Cloudsourcing

Actueel

Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG

Waar moet u zeker op letten bij de bescherming van persoonsgegevens binnen uw organisatie? Per 25 mei 2018 hebben we te maken met de Algemene Verordening Gegevensbescherming (AVG). In deze blog lichten we vier valkuilen toe waar u mee te maken kan krijgen zodra de AVG van kracht wordt. Valkuil 1: Er valt binnen de AVG meer onder persoonsgegevens dan u misschien denkt Onder persoonsgegevens vallen niet alleen gegevens die iemand direct identificeren, maar ook gegevens die gebruikt worden om mensen te individualiseren binnen een groep. Denk hierbij aan een patiëntgroep binnen een ziekenhuis of gegevens die iets zeggen over een device, zoals een IP-adres. Het is dus van belang dat u als bedrijf zicht heeft op alle gegevens die verzameld worden en dat u zich goed laat informeren over welke gegevens allemaal onder persoonsgegevens vallen. Meer hierover kunt u nalezen in onze eerste blog over de AVG. Valkuil 2: Een privacy statement dat alleen u/de organisatie begrijpt Het is inmiddels gebruikelijk om in een privacy statement aan te geven wat u als bedrijf doet met persoonsgegevens. Helaas zijn deze statements uitgegroeid tot lange juridische boeken die moeilijk te begrijpen zijn. Veel mensen slaan het lezen van een privacy statement per definitie over. De AVG schrijft voor dat ‘Informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk moeten zijn. Er moet duidelijke en eenvoudige taal worden gebruikt.’ Als u eens kritisch naar uw eigen privacy statement kijkt, hoe begrijpelijk is die tekst dan? Wat uitkomst kan bieden, en ook de voorkeur heeft van de toezichthouders, is een gelaagd privacy statement. Hierin wordt eerst op hoofdlijnen en dan steeds gedetailleerder uitgelegd hoe een bedrijf omgaat met gegevens. Belangrijk is ook dat het taalgebruik moet aansluiten bij de gemiddelde doelgroep. Afhankelijk van uw doelgroep, kan deze regel dus om een herziening van uw privacy statement vragen. Valkuil 3: Enkel registreren van datalekken met nadelige gevolgen De huidige Wet bescherming persoonsgegevens verplicht bedrijven om een administratie bij te houden van iedere inbreuk die leidt tot een aanzienlijke kans op, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. De AVG breidt de eisen aan deze administratie uit. Per 25 mei 2018 bent u verplicht om alle inbreuken in verband met persoonsgegevens te documenteren en binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. In deze administratie moeten per geval de feiten, de gevolgen en de maatregelen vastgelegd worden. Opmerkelijk is dat er sprake is van ‘alle inbreuken’, dus ook de inbreuken waarvoor geen meldingsplicht geldt. Onder de AVG bent u dus verplicht een veel omvangrijkere administratie bij te houden dan nu het geval is. Ieder incident waarbij iemand “per ongeluk” toegang krijgt tot gegevens moet u strikt genomen registreren. Voor bepaalde bedrijven is een Functionaris Gegevensbescherming dan ook noodzakelijk. Lees meer hierover in onze vorige blog over de AVG. Valkuil 4: Onvoldoende afspraken met uw IT-bedrijf De AVG bepaalt dat er afspraken gemaakt moeten worden over de melding van datalekken. Er staat niets vermeld over de inhoud van deze afspraken of de verantwoordelijkheden. Het is daarom verstandig om duidelijke afspraken met uw IT-bedrijf te maken over de informatie die nodig is om een goede en volledige administratie bij te houden. Op welke manier waarborgt uw IT-bedrijf dat de informatie die u nodig hebt bij een eventuele melding beschikbaar is? Verantwoordelijken kunnen anders met lege handen staan als de toezichthouder aanklopt en inzage vraagt in de (wettelijk verplichte) administratie. Ook belangrijk: kan uw IT-bedrijf aantonen dat u alles hebt gedaan om een lek te voorkomen? Dit laatste punt kan uw kans op een eventuele boete bij een inbreuk verkleinen. Meer blogs uit onze blogserie over de AVG: Voldoen aan de AVG. Waar moet ik beginnen? Bescherming persoonsgegevens, wie is verantwoordelijk?  Moet ik een Functionaris Gegevensbescherming aanstellen? Hoe zorg ik dat ik een datalek op tijd herken? De vier belangrijkste gevaren van Shadow IT Meer weten over de AVG en hoe u zich daar op kunt voorbereiden? Download onze whitepaper ‘Praktische handreiking voor de AVG’.

Lees meer
Moet ik een Functionaris Gegevensbescherming aanstellen?

U heeft de vraag vast al eens voorbij horen komen, of misschien zit u zelf al een tijdje met exact dezelfde vraag. De aanscherping van de Wet Bescherming Persoonsgegevens (Wbp) brengt nogal wat verplichtingen; zo ook het aanstellen van een Functionaris Gegevensbescherming (FG) voor bedrijven die persoonsgegevens verwerken. Maar voor wie geldt deze verplichting nu precies? En wat houdt zo’n aanstelling concreet in? Wij snappen heel goed dat veel organisaties nog geen antwoord hebben op deze vraag. Er zitten namelijk een aantal haken en ogen aan deze regeling, die ervoor zorgen dat de antwoorden op deze vraag per organisatie wezenlijk verschillen. Voor zorginstellingen is het bijvoorbeeld per 1 juli 2017 al verplicht om minimaal één Functionaris Gegevensbescherming aan te stellen. Buiten de zorg is het aanstellen van een FG in de meeste gevallen pas verplicht vanaf 25 mei 2018, de ingangsdatum van de Algemene Verordening Gegevensbescherming (AVG). Maar u leest het al, er staat ‘in de meeste gevallen’. Wat zijn dan precies de richtlijnen? Als organisatie bent u verplicht om schriftelijk de belangrijkste aspecten van de persoonsgegevens die u verwerkt, vast te leggen. Dit geldt niet voor organisaties met minder dan 250 medewerkers, tenzij deze organisaties: Op grote schaal en stelselmatig persoonsgegevens verwerken. De gegevensverwerking een groot risico voor de betrokkenen inhoudt. Wanneer u deze richtlijnen leest, begrijpt u waarschijnlijk al meteen waarom zorginstellingen eigenlijk gisteren al een Functionaris Gegevensbescherming  in dienst moeten hebben. Maar ook overheidsinstanties en bedrijven die het observeren van personen als (hoofd)activiteit hebben, zijn verplicht een FG aan te stellen. Overigens kan het voorkomen dat achteraf blijkt dat het aanstellen van een FG toch niet nodig was voor uw organisatie. Het is dan lastig om afscheid te nemen. Zoek daarom vooraf goed uit of het aanstellen van een FG verplicht is voor uw organisatie. Waar moet een Functionaris Gegevensbescherming aan voldoen? Stel: u bent een zorginstelling en u heeft nog geen Functionaris Gegevensbescherming (FG), of u bent van een andere organisatie en bent gewoon graag op tijd voorbereid voor de toch al snel naderende 25 mei 2018. Houd er dan ook rekening mee dat belangenverstrengeling moet worden voorkomen en de FG binnen uw organisatie niet ook een functie mag hebben waarin hij het doel en de middelen van gegevensverwerking bepaalt. Dat kan bijvoorbeeld voorkomen als de FG een managementpositie vervult, bijvoorbeeld als hoofd financiën, -strategie, -marketing, -IT of –HRM. Daarnaast zijn er nog een aantal eisen waaraan een FG moet voldoen. Ten eerste moet een Functionaris Gegevensbescherming (FG) altijd een natuurlijk persoon zijn. Een ondernemingsraad of commissie komt dus niet in aanmerking. Daarbij komt dat een FG over voldoende kennis van de organisatie en de privacywetgeving moet beschikken en betrouwbaar moet zijn. Dit laatste uit zich onder meer in een geheimhoudingsplicht. Een dag in het leven van een FG Tot dusver de richtlijnen en regels voor het aanstellen van een FG, maar wat kunt u dan precies verwachten als u zo’n FG aanstelt? Kort gezegd controleert de FG dagelijks of de Wet Bescherming Persoonsgegevens op de juiste manier wordt toegepast en nagestreefd binnen uw organisatie. Dat houdt in dat een dag van een FG er ongeveer zo uit zal zien: In de ochtend maakt de FG een inventarisatie van de gemelde gegevensverwerkingen. Deze meldingen verwerkt hij/zij in een overzicht zodat precies in beeld is welke gegevensverwerkingen er hebben plaats gevonden. Voor de lunch behandelt de FG vragen, klachten en opmerkingen van mensen binnen en buiten de organisatie. Na de lunchpauze scherpt de FG interne processen en procedures verder aan zodat de gegevensverwerking nog beter wordt. Daarna is er een overleg met een externe partij over de technologie die gebruikt wordt om bescherming van de gegevens te garanderen. Bescherming van deze gegevens is prioriteit nummer één. Vlak voordat de FG naar huis gaat werkt hij/zij de interne gedragscode omtrent gegevensverwerking bij. De Autoriteit Persoonsgegevens verliest na aanstelling van een FG binnen een organisatie geen van zijn bevoegdheden als nationale toezichthouder. Toch is de AP terughoudender bij organisaties met een FG in dienst. Meer weten over de AVG/GDPR? Lees dan ook onze eerdere blogs uit deze serie: Voldoen aan de AVG. Waar moet ik beginnen? Bescherming persoonsgegevens, wie is verantwoordelijk?  Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG Hoe zorg ik dat ik een datalek op tijd herken? De vier belangrijkste gevaren van Shadow IT  

Lees meer
Bescherming persoonsgegevens, wie is verantwoordelijk?

Wie persoonsgegevens behandelt, is verplicht aan de strengere regelgeving te voldoen die de Algemene Verordening Gegevensbescherming (AVG) voorschrijft. In deze tweede blog over de nieuwe wet die volgend jaar ingaat, zoomen we in op de verantwoordelijkheden van verschillende partijen die betrokken zijn bij het verzamelen, opslaan, verwerken en toepassen van persoonsgegevens. Waar begint en waar eindigt uw en onze verantwoordelijkheid? Artikel 4 van de AVG beschrijft twee rollen, die van de controller en van de processor. Wanneer uw bedrijf persoonsgegevens opvraagt of verwerkt, wordt u gezien als de controller, ongeacht of u zelf direct data verzamelt. Een bank verzamelt data van klanten als ze een rekening openen; een supermarkt wanneer die een klantenpas uitreikt in ruil voor klantgegevens. Beide organisaties zijn verantwoordelijk voor de persoonlijke data van deze klanten. Intermax is - wanneer wij data voor u beheren, opslaan, transporteren of verwerken – de processor. De datacentra die wij inzetten om onze servers (waarop uw gegevens staan) in te plaatsen, zijn vaak de sub-processor. U bent als controller volgens de AVG verantwoordelijk voor: 1. Het verzamelen van de gegevens en het toestemming hebben/verkrijgen van de persoon van wie de gegevens zijn. 2. Het zorgen dat deze gegevens alleen voor het doel worden verwerkt waarvoor ze zijn verkregen, en dat ze adequaat worden beveiligd. 3. Het verwijderen van data op verzoek van de persoon van wie de data is. 4. Het aangeven aan Intermax welk niveau van beveiliging vereist is. Uiteraard kunnen we u hierbij adviseren en helpen. Intermax is als processor volgens de AVG verantwoordelijk voor: 1. Het fysiek opslaan van de gegevens en de bewaking ervan, zodat er geen onrechtmatige toegang door derden plaatsvindt. 2. Het zorgen dat ook sub-processoren (bijvoorbeeld een datacentrum) hieraan voldoen. 3. U te informeren als er afwijkingen of privacy-incidenten zijn. 4. Het beoordelen en afhandelen van vorderingen en taps door bevoegde overheidsinstanties (bijvoorbeeld politie, justitie, AIVD, MIVD). Een voorbeeld U bent directeur van een onderwijsinstelling en u heeft een groot bestand met de NAW-gegevens van de ouders. Uw bestand bevat ook informatie over de kinderen en de locatie waar ze naar school gaan. Deze gegevens kunnen via een portaal worden geraadpleegd door een leerplichtambtenaar. Ook gebruikt de onderwijsinstelling deze gegevens om uitnodigingen aan ouders te sturen voor evenementen. Het online portaal wordt afgenomen als een Software-as-a-Service (SaaS) dienst bij een softwareontwikkelaar en dit systeem draait bij Intermax. Voor de juistheid van de gegevens en het verkrijgen van toestemming is de controller verantwoordelijk: degene die de gegevens heeft verzameld en die het online portaal exploiteert, in dit voorbeeld de school. De softwarebouwer van het portaal is als processor verantwoordelijk voor het correct versleutelen van de opgeslagen gegevens. Intermax is als sub-processor verantwoordelijk voor de beveiliging van de servers waar de SaaS omgeving op draait. In de praktijk zal het er op neerkomen dat een hostingbedrijf een groot deel van de beveiliging en de controle hiervan voor haar rekening neemt. Zo wordt er intensief samengewerkt met de SaaS leverancier, die vervolgens de exploitant van het portaal weer op de hoogte stelt hoe deze de software dient te gebruiken. Ook zal de SaaS leverancier tools moeten aanbieden om de controller in de gelegenheid te stellen makkelijk gegevens te kunnen laten verwijderen. Wat gebeurt er nu wanneer zo’n portaal onverhoopt gehackt zou worden, door bijvoorbeeld een programmeerfout? Wanneer alle beveiligingsmaatregelen goed zijn toegepast zal Intermax merken dat er iets niet in de haak is, bijvoorbeeld door de inzet van een Canary (die alarmeert bij ‘ongepast gedrag’). Dankzij 24-uurs bewaking zal Intermax direct contact opnemen met de SaaS leverancier en de eigenaar van de data om de afwijking te melden. Vervolgens is de controller aan de beurt om eventueel een datalek te melden, waarbij hij ondersteund wordt door logfiles en digitaal forensisch bewijs van Intermax. Meer blogs uit onze blogserie over de AVG: Voldoen aan de AVG. Waar moet ik beginnen? Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG Hoe zorg ik dat ik een datalek op tijd herken? De vier belangrijkste gevaren van Shadow IT

Lees meer
Intermax behaalt ISO 20000 certificaat

Rotterdam, 8 juni 2017 - Intermax Cloudsourcing behaalde vorige week het ISO 20000 certificaat. Deze norm gaat over IT service management. De certificering geeft aan dat Intermax processen op het gebied van onder andere support, incidenten en changes volgens strikte internationale normen heeft geborgd en gestandaardiseerd binnen de gehele organisatie. DNV GL, een van de grootste certificatie-instellingen ter wereld, nam de audit af en verstrekte het certificaat. De ISO 20000 standaard heeft een internationale scope en bevat een procesbenadering voor het opzetten, implementeren, monitoren, onderhouden en verbeteren van een professioneel en gestructureerd IT service management systeem. Het continue verbeteren van de kwaliteit van de dienstverlening staat centraal binnen deze norm. Gesneden koek Ludo Baauw, algemeen directeur Intermax: “Dit certificaat geeft aan dat wat we eigenlijk al deden en voor ons gesneden koek is, nu ook officieel voldoet aan de strenge normen die ISO 20000 beschrijft. We werken binnen Intermax al jaren volgens ITILv3. Vrijwel al ons personeel heeft hier een opleiding voor afgerond. Dankzij deze ISO-certificering kunnen onze klanten nu bijvoorbeeld ook hun eigen auditors melden dat wij in het bezit zijn van dit belangrijke certificaat, dat scheelt hen veel tijd en moeizame discussies." "Dat we de audit glansrijk hebben doorstaan, was voor ons meer een bevestiging dan een verrassing,” vervolgt Baauw. “We zijn al 23 jaar een dienstverlenend bedrijf en hebben alle zaken en processen die nodig zijn om optimale service te kunnen bieden lang geleden doorgevoerd in het hele bedrijf. Deze manier van werken biedt ons de mogelijkheid om proactief in te spelen op de behoeftes, wensen en eisen van onze klanten. Je wilt als klant dat de service gewaarborgd is, zeker als je essentiële IT diensten uitbesteedt.” Meest gecertificeerde managed hosting en cloudbedrijf van Nederland Behalve de ISO 20000 certificering is Intermax in het bezit van de ISO 27001, ISO 14001, ISO 9001 en NEN 7510 certificaten. Ook beschikt het bedrijf over een ISAE 3402 type II en de DigiD TPM verklaring. Het volledige primaire proces van Intermax voldoet hiermee aan verschillende normen op het gebied van kwaliteit, milieu, beveiliging, continuïteit en betrouwbaarheid. In de nabije toekomst wordt ook een SOC2 verklaring toegevoegd. Het bedrijf kan zich hiermee het meest gecertificeerde managed hosting en cloudbedrijf van Nederland noemen.

Lees meer
Voldoen aan de AVG. Waar moet ik beginnen?

Hoewel het nog een jaar duurt, is er geen ontkomen meer aan: de nieuwe Europese privacyverordening gaat ook uw bedrijf raken én werk veroorzaken. De komende weken zoomen wij in op verschillende onderdelen van de Algemene Verordening Gegevensbescherming (AVG). Vandaag beginnen wij bij het begin. AVG of GDPR? De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse benaming voor de General Data Protection Regulation (GDPR). Alle individuele lidstaten moeten werken met deze nieuwe EU-regulering. De GDPR gaat op 25 mei 2018 in en vervangt dan onze huidige Wet Bescherming Persoonsgegevens (Wbp). Wat staat er in de AVG? De AVG zorgt voor dezelfde regels omtrent bescherming van persoonsgegevens in heel Europa. Het maakt dan niet meer uit in welk EU-land de burger, wiens gegevens worden verwerkt, woont; het gaat om ‘betrokkenen die zich in de Unie bevinden’. Er zullen meer verplichtingen gaan gelden dan bij de Wbp en de Meldplicht Datalekken – waar u op dit moment aan moet voldoen. Hier komt het op neer: U moet exact weten welke bestanden met persoonsgegevens u beheert en in bezit heeft. U moet weten welke rechten de personen hebben van wie u gegevens in bezit heeft. Wanneer u een product of dienst ontwikkelt, dan moet er ‘security by design’ worden toegepast. U moet dus direct nadenken over hoe u de beveiliging van gegevens waarborgt en inbouwt. U moet van elk aspect van de persoonsgegevens afzonderlijk kunnen aangeven waarom u deze gegevens opslaat. Projecten met een hoog risico op lekken moeten vooraf een inschatting van privacyrisico’s krijgen, een zogenaamde Privacy Impact Analyse (PIA). U mag persoonsgegevens alleen maar gebruiken voor het doel waar de informatie oorspronkelijk voor verzameld is. Er moet een ‘juridische grondslag’ zijn. De verantwoordelijke voor de gegevens moet toestemming vragen aan de eigenaar van de gegevens wanneer hij onderaannemers inschakelt (voor zover deze persoonsgegevens verwerkt). Dat geldt dus ook wanneer u Intermax inschakelt om uw gegevens te beheren en te bewaken. Bedrijven die buiten de EU zijn gevestigd of die buiten de EU gegevens van Europese burgers verwerken (denk aan Google, Amazon of Microsoft) moeten zich ook aan de AVG houden. Waar te beginnen? Het eenvoudigst is om te beginnen met een inventarisatie van de gegevens die u nu binnen uw bedrijf heeft. U dient een antwoord te formuleren op de volgende vragen: Welke typen persoonsgegevens worden er binnen onze organisatie verwerkt? Wat is het doel hiervan? Van welke betrokkenen verwerken wij eigenlijk persoonsgegevens? Om wie gaat het eigenlijk? Hoe lang bewaren wij deze gegevens? Met de antwoorden op deze vragen is het maken van een PIA veel eenvoudiger. Ook kunt u gemakkelijker klanten te woord staan wanneer ze vragen hebben over hun gegevens. Meer blogs uit onze blogserie over de AVG: Bescherming persoonsgegevens, wie is verantwoordelijk?  Moet ik een Functionaris Gegevensbescherming aanstellen? Vier valkuilen bij de bescherming van persoonsgegevens onder de AVG Hoe zorg ik dat ik een datalek op tijd herken? De vier belangrijkste gevaren van Shadow IT  

Lees meer
Nieuwe Intermax klant: Maxima Medisch Centrum

Intermax heeft wederom een mooie nieuwe zorgklant erbij: Maxima Medisch Centrum zocht een partner die de hosting en het technisch beheer van het Chipsoft Zorgportaal kon verzorgen. Na onder andere Haga Ziekenhuis en het Reinier de Graaf Ziekenhuis is dit een mooie nieuwe klant waar we weer een zorgportaal mogen lanceren. Daarnaast hebben we onlangs ook het Admiraal de Ruyter ziekenhuis en ErasmusMC in Rotterdam kunnen helpen met technische uitdagingen rondom het Zorgportaal en Chipsoft HiX. Na de productiegang van Chipsoft HiX was de implementatie van het CS-Zorgportaal de logische vervolgstap voor Maxima Medisch Centrum. Een op het oog kleine stap, maar met grote impact. De interactie met de patiënt krijgt een geheel nieuwe dimensie. De mogelijkheid om gegevens in te zien of te muteren vraagt om een modern, hoogwaardig en veilig platform dat professioneel wordt beheerd. Intermax biedt Maxima Medisch Centrum een in de praktijk bewezen oplossing voor het aanbieden van het CS-Zorgportaal. Deze oplossing biedt optimale beschikbaarheid van het klantportaal. Mocht er onverhoopt toch sprake zijn van uitval dan zal er weinig tot geen dataverlies zijn. In korte tijd implementeren we voor Maxima Medisch Centrum een hoogwaardige acceptatie- en productieomgeving. We verzorgen de inrichting van de virtuele servers en firewalls, in onze geografisch redundante datacenters. Dankzij onze DigiD TPM (Third Party Mededeling) voldoet Maxima Medisch Centrum op dit platform aan de technische NOREA-voorwaarden die gesteld worden aan de infrastructuur. Wij bieden dit kosteloos aan, als onderdeel van onze dienstverlening. Hierdoor worden jaarlijks vele duizenden euro’s bespaard op de vereiste DigiD-audit. Voor meer informatie over onze dienstverlening voor Chipsoft HiX en het CS-Zorgportaal en onze andere klanten in de zorgsector kunt u contact opnemen met Maurice Wieggers via 010-7104444.                      

Lees meer
Intermax is Microsoft Cloud Service Provider

Intermax is onlangs getransformeerd tot Intermax Cloudsourcing. Dat houdt in dat wij buiten onze eigen Intermax Cloud - die een ongekende beschikbaarheid en performance heeft - ook geïntegreerde Public Cloud services aanbieden. Daarnaast leveren we al sinds jaar en dag flexibele licenties van onder andere Microsoft. Die zaken vloeien nu samen in een nieuwe samenwerking tussen Intermax en Microsoft: we zijn officieel Microsoft Cloud Service Provider geworden! De samenwerking met Microsoft zorgt ervoor dat we onze diensten en complexe infrastructuren indien gewenst voor onze klanten kunnen integreren in één passende hybride cloudoplossing. Efficiënt. Helder. En allemaal met een vast aanspreekpunt: Intermax. We ontwerpen de juiste architectuur die bij uw IT-toepassingen hoort en past, en die bovendien voldoet aan alle (wettelijke) voorwaarden. De combinaties van bestaande private en public clouds worden door de samenwerking met Microsoft volledig ondersteund. We helpen op deze manier onze klanten bij de transitie naar de cloud. Dat doen we met voldoende middelen, aanvullende back up, ondersteuning, beveiliging en met 1 heldere factuur met bewaking van de kosten. Hopelijk bieden we zelfs inspiratie, en geven we onze klanten het vertrouwen over te stappen naar de cloud, en te kiezen voor cloudsourcing!          

Lees meer
Threat analytics: voorkom weggegooid geld! [blog]

Soms denk ik dat voor securitybudgetten hetzelfde geldt als voor marketing: de helft wordt zinvol besteed, maar je weet nooit welke helft. De securitybudgetten worden besteed aan allerlei dozen, software en diensten die preventieve, curatieve en mitigerende maatregelen bieden. De effectiviteit van die maatregelen blijkt uit de mate van het uitblijven van incidenten en/of de wijze waarop de impact van incidenten wordt beperkt. Deze zaken zijn lastig te meten, er is geen objectiveerbare schadelast zoals bijvoorbeeld na een brand in een huis. Er is bovendien nauwelijks onafhankelijke informatie over incidenten per branche, dus een benchmark met andere organisaties is niet mogelijk. En hoe bepaal je wat de impact zou zijn geweest zonder deze maatregelen? De risk-reward ratio is heel lastig te bepalen. (meer…)

Lees meer
Cyberrisicomanagement: hoe bepaal je eenvoudig welk risico je loopt? [blog]

Om risico’s te managen moet u begrijpen met welke risico’s u te maken heeft. Nu hacks, malware en cryptolockers dagelijks in het nieuws zijn, krijgen bestuurders en managers de indruk dat ze extreem veel risico lopen. Dat is gelukkig niet altijd het geval. Hoeveel risico zij lopen hangt af van de aard van hun organisatie, de aantrekkelijkheid van die organisatie voor kwaadwillenden en van de middelen die partijen kunnen vrijmaken voor hun acties. Het loont daarom goed na te denken over wie uw organisatie schade zou willen berokkenen en welke motivatie deze partij heeft. Een zeer gemotiveerde partij maakt namelijk over het algemeen meer middelen vrij om een hack te plegen. De tabel hieronder kan daarbij helpen. In deze tabel worden diverse partijen beschreven die aanvallen via internet zouden kunnen plegen. Achtereenvolgens wordt beschreven wat het motief van deze partijen is, welk doel(wit) ze vaak hebben en wat de middelen zijn die ze ter beschikking hebben. Vormt uw organisatie een militair doelwit, dan maakt de tabel duidelijk dat landen relatief veel middelen hebben om te spioneren, inlichtingen in te winnen en/of om infrastructuur lam te leggen. Op internet zijn hiervan diverse voorbeelden te vinden, waaronder dit bericht: Israel and US fingered for Stuxnet attack on Iran. Inmiddels blijken ook verschillende landen middelen en expertise aan te wenden om intellectueel eigendom te stelen, zodat zij lokale organisaties concurrentievoordeel kunnen bieden (zie bijvoorbeeld dit bericht: Bronnen bevestigen Chinese ASML-hack). Omdat deze landen relatief veel middelen tot hun beschikking hebben, vergt het van hun doelwitten behoorlijk wat inspanning om zich tegen hun aanvallen te beschermen. Veruit de meeste organisaties hebben te maken met criminele en met malafide organisaties, zoals concurrenten. Afhankelijk van de mate van financieel gewin worden de daders hierbij steeds professioneler, waarbij ook het budget voor een hack navenant toeneemt. Ook mensen die voor grote banken werken of die toegang hebben tot veel intellectueel eigendom/patiëntgegevens/creditcard informatie, vormen interessante doelwitten. Is er sprake van een relatief laag financieel gewin, dan moeten organisaties vooral rekening houden met criminelen (waaronder rancuneuze (ex-)medewerkers) en malafide organisaties. Helaas zijn er geen organisaties die geen risico lopen: zelfs de kleinste organisaties hebben een reële kans om een incident mee te maken. Als manager of bestuurder moet u zich dus afvragen: wie heeft het op mijn organisatie gemunt en welke middelen heeft deze partij beschikbaar? Heeft een potentieel gevaar voor uw organisatie toegang tot veel middelen, dan neemt ook de kans op een incident toe. De mogelijke schade van een eventuele aanval bepaalt vervolgens welke preventieve, curatieve en mitigerende maatregelen uw organisatie moet treffen. Guardian360 heeft veel expertise op dit gebied. Wij zijn gewend om eerst te bepalen wat de kroonjuwelen van een organisatie zijn en welke maatregelen er al getroffen zijn om een incident te voorkomen. Vaak is het beter bewaken van de maatregelen al voldoende om de kans op een incident fors te verlagen. Wilt u daar een keer over doorpraten? Neem dan contact met ons op! ———— Deze blog is geschreven door Jan Martijn Broekhof van Guardian360 en werd ook op www.guardian360.nl gepubliceerd.

Lees meer
Hoe een Kanarie helpt een Trojaans Paard te weerstaan [blog]

Op 21 april van dit jaar publiceerde de AIVD haar jaarverslag. Hierin wordt een heel hoofdstuk gewijd aan ‘Cyberdreiging’. In de inleiding staat het volgende: “De aandacht van de AIVD voor cyberdreiging richt zich vooral op digitale spionage. Deze inbreuk op onze soevereiniteit, die vaak een aantasting vormt van onze politieke en economische belangen, vindt vrijwel altijd vanuit statelijke actoren plaats. Daarmee vormt dit een bedreiging voor de nationale veiligheid en dat maakt het een taak voor de AIVD.” In het rapport is ook het volgende te lezen: “In het afgelopen jaar heeft de AIVD ook diverse digitale aanvallen waargenomen op bedrijven die deel uitmaken van de Nederlandse topsectoren: high tech, chemie, energie, life sciences en health en watervoorziening. Hierbij is vastgesteld dat de aanvallers op zoek waren naar zeer specialistische en soms zelfs experimentele technologie die zijn marktwaarde nog moet bewijzen. Deze technologieën zijn essentieel voor het huidige en toekomstige verdienmodel van de getroffen bedrijven, maar ook en vooral van grote waarde voor een stabiele en groeiende economie die de basis vormt van onze welvaart. De aanvallen op juist deze sectoren tonen aan dat de daders structurele en gedetailleerde aandacht hebben voor innovatie-initiatieven in Nederland en precies weten waar ze moeten zijn. Dit is illustratief voor de structurele digitale spionagedreiging waaraan wij zijn blootgesteld en die de Nederlandse kenniseconomie ondermijnt.” Naïef Het midden- en kleinbedrijf vormt veruit het grootste deel van het Nederlandse bedrijfsleven. Binnen het Nederlandse MKB vindt veel innovatie plaats. Ondernemers en bestuurders zijn zich er weliswaar van bewust dat hun investeringen in innovatie en R&D waardevol zijn, volgens de AIVD zijn zij nog behoorlijk naïef waar het om digitale spionage gaat: “We maken op grote schaal gebruik van de digitale ruimte en worden tegelijkertijd steeds meer daarvan afhankelijk. Dat brengt nieuwe kwetsbaarheden met zich mee. Zowel de overheid en het bedrijfsleven, als de individuen in onze hedendaagse maatschappij zijn zich nog onvoldoende bewust van die digitale kwetsbaarheid, waardoor maatregelen daartegen achterblijven. We zijn digitaal gesproken nog te naïef.” Helaas merk ik deze naïviteit in de gesprekken die ik voer. Ik spreek ondernemers en bestuurders die zich hardop af vragen “Wat valt er bij ons nou te halen?” en “Wie wil mij nou hacken?”. De meldplicht datalekken zorgt ervoor dat bedrijven meer aandacht krijgen voor het onderwerp, maar wat mij betreft om de verkeerde redenen. Het voorkomen van een boete moet niet de reden zijn om met informatiebeveiliging aan de slag te gaan: als bestuurder moet je je zaken op orde hebben, en het beveiligen van je (klant)data moet daar een vast onderdeel van zijn. Tegelijkertijd spreek ik ook ondernemers en bestuurders die zich bewust zijn van de gevaren, maar die tegelijkertijd stellen dat zij niet in staat zijn om buitenlandse spionnen buiten de deur te houden. Landen kunnen teams vrijmaken om continu en gericht spionage te bedrijven, als bedrijf heb je de middelen niet om je daar tegen te verweren. Daarbij komt dat de aanvallen steeds geavanceerder worden: net als Trojaanse Paarden komen ze via vertrouwde websites en bestanden de organisatie binnen. Schade beperken Als je niet helemaal kunt voorkomen dat je gehackt wordt, hoe kun je dan toch de schade beperken? De AIVD constateert dat Nederlandse organisaties hun beveiligingsinspanningen vooral richten op het blokkeren van indringers in hun ICT-netwerken. Dynamische beveiligingsmaatregelen, gericht op het detecteren van activiteiten van indringers die al binnen zijn, krijgen weinig aandacht. Zo kunnen aanvallers na een geslaagde digitale inbraak vaak langere tijd in een netwerk actief zijn zonder opgemerkt te worden. Een aanzienlijk deel van de getroffen Nederlandse organisaties is door dit gebrek aan intern gerichte beveiligingsmaatregelen niet in staat om de duur en impact van digitale aanvallen op hun netwerken vast te stellen. Binnen Guardian360 zetten we een hulpmiddel in om hackers te betrappen: de Canary. Deze virtuele bewegingsmelder signaleert het wanneer een hacker een netwerkscan doet. Er wordt dan direct een melding gedaan naar de contactpersonen bij onze klanten en ons security operations center. Ook wanneer een hacker devices probeert te benaderen, kan de Canary de hacker betrappen. Op deze manier kan een organisatie snel passende maatregelen treffen en het Trojaanse Paard weerstaan. Wilt u meer weten over de Canary en andere pragmatische middelen om de impact van een hack te verlagen? Neem dan contact met ons op.

Lees meer
Wie de cybercrimineel onderschat, gaat op zijn gat [blog]

In de blog ‘De matador in uzelf’ gaan we in op het gevaar van cybercriminaliteit, wat u als particulier persoon en als bedrijf eraan kunt doen, en dat – in elk geval – zulke gevaren niet mogen worden onderschat. We zouden met enige regelmaat kunnen rapporteren wat er in de praktijk allemaal misgaat. Een van de recentste voorbeelden is de aanhouding van een 17-jarige jongen uit Alkmaar, die gedreigd had om de website van de Belastingdienst via een DDoS-aanval plat te leggen. Het cybercrimeteam van de Eenheid Midden-Nederland heeft de jongen aangehouden. De directe aanleiding was het gevaar dat de site van de Belastingdienst plat zou worden gelegd, waardoor veel mensen hun belastingaangifte niet op tijd zouden kunnen indienen. Zulke misdaden, en dan met name de jeugdigheid en de intelligentie van zulke criminelen, maar ook het werkgebied waarin deze organisaties opereren, zorgen voor een herijking van onze bestaande ideeën over wat criminelen zijn, wat criminaliteit is, en wat de schade is van de activiteiten van deze ‘nieuwe’ criminaliteit. Het is ook niet vreemd dat deze moderne vormen van criminaliteit een lange tijd zijn onderschat. Men denkt al snel dat het wel meevalt. Wat voor schade kunnen een paar tieners met te veel vrije tijd omhanden nu uitrichten? Goed, inmiddels zijn die opvattingen bijgesteld. Wie de cybercrimineel onderschat gaat op zijn gat. De 17-jarige jongen die de Belastingdienst wilde aanvallen blijkt, volgens bronnen bij Emerce, de hacker Fl00D te zijn, oprichter van AnonGreySec. Deze organisatie was al verantwoordelijk voor het platleggen van de servers van Ziggo, en onlangs nog dreigde ze met een aanval tegen Nu.nl. Kennelijk was dat een generale repetitie voor de aanval tegen de Belastingdienst. Het credo van de organisatie is toch: ‘fuck de system’. De brutaliteit en lichtzinnigheid die zulke organisaties aan de dag leggen lijken erop te wijzen dat het allemaal een grote grap is, het leven als een klucht, maar daaronder schuilt het ideaal om bestaande structuren plat te leggen, bedrijven lam te leggen, en te streven naar een digitale anarchie die zijn uitwerking heeft in de fysieke maatschappij. Internetsecurity is de sleutel, waarmee je ook de fysieke deur thuis op slot kunt doen en je rustig kunt slapen, omdat je weet dat niemand je bedrijf lam legt of je gegevens en identiteit steelt. Het concept van veiligheid hebben we met z’n allen opnieuw vorm moeten geven met de komst van internet. Zolang deze ontwikkelingen doorgaan zal Intermax steeds met een scherpe en nieuwsgierige blik het digitale veld blijven verkennen op zoek naar de beste oplossingen. Vragen? Vanzelfsprekend zijn wij bereid om u te informeren over de bestaande mogelijkheden omtrent beveiliging en internetsecurity.    

Lees meer
De matador in uzelf [blog]

Hoe veilig bent u? Heeft u daar wel eens over nagedacht? Een rechtgeaarde vraag in de onzekere tijden waarin we leven. Maar de vraag beperkt zich in dit geval tot de digitale wereld, cyberspace, het leefklimaat van internet. Hoe veilig ben je daar, als privaat persoon, als bedrijf? Heeft u enig idee hoe beveiligd uw gegevens zijn, hoe uw data is versleuteld zodat anderen, kwaadwillende figuren of organisaties, er niet bij kunnen? Vaak menen directies dat hun zaak op orde is, dat het met de veiligheid wel goed zit, omdat ze voldoen aan de regels. Tegelijkertijd neemt de cybercriminaliteit toe, data wordt met weinig problemen gepikt, verhandeld, of op straat gegooid, om te ontregelen en te verontrusten. Bedrijven kunnen het zich simpelweg niet permitteren om hun veiligheid níet op orde te hebben. De wereld van internet was een vrolijk feest waarop iedereen zijn eigen dansje kon doen, en de filosofische gemeenschapszin was er een van vrijheid en blijheid. De ‘digitale sixties’ zijn inmiddels overgegaan in de onrustige ‘seventies’ en kennelijk zitten we nu in de angst, achterdocht en argwaan van de ‘eighties’. Iedereen die kan pikken, zal pikken. In tegenstelling tot de wantrouwige jaren tachtig blijft het in deze tijd niet alleen bij argwaan en achterdocht, cybercriminelen bestaan echt, ze vormen een pact, leven in geheime genootschappen, en organiseren zich. Zouden bonafide bedrijven, instellingen en organisaties zich dan niet evenzeer moeten beveiligen? Een platform als Guardian360 kan voor bedrijven en instellingen het verschil betekenen. Zou u niet willen weten wanneer er zwakke plekken in uw beveiliging ontstaan, of uw beveiliging te allen tijde up to date is? Zo’n tien jaar geleden zouden directies van veel bedrijven schouderophalend zeggen dat het zo'n vaart niet zou lopen. Die houding is achterhaald. Een belangrijke overweging voor diezelfde directies is nu: wat kost een spreekwoordelijke kanarie in een kolenmijn, als het vogeltje ervoor zorgt er geen lek ergens ontstaat en de boel niet instort? Lekken komen steeds vaker voor, de boel ligt op straat, en achteraf wordt er naar alles en iedereen gewezen, maar de schade is gedaan, en herstel soms onmogelijk. Met de kennis achteraf valt er altijd een verantwoordelijke partij aan te wijzen. Misschien moeten we vooraf ervoor zorgen dat het niet zover komt. Wie niet meteen wenst over te gaan op managed security kan zelf al wat doen om dieven buiten de deur te houden. Elk bedrijf kan op een bijna schoolse wijze een lijstje afwerken om hackers niet meteen vrij spel te geven. 1. Voorkom zwakke wachtwoorden. 2. Mis geen patches voor uw software. 3. Let op besturingssystemen die niet op juiste wijze zijn geconfigureerd. 4. Gebruik geen laptops die niet encrypted of versleuteld zijn. 5. Zorg ervoor dat uw webapplicaties zorgvuldig getest zijn. 6. Zorg ervoor dat u geen gedateerde malware-beveiliging gebruikt. Nu denkt u wellicht dat deze tips voor zich spreken. Dat is ook zo. En toch blijkt het in de praktijk zelden te worden toegepast. Nu beweren we niet dat wij het alziende oog zijn, maar we weten dat zulke problemen voorkomen. We zijn ons ervan bewust, en we weten waar we naar moeten zoeken. Dat scheelt. Te vaak zie je dat er een discrepantie bestaat tussen de technische dienst of de engineers van een bedrijf en het uitvoerende management. De technische afdeling weet doorgaans wat er speelt en probeert het management op de hoogte te stellen en de gevaren in kaart te brengen. Het management neemt het niet zo nauw, of denkt in getallen, in plaats van in oplossingen, en gaat voorbij de effectiviteit van hun keuzes om het probleem bij de horens aan te pakken. Blijven we even bij die beeldspraak: als u maar lang genoeg met een rode lap wappert en onbewust schreeuwt ‘Pak me dan, als je kan!’, dan kunt u erop wachten dat er op een zeker moment een bende dolle stieren op u afraast. De kans is groot dat u dan te laat bent om de matador in uzelf op te roepen.

Lees meer