Wat is een datalek en hoe ontstaat het?

Er is sprake van een datalek wanneer je privégegevens opzettelijk of per ongeluk worden gelekt door een bedrijf waar je ze aan hebt toevertrouwd. Dit is de betekenis van een datalek. Het gaat om de vernietiging, het verlies, de wijziging van of het delen van persoonsgegevens zonder instemming van het bedrijf of het individu waartoe de gegevens behoren.

Gegevens zoals e-mailadressen, gebruikersnamen en wachtwoorden kunnen op het dark web worden verkocht of voor identiteitsfraude worden gebruikt. En met creditcardnummers of bankgegevens kunnen rekeningen geplunderd worden. In de wereld van cybercriminaliteit zijn datalekken helaas big business.

In 2021 waren er 24.866 datalekmeldingen bij de Autoriteit Persoonsgegevens, een stijging van 4% in vergelijking met het jaar ervoor. Spraakmakende lekken in 2021 waren onder andere die van een coronatestbedrijf en de Kamer van Koophandel (KVK). Door een groot lek bij een testbedrijf voor corona kwamen gevoelige gegevens van 60.000 mensen in juli op straat te liggen. Een maand later werden privéadressen van 1800 personen bij de KVK gelekt, waaronder die van Kamerleden en fractiemedewerkers van verschillende politieke partijen.

Op internationale schaal is dit probleem nog veel groter. In 2022 werd informatie over meer dan 4100 grote datalekken openbaar gemaakt, waarbij ongeveer 22 miljard datarecords werden blootgesteld.

Afgezien van de gevolgen voor individuen, zijn de gevolgen van datalekken voor bedrijven ook niet mals. Als de privacy van je klanten of websitebezoekers wordt geschonden, levert dit natuurlijk flink wat reputatieschade op. En nu cybercriminelen voortdurend manieren bedenken om bedrijfsinfrastructuren uit te buiten, is het belangrijker dan ooit om onze systemen optimaal te beveiligen. Daar zullen we het verderop in dit artikel over hebben. Laten we eerst eens kijken wat de belangrijkste oorzaken van datalekken zijn:

Hieronder zetten we de belangrijkste oorzaken van datalekken voor je op rij.

Malware is kwaadaardige software of code die een website of netwerk kan infecteren en gevoelige klantgegevens bloot kan leggen. Malware is een zogenaamde ‘silent killer’ die via een onschuldig uitziende e-mailbijlage of corrupte software in je systeem kan komen. Als de malware zichzelf eenmaal geïnstalleerd heeft, kan het aan haar werk beginnen. Afhankelijk van het type malware, kan ze bijvoorbeeld gegevens uit een database blootleggen.

Phishing is een vorm van oplichting waarin criminelen e-mails versturen met als doel inloggegevens, creditcardinformatie en andere gegevens van hun slachtoffers te ontfutselen. Meestal wordt een legitieme afzender, zoals Paypal of Microsoft, nagebootst. Zodra de bijlage geopend wordt, wordt de malware op je systeem geïnstalleerd. Er kan ook een – op het eerste gezicht betrouwbare – link in de e-mail staan die je naar een website vol malware leidt.

Menselijke fouten dragen ook in grote mate bij aan datalekken. Met alle verschillende software en wachtwoorden die onze complexe werkomgevingen en systemen ondersteunen, is een beveiligingsfout snel gemaakt. Belangrijke beveiligingsfuncties kunnen per ongeluk door een onoplettende werknemer worden uitgezet. En ook het delen van bedrijfsgevoelige informatie op social media kan cybercriminelen in de hand spelen.

Van alle inbreuken die in 2019 zijn gemeld, heeft CybSafe (een bedrijf dat zich bezighoudt met bewustwording van cyberbeveiliging) zelfs vastgesteld dat 90% werd veroorzaakt door ‘menselijke’ fouten van eindgebruikers.

Bij een brute force-aanval kan een hacker miljoenen gebruiker/wachtwoord-combinaties per seconde achterhalen. Die worden dan in hoog tempo in het systeem ingevoerd tot de account gekraakt is – Sesam, open u!

Sterke wachtwoorden zijn lang, complex en mogen geen duidelijk patroon hebben. Lees hier hoe je een sterk wachtwoord maakt.

Eind vorig jaar deelde American Express (AmEx) miljoenen klanten mee dat hun rekeninginformatie mogelijk “onrechtmatig is ingezien” door een “werknemer die fraude trachtte te plegen”. Morrisons, de Britse supermarktgigant, had ook een ontevreden werknemer in dienst die de loongegevens van 100.000 personeelsleden heeft gelekt.

Er zijn minder kwalijke gevallen die even schadelijk kunnen zijn. Denk bijvoorbeeld aan werknemers die medische dossiers verkeerd configureren waardoor ze door iedereen kunnen worden ingezien.

Over onderhoud van beveiligingssystemen gesproken: investeren in goede beveiliging is nooit weggegooid geld. Een bedrijf dat slim met de beveiliging omgaat blijft zijn systeem continu ontwikkelen en verbeteren. Cybercriminelen blijven immers ook niet stilzitten en bedenken steeds meer geavanceerde methoden om systemen binnen te dringen.

Iedereen kan het slachtoffer van een datalek worden, maar we kunnen ons er wel zo goed mogelijk tegen beschermen.

• Vernietig documenten. Maak er een gewoonte van om brieven, rekeningen en andere documenten waarop gevoelige gegevens staan te vernietigen.
• Bezoek geen onveilige websites. Een veilige website heeft een adres dat met ‘https’ begint. De ‘s’ staat voor ‘secure’ (veilig). Vermijd websites die alleen met ‘http’ beginnen.
• Gebruik sterke wachtwoorden. Creëer sterke wachtwoorden met een combinatie van hoofdletters, kleine letters, niet-opeenvolgende cijfers, speciale tekens en symbolen. Gebruik een wachtwoordmanager om wachtwoorden te onthouden.
• Gebruik voor elke account een uniek wachtwoord. Da’s een inkoppertje. Als je overal hetzelfde wachtwoord gebruikt, hoeft een hacker maar één wachtwoord te kraken om toegang tot al je accounts te verkrijgen.
• Zorg dat de beveiliging van je apparaten up-to-date is. Zorg ervoor dat je altijd de nieuwste versies van besturingssystemen en toepassingen gebruikt, zodat je apparaten optimaal beschermd zijn tegen aanvallen van buitenaf.
• Controleer je rekeningoverzicht op vreemde transacties. Cybercriminelen met toegang tot je (online) rekening schrijven soms maar minimale bedragen af. Dit voorkomt dat ze tijdens veiligheidscontroles van banken worden opgemerkt. Houd je transacties daarom altijd goed in de gaten.

Geen paniek. Zorg ten eerste voor overzicht op de situatie en neem maatregelen om de schade van een datalek te beperken.

Vertrouw niet op e-mails van bedrijven die je vertellen dat je data gelekt is. Dit zijn vaak phishing-e-mails. Bel het bedrijf daarom op of wacht tot ze het op hun website bekendmaken.

Met een BSN kunnen criminelen gemakkelijker identiteitsfraude plegen. Bij het openen van bankrekeningen of het afsluiten van een contract is echter ook een kopie van het ID nodig. Met alleen een BSN kunnen criminelen dus niet zoveel.

Je kunt hier controleren of een specifiek wachtwoord gelekt is. Als dat inderdaad zo is, verander je wachtwoord en beveiligingsvragen dan onmiddellijk.

Wijzig je gebruikersnaam en wachtwoord onmiddellijk en ga na of je dezelfde gegevens ook op een andere website gebruikt. Gebruik aparte e-mailadressen om je aan te melden bij belangrijke accounts voor bijvoorbeeld online bankieren, je zorgverzekering of de universiteit. Als je voor elke account dezelfde gegevens gebruikt, kan een hacker na één inbraak toegang tot al je accounts krijgen.

Dit is vooral gevaarlijk als het gebeurt in combinatie met het lekken van je ID of je BSN.

Meld het lek bij de Autoriteit Persoonsgegevens (AP) en let extra goed op vreemde mailtjes of berichtjes die je ontvangt. Als criminelen je als een potentieel doelwit voor identiteitsfraude zien, zullen ze misschien op andere manieren nog meer persoonlijke informatie van je te weten proberen te komen. In dit geval is het van belang krachtige antimalware zoals Threat Protection van NordVPN te gebruiken, die bestanden op malware scant en je helpt schadelijke links en websites te vermijden.

Maak je je zorgen dat je gevoelige informatie niet veilig genoeg is? Gebruik een VPN om je accounts tegen hackers te beschermen.