Al een datalek gevonden, IT expert?

Nee, we gunnen je als IT expert geen datalek binnen je bedrijf, maar het lijkt momenteel wel dé sport om ze te vinden.

Alsof het een eindejaarswedstrijd is wie het grootste lek kan ontdekken. De meldingen buitelen over elkaar heen. Zo meldde RTL Nederland recent dat criminelen 32.000 accounts van diensten als Videoland, Buienradar en RTL Nieuws hadden gehackt. Ook bij Dell bleken ongewenste bezoekers toegang te hebben gehad tot gebruikersaccounts. En passant kreeg taxidienst Uber in Nederland een boete van 6 ton van de Autoriteit Persoonsgegevens omdat men bij een datadiefstal in 2016 de hackers afkocht en het lek niet meldde. De onfortuinlijke winnaar van 2018 is overigens al bekend, want vorige week meldde de Marriott International Hotelgroup het op een na grootste datalek ooit.

De IT expert en het jaar van de privacy en data bescherming

2018 was onder andere het jaar van de privacy. In mei werd de AVG van kracht. Of beter gezegd, vanaf die datum wordt er gehandhaafd en moet je als organisatie je databeveiliging op orde hebben. Dat betekent niet dat je nooit tegen een data diefstal kunt aanlopen – het blijft een soort technische wapenwedloop natuurlijk – maar wel dat je moet kunnen aantonen dat je al het mogelijke hebt gedaan om problemen te voorkomen. Ook moet je desgevraagd kunnen aangeven welke data je in bezit hebt en de gegevens op verzoek direct kunnen verwijderen. De klant heeft immers het recht om vergeten te worden. Menig IT expert is hier het afgelopen jaar mee bezig geweest. Vaak gaat het goed, maar niet altijd zoals de Marriott case maar weer eens illustreert.

De Marriott Hotel hack

Bij de Marriott groep blijken hackers al sinds 2014 toegang te hebben tot een database met klantgegevens bij dochterbedrijf Starwood. Curieus is dat Starwood in 2015 door Marriott werd ingelijfd en toen al bekend was dat het bedrijf het jaar ervoor slachtoffer was geweest van onder andere een credit card hack. Toch lijkt het er op dat pas afgelopen september de alarmbellen weer afgingen. Toen signaleerde een IT security systeem dat men onrechtmatig de IT-systemen probeerde binnen te dringen.  Het duurde vervolgens tot 19 november voordat de IT experts konden achterhalen dat het de database van het Starwood reserveringssysteem betrof en de daaraan gerelateerde hotelketens Sheraton, Westin en Meridian.

Hackers bleken al sinds 2014 binnen te zijn en daarbij data te hebben gekopieerd van ongeveer 327 miljoen Marriott gasten. Waaronder namen, contactgegevens, paspoortinformatie, reserveringen en soms zelf credit card gegevens. De creditcard gegevens zijn beveiligd met de gebruikelijke encryptiestandaard AES-128, maar de hotelgigant sluit niet uit dat de inbrekers ook beide encryptiesleutels in bezit hebben. Voor de IT expert een spannend verhaal dat uiteraard nog een uitgebreid vervolg krijgt. Met ongetwijfeld een enorme boete voor de hotelgigant.

Volop uitdagingen voor de IT expert

Niet iedere IT expert houdt zich bezig met databeveiliging. Maar wat wel voor alle IT experts geldt is dat hun werk er altijd toe doet en uitdagend is. Ben jij als IT expert zo aan het eind van dit jaar weer op zoek naar een nieuwe boeiende uitdaging? Op het gebied van databeveiliging of juist iets volledig anders? Check dan zeker even de laatste opdrachten bij HeadFirst. En meld je ook direct even aan.