Vergroot contrast

Verscherpte aandacht CBP voor OpenSSL

​Op 7 april 2014 is een lek bekend geworden in de programmeerbibliotheek OpenSSL. Dit is software waarmee versleutelde (beveiligde) verbindingen kunnen worden gemaakt. Door deze kwetsbaarheid kunnen hackers toegang krijgen tot vertrouwelijke informatie op bijvoorbeeld web-, mail- en VPN-servers, smartphones en routers. Het gaat dan bijvoorbeeld om loginnamen en wachtwoorden, login-cookies en beveiligingscertificaten.

De factsheet heartbleed van NCSC geeft meer informatie over het lek en geeft organisaties die OpenSSL gebruiken advies hoe zij met de kwetsbaarheid kunnen omgaan. Indien organisaties de software niet bijwerken en de getroffen beveiligingscertificaten niet intrekken, kunnen zij in overtreding van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) zijn.     

Het College bescherming persoonsgegevens (CBP) adviseert getroffen partijen bovendien om hun klanten/gebruikers te waarschuwen, nadat zij deze maatregelen hebben getroffen, en hun aan te raden om in ieder geval hun wachtwoord(en) te wijzigen. Het CBP heeft verscherpte aandacht voor dit beveiligingsprobleem en monitort bijvoorbeeld het aantal externe beveiligingscertificaten dat wordt ingetrokken. Als organisaties onvoldoende beveiligingsmaatregelen ten aanzien van persoonsgegevens nemen, kan het CBP besluiten tot onderzoek over te gaan.