Het succes van Ventus is te danken aan tientallen IT-professionals die iedere dag hun ervaring en expertise inzetten voor onze opdrachtgevers. In de serie “Focus op Functies” laten we steeds één van hen aan het woord over zijn of haar werkzaamheden, de uitdagingen van het vak en belangrijke trends en ontwikkelingen.
In een wereld, waar op talloze plekken (persoonlijke) gegevens digitaal worden opgeslagen, ligt het risico van een datalek altijd op de loer. Als het gaat om cruciale bedrijfsinformatie kunnen de consequenties zeer ernstig zijn. Maar ook het privé mailtje dat per ongeluk naar een verkeerd adres gestuurd wordt, kan nare gevolgen hebben. Security expert Robert Elsinga werkt sinds 2016 bij Ventus en weet alles over datalekken en hoe deze te voorkomen.
Wat is een datalek?
“Een datalek is een situatie waarbij vertrouwelijke gegevens in de openbaarheid worden gebracht. Dit kan per ongeluk gebeuren, bijvoorbeeld door een typefout in het adres van de ontvanger, door een mailtje met cc i.p.v. bcc te verspreiden of door een USB-stick met data in de trein te laten liggen. Het kan echter ook een doelbewuste actie zijn van cybercriminelen die op zoek zijn naar wachtwoorden, financiële gegevens of geheime bestanden. De ‘buit’ wordt dan doorverkocht, benut als chantagemiddel, gebruikt voor identiteitsfraude of ingezet ter verfijning van phishingmails.”
Hoe kun je een datalek voorkomen?
“De eerste stap bij het voorkomen van datalekken is bewustwording. Organisaties realiseren zich niet altijd hoe kwetsbaar ze zijn. Een van mijn taken als security expert is om zwakke plekken op te sporen. Bijvoorbeeld door een pentest (penetratietest) uit te voeren en te zien hoe ver je komt. Kan iemand met kwade bedoelingen bij vertrouwelijke informatie? Kan iemand die toegang heeft tot gegevens deze verplaatsen naar plekken waar ze niet horen? Awareness van medewerkers is ook belangrijk. Weten dat je geen patiëntgegevens per mail mag versturen en dat zakelijke mail vanaf een privéadres niet geaudit kan worden. Niet op linkjes klikken en je altijd afvragen of een mail wel legitiem is. Daarnaast is goede bescherming van gegevens natuurlijk essentieel. Hackers zijn gelegenheidsdieven. Ze pakken wat ze kunnen en gaan voor de makkelijke weg. Een 2-trapsidentificatie waarbij je naast een wachtwoord ook een code of vingerafdruk nodig hebt, maakt ongeoorloofd binnendringen al moeilijker.”
Moet je een datalek altijd melden?
“Sinds mei 2018 is in de Europese Unie de Algemene Verordening Gegevensbescherming (AVG) van kracht. Volgens deze wet zijn organisaties in bepaalde situaties verplicht een datalek te melden bij de Autoriteit Persoonsgegevens (AP) en bij betrokkenen. Dat geldt met name voor datalekken waarbij het risico op schade groot is. Sowieso moeten organisaties een datalekregister bijhouden, waarin álle datalekken vermeld worden, ook die waaraan geen ernstige gevolgen kleven. Bedrijven die zich niet aan de regels houden kunnen juridisch aansprakelijk worden gesteld.”
Wat doet een security expert in deze?
“Een security expert zorgt heel breed voor bescherming. Niet alleen bescherming van gegevens, maar ook van gebouwen of afdelingen waar mensen geen toegang tot mogen hebben. Het gaat van fysiek tot aan compliance en ISO-normeringen. Zelf focus ik vooral op security binnen netwerken en beheersystemen. Het voorkomen van datalekken speelt daarin een belangrijke rol. Ik inventariseer risico’s en draag passende oplossingen aan. Omdat er continu nieuwe ontwikkelingen zijn, zowel aan de goede als aan de slechte kant, blijft mijn functie uitdagend. Als mens en techniek falen, kan dat zeer ernstige gevolgen hebben. Het voelt goed om bij te dragen aan een stuk veiligheid.”
Waarom Ventus?
“Bij Ventus werk ik niet alleen voor de klant, maar ook aan mijn eigen ambities. Er is volop aandacht en ondersteuning. Wat vind je leuk? Welke kant wil je op met je carrière? Waar wil je nog een certificaat van halen? Ik heb nu bewust gekozen voor security en IT-architectuur, maar mijn kennis- en interessegebied is heel breed. Ik kijk naar de ontwikkelingen in de markt en vraag me af waar we als Ventus iets mee kunnen. Misschien ga ik mezelf ook wel certificeren als securitymanager of verdiep ik me meer in pentesten. Het is fijn om te weten dat die ruimte er is.”
Tot slot. Wat zijn goede tips tegen datalekken?
“Een beetje meer achterdocht zou geen kwaad kunnen. Mensen denken vaak dat het hun niet overkomt, maar criminelen worden steeds gewiekster en phishingmails steeds overtuigender. Een https-slotje zegt alleen maar dat alle berichtenverkeer tussen jou en die website versleuteld is. Niet dat het een veilige site is. Bovendien zie je soms een valse URL, die niet van echt te onderscheiden is. Bijvoorbeeld lng.nl met een kleine letter l, niet met een hoofdletter i. Vraag je daarom bij elk verzoek om gegevens af “Waarom is dit nodig? Heb ik hierom gevraagd?” Laat je niet dwingen tot ‘snel reageren’ en bel desnoods met een klantenservice of helpdesk om te checken of het verzoek echt is. Gebruik dan niet het nummer uit de mail, maar zoek het zelf op. Op haveibeenpwned.com kun je checken of jouw wachtwoorden ergens gelekt zijn. Als dat zo is, vervang ze dan door random gegenereerde wachtwoorden of gebruik een wachtwoordkluis.
Maar de belangrijkste tip is eigenlijk: ga ervanuit dat je op internet geen privacy hebt, dus houd wat privé is privé.
Robert Elsinga
security expert
Wil je meer weten over onze IT-professionals? Of wil je zelf bij Ventus aan de slag? Neem dan gerust contact met ons op.