Auteur: John Polling. te Breda. Cybercrime, onlangs in het nieuws

Vergelijkbare documenten
Procedure datalekken NoorderBasis

Sta eens stil bij de Wet Meldplicht Datalekken

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

E. Procedure datalekken

Procedure melden beveiligingsincidenten en datalekken

Beleid en procedures meldpunt datalekken

Help een datalek! Wat nu?

Protocol meldplicht datalekken

INTRODUCTIE

Protocol meldplicht datalekken

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Agenda. De Cyberwereld. - Cybercrime en Cyber Security - Veilig Zakelijk Internetten. Allianz Cyber

Protocol datalekken Samenwerkingsverband ROOS VO

Protocol Meldplicht Data-lekken

Meldplicht Datalekken en het MKB

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Digitale Veiligheid Presentatie: Naam

VAN ZAKKENROLLER TOT CYBER CRIMINEEL

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Protocol meldplicht datalekken Voor financiële ondernemingen

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Introductie ICT-er met een brede blik

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

BLAD GEMEENSCHAPPELIJKE REGELING

Cybersecurity in het MKB

In dit soort s wordt gevraagd naar inloggegevens, SOFI-nummers en/of creditcardgegevens.

Algemene Verordening Gegevensbescherming (AVG)

Cybersecurity in het MKB moet beter. Ondernemers zijn matig beveiligd terwijl cybercriminaliteit groeit

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Datalekken. Presenta(e Datalekken 9 juni 2016

Protocol Datalekken Twelve

ANTWOORDBLAD PERSOONSGEGEVENS

Laatst aangepast 1 oktober 2018

Jaap van Oord, FourTOP ICT

Is jouw digitale buur (m/v) ook te vertrouwen? René van Etten en Richard Klein

Procedure Melden beveiligingsincidenten

Datalekken (en privacy!)

Privacyverklaring Mevrouw Alfabet Versie 2.0

PROTOCOL MELDING DATALEKKEN

Wat te doen tegen ransomware

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

BIJLAGE 3. Procedure Meldplicht Datalekken

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

FACTSHEET DATALEK. Inleiding

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

DE 5 VERBETERPUNTEN VAN UW SECURITY

Protocol meldplicht datalekken

Dienstbeschrijving Internetveiligheidspakket Protection Service for Business van F-Secure. Een dienst van KPN ÉÉN

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

Formulier melding datalek

Nieuwe Privacywetgeving per Wat betekent dit voor u?

Procedure meldplicht datalekken

Information Security Management System ISMS ISO / NEN 7510

AVG- VERKLARING. door Rico Magsino

Privacyreglement Belangenvereniging Ede Noord

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Datarisico s. Jos Kuhl Risk Management Consultant / Adviseur Datarisico Oktober 2017

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

Privacy statement. Inhoud Bescherming van uw persoonsgegevens 2

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Kwaadaardige software blokkeert PC s van eindgebruikers en lijkt afkomstig van Ecops, FCCU of een andere buitenlandse politiedienst

LOKO kijkt continu vooruit zodat ICT voor u blijft werken

TRAINING: VEILIGHEID AAN DE SLAG MET DIGITALE VAARDIGHEDEN TRAINING: VEILIGHEID

Wet meldplicht datalekken

Inleiding. Pagina 1 van 5

Starterscommissie VOA

Privacy staat voorop!

HOE RANSOMWARE JOUW ORGANISATIE KAN GIJZELEN. Ransomware aanvallen en hoe deze worden uitgevoerd

Dienstbeschrijving Zakelijk Veilig Werken

Protocol informatiebeveiligingsincidenten en datalekken

Digitaal verantwoord ondernemen in 10 stappen

Naslag voor de security issues uit de game

GDPR. To panic or not to panic?

Vernieuwde AVG. Ben jij er klaar voor?

AVG. Security awareness & ICT beveiliging

1. Inhoudsopgave.

Herkennen van phishing-mails, cryptolockers en hoaxen. Bart Denys Karel Titeca 12 juni 2018

Checklist cybersecurity. Voorkom dat uw bedrijf de aandacht trekt van een cybercrimineel en check hoe u uw bedrijf online het beste beveiligt.

Checklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving

DATAVEILIGHEID VOOR BELASTINGADVIES- EN ACCOUNTANTSKANTOREN

Informatiebeveiliging... Wat kun je er zelf aan doen? Mark Dresen 27 September 2018

Informatiebeveiliging

Protocol meldplicht datalekken. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Security in het MKB: Windows 10

Impact van de meldplicht datalekken

In dit protocol is weergegeven hoe te handelen bij beveiligingsincidenten en datalekken. 2

Bijlage 2: Communicatie beveiligingsincidenten

Inhoudsopgave Voorwoord 5 Introductie Visual Steps 6 Wat heeft u nodig? 6 Uw voorkennis 7 Nieuwsbrief 7 Hoe werkt u met dit boek?

Quick guide. IT security, AVG en NIB. Version 3.0

UPDATE DATAPRIVACY EN MELDPLICHT

Hoe kunt u helpen bij informatiebeveiliging en privacy?

Aandacht voor privacy en datarisico s is niet meer iets wat je erbij doet. Privacy en datarisico s

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Copyright. De presentatie betreft geen advies en daaraan kunnen geen rechten worden ontleend.

Verwerkersovereenkomst DON Opleidingen, versie 1.0 Pagina 2 van 10

Transcriptie:

Auteur: John Polling. Directeur @XiT te Breda. Cybercrime, onlangs in het nieuws 13 mei 2017: De grootste ransomware cyber aanval wereldwijd tot dan toe, genaamd WannaCry. In Engeland diverse ziekenhuizen plat mede door het niet up to date houden van windows systemen. Er was voor gewaarschuwd door Microsoft. 27 juni 2017: De nieuwe grootste cyberaanval tot nu toe. De malware Petya besmette o.a. APM, TNT, Raab-Karcher, MSD en Maersk. De uitbraak werd veroorzaakt door een automatische update van het boekhoudprogramma MEDoc. Petya gebruikt bekende zwakke plekken in oudere besturingssystemen van Windows. De aanval trof eerst bedrijven in Oekraïne en Rusland, maar breidde zich daarna snel uit. De verwachting is dat cybercrime zich uit blijft breiden en steeds slimmer wordt in het misleiden van de klant. Voor Nederland wordt de schade door cybercrime ingeschat op meer dan 8 miljard Euro voor 2017. Cybercrime, de verschillende vormen Virus: Een klein programma dat de werking van je computer verstoort, gegevens wijzigt, beschadigd of verwijdert, jouw e-mail adres gebruikt om zichzelf te verspreiden of zelfs je hele harde schijf te wissen. Veel virussen zijn vermomd als een bijlage. Ransomware: Uw opent een schijnbaar betrouwbaar bericht met een executable waarmee uw bestanden gelijk worden versleuteld. Daarna wordt u letterlijk gegijzeld. U kunt geen bestand meer openen. Voor de sleutel betaalt u met Bitcoins, vaak 300,00 of meer. U kunt betaling voorkomen omdat u een up to date backup heeft. Cyber Attacks: Deze zijn er op gericht om informatie te stelen. Oudere windows omgevingen die niet meer worden onderhouden door Microsoft zijn hier vaak het slachtoffer. Dit is vaak het gevolg omdat er met oude DOS of andere software gewerkt wordt die niet op de nieuwere serverplatformen werken. Vooral overheden en grote bedrijven blijken hier heel kwetsbaar te zijn.

Phishing aanvallen: U ontvangt een e-mail bericht dat bijna niet van echt te onderscheiden is en waarbij men gegevens van uw vraagt. Voorbeelden zijn een KPN Factuur, PostNL pakketje gemist, TNT track en trace informatie, etc. CEO Phishing: De baas vraagt per e-mail om een som geld over te maken. Altijd controleren of dit werkelijk het geval is. Identiteitsfraude: Hoeveel online accounts zijn er gekoppeld aan uw e-mail? En hoeveel van deze accounts gebruiken hetzelfde wachtwoord? Gebruik van USB sticks en vooral het uitwisselen van gegevens of gevoelige data met een al dan niet door een virus besmette USB stick vormen een groot bedrijfsrisico. Om die reden is het belangrijk een USB stick altijd te scannen voor gebruik. Diefstal van een laptop, smartphone of tablet heeft vaak grote gevolgen voor zowel het bedrijf als de persoon. Laat apparatuur niet rondslingeren en laat het nooit in het zicht in een auto liggen. Inbreken (hacken) van één of meerdere servers waardoor gegevens gekopieerd kunnen worden is een veel voorkomende cybercrime vorm. Een DDOS aanval is het onbereikbaar worden van een server doordat deze overvraagd wordt IP gegevens te zenden. Met deze techniek worden hele IT systemen plat gelegd. Botnets: Netwerken van computers die zonder medeweten van de eigenaar misbruikt worden door derden via een virus of of ander software. Botnets worden vooral gebruikt voor spam en cyberaanvallen. Standaard apparatuur wachtwoorden: Gebruikt u het draadloze netwerkwachtwoord dat op het stickertje van uw modem of router staat? Deze wachtwoorden zijn vaak een kopie van het macadres. Een hacker kan met een WiFi scan zonder veel moeite uw netwerk binnendringen. Het bovenstaande geld bijvoorbeeld ook voor stroomomvormers van zonnepanelen. Hiermee kunnen hackers de stroom toevoer in- en uitschakelen. Het kopiëren van toegangspasjes: Uw tags of proximity kaarten worden uitgelezen en gedupliceerd op een blanco kaart. Daarmee krijgt een inbreker toegang tot uw kantoorpand. Internet of Things: lange aftands communicatie voor al uw apparaten of entree tot uw huis of garage. Hackers kunnen radio signalen onderscheppen en daarmee uw apparatuur manipuleren. Hiermee kunnen ze toegang krijgen tot uw kantoor of huis, uw slimme thermostaat inschakelen, lichten aan of uit zetten, etc. Cybercrime overdenkingen, elke 3 seconden 3 nieuwe cybercrime aanvallen Over het algemeen wordt Cybercrime onderschat door iedereen. Ook het MKB kan een heel aantrekkelijk doelwit zijn voor cybercriminelen. De meeste bedrijven besteden onvoldoende van hun IT budget (10%) om zich goed tegen cybercrime te weren. Bedrijven besteden te weinig tijd aan training van hun personeel. Vooral het gebruik van USB sticks, slecht wachtwoord protocol en diefstal van laptops vormen grote risico s.

Cybercriminelen krijgen vaak toegang doordat er met verouderde windows software wordt gewerkt die ook niet goed up tot date wordt gehouden of kan worden gehouden ivm de vele koppelingen enz. Ziekenhuizen, overheden en politie werken vaak met complexe en daardoor verouderde systemen. Heeft u een goede en solide back up van uw systemen en data? Wordt dit regelmatig getest? Een goede backup kan u veel kosten en ellende besparen. Hoe veilig werkt u, de overdenkingen die we u graag meegeven? Heeft u voor ieder van uw accounts een veilig en sterk wachtwoord ingesteld? Hoe belangrijk is het voor u om een sterk wachtwoord aan te maken? Een veel gemaakte fout door mensen is hetzelfde wachtwoord gebruiken voor alle inlog en toegang zoals PC, laptop, Linked-in, Facebook, Twitter, Bank enz. Zorg dat een wachtwoord niet gemakkelijk te raden is zoals geboorte datum, naam, adres of gemakkelijke woordcombinaties etc. Nog beter is het gebruik van een wachtwoordgenerator zoals lastpass! Voorkom datalekken en de daaraan eventueel gelieerde boete en extra werk. Verzeker u voordat het -ondanks al uw voorzorgen zoals up to date systeembeheer, antivirus software, instructie aan personeel en een goede backup- toch fout gaat. Datalekken, de wetgeving en boetes Sinds 1 januari 2016 heeft u meldplicht van datalekken. Dit valt onder de Nederlandse Wet Wet Meldplicht Datalekken Vanaf 25 mei 2018 komt er een Europese verordening bij die meer verplichtingen heeft zoals het aanstellen van een functionaris voor gegevensbescherming en het via documenten aantonen dat u de juiste organisatorische en technische maatregelen genomen heeft. Wanneer u niet voldoet aan het bovenstaande kan er een boete opgelegd worden van maximaal 820.000,- of 10% van de jaaromzet. Europese verordening is maximaal 20 milj. boete of 4% van de wereldwijde omzet. Eén vorm van risico management is om een cyberverzekering af te sluiten. Vaak kan dit voor het MKB al vanaf 690,00 per jaar voor een verzekerd bedrag tot 250.000,- Cybercrime en risico hoort onderdeel te zijn van de bestuurstafel van een bedrijf. Wat wel wat niet U hoeft niet iedere datalek te melden aan de Autoriteit Persoonsgegevens. Volgens de wet moet u een melding doen aan de Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Bij persoonsgegevens van gevoelige aard moet u denken aan:

Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp Het gaat hierbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. Gegevens over de financiële of economische situatie van de betrokkene Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salaris- en betalingsgegevens. (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen. Gebruikersnamen, wachtwoorden en andere inloggegevens De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen. Gegevens die kunnen worden misbruikt voor (identiteits)fraude Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer (BSN). Deel NOOIT je wachtwoord. Cybercrime, tips om het te voorkomen Als u het vermoeden heeft dat u een verkeerd e-mail bericht binnenkrijgt doe dan een mouse over op het versturende mailadres. U ziet dan vaak gelijk of het overeenkomt met de afzender van het document. Wanneer u klikt in uw mailbericht en u wordt gelijk naar een andere website geloodst kijk dan goed in de header waar u bent en of het bv. een betrouwbare (groene) en overeenkomstig met de afzender https gecertificeerde website is. Vul in bovenstaande gevallen nooit uw e-mail adres, inlogcode, bankrekening nummer en/of wachtwoord in. Klik nooit op een executable of zip bestand van een onbekende of wanneer u het niet vertrouwd. Zorg dat u permanent een goede backup heeft, u voorkomt hiermee in alle cybercrime gevallen veel tijdverlies en ellende. Als u twijfelt, stop en neem eerst contact op met uw IT beheerder. Versleutel privacy gevoelige gegevens. Controleer of cyberrisico s in contracten of algemene voorwaarden staan. Zorg voor een incident respons plan zodat iedereen weet wat er moet gebeuren en wie er gebeld moet worden als uw network op zwart gaat. Creëer bewustzijn en zorg dat mensen hier serieus mee om gaan. De schades zijn enorm wanneer je alles bij elkaar optelt.

Zorg dat iedereen binnen uw bedrijf op de hoogte is van de gevaren en ieders persoonlijke verantwoordelijkheid. Zorg voor een goed totaalpakket om uzelf en uw bedrijf te beschermen. Het begint met een solide Antivirus pakket en e-mail spamfilter, een firewall, het goed onderhouden van uw systemen, een bijdetijds besturings systeem van zowel servers als PC s, up to date houden van uw website CRM, controle over welke data gedeeld wordt en met wie, een solide backup systeem en verder alles wat hierin beschreven wordt aan de hand van uw unieke bedrijfssituatie. Cybercrime, wat kunnen IT leverenciers voor u betekenen Firewall 1: Wellicht heeft uw huidige router een goede Firewall functie in zich. We kunnen dit voor u controleren. Heel belangrijk is dat het standaard wachtwoord wordt aangepast. Dit is een heel veel voorkomend euvel, check dit met ons of uw eigen IT er. Firewall 2: Wij kunnen u een professionele firewall leveren en onderhouden. De kosten voor de installatie inclusief apparatuur zijn 1.660,- eenmalig. Daarnaast bieden we een dienst aan voor het onderhouden, controleren en optimaliseren van de firewall voor 249,- per kwartaal. Penetratie tests: u kunt uw systemen professioneel laten testen door een groep zogeheten white hackers gevraagd te laten inbreken op uw systeem. Zo kunt u onder andere terecht bij het Amsterdamse bedrijf Zerocopter. De kosten bedragen vanaf 1.500,-. Endpoint Protection: Met behulp van Kaspersky Antivirus en Kaseya VSA zorgen wij ervoor dat uw systemen worden onderhouden, up-to-date zijn en volledig beveiligd. Ook kan er beleid worden toegepast op uw systemen, zoals het uitschakelen van USB-poorten, etc. voor 75,- per jaar per PC. Is werken in de Cloud veiliger? OneDrive en SharePoint zijn veel minder vatbaar voor Cybercrime/Crypto/Ransomware/Phishing vanwege haar opzet en document control principes, waaronder document revisies, etc. Microsoft (MS) onderhoud haar systemen op het allerhoogste veiligheidsniveau en heeft er veel over om imagoschade te voorkomen. De MS Cloud is NEN/ISO 27001/27002 gecertificeerd, de hoogste veiligheidsvorm en daarom gemakkelijk te verzekeren. MS voldoet aan de Baseline Informatiebeveiliging Rijk met adequate beveiliging vanuit de Wet Bescherming Persoonsgegevens. MS biedt gereedschappen voor preventie van gegevensverlies. Uw data kan specifiek in Nederland staan waardoor het om die reden ook weer prima te verzekeren is. Het bovenstaande wordt u aangeboden door @XiT te Breda. We hebben getracht een zo goed als mogelijk zorgvuldig overzicht samen te stellen over de vele vormen van Cybercrime die heden ten dage van toepassing zijn. Daarnaast hebben we getracht dit overzicht samen te stellen in zoveel als mogelijk gewone taal. Hierdoor kunnen er wel nuance of interpretatie verschillen zijn tussen IT ers en niet IT ers.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback