UW PC ALS WAPEN

Daniëlle van Leeuwen, communicatiemanager bij G DATA Benelux, gaf op 6 april 2016 een lezing tijdens de Zorg en ICT beurs in de Jaarbeurs Utrecht.
Hieronder een samenvatting van de belangrijkste punten.

Door V.F. Wiendels

 

Een biologisch virus versus een computervirus

Van Leeuwen vergelijkt een biologisch virus met malware . Beiden vallen het organisme van binnenuit aan en verspreiden zich via contacten naar anderen. Beiden hebben ook een incubatietijd waarbij je niet weet dat je geïnfecteerd bent en zo onbewust het virus doorgeeft.

 

VirusInfograficZie onder dit artikel de volledige slideshow van deze lezing

 

Biologische virussen zoals het HIV- of Ebolavirus, kunnen we nooit helemaal vernietigen. Wèl kan men de verspreiding ervan tegengaan. Bewustwording van hoe het virus zich verspreidt zet aan tot ander gedrag. Met veiliger gedrag worden nieuwe infecties voorkomen en sterft het virus uit. Zo is het ook met computervirussen. Wij kunnen het virus zelf niet bestrijden maar wel de besmetting ermee, als we begrijpen hoe het virus zich verspreidt. Kennis over de verspreiding is belangrijker dan over het virus zelf. Je wilt begrijpen welke route de data precies volgt. Bewustwording van hoe data-overdracht via computers verloopt is de sleutel.

 

Soms denkt men wanhopig: het is niet te doen, hackers zijn beveiligers altijd een stap voor! Maar zo wanhopig is de situatie niet. Virussen zullen altijd blijven bestaan, maar de besmetting ermee kun je met digitale hygiène tegengaan.

Hiervoor is geen grote kennis van programmeren nodig, wel van computernetwerken.

Hoe werkt een banktrojaan?

Veel mensen in de zorg loggen in met een ”token”. Net zoals bij internetbankieren is alleen een wachtwoord niet genoeg. Bij het inloggen in het zorgdossier gebruikt men daarnaast een apparaat dat een eenmalige code genereert. Maar ook dit systeem is niet waterdicht.

Een ‘banktrojaan’ kan de gegevens die je invoert ondervangen en kopiëren, en doorgeven aan de bank (of EPD) en ook de reactie van die bank weer aan jou doorgeven, waardoor je niet doorhebt dat er een banktrojaan tussen zit. De trojaan kan bijvoorbeeld het rekeningnummer naar de bank toe veranderen in zijn eigen nummer terwijl hij naar jou toe het goede nummer toont.

De trojaan is malware op je eigen pc.

BanktrojaanInfografic

 

Meldplicht

Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. Men meldt een datalek niet alleen bij de Autoriteit Persoonsgegevens maar  ook bij de betrokkenen wier data gelekt is. Lekken van versleutelde bestanden hoeft men meestal niet bij de betrokkenen te melden maar wel bij de autoriteit.

Deze datalekken vallen ook onder de meldingsplicht:

  • gepseudonimiseerde bestanden
  • het lekken van inloggegevens en wachtwoorden
  • lekken door derden
  • Je bent verantwoordelijk voor datalekken van derden aan wie je opslag of verwerking hebt uitbesteed. Je bent verantwoordelijk voor het toezien op de naleving van de wet.
  • De bewerker moet je op de hoogte houden van een lek. U moet hierover harde afspraken maken en contractueel vastleggen: binnen 72 uur moet het datalek gemeld worden bij de Autoriteit. De databewerker moet u dus direct op de hoogte stellen. (denk aan weekenden, feestdagen, vakanties)
  • Een malware-infectie is een datalek!

Bij een malwarebesmetting moet je ervan uitgaan dat er sprake kan zijn van een datalek. Die mogelijkheid van een lek ben je ook verplicht te melden. Infecties met ransomware en cryptolockers vallen dus ook onder de meldplicht.

 

Mythes over infecties:

  • Je merkt het altijd aan je computer als je geïnfecteerd bentHij is trager en geeft andere toetsaanslagen weer.

Van Leeuwen: Vaak merk je niet dat je geïnfecteerd bent.

–        Besmetting loop je vooral op via foute sites zoals torrentsites, illegale muziekdownloadsites of pornosites. Als ik alleen naar nette sites ga, raak ik niet geïnfecteerd.

Van Leeuwen: via sites zoals Telegraaf.nl en nu.nl zijn in het verleden malware verspreid. Virussen verspreiden zich het liefst via populaire sites.

–        Als ik nergens op klik en niets download kan ik niet besmet raken.

Van Leeuwen: Surfen is downloaden. Elke webpagina die je voor je op het scherm ziet, heb je gedownload. Als het virus zich heeft genesteld in de html van die site zelf, dan hoef je nergens op geklikt te hebben om toch besmet te kunnen raken.

–        Ik heb een Apple computer, daar komen nooit virussen op.

Van Leeuwen: er worden inderdaad weinig virussen gemaakt voor Apple. Maar mocht zich een Applevirus voordoen dan is het meteen helemaal raak, omdat Apple veel standaardprogrammering heeft waardoor een virus meteen overal binnenkomt.

Dit mag niet meer

Voor bedrijven die met persoonsgegevens werken, geldt:

  • Gratis antivirussoftware is ongeschikt voor bedrijfsmatig gebruik. Dit staat vermeld in de algemene voorwaarden die je moet accepteren als je de software downloadt. Als je die algemene voorwaarden daadwerkelijk leest, zul je zien dat hier altijd in staat dat de software niet bedoeld is voor bedrijfsmatig gebruik. Daarom moet je als bedrijf altijd betaalde antivirus- en malwaredetectiesoftware aanschaffen.
  • Persoonsgegevens mogen de EU niet verlaten. Je mag geen apps, software of servers gebruiken die data op servers buiten Europa opslaan. Ook backups mogen daar niet staan. Sommige server providers stallen backups in de Verenigde Staten.

6 oktober 2015 is het Safe Harbour verdrag nietig verklaard

De V.S. is sindsdien geen veilige haven meer voor Europese persoonsgegevens. De Patriot Act bepaalt dat Amerikaanse bedrijven bij een geheim verzoek van een van de geheime diensten data moeten  afstaan. En volgens Europese wetgeving mag data niet aan derden gegeven worden. Daarom mag men geen persoonsgegevens opslaan op een Amerikaanse server.

Tot 1 februari 2016 is er een gedoog–  overgangsperiode geweest omdat men verwachtte dat er wel een nieuw verdrag met de V.S. zou komen. Dit is niet gelukt  en sindsdien is gebruikmaken van een Amerikaanse cloud niet toegestaan voor bedrijven die met persoonsgegevens werken.

In deze periode werken enkele Amerikaanse bedrijven hard aan dataopslag in Europa. Zelfs als hun server in Europa staat, zijn ze als Amerikaans bedrijf nog steeds verplicht de data te delen met de V.S. Daarom zal Microsoft een deel van de ‘’Duitse Cloud’’ huren (van T-systems) en geen eigenaar zijn van de hosting. Op die manier zijn ze toch ‘Patriot Act-proof”.

Maar tot die tijd is het voor Europese bedrijven niet langer toegestaan Amerikaanse dataopslag te gebruiken. Veel gangbare applicaties en clouddiensten werken met opslag in de V.S. of hebben hun back-up in de V.S. Dit betekent dat bedrijven per direct hun bedrijfsvoering moeten aanpassen.

 

 

 


Slideshare van de lezing op 6 april tijdens de Zorg en ICT beurs
D. van Leeuwen – Uw pc als wapen: hoe malware uw patientgegevens in gevaar brengt – e-Health Convention 2015 from Emerce


D. Van Leeuwen in het Infosecurity Magazine op 15 maart 2016.


Posted in 2016 Juni Thema Europa Tagged bedrijfmalwarewetgeving

admin

Antropoloog. Journalist. Informatieve teksten. Onderzoek. Interviews.

One Comment

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *