Datalekken: wat kunnen we van elkaar leren?

Het is de nachtmerrie van menig bedrijf: datalekken.[1] Het is een veel besproken onderwerp. Er worden dan ook regelmatig datalekken van bedrijven vermeld in de media. Zo behaalde ook MyHeritage, een bedrijf dat op basis van ingestuurde DNA-proeven van klanten een stamboom kan opstellen en families in kaart kan brengen, vorige week het nieuws nadat zij zelf op hun blog melding hadden gedaan van een datalek. Door een hack is data gelekt van ruim 92 miljoen gebruikers van de dienst. Het gaat om de e-mailadressen en versleutelde wachtwoorden van de gebruikers. De DNA-gegevens waren niet gelekt, deze gegevens stonden op aparte systemen en waren extra beveiligd. Datalekken zijn niet altijd te voorkomen, maar er kan wel het een en ander worden gedaan om de kans op een datalek te verkleinen en om de schade te beperken. Bedrijven kunnen hierbij van elkaar leren. Welke lessen zijn bijvoorbeeld te halen uit dit voorval?

Voorzorgsmaatregelen

Uit het datalek bij MyHeritage kunnen we verschillende lessen trekken. Allereerst heeft MyHeritage voorzorgsmaatregelen getroffen om de meest gevoelige informatie, te weten de DNA-gegevens van hun gebruikers, extra te beveiligen. Deze gegevens zijn bijvoorbeeld op aparte systemen opgeslagen. Door deze maatregel heeft MyHeritage ervoor gezorgd dat bij dit incident geen DNA-gegevens zijn gelekt. De les hierin? Wanneer u data op verschillende plekken opslaat en meerdere beveiligingslagen hieraan toekent, is de kans kleiner dat alle gegevens op straat komen te liggen bij één hack. Het kost de hackers dan immers ook meer tijd en moeite om al die systemen te kraken. Met name wanneer de gevoeligheid van de data toeneemt, dient u voor de bescherming van die gegevens aanvullende maatregelen te treffen.

Versleutelen

Een andere manier om data te beveiligen die door MyHeritage is toegepast, is om de data te versleutelen. MyHeritage had de wachtwoorden versleuteld door middel van hashing. Een wachtwoord krijgt hierdoor een specifieke code. Deze code wordt bewaard en is (bijna) niet meer te herleiden naar het oorspronkelijke wachtwoord. Iedere keer als de gebruiker zijn wachtwoord invult, komt dezelfde code eruit. Hierdoor kan worden geverifieerd dat het wachtwoord correct is en krijgt de gebruiker toegang tot zijn account. MyHeritage beschikt dus enkel over een lijst van codes en niet over de daadwerkelijke wachtwoorden. Hierdoor beschikken de hackers ook slechts over de codes. Aangezien veel mensen dezelfde wachtwoorden gebruiken voor verschillende diensten (ondanks dat dit wordt afgeraden), wordt door een simpele maatregel zoals hashing het risico op misbruik van dat wachtwoord voor gebruikers kleiner.

Helaas ging het niet allemaal goed bij MyHeritage: zo kwamen de e-mailadressen van 92.3 miljoen mensen op straat te liggen. Onbekend is hoe het bestand en/of de database waar deze e-mailadressen waren opgeslagen was beveiligd.

Belang van communicatie

Ondanks dat er een groot datalek heeft plaatsgevonden bij MyHeritage, zijn door de getroffen beveiligingsmaatregelen de gevolgen van het lek beperkt gebleven. Daarnaast kan menigeen nog wat leren over de transparante wijze waarop MyHeritage met dit incident is omgegaan: doordat zij zelf (tijdig) naar buiten zijn getreden met het nieuws, had de organisatie meer grip op de wijze waarop hierover werd gecommuniceerd. Transparantie naar betrokkenen en goede communicatie naar de buitenwereld is van groot belang bij datalekken om de risico’s voor betrokkenen, maar ook voor uw organisatie zo veel mogelijk te beperken.

Hoewel datalekken nooit helemaal voorkomen kunnen worden, zijn er genoeg opties om de kans en impact van een datalek te verkleinen. Wilt u meer weten over datalekken, incident response en hoe u data het beste kunt beveiligen? Neem dan contact op met Considerati. Wij denken graag met u mee.

[1] Zie voor meer informatie over datalekken en hoe Considerati u daarbij kan helpen: https://www.considerati.com/nl/privacy/privacyrecht/wet-meldplicht-datalekken/