Security.NL wenst iedereen een gelukkig nieuwjaar!
Welkom in 2023, en dat is geen wachtwoordadvies! De gehele redactie van Security.NL wenst iedereen traditiegetrouw een gelukkig en veilig nieuwjaar. 2022 was op allerlei vlakken een bewogen jaar. Zo stelde de Oostenrijkse privacytoezichthouder dat het gebruik van Google Analytics in strijd met de AVG is. Ook andere Europese privacytoezichthouders volgden. De Autoriteit Persoonsgegevens verwachtte in de loop van 2022 te kunnen zeggen of het gebruik van Google Analytics in Nederland is toegestaan of niet, maar die uitspraak is nog niet verschenen.
Verder kwam Telegram met name vanuit de Duitse politiek onder vuur te liggen en was Minister Yesilgöz van Justitie en Veiligheid het niet eens met jury Big Brother Awards, waarvan de volgende editie in februari plaatsvindt. Ook kwam er aandacht voor het afschermen van persoonsgegevens in het Kadaster en Handelsregister en het gebruik van Chinese apparatuur, zoals camera's van Hikvision en Dahua. Zo is de aanschaf van nieuwe apparatuur van deze fabrikanten in de VS verboden, wat ook geldt voor het gebruik van TikTok op de werktelefoons van ambtenaren.
Vorig jaar februari verstuurde de overheid nog een NL-Alert wegens extreme weersomstandigheden en waarschuwde de Amerikaanse overheid op 14 februari voor mogelijk Russische cyberaanvallen. Tien dagen later viel Rusland Oekraïne binnen. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde organisaties om alert te zijn op aanvallen als gevolg van de oorlog in Oekraïne. Verder zorgden plannen voor een Europese digitale euro en een Europese digitale identiteit voor de nodige ophef, alsmede het afscheid van alleen het via DigiD inloggen met gebruikersnaam en wachtwoord bij de Belastingdienst.
Meerdere grote bedrijven, zoals Microsoft, Samsung, Nvidia en Okta, kregen te maken met aanvallen door de Lapsus$-groep, die allerlei informatie waaronder broncode wist buit te maken. Daarbij werd onder andere gebruikgemaakt van "MFA fatigue", een tactiek waarbij een aanvaller de multifactorauthenticatie (MFA) van een account weet te omzeilen door de eigenaar van een aangevallen account een malafide inlogpoging goed te laten keuren.
Julian Assange hoorde dat hij aan de Verenigde Staten mag worden uitgeleverd, waar de WikiLeaks-oprichter beroep tegen aantekende en was er het nodige te doen over banken die klanten laten betalen voor het opnemen van contant geld of brieven sturen wanneer klanten regelmatig contant geld opnemen. Na alle commotie besloot Meta af te zien van de bouw van een hyperscale datacenter in Zeewolde en stopte minister De Jonge met het gebruik van privémail voor werk. Vorig jaar werd ook bekend dat premier Rutte jarenlang sms-berichten van zijn eigen 'oude Nokia' verwijderde. De Belastingdienst kreeg een recordboete van 3,7 miljoen euro voor het overtreden van de AVG.
Plannen van de Europese Commissie om chatberichten en ander verkeer van Europeanen te inspecteren zorgde voor veel kritiek. Apple dat een dergelijk plan ook wilde doorvoeren besloot hier vanaf te zien. Een ander plan dat onder vuur kwam te liggen is dat van het kabinet, dat alle transacties van alle Nederlanders boven de 100 euro gezamenlijk door banken wil laten monitoren, waarvoor de term 'bancair sleepnet' werd bedacht.
Net als de jaren daarvoor waren ook in 2022 datalekken en ransomware-aanvallen schering en inslag. Zo werden gebruikers van QNAP slachtoffer van ransomware, alsmede Colosseum Dental, bibliotheek Rotterdam en dierentuin Artis. Er was ook goed nieuws, want de Universiteit Maastricht kreeg het losgeld wat het eerder wegens een ransomware-aanval betaalde terug met winst. Aangezien aanvallers nog altijd zeer succesvol zijn om door middel van macro's in Office-bestanden ransomware te verspreiden besloot Microsoft het uitvoeren hiervan lastiger te maken, maar de maatregel is nog niet in alle Office-versies doorgevoerd.
Het Europees Agentschap voor cyberbeveiliging (ENISA) liet in november weten dat phishing de meestgebruikte manier is om ransomware te verspreiden. Daarnaast maken aanvallers misbruik van bekende kwetsbaarheden waarvoor organisaties hebben nagelaten beschikbare beveiligingsupdates te installeren of weten ze via gestolen of zwakke wachtwoorden binnen te komen die organisaties bijvoorbeeld voor RDP (remote desktop protocol) hebben ingesteld.
Zoals gezegd waren datalekken in 2022 dagelijkse kost. Twitter bevestigde het lekken van de gegevens van miljoenen gebruikers en wachtwoordmanager LastPass moest bekennen dat versleutelde wachtwoorden van gebruikers uit een cloudomgeving waren buitgemaakt. Een ander gevoelig datalek was dat bij ID-Ware, dat toegangssystemen aan bedrijven en overheden levert, inclusief de Eerste en Tweede Kamer. Meerdere Nederlandse woningcorporaties kregen te maken met een datalek na een ransomware-aanval op hun ict-dienstverlener.
Wat het nieuwe jaar brengen zal is de vraag, maar zoals elk jaar zal Security.NL ook in 2023 weer dagelijks met hart en ziel het laatste nieuws over security en privacy brengen. Daarnaast is een nieuw jaar natuurlijk niet compleet zonder goede voornemens. We zijn dan ook erg benieuwd naar wat onze lezers van plan zijn!
#webproxy
Waar er verantwoordelijkheid is voor informatieverwerking, ik wens je een behouden vaart.
2022 is toch echt wel het jaar van de ransomware geworden.
Als directeur van een klein bedrijf (met verstand van ICT) heb ik mij voorgenomen om dit jaar dan ook geen windows meer in huis te hebben ivm de vele ransomware incidenten en losgeld perikelen. Afhankelijk van de applicatie wordt het een Apple of een Linux werkplek. Alle servers draaien al in een privé cloud.
De berichtgeving hier is nooit gekleurd. Daar heb ik althans nog nooit een alinea van kunnen merken. Niet links, niet rechts, niet wake of woke, niet troelala. Ook is het wars van sensatieberichtgeving. Waardoor het gelijk al boven de hele Engelse pers staat qua niveau bijvoorbeeld. Zelfs de Guardian. Maar ook boven menig Nederlands medium. Daarnaast is men ruimhartig in de moderatie van comments. En is het prettig anoniem, waardoor de opmerking bij de opmerking blijft en niet op de persoon gespeeld kan worden. Flames komen bijna niet voor. Dat heeft alles te maken met de sfeer. Zoals het in de ene kroeg altijd vechten is en in de andere nooit. Ook al veranderen ze tien keer het behang.
Dat is knap. En dat wou ik graag even schrijfkuffelenderwijs kwijt. Krijg er desnoods maar rooie koontjes van, security.nl. Die krijg je namelijk niet van mij, maar van jezelf. Maar ik wou het toch even graag opmerken.
Hahaha, die zijn er zeker wel. Soms ook op de man. Maar altijd redelijk binnen de perken.
Maar goed, iedereen een gelukkig 2023 en veel wijsheid.
Ik vrees dat het geen gelukkig nieuwjaar gaat worden maar hopelijk wel een gezond jaar.
2022 is toch echt wel het jaar van de ransomware geworden.
Als directeur van een klein bedrijf (met verstand van ICT) heb ik mij voorgenomen om dit jaar dan ook geen windows meer in huis te hebben ivm de vele ransomware incidenten en losgeld perikelen. Afhankelijk van de applicatie wordt het een Apple of een Linux werkplek. Alle servers draaien al in een privé cloud.
Verstandig, als het voor je bedrijf werkt (kortom geen software draait die alleen Windows vereist).
Ik vrees dat het geen gelukkig nieuwjaar gaat worden maar hopelijk wel een gezond jaar.
2022 is toch echt wel het jaar van de ransomware geworden.
Als directeur van een klein bedrijf (met verstand van ICT) heb ik mij voorgenomen om dit jaar dan ook geen windows meer in huis te hebben ivm de vele ransomware incidenten en losgeld perikelen. Afhankelijk van de applicatie wordt het een Apple of een Linux werkplek. Alle servers draaien al in een privé cloud.
Verstandig, als het voor je bedrijf werkt (kortom geen software draait die alleen Windows vereist).
Al is het wel zo dat er steeds vaker ook linux servers worden gegijzeld in de afgelopen jaren.
Maakt niet weg dat je er qua security al snel op vooruitgaat!
Afhankelijk van de schaal zou ik persoonlijk niet snel linux draaien op de laptops van m'n personeel (dat zeg ik als fulltime op-alles-draait-linux gebruiker)
En mocht dat toch zo zijn zou ik echt hele specifieke machines uitzoeken en zeker niet de eerste beste mediamarkt meuk.
Zoals ik al jaren doe probeer ik collega's en mensen in mijn directe omgeving digitaal verstandiger te maken.
Ook hier, op Security.nl, zijn er nog zat mensen die verstandiger moeten worden. De wereld is niet zwart/wit en je moet je kop niet in het zand steken, je bent niet veilig omdat je een bepaald OS gebruikt (ook al denken sommigen dat wel) je moet altijd op je hoede blijven.
Laten we er een mooi jaar van maken en door samenwerking ons werk een stuk makkelijker en veiliger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
