Category

Online Veiligheid

Hoe AVG van invloed is op de strijd tegen online inbreuken

Hoe AVG van invloed is op de strijd tegen online inbreuken

By | Merknamen, Online Veiligheid

Op 25 mei 2018 ging de Algemene Verordening Gegevensbescherming (AVG) van kracht, wat op elke entiteit van invloed is die de persoonsgegevens van Europese ingezetenen verwerkt. Het WHOIS-systeem, een openbaar bestand vol met persoonsgegevens, lijkt op het eerste gezicht incompatibel met deze nieuwe verordening. Hoe is de AVG van invloed op de strijd tegen inbreuken en misbruik online?

Om een helder beeld te verschaffen, hebben wij Luc Seufer, Chief Legal Officer van de EBRAND Services Group geïnterviewd.

Kunt u vertellen of EBRAND Services door de AVG is beïnvloed?

Gezien onze soort clientèle en de diensten die wij aanbieden, weet EBRAND Services uit de eerste hand welke zorgen de AVG oproepen voor de sector domeinnamen.

Als een domeinregistrar is de bescherming van de persoonsgegevens van onze klanten van essentieel belang. Daarom hebben wij in dit opzicht altijd aan alle toepasselijke wetten voldaan. Afgezien van de verwerking van bepaalde gegevens in onze WHOIS-databases, heeft de Verordening geen drastische wijzigingen opgelegd in de manier waarop wij handelen, maar is er nu wel sprake van een zorgvuldige documentatie.

Als dienstverlener van merkbescherming betekent de eerder genoemde verwerking echter geen onoverkomelijke hindernis.

De afgelopen maanden is een constante stroom artikelen gepubliceerd van groepen voor de bescherming van intellectueel eigendom om het publiek en wetgevers te waarschuwen over de ernstige gevolgen van wat zij de “Stillegging van WHOIS” noemen. Kunt u daar iets meer over zeggen?

Om de huidige stand van zaken te kunnen begrijpen, wil ik graag een korte geschiedenis van ICANN en gegevensprivacy schetsen. Jarenlang hebben specialisten op het gebied van gegevensprivacy ICANN formeel en informeel verteld dat bepaalde beleidsvormen een inbreuk maakten op de Europese wetten op gegevensbescherming.

De voormalige Artikel 29-werkgroep, nu omgedoopt tot het Europees Comité voor Gegevensbescherming, verstuurde meerdere brieven naar de achtereenvolgende CEO’s bij ICANN. Helaas nam niemand die waarschuwingen serieus en werden er nooit de nodige hervormingen gestart.

Goran Marby, de huidige CEO van de organisatie, moest druk uitoefenen op de raad van bestuur van ICANN om een tijdelijk beleid goed te keuren zodat Registry’s)en registrars de maatregelen kunnen treffen die zij noodzakelijk achtten om aan de AVG te voldoen.

De tekst van dit beleid is echter zo vaag dat elk Registry)en elke registrar een ander serie regels heeft geïmplementeerd. Bepaalde Registry’s)bewerken bijvoorbeeld elk Whois-dossier in hun database zonder rekening te houden met de locatie van de registrant of met het feit dat ze een rechtspersoon zijn en dus buiten het bereik van de Verordening vallen.

Andere, zoals EBRAND Services, hebben een meer pragmatische benadering, en bewerken alleen gegevens van natuurlijke personen, maar tonen tegelijkertijd een anoniem gemaakt e-mailcontact voor die registranten. Weer andere hebben ervoor gekozen op hun websites een contactformulier beschikbaar te stellen. En sommige hebben zelfs geprobeerd een toegangsmodel te creëren met een pseudoaccreditatiesysteem.

In een paar maanden is het zonder twijfel moeilijk geworden toegang te krijgen tot de contactgegevens van domeinnaamregistranten.

Is het niet de rol van ICANN de normen voor de sector te bepalen en deze te handhaven?

Tijdens de laatste bijeenkomst in Panama-Stad, die ik heb bijgewoond, kondigde ICANN aan dat met een versneld proces voor beleidsontwikkeling is gestart, zodat een duurzame wereldwijde oplossing kan worden gecreëerd. Het is de doelstelling van ICANN dit nieuwe beleid af te ronden en eind april 2019 in werking te laten treden.

Hoewel dit voor het grote publiek heel langzaam kan lijken, is het razendsnel voor ICANN. Even ter herinnering, ICANN deed er 10 jaar over om het nieuwe extensieprogramma te lanceren.

Dit nieuwe beleid moet een trapsgewijs toegangsysteem tot de Whois-databases introduceren. Wetshandhavende instanties moeten bijvoorbeeld een bepaald soort toegang hebben, IP-eigenaars een ander, registrars een ander, beveiligingsonderzoeker een ander.

Zoals eerder vermeld hebben bepaalde registrars geprobeerd vooruit te lopen op ICANN door hun eigen trapsgewijze toegang te bedenken, maar hun modellen zijn niet op een gemeenschappelijk standaard gebaseerd en worden door de registrars zelf uitgevoerd. Hoewel registrars vermoedelijk competente technische dienstverleners zijn, zijn ze zeker niet gekwalificeerd om de wettigheid te beoordelen van aanvragen tot toegang tot de persoonsgegevens van klanten. Volgens mij is dit initiatief nogal gevaarlijk en weinig geschikt, maar het verlangen naar een oplossing verklaart dit ontwerp.

Betekent dit dat het Domeinnaamsysteem (DNS) echt een wetteloze plek is geworden?

Niet echt. Naast de eigen lokale wetten, is elke door ICANN geaccrediteerde registrar gebonden door dezelfde accreditatieovereenkomst met ICANN. Deze overeenkomst verplicht registrars een zogeheten contactpunt voor misbruik te handhaven. Ze moeten rapporten onderzoeken over illegale activiteiten met domeinnamen die zij beheren.

Uit de resultaten van ons handhavingsteam blijkt dat het nog steeds mogelijk is de opschorting van domeinnamen te bewerkstelligen, die op illegale wijze worden gebruikt. Maar het is zeer lastig om de identiteit van de persoon achter het misbruik te achterhalen.

Dus het is niet meer mogelijk de inbreuk makende partijen te identificeren?

Ook hier weer ligt de kern van het probleem bij het gebrek aan een standaardproces en -beleid. Iedere persoon die een WHOIS-database handhaaft (Registry)of registrar) handelt volgens zijn/haar eigen interpretatie van AVG.

Sommigen zijn vastbesloten dat ze alleen met een gerechtelijke beslissing persoonsgegevens mogen openbaar maken. Anderen eisen uitsluitend een onderbouwde klacht die aan de DMCA-eisen voldoet. En sommigen hebben geen idee en zeggen helaas niets.

Als de inbreuk door de domeinnaam zelf gebeurt, kan de start van een UDRP of URS worden overwogen, omdat dit de registrar zal verplichten de gegevens van de registrant openbaar te maken. Deze route is echter duur als het alleen maar om een openbaarmaking gaat.

Maar dit betekent niet dat merkeigenaars aan hun lot worden overgelaten. EBRAND Services heeft in de loop der jaren een serie innovatieve technologische tools ontwikkeld die, ondanks de huidige situatie, nog steeds volledig functioneel zijn.

 Luc Seufer, Chief Legal Officer EBRAND Services Group

Deadlines SSL-certificaat: bent u klaar voor Googles wijzigingen?

By | Online Veiligheid

Een SSL-certificaat (Secure Socket Layer) is in wezen een serie cryptografische protocollen die de communicatie via een computernetwerk veiligheid bieden. Bankgegevens, creditkaartnummers en andere privé-informatie die vanaf een webbrowser van een gebruiker wordt verzonden naar een server van een site is versleuteld om te voorkomen dat dieven dit kunnen onderscheppen. En dankzij Googles inspanningen om een veiliger, meer beveiligd internet te maken, is SSL steeds meer gemeengoed aan het worden.

Steeds meer eigenaars en ontwikkelaars van websites maken gebruik van SSL-certificaten, met name zij die HTTPS-versleuteling aanbieden (in tegenstelling tot de nu gedateerde HTTP-versleuteling). HTTPS (HyperText Transfer Protocol Secure) voorziet in end-to-end versleuteling van alle informatie die via een website wordt verzonden en ontvangen, zodat gebruikers tegen criminele inmenging zijn beveiligd en beschermd.

Vandaag de dag wordt min of meer verwacht dat iedereen in HTTPS-versleuteling voorziet. Klanten voelen zich steeds ongemakkelijker over het delen van gevoelige informatie online en weten naar welke vertrouwenindicators – groene slotje, vertrouwenbadge – ze moeten uitkijken. En als u die indicatoren niet kunt leveren, zullen ze snel naar een site gaan die daartoe wel in staat is. Eigenlijk moedigt Google aan juist dat te doen.

Google wordt serieus over HTTPS-versleuteling

Een SSL-certificaat is een eenvoudige, kosteneffectieve manier voor website-eigenaars om onlinetransacties te beveiligen. En nu, als u niet in HTTPS-versleuteling voorziet, stopt Google u in de strafzone.

De zoekmachinereus heeft zijn inspanningen vergroot om voor een veiliger internet te zorgen, waardoor een SSL-certificaat meer nodig is dan ooit tevoren. Laten we eens kijken naar deze updates van Chrome.

Chrome 68, versie van juli 2018

In de versie van juli 2018 van Chrome 68 markeert Google elke website zonder HTTPS-versleuteling als “niet veilig”. En dat is nog niet alles, gebruikers zien in hun browsers niet het bekende slotje, de groene tekst en HTTPS, die er allemaal op duiden dat een site niet verdacht is. Met andere woorden, gebruikers zien meteen in dat de site onveilig is om persoonsgegevens te delen.

Chrome 68, July 2018 release

Chrome 69, versie van september 2018

In de versie van Chrome 69, zien gebruikers niet meer de groene letters “Secure” die ze op sites zagen die HTTPS gebruiken. (Uiteindelijk zal ook het groene slotje verdwijnen.) Maar de beveiliging zelf verandert niet. In feite maakt Google gebruikers erop attent dat HTTPS het nieuwe “normaal” is en, tenzij hen iets anders wordt verteld, kunnen ze er gerust op zijn dat een site van de gepaste versleuteling gebruikmaakt zonder dat hiervoor te veel aandacht wordt gevraagd.
Chrome 69, September 2018 release

Chrome 70, versie van oktober 2018

Bij Chrome 70 krijgen gebruikers een rode waarschuwing “onveilig” te zien wanneer zij op het punt staan gegevens in te voeren in een onveilige HTTP-pagina. In het verleden heeft Google dit niet gedaan, omdat het gebruik van HTTP te groot was en daarom was het onrealistisch om elke pagina van een waarschuwing te voorzien. Maar nu dat HTTPS de norm is, zet Google die stap wel.

Chrome 70, October 2018 release

SSL-certificaten van EBRAND Services houdt Google tevreden

EBRAND Services biedt drie SSL-certificaten, die allemaal in een andere online beveiliging voorzien, afhankelijk van uw unieke behoeftes. Alle certificaten hebben HTTPS-versleuteling, worden ondersteund door Google Chrome, en kunnen eenvoudig worden geactiveerd.

Domein Validatie SSL

  • Ideaal voor blogs, sociale netwerken en persoonlijke websites
  • Configureert meerdere domeinnamen die op verschillende IP-adressen werken
  • Een goedkope optie die in een kwestie van minuten is ingesteld

Organisatie Validatie SSL

  • Ideaal voor websites van ondernemingen
  • De authenticiteit van de onderneming wordt bevestigd door onze certificeringsinstantie GlobalSIgn, zodat gebruikers ervan verzekerd kunnen zijn dat uw site legitiem, en niet die van een bedrieger is
  • Biedt een hogere authenticatie dan het domein gevalideerde certificaat

SSL voor uitgebreide validatie

  • Ideaal voor e-commerce- en banksites
  • Dit bevat een strikter audit- en validatie proces dat jaarlijks wordt uitgevoerd
  • Dit biedt de hoogst mogelijke beveiliging

Wildcard-optie

  • Wildcard-optie is beschikbaar voor uw primaire domeinnaam en voor onbeperkte subdomeinen en gerelateerde servers
  • Ideale oplossing voor iedereen met meerdere pagina’s, websites en servers. Alles wordt onder een enkele hoofddomeinnaam beschermd
  • Beschikbaar voor Domein Validatie en Organisatie Validatie)

Niet alle SSL-certificaten worden als gelijk beschouwd

Let erop dat u uw SSL-certificaat bij een betrouwbare, gerenommeerde dealer aanschaft. Niet alle SSL-dealers staan erom bekend de gepaste gangbare praktijken te hebben gevolgd.

Een voorbeeld: vorig jaar nog gaven GeoTrust, RapidSSL en Thawte toe dat ze bij de afgifte van bepaalde certificaten niet de gepaste procedures hadden gevolgd. Daarom is Google begonnen sites te markeren die van deze certificaten gebruikmaken met een nogal eng klinkende waarschuwing:

Private connection warning

Met EBRAND hoeft u zich nergens zorgen over te maken. Wij werken samen met de internationaal bekende, door WebTrust geaccrediteerde certificeringsinstantie GlobalSign, die erom bekend staat hoge versleutelingsnormen te hanteren.

Als u hulp nodig hebt bij de keuze van het juiste SSL-certificaat voor uw behoeftes, of als u gewoon algemene vragen hebt over SSL, laat het ons dan weten. Wij zijn u graag van dienst!