Laatste trend: Cybercriminelen richten pijlen op mobile devices

Cybercriminelen azen steeds vaker op onze smartphones en tablets, meldt de kwartaalrapportage van het Amerikaanse cybersecuritybedrijf RSA. Niet verwonderlijk geeft ISO 27001 richtlijnen voor veilig gebruik van deze toestellen. Voor een meer verantwoord mobiel gebruik geeft Safesecur Group enkele waardevolle tips.  

Cybercriminelen richten hun aanvallen steeds vaker op smartphones, rapporteert het cybersecuritybedrijf RSA. Zij constateren dat phishing veruit de meest voorkomende manier is om een toestel te hacken.

Op laptop’s of pc’s verwijderen wij verdachte linkjes en bijlagen, maar op onze mobiele apparaten lijkt die aandacht te verslappen (herkenbaar?).

RSA deed in 2018 een steekproef uit meer dan 24.000 pogingen. Hieruit bleek dat 65% gericht was op mobiele applicaties en mobiele-browsertransacties. Ongeveer de helft van de aanvallen kwam via e-mail phishing.

Hoe voorkomt u dat smartphones of tablets worden aangevallen door cybercriminelen?

Om cyberaanvallen op uw mobiele toestel te voorkomen, geeft Safesecur Group enkele tips:

  • Kijk goed naar links en bijlagen. Volgens het RSA-rapport blijken phishing-pogingen namelijk steeds geavanceerder en realistischer te worden. Dat vergroot de kans dat zelfs de meest verstandige gebruiker de dupe wordt.
  • Controleer de apps op authenticiteit. Volgens de RSA zijn er zeker 8000 malafide apps. U herkent ze in de meeste gevallen met een kritische controle. Verifieer voordat u een app downloadt bijvoorbeeld het aantal reviews van de app en check de contactgegevens?
  • Houdt uw toestel up-to-date. Besturingsprogramma’s als IOS en Android moeten actueel zijn, waardoor ze minder kwetsbaar zijn voor cyberaanvallen.

 

Wat stelt ISO 27001 over het beveiligen van een smartphone of tablet tegen cyberaanvallen?

ISO 27001 is de normering die over de veiligheid van uw mobiele toestel gaat. Het mooie is dat deze ISO normering organisaties helpt om de juiste vragen te stellen en daarmee de risico’s te reduceren. ISO 27001 geeft een aantal richtlijnen gericht op beveiliging van bijvoorbeeld smartphones en tablets.

Zo wijst de norm op de risico’s van het gebruik van openbare wifi-netwerken en de gevoeligheid voor diefstal van mobile devices. Als oplossing voor ontvreemding van een mobiel draagt de norm de mogelijkheid tot wissen op afstand aan. Bovendien komt de noodzaak van awareness-sessies aan de orde. Hierin worden medewerkers gewezen op de vele cyberrisico’s met praktijkvoorbeelden.

Zulke awareness-sessies zijn erg nuttig, dat weten wij als Safesecur Group uit eigen ervaring. Wanneer wij zulke sessies doen, krijgen we terug dat veel alledaagse risico’s niet snel worden herkend. Tijdens de ISO 27001 implementatietrajecten reduceert Safesecur Group de gevaren door deze voorbeelden bespreek- en herkenbaar te maken.

Heeft u al nagedacht over dergelijke awareness-sessies, bijvoorbeeld in het kader van de AVG?  Hoe gaat uw organisatie hier mee om? Vertel ons uw ervaringen en wanneer wij u kunnen helpen vernemen wij dat graag.

AVG / GDPR: Kom op overheid, geef ons betere richtlijnen!

Het merendeel (77%) van het midden- en kleinbedrijf vindt dat de overheidsvoorlichting over de nieuwe privacywetgeving slecht is. Dat blijkt uit een peiling van MKB Nederland onder 2800 MKB-bedrijven. Ondernemers lijken door de bomen het bos niet meer te zien, maar de wet gaat wel op 26 mei in.

Wat staat u te wachten?

De overheid is erg lang zoekende geweest wat de AVG / GDPR betreft. Vooral de rol van de Autoriteit Persoonsgegevens als handhaver was lang onduidelijk. Kanttekening is wel dat zij als onafhankelijk orgaan haar taak uitoefent met een bezetting van slechts 140 medewerkers. De tijd dringt echter, omdat alle organisaties in Nederland na 26 mei aan de nieuwe wet moet voldoen.

Autoriteit Persoonsgegevens klaar voor 26 mei?

De Autoriteit Persoonsgegevens lijkt nu nog niet bij machte om gedegen privacy-dossiers op te bouwen. Laat staan om privacy-inbreuken te onderzoeken en de AVG / GDPR strikt te handhaven. Aangezien dit zelfstandig bestuursorgaan nog niet klaar is voor de deadline van 26 mei, is zij waarschijnlijk terughoudend met het uitdelen van boetes.

Meer privacy guidance vanuit de overheid

Recentelijk heeft de privacy-autoriteit zich hierover uitgelaten(!). Men neemt zich voor om na 26 mei de klachten van burgers niet direct te juridiseren. Bij het vaststellen van een AVG / GDPR – overtreding geeft de Autoriteit Persoonsgegevens uitleg aan de betreffende organisatie en gaat bemiddelen tussen partijen. Daarmee wil de toezichthouder vervelende juridische trajecten voorkomen.

Tegelijkertijd is het wenselijk dat het bedrijfsleven goede richtlijnen krijgt. En ook dat de privacy waakhond brancheverenigingen faciliteert en voorlicht. Ondernemers – en businessclubs organiseren nu veel bijeenkomsten op eigen initiatief. Ondertussen kijken de Autoriteit Persoonsgegevens en brancheverenigingen elkaar afwachtend aan.

Meer harmonie in Europees verband

De nieuwe Europese wet wordt straks in alle lidstaten op gelijke wijze toegepast. Daarvoor moeten de lidstaten wel met elkaar harmoniseren.  Wordt een sanctie en daaropvolgende boete op dezelfde wijze in Helsinki behandeld als in Sevilla? Europa heeft daar wel ideeën over, zoals ik eerder schreef in AVG / GDPR-boete: feit, fictie en nuance? Ook dat heeft tijd nodig.

Bent u nu te laat voor de AVG / GDPR?

Of u te laat bent voor de AVG / GDPR hangt er vanaf… De Autoriteit Persoonsgegevens pleit er voor dat als eerste de informatiebeveiliging van uw organisatie op orde is. Let op, ze vinden dat één van de basics!

Safesecur Group zit bovenop de ontwikkelingen en voert regelmatig ISO 27001 certificeringstrajecten en AVG / GDPR quick-scans uit. Het resultaat van zo’n scan is een prioriteitenlijst. Hierop staan alle ‘aan-te-pakken’ risico’s op gebied van informatiebeveiliging, datalekken of mogelijke privacy-inbreuken.

Wanneer u de volgende zaken op orde heeft, dan bent u al goed op weg:

  1. Maak uw informatiebeveiliging aantoonbaar op orde, bijvoorbeeld door een ISO 27001 certificeringstraject
  2. Maak uzelf en uw organisatie privacy-bewust (awareness traject)
  3. Informeer uw klanten en wijs op hun privacy-rechten
  4. Maak een overzicht van hoe u persoonsgegevens verwerkt (verwerkingsregister)
  5. Maak een Data Privacy Impact Assessment (DPIA)
  6. Zorg ervoor dat uw producten en diensten rekening houden met privacy
  7. Onderzoek of u een functionaris gegevensbescherming nodig heeft
  8. Documenteer datalekken
  9. Zorg voor een verwerkersovereenkomst
  10. Zorg eventueel voor toestemming voor het verwerken van gegevens

Benieuwd welke risico’s u over het hoofd ziet? Ik sta u graag persoonlijk te woord op 06-10961847.

Dick Bouwhuis aangetreden als Associate Objectbeveiliging bij Safesecur Group BV

Per 1 mei 2018 is Dick Bouwhuis aangetreden als Associate Objectbeveiliging bij Safesecur Group BV.

Dick wordt verantwoordelijk voor het uitvoeren van de security scans in de objectbeveiliging. De security scans worden uitgevoerd volgens De Haagse Methodiek ®, een aanpak die wordt omschreven als het aanbrengen van structuur in objectbeveiliging om de risico’s beheersbaar te houden. De succesvolle DHM® methode wordt al sinds jaar en dag toegepast bij risicovolle objecten van het Ministerie van Defensie, kerncentrales en in de particuliere sector.

Dick heeft in zijn rijke carrière voor het Ministerie van Defensie vele objecten geanalyseerd en kent het klappen van de zweep als geen ander: “Voor mij is security meer dan je ziet, de beste beveiliging draait niet alleen om  beveiligingspersoneel, poorten, hekken, camera’s en andere zichtbare beveiligingsmaatregelen. Security begint steeds met een grondige analyse van de dreiging als basis van een goed doordacht plan om met minimale investeringen een maximaal effect te bereiken”.

Daarnaast heeft Dick ruime ervaring met het  gebruik van drones voor security operaties en met het nemen van beschermingsmaatregelen tegen de inzet van drones bij haveninstallaties en in de petrochemische industrie. Hij is frequent spreker en wordt regelmatig als deskundige geraadpleegd over het gebruik en de risico’s van drones.

“Ik ben enorm blij dat Dick het team komt versterken”, aldus Marc van der Zandt. “Met zijn kennis en ervaring over het inrichten van objectbeveiliging, maken we een grote stap voorwaarts. Technologische ontwikkelingen zijn leuk, maar brengen helaas ook nieuwe risico’s en bedreigingen. Met Dick hebben we nu het antwoord in huis. Ik heet hem dan ook van harte welkom.”

De beveiligingsadviseurs van Safesecur Group BV zijn gevestigd in het World Trade Center te Rotterdam. Safesecur Group BV is gespecialiseerd in objectbeveiliging, informatiebeveiliging en de beveiliging van persoonsgegevens conform de nieuwe privacywetgeving AVG / GDPR.

AVG / GDPR: Hoe gaat u om met uw camerabewaking?

(Gepubliceerd in de april 2018 editie van Port Security Center)

Europa staat aan de vooravond van een omvangrijke herinrichting van de privacywetgeving. De Europese privacyrichtlijn en de daar op gebaseerde Wet Bescherming Persoonsgegevens worden per 25 mei 2018 ingetrokken. Vanaf dan zal de Algemene Verordening Gegevensbescherming (AVG / GDPR) gelden. Dit heeft grote gevolgen voor het bedrijfsleven.

De komst van de AVG / GDPR leidt voor alle havenbedrijven tot dezelfde problematiek. Wat mag nog wel en wat niet meer? Daarom geeft Port Security Center u in samenwerking met experts terzake graag een aantal praktische tips. Omdat in onze havens aardig wat camera’s hangen die al onze bewegingen registreren, gaan we in deze editie i.s.m. onze partner Safesecur Group BV in op cameratoezicht.

Cameratoezicht onder de AVG: wat mag wel en wat mag niet?

Camera’s worden gebruikt om personen en eigendommen te beschermen. Medewerkers en bezoekers moeten wel weten dat er een camera hangt. Bijvoorbeeld door bordjes op te hangen. Camerabeelden mogen niet langer worden bewaard dan nodig; 4 weken is de maatstaf. Maar is er een incident vastgelegd, zoals diefstal? Dan mag u de betreffende beelden bewaren totdat het incident is afgehandeld.

Cameratoezicht kan helpen tegen diefstal of beschadiging van eigendommen. Maar de inbreuk op de privacy van medewerkers en bezoekers is groot. Organisaties moeten daarom zorgvuldig met cameratoezicht omgaan. Daarom mag je alleen camera’s ophangen, als je aan een aantal voorwaarden voldoet.

  1. De werkgever moet een zogeheten gerechtvaardigd belang hebben voor het cameratoezicht. Bijvoorbeeld diefstal tegengaan, of werknemers en bezoekers beschermen.
  2. Daarnaast moet het cameratoezicht noodzakelijk zijn. Dat wil zeggen dat het doel – bijvoorbeeld fraudebestrijding – niet op een andere manier kan worden bereikt. Is er een andere mogelijkheid, die minder ingrijpend is voor de privacy? Dan geniet die de voorkeur.
  3. Bovendien moet eerst een privacy-toets worden uitgevoerd. Dit betekent dat de organisatie de belangen en rechten van de werknemers en bezoekers afweegt tegen haar eigen belang.
  4. De inbreuk op de privacy moet verder zo klein mogelijk zijn. Een camera in een toilet gaat bijvoorbeeld te ver.
  5. Verder mag de camera geen geluidsopnamen maken. Dat is voor het doel namelijk niet nodig.
  6. Ook mag het cameratoezicht niet op zichzelf staan. Het moet onderdeel zijn van een totaalpakket aan beveiligingsmaatregelen.
  7. Tenslotte moet de ondernemingsraad goedkeuring geven.

Door de volgende 5 stappen te zetten, kun je aantoonbaar maken dat je, ook voor cameratoezicht, voldoet aan de Algemene Verordening Gegevensbescherming:

  1. Voer een compliance check uit naar de mate waarin cameratoezicht voldoet aan de AVG / GDPR en pak de zaken aan die nog niet compliant zijn.
  2. Voer een Privacy Impact Assessment uit naar de wijze waarop cameratoezicht binnen de organisatie wordt ingezet en hou je aan alles wat je daarin hebt aangegeven.
  3. Stel een camerareglement op waarin alle informatie omtrent het camerasysteem wordt vastgelegd en laat deze goedkeuren door de Ondernemingsraad.
  4. Zorg voor verwerkersovereenkomsten met alle externe partijen die betrokken zijn bij het cameratoezicht en controleer of alle partijen zich daaraan houden.
  5. Zorg dat de Functionaris Gegevensbescherming weet dat cameratoezicht valt onder de AVG en betrek hem/haar bij de bovenstaande acties.

Marc van der Zandt is algemeen directeur van de Safesecur Group BV – beveiligingsadviseurs gevestigd in het World Trade Center te Rotterdam. Safesecur Group BV is gespecialiseerd in objectbeveiliging, informatiebeveiliging en de beveiliging van persoonsgegevens conform de nieuwe privacywetgeving AVG / GDPR. 

Is ISO 27001 certificering dé oplossing voor de AVG/ GDPR?

Wel eens aan gedacht om ISO 27001 te implementeren om aan de AVG/GDPR te voldoen? ISO 27001 is de leidende internationale norm om fysieke documenten en digitale informatie te beveiligen. Een zeer actueel thema. Daarmee lijkt deze certificering ideaal om aan de AVG/GDPR te voldoen. Maar in hoeverre is dat toereikend?

ISO 27001 en de AVG/GDPR overlappen elkaar, ze gaan allebei over privacy- en persoonsbescherming. Er zijn veel gelijkenissen. De AVG/GDPR richt zich specifiek op de bescherming en het beheer van persoonsgegevens. Bij ISO 27001 ligt de focus op het in stand houden van een managementsysteem om informatie te beveiligen en verlies van gegevens te voorkomen.

Raakvlakken tussen ISO 27001 en AVG/GDPR

We vonden zeven specifieke gebieden waar ISO 27001 de naleving van AVG/GDPR rechtstreeks ondersteunt:

1)   Beheer van persoonlijke gegevens is de kernfocus van de AVG/GDPR. ISO 27001 ondersteunt dit met richtlijnen om persoonlijke gegevens te identificeren en te beheren. Zowel binnen ISO 27001 als de AVG/GDPR classificeer je hoe, waar en hoelang de data wordt opgeslagen en wie er toegang heeft.

2)   ISO 27001 en de AVG/GDPR gaan beiden over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Het zijn belangrijke bouwstenen van een informatiemanagementsysteem, het moet kloppen en correct zijn.

3)   De AVG/GDPR schrijft voor dat bedrijven risicobeoordelingen uitvoeren alvorens persoonsgegevens te verzamelen, de zogeheten “impact-analyse”. Evenzo vereist ISO 27001 dat er altijd risico-analyses worden uitgevoerd om kwetsbaarheden in kaart te brengen, niet alleen over het verzamelen van persoonsgegevens maar ook op andere onderdelen.

4)   Bijzondere persoonsgegevens (godsdienst, politieke voorkeur of geaardheid) moeten extra goed worden beschermd. Deze data kent een verhoogd risico bij openbaring. Dit soort gevoeligheden beschermen is inherent onderdeel van zowel ISO 27001 als de AVG/GDPR.

5)   De AVG/GDPR stelt als voorwaarde dat er bij een ‘fysiek of technisch incident’ snel toegang moet zijn tot persoonlijke gegevens. ISO 27001 kent een hele reeks aan beheersmaatregelen (controls) om de snelle beschikbaarheid van deze kritieke gegevens te waarborgen.

6)   De AVG/GDPR schrijft voor dat bedrijven binnen 72 uur een privacy inbreuk moeten melden aan de autoriteiten. ISO 27001 schrijft “een consistente en effectieve aanpak” voor, organisaties met een ISO 27001 certificering zijn doorgaans ingericht op een snelle reactie bij inbreuk op data.

7)   Wordt de verwerking of opslag van persoonlijke gegevens uitgevoerd bij een verwerker (salarisadministratie, pensioenfonds, verzekeraar)? De AVG/GDPR kent als voorschrift dat er een contractuele overeenkomst wordt gesloten, de zogeheten verwerkersovereenkomst. Hierin staat zwart-op-wit dat ook verwerkers de AVG/GDPR moeten naleven. ISO 27001 verplicht ook tot adequate bescherming van gegevens waar uitbestedingspartijen toegang toe hebben, het moet aantoonbaar goed geregeld zijn.

Met zoveel overeenkomsten is ISO 27001 momenteel de beste routekaart om aan de AVG/GDPR te gaan voldoen. Toch roept dat nog een belangrijk vraag op:

Als uw organisatie reeds ISO 27001 gecertificeerd is, voldoet u dan al aan de AVG/GDPR?

Waarschijnlijk niet, de AVG/GDPR stelt specifieke eisen op naleving van de privacy-rechten van burgers, we noemen enkele essentiële verschillen:

1) In de AVG/GDPR is opgenomen dat burgers kunnen verzoeken dat hun persoonsgegevens worden verwijderd, ” the right to be forgotten”. ISO 27001 kent dit niet.

2) AVG/GDPR vermeldt specifiek dat het gebruik van persoonsgegevens moet worden geminimaliseerd. In de ISO 27001 komt dit niet specifiek aan de orde.

3) ISO 27001 spreekt zich niet uit over het aanwijzen van een Functionaris voor de Gegevensbescherming. Binnen de AVG/GDPR zijn alle overheidsorganisaties verplicht om deze functionaris te benoemen.

Als u voldoet of besluit te gaan voldoen aan de ISO 27001 norm, dan bent u uitstekend op weg om aan de AVG/GDPR te voldoen en tackelt u tegelijkertijd meerdere issues ten aanzien van informatiebeveiliging.

Weet u al hoe u er voor staat? We helpen u graag met de AVG/GDPR inventarisatie of een ISO 27001 certificeringstraject. Neem contact op met Safesecur Group BV – World Trade Center Rotterdam – , via office@safesecur.nl

Hoe AVG / GDPR de klantrelatie verdiept

Naleving van de AVG/GDPR versterkt uw marktpositie en maakt u een betrouwbare partner. Voor opdrachtgevers geeft het een veilig gevoel dat u professioneel omgaat met vertrouwelijke informatie. De AVG/GDPR verdiept daarmee uw klantrelatie.

Toon aan dat u de privacy van uw zakelijke relaties serieus neemt, dat wekt vertrouwen op. Het onderscheidt u en verbetert uw concurrentiepositie. Uw opdrachtgever zal het van u verlangen. Juist in ‘aanbestedingsraces’ merkt u hoe belangrijk het is om compliant te zijn met wet- en regelgeving.

Betere werknemersrelatie met AVG/GDPR

Die voorsprong geldt niet alleen voor een lead, prospect of opdrachtgever. Het is ook van toepassing op andere belanghebbenden. Uw medewerkers vinden het belangrijk om te weten dat privacygevoelige informatie niet zomaar op straat komt te liggen (denk aan de USB met salarisgegevens). Uw medewerker voelt zich prettiger in een organisatie waarin goed voor de eigen privacy wordt gezorgd. Het behouden van medewerkers is belangrijk voor de relatie met uw klant.

Vooroplopen met AVG/GDPR

Dit tijdperk daagt u uit om bewust te zijn van de risico’s rondom privacygevoelige informatie. Wij merken dat organisaties willen weten waar ze staan. Daarom doen wij een exclusieve aanbieding. Tijdens een AVG/GDPR-scan zorgen we ervoor dat u inzicht krijgt in data- en privacy-risico’s die u vandaag loopt.

Eindresultaat van de scan is een actielijst met prioriteiten en formats waarmee u aan de slag gaat! U weet hoe u er voor staat en wat u moet doen om de privacyrisico’s te reduceren en boetes te verminderen. Uit onderzoek blijkt dat de meesten van uw concurrenten nog niet AVG/GDPR compliant zijn. Wilt u op hen voorlopen en uw klantrelatie verdiepen, neem dan contact met ons op.

Is een ISO 27001-certficering voldoende voor AVG/GDPR compliance? Dat leest u de volgende keer.

Safesecur Group BV adviseert organisaties over objectbeveiliging, informatiebeveiliging en AVG/GDPR compliance. Certificerende instellingen maken gebruik van onze consultants om ze in te zetten als geaccrediteerd Lead Auditor voor certificeringen en trainingen (ISO 9001, ISO 27001, ISO 22301).

GEZOCHT: Gebouwen / objecten om security scan op uit te voeren in kader van productontwikkeling

In het kader van onze productontwikkeling is Safesecur Group BV op zoek naar gebouwen / objecten om de beveiliging te toetsen middels een “security scan”.

We hebben in de afgelopen maanden een slimme methodiek gereed gezet die in de komende weken wordt getest. In het gebouw / object moeten minimaal 20 personen werkzaam zijn.

Tijdens deze pilot gelden zeer aantrekkelijke voorwaarden.

Mocht iemand in uw netwerk belangstelling hebben, dan verzoeken we u om contact op te nemen via een PB op Linkedin of via het contactformulier.

Safesecur Group BV – security management consultants –
World Trade Center Rotterdam
Beursplein 37
3011 AA  Rotterdam

AVG / GDPR-boete: feit, fictie en nuance?

Wij horen – net als u – over het dreigingsbeeld van AVG / GDPR-boetes. Kunnen zij echt oplopen tot 4 procent van de omzet of 20 miljoen? Zijn deze sancties te verminderen, of zelfs te voorkomen? Wij deden een korte fact-check.

Over de AVG / GDPR wordt veel gepubliceerd. In de meeste publicaties ontbreekt echter de nuance dat 4% van de omzet of zelfs 20 miljoen een maximum is. Het gaat wel heel kort door de bocht om meteen te stellen dat overtreders van de AVG / GDPR-wetgeving dit soort bedragen moeten betalen.

Voor een goed beeld van de handhaving van de AVG / GDPR namen wij dit EU-document onder de loep. Hierin vonden wij verschillende richtlijnen die u helpen om maximumboetes te verminderen of zelfs te voorkomen.

Guidelines on Fines 2016/679

Richtlijnen die een ‘verminderende werking’ hebben op de maximumboete, zijn bijvoorbeeld:

  • de aard, ernst en duur van de overtreding
  • of er sprake is van opzet/nalatigheid
  • hoeveel individuen slachtoffer zijn
  • hoeveel moeite is gedaan om schade voor individuen te beperken
  • relevante eerdere overtredingen
  • na de overtreding, de mate waarin de organisatie samenwerkt met de Autoriteit Persoonsgegevens om de overtreding te repareren en de schadelijke effecten te beperken
  • de wijze waarop de overtreding bekend wordt bij de Autoriteit Persoonsgegevens
  • het moment dat de Autoriteit Persoonsgegevens erachter komt
  • de categorie van persoonsgegevens betrokken bij de overtreding. Een data-lek van een telefoonnummer is anders dan informatie over het ras, geloof of de medische toestand
  • de mate waarin de organisatie verantwoordelijk is, gezien eerder genomen technische en organisatorische maatregelen

Nemen van maatregelen AVG / GDPR

Wanneer u aan kunt tonen dat u de nodige maatregelen heeft getroffen, dan kan dit een maximumboete verminderen. Bent u hierop voorbereid?

Het is raadzaam te laten controleren in hoeverre u aan de Europese eisen voldoet.