Kan een cyber breach de cultuursector treffen? Het Utrechts Archief deelt haar ervaring
De cultuursector moet zich behoeden voor cybercrime, legt Wim Wensink van adviesbureau TwynstraGudde uit: “Voor veel cybercriminelen maakt het niet uit welke sector het is. Ze kijken enkel of er een deur openstaat waardoor ze naar binnen kunnen glippen om hun slag te slaan”. Wim sprak met Luuk Boessenkool van Het Utrechts Archief over de risico’s van een cyber aanval, omdat zij slachtoffer waren. “Met de gedachte ‘dat overkomt ons toch niet’ kom je niet meer weg.”
Hoe word je slachtoffer?
Het Utrechts Archief heeft een openbare collectie. Kortom, niet interessant voor cybercriminelen, toch? Niets is minder waar: hackers gaan overal op zoek naar informatie. Zo werd ook Het Utrechts Archief slachtoffer van een cyber breach. “Onze data werd op de avond van 10 maart gegijzeld door een ransomware groep. Het enige bestand waar wij nog toegang toe hadden was een GIF-bestand met daarin de contactgegevens van de ransomware groep,” vertelt Luuk.
En dan?
Het Utrechts Archief nam contact op met KPMG, hun partner in cyber security. Wat er precies gebeurd is en hoe ze vervolgens hebben gehandeld vertellen Luuk (Het Utrechts Archief) en Lars Jacobs (KPMG) in de video hieronder.
Essentiële leerpunten: zo waarborg je de veiligheid
- Zorg voor een offline back-up zodat in ieder geval één back-up toegankelijk blijft bij een data breach
- Neem vooraf contact op met externe partijen die je kunnen helpen; achteraf kost meer geld en tijd (tijd die je op dat moment niet hebt)
- Maak de contactgegevens van de externe partij offline beschikbaar zodat alle interne medewerkers in het crisisteam weten wie er benaderd moet worden, ook als ze niet meer in het systeem kunnen
- Besteed monitoring uit aan een organisatie gespecialiseerd in IT-beveiliging
- Zorg voor een draaiboek in het geval van een cyber breach, waarin de rollen van de interne organisatie zijn vastgelegd en de procedure rondom het inschakelen van de externe partijen, zoals de autoriteiten of een IT-beveiliging organisatie.
"De mens is een cruciaal element in cyber security."
Breng de cyber risico’s in kaart
Niet iedere organisatie heeft het budget om hun volledige data systeem waterdicht te beveiligen. Wim adviseert daarom om als startpunt te kijken naar waar de risico’s binnen het systeem liggen.
Stel jezelf deze 4 vragen:
Wat is datgene wat ik moet beschermen?
Elke organisatie beheert gegevens of bestanden die cruciaal zijn om te beschermen. Persoonsgegevens en financiële gegevens hebben de hoogste prioriteit, omdat ze het meest kwetsbaar zijn.
Kunnen medewerkers bij het materiaal komen?
“Je kunt alle deuren dichtzetten, maar als iemand op een phishinglink klikt, komen de hackers alsnog binnen,” legt Wim uit. Door vertrouwelijke data alleen toegankelijk te maken voor degenen in het bedrijf die er daadwerkelijk mee werken, verklein je dit risico.
Weten medewerkers hoe de IT-systemen werken?
Als het aantal medewerkers met toegang tot de vertrouwelijke data is gelimiteerd, is het ook belangrijk om ervoor te zorgen dat zij weten hoe de IT systemen werken. En om ze regelmatig in te lichten over het voorkomen van datalekken en het belang van cyber veiligheid. Wim zegt hierover: “Een medewerker moet bijvoorbeeld niet niet per ongeluk de back-up wissen, want dan heb je net zo goed een probleem. Daar moet je ze over blijven informeren.”
Hoe limiteer ik de impact van een cyber breach?
Een cyber breach kan iedereen overkomen, daarom is het belangrijk om ervoor te zorgen dat de impact hiervan zo min mogelijk is. Het Utrechts Archief heeft nu bijvoorbeeld een offline back-up van gegevens. Zo kunnen zij snel hun bestanden herstellen en weten zij zeker dat deze gegevens niet gegijzeld kunnen worden. Ook kun je eraan denken om de data te verspreiden over verschillende servers, zodat de schade beperkt blijft. Het Utrechts Archief heeft besloten dat zelfstandig monitoren te arbeidsintensief is met het beperkte aantal medewerkers en werkt inmiddels nauw samen met een externe partij.
Meer weten over dit onderwerp? DEN onderzocht cyber security in de culturele sector.