Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

CBS: aantal datalekken bij grote bedrijven neemt toe

Het aantal grote bedrijven dat slachtoffer wordt van datalekken is de afgelopen jaren toegenomen. Dat blijkt uit de Cybersecuritymonitor 2020 van het Centraal Bureau voor Statistiek. In 2019 had 25 procent van de bedrijven met meer dan 250 medewerkers te maken met een datalek.

In veel gevallen ontstaat een datalek door interne oorzaak, blijkt uit de cijfers van CBS, vooral bij grote bedrijven. Het aantal gemelde ict-veiligheidsincidenten door een aanval van buitenaf nam in alle gevallen af ten opzichte van 2016. Waar in 2016 nog bijna 40 procent van de bedrijven te maken kreeg met cyberaanvallen, was dat in 2019 nog maar 20 procent.

Ook het totaal aantal bedrijven met veiligheidsincidenten nam af ten opzichte van de jaren ervoor. Maar dat geldt niet voor grote bedrijven met meer dan 250 medewerkers. Daarbij nam het aantal veiligheidsincidenten juist toe. Ook nam het aantal meldingen bij de Autoriteit Persoonsgegevens toe, vooral in de financiële dienstverlening. In 2019 werden 26.956 meldingen bij de AP gedaan. In 2018 waren dat er nog 20.881.

Maatregelen

Tegelijkertijd neemt het aantal genomen ict-veiligheidsmaatregelen niet erg toe ten opzichte van voorgaande jaren. Data wordt iets vaker versleuteld, er is iets meer network access control en authenticatie via soft- en hardwaretokens nam iets toe ten opzichte van voorgaande jaren, vooral bij grote bedrijven. Maar op andere vlakken, zoals het gebruik van antivirussoftware, het bijhouden van logbestanden en het uitvoeren van risicoanalyses is er amper verbetering te zien.

Wat opvalt in de monitor is dat vooral in de zorg meer is ingezet op veiligheidsmaatregelen, ten opzichte van andere sectoren zoals de horeca, ict en industrie. 2019 was volgens de cijfers in alle sectoren het jaar waarin geïnvesteerd werd in authenticatie. Voor grote bedrijven nam het gebruik van software en hardwaretokens voor authenticatie toe van 71 procent in 2016 naar 87 procent in 2019. Middelgrote bedrijven met tussen de 10 en 50 werknemers maken een inhaalslag op dat gebied, stelt CBS, met een dekkingsgraad van 29 procent in 2016 naar 54 procent in 2019.

Ddos-aanvallen

Bij tweederde van de gemelde datalekken gaat het om het versturen of afgeven van persoonsgegevens aan de verkeerde ontvanger. In 2020 was maar vijf procent van de datalekken veroorzaakt door een hack. Dat is nagenoeg een even groot aandeel als de jaren ervoor. In 2018 was dit 4 procent, in 2017 6 procent. Dit is over de hele linie, want in de zakelijke dienstverlening, zorg en het onderwijs kwamen hacks, malware en phishing relatief vaak voor. Het ging om respectievelijk 14, 13 en 13 procent.

De grootte van ddos-aanvallen lijkt wel aanzienlijk toegenomen te zijn, volgens cijfers die aangeleverd werden door de Stichting Nationale Beheersorganisatie Internet Providers op basis van partijen die gebruik maken van de nationale anti-ddos-wasstraat. Dit zijn niet alle ddos-aanvallen maar wel een groot deel daarvan. Waar in 2019 nog 11 procent van de ddos-aanvallen een omvang hadden van meer dan 10Gbit/s, in 2020 was dat meer dan 25 procent.

Computervredebreuk

Het aantal bij de politie geregistreerde gevallen van computervredebrek verdubbelde bijna in een jaar tijd, tussen 2018 en 2019. Waar in 2018 nog 2945 gevallen bij de politie werden geregistreerd, waren dat er in 2019 4865 gevallen. De politie lost daarvan maar een relatief klein deel op: 355 gevallen in 2019. Dat zijn er bovendien minder dan in 2018. Toen werden 390 gevallen opgehelderd door de politie. Dat betekent dat de politie maar 7,3 procent van alle gevallen van computervredebreuk oplost.

Dat de politie relatief weinig geregistreerde hackzaken oplost was in 2018 ook al het geval. Toen ging het om 4,6 procent van de zaken. Het ging daarbij om misdrijven waarbij minimaal een verdachte bij de politie bekend is.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Stephan Vegelien

Redacteur

07-05-2021 • 09:35

61 Linkedin

Submitter: JapyDooge

Reacties (61)

Wijzig sortering
Veel bedrijven zien het versturen van data aan de verkeerde ontvanger niet als een datalek als het gaat om een incident dat door een medewerker handmatig is veroorzaakt.

Als bijvoorbeeld een medewerker een typefout maakt in een e-mailadres en op die manier ontvangt iemand anders de factuur of de log-in gegevens wordt dat niet gemeld.

Ik heb dit afgelopen jaar gezien bij een tandarts, een telco, een energiebedrijf en bij diverse webshops.
Wellicht dat een paar jaar geleden dit soort dingen wel werden gemeld als datalek.

[Reactie gewijzigd door djwice op 7 mei 2021 10:47]

Maar wat is het als de persoon in kwestie zelf een verkeerd mailadres intypt, en daardoor de gegevens bij een ander komen... Is dat dan ook een datalek?
In mijn voorbeelden ging het om overschrijffouten van de bedrijven zelf, dus niet aan de kant van de consument.

Voorbeelden:
  • Er zijn namen die op plaatsnamen lijken, deze worden soms als plaatsnaam geïnterpreteerd bij het overtypen.
  • Er zijn namen met een andere spelling dan de meest gebruikte spelling, bij het overtypen wordt de naam vervangen door de reguliere spelling.
  • Er zijn namen die in uitspraak lijken op andere namen, bij het overtypen wordt de naam dan ook vaak verwart.
  • Het is zo gebruikelijk dat @bedrijfsnaam.nl of @bedrijfsnaam.com dat mensen als ze @bdrfsnm.nl zien, ze toch @bedrijfsnaam.nl schrijven.
  • Soms werken mensen aan twee of meerdere opdrachten tegelijk en wisselen ze de gegevens van de ene opdrachten met de andere.
  • Een bedrijf voegt gegevens van een oude database samen met een nieuwe dataset - bijvoorbeeld na aankoop van een dataset, gegevens verkregen door scraping, aankoop van een bedrijf, een fusie of bij het opschonen van een oud systeem - en gaat daardoor oude contactgegevens gebruiken voor een klant.
Jouw vraag
Ik ben geen jurist. Ik denk dat het nog steeds een datalek kan zijn als gegevens bij de verkeerde persoon belanden als de persoon zelf verkeerde contactgegevens aangeleverd heeft, de verwijtbaarheid ligt denk ik in zo'n geval meestal anders, zeker als de persoon zelf duidelijk de mogelijkheid heeft gehad tot verificatie van de gegevens en ook instaat kan worden geacht dit goed te kunnen verifiëren.

[Reactie gewijzigd door djwice op 8 mei 2021 13:30]

Dat een ander iets verkeerd aanlevert wil niet zeggen dat je het dus zomaar kan gebruiken, dat gaat namelijk ook al op voor correcte persoonsgegevens. Dat een fout blijft bestaan omdat je als bedrijf te weinig gedaan hebt om de juistheid te controleren en vervolgens die gegevens gebruikt om persoonsgegevens naar te versturen lijkt dus te voldoen aan een datalek. Twijfel kan er hooguit zijn als de ontvanger niet bestaat, tenzij je het tot afleveren onder controle hebt.
Jazeker. Als verwerker van persoonsgegevens ben je eindverantwoordelijk. Dat jij je klant of eindgebruiker zijn eigen mailadres in hebt laten typen en dat deze daar een fout in heeft gemaakt doet daar niets aan af, het is nog steeds een datalek en dient gemeld te worden.
Waarom niet?
Er zijn immers gegevens bij de verkeerde persoon terecht gekomen.
En als het gaat om een typefout dan had de bedoelde ontvanger het ook niet zo gewild..

Je kunt je vervolgens afvragen of de afzender hierin iets verweten kan worden.
Hadden ze mogen aannemen dat het opgegeven mailadres juist was?
Of hadden ze dit zelf moeten toetsen als het gaat om gevoelige gegevens?
Dat is de vraag.. Het gebeurt eigenlijk heel vaak dat mensen snel hun mailadres in typen.
Moet jij als ondernemer dan voor elke typfout die de klant maakt bij het plaatsen van een bestelling een onderzoek starten of dit het juiste mailadres was? Zo niet dan melding maken van een datalek?

Dat kan niet, gebeurt niet en zal veel te veel geld kosten om dat te regelen. Kijk maar eens naar bol.com, coolblue of welke andere grote shop..
Waarom zou dat lastig zijn of te veel geld kosten?
Als ik me op een website inschrijf dan krijg ik meestal eerst een verificatiemail voordat ik het account kan gebruiken.
En bij het aanmaken van een wachtwoord moet je het bijna altijd twee keer invullen voordat je door kan, wat ook wel eens bij het emailadres gedaan wordt.
Wat dacht je van bestellingen op een webshop? bol.com bijvoorbeeld
Wat is daar mee?
Ik moet voordat ik bij bol iets kan bestellen allerlei gegevens invullen, waaronder mijn email.
Nu wordt dat niet gecontroleerd, waarschijnlijk omdat ze me zo snel mogelijk willen laten betalen, maar dat kan natuurlijk altijd worden ingebouwd.
Dat het niet mogelijk zou zijn is op zich geen argument.

Wel kan je je afvragen of de data die bol naar mij zou kunnen mailen zo gevoelig is dat bol hierbij een extra zorgplicht heeft.
Bij bijvoorbeeld mijn huisarts zijn die gegevens wel gevoelig en ik hoop niet dat deze door een foutje (onduidelijkheid of het streepje in de email nu een - of _ is) per ongeluk bij een naamgenoot terecht komt.
Het AP is er duidelijk genoeg over:

https://autoriteitpersoon...-een-datalek-precies-7964
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.
Inbreuk op de vertrouwelijkheid
Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
De verkeerde persoon waar je naartoe mailt is sowieso onbevoegd, dus daar gaat het al meteen fout. En anders is het het onbedoeld delen van info, wat ook al een datalek is.

[Reactie gewijzigd door McBacon op 10 mei 2021 15:39]

Mijn moeder heeft dezelfde naam als een politicus maar haar hotmail adres is zonder puntje tussen voornaam en achternaam.
Erg grappig om te zien wat we daar allemaal op binnenkrijgen.
Bij gmail kan zo iets niet, je kunt een of meerdere puntjes tussen je e-mailadres zetten (voor de @) en het komt aan in dezelfde mailbox. Goed dat je aangeeft dat dit bij hotmail/live/microsoft niet zo is.

Ik krijg ook regelmatig facturen van mensen die denken dat mijn domeinnaam van iemand anders is die een bedrijf heeft dat dezelfde naam draagt, vaak legitieme bedrijven die ook echt iets geleverd hebben aan dat bedrijf. Ik heb nog nooit meegemaakt dat zo'n bedrijf dit als een datalek zag; in veel gevallen zijn die bedrijven klein (<80 man in dienst) en leveren fysieke machines, die lijken vaak überhaupt niet gericht op "data", de administratie is vaak de enige met een computer.

[Reactie gewijzigd door djwice op 7 mei 2021 09:57]

ik heb bij één domeinnaam een catch-all erop zitten.. voor mezelf handig, voor elke site een uniek e-mailadres.
Het komt regelmatig voor dat ik facturen krijg, onderling overleg over vanalles en nog wat, tot zelfs CAD tekeningen van een of ander onderdeel van een tank(!)

Soms zijn het wel serieuze datalekken.. dan laat ik het netjes weten, andere keren doe ik gezellig mee in de discussie (als ik de lolbroek aan heb) of ik negeer de boel gewoon.
Hmmm, dat lijkt me toch best tricky, zou zoiets mogen?

Het is dan net alsof Postnl alle fout-geadresseerde post open gaat maken. Wat ze hopelijk niet doen.
Meer in de trant van dat JIJ alle aan jouw thuisadres geaddresseerde post open maakt, ook als die duidelijk geadresseerd was aan aikebah die helemaal niet bij jou in huis woont (die zou je dus ongeopend retour afzender moeten sturen)
Dat zie ik toch anders. Uiteindelijk zijn die nooit bedoeld voor dat 'thuisadres' en zijn daar ook niet aan geadreseerd, want er staat duidelijk een ander 'adres' op (ander emaildres met zelfde domeinnaam).
Nee, want deco1974 heeft het over een catchall op zijn domain (=huisadres) met een ander aangeschreven persoon (=localname), die dus wel aankomt in de catch-all (de brievenbus), maar niet bedoelt is voor een van de bewoners van het huis
Ik denk dat het een beetje afhangt wat voor domein het is :) . Stel dat domein is bij wijze van spreke @gmail.com, dan is de vergelijking tussen het volledige domein en 1 bepaald adres niet helemaal terecht denk ik.

Maar goed, we zullen het vast niet eens worden...
Klopt, maar wat voor domein het is staat al redelijk verwoord in die post:
voor mezelf handig, voor elke site een uniek e-mailadres
dan is er toch wel >90% kans dat het hier om een personal domain gaat. En anders een ZZP / Kleinbedrijf domain.
Een ontvangen email aanklikken vind ik anders dan een dichte envelop open scheuren.
Het is de omgekeerde wereld om gestraft te worden voor wat je gehoord hebt.
Het is ook afhankelijk van de context. Onenigheid tussen afdelingen of bedrijven zijn leuk om in te springen, als de mailwisseling voort blijft duren.
Maar kritische mail behandel ik met respect, en laat ik keurig netjes weten dat die mail niet voor mij bedoeld is.
Uuhm pardon?
Wat je nu stelt lijkt me sterk, Gmail zal wel zoiets als plus addressing ondersteunen, dus naam.achternaam+ietswillekeurigs@gmail.com, maar naamachternaam@gmail.com en naam.achternaam@gmail.com zouden toch echt twee verschillende adressen moeten zijn, mits je geen aliassen hebt toegevoegd.
Waarom een aanname doen terwijl je het gewoon zelf kan opzoeken? https://support.google.com/mail/answer/7436150?hl=nl
Bob.ross@gmail.com is hetzelfde als bobross@gmail.com of bobro.ss@gmail.com.
Erg vreemde ontwikkelling. Hoe hebben ze dat dan opgelost voor 2 mensen die beiden John Doe heten waar de ene had johndoe@gmail.com en de ander john.doe@gmail.com had?
Vrij simpel. Dat heeft nooit gekund.
niet. is nooit mogelijk geweest.
ik heb in 2004 reeds geprobeerd om zowel met als zonder puntje aan te vragen, en dat lukte toen al niet.
Toch heeft hij gelijk. Je kunt puntjes op willekeurige plekken zetten, en toch komt het bij het normale mailadres uit.
Ach, een van mijn gmail-adressen is kennelijk één letter anders dan iemand op de universiteit Amsterdam.

Hoe vaak ik werkstukken, opstellen en smeekbede's om een ander punt daarop te zien krijg ;)
Er zijn zelfs al maildiscussies tussen de persoon in kwestie en de prof die door zo'n student ( handmatig ) doorgestuurd worden naar dit adres :)

In het begin wel eens moeite genomen om het dan nog eens door te sturen naar de afzender en de 'bedoelde' ontvanger, maar daar ben ik mee gestopt.
Als je een studie volgt, lijkt me dat je ook wel verantwoording kan dragen om de juiste contactpersoon te gebruiken.
Maar volgens mij is dit toch wel degelijk een datalek? Als ik per abuis een medicatie-recept meegeef van patiënt A aan patiënt B dan meldt de apotheker dit als een datalek meen ik
Het is zeker een datalek. Het gross van de datalekken zijn berichten die naar de verkeerde personen worden gestuurd.
Terwijl het nog steeds een datalek is ;)
.

[Reactie gewijzigd door Dennisdn op 7 mei 2021 17:24]

Wordt wel gemeld.
De situaties waar in ervaring mee heb zijn niet gemeld door de bedrijven, ook niet na aandringen vanuit mij.

Ik heb o.a. e-mail bericht van de zakelijke afdeling van een energiebedrijf waarin ze uitleggen dat het geen datalek is dat ik van een grootzakelijk klant het verbruik, de factuur en contactgegevens ontving. En dat het ook niet een datalek is dat ze herinneringen bleven sturen nadat ik gemeld had dat ze de verkeerde contactgegevens gebruikten. Pas na aandringen van mij met telefonisch contact met de DPO stopte die herinneringen.

Het energiebedrijf had zelf data aangevuld, ik heb totaal geen relatie met het bedrijf waar ik informatie van ontving, ik wist niet eens van het bestaan er van.

[Reactie gewijzigd door djwice op 7 mei 2021 11:42]

Waar vrijwel iedereen in discussie zich in vergist is de gedachte dat elk datalek gemeld moet worden.
Dat klopt niet.

Als bedrijf moet je wel elk datalek registreren in je eigen administratie. Maar je hoeft niet elk datalek bij de autoriteit persoonsgegevens te melden.
Het staat uitgebreid (maar niet erg overzichtelijk) beschreven op de site van de AP
https://autoriteitpersoon...ing/meldplicht-datalekken

Het komt er op neer dat je een datalek moet melden als er een aanzienlijk risico op schade voor de betrokken personen is.

Tegelijkertijd weet ik ook dat er gemeenten zijn die elk wissewasje bij de AP melden. Ik vraag me dan of of dat is omdat ze niet de compententie hebben om af te wegen of een datalek schade oplevert, of dat ze de AP willen overspoelen met meldingen zodat hun ernstige lekken onder de radar blijven.

[Reactie gewijzigd door mjtdevries op 7 mei 2021 13:43]

Of, iets minder cynisch, omdat ze liever het zekere voor het onzekere willen nemen en hun best doen.
Kijk, als het gaat om het zekere voor het onzekere nemen, dan is daar natuurlijk niets mis mee. Dat ben ik helemaal met je eens.

Maar dit ging ook over datalekken waar daar geen enkele sprake van was. Waarbij het zonneklaar was dat er geen enkele kans op schade voor betroffen personen was.
Als je dan bovendien weet dat de AP veel te weinig mankracht heeft, dan vind ik het haast onbehoorlijk om die afweging nooit te maken en alles per definitie bij hen aan te melden.
Ik heb iets vergelijkbaars meegemaakt wat dan wel weer goed is opgelost, kreeg van de importeur van een groot automerk een lijst opgestuurd met op dat moment openstaande facturen. Dit was een excelletje waar een kolom gefilterd stond op onze leasemaatschappij. Met filter uit zag ik ineens alle openstaande autofacturen van alle andere particulieren en bedrijven (alleen niet autodealers), tjokvol gegevens over de factuur zelf. Een erg vervelende vergissing maar gelukkig wel keurig volgens AVG afgehandeld daarna.
Ik ben na de datalek van Allekabels nagegaan waar ik overal een account heb lopen en waar ik het kan verwijderen omdat ik een bijna nooit iets bestel.

Ik kwam uit een bij een webshop waar ik een keer iets besteld heb en daar niet meer ga bestellen.

Ik heb toen aangevraagd om mijn account te verwijderen, het kon wel maar dan verloor ik mijn garantie.
Ik heb toen aangegeven dat ik een aankoopbon heb en dat mijn aankoopbon mijn garantie garandeert.
Kreeg weer een mailtje met get standaard verhaal dat het zo niet werkte.
Toen heb ik een mail gestuurd met dat ik dit bij de autoriteiten ga melden.
Antwoord daarop was het onderstaande:
Op vertoon van een geldige factuur heb je bij x-bedrijf recht op wettelijke (fabrieks)garantie, ook na het verwijderen van je persoonsgegevens. Naar aanleiding van je bericht gaan wij onze privacyverklaring waar nodig aanpassen.
Soms(redelijk vaak) maken bedrijven het je(onterecht) moeilijk om je gegevens te verwijderen, daarmee vergroten ze jouw kans om bij een eventuele datalek te zitten.
Exact, ik ben dan ook fan van de webshops die betalen als "gast" toestaan !
Wat denk je dat het voordeel daarvan is in deze context?
De gegevens die bijgehouden worden zijn strikt gelimiteerd tot de strikt noodzakelijke voor de afhandeling van de betaling;
Ik zou alsnog niet willen dat m'n Naam + adres + bankgegevens lekken. Dat zijn de gegevens die je afgeeft bij een bestelling.
Dat hebben ze echter wettelijk nodig om tot een koop te gaan :) dan moet je lokaal gaan shoppen.
Dat klopt. Echter, ik vind het geen rare situatie als een webwinkel geen gegevens lekt. Dat lijkt mij de norm. Voorkomen van datalekken is niet de verantwoordelijkheid van de klant; "had hij maar lokaal moeten winkelen".
Maar dan heb ik een vraag: is er een toename in datalekken, of een toename in gerapporteerde datalekken? Sinds de AVG is ingevoerd worden meer bedrijven zich bewust van het feit dat er een meldplicht is, met dikke boetes als je verzuimt dit te doen.
Dat is zeker een reden/oorzaak.

Het proces omtrent opsporen en registreren van datalekken wordt steeds professioneler, in ieder geval wel bij de klanten waar ik zit. Steeds vaker zie je
  • een afdeling die verantwoordelijk is voor de controle van een datalek,
  • online cursussen en andere zaken voor alle medewerkers om bewust te worden en te weten wat te doen bij vermoeden.
Aan de andere kant verwacht je wel minder incidenten doordat de bewustheid ook leidt tot betere controles vooraf (voor release nieuwe software en functionaliteit). Ik vermoed dat die verbetering er wel degelijk is, maar nog niet voldoende is om de totale toename teniet te doen.
Of: hoe verhoudt die toename datalekken zich tot de toename in totale data / benaderbare punten?
Ik denk een beetje van beide. Hacken is de afgelopen jaren natuurlijk een stuk lucratiever geworden nu alles en iedereen afhankelijk is van hackbare systemen. Hackers zijn ook een stuk professioneler geworden over de jaren heen en zich gaan organiseren. Waar het vroeger vaak individuën waren die een beetje liepen te kloten of trollen.

De meldplicht wordt nu ook wat serieuzer genomen gezien het AP ook steeds makkelijker boetes aan het uitdelen is.
Daarom een grotere hoeveelheid datalekken bij bedrijven met meer dan 250 medewerkers.
Er wordt dan wel gesteld dat het aantal genomen ict-veiligheidsmaatregelen niet toeneemt en dat kan ik ook wel zo om mij heen ervaren. Maar ik ervaar wel dat de genomen maatregelen strenger en strakker worden gehanteerd en ook gecontroleerd en gehandhaafd. Daarmee wil ik maar zeggen dat de maatregelen vroeger vaker werden gelicht omdat ergens iemand dat nodig vond. Door ze nu wel strak aan te houden blijkt dat de maatregelen opzich wel goed zijn.
Ik denk niet dat het is toegenomen maar dat we er nu vaker achterkomen of vaker rapporteren.
Ook bij kleine bedrijven maar die melden het vaak gewoon niet. Hebben geen DPO enz. enz. enz.
Als je het hele rapport leest zie je ook dat getroffen maatregelen erg zijn toegenomen, met name in de ICT sector. En dat de meeste incidenten vallen onder "Uitval ICT door intern incident".

Dus deze conclusie is een beetje overtrokken in relatie tot het gehele rapport waaruit blijkt dat best veel bedrijven maatregelen treffen en deze groep blijft groeien, maar horeca een beetje achterblijft, maar ja, daar is het laatste jaar ook geen computer aangeweest.

Plus het woord datalek en privacy zijn van mugjes gegroeid tot onwaarschijnlijk grote monsterlijke gedrochten, die iedereen kent, niemand ooit gezien heeft, maar waar we allemaal wel wat over te zeggen hebben. En dan bij voorkeur met een smartphone met Facebook en een digitale bonuskaart, want da's lekker makkelijk, in de hand. "Privacy ja, da's super belangrijk, even wachten hoor, ik geef even al mijn gegevens door voor deze persoonlijke test om te kijken welke sterrenbeeld het beste bij mij past."

Daarnaast zijn begrippen als verplichte-meldplicht zoals vastgesteld door onze broeders van het A.P. in het leven geroepen en is onmiskenbaar kenbaar gemaakt wanneer gij zult melden.

Gevoed door een beetje angst door gebrek aan kennis van de materie, (lees, de super relaxed geformuleerde AVG) waar bij in gebreke hoge boetes wegens verzuim dreigen. En als dan blijkt dat je er niets aan gedaan hebt, en iedereen zijn sterrenbeeld ligt op straat, dan zal gij in den boom getrokken worden bij uwe enkels en hangen tot het waterman tijdperk is afgelopen.

Vervolgens wordt de conclusie getrokken dat de grote bedrijven meer geraakt worden. Zou dat komen omdat er meer mensen werken, meer mensen, meer fouten, omdat meer mensen?

Hoe zou dit getal zijn als je meerekent hoeveel mensen er werkzaam zijn in een bedrijf? Dan weet iedereen het antwoord wel, je risico vermenigvuldigd met je personeelsleden die ICT middelen gebruiken. De grotere bedrijven doen hoogstwaarschijnlijk meer aan awareness en cursussen. Maar hebben ook meer 'dappere dodo's' die 'ja, vul die leuke test maar in over sterrebeelden op mijn werklaptop, ohhh wat gaaf hebben ze een app, ja, ja installeer die maar ja.', 'Misschien kom ik die leuke man nu wel tegen, ik hoop op een knappe rus die vraagt om bitcoins!'

Dus laten we eens lekker stoppen met bangmakerij, en overtrokken ideeën in ieders brein implementeren dat je gericht gehacked kan worden door je buurjongetje van 14 als je niet minimaal 16 security certificaten bezit, elke week 10 awareness emails verstuurd en al je pc's minimaal met AES1024+PGP+SLL encrypt en de pentest vaker in je bedrijf uitvoert dan in de slaapkamer.

Cybercrimineeltjes zijn niets anders dan een stel opportunisten waarbij ze met hagel schieten wat met 25km/h op je af komt. Je kan aan de kant stappen, maar je kan ook je kop in het zand drukken en een ijzeren bal van 20kg met 25km/h vol in je snuit krijgen. Het is eigenlijk bijna een keuze. Risk vs. Reward.
Ik denk dat het ook wel komt omdat er veel meer monopolisering en cloud is. Vroeger had je allerlei kleine bedrijfjes en iedereen had wel iets of wat custom draaien. Dat maakt het daarom niet veiliger, maar het is wel moeilijker om daar op te scannen- tenzij er een of andere exploit in bv. Exchange zit wat op een bepaalde poort luistert. Maar dan nog, wij hadden bv. bepaalde services die enkel openstonden naar Belgische IP's toe.

Nu is het allemaal eenheidsworst en vaak zit het dan nog bij grote spelers. Een foutje, en je hebt een database van miljoenen (zoals bij Facebook), terwijl het vroeger toch meestal wel over een beperkte set ging.
Maar op andere vlakken, zoals het gebruik van antivirussoftware, ... is er amper verbetering te zien.
Hoe kan dit als zowel Windows als MacOS tegenwoordig al antivirussoftware ingebouwd hebben in hun OS? Schakelen beheerders dat dan bewust uit? Of tellen ze die ingebouwde software niet mee?
Het is een wapenwedloop. Meeste denken dat als je je Windows Defender aanzet dat je veilig bent, maar vergeten dat Windows Defender Antivirus, Device Guard, Windows Information Protection, BitLocker, Windows Analytics Device Health, Windows Defender Application Guard, Windows Defender Credential Guard, Microsoft Defender ATP, Azure Advanced Threat Protection, Azure Advanced Threat Analytics ook allemaal bestaan :+
AI helpt hier ook aardig bij, het ontwikkelen van nieuwe exploits en het opzoeken hiervan maakt het nog nooit zo makkelijk.
Zonder hardwarematige bescherming voor je software gaat je het niet lukken om het te winnen.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True