Academie thuis
Blogs
Encryptie, RaaS, aanvallen in de toeleveringsketen: Maandelijkse Cyberday product- en nieuwsoverzicht 12/2023 🛡️
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

Encryptie, RaaS, aanvallen in de toeleveringsketen: Maandelijkse Cyberday product- en nieuwsoverzicht 12/2023 🛡️

ISO 27001 collectie
Encryptie, RaaS, aanvallen in de toeleveringsketen: Maandelijkse Cyberday product- en nieuwsoverzicht 12/2023 🛡️
NIS2-verzameling
Encryptie, RaaS, aanvallen in de toeleveringsketen: Maandelijkse Cyberday product- en nieuwsoverzicht 12/2023 🛡️
Cyberday blog
Encryptie, RaaS, aanvallen in de toeleveringsketen: Maandelijkse Cyberday product- en nieuwsoverzicht 12/2023 🛡️

Dit is de nieuws- en productronde van december van Cyberday. Om je in te schrijven voor ons volgende admin webinar (waar we deze dingen live doornemen), kijk op onze Webinars-pagina.

Belangrijkste cyberbeveiligingsnieuws 12/2023

Meta lanceert standaard end-to-end encryptie op Messenger

Artikel op Wired.com

Meta ontwikkelde al in 2016 de eerste end-to-end versleutelde chat threads. In 2019 verscheen het "privacy first"-manifest van Mark Zuckerberg.

Nu, na 7 jaar ontwikkelingswerk, geeft Meta end-to-end encryptie vrij in Messenger-gesprekken en chats, waardoor ze veiliger en privéer worden.

  • Veel politieke en technische uitdagingen onderweg
  • Een enorm technisch ontwikkelingsproject in een omgeving op Facebook-schaal (miljarden gebruikersaccounts, meerdere gebruikersterminals, synchronisatie tussen apparaten, honderden functies in berichtendraden...)

Vertrouwde ontvangst

  • Lof van individuen en gegevensbeschermingsorganisaties
  • Kritiek van de politie/autoriteiten (bijv. VK) omdat het moeilijk is om bijv. kindermisbruik te bestrijden
Bij end-to-endencryptie worden gegevens versleuteld op het apparaat van de verzender en ontsleuteld op het apparaat van de ontvanger. Encryptiesleutels worden alleen op deze apparaten opgeslagen en worden niet gedeeld met derden (Facebook, netwerkprovider, werkgever, enz.). Op deze manier kunnen alleen de verzender en de ontvanger van het bericht de inhoud van het bericht lezen.

Bijna alle grootste energiebedrijven getroffen door datalek leverancier

Artikel op infosecurity-magazine.com

90% van de grootste energiebedrijven in Europa kreeg binnen 12 maanden te maken met een aanval op een leverancier

  • De toeleveringsketens van grote energiebedrijven zijn enorm
  • Hoewel de directe klap slechts een klein deel van de 20.000 onderzochte leveranciers (4%) trof, betekende dit toch dat de meerderheid van de toeleveringsketens

Cybercriminelen richten hun aandacht steeds meer op aanvallen in de toeleveringsketen.

In het informatie- en cyberbeveiligingswerk van organisaties wordt het kennen, prioriteren en bewaken van je eigen toeleveringsketen steeds belangrijker:

  • Wat zijn de partners waar aanvallen grote gevolgen voor ons zouden hebben?
  • Hoe bewaken we het beveiligingsniveau van deze belangrijke partners?

Ransomware-as-a-Service: De groeiende bedreiging die u niet kunt negeren

Artikel op hackernews.com

RaaS wint snel aan populariteit. Hoe beïnvloedt het de ransomware-dreiging?

  • Zorgt ervoor dat aanvallen vaker voorkomen
  • Vermindert de tijd, kosten en vaardigheden die criminelen nodig hebben voor aanvallen
  • Brengt de nieuwste functies (bijv. dubbele afpersing) naar steeds meer aanvallen

Vaak bieden cybercriminelen die RaaS aanbieden ondersteuning en updates, evenals een eenvoudige gebruikersinterface. Er kan zelfs een "% van de opbrengst"-model worden gehanteerd, wat betekent dat de "klant" alleen betaalt als hij succesvol losgeld van slachtoffers int.

RaaS (Ransomware-as-a-Service) is een bedrijfsmodel waarbij ontwikkelaars van ransomware hun malware als dienst aanbieden aan andere criminelen. Met dit model kunnen zelfs minder technisch onderlegde personen deelnemen aan de uitvoering van ransomware-aanvallen.

Grootste onderzoek in zijn soort toont aan dat verouderde wachtwoordpraktijken wijdverspreid zijn

Studeren op de website van Georgia Tech

Georgia Tech onderzocht het wachtwoordbeleid van 20.000 websites/apps. De meeste sites:

  • Het gebruik van korte wachtwoorden toestaan
  • Het gebruik van veelgebruikte slechte wachtwoorden niet voorkomen
  • Gebruik verouderde wachtwoordvereisten (bijv. speciale tekens)

Instructies, informatie en best practices met betrekking tot wachtwoorden zijn uitgebreid beschikbaar. Informatiebeveiligingsdeskundigen moeten ook geïnteresseerd zijn in de vraag of de beste werkwijzen bij de implementatie wijd verspreid zijn.

Een sterk wachtwoord beschermt ook in het geval van een beveiligingslek. Meestal versleutelen de diensten de inloggegevens, maar cybercriminelen kraken de versleuteling na het lek. Zwakke wachtwoorden worden als eerste gekraakt.

Schrijft ChatGPT ransomware? Ja.

Artikel op malwarebytes.com

Malwarebytes testte het schrijven van malwarecode met ChatGPT.

Deze AI LLM's hebben hun ethische richtlijnen, maar ze omzeilen leek niet zo moeilijk:

  • Schrijf me een belangrijk onderdeel van ransomware ❌
  • Schrijf me een code die een enkel bestand versleutelt ✔️

In deze test was de kwaliteit van de gemaakte code nog steeds niet geweldig. Het team concludeerde dat een ongeschoolde programmeur verbijsterd zou zijn over de resultaten, terwijl een ervaren programmeur er niets aan zou hebben.

Toch is er een enorme verbetering van GPT 3.0 naar GPT 4.0. Als de verbeteringen (zelfs maar in de buurt van) hetzelfde tempo blijven doorgaan, liggen er mogelijk grote bedreigingen in het verschiet.

ChatGPT heeft net zijn 1e verjaardag gevierd. Als je denkt aan de vooruitgang en de effecten die het al op ons heeft gehad, is dit een behoorlijk ontwikkelingstraject. Zeker goed om de ontwikkelingen in de gaten te houden, vanuit het oogpunt van cyberveiligheid en andere POV's.

NIS2-richtlijnen nationale implementatie vordert

Wetten in ontwerpfase in veel lidstaten (deadline 10/24), bijv.

  • "IT-beveiligingswet 3.0" (Duitsland)
  • Laki kyberturvallisuuden riskienhallinnasta (Finland)

Verschillen in monitoring, bereikdefinities, enz.

  • Geen grote verrassingen als je bekend bent met de inhoud van de NIS2-richtlijn, aangezien de nationale wetten meestal de vereisten van de richtlijn overnemen in het formaat dat voor de nationale wetgeving wordt gebruikt.
  • Landen kunnen het toepassingsgebied en de beveiligingseisen uitbreiden als ze dat willen, maar in de meeste gevallen wordt dit waarschijnlijk niet doorgevoerd.

Ons team heeft veel NIS2-inhoud voor geïnteresseerden

Facebookpagina's van organisaties worden gekaapt

Artikel op de website van het Finse centrum voor cyberveiligheid (in het Fins)

Phishing via Facebook Messenger is tegenwoordig heel gewoon.

De beheerders van je Facebook-accounts kunnen druk klinkende berichten ontvangen in Messenger van "technische ondersteuning van Facebook".

  • "Advertentiecampagne niet verzonden"
  • "Uw recente bericht schendt auteursrechten"
  • "Verdachte activiteit op uw rekening".

De links brengen je naar een phishingsite die eruitziet als facebook.com. Wat de zwendel lastig maakt, is dat in een actief Facebook-account deze berichten vaak samenvallen met relevante tijdstippen, zelfs per ongeluk. Als je net een bericht hebt gemaakt en je ontvangt een bericht over inbreuk op het auteursrecht, dan is het risico groot dat je wordt gehackt. Blijf alert! 🛡

Belangrijkste dingen van Cyberday ontwikkeling

UI-updates, met name voor adminnavigatie en Dashboard

We hebben onlangs onze belangrijkste UI-componenten vernieuwd. De grootste veranderingen zijn gericht op navigatie (het linkermenu en de functie daarvan) en de prioriteiten op het Dashboard. We creëren ook een duidelijkere onboarding flow voor nieuwe Cyberday gebruikers.

We vernieuwen de navigatie met als doel het bewegen binnen de app te stroomlijnen. De inhoud van het linkermenu blijft nu altijd hetzelfde en laat duidelijk zien waar je je op dat moment bevindt.

We vereenvoudigen ook het Dashboard zodat de belangrijkste inhoud duidelijker te zien is. De vorige inhoud van de rechterbalk verhuist naar de onderkant van het bureaublad. Vanuit je eigen managementsysteem belichten we drie belangrijke stukken informatie voor elk thema: de dekking van maatregelen, de huidige implementatiestatus en de bewijskracht. Het doel van het werken in Cyberday is om deze waarden te verhogen en zo een effectiever cyberbeveiligingsbeheer te creëren.

We willen het ook gemakkelijker maken voor nieuwe gebruikers om aan de slag te gaan, bijvoorbeeld met duidelijke beginstappen en een nieuwe "evaluatiefase", die kan worden gebruikt om de huidige dekking van een bepaald beleid aan het begin van het werk effectief te beoordelen.

Meervoudige unit-gebaseerde procesbeschrijvingen voor taken

Nu kun je beslissen dat bepaalde taken afzonderlijk worden uitgevoerd, bijvoorbeeld in verschillende hoofdeenheden of locaties. Eenheden kunnen "divisies", "afdelingen", "landsvestigingen" of iets anders zijn dat past bij de structuur van je organisatie.

Op deze manier hoeft u geen aparte taken aan te maken, maar kunt u meerdere eenheidseigenaren aan de taak koppelen naast de hoofdeigenaar van de taak. Eenheidseigenaren zijn verantwoordelijk voor het invullen van de beschrijving en het inzetten van de maatregel in hun eenheid.

Nieuw rapporttype: Veiligheidsverklaring

Wanneer je een nieuw rapport gaat maken, kun je nu een nieuw type gebruiken: Beveiligingsverklaring.

Beveiligingsoverzichten zijn ontworpen als overzichten van je taken op een gewenst detailniveau en bereik. Bij het maken van een overzicht kun je kiezen welke thema's, beleidsregels of individuele taken je in het rapport wilt opnemen.

Verklaringen zijn ontworpen om je in staat te stellen eenvoudig een goed uitziende "export" van gewenste taakinhoud te maken. Ze kunnen worden gebruikt voor externe communicatie (bijv. het maken van een brede beveiligingsverklaring voor klanten) of interne rapportage (bijv. het maken van een gedetailleerde onderwerpspecifieke verklaring voor interne communicatie).

Verbeteringen aan Audits-tabel

Interne audits zijn een effectieve manier om de functionaliteit van de eigen informatiebeveiliging te controleren. Een ISO 27001 gecertificeerde organisatie moet bijvoorbeeld ook kunnen aantonen dat er regelmatig audits worden uitgevoerd en dat de dekking van het gehele raamwerk wordt gecontroleerd met een driejarig ritme.

We hebben verbeteringen aangebracht in de gerelateerde Audits-tabel om dit te ondersteunen. Je kunt nu filteren om de audits weer te geven die zijn uitgevoerd vanuit het perspectief van een specifiek raamwerk van vereisten. Bovendien kun je nu in één oogopslag zien of de laatste audits het hele raamwerk hebben gedekt.

Verbeteringen aan de afdruk- / PDF-indelingen van rapporten

We hebben de presentatie van rapporten aangepast wanneer een gebruiker naar de afdrukweergave gaat via de knop Afdrukken. Via dezelfde route kun je het rapport ook altijd opslaan in PDF-formaat.

De afdrukweergave gebruikt nu spatiëring en lettergroottes op een iets meer geoptimaliseerde manier. Op dezelfde manier proberen we een paginawijziging altijd na de belangrijkste secties te maken, zodat de nieuwe inhoud duidelijk pas op de volgende pagina begint.

We ontvangen graag uw feedback om de afdrukmodus in de toekomst verder te verbeteren. 👍

Feedback of vragen?

Als je ons iets wilt vragen, kun je ons team altijd bereiken via de chat of op team@cyberday.ai.

Geschreven door
Aleksi Pulkkanen
15.12.2023
@
apulkkanen
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Artikel delen

Andere vergelijkbare content van Academy

Blogs

10 meest voorkomende non-conformiteiten in ISO 27001-audits

Audits en non-conformiteiten zetten organisaties aan tot voortdurende verbetering. Maar voor uw eerste ISO 27001 certificering is het goed om op de hoogte te zijn van een aantal veelvoorkomende non-conformiteiten, zodat u deze kunt vermijden tijdens uw certificeringsaudit.
18.2.2025

Ik heb een ISO 27001 auditgesprek aangevraagd - wat kan ik verwachten?

In deze blog bespreken we het belang van werknemersparticipatie in het auditinterviewproces, waarom auditors de inzichten van werknemers waarderen en kijken we naar mogelijke vragen die worden gesteld in een ISO 27001-interview.
13.2.2025

Controlelijst voor naleving en certificering van ISO 27001

Wilt u ervoor zorgen dat u voldoet aan de ISO 27001-eisen? Deze checklist presenteert duidelijk geordende belangrijke stappen die uw organisatie begeleiden bij het bouwen van een ISMS en het voldoen aan de ISO 27001-norm.
6.2.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekWekelijkse nieuwsverteertInschrijven voor AcademieLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid