Digitale Veiligheid 3.0 En nu gaan leren Brenno de Winter - @brenno brenno@dewinter.com - 0653536508
Open Data Privacy
3300 BC
200 BC
1040
Andere snelheden 1520 Boeken 1521 Luther in de ban 1546 Luther overlijdt 1559 kwam de Index
Informatietijdperk 1833 eerste mechanische computer 1944 ish eerste computer 1953 eerste computer in Nederland 1969 basis internet 1971 eerste e-mail 1977 voor particulieren 1980 Usenet 1991 Eerste website 2000.com bubble
Langzaam leren De Scilly-ramp 1707-1400 doden Slechte navigatie in een storm
Veel voorkomende problemen 1120 - White Ship (Engeland) - aan de grond gelopen - 300 doden - 20 jaar conflict over de troon 1274/1281 - Mongolische vloot - storm (kamikaze) - 100.000+ doden 1694 - HMS Sussex (Engeland) - storm - 498 doden - 2 overlevenden 1647 - Prinses Amelia - aan de grond gelopen - 86 doden - 21 overlevenden 1703-13 schepen Engels kanaal - storm - 1500+
Zelfde fouten blijven herhalen 'Life is Short, Have an Affair' Ashley Madison 60Gb bedrijfsgegevens online gezet 15,000 mensen gebruikten VS-overheids mail 11 miljoen accounts (e-mails, wachtwoorden) Diverse mensen plegen zelfmoord
Darkweb Een netwerk binnen het internet Hoge mate van anonimiteit Allerlei diensten/producten verkrijgbaar Bijv. gestolen identiteitsgegevens
Inloggegevens te koop
Werkelijk van alles te koop
Of beter
Complete identiteit
Really anything
Doorzoek het darknet
Geld witwassen
Dus vertrouwen moeten we verdienen
Lessen uit 1 jaar hacks 79.790 incidenten, 2.122 inbraken in 61 landen In 60 procent van de gevallen lukt inbreken in minuten In 99,9% van misbruikte lekken was het lek meer dan een jaar bekend 500 lekken > 200.000.000+ x misbruikt Bron: Verizon Data Breach Investigations Report
Klopt dat?
Oeps!
Alle ministeries Wie neemt dat aan? Europees Parlement Koninklijk Huis Ophalen post Politie T-Mobile, Vodafone voor nieuwe SIM-kaarten Het Parlement Hotels Treinen, vliegtuigen De NCTV
Dus Wees beducht voor identiteitsdiefstal Denk na voor je maatregelen neemt Als je iets aan maatregelen doet, doe het goed Besef dat je verantwoordelijk bent voor de data die je beheert
Hacker Henkie De hacker die technologie herdefinieert
Mapping from 2010 to 2013 Top 10 OWASP Top 10 2010 (old) OWASP Top 10 2013 (New) 2010-A1 Injection 2013-A1 Injection 2010-A2 Cross Site Scripting (XSS) 2010-A3 Broken Authentication and Session Management 2013-A2 Broken Authentication and Session Management 2013-A3 Cross Site Scripting (XSS) 2010-A4 Insecure Direct Object References 2013-A4 Insecure Direct Object References 2010-A5 Cross Site Request Forgery (CSRF) 2013-A5 Security Misconfiguration 2010-A6 Security Misconfiguration 2013-A6 Sensitive Data Exposure 2010-A7 Insecure Cryptographic Storage 2013-A7 Missing Function Level Access Control 2010-A8 Failure to Restrict URL Access 2013-A8 Cross-Site Request Forgery (CSRF) 2010-A9 Insufficient Transport Layer Protection 2013-A9 Using Known Vulnerable Components (NEW) 2010-A10 Unvalidated Redirects and Forwards (NEW) 2013-A10 Unvalidated Redirects and Forwards 3 Primary Changes: Merged: 2010-A7 and 2010-A9 -> 2013-A6 Added New 2013-A9: Using Known Vulnerable Components 2010-A8 broadened to 2013-A7
Erover praten Vooral verkeersregels 1889 conferentie in Washington Vooral Cybercrime (strafrecht) Diverse conferenties Veel ongelukken ook door zeil naar stoom Datalekken blijven toenemen in aantal Geblokkeerd door Engeland Weerstand uit VS bij nieuwe privacyregels
SOLAS Safety of Life at Sea Aantal reddingsboten Reddingsmiddelen Continue radiowacht
Mapping from 2010 to 2013 Top 10 OWASP Top 10 2010 (old) OWASP Top 10 2013 (New) 2010-A1 Injection 2013-A1 Injection 2010-A2 Cross Site Scripting (XSS) 2010-A3 Broken Authentication and Session Management 2013-A2 Broken Authentication and Session Management 2013-A3 Cross Site Scripting (XSS) 2010-A4 Insecure Direct Object References 2013-A4 Insecure Direct Object References 2010-A5 Cross Site Request Forgery (CSRF) 2013-A5 Security Misconfiguration 2010-A6 Security Misconfiguration 2013-A6 Sensitive Data Exposure 2010-A7 Insecure Cryptographic Storage 2013-A7 Missing Function Level Access Control 2010-A8 Failure to Restrict URL Access 2013-A8 Cross-Site Request Forgery (CSRF) 2010-A9 Insufficient Transport Layer Protection 2013-A9 Using Known Vulnerable Components (NEW) 2010-A10 Unvalidated Redirects and Forwards (NEW) 2013-A10 Unvalidated Redirects and Forwards 3 Primary Changes: Merged: 2010-A7 and 2010-A9 -> 2013-A6 Added New 2013-A9: Using Known Vulnerable Components 2010-A8 broadened to 2013-A7
Transformation 20% Custom Code 80% Libraries But library use is growing at a staggering rate
Persoonsgegevens
persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon
Actoren Betrokkene: degene op wie een persoonsgegeven betrekking heeft Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
Artikel 13 De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Artikel 14 Wbp 1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt. De verantwoordelijke ziet toe op de naleving van die maatregelen.
Artikel 14 Wbp 2. De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.
Wbp/GDPR Meldplicht Datalekken Beveiligingsverplichting Verplichtingen naar betrokkene Boetes voor overtredingen Transparantie
x
Transparantie
Digitale inbraak. Bij een digitale inbraak op de website www.ede.nl zijn mogelijk persoonsgegevens uit een database ingezien en/of meegenomen. Onderzoek. Een gespecialiseerd bureau heeft forensisch onderzoek uitgevoerd naar de digitale inbraak. Zij hebben geen aanwijzing kunnen vinden dat de database op de website www.ede.nl is geraadpleegd en/of de inhoud ervan is meegenomen. Maar het bureau kan dit ook niet voor 100% uitsluiten. De volledige inhoud van het onderzoeksrapport wordt niet naar buiten gebracht. De informatie in het rapport is hiervoor niet geschikt. Het rapport voldoet aan de uitzonderingsregels van artikel 10 Wet openbaarheid van bestuur. Gevolgen. De hacker(s) heeft mogelijk toegang gehad tot de server en een database. De database bevatte gegevens van burgers. Het gaat om naam, adres, woonplaats, e-mail adressen, mobiele telefoonnummers, burgerservicenummers (BSN) en bankrekeningnummers. Daarnaast betreft het enkele e-mail adressen van onze medewerkers en aanverwante bedrijven. Betrokkenen. De mogelijke gehackte gegevens waren ingevuld op het voormalig algemene contactformulier op ede.nl. Van zo n 3.700 burgers zijn gegevens mogelijk ingezien en/of meegenomen. Een klein gedeelte had hun Burger Service Nummer of bankrekeningnummer ingevuld. Alle betrokken burgers worden persoonlijk geïnformeerd. Waar moeten betrokkenen op letten? Alle betrokkenen ontvangen persoonlijk bericht. We kunnen niet uitsluiten dat uw gegevens uit de database zijn gehaald. Hiermee ontstaat het risico op identiteitsfraude. Informatie over identiteitsfraude vindt u op de websites van politie en rijksoverheid. Maatregelen. Na constatering van de hack zijn er verschillende maatregelen genomen. Zo zijn bestanden verwijderd, is de database leeggemaakt en zijn er diverse veiligheidsmaatregelen getroffen. Digitale dienstverlening. De gegevens kwamen uit het voormalig algemene contactformulier op onze website. Het gaat dus niet om informatie uit andere formulieren, zoals de melding woon- en leefomgeving, parkeervergunning, verhuizing et cetera doorgeven. Doel van de aanval. De aanvallers willen resultaten in zoekmachines manipuleren. Het doel hiervan is bezoekers door te leiden naar externe advertentiewebsites over afvallen en het lenen van geld. Dit in plaats van het doorverwijzen naar de plek op deze website waar informatie staat waarnaar ze op zoek zijn. Dit soort aanvallen gebeuren vaak vanuit Oost-Europa. Dat is ook hier het geval geweest.
Zo goed beveiligd als een bank
Veel hackers zijn 9-jaar oud
Op naar de Titanic! Geef het 1 minuut per dag