Door ransomware getroffen Twentse bedrijven betaalden losgeld
Meerdere Twentse bedrijven zijn vorig jaar door ransomware getroffen en hebben het losgeld betaald dat de aanvallers vroegen. Dat laat Liesbeth Holterman van het Cybersecurity Centrum Maakindustrie (CCM) in Enschede tegenover Tubantia weten.
Het zou om bijna tien Twentse bedrijven gaan die met een ransomware-infectie te maken kregen en dit rapporteerden. "En dat zijn dan nog alleen maar de bedrijven waarvan ik het weet. In werkelijkheid ligt het aantal hoger, omdat slachtoffers er niet snel over praten", aldus Holterman. Door de infectie kwamen de bedrijven een periode stil te liggen. "Dan loopt de schade dus al snel op. Voor veel bedrijven reden om de criminelen te betalen", stelt Holterman.
Ze wil niet zeggen welke bedrijven slachtoffer zijn geworden. "Om nieuwe aanvallen op die bedrijven niet uit te lokken, en omdat de ondernemers zelf niet op die aandacht zitten te wachten."
Dat willen wij ook helemaal niet weten. Wat wij wel willen weten is welke maatregelen zijn genomen om een volgende aanval te voorkomen. Dat kan zonder een bedrijf bij naam te noemen.
- welke malware was hier actief?
- welke maatregelen beveelt het "CCM Cybersecurity Centrum Maakindustrie in Enschede" aan?
Zodat wij van elkaars fouten kunnen leren ...
In nagenoeg alle gevallen MOET je ransomware melden (volgens de AVG) omdat het mogelijk is dat de criminelen toegang hebben gehad tot persoonsgegevens.
In nagenoeg alle gevallen MOET je ransomware melden (volgens de AVG) omdat het mogelijk is dat de criminelen toegang hebben gehad tot persoonsgegevens.
In nagenoeg alle gevallen MOET je ransomware melden (volgens de AVG) omdat het mogelijk is dat de criminelen toegang hebben gehad tot persoonsgegevens.
Dat klinkt onduidelijk, zowel door de redenatie als de gebruikte afkortingen.
1. " .. In nagenoeg alle gevallen MOET je ransomware melden (volgens de AVG) omdat het mogelijk is dat de criminelen toegang hebben gehad tot persoonsgegevens .. " (AVG = Algemene verordening gegevensbescherming).
Karma 4 bestrijdt deze stelling van Herbert28 niet, dus ik neem dit even (ongewijzigd) als uitgangspunt.
Maar Karma4 reageert hierop: " .. Gaat een beetje erg onwerkbaar worden om alles wat mogelijk iets met privacy te maken heeft bij het AP te melden".
Dat zal toch moeten Karma4, anders stapel je overtreding op overtreding. Laat de AP (Autoriteit Persoonsgegevens) zelf maar aangeven of er eventueel een "onwerkbare" situatie ontstaat door de vele meldingen.
2. " .. Nu begrijpt het AP toch al weinig van informatiebeveiliging ze zijn niet de aangewezen instantie om de technologische (beter bij NCSC of watt daar op lijkt) .." (citaat Karma4).
Wat doet de AP (Autoriteit Persoonsgegevens) nu niet, wat ze volgens jou wel zouden moeten doen?
Wat doet het NCSC nu niet, wat ze volgens jou wel zouden moeten doen?
3. " .. management vraagstukken (ACM AFM DNB) op te pakken.." (citaat Karma4)
Wat hebben de ACM (Autoriteit Consument & Markt), AFM (Autoriteit Financiële Markten) en DNB (De Nederlandsche Bank) te maken met "door ransomware getroffen, tot nu toe niet met naam genoemde, Twentse bedrijven die zich in stilzwijgen verhullen"?
Ik heb geen idee wat Karma4 hier probeert te zeggen. Het lijkt op obfuscatie?
https://en.wikipedia.org/wiki/Obfuscation
https://nl.wikipedia.org/wiki/Obfuscatie_(software)
Als je dan klikt op " .. waaronder het toepassen van "security through obscurity" .."
https://nl.wikipedia.org/wiki/Security_through_obscurity
Dan lees je dat dit een slecht beveiligingsprincipe is, meestal door commercie gedreven.
Onder andere staat er onder: "Kritiek op het principe "Security through obscurity": " ... Hij (Bruce Schneider) stelt zich tevens op het standpunt, dat informatie over beveiligingslekken vrij snel bekend moet worden gemaakt zodat consumenten tegenmaatregelen kunnen treffen voor het geval dat de leverancier dat niet snel genoeg doet."
En dat kan je teruglezen in de reacties van Anoniem (14:31) en Herbert28 (16:09):
meld je lek !
En zeker bij de AP Autoriteit Persoonsgegevens.
In nagenoeg alle gevallen MOET je ransomware melden (volgens de AVG) omdat het mogelijk is dat de criminelen toegang hebben gehad tot persoonsgegevens.
a) Onwerkbaar of niet, er is gewoon een wettelijke plicht om het te melden.
b) De AP is een toezichthouder en geen adviesorgaan.
c) Een archiefkast met persoonsgegevens valt ook onder AVG. Het idee dat er bij het AP specialistische technische kennis in huis moet zijn is niet terecht. Als bedrijf moet je kunnen aantonen dat je zorgvuldig met persoonsgegevens omgaat. De AP ziet daar als toezichtouder op toe.
In nagenoeg alle gevallen MOET je ransomware melden (volgens de AVG) omdat het mogelijk is dat de criminelen toegang hebben gehad tot persoonsgegevens.
Los wat hun kennisniveau is; herbert heeft gelijk. Het encrypten van bestanden met direct herleidbare persoonsgegevens moet binnen 72 uur worden gemeld bij de AVG
Eminus
Politiek die dit leest : Kamervragen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
