Hoe ga je om met een cyberattack? Het proces en onze lessen op een rij.

Vanuit het Golden Path principe en onze kernwaarden willen we transparant zijn over onze successen en onze failures. Zoals we dat ook uitdragen naar onze klanten tijdens workshops en implementaties. Ons uitgangspunt is dat we nooit 100% veilig zijn, wel dat we vanuit de Golden Path principes weten wat we moeten doen op het moment dat er iets misgaat. Ook daar hebben we een proces voor en daarin pakt ieder zijn/haar verantwoordelijkheid.

Het leed dat een cyberattack heet

We mogen wel zeggen een nachtmerrie. Als IT-organisatie wil je natuurlijk helemaal niet in aanraking komen met een cyberattack. Je hebt je processen en security op orde. Althans dat denk je. Je maakt wellicht gebruik van externe leveranciers en hoelang is het geleden dat je een interne check hebt gedaan op je processen, business rules en data management?

Homerun liet gisteren via RTLnieuws weten dat een crimineel bij honderdduizenden cv’s kon na het hacken van het sollicitatieplatform. Je leest er hier meer over. Twee weken geleden heeft een hacker toegang gekregen tot de database van Homerun. En mogelijk ook tot onze sollicitanten kregen we te horen.

Homerun-ceo Willem van Roosmalen zegt tegen RTL Nieuws: "Dit zijn lastige keuzes, maar we wilden geen enkel risico lopen dat de data ergens zouden worden gepubliceerd. Het belang van onze klanten en hun kandidaten staat voorop. "De Autoriteit Persoongegevens (AP) is ingelicht, kwetsbaarheden in de server zijn hersteld, systemen geupdate en geïnstalleerd en samen met Northwave werkt Homerun momenteel hard aan verdere communicatie.

Het uitlekken van waar je hebt gesolliciteerd en hoe kan zeker een negatieve impact hebben, bijvoorbeeld bij je huidige collega’s, werkgever of op je carrière. Daar zijn we ons allen van bewust en daarom heeft niemand stilgezeten. En wij dus ook niet. Ook bij TeamValue hebben we een aantal checks gedaan en die blijven we doen om jouw persoonsgegevens veilig te stellen.

Monitoring van het data security proces

Een GDPR Data Processing Agreement. Die hebben we met externe leveranciers. Alleen steken we voor deze hand in eigen boezem, want we hebben teveel vertrouwd op de leverancier dat de retentie policies die we geactiveerd hebben, ook automatisch toegepast werden. Sommige kandidaten hadden al verwijderd moeten zijn uit het systeem. Daarom ook die big sorry from us to you. Nadat 29 oktober bekend werd gemaakt dat er een datalek had plaatsgevonden hebben ook wij direct melding gemaakt bij de Autoriteit Persoongegevens. Omdat organisaties die gebruikmaken van Homerun verplicht zijn om (oud)-sollicitanten te informeren over de hack, maar ook omdat het onze morele plicht is en we ons verantwoordelijk voelen voor de veiligheid van jouw data informeren we over welke consequenties dit wellicht heeft voor jou.

De data die mogelijk buitgemaakt was van kandidaten? Naam, e-mail, telefoonnummer, datum van sollicitatie en datum van vervolgafspraken, vacature waarop is gesolliciteerd en conclusie van gesprekken. Actie gevraagd dus! Wat we tot nu toe gedaan hebben?

• Na melding van Homerun hebben we gespard met een mede-Homerun gebruiker uit de regio, ConnectingTheDots, en bepaald om actie te ondernemen
• Direct daarna, tijdens het vrijdag avond diner, hebben we de impact bepaald en gekeken welke korte termijn acties we te doen hadden. Hierin hebben we zelf het 4-ogenprincipe toegepast
• We hebben melding gemaakt bij de Autoriteit Persoongegevens
• We hebben uit voorzorg alle paswoorden aangepast
• Een trackrecord aangemaakt van acties volgens onze eigen monitoring en beheersysteem bij Bizure‍
• We hebben Homerun gevraagd om een rapport met wat er (mogelijk) onder het datalek viel
• Direct opschonen van ons bestand met achtergebleven gegevens van (oud)sollicitanten
• Alle contacten die voor 26 oktober (het moment van cyberattack) in ons systeem stonden hebben een bericht van ons gekregen

Dit noemen we teamwork van zowel management, HR, marketing en onze CTO.

Het belang van interne audits

Zo blijkt maar weer hoe belangrijk het is je interne audits op orde te hebben. Voor deze case betreft dat concreet dat wij de opslag van persoonsgegevens tot een minimum beperkt hebben. Hoe?

• We vragen sinds we Homerun gebruiken al geen cv uit. We werken hiermee aan data minimalisatie, maar ook omdat we geloven in karakter voor kunde dus gaan we gewoon een persoonlijk gesprek met je aan
• Alleen HR-verantwoordelijkheden binnen ons bedrijf hebben toegang tot het recruitmentsysteem
• Homerun is een veilig platform, alleen hebben we teveel vertrouwd op de veiligheid en daarin onvoldoende audits op gedaan.
• Gespreksverslagen in onze eigen systemen, afspraken in outlook, en toch ook cv's die gemaild worden. Deze worden gedetecteerd en na afloop van de procedures door onze mensen verwijderd uit de mailbox.
• Op basis van deze attack hebben we onze frequentie verhoogd. In plaats van een jaarlijkse controle, doen we nu ieder kwartaal een interne audit waarin we ook externe leveranciers meenemen.

‍

We zeggen A big sorry voor diegene die van ons bericht hebben gekregen en we hopen dat een ieder leert van deze case en maatregelen treft. Want ook als je het merendeel op orde hebt, kun je alsnog slachtoffer worden van een cyberattack en het gaat hier om persoonsgegevens.

Heb je nog een vraag? Neem dan contact op met Xander Kuiper via [email protected]