Het kat-en-muisspel met hackers

Het was eind maart groot nieuws: een datalek bij meerdere organisaties in Nederland. Hackers hadden mogelijk ook toegang tot de gegevens van sommige PME-deelnemers. Wat heeft PME gedaan toen het bekend werd? En wat kun je zelf doen?

Het heeft iets weg van een kat-en-muisspel. Bedrijven en organisaties als PME doen alle digitale deuren zoveel mogelijk op slot, met sloten die moeilijk opengaan. En PME verdeelt de data zelf achter verschillende deuren, zodat áls hackers binnenkomen, ze niet meteen toegang hebben tot alle data. Hackers proberen op hun beurt telkens nieuwe manieren te vinden om toch in te breken.

Eind maart bleek dat het ze was gelukt om een digitale deur te openen bij een extern bedrijf waarmee PME samenwerkt. “Ze hebben een paar uur kunnen rondneuzen in omgevingen waar ook gegevens van PME-deelnemers stonden”, vertelt Alae Laghrich, uitvoerend bestuurder risicomanagement, governance, compliance en financiën bij PME. “Maar we weten niet zeker of ze de gegevens van onze deelnemers ook echt hebben ingezien of zelfs gestolen. En het is onzeker of dat ooit nog duidelijk gaat worden.”

Open en eerlijk

Direct toen het nieuws bekend werd, is een speciaal crisisteam aan de slag gegaan. Een van de eerste maatregelen was om de gegevens van deelnemers bij dat externe bedrijf weg te halen. Zo kon de schade in elk geval niet nog groter worden. Ook verzamelde het team zo veel mogelijk informatie. Hoe groot is het lek? Waar zit het? Om welke gegevens gaat het en van wie? “Toen werd duidelijk dat we twee groepen mogelijke slachtoffers hadden”, vertelt Alae. “Van de getroffen gepensioneerden ging het om achternaam, geslacht, leeftijd en soms het telefoonnummer. En bij een deel van de getroffen werkenden ook om het brutojaarinkomen.”  

PME heeft het datalek daarna direct gemeld bij de Autoriteit Persoonsgegevens en bij de toezichthouder van het fonds: De Nederlandsche Bank. Ook de andere toezichthouder van PME, de Autoriteit Financiële Markten, is op de hoogte gesteld. De getroffen deelnemers zelf kregen bericht, per e-mail en per brief. Sommige mensen namen daarna contact op met PME.

Alae: “Daar waren we op voorbereid. Een deel vond het fijn dat we open en eerlijk vertelden wat we wisten. Anderen waren vooral bezorgd. Ik begrijp dat heel goed. Mensen zijn natuurlijk afhankelijk van hoe goed wij – en onze partners – de digitale veiligheid op orde hebben. Ze kunnen immers niet naar een ander pensioenfonds overstappen.”

PME heeft ook contact opgenomen met de betrokken werkgevers om vragen te beantwoorden en hen te ondersteunen met informatie voor hun werknemers.

“Een gespecialiseerd bedrijf scant voor ons het dark web.”

Dataveiligheid

Of de hackers ook echt gegevens van PME-deelnemers in handen hebben, is dus niet zeker. En het is ook niet duidelijk wat ze ermee doen.

Alae: “We houden dat in de gaten. Een gespecialiseerd bedrijf scant in onze opdracht het dark web. Dat is het deel van het internet waar hackers actief zijn. Zo houden we in de gaten of de gegevens bijvoorbeeld te koop worden aangeboden. Tegelijkertijd beseffen we dat we niet alles kunnen zien. Het blijft zoeken naar een speld in een hooiberg.”

Onafhankelijke deskundigen hebben geprobeerd na te gaan hoe de hackers konden inbreken en wat er tijdens de inbraak met de gegevens is gebeurd. Dat onderzoek heeft helaas weinig opgeleverd. Intussen is PME bezig om nog strenger te kijken naar de eigen dataveiligheid en naar die van de bedrijven waarmee het fonds samenwerkt.

“We stellen hoge eisen”, zegt Alae. “De dataveiligheid van alle bedrijven in de keten moet net zo goed zijn als die van ons. Heeft iemand z’n zaken niet op orde, dan werken we niet samen. Zo maken we de kans op een nieuwe hack zo klein mogelijk.” ●

Foto: Shutterstock