Kan een cyber breach de cultuursector treffen? Het Utrechts Archief deelt haar ervaring

De cultuursector moet zich behoeden voor cybercrime, legt Wim Wensink van adviesbureau TwynstraGudde uit: “Voor veel cybercriminelen maakt het niet uit welke sector het is. Ze kijken enkel of er een deur openstaat waardoor ze naar binnen kunnen glippen om hun slag te slaan”. Wim sprak met Luuk Boessenkool van Het Utrechts Archief over de risico’s van een cyber aanval, omdat zij slachtoffer waren. “Met de gedachte ‘dat overkomt ons toch niet’ kom je niet meer weg.”

5 min. lezen

Het Utrechts Archief werd slachtoffer van een cyber breach. Ze waren zich niet bewust van de risico’s, want op de website is de collectie openbaar. Toch bleek dat niet uit te maken. “Onze data werd op de avond van 10 maart gegijzeld door een ransomware groep. Het enige bestand waar wij nog toegang toe hadden was een GIF-bestand met daarin de contactgegevens van de ransomware groep,” vertelt Luuk.

Essentiële leerpunten: zo waarborg je de veiligheid

  • Zorg voor een offline back-up zodat in ieder geval één back-up toegankelijk blijft bij een data breach
  • Neem vooraf contact op met externe partijen die je kunnen helpen; achteraf kost meer geld en tijd (tijd die je op dat moment niet hebt)
  • Maak de contactgegevens van de externe partij offline beschikbaar zodat alle interne medewerkers in het crisisteam weten wie er benaderd moet worden, ook als ze niet meer in het systeem kunnen
  • Besteed monitoring uit aan een organisatie gespecialiseerd in IT-beveiliging
  • Zorg voor een draaiboek in het geval van een cyber breach, waarin de rollen van de interne organisatie zijn vastgelegd en de procedure rondom het inschakelen van de externe partijen, zoals de autoriteiten of een IT-beveiliging organisatie.

"De mens is een cruciaal element in cyber security."

Wim Wensink. TwynstraGudde

Breng de cyber risico’s in kaart

Niet iedere organisatie heeft het budget om hun volledige data systeem waterdicht te beveiligen. Wim adviseert daarom om als startpunt te kijken naar waar de risico’s binnen het systeem liggen.

Stel jezelf deze 4 vragen:

  1. Wat is datgene wat ik moet beschermen?

    Elke organisatie beheert gegevens of bestanden die cruciaal zijn om te beschermen. Persoonsgegevens en financiële gegevens hebben de hoogste prioriteit, omdat ze het meest kwetsbaar zijn.

  2. Kunnen medewerkers bij het materiaal komen?

    “Je kunt alle deuren dichtzetten, maar als iemand op een phishinglink klikt, komen de hackers alsnog binnen,” legt Wim uit. Door vertrouwelijke data alleen toegankelijk te maken voor degenen in het bedrijf die er daadwerkelijk mee werken, verklein je dit risico.

  3. Weten medewerkers hoe de IT-systemen werken?

    Als het aantal medewerkers met toegang tot de vertrouwelijke data is gelimiteerd, is het ook belangrijk om ervoor te zorgen dat zij weten hoe de IT systemen werken. En om ze regelmatig in te lichten over het voorkomen van datalekken en het belang van cyber veiligheid. Wim zegt hierover: “Een medewerker moet bijvoorbeeld niet niet per ongeluk de back-up wissen, want dan heb je net zo goed een probleem. Daar moet je ze over blijven informeren.”

  4. Hoe limiteer ik de impact van een cyber breach?

    Een cyber breach kan iedereen overkomen, daarom is het belangrijk om ervoor te zorgen dat de impact hiervan zo min mogelijk is. Het Utrechts Archief heeft nu bijvoorbeeld een offline back-up van gegevens. Zo kunnen zij snel hun bestanden herstellen en weten zij zeker dat deze gegevens niet gegijzeld kunnen worden. Ook kun je eraan denken om de data te verspreiden over verschillende servers, zodat de schade beperkt blijft. Het Utrechts Archief heeft besloten dat zelfstandig monitoren te arbeidsintensief is met het beperkte aantal medewerkers en werkt inmiddels nauw samen met een externe partij.

Meer weten over het incident bij Het Utrechts Archief en hoe ze dit hebben opgelost? Bekijk ook de video die we opnamen met Luuk en Lars Jacobs van KPMG

Deel dit artikel

Ontdek de laatste digitale trends in de cultuur sector!

Ontvang iedere maand tips, kennis en inspiratie over de digitale transformatie in cultuur.