45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Grootste medische lek ooit: gegevens 300.000 mensen op straat

Door een beveiligingslek in het computerprogramma Humannet van IT-bedrijf VCD zijn medische en persoonlijke gegevens van meer dan 300.000 werknemers maandenlang toegankelijk geweest voor onbevoegden. Het zou gaan om het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis.

In Humannet staan onder meer medische dossiers van bedrijfsartsen. De gegevens van werknemers van honderden bedrijven en arbodiensten staan in het systeem. Onder de bedrijven zijn FC Twente, de gemeente Deventer, Praxis, Bijenkorf en V&D. Bart Jacobs van de Radboud Universiteit Nijmegen, expert op het gebied van privacy en computerbeveiliging, spreekt van 'een nachtmerriescenario'. 'Dat dit zo op straat ligt, vind ik werkelijk schokkend. Je kunt hier mensen mee chanteren'.

Alles bij de bron; Trouw


 

Het beveiligen van data is complexer dan je denkt; Hoe ga jij om met privacy?

Analysbureau Forrester gaf onlangs een rapport uit met de eigenschappen van verschillende gebruikers en de factoren die bepalen hoe veel - of hoe weinig - ze online delen. "We horen vaak dat millennials niets om privacy geven met als voorbeeld wat ze delen op social media. Maar dat gaat voorbij aan het feit dat juist millennials hun online identiteit veel strakker beheren." 

"Ze gebruiken privacy-instellingen, berichtendiensten en browser-plugins om in te bepalen wie wat krijgt te zien. Zo gedragen de meesten van ons zich in de fysieke wereld: hoe we informatie verstrekken verschilt in de regel sterk van welke relatie we hebben." Het onderzoeksbureau beschrijft vier categorieën;

  • 1. Data-savvy digital natives
  • 2. Roekeloze allesdelers
  • 3. Verloren gebruikers
  • 4. Sceptische digital natives

Alles bij de bron; CompWorld


 

Oud-topman Sony: Bewaar geen gevoelige data op servers (duh)

In 2014 werd Sony Pictures Entertainment door een omvangrijke hack getroffen waarbij aanvallers grote hoeveelheden data wisten te stelen en duizenden computers met malware infecteerden. Het incident had het einde van het bedrijf kunnen beteken, zo heeft toenmalig directeur Michael Lynton tijdens een evenement voor ceo's laten weten. 

Lynton stapte begin dit jaar als topman bij Sony op, maar heeft van het incident verschillende zaken geleerd. "Mijn e-mail wordt elke tien dagen op een harde schijf opgeslagen. Dat is voor mij de oplossing. Stop het in een la en doe de la op slot." Ook vertelde Lynton tijdens het evenement dat bedrijven geen gevoelige informatie, zoals medische dossiers en social security nummers, op hun servers moeten bewaren die mogelijk kunnen worden gehackt, zo meldt CNN.

Alles bij de bron; Security


 

Apple bewaart verwijderde iCloud-notities op zijn servers

Beveiligingsonderzoekers hebben ontdekt dat notities die van een iCloud-account worden verwijderd, nog op de servers van Apple blijven bestaan. Het is niet de eerste keer dat het lukt om verwijderde content alsnog te achterhalen op de servers van Apple. Normaal gesproken moeten verwijderde iCloud-notities binnen dertig dagen van de servers van Apple worden verwijderd, maar Elcomsoft ontdekte dat dit niet altijd het geval is.

Door gebruik te maken van een softwaretool die door Elcomsoft zelf is ontwikkeld bleken veel met iCloud gesynchroniseerde notities terug te halen zijn, ondanks dat deze binnen dertig dagen verwijderd hadden moeten worden. De oudste, verwijderde notities die het Russische beveiligingsbedrijf nog kon vinden, kwamen uit 2015.

Het is niet de eerste keer dat Apple wordt geconfronteerd met verwijderde content die gesynchroniseerd is met iCloud, en die later toch nog terug is te vinden. Na iedere ontdekking zorgde Apple er telkens voor dat de problemen met het definitief verwijderen van de content werden verholpen. Dat er telkens verwijderde content op de servers van Apple blijft opduiken, zorgt er wel voor dat er vragen blijven bestaan over welke data nog meer ongevraagd op de servers staat, aldus Elcomsoft.

Alles bij de bron; Tweakers


 

Versleuteling van DigiD-gegevens voldoet niet aan eisen

DigiD-gegevens worden gedeeltelijk versleuteld opgeslagen, maar de gebruikte encryptie voldoet niet aan de gestelde eisen, zo blijkt uit onderzoek (pdf) van de Algemene Rekenkamer naar het ministerie van Binnenlandse Zaken. Het ministerie heeft vorig jaar verschillende acties ondernomen om deze beveiligingsrisico's weg te nemen. Iets dat in mei vorig jaar door middel van een onafhankelijke audit is bevestigd.

De Rekenkamer meldt nu dat DigiD-gegevens gedeeltelijk worden versleuteld, maar dat de gebruikte encryptie niet volledig voldoet aan de gestelde eisen van het Tijdelijk besluit nummergebruik overheidstoegangsvoorziening uit 2004. "Omdat op andere manieren veiligheidsmaatregelen zijn genomen die het risico van misbruik van gegevens tot een gering risico beperken, heeft het ministerie in oktober 2016 het besluit genomen het restrisico te accepteren", aldus de Rekenkamer.

Verder vraagt de Rekenkamer ook aandacht voor het gebruik van DigiD. Van de ongeveer 250 miljoen maal dat gebruik wordt gemaakt van DigiD, is dat in 90 procent van de gevallen met een eenvoudig wachtwoord én zonder sms (tweefactorauthenticatie). "In veel gevallen is dit lage betrouwbaarheidsniveau niet conform de regels, bijvoorbeeld bij het raadplegen van fiscale of donorgegevens", schrijft de Rekenkamer. 

Allesbij de bron; Security


 

Privacy leerlingen groeit scholen boven het hoofd

Scholen zijn zich te weinig bewust van de risico’s op het gebied van internetbeveiliging, terwijl steeds meer gegevens over leerlingen digitaal worden opgeslagen. Het is onterecht om de verantwoordelijkheid voor die beveiliging volledig bij scholen te leggen, schrijft de Onderwijsraad in een rapport dat vorige week verscheen. De overheid zou het onderwijs daarin meer moeten ondersteunen.

In het eerste kwartaal van dit jaar meldde zich zeventig keer een onderwijsinstelling bij de Autoriteit Persoonsgegevens over data die mogelijk in verkeerde handen zijn gevallen. Dat kan gaan over zowel een verkeerd gestuurde e-mail met privégegevens, of aan het verlies van grote hoeveelheden data. Volgens de Onderwijsraad neemt het risico op dergelijke incidenten toe.

Bas Verstraten herkent dat. Hij zit nu zo’n vier jaar in de MR van de Martenaskoalle, een openbare basisschool in het Friese Bitgummole met zo’n honderd leerlingen. Aandacht voor privacy en ICT-beveiliging is er sporadisch. “Toen er bij ons tabletonderwijs werd ingevoerd, las ik min of meer bij toeval dat de leverancier op de vingers was getikt door de Autoriteit Persoonsgegevens. Toen ben ik vragen gaan stellen. En uiteindelijk is er een duidelijke overeenkomst gesloten over wat er wel en niet mag gebeuren met de data.”

Maar de meeste ouders hebben geen idee wat de school allemaal voor informatie over hun kinderen opslaat. Laat staan dat ze zich afvragen hoe het met de beveiliging van die data geregeld is, zegt belangenorganisatie Ouders & Onderwijs op basis van een enquête onder duizend ouders. Wel krijgt Ouders & Onderwijs steeds meer vragen over de privacy van leerlingen. “Vooral als er problemen zijn met het kind, lijken ouders zich af te vragen hoe het eigenlijk is geregeld op school”, aldus een woordvoerder. 

Alles bij de bron; Trouw


 

Verzekeraar stuurt al je persoonlijke gegevens via e-mail

Nationale Nederlanden vraagt zijn verzekerden om persoonlijke gegevens via e-mail te bevestigen. De verzekeraar stuurt een mailtje met daarin NAW-gegevens, BSN-nummers, bankrekeningnummers en polisnummers. 'In een tijd als deze met het gevaar van identiteitsdiefstal een onbegrijpelijke situatie' mailt een verontruste consument. 

Onze consument vroeg aan een bank om een offerte op te maken voor een bankspaarproduct. Nationale Nederlanden stuurt hem een formulier voor zijn persoonlijke gegevens. Hij vult het in en stuurt het per post terug. De verzekeraar bevestigt per mail vervolgens de gegevens van hun klant. Alle persoonlijke gegevens staan in de mail: zijn naam, die van zijn vrouw, geboortedatum, naam van de ouders, geboorteplaats, NAW-gegevens, BSN-nummers en bankrekeningnummers.

'Nationale Nederlanden heeft geen flauw idee hoe ze met dit soort gegevens moeten omgaan', zegt onderzoeksjournalist Brenno de Winter. Als je computer gehackt wordt of de mail wordt door criminelen onderschept, dan liggen je gegevens op straat. 

Bedrijven en overheidsinstellingen kunnen op diverse manieren communiceren met hun klanten en burgers.

Niveau 1: versturen via gewone e-mail. Dit is meestal geen goed idee, want er is geen versleuteling en deze manier van communiceren is makkelijk te hacken.

Niveau 2: communiceer via de website. Als de website versleuteld is, is dat nog veiliger. Bedrijven kunnen ook een veilige eigen omgeving maken waar mensen op moeten inloggen. Dat beperkt de risico's.

Niveau 3: maak gebruik van een dubbele verificatie zoals bij DigiD. Daar kan je het inlogproces beter beveiligen door middel van een smsje met een code.

De Winter zegt dat je altijd een klacht in moet dienen bij het bedrijf of de overheidsinstelling als je van mening bent dat ze onveilig met persoonsgegevens omgaan. 'In de praktijk zal dat als individu niet zoveel helpen, maar als iedereen het doet gaat er wel iets veranderen.'

Alles bij de bron; Radar