En nu gaan leren Brenno de Winter

Maat: px

Weergave met pagina beginnen:

Download "En nu gaan leren Brenno de Winter"

Barbara van der Berg
6 jaren geleden
Aantal bezoeken:

1 Digitale Veiligheid 3.0 En nu gaan leren Brenno de Winter brenno@dewinter.com

2 Open Data Privacy

7 3300 BC

8 200 BC

9 1040

11 Andere snelheden 1520 Boeken 1521 Luther in de ban 1546 Luther overlijdt 1559 kwam de Index

12 Informatietijdperk 1833 eerste mechanische computer 1944 ish eerste computer 1953 eerste computer in Nederland 1969 basis internet 1971 eerste voor particulieren 1980 Usenet 1991 Eerste website 2000.com bubble

13 Langzaam leren De Scilly-ramp doden Slechte navigatie in een storm

Veel voorkomende problemen 1120 - White Ship (Engeland) - aan de grond gelopen - 300 doden - 20 jaar conflict over de troon 1274/1281 - Mongolische vloot - storm (kamikaze) - 100.

14 Veel voorkomende problemen White Ship (Engeland) - aan de grond gelopen doden - 20 jaar conflict over de troon 1274/ Mongolische vloot - storm (kamikaze) doden HMS Sussex (Engeland) - storm doden - 2 overlevenden Prinses Amelia - aan de grond gelopen - 86 doden - 21 overlevenden schepen Engels kanaal - storm

15 Zelfde fouten blijven herhalen 'Life is Short, Have an Affair' Ashley Madison 60Gb bedrijfsgegevens online gezet 15,000 mensen gebruikten VS-overheids mail 11 miljoen accounts ( s, wachtwoorden) Diverse mensen plegen zelfmoord

16 Darkweb Een netwerk binnen het internet Hoge mate van anonimiteit Allerlei diensten/producten verkrijgbaar Bijv. gestolen identiteitsgegevens

17 Inloggegevens te koop

18 Werkelijk van alles te koop

19 Of beter

20 Complete identiteit

22 Really anything

23 Doorzoek het darknet

25 Geld witwassen

26 Dus vertrouwen moeten we verdienen

27 Lessen uit 1 jaar hacks incidenten, inbraken in 61 landen In 60 procent van de gevallen lukt inbreken in minuten In 99,9% van misbruikte lekken was het lek meer dan een jaar bekend 500 lekken > x misbruikt Bron: Verizon Data Breach Investigations Report

28 Klopt dat?

34 Oeps!

40 Alle ministeries Wie neemt dat aan? Europees Parlement Koninklijk Huis Ophalen post Politie T-Mobile, Vodafone voor nieuwe SIM-kaarten Het Parlement Hotels Treinen, vliegtuigen De NCTV

41 Dus Wees beducht voor identiteitsdiefstal Denk na voor je maatregelen neemt Als je iets aan maatregelen doet, doe het goed Besef dat je verantwoordelijk bent voor de data die je beheert

42 Hacker Henkie De hacker die technologie herdefinieert

45 Mapping from 2010 to 2013 Top 10 OWASP Top (old) OWASP Top (New) 2010-A1 Injection 2013-A1 Injection 2010-A2 Cross Site Scripting (XSS) 2010-A3 Broken Authentication and Session Management 2013-A2 Broken Authentication and Session Management 2013-A3 Cross Site Scripting (XSS) 2010-A4 Insecure Direct Object References 2013-A4 Insecure Direct Object References 2010-A5 Cross Site Request Forgery (CSRF) 2013-A5 Security Misconfiguration 2010-A6 Security Misconfiguration 2013-A6 Sensitive Data Exposure 2010-A7 Insecure Cryptographic Storage 2013-A7 Missing Function Level Access Control 2010-A8 Failure to Restrict URL Access 2013-A8 Cross-Site Request Forgery (CSRF) 2010-A9 Insufficient Transport Layer Protection 2013-A9 Using Known Vulnerable Components (NEW) 2010-A10 Unvalidated Redirects and Forwards (NEW) 2013-A10 Unvalidated Redirects and Forwards 3 Primary Changes: Merged: 2010-A7 and 2010-A9 -> 2013-A6 Added New 2013-A9: Using Known Vulnerable Components 2010-A8 broadened to 2013-A7

46 Erover praten Vooral verkeersregels 1889 conferentie in Washington Vooral Cybercrime (strafrecht) Diverse conferenties Veel ongelukken ook door zeil naar stoom Datalekken blijven toenemen in aantal Geblokkeerd door Engeland Weerstand uit VS bij nieuwe privacyregels

48 SOLAS Safety of Life at Sea Aantal reddingsboten Reddingsmiddelen Continue radiowacht

49 Mapping from 2010 to 2013 Top 10 OWASP Top (old) OWASP Top (New) 2010-A1 Injection 2013-A1 Injection 2010-A2 Cross Site Scripting (XSS) 2010-A3 Broken Authentication and Session Management 2013-A2 Broken Authentication and Session Management 2013-A3 Cross Site Scripting (XSS) 2010-A4 Insecure Direct Object References 2013-A4 Insecure Direct Object References 2010-A5 Cross Site Request Forgery (CSRF) 2013-A5 Security Misconfiguration 2010-A6 Security Misconfiguration 2013-A6 Sensitive Data Exposure 2010-A7 Insecure Cryptographic Storage 2013-A7 Missing Function Level Access Control 2010-A8 Failure to Restrict URL Access 2013-A8 Cross-Site Request Forgery (CSRF) 2010-A9 Insufficient Transport Layer Protection 2013-A9 Using Known Vulnerable Components (NEW) 2010-A10 Unvalidated Redirects and Forwards (NEW) 2013-A10 Unvalidated Redirects and Forwards 3 Primary Changes: Merged: 2010-A7 and 2010-A9 -> 2013-A6 Added New 2013-A9: Using Known Vulnerable Components 2010-A8 broadened to 2013-A7

50 Transformation 20% Custom Code 80% Libraries But library use is growing at a staggering rate

55 Persoonsgegevens

56 persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

57 Actoren Betrokkene: degene op wie een persoonsgegeven betrekking heeft Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

58 Artikel 13 De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

59 Artikel 14 Wbp 1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt. De verantwoordelijke ziet toe op de naleving van die maatregelen.

60 Artikel 14 Wbp 2. De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.

65 Wbp/GDPR Meldplicht Datalekken Beveiligingsverplichting Verplichtingen naar betrokkene Boetes voor overtredingen Transparantie

67 x

68 Transparantie

73 Digitale inbraak. Bij een digitale inbraak op de website zijn mogelijk persoonsgegevens uit een database ingezien en/of meegenomen. Onderzoek. Een gespecialiseerd bureau heeft forensisch onderzoek uitgevoerd naar de digitale inbraak. Zij hebben geen aanwijzing kunnen vinden dat de database op de website is geraadpleegd en/of de inhoud ervan is meegenomen. Maar het bureau kan dit ook niet voor 100% uitsluiten. De volledige inhoud van het onderzoeksrapport wordt niet naar buiten gebracht. De informatie in het rapport is hiervoor niet geschikt. Het rapport voldoet aan de uitzonderingsregels van artikel 10 Wet openbaarheid van bestuur. Gevolgen. De hacker(s) heeft mogelijk toegang gehad tot de server en een database. De database bevatte gegevens van burgers. Het gaat om naam, adres, woonplaats, adressen, mobiele telefoonnummers, burgerservicenummers (BSN) en bankrekeningnummers. Daarnaast betreft het enkele adressen van onze medewerkers en aanverwante bedrijven. Betrokkenen. De mogelijke gehackte gegevens waren ingevuld op het voormalig algemene contactformulier op ede.nl. Van zo n burgers zijn gegevens mogelijk ingezien en/of meegenomen. Een klein gedeelte had hun Burger Service Nummer of bankrekeningnummer ingevuld. Alle betrokken burgers worden persoonlijk geïnformeerd. Waar moeten betrokkenen op letten? Alle betrokkenen ontvangen persoonlijk bericht. We kunnen niet uitsluiten dat uw gegevens uit de database zijn gehaald. Hiermee ontstaat het risico op identiteitsfraude. Informatie over identiteitsfraude vindt u op de websites van politie en rijksoverheid. Maatregelen. Na constatering van de hack zijn er verschillende maatregelen genomen. Zo zijn bestanden verwijderd, is de database leeggemaakt en zijn er diverse veiligheidsmaatregelen getroffen. Digitale dienstverlening. De gegevens kwamen uit het voormalig algemene contactformulier op onze website. Het gaat dus niet om informatie uit andere formulieren, zoals de melding woon- en leefomgeving, parkeervergunning, verhuizing et cetera doorgeven. Doel van de aanval. De aanvallers willen resultaten in zoekmachines manipuleren. Het doel hiervan is bezoekers door te leiden naar externe advertentiewebsites over afvallen en het lenen van geld. Dit in plaats van het doorverwijzen naar de plek op deze website waar informatie staat waarnaar ze op zoek zijn. Dit soort aanvallen gebeuren vaak vanuit Oost-Europa. Dat is ook hier het geval geweest.

74 Zo goed beveiligd als een bank

75 Veel hackers zijn 9-jaar oud

82 Op naar de Titanic! Geef het 1 minuut per dag

Vergelijkbare documenten

Deny nothing. Doubt everything.

Deny nothing. Doubt everything. Hack to the Future Marinus Kuivenhoven Sr. Security Specialist Houten, 23 juni 2015 marinus.kuivenhoven@sogeti.com 2 Het valt op Wij leren niet van het verleden Zekerheid