Moet je van het AVG-vergeetrecht je backups opschonen van oude persoonsgegevens?

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem:

Af en toe komt het – hoewel uitzonderlijk – voor dat een bedrijf te maken heeft met dataverlies. Er wordt dan tijdelijk (onlangs github iirc) of permanent (verleden jaar gitlab iirc) een backup teruggezet. Nu ben ik benieuwd wat de wet hierover te zeggen heeft.Als klant denk ik: Ik wil ook niet meer in backups voorkomen. Dit is al dan niet een smoes die ik wel eens heb gehoord als reden waarom ik na verloop van tijd weer een nieuwsbrief ontvang nadat ik me heb uitgeschreven.

Voorbij de AVG-hype. Zes tips voor 2019

Frank Koppejan, directeur Privacy Company, schreef speciaal voor AWVN een gastblog. Hij heeft zes tips voor 2019 om, na de invoering van de AVG, het privacybeleid van uw organisatie verder te verbeteren en het privacybewustzijn onder medewerkers te vergroten.

Na hard gewerkt te hebben om op 25 mei 2018 (een deel van) de privacyzaken te hebben geregeld, zijn we nu een aantal maanden verder. Zoals verwacht, is de wereld niet vergaan. Toch is het belangrijk dat het onderwerp privacy een structurele plek op de agenda krijgt bij directie en medewerkers. Niet alleen omdat de AVG dit vraagt, maar ook omdat het onderwerp dit verdient. Klanten, burgers, leveranciers en andere belanghebbenden verwachten dat u goed met hun gegevens omgaat. En als het goed is, wilt u dit zelf ook.

OPSEC for Blue Teams part 3- Sandboxes & Secure Communications

This will be the last blog in this series on OPSEC for Blue Teams. I will share some of my thoughts on sandboxes, secure communications and sharing of info & data, when dealing with a targeted attack.

OPSEC for Blue Teams part 1 - Losing Defender's Advantage can be found here.
OPSEC for Blue Teams part 2 - Testing PassiveTotal & VirusTotal can be found here.

OPSEC for Blue Teams part 2 - Testing PassiveTotal & VirusTotal

This second blog in the series on OPSEC for Blue Teams is about testing tools used to get context and/or OSINT on domains and IPs. While performing these tests it also showed results that can be interesting for Red Teams.

OPSEC for Blue Teams part 1 - Losing Defender's Advantage can be found here.

​ OPSEC for Blue Teams part 1 - Losing Defender’s Advantage

This is a three-part blog about OPSEC for Blue Teams. This first part expresses some of my ideas about the risk of alerting the adversary and OPSEC for getting OSINT and context on domains and IPs. The second part is about testing tools (I performed tests on PassiveTotal and VirusTotal) which provide context and/or OSINT in relation to OPSEC. The last part will be on sandboxes, secure communications and sharing of info & data when dealing with a targeted attack.

When talking about adversaries in this series, I mean the ones which are targeting your company. So I do not discuss a threat actor executing a malware or phishing campaign against a large and diverse group of victims. You can be less strict on following certain OPSEC rules when you know you deal with a non-targeted attack. Still, following secure practices in both cases will make sure your default behaviour is in line with good OPSEC rules.

Lang leve de makkelijke wachtwoorden!

Nieuw jaar, goede voornemens. En daar worden we aan alle kanten bij geholpen: we moeten veilige wachtwoorden gebruiken.

Ook deze week weer volop media-aandacht voor het fenomeen van de makkelijke wachtwoorden. Het meest gebruikte wachtwoord is ‘123456’ en ook ‘qwerty’ en ‘secure’. Schandalig dat mensen zo laks omgaan met hun eigen veiligheid. Ook de consumentenbond is in het geweer gekomen. Websites moeten moeilijker wachtwoorden afdwingen. Maar ook weer niet te moeilijk, want anders gaan mensen wachtwoorden toch maar vergeten...

Jouw bijdrage op het kennisplatform?

Informeer de redactie

Een rondje met de cyberwijk-agent

De wijkagent surveilleert én is er voor vragen uit de buurt. Met een licht surveille-regime; de agent is maar in z’n eentje in een best grote wijk en wandelt wat. Waar z/hij in de buurt is, wordt net iets minder door rood gefietst; en waar h/zij niet is, moet worden vertrouwd op burgertoezicht [tsja] en melding bij 112, waarop de agent zo nodig poolshoogte gaat nemen. Of als er meer aan de hand is, wordt assistentie ingeroepen, op allerlei vlak; collega’s voor wat handjes, recherche voor de post-‘mortem’ na de hack inbraak. Als er iets groters aan de hand is, werkt de wijkagent samen met z’n collega(’s) in de volgende wijk, uiteraard. Ieder z’n specialisme, qua lokale kennis. En overstijgend zijn er voor de bestrijding van serieuzere criminaliteit natuurlijk aparte, speciale teams en task forces. Maar in het algemeen is de aanwezigheid, het er zijn, van een wijkagent al voldoende preventie en signalering voor het gros van de overtredinkjes. De wijkagent kan ter plekke wel een passende oplossing vinden. En wat de agent al ziet wat privacygevoelig zou zijn… dat is ter plekke opgelost door het vertrouwen dat de burger in de agent heeft. Hopelijk.

Cloud levels the playing field

I was at the AWS Benelux Summit in The Hague last week. I particularly enjoyed Werner Vogel’s keynote speech and want to use this column to highlight three aspects of his keynote that I felt stood out.

There is no reason anymore, not to encrypt your data.

Nationale DNA-databank is wensdenken

Na de aankondiging dat Jos B. hoofdverdachte in de verkrachting en moord op Nicky Verstappen is, kwam de politiek met de oplossing. Ieders DNA moet in een database. Los van de vraag of Europese mensenrechten-wetgeving de ruimte biedt voor een DNA-databank, toont het weer een verschrikkelijk wensdenken naar een alomvattende oplossing.

Crypto currency or ads.. Do we get to choose the lesser evil?

Since a few months now, we are confronted with a new phenomenon. Websites that are mining crypto currency using javascript and thus the processor of the person visiting the website.

As usual the vendors of security products quickly jump on this band wagon to sell their goods.

Since it is my job to keep our organisation informed of emerging security threats, I’ve also been trying to determine how much we should worry about this new trend.

To be honest. I’m not really sure…

Can a hacker be a builder instead of a breaker?

It’s one of the certainties in life: when summer approaches and the large hacking conferences such as Black Hat and DEF CON are upon us, the security media starts spinning its wheels. These are the moments when the ‘celebrities’ of our field have their red carpet premiere – what kind of fascinating new research will they show? This research is of course often about some form of hacking – and that’s exactly the point I want to address. What is the point of proving something is broken? Are we over-valuing these “stunt hacks"? And would the industry as a whole not be better off if we focused a bit less on breaking things, freeing up some of our time for building and improving?

Why traditional information security fails in an agile environment

Matching information security and agile

While agile development is going mainstream, information security is having difficulties to keep up. The result of this struggle is that new systems are insecure, or that they are loaded with point solutions for security.

What is so hard about security in agile environments? In this article we examine what makes infosec fail with agile, in future articles we will propose solutions for that and present a model to integrate information security into an agile development process.

eHealth: een zorgenkind op het gebied van cybersecurity?

Het Internet-of-Things doet razendsnel haar intrede in de maatschappij, zo ook in de zorgsector onder de noemer ’eHealth’. De beveiliging van IoT, en dus ook eHealth, is lang niet altijd op orde, waardoor deze apparaten meermaals misbruikt zijn voor onder andere cyberaanvallen. Het doel van dit onderzoek is tweeledig:

  1. Onderzoeken welke specifieke cybersecurityrisico’s gepaard gaan met het gebruik van eHealthtoepassingen bij Universitaire Medische Centra
  2. Adviseren welke strategische maatregelen genomen kunnen worden om cybersecurity voor eHealth-toepassingen beter te borgen door Universitaire Medische Centra, leveranciers van eHealth-toepassingen en beleidsmakers in de zorgsector.

Een maand na de inwerkingtreding van de AVG is het AVG-chaos in Nederland

Een maand na de inwerkingtreding van de AVG is het AVG-chaos in Nederland. Bedrijven lopen elkaar in de weg, overheidsinstanties vertrouwen elkaars beveiligingsbeleid niet en weigeren gegevens te leveren als er niet eerst een ‘data-overeenkomst’ is getekend (wat dat ook precies moge zijn), kerkblaadjes die met bloed, zweet en tranen door vrijwilligers in elkaar worden gedraaid besluiten ermee te stoppen en sportverenigingen weten niet of zij nog de foto’s van de sportdag op hun website mogen zetten. 

Bypass client-side generated HTTP security headers

Every now and then when doing a security test on a web application I have to deal with client-side generated HTTP headers that are there for security reasons. These headers can cause problems during a security test. Fortunately they can easily be bypassed using Burp Suite.