Pieppiep. Er komt via Whatsapp een bericht binnen. Ik kan 5.000 Euro per dag verdienen met thuiswerk, meldt een onbekende afzender. Als ik meer wil weten moet ik op een link klikken. Het aanbod is verleidelijk.
Dat weet de onbekende afzender ook. Waarschijnlijk een cybercrimineel die via social engineering probeert om mij te bewegen op de link te klikken.
Het is al het tweede bericht binnen twee weken.
Ik ben uiteraard nieuwsgierig. Niet vanwege het aanbod, maar beroepsmatig. Hoe ziet de website waarmee de cybercrimineel mij in de val wil lokken er uit?
Ik klik niet. Uiteraard niet. Ik ken de risico’s.
Misschien activeer ik via de link een script dat een virus instaleert.
De dader zou ook kunnen proberen om via phishing mij inloggegevens te ontfutselen.
Ik krijg het bericht binnen op mijn iPhone. Die is goed beveiligd. Waarschijnlijk loop ik geen risico als ik toch even op de link klik. Zal ik het doen? Even kijken?
Nee. Want ook met een iPhone loop ik risico. Bovendien bevestig ik zodra ik op de link klik dat ik open sta voor gevaarlijke verleidingen. Dan kan ik nog meer spam verwachten.
Iedere Nederlander wordt geacht de wet te kennen. Toch zijn we juristen nodig die ons de strekking van de wet uitleggen.
Ieder bedrijf moet van de belastingdienst een zorgvuldige administratie bijhouden. Toch zijn we boekhouders en accountants nodig om er voor te zorgen dat we niet te veel of te weinig belasting betalen.
Iedere organisatie wordt geacht de Algemene Verordening Gegevensbescherming (AVG) na te leven en in kaart te brengen of de processen voldoen aan de eisen van deze Europese privacywet. Er moet een verwerkingsregister bijgehouden worden en er moeten (soms) assessments uitgevoerd worden. Het management is er verantwoordelijk voor dat dat zorgvuldig gebeurt. Maar moet de manager dat zelf doen?
PrivacyZone heeft de kennis en de tools om de organisatie te helpen bij het opstellen van privacybeleid, het uitvoeren van DPIA’s, het inrichten van processen, het opzetten van een verwerkingsregister en het geven van security awareness trainingen.
Goede trainingen, die aansluiten op de dagelijkse praktijk, zijn onmisbaar. Ons trainingsaanbod vormt een belangrijke schakel binnen onze dienstverlening. Niet alleen bij de ingebruikname van software en tools maar ook voor het op niveau houden van de kennis en de vaardigheden van medewerkers. PrivacyZone biedt uiteenlopende trainingen voor de verschillende verplichtingen die de AVG met zich mee brengt en de software waarmee de organisatie aan die verplichtingen kan voldoen.
“YOU’VE BEEN HACKED!”, rolt er plotseling uit je printer. Dat is schrikken. Het overkwam vorige week 50.000 mensen wereldwijd. Hun printer was echt gehacked. Door ethical hacker TheHackerGiraffe. Met een iets andere tekst.
TheHackerGiraffe liet de printer van zijn slachtoffers de opmerkelijke tekst “ATTENTION PewDiePie is in trouble and needs your help to defeat T-series”, afdrukken.
PewDiePie is een zeer populaire vlogger op YouTube. De af en toe controversiële PewDiePie strijdt momenteel met het YouTubekanaal T-series om de eerste plek op YouTube. T-Series, een kanaal van een Indiase muziekproducent, heeft PewDiePie in korte tijd van de eerste plaats verdrongen.
Op Twitter reageerden mensen die de opmerkelijke oproep om PewDiePie uit hun printer zagen rollen verward.
Bij security awareness trainingen wordt er wel vaak aandacht aan besteed dat printers beveiligd moeten worden met een wachtwoord.
Dat je moet voorkomen dat prints onbeheerd op de printer kunnen blijven liggen, waar ze door onbevoegden zouden kunnen worden gezien.
Dat je niet eenvoudig op de repeatknop moet kunnen drukken om de laatste print te herhalen.
En dat je er bij oude printers die worden afgedankt er aan moet denken dat je het geheugen van de printer wist.
TheHackerGiraffe maakt met zijn actie duidelijk dat iedereen die zijn printer aangesloten heeft op het internet de beveiliging moet na lopen. Zorg er voor dat de firmware van je printer up-to-date is.
Het is praktisch dat je vanaf iedere locatie met elk apparaat dat je gebruikt een printopdracht kunt geven, maar dat brengt wel risico’s met zich mee als je de printer niet op de juiste manier beveiligt. Of als je een onveilige printer gebruikt.
Volgens TheHackerGiraffe zijn er in totaal ongeveer 800.000 printers die eenvoudig gehacked kunnen worden.
Hij vond zijn slachtoffers op Shodan.io, een zoekmachine voor onbeveiligde, op het internet aangesloten apparaten.
TheHackerGiraffe verstuurde het bericht met behulp van een tool die bekend staat als PRET of Printer Exploitation Toolkit.
Volgens de GitHub-pagina voor de tool, staat PRET aanvallers toe om “leuke dingen te doen zoals het vastleggen of manipuleren van printopdrachten, toegang tot het bestandssysteem en het geheugen van de printer of zelfs fysieke schade aan het apparaat veroorzaken”.
Waarom verstuurde hij het opmerkelijke bericht over PewDiePie?
“Ik ben om te beginnen eerlijk gezegd een grote fan van kerkbanken, maar ik wilde een lichtvoetige boodschap versturen die me zou vermenselijken in plaats van alleen maar een grote enge ‘YOU’VE BEEN HACKED’ te drukken,” reageert TheHackerGiraffe. “Ik ben een grote fan van PewDiePie en dacht dat het hem een klein voordeel zou kunnen geven in zijn strijd om de nummer één op YouTube te blijven.”
SamSam ransomware vormt een steeds grotere bedreiging voor veel organisaties. Het betreft ingenieuze software waarmee cybercriminelen binnendringen in systemen en dan maandenlang stilletjes hun grote slag voorbereiden.
Tientallen Nederlandse bedrijven zijn volgens het cyberbeveiligingsbedrijf Fox-IT inmiddels getroffen door deze gijzelsoftware die sinds 2015 operatief is. Het aantal slachtoffers neemt de laatste tijd toe.
De SamSam ransomware is volgens Amerika ontwikkeld door twee Iraanse ingenieurs. Beiden zijn bekend.
De cybercriminelen die met SamSam werken eisen soms tot honderduizenden Euro’s losgeld (ransom) om de blokkade van computers en netwerken weer vrij te geven. Het losgeld moet betaald worden in Bitcoin.
Hoe werkt SamSam?
SamSam werkt anders dan eerdere gijzelsoftware, zoals WannaCry en GandCrab. Die sloegen meteen na besmetting toe, vergrendelden bestanden en eisten losgeld.
De makers van SamSam wachten en loeren eerst. Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen, om zo meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups, om te voorkomen dat een bedrijf de besmetting ongedaan kan maken.
Pas als dat is gebeurd, slaat SamSam toe en worden de bestanden vergrendeld.
“Dit is een nieuwe trend. Ze gaan echt geraffineerd en zorgvuldig te werk, om de kans zo groot mogelijk te maken dat een slachtoffer geen andere optie heeft dan te betalen”, zegt onderzoeker Frank Groenewegen van Fox-IT.
Doordat computersystemen gericht worden gegijzeld, kunnen de makers een hoger losgeld eisen dan bij andere besmettingen.
“Soms weten ze zelfs hoeveel geld een bedrijf op de rekening heeft staan”, zegt Groenewegen. “Die informatie kunnen ze gebruiken om de hoogte van het losgeld te bepalen. Bedrijven die niet genoeg geld hebben, gaan ze niet lastigvallen. Die zijn de moeite niet waard, dan gaan ze weg.”
In 2017 werden tienduizenden computers in bijna honderd landen getroffen door de gijzelsoftware WannaCry.
Op Twitter heb ik al enige tijd een interessante ‘discussie’ met de Nederlandse privacydeskundige Jeroen Terstegge van PM Partners over het koppelen van de AVG op deze site aan een bericht over de CEO Fraude bij de bioscoopketen Pathé. “Dit heeft echt niets met de #AVG te maken. Niet elk securityprobleem is een AVG-probleem”, twitterde Terstegge. Ik was stomverbaasd.
Terstegge reageerde op 11 november 2018 op de volgende tweet van mij:
Tsja, dan begin je als privacymanager toch aan jezelf te twijfelen. En wat te denken van iedereen die sowieso al twijfelt over de AVG? CEO fraude heeft volgens een van de meest vooraanstaande privacydeskundigen van Nederland dus niets te maken met de Algemene Verordening Gegevensbescherming (AVG)?
Veel mensen zijn geneigd om op Twitter meteen impulsief te reageren. Ik besloot dat niet te doen. Ik besloot om na te denken over de tweet van Terstegge die ik net als veel collega’s hoog heb zitten. En niet voor niets.
Lees zijn bio op de site van PM Partners maar:
Jeroen Terstegge is een van Nederlands meest vooraanstaande privacy juristen. Hij heeft ruim 25 jaar ervaring op privacy gebied en was als Privacy Officer van Philips een van de geestelijk vaders van de Binding Corporate Rules (BCRs). Jeroen’s stijl kenmerkt zich door het grotere plaatje te zien zonder de details uit het oog te verliezen en complexiteit terug te brengen tot de essentie. Jeroen is vertrouwd met privacyvraagstukken in multinationale omgevingen, privacy impact assessments, wet- en regelgeving en stakeholdermanagement in sectoren zoals e-commerce, energie, finance, ICT en HRM.
Waarom heeft CEO fraude niets te maken met de AVG?
Ik begrijp de tweet niet. De AVG verplicht organisaties toch om medewerkers te trainen hoe ze cyberrisico’s kunnen herkennen? De Autoriteit Persoonsgegevens (AP) hamert voortdurend op security awareness.
Twee topmanagers van Pathé worden door gewiekste cybercriminelen via social engineering misleid en bezorgen hun werkgever daardoor een miljoenenstrop.
CEO-fraude.
Social engineering.
Die woorden komen toch echt aan bod bij iedere security awareness training.
Ik besluit op 22 november 2018 Jeroen Terstegge via Twitter om uitleg te vragen.
Hallo Jeroen, ik reageer laat. Bewust. Heb nagedacht over jouw reactie. Was verbaasd. Waarom hier geen AVG? Dit was social engineering cybercrime. Hoort toch bij awareness training?
Jeroen Terstegge antwoordt meteen:
Social engineering is alleen een AVG-probleem als de directeuren in kwestie persoonsgegevens hebben vrijgegeven. In casu is ze geld afhandig gemaakt. Kortom, geen AVG-, wel security-issue. Er is overlap tussen privacy en security, maar die twee zijn niet hetzelfde.
Terstegge is een jurist, besef ik. Juristen denken anders. Ze kunnen hele wetteksten oprafelen.
Associeren daardoor ook meteen juridisch. Dat zou als volgt kunnen gaan:
Twee topmanagers zijn de mist ingegaan door CEO-fraude. Er zijn miljoenen Euro’s verloren gegaan, maar er zijn geen persoonsgegevens verloren gegaan.
AVG = persoonsgegevens…
Geen persoonsgegevens betekent geen zaak voor de Autoriteit Persoonsgegevens (AP).
Als je het Pathéverhaal op die manier juridisch analyseert heeft Terstegge gelijk.
Maar wat hij vergeet is dat de Autoriteit Persoonsgegevens er voortdurend op hamert dat de AVG meer is dan een wet. Meer dan een juridisch instrument.
De AVG moet iedereen ook bewust maken van alle cyberrisico’s die we tegenwoordig lopen. Organisaties moeten aantonen dat ze een goed privacybeleid hebben ontwikkeld. En dat ze dat beleid ook in de praktijk ook uitvoeren.
Wat dat betreft heeft Pathé wel degelijk een AVG-probleem. Hebben de managers die de fout in gingen wel een security awareness training gehad? Een van hen beweerde van niet.
Op 24 november 2018 besloot ik nogmaals te reageren richting Jeroen Terstegge. Het komt zelden voor dat een tweet me zo lang triggert.
Ik denk dat je het artikel niet helemaal hebt gelezen. Pas op het eind wordt een verband gelegd met de AVG, maar dan alleen in verband met de verplichte security awareness trainingen. Wat dat betreft is er natuurlijk wel een link naar de AVG. Maar inderdaad niet qua boetes of AP.
Opnieuw antwoordt Terstegge snel. En opnieuw verbaast het antwoord me:
Het ging mij eigenlijk meer om die hashtags. Die slaan nergens op in dit verband.
Jeroen is een topjurist. Ik ben behalve privacymanager ook NextMarketeer. En ik kan daarom heel goed onderbouwen dat Terstegge met dit antwoord de plank volledig misslaat.
De AVG wordt door het grote publiek automatisch geassocieerd met cybercrime. CEO-fraude en social engineering vallen onder cybercrime.
Mensen die op internet naar informatie over cybercrime zoeken maken ook gebruik van de hashtag #AVG.
Als je als privacyspecialist online gevonden wilt worden zul je dezelfde woorden moeten gebruiken als je doelgroep. En dan helpt het ook als marketeers merken dat je hun vak begrijpt.
Qua marketing is het gebruik van de hashtag #AVG dus wel degelijk relevant.
En wat mij betreft zeer zeker ook in relatie tot security awareness. En dat valt toch echt onder de AVG.
Maar dat is mijn bescheiden mening.
No hard feelings, Jeroen.
Wat vind jij? Heeft Jeroen Terstegge gelijk? Moet je CEO-fraude en social engineering niet aan de AVG koppelen? We zijn benieuwd naar jouw reactie.
Dit artikel kun je dankzij internet lezen. Waar je ook bent. Als je even geen dekking hebt voor je smartphone vind je dat hoogst irritant. Als je wifi thuis langzaam is scheldt je op je provider. Maar wat doe je als het hele internet plat ligt?
Professor Aiko Pras van de Universiteit Twente legt het uit in een online college. Hij neemt je mee op een vliegreis die dankzij een grote internetstoring niet door kan gaan. Al snel kom je er dan achter hoe kwetsbaar onze moderne samenleving dankzij internet is geworden.
Dan begrijp je ook hoe belangrijk die irritante bureacratisch ogende Algemene Verordening Gegevensbescherming (AVG) is. Het internet is zo sterk als de zwakste schakel. En wij zijn als gebruikers allemaal een schakel. Als jij je door een cybercrimineel laat verleiden om te reageren op een phishingmail kun jij de zwakke schakel zijn.
Jij kunt er zelf de oorzaak van zijn dat de digitale soldaten van Poetin er in slagen om malware te installeren op jouw computer of op het netwerk van jouw bedrijf. Een computervirus dat zich vervolgens razendsnel verspreidt over het Nederlandse internet en alle systemen platlegt.
Volgens professor Aiko Pras is de kans op een vernietigende digitale aanval op het internet groter dan we denken en zijn wij als maatschappij niet goed voorbereid op de chaos die dit zou kunnen creëren.
Het college van professor Pras op het YouTube kanaal van de Universiteit van Nederland is een aanrader voor iedereen die twijfelt over het nut van de AVG. In 18 minuten legt Pras uit waarom het zo belangrijk is dat iedereen zich bewust is van de risico’s die we lopen en hoe we ons daar tegen kunnen beschermen.
Het lijkt het scenario van een film. Een cybercrimineel kopieert op basis van online gegevens jouw gedrag en steelt jouw inloggegevens. Vervolgens plundert hij niet alleen jouw bankrekening. Hij wordt een levensechte nachtmerrie. Een menselijke clone van jou.
Je kunt het je waarschijnlijk niet voorstellen dat jou zoiets in het echt zou overkomen. Dat dit echt mogelijk is. Toch is het zo. Iemand anders kan op een dag dankzij online gegevens zo jouw leven stelen. Zoals bij Tom! Deze AVG awareness video is een aanrader.