Beperkt datalek snel verholpen

In november 2024 hebben we zelf een datalek ontdekt in het gebruikersbeheer van de watervraagprognosetool. Het wachtwoord van het admin-account bleek onvoldoende veilig. Hierdoor hebben onbevoegden mogelijk toegang gehad tot de beheeromgeving.

Datalekprotocol geactiveerd

Na de ontdekking is het wachtwoord direct aangepast en is ons datalekprotocol via Witteveen+Bos geactiveerd. Concreet betekent dit dat Witteveen+Bos beschikt over een ISO27001-certificaat, wat verplicht tot het beschrijven van een procedure voor het afhandelen van datalekken. De procedure houdt in dat het datalek wordt gemeld bij de Chief Information Security Officer (CISO) van Witteveen+Bos. Samen met de CISO worden oorzaak, omvang en oplossing van de specifieke casus (hier het onveilige wachtwoord op de database van de watervraagprognosetool) geanalyseerd. Er worden vervolgens maatregelen genomen om herhaling in vergelijkbare gevallen bedrijfsbreed te voorkomen.

Omvang en impact: zeer beperkt

Vervolgens hebben we uitgebreid onderzoek gedaan naar de omvang en impact van het incident. Hieruit is gebleken dat deze zeer beperkt zijn gebleven. Er zijn geen aanwijzingen voor actief misbruik. De logbestanden waarin alle wijzigingen worden geregistreerd, bevestigen dit. Belangrijk om te weten: wij verzamelen alleen noodzakelijke gebruikersgegevens, namelijk uw naam en zakelijke e-mailadres. Het admin-account heeft geen toegang tot wachtwoorden. We kunnen niet met absolute zekerheid uitsluiten dat gebruikersnamen en e-mailadressen zijn uitgelezen. Hoewel de risico’s beperkt zijn, vinden we het belangrijk u hierover transparant te informeren. We adviseren u zoals altijd alert te blijven op verdachte e-mails en geen links te openen waarvan u de afzender niet vertrouwt.