Voorbeelden
Ik ben geen doelwit
Ik ben geen doelwit
zoals Sony, KPN of AMSL. Waarom zou ik me zorgen maken? Grote bedrijven halen het nieuws. Kleine niet. Niettemin, als het gaat om inbreuken op gegevens is het niet de vraag of het gebeurt, maar wanneer het gebeurt. Er bestaat een zwarte markt waar gestolen gegevens worden gekocht en verkocht, en hackers worden steeds slimmer. Target, KPN, Sony en andere grote organisaties hebben complete afdelingen die zich bezighouden met het analyseren van de risico’s waaraan het bedrijf is blootgesteld en die meewerken aan het opzetten van beleid en procedures waarmee ze zichzelf kunnen beschermen, maar hackers weten nog steeds gaten in de verdediging te slaan. Kleinere bedrijven die geen netwerkbeveiligers in dienst hebben en niet de middelen hebben om hun gegevens te beschermen, zijn voor hackers een gemakkelijke prooi.
Waarom zou ik twijfelen aan mijn IT-afdeling
Waarom zou ik twijfelen aan mijn IT-afdeling
als ze zeggen dat ze al hun zaakjes op orde hebben? Target, Sony en andere grote bedrijven hebben complete afdelingen die zich bezighouden met IT-beveiliging maar ze bleken kwetsbaarder dan ze dachten. Eén simpele fout of vergissing, zoals het niet updaten van software, het niet instellen van de juiste procedures voor authenticatie van derden leveranciers, het kwijtraken van een niet-versleutelde laptop waarop gevoelige gegevens zijn opgeslagen, of een medewerker met kwaad in de zin, kan leiden tot een inbreuk. De risico’s groeien mee met de technologische ontwikkelingen en hackers gaat steeds slimmer en geraffineerder te werk.
Ik sla geen gegevens van klanten op
Ik sla geen gegevens van klanten op
Ik heb geen klantgegevens op mijn netwerk opgeslagen?. U slaat klantgegevens weliswaar niet op, maar u hebt er wel toegang tot. Uzelf kunt de oorzaak zijn van een inbreuk op gegevens van uw klanten en zo contractbreuk veroorzaken. Aansprakelijkheid bestaat ook voor gegevens van werknemers.
Accountantskantoren
Accountantskantoren
Bij een accountantskantoor gaat een back-up station verloren waarop namen, adressen en BSN-nummers van alle belastingklanten zijn opgeslagen. Omdat op het station persoonsgegevens werden bewaard, moet elke klant worden benaderd en moet aan elk van hen fraudecontrole worden aangeboden, ongeacht of er ooit wat met de informatie zal worden gedaan.
Een computersysteem van een accountantskantoor wordt gehackt, waardoor betalingsgegevens van honderden klanten gevaar lopen. Het kantoor moet opdraaien voor de kosten van alle gedupeerde klanten en voor de kosten van uitgifte van nieuwe creditcards.
Het computersysteem van een accountantskantoor wordt gehackt. De BSN-nummers en financiële gegevens van belastingaangiftes van duizenden klanten zijn in het geding, evenals de gegevens van alle vaste en tijdelijke werknemers. Het kantoor moet alle getroffen partijen inlichten en fraudecontrolediensten aanbieden.
Reclamebureaus
Reclamebureaus
Een ontevreden werknemer van een bureau voor digitale reclame geeft vertrouwelijke gegevens over gevolgd klikgedrag door aan een concurrent van een klant van het bureau. De klant daagt het bureau voor de rechter vanwege contractbreuk en nalatigheid.
Een reclamebureau zet een nieuwe reclamecampagne op voor een prominente klant. De campagne lekt uit voor de geplande lanceringsdatum, reden voor de klant om het bureau voor de rechter te dagen.
Landbouw
Landbouw
Een werknemer van een veevoer leverancier verliest een laptop waarop gevoelige gegevens, waaronder factuurgegevens, van zijn klanten zijn opgeslagen. Hoewel niet zeker is of er ooit wat met die gegevens zal worden gedaan, is het de verantwoordelijkheid van de leverancier dat alle bedrijven waarvan de gegevens zijn gecompromitteerd op de hoogte worden gesteld.
Het computersysteem van een groot agrarisch bedrijf wordt gehackt. Gevoelige gegevens, waaronder namen, BSN- nummers en geboortedata komen op straat te liggen. Het bedrijf moet al zijn vaste en seizoen medewerkers inlichten en fraudecontrolediensten aanbieden.
Biotechnologische en farmaceutische bedrijven
Biotechnologische en farmaceutische bedrijven
Een farmaceutisch bedrijf is halverwege een grote klinische proef van een veelbelovend geneesmiddel. Het computersysteem wordt gehackt waardoor gevoelige patiëntinformatie, waaronder BSN-nummers
en medische gegevens, wordt gecompromitteerd. Het bedrijf moet alle getroffen patiënten op de hoogte stellen en fraudecontrole aanbieden. Bovendien moet de proef worden gestopt en worden overgedaan.
Een biotechnologisch bedrijf werkt aan een nieuw genetisch gemodificeerd voedingsproduct. Gegevens over het onderzoek komen voordat de studie is voltooid onbedoeld via e-mail terecht bij een mediabedrijf. De voedingsmiddelenfabrikant daagt het laboratorium voor de rechter.
Energie
Energie
Het computersysteem van een leverancier van zonne-energie wordt gehackt waardoor de betaalgegevens van alle klanten alsmede gevoelige persoonsgegevens op straat komen te liggen. De kosten voor kennisgeving aan alle getroffen personen en de verlening van fraudecontrolediensten moeten door de leverancier worden betaald.
De bouw
De bouw
De computers van een bouwbedrijf worden besmet met een virus dat onbedoeld wordt doorgegeven aan potentiële en bestaande klanten en aan leveranciers. Het bedrijf is aansprakelijk voor de kosten die zij moeten maken om het virus te verwijderen en gegevens te herstellen.
De vertrouwelijke ontwerpplannen voor een project voor de ontwikkeling van multifunctionele gebouwen worden door een ontevreden medewerker van de aannemer die de bouwopdracht heeft binnengehaald, gelekt naar een concurrent. De projectontwikkelaar daagt de aannemer voor de rechter wegens schending van de geheimhoudingsovereenkomst.
Adviesbureaus
Adviesbureaus
Bij een bureau voor personeelsadvisering raakt iemand een laptop kwijt. Namen, adressen en BSN-nummers van honderden contractmedewerkers waren er in opgeslagen. Ongeacht of de informatie ooit wordt verspreid, moet het bureau de getroffen werknemers inlichten en fraudecontrole aanbieden.
Enkele consultants van een bureau voor managementadvies werken tijdens een project op locatie bij een klant. Een van de consultants stuurt per ongeluk een vertrouwelijk memo naar een grote e-maillijst met adressen van zowel interne als externe ontvangers. De klant daagt het adviesbureau voor de rechter.
Amusement
Amusement
De nieuwe single van een populaire artiest wordt door een medewerker van een platenbedrijf per ongeluk vrijgegeven aan sites waar gratis muziek kan worden gedownload. De artiest daagt het bedrijf voor de rechter wegens gederfde royalty’s.
Gaming
Gaming
Een game-hostingbedrijf wordt gehackt waardoor verschillende populaire gamingsites enkele dagen platliggen. De ontwikkelaars van de games dagen het hostingbedrijf voor de rechter wegens gederfde royalty’s.
Een populaire online game-franchise bereidt de lancering voor van de nieuwste versie van zijn flagship-product. Er had een demoversie klaar moeten staan om te worden gedownload, maar in plaats daarvan is de volledige versie klaargezet, die vervolgens door duizenden gebruikers gratis wordt gedownload. De ontwikkelaar, marketeer en anderen leiden schade door gederfde inkomsten.
Overheidsinstellingen
Overheidsinstellingen
Het computersysteem wordt gehackt van een overheidsinstelling die toeziet op een programma voor volwassenen personen met een handicap. De persoonsgegevens van de deelnemers aan het programma zijn gecompromitteerd. De instelling is verplicht om de getroffen deelnemers en hun zorgverleners of wettelijke vertegenwoordigers in te lichten en fraudecontrolediensten aan te bieden.
Advocatenkantoren
Advocatenkantoren
Het computersysteem van een advocatenkantoor wordt gehackt waardoor vertrouwelijke informatie over spraakmakende echtscheidingszaken bij de media terechtkomt. Het kantoor wordt door beide partijen in de echtscheidingszaak voor de rechter gedaagd.
Een nieuwe medewerker in een advocatenkantoor gooit een afschrift van vertrouwelijke betalingsinformatie van klanten in de openbare papiercontainer in plaats van het document door de papierversnipperaar te halen. Het kantoor moet de klanten ervan in kennis stellen dat hun gegevens mogelijk gecompromitteerd zijn en hun fraudecontrole aanbieden.
Een laptop van een advocatenkantoor dat gespecialiseerd is in collectieve rechtszaken wordt gestolen. Er staat gevoelige informatie op, zoals BSN-nummers en medische gegevens, van een groot aantal eisers in een geding tegen een fabrikant van medische apparatuur. Het advocatenkantoor moet de eisers inlichten en fraudecontrolediensten aanbieden.
Productie
Productie
Een uitvinder geeft een fabrikant de opdracht een beperkt aantal producten te vervaardigen waarop nog geen octrooi is verleend. Een werknemer van de fabrikant verstuurt per ongeluk een e-mailbericht met de productspecificaties aan potentiële concurrenten. De fabrikant wordt
voor de rechter gedaagd wegens schending van de geheimhoudingsovereenkomst en andere schade.
Het computersysteem van een productiebedrijf wordt gehackt waardoor de gevoelige gegevens van alle voltijd- en contract medewerkers zijn gecompromitteerd. Het bedrijf moet alle getroffen werknemers inlichten en fraudecontrole aanbieden.
Mediabedrijven
Mediabedrijven
Een mediabedrijf ontwikkelt een uitgebreid mediaplan voor een nieuw product van een klant. Een e-mailbericht met daarin vertrouwelijke gegevens over het product die bedoeld zijn voor de klant, wordt per ongeluk verzonden naar de e-mailadressen op een persdistributielijst, waardoor de buitenwereld ruim vóór de lancering al op de hoogte is van de productgegevens. De klant daagt het mediabedrijf voor de rechter wegens contractbreuk en andere schade.
Op het computersysteem van een mediabedrijf zijn grote hoeveelheden statistische gegevens van klanten opgeslagen, waaronder sleutelwoorden voor zoekmachine-optimalisatie, betaling-per-klik-campagnes, enz. Het systeem wordt gehackt en alle gegevens lopen gevaar. Een aantal klanten spant een rechtszaak aan wegens vermeende nalatigheid.
Non-profitorganisaties
Non-profitorganisaties
Een non-profitorganisatie raakt een laptop kwijt waarop de lijst van donoren is opgeslagen. De organisatie moet iedereen die op de lijst staat inlichten en fraudecontrole aanbieden, ongeacht of de informatie ooit wordt verspreid.
Uitgeverijen
Uitgeverijen
Een bekende schrijver schrijft onder pseudoniem een nieuw boek in een ander genre. De uitgever spreekt met de schrijver af dat de ware identiteit van de schrijver niet wordt onthuld maar een ontevreden medewerker lekt de echte naam van de schrijver naar de pers. De schrijver daagt de uitgever voor de rechter wegens contractbreuk.
Het computersysteem voor orderverwerking van een uitgever van e-books wordt gehackt en gevoelige betalingsgegevens worden gecompromitteerd. De uitgever moet al zijn klanten inlichten en aanbieden gedurende een jaar fraudecontrolediensten te verlenen. De kosten daarvan zijn voor zijn rekening.
Detailhandel
Detailhandel
In een winkel wordt het POS-systeem gehackt waardoor de nummers van betaalpassen en creditcards van duizenden klanten op straat komen te liggen. De winkel moet de uitgevers van de kaarten inlichten, de kosten voor vervanging van de kaarten betalen en fraudecontrolediensten aanbieden aan de gedupeerden.
IT-ontwikkelaars
IT-ontwikkelaars
Een ontwikkelaar verliest een back-upstation waarop de code voor een nieuwe applicatie is opgeslagen. De klant daagt de ontwikkelaar voor de rechter wegens nalatigheid en de ontstane schade door vertraging in de uitrol van het project.
Aanbieders van technische diensten
Aanbieders van technische diensten
Door een probleem in een servicesysteem van een aanbieder wordt de website en het intranet van verschillende klanten platgelegd. De aanbieder wordt aangeklaagd wegens schade door bedrijfsstagnatie en de kosten voor herstel van verloren gegane gegevens.
Telecommunicatie
Telecommunicatie
Het computernetwerk van een aanbieder van telecommunicatiediensten wordt gehackt waardoor inbreuk is gepleegd op de betalingsgegevens van duizenden klanten. De aanbieder is verplicht om alle gedupeerde klanten in te lichten, de kosten te betalen voor het uitgeven van nieuwe creditcards, te betalen in geval van fraudeaangiften en fraudecontrole aan te bieden. Hij draait bovendien op voor boetes omdat hij verzuimd heeft gevoelige gegevens te versleutelen.
Vakbonden
Vakbonden
Een laptop waarop persoons- en pensioengegevens zijn opgeslagen van gepensioneerde vakbondsmedewerkers wordt kwijtgeraakt. Ongeacht of de gegevens ooit worden verspreid, moet de vakbond alle gedupeerde gepensioneerden inlichten en fraudecontrolediensten aanbieden.
Ontwikkeling van websites
Ontwikkeling van websites
Een ontwikkelaar ontwerpt een nieuwe website voor een e-commercebedrijf. De site gaat de lucht in maar crasht daarna onmiddellijk. De ontwikkelaar doet er drie dagen over om het probleem op te lossen. Ondertussen ligt de site stil. Het bedrijf daagt de ontwikkelaar voor de rechter wegens schade door gederfde inkomsten.
Een zorgverzekeraar
Een zorgverzekeraar
Lanceert een nieuwe website maar het wachtwoordsysteem werkt niet goed waardoor onbevoegden toegang hebben tot persoonsgegevens van leden. De verzekeraar klaagt de ontwikkelaar aan voor de kosten van kennisgeving aan de leden en de levering van fraudecontrolediensten.
Ik heb maar een heel klein bedrijf.
Ik heb maar een heel klein bedrijf.
Loop ik dan nog steeds enig risico van inbreuk op gegevens? Elk bedrijf is blootgesteld aan privacyrisico’s, hetzij via gevoelige gegevens van werknemers, hetzij via betalingen die van derden worden geïnd, geleverde diensten enz. Sommige risico’s zijn groter dan andere maar het is belangrijk om te benadrukken dat elk bedrijf met werknemers in dienst aansprakelijk is voor verlies van Third Party-gegevens (met inbegrip van gegevens van werknemers). Een inbreuk kost het kleinste bedrijf met de geringste risico’s gemiddeld €188.000. De kosten stapelen zich razendsnel op.
Cybercrime Begrippenlijst TotalPrevent
APT
APT (Advanced Persistent Threat – geavanceerde aanhoudende bedreiging): een tegenstander die op zeer hoog en verfijnd deskundigheidsniveau opereert en over aanzienlijke middelen beschikt om met inzet van meervoudige aanvalsvectoren (cybervectoren, fysieke vectoren en manipulatie) zijn doelstellingen te realiseren. APT-aanvallen kunnen worden geleid in opdracht van buitenlandse naties waarbij de daders zich continu richten op een specifiek doelwit.
ASP
ASP (Application Service Provider): een bedrijf dat op software gebaseerde diensten verleent en beheert vanuit een centraal datacentrum op internet.
Authenticatie
Authenticatie: het proces waarbij de identiteit en andere kenmerken van een entiteit worden geverifieerd. Kan ook deel uitmaken van meervoudige authenticatie, het proces waarbij meervoudige factoren worden ingezet bij de identificatie en authenticatie van een persoon.
Blackhat
Blackhat: een hacker die met kwaadaardige bedoelingen inbreekt in een computersysteem of netwerk.
Blacklist
Blacklist: een lijst van entiteiten of personen die geblokkeerd zijn of uitgesloten van toegang of privileges.
Bot
Bot: een heimelijk geïnfecteerde computer die met het internet is verbonden en die op afstand met kwade bedoelingen bestuurd kan worden door een beheerder (of hacker).
Botnet
Botnet: een verzameling computers die besmet zijn met schadelijke software en vervolgens vanuit een netwerk worden aangestuurd. Doorgaans gebruikt bij DDoS-aanvallen (zie aldaar).
Brute Force Attack
Brute Force Attack: een methode op basis van trial-and-error die wordt aangewend door middel van applicaties voor het kraken van versleutelde gegevens, zoals wachtwoorden, waarbij alle mogelijke wachtwoordcombinaties worden uitgeprobeerd. Een ‘woordenboekaanval’ is een voorbeeld hiervan. Deze primitieve hackingmethode is zeer tijdrovend en de aanval kan met een basisbeveiliging worden afgeslagen.
Children’s Online Privacy Protection Act
Children’s Online Privacy Protection Act (COPPA): Amerikaanse wetgeving van de Federal Trade Commission (FTC) die van toepassing is op websites die gegevens verzamelen van minderjarigen jonger dan 19 jaar.
Cloud computing
Cloud computing: de algemene term om de levering van gehoste diensten via het internet te beschrijven. Cloud computing stelt bedrijven in staat om IT-middelen als nutsvoorziening te gebruiken, zoals bij telefoniediensten, zonder dat ze daarvoor een eigen hardware-infrastructuur hoeven op te bouwen en te onderhouden (‘infrastructuur’ en ‘platform’ worden dan gezien als ‘diensten’).
Cloud hosting
Cloud hosting: de algemene term om een dienst te beschrijven waarbij gegevens en hulpmiddelen door een hostingfaciliteit worden opgeslagen. Een Cloud infrastructuur kan daarbij als openbaar, particulier of hybride instrument worden geïmplementeerd. De voordelen daarvan zijn dat het verzamelen van overbodige data en zwakke punten (single points of failure) worden vermeden, de flexibiliteit groter wordt en de kosten beperkt zijn.
Collocatie
Collocatie (of Co-locatie): het huren door bedrijven van vastgoed, koeling, energie en bandbreedte van een hostingfaciliteit, die hen in staat stelt hun eigen materiaal (servers, opslag) te plaatsen binnen de omgeving van de hostingfaciliteit (doorgaans in beveiligde kooien). De meeste collocatiefaciliteiten voorzien tevens in goede veiligheidsmaatregelen, branddetectie, gefilterde voeding en backup-generatoren om de continuïteit van de bedrijfsvoering te waarborgen.
Cryptografie
Cryptografie: het beschermen van gegevens door ze om te zetten in een onleesbaar formaat (vercijferde text). De vercijferde tekst kan weer in een leesbaar formaat worden omgezet (gedecodeerd) door middel van een geheime sleutel. Versleuteling en distributie van versleutelingscodes kan op allerlei manieren worden toegepast. Zo kan gebruik worden gemaakt van de veelgebruikte PGP-software (Pretty Good Privacy).
Cybermisleiding
Cybermisleiding: mensen met behulp van verschillende technieken, zoals spear phishing, phishing en hacken van e-mail, geld en gevoelige gegevens afhandig maken.
Digitaal forensisch onderzoek
Digitaal forensisch onderzoek: toepassing van onderzoeks- en analysetechnieken om bewijs te vergaren uit een computer en vervolgens zodanig veilig te stellen dat het geschikt is om aan een rechtbank te presenteren. Deze onderzoeken vormen de eerste stap in de vaststelling van de omvang, reikwijdte en oorzaak van een inbreuk op gegevens.
Dumpster Diving
Dumpster Diving: het rondsnuffelen in vuilnis op zoek naar gevoelige gegevens die niet naar behoren zijn verwijderd.
DDoS
DDoS: Distributed Denial of Service Attack. Een aanval waarbij meerdere geïnfecteerde systemen worden ingezet om het doelwitsysteem te overspoelen met netwerkverkeer, waardoor dat systeem komt plat te liggen.
EMR
EMR: Electronic Medical Records. Term die vaak wordt gebruikt wanneer men het heeft over systemen voor het beheer van elektronische dossiers die binnen de gezondheidszorg worden gebruikt.
EMV
EMV: Europay, MasterCard en Visa. Internationale standaard voor de onderlinge werking tussen chipkaarten en geldautomaten, ingezet door de betaalkaartenbranche voor gebruik bij verkooppuntsystemen waarbij de kaart gelezen wordt.
Firewall
Firewall: systeem dat onbevoegde toegang tot of vanuit een particulier netwerk voorkomt. Firewalls kunnen via hardware en software worden geïmplementeerd.
Firmware
Firmware: software opgeslagen in een read-only memory (ROM) die in hardwarecomponenten is geïntegreerd.
Fraudecontrole
Fraudecontrole: een dienst voor gedupeerde betrokkenen waarbij wordt aangeboden toe te zien op de kredietactiviteit. Deze dienst, die normaliter gebaseerd is op een maandelijks tarief, houdt in dat bij de betrokkenen wordt gemeld als er verdachte kredietactiviteiten plaatsvinden die verband houden met hun identiteit.
FTP: File Transfer Protocol
FTP: File Transfer Protocol, een protocol dat uitwisseling/ doorgifte van bestanden via het internet vergemakkelijkt.
Gegevensaggregatie
Gegevensaggregatie: enorme hoeveelheden gevoelige gegevens centraal doorgeven of opslaan in een centrale opslagplaats.
Beschermde gezondheidsgegevens
Beschermde gezondheidsgegevens: Gegevens over een gezondheidssituatie, verstrekking van gezondheidszorg of betaling van zorg die in verband kunnen worden gebracht met een specifiek individu. Een en ander wordt ruim geïnterpreteerd; ook delen van een medisch dossier van een patiënt of diens betalingsgeschiedenis vallen eronder.
Hacktivism
Hacktivism: term die verwijst naar de beweegredenen achter bepaalde hacking gebeurtenissen. Aanvallen kunnen ingegeven zijn door politieke of maatschappelijke motieven in plaats van zuiver financiële motieven.
Hardware
Hardware: computer hardware bestaat uit fysieke componenten, zoals drives, schermen, toetsenborden en chips.
Hashing
Hashing: het transformeren van een willekeurige reeks karakters in een doorgaans kortere reeks van vaste lengte, ook wel sleutel genoemd. Deze sleutel vertegenwoordigt de originele reeks. Hashing wordt veelal gebruikt om items in een database te indexeren en op te halen, omdat het item met de kortere reeks sneller kan worden gevonden. De methode wordt ook gebruikt in veel cryptografische algoritmen.
HIE: Health Information Exchange
HIE: Health Information Exchange. Deze term wordt gebruikt voor de elektronische uitwisseling van gezondheidsinformatie tussen organisaties binnen een regio, gemeenschap of ziekenhuissysteem. HIE kan ook betrekking hebben op de organisatie die de uitwisseling faciliteert.
IaaS: Infrastructure as a Service
IaaS: Infrastructure as a Service. Gebruikt om aan te geven dat computerinfrastructuur wordt geleverd in de vorm van een dienst (via het internet).
Inbraak
Inbraak: het zich verschaffen van wederrechtelijke toegang tot een systeem door een onbevoegde. Inbraak kan worden vastgesteld door middel van een inbraakdetectiesysteem (IDS).
Inbreuk (gegevens)
Inbreuk (gegevens): een beveiligingsincident waarbij gevoelige, beschermde of vertrouwelijke gegevens worden gekopieerd, doorgegeven, bekeken, toegeëigend of gebruikt door een daartoe onbevoegde persoon. Gegevensinbreuken zijn ook onderworpen aan specifieke overheidsdefinities die als uitgangspunt kunnen dienen wanneer een bepaalde respons op inbreuken vereist is.
Inbreukkosten
Inbreukkosten: de kosten die gepaard gaan met diensten die verleend worden als reactie op de inbreuk. Het gaat daarbij om (doorgaans) verzekerbare bedragen die kosten van digitaal forensisch onderzoek van computers, kennisgeving aan gedupeerden en fraudecontrole kunnen omvatten. Inbreukkosten vallen onder de dekking van de First Party- verzekering en vloeien normaliter voort uit een inbreukincident en niet uit een rechtszaak. Verzekeringspolissen kunnen in de betreffende diensten voorzien, hetzij op vrijwillige basis, hetzij enkel in reactie op een gegevensinbreuk die aanleiding is voor de toepassing van bepaalde nationale, regionale of lokale wetgeving inzake gegevensinbreuken.
Inbreukrespons
Inbreukrespons: de handelingen in reactie op een gegevensinbreuk. Er zijn bedrijven die beschikken over uitgewerkte plannen van aanpak bij een gegevensinbreuk die stap voor stap aangeven wat er moet gebeuren nadat de inbreuk heeft plaatsgevonden. Er volgen in de regel een groot aantal actiefasen die zich onder andere richten op analyse van het incident, kennisgeving aan de betrokkenen, indammen van de schade en communicatie/herstel. Verzekeringsmaatschappijen kunnen derdenleveranciers inschakelen om het proces in geval van een inbreuk in goede banen te leiden.
Incident Respons Plan
Incident Respons Plan: een door een organisatie ingevoerd plan van aanpak om het hoofd te bieden aan de gevolgen van een beveiligingsinbreuk of aanval. In dit plan wordt bepaald wat een incident inhoudt. Daarnaast bevat het een stappenplan met maatregelen ten aanzien van tijdschema’s, rollen/verantwoordelijkheden, contactgegevens en andere onderdelen die nodig zijn om een inbreuksituatie te beheersen.
Keylogger: malware (virus) waarmee men de toetsaanslagen van een computergebruiker kan registreren. Met deze volgsoftware kunnen de registraties meestal worden gecodeerd en wordt de doorgifte van de gegevens aan een hacker verborgen.
Kennisgeving
Kennisgeving: in cyberverzekeringstermen betekent dit het inlichten van de gedupeerde betrokkenen op wier gegevens inbreuk is gepleegd. Vanaf januari 2016 heeft Nederland een meldingswetgeving ingevoerd waarin gedefinieerd is wat persoonsgegevens zijn en wanneer gedupeerden moeten worden ingelicht. Diverse ontwerpwetten zijn nog in behandeling.
Kritische infrastructuur
Kritische infrastructuur: het onderliggende geheel van faciliteiten, systemen, sites en netwerken die noodzakelijk zijn voor de functionaliteit.
Kwetsbaarheid
Kwetsbaarheid: een onvermoede tekortkoming in de software of in systemen die kan worden uitgebuit.
Malafide medewerker
Malafide medewerker: een medewerker die zich onbevoegd en met kwade bedoelingen toegang verschaft tot gegevens of een medewerker die gevoelige informatie verkoopt voor eigen financieel gewin. Malafide medewerkers kunnen ook proberen uit wraak (bijvoorbeeld omdat zij zich onheus bejegend voelen) een bedrijfsnetwerk aanvallen.
Malware
Malware: samentrekking van MALicious softWARE. Deze software is bedoeld om een systeem te beschadigen of te verstoren (virus of Trojaans paard).
PaaS
PaaS: Platform as a Service. Een via internet geleverd model van een computerplatform die in de vorm van een uitbestede dienst wordt geleverd, zodat de ontvanger geen eigen hardware/software hoeft te beheren.
Packet
Packet: een gegevenspakket dat tussen oorsprong en bestemming van een netwerk (of het internet) kan worden verstuurd.
Betaalkaartgegevens
Betaalkaartgegevens. In de PCI SSC worden kaarthoudergegevens aangeduid als Primary Account Number (PAN), waaronder het volledige nummer samen met de volgende gegevens wordt verstaan: naam kaarthouder, vervaldatum, servicecode. Bij gevoelige authenticatiegegevens is voorzien in bescherming door middel van, onder andere, een volledige magneetstrip, CAV2, CVC2, CVV2, CID en PIN.
PCI DSS
PCI DSS: de PCI SSC heeft in de PCI Data Security Standards het beveiligingsniveau omschreven waaraan organisaties die transacties met betaalpassen verwerken, minimaal moeten voldoen. Vanaf maart 2015 zijn er vier PCI DSS-niveaus, die elk zijn vastgesteld op basis van het volume aan betaalkaarten die een bedrijf jaarlijks behandelt. De meest veeleisende compliance norm die PCI SSC heeft vastgesteld is PCI-niveau 1, de minst veeleisende is PCI-niveau 4 (gekoppeld aan een beperkt betalingskaartvolume).
PCI (Standards Council)
PCI (Standards Council): het bestuursorgaan van de PCI. De PCI Security Standards Council (PCI SSC) is in september 2006 opgericht door American Express, Discover Financial Services, Japan Credit Bureau, MasterCard Worldwide en Visa International. In augustus 2014 telde de website van PCI SSC 688 deelnemende organisaties.
PCI Assessments (naleving)
PCI Assessments (naleving): controles op de naleving van de PCI DSS (zie aldaar). In bepaalde omstandigheden mogen handelaren die lagere volumes afhandelen zelfbeoordelingen uitvoeren. In de meeste situaties met hoge kaartvolumes kan het nodig zijn volledige beoordelingen (eventueel ter plekke) uit te voeren. Nalevingscontroles worden door een gekwalificeerde veiligheidsbeoordelaar (QSA – Qualified Security Assessor (zie aldaar)) verricht.
PCI Assessments (boetes)
PCI Assessments (boetes): geldboetes die bedrijven moeten betalen wegens inbreuk op gegevens van betaalkaarten. In de boete kunnen de kosten zijn verwerkt van het opnieuw uitgeven van kaarten en van niet-verhaalbare frauduleuze geldopnames met de gestolen kaarten. Dergelijke kosten worden in de regel doorberekend aan het gedupeerde bedrijf op basis van hun contracten, met name overeenkomsten inzake handelaarsdiensten of overeenkomsten inzake betalingsverwerking. Aangezien banken die betaalkaarten uitgeven niet rechtstreeks contracten afsluiten met bedrijven die betaalkaarten van klanten accepteren, worden deze kosten als het ware doorgegeven binnen een contractuele keten waarbij de betalingsverwerker in het midden zit. Sommige verzekeringspolissen bieden expliciet dekking tegen dergelijke uit contractbreuk voortvloeiende kosten, maar andere weer niet.
PCI Fines and Penalties
PCI Fines and Penalties: geldboetes die wervende banken opleggen wegens overtreding van de PCI-regels. De boetes kunnen variëren van € 5.000 tot € 100.000 per maand, maar details worden niet openlijk besproken of breed bekendgemaakt.
Penetration testing (Pen Testing)
Penetration testing (Pen Testing): een “Whitehat”- hacker of -script inzetten in een poging om een bedrijfsnetwerk te penetreren. Met deze voorzorg methode komen kwetsbaarheden aan het licht die anders verborgen zouden zijn gebleven.
Persoonsgegevens
Persoonsgegevens: Gegevens aan de hand waarvan personen kunnen worden geïdentificeerd. Definities van overheden en in wetten en andere regelgeving lopen echter uiteen. Persoonsgegevens kunnen beschermde gezondheidsgegevens bevatten maar ook gegevens van betaalkaarten, BSN-nummers en een waaier aan andere gevoelige gegevens.
Phishing
Phishing: beproefde techniek van hackers of anderen met kwade bedoelingen, die zich voordoen als vertrouwde entiteiten met als doel de gebruiker gevoelige of privégegevens te ontfutselen. Varianten hierop zijn “spear phishing” (een afzonderlijke gebruiker of een afdeling is het doelwit) of “whale phishing” (mensen met een belangrijke functie of veel geld zijn het doelwit).
Phreaking
Phreaking: door middel van een computer of ander apparaat inbreken op een telefoonsysteem. Het systeem wordt zodanig gemanipuleerd dat de dader gratis kan telefoneren en facturen bij iemand anders in rekening worden gebracht. Dit is een van de oudste vormen van “hacking”.
POS
POS (Point of Sale): fysieke locatie waar goederen en diensten worden gekocht en verkocht gepaard gaande met de vastlegging van informatie en betaalgegevens. Afhankelijk van de context kan POS ook verwijzen naar het softwareplatform dat wordt gebruikt voor de verzameling en/of doorgifte van deze informatie.
Ram Scraping
Ram Scraping: een techniek die door uiteenlopende malware wordt toegepast (BackOff-variant). Gegevens van betaalkaarten worden gelicht uit een machinegeheugen voordat ze worden versleuteld.
Ransomware
Ransomware: een type malware dat de toegang tot het geïnfecteerde computersysteem blokkeert waarna de afperser losgeld vraagt om het systeem weer te ‘bevrijden’.
Redundancy’s
Redundancy’s: gedupliceerde exemplaren van gegevens, infrastructuur of andere gevoelige/ kritische informatie of infrastructuur. Externe en geografisch gespreide redundancy’s zijn typisch gegevens waar alle kwaadwillende ogen op zijn gericht.
SaaS: Software as a Service
SaaS: Software as a Service. Deze methode voorziet in de levering via internet (of de cloud) van softwarefunctionaliteit als alternatief voor de installatie van de software op de apparatuur van de eindgebruiker.
SCADA
SCADA: Supervisory Control and Data Automation. Wordt toegepast voor de beheersing van industriële en productieprocessen.
Sleutel
Sleutel: moet worden ingegeven om de versleuteling ongedaan te maken en de gegevens weer leesbaar te maken.
Social Engineering
Social Engineering: een methode om personen door misleiding beveiligde gegevens afhandig te maken. Slachtoffers van social engineering zijn kwetsbaar door hun ingeboren aard om anderen te vertrouwen en te willen helpen.
SPAM
SPAM: elektronische junkmail of berichten.
Spoofing
Spoofing: verzamelnaam voor verschillende manieren waarop hardware en software om de tuin kunnen worden geleid. Het manipuleren van telefoonnummers, IP-adressen of andere unieke identificatiecodes valt ook onder spoofing.
Spyware
Spyware: software die heimelijk informatie over een computergebruiker vergaart zonder dat de gebruiker het in de gaten heeft, meestal voor reclamedoeleinden.
SSL
SSL: Secure Sockets Layer. SSL is een protocol voor de doorgifte van gegevens via internet door middel van cryptografische systemen die twee sleutels gebruiken om de gegevens te coderen. Veel internetbrowsers geven aan dat de aansluiting met SSL beschermd is door bij het URL-veld een pictogram in de vorm van een hangslotje of een veiligheidscertificaat af te beelden.
Tokenization
Tokenization: methode waarbij gevoelige gegevens door een niet-gevoelig equivalent (token) wordt vervangen.
Trojaans paard
Trojaans paard: een programma (malware) ontworpen om beveiliging van een computersysteem te doorbreken en, wanneer dat gelukt is, zijn schadelijk werk verricht (meestal diefstal van gegevens of besmetting van computers).
Uitbuiting
Uitbuiting: misbruik maken van een zwakke plek in de beveiliging. Uitbuiten van onvermoede en niet-gepatchte hiaten in de softwarecode die de software kwetsbaar maken voor onbevoegde toegang of integriteitsinbreuken.
Versleuteling
Versleuteling: berichten of gegevens zodanig coderen dat alleen bevoegden er toegang toe hebben. De gegevens kunnen hiermee nog steeds worden onderschept, maar door de versleuteling kan geen toegang tot de inhoud worden verkregen. *Zie ook: Cryptografie*
Virus
Virus: een programma (of een stukje code) met een schadelijke werking dat buiten medeweten van de gebruiker om kwaadwillige redenen op diens computer wordt geïnstalleerd.
Whitehat
Whitehat: een benaming voor “ethisch hacken”. Whitehat hacking is iets waar een potentieel doelwit zelf om vraagt om onvermoede zwakke plekken in de beveiliging bloot te leggen.
Worm
Worm: een programma of algoritme dat zichzelf vermenigvuldigt op een computernetwerk en daar zijn schadelijke werk verricht.
Zero-Day
Zero-Day: hiermee worden kwetsbaarheden in de beveiliging uitgebuit op dezelfde dag waarop de kwetsbaarheden publiekelijk of algemeen bekend worden. Het lek wordt meestal later onschadelijk gemaakt door middel van beveiligingspatches of updates die door de softwareleverancier worden vrijgegeven.
Belangrijke Pagina’s
Contactgegevens
0299-46 32 32
06 267 261 09
info@totalprevent.nl
Kvk nummer: 66835658
Linkedin
Facebook