Better safe and private SURFNET DEVELOPS CODES OF CONDUCT

Transcriptie

1 Better safe and private SURFNET DEVELOPS CODES OF CONDUCT TNC 2014

2 Waar staan we Pobelka botnet case gevoelige data kwam beschikbaar Ook andere botnet cases lopen, hoe ermee om te gaan? SURFnet directie à verzoek beleid Ronald Leenes en Bert-Jaap Koops -> expert opinion papers Vandaag input beleidsvorming Vervolg -> aanscherpen huidige draft en draagvlak creëren

3 Lessons learned Pobelka Belang van data inzien verschilt sterk (umc s versus onderwijs) Belang pas goed te bepalen door data in te zien Beleid intern instellingen verschilt (bv prive internet gebruik) Proces data verwerken binnen instellingen in kinderschoenen Is de juiste contactpersoon bereikt? Ivm VPN was er ook thuis-ip s in data Onderzoeken of patientgegevens gelekt zijn -> handmatig bepalen Juridisch (privacy, strafrecht) veel vragen Ethiek

4 Opinion strafrecht (BJ) Niet in het algemeen te zeggen wanneer een antibotnetactie wederrechtelijk is. ->afhankelijk factoren zoals contracten, gedragscodes, de stand van de techniek, de (mogelijke) schade, kosten van ingrijpen, (on)mogelijkheden diverse actoren om in te grijpen, hoe de maatschappij aankijkt tegen ingrijpen door private actoren Leidende beginselen zijn subsidiariteit (minst ingrijpend) Proportionaliteit - de bedreiging de mogelijke of aangerichte schade van het botnet de mate van ingrijpen in computers en gegevensstromen van anderen rechtvaardigt. Voor elk type actie, en in elke context, moet worden bekeken of het nodig is dat SURFnet of een aangesloten instelling deze actie uitvoert (in plaats van het over te laten aan politie, antivirusaanbieders of eindgebruikers)

5 Opinion Privacy (RL) Het belang van vergroten van de veiligheid van het internet kan bepaalde verwerking van persoonsgegevens rechtvaardigen Verwerking en verstrekking van botnetdata beperkt blijven tot welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (art. 7 Wbp). Doel moet worden vastgelegd vooraf en gemeld bij CBP

6 Opinion Privacy (RL) -2- Voor botnet data restrictieve doelen opstellen: het waarschuwen van betrokkenen dat hun computersysteem is geïnfecteerd door een botnet; het waarschuwen van partijen die mogelijk benadeeld kunnen zijn door acties voortvloeiende uit het botnet; in het licht hiervan, dat relevante gegevens worden verstrekt aan relevante derden, waaronder de bij SURFnet aangesloten instellingen en andere ISPs die de gedupeerden/slachtoffers kunnen waarschuwen; het nemen van maatregelen ter beperking van de activiteit van botnets. De data mogen niet langer worden bewaard dan noodzakelijk voor de doelen die zijn aangeduid, danwel zal moeten worden geanonimiseerd. Tevens zal data die niet relevant is voor het gestelde doel moeten worden verwijderd.

7 Opinion Privacy (RL) -3- SURFnet mag de data verstrekken aan de aangesloten instellingen. De zorgplicht van SURFnet en aangesloten instellingen beperken tot de eigen personenkring. te verdedigen is dat de hele dataset overgedragen wordt aan de bevoegde opsporingsinstantie -> verbetering veiligheid op internet SURFnet en aangesloten instellingen mogen interne slachtoffers waarschuwen. Bij verwerking van de botnetdata geldt zoveel mogelijk pseudonimisatie en anonimisering van gegevens plaatsvindt. Beleid afstemmen andere ISP s, Cbp en de Autoriteit Consument en Markt.

8 Gedachten Bepalen belang en impact Richtlijnen om het belang en de impact te wegen Soms via procedure data inzien om impact bepalen Toetsing door externe commissie bij twijfel? Indien voldoende belang, doelen formuleren en CBP melding Bij het ontvangen of beschikbaar krijgen van privacy data Na vaststellen belang/impact zoveel mogelijk geautomatiseerd anonimiseren/filteren Leeftijd data belangrijk om voor instelling koppeling te maken tussen gebruiker en IP. Oude data rechtvaardigt meer data leveren. Of computer Of persoon moet geidentificeerd kunnen worden Procedureel initieel alleen ip en/of computernaam met timestamp en generieke duiding beschikbaar stellen. Specifieke contactpersoon (FG) data overhandigen indien instelling aan bepaalde eisen voldoet Datalek melding Vernietigen data

9 Gedachten -2- Botnet takedown Na vaststellen duidelijk belang/impact in contact treden met ncsc/politie/ justitie Eventuele derden informeren/waarschuwen Security contactpersonen melden over aanstaande takedown. Takedown uitvoeren Eventuele beschikbare privacy data -> belang/impact traject Eventuele data overhandigen aan politie Verslag takedown opleveren aan ncsc/politie/justitie Overig Beleid/processen binnen instellingen moeten op juiste niveau gebracht worden Afspreken hoe SURFnet data gaat duiden

10 Vervolgtraject in stappen Input verwerken in draft beleidsdocument Final draft versie opstellen beleidsdocumenten & procedure documenten Draft versie verspreiden via SURFibo, SCIRT -> verder aanscherpen In breder overleg met bijvoorbeeld: NCSC, politie, Openbaar Ministerie, beveiligingsbedrijven, banken, ICT koepelorganisaties en privacyorganisaties Vaststellen SURFnet beleid en aanpassing gebruiksovereenkomst