‘Slechts 20 tot 30 procent van de hackings wordt ontdekt’
Sinds vorige week staat er een database met meer dan een miljoen Belgische e-mailadressen op het internet. En diezelfde week stelde de bank Argenta, nadat haar systeem voor internetbankieren verscheidene dagen plat lag, aan zijn klanten voor dringende overschrijvingen via e-mail te regelen. “Een dom idee”, vindt Matthias Dobbelaere-Welvaert, ICT-jurist en managing partner bij deJuristen.
De klanten van Argenta konden door technische problemen vorige week niet internetbankieren. U maakte zich kwaad omdat de bank op haar website voorstelde dat klanten voor dringende overschrijvingen hun identificatiegegevens op e-mail zouden zetten.
Matthias Dobbelaere-Welvaert: “Ik was niet de enige die op Twitter van leer trok. Het was gewoon een dom idee. Ik snap dat de medewerkers van de bank klantvriendelijk willen zijn, maar dat doet jaren van bewustmaking over cybercriminaliteit teniet.”
‘Het is nooit vertoond dat een bank zijn klanten aanraadt via e-mail persoonlijke gegevens door te geven’
“Je mag nooit persoonlijke gegevens via e-mail doorgeven. E-mail is zeer kwetsbaar. Via e-mail kun je je gemakkelijk als iemand anders voordoen. Een e-mail kan onderweg worden gekaapt. En een mailadres kan worden gehackt. Er circuleren zo veel goed gemaakte phishingmails waarmee oplichters persoonlijk gegevens proberen los te peuteren. Het is nooit vertoond dat een bank zijn klanten aanraadt via e-mail persoonlijke gegevens door te geven. Maar bon, dankzij dat akkefietje bij Argenta is er in de media nog eens aandacht aan besteed.”
Wat als er straks oplichters aan de haal gaan met geld door een van die “dringende overschrijvingen” via e-mail?
Dobbelaere-Welvaert: “Wees maar zeker dat hackers nu aan het proberen zijn het opgegeven e-mailadres van Argenta te hacken. Ik weet niet of dat een zelfstandig adres is, of dat de e-mails naar verschillende adressen worden doorgestuurd, maar ik hoop van harte dat er geen duizenden klanten hun gegevens via e-mail hebben doorgestuurd. Want dat zou dan een schat aan informatie zijn voor hackers. En ik raad Argenta dan ook aan zo snel mogelijk al die gegevens onherroepelijk te verwijderen, als dat al niet gebeurd is.”
Kunnen klanten eventuele schade door een datalek verhalen op een bedrijf?
Dobbelaere-Welvaert: “Tot nu moeten de klanten van een bedrijf aantonen dat ze schade hebben geleden. Vanaf 25 mei treedt de nieuwe en strengere Europese privacywetgeving GDPR in werking. Die legt boetes op tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet van een bedrijf als de gegevens van de klanten niet goed beschermd worden. En als er een datalek is, moeten bedrijven daar binnen de 72 uur mee naar buiten komen.”
‘Vandaag wordt slechts 20 tot 30 procent van de hackings opgemerkt’
Weten bedrijven het wel altijd als er ingebroken is in hun systemen?
Dobbelaere-Welvaert: “Vroeger maakten hackers gebruik van zogenoemde luide virussen, die ervoor zorgden dat er rare dingen gebeurden op je scherm. Dat is niet meer het geval. Vaak nemen hackers je computer over zonder dat je het doorhebt. Je computer begint wat harder te draaien, maar verder kun je daar niets van merken. Zodra die hacker binnen is in een systeem, zal hij zich heel stil houden om niet opgemerkt te worden. Vandaag wordt slechts 20 tot 30 procent van de hackings opgemerkt.”
De ethische hacker d0gberry gooide vorige week een database met meer dan een miljoen Belgische wachtwoorden op het internet. Kan hij aansprakelijk worden gesteld als hackers mijn paswoord raden dankzij zijn website en ik daardoor schade lijd?
Dobbelaere-Welvaert: “Ik weet niet of je dat nog een ethische hacker mag noemen en ik denk inderdaad dat je mogelijke schade op d0gberry kunt verhalen. Hij maakt het met zijn gotcha-website gemakkelijker voor hackers om je paswoord te raden, omdat hij een deel van het e-mailadres en een deel van het paswoord publiek maakt. Je kunt hem een e-mail sturen om je e-mail en je wachtwoord te laten verwijderen, maar je past het beste regelmatig je wachtwoorden aan.”
“Er bestaat trouwens al veel langer de website haveibeenpwned.com, waarop je kunt nagaan of je paswoord van je e-mail gekraakt is of niet. Maar daar worden geen persoonlijke gegevens vrijgegeven.”
Hoe kunnen bedrijven de gegevens van hun klanten beschermen?
Dobbelaere-Welvaert: “Persoonlijke gegevens moeten allereerst worden versleuteld of geëncrypteerd. Met de juiste sleutel kunnen die gegevens opnieuw worden ontgrendeld. Paswoorden mag je bijvoorbeeld nooit in platte tekst opslaan in een database. Je moet die paswoorden hashen, wat betekent dat ze onomkeerbaar versleuteld worden. Daarna moet een penetratietest gebeuren.
‘Als ik mij straks voordoe als IT’er van je bedrijf en ik bel je op met de vraag wat je paswoord is, dan is de kans groot dat je mij dat gewoon geeft’
“Je moet dus een jurist in de arm nemen, omdat je expliciet toestemming moet vragen aan de klanten of je hun gegevens mag gebruiken of doorspelen aan anderen. De jurist moet toekijken dat die teksten correct zijn opgesteld. Je moet een internetbeveiligingsspecialist inhuren. En tenslotte vraag je een ethische hacker een keer zijn best te doen om binnen te raken, om eventuele zwakke plekken op te sporen. Ik verwacht nu niet dat elke kmo een ethische hacker vraagt langs te komen, maar van een bank bijvoorbeeld verwacht ik dat wel.
“Geen enkel systeem is trouwens waterdicht. De fout ligt ook heel vaak bij de menselijke schakel in het systeem. Als ik mij straks voordoe als IT’er van je bedrijf en ik bel je op met de vraag wat je paswoord is, dan is de kans groot dat je mij dat gewoon geeft. Dat heet social engineering en dat neem je niet weg door te investeren in dure systemen.”
Fout opgemerkt of meer nieuws? Meld het hier