En nu gaan leren Brenno de Winter

Vergelijkbare documenten
Deny nothing. Doubt everything.

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Meldplicht Datalekken CBP RICHTSNOEREN

ISSX, Experts in IT Security. Wat is een penetratietest?




Vanaf 1 januari 2016 Stb. 2015, 230 Meldplicht datalekken Uitbreiding bestuurlijke boetebevoegdheid Cbp

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Protocol meldplicht datalekken

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Raadsmededeling - Openbaar

Cloud computing Helena Verhagen & Gert-Jan Kroese

Protocol datalekken Samenwerkingsverband ROOS VO

Iets te melden? PON-seminar- Actualiteiten Privacy. Friederike van der Jagt Senior Legal Counsel Privacy 13 oktober 2016

Protocol meldplicht datalekken Voor financiële ondernemingen

Documentinformatie: Wijzigingslog:

FACTSHEET DATALEK. Inleiding

Procedure meldplicht datalekken

Verwerkersovereenkomst. Notulen Software. een handelsnaam van DUODEKA Coöperatie U.A.

Stichting Openbaar Voortgezet Onderwijs Gouda

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Protocol meldplicht datalekken

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

1. Verplichtingen. 2. Subverwerkers

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Melden van datalekken

Privacyreglement verwerking leerlingengegevens PPOZV. Maart 2014

Privacy in de afvalbranche

Documentinformatie: Wijzigingslog:

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Procedure Melding Datalekken

Wat betekent de GDPR voor mijn bedrijf? TOM VAN NUNEN ONLINQ BEST

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Privacy Statement Libracoaching

Meldplicht datalekken. Prof. mr. G-J. (Gerrit-Jan) ZWENNE Leiden 2 februari 2016

BEWERKERSOVEREENKOMST

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

Verwerkersovereenkomst Beyuna Beyuna Independent Sales Representative

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Privacy Policy Oude Dibbes

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop

Documentstatus: Status definitief Datum 15 juni 2017 Auteur: Ewoud Voogd PROTOCOL DATALEKKEN

In vier stappen voldoen aan de meldplicht datalekken

Procedure Melden beveiligingsincidenten

STICHTING UNICA-FILMFESTIVAL IN NEDERLAND

Wet meldplicht datalekken

De meldplicht datalekken. Aleid Wolfsen, Utrecht, 11 oktober 2016

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

PROTOCOL. Vereniging van Gepensioneerden van de eenheid Den Haag

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacyreglement Medewerkers Welzijn Stede Broec

Protocol Meldplicht Data-lekken

Bijlage Gegevensverwerking. Artikel 1 - Definities

Privacy in de afvalbranche Juridisch kader

Verwerkingsstatuut AVG

Meijers Introduc9e. Samen op weg naar con-nuïteit

De Minister van Sociale Zaken en Werkgelegenheid Postbus LV Den Haag

Kind en Onderwijs Rotterdam. Onderwijs en Kwaliteit, HRM en ICT. Leerlingen, ouders/voogd. Privacy reglement leerlingen

Presentatie Jaarcongres ICT Accountancy Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 2 november 2016

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

Coöperatie Boer en Zorg b.a. Procedure meldplicht datalekken

Beleid en procedures meldpunt datalekken

Wet Meldplicht Datalekken. Jeroen Terstegge

Informatiebeveiliging: Hoe voorkomen we issues?

INFORMATIEBEVEILIGING VOOR WEBWINKELS

Protocol informatiebeveiligingsincidenten en datalekken

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

PROTOCOL. Onze vereniging

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

Privacyreglement verwerking kind gegevens

Privacy en de meldplicht datalekken

PROCEDURE MELDPLICHT DATALEKKEN

Quick guide. IT security, AVG en NIB. Version 3.0

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

Privacyreglement versie 1.2, d.d

Protocol Beveiligingsincidenten en datalekken

Impact van de meldplicht datalekken

Privacyreglement verwerking Cursisten gegevens Oxford Opleidingen

Privacystatement persoonsgegevens

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Privacyreglement Bureau Beckers

Privacystatement Knac Nationale Autosport Federatie (KNAF)

Privacyreglement Financieel Bureau Brabant

Dit document behoort toe aan; Fysiotherapie Bennie de Jonge Schoorstraat JW Klazienaveen Hierna te noemen: de organisatie

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Privacy-voorwaarden MKW Bedrijfsexperts

Stappenplan naar GDPR compliance

VERWERKERSOVEREENKOMST

Procedure Meldplicht Datalekken

Inleiding. Pagina 1 van 5

Reglement bescherming persoonsgegevens Lefier StadGroningen

MELDPLICHT DATALEKKEN, WEET U WAT U MOET DOEN?

Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling

Transcriptie:

Digitale Veiligheid 3.0 En nu gaan leren Brenno de Winter - @brenno brenno@dewinter.com - 0653536508

Open Data Privacy

3300 BC

200 BC

1040

Andere snelheden 1520 Boeken 1521 Luther in de ban 1546 Luther overlijdt 1559 kwam de Index

Informatietijdperk 1833 eerste mechanische computer 1944 ish eerste computer 1953 eerste computer in Nederland 1969 basis internet 1971 eerste e-mail 1977 voor particulieren 1980 Usenet 1991 Eerste website 2000.com bubble

Langzaam leren De Scilly-ramp 1707-1400 doden Slechte navigatie in een storm

Veel voorkomende problemen 1120 - White Ship (Engeland) - aan de grond gelopen - 300 doden - 20 jaar conflict over de troon 1274/1281 - Mongolische vloot - storm (kamikaze) - 100.000+ doden 1694 - HMS Sussex (Engeland) - storm - 498 doden - 2 overlevenden 1647 - Prinses Amelia - aan de grond gelopen - 86 doden - 21 overlevenden 1703-13 schepen Engels kanaal - storm - 1500+

Zelfde fouten blijven herhalen 'Life is Short, Have an Affair' Ashley Madison 60Gb bedrijfsgegevens online gezet 15,000 mensen gebruikten VS-overheids mail 11 miljoen accounts (e-mails, wachtwoorden) Diverse mensen plegen zelfmoord

Darkweb Een netwerk binnen het internet Hoge mate van anonimiteit Allerlei diensten/producten verkrijgbaar Bijv. gestolen identiteitsgegevens

Inloggegevens te koop

Werkelijk van alles te koop

Of beter

Complete identiteit

Really anything

Doorzoek het darknet

Geld witwassen

Dus vertrouwen moeten we verdienen

Lessen uit 1 jaar hacks 79.790 incidenten, 2.122 inbraken in 61 landen In 60 procent van de gevallen lukt inbreken in minuten In 99,9% van misbruikte lekken was het lek meer dan een jaar bekend 500 lekken > 200.000.000+ x misbruikt Bron: Verizon Data Breach Investigations Report

Klopt dat?

Oeps!

Alle ministeries Wie neemt dat aan? Europees Parlement Koninklijk Huis Ophalen post Politie T-Mobile, Vodafone voor nieuwe SIM-kaarten Het Parlement Hotels Treinen, vliegtuigen De NCTV

Dus Wees beducht voor identiteitsdiefstal Denk na voor je maatregelen neemt Als je iets aan maatregelen doet, doe het goed Besef dat je verantwoordelijk bent voor de data die je beheert

Hacker Henkie De hacker die technologie herdefinieert

Mapping from 2010 to 2013 Top 10 OWASP Top 10 2010 (old) OWASP Top 10 2013 (New) 2010-A1 Injection 2013-A1 Injection 2010-A2 Cross Site Scripting (XSS) 2010-A3 Broken Authentication and Session Management 2013-A2 Broken Authentication and Session Management 2013-A3 Cross Site Scripting (XSS) 2010-A4 Insecure Direct Object References 2013-A4 Insecure Direct Object References 2010-A5 Cross Site Request Forgery (CSRF) 2013-A5 Security Misconfiguration 2010-A6 Security Misconfiguration 2013-A6 Sensitive Data Exposure 2010-A7 Insecure Cryptographic Storage 2013-A7 Missing Function Level Access Control 2010-A8 Failure to Restrict URL Access 2013-A8 Cross-Site Request Forgery (CSRF) 2010-A9 Insufficient Transport Layer Protection 2013-A9 Using Known Vulnerable Components (NEW) 2010-A10 Unvalidated Redirects and Forwards (NEW) 2013-A10 Unvalidated Redirects and Forwards 3 Primary Changes: Merged: 2010-A7 and 2010-A9 -> 2013-A6 Added New 2013-A9: Using Known Vulnerable Components 2010-A8 broadened to 2013-A7

Erover praten Vooral verkeersregels 1889 conferentie in Washington Vooral Cybercrime (strafrecht) Diverse conferenties Veel ongelukken ook door zeil naar stoom Datalekken blijven toenemen in aantal Geblokkeerd door Engeland Weerstand uit VS bij nieuwe privacyregels

SOLAS Safety of Life at Sea Aantal reddingsboten Reddingsmiddelen Continue radiowacht

Mapping from 2010 to 2013 Top 10 OWASP Top 10 2010 (old) OWASP Top 10 2013 (New) 2010-A1 Injection 2013-A1 Injection 2010-A2 Cross Site Scripting (XSS) 2010-A3 Broken Authentication and Session Management 2013-A2 Broken Authentication and Session Management 2013-A3 Cross Site Scripting (XSS) 2010-A4 Insecure Direct Object References 2013-A4 Insecure Direct Object References 2010-A5 Cross Site Request Forgery (CSRF) 2013-A5 Security Misconfiguration 2010-A6 Security Misconfiguration 2013-A6 Sensitive Data Exposure 2010-A7 Insecure Cryptographic Storage 2013-A7 Missing Function Level Access Control 2010-A8 Failure to Restrict URL Access 2013-A8 Cross-Site Request Forgery (CSRF) 2010-A9 Insufficient Transport Layer Protection 2013-A9 Using Known Vulnerable Components (NEW) 2010-A10 Unvalidated Redirects and Forwards (NEW) 2013-A10 Unvalidated Redirects and Forwards 3 Primary Changes: Merged: 2010-A7 and 2010-A9 -> 2013-A6 Added New 2013-A9: Using Known Vulnerable Components 2010-A8 broadened to 2013-A7

Transformation 20% Custom Code 80% Libraries But library use is growing at a staggering rate

Persoonsgegevens

persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

Actoren Betrokkene: degene op wie een persoonsgegeven betrekking heeft Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

Artikel 13 De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Artikel 14 Wbp 1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt. De verantwoordelijke ziet toe op de naleving van die maatregelen.

Artikel 14 Wbp 2. De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.

Wbp/GDPR Meldplicht Datalekken Beveiligingsverplichting Verplichtingen naar betrokkene Boetes voor overtredingen Transparantie

x

Transparantie

Digitale inbraak. Bij een digitale inbraak op de website www.ede.nl zijn mogelijk persoonsgegevens uit een database ingezien en/of meegenomen. Onderzoek. Een gespecialiseerd bureau heeft forensisch onderzoek uitgevoerd naar de digitale inbraak. Zij hebben geen aanwijzing kunnen vinden dat de database op de website www.ede.nl is geraadpleegd en/of de inhoud ervan is meegenomen. Maar het bureau kan dit ook niet voor 100% uitsluiten. De volledige inhoud van het onderzoeksrapport wordt niet naar buiten gebracht. De informatie in het rapport is hiervoor niet geschikt. Het rapport voldoet aan de uitzonderingsregels van artikel 10 Wet openbaarheid van bestuur. Gevolgen. De hacker(s) heeft mogelijk toegang gehad tot de server en een database. De database bevatte gegevens van burgers. Het gaat om naam, adres, woonplaats, e-mail adressen, mobiele telefoonnummers, burgerservicenummers (BSN) en bankrekeningnummers. Daarnaast betreft het enkele e-mail adressen van onze medewerkers en aanverwante bedrijven. Betrokkenen. De mogelijke gehackte gegevens waren ingevuld op het voormalig algemene contactformulier op ede.nl. Van zo n 3.700 burgers zijn gegevens mogelijk ingezien en/of meegenomen. Een klein gedeelte had hun Burger Service Nummer of bankrekeningnummer ingevuld. Alle betrokken burgers worden persoonlijk geïnformeerd. Waar moeten betrokkenen op letten? Alle betrokkenen ontvangen persoonlijk bericht. We kunnen niet uitsluiten dat uw gegevens uit de database zijn gehaald. Hiermee ontstaat het risico op identiteitsfraude. Informatie over identiteitsfraude vindt u op de websites van politie en rijksoverheid. Maatregelen. Na constatering van de hack zijn er verschillende maatregelen genomen. Zo zijn bestanden verwijderd, is de database leeggemaakt en zijn er diverse veiligheidsmaatregelen getroffen. Digitale dienstverlening. De gegevens kwamen uit het voormalig algemene contactformulier op onze website. Het gaat dus niet om informatie uit andere formulieren, zoals de melding woon- en leefomgeving, parkeervergunning, verhuizing et cetera doorgeven. Doel van de aanval. De aanvallers willen resultaten in zoekmachines manipuleren. Het doel hiervan is bezoekers door te leiden naar externe advertentiewebsites over afvallen en het lenen van geld. Dit in plaats van het doorverwijzen naar de plek op deze website waar informatie staat waarnaar ze op zoek zijn. Dit soort aanvallen gebeuren vaak vanuit Oost-Europa. Dat is ook hier het geval geweest.

Zo goed beveiligd als een bank

Veel hackers zijn 9-jaar oud

Op naar de Titanic! Geef het 1 minuut per dag

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback