CorporatieGids Magazine
MAART 2023 I 13 de jaaromzet te vragen als losgeld. Daarbij viel het op dat je echt met een professionele organisatie te maken hebt. Wanneer je bijvoorbeeld wél afkoopt – wat wij uiteindelijk niet hebben gedaan – krijg je hulp om je data weer terug te krijgen, zelfs met ondersteuning van een helpdesk. Je hebt dus niet te maken met individuen, maar met een ‘professioneel’ crimineel bedrijf.” Basis van de bedrijfsvoering QuaWonen mag in kader van het nog steeds lopende onderzoek niet alles vertellen over het ontstaan van de hack. “Maar wat wel duidelijk is, is dat het allemaal begon met een phishing- mail,” vertelt Jacoline. “Dat laat meteen het belang van awareness en beveiliging zien, want één klik kan al een proces in gang zetten wat eindigt in een hack. Wij merkten dat thema’s als digitale vaardigheid en veiligheid onvoldoende prioriteit hadden. We waren meer bezig met in het oog springende activiteiten zoals woonruimteverdeling, onderhoud, leefbaarheid en ontwikkeling. Deze ervaring moet ons leren dat al die activiteiten pas goed uitgevoerd kunnen worden als de basis van de bedrijfsvoering op orde is. De kans op inbreken is namelijk altijd aanwezig. Het is dan zaak dat wanneer de voordeur bezwijkt, criminelen niet verder komen dan de deurmat en er maar weinig te halen is en gegevens goed opgeborgen zijn.” In de lead blijven Op de vraag wat bijna een jaar later de belangrijkste geleerde lessen zijn voor QuaWonen, vertelt Wendy dat het essentieel is dat je als organisatie altijd in de lead blijft: “Je besteedt zaken uit omdat je bepaalde kennis niet hebt, maar dat moet je niet verslappen. Dat betekent dat je pentesten en audits blijft uitvoeren, de benchmark doorloopt en in gesprek moet blijven met partners. Daarnaast hebben we ook verschillende technische toepassingen toegevoegd, zoals het continu scannen van onze devices via een SOC-SIEM. Deze software controleert ons applicatielandschap en heeft daar een respons- team op zitten. Zo kunnen we nog sneller reageren bij een oneffenheid in ons landschap en een eventueel kwaad in de kiem smoren.” Dataminimalisatie “Daarnaast passen we dataminimalisatie toe om ervoor te zorgen dat er bij ons zo min mogelijk te halen valt,” vult Jacoline aan. “Bijvoorbeeld dat we alleen data bewaren die we mogen bewaren op de plek waar we het moeten bewaren en voor de juiste termijn. Een voorbeeld zijn de handtekeningen van onze medewerkers. Die worden gescand, gestuurd naar de juiste persoon en vervolgens gearchiveerd. Maar dat betekent dat die handtekening op verschillende plekken staat: van in-
RkJQdWJsaXNoZXIy Mzg5Mzg=