Nog steeds veel datalekken in eerste kwartaal 2017

Frank Toxopeus Privacy Nieuws

Na het eerste kwartaal van 2017 heeft de Autoriteit Persoonsgegevens (AP) de balans opgemaakt en een rapport gepubliceerd. Er zijn 2.317 meldingen ingediend, waarvan het in 45% van de gevallen gaat om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd. Dit is bijvoorbeeld een brief met gevoelige gegevens die bij de verkeerde persoon terecht is gekomen en is geopend.

De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (27%), financiële dienstverlening (21%) en openbaar bestuur (20%).

Het volledige rapport is hier (PDF) te downloaden.

Ook hebben we berichten omtrent datalekken even verzameld:

Nog veel datalekken in ziekenhuizen

Via: NOS

De ziekenhuizen hebben de beveiliging van medische gegevens van patiënten niet op orde. Ook specialistenpraktijken kampen met dat euvel. De Autoriteit Persoonsgegevens laat weten dat in het eerste kwartaal van dit jaar al 161 keer melding is gedaan van een datalek in een ziekenhuis of kliniek.

Daarbij gaat het om verloren usb-sticks, gestolen laptops, foutief geadresseerde medische informatie of burgerservicenummers die in verkeerde handen terechtkomen.

Lees meer…

Meer meldingen van datalekken door gemeenten

Via: NOS

Het aantal meldingen van datalekken door gemeenten is fors toegenomen, dat blijkt uit nieuwe cijfers van de Autoriteit Persoonsgegevens. Het gaat om privacygevoelige informatie van burgers.

Voor het eerste kwartaal van dit jaar gaat het om 331 incidenten, tegen 533 in het gehele jaar 2016. Bij ruim veertig procent van die gevallen gaat het om persoonsgegevens die zijn verstuurd of afgegeven aan de verkeerde ontvanger.

Lees meer…

Wilt u weten hoe uw gegevens van uw organisatie beter beschermd kunnen worden? Neem dan contact met ons op.


Klik hier om contact met ons op te nemen, en samen analyseren wij hoe uw data beter beschermd kan worden.

1 jaar meldplicht datalekken

Frank Toxopeus Privacy Nieuws

Op 1 januari 2016 is de meldplicht datalekken ingegaan. Organisaties die een ernstig datalek hebben, moeten dit sindsdien melden bij de Autoriteit Persoonsgegevens (AP) en soms ook aan de mensen van wie de gelekte gegevens zijn. In bijna een jaar tijd (tot 15 december 2016) heeft de Autoriteit Persoonsgegevens bijna 5500 meldingen ontvangen van datalekken. De Autoriteit Persoonsgegevens is inmiddels met tientallen onderzoeken bezig naar aanleiding van datalekmeldingen.

Sectoren

De meeste meldingen zijn afkomstig uit de sectoren gezondheid & welzijn (o.a. zorgverzekeraars, ziekenhuizen), financiële dienstverlening (o.a. banken, verzekeraars) en openbaar bestuur (o.a. gemeenten).

Soorten datalekken

Er zijn veel datalekken waarbij gegevens per ongeluk bij iemand anders terecht komen dan de bedoeling is. Bijvoorbeeld door een verkeerd bezorgde brief, een e-mail aan de verkeerde ontvanger of als een klant in een klantportaal de gegevens van iemand anders ziet. Ook komt het vaak voor dat bijvoorbeeld een USB-stick met persoonsgegevens kwijtraakt of een laptop wordt gestolen.

Acties AP

De AP heeft ruim 4.000 binnengekomen meldingen nader bekeken en soms aanvullende vragen gesteld. Ruim 100 organisaties kregen naar aanleiding hiervan een waarschuwing van de AP. In enkele andere tientallen gevallen doet de AP een diepgaander onderzoek. Deze onderzoeken lopen nog.

Bron: Autoriteit Persoonsgegevens

Factsheet Meldplicht Datalekken 2016

Meer informatie

Meldplicht datalekken

SecureLink Nederland: informatiebeveiligingsniveau over de breedte onvoldoende

Frank Toxopeus Privacy Nieuws

Via: Infosecurity Magazine

U weet inmiddels wel dat iedere organisatie getroffen wordt door (doelgerichte) cyberattacks en u bent op de hoogte van de maatregelen die getroffen moeten worden. Uiteraard is dat ook bekend op boardniveau binnen uw organisatie. Maar toch is het informatiebeveiligingsniveau over de breedte onvoldoende. Ik doel onder andere op security awareness, het securitybeleid, network access control, identity en access management, managed security services, een crisisplan, cyberverzekering, vulnerability management, data governance, central logging, controle op shadow-IT, et cetera.

De rapporten liegen er niet om en schrijven dat ransomware een gemeengoed en nog geavanceerder is geworden (bron: CSBN2016). Ook vanuit SecureLink zijn wij het afgelopen jaar meermalen betrokken geweest bij getroffen organisaties en geconfronteerd met dit feit. Ondanks de ‘slechts’ duizenden meldingen die gedaan zijn bij de autoriteit persoonsgegevens, is de waarheid dat door zowel kwaadaardige software, maar ook door menselijke fouten het nog vaak mis gaat bij organisaties.

Peter Mesker

SecureLink is als organisatie fors uitgebreid het afgelopen jaar en wij hebben met name op het gebied van services heel sterk ingezet om onze klanten met de juiste groep cybersecurity professionals, 7/24 te kunnen bedienen. Met de verder doorontwikkelde security maturity assessment doen wij een uitgebreid assessment om de preventieve, detectieve en responsieve capaciteiten van een organisatie vast te stellen. Niet alleen vanuit de techniek, maar ook op het gebied van processen en mensen. Het resultaat van de security maturity assessment is een presentatie en een verslaglegging met daarin bevindingen én strategische verbeterpunten. Het doel is om te komen tot een hoger maturiteitsniveau op een efficiënte en effectieve manier.

Naast de security maturity review is het uitvoeren van een gericht assessment cruciaal om de juiste businessbesluiten te kunnen nemen. Dit assessment kan zowel eenmalig als repeterend zijn en betreft assessments zoals een phishing campaign, healthcheck, malware detectietest, penetratietest, vulnerability assessment en perimeter patrol.
Platform

Met de keuze voor de beste oplossingen zijn bij veel organisaties silo’s ontstaan van oplossingen, welke best in class, maar onafhankelijk van elkaar functioneren. Gevolg hiervan is dat feitelijk een groter aanvalsoppervlak is ontstaan. Daarnaast investeren veel organisaties nog primair in preventieve oplossingen, is de detectie bij toeval en hanteren een ad hoc aanpak in geval van incident response. Vorig jaar hebben wij reeds de adaptive security architecture principes onder de aandacht gebracht. De overstap naar een ‘continious response’ mindset en de investering in alle fasen van de security lifecycle, met een keuze voor vendors die geïntegreerde prevention, dection, response en prediction oplossingen bieden, is cruciaal.

Bij voorkeur spreken wij over een ‘platform’ als het gaat om een geïntegreerde architectuur. Er is geen duidelijke definitie vastgesteld, maar wat ons betreft moet het platform bestaan uit componenten om succesvol cyberattacks tegen te gaan en optimale beschikbaarheid, capaciteit en flexibiliteit te bieden. Dit stelt eisen zoals:

volledige visibility;
goede integratie;
automation;
schaalbaar en flexibel;
threat intelligence geïntegreerd.

Organisaties dienen innovatie te versnellen door middel van IT om zich te kunnen onderscheiden in hun tak van business. IT is niet langer ondersteunend, maar inmiddels een buisness enabler. De beschikbaarheid van een effectief platform is daarbij van cruciaal belang.

Twaalf topics die uw focus moeten hebben in 2017:

Assessment services (security awareness, pentesting, vulnerability assessment en security maturity review, perimeter patrol);
Slimme inzet van business relevante threat intelligence;
Data Governance (inzicht, grip en controle over data-, bestanden en user rechten);
Security analysis en incident response services;
Actionable network intelligence (control en security from the core);
Software defined secure netwerken (wired-less architecturen);
Secure datacenter solutions die application aware en security optimized zijn met hoge mate van automation en visibility;
Centrale identity en access management voorziening in een public/private applicatielandschap;
Inzet van geavanceerde endpoint securityoplossingen en verdere stappen op gebied van endpoint detection & response;
Inzet van location based services en migratie van draadloze netwerken naar 802.11ac wave II;
Beveiliging en controle van IoT en shadow-IT en SAAS-applicaties;
Toepassen van securityoplossingen in public cloud omgevingen (zoals bijvoorbeeld email protectie, web application firewall, security gateway).

Het kunnen detecteren en blokkeren van cyberthreats in de infrastructuur, maar ook op de endpoint is noodzakelijk. Dit betekent onder andere de inzet van access control, vulnerability management, advanced endpoint protectie en security analysis services. Binnen de security analysis service wordt de relevant logdata van een diversiteit aan logbronnen centraal verzameld, genormaliseerd en op basis van use-cases worden alarmen getriggerd. Alle data kan realtime geanalyseerd worden om meer inzicht en controle te krijgen met als doel het verhogen van het securityniveau. Onderliggende intelligente tools bieden de mogelijkheid om alle machinedata te verwerken, eenvoudig te doorzoeken en overzichtelijk te presenteren. Maar zeker zo belangrijk zijn de ervaren CDC (Cyber Defense Center) analisten, de processen rond de dienstverlening én de intelligentie welke ingebracht wordt.
Safely enabling business

Een sterk expertise team, een hooggewaardeerd advanced Cyber Defense Center en gepassioneerde medewerkers helpen u de adaptive security architectuur te realiseren, continueren en beheren met als resultaat dat IT de enabler is voor uw business. Onze toegevoegde waarde is samen te vatten in drie punten: knowledge, confidence, ability to execute.

Peter Mesker, CTO SecureLink Nederland

Salarisgegevens van 2000 Philips medewerkers op straat

Bitsiel Privacy Nieuws

De informatie van zeker 2000 medewerkers en oud-medewerkers van Philips heeft enkele dagen op internet gestaan. Het gaat onder meer om adressen, burgerservicenummers en salarisgegevens van mensen die in 2010 voor Philips werkten. Een deel van hen werkt inmiddels elders.

Een woordvoerder van Philips bevestigt het lek. De data stonden op Pastebin.com, een site die vaker wordt gebruikt om gelekte data te verspreiden. Philips denkt dat het lek niet bij het bedrijf zelf vandaan komt, maar van een ander bedrijf. Wat voor bedrijf het is, wil de woordvoerder niet zeggen. Dat wordt nog onderzocht. Of er verder nog iets met de data is gedaan is niet bekend.

Het lek is gemeld bij de Autoriteit Persoonsgegevens. Philips heeft alle betrokkenen geïnformeerd. De data zijn inmiddels van de site gehaald.

Via: nos.nl/artikel/2142618-salarisgegevens-van-2000-philips-medewerkers-op-straat.html

http://www.telegraaf.nl/dft/nieuws_dft/27005602/__Gegevens_medewerkers_Philips_op_straat__.html?utm_source=mail&utm_medium=email&utm_campaign=email

Rijk constateert 557 integriteitsschendingen

Bitsiel Privacy Nieuws

Het afgelopen jaar zijn er 557 integriteitsschendingen geconstateerd bij het Rijk. Er was daarnaast 884 keer sprake van een vermoedelijke schending. De cijfers staan in de Jaarrapportage Bedrijfsvoering Rijk 2015. Opvallend is dat het aantal ongewenste omgangsvormen, zoals pesten, seksuele intimidatie en discriminatie flink is toegenomen ten opzichte van eerdere jaren. Het aantal disciplinaire sancties is daarnaast sterk gedaald.

Vergelijking met eerdere jaren

Het aantal vermoedelijke en geconstateerde integriteitsschendingen komt in grote lijnen overeen met de aantallen van eerdere jaren, terwijl het aantal disciplinaire maatregelen wel fors is afgenomen. De minister voor Wonen en Rijksdienst heeft na aanleiding van de rapportage op 1 mei aan de tweede Kamer laten dat het integriteitsmanagement op orde is. Zoals elk jaar zijn ook in 2015 alle meldingen van integriteitsschendingen geregistreerd. Daarbij geldt een onderverdeling in negen typen. Het aantal financiële schendingen is met 59 in 2014 naar 34 in 2015 gedaald. Het oneigenlijk gebruik van dienstmiddelen en overschrijding van interne regels is eveneens een stuk lager geworden: van 246 naar 186:

Disciplinaire maatregelen gedaald

Misbruik van geweldsbevoegdheden, misbruik van bevoegdheden, het lekken en misbruiken van informatie, belangenverstrengelingen en misdragingen in de privésfeer zijn nagenoeg gelijk gebleven. (zie bijlage). Het aantal disciplinaire sancties nam wel sterk af. Er zijn fors minder mensen ontslagen om disciplinaire redenen dan voorgaande jaren. Tussen 2011 en 2014 was dit aantal altijd hoger dan 110. Dit jaar zijn dat er slechts 70:

Kamervragen over meeglurende ambtenaren
Minister Plasterk verwees eerder deze week in antwoord op Kamervragen van de VVD over meeglurende ambtenaren naar de jaarrapportage. Die partij vroeg zich af hoeveel gevallen er zijn van overheidspersoneel dat betrapt is op ongeoorloofd bekijken of doorspelen van privégegevens. In de jaarrapportage van 2015 zijn 34 schendingen (lekken en misbruiken van informatie) geconstateerd.

Nieuwe maatregelen
Het Rijk heeft onlangs een aantal maatregelen genomen op het gebied van integriteit. Zo werd in 2015 de Gedragscode Integriteit Rijk geactualiseerd, daarin staat een rijksbrede minimum aan voorschriften. De ministeries en rijksdiensten nemen de code over of hanteren deze als basismodel voor hun eigen code. Daarnaast is er een Interdepartementaal Platform voor Integriteitsmanagement (IPIM) ingericht. Daarmee moet er garantie zijn voor ‘hoogwaardige en samenhangende advisering binnen de sector Rijk.’

Via: http://www.binnenlandsbestuur.nl

Nederland aan vooravond van grote datalekken

Bitsiel Privacy Nieuws

Onlangs kwam de gemeente Almelo met het bericht dat er 20gb aan data was gestolen. Tijdens een routine controle werd ontdekt dat er vanuit een Citrix flex werkplek omgeving een scriptje had gedraaid dat een grote hoeveelheid, waarschijnlijk persoonsgegevens bevattend, data werd geüpload naar een ip adres. Tijdens het onderzoek naar het datalek is de malware niet gevonden.