Databeveiliging & Dataverlies
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Autoriteit Persoonsgegevens (AP) heeft forse kritiek op het nieuwe cloudbeleid van het kabinet. Volgens de privacytoezichthouder is daarin onvoldoende vastgelegd dat data van Nederlandse burgers moeten voldoen aan de privacyregels. De zorgen zijn geuit in een brief aan Van Huffelen, staatssecretaris voor Digitalisering.
Eind augustus presenteerde de staatssecretaris nieuw cloudbeleid. Daarmee wil zij bevorderen dat overheidsinstanties gebruik mogen maken van commerciële clouddiensten. En dus informatie over Nederlanders mogen opslaan op servers van bijvoorbeeld Amerikaanse bedrijven als Amazon, Google of Microsoft.
‘De overheid beschikt over een gigantische hoeveelheid data over ons allemaal’, zegt AP-voorzitter Aleid Wolfsen. ‘Hoeveel jij verdient, je burgerservicenummer, je bankrekeningnummer en nog veel meer. Die gegevens moeten niet in verkeerde handen vallen. Als je die niet op eigen servers opslaat, maar op die van een bedrijf, moet je zeker weten dat ze veilig zijn. Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid. Daar maak ik me zorgen over.’
De toezichthouder vraagt de staatssecretaris met name oog te hebben voor de risico’s van het opslaan van persoonsgegevens in landen buiten Europa, waar de privacywet Algemene verordening Gegevensbescherming (AVG) niet geldt.
Wanneer de overheid persoonsgegevens opslaat op servers van een bedrijf buiten de EU, dan moet de overheid nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Dat is volgens de AP niet altijd het geval. 'Zo kunnen bijvoorbeeld Amerikaanse inlichtingendiensten persoonsgegevens van Nederlanders opvragen bij Amerikaanse bedrijven. Zelfs als de servers van die bedrijven in Europa staan. Daardoor kunnen die diensten jou bijvoorbeeld onterecht in verband brengen met terrorisme of fraude, waardoor je de VS en andere landen niet meer binnenkomt.’
Tot slot is het beleid volgens AP nu te vrijblijvend. ‘Zo zijn zelfstandige bestuursorganen niet verplicht het beleid te volgen. Terwijl instellingen als het UWV, het CBS en de Sociale Verzekeringsbank gevoelige persoonsgegevens van ons allemaal in hun systemen hebben staan’, waarschuwt Wolfsen.
Alles bij de bron; Computable
- Gegevens
- Hoofdcategorie: Internet en Telecom
Gegevens van het Indiase energiebedrijf Tata Power zijn op internet gepubliceerd na een cyberaanval. De verantwoordelijkheid is opgeëist door ransomware-groepering Hive. Onder meer persoonsgegevens zijn uitgelekt.
Tata Power is het grootste energiebedrijf van India met meer dan 12 miljoen klanten. Hive stelt dat de gegevens van Tata Power op 3 oktober zijn versleuteld, terwijl het bedrijf pas twee weken later de aanval naar buiten bracht.
TechCrunch zag de gepubliceerde data in en meldt dat het onder meer gaat om gevoelige gegevens van werknemers. Denk daarbij aan adresgegevens en telefoonnummers, maar ook aan rekeningnummers en gegevens van identiteitskaarten en salarisinformatie. Het gaat daarbij om gegevens van zowel klanten als werknemers van Tata Power.
Alles bij de bron; Dutch-IT-Channel
- Gegevens
- Hoofdcategorie: Internet en Telecom
De gemeente Hof van Twente, waar criminelen eind 2020 dankzij het wachtwoord "Welkom2020" konden binnendringen en ransomware uitrollen, was al veel eerder gewaarschuwd over het wachtwoordbeleid.
De accountant van de gemeente had voordat de aanval plaatsvond meerdere keren gewaarschuwd voor een mogelijke aanval en het gebruikte wachtwoordbeleid. In 2018 geeft de accountant een achttal aandachtspunten, waaronder het informatiebeveiligingsbeleid, toegangs- en autorisatiebeleid en pentesten. In 2019 constateert de accountant dat op een aantal punten vooruitgang is geboekt, maar dat er nog aandacht nodig is voor it-beheer en wachtwoordbeleid.
Signalen over problemen met de informatiebeveiliging kwamen echter niet voldoende binnen bij het management, college en de raad. De kennis over informatiebeveiliging was onvoldoende om de risico's op informatieveiligheid adequaat te duiden en erop door te vragen.
Dat blijkt uit een rapport van de Rekenkamercommissie van de Hof van Twente.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De politie heeft een man uit Krimpen aan den IJssel aangehouden. Hij wordt verdacht van het hacken van zorgplatform Carenzorgt.nl. De man zou tienduizenden documenten hebben gestolen, die onder meer medische gegevens bevatten.
Vorige week deed Nedap, de softwareleverancier van Carenzorgt.nl, aangifte van de gegevensdiefstal. "Justitie en politie zijn ook meteen in actie gekomen en hadden de verdachte al snel in het vizier.” aldus Nedap-directeur Ruben Wegman tegen Tubantia.
De politie heeft zijn huis doorzocht en 'verschillende gegevensdragers' in beslag genomen. Hoeveel documenten er precies zijn gestolen, is nog niet bekend.
Carenzorgt.nl is een platform waarmee mantelzorgers informatie uitwisselen met zorgprofessionals over de behandeling en verzorging van patiënten. Het platform wordt gebruikt door 9000 zorgaanbieders en een half miljoen particulieren.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Criminele hackers hebben de bestanden buitgemaakt bij de ransomware-aanval op ID-ware, het bedrijf dat onder andere het toegangssysteem levert aan onder meer de Eerste en Tweede Kamer.
Diezelfde hackers hebben ook de gegevens van 21.000 pashouders van de TU Eindhoven in handen kunnen krijgen, bevestigt de universiteit. De bestanden met daarin de volledige namen, privé-mailadressen, woonadressen, geboorteplaatsen, studentennummers en pasnummers zijn door de hackers gepubliceerd op het dark web.
Naast de data van de TU Eindhoven hebben de hackers ook gegevens van medewerkers van de Hogeschool Utrecht in handen gekregen. Om hoeveel mensen en om welke gegevens het gaat kon de Hogeschool Utrecht nog niet zeggen.
Het gaat in ieder geval om naam, adresgegevens en personeelsnummers van een nog onbekend aantal medewerkers. Of ook de gegevens van studenten zijn buitgemaakt is onduidelijk. De komende dagen moet verder onderzoek uitwijzen welke en hoeveel gegevens zijn buitgemaakt.
Alles bij de bron; RTLNieuws
- Gegevens
- Hoofdcategorie: Internet en Telecom
Ondanks waarschuwingen van experts staat driekwart van alle Nederlandse studentgegevens opgeslagen bij datacenters van de Amerikaanse techbedrijven Microsoft en Amazon (de 'cloud'). Dat blijkt uit een internationale studie. Het cloudgebruik door universiteiten is omstreden, omdat de privacy van studenten in het geding is. Ook kunnen universiteiten economisch afhankelijk worden van de techbedrijven.
De onderzoekers bekeken het cloudgebruik vanaf 2015. Toen stond zo’n 25% van de studentendata in de cloud, nu is dat 75%. Naast die data, zoals studieprestaties en persoonsgegevens, zijn ook onderzoeksgegevens en digitale lessystemen in de cloud opgeslagen.
De universiteiten, verenigd in Universiteiten van Nederland (UNL), zeggen in een reactie dat ze niet bijhouden hoeveel universiteiten in de cloud zetten. Wel erkennen ze 'het risico van afhankelijkheid van grote techbedrijven'. De Landelijke Studentenvakbond (LSVb) vindt dat studentengegevens niet bij commerciële bedrijven moeten liggen.
Alles bij de bron; FD [inloggen noodzakelijk]
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Australische overheid is een speciale operatie gestart voor slachtoffers van het grote datalek bij telecomprovider Optus. Daar wist een aanvaller de gegevens van zo'n tien miljoen Australiërs in handen te krijgen, zo'n veertig procent van de totale bevolking.
Bij de aanval werden namen, geboortedata, telefoonnummers en e-mailadressen en voor een deel van de klanten ook rijbewijsnummers en paspoortnummers buitgemaakt.
Voor meer dan tienduizend Optus-klanten waarvan identiteitsgegevens door de aanvaller zijn gelekt is de Australische overheid in samenwerking met Optus en banken "Operation Guardian" gestart.
Als onderdeel van deze operatie worden maatregelen genomen om getroffen klanten tegen identiteitsfraude te beschermen. Eerder werd al bekend dat Australiërs waarvan de rijbewijsgegevens zijn gestolen kosteloos een nieuw rijbewijs kunnen aanvragen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Microsoft waarschuwt organisaties en bedrijven voor twee actief aangevallen zerodaylekken in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller code op kwetsbare systemen kan uitvoeren....
...Aangezien beveiligingsupdates nog niet beschikbaar zijn adviseert Microsoft het instellen van bepaalde URL-rewrites, waarmee de huidige aanvallen zijn te voorkomen.
Verder kan het blokkeren van bepaalde poorten gebruikt voor remote PowerShell de aanvallen beperken, aldus het techbedrijf. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 8.8 en 6.3.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Ziekenhuizen moeten hun informatiesystemen zo snel mogelijk op orde brengen om de kans op storingen te verkleinen. De Inspectie Gezondheidszorg en Jeugd (IGJ) draagt alle ziekenhuizen op om uiterlijk volgend jaar te voldoen aan wettelijke normen voor informatiebeveiliging. "Nog lang niet alle ziekenhuizen voldoen aan deze norm", laat de inspectie weten.
Naast deze harde eis om te voldoen aan al bestaande wettelijke normen geeft de IGJ nog een aantal aanbevelingen aan ziekenhuizen om de impact van computerstoringen te verkleinen. Want de gevolgen zijn vaak groot als het misgaat met de ICT, zo blijkt uit een evaluatie van veertien van dit soort storingen tussen 2018 en dit jaar.
In twaalf gevallen hadden de technische problemen "flinke gevolgen voor de zorg", schrijft de inspectie in een rapport. Zorgverleners konden niet meer bij elektronische patiëntendossiers en in tien gevallen moest de spoedeisende hulp tijdelijk dicht. Ook leidden tien ICT-storingen tot uitstel van operaties.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het is volgens TikTok niet mogelijk om na te gaan of leden van de Chinese communistische partij data van gebruikers buiten China inzien.
TikTok-coo Vanessa Pappas zei in de hoorzitting tijdens de vragen van een Republikeinse senator dat medewerkers in China toegang hebben tot data van TikTok-gebruikers. Dat zijn per definitie gebruikers buiten China, omdat TikTok in China niet actief is.
Tijdens de hoorzitting ging het onder meer over de vermeende banden tussen TikTok en de Chinese overheid. TikTok is het eerste grote sociale medium met een Chinees moederbedrijf. Veel politici menen dat daardoor waardevolle gebruikersdata bij de Chinese overheid terecht kan komen. De Indiase overheid heeft TikTok daarom enkele jaren geleden verboden. In andere landen is dat vooralsnog niet het geval.
Alles bij de bron; Tweakers