CYBERCRIME/FORENSIC READINESS. Mirjam Elferink, advocaat IE/ICT Krijn de Mik, senior forensic IT Expert

Transcriptie

1 CYBERCRIME/FORENSIC READINESS Mirjam Elferink, advocaat IE/ICT Krijn de Mik, senior forensic IT Expert

2 CYBERCRIME -INTRO (Bron: Youtube,"State of cybercrime facts") 2

3 CYBERCRIME -BEDRIJFSLEVEN GROOTSTE SLACHTOFFER Kosten Nederlandse samenleving: 10 miljard euro Grootste schadeposten: - Inbreuken op intellectuele eigendom (3,3 miljard euro) - Industriële spionage (2 miljard euro) - 59% (ex)-werknemers stelen knowhow - Belasting- en uitkeringsfraude (1,5 miljard euro) - Andere vormen: - Afpersing, online diefstal van geld, online diefstal van klantgegevens (0,5-1 miljard euro) - Deze vormen van cybercrime leiden tot directe schade, schadevergoedingen en boetes, maar ook tot kostenposten vanwege repressieve en preventieve maatregelen. (Bron: TNO) 3

4 PROGRAMMA CYBERCRIME EN FORENSIC READINESS 1. Wat is cybercrime? 2. Welke wetgeving is van toepassing? 3. Preventie: wat kunt u ertegen doen? 4. En als het dan toch gebeurt.? -Hoe om te gaan met een beveiligingsincident? - Hoe bewijst u het incident? 5. Afgifte NAW-gegevens aan private partijen 6. Wet bewaarplicht verkeersgegevens 7. Presentatie FOX IT Krijn de Mik 8. Contractuele afspraken (cloud)providers 9. Vragen 4

5 5 CYBERSECURITYBEELD NEDERLAND 3 ADVIES/KENNISDELING/TRENDRAPPORTEN

6 WAT IS CYBERCRIME? criminaliteit met ICT als middel én doelwit ( ) criminele activiteiten waarbij gebruik wordt gemaakt van ICT ( ) alle vormen van criminaliteit waarbij het gebruik van internet een hoofdrol speelt ( ) 6

7 WAT IS CYBERCRIME? Cybercrime omvat elke strafbare gedraging waarbij voor de uitvoering het gebruik van geautomatiseerde werken bij de verwerking en overdracht van gegevens van overwegende betekenis is (KLPD Dienst Nationale Recherche, 2009) 7

8 CYBERCRIME IN RUIME ZIN (INSTRUMENT/MIDDEL) Bedreiging Smaad/laster Fraude Oplichting Heling Witwassen Relschoppen Valsheid in geschrifte 8

9 CYBERCRIME IN ENGE ZIN (ICT ALS DOEL/OBJECT) Computervredebreuk (hacking); Malware (virus, botnet, spyware, ransomware); verwijderen/aanpassen van gegevens; ICT sabotage (DDOS); Grootschalige auteursrechtinbreuk/softwarepiraterij; Spam; Phishing. 9

10 WETGEVING Cybercrime verdrag (Raad van Europa) Voorstel voor een Europese richtlijn Cybersecurity (2013) Wetboek van Strafrecht - Wet Computercriminaliteit I Wet Computercriminaliteit II Wet Computercriminaliteit III Ontwerp Wetboek van Strafvordering Procedures Telecommunicatiewet (bewaarplicht providers, spam, cookies) Auteurswet Wet Bescherming Persoonsgegevens Wet particuliere beveiligingsorganisaties/recherchebureaus 10

11 PREVENTIEF Bewustwording Vaststellen van kwetsbaarheden Opstellen van protocollen: ICT-protocol ( en internetprotocol werknemers), cybercrime-protocol, datalek-protocol, inval (bezoek) opsporingsinstanties protocol Meewerken aan inlichtingenverzoeken protocol Tijdige herkenning Goede beveiliging hard en software: Cybersecuritybeleid 11

12 EN ALS HET DAN TOCH GEBEURT.? Hoe om te gaan met een beveiligingsincident? 1. Herstellen van de schade en aanscherpen van beveiligingsmaatregelen 2. Incident melden 3. Strafrechtelijke procedure (aangifte doen) 4. Civielrechtelijke procedure 12

13 EN ALS HET DAN TOCH GEBEURT.? Hoe bewijst u een beveiligingsincident? En wie het heeft gedaan? Systeembeheer/veiligstellen van gegevens -> particulier recherchebureau (Fox IT) Forensisch Onderzoek -> particulier recherchebureau (Fox IT) In geval van IE-inbreuken en diefstal knowhow: -> Conservatoir bewijsbeslag 13

14 IE-inbreuken/diefstal knowhow Casus: werknemer steelt data werkgever (filmpje: 59%) Werknemer vertrekt naar nieuwe werkgever en nadien blijkt dat hij allerlei knowhow waaronder bepaalde producttechnische tekeningen van het bedrijf heeft gekopieerd en g d naar zijn privéadres. Wat nu? -Bescherming op grond van Intellectuele Eigendomsrechten? -Contractuele bescherming knowhow via arbeidsovereenkomsten? Boetebepalingen? -ICT-protocol (internet- en reglement) -Hoe te bewijzen? -Conservatoir bewijsbeslag -(Forensisch) deskundigenonderzoek 14

15 AFGIFTE AAN PRIVATE PARTIJEN? Lycos/Pessers: 4 stappen toets a. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk; b. reëel belang derde bij de verkrijging van de NAW-gegevens; c. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen; d. afweging van de betrokken belangen van de derde, de serviceprovider en de websitehouder (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren. Eisen cumulatief 15

16 WET BEWAARPLICHT VERKEERSGEGEVENS Wettelijke bewaarplicht providers Telecommunicatiewet Bewaartermijn: 6 maanden Termijn staat momenteel ter discussie, want korte termijn -> belang forensic readiness groot, anders teveel kostbare tijd verloren aan onderzoek vergaren data in plaats van onderzoeken data en kosten 16

17 CYBERCRIME/FORENSIC READINESS Krijn de Mik Sr. Forensic IT Expert

18 SPREKER Krijn de Mik Sr. Forensic IT Expert Verantwoordelijk voor aansturing en betrokken bij forensische onderzoeken: Integriteit/ compliance/ fraude/ e-discovery Cyber gerelateerde onderzoeken 18

19 Wij voorkomen, beperken en bestrijden de grootste ITbedreigingen BANKEN CRYPTO in sectoren waar beveiliging van cruciaal belang is CYBERCRIME POLITIE DEFENSIE RIJKSOVERHEID VITALE INFRASTRUCTUUR met slimme, technische en innovatieve oplossingen BEDRIJFSLEVEN FORENSICS FOX-IT Ter bescherming van mensen, essentiële bedrijfsmiddelen, informatie en geld. 19

20 INHOUD 1. Casus 2. Onderzoeksproces 3. Crisis! 4. Oplossingen 5. Vragen 20

21 CASUS - SITUATIE Organisatie stelt vast dat over de afgelopen maand het volgende is afgenomen: 1. Bezoekersaantallen website 2. Inkomsten De beheerder/ ontwikkelaar wordt ingeschakeld voor onderzoek. Mogelijke verklaring voor geleden schade is dat de website uit de zoekmachine is verwijderd 21

22 CASUS - VRAGEN Wie host de website? Is de website in eigen beheer, of wordt deze onderhouden door een andere partij? Welke loggegevens zijn voorhanden? Hoe lang gaan de loggegevens terug? Worden er backups gemaakt van de server? Wie had er allemaal toegang? Hoe complex zijn de wachtwoorden? 22

23 CASUS - ONDERZOEK Carving: terughalen van verwijderde loggegevens Openbronnen onderzoek: verzamelen online gegevens over de website. Timelining: combinatie maken van gegevens harde schijven en openbronnen 23

24 CASUS - CONCLUSIE Zeer aannemelijk dat een specifiek IP-adres verantwoordelijk is voor wijziging systeem. Onvoldoende bewijsmateriaal nog voor handen. Aangifte gedaan bij de politie, waarna de politie onderzoek gaat doen met als resultaat 24

25 8 CASUS - CONCLUSIE

26

27

28 BELANG VAN FR Incidenten zijn onvermijdelijk Verantwoordelijkheden richting: Klanten Toezichthouders (meldplicht?) Snelle respons Korte termijn: kan ten koste gaan van zakelijke relaties en inkomsten Lange termijn: beperken kosten en verhalen van kosten (civiel onderzoek) 28

29 29 TRADITIONELE PD

30 30 COMPUTER PD

31 FORENSISCH IT ONDERZOEK Digitaal sporenonderzoek Het speuren naar digitale sporen van (digitale) delicten in computers, netwerken en systemen 31

32 ONDERZOEKSPROCES Stappen binnen onderzoeksproces: Inventariseren en selecteren Veiligstellen Onderzoeksklaar maken Analyse en correlatie Rapporteren 32

33 DATA Steeds meer data Zowel relevante Alsook bagger Op steeds meer plaatsen Verspreid over de (IT) organisatie In binnen- en buitenland Buiten de organisatie Netwerken groter en complexer Datastructuren complexer 33

34 34 HOEVEEL DATA IS DIT?

35 35 BESCHIKBAARHEID VAN DATA (INTERN/EXTERN)

36 BEDRIJFSNETWERK Internet 36

37 VOORBEELDEN VAN MOGELIJK RELEVANTE DATA Stel data zo snel mogelijk veilig: Forensic image desktop Company phone Web proxy records PBX phone records en file server data VPN access records Application server activiteiten 37

38 38 WELKE DATA IS IN UW ORGANISATIE BESCHIKBAAR?

39 BELANGRIJKE VRAGEN? Worden er backups gemaakt en zijn deze al wel eens getest? Welke logbestanden zijn beschikbaar en wanneer roteren deze? Wordt de gearchiveerd, of alleen lokaal opgeslagen op computers? Worden telefoongesprek gegevens gelogd / eventuele SMS jes? Zijn er proxyservers en welke informatie slaan deze op? BYOD Werkstations/thin clients 39

40 40

41 41 WELKE DATA IS BUITEN UW ORGANISATIE BESCHIKBAAR?

42 OUTSOURCING / CLOUD Internet 42

43 BELANGRIJKE VRAGEN? Wat kan uw Cloud Service Provider/ outsource partij aanleveren in het geval van een incident? Met welke snelheid kunnen zij informatie aanleveren? Hoe compleet is de informatie die ze aanleveren? Hoe staat het er eigenlijk voor met de beveiliging van uw data extern, en hoe zit met aansprakelijkheid? 43

44 44 OFF THE RECORD

45 45

46 OPLOSSINGEN Zorg voor een gedegen SLA met je outsourcingspartij of CSP Maak afspraken over: hetgeen voor handen moet zijn in het geval van een incident De tijd waarin het aangeleverd moet worden De vorm waarin het aangeleverd moet worden Stem interne processen op elkaar af Ga niet willekeurig dingen loggen Correlatie logging (tijd syncen, ip vs hostname, tijdzones, etc) 46

47 Oefenen = Doorloop een incident scenario en kijk waar er verbetering mogelijk is Kèn Nugraha

48 48 Dustin Cohen

49 49?

50 CYBERCRIME/FORENSIC READINESS Mirjam Elferink, advocaat IE/ICT

51 AANDACHTSPUNTEN (CLOUD)OVEREENKOMST (1) SLA: Maak goede afspraken over het dienstenniveau in een SLA, denk o.m. aan: - Het maken van periodieke back-ups - Het maken van log bestanden - Breng in kaart welke oplossing uw cloudprovider (bv. Microsoft) biedt om u bij te staan in geval van een incident - breng onderlinge afhankelijkheden in kaart tussen uw dienstverlener en diens toeleveranciers/onderaannemers 51

52 AANDACHTSPUNTEN (CLOUD)OVEREENKOMST (2) Afspraken cloudprovider: - Wie is eigenaar van de data? - Bij wie rusten de intellectuele eigendomsrechten op de data?; - Welke data moeten bewaard blijven; hoe lang en hoe compleet? - Eigendom servers (in geval van private cloud): wie is eigenaar? Toegang tot de applicatie/ fysiek gescheiden omgeving - In geval van public cloud: wat zijn de waarborgen dat andere gebruikers van de public cloud geen toegang hebben tot uw gegevens (fysiek/technisch) 52

53 AANDACHTSPUNTEN (CLOUD)OVEREENKOMST (3) Quality of service: - controle over fysieke locatie data; - veiligheid (inzien, manipuleren etc.) data; - snelheid; - toegankelijkheid data. Auditregeling Aansprakelijkheid/ Regel wie waarvoor aansprakelijk is. Denk m.n. aan: - dataverlies, datalekken en recovery - beschikbaarheid en bereikbaarheid - boete en schade - sole remedy 53

54 AANDACHTSPUNTEN (CLOUD)OVEREENKOMST (4) Meldplicht datalekken Anticipeer op de wettelijke ontwikkelingen m.b.t. de datalekmeldplichten. Deze meldplicht rust op u als verantwoordelijke. Toepasselijk recht Cloud grensgebonden. Wellicht contracteert u met buitenlandse partijen. Weet op grond van welk recht de eventuele geschillen zullen worden beslecht! Let op: persoonsgegevens mogen niet zonder meer buiten de EU worden opgeslagen. 54

55 AANDACHTSPUNTEN (CLOUD)OVEREENKOMST (5) Denk aan contractuele bescherming knowhow via arbeidsovereenkomsten IEbepalingen/boetebepalingen? Maak specifieke afspraken met betrekking tot: privacy Volg hiervoor de derde module ICT en privacy op 13 mei a.s.! Meer over Contracteren in de cloud? Tweede module 15 april a.s.! 55

56 56 VRAGEN?