Chinese cyberspionnen vormen een risico voor kleine en grote ondernemingen

Het ministerie van Binnenlandse Zaken van de Duitse deelstaat Baden-Württemberg is sinds 2012 op de hoogte van 8 gevallen van industriële spionage uit China. Dat blijkt uit het antwoord op vragen van de Duitse liberale partij FDP.

De Duitse Autoriteit Persoonsgegevens –
het Federaal Bureau voor Informatiebeveiliging (BSI) neemt het rapport zeer serieus.

Hoewel de cijfers laag lijken, heeft de ervaring geleerd dat er waarschijnlijk veel vaker sprake is van industriële spionage vanuit China dan gemeld wordt.

“Beveiligingsincidenten in de IT-omgeving worden vaak niet gemeld door bedrijven, bijvoorbeeld uit angst voor reputatieschade,” aldus de overheid in Baden-Württemberg.

De Chinese bedrijfsspionnen richten zich niet alleen op middelgrote ondernemingen.

Eén van de spionagezaken die ontdekt is betreft een “cyberaanval op een voertuigfabrikant uit Stuttgart”.

In Stuttgart bevindt zich het hoofdkantoor van Mercedes-Benz.

Zes cyberspionagezaken in de Duitse deelstaat zijn nog in onderzoek. De advocaat-generaal heeft in vier van deze zaken een procedure ingeleid.

Spyware per e-mail

De Chinese cyberspionnen maken gebruik van social engineering om binnen te komen. De “menselijke factor” is nog steeds het grootste zwakke punt. Dit geldt zowel voor geïnfiltreerde medewerkers als voor bezoekers die bijvoorbeeld een demonstratie van de productiefaciliteiten krijgen.

De e-mails of berichten in sociale netwerken zijn zo ontworpen dat er interesse wordt gewekt en spyware via direct contact kan worden binnengesmokkeld.

In sociale netwerken zouden ook profielen worden gecreëerd om contact te leggen met westerse tegenhangers.

De FDP riep de federale regering van Baden-Württemberg op om de mogelijke effecten van industriele spionage door Chineze te verduidelijken.

Meer actueel awareness nieuws

Google verzweeg datalek in Google Plus. Overeenkomst met Facebook Cambridge Analytica schandaal

Google is sinds maart 2018 op de hoogte van een groot datalek in Google Plus, meldt The Wall Street Journal. In plaats van hiervan melding te maken, werd de fout door Google bewust verzwegen, blijkt uit een intern memo.

Privédata van honderdduizenden gebruikers van het sociale netwerk Google Plus Google lagen door een lek in de software jarenlang voor het oprapen.

Curieus is dat toen Google het datalek ontdekte de hele wereld net in de ban was van het Cambridge Analytica schandaal van Facebook.

Google zou het datalek hebben verzwegen uit angst voor reputatieschade en onderzoek door toezichthouders, onthult The Wallstreet Journal op basis van anonieme bronnen en een intern memo.

Datalek Google Plus bestaat al sinds 2015

Het datalek zou afgelopen maart zijn ontdekt door Google en al sinds 2015 openstaan. Via het lek zou het mogelijk zijn geweest voor externe ontwikkelaars om privédata van honderdduizenden gebruikers te bemachtigen.

Het zou gaan om onder meer volledige namen, e-mailadressen, geboortedata, woonplaatsen en profielfoto’s. Telefoonnummers en privéberichten van het sociale netwerk zouden wel afgeschermd zijn geweest.

Google-ceo Sundar Pichai was op de hoogte

Na de ontdekking verscheen de bewuste interne memo volgens de krant op het bureau van Google-ceo Sundar Pichai. Daarin stond dat een interne commissie van juridische medewerkers had bepaald om het voorval niet te melden.

De reden zou zijn dat er geen bewijs was dat externe ontwikkelaars de gegevens ook daadwerkelijk zou hebben misbruikt.

Google Plus wordt stopgezet

Maandagavond 8 oktober maakte Google pas in een reactie bekend dat het stappen onderneemt. In een uitgebreide blogpost, wordt aangekondigd dat het consumentengedeelte van Google Plus zal worden stopgezet.

Timing van Google blogpost is opvallend

De timing van de blogpost van Google is opvallend. Exact 24 uur voordat Google tijdens een Made by Google-evenement veel nieuwe gadgets tentoonstelt en daarmee de nieuwssites overspoelt.

Google Nederland maakte dinsdagochtend bijvoorbeeld bekend de Google Home speakers in Nederland uit te brengen. Dit nieuws werd prompt door radiobulletins opgepikt. Over de hack van Google Plus werd niets vermeld.

Google Plus bestaat sinds 2011 en moest concurreren met Facebook. Het sociale netwerk is ondanks verschillende pogingen van Google qua gebruikersaantallen nooit van de grond gekomen.

Meer actueel awareness nieuws

Autoriteit Persoonsgegevens krijgt in 2017 dertig meldingen van datalekken per dag

In de eerste negen maanden van 2017 kreeg de Autoriteit Persoonsgegevens (AP) 7436 meldingen over datalekken. Een verdubbeling in vergelijking met dezelfde periode in 2016. De privacywaakhond denkt dat het aantal datalekken dat officieel gemeld wordt slechts het topje van de ijsberg betreft.

De Autoriteit Persoonsgegevens kreeg in 2017 zo’n dertig meldingen van datalekken per dag.

De meeste lekken treffen de sectoren gezondheid en welzijn, openbaar bestuur en financiële dienstverlening. De privacygegevens die gelekt worden betreffen vooral naam, adres, woonplaats, geslacht, geboortedatum en leeftijd.

Meestal gaat het mis wanneer iemand persoonsgegevens per ongeluk naar de verkeerde ontvanger stuurt.

Het aantal gemelde hacks is vrij laag. In 6 procent van de gevallen lekt informatie uit doordat iemand binnendringt in de computersystemen van een bedrijf of organisatie.

“Er zijn ook lekken die niet gemeld worden. Dat is veel ernstiger, maar we weten niet hoeveel dat er zijn. We gaan er meer aandacht aan besteden dat mensen echt moeten melden. Het kan niet zo zijn dat organisaties die een lek wel melden een zondebok worden en organisaties die het niet melden ermee wegkomen”, verklaarde de Autoriteit Persoonsgegevens na een bericht in  dagblad Trouw.

Uber-hack

De meldingen die AP krijgt, kunnen sterk in omvang verschillen. Zo kan een melding gaan over de uitgelekte gegevens van één persoon, maar ook over de Uber-hack waarbij gegevens van zeker 174.000 Nederlanders uitlekte.

De Autoriteit kan bij ernstige lekken een hoge boete opleggen, maar tot nu toe zijn er alleen waarschuwingen gegeven.

”Een boete is niet het doel, maar een middel. Als het wordt opgelost in het stadium van waarschuwingen, is er geen reden voor boetes”, zegt een woordvoerster.

Hoewel er een meldplicht voor datalekken bestaat, worden veel lekken toch onder de pet gehouden. Bedrijven vrezen voor reputatieschade wanneer bekend wordt dat zij mogelijk onveilig zijn omgegaan met de gegevens van klanten.

Dat gebeurde ook bij de grote Uber-hack, die eind 2016 al bekend was bij de top van het bedrijf maar bewust werd verzwegen.

Meer actueel awareness nieuws