Wanneer? 11 oktober 2012

Waar? Gameship, Leeuwarden

Voor wie? Iedereen

Verslag privacy & security workshop Academy Noord

Donderdag 11 oktober verzorgde iWink een workshop over online veiligheid en privacy in het Gameship in Leeuwarden voor de seatholders van Academy Noord. Het woord was aan Minke van der Horst van iWink en Simon Wisselink van Kirra. Voor iedereen die niet aanwezig kon zijn, volgt hier een verslag.

Gegeven: maar liefst 80% van alle websites is lek. Een gemiddelde website bevat 79 beveiligingslekken. Je ziet het niet aan de buitenkant, dus zo lang alles nog normaal functioneert, is er voor veel website eigenaren geen reden tot paniek, maar schijn bedriegt. Er zijn nu 40,000,000,000 - 45,000,000,000 webpagina’s. Daarnaast plaatsen we steeds meer informatie online. Het aantal Facebook gebruikers stijgt exponentieel en hetzelfde geldt voor het aantal geplaatste tweets.

Hacktober 2011

Dat het plaatsen van zo veel (gevoelige) informatie op internet ook fout kan gaan, is vorig jaar oktober pijnlijk duidelijk geworden. De maand oktober is dan ook niet voor niets omgedoopt tot “Hacktober”. Op 1 oktober 2011 kunnen DigiD-sessies gestolen worden waarmee eenvoudig rechtgeldige transacties gedaan kunnen worden. Op 4 oktober lekt de website van de Nederlandse Vereniging voor Psychologen NAW-gegevens, logins en registratienummers van alle leden. Twee dagen later krijgt het Erasmus MC te maken met een SQL-injectie en op 8 oktober blijken de websites van 50 gemeenten en gemeentelijke diensten volledig open te staan voor alle denkbare handelingen. Ook na oktober gaat het hacken gewoon door en wordt Davilex getroffen, blijken OV-chipkaart accounts te kapen te zijn en doet de publieke omroep ook een flinke duit in het zakje door 2,3 miljoen persoonsgegevens te lekken. Maar dit is niet alles. Ook in 2012 worden er nog medische dossiers gelekt, blijken datingsites besmet en blijkt de webwinkel van Perrysport lek en dit zijn slechts voorbeelden.

Lucky Luke's online Wilde Westen

De consequenties zijn vaak niet te overzien. Als een bedrijf klantinformatie lekt is dat een regelrechte PR-ramp. Er zijn vaak hoge kosten mee gemoeid om alle lekken te dichten en alle gedupeerden te compenseren. Het leidde zelfs tot het faillissement van Diginotar. Het internet vertoont inmiddels veel gelijkenissen met het Wilde Westen van Lucky Luke. De overheden hebben echter niet stilgezeten en grijpen steeds meer in. Op 1 september 2001 ging de Wet bescherming persoonsgegevens al van kracht. Op 1 september 2006 volgde er een aanpassing aan De Wet Computercriminaliteit. Hiermee werd hacken officieel strafbaar. En sinds 5 juni 2012 is de Nieuwe Telecommunicatiewet van kracht. Onderdeel hiervan is de inmiddels wel bekende en omstreden cookiewet, die website eigenaren verplicht tot het expliciet vragen van toestemming voor het plaatsen van niet-functionele cookies en het informeren over het gebruik van cookies. In 2013 zal er een aanpassing volgen op de Richtlijn consumentenrechten.

Heeft u een formulier op uw website?

Inmiddels is wel duidelijk dat veel websites niet aan alle wetten en verplichtingen voldoen. Veiligheid is belangrijk en privacy moet gewaarborgd worden, maar hoe gaat u hier nou mee om? Simpel voorbeeld: bijna alle websites hebben een formulier, denk aan een contactformulier, sollicitatieformulier of voor het doen van een online bestelling. Op dat moment heeft u te maken met de Nederlandse Wet bescherming persoonsgegevens (Wbp). Deze wet is van toepassing op alle vormen van het verwerken van persoonsgegevens, ongeacht of die verwerking nu op papier of in computerbestanden gebeurt. Volgens de Wbp is het hebben van een Privacy verklaring of statement op de website verplicht. Hierin dient duidelijk te worden met welk doel er persoonsgegevens verzameld worden, hoe en hoe lang de gegevens bewaard worden, wie inzage heeft in de gegevens, hoe de gegevens ingezien, bewerkt en/of verwijderd kunnen worden. Het gebruik en het plaatsen van cookies kan hierin ook uitgelegd worden.

Cookiebalk, cookiemuur, cookieloos?

Door middel van het plaatsen van cookies kunnen unieke bezoekers op een website herkend en gevolgd worden. Volgens de overheid is hierdoor de privacy van de burger in het geding en heeft daarom de cookiewet ingevoerd. Deze wet houdt de gemoederen flink bezig, vooral website eigenaren. Door invoering van de wet moeten website beheerders expliciet toestemming vragen aan de bezoeker voor het plaatsen van niet-functionele cookies. Daarnaast moeten ze de gebruiker informeren over het gebruik van cookies. Dit kan door middel van het plaatsen van een cookiebalk boven aan de website. Helaas worden deze cookiebalken in de meeste gevallen genegeerd en wordt traffic niet meer gemeten. Een andere oplossing is de zogenaamde cookiemuur zoals de NPO doet. In tegenstelling tot de cookiebalk, kun je letterlijk niet om de cookiemuur heen en dat is meteen ook het probleem ervan. Als je niet akkoord gaat met het feit dat er cookies worden geplaatst, kun je de website niet meer bezoeken. Ook dit is geen correcte oplossing. Wil je aan de wet voldoen en toch nog traffic meten, dan zijn er cookieloze oplossingen zoals Kirra Analytics.

1wgvAN=rk!

Iedereen loopt risico, niet alleen de grote jongens. Er circuleren ontelbare bots en virussen op het internet. En wat te denken van de scriptkiddies? Gebruikt u overal hetzelfde wachtwoord? Daar bent u zeker niet de enige in. Verstandig is het alleen niet. Ook niet verstandig is het gebruiken van veel gebruikte woorden, cijfer- of letterrijtjes zoals ‘qwerty’. Hoe maak je dan een geschikt wachtwoord dat niet te raden valt door bijvoorbeeld scriptkiddies? Een goede manier is het afkorten van een “rare” zin zoals “Een workshop geven voor Academy Noord is rete koel! Het hierbij horende wachtwoord luidt vervolgens 1wgvAN=rk! Daarnaast geldt: hoe langer, hoe beter. Zorg er ook voor dat je overal een ander wachtwoord gebruikt en wijzig je wachtwoorden zo nu en dan. Nóg beter is de toepassing van 2-step authentication en passphrases.

Wie kunnen er bij uw gegevens?

Hoe zit het eigenlijk bij internetbureaus? Weet u eigenlijk wel wie er allemaal bij uw gegevens kunnen en om welke gegevens het gaat? Kan iedereen uw omzetgegevens zien en hebben stagiairs ook toegang tot uw gegevens? Bewustzijn is erg belangrijk, evenals de controle over je gegevens. Bij iWink hanteren we een systeem met wachtwoordbeveiliging. Iedere werknemer heeft alleen toegang tot strikt noodzakelijke informatie. Systemen met uitermate gevoelige informatie zijn extra beveiligd en kunnen alleen na toestemming worden benaderd. Niets is waterdicht, helemaal niet als het om techniek gaat. Maar ook hiervoor geldt: bewustzijn is belangrijk, dus blijf bovenstaande vragen stellen. Informatie en de verwerking van informatie wordt steeds belangrijker, dus de bescherming van deze informatie ook.

Handige checklist

Omdat privacy & security online zo omvangrijk zijn en het lastig is om alle tips meteen in de praktijk te brengen, hebben we een handige checklist voor u gemaakt.

Zijn er na het lezen van dit verslag nog vragen over privacy en security online? Neem dan contact op met iWink.