20 juni 2016 | Tekst: Arno Been | www.movemens.nl
 

Wat kunnen we doen tegen digitale bedreigingen?


Zeker met de recente aanslagen in het achterhoofd heeft het begrip ‘veiligheid’ een extra zware lading gekregen. We kijken er al niet meer van op dat bij de ingang van voetbalstadions detectiepoortjes staan en dat er zware jongens op festivals rondlopen met het woord ‘Security’ op de rug. Rondom staatshoofden lopen men-in-black met zonnebrillen en oortjes die ernstig in het rond kijken, maar ook Kamerleden, popsterren en zelfs burgemeester krijgen tegenwoordig extra bescherming. De reden? Om zo goed mogelijk te beschermen wat we zo waardevol vinden: ons leven én ons bezit.


Maar hoe beschermen we ons ‘digitale bezit’? De gegevens die van ons zijn zoals onze privézaken, informatie met betrekking tot bankgegevens, gezondheid en ID, maar ook gegevens van anderen die wij beheren. Dan kun je denken aan de databestanden met patiënt- of klantgegevens die wij beheren. De veiligheid en vooral beveiliging van dit soort gegevens is uiteraard van groot belang. Waar moet je voor uitkijken en wat kun je zelf doen om de risico’s te minimaliseren?
 

Het grootste gevaar
is de gebruiker zelf

 

Bewustwording
De eerste stap naar een optimale veiligheid is de bewustwording van de gevaren die er zijn. Hoe kunnen we vriend van vijand onderscheiden in de digitale wereld? Welke potige security medewerkers staan er eigenlijk naast ons te kijken of alles veilig is? En waar moeten zij eigenlijk naar kijken? Natuurlijk denken we eerst aan de omgeving: schuilt daar gevaar? Het grootste gevaar is echter de gebruiker zelf. Welke activiteiten heeft hij gepland? Wat gaat hij doen, waar gaat hij heen, houdt hij zich aan de agenda? Hoe goed de beveiliging ook is, de gebruiker zelf vormt het grootste gevaar en is hiermee dan ook de zwakste schakel in de totale security.
Een goed voorbeeld hiervan is mij onlangs zelf overkomen en zal menigeen bekend voorkomen. Iedere ochtend bekijk als eerste mijn e-mails en print alle binnengekomen facturen van leveranciers uit. Zo had ik ook een e-mail van de KPN, niet ongewoon want onze mobiele telefoons hebben een abonnement van KPN. Op hetzelfde moment komt een collega binnen om me goedemorgen te wensen en terwijl ik me omdraai, klik ik op de link ‘klik hier voor de factuur’. Op het moment dat ik weer op mijn scherm kijk, zie ik dat ik net naast de link heb geklikt en ben opeens weer alert. Waarom moet ik klikken om een factuur op te halen? Onmiddellijk gaan alle alarmbellen af en bekijk ik de e-mail nog eens goed. Ziet er echt uit. Logo van de KPN, juiste adresgegevens, maar toch. Wel een erg simpele factuur. Zonder erop te klikken kijk ik waar de link naartoe verwijst: een vage website die niets met een KPN factuur te maken heeft. Aan wie was de mail eigenlijk verzonden? sales@... Waarom naar sales? Alle facturen worden door de leveranciers naar een speciaal adres gemaild. Kortom, de mail was vals.


Vele soorten bedreigingen
Hoewel men in het algemeen vaak over ‘virussen’ praat, zijn er tegenwoordig vele gevarieerde bedreigingen en tactieken waarvan de duizenden verschillende virussen slechts een onderdeel vormen. We laten een aantal belangrijkste voor u de revu passeren.

 

Badware is bijvoorbeeld een verzamelnaam voor alle software die de werking van computersystemen verstoort, ongeacht of dit met kwade bedoelingen is of niet. Er wordt dus extra software op uw computer geplaatst, zonder u te informeren over de identiteit en het doel van deze software. Van de een op de andere dag heeft u opeens een startpagina die toch echt anders is dan degene die u had ingesteld.
Malware is andere soort van software die gebruikt wordt om computersystemen te verstoren, maar daarbij wordt ook gevoelige informatie verzameld of toegang verkregen tot uw computer. Het woord is een samenvoeging van de Engelse woorden malicious en software (kwaadwillende software). Het verschil met badware is dus dat hier sprake is van kwade opzet.

 

Het helemaal voorkomen van
alle besmettingen en
bedreigingen is onmogelijk.

 

Een veel voorkomende vorm van software is adware of advertentie ondersteunende software. Adware is een softwareapplicatie die plotseling advertenties weergeeft. Deze applicaties bevatten ook codes die de advertenties weergeven in een pop-up, pop-under of ander venster dat plotseling op het computerscherm verschijnt. Adware helpt ontwikkelkosten terug te verdienen en de prijzen van de applicatie voor de gebruiker laag of zelfs gratis te houden.
De inkomsten kan softwareontwikkelaars winst opleveren en motiveren om deze applicaties te blijven ontwikkelen en onderhouden. Sommige adware is ook shareware. Deze software mag, met eventuele restricties, gratis gedeeld worden (sharing). Gebruikers kunnen dan vaak kiezen voor een ‘geregistreerde’ versie, meestal tegen een geringe vergoeding. Voordeel is dat je met deze versie geen last hebt van advertenties en spontaan verschijnende pop-ups.

 

Gevaarlijker kan het worden wanneer je te maken krijgt met spyware: computerprogramma's (of delen daarvan) die informatie vergaren over een computergebruiker en deze doorsturen naar een externe partij. Spyware heeft meestal als doel om geld te verdienen aan gebruikersgegevens. De term komt van het Engelse woord spy (spion) en het is vooral ontstaan door het illegaal kopiëren van software. Toen de inkomsten uit verkopen daalden, moesten programmamakers op zoek naar nieuwe manieren om geld te verdienen. Het toevoegen van spyware aan een programma was één van die manieren. Er zijn bijvoorbeeld twee versies van het peer-to-peerprogramma Kazaa: het ene kost geld, het andere bevat spyware. Hoewel dit een commerciële vorm van spyware betreft, hoeft het niet gevaarlijk te zijn. Helaas zijn er ook meer criminele varianten van spyware.


Een probleem is dat gebruikers vaak niets weten van de spywarefunctie van een programma. Er zijn ook varianten waarbij gebruikers wél over de spywarefunctionaliteiten worden ingelicht. Dit vindt echter vaak op een listige wijze plaats, bijvoorbeeld ‘verstopt’ in de algemene voorwaarden. Er zijn detectieprogramma’s die de spyware na installatie kunnen ontdekken en eventueel verwijderen, maar dit is in tegenstelling tot virusscanners wel achteraf. Virusscanners voorkomen namelijk de installatie van ongewenste programma's. Daarbij moet je ook nog oppassen voor slechte, valse en malafide spyware-detectieprogramma's. Een aantal van deze programma's werkt slecht of probeert de gebruiker aan te zetten tot het kopen van een betaalde variant.

 

Update altijd uw software
omdat in deze updates vaak
veiligheidslekken worden gedicht

 

 


Voorkomen is beter dan genezen. En als zorgondernemer wil je er uiteraard alles aan doen om je gevoelige data te beschermen. Je moet er niet aan denken dat privacygegevens van je cliënten op straat komen te liggen. De overheid heeft onlangs de meldplicht al uitgebreid, iedereen wordt verzocht dataleks te melden (zie kader), maar helaas… Hoe goed we onszelf ook beschermen, bedreigingen zijn nooit helemaal uit te sluiten. Wel kunnen we er samen alles aan doen om de gevaren te minimaliseren. In de kadertekst kun je lezen hoe je de kans om slachtoffer te worden kunt verkleinen. En zoals zo vaak, begint dat met het veranderen van je eigen gedrag.

 

  

 

Virussen en fraude
Nog vervelender wordt het als je te maken krijgt met virussen. Een computervirus is software die echt schadelijk kan zijn. Een virus kan zich in een bestand nestelen, bijvoorbeeld in die van het besturingssysteem. Computervirussen worden als schadelijk beschouwd omdat ze schijfruimte en computertijd in beslag nemen van de besmette computers. In ernstige gevallen kunnen virussen ook schade aanrichten in de computer zelf, bijvoorbeeld door gevoelige gegevens te wissen of ongewenst te verspreiden. In zeer ernstige gevallen kan de gebruiker zelfs de totale controle over de computer verliezen. Maandelijks worden er enkele duizenden verschillende virussen aangetroffen. Veel bestaande virussen zijn gelukkig niet virulent genoeg om zich zelfstandig te verspreiden.
Bij phishing (‘vissen’ / ‘hengelen’) gaat het om internetfraude. Mensen worden via internet opgelicht door ze te lokken naar een valse (bank)website, die een kopie is van een echte banksite. Daar loggen mensen nietsvermoedend in met hun inlognaam en wachtwoord of zelfs hun creditcardnummer. De fraudeur krijgt hiermee de beschikking over deze belangrijke gegevens met alle gevolgen van dien. De fraudeur doet zich hierbij voor als een vertrouwde instantie, zoals een bank. De meeste vormen van phishing vinden plaats via een e-mail. De slachtoffers worden via een mailtje naar de valse website gelokt. De mail bevat een link naar de website met het verzoek om zogenaamd ‘de inloggegevens te controleren’.
Bij de variant ‘spear phishing’ krijgt het slachtoffer, om hem het gevoel van vertrouwen te geven, ook nog zijn eigen persoonlijke gegevens (naam, e-mailadres, telefoonnummer) te zien.


Het laatste gevaar dat we hier bespreken is ransomware (ransom = losgeld), een chantagemethode op internet door middel van malware. Ransomware is een programma dat een computer (of gegevens die erop staan) blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te 'bevrijden'. Betalen blijkt echter niet (altijd) tot ontsluiting van de computer te leiden, zo waarschuwt de Nederlandse overheid.
De computers van de slachtoffers worden geïnfecteerd zoals ook andere virussen worden verspreid. Bij het heropstarten van de computer krijgt de gebruiker een scherm te zien met een boodschap. In deze boodschap krijgt het slachtoffer te lezen dat zijn of haar computer geblokkeerd werd en pas na betaling weer wordt vrijgegeven. Vaak wordt de indruk gewekt dat het bericht afkomstig is van een betrouwbare (overheids)instantie en dat er een boete moet worden betaald wegens misbruik van het internet. Echter, noch de politie noch de opsporingsdiensten gaan zo te werk. Wie ransomware op zijn computer heeft, is voor de politie dus zeker geen verdachte. De criminelen zijn enkel op geld uit en zullen de computer na de betaling mogelijk vrijgeven. Er zijn helaas ook meerdere gevallen bekend waarbij de computer daarna niet werd ontgrendeld.  Ransomware komt voor in drie vormen: het systeem wordt gegijzeld, een bestand wordt gegijzeld of het betreft een combinatie van beide.

 

Wie toch slachtoffer is geworden,
doet er altijd goed aan om
aangifte te doen bij de politie

 

Nieuwe Nederlandse en Europese regelgeving
Zowel private als publieke organisaties die persoonsgegevens verwerken, zijn met ingang van 1 januari van dit jaar verplicht om inbreuken op de beveiliging te melden die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens. Dat zijn dus meer organisaties dan de aanbieders van elektronische communicatienetwerken en -diensten voor wie op grond van de Telecommunicatiewet reeds een meldplicht geldt bij diefstal, verlies of misbruik van persoonsgegevens van abonnee of gebruiker. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen. Verder kan het College bescherming persoonsgegevens (Cbp) in meer gevallen een bestuurlijke boete opleggen aan overtreders van privacyregels. Het Cbp mocht voorheen alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. Vanaf 1 januari 2016 is dat ook mogelijk bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers zoals hun politieke voorkeur of levensovertuiging is misbruikt.

 

Voorkomen is beter dan genezen. En als zorgondernemer wil je er uiteraard alles aan doen om je gevoelige data te beschermen. Je moet er niet aan denken dat privacygegevens van je cliënten op straat komen te liggen. De overheid heeft onlangs de meldplicht al uitgebreid, iedereen wordt verzocht dataleks te melden (zie kader), maar helaas… Hoe goed we onszelf ook beschermen, bedreigingen zijn nooit helemaal uit te sluiten. Wel kunnen we er samen alles aan doen om de gevaren te minimaliseren. In de kadertekst kun je lezen hoe je de kans om slachtoffer te worden kunt verkleinen. En zoals zo vaak, begint dat met het veranderen van je eigen gedrag.

 

  

 

 

Verklein de kans om slachtoffer te worden
Het helemaal voorkomen van alle besmettingen en bedreigingen is onmogelijk. Soms kunnen computers bijvoorbeeld ook besmet raken via een reguliere website die door criminelen is gehackt. Wel kun je veel doen om de kans op besmettingen aanzienlijk te verkleinen. De belangrijkste tips:

  • Gebruik actuele software. De fabrikanten van software (zoals Microsoft Windows, Adobe Reader, Flash Player) brengen regelmatig updates uit om beveiligingslekken te dichten. Update dus uw software omdat in deze updates vaak veiligheidslekken worden gedicht.
  • Surf niet op het internet als je ingelogd bent op een account met administrator-rechten
  • Surf niet op het internet zonder up-to-date antivirusprogramma
  • Gebruik een goed antivirusprogramma en controleer dat het telkens wordt ge-update.
  • Gebruik een firewall
  • Open geen verdachte bijlagen in e-mails
  • Download of installeer geen nepprogramma's of gehackte (illegale) software


Wie toch slachtoffer is geworden, doet er altijd goed aan om aangifte te doen bij de politie. De politie adviseert om hiervoor een afspraak te maken met het wijkteam en van tevoren aan te geven dat het om cybercrime gaat, zodat de juiste experts beschikbaar zijn.


Datalek
Wellicht heeft u er al eens van gehoord, een datalek…
Wat is een datalek? De wettelijke definitie is heel breed. Op het moment dat persoonsgegevens verloren raken of onrechtmatig worden bewerkt, spreekt de wet van een inbreuk op de beveiliging van persoonsgegevens en wordt het als een datalek gezien. Dit betekent dat er niet alleen sprake is van een datalek als een hacker toegang heeft verkregen tot de persoonsgegevens, maar ook wanneer er een USB-stick met vertrouwelijke gegevens in een openbare ruimte blijft liggen. Voor webshops of andere sites met online inschrijfformulieren, zou er al sprake zijn van een datalek als de formulieren niet via een beveiligde verbinding (SSL) worden verzonden.

Maar wanneer en hoe kunt u datalekken kunt melden leest u hier >>.
Hier vindt u een handige gratis app downloaden die u door middel van enkele vragen bij twijfel laat zien of er sprake is van een datalek en of u meldingsplicht heeft.