Videomeeting geheim overleg EU verstoort door journalist

Videomeeting geheim overleg EU verstoort door journalist

RTL Nieuws heeft toegang gekregen tot een geheim overleg tussen de Europese ministers van Defensie.
Dat was mogelijk omdat op het Twitteraccount van minister Ank Bijleveld kort een foto stond met daarop het inlogadres en een deel van de pincode.

In een aantal pogingen lukte het RTL Nieuws om de pincode van het geheim overleg te raden, doordat vijf van de zes cijfers van de pincode op de foto te zien waren.
Zo lukte het om geheime EU-vergadering binnen te komen.

Indien er echt sprake moet zijn van veilig videobellen met veilige distributie of van wachtwoorden beveiligd met sterke authenticatie.
kijk dan eens naar onze video bell en wachtwoordmangament service.

lees hier meer over:
RTL Nieuws kwam binnen bij geheim defensieoverleg Europa na fout ministerie

Twitter Hack Zoom hoorzitting onderbroken via Zoombombing

Twitter Hack Zoom hoorzitting onderbroken via Zoombombing

Zoom hoorzitting werd onderbroken met een pornografische video doormiddel van Zoombombing. “Zoombombing” vindt plaats wanneer een niet uitgenodigde persoon deelneemt aan een Zoom-vergadering. Dit wordt meestal gedaan in een poging om een paar goedkope lachjes te krijgen ten koste van de deelnemers. Zoombombers slingeren vaak racistische beledigingen, godslastering, of delen pornografie en andere aanstootgevende beelden.

Om Zoombombing te voorkomen, schakelt u het volgende uit om uw vergadering te beschermen:

  1. Sluit wachtwoord in Meeting Link in voor deelname met één klik;
  2. Scherm delen;
  3. Afstandsbediening;
  4. Bestandsoverdracht;
  5. Sta deelnemers toe zichzelf te hernoemen;
  6. Word lid vóór de host;
  7. Laat verwijderde deelnemers opnieuw deelnemen.

En je moet inschakelen:

  1. Deelnemers dempen bij binnenkomst;
  2. Laat altijd de werkbalk voor vergaderbediening zien;
  3. Identificeer gastdeelnemers aan de vergadering / webinar;
  4. Wachtkamer;
  5. Vereis een wachtwoord bij het plannen van nieuwe vergaderingen.

Lees hierover meer op: https://www.vice.com/en_us/article/jgxadb/twitter-hackers-zoom-hearing-is-interrupted-by-pornhub-video

NCSC: Voorzorgsmaatregelen thuiswerken

Het NCSC adviseert voorzorgsmaatregelen te nemen als bij uw organisatie de medewerkers grotendeels thuis gaan werken vanwege COVID-19 (Corona). Het is dan van belang om aandacht te hebben voor onderstaande punten en eventueel aanvullende maatregelen te treffen.

Denk hierbij aan een veilige verbinding naar uw bedrijfsnetwerk, sterke authenticatie, updates, antivirus, melding van incidenten, etc.

Lees meer over dit onderwerp op: https://www.ncsc.nl/actueel/nieuws/2020/maart/15/aandachtspunten-thuiswerken

Bedrijven nemen steeds meer cybersecuritymaatregelen

Bedrijven nemen steeds meer cybersecuritymaatregelen

Bedrijven nemen steeds meer maatregelen om zich te weren tegen cyberaanvallen van buitenaf. Vooral middelgrote bedrijven maken een inhaalslag met de invoering van authenticatie via soft- of hardwaretokens. Daarnaast daalt het aantal ICT-veiligheidsincidenten door een aanval van buitenaf. Dit meldt het CBS op basis van de Cybersecuritymonitor 2019 .

Lees meer over dit onderwerp op: https://www.cbs.nl/nl-nl/nieuws/2019/37/bedrijven-nemen-steeds-meer-cybersecuritymaatregelen

Minister Grapperhaus: “Draai de digitale achterdeur op slot!”

74% van de Nederlanders heeft thuis weleens te maken gehad met een vorm van cybercrime, terwijl dit in 2017 nog 65,6% was. Minister Grapperhaus van Justitie en Veiligheid vindt het zorgwekkend dat veel mensen zich nog steeds niet écht bewust zijn van de risico’s in de digitale wereld. De apparaten en apps die via internet met elkaar communiceren zoals smart tv’s, slimme lampen, camera’s en thermostaten brengen momenteel ook veel risico’s met zich mee.

De Top 3 van beveiligingsmaatregelen die de mensen thuis nemen zijn: antivirussoftware installeren (43%), wachtwoorden complexer maken (31%) en het controleren van websites op HTTPS (31%). 40% van de Nederlanders heeft tevens niet echt de wil om hun online veiligheid te verbeteren.

Lees meer over dit onderwerp op: https://www.alertonline.nl/nieuws/2018/nederlanders-zetten-eigen-digitale-veiligheid-op-een-laag-pitje

Let op uw techniek!

Het is u hopelijk niet ontgaan: de Algemene Verordening Gegevensbescherming (AVG) treedt volgend jaar in werking in Nederland. De verordening schrijft maatregelen voor om uiteindelijk een datalek van persoonsgegevens binnen uw BV te voorkomen. De AVG vraagt nogal wat van uw IT-systemen. Aan welke knoppen moet u draaien?

Het aanpassen van de systemen aan de AVG is niet in een achternamiddag geregeld. Kort gezegd eist deze namelijk van elke organisatie dat die continu op het netvlies heeft of er netjes met persoonsgegevens wordt omgegaan. Daarvoor moet u veel dingen gaan vastleggen. Zo moet u een register gaan bijhouden met daarin een overzicht van alle verwerkingen van persoonsgegevens.

Kennis

Met het bijhouden van een register voorkomt u echter nog geen datalek. Daarvoor moet u toch echt bij de techniek zijn. Maar waar te beginnen? Eigenlijk begint het allemaal met kennis. U moet duidelijk in beeld krijgen welke persoonsgegevens u nu eigenlijk verwerkt en hoe de informatiestromen lopen. De vervolgvraag voor uw bedrijf is dan: welke mogelijke beveiligingsrisico’s leveren die informatiestromen en verwerkingen op? En natuurlijk: hoe kan ik die verkleinen? Het is handig om eerst een risico-analyse te doen met behulp van een stappenplan (zie hieronder). Dit levert uw bedrijf als het goed is een duidelijk beeld op van de ingrepen die nog nodig zijn om alles op de rit te krijgen. Daarna kunt u besluiten welke knelpunten u zelf aanpakt en wat u wilt uitbesteden. Het up-to-date maken van de systemen en de organisatie hoeft in principe geen maanden in beslag te nemen. Maar de tijdsduur en de kosten van een traject zijn wel afhankelijk van de huidige stand van uw gegevensbeveiliging.

Stappen zetten op weg naar goede gegevensbeveiliging

Stap 1. Iemand moet verantwoordelijk zijn voor de bescherming van persoonsgegevens. Breng de verwerking hiervan in kaart.

Stap 2. Analyseer de risico’s van deze verwerkingen en bekijk wat er nog ontrbreekt an uw beveiliging, bijvoorbeeld met behulp van een gap-analyse.

Stap 3. Update uw privacybeleid. De AVG schrijft voor:

“Privacy by default”
“Privacy by design”
“Dataminimalisatie”, oftewel: verzamel niet meer gegevens dan nodig is.

Stap 4. Creëer bewustzijn en leg verantwoordelijkheden vast. Maak afspraken met leveranciers die persoonsgegevens van uw organisatie verwerken; die blijfen uw verantwoordelijkheid.

Stap 5. Voer de technische adviezen uit die de gap-analyse heeft opgeleverd.

Voordat we verdergaan met dit artikel: Even een klein IT-woordenboek!

Wie zich verdiept in databeveiliging komt terecht in een woud van Engelse termen
die voor de ict-leek abracadabra zijn. Toch is het nuttig om een paar basistermen te
kennen.

-DDoS-aanvallen
Een ‘Distributed Denial of Service’-aanval is een cyberaanval waarbij heel veel verkeer naar computernetwerken of servers wordt verstuurd waardoor deze vastlopen. Een ‘wasstraat’ houdt in dat verdacht internetverkeer wordt gedetecteerd en wordt doorgeleid naar gespecialiseer de anti-DDoS-apparatuur. Die ‘reinigt’ het verkeer en stuurt het schoon weer terug.

-Endpoint protection
Een strategie waarbij beveiligingssoftware is geïnstalleerd op zogenoemde ‘eindpunten’, dus op elk apparaat dat verbinding maakt met het bedrijfsnetwerk. Bijvoorbeeld laptops of smartphones. Een centrale server controleert of het apparaat dat verbinding wil maken daar ook toestemming voor heeft en up-to-date is.

-Gap-analyse
Analyse om de verschillen vast te stellen tussen de huidige en gewenste staat van
uw systemen en bedrijfsprocessen. Deze analyse levert niet alleen de gaten (‘gaps’),
maar maakt ook duidelijk wat u nog te doen staat om aan de eisen te voldoen (en
de gaten te dichten).

-Penetratietest
Een door u goedgekeurde gesimuleerde aanval op één of meer geselecteerde IT
systemen, om zo te bepalen hoe kwetsbaar deze zijn. Een IT-beveiligingsadviseur voert de penetratietest uit.

-Sterke authenticatie
Het principe dat je toegang hebt op basvan ‘iets dat je weet, hebt of bent’. Bijvoorbeeld een wachtwoord plus een code die gegenereerd wordt door een token,
een app of een vingerafdruk.

-Virtual Private Network (VPN)
Een beveiligd privénetwerk tussen thuis en mobiele werkers en het kantoor en
tussen het hoofdkantoor en nevenvestigingen. Het gevolg is dat een hacker uw verbinding niet kan binnendringen, waardoor u veilig op afstand kunt werken

Schakel

Op basis van de analyse kan het bedrijf aan de slag met – zoals de AVG voorschrijft – ‘passende’ beveiligingsmaatregelen om een datalek te voorkomen. De vraag is dan natuurlijk: wat zijn ‘passende maatregelen’? Dat is voor ieder bedrijf maatwerk. Maar als de volgende vier gebieden op orde zijn, heeft u het grootste deel te pakken. Omdat de hele keten zo sterk is als de zwakste schakel, verdienen alle categorieën aandacht.

Gebruikersbeveiliging
De gebruiker is de zwakste schakel bij cybersecurity. Bij zo’n 45% van de datalekken die nu gemeld worden, heeft een medewerker een e-mail met privacygevoelige informatie naar de verkeerde persoon gestuurd. Deels kunt u dit ondervangen met technische ingrepen, zoals ‘mobile device management’ (beheer en beveiliging van en toezicht op mobiele apparaten als smartphones en tablets) en ‘endpoint protection’. Maar misschien nog wel belangrijker – en zeker ook op uw eigen afdeling – is bewustwording. Die neemt toe wanneer u regelmatig aandacht besteedt aan het onderwerp, waarbij u heel specifek voorbeeldgedrag positief belicht. Elke medewerker moet dus weten: wat is een datalek? Hoe kan ik het voorkomen? En wat moet ik doen wanneer ik denk dat er sprake is van een datalek?

Netwerk- en toegangsbeveiliging
Uw bedrijf moet ook maatregelen nemen om te zorgen dat het bedrijfsnetwerk en
de internettoegang veilig zijn en veilig blijft functioneren. Er moet dus een beschermende muur opgetrokken worden tegen hackers, malware en phishing. In IT-land worden dit soort maatregelen vaak gebundeld in oplossingen die ‘unifed threat management’ (UTM) worden genoemd. In zo’n pakket zitten vaak onder meer een frewall, een virtual private network (VPN), sterke authenticatie, programma’s voor ‘intrusion prevention’, webflters (beperken de internetsites die een gebruiker kan openen) en antivirusprogramma’s. Een zogenoemd security operations center kan in de gaten houden of de beveiliging goed werkt. Zo’n
systeem signaleert mogelijke dreigingen voor uw informatie- en communicatiesystemen en verdedigt u daartegen.

Applicatiebeveiliging
Gebruikt de marketingafdeling speciale applicaties die essentieel zijn voor de  bedrijfsvoering? Aangenomen dat deze (van afstand) te benaderen zijn via een bedrijfsnetwerk, dan zijn ze kwetsbaar. Mogelijke maatregelen hiertegen zijn een applicatiefrewall, een ‘wasstraat’ tegen DDoS-aanvallen, sterke authenticatie, versleuteling van gegevens (encryptie/decryptie), maar eveneens een penetratietest. En ook hier weer: bewustmaking van collega’s.

Gegevensbeveiliging
Uw bedrijf moet ook ‘offline’ de zaakjes op orde hebben. Denk aan maatregelen om de serverruimte te beveiligen (een blusinstallatie, toegangscontrole). Zelf kunt u bijvoorbeeld voorkomen dat draagbare gegevensdragers als usb-sticks onbeheerd rondslingeren. Zorg ook voor het veilig delen, mailen en opslaan van data op uw afdeling. Mogelijke maatregelen hiervoor zijn encryptie, mobile device management, veilig datadelen, aangetekend en verzegeld e-mailen, back-ups maken en natuurlijk meer bewustzijn creëren.

 

Onderscheiden


De AVG dwingt iedere marketeer om na te denken over de manier waarop de afdeling met persoonsgegevens omgaat. De verordening brengt werk met zich mee,
en misschien ook het bijspijkeren van wat ict-kennis. Maar het biedt ook  mogelijkheden om u te onderscheiden. Want nu klanten steeds bewuster omgaan met hun privacy, zien ze ook graag bedrijven die dat tot in de puntjes op orde hebben.