Privacy Nieuws
Plofkraken en ramkraken van geldautomaten zijn oldschool criminaliteit. Slimme cybercriminelen kunnen in minder dan 20 minuten – in sommige gevallen slechts 10 minuten – een geldautomaat hacken en opdracht geven om alle bankbiljetten uit te spuwen.
Het IT-beveiligingsbedrijf Positive Technologies heeft 26 geldautomaten van gangbare fabrikanten onderzocht en talrijke zwakke punten gevonden. Die worden beschreven in een paper.
69 procent van de geldautomaten is volgens Positive Technologies gevoelig voor de zogenoemde black box-aanvallen. Cybercriminelen kunnen zich binnen enkele minuten toegang verschaffen tot de techniek waarmee geldautomaten bankbiljetten afgeven aan klanten. En daarvoor is geen bankpas of pincode meer nodig.
De nieuwe moderne bankroofmethode duikt inmiddels over de hele wereld op. In januari 2018 hebben de Amerikaanse geheime dienst en de belangrijkste ATM-fabrikanten Diebold Nixdorf, GRGBanking en NCR dringend gewaarschuwd voor de dreiging van aanvallen op ATM’s.
Volgens NCR-rapporten vonden in 2017 in Mexico de eerste black box-aanvallen plaats.
In 2018 verspreidde deze golf zich naar de VS.
De eerste meldingen van ATM-malware-aanvallen dateren echter al van 2009, toen Skimer, een Trojaans paard dat geld en bankkaartgegevens kan stelen, werd ontdekt. Sindsdien zijn logische aanvallen steeds populairder geworden bij cybercriminelen.
Ernstige veiligheidslacunes in geldautomaten
Experts van Positive Technologies hebben nu ontdekt dat de meeste apparaten (85 procent van de apparaten) onvoldoende beschermd zijn tegen netwerkaanvallen zoals spoofing van datacenters.
Als gevolg daarvan zouden criminelen het transactiebevestigingsproces kunnen verstoren en een antwoord van het datacentrum kunnen vervalsen om een verzoek tot opname goed te keuren of het aantal uit te geven bankbiljetten te verhogen.
Het rapport beschrijft ook scenario’s met aanvallen op GSM-modems die op de apparaten zijn aangesloten.
Een aanvaller kan gemakkelijk toegang krijgen tot een GSM-modem en zo andere geldautomaten in hetzelfde netwerk en zelfs in het interne netwerk van de bank aanvallen.
Een fout in de implementatie van hardeschijfversleuteling maakt 92 procent van de geldautomaten kwetsbaar voor een aantal aanvalsscenario’s.
Een aanvaller kan rechtstreeks verbinding maken met een ATM-harde schijf en, als de inhoud niet versleuteld is, deze infecteren met malware en beveiligingsmechanismen uitschakelen.
Dit stelt de aanvaller in staat om de ATM te bedienen.
Dat deze inhoud niet versleuteld is, is moeilijk te geloven gezien de privacygevoeligheid van dergelijke gegevens, maar in veel bankomgevingen is het niet ongebruikelijk.
Als de beperkingen voor normale gebruikers worden omzeild, kan een aanvaller commando’s in het ATM-besturingssysteem invoeren. De deskundigen van Positive Technologies schatten de tijd die nodig is voor een hack op 15 minuten en nog minder voor goed voorbereide aanvallers die gebruik maken van automatisering.
Verouderde technologie maakt het de aanvallers onnodig gemakkelijk
Volgens een analyse van uit 2016 van IT-beveiligingsspecialist Kaspersky draaide op dat moment nog minstens 90 procent van alle geldautomaten onder Windows XP.
Deskundigen gaan er vanuit dat er nog steeds een relatief groot aantal apparaten te vinden is dat gebruik maakt van het inmiddels 17 jaar oude besturingssysteem dat niet meer ondersteund wordt door Microsoft.
Volgens de onderzoekers gaan 88 procent van de banken bijzonder slordig om met de beveiliging van geldautomaten.
Privacy Nieuws
6 Nederlandse banken en 9 verzekeraars voldoen volgens de Autoriteit Persoonsgegevens (AP) nog niet aan de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een controle bij 45 banken en 93 verzekeraars.
Sinds de invoering van de nieuwe Europese privacywetgeving op 25 mei 2018 controleert de Autoriteit Persoonsgegevens bij diverse branches of alle regels wel worden nageleefd. Zo controleerde de toezichthouder eerder overheidsorganisaties, ziekenhuizen en zorgverzekeraars. Ook vond er een steekproef plaats bij grote private organisaties.
Volgens de AP hebben 6 Nederlandse banken en 9 verzekeraars nog geen Functionaris Gegevensbescherming (FG) aangesteld. Daartoe zijn zij volgens de AVG evenwel verplicht. Deze FG moet ook officieel aangemeld worden bij de AP.
Ook heeft de toezichthouder uitgezocht of financiële instellingen de directe contactgegevens van die functionarissen wel op hun website hebben gepubliceerd, zoals is vereist. Dit liet bij zeven banken en veertien verzekeraars nog te wensen over.
Banken en verzekeraars verwerken veel persoonsgegevens van hun klanten, zoals identificatiegegevens, financiële data en transactie- en medische gegevens. De functionaris in kwestie is daarom erg belangrijk.
Privacy Nieuws
Als het goed is ontvang je een dezer dagen post van je bank met uitleg over de impact van de nieuwe Europese betaalwet PSD2.
Alle banken in de Europese Unie moeten het mogelijk maken dat andere bedrijven met jouw toestemming toegang kunnen krijgen tot jouw betaalrekening. Wat betekent dat voor jouw privacy?
En waarom zouden andere bedrijven toegang moeten hebben tot jouw betaalrekening?
Jij bepaalt wie toegang krijgen tot jouw betaalgegevens
Allereerst… Er moet niets. Jij blijft eigenaar van jouw betaalgegevens. Jij bepaalt zelf of jij gebruik maakt van de mogelijkheid om je gegevens te delen met andere partijen. Bijvoorbeeld met je administratiepakket zodat dat voortaan vrijwel automatisch je bankgegevens kan verwerken.
Ook kun je voortaan zonder creditcard iets online kopen bij een buitenlandse webshop. Je kunt deze webwinkel dan toestaan om eenmalig een bedrag van je bankrekening af te schrijven. Net zoals je nu kunt doen via bijvoorbeeld Ideal.
Eisen PSD2
Een vereiste onder PSD2 is dat betaaldienstverleners alleen toegang mogen krijgen tot persoonsgegevens van consumenten als zij hiervoor uitdrukkelijke toestemming hebben gekregen van die consumenten.
De Autoriteit Persoonsgegevens heeft nu met Q&A’s voor betaaldienstverleners verduidelijkt waar de ‘uitdrukkelijke toestemming’ van gebruikers aan moet voldoen.
Payment Services Directive
PSD2 staat voor de tweede Payment Services Directive. Het is een Europese richtlijn over betaaldiensten.
De richtlijn regelt onder meer dat niet alleen banken maar ook andere partijen nieuwe betaal- en rekeningdiensten mogen aanbieden.
De bescherming van de privacy van consumenten is een belangrijk onderdeel van PSD2, omdat betaalgegevens gevoelige financiële persoonsgegevens zijn. De wetgeving over de richtlijn ligt nu ter behandeling bij de Eerste Kamer.
Eisen aan uitdrukkelijke toestemming
Een van de belangrijkste privacyregels uit de PSD2-richtlijn is dat betaaldienstverleners zonder uitdrukkelijke toestemming geen toegang mogen hebben tot persoonsgegevens. Dit geldt bijvoorbeeld voor rekeninghoudende betaaldienstverleners (zoals banken) en betaalinitiatiedienstverleners.
De eis van uitdrukkelijke toestemming houdt onder meer in dat een betaaldienstverlener afzonderlijk van de andere onderdelen van een overeenkomst om toestemming vraagt aan iemand om toegang te krijgen tot zijn of haar persoonsgegevens.
De manier waarop uitdrukkelijke toestemming wordt gevraagd moet vrij zijn, ondubbelzinnig, geïnformeerd en specifiek. Consumenten moeten hun toestemming ook gemakkelijk weer kunnen intrekken.
Iemand mag bijvoorbeeld niet onder druk worden gezet om toestemming te geven. En toestemming moet een actieve handeling zijn; stilzwijgende toestemming of voor-aangevinkte vakjes zijn niet toegestaan.
Een betaaldienstverlener moet een consument ook goed informeren over welke gegevens worden verzameld en waarvoor ze worden gebruikt.
Voor welke betaaldienstverleners geldt de eis?
Het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens geldt voor alle soorten betaaldiensten.
Behalve als de dienstverlening alleen bestaat uit het aanbieden van een rekeninginformatiedienst.
Zodra de rekeninginformatiedienst wordt gecombineerd met een andere betaaldienst geldt het vereiste van uitdrukkelijke toestemming wél.
Betaaldienstverleners moeten zich net als alle andere organisaties ook houden aan de privacywet, de Algemene verordening gegevensbescherming (AVG).
Belangrijke AVG-regels zijn bijvoorbeeld dat een betaaldienstverlener altijd een grondslag moet hebben om persoonsgegevens te mogen verwerken en maatregelen moet treffen om persoonsgegevens goed te beveiligen.
Meer informatie? Lees ook de Q&A’s over betaaldiensten
Privacy Nieuws
Wie dacht dat het allemaal wel mee zou vallen met de dreiging van megaboetes bij overtredingen van de AVG heeft het bij het verkeerde eind. In Groot-Brittannie wordt momenteel de toon gezet bij handhaving van de Europese privacyregels.
De Britse bank Tesco heeft een boete van 16,5 miljoen Euro gekregen van de Financial Conduct Authority (FCA) voor het ontbreken van beveiligingsmaatregelen tegen een cyberaanval die in november 2016 plaatsvond.
De fraude heeft de cyberaanvallers in dit geval 2,4 miljoen Euro opgeleverd.
Tesco had geluk bij een ongeluk omdat de nieuwe AVG destijds nog niet van kracht was.
Als de cybercriminelen na 25 mei 2018 hadden goegeslagen, toen AVG in werking trad, had Tesco boetes tot 4% van zijn jaarlijkse omzet moeten betalen. Dat ongeveer 2,2 miljard Euro zou zijn geweest.
De Britse toezichthouder FCA zegt dat organisaties ervoor moeten zorgen dat hun systemen zo inrichten dat het risico van cyberaanvallen bij voorbaat vermindert. Privacy by design en privacy by default, eist de AVG.
Te weinig, te laat
“Dit was te weinig, te laat. Klanten hadden helemaal niet aan het risico mogen worden blootgesteld”, erkent chief executive Gerry Mallon van Tesco achteraf ruiterlijk. Dat is een bijzonder dure les voor de bank.
Tesco Bank kreeg overigens onder de oude regels ook nog 50 procent strafvermindering omdat er op hoog niveau werd meegewerkt tijdens het onderzoek door de toezichthouder. Die had op basis van de oude privacyregels uit 2016 een boete van meer dan 30 miljoen Euro kunnen opleggen.
De boetes kunnen in de toekomst volgens de Britse toezichthouder juist fors hoger uitpakken.
“Deze sanctie herinnert eraan hoe belangrijk het is dat organisaties rekening houden met hun kwetsbaarheid en investeren in beveiligingsmaatregelen“, aldus de FTA. Financiële verliezen als gevolg van niet-naleving van Europese privacyregels kunnen in potentie hoger uitvallen dan de kosten om een inbreuk tegen te gaan.“
Er zullen in de toekomst zwaardere straffen worden opgelegd. Bedrijven moeten hun IT-infrastructuur opnieuw beoordelen en hun software, webapplicaties en netwerken beveiligen om gevoelige gegevens te helpen beschermen en de naleving ervan te waarborgen.
Indien een dochteronderneming de verordening niet naleeft, worden de boetes ook berekend op basis van de omzet van de moedermaatschappij.
Privacy Nieuws
De websites van Rabobank en ABN Amro bank zijn donderdag opnieuw enigetijd lam gelegd door een DDoS-aanval.
Klanten van de Rabobank konden vanaf 18.00 uur ruim vier uur niet telebankieren.
Klanten zeiden dat zij niet konden inloggen via de app van de bank en in sommige gevallen niet met iDeal konden betalen.
Op de website allestoringen.nl kwamen meer dan 2000 meldingen binnen.
Er was lichte paniek bij sommige klanten, omdat bij veel mensen het salaris zou worden overgemaakt.
Eerder op de dag bleek dat ABN Amro het slachtoffer was geworden van een nieuwe DDoS-aanval. Ook hier deden iDeal en de mobiele app het niet. Dat was al de derde keer in een week tijd dat de bank hiermee kampte.
Eind januari werden ABN Amro, ING, Rabobank en de Belastingdienst ook al het slachtoffer van grootschalige DDoS-aanvallen. Toen werd een 18-jarige verdachte uit Oosterhout aangehouden.
Privacy Nieuws
Hoe kan het dat veel kleine ondernemers nog niet klaar zijn voor de privacywet die op 25 mei 2018 van start gaat? En is dat erg? Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens reageerde dinsdagochtend luchtig in de ontbijtshow Goedemorgen Nederland van omroep WNL.
“Ach een bakker is er om brood te bakken en een onderwijzer is er om les te geven”, aldus Wolfsen. “Die zijn niet iedere dag met privacy bezig. Aan de andere kant weten zij wel veel van hun klanten. Onderdeel van een goede dienstverlening is dat je daar zorgvuldig mee omgaat.”
Hebben kleine bedrijven zich niet goed voorbereid?
“Brancheverenigingen doen er veel aan. Grote bedrijven zijn vaak wel op tijd begonnen. Maar de kleine bedrijven hebben er wat later van gehoord. Die zijn nu wel druk bezig. Ik verwacht dat veel kleine bedrijven wel redelijk op tijd klaar zijn voor 25 mei. Want die deadline is onherroepelijk.”
Moeten kleine bedrijven bang zijn dat u meteen na 25 mei op de stoep staat?
“Nou nee, niet bij de slager en de bakker, kan ik u wel verklappen. Die moeten natuurlijk wel aan de wet voldoen. De wet is natuurlijk als eerste bedoeld voor grote bedrijven die niets anders doen dan handelen in data. Banken, zorginstellingen. Die verzamelen voornamelijk gevoelige gegevens. Gezondheidsgegevens. Dat is natuurlijk belangrijker dan gewone klantgegevens. Maar iedereen moet wel voldoen aan die wet. Neem nu bijvoorbeeld een kinderopvang. Dan denk je ‘wat weet de kinderopvang nou eigenlijk van mij?’ Maar die weet vaak iets over de financiele positie van de ouders. Over de gezondheid. Is er sprake van een echtscheiding. Zulke gegevens zul je toch goed moeten beveiligen.”
