‘Slechts 20 tot 30 procent van de hackings wordt ontdekt’
Na dagenlange problemen met het internetbankieren stelde Argenta aan klanten voor dringende overschrijvingen via e-mail te regelen. “Dat doet jaren van bewustmaking teniet”, stelt Matthias Dobbelaere-Welvaert, ICT-jurist en managing partner bij deJuristen.
U maakte zich kwaad omdat Argenta op zijn website klanten voorstelde voor dringende overschrijvingen hun identificatiegegevens te mailen.
MATTHIAS DOBBELAERE-WELVAERT. “Dat doet jaren van bewustmaking teniet. Je mag nooit persoonlijke gegevens via e-mail doorgeven. E-mail is kwetsbaar. Je kunt je gemakkelijk als iemand anders voordoen, een e-mail kapen of een e-mailadres hacken. Wees maar zeker dat hackers hebben geprobeerd het opgegeven e-mailadres van Argenta te hacken om die gegevens te bemachtigen.
“Er circuleren zo veel goed gemaakte phishingmails waarmee oplichters gegevens proberen los te peuteren. Het is nooit vertoond dat een bank haar klanten aanraadt via e-mail persoonlijke gegevens door te geven.”
Kunnen klanten schade door een datalek verhalen op een bedrijf?
DOBBELAERE-WELVAERT. “Tot nu moeten de klanten aantonen dat ze schade hebben geleden. Vanaf 25 mei treedt de strengere Europese privacywetgeving GDPR in werking, die boetes oplegt tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet van het bedrijf als de gegevens van klanten niet goed beschermd worden. En als er een datalek is, moeten bedrijven daar binnen de 72 uur mee naar buiten komen.”
Weten bedrijven het als er ingebroken is in hun systemen?
DOBBELAERE-WELVAERT. “Vroeger maakten hackers gebruik van zogenoemd luide virussen, die ervoor zorgden dat rare dingen gebeurden op je scherm. Nu niet meer. Vaak nemen ze je computer over zonder dat je het doorhebt. Zodra een hacker binnen is, houdt hij zich stil. Slechts 20 tot 30 procent van de hackings wordt opgemerkt.”
De hacker d0gberry gooide een database met meer dan een miljoen Belgische wachtwoorden op het internet. Kan hij aansprakelijk worden gesteld als hackers een paswoord raden dankzij zijn website?
DOBBELAERE-WELVAERT. “Hij maakt het met zijn gotcha-website gemakkelijker voor hackers om paswoorden te raden, omdat hij een deel van het e-mailadres en een deel van het wachtwoord publiek maakt. Er bestaat al langer een website haveibeenpwned.com, waarop je kunt nagaan of je e-mail gekraakt is. Die maakt geen gegevens publiek. Ik denk inderdaad dat je mogelijke schade op d0gberry kunt verhalen.”
Hoe moeten bedrijven klantengegevens beschermen?
DOBBELAERE-WELVAERT. “Persoonlijke gegevens moeten worden versleuteld of geëncrypteerd. Paswoorden mag je nooit in platte tekst opslaan in een database. Je moet ze hashen of onomkeerbaar versleutelen. Huur een internetbeveiligingsspecialist in en vraag daarna een ethische hacker zijn best te doen om binnen te raken.
“Geen enkel systeem is waterdicht. Als ik me voordoe als IT’er van je bedrijf en ik bel je met de vraag wat je wachtwoord is, is de kans groot dat je mij dat gewoon geeft. Dat neem je niet weg door te investeren in dure systemen.”
Fout opgemerkt of meer nieuws? Meld het hier