Wednesday, December 23, 2015

DOJ investigating data breach at Uber

DOJ investigating data breach at Uber



Getty Images
The Department of Justice is probing a data breach at Uber that an internal investigation reportedly linked to an employee at rival service Lyft, Reuters reported late Friday.
Uber has said that the data breach last year may have affected tens of thousands of drivers, exposing their identities and drivers license numbers.

Uber's internal investigation reportedly linked the initial data breach to a Comcast IP address belonging to Chris Lambert, the chief technology officer at rival service Lyft. A separate IP address reportedly executed the hack; that user remains unidentified.
Reuters reported that federal investigators are looking at the possible link to the rival company.
A spokesman for the Department of Justice said he could not confirm or deny the existance of a criminal investigation. Uber and Lyft did not immediately respond to requests for comment. Lyft told Reuters that it had not been contacted by federal investigators.
Lambert’s attorney says the software engineer has signed a sworn statement saying he was not involved in the hack. He told Reuters he expected an investigation would clear his client.
“Given that Uber apparently lost driver data, a law enforcement investigation is to be expected," lawyer Miles Ehrlich, said. "And the benefit is that the culprit here is going to be identified — and that's going to remove Chris' name from any conversation about Uber's data breach, as it should."
The case is developing as Lyft looks to curb Uber’s rapid global expansion. The smaller service has formed alliances with ride-hail companies in other countries, including Chinese giant Didi Kuaidi, in an attempt to compete with Uber overseas.
But Uber’s growth has continued. The company, fresh off a fundraising round that reportedly valued the company at more than $50 billion, is said to be embarking on another round that would value it at $62.5 billion.

Microsoft Will Ban Man-in-the-Middle Ad Injection Software (December 21 and 22, 2015)


Microsoft Will Ban Man-in-the-Middle Ad Injection Software (December 21 and 22, 2015)
Microsoft will block ad injection software that makes use of man-in-the-middle (MiTM) techniques. The company says it aims "to keep the user in control of their browsing experience." Microsoft will begin enforcing the changes on March 31, 2016.
-http://www.zdnet.com/article/microsoft-to-ban-man-in-the-middle-adware-from-marc
h-31/

-https://blogs.technet.microsoft.com/mmpc/2015/12/21/keeping-browsing-experience-
in-users-hands/

[Editor's Note (Murray): Browsers should favor security over ads. It is "features" that make browsers the weak link in the desktop. ]

Meer dan helft van bedrijven heeft last van internetbedreigingen

Meer dan helft van bedrijven heeft last van internetbedreigingen

21 Dec 2015 De redactie
Deel dit artikel:  Facebook Twitter LinkedIn Google+ Deel



In het afgelopen jaar is meer dan de helft van de bedrijven slachtoffer geweest van een directe dan wel indirecte internetbedreiging. Hierbij gaat het met name om DDoS-aanvallen.
Dit blijkt uit een survey die is gehouden door netwerkbedrijf F5 Networks. Ondanks dat DDoS-aanvallen het meest voorkomend waren, staat fraude door eigen werknemers boven aan het zorgenlijstje van security en IT-managers.

Op basis van de uitkomsten zijn inmiddels verschillende trendverschuivingen te zien. Zo is te zien dat het aantal DDoS-aanvallen percentueel is toegenomen, en dat steeds meer mensen weten wat de bedreigingen inhouden. Vorig jaar gaf 15 procent aan slachtoffer te zijn geworden, maar de precieze toedracht niet te kennen; dat is dit jaar gezakt naar net geen 9 procent.

Fraude door werknemers
Hoewel het aantal fraudegevallen percentueel is afgenomen ten opzichte van vorig jaar, maken wel meer mensen zich zorgen over fraude door werknemers. Sterker nog, met 40,5 procent is het de grootste zorg op security-gebied. Enkelen hiervan geven als toelichting dat ze bang zijn voor toenemende datalekkage. Het aantal mensen dat zich helemaal geen zorgen maakt, is gedaald van 6,5 naar 3,5 procent.

De focus voor volgend jaar ligt dan ook bij de meeste managers op het strenger naleven van het security-beleid en in iets mindere mate op beveiliging op gebruikersniveau. 

Gevolgen van internetbedreigingen
In 2014 stond reputatieschade stijf bovenaan als grootste angst ten gevolge van een DDoS-aanval. Ook dit jaar ziet men dat nog als grootste risico (52 procent), maar deze worden op de voet gevolgd door impact op de dienstverlening (45 procent), dataverlies (35 procent) en de website offline (32 procent).

Om de beveiliging in betere banen te leiden, kijken de security- en IT-managers nog altijd naar het topmanagement. Security moet hoger op de agenda. Wel is dat percentage (45 procent) lager dan vorig jaar (55 procent). 

Friday, December 18, 2015

Bestuurders persoonlijk aansprakelijk bij nieuwe meldplicht datalekken


Bestuurders persoonlijk aansprakelijk bij nieuwe meldplicht datalekken

De Wet meldplicht datalekken die per 1 januari 2016 van kracht wordt, verplicht bedrijven en overheidsinstellingen om melding te maken als gegevens digitaal blijken te zijn ontvreemd. Indien men een datalek niet op tijd meldt (binnen 2 werkdagen), dan riskeren organisaties een boete die kan oplopen tot maximaal €810.000. Een tweede, vaak vergeten aspect, is dat bestuurders van organisaties persoonlijk verantwoordelijk en aansprakelijk kunnen worden gehouden voor het niet naleven van de privacy-wetgeving.
Een misverstand dat wij vaak horen is dat men denkt dat men een forse boete krijgt als er zich een datalek voordoet. Nee, men krijgt pas een boete als het datalek niet of niet op tijd wordt gemeld. Als na de melding blijkt dat men nalatig is geweest met het nemen van de vereiste beveiligingsmaatregelen, dan is er tevens een kans dat de toezichthouder hiervoor ook zo’n hoge boete oplegt. Een gunstig gevolg hiervan is dat cybersecurity en privacy niet langer gedelegeerd kan worden naar de IT-afdeling, maar het een onderwerp moet zijn op de agenda van de directie of raad van bestuur.
Figuur 1. Nováccent heeft een aanpak ontwikkeld op basis waarvan organisaties aan de slag kunnen met de meldplicht datalekken.
Figuur 1. Nováccent heeft een aanpak ontwikkeld op basis waarvan organisaties aan de slag kunnen met de meldplicht datalekken.
Je hoort vaak: ‘Het is niet de vraag of zich een datalek kan voordoen, maar wanneer’. Het gaat er om dat organisaties zich voorbereiden op een datalek. Dat we hier nog een flink aantal stappen moeten nemen blijkt wel uit diverse onderzoeken naar diverse datalek-incidenten, waarbij in 85% van de gevallen blijkt dat een datalek pas na weken ontdekt wordt en dat in 92% van de gevallen het datalek door een derde partij wordt ontdekt.

Stappenplan

Welke stappen moet ik nu ondernemen om voorbereid te zijn op een datalek?
Nováccent heeft een aanpak ontwikkeld op basis waarvan organisaties aan de slag kunnen met de meldplicht datalekken (zie figuur 1).
  • Organisatie: overzicht en inzicht in de formeel juridische relaties van de organisatie, dochters, deelnemingen, partners en samenwerkingsverbanden en de bijbehorende contracten
  • Bewerkingen: overzicht en inzicht in alle bewerkingen van persoonsgegevens. Tevens hoort hierbij het uitvoeren van een weerbaarheidscheck op de bewerkersovereenkomsten om zo inzichtelijk te krijgen wat de aansprakelijkheids- en kostenrisico’s zijn. Vervolgens moet men een managementsysteem inrichten om de interne controle op de bewerkingen te handhaven. Hierdoor is men voorbereid op de mogelijke vragen van de toezichthouder en/of betrokkene wanneer een datalek incident is opgetreden
  • Informatie- en IT-risico’s: analyse op de weerbaarheid tegen een datalek
    1. Waar staat de data?
    2. Wie is de eigenaar?
    3. Met wie wordt de data gedeeld (bewerkingen)?
    4. Hoe wordt de data gedeeld?
    5. Welke beveiligingsmaatregelen zijn er getroffen om data te beschermen?
    6. Welke risico’s zijn er op datalekken?
    7. Wat is de bewustwording in de organisatie?
    8. Wat is het beleid?
    9. Hoe is de organisatie voor wat betreft informatiebeveiliging ingericht?
    10. Welke voorzieningen zijn ingericht om datalek te kunnen detecteren?
  • Maatregelen: implementeren en inrichten van maatregelen om weerbaarheid tegen datalek te vergroten.
  • Incident response: implementeren en inrichten van Incident Response.

Waar staat kritische data?

Uit onderzoek blijkt dat veel organisaties niet weten waar hun kritische data staat. Het is van belang om dit in kaart te brengen, vervolgens te classificeren, bepalen met wie data gedeeld wordt en vervolgens met welke beveiligingsmaatregelen de data moet worden beveiligd ([zie figuur 2).
Dataclassificatie vormt een cruciaal onderdeel in het beveiligingssysteem en bepaalt in belangrijke mate de effectiviteit van de overige maatregelen. Immers als men bijvoorbeeld een document heeft geclassificeerd als ‘Vertrouwelijk’ dan herkent bijvoorbeeld een Data Leak Prevention oplossing deze classificatie en kan men hierop het geldende beleid loslaten. Maar ook kan men een vertrouwelijk document beschermen door deze te versleutelen en van rechten te voorzien (wie mag document inzien, bewerken, printen, doorsturen et cetera). Deze vorm van beveiligen wordt ook wel Information Rights Management genoemd. Een dergelijke oplossing is tot op heden maar mondjesmaat ingezet, maar kan door de druk van de Meldplicht datalekken wel eens een zeer effectieve maatregel blijken, aangezien men de volledige controle krijgt over de data. Het aantoonbaar maken hiervan doet het wel heel goed bij de toezichthouder.
Figuur 2. Uit onderzoek blijkt dat veel organisaties niet weten waar hun kritische data staat.
Figuur 2. Uit onderzoek blijkt dat veel organisaties niet weten waar hun kritische data staat.

Snelle detectie

Om snel en adequaat te kunnen achterhalen of er een datalek heeft plaatsgevonden, zal je in ieder geval moeten monitoren wat er op je ICT-infrastructuur en binnen je applicaties en data gebeurt. Snelle detectie is van belang om op tijd de melding te kunnen doen en de impact van het incident zoveel mogelijk te beperken. Vervolgens zal je de response op het incident effectief moeten organiseren en tot slot maatregelen moeten treffen om de schadelijke gevolgen van het incident zoveel mogelijk te beperken, informatie te verzamelen om onderzoek te kunnen doen naar het incident en indien noodzakelijk schadelijke software te verwijderen.
Wij raden aan om samen met het top management, IT en communicatie een workshop te organiseren: Datalek incident nu! Een datalek incident kan immers nu gebeuren. De journalist van RTL4 kan nu bellen met de melding dat er gevoelige persoonsgegevens vanuit jouw organisatie is uitgelekt. In deze praktische oefening gaan we na hoe de response van de organisatie is. Welke oplossingen er vanuit de organisatie worden aangedragen om een uitweg te zoeken uit de crisis?

Hoger plan

Na een dergelijke oefening weet men hoe men er nu voorstaat en aan welke disciplines men nog moet werken om de organisatie naar een hoger plan te trekken.
De status quo van de huidige situatie wordt als uitgangspunt gebruikt voor het inrichten van de incidentmanagement organisatie en voor de inrichten van de vereiste hulpmiddelen  voor monitoring, detectie, analyse en reparatie met de bijbehorende organisatie, mensen en expertise.
- See more at: http://infosecuritymagazine.nl/2015/12/17/bestuurders-persoonlijk-aansprakelijk-bij-nieuwe-meldplicht-datalekken/#sthash.sJZr7GUL.dpuf

Thursday, December 17, 2015

Nieuwe privacywet zorgt voor gelijk speelveld voor bedrijven in Europa

Nieuwe privacywet zorgt voor gelijk speelveld voor bedrijven in Europa

Amsterdam, 16 december 2015 - Het Europees Parlement, de Europese Commissie en de Raad van Ministers hebben op 15 december overeenstemming bereikt over de nieuwe Europese privacywet. De wet wordt in januari formeel goedgekeurd en gaat in vanaf 2018. DDMA, brancheorganisatie voor data-driven marketing, is positief. Directeur Diana Janssen: ‘We zijn blij dat er een akkoord is over zo’n fundamenteel pakket regels.’
Gelijk speelveld
Op dit moment zijn er in de Europese Unie achtentwintig verschillende regelgevingen op het gebied van privacy. Het nieuwe akkoord zorgt voor één set privacyregels die voor alle leden gelden. Volgens Jan Phillip Albrecht, onderhandelaar van het Europees Parlement, betekent dit minder bureaucreatie en zorgt het voor een gelijk speelveld op de Europese markt. Dat is volgens Diana Janssen erg belangrijk: ‘Onze inzet is altijd geweest: gelijke monniken, gelijke kappen. Hoe het in de praktijk zal werken is nog niet duidelijk, maar dat de regels nu gelden voor alle organisaties die gebruikmaken van gegevens van Europese burgers is voor een klein land als Nederland cruciaal. Onze bedrijven zijn zo beter in staat om te concurreren.’
Janssen benadrukt daarbij het belang van openheid door bedrijven over de manier waarop zij persoonlijke gegevens inzetten. ‘Consumenten moeten weten wat bedrijven met hun gegevens doen en hoe zij zelf invloed op uit kunnen oefenen op dit proces. Het is ongelooflijk belangrijk dat dit duidelijk is.’
Privacy in de boardroom van bedrijven
De DDMA-directeur vindt dat de nieuwe regelgeving ervoor zorgt dat privacy compliance een onderwerp wordt voor de boardroom. ‘Met een boete van maximaal vier procent van je wereldwijde omzet is privacy compliance een serieus bedrijfsrisico geworden. Dat is een goede ontwikkeling. De digitale economie is gebaseerd vertrouwen en respect voor privacy is daarbij van groot belang. Daar moet op het hoogste niveau in een organisatie over beslist worden.’
Twee jaar voorbereidingstijd
Hoewel er op donderdag 17 december nog een laatste bijeenkomst in Brussel plaatsvindt, is het vrijwel zeker dat de wet wordt aangenomen. Na de formele goedkeuring in januari hebben bedrijven vervolgens twee jaar en twintig dagen om zich voor te bereiden en de nieuwe regels te implementeren. Als brancheorganisatie gaat DDMA haar leden daarbij helpen. Janssen: ‘We starten in 2016 met een uitgebreid voorlichtingstraject. Bovendien hebben wij nu al een privacy- en securitycheck die bedrijven helpt bij het opstellen en uitvoeren van hun privacy- en databeveiligingsbeleid.’
//
Over DDMA
DDMA (Data Driven Marketing Association) is de brancheorganisatie voor data-driven marketing met 275 leden variërend van War Child tot Heineken, van Relay42 tot Sanoma. DDMA adviseert haar leden over privacy en wetgeving en informeert ze over trends en ontwikkelingen. Het meest recente initiatief, de Data Academie, is gericht op het bijscholen van marketeers en bedrijven op het gebied van data.
Voor meer informatie kunt u contact opnemen met:
Lubbers De Jong
Erik Molkenboer
T: 020-2050425
E: erik@lubbersdejong.nl
DDMA
Diana Janssen
T: 020-4528413
E: dianajanssen@ddma.nl

PKWARE Expands Channel Partner Program To Include Leading Security Providers Emagined Security, JCS&A And Prevalent

PKWARE Expands Channel Partner Program To Include Leading Security Providers Emagined Security, JCS&A And Prevalent

PR Newswire
                            

MILWAUKEE, Dec. 15, 2015 /PRNewswire/ -- PKWARE, the leading provider of Smart Encryption Everywhere, today announced the additions of Emagined Security, JCS & Associates and Prevalent to the PKWARE Partner Program. As part of the agreements, PKWARE is a preferred technology partner for each of these preeminent security providers, expanding the reach of the company's data-centric encryption products in North America.
View photo
.
PKWARE provides Smart Encryption to protect data any way businesses use, share and store it. The Milwaukee-based company created the .ZIP file standar...
As PKWARE's market offerings have evolved from compression to data security, demand for sophisticated encryption-based solutions has rapidly grown. In today's environment of inevitable data breaches, PKWARE, together with its partners, has the opportunity to help solve the biggest security infrastructure challenges customers are facing.
"Organizations continue to get breached at the data level despite perimeter and device security," said Prevalent CEO Jonathan Dambrot. "Adding data-level security to a defense-in-depth strategy will increase a company's security posture and mitigate security risks."
Recruiting and developing a set of security-centric partners is core to the company's growth strategy. Earlier this year, PKWARE announced the additions of partner Intuitive Technology Group and ex-Symantec veteran Rick Hofmann to lead the PKWARE Partner Program.
"These companies have a long history of selling security products and solutions into the market," said Rick Hofmann, vice president of North American Channels and Alliances. "PKWARE is focused on building strong business partnerships with industry leaders to help address their customers' security needs."
Prevalent's Dambrot continued, "Now we live in a time where security breaches are inevitable. From our viewpoint, the market is ready to adopt a data-centric approach to security and encrypt the data itself."
For more information about PKWARE, visit www.pkware.com.
About Emagined SecurityEmagined Security, a leading provider of professional services for Information Security and Compliance solutions, offers a deep level of industry expertise and consultants with security certifications and extensive field experience.
About JCS & Associates JCS & Associates, Inc., a proven information systems security value added reseller, has sold, installed and deployed more endpoint, server and network security solutions than any other individual value added reseller in North America.
About PrevalentPrevalent, which was recently named by Gartner as the only "visionary" in their Magic Quadrant for IT Vendor Risk Management is known best for developing cutting-edge technologies and highly-automated services that are proven to help organizations reduce, manage and monitor the security threats and risks associated with third-party vendors.
About PKWAREPKWARE's Smart Encryption armors data at its core, eliminating vulnerabilities everywhere data is used, shared or stored. Smart Encryption is easily embedded and managed without changing the way people work. Integrated across all enterprise systems, platforms and languages, Smart Encryption fortifies information security inside and outside the organization. For nearly three decades, PKWARE has provided encryption and compression software to more than 30,000 enterprise customers, including 200 government entities. PKWARE invented .ZIP, the world's most widely used file-based open standard.
Media Contact: 
Joshua Swarz
646-428-0650

Sunday, December 13, 2015

White House responds to data encryption petition

White House responds to data encryption petition

A petition on data encryption that has more than 104,000 signatures got a response from the White House.
The We the People petition asking for the Obama Administration to endorse strong encryption and encourage world leaders to do the same reached the plateau for a response of 100,000 online signatures.
“Weakening encryption weakens the entire Internet,” the petition said.  The signers demand privacy, security and integrity for communications and systems, saying the public should be confident that those services haven’t been weakened or compromised by government mandate or pressure.
In its Dec. 8 response, the White House and the National Security Council acknowledged that encryption is “part of a broader conversation about what we, as a nation, can do to fight terrorism as it evolves online.” The White House also called for “America’s technology community and law enforcement and counter-terrorism officials to work together to fight terrorism.”Administration officials said they will sit down this week with the creators of the petition to hear about their priorities and concerns. Meanwhile, the public is invited to share comments and questions about encryption policy with the White House.

About the Author
Derek Major is a reporter/producer for GCN.

Saturday, December 12, 2015

The European Union's case of doublethink: New cybersecurity rules and backdoor dreams

The European Union's case of doublethink: New cybersecurity rules and backdoor dreams

The EU wants critical service providers to ramp up their security -- while in the same breath members are fighting encryption and considering mandatory backdoors in software.
EU lawmakers have agreed to enforce a set of cybersecurity rules across the bloc which demand that critical service providers can no longer brush data breaches under the carpet -- but contrary beliefs when it comes to backdoors and weakened cryptography threaten to completely negate all efforts.
Businesses operating in the European bloc that deliver essential services, such as transport control or electricity grid management, will soon be expected to invest in security solutions which will make corporate networks robust enough to withstand cyberattacks -- if that is ever possible, of course -- due to a fresh set of regulations laid down by members of the European Union.

               

Online marketplaces and large e-commerce retailers such as eBay and Amazon, search engines and cloud service providers will also have to adhere to the EU's new rules, which require that infrastructure is "secure."
As a press release issued by the EU explains, the new framework was proposed and terms agreed by the Members of the European Parliament (MEPs) and Luxembourg Presidency of the EU Council of Ministers on Monday.
Parliament's rapporteur Andreas Schwab said:
"Member states will have to cooperate more on cybersecurity -- which is even more important in light of the current security situation in Europe. Moreover this directive marks the beginning of platform regulation. Whilst the Commission's consultation on online platforms is still on-going, the new rules already foresee concrete definitions -- a request that Parliament had made since the beginning in order to give its consent to the inclusion of digital services."
The energy, transport, banking, financial market, health and water supply sectors, in particular, will be affected by these new rules. They must be "robust enough" to resist cyberattacks, as well as be "ready to report serious security breaches to public authorities."
ISPs, e-commerce sites, search engines and cloud service providers are now bound by the same regulations, but small companies are exempt.
Computer Security Incidents Response Teams (CSIRTs) are set to be established to handle data breaches and attacks, especially when incidents cross borders.
Once approved by Parliament's Internal Market Committee and the Council Committee of Permanent Representatives, the rules will come into effect.
Scwab called the ruling a "milestone," and in one way, it may be such. There is little regulation or enforcement in the EU when it comes to investing in security, beyond the Data Protection Act which requires consumer data to be adequately protected, but as high-profile cyberattacks continue to rise, the EU must be seen to respond in some manner.
However, taking a tip from Orwell's 1984 term "doublethink," -- in which contrary beliefs are accepted at the same time -- some of us may wonder how this can actually be used to protect essential services when in the same breath European Union member states wish to weaken cryptographic protocols, restrict the use of encryption and even force companies to install backdoors in their software.
The UK government, for example, proposed a new surveillance bill which would force companies to bypass encryption for the benefit of police and intelligence agencies. However, such weakened encryption is akin to handing the keys to the kingdom over to those who want to infiltrate a network, potentially leading to damaged systems and data theft.
Meanwhile, in the wake of the terrorist attacks on Paris, the French government is mulling over banning the use of the privacy-based Tor network, as well as the mandatory closure of free and public Wi-Fi networks if the country is in a state of emergency.
Technology firms in the US are already fighting against proposed communication software backdoor enforcement for intelligence purposes, and UK Prime Minister David Cameron has floated similar ideas, potentially leading to the outright ban of encrypted apps such as Apple iMessage and Snapchat.
You can't have it both ways. You may want businesses to better protect themselves from cyberattacks, but then also trying to force them to deliberately place backdoor vulnerabilities in software for the amusement of law enforcement agencies defeats the whole purpose.
A backdoor is a backdoor, and the way forward is not to reduce or destroy the technology we already have. If EU member states expect companies to maintain "secure" networks -- although today, data breaches are a matter of when, not if -- they can't also force regulations down the throats of businesses providing security and encryption solutions with the aim of weakening the system as a whole for their own convinience.

Friday, December 11, 2015

Meldplicht Datalekken: 5 concrete stappen-Gerard Stroeve Centric

Meldplicht Datalekken: 5 concrete stappen

Per 1 januari 2016 is de Meldplicht Datalekken als onderdeel van de Wet bescherming persoonsgegevens (Wbp) van kracht. Dit geeft veel organisaties de nodige actiepunten. Heeft u nog geen voorbereidingen getroffen of nog helemaal niet van de meldplicht gehoord? Dan is het de hoogste tijd om aan de slag te gaan.
Wat is die meldplicht precies? Op zijn website schrijft het College bescherming persoonsgegevens (CBP): 'Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het CBP zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).'



Van toepassing?

Allereerst is het natuurlijk de vraag of de meldplicht op jouw organisatie van toepassing is. In de basis geldt: als voor of door jouw organisatie persoonsgegevens worden verwerkt in Nederland, dan geldt de meldplicht voor jou als je daarbij de zogenaamde verantwoordelijke bent. Dat ben je als je het doel van de verwerking en/of de middelen ervoor hebt bepaald.

Onder het verwerken van persoonsgegevens verstaan we elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Kortom, de meldplicht is vrij algemeen van aard en de kans is groot dat deze ook op jouw organisatie van toepassing is.

Wat is een datalek?

Bij een datalek denken we vaak aan het ongewenst openbaar worden van vertrouwelijke gegevens. Maar de wet hanteert een veel bredere definitie. Wettelijk ben je verplicht om 'verlies of onrechtmatige verwerking' van persoonsgegevens te voorkomen met passende technische en organisatorische maatregelen. Een datalek is dus een incident waarbij de bescherming van persoonsgegevens is doorbroken en waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Dat kan van alles zijn: van het 'op straat belanden' tot het per ongeluk deleten van een belangrijk overzicht met persoonsgegevens, zonder dat er een reservekopie van het bestand is.
Of het betreffende datalek ook daadwerkelijk aan het CBP en de betrokkenen gemeld moet worden, hangt af van diverse factoren. De belangrijkste afweging is of er ernstige nadelige gevolgen voor de betrokkenen te verwachten zijn. Een nadere toelichting op wat een datalek is en wanneer en hoe je een lek moet melden, geeft het CBP in speciale beleidsregels rond de meldplicht.

Hoe voldoet u aan de meldplicht?

Het niet nakomen van de meldplicht kan leiden tot hoge boetes. Hiertoe is de bestuurlijke boetebevoegdheid van de Autoriteit Persoonsgegevens uitgebreid. De maximale boete is 820.000 euro. Hieronder geef ik vijf concrete stappen die je kunt zetten om te voldoen aan de Meldplicht. Voorkom boetes: zorg dat je voorbereid bent!
Zicht op informatiestromenAllereerst wil je zicht hebben op de diverse persoonsgegevens die jouw organisatie gebruikt. Hierbij is een persoonsgegeven elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Dat kan dus van alles zijn. Persoonlijke gegevens als naam, adres of gezondheid, bijvoorbeeld, maar ook minder voor de hand liggende informatie als het kenteken van een auto. Breng deze informatie in kaart en maak er een duidelijk overzicht van. Het is verstandig de gegevens ook meteen te classificeren op de eisen rondom vertrouwelijkheid, integriteit en beschikbaarheid.
Toets de passende beveiligingDe Wbp stelt dat persoonsgegevens beveiligd moeten zijn met passende technische en organisatorische maatregelen. Passend betekent onder andere dat de betreffende beveiligingsmaatregelen zijn gebaseerd op een gedegen risicoanalyse. Vraag je security officer hoe de beveiliging is ingericht. Heb je (nog) geen security officer dan kun je quickscan uitvoeren, eventueel aangevuld met specifieke tests die de kwetsbaarheid van de gegevens in kaart brengen. Meer weten over passende beveiligingsmaatregelen? Zie ook de richtsnoeren voor de beveiliging van persoonsgegevensvan het CBP.
Stel een meldingsprotocol opDe meldplicht vraagt om een protocol waarin staat wie welke taak en verantwoordelijkheid heeft in het meldingsproces. Wie beoordeelt de aard van een datalek en de impact ervan? Is dat ook degene die uiteindelijk beslist om wel of niet tot melding aan het CBP over te gaan? En waar wordt dit geregistreerd? Zorg bij voorkeur dat het protocol aansluit bij het bestaande incidentmanagementproces.
Informeer medewerkersEen belangrijke stap is het informeren van de medewerkers. Het is namelijk belangrijk dat er geen datalekken gemist worden. Individuele medewerkers moeten datalekken kunnen herkennen en weten wat de te nemen stappen zijn. Dit vraagt om heldere instructies.
Maak afspraken met bewerkersOok de rol van eventuele bewerkers buiten je organisatie moet aandacht krijgen. Een bewerker verwerkt persoonsgegevens voor de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen. Van verwerking door een bewerker is bijvoorbeeld sprake bij het verwerken van persoonsgegevens in de cloud of bij externe hosting van een website die persoonsgegevens verwerkt. Het is belangrijk dat deze bewerker jou als verantwoordelijke in staat stelt om aan de meldplicht te voldoen. Dat wil zeggen dat ook de bewerker passende beveiligingsmaatregelen moet treffen en jou in geval van een datalek tijdig informeert.

Stappen gezet

Met deze activiteiten zijn vijf belangrijke stappen om te voldoen aan de meldplicht gezet. Maar uiteraard begint daarna pas de praktijk van het melden. En vergeet niet: voorkomen is beter dan melden!
Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5661311). © Jaarbeurs IT Media

Thursday, December 10, 2015

Overheid steekt half miljoen in verbeteren encryptie


Overheid steekt half miljoen in verbeteren encryptie

Kees Verhoeven
Kees Verhoeven
Het kabinet investeert een half miljoen euro in de verdere ontwikkeling van encryptieprojecten om de vrijheid en veiligheid van mensen te bevorderen.
Minister Henk Kamp van Economische Zaken was niet gelukkig met het initiatief maar zwicht voor een amendement van D66-parlementariër Kees Verhoeven, dat door een meerderheid van de Tweede kamer werd gesteund.
Het ministerie gaat nu met een aantal deskundigen om de tafel om te bepalen aan welke projecten het geld wordt besteed. Het amendement van Verhoeven richtte aanvankelijk op het verder uitbouwen van OpenSSL. Uiteindelijk is er voor gekozen meer opensource-projecten te betrekken in een selectieprocedure.
De stap van de Nederlandse overheid is opmerkelijk. De meeste overheden overwegen juist een rem te zetten op het gebruik van encryptie. Een verbod zou terroristen en criminelen een voor de hand liggende mogelijkheid ontnemen om hun communicatie te onttrekken aan het spiedend oog van de opsporingsdiensten en politie. Verhoeven wijst er juist op dat privécommunicatie een belangrijk element is voor de vrije meningsvorming. "[Encryptie, red] ... stelt journalisten, onderzoekers, advocaten en anderen in staat om zichzelf, hun bronnen, klanten of partners te beschermen. Zelfontwikkeling is alleen mogelijk als je je vrij voelt om verschillende bronnen van informatie en meningen op te zoeken", aldus Verhoeven tegen Security.nl.

Nieuwe cybersecurityregels EU zijn tweekoppig monster

Nieuwe cybersecurityregels EU zijn tweekoppig monster

Het Europese Parlement introduceerde samen met de Europese ministerraad deze week een nieuwe set regels rond databeveiliging die de gefragmenteerde wetgeving van de afzonderlijke lidstaten moet harmoniseren. De regels hinken echter op twee gedachten.
De regels bieden echter ook ruimte voor lidstaten om een verbod in te stellen op sterke encryptie of van softwarebedrijven te eisen dat er achterdeurtjes in de beveiliging worden aangebracht ten behoeve van de opsporing. Elke verzwakking van de beveiliging biedt echter ook mogelijkheden voor kwaadwillenden om in te breken.
De waarschuwing van de EU om netwerken robuust te maken, is vooral gericht op de nutsbedrijven, dus de leveranciers van water gas en elektriciteit, maar ook op financiële instellingen en de gezondheidssector. De verplichtingen gelden ook voor aanbieders van buiten de EU, dus bijvoorbeeld eBay of Amazon. Kleine bedrijven zijn weer niet verplicht de inbraken te melden.
De EU gaat een netwerk van Computer Security Incidents Response Teams opzetten, met een vestiging in elk EU-land. Die organisaties krijgen de taak als eerste op te treden bij incidenten en gezamenlijk Europabrede actie te ondernemen.

CBP publiceert Beleidsregels meldplicht datalekken


CBP publiceert Beleidsregels meldplicht datalekken

Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens, tot die tijd College bescherming persoonsgegevens (CBP) genaamd. Het CBP heeft vandaag de definitieve beleidsregels over deze nieuwe meldplicht datalekken gepubliceerd. De beleidsregels helpen organisaties bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. “De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen”, dat zegt CBP-voorzitter Jacob Kohnstamm tijdens zijn speech op het congres van de Dag van de Privacy Officer.

Datalek

Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking.

Voorbeelden van datalekken

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand. Recent kwamen er datalekken in het nieuws over een speelgoedfabrikant waarbij gegevens van meer dan 100.000 Nederlandse kinderen waren gestolen, een Amerikaanse datingsite waarvan de klantgegevens op straat lagen en een ziekenhuis waar medische dossiers waren gelekt.

Melden of niet?

Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.

Beleidsregels

Eerder publiceerde het CBP al een concept van deze beleidsregels ter consultatie. Deze heette toen nog richtsnoeren meldplicht datalekken.

Boete

De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is € 820.000.

Meer informatie

Meer informatie over de meldplicht datalekken is te vinden op de website.

Gerelateerd Nieuws


FBI Chief Admits It’s Impossible to Ban All Encryption


FBI Chief Admits It’s Impossible to Ban All Encryption The government can at least make it harder to hide from surveillance, James Comey says.
                            
FBI Director James Comey testifies before the Senate Judiciary Committee on Wednesday.
AP PHOTO/SUSAN WALSH
December 9, 2015               
   
FBI Dir­ect­or James Comey ac­know­ledged Wed­nes­day that de­term­ined ter­ror­ists and crim­in­als will al­ways have ways to hide their com­mu­nic­a­tions from the gov­ern­ment.
Even if Con­gress re­quires U.S. tech com­pan­ies to guar­an­tee ac­cess to their devices and ser­vices, there will likely still be for­eign com­pan­ies that of­fer strong en­cryp­tion, Comey said dur­ing a Sen­ate Ju­di­ciary Com­mit­tee hear­ing. And soph­ist­ic­ated ter­ror­ists could even build their own en­cryp­ted mes­saging apps, he ad­mit­ted. En­cryp­tion scrambles com­mu­nic­a­tions, leav­ing only mean­ing­less gib­ber­ish to any­one who doesn’t have the right “key” to un­lock the mes­sage.
“I think there’s no way we solve this en­tire prob­lem,” Comey ac­know­ledged. “En­cryp­tion is al­ways go­ing to be avail­able to the soph­ist­ic­ated user.”
The ad­mis­sion may seem to un­der­mine Comey’s push for broad­er gov­ern­ment ac­cess to data. But, ac­cord­ing to the FBI chief, even though there’s no per­fect solu­tion, it’s still worth mak­ing it harder for ter­ror­ists to es­cape sur­veil­lance.
“The prob­lem we face post-Snowden is, it’s moved from be­ing avail­able to the soph­ist­ic­ated bad guy to be­ing the de­fault. And so it’s af­fect­ing every crim­in­al in­vest­ig­a­tion. I agree there’s no way to solve this en­tire prob­lem, but I still think it’s worth try­ing to solve a big chunk of it.”
Comey first began warn­ing of the prob­lem of crim­in­als us­ing en­cryp­tion to “go dark” from sur­veil­lance in a speech last year. Com­pan­ies shouldn’t of­fer ser­vices that make it im­possible for them to re­spond to war­rants or oth­er leg­al or­ders for in­form­a­tion, Comey has been ar­guing. The re­cent ter­ror­ist at­tacks in Par­is and San Bern­ardino have cre­ated mo­mentum on Cap­it­ol Hill to try to ad­dress the is­sue.
 
Sen. Di­anne Fein­stein, a Cali­for­nia Demo­crat, said dur­ing Wed­nes­day’s hear­ing that she plans to in­tro­duce le­gis­la­tion along with Sen. Richard Burr, a North Car­o­lina Re­pub­lic­an, to “pierce” en­cryp­tion. “I have con­cern about a Play­Sta­tion that my grand­chil­dren might use and a pred­at­or get­ting on the oth­er end, and talk­ing to them, and it’s all en­cryp­ted,” she said. “I think there really is reas­on to have the abil­ity, with a court or­der, to be able to get in­to that.”
But tech com­pan­ies and civil liber­ties ad­voc­ates ar­gue that en­cryp­tion makes the In­ter­net more se­cure. Any law re­quir­ing weak­er en­cryp­tion would make it easi­er for ma­li­cious hack­ers to steal sens­it­ive in­form­a­tion, they say.
Comey dis­missed that ar­gu­ment Wed­nes­day. “It’s not a se­cur­ity is­sue. It’s a busi­ness-mod­el is­sue,” he said, ar­guing that con­sumers should pres­sure tech com­pan­ies to help the gov­ern­ment catch crim­in­als and ter­ror­ists.

Tuesday, December 8, 2015

Martin Kenney: Can directors ever understand the complexity of compliance?

Monday
Dec072015

Martin Kenney: Can directors ever understand the complexity of compliance?

Alison Taylor’s white paper Risk, An Organizational Perspective, notes that corruption risks vary from continent to continent. That's true. But it understates the depth of a very complex challenge that businesses face.
If we look past continental differences, we have to consider the nature of the business being conducted and even the prevailing political wind within that country. The culmination of these various threads means that no single compliance model can deal with all these variants. Instead, each company has to be prepared to tweak its standard compliance program and practices to suit the elevated risks associated with the location and the nature of the business being conducted.
Herein lies a problem: Most companies and their compliance chiefs are reluctant to waiver from what they and the board have already decided. And yet compliance officers with significant experience and perspective will know that at times they need to demonstrate a certain flexibility.
But can compliance approaches be flexible without real-time support and participation from the board? I would wager that even at this point in my discussion, some board members will be thinking:What has this got to do with me? We pay the compliance officer to make these decisions.”
Let's be blunt. If the bosses don't believe in it, why should the workers?
If directors and their companies exercise compliance rigidly and inflexibly, eventually they will miss something. Worse still, employees might identify new risks but decide to ignore them, because they have met the requirements of the compliance manual. (Richard Bistrong also discusses this dilemma in a post on his Front Line site.)
Overseeing deals where bribery and corruption may impact upon a legitimate tendering process is an extremely frustrating predicament for company directors. But in today's enforcement environment, turning a blind eye to the possibility that a subordinate or intermediary is offering some form of gratuity to the prospective client isn't an option. And it probably won't work as a defense to say the requirements of a written-in-stone compliance program were met.
As a first step, then, directors should have compliance awareness training. Without it, they can't fully appreciate the head-spinning complexity of compliance in high-risk environments or the hard choices their compliance officers face every day.
________
Martin Kenney is Managing Partner of Martin Kenney & Co., Solicitors, a specialist investigative and asset recovery practice focused on multi-jurisdictional fraud cases www.martinkenney.com |@MKSolicitors.
- See more at: http://www.fcpablog.com/blog/2015/12/7/martin-kenney-can-directors-ever-understand-the-complexity-o.html#sthash.GdKnkWQz.dpuf