Privacy/Security nieuws

‘Cybersecurity is meer dan hacken, het vraagt ook om kennis van psychologie en criminologie’

Ze is jong, vrouw en veelzijdig opgeleid. Esther Schagen-van Luit is Chief Information Security Officer van Deloitte. Bij het big-fourkantoor dat voorop loopt in het digitaliseren van zijn accountancy- en consultancypraktijken, pleit zij voor een ‘toenemend digitaal bewustzijn onder accountants’. Een interview met een leading lady in cyber.

Dat ze een loopbaan in de ICT zou krijgen, lag niet voor de hand. Hoewel ze pas na haar studententijd geïnteresseerd raakte in informatietechnologie, is Esther Schagen-van Luit sinds februari Chief Information Security Officer (CISO) van Deloitte. Dat is een grote prestatie op haar nog jonge leeftijd – ze is 30 jaar oud. Een typisch bètaprofiel mag ze dan niet hebben, het gedegen verwerken van grote hoeveelheden informatie is wel degelijk haar eerste natuur. Voor haar bachelor in liberal arts koos ze voor een major economie en minors in kunstgeschiedenis en linguïstiek. Ook heeft ze een mastertitel in internationaal management, aangevuld met een executive master of cybersecurity, die ze drie jaar geleden haalde, toen ze al bij Deloitte werkzaam was. Ze spreekt vijf talen, waaronder Japans. Op haar nog jonge leeftijd won ze diverse prijzen en prijkte ze al in enkele ranglijsten. Zo werd ze uitgeroepen tot Techionista Tech Favorite en prijkte ze in de Viva400. Alle reden voor Accountancy Vanmorgen om Schagen-Van Luit eens te interviewen. Over haar stormachtige loopbaan, haar visie op haar vakgebied en haar kijk op de ICT-uitdagingen in de accountancy. Een interview met een leading lady in cyber.

Lees hier verder. © Accountancy van Morgen

Privacytoezichthouder: pseudonimisering is geen anonimisering

De AVG stelt dat anonieme data informatie is die niet naar een geïdentificeerd persoon of identificeerbaar persoon herleidbaar is of persoonlijke data is die op zo’n manier is geanonimiseerd dat de persoon in kwestie niet of niet langer is te identificeren. Bij het anonimiseren van datasets gaan organisaties nog weleens de fout in, zo stelt de Spaanse privacytoezichthouder AEPD, die in een nieuw document tien misverstanden over anonimisering behandelt (pdf).

Volgens de AEPD speelt anonieme data een belangrijke rol bij allerlei onderzoeken. Het is dan wel belangrijk dat de data anoniem is en niet te herleiden is naar individuele personen. In de praktijk komt het voor dat anonimisering en pseudonimisering door elkaar worden gehaald. De AVG omschrijft pseudonimisering als het verwerken van persoonlijke data op zo’n manier dat de persoonlijke data niet langer meer aan een specifiek datasubject is toe te schrijven zonder het gebruik van aanvullende informatie.

Hierbij moet deze aanvullende informatie gescheiden worden bewaard. Aangezien het door middel van deze aanvullende informatie nog steeds mogelijk is om personen te identificeren, is gepseudonimiseerde persoonlijk data nog steeds persoonlijke data, zo stelt de Spaanse privacytoezichthouder. Geanonimiseerde data daarentegen is niet naar een specifiek individu te herleiden. Zodra de data is geanonimiseerd zijn individuen niet langer te identificeren en valt data niet meer onder de AVG.

Ook stelt de AEPD dat encryptie geen anonimiseringstechniek is, maar wel een handige tool kan zijn bij pseudonimisering. Daarnaast waarschuwt de toezichthouder dat het anonimiseren van data niet altijd mogelijk is. Dit is bijvoorbeeld het geval met hele kleine datasets, zeer verschillende datacategorieën of wanneer de dataset zeer veel demografische attributen of locatiegegevens bevat. Met het nu gepubliceerde document wil de AEPD misverstanden over anonimisering wegnemen.

Image

Lees hier verder. © Security.nl

Microsoft gaat aparte Europese cloud opzetten

Microsoft gaat investeren in een cloud voor Europese bedrijven en overheden. Daarbij worden alle gegevens opgeslagen op servers binnen de Europese grenzen.

Het nieuwe beleid, genaamd het EU Data Boundary Policy for the Microsoft Cloud, wordt van toepassing op alle belangrijke cloudservices van Microsoft, waaronder Azure, Microsoft 365 en Dynamics 365, meldt Microsoft in een blogpost. Alle gegevens van Europese klanten worden binnen de grenzen van het continent opgeslagen en gegevens die momenteel nog elders zijn, worden naar Europa verhuisd.

De keuze van Microsoft is het gevolg van jarenlange druk van zowel Europese politici als klanten van Microsoft. Zij maken zich namelijk zorgen over wat er met hun data gebeurt als die wordt opgeslagen binnen de Verenigde Staten. Eenmaal daar hebben de Europese instanties er immers geen grip meer op. Het is tegen de GDPR-wetgeving om derde partijen inzicht te geven in data van Europese burgers en bedrijven, maar vanaf deze kant van de oceaan is het lastig te controleren of techbedrijven zich hier daadwerkelijk aan houden.

Eerste cloudprovider met dit beleid

Microsoft is de eerste grote cloudprovider met een dergelijke stap. Het bedrijf zegt zich al te houden aan de GDPR-wetgeving en al een aantal extra privacydiensten aan te bieden. Zo kunnen klanten ervoor kiezen hun gegevens op te slaan in de EU en kunnen veel Azure-diensten geconfigureerd worden om data binnen de EU te verwerken.

Het is een enorme investering voor Microsoft om al zijn diensten volledig binnen de EU beschikbaar te maken, maar die lijkt het bedrijf terug te willen winnen door zichzelf in de markt te willen zetten als privacyvriendelijker dan bijvoorbeeld Google of AWS. Naast de EU-landen zullen ook Noorwegen, Zwitserland, IJsland en Liechtenstein onder het nieuwe beleid vallen.

Eind 2022 omgeschakeld

Technisch moet er nog veel gebeuren voordat Microsoft de stap kan zetten, dus het duurt nog even voordat gebruikers de gevolgen van de aankondiging te zien krijgen. Het bedrijf begint per direct met de transitie en verwacht eind 2022 alle benodigde wijzigingen geïmplementeerd te hebben.

© Techzine

Google gaat automatisch tweestapsverificatie bij gebruikers inschakelen

Google gaat binnenkort bij gebruikers automatisch tweestapsverificatie (2SV) inschakelen als hun account hiervoor correct is geconfigureerd. Gebruikers bij wie 2SV staat ingeschakeld moeten na het inloggen met gebruikersnaam en wachtwoord ook nog op een andere manier bewijzen dat ze de eigenaar van het account zijn. Dit kan op verschillende manieren, zoals het bevestigen van een Google-prompt op de telefoon.

“Je staat er misschien niet bij stil, maar wachtwoorden vormen de grootste bedreiging voor je online veiligheid – ze zijn eenvoudig te stelen, lastig te onthouden en vervelend om te beheren”, zegt Mark Risher van Google. “Eén van de beste manieren om je account tegen een gelekt of slecht wachtwoord te beschermen is het gebruik van een tweede verificatiefactor, een andere manier voor je account om te bevestigen dat jij het echt bent die inlogt.”

Bij gebruikers die er “technisch gezien al helemaal klaar voor zijn” zal tweestapsverificatie binnenkort automatisch worden ingeschakeld. “Dit verkleint de kans aanzienlijk dat zij het slachtoffer worden van kwaadwillenden die hun wachtwoord te weten zijn gekomen”, zo laat het techbedrijf weten. “We hopen dat wachtwoorden in de toekomst iets uit het verleden zijn, maar tot die tijd zijn authenticatie in twee stappen en beveiligingssleutels de beste manier om jezelf te beschermen.”

Lees hier verder. © Security.nl

Grote bedrijven kampen met meer datalekken, vooral door interne fouten

Steeds meer grote bedrijven hebben te maken met datalekken, blijkt vrijdag uit de Cybersecuritymonitor 2020 van het CBS. Dat gebeurt ook steeds vaker door interne fouten. In 2019 had 25 procent van de bedrijven met meer dan 250 werknemers daarmee te maken. In 2016 was dit nog 17 procent.

Volgens het CBS is van dataonthulling sprake als elektronische gegevens, zoals persoonsgegevens van klanten of digitale informatie over bedrijfsprocessen, onbedoeld geopenbaard worden.

De oorzaak kan zowel onopzettelijk zijn als door een aanval van buitenaf komen. Zo kan een medewerker per ongeluk een USB-stick met gevoelige bedrijfsinformatie laten slingeren in de trein, maar kunnen IT-systemen van bedrijven ook worden gehackt door cybercriminelen.

In totaal hadden 8 procent van de grote Nederlandse bedrijven in 2019 te maken met dataonthulling als gevolg van een aanval van buitenaf. In 2016 ging dit nog om 6 procent.

Dataonthulling vindt volgens het CBS vaker plaats bij grote firma’s. Bedrijven met meer dan 250 werknemers hebben relatief het vaakst te maken gehad met incidenten. Ook is bij deze bedrijven het aantal datalekken het sterkst toegenomen.

De meeste datalekken vinden plaats in de gezondheidszorg en in de ICT.

Lees hier verder. © Nu.nl. Lees ook Grotere bedrijven gevoeliger voor datalekken © VPNGids

© MeT-Groep