Privacy Nieuws
Volgens de Volkskrant lopen 375.000 mkb-bedrijven in Nederland grote risico’s met hun websites. De websites blijken ronduit slecht beveiligd en kunnen relatief eenvoudig gehackt worden.
De websites van naar schatting 375.000 bedrijven in het midden- en kleinbedrijf (mkb) zijn slecht beveiligd, waardoor kwaadwillenden relatief eenvoudig gevoelige persoonsgegevens kunnen inzien.
Het gaat om drie kwart van de websites binnen het mkb die privacygevoelige informatie verwerken, schrijft de Volkskrant vrijdag. Van de slecht beveiligde websites bestaat bij een kwart zelfs het risico dat kwaadwillenden rechtstreeks toegang kunnen krijgen tot een database met gegevens.
– via NU
Privacy Nieuws
Meer dan 170 Duitse online apotheken, waaronder Apotal en Sanicare, hebben volgens de Duitse omroepen NDR en WDR sinds februari te maken gehad met een ernstig beveiligingsprobleem. Gevoelige medische gegevens van miljoenen klanten waren eenvoudig toegankelijk.
IT-expert Dominik Herrmann van de Universiteit van Bamberg spreekt van een “beginnersfout” in de programmering van de software.
Alle getroffen Duitse apotheken maken gebruik van dezelfde webwinkelsoftware van Awinta, een bedrijf dat naar eigen zeggen marktleider is voor apotheeksoftware en reclame maakt met de slogan dat vertrouwen het beste medicijn is.
Op de website van Awinta poseert een medewerker op een foto met oorkondes die werden afgegeven vanwege de goede beveiliging van de websites. “Danke für ihr Vertrauen”, staat erbij. Bedankt voor uw vertrouwen.
Journalisten van NDR en WDR onderzochten in samenwerking met de universiteit in Bamberg hoe veilig online apotheken zijn. Ze ontdekten dat persoonlijke gegevens zoals het rekeningnummer, adres of een overzicht van de bestelde medicijnen heel eenvoudig toegankelijk waren.
Bij de online apotheken die gebruik maken van de Awinta software was het mogelijk om de zogenaamde serverstatus op te roepen. Daardoor worden alle lopende processen op de site zichtbaar.
In een volgende stap zou het mogelijk zijn geweest om tijdens het surfen in de winkel over de schouder van de klant te kijken, legt Dominik Herrmann van de Universiteit van Bamberg uit in een reportage op de Duitse tv.
“Zo’n aanval is relatief eenvoudig. Elke IT-student kan een programma maken dat automatisch de informatie van klanten leest”, zegt Herrmann.
De universiteit maakte bij het onderzoek gebruik van software van de website PrivacyScore.org. Deze site is door universiteiten ontwikkeld om websites te controleren op veelvoorkomende problemen op het gebied van gegevensbescherming en beveiliging. Er wordt onder meer een pentest – penetratietest – gedaan.
In februari werd een lijst met alle internetadressen van Duitse apotheken ingevoerd op PrivacyScore.org. Uit de technische analyse bleek dat een opvallend groot aantal websites hetzelfde beveiligingsprobleem had.
Herrmann zegt in het Duitse magazine Spiegel dat het lek voor de betrokken apotheken een “ramp” is.
“Medische gegevens en gegevens over medicatiebestellingen behoren tot de meest kritische gegevens die bedrijven kunnen verwerken. Zo adverteert de Sanicare-website onder het motto “Vertrouwen is het beste medicijn”.
Voormalig toezichthouder Peter Schaar van de Duitse Autoriteit Persoonsgegevens noemt de veiligheidskloof een ernstig incident. “Dit zijn zeer gevoelige gegevens die in bijzonder goed beschermd moeten worden op grond van de privacywetgeving.”
De apotheken en de leverancier van de software hebben nog geluk dat het lek ontdekt is voordat de nieuwe Europese privacywet GDPR van kracht is geworden. De nieuwe wet voorziet in boetes tot 4 procent van de wereldwijde jaaromzet van de apotheken.
Overigens zijn de boetes die in Duitsland worden ook onder oude privacywetgeving al torenhoog.
In een interview met Tagesschau.de heeft Awinta toegegeven dat er een probleem was: de oorzaak was achterhaald en de fout was hersteld, volgens een verklaring, en er is ook sprake van een “handmatige foutconfiguratie”.
Privacy Nieuws
Bedrijven die de privacywet AVG / GDPR overtreden kunnen hoge boetes van 4 procent van de wereldwijde jaaromzet of maximaal 20 miljoen Euro opgelegd krijgen. Dat is heel veel geld.
Wat moet er eigenlijk met die forse boeteopbrengsten gedaan worden?
Chipkaarten producent Gemalto stelde die vraag aan 1050 Nederlanders.
Een overgrote meerderheid van 92 procent van de ondervraagden gaf aan dat een boete die een bedrijf betaalt bij gestolen persoonsgegevens niet terecht moet komen bij de overheid, maar bij de slachtoffers.
Wanneer er gevraagd wordt naar passende straffen dan scoort schadeherstel ook het hoogst: 37 procent.
De top drie wordt aangevuld met een celstraf en een boete, respectievelijk 33 procent en 24 procent.
Veel Nederlanders vinden dat wanneer de straf uit een boete bestaat, de verantwoordelijke hackers dit bedrag moeten voldoen (67 procent).
Ongeveer twee op de tien consumenten acht het gehackte bedrijf verantwoordelijk en vindt dat zij moeten opdraaien voor de boete.
Over de hoogte van het boetebedrag heerst er niet een eenduidige mening. Twee op de vijf Nederlanders vindt een bedrag tot 10.000 euro passend, 27 procent acht een bedrag tot 100.000 euro geschikt. De rest vindt dat de boete hoger moet zijn dan 100.000 euro, waar acht procent zelfs spreekt over een bedrag van meer dan 10 miljoen euro.
Privacy Nieuws
93 procent van de datalekken wordt veroorzaakt door phishing. Dat blijkt uit het Data Breach Investigations Report (DBIR) van Verizon. Voor het rapport werden 53.000 incidenten en iets meer dan 2200 “breaches” in 65 landen onderzocht. 93 procent van de onderzochte datalekken had phishing als oorzaak.
Phishing is een vorm van oplichting waarbij de slachtoffers vaak via e-mail worden misleid. In de mail staat een link die het slachtoffer naar een valse website lokt. Zo’n e-mail lijkt te komen van een betrouwbare instantie, bijvoorbeeld een creditcardmaatschappij of een bank. Het verzoek van de oplichter is meestal om ‘de inloggegevens te controleren’.
Volgens Verizon klikt gemiddeld 4 procent van de personen die doelwit zijn van een phishingaanval op de link in de phishingmail. Verder blijkt dat veel phishingmails niet door medewerkers worden gemeld.
Slechts 17 procent van de phishingcampagnes werd doorgegeven. Uit testresultaten blijkt dat de eerste click bij de meeste phishingcampagnes na 16 minuten plaatsvindt.
De meeste mensen die op een phishinglink klikken doen dit in het eerste uur nadat het bericht is verstuurd. De eerste melding van de phishingmail, afkomstig van meer technische gebruikers, komt gemiddeld na zo’n 28 minuten, terwijl de helft van de meldingen na 33 minuten is gedaan.
Verder laat het rapport zien dat de meeste “breaches” door buitenstaanders worden veroorzaakt.
Dat geldt echter niet voor de gezondheidszorg. Daar zijn “insiders” voor de meeste datalekken en incidenten verantwoordelijk. Het gaat dan bijvoorbeeld om het verlies of diefstal van laptops, opslagmedia en papieren dossiers, alsmede misbruik van bevoegdheden.
Als voorbeeld geeft Verizon het bekijken van het medische dossier van een “date” of een bekendheid die in het ziekenhuis wordt opgenomen. Iets dat onlangs ook nog in Nederland speelde toen personeel van het HagaZiekenhuis in Den Haag het medisch dossier van Barbie had bekeken.
Wat gebeurt er als u op een link in een phishing e-mail klikt?
Wanneer u gebruik maakt van zo een link, komt u terecht op een echt lijkende website. Via de website laat de oplichter u inloggen met uw inlognaam en wachtwoord of creditcardnummer. Hierdoor krijgt de oplichter uw persoonsgegevens in handen. Met alle gevolgen van dien! Het doel van de oplichter is bijvoorbeeld om met uw gegevens spullen te kopen en geld van uw rekening te halen.
Hoe herkent u een phishing e-mail?
Het is vaak moeilijk een phishing e-mail te onderscheiden van een echte betrouwbare e-mail. Toch zijn er kenmerken te noemen waaraan u een phishing e-mail kunt herkennen:
- Gerenommeerde banken, creditcardmaatschappijen en andere legitieme bedrijven vragen u nooit per e-mail om persoonlijke gegevens zoals creditcardnummer of wachtwoorden.
- Phishing e-mails spelen vaak in op uw angst opgelicht te worden, uw account kwijt te raken of op een andere dringende redenen om zo snel mogelijk te reageren.
- Een phishing e-mail is meestal onpersoonlijk: de aanhef luidt bijvoorbeeld ‘Beste klant’. Maar let op: ook gepersonaliseerde e-mail kan nog steeds nep zijn!
Kijk op de website veiliginternetten.nl voor meer achtergrondinformatie over phishing en tips om uw computer te beveiligen. De waarschuwingsdienst is een dienst van de Nederlandse overheid.