Datalekken GGD en U-Diagnostics

Gepubliceerd op 26 januari 2021 om 16:52

Nederland reageert geschokt op de recente datalekken bij U-Diagnostics en de GGD. Het eerste serieuze datalek kwam aan het licht bij U-Diagnostics, een bedrijf dat contracten afsluit met bedrijven als Ahold, Corendon, TUI en het ministerie van Defensie voor het uitvoeren van Corona-testen. In een WhatsApp-groep werd door 300 medewerk(st)ers vertrouwelijke (medische) informatie uitgewisseld over testonderzoeken, laboratoriumresultaten en mensen die onderzocht zijn. Ook werden er inlog-codes rondgestuurd. Hierdoor kregen journalisten uiteindelijk ook toegang tot de database van het bedrijf. De persoonsgegevens uit die database worden in het duistere deel van het Internet verhandeld en gebruikt voor verdere criminele activiteiten zoals het sturen van zéér persoonlijk gerichte phishing e-mails. E-mails met een onderwerp dat gerelateerd is aan corona of een corona-test!

 

Slechts een paar dagen later kwam er een ander privacy-schandaal aan het licht. Dit ging over de illegale handel met gegevens uit de twee databases van de GGD. De eerste database (CoronIT) bevat de gegevens over alle mensen die een coronatest hebben ondergaan. De tweede database (HPzone Light) is het systeem wat wordt gebruikt voor het bron- en contactonderzoek van de GGD. De gegevens waren zéér eenvoudig te stelen en het blijkt dat er al maandenlang een handel bestond met deze gegevens. En let wel: het gaat in beide gevallen dus over (medische) gegevens van mensen zoals u en ik inclusief de Burgerservicenummers (BSN).

 

Uiteraard werd er vanuit de samenleving "stevig" gereageerd op deze datalekken. Wij willen immers dat onze vertrouwelijke persoonsgegevens goed worden beschermd en niet worden gebruikt voor andere doelen, nietwaar? De Autoriteit Persoonsgegevens is ingelicht en eist nu opheldering. Diverse security- en privacy experts hebben via de media hun visie gegeven. Er werd aandacht aan besteed in diverse actualiteitenprogramma's, het NOS-journaal en RTL-Nieuws.

 

Onacceptabel

De overgrote meerderheid zal het met mij eens zijn dat het onacceptabel is als onze persoonlijke gegevens te grabbel komen te liggen en door criminelen worden misbruikt. Onze privacy wordt geschonden en met deze “business” wordt grof geld verdiend door de criminelen. Bij de illegale handel van informatie uit bovenstaande datalekken wordt volgens RTL-nieuws tussen de 30 en 50 Euro betaald voor een naam, adres, telefoonnummer, e-mail en BSN van een persoon. Er worden ook bestanden aangeboden waarin de gegevens staan van vele tienduizenden mensen. De gegevens worden gebruikt voor zéér persoonlijke phishing e-mails die gerelateerd zijn aan de uitslag van een corona-test. Een phishing e-mail waarin je naam, je BSN en de uitslag van je corona test staat ziet er dan wel heel echt uit. Een klik op een valse link is dan heel dichtbij.

 

Collectieve verbazing?

Het lijkt wel of er naar aanleiding van deze datalekken ineens een collectieve verbazing is ontstaan over het bestaan van dergelijke datalekken en de bijbehorende handel in persoonsgegevens. Security- en Privacy-specialisten (waaronder ikzelf) zijn al jarenlang druk in de weer om alles en iedereen bewust te maken van de risico’s waaraan je tegenwoordig blootstaat en het nut van een goed security- en privacy-beleid voor iedere organisatie, groot of klein en ongeacht de branche.   

 

Het bijzondere is dat bovengenoemde datalekken volop in het nieuws komen. Ze spreken tot ieders verbeelding en het is in verband met een onderwerp (corona-pandemie) waar veel emotie aan kleeft. Maar realiseert u zich wel dat er al jarenlang in het bedrijfsleven héél veel datalekken voorkomen waarbij persoonlijke informatie over u en ik  “op straat” terecht komt en waarover we helemaal niets lezen in de media?

  

U kent ze vast ook wel …

Er zijn nog steeds veel bedrijven die ICT als een kostenpost zien in plaats van een strategisch onderdeel van de bedrijfsprocessen. Security is in dergelijke bedrijven dan de sluitpost van die kostenpost. En dan maar te zwijgen over de implementatie van de AVG die bij veel bedrijven nog steeds niet op orde is. Feit is wel dat ook de klanten en relaties van die bedrijven eisen dat hun persoonsgegevens goed worden beschermd en dat hun persoonsgegevens niet worden gebruikt voor andere doelen.    

 

U kent ze vast wel, die bedrijven waar:

  • Geen security- en privacy-beleid op papier staat
  • Geen inzicht is over welke hardware- en software er precies wordt gebruikt
  • Geen update-procedure bestaat voor hard- en software
  • Geen goede back-up procedures bestaan
  • De AVG nog steeds niet is geïmplementeerd, géén AVG-administratie aanwezig is
  • Geen afspraken bestaan over waar bedrijfsinformatie opgeslagen kan/mag worden
  • Medewerk(st)ers onbeperkt gegevens op bijvoorbeeld een USB-stick kunnen kopiëren
  • Medewerk(st)ers gebruik maken van zwakke wachtwoorden die onderling worden gedeeld (het liefst met gele Post-It plakkers) en die nooit veranderd worden
  • Medewerk(st)ers dezelfde wachtwoorden gebruiken voor meerdere accounts
  • Medewerk(st)ers geen 2-staps verificatie gebruiken omdat ze dat “gedoe” vinden
  • Medewerk(st)ers niet bewust worden gemaakt (en gehouden!) over risico’s zoals phishing en de diverse soorten van internet-fraude
  • Geen inzicht is over de gevoeligheid van de organisatie voor Phishing
  • Nooit een penetratie-test is uitgevoerd om de beveiliging van het netwerk te testen
  • Geen “clean-desk” policy bestaat waardoor vertrouwelijke informatie “te grabbel” ligt op de werkplekken van medewerk(st)ers
  • Iedereen zomaar het kantoor in- en uit kan lopen zonder te worden tegengehouden
  • etc.

 

Bedrijven zoals hierboven beschreven lopen tegenwoordig een serieus risico dat (cyber)criminelen op een gegeven moment toegang krijgen tot het bedrijfsnetwerk. Vertrouwelijke informatie wordt dan gestolen of onbruikbaar gemaakt met ransomware. Onderschat dit risico niet, er zijn talloze voorbeelden van dergelijke situaties.

En dan zijn de rapen gaar. Operationele schade (productie ligt stil, bedrijf niet bereikbaar) en financiële schade (er moet een losgeld worden betaald, herstelkosten van de servers en het netwerk) zijn het gevolg en dan hebben we het nog niet eens over de schade die wordt aangericht aan de reputatie en het vertrouwen van de klanten en relaties.

 

Mijn advies aan iedere organisatie is daarom om een goede evaluatie te doen. Heeft u alles met betrekking tot security en privacy in orde? Laat eens een “second Opinion” onderzoek uitvoeren, waarna u een rapportage krijgt van kwetsbaarheden en een advies voor verbeteringen. Het zal u veel ellende besparen. Zorg ervoor dat u adequate maatregelen hebt genomen op de drie belangrijke “pijlers” voor het verlagen van cyber-risico’s:  Mens, Proces en Techniek.

 

En een laatste tip:

Wees de komende tijd extra alert op (phishing) e-mails met een onderwerp dat gerelateerd is aan corona of een corona-test!

 

Met vragen  over het vergroten  van de awareness op het gebied van security en privacy is iedereen welkom.

Ik ben te bereiken via mail: info@kochconsultancy.nl of via telefoon: 06-53233269 

 

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.