Ik heb een app lek, wat nu?!| kennisbank

O nee, een app lek! Wat ga je nu doen?

Natuurlijk moet even gezegd worden dat voorkomen beter is dan genezen. Dus, ga je een app maken of heb je er al een? Ga dan met professionele app-beschermers om tafel zitten om te zorgen dat de gegevens in jouw app niet lekken naar plekken waar ze niet horen te komen!

Als je wel een app lek hebt, of je app gehackt is, dan moet je 3 dingen gaan doen: checken welke kwetsbare gegevens je hebt, wat je daarmee moet doen en het inschakelen van bestrijders. In dit artikel spreken we 2 experts: Tanya Syrovatka, Cybersecurity specialist bij 5Pro Nederland B.V. (rechts), en Elke Lucius, advocaat en AVG champion bij Van Zandvoort Legal. Zij leggen uit hoe je een checkt of je een app lek hebt, en wat je daarna moet doen.

Lees het artikel of bekijk de samenvatting in de video:

Paniek? Dan doe je dit!

Ben je bang dat er een datalek is in jouw app of systeem? Geen paniek. Er staan experts voor je klaar om je direct, in vertrouwen te helpen. Vul dan dit paniekformulier onderaan de pagina in of bel (+31) 04 12 25 00 24 Cybersecurity specialist Tanya neemt dan meteen contact met je op!

Wat is een datalek?

Als een app is gehackt, wil dat niet persé zeggen dat er sprake is van een datalek. Het is dus heel belangrijk om eerst te weten wat een datalek precies is! Dus, wat is nu de definitie van een ‘datalek’? Kort gezegd: een datalek houdt in dat derden toegang tot persoonsgegevens hebben, die dat niet zouden mogen! Dit kan op talloze manieren gebeuren: uitgelekte computerbesanden, een gestolen uitgeprinte klantenlijst, cyberaanvallen, verkeerd verzonden emails, gestolen laptops, afgedankte computers en verloren usbsticks. Wat al deze gebeurtenissen gemeen hebben? Het gaat hier over een beveiligingsinbreuk waarbij persoonsgegeven verloren gaan, ongeoorloofd overhandigd, gezien of gewijzigd zijn. Illegaal verkregen bedrijfsgegevens over een productieproces of strategie vallen dus niét onder een data lek. Het gaat hierbij namelijk niet om persoonsgegevens. Daarnaast gaat het ook echt om zakelijke gegevens: een gestolen bedrijfstelefoon is mogelijk een datalek, maar een privé telefoon niet. De privé telefoon gebruikt de gegevens alleen voor persoonlijke en huishoudelijke doeleinden.

app lekStappenplan Datalekken: heb ik een datalek en wat moet ik doen?

Met het Stappenplan Datalekken kom je erachter wat je bij een app lek moet doen.

Stap 1: Is je beveiliging aangetast of is er een risico op?

Het eerste wat je moet bekijken is of je beveiliging doorbroken is, of dat het gemakkelijk is om te doorbreken. Bij een hack is hier het antwoord natuurlijk altijd ja. Ga verder met de volgende stap als je antwoord ja is of als je het niet zeker weet.

Stap 2: Wat is de kans dat (persoons)gegevens verloren zijn gegaan, of dat ze op een verkeerde manier verwerkt zijn?

Wat zijn verloren gegevens? Als jouw app niet meer in het bezit is van de persoonsgegevens, dan zijn ze verloren gegaan. Dit kan door de beveiliging zijn vernietigd of op een andere manier. Als je geen reservekopie hebt van de gegevens, dan is er sprake van een datalek. Zelfs als de gegevens verloren zijn gegaan door een ongelukje of een calamiteit, is er een datalek.

Wanneer zijn gegevens op de verkeerde manier verwerkt? Dit komt voor als de persoonsgegevens gewijzigd zijn, of door onbevoegden gelezen of verspreidt. Als je niet zeker weet of de aangetaste beveiliging geleidt heeft tot een verkeerde bewerking, ga er dan voor de zekerheid vanuit dat je een app lek hebt. Dus bij twijfel is er sprake van een datalek, of je moet kunnen aantonen dat je beveiliging op orde is geweest, bijvoorbeeld door een test met een professional.

Stap 3: Welke soort gegevens slaat jouw app op?

Slaat jouw app (gevoelige) persoonsgegevens op? Zoals over gezondheid, geloof, ras, politieke voorkeuren etc.? Of worden de personen waar de gegevens over gaan niet genoeg beschermd? Dan krijg je te maken met de Autoriteit Persoonsgegevens. Jij, als verwerkingsverantwoordelijke over de gegevens, moet dan een melding maken. Bij de Autoriteit Persoonsgegevens geef je dan aan dat er een app lek heeft plaatsgevonden.

Stap 4: Welke mensen zijn betrokken bij de persoonsgegevens?

Ten slotte moet je weten of je de gebruikers van je app op de hoogte moet stellen van je app lek. Dit moet je doen als de mensen die hun gegevens met jouw app hebben gedeeld, last kunnen krijgen van de inbreuk. Onder last wordt het ondervinden van ernstige gevolgen verstaan. Als dit zo is, moet je een melding aan je gebruikers maken.

In dit eerdere artikel met een interview met Tanya,  lees je hoe Uber heeft verzwegen dat de app gehackt was.

app lekInschakelen van app-beschermers

Als je denkt dat je last hebt van een app lek, is het eerste wat je moet doen: experts inschakelen. Je hebt een probleem en die moet opgelost worden. ÉN dit mag natuurlijk nooit meer gebeuren! De security experts gaan samenwerken met je app-ontwikkelaars. Hieronder zie je de 4 stappen die je moet weten als je een security expert inschakelt.

  1. Ontdek via welke weg de indringer binnen is gekomen

Als je een security expert inschakelt, moeten zij meteen gaan kijken hoe je app gehackt is. Werk samen met een betrouwbare partij en geef hen de volle toegang tot je app, de broncode en de code van de server. Als je hen de vrijheid geeft om je hack uit te pluizen, weet je het precieze probleem en de oplossing. Soms kom je er zelfs achter wie degene was die je app heeft gehackt. Deze stap kan een paar weken duren, afhankelijk van de complexiteit van de app.

  1. Schakel een team in om elke stukje van je app te onderzoeken

Als je weet waar je probleem zit én de oplossing hebt, dan is dat natuurlijk hartstikke mooi. Helaas is dit geen garantie dat je app voor altijd beschermd zal blijven. Misschien heeft je app wel een andere onbeveiligde ingang, waar niet eens een bewaker voor staat! Schakel dus een team in, die jouw app als het ware gaan ‘white hacken’, zodat je precies weet waar je zwakheden zitten. Zorg ervoor dat de mensen die dit doen wel gekwalificeerd zijn natuurlijk. Certificaten waar je op kan letten zijn: CEH, CISSP en OSSP. Dit kan 2 tot 4 weken duren.

Als jouw app geen gebruik maakt van super gevoelige data, dan kan je voor een snellere variant van bescherming kiezen. In 5 dagen worden de top 10 risico’s aan je app getest. Als jouw app slaagt voor de test, dan is je app in de basis in ieder geval al goed beschermd.

  1. Los álle problemen op

Als al je mankementen en zwakke plekken zijn blootgelegd, is het tijd om deze te beschermen. Los alle problemen op die in je code, de server en andere systemen is gevonden. Je app-ontwikkelaar kan hier ook bij betrokken worden, zodat deze weet wat en hoe het werkt.

  1. Ga voor een second opinion

Net als bij de dokter, kan de ene zeggen dat je al genezen bent, terwijl de andere voorschrijft om nog een paar dagen een paracetamol te slikken. Zo werkt het ook wel eens in de app-lekken-wereld. Soms geven app-ontwikkelaars aan dat problemen zijn opgelost, terwijl dat in werkelijkheid nog niet goed genoeg is opgelost. Als het dan gevraagd wordt aan de specialist, blijkt dat je app nog niet goed genoeg beschermd is. Zorg er dus voor dat je 100% zeker weet dat je app veilig is. Je wilt toch niet nóg een keer een app lek meemaken?

app lekEerste hulp bij hack-ongevallen

Oké, nu weet je hoe je moet checken of er sprake is van een app lek, én welke stappen je samen met app-beschermers moet zetten om jezelf te beschermen. Zoals eerder vermeldt, is dit artikel opgesteld door Tanya en Elke, een Cybersecurity Specialist en AVG kampioen. Oftewel, het ultieme team om samen virtuele criminaliteit tegen te gaan!

Dus, heb jij een app lek? Of ben je bang voor een hack? Maakt jouw app gebruik van gevoelige cijfers? Dit zijn allemaal goede redenen om app-beschermers in te schakelen. Neem meteen contact met Tanya op voor Eerste Hulp Bij Hack-ongevallen via dit formulier:

Je gegevens worden vertrouwelijk behandeld en alleen gestuurd naar Tanya Syrovatka van 5Pro Nederland B.V. Datalekken kunnen soms beschamend of kritiek, dus daar gaan wij delen hierover nooit iets met derden. Én wij hebben een zeer veilig systeem om deze gegevens op te slaan. We sturen je wekelijks een e-mail met informatie over apps waar je je altijd voor kunt uitschrijven. Lees eventueel onze Privacy Statement.

Ik wens je een succesvolle app toe.

-David

markten

Plaats mijn reactie