Overview of cybersecurity relevant European laws, directives, regulations and policies…

1. Credits
2. Applicability to your business
3. More info on the list below
4. Difference between EU Directive and EU Regulation
5. EU primary law
   1. CFREU (Charter of Fundamental Rights of the EU)
   2. ECHR (European Convention of Human Rights)
6. Regulations and directives
   1. GDPR Regulation
   2. The NIS 2 Directive
      1. The NIS 1 Directive (repealed by NIS 2)
   3. The Digital Operational Resilience Act (DORA) – Financial sector
   4. The Critical Entities Resilience Directive (CER)
   5. EU Digital Services Act (DSA)
   6. EU Digital Markets Act (DMA)
   7. Directive on attacks against information systems
   8. European Data Governance Act (DGA)
   9. European ePrivacy directive
      1. Current versions (updated 2009)
   10. European Cyber Defence Policy
   11. EU Cyber Diplomacy Toolbox
   12. Cybersecurity Act (EU 881 / 2019) 
   13. Cybersecurity services for Radio Equipment Directive (RED)
   14. Medical Devices Regulation
   15. eIDAS Regulation (see Art 19(1))
   16. Digital Content Directive (DCD) (see Arts 7 and 8)
   17. European Communications Code (ECC) (see Art 40(1))
   18. Regulation 2021/887 establishing the European Cybersecurity Industrial, Technology and Research Competence Centre and the Network of National Coordination Centres
   19. Intelligent Transport Systems  (ITS) directive (2010/40/EU)
7. EU strategy documents
   1. The Strategic Compass of the European Union
   2. A European strategy on Cooperative Intelligent Transport Systems
   3. AI Strategy
8. Recommendations
   1. Recommendation on coordinated response to large-scale cybersecurity incidents and crises
9. Other proposed and upcomping acts
   1. (Proposal) EU Cyber Resilience Act (CRA)
   2. Proposed EU Cyber Solidarity initiative and cyber reserve
   3. (Proposal) Artificial Intelligence Act (AIA)
   4. (Proposal) European Data Act
   5. The proposed Machinery Reg (see Annex III)
   6. (Proposal) European Health Data Space (EHDS)
   7. (Draft/proposal) European Chips Act
10. Some more great stuff
11. Your feedback and suggestions

Credits

Georg Philip Krog started a post on LinkedIN with an interesting overview of EU policies, directives and regulations…

While the post is still under development (and growing), it might be interesting to get some more information on the list that Georg Philip created.

Furthermore the original list is not clear on which legislation is in force or in proposal / draft state.

Applicability to your business

Please consider that many of the rules and regulations below might apply directly to your business.

If not , then you might be impacted indirectly via the supply chain where your customer or supplier is impacted by the legislations. In that case, it’s very likely that you will be forced to apply the rules by delegation or obligation of your customer/supplier.

In many cased the supply chain security will impose these rules to you, one way or another. Be ready.

The chapters below contain, in most cases, a short description or extract of introduction to evaluate what

• the act is about and
• if it applies to your business

More info on the list below

The list below is not maintaining the same positioning as originally posted by Georg Philip.

There is a split in

• laws, regulations and directives focusing on cybersecurity
• strategy documents & EU policies
• proposed (not yet active) laws

Difference between EU Directive and EU Regulation

Source: https://european-union.europa.eu/institutions-law-budget/law/types-legislation_en

A “regulation” is a binding legislative act. It must be applied in its entirety across the EU.

For example: GDPR (General Data Protection Regulation

A “directive” is a legislative act that sets out a goal that all EU countries must achieve. However, it is up to the individual countries to devise their own laws on how to reach these goals.

EU primary law

CFREU (Charter of Fundamental Rights of the EU)

Reference by Georg Philip: Articles 7 and 8 CFREU

Article 7 – Respect for private and family life

“1. Everyone has the right to respect for his private and family life, his home and his correspondence.
2. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.”

Article 8 – Protection of personal data

“1. Everyone has the right to the protection of personal data concerning him or her.
2. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.
3. Compliance with these rules shall be subject to control by an independent authority.”

Source :

• http://fra.europa.eu/en/eu-charter/article/7-respect-private-and-family-life
• http://fra.europa.eu/en/eu-charter/article/8-protection-personal-data

ECHR (European Convention of Human Rights)

Art 8 ECHR:
Source: Guide on Article 8 of the European Convention on Human Rights

Regulations and directives

GDPR Regulation

Code number: Regulation 2016/679

Source: https://eur-lex.europa.eu/eli/reg/2016/679/oj

The NIS 2 Directive

Code number: EU Directive 2022/2555

Source: https://eur-lex.europa.eu/eli/dir/2022/2555/oj

Important note, the NIS 2 Directive is repealing NIS (also called NIS 1 now)

The NIS 1 Directive (repealed by NIS 2)

Code number : Directive 2016/1148

Source: http://data.europa.eu/eli/dir/2016/1148/oj

The Digital Operational Resilience Act (DORA) – Financial sector

Code name: EU Directive 2022/2554

Source: https://eur-lex.europa.eu/eli/reg/2022/2554/oj

DORA =  digital operational resilience for the financial sector

More info and interesting reads:

• https://www.riskinsight-wavestone.com/en/2023/02/dora-challenges-and-opportunities/

The Critical Entities Resilience Directive (CER)

Code name : EU Directive 2022/2557

http://data.europa.eu/eli/dir/2022/2557/oj

EU Digital Services Act (DSA)

Code: Regulation 2022/2065

Source: http://data.europa.eu/eli/reg/2022/2065/oj

More Info: https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package

“The Digital Services Act (DSA) and the Digital Market Act (DMA) form a single set of rules that apply across the whole EU. They have two main goals:

1. to create a safer digital space in which the fundamental rights of all users of digital services are protected;
2. to establish a level playing field to foster innovation, growth, and competitiveness, both in the European Single Market and globally.”

EU Digital Markets Act (DMA)

Code: Directive 2020/1828

Source: https://eur-lex.europa.eu/eli/dir/2020/1828/oj

“The Digital Markets Act (DMA) establishes a set of narrowly defined objective criteria for qualifying a large online platform as a so-called “gatekeeper”. This allows the DMA to remain well targeted to the problem that it aims to tackle as regards large, systemic online platforms.

These criteria will be met if a company:

• has a strong economic position, significant impact on the internal market and is active in multiple EU countries
• has a strong intermediation position, meaning that it links a large user base to a large number of businesses
• has (or is about to have) an entrenched and durable position in the market, meaning that it is stable over time if the company met the two criteria above in each of the last three financial years”

Directive on attacks against information systems

Code number: Directive 2013/40/EU

Source: https://eur-lex.europa.eu/eli/dir/2013/40/oj

European Data Governance Act (DGA)

Code number: Regulation (EU) 2022/868 

Source: http://data.europa.eu/eli/reg/2022/868/oj

More info : https://digital-strategy.ec.europa.eu/en/policies/data-governance-act

Article 1

“1.   This Regulation lays down:

(a)	conditions for the re-use, within the Union, of certain categories of data held by public sector bodies;

(b)	a notification and supervisory framework for the provision of data intermediation services;

(c)	a framework for voluntary registration of entities which collect and process data made available for altruistic purposes; and

(d)	a framework for the establishment of a European Data Innovation Board.

“

European ePrivacy directive

Original Code number: Directive 2002/58/EC

Source: http://data.europa.eu/eli/dir/2002/58/oj

Ammended :

• DIRECTIVE 2006/24/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 15 March 2006

• DIRECTIVE 2009/136/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL Text with EEA relevance of 25 November 2009
• Corrigendum, OJ L 241, 10.9.2013, p. 9  (2009/136)

Current versions (updated 2009)

http://data.europa.eu/eli/dir/2002/58/2009-12-19

European Cyber Defence Policy

Source: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_6642

More info: https://ccdcoe.org/incyder-articles/eu-cyber-defence-policy-framework-presents-more-than-40-action-measures/

EU Cyber Diplomacy Toolbox

https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2020)651937

https://www.consilium.europa.eu/en/press/press-releases/2017/06/19/cyber-diplomacy-toolbox/

More info: https://www.enisa.europa.eu/events/artificial-intelligence-an-opportunity-for-the-eu-cyber-crisis-management/workshop-presentations/20190603-eeas-eu-cyber-diplomacy-toolbox.pdf/view

Cybersecurity Act (EU 881 / 2019) 

Code: Regulation (EU) 2019/881

Source:  http://data.europa.eu/eli/reg/2019/881/oj

Cybersecurity services for Radio Equipment Directive (RED)

Code name: Directive 2014/53/EU

Source: http://data.europa.eu/eli/dir/2014/53/oj

More info: https://single-market-economy.ec.europa.eu/sectors/electrical-and-electronic-engineering-industries-eei/radio-equipment-directive-red_en

Medical Devices Regulation

(see Art 10(1), together with paragraph 17(2) in Annex I)

Code: Regulation (EU) 2017/745

Source: http://data.europa.eu/eli/reg/2017/745/oj

eIDAS Regulation (see Art 19(1))

Code name: Regulation 910/2014,

eIDAS = Regulation on electronic identification and trust services (EIDAS)

Source: https://eur-lex.europa.eu/eli/reg/2014/910/oj

Digital Content Directive (DCD) (see Arts 7 and 8)

Code name: Directive (EU) 2019/770 

Source: http://data.europa.eu/eli/dir/2019/770/oj

European Communications Code (ECC) (see Art 40(1))

Code: Directive 2018/1972

Source: http://data.europa.eu/eli/dir/2018/1972/oj

Regulation 2021/887 establishing the European Cybersecurity Industrial, Technology and Research Competence Centre and the Network of National Coordination Centres

Source: https://eur-lex.europa.eu/eli/reg/2021/887/oj

Special reference by Georg Philip: Art 4(2)(b)

“

Article 4

Objectives of the Competence Centre

1.   The Competence Centre shall have the overall objective of promoting research, innovation and deployment in the area of cybersecurity in order to fulfil the mission as set out in Article 3.

2.   The Competence Centre shall have the following specific objectives:

(a)	enhancing cybersecurity capacities, capabilities, knowledge and infrastructure for the benefit of industry, in particular SMEs, research communities, the public sector and civil society, as appropriate;

(b)	promoting cybersecurity resilience, the uptake of cybersecurity best practices, the principle of security by design, and the certification of the security of digital products and services, in a manner that complements the efforts of other public entities;

(c)	contributing to a strong European cybersecurity ecosystem which brings together all relevant stakeholders

“

Intelligent Transport Systems  (ITS) directive (2010/40/EU)

under revision 2021/0419(COD): https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=COM%3A2021%3A813%3AFIN

Code: Directive 2010/40/EU

Source: http://data.europa.eu/eli/dir/2010/40/oj

EU strategy documents

The Strategic Compass of the European Union

https://www.eeas.europa.eu/eeas/strategic-compass-security-and-defence-1_en

A European strategy on Cooperative Intelligent Transport Systems

Source: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52016DC0766

AI Strategy

European AI Strategy

Recommendations

NIS 2 also points to some interesting references like the one below.

EC recommendation 2017/1584	Recommendation on coordinated response to large-scale cybersecurity incidents and crises	http://data.europa.eu/eli/reco/2017/1584/oj
Regulation 2019/881	Regulation on information and communications technology cybersecurity certification	http://data.europa.eu/eli/reg/2019/881/oj
EC recommendation 2019/534	Recommendation on Cybersecurity of 5G networks	http://data.europa.eu/eli/reco/2019/534/oj

Recommendation on coordinated response to large-scale cybersecurity incidents and crises

Code number: EC recommendation 2017/1584

Source: http://data.europa.eu/eli/reco/2017/1584/oj

Other proposed and upcomping acts

(Proposal) EU Cyber Resilience Act (CRA)

Code name: Regulation 2019/1020

Source: http://data.europa.eu/eli/reg/2019/1020/oj

More info: https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2022/0272(COD)&l=en

More info: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

“The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products.”

Proposed EU Cyber Solidarity initiative and cyber reserve

More info: https://www.euractiv.com/section/cybersecurity/news/eu-sets-out-plan-for-cyber-defence-policy/

(Proposal) Artificial Intelligence Act (AIA)

Source: https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-laying-down-harmonised-rules-artificial-intelligence

More info: https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence

(Proposal) European Data Act

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52022PC0068

More info:

• (2023-03-14) https://www.euractiv.com/section/data-privacy/news/eu-lawmakers-formalise-position-on-the-data-act-in-plenary-vote/
• (2023-05-16) https://www.euractiv.com/section/data-privacy/news/data-act-trade-secret-safeguards-shall-be-exception-not-rule-commission-says/

The proposed Machinery Reg (see Annex III)

Source: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7741

(Proposal) European Health Data Space (EHDS)

Source: https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_2712

EHDS “is a health-specific data sharing framework establishing clear rules, common standards and practices, infrastructures and a governance framework for the use of electronic health data by patients and for research, innovation, policy making, patient safety, statistics or regulatory purposes“

(Draft/proposal) European Chips Act

EU information: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-chips-act_en

Info: https://sciencebusiness.net/news/ICT/act-three-chips-act-heads-negotiation-phase

Some more great stuff

You don’t want to miss this chart, compiled by Nicolas Amaye.

Source: this LinkedIN post by Nicolas Ameye (PDF orginal download source here)

1679896190732[1]Download

Your feedback and suggestions

As legislation is continuously on the move, this article is never finished.
If you have great ideas to add, feedback or suggestions, let me know.

Note-to-self: CIS Controls v8 (2021-05)

No need to pay with your privacy to bypass the registration wall… (no need to accept cookies either)

CIS Controls v8 PDF

https://learn.cisecurity.org/l/799323/2021-05-18/47qgs

CIS Controls v8 Excel

https://learn.cisecurity.org/l/799323/2021-05-18/47qgv

v8 Change Log

https://learn.cisecurity.org/l/799323/2021-05-18/47qgz

Also available

Translations

Italian, Portuguese, Japanese, Spanish:

https://learn.cisecurity.org/control-download

Is “not paying” THE solution against ransomware?

The discussion and opinions on paying ransom in case of cyber-ransomware is very alive and vivid.

Many people have strong opinions, but the actual victims of ransomware are seldom heard. They mostly keep silent.

This article is the English translation and adaptation of an article, originally published in Dutch, earlier.

(Source) Initial article in Dutch : https://identityunderground.wordpress.com/2021/07/30/de-oplossing-tegen-ransomware-volgens-brian/

In Trends magazine, Brian Schippers published an opinion article a few days ago with a very easy and simple solution against ransomware: don’t pay. (Source: Trends)

I must admit, it’s a great opinion article to get a nice discussion going with companies. At least it helps to raise awareness of ransomware and ransom payments. But unfortunately the article is not a Greek ancient-wise talk [σοφςς].

But he’s right about the reprehensible statements made by some of the ransomware victims. It is outrageous that a company dares to claim that ‘only’ 300K has been paid.

(translated quote) “We understand that we are suffering reputation damage, but we can’t be blamed,” the company manager told reporters. That statement in the press will haunt him for a while.

And it’s not the first time we’ve witnessed such statements. For another company from the Westhoek (Western Belgian Region, near the coast) , it was “less than 1 million”…

It’s very meaningful, how little business leaders worry about ransomware or how careless they can be to protect their business.

And Brian puts forward a very nice theory how to stop ransomware, … in the ideal world.

But unfortunately, the article does not show in any way that the opinion-maker, in real life, has ever been on the side of a defenseless victim who is completely under the control of some remote criminal.

Because the choice to (NOT) pay a ransom is only available if you have a well-functioning and thoroughly tested backup and restore system.

At that moment, when it happens, all preventive measures have clearly failed already. Way too late to have regrets…

Prevention only works BEFORE the criminal strikes. Or when he has left again, to avoid repetition.

People do not choose to pay ransomware. It’s the last resort.

They just have no choice. All other means are already exhausted or unavailable.

You don’t pay a ransom if your backup/restore system works properly.

Without a guaranteed recovery function, mathematics is very simple

If you

• DO NOT pay =  100% GUARANTEE that you LOSE your DATA and you’re almost certain that your company will also be dead very quickly, or at least suffer long-term or irreparable damage.
• PAY = there is SOME chance that you may see (something) of your data again. That’s always better than the previous option, no matter what it costs.

The third option in between is that the cost of the ransom is lower than the real cost of restoring your data. If you run into a cheap criminal, you can only try to talk him out of it and limit the damage. Pure math.

What if…?

It’s very easy to imagine: if a good-looking homejacker just rings the doorbell at your home. And your dearest opens the heavily armed front door.

A few seconds later, the robber asks you to clear your bank account completely with a gun to your dearest one’s head.

Are you going to pay or not?!

Do you have a choice?!

Replacing your dearest… is not an option, I would think.

With ransomware, the situation is exactly the same.

Well, Brian Schippers apparently doesn’t think so.

In his article Mr. Schippers is very convinced that you should certainly not pay a ransom. But the article does not offer any concrete, useful solution or practical suggestion as alternative.

He talks about a “security solution”… and reading between the lines you easily know where it should come from.

But there is no mention of decent and continuous training of people, thorough awareness training and thorough backup/restore or even better offline backup, even in the current age of cloud.

Because with “wise” software alone, it won’t work.

Even with the best technical security you have, people remain the weak point.

And the stronger the security, the more crime will target people directly.

And people make mistakes. People make software. Each software contains errors.

And mistakes will always be exploited.

And you only need just one employee who is fooled by a cleverly designed, but infected mail or a noble unknown on the phone.

It happens in no time, there are more than enough statistics in practice.

Because the hack or phishing is so well designed these days, that even cyber professionals can’t easily detect fake mails.

“The budget should not be a problem.”

Yes, yes, of course it shouldn’t, Brian! Nice slogan.

NOT.

Because the practice proves something completely different:

cyber protection < a very small percent of the IT budget < a small percent of the company budget.

Well, now what?!

It would be quite different if business leaders and managers were personally held liable for a pertinent lack of “state-of-the-art” (i.e. up-to-date) security that aligns both people, processes and technology very well.

Only THAT would solve the whole ransomware problem, very quickly. Deprive the criminal from his leverage.

Don’t look too far. Just look at how the insurance companies are doing in real life.

See how they implement car, fire, liability or other insurance. If it is shown that you are negligent, knowingly refuse to implement sufficient security … then the insurance will not pay or will claim back the refund.

Easy and simple, isn’t it?

Not so in cyber insurance, that’s the wild west. For a couple a thousand Euros in insurance, you get a bag of money of a couple millions to pay the criminal.

You bet on hackers to give up.

And if you bet hackers will give up soon, start by giving a “tournée générale” (buying a beer to everyone).

Because cybercrime and ransomware is big business. They make a lot of money with crime, so they won’t give up. Not now, not ever.

[BTW, it’s not because known ransomware groups suddenly disappear that they’re gone too. We don’t know the facts about that yet…]

But criminals don’t respect any law or rule. And they certainly don’t have ethical principles. It’s just a business that makes a lot of money.

So they are always have a head start and they are very motivated. And they will twist your arm even harder… or worse.

Finally

We must keep repeating that state-of-the-art security is all about security solutions at different layers and levels, which look beyond technology.

When you keep claiming you should not pay for ransomware, you’re running after the facts. In practice, it doesn’t solve anything… People in distress and panic will ignore law and ethical guidelines.

Also in physical life, many authorities officially declare that they do not give in to ransom demands. Is paying a ransom prohibited by law? But in many cases, money is paid clandestinely. Reality check.

So?

Make sure that the liability for implementing poor security measures hurts the right person, in the right place. Not the employees, but their boss.

And consequently:

So make sure that cybersecurity is sponsored at the top management level.

Dé oplossing tegen ransomware volgens Brian

In Trends magazine, heeft Brian Schippers een paar dagen geleden een opinie artikel gepubliceerd met een poepsimpele oplossing tegen ransomware: niet betalen. (Bron: Trends)

Toegegeven, het is een geweldig opinie-artikel om een lekkere discussie met bedrijven op gang te trekken. Het helpt tenminste om de bewustwording van ransomware en losgeld aan te wakkeren. Maar het artikel is jammer genoeg geen Griekse oude-wijzen praat [σοφός].

En hij heeft wel gelijk over de laakbare uitlatingen van sommige slachtoffers. Het is schandalig dat een bedrijf durft beweren dat er ‘maar’ 300K betaald is.

Herinnert U het nog: “We begrijpen dat we imagoschade lijden, maar ons valt niks te verwijten.”, zei de bedrijfsverantwoordelijke in de pers. Die uitspraak in de pers zal ‘m nog wel een tijdje achtervolgen.

En het is niet de eerste keer dat we dergelijke uitspraken mogen noteren. Voor een ander bedrijf uit de Westhoek, was het “minder dan 1 miljoen”… 

Het zegt heel veel, hoe weinig zorgen bedrijfsleiders zich maken over ransomware of hoe nonchalant ze kunnen zijn om hun bedrijf te beschermen.

En Brian heeft een heel leuke theorie om ransomware te stoppen in de ideale wereld. 

Maar de tekst toont jammer genoeg op geen enkele manier dat de opiniemaker ooit met praktijkkennis aan de zijde heeft gestaan van ‘n weerloos slachtoffer dat volledig onder controle is van een of andere crimineel op afstand.

Want de keuze om losgeld (NIET) te betalen, heb je ENKEL EN ALLEEN als je een goedwerkend en grondig getest backup en restore systeem hebt.

Op zo’n moment hebben alle preventieve maatregelen duidelijk al gefaald. Dus dat zijn vijgen na Pasen.

Preventie werkt alleen VOOR de crimineel toeslaat. Of als ie weer vertrokken is, om herhaling te voorkomen.

Mensen kiezen niet om ransomware te betalen. Het is het laatste redmiddel.

Ze kunnen gewoon niet anders. Alle andere middelen zijn dan al uitgeput.

Je betaalt geen losgeld als je backup/restore systeem goed werkt.

Zonder gegarandeerde herstelfunctie is de wiskunde heel simpel

• NIET betalen = 100% GARANTIE dat je je DATA KWIJT bent en zo goed als zeker dat je bedrijf ook heel snel kapot is, toch tenminste langdurige of onherstelbare schade lijdt.
• BETALEN = enige kans dat je mogelijk nog (iets) van je data terug ziet. Da’s altijd beter dan vorige optie, wat het ook kost.

De derde optie hiertussen is dat de kost van het losgeld lager is als de reële kost om je data terug te zetten. Als je een goedkope crimineel tegenkomt, kan je maar proberen om ‘m om te praten en de schade te beperken. Pure wiskunde.

Wat als…?

Het is héél gemakkelijk voor te stellen: als een goedogende homejacker gewoon aanbelt bij je thuis. En je allerliefste doet de zwaar bewapende voordeur open. 

Een paar seconden later vraagt de overvaller jou om je rekening volledig leeg te maken met een pistool tegen het hoofd van je allerliefste.

Ga je betalen of niet?!

Heb je keuze dan?!

Jouw allerliefste vervangen… is geen optie, zou ik denken.

Met ransomware is de situatie net hetzelfde.

Nou, Brian Schippers vindt dus blijkbaar van niet.

Mr. Schippers roept in z’n opinie artikel hoog van de toren dat je zeker geen losgeld mag betalen. Maar enige concrete, bruikbare oplossing of praktische suggestie biedt het artikel anders niet echt.

Hij spreekt volop over “security oplossing”…het schemert anders wel duidelijk door waar die vandaan moet komen.

Maar er wordt echter geen woord gerept over goede en continue opleiding van mensen, doorgedreven awareness training en doorgedreven backup/restore of beter nog offline backup, zelfs in het huidige cloudtijdperk.

Want met “wijze” software alleen, zal het niet lukken.

Zelfs met de beste technische beveiliging die je hebt, mensen blijven het zwakke punt.

En hoe sterker de beveiliging, hoe meer de criminaliteit zich op de persoon zelf richt. 

En mensen maken fouten. Mensen maken software. Elke software bevat fouten.

En er zullen altijd fouten uitgebuit worden.

En je moet maar 1 medewerker hebben die om de tuin geleid wordt door een slim ontworpen, maar besmette mail of een nobele onbekende aan de telefoon. 

Het is zo gebeurd, meer als genoeg cijfers in de praktijk.

Want de hack of phishing is tegenwoordig zo goed ontworpen dat zelfs cyberprofessionals vals en echt moeilijk kunnen uit elkaar houden.

“Het budget mag daarbij geen probleem zijn.” 

Ja ja, tuurlijk mag dat niet, Brian! Mooie slogan.

NOT.

Want de praktijk zegt helemaal iets anders: cyberbescherming < een heel klein percent van ‘t IT budget < een klein percent van het bedrijfsbudget.

Nou, wat dan wel?

Het zou helemaal wat anders zijn als bedrijfsleiders en managers persoonlijk aansprakelijk zouden zijn voor een pertinent gebrek aan “state-of-the-art” (dus up-to-date) beveiliging die zowel personen, processen als technologie goed op mekaar afstemt.

DAT zou pas het hele ransomware probleem oplossen, heel snel.

Heel ver moet je niet kijken. Kijk maar hoe de verzekeringen het aanpakken in het fysieke leven.

Kijk wat toegepast wordt in auto-, brand-, aansprakelijkheids- of andere verzekering. Als aangetoond wordt dat je nalatig bent, willens en wetens weigert om voldoende beveiliging te spenderen … dan vordert de verzekering het terug.

Simpel toch?

Niet in cyberverzekering, dat is het wilde westen. Voor een koppel duizend Euro aan verzekering, zit je op een zak geld van een koppel miljoen Euro.

Wedden dat hackers het opgeven?

En als je erop wedt dat hackers het snel zullen opgeven, begin dan alvast maar met een tournée générale te geven.

Want cybercriminaliteit en ransomware is big business. Ze kunnen met misdaad veel geld verdienen, dus die geven niet op. Nu niet, nooit niet.

[BTW, het is niet omdat gekende ransomware groepen plots van de aardbol verdwijnen dat ze ook weg zijn. Daar weten we het fijne nog niet van…]

Maar criminelen houden zich aan geen enkele wet of regel. En ethische principes hebben ze al helemaal niet. Het is gewoon een business, die veel opbrengt.

Dus ze zijn altijd in het voordeel en erg gemotiveerd. En ze zullen je arm nog harder omwringen… of erger.

Tot slot

We moeten blijven herhalen dat goede beveiliging draait om beveilingsoplossingen op verschillende lagen en niveaus, die verder kijken als alleen maar technologie.

Je kan nog lang roeptoeteren dat je geen ransomware mag betalen. Dan loop je achter de feiten aan. Dat lost niets op in praktijk.

Ook in het fysieke leven, roepen heel wat staten officieel dat ze niet toegeven aan losgeldeisen. Is daar losgeld betalen bij wet verboden? Maar er wordt op veel plaatsen clandestien toch geld over tafel geschoven. Realiteit.

Dus?

Zorg dat de aansprakelijkheid voor gebrekkige veiligheid pijn doet, bij de juiste persoon, op de juiste plaats. Niet bij de werknemers, maar bij hun baas.

En bijgevolg,

Zorg dus dat cybersecurity gesponsord wordt op topmanagement niveau.

2021 Updated cybersecurity threat and data breach reports

Just a quick note, but always interesting to use as reference in security discussions with management teams or in security workshops: cybersecurity threat and data breach reports.

I’ve collected them on this blog page: https://identityunderground.wordpress.com/interesting-links/useful-cybersecurity-data-protection-breach-reports/

When new versions are released, I’ll keep the page updated.

Feel free to notify me if you noticed other interesting threat and data breach reports, or updates to the reports posted earlier.

Note-to-self: 2020 IDG Security priorities study

Source: https://f.hubspotusercontent40.net/hubfs/1624046/2020_Security%20Priorities%20Executive%20Summary_final.pdf

End 2020 IDG published a study on Security priorities, and it provides important guidelines to the priorities of securing yourself and your company

1. Protection of confidential and sensitive data
2. End-user awareness
3. Corporate resilience
4. Enhance access control
5. Understand external threats
6. Application security
7. Plan for unexpected risks

This pretty much confirms that your customers, stakeholder’s and staff interest in protecting personal data is driving security from business perspective.

If you see the increase of cyberattacks and ransomware hitting the business, it’s pretty obvious that Business Continuity Management and Disaster recovery must be on top of your priority list.
You need to have a tested plan against successful cyberattacks and ransomware, to avoid extended business damage and massive (ransom) costs … afterwards.

To put a plan together, you need to understand who is your adversary and what the current state of cybersecurity is.
And this study is a simple but smart guide to define your priorities.

The better you prepare, the less it will cost.
But you’ll only be able to tell when it goes wrong.

Don’t get caught by surprise, be ready.

Note-to-self: #ZeroTrust #maturity model assessment by #Microsoft

Have you ever assessed the maturity of #cybersecurity implementation?

The #ZeroTrust #maturity model assessment by #Microsoft provides you with great insights, where to start or which part of your security needs improvement.

Easy to use, easy to understand, great results and great guidance.

You can find the assessment tool here:

https://www.microsoft.com/en-us/security/business/zero-trust/maturity-model-assessment-tool

And if you need more info, then bookmark this Zero Trust resources page: https://www.microsoft.com/security/blog/2021/05/24/resources-for-accelerating-your-zero-trust-journey

Cyber security challenge voor het weekend: Hoeveel #phishing indicators kun je identificeren in de onderstaande mail?

(English version of article published on LinkedIN: https://www.linkedin.com/pulse/cybersecurity-challenge-finding-phishing-indicators-peter-geelen/)

De uitdaging

Vind zoveel mogelijk phishing-indicatoren in de e-mail die ik onlangs heb ontvangen. Screenshot hieronder.

Hoeveel indicatoren kun je vinden?

Het nummer om te verslaan is 12.

Kun je ze vinden, of kan je het beter doen? (zo ja, twijfel niet om de indicatoren die je vond te melden in een commentaar).

Tip: Stop met verder te scrollen als je de uitdaging wilt aangaan, voordat ik hieronder de oplossing verklap.

Snelle oplossing: overzicht van de indicatoren

1. Belangrijk: De bizarre (onverwachte) naam van de afzender
2. Belangrijkste: Het e-mailadres van de afzender komt niet overeen met de naam
3. Heel belangrijk: Spelfouten
4. Zeer belangrijk: Slechte grammatica
5. Belangrijk: Verkeerde leestekens
6. Belangrijke fouten in het ontwerp / de lay-out
7. Uiterst belangrijk: URL komt niet overeen en wijst naar een phishing-website
8. Belangrijk: Gevoel van dringendheid: “Wachtwoord verloopt binnen (0) dagen”
9. Verdachte instructies (contra-intuïtief)
10. Productfouten
11. Verkeerde bedrijfsreferenties
12. E-mail voettekst ontbreekt (of afmeldlink ontbreekt of privacynote ontbreekt)

En aan het einde: een bonus (die is niet weergegeven in (en niet van toepassing op) het huidige voorbeeld screenshot).

De aanpak voor een gedetailleerde analyse

Over het algemeen zijn er 4 niveaus van indicatoren waar je op moet letten

• het gemakkelijke deel, duidelijke zichtbare fouten
• verborgen indicatoren, gemakkelijk te vinden (bijv. muisaanwijzer over de links, ZONDER te klikken!)
• geavanceerde onderdelen, waarvoor je een beetje kennis nodig hebt
• deskundige kennis / ervaring vereist

Ten eerste, het makkelijke deel.

De gemakkelijkst te vinden en meest zichtbare #phishing  indicatoren

1. Belangrijk: De bizarre (onverwachte) naam van de afzender

In dit specifieke geval wordt de naam van de afzender gevormd uit:

1. het ontvangerdomein dat als voorvoegsel wordt gebruikt (ALARM!)
2. onvolledig e-maildomein achtervoegsel (ALARM!)

Taak: controleer de naam van de afzender.

Evaluatie: gealarmeerd zijn, als

1. de naam van de afzender heeft een vreemd, abnormaal formaat (
2. de afzender is niet bij u bekend,
3. de post wordt niet verwacht, een verrassing uit het niets

2. Het belangrijkste: Het e-mailadres van de afzender komt niet overeen

Het eenvoudige deel is om te controleren of de naam van de afzender overeenkomt met het e-mailadres van de afzender.

Dit is niet altijd zichtbaar, zeker niet op smartphones.

Taak: controleer expliciet het volledige e-mailadres.

Evaluatie: gealarmeerd zijn, als

1. de naam van de afzender komt niet overeen met het volledige e-mailadres

3. Heel belangrijk: Spelfouten

Hoewel phisher steeds meer “professioneel” wordt, zijn spelfouten een belangrijke indicator. Marketingbedrijven besteden (meestal) enige tijd om de grammatica goed te krijgen.

4. Zeer belangrijk: Slechte grammatica

In de voorbeeldmail ziet u de instructie “Gebruik hieronder om te bewaren” (EN: “Use below to keep…”)

Wat gebruiken??

Een goed gebruik van grammatica zou zijn: “Gebruik onderstaande link om uw wachtwoord te behouden.”

5. Belangrijk: Verkeerde leestekens

Naast slechte grammatica zijn verkeerde leestekens (spaties, stippen, komma’s, …) een belangrijke indicator voor spam, hoewel spammers tegenwoordig de neiging hebben om betere zorg te gebruiken om inhoud te bouwen.

6. Belangrijke fouten in het slechte ontwerp / lay-out

Controleren op belangrijke lay-outproblemen of HTML-fouten

De gevaarlijkste

7. Uiterst belangrijk: URL komt niet overeen en wijst naar een phishing-website

Een veel voorkomende phishing-techniek om u op malwarelinks te laten klikken.

Taak: controleer zorgvuldig de bron-URL door met de muis over de koppeling te gaan en de bron-URL weer te geven. Maar KLIK NIET op de link.

Taak: Controleer ALTIJD de bron-URL.

Evaluatie, moet u gealarmeerd zijn als

• de URL komt niet overeen met het e-mailadresdomein van de afzender
• de URL is een volledig onbekend domein

De phisher gebruikt mentale druk om je te laten klikken

8. Gevoel van urgentie: “Wachtwoord verloopt binnen (0) dagen”

De phisher probeert je hersenen te verkorten en dringt er bij je op aan om op de phishing-link te klikken, door het bericht zeer dringend te maken, waardoor je onmiddellijk actie moet ondernemen.

Niet doen.

NIET KLIKKEN, NIET HAASTEN.

Neem de tijd, een mail NEVER is urgent (denk aan het netiquette principe van het reageren op mail binnen 24 of 48 uur…).

Volwassen, openbare systemen sturen je ver van tevoren een heleboel meldingen. En “Wachtwoord verloopt binnen (0) dagen” is de verkeerde manier om u te vertellen “Wachtwoord is verlopen”.

9. Verdachte instructies

Denkt u echt dat een bedrijf u zou vragen om uw wachtwoord???

Integendeel, u wordt vaak gevraagd om uw wachtwoord te wijzigen of extra beveiligingsfuncties toe te voegen, zoals MFA.

Deze hebben wat meer onderzoek nodig

10. Productfout

Een tijdje geleden verplaatste Microsoft de Office online suite van “Office 365” naar “Microsoft 365″… dus de gebruikte productreferentie, is verkeerd. Microsoft verwijst in de huidige communicatie niet naar ‘Office 365’.

Toch kunnen sommige meldingen verwijzen naar Office 365… dit is dus niet altijd duidelijk of gemakkelijk te detecteren.

11. Verkeerde bedrijfsreferentie

Niet altijd te gemakkelijk te detecteren, maar in de e-mailvoettekst verwijst Microsoft niet naar zichzelf als gewoon “(C) 2021 Microsoft”, maar het moet “Microsoft Corporation” zijn en heeft een link naar de privacyverklaring en / of afmeldopties

Er is meer

12. Mail footer ontbreekt

Wat u van een gerespecteerd bedrijf kunt verwachten, is een e-mailvoettekst met aanvullende instructies, zoals privacyverklaring, afmeldfunctie, raadpleeg uw profiel of open de beheerdersinterface om uw profiel en beveiliging te beheren.

Enkele voorbeelden:

E-mails van het Microsoft 365-beheercentrum eindigen op :

Wanneer het e-mailreputatiesysteem u helpt…

Mail wordt in de spam folder gestoken

• wanneer de e-mail is gedetecteerd als spam, als gevolg van een slechte e-mailreputatie van het afzender- of afzenderdomein, zal uw e-mailsysteem (server/client) de e-mail markeren als spam. Ter informatie gebruikt Microsoft de e-mailclient, Microsoft smartscreen en defender intelligence om e-mails te markeren voor spam.
• controleer beter de e-mails in de spammap, omdat deze vals-positief kunnen zijn (legitieme e-mails gemarkeerd als spam)

Antimalware tagt de e-mail als [spam]

1. veel anti-malware / anti-virus programma’s hebben een spam / phishing-controle, die de e-mail als verdacht markeert en naar spam verplaatst. Deze programma’s gebruiken de virus-/spamdefinities van de leverancier.

Wat moet je doen met phishing mail?

ZORG ER ZEKER VOOR dat

• je de mail aangeeft bij lokale cyberautoriteiten (bv. in België, stuur verdachte post door naar SafeOnWeb, via  suspicious@safeonweb.be)
• je de e-mail markeert als spam in uw e-mailclient of antivirusprogramma’s (zodat Microsoft of uw antivirusprogramma de e-mail kan analyseren om hun spamdefinities bij te werken.)
• je jouw contacten/afzenders waarschuwt als ze u spam- of phishingmails sturen. Hun systeem kan geïnfecteerd of gehackt zijn.
• verwijder de mail zo snel als mogelijk

NOOIT

• de e-mail doorsturen naar uw contactpersonen
• klikken op links in de mail

Referenties

Engelse versie van het article: https://www.linkedin.com/pulse/cybersecurity-challenge-finding-phishing-indicators-peter-geelen/

Cybersecurity voor vrijeberoepen en KMO (Webinar bij VLAIO)

Afgelopen vrijdag 21 februari, organiseerde Agentschap Innoveren & Ondernemen een praktisch webinar over Cybersecurity.

We toonden een vernieuwende aanpak die de zelfredzaamheid en veerkracht bij KMO’s inzake cybersecurity helpt vergroten.

Cybersecurity wordt beschouwd als één van de grootste bekommernissen in het huidige ondernemerschap. De veiligheid van (klanten)gegevens is een topprioriteit en een beleid hieromtrent uitwerken is noodzakelijk. Als adviseur zult u wel vaker de vraag krijgen van uw klanten over hoe ze hiermee aan de slag moeten gaan.

Hartelijk dank Melissa Gasthuys als gastvrouw en Eveline Borgermans voor de perfecte begeleiding en opname bij Agentschap Innoveren & Ondernemen

Hier de link naar de slides

De link naar de opname:

En je kan altijd nog even gaan kijken op cybervoorkmo.be voor meer tips en hints.

Note-to-self: MVA Learning Path – Security for the Chief Security Officer (CSO)

From a LinkedIn connection (thx Jeff and congratz on the achievement) I received an interesting pointer to a set of courses on MVA, Microsoft Virtual Academy.

An MVA ‘learning path’ is a combination of learning courses.
Just recently MVA published the ‘Security for the Chief Security Officer (CSO)’ learning path.

Check it out at : https://mva.microsoft.com/learning-path/security-for-the-chief-security-officer-cso-21

It combines 6 courses (better make sure to access them from the learning path):

1. How to Harden Your Enterprise in Today’s Threat Landscape
2. Cybersecurity Reference Architecture
3. Planning for a Security Incident
4. Cloud Security from the Field
5. Securing Privileged Access
6. Introduction to Azure Security Center

BTW: have a look on the ‘security’ based content on Microsoft Virtual Academy, you’ll be surprised how much you can (continue to) learn.

See: https://mva.microsoft.com/search/SearchResults.aspx#!q=security

Last Updated: 2020-12-29