Alle berichten van Sincerus

Uw organisatie AVG-proof voor de deadline

De tijd begint echt te dringen als het gaat om de nieuwe privacyregelgeving. Moet uw organisatie nog voor 25 mei 2018 AVG-proof zijn? Dan hebben wij de oplossing voor u. Op deze pagina kunt u lezen welke dienst wij u kunnen aanbieden om te zorgen dat u zo snel mogelijk weet hoe uw organisatie ervoor staat en wat er nog te doen valt.

AVG Quickscan

Door het uitvoeren van een quickscan wordt in een korte tijd gekeken naar welke maatregelen er genomen zijn met betrekking tot de voor uw organisatie geldende norm voor informatiebeveiliging en welke maatregelen er nog genomen moeten worden.

Algemene beschrijving

U kunt een quickscan laten uitvoeren als u nog niet precies weet waar u staat met betrekking tot de norm waaraan uw organisatie wil voldoen. De quickscan kan ingezet worden in zowel gemeentelijke organisaties als zorginstellingen.

Doelstelling

Doelstelling van de quickscan is het vaststellen in hoeverre uw organisatie reeds voldoet aan de maatregelen zoals beschreven in de voor uw organisatie geldende norm.

Aanpak

In samenwerking met diverse afdelingen/functionarissen wordt door Sincerus vastgesteld welke maatregelen uit de norm geïmplementeerd zijn. Aan de hand van gestandaardiseerde vragenlijsten worden tijdens workshops/interviews met medewerkers van de gemeente de reeds getroffen beveiligingsmaatregelen geïnventariseerd. Het is de bedoeling dat net zoals de naam quickscan al zegt, er in een korte tijd door de hoofdstukken van de in uw organisatie geldende norm wordt heen gelopen. Om deze reden wordt dus niet heel diep in de betreffende hoofdstukken gegaan maar worden de belangrijkste maatregelen meegenomen.

Resultaat

De uitkomsten van de quickscan worden verwerkt in een schriftelijke rapportage. Deze rapportage wordt na de analyse opgeleverd aan de organisatie. Het is daarnaast ook mogelijk dat de resultaten van de analyse worden gepresenteerd aan één of meerdere onderdelen van de organisatie.

Per hoofdstuk van de voor uw organisatie geldende norm zal kort een beschrijving gegeven worden waarin het doel van het hoofdstuk, de norm, de bevindingen en eventuele risico’s worden benoemd.

Aan de slag!

Kunt u onze hulp goed gebruiken? Vul dan het onderstaande formulier in en wij nemen zo snel mogelijk contact met u op. Liever meteen contact? Bel dan met onze collega Richard Hulzinga tel: 06-51663174.

De Dag van de Privacy

Dag van de PrivacyPrivacy is tegenwoordig een veel gehoorde en gebruikte term. Maar privacy is natuurlijk veel meer dan alleen een ‘term’. Privacy is een recht. Hoe komt het dan dat maar weinig mensen weten hoe het precies zit met privacy? Om die reden is de Dag van de Privacy in het leven geroepen. Om mensen bewust te maken van dit recht en wat privacy precies inhoud.

De Dag van de Privacy geldt in heel Europa. Hij is dan ook door de Raad van Europa met steun van Europese Commissie opgericht. Op een symbolische datum, namelijk 28 januari, de dag waarop in 1981 het Dataprotectieverdrag werd ondertekend.

Wat is privacy
“De Van Dale omschrijft privacy als de persoonlijke vrijheid, het ongehinderd, alleen, in eigen kring of met een partner ergens kunnen vertoeven; gelegenheid om zich af te zonderen, om storende invloeden van de buitenwereld te ontgaan, een toestand waarin een mens er zeker van is dat zonder zijn toestemming zo weinig mogelijk andere mensen zich op zijn terrein zullen begeven. Later is dit uitgebreid met:

  • Zelf bepalen wie welke informatie over ons krijgt.
  • De wens onbespied en onbewaakt te leven.” (Bron: Wikipedia)

Privacy in praktijk
Privacy is vooral erg in opspraak als het gaat om gegevensverwerking op digitaal vlak. Zelf bepalen wie welke informatie over ons krijgt is een recht waar lang niet altijd aan voldaan wordt. Persoonsgegevens worden vaak te pas en te onpas doorgestuurd of online gedeeld. En hoewel dit niet altijd door kwaadwillende gedaan wordt, bestaat die variant natuurlijk ook. Hackers die (slecht beveiligde) systemen kunnen binnendringen en dreigen de gegevens online te plaatsen, oud-medewerkers die nog toegang hebben tot netwerken van hun voormalig werkgever en daar misbruik van maken of een CV met sollicitatiebrief die per ongeluk naar een e- mailadres van de concurrent wordt gestuurd. Persoonsgegevens kunnen op allerlei manieren op plaatsen terechtkomen waar de eigenaar geen toestemming voor heeft gegeven. En daarmee wordt privacy meer een ‘term’ dan een daadwerkelijk uitgevoerd recht.

Privacy regelgeving
GDPR
Dat moet natuurlijk anders. Een veranderende wereld vereist regels die mee veranderen. Het internet heeft zich ontwikkeld en steeds meer organisaties verwerken verschillende gegevens. 2018 is een bijzonder jaar als het gaat om privacy. Dit jaar wordt namelijk de Algemene Verordering Gegevensbescherming (AVG) ingevoerd. Dat is de Nederlandse benaming voor de Europese General Data Protection Regulation (GDPR). De GDPR is opgesteld om de verschillende wetten en regels binnen de landen van de Europese Unie te structureren. Waaronder het omgaan met persoonsgegevens.

Wat betekent de nieuwe regelgeving voor consumenten en organisaties?
In grote lijnen zijn de GDPR en de AVG hetzelfde, maar op sommige punten is de AVG wat strenger. Een belangrijke vernieuwing in de AVG is dat consumenten/klanten meer mogelijkheid krijgen om invloed uit te oefenen op de verwerking van hun gegevens. Zij moeten specifiek toestemming geven voor de verwerking, zouden eenvoudiger deze toestemming weer moeten kunnen intrekken en mogen zelfs vernietiging van hun gegevens bij een organisatie aanvragen. Daarnaast hebben klanten recht op ‘dataportabiliteit’. Dit betekent ze de kans krijgen om bijvoorbeeld hun gegevens bij uw organisatie op te vragen, zodat deze verzonden kunnen worden naar een andere partij.

Dit heeft natuurlijk de nodige impact op organisaties. Zij moeten namelijk  kunnen aantonen dat ze deze aanvragen kunnen behandelen en uitvoeren. Een organisatie moet bijvoorbeeld altijd kunnen aantonen dat zij toestemmingen hebben gekregen van de betrokkene om zijn/haar gegevens te mogen verwerken.

Privacy in eigen hand
Maar een consument is er zelf bij met wat hij deelt en mag ook best kritisch zijn als er om bepaalde gegevens gevraagd wordt. Is het invullen van adresgegevens wel nodig als je een digitale folder wilt ontvangen? Uit onderzoek van BIT (gespecialiseerd in colocatie, internetverbindingen, managed hosting en outsourcing) over online privacy blijkt dat meer dan de helft van duizend ondervraagden niet weet wat ze moeten doen om de online privacy te beschermen.

“Daarnaast blijkt uit het BIT-onderzoek dat maar liefst 68 procent van de Nederlanders niet weet wat er gebeurt met de informatie die ze online achterlaten. Er wordt ook niet heel bewust omgegaan met de privacygevoelige informatie die geplaatst wordt.

Zo delen velen standaardgegevens als hun voor- en achternaam (75%), postcode (63%) en woonplaats (64%). Wanneer het echter om bankzaken en identiteitsbewijzen gaat, is de Nederlander voorzichtiger. Zo deelt slechts 20 procent bankrekeningnummers, 7 procent paspoortnummers en 12 procent creditcardgegevens.” (Bron: Techzine)

Vraag altijd: waarom, hoe en wieHieruit mag best geconcludeerd worden dat de eigenaar van gegevens zijn eigen privacy in de hand heeft. Maatregels en regelgeving zijn absoluut nodig, maar als de eigenaar zelf slordig omgaat met zijn gegevens kan daar geen wet tegenop boksen.

Loesje over PrivacyBewust worden en bewust blijven
Vandaar de Dag van de Privacy: wees bewust van het recht en ga er zorgvuldig mee om. Wilt u graag op de hoogte gehouden worden van alles omtrent privacy? Houd dan onze LinkedIn, Twitter of Facebook in de gaten, want deze week delen wij volop informatie over privacy.

Vandaag in de geschiedenis: Project Chanology en Anonymous

Vandaag in de geschiedenis: 21 januari 2008, begin van de Anonymous protestactie Chanology

Scientologyvideo van Tom Cruise
Op 16 januari 2008 wordt een video van een interview met Tom Cruise geüpload. In de video legt de bekende acteur en Scientology-lid de “voordelen” uit van het lid zijn van de Scientology kerk. Een kerk waarvan de ideeën veelal als controversieel beschouwd worden. In de video is te zien hoe Tom Cruise probeert toe te lichten waarom Scientology leden als enige mensen in staat zijn om mensen te helpen af te kicken van drugs en hulp te verlenen na ongelukken. Hij maakt daarbij een maniakale indruk. De Scientology kerk maakt bekend dat de video illegaal gelekt en bewerkt is. In hoeverre dit klopt is onduidelijk. Door middel van rechtszaken tegen Youtube en andere sites wordt ervoor gezorgd dat de video offline wordt gehaald.

(Digitale) Acties van Anonymous tegen de Scientology kerk
Acties tegen Scientology door AnonymousDe internetprotestgroep Anonymous ziet deze acties van Scientology als internetcensuur. Vanwege de vermeende censuur, de controversiële ideeën en het vreemde verdienmodel van de Scientology organisatie kondigt Anonymous daarom op 21 januari acties aan tegen Scientology. De acties worden “Project Chanology” genoemd. Op de gelijknamige website stonden tips voor medestanders om acties tegen Scientology uit te voeren. Daarnaast maakte Anonymous gebruik van andere bekende websites en fora zoals 711 chan.com, 4chan.com, maar ook Facebook. Doordat voor iedereen inzichtelijk was welke acties gepland werden en er ideeën voor acties gepost konden worden, was het voor iedereen mogelijk om mee te doen. Er wordt geschat dat er tot 9000 mensen werkten aan de acties tegen Scientology.

Hacktivisme AnonymousDe initiatiefnemers van Anonymous namen zich voor om Scientology van internet te verbannen. Dit werd geprobeerd door het uitvoeren van aanvallen op sites van de Scientology kerk. Dit bleek succesvol, sites van Scientology waren enige tijd onbereikbaar. De inhoud van de sites werd onbereikbaar gemaakt door het uitvoeren van DDoS en defacement aanvallen*. Anonymous hackte computers van Scientology en maakte vertrouwelijke documenten inzichtelijk via openbare websites. Ook gebruikte ze het internet om grote protesten tegen tegen de Scientology kerk aan te kondigen en te plannen. Op die manier kreeg Anonymous het voor elkaar om grote groepen als Guy Fawkes verklede protestanten voor de gebouwen van Scientology te verzamelen.

Overige acties van Anonymous
Andere voorbeelden van acties die Anonymous uitvoerde waren het verzenden van grote aantallen zwarte pagina’s via faxapparaten en het bestellen van grote hoeveelheden pizza op adressen van Scientology gebouwen. De illegale acties verschoven langzaam naar meer legale tactieken zoals het laten instellen van onderzoeken door de Amerikaanse belastingdienst naar de heffingskorting die Scientology kreeg. In de loop van februari 2008 nam het aantal acties af.

De acties kregen kritiek: niet alleen van voorstanders van Scientology maar ook van tegenstanders. De tactieken van Anonymous gingen volgens hen te ver en werden door sommigen gezien als beperking van de vrijheid van meningsuiting van de Scientology organisatie. Scientology gaf aan Anonymous een “zielig clubje hackers” te vinden en nam maatregelen om DDoS-aanvallen in de toekomst te voorkomen. Er werd aangifte gedaan tegen de aanvallen op websites.

Hacktivisme
De acties die Anonymous inzette tegen de Scientology kerk zijn een goed voorbeeld van “Hacktivisme”. Het inzetten van digitale middelen en netwerken om een sociale verandering te weeg te brengen. Hacktivisme is nog steeds actueel en kan voor een aantal organisaties nog steeds een dreiging zijn. Er hoeft daarbij niet persé gedacht te worden aan organisaties met vergaande ideeën zoals Scientology. Elke organisatie die voor bepaalde (politieke) ideeën staat kan potentieel doelwit zijn voor tegenstanders. Deze tegenstanders gebruiken, zoals gebleken is, lang niet alleen maar conventionele middelen meer maar wenden zich ook tot digitale middelen en cyberspace.

Hacktivisme is een combinatie van hacken en activisme: het inzetten van de computerkennis en het internet als daad van protest.

Anonymous houdt zich na Project Chanology nog steeds bezig met belangrijke maatschappelijke kwesties. Zo kwam Anonymous onder andere in actie na de opkomst van de Islamitische Staat, de aanslagen op Charlie Hebdo en de aanslagen in Parijs in 2015.

*Met Denial-of-service-aanvallen (dos-aanvallen) en distributed denial-of-service-aanvallen (DDoS-aanvallen) worden er pogingen gedaan om een computercomputernetwerk of dienst onbeschikbaar te maken.
Bij een defacing aanval is er sprake van het veranderen of vervangen van een (deel van een) website zonder toestemming.


Wij nemen u graag terug zo nu en dan terug in de tijd om weer even op te rakelen wat er zich qua informatiebeveiliging in het verleden heeft afgespeeld. Naast dat dit interessant is, kunnen we er ook van leren en kijken hoe we de toekomst zo veilig mogelijk kunnen maken.

Beveiliging een te grote kostenpost? Think again.

Langzaam druppelen de cijfers binnen van de effecten van een aantal grote cyberaanvallen van de afgelopen maanden.

Neem de grote cyberaanval op het voormalig Reckitt Beckiser. De Britse producent van onder andere bekende merken als Durex, Calgon, Nurofen en Clearasil werd getroffen door ransomware. Hoewel zij de afgelopen zes maanden flinke omzet maakten met een stijging van 14 procent tot gevolg, zakte de vergelijkbare omzet in het tweede kwartaal met 2 procent. Dit als gevolg van de productieproblemen die ontstonden door de cyberaanval. De nettowinst over het half jaar daalde daardoor met 4 procent tot 505 miljoen pond.

De schade van de Wannacry ransomware aanval wordt geschat op 8 miljard dollar verspreid over honderd landen

Economische ontwrichting

Cyberaanval ransomware Maersk schade

De gevaren van cyberaanvallen, zoals de inmiddels wereldwijde bekende term ransomware, worden met de dag steeds duidelijker en kunnen enorme economische schade opleveren. Om Maersk in Rotterdam als voorbeeld te nemen: de geschatte schade van deze cyberaanval is 850 miljoen dollar. Maar denk ook eens aan de WannaCry ransomware van mei. Daarvan zou de schade ondertussen zijn opgelopen tot zo’n acht miljard dollar verspreid over honderd landen.

Uit een nieuwe analyse van de werelwijde digitale economische kwetsbaarheid blijkt dat als belangrijke cloudproviders offline worden gehaald, dit tot enorme economische ontwrichting kan leiden. De verzekeringsmarkt Lloyd’s doorliep de gevolgen van twee realistische scenario’s:

  1. Een hack haalt een cloudprovider offline.
  2. Een kwetsbaarheid in een besturingssysteem wordt misbruikt met technisch falen tot gevolg.

De conclusie was dat de schade wereldwijd kan oplopen tot zo’n 120 miljard dollar.

Voorkom een cyberaanval

cyberaanval waarschuwingHoewel we het hier over multinationals hebben, is een cyberaanval net zo realistisch voor kleine bedrijven. Het is geen kwestie óf maar wanneer een bedrijf slachtoffer wordt van een cyberaanval. Het rapport van Lloyd’s maakt goed duidelijk wat het belang van goede beveiliging is. Bedrijven zouden het inzetten van beveiliging daarom ook moeten zien als een investering en niet als een kostenpost. Voorkomen is in dit geval dan ook beter dan genezen.

Het is dus voor elk bedrijf, groot of klein, van belang om de processen omtrent informatiebeveiliging goed en adequaat in te richten. Geen idee waar u moet beginnen en waar u allemaal aan moet denken? De deskundige security consultants van Sincerus staan voor u klaar!

Ethical Hacker van Sincerus vindt kwetsbaarheid in TOPdesk

Ken Cijsouw, Ethical Hacker bij Sincerus Consultancy te Zwolle, heeft een onbekende kwetsbaarheid gevonden in TOPdesk. Middels deze (Reflected Cross-Site Scripting) kwetsbaarheid was het voor kwaadwillenden mogelijk om via de browser van een gebruiker malafide code uit te voeren en zo de sessie van de gebruiker over te nemen of toegang te krijgen tot mogelijk vertrouwelijke informatie.

Wat is TOPdesk?

Kwetsbaarheid gevonden in TOPdeskTOPdesk is een webapplicatie voor service management waarmee organisaties hun ondersteunende processen zoals ICT en facilitaire dient kunnen stroomlijnen. Ken Cijsouw heeft na ontdekking direct melding gedaan bij TOPdesk middels een Proof of Concept. TOPdesk heeft kort daarna haar klanten geïnformeerd en heeft een security update uitgebracht om de kwetsbaarheid in de applicatie te verhelpen (CVE-2017-7276). De kwetsbaarheid was van toepassing op TOPdesk versie 7.03.018 (en ouder) en 5.7.5 (en ouder). De update kan worden gedownload in het TOPdesk portal. Wij adviseren u deze update direct te installeren.

Meer informatie over dit onderwerp? Bekijk dan de security advisory van TOPdesk.

Update NotPetya virusuitbraak

Update: 29/6/2017 16:30 GMT+1

In de afgelopen dagen is er veel informatie over Petya bekend geworden. Hieronder zetten wij even de belangrijkste informatie op een rijtje:

NotPetya virusuitbraakUit analyse van de code is gekomen dat het geen ransomware is, maar dat het malware is, die gemaakt is om zoveel mogelijk schade aan te richten. Ondanks dat het veel weg heeft van de Petya ransomware van vorig jaar, zijn er wel degelijk grote verschillen waardoor het omgedoopt is tot het NotPetya virus. Daarbij lijkt het erop dat NotPetya zich vooral op Enterprise omgevingen richtte.

Uit onderzoek van onder andere Microsoft, is gebleken dat het virus via een update van het Oekraïense boekhoud softwarebedrijf MeDoc zich verspreid heeft. Daarnaast beweert Costin Raiu, directeur van het onderzoeksteam van Kaspersky Lab, dat de website van de stad Bachmoet in de provincie Donetsk een bron is van de uitbraak.

Verspreiding NotPetya virus voorkomen

Uit onze bronnen* blijkt ook dat de verspreiding via WMI (Windows Management Instrumentation) voorkomen kan worden als het bestand “C:\Windows\perfc.dat” alleen read-only rechten heeft. Als het bestand “C:\Windows\perfc.dat” niet bestaat, maak dit bestand dan aan en geef het alleen read-only rechten.

Dit is geen permanente oplossing, maar is een tijdelijke maatregel om te zorgen dat verdere infecties via het LAN tot een minimum worden beperkt. Daarbij blijft het advies nog steeds dat de patch MS17-010 geïnstalleerd moet worden. Al is gebleken dat er ook gebruik is gemaakt van andere kwetsbaarheden waardoor machines die de patch geïnstalleerd hadden, ook geïnfecteerd raakten.

Betaal niet om uw bestanden terug te krijgen

Als laatste is het advies om, als uw systeem geïnfecteerd is, niet te betalen. Het e-mailadres waar de bevestiging van de betaling naartoe gestuurd moet worden, is sinds dinsdagmiddag al geblokkeerd. Hierdoor komen e-mails naar het e-mailadres niet aan en kunt u de bestanden niet terugkrijgen.

Voor meer informatie kunt u contact met ons opnemen.

*Bron vermelding: