Even knipperen met de ogen en 2018 ligt alweer een dag in het verleden. De gehele redactie van Security.NL mag iedereen dan ook weer traditiegetrouw een gelukkig en veilig 2019 wensen. Hopend op een jaar met minder dataschandalen, meer privacy en veiligere systemen.

Het afgelopen jaar kregen we in de vorm van de Algemene verordening gegevensbescherming (AVG) een nieuwe privacywetgeving die ervoor moet zorgen dat gegevens beter worden beschermd en gebruikers meer rechten en mogelijkheden krijgen als het gaat om de verwerking van hun gegevens. In het verlengde van de invoering van de AVG werd 2018 ook gekenmerkt door een stortvloed aan datalekken. Zowel nationaal als internationaal ontvingen toezichthouders een recordaantal meldingen van persoonsgegevens die waren gestolen, verloren of gelekt.

De laatste twaalf maanden lieten tevens zien dat gegevens van internetgebruikers zonder toestemming op grote schaal worden verhandeld, doorgespeeld en misbruikt. Het dataschandaal van Facebook en Cambridge Analytica dat tientallen miljoenen mensen raakte, waaronder 89.000 Nederlanders, was slechts één van de gevallen die in het nieuws verscheen. Dat was niet het geval voor Facebook, dat wegens privacyboetes, datalekken, datamisbruik en fake news geregeld de headlines haalde.

Op technisch vlak liet de onthulling van Meltdown & Spectre en andere cpu-gerelateerde kwetsbaarheden zien dat alle onderdelen van een systeem een zwakke schakel in de keten kunnen zijn. In veel gevallen zijn complexe, technische aanvallen helemaal niet vereist. 2018 maakte nogmaals duidelijk dat de mens een essentiële rol speelt in de veiligheid van systemen. Bij ceo-fraude, helpdeskfraude, ransomware, phishing en zelfs cyberspionage blijft de mens de zwakste schakel. Het niet installeren van updates, het openen van ongevraagde e-mailbijlagen en links, het hergebruik van wachtwoorden en het inloggen op phishingsites waren het afgelopen jaar, net als de afgelopen 20 jaar, een voorname reden dat erop systemen werd ingebroken en gegevens gestolen.

Bij veel incidenten en datalekken wordt niet vermeld hoe aanvallers wisten binnen te komen, maar in de gevallen waarbij dat wel het geval is blijken basale beveiligingsmaatregelen niet te zijn gevolgd. Kijk bijvoorbeeld naar het grote aantal datalekken door onbeveiligde Amazon S3-buckets en MongoDB-databases of ransomware-infecties door het inschakelen van macro’s in Microsoft Office-documenten. Social engineering speelde ook een rol bij het grote aantal afpersingsmails die in allerlei vormen rondgingen en oplichters honderdduizenden euro’s opleverden. Keer op keer zijn het mensen die aan de basis staan.

Het blijft daarom nodig om zowel eindgebruikers, beheerders, ontwikkelaars, fabrikanten, beleidsmakers en anderen in de “keten” te informeren over hoe ze hun systemen en accounts kunnen beveiligen en wat er allemaal op het gebied van cybersecurity speelt. Iets waar Security.NL zich in 2019 ook weer met hart en ziel voor zal inzetten!

De Redactie