Op het moment dat onbevoegden toegang (kunnen) hebben tot persoonsgegevens, is op dat moment sprake van een potentieel datalek. In veel gevallen zijn organisaties verplicht om een melding te doen bij de Autoriteit Persoonsgegevens (AP) van het incident. De AP is opgericht en aangewezen als toezichthouder op de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). Wanneer sprake is van een datalek hangt af van de omstandigheden. Zo hoeft een datalek niet te worden gemeld als het risico op rechten en vrijheden van betrokkenen beperkt zijn. Dit in tegenstelling tot het moment dat een onbevoegde toegang krijgt tot een paspoort of bankrekeningnummer van een klant. Immers, in dat geval is misbruik van de identiteit of financiële consequenties zijn dan niet uit te sluiten. Dergelijke incidenten moeten binnen 72 uur worden gemeld aan de AP.
Datalek in het fysieke domein
De meest herkenbare incidenten ontstaan bijvoorbeeld als een medewerker een onversleutelde USB-stick in de trein laat liggen. In sommige gevallen gaat het ook om een fysiek document. De datalek hoeft niet altijd door de betrokkene zelf veroorzaakt te worden. Denk hierbij aan diefstal van een tas met daarin een cliëntendossier. In beide gevallen gaat het om meldingsplichtige datalekken van fysieke aard.
Waarom een fysiek datalek gunstiger kan zijn
Het voordeel van een fysiek incident is dat een medewerker meestal weet wat voor gegevens de documenten bevatten. Het gaat immers vaak om een beperkte hoeveelheid informatie. Voorts leidt het aantreffen van het datalek voor de vinders niet direct tot toegang tot een geheel IT-netwerk. Hierdoor kunnen in dergelijke incidenten zeer gerichte maatregelen en onderzoekshandelingen worden uitgevoerd. Ter illustratie, als het bestand op een gevonden USB-stick wachtwoorden bevat, dan kunnen heel gericht de wachtwoorden van de betreffende accounts worden gewijzigd. Voorbeelden van gerichte onderszoekshandelingen zijn het natrekken van de logboeken van de betrokken accounts en het onderzoeken van afwijkende inlogacties. Zijn er afwijkende apparaten gebruikt bij inloggen? Hebben inlogacties plaatsgevonden vanaf afwijkende locaties of providers? Zijn er IP-adressen die te herleiden zijn naar afwijkende diensten, zoals gebruik van TOR of een anonieme VPN-dienst?
Waarom een fysiek datalek ook kan leiden tot een grootschalig incident
Ondanks het feit dat de schade bij een fysiek datalek vaak beperkt blijft, komt het in de praktijk ook voor dat een fysiek datalek leidt tot een groter incident. Laten we het voorbeeld van de wachtwoorden op een USB stick aanhouden. Deze wachtwoorden kunnen worden misbruikt of gedeeld worden met derden. Het misbruiken van deze gegevens kost wel extra tijd. De wachtwoorden moeten namelijk bij het juiste adres en binnen de juiste omgeving worden gebruikt en gegevens zullen eerst moeten worden gekopieerd op een device.
Ongeacht de omvang van de datalek, dient ook een fysiek datalek gemeld te worden bij de AP.
Ongeacht de omvang van de datalek, dient ook een fysiek datalek gemeld te worden bij de Autoriteit Persoonsgegevens. De intentie van de vinder kunnen we namelijk niet achterhalen en er kan niet altijd exact worden aangegeven wat er is gebeurd met de gegevens in de periode dat deze verloren zijn geraakt. Aanvullend op een melding is het daarom ook raadzaam om onderzoek uit te voeren naar wat er met de gegevens is gedaan.
Welke factoren verkleinen kans op misbruik van gegevens?
In de melding bij de AP dient ook vermeld te worden in hoeverre er sprake is van factoren die de kans op misbruik van de gelekte gegevens verkleinen.
De kans dat een onbevoegde heeft kunnen inloggen op de systemen is namelijk kleiner op het moment dat aanvullende beveiligingsmaatregelen worden gebruikt bij inloggen:
- Multifactor authenticatie (zoals een SMS met een tijdelijke code bij de eerste keer dat is ingelogd),
- Een bedrijfs-VPN (zodat enkel via de VPN gebruikt kan worden van het bedrijfsnetwerk en bijbehorende applicaties);
- Whitelisten van IP-adressen (een medewerker kan enkel vanaf toegestane IP-adressen inloggen: het IP-adres van het bedrijf zelf);
- Zogenoemde ‘MDM’: mobile device management (een medewerker moet zijn of haar apparaten van tevoren aanmelden bij beheer, voordat deze apparaten gebruikt kunnen worden in het netwerk),
- Het encrypten van persoonsgegevens.
Op het moment dat voldoende maatregelen genomen zijn en geen afwijkingen zijn waargenomen in de logboeken, is misbruik van de gegevens minder aannemelijk. Als het gaat om het verliezen van persoonsgegevens, kan de medewerker mogelijk verklaren welke gegevens dit waren. Als de identiteit van een persoon achterhaald kan worden, is het verstandig om deze te informeren en te waarschuwen voor mogelijke gevolgen.
Mocht het zo zijn dat op de (onversleutelde) USB-stick persoonsgegevens staan van meerdere personen en het niet bekend is bij wie de gegevens behoorde, zou forensisch onderzoek waardevol kunnen zijn. Immers, de gegevens zijn op enig moment naar de USB-stick gekopieerd, bijvoorbeeld vanaf een computer of een laptop. Het kopiëren van de gegevens laat meestal ook forensische sporen achter op de betrokken computer of laptop. Deze zou dan kunnen worden onderzocht om vast te stellen welke gegevens zijn gekopieerd naar de USB-stick. Mogelijk kunnen hiermee betrokken personen achterhaald worden die dan geïnformeerd kunnen worden.
Datalek bij een hack
NFIR heeft regelmatig te maken met incidenten die minder makkelijk worden opgemerkt: cybercriminelen die zich gedurende dagen, weken of zelfs jaren onopgemerkt door het netwerk navigeren. Vaak stellen wij dit vast naar aanleiding van een zeer voelbare consequentie, zoals het uitvoeren van een ransomware aanval of een e-mailaccount dat spam verstuurt. Hoe stel je vast dat dergelijke incidenten slechts beperkt zijn geweest tot die consequentie? Kan je binnen 72 uur vaststellen dat er geen sprake is van een meldingsplichtig incident?
Uitdagingen van een datalek bij een hack
Ten opzichte van een fysieke datalek is het bij een hack lastiger om vast te stellen welke gegevens zijn verdwenen. Van dit datalek zijn vaak gen visuele sporen te achterhalen. Daarom adviseert NFIR om de aard en omvang van dergelijke incidenten te onderzoeken. In de praktijk komt het namelijk geregeld voor dat gegevens in de periode voor het uitvoeren van de ransomware aanval zijn gestolen. Steeds vaker geven aanvallers in de ransomnote aan dat zij gegevens hebben weggenomen. Vaak uiten zij dan de intentie deze gegevens te publiceren als er niet betaald wordt. Uiteraard is dit een keuze van die aanvaller. Zij hebben immers de keuze gemaakt om dit te vermelden.
Het is belangrijk te beseffen dat zij er (mogelijk) in zijn geslaagd deze gegevens ongezien weg te nemen. Zolang dit niet is onderzocht, is dit niet meer dan gissen. Het kan namelijk ook een loze bedreiging zijn. Wel geeft dit een pijnpunt weer: zodra een onbevoegde zichzelf wederrechtelijk toegang heeft verschaft tot het bedrijfsnetwerk, is het niet zomaar te achterhalen wat zij precies hebben gedaan en welke gegevens dit betreft.
Bij ransomware aanvallen wordt het wegnemen van gegevens dus steeds vaker kenbaar gemaakt door de aanvallers. Maar wat als het doel van een aanvaller anders is? Is het daadwerkelijk zo dat slechts één e-mailaccount gehackt is en deze spam (of zelfs phishing e-mails) verspreidt? Wil een aanvaller inderdaad enkel systemen ontoegankelijk maken via een DDoS-aanval, of zou dit wellicht afleiding kunnen zijn? Hebben aanvallers daarvoor daadwerkelijk gebruik gemaakt van één IP-adres uit een vreemd land, of hebben zij ook bijvoorbeeld servers in Nederland aangeschaft waarmee zij andere accounts in stilte hebben aangevallen? Zou het kunnen zijn dat onbevoegden eigenlijk toegang hebben gekregen tot meerdere accounts, die zij voor andere doeleinden willen gebruiken?
Zoals je ziet, is het vrij lastig om hier antwoord op te geven zolang geen inschatting gemaakt kan worden van het doel van een aanvaller en/of de grootte en schaal van het incident. Sommige consequenties zijn zeer zichtbaar, zoals een datalek in het fysieke domein, het verspreiden van spam door een gebruiker of onbereikbare diensten door ransomware of een DDoS-aanval). Andere consequenties zijn lastiger op te merken, zoals het wegnemen van informatie uit een bedrijfsnetwerk.
Belang forensisch onderzoek
Met het uitvoeren van forensisch onderzoek kan hier vaak wel antwoorden op worden gegeven, afhankelijk van de beschikbare sporen. Tijdens het intakegesprek inventariseert NFIR zowel de waarnemingen uit de organisatie (hoe begon het incident? Waren er problemen in het netwerk voor het incident heeft plaatsgevonden?), als de beschikbare sporen in het bedrijfsnetwerk. Vanuit bijvoorbeeld logboeken uit het netwerk (zoals uit een firewall, antivirus of security monitoring) onderzoekt NFIR bijvoorbeeld welke systemen en accounts mogelijk zijn geraakt, in welke volgorde en de periode waarin de onbevoegde toegang heeft gehad tot de systemen. Met forensisch onderzoek op de geïdentificeerde servers of computers kunnen bijvoorbeeld geopende mappen en bestanden worden achterhaald.
Om daarop zo goed mogelijk antwoord te geven, vraagt NFIR om zo min mogelijk interactie uit te voeren op potentieel besmette systemen. Alle handelingen die daarop worden uitgevoerd, kunnen namelijk belangrijke forensische sporen overschrijven. Het is daarom van belang om een potentieel besmet systeem niet uit te zetten, maar van het netwerk af te koppelen. Ook als het vermoeden bestaat dat op dat moment een encryptieproces actief is. Het onderbreken van een encryptieproces kan er namelijk ook voor zorgen dat gegevens niet meer gedecrypt kunnen worden, zelfs als de organisatie besluit te betalen.
Beveiligingsincident? Maak kennis met Incident Response
Op het moment dat onbevoegden toegang (kunnen) hebben tot persoonsgegevens, is op dat moment sprake van een potentieel datalek. In veel gevallen zijn organisaties verplicht om een melding te doen bij de Autoriteit Persoonsgegevens (AP) van het incident. De AP is opgericht en aangewezen als toezichthouder op de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).
Ga uit van een meldingsplicht om incidenten binnen 72 uur te melden aan de Autoriteit Persoonsgegevens (AP).
Stappen die u bij een datalek moet nemen zijn:
- Zorg voor overzicht op de situatie. NFIR biedt hierbij ondersteuning.
- Neem onmiddellijk maatregelen om de schade van het datalek te beperken. En schat de risico's in.
- Bepaal of u het datalek wel of niet moet melden aan de Autoriteit Persoonsgegevens (AP). Zo ja, doe dit onmiddellijk.
- Bepaal of u het datalek wel of niet moet melden aan de betrokken personen. Zo ja, doe dit zo snel mogelijk.
- Registreer het datalek in uw datalekregister.
- Naar het volledige AP-stappenplan ‘Kom in actie bij een datalek’
- Naar de privacy-video: 'Wat moet ik doen bij een datalek?'
Wordt u geconfronteerd met onverwachte gebeurtenissen in uw IT omgeving, zoals het blokkeren van werkplekken, inbreuk op de beveiliging, geen toegang meer tot uw data, een mogelijk datalek of een cybersecurity aanval? Op uw verzoek komt NFIR direct in actie met een incident response team.
Ransomware is in opkomst, dat zal niemand meer ontkennen. Waar vroeger het doel was om toegang te krijgen tot bankrekeningen, laten aanvallers zich nu uitbetalen om bestanden van slachtoffers te ontsleutelen.
lees verder: Hoe kan uw organisatie zich voorbereiden op een cyberincident?
Het aantal ransomware-aanvallen in Nederland is groot en neemt zelfs toe. In een recent onderzoek gaf bijna driekwart van de ondervraagde Nederlandse bedrijven aan in 2021 door een ransomware aanval zijn getroffen. Slechts iets meer dan een derde gaf aan dat zij een cybersecurity strategie hadden klaarliggen. Dat terwijl de impact van een aanval met ransomware op uw bedrijf of organisatie enorm is. Uw bedrijfsvoering wordt ernstig gehinderd of zelfs onmogelijk gemaakt. Bedrijfsgeheimen (kunnen) worden doorverkocht en data wordt gelekt. Uw externe partners vertrouwen uw organisatie niet meer en nemen een afwachtende houding aan. En denkt u maar niet ‘dat gebeurt ons niet’, want het kan iedereen overkomen. Van grote bedrijven en organisaties tot mkb-ondernemingen met 20 mensen in dienst.
Lees verder: Wat voor impact heeft een ransomware-aanval op mijn organisatie?
