Privacy/Security nieuws

Wetenschappelijk instituut Wetsus betaalde losgeld om van ransomware af te komen

Wetsus, een in Leeuwarden gevestigd wetenschappelijk instituut voor watertechnologie, is acht dagen gegijzeld geweest door ransomware. Het bedrijf heeft losgeld betaald aan de hacker, waardoor de netwerkproblemen inmiddels weer voorbij zijn.

Algemeen directeur Johannes Boonstra zegt tegen de Leeuwarder Courant dat hij met een team specialisten sinds vorige week maandag bezig is geweest om het netwerk weer werkend te krijgen. De 150 medewerkers, 60 onderzoekers en 50 studenten kunnen sinds dinsdagmiddag weer zonder problemen gebruik maken van het computernetwerk. Op de eigen website meldt de organisatie dat ruim een week last had van een ‘groot serverincident’, veroorzaakt door een derde partij, waardoor het netwerk niet toegankelijk was en het instituut niet bereikbaar was voor e-mail of telefoon.

Gedurende de acht dagen is er de nodige keren onderhandeld met de onbekende afperser die het netwerk had gegijzeld. Er is betaald in bitcoins, maar om hoeveel geld het gaat wil Boonstra niet zeggen.

Lees hier verder. © Tweakers.net

Xander Koppelmans werd gehackt: einde bedrijf

Ondernemer Xander Koppelmans bouwde 25 jaar aan zijn succesvolle communicatiebureau. Het bedrijf was goed geautomatiseerd en beveiligd tegen cybercrime. Althans, dat dacht hij totdat zijn servers in 2015 werden gehackt. Koppelmans spreekt over het dramatische keerpunt in zijn leven. ,,Binnen twee jaar ging ik van zorgeloos naar technisch dakloos.”

Lees hier verder. © De Ondernemer

Zorgverzekeraar CZ schond privacywet bij machtigingsvragen

Zorgverzekeraar CZ heeft de privacywetgeving geschonden door bij machtigingsvragen meer medische gegevens te verwerken dan noodzakelijk is, zo stelt de Autoriteit Persoonsgegevens op basis van onderzoek. De privacytoezichthouder heeft de verzekeraar een last onder dwangsom opgelegd.

Voor het vergoeden van medisch-specialistische revalidatie vereist CZ een voorafgaande akkoordverklaring, een machtigingsvereiste. Aan die akkoordverklaring kan CZ aanvullende voorwaarden stellen. Volgens twaalf verzekerden heeft CZ voor hun revalidatiezorg te veel bijzondere persoonsgegevens verwerkt en zij vroegen de Autoriteit Persoonsgegevens om tegen de zorgverzekeraar op te treden.

Volgens de toezichthouder heeft CZ bij vier verzekerden de AVG geschonden door meer medische gegevens over hun behandeling te verwerken dan noodzakelijk was voor de beoordeling van hun machtigingsaanvragen. Daarop besloot de Autoriteit Persoonsgegevens een last onder dwangsom op te leggen. CZ heeft tegen het besluit van de AP beroep ingesteld.

De toezichthouder en verzekeraar hebben wel al enkele afspraken gemaakt. Zo heeft CZ een aantal maatregelen getroffen, waaronder het verwijderen van de gegevens van de twaalf verzekerden die een klacht indienden en is een beleidsdocument voor machtigingsaanvragen van de CZ-website verwijderd. Verder zal CZ voortaan van geval tot geval nagaan of aanvullende gegevens nodig zijn. De zorgverzekeraar en de Autoriteit Persoonsgegevens gaan nog verder in gesprek over eventuele aanpassing van de werkwijze voor machtigingsaanvragen die voldoet aan de AVG.

Lees hier verder. © Security.nl

Cyberveilig gedrag: waarom awareness training niet genoeg is

We kunnen er nu echt niet meer omheen. De dreigingen op het gebied van cybersecurity zijn levensgroot. Het lek in de VPN verbinding van Pulse Secure, de gijzelsoftware die de Universiteit Maastricht en – in mindere mate – het Medisch Centrum Leeuwarden in zijn greep hield en heel recent nog Citrix: deze voorbeelden maken duidelijk dat de weerbaarheid op veel plekken nog niet op orde is.

Dit vraagt om technische en organisatorische maatregelen, maar ook om gedragsverandering bij medewerkers. Veel organisaties organiseren daarom awareness trainingen. Maar deze trainingen alléén zijn niet voldoende om daadwerkelijke gedragsverandering te bewerkstelligen.

De vertaling van awareness is ‘bewustzijn’. Awareness trainingen zorgen dus voor een verhoogd bewustzijn bij medewerkers. Natuurlijk is bewustzijn nodig. Maar als we iets hebben geleerd van (bijvoorbeeld) de waarschuwingen op pakjes sigaretten, is dat het zich bewust zijn van bepaalde risico’s of gevaren niet betekent dat iemand daar ook naar handelt.

Organisaties zullen zich daarom moeten realiseren dat bewustzijn een goede eerste stap is, maar dat bewustzijn alleen niet genoeg is voor werkelijke gedragsverandering. Er zijn namelijk verschillende redenen waarom mensen zich zicht niet cyberveilig gedragen, terwijl zij zich wel bewust zijn van de gevaren.

Lees hier verder. © IT Excutive

Ernstige beveiligingslekken in Adobe Flash en Reader

Gebruik je Adobe Flash en/of Adobe Reader? Dan moet je deze software snel updaten: er zijn beveiligingslekken getroffen waardoor aanvallers jouw systeem kunnen overnemen.

Niet alleen overname van systemen is mogelijk, ook systeeminformatie kon worden buitgemaakt en administratieve rechten konden worden verhoogd. Daar hoef je als gebruiker niet veel voor te doen: het openen van een kwaadaardig pdf-bestand of het bezoeken van een kwaadaardige website waren in principe voldoende.

In de meest recente patchronde zijn er zeventien kwetsbaarheden verholpen, waarvan er twaalf beoordeeld werden met het stempel ‘kritiek’. In de meeste gevallen is dat zo omdat aanvallers die van deze lekken op de hoogte zijn willekeurige code kunnen uitvoeren op jouw systeem.

Lees hier verder. © AvroTros