De horrorstory van onderzoeksbureau Blauw

Als u met uw organisatie waardevolle bedrijfsgegevens in handen geeft bij een leverancier (en dat gebeurt heel regelmatig) wilt u natuurlijk ook weten dat deze uw bedrijfsinformatie goed beveiligt. Of wilt u een organisatie overnemen en weten of deze voldoende goed is ingericht op het gebied van cybersecurity? Een Security Check bij derden biedt in dit soort gevallen uitkomst. Nee contact met ons op voor meer informatie.

Het datalek bij het Nederlandse marktonderzoekbureau Blauw kan het grootste datalek ooit in Nederland worden. Blauw werkt voor veel bekende organisaties zoals NS, Vrienden van Amstel Live, VodafoneZiggo en CZ, waarvan nu miljoenen klantgegevens op straat liggen. Uit onderzoek blijkt dat de softwareleverancier Nebu verantwoordelijk is voor het datalek. Ondanks een ISO 27001-certificering (verkregen via een Hongaarse auditor) blijkt de security hygiëne bij Nebu ondermaats te zijn, vooral op het gebied van patching en netwerksecurity. Blauw zelf lijkt te voldoen aan de gangbare regels en voorschriften, maar had veel proactiever kunnen zijn in risk management. Nebu had meer moeten doen om hun software veilig te maken en te houden. Blauw stapt naar de rechter, en dit steeds groter wordende datalek zal naar verwachting meer aandacht krijgen.

Hoe kan een datalek via een leverancier worden voorkomen?

Uit dit datalek kunnen we een aantal zeer relevante leerpunten halen:

1. Zorg voor goede security hygiëne: Organisaties die met gevoelige data werken, moeten hun systemen en netwerken goed beveiligen om datalekken te voorkomen.
2. Wees proactief in risk management: Bedrijven moeten actief risico's identificeren en mitigeren, ook in hun leveranciersketen, om potentiële kwetsbaarheden tijdig op te sporen en te verhelpen.
3. ISO 27001-certificering is geen enkele garantie: Hoewel een ISO 27001-certificering een indicatie kan geven van goede beveiligingspraktijken, is het geen wondermiddel. Het is belangrijk om verder te kijken dan certificeringen, security vragen te stellen en de daadwerkelijke beveiligingsmaatregelen te beoordelen.
4. Kies zorgvuldig je softwareleveranciers: Werk alleen met betrouwbare en geverifieerde leveranciers om te waarborgen dat de beveiliging van software en systemen aan de vereiste normen voldoet.
5. Controleer regelmatig de beveiligingsstatus: Aangezien de beveiligingssituatie voortdurend verandert, is het belangrijk om regelmatig de beveiligingsstatus van je organisatie en leveranciers te evalueren en te updaten waar nodig.

Lees ook dit artikel voor het hele verhaal omtrent het datalek bij NEBU.

Als u met uw organisatie waardevolle bedrijfsgegevens in handen geeft bij een leverancier (en dat gebeurt heel regelmatig) wilt u natuurlijk ook weten dat deze uw bedrijfsinformatie goed beveiligt. Of wilt u een organisatie overnemen en weten of deze voldoende goed is ingericht op het gebied van cybersecurity? Een Security Check bij derden biedt in dit soort gevallen uitkomst.