My Name is Moens, Alf Moens >> 0 >> 1 >> 2 >> 3 >> 4 >>

Transcriptie

1 My Name is Moens, Alf Moens >> 0 >> 1 >> 2 >> 3 >> 4 >>

2 Granted to Alf Moens License to Kill any network connection that is abused, is using extensive bandwidth, has been hacked or otherwise compromised, is multiple times used to distribute copyright protected material, is used for spamming, as long as it doesnot belong to any vital piece of the information infrastructure, according to the management or the owner, or is registered on the name of a bobo of the institute.

3 Security Manager TU Delft, Voorzitter SURFibo, Programmamanager IB SURF Alf Moens MISM

4 DISCLAIMER De navolgende beelden en verhalen zijn gebaseerd op echte praktijkgebeurtenissen. Iedere overeenkomst met bestaande personen, situaties en instellingen is volledig opzettelijk.

5 Whodunnit? Of wel, Hoe voorkom ik dat we in de krant komen?

6 Whodunnit? Wat is de rol van architectuur? Wat is de rol van standaarden? Wat is de rol van identity management? Bij het voorkomen van informatielekken.

7 Wat kan er mis gaan? Drie recente praktijkvoorbeelden Analyse van wat er mis ging en waarom Handreiking om schade te voorkomen of te beperken.

8 1 >> 0 >> 1 >> 2 >> 3 >> 4 >>

9 Studieresultaten in Google April 2009 Ergens in Nederland

10 Scene 1: OR vergadering met CvB >> 0 >> 1 >> 2 >> 3 >> 4 >>

11 Scene 2: Aankondiging en Escalatie Voorzitter College Directeur ICT Directeur ICT Manager ICT Operations Manager ICT Operations Functioneel beheerders Technisch beheerders Security manager Ingetrokken verloven, maximale stand-by CRISIS DUS!

12 Scene 3: Het bericht >> 0 >> 1 >> 2 >> 3 >> 4 >>

13 Scene 4: De Feiten Studieresultaten: Excel sheet op website van een vakgroep Met namen, nummers en resultaten Niet een keer maar meerdere Excels Namen plus nummers mag niet samen Kostprijsberekening TU Delft Personeel Interne brief op openbare website Binnen 1 uur probleemanalyse naar CvB

14 Scene 5: De Afronding Verzoek naar vakgroep om sheets aan te passen Verzoek naar M&C om interne brief te verwijderen Terugkoppeling naar melder (en enige discussie)

15 Scene 6: Analyse Wat ging hier mis? Vakgroep heeft eigen website, buiten corporate site om, maar alles open. Vakgroep wil veel info naar studenten geven Het zijn de eigen cijfers (vakgroep & student)

16 Scene 7: Oplossing By design: sites met studieresultaten afschermen (architectuur, standaarden, IM) Voorlichting Beter gemeenschappelijke faciliteiten bieden: Gebruikerswens geboden functionaliteit

17 Intermezzo Architectuur

18 2 >> 0 >> 1 >> 2 >> 3 >> 4 >>

19 Gegevens op Straat Februari 2009 Ergens in Nederland

20 Dit voorbeeld is IVM de vertrouwelijkheid van de casus uit de oorspronkelijke presentatie verwijderd. Belangstellende kunnen zich wenden tot de auteur. >> 0 >> 1 >> 2 >> 3 >> 4 >>

21 Oeps? Niet Over Nagedacht. Oplossing is Simpel.

22 3 >> 0 >> 1 >> 2 >> 3 >> 4 >>

23 Gegevens op Straat Mei 2009 Ergens anders in Nederland

24

25

26

27 Een Opgeblazen Badeendje? >> 0 >> 1 >> 2 >> 3 >> 4 >>

28 Een Opgeblazen Badeendje? Het is uit de hand gelopen. - vroeg signaal - geen reactie - happige pers - (Internet Rules)

29 Hoe Helpen Architectuur Standaarden en Identity Management? >> 0 >> 1 >> 2 >> 3 >> 4 >>

30 Architectuur Er is te voren over nagedacht Er is Samenhang Er zijn Keuzes gemaakt voor Oplossingen Methodes en Technieken Er is Samenhang

31 Standaarden Eenduidige manier van Werken Verwerken Presenteren Er zijn afspraken gemaakt

32 Identity Management Gebruikers zijn bekend Toegang tot informatie is gereguleerd Identiteiten en rechten zijn eenduidig vastgelegd

33 Standaarden Architectuur Identity Management Overige (On)bevoegden, per ongeluk Onbevoegden, Opzettelijk (hackers) Foutje, Sorry, Niet over Nagedacht Voorlichting, Procedures Preventie Voorlichting, Procedures Opgeblazen Badeendje Alertheid Eigenwijze Gebruiker Strafregels?

34 Conclusie Architectuur, Standaarden en Identity Management dragen in belangrijke mate bij aan het beperken van negatieve pers Maar lossen niet alles op Traditionele Beveiliging en Voorlichting blijven noodzakelijk, maar worden steeds meer een vangnet.

35 Studielink zo Lek als een Mandje Kamervragen! Alle studenteninformatie in Studielink blijkt voor iedereen toegankelijk te zijn. Met enkele simpele muisklikken komen de lijsten met namen, studievoorkeuzen, cijferlijsten en banknummers te voorschijn. Door nog een paar keer door te klikken kunnen ook originele diploma's gedownload worden. De directeur van Studielink, Wouter de Haan, was niet bereikbaar voor commentaar, wegens een Studielink congres in Noordwijk. Het lek in Studielink heeft er altijd ingezeten en is waarschijnlijk al lange tijd misbruikt in het criminele circuit voor identiteitsdiefstal bij argeloze eerstejaars. De LSVB heeft aangekondigd vanmiddag nog vragen te stellen in de Tweede Kamer. Minsiter Plasterk (foto) is teruggeroepen van een internatioonale feestbijeenkomst van ministers van Onderwijs. De Nationale coordinator terrorisme bestrijding ziet vooralsnog geen aanleiding het dreigingsniveau te verhogen.