Vandaag is het Cyber Monday en hoewel dit een commerciële aangelegenheid is, vinden wij het een uitgelezen kans om een aantal opmerkelijke gebeurtenissen op het gebied van informatieveiligheid in 2019 te bespreken. Ook staan we stil bij vijf vormen van cybercrime waar samen meer dan 1 miljoen Nederlanders slachtoffer van zijn geworden. Tot slot kijken we vooruit naar informatieveiligheid in 2020 en geven we je een aantal tips waarmee je als organisatie in het komend jaar aan de slag kunt.
2019 is een bewogen jaar geweest als het gaat om informatiebeveiliging in de media. Opvallend zijn de vele datalekken – en de daarbij behorende forse boetes – en de steeds vernuftiger wordende cybercriminaliteit.
Januari 2019 – Hackergroep APT10 valt Nederlandse overheidsinstanties aan
De hackergroep APT10 valt Nederlandse overheidsinstanties aan. Ook ICT-dienstverleners en organisaties in de lucht- en ruimtevaart zijn targets van de hackergroep. De letters APT staat voor Advanced Persistent Threat, waaruit kan worden afgeleid dat het gaat om een hackergroep die wordt ondersteund door een staat. De AIVD linkt de hackers aan China.
De Verenigde Staten en het Verenigd Koninkrijk constateerden al eerder dat deze hackers wereldwijd actief zijn. “De AIVD acht het waarschijnlijk dat APT10 aan China gelinkt is,” volgens een woordvoerder van de AIVD. “Over het algemeen zetten door China aangestuurde hackers digitale aanvallen in om kennis te stelen. Chinese hackers proberen wereldwijd innovatieve technologie in handen te krijgen. Nederland is een belangrijk doelwit, omdat Nederland vooroploopt op het gebied van innovatie.”
Februari 2019 – 900 inloggegevens Nederlandse ondernemingen verkocht op darkweb
Uit onderzoek van RTL Nieuws blijkt dat criminelen inloggegevens van Nederlandse bedrijven verhandelen op een Russische website op het dark web. Het gaat in Nederland om ruim 900 inloggegevens van bedrijven. Internationaal zouden er 64.000 verkocht- of te koop zijn. De gemiddelde prijs voor een gebruikersnaam en wachtwoord: 4 tot 15 dollar. Kopers krijgen daarmee onder andere toegang tot medische dossiers en financiële gegevens. RTL Nieuws nam de proef op de som en schafte de inloggegevens van vijf websites aan. Hiermee kregen ze de medische dossiers van onder meer topsporters in te zien, alsook de administratie van ondernemers. Ook kon worden ingelogd bij een praktijk voor fysiotherapie.
Maart 2019 – Formjacking steeds vaker gebruikt bij webwinkels
Volgens beveiligingsbedrijf Symantec hacken cybercriminelen steeds vaker formulieren van webwinkels. Op deze manier bemachtigen ze onder andere rekeningnummers en creditcardgegevens van online shoppers. Deze nieuwe hackmethode heet formjacking.
Webwinkels maken gebruik van formulieren waarop kopers hun adres- en betaalgegevens invullen om een bestelling te kunnen plaatsen. Zonder dat een klant het in de gaten heeft, kan een hacker meekijken en deze gegevens stelen. Vooral creditcardgegevens zijn erg gewild. Symantec ontdekt maandelijks wereldwijd 4.800 websites waarbij de code van deze formulieren is gehackt. Het bedrijf zegt al 3,7 miljoen aanvallen geblokkeerd te hebben.
April 2019 – Microsoft verwijdert periodieke wachtwoordwijziging uit security baseline
Microsoft verwijdert het periodiek aanpassen van het wachtwoord uit de security baseline van Windows 10 en Windows Server 2019. Microsoft vindt het periodiek veranderen van wachtwoorden een achterhaalde maatregel.
“Als mensen gedwongen worden om hun wachtwoorden te wijzigen, maken ze te vaak kleine en voorspelbare aanpassingen aan hun bestaande wachtwoorden en/of vergeten hun nieuwe wachtwoorden,” zegt Aaron Margosis van Microsoft.
Margosis noemt tevens een aantal alternatieven: het handhaven van een lijst met verboden wachtwoorden en het gebruik van multifactorauthenticatie. Zelf je wachtwoordbeheer verbeteren? Lees dan ook eens mijn blog: ‘Gebruik jij al een wachtwoordmanager?’.
Mei 2019 – Gezamenlijk meer dan 100 datalekken per maand bij UWV en SVB
In de eerste vier maanden van 2019 zijn er bij het Uitvoeringsinstituut Werknemersverzekeringen (UWV) 165 datalekken geweest. Bij de Sociale Verzekeringsbank (SVB) waren dit er 319. Dat is ruim 100 datalekken per maand bij beide organisaties tezamen. Minister van Sociale Zaken schreef dit onlangs in een brief aan de Tweede Kamer
Het betrof veelal datalekken waarbij de gegevens van één persoon werden gelekt. In drie gevallen ging het om grote aantallen persoonsgegevens. Bij een van deze grote datalekken werden via een account van een werkgever 117.000 cv’s buitgemaakt. In een tweede geval ging het om het verlies van een externe harde schijf waarop zich gegevens van 114.000 mensen bevonden. De betreffende medewerker zou niet de juiste procedures hebben gevolgd aangaande mobiele gegevensdragers. Het derde grootschalige datalek werd veroorzaakt door een fout via e-mail. Een UWV-medewerker verstuurde een uitnodiging naar 99 mensen met daarin per ongeluk een bijlage met de persoonsgegevens van 586 mensen.
Zowel het UWV als het SVB hebben naar aanleiding van deze incidenten diverse maatregelen geïmplementeerd om datalekken in de toekomst te voorkomen.
Juni 2019 – Lake City betaalt 490.000 dollar om gijzeling door ransomware af te kopen
Op 10 juni wisten hackers de systemen van Lake City in Florida te gijzelen met behulp van ransomware. Diverse systemen, waaronder e-mail, werkten niet meer. Het lukte niet om de netwerken weer aan de praat te krijgen, waardoor ambtenaren papieren bonnen moesten gebruiken voor het betalen van energie en water. Uiteindelijk zag men maar een uitweg: het betalen van 490.000 dollar aan losgeld aan de cybercriminelen. Nadat het geld was overgemaakt, ontving Lake City een decryptiesleutel, waardoor enkele kritische systemen weer snel operationeel waren.
Juli 2019 – Forse boete eerste volledige AVG-zaak
Het HagaZiekenhuis in Den Haag heeft een boete opgelegd gekregen door de Autoriteit Persoonsgegevens (AP) van maar liefst 460.000 euro. Het is de eerste keer dat de AP een sanctie oplegt voor het schenden van de Algemene verordening gegevensbescherming (AVG).
Het HagaZiekenhuis heeft de boete gekregen omdat de medische dossiers onvoldoende beveiligd zijn. De aanleiding was dat 85 medewerkers het patiëntendossier van Samantha de Jong (beter bekend als Barbie) hadden bekeken, zonder daar vanuit hun functie een geldige reden voor te hebben. Alle medewerkers hebben een officiële waarschuwing ontvangen.
Het AP geeft het HagaZiekenhuis tot 2 oktober 2019 de tijd om de beveiliging op orde te krijgen. Blijft het ziekenhuis in gebreke, dan dient het elke twee weken 100.000 euro aanvullende boete te betalen met een maximum van 300.000 euro. Later in het jaar, in september 2019, zal het HagaZiekenhuis weer in opspraak komen. Een medewerker gebruikt een papieren overdrachtslijst, met daarop patiëntgegevens, als boodschappenlijstje en laat het in haar winkelwagentje liggen. De vinder van het lijstje toont het vervolgens aan Omroep West.
Augustus 2019 – 100 miljoen phishingmails per dag
Google maakt op de Black Hat-conferentie in Las Vegas bekend dat zij elke dag 100 miljoen phishingmail, gericht aan Gmail-gebruikers, tegenhouden.
Google onderscheidt drie categorieën phishingmails: gerichte phishingmails aan enkele personen, boutique phishing aan een tiental personen, en grootschalige phishing aan honderdduizenden mensen tegelijk. Omdat cybercriminelen steeds nieuwe varianten phishingmails maken, blijft het effectief, aldus Google. Twee-derde van de phishingmails die Gmail tegenhoudt, zijn uniek. Daarbij worden phishingaanvallen in een relatief korte periode uitgevoerd, variërend van 7 minuten tot 13 uur. De phishingmails worden vooral gestuurd aan zakelijke gebruikers. Twee veelvoorkomende varianten zijn: mails van e-mailproviders (42 procent) en aanbieders van clouddiensten (25 procent).
September 2019 – Gegevens 260.000 klanten Allianz buitgemaakt
Cybercriminelen hebben bij reisverzekeraar Allianz Global Assistance minstens 260.000 gegevens van Nederlandse klanten buitgemaakt. De gegevens bevatten onder meer persoonsgevoelige informatie van verzekeringen en pechhulp.
Hoewel de data op back-ups in een kluis op een beveiligde locatie waren opgeslagen, is het de criminelen toch gelukt de data de stelen. Een woordvoerder van Allianz geeft dan ook aan: “We hebben geen idee hoe deze kraak gebeurd is”. Allianz heeft alle klanten persoonlijk een brief gestuurd en het datalek gemeld bij de autoriteiten. In hoeverre de gestolen data bruikbaar is, is nog maar de vraag. De data is opgeslagen op tapes, en deze kunnen alleen met specifieke hardware worden uitgelezen.
Oktober 2019 – Nieuw BTW-nummer voor verbeterde privacy
Eerder dit jaar werd aangekondigd dat het BSN-nummer niet langer op het btw-identificatienummer van zzp’ers mag staan. Dit om de privacy van de zzp’er beter te waarborgen en het risico op identiteitsfraude te verlagen. Het nieuwe btw-nummer, genaamd ‘btw-id’, is een uniek nummer bestaande uit 14 tekens. Het nieuwe btw-nummer heeft helemaal geen verwijzing meer naar het BSN-nummer.
Vanaf 1 januari 2020 zijn Nederlandse ondernemers verplicht de nieuwe btw-id te gebruiken op facturen en website. Het ‘oude’ nummer verdwijnt niet helemaal, want voor de aangifte omzetbelasting en in communicatie met de Belastingdienst wordt nog wel het btw-nummer met BSN gebruikt, alleen dan onder de naam ‘omzetbelastingnummer’.
November 2019 – Flinke buit voor Amazon-scammers
Digiboeven hebben in de UK een flinke buit gepakt door klanten van e-commerce gigant Amazon op te lichten. Deze zogeheten Amazon-scam heeft de criminelen 400.000 pond, ofwel 460.000 euro, opgeleverd.
De boeven gingen als volgt te werk: klanten werden gebeld door een geautomatiseerd systeem met de mededeling dat zij de dupe waren van een fraudeur die hun gegevens gebruikte voor het afsluiten van een Amazon Prime-abonnement. Om het abonnement te annuleren, moest de klant het cijfer 1 intoetsen op zijn telefoon. Vervolgens werd de klant doorverbonden met een oplichter die zich voordoet als Amazon-medewerker. Deze verzoekt de klant het programma TeamViewer te installeren op zijn computer, zodat de nep Amazon-medewerker het beveiligingslek – dat zogenaamd de aanleiding was van de fraude – kan verwijderen van de computer van de klant. Met behulp van TeamViewer kan de oplichter vervolgens de rekeninggegevens van de klant bekijken.
De Britse politie heeft in 8 weken tijd meer dan 200 meldingen ontvangen van Amazon-klanten die op deze manier zijn opgelicht. De schade: gemiddeld 2300 euro per persoon.
December 2019 – Medische dossiers ontoegankelijk door ransomware
Wederom een gijzelneming door ransomware, nu in de medische hoek. Hackers hebben met de beruchte Ryuk-ransomware de medische dossiers van 110 Amerikaanse verpleeghuizen versleuteld. Dit heeft tot gevolg dat medici geen toegang meer hebben tot kritische informatie van patiënten, waardoor de zorg in gevaar komt. Zorgverleners kunnen onder andere medische gegevens niet bijwerken en ook lukt het niet om medicijnen te bestellen, met als gevolg dat medicijnen niet op tijd worden geleverd. Een ander gevolg is dat verpleeghuizen niet op tijd hun declaraties kunnen indienen bij verzekeraars, waardoor het risico ontstaat dat ze hun eigen rekeningen niet meer kunnen betalen. De cybercriminelen vragen maar liefst 14 miljoen dollar. Het is onbekend of op dit verzoek wordt ingegaan.
Vorig jaar hebben 1,2 miljoen Nederlanders te maken gehad met cybercrime. Dat is te lezen in het onderzoeksrapport Digitale Veiligheid en Criminaliteit van het Centraal Bureau voor de Statistiek (CBS). We lichten vijf situaties toe:
Vermogensdelicten
4,6 procent van de Nederlandse internetgebruikers werd vorig jaar geconfronteerd met een vermogensdelict. Het betrof voornamelijk aankoopfraude: mensen kochten iets online maar kregen deze aankoop nooit geleverd.
Hacken
Het CBS geeft aan dat er in Nederland veel mensen slachtoffer zijn van een hack. Slachtoffers hadden over het algemeen geen idee hoe er ingebroken was op hun accounts, of hoe hun computer was geïnfecteerd door bijvoorbeeld malware. 7 Procent van de bevraagden geeft aan dat de hack mogelijk was, omdat ze zelf een programma hadden geïnstalleerd.
Helpdeskfraude
Ook helpdeskfraude kwam veel voor. Cybercriminelen doen zich bijvoorbeeld voor als Microsoft-medewerkers en benaderen mensen met de melding dat hun computer geïnfecteerd zou zijn. “Ondanks de bekendheid van deze helpdeskfraude ging toch nog 0,2 procent van de internetgebruikers hierop in en leed financieel verlies,” aldus het CBS.
Afpersingsmails
Afpersingsmails werden op grote schaal verstuurd. Hierin dreigen criminelen beelden die via de camera van de pc, laptop of telefoon gemaakt zijn, online te zetten. 2 Procent van de respondenten van het onderzoek kregen deze e-mails. Gelukkig heeft bijna niemand gehoor gegeven aan het verzoek tot betaling van losgeld.
Ransomware
Ransomware maakte het afgelopen jaar 0,2 procent van de internetgebruikers slachtoffers. 0,04 Procent betaalde het losgeld om weer toegang tot zijn versleutelde bestanden te krijgen.
Wat kun je doen om jouw organisatie in 2020 informatieveiliger te maken? We geven je vijf tips waar je in 2020 mee aan de slag kunt:
Wil je graag eens praten over de meerwaarde van certificering voor jouw organisatie? Neem dan contact op, stuur een e-mail naar info@qsn.nl
Bronvermelding: www.informatiebeveiliging.nl/nieuws, www.rtlnieuws.nl, www.cbs.nl, www.informatiebeveiligingsdienst.nl, www.fox-it.nl, www.forcepoint.com, www.justitia.nl