Tijdens de Corona crisis werken veel mensen thuis. Contact met collega’s vindt plaats via telefoon, Whatsapp, videovergaderingen en e-mail. Cybercriminelen hebben het nog nooit zo gemakkelijk gehad om hun slag te slaan.
Je krijgt een belangrijke mail van je leidinggevende met het verzoek om vertrouwelijke documenten door te sturen. Is het echt een opdracht van je chef?
Verzekeringsmaatschappijen en IT-beveiligingsbedrijven waarschuwen voor een toenemend aantal frauduleuze e-mails waarin cybercriminelen zich voordoen als superieuren en geld naar hun eigen rekeningen laten overmaken.
Ongeveer 90% van alle cyberaanvallen begint met een e-mail.
De methode staat onder cyberdeskundigen bekend als “CEO-fraude. De fraudeurs stelen de e-mailadressen en online identiteiten van senior managers en hun medewerkers en laten vervolgens geld overmaken naar hun rekeningen.
Cybercriminelen maken momenteel gretig gebruik van de corona chaos.
AGCS, een industriële verzekeraar van Allianz, waarschuwt dat in sommige landen het aantal pogingen tot cyberaanvallen tussen medio februari en medio maart is vervijfvoudigd.
En de Japanse IT-beveiligingsonderneming Trend Micro schat dat er in het eerste kwartaal meer dan 900.000 aan corona gerelateerde spammails over de hele wereld zijn verstuurd. Trend Micro heeft geanalyseerd dat online fraudeurs in bijna realtime op de verspreiding van de epidemie hebben gereageerd.
IT-beveiligingsstandaarden in het thuiskantoor vaak te laag
De daders bereiden hun aanvallen vaak zeer grondig voor om zo geloofwaardig mogelijk in de virtuele huid van echte bestuurders te kruipen.
CEO-fraude wordt vaak geflankeerd door gerichte phishing-e-mails, telefoontjes of nep-websites. De corona-pandemie doet de economie wankelen, maar voor cybergangsters is de crisis blijkbaar een stimuleringspakket.
Voor een succesvolle cyberaanval moet de hacker de interesse en emoties van de betrokkenen wekken. De Corona crisis leent zich daar uitstekend voor.
De experts van AGCS zijn bezorgd dat sommige bedrijven hun IT-beveiligingsnormen hebben verlaagd, zodat de werknemers van thuis uit kunnen inloggen op het bedrijfsnetwerk. “Alleen omdat we “nonchalant” gekleed zijn in het thuiskantoor betekent niet dat we “nonchalant” mogen zijn met IT-technologie en beveiligingsstandaarden”, zegt AGCS-manager Jens Krickhahn.
6 Nederlandse banken en 9 verzekeraars voldoen volgens de Autoriteit Persoonsgegevens (AP) nog niet aan de Algemene Verordening Gegevensbescherming (AVG). Dat blijkt uit een controle bij 45 banken en 93 verzekeraars.
Sinds de invoering van de nieuwe Europese privacywetgeving op 25 mei 2018 controleert de Autoriteit Persoonsgegevens bij diverse branches of alle regels wel worden nageleefd. Zo controleerde de toezichthouder eerder overheidsorganisaties, ziekenhuizen en zorgverzekeraars. Ook vond er een steekproef plaats bij grote private organisaties.
Volgens de AP hebben 6 Nederlandse banken en 9 verzekeraars nog geen Functionaris Gegevensbescherming (FG) aangesteld. Daartoe zijn zij volgens de AVG evenwel verplicht. Deze FG moet ook officieel aangemeld worden bij de AP.
Ook heeft de toezichthouder uitgezocht of financiële instellingen de directe contactgegevens van die functionarissen wel op hun website hebben gepubliceerd, zoals is vereist. Dit liet bij zeven banken en veertien verzekeraars nog te wensen over.
Banken en verzekeraars verwerken veel persoonsgegevens van hun klanten, zoals identificatiegegevens, financiële data en transactie- en medische gegevens. De functionaris in kwestie is daarom erg belangrijk.
37 procent van de ransomware-aanvallen is gericht op de zorgsector, meldt de cybersecurity verzekeringsmaatschappij Beazley Breach Response (BBR). De hoogste losgeldeis bedroeg maar liefst 2,8 miljoen dollar.
De extreem hoge losgeld eisen zijn volgens BBR gelukkig nog zeldzaam. De gemiddelde eis van cybercriminelen ligt momenteel rond de 10.000 dollar. Dit is beduidend hoger dan het gemiddelde van 1000 dollar dat in oktober 2016 werd gerapporteerd in de Breach Insights.
Volgens BBR is het aantal ransomware meldingen in september bijna verdubbeld ten opzichte van augustus.
In de eerste drie kwartalen van 2018 was 71% van de ransomware-incidenten die door BBR Services werden afgehandeld, bestemd voor het midden- en kleinbedrijf.
Er is volgens BBR momenteel ook een enorme groei van ransomaanvallen in de financiele en administratieve sector zichtbaar.
Een aantal ransomware-aanvallen in het derde kwartaal werden in verband gebracht met de campagnes van Ryuk en BitPaymer.
Er wordt veel BitPaymer ransomware gedetecteerd op netwerken die ook geïnfecteerd waren met banktrojans. Deze computer virussen worden gebruikt om gegevens te stelen van online platforms van banken.
BitPaymer ransomware besmette Schotse ziekenhuizen, verlamde de infrastructuur van een kleine stad in Alaska en sloot computers bij de Professional Golfers’ Association of America.
Ryuk, een variant van Hermes ransomware die werkt via speer phishing, besmette gezondheidszorgorganisaties in Canada en een watervoorziening in North Carolina.
Zo’n 71 procent van de ransomware-aanvallen was gericht op kleine en middelgrote bedrijven, wat aantoont hoe belangrijk het is voor alle bedrijven, ongeacht hun omvang, om meerdere, bijgewerkte back-ups bij te houden en serieus te investeren in IT.
De speer phishing aanvallen maken duidelijk hoe belangrijk het is om medewerkers te trainen in cybersecurity in een kantooromgeving.
Kun jij je auto openen en starten met een contactloze autosleutel? Dan zou je die optie volgens verzekeraars en de keuringsinstantie voor autobeveiliging Kiwa SCM door de garage moeten laten uitschakelen.
Auto’s met de ‘keyless entry’ blijken zo vaak gestolen of opengebroken te worden dat verzekeraars en de keuringsinstantie er per volgend jaar vanaf willen. Auto’s met contactloze sleutels zijn dan dus niet meer verzekerd.
AVG awareness maatregel contactloze sleutels
De ingrijpende conclusie van de verzekeraars en de keuringsinstantie is voor organisaties ook van belang voor het veiligheidsmaatregelen die zij op basis van de AVG moeten treffen om er voor te zorgen dat persoonsgegevens niet in verkeerde handen kunnen vallen.
De AVG verplicht organisaties om maatregelen te treffen waarmee onnodig risico kan worden voorkomen. Die maatregelen moeten worden genomen op het moment dat het risico bekend is. Omdat de verzekeraars en het keuringsinstituut er nu melding van hebben gemaakt moeten organisaties nu ook meteen matregelen treffen.
Iedereen die met een auto van de zaak of eigen auto zakelijk onderweg is en daarbij een laptop, tablet of dossiers met persoonsgegevens bij zich heeft loopt groot risico op een autoinbraak of autodiefstal als gebruik wordt gemaakt van contactloze sleutels.
Wanneer wordt jouw auto gestolen?
Volgens deskundigen zijn vrijwel alle auto’s van 2017 en ouder met zo’n systeem simpel te jatten.
,,Het is geen kwestie of je auto gehackt wordt, maar wanneer”, zegt Wouter Verkerk van het Verzekeringsbureau Voertuigcriminaliteit (VbV).
Het VbV is een initiatief van alle Nederlandse schadeverzekeraars om voertuigcriminaliteit te bestrijden.
Laat de contactloze sloten uitschakelen
Verkerk heeft maar één advies aan autobezitters: ,,Laat de keyless entry gewoon uitzetten.”
Er zijn volgens hem een hoop mensen die denken: ‘ik merk het wel’. ,,Maar op het moment dat je auto gestolen wordt, ben je erg onthand, hoe goed je ook verzekerd bent.”
PrivacyZone adviseert het contactloze autosleutelsysteem uit te laten schakelen door de autodealer of garage en dat schriftelijk te laten bevestigen in de factuur of een brief. Deze bevestiging moet dan worden gemeld in het verwerkingsregister.
Systeem niet zelf uitschakelen
Je kunt het systeem waarschijnlijk ook zelf uitschakelen, maar in dat geval heb je geen bewijs voor de Autoriteit Persoonsgegevens of de verzekering als er toch nog eens in de auto wordt ingebroken of de auto wordt gestolen.
De passieve autosleutel is ontwikkeld om het leven gemakkelijker te maken, alleen daarmee braken ook gouden tijden aan voor criminelen. De rfid-chip blijkt namelijk te kraken.
Inbraakgolf in auto’s
In Den Haag vond eerder een inbraakgolf plaats in auto’s. De inbraken gebeurden zonder braakschade, doordat dieven autosleutels hackten. De politie vroeg toen al om de keyless entry van de slimme autosleutel te deactiveren.
Autodieven gebruiken over apparatuur waarmee ze signalen van autosleutels kunnen opvangen en kopieren. Ze kunnen bijvoorbeeld bij huizen langslopen en signalen van autosleutels die in de hal op een kastje liggen of zich in een jaszak aan de kapstok bevinden kopieren als ze met de apparatuur voor het huis gaan staan. Ze kunnen dan zonder sporen achter te laten in de auto inbreken of hem stelen.
De meest gestolen auto’s met contactloze sleutels
Bij deze auto’s is de kans het grootst dat je nieuwe auto binnen drie jaar na aankoop wordt gestolen:
Nummer 1: Toyota RAV4
Dit is momenteel met afstand het meest gewilde model onder autodieven in Nederland. De kans dat deze fonkelnieuwe auto van Japanse makelij binnen drie jaar wordt gestolen is maar liefst 1 op 18.
Nummer 2: Citroën C4
Het risico dat het dievengilde er met je nieuwe Citroën C4 vandoor gaat is groot. Binnen drie jaar zijn 1 op 22 autobezitters van het Franse automerk hem alweer ongewild kwijt.
Nummer 3: Land Rover Evoque
Ook de compacte SUV van het Britse automerk Land Rover is in trek bij autodieven. Bij 1 op de 35 eigenaren van de Range Rover Evoque werd de auto binnen drie jaar gestolen.
Nummer 4: Lexus NX
De hybride NX van Lexus – de luxe tak van het Japanse automerk Toyota – is populair als het om diefstal gaat. Tussen 2015 en 2018 werden er 1 op de 39 gestolen.
Nummer 5: Lexus IS
De Lexus IS, dat staat voor Intelligent Sport, scoort met 1 op 44 gestolen wagens sinds 2015 hoog.
Nummer 6: Range Rover Sport van Land Rover
Van het sportieve model van Land Rover, de Range Rover Sport, zijn er in drie jaar tijd 1 op de 49 ontvreemd.
Nummer 7: De A-Klasse van Mercedes-Benz
Van de A-Klasse van het Duitse Mercedes zijn er 1 op de 66 binnen drie jaar na aanschaf gestolen.
Nummer 8: XF van Jaguar
Het sportieve model van het Britse Jaguar, de XF, is sinds 2015 bij 1 op de 74 van de bezitters gestolen.
Verzekeraars lijken totaal nog niet klaar voor de privacywet. Dat weet ik uit eigen recente ervaring. En een onderzoek van Security.nl bevestigt het vermoeden dat veel verzekeringsbedrijven nog steeds veel meer persoonsgegevens verzamelen dan nodig is.
Security.nl onderzocht het privacybeleid websites van 37 Nederlandse verzekeraars. Daarover straks meer. Eerst mijn eigen praktijkervaring.
“Wat doet u met mijn persoonsgegevens?”, vroeg ik onlangs bij een schadeherstelbedrijf. Er zat een deuk in mijn auto. De eigenaar van de zaak had de schade getaxeerd en vertelde dat hij de hele afhandeling met de verzekering voor me zou rekenen. Prima service. Toch?
Als privacymanager was ik echter verbaasd dat ik nergens een handtekening hoefde te zetten. Geen idee welke processen er nu in gang gezet zouden worden. Ondertussen was er al wel een kopie gemaakt van rijbewijs en verzekeringspapieren.
Kortom maar eens gevraagd wat er nu met mijn gegevens ging gebeuren.
De schadehersteller keek me verbaasd aan. Waarom zou ik dat moeten willen weten? Alles wordt toch prima geregeld?
“Privacywet? Nog nooit van gehoord. Ik ben schadehersteller. Het systeem dat ik gebruik wordt door alle schadeherstelbedrijven gebruikt. Het is aangesloten op de systemen van alle verzekeraars waar hij zaken mee doet.”
De gegevens die een klant met schade achterlaat worden in het systeem ingevoerd en naar de verzekeraar gestuurd.
Is er een verwerkingsovereenkomst?
“Nog nooit van gehoord.”
Is er nog helemaal geen enkele verzekeraar die u geinformeerd heeft over de privacywet? Over maatregelen die zij genomen hebben?
“Nee. Geen enkele verzekeraar. Ik heb wel een formulier gekregen van de leverancier van mijn kopieerapparaat. Maar dat heb ik nog niet gelezen.”
Hebt u een idee wat zij nog meer met de persoonsgegevens van uw klanten zouden kunnen doen?
“Ze hebben me wel eens gevraagd om een enquete uit te zetten onder mijn klanten. Maar daar doe ik niet aan mee. Daar heb ik geen tijd voor.”
Ik was verbaasd. Een paar weken vooVerzekeraars hebben vaak een slecht imago. Waarom grijpen die bedrijven de GDPR niet aan om hun imago op te poetsen?
Security.nl dacht hetzelfde. De website stelde daarom de websites van 37 verzekeraars op de proef. Welke informatie verzamelen verzekeraars eigenlijk als je hun website bezoekt?
Security.nl onderzocht de verzekeringsites op:
Bij akkoord cookies en sortering naar aantal waargenomen trackers
Bij akkoord cookies en sortering naar het aantal externe verbindingen
Bij niet akkoord cookies en maximaal data rond’zingen’ gesorteerd op aantal trackers en aantal verbindingen
Het resultaat van het onderzoek?
Security.nl concludeert dat de goedkoopste verzekeraars niet per se compenseren via privacy afbraak en reclame inkomsten.
En dat zeker niet de duurste verzekeraars niet méér privacy bieden. “Integendeel! Hoe groter hoe professioneler getrackt?”