Best practices

Hoe te reageren bij een datalek

De rol van het bestuur bij een datalek

Het kan elke organisatie overkomen: een datalek. Hoe kunnen bestuurders zich zo goed mogelijk voorbereiden op de inbreuk van privacygevoelige informatie? En wat zijn de do’s en don’ts? Diligent hield een scenario voor aan bestuurders en commissarissen en evalueerden wat de juiste rol en reactie van de board room is bij een datalek.

In ons hypothetische scenario werden directeuren gealarmeerd vanwege een inbreuk op het consumentengedeelte van het Luxemburg Web (LW). In een ransomware-bericht kreeg de CTO van LW te horen dat de aanvallers toegang hadden gekregen tot privacygevoelige klantgegevens, waaronder namen, adressen, telefoonnummers, e-mailadressen en zelfs creditcardnummers met hun vervaldata.

Niet bevoegd

Een typisch geval van een datalek. Maar wat is dat eigenlijk precies? Volgens onze definitie is een datalek een veiligheidsincident waarbij gevoelige, beschermde of vertrouwelijke gegevens worden gekopieerd, verzonden, bekeken, gestolen of gebruikt door een persoon die niet bevoegd is om te doen. De meeste inbreuken op gegevens richten zich op kwetsbare gegevens: bestanden, documenten en gevoelige informatie.

Belangrijke stappen

In het hypothetische scenario kwamen een aantal belangrijke stappen naar voren die de board moet adresseren in de directe nasleep van een ernstige datalek. De volgende punten moeten direct geagendeerd worden door het bestuur in geval van een cyberaanval:

  • Wees er verzekerd van dat zo snel mogelijk de digitale inbraak gestopt wordt. Schakel waar nodig een onafhankelijk beveiligingsbedrijf in om zo snel mogelijk onderzoek te doen wat de exacte impact van het lek is en welke gevolgen dat heeft. Het is te adviseren om vooraf te bepalen welk bedrijf geschikt is voor deze taak, zodat u als het moment daar is snel kunt schakelen. Deze derde partij kan daarnaast uw IT-afdeling begeleiden in het herstel van geïnfecteerde systemen en het optuigen van een goede beveiliging.
  • Zet het ‘responsteam’ direct aan het werk. Vooraf is er een team van Legal, Risk & Compliance, IT/Data Security, interne en externe communicatieprofessionals en Investor Relations samengesteld dat snel na een inbraak volgens een vooraf opgesteld crisiscommunicatieplan te werk gaat. Zorg dat alle communicatie met slachtoffers, investeerders, aandeelhouders, klanten en andere belanghebbenden zo accuraat en transparant mogelijk is. De reactie van uw organisatie op een datalek is bepalend hoe uw bedrijf uiteindelijk door uw stakeholders beoordeeld wordt. Is de inbraak slechts een hobbel op de weg of bent u in een fatale botsing gekomen?
  • Coördineer uw acties met wetshandhavingsinstanties en toezichthouders. Indien de lek gegevens van personen uit de Europese Unie bevat, heeft u over het algemeen maar 72 uur om instanties op de hoogte te brengen dat er zich een datalek heeft voorgedaan. Zorg dat u in de voorbereiding in kaart heeft wie er gebeld moet worden en met wie u uw acties moet coördineren. Denk daarbij niet alleen aan regelgevers, maar ook aan wethandhavers.
  • Zet het vooraf opgestelde rampenplan zo snel mogelijk in werking. Dit draaiboek moet ervoor zorgen dat uw bedrijfsactiviteiten vlot kunnen worden opgepakt bij een calamiteit. In dit rampenplan moet dus ook een cyberaanval zijn opgenomen. Zorg dat alle kritieke informatie, zoals wachtwoorden en codes veilig versleuteld zijn in de cloud zodat u binnen enkele minuten systemen weer operationeel kunt krijgen.
  • Neem in de voorbereidende fase contact op met de provider van uw board portal en vraag om een risicorapport. Wees er verzekerd van dat al hun datacertificeringen up-to-date zijn. Vraag ook wanneer en hoe frequent zij testen uitvoeren en wat hun beveiligingskader is. Zo kunnen eventuele zwakke plekken in het systeem geïdentificeerd worden.

Losgeld

Los van de acties die vooraf en tijdens de datalek genomen moeten worden, zijn er ook dilemma’s die bij een cyberaanval komen. Vragen de aanvallers bijvoorbeeld om losgeld om het systeem te herstellen, bent u dan bereid dit te betalen? Slechts iets meer dan de helft van de bedrijven die losgeld betalen, krijgt hun data weer terug. En wat gebeurt er met de reputatie van uw bedrijf als u betaalt? Wat zijn de consequenties als u niet betaalt? Bepaal vooraf wat de beste strategie voor uw bedrijf is.

Evaluatie

Uiteraard is een grondige evaluatie na de crisis en de eerste reacties daarop sterk aan te raden. Neem in deze evaluatie niet alleen de beveiligingssystemen van uw bedrijf scherp onder de loep, maar ook die van partijen die bijvoorbeeld door een fusie of overname sterk gelieerd zijn aan uw beveiligingsapparaat. Denk ook aan leveranciers van systemen die gebruikt worden voor het uitvoeren van bestuurstaken, zoals de board portal. Een goede board portal-aanbieder kan u altijd de benodigde datacertificaten voorleggen om u te helpen de beveiliging hiervan te evalueren. Zet uw IT-specialisten dus met een brede blik aan het werk.

Bij de grondige evaluatie hoort uiteraard ook een terugblik op de kwaliteit van de eerste reactie op de datalek.

Neem in elk geval onderstaande punten mee in deze terugblik:

  • Zijn alle klanten, investeerders, werknemers en andere belanghebbenden snel en nauwkeurig op de hoogte gebracht?
  • Is er goed gecoördineerd met toezichthouders, wetshandhaving, verzekeraars en bedrijfsjuristen?
  • Hoe goed werkten de rampenplannen en hoe snel was de bedrijfscontinuïteit hersteld?
  • Wat kunnen we leren van de datalek en onze reactie daarop en hoe kunnen we bij een volgende cyberaanval nog beter reageren?
  • Welke andere training en ondersteuning moeten we ons personeel en onze bestuurders aanbieden?

Whitepaper

Ook een ijzersterk beveiligingsbeleid is van groot belang om te beschermen tegen cyberdreigingen en datalekken.
Lees hier meer over het beveilingsbeleid en drie grote misvattingen die dit kunnen ondermijnen.

AANBEVOLEN BLOGS