Informatiebeveiliging... Wat kun je er zelf aan doen? Mark Dresen 27 September 2018

Transcriptie

1 Informatiebeveiliging... Wat kun je er zelf aan doen? Mark Dresen 27 September 2018

2 Wat is informatiebeveiliging? Doel om de continuïteit van de informatie(voorziening) te waarborgen én De gevolgen van beveiligingsincidenten tot een acceptabel niveau te beperken.

3 Wat is informatiebeveiliging? Papier Opstellen beleid Procedures Richtlijnen Handleidingen Informatieveiligheid Mensen Werken conform beleid en procedures Bewustwording van gevaren en waarde informatie Techniek Inrichting & beveiliging ICT Infrastructuur cf eisen

4 Beveiliging is zo goed als de zwakste schakel 70-80% van de beveiligingsincidenten veroorzaakt door de mens de MENS is de zwakste schakel

5 Waarom goed organiseren? Aangepaste wetgeving o Wet Bescherming Persoonsgegevens (Wbp) (2001) o Meldplicht Datalekken (2016) o Algemene verordening gegevensbescherming (AVG/GDPR) (Europese wetgeving) (mei 2018) Opgelegd vanuit wetgeving voldoende technische en organisatorische maatregelen te treffen Informatiebeveiligingsincidenten kunnen tot grote imagoschade en reputatieschade lijden Hoge sancties op datalekken mogelijk : tot per incident of tot 4% van jaaromzet per overtreding

6 Imagoschade

7 Sinds 24 mei 2016 in werking Van toepassing vanaf 25 mei 2018

8 AVG - Nieuwe verplichtingen Nieuwe informatieverplichtingen (privacystatement/reglement) Nieuwe en aangescherpte regels inzake rechten van betrokkenen, zoals toestemming van de cliënt, leerling, etc. Register verwerkingsactiviteiten Data protection impact assessment (DPIA) voor alle nieuwe verwerkingen Privacy by Design en Privacy by Default Functionaris Gegevensbescherming (FG / DPO) Verwerkersovereenkomst

9 AVG - Rechten van betrokkenen Recht op inzage (ongewijzigd ten opzichte van Wbp) Nieuw: geen vergoedingskosten voor inzage Recht op dataportabiliteit (persoonsgegevens meenemen en overdragen tav gegevens die betrokkene actief en bewust (indirect) heeft verstrekt) Recht op wijziging Recht op vergetelheid Recht om gegevens uit bijv. het dossier te verwijderen Binnen 3 maanden reageren op verzoek vernietiging dossier Recht op intrekken van gegeven toestemmingen

10 AVG - Toestemming Vrijelijk gegeven (niet verborgen in algemene voorwaarden, actieve/bewuste handeling, opt-in) Specifiek (hetzelfde doel of dezelfde doeleinden) Ander doel, nieuwe toestemming Geïnformeerd (begrijpelijke taal) Ondubbelzinnig Verantwoordelijke moet kunnen aantonen dat toestemming is gegeven Betrokkene kan toestemming eenvoudig intrekken, voordat hij toestemming geeft moet je hem hierover informeren

11 Datalekken Meldplicht op alle (persoonsgevoelige) data die voor een organisatie ongecontroleerd verloren raakt. Ernstige datalekken moeten binnen 72 uur worden gemeld aan Autoriteit Persoonsgegevens (AP) Adequaat handelen is dus vereist! In sommige gevallen moeten ook de getroffen personen geïnformeerd te worden (bijv. als identiteitsfraude, discriminatie of reputatieschade) van die persoon in het geding is.

12 Privacygevoelige gegevens Enkele voorbeelden NAW Geboortedatum adressen BSN Nummer Inloggegevens Financiële en HR gegevens Kopieën van identiteitsbewijzen Gegevens die betrekking hebben over gezondheid Gegevens die betrekking hebben over levensovertuiging School of werkprestaties, cliëntgegevens Strafrechtelijke gegevens Bijzondere persoonsgegevens

13 Voorbeelden mogelijke datalekken Per ongeluk : Bestand met persoonsgegevens naar verkeerde ontvanger gestuurd Met opzet : Hacker of ontevreden medewerker neemt kopie van database mee Inbraak in een databestand door een hacker Kwijtraken, vergeten of diefstal van een USB-stick, laptop, mobiel met bedrijfsinformatie of informatie op papier Geringe beveiliging (bijv. slordig wachtwoordbeheer) Diefstal of onrechtmatige inzage in of wijziging van (papieren) gegevens Verlies van data doordat er geen adequate back-up voorhanden is Het versturen van s naar verkeerde mensen met adressen in CC (ipv BCC) Uitval van cruciale informatiesystemen

14 Voorbeelden datalekken

15

16

17

18

19

20 Datalekken - Facts & Figures Datalek meldingen 2016 : : onderzoeken door AP 20x procedure opgestart last onder dwangsom Dit jaar eerste boetes uitgedeeld: Theodoor Gilissen Bankiers (TGB) Politie (origineel )

21 USB Sticks

22 Wat heb IK met informatiebeveiliging?

23 Dumpster Diving Social Engineering Vishing Telefoon Smishing SMS Frank Abagnale Jr. $ cheque fraude Co-piloot (Leidinggevend) Kinder arts Advocaat Zonder enige opleiding en dit alles voor zijn 21 ste Tailgating Alias: Frank Williams Robert Conrad Frank Adams Robert Monjo NU: Werkt bij FBI en geeft voorlichting over fraude aan bedrijven Kenmerken social engineering : Zich voordoen als iemand anders/belangrijk Mensen observeren Beinvloeden en misleiden Manipulatie van mensen (bijv. pilotenpak)

24 Phishing 1. Afzender let goed op wat staat 2. Aanhef niet persoonlijk Beste heer/mevrouw 3. Inhoud Urgentie (snel handelen) Bedreiging (uw account is uitgeschakeld) Taalgebruik/taalfouten Layout en logo s 4. Vreemde link of attachments Bevat virus of malware: klik niet op links, open geen attachments 5. Verwacht je deze wel? Of doe je geen zaken met bijv. ING Bank of KPN?

25 Ransomware

26 Wachtwoorden Een sterk wachtwoord: is minimaal 8 tekens lang heeft minimaal 1 hoofdletter, 1 kleine letter, 1 cijfer en 1 leesteken wordt minimaal elke 60 dagen gewijzigd Hoe langer hoe beter! Deel je wachtwoord nooit met anderen! Gebruik aparte en unieke wachtwoorden per systeem/website, etc. Gebruik voor privé en werk andere wachtwoorden Schrijf wachtwoorden niet op een geeltje of Word lijstje Gebruik 2 Factor authenticatie Gebruik een wachtwoord manager

27 Clean Desk Vertrouwelijke info en dossiers (Vertrouwelijk) oud papier Afsluiten (kantoor)deuren en kasten Mobiele apparatuur en screensaver Informatie op whiteboard/prikbord Lijstjes met namen/adressen/wachtwoorden

28 Enkele aandachtspunten GEEN geeltjes/stickers met wachtwoorden meer hanteren (monitoren, binnenkant kastdeur, klapper, etc.) Vergrendel je scherm als je je werkplek verlaat Haal documenten op uit de printer Gebruik sleutelkastjes en sluit ze af Sluit kasten en kantoordeuren af als je weggaat Leeg tijdig (dagelijks) de vertrouwelijk papier bakken Gebruik Windows + L

29 Mobiele apparaten Laptop, tablet, smartphone Wachtwoorden of pincode op mobiele apparaten Geen privacygevoelige data lokaal op mobiele apparaten Laat apparaten niet onbeheerd achter (kantoor, auto, keukentafel, etc.) Openbare WIFI netwerken - gebruik VPN Update OS en apps

30 Wees alert! Let op wie je meeneemt in de mail adreslijst (TO: & CC:) Stuur geen info aan verkeerde personen Telefonische interviews van onbekende nummers Phishing s (click nooit op links/bijlagen) Onbetrouwbare apps/spellen op smartphones Advertenties in apps, Facebook, websites, etc. Facebook Like-acties en enquêtes op websites (ipad, loungebank, etc.)

31 Let op in openbare plekken

32 Filmpjes Mindreader Vishing Elke App heeft een prijs

33 Vragen? Mark Dresen Security Officer Koraal Servicecentrum ICT