Risico’s van bedrijfsdata bij derden

Is je bedrijfsdata in beheer bij derden? Dan loop je mogelijk deze risico’s

Waar denk jij aan als je aan de cyberbeveiliging van je bedrijfsdata denkt? Aan de gegevens in de Cloud? Of de data op de server? Die twee zijn belangrijk. Maar data-beveiliging gaat verder. Tegenwoordig hebben veel organisaties hun gegevens ook in beheer bij derden. Denk aan administratieve gegevens als salarisgegevens of aan medische gegevens. Maar ook bedrijfsgevoelige data als omzet, productspecificaties of (fysieke) beveiligingsinformatie. Met deze bedrijfsdata in beheer bij derden loop je mogelijk verschillende risico’s.

Vaak wordt er – onterecht – vanuit gegaan dat de ‘zwakke plek’ van de beveiliging bij de organisatie zelf ligt en dat derden de beveiliging wel op orde zullen hebben. Maar niets is minder waar. Het risico van de derde partij is vaak een blinde vlek, die in kaart moet worden gebracht én waar de medewerkers zich bewust van moeten zijn.

Stof tot nadenken

Wereldwijde cijfers laten zien dat de risico’s van bedrijfsdata bij derden steeds groter zijn geworden, met grotere gevolgen. Inmiddels heeft meer dan 50% van de bedrijven een datalek door derden ervaren met lichte of zware consequenties. Heb je tot nu toe nog niet nagedacht over hoe de cyberbeveiliging bij leveranciers, serviceproviders of in de toeleveringsketen je bedrijfsvoering kan beïnvloeden? Dan geven we je met de volgende cijfers wat stof tot nadenken.

• 80% van de bedrijven wereldwijd heeft in de afgelopen 12 maanden te maken gehad met een datalek door derden.
• 92% van de Amerikaanse organisaties heeft in de afgelopen 12 maanden te maken gehad met een inbreuk, als gevolg van een zwakte in hun toeleveringsketen.
• 69% van de bedrijven heeft geen zicht op de cyberbeveiligingspraktijken van hun leveranciers.
• Meer dan 60% van de informatie die tegenwoordig op het Dark Web beschikbaar is, kan bedrijven schaden.

Om te illustreren hoe makkelijk het mis kan gaan wanneer je data in beheer hebt bij derden, hebben we een aantal sprekende voorbeelden voor je.

Voorbeeld 1: kantoorartikelen bestellen

Een administratief medewerker bestelt kantoorartikelen bij een leverancier via een online-account. Ze gebruikt hetzelfde wachtwoord voor dit account, als voor haar Microsoft (Office) 365-account. Vervolgens heeft de kantoorartikelenleverancier een datalek, is haar wachtwoord onderschept én ligt dus ook haar Microsoft-wachtwoord op straat.

“Laat de verantwoordelijkheid van het wachtwoordbeleid niet bij de medewerkers liggen en neem zelf het initiatief met een one-time-login oplossing.”

Voorbeeld 2: salarisadministratie

De salarisadministratie gebruikt cloudgebaseerde software via een boekhoudbedrijf, om wekelijks de salarisadministratie te kunnen uitvoeren. Deze dienstverlener bezit alle financiële informatie, gevoelige informatie over het personeel en veel persoonlijk identificeerbare informatie over werknemers. Heeft deze boekhoudkundige dienstverlener een datalek? Dan komt gevoelige financiële of privacygevoelige informatie op straat te liggen. Ook kan een concurrent een hacker inschakelen, om actief informatie naar boven te halen die interessant is voor de concurrentie of een overname.

Voorbeeld 3: productcomponenten inkopen

Je koopt al jaren verschillende componenten van je product – die je zelf niet kunt produceren – in bij een vertrouwde partner. Hij heeft alle technische gegevens en specificaties van jouw product in huis. Ontstaat bij hem een datalek? Bijvoorbeeld door een hack of doordat een medewerker ongeoorloofd toegang heeft tot een systeem en met de gegevens aan de haal gaat? Dan kan dit ernstige gevolgen hebben.

“Data Loss Prevention (DLP) -software houdt alle bewegingen van files op het netwerk in de gaten en geeft achteraf een rapportage wie een bestand heeft geopend of gekopieerd”

Voorbeeld 4: Automatisering uitbesteden aan een ICT-dienstverlener

Je besteedt de automatisering uit aan een ICT-dienstverlener. Die dienstverlener gebruikt software waardoor alle servers en clients gemanaged kunnen worden. Oftewel: de dienstverlener beschikt letterlijk over álle digitale toegangssleutels van het netwerk, alle wachtwoorden en login-gegevens. Wanneer de ICT-dienstverlener gehackt wordt, hebben cybercriminelen dus de volledige toegang tot jouw bedrijfsnetwerk en alle gegevens.

Niet voor niets zijn ICT-bedrijven tegenwoordig een geliefd doelwit voor cybercriminelen. Heeft jouw ICT-dienstverlener cybersecurity niet als absolute nummer één binnen de bedrijfsvoering staan, bekijk dan kritisch of deze partner geen te groot bedrijfsrisico vormt.

Wat kun je zelf doen?

Meestal kun je de gegevens bij derden niet beschermen. Wat je wel kunt doen, is de risico’s van je bedrijfsdata bij derden in kaart brengen. Daarbij kun je door middel van een analyse evalueren of dit aanvaardbare risico’s zijn, of dat er aanvullende maatregelen nodig zijn bij de derde partij. Volg daarvoor deze praktische stappen:

• Breng in kaart welke leveranciers data van je bedrijf bezitten.
• Classificeer de data en maak voor elke partner inzichtelijk om wat voor data het gaat.
• Koppel per partner een belang aan de data, net als een risiconiveau wanneer hier iets mee zou gebeuren.
• Ga voor alle items die een hoog belang of risico hebben na hoe deze data momenteel is beveiligd.
• Herhaal deze stappen elk jaar en verlang bij gevoelige data ook bewijsstukken over beveiliging en back-up van de derde partij.

Zet deze stappen in je organisatie

Daarnaast kun je natuurlijk eisen stellen aan je partners. Zoals het gebruikt van bepaalde beveiligingsmiddelen, software die activiteiten monitort of een cybersecurityplan. Ook kun je een ISO 27001-certificering vereisen. In je eigen organisatie kun je ook stappen zetten, waardoor je minder risico loopt wanneer een partner wordt gehackt. Welke stappen dit precies zijn verschilt per organisatie en type data. Volg bijvoorbeeld deze richtlijnen:

• Maak zelf regelmatig een back-up van de Cloud-informatie van je partner.
• Verhoog de awareness bij je medewerkers. Zorg dat er geen gevoelige data als wachtwoorden, logingegevens of andere kritische data worden opgeslagen in externe systemen. Dit kan bijvoorbeeld met een simpele awareness-campagne, waarin medewerkers met regelmaat worden getraind.
• Gebruik tools om het recyclen van wachtwoorden tegen te gaan. Denk aan een password vault of one-time-login-oplossingen.
• Controleer regelmatig of er gegevens van jouw bedrijf opduiken op het Dark Web. Er zijn tools beschikbaar die voor weinig geld ingezet kunnen worden en je een melding geven zodra er gegevens op straat liggen.

Benieuwd hoe het zit met de risico’s van jouw bedrijfsdata bij derden? De security-experts van HCA Groep kijken graag met je mee. Neem nu contact met ons op.