De meest schadelijke datalekken zijn te voorkomen: zo doet u dat

De meest schadelijke datalekken zijn te voorkomen: zo doe je dat

Door Phil Muncaster • 17 July 2025

We weten allemaal dat veel organisaties hun gegevensbescherming kunnen verbeteren. De Britse overheid Onderzoek naar cyberbeveiligingsinbreuken 2025 benadrukt een hele lijst van tekortkomingen – van bewustwordingstraining tot incidentrespons – die hen indirect blootstellen aan cyberrisico's. Zelfs het bestaan van een strikt kader voor gegevensbescherming (AVG/Data Protection Act 2018) gedurende de afgelopen zeven jaar heeft het tij niet gekeerd. overheidsclaims Meer dan twee vijfde (43%) van de Britse bedrijven heeft de afgelopen 12 maanden te maken gehad met een aanval of inbreuk.

Er zijn echter volop mogelijkheden voor snelle winst, iets wat wordt benadrukt door een nieuw rapport van Jager BeveiligingHet rapport stelt dat 30% van de incidenten die vorig jaar bij de Britse en Australische toezichthouders op het gebied van gegevensbescherming werden gemeld, verantwoordelijk was voor 90% van de slachtoffers van inbreuken. De bevindingen van het rapport kunnen daarom een nuttig instrument zijn voor organisaties met geldproblemen om hun directe inspanningen op te richten.

Hoe het Verenigd Koninkrijk en Australië verschillen

Huntsman Security heeft een verzoek op grond van de Wet openbaarheid van bestuur (Wob) ingediend bij zowel het Britse Information Commissioner's Office (ICO) als de Australische Information Commissioner (OAIC). De resultaten geven een iets ander beeld van de regelgeving en het beveiligingslandschap in beide landen.

Verenigd Koninkrijk: Van de 9,654 incidenten met gegevensbeveiliging die Britse bedrijven vorig jaar bij de ICO meldden, waren er 2,817 (29%) te wijten aan brute-force-aanvallen, malware, phishing, ransomware en verkeerde systeemconfiguraties. Toch waren deze incidenten goed voor bijna 80% van de slachtoffers: 13.9 miljoen van de 17.6 miljoen.

Huntsman Security beweerde dat deze incidenten ook goed waren voor 90% van de cybergerelateerde incidenten met betrekking tot gegevensbeveiliging. Dit betekent dat een focus op beveiligingsmaatregelen een effectieve manier zou kunnen zijn om deze incidenten te beperken. Veel incidenten waren blijkbaar zeer gericht en daarom ontworpen om te resulteren in de diefstal van waardevolle gegevens, zoals medische dossiers, financiële informatie en identiteitsdocumenten.

Australië: In totaal waren er 1,188 incidenten (32% van het totaal aantal gerapporteerde incidenten tussen 2022 en 24) waarbij sprake was van brute-force-aanvallen, malware, phishing, ransomware, hacking en ongeautoriseerde toegang. Deze waren verantwoordelijk voor 77% van alle gecompromitteerde records. Het rapport toont ook aan dat criminele aanvallen (in tegenstelling tot onbedoelde inbreuken) goed waren voor 62% van alle inbreuken, maar 98% van alle slachtoffers.

Het rapport benadrukt ook dat het in Australië 48 dagen duurde voordat organisaties deze inbreuken ontdekten en 86 dagen voordat ze deze aan de OAIC meldden. Dat is simpelweg niet toegestaan onder de AVG, waar een melding in de meeste gevallen binnen 72 uur moet plaatsvinden.

Waar het Verenigd Koninkrijk faalt

Deze bevindingen komen enigszins overeen met het rapport van de Britse overheid over inbreuken. Zoals eerder gerapporteerd door ISMS.online, Het benadrukt een hele reeks problemen die bijdragen aan een toename van het aantal vermijdbare datalekken, waaronder een algemeen gebrek aan:

Opleidingsprogramma's voor personeel, waar de opname niet was verschoven ten opzichte van het rapport van het voorgaande jaar
Risicobeoordelingen van externe leveranciersdie slechts door 32% van de middelgrote en 45% van de grote bedrijven werden uitgevoerd
Plannen voor reactie op incidenten, die slechts door de helft (53%) van de middelgrote bedrijven en driekwart (75%) van de grote bedrijven werden gebruikt
Cybersecuritystrategie: slechts 57% van de middelgrote bedrijven en 70% van de grotere bedrijven had er zelfs maar één
Bestuurskamervertegenwoordiging voor cyber: slechts de helft (951%) van de middelgrote en tweederde (66%) van de grote bedrijven had iemand aan de toptafel zitten die verantwoordelijk was voor de cyberstrategie – een cijfer dat al drie jaar vrijwel onveranderd is
Maandelijkse cyberupdates voor bedrijfsleiders, wat slechts 39% van de middelgrote en 55% van de grote bedrijven doet

Best practices afstemmen op normen

Er is één kanttekening bij de cijfers van Huntsman Security. Ze tellen alleen incidenten mee waarbij voor elke inbreuk een oorzaak kon worden vastgesteld. Veel meer incidenten krijgen mogelijk geen oorzaak toegewezen vanwege gebrekkig forensisch onderzoek of incidentrespons. Toch benadrukt het een belangrijke boodschap. Door te focussen op de bovengenoemde soorten incidenten en bedreigingen, en op best practices voor cybersecurityprocessen die deze risico's beperken, kunnen beveiligingsteams een aantal nuttige quick wins behalen.

Morten Mjels, CEO van adviesbureau Groene Raafbetoogt dat cultuur essentieel is om ervoor te zorgen dat beste praktijken worden nageleefd.

"De verandering moet van bovenaf komen, en je kunt de cultuur veranderen door simpelweg meerdere maatregelen tegelijk te implementeren", vertelt hij aan ISMS.online. "Als je geen idee hebt van je potentiële risico, laat dan een professionele risicobeoordeling uitvoeren. Zij kunnen de gaten in je muren vinden en je helpen ze te dichten. Vertrouw er niet op dat je IT-mensen alles oplossen; zij zijn geen alwetende wonderdoeners."

Piers Wilson, hoofd productmanagement bij Huntsman, vertelt ISMS.online dat normen en raamwerken zoals ISO 27001 en ISO 27701 "een belangrijk onderdeel kunnen vormen van het beperken van cyberrisico's door ervoor te zorgen dat organisaties hun risico's begrijpen, best practices volgen en passende controles definiëren."

Hij voegt toe: "Het belangrijkste is de keuze van het raamwerk dat je toepast: of het nu ISO, NIST of kleinere, meer gerichte standaarden en schema's zijn zoals Cyber Essentials of Essential Eight van Australië."

Het doel moet altijd zijn om een reeks controlemaatregelen vast te stellen die breed worden begrepen en erkend en die vervolgens universeel worden toegepast, voegt hij toe.

"In de meeste gevallen is niet de intentie of het beleid het probleem, maar de uitvoering. Het naleven van normen kan een kwestie van afvinken worden, en de frequentie van audits en rapportages is mogelijk niet frequent genoeg voor moderne, veranderende cyberdreigingen", betoogt Wilson.

Een jaarlijkse audit of kwartaalrapportage biedt niet de realtime zichtbaarheid en het inzicht in kwetsbaarheden die het moderne dreigingslandschap vereist. Tussen deze audits door kan de houding van de organisatie variëren en grotendeels onzeker zijn.

Daarom vereist ISO 27001 dat organisaties regelmatig interne audits en voortdurende monitoring uitvoeren om voortdurende verbetering te stimuleren.

Wilson merkt op dat effectieve communicatie cruciaal is om naleving te bereiken.

"Iedere belanghebbende in een organisatie, van beveiligingsanalisten tot risicomanagementteams en leidinggevenden, moet in één oogopslag kunnen zien of er goede, overeengekomen werkwijzen worden gevolgd, in welke status controles er daadwerkelijk zijn en wie verantwoordelijk is voor het oplossen van problemen", concludeert hij.

“Het waarborgen van deze continue zichtbaarheid en communicatie is van cruciaal belang om ervoor te zorgen dat deze normen het gewenste effect hebben.”

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster