Een bouwbedrijf kreeg 5 miljoen euro boete opgelegd na een aanval van hackers. Opvallend is dat niet de hackers, maar nalatigheid van het bedrijf als het grootste cyberrisico wordt gezien. Wat kunnen andere bedrijven hiervan leren?

Door een e-mail met een kwaadaardige link werden de systemen van het bouwbedrijf geïnfecteerd met malware. Daardoor kregen internetcriminelen toegang tot zeer persoonlijke gegevens van 113.000 medewerkers van de onderneming. Uit onderzoek bleek dat het bouwbedrijf geen basisbeveiligingsmaatregelen had getroffen, zoals het installeren van beveiligingsupdates en het trainen van personeel.

De privacytoezichthouder komt dan ook tot de conclusie dat het bouwbedrijf geen gepaste maatregelen heeft getroffen om persoonsgegevens te beschermen en is daarmee in overtreding van de privacywetgeving. “De deur openlaten voor aanvallers is nooit acceptabel, met name wanneer het gaat om de meest gevoelige gegevens van mensen”, zegt de Britse Informatiecommissaris John Edwards. “Als je bedrijf niet regelmatig op verdachte activiteit monitort en niet reageert op waarschuwingen, of geen updates installeert en personeel niet traint, kun je een soortgelijke boete verwachten.”

Leerpunten:

• Reageer snel en professioneel op een cyberincident. Als je kunt laten zien dat je dat doet, zal de boete lager zijn.
• Besteed aandacht aan trainingen voor medewerkers, leer waar ze op moeten letten als ze een verdachte e-mail krijgen. En vertel waar ze een verdachte activiteit kunnen melden.
• De technische en organisatorische maatregelen die je neemt om hacks en datalekken te voorkomen, moeten passen bij de grootte van de organisatie. Bij een kleinere organisatie zal dat anders zijn dan bij een grotere organisatie. Toch moet elke organisatie voldoen aan de basis beveiligingsmaatregelen.