Beheer

Security
Stappenplan moet datalek na verlopen domeinnaam voorkomen

Stappenplan moet datalek na verlopen domeinnaam voorkomen

Houd domeinnaam voor tenminste 10 jaar aan, is het advies.

10 mei 2021

Houd domeinnaam voor tenminste 10 jaar aan, is het advies.

Om een datalek door een verlopen domeinnaam zo klein mogelijk te maken, biedt het ministerie van VWS samen met de experts van Stichting Z-CERT een stappenplan. Deze handreiking is gemaakt met en voor zorginstellingen. Aanleiding zijn datalekken bij onder meer 2 jeugdzorginstellingen door een verlopen domeinnaam.

In de handreiking wordt in stappen uitgelegd wat organisaties moeten doen als een domeinnaam wordt afgestoten. Domeinnamen die door de eigenaar niet worden verlengd, komen na 40 dagen automatisch weer vrij. Dan kan de domeinnaam worden geregistreerd door ieder willekeurig persoon. Dat kan datalekken, imagoschade of financiële schade tot gevolg hebben. Mail- en ander dataverkeer wat naar of via het verlopen domein gaat, komt dan immers in handen van derden.

Het stappenplan om dit tegen te gaan bestaat uit een drietal fases. Eerst is er het verkrijgen van inzicht welke domeinnamen er nog zijn, dan is er het maken van afspraken over het behoud van de domeinnamen, en uiteindelijk is er het goed afbouwen van de activiteiten rondom een domeinnaam. Advies is om een domeinnaam nog tenminste 10 jaar vast te houden, met de voorwaarde dat er minstens een jaar geen netwerkverkeer overheen loopt. Dat laatste moet een organisatie dus monitoren.

Door naamswijziging

In 2019 ontdekte RTL Nieuws via klokkenluiders dat het mogelijk was om een verlopen domeinnaam van Bureau Jeugdzorg Utrecht te registreren. Deze instantie had in 2015 de naam veranderd van Bureau Jeugdzorg Utrecht naar Samen Veilig Midden-Nederland (SAVE). De website op oude naam ging offline en de domeinnaam werd niet verlengd.

Daarmee was het oude domein echter niet volledig in ongebruik geraakt. Dossiers van cliënten werden namelijk geautomatiseerd - en ook nog eens onbeveiligd - verstuurd naar mailadressen (met de oude domeinnaam) van werknemers. Zo kreeg de Nederlandse nieuwssite dus dossiers van kwetsbare kinderen in handen.

Politiedomein

Dit was niet het enige lek bij een jeugdzorginstantie, bleek uit een brief van toenmalig minister Hugo de Jonge van Volksgezondheid. Ook andere zorginstellingen maakten te fout. In 2017 ging ook de politie de fout in.

SPEEL DE SECURITY GAME!

Heb je de Security Game van AG Connect op donderdag 22 april gemist? Geen nood! Het spel valt nog te spelen. Ga de strijd aan met hackers in een echte security escaperoom, speciaal ontworpen voor AG Connect. De game-elementen worden afgewisseld met inhoudelijke sessies over security. Ga naar de website, meld je aan en speel mee. Voor security!

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.