Colosseum Dental Nederland is getroffen door een cyberaanval en heeft de hackers inmiddels losgeld betaald om de mondzorg te kunnen hervatten. Dat schrijft het bedrijf op zijn website.
Het gaat om Colosseum Dental Nederland waarbij ongeveer 120 tandartspraktijken zijn aangesloten. Die praktijken hopen in de loop van deze week weer open te kunnen. De zorg lag volledig stil doordat systemen niet toegankelijk waren na een ransomware-aanval.
Cyberaanval is een crimineel verdienmodel
“Alles is data” . Als je denkt als ondernemer ‘dat overkomt mij niet’ omdat:
- Je hebt geen gevoelige data;
- Je denkt dat je goed beveiligd bent;
Dan ben je in de gevarenzone. Cyberaanvallen zijn zo lucratief dat de wet van Murphy heel kortbij is.
Bij het mondzorgbedrijf was de voornaamste overweging om te betalen de gevoelige data. Persoonsgegevens. Een datalek. Dan is waarschijnlijk de ransomware betalen een goedkopere oplossing dan dat alle persoonsgegevens op straat komen te liggen. In dat geval kunnen de boetes van de APG nog veel hoger uitvallen.
De cybercriminelen hebben eerst al je KvK stukken gecheckt. Wat is je omzet? Wat is je winst? Op basis daarvan bepalen zij hoeveel pijn ze de onderneming kunnen doen.
Stel een productiebedrijf. Niet in het bezit van bijzondere personeelsgegevens. Ook dat kan gehackt worden. Stel dat al je systemen vastzitten? Je kunt de machines niet meer aansturen, geen offerte meer maken, geen factuur meer sturen, de telefooncentrale ligt eruit. Je hebt 100 personen in de fabriek die aan het duimendraaien zijn. Je hebt al moeite genoeg om tijdig te kunnen uitleveren. Als directie wordt je helemaal gek van zo’n rampscenario. Toch gebeurt het bijna wekelijks en worden miljoenen aan ransomware-sommen betaald om maar weer ‘los’ te kunnen.
Dus het kan jou organisatie ook gebeuren.
Hoe kun je voor je organisatie een systeem bedenken dat je ‘veilig’ bent? Of dat je klant weet dat hun ‘data’ bij jou ‘veilig’ is? 100% veiligheid bestaat niet. Maar je kunt het hackers wel heel moeilijk maken en daarmee een veiligheidswal opwerpen.
Je richt een managementsysteem in volgens ISO27001 (informatiebeveiliging) of volgens de NEN7510 (informatiebeveiliging van patiënt- en gezondheidgegevens).
Het eerste wat wij doen is de risico’s in kaart brengen. De ISO helpt ons daarbij want zij heeft al ruim 114 risico’s in kaart gebracht en de NEN7510 boven deze 114 nog eens 33. Voor ieder risico moet een beheersmaatregel zijn.
Hoe groot het risico is of de impact van het risico kun je bepalen met de volgende formule:
Kans x blootstelling x effect = risicowaarde.(R). Hoe hoger de R, hoe sterker de beheersmaatregel moet zijn.
Type beheersmaatregelen.
Wij kennen TOM. TOM staat voor Techniek, Organisatie, Mens.
Technische oplossingen hebben de voorkeur. Deze zijn immers het minst kwetsbaar. Maar het is de combinatie die voor ‘veiligheid’ zorgt.
Technische maatregelen zijn bijvoorbeeld:
- Twofactor authenticatie (tokens of SMS);
- Firewalls;
- VPN verbindingen;
- Cryptografische sleutels, SSL, TLS;
- Werkplekbeveiliging (virusscanner, anti-malware);
- Beveiliging op uw Office365 of Microsoft Azure omgeving;
- Redundantie;
- Back-ups;
Organisatorische maatregelen zijn:
- Regelmatig password laten wijzigen;
- Clean desk, clear screen (geen gebruik van open notitieblokken, screensavers);
- Toegang beperking tot datasystemen. Moet iedereen overal wel in kunnen? Beperkt dat waar mogelijk -> vermindert de kans op lekken;
- Classificatie van documenten. Is het vrij? Geheim ? vertrouwelijk? Wie mag het lezen? Wie niet? Wie heeft het beheer?
- Gegevensverwerkersovereenkomsten? Beheren wij gegevens van derden en zijn er overeenkomsten? Een SLA of NDA? Of beheren anderen gegevens van ons? Hoe is dat beveiligd? Hebben wij daar gegevensverwerkersovereenkomsten van?
De zwakste schakel ‘de Mens’.
- De mens moet natuurlijk wel weten wat er van hem/haar verlangd wordt
- Duidelijke taak/functieomschrijving;
- Bedrijfsregels kennen en in acht nemen van ‘sluiten de deur’ tot ‘verlaten van de PC en met de Windows L combinatie de PC veilig stellen’;
- Bedieningsinstructies programmatuur;
- Beschikken over de benodigde kennis om kundig en veilig te kunnen werken met de IT systemen.
Dat zijn zaken die kunnen wij bedrijfsintern wel regelen. En dat is voor 50% al risicoreductie. Maar waar staat onze data?
Staat het in the cloud? Waar en bij wie? Staat het datacenter wel in Nederland? Hoe is de beveiliging? Wat voor SLA hebben wij? Wat gebeurt er bij stroomuitval? Is onze data redundant (2x op aparte datadragers) Wat voor back ups hebben wij? Is dat wekelijks? Dagelijks? Real time? Staat onze data op gescheiden systemen en delen wij dat met andere organisaties? Wat is voor ons belangrijk? Ook datacenters kunnen gehackt worden. Indien een datacenter ook ISO27001 gecertificeerd is, dan weet je dat er beheersmaatregelen zijn over dezelfde vraagstukken en dat het een ‘beheerst proces’ is.
Swadon Cyber implementeert en onderhoud ISO27001 en NEN7510 managementinformatiesysteem met het TOM principe volgens de jongste beveiligingsmethodieken. Want het veilig beheren en omgaan met data en datadragers is een dynamisch proces.
