet dat een ongeluk tot de mogelijkheden behoort, maar blijft toch rijden. We hebben immers gordels, airbags en rijhulpsystemen die ons beschermen? Ook in het bedrijfsleven komen er meer en meer veiligheidsmaatregelen beschikbaar en neemt de aandacht ervoor toe. Zo zijn bijvoorbeeld backups geregeld. Dat is de oplossing voor een ransomware-aanval, toch?

Maar wat als je de volgende boodschap leest: 'All your files have just been stolen', wat doe je dan? Welke gegevens liggen er precies op straat en weten we überhaupt welke gegevens we hadden? Zitten daar geheimen bij? Schadelijke documenten? Vaak is het lekken van data een drukmiddel van ransomware-criminelen en dit wordt alleen maar erger. Denk aan de recente situaties bij ROC Mondriaan en de Hogeschool van Arnhem en Nijmegen (HAN). Een backup-beleid is in de huidige situatie niet meer afdoende, er moet meer gebeuren.

Wapenen

"De vraag 'hoe erg is het als dit uitlekt?' stellen bij de data die je opslaat, is voor elke type data verstandig"

Wat als… Waarschijnlijk heb je al weleens over nagedacht hoe je jouw organisatie kunt wapenen tegen deze vormen van cybercriminaliteit. Maar heb je met jouw organisatie al eens gekeken naar het worstcasescenario? Wat als werkelijk álle data die je als bedrijf ooit opgeslagen hebt ineens op straat ligt? Wat baart jou dan het meeste zorgen? Wat doe je? En ben je je bewust van welke data je als organisatie überhaupt opslaat en voor hoelang?

De vraag 'hoe erg is het als dit uitlekt?' stellen bij de data die je opslaat, is voor elke type data verstandig, ook wanneer je bepaalde e-mails of interne memo’s schrijft. Alles dat je digitaal opslaat, moet je goed beveiligen. Maar een garantie op honderd procent veiligheid heb je nooit, al helemaal niet wanneer deze data ook verspreid worden of voor velen in het bedrijf beschikbaar zijn. Aanvallen en datalekken, zoals bij het ROC Mondriaan en de HAN, zouden daarom onze ogen moeten openen. We moeten anders omgaan met data.

Heroverwegen

Ransomware laat zien dat we de manier waarop we omgaan met data moeten veranderen en dat bedrijven de datastrategie moeten heroverwegen. Binnen de it-wereld zien wij nog te vaak dat veel data onnodig lang worden bewaard.

Eén van de punten waar je als organisatie zeker naar moet kijken, is dan ook hoelang je data wilt bewaren en hoe je goed om kunt gaan met het bewaren van deze data. Duik eens in je huidige beleid, en stel de volgende vragen.

Moet je alle data die je tegenkomt wel opslaan? Of zijn er gegevens die je net zo goed meteen kunt verwijderen? Mocht je de data op moeten slaan, hoelang heb je het dan nodig? Zijn er gegevens die je wettelijk gezien niet eens op mag slaan, of niet langer dan een bepaalde termijn mag bewaren?

Vervolgens is de vraag: wie mag er allemaal bij? Maar vooral ook, wat doen we als deze data op straat komt te liggen? En tot slot: wat is onze manier van communiceren, zowel in- als extern, en hoe erg is het als dat uitlekt?

Ooit lekken jouw data uit. Naast alle preventieve maatregelen die belangrijk zijn, kan het op papier hebben van je databeleid helpen ten tijde van crisis. Niemand wil immers in deze situatie belanden.

De huidige hoeveelheid aanvallen maakt het heroverwegen van het interne databeleid dan ook zeker de moeite waard. Niet alleen voor de medewerkers en de it-afdeling, maar juist ook voor het hogere management dat moet beseffen dat alle informatie die je te lang bewaart een extra risico geven op imagoschade, boetes of ernstige nadelige gevolgen voor jouw klanten omdat hun data is gelekt aan kwaadwillenden. Maar ook dat uitgelekte data zoals interne communicatie, camerabeelden en documenten je gehele organisatie en de bedrijfscultuur bloot kunnen leggen. Want ook al gebruik je encryptie, je moet aannemen dat de data van jouw organisatie ooit een keer uit gaan lekken.

Kritisch

"Het juiste doen, ook als niemand kijkt, is één van de belangrijkste leiderschapsprincipes"

De huidige tijd eist om kritisch te kijken naar hoe data worden geproduceerd, hoe die worden opgeslagen, en waarom die bewaard zou moeten blijven.

Het juiste doen, ook als niemand kijkt. Dat is één van de belangrijkste leiderschapsprincipes. De huidige realiteit zal organisaties laten beseffen dat integer zaken doen een randvoorwaarde is voor de moderne tijd. De recente “Pandora Papers” zijn hier een goed voorbeeld van. Transparantie is niet altijd een keuze meer, ga er vanuit dat je data ooit op straat komt te liggen, en handel daar ook naar.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-10-25T16:22:00.000Z Dave Maasland
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.