23 Jun Een datalek bij een ander heeft ook impact op úw organisatie
Inspiratie: kennisbank
Impact van een datalek
Een datalek bij een ander heeft ook impact op úw organisatie
Geschreven door Henri Beek, Cyber Security en OSINT Specialist bij DataExpert (onderdeel van Interstellar). DataExpert is een kennis- en technologiepartner op het gebied van cybercriminaliteit en databeveiliging.
Dagelijks komen bankrekeningnummers, telefoonnummers of adresgegevens op straat te liggen door datalekken. Een datalek heeft niet alleen vervelende gevolgen voor de direct getroffen organisatie, maar kan ook impact hebben op úw organisatie.
De impact van een datalek inzichtelijk met 5 vragen
Stel dat uw inkoopafdeling regelmatig inkoopt bij de webwinkel Allekabels via een account met adresgegevens, btw-nummer en bankrekeningnummer. Een datalek bij Allekabels is dan de uitgelezen kans om van uw organisatie het volgende slachtoffer te maken. Stel in zo’n situatie de volgende vragen:
- Is onze boekhoudingafdeling op de hoogte en extra scherp op afschrijvingen of inkomende facturen?
- Zijn de gegevens in het account voldoende om een nepfactuur te verspreiden?
- Gebruiken medewerkers bij andere websites dezelfde inloggegevens en zijn deze ondertussen gewijzigd?
- Zijn er medewerkers privé geraakt door dit datalek?
- Zijn er mobiele telefoonnummers gelekt en worden deze gebruikt voor multi-factor-authenticatie?
Als op één van deze vragen geen geruststellend antwoord te geven is, onderneem dan direct actie.
Het gevaar van een gelekt telefoonnummer
Met het in handen krijgen van mobiele nummers is er een risico op sim-swapping. Hierbij belt een cybercrimineel met de telecomprovider om het buitgemaakte 06-nummer over te zetten naar een simkaart die in zijn bezit is. Gecombineerd met informatie uit andere datalekken of openbare bronnen, kan deze zich voordoen als de echte gebruiker. Het gevolg is dat alle data opeens wordt omgeleid naar de nieuwe simkaart die is gekoppeld aan het telefoonnummer. Ook twee-factor authenticatiecodes die per SMS worden ontvangen of WhatsApp berichten die nieuw binnenkomen, worden doorgeleid. Zo worden uw beveiligingsmaatregelen niet opgevolgd, waardoor uw organisatie risico’s loopt.
Uw identiteit openbaar
Naast sim-swapping is de combinatie van publieke informatie met datalekgegevens ook een potentieel gevaar. Hoeveel data staat er van uw organisatie (gecontroleerd) online en wat wordt er door medewerkers (onbewust) gedeeld? De combinatie van datalekken en publiek toegankelijke gegevens is voldoende om een identiteitsbewijs op naam te genereren, zoals te zien is op deze afbeelding die voor dit artikel is gemaakt via een documentgenerator op het darknet.
Voorkom problemen, wees proactief
Kortom, een datalek bij een andere organisatie, kan voor uw organisatie en medewerkers vervelende gevolgen hebben. Hoewel datalekken, hacks en breaches nooit helemaal te voorkomen zijn, kan de impact door proactief te handelen en op tijd te reageren beperkt blijven.
DataByte biedt in samenwerking met DataExpert onder andere een cybercrime en cyber security awareness workshop aan waarin we verschillende groepen binnen uw organisatie bewuster maken van cybercrime en hoe ze op dit gebied moeten handelen. Hier komen onderwerpen zoals in dit artikel aan bod.