Loading

VEILIG DIGITAAL MAGAZINE SEPTEMBER 2021

INHOUD:

  • Strijden tegen schaamte rondom cybercrime
  • Waarom het wel degelijk zorgelijk is dat jouw privégegevens op straat liggen
  • Spyware Op Uw Android-Apparaat?
  • Ouders kunnen foto's van kinderen uit zoekmachine van Google laten halen
  • Banken mogen info over fraudeurs delen met elkaar
  • Aanvallers vermommen spam en phishing als valse QR-codes
  • WhatsApp foto’s laten verdwijnen na bekijken via eenmalige weergave
  • Twee derde Nederlanders bang voor datamisbruik door apps
  • Proofpoint Human Factor rapport: wat zijn de meest voorkomende cyberdreigingen
  • Videogesprekken veilig versleutelen
  • Instant messengers veilig gebruiken
  • Hackscenario's bij multifactorauthenticatie (mfa)
  • Back-ups maken volgens het 3-2-1-principe met gratis tools
  • Hoe werkt de AVG privacywetgeving en wat zijn jouw juridische rechten online?
  • Toegang tot Gmail verloren? Zo krijg je (mogelijk) toegang
  • Flinke kritiek op plan jaarlijkse cybersecurity-audit
  • Cyberaanvallen en ransomware hebben steeds meer impact op de maatschappij

STRIJDEN TEGEN SCHAAMTE RONDOM CYBERCRIME

De menselijke schakel staat centraal in verschillende projecten die mens en organisatie weerbaarder moeten maken tegen cybercrime.

Burgemeester van Heemstede Astrid Nienhuis (VVD) is lid van de stuurgroep van de City Deal Lokale Weerbaarheid Cybercrime, de paraplu waaronder veel van deze projecten vallen. Er moet meer bewustzijn komen, maar dat is niet makkelijk. Er is nogal wat schaamte rondom digitale incidenten die mensen ervan weerhoudt verhalen te delen.

Er is een bepaalde drempel waar je overheen moet om de schaamte te overwinnen

Gemiste kans

‘Mensen denken dat ze dom worden gevonden als ze in digitale trucs trappen’, zegt Nienhuis. ‘Terwijl we geen enkele schaamte voelen als onze fiets wordt gestolen of bij ons in wordt gebroken. Maar ik kan me voorstellen dat er ideeën zijn over de mate waarin je in staat moet zijn om er niet in te trappen.’ Zulke verhalen niet delen is volgens Nienhuis een ­gemiste kans. In Oost-Brabant ­vertellen slachtoffers daarom in het project Storytelling Cybercrime wat hen overkomen is, om zo het bewustzijn bij ouderen en laaggeletterden te vergroten.

Klein clubje

‘Er is een bepaalde drempel waar je overheen moet om de schaamte te overwinnen en daar willen we mensen bij helpen met behulp van storytelling. Als je er open over bent, kunnen anderen wat van je leren. Zo niet, dan kunnen we minder doen tegen criminaliteit. Het is een klein clubje mensen dat ons hiermee belaagt, dus laten we vooral met een grote groep de verhalen delen.’

Meer dan zeventig gemeenten

‘Het mooie van deze en ook van andere samenwerkingen uit de City Deal is dat we de krachten bundelen. We kunnen ook niet anders. We moeten samenwerken met ondernemers, ict-studenten en met partners, zoals we bijvoorbeeld doen bij HackShield.’ HackShield is een game waarmee kinderen worden opgeleid tot cyberagenten. De hoop is dat ze hun kennis overbrengen op hun (groot)ouders. ‘Het is begonnen in mijn eenheid bij Noord Holland, Samen Veilig, en inmiddels doen meer dan zeventig gemeenten mee.’

Geldezels

Een ander project dat dicht bij Nienhuis staat is de van oorsprong Haarlemse interventie bij geldezels, die ook begon bij Noord-Holland Samen Veilig. Het zijn vooral jongeren die bereid zijn om hun bankrekening ter beschikking te stellen aan cybercriminelen en door middel van een actie op sociale media probeert de gemeente ze ervan bewust te maken dat ze hierdoor helpen bij het witwassen van geld.

Naïviteit

‘Het lijkt misschien heel leuk, even meewerken met de criminele wereld’, zegt de burgemeester, ‘maar we wijzen de ­potentiële geldezels vooral op de risico’s. Er is veel naïviteit op dat terrein.’ Het is volgens Nienhuis een belangrijke verantwoordelijkheid voor burgemeesters en gemeenten om dat te corrigeren. ‘Jongeren zijn kwetsbaar als zij zich in de financiële problemen bevinden. Als je zorgt dat er ondersteuning is vanuit de gemeente op het terrein van schuldhulpverlening, dan zijn ze minder kwetsbaar.’

Strafrechtelijk circuit

‘Veel signalen komen vanuit het sociaal domein. Als bij grote instanties bekend is dat er achterstanden ontstaan, bijvoorbeeld qua huur, water of elektra, dan horen we dat en kunnen we schuldhulpverlening aanbieden. En stel dát de jongere zijn rekening beschikbaar heeft gesteld dan komt er ook overleg met de het Openbaar Ministerie: gaat deze jongere het strafrechtelijke circuit in of gaan we – indien nodig onder dreiging van straf - zo’n jongere helpen? Zo vlieg je het probleem van beide kanten aan.’ (bron:binnenlandsbestuur)

Waarom het wel degelijk zorgelijk is dat jouw privégegevens op straat liggen

Hackers weten binnen te dringen bij bedrijven, een organisatie plaatst per ongeluk klantgegevens online of diens medewerkers handelen in jouw privégegevens.

Je kunt er eigenlijk donder op zeggen dat je naam, adres, geboortedatum, e-mailadres, telefoonnummer en/of bankrekeningnummer op straat liggen of ligt. Je er niet druk over maken is onterecht, leggen deskundigen uit.

Zelfs met weinig gegevens kan een crimineel al aan de slag.

De risico's op en gevolgen van datalekken:

  • Overal waar je je aanmeldt, laat je informatie over jezelf achter, zoals je naam en contactgegevens.
  • Bedrijven en organisaties kunnen de controle over jouw persoonsgegevens verliezen: een datalek.
  • Die privégegevens zijn voor criminelen geld waard, omdat ze die kunnen gebruiken om je op te lichten.
  • Zelfs als je waakzaam bent, kun je slachtoffer worden, met financiële schade en stress als gevolg.

"Veel mensen staan er niet bij stil dat het delen van je naam, adres en telefoonnummer risico's met zich meebrengt", zegt Susanne van 't Hoff-de Goede, die bij De Haagse Hogeschool onderzoek doet naar cybercrime.

Zelfs met weinig gegevens kan een crimineel al aan de slag. Zo deed Van 't Hoff-de Goede onderzoek naar WhatsApp-fraude. Daarbij is een 06-nummer voldoende om een poging te wagen. De crimineel doet zich voor als zoon of dochter ("Hoi mam, dit is mijn nieuwe nummer") die dringend geld nodig heeft. Een op de twintig doelwitten maakt daadwerkelijk geld over, blijkt uit het onderzoek.

Het wordt gevaarlijker naarmate criminelen meer van je weten. In plaats van dat je een algemene e-mail ontvangt, word je aangesproken met je naam en staan er andere gegevens van jou in, die ook nog eens kloppen. "Mensen denken vaak dat criminelen die moeite niet nemen", zegt Van 't Hoff-de Goede. "Omdat de kans op succes daarbij groter is, kan het ze best genoeg geld opleveren."

"Zelfs als je in 0,5 procent van de gevallen succesvol bent, ben je als dader spekkoper", zegt Johan van Wilsem, die jarenlang onderzoek deed naar fraude met persoonlijke gegevens. "Als je met weinig inspanning toch raak schiet, is het alsnog de moeite waard."

Schade na een datalek is niet altijd (gelijk) voelbaar

Dat mensen zich er niet druk over maken dat hun gegevens op straat zijn beland, komt doordat ze daar niet direct voelbaar de gevolgen van ervaren, zegt Van Wilsem. Dat is onterecht, zegt hij. "Als je ziet hoe vaak datalekken voorkomen en hoe groot sommige zijn, dan is het niet onwaarschijnlijk dat jouw gegevens ooit gestolen zijn."

"Daar merk je in eerste instantie niets van. Zelfs als iemand je daarmee probeert op te lichten, hoef je nog niet door te hebben dat jouw gegevens eerder gestolen zijn. De diefstal van gegevens hoeft dus niet hinderlijk te zijn. Maar later kan het alsnog een probleem worden. Het brengt onzekerheid met zich mee."

Zelfs wie frauduleuze e-mails moeiteloos van echte kan onderscheiden en zogenaamde zoons of dochters met nieuwe 06-nummers achteloos van zich af weet te schudden, kan last krijgen van gelekte gegevens, zegt Van 't Hoff-de Goede.

"Iemand kan met jouw gegevens ook producten bestellen in een webwinkel en die onderscheppen bij een ophaalpunt", geeft ze als voorbeeld. "Sommige slachtoffers kunnen uiteindelijk wel bewijzen dat zij het niet waren. Dan ben je geen geld kwijt, maar het kost je wel een hoop tijd en levert je veel stress op."

'De tijd van de Afrikaanse prins is wel geweest'

Wie de schade niet vergoed weet te krijgen, lijdt bovendien emotioneel zwaarder onder bijvoorbeeld phishing (het ontvangen van frauduleuze berichten, bijvoorbeeld via e-mail). Zo kunnen slachtoffers bang worden, stress ervaren, zich schamen of zich machteloos, schuldig of onveilig voelen.

Het helpt niet dat mensen het slachtoffer soms de schuld geven van de criminele daad, licht Jildau Borwell toe. Zij onderzoekt de impact van cybercrime op slachtoffers. "Mensen krijgen te horen dat ze toch echt zelf op het linkje hebben geklikt. Of het probleem wordt kleiner gemaakt: 'Het is maar via de computer'. Terwijl we weten dat de impact van cybercrime niet onder hoeft te doen voor die van traditionele criminaliteit, zoals woninginbraak."

Waakzaamheid is geboden, stellen de deskundigen. "Ik zou zeggen: houd er serieus rekening mee dat je gegevens op straat liggen", zegt Van 't Hoff-de Goede. "Denk aan al die plekken waar je je gegevens achterlaat, van de verzekering en supermarkt tot de autodealer aan toe. Inmiddels zijn er zo veel bedrijven die eerlijk hebben toegegeven dat ze zijn gehackt en dat daarbij persoonlijke gegevens zijn buitgemaakt."

"We zouden best wat achterdochtiger mogen worden", vindt de onderzoeker. "Ik zie veel mensen die zeggen dat ze de risico's kennen, maar denken dat het hen niet overkomt. Zelf vertrouw ik mailtjes niet meer automatisch, ook niet als mijn gegevens erin staan. De tijd waarin een Afrikaanse prins je e-mailt en gouden bergen belooft als je eerst een voorschot overmaakt, is wel geweest." (bron: nu.nl)

Spyware Op Uw Android-Apparaat?

Niemand zou naar je telefoon moeten kijken. Dit is echter precies wat er gebeurt als jij spyware op jouw Android-smartphone hebt. Zo identificeer en verwijder je spyware.

Laten we beginnen met de basis. Spyware is, zoals je van de naam mag verwachten, spyware. Kwaadwillenden gebruiken het om in de gaten te houden wat je doet op je smartphone (of laptop of tablet).

Spyware kan onder andere uw e-mails en contacten lezen, maar in ernstige gevallen kent het programma uw betalingsgegevens. Technisch gezien is spyware een vorm van malware of malware. Omdat je het zelf hebt geïnstalleerd. In de meeste gevallen wordt spyware gebundeld in een applicatie die nuttig of interessant lijkt, zoals een game of een applicatie voor bestandsbeheer. Zodra je deze app hebt geïnstalleerd, geef je de trojan toestemming om binnen te komen en de spion de kans te geven zich op je telefoon te vestigen.

Uiteraard kan er ook spyware worden geïnstalleerd als je je (unlocked) smartphone kwijtraakt. Spyware kan uw apparaat zelfs op afstand vinden. Criminelen gebruiken bijvoorbeeld phishing-e-mails om spyware te verspreiden. Deze berichten bevatten een link waarop u niet moet klikken omdat deze malware bevat.

Spyware sluipt je telefoon binnen en zet vervolgens een masker op. Programma’s doen zich bijvoorbeeld voor als legitieme applicaties, of zelfs als onderdeel van het besturingssysteem (Android). Dit is vervelend omdat in sommige gevallen malware onder de radar kan glippen.

Indicatoren van spyware zijn onder meer een trage telefoon, willekeurige advertenties (adware) en het sneller leeglopen van de batterij dan normaal.

Wat doet spyware precies?

Dit hangt een beetje van de soort af. Je hebt meerdere variabelen. Sommige zijn relatief ongevaarlijk, dus je wilt “gewoon” je online gedrag bepalen, terwijl andere gegevens proberen te stelen om bijvoorbeeld je spaarrekening leeg te maken.

Keyloggers. Dit is misschien wel de meest bekende vorm van spyware. Dit soort programma’s proberen precies op te nemen wat u op het toetsenbord typt. Deze informatie kan erg waardevol zijn, bijvoorbeeld bij het inloggen op een internetbankieromgeving.

Ook heb je spyware die speciaal voor smartphones is ontwikkeld. Deze spionnen proberen bijvoorbeeld jouw geografische locatie, contacten en foto’s te onderscheppen. Deze gegevens kunnen vervolgens worden gebruikt als afpersingsinstrument. Je wordt bijvoorbeeld bedreigd met geld, anders sturen criminelen jouw intieme foto’s naar jouw kennissen.

Hoe weet ik of ik spyware op mijn Android-apparaat heb?

Dat is lastig te herkennen. Het programma doet er alles aan om zichzelf te vermommen, zodat je niet zomaar een spyware-app op je telefoon ziet. Het is dus belangrijk om goed op te letten.

Indicatoren van spyware zijn onder meer een trage telefoon, willekeurige advertenties (adware) en het sneller leeglopen van de batterij dan normaal. Kijk ook eens naar het dataverbruik op je smartphone (via Instellingen), want de verzamelde data moeten natuurlijk naar de criminelen achter de spyware worden gestuurd. Het is ook een goed idee om dit te doen: controleer of jouw telefoon, apps buiten de Play Store kan downloaden. Dit doe je via de pagina Beveiliging in het instellingenmenu van je telefoon.

Jouw apparaat kan standaard alleen apps downloaden van de Google Play Store, maar als Android-gebruiker ben je ook vrij om software van de officiële paden te verwijderen. Als deze optie is ingeschakeld op jouw smartphone, maar je hebt deze nooit zelf geactiveerd, heb je mogelijk spyware op jouw apparaat.

Spyware verwijderen: hoe doe ik dat?

Het verwijderen van spyware is makkelijker gezegd dan gedaan. Het moeilijkste is om uit te zoeken in welke app of software het zit.

Het is in ieder geval verstandig om de lijst met apps eens nader te bekijken. Weet je zeker dat je al deze programma’s zelf hebt geïnstalleerd? Bij twijfel over een app kun je Google het beste op naam laten zoeken. Als deze app spyware bevat, kom je er dankzij de media-aandacht snel achter.

Dan komt het erop aan om het te verwijderen. Het is het beste om dit in de veilige modus te doen. Deze functie is standaard op alle Android-smartphones en zorgt ervoor dat alleen essentiële apps werken. Dit maakt de veilige modus ideaal voor het oplossen van problemen.

Het is niet moeilijk om de veilige modus in Android te starten. Zorg ervoor dat jouw apparaat is ingeschakeld en houd de aan / uit-knop ingedrukt. Druk nu enkele seconden op de knop Uitschakelen en bevestig dat je de Veilige modus wilt starten. Je kunt de verdachte spywaretoepassing vervolgens op de gebruikelijke manier scannen.

Je kunt spyware ook verwijderen door jouw smartphone opnieuw in te stellen. Dit is een zeer strikte oplossing, omdat je het hele apparaat moet wissen (en mogelijk een back-up moet herstellen).

Ten slotte kun je spyware op Android ook verwijderen met gespecialiseerde apps. Bekende antivirus-apps zoals Bitdefender, Kasperky, MalwareBytes en Norton Mobile hebben ingebouwde trucs voor het verwijderen van spyware. Het nadeel van deze methode is dat de meeste van deze apps geld kosten. (bron: xboxonegaming/Madison Garrett)

Ouders kunnen foto's van kinderen uit zoekmachine van Google laten halen

Google neemt verschillende maatregelen die de veiligheid van minderjarigen op Google en YouTube beter moet waarborgen.

Het bedrijf schrijft in een blogbericht dat ouders voortaan onder meer een verzoek kunnen indienen om beeldmateriaal van hun kinderen uit de zoekmachine te laten verwijderen.

Google past ook zijn advertentiebeleid voor minderjarigen aan.

Een ouder of voogd kan bij Google aankloppen om de beelden te laten verwijderen. Ook kinderen zelf kunnen dat doen. "Natuurlijk wordt daarmee het beeld niet helemaal van het web verwijderd, maar we denken dat de verandering jonge mensen meer controle geeft over de afbeeldingen die online staan."

Google past ook zijn advertentiebeleid voor minderjarigen aan. "We blokkeren advertenties die zijn gebaseerd op leeftijd, geslacht of interesses voor mensen onder de achttien jaar." Dat moet ergens in de komende maanden gebeuren.

Op YouTube worden ook aanpassingen gedaan. Video's die door mensen onder de achttien jaar worden gepubliceerd, worden standaard op privé gezet. Een video kan alleen door anderen worden bekeken als de minderjarige gebruiker de video zelf op openbaar zet.

"We willen jongere gebruikers helpen beter geïnformeerde beslissingen te nemen over hoe ze hun content online delen", schrijft YouTube. Minderjarigen kunnen hun video's wel openbaar delen, maar moeten daar nadrukkelijk voor kiezen.

Ook wordt 'automatisch afspelen' standaard uitgeschakeld voor deze doelgroep. Ze kunnen wel door blijven kijken, maar moeten dan zelf een nieuwe video aanklikken. Verder gaat YouTube jongeren eraan herinneren af en toe een pauze te nemen of naar bed te gaan.(bron:Google)

Banken mogen info over fraudeurs delen met elkaar

De Autoriteit Persoonsgegevens (AP) verleent ruim 160 financiële instellingen een vergunning om – onder strenge voorwaarden – gegevens van fraudeurs te registeren en met elkaar te delen in een incidentenwaarschuwingssysteem.

De maatregel is nodig omdat fraudeurs vaak actief zijn bij meerdere instellingen. Banken en verzekeraars kunnen elkaar hiervoor waarschuwen door fraude-informatie uit te wisselen.

De voorwaarden voor de gegevensuitwisseling staan in het nieuwe Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI). Dit bevat regels waaraan banken en verzekeraars moeten voldoen om informatie over incidenten, zoals identiteitsfraude of bankhelpdeskfraude (spoofing), bij te houden en uit te wisselen.

Vergunning

AP-bestuurslid Katja Mur: “Banken en verzekeraars mogen dit soort gegevens alleen delen als zij een vergunning hiervoor hebben en zich houden aan het PIFI. De AP kan een vergunning ook weer intrekken als blijkt dat een onderneming zich niet houdt aan dit protocol.”

Financiële instellingen mogen zelf een overzicht van incidenten binnen de eigen organisatie bijhouden, inclusief persoonsgegevens. Maar ze mogen niet zomaar grootschalig gegevens uitwisselen. In PIFI is hier een strikte procedure voor. Als een instelling bijvoorbeeld een nieuwe klant aanneemt, mag deze instelling andere instellingen ‘bevragen’ of diegene geregistreerd staat.

Er komt geen centrale database of zwarte lijst waarin gezocht kan worden naar details over incidenten. Bij iedere vraag moeten de instellingen afwegen of het noodzakelijk is om de gegevens te verstrekken of te ontvangen.

Rechten van klanten

Banken en verzekeraars beheren gegevens zelf en blijven verantwoordelijk. Klanten van deze financiële instellingen hebben doorgaans het recht om te horen of zij geregistreerd staan. Ook kunnen zij bezwaar maken als zij menen dat hun registratie onterecht is.

“Fraudebestrijding en het opsporen van daders zijn natuurlijk van groot belang”, zegt Mur. “Maar het bijhouden en delen van strafrechtelijke gegevens moet wel met grote terughoudendheid en zorgvuldigheid gebeuren. We hebben in de Toeslagenaffaire gezien dat mensen ‘op het verkeerde lijstje’ terecht kunnen komen, met vreselijke gevolgen. Sta jij als fraudeur te boek, dan kan dat grote gevolgen hebben. Bijvoorbeeld dat je geen verzekering of lening kunt aanvragen.”(bron:AP)

Aanvallers vermommen spam en phishing als valse QR-codes

Cybercriminelen richten hun spamberichten en phishingcampagnes sinds het uitbreken van de COVID-19 pandemie vaak op deze pandemie.

Denk hierbij aan valst kortingen op bijvoorbeeld COVID-19-test, die tot de meest voorkomende behoren. Recentelijk zijn phishingadvertenties voor valse QR-codes en vaccinatiecertificaten voor restaurants en openbare evenementen populair geworden.

Dit blijkt uit onderzoek van Kaspersky experts, die deze spamberichten en phishingwebsites analyseerden. Het bedrijf identificeerde 5.000 pandemie-gerelateerde phishingwebsites, waarvan 300 in Europa en 34 in Nederland. Van maart 2020 tot juli 2021 heeft het cybersecuritybedrijf meer dan een miljoen pogingen van gebruikers om deze sites te bezoeken voorkomen. Het ging hierbij om anonieme data gebaseerd op Kaspersky productdetecties van maart 2020 tot juli 2021.

Om te voorkomen dat je het slachtoffer wordt van oplichterij is het belangrijk om sceptisch te zijn over ongewoon goede aanbiedingen en promoties.

Recent geïntensiveerd

De pandemie-gerelateerde oplichtingsactiviteiten bereikten een hoogtepunt in maart 2021. Kaspersky-onderzoekers constateerden een lichte daling in juni, waarna bleek dat cybercriminelen hun inspanningen intensiveerden. In juli detecteerden en blokkeerden Kaspersky-producten veertien procent meer pandemie-gerelateerde phishingwebsites dan in mei.

"Bij de meeste pandemie-gerelateerde fraude hebben cybercriminelen als doel om gebruikersdata te verkrijgen. Hiervoor wordt vaak phishing gebruikt: een gebruiker volgt een link uit een advertentie of e-mail en komt op een pagina waar hem wordt gevraagd om persoonlijke informatie en bankkaartgegevens in te voeren. Zodra zij deze informatie hebben, kunnen aanvallers deze gebruiken om geld te stelen van de rekeningen van een doelwit. Als je een bericht ziet over de pandemie, raden we je aan altijd te controleren of de informatie afkomstig is van een officiële bron en nooit je persoonlijke gegevens te verstrekken aan verdachte sites," zegt Alexey Marchenko, hoofd Content Filtering Methods Research bij Kaspersky.

Voorkomen dat je slachtoffer wordt

Om te voorkomen dat je het slachtoffer wordt van oplichterij is het belangrijk om sceptisch te zijn over ongewoon goede aanbiedingen en promoties. Daarnaast doe je er goed aan om geen links te volgen van verdachte e-mails of chatberichten en is het verstandig om altijd de echtheid van onbekende websites te controleren. (bron:Kaspersky)

WhatsApp foto’s laten verdwijnen na bekijken via eenmalige weergave

In Whatsapp kun je foto's en video's laten verdwijnen als de ontvanger ze eenmaal bekeken heeft. De optie 'eenmalige weergave' is bedoeld om gebruikers meer controle te geven over hun privacy.

Via Whatsapp is het leuk en eenvoudig om foto's en video's door te sturen. Vanwege privacy kan het echter zijn dat je bepaalde foto's en video's niet voor altijd in het bezit van anderen wilt hebben. Daarom lanceert Whatsapp de optie 'eenmalige weergave' waarbij de foto of video pas wordt geopend nadat de ontvanger er zelf op heeft getikt. Is de foto of video bekeken, dan kun je dat niet nog een keer doen. Dat zie je ook terug in het WhatsApp-gesprek via een herinnering dat de foto al is geopend.

Overigens moet de foto of video met eenmalige weergave binnen twee weken zijn geopend, anders 'vervallen' ze. Standaard worden de berichten versleuteld, met als reden dat WhatsApp de inhoud niet kan zien. Rapporteert een ontvanger echter een ontvangen bericht, dan wordt het wel beschikbaar gesteld aan WhatsApp.

Veel Whatsapp-gebruikers kunnen inmiddels al gebruikmaken van deze optie, de afgelopen dagen is deze 'eenmalige weergave' al beschikbaar gesteld aan miljoenen gebruikers.

De optie 'eenmalige weergave' is bedoeld om gebruikers meer controle te geven over hun privacy.

Versturen van foto of video met 'eenmalige weergave'

  1. Ga in WhatsApp naar een gesprek
  2. Maak een foto met je camera of open een foto uit bijvoorbeeld je galerij.
  3. Je ziet nu een het tekstvak aan de rechterkant een 1 staan. Tik hierop waarna de foto wordt verstuurd.

Zelf krijg je de foto niet te zien, maar verschijnt er als tekbericht in je gesprek een 1 met daarnaast de tekst: Foto.

Twee derde Nederlanders bang voor datamisbruik door apps

Maar liefst 64 procent van de Nederlanders vreest weleens dat apps of derde partijen hun data misbruiken.

Ondanks deze angst is een derde van hen bereid om hun persoonlijke gegevens te verruilen voor (financiële) voordelen in de app.

Bijna twee derde van de Nederlanders is bang voor datamisbruik door apps of derde partijen. Dit blijkt uit onderzoek van VPNdiensten.nl onder 1.103 Nederlanders van achttien jaar en ouder, uitgevoerd door Panelwizard. Er zijn wel grote verschillen als er wordt gekeken naar de leeftijd van de respondenten.

Vaak geldt: als iets gratis is, ben jij het product.

Verkeerde doeleinden

Vooral zestigplussers wantrouwen applicatieproducenten. Zo denkt 73 procent van hen dat apps of andere partijen hun gevraagde data voor verkeerde doeleinden gebruiken. Mogelijk daardoor ruilen zij minder snel hun persoonlijke gegevens in voor appvoordelen (23 procent) dan respondenten jonger dan dertig jaar (39 procent).

“Steeds meer apps vragen om privégegevens of toegang tot andere applicaties”, zegt Abel Baas van VPNdiensten. “Lang niet allemaal zijn ze transparant over waarvoor zij die gegevens nodig hebben, dus ik begrijp dat mensen hier sceptisch over zijn. Wees voorzichtig met het delen van persoonlijke data, hoe mooi premiumfuncties of financiële voordelen in apps ook klinken. Want vaak geldt: als iets gratis is, ben jij het product.”

Kleine lettertjes worden bijna niet gelezen

Ondanks de angst voor datamisbruik accepteert maar liefst tachtig procent van de Nederlanders de privacy-instellingen op apps zonder dat zij eerst de voorwaarden lezen. Met name jongeren tot dertig jaar (87 procent) accepteren die gelijk. Onder zestigplussers bedraagt dit percentage zeventig procent. Een mogelijke verklaring hiervoor is dat ze die voorwaarden onoverzichtelijk vinden. Zo vindt maar liefst 84 procent van de respondenten dat apps duidelijker moeten aangeven waarvoor ze de gevraagde gegevens gebruiken.

Eigen regie

Uit het onderzoek blijkt verder dat Nederlanders niet altijd roekeloos met hun eigen data omgaan. Zo staakt maar liefst 86 procent van de respondenten regelmatig een inlogprocedure wanneer een mobiele applicatie om teveel gegevens vraagt. Als blijkt dat applicatiefabrikanten over ongewenste data beschikken, vraagt een op de vijf Nederlanders hen weleens of zij die willen verwijderen. Mannen doen dit opvallend vaker (24 procent) dan vrouwen (15 procent). (bron:HCC)

Proofpoint Human Factor rapport

Elke dag analyseert Proofpoint meer dan 2,2 miljard e-mailberichten, 35 miljard URL's, 200 miljoen bijlagen en 35 miljoen cloudaccounts.

Aanvallers hacken niet, ze loggen simpelweg in. Daarom blijven mensen de belangrijkste factor bij het al dan niet slagen van cyberaanvallen. Het ecosysteem van bedreigingen heeft zich het afgelopen jaar ontwikkeld. Dit rapport beschrijft hoe een mensgerichte aanpak van cybersecurity de risico’s waar we nu mee te maken hebben, kan verkleinen.

Het rapport is gebaseerd op analyse van die gegevens over heel 2020 door een team van deskundige onderzoekers. De risico's en kwetsbaarheden die hierin naar voren komen, zijn:

  • Ransomware was alom tegenwoordig, met meer dan 48 miljoen malware-berichten die worden gebruikt als ingang voor ransomware-aanvallen. E-mail blijft de voornaamste methode voor cybercriminelen om first-stage malware mee te verspreiden.
  • Credential phishing – zowel gericht op consumenten als op bedrijven – was veruit het meestvoorkomende type cyberaanval, goed voor twee derde van alle schadelijke berichten. Credential phishing leidt tot de overname van een account, dat vervolgens weer wordt gebruikt voor andere aanvallen, zoals business email compromise (BEC).
  • Van alle phishing-methoden (bijlage, data, link) bleek de bijlage het meest succesvol, aangezien gemiddeld één op de vijf gebruikers hierop klikte - een hoger percentage dan de andere twee bij elkaar.
  • Er werden steeds complexere BEC-aanvallen uitgevoerd. Proofpoint ontdekte een geval waarbij een cybercriminele groep (TA2520) BEC gebruikte om zich voor te doen als directieleden. De aanvaller gaf meerdere e-mailontvangers de opdracht om bedragen van meer dan een miljoen dollar over te maken vanwege een zogenaamde bedrijfsovername.
  • Steganografie was opvallend succesvol. Meer dan één op de drie mensen op wie dergelijke aanvallen waren gericht, klikte op de schadelijke e-mail - het hoogste succespercentage van alle aanvallen. Bij steganografie wordt schadelijke software verborgen in schijnbaar onschuldige bestanden zoals foto's en audio. Nadat de moeilijk te detecteren bestanden op de computer van de gebruiker zijn beland, worden ze gedecodeerd en geactiveerd.
  • Aanvallen met CAPTCHA-technieken leverden vijftig keer meer clicks op dan vorig jaar. Omdat mensen CAPTCHA-tests meestal associëren met maatregelen om fraude tegen te gaan, klikte vijf procent erop - een stijging met een factor vijftig.
  • Cybercriminelen gebruikten Remote Access Trojans (RAT). Bijna één op de vier e-mailaanvallen gebruikte RAT-software. Het aantal aanvallen waarbij Cobalt Strike werd gebruikt - een commerciële securitytool die organisaties helpt systeemzwaktes op te sporen - is bijvoorbeeld met 161 procent gestegen.
  • Eén op de vier aanvalscampagnes gebruikte gecomprimeerde uitvoerbare bestanden om malware te verbergen. Bij deze methode moet een gebruiker een kwaadaardige bijlage zoals een Excel-spreadsheet of PowerPoint-presentatie openen om de payload uit te voeren. (bron:winmagpro)

Videogesprekken veilig versleutelen

De uitbraak van corona betekende een doorbraak voor veel communicatie-apps. Ze kwamen in de plaats van persoonlijke afspraken met familie, vrienden en collega’s. Maar videogesprekken kunnen in veel gevallen makkelijk onderschept worden. Met de juiste app hebben afluisteraars echter geen schijn van kans.

Als je je familie, vrienden en collega’s niet persoonlijk meer kunt ontmoeten, valt er dankzij de moderne technologie in ieder geval contact te houden via audio en video. Die communicatiekanalen hebben zo wel hun valkuilen, want in tegenstelling tot bij een-op-een-gesprekken is de privacy vaak niet gewaarborgd. In het ergste geval kan iedereen de gesprekken afluisteren en het dataverkeer onderscheppen.

Het goede nieuws is dat jij je makkelijk kunt beschermen door bestaande encryptiefuncties in te schakelen of een andere dienst te gebruiken.

Modernere communicatiemiddelen zoals Microsoft Teams en Telegram zijn niet automatisch veilig. Er wordt namelijk alleen voor gezorgd dat de gesprekken tussen de deelnemer en de aanbieder versleuteld worden. Dus als de provider dat wil (of er met een dwangbevel wordt gewapperd) kan hij de telefoongesprekken en videogesprekken van gebruikers makkelijk opnemen.

Het goede nieuws is dat jij je makkelijk kunt beschermen door bestaande encryptiefuncties in te schakelen of een andere dienst te gebruiken. Goede en te controleren encryptie is immers bij veel diensten al lang standaard. Idealiter wordt end-to-end-encryptie (E2E) gebruikt, die ervoor zorgt dat alleen de betrokken partijen een gesprek kunnen ontsleutelen. Daardoor valt er bijna even veilig te communiceren als wanneer jullie samen in dezelfde kamer zouden zitten.

Een van de meest gebruikte apps is ongetwijfeld WhatsApp. Het is dus zinvol om die chat-app ook te gebruiken voor telefoongesprekken en videochats. Als het op encryptie aankomt, valt er niets tegenin te brengen.

WhatsApp maakt gebruik van het Secure Real-Time Transport Protocol (SRTP) voor audio- en videocommunicatie. De gesprekken zijn E2E-versleuteld en kunnen momenteel niet worden afgeluisterd. In het eenvoudigste geval kun je beter via WhatsApp bellen dan compleet onversleuteld via de vaste lijn of je mobiele telefoon. Dat werkt zelfs bij groepen van maximaal 8 deelnemers.

Als er op een dag een crypto-achterdeur zou worden geëist, zou WhatsApp waarschijnlijk de eerste dienst zijn die hem zou moeten implementeren.

Maar er zitten twee addertjes onder het gras: de belfunctie werkt momenteel alleen op een smartphone of tablet, niet via WhatsApp Web op je pc. En dan heb je op de achtergrond altijd nog te maken met Facebook, die WhatsApp enige tijd geleden heeft overgenomen en die, zoals iedereen weet, zijn geld verdient met de gegevens van zijn gebruikers. De verleiding om gebruik te maken van de metadata van gebruikers en bijvoorbeeld het telefoonboek door te neuzen, is groot. Als er op een dag een crypto-achterdeur zou worden geëist, zou WhatsApp waarschijnlijk de eerste dienst zijn die hem zou moeten implementeren.

Sein Veilig

Als je waarde hecht aan je privacy, is Signal de beste dienst. De app is opensource, werkt zoals WhatsApp en gebruikt dezelfde encryptie, maar probeert de metadata tot een minimum te beperken. Als je wilt, kun je zelf naar achterdeurtjes zoeken in de broncode. Je kunt ook audio- en videogesprekken voeren via Signal, en dat werkt ook vanaf je pc. Met Signal zijn ook videogesprekken voor groepen met maximaal vijf deelnemers zijn al beschikbaar.

Veel andere chat-apps zijn nu ook geschikt voor versleutelde videogesprekken, waaronder Threema en Wire. Terwijl je met Threema momenteel maar met één persoon tegelijk kunt praten, ondersteunt Wire al groepsgesprekken met maximaal 25 deelnemers. Voor videogesprekken is de limiet 12 deelnemers.

Als algemene regel geldt dat je het beste de messenger kunt kiezen die de meeste van je contacten al in gebruik hebben. Bezitters van Apple-apparaten kunnen FaceTime gebruiken voor end- to-end versleutelde communicatie, maar kunnen dan alleen andere Apple-gebruikers bereiken. De limiet ligt daarbij op 32 deelnemers.

Googles tegenhanger heet Google Duo en werkt ook met E2E. De limiet ligt ook op 32 personen. Er zijn geschikte apps voor Android en iOS, en op je pc is de web-app via je browser te gebruiken. Google maakt er op zijn website geen geheim van dat metagegevens zoals telefoonnummers en apparaat-ID’s van de deelnemers ‘ongeveer een maand veilig op Google-servers worden opgeslagen om bugs te verhelpen en functies te verbeteren’.

In zakelijke omgevingen moet een videochatoplossing voor virtuele vergaderingen geschikt zijn voor groepen en te gebruiken zijn vanaf een pc. Microsoft Teams is handig en sluit naadloos aan op andere Microsoft-producten. Maar dat gemak heeft een hoge prijs: Teams ondersteunt op dit moment geen E2E-versleuteling. Vertrouwelijke gesprekken die vroeger face-to-face in vergaderruimtes werden gevoerd, kunnen in principe dus worden afgeluisterd als er toegang wordt verkregen tot de Microsoft-servers. Skype-gesprekken zijn alleen E2E-versleuteld als je specifiek een privéchat start. Dat werkt echter nog niet met de webversie.

Het videoconferentieplatform Zoom is al een grote stap vooruit en kan E2E-versleutelde videoconferenties met maximaal 200 deelnemers aan. Klik op de Zoom-website na het inloggen op de instellingen onder je account op het tabblad security en activeer de optie ‘allow use of end-to-end encryption’. Na het bevestigen van het aanzetten via een code via je mobiele nummer kun je bij ‘default encryption type’ kiezen voor end-to-end encryption en de keuze opslaan. Verwar die functie echter niet met de optie ‘enhanced encryption’: die optie is minder veilig omdat Zoom daarbij de sleutels voor E2E-encryptie weet. Binnen een vergadering kun je E2E herkennen door op het groene schildje in de linkerbovenhoek te klikken.

E2E-encryptie is ook beschikbaar voor andere professionele videoconferentieprogramma’s, zoals Cisco WebEx. Het is het beste om via de site van de dienst zelf meteen na te gaan hoe het met de encryptie zit.

In het ideale geval gebruik je helemaal geen externe infrastructuur voor vertrouwelijke communicatie, maar draai je zelf intern een server. Dat heeft het voordeel dat je alles onder controle hebt – ook de metadata. In het beste geval verlaten de gesprekken het bedrijfsnetwerk niet eens en zijn de werknemers die vanaf thuis werken versleuteld verbonden via een VPN.

De opensource videoconferencing-oplossing Jitsi maakt goede stappen voorwaarts. Je kunt de server zelf beheren en er zijn geschikte clients beschikbaar voor iOS en Android en een webversie. Het ontwikkelteam is momenteel bezig met het implementeren van E2E-encryptie in Jitsi. Je kunt de functie nu al uitproberen met een browser die Chromium 83 en nieuwer gebruikt (Edge, Chrome, Opera, Brave) en de Electron-client. Als je een Nextcloud draait, kun je ook realtime end-to-end versleuteld communiceren met Nextcloud Talk.

Vaste lijn versleuteld

Zoals we in het begin al hebben aangegeven, is vaste telefonie ook problematisch: de gesprekken, die normaal gezien via VoIP worden gevoerd, zijn volledig onversleuteld. Iedereen die onderweg de gegevens aftapt, kan makkelijk meeluisteren en de gesprekken manipuleren. E2E-versleuteling kan niet makkelijk worden geïmplementeerd, maar transportversleuteling naar de VoIP-provider is in ieder geval wel mogelijk. Met een AVM Fritzbox is versleuteld bellen te activeren sinds FritzOS-versie 7.20.

Als je VoIP-provider ook netjes meewerkt, worden de gesprekken versleuteld naar de provider verzonden en idealiter ook versleuteld van daaruit naar de andere partij. Daar wordt SIP-over-TLS (SDES-sRTP) voor gebruikt.

Conclusie

Of het nu gaat om het bijkletsen met je familie en vrienden of allerlei virtuele vergaderingen terwijl je (deels) thuis aan het werk bent: door de juiste keuze te maken, kun je in alle gevallen niet alleen comfortabel maar ook versleuteld videogesprekken houden. Er is geen reden om dat niet te doen, en het argument dat je niets te verbergen hebt hoort eigenlijk allang in de prullenbak te liggen. Vooral in tijden waarin allerlei apps face-to-face-vergaderingen vervangen, moet je zo veel mogelijk aan het versleutelen slaan. (bron: C't)

Instant messengers veilig gebruiken

Met een messenger kun je met vrijwel iedereen makkelijk en snel bijkletsen. Maar dat je dat doet, en wat je elkaar allemaal toevertrouwt, blijft niet altijd privé. De keuze van de gebruikte messenger is daarbij van cruciaal belang.

Via WhatsApp maak je afspraken om samen te gaan wandelen of sporten en komen de foto’s van de nieuwste telg in de familie met een simpele tik op een knop bij iedereen terecht. Dat is bijzonder handig, en de end-to-end encryptie van die messenger kun je zien als garantie voor geheimhouding – maar dat is toch echt te kort door de bocht.

Bij het versturen van berichten via instant-messages zijn er drie risico’s waar je je bewust van moet zijn. Slechts één van die drie (dat iemand stiekem meeleest) kan worden ingeperkt met end-to-end-encryptie. Wat je aan wie vertelt is alleen betrouwbaar beschermd als dat op jouw apparaat wordt versleuteld voordat het naar internet wordt gestuurd en pas wordt ontsleuteld op de apparaten van je chatpartners nadat ze via internet zijn aangekomen.

Bij de populaire Telegram-dienst geldt dat principe bijvoorbeeld alleen voor specifieke geheime chats met beperkte opties. Met Microsoft Teams, dat alle berichten op de server ontsleutelt en alleen voor aflevering opnieuw versleutelt, is gegevensbescherming altijd een ondergeschoven kindje.

Bij WhatsApp en vooral de opensource-concurrenten Signal en Threema wordt inhoud als veilig afgeschermd beschouwd.

Je kunt WhatsApp gebruiken zonder je adresboek te delen

Niet te vergeten: metadata

De tweede overweging is de informatie over wanneer wie met wie chatte. Dat maakt je tijdens het wandelen misschien niet uit. Anderzijds zijn foto’s die worden gedeeld op de plaats en het tijdstip van je wandeling wel weer iets wat je niet per se met iedereen wilt delen. Daarom moet je er ook op letten hoe goed je contactgegevens en die van je gesprekspartners beschermd zijn. WhatsApp wil tijdens het installeren al leestoegang tot je hele adresboek. Als je dat niet expliciet weigert, komen de gegevens direct bij Facebook terecht.

Ogenschijnlijk dient dat om WhatsApp-gebruikers onder je kennissen voor je op te sporen, maar Facebook heeft er groot belang bij die informatie te bezitten. Het hele bedrijfsmodel van Facebook is namelijk gebaseerd op het vermarkten van het wereldwijde sociale netwerk met alle denkbare informatie als een perfect reclameplatform en je te labelen als een geadresseerde voor gerichte reclame.

Je kunt WhatsApp gebruiken zonder je adresboek te delen, maar dan moet je wel allerlei capriolen uithalen om te chatten met partners van wie je nog nooit een WhatsApp-bericht ontvangen hebt. Dan laat je je wandelpartner je bijvoorbeeld een bericht sturen, en meld je je aan voor de wandelgroep. Daarna kun je naar hartenlust wandelingen plannen zonder wereldwijde niet zichtbare bemoeienis.

Vertrouwen, checken, wie?

Het derde knelpunt heeft betrekking op de identiteit van je gesprekspartners. Een goede messenger maakt het niet alleen moeilijk om je je in een chat als iemand anders voor te doen, maar geeft de deelnemers ook de kans om de authenticiteit van een gesprekspartner te controleren. Die bescherming is belangrijker dan je je op het eerste oog realiseert: een e-mail waarin om de pincode van je bankpas wordt gevraagd, zal waarschijnlijk direct je gezonde verstand aanwakkeren. De situatie bij een messenger is daarentegen niet zo duidelijk. Een bericht dat zogenaamd van een goede vriend komt en je vraagt om je WhatsApp-verificatiecode, is moeilijk te controleren op zijn oorsprong. Maar als een oplichter de gewenste code onder een valse naam weet te verkrijgen, kan hij daarmee je WhatsApp-account overnemen, je ervan uitsluiten en onder jouw naam voortaan allerlei oplichtingspraktijken aanzwengelen.

Alle populaire messenger-apps doen hun best om de accounts van hun gebruikers te beveiligen tegen misbruik. Bij Signal en Telegram kun je in de chat voortaan een code van je partner opvragen en die vergelijken met een referentiecode. Als je je mobiele apparaat verliest, is misbruik te voorkomen door de inloggegevens te beveiligen via 2FA of MFA.

Kaf van koren scheiden

Diensten uit de mobiele wereld zoals WhatsApp, Telegram, Signal en Threema verschillen slechts oppervlakkig van tools als Teams, Slack en Stackfield, die eerst bekend werden als browser-apps op de desktop. Hoewel de aanmeldprocedures verschillen, lopen de twee categorieën in elkaar over en moeten de messengers op dezelfde criteria beoordeeld worden.

Voor WhatsApp en Telegram en andere registreer je je met je telefoonnummer via je smartphone, en uit de apparaat-identificatie wordt het gebruikersaccount van de dienst afgeleid. Als je van telefoon verandert, eventueel zonder het contract met je provider te wijzigen, moet je de messenger op het nieuwe toestel opnieuw aanmelden. De details verschillen van platform tot platform en van messenger tot messenger. Je start het proces bijvoorbeeld vanaf de app die op het nieuwe apparaat geïnstalleerd is, en ontvangt vervolgens een bevestigingscode op het oude apparaat die je op de nieuwe dan moet invoeren. Threema is een uitzondering: die messenger werkt zonder een persoonlijk gebruikersaccount via een willekeurig gegenereerde ID, zonder dat je ooit iets over jezelf vastlegt.

Als je geen smartphone bezit of je privésmartphone niet wilt registreren voor een dienst die op het werk wordt gebruikt, zit je bij die messengers (met uitzondering van Threema) niet goed. In dat geval kunt je beter diensten als Teams, Stackfield of Slack gebruiken, waarbij je je registreert via de website en je wachtwoord en de registratie bevestigt in antwoord op een sms of e-mail van de dienst.

Ongeacht de apparaat-id kun je alle populaire mobiele messengers nu of binnenkort al op meerdere apparaten tegelijk gebruiken, zie de tabel voor details. Telegram biedt bovendien de mogelijkheid om de app met maximaal drie accounts vanaf hetzelfde apparaat te gebruiken.

De andere messengers

Messengers zoals Rocket.Chat op basis van de Jabber-opvolger XMPP en het gedecentraliseerde communicatiesysteem Matrix maken nog uitgebreidere beveiligingsopties mogelijk. Je kunt ook zelf een eigen server voor deze diensten opzetten met opensourcesoftware en die autonoom draaien. Deze aanpak gaat echter ten koste van het bereik dat je ermee haalt. Zelfs als ze een standaard zoals XMPP implementeren, bevatten de meeste van deze diensten nog afzonderlijke extensies en werken ze slechts onvolledig met elkaar samen.

Er zijn legio instant messengers

Als je wilt chatten met dissidenten die vallen onder een totalitair regime, is je privacy tot het uiterste te beschermen met het Briar Project. Dat berust op end-to-end versleutelde verbindingen via het Tor-netwerk, of werkt zelfs geheel zonder continue internetverbinding, zoals via tussenstappen met gesmokkelde usb-sticks. Op deze manier kunnen alleen tekstberichten worden uitgewisseld en moeten de partners via een ander kanaal een gespreksdatum afspreken, omdat er niets wordt opgeslagen. Anderzijds werpt dit drempels op voor een aanvaller, zelfs als deze alleen de deelnemers aan het gesprek wil identificeren. (bron: C't, met medewerking van Hans-Peter Schüler en Daniel Dupré )

Hackscenario's bij multifactorauthenticatie (mfa)

Multifactorauthenticatie ofwel mfa is in opkomst als een manier om accounts extra te beveiligen, zodat slechts een wachtwoord niet meer volstaat om binnen te komen. Deze methode is zonder meer veiliger, maar waterdichte garanties zijn er evenmin. We bekijken enkele uiteenlopende hackscenario’s.

Steeds meer diensten en websites dwingen gebruikers tot veiliger oplossingen op basis van multifactorauthenticatie (mfa), ook wel multi factor verification (mfv) genoemd – hoewel de termen authenticatie en verificatie niet helemaal identiek zijn.

Ook al wordt in bedrijfsomgevingen vaak adaptieve mfa toegepast, waarbij contextuele gegevens en bedrijfsregels bepalen welke factoren in een gegeven situatie gebruikt moeten worden, gaat het bij de meeste mfa-implementaties om twee factoren (2fa). Hierbij heb je naast iets wat je kent of weet, zoals een pincode of een wachtwoord, ook een factor nodig die je bezit, zoals een usb-token of een smartcard, of een die je ‘bent’. Bij dit laatste gaat het dan om biometrische authenticatie, zoals een vingerafdruk of een retinascan.

Heel wat diensten en websites spreken wel over 2fa, maar laten een gebruiker inloggen met twee factoren van hetzelfde type. Over het algemeen tweemaal iets wat je kent. In die gevallen hebben we het (slechts) over tweestapsauthenticatie.

Het mag duidelijk zijn dat mfa (en 2fa) absoluut veiliger is dan sfa (singlefactorauthenticatie, dus alleen een wachtwoord bijvoorbeel), en producenten pakken daarom graag uit met de claim dat hun mfa-oplossing nog nooit is gehackt. Maar zelfs áls dat zo is, dan kunnen er de volgende dag wellicht wél kwetsbaarheden worden gevonden, of dat nu door pentesting, fuzz testing, een kwetsbaarhedenscan of threat modeling gebeurt. Bij threat modeling worden alle denkbare bedreigingen geïdentificeerd, vervolgens geprioriteerd en (hopelijk) ook opgelost.

Het grootste veiligheidsprobleem met mfa blijft wel dat zo’n oplossing allerlei ondersteunende componenten en infrastructuren bevat waar de producent van de mfa-oplossing geen controle over heeft.

Mfa-componenten

Het grootste veiligheidsprobleem met mfa blijft wel dat zo’n oplossing allerlei ondersteunende componenten en infrastructuren bevat waar de producent van de mfa-oplossing geen controle over heeft. Veiligheidsexpert Roger Grimes hamert er in zijn uitstekende boek ‘Hacking Multifactor Authentication’ voortdurend op dat zowat elk onderdeel op een of andere manier vatbaar is voor hacking. We beperken ons hier tot twee componenten.

Zo is een van de eerste fasen in een mfa-proces de initiële registratie, ook wel provisioning of enrollment genoemd. Dat gebeurt via een identity provider die op basis van enkele unieke attributen de identiteit van de aanvrager hoort te bevestigen. Helaas bewijst de praktijk vaak anders. Zo vertrouwen veel services op ‘geverifieerde’ accounts van Google of Facebook, terwijl er massale hoeveelheden frauduleuze accounts actief zijn.

Of neem een op zich degelijk systeem als PGP (Pretty Good Privacy). Ook hier zetten frauduleuze gebruikers publieke sleutels van anderen in, omdat ontvangers toch zelden de geldigheid van de bijhorende digitale handtekening checken.

Hardware is uiteraard ook een onmisbare component in mfa-implementaties, en of het nu gaat om computers, telefoons of netwerkinterfaces, hardware blijkt altijd wel te compromitteren, waarna het authenticatieproces niet langer betrouwbaar is.

Initiatieven als Trusted Computing proberen dat tegen te gaan en ervoor te zorgen dat elke niet-geautoriseerde aanpassing wordt gedetecteerd. Een typisch voorbeeld is het Trusted Boot-proces van Windows 10, waarbij de bootchip-code van de UEFI-firmware digitaal is ondertekend en elke daaropvolgende hardwarecomponent op de vorige vertrouwt om zijn eigen handtekening te verifiëren, tot Windows is opgestart.

Social engineering

De meeste mfa-aanvallen blijken een mix te zijn van social engineering-technieken en zuiver technische malversaties, waarbij de eerste vaak het pad effenen voor de tweede.

Social engineering zou in al zijn varianten, zoals spear phishing, vishing (phishing over voice) en smishing (phishing via sms), voor zo’n 80 procent van alle digitale inbreuken verantwoordelijk zijn. Ook mfa-oplossingen zijn zeker niet immuun voor dit type aanvallen.

Het meest populair is de truc waarbij een gebruiker via phishing naar een valse site wordt gelokt die niet zelden voorzien is van een geldig digitaal certificaat, dankzij gratis diensten als Let’s Encrypt. Zo’n site imiteert een legitieme site waarop de gebruiker zich aanmeldt met mfa, bijvoorbeeld op basis van de Google Authenticator-app. Zodra het wachtwoord en de gegenereerde code zijn ingevoerd, vraagt de valse site om extra beveiligingsinformatie, zoals wachtwoordherstel- of creditcardgegevens, en pas daarna wordt de gebruiker alsnog naar de echte site doorverwezen.

Een andere, vaak toegepaste social engineering-truc is als een scammer iemand opbelt of een bericht stuurt, zogezegd uit naam van zijn financiële instelling. De scammer waarschuwt de gebruiker dat er frauduleuze transacties zijn vastgesteld, maar dat de instelling die kan blokkeren zodra de gebruiker zijn inloggegevens ter verificatie heeft doorgegeven.

Met deze gegevens kan de scammer het gebruikersaccount nu in herstelmodus plaatsen; alsof je je wachtwoord vergeten bent. Veel mfa-aanbieders bieden alternatieve authenticatiemethodes aan als het een legitieme gebruiker niet meer lukt zich aan te melden. Helaas zijn deze back-up-authenticatieprocedures meestal weinig dwingend.

Door de herstelmodus zal de nietsvermoedende gebruiker bijvoorbeeld een nieuwe code op een alternatief e-mailadres doorgestuurd krijgen. In het slechtste geval kan zo’n code zelfs naar een niet eerder geregistreerd e-mailadres worden verstuurd, wat het de scammer wel heel makkelijk maakt, aangezien hij dan een eigen adres kan invullen. In het andere geval meldt de scammer aan de gebruiker dat ook deze code ter verificatie moet worden doorgestuurd, waarna hij met die code het account kan overnemen.

Heel wat diensten laten de gebruiker in de herstelmodus een aantal vooraf beantwoorde persoonlijke vragen oplossen. Vragen als je geboortedatum, je postcode en de locatie van de eerste ontmoeting met je partner. Stemmen de antwoorden overeen, dan gaat zo’n dienst ervan uit dat het om de legitieme gebruiker gaat. Deze drie herstelvragen volstonden bijvoorbeeld om het e-mailaccount van oud-vicepresidentskandidate Sarah Palin over te nemen.

De moraal van dit verhaal: als het ook maar enigszins mogelijk is, vermijd dan de persoonlijke vragen voor de herstelmodus. Maak je er toch gebruik van, verzin dan bij voorkeur specifieke antwoorden voor iedere website en bewaar ze in een wachtwoordbeheerder.

Brute force

Ook zijn er nog altijd accounts die zich via ‘brute force’-technieken laten hacken. Hierbij worden talloze pogingen met telkens andere wachtwoorden of pincodes uitgevoerd tot de login slaagt. Dat kan zowel handmatig als met geautomatiseerde tools, zoals L0phtcrack, John the Ripper of Burp Suite. Zo werd met Burp Suite bijvoorbeeld een mfa-oplossing op basis van een otp (one-time password) gehackt.

De hacker ontving een otp-verzoek, en na een analyse van het bewuste pakket wist hij dat er een code van zes cijfers werd verwacht. Hij sluisde het pakket door naar het tabblad Intruder van de Burp Suite, waar hij het bewuste otp-veld via brute force door diverse mogelijke combinaties liet vervangen tot de otp door de server werd geaccepteerd.

Een min of meer vergelijkbare poging op de otp-oplossing van Instagram werd succesvol uitgevoerd door een whitehat-hacker (die daarvoor een bug bounty van 30.000 dollar van Facebook ontving). Ook deze service verwachtte een code van zes cijfers voor de 2fa – binnen de otp-verlooptijd van 10 minuten. Bovendien liet Instagram niet meer dan 250 pogingen toe per ip-adres.

Wel bleek het mogelijk tot 500 pogingen te ondernemen wanneer er afwisselend een ander ip-adres werd gebruikt. Voor 150 dollar kon de hacker via een cloudservice-provider ten slotte de brute force-aanval uitvoeren, vanaf zo’n 4000 ip-adressen tegelijk.

Mite en mitb

Een andere manier om gegevens buit te maken, zijn mitm-aanvallen (man-in-the-middle), maar uiteraard zijn er ook mite-aanvallen mogelijk. Dat staat voor man-in-the-endpoint, waarbij een hacker erin slaagt een toestel van de gebruiker zelf te compromitteren. Het zal je weinig verbazen dat in zo’n scenario eigenlijk geen enkele communicatiewijze nog betrouwbaar is, en dus ook mta niet.

Zo’n mite-aanval vinden we bijvoorbeeld vaak terug bij banking trojans. Hierbij wordt in de lokale pc met behulp van social engineering of drive-by-downloads eerst een trojan geïnstalleerd. Die monitort heimelijk wat er in de browser gebeurt (man-in-the-browser, mitb). Wanneer er een trefwoord herkend wordt dat aangeeft dat de gebruiker zich aanmeldt bij een bancaire instelling, start de trojan een tweede, verborgen browsersessie. Zodra de gebruiker – al dan niet via mfa – is aangemeld en zijn rekeningen bekijkt, wijzigt de trojan stiekem de accountinformatie en doet een bankoverschrijving naar een frauduleus bankaccount. Vraagt de bank om nadere uitleg, dan komt die automatisch terecht bij de hackers.

Om deze praktijken tegen te gaan, stuurden banken bij wijze van mfa authenticatiecodes door, gelinkt aan een specifieke transactie. Aanvankelijk hielp dat, maar de banking trojans pasten zich aan. Voortaan wachtten ze tot de gebruiker zelf een banktransactie deed, om dan in het geniep alleen de eigen transactie naar de bank te verzenden. Die stuurde daarop de mfa-code voor de frauduleuze transactie door en de gebruiker tikte die nietsvermoedend in.

Namespace hijacking

Een ‘namespace’ verwijst naar een gedeeld systeem waarbinnen objecten op een specifieke wijze opgeslagen en gelokaliseerd worden. Bekende namespaces zijn bijvoorbeeld AD (Active Directory in domeinnetwerken), LDAP (Lightweight Directory Access Protocol) en DNS (Domain Name System). Deze laatste zet webadressen om in de bijhorende ip-hostadressen en is daarmee een gewild doelwit voor allerlei aanvallen, waaronder DNS-hijacking.

We beperken ons hier tot een paar veelgebruikte methodes, waarvan de eenvoudigste de zogenoemde ‘doppelganger domains’ zijn. Dat zijn domeinnamen die bijna identiek zijn aan bekende exemplaren, zoals www.arnazon.com (in plaats van amazon), www.llnkedin.com (linkedin) en www.micosoft.com (microsoft). Iets technischer is malware die de instellingen van de DNS-client aanpast, meestal door de DNS-server bij de gebruiker te wijzigen of door het hosts-bestand van malafide ingangen te voorzien.

Dit laatste kun je in Windows snel zelf uitzoeken. Druk op Windows-toets+R en voer %windir%\system32\drivers\etc in. Versleep het bestand hosts naar je bureaublad en open dit in Kladblok. Voeg de regel <ip-adres> <hostnaam> toe, met het ip-adres van een andere webserver dan die van de hostnaam). Sla het bestand op, versleep het weer naar de originele submap en sta de operatie toe.

Herstart je pc en tik de hostnaam in je browser in. Je wordt nu omgeleid naar de webserver van het ip-adres. Een andere populaire techniek zijn de domain hijacks. Een hacker slaagt erdan in een ‘authoritative’ DNS-server over te nemen (wellicht via het account van een DNS-beheerder), waarna hij het ip-adres van een DNS-record naar een onbetrouwbare locatie laat verwijzen.

Access token

Wanneer een gebruiker zich succesvol authenticeert, genereren de meeste authenticatiesystemen een access (control) token en sturen dat door naar (het betreffende proces van) die gebruiker. Zo’n token kan de vorm aannemen van bijvoorbeeld een Kerberos-ticket (in een Windows-netwerk), maar kan net zo goed een html-cookie zijn, bijvoorbeeld als de gebruiker zich bij een website wil aanmelden. Dit token zorgt ervoor dat de gebruiker zich voor de daaropvolgende handelingen binnen dezelfde sessie niet telkens opnieuw hoeft aan te melden.

Natuurlijk, wie zo’n access token in handen krijgt, kan zich dus binnen zo’n sessie voordoen als de legitieme gebruiker (session hijacking). Dat kan in principe op twee manieren. Zo zijn er nog altijd heel wat websites die eenvoudig te raden sessie-ID’s gebruiken, zodat ze makkelijk kunnen worden gereproduceerd. Maar tokens stelen is vaak nog eenvoudiger, bijvoorbeeld door het kapen van een netwerksessie met tools als het reeds eerder vermelde Burp Suite of WebScarab (een onderdeel van Kali Linux).

In feite komt dit neer op een mitm-aanval. Zo’n opzet is bijvoorbeeld mogelijk wanneer de hacker ongemerkt een proxy node opzet die alle commando’s van de client en de server naar de andere partij doorstuurt. In een lan kan dat bijvoorbeeld via arp poisoning. Loopt de communicatie over internet, dan kan de gebruiker bijvoorbeeld via phishing of met een doppelganger domain naar de malafide proxy worden gelokt waar alle input van de gebruiker, waaronder zijn mfa-authenticatie, in het geheim wordt doorgestuurd naar de echte doelsite (en omgekeerd).

Onbetrouwbare software

Soms maken de ontwikkelaars van mfa-oplossingen of van een van de ondersteunende componenten hackers het ongewild makkelijk. Er duiken namelijk nog vrij vaak kwetsbaarheden op in zulke software. Hier vind je een lijst met veelvoorkomende software-onvolkomenheden, specifiek voor authenticatie-doeleinden.

Wil je zelf uitzoeken of er hiaten zijn gevonden bij een (authenticatie-)product of softwareproducent, raadpleeg dan de CVE Details-database (Common Vulnerability and Exposures). Hier zie je ook de meest gebruikelijke programmeerfouten. We beperken ons hier tot twee bekende types: xss en buffer overflow.

Xss staat voor cross-site scripting en is een aanval op basis van code-injectie aan de clientzijde. Deze injectie kan bijvoorbeeld plaatsvinden wanneer je een webpagina met een malafide code bezoekt (persistent xss) of er via een ‘foute’ link terechtkomt (reflected xss). Bij deze laatste zijn dan aan het einde van de url extra parameters toegevoegd die door de server als commando’s worden geïnterpreteerd. Die kunnen er bijvoorbeeld voor zorgen dat de gebruiker stiekem naar een andere site wordt omgeleid.

Het andere type, buffer overflow, is bijna net zo oud als het programmeren zelf. Hierbij wordt bijvoorbeeld aan een listening service andere dan de verwachte en ook meer data doorgespeeld, waardoor deze input niet alleen de voorziene dataruimte opvult, maar ook de coderuimte, zodat de programma-instructies van de hacker worden uitgevoerd.

Fysieke aanval

Xss en buffer overflow zijn dus ongewilde bugs door ontwikkelaars van mfa-oplossingen, maar aan de andere kant van het spectrum bevinden zich de doelbewuste hardware-manipulaties door hackers. Dat kan zo simpel zijn als ‘schoudersurfen’ (meekijken over de schouder van een weinig alerte gebruiker – daarom ook hangen er doorgaans spiegels bij bankautomaten) of diefstal van het mfa-apparaat, zoals een totp-apparaat (time-based one-time password). Maar het kan ook veel geavanceerder, tot zogenoemde side-channel attacks (laterale kanaalaanvallen) aan toe.

Bij zo’n aanval wordt informatie verkregen door de fysieke implementatie van een systeem, zoals een specifiek energieverbruik, ultrasone emanaties (van beeldschermen) of elektromagnetische lekken. Op deze site kun je meer technische details lezen over een side-channel-aanval van begin 2021 op de security keys van Google Titan en YubiKey op basis van elektromagnetische straling.

Of wat tenslotte te denken van cold boot-aanvallen, waarbij geheugenchips zoals de TPM-chip (Trusted Platform Module) worden bespoten met vrieslucht, zodat de inhoud van de chips even behouden blijft – waaronder bijvoorbeeld de (decryptie)sleutel van een encryptietool als BitLocker. Vervolgens kan een hacker de inhoud van die chips met speciale software naar een ander apparaat kopiëren en daar uitlezen om zo de sleutel te bemachtigen.

Dergelijke aanvallen zijn al met succes gedemonstreerd en ook op YouTube vind je hier aardig wat video’s over. Net zoals over vele andere aanvallen waarmee ook mfa-oplossingen te omzeilen zijn.(bron: C't)

Back-ups maken volgens het 3-2-1-principe met gratis tools

Wanneer je back-ups maakt volgens het 3-2-1-principe, is de kans klein dat je bestanden ooit nog per ongeluk kwijtraakt. Je hebt dan namelijk minimaal drie back-ups achter de hand op twee verschillende media, waarvan één offline en bij voorkeur ook op een fysiek andere locatie. Hiervoor kun je gratis tools inzetten, zoals Duplicati 2 en Resilio Sync. We leggen uit hoe je dit opzet.

In onze constructie laten we data van elke pc in het netwerk met een centrale pc synchroniseren en zorgen we vervolgens ervoor dat van al deze synchronisatiemappen regelmatig back-ups naar diverse media worden gemaakt.

Voor Resilio Sync zetten we een eigen, bij voorkeur speciale pc in, zodat je geen (privacygevoelige) data in de cloud hoeft te bewaren. Idealiter draait op deze pc een schone Windows-installatie met daarop alleen Resilio Sync en Duplicati. Je maakt hier bij voorkeur ook een submap aan voor elke pc of gebruiker van wie je data wilt synchroniseren.

Resilio Sync installeren en configureren

Resilio Sync is gratis voor persoonlijk gebruik. Laat bij de installatie alle opties geselecteerd en plaats een vinkje bij Installeer Resilio Sync als Windows-service, zodat je niet continu bij Windows hoeft te zijn aangemeld. Normaliter wordt je ook om je Windows-inloggegevens gevraagd. Als het goed is, duikt Resilio Sync nu op in je browser, via http://localhost:8888. Geef een Gebruikersnaam en Wachtwoord op om de toegang te beveiligen. Vul een identiteit, oftewel servernaam, in plaats de gevraagde vinkjes en rond af met Aan de slag.

Klik vervolgens op de plusknop, kies Standaardmap en verwijs voor de synchronisatie naar een eerder aangemaakte submap. Stel de Machtiging in op Lezen en schrijven en open het tabblad Code. Klik op Kopieer bij Lezen en schrijven en plak deze code in Kladblok, waarna je het tekstbestand op een usb-stick bewaart. Selecteer de map en klik op Delen als je deze code naderhand nog even wilt bekijken.

Aan serverzijde heb je alles in gereedheid gebracht, zodat je nu het clientgedeelte kunt aanpakken. Installeer Resilio Sync dus ook op een van de pc’s waarvan je data wilt synchroniseren. Deze keer hoef je niet noodzakelijk Installeer Resilio Sync als Windows-service te selecteren. Dat mag dus wel, maar dan kun je Resilio Sync alleen via je browservenster beheren en niet via de desktopapplicatie.

Stop de codestick in de pc en klik linksboven op de plusknop. Deze keer kies je Geef een code of link op en plak je de code van de stick in het veld. Druk op Volgende, verwijs naar de map die je wenst te synchroniseren en druk op OK. De indexering en synchronisatie gaan meteen van start, zoals je merkt in het applicatievenster. Klik op het tandwielpictogram om bepaalde instellingen aan te passen, zoals een bandbreedtelimiet.

Op vergelijkbare manier kun je nu nog andere synchronisatiemappen toevoegen en ook andere pc’s met de server verbinden. Die hoeven zich zelfs niet eens in hetzelfde (thuis)netwerk te bevinden.

Duplicatie installeren en configureren

Ongeacht of je met een centrale synchronisatieserver werkt, het is uiteindelijk wel de bedoeling dat je alle belangrijke data volgens het 3-2-1-principe back-upt. Dat kunnen dus de synchronisatiemappen op de server zijn, maar net zo goed de datamappen op de respectieve clients. De bron is dan anders, maar de werkwijze blijft eigenlijk dezelfde.

Voor zo’n geautomatiseerde back-up zetten we graag Duplicati 2 in. De site geeft aan dat het om een bètaversie gaat, maar wat ons betreft is die zeer stabiel. Er is een versie voor Linux, macOS en Windows.

We gaan met deze laatste versie aan de slag, waar de installatie slechts een handvol muisklikken vereist. De service is daarna beschikbaar in de vorm van een webinterface op het standaardadres http://localhost:8200. Druk op Yes om de toegang af te schermen met een wachtwoord.

Bij Settings kun je onder meer de interfacetaal aanpassen – waaronder Nederlands. Je kunt hier tevens Remote toegang toestaan selecteren, waarbij je veiligheidshalve het best een toegestane hostnaam opgeeft.

Tijd nu om de eerste back-up in te plannen. Dat doen we op een lokaal medium, dat bij voorkeur verwijderbaar is, zodat je het ook makkelijk offline (en offsite) kunt brengen. Klik hiervoor in de webinterface op Back-up toevoegen / Een nieuwe back-up instellen. Geef een naam en beschrijving op en duid aan of je de back-up wilt laten versleutelen. Dit laatste lijkt ons vooral zinvol voor netwerk- en vooral cloud-back-ups.

In het volgende venster selecteer je een geschikt Opslagtype. Wij houden het hier voorlopig bij Lokale map op station en verwijzen naar een geschikte doelmap. Eventueel klik je hier op Voer pad handmatig in of op Toon verborgen mappen. In het daaropvolgende venster duid je de gewenste bronmap aan (zoals een gegevensmap op een client of een synchronisatiemap op de server). Het is ook mogelijk bepaalde bestandstypes uit te sluiten.

Een venster verder leg je de planning voor deze back-up vast. Bij de optie Voer opnieuw uit iedere […] (bijvoorbeeld iedere 2 Uur) geef je aan na hoeveel tijd Duplicati moet checken of er bronbestanden zijn aangepast of gecreëerd. In het volgende venster stel je bij Back-up retentie in hoeveel back-upversies je wilt bewaren. Leg je keuzes vast met Opslaan en test de back-up uit met Uitvoeren.

Je vindt de back-up terug in het Start-venster. Via Bewerken kun je nog wijzigen aanbrengen en met Bestanden herstellen zet je de gewenste data van een specifieke datum terug.

Netwerk en cloud

Eén back-up is achter de rug, maar de 3-2-1-regel dwingt ons tot verdere actie. Voor de tweede back-up kiezen we bij Opslagtype opnieuw Lokale map op station, maar via Voer pad handmatig in vul je bij Map-pad een UNC-pad in naar een netwerkshare (\\<computernaam>\<gedeelde_mapnaam>). Je doet er goed aan een specifieke gebruikersnaam en wachtwoord aan de share te koppelen, zodat het account waarmee je je doorgaans bij Windows aanmeldt en waarmee dus normaliter ook Duplicati wordt opgestart, niet zomaar bij de back-up kan. Na het ingeven van dit ID kun je via de knop Test verbinding nagaan of Duplicati de share succesvol weet te benaderen.

Gaat het om een share op je NAS, dan ondersteunt die wellicht ook (S)FTP-connecties, wat nog veiliger is. Bij Opslagtype dien je in dit geval wel FTP te selecteren, waarna je bij voorkeur een vinkje plaatst bij Gebruik SSL. Bij Server en poort vul je het ip-adres of de hostnaam van je NAS in evenals het FTP-poortnummer (standaard 21). Ten slotte vul je bij Pad op server de naam van de back-upmap in. Vul tevens Gebruikersnaam en Wachtwoord en controleer de connectie met Test verbinding.

Als derde back-up(type) tenslotte kun je een geschikte cloudopslagprovider selecteren. In dit geval doe je er in Duplicati wel verstandig aan bij Versleuteling de optie AES-256 encryptie, ingebouwd te selecteren, voorzien van een stevige wachtwoordzin.

Bij Opslagtype vind je zo’n twintig cloudopslagdiensten terug. We nemen hier het populaire Google Drive als voorbeeld, maar de werkwijze bij de andere diensten is soortgelijk. Vervolgens vul je bij Pad op server de naam van een back-upmap (die nog niet in Google Drive hoeft te bestaan) in, waarna je klikt op AuthID en op Google Drive (limited) login. Selecteer je Google-account en bevestig met Toestaan. Druk op Ja op de vraag of Duplicati de back-upmap mag aanmaken. Controleer ook hier de connectie met Test verbinding.

Gebruik je de tool Google Back-up en synchronisatie op een pc, stel die dan zo in dat de back-upmap op je Google Drive niet wordt gesynchroniseerd. Start hiervoor de tool, klik op Meer / Instellingen / Voorkeuren / Google Drive, kies Alleen deze mappen synchroniseren en deselecteer de back-upmap. Immers, wordt die pc geïnfecteerd door ransomware, dan voorkom je hiermee dat ook de back-upmap via de synchronisatie wordt besmet.(bron:pcmweb / Toon van Daele)

Hoe werkt de AVG privacywetgeving en wat zijn jouw juridische rechten online?

Waar vroeger vaak ongemerkt allerlei persoonsgegevens werden verzameld door commerciële instellingen en overheden, is hier de laatste jaren meer toezicht en regelgeving voor gekomen. In 2018 is daarom de Algemene verordening gegevensbescherming (AVG) van toepassing binnen de Europese Unie.

De AVG reguleert de verzameling van persoonsgegevens

Waar gaat de AVG privacywetgeving over?

De AVG staat voor Algemene verordening gegevensbescherming. Deze wetgeving gaat over het rechtmatig omgaan met persoonsgegevens. Sinds 25 mei 2018 is de AVG van toepassing binnen de EU, wat wil zeggen dat voor de hele Europese Unie dezelfde privacywetgeving geldt. De AVG reguleert de verzameling van persoonsgegevens; deze mogen alleen verzameld worden met een gerechtvaardigd doel. Dat doel moet vooraf bepaald worden en uitdrukkelijk worden omschreven door het bedrijf, de instelling of persoon die de gegevens verzameld. Voor de betrokkene (degene van wie de persoonsgegevens verzameld worden) moet het duidelijk zijn hoe en waarom de persoonsgegevens verwerkt worden.

Wanneer een organisatie, instelling of persoon (ook wel de verwerkingsverantwoordelijke genoemd) persoonsgegevens verzameld en verwerkt, dient er transparant aan de betrokkene gecommuniceerd te worden wat het doel is van de verwerking van de persoonsgegevens en welke persoonsgegevens er verzameld worden.

Voor wie is de AVG privacywetgeving bedoeld?

De AVG privacywet geldt voor alle organisaties en bedrijven die persoonsgegevens van klanten verwerken. Ook wanneer een bedrijf gegevens verwerkt van personeel of andere personen uit de EU, geldt de privacywet. Dit betreft dus zowel grote als kleine ondernemingen. Het maakt niet uit of het gaat om een ZZP’er, MKB-organisatie of multinational die binnen de EU opereert. Al deze organisaties dienen zich aan de AVG-wetgeving te houden.

Wat is privacy?

Privacy is het grondrecht om persoonlijke zaken zoals persoonsgegevens, ideeën of huiselijke aangelegenheden privé te houden. Dit is een recht wat bij wet wordt beschermd. In essentie is privacy het privé houden van alle informatie met betrekking tot ons doen en laten. Dingen als waar we zijn, met wie we zijn en onze medische gegevens vallen onder persoonlijke gegevens. Ook ons surfgedrag op internet, koopgedrag in (online) winkels, wat onze politieke voorkeuren zijn en NAW-gegevens behoren allemaal tot privacygevoelige informatie, die niet zonder toestemming van de betrokkene zomaar vrijgegeven mogen worden.

Waarom is de AVG in het leven geroepen?

Het hebben van privacy heeft daarom een groot maatschappelijk belang. Je wilt als consument namelijk niet dat jouw medische gegevens op straat komen te liggen, of dat commerciële partijen deze gegevens kunnen overkopen, met als doel deze voor winstbelangen in te zetten. Om deze reden is enkele jaren geleden de AVG in het leven geroepen.

Wat zijn de doelen van de AVG-wetgeving?

De AVG heeft twee doelen, één is de bescherming van persoonsgegevens. Het tweede doel is het mogelijk maken van vrij verkeer van persoonsgegevens, binnen de Europese Unie. Dit lijkt tegenstrijdig, maar beide doelen gaan over hetzelfde. Het gaat namelijk over de balans tussen de belangen van personen van wie gegevens verzameld worden en de belangen van organisaties zoals de overheid of gemeenten die deze gegevens verwerken.

Door de AVG-regelgeving wordt het transparanter voor zowel organisaties als voor personen welke gegevens voor welk doel verwerkt mogen worden en met wie ze gedeeld mogen worden. Bovendien zijn organisaties, instellingen en bedrijven hierdoor verplicht om hun organisatie dusdanig in te richten, dat de privacyregels structureel worden nageleefd. Een organisatie moet dit te allen tijde kunnen bewijzen en verantwoorden.

Het uitgangspunt van de AVG is dat er bij de verwerking van persoonsgegevens zo min mogelijk gegevens verzameld mogen worden van betrokkenen en dat het verwerken van de gegevens verenigbaar moet zijn met het doel waarvoor de gegevens verzameld worden. De verwerkingsverantwoordelijk is tevens verantwoordelijk voor de beveiliging van deze gegevens en er moet voor gezorgd worden dat de gegevens regelmatig geactualiseerd worden en juist zijn.

Welke rechten heb ik op juridisch vlak met de AVG-wetgeving?

Jij als klant/internetgebruiker hebt met de AVG-wetgeving meer mogelijkheden en zeggenschap op het gebied van privacy. Jouw rechten zijn:

1. Recht op inzage

Je kunt als klant bijvoorbeeld inzage vragen in opgeslagen data van jouw persoonsgegevens. Dit wordt ook wel het recht op inzage genoemd. Dit recht stelt jou in staat om een kopie aan te vragen van de persoonsgegevens die door een bedrijf verwerkt worden.

2. Recht op vergetelheid

Het is tevens mogelijk om diezelfde opgeslagen data te laten verwijderen, dit wordt het ‘recht op vergetelheid’ of recht op gegevenswissing genoemd. Het is echter niet zo dat alle gegevens altijd gewist mogen worden, dit is weer onderhevig aan bepaalde regels. Bedrijven zijn verplicht om jouw gegevens te wissen wanneer de gegevens niet meer nodig zijn, jij de toestemming hebt ingetrokken, je bezwaar hebt gemaakt wanneer de wettelijk bepaalde bewaartermijn verlopen is of wanneer het om persoonsgegevens gaan van een betrokkene die jonger is dan 16 jaar. Wanneer het bedrijf de gegevens onrechtmatig heeft verkregen, moeten deze ook verwijderd worden.

3. Recht op beperking van de verwerking

Je hebt als persoon ook recht om minder persoonsgegevens te laten verwerken. Bijvoorbeeld wanneer gegevens onrechtmatig verzameld zijn, wanneer de gegevens niet meer nodig of onjuist zijn, of wanneer je bezwaar maakt.

4. Het recht op bezwaar

Je hebt het recht om bezwaar te maken tegen persoonsgegevensverwerking.

5. Het recht met betrekking tot geautomatiseerde besluitvorming en profilering

Wanneer er besluiten worden genomen omtrent jouw persoonsgegevens heb je het recht op een menselijk blik bij de besluitvorming.

6. Het recht op dataportabiliteit

Dit is het recht om persoonsgegevens wel of niet te laten overdragen aan een of meer externe partijen.

7. Recht op rectificatie en aanvulling

Je hebt als persoon het recht om persoonsgegevens te laten rectificeren of aan te vullen. Dit geldt zowel voor overheidsinstellingen, als bedrijven en personen die gegevens verzamelen. (bron:HCC)

Toegang tot Gmail verloren? Zo krijg je (mogelijk) toegang

Heel vaak is een mailaccount, zoals Gmail, een centrale plek waar allerlei andere accounts aan gekoppeld worden. Wanneer je dus de toegang verliest, dan is dat in heel veel gevallen rampzalig. Helemaal als je op dagelijkse basis afhankelijk bent van zo’n dienst. In dit artikel leggen we uit hoe je toegang krijgt tot je Gmail-account wanneer er iets gebeurt.

Gmail wil weten dat jij het bent

Over het algemeen is het een fantastische tip om geregeld het wachtwoord van je mailaccount aan te passen (of welk online profiel dan ook). Daar komt in het geval van Gmail nog een mooie bijkomstigheid bij. Middels het oude wachtwoord kan de maildienst je identiteit verifiëren. Wanneer je je huidige wachtwoord kwijt bent, dan krijg je toegang door je oude wachtwoord in te vullen wanneer je bezig bent met de herstelmogelijkheden.

Je kunt oude wachtwoorden opschrijven op een briefje en veilig wegstoppen of je gebruikt hiervoor ook een wachtwoordmanager (die je dan handmatig verandert). Maar als je een wachtwoordmanager gebruikt, dan heb je als het goed is ook je nieuwe wachtwoord (automatisch) aangepast. Hoe dan ook: verander vaak je wachtwoord en maak gebruik van een wachtwoordenmanager, aangezien dat het online leven een stuk gemakkelijker maakt.

Gmail wil weten dat jij het bent

Wanneer je via een omweg in je eigen Gmail-account wil komen, dan wil de dienst natuurlijk zeker weten dat jij bent wie je zegt dat je bent. Deze optie is er voor de mensen die problemen met inloggen voor willen zijn. Via je accountopties kun je namelijk middelen opgeven waarmee de dienst je identiteit kan verifiëren. Onder het kopje Beveiliging (links in het menu) scrol je door totdat je de tekst Manieren waarop we kunnen controleren dat jij het bent ziet staan.

Hieronder kun je gegevens opgeven waarmee Google je identiteit kan controleren. Je kunt een telefoonnummer en een alternatief e-mailadres opgeven. Tik op één van de twee opties, log nog een keertje in en vul de gegevens aan. Sla ze nu op. Mocht je je account willen herstellen, dan kun je dat in het vervolg simpelweg via je telefoonnummer of dat ingevulde e-mailadres doen.

En als alle hoop verloren is…

Je kunt daarnaast altijd een poging wagen je account te herstellen via de daarvoor bestemde pagina. Wanneer je via die pagina probeert in te loggen, dan moet je een aantal stappen doorlopen. In dit geval krijg je bijvoorbeeld een code via je je telefoon of het alternatieve e-mailadres, maar het kan ook zijn dat je je oude beveiligingsvraag voorbij ziet komen. Tot slot is er nog een andere pagina die je verder kan helpen door het beantwoorden van een aantal vragen.

Mocht je helemaal geen toegang meer krijgen tot je account, zorg er dan voor dat je regelmatig een back-up van al je Google-gegevens maakt. Via Google Takeout kun je veel gegevens offline beschikbaar maken. Je Gmail-mails en -bestanden worden opgeslagen in een mbox-type, dat je vervolgens kunt uploaden naar een nieuw e-mailaccount (waaronder Gmail). (bron:computertotaal)

Flinke kritiek op plan jaarlijkse cybersecurity-audit

Onlangs kwam beroepsorganisatie NOREA met het plan van een soort APK-regeling voor de informatiebeveiliging van bedrijven.

De jaarlijkse controles worden dan uitgevoerd door een auditor van een accountantskantoor en vooral dat laatste stuit op veel kritiek van IT-beveiligers.

Behalve de bedrijven zelf lopen ook hun financiers risico bij een grote cyberaanval met bijvoorbeeld ransomware. Bedrijven zouden daarom moeten kunnen bewijzen dat hun IT-security op orde is, voordat zij voor een lening in aanmerking komen. Dat is het plan van beroepsvereniging NOREA, dat toegejuicht wordt door onder andere banken en accountants.

Minder enthousiast is Alex Bik van BIT Datacenters. “Dit klinkt als de financiële wereld die probeert meer geld te verdienen.” Hij vertrouwt er net als enkele branchegenoten niet op dat accountantskantoren hiervoor de juiste expertise in huis hebben. Zo verwacht Roel van Rijsewijk, directeur cyberbeveiliging van defensiebedrijf Thales, dat de door NOREA beoogde verklaring vooral zal leiden tot een hoop bureaucratie, wat zal afleiden van de daadwerkelijk verdediging tegen cyberaanvallen. Andere IT-beveiligers spreken van een papieren, statische werkelijkheid, terwijl cyberrisico’s continu wisselen.

Europese standaard

Jelmer Schreuder van NLdigital wijst op de komst van een Europese standaard voor IT-security-checks, die het NOREA-plan overbodig maakt. En Bik vindt dat het weinig toevoegt aan de al bestaande certificeringen als ISO27001 en NEN7510. Michiel Steltman, directeur van brancheorganisatie Digitale Infrastructuur Nederland en voorstander van het initiatief van NOREA, wuift de kritiek af als ‘typisch een reactie van techneuten’.

Het gaat volgens hem niet om de techniek, maar om de procedures. Juist die blijken vaak niet in orde als een bedrijf wordt gehackt. Net zo belangrijk is het beleid na een aanval, benadrukt voorzitter Irene Vettewinkel-Raymakers van NOREA. “De bestaande normen bieden daarvoor geen oplossing.” Haar organisatie is betrokken bij de Europese standaard en maakt zich er hard voor dat naast de techniek ook naar het beleid van bedrijven wordt gekeken en of bedrijven zich daaraan houden.(bron:beveiligingsnieuws.nl)

Cyberaanvallen en ransomware hebben steeds meer impact op de maatschappij

De digitale en de fysieke wereld zijn niet meer van elkaar te onderscheiden en digitale processen vormen het zenuwstelsel van de maatschappij. Ze zijn onmisbaar voor het ongestoord functioneren van de samenleving. Wonen, werken, reizen, betalen: we leven op een digitale infrastructuur. Net als lucht, water, weg en spoor moet ook de digitale infrastructuur dus op orde zijn en blijven.

Het niet naar behoren werken van digitale processen kan een grote impact hebben op de samenleving. Dat blijkt uit het jaarlijkse Cybersecuritybeeld Nederland (CSBN) van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), dat in samenwerking met het Nationaal Cyber Security Centrum (NCSC) is opgesteld.

Het afgelopen jaar zijn er grote verschillen geconstateerd in weerbaarheid van bedrijven en organisaties.

Organisaties kunnen hun werk niet doen, persoonsgegevens komen op straat te liggen en voorzieningen kunnen uitvallen. Voorbeelden daarvan zijn de hack bij een kaasverpakkingsbedrijf, een datalek bij een ICT-dienstverlener voor autobedrijven en een ICT-storing bij ziekenhuizen waardoor afspraken afgezegd moesten worden.

Het afgelopen jaar zijn er grote verschillen geconstateerd in weerbaarheid van bedrijven en organisaties. Experts hebben grote zorgen dat deze kloof in de toekomst groter wordt. Ook zijn nog meer processen gedigitaliseerd door de situatie rondom het coronavirus. Het belang van digitale veiligheid is daardoor ook weer verder toegenomen. Daarnaast is de dreiging verder ontwikkeld en vermengt de dreiging die komt vanuit statelijke actoren steeds meer met de dreiging vanuit cybercriminelen.

Digitale risico's

De digitale risico’s voor onze nationale veiligheid zijn onverminderd groot. Spionage en voorbereidingshandelingen voor sabotage door andere landen vormen een risico voor onze nationale veiligheid zoals ook beschreven in het eerder dit jaar verschenen Dreigingsbeeld Statelijke Actoren. Ook de inzet van ransomware door criminelen kan maatschappij-ontwrichtende gevolgen hebben. Daarnaast vormt de uitval van digitale processen door natuurlijke of technische oorzaken een risico.

Dreiging blijft toenemen

De NCTV en het NCSC zien dat zowel statelijke actoren als cybercriminelen de situatie die is ontstaan door het coronavirus hebben aangegrepen om digitale aanvallen te plegen. Nu een nog groter deel van ons leven zich online afspeelt is het voor kwaadwillenden ook aantrekkelijker geworden om daar aan te vallen. Aanvallen kunnen zo verstorend zijn dat ze langdurig impact hebben op organisaties en ketens. Ook cybercriminelen kunnen zorgen voor ontwrichting van de maatschappij door bijvoorbeeld vitale processen te verstoren. Ze zijn vaak net zo vaardig als statelijke actoren en hebben vaak ook nauwe banden daarmee.

Weerbaarheid is onvoldoende

Door de permanente dreiging van zowel statelijke actoren als cybercriminelen is het nodig om blijvend aandacht te hebben voor onze digitale weerbaarheid. De afgelopen jaren zijn er al stappen gezet om de weerbaarheid te verhogen maar door de groeiende dreiging blijft de weerbaarheid onvoldoende. Daarom moet er nu een inhaalslag worden gemaakt. Basismaatregelen worden niet voldoende genomen, zoals het gebruik van sterke wachtwoorden en het tijdig repareren van kwetsbaarheden.

Handreiking Cybersecuritymaatregelen

Om de digitale weerbaarheid van bedrijven en organisaties te verhogen heeft het NCSC de Handreiking Cybersecuritymaatregelen geschreven. Hierin staan 8 maatregelen op een rij die elke organisatie zou moeten treffen om cyberaanvallen tegen te gaan. Voorbeelden van deze maatregelen zijn loggen, wachtwoordbeleid, back-ups maken en het versleutelen van informatie. Ook bij recente digitale incidenten is te zien dat bedrijven en organisaties erg kwetsbaar zijn als deze maatregelen niet genomen zijn.(bron:dutchcowboys)

Created By
VEILIG DIGITAAL
Appreciate