Kwetsbaarheid in digitale systemen

Naar mate werkzaamheden steeds meer worden gedigitaliseerd, nemen ook de bedreigingen toe.

Het gaat er tegenwoordig niet meer om of een aanvaller met minder goede bedoelingen binnen komt, maar het is sec een kwestie van tijd, wanneer en hoe lang deze op bezoek komt en met welk doel.

Waar het voorheen vooral een verstoring betrof, is de positie van de aanvaller gewijzigd naar een profit-model.

Wij helpen klanten veerkrachtig te zijn met, en bewust te zijn van, cyberdreigingen.

Phishing en ransomeware via e-mail, té eenvoudig wachtwoordgebruik, onbeveiligde toegang tot bestanden op Googe Drive of Microsoft Onedrive, het internet -de cloud genoemd-, uw website, toegang tot netwerken met online werken, single sign login, slimme apparaten -IoT-, kunnen zowel positief als negatief werken, maar gaan veelal ook gepaard met aanzienlijke doorlopende kosten.

Vaak komt het voor dat er systemen worden gebouwd zonder dat IT-stakeholders worden geraadpleegd. Voor werknemers worden systemen star en onbemind waardoor naleving van veiligheid tweederangs wordt. Een goed voorbeeld hiervan is een minister, welke privé
e-mail gebruikt voor werkdoeleinden.

Persoonlijke gegevens en AVG

De Algemene Verordening gegevens-bescherming, kortweg AVG geeft private personen meer privacyrechten.

Bedrijven, instellingen, eigenlijk alle organisaties die iets van doen hebben met het verwerken van data, dienen hun systemen zo in te richten dat rechten in algemene zin worden beschermd.

De AVG geldt in Europa voor natuurlijke personen. Het verwerken van bijzondere persoonsgegevens, zoals gezondheid, is verboden tenzij de verwerker haar doel baseert op een wettelijke grondslag.

Gegevens over organisaties en rechtspersonen en personen onder ons, vallen niet onder de AVG, net zoals, soms, de voorkeur van het algemeen belang vs privacy in het geval van een beroepsbeoefenaar. Bijvoorbeeld wanneer een opname van gegevens, of koppelingen naar, in een resultatenlijst strikt noodzakelijk blijkt, ter bescherming van het recht op vrijheid van informatie. (ECLI:NL:HR:2022:329)

Wij kunnen u helpen in kaart te brengen wat uw organisatie aan gegevens verwerkt én wilt hergebruiken, voor uw legitieme doel.

Het begrip van digitale risico's

Vergeten configuraties, open poorten, open test-systemen, inactieve beveiligingsfuncties, standaardwachtwoorden of niet aangebrachte patches voor hardware systemen, en natuurlijk de open login van uw website, komen regelmatig voor. 

Volgens onderzoek naar de 'cloud' 

(oftewel de op het internet gebaseerde verhuurdiensten van software applicaties),

ontstaan de meeste beveiligingsincidenten (hacken) en datalekken door verkeerde geconfigureerde clouddatabases. Enkele voorbeelden daarvan zijn SocialArks, T-Mobile, Kaseja, Ubiquiti.

Ook wachtwoord-clouddatabases worden gehackt, waardoor uw gegevens elders kunnen worden gebruikt.

Uiteindelijk hadden dergelijke zaken kunnen worden voorkomen, als er voldoende maatregelen zouden zijn genomen. Het gaat immers om het besef van een bestaand risico maar ook om de verantwoordelijkheid van mensen om hierop in te spelen.

Weten welke stappen u zou kunnen zetten om uw organisatie beter te beschermen? Neem dan contact met ons op.