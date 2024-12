rm -rf 2024 en mkdir 2025. Security.NL wenst iedereen traditiegetrouw een gelukkig en veilig nieuwjaar. Het afgelopen jaar liet vooral zien dat als het om security en privacy gaat 'meer van hetzelfde' erg van toepassing is. Kwetsbare en gecompromitteerde systemen als gevolg van standaard wachtwoorden, misbruik van een beveiligingslek in zakelijke file sharing software en cross-site scripting en SQL-Injection die wederom in de Top 3 van gevaarlijkste kwetsbaarheden staan.

In juni claimden criminelen gegevens van 560 miljoen Ticketmaster-klanten te hebben gestolen. Later erkende Ticketmaster dat aanvallers de Snowflake-omgeving hadden gecompromitteerd. Ook bij andere bedrijven kregen aanvallers toegang tot de Snowflake-omgeving, waarin grote hoeveelheden persoonsgegevens bleken te staan. De toegang was mogelijk doordat medewerkers malware hadden gedownload waarmee Snowflake-inloggegevens waren gestolen. De malware zat onder andere in illegale software.

Verder waren datalekken en privacyschendingen aan de orde van de dag. De bekende privacyactivist Max Schrems stelde dat privacytoezichthouder de AVG strenger moeten handhaven, omdat het schenden van de privacywet nauwelijks gevolgen heeft. Schrems merkte zelfs op dat deze cultuur van het niet naleven nu ook op juridische conferenties zichtbaar wordt. Zo stellen advocaten op het podium dat er niets zal gebeuren als de AVG wordt overtreden, liet de privacyactivist weten.

Gegevens worden steeds vaker op grote schaal verzameld. Zo meldde de CCC dat Volkswagen de locatiegegevens van honderdduizenden auto's bewaart en moeten burgers straks twee keer bezwaar maken tegen het gebruik van hun gegevens in het EHDS. Het Amerikaanse zorg-IT-bedrijf Change Healthcare kreeg via een ransomware-aanval met het grootste zorggerelateerde datalek in de geschiedenis van de VS te maken, toen informatie van honderd miljoen mensen werd gestolen. In Nederland meldde politie dat de global address list met Outlook-visitekaartjes van 62.000 agenten was buitgemaakt.

Chatcontrole

Een ander onderwerp dat voor veel reacties zorgde is het plan van de Europese Commissie voor het invoeren van chatcontrole , waarbij chatberichten van burgers gecontroleerd worden. De EU-landen moeten nog een positie innemen. Verschillende stemmingen gingen dit jaar niet door, omdat er onvoldoende voorstemmers waren. Nederland liet weten geen Europese voorstellen te steunen die client-side scanning invoeren en verplichte detectie in de privécommunicatie van alle burgers inhouden. Het kabinet wilde echter niet tegen de voorstellen van EU-voorzitters België en Hongarije stemmen, maar gaf aan zich van stemming te zullen onthouden.

De afgelopen maanden verscheen ook het onderwerp online leeftijdsverificatie weer op de politieke agenda. Zo stemde een meerderheid in de Tweede Kamer voor een motie van ChristenUnie en Nieuw Sociaal Contract (NSC) voor het wettelijk borgen van 'privacyvriendelijke en betrouwbare leeftijdsverificatie' voor het bezoeken van gok- en pornografische websites. De Europese Commissie startte een aanbesteding voor 'privacyvriendelijke' online leeftijdsverificatie.

CrowdStrike, NAFIN en Microsoft

De defecte update van securitybedrijf CrowdStrike , die wereldwijd voor problemen zorgde, mag ook niet ontbreken als het gaat om de gebeurtenissen van 2024. Net als de storing in het Defensienetwerk NAFIN . Microsoft kwam ook meerdere keren negatief in het nieuws, onder andere over de omstreden Recall-feature van Windows en een zeer kritisch rapport van het Amerikaanse Cyber Safety Review Board (CSRB), dat de securitycultuur bij het techbedrijf inadequaat is en het mogelijk maakte voor aanvallers om in 2023 e-mail van de Amerikaanse overheid te stelen. Begin dit jaar moest Microsoft melden dat bij een andere aanval wederom e-mails van de Amerikaanse overheid en bedrijven waren gestolen.

Welke datalekken zich dit jaar ook zullen voordoen, de beveiligingsincidenten die ongetwijfeld zullen plaatsvinden, het niet opgevolgde beveiligingsadvies of de voorstellen die privacy of security zullen raken, zoals elk jaar zal Security.NL ook in 2025 weer dagelijks met hart en ziel het laatste nieuws over security en privacy brengen.