Websites 375.000 Nederlandse mkb-bedrijven kunnen eenvoudig gehackt worden

Volgens de Volkskrant lopen 375.000 mkb-bedrijven in Nederland grote risico’s met hun websites. De websites blijken ronduit slecht beveiligd en kunnen relatief eenvoudig gehackt worden.

De websites van naar schatting 375.000 bedrijven in het midden- en kleinbedrijf (mkb) zijn slecht beveiligd, waardoor kwaadwillenden relatief eenvoudig gevoelige persoonsgegevens kunnen inzien.

Het gaat om drie kwart van de websites binnen het mkb die privacygevoelige informatie verwerken, schrijft de Volkskrant vrijdag. Van de slecht beveiligde websites bestaat bij een kwart zelfs het risico dat kwaadwillenden rechtstreeks toegang kunnen krijgen tot een database met gegevens.
– via NU

Meer actueel awareness nieuws

Kleine bedrijven blijken nauwelijks in aanmerking te komen voor vrijstelling AVG administratie

De overheid heeft in de privacywet AVG / GDPR een vrijstellingsclausule opgenomen voor bedrijven met minder dan 250 werknemers.

In de praktijk blijkt dat de voorwaarden om voor de vrijstelling in aanmerking te komen zo streng zijn dat maar weinig kleine mkb’ers en zzp’ersber gebruik van kunnen maken.

Het midden- en kleinbedrijf krijgt volgens de Autoriteit Persoonsgegevens (AP) geen uitzonderingspositie of een lichter regime bij de handhaving van de Algemene Verordening Gegevensbescherming (AVG).

Secretaris ICT David de Nood van MKB-Nederland verwacht dat de wet het Nederlandse bedrijfsleven op jaarbasis 1,4 miljard euro aan extra kosten oplevert. Bedrijven moeten gaan vastleggen over welke persoonsgegevens zij beschikken, wat zij hiermee doen, wanneer deze data wordt verwijderd en hoe de gegevens zijn beveiligd.

“Mkb’ers moeten dus hulp gaan inroepen en niet iedereen heeft daar de middelen voor”, zegt De Nood in het Financiele Dagblad.

Meer actueel awareness nieuws

Wat kan er nou gebeuren als je mailbox wordt gehackt? 3 voorbeelden

De meeste ondernemers kunnen zich nauwelijks voorstellen dat zij ooit slachtoffer zullen worden van cybercrime. Zeker ondernemers die denken dat zij nauwelijks online zakendoen. Vergeten wordt dat de mailbox onderdeel is van het moderne zakendoen. Zonder e-mail kan een moderne ondernemer feitelijk geen zaken doen.

De mailbox is meteen een van de grootste bronnen van datalekken. Mede dankzij menselijk handelen overigens.

Welke risico’s loop je met mail?

Wat kan er nou gebeuren als je mailbox gehackt wordt? Wat is het risico als je iets te snel op een link in een betrouwbaar ogend mailtje hebt geklikt, dat blijkt te zijn verstuurd door een cybercrimineel?

Stan Hegt is ethisch hacker in dienst van KPMG. Hij kruipt dagelijks in de huid van cybercriminelen om hun gedrag te kunnen doorgronden en ondernemers te helpen om hun bedrijfsactiviteiten online beter te beschermen.

Hegt geeft op de site van de Kamer van Koophandel drie voorbeelden van cybercrime bij kleinere mkb’ers.

Datalek bij accountant

Bijvoorbeeld van een bedrijf dat door een datalek bij de accountant ruim honderdduizend euro werd afgetroggeld door cybercriminelen. De inloggegevens van de accountant van deze ondernemer kwamen voor in een datalek. De internetcriminelen konden zo in het online boekhoudpakket van de ondernemer komen. Door stamgegevens van leveranciers aan te passen werden facturen niet aan hen maar aan de cybercriminelen uitbetaald.

DDoS aanval op webshop

Een andere mkb’er heeft een goedlopende webshop en is inmiddels goed in de zoekmachines te vinden. Op een gegeven moment lag zijn webshop door een DDoS-aanval een dag lang plat.

De volgende dag kreeg hij een mail van de cybercrimineel: bitcoins betalen of je webshop ligt de volgende keer een hele maand plat. “Dat kan het einde van je bedrijf betekenen’, concludeert Hegt.

Phishingmail Office 365

Tenslotte een voorbeeld van phishing. De ondernemer krijgt een mailtje in Office 365 met een ogenschijnlijk belangrijke bijlage. Om de bijlage te openen moet hij zijn wachtwoord invullen. Pas maanden later blijkt zijn mail al die maanden ook te zijn doorgestuurd naar een mailadres van een cybercrimineel.

Hegt: “De verzamelde informatie leek niet misbruikt, maar je hebt wel een gigantisch datalek. Leg dat maar eens uit aan je klanten. Bovendien ben je verplicht dit datalek te melden bij de Autoriteit Persoonsgegevens.”

Bron: Kamer van Koophandel

Presentatie Stan Hegt voor providers

Meer actueel awareness nieuws

“De deadline van 25 mei is onherroepelijk. Maar niet voor de bakker en de slager.”

Hoe kan het dat veel kleine ondernemers nog niet klaar zijn voor de privacywet die op 25 mei 2018 van start gaat? En is dat erg? Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens reageerde dinsdagochtend luchtig in de ontbijtshow Goedemorgen Nederland van omroep WNL.

“Ach een bakker is er om brood te bakken en een onderwijzer is er om les te geven”, aldus Wolfsen. “Die zijn niet iedere dag met privacy bezig. Aan de andere kant weten zij wel veel van hun klanten. Onderdeel van een goede dienstverlening is dat je daar zorgvuldig mee omgaat.”

Hebben kleine bedrijven zich niet goed voorbereid?

“Brancheverenigingen doen er veel aan. Grote bedrijven zijn vaak wel op tijd begonnen. Maar de kleine bedrijven hebben er wat later van gehoord. Die zijn nu wel druk bezig. Ik verwacht dat veel kleine bedrijven wel redelijk op tijd klaar zijn voor 25 mei. Want die deadline is onherroepelijk.”

Moeten kleine bedrijven bang zijn dat u meteen na 25 mei op de stoep staat?

“Nou nee, niet bij de slager en de bakker, kan ik u wel verklappen. Die moeten natuurlijk wel aan de wet voldoen. De wet is natuurlijk als eerste bedoeld voor grote bedrijven die niets anders doen dan handelen in data. Banken, zorginstellingen. Die verzamelen voornamelijk gevoelige gegevens. Gezondheidsgegevens. Dat is natuurlijk belangrijker dan gewone klantgegevens. Maar iedereen moet wel voldoen aan die wet. Neem nu bijvoorbeeld een kinderopvang. Dan denk je ‘wat weet de kinderopvang nou eigenlijk van mij?’ Maar die weet vaak iets over de financiele positie van de ouders. Over de gezondheid. Is er sprake van een echtscheiding. Zulke gegevens zul je toch goed moeten beveiligen.”

 

Meer actueel awareness nieuws

Ook zonder website of cookies moet uw organisatie waarschijnlijk aan de GDPR voldoen. Gebruikt u e-mail?

“Als ik nou de contactpagina van onze website haal… Moet ik dan ook nog een SSL-certificaat hebben? Wij doen niets met cookies.” De ondernemer zucht. “Wij doen helemaal niets online.”

Kleine middenstanders proberen vertwijfeld onder de druk van de nieuwe privacywet AVG / GDPR uit te komen. Ze zoeken ontsnappingsclausules. Vaak gebaseerd op misverstanden.

Een van die misverstanden is dat de Privacywet alleen iets is voor ondernemers die online ondernemen.

“Hoe communiceert u met uw klanten? Gebruikt u e-mail?”, vraag ik.

“Ja, natuurlijk. Dat doet toch iedereen”, antwoordt de ondernemer. Hij zucht nog eens. Het kwartje lijkt gevallen.

Hebt u een computer?

Dus u heeft een computer? En een smartphone? Hebt u antivirus software geïnstalleerd? Wordt uw software regelmatig geüpdatet?

Wat veel ondernemers nog niet lijken te beseffen is dat we in deze digitale tijd allemaal online ondernemers zijn geworden. Zelfs als we geen website hebben.

Onze mailbox zit vol digitale data. Vol persoonsgegevens die we gevraagd en ongevraagd toegezonden krijgen.

We delen offertes, plannen en presenties per mail. We slaan die bestanden automatisch via ons mailprogramma op meerdere plekken op. Die mailprogramma’s downloaden immers vaak voortdurend mail van onze mailserver tegelijk op onze computer, tablet en smartphone.

Ongemerkt hebben we de persoonsgegevens van tientallen mensen al opgeslagen op minimaal zes tot zeven plekken. Computer, smartphone, tablet en mailserver bij onszelf en minimaal ook op de mailserver, computer en smartphone van de persoon waarmee we via mail communiceren.

En dan hebben we het nog maar over een mailbericht…

Wat veel ondernemers ook niet beseffen is dat de privacywet niet alleen over digitale dataverwerking gaat. Ook de administratie in ordners in een archiefkast valt er onder.

En als ondernemer wordt je ook geacht te weten wat andere partijen doen met data die je met hen deelt.

Hoe zit het eigenlijk met die handige software waarmee u werkt? Worden er backups gemaakt? Werkt u in de cloud?

Vorige week gaf ik een awareness training aan bijna zestig ondernemers.

Wie werkt er in de cloud?, vroeg ik.

Geen enkele vinger ging omhoog…

Wie maakt er gebruik van Gmail? Een kwart van de vingers ging omhoog.

Veel ondernemers weten niet wat ‘the cloud’ is. Dat veel applicaties die ze gebruiken via het internet gegevens opslaan op een server die elders in de wereld staat.

Veel ondernemers beseffen zich ook niet dat hun smartphone eigenlijk voortdurend in ‘the cloud’ werkt.

Ze weten niet wat al die handige ‘gratis’ apps op de achtergrond met hun gegevens en hun gedrag doen.

Kortom: ondernemers die hopen dat ze zich kunnen onttrekken aan de invloed van de nieuwe Europese privacywet vergissen zich. Ze zullen toch echt met de GDPR aan de slag moeten.

Als ze dat nog niet hebben gedaan, zijn de drie onderstaande stappen noodzakelijk. Ze zullen meer tijd in beslag nemen dan veel mensen denken. Er gaat een datawereld voor hen open.

Als je er eenmaal mee bent begonnen besef je hoeveel data we eigenlijk dagelijks verwerken. Wij allemaal.

Reinig de database

  • Over welke persoonlijke gegevens beschikt u al?
  • Waar kwam het vandaan en met wie heb je het gedeeld?
  • Waar zijn uw kwetsbaarheden en waar kunt u aansprakelijk voor worden gesteld?
  • Waar bevinden zich de persoonsgegevens die u gebruikt zich? Waar zijn ze opgeslagen?
  • Welke classificatie hebben deze gegevens? (Classificatie? Nog nooit van gehoord, denken veel ondernemers nu. Ze hebben geen idee waar het over gaat.)
  • Zorg ervoor dat u over procedures beschikt om gegevensinbreuken op te sporen, te melden en te onderzoeken.

Begin  zo snel mogelijk met uw stappenplan, want zelfs één klachtrapport van een contactpersoon waar u eigenlijk nooit serieus zaken mee heeft gedaan kan de legitimiteit van uw marketingprogramma in twijfel trekken en voor grote problemen zorgen.

Wat doen uw externe leveranciers?

Het is belangrijk om te begrijpen waar precies de persoonlijke gegevens die u hebt verzameld over uw klanten worden gedeeld en overgedragen. Als deze gegevens worden gedeeld naar plaatsen zoals uw CRM-systeem, e-mailserviceprovider of klantondersteuningssysteem, moet u ervoor zorgen dat deze externe providers zelf GDPR-geschikt zijn.

Dit is vaak de zwakste schakel in het traject om privacyproof te worden.

Hier zijn 12 belangrijke vragen aan al uw externe leveranciers met betrekking tot hun niveau van naleving te stellen.

Het is sterk aan te raden om als een van de eerste stappen in uw organisatie een gegevensregister op te zetten. Dit is de basis van uw GDPR compliance project. Als je er eenmaal mee begonnen bent ontdek je voortdurend nieuwe waarover afspraken gemaakt moeten worden. Onderschat niet hoe lang deze stap zal duren, aangezien het waarschijnlijk een afdelingsoverstijgende inspanning zal zijn.

Herziening van marketingstrategie

Vergeet die uitgebreide adressenbestanden die u via internet kon kopen. Die adressen mag u niet gebruiken. Ten strengste verboden, want de personen die opgenomen zijn in deze bestanden hebben er zeer waarschijnlijk geen weet van dat hun persoonsgegevens verkocht zijn. Zij hebben geen toestemming gegeven voor het gebruik wat u voor ogen zou kunnen hebben. En dan bent u dus in overtreding.

De GDPR bepaalt dat u moet weten wanneer de toestemming werd verkregen (bijvoorbeeld gegevens en tijdstempel), en voor welk specifiek doel de toestemming werd gegeven.

Hebt u zo’n uitgebreide maillijst vol contactgegevens van mensen die u ooit een keer gesproken hebt, maar waar u nooit nadrukkelijk toestemming hebt gekregen om ze via e-mail reclame te sturen? Dan weet u nu dat u deze adressen niet meer kunt gebruiken. Eigenlijk kunt u uw adressenbestand in uw telefoon en uw mailprogramma beter meteen opschonen.

Nog een paar stappen

De volgende stappen zijn even essentieel in het streven naar GDPR-bereidheid. Deze hebben betrekking op de interne procedures binnen een bedrijf, de regels die iedereen die werkt met klantgegevens, vanaf nu moet kennen en toepassen. Elke dag. Elke minuut.

De GDPR gaat veel verder dan een paar verklaringen in de footer van een website. Het gaat om gedragsverandering. Bewustwording. Negentig procent van de datalekken ontstaat door menselijke fouten. Medewerkers die te lichtzinnig op een phishinglink in een mail klikken bijvoorbeeld. Of die vertrouwelijke mail toch maar even delen met een bekende.

Bewustzijn opbouwen

Zorg ervoor dat het senior management zich bewust is van GDPR en de waarschijnlijke impact op uw organisatie. Vergeet niet om tijdens dit proces uw medewerkers en personeel te informeren en voor te lichten. En zorg er voor dat u de medewerkers ook scherp houdt.

Voorkom dat na verloop van korte tijd alles weer zoals vanouds wordt gedaan. “Omdat dat gemakkelijker is. Omdat we het altijd zo gedaan hebben. Omdat we toch niet gecontroleerd worden.” Het management is hoofdelijk aansprakelijk voor overtredingen. Niet het personeel.

De mentaliteit veranderen

Volgens recent onderzoek vraagt slechts 47% van de ondervraagde ondernemers hun klanten altijd om hun toestemming voordat ze contact met hen opnemen. Erger nog, slechts 50% van de respondenten maakt het klanten gemakkelijk om hun toestemming in te trekken.

Vanaf 25 mei heeft de klant recht op:

  • Vergeten worden, geïnformeerd worden, persoonsgegevens laten wissen, een kopie van hun persoonsgegevens hebben (binnen een maand, gratis)
  • Recht op gegevensportabiliteit – gegevens die elektronisch in een algemeen gebruikelijk leesbaar formaat aan hen worden gezonden
  • Recht om geautomatiseerde beslissingen en profilering te beperken
  • Recht van bezwaar

U mag gewoon blijven communiceren

Onthoud dat de GDPR niet ontworpen is om bedrijven te laten stoppen met communiceren met hun klanten. De GDPR is bedoeld om misbruik van persoonsgegevens tegen te gaan.

De GDPR zal leiden tot een verbetering van de datakwaliteit, en dat is de reden waarom de beste en meest vindingrijke marketeers het grotere geheel zien. De GDPR is een kans is om meer vertrouwen en respect te krijgen van klanten die het waarderen dat hun persoonlijke gegevens serieus worden genomen en dat hun rechten volledig worden gerespecteerd.

Meer actueel awareness nieuws