Monthly Archives: januari 2017

  • -

Op naar een veilig 2017!

Category : Blog

Blog door Astrid Philippron, Accountmanager Cisco Public Sector

Digitalisatie en veiligheid

Digitalisatie en het ‘internet der dingen’ (Internet of Things) hebben ons in een tijdperk gebracht waar elk moment meer ‘dingen’ geconnecteerd worden. Al de data die hierbij beschikbaar komt vormt een grote opportuniteit om het dagelijkse  leven aangenamer te maken en te verbeteren. Hier zijn ook hackers zich van bewust. Financiële instellingen (banken) zijn al enige tijd niet meer de plaats die je moet veroveren om rijk te worden. Netwerken –in tegenstelling- des te meer. We kunnen dan ook spreken van het ‘internet der onveilige dingen’.

De evolutie van het hacken via massa spamming naar individuele en persoonlijke aanvallen en bedreigingen toont aan dat het handelen van gehackte data een nieuwe handelsmarkt heeft gecreëerd. Deze markt is veel groter dan dat we ons ooit kunnen voorstellen. In een professionele omgeving zie we bijvoorbeeld dat ransomware heel populair is. Operatoren worden aangevallen. En in de meeste gevallen kunnen we vaststellen dat geen duidelijke veiligheidsstrategie aanwezig is. De tijd tot detectie is een van de cruciale aspecten in zulke basisstrategie. Maar hoeveel organisaties hebben hier al over nagedacht?

EU en GDPR

In April 2016 heeft de EU de ‘General Data Protection Regulation’ (GDPR) goedgekeurd. Deze zal effectief van toepassing zijn vanaf mei 2018. Deze regulatie heeft directe invloed op elke organisatie en bevat een framework voor het beschermen van personen. Meer bepaald met betrekking op het verwerken van persoonlijke data en op het vrije verkeer van deze data.

‘Persoonlijke data’ kan worden gedefinieerd als elke soort informatie die betrekking heeft op de mogelijkheid tot het identificeren of de identiteit van een persoon (‘data onderwerp’). Een identificeerbare persoon is iemand die geïdentificeerd kan worden, direct of indirect. Meer specifiek met betrekking tot een identificeerbaar onderwerp zoals een naam, identificatie nummer, locatie, een online gegeven of tot een of meer factoren die betrekking hebben op de psychische, psychologische, genetische, mentale, economische, culturele of sociale eigenschappen van die persoon.

Aanzienlijke nalevingslasten die ingevoerd zijn door de EU wetgevers zijn o.a. de verplichting tot het bijhouden van documenten en verplichte veiligheids impact testen (PIA’s) voor o.a.  het gebruik van gevoelige data en het systematisch monitoren van publieke gebieden. Deze PIA’s bevatten ook risico testen en de analyse van de veiligheidscontrole en verantwoordelijkheidsmaatregelen. Onder het verantwoordelijksheidsprincipe zullen de bedrijven ook moeten kunnen aantonen dat ze op elk moment voldoen aan de wetgeving.

Daarvoor moeten bedrijven hun data processingsactiviteiten registreren bij hun DPA (data protectie autoriteiten).

Boetes voor niet-voldoening zullen zeer hoog oplopen, met boetes van EUR 20 miljoen of 4% van de jaarlijkse wereldwijde omzet.

Begint u het te begrijpen? Deze wetgeving kan zeer veel impact hebben, en de samenvatting hierboven beschreven is maar een klein deel van de hele inhoud van de GDPR.

Hoe klaar ben jij?

Tijd dus om onze strategie en ons netwerk voor te bereiden. Hoeveel bedrijven zijn echt voorbereid? Hoeveel bedrijven hebben een degelijke veiligheidsstrategie toegepast? Hoeveel bedrijven begrijpen de GDPR regulaties?

Op dit moment zien we nog steeds dat veiligheid niet tot de topprioriteiten behoren op management niveau. Is dit omdat er geen extra budget kan worden vrijgemaakt om deze veiligheid en data protectie top prioriteit van het bedrijf te maken?

Dit zou erg jammer zijn aangezien een inbreuk op het netwerk niet enkel de organisatie schade toebrengt. Het kan veel verder gaan. Situaties waar een bedrijf falliet gaat en de CEO ontslagen wordt en aangeklaagd wordt hebben invloed op de hele omgeving. De vraag is: Wil je dit risico nemen?

Daarom stel ik mezelf volgende vraag: Als je fysieke beveiliging serieus neemt, en je kan budget voorzien om dubbele of driedubbele sloten, een omheining en camera’s te plaatsen, waarom neem je data protectie dan niet serieus? We spreken hier niet meer over de vraag “indien je wordt gehackt”, maar eerder wanneer.

Vandaar mijn vraag: Wat mag ik je wensen voor 2017? Een gelukkig nieuwjaar of liever een veilig nieuwjaar 2017?

Meer informatie via

http://ec.europa.eu/justice/data-protection/reform/index_en.htm

http://ec.europa.eu/justice/data-protection/

http://www.cisco.com/c/en/us/products/security/index.html

http://blogs.cisco.com/talos?_ga=1.188987886.455977221.1482219172

http://www.cisco.com/go/ransomware

https://umbrella.cisco.com/

Opmerking: Dit artikel is enkel een reflectie van mijn persoonlijke mening.


  • -

Anti-virus niet meer voldoende….

Category : Blog

Blog door Kristof Provoost, KMO verantwoordelijke ConXioN

Ik herinner me mijn start bij ConXioN alsof het gisteren was, al is het inmiddels 16 jaar geleden. Eén van mijn eerste taken was het bewust maken van onze klanten inzake veiligheid van het internet. Surfen en mailen waren toen pas aan hun opmars bezig, dus zeker nog niet alle klanten waren toen al actief op het net. We kennen allemaal nog wel de irritante geluidjes van de goeie ouwe inbelmodems.

Een fax werd rondgestuurd met informatie. Wat is een virus, hoe kan u het voorkomen, … Het was allemaal nog redelijk onschuldig toen. Toen waren het vooral ‘ambetante’ virussen, geschreven door jonge, slimme IT-kwajongens. Wie een beetje op zijn surftellen paste, en niet te nieuwsgierig was om veelbelovende bijlages toch te openen, zat behoorlijk safe. We kijken er bijna met heimwee naar terug, want op vandaag is het wel even anders.

Virussen, hacking, malware, … het is allemaal “very big and very criminal” business geworden. De kwajongens van nu zijn georganiseerde criminele organisaties, die miljoenen verdienen op kap van de IT-gebruiker. Alle middelen worden aangewend om ons aan te vallen, onze data te gijzelen en losgeld te vragen. Letterlijk …

’t Zal er in 2017 niet beter op worden, valt te vrezen. Een zaak is zeker: of u bent er al mee geconfronteerd, of het komt er vast en zeker aan. Geen leuk nieuws, maar het zijn wel de feiten. Gelukkig valt er iets aan te doen. 100% veilig kan u nooit zijn, maar 99% wel. U hoeft er wel iets voor te doen.

Vertrouw niet langer op uw standaard antivirus pakket. Ik bespaar u de voorbeelden van klanten die werden gehackt, waarna hun antivirus onmiddellijk gede-installeerd werd. De zero-day virussen vliegen er zo door. Dit zijn nieuwe virussen of varianten die op nauwelijks 1 dag tijd de wereld rond gaan. Iedere antivirus wordt hierdoor op snelheid gepakt.

Hou voor ogen dat veiligheid op vandaag een ‘gelaagde’ oplossing vraagt. Een gemonitorde antivirus is een goeie eerste stap. Een betere scanning van uw mails door bijvoorbeeld “Advanced Threat Protection” houdt ook de zero-day virussen tegen, doordat ze zich baseren op ‘gedragingen’ eerder dan een databank van gekende soorten. Maak zeker ook al uw paswoorden voldoende sterk, of u zet de deur wagenwijd open. Hou uw pc’s ten allen tijde up-to-date, zowel Windows als alle andere software (Java, adobe, flash, …). En niet te vergeten: wees altijd bij de pinken als u mails krijgt die u niet onmiddellijk kunt thuiswijzen.

Laat u bijstaan door onze specialisten. We testen uw omgeving graag op lekken of zwakke plekken, en hebben alle tools in huis om u de meest veilige omgeving mogelijk te bieden. Maak gebruik van onze kennis. Doen!

Kristof Provoost

Samenvatting

* Kies voor een ‘gelaagde’ beveiligingsoplossing
* Standaard antiviruspakketten beschermen te weinig, kies voor een gemonitorde antivirus
* Sterke paswoorden blijven belangrijk
* Hou uw pc’s en software up-to-date
* Wees op uw hoede bij het openen van emails
* Test uw omgeving op lekken of zwakke plekken
* Laat u bijstaan door specialisten