Nieuw datalek bevestigt behoefte aan security-keurmerk
RTL Nieuws bracht vandaag het nieuws dat inloggegevens van honderden Nederlandse bedrijven te koop zijn via een Russische website op het dark web. De gegevens zijn verkregen door een brute force aanval op computers die toegankelijk waren via het Remote Desktop Protocol. De hackers konden toegang krijgen omdat de computers beveiligd waren met een makkelijk te kraken wachtwoord.
Het is opnieuw een voorbeeld van een gevoelig veiligheidslek dat eenvoudig voorkomen had kunnen worden. Het instellen van sterke, unieke wachtwoorden zou standaardprocedure moeten zijn voor IT-leveranciers. Natuurlijk moeten ook klanten en gebruikers alert zijn op de beveiliging van hun systeem. Bij voorkeur gaan ze hier vooraf met hun leverancier over in gesprek. De Cyber Security Raad heeft hiervoor in samenwerking met Nederland ICT een nuttige handreiking gemaakt. De praktijk leert echter dat klanten vaak de kennis missen om de juiste vragen te stellen. Ze vertrouwen erop dat hun IT-leverancier de nodige securitymaatregelen neemt. In de meeste gevallen is dat vertrouwen terecht. Onze ervaring is dat de meerderheid van onze leden hun basisbeveiliging echt wel op orde heeft. Professionele IT-leveranciers adviseren hun klanten bovendien om bijvoorbeeld gebruik te maken van wachtwoordmanagers, of twee-factor-authenticatie in te stellen. Uit het onderzoek van RTL Nieuws blijkt dat het in sommige gevallen helaas nog steeds fout gaat.
Wat doet Nederland ICT?
Nederland ICT heeft als doelstelling de digitale sector verder te professionaliseren. Het bevorderen van cybersecurity is daar een belangrijk onderdeel van. Zo hebben leden zich bijvoorbeeld verenigd in de commissie cybersecurity, hebben we een zetel in de CSR en hebben we ons ingezet om de informatievoorziening over security aan het mkb te verbeteren. Dat neemt niet weg dat er altijd ICT-bedrijven zullen zijn die, bewust of onbewust, onnodige risico’s nemen met de security van hun klanten. Dat maakt het extra belangrijk dat klanten een weloverwogen keuze kunnen maken en het kaf van het koren kunnen scheiden. Nederland ICT werkt daarom aan diverse initiatieven om tot gezamenlijke normen te komen en transparantie in de markt te bevorderen. Zo hebben we op basis van de Avg (GDPR) een branche-code gemaakt voor bedrijven die persoonsgegevens verwerken. Deze Data Pro Code ligt nu ter goedkeuring bij de Autoriteit Persoonsgegevens en we komen binnenkort met een certificering op basis van deze code. De beveiliging van persoonsgegevens is hier een belangrijk onderdeel van. Daarnaast werken we samen met een aantal partners aan een nieuw keurmerk en risicomodel. Dit maakt het voor ondernemers makkelijker om te beoordelen welke maatregelen nodig zijn en wat ze van hun leverancier mogen verwachten.