Categorie: security

Autoriteit Persoonsgegevens: Neem noodwet voor telecomdata in coronacrisis niet aan

De noodwet die een juridische basis moet bieden voor het verzamelen van locatiegegevens van mobiele gebruikers en doorgifte van deze data aan het RIVM is in strijd met Europese regelgeving. De Autoriteit Persoonsgegevens adviseert daarom de noodwet niet in te voeren.

Dit zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, tegen NRC. De noodwet is eind mei door het kabinet ingediend bij de Tweede Kamer. De noodwet is bedoeld om een juridisch kader te creëren voor maatregelen bedoeld om de verspreiding van het coronavirus in te dammen. De toezichthouder stelt echter dat EU-wetgeving het verzamelen van telecomgegevens alleen toestaat indien dit noodzakelijk is. Deze noodzaak is door het kabinet onvoldoende aangetoond, oordeelt de Autoriteit Persoonsgegevens.

Te weinig waarborgen
Ook zijn er in de noodwet te weinig waarborgen opgenomen om zeker te stellen dat verzamelde gegevens anoniem blijven en goed beveiligd zijn. Het kabinet stelt dat het om een onherleidbare telling gaat. Bronnen binnen verschillende providers uitten hierover eerder tegenover de NOS al zorgen. Vodafone/Ziggo trekt tegenover NRC hierover nu opnieuw aan de bel en meldt te twijfelen of de gegevens daadwerkelijk onherleidbaar zijn. Aangezien niet precies duidelijk is welke informatie moet worden aangeleverd, is dat in dit stadium volgens de provider niet met zekerheid te zeggen.

Ook het bewaartermijn van een jaar is de toezichthouder een doorn in het oog; deze is volgens de Autoriteit Persoonsgegevens te lang. De toezichthouder is van mening dat het CBS de data direct na aanlevering aan het RIVM zou moeten vernietigen. Ook vreest de Autoriteit Persoonsgegevens dat de gegevens mogelijk gebruikt kunnen worden door politie en veiligheidsdiensten.

‘Pas de noodwet aan’
Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) roept het kabinet op de noodwet aan te passen. Petra Claessen, directeur BTG/TGG: "BTG is blij dat de Autoriteit Persoonsgegevens kritisch naar de noodwet kijkt. De bestrijding van het coronavirus is van groot belang om een tweede piek in het aantal opnames op intensive care units te voorkomen. Locatiegegevens van mobiele telefoons kunnen hieraan een belangrijke bijdrage leveren. Dat kan echter alleen indien de privacy van gebruikers adequaat is beschermd. BTG roept het kabinet dan ook op de noodwet te herzien."

Gartner voorziet lichte groei voor securitymarkt

De wereldwijde investeringen in technologie en diensten op het gebied van informatiebeveiliging en risicomanagement lopen in 2020 op tot 123,8 miljard dollar. Dit is een stijging van 2,4% ten opzichte van 2019. Wel is de groei lager dan de 8,7% groei die in december nog werd verwacht.

Dit blijkt uit cijfers van Gartner. De COVID-19 pandemie zorgt voor een stijgende vraag op de korte termijn op het gebied van cloudadoptie, technologie voor werken op afstand en kostenbesparende maatregelen. "Net als andere segmenten van de ICT-sector, verwachten we dat security negatief wordt beïnvloed door de COVID-19 crisis", zegt Lawrence Pingree, managing research vice president bij Gartner. "Over het algemeen we verwachten we een pauze en reductie in groei voor zowel beveiligingssoftware als -diensten in 2020."

Meer vraag naar cloud security
Tegelijkertijd ziet Gartner voor sommige segmenten van de securitymarkt ook positieve signalen. Het segment dat het meest profiteert van de coronacrisis is cloud security (33,3% groei). Databeveiliging (7,2% groei) en applicatiebeveiliging (6,2%) volgen op afstand.

De wereldwijde investeringen in security in 2019-2020 (bron: Gartner)

De verschuiving naar cloud-gebaseerde modellen maakt de securitymarkt in zekere mate beter bestand tegen tegenslagen. Gemiddeld was 12% van de security-omgevingen in 2019 cloud-gebaseerd. Als we echter kijken naar mail- en web gateways ligt dit percentage boven de 50%.

Gartner verwacht dat netwerkbeveiliging het hardst wordt getroffen door de COVID-19 pandemie. Het gaat hierbij onder meer om fysieke firewalls en intrusion detection & prevention systemen (IDPS). Ook de consumentenuitgaven aan securitysoftware lopen naar verwachting in 2020 terug.

NCSC geeft inzage in eigen ervaring met de cloud

Het Nationaal Cyber Security Centrum (NCSC) deelt in een document haar ervaring met het gebruik van de cloud. Het 'cloudervaringsdocument gaat in op zowel de public cloud als andere vormen van cloud.

"Het NCSC ondersteunt en adviseert organisaties in Nederland bij het vergroten van hun digitale weerbaarheid. Eén van de technische uitdagingen waar organisaties op dit moment mee te maken hebben vormt de adoptie van (publieke) clouddiensten. De inzet daarvan heeft namelijk aanzienlijk gevolgen voor hun security- en procesarchitectuur, het benodigde kennisniveau in de organisatie en het eigen technisch landschap", meldt het centrum.

Begin van de cloud journey
Het centrum staat nog aan het begin van haar cloud journey. De afgelopen twee jaar is ervaring opgedaan met de inzet van enkele private en public clouddiensten. De cloud helpt het NCSC sneller en daarmee beter in te spelen op veranderingen in het dynamische cyberlandschap. Daarbij geldt volgens de overheidsdienst dat belangrijke technische innovaties van de komende jaren zoals AI, advanced analytics en IoT alleen goed werken vanuit de public cloud. Een beheerste adoptie van cloud noemt het NCSC daarom onontbeerlijk.

"In dit document beschrijven we een aantal van onze ervaringen en de aanpassingen die we hebben gedaan of (gaan) doen aan ons technisch landschap, processen en vooral ook aan onze security architectuur. Onze belangrijkste leerervaring is namelijk dat cloudadoptie majeure gevolgen heeft voor de wijze waarop we onze informatievoorziening organiseren. In het stuk hebben we het over zaken als de risico’s en voordelen van cloudgebruik, over cloudcertificering, Zero Trust Architecture en de manier waarop we daar zelf als organisatie mee omgaan", schrijf het NCSC.

Geen advies, voorschrift of whitepaper
Het centrum benadrukt dat document geen advies, voorschrift of whitepaper is, maar een document dat beschrijft hoe het NCSC zelf zo goed en veilig mogelijk clouddiensten inzet in haar IT-landschap en hoe de dienst omgaat met de verschillende uitdagingen die cloudadoptie met zich mee brengt. Aangezien ook andere organisaties voor vergelijkbare uitdagingen staan, deelt het NCSC haar inzichten.

Het cloudervaringsdocument (PDF) is hier beschikbaar.

Autoriteit Persoonsgegevens: ‘Zorgen om dataverzameling thuisonderwijs’

Veel ouders, docenten, leerlingen en studenten zijn bezorgd over het verzamelen van persoonsgegevens bij digitaal thuisonderwijs in de huidige coronacrisis. Zo vragen zij zich af of de conferencingsystemen van scholen wel veilig zijn, of gegevens niet in verkeerde handen kunnen vallen en wat er precies met al die gegevens gebeurt, schrijft de Autoriteit Persoonsgegevens (AP).

De AP meldt dit naar aanleiding van de grote hoeveelheid signalen die de toezichthouder ontvangt en gaat daarom bij onderwijsinstellingen na of zij de privacy wel goed op orde hebben. Nederland heeft ongeveer 2 miljoen leerlingen en studenten. Een groot deel van hen krijgt op dit moment thuis les via beeldbellen. Of maakt thuis tentamens of toetsen onder toezicht van een webcam. Onderwijsinstellingen hebben hiervoor onder grote druk technische maatregelen moeten nemen zodat leerlingen en studenten ook tijdens de coronacrisis onderwijs krijgen.

Gegevens

De Autoriteit Persoonsgegevens stelt dat er veel informatie te halen is uit de beelden die bij videobellen en proctoring (digitaal surveilleren) worden verzonden naar onderwijsinstellingen of medestudenten. Allereerst over hoe leerlingen of studenten presteren, hoe zij zich gedragen en hoe het is gesteld met hun concentratie. Maar bijvoorbeeld ook over religieuze uitingen of wat gezinsleden doen die in de achtergrond zichtbaar zijn. In tegenstelling tot in de normale lespraktijk, kunnen deze observaties nu makkelijk worden opgeslagen en verspreid.

Proctoring

Sommige onderwijsinstellingen maken gebruik van proctoring. Hierbij monitoren zij online leerlingen of studenten tijdens een toets of tentamen. De leerlingen of studenten moeten bijvoorbeeld foto’s maken van de ruimte waar zij zijn. Verder kijkt de onderwijsinstelling mee op hun scherm, registreert deze toetsaanslagen en houdt deze via een of meerdere webcams hun gedrag in de gaten. Soms moet een leerling of student hier aparte software voor installeren. Met een dergelijk systeem kan veel en gevoelige informatie worden verzameld en verwerkt. Daarom moeten onderwijsinstellingen zich afvragen of al deze gegevens daadwerkelijk noodzakelijk zijn, vindt de Autoriteit Persoonsgegevens. En of er andere manieren zijn om examenfraude te bestrijden, die minder impact hebben op leerlingen en studenten.

Onderwijsinstelling verantwoordelijk

Als onderwijsinstellingen beeldbellen en/of proctoring gebruiken, zijn zij verantwoordelijk zijn voor de verwerking van persoonsgegevens. Dat bepaalt de privacywetgeving. Daarom moeten onderwijsinstellingen hoge eisen stellen aan de leveranciers van deze systemen. Het systeem mag niet meer gegevens  verwerken dan noodzakelijk en deze gegevens mogen niet langer worden bewaard dan noodzakelijk. Verder moeten onderwijsinstellingen hun leerlingen, studenten, docenten en de ouders van minderjarige kinderen informeren over hoe hun persoonsgegevens worden beschermd.

De AP heeft dit aangegeven richting de onderwijskoepels. Daarnaast gaat de AP bij onderwijsinstellingen na of zij voldoende werk maken van het beschermen van de privacy van hun leerlingen of studenten. Zij moeten aantonen hoe zij dit doen. Daarna bekijkt de AP of vervolgstappen nodig zijn.

‘Geen ondergeschoven kind’

Bestuurslid Katja Mur van de AP stelt dat alle leerlingen zonder stempel moeten kunnen opgroeien. “Hun privacy is van groot belang en wordt extra beschermd in de privacywetgeving. Onveilige oplossingen kunnen risico’s opleveren voor de toekomst van leerlingen”, aldus Mur. “Deze dataverwerking mag geen ondergeschoven kind van de coronacrisis worden. Wij wijzen onderwijsinstellingen er daarom op zorgvuldige keuzes te maken en ondersteunen hen hierin met een aantal tips.”

BTG en Crisisteam lanceren website WerkThuisVeilig.nl

Diverse Solution Partners van BTG hebben de afgelopen weken diverse initiatieven ontplooid en adviezen gegeven op de vraag hoe werknemers thuis veilig kunnen werken. Daar hebben wij als BTG erg veel waardering voor. Sterker nog, het is een van de redenen waarom BTG als Branchevereniging voor ICT en Telecom samen met andere belangenbehartigers de speciale website WerkThuisVeilig.nl heeft opgezet. De site zit vol met tips en adviezen die helpen om veilig thuis te werken.

WerkThuisVeilig.nl is een initiatief van een aantal brancheverenigingen, waaraan - naast BTG - ook  Cyberveilig Nederland, DDA, DHPA, DINL, FCA, ISP Connect, Job in the Cloud, NBIP en de Vereniging van Registrars deelnemen. De website bundelt tal van adviezen over veilig thuiswerken en verwijst ook veelvuldig naar andere bronnen met nuttige en relevante informatie.

Met dit initiatief geven deze partijen invulling aan het idee dat als we samen de schouders er onder zetten en we deze ongekend uitdagende periode goed door kunnen komen.

Kijk snel op de website van WerkThuisVeilig.nl

Wetenschappers kritisch over corona-apps

De corona-app die minister De Jonge van Volksgezondheid, Welzijn en Sport afgelopen week in een persconferentie aankondigde, houdt de gemoederen goed bezig. Gisteren heeft de Universiteit Utrecht bekend gemaakt dat een groep van ruim zestig wetenschappers waarschuwt voor de gevaren van tracking-, tracing- en gezondheidsapps van de overheid bij de bestrijding van het coronavirus.

De wetenschappers roepen de regering met klem op om de grondrechten te waarborgen bij het design en de implementatie van zogenaamde corona-apps. Tevens stellen de wetenschappers dat het gebruik van deze apps niet verplicht mag worden gesteld. De effectiviteit en betrouwbaarheid van de trackingapp is volgens de groep wetenschappers van enorm belang, omdat ineffectiviteit en onbetrouwbaarheid juist kan leiden tot een groter risico op besmetting en schijnveiligheid.

Brief aan kabinet

In een brief aan het kabinet waarschuwen de wetenschappers dat een besluit over de apps niet alleen moet worden genomen door experts op het gebied van applicatieontwikkeling. Juist ook experts uit andere vakgebieden zoals kunstmatige intelligentie, ethiek, recht, sociale wetenschappen en gedragswetenschappen moeten betrokken worden bij deze beslissing. Prof. dr. José van Dijck: “Bij het bedenken van een exit-strategie uit de coronacrisis moeten technische oplossingen kunnen bogen op maatschappelijke inzichten, anders krijg je er geen draagvlak voor.”

Vehikel voor politiek beleid

Het was dr. Mirko Schäfer tijdens de persconferentie van minister De Jonge opgevallen dat technologie als een oplossing voor sociale en politieke vraagstukken wordt gezien. “Dat is een terugkerend fenomeen in de geschiedenis van (media)technologie. Minister-president Mark Rutte en minister Hugo de Jong vertoonden een schoolvoorbeeld van technocratisch beleid zonder enige kennis van technologie. Ik beweer niet dat een app niet zinvol kan zijn om de verspreiding van corona te beperken. Maar ik bekritiseer wat mij als mediawetenschapper opvalt en dat is het gebruik van techniek als een vehikel voor politiek beleid. Politici delegeren hun verantwoordelijkheden aan een soort black box. Ze riepen ‘app hier’ en ‘app daar’, maar wat de app eigenlijk zou moeten doen. Hoe de app zou moeten worden ingezet en onder welke voorwaarden was niet duidelijk.”

“De inzet van tracking- en tracingapps en gezondheidsapps is zeer ingrijpend”, aldus Schäfer. “Belangrijk is daarom dat kritisch gekeken wordt naar het nut, de noodzaak en de effectiviteit van dergelijke apps, alsook naar de impact ervan op het brede sociale systeem inclusief onze fundamentele rechten en vrijheden.”

Tweede initiatief

Een tweede initiatief is het manifest dat op 8 april verscheen waarin deskundigen op het gebied van informatietechnologie, computerbeveiliging, privacy en de bescherming van fundamentele grondrechten hun zorgen uiten over de tracking-app. Dit manifest is medeondertekend door wetenschappers van de Utrecht Data School.  Zij willen voorkomen dat een dergelijke app onze mensenrechten schendt. De wetenschappers geven aan zich tegen implementatie van de apps te verzetten als deze uitgangspunten niet worden meegenomen door het kabinet.

Videoconferencing mikpunt van criminelen

Vanwege de coronacrisis werken nu ontzettend veel mensen thuis met videoconferencingdiensten en dit heeft ook de aandacht van cybercriminelen. Volgens securityleverancier Check Point misbruiken hackers steeds vaker Zoom en vergelijkbare videodiensten voor phishing en het verspreiden van malware.

Videoconferencing is helemaal doorgebroken binnen bedrijven die medewerkers thuis laten werken. Ook in de privésfeer worden deze diensten de afgelopen weken ontzettend veel gebruikt. Daar springen cybercriminelen op in, laat Check Point weten. “De voorbije weken merken we een grote toename van nieuwe domeinregistraties waarin ‘Zoom’ is verwerkt”, aldus Check Point. “Sinds het begin van het jaar zijn er meer dan 1.700 nieuwe domeinen geregistreerd en een kwart daarvan is in de afgelopen week gebeurd. Van deze geregistreerde domeinen bleek 4 procent verdachte kenmerken te bevatten.”

Zoom niet enige

Zoom is echter niet de enige applicatie waar cybercriminelen zich op richten. Voor alle veelgebruikte tool heeft Check Point naar eigen zeggen zijn er al nieuwe phishing-websites gevonden. Daaronder ook bijvoorbeeld de officiële website Classroom.google.com, die werd nagebootst door sites als Googloclassroom en Googieclassroom.

Kwaadaardige bestanden

De onderzoekers hebben ook kwaadaardige bestanden gevonden met namen inclusief de termen ‘zoom’ en ‘microsoft-teams'. Door op deze bestanden te klikken wordt een .exe-bestand uitgevoerd, wat InstallCore PUA installeert op een computer en die meer kwaadaardige software binnenhaalt.

Check Point wijst er op dat 90 procent van de cyberaanvallen begint met phishing. Gebruikers moeten dus extra voorzichtig zijn voorzichtig met e-mails en bestanden van onbekende afzenders. Zeker als er speciale aanbiedingen of kortingen in deze mails zitten. Check Point adviseert dus geen onbekende bijlagen te openen en niet te klikken op (onbekende) links in de e-mails. Klik ook zeker niet op promoties van webshops en pas op voor worden voor fake domeinnamen, spelfouten in e-mails en websites. Al duiken er tegenwoordig ook steeds vaker phishingmails zonder spelfouten op.

Justitie wil gelijke veiligheidseisen bedrijven in vitale infrastructuur

Minister Ferdinand Grapperhaus van Justitie en Veiligheid wil dat alle bedrijven die vitale infrastructuur in Nederland aanbieden, verplicht een bepaald beveiligingsniveau hanteren. Nu hoeven niet alle vitale bedrijven dat niveau te halen, maar de minister wil dat wettelijk vastleggen.

Aanleiding zijn onder andere de recente beveiligingsproblemen rondom Citrix, schrijft Grapperhaus in een brief aan de Tweede Kamer. Grapperhaus reageert met de brief op een rapport van de Wetenschappelijke Raad voor het Regeringsbeleid. Die schreef eerder rapporten over de mogelijkheid dat de Nederlandse samenleving te maken krijgt met 'digitale ontwrichting'. Ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid waarschuwde daarvoor.

Wbni

Minister Grapperhaus schrijft nu dat hij de Wet beveiliging netwerk- en informatiesystemen (Wbni) wil aanpassen. Daarin staat nu dat sommige 'vitale aanbieders' verplicht zijn om 'passende beveiligingsmaatregelen' te nemen om ervoor te zorgen dat hun systemen blijven werken. Ook hebben ze een meldplicht voor incidenten bij het Nationaal Cyber Security Centrum. Die passende veiligheidsmaatregelen gelden echter niet voor alle bedrijven. Door de Wbni aan te passen wil de minister dat wel voor iedere vitale aanbieder laten gelden.

Ingrijpen bij incidenten

In het WRR-rapport waarop Grapperhaus reageert, werd ook aangeraden dat de overheid gemakkelijk bij bedrijven kan ingrijpen bij grote incidenten. Daarover schrijft Grapperhaus in de brief niets. Wel wordt bij het ministerie van Defensie en Rijkswaterstaat gekeken of bijvoorbeeld de eigen glasvezelnetwerken kunnen worden ingezet bij 'maatschappij-ontwrichtende ICT-uitval'.

Bedrijven lopen meer risico’s door vele thuiswerkers

Hackers proberen een slaatje te slaan uit de problemen rond het coronavirus. Dat meldt althans Computable die verwijst naar berichten van leveranciers zoals Proofpoint, Check Point en Cisco. Veiligheidsexperts waarschuwen voor aanvallen op bedrijven die zijn overgeschakeld op thuiswerk. Computercriminelen proberen thuiswerkers hun wachtwoorden te ontfutselen en zoeken naar zwakke plekken nu dat veel medewerkers op afstand werken.

Persbureau Reuters constateert dat werknemers niet alleen hun laptops maar ook belangrijke bedrijfsgegevens mee naar huis nemen, wat extra risico's oplevert. En Proofpoint signaleert een ongekend hoog aantal cyberaanvallen die inhaken op het coronavirus. Onderzoekers van het securitybedrijf spreken van de grootste hoeveelheid cyberaanvallen met hetzelfde thema dat ze in jaren, zo niet ooit, hebben gezien. Vooral de (gezondheids)zorg, productiesector en farmaceutische industrie zijn mikpunt. Volgens Proofpoint wordt op Russische illegale fora veel malware aangeboden die een beroep doet op mensen om te helpen bij het vinden van een geneesmiddel voor Covid-19. De aanvallers proberen slachtoffers te verleiden tot deelname aan een gedistribueerd computerproject voor onderzoek, maar dat is een scam.

Helpdeskfraude

Cisco waarschuwt voor fraudeurs die zich voordoen als de IT-helpdesk en die thuiswerkers benaderen met de bewering dat ze even een IT-probleem willen oplossen. Ze vragen inloggegevens om de controle te bemachtigen over de pc van het slachtoffer. Volgens beveiliger Check Point zijn ook buitenlandse staatshackers actief. Vorige week is via malware, verpakt in een coronavirus-update, geprobeerd een overheidsnetwerk van Mongolië binnen te dringen. Andere onderzoekers hebben ontdekt dat hackers zich voordoen als medewerkers van Amerikaanse centra voor ziektebestrijding en -preventie. Die aanvallers proberen in te breken via e-mails.

KPN publiceert European Cyber Security Perspectives

Vandaag publiceert KPN de 7e editie van de European Cyber Security Perspectives. In samenwerking met een groot aantal gerenommeerde nationale en internationale organisaties vanuit de overheid, private sector en universiteiten geeft de nieuwste editie van deze publicatie inzicht in recente ontwikkelingen op het gebied van cybersecurity. Dit vanuit de gedachte dat samenwerking en kennisdeling essentieel is om de weerbaarheid van Nederland op het gebied van cybersecurity te vergroten.

The European Cyber Security Perspectives is een samenwerkingsverband van TNO, het Nationaal Cyber Security Centre (van het Ministerie van Veiligheid en Justitie) en een groot aantal bedrijven en onderwijsinstellingen waaronder KPN. Partners die een bijdrage hebben geleverd aan het rapport van 2020 zijn: NCSC, TNO, Deloitte, Trend Micro, Accenture, Palo Alto Networks, PWC, IDQuantique, Xebia, NLnet LABS, AnalyzeData, Universiteit Leiden, de Radboud Universiteit, VU Amsterdam en de Technische Universiteit Eindhoven.

Naar de download van het rapport: European Cyber Security Perspectives 2020