Behoefte ISO 27001: steeds meer incidenten informatiebeveiliging
Lekken in informatiebeveiliging is aan de orde van de dag. In het TV-programma Zembla wordt wederom een nieuwe blunder in de beveiliging van een bekend medisch softwarepakket onthuld. ISO 27001 certificering kan uitkomst bieden.
Meer dan 300.000 personeelsdossiers en medische dossiers die beheerd worden via het ict-systeem Humannet zijn al maanden, en misschien wel veel langer, slecht beveiligd. Dat meldt het televisieprogramma Zembla. Humannet is niet beschermd tegen SQL-aanvallen, een manier om een website te hacken die al sinds 1997 bekend is. Beveiliging tegen dergelijke aanvallen is eenvoudig. Het College Bescherming Persoonsgegevens wil de bevoegdheid om direct hoge boetes op te kunnen leggen bij dit soort schendingen van de privacy van honderduizenden werknemers. Volgens hoogleraar privacy en computerbeveiliging Bart Jacobs van de Radboud Universiteit Nijmegen gaat het om het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis. “Dit is een nachtmerrie-scenario. Dat dit zo op straat ligt, vind ik werkelijk schokkend. Je kunt hier mensen mee chanteren”, zegt Jacobs in Zembla.
Na de Zembla-uitzending over Verzuimreductie werd het programma benaderd door enkele ict-specialisten die zeiden dat Humannet een slecht beveiligd systeem is. In de uitzending van Zembla laat een ict’er zien hoe simpel het is om wachtwoorden van gebruikers van het systeem te achterhalen. Met die wachtwoorden kreeg Zembla toegang tot de personeelsdossiers én de medische dossiers van werknemers van bedrijven die aangesloten zijn op de verzuimapplicatie Humannet. Het programma kon medische gegevens aanpassen.
Ze konden bijvoorbeeld zien hoe het met de gezondheid van de spelers van FC Twente gaat, maar ook wat oud-international Paul Bosvelt verdient als hulptrainer van Go Ahead Eagles. Ook adressen, telefoonnummers en alle medische gegevens waren toegankelijk voor Zembla. Beide voetbalclubs hebben een contract met Verzuimreductie dat gebruik maakt van Humannet. Hoogleraar Jacobs noemt de bevindingen van Zembla “schokkend” en de werkwijze van VCD “onprofessioneel”. Jacobs heeft zich ook zelf met zijn studenten toegang verschaft tot Humannet om zich ervan te vergewissen dat het systeem inderdaad lek was. Jacobs kwalificeert degenen die Humannet beveiligd hebben als “amateurs” en “het neefje van de baas”.
Toenemende zorg om lekken in informatiebeveiliging
De problemen bij Humannet is slechts één van de vele gevallen die recentelijk de kop heeft opgestoken. Informatiebeveiliging blijkt binnen veel organisaties grote lekken te vertonen. De duizenden medische dossiers van medisch onderzoekscentrum ‘Diagnostiek voor U’ die deze week zijn gelekt, is ook zo’n voorbeeld, maar niet het eerste Brabantse geval van gevoelige data die via het internet op straat komt te liggen. De afgelopen maanden zijn de gegevens van miljoenen Nederlanders via het internet te benaderen geweest. Zo lekte CheapTickets.nl de gegevens van 715.000 klanten.
ISO 27001: structureel management van informatiebeveiliging
AI-Raben helpt bedrijven bij het op orde krijgen van hun informatiebeveiliging. Dit is geen eenmalig actie, maar vergt invoering van een managementsysteem waarbij het risico op lekken tot een minimum wordt beperkt en continue wordt bewaakt.