De datalekken van de verkiezingscommissie en de politie brengen grote veiligheidslekken in de Britse publieke sector aan het licht – hoe kunnen we deze oplossen?

Ernstige datalekken bij de verkiezingscommissie en meerdere Britse politiekorpsen hebben duidelijk gemaakt dat organisaties uit de publieke sector niet immuun zijn voor de dreiging van cybercriminelen.

In augustus heeft de verkiezingscommissie bevestigd het was het slachtoffer van “een complexe cyberaanval” die de persoonlijke informatie van 40 miljoen Britse burgers in gevaar bracht. De inbreuk, die voor het eerst plaatsvond in augustus 2021, bleef tot oktober 2023 onontdekt en zorgde ervoor dat hackers referentie-exemplaren van het kiesregister konden achterhalen. Dit betekende dat ze toegang hadden tot de namen en adressen van miljoenen Britse kiezers.

De Commissie gaf toe dat “er niet voldoende bescherming was getroffen om deze cyberaanval te voorkomen”, en dat is nu wel het geval schijnbaar dat de overheidsinstantie niet slaagde voor een Cyber ​​Essentials-test die bedoeld was om de cyberverdediging van organisaties te verbeteren voordat de aanval plaatsvond. In het licht van de ernst van de aanval van augustus 2021 beweert de organisatie begonnen te zijn met het “verbeteren van de beveiliging, veerkracht en betrouwbaarheid” van haar IT-systemen.

Elders in de Britse publieke sector hebben meerdere Britse politiediensten onlangs te maken gehad met aanzienlijke datalekken. In augustus, de Londense Metropolitan Police gealarmeerd tienduizenden medewerkers zijn getroffen door een datalek veroorzaakt door “ongeoorloofde toegang tot het IT-systeem van een Met-leverancier.”

De IT-leverancier in kwestie beschikte over informatie zoals namen, rangen, foto's, controleniveaus en betaalnummers van de politieagenten en het personeel van de Met. De Met zei echter dat de hack niet resulteerde in het lekken van persoonlijke gegevens zoals namen, adressen en financiële informatie. Andere Britse politiekorpsen die recentelijk te maken hebben gehad met datalekken zijn onder meer de politie van Greater Manchester en de politie van Noord-Ierland.

Deze datalekken hebben bewezen dat persoonlijke gegevens niet noodzakelijkerwijs veilig zijn in de handen van overheidsinstanties en dat zij meer moeten doen om hun cyberbeveiligingscapaciteiten te verbeteren. Maar welke cyberbeveiligingskaders en best practices kunnen ze implementeren om ervoor te zorgen dat deze incidenten nooit meer voorkomen?

Cruciale lessen die moeten worden geleerd

Een van de grootste lessen van deze inbreuken is dat zelfs zeer veilige databases kwetsbaar zijn voor inbreuken en lucratieve doelwitten blijven voor cybercriminelen. Herzien en beperken toegangsrechten naar databases met grote hoeveelheden persoonlijke gegevens is een uitstekende eerste stap, maar het is niet het enige waar organisaties rekening mee moeten houden.

Nu het landschap van cyberdreigingen zich met een ongekende snelheid ontwikkelt, moeten organisaties cybercriminelen een stap voor blijven door te anticiperen op de beveiligingskwetsbaarheden en hackmethoden die zij bij hun aanvallen kunnen gebruiken. De enige manier om dit te doen is door regelmatig cyberveiligheidsaudits uit te voeren en op de hoogte te blijven van de nieuwste cyberbedreigingen.

Het is ook van cruciaal belang dat we begrijpen dat datalekken meer dan alleen financieel verlies veroorzaken. Gezien de cruciale rol die de kiescommissie, de politie en andere overheidsinstanties spelen in het openbare leven, kunnen ze het zich niet veroorloven het vertrouwen van de burgers te verliezen. Maar helaas vormen reputatieschade en de erosie van het publieke vertrouwen enorme risico's cyberaanvallen invloed hebben op publieke instellingen. Bovendien voelen deze organisaties doorgaans de volle kracht van regelgevende instanties, waardoor hun essentiële publieke werk aanzienlijk wordt ondermijnd.

David Sancho, een senior dreigingsonderzoeker bij cyberbeveiligingsbedrijf Trend Micro, beschreef de datalekken op de kieslijst en bij de politie als “goede voorbeelden van gevallen waarin organisaties de beveiliging van de gegevens die ze beschermen niet serieus nemen”.

Sancho waarschuwde organisaties om de gegevensbeveiliging niet te verwaarlozen “omdat aanvallers elk moment kunnen toeslaan”. Hij zei dat, ongeacht hun omvang, elk bedrijf en elke organisatie ‘onderworpen is aan cyberaanvallen’.

Hij voegde eraan toe: “Mijn ervaring is dat sommigen beveiligingsuitgaven op een lagere prioriteit plaatsen, met een redenering als “het zal ons niet overkomen, we zijn de tijd van een cyberaanvaller niet waard”. Dit mag niet gebeuren en alle bedrijven moeten klaar zijn voor dit soort pogingen.”

Verbetering van de cyberbeveiligingsfundamenten

Of het nu gaat om financieel verlies, reputatieschade of gevolgen van de regelgeving, veel van deze risico's kunnen worden vermeden als organisaties de dreiging van cybercriminaliteit serieus nemen. Maar daden spreken luider dan woorden – organisaties moeten niet alleen maar beloven hun prestaties te verbeteren internetveiligheid een publieke verklaring afleggen na een ernstige inbreuk, maar concrete, kwalitatieve stappen ondernemen om hun cyberbeveiligingsfundamenten te versterken.

Nu menselijke fouten zo’n prominente rol spelen bij datalekken, moeten organisaties meer doen om hun personeel voor te lichten over het opsporen en beperken van cyberveiligheidsrisico’s. Nu het cyberrisicolandschap steeds groter wordt, volstaat één enkele PowerPoint-presentatie om een ​​vakje aan te vinken niet genoeg. Zowel organisaties uit de publieke als de private sector moeten regelmatig hun activiteiten uitrollen opleiding en bewustwording van het personeel campagnes. Organisaties als het Nationaal Centrum voor Bedrijfscriminaliteit bieden dit aan gratis cybersecuritytraining voor medewerkers, zodat cyberbewustzijn geen beslag hoeft te leggen op de bedrijfsbudgetten.

Een andere fundamentele maar essentiële stap om de cyberbeveiligingsfundamenten van een organisatie te verbeteren, is het regelmatig updaten van software en systemen om beveiligingskwetsbaarheden te verhelpen. Migreren van verouderde besturingssystemen zoals Windows 7 en 8 zal ook gaten in de softwarebeveiliging voorkomen. Implementeren multi-factor authenticatie zal ook de kans verkleinen dat snode partijen ongeautoriseerde toegang krijgen tot de IT-systemen van een organisatie.

Het implementeren van een internationaal erkend industrieraamwerk zoals het Cybersecurity Framework van het National Institute of Standards of ISO 27001 zal de cyberveerkracht van de organisatie vergroten. Deze raamwerken helpen organisaties op gebieden als vermogensbeheer, toegangscontroles, kwetsbaarheidsbeheer, respons op incidenten, beveiliging door derden en voortdurende verbetering.

Luke Dash, CEO van ISMS.online, zei dat dergelijke raamwerken organisaties zullen helpen “de veerkracht tegen aanvallen aanzienlijk te verbeteren”. In het licht van de datalekken bij de kieslijsten en de politie dringt hij er bij regeringen op aan om de implementatie van cyberbeveiligingskaders verplicht te stellen bij overheidsinstanties – vooral als deze gevoelige gegevens bewaren – samen met audits en raamwerkcertificering.

Integratie van deze lessen en kaders

Het implementeren van een cybersecurityframework en het verbeteren van de cyberweerbaarheid zal voor veel organisaties geheel nieuw zijn. Wat kunnen ze doen om deze doelstellingen met succes te bereiken?

Dash zegt dat organisaties cybersecurity niet als een “bijzaak” mogen beschouwen. De sleutel naar cyber veerkracht is “toegewijde focus, middelen en een voortdurende inzet. Hij vervolgde: “Het implementeren van een robuust raamwerk kan de verdediging helpen versterken voordat er een inbreuk plaatsvindt. Het publiek verdient beveiliging van wereldklasse voor hun gegevens, en deze raamwerken bieden een blauwdruk. Er moet nog veel gebeuren, maar de weg vooruit is duidelijk.”

Het vergroten van de zichtbaarheid van de netwerken van een organisatie zal volgens Sancho ook helpen gevoelige gegevens te beschermen. Hij adviseerde: “Dat bereik je met software die netwerkgedrag analyseert en uiteenlopende afwijkingen kan signaleren als een gezamenlijke hackinspanning. Door deze verbeterde zichtbaarheid kan een verdediger begrijpen dat hij of zij wordt aangevallen voordat de schade is aangericht.”

Ongeacht de branche of omvang moeten alle organisaties die gevoelige informatie verwerken en opslaan ook stappen ondernemen om dit te begrijpen wetten inzake gegevensprivacy, zoals de Algemene Verordening Gegevensbescherming.

Kevin Modiri, een advocaat bij advocatenkantoor Nelsons, zei: “De Algemene Wetgeving inzake Gegevensbescherming (AVG) is in 2018 van kracht geworden en regelt hoe we persoonlijke gegevens kunnen gebruiken, verwerken en opslaan, inclusief alle informatie over een identificeerbare, levende persoon. De wetgeving geldt voor alle organisaties, ook voor organisaties die goederen en diensten leveren.”

Key Takeaways

De datalekken op de kieslijst en bij de politie waren ongelukkige incidenten die miljoenen mensen troffen, maar wat duidelijk is, is dat ze waardevolle lessen hebben opgeleverd voor organisaties die met gevoelige informatie omgaan.

Misschien wel de grootste les is dat alle organisaties hun cyberbeveiligingscapaciteiten moeten beoordelen en voortdurende maatregelen moeten nemen om gevoelige gegevens te beveiligen. Wachten tot inbreuken plaatsvinden is geen optie, omdat er zoveel op het spel staat, waaronder financieel verlies, reputatieschade en regelgeving.

Effectieve maatregelen om datalekken te voorkomen zijn onder meer de implementatie van internationale cyberbeveiligingskaders en het regelmatig geven van consistente cyberbeveiligingstrainingen voor iedereen binnen de organisatie.