Privacy in de spotlight: Een phishingmail. Wat nu?

De afgelopen periode is het onderwerp steeds vaker in het nieuws geweest: Phishingmails. Phishing is een vorm van internetfraude, wat bestaat uit het oplichten van mensen door ze via een valse e-mail te lokken naar websites om persoonlijke en gevoelige gegevens ‘binnen te hengelen’.

Hoe ziet een phishingmail er uit?

Een phishingmail ziet er uit als een gewone e-mail, waarin cybercriminelen zich voordoen als bijvoorbeeld je bank, overheidsinstelling, postbedrijf, webwinkel of een collega. Er wordt een verzoek gedaan om op linkjes te klikken, bijlages te openen, geld over te maken of gegevens in te vullen. Op die manier kunnen ze zorgen voor de verspreiding van virussen of geldsommen aftroggelen. Via een phishingmail kan een cybercrimineel ook toegang krijgen tot je systemen, met de persoonlijke gegevens die daarin te vinden zijn. Het systeem wordt dan als ware gehackt. Dit kan leiden tot een potentieel datalek.

Makers van phishingmails gaan steeds professioneler te werk, waardoor de kans op een hack via zo’n mail ook bij jouw organisatie kan voorkomen. Het kan lastig zijn om te bepalen wat je moet doen op het moment dat jouw organisatie te maken krijgt met phishing.

Een phishingmail. Wat nu?

Probeer allereerst kalm te blijven. Het volgende stappenplan kan je helpen om de situatie weer onder controle te krijgen.

1. Doe vooronderzoek

Probeer zo snel mogelijk vast te stellen of er sprake is van een beveiligingsincident. Gaat het om phishing, of toch iets anders? Schakel met je IT-afdeling en check of meerdere medewerkers dezelfde e-mail hebben ontvangen.

2. Beperk de schade

Het is van belang om de schade zoveel mogelijk te beperken. Dit kan gedaan worden door de link uit de phishingmail direct te laten blokkeren door de IT-afdeling. Ook moet de oorspronkelijke phishingmail door IT verwijderd worden. Stuur vanuit de organisatie een bericht naar alle medewerkers over de phishingmail, met instructies om nergens op te klikken en het eigen wachtwoord direct te wijzigen.

3. Verzamel de feiten

De volgende stap is om te achterhalen welke medewerkers wel op de link hebben geklikt en gegevens hebben verstuurd. Kortom: de impact vaststellen. Kan de IT-afdeling dit niet zelf, dan raden wij aan om zo snel mogelijk een externe partij in te schakelen.

Stel de feiten vast door een aantal vragen te stellen. Bijvoorbeeld:

  • Hoeveel medewerkers binnen de organisatie hebben de e-mail ontvangen?
  • Hoeveel medewerkers hebben op de link geklikt?
  • Wat voor gegevens bevat de phishingmail? Bevat deze alleen inhoud om inloggegevens te achterhalen, of ook inhoud om persoonsgegevens of andere gevoelige gegevens op te vragen?  
  • Bevat het gehackte e-mailaccount van de medewerker(s) veel gevoelige e-mails en/of persoonsgegevens?
  • Is het uit te sluiten dat de hacker toegang heeft gekregen tot andere gevoelige informatie?

4. Overleg met je FG en doe eventueel een (voor)melding bij de Autoriteit Persoonsgegevens

Wanneer het beveiligingsincident is vastgesteld, de feiten zijn onderzocht en duidelijk is dát er persoonsgegevens zijn gelekt, moet besloten worden of er gemeld gaat worden bij de Autoriteit Persoonsgegevens. Wanneer het langer duurt om de juiste feiten vast te stellen, kan er altijd overwogen worden om een voormelding te doen bij de Autoriteit Persoonsgegevens.

Overleg altijd met je Functionaris Gegevensbescherming. Om je zo goed mogelijk te helpen in dit soort situaties heeft Lumen Group een ‘Datalek Loket’ in het leven geroepen. Het Datalek Loket is te bereiken via 030 – 889 65 75 en via e-mailadres datalekloket@lumengroup.nl.

5. Tref maatregelen

Denk na over hoe in de toekomst dergelijke incidenten minder snel kunnen voorkomen. Zorg er ervoor dat je internetbeveiligingssoftware up to date is.  Ook is het aan te raden om alle e-mailaccounts met 2-factor authenticatie te beveiligen. Daarmee is er een extra verificatie van de identiteit bij het inloggen op de mailbox nodig, en is het account moeilijker te hacken via een phishingmail.

Bovenstaande maatregelen nemen niet weg dat de meeste incidenten en datalekken worden veroorzaakt door menselijk handelen. Zorg daarom voor voldoende bewustwording onder je medewerkers. Dit kan  gedaan worden door bewustwordingssessies gericht op phishing uit te voeren, zoals bijvoorbeeld een nep phishingsmail te versturen of door medewerkers een ‘herken de phishingmail’-test te laten doen.