Gegevens op straat
In de zomervakantie heeft dit nieuwsblog wat ‘stilgestaan’, maar niet omdat er niets te melden was. Met de regelmaat van de klok waren er berichten over datalekken, hackers die in systemen binnenkwamen en de vervelende gevolgen voor personen en bedrijven.
Bleef er vroeger weleens een map met persoonlijke gegevens per ongeluk achter in de trein, later werden dat usb-sticks of een laptop. Maar een lek uit een compleet digitaal bestand van een bedrijf of instelling treft veel meer mensen.
Een voorbeeld daarvan is de ‘digitale inbraak’ bij de Hogeschool van Arnhem en Nijmegen (HAN) van vorige week. De hacker eiste losgeld, maar daar wilde de hogeschool niet op ingaan. Met als gevolg het openbaar maken van een lijst met namen, adressen en wachtwoorden (!) van tienduizenden mensen die ooit op de HAN werkten of studeerden.
Juist die combinatie van gegevens maakt de kans op misbruik groot; identiteitsfraude, phishing is voor internetcriminelen veel eenvoudiger als er meer details over iemand bekend zijn. En wat te denken van het bekend worden van het adres van iemand die al een tijd gestalkt wordt door haar ex. Omdat veel mensen overal eenzelfde wachtwoord gebruiken is het uitlekken hiervan ook een uitgelezen kans voor hackers.
De HAN is de dupe geworden van een hacker; de beveiliging van de gegevens heeft dus in elk geval ‘gaten’ gehad. Maar verder valt het de hogeschool te verwijten dat er zo’n lijst bestaat. Wachtwoorden moeten door een bedrijf of instelling altijd versleuteld worden opgeslagen, dit is verplicht volgens de Algemene Verordening Gegevensbescherming (AVG).
Het onderzoek loopt nog, daarom wil de HAN niet verder op de zaak ingaan.
Het is maar weer eens gebleken dat het zorgvuldig omgaan met gegevens, goede beveiliging toepassen, een zaak is die vraagt om deskundigheid en vakmanschap!