RDC voert verbeteringen door na datalek

RDC heeft naar aanleiding van het in maart aan het licht gekomen datalek een aantal verbeteringen doorgevoerd in de cyberbeveiliging. Dat staat in de eindverklaring van de dataleverancier na uitgebreid forensisch onderzoek naar het cyberincident heeft uitgegeven.

Ruud Peys Stuur een e-mail
RDC Schoont klantdata met digitale wasmachine

Op woensdag 24 maart vernam RDC van de NOS dat er op internet voertuig- en persoonsgegevens te koop werden aangeboden die mogelijkerwijs afkomstig zouden zijn van RDC. Uit direct opgestart onderzoek bleek dat de gegevens inderdaad tot de tool CaRe-Mail van RDC te herleiden waren.

Fox-IT

Het bedrijf heeft direct de cybersecurityexperts van Fox-IT in huis gehaald om samen met haar forensisch onderzoek te doen naar de toedracht van het cyberincident. Zij hebben inmiddels hun onderzoek afgerond en de resultaten met RDC gedeeld. Belangrijkste conclusie is dat op basis van het forensisch onderzoek dat Fox-IT gedaan heeft niet kan worden vastgesteld op welke manier toegang is verkregen tot de data. Reden daarvoor is onder andere dat de retentie van de verschillende logs ontoereikend was.

Aanbevelingen

Uit de penetratietest en het forensisch onderzoek van Fox-IT kwamen wel verschillende aanbevelingen naar voren om de RDC-omgeving nog beter te beveiligen. “Samen met Fox-IT hebben we direct ‘verhoogde dijkbewaking’ ingevoerd. Zo hebben we onze CaRe-Mail-omgeving nog veel verder beveiligd dan al het geval was om zo veel mogelijk veiligheidsrisico’s te verkleinen. De CaRe-Mail-omgeving had en heeft een veiligheidsniveau dat passend is. Dit conform de overeenkomst die we met klanten hebben afgesloten. We kunnen echter nooit verklaren dat een omgeving 100 procent veilig is, zoals ook breed maatschappelijk bekend is,’’ aldus RDC.

Aangifte

Het bedrijf heeft aangifte gedaan bij de politie en haar klanten zo goed mogelijk geïnformeerd en ondersteund. Hen is geadviseerd melding te doen bij de Autoriteit Persoonsgegevens waarbij RDC ook heeft geholpen. De autobedrijven zijn immers de eigenaar van de gegevens van hun klanten. RDC is de verwerker en handelt in opdracht van de autobedrijven.

Lees ook:
RDC geschrokken van datalek, onderzoek in volle gang

RDC voert verbeteringen door na datalek - Automobielmanagement.nl

RDC voert verbeteringen door na datalek

RDC heeft naar aanleiding van het in maart aan het licht gekomen datalek een aantal verbeteringen doorgevoerd in de cyberbeveiliging. Dat staat in de eindverklaring van de dataleverancier na uitgebreid forensisch onderzoek naar het cyberincident heeft uitgegeven.

Ruud Peys Stuur een e-mail
RDC Schoont klantdata met digitale wasmachine

Op woensdag 24 maart vernam RDC van de NOS dat er op internet voertuig- en persoonsgegevens te koop werden aangeboden die mogelijkerwijs afkomstig zouden zijn van RDC. Uit direct opgestart onderzoek bleek dat de gegevens inderdaad tot de tool CaRe-Mail van RDC te herleiden waren.

Fox-IT

Het bedrijf heeft direct de cybersecurityexperts van Fox-IT in huis gehaald om samen met haar forensisch onderzoek te doen naar de toedracht van het cyberincident. Zij hebben inmiddels hun onderzoek afgerond en de resultaten met RDC gedeeld. Belangrijkste conclusie is dat op basis van het forensisch onderzoek dat Fox-IT gedaan heeft niet kan worden vastgesteld op welke manier toegang is verkregen tot de data. Reden daarvoor is onder andere dat de retentie van de verschillende logs ontoereikend was.

Aanbevelingen

Uit de penetratietest en het forensisch onderzoek van Fox-IT kwamen wel verschillende aanbevelingen naar voren om de RDC-omgeving nog beter te beveiligen. “Samen met Fox-IT hebben we direct ‘verhoogde dijkbewaking’ ingevoerd. Zo hebben we onze CaRe-Mail-omgeving nog veel verder beveiligd dan al het geval was om zo veel mogelijk veiligheidsrisico’s te verkleinen. De CaRe-Mail-omgeving had en heeft een veiligheidsniveau dat passend is. Dit conform de overeenkomst die we met klanten hebben afgesloten. We kunnen echter nooit verklaren dat een omgeving 100 procent veilig is, zoals ook breed maatschappelijk bekend is,’’ aldus RDC.

Aangifte

Het bedrijf heeft aangifte gedaan bij de politie en haar klanten zo goed mogelijk geïnformeerd en ondersteund. Hen is geadviseerd melding te doen bij de Autoriteit Persoonsgegevens waarbij RDC ook heeft geholpen. De autobedrijven zijn immers de eigenaar van de gegevens van hun klanten. RDC is de verwerker en handelt in opdracht van de autobedrijven.

Lees ook:
RDC geschrokken van datalek, onderzoek in volle gang