Na een week of 10 te hebben gesproken over de OWASP top 10 leek het mij wel weer tijd om de actualiteiten eens nader te analyseren. Want, avondklok of niet, er gebeurt genoeg in de wereld op het gebied van informatiebeveiliging en cybersecurity. Helaas is dat vaak allemaal redelijk negatief en is de les bij veel bedrijven nog steeds niet aangekomen. Welke les? Nou, voorkomen is beter dan genezen? Actief is beter dan reactief? Ook uw bedrijf, hoe klein ook, is een doelwit? Allemaal wijze lessen die blijkbaar aan dovemansoren gericht zijn.
U heeft het vast wel gezien, de verkiezingen komen er weer aan. Dat wordt nog wat, kiezen voor een politieke partij in deze tijden. Gelukkig is het niet onze taak om daar in te adviseren dus we wensen u veel geluk. Wat wel onze taak is, is om het laatste nieuws te brengen op het gebied van informatiebeveiliging. En dat hebben we! Zo bracht de AP (Autoriteit Persoonsgegevens) een handleiding uit waarin politieke partijen worden gewezen op de privacyregels die ook zij, ze zijn dus echt niet onschendbaar, moeten naleven. Dit was overigens geen lullig A4’tje, er is een heuse PDF voor opgesteld. Er staan een aantal zaken in aangestipt, waaronder het gebruik / misbruik van microtargeting. Dit is een techniek die politieke partijen nog wel eens willen gebruiken voor het rekruteren van nieuwe leden.
Volgens de privacytoezichthouder gebruiken politieke partijen steeds vaker persoonsgegevens – of huren hiervoor bedrijven in – om zo gericht mogelijk hun leden en potentiële nieuwe leden te bereiken. En natuurlijk mogen politieke partijen campagne voeren, maar wel binnen de gestelde regels. Zo stelt ook de woordvoerder van het AP:
“Natuurlijk mogen politieke partijen campagne voeren. En in deze tijd gebeurt dat uiteraard vaak digitaal. Maar politieke partijen moet zich hierbij wel aan de privacyregels uit de AVG houden”
In het document staan verder nog zeven aandachtspunten genoemd voor partijen die campagne voeren. Het belangrijkste aandachtspunt hierin is het verwerken van ‘bijzondere persoonsgegevens’. Dit zijn geen gegevens van bijzondere personen, maar gegevens waarvoor speciale regels gelden. Zo is iemand zijn politieke voorkeur een bijzonder persoonsgegeven. Dergelijke gegevens mogen in principe niet worden verwerkt, tenzij het een wettelijke uitzondering is. Het is allemaal wat complex maar waar het op neer komt is dat het AP politiek Den-Haag zeker in de gaten houdt, dat blijkt wel uit dit statement van de AP:
“Het is aan te raden dat u zorgt voor deskundigheid binnen uw partij over het gebruik van persoonsgegevens”
Toegegeven, niet de beste titel ooit maar u moet het er maar even mee doen. Eerder deze week kwam de Franse overheid met de waarschuwing dat organisaties jarenlang zijn aangevallen via de monitoringtool Centreon. Deze tool laat, hoe ironisch ook, organisaties hun IT-omgeving monitoren, zoals applicaties, systemen en netwerken. Maar blijkbaar monitorde niemand Centreon zelf. In een nieuw Engelstalig rapport wordt vermeldt dat diverse Franse organisaties via de Centreon-software zijn gecompromitteerd. De aanvallen liepen van eind 2017 tot afgelopen jaar en waren met name gericht op IT-bedrijven en hostingproviders. Inmiddels is duidelijk geworden dat 15 organisaties zijn aangevallen via Centreon.
Het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) ontdekte op de Centreon-servers een webshell van aanvallers. Dit is script waarmee een aanvaller van een veilige afstand commando’s en code kan uitvoeren op de server. Hoe de aanvallers toegang kregen tot de server is onduidelijk. Inmiddels heeft Centreon gereageerd en claimt dat het hier niet om een supply-chain-aanval gaat zoals bij SolarWinds het geval was. Echter is het ook voor de ontwikkelaar nog een groot vraagteken hoe ze binnen zijn gekomen. Het advies van Centreon is voor nu om goede computer hygiëne toe te passen en, waar nodig, de software te updaten. Het lijkt ons verstandig dat Centreon vooral naar haar eigen hygiëne gaat kijken. Iets stinkt er namelijk.
Een record voor onze buren, maar trots zullen ze er niet op zijn. Sterker nog het zal ze zorgen baren. Belgische bedrijven hebben vorig jaar namelijk een recordaantal datalekken bij de Belgische privacytoezichthouder gemeld. De GBA, zoals deze organisatie in de volksmond wordt genoemd, ontving maar liefst 1060 meldingen van een datalek. Een stijging van maar liefst 21% ten opzichte van 2019. Dit zal ongetwijfeld met Corona te maken hebben maar de stijging is reden tot nadenken. Zeker omdat het in 2018 nog slechts 445 meldingen waren. Een flinke groei dus. Nu hebben wij niet echt recht van spreken want in Nederland kwamen er in 2019 maar liefst 27.000 meldingen binnen bij de AP.
Wilt u nou voorkomen dat u een van deze 27.000 bedrijven wordt die een melding moet doen? Dan is het een uitstekend idee om ons webinar op 4 maart bij te wonnen. Samen met onze partners van Beschermheren en Awaretrain zullen wij u alles vertellen over de samenhang tussen Mens, Organisatie en Techniek in de informatiebeveiliging. Het is gratis maar ook zeer leerzaam en lekker interactief. Wilt u daarna nog meer weten over een van de specifieke topics? Dan zijn er op 11, 18 en 25 maart nog individuele webinars. Ook daar kunt u zich nu al voor inschrijven! Wacht dus niet langer en bemachtig uw plekje.
04-03-2021 : Mens, Organisatie en Techniek in de informatiebeveiliging
11-03-2021: Awaretrain over security awareness
18-03-2021: Beschermheren over informatiebeveiliging & Organisatie
25-03-2021: Rootsec introduceert Endpoint Protection