MKB wil vanwege AVG investeren in deskundige privacyspecialisten. Maar daar zijn er te weinig van

Kleine en middelgrote bedrijven hebben grote moeite om goed opgeleide privacydeskundigen aan te stellen. Er is grote concurrentie op de vacaturemarkt voor deze mensen. Het MKB delft vaak het onderspit tegen grote bedrijven.

De vraag naar interne en externe privacyspecialisten is volgens Duits en Amerikaans onderzoek booming vanwege de Algemene Verordening Gegevensbescherming (AVG) en het toenemende risico van cyberaanvallen.

De cyberrisico’s worden steeds groter. De impact van malware als WannaCry en het verstrekkende UEFI-virus Lojax zet managers aan het denken. “Stel dat onze organisatie wordt getroffen door zo’n virus, wat betekent dat dan voor ons? Hoe kunnen wij ons beter beveiligen?”

Dit komt duidelijk tot uiting in de groei van de markt voor IT-beveiligingsproducten en -diensten in het zakelijke klantensegment (B2B). De markt voor IT-beveiligingsdiensten groeit komend jaar naar verwachting met bijna 23 procent. In 2020 neemt volgens het Duitse onderzoek het huidige volume met meer dan 15 procent toe van ruim 5,7 miljard euro tot bijna 6,6 miljard euro.

De uitgaven voor IT-beveiligingsdiensten zullen nog sterker stijgen, met bijna 23 procent, van ruim 3,1 miljard euro naar ruim 3,8 miljard euro.

IT-beveiligingsmanagers kampten tot dusver heel vaak met het dillemma hoe ze investeringen in beveiliging moesten verantwoorden tegenover de Chief Financial Officer (CFO), aan wie zij vaak ondergeschikt zijn. Tegenwoordig kunnen zij wel rekenen op steun en budget.

De winstgevendheid van IT-beveiligingsmaatregelen is niet zo gemakkelijk te bewijzen als die van andere technologische investeringen. Maar de dreigende AVG-boetes en het dagelijkse nieuws over datalekken, cybercriminaliteit en de gevolgen daarvan hebben veel CFO’s en commerciële directeuren er nu van overtuigd dat er voldoende middelen beschikbaar moeten worden gesteld om de organisatie te beschermen.

Er is behoefte aan deskundig personeel dat er voor zorgt dat de technische en organisatorische maatregelen die de organisatie vanwege de Algemene Verordening Gegevensbescherming en de cyberrisico’s heeft genomen ook dagelijks gemanaged worden. Er zijn specialisten nodig die actueel veiligheidsbeleid ontwikkelen en de organisatie alert houden. Er duiken dagelijks nieuwe bedreigingen op.

Meer actueel awareness nieuws

Regelmatig veranderen van wachtwoord levert meer risico dan voordeel op. Maar wat helpt dan wel?

In veel organisaties is het verplicht om regelmatig wachtwoorden te wijzigen.

Sommige ICT-afdelingen laten medewerkers om de 60 of 90 dagen een nieuw wachtwoord bedenken.

In het kader van de AVG lijkt dat logisch, maar uit onderzoek blijkt dat de nieuwe wachtwoorden wellicht juist voor meer risico zorgen.

Elke 60 of 90 dagen wachtwoord veranderen?

Elke 60 of 90 dagen knippert er na het inloggen een vriendelijk, doch dringend en irritant verzoek op het beeldscherm. Je moet het wachtwoord veranderen.

Bij veel mensen zorgt dat voor stress. Ze worden gek van alle wachtwoorden en pincodes die ze voor tal van dingen moeten onthouden.

Een wachtwoord wijzigen betekent bovendien vaak dat de instellingen op diverse apparaten tegelijkertijd moeten worden aangepast.

Stress! Zelfde wachtwoord op meerdere apparaten

Als het bijvoorbeeld om het wachtwoord voor je mailbox gaat moet dat niet alleen worden gewijzigd op de computer op de zaak, maar ook op je mobiele telefoon, je tablet, in Outlook thuis, in Microsoft-teams en andere gerelateerde toepassingen.

Als je al de gewijzigde gegevens niet tijdig op alle apparaten invoert komt het volgende stressmoment… Omdat de vergeten tablet op de achtergrond telkens met het oude, nu onjuiste wachtwoord, inlogt blokkeert de mailbox automatisch.

De eigenaar heeft niet in de gaten waarom. Staat er niet bij stil dat hij de tablet vergeten is.

Enige oplossing: weer een nieuw wachtwoord bedenken. Het hele circus begint opnieuw.

Het resultaat: geen veiligheidswinst

Verschillende wetenschappelijkers hebben onderzocht of de gedwongen reguliere wachtwoordwijzigingen bij bedrijven, overheden of universiteiten echt voordelen hebben.

In 2010 analyseerde de Universiteit van North Carolina in Chapel Hill de gegevens van meer dan 10.000 studenten en medewerkers die hun wachtwoorden regelmatig moesten wijzigen. Het resultaat: geen veiligheidswinst.

De meeste studenten en medewerkers veranderden hun wachtwoorden door na elke wijziging getallen toe te voegen en deze te verhogen of een kwartaal-ID toe te voegen.

Dat heeft weinig zin als het om veiligheid gaat.

Complex wiskundig onderzoeksmodel 

Informaticawetenschappers aan de Carleton University in Ottawa, Canada, hebben een complex wiskundig model ontwikkeld voor het kwantificeren van de winst op het gebied van beveiliging door middel van regelmatige wachtwoordwijzigingen.

Uitkomst: de voordelen zijn relatief en rechtvaardigen de extra inspanning niet.

Sterker nog, de wachtwoordwijzigingen zouden hackers zelfs kunnen helpen bij het ontwikkelen van algoritmen die het hacken van wachtwoorden van buitenaf gemakkelijker maken.

Het is zelfs mogelijk aan de hand van gestolen wachtwoorden toekomstige nieuwe wachtwoorden te voorspellen.

En in dat geval is het wijzigen van wachtwoorden absurd.

Datalekken en hackers

Wie de vele meldingen van datalekken de afgelopen tijd heeft gevolgd zal het zijn opgevallen dat de meeste grote hackeraanvallen niet gericht zijn op gewone bedrijven en persoonlijke accounts, maar op dienstverleners met miljoenen klantenaccounts, zoals Linkedin, Myspace, Adobe, Ebay, Yahoo en anderen.

Bedrijven die slordig een back-up van hun databases hadden gemaakt.

Alle studies bevestigen dat de dwang om wachtwoorden te veranderen regelmatig leidt tot een vermindering van de kwaliteit van het wachtwoord, omdat men op de hoogte is van de vergankelijkheid ervan.

Gebruik jij een moeilijk te onthouden wachtwoord?

Mensen bedenken geen slim ingewikkeld wachtwoord, maar een wachtwoord dat gemakkelijk onthouden kan worden.

Veel gebruikers kiezen wel een wachtwoord dat voldoet aan de eisen qua lengte en moeilijkheid, maar doen dat zo dat het voor hackers eenvoudig te kraken is.

Je herkent het vast zelf ook wel… Triviale wachtwoorden zoals “Ghjk098#” als een reeks letters op de middelste rij van het toetsenbord gevolgd door cijfers in omgekeerde volgorde.

Vergeet je niet zo snel. Makkelijk te visualiseren.

Cybercriminelen gebruiken intelligente hacktools

Hackers weten dat. Dit zijn de eerste combinaties die door de hacksotfware van cybercriminelen worden geprobeerd.

Zelfs het gegeven advies om zoveel mogelijk getallen, hashtags en andere speciale tekens te combineren is niet bestand tegen de slimme software die hackers gebruiken.

Uit wiskundig onderzoek blijkt dat een goed wachtwoord zeker geen namen, woorden of woordfragmenten mag bevatten.

Maar wat helpt dan wel? Wachtwoordmanagers!

Heel simpel. Maak gebruik van wachtwoordmanagers als LastPass of 1Password.

Bedenk voor deze passwordtools een wachtwoordzin met cijfers of speciale tekens.

En die zin moet minimaal 10 tekens bevatten. Meer lengte is altijd beter dan meer cijfers en speciale tekens.

Zelfs de snelste computers met de meest geavanceerde hacksoftware hebben jaren nodig om de code met meer dan 10 tekens te kraken.

Vervolgens maak je met de wachtwoordtool moeilijke veilige wachtwoorden die je zelf niet hoeft te onthouden. Die je niet in notitieblokken of “strategisch” in onder je contacten op je telefoon moet opslaan om ze te kunnen terugvinden.

Nieuw wachtwoord voor iedere toepassing

Laat de wachtwoordmanager gewoon voor iedere toepassing waar een wachtwoord voor nodig is automatisch een cryptisch wachtwoord van meer dan 10 tekens genereren.

Dat hoef je dan zelf niet meer te onthouden. En als er ooit een database wordt gehackt hoef je alleen dat ene wachtwoord voor die toepassing te wijzigen.

2FA met bijvoorbeeld Google Authenticator

En pas ten slotte zo veel mogelijk two-factor authenticatie toe. Gebruik Google Authenticator ook wel bekend als 2FA.

Zelfs als je wachtwoord wordt gekraakt kan de cybercrimineel dan nog niets beginnen. En jij krijgt op je telefoon meteen een waarschuwing dat iemand probeert digitaal in te breken bij jou.

Dat is beter dan het voortdurend wijzigen van wachtwoorden.

Meer actueel awareness nieuws

Deze tools helpen controleren en evalueren of je ICT-omgeving echt voldoet aan de AVG

De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat organisaties de effectiviteit van beveiligingsmaatregelen regelmatig moeten controleren en evalueren.

Hoe staat het met de beveiliging van de ICT in jouw organisatie?

Veel mensen denken dat het wel goed zit, maar helemaal zeker weten ze het niet.

Waar moet je nou precies op letten? Hoe controleer je eigenlijk of het wel goed zit?

Je zou natuurlijk een ethical hacker kunnen inhuren die je bedrijf doorlicht. Maar er zijn ook diverse tools die kunnen helpen.

ICT-beveiliging vaak niet op orde

Uit onderzoek blijkt dat de ICT-beveiliging bij veel organisaties niet op orde is.

De AVG verplicht bedrijven ervoor zorgen dat beveiligingsmaatregelen hypermodern zijn. Het is verplicht om ze regelmatig te actualiseren.

De AVG verplicht ook uitdrukkelijk dat er procedures worden vastgesteld waarmee de doeltreffendheid van de maatregelen regelmatig wordt getoetst en geëvalueerd (artikel 32 van het AVG).

Organisatorische maatregelen in verwerkingsregister vastleggen

De organisatorische maatregelen moeten worden vastgelegd in het verwerkingsregister. Bij een controle moet uit dit register blijken wanneer de organisatie welke maatregelen heeft gecontroleerd en geevalueerd. Dat kan bijvoorbeeld worden onderbouwd met checklists die regelmatig worden nagelopen.

Maar checklists zijn niet altijd afdoende. Om echt zeker te weten of de technische systemen waterdicht zijn is het eigenlijk ook noodzakelijk om technische hulpmiddelen in te zetten. Tools die de ICT-systemen op de proef stellen.

Gegevensverwerkingsprocedures testen

Als een bedrijf bijvoorbeeld de mate van versleuteling van persoonsgegevens wil controleren, zijn speciale hulpmiddelen nuttig om de effectiviteit van versleuteling in de individuele gegevensverwerkingsprocedures te testen.

Met behulp van sommige tools kan een overzicht worden gegenereerd of en in hoeverre de gegevens voor de verschillende gegevensverwerkingslocaties versleuteld zijn.

SSL Server Test

Een tool die de versleuteling van webservers controleert is bijvoorbeels Qualys’ SSL check (SSL Server Test). Deze tool controleert niet alleen of encryptie wordt gebruikt, maar ook hoe sterk de encryptie is.

Bij de toetsing van het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de bij de verwerking betrokken systemen en diensten op de lange termijn, speelt het een rol of er beveiligingslacunes zijn die juist deze punten in gevaar brengen.

Beveiligingslacunes kunnen worden gedetecteerd door scansoftware. Er zijn diverse oplossingen op de markt:

Er is dus geen excuus voor bedrijven als kwetsbaarheden heel laat of helemaal niet zijn ontdekt. Bedrijven die hun ICT-systemen niet regelmatig professioneel (laten) lopen risico. Bij hen bestaat het gevaar dat datadieven of de toezichthouder de kwetsbaarheden wel zullen vinden. Met alle nadelige gevolgen van dien.

Hulpmiddelen die regelmatig en automatisch zwakke punten scannen helpen risico’s tijdig te onderkennen.

Meer actueel awareness nieuws