Datadiefstal bij Delta Mobiel en Caiway treft vermoedelijk tienduizenden klanten

Er zijn mogelijk gegevens van tienduizenden klanten gestolen bij Delta Mobiel en Caiway. De klantgegevens zijn uit de bestelomgeving ontvreemd, melden de providers. Wie achter de diefstal zit en hoe de gegevens precies zijn gestolen, is niet bekend.

Delta Mobiel en Caiway melden dat ze de datadiefstal op maandag hebben geconstateerd. De namen, adressen, e-mailadressen, geboortedata, telefoonnummers en bankrekeningnummers van klanten zijn daarbij buitgemaakt. De getroffen klanten worden persoonlijk geïnformeerd. De informatie kwam uit de bestelomgeving, maar het bedrijf zegt dat daarbij geen creditcardgegevens of klantnummers zijn buitgemaakt.

De providers vragen hun klanten om extra alert te zijn op 'mogelijke e-mail- en telefoonfraude'. Een combinatie van verschillende persoonsgegevens kan namelijk worden gebruikt voor identiteitsfraude en phishing, zeggen de providers. Verder is het datalek gemeld bij de Autoriteit Persoonsgegevens, wat verplicht is bij de meeste datalekken, en hebben Delta Mobiel en Caiway aangifte gedaan bij de politie. De bestelpagina's van de providers zijn tijdelijk offline.

Door Loïs Franx

Redacteur

06-12-2022 • 16:01

153 Linkedin

Submitter: Bender

Reacties (153)

153
152
41
3
0
86
Wijzig sortering
Wat kunnen we doen aan dit soort diefstal. Bedrijven veel zwaarder straffen wellicht om te zorgen dat ze het serieus gaan nemen? Of de daders van dit soort diefstal veel zwaarder bestraffen? Of beide? Het aantal datalekken en diefstal is simpelweg niet meer bij te houden.
Veel minder onnodige persoonsgegevens opslaan.
namen - Niet nodig.
adressen - Kan na toesturen simkaart verwijderd worden.
e-mailadressen - Wel noodzakelijk.
geboortedata - Niet nodig.
telefoonnummers - Niet nodig.
bankrekeningnummers - Ook al niet nodig.
google analytics - Compleet totaal overbodig (hiermee geef je als bedrijf al overduidelijk te kennen dat je niets geeft om de privacy van de klant).
Dan bij een eventueel datalek wordt de lijst van gelekte gegevens toch aanzienlijk kleiner, daarmee ook de impact.
Echter bedrijven willen allemaal (oké, een enkeling gelukkig niet) zoveel mogelijk data en persoonsgegevens verzamelen. En met de komst van de AVG is dit ook nog eens legitiem geworden, met een beetje uit de duim gezogen reden mag het ook nog.
Banknummers zijn natuurlijk WEL nodig om abo geld af te schrijven, dat is echt het laatste wat ze wissen. En het ordersysteem is gekoppeld aan de portal waar jij je eigen gegevens up to date mag houden, dat kost namelijk minder personeel aan hun kant. Ziedaar de reden dat al die bende gekoppeld en beschikbaar is in de eerste de beste webinterface.

Minder opslaan is uiteraard altijd goed, maar we weten niet eens wat hier aan de hand is, voor hetzelfde geld is er iemand aan de haal gegaan met een intern bestand. Dan kan je firewallen tot je een ons weegt, maar dat helpt dan ook niet echt. Beetje een rare opmerking dat er geen klantnummers ontvreemd zijn, maar wel banknummers, geboortedata en dergelijke. Beetje alsof iemand echt alles van je gejat heeft, maar jij blij moet zijn dat ze een muntje van 50 cent hebben gemist.
voor hetzelfde geld is er iemand aan de haal gegaan met een intern bestand.
Als minder wordt opgeslagen dan is dit interne bestand toch ook minder 'data-rijk'?

En idd beetje apart; ze hebben gelukkig de primary key uit onze database niet gestolen...
Of ze bedoelen: als je die weet dan kun je mensen nog meer op de mouw spelden?
Als je een abonnement afsluit (waar deze bedrijven hoofdzakelijk op draaien), dan ben je domweg wel namen, adressen, mailadressen en bankrekeningnummers nodig. Hoe wil je anders je bedrijfsvoering doen?
Je kunt dit soort dingen alleen aanpakken als het hoger op de agenda staat van de top van een bedrijf. Goede beveiliging kost geld. Potentieel veel geld zelfs. En dan is het al snel een stiefkindje waar je op kunt bezuinigen. Wil je het aanpakken, dan moet je de top van een bedrijf hoofdelijk aansprakelijk kunnen stellen voor datalekken, waarbij uiteraard een hogere straf dient te volgen als men het lek niet meldt.
Het begint lager. De ICT afdeling moet dit op aangeven. Maar daar schort het vaak aan. Waarom krijgen marketingafdelingen makkelijker budget? Omdat de verantwoordelijk marketingmanager beter kan verwoorden waarom hij/zij geld nodig heeft. IT afdelingen zijn daar bij heel veel bedrijven veel slechter in. Vraag een IT-er waarom een upgrade nodig is en er komt een technisch verhaal waar niet het bedrijfsbelang duidelijk wordt. Maar de mensen die over geld beslissen zijn in veel gevallen niet technisch. Die moet je gewoon een solide kosten-bate analyse voorschotelen.
Die moet je gewoon een solide kosten-bate analyse voorschotelen.
Heb je die wel eens echt gemaakt?
ICT in een excelletje rendabel maken, zeker als het alleen maar op vervangen van oude hardware aankomt door hardware wat exact 't zelfde doet zonder bijvoorbeeld concrete productiewinsten ofzo, moet je een hele hoop hypothetische situaties voor uit de kast gaan trekken.

ICT-ers zijn geen verkopers nee.
Maar als een ICT-er tegen je zegt dat er een nieuwe firewall moet komen en je gaat daar gewoon tegenin omdat je het op de inhoud niet snapt is de ICT-er niet het probleem.
Jij vertrouwt dan kennelijk gewoon het oordeel van je ICT-er niet.

Je gaat toch ook niet met de tandarts in conclaaf als die zegt dat je een gaatje hebt omdat daar geen ROI aan vast zit?

Meuk leuk verkopen valt buiten 't functieprofiel van een techneut.

[Reactie gewijzigd door Polderviking op 6 december 2022 18:14]

Nou, het is beduidend minder moeilijk dan je het hier voorstelt om die business case in een excelletje te maken.

Je begint met wat het kost om de oude hardware te vervangen, en daaronder zet je wat er allemaal stil komt te liggen binne het bedrijf wanneer die oude hardware uitvalt. Nog even toevoegen dat alles al afgeschreven is, en de theoretische levensduur inmiddels is gepasseerd.
dus zoals @Polderviking zegt:
moet je een hele hoop hypothetische situaties voor uit de kast gaan trekken.
Want je doet dus voorspellingen op basis van ervaring/theorie. En de tandarts zou ook best wel een ROI kunnen maken maar is dat wat we zouden moeten doen dan?
Gaan we de timmerman ook vragen waarom deze een nieuwe zaag wil en het te onderbouwen met een ROI voordat de beokhoudkundige afschijvingsduur is bereikt? Of geloven we hem/haar als deze aangeeft dat deze is versleten?
Dat een stuk oude hardware gaat uitvallen is geen hypothetische situatie. Je weet dat het zal gaan gebeuren, alleen niet exact wanneer.

En we gaan een timmerman niet vragen waarom hij een versleten zaag wil vervangen omdat het in dat voorbeeld heel duidelijk is voor iedereen wat de gevolgen van niet vervangen zouden zijn. Bij IT is dat voor veel mensen een stuk minder duidelijk, vandaar dat je dat moet aangeven. Dat maakt het niet gelijk een hypothetische situatie.
Wat hypothetisch is aan de situatie is dat hardware na X jaar uitvalt. En we weten dat dit ook X-y of X+y kan zijn. Daarom gaan we uit van een hypothetische levensduur.

En bij IT-hardware hebben we dan ook nog zoiets als 'functionele gebruiksduur'. Die is ook hypothetisch. Want een PC is echt niet versleten of defect na - zeg - 3 jaar. Maar voor sommige activiteiten is deze dan wel onderbemeten. En dat maakt nogal uit in de discussie omtrent budgetten.
Jij vertrouwt dan kennelijk gewoon het oordeel van je ICT-er niet.
Hoger management krijgt van alle afdelingen vragen om extra budget en ze moeten daarin keuzes maken.
Het is niet zo dat IT maar carte-blanche moet krijgen omdat een deel van IT over security gaat.

Dus ja, ook IT zal die budget aanvraag moeten onderbouwen en zal pushback krijgen van de mensen die het geld verdelen.

Sommigen zijn daar beter in dan anderen. Ik heb iemand een flinke investering in mankracht in een test management afdeling zien verkopen als een uiteindelijke kostenbesparing voor de gehele IT afdeling.
Daar had de CIO wel oren naar.
IT staat niet gelijk aan veiligheid. Een groot of middelgroot bedrijf heeft een functie of afdeling met security experts of een beveiligingsfunctionaris nodig.

Je laat je haren ook niet knippen bij de slager.
De top is altijd hoofdelijk aansprakelijk. Iets wat vergeten word door de top. Zij zijn verantwoordelijk voor beleid, niet de afdelingsmanagers. Je kan niet managers verantwoordelijk houden als men aan de top geen geld reserveert voor IT security.
Tegenwoordig is dat 20% van de omzet wat men moet reserveren.
Zwaarder straffen voor criminelen is niet effectief. Het maakt hen alleen maar duurder. Kijk maar naar landen waar bv drugshandel zeer zwaar bestraft wordt. Het maakt de drugs alleen maar duurder (en slechter van kwaliteit). Als er een vraag is, is er een aanbod, dat is simpel zat. Misschien dat je neefje niet in de verleiding komt om het te proberen, maar de echte criminelen jaag je er niet mee weg. En dat zijn nou juist de mensen die er nare dingen mee gaan doen.
Je kan echter een bedrijf wel harder straffen om zo een diefstal funest te maken voor de bedrijfsvoering.

Als een bedrijf zoals Caiway eigenlijk geen schade ondervindt van deze diefstal (itt de klanten), waarom zouden ze dan investeren in betere beveiliging?

Als aangetoond kan worden dat een bedrijf hun beveiliging niet op niveau X heeft, mag dat best een flinke straf tegenover staan als het fout gaat.
Funest maken voor de bedrijfsvoering betekent ook dat medewerkers die er niet mee te maken hebben hun baan kwijt raken. Misschien dit soort zaken beperken tot straffen van de ICT afdeling. En dan niet alleen het management maar ook uitvoerenden als die hebben zitten slapen. Uiteindelijk is het niet de directie die opdracht geeft om de beveiliging maar slecht te houden.
Straffen van de IT afdeling LOL, kijk even naar door Cyber Security Experts aanbevolen stappen voor het mitigeren/voorkomen van een ransomware aanval. Dit zijn zaken die door het management bepaald moeten worden. De IT voert het uit.

https://www.ncsc.nl/onderwerpen/ransomware

https://www.cisecurity.or...-the-impact-of-ransomware

https://www.upguard.com/b...revent-ransomware-attacks
LOL, de IT afdeling wilt dingen vaak juist veel beter beveiligen maar dat wordt vaak tegengehouden door directie omdat betere beveiliging vaak ervoor zorgt dat er meer stappen nodig zijn om toegang te krijgen tot zaken die nodig zijn voor je werk. Heb zelfs situaties gezien waar de directie uitgesloten was van MFA want MFA was lastig.

Ik heb als IT’er 1x geweigerd ergens aan mee te werken ivm mijn security first princiepen. Ik kan je zeggen dat hield niet lang stand, zelfs na 10x uitleggen op verschillende management lagen dat wat ze wilde niet secure was moest en zou het uitgevoerd worden.
Dan is het heel simpel toch, hier graag tekenen dat jullie bewust deze keuze gemaakt, deze keuze brengt zus en zo risico met zich mee.

Wij bedienen klanten in het MKB maar ook wat grotere zorginstellingen. Als een klant een bewuste keuze maakt/tegen ons advies in dan stellen wij een risk acceptance formulier op waarmee de klant moet tekenen voor de keuze die hij gemaakt heeft en welke risicos daar aan vast zitten.

Vaak krabbelen ze dan terug om dan alsnog de juiste beslissing te maken, heb jij je managers zoiets laten tekenen zodat er geen gezeik van komt?
Dan is het heel simpel toch, hier graag tekenen dat jullie bewust deze keuze gemaakt, deze keuze brengt zus en zo risico met zich mee.
Dat is helemaal niet zo simpel, want daarmee kan je je baan verliezen.
Als je zo een directie heb moet je sowieso weg willen. Dan maar als
klokkenluider weg :+
Als je zo een directie heb moet je sowieso weg willen.
Dat klopt.
Maar de praktijk is natuurlijk anders; niet iedereen kan zomaar weer opnieuw een goed betaalde baan vinden.
Klopt zeker! Eerst zorgen dat je nieuwe schoenen hebt voordat je de oude weggooit.
Uiteindelijk is het niet de directie die opdracht geeft om de beveiliging maar slecht te houden.
Niet expliciet nee.
Maar het is wel helder dat jij je nog nooit onder iemand hebt gewerkt die nooit ergens budget voor heeft.
In dat geval zal ICT in een poging hun baan veilig te stellen de beveiliging dusdanig opschroeven dat het onwerkbaar is. Onwerkbaar=kostbaar=ontslagen.
Dus ook als je ICT hard aanpakt zal heel het bedrijf eronder lijden.
Uiteindelijk is het niet de directie die opdracht geeft om de beveiliging maar slecht te houden.
De directie is verantwoordelijk voor het reilen en zeilen van het gehele bedrijf. In de praktijk wordt de ICT afdeling vaak gezien als lastige mensen met dure hobbies en een te grote kostenpost op het budget wat beter naar marketing kan, die maken immers de zichtbaarheid naar klanten toe. Tot er een hack komt en die "sukkels van ICT" de boel niet op orde hebben. Mijn huidige werkgever is de eerste in mijn lange carrière die beveiliging, phishing en dergelijk uiterst serieus neemt, met risk assessments, pen testen en allerhande andere maatregelen om ellende voor te zijn, naast allerhande lines of defense in het netwerk, gebouwen, toegangsbeheer en dergelijke. Helaas lijkt dit meer de uitzondering dan de regel ... Door de ransomware lijkt er wel meer besef te komen dat ICT wel iets meer is dan een server in de lucht houden ...
Straffen van de ICT afdeling? Weet je wel hoe dit er aan toe gaan in de realiteit? |:(
ja maar wel voor z'n eigen auto van de zaak ....
Vind dit wat het zelfde als:

Bedrijven straffen als ze overvallen worden. Ja dan had je maar betere beveiliging moeten nemen hier heb je een boete van x bedrag. Door diefstal funest te maken voor de bedrijfsvoering raak je ook het MKB keihard.

Ik denk dat hier ook een verantwoordelijkheid voor ICT'ers er overheid ligt. Bedrijven moeten er ook beter op gewezen worden wat datalekken betekenen en wat voor gevolgen dit kan hebben. Maar ook bijvoorbeeld ransomware is een groter wordend probleem waar onze infrastructuur gewoon niet op voorbereid is.

Met zijn allen het beste beentje voor, informeren en helpen waar het kan en met de nodige hobbels en stoten zullen wij ons ook op dit gebied beter weren tegen criminelen. Want laten we eerlijk zijn, dat zijn het. Een waardetransport kan ook overvallen worden, een goed beveiligd netwerk kan ook geinfiltreert worden

Een aanrader vond ik wel:

Hoe Sinterklaas een bank hackt:

https://podcasts.apple.co...595985722?i=1000542891762

Van de podcast serie van Daniel verlaan, ik weet je wachtwoord.
Wat jouw vergelijking met bijvoorbeeld een waardetransport of een overval niet meeneemt is dat door deze diefstal, duizenden onschuldige burgers slachtoffer zijn.

Om een betere vergelijking te maken.
Je biedt je dure kunstwerken aan een groot veilingshuis aan. Maar die worden daar plots gestolen, en het blijkt dat het veilingshuis niet wou investeren in een alarm of bewaking.
Denk je dan niet dat de verzekering (of de eigenaar) het veilingshuis niet aansprakelijk zal stellen voor het verlies?
Maar net zo goed onschuldige ondernemers. Het is niet zo dat je niet wilt investeren in beveiliging en ICT.
De meeste bedrijven die investeren er goed in, maar je kunt het niet uitsluiten.

Niet iedereen kan werken alsof ze bij de inlichtingendienst zitten. De meeste gegevenslekken worden ook nog eens veroorzaakt door werknemers zelf. Niet de techniek die is aangeschaft.

Onlangs stond hier nog een artikel over de gemeente Twente (geloof ik) waarbij een werknemer het password het veranderd in welkom2022 van de beheerdersaccount van de server.

Je kunt niet verwachten dat 18 tot 67 jarigen alleen dusdanig goed met ICT omgaan dat het voor kwaadwillenden niet te hacken is. Dat gebeurd niet en is een utopie om daar wel vanuit te gaan.

ICT bedrijven, systeembeheerders, Cyber security, wij tweakers ;) hebben er allen verstand van. Wij zullen nooit gehacked worden (sarcasme, iedereen kan gehacked worden). Maar bouwbedrijf de Vries met 4 man in dienst wel. Gemeente Twente die met een groot ICT bedrijf samenwerkt wel. Delta wel.

natuurlijk is het kut voor de onschuldige burger, maar het is ook inherent aan criminaliteit.
Ik besef dat het niet zomaar even makkelijk de security op orde brengen is.
Maar als grote bedrijven aantoonbaar laks zijn met gevoelige data van personen dan mag daar best wat gevolgen uit voort vloeien.
100% met je eens, als ze aantoonbaar laks zijn en het had met redelijkerwijze voorkomen kunnen worden dan zou het bedrijf boetes en of schadeclaims moeten kunnen krijgen.

Zeker in de zorg is dit wel een puntje. De ene partij verstuurd helemaal niks en wijst alleen maar naar de AVG en de andere partij stuurt je mail via een onbeveiligde server en stuurt je alles op wat je vraagt.

Maar ik denk dat het grootste gros echt hun best doen. Is het vaker ontwetendheid dan laksheid en ik vind dat wij daar met zijn allen verantwoordelijkheid voor dragen.
Lang leve wetgeving waarvan je geacht wordt die te kennen. Zolang een ondernemer voldoet aan wet- en regelgeving is er niet zo heel veel aan te rekenen, maar onwetendheid is nooit een argument op dit gebied. Zodra er wordt gewerkt met persoonsgegevens zou iedereen op z'n minst iets aan AVG moeten gedaan hebben.
In wetgeving staat dan ook alleen het echte minimum. Niet maatregelen die een CSO acht te nemen voor goede beveiling van systemen bijvoorbeeld.

Er staat bijvoorbeeld niet in dat je je gegevens niet mag syncen met een Cloud provider. Dat terwijl Microsoft laatst nog een zero day bug in OneDrive gepatched heeft
Dat staat er helemaal niet in, er staat dat de gegevens in Europa moeten blijven. Er staat meer in dan je zou verwachten.
Sorry ik ratel. Dat was een veels te korte samenvatting van wat ik probeerde te zeggen haha.

De persoonsgegevens van clienten in de zorg mogen niet met een onedrive naar meerdere terminals worden gesynced. Dit ten eerste omdat microsoft een persoonsgegevens bloot moet geven aan de Amerikaanse overheid. Ten 2de (dit is grijs gebied) wordt geacht alle noodzakelijk stappen te ondernemen om persoonsgegevens veilig op te slaan (dit is het punt) een onedrive waar alle werknemers die gemachtigd zijn om deze gegevens in te zien wordt niet geacht om deze ook fysiek op hun harde schijf te hebben of altijd in te kunnen zien.

Daarom wordt gebruikt van een Google drive of Onedrive ook afgeraden voor persoonsgegevens met gevoelige informatie. Wel kun je via sharepoint deze encrypted sturen, maar dan heb je nog het eerste punt wat ik maakte.

Het is ook niet zo dat het niet mag, dat het strafbaar is. Maar als je een data lek hebt wordt hier zeer zeker naar gekeken als ondeugdelijk. Want waarom hadden deze client gegevens niet gewoon via een ECD (elektronisch client dossiers) benaderd kunnen worden.
Aantoonbaar laks is een lastig iets. Waarom denk je dat bestuurders van B.V.'s bijna nooit succesvol aangeklaagd worden voor aantoonbaar laks handelen als er een faillissement volgt?
Reactie was op wouterie

[Reactie gewijzigd door RobertPeterson op 7 december 2022 13:46]

in veel werksferen is er weinig tolerantie voor beveiliging , ze willen er geen last van hebben ( lees passwoord die aan bepaalde kenmerken voldoen )
Om op de vergelijking van 'een bedrijf wat word overvallen' door te gaan:

Als mijn kluis bij de bank word leeg gehaald krijg ik dit vergoed van de verzekering. De verzekering vergoed dit omdat ze de bank geaudit hebben op voldoende veiligheidsmaatregelen.

Bij data is dit dus veel minder het geval, en er hangen minimale consequenties aan.
Het is als individu helaas vrijwel onmogelijk schade vergoeding te krijgen bij diefstal van persoonsgegevens.
Heb je helemaal gelijk in! Dat komt natuurlijk ook omdat geld een waarde heeft en persoonsgegevens (nog) niet.

Het valt dus niet echt te verzekeren, maar dat zou ik in de toekomst niet uitsluiten.
Het valt dus niet echt te verzekeren, ...
Je kunt je wel tegen indentiteitsfraude verzekeren:
https://www.consumentenbo...-tegen-cybercriminaliteit
‘Ons product ziet veel meer toe op misbruik van foto’s online, pesterijen, beschadiging van je online reputatie en terughalen van je gegevens’, aldus Mieke Dadema van United Insurance. ‘Daarom heeft psychologische ondersteuning ook een grote rol’

Niet echt wat ik zie onder identiteitsfraude maar toch mooi dat de beginnen er zijn!

Zie dat er ook 1 partij is die tot 100.000 vergoed. Wel benieuwd naar hoe de waarde hiervan wordt bepaald. Want als ze zeggen ja jammer van die online gegevens die jou beschadigen. Hier vergoeden wij 30.000 euro aan medische kosten voor de psycholoog. Dan is het natuurlijk niet echt verzekering tegen identiteitsfraude, maar meer verzekeren tegen de gevolgen van.

Beetje het zelfde als je je auto all risk verzekerd zodat je naar het ziekenhuis kan na een ongeluk.
Als risicos te groot worden wordt er ook niet in de bedrijfsvoering geïnvesteerd en zou er gewoon geen bedrijf bestaan met een online klantomgeving etc. Back to the 60ties 🙄
Ik ben klant bij Caiway en mijn gegevens zijn ook gehackt. Gelijk appjes van chinese "dames" die zogenaamd een trip naar Europa willen gaan doen. Geen idee wat de ermee opschieten. Op Tinder had ik dat ook veel.

Al met al best irritant en voor mij reden om een overstap te overwegen.

Als veel klanten er zo over denken is dat straf genoeg lijkt me.
Ik ben klant bij Caiway en mijn gegevens zijn ook gehackt. Gelijk appjes van chinese "dames" die zogenaamd een trip naar Europa willen gaan doen. Geen idee wat de ermee opschieten.
Financieel gewin, natuurlijk.
Vast wel op een of andere manier, maar ik vraag me af hoe. Ik verwacht niet dat er echt een Aziatische dame met me gaat daten.
idd. Het probleem zit al bij de kern. Waarom heeft CAI-way je boortedatum nodig? En bankrekeningnummer is ook nog maar de vraag. Als de geldstroom altijd van klant naar CAI-way loopt (want deze besteld iets) dan is het toch eigenlijk niet nodig. Bij een automatische betaling zou alleen de bank deze gegevens moeten opslaan. En de bank wist je rekeningnummer toch al.

Voor de overige data-element is het moeilijker te bepalen; hier geldt wel: bedrijven zijn soms steeds moeilijker te bereiken maar bedrijven bezitten wel drie data-punten van particulieren om hen te bereiken (adres, e-mail-adres en telefoonnummer).
Ik ben penningmeester en ik incasseer ook contributie. Je heb voor het incasseren zeker wel het banknummer nodig. Je kunt niet aan de Rabo zeggen: "haal even 40 euro van de rekening van Piet Bakker". Die willen weten van welke bankrekening dat moet. Er kunnen meerdere Piet Bakkers zijn, en iedere Piet kan ook nog eens meerdere betaalrekeningen hebben namelijk.
Ja daaaggg. Daar zijn super simpele oplossingen voor die iedereen WEIGERT te gebruiken. (Edit: ik bedoel daarmee dat niemand dit systeem wil hanteren, want niet bekend of kost moeite/geld)
Je kan namelijk een eenmalige verificatie van een klant/bankrekening doen om met unieke IDs te werken.

Dan hoef je alleen maar je klantnaam op te slaan (Je wilt immers de klant met diens naam aanspreken) een een uniek ID per bankrekening. De bank heeft ook dat unieke ID met natuurlijk wel het rekeningnummer.

Op die manier hebben alleen de klant en de bank het rekeningnummer en alle bedrijven alleen een uniek ID per klant-bedrijf combi. De bank is hierin de spil.

[Reactie gewijzigd door Triblade_8472 op 7 december 2022 09:43]

Dan heb je het over een systeem wat door de banken ondersteund moet gaan worden. Dat is er nu niet.

Tintel beweert dat ze het nu niet nodig hebben, maar zonder bankrekeningnummer kun je echt bij geen enkele bank een incasso indienen. Je hebt het gewoon nodig. Totdat er wellicht ooit een keer een ander systeem komt, maar dat zie ik zelf (in ieder geval) de eerste jaren niet gebeuren.
Ja - voor telkens een nieuwe incasso hebt je idd (nu nog wel) een rekeningnr nodig. Ik beweerde dat bij automatische betalingen (dus automatisch vanuit de bank) dit niet nodig is (en dus het rekeningnr kan worden verwijderd uit de database). En als de klant zelf een betaling verricht is het ook niet nodig.
En telkens opnieuw een verzoek tot betalen indienen bij de bank is eigenlijk ook raar. Zou een stuk beter geregeld kunnen worden. Stel je voor dat de bank betalingen zou regelen....</s>
Veel incasso's hebben een variabel bedrag. Dit zijn 2 mobiele aanbieders, daarbij heb je altijd klanten die soms over hun bundel heen gaan en dus eenmalig een hoger bedrag moeten betalen. Dan kun je dus niet standaard tegen een bank zeggen hoeveel Piet iedere maand moet gaan betalen. Dat zul je iedere maand opnieuw moeten aanleveren.

Daarbij wijzigen "vaste" bedragen ook soms, op de frontpagina komen regelmatig nieuwsberichten voorbij over prijsstijgingen van internet-abonnementen bij diverse aanbieders.

[Reactie gewijzigd door Kroesss op 7 december 2022 10:36]

Ja - je hebt gelijk dat het nu niet mogelijk is in veel gevallen. Maar dat is nu juist met automatisering op te lossen. Wat je nu hebt is dat in veel verschillende systemen, veel data eigenlijk redundant aanwezig is.
Je kan namelijk een eenmalige verificatie van een klant/bankrekening doen om met unieke IDs te werken.
En als dat unieke ID wordt gelekt?
Maakt het voor een hacker iets uit of het een uniek ID is of een bankrekeningnummer?
Dan kan je dat ene ID schrappen als je erachter komt. Je echte rekeningnummer komt dan nooit in gevaar, in tegenstelling tot nu. Het echte nummer wordt niet publiek bekend en kan elders dus ook niet misbruikt worden. Een ID kan je in dit idee dus niet hergebruiken en is dus een heel stuk veiliger. Een beetje als een private/public key pair.
Ja inderdaad, wat moeten ze met al die gegevens. Geboortedatum is echt niet nodig
En dan nog handhaving, wat is de pakkans van dit soort criminelen? Het schiet niet op als je de boetes torenhoog maakt als je er niemand voor op kan pakken. Veel van dit soort cyber criminelen opereren vanuit een ander land dus is dat gelijk al een stuk lastiger.
Maar nu is er voor bedrijven nauwelijks een prikkel om hard te werken aan beveiliging, want ze krijgen geen boete als het mis gaat. In de praktijk is er ook geen verplichte certificering + controle of zo. Corrigeer me maar als ik het mis heb. Aan die kant is er dus nog wel ruimte voor verbetering.
Beveiliging gaat niet enkel over dat de gegevens van je klanten op straat liggen. Ken je bijvoorbeeld het fenomeen ransom-software? Of dacht je dat een bank enkel maar beveiliging had om te voorkomen dat de data van hun klanten op straat komt te liggen, of zouden ze ook nog andere redenen hebben? Dus ja er is altijd al zeker een prikkel om hard te werken aan beveiliging. Ben je nu afdoende gecorrigeerd?
Tja, nu begin je over iets heel anders. Ransomware is weer een verhaal apart.

We weten niet hoe de gegevens van Delta zijn uitgelekt. Kan prima op een manier zijn gebeurd, waarbij er nul risico op ransonware was. Kopie van een backup die in verkeerde handen is gevallen. Een server waar een directory openbaar was, maar met alleen lees-rechten.
"Maar nu is er voor bedrijven nauwelijks een prikkel om hard te werken aan beveiliging". Ik trachtte aan te geven dat er vrij veel prikkels zijn voor een bedrijf om hard te werken aan beveiliging.
OK, op zo'n manier.

Ik moet wel zeggen: Als je één incidenteel lekje hebt in je bedrijf, kan dat genoeg zijn voor hackers om binnen te komen en voor 100% nat te gaan, ook al heb je de rest prima op orde. Bij veel andere problemen loopt dat minder hard van stapel.
Je denkt nu wel wat te gemakkelijk denk ik.

Er is gewoon een wet, dus daarom is er geen certificering nodig. Iedereen dient zich aan de wet te houden toch? :) Hiernaast gok ik dat Delta/Caiway bol staat van de certificeringen, maar dat zegt toch geen klap hoe het in de praktijk gaat? Alsof een rijbewijs garandeert dat niemand te hard rijd.

Ik denk zelf dat het probleem is dat vele bedrijven denken veilig genoeg te zijn óf het te duur vinden (wat het ook is als je het écht goed wil doen). Sterker nog, wie weet was Delta een fort knox van de beveiliging, ik weet niet wat er gebeurd is...

Overigens deelt de AP steeds vaker, meer boetes uit. in 2021 waren dit er 27 met een totaalbedrag van 6,5 miljoen euro.
https://www.autoriteitpersoonsgegevens.nl/nl/publicaties/feiten-en-cijfers-over-de-ap
Ik denk op mijn beurt dat je iets te makkelijk denkt over certificering ;) Certificering houdt meestal veel meer in dan alleen een eenmalig 'rijbewijs halen'.

Iets 'simpels' als aardappels telen houdt al jaren in dat er niet alleen gewerkt volgens bepaalde regels en met gecertificeerde pootaardappels gewerkt moet worden, maar ook dat je een logboek bij moet houden van alle relevante handelingen en dat er elk jaar een controleur komt kijken.

100% van alle gecertificeerde aardappeltelers krijgt controle. In theorie kun je zelf aardappels telen zonder toezicht, maar er is geen afnemer die daar zijn handen aan gaat branden. Effectief kun je er dus niet omheen.
Ik heb bij bedrijven gezien dat de controle elk jaar gedaan werd, maar na de controlle alle oude methodes weer gehanteerd werden. Dat schiet toch niet op?
Ik kan alleen over mijn eigen ervaringen iets zinnig zeggen. Ik werk niet in de databeveiliging. Ik heb wel te maken met aardappelen. Daar kom je niet weg met een dagje de schijn ophouden als de controleer langskomt. Er worden steekproefsgewijs monsters genomen die in een lab worden onderzocht. Je bestrijdingsmiddelenopslag wordt nageplozen en moet 100% kloppen met de voorraad die op papier staat en de boetes als er iets niet klopt zijn niet mals. Als je het te bont maakt, zijn je aardappels niet meer gecertificeerd en daardoor alleen nog als veevoer te verkopen.

Maar dat is dus precies mijn punt van eerder: Als dit in de databeveiliging nooit gecontroleerd / gehandhaafd wordt…
Ik heb een vriend, die heeft in de voedselveiligheid gewerkt. Het bedrijf dat juist die controlles doet.

De klanten vroegen een bepaalde uitkomst en daar werd 'toevallig' altijd aan voldaan.

Ik gok dat daar mensen best rijk geworden zijn.

Overigens zijn er gewoon serieus ziekmakende zaken aangetroffen en gewoon onder het kleed geschoven.

Je snapt dat die vriend daar niet meer werkt.

Mijn punt is dat het hele circuit rot is.
Ik geloof je zonder meer, maar bij aardappelteelt wordt het best ingewikkeld als je bijvoorbeeld te veel of een niet-toegelaten middel gebruikt, want het komt niet alleen in de lab-analyse van de controledienst naar boven, maar vroeg of laat ook bij de kwaliteitscontrole van de supermarkt die de aardappels afneemt.

En die middelen zijn niet op een legale manier te koop in Nederland, dus die moet je dan al zelf gaan smokkelen uit een ander land. Of te veel / anders gebruiken van toegelaten middelen, maar ook dat komt uit de lab-test en die middelen staan op je factuur, bij de leverancier in de boeken, etc.

Een van de grootste gevaren is aardappelrot in de pootaardappelen. Daarom wordt er veel preventief ontsmet waar die opgeslagen worden etc, want als die eenmaal in de grond zitten, is je grond voor jaren en jaren besmet. En kun je dus geen aardappels telen terwijl dat financieel een belangrijke teelt is.

Stel dat je een poot-aardappelrot-besmetting zou verdonkeremanen bij een controle… OK, leuk, dat scheelt een mislukte oogst! Dus veel centjes. Maar je valt 100% zeker alsnog door de mand want die rotte aardappels worden altijd gevonden. En dan al allerlei andere bedrijven al besmet en misschien ook al de grond… Als dan blijkt dat de controle niet goed gedaan is, komen er enorme schadeclaims. Wij zijn er voor verzekerd, maar de verzekering gaat alsnog dat geld dan verhalen.
Een van de veiligste landen ter wereld dat tegelijkertijd drugsgebruik (ook in kleine hoeveelheden) snoeihard bestraft is Singapore.
Nederland is net zo goed één van de veiligste landen ter wereld, en heeft een totaal ander drugsbeleid. Pak er een lijst bij en je ziet geen correlatie tussen de twee.
Ja, maar zolang je de doodstraf nog steeds moet uitvoeren, werkt ie niet. In Bangkok schieten ze je ook dood, maar er worden toch nog regelmatig sukkels opgepakt met een pakje heroïne bij zich.

Bovendien is Signapore een slecht voorbeeld. Dat is bijna een politiestaat, heel klein en overzichtelijk. In grotere landen werkt dat totaal niet. In de VS hebben ze ook de doodstraf en sowieso worden drugsmisdrijven daar zwaar bestraft en het helpt geen ene moer. Ook al pak je ze elke week op.

In Portugal hebben ze het losgelaten en verspillen ze geen politiewerk meer aan het oppakken van drugsgebruikers e.d. Het is een van de veiligste landen van de wereld. En wij staan maar één plekje onder Signapore. Dus het kan best zonder zo repressief te zijn. De VS staan op 104 btw.
In Portugal hebben ze het losgelaten en verspillen ze geen politiewerk meer aan het oppakken van drugsgebruikers e.d. Het is een van de veiligste landen van de wereld.
Portugal is economisch een gat en NL de haven van Europa en financieel/IT knooppunt.

Dan neem je de criminelen mee omdat dat inherent aan het drugs-systeem is, tevens zullen harddrugs als coke maatschappelijke problemen en gevolgen met zich meenemen omdat verslaving en ontremming (=geweld) onderdeel van de werking zijn.

Wat de oplossing wel is weet ik niet, maar de illusie dat vrijgave dit allemaal oplost deel ik niet. Ontmoediging en behandeling lijkt me een beter plan.
Verslaving en ontremming heb je nu ook al met de harddrug alcohol en daar wordt ook gewoon mee geleefd, dus dat zal nog wel meevallen.
Ja - die reden wordt vaak aangehaald "als het niet wordt gereguleerd dan is het hek van de dam en raakt iedereen verslaafd".
Wonder-wonder. Bij alcohol zijn er wel verslavingen maar gelukkig niet iedereen. Gok-verslaving is ook zoiets. En - asjemenou - de staat heeft zelf casino's. "Ja, want anders doen de criminelen het wel". Dus blijkbaar geloven ze er toch in.

Wiet-gebruik is in NL nu gedoogd (dus soort van toegestaan) en - wonder-wonder - niet iedereen rookt wiet of is verslaafd.

Wat heeft de geschiedenis ons geleerd:
Dat bepaalde behoeftes zich slecht laten reguleren en als je dat wel probeert dan neemt de criminaliteit toe.
Voorbeelden: drooglegging (alcohol verboden), sex-industrie, porno.

En telkens weer: na vrijgave/toelating => geen ontwrichte maatschappij. Al heeft de maatschappij wel 'last' van het gebruik. Het is zeker niet effectloos maar dat hoort ook een beetje bij ons bestaan denk ik.

Proberen het volledig te verbieden te leggen is vechten tegen de bierkaai.
Ik ben benieuwd, als cola en andere supermarktproducten coke gaan bevatten hoe dat gaat met het meevallen.
En succesvol, ik zou zeggen hier ook invoeren.
Drugsgebruik heeft geen bal te maken met Cybersecurity en Ransomware
Wat een berg onzin zit je hier te verkondingen, dat de drugs wat totaal iets anders is dat waar het onderwerp over gaat duurder wordt en slechter van kwaliteit wordt is juist een teken dat die aanpak werkt. Op den duur is het namelijk bijna niet meer of geheel niet meer verkrijgbaar omdat niemand z'n handen er aan wil branden.

Verkoop van gegevens houd je nooit 100% tegen maar zeker grote bedrijven verantwoordelijk maken en boetes geven van miljoenen lijkt me een prima begin.Ze gaan vanzelf leren dat ze nog meer moeten investeren in beveiliging.
De meeste bedrijven nemen het al uiterst serieus, maar je loopt met beveiliging toch altijd achter de feiten aan. Er is altijd wel weer ergens een exploit te vinden met alle gevolgen van dien. Wat dat betreft gaat de technologische ontwikkeling soms ook wel te snel voor wat we qua regelgeving en bedrijfsvoering kunnen bijhouden.. Ben dus bang dat je er niet heel veel aan kan doen helaas
De daders moet je eerst pakken en slachtoffers straffen is ook meestal niet de juiste weg. Wel zou de ACM eisen kunnen stellen aan bedrijven om bepaalde aanvallen te kunnen pareren. Maar natuurlijk moet de ACM dan wel eerst verstand krijgen van computers.
Om dit tegen te gaan moeten alle bedrijven en overheden ervoor gaan zorgen dat je niks kan met deze gegevens wanneer je als derde deze gegevens hebt
Schattig, delta/caiway om zeep helpen. En dan allemaal naar ziggo, dat zo lek is als een mandje? Alle klanten in 1 database stoppen zodat men in een keer gehacked kan worden?
Voorkomen is beter dan straffen ;)

Ik doe een gooi en gok dat dit bedrijf, naast "we hebben een firewall..ergens.. en antivirus" verder niet veel aan Cyber Security had gedaan.

Hebben ze tijd gestoken in bewustwording voor hun medewerkers?
Doen ze periodieke pentests en audits?
Hebben ze een (N)IDS / Cyberalarm?
Updaten ze hun aanwezige beveiliging op tijd?
etc.. etc..

Als bedrijven hier eens wat meer tijd in steken dan zal je zien dat Cyber Criminaliteit veel minder impact zal gaan hebben omdat je het sneller door hebt als er iets mis gaat op je netwerk.

Maar ja , Cyber Security blijft een ondergeschoven kindje.... want ja... het gebeurd jou toch niet.
ik lees hier eigenlijk alleen maar onderbuik gevoelens, het eerste dat men altijd roept is 'HARDER STRAFFEN' terwijl jaren en jaren aan wetenschappelijk onderzoek laat zien dat harder straffen eerder agressie en strafontwijkend gedrag oplevert dan dat het problemen oplost.

Effectiever straffen of zelfs effectiever handelen nodigt veel meer uit om het leven (of het handelen) te beteren... een voorbeeld als u mag geen zaken meer doen totdat u uw zaakjes op orde heeft is namelijk geen straf (al kan het in de praktijk wel zo uitpakken maar is toch heel effectief.

aan de andere kant heb je het over daders, daar hoor je ook vaak alleen maar over harder straffen, maar eerlijk is eerlijk, zelfs de doodstraf zou niet effectief zijn als de kans dat je gepakt wordt maar 1 op een miljoen is... dan moet je rustig 10 jaar je gang kunnen gaan voorddat er eens een kans is dat je daadwerkelijk wordt betrapt...

maar de belangrijkste factor... zorg dat dit soort praktijken niet lonen daar hoor ik bijna niemand over... dat zou zogenaamd victim blaming zijn... terwijl wederom uit heel veel verhalen (zelfs vanuit de onderwereld) blijkt dat deze mensen vaak technieken gebruiken die inspelen om de gevoelens van hebzucht bij de personen die men probeert te belazeren.. hoevaak hoor je niet verhalen over een prins die even niet bij zijn geld kan... of iemand die een luctratief handeltje weet... je weet als randpersoon dan al direct dat je A wordt opgelicht, of B dat je als geld-ezel wordt misbruikt (zodat jij straks de schuld krijgt als het mis gaat).

Begin dus eens met een uitgebreid lespakket : over online veiligheid, over online pesten, over data veiligheid, en over hoe dingen nooit vergeten worden, maar dus ook over online oplichting of hoe mensen inbreken bij legitime bedrijven of aan jouw gegevens te komen ... als je daar NU mee begrint heb je kans dat het over tien tot 20 jaar bijna niet meer bestaat omdat deze kinderen (jongeren) ook hun ouders ooms en tantes wel zullen willen helpen het uit te leggen
Dit soort datadiefstallen mag toch niet meer voorkomen.
Ik weet dat beveiligen lastig is, vooral omdat je met mensen (de zwakste schakel) te maken hebt. Technisch is dit te voorkomen.

Wordt het niet eens nodig om een ISO/NEN certificering voor de opslag van persoonsgegevens in het leven te roepen en vervolgens dat ook te vereisen voordat een bedrijf dergelijke gegevens mag opslaan?

ISO/NEN certificeringen worden elk jaar of elke twee jaar opnieuw gecontroleerd. Bedrijven moeten dus ook bij de tijd blijven.
https://www.iso.org/isoiec-27001-information-security.html

Dit zou daar onder moeten vallen, maar het is een utopie dat een dergelijke certificering alle datalekken gaat voorkomen. ISO normen zijn vooral een papieren exercitie, en hoewel ze zeker bij kunnen dragen is de praktijk nog wel eens anders dan de theorie.

[Reactie gewijzigd door Woy op 6 december 2022 16:26]

Ah, het "papieren exercitie" argument. Nee dus. Ik heb nu 12 jaar ISO27001 certificatie audits achter de rug bij een drietal certificatie instellingen en ik kan je verzekeren, het is geen papieren exercitie. We toetsen of de AVG nageleefd wordt, of de OWASP richtlijnen gevolgd worden, of men pentesten doet, of IT beheer goed ingericht is, of er backups zijn (en getest worden!) etc. etc.

De hoeveelheid papier die nodig is voor certificatie? 13 documenten. alles bij elkaar een paar A4'tjes.
Toch gaat zo'n certificaat, audits en de hele rambam er niet voor zorgen dat er een bug in je software glipt waardoor een lek als dit mogelijk is.
Nee maar het proces wat door de iso is geborgd zorgt wel dat ie na ontdekking snel gefikst wordt of wordt opgepikt wordt voor in productie.
Ik heb al vele jaren de certificatie zien gebeuren, en overal stonden er dingen opgeschreven die in werkelijkheid toch net wat anders waren. Sowieso voorkom je er nooit alle lekken mee, het zou zomaar kunnen dat deze bedrijven ook ISO 27001 gecertificeerd waren, Delta Fiber is dat ieder geval wel.

Zoals ik zeg kan het zeker wat toevoegen, maar het is in geen enkele zin en garantie.
En wat heb je vervolgens gedaan om te zorgen dat de dingen gingen zoals ze wel moesten gaan?
Dat is natuurlijk niet relevant voor de observatie dat het leuk is dat er op papier staat, maar wat de werkelijkheid vaak anders is
het feit dat JIJ dingen hebt gezien en die niet hebt gemeld bij de nodige instanties maakt je mede-schuldig indien het fout gaat.

zelfs als dat feit nooit naar bovenkomt omdat ook jij je hachje lekker indekt maakt het je nog steeds iemand die ik NOOIT maar dan ook ECHT nooit als collega van de IT zou willen.

Dit soort problemen los je namelijk niet op door met vingertjes te weizen en te roepen 'zie je wel' Dit los je samen op; eerst in interne overleggen, daarna tijdens audit processen en als zelfs dat niet werkt, door meldingen bij een bevoegd controle-orgaan of bij een ombudsman.

Ik wed eigenlijk dat er ook bij caiway-delta een hoop van dit soort 'ik weet het wel maar doe er gewoon geen flikker aan'-iters rondlopen die wat mij betreft liefst vorig jaar al terug naar school werden gestuurd.
Dat geldt dan typisch voor bedrijven die het gebruiken om klanten te lokken met een papiertje. De essentie is dat je zelf de waarde ervan inziet als bedrijf en het je ook vooruit helpt in je bedrijfsvoering en het zekerheden biedt. Dat als het toch eens misgaat, je kan terugvallen op processen en procedures om het vlot recht te trekken, ervan te leren en het in de toekomst te verbeteren. Elke dag een beetje beter. De enige voor wie je zoiets doet, is het bedrijf waar je werkt. Als je het als een "papieren exercitie" ziet, zit je nog in de fase dat je denkt dat je het voor iemand anders doet.
Ik heb op een ander vlak wel ISO controles meegemaakt en dan werd echt het hele proces in werkelijkheid nagelopen en werden medewerkers ook bestookt met vragen. Alleen een papieren controle is absoluut onvoldoende. In onze ISO certificering was ook opgenomen dat er minimaal elke twee jaar een fysieke controle zou plaatsvinden. In de tussenliggende jaren kon een papieren controle voldoende zijn, maar wanneer men een wijziging in een protocol "ingrijpend" vond, werd er een gedeeltelijke fysieke audit aan gekoppeld.
ISO certificeringen die alleen op papier of aan de hand van papieren worden gecontroleerd kan je niet serieus nemen. Bureaus die de fysieke controles niet uitvoeren horen hun accreditatie te verliezen.

Natuurlijk geeft zelfs een goed gecontroleerde ISO certificatie geen garantie, maar het geeft wel aan dat de beveiliging serieus genomen wordt en ook actief wordt gemonitord.
Ah, het "papieren exercitie" argument.
toch apart dat mijn ervaring toch die van een papieren tijger is. je beschrijft je eigen beveiliging en controle slag. hoe veilig de beveiliging is en hoe die controle wordt uitgevoerd maakt niet veel uit. dit mag volgens de norm een papieren controle zijn. kortom een Excel vullen op reguliere basis met zeggen dat er nog beveiliging is zou volstaan. althans zo heb ik alle audits tot nu toe ervaren. er wordt niet een minimale encryptie vereist. nu kan een bedrijf er wel voor kiezen die zo op te schrijven en zou ook moeten, maar voor het predicaat iso27001 hoeft het voor zover ik weet niet.


wat ik wel apart vind in deze casus is dat 2 partijen geraakt zijn. wat is hun verwantschap dan met elkaar en waarom is in deze dat delta internet niet geraakt, want die verwantschap lijkt mij net zo groot met delta mobiel en misschien wel groter.
[...]
wat ik wel apart vind in deze casus is dat 2 partijen geraakt zijn. wat is hun verwantschap dan met elkaar en waarom is in deze dat delta internet niet geraakt, want die verwantschap lijkt mij net zo groot met delta mobiel en misschien wel groter.
Dat het van dezelfde eigenaar is wellicht? En dat is nog niet zo heel erg lang, dus wellicht is de integratie nog niet zover dat alles al aan elkaar hangt.
Je zult toch echt moeten laten zien dat het management de uitspraak doet dat het managementsysteem voor informatiebeveiliging effectief is, m.a.w. de risico’s verkleint. En die uitspraak - eigenlijk een in-control statement - baseer je als management niet op papieren of Excel sheets.

Simpelweg opschrijven en “papieren controles” is echt niet genoeg. Interne audit, management review, review van competenties van medewerkers, bronfout analyse bij afwijkingen, goed beleid, bewijs van naleving van beleid… etc. etc.

En bij elke van de 114 maatregelen moet er evidence komen dat bedacht is waarom die maatregel van belang is, de implementatie en de interne toets op effectiviteit.

Heb in die vele jaren auditwerk (Dekra, BSI en DNV) heel veel voorbeelden gezien van bedrijven die met een 27001 certificaat en goede naleving van eigen beleid tot de benchmark in het vakgebied geworden zijn.
Dan doe je ook SOC2, dan moet je aantonen dat je via de ISOnormen werkt.
SOC2 doe je om aan te tonen dat je volgens de SOC normen werkt :)
Als je wilt aantonen dat je via ISO normen werkt, dan doe je een ISO certificering.

SOC2 is een US standaard en ISO 27001 een internationale standaard. Maar beiden controleren in principe hetzelfde.
Al hebben velen de indruk dat je bij SOC2 type2 wat beter moet aantonen dat je system niet alleen een mooie papieren tijger is maar in de praktijk ook functioneert.
Als iemand die betrokken is bij de implementatie van NEN7510 (informatiebeveiliging zorg) kan ik je garanderen dat een NEN certificering NIET gaat helpen bij het tegengaan van dit soort datalekken.

Het is nl. voornamelijk een papierstapel met héél veel procedures en regels, die uiteindelijk bijvoorbeeld niks zeggen over of er beveiligingslekken in gebruikte software zitten. Hooguit iets over de frequentie van patches installeren, maar dat sluit beveiligingslekken niet uit.
Dan ben je die 7510 implementatie verkeerd aan het doen. Heb meerdere keren deze norm geïmplanteerd en tientallen keren ge-audit voor certificatie (als lead auditor bij DNV) bij o.a. de welbekende universitaire ziekenhuizen. Afgezien van de 13 verplichte “gedocumenteerde informatie” is voor het managementsysteem geen verdere papierwinkel nodig.

Welke bewijsvoering je wilt documenteren voor de maatregelen in de bijlage bepaal je zelf. Schrijf je dus zoals je zegt een “papierstapel” dan hoop ik dat je dat zelf nuttig vindt want de auditor zal er niet eens naar kijken. Wel naar evidence of je de door jezelf bepaalde zinvolle maatregelen ook echt uitvoert , onderhoudt en audit, maar dat mag ook met uitleg zonder papier.

De papieren tijger die ISO heette te zijn is in de nieuwe HLS sinds voor 27001 in 2013 totaal verlaten. Je hoeft niks te documenteren van een proces zelf, je moet evidence hebben dat het proces uitgevoerd wordt.

Wil je echt weten hoe het wel moet kun je bij Security Academy de implementatie cursus volgen.

[Reactie gewijzigd door ernstoud op 6 december 2022 21:38]

Dat kun je wel leuk roepen (en ik snap wel dat je je aangesproken voelt)
Maar ondertussen kreeg het bedrijf waar AMS76 die certificeringen blijkbaar wel.
Wel naar evidence of je de door jezelf bepaalde zinvolle maatregelen ook echt uitvoert
Hier zit de crux van het probleem.
Het bedrijf dat geaudit word kan er van overtuigd zijn dat ze zinvolle maatregelen hebben. En die kunnen ze ook heel mooi uitvoeren. En de auditor constateerd dan ook dat die netjes uitgevoerd worden.
Maar dat betekent dan nog niet dat die maatregelen ook daadwerkelijk datalekken gaan voorkomen.
Dat bestrijdt ik niet. Ik bestrijdt alleen terminologie zoals “papierstapel”. Dat geeft totaal verkeerde indruk over de meerwaarde van certificering. Uiteraard kan geen enkele maatregel over certificering alles voorkomen, 100% zekerheid is er nooit. Zelfs het bedrijf RSA is gehackt, en Snowden kon bij het Pentagon zijn gang gaan.

Maar de PDCA rond de beheersmaatregelen op orde hebben verkleint wel het risico. En betekent dat je een hack waarschijnlijk eerder ontdekt, eerder en sneller hersteld, het risico kent, backup procedures hebt, aan business continuïteit hebt gedacht, je verwerkers overeenkomsten op orde hebt etc. etc.
Leg eens uit hoe je ten alle tijden inbraken kunt voorkomen? We kunnen dat al niet bij fysieke gebouwen waar we hele dikke deuren voor kunnen gebruiken. Laat staan voor ICT systemen die ook met de buitenwereld verbonden moeten zijn.
En ook al is je ICT helemaal up to date, morgen kan er een vulnerability gevonden worden die je nog niet hebt kunnen patchen.

[Reactie gewijzigd door Frame164 op 6 december 2022 17:39]

Volgens mij is dat niet het punt wat gemaakt wordt. Ik denk dat het gaat over de redelijke inspanning die verwacht mag worden (anno 2022) om dit soort zaken te voorkomen en, als het dan toch gebeurd direct een overzicht te hebben van de buitgemaakt gegevens. Waarna je iedereen kunt geruststellen dat de data volgens de richtlijnen is versleuteld.
Het principe is vrij simpel waarbij je het zo moeilijk mogelijk maakt dat data wordt gelekt, en daarbij uitgaat van het idee dat niets veilig is en dus de data (of op z'n minst de persoonsgegevens) versleuteld opslaat.
Geldwagen idee. De geldwagen is gepantserd, er zijn protocollen voor het openen van de deuren etc... en toch zit er in de geldkoffers een verfbom die het geld bij diefstal onschadelijk maakt. En je weet precies wat er in welke koffer zit.
Volgens mij was het vorige week dat mijn mond open viel van verbazing. Het ging over de rechtszaak tegen een gemeenteambtenaar die valse paspoorten had verstrekt, onder andere aan die Ridouan Taghi. Dat ging heel makkelijk, want zij handelde het geheel zelf af. En dat is tegen de procedures, want er horen 3 ambtenaren naar te kijken. Degene die de aanvraag aanneemt, mag niet dezelfde zijn die het afhandelt. Maar dat kon gewoon. Die mevrouw nam de aanvraag aan en negeerde natuurlijk dat de geleverde foto niet van de persoon was die het kwam aanvragen. Toen de paspoorten gemaakt waren, pakte zij ze zelf uit de kluis en handelde in het systeem via de terminal van een collega de uitgifte af.
Ik stond met mijn oren te klapperen...zoiets moet toch onmogelijk zijn? Ambtelijke systemen en procedures worden regelmatig geaudit en dit zou toch naar voren moeten komen als een zwak punt? Het systeem voorziet niet in een sluitende toegangscontrole. Als je bv 2FA hebt, is het al lastiger om de pc/account van een collega te gebruiken. Die persoon moet dan gaan meewerken. Zelf uit de kluis pakken moet ook niet kunnen. Je zou een systeem moeten hebben die bij een andere ambtenaar een werkopdracht aanmaakt die afgehandelt moet worden. Dat maakt het ook weer wat lastiger, want dan moet je echt in het systeem van je collega meerdere handelingen gaan verrichten.
Ik sta er echt versteld van en het is jammer dat alleen de ambtenaar in kwestie vervolgd wordt, want een dergelijk lek systeem is vragen om problemen. En geen auditer die het opgevallen is....

Dus ja...normen, keurmerken e.d....het is allemaal zinloos als je er omheen kunt. En elke procedure is ook zinloos als je het gewoon kunt negeren zonder dat er ergens een lampje gaat branden.

[Reactie gewijzigd door mphilipp op 6 december 2022 16:38]

Er is geen intrinsieke motivatie. Het doel is vinkjes halen, omdat we anders met het project niet verder kunnen.
Een datalek noem ik een hele goede motivatie.

Maar mijn punt was dat een auditor dit niet opmerkte. Die staat los van de organisatie en kijkt naar wat er op papier staat, het wettelijk kader en de eisen die aan dergelijke systemen gesteld worden. Dat zo'n figuur dan niet opmerkt dat de procedure niet waterdicht is. Ik weet niet of je ooit overwerp van een audit geweest bent, maar die kunnen behoorlijk ingrijpend zijn. Kunnen, zeg ik met nadruk, want ik heb er ook ooit een meegemaakt die niets voorstelde. Maar dat was een audit op de procedures vwb onderhoud aan een systeem. En die had ook niets met wetgeving en overheid te maken. Bij informatiesystemen die bij overheden gebruikt worden, ligt de lat aanmerkelijk hoger zou ik verwachten.
Ik denk dat het verschil zit in het bewust omzeilen van procedures en regels (zoals de dame in kwestie) of het niet goed inbedden van wet- en regelgeving in procedures en handelingen. Een kwaadwillende interne medewerker vis je er heel lastig tussenuit, maar als je procedures op orde zijn dan is het voor een kwaadwillende buitenstaander een stuk lastiger om bij, in dit geval, de data te komen.
Dat het zo eenvoudig was om valse paspoorten uit te geven had uiteraard veel eerder naar boven moeten komen, maar ja, als je het op papier goed doet en af en toe een oogje toeknijpt omdat je collega's bent, ja dan ga je nat.
Bedenk je eens hoe onwerkbaar normeringen worden als ze alles compleet moeten auditen tot het detail nivo dat jij hier schetst?
Hoeveel processen zijn er wel niet in een gemeentehuis waarbij dit soort zaken kunnen gebeuren?

Een certificering is nu al erg kostbaar (en voor veel bedrijven niet betaalbaar) laat staan als je tot dat detail nivo wilt gaan.

Wat je verwacht is absoluut onhaalbaar.
De oplossing is dat een bedrijf (of gemeente) zelf zorgt dat ze al dat soort processen onderzoeken en bekijken hoe ze misbruik mogelijk zou zijn en hoe je dat kunt voorkomen.
De Audit is vervolgens op gericht op te kijken of het bedrijf zoiets ook doet.
Nou nee. Dat denk ik niet.
Adequaat de accounts afschermen (2FA) en een betere geautomatiseerde workflow doen al heel veel. Als er een paspoort wordt aangevraagd, moet een andere collega via een werkopdrachtensysteem de opdracht krijgen deze verder af te handelen. Als het om identiteitsbewijzen gaat, kun je zelfs inbouwen dat dit soort werkopdrachten met een aparte autenticatiestap (2FA!) worden bevestigd. Ook de afgifte van een identiteitsbewijs kan op die manier afgehandeld worden.
Het maakt mij niet zoveel uit dat het voor die arme auditor wat meer werk is om te controleren. Het gaat om serieuze zaken: valse identiteitsbewijzen zijn goud waard voor criminelen. Je kunt er bankrekeningen mee openen, auto's en huizen kopen, en mee naar het buitenland vluchten. Lijkt mij serieus genoeg om een paar auditors meer tegenaan te gooien. Valse paspoorten zijn pas onwerkbaar. Voor justitie dan.
Ook 2FA biedt geen garantie als collega's elkaar helpen om werk gedaan te krijgen en de reden van 2FA niet in (willen) zien. Bij fysieke tokens vertel je gewoon in welke la die ligt want het is toch allemaal maar gedoe en bij softtokens (die zorgen al voor discussie, niet iedereen heeft een zakelijk toestel, op de PC zit je weer met collega's die elkaars login weten) stuur je die code gewoon ffies via whatsapp ofzo.
In het verleden vaak genoeg meegemaakt bij klanten dat ze een collega die vrij/afwezig is ffies bellen om te vragen naar inlog gegevens en kan me geen één keer herinneren dat ze die dan niet kregen.
Tuurlijk,tegen bewust zaken tegenwerken is niets te doen.
Alhoewel dit geval denk ik wel een stukje bewustwording op gaat roepen. Men moet zich realiseren dat ze geen pinda's staan uit te delen bij dat loket. De mensen die bij de gemeente voor de beveiliging verantwoordelijk zijn, moet er samen met het management iets op verzinnen. Bewustwordingscampagnes enzo. En uiteraard de mensen te verstaan geven dat op staande voet ontslag volgt als je betrapt wordt met het uitlenen van je inloggegevens of beveiligingsmiddel.

Kom op! Het is 2022, de kranten staan bol van de malwareaanvallen, datalekken en hacks. Als we nou nog iemand moeten vertellen dat ze moeten uitkijken met hun inloggegevens, is er iets ernstig mis met die persoon. En dan heb ik het niet over een omaatje, maar iemand die identiteitsbewijzen uitreikt. Als je daarmee bezig bent, hoor je je te realiseren waar je mee bezig bent. Zo niet, jammer dan...next patient please.
Tuurlijk,tegen bewust zaken tegenwerken is niets te doen.
Nu spreek je jezelf dus gigantisch tegen.
Eerder in deze thread zei je over bewust tegenwerken:
Ik stond met mijn oren te klapperen...zoiets moet toch onmogelijk zijn?
Dus ja...normen, keurmerken e.d....het is allemaal zinloos als je er omheen kunt.
Nou ruk je twee quotes uit verband. De hele zaak zou onmogelijk moeten zijn.
En normen en keurmerken zijn inderdaad zinloos als je eromheen kunt werken. Daarvoor moet je maatregelen nemen om het zo moeilijk mogelijk te maken. Zaken als 2FA enzo regelen. Dan moet je dus een bewust meewerkende collega hebben. Ik heb ook nog andere dingen gezegd als het voeren van een bewustwordingscampagne over het onvoorzichtig omgaan met je account. Maak de ambtenaren (belachelijk eigenlijk dat dat moet in deze tijd) bewust van de gevaren.
Maar je kunt altijd bewust tegen de maatregelen optreden door samen te werken met iemand. Dát is wat ik zeg. Nergens spreek ik mijzelf tegen. Selectief quoten uit wat ik gezegd heb helpt niet.
Ik zit helemaal niet selectief te quoten.
Jij geeft aan dat je wilt dat certificering dat soort dingen onmogelijk maakt.
Ik vertel je dat dat onhaalbaar is, en dat je moet zorgen dat je moet zorgen dat een afdeling zelf dat soort processen dicht timmerd.
Vervolgens geef jij aan dat je het met mijn mening oneens bent.
En nu wil je net doen alsof jij zelf in de gaten had dat het onhaalbaar is dat met certificeringen te regelen, en dat ik selectief quote.

Iedereen die de thread even terug leest ziet dat dat niet waar is, en dat jij jezelf tegenspreekt.
Je mag rustig jezelf voor de gek houden, maar niemand hier trapt daar in.
We kunnen niet meer terug naar lokale PC's, lokale netwerken en papier. Maar nu datalekken aan de orde van de dag zijn zie ik ook de nadelen die het koppelen van informatiesystemen met het internet met zich mee heeft gebracht.

Als je vroeger bij bedrijfs- of klantinformatie wilde komen had je altijd met een fysieke barrière te maken. Je moest je toegang verschaffen tot een pand of met een smoesje langs de receptie.
In weze moeten ze dat nu nog steeds, alleen dan online.

Het eerste dat je hier tegen doet (buiten geen achterdeurtjes in je software laten zitten) is een poortwachter aanstellen. De machine waarmee klanten contact leggen mag geen gevoelige data bevatten, en alleen als doorgeefluik fungeren naar een tweede server die de toegang tot de data beperkt.

Daarnaast moeten natuurlijk de beheerders bewust zijn van methoden om hun wachtwoorden af te troggelen.
Daarnaast is het natuurlijk zaak je systemen up to date te houden en de aanbevelingen in de gaten houden.
Toch zit er een verschil tussen met de auto de parkeerplaats van een bedrijf oprijden, naar binnen gaan, daar het archief in duiken, met een paar archiefdozen naar een kopieerapparaat gaan, daar een uurtje kopietjes trekken en met die kopietjes onder de arm het pand weer verlaten en vanuit "een zolderkamertje" (ik weet dat deze criminelen gewoon ook een eigen bedrijfspand hebben, maar dit is leuker voor de beeldvorming) ergens in een dorpje 50 kilometer buiten Moskou via hun laptop rustig kijken hoe je de beveiliging van een bedrijf kunt omgaan en maanden in de systemen kunt zitten, voordat iemand merkt dat er onbevoegden in het systeem zitten.

En ja er zijn multi tier oplossingen, maar ook daarvan geldt, dat uiteindelijk er een verbinding is tussen de data en het Internet. Alleen maakt elke tier het moeilijker om daadwerkelijk bij de data te komen (of zou dat in ieder geval zo moeten zijn).

Wat je zegt over beheerders is gedeeltelijk waar. Allereerst zouden beheerders meerdere accounts moeten hebben, waarbij het account dat ze standaard gebruiken alleen normale gebruikersrechten mogen hebben. Voor dit soort gevoelige systemen zou ik ook een naar een systeem gaan dat de wachtwoorden beheerd. Geen enkele beheerder heeft dan rechten op de backend systemen, maar kan als hij dat nodig heeft wel tijdelijk rechten krijgen op het betreffende systeem door middel van wachtwoorden die periodiek vervallen of zelfs gewoon maar eenmaal te gebruiken zijn.
Een beheerder moet maar 1 account hebben het het IAM moet bepalen wat de beheerder op welk moment mag doen. En het kan best zo zijn dat bepaalde taken pas na goedkeuring via meerdere schijven gedaan mag worden.
Minimaal 2 accounts.
Standaard account wat geen verhoogde rechten heeft en gebruikt word voor de dagelijkse mail etc.
Tweede account wat wel verhoogde rechten heeft wat voor de beheertaken gebruikt word.
En dan kun je kiezen of je een model hebt waarbij je tijdelijke rechten toekent voor bepaalde beheertaken, of dat je voor verschillende beheertaken ook verschillende accounts gebruikt. Beiden hebben hun voor- en nadelen.
Lokale PC's waren zo mogelijk nog veel onveiliger.

Een goede toegangsbeveiliging en correcte procedures zouden het toch echt veel moeilijker moeten maken. Er zijn genoeg bedrijven die niet gehackt zijn, maar waar volgens mij grote belangstelling voor is onder het gilde. Bedrijven als Coolblue en Bol.com zijn behoorlijk aantrekkelijke targets, maar zij hebben hun zaakjes blijkbaar goed voor elkaar. Of je systemen nou koppelt of niet maakt niet zoveel uit; als je voordeur open staat ligt de boel op straat.

Losse eilandjes maken het denk ik juist onveiliger. Een goede beveiliging is vaak lastig en onhandig, en daarom worden er shortcuts genomen. Te gemakkelijke passwords, geen 2FA of gelijkwaardige maatregelen of gewoon een slecht gepatched systeem.
Van Delta verbaast mij dit echt helemaal niets.
Had ze nodig voor een abonnement en ben er serieus in uren meerdere volle dagen mee bezig geweest om het voor elkaar proberen te krijgen. Uiteindelijk afgebroken door totale ondeskundigheid aan de kant van Delta.

En dat merkte ik overal. De site heeft rare bugs (zoals dubbele scrollbars), informatie ontvangen die niet klopt met wat is afgesproken e.d.

Ze hebben de zaakjes heel duidelijk niet op orde daar. Met helaas nu dus een datalek tot gevolg.
Ik heb een keer zure melk gekocht bij de lokale supermarkt. Ze hebben duidelijk hun zaakjes niet op orde, zullen dan wel een datalek krijgen.
Kunnen zeker wel indicaties zijn dat als ze andere basale aspecten al niet op orde hebben, dat de kans dat ze hun veiligheid niet op orde hebben zeker aanwezig is.
Tsja, ben net twee weken geleden overgestapt heb het bewuste mailtje ook ontvangen.
Het is eigenlijk wel jammer dat ze niet naar buiten brengen wat er nu precies lek was in het systeem. Ze gaan het nu tenslotte fixen.

De combinatie telefoonnummer en geboortedatum is wel een gevaarlijke, ik herinner me dat dit bij mijn vorige telco gebruikt werd om veranderingen te confirmeren in mijn abonnement.
Zit ook net een maand bij Caiway maar geen mail ontvangen.
Gaat dit om klanten die mobiele telefonie afnemen?
Ik heb zelf alleen internet.
Deze mail heb ik ook gehad.
Daarin staat:
Wij hebben op 5 december helaas geconstateerd dat in de bestelomgeving van Caiway Mobiel persoonsgegevens zijn gestolen door criminelen. Ook uw persoonlijke gegevens zijn onderdeel van deze datadiefstal.
Maar, ik héb helemaal geen Caiway mobiel?
Wel heb ik TV+internet bij Caiway.
Bij mij is "slechts" het e-mail adres gelekt bij een hack bij een ander bedrijf. Van de een op de andere dag was het e-mail adres onbruikbaar geworden door spam, phishing en ander onheil. Zelfs na jaren blijft het doorgaan, als een rioolbuis. Zoveel dat ik al lang over de maximum limiet van de e-mail provider ben. Nu kijk ik er 2 keer per jaar na, wat de nieuwste hype is op het gebied van wan-mail.
Ik krijg nog dagelijks mails, telefoontjes van de Ledger hack. Ik snap niet dat dat bedrijf nog bestaat, ze hebben geen eens een boete gehad.
Ik heb bericht gekregen: onder andere mijn gegevens zijn buitgemaakt. Je kunt op allerlei manieren vragen stellen... maar niet per e-mail.
Ik zou wel eens willen weten waarom dit soort gegevens per sé via Internet beschikbaar moeten zijn. Dit is toch informatie die alleen relevant is voor de backoffice?
Waarom worden deze gegevens niet standaard versleuteld opgeslagen? Ook in de backoffice?
Ik ben niet blij. Maar dan ook helemaal niet.
Versleuteld opslaan kan helpen, maar als er bijv. een webinterface is waar je je als eindgebruiker op aan kunt melden (en daarmee je eigen gegevens kan inzien en wijzigen) zal er ergens een account toegang moeten hebben tot die versleutelde data. Als nou net dat account gehacked wordt, via bijv. een lek in de webinterface, is het toch pech hebben.
In welk geval heeft iemand/een account toegang nodig tot tienduizenden gebruikers?
Een helpdesk medewerker hoeft geen inzage te hebben in bv meer dan 10 accounts per uur.
Zodra de helpdesk sluit ook al die accounts afsluiten.
Betreft het 'Caiway' of 'Caiway Mobiel', dat zie ik als ik doorklik... dat is nog wel wat anders...
Vrijwel zeker een webdeveloper die nog nooit van de OWASP top-10 gehoord heeft.
Alle experts zitten op deze site te F5-en. Dus niet zo gek dat er lekken bij bedrijven zitten.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee