'Laat personeel bij datalek in organisatie nieuw identiteitsbewijs aanvragen'
Organisaties die te maken krijgen met een datalek, waarbij ook kopieën van identiteitskaarten of paspoorten worden gestolen, doen er verstandig aan om hun personeel te adviseren een nieuw identiteitsbewijs aan te vragen. Het advies is afkomstig van project Melissa, een samenwerkingsverband van het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse cybersecuritybedrijven dat zich bezig houdt met de bestrijding van ransomware (pdf).
Project Melissa heeft een nieuw document gepubliceerd waarin het beschrijft wat organisaties die zijn getroffen door een datalek kunnen doen om secundair slachtofferschap te voorkomen. Hierbij worden mensen die slachtoffer zijn van een datalek opnieuw slachtoffer, alleen dan van fraude of ander misbruik dat met de gestolen gegevens is gepleegd. Denk bijvoorbeeld aan identiteitsfraude of WhatsAppfraude waarbij criminelen zich door middel van de gestolen data als het slachtoffer voordoen.
In het adviesdocument wordt organisaties aangeraden wat ze naar medewerkers kunnen communiceren, hoe ze voorkomen dat medewerkers slachtoffer worden van identiteitsfraude, hoe medewerkers die (alsnog) slachtoffer worden zijn te begeleiden en wat er kan worden gedaan om schade door datadiefstal (in de toekomst) te beperken. "Het is belangrijk om na een datadiefstal slachtoffers transparant te informeren over welke data (mogelijk) van hen gestolen zijn. Wees daarbij zo compleet mogelijk, zodat zij bij een eventueel gebruik van hun data door kwaadwillenden niet worden verrast", krijgen organisaties het advies.
Wanneer er digitale kopieën van persoonlijke identiteitsbewijzen zijn gestolen is het volgens project Melissa een verstandige maatregel om het identiteitsbewijs te vervangen door een nieuwe en de oude ongeldig te laten verklaren door de gemeente. "Het is goed om dit aan de getroffen medewerkers te adviseren en uitleg te geven hoe zij dit moeten regelen. Het is prettig voor medewerkers als zij een stappenplan van de organisatie ontvangen over hoe zij nieuwe identiteitsbewijzen kunnen aanvragen en hun oude ongeldig kunnen laten verklaren", laat het document verder weten. Daarin staat ook dat organisaties ervoor kunnen kiezen om de vervanging van id-bewijzen geheel of gedeeltelijk aan de medewerker te vergoeden.
Dataminimalisatie
Volgens project Melissa blijkt in de praktijk dat veel organisaties worstelen met het beheer van de data met persoonsgegevens. "Het is belangrijk om in elk geval te identificeren welke informatie in een organisatie aanwezig is en waar deze is opgeslagen." Daarbij wordt ook het belang van dataminimalisatie benadrukt. "Data die er niet zijn, kunnen ook niet worden gestolen. Een open deur zo lijkt het, maar het komt helaas vaak voor dat er veel meer gegevens aanwezig zijn dan strikt noodzakelijk is."Verder is het allemaal niet zo heel moeilijk: minimaliseer de hoeveelheid en douw ze gewoon in een dossier. Ja, dat kan ook gestolen worden. Maar ik heb nog nooit wat in de krant gelezen over een gestolen dossierkast waarbij de inhoud vervolgens gescanned wordt om te publiceren. U wel??
Maar ja, dat is niet 'hip' (wel goedkoop en effectief...), dus kan het niet.
Beter nog, kap met de verplichting voor het stompzinnige kopietje-paspoort: zo'n kopie bewijst NIETS.
Beter beter nog, stel het maken van kopiën van identiteitsbewijzen strafbaar - net als op echte lijkende nepvuurwapens en echt lijkende kopieën van munt- en papiergeld.
Last but not least is een nieuw identiteitsbewijs ZINLOOS want (naast dat hetzelfde BSN erop staat): er bestaat geen publiek toegankelijk intrekkingstegister.
En dát is maar goed ook - i.v.m. IDOR-aanvallen en kopie-identiteitsbewijzen waarop de gegevens waarop gecheckt wordt, (minimaal) zijn gewijzigd.
Meer info: https://security.nl/posting/827137.
Waarom moet de werkgever betaald worden? Ik heb liever dat hij betaalt.
De criminelen hebben dan toch nog steeds de gegevens die op je oude identiteitsbewijs staan?
Of zijn naam, geboortedatum, geboorteplaats, woonplaats en BSN dan ineens niet geldig meer?
Waarom moet de werkgever betaald worden? Ik heb liever dat hij betaalt.
Verder is het allemaal niet zo heel moeilijk: minimaliseer de hoeveelheid en douw ze gewoon in een dossier. Ja, dat kan ook gestolen worden. Maar ik heb nog nooit wat in de krant gelezen over een gestolen dossierkast waarbij de inhoud vervolgens gescanned wordt om te publiceren. U wel??
Maar ja, dat is niet 'hip' (wel goedkoop en effectief...), dus kan het niet.
persoonsnummer? Die heb ik niet als ZZper. Zegt mij ook niets. Ik heb wel een BTW-nummer ofwel een VAT-nummer en een KVK nummer
Beter nog, kap met de verplichting voor het stompzinnige kopietje-paspoort: zo'n kopie bewijst NIETS.
Waarom moet de werkgever betaald worden? Ik heb liever dat hij betaalt.
Wat zijn "mosten"?
Beter nog, kap met de verplichting voor het stompzinnige kopietje-paspoort: zo'n kopie bewijst NIETS.
Al die scans die worden geüpload of zelfs per e-mail worden verstuurd kunnen makkelijk vervalsingen zijn, voor wie een beetje vaardigheid heeft opgebouwd in Photoshop of Gimp of zo is dat goed te doen. De echtheidskenmerken van het origineel krijg je echt niet mee als je een scan ontvangt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ervaren Chief Information Security Officer (CISO)
Provincie Noord-Holland
Ben jij een ervaren CISO? En wil jij jouw kennis in een andere organisatie delen? Help ons dan onze informatieveiligheid verder te vergroten. Als CISO speel je een sleutelrol in het veilig houden van gegevens en systemen die essentieel zijn voor een leefbare, veilige en duurzame provincie.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?