In ons vorige artikel hebben we het gehad over nieuwe Europese regelgeving en de impact die dit gaat hebben op het bedrijfsleven. Mede vanwege de media aandacht voor het grote datalek van onderzoeksbedrijf Blauw willen we hier verder op inzoomen.
Het datalek bij Softwareleverancier Nebu, waarvan onderzoeksbedrijf Blauw gebruik maakt, wordt potentieel het grootste datalek ooit in Nederland. Grote bedrijven zoals NS, Vodafone, Ziggo, CZ, Vrienden van Amstel Live, ArboNed en Trevvel gemeenten waaronder Den Haag, Leiden, Leiderdorp, Oegstgeest en Woerden zijn hierdoor getroffen. Dit is een goed voorbeeld waarbij een leverancier van een leverancier (2ndtier) zorgt voor landelijk nieuws. De lijst met slachtoffers is lang en lijkt elke week langer te worden.
Alhoewel op moment van schrijven nog niet duidelijk is hoe en waar het lek precies ontstaan is, is al wel duidelijk dat de schade omvangrijk is. Blauw heeft een kortgeding tegen Nebu aangespannen, nadat criminelen toegang tot systemen wisten te krijgen. Daarbij zijn mogelijk ook gegevens van klanten van Blauw en andere marktonderzoeksbedrijven gestolen.
Het IT-incident bij Blauw werd veroorzaakt door een ransomware-aanval. Hackers konden het netwerk van het bedrijf binnendringen en controle overnemen van de systemen door middel van een phishingaanval. Dit betekende dat de hackers toegang kregen tot gevoelige bedrijfs- en klantgegevens, en deze vervolgens versleutelden en losgeld vroegen voor de ontcijfering ervan.
Wat kunnen we leren van dit incident?
Cybersecurity is misschien het makkelijkst te structureren vanuit de 3 peilers:
- Preventie
- Detectie
- Reactie
Preventie
Op basis van analyse van Techzine was de cybersecurity score van Nebu al langere tijd onder de maat: “Een van de problemen bij Nebu op het gebied van netwerksecurity is dat het UpNP-protocol toegankelijk was. Dat heeft SecurityScorecard op 10 maart vastgesteld. Een dergelijke kwetsbaarheid kan en mag simpelweg niet voorkomen. Dit zet de deur voor hackers namelijk behoorlijk wijd open. Of dit ook de manier is geweest waarop ze bij Blauw binnen zijn gekomen, kunnen we op dit moment niet zeggen. Het geeft echter wel aan dat er zaken niet op orde waren bij Nebu.”
Een hack is niet te voorkomen, maar door de basis maatregelen op orde te hebben wordt een bedrijf al snel genegeerd door kwaadwillenden. Het is immers een stuk makkelijker om een bedrijf te pakken waarbij het zolderraam al op een kier staat.
Detectie
Het is niet bekend hoe Blauw / NEBU erachter is gekomen dat ze een datalek hadden, aangezien het bedrijf niet veel details heeft vrijgegeven over de specifieke omstandigheden van het incident.
Over het algemeen zijn er verschillende manieren waarop een bedrijf een datalek kan ontdekken.
Een manier is via klachten van klanten of derde partijen over ongebruikelijke activiteiten in hun accounts of ongeautoriseerde toegang tot hun gegevens. Voor dit laatste zijn er ook geautomatiseerde oplossingen waarbij met behulp van software continu wordt gezocht naar afwijkende patronen.
Bijvoorbeeld, iemand begint zijn mails altijd met ‘Hi’ of ‘Hoi’. Wanneer er dan ineens mails worden gestuurd met ‘geachte’ dan zijn er intilligente programma’s die dit detecteren als verdacht en een notificatie sturen.
Het is in dit geval ook mogelijk dat Blauw / NEBU erachter is gekomen dat ze een datalek hadden doordat de hackers contact met hen opnamen en losgeld vroegen voor de ontcijfering van de versleutelde gegevens. In dit geval zou het bedrijf snel hebben gereageerd door het incident bij de autoriteiten te melden en een IT-beveiligingsdeskundige in te schakelen om de systemen te herstellen.
Reactie
Als laatste onderstreept het incident de noodzaak van risicobeheer en noodplanning. Het is belangrijk voor bedrijven om een plan te hebben voor het geval er zich een cyberaanval voordoet, inclusief een duidelijk protocol voor het melden van incidenten en het herstellen van systemen en gegevens. Net als bij een brand is de stress hoog en kan de schade enorm beperkt worden met een goed noodplan. Denk bijvoorbeeld aan het uitschakelen van getroffen accounts, IP blocks, netwerk in quarantaine.
Dit datalek toont aan op welke schaal een lek gevolgen kan hebben. Het is daarom belangrijk dat bedrijven mensen om wie het gaat snel informeren over het lek, als ze dat nog niet hebben gedaan”, zo vertelde een woordvoerder van de toezichthouder over het incident.
ISO 27001
Je zou kunnen zeggen dat Blauw bij dit enorme datalek niet helemaal vrijuit gaat. Als uiteindelijke aanbieder van je diensten ben je immers verantwoordelijk voor het eindproduct. Dat houdt ook in dat je ervoor moet zorgen dat je eigen (software) supply chain op orde is. Met andere woorden, Blauw moet ook bij Nebu nagaan of het zich houdt aan de eisen rondom security hygiëne.
Een van de manieren waarop bedrijven dit doen is door alleen te werken met partijen die de juiste certificeringen hebben. ISO 27001 is hiervan een van de bekendste. Nebu heeft/had deze certificering wel.
1Key kan bij alle drie de fases preventie, detectie als reactie adviseren welke beveiliging het beste past. Voor vrijblijvend advies, neem gerust contact op.
Klik hier om te kijken welke preventiemaatregelen er zijn!
