IBD regiosessies voorjaar 2016 Ken uw kroonjuwelen Dataclassificaties & Meldplicht Datalekken in relatie tot Informatiebeveiliging

Transcriptie

1 IBD regiosessies voorjaar 2016 Ken uw kroonjuwelen Dataclassificaties & Meldplicht Datalekken in relatie tot Informatiebeveiliging

2 Agenda 12:30h-12:45h Welkom en opening 12:45h-13:30h Introductie Dataclassificatie en Incidentmanagement in relatie tot Meldplicht Datalekken 13:30h-13:45h Pauze 13:45h-14:30h Workshop 14:30h-15:00h Plenaire terugkoppeling en afsluiting 2

3 1 + 1 =? 3

4 Dataclassificatie Plaats dataclassificatie Wat is dataclassificatie? Waarom doen we het? Principes Waar geeft het antwoord op? Wie doet het? Hoe doen we het? 5

5 Plaats dataclassificatie Een gemeente die informatie verwerkt en daarbij informatiesystemen gebruikt loopt bepaalde risico s doordat die informatie en systemen kwetsbaar zijn voor dreigingen van binnen en van buiten. In kaart brengen van bedreigingen. Per bedreiging kans van optreden en schade bepalen. Dataclassificatie kan beschouwd worden als een vereenvoudigde vorm van een risicoanalyse. 6

6 Schematische weergave speelveld Top down Risicoanalyse -Proces -Applicatie Niveau Baselinetoets -Scope Baseline -Proces -Applicatie -Informatie Data classificatie -Informatie -Applicatie 7 Bottom up

7 Wat is dataclassificatie? Een belangrijk hulpmiddel om bij de vertaling van risico naar maatregel de ernst van een risico en de reikwijdte van een maatregel te kunnen bepalen. Na de classificatie kunnen de juiste maatregelen getroffen worden waardoor enerzijds inbreuken op de veiligheid worden voorkomen en anderzijds daarvoor niet nodeloos veel inspanning getroost wordt. 8

8 Waarom doen we het? Bewerkstelligen dat informatie een geschikt niveau van bescherming krijgt. Informatie behoort te worden geclassificeerd: - met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. - om bij het verwerken van de informatie de noodzaak, prioriteiten en verwachte graad van bescherming te kunnen aangeven. 9

9 Principes dataclassificatie Het object van classificatie is informatie. De classificatie die door de soort informatie bepaald wordt geldt ook voor het hogere niveau van informatiesystemen (of informatieservices). De eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste beschermingsniveau (classificatie). De classificatie heeft betrekking op alle in beheer zijnde gegevensverzamelingen, gegevensdragers, informatiesystemen, servers en netwerkcomponenten. 10

10 Waar geeft het antwoord op? Classificatie van data geeft antwoord over de hoeveelheid, maar ook de diepgang van, maatregelen die genomen moeten worden om die data adequaat te beschermen en geeft ook antwoord op de vraag of de data binnen of buiten de baseline valt. 11

11 Voor wie geeft het antwoorden? De systeem-/proces- eigenaar kan: aan belanghebbenden de eisen voor beveiliging meegegeven: IT-afdeling Externe partij Bewijzen dat hij passende maatregelen getroffen heeft (bij een datalek) Aantonen dat er meer of minder maatregelen nodig zijn (pas-toe-of-leg-uit) Afhankelijk van hoe kosten verrekend worden; ophogen budget voor implementatie maatregelen (eigen afdeling) 12

12 Wie doet het? Typische deelnemers aan een dataclassificatie sessie zijn: Proces eigenaar (eindverantwoordelijk) Systeem eigenaar ((mede-)verantwoordelijk) I&A-manager Applicatiebeheer Systeembeheer Superuser CISO (adviseur) 13

13 Hoe doen we het? Het beschermingsniveau van data wordt uitgedrukt in classificatieniveaus voor beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Integriteit Beschikbaar heid Vertrouwel ijkheid classificatieniveaus 13

14 Dataclassificatie: Verschillende classificatieniveaus Beschikbaarheid: Hoeveel en wanneer data toegankelijk is en gebruikt kan worden. Integriteit: Het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid). Vertrouwelijkheid: De bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden. Niveau 3: essentieel, absoluut, geheim Niveau 2: belangrijk, hoog, vertrouwelijk Niveau 1: noodzakelijk, beschermd, bedrijfsvertrouwelijk Niveau 0: niet nodig, niet zeker, openbaar 15

15 Proces bepalen van classificatieniveaus Wettelijke eisen Welke wet- en regelgeving mogelijk eisen stelt aan gebruik, distributie en opslag van data. Verantwoordelijkheden t.a.v. data Wie bepaalt wie data mag gebruiken? Wie is bevoegd het beschermingsniveau te bepalen? Wie heeft een 'business' belang bij gebruik van deze data? Bepaal wie er allemaal gebruik maakt van data en welke rechten zij hebben. Analyse kritische bedrijfsprocessen Stel het belang van de bedrijfsprocessen vast waarin de data een rol speelt en hoe deze bedrijfsprocessen worden ondersteund door de ICT-voorzieningen. Bepalen van het classificatieniveau Risicobeoordeling waarin de 'waarde' van informatie wordt bepaald. Het classificatieniveau en de daarbij behorende beveiligingseisen en maatregelen moet altijd 'passen' bij het te beschermen gegeven. 16 Het resultaat Uitkomst onder of op het beveiligingsniveau van de Tactische Baseline => geen extra maatregelen. Één van de BIV-waarden een hogere score heeft dan het beveiligingsniveau van de Tactische Baseline => extra maatregelen.

16 Bedrijfsproces Vertrouwelijkheid Bedrijfsproces (business) impact schaalverdeling: Verwaarloosbaar Belangrijke schade Ernstige schade Bedreigt het voortbestaan van de gemeente 17

17 Hoe ziet dat er uit? Bedrijfsproces consequentie ( in het ergste geval) Bedrijfsproces impact Argumentatie ( verplicht invullen W anneer m aximale schade? Fraude Welke impact hebben frauduleuze handelingen t.g.v. bekend worden van deze gegevens? Direct verlies inkom st en Verliezen we inkomsten als informatie in verkeerde handen terecht komt? Publiek vertrou w en Hoe groot is de imagoschade als deze informatie publiek wordt, hoe groot zijn de nadelige gevolgen voor het vertrouwen dat 13 onze burgers in ons hebben?

18 Waarderingsschaal Persoon s- W et t elijke en Financieel Beleid en Verlies van gegevens reglem entaire verlies w erking van de goodw ill verplichtingen gem eent elijke overheid Enige Ongemak voor Civiele procedure Resulteert direct Draagt bij aan Heeft een schade een persoon, of strafrechtelijke of indirect in het niet efficiënt negatieve maar er wordt vervolging, verliezen van opereren van invloed op de Bedrijfspr geen inbreuk resulterend in een minder dan een deel van de betrekkingen oces gemaakt op een schadevergoeding organisatie. met andere im pact= 1 wet of op /boete van delen van de regelgeving. minder dan organisatie of het publiek. Serieuze Een inbreuk op Civiele procedure Resulteert direct Benadeelt het Heeft een schade wet- of of strafrechtelijke of indirect in goed besturen negatieve regelgeving, vervolging, verliezen tussen en/of invloed op de Bedrijfspr resulterend in resulterend in een en functioneren van betrekkingen oces licht ongemak schadevergoeding een deel van de met andere im pact= 2 voor een /boete tussen organisatie. organisaties of persoon of groep en het publiek, personen resulterend in 13 plaatselijke negatieve

19 Meer minder maatregelen Het moeilijkste van een dreiging en geclassificeerd risico is het vinden van de juiste maatregel De BIG is een zeer complete set van maatregelen Dataclassificatie laat niet zozeer meer of minder maatregelen nemen, maar zwaardere of lichtere maatregelen of maatregelen kunnen achterwege blijven. Bijvoorbeeld authenticatie: Machine-machine, wachtwoorden, two-factor, multi-factor 20

20 Samenhang dataclassificatie met Wbp en BIG WBP art 13: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. BIG: 1.3 over en onder rubricering voorkomen classificatie aanbrengen (waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie) onderscheid aanbrengen bij persoonsgegevens Screening procedures voor behandeling digitale media uitwisseling van informatie 21

21 Incidentmanagement in relatie tot de Meldplicht Datalekken Hoe kunnen gemeenten het incidentmanagementproces inzetten bij het vaststellen of en wanneer er in het kader van de Meldplicht Datalekken gemeld moet worden? 22

22 Privacy of toch niet? Bron: Bron: Bron: Bron:

23 Beveiligingsincidenten Kwijtgeraakte USB-stick; Gestolen laptop; Inbraak door een hacker; Malware besmetting; Brand in een datacentrum. 24

24 Wel of geen datalek? Beveiligingsincident: kwijtraken van een USB-stick; diefstal van een laptop; inbraak door een hacker. Niet ieder beveiligingsincident is ook een datalek. Wanneer is het een datalek? Datalek: Als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. 25

25 26

26 Verantwoordelijke versus Bewerker Verantwoordelijke (artikel 1 sub d Wbp): De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; Bewerker (artikel 1 sub d Wbp): Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, dat wil zeggen overeenkomstig diens instructies en onder diens (uitdrukkelijke) verantwoordelijkheid. 27

27 Waar liggen de risico s en verantwoordelijkheid voor invoering beveiligingsmaatregelen? Infra Platform Software Proces IaaS PaaS (cloud) leverancier (cloud) leverancier Gemeente Gemeente SaaS (cloud) leverancier Gemeente 28 Al naar gelang het servicemodel liggen de risico s meer of minder bij de gemeente, overigens staat dit los van de algehele verantwoordelijkheid (verantwoordelijke) en dus wie bepaald welke beveiligingsmaatregelen genomen moeten worden door de (cloud) leverancier in de rol van bewerker. Hoe meer richting de data wordt opgeschoven (IaaS -> PaaS -> SaaS) hoe meer verantwoordelijkheid voor beveiligingsmaatregelen er bij de (cloud) leverancier komt te liggen.

28 Verdeling maatregelen gemeente en (cloud) leverancier Maatregelen uit Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) of Risicoanalyse (cloud) leverancier gemeente Afhankelijk van het gekozen (cloud) model verandert de toewijzing van de beveiligingsmaatregelen in: 29 Inkoopvoorwaarden Contracten Service Level Agreements (SLAs) Bewerkersovereenkomst

29 Afspraken met Bewerker. De wet schrijft niet voor wat u precies met de bewerker af moet spreken. U moet in ieder geval denken aan het volgende: Wordt u geïnformeerd over alle relevante incidenten? Hoe wordt u geïnformeerd over de incidenten? Wordt u tijdig geïnformeerd over de incidenten? Ontvangt u per incident alle informatie die u nodig heeft? Wordt u op de hoogte gehouden van eventuele nieuwe ontwikkelingen rond het incident, en van de maatregelen die worden getroffen om de gevolgen van het incident te beperken en herhaling te voorkomen? Doet de bewerker zelf meldingen aan de Autoriteit Persoonsgegevens? 30

30 Incidentmanagement Response Processtappen Identificatie Stel incident vast. Incident vastgesteld: Waarschuw betreffende instanties. Schade beperken en incident beoordelen Remediatie en herstel Wijs Incident Response-teamleider aan en stel Incident Response Team samen. Beperk verdere schade. Beoordeel aard en omvang en stel de schade vast. Stel bewijsmateriaal veilig. Neem maatregelen om de oorzaak te blokkeren of te verwijderen Voorkom verdere blootstelling van gevoelige gegevens Maak start om de bedrijfsprocessen te herstarten Zorg dat risico s worden gemitigeerd. Kennisgeving Bepaal welke gegevens mogelijk zijn blootgesteld en stel getroffenen in kennis Informeer indien noodzakelijk andere overheidsinstanties, zoals IBD en/of politie. Is er een wettelijke verplicht een melding te doen naar andere instanties? Rapportage en evaluatie Identificeer lessen en bespreek deze met het team Rapporteer over het incident en genomen maatregelen. Rapporteer indien nodig intern en extern Pas het draaiboek aan. Meldplicht Datalekken! 31

31 Omgaan met een datalek Stappenplan Identificatie Beoordeel ontvangen signaal: stel vast wat er mogelijk aan de hand is en welke acties nodig zijn. Stel op basis van de beoordeling een responseteam samen. Informeer proceseigenaar (operationeel eindverantwoordelijke voor het relevante proces of systeem) Bestrijd het datalek Als responseteam een voldoende duidelijk beeld heeft van het incident. Het responseteam kan de benodigde insluitende en schade beperkende maatregelen nemen. Bepaal de impact Onderzoek het datalek. Bepaal de impact op de betrokkenen en uw gemeente. Wie bepaalt die? Bepaal de meld- en herstelaanpak Een datalek wil je zo effectief en efficiënt mogelijk afhandelen: de juiste acties ondernemen, en niet meer acties dan nodig (goede risicoafweging) Meldaanpak: Stel vast of u moet (of wilt) melden / Bereid het melden voor / Doe de melding. Herstelaanpak: Verbeter informatiebeveiliging / Lever nazorg aan betrokkenen / Organisatiebelang. Meld het datalek Meld aan de Autoriteit Persoonsgegevens: (AP): Datalek melden? / Hoe melden? Meld aan de betrokkenen: Datalek melden? / Hoe melden? Meld aan overige partijen: Gemeenteraad / Medewerkers / Ketenpartners / Media / Verzekeraar Herstel Verbeter beveiliging van persoonsgegevens / Lever nazorg aan betrokkenen / Organisatiebelang (afleggen verantwoording en, indien van toepassing, het afhandelen van schadeclaims en boetes.) 32

32 Incidentmanagement Response Processtappen Identificatie Stel incident vast. Incident vastgesteld: Waarschuw betreffende instanties. Schade beperken en incident beoordelen Remediatie en herstel Wijs Incident Response-teamleider aan en stel Incident Response Team samen. Beperk verdere schade. Beoordeel aard en omvang en stel de schade vast. Stel bewijsmateriaal veilig. Neem maatregelen om de oorzaak te blokkeren of te verwijderen Voorkom verdere blootstelling van gevoelige gegevens Maak start om de bedrijfsprocessen te herstarten Zorg dat risico s worden gemitigeerd. Kennisgeving Bepaal welke gegevens mogelijk zijn blootgesteld en stel getroffenen in kennis Informeer indien noodzakelijk andere overheidsinstanties, zoals IBD en/of politie. Is er een wettelijke verplicht een melding te doen naar andere instanties? Rapportage en evaluatie Identificeer lessen en bespreek deze met het team Rapporteer over het incident en genomen maatregelen. Rapporteer indien nodig intern en extern Pas het draaiboek aan. Bepaal of het datalek onder de meldplicht Wbp valt, en indien ja: Informeer de Autoriteit Persoonsgegevens met een voorwaarschuwing.. 33 Meldplicht Datalekken! Als blijkt dat er een meldplicht is voor een datalek, dan moet nu de volledige melding gedaan worden. (als de fatale termijn van 72 uur overschreden is, dan moet dat worden gemotiveerd).

33 Tips om je als gemeente te wapenen tegen datalekken (1/2) 1. Benoem een verantwoordelijk gegevenseigenaar Inventariseer de gegevenseigenaren. Als voor bepaalde gegevens nog geen eigenaar bekend is dient hiervoor een verantwoordelijke eigenaar benoemd te worden. Een van de verantwoordelijkheden is het selecteren van maatregelen om de gegevens te beschermen. 2. Voer de baselinetoets BIG uit / Voer dataclassificatie uit En vervolg deze met een risicoanalyse en een Privacy Impact Assessment (PIA) en implementeer de maatregelen. 3. Benoem een verantwoordelijk functionaris gegevensbescherming Stel een Chief Information Security Officer (CISO) en/of een functionaris gegevensbescherming aan en leg hun verantwoordelijkheden vast. Maak ook afspraken over hun rol in geval van een datalek. 4. Maak medewerkers bewust van de risico s Zorg voor bewustwording bij medewerkers. Ook zij dienen te weten wat datalekken zijn, hoe de incidentprocedures werken en wat de gevolgen kunnen zijn van een datalek voor de gemeente. 5. Pas bestaande bewerkersovereenkomst indien noodzakelijk aan Controleer of de huidige bewerkersovereenkomst zijn voorzien van artikelen in verband met de Meldplicht datalekken. 34

34 Tips om je als gemeente te wapenen tegen datalekken (2/2) Maak beleid rondom incidenten Richt een incidentmanagementproces in om ervoor te zorgen dat bij incidenten tijdig en doeltreffend kan worden gehandeld. Dit zorgt ervoor dat datalekken ook daadwerkelijk opgemerkt worden. 7. Maak beleid rondom datalekken Neem hierin criteria op voor het beoordelen van datalekken. 8. Leg alles goed vast Documenteer alles zorgvuldig, zodat u kunt aantonen dat u werkt in overeenstemming met de geldende wet- en regelgeving. 9. Stel een crisiscommunicatieplan op Een crisiscommunicatieplan op te stellen voor dit soort incidenten, zeker als u de zaak niet op orde heeft of als reputatieschade voor u zeer ernstige gevolgen kan hebben. Neem hierin ook mee hoe u betrokkenen gaat informeren bij een datalek en hoe u omgaat met signalen uit de buitenwereld over mogelijke datalekken. 10.Gebruik encryptie Maak gebruik van encryptie van persoonsgegevens om te voorkomen dat bij een datalek de gegevens kunnen worden gelezen door een derde.

35 36 IBD Producten

36 37 Vragen

37 Contactinformatie 38 Bezoek ook

38 39

39 Wel / geen datalek? Een database met persoonsgegevens is vernietigd als gevolg van een menselijke fout van een systeembeheerder. Van de database is een complete, actuele back-up beschikbaar, op basis waarvan de database direct weer wordt opgebouwd. X Aangezien u over een complete en actuele reservekopie van de gegevens beschikt, is er geen sprake 40 van een datalek.

40 Wel / geen datalek? Een werknemer geeft aan een derde de gebruikersnaam en het wachtwoord die toegang geven tot alle klantgegevens van alle klanten van het bedrijf waar hij werkt. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de derde geen toegang meer heeft. Daarna onderzoekt het bedrijf of de derde daadwerkelijk toegang heeft gezocht tot de klantgegevens. Bij dit onderzoek maakt het bedrijf gebruik van logbestanden, waarin per gebruikersnaam is vastgelegd welke acties er op welk tijdstip zijn uitgevoerd met welke klantgegevens. X Als op basis van de logbestanden redelijkerwijs kan worden uitgesloten dat er door middel van het betreffende 41 account toegang is verkregen tot de klantgegevens, dan is er uitsluitend sprake van een beveiligingslek en niet van een datalek.

41 Meldplicht datalekken wel of niet van toepassing? Een organisatie die in Frankrijk is gevestigd en die geen vestiging in Nederland heeft, laat persoonsgegevens bewerken door een bedrijf in Nederland. X Aangezien de verantwoordelijke voor de verwerking in een ander Europees land is gevestigd, is de 42 Wbp niet van toepassing op de verwerking.

42 Meldplicht datalekken wel of niet van toepassing? Een organisatie die in Nederland is gevestigd, laat persoonsgegevens bewerken door een bedrijf in Frankrijk. De persoonsgegevens bevinden zich op een server in Frankrijk. Als onbevoegden zich toegang verschaffen tot deze gegevens, dan valt dit onder de meldplicht datalekken 43 onder de Wbp en dan moet dit door de Nederlandse verantwoordelijke worden gemeld aan de Autoriteit Persoonsgegevens.

43 Wel of niet melden bij Autoriteit Persoonsgegevens? Intern wordt binnen een Gemeentelijke Gezondheidsdienst (GGD) gesignaleerd dat door een haperende beveiliging (technische storing) medische gegevens van burgers zijn ingezien door onbevoegden. 44

44 Wel of niet melden bij Autoriteit Persoonsgegevens? Een journalistiek programma confronteert een gemeente met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van medewerkers op de server van de gemeente door onbevoegden zijn ingezien. 45

45 Wel of niet melden bij Autoriteit Persoonsgegevens? Een medewerker verliest een laptop met onversleutelde, financiële gegevens van burgers. 46

46 Wel of niet melden bij Autoriteit Persoonsgegevens? Een gemeente krijgt te maken met een hack waarbij gegevens van burgers en wachtwoorden zijn ontvreemd. 47

47 Wel of niet melden bij Autoriteit Persoonsgegevens? Een database van de gemeente met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens. 48

48 Wel of niet melden bij Autoriteit Persoonsgegevens? Vier laptops zijn gestolen bij een sociaal wijkteam. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kwetsbare burgers. 49

49 Wel of niet melden bij Autoriteit Persoonsgegevens? Bij een zorgaanbieder zijn persoonsgegevens ongeoorloofd in te zien als gevolg van een kwetsbaarheid in een webapplicatie. Van 700 personen kunnen naam, adres en formulieren met gevoelige gegevens worden ingezien. 50

50 Wel of niet melden bij Autoriteit Persoonsgegevens? Een brief met daarin persoonsgegevens wordt naar een foutief adres gestuurd, en wordt ongeopend retour gezonden. X 51

51 Wel of niet melden bij Autoriteit Persoonsgegevens? Een medewerker laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend terug bij de rechtmatige eigenaar. X 52

52 Kwetsbare groepen Een hacker weet op de website van een buurthuis door middel van SQL-injectie een bestand te bemachtigen met daarin de namen en e- mailadressen van een twintigtal abonnees op een elektronische nieuwsbrief. De nieuwsbrief richt zich op buurtbewoners van 65 jaar en ouder die bij het buurthuis een cursus volgen om vertrouwd te raken met het gebruik van computers en het internet. De aard van de doelgroep leidt hier tot extra risico's voor de betrokkenen. Gezien de onervarenheid van de 53 betrokkenen met digitale communicatie bestaat er een aanzienlijk risico dat zij in zullen gaan op pogingen tot phishing of oplichting.

53 Wel of niet melden aan betrokkenen Een medewerker geeft aan een derde de gebruikersnaam en het wachtwoord dat toegang geeft tot alle gegevens van alle klanten van het bedrijf waar hij werkt. Het gaat onder meer om namen, adressen, adressen, telefoonnummers, toegangs- en andere identificatiegegevens (gebruikersnamen, gehashte wachtwoorden en klantnummers) en versleutelde betaalgegevens (waaronder rekeningnummers en creditcardgegevens). Om twee redenen moet de verantwoordelijke dit datalek melden aan de betrokkene: slechts een deel van de persoonsgegevens is versleuteld (de wachtwoorden en de betaalgegevens); de 54 betaalgegevens zijn weliswaar versleuteld opgeslagen, maar als de derde met de verstrekte gegevens inlogt krijgt hij via de gebruikersinterface toegang tot de onversleutelde gegevens.