Nu makers van phishingmails steeds professioneler te werk gaan, groeit de kans op een hack via zo’n phishingmail.
Stel: U hebt een bedrijf
Via een phishingmail kan een hacker toegang krijgen tot uw systemen, inclusief de persoonlijke gegevens die daarin staan. Zo’n beveiligingsincident kan leiden tot ongeoorloofde toegang tot de systemen en daarom als een potentieel datalek worden gezien. En volgens de Algemene verordening gegevensbescherming (AVG) moet u daar actie op ondernemen. Om u een concreet beeld te geven van de benodigde maatregelen laten we u een praktijkvoorbeeld zien.
In de praktijk: wat te doen bij phishingmail?
Stel, een medewerker van een middelgroot bedrijf ontvangt een phishingmail en klikt op een link daarin. Daardoor kan de hacker bij de gebruikersnaam en het wachtwoord van de mailbox van de medewerker komen.
1. Kort vooronderzoek
Via de mailbox van de getroffen medewerker stuurt de hacker iedereen binnen de organisatie een phishingmail. Een medewerker meldt de mail direct bij de IT-afdeling. Na een kort onderzoek, weet IT dat het een beveiligingsincident is en dat een hacker toegang had tot het e-mailaccount van een medewerker.
2. Schade beperken
Om de schade zo veel mogelijk te beperken, is de link uit de phishingmail direct geblokkeerd. Ook is de oorspronkelijke e-mail door IT verwijderd. Via het gemonitorde netwerkverkeer achterhaalt IT welke medewerkers nog meer op de link hebben geklikt en gegevens hebben verstuurd. Van die medewerkers zijn de wachtwoorden gereset.
De organisatie stuurt na de ontdekking bovendien meteen een bericht naar alle medewerkers over de phishingmail, met de instructie om nergens op te klikken en het eigen wachtwoord te wijzigen. In een communicatieplan deelt het management bovendien mee wat te doen als de pers belt.
3. Zo snel mogelijk melden bij de AP
Nu het beveiligingsincident is vastgesteld, de betrokkenen zijn ingelicht en duidelijk is dát er persoonsgegevens zijn gelekt, zet de organisatie zo snel mogelijk een onderzoek in gang. Daarin worden alle feiten achterhaald en wordt beoordeeld of het datalek werkelijk een risico met zich meebrengt.
Dit zijn de feiten:
- Binnen de organisatie hebben in totaal 550 medewerkers de phishingmail ontvangen.
- De phishingmail zelf bevat geen persoonsgegevens of gevoelige persoonlijke informatie, maar alleen inhoud om inloggegevens te achterhalen.
- Het gehackte e-mailaccount is van een HR-medewerker en bevat veel gevoelige e-mails en persoonsgegevens.
- Daardoor is niet uit te sluiten dat de hacker toegang heeft gekregen tot gevoelige informatie.
Het datalek is daarom zo snel mogelijk en binnen 72 uur gemeld bij de AP.
4. Maatregelen treffen
Na de melding zorgt de organisatie er met een aantal maatregelen voor dat dergelijke incidenten in de toekomst minder snel voorkomen. Zo heeft IT de e-mailaccounts van alle medewerkers ingesteld met een zogenaamde Tweestapsverificatie. Daarmee is er een extra verificatie van de identiteit bij het inloggen op de mailbox nodig, en is het account moeilijker te hacken via een phishingmail.
Wat kunt u doen?
In uw geval kunnen er heel andere omstandigheden zijn. Het is dan ook niet altijd nodig om een datalek door een phishingmail te melden bij de AP. U hoeft een datalek alleen te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen. Wel is het verstandig een voorlopige melding te doen. Die kunt u op een later moment altijd weer intrekken. Hebt u geen melding gedaan en wordt de AP door iemand anders ingeseind? Dan gaat de AP sneller over tot handhaving. Een snelle reactie en adequate voorbereiding lonen dus.
Bron: AP, agconnect