Het is onrustig in de wereld, om het nog zacht uit te drukken. In het ene land gaat het er heviger aan toe dan elders, maar iedereen voelt het. Het zijn rare tijden en het is ook gewoon een raar jaar. Veel mensen zeggen dat we dit jaar moeten vergeten of ‘over moeten slaan’. Vind ik vreemd, want dit is juist een jaar waar zo ontzettend veel te leren valt. En laten we hopen dat het vooral mooie dingen teweeg brengt. Zoals minder racisme en een betere staat van preparatie bij een volgende pandemie. Maar om nog enige structuur in deze hectiek aan te brengen, zijn wij er gewoon weer met de Rootsec blog. Zoals u van ons gewend bent.
Wij zijn binnen dit bedrijf niet fervent Trump supporters. Sterker nog, dat hele Amerika kan ons gestolen worden. Maar in deze tijden is het echt onmogelijk om het er niet om te hebben. Zoals we in de introductie al aangaven, gaat het niet zo goed met de wereld. En het epicentrum van dit alles bevindt zich in the land of the free and the home of the brave. Maar zoals u weet, houden wij ons in dit blog voornamelijk bezig met actualiteiten wanneer deze te linken zijn aan cyber-security. En ook op dat gebied, is er genoeg te schrijven. Zo kwam er recentelijk een artikel naar buiten waarin stond beschreven dat hackers, van zowel de Iraanse als de Chinese regering, hun pijlen hebben gericht op Amerika. En dan specifiek op de campagnemedewerkers van de zittende Amerikaanse president D. Trump en presidentskandidaat Joe Biden. Ook wel ‘Sleepy Joe’ genaamd. Dit werd bekend gemaakt door Shane Huntley, senior beveiligingsfunctionaris van Googles Threat Analysis Group.
Wat echter opvallend is, is dat beide hackersgroepen een ander doelwit hadden. Zo hadden de Iraanse hackers het via een phishing-aanval gericht op Trump’s campagne en de Chinese hackers ging vol voor de campagne voor Biden. En dat nagenoeg tegelijkertijd. Toeval? Mogelijk. Volgens de beveiligingsfunctionaris zijn er echter geen aanwijzingen dat de aanvallen geslaagd zijn. Wat we wel met zekerheid kunnen zeggen is dat dit ongetwijfeld een reactie teweeg gaat brengen. Zeker omdat dit niet bepaald de eerste keer is dat de Iraanse regering, over wie Trump eerder deze week nog vol laf sprak, toegang probeerde te krijgen tot accounts van campagnemedewerkers. Zo meldde Microsoft in oktober vorig jaar dat een hackersgroep vermoedelijk onder leiding van Iran ook al toegang probeerde te verkrijgen tot accounts van een Amerikaanse presidentskandidaat. Het is wat dat betreft maar goed dat Trump zich over het algemeen niet bemoeit met buitenlandse politieke affaires..
Heeft u enig idee wat social engineering is? Ik leg het graag even uit. Deze dienst is gericht op het vinden van kwetsbaarheden voornamelijk buiten de IT-infrastructuur. Dus hier worden vragen beantwoord als ‘hoe makkelijk is het om naar binnen te lopen?’ en ‘wat kan ik doen als ik eenmaal binnen ben?’. Bedrijven zetten onze social engineering dienst vaak in om medewerkers bewuster te maken van het feit dat er altijd wel dreiging is. Maar deze week bereikte ons een nieuwsartikel dat we wel heel frappant vonden. Het ging namelijk om een 24-jarige man die zich voordeed als verpleegkundige en dertien dagen lang (!) bij het Jeroen Bosch Ziekenhuis (JBZ) in ‘s-Hertogenbosch ‘werkte’. Godzijdank heeft hij geen operaties proberen uit te voeren, maar heeft hij wel tientallen patiëntendossiers in kunnen zien. De dader heeft gedurende de corona-periode, waarin er versoepelingen waren om te werken in de zorg, misbruik gemaakt van deze tijdelijke regels en zich zodoende naar binnen weten te werken. En door de chaos was het vervolgens mogelijk voor hem om dertien dagen lang zijn gang te gaan. Dit wordt ook bevestigd door een medewerker van het ziekenhuis.
“Helaas is er in dit geval een persoon geweest die opzettelijk misbruik heeft gemaakt van de situatie in deze bijzondere tijden. We zijn geschokt door deze situatie en het bedrog in tijden waarin de continuïteit van de zorg meer dan ooit centraal staat”
De man werd afgelopen 18 mei aangehouden, zo maakte het OM gisteren bekend. Tijdens de aanhouding zijn er tal van medische goederen gevonden zoals medicijnen en naalden. Echter werden er ook diverse stukken bedrijfskleding en uniformen aangetroffen. Het onderzoek van de politie is nog in volle gang. Wij vragen ons af of hij zijn dertien dagen aan werk nog uitbetaald zal krijgen.
De Autoriteit Persoonsgegevens (AP) had gisteren goed nieuws voor het UWV. Ze hoeven namelijk toch geen dwangsom te betalen voor de abominabele beveiliging van een werkgeversportaal. In 2018 dreigde de AP met een flink boete wanneer deze beveiliging zo zwaar ondermaats zo blijven en die boodschap is aangekomen. Volgens de AP is de beveiliging nu op orde. En dat was nodig ook. Want dit werkgeversportaal wordt gebruikt door werkgevers en arbodiensten onder meer voor het invoeren en inzien van gegevens over bijvoorbeeld ziekteverzuim. Dit betekent dus dat er NAW-gegevens, burgerservicenummers, financiële gegevens en gegevens over arbeidsongeschiktheid, ontslag en bevalling te zien zijn. En je zou toch denken dat wanneer al deze gegevens toegankelijk zijn, dat het UWV dit voldoende zou beveiligen. Nou, nee dus. Werkgevers konden via internet op het portaal inloggen door een e-mailadres en wachtwoord in te voeren. De AP concludeerde dat het portaal daarmee onvoldoende beveiligd was. De AP eiste, terecht overigens, dat er minimaal een tweestaps-verificatie actief zou zijn. Inmiddels zijn de benodigde stappen gezet en kunnen werkgevers en arbodiensten enkel nog inloggen via e-Herkenning, een soort van DigiD voor bedrijven. Zo zie je maar weer wat een boete van 150.000 euro per maand teweeg kan brengen.
Automated page speed optimizations for fast site performance