AVG Awareness, Privacy Nieuws
Op Twitter heb ik al enige tijd een interessante ‘discussie’ met de Nederlandse privacydeskundige Jeroen Terstegge van PM Partners over het koppelen van de AVG op deze site aan een bericht over de CEO Fraude bij de bioscoopketen Pathé. “Dit heeft echt niets met de #AVG te maken. Niet elk securityprobleem is een AVG-probleem”, twitterde Terstegge. Ik was stomverbaasd.
Terstegge reageerde op 11 november 2018 op de volgende tweet van mij:
CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid goo.gl/FrMcMU #AVG #GDPR #Privacywet
Tsja, dan begin je als privacymanager toch aan jezelf te twijfelen. En wat te denken van iedereen die sowieso al twijfelt over de AVG? CEO fraude heeft volgens een van de meest vooraanstaande privacydeskundigen van Nederland dus niets te maken met de Algemene Verordening Gegevensbescherming (AVG)?
Veel mensen zijn geneigd om op Twitter meteen impulsief te reageren. Ik besloot dat niet te doen. Ik besloot om na te denken over de tweet van Terstegge die ik net als veel collega’s hoog heb zitten. En niet voor niets.
Lees zijn bio op de site van PM Partners maar:
Jeroen Terstegge is een van Nederlands meest vooraanstaande privacy juristen. Hij heeft ruim 25 jaar ervaring op privacy gebied en was als Privacy Officer van Philips een van de geestelijk vaders van de Binding Corporate Rules (BCRs). Jeroen’s stijl kenmerkt zich door het grotere plaatje te zien zonder de details uit het oog te verliezen en complexiteit terug te brengen tot de essentie. Jeroen is vertrouwd met privacyvraagstukken in multinationale omgevingen, privacy impact assessments, wet- en regelgeving en stakeholdermanagement in sectoren zoals e-commerce, energie, finance, ICT en HRM.
Waarom heeft CEO fraude niets te maken met de AVG?
Ik begrijp de tweet niet. De AVG verplicht organisaties toch om medewerkers te trainen hoe ze cyberrisico’s kunnen herkennen? De Autoriteit Persoonsgegevens (AP) hamert voortdurend op security awareness.
Twee topmanagers van Pathé worden door gewiekste cybercriminelen via social engineering misleid en bezorgen hun werkgever daardoor een miljoenenstrop.
CEO-fraude.
Social engineering.
Die woorden komen toch echt aan bod bij iedere security awareness training.
Ik besluit op 22 november 2018 Jeroen Terstegge via Twitter om uitleg te vragen.
Hallo Jeroen, ik reageer laat. Bewust. Heb nagedacht over jouw reactie. Was verbaasd. Waarom hier geen AVG? Dit was social engineering cybercrime. Hoort toch bij awareness training?
Jeroen Terstegge antwoordt meteen:
Social engineering is alleen een AVG-probleem als de directeuren in kwestie persoonsgegevens hebben vrijgegeven. In casu is ze geld afhandig gemaakt. Kortom, geen AVG-, wel security-issue. Er is overlap tussen privacy en security, maar die twee zijn niet hetzelfde.
Terstegge is een jurist, besef ik. Juristen denken anders. Ze kunnen hele wetteksten oprafelen.
Associeren daardoor ook meteen juridisch. Dat zou als volgt kunnen gaan:
- Twee topmanagers zijn de mist ingegaan door CEO-fraude. Er zijn miljoenen Euro’s verloren gegaan, maar er zijn geen persoonsgegevens verloren gegaan.
- AVG = persoonsgegevens…
- Geen persoonsgegevens betekent geen zaak voor de Autoriteit Persoonsgegevens (AP).
Als je het Pathéverhaal op die manier juridisch analyseert heeft Terstegge gelijk.
Maar wat hij vergeet is dat de Autoriteit Persoonsgegevens er voortdurend op hamert dat de AVG meer is dan een wet. Meer dan een juridisch instrument.
De AVG moet iedereen ook bewust maken van alle cyberrisico’s die we tegenwoordig lopen. Organisaties moeten aantonen dat ze een goed privacybeleid hebben ontwikkeld. En dat ze dat beleid ook in de praktijk ook uitvoeren.
Wat dat betreft heeft Pathé wel degelijk een AVG-probleem. Hebben de managers die de fout in gingen wel een security awareness training gehad? Een van hen beweerde van niet.
Op 24 november 2018 besloot ik nogmaals te reageren richting Jeroen Terstegge. Het komt zelden voor dat een tweet me zo lang triggert.
Ik denk dat je het artikel niet helemaal hebt gelezen. Pas op het eind wordt een verband gelegd met de AVG, maar dan alleen in verband met de verplichte security awareness trainingen. Wat dat betreft is er natuurlijk wel een link naar de AVG. Maar inderdaad niet qua boetes of AP.
Opnieuw antwoordt Terstegge snel. En opnieuw verbaast het antwoord me:
Het ging mij eigenlijk meer om die hashtags. Die slaan nergens op in dit verband.
Jeroen is een topjurist. Ik ben behalve privacymanager ook NextMarketeer. En ik kan daarom heel goed onderbouwen dat Terstegge met dit antwoord de plank volledig misslaat.
De AVG wordt door het grote publiek automatisch geassocieerd met cybercrime. CEO-fraude en social engineering vallen onder cybercrime.
Mensen die op internet naar informatie over cybercrime zoeken maken ook gebruik van de hashtag #AVG.
Als je als privacyspecialist online gevonden wilt worden zul je dezelfde woorden moeten gebruiken als je doelgroep. En dan helpt het ook als marketeers merken dat je hun vak begrijpt.
Qua marketing is het gebruik van de hashtag #AVG dus wel degelijk relevant.
En wat mij betreft zeer zeker ook in relatie tot security awareness. En dat valt toch echt onder de AVG.
Maar dat is mijn bescheiden mening.
No hard feelings, Jeroen.
Wat vind jij? Heeft Jeroen Terstegge gelijk? Moet je CEO-fraude en social engineering niet aan de AVG koppelen? We zijn benieuwd naar jouw reactie.
Privacy Nieuws
Hacken is kinderspel. Een fluitje van een cent. Iedereen kan het. Zelfs mensen zonder ICT-opleiding. Zelfs huismoeders die om financiele redenen besluiten cybercrimineel te worden. Toch onderschatten veel mensen de risico’s.
Dat blijkt uit onderzoek van de Oostenrijkse Donau-universiteit Krems. De onderzoekers analyseerden alle rechtbankdossiers van het Strafhof Wenen van strafzaken die te maken hadden cybercriminaliteit in de periode van 2006 tot 2016.
“Meer dan 60 procent van de strafbare feiten die onder “cybercriminaliteit” betreffen identiteitsdiefstal”, vertelde Edith Huber van de Donau-universiteit tijdens een discussie tijdens de Berlijnse wetenschapsweek. Het betreft volgens haar vaak kleine criminelen die grote schade kunnen aanrichten.
De onderzoekers hebben drie daderprofielen geïdentificeerd:
- Meer dan 50 procent en daarmee de grootste groep aanvallers heeft geen ICT-opleiding.
- De tweede groep is beter opgeleid en gesitueerd en handelt vaak uit persoonlijke motivatie om het bedrijf terug te betalen.
- De derde, iets kleinere groep betreft vrouwen die voornamelijk om financiële redenen cybercrimineel worden.
En dan zijn er daarnaast nog de ‘professionele’ cybercriminelen die met financiele ondersteuning van landen als China, Iran, Noord-Korea en Rusland proberen in te breken in bedrijfsnetwerken.
91 hackergroepen die in opdracht van overheden werken
Volgens een analyse van Cambridge Analytics zijn 91 hackergroepen bekend die in opdracht van overheden – uiteraard nooit officieel – systemen hacken. Hun belangrijkste doelwitten zijn spionage of het manipuleren van informatie. Op internationaal niveau wordt de hackergroep “APT 28” (“Cozy Bear”) beschouwd als de meest actieve op dit gebied.
Thomas Stubbings van het Cyber Security Platform Oostenrijk denkt dat het een illusie is om te denken dat organisaties zich met alleen technische maatregelen kunnen beschermen tegen cybercriminaliteit.
Absolute ICT-beveiliging bestaat niet
“Absolute ICT-beveiliging bestaat niet”, zegt Stubbings. “Het creëren van veilige ICT-systemen om kritieke infrastructuur te beschermen is misschien een nobel doel, maar het is een ontoereikende aanpak.”
Er is volgens Stubbings behoefte aan een paradigmaverschuiving van pure preventie naar een snelle reactie op cyberaanvallen.
Preventieve inzet van professionele ethical hackers
Volgens de deskundigen is een nieuwe strategie nodig. “We moeten het spel van onze aanvallers spelen”, legt Stubbings uit. Aan de ene kant betekent dit investeren in systemen die aanvallen en risico’s onmiddellijk kunnen identificeren en niet alleen wanneer het te laat is. Stubbings ziet de inzet van ethical hackers die proberen de eigen ICT-systemen te kraken als een belangrijke preventieve maatregel.
Moet alles echt aan het netwerk gekoppeld worden?
Een van de belangrijkste problemen om de IT-beveiliging te waarborgen is de enorme complexiteit van de systemen. Dit is precies waar Lutz Prechelt van de Freie Universität Berlin zou beginnen. “Men kan er in ieder geval van uitgaan dat er geen 100 procent IT-beveiliging is. Dit roept de vraag op naar de organisatie van de systemen: Moet alles wat genetwerkt is echt genetwerkt worden?”
Privacy Awareness trainingen van groot belang
Alle wetenschappers zijn het over één ding eens. Wie zich wapenen wil tegen cybercriminaliteit moet beginnen met het plannen van regelmatige privacy awareness trainingen voor medewerkers. Het is het beste om te beginnen met het vergroten van het bewustzijn van IT-risico’s.
Digitale ‘Fukushima’ ramp
De onderzoekers zijn bang dat er eerst een digitale ‘Fukushima’ ramp moet komen voor dat dat doordringt bij organisaties en bedrijven. De enorme risico’s die we als moderne ICT-afhankelijke samenleving lopen worden onderschat. Ook omdat veel mensen het technische jargon van ICT-ers en hackers niet begrijpen. ICT-ers spreken een eigen taal en dat ook nog eens in het Engels.
“Ga een keer de straat op en vraag het iemand: Heb je ooit een phishing-aanval gehad?”
De Berlijnse wetenschapsweek is een internationaal evenement waarbij wetenschappers hun onderwerpen aan het publiek presenteren in ongeveer 100 evenementen van 1 tot 10 november. Veel van deze discussies kunnen via een livestream gevolgd worden.
INFO: http://berlinscienceweek.com
Privacy Nieuws
37 procent van de ransomware-aanvallen is gericht op de zorgsector, meldt de cybersecurity verzekeringsmaatschappij Beazley Breach Response (BBR). De hoogste losgeldeis bedroeg maar liefst 2,8 miljoen dollar.
De extreem hoge losgeld eisen zijn volgens BBR gelukkig nog zeldzaam. De gemiddelde eis van cybercriminelen ligt momenteel rond de 10.000 dollar. Dit is beduidend hoger dan het gemiddelde van 1000 dollar dat in oktober 2016 werd gerapporteerd in de Breach Insights.
Volgens BBR is het aantal ransomware meldingen in september bijna verdubbeld ten opzichte van augustus.
In de eerste drie kwartalen van 2018 was 71% van de ransomware-incidenten die door BBR Services werden afgehandeld, bestemd voor het midden- en kleinbedrijf.
Er is volgens BBR momenteel ook een enorme groei van ransomaanvallen in de financiele en administratieve sector zichtbaar.
Een aantal ransomware-aanvallen in het derde kwartaal werden in verband gebracht met de campagnes van Ryuk en BitPaymer.
Er wordt veel BitPaymer ransomware gedetecteerd op netwerken die ook geïnfecteerd waren met banktrojans. Deze computer virussen worden gebruikt om gegevens te stelen van online platforms van banken.
BitPaymer ransomware besmette Schotse ziekenhuizen, verlamde de infrastructuur van een kleine stad in Alaska en sloot computers bij de Professional Golfers’ Association of America.
Ryuk, een variant van Hermes ransomware die werkt via speer phishing, besmette gezondheidszorgorganisaties in Canada en een watervoorziening in North Carolina.
Zo’n 71 procent van de ransomware-aanvallen was gericht op kleine en middelgrote bedrijven, wat aantoont hoe belangrijk het is voor alle bedrijven, ongeacht hun omvang, om meerdere, bijgewerkte back-ups bij te houden en serieus te investeren in IT.
De speer phishing aanvallen maken duidelijk hoe belangrijk het is om medewerkers te trainen in cybersecurity in een kantooromgeving.
AVG Awareness, Privacy Nieuws
Het is een rampscenario voor ieder bedrijf. Cybercriminelen leggen met malware – een virus waarmee afpersers losgeld afdwingen – het hele computernetwerk plat. De hele productie valt stil. Niemand kan nog inloggen. Geen omzet meer. Wat nu? Betalen?
In dit artikel leggen we aan de hand van een actueel praktijkvoorbeeld uit dat het niet verstandig is te betalen.
Grotere bedrijven hebben meestal nog wel financiele middelen en gekwalificeerde mensen om de ransomware te verwijderen en het probleem zelf op te lossen. Vaak hebben zij een goed backupsysteem. Zij kunnen omzetverlies nog opvangen. Zij kunnen het zich veroorloven om aangifte te doen bij justitie.
Ransomaanval kan katostrofaal zijn voor kleinere bedrijven
Maar dat ligt anders bij veel kleine en middelgrote bedrijven. Daar kan een ransomaanval katastrofaal uitpakken. Het voortbestaan van het bedrijf staat op het spel.
Juist veel van deze kleinere bedrijven denken dat het risico dat zij worden aangevallen door cybercriminelen wel meevalt. Je leest immers ook vrijwel alleen over grote datalekken bij grote organisaties.
Verplichtingen Algemene Verordening Gegevensbescherming niet op orde
Het zijn dezelfde bedrijven die nog nauwelijks aandacht hebben besteed aan de verplichtingen die de Algemene Verordening Gegevensbescherming (AVG) hen oplegt. Ze denken dat de Autoriteit Persoonsgegevens (AP) wegens personeelsgebrek zich voorlopig alleen op grote bedrijven richt.
Noord-Koreaanse cybercriminelen opereren als hyena’s
Kortom: juist deze bedrijven zijn kwetsbaar. Ooit een natuurfilm gezien waarbij een horde hyena’s jacht maakt op een zwakke gnoe in een kudde? Die beesten jagen bewust op een kwetsbare prooi. Kost minder energie. De kans op succes is groot.
Dezelfde strategie passen Noord-Koreaanse cybercriminelen momenteel toe. De arme communistische staat zit krap bij kas en heeft cybercrime omarmd als lucratief en eenvoudig verdienmodel. De Noord-Koreaanse staatshackers richten zich met hun malware opvallend vaak bij voorkeur op kleine en middelgrote bedrijven.
‘Relatief’ lage losgeld eisen
En er is nog iets wat opvalt. De Noord-Koreanen eisen opvallend vaak relatief weinig losgeld dat betaald moet worden in Bitcoin. Bedrijven zijn dan geneigd om sneller te betalen om van de ellende af te zijn. Om wanhopig het bedrijf te redden.
De Duitse geheime dienst (Verfassungsschutz) en de Duitse landelijke recherche (Landes Kriminal Ambt – LKA) doen sinds woensdag 31 oktober 2018 onderzoek naar een Noord-Koreaanse aanval op een middelgroot bouwbedrijf in Kaiserslautern.
Woensdag ontdekten ICT-medewerkers van het bouwbedrijf IGR AG een lek in het beveiligingssysteem. Er verscheen een blauwe chantagebrief op de computerschermen.
De Noord-Koreaanse hackers hadden de volledige controle over de computers van IGR AG (ongeveer 100 werknemers) overgenomen.
Betrokken bij bouw militaire vliegvelden
In het bedrijf, dat onder andere betrokken is bij de planning en de bouw van de NATO vliegvelden Ramstein, Bitburg en Hahn, functioneerde niets meer.
20 Bitcoin losgeld
De cybercriminelen boden aan om voor ‘slechts’ 20 Bitcoin losgeld de blokkade van het computersysteem op te heffen. Omgerekend in Euro gaat het dan tegen de huidige Bitcoinkoers om ongeveer 111.250 Euro.
IGR AG was echter niet van plan om zich digitaal te laten chanteren. Het bedrijf besloot aangifte te doen.
Duitse geheime dienst
“De gegevens van het bedrijf werden geblokkeerd door een Trojaans computervirus”, vertelt openbaar aanklager Udo Gehring uit Kaiserslautern. De ICT-specialisten van IGR en onderzoekers van de Duitse geheime dienst gaan er van uit dat er Noord-Koreaanse hackers achter de aanval zitten.
De pakkans van de Noord-Koreaanse daders is vrijwel nihil. Het heeft mede om die reden voor ondernemers nauwelijks zin om aangifte te doen. En uit angst voor hoge boetes die de Autoriteit Persoonsgegevens (AP) vanwege de Algemene Verordening Gegevensbescherming (AVG) kan opleggen als blijkt dat een bedrijf niet voldoet aan de wet, besluiten veel bedrijven daarom maar het losgeld te betalen.
Ideaal scenario Noord-Korea
Dat weten de Noord-Koreanen maar al te goed. Een ideaal scenario voor de arme Noord-Koreaanse staat. Een rampscenario voor bedrijven.
IGR deed het enige juiste. Het bedrijf deed aangifte en besloot niet te betalen. De ICT afdeling heeft de grootste problemen die de ransomware heeft aangericht inmiddels opgelost. Er kan weer gewerkt worden.
Krijgt ICG nu nog een boete van de Duitse Autoriteit Persoonsgegevens?
De vraag is nu wat de Duitse Autoriteit Persoonsgegevens gaat doen. Moet IGC een boete betalen? Als het bedrijf volgens de regels van de Algemene Verordening Gegevensbescherming werkt is die kans klein. Geen systeem is waterdicht. Je wordt niet bestraft als je kunt aantonen dat je vooraf technische en organisatorische maatregelen hebt genomen.
Vrijwel ieder bedrijf denkt bij de AVG aan bureaucratische administratieve rompslomp. Vaak uit onwetendheid. De procedures vallen achteraf meestal wel mee. En ze zijn er niet voor niets. Een bedrijf belandt pas echt in een rampscenario als het gechanteerd wordt via ransomware en de AVG verplichtingen niet op orde heeft. Juist dan ben je vanwege de potentiele hoge boetes van de Autoriteit Persoonsgegevens echt chantabel.
Voorkom het malware risico
Voorkom het malware risico. PrivacyZone kan helpen. Bel: +06-31995740 of mail naar info@privacyzone.nl.
Privacy Nieuws
KnowBe4 heeft de top 10 van phishing e-mail onderwerpregels bekend gemaakt waar in het derde kwartaal van 2018 het meest op is geklikt. KnowBe4 is een Amerikaans bedrijf dat wereldwijd privacy awareness trainingen verzorgt en trainingstools aanbiedt.
Een van de tools die KnowBe4 aanbiedt is een phishingtest waarbij bedrijven een fake phishingmail naar hun medewerkers kunnen laten sturen. Zo kunnen ze in de praktijk testen of medewerkers iets hebben opgestoken van een AVG privacy awareness training.
Social engineering
Cybercriminelen maken gebruik van social engineering. Ze passen psychologische manipulatieve trucs toe om hun slachtoffers in een phishingval te laten trappen.
Volgens Kwow2Be spelen cybercriminelen de laatste tijd bij phishingmail overduidelijk in op de angst bij gebruikers om gehackt te worden. Mensen zijn sneller geneigd te reageren op een oproep om een wachtwoord te wijzigen.
Nieuwsgierigheid is een risico
Daarnaast wordt ook ingespeeld op nieuwsgierigheid naar een nieuwe voicemail of online bestelling.
“Cybercriminelen profiteren van de wens van een individu om bewust of goed geïnformeerd te blijven op het gebied van veiligheid door met zijn psyche te spelen”, zegt Perry Carpenter, Chief Evangelist en strategisch medewerker bij KnowBe4.
“Ze doen dit door iemand te laten geloven dat hij of zij risico’s loopt of dat iets onmiddellijk aandacht nodig heeft. Dit type aanval is effectief omdat het ervoor zorgt dat een persoon snel reageert voordat hij of zij logischerwijs nadenkt over de legitimiteit van de e-mail. Het wordt steeds moeilijker om het voortdurende probleem van social engineering te overwinnen, omdat aanvallers menselijke emoties zoals angst en nieuwsgierigheid opwekken.”
Gesimuleerde phishingtests
In het derde kwartaal van 2018 onderzocht KnowBe4 tienduizenden e-mailonderwerpen uit gesimuleerde phishingtests om uit te vinden wat een gebruiker erop doet klikken.
Het bedrijf heeft ook onderzoek gedaan naar de werkelijke onderwerpregels die aantonen dat de e-mails die gebruikers ontvangen en aan hun IT-afdelingen melden verdacht zijn.
Top 10 meest geklikte phishing e-mail onderwerp regels wereldwijd voor Q3 2018:
- Controleer uw wachtwoord – 34%.
- Je hebt een spraakbericht – 13%
- Uw bestelling is onderweg – 11%.
- Wijzig uw wachtwoord onmiddellijk – 9%.
- Deactivering van uw e-mailbox – 8%.
- UPS-levering 1ZBE312TNY00015011 – 6% – UPS-levering
- Herziene reis- en ziekterichtlijnen – 6%.
- U heeft een document ontvangen om te ondertekenen – 5%.
- Spam hint: 1 nieuw bericht – 4%
- {Actie vereist} – Mogelijke schending van de Gebruiksvoorwaarden 4%.
Onderstaande E-mailonderwerpen zijn een combinatie van gesimuleerde phishingberichten die door KnowBe4 voor klanten zijn gemaakt.
- U heeft een nieuw versleuteld bericht
- IT: Synchronisatiefout – geretourneerde berichten
- HR: Contactgegevens
- FedEx: We hebben u gemist.
- Microsoft: Meerdere aanmeldingspogingen
- IT: Belangrijk – Nieuwe server back-up
- Wells Fargo: Onregelmatige activiteiten op uw creditcard rekening
- LinkedIN: Uw account is in gevaar!
- Microsoft/Office 365: {herinnering}: Uw gecodeerd bericht
- Coinbase: uw Crypto Valuta portemonnee: het veranderen van Two-Factor Authenticatie
Tijd voor professioneel privacybeleid?
PrivacyZone is gespecialiseerd in privacymanagement en privacymarketing. Wij ondersteunen bij DPIA’s, algemene voorwaarden, verwerkersovereenkomsten, privacy- en cookiebeleid, actieplannen en praktijkgerichte awareness trainingen. Meer weten? Neem contact met ons op via info@privacyzone.nl of bel 06-31995740.