28 januari 2022

Cyber-
criminaliteit en
Dataprivacy: Trends en Ontwikkelingen

Voor NDIX is en blijft cybersecurity een ontzettend belangrijk thema en is de integriteit van privédata een must. Met wetten wordt het verkeerd inzetten van persoonlijke gegevens tegengegaan en cybercriminelen zijn nog steeds aanwezig binnen de ICT-wereld. In dit artikel brengen we je op de hoogte van de ontwikkelingen op het gebied van cybersecurity en dataprivacy en hoe jij als gebruiker hier mee om kunt gaan.

Het is mogelijk dat jouw bedrijf vele klanten heeft, met als gevolg het uitwisselen van gevoelige bedrijfsdata tussen twee of meer partijen. Indien er sprake is van cybercriminaliteit, kan het zo zijn dat deze persoonlijke data niet langer meer veilig is. Om deze reden is het belangrijk om goed gewapend te zijn tegen cybercriminaliteit en de privacy van uw data te garanderen om zo de data van uw relaties te kunnen beveiligen. Met het thuiswerken zijn werknemers nog afhankelijker geworden van de digitale werkomgeving. Dit heeft natuurlijk ook effect gehad op de cybercriminelen en hun werkwijze.

Malware en Ransomware

In het bijzonder worden er hier twee vormen van cybercriminaliteit uitgelicht die momenteel veel schade aanrichten: malware en een veel voorkomende variant hiervan, ransomware. Malware is software die gecamoufleerd als programma of bestand een computer, netwerk of server infecteert. Op deze manier komen cybercriminelen binnen bij dit systeem en kan toegang tot de IT-omgeving waartoe het systeem behoort, verkregen worden, waarna zij hierbinnen gegevens kunnen ophalen of systeemgegevens kunnen aanpassen. Malware kan onschuldig zijn, maar bepaalde malware, zoals virussen, kunnen zeer vergaande gevolgen hebben voor bedrijven.

 

Eén van de meest voorkomende vormen van cybercriminaliteit is ransomware. Bij deze vorm van malware wordt een deel van het ICT-apparaat of soms zelfs het hele apparaat geblokkeerd en is het voor de gebruiker onbereikbaar. Hiertoe kunnen ook gegevens behoren. Bij ransomware wordt deze data ‘’gegijzeld’’ en moet de gehackte persoon een geldbedrag betalen om de gegevens of het apparaat terug in handen te krijgen. Er is echter geen garantie dat het systeem of de data daadwerkelijk weer wordt vrijgegeven, wat ransomware een zeer gevaarlijke wijze van cybercriminaliteit maakt. 1 op de 5 bedrijven krijgt wel eens te maken met een ransomwareaanval, wat het gevaar van ransomware goed aanduidt.

Rol thuiswerken en mobiele apparaten

Doordat thuiswerken de norm is geworden in de afgelopen twee jaar, is de manier waarop met data omgegaan wordt ook veranderd. Waar voorheen het gehele bedrijfsnetwerk op één fysieke plek kon staan, is het inmiddels zo dat vanaf thuis alle informatie moet kunnen zijn. Het bedrijfsnetwerk moet dus vanuit meerdere plekken toegankelijk zijn en dit zorgt voor het gebruik van bijvoorbeeld een VPN om via het internet toegang te krijgen tot deze bedrijfssystemen. Daarmee stijgt de kans op een cybercrimineel die meekijkt ook.

 

Mobiele apparaten worden ook steeds vaker aangevallen door cybercriminelen en privacygevoelige data is ook op deze apparaten niet altijd veilig. Er wordt bijvoorbeeld geprobeerd om data te verkrijgen door valse berichten te versturen via SMS of Whatsapp. Ook zijn er apps die om één of meerdere goedkeuringen vragen voor data van jouw telefoon waarmee belangrijke gegevens opgehaald kunnen worden. Daarom moet goed opgelet worden om welke data gevraagd wordt door een app die door een gebruiker geïnstalleerd wordt. Indien deze data niet nodig is voor het goed functioneren van de app, kan het zijn dat er kwaadaardige bedoelingen zijn. Ook op zakelijk gebied moet er dus goed opgelet worden welke data aan welke apps gegeven wordt.

Tip: zero trust

Een manier van kijken naar data en datauitwisseling binnen een bedrijf die in opmars is, is ‘’zero trust’’. Hierbij wordt er van uitgegaan dat niks binnen een netwerk te vertrouwen is. Bij veel netwerken kunnen veel zaken zonder verificatie bewerkt worden, wat het voor cybercriminelen makkelijker maakt om iets binnen het netwerk op te kunnen halen. Om die verificatie wordt bij een ‘’zero trust’’ wél gevraagd. Bij het opvragen van bepaalde informatie wordt er bij iedereen, bij elk apparaat of bij elk IP-adres gevraagd om een verificatie, bijvoorbeeld door middel van een toegangscontrole. Een two-factor authentication zorgt hierbij voor nog meer veiligheid, omdat pas na twee stappen de informatie ingezien kan worden. Met deze andere manier van kijken naar de IT-infrastructuur is er een grotere kans dat ongewenste gasten buiten de deur gehouden worden. Ook kan in dit geval de dataprivacy binnen een bedrijf veel beter worden gewaarborgd.

Europese wetgevingen

Door de globalisering en digitalisering telt digitaal contact geen grenzen meer. Daarom zijn er ook op Europees niveau belangrijke wetgevingen nodig. De belangrijkste Europese wetgeving omtrent dataveiligheid is GDPR (General Data Protection Regulation), in Nederland wordt dit AVG genoemd (Algemene Verordening Gegevensbescherming). Sinds 2018 verplicht deze wetgeving dat persoonsgegevens op een juiste manier verwerkt worden door bedrijven en instanties. Zo mogen persoonsgegevens überhaupt al niet zomaar verwerkt worden, want om dit te mogen doen moet er een goede reden zijn. Er moet een noodzaak zijn om persoonsgegevens te verwerken, zoals wanneer zonder persoonsgegevens geen product of dienst geleverd kan worden. Transparantie is hierbij ook van groot belang vanuit de organisatie.

 

Binnen Europa lopen er ook veel zaken omtrent het tegengaan van cybercriminaliteit. Een voorbeeld hiervan is het NIS2 (Network and Information Security), dat momenteel in ontwikkeling is. Dit is een richtlijn dat een evolutie is van de huidige richtlijn, NIS1. Door de sterke stijging in aanvallen van cybercriminelen wordt de noodzaak voor een goede bewapening hier tegen groter en groter. Waar de NIS1 gold voor essentiële bedrijven als water- en telecombedrijven, zal de NIS2 gelden voor meer sectoren. Bij de NIS2 zullen ook de securityeisen voor bedrijven veranderd worden door middel van een minimaal aantal elementen voor een basisbeveiliging die geïmplementeerd moeten worden. Als laatste moeten securityrisico’s worden aangepakt en moet een strengere handhaving van de veiligheidsmaatregelen gehandhaafd worden. Het doel is om in het eerste kwartaal van 2022 een definitief akkoord voor NIS2 te hebben binnen de Europese commissie. Binnen Nederland komt er binnenkort ook een wet gebaseerd op de NIS2, namelijk de WBNI (Wet Beveiliging Netwerk- en Informatiesystemen).

ISO 27701

Voor dataprivacy kan er ook gekeken worden naar een ISO-certificering. De ISO27701 bestaat sinds 2019 en is een internationaal standaard voor privacy management, als uitbreiding van ISO-27001. Bij deze ISO-certificering hoort een Privacy Information Management System (PIMS) als aanvulling van een Information Security Management System (ISMS). Dit systeem brengt in kaart hoe je je gegevensbescherming inricht. Een ISO27701-certificering legt een goede basis om te kunnen voldoen aan de AVG-wetgeving.

NDIX en Security

Weten hoe NDIX data van gebruikers veilig houdt? Neem een kijkje op onze Next Level Security-pagina!

Meer artikelen en nieuwsberichten

NDIX: Next Level Connectivity
31 maart 2022

Welkom bij het nieuwe NDIX! Bij een nieuwe huisstijl hoort ook een nieuwe website. Met trots presenteren we daarom onze volledig vernieuwde website waarbij gebruikersgemak...

Lees meer
Cybercriminaliteit en Dataprivacy: Trends en Ontwikkelingen
28 januari 2022

Voor NDIX is en blijft cybersecurity een ontzettend belangrijk thema en is de integriteit van privédata een must. Met wetten wordt het verkeerd inzetten van...

Lees meer
NDIX Explains: OSI-Model
20 januari 2022

Wanneer je praat over een netwerk en over het versturen van data van de ene naar de andere locatie, komt het OSI-model meestal ter sprake....

Lees meer