Page 1

GDPR SPECIAL EDITION BAAZ & WINMAG PRO | GENERAL DATA PROTECTION REGULATION

SPECIAL

DE GDPR EN REPUTATIE SCHADE

PAGINA 32

GENERAL DATA PROTECTION REGULATION

SECURITY TIPS EN -TRICKS DIE WE VAAK OVER HET HOOFD ZIEN

PAGINA 14

SECURITY OP DE WERKVLOER

PAGINA 12

GDPR & PRINTING

SECURITY VOOR FYSIEKE DOCUMENTEN

PAGINA 34

JOUW DATA ZO VEILIG MOGELIJK DE CLOUD IN PAGINA 18

DE GPDR IN BEGINSEL DE EERSTE STAPPEN

RICHTING COMPLIANCE

PAGINA 4


GDPR SPECIAL

CLIPBOARD PUBLISHING BV Delftweg 147 2289 BD Rijswijk, Nederland Tel: *31(0)15-7600700 Fax: *31(0)15-7600760 info@clipboard-publishing.nl www.clipboard-publishing.nl UITGEVER Linda Oenema linda@clipboard-publishing.nl Tel: +31(0)15-7600.700 MARKETING & PR Tim Beemer Sven de Heer Sanne van de Wijngaard marketing@clipboard-publishing.nl Tel: +31(0)15-7600.700 HOOFDREDACTEUR Peter Güldenpfennig peter@clipboard-publishing.nl REDACTIE Jasper van Bladel Peter Güldenpfennig Mark IJsendoorn Bart Remmers redactie@thecontentgroup.nl Tel: +31(0)15-7600.707 VORMGEVING Martijn Herremans Lloyd Troost Ron de Vos TRAFFIC MANAGER Lindsay van Veelen traffic@clipboard-publishing.nl Tel: +31(0)15-7600.700 SALES Bart Arkesteijn Mitchell Koymans Janick ter Mors Jascha Vink sales@clipboard-publishing.nl Tel: +31(0)15-7600770 ABONNEMENTEN abo@clipboard-publishing.nl DRUKKERIJ Senefelder Misset, Doetinchem

Bij wie ligt de verantwoordelijkheid?

Er lijkt al een tijdlang een verschuiving plaats te vinden met betrekking tot data en veiligheid van die data. Tot voor kort waren het vooral eindgebruikers die nalatig waren of zelfs schuldig aan het lekken van data. Met de Meldplicht Datalekken en de aanstaande GDPR-wetgeving komt aan die alleenheerschappij van eindgebruiker-als-dader definitief een einde. Goed nieuws? Het is maar wie je het vraagt. Bedrijven beginnen langzaamaan in paniek te raken. Ineens zijn het niet alleen meer de eindgebruikers binnen bedrijven die een USB-stick kwijtraken of het bedrijfsnetwerk benaderen via onveilige verbindingen. Nee, nu zijn de eindverantwoordelijken de bedrijven zelf. Lees: de ‘echte’ eindverantwoordelijken binnen het bedrijf. Bovendien zijn de boetes niet mals en bij echt grove nalatigheid kunnen deze een bedrijf zelfs de kop kosten. Vervelend, en voor een bedrijf dat zijn zaken niet op orde heeft zeker reden om in paniek te raken. Op mijn medelijden hoeven ze echter niet te rekenen. Organisaties hebben lang genoeg de tijd gehad zich voor te bereiden en het is niet dat er geen voldoende informatie voorhanden is over de GDPR. Bovendien, en dit zou een no-brainer moeten zijn, zouden bedrijven er allang alles aan gedaan moeten hebben om gegevens die naar personen te herleiden zijn te beschermen. Dat is niet meer dan fatsoenlijk. Want ja, data is een groot goed en het goud van deze tijd waar bedrijven veel uit kunnen halen. Daarmee halen ze echter ook een grote verantwoordelijkheid op hun hals, een verantwoordelijkheid die veel bedrijven tot nu toe nog niet durfden te nemen. Uit onkunde misschien, of misschien zelfs desinteresse. Dit betekent dat er mei 2018 heel wat organisaties met de billen bloot gaan. De GDPR gaat namelijk geen einde maken aan cybercriminaliteit, integendeel. Je mag verwachten dat deze lucratieve business alleen maar zal toenemen. En dat is zeer slecht nieuws voor bedrijven die laks omspringen met de waardevolle data die zij beheren. Dat laatste is iets waar de GDPR hopelijk wel een einde aan gaat maken. En als bedrijven denken dat het wel losloopt en niet de positieve kant zien van deze wetgeving (zie risico’s als kansen!), dan maakt een slim stuk malware of een flinke databreach wel een einde aan die mentaliteit en mogelijk zelfs je bedrijf. Laat het jou niet overkomen, neem de data binnen je bedrijf en ook de GDPR zeer serieus, deze zijn er niet om je te pesten, maar om je te helpen.

‘Bedrijven zouden er allang alles aan gedaan moeten hebben om gegevens te beschermen’

DISTRIBUTIE BENELUX Betapress BV, Gilze Imapress, Turnhout, België

2

WWW.WINMAGPRO.NL

PETER GÜLDENPFENNIG

Hoofdredacteur WINMAG Pro


INHOUD

Achtergrond

Gastexperts

26 22 8 | DE GDPR KOMT ER AAN

25 mei 2018 wordt de GDPR in Europa van kracht. Deze complexe regelgeving, een initiatief van de Europese Commissie, is in het leven geroepen om de huidige wetgeving rondom databescherming voor individuen verder te verstevigen. Dit heeft veel voeten in de aarde voor organisaties, dus is het zaak dat zij nu al beginnen met het nemen van maatregelen wat: compliancy is key!

22 | CYBERDREIGINGEN: HIER GAAT HET HEEN

De verhoudingen tussen cybersecurity en cybercriminelen worden ieder jaar op de proef gesteld. Ook in 2018 verwachten experts dat de verhoudingen op scherp worden gezet en daarnaast worden verlegd. Waat gaat er gebeuren en wat kun je verwachten qua cyberdreigingen? Wij zetten het voor je op een rij.

26 | HOE HPE DE AANKOMENDE VERORDENING BENADERT

Leuk of niet, de GDPR komt eraan. Als hofleverancier voor infrastructuren en IT-implementatie in de zakelijke markt zit Hewlett Packard Enterprise (HPE) er logischerwijs bovenop. Dit betekent niet dat HPE de focus legt op angst, integendeel. De GDPR biedt kansen en het bedrijf zet daar dan ook op in.

32 | DE GDPR EN REPUTATIESCHADE

Een wachtwoord dat je niet zomaar raadt, daar heb je goed over nagedacht. Een virusscanner is ook op vrijwel elke laptop te vinden. Maar stel jouw apparatuur wordt gestolen, hoe zeker ben jij van de veiligheid van de persoonsgegevens die via de apparatuur verkregen kunnen worden?

Praktijk

14 | HANDIGE SECURITY-TIPS EN -TRICKS

DIE WE VAAK OVER HET HOOFD ZIEN

Het gebruik van ransomware door criminelen is gemeengoed geworden. Besmettingen zijn aan de orde van de dag. Bovendien is de malware zelf verfijnder. Hoe verklein jij de risico's zo ver mogelijk? We hebben enkele handige tips en trucs voor je op een rij gezet. Niet om waterdicht gewapend te zijn tegen bedreigingen, maar om de risico’s zoveel mogelijk te verkleinen.

12 12 | SECURITY OP DE WERKVLOER

Uit onderzoek is gebleken dat 52 procent van de werknemers zichzelf als zwakste schakel ziet binnen de beveiliging van de werkcomputer en bedrijfsgevoelige data.

18 | JOUW DATA ZO VEILIG MOGELIJK DE CLOUD IN

14

Je data safe en sound de cloud in. Heel ver weg zijn de tijden dat je je administratie in rijen dikke mappen moest opbergen en wanneer je een factuurtje van een jaar oud nodig had urenlang het archief indook. Toch kleven er flink wat risico's aan cloudopslag‌

WWW.WINMAGPRO.NL

3


GDPR SPECIAL

De principes van de GDPR en de eerste stappen richting compliance

De GPDR in beginsel Als jouw organisatie enige vorm van persoonlijke informatie verwerkt, opslaat of deelt – en dat zijn bijna alle bedrijven en organisaties – dan is de GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming) absoluut iets waar je rekening mee moet houden. Toch zijn veel Nederlandse bedrijven nog niet goed voorbereid op de nieuwe wetgeving, soms omdat ze geen goed beeld hebben van de nieuwe regels of niet weten hoe ze moeten beginnen. TEKST MARK IJSENDOORN

Het gevaar van datalekken

De nieuwe regelgeving is er natuurlijk niet zonder reden. Het aantal datalekken neemt jaarlijks toe. In het eerste kwartaal van 2017 werden er ruim 2300 datalekken gemeld aan de Autoriteit Persoonsgegevens. In het hele jaar 2016 waren dat er nog 5500. Bovendien vonden er in 2017 flink wat desastreuze datalekken plaats bij grote organisaties en bedrijven zoals Equifax en Uber, waarbij de gegevens van miljoenen mensen in handen zijn gekomen van criminelen. Het is een kwestie van tijd voordat zo’n hack ook in Nederland plaatsvindt. De snelle technologische veranderingen maakten een nieuwe Europese privacyverordening noodzakelijk. De GDPR (General Data Protection Regulation) vervangt de behoorlijk bejaarde databeschermingsrichtlijn uit 1995 en is in feite al in mei 2016 van kracht gegaan. Organisaties kregen vervolgens twee jaar de tijd om aan de nieuwe regels te voldoen. Die tijd is bijna op. Vanaf 25 mei worden de nieuwe regels gehandhaafd. Het is hard nodig dat organisaties zich serieuzer gaan bezighouden met de beveiliging

4

WWW.WINMAGPRO.NL

van hun data. Er geen verstand van hebben is een bijzonder onverantwoordelijke gok. Het is dus een goede zaak dat organisaties gedwongen worden hun kennis op orde te krijgen of hun beveiliging goed uit te besteden, en zo de persoonlijke gegevens van hun klanten goed te beschermen.

De GDPR en het bedrijfsleven

Onlangs deed Microsoft onderzoek gedaan onder directeuren en IT-managers van Nederlandse bedrijven. Uit dat onderzoek blijkt dat slechts 20 procent van de Nederlandse bedrijven zeker zegt te weten dat zij op 25 mei voldoen aan de verordening. Meer dan 13 procent zegt het waarschijnlijk niet voor elkaar te krijgen. Deze ondernemers lopen een groot risico, want de boete voor het niet voldoen aan de GDPR kan oplopen tot 4 procent van de jaaromzet of twintig miljoen euro. Hoewel steeds meer organisaties zich bewust zijn van de nieuwe eisen, is het niet waarschijnlijk dat iedereen op 25 mei alle zaken op orde heeft.

Principes van de GDPR

De nieuwe bepalingen waar bedrijven zich aan moeten

houden zijn gebaseerd op zeven principes van dataverwerking; idealen waar iedere organisatie volgens de EU naar zou moeten streven. TRANSPARANTIE

Wanneer je gegevens verwerkt van een persoon, dan moet deze weten dat je dit doet en er toestemming voor geven. Idealiter zorgt een organisatie dat de persoon in kwestie weet wat er gebeurt en zijn rechten kent (en niet alleen ‘had kunnen weten’). DOELBERPERKING

Wanneer je persoonsgegevens verzamelt en opslaat, moet dat met een vooraf bepaald doel gebeuren. Je mag die gegevens niet voor andere doeleinden gebruiken. GEGEVENSBEPERKING

Verzamel alleen strikt noodzakelijke gegevens voor het beoogde doel.

UNIEKE KANS Veel ondernemers maken zich vooral zorgen over de GDPR en de nieuwe regels waar ze aan moeten voldoen. Maar je zou het ook kunnen zien als een kans om opnieuw naar je processen te kijken en verbeteringen door te voeren. Dat is ook precies de bedoeling van de nieuwe regels: zorgen dat bedrijven bewuster omgaan met hun data en er meer controle over krijgen. Dat is niet alleen goed voor de particulieren wiens data wordt verzameld, maar ook voor bedrijven zelf. Soepele en heldere processen en verbeterde veiligheid komt iedereen ten goede.


‘Slechts 20% van de Nederlandse bedrijven zegt zeker te weten dat zij op 25 mei voldoen aan de verordening’ JUISTHEID

Gegevens die je verzamelt moeten natuurlijk juist zijn en blijven. BEWAARBEPERKING

Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk. INTEGRITEIT EN VERTROUWELIJKHEID

Het cybersecurityprincipe dat iedereen zorgen baart. De persoonsgegevens moeten worden beschermd tegen onrechtmatige toegang, verlies of vernietiging. VERANTWOORDING

Ten slotte moet de organisatie kunnen aantonen aan alle regels te voldoen. Wanneer je slachtoffer bent van een cyberaanval moet je dit bovendien meteen melden aan de autoriteiten. De principes achter de GDPR mogen dan helder zijn, het is voor een organisatie niet altijd duidelijk wat ze precies moeten doen om aan de regels te voldoen en hoe ze dat voor elkaar krijgen. Het is natuurlijk een goed idee om de juiste kennis in huis te halen, een

expert die niet alleen technische kennis heeft maar ook precies weet welke eisen de GDPR stelt. Maar ook vanuit de bedrijfsleiding moet een helder beleid geformuleerd worden.

GDPR-compliant met een helder beleid

Met een solide basis kom je al heel ver, en die creëer je door te inventariseren en managen. Om te beginnen moet je natuurlijk weten wat voor informatie je opslaat en waarom. Een inventarisatie van alle persoonsgegevens die de organisatie verzamelt en waar die zijn opgeslagen, brengt je al goed op weg richting navolging van de GDPR. Gewapend met die informatie kun je beoordelen of de bestaande processen en doelstellingen omtrent persoonsgegevens in jouw organisatie de juiste zijn. Vervolgens kun je meteen actie ondernemen en een helder plan van aanpak maken voor het beheren van deze gegevens, de doeleinden waarvoor ze worden gebruikt, de manier waarop ze toegankelijk zijn en wie wel en niet toegang heeft. Dan is er natuurlijk

het punt van beveiliging. De gegevens die je bewaart moeten kostte wat kost beschermd worden tegen toegang door onbevoegden, of dat nu hacks zijn of lekken. Wat dat betreft is het altijd goed om een professional in te schakelen om voor de cybersecurity te zorgen. Sterker nog, de GDPR verplicht in sommige gevallen de aanstelling van een DPO (Data Protection Officer), die verantwoordelijk is voor de veiligheid van de persoonsgegevens die de organisatie beheert. Dat hoeft niet per se een nieuwe vacature te zijn; als je die kennis in huis hebt zou je iemand kunnen benoemen tot DPO.

Tot slot

Word je onverhoopt toch slachtoffer van een hack of datalek, probeer het niet stil te houden maar rapporteer het aan de autoriteit persoonsgegevens en doe zo nodig aangifte. Die meldplicht bestaat al sinds 2016, en de autoriteiten zullen onvergeeflijk zijn tegenover bedrijven die niet voldoen aan de verordening en een datalek geheim proberen te houden uit angst voor een boete. WWW.WINMAGPRO.NL

5


GDPR SPECIAL

YourSafetynet

Elke werkomgeving AVG compliant

Met de komst van de AVG/GDPR zijn organisaties genoodzaakt hun IT nu eens écht onder de loep te nemen. Weten welke werknemer toegang heeft tot bepaalde data en wat die data precies inhoudt is de sleutel tot een veilig databeleid. YourSafetynet helpt je hierbij, maar biedt daarnaast nog meer. TEKST REDACTIE

ie bekend is met YourSafetynet weet: het is een dienst die je draait on-premise of via een datacenter, eventueel af te nemen bij YourSafetynet zelf. De dienst zorgt ervoor dat je altijd in de gaten kunt houden of medewerkers zich houden aan het opgestelde privacy- en ICT-gebruiksbeleid binnen je organisatie. Per afdeling kun je een profiel instellen, in lijn met het ICT-beleid ondertekend door je medewerkers. Hierop stel je in welke websites of domeinen bezocht mogen worden door je medewerkers en op welke tijden. Dit wijst zich vanzelf doordat de user interface ontzettend prettig georganiseerd is. Niet gek ook, want iedereen moet met de dienst uit de voeten kunnen. Daar ligt ook de kracht van YourSafetynet, het is daadwerkelijk te gebruiken zonder enige technische know how, dat terwijl het feitelijk ingewikkelde materie betreft.

Ondersteuning, wizards en beleid

Die ingewikkelde materie die de datastroom en dataverwerking binnen een organisatie betreft, is in de ondersteuning die je overal op de website vindt en in de wizards waarmee je beleid opstelt, verdeeld over vier categorieën: op organisatorisch-, preventief-, technisch- en bewustwordingsvlak wordt je organisatie dichtgekit. De vriendelijke wizards loodsen je stap-voor-stap door het opstellen van een privacy- en ICT-gebruiksbeleid voor je organisatie zodat je zeker weet dat je uiteindelijk een complianceniveau bereikt dat je helemaal GDPR-ready maakt. YourSafetynet is dan ook gecertificeerd hiervoor, waardoor de dienst zowel hulp biedt bij organisaties die graag zo snel mogelijk voldoen aan de GDPR, als aan organisaties die dit ook graag blijven.

Juridisch 100% beleid

De documenten en beleidsregels binnen YourSafetynet worden namelijk steeds aangepast wanneer er iets verandert qua regelgeving,

6

WWW.WINMAGPRO.NL

zodat je hier op tijd je beleid op kunt aanpassen. Dit wordt netjes aangegeven op het dashboard van de dienst, dus je bent altijd op de hoogte van de laatste ontwikkelingen en dat natuurlijk weer op een uiterst gebruiksvriendelijke en intuïtieve wijze.

Organisaties van elke grootte

Een dienst als deze richt zich vaak op grote organisaties, maar de grootte van een bedrijf maakt bij YourSafetynet niet uit. Van een kleine organisatie met minder dan 20 werknemers tot aan grote enterprises, de dienst helpt elke organisatie om de data veilig binnenshuis te houden en deze op een verantwoorde manier te verwerken. Zonder moeite verspreid je de documenten over de verschillende bedrijfslocaties en ben je er zeker van dat het beleid bedrijfsbreed wordt doorgevoerd. Hiermee maakt YourSafetynet het elke organisatie makkelijk een coherent beleid aangaande security en databeveiliging in te voeren en te onderhouden.

SPECS Prijs op aanvraag Info yoursafetynet.com

CONCLUSIE We waren al eerder enthousiast van YourSafetynet en dat is er met deze bijgewerkte versie niet minder op geworden. Andere diensten die op zo’n makkelijke, en soms zelfs leuke, manier organisaties compliancy bieden zijn er niet op de markt en zouden die er wel zijn, dan vragen we ons af of ze kunnen raken aan het belang wat YourSafetynet voor jouw organisatie kan betekenen.

9.4


GDPR SPECIAL

Goed voorbereid de GDPR tegemoet

Stappenplan voor organisaties

De te nemen stappen om aan de GDPR te voldoen zijn globaal gezien voor ieder bedrijf gelijk. Uiteraard verschilt het per organisatie of je aanvullende stappen moet nemen en hoe de verschillende stappen invulling krijgen, maar dit vijfstappenplan van BeOne Development helpt je goed op weg om 25 mei aanstaande op tijd klaar te zijn. TEKST REDACTIE

STAP 1

Voorbereiden

Het is allereerst belangrijk om te weten welke persoonsgegevens je organisatie verwerkt. Hierbij moet je een aantal dingen helder hebben: • Met welk doel verwerkt de organisatie deze gegevens? • Wat voor soort gegevens zijn het? • Wat houdt de verwerking van deze gegevens in? • Waar worden deze gegevens bewaard? Zo creëer je inzicht in je gegevensverwerkingen en beoordeel je aan welke wettelijke eisen en verwachtingen van de betrokkenen deze verwerkingen moeten voldoen. STAP 2

Risicobeoordeling uitvoeren

Nu je inzicht hebt in alle gegevensverwerkingen, bepaal je wat daarmee mis kan gaan. Hoe zou de privacy van betrokkenen in gevaar kunnen komen? Bepaal voor iedere bedreiging de kans en de impact. Op

risicobeoordeling kun je je bovendien verantwoorden richting de Autoriteit Persoonsgegevens. Je kunt immers aantonen dat je de juiste maatregelen neemt voor de belangrijkste risico’s. STAP 3

Beleid opstellen

Tijdens de risicobeoordeling maak je keuzes voor maatregelen die de belangrijkste risico’s aanpakken. Deze keuzes leg je vast in je beleid. Dit biedt richtlijnen voor je medewerkers om verantwoord om te gaan met persoonsgegevens. Je legt dus vast hoe je de privacy van de betrokkenen beschermt. Bij het kiezen van maatregelen en het opstellen of aanscherpen van het beleid is het belangrijk om de richtlijnen van de GDPR te volgen. De GDPR beschrijft onder andere de verplichtingen van de verwerkingsverantwoordelijke en de verwerker, en de rechten van betrokkenen. Al deze richtlijnen moeten in het beleid zijn afgedekt. Als je niet goed weet waar je moet

‘Maak je keuzes voor maatregelen die de belangrijkste risico’s aanpakken’ basis van deze combinatie kies je weloverwogen welke risico’s je aanpakt en in welke volgorde. Je zoekt hierbij op basis van tijd, geld en middelen die je ter beschikking hebt naar de meest optimale privacybescherming. Met een

beginnen bij het opstellen van beleid, gebruik dan bestaande raamwerken, zoals de ISO 27001. Afhankelijk van het type organisatie kun je ook een ander raamwerk gebruiken, zoals de NEN 7510 of CobIT. Zo kies je de juiste

maatregelen die passen bij je organisatie en de persoonsgegevens die je verwerkt. STAP 4

Beleid uitvoeren

De te nemen stappen zijn onder te verdelen in technische, organisatorische en menselijke maatregelen. Organisatorische en technische maatregelen zijn vaak het eenvoudigst uit te voeren. Het menselijke aspect wordt vaak vergeten. Het is niet voor niets dat de Autoriteit Persoonsgegevens bewustwording als eerste stap in het proces beschrijft. Het is immers noodzakelijk dat alle medewerkers op de hoogte zijn van het beleid en hiernaar handelen. Door middel van een bewustwordingscampagne leer je medewerkers veilig en verantwoord om te gaan met persoonsgegevens. STAP 5

Monitoren en reageren

Natuurlijk is het, om boetes te voorkomen, belangrijk om op 25 mei a.s. klaar te zijn voor de GDPR. Nog belangrijker echter is dat je de privacy van je klanten, leveranciers, zakenrelaties en personeel als intrinsieke motivatie wilt garanderen. Hiervoor is het belangrijk dat je het beleid, de uitgevoerde maatregelen en de risico’s continu blijft volgen en verbeteren. Dekt het beleid de huidige situatie? Zijn de maatregelen effectief? Loop je tegen nieuwe risico’s aan? Het gebruik van de Plan-Do-Check-Actcyclus helpt je om deze monitoring gestructureerd aan te pakken. Zo merk je nieuwe risico’s of tekortkomingen tijdig op en kun je snel en effectief reageren. WWW.WINMAGPRO.NL

7


GDPR SPECIAL

Dit moet je weten als organisatie

De GDPR komt er aan

EXPERTS

25 mei 2018 wordt de GDPR in Europa van kracht. Deze complexe regelgeving, een initiatief van de Europese Commissie, is in het leven geroepen om de huidige wetgeving rondom databescherming voor individuen verder te verstevigen. TEKST REDACTIE

De GDPR komt er aan. Wat betekent dit precies voor organisaties en hoe verhoudt deze wetgeving zich tot de Meldplicht Datalekken?

THOMAS VAN ESSEN

Solv Advocaten & partner, Nederlands Cyber Collectief

‘Met de GDPR krijgen organisaties te maken met een grote hoeveelheid nieuwe verplichtingen. Rode draad is dat organisaties zelf beter in kaart moeten brengen welke gegevens ze voor welke doelen gebruiken. Denk hierbij aan het bijhouden van een register met verwerkingen, het uitvoeren van Privacy Impact Assessments, het voldoen aan verzoeken tot dataportabiliteit, het recht op vergetelheid en nieuwe regelingen omtrent datalekken. Op administratief en organisatorisch gebied kan dit grote veranderingen binnen een organisatie tot gevolg hebben.' 'Ten aanzien van de meldplicht datalekken treden er ook veranderingen op. Hoewel de termijn waarbinnen een datalek moet worden gemeld hetzelfde blijft (als het kan 72 uur), is de drempel voor het doen van een melding anders. Onder de huidige wetgeving en op basis daarvan door de AP opgestelde beleidsregels datalekken moet een melding worden gedaan als een datalek 'ernstige nadelige gevolgen' heeft. Onder de GDPR moet elk lek worden gemeld tenzij het niet waarschijnlijk is dat het lek een risico inhoudt voor de persoonlijke levenssfeer.'

Ondanks dat de datum van invoering nadert, bestaat er nog veel onzekerheid en onwetendheid over deze regelgeving onder het Europese MKB. Dit blijkt uit onderzoek over de GDPR van IDC in opdracht van securityspecialist ESET. IDC heeft het onderzoek in het vierde kwartaal van 2016 uitgevoerd onder IT-professionals van meer dan 700 bedrijven in Tsjechië, Duitsland, Italië, Nederland, Slowakije, Spanje en het Verenigd Koninkrijk (zie kader). Bij bijna 78 procent van de ondervraagden ontbreekt ofwel het begrip over de gevolgen van de verordening op hun organisaties of men is zich niet bewust van de gevolgen die deze wetgeving op de organisatie heeft. We hebben enkele experts gevraagd naar de ins en outs van de GDPR-wetgeving.

dat de uitleg van de AP en de beleidsregels datalekken niet teveel worden aangepast aangezien organisaties net gewend zijn (althans beginnen te wennen) aan de huidige meldplicht datalekken.'

Is het sowieso noodzakelijk dat de GDPR ingevoerd wordt of is het te zien als noodgreep omdat cybercriminaliteit een hoge vlucht neemt?

‘De huidige Europese wetgeving op het gebied van privacy komt uit 1995. Vanzelfsprekend is bij het opstellen van deze wetgeving geen rekening gehouden met de enorme vlucht die de technologie de laatste jaren heeft genomen. Het is tegenwoordig bijvoorbeeld mogelijk om grote hoeveelheden data te verzamelen en deze aan andere data te koppelen om zo een commercieel interessant profiel op te bouwen van burgers. Om de persoonlijke levenssfeer van de burgers beter te kunnen beschermen, juist in deze informatiemaatschappij, komt vanuit Brussel nu de Privacy Verordening. Deze Verordening zou dus beter moeten passen binnen het huidige tijdsgewricht.’

'Binnen welke organisatie je ook werkzaam bent: iedere voorbereiding op de GDPR begint met een privacy 0-meting'

'Het is afwachten hoe de AP invulling zal geven aan deze nieuwe formulering. Het is te hopen

8

WWW.WINMAGPRO.NL

Zijn er voorbereidingen die organisaties nu al kunnen treffen in aanloop naar de wetgeving?

‘Het is essentieel dat organisaties zich nu al voorbereiden op de GDPR. Organisaties moeten veel meer in control zijn ten aanzien van


hun datahuishouding. Dat kan alleen als de datastroom binnen een onderneming duidelijk is. Helder moet worden welke data wordt verzameld, waar die wordt opengeslagen, wie er toegang toe heeft, aan welke derden het wordt verstrekt, welke bewerkers worden gebruikt, waar de data staat opgeslagen, et cetera. Er zal dus een privacy 0-meting moeten plaatsvinden.' 'Van daaruit kan gekeken worden welke specifieke veranderingen moeten worden doorgevoerd. Deze veranderingen kunnen technisch (andere software of betere beveiliging) dan wel organisatorisch (invoeren van protocollen) zijn. Binnen welke organisatie je ook werkzaam bent, iedere voorbereiding op de GDPR begint met een privacy 0-meting.'

Wat zijn de gevolgen voor het cybersecuritylandschap? Is de GDPR goed nieuws voor organisaties binnen deze markt (zoals leveranciers van hardware- en softwareoplossingen gericht op security) en levert dit nieuwe kansen op, of is de regelgeving juist te restrictief om kansen te pakken op dit gebied?

‘De GDPR biedt zeker kansen binnen het cybersecuritylandschap. Doordat partijen nog bewuster worden van hun verplichtingen ten aanzien van de bescherming van persoonsgegevens, is de verwachting dat er meer vraag naar goede hardware- en softwareoplossingen zal komen. Doordat er zowel bij de ontwikkeling van de software en hardware (privacy by design) als de uitvoering daarvan (privacy by default) hoge privacystandaarden gaan gelden, krijgen aanbieders de mogelijkheid zich te onderscheiden van anderen.’

Wat zijn de gevolgen voor een organisatie bij het niet goed navolgen van de wetgeving?

‘Indien een organisatie de wetgeving niet goed naleeft, kan er een boete worden opgelegd. Onder de huidige wetgeving moet de AP eerst een waarschuwing geven. In de GDPR is die waarschuwing niet opgenomen. Toch is de verwachting dat ook onder de GDPR de AP met een waarschuwing zal werken alvorens een boete wordt opgelegd.' 'Echter ook als er niet direct boetes opgelegd kunnen worden, is een onderzoek van de AP een ingrijpende situatie voor een onderneming. Meewerken aan een onderzoek kost tijd en geld en als het resultaat negatief is, kan dit reputatieschade tot gevolg hebben. Wanneer een onderneming alles goed op orde heeft, wordt de impact van een onderzoek en de mogelijke gevolgen daarvan dus vergaand beperkt.' 'Overigens geldt de waarschuwing in ieder geval niet als er sprake is van opzet of bewuste roekeloosheid. Als ondernemingen er echt een potje van maken of bijvoorbeeld bewust datalekken niet melden, zullen ze wel direct een boete kunnen krijgen.’

Managing Director ESET Nederland & partner Nederlands Cyber Collectief

Nederlands Cyber Collectief Het Nederlands Cyber Collectief is een overkoepelend verbond dat gezamenlijke kennis en kracht inzet voor één doel: het effectief terugdringen van cybercriminaliteit voor het Nederlandse MKB. Uit onderzoek blijkt dat de cyberschade in Nederland naar schatting 10 miljard euro per jaar bedraagt. Nu grote organisaties hun digitale toegangspoorten steeds beter beveiligen, verplaatst cybercriminaliteit zich richting het MKB. MKB'ers zijn vaak onvoldoende beschermd terwijl de potentiële financiële schade groot kan zijn. Lees meer over het Nederlands Cyber Collectief: www.winmagpro.nl/ nederlands-cybercollectief

Is de GDPR een opstap naar nog meer wetgeving ter bescherming van data en privacy?

‘Uitgangspunt is dat de GDPR-technologie neutraal is opgesteld. De GDPR zou dus een aantal jaren mee moeten kunnen. Wel is er nadere wetgeving te verwachten op aanpalende gebieden zoals cookies en het verzenden van mail. Op die gebieden valt op korte termijn ook nieuwe wetgeving vanuit Brussel te verwachten.’

De GDPR komt er aan. Wat betekent dit precies voor organisaties en hoe verhoudt deze wetgeving zich tot de Meldplicht Datalekken?

DAVE MAASLAND

WIE?

‘De GDPR is de grootste verandering in 20 jaar wanneer het aankomt op dataprotectie en privacywetgeving. Is het is bedoeld om alle individuele wetgevingen per land te stroomlijnen en één overkoepelende wet te hebben zodat dit voor consumenten ook duidelijk is. De GDPR heeft enorme impact op organisaties in Europa, maar ook daar buiten.' 'Met het idee dat organisaties altijd slachtoffer kunnen worden van een datalek dienen er een hoop voorzorgsmaatregelen te worden getroffen. Privacy by design, security by design bijvoorbeeld, voor elk product of dienst die wordt ontwikkeld. Daar komt ook bij

dat consumenten het "recht om vergeten te worden" krijgen. Organisaties zullen op verzoek van klanten aan moeten kunnen tonen welke data zij van hen hebben en verwijderen indien overbodig. Hier kunnen complexe processen aan ten grondslag liggen.'

‘Ik denk dat de GDPR een enorme kans is voor bedrijven’ 'Het verschil met de huidige meldplicht ligt hem sterk in de hoogte van de boetes. Dit kan met de GDPR in de miljoenen lopen. Alsmede het recht om vergeten te worden, privacy by design en WWW.WINMAGPRO.NL

9


GDPR SPECIAL

LEES MEER Kennis over GDPR ontbreekt bij overgrote deel Europese MKB. Lees meer: www.winmagpro.nl/ content/kennis-overgdpr-ontbreektbij-overgrote-deeleuropese-mkb De GDPR in 20 slides De GDPR heeft verregaande gevolgen voor organisaties en individuen. Toch weten weinigen maar de ins en outs van deze wetgeving. Logisch, de GDPR zit behoorlijk ingewikkeld in elkaar. Om hier echt alles van te begrijpen zul je ongetwijfeld enkele dagdelen moeten investeren. Toch doet SIRE Technology, een leverancier van cloud- en security-oplossingen, een poging het kort en bondig uit te leggen middels een SlideShare-presentatie. In minder dan twintig slides wordt je op de hoogte gebracht wat de GDPR is, wat het voor jou betekent en hoe je je hier in ieder geval enigszins op kunt voorbereiden. Bekijk hun presentatie: www.winmagpro.nl/ content/de-gdpr-in-20slides

security bij design worden veel strenger met de nieuwe GDPR waardoor bedrijven echt anders om zullen gaan met data van consumenten. Dit heeft bijvoorbeeld enorm veel invloed op bedrijven die doen aan marketingautomation.’

Is het sowieso noodzakelijk dat de GDPR ingevoerd wordt of is het te zien als noodgreep omdat cybercriminaliteit een hoge vlucht neemt?

‘In de basis is het noodzakelijk dat de GDPR wordt ingevoerd. Door de hoeveelheid data en wildgroei aan bedrijven die deze verzamelen zullen er richtlijnen moeten komen. Privacy is een grondrecht voor burgers die beschermd zal moeten worden. Hierbij moet er meer transparantie komen naar burgers toe, wat voor soort data een bedrijf heeft en waarom zij dit verzamelen. Dit zorgt voor gezondere machtsverhoudingen.' 'Daarbij moet natuurlijk niet vergeten worden dat cybercrime een vlucht neemt en elk bedrijf na moet denken over technische beveiligingsmaatregelen en wat te doen als er iets fout

opstellen van beleid en waarborgen van policies. Het is de bedoeling dat de GDPR vanaf 25 mei van kracht wordt en dan dienen organisaties al klaar te zijn. Echter zijn er nog steeds onduidelijkheden over bepaalde tekstgedeeltes. ESET Probeert hierin richtlijnen te voorzien samen met Mazars accounts: encryption.eset.com/nl

Wat zijn de gevolgen voor het cybersecuritylandschap? Is de GDPR goed nieuws voor organisaties binnen deze markt (zoals leveranciers van hardware- en softwareoplossingen gericht op security) en levert dit nieuwe kansen op, of is de regelgeving juist te restrictief om kansen te pakken op dit gebied? ‘Naar mijn idee levert dit zeker kansen op, maar deze dienen wel goed doordacht te worden. Ook securitybedrijven hebben veel gevoelige data en nemen juist een kwetsbare positie in binnen hun klanten en partners. Het goed nadenken over

‘Privacy is een grondrecht voor burgers die beschermd zal moeten worden’ gaat. Ik denk dat de GDPR een enorme kans is voor bedrijven om echt een transparante, duurzame vertrouwensrelatie op te bouwen met hun klanten.’

Zijn er voorbereidingen die organisaties nu al kunnen treffen in aanloop naar de wetgeving? ‘Jazeker, in principe kan men alle stappen al nemen van het in kaart brengen van de huidige gegevens en

10

WWW.WINMAGPRO.NL

risico's maar ook hoe je vanuit de gedachte van compliance mee kan denken met je doelgroep wordt enorm interessant. Ook de securitybedrijven zullen operationeel aan de bak moeten met deze wetgeving. Echter zullen zij het voorbeeld kunnen stellen en nog meer vertrouwen opbouwen door vervolgens hun klanten verder te helpen met de reeds opgedane ervaring.’

Wat zijn de gevolgen voor een organisatie bij het niet goed navolgen van de wetgeving? ‘Die gevolgen kunnen zeer verregaand zijn. Misschien wel de meest impactvolle zijn natuurlijk de boetes die op kunnen lopen tot 4 procent global revenue of 20 miljoen euro. De verwachting is dat deze boetes ook daadwerkelijk opgelegd kunnen worden. Daarmee zal dit een incentive zijn voor bedrijven van elke grootte.'

Is de GDPR een opstap naar nog meer wetgeving ter bescherming van data en privacy? ‘Ik zie de GDPR vooral als een raamwerk met een paar belangrijke uitgangspunten: 1 2

3

 Privacy is een grondrecht Er is beleid nodig om te ondernemen in dit digitale tijdperk Elke organisatie moet investeren in transparantie van dataverzameling

Ik geloof dat de GDPR ruimte biedt voor verdere verduidelijking en ik sluit zeker niet uit dat dit de basis legt voor aanvullende maatregelen. Maar het voldoen aan de huidige wetgeving die eraan komt is al een zware dobber. Ik zou organisaties dan ook vooral willen adviseren op tijd te beginnen zonder zich gek te laten maken. Inventariseren en risico-afwegingen maken en documenteren is enorm belangrijk.’


GDPR SPECIAL

All-in oplossing voor veilig gegevenstransfer binnen GDPR

MOVEit

Bedrijfskritische informatie binnen een organisatie wordt door IT systemen gecontroleerd en gemonitord. Wat gebeurt er wanneer deze bedrijfskritishce gegevens buiten de organisatie komt - buiten de grenzen van de firewall? De gevoelige gegevens zijn nu niet meer te controleren en kunnen worden gemanipuleerd of in verkeerde handen komen. TEKST REDACTIE

Iedere organisatie moet aan de richtlijnen voldoen die de EU op haar website heeft gepubliceerd voor GDPR (ook wel AVG) en zelf bepalen welke artikelen voor hen van toepassing zijn en hiervoor adequate maatregelen treffen. Het niet voldoen aan deze regels kan een zeer kostbare aangelegenheid worden.

Letop

Indien een organisatie persoonsgegevens deelt met collega's, partners en dienstverleners buiten de firewall, dan loopt de organisatie een verhoogd risico en is onderstaande toelichting interessant. Het geeft inzicht in de risico's van het delen van persoongegevens en wat u hieraan kunt doen zodat u compliant bent met GDPR op dit vlak. SCOS Software kan van dienst zijn bij het leveren van een oplossing voor het veilig verplaatsen van gegevens buiten de organisatie via Internet. Bijvoorbeeld met MOVEit van

SCOS Voor meer informatie SCOS Software BV info@scos.nl 023 5685610

Ipswitch Inc., een Secure Managed File Transfer oplossing. MOVEit garandeert de veiligheid en integriteit van deze documenten die verstuurd worden buiten de organisatie en zorgt voor herleidbaarheid en transparatie vanuit een centraal punt binnen de organisatie. MOVEit biedt hiermee een oplossing voor beveiligings aspecten om te voldoen aan specifieke vereisten zoals beschreven in artikel 5, 24, 25, 28, 32 en 39 van de GDPR: √ E  ncrypting personal data in transit and at rest. √ Non-repudiation to validate that personal data is transferred only between authorized senders and receivers. √ Integration with Data Loss Prevention and Anti-virus solutions √ Browser and Microsoft Outlook integration to ensure desktop clients are using an IT authorized secure data transfer solution. √ Perimeter security to keep unencrypted personal data out of the DMZ. √ Centralised, fine grained access control to safeguard user credentials, permissions and personal data

MOVEit beschermt gevoelige/persoonlijke gegevens ‘in transit’ met behulp van encryptieprotocollen voor gegevensoverdracht zoals SFTP, FTPS en HTTPS, evenals de SSH, TLS- en SSL-coderingsprotocollen. MOVEit beschermt gegevens ‘at rest’ met behulp van AES-256-codering. MOVEit’s non-repudiation mogelijkheid valideert dat persoonlijke gegevens alleen worden overgedragen tussen geautoriseerde afzenders en ontvangers. Het is een beveiliging tegen man-in-the-middle-aanvallen, waarbij gegevens onderweg worden gekaapt of gewijzigd kunnen worden. Automatische controle van de bestandsintegriteit valideert dat een bestand op geen enkele manier is gewijzigd - een extra beveiliging voor het GDPR-nauwkeurigheidsbeginsel. Het biedt extra bescherming door integratie met oplossingen voor contentscans, zoals Data Loss Prevention (DLP) en Anti-Virus software. Het logt alle activiteiten voor het scannen van inhoud en waarschuwingen wanneer gegevensverlies of malware wordt gedetecteerd.

‘MOVEit heeft een eigen, ingebouwde, beveiligde database' De MOVEit Gateway is een proxyserver die in de DMZ zit en ervoor zorgt dat er geen persoonlijke gegevens in de DMZ worden opgeslagen. Het beëindigt alle inkomende verbindingen in de DMZ en zorgt ervoor dat alle communicatie naar het interne netwerk via een beveiligde tunnel verloopt. De Ad-hoc-functionaliteit levert eenvoudig te gebruiken gegevensoverdracht voor desktopclients binnen een organisatie. Gebruikers kunnen grote bestanden veilig verzenden via een webbrowser of Microsoft Outlook. Dit vermindert de kans dat gebruikers bedrijfskritische gegevens met onbeveiligde cloud-gebaseerde oplossingen delen of via email versturen. MOVEit heeft een eigen, ingebouwde, beveiligde database, die wordt gebruikt om gebruikersreferenties en -machtigingen te beschermen. Vanwege de unieke combinatie van gecodeerde opslag en veilige machtigingen, vertrouwt het niet op de beveiliging van het onderliggende besturingssysteem, waar hackers bekende kwetsbaarheden kunnen misbruiken. WWW.WINMAGPRO.NL

11


GDPR SPECIAL

Wacht niet tot paniek toeslaat

Security op de werkvloer Onlangs organiseerde zakelijke internet serviceprovider BIT het Veilig Internet Bootcamp. Dit evenement stond volledig in het teken van security op de werkvloer. Uit het onderzoek ‘Internet Eigenwijs’ is gebleken dat 52 procent van de werknemers zichzelf als zwakste schakel ziet binnen de beveiliging van de werkcomputer en bedrijfsgevoelige data. TEKST TEUN VINK

TEUN VINK

Security Officer bij BIT

egelijkertijd is het niet vanzelfsprekend dat werknemers melding maken bij de IT-afdeling wanneer zij vermoeden slachtoffer te zijn van cybercrime; maar liefst 15 procent informeert de ITverantwoordelijke nooit en 20 procent doet dit af en toe. Teun Vink, Security Officer bij BIT, deelde tijdens het bootcamp praktische handvatten om de werkvloer veiliger en de medewerker bewuster te maken. In deze digitale wereld zijn het namelijk vaak de meest eenvoudige zaken die over het hoofd gezien worden.

Insider threats

92 procent van de werknemers heeft het volste vertrouwen in de beveiliging die de werkgever geïnstalleerd heeft op de werkcomputer en gaat er dan ook vanuit dat zij zelf niets hoeven te doen als het gaat om security op de

12

WWW.WINMAGPRO.NL

werkvloer. Dat vertrouwen is natuurlijk heel positief, maar het brengt ook risico’s met zich mee. Insider threats zijn dreigingen van binnenuit door (ex-)medewerkers

zij vaak jaren later nog toegang hebben tot allerlei bedrijfsaccounts. Het is dan ook cruciaal om een ‘medewerker uit dienst’ checklist op te stellen. Voor de beeldvorming: bij BIT is deze checklist twee pagina’s lang. Door één keer goed na te denken over de diverse stappen, voorkom je dat belangrijke zaken over het hoofd worden gezien als het moment daar is. Denk bijvoorbeeld aan

‘Het landschap en daarbij horende dreigingen veranderen echter continu’ of aannemers, al dan niet moedwillig. Risico’s zijn er in alle vormen en maten, van klikken op de verkeerde pop-up tot aan wachtwoorden op post-its en een ontslagen beheerder die besluit nog even wat belangrijke bestanden te verwijderen. De meeste IT-managers zijn zich hier wel degelijk van bewust, maar vaak wordt ten onrechte gedacht dat het kennisniveau van de werknemer hetzelfde is. Het landschap en daarbij horende dreigingen veranderen echter continu. Zouden jouw medewerkers bijvoorbeeld voorbereid zijn op een ransomware-aanval als WannaCry? Of weten zij daadwerkelijk wat de gevaren van een phishingmail zijn? Paniek is doorgaans een slechte raadgever. Het is verstandiger om van tevoren goed na te denken en in kaart te brengen wat er van wie verwacht wordt in specifieke situaties.

Medewerker uit dienst

Eén van de belangrijkste risico’s waar organisaties op bedacht moeten zijn, is het risico van de ex-werknemers. In de praktijk blijkt dat

toegang tot bedrijfsmail via privé-apparaten en de wachtwoorden die (naast zijn eigen) bekend waren bij deze medewerker.

Wachtwoordpolicies

63 procent van de consumenten in de leeftijd van 18 tot en met 34 jaar gebruikt hun wachtwoorden voor meer dan drie logins. Dit zijn schokkende conclusies. Want ja, over het algemeen ervaren we wachtwoorden als lastig en vervelend, maar feit is dat ze onmisbaar zijn en we er dus mee om moeten leren gaan. Een zwak of ontbrekend wachtwoordbeleid is een tweede risico waaraan organisaties zichzelf en hun medewerkers blootstellen. Op het moment dat werknemers de vrijheid krijgen, gaat het mis. Aan de andere kant moeten we ook niet doorslaan door het afdwingen van wachtwoorden van minimaal 20 tekens die maandelijks veranderd moeten worden. Er moet een balans zijn, maar het moet wel afgedwongen en gecontroleerd kunnen worden. Wachtwoordpolicies moeten dus streng, maar


werkbaar zijn. Stel in deze policies niet alleen regels op voor het aanmaken van wachtwoorden, maar bedenk ook hoe jij (en de medewerker) wachtwoorden opslaat en wat je moet doen op het moment dat wachtwoorden toch uitlekken.

Verantwoordelijkheid op directieniveau

Maatregelen op het gebied van security moeten altijd in verhouding zijn tot het risico. Is dit niet het geval, dan vinden mensen een manier om eromheen te werken. Denk bijvoorbeeld aan het gebruik van Gmail in plaats van de bedrijfsmail om restricties in bestandsformaten te omzeilen. In dat kader is het ook belangrijk dat verantwoordelijkheid niet alleen door de ITafdeling gedragen wordt, maar dat er ook op directieniveau iemand verantwoordelijk en betrokken is. In de praktijk wordt nog vaak met twee maten gemeten als het gaat om de directie. Waar de werknemer zijn tablet thuis moet laten, eist de directie ‘gewoon’ toegang tot het bedrijfsnetwerk vanaf ieder device. Onbegrip leidt per definitie tot een gebrek aan draagvlak en dat is funest voor de implementatie van securitymaatregelen.

Niet alles is techniek

Risico’s op het gebied van security zijn niet alleen technisch van aard, maatregelen zijn dat daardoor ook niet. Denk bijvoorbeeld ook aan deze maatregelen: •S  creen nieuwe medewerkers; •N  eem informatiebeveiliging op in contracten en periodieke beoordelingen; •Z  org voor periodieke awareness-trainingen voor alle medewerkers; •S  tel spelregels op voor telewerken (thuis en op andere locaties) die te controleren zijn; •V  erstrek toegang tot ruimtes, informatie en systemen op need-to-know basis; •C  ontroleer uitgedeelde toegangsrechten en het gebruik ervan periodiek.

IT-ERGERNISSEN Security op de werkvloer staat en valt bij de wil van werknemers om zich aan de regels te houden. ITergernissen gooien echter roet in het eten. Weten wat de grootste ergernissen op de Nederlandse werkvloer zijn? Lees meer: www.winmagpro.nl/ content/gastexpertit-ergernissen-op-dewerkvloer

In blinde paniek worden achteraf gezien vaak verkeerde keuzes gemaakt op alle niveaus; van de directie tot aan de communicatieafdeling en de techneuten. Daarom is het belangrijk, ondanks dat niet alles te voorspellen is, om van tevoren al het een en ander uit te denken. Vervolgens is het belangrijk dat je dit niet alleen binnen de IT-afdeling of in de directiekamer houdt. Maak werknemers daadwerkelijk deelgenoot van het securitybeleid en verklein de kans op fouten van binnenuit. WWW.WINMAGPRO.NL

13


GDPR SPECIAL

Jouw cybersecurity op orde

Handige tips en tricks die we vaak over het hoofd zien Het gebruik van ransomware door criminelen is gemeengoed geworden. Besmettingen zijn aan de orde van de dag. Bovendien is de malware zelf verfijnder: naast bestanden op de lokale schijf worden tegenwoordig ook databases, back-ups en bestanden op netwerkschijven versleuteld. Hoe verklein jij de risico's zo ver mogelijk? Er zijn tips waaraan je wellicht niet gedacht hebt. TEKST BART REMMERS

HELP! HELP! CYBERSECURITYEXPERTS GEZOCHT! Ondanks dat de vraag naar een baan in de cybersecurity steeg, werden vacatures van een aantal functies amper aangeklikt. Vooral cybersecurity engineers, -consultants en directors blijken moeilijk te vinden, zo zocht vacaturesite Indeed uit. Een vacature voor engineer werd maar in 18,9 procent van de gevallen aangeklikt, die van consultant in 28,6 procent en die van director in 42,7 procent. Vacatures voor hackers zijn met een clickrate van 95,5 procent daarentegen wel populair. Ook blijkt uit de data dat er gebrek is aan interesse voor banen op het vlak van ICT-netwerken, zoals de aanleg en het onderhoud ervan. Dat is opvallend, want bedrijven blijken wel te zoeken naar zulke profielen. In 2016 nam de vraag voor deze gespecialiseerde ICT-functies toe met 33,9 procent en banen op applicatievlak stegen met 13,6 procent.

14

WWW.WINMAGPRO.NL

ansomware is uitgegroeid tot hét middel bij uitstek voor beroepscriminelen om geld te verdienen. Het aantal ransomware-infecties is aanzienlijk gestegen, zo blijkt uit interviews met de verschillende sectoren, uitgevoerd voor het meest recente 'Cybersecuritybeeld Nederland' (CSBN). Ook blijkt daaruit dat ransomware nog geavanceerder is geworden. Naast alledaagse apparaten en persoonlijke devices worden ook netwerkschijven en backups of servers aangevallen. Daarnaast komt 68 procent van de gevallen van onbekende ransomware met als doel de samenleving te besmetten, aldus het CSBN. Dat de juiste cybersecurity steeds weer – dag-in en dag-uit – top of mind moet zijn bij iedere ondernemer en elke werknemer mag inmiddels geen nieuws meer heten, daar schrijven we ook in dit

magazine sinds jaar en dag over en dat blijven we ook gewoon doen. Gelukkig zijn waarschuwingen, adviezen en tips van vele partijen niet van de lucht. Producenten van hard- en software, aanbieders van opslag en vele instanties hebben sites

ze hier niet allemaal opnoemen (surf naar de site), maar enkele vuistregels brengen we graag ten berde in dit artikel.

Negeer die softwareupdates nou eens niet!

Een van de vuistregels lijkt zo vanzelfsprekend, maar we handelen er lang niet altijd naar. Want: te veel moeite! Toch niet weer zo een update? Dat is twee weken terug toch al gedaan? Klopt misschien. En ja, het is soms best vervelend... Maar producenten van besturingssystemen, browsers en andere programma’s – denk aan Microsoft Office, Adobe Reader en Oracle Java – brengen niet voor niets regelmatig updates uit om beveiligingslekken te verhelpen. Dus wees nu verstandig en maak ook hier waar mogelijk gebruik

'Zo'n vermaledijde popup sluit je altijd af via de toetsencombinatie ‘Alt+F4’' en brochures vol met gratis tips en tricks. Zou je nog maar vijf procent daarvan tot je nemen, dan ben je rond de jaarwisseling nog bezig met lezen. Hoeft niet. Belangrijk is dat je enkele vuistregels altijd in je achterhoofd hebt – en ernaar handelt wanneer nodig. Het Nationaal Cyber Security Centrum- onderdeel van het ministerie van Veiligheid en Justitie – voorziet in de gestaalde regels. We gaan

van automatische updates en controleer in andere gevallen minimaal maandelijks of updates beschikbaar zijn en installeer deze. Dat hoeft niet stante pede, maar stel het zeker niet te lang uit. Het gaat uiteindelijk om jouw data. Nog zo een open deur waar we te weinig gebruik van maken. Controleer altijd het webadres (URL) en het certificaat (het hangslotje in de adresbalk van de browser) om vast te stellen dat je geen nagemaakte of onveilige


Negeer die software-updates nou eens niet!

website bezoekt. Is er geen hangslotje? Vul dan nooit gevoelige gegevens in op deze website. Gebruik bladwijzers voor websites die je vaak bezoekt en let extra op bij het openen van verkorte URL, zo adviseert het Nationaal Cyber Security Centrum. Iets dat je snel over het hoofd ziet is het feit dat wanneer je iets dat er door jou op is geplaatst – en je wil het er weer vanaf – niet gemakkelijk van het web af te krijgen is. Deel dus nimmer iets te snel online. Scherm daarnaast je sociale netwerksites goed af en wees selectief in wie toegang krijgt tot jouw profiel en gegevens. En laat je je gegevens ergens achter, ga dan na bij welke organisatie je dat doet, hoe lang je gegevens worden bewaard en aan wie deze nog meer kunnen worden verstrekt. Tot slot: geef niet meer gegevens dan noodzakelijk is.

Kijk uit met pop-ups

O ja, nog een bescheiden tip die grote schade kan voorkomen. Klik nooit en te nimmer op 'akkoord', 'ok', de ‘X’ of 'nee' om een pop-up af te sluiten: op die manier kun je per ongeluk malware installeren. Dus zo'n vermaledijde pop-up sluit je altijd weer af via de toetsencombinatie ‘Alt+F4’. Installeer eventueel een pop-up-filter om pop-ups te blokkeren. Wees intern ook steeds weer op je qui-vive. Want hoe zit het met de knowhow van jouw personeel en collega's. Screen daarom ook regelmatig de kennis over cyberveiligheid bij je huidige werknemers. Ontdek hun browsergeschiedenis en netwerkactiviteiten zodat je er eventueel wat aan kan doen. En

vergeet zeker niet deze gouden regel: open nooit zomaar iedere link die je binnenkrijgt via de e-mail. Verifieer eerst of de link achterhaalbaar is, want ook een bekend persoon kan gehackt zijn.

Extra aandacht in het MKB

Specifieke aandacht verdient het MKB wanneer we het hebben over cybersecurity. Want juist die sector riskeert vaker een datalek door het onjuist ontdoen van elektronica. Ze verleggen veelal hun aandacht naar het verkleinen van andere risico’s zoals cybercrime, zo waarschuwt informatiebeveiligingsbedrijf Shred-it. Het onderzoek toont aan dat de helft van de Nederlandse MKB'ers elektronica die vertrouwelijke informatie bevat minder dan eens per jaar vernietigt. Ruim een kwart (28 procent) van de MKB'ers laat weten nooit hun elektronica te vernietigen, maar in plaats daarvan de apparaten in opslag te plaatsen of te hergebruiken. Elektronische apparaten die niet meer gebruikt worden en liggen te verstoffen - oude computers, laptops en USB’s - bevatten vaak vertrouwelijke informatie, wat kan leiden tot een datalek, zowel onbedoeld als opzettelijk.

'Belangrijk is dat je enkele vuistregels altijd in je achterhoofd hebt - en ernaar handelt wanneer nodig'

'Bedrijven richten zich steeds meer op cybersecurity, maar vergeten de risico’s van opgeslagen hardware. Oude laptops of USB-sticks liggen vaak opgeslagen in de kelder, terwijl weinig MKB-ondernemers zich realiseren dat deze veel waardevolle en gevoelige informatie bevatten die, in de handen van verkeerde personen, ernstige schade kan veroorzaken,' lichtte Bob Slikkerveer, District WWW.WINMAGPRO.NL

15


GDPR SPECIAL

ICT-BEVEILIGING ICT-BEVEILIGING? DAT BESTEDEN WE UIT Bij 85 procent van de bedrijven met ten minste 10 werknemers was in 2015 sprake van werkzaamheden op het terrein van ICTbeveiliging. Het gaat daarbij bijvoorbeeld om bescherming van data, het uitvoeren van beveiligingstests en het maken of onderhouden van beveiligingssoftware. Een kwart van de bedrijven liet deze werkzaamheden vooral doen door eigen personeel, drie kwart liet deze werkzaamheden voornamelijk door derden verzorgen, zo bleek uit de eerder dit jaar door het CBS gepubliceerde 'Cybersecuritymonitor'. Het aandeel bedrijven dat ICT-beveiligingswerk voornamelijk uitbesteedt, varieert van 79 procent voor de kleinste bedrijven tot 43 procent voor de grootste bedrijven. Kleinere bedrijven besteden ICT-beveiligingswerk dus veel vaker uit dan grote bedrijven. Kleinere bedrijven beschikken niet altijd over de kennis en kunde om ICTbeveiligingswerk zelf uit te voeren. Uitbesteden is dan de aangewezen weg. Alleen in de informatieen communicatiesector doet een meerderheid van bedrijven het ICT-beveiligingswerk voornamelijk zelf (70 procent). Gezien de aard van het werk in deze sector is dit niet verwonderlijk: bedrijven die gespecialiseerd zijn in ICT-beveiliging behoren bijvoorbeeld ook tot deze sector.

16

WWW.WINMAGPRO.NL

Bedrijven richten zich steeds meer op cybersecurity, maar vergeten de risico’s van opgeslagen hardware Sales Manager Nederland en België, eerder toe. Volgens Slikkerveer is het apparaat zelf vernietigen de enige manier om jezelf ervan te verzekeren dat elektronische data echt vernietigd is. Het simpelweg verwijderen van informatie of demagnetiseren van een schijf garandeert niet dat de data niet kan worden teruggehaald.

Digitale beveiliging van werkplek

Het borgen van de veiligheid en het up-todate houden van verschillende type computers zijn de meest genoemde uitdagingen rondom werkplekbeheer binnen de overheid en de gezondheidszorg, blijkt uit het onderzoek dat onderzoeksbureau Conclusr in het eerste kwartaal van 2017 heeft uitgevoerd in opdracht van IGEL Technology, leverancier van endpoint management software voor veilige organisaties, onder meer dan 200 IT-managers binnen deze non-profit sectoren. 39 procent van de ondervraagde IT-managers binnen overheidsinstanties en zorginstellingen ervaart als grootste zorg de digitale beveiliging van de werkplek. Dit percentage neemt toe naarmate de organisatie kleiner is. Bij organisaties met minder dan 250 werknemers zegt 43,4 procent dat security de belangrijkste uitdaging is bij het beheren van de werkplekomgeving. Deze uitdaging wordt op de voet gevolgd door arbeidsintensieve upgrades die nodig zijn om alle werkplekapparatuur op peil te houden. Ruim een op de vijf (22 procent)

van de respondenten geeft aan dat deze beheertaak sterk toeneemt naarmate er meer verschillende type computers (pc’s, thin clients, laptops en tablets) binnen de overheid en gezondheidszorg in gebruik zijn.

Uitdagingen nemen toe in multi-client-omgeving

'De druk op het beheer van een werkplekomgeving neemt toe naarmate er meer verschillende type apparaten in omloop zijn. Zo’n 90 procent van de overheidsinstanties en gezondheidsinstellingen werkt met zowel pc’s als thin clients. Daar wordt ook steeds vaker de tablet aan toegevoegd. Wij krijgen steeds meer klantvragen voor een beheeroplossing die geen onderscheid maakt in type apparatuur,' vertelt Hans Vogel, Country Manager IGEL in de Benelux, naar aanleiding van het onderzoek. 'IT-managers zijn zich bewust van de uitdagingen die een multi-client-omgeving meebrengt. Ze onderkennen de toename van het aantal computerstoringen in een omgeving waar zowel pc’s als thin clients worden gebruikt. In een multi-client-omgeving krijgt meer dan 10 procent te maken met storingen binnen een jaar. Dat percentage is nog maar 4 procent in een omgeving waar alleen thin clients worden gebruikt,' aldus Ton Ketelaars, directeur van Conclusr en leider van het onderzoek.


GDPR SPECIAL

Bewustwording

Inventariseer, varieer en communiceer Bij een succesvolle bewustwordingscampagne sluiten je uitingen, acties en leerinterventies aan bij je medewerkers. Heb je te maken met verschillende functies en verantwoordelijkheden? Dan vereist dat een gevarieerde aanpak. In dit artikel lees je hoe je ervoor zorgt dat je bewustwordingscampagne iedereen aanspreekt en voortdurend interessant blijft. TEKST REDACTIE

Voorbereidend werk

Begin allereerst met een inventarisatie van de behoefte en de benodigde onderwerpen. Realiseer je dat je je medewerkers – zeker in de beginfase – vooral ergens bewust van wil maken. Het gaat dus niet zozeer om het bijbrengen van technische knowhow. Niet iedere medewerker behoeft hele specifieke content. Bepaal welke doelgroepen je kunt onderscheiden door de verschillende functiegroepen van jullie medewerkers in kaart te brengen. Zijn er functies met een hoger risicoprofiel? Hebben deze extra aandacht nodig? Een ander belangrijk punt is de bereikbaarheid. Zitten jouw mensen de hele dag op kantoor? Of werken ze juist altijd extern? Gebaseerd op de uitkomsten van je inventarisatie kun je bepalen welke communicatiemiddelen passend zijn. Ga je een app, e-learning of game gebruiken? Of wellicht een combinatie? Kijk ondertussen welke medewerkers je kunnen helpen bij het vergroten van de bewustwording: zorg voor zogenaamde ‘ambassadeurs’. Betrek ook het lijnmanagement zodat ze aandacht aan de campagne besteden tijdens hun teammeetings.

Starten met je campagne

Een goede communicatie rondom de start van je campagne is essentieel. Medewerkers beginnen niet snel uit zichzelf aan een bewustwordingstraining. Maak duidelijk wat het nut en de noodzaak van de

campagne is en informeer iedereen over de activiteiten die komen gaan. Gebruik bijvoorbeeld een pakkende trailer op het intranet. Verstuur iedereen een uitnodiging om deel te nemen aan de training. Als start raden wij het basis introductieprogramma aan. Dit e-learing programma gaat over informatiebeveiliging en privacy in het algemeen. Deze training is belangrijk om alle medewerkers op hetzelfde kennisen bewustwordingsniveau te krijgen.

Dieper ingaan op de stof

Na de introductietraining zijn alle medewerkers zich bewust van informatiebeveiliging. Het is nu van belang om door te pakken. Zet daarbij doelgroep-specifieke modules in. Relateer functies aan relevante onderwerpen. Werkt een groep medewerkers vaak buiten kantoor? Maak hen dan bewust van de juiste manier van werken buiten kantoor. Werken er mensen veel met privacygevoelige informatie? Dan is een GDPR e-learning een match.

Gaat er al een belletje rinkelen? Nadat je een introductiemodule beschikbaar hebt gemaakt en dieper bent ingegaan op de stof, is het belangrijk om de opgedane kennis levendig te houden. Zorg voor een variatie van korte leerinterventies zoals video’s, phishingsimulaties

en korte microlearnings. Hierbij is herkenbaarheid cruciaal. Gebruik in je uitingen een herkenbare stijl of figuur. Medewerkers herkennen de stijl, er gaat een belletje rinkelen, en relateren het aan informatiebeveiliging.

Ben je goed bezig?

Meet op gezette tijden de resultaten van je campagne. Dit kan door je trainingen af te sluiten met een korte toets, of maak gebruik van praktijktesten in de vorm van phishingsimulaties. De resultaten van de metingen kan je meenemen bij de inzet van toekomstige leerinterventies. Er bestaat geen ‘one-sizefits-all’ oplossing voor bewustwordingscampagnes. De campagneopzet hangt af van jouw uiteindelijke doel. Houdt altijd rekening met de volgende punten: 1 2 3 4 5 6 7

 chep de juiste verwachtingen bij je S leidinggevende; Maak interessante en interactieve content beschikbaar; Maak het persoonlijk, refereer aan de thuissituatie; Gebruik storytelling en herkenbaarheid; Gebruik altijd begrijpelijke taal (B1/ B2); Evalueer je campagne zoveel mogelijk (de welbekende PDCA-cyclus); Meet minimaal jaarlijks de effectiviteit van je bewustwordingsprogramma.

KUN JE WEL WAT HULP GEBRUIKEN? BeOne Development helpt je graag met het opzetten van jouw bewustwordingscampagne. Wil je weten wat wij kunnen betekenen voor jouw organisatie? Ga naar www.beonedevelopment.nl of bel 035 – 20 30 216.

WWW.WINMAGPRO.NL

17


3 TOOLS OM MSP’S TOT GROTERE HOOGTES TE HELPEN STIJGEN

Datto CEO Austin McChord legt je enkele geweldige mogelijkheden uit die Datto je biedt.

Leer van Dattomedewerkers terwijl zij dieper in de producten en technologieën die Datto je biedt duiken.

Snelle en gemakkelijke tips voor MSP’ers door MSP’ers via eBooks, webinars, video’s en meer.

Om deze video’s te bekijken ga je naar www.datto.com/resources 08 MANAGED SERVICE PROVIDER

Lemenmade


ZO HERKEN JE EEN PHISHING SCAM Door Christopher Brunau, Business Writer, Datto Inc.

Phishing scams worden met de dag slimmer, waardoor het lastig is deze te herkennen. Door een veelvoud aan file sync- en deelplatformen kunnen phishing scammers doen alsof zij in dienst staan van deze services en valse documenten en mappen op je computer zetten en je zo infecteren. Als je een e-mail ontvangt die doet voorkomen alsof het een phishing-mail is, ga dan naar ‘bekijk details’ in het dropdown-menu naast de naam van de afzender. Daar zie je een sectie genaamd ‘ondertekent door’. Hiermee is te zien of een e-mail veilig is gedeeld via een service. Het doel

is om erachter te komen of het ‘ondertekent door’-veld gegenereerd is door een DomainKeys Identified Mail (DKIM) of een dienst. Een DKIM verbindt een domeinidentifier aan een handtekening waarmee een e-mail getoond wordt door een gebruiker uit een specifiek domein. Bijvoorbeeld, wanneer je een e-mail ontvangt van naam@dattom.com, zie je een handtekening die de vorm heeft van datto-com.20150623.gappssmtp.com. Dit is hoe alle e-mails vanuit een domein worden verwerkt. E-mails gedeeld door een dienst (bijvoorbeeld Drive, Calendar, Dropbox, Box enzovoort) hebben geen DKIM. In plaats daarvan zie je de handtekening van die specifieke dienst. Als iets wordt gedeeld via dropbox bijvoorbeeld, zie je: signed-by dropbox.com.

HIER ZIJN EEN PAAR TIPS: Het onderwerp heeft een generieke naam.

Het was een gedeeld bestand dat ge-BCC’ed werd en niet privé gedeeld werd via een dienst.

WARNING!

Let op het verdachte aan adres hhhhhhhhhhhhhhhh@mailinator.com

Het ‘ondertekent door’-veld is afkomstig van een e-mail en niet de dienst (en heeft de vorm iets. bounces.google.com of iets.dropbox.com).

Als je een bestand ontvangt en het is niet ondertekent door een dienst met een reputatie zoals google.com, gmail.com of dropbox.com is het waarschijnlijk phishing dus OPEN DEZE NIET. Net als met ransomware, is het belangrijk om waakzaam te zijn en voorzichtig te werk te gaan.


GDPR SPECIAL

Compliancy met Yoursafetynet

Op weg naar de GDPR Privacy is in onze huidige digitale samenleving een groot goed. Organisaties beschikken over steeds meer gegevens van burgers, cliënten, medewerkers en andere natuurlijke personen. Vaak om hen beter van dienst te kunnen zijn, of om überhaupt de dienstverlening te kunnen leveren. TEKST REDACTIE

at neemt echter ook grote risico’s met zich mee. De vele datalekken uitgelicht door de media zijn daarvan het bewijs. Overheidsinstanties proberen via wet- en regelgeving die privacy zo goed mogelijk te beschermen en organisaties zo te dwingen zorgvuldig om te springen met persoonsgegevens. De eerste tekenen hebben we daarvan de afgelopen jaren gezien. Zo is in 2016 de Meldplicht Datalekken aangescherpt.

De GDPR

Vanaf mei 2018 treedt in de EU een nieuw tijdperk in: die van de General Data Protection Regulation (GDPR). De huidige lokale privacywetgevingen in de EU komen vanaf dat moment zonder uitzondering te vervallen. Deze worden vervangen door een pan- Europese wetgeving, die als bindende leidraad geldt voor alle lokale wetgeving. Deze privacywetgeving geldt voor alle organisaties die persoonsgegevens verwerken. Over het algemeen kunnen we stellen dat de teugels dan nog strakker worden aangetrokken.

WHITEPAPER

OP WEG NAAR DE GDPR AANDACHTSPUNTEN EN CONCRETE OPLOSSINGEN VOOR COMPLIANCE ONDER DE NIEUWE EUROPESE PRIVACYWETGEVING

Gevolgen

De GDPR heeft dan ook grote gevolgen voor organisaties. Zij moeten beschikken over een compliant privacy- en ICTgebruiksbeleid dat bovendien strenger is geworden dan in de oude situatie. Het vergt het nemen van allerlei technische, organisatorische en preventieve maatregelen, en vereist de nodige bewustwording van het personeel.

Whitepaper

Deze whitepaper probeert zo goed mogelijk antwoord te geven op de vraag wat er met de komst van de GDPR aan extra maatregelen genomen moeten worden, bovenop de huidige. Daarnaast geeft het een concrete oplossing voor compliance.

20

WWW.WINMAGPRO.NL

LEES HET WHITEPAPER HIER WWW.WINMAGPRO.NL/WHITEPAPER-OP-WEG-NAAR-DE-GDPR


GDPR SPECIAL

Gevaar op het netwerk, je smartphone en in de lucht

Cyberdreigingen: hier gaat het heen De verhoudingen tussen cybersecurity en cybercriminelen worden ieder jaar op de proef gesteld. Ook in 2018 verwachten experts dat de verhoudingen op scherp worden gezet en daarnaast worden verlegd. TEKST TIEWEN VISSER

aar aanvallen aan de ene kant de kop in kunnen worden gedrukt, duiken cybercriminelen op aan de andere kant. Het is als een waterbed waar je aan de ene kant drukt en aan de andere kant een bult ontstaat. Online beveiliger McAfee, voorheen van Intel Security, bracht eerder al een rapport uit met de belangrijkste bedreigingen die ons dit jaar boven het hoofd zullen hangen.

‘Zowel particuliere bedrijven als de overheid zullen in 2018 een vuist moeten maken’

Ransomware: van piek naar dal

Wie de laatste voorspellingen voor online bedreigingen in 2018 leest zal een opvallende prognose over ransomware zijn tegengekomen. Die zou dit jaar namelijk toenemen om in de tweede helft van het jaar juist weer af te nemen. Hoe zit dat precies? Het heeft alles te maken met een doorlopende stijging van ransomware. Die zet al jaren gestaag door en zal ook in 2018 verder groeien, toch gloort er hoop. In de tweede helft van het jaar zouden vooral de zogenaamde ransom-hobbyisten het zwaar te verduren krijgen. Simpel in elkaar geknutselde ransomware wordt steeds gemakkelijker om te

22

WWW.WINMAGPRO.NL

beveiligen. Europol, McAfee, Kaspersky en de Nationale Politie lanceren namelijk een gratis tool om ransomware te bestrijden op huis-tuinen-keuken-niveau. Met andere woorden: simpele tools kunnen ransomware voor privaat gebruik te lijf gaan. De site No More Ransom van het No More Ransom-initiatief (zie kader) schijnt zelfs goed bezocht te worden door de consument. Daarmee is er niet een direct een einde in zicht voor alle ransomware, maar door het aanpakken van de simpele ransomwareverspreiders ontstaat er ruimte om de grote jongens in het vak aan te pakken, waardoor de piek van ransomware-aanvallen uiteindelijk in een neerwaartse spiraal komt.

Gerichte aanvallen

Windows zit vol gevoelige exploits, in 2018 zouden deze bugs of gaten in de bescherming van de software flink dalen, luidt de voorspelling. Intussen worden aanvallen op onze software steeds gerichter. Cybercriminelen richten zich nu meer op infrastructuursoftware en virtualisatiesoftware. Dat betekent dat er veel gecompliceerdere ketens en nieuwe vormen van softwareobjecten zijn waar hackers de aanval op inzetten. Hackers proberen daarnaast steeds vaker in te breken op onze telefoons. Zelf zetten we de telefoon ‘op slot’ met een veegcode of pincode. Hackers kunnen dit ook doen van een

afstand, echter kun jij dan niet meer bij je gegevens omdat zij de inlog bezitten. Dat kan betekenen dat ze jouw bankgegevens en andere informatie achterhalen, maar ze kunnen ook losgeld vragen om jouw telefoon weer te unlocken.

Advertentiestrijd en adblockers

Op de advertentiemarkt zal in 2018 een strijd plaatsvinden tussen adblockers en adverteerders, voorspellen experts. Adverteerders hebben steeds meer moeite om consumenten te bereiken omdat adblockers banners onzichtbaar maken op hun browser. Daar hebben adverteerders flinke last van. Dit jaar zullen ze steeds vaker gebruik maken van technieken om adblockers te omzeilen, deze technieken worden gekopieerd door cybercriminelen, waardoor de adblocker ook onveilige reclames niet meer blokkeert. Intussen wordt geprobeerd ons steeds vaker te verleiden om op links, bijlages en advertenties te klikken. Daarvoor gebruiken hackers machine learning. Dat betekent dat ze steeds handiger worden om via social engineeringtechnieken ons te verleiden om te klikken. Intussen zien we als consument het aantal nep-likes en nep-advertenties stijgen, waardoor ons vertrouwen in het algemeen zal dalen.

Gevaar in de lucht

In het rapport spreekt McAfee ook over dronejacking. Hackers


proberen steeds vaker met hun laptop in te breken in de software van drones. Dat kan gevaarlijk zijn omdat drones al veel meer zijn dan leuke speeltjes of een manier om filmpjes te maken. Serieuze media, politie, bezorgers en het leger gebruiken bijvoorbeeld drones. Het is daarom niet gek dat hackers het voorzien hebben op deze vliegende objecten. Op het internet zal hierdoor steeds meer informatie circuleren om gaten te vinden in de protectie van drones. Drones neerhalen hoeft lang niet altijd meer gedaan te worden met een grof geschut als een wapen, het hacken ervan is veel effectiever. Cybersecurity zal zich hiertegen moeten beschermen, vooral door de nieuwe rol die drones invullen in onze samenleving. Drones kunnen op hun beurt ook weer dienen als wapen. Het was al bekend

dat online gaan op een open wifi-verbinding schade kan toebrengen aan je smartphone of tablet, maar hackers kunnen deze software ook aan een drone verbinden, waardoor het vliegende gevaarte een cyberwapen wordt waarmee het bij jouw bestanden kan.

Internet of Things opent de achterdeur

In 2018 zal het fenomeen Internet of Things verder doorzetten. Dat betekent dat we de deur naar onze netwerken steeds makkelijker openzetten. Doordat apparaten smart gemaakt worden koppelen we huishoudelijke hulpmiddelen, auto’s en zaken als speelgoed op onze wifi. Dat zorgt voor een keten van apparaten die veel minder veilig is geworden voor aanvallen van buitenaf. In principe hoeft het netwerk waarop de smartapparaten zijn aangesloten niet onveiliger te zijn dan

een ‘gewoon’ netwerk van laptops en computers. Wel wordt er bij smartapparaten of zelfs smartmachines als een door het internet aangestuurde sluisdeur minder bewustzijn van online veiligheid, wat IoT extra gevoelig maakt. Ook is het netwerk gevoeliger omdat smartapparaten met elkaar verbonden zijn. De speciale malware die achterdeurtjes opent naar smart-netwerken zal moeilijk te vinden zijn, stelt McAfee, het kan jaren duren voor ze gevonden zijn. Intussen zet de ontwikkeling van smart apparaten gestaag voort dit jaar.

Cybercrime zowel tussen bedrijven als tussen overheden In de laatste James Bond-films Spectre en Skyfall speelde hackers en cybercrime een steeds grotere rol. Cybercime lijkt daarmee een probleem dat

IN PRAKTIJK De professionele Amerikaanse honkbalclub St. Louis Cardinals, die uitkomt in de hoogste honkbalcompetitie, dient een boete van 2 miljoen dollar te betalen wegens het hacken van concurrent Houston Astros. De hacks vonden plaats tussen 2013 en 2014 en waren gericht op de database van de Houston Astros. Daarin was vertrouwelijke informatie te vinden zoals scoutrapporten, statistieken en contactgegevens. De voormalig directeur van de St. Louis Cardinals voerde de hacks destijds uit. Hij kreeg toegang tot de database met hetzelfde wachtwoord van de laptop van een oudmedewerker die overstapte naar de Houston Astros. De Major League Baseball, de hoogste honkbalcompetitie van Amerika, heeft de boete aan St. Louis Cardinals opgelegd. Naast het geld moet St. Louis Cardinals ook zijn twee beste spelers aan de concurrent afstaan.

WWW.WINMAGPRO.NL

23


GDPR SPECIAL

de geheime diensten als MI6 en onze AIVD moeten aanpakken. In feite is dat ook wel het geval, ware het niet dat deze strijd veel breder wordt gevoerd. Zowel particuliere bedrijven als de overheid zullen in 2018 een vuist moeten maken tegen cybercriminaliteit. Volgens McAfee zal cyberspionage net zo gewoon worden tussen bedrijven als tussen landen. Dat heeft enerzijds gevolgen voor bedrijven en overheden op zichzelf. Anderzijds is een bloeiend bedrijfsleven net zo belangrijk voor overheid als een gezonde overheid voor het bedrijfsleven. Cyberspionage tussen en bij één van de twee is dus niet los van elkaar te zien. Het doel van deze cyberspionage is om de politieke of economische positie te versterken. Cyberspionage neemt elk jaar toe, stelt het AIVD. Hackers uit met name China, Iran en Rusland zouden het gemunt hebben op Nederland. De AIVD maakt zich daarbij in 2018 ook erg druk om de toekomst van de BV Nederland. Waar de Russen het vooral gemikt hebben op onze verkiezingen en stembusgang, lijkt China zich de komende jaren te richten op economische spionage, om bedrijfsgeheimen te ontfutselen. Nederland zou bovendien een belangrijk doelwit zijn voor cyberspionage omdat Nederland volgens de AIVD een van de meest ‘kennisintensieve en exportgerichte economieën ter wereld’ is. Bovendien gebruiken veel Nederlandse bedrijven internettoepassingen voor hun bedrijfsinformatie. Interne communicatie en klantsystemen staan opgeslagen in de cloud en zijn targets voor

24

WWW.WINMAGPRO.NL

Cybercime lijkt een probleem dat de geheime diensten als MI6 en onze AIVD moeten aanpakken. In feite is dat ook wel het geval, ware het niet dat deze strijd veel breder wordt gevoerd cyberspionnen. Vooral bedrijven binnen de energie-, hightech-, biotechnologie- en chemiesector zouden extra gevaar lopen voor deze vorm van spionage.

Hacktivisten zullen wederom privacy-issues aan het licht brengen

Niet alle aanvallen zijn bedoeld voor eigen gewin. McAfee voorspelt dat in 2018 hacktivisten steeds vaker privacygevoelige informatie zullen hacken om te bewijzen hoeveel privacysporen we nalaten online. Clouds zullen worden gehackt om consumenten te onderwijzen in dataopslag. Het zal volgens McAfee ook zorgen voor een cyberstrijd tussen overheden en softwarebedrijven over de opslag van privacygegevens.

Cyberterrorisme: vervanger of alternatief voor bommen?

De tactiek van terroristen is om de westerse maatschappij zoveel mogelijk te ontregelen. Dat doen ze vooralsnog door met name het plegen van gewapende en bloederige aanslagen. De AIVD maakt zich echter grote

zorgen om het toenemende cyberterrorisme. Met name IS zou jihadisten rekruteren die zich richten op cybercrime. Ze bieden hacklessen aan en rekruteren hackers voor hun jihadistische zaak. Vooralsnog heeft er in Nederland nooit een (cyber) aanslag plaatsgevonden. Er zijn kleine speldenprikjes geweest, meestal in de vorm van defacements en DDoS-aanvallen die vooral resulteerden in verspreiding van propaganda en enige verbale intimidatie. Toch waken veiligheidsdiensten voor deze vorm van terreur. De kans op cyberterreur neemt ook in 2018 weer toe, waardoor terreurbestrijding zich verplaatst naar de online wereld. Cyberterroristen kunnen de maatschappij ontregelen door de achterdeurtjes van Internet of Things binnen te sluipen. Zo kunnen ze landelijke netwerken platleggen. Denk daarbij aan gevaarlijke verkeerssituaties, waterkeringen en andere infrastructurele problemen die de terroristen kunnen veroorzaken.

NO MORE RANSOM Ransomware is inmiddels niet meer weg te denken uit het digitale landschap. Daarom is de overheid in samenwerking met enkele securitypartijen een nieuw project gestart: No More Ransom. Het is een initiatief van de high tech crimeunit van de Nederlandse politie, Europol’s European Cybercrime Centre, Kaspersky Lab en Intel Security. Deze publiekprivate samenwerking dient meerdere doelen. Allereerst is het bedoeld om slachtoffers van ransomware te helpen hun versleutelde data terug te krijgen zonder hiervoor het bedrag te betalen dat geëist wordt door cybercriminelen. Echter, voorkomen is beter dan genezen en daarom richt het initiatief zich ook op educatie en het verspreiden van awareness rondom ransomware. Lees meer: www.winmagpro.nl/ content/no-moreransom-initiatief-tegenransomware


GDPR SPECIAL

De GDPR komt er aan

Dit is wat TSTC voor jou kan betekenen

In mei 2016 trad de GDPR in werking. Deze verordening is een herziening van de databeschermingsrichtlijn die niet meer beantwoordde aan een in rap tempo digitaliserende wereld. Overtreedt een organisatie de GDPR, dan riskeert men boetes die op kunnen lopen tot 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet. TEKST REDACTIE

TSTC Trainingen en certificeringen van TSTC. TSTC biedt een veelvoud aan cursussen en workshops aan op het gebied van security, privacy en databeveiliging. Bovendien is TSTC Official Training Partner van IAPP, de grootste internationale vakvereniging voor privacy-professionals. IAPP-certificeringen worden aanbevolen voor (aspirant) Functionarissen Gegevensbescherming (FG) en Data Protection Officers, maar zijn ook populair onder informatiebeveiligers. Daarnaast kun je bij TSTC terecht voor onder meer Microsoft-, Citrix, Linux- en Vmware-trainingen. Vind een cursus die bij jou past op www.tstc.nl

rganisaties hebben tot 25 mei 2018 de tijd om te zorgen dat hun bedrijfsvoering compliant is met de dan geldende verordening. Maar hoe? TSTC helpt je hierbij met een uitgebreid portfolio aan cursussen en opleidingen. We zetten er enkele voor je op een rij.

Security Management-portfolio

Binnen het Security Management-portfolio van TSTC vind je een vijftal cursussen die je kennis bijbrengen op strategisch vlak waar het de informatiebeveiliging in een organisatie betreft. Onder het portfolio vallen de cursussen Certified Chief Information Security Officer, Certified Information Security Manager, Certified Information Systems Security Professional, Informatiebeveiliging en Informatiebeveiliging voor gemeenten (BIG, NEN, GBA), waarbij de twee laatstgenoemde cursussen schriftelijk worden gegeven. Technische aspecten worden bekeken door de ogen van een manager, waardoor je prima voorbereid wordt om de informatiebeveiliging organisatiebreed te managen, te analyseren en waar nodig te verbeteren.

Privacy-porfolio

Met een constant aangescherpte wetgeving op het gebied van privacy en persoonsgegevens is het van belang dat organisaties op de hoogte zijn van wetgeving, regels en best practices. Het Privacy-portfolio van TSTC bereid je voor op, en spijkert je kennis bij over juridische kaders en het implementeren van goed beleid in organisaties aangaande privacy en persoonsgegevens. Het portfolio bestaat uit gecertificeerde cursussen en workshops die zich meer richten op een bepaald aspect zoals grip krijgen op datalekken en het invoeren van een goede security- en privacycultuur in organisaties.

Cryptografie: introductie en applicaties

Met cybercriminelen die steeds slimmer te werk gaan is de noodzaak om data goed te versleutelen alleen maar groter. Kennis over cryptografie, van de geschiedenis van cryptografie tot aan de praktische toepassing om data te versleutelen, is daarom onmisbaar binnen iedere organisatie. De cursus Cryptografie start met de geschiedenis van cryptografie en behandelt daarna onderwerpen op het gebied van getaltheorie, symmetrischeen asymmetrische algoritmes, cryptoanalyse, steganografie, quantum cryptografie en cryptografische methodes met meerdere sleutels.

Ethical Hacking & Pentesting-portfolio

Het implementeren van een securitystrategie en -oplossingen is lang niet altijd voldoende. Om te weten of en hoe kwetsbaar het netwerk van organisaties is moet deze getest worden door een gekwalificeerde pentester. Deze brengt kwetsbaarheden in kaart en brengt hierover rapport uit aan de organisatie. Het Ethical Hacking & Pentesting-portfolio biedt diverse cursussen en workshops op het gebied van hacking en pentesting. Deze cursussen zijn ook geschikt als offensieve security awareness-training voor bijvoorbeeld systeemnetwerkbeheerders of ontwikkelaars. WWW.WINMAGPRO.NL

25


GDPR SPECIAL

Hoe Hewlett Packard Enterprise de aankomende verordening benadert

Inzetten op kansen

Leuk of niet, de GDPR komt eraan. Als hofleverancier voor infrastructuren en IT-implementatie in de zakelijke markt zit Hewlett Packard Enterprise (HPE) er logischerwijs bovenop. Dit betekent niet dat HPE de focus legt op angst, integendeel. De GDPR biedt kansen en het bedrijf zet daar dan ook op in. We bespreken HPE als voorloper in het zien van kansen in de GDPR met Remco van Dijk en Tim Grieveson. TEKST PETER GĂœLDENPFENNIG

REMCO VAN DIJK

Remco is als Business Manager Partners bij HPE medeverantwoordelijk voor een soepele overgang van HPE en haar partners in aanloop naar de GDPR-regelgeving. Hij heeft bovendien bovengemiddeld kennis van de GDPR en is de aangewezen persoon om te wijzen op de kansen die in de regelgeving liggen voor het bedrijfsleven.

26

WWW.WINMAGPRO.NL

p 25 mei 2018 gaat de GDPR-regeling in werking. In Nederland kennen we al veel compliance, mede dankzij de Meldplicht Datalekken, maar ook omdat we hier gebruikmaken van moderne infrastructuren die zich lenen voor strakkere regelgeving aangaande data, bescherming en regelgeving. Tim ziet de regelgeving niet alleen als een manier om privacy en databescherming te garanderen, maar ook als kans voor organisaties. 'Invoering van de GDPR is hĂŠt perfecte moment om je eigen infrastructuur in kaart te brengen en waar nodig te vernieuwen', aldus Tim. 'Als organisaties weten wat ze qua data in huis hebben en dit correct inventariseren, dan kunnen ze deze data ook echt gebruiken om hun organisatie te laten groeien. Ja, het is waar dat de GDPR om compliance draait, oftewel het voldoen aan regels, maar dat zouden we sowieso al moeten doen. Het is simpelweg

goed om te voldoen aan die regels, er is tenslotte niets met bescherming van data tenslotte.'

Geldstromen

Naast bescherming stipt Tim een erg belangrijk punt aan, iets waar HPE met name op inzet: het genereren van nieuwe geldstromen dankzij de GDPR-regelgeving. 'Als je je data beter kent en begrijpt, dan kun je die effectief inzetten, bijvoorbeeld door je marketingafdeling om nieuwe klanten aan te trekken. Zie de GDPR als iets positiefs. Het is niet per definitie een stok om organisaties mee te slaan met de dreiging van grote geldboetes.'

Een positieve draai

HPE zet zich als marktleider binnen zakelijke ITinfrastructuren natuurlijk in voor het welzijn van hun klanten en inzake de GDPR is dat niet anders. Remco legt uit: 'HPE denkt als organisatie sowieso al in positieve termen en met de GDPR in aantocht is dat

niet anders. Aan bangmakerij doen we niet en daar heeft ook niemand iets aan. We drukken de markt al jaren op het hart dat je data goud waard is en dat je hier dus ook zorgvuldig mee moet omspringen. Compliancy en databescherming is belangrijk, maar ook kostenbesparend. En, zoals Tim al zegt, inzicht in je data kan ervoor zorgen dat je data je zelfs geld oplevert. Data-mining en -marketing zijn hierin goede voorbeelden.'

'Die aan/uit-knop bestaat niet'

Zoals elke IT-leverancier, zegt ook HPE de beste oplossingen in huis te hebben. 'Dat is gewoon business as usual', zegt Tim. 'Echter, wat organisaties moeten begrijpen is dat de GDPR niet een eenmalig ding is, iets wat je invoert en dat is het dan. Die aan/uit-knop bestaat niet. De GDPR is regelgeving waarop voortgebouwd wordt en die steeds verbeterd wordt. Dan kun je als IT-leverancier niet


TIM GRIEVESON

Tiim Grieveson is de Chief Cyber Security Strategist bij HPE in de EMEA-regio. Hiervoor was hij CIO en CISO voor internationaal beveiliger G4S. Hij heeft dan ook uitermate kennis van (cyber)criminaliteit in al zijn vormen en facetten binnen een breed spectrum aan markten. Geregeld spreekt hij vanuit zijn expertise op congressen wereldwijd over issues die raken aan IT en security.

beweren een product te leveren die je in ĂŠĂŠn klap compliant maakt. Natuurlijk kunnen producten je helpen, maar er ligt voornamelijk een last bij organisaties om de GDPR te begrijpen en waar zij staan met betrekking tot compliancy tegenover de regelgeving.'

De rol van HPE

En dat is exact waar HPE kan helpen. Remco: 'HPE gaat actief met organisaties aan de slag om voor hen een plan uit te stippelen op weg naar invoering van de GDPR.' Dat is helaas nog niet zo makkelijk, want voor een hoop organisaties is het al

laat, zij zullen mei volgend jaar niet 'GDPR-ready zijn'. Hoe kan dit? Tim: 'Dat komt weer neer op begrip rondom de GDPR en hoe dat direct invloed heeft op je organisatie. De meeste bedrijven zitten nog steeds in de fase van het begrijpen van de GDPR, terwijl ze eigenlijk al actie hadden moeten ondernemen om op tijd compliant te zijn als de GDPR ingaat.'

The Journey to Value

De rol van HPE noemt men binnen HPE zelf 'The Journey to Value', een op maat gemaakte reis waarbij HPE organisaties helpt om op tijd compliant te zijn.

GDPR Vanaf 25 mei 2018 wordt de GDPR in Europa van kracht. Deze complexe regelgeving, een initiatief van de Europese Commissie, is in het leven geroepen om de huidige wetgeving rondom databescherming voor individuen verder te verstevigen over de gehele EU. Ondanks dat de datum van invoering nadert, bestaat er nog veel onzekerheid en onwetendheid over deze regelgeving onder organisaties. Lees meer over de regelgeving en het ontbreken van kennis bij organisaties: www.eugdpr.org

Remco: 'We bekijken samen met bedrijven waar de pijnpunten liggen en zetten zo een framework met tijdlijn op waar organisaties mee aan de slag kunnen. Erg praktisch en gericht op de realiteit. De GDPR komt er aan en organisaties zullen dus ook echt actie moeten ondernemen.' Tim gaat verder: 'Ook zetten we lezingen en workshops op om organisaties op weg te helpen. Soms duurt de reis van organisaties langer, mogelijk tot wel vier jaar. Zoals ik al zei, de meeste organisaties zijn echt nog helemaal niet klaar. Maar ze doen er tenminste iets aan om zo compliant als mogelijk te zijn en dat is echt wel wat waard.' Vanuit het opgezette framework volgen assessments. Een eerste assessment is na te gaan hoe klaar het bedrijf eigenlijk is. Een tweede assessment is een technisch assessment, waarbinnen de technologie in samenhang met werknemers nader wordt bekeken. 'Volgens CIO's is deze praktische benadering een gamechanger', vertelt Tim. 'Het gaat niet alleen de technologie binnen organisaties aan, het gaat elke afdeling binnen organisaties aan, denk aan marketing, sales en ook de directe werkvloer. Met het plan dat HPE opzet in samenwerking met organisaties gaan alle afdelingen binnen organisaties anders met elkaar om en praten ze veel nauwer met elkaar. Dat levert een gezondere, positieve organisatie op. En dat dankzij invoering van de GDPR.' WWW.WINMAGPRO.NL

27


FILE TRANSFER AND THE GDPR

File Transfer Features Needed for GDPR Compliance

PRINCIPLE 1 PRINCIPLE 6

PRINCIPLE 5

PRINCIPLE 4

PRINCIPLE 3

“Data Security”

PRINCIPLE 7

The General Data Protection Regulation (GDPR) encompasses 7 data protection principles that, together, assure the rights of the individual are central to the collection and processing of personal data. File Transfer systems, fitting the definition of ‘processing’, must provide this functionality in order to enable compliance.

“Fair, lawful and transparent processing”

PRINCIPLE 2

THE 7 GDPR DATA PROTECTION PRINCIPLES

GDPR-REQUIRED FILE TRANSFER FUNCTIONALITY Non-repudiation to validate that personal data is transferred only between authorised senders and receivers. Centralised, fine grained access control to safeguard user credentials, permissions and personal data.

Additional care must be used when designing and implementing personal information processing activities.

Encryption of personal data in transit and at rest. Integration with Data Loss Prevention and Anti-virus solutions.

Personal data must be secured against internal and external threats, accidental loss, destruction and damage.

“Accuracy”

Automatic file integrity checking to validate that a file has not been altered.

All reasonable steps must be taken to ensure that personal data is accurate.

Automatic collection and reporting on data transfer logs on one centralised consolidated location. Audit logs should be tamper-evident in order to be trusted for accuracy.

“Accountability” Compliance with the Data Protection Principles must be documented.

Cryptic scripts should be replaced with a forms-based solution that provides a standardised, secure and documented record of data transfer tasks.

“Purpose Limitation” Personal data collected for one purpose should not be used for a new incompatible purpose.

Comprehensive analytics that provide the required insights into transfer activities to assure on-going compliance with GDPR’s data protection principles.

“Data Minimisation” Collection and processing should be limited to the personal data needed to achieve the stated purpose.

The system should allow the scheduling of common repetitive pre- and post-transfer tasks, including the scheduled deletion of personal data files.

“Retention Periods” Personal data should not be retained longer than needed for the stated purpose.

The lowest risk, most cost-effective way to meet all 7 GDPR Data Protection Principles is a managed data transfer solution like Ipswitch MOVEit File Transfer.

SCOS SOFTWARE BV

INFO@SCOS.NL

+31 (0) 23 5685610


GDPR SPECIAL

ipswitch/SCOS

Bevorder security & compliancy met MOVEit Er is geen simpele, holistische benadering die voor volledige databescherming, compliancy en security voor een willekeurige organisatie kan zorgen. Er zijn ontzettend veel systemen die zorg moeten dragen voor data achter een firewall. Wanneer gevoelige data binnen een container geplaatst wordt in een organisatie, vergemakkelijkt dat het management en de controle voor de IT-afdeling. TEKST REDACTIE

at gebeurt er wanneer data extern verstuurd wordt, buiten de bescherming die een firewall biedt? Immers maakt dit data gevoelig voor manipulatie, diefstal of verkoop van de data. Dit betekent dat je data in handen kan komen van ongewenste personen, wat het risico op datadiefstal en het breken van reguleren vergroot. Dat is waar een veilig en betrouwbaar Managed File Transfer (MFT)-systeem een waardevolle investering kan zijn voor organisaties die data willen delen met derde partijen. Een MFToplossing lost veel security- en compliancyproblemen op terwijl de IT-afdeling de regie houdt met betrekking tot controle, transparantie en flexibiliteit waar het gaat om het versturen van data. Het zorgt voor overzicht binnen de zakelijke activiteiten van een organisatie waarbij file transfers aan de orde van de dag zijn. In dit whitepaper worden zeven belangrijke security-componenten behandeld die verplicht zijn volgens datareguleringen en waarmee het portfolio van MOVEit-producten (MOVEit Transfer + MOVEit Automation) je helpt om deze componenten succesvol te implementeren. Als laatste laat dit whitepaper je zien hoe MOVEit verder gaat dan noodzakelijk en zorg draagt voor maximale security, compliancy, transparantie en controle over je meest gevoelige data.

AN IPSWITCH WHITEPAPER

How MOVEit Addresses Data Protection Security & Compliance Requirements

LEES HET WHITEPAPER HIER WWW.WINMAGPRO.NL/WHITEPAPER-HOEMOVEIT-DATABESCHERMING-SECURITY-ENCOMPLIANCY-BEVORDERT

WWW.WINMAGPRO.NL

29


GDPR SPECIAL

Zo zorg je voor een veilige hardware-omgeving

GDPR: waarom veel organisaties niet klaar zijn Op de valreep van 2018 liggen nog altijd veel bedrijven wakker van de nieuwe GDPR Europese wet- en regelgeving ter bescherming van onze privacy. Voor wie nu denkt, waar gaat dit over, moet zich echt grote zorgen maken.

Beveiliging vraagt om prioriteit in organisatiebeleid

TEKST RONALD RAVEL

RONALD RAVEL

Country Manager van Toshiba Benelux

egelijkertijd kan het zo maar zijn dat je nu denkt, nee niet weer die GDPR want je hebt je zaakjes al lang en breed op orde. Als je tot deze laatste groep behoort, maak je deel uit van een eliteclub. Welk rapport je er ook op naslaat, alle recente onderzoeksresultaten wijzen uit dat het merendeel van de organisaties, groot of klein, nog niet GDPRcompliant is. Hoe komt dat? Nog geen vijf maanden voordat de nieuwe privacywet van kracht gaat. En belangrijker nog, welke maatregelen moet je nemen om te zorgen dat je straks niet onverhoopt geconfronteerd wordt met hoge boetes wegens het niet op orde hebben van de bescherming van privacygevoelige data.

15 jaar na de invoering van de Wet Bescherming Persoonsgegevens (WbP) is privacybescherming nog steeds een moeilijk onderwerp. Daar kwam twee jaar geleden de Meldplicht Datalekken bovenop. Inmiddels krijgt de Europese GDPR-wetgeving terecht volop aandacht. Toch blijkt het een hele klus om aan te kunnen tonen dat je privacygevoelige gegevens goed beschermt. Het benoemen van Privacy Officers lukt nog wel, zo blijkt. Maar bijvoorbeeld het op orde brengen en houden van toegangsrechten op systemen, WWW.WINMAGPRO.NL

Een andere belangrijke uitdaging is het bewustzijn van eigen verantwoordelijkheid en mogelijke consequenties van handelen. Wat zou jij doen als je broer je vraagt om even een adres op te zoeken in de gemeentelijke administratie? Dat lijkt onschuldig maar het wordt anders als het een blijf-van-mijn-lijfhuis is. Privacy bewustzijn is meer dan weten welke gegevens vertrouwelijk zijn en hoe daarmee om te gaan. Dat vraagt om protocollen, opleiding van medewerkers en een helder autorisatiebeleid. En waar nodig, neem gegevens uit handen van werknemers. Daar is gelukkig ook geschikte technologie voor. Want je kunt medewerkers nog zo goed opleiden, waar gewerkt wordt, worden fouten gemaakt. Risico’s zijn prima uit te sluiten als je de juiste hardwarekeuzes maakt. Zo kun je met de Toshiba Mobile Zero Client geen gegevens opslaan op het apparaat zelf. Zowel besturingssysteem, opslag en data zijn beschikbaar via een cloudgebaseerde virtuele desktopinfrastructuuroplossing. Medewerkers kunnen overal en altijd blijven werken zonder dat gegevens verloren gaan bij diefstal of verlies van het mobiele apparaat. Bovendien is daarmee ook het beheer van je werkomgeving veel eenvoudiger en veiliger te regelen.

‘Risico’s zijn prima uit te sluiten als je de juiste hardwarekeuzes maakt’

GDPR-compliant zijn is een hele kunst

30

goed databeheer en de juiste protocollen naleven, is bij lange na geen gemeengoed bij veel organisaties.Niet zo verwonderlijk. Neem bijvoorbeeld een gemiddelde gemeente in ons land. Zo’n lokale overheidsinstantie heeft al gauw 175 systemen in de lucht. Niet allemaal even state-of-the-art. Elke organisatie kent wel verouderde systemen en applicaties die nog altijd van groot belang zijn voor het reilen en zeilen van de dagelijkse operatie. Het beheer daarvan is behoorlijk complex.

Kortom, GDPR-ready zijn gaat niet alleen over protocollen, bewustzijn, softwarebeveiliging en databeheer. Kijk ook hoe je een veilige hardwareomgeving realiseert. Medewerkers blijven mobiel en jij kan aantonen dat je gegevensbescherming goed op orde hebt.


WATERDICHT PRIVACYBELEID EN... ZONDER DURE CONSULTANTS

DE NIEUWE EUROPESE PRIVACYWET (AVG / GDPR) NADERT SNEL. AL IN MEI AANSTAANDE MOETEN ORGANISATIES AAN ALLERLEI NIEUWE SPELREGELS VOLDOEN. BEDRIJVEN WORSTELEN MET COMPLIANCE EN ZIEN DOOR DE BOMEN HET BOS NIET MEER. ZE STAAN MET HUN RUG TEGEN DE MUUR. IMAGOSCHADE, DATALEKKEN EN HOGE BOETES LIGGEN OP DE LOER. SCHAKELEN WE DURE ADVOCATEN IN? OF LOSSEN WE HET ZELF OP? MET YOURSAFETYNET KUNT U ALS IT-PARTNER HET VERSCHIL MAKEN NAAR UW OPDRACHTGEVERS.

YourSafetynet pro+ is het antwoord Met deze appliance komt uw organisatie en dat van uw klant zonder externe juristen of adviseurs weer ‘in control’. Uw organisatie hoeft niet het wiel opnieuw uit te vinden, wat kostbare tijd bespaart. YourSafetynet bevat namelijk alle benodigde sjablonen, reglementen en standaarddocumenten voor een sluitend privacybeleid. Eenvoudige, stap-voor-stap wizards sturen u door deze lastige materie. Met deze oplossing voldoet u aan de huidige privacywetgeving en dankzij het updatesysteem ook aan de komende Europese privacyverordening (GDPR). De investering verdient u snel terug, want YourSafetynet pro+ reguleert tevens het privégebruik van ICT-middelen. Geheel op juridische verantwoorde wijze.

Wilt u ervaren wat YourSafetynet voor uw organisatie kan betekenen? Dan kunt u de oplossing vrijblijvend en kosteloos uitproberen. Kijk snel op www.yoursafetynet.com of neem direct contact op met info@yoursafetynet.com.

YOURSAFETYNET - STAY IN CONTROL

YOURSAFETYNET MAAKT COMPLIANCE KINDERSPEL • Ontzorgt uw organisatie en uw klanten op het gebied van de privacywetgeving • Leidt stap-voor-stap door lastige materie en naar 100% AVG/GDPRcompliance • Voorkomt datalekken, nu en in de toekomst • Heeft een korte ROI dankzij regulering van privé-ICT gebruik • Voor resellers, een uitstekend verdienmodel


GDPR SPECIAL

Beperk de schade met digitaal leren

De GDPR en reputatieschade Natuurlijk heb jij een wachtwoord op jouw laptop. Een wachtwoord dat je niet zomaar raadt, daar heb je goed over nagedacht. Een virusscanner is ook op vrijwel elke laptop te vinden. Maar stel jouw apparatuur wordt gestolen, hoe zeker ben jij van de veiligheid van de persoonsgegevens die via de apparatuur verkregen kunnen worden? Zeker genoeg om een risico op mogelijk onherstelbare reputatieschade te lopen? TEKST ROMY HERMANS

ROMY HERMANS

is learning specialist bij RMMBR

rganisaties doen er goed aan om de gaten in de kennis met betrekking tot privacy bij hun werknemers te onderzoeken. Zij lopen vanaf de lente van 2018 namelijk een risico. Niet alleen een risico op een boete van maximaal 20 miljoen euro, maar ook op enorme reputatieschade. Dit zijn de mogelijke gevolgen van de invoering van de Algemene Vordering Gegevensbescherming (AVG) voor jouw bedrijf. Deze nieuwe privacywet vereist de aandacht van organisaties. Het betekent voornamelijk een versterking en uitbreiding van privacy-rechten, meer verantwoordelijkheden voor organisaties en een hogere kans op boetes als de privacy van de consument in gevaar wordt gebracht of is geschonden.

Tweeledige opgave

De hoogste tijd voor een verfrissing van de interne kennis over het privacy-regelement en de vereisten van de AVG. Een bittere pil, aangezien de meeste werknemers niet geïnteresseerd zijn in het lezen van dergelijke literatuur. Organisaties staan voor een moeilijke opgave. Enerzijds moeten ze op tijd voldoen aan alle eisen van de AVG, anderzijds moet ook bij de medewerkers awareness worden gecreëerd over de noodzaak en de regels van deze nieuwe wet. Het in het leven roepen van trainingen waarbij medewerkers leren verantwoord om te gaan met persoonsgegevens is een mogelijkheid. Hoe kan men dit het beste realiseren? Organisaties neigen al gauw naar het sturen van groepjes medewerkers naar het bedrijfsequivalent van een klaslokaal.

‘Werkgevers kunnen niet verwachten dat medewerkers het privacy-regelement uit hun hoofd leren’

32

WWW.WINMAGPRO.NL

Ervaringsdeskundigen waarschuwen: dit maakt weinig medewerkers enthousiast. Met het oog op het inkopen van trainers en de verloren werktijd is het bovendien een dure invulling.

Digitaal leren biedt de oplossing

Het kan ook anders. Case-based leren via digitale leeroplossingen bijvoorbeeld. Dit klinkt wellicht ingewikkeld, maar het is juist een gemakkelijk concept dat goed te realiseren is. Werkgevers kunnen niet verwachten dat hun medewerkers het privacy-regelement uit hun hoofd leren. Wat zij wél mogen verwachten is dat er alarmbellen in de hoofden van medewerkers gaan rinkelen wanneer zij merken dat de AVG niet goed wordt nageleefd of de privacy van klanten in het geding komt. Na deze alarmbellen kunnen de medewerkers het regelement raadplegen en zorgen voor de optimale bescherming van de persoonsgegevens. Herkenning creëren en nieuwsgierigheid prikkelen is hierbij een must. Met case-based leren krijgt de gebruiker een case voorgeschoteld waarin een situatie wordt geschetst, in dit geval de AVG die in het geding komt. De case laat de gebruiker zich inleven in de situatie, waardoor er precies kan worden geleerd hoe in een dergelijke situatie moet worden gehandeld. Bovendien zullen jouw werknemers de situatie veel sneller herkennen als er in de werkelijkheid iets misgaat. Door ervoor te zorgen dat bij jouw werknemers, van de receptioniste tot het hogere management, de alarmbellen gaan rinkelen zodra de privacy van de klanten mogelijk wordt geschaad, bescherm je niet alleen de klanten, maar ook je eigen organisatie. Het zou je zomaar eens een enorme deuk in je reputatie kunnen schelen. En dit alleen maar door te investeren in een goed leertraject dat je werknemers voorbereid op de veranderende wet- en regelgeving.


GDPR SPECIAL

Ben jij klaar voorde AVG?

Check deze tips van OnlyHuman Vanaf 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de nu geldende Wet bescherming persoonsgegevens (Wbp). Weet jij wat de gevolgen zijn voor jouw organisatie? OnlyHuman heeft een aantal zaken voor je op een rij gezet. TEKST REDACTIE

Wat houdt de AVG concreet in voor jouw organisatie? VERPLICHT OM DOELEINDEN VAST TE STELLEN

Het doel waarvoor je persoonsgegevens (alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon) wil verzamelen dient van tevoren te worden bepaald en duidelijk kenbaar te worden gemaakt aan betrokkenen. Wanneer je persoonsgegevens voor een bepaald doeleinde hebt verzameld dan mag je deze persoonsgegevens niet voor een ander doeleinde gebruiken, zo stelt OnlyHuman, een bureau dat bemiddelt

opgeslagen. Betrokkenen hebben namelijk het recht om te allen tijde hun gegevens in te zien, aan te passen of te verwijderen. Ook dien je aan te geven hoelang gegevens worden bewaard. Belangrijk is dat binnen de organisatie duidelijkheid bestaat over hoe en waar persoonsgegevens worden opgeslagen en wie daartoe toegang heeft. WERKEN MET DERDEN

en faciliteert bij de inzet van tijdelijke en vaste professionals in het vakgebied marketing & communicatie. Voorbeeld: stel dat je persoonsgegevens hebt verzameld voor een nieuwsbrief om betrokkenen op de hoogte te houden van nieuws op het gebied van social media dan mag je deze betrokkenen niet zomaar benaderen voor een winactie. VERWERKING PERSOONSGEGEVENS BINNEN DE EISEN VAN DE AVG

Je dient ervoor zorg te dragen dat persoonsgegevens op een veilige en overzichtelijke manier worden

Als je andere partijen inschakelt om persoonsgegevens te verwerken, moet je met deze organisaties een ‘verwerkersovereenkomst’ afsluiten. Met een verwerkersovereenkomst sluit je uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken.

Waar dien je als organisatie aan te voldoen?

Als organisatie moeten aantoonbare maatregelen worden genomen om informatie van persoonsgegevens te beveiligen. Er dienen interne procedures te worden vastgesteld met betrekking tot het opslaan en verwerken van persoonsgegevens. Tevens dient er een privacyverklaring te worden opgesteld en gepubliceerd. Ook dient er een actieplan voorhanden te zijn in geval van datalekken. Bedrijven met meer dan 250 medewerkers die met gevoelige informatie werken, zijn verplicht om een Chief Privacy Officer (CPO) toe te wijzen. DATALEKKEN

Bij datalekken van persoonsgegevens geldt een meldplicht bij de autoriteit Persoonsgegevens. In sommige gevallen kan het zijn dat de betrokkene zelf ook van het lek op de hoogte dient te worden gebracht. Wanneer de gegevensbeschermingsregels worden overtreden staan hier strenge sancties op. De boete kan oplopen tot wel 20 miljoen euro of 4% van de jaaromzet. WWW.WINMAGPRO.NL

33


GDPR SPECIAL

Het gaat niet enkel om data alleen

Vergeet fysieke documenten en printers niet

De inwerkingtreding van de GDPR (General Data Protection Regulation) komt steeds dichterbij en bedrijven maken zich zorgen over de beveiliging van de opgeslagen data binnen het bedrijf. In allerijl worden bedrijfsnetwerken en hardware gecontroleerd om te bepalen of het bedrijf voldoet aan de bepalingen van de wetgeving die op 25 mei 2018 in heel Europa in werking treedt. TEKST WILBERT HENDRIKS

WILBERT HENDRIKS

Sales en marketing manager bij Sharp

edrijven vergeten echter dat ook een print die in de papieruitvoer blijft liggen, persoonlijke data kan bevatten. Bedrijven doen er daarom verstandig aan om niet alleen naar de digitale beveiliging van data te kijken, maar ook naar de fysieke beveiliging ervan.

De eisen van de GDPR

De GDPR ziet erop toe dat alle persoonsdata in het bezit van een bedrijf beveiligd is. Onder persoonsdata wordt alle data over individuen verstaan, van achternamen tot e-mailgegevens en IP-adressen. Bedrijven moeten te allen tijde weten waar in de organisatie deze data is opgeslagen, hoe deze data beveiligd is en wat er met deze data wordt gedaan. Wanneer deze data kwijtraakt of wordt gehackt, is het bedrijf verplicht om dit te melden. Het bedrijf in kwestie hangt vervolgens een boete van 20 miljoen euro of vier procent van de totale omzet (afhankelijk van welk bedrag hoger is) boven het hoofd. Het is bedrijven er dus alles aan gelegen om hun beveiliging op orde te krijgen. De focus van bedrijven ligt vaak

34

WWW.WINMAGPRO.NL

op het beveiligen van de digitale data, terwijl de regulering ook van toepassing is op de fysiek opgeslagen data. Dit betekent dat bedrijven ook moeten nadenken over het beschermen van alle persoonsdata die wordt geprint, gekopieerd, gescand en opgeslagen.

Fysieke beveiliging

De beveiliging van deze fysieke documenten is relatief eenvoudig in gevaar te brengen. Een afgedrukte A4 met persoonlijke gegevens dat onbewaakt op de uitvoer van de printer ligt, geldt al als een inbreuk op persoonlijke data. Hetzelfde geldt voor overbodige documenten die in papierbakken worden weggegooid; personen kunnen hier eenvoudig bij en met de gegevens aan de haal gaan. Om dat te voorkomen zullen medewerkers moeten overwegen of het nodig is om bepaalde gegevens af te drukken. Wanneer dit het geval is, is het verstandig om de documenten direct bij de printer op te halen nadat de opdracht naar de printer is verzonden. Als het document vervolgens niet meer nodig is, moet het in de papierversnipperaar worden

gegooid in plaats van in een papierbak. Een ander punt waar bedrijven op moeten letten bij het afdrukken van bestanden is de beveiliging van de printer zelf. Een multifunctionele printer die aan het bedrijfsnetwerk gekoppeld is, kan namelijk ook een risico vormen. Als de printer zelf onbeveiligd is, kunnen hackers de daarop opgeslagen documenten stelen. Daarnaast kan de printer als toegang tot de rest van het netwerk dienen om andere systemen aan te vallen. Multifunctionele printers zijn feitelijk volwaardige computers in het netwerk met besturingssystemen zoals Windows en OS en zijn in staat om te communiceren met andere hardware binnen het netwerk. Bedrijven zien dit nog wel eens over het hoofd, hierdoor zijn printers voor hackers een ‘ideale’ schakel om de rest van het netwerk te infiltreren.

Toets tijdig de volledige beveiliging van de bedrijfsdata Bedrijven hebben nog even de tijd om in actie te komen en ervoor te zorgen dat de volledige beveiliging van hardware en documenten in overeenstemming is met de GDPR. Behalve de beveiliging van online data en het bedrijfsnetwerk, moet er ook worden gekeken naar de beveiliging van de printers. Hiervoor is een volledige renovatie niet altijd noodzakelijk; een goede, multifunctionele printer (MFP) bevat beveiligingsoplossingen en oplossingen voor print- en documentbeheer, die de data beschermt in overeenstemming met de GDPR.


Ondernemer, onderschat de AVG niet!

Wetgevingen omtrent privacy en de tools om eraan te voldoen Op 25 mei 2018 verwacht de Europese Unie dat het bedrijfsleven voldoet aan de GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming) zoals we dat in Nederland noemen. TEKST PETER VORSTENBOS

PETER VORSTENBOS

Manager Operations, Lancom

e AVG draait in beginsel om het verzamelen van persoonsgegevens. We weten allemaal dat deze niet op straat mogen belanden en dat we hier als organisatie verantwoord mee om moeten gaan. De AVG bepaalt op basis waarvan je als organisatie persoonsgegevens mag verzamelen. De belangrijkste hierin is toestemming van de gebruiker, maar ook vitale belangen, wettelijke verplichtingen of een overeenkomst kan betekenen dat je persoonsgegevens mag bewaren. Waar het om draait is dat je geen persoonsgegevens in een systeem hebt opgeslagen, zonder dat dit vastgelegd is. Heb je een contract met een bepaalde klant, dan staan de contactgegevens van deze klant vastgelegd in een overeenkomst. Het gaat hierbij om relevante gegevens zoals NAW en bijvoorbeeld zelden om het lievelingsrestaurant van je contactpersoon.

De voorbereiding

Mocht een organisatie wel willen weten wat iemands lievelingsrestaurant is, of andere bijzondere persoonsgegevens willen bewaren als ras, politieke voorkeur of strafrechtelijk verleden, dan dient er binnen de organisatie iemand als functionaris voor de gegevensbescherming (FG) te worden aangewezen. Deze rol is ook verplicht voor overheden en publieke organisaties en voor organisaties die als kernactiviteit individuen volgen (bijvoorbeeld een ziekenhuis). De salarisadministratie van een organisatie is ondersteunend aan de bedrijfsvoering en valt dus buiten de kernactiviteiten. De FG opereert onafhankelijk en dient actieve steun te krijgen uit het management. Daarnaast dient een FG voldoende tijd en ruimte te krijgen voor het uitoefenen van zijn taken en toegang te hebben tot alle verzamelde persoonsgegevens. Gaat jouw organisatie een nieuwe website lanceren waarop gebruikers kunnen registreren? Dan is het goed om vooraf, middels het Privacy By Design-principe, te voldoen aan de wetgeving. Alle bekende voorbeelden als het niet standaard aanvinken van het 'ja ik ga akkoord-vinkje' zijn hierbij van toepassing.

Zodra de wet van kracht is kan een organisatie worden verplicht een DPIA uit te voeren. Dit is een Data Protection Impact Assessment waarmee vooraf de privacyrisico’s van een bepaalde gegevensbewerking in kaart worden gebracht. Op dit moment is er nog geen duidelijk overzicht van wanneer een organisatie verplicht is een dergelijk onderzoek uit te voeren.

De techniek

Wanneer een organisatie meer dan 250 medewerkers telt, is deze verplicht een register bij te houden met alle verwerkingen van persoonsgegevens. Hierin staat opgenomen om welke persoonsgegevens het gaat en met welk doel ze verwerkt worden. Heeft je organisatie minder dan 250 medewerkers, dan geldt het bijhouden van een dergelijk register enkel in geval van bijzondere persoonsgegevens. Wel is elke organisatie verplicht om aan te tonen dat er wordt voldaan aan de AVG. Dit kan middels een Gegevensbeschermingsbeleid. Wat voor soort gegevens worden er verwerkt, waarom worden deze gegevens verwerkt, dat er niet meer gegevens worden verwerkt dan noodzakelijk en de belangrijkste: welke maatregelen zijn er genomen om deze gegevens te beschermen? Iedereen snapt dat het niet handig is een kopie te maken van het klantenbestand en deze op een USB-stick rond te laten slingeren. Toch ben je verantwoordelijk voor de awareness van jouw personeel. Hang op, klik weg, dat principe. Daarnaast speelt de techniek een belangrijke rol. 'Ik heb alles uitbesteed' is niet meer voldoende en je moet je bewust zijn van alle risico’s en dit ook aan kunnen tonen. Een beveiligde website, informatie geëncrypt over een internetverbinding mailen en een firewall die volledig up-to-date is zijn allemaal zaken waar je IT-dienstverlener je mee kan helpen. Praat erover, maak een plan en zorg dat alles is vastgelegd. Het zijn zaken die we in het geval van een BHV’er binnen de organisatie al heel normaal vinden. Privacy wordt dat ook. WWW.WINMAGPRO.NL

35


DE MEEST VLUCHTIGE VORMEN VAN

RANSOMWARE Met de recente verhalen over ransomware-aanvallen is het moeilijk om de verschillende soorten ransomware uit elkaar te houden. Hoewel elke variant uniek is, gebruiken ze over het algemeen dezelfde tactieken om misbruik te maken van gebruikers en hun data te gijzelen. Dit is een overzicht van de meest voorkomende ransomware-varianten.

CERBER: Cerber richt zich op Office 365-gebruikers en heeft miljoenen slachtoffers gemaakt met behulp van een uitgebriede phishing-campagne. Dit type malware gebruikt voornamelijk de groeiende vraag aan SaaS backupoplossingen naast on-premiseoplossingen.

CRYPTOLOCKER: Ransomware kwam voor het voetlicht met CryptoLocker in 2013. Het originele CryptoLocker-botnet werd opgerold in 2014, maar niet voordat hackers achter het botnet bijna 3 miljoen dollar wisten af te troggelen van gebruikers. Sindsdien is de CryptoLocker-benadering wijd gekopieerd door hackers, hoewel de huidige varianten niet direct afstammen van de originele ransomware.

36

WWW.WINMAGPRO.NL

LOCKY: Locky verspreidt zich via een email vermomt als factuur. Wanneer men de factuur opent, wordt men gevraagd om macro’s te activeren om het document te kunnen lezen. Met de activering van macro’s versleutelt Locky direct een grote hoeveelheid aan bestanden middels AES-encryptie.

CRYPTOWALL:

WANNACRY:

Na het oprollen van het oorspronkelijk CryptoLocker-botnet kreeg CryptoWall bekendheid. Het werd voor het eerst gesignaleerd in 2014 en verschillende varianten met diverse namen staken hun kop op waaronder CryptoBit, CryptoDefense, CryptoWall 2.0 en CryptoWall 3.0. Net als CryptoLocker wordt CryptoWall verspreid via spam of exploit kits.

WannaCry was een wijdverspreide ransomware-campagne die organisaties wereldwijd raakte. Het maakte slachtoffers onder meer dan 125.000 bedrijven in meer dan 150 landen en richte zich op Windowssystemen via een Microsoft exploit.


ZCRYPTOR: ZCryptor is een worm-achtige ransomware-variant die zichzelf vermenigvuldigt terwijl data wordt versleutelt en zich op externe drives nestelt op verspreidt te kunnen worden.

CRYSIS: Crysis ransomware versleutelt bestanden op gerepareerde-, verwijderbare- en netwerkopslag met een sterk algoritme waardoor ontsleuteling binnen een redelijke tijd bijzonder moeilijk is. Het wordt meestal verspreidt via email met attachments die een dubbele extensie hebben waardoor het een niet-uitvoerbaar bestand lijkt. Naast email doet de ransomware zich ook wel voor als een legitieme installer voor applicaties, komt het voor in spam en wordt het verspreidt via exploit kits.

NOTPETYA: NotPetya dankt zijn naam aan het feit dat deze eerst voor Petya ransomware werd aangezien in 2016. Echter, anders dan Petya is NotPetya ransomware gericht op het vernietigen van data.

PETYA:

TORRENTLOCKER: TorrentLocker wordt gedistribueerd door geografisch gerichte spammails. Naast het versleutelen van bestanden verzamelt de ransomware ook e-mailadressen vanuit het adresboek van slachtoffers om zichzelf te kunnen verspreiden.

Anders dan sommige andere typen ransomware versleutelt Petya volledige systemen. Het overschrijft de master boot records, waardoor het onmogelijk is voor het besturingssysteem om op te starten.

Hoewel het niet de bedoeling is gebruikers bang te maken voor ransomware, is het belangrijk om te weten hoe je je kunt beschermen tegen dergelijke aanvallen. Om op de hoogte te blijven van alle ontwikkelingen rondom ransomware-bedreigingen en best practices die je als organisatie kunt inzetten, ga naar www.datto.com/blog om je te abonneren op de blog van Datto. WWW.WINMAGPRO.NL

37


GDPR SPECIAL

Safe en sound

Jouw data zo veilig mogelijk de cloud in Je data safe en sound de cloud in. Heel ver weg zijn de tijden dat je je administratie in rijen dikke mappen moest opbergen en wanneer je een factuurtje van een jaar oud nodig had urenlang het archief indook. Toch kleven er flik wat risico's aan cloudopslag, dus slim opslaan blijft noodzaak. TEKST BART REMMERS

KEURMERK De keurmerken ZekerOnLine (Nederland), Label Cloud (Frankrijk) en Trusted Cloud (Duitsland) hebben eind 2016 een overeenkomst getekend voor samenwerking om MKB'ers in Europa zekerheid te geven over de kwaliteit en betrouwbaarheid van online diensten. De samenwerking werd getekend op de tweede Frans-Duitse conferentie over digitale economie in Berlijn. Het Europese Cloud-initiatief maakt deel uit van een pakket maatregelen voor de digitale single markt tussen de landen van Europa. Doelstelling is om Europa te helpen bij het nemen van een leidende rol in de datagedreven economie.

38

WWW.WINMAGPRO.NL

e cloud biedt meer voordelen dan je denkt. En al helemaal voor ondernemers die hun business van huis uit runnen. Of vanuit welke andere locatie ook. Het is flexibel, schaalbaar en het faciliteert samenwerking. Voor een business biedt de cloud veel voordelen. De kosten zijn veel lager dan wanneer je zelf serverruimte moet huren voor je opslag, je processen zijn eenvoudig op te schalen - altijd handig wanneer je bedrijf groeit - en onderhoud en updates worden automatisch uitgevoerd zonder dat je daar een IT'er voor hoeft te in te huren. E ​r zijn verschillende manieren waarop ondernemers die hun business van huis uit runnen de cloud nog beter kunnen gebruiken. Want wie wil nou niet efficiënter, productiever en georganiseerder werken en tegelijkertijd kosten besparen? I​ edereen heeft wel eens een paar uur werk in rook zien opgaan doordat de computer crashte en

er geen backups gemaakt waren. Het is dan ook een oud gebod voor iedereen die met een computer werkt: maak regelmatig backups. Gelukkig kan je je cloud zo configureren dat er om de zo veel tijd een backup gemaakt wordt terwijl je werkt. O ​ ok voor wie gebruik maakt van virtuele teams of met anderen op afstand samenwerkt, biedt de cloud uitgelezen functionaliteiten. Met de cloud is het delen van data en real time samenwerken kinderlijk eenvoudig. Zodra je van je data backups hebt gemaakt, kun je bestanden via een link delen of door alle teamleden toegang te geven tot bepaalde folders. Hierdoor is het niet meer nodig om grote bestanden te mailen, wat weer tijd en opslagruimte bespaart. Ook verbetert de kwaliteit van het werk omdat iedereen altijd met de laatste versie van een file werkt.

Eenvoudige toegang tot je belangrijkste files

​ teeds meer ondernemingen S maken gebruik van video's, infographics en

audiobestanden om hun producten en diensten aan de man te brengen. Dat betekent dat bestanden steeds groter worden en lastiger zijn om op te slaan. Opslag van grote bestanden is vooral onhandig wanneer je regelmatig toegang tot die bestanden moet hebben en geen zin hebt om er een aparte drive op na te moeten houden. Met de cloud hoeft dat niet meer - ruimte zat voor eenvoudig toegankelijke opslag en archivering. ​ e cloud stelt jou in staat D om flink in de kosten te snijden en tegelijkertijd je businessprocessen strak te stroomlijnen en efficiënter en flexibel in te richten. Het belangrijkste evenwel is dat wanneer je besluit om toch een kantoorruimte te gaan huren of om je team verder uit te breiden, je je infrastructuur niet helemaal hoeft om te


'Er zijn tegenwoordig erg veel goedkope (maar minder veilige) opties voorhanden'

Drie tips voor veilig opslaan

Het is erg belangrijk om je data met zorg te behandelen en op te slaan. We geven je nog een aantal tips. HEB EEN STRATEGIE Je werkt dus met data in je bedrijf, dat is iets wat zeker is. Als eerste is het goed jezelf daarvan te vergewissen. Data is belangrijk en kan privacygevoelig zijn, het is dus van groot belang dat je nadenkt over hoe je deze data wilt gebruiken. Bedenk een strategie, zo precies mogelijk afgestemd op de aard van je bedrijf. Maar hoe klein je bedrijf ook is, neem je data altijd serieus!

gooien. Die verkast namelijk gewoon met je mee.

Versleutelen is de sleutel

Wil je er (nog) zekerder van zijn dat jouw data veilig in de cloud staat? Dat is het versleutelen van die gegevens erg belangrijk. Gelukkig is er legio software dat jou helpt bij het versleutelen. Een van de online aanbieders is BackupHive. Het programma maakt een backup van de bestanden en mappen die jij kiest. BackupHive maakt iedere dag automatisch backups van je bestanden waardoor je er niet constant aan hoeft te denken (al is het niet verstandig om er weinig tot niet aan te denken, zelfs versleutelsoftware is niet voor de volle honderd procent waterdicht). De bestanden worden op servers in Nederland bewaard en zijn alleen voor de gebruiker toegankelijk, waar hij op dat moment ook is. 'Installeer een goede virusscanner en zorg dat deze minimaal 1 keer per dag automatisch bijwerkt', luidt een advies van de Consumentenbond wanneer we het hebben over een veilige opslag

van je data in de cloud. 'Houd alle software up-to-date, waaronder besturingssysteem, internetbrowser, browseraanvullingen en populaire programma's, zoals Adobe Reader. Met ScanCircle zie je snel hoe je pc ervoor staat. Voor software als Adobe Flash of Javascript is uitschakelen of beperkt instellen aan te raden', adviseert de bond. Verder benadrukt de Consumentenbond om niet op bijlagen en links in e-mails te klikken, tenzij je zeker weet dat het vertrouwd is. 'Twijfel je, kijk dan op Fraudehelpdesk op de Opgelicht-website of de e-mail daar voorkomt. Zo niet, wacht dan een dag en controleer nogmaals.' Verder waarschuwt de bond dat zogenaamde cryptoware vaak een uitvoerbaar .exe-bestand vermomd als ander soort bestand is, denk aan een PDF-document. 'Schakel daarom 'bestandsextensies weergeven' in. Er is ook software die zich speciaal richt op het voorkomen en stoppen van ransomware-versleuteling.'

WEET WELKE DATA JE WILT VERZAMELEN Om goed te weten hoe om te gaan met je verzamelde data, moet je in kaart brengen welke data je allemaal verzamelt. Ga dus na welke data jij van mensen ontvangt, bijvoorbeeld adressen, bedrijfsgegevens, e-mailverkeer en post. Zorg ervoor dat je iedere datastroom kent en in de gaten houdt. Zo kun je bijvoorbeeld privacygevoelige e-mails archiveren, of adressen en telefoonnummers in een met een wachtwoord beveiligde omgeving opslaan. Kijk ook kritisch naar welke data je ontvangt. Zijn er bijvoorbeeld gegevens die jij wel van klanten ontvangt via formulieren, maar waar je niets mee doet? Pas die formulieren dan aan, of bekijk of je toch iets met deze data kunt ĂŠn sla de data vervolgens goed en veilig op. WEET WAAR EN HOE JE DATA OPSLAAT Het veilig opslaan van data is dus van groot belang. Als je data van anderen ontvangt, sla deze op op een veilige plaats. Denk bijvoorbeeld aan een cloudservice, zoals Google Drive. Houd natuurlijk in de gaten dat je met een betrouwbare partij in zee gaat, er zijn tegenwoordig erg veel goedkope (maar minder veilige) opties voorhanden. Kies dus een erkende ĂŠn betrouwbare partij. Ben je er ook van bewust dat veilige (cloud)opslag geld kan kosten als je aanzienlijke hoeveelheden data op wilt slaan.

WWW.WINMAGPRO.NL

39


GDPR SPECIAL

GDPR gaat niet alleen over gegevensbeveiliging

Je netwerk telt mee In de aanloop naar 25 mei 2018, D-Day voor wat betreft de handhaving van de GDPR, gaat het vooral over het beschermen van (persoons) gegevens. Niet vreemd, aangezien GDPR staat voor General Data Protection Regulation. Maar met versleuteling en afscherming van gegevens ben je er niet. Toch is er nauwelijks aandacht voor de minstens zo belangrijke aanvullende maatregel: netwerkbeveiliging. TEKST REDACTIE

e meeste bedrijven, gemeenten, ziekenhuizen, scholen en andere instellingen beschikken over veel persoonsgegevens. Uiteraard is het voor compliancy met GDPR van kritiek belang dat wordt gezorgd dat deze gegevensdatabases proportioneel zijn (niet meer persoonsgegevens verzamelen dan strikt noodzakelijk is), uitsluitend toegankelijk zijn voor de medewerkers die de informatie echt nodig hebben en dat de gegevens goed versleuteld zijn.

Niet perfect

Maar het is een illusie om te denken dat met het regelen van die facetten een perfecte situatie is gecreëerd. Er zijn namelijk altijd rogues. Vooral wanneer bepaalde medewerkers opeens geen toegang meer hebben tot de database, terwijl zij van mening zijn dat zij die zo nu en dan wel nodig hebben. Of medewerkers die niet graag werken met het nieuwe CRM-systeem, omdat ze nu eenmaal al jarenlang lekker werken met een Excelsheet. Medewerkers die gedachteloos een kopie van een deel van de database maken en voor de duur van een bepaald project ‘even’ op hun eigen pc opslaan. Dit zijn slechts enkele voorbeelden van zeer denkbare scenario’s waarin veilig geëncrypteerde databases geen soelaas bieden. Scenario’s waarbij gevoelige gegevens onversleuteld binnen het netwerk rondfladderen, als gewillige slachtoffers in geval van een hack. Om deze reden is het van essentieel belang dat organisaties hun netwerk beschermen tegen malware en hackers. Om dit te bewerkstelligen, moeten om te beginnen patches tijdig worden geïnstalleerd. Door reverse engineering kunnen malwareschrijvers gemakkelijk code maken die dat beveiligingslek uitbuit, dat door de net uitgebrachte patch wordt afgeschermd.

40

WWW.WINMAGPRO.NL

Meestal zitten er slechts enkele dagen tussen het uitkomen van een patch en de eerste malware die het daaraan gerelateerde lek uitbuit.

Strategie

Voor bedrijven is het dan ook nodig om een duurzame patchmanagementstrategie te ontwikkelen. Er zijn programma’s die patches aanbieden die extra gecontroleerd zijn (zoals G DATA PatchManagement). De kans om een patch te installeren die met andere software conflicteert, is dan veel kleiner. Bovendien inventariseert een dergelijke oplossing exact welke hardware en software er op het netwerk draaien en geeft zij altijd een actueel overzicht van beschikbare patches die moeten worden geïnstalleerd. Een goed gepatcht systeem is veel minder kwetsbaar dan een ongepatcht systeem. Maar helemaal veilig is het niet, want er zijn altijd ook nog zero-days: beveiligingslekken waarvoor nog geen patch beschikbaar is. Om netwerken daartegen te beschermen, is het installeren, het op de juiste wijze configureren en het up-to-date houden van een goede netwerkbeveiliging essentieel.

Proactieve detectiemethoden

Het is van belang dat de beveiligingsoplossing niet alleen vertrouwt op reactieve detectie van malware op basis van virushandtekeningen. Betrouwbare proactieve detectiemethoden zijn, in een periode waarin elke seconde 4 nieuwe schadelijke codes de wereld in worden gestuurd, onmisbaar voor een solide bescherming tegen malware. Daarnaast moet ook een firewall worden geïnstalleerd om aanvallers buiten de poorten te houden. Wie naast gegevensbeveiliging ook aan netwerkbeveiliging doet, is goed op weg naar 25 mei.

G DATA Veel ondernemers maken zich vooral zorgen over de GDPR en de nieuwe regels waar ze aan moeten voldoen. Maar je zou het ook kunnen zien als een kans om opnieuw naar je processen te kijken en verbeteringen door te voeren. Dat is ook precies de bedoeling van de nieuwe regels: zorgen dat bedrijven bewuster omgaan met hun data en er meer controle over krijgen. Dat is niet alleen goed voor de particulieren wiens data wordt verzameld, maar ook voor bedrijven zelf. Soepele en heldere processen en verbeterde veiligheid komt iedereen ten goede.

WINMAG GDPR Special  

Alles wat je moet weten rondom GDPR

WINMAG GDPR Special  

Alles wat je moet weten rondom GDPR