Deze week op de agenda bij het managementoverleg bij veel organisaties: “Wat kunnen wij leren van de CEO-fraude bij Pathé?”

Het enorme bedrag van ruim 19 miljoen Euro dat cybercriminelen met CEO-fraude bij de bioscoopketen Pathé hebben buitgemaakt zal deze week in menige managementvergadering worden besproken. En dat is ook belangrijk. We leggen aan de hand van twee vragen uit waarom.

  • Hoe groot is de kans dat onze organisatie ook slachtoffer wordt van CEO-fraude of een andere vorm van cybercrime?
  • Hoe kunnen wij voorkomen dat onze organisatie ooit zelf slachtoffer wordt van cybercriminaliteit of een menselijke fout van onze eigen medewerkers?

Eigenlijk zou deze vraag ruim vijf maanden na de invoering van de Algemene Verordening Gegevensbescherming (AVG) helemaal niet gesteld hoeven te worden. Want alle organisaties moeten hun privacybeleid eigenlijk nu op orde hebben.

AVG wekelijks op agenda managementoverleg

Aan de andere kant is het juist uitstekend als managers de AVG standaard op de vergaderagenda hebben staan. Is er deze week nog iets gebeurd waar we qua privacybeleid en AVG iets mee moeten doen?

Als het goed is heeft het management alle risico’s in kaart gebracht en zijn er technische en organisatorische maatregelen genomen om problemen zoals bij Pathé te voorkomen.

Budget vragen voor structurele Security Awareness Trainingen

Naar aanleiding van de CEO-fraude bij Pathé is het daarom uitstekend als managers tijdens het managementoverleg nu aandacht en budget vragen voor structurele Security Awareness Trainingen.

Een eenmalige Security Awareness presentatie van een uurtje is dan onvoldoende. Dat levert niets op. De goed opgeleide financieel manager die bij Pathé de mist in ging had jarenlang bij accountantsbureau KPMG gewerkt, had geen goed gevoel bij de opdrachten die hij per mail kreeg, maar ging toch het schip in.

De mens is de zwakste schakel in het cybersecuritybeleid van iedere organisatie.

Die Security Awareness presentatie moet onderdeel zijn van een trainingsprogramma en een privacycampagne binnen de organisatie. Uit onderzoeken blijkt dat alleen medewerkers die regelmatig getraind worden na een jaar werkelijk alert zijn voor alle signalen dat er iets mogelijk niet klopt.

PrivacyZone kan samen met partners een trainingsprogramma en een privacycampagne voor jouw organisatie opzetten. Wij verzorgen presentaties en trainingen op locatie in combinatie met korte maandelijkse security awareness e-learning modules en phishingtests. Medewerkers worden regelmatig op de proef gesteld. Bel 06-31995740 of mail naar info@privacyzone.nl als je meer wilt weten.

Hoe herken je phishing, vishing, shishing, malware of ransomware?

Leer medewerkers – en dus ook managers – hoe ze kunnen herkennen dat er een poging wordt gedaan om door phishing, vishing, shishing, malware of ransomware binnen te dringen in de systemen van de organisatie.

Hoe hadden de verantwoordelijke managers bij Pathé kunnen herkennen dat er iets niet klopte?

Achteraf weet iedereen het beter. Maar wat had jij gedaan als je als manager binnen een bedrijf niet geacht wordt om vragen te stellen over beslissingen van het topmanagement? Als je geacht wordt opdrachten klakkeloos uit te voeren?

Misschien maakt de eigen bedrijfscultuur het cybercriminelen wel erg gemakkelijk om door social engineering autoriteitsgevoelige medewerkers te manipuleren.

AVG houdt niet op bij de website

Veel managers denken ten onrechte nog steeds dat hun organisatie aan de AVG voldoet als de website op orde is.

Sommige managers denken dat het voldoende is om een verwerkingsregister bij te houden.

Veel managers denken dat de AVG pure bureaucratie is.

Pakkans door Autoriteit Persoonsgegevens groter dan je denkt

Denken dat de pakkans als gevolg van een controle klein is omdat de Autoriteit Persoonsgegevens te weinig mensen zou hebben om iedereen te controleren.

Ze vergeten daarbij dan dat de Autoriteit Persoonsgegevens eigenlijk helemaal niet veel hoeft te doen om zwarte schapen op te sporen.

De Autoriteit Persoonsgegevens wordt geholpen door professionele cybercriminelen, slordige medewerkers van bedrijven en slachtoffers van overtredingen van de AVG.

Autoriteit Persoonsgegevens wordt geholpen door proffessionele cybercriminelen

De Autoriteit Persoonsgegevens wordt geholpen door cybercriminelen? Door ethical hackers zeker… Nee echt, door echte professionele cybercriminelen.

Cybercriminaliteit is de snelst groeiende vorm van criminaliteit ter wereld. Er wordt meer geld verdiend met het hacken van computers dan met drugs.

Het risico om slachtoffer te worden van een cybercrimineel is vele maken groter dan het risico om regulier gecontroleerd te worden door de Autoriteit Persoonsgegevens.

Slachtoffers van cybercriminaliteit zijn vanwege de AVG verplicht dat zelf te melden bij de AP

In die zin wordt de Autoriteit Persoonsgegevens geholpen door professionele cybercriminelen. Iedere succesvolle hack door een cybercrimineel heeft voor getroffen organisaties namelijk automatisch tot gevolg dat zij zelf een datalekmelding moeten doen bij de Autoriteit Persoonsgegevens.

Enorme imagoschade door negatieve publiciteit

Daarnaast groeit de kans dat andere slachtoffers van een hack of een datalek door eigen schuld – klanten en medewerkers – een klacht indienen bij de AP en misschien ook publiciteit zoeken.

De directie van Pathé had de CEO-fraude waarschijnlijk graag buiten de media gehouden. De imagoschade is enorm. En daarbij komt nog eens de gigantische financiele schade.

Door de AVG is het echter vrijwel onmogelijk om overtredingen van de privacywet onder de tafel te werken.

Managers lopen persoonlijk enorme risico’s

Managers die dat doen lopen zelf enorme risico’s. Zij zijn volgens de AVG zelf verantwoordelijk en zelfs hoofdelijk aansprakelijk. En ze kunnen door hun werkgever worden ontslagen, weten de managers die slachtoffer waren van de CEO-fraude bij Pathé nu. De rechtbank in Amsterdam heeft het ontslag goedgekeurd.

Neem geen risico. Bel nu met PrivacyZone en maak een afspraak: 06-31995740.

‘Slechts’ 16,5 miljoen Euro boete voor Britse Tesco bank wegens ontbreken cyberbeveiliging in 2016. Had met nieuwe AVG nu ruim 2,2 miljard Euro kunnen zijn

Wie dacht dat het allemaal wel mee zou vallen met de dreiging van megaboetes bij overtredingen van de AVG heeft het bij het verkeerde eind. In Groot-Brittannie wordt momenteel de toon gezet bij handhaving van de Europese privacyregels.

De Britse bank Tesco heeft een boete van 16,5 miljoen Euro gekregen van de Financial Conduct Authority (FCA) voor het ontbreken van beveiligingsmaatregelen tegen een cyberaanval die in november 2016 plaatsvond.

De fraude heeft de cyberaanvallers in dit geval 2,4 miljoen Euro opgeleverd.

Tesco had geluk bij een ongeluk omdat de nieuwe AVG destijds nog niet van kracht was.

Als de cybercriminelen na 25 mei 2018 hadden goegeslagen, toen AVG in werking trad, had Tesco boetes tot 4% van zijn jaarlijkse omzet moeten betalen. Dat ongeveer 2,2 miljard Euro zou zijn geweest.

De Britse toezichthouder FCA zegt dat organisaties ervoor moeten zorgen dat hun systemen zo inrichten dat het risico van cyberaanvallen bij voorbaat vermindert. Privacy by design en privacy by default, eist de AVG.

Te weinig, te laat

“Dit was te weinig, te laat. Klanten hadden helemaal niet aan het risico mogen worden blootgesteld”, erkent chief executive Gerry Mallon van Tesco achteraf ruiterlijk. Dat is een bijzonder dure les voor de bank.

Tesco Bank kreeg overigens onder de oude regels ook nog 50 procent strafvermindering omdat er op hoog niveau werd meegewerkt tijdens het onderzoek door de toezichthouder. Die had op basis van de oude privacyregels uit 2016 een boete van meer dan 30 miljoen Euro kunnen opleggen.

De boetes kunnen in de toekomst volgens de Britse toezichthouder juist fors hoger uitpakken.

 

Deze sanctie herinnert eraan hoe belangrijk het is dat organisaties rekening houden met hun kwetsbaarheid en investeren in beveiligingsmaatregelen“, aldus de FTA. Financiële verliezen als gevolg van niet-naleving van Europese privacyregels kunnen in potentie hoger uitvallen dan de kosten om een inbreuk tegen te gaan.“

Er zullen in de toekomst zwaardere straffen worden opgelegd. Bedrijven moeten hun IT-infrastructuur opnieuw beoordelen en hun software, webapplicaties en netwerken beveiligen om gevoelige gegevens te helpen beschermen en de naleving ervan te waarborgen.

Indien een dochteronderneming de verordening niet naleeft, worden de boetes ook berekend op basis van de omzet van de moedermaatschappij.