definitie en soorten datalekken
Een datalek, of datalek, is een beveiligingsgebeurtenis waarbij beschermde gegevens worden ingezien door of onthuld aan onbevoegden. Een datalek is iets anders dan gegevensverlies, waarbij gegevens niet meer toegankelijk zijn als gevolg van een hardwarestoring, verwijdering of een andere oorzaak. Beschermde gegevens kunnen informatie over individuele klanten of werknemers omvatten, zoals persoonlijk identificeerbare informatie (PII), persoonlijke gezondheidsinformatie, betaalkaartinformatie en socialezekerheidsnummers. Het kan ook gaan om bedrijfsinformatie of intellectueel eigendom (IE), zoals handelsgeheimen, details over productieprocessen, gegevens over leveranciers en klanten, informatie over fusies en overnames, of gegevens over rechtszaken of andere geschillen.
Gegevensinbreuken zijn niet altijd opzettelijk. Gebruikers kunnen per ongeluk beschermde gegevens naar het verkeerde e-mailadres sturen of ze uploaden naar de verkeerde share; in feite zijn fouten goed voor 17% van de inbreuken, volgens het bekende Verizon’s 2018 Data Breach Investigation Report. Maar uit het rapport bleek dat de meeste inbreuken opzettelijk en financieel gemotiveerd zijn. Hoewel verschillende methoden worden gebruikt om toegang te krijgen tot gevoelige gegevens, zijn bij 28% van de inbreuken insiders betrokken, aldus het Verizon-rapport. Organisaties in elke bedrijfstak zijn een potentieel doelwit.
Verschillende bronnen definiëren verschillende soorten datalekken. Hier groepeer ik ze op basis van de hoofdoorzaak:
- Cyberaanvallen – Hackers gebruiken malware, phishing, social engineering, skimming en aanverwante technieken om toegang te krijgen tot beschermde informatie.
- Diefstal of verlies van apparaten – Laptops, smartphones, thumb drives en andere media voor gegevensopslag kunnen verloren gaan, gestolen worden of op onjuiste wijze worden weggegooid. Als deze beschermde informatie bevatten en deze in verkeerde handen terechtkomt, is er sprake van een datalek.
- Gegevensdiefstal door werknemers of datalekken – Werknemers, vooral degenen die binnenkort vertrekken, kunnen zich met kwade bedoelingen opzettelijk zonder toestemming toegang verschaffen tot beschermde informatie.
- Menselijke fouten. Fouten gebeuren, en mensen zijn nalatig. Werknemers sturen per ongeluk beschermde gegevens naar de verkeerde persoon, uploaden ze naar publieke shares of configureren servers waar ze zijn opgeslagen verkeerd.
Lessen geleerd uit de drie van ’s werelds grootste datalekken
Wie: Yahoo
Wanneer het gebeurde: Serie inbraken in 2013 en 2014
Wanneer het bekend werd gemaakt: 2016
De omvang van de inbreuk: In 2016 schatte Yahoo dat er mogelijk meer dan 1 miljard gebruikersaccounts waren gecompromitteerd bij de inbreuk in 2014. Later, in 2017, gaf het toe dat alle 3 miljard van zijn gebruikersaccounts waren gehackt.
Details: Bij de inbreuken zijn gegevens van gebruikersaccounts gestolen, zoals e-mailadressen, telefoonnummers, gehashte wachtwoorden, geboortedata en, in sommige gevallen, antwoorden op beveiligingsvragen. Gelukkig werden geen betalingsgegevens, zoals creditcardnummers of bankrekeninggegevens, gestolen. De eerste inbreuk die in 2016 publiekelijk bekend werd gemaakt, gebeurde in 2014 en trof ongeveer 500 miljoen gebruikers. Een paar maanden later maakte Yahoo een andere inbreuk bekend, die plaatsvond in 2013, en zei dat het meer dan 1 miljard gebruikersaccounts had getroffen. Het kostte hen bijna een jaar om te onderzoeken en aan te kondigen dat alle 3 miljard van haar gebruikersaccounts waarschijnlijk waren getroffen in de inbreuk van 2013.
Implicaties: In 2016, toen de eerste twee aankondigingen van inbreuken de krantenkoppen haalden, zat Yahoo midden in de onderhandelingen over een koopdeal met Verizon. Als gevolg van deze ontdekking verlaagde Verizon hun bod op de activa van Yahoo met 350 miljoen dollar. Daarnaast werd het bedrijf getroffen door zo’n 43 class action rechtszaken.
Lessen die zijn geleerd: Uit het onderzoek naar de inbreuk van 2014 bleek dat Yahoo’s beveiligingsteam en hogere leidinggevenden meteen wisten dat sommige gebruikersaccounts waren gehackt, en ze namen wel enkele corrigerende maatregelen, waaronder contact opnemen met de gebruikers van wie gedacht werd dat hun accounts waren getroffen. Zij verzuimden echter verder onderzoek te doen om de zaak volledig te begrijpen. Als Yahoo de inbraak van 2014 goed en snel had onderzocht, waren ze misschien eerder op de hoogte geweest van de inbraak van 2013, mogelijk voordat de gebruikersgegevens op de zwarte markt te koop waren. De belangrijkste les hier is om geen concessies te doen aan onderzoek, zelfs als een incident klein lijkt te zijn. Onderzoek grondig om volledig te begrijpen wat er is gebeurd, hoe het is gebeurd en welke gegevens zijn aangetast, zodat je de negatieve effecten kunt minimaliseren en soortgelijke incidenten in de toekomst kunt voorkomen.
Wie: Equifax
Wanneer het is gebeurd: Medio mei 2017
Wanneer het bekend werd gemaakt: September 2017
De omvang van de inbreuk: 147,9 miljoen Amerikaanse consumenten
Details: Hackers kregen toegang tot bepaalde bestanden met sofinummers, geboortedata, adressen, rijbewijsnummers en andere persoonlijke informatie. 209.000 consumenten kregen bij de aanval ook te maken met hun creditcardgegevens. In een onderzoek van het Amerikaanse General Accounting Office werd de inbreuk toegeschreven aan het feit dat het bedrijf er niet in was geslaagd om algemeen bekende beste beveiligingspraktijken toe te passen en aan een gebrek aan interne controles en routinematige veiligheidsbeoordelingen; de aanval maakte met name gebruik van een softwarekwetsbaarheid op een enkele webserver op het internet, die Equifax niet had gepatcht.
Implicaties: De inbreuk tastte de aandelenkoers van het bedrijf aan en de CEO, CIO en CSO van Equifax namen kort na de bekendmaking van de inbreuk ontslag. Het lek heeft er ook toe bijgedragen dat sommige staten, waaronder Californië, strengere regels voor gegevensbescherming hebben aangenomen.
Lessen die zijn geleerd: Om te voorkomen dat uw bedrijf iets soortgelijks overkomt, mag u deze basisprincipes van beveiliging nooit vergeten:
- Ken je activa en voer regelmatig een inventarisatie uit.
- Werk software regelmatig bij en patch deze.
- Classificeer uw gegevens en beveilig ze op basis van hun gevoeligheid.
- Archiveer of verwijder overbodige gegevens tijdig.
Wie: Uber
Wanneer het gebeurde: 2016
Wanneer het bekend werd gemaakt: 2017
De omvang van een inbreuk: De persoonlijke gegevens van 57 miljoen Uber-gebruikers en 600.000 chauffeurs
Details: Eind 2016 kwam Uber erachter dat hackers de namen, het e-mailadres en de mobiele telefoonnummers van 57 miljoen gebruikers van de Uber-app hadden bemachtigd, evenals de rijbewijsnummers van 600.000 Uber-chauffeurs. Hackers wisten toegang te krijgen tot het GitHub-account van Uber, waar ze de inloggegevens van het Amazon Web Services (AWS)-account van Uber vonden. Uber kwam in 2016 achter de inbreuk toen hackers geld eisten om hun kopie van de gegevens te verwijderen; Uber ging uiteindelijk een jaar later met de inbreuk naar buiten.
Consequenties: De inbreuk zou Uber duur hebben gekost in zowel reputatie als geld. Toen het lek bekend werd gemaakt, bedroeg de waardering van Uber 68 miljard dollar en was het bedrijf in onderhandeling over de verkoop van een belang aan Softbank. Tegen de tijd dat de deal in december werd gesloten, was de waardering gedaald tot 48 miljard dollar. Niet de gehele daling is toe te schrijven aan de inbraak, maar analisten beschouwen het als een belangrijke factor. De CEO en de directeur beveiliging en rechtshandhaving van Uber werden beiden ontslagen en ook de CSO werd gedwongen op te stappen. De schikking bedroeg in totaal 148 miljoen dollar.
Lessen geleerd: Als u cloud repositories gebruikt, zorg dan voor het volgende om het risico op een soortgelijk incident te minimaliseren:
- Weet welke informatie u opslaat in publieke repositories, en sla daar geen onnodige gegevens op.
- Configureer uw cloud repositories op de juiste manier.
- Zorg voor sterke beveiligingscontroles op uw cloud repositories.
Werelds grootste datalekken in een notendop:
Bedrijfsnaam | Wat is er gebeurd | Omvang van de inbreuk | Lessen die zijn geleerd | |
---|---|---|---|---|
Yahoo | Yahoo heeft nagelaten grondig onderzoek te doen om de inbreuk van 2014 volledig te begrijpen. Als gevolg daarvan ontdekten ze pas in 2016 de ware omvang van deze inbreuk. | 3 miljard accounts | Maak er een prioriteit van om grondig onderzoek te doen als je ook maar een hint van een incident hebt. | |
Hackers maakten misbruik van ongepatchte software op een enkele webserver die op internet is gericht. | 147,9 miljoen accounts | – Ken uw bedrijfsmiddelen en maak regelmatig een inventarisatie van uw bedrijfsmiddelen. – Update en patch software regelmatig. – Classificeer gegevens en beveilig ze op basis van hun gevoeligheid. – Archiveer of verwijder overbodige gegevens op tijd. |
||
Uber | Hackers wisten toegang te krijgen tot het GitHub-account van Uber, waar ze de inloggegevens van het Amazon Web Services (AWS)-account van Uber vonden. | 57 miljoen Uber-gebruikers en 600.000 chauffeurs | – Weet welke informatie je opslaat in openbare opslagplaatsen, en sla daar geen onnodige gegevens op. – Configureer je cloudopslagplaatsen op de juiste manier. – Zorg voor sterke beveiligingscontroles op je cloudopslagplaatsen. |
Consequenties van datalekken
De gevolgen van een datalek zijn vaak ernstig en kunnen langdurige gevolgen hebben op vier belangrijke gebieden:
- Financieel. Bedrijven worden meestal geconfronteerd met aanzienlijke financiële verliezen, waaronder boetes van regelgevende instanties en schikkingsbetalingen. Ze zien vaak ook hun waardering dalen, zoals in het geval van Yahoo en Uber. En ze kunnen toekomstige inkomsten mislopen, vooral als er inbreuk is gemaakt op intellectueel eigendom, omdat dit vaak leidt tot het verlies van concurrentievoordeel en marktaandeel.
- Juridisch. Wanneer bij een inbreuk persoonlijke informatie is betrokken, krijgen bedrijven waarschijnlijk te maken met class action-rechtszaken. In sommige gevallen kunnen de autoriteiten bedrijven verbieden bepaalde activiteiten uit te voeren, zoals Heartland in januari 2009 overkwam, toen het werd geacht niet aan PCI DSS te voldoen en tot mei 2009 geen betalingen met grote creditcardaanbieders mocht verwerken.
- Reputatie. Het kan moeilijk zijn om in te schatten hoeveel schade een inbreuk toebrengt aan de reputatie van een bedrijf, maar de schade is vaak van lange duur. Bovendien kunnen individuele leidinggevenden worden ontslagen of gedwongen ontslag te nemen om de schade te beperken.
- Operationeel. Datalekken verstoren vaak de normale bedrijfsvoering, vooral tijdens het onderzoeksproces. Bovendien gaan bij sommige datalekken belangrijke gegevens volledig verloren, wat extra pijnlijk is omdat het tijd kost om de gegevens te repliceren.
risicofactoren voor datalekken
Volgens de 2018 Cost of Data Breach Study, uitgevoerd door het Ponemon Institute, bedragen de gemiddelde kosten van een datalek in de VS 7,91 miljoen dollar en het gemiddelde aantal geschonden records 31.465 – grofweg 251 dollar per record. Het is duidelijk dat het verstandig is om een deel van uw beveiligingsinspanningen te investeren in risicobeperking bij datalekken.
Om het risico van een datalek te verkleinen, moet u begrijpen waar het risico vandaan komt. Er zijn twee belangrijke risicofactoren: mensen en apparaten. Sommige mensen moeten toegang krijgen tot gereguleerde of gevoelige informatie; u kunt ze niet zomaar de toegang tot de gegevens ontzeggen. Maar hun opzettelijke of onopzettelijke acties kunnen leiden tot een datalek van waardevolle bedrijfsgegevens. Zoals we hebben gezien, kunnen ze fouten maken, zoals informatie naar het verkeerde e-mailadres sturen of uploaden naar een onbeveiligd aandeel, en ze kunnen hun toegang ook opzettelijk gebruiken om belangrijke gegevens te stelen voor financieel gewin of om het bedrijf te saboteren. Bovendien kunnen gebruikers het slachtoffer worden van identiteitsdiefstal, waarbij iemand anders hun inloggegevens achterhaalt en hun gebruikersidentiteit overneemt om toegang tot gegevens te krijgen.
Devices zijn de andere grote risicofactor, met name draagbare apparaten waarop gevoelige gegevens kunnen worden opgeslagen en mobiele apparaten die worden gebruikt om toegang te krijgen tot bedrijfsnetwerken en -bronnen. Deze apparaten raken vaak zoek of worden gestolen, en het kan moeilijk zijn om beveiligingscontroles tot deze apparaten uit te breiden. Andere apparaten vormen ook een ernstig risico wanneer software niet tijdig wordt gepatcht of wanneer ze onjuist zijn geconfigureerd.
Preventie van en reactie op datalekken
Cybercriminelen komen voortdurend met nieuwe technieken en strategieën, waardoor het moeilijk te voorspellen is hoe ze hun volgende aanval op uw gevoelige gegevens precies zullen uitvoeren. Toch zijn er dingen die u kunt doen om het risico op een datalek te minimaliseren. In deze blog heb ik besloten het NIST Cybersecurity Framework te gebruiken om basisstappen te schetsen die u kunnen helpen datalekken te voorkomen:
- Identificeer de cyberbeveiligingsrisico’s voor uw gegevens. Uit het Netwrix IT Risks Report 2018 blijkt dat 70% van de organisaties ten minste eenmaal een risicobeoordeling heeft uitgevoerd, maar dat slechts 33% van de organisaties hun IT-risico’s ten minste eenmaal per jaar opnieuw evalueert. Zowel cyberdreigingen als uw IT-omgeving zijn echter voortdurend in ontwikkeling – mensen, software, hardware, mobiele apparaten en cloudplatforms veranderen voortdurend. Om nieuwe risico’s te ontdekken en deze te beperken om uw gegevens te beschermen, moet u ten minste eenmaal per jaar een informatierisicobeoordeling uitvoeren.
Nauwelijks 33% van de organisaties evalueert zijn IT-risico’s minstens één keer per jaar
- Bescherm uw gegevens door de juiste voorzorgsmaatregelen te implementeren. Als u niet zeker weet waar u moet beginnen, kunt u zich altijd wenden tot een van de documenten over naleving van de regelgeving als leidraad. U kunt het een en ander leren over controles op gegevensbeveiliging, met name van regelgeving die uitsluitend gericht is op gegevensbeveiliging en privacy, zoals de GDPR. Een andere nuttige bron is de lijst van CIS-controles, die is opgesteld en wordt bijgehouden door het Center for Internet Security. Omdat dit een groot onderwerp is, zal ik slechts drie basiswaarborgen noemen die uw gegevensbeveiliging aanzienlijk kunnen verbeteren:
- Encryptie – Volgens het Ponemon-onderzoek is encryptie de op een na belangrijkste factor die de totale kosten van een datalek verlaagt. Het is een eenvoudige maar vaak verwaarloosde manier om uw gegevens te beveiligen. Zelfs als ze worden gestolen of geschonden, zijn goed versleutelde gegevens nutteloos voor kwaadwillenden; ze kunnen ze niet verkopen of gebruiken tegen u of de personen van wie ze de gegevens hebben gestolen.
- Beheer van gegevenstoegang – Regelmatige privilege-attestatie en gegevenstoegangsmonitoring verkleinen uw aanvalsoppervlak en helpen u abnormale activiteiten in een vroeg stadium op te sporen.
- Training en bewustwording van medewerkers – Uit het Netwrix-rapport blijkt dat 50% van de gegevensschendingen gewone gebruikers betrof. Communiceer duidelijk uw beveiligingsbeleid en leer uw medewerkers hoe ze aanvallen kunnen herkennen en erop kunnen reageren, en u verkleint uw kansen op een datalek.
- Zorg voor tijdige detectie van cyberbeveiligingsgebeurtenissen die uw gegevens bedreigen. Aangezien 68% van de inbreuken volgens Verizon maanden of zelfs langer onopgemerkt blijft, is het geen wonder dat detectie een van de twee belangrijkste gebieden is die respondenten in de Netwrix IT Risks-enquête van plan zijn te verbeteren om het risico op gegevensinbreuken te minimaliseren. Een zeer goede bron die kan helpen is de MITRE ATT&CK kennisbank, die in detail beschrijft op welke tekenen u moet letten om aanvallen te detecteren.
62% van de respondenten geeft aan dat ze passende activiteiten moeten ontwikkelen en implementeren om het optreden van een cyberbeveiligingsgebeurtenis te identificeren
- Wees voorbereid om goed te reageren wanneer een datalek wordt ontdekt. Stel een responsplan op en communiceer dit duidelijk, zodat iedereen in het bedrijf weet met wie contact moet worden opgenomen en wat er moet gebeuren in het geval van een datalek. Neem in uw plan een meldingsprocedure op die is afgestemd op de regelgeving waaraan uw bedrijf is onderworpen. Onthoud de les van de Yahoo-inbreuken – doe een grondig onderzoek om volledig te begrijpen wat er is gebeurd, hoe het is gebeurd, welke gegevens zijn aangetast en wat er moet worden gedaan om soortgelijke incidenten in de toekomst te voorkomen.
- Wees in staat om gegevens, systemen en diensten te herstellen die bij een datalek zijn gestolen of vernietigd. Zorg voor een herstelplan en test en verbeter dit regelmatig.
Conclusie
Deze basismaatregelen kunnen een goed beginpunt zijn om het risico van een datalek te verkleinen. Elk van deze maatregelen moet echter grondig worden geanalyseerd en vertaald naar de specifieke kenmerken van uw bedrijf. Hier zijn een paar dingen die u bij dat proces kunnen helpen:
- Doe het niet alleen. Zoek naar oplossingen waarmee u zoveel mogelijk taken kunt automatiseren, zodat u en uw team zich kunnen richten op strategisch belangrijke activiteiten.
- Kijk naar nieuwe ontwikkelingen op het gebied van cyberbeveiliging in verschillende branches en pas die toe die het beste bij uw bedrijf lijken te passen.