Tuesday, March 31, 2015

Swiss bank pays $211 million penalty under DOJ amnesty program


Lugano-based BSI SA on Monday became the first bank to use a DOJ amnesty program to resolve potential criminal offenses for helping U.S. taxpayers use secret accounts and offshore shell companies to evade taxes.
BSI SA is one of the 10 biggest private banks in Switzerland.
The DOJ's Swiss Bank Program provides a path for Swiss banks to resolve potential criminal liabilities in the United States through non-prosecution agreements.
BSI and the DOJ signed a non-prosecution agreement Monday. BSI agreed to cooperate in any related criminal or civil proceedings, put in tougher controls to stop undeclared U.S. accounts, and pay a $211 million penalty.
BSI is the first bank to conclude a deal with the DOJ under the Swiss Bank Program since it started in August 2013.
"Swiss banks eligible to enter the program were required to advise the [DOJ] by December 31, 2013 that they had reason to believe that they had committed tax-related criminal offenses in connection with undeclared United States-related accounts," the DOJ said Monday.
Banks already under criminal investigation for their Swiss-banking activities and all individuals were excluded from the program.
The DOJ's Sally Quillian Yates said "Swiss banks are operating much differently today than they did just a few years ago, and the department’s Swiss Banking Program is a big part of that change.”
"We are using the information that we have learned from BSI and other Swiss banks in the program to pursue additional investigations into both banks and individuals,” she said.
BSI helped U.S. clients create sham companies and trusts that hid the identity of U.S. accountholders.
The DOJ said,
Many U.S. clients also opened “numbered” Swiss bank accounts that shielded their identities, even from employees within the Swiss bank. BSI acknowledged that in order to help keep identities secret, it issued credit or debit cards to many U.S. accountholders without names visible on the card itself.
The DOJ's Swiss Bank Program requires banks to disclose all of their cross-border activities, turn over detailed information about accounts in which U.S. taxpayers have an interest, cooperate in treaty requests for account information, tell the DOJ about other banks that transferred funds into secret accounts or accepted funds when secret accounts were closed, close accounts of holders who aren't complying with IRS reporting rules, and pay appropriate penalties.
"Banks meeting all of the above requirements are eligible for a non-prosecution agreement," the DOJ said.

BSI had more than 3,000 active United States-related accounts after 2008. The bank knew many of the accounts weren't disclosed to the IRS, the DOJ said.
"In resolving its criminal liabilities under the program, BSI provided extensive cooperation and encouraged hundreds of U.S. accountholders to come into compliance," the DOJ said.
The DOJ's August 29, 2013 release with details about the Swiss Bank Program is here.
Richard L. Cassin is the publisher and editor of the FCPA Blog. He can be contacted here.
- See more at: http://www.fcpablog.com/blog/2015/3/31/swiss-bank-pays-211-million-penalty-under-doj-amnesty-progra.html#sthash.AkY5gdfY.dpuf

DDoS losses potentially £100k an hour, survey shows

DDoS losses potentially £100k an hour, survey shows

Friday, March 27, 2015

The ultimate breach insurance policy: encryption

The ultimate breach insurance policy: encryption

You don’t have to work in technology to know that hackers are getting more sophisticated. It seems like a new breach is in the news every week. But those of us who are dedicated to protecting healthcare data also spend a lot of time on something that’s just as demanding: complying with statutory and regulatory requirements, which are becoming increasingly severe.
Nearly every state in the U.S. has passed data breach laws, including costly breach notification requirements. These laws require that organizations not only notify the patients whose information was compromised, but sometimes state enforcement and credit agencies. HIPAA has its own Breach Notification law and some state privacy laws cover data breaches as well. Though not a healthcare organization, Wyndham Hotels was sued by the Federal Trade Commission for losing credit card data — another example of the many institutions invested in regulating IT security.
The compiled costs of just one breach are staggering. You’ve got the costs associated with issuing notifications, accelerated demand on customer service, credit monitoring, and any initiatives and incentives aimed at customer retention. Patients could flood the courts with class-action lawsuits, while your business partners might sue to recover the costs of their fines and breach-related costs.
Your investors could even take similar action over their stock losses. As a matter of fact, the recent Connecticut Supreme Court’s decision in the Byrne case could well set a precedent for class-action lawsuits in cases where PHI is lost.
This doesn’t even include your internal investigative costs. And, of course, regulating bodies could impose fines and penalties, including jail time. Since June 2013, the Office of Civil Rights (OCR) has levied fines exceeding $10 million over HIPAA violations. An attorney for the OCR has said they will be more aggressive in cracking down on compliance violations going forward.
The Benefits of Safe Harbor Status
Of course, you can avoid regulatory scrutiny and all associated costs if you don’t need to actually report a breach. Safe harbor clauses are designed to offer exactly that kind of relief — and that translates to using encryption.
If you’ll recall, previously we examined why encryption is considered the gold standard in protecting ePHI and looked at methods for encrypting data in transit and at rest. There’s no doubt that encryption is a fantastic security measure that can make it almost impossible to decipher data when attacked. It’s considered such a strong protection that it allows organizations to avoid characterizing a security incident as an actual data breach, as long as the lost data is encrypted and the encryption keys were not included in the loss.
OCR offers a safe harbor provision from the Breach Notification rule for encrypted data, as do 47 of the states with breach laws on the books. The exceptions are Indiana, Wyoming and Washington D.C., with South Dakota, Alabama and New Mexico the only states without such data breach laws.
For instance, consider the Community Health Service breach in August. While no clinical data was lost, personal data — such as social security numbers, names, addresses and phone numbers — were lost from 4.5 million patients. The final cost of the breach is expected to land between $75 million to $150 million. Yet CHS could have avoided all of that by simply encrypting their data.
Does Your Encryption Qualify?
When it comes to avoiding notification, you must evaluate several criteria in the incident of a breach. You must:
·      Identify the data affected in the breach
·      Decide if that data falls under the breach law
·      Note whether the affected data was encrypted
·      Research if that encryption meets the safe harbor clause definition; if it does, then notification is not required
Notice that final criteria. Not all encryption will get you off the hook from notification. To truly protect your ePHI and qualify for safe harbor status, you must employ strong, role-based encryption and excellent key management techniques. Remember, any compromise of an encryption key renders the encryption useless. It’s smart to review how your keys are generated, distributed and stored, with careful practices for rotating and replacing them.
Even with strong encryption in place, remember that you’ll still need other security controls. Preventing a breach is always preferable to suffering an incident, even if notification is not involved. Your organization must still conduct a risk assessment and develop a solid security plan specifically designed to prevent data breaches. This also should align with the implementation of a strong incident response plan.
Consider again the example of CHS; while it relied on open-source or free security systems before its breach, it will now be almost certainly spending millions to upgrade to more sophisticated systems. This is just one example of why it’s smart to invest in advanced security before an incident occurs.
Ultimately, the cost of recovering from a breach will always be more exorbitant than any expenses incurred in safeguarding data with the right expertise and technology. Encryption helps protect your data (helping you meet HIPAA regulations) while acting as an insurance policy in the event of an attack. In this era of frequent breaches and costly notification laws, it’s quite simply one of the easiest and smartest security solutions for any healthcare organization.

‘Kies voor open cryptografietechnieken’

‘Kies voor open cryptografietechnieken’

27-03-2015 11:25 | Door Annemiek Sprado | Lees meer artikelen over: Encryptie | Er zijn nog geen reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Veel gebruikte versleutelingstechnieken bevatten nog steeds ernstige zwakheden. Dat blijkt uit het proefschrift van Roel Verdult die op 21 april promoveert aan de Radboud Universiteit. Verdult pleit dan ook voor het vervangen van zelfgemaakte geheime versleutelingstechnieken door veel robuustere openbare technieken.
Door bedrijven zelfgemaakte versleutelingstechnieken, ook wel propriëtaire cryptografie genoemd, zitten in diverse producten die dagelijks door miljarden consumenten worden gebruikt zoals draadloos internet en smartphones. Door naar de deugdelijkheid van algoritmes te kijken kan de kracht van een versleuteling worden bepaald. Een algoritme is hierbij een formule die als een sleutel binnen een veiligheidssysteem wordt toegepast. Bij een goed versleutelingsalgoritme is het vrijwel onmogelijk om  alle geheimen te achterhalen, ook al is een gedeelte van de input te achterhalen, en zijn de formule en de uitkomst van de formule bekend.
Verdult: ‘Juist de dingen die een beetje onder de tafel blijven intrigeren me. Bijvoorbeeld organisaties die zeggen dat hun systeem heel veilig is, maar niet hoe. Waarom zeg je dat dan? Als het veilig is, dan moet je het onderliggende algoritme openbaar kunnen maken.’

Openbaar is veiliger

Bij de zelfgemaakte versleutelingstechnieken waar veel bedrijven voor kiezen ligt dat anders. Verdult: ‘Die worden vaak geheim gehouden om ze extra veilig te maken, maar daardoor zitten er ook veel fouten in. Die fouten zitten veel minder in de versleutelingen die openbaar zijn, omdat ze door iedereen getest kunnen worden totdat de beste overblijft.’
Elk algoritme dat wordt gebruikt om te beveiligen heeft een bepaalde moeilijkheidsgraad om het te breken. Als het algoritme fouten bevat dan kun je het met wiskundige trucjes vereenvoudigen en duurt het minder lang.


Dit was dus het geval met de OV-chipkaart die Verdult in 2008 onderzocht toen hij nog student was. Veel media-aandacht was het gevolg. En nog belangrijker, aandacht voor de kwaliteit van digitale beveiligingssystemen. Verdult: ‘Dat er dingen mis gaan bij een reisje voor een paar euro is wat minder serieus misschien, maar de overheid gebruikte deze kaart in Nederland ook om bijvoorbeeld ministeries, politiebureaus, kerncentrales en gevangenissen te beveiligen.' Verdult en zijn collega’s werden betrokken bij een verbeterde en veiligere kaart, die er inmiddels is.
Bij de OV-chipkaart konden Verdult en zijn collega’s,  toen zij eenmaal alle gegevens op een rijtje hadden staan, binnen een paar weken de sleutel achterhalen. ‘Bij een goed systeem is dat vrijwel onmogelijk. Er zijn systemen waarbij dat zelfs met alle privécomputers van Nederland nog tientallen jaren duurt.’
Verdult pleit er dan dus ook voor om openbare versleutelingstechnieken te gebruiken in plaats van de zelfgemaakte technieken. Volgens de promovendus zijn deze methodes al decennia lang openbaar en kosteloos toepasbaar. ‘Helaas laat de praktijk zien dat dergelijke technieken niet altijd worden toegepast.

Read more: http://www.computable.nl/artikel/nieuws/security/5247846/1276896/kies-voor-open-cryptografietechnieken.html#ixzz3VacO3h7C

Pressing Your Luck With WordPress? A Look at CMS Security Risks

Pressing Your Luck With WordPress? A Look at CMS Security Risks

When my colleague, Dave McMillen, isn’t jamming on his drums in one of the many bands he rocks out with, he is telling you about the security concerns regarding content management systems (CMS) in his recent IBM Security Threat Research paper. Businesses leverage these systems to address the need for quick changes to Web content, while cybercriminals leverage their popularity by targeting unpatched installations.

Rich in Features and Vulnerabilities

The three big CMS platforms that are widely used today are WordPress, Joomla and Drupal. CMS platforms have evolved significantly over the past decade and a half, and today, they are rich in both features and vulnerabilities. These products are built on open-source frameworks within shared developer environments just like Linux, Apache and Open Office. Built within them are third-party themes and plugins designed by thousands of authors. Needless to say, CMS platforms are not security-hardened to a great degree out of the box. If I were an attacker targeting a vulnerable CMS, I would say, “Easy peasy, lemon squeezy.”

Speaking of Lemons

Lemons are sour-tasting — much like the feeling after you’ve been compromised. Attackers have many ways to target vulnerable CMS installations. For one, website operators who use weak passwords leave their administrator accounts vulnerable to brute-force attacks. Obtaining access to an administrator account can lead to the distribution of malware.
CMS platforms are also not immune to distributed denial-of-service (DDoS) attacks. In 2014, more than 162,000 WordPress sites were leveraged, creating a super DDoS net that focused on one website and took it down.
With thousands of developers who design CMS themes and plugins for custom use, they are a popular target for cybercriminals. In 2013, a study from security vendor Checkmarx found that nearly 20 percent of the 50 most popular plugins for the WordPress platform are vulnerable to common Web attacks.
Finally, attackers love a good SQL injection or cross-site scripting attack. A simple Google search reveals hundreds of known attack parameters available that affect CMS platforms.

IBM MSS Data and WordPress Attacks

Looking at the data for 2014, IBM found that many SQL injection and command injection attacks were specifically targeting WordPress. These WordPress installations were attacked heavily during the first three months of 2014. The pattern then diminishes from April through September, where it then briefly resurges in October. The retail trade industry was the most attacked industry on WordPress, and nearly half of the attacks originated in the United States.

Should We Stop Using CMS?

No. However, it is important to realize that there are several processes that should be implemented if you’re using one of these platforms in your environment, such as the following:
  • Always run the latest version of any CMS.
  • Update CMS systems regularly via continuous patch management.
  • Always use trusted sources for themes and plugins. Never use free themes and plugins.
  • Never use default settings. Change the default “ADMIN” name. Rename default database prefixes to prevent SQL injections.
  • Reduce credentials. The administrator account should only be needed to perform updates or add/change themes and plugins. Those who edit posts or write articles should never need to be at an administrator level.
  • Always use strong passwords.
  • Protect the .htaccess file. Refer to the IBM paper and see the “Securing .htaccess” link in the References section.
  • Use a cloud-based security service.
  • Back up your CMS installations at regular intervals and design a robust disaster recovery plan.
After applying these recommendations, you will have a greater peace of mind regarding the security of your CMS.

Thursday, March 19, 2015

New bugs uncovered in encryption software

New bugs uncovered in encryption software

A lock icon, signifying an encrypted Internet connection, is seen on an Internet Explorer browser in a photo illustration in Paris April 15, 2014. REUTERS/Mal Langsdon
A lock icon, signifying an encrypted Internet connection, is seen on an Internet Explorer browser in a photo illustration in Paris April 15, 2014.
Credit: Reuters/Mal Langsdon

BOSTON/FRANKFURT (Reuters) - New bugs in the widely used encryption software known as OpenSSL were disclosed on Thursday, though experts say do not pose a serious threat like the "Heartbleed" vulnerability in the same technology that surfaced a year ago.

"Heartbleed" triggered panic throughout the computer industry when it was reported in April 2014. That bug forced dozens of computers, software and networking equipment makers to issue patches for hundreds of products, and their customers had to scour data centers to identify vulnerable equipment.
Cybersecurity watchers had feared the new round of bugs would be as serious as "Heartbleed," according to experts who help companies identify vulnerabilities in their networks. The concerns surfaced after the OpenSSL Project, which distributes OpenSSL software, warned several days ago that it planned to release a batch of security patches.
"You need to take all vulnerabilities seriously, but I’m kind of disappointed. There's been a week building up to this," said Cris Thomas, a strategist with cybersecurity firm Tenable Network Security Inc.
The OpenSSL project released updates for four versions of the software, covering 12 security fixes for vulnerabilities reported to them in recent months by several cybersecurity researchers. The threats include one that makes affected systems vulnerable to so-called denial-of-service attacks that disrupt Web traffic, though none threaten the "crypto" technology used to encrypt data, Ristic said.
Ivan Ristic, director of application security with Qualys Inc, said he was not too concerned about the new bugs because most involved programming errors in a new version of OpenSSL, which is not widely used.
"It doesn't seem a big story," Ristic said. "I think people feared it would be bad, which is where all the hype came from."

(Reporting by Jim Finkle in Boston and Eric Auchard in Frankfurt; Editing by Jonathan Oatis)

Friday, March 13, 2015

Two New Data Breaches Put Consumer Information at Risk

Los Angeles, CA: Two recent data breaches have once again put the spotlight on online security and the vulnerability of consumer information. In at least one case, data breach lawsuits have already been filed, alleging consumer information was not properly protected by the company attacked. Meanwhile, the list of companies who have had their consumer financial or personal information stolen continues to grow.

Two New Data Breaches Put Consumer Information at RiskOne of the companies to face a data breach - and resulting lawsuits - is Anthem Inc. The health insurance company announced in February 2015 that it had been victim of a cyber attack, potentially exposing personal information of up to 80 million people. According to a statement from Anthem, customer names, birthdays, Social Security numbers, street addresses and employment information were accessed by the hackers. When Anthem announced the breach, however, it noted that financial information did not appear to have been accessed.

“On January 29, 2015, Anthem, Inc. (Anthem) discovered that cyber attackers executed a sophisticated attack to gain unauthorized access to Anthem’s IT system and obtained personal information relating to consumers who were or are currently covered by Anthem or other independent Blue Cross and Blue Shield plans that work with Anthem,” Anthem announced. The company also noted that it was working with the FBI and taking steps to “close the security vulnerability.” Anthem has offered its policyholders two years of identity protection.

Anthem policyholders have already filed lawsuits concerning the security breach, and motions to consolidate the lawsuits have been filed. So far, between 60 and 70 lawsuits have reportedly been filed in approximately 20 federal districts. The lawsuits allege Anthem did not adequately protect its customers’ and employees’ personal information.

The second chain to have its credit card system hacked is reportedly Mandarin Oriental, a hotel chain that has hotels in 30 cities around the world, including New York, San Francisco and Miami. According to Associated Press (3/5/15), the company announced that its credit card system was hacked but has not announced the extent of the hack or whether its customers’ information was vulnerable in the attack.

Mandarin Oriental and Anthem join a growing list of companies to have had their security breached. That list also includes Home Depot, Target and Neiman Marcus.

The Anthem request for consolidation is In re: Anthem Inc., Customer Data Breach Litigation, case number 2617.

Rechter zet streep door bewaarplicht

Rechter zet streep door bewaarplicht

11-03-2015 11:54 | Door Pim van der Beek |

archief oud

Telecombedrijven en internetproviders hoeven geen metadata van internet- en telefoniegebruik te bewaren. De bewaarplicht, een wet die het verzamelen en opslaan van gegevens over internet- en telefoongebruik van burgers in Nederland verplicht, is door de uitspraak van een rechter in Den Haag buiten werking gesteld.

Volgens de rechter maakt de wet in zijn huidige vorm inbreuk op het Europese mensenrechtenverdrag. In het vonnis erkent de rechtbank dat het opheffen van de bewaarplicht nadelige gevolgen kan hebben voor het opsporen en veroordelen van misdadigers, maar rechtvaardigt dat niet dat de inbreuk op de privacy blijft voortbestaan.
Inbreuk op het Europese mensenrechtenverdrag mag volgens de rechter namelijk enkel als dat 'strikt noodzakelijk' is en dat is bij de schaal waarop dat nu gebeurt niet het geval, aldus de rechtbank.
De zaak was aangespannen door verschillende partijen die vinden dat de wet die telecom- en internetaanbieders verplicht om meta-data over communicatiegegevens te bewaren, in strijd is met de privacy van burgers.
De eisers zijn Stichting Privacy First, de Nederlandse Vereniging van Strafrechtadvocaten (NVSA), de Nederlandse Vereniging van Journalisten (NVJ), het Nederlands Juristen Comité voor de Mensenrechten (NJCM), internetprovider BIT en telecomaanbieders VOYS en SpeakUp. De procedure wordt gevoerd door Boekx Advocaten in Amsterdam.


Onder de Wet Bewaarplicht Telecommunicatie worden sinds 2009 de communicatiegegevens (telefonie- en internetverkeer) van iedereen in Nederland respectievelijk twaalf maanden en zes maanden opgeslagen voor de opsporing en vervolging van strafbare feiten. In het kort geding eisen de organisaties en ondernemingen dat die wet buiten werking wordt gesteld wegens strijd met het recht op privacy.
Volgens de eisende partijen is de Nederlandse bewaarplicht van telecommunicatie (dataretentie) in strijd met fundamentele grondrechten die privéleven, communicatie en persoonsgegevens beschermen.

Read more: http://www.computable.nl/artikel/nieuws/security/5241153/1276896/rechter-zet-streep-door-bewaarplicht.html#ixzz3UISAaPz5

Tuesday, March 10, 2015

Criminelen onderscheppen e-mail verkeer

Criminelen onderscheppen e-mail verkeer

Mar 7, 2015

De afgelopen jaren is bij verscheidene Nederlandse ondernemingen het e-mailverkeer met offertes en orders onderschept door criminelen. Bedrijven zijn voor vele tienduizenden euro’s het schip in gegaan.
Het lukt de criminelen om vrij eenvoudig het e-mailverkeer te onderscheppen, bijvoorbeeld door op een router in te breken of onderweg een tap te zetten. Als er goederen worden besteld, krijgen ze het voor elkaar om te antwoorden met een e-mailadres dat identiek is aan dat van de oorspronkelijke afzender. Op deze manier kunnen bijvoorbeeld afleveradressen worden veranderd. Bij het onderscheppen van facturen wordt het bankrekeningnummer veranderd in dat van een katvanger. (Mule)
www.fraudehelpdesk.nl waarschuwt al jaren voor deze vorm van fraude. Wij adviseren om gevoelige informatie alleen te versturen met versleutelde e-Mail. Hoe? vraag het mij.

Monday, March 9, 2015

KPMG: "Bestuur moet rol opeisen bij bescherming strategische informatie"

KPMG: "Bestuur moet rol opeisen bij bescherming strategische informatie" 

Nederlandse ondernemingen nemen onvoldoende maatregelen om alle strategische informatie waarover zij beschikken afdoende te beschermen. Het ontbreken van maatregelen wordt met name ingegeven door een gebrek aan aandacht van de leiding van de onderneming.
"Hoewel het bestuur zich in het algemeen realiseert hoe waardevol informatie over productieprocessen, nieuwe technologieën, intellectuele eigendommen en ook mogelijke overnames is voor de continuïteit en het succes van de onderneming, blijven afdoende maatregelen om dit eigendom te beschermen in het algemeen vaak uit", zegt John Hermans, partner bij KPMG IT Advisory.

Hermans: "Bestuursleden van Nederlandse ondernemingen en hun Raden van Commissarissen moeten dan ook veel meer verantwoordelijkheid nemen als het gaat om het beschermen van alle strategische informatie waarover zij beschikken."

Maatregelen uit de pas met risico’s Uit het onderzoek 'The importance of information assets' van KPMG onder C-level functionarissen die zich met risicobeheer bezig houden, blijkt dat de maatregelen die Nederlandse bedrijven nemen om te voorkomen dat strategische informatie in verkeerde handen terecht komt in geen verhouding staat tot de risico’s die zij lopen.

Hermans: "Zo’n 75% van de onderzochte ondernemingen geeft aan dat de maatregelen die genomen worden om de informatie veilig te beheren volledig uit de pas lopen met de risico’s. En ondanks het feit dat de bedrijven zich bewust zijn van het feit dat de bescherming niet toereikend is, slagen zij er tot op de dag van vandaag niet in de risico’s beter te beheersen en de beveiliging op het vereiste niveau te krijgen. Toch geeft ruim 80% van de bedrijven aan dat de informatie waarover zij beschikken essentieel is voor het voortbestaan en het succes van de organisatie."

Versnipperde verantwoordelijkheid
Op basis van het onderzoek constateert Hermans dat het bij veel bedrijven schort aan 'eigenaarschap' van risicobeheer en aan een eenduidige wijze van rapporteren over de maatregelen die genomen zijn om het bezit van de bedrijven te waarborgen.

Hermans: "De verantwoordelijkheid voor het risicobeheer is bij veel bedrijven versnipperd belegd en dat betekent dat zowel de CFO, CIO, CRO en CISO zich met de bescherming van deze waardevolle kennis bezighoudeNederlandse ondernemingen nemen onvoldoende maatregelen om alle strategische informatie waarover zij beschikken afdoende te beschermen. Het ontbreken van maatregelen wordt met name ingegeven door een gebrek aan aandacht van de leiding van de onderneming. n. De huidige versnippering van de verantwoordelijkheid voor het risicobeheer duidt erop dat niemand zich daadwerkelijk eigenaar voelt."

Hoger in de organisatie
Een aantal bedrijven overweegt dan ook de verantwoordelijkheid voor het risicobeheer hoger in de organisatie neer te leggen. Zo geeft één op de vier bedrijven aan de Chief Risk Officer verantwoordelijk te zullen maken en kiest iets minder dan 25% voor de Chief Information Officer. En als het gaat om het rapporteren over de risico’s, blijkt dat ruim 30% van de onderzochte functionarissen rapporteert aan de Raad van Commissarissen en dat bijna 40% dat doet aan de audit commissie.

Bijna 60% voorziet de Raad van Bestuur van de noodzakelijke informatie. Een duidelijk bewijs dat de bescherming van strategische informatie beter moet worden georganiseerd. Uit het onderzoek van KPMG blijkt bovendien dat de onderzochte bedrijven de effectiviteit van het risicobeheer nauwelijks actief meten en een beperkt beeld hebben van de kosten die zij maken.

Inzichtelijke relatie
Voor een effectief beleid is het volgens Hermans echter essentieel dat de relatie tussen de maatregelen, de kosten en de risico’s die een onderneming loopt, inzichtelijk is. Hermans: "Als dat niet het geval is, is het onmogelijk om vast te stellen of het geld goed besteed wordt en om tijdens de rit verbeteringen aan te brengen. Overigens blijken kleine bedrijven hun waardevolle bezit in het algemeen beter te beschermen dan grotere ondernemingen. Ruim 40% van de kleine bedrijven stelt dat het niveau van bescherming voldoende is.

Van de middelgrote bedrijven geeft bijna 20% aan dat de genomen maatregelen om hun bezittingen te beschermen volstaan. Van de grote bedrijven is dit slechts 6%. Een verklaring hiervoor is wellicht dat kleine bedrijven beter beschermd zijn omdat zij opereren in een minder complexe IT-omgeving. Maar het kan ook zijn dat zij zich vanwege hun omvang onterecht veiliger voelen."

Voor meer informatie kunt u contact opnemen met Andy Bellm, (020) 656 7039.

Friday, March 6, 2015

Mega-Breaches: Notification Lessons

Attorney Warns Against Focusing Solely on HIPAA Compliance

By , March 5, 2015.

When preparing their data breach notification strategies, healthcare organizations must guard against focusing solely on HIPAA compliance and neglecting to consider various state laws, says privacy and security attorney Brad Rostolsky.
"State laws are often not something that folks think about immediately ... but it should be right up there with HIPAA in terms of what we're thinking about," he says in an interview with Information Security Media Group.

For instance, less than a week after health insurer Anthem Inc. publicly disclosed on Feb. 4 that it had suffered a breach affecting millions of former and current health plan members in numerous states, 10 state attorneys general wrote a letter to the insurance company expressing "alarm" that Anthem hadn't yet communicated with those affected.

Under federal HIPAA regulations, the U.S. Department of Health and Human Services and victims must be notified about a breach affecting 500 or more individuals within 60 days of the discovery of the breach. But that breach notification timeline is much shorter in many states. And the definition of what constitutes a health data breach in some states also differs from what HIPAA says, Rostolsky explains.
"If you know you are only dealing with patients or individuals in two to five states, it's probably worthwhile to get a sense of what the obligations are under those states' laws," he says. "But it's the larger institutions and larger businesses that deal with folks across the country that have a bigger challenge. The last thing any client wants to hear is '50 state survey,' but generally speaking, it's not a bad idea to make sure the folks you're turning to for advice [about breaches] are aware of what all the states require."
The bottom line, Rostolksy says, is: "Anytime you're dealing with an incident that could be a breach under state or federal law, it's really important that you're reacting quickly."
In the interview, he also discusses:
  • The impact of the HIPAA Omnibus Rule on how breaches are analyzed for notification under federal law - and how breach determination guidelines may differ in the states;
  • The differences between encryption requirements in the HIPAA Security Rule, versus regulations and proposed legislation in certain states;
  • Tips for healthcare entities and business associates in sorting out their privacy and security policies and practices when dealing with patients and clients in multiple states.
Rostolsky is a partner in the life sciences health industry group at the law firm Reed Smith's Philadelphia office. With a focus on healthcare regulatory and transactional law, he leads that group's HIPAA and health privacy and security practice. He's also a member of the firm's recently launched global Ebola task force. Rostolsky has extensive experience advising clients on all aspects of health information privacy and security compliance.
Follow Marianne Kolbasuk McGee on Twitter: @HealthInfoSec

Wednesday, March 4, 2015

Zombie uit crypto-oorlog bedreigt nu HTTPS

Zombie uit crypto-oorlog bedreigt nu HTTPS

Gebroken sleutel
Nieuws - Versleuteld internetverkeer is kwetsbaar voor een nieuw ontdekte HTTPS-aanval genaamd Freak Attack. Deze aanval maakt gebruik van een relikwie uit de jaren 90.
We kunnen weer aan het patchen, want er is weer een gat gevonden in de manier waarop SSL wordt ingezet. Deze keer zorgt een downgrade-aanval ervoor dat servers een verouderde, kraakbare sleutel naar kwetsbare clients (Android, iOS, OS X) sturen, waardoor een aanvaller kan meekijken met HTTPS-verkeer. De oorzaak ligt in een misstap uit de jaren 90.
In de begindagen van cryptoproducten had Amerika de RSA-sleutels in handen en om te voorkomen dat andere landen ermee aan de haal gingen, werd het verboden (met straffen van één miljoen dollar en een celstraf) om crypto-producten te exporteren. Deze maatregel tegen het exporteren van crypto werd onderuit geschoffeld door pionier Phil Zimmerman die in 1994 PGP online zette, een beslissend moment in de crypto-oorlog.

Exportsleutels nog gebruikt

In de tijd dat alleen door de VS goedgekeurde naties een sleutel konden gebruiken, werd een aparte RSA-sleutel gebruikt voor geëxporteerde producten, zodat de VS eventueel toegang had tot beveiligde communicatie. Om zorg te dragen dat er wel sterke crypto gebruikt kon worden, werd een cijfermodule gemaakt die ervoor zorgt dat servers een sterke sleutel gebruiken als de client daarom vraagt en een (zwakkere) exportsleutel als deze vereist is.
Die tijd ligt lang en breed achter ons, maar de exportsleutel wordt nog altijd ondersteund. Ongeveer een derde van de servers die HTTPS gebruiken, waaronder Nederlandse media, politieke partijen, webwinkels, hogescholen en universiteiten, hostingbedrijven en ziekenhuizen, ondersteunt de exportsleutels. Ook grote financiële portals als PayPal en American Express gebruiken het nog.

Eenmalig kraken = eeuwig toegang

De nieuwe aanval Freak Attack is een downgrade-aanval die de cijfermodule gebruikt. Verkeer van clients (waaronder de standaardbrowser op Android en Safari op iOS) wordt ondervangen om vervolgens de server ervan te overtuigen terug te vallen op zo'n exportsleutel. Dit is een 40-bits sleutel en de onderzoekers tonen aan dat het met de rekenkracht van ingekochte cloudservers een uurtje of acht duurt om deze individuele sleutel te kraken. Veel sites werken nu hard om de cijfermodule uit te schakelen.
Onderzoeker Matthew Green legt uit dat dit probleem veel groter is dan het zo klinkt, omdat de meeste servers een statische exportsleutel gebruiken. Deze wordt de eerste keer dat de RSA-sleutel wordt geleverd aangemaakt en vervolgens gedurende de levensduur van de server altijd gebruikt. Dat betekent dat de sleutel eenmalig opgepikt kan zijn en een derde partij vervolgens MITM-aanvallen kan uitvoeren op alle HTTPS-communicatie van clients met de servers.

Sunday, March 1, 2015

Uber security breach may have affected up to 50,000 drivers

Uber security breach may have affected up to 50,000 drivers

One of Uber's databases was hacked last year
Thousands of Uber driver's names and license numbers may be in the hands of an unauthorized third party
Uber currently investigating unauthorized access to one of its databases
Thousands of Uber driver names and driver's license numbers may be in the hands of an unauthorized third party due to a data breach that occurred last year, the ride-hailing company said Friday.
In a statement, Uber’s managing counsel of data privacy, Katherine Tassi, said the company discovered on Sept. 17, 2014, that one of its many databases could have potentially been accessed because one of the encryption keys required to unlock it had been compromised. Upon further investigation, it found the database had been accessed once by an unauthorized third party on May 13, 2014.
The company said it could not say how the security vulnerability was first discovered because the matter was under investigation.
According to Tassi, the company immediately patched the security vulnerability. It has not received any reports of misuse of the data.
The database contained only the names and license numbers of approximately 50,000 former and current Uber drivers from various states, the company said. Of the affected drivers, approximately 21,000 are based in California, it said.
Timothy Ryan, a cybersecurity expert for risk mitigation firm Kroll, said access to a name and driver's license number may not be enough for identity theft, but if used in conjunction with other personal information like a credit card number or date of birth, it can be a potential problem.
Uber began contacting current and former drivers Friday, and was also notifying the California attorney general's office of the breach. The attorney general’s office did not immediately respond to requests for comment

While the number of those affected is small compared with other recent security breaches, like Target’s 2014 breach that affected up to 110 million people, and Anthem’s data breach that affected more than 13 million Californians, Uber has nevertheless filed a John Doe lawsuit in the San Francisco Federal Court to gather information that may lead to the confirmation of the identity of the third party.
Uber is offering all affected drivers one-year free membership in an identity protection service, and is encouraging affected drivers to monitor their credit reports for fraudulent transactions.
Twitter: @traceylien
Copyright © 2015, Los Angeles Times