Archief op 2021-06-28

Wanneer moet je betalen voor ransomware?

Ransomware is een plaag, maar betalen om je data terug te krijgen ligt moeilijk. Zowel aan betalen als niet betalen zijn risico’s verbonden, zegt security-expert Eddy Willems.

In eerdere artikelen hebben Data News en andere magazines al herhaaldelijk aandacht besteed aan hoe je je kan beschermen tegen en hoe je kan herstellen van ransomware aanvallen. Veel bedrijven en particulieren blijven echter met de vraag zitten of ze zouden betalen bij een mogelijke toekomstige ransomware aanval en vooral … wat als ze de betaling zouden overwegen?

Is het een haalbare optie? Wat zijn de risico’s? Moet men dit bekendmaken aan toezichthouders, aandeelhouders of het publiek? Hoe moet je je op deze beslissing voorbereiden? Hoewel ik helemaal niet suggereer dat organisaties losgeld moeten betalen, erken ik wel dat deze optie bestaat. Maar is het wel een goed idee om te betalen?

Lees hier verder. © Datanews

Schadevergoeding bij datalek dwingt AVG beter af

Het moet makkelijker worden om een schadevergoeding te krijgen bij datalekken of onrechtmatige gegevensverwerking. Zo’n stok achter de deur is belangrijk voor de naleving van de Algemene verordening gegevensbescherming (AVG). Dat stelt Tim Walree, onderzoeker en docent privaatrecht & technologie aan de Radboud Universiteit in Nijmegen in zijn promotie-onderzoek. Walree is als promovendus verbonden aan het Onderzoekcentrum Onderneming & Recht.

Schadevergoedingen kunnen zorgen voor betere handhaving van de privacywetgeving, aldus Tim Walree. Op 30 juni promoveert hij hierop dit aan de Radboud Universiteit. Hoewel de AVG sinds 2018 betere bescherming van persoonsgegevens afdwingt, lijkt het aantal datalekken alleen maar toe te nemen.

Mankracht

Jaarlijks worden er tienduizenden klachten ingediend bij de Autoriteit Persoonsgegevens (AP), bijvoorbeeld omdat een organisatie onveilig is omgegaan met hun persoonsgegevens. Door beperkte mankracht en middelen wordt echter slechts een klein deel van de zaken opgepakt. Bij complexe zaken kan het jaren duren voor er een besluit volgt. In zijn promotieonderzoek bekeek Tim Walree daarom of en hoe het recht op schadevergoeding via civielrechtelijke procedures kan helpen bij de handhaving van de AVG.

‘De regels zoals die gelden in de AVG zijn niets waard als die niet gehandhaafd kunnen worden. Dat kan op twee manieren: door een toezichthouder, maar ook via het civiele recht,’ legt Walree uit. ‘We zien nu eigenlijk dat de toezichthouder niet voldoende middelen heeft om de AVG goed te handhaven. Maar als consumenten zelf via het civiele recht schadevergoedingen kunnen eisen bij organisaties die onzorgvuldig met data omgaan, zorgt dat óók voor een financiële prikkel bij die organisaties, wat op termijn ook voor betere naleving zorgt.’

Volgens Walree zijn rechters thans vaak nog terughoudend met het toekennen van schadevergoedingen, omdat concrete schade vaak ontbreekt. ‘Een inbreuk op de AVG zorgt meestal niet voor een aantasting van het vermogen van een slachtoffer, en op het gebied van immateriële schade is het hooguit onbehagen of frustratie. Dat is juridisch geen relevante schade.’

Walree: ‘En als er dan wél duidelijke schade is, dan valt die weer moeilijk in een bedrag uit te drukken, of is deze juist zo laag dat het amper loont om naar de rechter te stappen. Als er miljoenen persoonsgegevens uitlekken, is losse data wellicht hooguit enkele centen waard. Maar je weet niet waar die gegevens uiteindelijk terecht komen, welke criminelen ermee aan de haal gaan en waarvoor ze de data gebruiken. De exacte schade kan daardoor soms pas jaren later duidelijk zijn.’

Puzzelstukje

Walree kan zich voorstellen dat iemand op termijn verschillende gestolen, anonieme datasets bij elkaar brengt. ‘Dan kan zelfs het kleinste beetje data een belangrijk puzzelstukje zijn in het opstellen van hele persoonlijke gebruikersprofielen. Die kunnen uiteindelijk wél veel geld waard zijn, waardoor op dat moment alsnog materiële en immateriële schade duidelijk worden.’

Vandaar dat Walree een andere aanpak bepleit. ‘We moeten toe naar een nieuw begrip van vergoedbare schade,’ zegt hij. Hij wil het begrip van schade meer toespitsen op de aard van het gegevensbeschermingsrecht. ‘Een schending van het gegevensbeschermingsrecht leidt over het algemeen niet onmiddellijk tot een hap uit je portemonnee, of zijn niet zintuiglijk, zoals een kras op je auto of een gebroken arm. De gevolgen zijn veel vaker abstract, onzeker, of niet te meten. Daarom is vastklampen aan het traditionele schadebegrip niet correct. Rechters zouden daarom eerder naar het Hof van Justitie moeten stappen voor prejudiciële vragen, zodat ze sneller tot een nieuw, moderner begrip van schade kunnen komen. Het Hof heeft uiteindelijk het laatste woord over het begrip van schade.’

Daarnaast zouden vooraf bepaalde bedragen vastgesteld kunnen worden, uit te keren bij substantiële inbreuk op de AVG. ‘Denk bijvoorbeeld aan een bedrijf dat zonder te informeren je gegevens doorverkoopt, of uitgelekte informatie over je afspraken bij de dokter.’

Walree: ‘Door organisaties te verplichten in zulke gevallen direct een vergoeding van bijvoorbeeld enkele honderden euro’s uit te keren, neem je ook wat apathie weg bij mensen. Het mes moet aan twee kanten gaan snijden: als mensen weten welk bedrag ze kunnen verwachten ondernemen ze eerder actie, waardoor organisaties ook eerder onder druk staan om de AVG voldoende serieus te nemen.’

© Computable

Nieuw spel leert Bredase kinderen over de gevaren van phishing en ransomware

De Gemeente Breda introduceert deze week op de JF Kennedy school in de Hoge Vucht een online spel dat kinderen op een speelse manier weerbaarder maakt tegen cybercriminaliteit. In het spel ‘Hackshield’ worden kinderen tussen de 8 en 12 jaar opgeroepen Cyber Agent te worden en zo zichzelf en hun ouders digitaal vaardig te maken.

Het wordt steeds belangrijker om jezelf te beschermen tegen de groeiende gevaren van het internet. Dit geldt zeker ook voor jongeren, die al vroeg actief worden in de digitale wereld. Hackshield draagt bij aan de online veiligheid van kinderen door spelenderwijs kennis en kunde te ontwikkelen. De komende tijd worden Bredase basisscholen benaderd om hier aandacht aan te besteden.

Te gek
“De game is te gek en leert kinderen van alles over hacken, datalekken en veilig internetten”, legt wethouder Greetje Bos uit. “Via HackShield worden zij een Cyber Agent die online gevaar kan herkennen en voorkomen. Zo kunnen ze ook hun eigen omgeving leren hoe ze online veilig kunnen blijven en als Cyber Agent van Breda de gemeente beschermen. Samen zorgen we voor een veilige online wereld.’

HackShield leert kinderen zich spelenderwijs wapenen tegen cybercriminaliteit. Via het spannende spel leren ze over de gevaren van bijvoorbeeld phishing of ransomware en ontwikkelen ze skills waarmee ze deze gevaren tegen kunnen gaan. Het spel maakt kinderen via Gamification en Storytelling bewust van de gevaren die ze online lopen. “Ze spelen mee in een meeslepend verhaal, leren over online veiligheid, ontdekken wat de gevaren zijn en leren in verschillende levels hoe ze zich hier tegen kunnen wapenen. Eigenlijk is HackShield een game waar niet alleen kinderen iets van kunnen leren, maar ook hun ouders.”

HackShield is dan ook voor iedereen gratis te spelen op www.joinhackshield.nl 

Online.nl waarschuwt klanten dat hun e-mailadressen mogelijk zijn uitgelekt

Telecomprovider Online.nl heeft klanten een mail gestuurd waarin het waarschuwt dat hun e-mailadressen mogelijk zijn uitgelekt door een cyberaanval op dienstverlener Xtrasource in mei, waarmee Online.nl samenwerkt. De provider roept klanten op waakzaam te zijn voor phishing.

In mei werd Xtrasource, een dochteronderneming van klantenservicebedrijf Webhelp, getroffen door een cyberaanval. Daarbij werden verschillende vertrouwelijke documenten van klanten online gezet, met daarin ook persoonsgegevens. De aanval werd verhuld met verschillende storingen in mei. Het bedrijf heeft toen dit duidelijk werd de politie en de Autoriteit Persoonsgegevens geïnformeerd.

Maar nu blijkt dat ook klantgegevens van Online.nl zijn uitgelekt, omdat Online.nl gebruik maakt van diensten van Xtrasource. Het gaat volgens het telecombedrijf alleen om e-mailadressen van klanten, niet om andere persoonlijke gegevens of wachtwoorden. Volgens het bedrijf is de kans op fraude met deze gegevens beperkt.

Desondanks waarschuwt Online.nl klanten ervoor om waakzaam te zijn voor phishing uit naam van de provider. Het bedrijf zegt in de mail dat het de afgelopen twaalf maanden een grote toename ziet in phishing. Online.nl zegt klanten nooit om inloggegevens te vragen of te vragen in te loggen in een mail die van hen afkomstig is. En het bedrijf vraagt klanten goed te checken of links echt naar de eigen omgeving gaan. Eind mei waarschuwde Online.nl ook al dat er een phishingmail in omloop was die afkomstig lijkt van de telecomprovider en zegt dat de inlogpagina van de Zimbra-webmailclient gewijzigd wordt.

Lees hier verder. © Tweakers.net

Een op drie werkenden onvoorzichtig met privacygevoelige gegevens

Na de invoering van de AVG in 2018 is er wel meer bewustzijn is, maar nog niet genoeg. De kennis over en het vertrouwen op de bescherming van persoonsgegevens laat nog te wensen over en dat is met steeds meer datalekken een punt van aandacht voor HR.

Dit en meer laat onderzoek van vpndiensten.nl onder ruim 1.000 werkenden zien. Vanaf mei 2018 moeten overheden, bedrijven en verenigingen voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De AVG dient twee doelen: ten eerste de bescherming van persoonsgegevens en ten tweede het vrije verkeer van persoonsgegevens binnen de EU. Wat weten Nederlanders drie jaar later eigenlijk nog van de AVG? Hebben zij voldoende kennis van de regels en leven zij deze na? In hoeverre vertrouwen zij hun werkgever met hun persoonsgegevens? VPNdiensten.nl legde een aantal stellingen voor aan 1.028 werkende Nederlanders van 18 jaar en ouder.

Privacybewustzijn onder vrouwen lager

Binnen een organisatie is het van cruciaal belang dat werknemers zowel op persoonlijk- als bedrijfsniveau vertrouwelijk omgaan met privacygevoelige gegevens. Uit het onderzoek blijkt echter dat dit niet altijd het geval is. Met maar liefst 48 procent delen vooral hoogopgeleide vrouwen weleens privacygevoelige informatie met anderen in vergelijking tot 37 procent bij de hoogopgeleide mannen.

Weinig vertrouwen onder jonge werkenden

“Organisaties moeten zich aan de opgestelde regels van de AVG-wetgeving houden. Toch is een deel van de Nederlanders er niet van overtuigd dat zijn of haar werkgever dit doet. Uit het onderzoek blijkt namelijk dat maar liefst een kwart van de werkende Nederlanders denkt dat de organisatie waarvoor hij of zij werkt niet volledig AVG-proof is. Vooral jonge werknemers wantrouwen het AVG-beleid van hun werkgever”

Bewustzijn vergroten voor het mis gaat

Het is als met veel van dit soort onderwerpen die een gedragsverandering moeten realiseren. Het is niet een kwestie van eenmalig een informatie campagne, die uit 2018, maar je moet een aantal jaren volhouden. Er zijn ondertussen voldoende standaard opleidingen /eLearnings over het onderwerp te krijgen om in onboarding en reminder training mee te nemen. Ook zou je goed beleid hierop moeten hebben dat helder is en met voorbeelden concreet wordt gemaakt. In die jaren worden ook de tools en processen verder aangescherpt passend op de bedrijfsvoering. Uiteindelijk is het omgaan met privacygevoelige gegevens dan een vanzelfsprekendheid geworden.

© HR Praktijk

Lees ook Ruim een op de vijf HR-medewerkers trapte in phishingmail

© MeT-Groep