AP: meer dan verdubbeling aan datalekken in 2018

In 2018 zijn er bij de AP zo’n 21.000 datalekken gemeld. Meer dan een verdubbeling ten opzichte van 2017, toen het nog om 10.000 gemelde datalekken ging. De toezichthouder gaat de capacitiet uitbreiden aangezien dit de vooraf gemaakte schatting overstijgt. De meeste datalekken die werden gemeld, 63 procent gingen over persoonsgegevens die aan een verkeerde ontvanger waren gestuurd. Het gaat bijvoorbeeld om poststukken met gevoelige gegevens die bij de verkeerde persoon terechtkomen en geopend retour worden gestuurd. Ook betreft het e-mails met gevoelige persoonsgegevens die naar de verkeerde ontvanger worden gestuurd. Bijvoorbeeld door een typefout of omdat de verkeerde ontvanger in het e-mailprogramma wordt gekozen. De overige 27 procent bestaat uit onder meer kwijtgeraakte persoonsgegevens door bijvoorbeeld een verloren of gestolen laptop of usb-stick, hacking, phishing of malware, het per ongeluk publiceren van persoonsgegevens of het tonen van de verkeerde persoonsgegevens in een klantportaal.

 

Lees meer over dit onderwerp op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-ontvangt-bijna-21000-datalekken-2018

Datalek: IBAN-nummers van vele Tikkie-gebruikers te achterhalen

De populaire betaal-app Tikkie biedt de mogelijkheid om geld over te boeken naar andere Tikkie-gebruikers op basis van hun 06-nummer. Daardoor was het mogelijk om de IBAN-nummers van vele nietsvermoedende Tikkie-gebruikers te achterhalen, met het gevaar voor identiteitsfraude en phishing. Dat blijkt uit onderzoek van RTL Nieuws. ABN Amro bevestigt de kwetsbaarheid en heeft de nieuwe functie, Tikkie Pay, tijdelijk offline gehaald. “Bedankt voor de oplettendheid”, aldus de woordvoerder.

Datalek bij 216 Accountants

216 Accountants, de voormalige mkb-praktijk van KPMG, is getroffen door een datalek. Door het lek zijn klant- en persoonsgegevens van klanten van het bedrijf tijdelijk inzichtelijk geweest voor alle klanten. Uit de email die verzonden is naar de getroffen klanten blijkt dat het bedrijf op 1 december is overgegaan op een nieuw klantenportaal.

De leverancier PinkWeb heeft door een menselijke fout op het oude klantportaal een bestand met informatie tijdelijk toegankelijk gemaakt voor alle klanten van het bedrijf. Dit bestand bevatte zowel klant- als persoonsgegevens. 216 Accountants heeft klanten die het betreffende bestand hebben aangeklikt verzocht de informatie permanent te verwijderen.

Ook is van het datalek melding gemaakt bij de Autoriteit Persoonsgegevens.

Datalek: hackers loggen in op tienduizenden RTL-accounts

Aanvallers hebben door middel van hergebruikte wachtwoorden op 32.000 RTL-accounts weten in te breken, zo heeft het bedrijf tegenover haar eigen nieuwssite laten weten. Privégegevens van gebruikers van verschillende RTL-diensten als Videoland, Buienradar en RTL Nieuws zijn benaderd. Het gaat hierbij om naam, e-mailadres en adresgegevens, De aanvallers maakten gebruik van e-mailadressen en wachtwoorden van eerdere datalekken .

Nu is het natuurlijk zo dat als mensen dezelfde wachtwoorden gebruiken voor verschillende sites en niet regelmatig van wachtwoord wijzigen, ze het risico lopen dat er misbruik van wordt gemaakt. Vraag rijst echt in hoeverre een bedrijf nu passende technische maatregelen zoals bescherming tegen bruteforce-aanvallen of een extra authenticatie laag verweten mag worden? Alle getroffen gebruikers zijn inmiddels door RTL ingelicht en moeten een nieuw wachtwoord instellen. Tevens is de Autoriteit Persoonsgegevens geïnformeerd.

 

Datalek Facebook trof 50 miljoen gebruikers

Aanvallers wisten misbruik te maken van een kwetsbaarheid in de “bekijk als” functie, waarmee gebruikers kunnen zien hoe hun profiel er voor iemand anders uitziet.

Via de kwetsbaarheid die door drie verschillende bugs werd veroorzaakt, wisten de aanvallers zogeheten toegangstokens onrechtmatig te bemachtigen, waarmee ze de accounts van gebruikers hadden kunnen overnemen. Via een toegangstoken blijven gebruikers op Facebook ingelogd, zonder dat ze elke keer bij het gebruik van de app opnieuw hoeven inloggen.

Het lek is ontstaan in juli 2017 toen Facebook de functie om video’s te uploaden aanpaste. De 50 miljoen getroffen accounts moeten uit veiligheidsoverwegingen opnieuw inloggen. Heeft u reeds een beleid voor sociale media en weet u hoe u datalekken kunt voorkomen, behandelen en melden?

Lees meer over dit onderwerp op: https://www.ad.nl/buitenland/vijftig-miljoen-facebookaccounts-getroffen-door-datalek~ae72c370/

Uber schikt voor $148 miljoen voor een datalek

Uber schikt voor 248 miljoen een datalek dat ze doelbewust heeft geprobeerd onder het tapijt te schuiven in 2016. In Nederland betrof het de gegevens van ongeveer 174.000 chauffeurs en passagiers waaronder namen, e-mailadressen en telefoonnummers.

In totaal werden 57 miljoen Uber-gebruikers uit de hele wereld, onder wie 600.000 chauffeurs bemachtigt op de cloudserver van een externe partij, waarop Uber de gevoelige informatie had opgeslagen.

Aanvankelijk probeerde Uber de hack geheim te houden en zelfs door de hackers te betalen met 100.000 Dollar eronder uit te komen.

Lees meer over dit onderwerp op: https://tweakers.net/nieuws/143863/uber-schikt-met-amerikaanse-staten-voor-stilgehouden-datalek-uit-2016.html

De eerste maand van de AVG

De eerste maand van de AVG en GDPR is nu voorbij, en volgens de IAPP heeft de EU zeker niet stilgezeten met betrekking tot klachten bij de Autoriteiten, melden ze in een artikel. Omdat niet alle partijen beschreven in het artikel gelijk reageerde nemen we een periode van 2 weken aan.

In de 2 weken sinds de AVG/GDPR is ingegaan zijn er gemiddeld 149  klachten per dag binnengekomen door de landen die hun aantallen hebben gedeeld. In totaal is dat dus 2048 klachten. Het land met de meeste dagelijkse klachten was Groot Brittannië met gemiddeld 43 klachten per dag.

Het lijkt er dus op dat ze het in Groot Brittannië er maar erg druk mee hebben. Wat denkt u ervan? Geven ze daar niet snel genoeg boetes?

Meer slagkracht Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens, die toezicht moet houden op de naleving van de Algemene verordening gegevensbescherming (AVG) krijgt meer slagkracht.

De ministerraad heeft besloten het budget van de toezichthouder fors te verhogen, zodat er meer mogelijkheden ontstaan om de naleving van de komende AVG te controleren. Tot nu toe waren er te weinig financiële middelen om die taak naar behoren uit te voeren. Daarom heeft de ministerraad besloten dat er meer geld naar het AP gaat.

Nog in de loop van 2018 krijgt de AP € 5 miljoen extra toegewezen. In 2019 komt daar nog eens € 2 miljoen bij. Het betekent in ieder geval dat de AP meer mogelijkheden krijgt om onderzoek te doen naar organisaties die ervan verdacht worden de AVG niet na te leven of zelfs te overtreden. Ook het onderzoeken van datalekken wordt daardoor makkelijker.

Hoe ver bent u met de beveiliging van persoonsgegevens?

Let op uw techniek!

Het is u hopelijk niet ontgaan: de Algemene Verordening Gegevensbescherming (AVG) treedt 25 mei in werking in Nederland. De verordening schrijft maatregelen voor om uiteindelijk een datalek van persoonsgegevens binnen uw BV te voorkomen. De AVG vraagt nogal wat van uw ICT-systemen. Aan welke knoppen moet u gaan draaien?

Het aanpassen van uw systemen aan de verordening is niet in een namiddag geregeld. Kort gezegd eist de AVG namelijk van elke onderneming dat die continu op het netvlies heeft of er netjes met persoonsgegevens wordt omgegaan. De AVG brengt sowieso al papieren verplichtingen met zich mee. Zo moet u een register gaan bijhouden met daarin een overzicht van alle verwerkingen van persoonsgegevens in uw BV.

Kennis

Maar met papieren afspraken of het bijhouden van een register voorkomt u nog geen datalek binnen uw BV. Daar-voor moet u toch echt bij de techniek zijn. Maar waar te beginnen? Eigenlijk begint het allemaal met kennis. U moet duidelijk in beeld krijgen welke persoonsgegevens u nu eigenlijk verwerkt en hoe de informatiestromen lopen. De vervolgvraag is dan: welke mogelijke beveiligingsrisico’s leveren die informatiestromen en verwerkingen op? En natuurlijk: hoe kan ik die verkleinen? ‘Het begint met kennis’ geldt trouwens ook voor uw eigen kennis. Wie zich verdiept in databeveiliging komt terecht in een woud van Engelse termen die voor de ICT-leek abracadabra zijn. Toch is het nuttig om een paar basiszaken te kennen, dat kan schelen in de onderhandelingen met uw IT-leverancier. Terug naar de informatiestromen en het verkleinen van de beveiligingsrisico’s.

Het is handig om een stappenplan te volgen (zie hieronder) en een risico-analyse te doen. Dit levert u als het goed is een duidelijk beeld op van waar er in uw BV nog ingrepen nodig zijn. Daarna kunt u besluiten welke knelpunten u zelf aanpakt en wat u wilt uitbesteden. Het up-to-date maken van de systemen en de organisatie hoeft in principe geen maanden in beslag te nemen. Maar de tijdsduur en de kosten van een traject zijn wel af hankelijk van waar uw BV op dit moment staat met de gevensbeveiliging.

Op basis van de analyse kunt u aan de slag om, zoals de AVG voorschrijft, ‘passende’ beveiligingsmaatregelen te nemen om een datalek te voorkomen. Vraag is natuurlijk: wat zijn ‘passende maatregelen’? Dat blijft voor elke onderneming maatwerk. Maar als u de onderstaande vier gebieden op orde heeft, heeft u het grootste deel te pakken. Omdat de hele keten zo sterk is als de zwakste schakel, verdienen alle categorieën aandacht.

Stappen zetten op weg naar goede gegevensbeveiliging:

1 Maak iemand binnen uw BV verantwoordelijk voor de bescherming van persoonsgegevens en breng de verwerkingen van persoonsgegevens in kaart.

2 Voer een analyse uit van de risico’s die deze verwerkingen met zich meebrengen, bijvoorbeeld een ‘gap-analyse’.

3 Update uw privacybeleid. De AVG schrijft voor dat u ‘privacy by default’, ‘privacy by design’ en dataminimalisatie toepast. Dit houdt onder meer in dat u niet meer gegevens mag verzamelen dan nodig is.

4 Leg verantwoordelijkheden rond persoonsgegevens vast en creëer bewustzijn binnen uw BV. Maak afspraken met leveranciers die persoonsgegevens van uw BV verwerken (verwerkingsovereenkomst). De verantwoordelijkheid voor de gegevens ligt namelijk bij u.

5 Voer de technische adviezen uit die de gap-analyse heeft opgeleverd.

Gebruikersbeveiliging

De gebruiker is de zwakste schakel bij cybersecurity. Bij zo’n 45% van de datalekken die nu gemeld worden, heeft een werknemer een e-mail met privacygevoelige informatie naar de verkeerde persoon gestuurd. Deels kunt u dit proberen te ondervangen met technische ingrepen, zoals ‘mobile device management’ (beheer, beveiliging en toezicht op mobiele apparaten als smartphones en tablets), datalekpreventie en ‘endpoint protection’.

Maar misschien nog wel belangrijker is bewustwording onder werknemers. De bewustwording neemt toe wanneer er regelmatig aandacht is voor het onderwerp, waarbij heel specifiek voorbeeldgedrag positief wordt belicht. Elke werknemer moet dus weten: wat is een datalek? Hoe kan ik het voorkomen? En wat moet ik doen wanneer ik denk dat er sprake is van een datalek?

Netwerk- en toegangsbeveiliging

Dit zijn de maatregelen die u kunt nemen om te zorgen dat uw bedrijfsnetwerk en de internettoegang veilig zijn en dat dit ook allemaal blijft functioneren. Dus: een beschermingswal aanleggen tegen hackers, malware en phishing. In IT-land worden dit soort maatregelen vaak gebundeld in oplossingen die ‘unified threat management’ (UTM) worden genoemd. In zo’n pakket zitten vaak onder meer een firewall, een virtual private network (VPN), sterke authenticatie, programma’s voor ‘intrusion prevention’, webfilters (beperkt welke internetsites een gebruiker kan openen) en antivirus-programma’s. Om in de gaten te houden of de beveiliging goed zijn werk doet kunt u gebruikmaken van een zo-genoemd security operations center. Zo’n systeem signaleert mogelijke dreigingen voor uw informatie- en communicatiesystemen en verdedigt u daartegen.

Applicatiebeveiliging

Ook uw BV gebruikt waarschijnlijk een aantal programma’s die essentieel zijn voor uw bedrijfsvoering. Deze applicaties zijn steeds vaker te benaderen via een bedrijfsnetwerk (en ook door thuiswerkers). Daardoor zijn ze kwetsbaar. Mogelijke maatregelen zijn onder meer: een applicatiefirewall, een ‘wasstraat’ tegen DDoS-aanvallen, sterke authenticatie, versleuteling van gegevens (encryptie/decryptie), maar bijvoorbeeld ook een penetratietest. En ook hier weer: bewustzijnstrainingen voor uw werknemers.

Gegevensbeveiliging

U moet ook ‘offline’ uw zaakjes op orde hebben. Zoals maatregelen om uw serverruimte te beveiligen (een blusinstallatie, toegangscontrole). Ook moet u voorkomen dat draagbare gegevensdragers als usb-sticks onbeheerd rondslingeren. Maar ook het delen, mailen en opslaan van data vindt vaak onveilig plaats.Mogelijke maatregelen zijn: encryptie, mobile device management, veilig datadelen, aangetekend en verzegeld e-mailen, back-ups maken en meer bewustzijn creëren binnen uw BV.

Onderscheiden

De AVG dwingt elke onderneming om na te denken over hoe zij met persoonsgegevens omgaat. De verordening brengt werk met zich mee, en misschien ook het bijspijkeren van wat ICT-kennis. Maar het biedt ook mogelijkheden om u te onderscheiden. Want in een tijd dat klanten steeds bewuster omgaan met hun privacy, zien ze graag bedrijven die dat tot in de puntjes op orde hebben.