Uit een BNR onderzoek komt naar voren dat diverse organisaties, waaronder de bekende reisorganisatie Sunweb, wellnessketen Thermen Resorts en het castingbureau B&F Casting, te maken hebben met ernstige beveiligingslekken.

De digitale veiligheid van Nederlandse bedrijven staat opnieuw ter discussie na de onthulling dat bij minstens vijftig Nederlandse bedrijven en organisaties de digitale achterdeur wagenwijd openstaat. Niet verbaasd zijn dus als klant van een van die bedrijven dat je binnenkort een email kunt verwachten met excuses. Een onderzoek van BNR heeft aan het licht gebracht dat privégegevens van duizenden Nederlanders door onvoldoende beveiligde cloudomgevingen voor het oprapen liggen. Dit varieert van cv’s en sollicitatiebrieven tot klantgegevens en contracten. Deskundigen waarschuwen dat dit probleem slechts het topje van de ijsberg is en dat het werkelijke aantal onveilige servers en datalekken aanzienlijk hoger ligt.

Uit het onderzoek komt naar voren dat diverse organisaties, waaronder de bekende reisorganisatie Sunweb, wellnessketen Thermen Resorts en het castingbureau B&F Casting, te maken hebben met ernstige beveiligingslekken. Bij Sunweb werden bijvoorbeeld meer dan tweeduizend cv’s en sollicitatiebrieven aangetroffen die voor iedereen toegankelijk waren. Dit werd veroorzaakt doordat deze documenten onbedoeld online werden geplaatst toen de wervingssoftware naar de cloud werd verplaatst. Thermen Resorts en B&F Casting kampen met vergelijkbare problemen, waarbij interne documenten zoals scripts, briefings en contracten publiekelijk toegankelijk waren.

Een woordvoerder van Sunweb reageerde op de ontdekking van het datalek door te verklaren: “De cv’s en sollicitatiebrieven zijn direct verwijderd. Volgens een woordvoerder zijn de bestanden ongeveer drie jaar geleden per ongeluk online terecht gekomen, toen wervingssoftware naar de cloud verplaatst werd.”

Het probleem van onvoldoende beveiligde cloudomgevingen wordt verder verergerd door een gebrek aan bewustzijn en kennis bij de bedrijven zelf. Veel organisaties gaan ervan uit dat de beveiliging van de cloudomgeving de verantwoordelijkheid is van de cloudaanbieder. Echter, zoals Jeremy van Doorn van het cybersecuritybedrijf Palo Alto benadrukt, ligt deze verantwoordelijkheid bij de eigenaren van de data. Dit sentiment wordt gedeeld door Roos Dijkxhoorn, oprichter van Purasec, die stelt dat bedrijven nog moeten leren hoe ze veilig met de cloud kunnen werken.

“Veel klanten denken dat de aanbieder van de cloudserver verantwoordelijk is voor de beveiliging en vergeten daarom de boel goed in te stellen.”

Jeremy van Doorn – Palo Alto

De onthullingen hebben geleid tot snelle acties van de betrokken bedrijven. Sunweb heeft, na te zijn geïnformeerd door BNR, onmiddellijk een crisismanagementplan in werking gesteld en de betreffende documenten verwijderd. Thermen Resorts en B&F Casting hebben eveneens maatregelen genomen om de beveiliging van hun data te verbeteren.

Eward Driehuis, voorzitter van de cybersecurity community CSIRT Global, waarschuwt dat de ontdekte lekken slechts een fractie vormen van het werkelijke aantal onbeveiligde servers. Volgens hem kan het probleem “misschien nog wel duizend keer zo groot” zijn, wat de urgentie van het probleem onderstreept.

“Bedrijven moeten vaak nog leren met de cloud te werken.”

Roos Dijkxhoorn, oprichter Purasec

Dit incident werpt licht op een groeiend probleem binnen de digitale wereld: de veiligheid van data in de cloud. Terwijl bedrijven steeds vaker overstappen op cloudoplossingen voor hun dataopslag en verwerking, blijkt uit incidenten zoals deze dat er nog veel te leren en te verbeteren valt op het gebied van digitale beveiliging. Het is een wake-up call voor alle organisaties om hun data en de manier waarop ze de cloud gebruiken serieus te nemen en te investeren in robuuste beveiligingsmaatregelen.

Beveiliging

Verantwoord omgaan met persoonsgegevens valt of staat met een goede beveiliging van deze gegevens. Als de beveiliging niet goed geregeld is, kan dit bijvoorbeeld leiden tot een datalek. Verantwoord omgaan met persoonsgegevens valt of staat met een goede beveiliging van deze gegevens. Dit is niet voor niets 1 van de 6 basisbeginselen van de Algemene verordening gegevensbescherming (AVG). De Autoriteit Persoonsgegevens (AP) houdt toezicht op hoe organisaties hun verwerkingen van persoonsgegevens beveiligen. Als een organisatie de beveiliging niet goed geregeld heeft, kan de AP ingrijpen.