Gevoelig

Gevoelige gegevens, waaronder persoonlijk identificeerbare informatie, financiële gegevens en andere vertrouwelijke informatie, vormen de kern van het moderne databedrijf. Naarmate we meer enorme grote hoeveelheden gegevens verzamelen, wordt het risico op datalekken en privacyschendingen steeds groter. De cruciale rol van het ontdekken van gevoelige gegevens in deze enorme grote hoeveelheden gegevens, het waarborgen van de gegevensintegriteit en het garanderen van naleving van de regelgeving op het gebied van gegevensbescherming.

Het ontdekken van gevoelige gegevens is een cruciaal proces dat helpt gevoelige informatie binnen hun datalandschap te identificeren en classificeren. Deze proactieve maatregel is van cruciaal belang bij het beperken van de risico’s die gepaard gaan met datalekken en zorgt voor naleving van de strenge regelgeving op het gebied van gegevensbescherming. Met behulp van geavanceerde technieken en technologieën stelt de detectie van gevoelige gegevens ons in staat gevoelige gegevens, zoals persoonlijk identificeerbare informatie, financiële gegevens en vertrouwelijke bedrijfsinformatie, te lokaliseren en te analyseren. 

Deze informatie kan op de juiste manier worden beschermd via beveiligingscontroles, beleid en procedures. In de wereld van vandaag, waar datalekken steeds vaker voorkomen en de regelgeving steeds strenger wordt, is het ontdekken van gevoelige gegevens een essentieel onderdeel geworden van de gegevensbeschermingsstrategie.

Data verkenning is een systematische en analytische benadering voor het doorzoeken van onbewerkte gegevens om betekenisvolle inzichten te verkrijgen. Het omvat onder meer het identificeren en analyseren van gegevensbronnen, gegevenstypen, gegevenskwaliteit en gegevensrelaties. Dit proces speelt een cruciale rol bij het identificeren en beschermen van gevoelige gegevens en het verkrijgen van een uitgebreid inzicht in de gegevensmiddelen van een organisatie. Door een dieper inzicht in de gegevens te krijgen, kunnen organisaties weloverwogen beslissingen nemen, hun activiteiten optimaliseren en een concurrentievoordeel op de markt behalen.

Het beschermen van gevoelige informatie is van het allergrootste belang. Om ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot gevoelige gegevens, zijn effectieve toegangscontroles essentieel. Toegangscontroles alleen zijn echter mogelijk niet voldoende om de veiligheid van gevoelige gegevens te garanderen. Dit is waar tools voor het ontdekken van gevoelige gegevens van pas komen. Door ongeautoriseerde toegang tot gevoelige gegevens te identificeren en te beperken, dragen deze tools bij aan het verbeteren van de toegangscontroles en het versterken van de beveiliging van gevoelige informatie.

Gegevens zijn het meest waardevolle bezit en het beschermen van gevoelige informatie is een cruciaal probleem geworden. Het nauwkeurig classificeren van gevoelige gegevens is de eerste stap op weg naar effectieve gegevensbescherming. Dit is waar tools voor het ontdekken van gevoelige gegevens van pas komen, waarbij gebruik wordt gemaakt van geavanceerde algoritmen om verschillende soorten gevoelige gegevens, zoals persoonlijk identificeerbare informatie, financiële gegevens en meer, nauwkeurig te identificeren en te classificeren.

In een onderling verbonden wereld is het niet ongebruikelijk dat gegevens op verschillende geografische locaties worden opgeslagen. Dit kan ernstige problemen opleveren als het gaat om de verblijfplaats van gegevens en de naleving van regionale wetten op gegevensbescherming. Hierdoor kunnen we proactieve stappen ondernemen om de naleving van de wetgeving inzake gegevensbescherming in verschillende regio’s te garanderen en het risico op datalekken te minimaliseren.

Gegevensprivacy is een belangrijke zorg geworden over de hele wereld. Met de introductie van regelgeving op het gebied van gegevensprivacy, zoals de Algemene Verordening Gegevensbescherming (AVG), zijn bedrijven nu verplicht om krachtige beveiligingsmaatregelen te implementeren en ervoor te zorgen dat deze regelgeving wordt nageleefd. Dit is waar verkenning van data van pas kan komen, omdat dit een manier kan bieden om gevoelige gegevens te identificeren en te beheren, waardoor het risico op datalekken wordt verminderd en naleving van de regelgeving wordt gewaarborgd.

Data act

Nieuwe wet over eerlijke toegang tot en eerlijk gebruik van gegevens

Om de EU te laten uitgroeien tot een leider op het gebied van data­gestuurde samenlevingen heeft de Raad een nieuwe verordening aangenomen over geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van gegevens (dataverordening).

De nieuwe wet zal Europa versneld klaar maken voor het digitale tijdperk. En kan een enorm economisch potentieel ontsluiten en sterk bijdragen tot een Europese interne markt voor data. De handel in data en het overkoepelende gebruik ervan zullen worden gestimuleerd, met nieuwe kansen die de burgers en bedrijven in heel Europa ten goede komen.

De dataverordening verplicht fabrikanten en dienstverleners om hun gebruikers, zowel bedrijven als particulieren, toegang te geven tot de data die zijn ontstaan door het gebruik van hun producten of diensten van koffiemachines tot windturbines en deze te hergebruiken. Dit stelt gebruikers ook in staat die data te delen met anderen. Zo zou de eigenaar van een auto in de toekomst bepaalde voertuigdata kunnen delen met een monteur of een verzekeraar.

De verordening komt met nieuwe regels over wie er toegang heeft tot en gebruik mag maken van in de EU gegenereerde data uit alle economische sectoren. Doel van de verordening is:

– zorgen voor een eerlijke verdeling van de uit data ontstane waarde onder actoren in de digitale omgeving
– stimuleren van een concurrerende datamarkt
– creëren van mogelijkheden voor datagestuurde innovatie, en
– data voor iedereen toegankelijker maken

De nieuwe wet beoogt ook het overstappen tussen aanbieders van data­verwerkings­diensten te vergemakkelijken, voorziet in waarborgen tegen onrechtmatige data-overdracht en in de ontwikkeling van inter­operabiliteits­normen voor data die tussen sectoren kunnen worden hergebruikt.

De dataverordening zal zowel particulieren als bedrijven meer controle geven over hun data dankzij een versterkt recht op overdraagbaarheid, het gemakkelijk kopiëren of overdragen van data uit verschillende diensten, waar de data worden gegenereerd door middel van slimme objecten, machines en apparaten. De nieuwe wet geeft consumenten en bedrijven meer zeggenschap over wat er kan worden gedaan met de data die door hun verbonden producten worden gegenereerd.

De nieuwe verordening laat toe dat gebruikers van verbonden apparaten variërend van slimme huishoud­apparaten tot slimme industriële machines toegang krijgen tot de data die zij genereren door die apparaten te gebruiken, terwijl deze toegang nu vaak nog uitsluitend is voorbehouden aan fabrikanten en dienstaanbieders.

Wat data uit het internet der dingen betreft, komt het zwaartepunt nu te liggen op de functionaliteiten van de data die door verbonden producten worden verzameld, en niet meer op de producten zelf. Er wordt een onderscheid gemaakt tussen productdata en data van gerelateerde diensten, waaruit onmiddellijk beschikbare data kunnen worden gedeeld.

De nieuwe regels zorgen ook voor een adequate bescherming van bedrijfs­geheimen en intellectuele-eigendomsrechten, samen met de nodige waarborgen tegen mogelijk misbruik. Delen van data zal worden gestimuleerd maar het is ook de bedoeling dat de EU-industrie wordt ondersteund, en dat tegelijkertijd wordt voorzien in waarborgen voor uitzonderlijke omstandigheden en mechanismen voor geschillenbeslechting.

De verordening bevat maatregelen ter voorkoming van misbruik van contractuele onevenwichtigheden in data-­uitwisselings­overeenkomsten als gevolg van oneerlijke contractvoorwaarden die worden opgelegd door een partij met een veel sterkere onderhandelings­positie. Deze maatregelen zullen EU-bedrijven beschermen tegen oneerlijke overeenkomsten en het mkb/kmo’s meer manoeuvreerruimte geven. De nieuwe wet bevat ook aanvullende richtsnoeren van de Commissie over een redelijke vergoeding van bedrijven voor het beschikbaar stellen van de gegevens.

De verordening biedt overheids­instanties, de Commissie, de Europese Centrale Bank en organen van de EU de mogelijkheid om in uitzonderlijke omstandigheden – met name bij algemene nood­situaties, zoals overstromingen of natuurbranden – of voor het vervullen van een taak in het algemeen belang toegang te krijgen tot en gebruik te maken van data die in het bezit zijn van de particuliere sector.

Met betrekking tot dergelijke verzoeken om toegang tot gegevens in de context van business-to-government bepaalt de nieuwe verordening dat persoonsgegevens alleen mogen worden gedeeld in uitzonderlijke omstandigheden, zoals een natuurramp, een pandemie of een terreuraanslag, en indien de vereiste data anders niet toegankelijk zijn. Micro- en kleine ondernemingen zullen in dergelijke gevallen ook hun data aanleveren en worden gecompenseerd.

Consumenten zullen gemakkelijk van de ene cloudprovider naar de andere kunnen overstappen. Er zijn ook waarborgen tegen onrechtmatige doorgifte van data ingebouwd, en interoperabiliteits­normen voor het delen en verwerken van gegevens. Ten slotte wordt van de nieuwe wet verwacht dat hij de service na verkoop van bepaalde apparaten goedkoper en efficiënter zal maken.

De nieuwe verordening laat de lidstaten de flexibiliteit behouden om de uitvoerings- en handhavingstaken op nationaal niveau te organiseren. In de lidstaten waar een dergelijke coördinerende rol vereist is, treedt de coördinerende instantie op als enig contactpunt en wordt zij aangeduid als “datacoördinator”.

Nu de Raad de nieuwe verordening formeel heeft aangenomen, wordt deze binnenkort bekendgemaakt in het Publicatieblad van de EU. Dan treedt de wet 20 dagen later in werking. De wet wordt van toepassing met ingang van 20 maanden na de datum van inwerkingtreding. Artikel 3, lid 1 (vereisten voor vereenvoudigde toegang tot data voor nieuwe producten) is echter van toepassing op verbonden producten en de daarmee verband houdende diensten die 32 maanden na de datum van inwerkingtreding van de verordening in de handel worden gebracht.

Na de datagovernance­verordening die Raad en Parlement in 2022 hebben aangenomen, is de dataverordening het tweede belangrijke wetgevings­initiatief in het kader van de Europese datastrategie van de Commissie van februari 2020, die van de EU een pionier moet maken als het gaat om datagestuurde samenlevingen.

Daar waar de data­governance­verordening de processen en structuren creëert om het delen van data door bedrijven, particulieren en de publieke sector te faciliteren, verduidelijkt de data­verordening wie waarde kan creëren uit data en onder welke voorwaarden. Dit is een belangrijk digitaal beginsel dat zal bijdragen tot de totstandbrenging van een solide en eerlijke data-economie en richting zal geven aan de digitale transformatie van de EU in de periode tot 2030. Het zal leiden tot nieuwe, innovatieve diensten en concurrerender prijzen voor aftermarketdiensten en reparaties van verbonden objecten (“internet der dingen”).

Belangrijk

Het conflict tussen gegevensbeveiliging en privacy is een belangrijk probleem in de huidige digitale wereld, waarin we leven. Onze persoonlijke en gevoelige informatie wordt het slagveld waar gegevensbeveiliging (de bescherming tegen inbreuken en ongeoorloofde toegang) en gegevensprivacy (het behoud van de vertrouwelijkheid van onze gegevens) mee te maken krijgen terwijl we door het complexe web navigeren.

Om te voldoen aan wettelijke vereisten en de vertrouwelijkheid en onveranderlijkheid van de gegevens te waarborgen, heeft gegevensprivacy ook wel informatieprivacy genoemd betrekking op de juiste omgang met gevoelige gegevens, waaronder in de eerste plaats persoonlijke gegevens en andere vertrouwelijke gegevens, zoals specifieke financiële gegevens en gegevens over intellectueel eigendom.

Traditionele gegevensbescherming (zoals back-up- en kopieën), gegevensbeveiliging en gegevensprivacy zijn drie belangrijke gebieden van gegevensbescherming. Het uiteindelijke doel van de beste gegevensbeschermings- en beveiligingspraktijken is het garanderen van de continue beschikbaarheid en onveranderlijkheid van essentiële bedrijfsgegevens. De best practices kunnen dus ook worden gezien als het beschermen van gevoelige en persoonlijke gegevens.

Online heeft u ongetwijfeld gehoord van de recente mondiale regels voor gegevensprivacy. Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie.

De meeste websites van bedrijven verzamelen persoonlijke informatie, waaronder e-mailadressen, telefoonnummers, creditcardnummers en inloggegevens. Idealiter bewaren deze organisaties informatie niet langer dan nodig is.

Het is echter onmogelijk om gegevensprivacy te operationaliseren zonder de gegevensbeveiliging te garanderen.

Pseudonimisering is een techniek voor het maskeren van gegevens die garandeert dat persoonlijke informatie niet aan een bepaald individu kan worden gekoppeld zonder aanvullende informatie te gebruiken die aan veiligheidscontroles is onderworpen. De Algemene Verordening Gegevensbescherming (AVG) van de EU heeft meerdere overwegingen waarin wordt gedefinieerd hoe en wanneer gegevens gepseudonimiseerd moeten worden, inclusief dit als een cruciaal onderdeel.

Informatie over een specifieke persoon, ook wel een betrokkene genoemd, zijn persoonsgegevens. Betrokkenen kunnen worden geïdentificeerd aan de hand van specifieke identificerende elementen, zoals de fysieke, genetische, fysiologische, mentale, culturele, economische of sociale kenmerken van een individu, of aan de hand van attributen zoals hun naam, ID-nummer of locatie.

Tokenisatieprocedures vervangen vertrouwelijke gegevens door een willekeurige tokenwaarde die de toegang tot de originele gegevens vergemakkelijkt. Tokens kunnen eenmalig worden gebruikt om het beveiligingsniveau van gegevens te verhogen, maar hebben geen relatie met de oorspronkelijke gegevens.

Bovendien helpen tokens organisaties de gevoelige informatie waartoe ze toegang hebben en de bijbehorende aansprakelijkheid te verminderen.

Bij het maskeren van gegevens worden willekeurige tekens of andere gegevens gebruikt om significante of onderscheidende delen van de informatie te verbergen. Datamaskering maakt het mogelijk om gegevens te identificeren zonder de echte identiteit te veranderen. Het creditcardnummer 5100-0000-0000-0005 kan bijvoorbeeld worden opgeslagen als “XXXX-XXXX-XXXX-0005”.

Het proces om te voorkomen dat digitale informatie wordt beschadigd, gestolen of toegankelijk wordt gemaakt door ongeautoriseerde partijen, staat bekend als gegevensbeveiliging. Alles komt aan bod, inclusief administratieve en toegangscontroles, hardware, software voor gebruikers en opslagapparaten, en het beleid en de procedures van de organisatie.

Technologieën en technieken die de zichtbaarheid en het gebruik van gegevens binnen een organisatie verbeteren, worden gebruikt bij gegevensbeveiliging. Door technieken als gegevensmaskering, encryptie en het redigeren van gevoelige informatie te gebruiken, helpen deze tools gegevens te beschermen. Met behulp van deze aanpak kunnen organisaties voldoen aan strengere regels voor gegevensbescherming en hun auditactiviteiten stroomlijnen.

Het doel van shift left security is om testen en beveiliging zo vroeg mogelijk in het ontwikkelingsproces op te nemen.

De vier stappen van de Software Development Life Cycle (SDLC) zijn ontwikkeling, bouwen, testen en implementeren.

Omdat ontwikkelaars zich aan de linkerkant van de cyclus bevinden, zal alles wat in hun richting wordt bewogen naar links verschuiven.

Maar het verschuiven van de beveiliging naar links vereist meer dan alleen het geven van een lijst met problemen die moeten worden opgelost aan ontwikkelaars of een tool die is gemaakt voor het beveiligingsteam.

Ontwikkelaars hebben ontwikkelaarsvriendelijke tools en voortdurende hulp van het beveiligingsteam nodig voor een succesvolle implementatie.

De discipline van het integreren van beveiliging in DevOps-tools en -processen door uit te zoeken waar beveiligingscontroles, tests en poorten moeten worden geïntegreerd zonder de kosten te verhogen of het proces van het aanbrengen van wijzigingen in de infrastructuur en code te vertragen, staat bekend als beveiliging als code, of SaC.

Ontwikkelaars kunnen infrastructuurplatforms en -configuraties definiëren door code voor de taak te schrijven. We moeten overwegen om SaC te adopteren om de flexibiliteit en snelheid van DevOps naar de beveiliging te brengen. SaC zal de toekomst van applicatiebeveiliging bepalen.

Automatisering van beveiligingstaken, die zowel incidentdetectie en -respons als administratieve verantwoordelijkheden omvat, staat bekend als beveiligingsautomatisering. Beveiligingsteams kunnen schalen om aan de toenemende werklast te voldoen dankzij beveiligingsautomatisering, wat verschillende voordelen voor de organisatie biedt.

Zero Trust-beveiliging is ontwikkeld om het cyberrisico van ondernemingen te helpen beheersen naarmate cyberaanvallen in aantal en verfijning toenemen. Zero trust-beveiliging, gebaseerd op op rollen gebaseerde toegangscontroles (RBAC’s), autoriseert of weigert toegangsverzoeken individueel in plaats van impliciet interne individuen en systemen te vertrouwen.

Hoewel een zero-trust-architectuur gedetailleerde beveiliging biedt, heeft deze veel voor- en nadelen. Het ontwikkelen van een zero-trust-strategie die veilig, schaalbaar en duurzaam is, vereist beveiligingsautomatisering.

Een wetgevend kader dat bekend staat als de Algemene Verordening Gegevensbescherming (AVG) stelt regels vast voor het verzamelen en gebruiken van persoonlijke gegevens van mensen binnen en buiten de Europese Unie (EU). De AVG werd in 2016 goedgekeurd en twee jaar later volledig van kracht.

Door bedrijven verantwoordelijk te maken voor het beheer en de behandeling van persoonlijke gegevens, probeert het klanten controle te geven over hun persoonlijke gegevens. Websites die gebruikers uit Europa aantrekken, moeten voldoen aan de regel die van toepassing is, ongeacht hun locatie, zelfs als ze niet rechtstreeks adverteren voor EU-burgers.

Om persoonlijke gegevens over een individu te verkrijgen, zijn organisaties op grond van de AVG verplicht om de duidelijke en expliciete toestemming van het onderwerp te verkrijgen. Transparantie is cruciaal; bedrijven moeten mensen vertellen hoe hun gegevens zullen worden gebruikt door hen eenvoudige en begrijpelijke privacyverklaringen te sturen.

Onder de AVG hebben mensen verschillende rechten, zoals de mogelijkheid om hun persoonlijke gegevens in te zien, wijzigingen aan te vragen, bezwaar te maken tegen de verwerking en zelfs hun gegevens te verwijderen (het recht om vergeten te worden). Deze rechten bieden mensen de mogelijkheid om te beslissen hoe hun gegevens worden gebruikt.

Organisaties moeten krachtige gegevensbeveiligingsmaatregelen treffen om zich te beschermen tegen inbreuken op en ongeoorloofde toegang tot persoonlijke gegevens. Bovendien moeten bedrijven een Data Protection Officer (DPO) aanwijzen om toezicht te houden op de naleving van de AVG en als tussenpersoon dienen tussen het bedrijf, de betrokkenen en regelgevende instanties.

De Algemene Verordening Gegevensbescherming (AVG) gaf mensen de mogelijkheid om te vragen dat hun gegevens op een machinaal leesbare manier worden overgedragen. Bovendien garandeert het recht op verwijdering dat mensen in bepaalde situaties om verwijdering van hun persoonlijke gegevens kunnen vragen.

Organisaties moeten ervoor zorgen dat de doellanden passende gegevensbescherming bieden bij de overdracht van persoonsgegevens buiten de EU. Veilige buitenlandse gegevensoverdrachten vereisen voldoende bescherming, zoals standaardcontractbepalingen (SCC’s) of bindende bedrijfsregels (BCR’s).

Ondanks dat het een Europese regel is, heeft GDPR een internationaal effect. Bedrijven die internationaal opereren of zich richten op Europese consumenten moeten zich aan de AVG houden, ongeacht hun fysieke locatie. Er staan zware straffen op niet-naleving, wat het belang benadrukt van het begrijpen en naleven van de wetgeving inzake gegevensprivacy.

Gegevensprivacy versus gegevensbeveiliging: focus

Eerst zullen we dieper ingaan op het aspect gegevensprivacy versus gegevensbeveiliging van Focus.

Data Privacy

De primaire focus van gegevensprivacy is beveiliging.

Shift Links Beveiliging

Het doel van shift left security is om testen en beveiliging zo vroeg mogelijk in het ontwikkelingsproces op te nemen.

De vier stappen van de Software Development Life Cycle (SDLC) zijn ontwikkeling, bouwen, testen en implementeren.

Omdat ontwikkelaars zich aan de linkerkant van de cyclus bevinden, zal alles wat in hun richting wordt bewogen naar links verschuiven.

Maar het verschuiven van de beveiliging naar links vereist meer dan alleen het geven van een lijst met problemen die moeten worden opgelost aan ontwikkelaars of een tool die is gemaakt voor het beveiligingsteam.

De primaire focus van gegevensprivacy is het verantwoord omgaan met persoonlijke gegevens, waarbij de macht van mensen wordt benadrukt over de informatie die zij verstrekken en over de manier waarop deze wordt verzameld, gebruikt en gedeeld.

In wezen gaat gegevensprivacy over het behoud van het recht van mensen op controle over hun persoonlijke gegevens. Het benadrukt het juiste beheer van gegevens, waarbij de nadruk ligt op het verzamelen, verwerken, delen en gebruiken van informatie. Individuen hebben het recht om te weten welke gegevens worden verzameld, waarom deze worden verzameld en hoe deze zullen worden gebruikt. Dit staat bekend als gegevensprivacy.

Gegevensbeveiliging richt zich op het beschermen van gegevens tegen illegale toegang, inbreuken of cyberdreigingen, waarbij de vertrouwelijkheid en integriteit van individuele en organisatiegegevens wordt gegarandeerd.

Het beschermen van gegevensactiva tegen verschillende risico’s, zoals ongeoorloofde toegang, inbreuken, cyberaanvallen en gegevensmanipulatie, is de focus van gegevensbeveiliging.

Het omvat het opzetten van organisatorische, procedurele en technische waarborgen om ervoor te zorgen dat gegevens accuraat, betrouwbaar en onaangetast zijn. Bovendien garandeert gegevensbeveiliging de vertrouwelijkheid van gegevens door de toegang tot gevoelige informatie te beperken tot alleen geautoriseerde gebruikers of systemen.

Het beschermen van het recht van mensen op privacy en tegelijkertijd het bevorderen van openheid, geïnformeerde toestemming en moreel gegevensgebruik is het doel van gegevensprivacy.

Het waarborgen van het fundamentele recht op privacy van mensen is het hoofddoel van gegevensprivacy. Het moedigt transparantie, geïnformeerde toestemming en morele omgang met gegevens aan. Gegevensprivacy helpt mensen en organisaties elkaar te vertrouwen door individuen controle over hun gegevens te geven.

Om dataprivacy te bereiken zijn transparante datapraktijken, ondubbelzinnige privacyregels en mogelijkheden voor mensen om hun rechten uit te oefenen (zoals toegang tot, wijziging of verwijdering van hun gegevens) noodzakelijk.

Gegevensbeveiliging streeft ernaar gegevensactiva te beschermen door procedurele en technische waarborgen te implementeren, mogelijke cyberaanvallen af te weren en te garanderen dat de gegevens veilig en ongewijzigd zijn.

Gegevensbescherming houdt zich in de eerste plaats bezig met het beschermen van gegevens tegen potentiële bedreigingen en zwakheden. Organisaties streven ernaar een sterke verdediging tegen cyberdreigingen op te zetten door gebruik te maken van beveiligingsprocedures zoals inbraakdetectiesystemen, firewalls, toegangscontroles en encryptie. Gegevensbeveiligingsprocedures omvatten ook het testen van kwetsbaarheden, strategieën voor incidentrespons en routinematige veiligheidsbeoordelingen om de gevolgen van eventuele beveiligingsinbreuken snel te verminderen.

Persoonlijke informatie: Alle informatie die kan worden gebruikt om een specifieke persoon te identificeren, inclusief namen, adressen, telefoonnummers en zelfs meer privé-informatie zoals medische dossiers, wordt persoonlijke informatie genoemd.

Wettelijke naleving: Voldoet aan wetten en regels die bepalen hoe persoonlijke gegevens worden verwerkt, zoals de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA) en de Algemene Verordening Gegevensbescherming (AVG) in Europa.

Toestemming en transparantie: eist dat organisaties de uitdrukkelijke toestemming van mensen krijgen voordat ze persoonlijke gegevens verzamelen en gebruiken, en dat ze open en eerlijk zijn over het beoogde doel van de gegevens.

Vertrouwelijkheid, integriteit en beschikbaarheid (CIA): verwijst naar de doelstellingen van het beschermen van de privacy van gegevens, het waarborgen van de integriteit ervan door ongeoorloofde wijzigingen te vermijden en het waarborgen van de toegankelijkheid ervan voor degenen die deze nodig hebben.

Cyberbeveiligingsmaatregelen: Om gegevens te beschermen tegen cyberdreigingen zoals malware, phishing-aanvallen en hacking, worden technologische maatregelen zoals encryptie, firewalls en toegangsbeperkingen geïmplementeerd.

Fysieke beveiliging: Het gaat verder dan digitale verdediging en omvat veilige datacenters, toegangscontroles voor faciliteiten en veilige fysieke gegevensopslag.

Persoonlijke informatie: Uw naam, adres, telefoonnummer en nog meer privé-informatie zoals uw medische of financiële gegevens zijn voorbeelden van persoonlijke informatie.

Toestemming: Een bedrijf of organisatie moet uw toestemming verkrijgen voordat zij uw persoonsgegevens verzamelt. Dit noemen wij toestemming. Ze moeten ook beschrijven hoe ze van plan zijn uw informatie te gebruiken.

Transparantie: Bedrijven moeten open en eerlijk zijn over de gegevens die ze verzamelen, waarom en hoe ze deze willen gebruiken. Het geeft u een idee van wat u kunt verwachten.

Vertrouwelijkheid: Het handhaven van de privacy van gegevens en ervoor zorgen dat alleen degenen met toestemming er toegang toe hebben, zijn voorbeelden van vertrouwelijkheid. Het is vergelijkbaar met het hebben van een code die alleen geautoriseerde personen kennen.

Integriteit: Integriteit is de zekerheid dat niemand die de gegevens niet zou mogen wijzigen, dit doet. Bedenk dat u een dagboek heeft en ervoor wilt zorgen dat er niets wordt toegevoegd of verwijderd zonder y onze kennis.

Beschikbaarheid: Ervoor zorgen dat de informatie toegankelijk is wanneer dat nodig is. Het is vergelijkbaar met ervoor zorgen dat uw favoriete applicatie of game altijd beschikbaar is wanneer u deze nodig heeft.

Cyberbeveiliging: Cyberbeveiliging is het proces waarbij uw gegevens worden beveiligd tegen online bedreigingen door gebruik te maken van tools en strategieën, waaronder firewalls, encryptie, geheime codes en antivirussoftware.

Gegevensprivacy versus gegevensbeveiliging: juridisch en regelgevend kader

Wettelijke en regelgevende kaders zijn ook van cruciaal belang in het argument van gegevensprivacy versus gegevensbeveiliging.

Het beschermen van de persoonlijke informatie van mensen is het belangrijkste doel van gegevensprivacy, wat blijkt uit de Algemene Verordening Gegevensbescherming (AVG). Deze regelgeving, die sterk de nadruk legt op openheid, toestemming en individuele rechten, specificeert hoe bedrijven gegevens moeten verzamelen, gebruiken en bewaren.

Gegevensbeveiliging vindt plaats in een aparte juridische omgeving met normen als ISO/IEC 27001 en wetten als de Federal Information Security Management Act (FISMA) en de Payment Card Industry Data Security Standard (PCI DSS). Niet alleen voor persoonsgegevens, deze raamwerken zijn bedoeld om de beschikbaarheid, vertrouwelijkheid en integriteit van allerlei soorten gegevens te garanderen.

Conflict

Het conflict tussen gegevensbeveiliging en privacy is een belangrijk probleem in de huidige digitale wereld. Persoonlijke en gevoelige informatie wordt het slagveld waar gegevensbeveiliging (de bescherming tegen inbreuken en ongeoorloofde toegang) en gegevensprivacy (het behoud van de vertrouwelijkheid van onze gegevens) mee te maken krijgen terwijl we door het complexe web navigeren.

Cruciale verschillen over gegevensprivacy versus gegevensbeveiliging leggen de ingewikkelde interacties tussen deze twee cruciale ideeën uit. Terwijl we onze online privacy- en beveiligingsparameters heroverwegen, en we ons verdiepen in de cruciale subtiliteiten die onze digitale relaties vormen. In het debat over gegevensprivacy versus gegevensbeveiliging.

Om te voldoen aan wettelijke vereisten en de vertrouwelijkheid en onveranderlijkheid van de gegevens te waarborgen, heeft gegevensprivacy – ook wel informatieprivacy genoemd – betrekking op de juiste omgang met gevoelige gegevens, waaronder in de eerste plaats persoonlijke gegevens en andere vertrouwelijke gegevens, zoals specifieke financiële gegevens en gegevens over intellectueel eigendom.

Traditionele gegevensbescherming (zoals back-up- en herstelkopieën), gegevensbeveiliging en gegevensprivacy zijn drie belangrijke gebieden van gegevensbescherming. Het uiteindelijke doel van de beste gegevensbeschermings- en beveiligingspraktijken is het garanderen van de continue beschikbaarheid en onveranderlijkheid van essentiële bedrijfsgegevens. De best practices kunnen dus ook worden gezien als het beschermen van gevoelige en persoonlijke gegevens.

Als u online ben, heeft u ongetwijfeld gehoord van de verschillende recente mondiale regels voor gegevensprivacy.

Voorbeelden van regelgeving die probeert de internetprivacy van consumenten te beschermen bij het delen van gegevens zijn onder meer:

* Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie.

* Canada’s Personal Information Protection and Electronic Documents Act (PIPEDA)

* De CalOPPA of de California Online Privacy Protection Act

*De CCPA, oftewel de California Consumer Privacy Act

*De UCPA, oftewel de Utah Consumer Privacy Act

Laten we, vóór uitgebreid in te gaan op de stelling gegevensprivacy versus beveiliging, eerst begrijpen hoe gegevensbeveiliging de gegevensprivacy beïnvloedt.

De meeste websites verzamelen persoonlijke informatie, waaronder e-mailadressen, telefoonnummers, creditcardnummers en inloggegevens.

Idealiter bewaren deze ze informatie niet langer dan nodig is.

Het is echter onmogelijk om gegevensprivacy te operationaliseren zonder de gegevensbeveiliging te garanderen.

Als je bijvoorbeeld de creditcardgegevens van gebruikers niet goed afschermt tegen hackers, kunnen ze deze mogelijk op het dark web belanden. Als gevolg hiervan vereist gegevensprivacy gegevensbeveiliging.

Voordat we verder gaan met er zijn enkele technieken om de gegevensprivacy te vergroten.

Pseudonimisering is een techniek voor het maskeren van gegevens die garandeert dat persoonlijke informatie niet aan een bepaald individu kan worden gekoppeld zonder aanvullende informatie te gebruiken die aan veiligheidscontroles is onderworpen. De Algemene Verordening Gegevensbescherming (AVG) van de EU heeft meerdere overwegingen waarin wordt gedefinieerd hoe en wanneer gegevens gepseudonimiseerd moeten worden, inclusief dit als een cruciaal onderdeel.

Informatie over een specifieke persoon, ook wel een betrokkene genoemd, zijn persoonsgegevens. Betrokkenen kunnen worden geïdentificeerd aan de hand van specifieke identificerende elementen, zoals de fysieke, genetische, fysiologische, mentale, culturele, economische of sociale kenmerken van een individu, of aan de hand van attributen zoals hun naam, ID-nummer of locatie.

Tokenisatieprocedures vervangen vertrouwelijke gegevens door een willekeurige tokenwaarde die de toegang tot de originele gegevens vergemakkelijkt. Tokens kunnen eenmalig worden gebruikt om het beveiligingsniveau van gegevens te verhogen, maar hebben geen relatie met de oorspronkelijke gegevens.

Bovendien helpen tokens organisaties de gevoelige informatie waartoe ze toegang hebben en de bijbehorende aansprakelijkheid te verminderen.

Bij het maskeren van gegevens worden willekeurige tekens of andere gegevens gebruikt om significante of onderscheidende delen van de informatie te verbergen. Datamaskering maakt het mogelijk om gegevens te identificeren zonder de echte identiteit te veranderen. Het creditcardnummer 5100-0000-0000-0005 kan bijvoorbeeld worden opgeslagen als “XXXX-XXXX-XXXX-0005”.

Het proces om te voorkomen dat digitale informatie wordt beschadigd, gestolen of toegankelijk wordt gemaakt door ongeautoriseerde partijen, staat bekend als gegevensbeveiliging. Alles komt aan bod, inclusief administratieve en toegangscontroles, hardware, software voor gebruikers en opslagapparaten, en het beleid en de procedures van de organisatie.

Technologieën en technieken die de zichtbaarheid en het gebruik van gegevens binnen een organisatie verbeteren, worden gebruikt bij gegevensbeveiliging. Door technieken als gegevensmaskering, encryptie en het redigeren van gevoelige informatie te gebruiken, helpen deze tools gegevens te beschermen. Met behulp van deze aanpak kunnen organisaties voldoen aan strengere regels voor gegevensbescherming en hun auditactiviteiten stroomlijnen.

Cybereffect

Cyberaanvallen hebben een grimmig neveneffect, aangezien experts ‘gezondheidswaarschuwingen’ geven aan alle slachtoffers.

Het kan zelfs gevolgen hebben voor kinderen, aangezien ook kinderen het slachtoffer zijn van identiteitsfraude.

Een beveiligingsexpert heeft zijn zorgen geuit over een over het hoofd gezien neveneffect van het slachtoffer worden van cybercriminaliteit.

Nu steeds meer bedrijven slachtoffer zijn van cybercriminaliteit zijn er steeds meer signalen van uitval van personeel, en luiden bedrijven de alarmbel over geestelijke gezondheidsproblemen die kunnen ontstaan nadat en bedrijf of persoon is gehackt of opgelicht door een cybercrimineel.

Tegenwoordig kan een hacker door een bedreiging ervoor kan zorgen dat slachtoffers hun bedrijfskapitaal of hun gehele spaargeld en zelfs hun financiële identiteit verliezen.

De impact van deze incidenten op de geestelijke gezondheid van mensen het kan je gevoel van veiligheid aantasten.

Simpel gezegd de kans om doelwit te worden van een hacker is groot voor ons allemaal, van volwassenen tot kinderen en bedrijven.

Hackers zijn opportunisten, ze maken geen onderscheid in wie ze aanvallen.

Slachtoffers realiseren zich vaak niet welke mentale belasting een aanval met zich mee kan brengen, afgezien van de financiële of sociale schade die wordt aangericht. Over het algemeen begrijpen mensen de psychologische kosten van hacken niet.

Hacken is het zonder toestemming toegang verkrijgen tot een systeem.

Welke methode hackers ook gebruiken, ze kunnen het slachtoffer psychologisch beïnvloeden.

Een van de psychologisch meest schadelijke onderdelen van een hackeraanval kan de reactie van andere mensen zijn.

De autoriteiten zijn vaak niet geïnteresseerd in kleinere hacks, ondanks de duidelijke schade die zelfs een relatief kleine aanval aan een persoon kan toebrengen. Er is een vreemd gebrek aan ondersteuning voor slachtoffers.

Met zoveel misdaad en zo weinig steun, moet je jezelf veilig houden. Gebruik onze uitgebreide beveiligingsaudit om er zeker van te zijn dat u veilig bent.

In het ergste geval kunnen hackaanvallen ervoor zorgen dat de slachtoffers lijden aan extreme angst, depressie en PTSD. Er zijn voorbeelden van mensen die hun baan of huwelijk verliezen en zelfs zelfmoord plegen nadat ze zijn gehackt.

Andere symptomen zijn onder meer uitputting, te veel eten, angst, drinken, vergeetachtigheid of een onwil om het huis of bed te verlaten.

Een van de grootste factoren die bijdragen aan het leed van slachtoffers is het gevoel dat hackers de regels schenden. Sommige slachtoffers beschrijven het gevoel zelfs als vergelijkbaar met een seksuele aanval. Meer de helft van de slachtoffers is niet meer bereid de mensen om hen heen te vertrouwen, wat een grote impact heeft op hun werk en relaties.

Slachtoffers hebben gemeld dat de hack, hun slaap beïnvloedde en hen vatbaarder maakte voor angstaanvallen. Ruim de helft van de slachtoffers meldde fysieke pijn, zoals hoofdpijn en migraine, doordat hackers persoonlijke gegevens hadden gelekt.

Het aantal cyberaanvallen groeit elk jaar. Met zoveel dagelijkse aanvallen en nieuwe slachtoffers moeten de autoriteiten de slachtoffers serieuzer nemen.

Cybercriminaliteit kan een even grote impact hebben op het leven van het slachtoffer als fysiek geweld.

Cyberbeveiliging

In 2023 werd ruim 80% van de bedrijven getroffen door ransomware.

Door nauwkeuriger te kijken naar de manier waarop ransomware-aanvallen plaatsvinden, kunnen we waarschuwingssignalen eerder opmerken en hierop actie ondernemen om toekomstige aanvallen te voorkomen.

In de strijd tegen ransomware is de beste verdediging een verdediging die is gebaseerd op data en die goed is afgestemd op de bedreigingen waarmee een bedrijf wordt geconfronteerd.

Over het algemeen zijn we ons echter al bewust van de dreiging die ransomware met zich meebrengt, dankzij ervaringen uit de eerste hand.

De gerapporteerde effecten lopen sterk uiteen, van de noodzaak om een oplossing aan te schaffen om ransomware-aanvallen te bestrijden, tot het actief worden aangevallen, tot het daadwerkelijk betalen van losgeld.

De verreikende gevolgen van ransomware, gecombineerd met het feit dat we op weg zijn naar het op een na duurste jaar voor ransomware uit de geschiedenis, betekent dat het tijd is na te denken over een nieuwe aanpak.

Door nauwkeuriger te kijken naar de manier waarop ransomware-aanvallen überhaupt plaatsvinden en we misschien nog niet op de radar hebben. Kunnen we waarschuwingssignalen eerder opmerken en daarop actie ondernemen om ons tegen aanvallen te verdedigen.

Laten we beginnen met een van de meest voorkomende toegangspunten voor een ransomware-aanval: gecompromitteerde inloggegevens.

Criminelen houden van authenticatiegegevens omdat ze een betrouwbare hefboom zijn voor het verkrijgen van toegang tot systemen en informatie waarmee ze misdaden kunnen plegen. Bedreigingsactoren krijgen vaak inloggegevens in handen door gebruik te maken van infostealer-malware, die doorgaans wordt ingezet via kwaadaardige websites, botnets of phishing-e-mails.

Met één klik kan een gebruiker geïnfecteerd raken, waardoor de malware een breed scala aan informatie kan stelen die op de computer van de gebruiker is opgeslagen – van privégegevens, zoals creditcardnummers, tot gebruikersnamen en wachtwoorden en zelfs websessiecookies die deuren openen naar bedrijfsinformatie.

En als er één deur opengaat, doen vele anderen dat vaak ook omdat we wachtwoorden bij verschillende applicaties hergebruiken. Dat betekent dat bijna drie op de vier mensen actief een gecompromitteerd wachtwoord gebruikten, waardoor het voor cybercriminelen vrij eenvoudig is om één blootgelegd identificatiepaar te stelen en toegang te krijgen tot hun informatie en bestanden via meerdere accounts, inclusief werkapplicaties.

Hier wordt het interessant. Met de toegangsgegevens die via infostealer-malware zijn verkregen, kunnen bedreigingsactoren punten met elkaar verbinden om vervolgens gevoelige of bedrijfseigen gegevens op een bedrijfssysteem te stelen, te coderen en los te krijgen, waardoor een regelrechte ransomware-aanval wordt gelanceerd. De aanwezigheid van een infostealer-infectie is inderdaad een vroeg waarschuwingssignaal voor de mogelijkheid van ransomware.

Bij bedrijven die in 2023 te maken kregen met een ransomware-aanval, werd bijna één op de drie geïnfecteerd met infostealer-malware in de maanden voorafgaand aan de aanval informatie gestolen.

Als risicosignaal zou de aanwezigheid van infostealer-malware de ransomware-radar van bedrijven moeten activeren en een uitgebreide respons op malware-sanering moeten motiveren.

We kunnen niet met zekerheid zeggen dat een ransomware-aanval elke keer volgt op een infostealer-malware-infectie. Alleen dreigingsactoren weten zelf hoe ze de informatie die ze stelen willen gebruiken. Maar de aanwezigheid van infostealer-malware is een goed startpunt voor betere verdediging en preventie.

We kunnen dit uitgangspunt gebruiken om een breder beeld te schetsen om de rol te begrijpen die infostealers spelen bij een ransomware-aanval. Dit zal het bewustzijn van potentiële dreigingen vergroten en de prioriteiten en tactieken op het gebied van de veiligheidsverdediging beter informeren.

Hoe kunnen we voortbouwen op de rol van infostealer-infecties in een ransomware-kill-keten?

Ten eerste verbreden we ons perspectief. Wij beoordelen de omstandigheden die aan de besmetting voorafgingen. Het patchen van prioriteiten die zich bijvoorbeeld richten op exploiteerbare kwetsbaarheden kan het voor een dreigingsactor moeilijker maken om überhaupt toegang te krijgen. Beveiligingsbewustzijnstraining die gelijke tred houdt met de modus rn-aanvalstechnieken kunnen een soortgelijk beperkend effect hebben op het risico van infostealer-malware.

We houden ook rekening met de stappen die een aanvaller waarschijnlijk zal ondernemen na infectie en met de gegevens waartoe hij toegang heeft. Misschien zijn single sign-on-referenties en extra toegang tot applicaties het doelwit.

Het verzamelen en evalueren van signalen rond infostealer-malware kan licht werpen op de status en omstandigheden van een bedrijf en helpen om infostealer-malware op de juiste manier te lokaliseren in een ransomware-kill-chain. Deze aanvullende signalen voegen context en nuance toe aan ons begrip van infostealer-malware en kunnen zelf zelfs dienen als aanvullende vroege waarschuwingssignalen.

Ten tweede handelen we op basis van wat we weten en blijven volgen. We gaan aan de slag met het monitoren en herstellen van infostealer-malware-infecties en ondernemen stappen om de potentiële schade die kan voortvloeien uit gegevensexfiltratie te beperken.

Vervolgens blijven we gegevens en signalen verzamelen en evalueren wanneer bedrijven het slachtoffer worden van ransomware-aanvallers of deze ontwijken. Na verloop van tijd zullen deze signalen patronen onthullen die de verbinding tussen infostealer en ransomware verder zullen contextualiseren.

In de strijd tegen ransomware is de beste verdediging een verdediging die is gebaseerd op data en die op de juiste manier is afgestemd op de bedreigingen waarmee een bedrijf wordt geconfronteerd. De kwetsbaarheid van een organisatie voor ransomware-aanvallen zal deels afhangen van haar unieke omgeving, kenmerken en behoeften. Echter er blijft een verband tussen infostealer-infecties en ransomware-aanvallen bestaan, ongeacht de vorm of grootte.

Databewustzijn

Er zijn drie zekerheden in het leven: de dood, belastingen en belastingontduiking deze zekerheden zouden uitgebreid moeten worden met veranderingen in onze online wereld. Waarbij Cybersecurity een aandachtspunt is om bedreigingen in te perken, als we weten wat er gebeurt in dat steeds veranderende online landschap zijn we ook bewuster van onze rol daarin.

Nu cyberdreigingen zelfs het meest door de strijd geharde gebruikers op de proef blijven stellen, kan bewustzijn ons allemaal helpen onze cyber-eenden op een rij te krijgen.

De menselijke factor in cyberveiligheid is al jaren een uitdaging in alle sectoren. Mensen zijn een zwakke schakel in een complexe keten die leidt tot datalekken, ransomware-infecties en andere rampen. Cybercriminelen exploiteren werknemers; Deze tactiek heeft grote vooruitgang geboekt in het succes van oplichting en cyberaanvallen vanwege de feilbaarheid van de menselijke factor.

Door de Covid-19-pandemie hebben cybercriminelen de smaak te pakken gekregen van cyberaanvallen die zich richten op tactieken als oplichting en phishing. De helft van alle datalekken houdt verband met de acties van werknemers. Het doelgericht aanvallen van werknemers wordt door cybercriminelen gezien als laaghangend fruit, omdat dit een toegangspunt kan zijn tot het bredere bedrijfsnetwerk. Eenmaal binnen het netwerk kunnen cyberaanvallen plaatsvinden, waaronder ransomware-infecties en andere malware-aanvallen.

Trend op het gebied van cyberveiligheid: blijkt de menselijke fouten die respectievelijk verantwoordelijk zijn voor 85% en 82% van de datalekken. De menselijke factor bij een cyberaanval zal waarschijnlijk op dit niveau blijven.

Hoe deze trend te verzachten, zou het helpen het menselijke risico te minimaliseren door regelmatig simulaties en Security Awareness Training te geven.

Waarbij nieuwe technologieën zoals Deepfake-technologie voor veel legitieme doeleinden gebruikt, zoals het maken van game-avatars of het geven van lessen. Echter de dezelfde technologie is echter ook een ideaal hulpmiddel om mensen te misleiden om ze iets te doen geloven of te doen waar een cybercrimineel van profiteert. Het probleem is dat deepfake-video’s en -audio moeilijk van echt te onderscheiden zijn. Gebruikers kunnen het verschil niet meer zien tussen een echte video en een deepfake exemplaar.

Stel je bijvoorbeeld een deepfake voor met een overtuigende video van een CEO of bestuurslid in een compromitterende positie of waarin haatzaaiende uitlatingen worden geuit.

Hoe cyberveiligheidstrend dit kunnen verzachten: door een mix van technologie en mensgerichte waakzaamheid. Werknemers moeten bewust worden gemaakt van het dreigende probleem van deepfake-afpersing. Iedereen moet worden betrokken bij het beveiligingsbewustzijn binnen elke organisatie.

Zeker nu identiteitsdiefstal een groeiend probleem is over de gehele wereld. En de helft van de consumenten het slachtoffer is geweest van enige vorm van online fraude of kent iemand die hierdoor is getroffen.

Frauduleuze indentiteiten zullen waarschijnlijk deel gaan uitmaken van de verliezen op het gebied van online fraude. Om een fake identiteit te creëren, gebruiken fraudeurs een mix van gestolen persoonlijke en valse gegevens; steeds vaker worden deep fakes gebruikt om de gegevens te verrijken. Deze fake identiteiten worden vervolgens gebruikt om bankrekeningen, sociale-media-accounts en andere ogenschijnlijk legitieme identiteitsaccounts aan te maken.

Fake identiteitsaccounts hebben gegevens nodig. Deze gegevens worden gekocht op marktplaatsen op het dark web of op bestelling gestolen van specifieke personen. Een fake identiteitsaccount wordt gebruikt om bedrijven te misleiden om een krediet te verstrekken of nieuwe accounts in hun systeem aan te maken. Het resultaat is een verlies aan consumentenvertrouwen. Hoewel een fake identiteit geen nieuwe cybercriminaliteit is, is het wel lucratief. Er wordt daarom verwacht dat het nieuwe manieren zal blijven vinden om schade aan te richten.

Gestolen of openbaar gemaakte gegevens zijn het startpunt voor identiteitsfraude. Verklein het risico door te trainen op databewustzijn en zorg voor het twee ogen principe bij financiële transacties.

Waarmee we de toename van cybersecurityfraude als gevolg van de mondiale recessie niet in één keer zullen oplossen. Maar ons alert op 

een mogelijke mondiale recessie en een reeks financiële crises in opkomende markten en ontwikkelingseconomieën die hen blijvende schade zouden berokkenen.’ De geschiedenis leert ons dat fraude en oplichting toenemen wanneer zich er significante bijwerkingen voordoen.

Tijdens en na de bankencrisis van eind jaren 2000 bleek bijvoorbeeld uit een enquête onder fraude-experts dat meer dan de helft te maken had met een lichte of aanzienlijke mate van fraude. De Covid-19-pandemie zag een vergelijkbare toename van oplichting en fraude.

Als de wereld in een recessie belandt, kunt we verwachten dat oplichters de druk op organisatie zullen vergroten. Deze druk zal komen in de vorm van meer phishing-aanvallen, online-fraude, ransomware-infecties en andere financieel-gerelateerde cyberaanvallen.

Het tegengaan van het toenemende aantal oplichting vereist een meerlaagse aanpak. Bouw een gezonde cyberbeveiligingsstrategie die zowel technologie als mensgerichte cyberbeveiligingsmaatregelen omvat.

De uitputtingsslag tussen cybercriminelen en organisaties heeft geleid tot ontwijkingstactieken die afhankelijk zijn van complexe malware-ecosystemen. De aanvalsketen bevat vaak meerdere aanvalspunten en steeds sluwere methoden om inloggegevens te stelen.

Dit steeds complexer wordende ecosysteem, dat wordt gebruikt om een cyberaanval te faciliteren, social engineering wordt gebruikt om gebruikers aan te moedigen op een phishing bestand te klikken of een geïnfecteerde USB-stick te gebruiken. Maar dit is niet het einde van het verhaal malware-ecosystemen, waarbij de malware de installatie van verdere malware, waaronder ransomware, mogelijk maken blijven een groot risico.

Cybercriminele malware aanvallen zijn tegenwoordig een altijd aanwezige bedreiging, waarbij gebruik wordt gemaakt van algemene zwakheden in beveiligingsstrategieën en social engineering om gebruikers te misleiden. Vrijwel elke organisatie loopt het risico met deze bedreigingen te maken te krijgen.

Geïntegreerde, uit meerdere delen bestaande cyberaanvallen die meerdere bedreigingen omvatten en mensen in het middelpunt van een web van malware plaatsen.

Een robuuste beveiligingsstrategie moet op dit meerlaagse ecosysteem voor cyberaanvallen reageren met vergelijkbare, uit meerdere delen bestaande maatregelen. Deze maatregelen moeten technologische maatregelen omvatten zoals robuuste authenticatie, beveiliging, encryptie en intelligente inhoudfiltering. De menselijke factor zal echter deuren blijven openen waar cybercriminelen misbruik van maken. Daarom moeten technologische maatregelen worden uitgebreid met op de mens gerichte Security Awareness Training.

Het lijdt geen twijfel dat cybercriminelen ons zullen blijven uitbuiten. De enige manier om complexe ecosystemen van bedreigingen die afhankelijk zijn van social engineering te beperken, is door de middelen te verstrekken om onszelf en onze werkplek kunnen beschermen. Een gecoördineerde inspanning kan de bescherming bieden die nodig is om cybercriminelen de pas af te snijden.

Gegevens lek

Als iemand heeft ingebroken om je waardevolle bezittingen te stelen, zou je eerste stap zijn om contact op te nemen met de politie. Maar zou je reactie hetzelfde zijn als iemand inbrak in het netwerk bij je thuis en via een datalek toegang kreeg tot je meest waardevolle bezittingen?

Tien jaar geleden, toen smartphones nog relatief nieuw waren en de meeste mensen de waarde van gegevens begonnen te begrijpen, was er weinig reden om cybercriminaliteit te melden. Het was zo moeilijk om cybercriminelen te vangen, en de reputatie- en financiële schade veroorzaakt door het melden van een cyberincident zorgde ervoor dat veel mensen zich afvroegen of contact opnemen met de lokale instanties en het openbaar maken van het datalek enig nut zou kunnen hebben. Zeker, niemand zou er zelfs maar aan hebben gedacht om contact op te nemen met de binnenlandse veiligheidsdienst.

Nu is we veel beter op de hoogte van de risico’s en verliezen rond cybercriminaliteit, en de methoden die door bedreigingsactoren worden gebruikt, geavanceerder zijn geworden. Lijkt het tij te keren en lijken we bereid tot deze stap. Ransomware-aanvallen kunnen een organisatie verzwakken, en datalekken hebben wijdverbreide gevolgen die verder gaan dan dataverlies. Gelukkig zijn de instanties beter toegerust om cybercriminaliteit aan te pakken en willen ze dat we kwaadwillige activiteiten melden.

Daarmee erkennen we dat veel organisaties misschien terughoudend zijn in het melden van incidenten, maar het is essentieel dat we overgaan naar een cultuur waarin rapporteren de norm is en we slachtoffers de ondersteuning bieden die ze nodig hebben om te reageren en te herstellen.

Wanneer een ransomware-aanval of datalek wordt gemeld, kunnen de instanties de informatie vervolgens via hun netwerken delen om te voorkomen dat soortgelijke gebeurtenissen zich opnieuw voordoen. Waarom aarzelen sommige organisaties dan nog steeds?

Datalekken zijn kostbaar de gemiddelde kosten van een datalek lieten de afgelopen drie jaar een stijging van 15% zien. Het kostenverschil tussen degenen die het incident melden bij de instanties en degenen die dat niet doen, is echter enorm.

De gemiddelde kosten van een ransomware-inbreuk lagen hoger als de instanties er niet bij betrokken waren, een verschil van 9,6% als de instanties er wel bij betrokken waren.

37% van de ransomware-slachtoffers die de instanties er niet bij betrokken hadden, ondervonden zowel hogere kosten als een langere inbreukcyclus. Toen de instanties werden ingeschakeld, bedroeg de totale tijd om een inbreuk te identificeren en in te dammen gemiddeld 273 dagen, vergeleken met de 306 dagen die degenen nodig hadden die de aanval niet hadden gemeld. Dat is een extra maand toegang die bedreigingsactoren binnen het netwerk hebben.

De kosten rond downtime, het betalen van het losgeld en/of het herstellen van de gegevens, reputatieverlies, boetes als gevolg van wetgeving inzake gegevensprivacy en mitigatieprocessen lopen snel op. Hoe langer het duurt om de inbreuk op te sporen en te verhelpen, hoe meer gegevens in gevaar kunnen komen.

Voor veel bedrijven is de standaardreactie op ransomware het betalen van het losgeld, het terughalen van de gegevens en verdergaan. U zult echter niet veel besparingen ondervinden bij het betalen van het losgeld. Het betalen van het losgeld ongeveer €100.000 besparen op de gemiddelde kosten van een datalek, maar daar is de losgeld betaling niet bij inbegrepen.

Onze relatie met de instanties als het gaat om cyberbeveiliging is onder de maat. Doorgaans vechten we tegen wetten die resulteren in nieuwe regelgeving en naleving. Dit maakt het onwaarschijnlijk dat we ooit eenduidige regelgeving of ingrijpende cyberbeveiligingswetten zullen hebben. Zonder regelgeving die rapportage verplicht stelt, kunnen organisaties het tegen hun beste belang vinden om een datalek, ransomware of ander cyberincident te melden. De tijdsinvestering, het gebrek aan vervolging van dreigingsactoren en de slechte berichtgeving in de media met resterende reputatieschade zijn allemaal redenen waarom organisaties niet de moeite nemen om datalekken te melden.

Instanties hebben echter ook de bal laten vallen in de manier waarop zij omgaan met cyberincidenten. Dit kan een rol spelen in de reden waarom organisaties aarzelen om deze misdaden te melden.

De instanties communiceren ook niet zo goed met elkaar, wat het vertrouwen dat we kunnen hebben bij het melden van cybercriminaliteit heeft belemmerd. En organisaties weten niet altijd met welke instantie ze contact moeten opnemen na een datalek. Er zijn verschillende instanties die meldingen van cyberaanvallen accepteren, en er zijn enkele richtlijnen beschikbaar die aangeven wanneer u contact moet opnemen met de instanties over een aanval.

De manier waarop we omgaan met gegevensbeveiliging is aan het veranderen.

In de eerste plaats vereisen de regelgeving rond op de sector gebaseerde regels voor gegevensprivacy nu het melden van incidenten. Het kan ook zijn dat incidenten vaker voorkomen, waardoor de reputatieschade niet zo ernstig is. De overheid heeft meer inspanningen geleverd om de verdedigings- en ondersteuningssystemen voor cyberbeveiliging te verbeteren. Als gevolg hiervan beschikken de instanties nu over mechanismen om ons te helpen bij het oplossen van cyberincidenten.

Ze beschikken bijvoorbeeld over encryptiesleutels voor de populairste ransomwarefamilies, die ze kunnen delen met slachtofferorganisaties.

Hoe meer gegevens de handhaving organisaties hebben, hoe beter zij haar pogingen om cybercriminaliteit aan te pakken kan opvoeren. Op hun beurt zullen zij die informatie gebruiken om te helpen aanvallen te verhelpen.

Socialprivacy

Stel je voor dat je in een glazen huis woont. Denk eraan dat iedereen kijkt naar wat u doet en hoe u uw tijd doorbrengt.

Tegenwoordig leven veel jongeren in een soort virtuele kas. Alles wordt gedocumenteerd. Ze kunnen die macaroni en kaas ’s avonds laat vastleggen, een foto maken van hun nieuwe outfit of inchecken op een concertlocatie. Dit is niet alleen normaal, maar wordt ook vaak beloond.

Een aantal praktische, empathische manieren laten zien om met de online-ervaring om te gaan, het gebrek aan privacy op sociale media uit te leggen en regels op te stellen om de veiligheid te helpen bevorderen.

Sociale media en privacy klinken misschien zelfs als een tegenstrijdigheid.

Is het niet de hele bedoeling van sociale media om details over je leven, gevoelens en verblijfplaats te delen?

Hoe weten mensen anders wat je tiener vandaag voor de lunch heeft gegeten?

Hier is wat context over hoe de meeste jongeren denken over privacykwesties op sociale media:

Tieners delen meer over zichzelf dan ooit tevoren, inclusief gevoelige persoonlijke informatie.

Jongeren blijven sociale media gebruiken, zelfs nadat ze hun interesse beginnen te verliezen, omdat het een belangrijk onderdeel van hun socialisatie is.

Slechts 9% van de jongeren toonde zich bezorgd over de toegang van derden tot hun persoonlijke gegevens.

Als we privacy kwesties op sociale media in verband brengt met ernstiger problemen op de lange termijn, kan dit het belang en de relevantie ervan voor jongeren duidelijk maken.

Hieronder volgen enkele tips voor het starten van een productief gesprek over privacykwesties op sociale media:

Maak de gevolgen duidelijk en herkenbaar. Het resultaat van zoiets als identiteitsdiefstal kan van invloed zijn op hun vermogen om naar de universiteit te gaan of een autolening te krijgen.

Maak geen enkel onderwerp off-limits. Laat hen weten dat u zelfs bereid bent te praten over dingen waarbij gewelddadig of ongepast materiaal betrokken is.

Geef specifieke voorbeelden van handelingen die hun privacy in gevaar kunnen brengen.

Probeer vragen te stellen als: ‘Heb je ooit aan iemand verteld die je online kent, maar niet in het echt, naar welke school je gaat?’

Benadruk dat de meeste dingen die online worden gedaan, permanent zijn.

Ze zijn soms online te vinden, zelfs nadat profielen gedeactiveerd of verwijderd lijken te zijn.

Uw heeft mogelijk geen idee welke informatie te gevoelig is om openbaar te delen.

U kunt door duidelijke grenzen te stellen over welke informatie geschikt is om te posten en te delen via berichten.

Niet-deelbare informatie kan het volgende omvatten:

Volledige naam

Waar ze naartoe gaan

Huisadres

Mobiele telefoonnummer en e-mailadressen

Bankgegevens en burgerservicenummer

Wachtwoorden

Privacykwesties op sociale media zijn niet altijd duidelijk. Oplichters kunnen allerlei creatieve manieren gebruiken om persoonlijke of financiële informatie te bemachtigen.

Onbetrouwbare ontwikkelaars maken soms apps die worden gebruikt om persoonlijke gegevens te verzamelen, apparaten te bespioneren of onrechtmatig geld in rekening te brengen op creditcards.

Geef geen betalingsgegevens op zonder de kwaliteit en reputatie van de app te verifiëren.

Gefingeerde wedstrijden

Ooit enthousiast geworden over een online wedstrijd of promotie die leuke swags of geldprijzen belooft? Nepwedstrijden zien er meestal uit als weggeefacties of eenmalige aanbiedingen die te mooi zijn om waar te zijn.

Vraag andere om de legitimiteit van een wedstrijd te controleren voordat ze persoonlijke gegevens of betalingsinformatie verstrekken.

Phishing

Wat het is: Phishing wordt gebruikt om toegang te krijgen tot beveiligde persoonlijke accounts, zoals online bankieren.

Reageer niet op berichten van mensen die je niet kent. Klik niet op onbekende links. Wees voorzichtig als je buiten de Wi-Fi-thuisomgeving surft.

Virussen of malware

Wat ze zijn: Malware wordt voor allerlei slechte doeleinden gebruikt, van het stelen van wachtwoorden tot het inschakelen van webcams.

Open geen links van vreemden. Vraag om hulp voordat een nieuwe app of bestand wordt gedownloade. Herinner jezelf aan het feit dat aanvallers zelfs een van de profielen of accounts van vrienden kunnen gebruiken om schadelijke inhoud en links te verzenden.

Identiteitsdiefstal

Wat het is: Minderjarigen kunnen identiteitsdiefstal ervaren. Door gebruik te maken van privé-persoonsgegevens kunnen cybercriminelen valse rekeningen openen bij detailhandelaren, eigendommen verhuren, belastingaangiften vervalsen en nog veel meer.

Wat jongeren kunnen doen is hun persoonlijke gegevens privé houden via monitoringtools.

Voor jongeren(ongeveer 16 jaar en ouder) kan het bespreken van privacykwesties op sociale media een goede gelegenheid zijn om andere belangrijke levensvaardigheden aan te leren.

Praat over reclame en data

Deze onderwerpen zijn erg belangrijk om kinderen te leren over sociale media en privacy. Voor jongeren (jonger dan 13 jaar) kan het voldoende zijn om bedieningselementen en regels voor het gebruik ervan in te stellen.

Jongeren kunnen echter waarschijnlijk beginnen te begrijpen hoe sociale-mediabedrijven de informatie gebruiken die ze delen met betrekking tot.

De apps ‘kijken naar’ inhoud waarvan zij denken dat deze persoonlijk en privé is, zoals:

Privéberichten en persoonlijke foto’s

Browsegeschiedenis en locatiegegevens

Online aankopen

Er zijn enkele praktische stappen die we kunnen nemen om jongeren te helpen nieuwsgierige apps buiten hun telefoon te houden:

Volg de leeftijdsvereisten voor apps. Uit onderzoek blijkt dat kinderen op jongere leeftijd sociale media beginnen te gebruiken.

De meeste grote sociale media-apps (bijvoorbeeld Instagram, TikTok, WhatsApp, enz.) hanteren een minimumleeftijd van minimaal 13 jaar, maar vragen niet om verificatie of bewijs van leeftijd.

Wijzig app-instellingen om de privacy te maximaliseren. Apps en websites die jongeren bedienen, zijn wettelijk verplicht om aan te geven welke informatie ze verzamelen en gebruiken.

Maak profielen privé. Dit beperkt wat rondsnuffelende bezoekers kunnen zien, ongeacht hun bedoelingen.

Verwijder persoonlijke informatie uit accounts en profielen als deze niet nodig is. Sociale media-apps nemen evenveel informatie op als gebruikers ze geven. Hoe meer informatie ze krijgen, hoe beter ze adverteerders in staat kunnen stellen elke persoon te targeten.

Apps voor ouderlijk toezicht elimineren de stress en onzekerheid rond de online activiteiten van jongeren. Dit zijn slechts enkele manieren waarop ouders kan helpen bij het oplossen van privacyproblemen op sociale media:

Waarschuwingen ontvangen wanneer verdachte of alarmerende activiteiten worden gedetecteerd (bijvoorbeeld gevallen van zelfbeschadiging of cyberpesten)

Schema’s instellen en afdwingen voor bepaald app-gebruik of Wi-Fi-toegang in het huishouden

Het monitoren van sms-berichten, e-mails en meer op problematische interacties

Met jongeren praten over sociale media en privacy is vaak gemakkelijker als we jong beginnen . Na verloop van tijd zullen jongeren waarschijnlijk een gevoel van eigenaarschap gaan voelen over hun online activiteiten, bewustzijn en praktijken.

Persoonlijk of gevoelig

In het huidige digitale tijdperk vloeit er een enorme stroom aan informatie door netwerken, van gebruiker naar gebruiker en van apparaat naar apparaat. Zijn we afhankelijk van het verzamelen en opslaan van gevoelige en persoonlijke informatie om kritische activiteiten uit te voeren.

En met het verzamelen van gegevens ontstaat uiteraard de behoefte aan gegevensregulering om gevoelige en persoonlijke gegevens te beschermen tegen lekken, diefstal of misbruik. Hoewel het voor klanten geweldig is om te weten dat hun gegevens in veilige handen zijn, hebben anderen die te maken hebben met groeiende hoeveelheden gegevens vaak moeite om gelijke tred te houden met de veranderende regelgeving.

De primaire categorieën beschermde gegevens zijn persoonlijke gegevens en gevoelige gegevens. Hoewel ze misschien hetzelfde klinken, worden deze gegevenstypen onder de regelgeving verschillend gecategoriseerd, wat van invloed is op de manier waarop ze moeten worden beschermd.

Nu er zoveel wettelijke voorwaarden en voorschriften gelden, moeten individuen en het bedrijfsleven op de hoogte blijven van de verschillen tussen de twee soorten gegevens om de veiligheid en privacy te beschermen. Laten we deze verschillende gegevenscategorieën definiëren en waarom ze belangrijk zijn voor gegevensbeveiliging, privacy en compliance.

Persoonsgegevens worden door de Algemene Verordening Gegevensbescherming gedefinieerd als alle informatie die “gerelateerd is aan een geïdentificeerde of identificeerbare natuurlijke persoon.” Alle informatie die een persoon direct of indirect kan identificeren, moet als persoonlijke gegevens worden beschouwd. Denk hierbij aan naam, adres, telefoonnummer, e-mailadres en geboortedatum, maar ook informatie met betrekking tot werk, opleiding en hobby’s.

Gevoelige gegevens vereisen een hoger beschermingsniveau vanwege de potentiële schade als ze worden blootgesteld. Het bevat zeer vertrouwelijke informatie die bij verkeerd gebruik aanzienlijke schade kan veroorzaken. Dit omvat gegevens die een kwaadwillende actor zou kunnen gebruiken om schade toe te brengen aan een individu of organisatie, zoals financiële informatie, medische dossiers, wachtwoorden en burgerservicenummers. Gevoelige gegevens zijn doorgaans onderworpen aan strikte privacy- en beveiligingsregels, en het misbruik of de blootstelling ervan kan ernstige gevolgen hebben.

Persoonlijke gegevens worden niet altijd als gevoelig beschouwd, en gevoelige gegevens hoeven niet noodzakelijkerwijs persoonlijk te zijn. Gegevens worden persoonlijke gegevens wanneer ze aan een specifiek individu kunnen worden gekoppeld.

Er worden vaak meerdere persoonlijke gegevens van één gebruiker verzamelt. Hoewel één stukje data misschien niet specifiek genoeg is om tot een individu te herleiden, kan de huidige technologie individuele stukjes data gemakkelijk met elkaar verbinden. Dit betekent dat, hoewel persoonlijke gegevens niet altijd als vertrouwelijk of gevoelig van aard worden beschouwd, deze toch moeten worden beschermd tegen toegang, manipulatie of misbruik.

Het is belangrijk om onderscheid te maken tussen welke gegevens algemeen bekend zijn en welke vertrouwelijk moeten blijven. Begrijpen welke soorten gegevens worden benaderd, gebruikt en gedistribueerd, is een essentiële eerste stap op weg naar het voldoen aan regelgeving en het beschermen van klant- en bedrijfsgegevens.

Het belangrijkste verschil tussen persoonlijke en gevoelige gegevens is de mate van schade die kan worden veroorzaakt door de blootstelling ervan. Terwijl een kwaadwillende actor persoonlijke gegevens kan gebruiken voor spamming, phishing of identiteitsdiefstal, kan de blootstelling van gevoelige gegevens leiden tot ernstige schade, zoals financieel verlies, diefstal van medische identiteit of reputatieschade.

Er is een verschil tussen persoonlijke gegevens en gevoelige gegevens als het gaat om de juridische implicaties rond het verzamelen, gebruiken en openbaar maken ervan. Bepaalde wet- en regelgeving definieert en beschermt expliciet specifieke categorieën gevoelige gegevens.

Persoonlijke gegevens worden gevoelige gegevens wanneer deze betrekking hebben op specifieke categorieën of kenmerken die speciale bescherming vereisen vanwege de potentiële gevolgen van een inbreuk op de privacy, veiligheid of fundamentele rechten van een individu. Terwijl het onderscheid tussen persoonlijke gegevens en gevoelige gegevens De gegevens kunnen variëren afhankelijk van wettelijke kaders en contexten. Er zijn drie gemeenschappelijke criteria die aanleiding kunnen geven tot de classificatie van persoonlijke gegevens als gevoelig:

Gevoelige categorieën: Persoonsgegevens met betrekking tot gevoelige categorieën, zoals ras of etniciteit, religieuze of filosofische overtuigingen, politieke opvattingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens of gezondheidsinformatie, worden over het algemeen als gevoelig beschouwd.

Persoonsgegevens kunnen ook als gevoelig worden beschouwd op basis van de context waarin deze worden gebruikt of openbaar gemaakt. Informatie die, indien openbaar gemaakt of misbruikt, schade, discriminatie, stigmatisering of aanzienlijke gevolgen voor de rechten van een individu kan veroorzaken, kan als gevoelig worden beschouwd.

Als persoonlijke gegevens de potentie hebben om aanzienlijke schade te veroorzaken, zoals financiële fraude, identiteitsdiefstal of reputatieschade, kunnen deze vanwege de risico’s die ermee gepaard gaan als gevoelig worden beschouwd.

Hoewel persoonlijke gegevens relatief vaak voorkomen en afhankelijk van de branche mogelijk niet vertrouwelijk zijn, zijn gevoelige gegevens onderworpen aan strikte regelgeving.

Daarom moet iedereen die gevoelige gegevens verzameld en opslaat passende maatregelen nemen om deze te beschermen tegen ongeoorloofde toegang of misbruik. Dit omvat het implementeren van data-encryptie en toegangscontroles en het regelmatig monitoren en auditen van systemen om naleving van de regelgeving op het gebied van gegevensbescherming te garanderen.

Naarmate organisatorische gegevens zich uitbreiden over hybride omgevingen, wordt het steeds moeilijker om te bepalen welke gegevens persoonlijk of gevoelig zijn, wie er toegang toe moet hebben en hoe deze moeten worden gecontroleerd. Iedereen die te maken heeft met grote hoeveelheden gevoelige gegevens moet beschikken over gedetailleerde toegangscontroles en beschermende maatregelen om de veiligheid, privacy en compliance te behouden zonder dat dit ten koste gaat van de efficiëntie en stijgende kosten.

Het classificeert de gegevens en de context er omheen, zodat gebruikers weten waarom en hoe deze moeten worden beschermd. Door AI-gestuurde technologie te gebruiken om gegevens te classificeren, zorgt dat we ons bewust zijn van de verschillende soorten gegevens die we verzamelen en dat we daar op de juiste manier mee omgaan. Het hebben van een goede indexatie voor gegevens is ongelooflijk handig als het gaat om het monitoren van het gegevenslandschap voor zowel beveiligings- als compliancedoeleinden.

Het komt erop neer dat gevoelige gegevens verschillen van persoonlijke gegevens in die zin dat het informatie omvat die, indien openbaar gemaakt, aanzienlijke schade kan aanrichten, de privacy kan schenden of tot mogelijke juridische en financiële gevolgen kan leiden. Hoewel persoonlijke gegevens een breder inzicht bieden in de identiteit van een individu, vereisen gevoelige gegevens een verhoogde bescherming vanwege de potentiële impact van verkeerd gebruik of openbaarmaking ervan.

We moeten robuuste gegevensbeveiligingsmaatregelen toepassen, zoals encryptie, toegangscontroles en voortdurende monitoring om de juiste behandeling en bescherming van gevoelige gegevens te garanderen voor beveiligings- en nalevingsdoeleinden.

Door prioriteit te geven aan de veiligheid en privacy van gevoelige gegevens kunnen we aantonen dat we ons inzetten voor de bescherming van individuele informatie, het bevorderen van het vertrouwen en het in overeenstemming houden van processen met de wet en regelgeving.