Privacy Nieuws
Sla je veel gevoelige documenten op in the cloud? Denk je dat de iCloud van Apple of Google Drive veilig zijn? Volgens het Israëlische bedrijf NSO Group is dat een illusie.
De Israëli zeggen in staat te zijn om data uit onder meer iCloud en Google Drive en andere clouddiensten te kunnen halen. Dat meldt The Financial Times op basis van documenten en anonieme bronnen die gebaseerd zijn op de verkooppitch van het bedrijf.
Beveiliging door middel van tweestapsverificatie
NSO zou potentiële klanten vertellen dat zij informatie uit deze diensten kunnen verzamelen zonder dat het doelwit daarvan op de hoogte wordt gebracht. Ook extra beveiliging door middel van tweestapsverificatie zou te omzeilen zijn.
Spionagesoftware
NSO staat bekend om zijn spionagesoftware, die formeel alleen aan overheden verkocht wordt in de strijd tegen terrorisme, maar ook is ingezet tegen onder meer activisten en journalisten.
Het bekendste NSO-product is Pegasus, software waarmee het bedrijf in staat zou zijn om de smartphone van een doelwit in te zien.
Jamal Khashoggi
Pegasus zou onder meer ingezet zijn tegen een Saoedische dissident om zijn communicatie met de vermoorde journalist Jamal Khashoggi te monitoren.
Het bedrijf zou nu ook in staat zijn om informatie die zich niet op de smartphone bevindt, maar op servers van verschillende diensten, te verzamelen.
Volgens The Financial Times gaat het onder meer om iCloud, Google Drive, Facebook Messenger en een niet nader genoemde clouddienst van Microsoft.
Privacy Nieuws
Whatsapp, LinkedIn, Evernote, Dropbox, Google Docs, Google Drive, OneDrive, Toodoo… Er zijn veel handige tools waarmee medewerkers efficient kunnen communiceren en bestanden kunnen opslaan, bewerken, plannen en delen. Maar ze zorgen vanwege de Algemene Verordening Gegevensbescherming (AVG) ook voor grote risico’s. Hoe ga je daarmee om?
PrivacyZone geeft vijf management argumenten waarmee organisaties die deze risico’s onder controle willen krijgen.
Het begint met nadenken over het faciliteren van enthousiaste ijverige medewerkers die efficienter en productiever willen werken.
Het probleem ligt meestal niet bij de medewerkers, maar bij starre ICT-managers die te weinig rekening houden met de behoeften van de werknemers. De ICT-afdeling van het bedrijf moet de belangen van de medewerkers zeer serieus nemen en zich meer richten op de behoeften van haar medewerkers.
Veel medewerkers zijn ontevreden over de digitale tools die ze van hun werkgever ter beschikking krijgen. Ze gebruiken daarom op eigen initiatief ongeautoriseerde apparatuur en apps en schenken daarbij geen aandacht aan regelgeving, beveiliging of compliance. Voor de werkgever is dat een groot probleem.
ICT-afdelingen stoorden zich altijd al aan medewerkers die de bedrijfsmatige ICT-omgeving proberen te omzeilen. Ze hebben geen controle op deze collega’s. Ze waarschuwden het management altijd al voor de mogelijke consequenties.
Tot de invoering van de AVG namen veel managers de kritische geluiden van de ICT-ers vaak voor kennisgeving aan. Mogelijk ook omdat ze zelf ook gebruik maken van deze handige tools. Sinds de AVG ligt dat anders. Het management is nu aansprakelijk geworden voor overtredingen van de privacywet.
Ongecontroleerde systemen stellen bedrijven voor juridische uitdagingen, niet in de laatste plaats omdat de naleving van de regelgeving inzake gegevensbescherming, auteursrechtelijke bescherming of bewaarplicht op geen enkele wijze wordt gegarandeerd.
Whatsapp verschaft zich bijvoorbeeld toegang tot alle contactadressen op een smartphone. Prive is dat juridisch geen probleem, zakelijk wel. De organisatie moet kunnen aantonen dat iedere contactpersoon vooraf toestemming heeft gegeven zijn contactgegevens met Whatsapp te delen.
Google Docs, Dropbox en OneDrive zijn handig om bestanden op te slaan en te delen. Maar wat nu als dit priveaccounts zijn waarin zakelijke documenten met veel persoonlijke gegevens worden opgeslagen? Dan is het bedrijf niet compliant. Er is geen controle meer.
Al die persoonlijke apps vormen ook een constante bedreiging voor de IT-beveiliging, omdat hackers via deze kanalen wellicht gemakkelijker toegang kunnen krijgen tot het zakelijke netwerk.
Veel persoonlijke smartphones en tablets die door werknemers worden gebruikt voldoen niet aan de ICT-protocollen van het bedrijf.
Hoe kun je zorgen voor een cultuuromslag binnen de organisatie? PrivacyZone heeft 5 argumenten:
1. De werknemers informeren
De onzorgvuldigheid van medewerkers in de omgang met smartphones en tablets is vaak te wijten aan kennisgebrek over de juridische risico’s die de werkgever loopt. Regelmatige Privacy Awareness trainingen en informatie kunnen dan helpen. Alleen wanneer medewerkers zich volledig bewust zijn van de risico’s die gepaard gaan met het gebruik van onbevoegde apps, kan van hen worden verwacht dat zij er meer zorg aan besteden.
2. Leren van werknemers
Bedrijven doen er verstandig aan alle apps die werknemers privé gebruiken eens grondig te inventariseren. Vraag waarom de medewerker deze tools zo graag gebruiken. De organisatie kan zo achterhalen hoe ze hun personeel nog beter kunnen faciliteren. Misschien kunnen sommige tools toegevoegd worden aan de lijst met officiele zakelijke tools. Misschien zijn er alternatieve applicaties die wel voldoen aan de AVG. Als de organisatie meedenkt met de medewerkers en zelf vergelijkbare bruikbare applicaties aanbiedt wordt het risico van wangedrag van werknemers verminderd.
3. Betrekken van afdelingen
Organisaties moeten ervoor zorgen dat IT- en bedrijfsafdelingen nauw samenwerken om zinvolle apps te leveren en tegelijkertijd aan de beveiligingsnormen te voldoen. Degenen die verantwoordelijk zijn voor IT en compliance moeten niet optreden als “remmers”, maar als constructieve business enablers.
4. Toegang tot de infrastructuur controleren
Bedrijven moeten precies definiëren welke apps welke interne resources of clouddiensten mogen gebruiken. Je moet bijvoorbeeld aangeven welke e-mail app toegang heeft tot de Exchange of Office365 server. Ongeautoriseerde apps mogen geen toegang krijgen.
5. Zorg voor de juiste apps
Bij het selecteren van goedgekeurde apps zijn veiligheid en compatibiliteit met stationaire IT belangrijk. Toch heeft gebruiksvriendelijkheid ook een hoge prioriteit. Alleen als gebruikers tevreden zijn met de apps en hun werk zonder problemen kunnen doen, gaan ze niet op zoek naar eigen apps.
Privacy Nieuws
Google Chrome is de meest populaire browser. Maar door de automatische koppeling met andere Google diensten is Google Chrome voor de AVG ook een browser met veel risico’s.
In de meest recente versie van Chrome worden gebruikers die inloggen bij Google-diensten als YouTube, Gmail of Google Drive, ook automatisch ingelogd in de browser.
Dat levert grote risico’s op als je onderweg gebruik maakt van computers van anderen. Bijvoorbeeld in hotels of bij bekenden.
Ongemerkt wordt er dan op de achtergrond ingelogd op jouw Google accounts. Naderhand zouden derden dan zonder problemen toegang kunnen hebben tot jouw gegevens.
Er zijn veel klachten geuit over dit risico met Chrome.
Google biedt gebruikers in een aankomende versie van Chrome de mogelijkheid om deze optie uit te schakelen.
Gebruikers die inloggen bij een Google-dienst, worden dan niet automatisch ingelogd in Chrome.
De volgende versie van de internetbrowser wordt in oktober uitgebracht.
