30.1.20

IoT laws are coming: What to expect


 No more default logins on new IoT devices if UK legislators get their way.

By Cameron Camp

I just returned from CES, where virtually every aisle was chock-full of IoT devices. But how secure are they? While we’ve been promoting security on these devices for some time now, IoT developers have been slow to adopt. Lawmakers in California took some notice in 2018, and now it seems that legislators in the United Kingdom want to take things to the next level, too.

While it’s unclear whether the proposed legislation will be adopted, UK MP’s have this to say:
“Whilst the UK Government has previously encouraged industry to adopt a voluntary approach, it is now clear that decisive action is needed to ensure that strong cyber security is built into these products by design. Citizens’ privacy and safety must not be put at risk because some manufacturers will not take responsibility for ensuring that security is built into their products before they reach UK consumers.”

Whether or not the legislation is enacted, this sends a strong signal to the industry that government intervention seems likely. While other countries may take a wait-and-see approach, it seems likely further laws will be enacted around the globe over time.

The good news is that basic IoT security steps are not overly burdensome. Requiring the new owner to change the default login password when users log in for the first time is something the industry has known about for some time, and is not costly to implement.

Setting a lifespan for firmware updates certainly does cost more since companies would be paying to support firmware that would no longer directly result in revenue. Companies with longer term vision tend to already be thinking along those lines, but forcing them to state when support will end brings it to the fore.

It’s unclear whether customers understand the importance of knowing the support lifespan until it lapses years later and vulnerabilities are then discovered.

The industry counters obtusely by promoting frequent customer upgrades in light of new technological advances to their platforms, but it doesn’t always happen. Everyone knows someone with a 5- or 10-year-old home router, for which support has long since lapsed while the device itself is still actively in use.

And that’s the problem.
We see newly minted attacks against herds of common routers that show no signs of being retired anytime soon. These machines, once zombified, can be used to launch and amplify attacks worldwide, often without the knowledge of their owners.


One more thing: the UK lawmakers seek to compel companies to maintain a security point-of-contact, something that’s all-but-impossible to find today, especially in smaller companies.
Will this legislation slow innovation? Somewhat, but hopefully the proposed changes would only require moderate efforts from good actors to implement. And whether or not this draft of proposed legislation becomes law, some soon will, so manufacturers would do well to take note.

ESET lanceert versie 3.0 van Secure Authentication


ESET, een wereldleider in cybersecurity, heeft versie 3.0 van Secure Authentication (ESA) gelanceerd, een multifactor-authenticatieoplossing waarmee bedrijven, ongeacht hun grootte, mobiele apparaten kunnen beveiligen, datalekken voorkomen en aan compliancevereisten voldoen. Deze nieuwe versie van de oplossing biedt een reeks updates, waaronder de introductie van de Identity 
Connector en de ondersteuning voor biometrische authenticatie.

De Identity Connector geeft klanten de optie om ESA te gebruiken om elke service of app te beschermen die gebruik maakt van een externe identiteitsprovider, via de integratie van het SAML-authenticatieprotocol. Zo worden de integratiemogelijkheden aanzienlijk uitgebreid, waardoor klanten nu ESA kunnen gebruiken om de toegang te beschermen tot een groot aantal diensten en omgevingen, zoals e-mail, VPN, Office 365 of Dropbox.

Versie 3.0 verleent ook ondersteuning voor native biometrische authenticatie in mobiele ESA-apps. Dat betekent dat gebruikers nu geïntegreerde vingerafdrukscanners en gezichtsherkenning kunnen gebruiken bij het goedkeuren van authenticatie-aanvragen.

Dankzij het nieuwe Notification Center kunnen gebruikers hun eigen meldingen configureren, zodat ze proactief kunnen geïnformeerd worden zonder te moeten inloggen. De update biedt belangrijke prestatieverbeteringen en ook een robuuste oplossing voor grotere implementaties.
Vladimír Maťovčík, senior product manager bij ESET, verduidelijkt uit: 
“Bedrijfsbeveiligingsoplossingen moeten betrouwbaar zijn, gemakkelijk te gebruiken en een minimale impact hebben op de processen van het bedrijf. Met een toenemende behoefte aan organisaties om een reeks toestellen en omgevingen te beschermen, biedt ESET Secure Authentication een eenvoudige, effectieve mobiele oplossing die gegevens en cloud toegang beveiligt zonder de productiviteit van werknemers aan te tasten. ”

“De introductie van de Identity Connector verhoogt het beveiligingsniveau van de oplossing. De verbeterde prestaties en toevoeging van ondersteuning voor iOS- en Android-biometrie maakt de ervaring voor gebruikers nog soepeler. ”

Voor meer informatie over ESET Secure Authentication, klik www.eset.com/be-nl/



28.1.20

Job hunting? Beware hiring scams using spoofed company websites


 Cybercriminals are putting a new twist on an old trick

Scammers are combining spoofed company websites and fake job ads to trick unsuspecting job seekers into surrendering their sensitive information and paying fraudulent fees.

According to a recent public service announcement by the FBI’s Internet Crime Complaint Center (IC3), fraudsters increasingly post job openings on legitimate job boards and, in order to boost their aura of authenticity, direct people to fake domains whose names resemble those of real, reputable companies. The goal is to hoodwink job seekers into parting with their personal information that could be misused for a whole range of illicit activities, such as opening bank accounts in the victims’ names or even in getting fake documents.

Many people, duly excited about the prospect of being hired, apply on the fake websites or respond to the ads. “According to victims, cybercriminals impersonate personnel from different departments, including recruiters, talent acquisition, human resources, and department managers,” said the FBI.

After the victim is interviewed and “hired”, they will receive a fake employment contract to physically sign, and a request to provide a copy of their personal information. Usually, that consists of a copy of a driver’s license, Social Security number, direct deposit information, and credit card information. The scammers may turn it up a notch by also requesting that the victim should pay upfront for a variety of things, such as a background check or equipment. After the money is transferred, their scam concluded, they stop replying.

How to protect yourself
It is understandable that in a quest for a job we get so excited by the possibility of getting hired that we tend to overlook the warning signs of something being amiss. This is especially true if the job market is volatile and overcrowded, providing scammers with ample opportunity to trick job seekers.

You should always adhere to the golden rule “trust but verify”. Run a web search on the company you’re seeking to join to see if anything suspicious comes up, such as multiple websites. Companies usually conduct on-site interviews – conference calls take place if one of the parties is not able to appear in person. When such calls take place, they are conducted through official channels.

Another thing that you need to keep in mind is that an employer will never request your credit card information. As for the personal information you provide for salary purposes, those are requested after you’ve been officially hired, and you can provide those in person to the accounting department at the company.
Job scams have been around for years, of course. According to its 2018 Internet Crime Report victims were swindled out of US$45 million by hiring scams, an increase of US$6 million compared to the previous year. The FBI reports that the average loss per victim is around US$3,000 and a hit to their standing with their banks.

Data Protection Day: Aandacht voor cyberprivacy en -beveiliging


  
Op 28 januari 1981 werd het gegevensbeschermingsverdrag van de Raad van Europa, beter bekend als "Conventie 108", opengesteld voor ondertekening. Conventie 108, die wordt bijgewerkt naarmate de digitale wereld zich ontwikkelt, is het enige internationale verdrag van die aard. Om deze baanbrekende conventie te herdenken, heeft de Raad de gegevensbeschermingsdag gelanceerd en sinds 2007 wordt die elk jaar op 28 januari gevierd.

28 januari 2020 is de 14e jaarlijkse dag van de gegevensbescherming, die wereldwijd wordt gevierd, en buiten Europa als 'Privacy Day' is gekend. Dit initiatief heeft tot doel het bewustzijn in goede praktijken op het gebied van gegevensbescherming te vergroten en mensen te informeren over de risico's van illegale behandeling en oneerlijke verwerking van hun persoonlijke gegevens.

In 2020 is gegevensbescherming ontegensprekelijk belangrijker dan ooit. Vermits steeds meer technologie wordt gebruikt om uw informatie te verzamelen en voor reclame of verkoop aan derden  te gebruiken, vertegenwoordigen gegevens nu een enorme industrie. Terwijl bedrijven en financiële diensten online gaan, is er veel te verdienen voor cybercriminelen, die gelekte gegevens kunnen misbruiken om nietsvermoedende computergebruikers te bedriegen en te beroven.

Individuen klikken steeds gemakkelijker op “Akkoord” bij websites, toestellen en apps die toegang hebben tot hun persoonlijke gegevens. Het is gemakkelijk te begrijpen want we zijn bereid om onze privacy op een bepaald hoogte op te offeren voor het gemak. Deze Gegevensbeschermingsdag is echter het moment om na te gaan hoe, waar en wanneer u het recht op digitale privacy opgeeft en of dit wel een opoffering is die u bereid bent te doen.

Weinig mensen weten wat ze kunnen doen als hun rechten op gegevensbescherming geschonden zijn en deze informatie kan soms moeilijk toegankelijk zijn. Een goede manier om te weten of uw gegevens aangetast zijn door een datalek is naar haveibeenpwned.com te gaan, waar u verneemt of uw account is geschonden. Is dit het geval, dan wordt het ten zeerste aanbevolen uw wachtwoorden voor alle accounts bij te werken.
Als u denkt dat een bedrijf uw gegevens misbruikt, kunt u een klacht indienen bij uw nationale organisatie voor gegevensbescherming, die het zal onderzoeken en u binnen de 3 maanden zal informeren over het resultaat van uw klacht.

Om er zeker van te zijn dat uw gegevens in de toekomst veilig zijn, kunt u heel wat maatregelen treffen. Een eerste belangrijke stap is het installeren van betrouwbare cybersecurity-software maar er zijn nog een aantal zaken die u kunt doen om uw persoonlijke informatie te beschermen. Deze zijn onder andere het maken van sterke, unieke wachtwoorden voor al uw accounts; betrouwbare Wi-Fi-netwerken gebruiken; back-up en codering van uw gegevens; uw ongebruikte harde schijven wissen en ervoor te zorgen dat al uw software up-to-date is.

In een wereld waar data integraal deel uitmaakt van zoveel aspecten van ons leven zijn campagnes zoals Data Protection Day cruciaal om nog beter bewust te zijn van het belang om uw eigen gegevens te controleren. Wenst u meer te weten? Bezoek de website van de Europese Raad voor aanvullende informatie.