navigatie overslaan
Alle plaatsen > Data & Secure > Blog

Data & Secure

15 post

Bijgaand artikel van Frankwatching wil ik met jullie delen. Het geeft je inzicht in wat we bijvoorbeeld richting Google zouden moeten regelen in relatie tot de AVG. Google staat immers synoniem voor digital analytics.

Met name geeft het artikel je inzicht in wat je moet doen als je analytische cookies zonder goedkeuring toe wilt passen, zodat Google zijn werk kan doen.

Doe er je voordeel mee.

https://www.frankwatching.com/archive/2018/02/06/betekent-gdpr-avg-digital-analytics/

Volgens een grote landelijke krant springen websites met medische informatie over verslavingen en ziektes onzorgvuldig om met privégegevens van hun bezoekers. Uit een steekproef van de Consumentenbond blijkt volgens het bericht dat alle twintig onderzochte websites, waaronder die van Alzheimer Nederland en het Longfonds, adverteerders inzage geven in het zoekgedrag van mensen.

Lekker dan! Je zou toch mogen verwachten dat juist die markt met enige zorgvuldigheid te werk zou gaan. De betreffende sites hebben beloofd hun leven te beteren. Leuke woordspeling in dit geval. Ben benieuwd.

Voetbalclub Ajax heeft een vijfjarige samenwerking met Hewlett Packard Enterprise (HPE) gesloten. Zo wil de club kunnen anticiperen op de exponentiële groei van data en de toegenomen behoeften van de ICT-tak naar opslag. Ajax verzamelt data over bijvoorbeeld spelers, analyseert deze en doet er voorspellingen over.

 

Dat stond te lezen in een bericht via AG Connect. Nu zou je kunnen zeggen dat in het voetbal helemaal niets valt te voorspellen, maar dat zou flauw zijn. Maar de combinatie van spelersdata, biometrische data (vochtverlies, hartslag, etc.) geografische data (waar is de speler op het veld) geeft een schat aan informatie. Nu is meestal wel snel te zien of iemand de kantjes eraf loopt, maar blijkbaar hebben ze daar bij Ajax een systeem voor nodig. Voetbal wordt meer wetenschap. Data wetenschap om precies te zijn. Zo zie je ook dat schaatstrainer Jac Orie ongelooflijk veel meet en daarmee ook ongelooflijk succesvol is voor zijn 'pupillen'. Zou sport sport nog wel zijn over pakweg 10 jaar? Of worden spelers dan gewisseld omdat volgens de statistieken over 5 minuten het licht uitgaat? Willen we dat wel? Er moet toch nog wel iets spontaans overblijven...? En als een sporter dan overgaat naar een andere club, mag hij zijn data dan meenemen? Verkoop je dan eigenlijk de speler of de data?

Het aloude adagium ‘wat niet weet, wat niet deert’ gaat niet op als het gaat over cybercriminaliteit. Robert van der Vossen, managing director van Cyco, komt in de praktijk maar al te vaak bij organisaties en ondernemingen die ‘het echt niet weten, maar wel degelijk worden gedeerd…’ Toenemende mobiliteit van de werknemers, fenomenen als Bring Your Own Device (BYOD) en steeds strengere wet- en regelgeving met navenant hoge boetes, maken dat het gevaar wel bij steeds meer overheden en bedrijven doordringt, maar nog altijd te weinig, volgens Van der Vossen.

 

En dat verbaast Van der Vossen toch steeds weer. ‘Het draait uiteindelijk allemaal om risicomanagement. Wil je als onderneming of overheidsorganisatie al dan niet bewust het risico lopen dat de toegang tot de bij jou aanwezige vertrouwelijke gegevens wordt gekraakt? Of dat er schade wordt toegebracht aan het IT-netwerk?’

Als je die vraag op de man af stelt aan willekeurig welke organisatie of bedrijf, zullen ze allemaal ontkennend antwoorden, constateert Van der Vossen. ‘Heel logisch natuurlijk. Maar dat is nog wat anders dan daadwerkelijk maatregelen nemen of inzien welke maatregelen je zou moeten en kunnen nemen. Beveiliging van data is namelijk niet alleen een technisch vraagstuk. Het is een strategische beslissing, met een belangrijke rol voor de (meestal financieel) eindverantwoordelijke en dat wordt nog altijd zwaar onderschat,’ aldus Van der Vossen. ‘Het is een probleem dat multidisciplinair moet worden aangevlogen en opgelost, inclusief de gedragsverandering die nodig is om mensen ervan bewust te maken dat ze zorgvuldig moeten omgaan met vertrouwelijke data. En dat is niet speciaal een technisch kunstje.’

 

Verschuiving in doelwit

In het recente verleden werden vooral banken en financiële instellingen het slachtoffer van cybercriminaliteit. Daar was een duidelijk aanwijsbare reden voor. Van der Vossen: ‘Daar zat tot voor kort - letterlijk - het geld. Maar de focus van cybercriminaliteit verandert. Het geld zit niet meer direct in bijvoorbeeld het kraken van een bankrekening, maar veel meer in het verkrijgen van vooral verrijkte data. Wij zien een duidelijke verschuiving van ‘target’ naar overheden en burgers in plaats van de financiële instellingen. Die laatste beveiligen zich steeds beter en het wordt dus relatief duurder voor criminelen om er nog voordeel uit te halen. Daarom zoeken ze naar een makkelijker doelwit. Vergis je niet, cybercriminaliteit waarover we het hier hebben, is niets anders dan georganiseerde misdaad die beschikt over ruime hoeveelheden middelen, mensen en kennis. Die willen ze echter zo efficiënt mogelijk benutten, met zo hoog mogelijk ‘rendement’. Als er dan makkelijker slachtoffers te vinden zijn in de juiste aantallen is dat veel lucratiever.’

 

Geen braaksporen

Eén van de belangrijkste kenmerken van cybercriminaliteit is het feit dat de ‘inbreker’, de professionele cybercrimineel, geen braaksporen achterlaat. Van der Vossen: ‘Alle data zijn nog gewoon aanwezig. Ze zijn alleen gekopieerd en kunnen snel worden verhandeld. Dit soort handel is natuurlijk supervluchtig, je hebt er nauwelijks grip op. Tenminste, als je je er niet tegen wapent. Als je weet wat zich allemaal op het ‘Dark Web’ afspeelt… Daar zie je ongeveer ‘live’ dat jouw data wordt verkocht. Daar zit nu het geld: in persoonlijke data, gegevens die zijn verrijkt met allerlei aanvullende informatie. Dat maakt die data extra interessant voor derden.’

Als Van der Vossen bij zijn klanten met behulp van een ‘ethical hacker’ laat zien wat er zoal gebeurt op dat Dark Web, de digitale onderwereld, slaat de schrik ze meestal om het hart. ‘De meeste organisaties hebben werkelijk geen idee. Het is de ver-van-mijn-bed-show, ze weten het niet en ze zien het niet.’

 

Privacy Impact Assessment

Nu de wetgeving zoveel strenger is geworden, met onder meer de Europese Privacy Verordening (de GDPR, General Data Protection Regulation) en de wet Meldplicht Datalekken, worden veel organisaties wakker geschud. Van der Vossen: ‘Eén van de maatregelen die meer licht in de duisternis moet brengen, is de verplichting voor een aantal overheidsinstellingen om een Privacy Impact Assessment uit te (laten) voeren. Daaruit moet meer duidelijk worden over de hoeveelheid, de aard en welke persoonlijke gegevens in de organisatie rondgaan of worden gebruikt en bewaard. Zo’n assessment gebeurt aan de hand van interviews met medewerkers over hoe, wat, waar en alles wat rond data gebeurt. Vervolgens wordt het getest door de partij die de auditing doet. Dan weten we aan het eind van die audit precies wat er rondgaat, welk niveau van beveiliging wordt gebruikt en wat eigenlijk vereist is. Voor bijvoorbeeld BSN-gegevens wordt het hoogste niveau beveiliging vereist, terwijl voor een e-mailadres dat niveau lager ligt. Als je als crimineel iemands (digitale) identiteit wilt overnemen, heb je uiteraard meer aan een BSN-nummer of informatie uit een persoonlijk HR-dossier, dan aan een e-mailadres, dat nogal aan verandering onderhevig is. Zo zijn er ook talloze gegevens van de onderneming die bij diefstal voor enorme schade kunnen zorgen. Van imagoschade tot de diefstal van beursgevoelige informatie die een volledig bedrijf te gronde kan richten. De moderne cybercrimineel gaat het alleen maar om data. Data is big business.’

 

Social engineering

Gegevens en uiterst persoonlijke informatie van social media afhalen is ongeveer het eenvoudigste wat er is. Dat in combinatie met allerlei andere aanvullende persoonlijke gegevens, zoals een BSN-nummer en/of een bankrekeningnummer geeft een crimineel bijna alles in handen om identiteitsfraude op een uiterst effectieve manier te kunnen uitvoeren. Van der Vossen: ‘Dergelijke informatie verzamelen noemen we social engineering en maakt dat individuen of bedrijven benaderbaar en op beslissingsniveau te beïnvloeden zijn, zo ongeveer per product of marktsegment. Hackers worden steeds slimmer en ze maken een afweging van kosten versus baten. Wat levert het meest op en kost het minst om het voor elkaar te krijgen? En dan nog: wat is de pakkans? Over dat laatste kunnen we kort zijn. Die pakkans is niet bijster groot en dan druk ik me nog voorzichtig uit. Dus moeten organisaties zelf actief iets doen en investeren in beveiliging om het voor die crimineel zo moeilijk mogelijk te maken. Hoe lastiger het wordt, hoe sneller ze een nieuw doelwit gaan zoeken. Net als bij een normaal huis waar speciale sloten zijn aangebracht en een hond achter de deur staat te wachten. Het zal altijd een wedloop blijven tussen de ‘goeden en de kwaden’, maar je kunt er wel aan bijdragen om het ‘de kwaden’ zo lastig mogelijk te maken. Hoe je dat doet als het gaat om cybercriminaliteit? Vooral mensen duidelijk maken waar de gevaren liggen. Bewustwording van waar je mee bezig bent, helpt al heel veel. Een goede risicoanalyse maakt het voor medewerkers en directie inzichtelijk waar de grootste gevaren liggen. Je kunt snel en eenvoudig allerlei maatregelen nemen. Om een simpel voorbeeld te noemen: laat een scherm niet zomaar urenlang ingelogd staan. Laat het automatisch na enkele minuten inactiviteit weer uitloggen. Is lastig misschien, maar geloof me, gehackt worden is nog veel lastiger.’

 

Werkbare protocollen vaststellen

Om te voorkomen dat een situatie ontstaat waardoor een organisatie niet meer normaal kan functioneren, is het zoeken naar de balans. Van der Vossen: ‘Van belang is daarbij dat er werkbare protocollen komen. Een 100% waterdicht systeem krijg je nooit, omdat je er dan eenvoudigweg niet meer in kunt werken. De kunst is om door de bril van de hacker te kijken en te bedenken waar de zwakke plekken zouden kunnen zitten. Kijk ook door de bril van de autoriteit en oordeel of je er naar eer en geweten en in alle redelijkheid en billijkheid alles aan hebt gedaan om je data te beschermen. Kun je daar ja op antwoorden, dan ben je op de goede weg. Maar zeg niet te snel ja… Ook belangrijk om te doen: bedenk en leg vast wat je doet in het geval het misgaat, een zogenaamd Cyber Incident Protocol. De Autoriteit vereist ‘passende en adequate maatregelen’. Maar wat zijn die maatregelen dan? Wat moeten de medewerkers doen als het is fout gegaan? Daarover mag geen enkel misverstand bestaan.' 

 

 

Het behoeft eigenlijk bijna geen betoog: net zoals bij veel andere grote veranderingen is ook in het geval van het toepassen van adequate informatiebeveiliging de medewerker zelf de belangrijkste hindernis. Hij ziet het belang er (nog) niet van in, hij heeft er zelf (blijkbaar) geen voordeel van en als het meer werk is dan voorheen, zal hij geen enkele behoefte voelen om er iets aan te doen. Die medewerker moet er aan zijn haren worden bijgesleept. Dat is zo ongeveer de belangrijkste conclusie na de kennissessie over ‘Access & Control’ in het kader van de EIM-campus en het EIM in Business Magazine.

 

Is dat nieuw? Nee, niet echt. Immers ook bij zaken als het Nieuwe Werken, digitaliseren, toenemende mobiliteit, Internet of Things geldt al net zo zeer dat de verandering blijkbaar zo groot is, dat medewerkers er moeite mee hebben die te accepteren en te adopteren. Laat staan als het om zoiets ingrijpends en complex gaat als de nieuwe privacywetgeving. Je mag niet veel meer met de persoonsgebonden gegevens die je als bedrijf of organisatie met zorg hebt verzameld. Althans, dat mag je niet zomaar. Er zijn wel mogelijkheden, maar de regie ligt wel wat meer in handen van de eigenaar van die gegevens.

 

Aan de hand van een aantal stellingen werden de huidige ontwikkelingen aan de ‘campus-tafel’ doorgenomen door Gert Meijerink (Senior Manager RC ITA, KPMG), Gert Koerselman (Business Owner Digitaal Werken, Doxis), Peter Valckx (Sales Executive, Seeburger), Bart Scheffer (MarCom, ETTU), Edwin Hubers (freelance Information Security Officer/Risk Manager) Robert van der Vossen (Directeur CyCo), Barry Bakker (Directeur Digitt) en Lourens Siderius (Business Development Manager MS Azure & Office 365, ETTU). Gastheer voor deze sessie is ETTU, die haar accommodatie als winnaar van de DCM Awards in de categorie Access & Control’ beschikbaar stelde voor deze sessie. De discussie wordt geleid door Sander de Wolf (Uitgever, Vakwereld) en John de Waard (Hoofdredacteur, EIM-campus/DocumentWereld) en vindt plaats in het kader van de EIM-campus (www.eim-campus.nl), thema Access & Control.

 

Hoezo niet interessant?

Grappig is ook wel, zo vindt men aan tafel, dat in het kader van cybersecurity mensen veelal denken dat ze niet interessant zijn. ‘Wie heeft er nu wat aan mijn gegevens?’ Nou, dat valt nog te bezien. Met een beetje social engineering (het afstruinen van sociale media en andere publieke bronnen) kun je al snel een behoorlijk profiel van iemand opbouwen. Als je dan ook nog een bankrekeningnummer en/of BSN-nummer kunt bemachtigen, kun je zijn of haar identiteit overnemen. En dan zijn de rapen pas echt gaar. ‘Het bewustzijn over de mogelijke gevolgen bij verlies of diefstal van vertrouwelijke gegevens of belangrijke bedrijfsgegevens is heel laag’, constateert ‘de tafel’. ‘En als men zich niet bewust is van de gevaren is de neiging om er wat aan te doen ook niet al te groot. Dat zorgt ervoor dat bedrijven lang heel laconiek zijn (geweest) over de bescherming van privacygevoelige gegevens. Toenemend gebruik van cloudapplicaties door veel bedrijven maakt het gevaar nog groter. Dat kan alleen veranderen als we erin slagen die medewerkers zo op te voeden dat ze het gaan begrijpen en dat ze voor hetzelfde doel gaan ‘strijden’.’

 

Die gedragsverandering wordt ‘gestimuleerd’ door de grote boetes die bedrijven boven het hoofd hangt. Daar kan het echt om miljoenen euro’s gaan. Hoe ga je echter de handhaving organiseren?  De verantwoordelijkheid daarvoor ligt op het hoogste niveau, bij de Autoriteit Persoonsgegevens, maar die kan dat lang niet alleen aan. Handhaving zal dus voor een groot deel worden gedaan op aangeven van de gedupeerde, reactief dus. En hoe groot is dan nog de pakkans?

 

Moet wel werkbaar blijven

Daarbij komt dat wanneer je alles dicht timmert er een onwerkbare situatie ontstaat, met nog meer de neiging om ‘er omheen te gaan werken’. Balans tussen wat technisch mogelijk is en wat qua menselijk gedrag haalbaar is, is cruciaal voor het succesvol invoeren van en effectieve ‘information security policy’. Wat wel helpt, volgens de discussiepartners, is duidelijk maken wat de waarde van informatie is. ‘Bekijk jouw informatie eens door de ogen van een crimineel: waar zou je wat aan kunnen verdienen en hoe? Is jouw informatie dan nog steeds zo oninteressant? En is het dan nog steeds ‘best wel goed’ beveiligd? In de meeste gevallen dus verre van…’ Dat bewustzijn moet er wat de tafelgenoten betreft worden ingeramd bij bedrijven. Van hoog tot laag. ‘Anders komt een sluitend informatiebeveiligingsbeleid nooit goed van de grond. Iedereen moet zich bewust zijn van de gevaren. En daarnaar handelen!’

 

Slotconclusie van de tafelgenoten: ‘We zijn toe aan de volgende fase: we moeten beter en netter omgaan met alle data die ons ter beschikking staan. Om dat te kunnen doen moet je het simpel houden. ‘Keep it simple and stupid’. Dan begrijpt iedereen wat je wilt en hoe je het wilt. Maak vervolgens heldere afspraken, zodat duidelijk is hoe het doel bereikt moet worden. De keuze om iets met die persoonsgebonden of gevoelige (bedrijfs)informatie te (mogen) doen, moet vervolgens bij de eigenaar liggen. Zolang die daadwerkelijk heel eenvoudig zijn keuze kan maken, is nog altijd veel mogelijk om nieuwe producten en diensten te ontwikkelen, gebaseerd op informatie die uit bestaande producten en diensten is gekomen.’

Sinds zomer vorig jaar is de eIDAS-Verordening (Verordening elektronische identiteiten en vertrouwensdiensten) van kracht. Hier is veel minder aandacht aan besteed dan aan bijvoorbeeld de General Data Protection Regulation (GDPR), maar is daarom niet minder relevant. Deze eIDAS-Verordening brengt door de invoering van nieuwe verplichtingen belangrijke veranderingen voor aanbieders van elektronische identificatiemiddelen en bepaalde vertrouwensdiensten (trust services).

 

De verandering met de meeste impact voor aanbieders van dergelijke diensten is waarschijnlijk de nieuwe meld- en zorgplicht. Aanbieders van zowel gekwalificeerde als niet gekwalificeerde vertrouwensdiensten moeten vanaf 1 juli incidenten met een significante impact melden bij de toezichthouder (de Autoriteit Consument en Markt)*, en waar passend ook bij de Autoriteit Persoonsgegevens en het Nationaal Cyber Security Centrum (NCSC). Daarnaast legt de Verordening zwaardere verplichtingen met het oog op de te nemen beveiligingsmaatregelen op. De eIDAS-Verordening vervangt de Europese Richtlijn elektronische handtekening (Richtlijn 1999/93/EG).

 

Wat zijn vertrouwensdiensten?

 

Vertrouwensdiensten zijn elektronische diensten die gewoonlijk tegen betaling worden verricht en het onderstaande inhouden:
a) het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten of
b) het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites, of
c) het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben (artikel 3, onder 16, eIDAS Verordening).

Onder vertrouwensdiensten worden verstaan:

Elektronische handtekeningen (ook wel digitale handtekening genoemd);

Elektronische zegels;

Elektronische tijdstempels;

Diensten voor aangetekende bezorging;

Elektronische certificaten voor authenticatie van websites.

 

Onderscheid tussen gekwalificeerde en niet-gekwalificeerde vertrouwensdiensten
Bij vertrouwensdiensten wordt onderscheid gemaakt tussen gekwalificeerde en niet-gekwalificeerde diensten. Een niet-gekwalificeerde aanbieder is in principe iedere aanbieder die een dergelijke dienst aanbiedt. Een gekwalificeerde aanbieder is een aanbieder die diensten aanbiedt met een hoger betrouwbaarheidsniveau. Aan het aanbieden van gekwalificeerde vertrouwensdiensten worden onder de eIDAS-Verordening zwaardere eisen gesteld dan aan niet-gekwalificeerde diensten. Een voorbeeld van niet-gekwalificeerde vertrouwensdiensten (met een lager niveau van betrouwbaarheid) zijn website-certificaten. Voor zowel afnemers van de diensten als aanbieders moet duidelijk zijn welke betrouwbaarheidsniveau een dienst heeft.

Wat verandert er voor de aanbieder van vertrouwensdiensten met de eIDAS-Verordening?
Zowel aanbieders van niet-gekwalificeerde als gekwalificeerde vertrouwensdiensten dienen passende technische en organisatorische maatregelen te nemen om veiligheidsrisico’s van de diensten die verleend worden uit te minimaliseren. De eIDAS-Verordening voert nieuwe verplichtingen ten aanzien van veiligheidsrisico’s in voor aanbieders van vertrouwensdiensten. Dit zijn:

 

Meldplichten bij inbreuk op veiligheid of verlies van integriteit

Een (vermoeden van een) veiligheidsinbreuk of integriteitsverlies, met aanzienlijke gevolgen voor de verleende vertrouwensdienst of voor de persoonsgegevens die daarmee worden beheerd, dient onverwijld, doch uiterlijk binnen 24-uur na de ontdekking gemeld te zijn bij de toezichthouder en, waar passend, bij de Autoriteit Persoonsgegevens en/of het NCSC.

 

Aangescherpte toezicht/beveiligingseisen

Het toezicht op de aanbieders van niet-gekwalificeerde vertrouwensdiensten is gericht op de controle op het nemen van passende maatregelen tot risicobeheersing. Dit toezicht kan alleen achteraf plaatsvinden; dus wanneer een incident heeft plaatsgevonden of de toezichthouder signalen krijgt over misstanden bij die aanbieder.

Aanbieders die een gekwalificeerde dienst willen aanbieden dienen het voornemen daartoe bij de toezichthouder te melden en de resultaten van een veiligheidsaudit (een kritisch onderzoek naar de veiligheid van de vertrouwensdienst) van een erkend orgaan aan de toezichthouder te overhandigen. De toezichthouder beoordeeld aan de hand van de resultaten van de veiligheidsaudit of de aanbieder op de vertrouwenslijst met betrouwbare aanbieders en diensten kan worden geplaatst. Aanbieders van gekwalificeerde vertrouwensdiensten dienen eveneens jaarlijks een veiligheidsaudit uit te voeren en de resultaten daarvan in te dienen bij de toezichthouder. Ook mag de toezichthouder hier proactief toezicht houden op de naleving van de zorgplicht en waar nodig handhavend optreden.

Met de eIDAS-Verordening hoopt de Europese Commissie te voorzien in een betrouwbare, beveiligde en wettelijk geregelde omgeving ten behoeve van elektronische identificatie en elektronische vertrouwensdiensten om grensoverschrijdende elektronische transacties te faciliteren voor het bedrijfsleven, burgers en overheden. Met de eIDAS-Verordening wordt het gemakkelijker om online en cross-border zaken te doen, zoals het openen van een bankrekening, het opzetten van een bedrijf een ander lidstaat, of het doen van belastingaangiftes en internetbetalingen.

Uit een recent onderzoek van Forrester blijkt dat de markt een stijgende behoefte heeft aan 'mobiele veiligheid' en realtime opties tot ondertekening van documenten (The State Of E-Signature Implementation: Twenty-Five E-Signature Use Cases Show Adoption Trends’). Daarbij spreekt het gerenommeerde marktonderzoeksbureau bovendien de verwachting uit dat biometrie als beveiliging (vooral in Europa) opmars zal maken. Vingerafdruk-, iris- en gezichtsherkenning e.d. zullen onlosmakelijk worden verbonden met het veilig (op elke willekeurige locatie) kunnen uitvoeren van ondertekeningen of transacties, zowel op de pc als op eender welk mobiel apparaat ook.

Nu is er al eens eerder iets gezegd over biometrische beveiliging in deze kolommen, maar het doet mij denken aan de film Angels & Demons (in het Nederlands Het Bernini-mysterie, naar het boek van Dan Brown). Daar werd ook gebruik gemaakt van biometrische herkenning (iris-herkenning in dit geval) in het CERN, het Zwitserse wetenschappelijke instituut voor nucleair onderzoek. Daar werd (in de film dan) anti-materie gecreëerd en het is uiteraard verstandig om dat goed te beveiligen. Toegang werd gecontroleerd door irisherkenning van de betreffende wetenschappers. Echter, een stel onverlaten hadden doodeenvoudig het oog van de betreffende wetenschapper uit zijn kas gelicht en die voor de irisscanner gehouden. Deur open, anti-materie weg en daar waren de poppen aan het dansen. Waarmee ik maar wil zeggen, dat je het qua beveiliging zo gek niet kunt bedenken of er is altijd wel iemand die er een weg omheen weet te vinden.

 

Vandaar misschien dat nu ontwikkelingen gaande zijn om niet de vingerafdruk maar de hele hand als biometrische eigenschap vast te leggen en te gebruiken. Maar ook die kan er af... Niets is waterdicht en het is een illusie om te denken dat het wel zo gaat worden. Het wordt ongetwijfeld steeds veiliger door al die toepassingen van biometrische herkenning, maar we zullen vooral moeten leren op een zorgvuldige manier om te gaan met waardevolle items of informatie. En daarbij het risico op misbruik altijd in het achterhoofd houden. Bedenk vooral ook van te voren wat je gaat doen als het mis gaat. Want het gaat een keer mis. Dat is de enige zekerheid die u heeft. Wie zich dat realiseert, wordt ook niet verrast.

 

Ik hoop dat u dit jaar een mooi en veilig jaar zult meemaken en niet wordt verrast...

gert

Wordt cyberveiligheid onderschat?

Gepost door gert 12-okt-2017

Europa wapent zich tegen cyberaanvallen

(Bron: Telegraaf/digitaal)

Om zich te weren tegen de dramatische stijging van het aantal cyberaanvallen, moeten de EU-landen veel nauwer gaan samenwerken. De Europese Commissie wil onpersoonlijke gegevens vrijelijk door Europa laten stromen en presenteerde dinsdag 19 sept plannen om de digitale veiligheid te waarborgen.

„Geen land kan de uitdagingen op het gebied van cyberveiligheid alleen aan”, zei vicevoorzitter Andrus Ansip (Digitale Markt). Vier op de vijf Europese bedrijven hadden vorig jaar problemen met hun digitale veiligheid. Datadiefstal, gijzelingssoftware en fraude met creditcards en digitale betaalmiddelen komen steeds vaker voor en moeten harder worden aangepakt als het aan Brussel ligt. Schattingen over de schade van digitale misdaad lopen op tot 265 miljard euro per jaar.

Enisa, het Europese agentschap voor netwerk- en informatiebeveiliging op Kreta, wordt versterkt en omgevormd tot een dienst die de Europese cyberveiligheid robuust moet maken. Die moet met certificaten zorgen voor veilige digitale diensten en producten die met internet zijn verbonden.

Blauwdruk

Daarnaast gaat het agentschap een ’blauwdruk’ opstellen voor acties die lidstaten snel moeten nemen bij een grootschalige aanval. Het jaarlijkse budget moet op termijn verdubbelen naar 23 miljoen euro. Mogelijk komt er een fonds voor lidstaten die worden getroffen door een cyberaanval.

Bedrijven en burgers kunnen hun steentje bijdragen door ’cyberhygiëne’ serieuzer te nemen. Daaronder valt bijvoorbeeld het geregeld wijzigen van wachtwoorden en voorzichtig zijn met usb-sticks en mails van een onbekende afzender. „Dat moet net zo normaal worden als je handen wassen voor het eten”, aldus Ansip.

De commissie kwam verder met wetsvoorstellen om het ’digitale prikkeldraad’ tussen EU-landen te laten verdwijnen. Onbelemmerd dataverkeer zou jaarlijks tot 8 miljard euro aan extra inkomsten kunnen opleveren. Het is volgens Brussel van essentieel belang voor de ’data-economie’ dat obstakels voor het gebruik van gegevens over de grens uit de weg worden geruimd. De industrie, overheden, (web)winkels, hotels, de transportsector, scholen en financiële instellingen zouden hier enorm van kunnen profiteren.

 

Discussie naar aanleiding van bovenstaand:

 

Het zou mooi moeten zijn, maar klinkt eerder als een poging om water naar de zee te dragen: Volgens bovenstaand artikel wil de Europese Commissie een budget van 23 miljoen (op termijn!) beschikbaar stellen aan Enisa (het Europese agentschap voor netwerk- en informatiebeveiliging op Kreta) om vrijer verkeer van onpersoonlijke data in Europa mogelijk te maken en deze data toch te beschermen. Het gaat weliswaar om onpersoonlijke data, maar een beetje hacker kan al heel veel met dergelijke onpersoonlijke (dus niet tot een individu te herleiden) data, zeker als zaken gekoppeld gaan worden en een beetje serieus social engineering gaat plaatsvinden. Aan de andere kant bedraagt de geschatte schade door cyberaanvallen en hackers zo’n 265 miljard euro per jaar. Dat geeft blijk van een schromelijke onderschatting van de gevaren en gevolgen van cybercriminaliteit. Op deze manier gaan we het pleit nooit winnen. Er zal veel forser en gerichter moeten worden geïnvesteerd in veilige data en veilig dataverkeer. Samenwerken op Europees niveau is mooi, maar dan moet je het wel serieus nemen.

De gemeente Bodegraven-Reeuwijk ondertekent haar raadsbesluiten niet meer met een pen, maar digitaal gecertificeerd. Tijdens de raadsvergadering van 27 september plaatste griffier Hans Rijs voor het eerst een digitaal gewaarmerkte handtekening onder een raadsbesluit. De digitale handtekening is een geïntegreerd onderdeel van Parlaeus, een platform voor bestuurlijke en politieke besluitvorming, waar Bodegraven-Reeuwijk sinds kort mee werkt. Lees het hele artikel  op http://www.documentwereld.nl/nieuws/1/11870-gemeenteraad_bodegraven_reeuwijk_ondertekent_digitaal 

 

De digitale handtekening raakt blijkbaar steeds meer 'ingeburgerd'. Zou het dan toch gaan gebeuren: 1 digitale overheid die alles digitaal kan afhandelen? Inclusief ondertekenen (en dus accorderen) van een proces?

Volgens een bericht op de site van de krant van Wakker Nederland heeft Microsoft een patent verkregen op technologie die het mogelijk maakt een vingerafdruk te scannen, zonder dat de vinger op een scherm of speciale knop wordt geplaatst. De technologie heet Image-Sensing With A Waveguide Display. Om de technologie te laten werken is wel een glazen scherm nodig. De lichtstralen van de vinger worden via het scherm opgevangen en bewerkt door sensoren die het beeld weer ter herkenning doorgeven aan het apparaat waarvoor de vingerafdruk nodig is. 

Lijkt me er met al die 'contactloze ontwikkelingen' niet eenvoudiger op worden. Of wordt het juist net te eenvoudig? Contactloos betalen, contactloos een vingerafdruk herkennen, contactloos data uitwisselen... Ik dacht altijd dat fysieke zaken (biometrische kenmerken) als de druk waarmee je je handtekening plaatst, je vingerafdruk zet (of laat nemen) of iets dergelijks ook een persoonlijk kenmerk is, waaraan je kan worden herkend.

Geen idee hoe dit werkt, maar ik ben dan ook geen techneut. Ik denk echter wel dat naarmate dit soort technologieën in sneller tempo elkaar opvolgen er een soort automatische rem op komt in de maatschappij. Misschien toch eerst eens een bepaalde installed base van het een genereren voor we de volgende fase ingaan? Maakt de overgang wat makkelijker. Maar wie ben ik...


Fysieke magazines volgen binnenkort

Het is zover! Het heeft wat (meer) voeten in de aarde gehad dan vooraf gepland, maar dat is inherent aan nieuwe initiatieven zullen we maar denken. Maar nu is ‘ie er dan: het eerste nummer van EIM in Business, het magazine, zeg maar gerust bookazine, met als centraal thema Access & Control. In meer dan 100 pagina’s wordt uit de doeken gedaan hoe de ontwikkelingen op het gebied van vertrouwelijke en beveiligde toegang tot informatie zich ontvouwen. Een uitgave van DocumentWereld naar aanleiding van het initiatief van Vakwereld, TAPAS, Tekstschrijven als Passie en Strategy Partners Nederland. 

Het magazine is te downloaden op: http://www.documentwereld.nl/nieuws/1/11832-eerste_editie_eim_in_business_online_

john.dewaard

Verwarring alom over AVG?

Gepost door john.dewaard Moderator 4-sep-2017

Onlangs gelezen:

Het bedrijf Blablabla introduceert de GDPR-check, een nieuwe dienst voor bedrijven die vanaf mei 2018 aan de General Data Protection Regulation (GDPR) moeten voldoen. De check bestaat uit een inventarisatie van de IT-omgeving en -processen door een security specialist, waarna het bedrijf persoonlijk advies krijgt over de mogelijke vervolgstappen om de privacybescherming te verbeteren. De GDPR-check is in het leven geroepen na veel vragen van klanten rondom de nieuwe privacywet.

 

Tja, als dienstverleners zelf al aangeven dat je als bedrijf pas vanaf mei 2018 moet voldoen aan die nieuwe wet...

Dames en heren dienstverleners, de wet is al van kracht hoor. Vanaf volgend jaar gaat de Autoriteit Persoonsgegevens alleen nog wat fanatieker controleren en boetes uitdelen. Iets wat ze overigens nu ook al doen.

Volgens een onderzoek van Digital Shadows (what's in a name?) blijkt dat veel werknemers nogal vaak dezelfde inloggegevens gebruiken om bij meerdere toepassingen in te loggen. Nu lijkt dat heel naïef, maar als we heel eerlijk zijn... Wie doet dat dan niet? Criminelen weten dat inmiddels ook en proberen daarom met diezelfde gehackte of gelekte inloggegevens meteen bij zoveel mogelijk sites en toepassingen geautomatiseerd binnen te komen. Het komt er in veel gevallen op neer als het om veiligheid gaat, dat we, alle veiligheidsmaatregelen ten spijt, zelf nog het meest kunnen bijdragen aan een betere afscherming van gevoelige informatie. Of niet soms? 

De Noord-Hollandse gemeente Castricum, onderdeel uitmakend van BUCH (Bergen-Uitgeest-Castricum-Heiloo) haalde bij ons de krant een dezer dagen. Deze gemeente gaat namelijk 25k extra investeren in informatiebeveiliging. Aanleiding was (indirect) de wereldwijde cyberaanval van enkele dagen geleden. 'Er zijn al veel wettelijke bepalingen die ervoor zorgen dat je wel alert moet zijn', aldus de gemeentesecretaris Suanet. En dan komt het. Hij zegt daar vervolgens achteraan: 'Als iemand een dossier bij de balie komt afgeven, zijn er allerlei richtlijnen waaraan je moet voldoen. En accountants letten ook scherp op. Dus als je het nu niet regelt, word je vanzelf wel gedwongen. Maar wij willen nog een stapje extra, zodat we niet worden ingehaald door de ontwikkelingen.'

 

Ja, ja, dat zegt hij met droge ogen. Denk ik, want dat kon ik niet zien uiteraard. Als iemand een dossier aan de balie komt brengen...Ze zijn er dus nog, dit soort gemeenten. Waar ze dossiers aan de balie komen brengen. Nou meneer Suanet, papier kun je niet hacken. Dus laat die 25.000 euro investering dan ook maar zitten. U bent al aan alle kanten ingehaald ben ik bang. Nu begrijp ik ook waarom in BUCH-verband nog eens circa vier miljoen euro extra nodig was om de (gezamenlijke) ICT te actualiseren. Hebben jullie eigenlijk wel ICT?

sander.dewolf

Goeoeoeoeoeoeoedemiddag

Gepost door sander.dewolf Moderator 11-apr-2017
Wie kent de kreet van Gaston Starreveld niet? De goedlachse geldbrenger van de Postcodeloterij vult regelmatig de beeldbuis met zijn enveloppen waar dan een mooi bedrag (meestal tenminste) inzit voor de persoon die hij bezoekt. Ik heb hem overigens nog nooit gezien, niet eens in de buurt… Maar het was even geen goed nieuws over drie loterijen: de leverancier die namens de VriendenLoterij, de Postcode Loterij en de BankGiroLoterij de brieven en prijzen stuurt, was gehackt. Daardoor konden de gegevens van ongeveer 450.000 spelers tijdelijk worden ingezien, inclusief de bankrekeningnummers van zo’n 900 spelers. Nu hadden ze geluk dat het in dit geval ging om een ‘ethische hacker’ dus; die had geen verkeerde bijbedoelingen, toch? Het incident is gemeld aan de Autoriteit Persoonsgegevens, want de organisaties nemen dit uiterst serieus. Bovendien is het verplicht… Maar blijkbaar blijft het een gokje of zo’n bedrijf een keer gehackt wordt. Nou nee, niet óf, maar wanneer.

 
Het systeem werd meteen buiten werking gesteld, met als resultaat dat de deelnemers nu langer op hun prijzen en brieven van de loterijen moeten wachten.

 

Oké, vandaar. Geeft niet. Ik wacht al jaren.

 

john.dewaard