Archief op 2021-10-11

‘Losgeldverbod voor cyberverzekering is zinloos’

De overheid moet het vergoeden van losgeld bij ransomware niet gaan verbieden. Volgens jurist Nynke Brouwer is dat geen oplossing. Ze promoveert hierover op 7 oktober aan de Radboud Universiteit.

Nadat een bedrijf wordt platgelegd door ransomware eisen cybercriminelen vaak losgeld voordat de data van het bedrijf weer vrijgegeven worden. Bedrijven kiezen er nu vaak voor om dat losgeld te betalen, zodat zij hun werk weer kunnen oppakken.

De meeste cyberverzekeraars vergoeden het losgeld dat hun verzekerde heeft betaald. Volgens critici moedigen verzekeraars hiermee deze vorm van criminaliteit echter aan. Mede daarom zou het ministerie van Justitie en Veiligheid overwegen het vergoeden van losgeld door cyberverzekeringen te verbieden.

Maar dat is een druppel op een gloeiende plaat, vindt Brouwer. Verzekerd of niet, bedrijven betalen omdat ze niet anders kunnen. Een verbod zal de betalingen alleen maar de illegaliteit in drukken. Bedrijven vinden dan wel weer een andere manier om te betalen.

Een verzekering is bovendien een overeenkomst. Voor overeenkomsten geldt contractvrijheid. Een verbod op het bieden van verzekeringsdekking vormt een vergaand ingrijpen daarop.

Cyberverzekeringen zijn de laatste jaren sterk in opkomst. Zij bieden een ruime dekking bij cyberincidenten, zoals herstelkosten na een aanval, boetes en aansprakelijkheid bij privacy-overtredingen en netwerkincidenten, schade door bedrijfsstilstand en kosten van verweer in een juridische procedure.

Daarnaast zijn er zogenaamde incident response-diensten, redelijk uniek voor verzekeraars. Als een bedrijf bijvoorbeeld getroffen wordt door ransomware, stuurt de verzekeraar een team van experts op het gebied van IT, juridische diensten en communicatie op ze af.

De overheid moet cyberverzekeraars dan ook niet zien als hinder, maar als handig hulpmiddel voor betere cyberbeveiliging, betoogt Brouwer. In de praktijk kunnen verzekeringen namelijk helpen het beveiligingsniveau van bedrijven te verbeteren.

© Emerce

Scholen bewaren te veel en te lang gegevens van studenten en docenten

Onderwijsinstellingen bewaren te veel en te lang bepaalde informatie over studenten en docenten. Dat blijkt uit twee datalekken bij ROC Mondriaan in regio Den Haag en de Hogeschool van Arnhem en Nijmegen (HAN), maar het gaat vaker fout.

Volgens de Europese privacywet moeten gegevens worden verwijderd als ze niet meer nodig zijn, zegt ICT-jurist en hoogleraar Frederik Zuiderveen Borgesius. Maar het gaat bij onderwijsinstellingen en organisaties wel vaker mis. “Hier wordt soms slordig mee omgegaan.” Hoe groot de problemen precies zijn, is niet bekend.

De HAN en het ROC werden de afgelopen tijd het slachtoffer van hacks waarbij losgeld werd geëist. In beide gevallen weigerden de scholen te betalen, waarna gegevens werden gelekt.

Deze gegevens waren erg privacygevoelig. In de dataset van het ROC trof NU.nl onder andere sollicitatielijsten, overlijdenskaarten van studenten, klachtenafhandelingen en andere gevoelige gegevens aan. Bij de HAN werden zelfs formulieren met de politieke voorkeur van een honderdtal studenten bewaard. Ook lekten lijsten waarop de functiebeperking van tweeduizend studenten werd vastgelegd.

Iets wat niet altijd mag, zegt Zuiderveen Borgesius. “Gegevens van studenten en docenten mogen alleen bewaard worden, als daar een geldige reden voor is. Ze mogen niet zomaar rondzwerven op een server.” Bij lijsten met de politieke voorkeur van studenten, of oude overlijdenskaarten van oud-studenten, is het dan ook maar de vraag of de gegevens bewaard hadden mogen blijven.

Gegevens op andere manier bewaren

De HAN en het ROC zeggen zich nu na de datalekken ook af te vragen of sommige van de gelekte gegevens bewaard hadden mogen blijven. Woordvoerders van beide scholen laten weten onderzoek te doen naar deze kwestie.

“De politieke voorkeur van studenten werd in 2011 gevraagd via een enquête voor een schoolkrant, wat toen iets heel logisch was”, vertelt een woordvoerder van de HAN. “Destijds is deze informatie bewaard gebleven, maar door het lek ontstaat nu de vraag of dit wel had gemogen. Die vraag gaan we de komende tijd beantwoorden.”

Een woordvoerder van het ROC vertelt dat hetzelfde onderzoek ook wordt gedaan bij de Haagse scholengemeenschap. “We kijken nu heel kritisch naar de gegevens die zijn gelekt, en gaan onderzoeken in hoeverre we in de toekomst anders moeten omgaan met het bewaren van gegevens van studenten en docenten.”

Lees hier verder. © Nu.nl

Overheid wil dat meer bedrijven digitale veiligheid met ‘red teaming’ testen

Meer bedrijven en organisaties zouden red teaming moeten toepassen om de veiligheid van hun systemen en netwerken te testen, zo vindt het ministerie van Binnenlandse Zaken. Dat heeft daarom een whitepaper gepubliceerd waarin wordt uitgelegd hoe organisaties hiermee aan de slag kunnen gaan (pdf).

Bij red teaming wordt door een red team een realistisch aanvalsscenario toegepast om beveiligingsmaatregelen, op het gebied van mensen, processen en techniek te testen. Zo kunnen zwakheden worden vastgesteld, kan het personeel worden getraind en wordt gemeten in welke mate de organisatie ‘in control’ is op het gebied van informatiebeveiliging.

Daarnaast creëert een red team oefening awareness. “Het opent de ogen voor de huidige feitelijke staat van veiligheid van de organisatie en geeft aan waar nog werk verzet moet worden”, zo laat het whitepaper weten.

Volgens het document is het belangrijk dat een red team oefening op de juiste wijze wordt opgezet. Het gaat dan om een goede voorbereiding, het kiezen van een leverancier, het maken van afspraken over de oefening, het uitvoeren van de oefening en het opvolgen van de resultaten. Naast een beschrijving van de verschillende aspecten bevat het whitepaper ook een checklist.

Lees hier verder. © Security.nl

Gemeente Aalten mailt BSN-nummers 5500 jongeren naar verkeerd adres

De gemeente Aalten heeft door een fout de BSN-nummers van 5500 jongeren naar een verkeerd e-mailadres gestuurd. Een medewerker van de gemeente wilde gegevens uit een registratiesysteem gebruiken voor de verplichte rapportage leerplicht naar de Regio en het Rijk.

“Aan het eind van de werkdag was dit nog niet klaar. Betrokkene heeft vervolgens alle gegevens naar een privé e-mailadres gestuurd. Dit mag niet en is niet volgens de geldende richtlijnen, maar wel gebeurd”, laat het College van B&W aan de gemeenteraad weten (pdf). “Helaas is daarbij in de haast ook nog een verkeerd e-mailadres gebruikt. Nadat dit opgemerkt is, hebben we getracht het bericht in te trekken. Maar dat kon niet. Ook weten we niet of het betreffende e-mailadres nog in gebruik is.”

De gemeente heeft contact met de eigenaar van het e-mailadres gezocht, maar dat is tot nu toe niet gelukt. Er zijn in totaal twee e-mailberichten verzonden met bijlagen. Deze bevatten persoonsgegevens van alle kinderen/jongeren in de leeftijd van 4 tot en met 23 jaar in de gemeente Aalten en betreft naam, adres, woonplaats, BSN-nummer en leeftijd. In een klein aantal gevallen is ook de naam, school en verzuimmelding vermeld.

“Wanneer het e-mailadres niet in gebruik is, en dat lijkt het geval, is de kans zeer klein dat er misbruik wordt gemaakt van deze persoonsgegevens. Ook wanneer het e-mailadres wel in gebruik is, betekent dit nog niet dat de ontvanger de gegevens gaat misbruiken. We weten dit echter niet zeker”, laat het College van B&W verder weten. Alle gedupeerden zijn inmiddels per brief door de gemeente op de hoogte gesteld. De gemeente gaat de interne procedures aanscherpen om herhaling te voorkomen.

Lees hier verder. © Security.nl

Inloggen zonder wachtwoord: is dat veilig? 6 vragen en antwoorden

Bij Microsoft kun je nu zonder wachtwoord inloggen en ook Google en Apple gaan op een gegeven moment overstag. Waarom zijn techbedrijven geen fan van wachtwoorden? En hoe moet je dan aanmelden? Dit moet je weten over inloggen zonder wachtwoorden.

Zo kun je inloggen zonder wachtwoord

De toekomst is wachtwoordloos. Voormalig Microsoft-baas Bill Gates voorspelde het in 2004 al, maar een paar weken geleden voegde het bedrijf de daad bij het woord. Voortaan kun je bij Microsoft inloggen zonder dat er een wachtwoord aan te pas komt.

1. Hoe werkt inloggen zonder wachtwoorden?

2. Hoe stel ik het in?

3. Waarom willen bedrijven af van wachtwoorden?

4. Bij wie kan ik zonder wachtwoord inloggen?

5. Is inloggen zonder wachtwoorden veilig?

6. Hoe kan ik nu al veiliger inloggen?

Lees hier verder. © AndroidPlanet

© MeT-Groep