Cyberonderzoeksraad – rapport – De schade van e-mail

E-mail is een populair middel om informatie te versturen, maar het maakt organisaties zeer kwetsbaar. De mailbox is vaak verworden tot een onsamenhangend archief met hierin de jarenlange historie van organisaties, iets waar het in wezen niet voor is bedoeld.

De Cyberonderzoeksraad heeft een groot onderzoek uitgevoerd naar de gevoeligheid van e-mail. Meer dan 70 domeinnamen die op andere domeinen lijken, werden geregistreerd. Vervolgens werd gewacht op binnenkomende berichten. Er bleken ruim 15.000 e-mails binnen te komen. Na het filteren van spam en virussen bleven er zo’n 3.100 relevante berichten over.

Tussen deze berichten zaten gevoelige zaken als processen-verbaal, aangiftes, medische dossiers, rekeningen, kopieën van bankafschriften, kopieën van identiteitspapieren, bestellingen (zelfs voor spionageapparatuur), vorderingen, departementaal vertrouwelijke stukken en meer.

Het versturen van persoonsgegevens naar de verkeerde ontvanger blijkt uit de cijfers van de Autoriteit Persoonsgegevens met 64% van alle datalekken het grootste probleem. Ons onderzoek bevestigt dit beeld: tikfouten worden veel gemaakt en gevoelige data landt eenvoudig in de verkeerde handen.

Survivalgids voor de Digitale Jungle

Na een lang en intensief traject is nu de finish in zicht: mijn nieuwe boek is bijna af. Het is heel veel werk geweest om informatiebeveiliging toegankelijk, beknopt en vooral correct neer te leggen op een manier dat je er in de praktijk ook echt mee aan de slag kunt. Met dank aan de inzet van veel goede experts. 

Wie met technologie in aanraking komt, heeft altijd een beveiligingsprobleem. Met de dagelijkse stroom aan berichten over de onveiligheid rond ICT rijst de vraag hoe je overleeft in de digitale jungle: persoonsgegevens moeten vertrouwelijk blijven, administraties kloppend zijn, websites en bedrijfsprocessen horen 24/7 te draaien. De problematiek komt overweldigend over. 

Dat hoeft niet. Door het op orde houden van de basishygiëne zijn veel rampen te voorkomen. Leer eenvoudig risico’s in kaart te brengen en maatregelen te nemen. Iedere organisatie kan stappen zetten om problemen te beheersen. In dit boek lees je wat je zelf kunt doen om beveiliging fors te verbeteren, risico’s in te schatten en te zoeken naar oplossingen. Neem zelf de regie, leer van de incidenten van anderen en laat je niet verlammen door de dreiging. 

Dit boek biedt een praktische, pragmatische insteek op het gebied van informatieveiligheid zonder het te oversimplificeren. We bannen de cybersecurityvoodoo uit en maken het thema beheersbaar. Schud het ‘dit is te moeilijk voor me’-gevoel van je af, steek de handen uit de mouwen en zoek de veilige kant van de grens van je kunnen op.

Wie het onderwerp serieus benadert, praat niet meer over cybercrime alsof het al te laat is. Je praat over beveiliging juist omdat het nog niét te laat is. Verbeter je kansen tegen spionnen, criminelen, hackers en ja, zelfs de digibeten. 

Verschijnt: 17 januari 2019

Het waren soms zware discussie met mijn sparringpartner Hans de Raad. Barbara Bulten (De Winter) deed de productie. En heel veel goede experts hebben mij enorm enorm geholpen. Veel dank aan mijn kritische reviewers V.A. (Victor) Angelier, André Beerten, Anne Jan Brouwer, Remco Groet, Peter Op ‘T Hof, Jule Hintzbergen, Kees Hintzbergen CISA, Mischa Rick van Geelen, Maaike Hielkema, Sebiastian Oort, Edwin Roovers, Carlo Seddaiu, Ivo Tamboer, Kato Vierbergen-Schuit, Walter van Wijk en Lodewijk van Zwieten voor hun zeer waardevolle feedback.

Het boek is op 17 januari gratis beschikbaar voor bezoekers van de Dag van de Data.

The Cabinet decision on Kaspersky Lab

On 14 May 2018, the Dutch cabinet instructed the central government to stop using and phasing out Kaspersky Lab’s antivirus software. Organisations that fall under the General Security Requirements for Defence Assignments (ABDO) or that fall under vital services and processes are advised to do the same. The advice does not apply to other organizations. The Cabinet also makes it clear that it only concerns the antivirus software, not the other Kaspersky Lab products and services. The Cabinet has three reasons for making this decision:

  1. Antivirus software has extensive and in-depth access to a computer. Such access can be misused for espionage and sabotage.
  2. As a Russian company, Kaspersky Lab is required by Russian law to cooperate with the government if requested to do so by the Russian intelligence services.
  3. The Russian Federation has an offensive cyber program. The latter means that the country is actively engaged in espionage and sabotage with the use of computers.

In a letter to the Dutch Parliament, the Cabinet refers to a precautionary measure based on fear of espionage and sabotage. In this context, the Cabinet writes that it has made its own, more stringent assessment in the context of national security. In essence, the Cabinet’s fear is that the anti-virus software of Kaspersky Lab, a company that fights malware, will itself be used as a Trojan horse or malware.

The Netherlands does not have any examples showing that Kaspersky Lab’s antivirus software has been abused. No examples are known to other (European) countries or the European Commission either. If public broadcaster KRO-NCRV successfully invokes the Government Information (PublicAccess) Act (or Wet openbaarheid van bestuur (Wob) in the Netherlands and the Freedom of Information Act (FOIA) in the USA) during a journalistic investigation, further documents become available.

Analysis

Brenno de Winter of De Winter Information Solutions was asked by Kaspersky Lab to make a reconstruction of the cabinet’s precautionary measure and to analyse the three observations of the cabinet. In a time of digital operations it is logical and appropriate that the cabinet is alert to the dangers of espionage and sabotage. In terms of content and procedure, this report examines how the cabinet’s argumentation came about, to what extent Kaspersky Lab does indeed pose a threat on the basis of this argumentation, and what steps would be necessary to deal with such a threat.

12 vragen en antwoorden over de nieuwe privacywet AVG/GDPR

Bij AVROTROS Radar Radio werd aandacht besteed aan de komst van de nieuwe privacywetgeving de Algemene Verordening Gegevensbescherming (AVG), in het Engels GDPR. Mensen mochten vragen stellen die ik in de korte tijd zo goed mogelijk heb beantwoord. Het item kunt u hier terug zien/luisteren. In 12 vragen loop ik de meest prangende vragen voor consumenten langs.