Databases zijn het kloppende hart van iedere organisatie. Hier komen de belangrijke klant- en bedrijfsdata samen die nodig zijn om ‘business te doen’. Daar kun je maar beter zorgvuldig mee omgaan. Ik beschrijf in deze blog zeven best practices die helpen bij het aanscherpen van de databasesecurity.

Have I been pwned? Nieuwsgierig heb ik toch maar een keer mijn e-mailadres op de gelijknamige website ingetikt. En helaas, ook mijn inloggegevens lagen ooit op straat. Weliswaar alweer een tijdje geleden, in 2012 en 2013 toen respectievelijk Adobe en Dropbox slachtoffer waren van hacks. Gelukkig verander ik mijn wachtwoorden zeer frequent, anders zweefden mijn waardevolle records nu ergens op het dark web, waar ze voor veel geld worden verhandeld.

Natuurlijk sta ik niet alleen. Op haveibeenpwned.com staat de teller inmiddels op bijna 4 miljard ‘pwned accounts’. Die zijn gestolen tijdens databasehacks bij grote bedrijven zoals Dropbox, Yahoo en LinkedIn, waar hackers in één keer heel veel records kunnen buitmaken. Maar ook de databases van kleinere organisaties liggen regelmatig onder vuur.

Kroonjuwelen

Eigenlijk ieder bedrijf slaat wel waardevolle gegevens op in een database, van naw- en inloggegevens tot financiële data en medische informatie. Als die gegevens door een hack op straat komen te liggen, dan zijn de gevolgen vaak niet te overzien. De concurrentiepositie loopt gevaar doordat concurrenten er met de ‘kroonjuwelen’ vandoor gaan en klanten keren je boos de rug toe als bij de hack persoonsgegevens zijn gelekt.

In dit laatste geval verwacht ook de Autoriteit Persoonsgegevens tekst en uitleg over hoe het datalek tot stand is gekomen. Kun je die tekst en uitleg niet geven, dan kan de toezichthouder een fikse boete opleggen. Vanaf 25 mei 2018 kan die boete oplopen tot maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.