Het cruciale verschil tussen een incident en een datalek; alleen datalekken melden is niet voldoende.
Het grote voordeel van consultant zijn is dat je bij veel verschillende organisaties een kijkje achter de schermen mag nemen. Dat is natuurlijk ontzettend leuk, maar het biedt ons als Audittrail ook de mogelijkheid om trends te identificeren die voor een individuele organisatie onzichtbaar blijven. Eén van die trends wil ik in dit artikel uitlichten; veel organisaties hanteren dezelfde definitie voor datalekken en incidenten en hebben een datalekkenmeldpunt ingericht, maar geen incidentenmeldpunt. Wanneer je als organisatie een echt (informatiebeveiligings-)incidentenmeldpunt opzet, in plaats van een datalekkenmeldpunt kan je mogelijk eerder informatiebeveiligingsrisico’s definiëren en daarmee datalekken voorkomen. En datalekken die zich niet voordoen, hoeven ook niet gemeld te worden! Datalekken voorkomen? Te mooi om waar te zijn? Het kan echt, lees vooral verder!
Wat is een incident?
Laten we maar gelijk met het verschil tussen incidenten en datalekken beginnen. Volgens het Cybersecurity Woordenboek is een incident een ‘Gebeurtenis of actie waarbij de beveiliging van hardware, software, informatie, een proces of organisatie mogelijk in gevaar is gebracht of geheel of gedeeltelijk is doorbroken.’ Oftewel, een informatiebeveiligingsincident is een gebeurtenis die de Beschikbaarheid, Integriteit of Vertrouwelijkheid (BIV) van gegevens mogelijk in gevaar heeft gebracht door een zwakke plek in de informatiebeveiliging. Het gaat hierbij dus bijvoorbeeld om inbrekers of virussen op het netwerk, (stroom-)storingen, het ontbreken (of verkeerd gaan) van een back-up, het verlies van documenten, het achterlaten van een document bij een printer of klikken op een phishingmail.
Wat is een datalek?
Er is sprake van een datalek wanneer er ongeoorloofd of onbedoeld toegang tot persoonsgegevens is geweest bij een organisatie. Wanneer persoonsgegevens onbedoeld zijn vernietigd, verloren, gewijzigd of tijdelijk niet beschikbaar zijn, kan men ook spreken van een datalek. Een datalek kan een technische oorzaak hebben, maar ook bijvoorbeeld veroorzaakt worden door een persoon, zoals een mail naar een verkeerde persoon sturen. Voorbeelden van datalekken zijn; inbrekers of virussen op het netwerk, (stroom-)storingen, het ontbreken (of verkeerd gaan) van een back-up, het verlies van documenten, het achterlaten van een document bij een printer of klikken op een phishingmail op het moment dat er bij de gebeurtenis persoonsgegevens betrokken zijn.
Dus een incident hoeft geen datalek te zijn?
Wacht even, dit zijn dezelfde voorbeelden die je gebruikt? Betekent dat dan dat een datalek een incident is waar persoonsgegevens bij betrokken zijn? Precies! Alle gebeurtenissen waarbij de Beschikbaarheid, Integriteit of Vertrouwelijkheid van gegevens mogelijk in gevaar zijn gebracht zijn incidenten, maar alleen als hier persoonsgegevens bij betrokken zijn is het een datalek. Alle datalekken zijn dus incidenten, maar niet alle incidenten zijn datalekken.
Waarom is een écht incidentenproces beter dan een datalekkenproces?
Even een stapje terug naar de trend die we als Audittrail zien. Wanneer we bij organisaties vragen of er een incidentenproces is, wordt er vaak geantwoord met ‘ja, onze medewerkers weten datalekken te herkennen en weten dat ze datalekken moeten melden’. Ons advies aan organisaties is dan ook om medewerkers bewust te maken van wat incidenten zijn en ook incidenten te melden als er geen persoonsgegevens betrokken zijn. Dit om te voorkomen dat er zich in een later stadium wel echt een datalek voordoet.
Om een fysiek voorbeeld te geven; het verliezen van een sleutel is wel een incident, maar geen datalek, er gaan geen persoonsgegevens verloren. Voor de organisatie is het wel handig dat dit incident gemeld wordt, want als een inbreker de sleutel gebruikt om het pand binnen te komen en vervolgens persoonsgegevens te stelen, ontstaat er alsnog een datalek. Door de sloten te vervangen naar aanleiding van het incident, kan je dus een datalek voorkomen.
En ook nog een digitaal voorbeeld: Een phishingmail ontvangen hoeft nog geen datalek te zijn. Zolang je niet op een mail of bijlage klikt, is er niets aan de hand. Toch is een phishingmail ontvangen een incident. Het is namelijk door het spamfilter gekomen (en dus een zwakke plek in de informatiebeveiliging). Door de phishingmail te melden als incident, kunnen collega’s gewaarschuwd worden om de mail te herkennen, want zodra één iemand de phishing niet herkent en zijn gebruikersnaam en wachtwoord weggeeft, is er sprake van een datalek.
Wat is jullie advies?
Kort samengevat, alle datalekken zijn een incident, maar niet alle incidenten zijn een datalek. Elk incident kan wel leiden tot een datalek en daarom is het van belang om ook alle incidenten te melden. Op deze manier kan er vroegtijdig worden ingegrepen en eventuele problemen worden voorkomen. Ons advies is daarom om:
- Een incidentenproces op te zetten.
- Medewerkers te trainen in het herkennen van incidenten.
- Medewerkers bewust te maken dat ze alle incidenten moeten melden, hoe klein of onschuldig ook.
- Te communiceren dat bij twijfel een incident altijd gemeld dient te worden en dat het niets is om je voor te schamen.
Beter te veel over een incident gepraat dan dat er een datalek ontstaat. Wil je meer weten