CYBERDREIGINGSBEELD 2015

Vergelijkbare documenten
Bedrijvenbijeenkomst informatiebeveiliging en privacy

SURF Informatiebeveiliging & Privacy. Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit

Aantal ingeschreven studenten per universiteit naar onderwijstaal, studiejaar

Compliance and Control

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation

SURFnet7 PoP-Redundantie

GASTVRIJ EN ALERT

Gemeente Alphen aan den Rijn

Taskforce Informatiebeveiligingsbeleid.

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015

Informatiebeveiliging: Hoe voorkomen we issues?

Resultaten SURFaudit benchmark 2015

Informatiebeveiligingsbeleid

Actieplan Informatiebeveiligingsbeleid mbo

De maatregelen in de komende NEN Beer Franken

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Verklaring van Toepasselijkheid

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Privacy in het mbo, verwerkersovereenkomsten Sebastiaan Wagemans, Contract-/ productmanager SURFmarket Leo Bakker, adviseur ibp Kennisnet

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Compliance and Control

Rapportage Enquête StudieKeuze 2015

Benchmark informatiebeveiliging

Informatiebeveiliging

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Overzicht fixusopleidingen met selectie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Overzicht fixusopleidingen met selectie. Hogescholen. d.d. 3 oktober 2016

Hoe operationaliseer ik de BIC?

Informatiebeveiligingsbeleid

In een keten gaat het om de verbindingen, niet om de schakels.

Hoe kan IR de Instellingstoets Kwaliteitszorg verbeteren? Alexander Babeliowsky Kennissessie DAIR-seminar 1 november 2017

ISO 27001:2013 INFORMATIE VOOR KLANTEN

etouradres Postbus EA Den Haag Directie Democratie en Burgerschap oorzitter van de Tweede Kamer der Staten-Generaal

Overzicht fixusopleidingen met selectie. Hogescholen. d.d. 17 november Opleidingscode Studiejaar Opleidingsomschrijving Instelling

Bewustwordingscampagnes

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011

Detailplanning aansluiting ontkoppelpunt 2018 v10.0

DDoS en netwerkbeschikbaarheid. Xander Jansen Niels den Otter

Officiële uitgave van het Koninkrijk der Nederlanden sinds Handelende in overeenstemming met de Minister van Economische Zaken;

Overzicht aangesloten instellingen

Samen in het onderwijs draadloos koppelen met de cloud

Handboek EnergieManagementSysteem

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Normenkader Informatiebeveiliging HO 2015

Informatiebeveiliging- en privacy beleid (IBP)

Beleid Informatiebeveiliging InfinitCare

SBR/ XBRL. verantwoordingsketen. Stand van zaken

BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

Informatiebeveiligings- en privacy beleid

2015; definitief Verslag van bevindingen

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Cyber Security Raad. Jos Nijhuis Voormalig covoorzitter CSR.

Checklist Beveiliging Persoonsgegevens

Voorstel Informatiebeveiliging beleid Twente

AVG GAP Analyse. En verwerkingsregistratie. security management audits advies - ethisch hacken netwerkscans

Bigdata in het onderwijs, onderzoek naar voorspellende studentgebonden factoren

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Overzicht fixusopleidingen met selectie

Informatieveiligheid, de praktische aanpak

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Transcriptie:

CYBERDREIGINGSBEELD 2015 SECTOR ONDERWIJS EN ONDERZOEK Bart Bosma, SURFnet bart.bosma@surfnet.nl

CYBERDREIGINGSBEELD 2015 Vrijdag 4 december gepubliceerd op de SURF website: www.surf.nl/cyberdreigingsbeeld Belangrijkste dreigingen die worden onderkend: Datalekken

CYBERDREIGINGSBEELD 2015 Afgelopen vrijdag 4 december gepubliceerd op de SURF website: www.surf.nl/cyberdreigingsbeeld Belangrijkste dreigingen die worden onderkend: Datalekken Identiteitsfraude

CYBERDREIGINGSBEELD 2015 Afgelopen vrijdag 4 december gepubliceerd op de SURF website: www.surf.nl/cyberdreigingsbeeld Belangrijkste dreigingen die worden onderkend: Datalekken Identiteitsfraude Verstoring van ICT

CYBERDREIGINGSBEELD 2015 Op 4 december gepubliceerd: www.surf.nl/cyberdreigingsbeeld als boekje Belangrijkste dreigingen die worden onderkend: Datalekken Identiteitsfraude Verstoring van ICT Spionage

CYBERDREIGINGSBEELD 2015

CYBERDREIGINGSBEELD 2015 Werkwijze input en feedback: Cyberdreigingsbeeld 2014 (SURF) en Cybersecuritybeeld Nederland 2015 (NCSC) Statistieken SURFcert en recente incidenten Interviews met medewerkers van universiteiten, hogescholen en mbo instellingen Interview met medewerkers van ministerie BZK Interview met medewerker NCSC Werkwijze uitkomsten interviews: Cyberdreigingsbeeld 2014 beschrijft onze realiteit, maar Wij ervaren andere dreigingen als ernstig Cyberdreigingsbeeld 2014 was niet geschikt voor de boardroom Cyberdreigingsbeeld 2014 was niet geschikt voor security professionals Dit is een geweldig initiatief, meer sectoren zouden dit moeten doen

CYBERDREIGINGSBEELD 2015 Opzet: Managementsamenvatting en Hoofdstuk 1 gericht op boardroom - Dreigingslandschap kort beschreven Hoofdstuk 2 en 3 gericht op security professionals - Maatregelen per dreiging uitgewerkt - 3 casussen/lessons learned

Uit de managementsamenvatting Maatregelen Om deze dreigingen tegen te gaan zijn allereerst maatregelen op strategisch niveau nodig. Bestuur en directie bepalen welke processen belangrijk zijn voor de instelling, welke risico s aanvaardbaar zijn en welke mate van bescherming nodig is. Idealiter gebeurt dat op basis van een risicoanalyse die regelmatig herhaald wordt. Deze risicomanagementcyclus geeft bestuur en directie voortdurend inzicht in de status van de risico s voor de hele instelling en biedt de verantwoordelijken de mogelijkheid de juiste maatregelen op tactisch en operationeel niveau in te regelen. Daarbij speelt de security officer als coo rdinator met voldoende mandaat en middelen van het bestuur een belangrijke rol in het afstemmen van het informatiebeveiligingsbeleid tussen de verschillende geledingen, het aanreiken van ideee n en het vergroten van bewustzijn.

Uit hoofdstuk 3 Dreigingen en maatregelen Maatregelen De aanpak van deze dreiging omvat in ieder geval de volgende maatregelen, die vooral betrekking hebben op het beveiligingsaspectintegriteit: - Identiteitscontrole Er moet een systeem zijn om de identiteit van gebruikers vast te stellen. Daarbij wordt onderscheid gemaakt tussen de initiële identificatie en het controleren van de identiteit op momenten dat die vastgesteld moet worden om toegang te verlenen (dit kan digitale toegang zijn, maar ook fysieke toegang). - Toegangscontrole Er is een systeem om aan de hand van de identiteit te bepalen of, en welke, toegang verleend wordt. - Bewustzijn Gebruikers moeten zich bewust zijn van aanvalstechnieken om identiteiten te achterhalen als (spear-)phishing en social engineering, zodat zij daarvan niet het slachtoffer worden.

Uit hoofdstuk 4 Incidenten met Lessons Learned 4.2 Ransomware 4.2.1 Het incident Begin 2015 werd de Vrije Universiteit Amsterdam getro en door CryptoLocker, een vorm van ransomware (zie kader op pagina 29). In eerste instantie leek de malware binnengekomen te zijn via e-mail van buiten, maar al snel bleek dat de malware muteerde en zichkennelijk ook aan e-mailberichten van interne gebruikers wist te koppelen. Uiteindelijk zijn zo n 200 computers besmet geraakt.

CYBERDREIGINGSBEELD 2015 Vragen?

De eerste ervaringen.

SURFaudit

Peer auditting 2016 32 reviewers opgeleid CCPR (commissie): Rob van Nie (audit VU) Andre de Groot (audit UU) Hans van der Wal (SO) Ronald Sarelse (audit RU) Bart van den Heuvel (SO) Alf Moens (SO) Charlie van Genuchten (secretaris) 7 instellingen in review Vaststellen toetsonderwerpen aanmelden Reviewers toewijzen Voortgang monitoren Analyse resultaten Opdracht accepteren Documentatie doornemen Site visit gesprekken Rapportage opstellen Training en bijspijkeren Selfassessment Verbeterplan opstellen Documentatie verzamelen Site visit voorbereiden Site visit gesprekken Evaluatie CCPR Reviewers Instelling

Benchmark 2015: 18 deelnemers Radboud Universiteit Universiteit Leiden Universiteit Maastricht Universiteit Twente Universiteit van Amsterdam Universiteit van Tilburg Wageningen Universiteit Vrije Universiteit KNAW Avans Fontys HKU Hanze Hogeschool Utrecht Hogeschool Windesheim Hogeschool van Amsterdam NHL Stenden Peer audit 2015/2016: Wageningen, Radboud, Twente, KNAW, Hanze, Windesheim, Ede 2013: 25 deelnemers: 12 universiteiten + 12 hogescholen + KNAW 2011: 16 deelnemers: 6 universiteiten + 9 hogescholen + KNAW 2015 MBO benchmark: 19 deelnemers: 3 AOC s, 14 ROCs, 2 vakscholen

Normenkader HO 2015 - Getoetst aan dreigingsbeeld 2014 - enkele controls toegevoegd - Clusterindeling gebalanceerd - Rest controls geevalueerd Normenkader is in gebruik bij Hogescholen Universiteiten Wetenschappelijke instellingen MBO Wordt ook als basis gebruitk voor PO en VO Q2 2016 evalueren: toetsen aan dreigingsbeeld en nieuwe wetgeving Voorstel om normenkader onder te brengen bij EDUstandaard Alleen normenkader, niet het toetsingskader

Benchmark 2015: de resultaten 2015 + + - ++ = = + 2013

Benchmark 2015 MBO clus ter MBO 2015 HO 2015 HO 2013 HO 2011 Totaal 1.9 2.4 2.2 2.0 1 Beleid en organisatie 1.7 2.4 2.2 2.0 2 Personeel, gasten, studenten 1.7 2.1 2.2 2.1 3 Ruimtes en apparatuur 2.1 2.7 2.4 2.0 4 Continuiteit 2.0 2.6 2.4 2.3 5 Toegangsbeveiliging en integriteit 2.0 2.4 2.2 2.1 6 Controle en logging 1.6 2.2 2.0 1.5

Cluster 2: Wat is er aan de hand? * = -- = =

De Benchmark 2015 Voortzetting verbetering Grote zelfstandigheid Baseline in rapportage Lagere deelname Weer uitstel nodig Nog lang niet op Baseline Awareness Awareness Awareness Awareness Awareness

Bart Bosma bart.bosma@surfnet.nl Alf Moens alf.moens@surfnet.nl www.surfnet.nl

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback