BNR waarschuwt: minstens vijftig Nederlandse organisaties lopen risico door onbeveiligde cloudomgevingen. Dit resulteerde in duizenden cv’s en sollicitatiebrieven die onbeschermd op open servers stonden, deels doordat recruitmentsoftware bij één van de genoemde organisaties naar de cloud was verplaatst.
Datalekken
Het lijkt wederop het onderwerp van het jaar te worden: dataleks. Nadat BNR recent al een datalek bij online juwelier Brandfield meldde, waardoor de gegevens van tienduizenden klanten openlijk online gepubliceerd werden, is het deze week opnieuw raak. BNR ontdekte met behulp van een scantool, Gray Hat Warfare, meer dan vijftig Nederlandse instellingen en bedrijven die ongemerkt gevoelige data openbaar hadden staan. “Al deze documenten stonden in gebrekkig beveiligde cloudopslag van onder meer Amazon, Azure of Google”, zo meldt BNR.
Recruitmentsoftware naar de cloud
Eén van de grootste namen die BNR noemt is Sunweb. De reisorganisatie had ruim tweeduizend cv’s en een aantal sollicitatiebrieven online staan. Het is nog onduidelijk wat de gevolgen van het datalek zijn voor de getroffen mensen. Mogelijk zijn hun persoonsgegevens, zoals hun naam, adres en contactgegevens, in handen gekomen van criminelen. Dit kan leiden tot identiteitsfraude of andere vormen van cybercriminaliteit.
“Volgens een woordvoerder zijn de bestanden ongeveer drie jaar geleden per ongeluk online terecht gekomen, toen wervingssoftware naar de cloud verplaatst werd.”
Nadat BNR het reisbureau op de hoogte stelden, is er direct een crisismanagementplan in werking getreden. “De cv’s en sollicitatiebrieven zijn direct verwijderd”, zo meldt BNR. De oorzaak van de datalek? “Volgens een woordvoerder zijn de bestanden ongeveer drie jaar geleden per ongeluk online terecht gekomen, toen wervingssoftware naar de cloud verplaatst werd.”
Kwetsbare gegevens
Met een enorme hoeveelheid gevoelige gegevens, is recruitmenttechnologie een kwetsbaar doelwit voor cybercrime. Alle bedrijven die iets doen met recruitment moeten zich bewust zijn van beveiligingsrisico’s.Cybercriminaliteit kost bedrijven wereldwijd naar schatting 10,5 miljard per jaar in 2025, zo stelt Interpol. Het maakt de implementatie van de juiste beschermende strategieën is essentieel.
In dit geval heeft BNR álle eigenaren van de gegevens benaderd. “Bijna de helft (24) ondernam meteen actie, meestal door hun server alsnog op slot te zetten. 18 bedrijven reageerden niet. De rest van de bedrijven ondernam geen actie omdat er geen gevoelige bestanden op de open server stonden.”
Je bent zélf verantwoordelijk voor gegevens
Door de opkomst van álle cloud-mogelijkheden zijn Nederlandse organisaties wellicht wat laks geworden. In dit geval stonden de door BNR-ontdekte gegevens op cloudopslag van onder meer Amazon, Azure of Google. Het is daarom belangrijk om te onthouden: je blijft zelf verantwoordelijk voor de beveiliging van je data. De cloudserveraanbieder is verantwoordelijk voor de beveiliging van de infrastructuur, maar jij bent verantwoordelijk voor de beveiliging van je data die op die infrastructuur staat.
“Het probleem is misschien nog wel duizend keer zo groot.”
Als dat niet gebeurt en gevoelige data, zoals een cv of sollicitatiebrief, openbaar wordt, dan riskeert de organisatie een boete. Zo legde de Autoriteit Persoonsgegevens (AP) in 2021 het UWV een boete op van 450.000 euro, omdat de persoonsgegevens van 15.000 werkzoekenden door negen datalekken openbaar waren geworden. Niet elk datalek wijst echter op nalatigheid van de organisatie, maar het BNR-onderzoek lijkt slechts het topje van de ijsberg. “Het probleem is misschien nog wel duizend keer zo groot”, zo zegt Eward Driehuis, voorzitter van cybersecurity community CSIRT Global, tegenover de radiozender.