AVG Corona, Privacy Nieuws
Chinese hackers proberen volgens de FBI en het Amerikaanse cybersecurityagentschap CISA “waardevolle intellectuele eigendoms- en volksgezondheidsgegevens” te identificeren en te stelen bij bedrijven en instellingen die werken aan geneesmiddelen en vaccins tegen Covid-19.
De berichtgeving van media over bedrijven die onderzoek doen naar geneesmiddelen en vaccins tegen Covid-19 zorgt ervoor dat deze bedrijven ook op de radar van Chinese cybercriminelen terechtkomen.
Volgens de FBI brengt de mogelijke diefstal van deze informatie de verstrekking van veilige, effectieve en efficiënte behandelingsmogelijkheden in gevaar.
De FBI doet daarom een beroep op onderzoeksbedrijven om hun digitale infrastructuur voor te bereiden op dergelijke aanvallen en om zwakke plekken in het systeem op te sporen en te elimineren.
Bovendien moet elke ongeoorloofde toegang, elk abnormaal gedrag rechtstreeks aan de autoriteiten worden gemeld.
Aanbevelingen FBI en CISA
- Ga ervan uit dat persaandacht voor uw organisatie in verband met COVID-19-gerelateerd onderzoek zal leiden tot meer belangstelling en cyberactiviteit.
- Patch alle systemen voor kritieke kwetsbaarheden, waarbij prioriteit wordt gegeven aan het tijdig patchen van bekende kwetsbaarheden van met het internet verbonden servers en software die internetgegevens verwerkt.
- Scan webapplicaties actief op ongeautoriseerde toegang, wijziging of afwijkende activiteiten.
- Verbeteren van de geloofsbrieven en vereisen multi-factor authenticatie.
- Identificeren en opschorten van de toegang van gebruikers die ongewone activiteiten vertonen.
AVG Awareness, AVG Corona, Privacy Nieuws
De gratis versie van videoconferencingdienst Zoom wordt tijdens de Corona crisis veel gebruikt voor online vergaderingen. Daarmee overtreden organisaties de Algemene Verordening Gegevensbescherming (AVG). Zoom voldoet niet aan de Europese privacywet.
De Amerikaanse startup heeft beterschap beloofd, maar in de praktijk lijkt er weinig te veranderen.
Zoom wil de videochats end-to-end gaan versleutelen en heeft voor dit doel de New York encryptie startup Keybase gekocht. De versleuteling wordt straks echter enkel aangeboden aan betalende Zoom-klanten. Zij moeten 14 Euro per maand gaan betalen.
Maar zelfs dan zijn er nog enkele beperkingen. Deelnemers kunnen bijvoorbeeld niet via een smartphone meedoen aan de vergaderingen. En ook het opnemen van de videoconferentie in de cloud werkt niet.
Jitsi Meet gratis alternatief voor Zoom
Veel organisaties zoeken vanwege de provacyproblemen met Zoom naar alternatieve videochat tools die de zaken wel op orde hebben. Zoals de open source freeware software Jitsi Meet. Deze videochat tool focust juist op privacy en anonimiteit.
Met Jitsi Meet kunt u een vergadering direct in de browser starten zonder dat u een account hoeft aan te maken of software hoeft te installeren.
Face-to-face gesprekken zijn in Jitsi Meet al end-to-end versleuteld, terwijl het gebruikte WebRTC-communicatieprotocol een dergelijke versleuteling voor meerdere deelnemers nog niet toestaat.
Toch is het mogelijk om een aparte server te gebruiken om de gegevens beter te beschermen dan een server die publiekelijk door Jitsi wordt geleverd. Bovendien is de broncode van de tool openbaar toegankelijk en dus transparant.
AVG Awareness, AVG Corona, Privacy Nieuws
Cybercriminelen richten hun pijlen tijdens de Corona crisis volgens Microsoft en Interpol nadrukkelijk op de zorgsector. Microsoft heeft in april tientallen ziekenhuizen gewaarschuwd voor dreigende ransomware-aanvallen. De hackers proberen binnen te komen in de ict-cystemen via kwetsbare gateway- en VPN-software.
“Meerdere ransomware-groepen die zich gedurende enkele maanden toegang tot de doelnetwerken hebben verzameld en deze hebben onderhouden, hebben in de eerste twee weken van april 2020 tientallen ransomware-implementaties geactiveerd”, staat in een rapport van het Microsoft’s Threat Protection Intelligence Team.
Getroffen partijen zijn onder meer hulporganisaties, aanbieders van educatieve software, overheidsinstellingen, productiebedrijven, medische factureringsbedrijven, transport en daarnaast tal van niet-kritische bedrijven en organisaties.
Hoewel Microsoft geen extra commentaar gaf op de vraag of de aanvallen die in de eerste twee weken van april werden waargenomen al dan niet succesvol waren, vroeg SearchSecurity het bedrijf of de exfiltratie van gegevens de reden is voor de vertraagde inzet van ransomware.
Verschillende ransomwarebendes, zoals Maze, zijn begonnen met het stelen van de gegevens van de slachtoffers alvorens deze te versleutelen en dreigden vervolgens gevoelige gegevens op het internet te publiceren om de slachtoffers te dwingen het losgeld te betalen.
“Gegevensexfiltratie is een zeer gangbare praktijk voor ransomware-groepen, maar de belangrijkste reden voor het uitstellen van ransomware is dat aanvallers vaak wachten op momenten dat ze weten dat ze het lastigst zijn voor de doelwitten en dat ze dus waarschijnlijker losgeld zullen betalen”, meldt SearchSecurity.
Microsoft raadt organisaties in de zorg verschillende stappen aan om hun kwetsbaarheid voor ransomwarebedreigingen te verkleinen, waaronder het implementeren van multifactorauthenticatie voor RDP- en virtuele desktopaccounts, het randomiseren van beheerderswachtwoorden en het patchen van netwerkapparaten of -diensten die aan het openbare internet zijn blootgesteld.
AVG Awareness, AVG Corona, Privacy Nieuws
Voldoet Whatsapp aan de eisen van de AVG? De artikelen over Whatsapp op PrivacyZone worden sinds de Europese privacywet in 2018 van kracht werd dagelijks het meest gelezen. Het antwoord is nog altijd: nee!
Barbara Thiel, toezichthouder van de Duitse deelstaat Nedersaksen, heeft onderwijsinstellingen deze week opdracht gegeven te stoppen met Whatsapp. Zij reageerde op een richtlijn van het Nedersaksische ministerie van Onderwijs en Culturele Zaken voor scholen in de Corona-tijd. Volgens deze richtlijn zouden docenten en leerlingen tijdelijk gebruik mogen maken van WhatsApp voor onderlinge communicatie.
Thiel benadrukt dat zij als toezichthouder het gebruik van WhatsApp op scholen niet heeft aanbevolen of goedgekeurd. Hetzelfde geldt voor haar collega toezichthouders in 15 andere Duitse deelstaten. Duitsland telt in totaal 17 toezichthouders.
Omdat de Algemene Verordening Gegevensbescherming een Europese wet is gelden de standpunten van de Duitse toezichthouders ook in de rest van Europa. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft ook regelmatig op Europees niveau overleg met andere toezichthouders.
Veel ondernemers worstelen met het AVG-dilemma Whatsapp op zakelijke telefoons. Wat privé wel mag is zakelijk een overtreding van de privacywet.
De scholen moeten met spoed goedgekeurde alternatieve messengers gaan gebruiken. Die zijn er volgens de toezichthouder voldoende.
“In het verleden ben ik altijd heel duidelijk tegen het gebruik van WhatsApp op scholen geweest,” zegt Thiel. “Dit standpunt is nog steeds geldig en is ook in overeenstemming met het standpunt van andere functionarissen voor gegevensbescherming.”
Whatsapp voldoet dus niet aan de Europese privacywet. Nog steeds niet, zou je kunnen zeggen. Want sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 juni 2018 heeft moederbedrijf Facebook toch meer dan voldoende tijd gehad om Whatsapp aan te passen.
Een ex-KNO-arts van ziekenhuis Amstelland veroorzaakt een groot datalek door een Whatsappgroep met honderden patiënten aan te maken. Hij overtreedt daarmee de AVG, schendt zijn medisch beroepsgeheim en een concurrentiebeding.
Tijdens de Corona crisis maken veel organisaties gebruik van Messenger applicaties als Whatsapp om te communiceren met medewerkers en klanten. Voor hen geldt hetzelfde als voor de onderwijsinstellingen in Nedersaksen. Zij zijn in overtreding.
“Whatsapp voldoet zeker niet aan de AVG”
“Een van deze eisen van de AVG is dat de communicatie zo efficiënt mogelijk moet zijn”, zegt Thiel. “WhatsApp voldoet zeker niet aan deze eis. Al tijdens de registratie worden alle contactgegevens die in de telefoon van de gebruiker zijn opgeslagen, doorgegeven aan de provider.”
Volgens Thiel bestaat hiervoor geen wettelijke basis en kunnen de personen die in de telefoon van de gebruiker zijn opgeslagen niet instemmen met of bezwaar maken tegen de overdracht van gegevens.
“Er zijn aanzienlijk meer databesparende messengers op de markt die dezelfde communicatiemogelijkheden bieden. Ik roep het Ministerie van Onderwijs dan ook op om serieus na te denken over alternatieven voor WhatsApp en om scholen te informeren over de resultaten van dit onderzoek, zodat zij gebruik kunnen maken van privacy-vriendelijke diensten.”
Volgens Thiel had dit al enige tijd geleden moeten gebeuren, want zij heeft in het verleden herhaaldelijk haar bezorgdheid geuit over WhatsApp. “Ik zal het ministerie ook direct informeren over mijn standpunten”, kondigt Thiel aan en voegt eraan toe: “Het is zeer betreurenswaardig dat docenten en studenten nu in eerste instantie geen gebruik kunnen maken van gegevensbeschermingsvriendelijke messengers in tijden van crisis.”
AVG Awareness, AVG Corona, Privacy Nieuws
Check Point® Software Technologies Ltd. waarschuwt leraren, leerlingen en studenten wereldwijd voor beveiligingslekken in online leeromgevingen die gebruik maken van de populaire WordPress plug-ins LearnPress, LearnDash en LifterLMS.
De plugins worden gebruikt door vele gerenommeerde universiteiten en worden ingezet op meer dan 100.000 leerplatforms.
In verband met de Corona crisis ontwikkelen momenteel veel organisaties eigen online leeromgevingen waarbij uit kostenbesparingen vaak gebruik gemaakt wordt van het gratis cms WordPress en gratis plug-ins als LearnPress, LearnDash en LifterLMS.
Zowel gebruikers als cybercriminelen kunnen de kwetsbaarheden uitbuiten om persoonlijke informatie te stelen, geld te incasseren en de toegangsrechten van een lerarenaccount te misbruiken.
Dit laatste zou het mogelijk maken om de eigen cijfers en die van anderen te veranderen, certificaten te vervalsen en antwoorden op vragenlijsten op te vragen. Deze kwetsbaarheid is zelfs al enige tijd bekend en is geregistreerd als CVE-2020-11511.
Pluigins voor elke WordPress-website
De kwetsbaarheden zijn gevonden in de WordPress plug-ins LearnPress, LearnDash en LifterLMS. Elk van deze plugins kan van elke WordPress-website een volledig functioneel en eenvoudig te gebruiken Learning Management System (LMS) maken.
LearnPress
Plugin die cursussen met quizzen en lessen maakt terwijl de studenten zich door het curriculum bewegen. Het wordt alleen al in de VS in meer dan 21.000 scholen gebruikt en heeft meer dan 80.000 installaties.
LearnDash
Plugin die tools biedt voor het distribueren van content, het verkopen van cursussen, het belonen van leerlingen en het activeren van triggers op basis van acties. Meer dan 33.000 websites gebruiken LearnDash, waaronder veel van de Fortune 500-bedrijven, evenals de Universiteit van Florida, de Universiteit van Michigan en de Universiteit van Washington.
LifterLMS
Plugin die voorbeeldcursussen, voorbeeldvragen, certificaten en een volledig geconfigureerde website biedt. Meer dan 17.000 websites maken gebruik van deze plugin, waaronder WordPress-agentschappen en -opvoeders, evenals verschillende scholen en onderwijsinstellingen.
“Studenten en leerlingen die zich inschrijven op e-learning sites weten misschien niet hoe gevaarlijk dit kan zijn”, zegt Christine Schönig, Regional Director Security Engineering CER van Check Point Software Technologies.
“Onze veiligheidsonderzoekers hebben aangetoond dat hackers het hele platform gemakkelijk kunnen overnemen. Hoge onderwijsinstellingen en veel online academies vertrouwen op de door ons onderzochte systemen om hun online cursussen en trainingen uit te voeren. We dringen er bij de relevante onderwijsinstellingen op aan om overal de nieuwe versies van de platforms en plug-ins te installeren om de veiligheidsgaten te dichten. We raden alle gebruikers ook aan om voorzichtig te zijn bij het gebruik van de programma’s.”
AVG boetes, AVG Corona, Privacy Nieuws
Om te voorkomen dat de Algemene Verordening Gegevensbescherming (AVG) een tandeloze tijger is, zijn gretige toezichthouders nodig die niet terugdeinzen voor handhaving van de Europese privacywetgeving. Maar helaas laten vrijwel alle Europese toezichthouders het afweten, concludeert Brave Software Inc.
Brave Software Inc. is het bedrijf dat verantwoordelijk is voor de privacyvriendelijke browser Brave. Deze browser helpt gebruikers pro actief te voorkomen dat internetbedrijven als Google, Facebook, Amazon en Microsoft, en internetcriminelen, ongewenst privacygevoelige informatie kunnen verzamelen.
Brave doet wat sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) eigenlijk iedere browser standaard zou moeten doen. Gebruikers beschermen. Maar de meest gebruikte browser – Google Chrome – heeft bijvoorbeeld andere commerciële belangen. En Google komt daarmee vooralsnog weg.
Eigenlijk zou nu iedere organisatie die de AVG overtreedt door de Autoriteit Persoonsgegevens (AP) moeten worden bestraft. Zoals horecabedrijven en jongeren die zich niet houden aan de Corona voorschriften. Zoals automobilisten die te hard rijden of fout parkeren ook genadeloos worden gestraft. Genadeloos lik op stuk. Maar dat gebeurt niet.
Volgens Brave Software Inc. doen de Europese toezichthouders zelfs nauwelijks iets. Ze zijn tandeloze tijgers. Fout parkeren en te hard rijden loont bij grote Internationals.
Waarom moeten ziekenhuizen wel torenhoge boetes betalen?
De toezichthouders hebben ondertussen wel snel en genadeloos gereageerd op overtredingen in de zorg. Ziekenhuizen in Duitsland, Portugal en Nederland moesten honderdduizenden Euro boete betalen omdat ziekenhuispersoneel zich niet aan de privacyregels had gehouden.
Waarom zijn kwetsbare zorginstellingen meteen keihard aangepakt, terwijl steenrijke multinationals die doelbewust de privacywet overtreden nog steeds vrijuit gaan?
Bijna alle toezichthouders in de EU beschikken volgens Brave Software Inc. niet over de dringend noodzakelijke middelen – zowel financieel, als personeel – om goed te kunnen functioneren. Waarom? Staatsfalen.
Om de Europese Commissie tot actie aan te zetten, heeft Brave Software Inc. onlangs een klacht ingediend en een helder onderzoek vol onderbouwde aantijgingen gepubliceerd.
Het rapport is een grote aanval op de lidstaten die het toezicht op de gegevensbescherming verwaarlozen.
Dr. Johnny Ryan, Chief Policy & Industry Relations Officer van Brave, gebruikt in zijn onderzoek veel grafieken om te illustreren dat de EU-lidstaten hun regelgevende instanties niet voorzien van voldoende financiële en personele middelen. De enige uitzondering: Duitsland.
Op 27 april 2020 diende Ryan een klacht in bij de Europese Commissie, waarin hij eiste dat zij een inbreukprocedure zou inleiden tegen 26 lidstaten die zich niet houden aan de afspraken die zijn vastgelegd in de Europese privacywetgeving.
Waarom pakken toezichthouders van Ierland en Luxemburgs Facebook en Amazon niet aan?
Terwijl kleine bedrijven in de hele EU nauwgezet worden gecontroleerd op de naleving van de wetgeving inzake gegevensbescherming, sluiten de Ierse en Luxemburgse toezichthouders volgens Brave Software Inc. de ogen voor de gegevenshooligans Facebook, Google en Amazon die op grote schaal de AVG overtreden en daar twee jaar na invoering van de wet nog altijd niet voor zijn aangepakt.
Brave heeft inmiddels een klacht tegen concurrent Google ingediend. Dat is opmerkelijk en logisch tegelijk, want Brave maakt gebruik van de techniek van de browser Google Chrome. Als Brave daarmee een goede en veilige browser kan bouwen, waarom doet Google dat dan niet ook?
Ierse Autoriteit Persoonsgegevens
De Ierse commissaris voor gegevensbescherming Helen Dixon ziet de zaken heel anders. Ze zegt in de Iris Times dat er nog een beslissing moet worden genomen over Twitter, Facebook, en Co. Raar dat haar Italiaanse collega wel al een boete van 10 miljoen euro heeft opgelegd aan Facebook.
Het kantoor van de Ierse toezichthouder zou sinds 2018 overbelast zijn door meer dan 12.000 klachten over gegevensbescherming, die allemaal moeten worden behandeld. Er zou geen twijfel over bestaan dat er boetes zouden worden opgelegd. Maar de vraag is: Wanneer?
Vrijwel alle Europese toezichthouders moeten bezuinigen
Volgens Brave Software Inc. zou het wel eens tot Sint Juttemis kunnen duren voor de internet multinationals worden aangepakt. De nu al overbelaste toezichthouders moeten namelijk in vrijwel heel Europa bezuinigen op het budget en het personeel!
De Ierse toezichthouder Helen Dixon wijst op de succesvolle interventie ten opzichte van Facebook toen deze zijn eigen dating-app wilde introduceren. Ze benadrukt:
“Er zijn veel verschillende manieren om een positief effect te creëren… Niet iedereen heeft het over boetes en het oppervlakkig commentaar dat we soms zien.”
“AVG is een fantasie“
Dat kan zo zijn. Maar een flinke boete voor de multinationals die al jarenlang parasiteren op de samenleving door illegaal privacy data te verwerken en belasting ontduiken toch ook een goed signaal afgeven.
“Als je geen sterke, robuuste handhaving en investering hebt, is deze wet een fantasie”, zegt Ryan. “Tot nu toe hebben we het potentieel van de AVG niet gerealiseerd.”
Ryan legt de verantwoordelijkheid niet neer bij de regelgevende instanties.
“Als de AVG dreigt te mislukken, ligt de schuld bij de nationale regeringen, niet bij de gegevensbeschermingsautoriteiten.”
Duidelijke woorden
Ryan heeft gelijk, want de AVG definieert duidelijk en ondubbelzinnig wat er aan de hand is. Artikel 52, lid 4, van de AVG luidt als volgt:
“Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de bedrijfsruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Comité.”
Het is slechts één kant van de medaille om een toezichthoudende autoriteit op te richten – zonder voldoende middelen kan er geen controle plaatsvinden. Reden genoeg om de tekortkomingen waar Brave voor waarschuwde nader te bekijken.
Geen geld, geen actie
Volgens Ryan is het een schending van artikel 52, lid 4, van de AVG dat de toezichthoudende autoriteiten in 26 EU-lidstaten ondergefinancierd zijn.
Dit kan het best worden geïllustreerd aan de hand van het voorbeeld van Luxemburg. Het is de verantwoordelijkheid van de Luxemburgse toezichthoudende autoriteit om toe te zien op de tenuitvoerlegging van de wetgeving inzake gegevensbescherming bij Amazon EU S.à.r.l.
Amazon verdient iedere 10 minuten evenveel als begroting Luxemburgse toezichthouder
De begroting van de Luxemburgse gegevensbeschermingsautoriteit bedroeg in 2019 ongeveer 5,7 miljoen euro. Voor Amazon moet dit bedrag ronduit belachelijk lijken – dit is immers ongeveer het bedrag dat Amazon elke tien minuten aan de verkoop verdient!
De gegevensbeschermingsautoriteiten van de helft van alle lidstaten moeten het redden met minder dan vijf miljoen euro per jaar. Slechts drie staten (Duitsland, Italië, Verenigd Koninkrijk) hebben meer dan 25 miljoen euro budget per jaar. Ter vergelijking: volgens het Brave-rapport ontvangen de Duitse toezichthouders tussen 80 en 90 miljoen euro per jaar!
Besparing op personeel
Volgens Ryan is er ook een tekort aan personeel, vooral aan personeel met de nodige IT-expertise.
Om gecompliceerde IT-vragen op het gebied van gegevensbescherming te kunnen beantwoorden en om grote technische bedrijven te kunnen auditeren, zijn gespecialiseerde medewerkers nodig.
Gegevensbescherming en IT gaan hand in hand. Het is niet voldoende om de gegevensbescherming alleen van de juridische kant te bekijken!
Tekort aan IT-specialisten bij toezichthouders
Er is een tekort aan IT-specialisten bij de toezichthoudende autoriteiten van de EU-lidstaten. In slechts vijf lidstaten (zes als je het Verenigd Koninkrijk meetelt) zijn meer dan tien IT-specialisten in dienst van de gegevensbeschermingsautoriteiten.
Meer dan de helft van alle lidstaten heeft slechts maximaal vijf daarvan in hun toezichthoudende autoriteiten. Zeven landen hebben slechts één of twee IT-specialisten in dienst.
De cijfers voor Oostenrijk (0) en België (5), alsook voor Cyprus (2) en Letland (1) zijn zo laag omdat deze landen gebruik maken van externe IT-consultants.
De cijfers uit Duitsland zijn verbazingwekkend: op federaal en deelstaatniveau is in totaal 29 procent van het in de hele EU beschikbare personeel van de IT-toezichthouder in dienst (meer dan 100). Geen wonder dat Ryan Duitsland heeft uitgesloten van zijn klacht.
De nationale gegevensbeschermingsautoriteiten binnen de EU hebben 3520 mensen in dienst. Slechts 8,6 procent daarvan zijn IT-specialisten. Volgens Dr. Ryan vertraagt dit het onderzoek, waardoor het soms wordt verhinderd.
Als het gaat om digitalisering lijkt de EU niet alleen achter te lopen op de particuliere sector, maar is ze momenteel realistisch beschouwd ook kansloos.
Multinationals hebben alle troeven in handen
Uiteindelijk hebben de gecontroleerde, vaak multinationale ondernemingen gewoon de betere kaarten – de strijd tegen de grote dataslurpers is als de David tegen Goliath met een omgekeerde uitkomst.
Facebook, Google en Co. hebben legioenen advocaten in dienst. Het is begrijpelijk dat de eenzame strijder bij de autoriteiten nauwelijks succes heeft. Hoe dan, financieel ongewapend?
In veel gevallen durven de regelgevende instanties niet eens de grote technische bedrijven te benaderen uit angst dat hun maatregelen worden aangevochten. Eeuwige correspondentie, lange juridische procedures. De multinationale dataslurpers lachen er om. Ze hebben geld zat. Miljarden euro’s. Bij hen gaat het om ingecalculeerd risico. Ook als ze verliezen en een torenhoge boete zouden moeten betalen maken ze nog steeds winst. En ze weten ook nog eens dat de toezichthouders amper geld hebben om tegen hen te kunnen procederen.
Bovendien behoren de administratieve juristen die voor de toezichthoudende instanties voor gegevensbescherming werken niet bepaald tot de topverdieners in de juridische wereld – de wereldwijde spelers kunnen alleen maar lachen om hun salaris. Goed personeel is niet goedkoop.
Waar leidt het allemaal naartoe?
Als de meerderheid van de toezichthoudende autoriteiten in de EU-lidstaten door een gebrek aan financiële en personele middelen wegzakken in het moeras van duizenden en duizenden klachten, is de AVG gedoemd te mislukken. Als de autoriteiten inactief blijven, hebben dataslurpers als Amazon, Facebook en Google de vrije hand. De Algemene Verordening Gegevensbescherming is dan niet meer waard dan het papier waarop ze is geschreven.
AVG Corona, Privacy Nieuws
Apple en Google hebben maandag regels bekendgemaakt waar instanties aan moeten voldoen als ze gebruik willen maken van hun technologie voor corona-apps. Zo krijgen apps die locatiedata van gebruikers verzamelen geen toegang tot de technologie.
Google en Apple slaan de handen ineen om een technologie te ontwikkelen waarmee mensen gewaarschuwd worden als ze in de buurt zijn geweest van iemand die positief is getest op het COVID-19-virus. Daarbij wordt gebruik gemaakt van bluetooth.
Het idee is dat smartphones continu een bluetoothsignaal uitzenden en dat er een logboek ontstaat van andere smartphones die in de buurt zijn geweest. Op de telefoons wordt een uniek nummer opgeslagen. Gebruikers kunnen dit logboek delen met de autoriteiten, zodat de personen achter de opgeslagen nummers gewaarschuwd kunnen worden.
Apps die gebruikmaken van locatiegegevens van gebruikers krijgen geen toegang tot de technologie van Apple en Google, maken de bedrijven nu bekend. Daarnaast mogen de apps alleen worden gebruikt voor de uitbraak van het virus. De apps mogen bijvoorbeeld niet gebruikt worden om advertenties te verspreiden.
Ook moeten gebruikers expliciet toestemming geven voor het delen van een positief testresultaat en moeten de apps de hoeveelheid gegevens die ze verzamelen, minimaliseren.
Slechts één corona-app per regio krijgt toegang
De bedrijven zijn van plan alleen gezondheidsautoriteiten toegang te geven tot de technologie. Ook wordt de technologie slechts aan één app per land of regio toegekend, om versnippering te voorkomen.
Apple en Google hebben vorige week een testversie van de technologie beschikbaar gemaakt voor appontwikkelaars. Daarnaast hebben de techgiganten maandag voorbeelden vrijgegeven van hoe zo’n corona-app eruit zou kunnen zien. De bedrijven zijn van plan om de definitieve versie van hun technologie medio mei uit te brengen.
AVG Corona, Privacy Nieuws
Cybercriminelen spelen in op de angst, onzekerheid en twijfel rond de Corona pandemie om er financieel beter van te worden. We zetten enkele van de huidige cybercrime trends en mogelijke maatregelen om de nieuwste tactieken aan te pakken op een rij.
De toename van COVID-19-gerelateerde domeinen sinds januari is op zich al een bewijs van de mogelijke toename van criminele activiteiten. Dit, in combinatie met de groeiende onzekerheid en de wijdverbreide paniek, creëert de perfecte omgeving voor criminelen om kwetsbare doelwitten uit te buiten.
Escalerende phishing-zwendel
Er is een aanzienlijke toename van phishing-zwendel. Burgers worden gemanipuleerd om via e-mails en sms’jes op kwaadaardige links te klikken die informatie over COVID-19, niet-bestaande vaccins, handreinigers en maskers aanbieden, en worden vervolgens overgehaald om persoonlijke gegevens te overhandigen.
Identiteitsdiefstal
Dit leidt natuurlijk tot identiteitsdiefstal en de toegang tot en het in gevaar brengen van bankrekeningen. Deze e-mails bevatten ook vaak documenten, ingebed in malware die toegang kan krijgen tot bestanden, toetsaanslagen van gebruikers kan controleren en, erger nog, uw hele harde schijf kan versleutelen.
Criminelen slagen er ook in om de website-domeinen van geloofwaardige instellingen zoals de Wereldgezondheidsorganisatie of overheidsdepartementen te vervalsen en de ontvangers van phishing mail zo te overtuigen van de authenticiteit van de COVID-19-gerelateerde inhoud van de e-mail.
Te mooi om waar te zijn
Kortom, als er een gevoel van urgentie is of een “te mooi om waar te zijn”, dan is het waarschijnlijk een hackpoging. Neem de tijd om verzenders en websites te authenticeren, klik niet op verdachte links en verwijder onmiddellijk alle e-mails of sms’jes die ongewoon lijken.
Pas op voor real-time coronavirusinfo
Een van de meest productieve, kwaadaardige apps die de rondes doen, is beweren dat ze real-time coronavirusinfo geven, inclusief statistieken en heat maps. De app bevat echter, onbewust van de gebruiker, geavanceerde malware die nu “CovidLock” wordt genoemd.
Dit omvat een schermvergrendelingsaanval, waarbij gebruikers de toegang tot hun telefoon wordt ontzegd door middel van het vragen van een wachtwoordwijziging. Zodra hackers de volledige controle hebben, worden slachtoffers gevraagd om binnen 48 uur $100 in Bitcoin te betalen voor het verkrijgen van een ontcijferingscode om hun telefoons te ontgrendelen.
Het risico van videovergaderingen
Met de toename van het aantal videovergaderingen op afstand worden hackers zeker creatief.
Als ze zich daar niet aan houden, dreigen ze hun foto’s, contacten en gegevens te laten verwijderen of hun social media-accounts te laten blootleggen.
De beste manier om dit te voorkomen, is om geen apps van onbekende derden te vertrouwen, maar om gekeurde applicaties te downloaden van officiële platforms zoals Google Play of Apple Store.
Misleiden van thuiswerkers
Door de Corona crisis werken veel mensen thuis. Veel van deze thuiswerkers hebben amper verstand van techniek. Ze zijn daardoor bijzonder kwetsbaar. Dat biedt natuurlijk ruime mogelijkheden voor cybercriminelen om daarvan te profiteren.
Een aantal werknemers heeft mails ontvangen (schijnbaar van werkgevers) met valse links naar cloud-opslagplaatsen of e-mailplatforms van het bedrijf, waar hackers gemakkelijk logingegevens kunnen verkrijgen en toegang hebben tot vertrouwelijke bedrijfsinformatie.
Valse bedrijfsinkooporders en facturen
Criminelen creëren ook valse bedrijfsinkooporders en facturen voor ontsmettingsmiddelen of andere benodigdheden, waardoor werknemers worden opgelicht om geld over te maken naar frauduleuze rekeningen.
Bovendien zijn de bedrijfsservers, met zoveel werknemers die vanuit huis toegang hebben tot (vaak onbeveiligde) virtuele privénetwerken, ook vatbaarder voor crypto-malware. Hier versleutelen hackers servers en eisen ze Bitcoin in ruil voor toegang.
Het is ook logisch dat, met de toename van het aantal videovergaderingen op afstand, hackers zeker creatief worden.
Zoombombing
“Zoombombing” komt steeds vaker voor, waarbij hackers “gate-crashende” zoomvergaderingen houden, de controle over de schermen overnemen en pornografische of gewelddadige beelden laten zien. Niet alleen overheidsdiensten en bedrijven zijn kwetsbaar voor deze specifieke tactieken, ze lopen ook het risico dat vertrouwelijke informatie in verkeerde handen valt.
Zorg ervoor dat u geen koppelingen naar vergaderingen, PIN-codes of schermafbeeldingen deelt (met iemand anders dan de deelnemers aan de vergadering) en zeker niet op sociale media; zorg er altijd voor dat er een sterk wachtwoord nodig is om deel te nemen; stel wachtruimtes in om de aanwezigheid te controleren; en zorg ervoor dat alleen de hosts hun schermen kunnen delen.
Ontwikkel passende beveiligingsmaatregelen en protocollen voor werken op afstand
De kwetsbaarheden spreken ook de noodzaak uit voor bedrijven om passende beveiligingsmaatregelen en protocollen voor werken op afstand te ontwikkelen.
Uiteindelijk profiteren cybercriminelen ten volle van de heersende angst, onzekerheid en twijfel. Helaas vechten we niet alleen tegen een verwoestend wereldwijd virus dat het leven van miljarden mensen beïnvloedt, maar ook tegen criminele individuen die financieel voordeel willen behalen.
Neem geen risico
Neem geen risico tijdens de Corona crisis. Wees uiterst kritisch op alles wat u ontvangt rond COVID-19 en raadpleeg de officiële kanalen voor actuele en accurate informatie.
AVG Awareness, AVG Corona, Privacy Nieuws
Er is tijdens de Corona crisis een opmerkelijke toename van cybercriminaliteit tegen vrouwen. Het betreft vooral sextortion, zeggen deskundigen.
De deskundigen denken dat de gemelde cyberaanvallen op vrouwen slechts de ,,top van de ijsberg” tonen.
“We hebben van 25 maart tot 25 april in totaal 412 echte klachten over cybermisbruik ontvangen. Daarvan waren maar liefst 396 klachten van vrouwen ernstig, (en deze) varieerden van misbruik, onfatsoenlijke blootstelling, ongevraagde obscene foto’s, bedreigingen, kwaadaardige e-mails die beweren dat hun account gehackt was, losgeldeisen, chantage en meer,” zegt de oprichter van de Akancha Foundation, Akancha Srivastava.
De organisatie werkt aan onderwijs en empowerment van mensen door kennis over cyberveiligheid over te dragen.
Srivastava zei dat ze nu gemiddeld 20-25 van dergelijke klachten per dag krijgt, terwijl het aantal voor de lockdown minder dan 10 per dag was.
Met name de meldingen van ,,sextortion” zijn gestegen.
Sextortion is het afpersen van geld of seksuele gunsten van iemand door te dreigen met het onthullen van bewijs van hun seksuele activiteit door middel van middelen zoals morphed beelden.
Onmiddellijk na de lockdown was er een stijging van het aantal gevallen van verkeerde informatie, nepnieuws en vrouwen die online worden gedupeerd wanneer ze op malware-links klikken die al hun informatie aan de telefoon krijgen, de camera en de microfoon aanzetten en hun intieme momenten vastleggen. Deze worden dan gebruikt voor chantage.
Veel vrouwen willen in deze gevallen geen officiële klachten indienen, omdat ze zich zorgen maken over het sociale stigma dat eraan verbonden is. Daarom denken de deskundigen dat de gemelde cyberaanvallen op vrouwen officiële slechts het topje van de ijsberg tonen.
Vandana Verma, oprichter van InfoSec Girls, zegt dat de mensen thuis werken en veel tijd doorbrengen op het internet en cybercriminelen daar innovatief misbruik van maken.
De cybercriminelen verzenden bijvoorbeeld specifieke phishing e-mails of thema e-mails over COVID-19 en hengelen zo naar vertrouwelijke gegevens zoals adres, telefoonnummers. Deze e-mails lijken afkomstig te zijn van betrouwbare bronnen zoals de overheid, maar zijn in werkelijkheid fake.
Daarnaast creëren de cybercriminelen valse profielen en nemen cyberpesten en online stalking momenteel toe.
De toenemende cyberaanvallen op vrouwen tonen hoe belangrijk het is om regelmatig AVG Awareness trainingen te geven. Juist actuele ontwikkelingen kunnen het besef van het belang van de AVG versterken.
Het veilig gebruiken van de digitale media, het creëren van een sterk wachtwoord en het verspreiden van bewustzijn over phishing-e-mails, nepvideo’s en het veilig delen van inhoud op het internet kan veel helpen bij het beschermen van vrouwen.
Deskundigen adviseren vrouwen om voorzichtig te zijn met sociale media. Vrouwen worden aangeraden om hun persoonlijke foto’s of gegevens niet te delen op sociale media, omdat het niet veilig is.
AVG Awareness, AVG Corona, Privacy Nieuws
Mogen werkgevers informatie verzamelen en verwerken over de vraag of een werknemer zich in een risicogebied bevond of direct contact had met iemand die besmet is met het Corona virus?
Op grond van hun zorgplicht zijn werkgevers verplicht de nodige maatregelen te nemen om de veiligheid en gezondheid van hun werknemers op het werk te waarborgen. Dit omvat ook de plicht van de werkgever om ervoor te zorgen dat andere werknemers worden beschermd tegen besmetting door een ziek persoon.
Voor dit doel is het volgens AVG toegestaan om informatie te verzamelen over de personen met wie de werknemer die ziek is, contact heeft gehad.
Overeenkomstig artikel 6, lid 1, onder c), van de Algemene Verordening Gegevensbescherming (AVG) in samenhang met Artikel 9 lid 1, lid 4 AVG mag de werkgever de nodige gegevens verwerken met het oog op de bescherming van de gezondheid op het werk.
Negatieve informatie van de werknemer is meestal voldoende. Als er verdere aanwijzingen zijn, kan er indien nodig een nader onderzoek worden ingesteld.
AVG Awareness, AVG Corona, Privacy Nieuws
Tijdens de Corona crisis werken veel mensen thuis. Contact met collega’s vindt plaats via telefoon, Whatsapp, videovergaderingen en e-mail. Cybercriminelen hebben het nog nooit zo gemakkelijk gehad om hun slag te slaan.
Je krijgt een belangrijke mail van je leidinggevende met het verzoek om vertrouwelijke documenten door te sturen. Is het echt een opdracht van je chef?
Verzekeringsmaatschappijen en IT-beveiligingsbedrijven waarschuwen voor een toenemend aantal frauduleuze e-mails waarin cybercriminelen zich voordoen als superieuren en geld naar hun eigen rekeningen laten overmaken.
Ongeveer 90% van alle cyberaanvallen begint met een e-mail.
De methode staat onder cyberdeskundigen bekend als “CEO-fraude. De fraudeurs stelen de e-mailadressen en online identiteiten van senior managers en hun medewerkers en laten vervolgens geld overmaken naar hun rekeningen.
Cybercriminelen maken momenteel gretig gebruik van de corona chaos.
AGCS, een industriële verzekeraar van Allianz, waarschuwt dat in sommige landen het aantal pogingen tot cyberaanvallen tussen medio februari en medio maart is vervijfvoudigd.
En de Japanse IT-beveiligingsonderneming Trend Micro schat dat er in het eerste kwartaal meer dan 900.000 aan corona gerelateerde spammails over de hele wereld zijn verstuurd. Trend Micro heeft geanalyseerd dat online fraudeurs in bijna realtime op de verspreiding van de epidemie hebben gereageerd.
IT-beveiligingsstandaarden in het thuiskantoor vaak te laag
De daders bereiden hun aanvallen vaak zeer grondig voor om zo geloofwaardig mogelijk in de virtuele huid van echte bestuurders te kruipen.
CEO-fraude wordt vaak geflankeerd door gerichte phishing-e-mails, telefoontjes of nep-websites. De corona-pandemie doet de economie wankelen, maar voor cybergangsters is de crisis blijkbaar een stimuleringspakket.
Voor een succesvolle cyberaanval moet de hacker de interesse en emoties van de betrokkenen wekken. De Corona crisis leent zich daar uitstekend voor.
De experts van AGCS zijn bezorgd dat sommige bedrijven hun IT-beveiligingsnormen hebben verlaagd, zodat de werknemers van thuis uit kunnen inloggen op het bedrijfsnetwerk. “Alleen omdat we “nonchalant” gekleed zijn in het thuiskantoor betekent niet dat we “nonchalant” mogen zijn met IT-technologie en beveiligingsstandaarden”, zegt AGCS-manager Jens Krickhahn.
AVG Corona, Privacy Nieuws
De Italiaanse regering heeft donderdag groen licht gegeven voor het gebruik van een app om het coronavirus in te dammen.
Het gebruik van de corona-app door Italiaanse burgers is vrijwillig. Dit betekent dat iedereen zelf beslist of hij de app naar zijn smartphone downloadt. De gegevens worden anoniem verwerkt. Er zal geen geo-lokalisatie zijn, zegt de Italiaanse regering.
De regering van premier Giuseppe Conte heeft meermaals benadrukt dat Rome met de Corona-app aan hoge eisen op het gebied van gegevensbescherming wil voldoen.
Critici vrezen dat de verzamelde gegevens ook misbruikt kunnen worden.
De app moet helpen om snel te weten te komen of mensen in de buurt van een coronageïnfecteerde persoon zijn geweest.
Voor een goede werking van dergelijke systemen is het meestal belangrijk dat zoveel mogelijk mensen deelnemen. Als iemand met het virus is geïnfecteerd, kan het systeem gegevens verstrekken over de nauwere contacten in het recente verleden. De infectieketens moeten dus sneller worden doorbroken.
De regering in Rome had van tevoren aangekondigd dat Italië de “Immuni”-app van het Milanese bedrijf Bending Spoons wil gebruiken.
Volgens informatie van dit bedrijf werkt de app met Bluetooth-technologie. De opslag van de gegevens zal nauwlettend in de gaten worden gehouden, zegt de regering.
Italië wordt bijzonder hard getroffen door de longziekte, met bijna 27 700 coronadoden.
Vanaf 4 mei worden de coronabeperkingen in Italië geleidelijk aan versoepeld en wordt de app in deze nieuwe fase gebruikt.