Informatieveiligheid meer dan ooit nodig

We drukken elke dag documenten af zonder nadenken. We kopiëren of versturen persoonsgegevens zonder beveiliging. We gebruiken, een weliswaar complex, wachtwoord voor vele toepassingen maar zetten ondoordacht vertrouwelijke documenten op Dropbox of Google Drive of versturen ze via WeTransfer zonder na te denken waar onze documenten bewaard worden.

De Europese, federale en Vlaamse overheden stellen echter steeds strengere eisen aan de bescherming van de persoonsgegevens van natuurlijke personen.

Vaak is de aandacht bij lokale besturen erg beperkt. Nog te veel  besturen zijn helemaal niet in orde of beperken zich tot enkele formele maatregelen. Informatieveiligheid kan volgens ons bijdragen aan efficiëntie en openheid van uw werking.

Factuurfraude

Factuurfraude

Factuurfraude

 

Recent werd Stad Deinze opgelicht voor 400.000 euro door factuurfraude.
Wij delen graag de tips van FOD Economie om factuurfraude te voorkomen.

Wat kan uw bedrijf doen om niet in de val te lopen?
  • Vergelijk het rekeningnummer op de factuur met het rekeningnummer op de bestelbon of officiële website van de leverancier.
  • Wees extra waakzaam als een factuur een nieuw rekeningnummer vermeldt of als er een sticker “Opgelet, gewijzigd rekeningnummer” op de enveloppe of op de factuur kleeft. Ook als het de eerste factuur is die u ontvangt van een leverancier, neemt u best even de tijd het rekeningnummer na te kijken vooraleer u betaalt.
  • Bel in geval van twijfel uw leverancier op via een nummer dat u kent (het nummer op de factuur kan ook vervalst zijn).
  • Bewaar de gegevens en het bankrekeningnummer van uw leveranciers, ook als u via e-banking betaalt. Als u een nieuwe factuur ontvangt, kijk na of het rekeningnummer overeenkomt met de opgeslagen gegevens.
  • Link in uw boekhoudsysteem rekeningnummers aan bedrijven. Als u een factuur ontvangt met een ander rekeningnummer, krijgt u daar automatisch melding van. Neem contact op met uw leverancier en vraag of de wijziging klopt.
  • Wees op uw hoede als er een kleine week (of meer) verschil is tussen de verzenddatum van de factuur en de datum waarop u ze ontvangt.  Dat is de tijd die oplichters gebruiken om de factuur te vervalsen.
  • Betaal nooit een factuur of rekening die er verdacht uitziet zonder dat u goed hebt gecontroleerd of u bij dat bedrijf iets hebt besteld.
  • Als u een factuur per e-mail ontvangt, controleer of het e-mailadres correct is. In geval van twijfel, kunt u ook het IP-adres van waaruit de e-mail werd verzonden nagaan via www.whois.com
Wat kunt u doen als u een vervalste factuur betaalde?
  • Neem eerst eens contact op met de leverancier. Misschien is er gewoon een vergissing in het spel en heeft hij onterecht een aanmaning of betalingsherinnering gestuurd.
  • Is dat niet het geval, contacteer dan zo snel mogelijk de betrokken banken (uw bank en de bank van het rekeningnummer naar waar u hebt overgeschreven) om de fraude te melden. Uw bank vraagt aan de bank van het rekeningnummer van de oplichters om het geld terug te storten. Deze bank tracht  ook de overschrijving te blokkeren of blokkeert de rekening zodat geldafhalingen door de oplichters niet meer mogelijk is.
  • Meld het op meldpunt.belgie.be (optie “vervalste factuur”). U krijgt aan het einde van uw melding meteen advies en informatie over welke stappen uw bedrijf nog kan ondernemen en wie u daarbij kan helpen.
Meer weten? Surf dan zeker eens naar volgende link.
 

Phishing

Phishing

Phishing

 

Uit onderzoek blijkt  dat datalekken voornamelijk voortkomen uit menselijke fouten. Phishing is één van de grootste gevaren om dergelijke fouten uit te lokken. Digitale oplichting, hacking, .. het is een ware illegale industrie waar veel geld mee te verdienen valt.

Tegenwoordig komen dergelijke phishing campagnes meer en meer voor waarbij vooral dienst financiën en de algemeen directeur getarget worden. Veelal ontvangt u een aannemelijke uitziende mail van een vertrouwde afzender of een collega die u bijvoorbeeld uitnodigt op een link te klikken of een bijlage te openen of iets te doen wat met uw werk te maken heeft. Niet noodzakelijk, maar regelmatig, wordt u verzocht vertrouwelijke aanmeldgegevens in te geven op een website die veel gelijkenissen vertoont met een vertrouwde website.

Het is belangrijk om u te wapenen tegen dergelijk misbruik. Daarom kan u best eens een kijkje nemen op de interessante website https://www.safeonweb.be/nl. Op de link https://www.safeonweb.be/nl/hoe-veilig-ben-jij kan u zelf een aantal tests doorlopen om te kijken hoe goed u zelf ben in het tijdig herkennen van verdachte berichten.
Hou altijd in het achterhoofd dat cybercriminelen misbruik proberen te maken van iets waar u in gelooft of van iemand die u in vertrouwt. Ze proberen vaak ook in te spelen op angst, laat u niet vangen!

Hieronder vindt u alvast een aantal tips om te beoordelen of u een bericht kan vertrouwen.

Vindt u een mail of telefoontje verdacht? Beantwoord dan deze vragen:

  • Is het onverwacht?
    • Krijg je zonder reden een bericht van deze afzender: u kocht niets, had lang geen contact, etc. Controleer zeker verder
  • Is het dringend?
    • Hou uw hoofd koel: kreeg u echt een eerste aanmaning tot betaling? Kent u 'die vriend in nood' wel?
  • Kent u de afzender?
    • Controleer het e-mailadres, ook op spellingsfouten. Maar let op: een legitiem e-mailadres is geen garantie
  • Vindt u de vraag vreemd?
    • Een officiële instantie zal u nooit via mail, sms of telefoon vragen om uw wachtwoord, bankgegevens of persoonlijke gegevens.
  • Naar waar leidt de link waar u moet op klikken?
    • Zweef met uw muis over de link. Is de domeinnaam, het woord voor .be, .com, .eu, .org... en voor de allereerste slash "/", ook echt de naam van de organisatie?
      • Bij de link www.safeonweb.be/tips is het domein safeonweb
      • Bij de link www.safeonweb.tips.be/safeonweb is ‘tips’ het domein en word je naar een andere website geleid.
  • Wordt u persoonlijk aangesproken?
    • Berichten met algemene en vage aanspreektitels, of uw mailadres als aanspreking, die wantrouwt u beter.
  • Bevat het bericht veel taalfouten?
    • Ook al zorgen doorgewinterde cybercriminelen voor correcte taal, taalfouten of een vreemde taal kunnen wijzen op een verdacht bericht.
  • Zit het bericht in uw Spam/Junk folder?
    • Indien ja, wees extra voorzichtig. U kan ook zelf verdachte berichten markeren als Spam of Junk en zo anderen waarschuwen.
  • Probeert iemand u nieuwsgierig te maken?
    • Iedereen zou nieuwsgierig worden bij berichten met een link als "Kijk wat ik over jou las ..." of "Ben jij dit op deze foto?", maar laat u niet vangen.
  • Moet u iets betalen met een anonieme of ongebruikelijke betaalmethode?
    • Denk aan Paypal, Western Union, 3V Payment Group, enz. Doe dit niet zomaar.
  • Wat als u twijfelt?
    • Het is beter om op uw hoede te zijn. Als u twijfelt, open dan zeker geen links of bijlagen en neem contact op met de afzender op een andere manier.


Bij ontvangst van een vals bericht kan u de volgende acties nemen:

  • Klik niet op de links, maar zoek de website op via een zoekmachine.
  • Stuur het bericht niet door naar uw contacten.
  • Vul zeker nooit persoonlijke gegevens in.
  • Meld het incident volgens de voorziene procedure van uw organisatie
  • Stuur het door naar verdacht@safeonweb.be.
  • U kan het ook doorsturen naar de organisatie zelf.


Indien u te laat bent en uw gegevens reeds heeft doorgegeven?

  • Meld het incident volgens de voorziene procedure van uw organisatie
  • Waarschuw uw vrienden dat u hen een vals bericht heeft doorgestuurd.
  • Als u een wachtwoord hebt doorgegeven, dat u ook op andere plaatsen gebruikt, verander het dan onmiddellijk.
  • Als u uw creditcardgegevens hebt doorgegeven, verwittigt u onmiddellijk Cardstop (www.cardstop.be of 070 344 344)

 

 

 

 

Bron: https://www.safeonweb.be/nl/leer-valse-mails-herkennen

Samen op weg richting vereisten van de GDPR

Inwoners hebben vertrouwen in de lokale besturen. Ze rekenen op ambtenaren die vertrouwelijk en integer omgaan met hun persoonlijke informatie. Vandaag begeleidt C-smart een veertigtal gemeenten en OCMW’s in het beschermen van hun gegevens. De ISO27K-normen, de richtsnoeren voor gemeenten en OCMW’s van de privacycommissie en de geactualiseerde veiligheidsnormen van de Kruispuntbank Sociale Zekerheid hebben het kader van gegevensbescherming jarenlang bepaald.

Vanaf mei 2018 ondergaat dit kader een grondige facelift. De Europese General Data Protection Regulation (GDPR), ook wel Algemene Verordening Gegevensbescherming (AVG) genoemd, legt juridisch afdwingbare verplichtingen op aan de lokale besturen. Gemeenten, OCMW’s, politie- en hulpverleningszones dienen een informatieveiligheidsbeleid te voeren conform aan deze nieuwe verordening. 

Het goede nieuws is dat de besturen die de normering vanuit de privacycommissie volgen al een flink eind op de goede weg zijn. Toch zijn er enkele belangrijke accentverschuivingen met juridische en organisatorische impact.

Met de GDPR wordt het beschermen van persoonsgegevens juridisch afdwingbaar. Besturen hebben een verantwoordingsplicht. Ze moeten kunnen bewijzen dat ze conform de regels werken.

U bent als bestuur verwerkersverantwoordelijke. Andere partijen die ten behoeve van uw bestuur data verwerken (verwerkers) dienen door u gehouden te worden aan dezelfde beveiligingsvereisten die voor u van toepassing zijn.

Daarnaast moet u kunnen aantonen dat u over een dataregister beschikt. Hiermee kan u aantonen  dat u weet welke persoonsgegevens uw diensten verwerken. U kent de reden van verwerking, u weet wie de data verwerkt (m.a.w. wie er toegang toe heeft), wat de bron is van de data, waar u de data bewaart en hoe u ze beveiligt. Het dataregister wordt door de toezichthoudende autoriteit ter controle opgevraagd.   

Bovendien dient het bestuur binnen de 72u iedere inbreuk in verband met persoonsgegevens te melden aan de toezichthoudende autoriteit. Wanneer de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, worden de betrokkenen ingelicht over de inbreuk. De toezichthoudende autoriteit kan de VWV verplichten om de inbreuken openbaar te maken.

En last but not least is er de verplichting om gegevensbeschermingeffectenbeoordelingen uit te voeren. De toezichthoudende autoriteit stelt een lijst samen van gevallen waarin zo’n beoordeling noodzakelijk is.

Kortom, wat voorheen richtsnoeren waren die niet wettelijk konden gehandhaafd worden, veranderen met enkele accentverschuivingen in juridisch afdwingbare wetgeving.

Ons advies is dat u vandaag start met de voorbereiding op de GDPR. Documenteer uw databeheer in een dataregister. Doe een gegevensbeschermingseffectbeoordeling bij de diensten waar u een verhoogd risico op incidenten verwacht. Formaliseer de relatie tussen u, als verwerkersverantwoordelijke, en uw verwerker(s).  Neem op basis van deze beoordeling gerichte beveiligingsmaatregelen. En organiseer uw incidentenbeheer.

Wacht niet meer. Het is tijd voor actie. 

 

Informatieveiligheid, waar zit de meerwaarde?

Lock pc

Gemeenten, OCMW's, brandweer- en politiezones hebben wel belangrijker zaken te verrichten dan zich bezig te houden met informatieveiligheid. De extra ballast van een heleboel strenge regels in tijden van besparingen kunnen ze wel missen. Bovendien neemt het tijd in beslag. De Vlaamse toezichtcommissie verwacht dat u als bestuur er minstens 4u per week, dat is 26 dagen op jaarbasis, mee bezig bent.  Bovendien moet u een medewerker of externe, die onafhankelijk en neutraal is, aanstellen als veiligheidsconsulent. Tijd en geld gaan verloren. En waarom?

Omdat het moet van Europa, België en Vlaanderen, zeggen veel mandatarissen. De financieel beheerders daarentegen zien dit met lede ogen aan. Zij verwachten voor al die tijd en al dat geld een return voor de organisatie, het personeel en als het even kan ook voor de burger en de lokale bedrijven.

Uit ervaring weten we dat gemeenten zich in eerste instantie in regel willen stellen met de wetgeving. Alleen dan ontvangen ze de machtigingen om te kunnen werken met het rijksregister, de dienst voor inschrijvingen van voertuigen (DIV), E-birth, enzovoort. Het traject hiernaartoe, risicoanalyse, opmaak veiligheidsplan, aanstelling veiligheidsconsulent, oprichting informatieveiligheidsteam (beheersysteem), doet bij heel wat besturen ideeën groeien om informatieveiligheid te gebruiken als hefboom voor interne organisatorische verbeteringen.

Het idee dat informatieveiligheid moet, verandert in het geloof dat informatieveiligheid de organisatie versterkt.

De meerwaarde manifesteert zich op verschillende domeinen. Ten eerste verbeteren uw interne afspraken over het bewaren, verwerken en delen van informatie. Hierdoor vindt u makkelijker info terug, sluipen er minder snel fouten in de verwerking en heeft u een goed werkend e-loket.

Dit heeft een direct effect op de doorlooptijd en afhandeling van aanvragen van klanten. Die zullen sneller en correcter gebeuren, met hogere klantentevredenheid tot gevolg. 

Door na te denken over wie er recht heeft op welke informatie, gaat u de rollen en bevoegdheden binnen uw bestuur helderder krijgen. Medewerkers weten zo duidelijk wat van hen verwacht wordt en welke verantwoordelijkheden ze van het bestuur krijgen om hun opdracht(en) uit te voeren. Dit biedt een goede basis voor individuele aansturing.

Evident zijn een betere beveiliging van de gebouwen, uw apparatuur en ICT-netwerk.

Bovendien zal de dienstcontinuïteit beter gewaarborgd zijn. Informatieveiligheid betekent namelijk ook dat uw informatie continu beschikbaar is. Voor éénmansdiensten moet er een back-up geregeld zijn tijdens verlofperiodes. En na een brand of stroompanne, zal u een bedrijfscontinuïteitplan hebben dat u stap voor stap de weg aangeeft hoe terug op te starten. 

Bij de opmaak van zo’n bedrijfscontinuïteitsplan worden bestaande processen geoptimaliseerd (vereenvoudigd) zodat een snelle opstart mogelijk is, startend met dienstverlening in volgorde van belangrijkheid.  

Ten slotte is het beheersysteem van informatieveiligheid gebouwd op projectmatig werken, communicatie, draagvlakcreatie, een cultuur van continu verbeteren en een sterk middenkader dat medewerkers coacht en bijstuurt. Dit zijn handvaten die bijdragen tot het succesvol beheren van uw organisatie.

Wanneer u dan ook nog eens uw inspanningen rond het beveiligen van uw informatie extern in de verf zet, dan creëert u voor uw bestuur een professioneel imago dat vertrouwen uitstraalt. Burger, bedrijven en andere overheden zullen u als een betrouwbare en integere partner beschouwen.  Een partner waar ze altijd op kunnen rekenen.