1. First things first: Het Cyber Emergency Response Team (CERT.be)
Een eerste stap bij het behandelen van een beveiligingsincident is contact opnemen met het Cyber Emergency Response Team. Dit team kan snel actie ondernemen wanneer een cyberaanval plaatsvindt. Zij zullen enerzijds trachten uw schade te beperken en anderzijds uw dienstverlening snel trachten te herstellen. Contact opnemen met CERT.be vormt aldus de eerste stap als je als onderneming niet meteen naar de politie wenst te stappen maar toch dringende hulp nodig hebt.
Ze helpen niet enkel bij het reageren op een incident (reactieve diensten) maar ook bij het voorkomen van incidenten (proactieve diensten). Hun reactieve diensten bieden je een antwoord ingeval je met een cyberdreiging of cyberaanval geconfronteerd wordt. Zo staan ze je o.a. bij in uw incidentenbeheer en kwetsbaarheidsbeheer. Hun proactieve diensten optimaliseren uw infrastructuur en beveiligingsprocessen vooraleer een incident opgespoord wordt of plaatsvindt. O.a. het opsporen, waarnemen en analyseren van veiligheidsproblemen zijn voorbeelden van hun proactieve diensten.
Tijdens de kantooruren (09.30 tot 16.30 uur) per e-mail (cert@cert.be) kan contact opgenomen worden met CERT.be. Daarnaast kan u ook het meldingsformulier invullen via Een incident melden | Cert om een incident melden. Afhankelijk van de ernst van het incident – welke geval per geval wordt beoordeeld – en van uw hoedanigheid zal uw melding met meer spoed behandeld worden. Enkel ondernemingen met een hoedanigheid van aanbieder van essentiële diensten en kritische infrastructuren kunnen de klok rond telefonisch terecht bij het nationale CERT.
2. Politie uw vriend
Ongeacht of u al dan niet contact opgenomen hebt met CERT.be, is het aangewezen om zo snel mogelijk aangifte te doen bij een politiebureau in uw buurt wanneer uw onderneming of organisatie in aanraking komt met cybercriminaliteit. Zij starten een onderzoek en proberen de hackers op te sporen. Daarnaast kan je het nummer van je proces-verbaal doorgeven aan je bank en/of verzekeraar.
3. Een datalek in de zin van de Algemene Verordening Gegevensbescherming (GDPR)
Handelen in overeenstemming met de strikte regeling rond privacy en gegevensbescherming is geen sinecure. De Algemene Verordening Gegevensbescherming (beter bekend als de “GDPR”) legt een aantal dwingende bepalingen op in geval van datalekken. In deze paragraaf zetten we uw onderneming of organisatie dan ook graag op de goede weg om in overeenstemming met die vereisten te handelen in geval van een datalek.
- Wat is een datalek?
Een datalek (of ‘data breach’) kan omschreven worden als “elke inbreuk op de beveiliging die per ongeluk of met opzet leidt tot een vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens”.
Samengevat zijn er 3 soorten datalekken, nl. persoonsgegevens die opzettelijk of per ongeluk:
1) openbaar of toegankelijk zijn gemaakt (inbreuk op vertrouwelijkheid);
2) niet toegankelijk of vernietigd zijn (inbreuk op beschikbaarheid);
3) gewijzigd zijn (inbreuk op integriteit).
Het gaat dus niet alleen over de gevallen waarbij personen opzettelijk of te kwader trouw (bv. hackers) persoonsgegevens proberen te bemachtigen, of de toegang ertoe blokkeren. Ook kleinere inbreuken, die misschien minder ingrijpend lijken of zijn, vormen datalekken. Het kan overigens gaan over fysieke dragers, maar ook over bestanden op een netwerk.
Hoe een datalek te identificeren wordt in wat volgt nog nader toegelicht.
- Hoe omgaan met datalekken volgens de GDPR?
Het belang van awareness: waakzaamheid is te allen tijde vereist om datalekken te kunnen voorkomen. Als onderneming of organisatie ben je verplicht om persoonsgegevens veilig op te slaan en te beveiligen op een niveau dat overeenstemt met de gevoeligheid van die gegevens en de aard van je onderneming. Dit doe je door middel van het nemen van passende technische en organisatorische maatregelen. Denk aan firewalls, afgesloten archieven en servers met beperkte en gemachtigde toegang, beveiligde clouds, etc. Naast deze verantwoordelijkheid is het ook van belang dat de werknemers binnen je onderneming of organisatie de vooropgestelde richtsnoeren tenuitvoerleggen en opvolgen. Hier kan je denken aan zaken als een wachtwoordbeleid, het afsluiten van het kantoor en bepaalde ruimtes, een internetbeleid, etc.
Iedere onderneming en organisatie dient ook een register bij te houden waarin ieder datalek gelogd wordt. Dit register dient ook alle relevante bijkomende details over het datalek te bevatten. Denk hierbij aan een beschrijving van het lek en het moment waarop het zich voordeed, hoeveel en welke soort persoonsgegevens er gelekt zijn, wat er met de persoonsgegevens gebeurd is, wat de mogelijke gevolgen zijn, welke schadebeperkende en preventieve maatregelen er genomen werden, of er reeds aan de meldplicht voldaan is en zo niet de redenen hiervoor, etc.
Een procedure om datalekken te melden moet ook voorzien worden op het niveau van je onderneming of organisatie. We raden daarenboven aan dat een ‘data breach policy’ wordt opgesteld en geïmplementeerd. Je kan dit zien als een soort draaiboek ingeval er zich een datalek voordoet en kan een houvast bieden wanneer nodig. Het stelt je als onderneming of organisatie ook in staat je personeel bepaalde taken toe te wijzen ingeval van zo’n datalek of cyberaanval. Het is dan ook vanzelfsprekend dat je als onderneming of organisatie je personeel van zo’n ‘data breach policy’ op de hoogte brengt en dat ieder zich ertoe verbindt naar deze policy te handelen.
- Hoe reageren op een datalek?
1) Het identificeren van een datalek: Zoals reeds in het voorgaande werd toegelicht doet zich een datalek voor van zodra persoonsgegevens dreigen ongeoorloofd openbaar te worden gemaakt, verloren te gaan, vernietigd of gewijzigd te worden. Hierbij is het niet nodig dat er effectief persoonsgegevens gebruikt worden door een derde. Het gegeven dat een onbevoegde toegang heeft tot de persoonsgegevens is voldoende. Zo is er ook sprake van een datalek wanneer een computer die persoonsgegevens bevat, gehackt wordt – los van het feit of deze gegevens gekopieerd of beschadigd werden. Ook werd reeds toegelicht dat kwaad opzet geen voorwaarde uitmaakt om van een datalek te spreken. Wanneer een usb-stick verloren gaat of een e-mail per ongeluk naar het verkeerde e-mailadres wordt gestuurd vindt er dus ook een datalek plaats.
2) Het melden van een geïdentificeerd datalek: Indien er sprake is van een datalek dat een risico inhoudt voor de rechten en vrijheden van de betrokkenen, ben je als onderneming in kwestie verplicht om dit datalek binnen 72 uur te melden aan de Gegevensbeschermingsautoriteit en mogelijks eveneens aan de betrokkenen. De beoordeling van het risico van een datalek is dan ook een belangrijke oefening voor uw onderneming of organisatie, waar de nodige expertise aan de dag moet worden gelegd. Wij kunnen u bijstaan bij een dergelijke beoordeling.
4. De commerciële relatie tussen partijen
Ook contractueel kan uw onderneming of organisatie verplichtingen hebben ten aanzien van uw medecontract in geval van cybercriminaliteit. De inhoud van uw contracten dient dan ook nauwgezet geanalyseerd te worden. In het kader van een cyberaanval of datalek is het belangrijk om na te gaan de gebeurlijke vertrouwelijkheidsclausules, aansprakelijkheidsclausules, etc. na te gaan. Bij een datalek kan immers vertrouwelijke informatie verloren gaan en/of bekend raken. Je kan ook best nagaan of er een verwerkingsovereenkomst voorhanden is en zo ja welke verplichtingen aan uw onderneming of organisatie worden opgelegd in geval van cybercriminaliteit.
Bovendien zien we steeds vaker dat partijen een clausule opnemen die één van de partijen toestaat om de samenwerking per direct te beëindigen indien er zich een datalek (al dan niet met een bepaalde ernst) voordoet. Daarnaast behoudt de partij die beëindigt zich dan ook nog het recht voor om schadevergoeding, herstellingskosten en dergelijke meer te vorderen.
5. Technische maatregelen om continuïteit te waarborgen
Vaak worden bedrijven lamgelegd omdat hun data worden geëncrypteerd door hackers of andere technieken. Dit kan in sommige gevallen leiden tot een langdurige stilstand van de productie of de activiteiten in het algemeen. Elke onderneming en organisatie zou daarom een risicobeoordeling moeten maken om in te schatten welke gevolgen bijvoorbeeld een inbraak of een ransomware aanval zou kunnen hebben.
U kan zich vervolgens proberen te wapenen tegen langdurige periodes van stilstand door een veerkrachtig en veilig back-upsysteem dat in een zo kort mogelijke tijdspanne in staat is om alle data en software-configuratie terug te plaatsen. Een relatieve kost weliswaar, maar u kan dit beschouwen als een verzekeringspolis.
6. Conclusie
Als onderneming of organisatie – ongeacht grootte of activiteit – dient u zich te wapenen tegen cyberaanvallen en datalekken. Cybercriminaliteit kent vele gedaanten en waakzaamheid en het preventief nemen van kwalitatieve passende technische en organisatorische maatregelen wordt dan ook ten zeerste aangeraden. De bovenstaande aandachtspunten dienen in ieder geval in rekening te worden gebracht indien uw onderneming of organisatie het slachtoffer is van cybercriminaliteit.
Bij vragen over datalekken, cybercriminaliteit of andere vragen met betrekking tot privacy- en gegevensbescherming, aarzel dan zeker niet om het privacy- en gegevensbeschermingsteam van Monard Law te contacteren.
