Datarisico s Jos Kuhl Risk Management Consultant / Adviseur Datarisico s @Meeus Oktober 2017
Even voorstellen Jos Kuhl Risk Management Consultant / Adviseur Datarisico s \\ Verder met Meeùs 2
Cybercrime: wat heb je nodig? + = \\ Verder met Meeùs 3
Ontwikkelingen in de wereld x x \\ Verder met Meeùs 4
Ontwikkelingen Geen haven meer zonder WiFi Veilige omgeving x x \\ Verder met Meeùs 5
Cyberaanvallen Ongrijpbaar Vaak geen specifiek doelwit Aangeboden as a service Innovatieve sector 91% bedrijven inmiddels getroffen door vorm van cybercrime 90% van data is laatste 2 jaar geproduceerd Dringt door in alle facetten van (productie) proces binnen bedrijven Impact gelijk aan brand? \\ Verder met Meeùs 6
Cyberjargon DDOS (Distributed Denial Of Service attack) Malware Phishing Spear phishing Botnet Ransomware \\ Verder met Meeùs 7
Van: Coen Mom [mailto:coen.mom@umg-nl.net] Verzonden: maandag 5 september 2016 10:23 Aan: Willemsen, Arto <arto.willemsen@umg.nl> Onderwerp: Betaling Beste Arto, Kun je vandaag een internationale betaling verwerken? Groet, Coen. Verstuurd vanaf mijn iphone From: Willemsen, Arto <arto.willemsen@umg.nl> Sent: Monday, September 5, 2016 10:25:38 AM To: Coen Mom Subject: RE: Betaling Als ik snel de details krijg wel. \\ Verder met Meeùs 8
Van: Coen Mom [mailto:coen.mom@umg-nl.net] Verzonden: maandag 5 september 2016 10:30 Aan: Willemsen, Arto <arto.willemsen@umg.nl> Onderwerp: Re: Betaling Beste Arto, Zie hieronder voor een betaling van 86.147,00 en e-mail mij een kopie van de bevestiging wanneer deze gereed is. BULGARIAN AMERICAN CREDIT BANK (BACB) SOFIA BULGARIA BENEFICIARY : XXXXXX IBAN EUR: XXXXXXXX BIC : BGUSBGSF From: Coen Mom <coen.mom@umg-nl.net> Sent: maandag, september 5, 2016 11:49 Subject: Re: Betaling To: Willemsen, Arto <arto.willemsen@umg.nl> Hoi Arto, Is de betaling afgerond? Groet, Coen. Verstuurd vanaf mijn iphone Groet, Coen. Verstuurd vanaf mijn iphone \\ Verder met Meeùs 9
Schades Schadevoorbeelden Meeùs: Telefooncentrale bedrijf gehacked 13,000 schade, website uit de lucht Update te laat uitgevoerd, gemeente besmet met ransomware Machinefabriek, data gegijzeld, 8 bitcoin losgeld Installatiebedrijf, data gegijzeld, website uit de lucht 2,5 bitcoin losgeld Slagerij 2e keer ransomware besmetting, oorzaak terugkerende cybercrimineel ICT bedrijf gehacked, Incident Response Plan verzekeraar komt in actie Glastuinbouwbedrijf gehacked, oogst mislukt forse bedrijfsschade Bouwbedrijf verspreid via website virus naar klanten, gevolgen nog onbekend Intellectueel eigendom lekt, drukkerij aansprakelijk Boze medewerker past data aan, wist data stuurt door naar concurrent Vrijdagmiddag: groothandelsrelatie gehacked, alles ligt stil \\ Verder met Meeùs 10
Wetgeving
Wet Meldplicht Datalekken Voor commerciële instellingen en (semi-) overheid Binnen 72 uur melden bij falen van technische en organisatorische beveiliging met kans op verlies of onrechtmatige verwerking van persoonsgegevens Aard en vermoedelijke omvang van het datalek, inspanningen om de schade te herstellen en raadgevingen aan publiek en klanten Bewerkersovereenkomsten Boete maximaal 820.000,00 (eerst aanwijzing!!) Centraal in de wet is accountability (Ben je in control?) Van tell me, naar show me, prove me Bestuurder is hoofdelijk aansprakelijk \\ Verder met Meeùs 12
Wet Meldplicht Datalekken \\ Verder met Meeùs 13
Algemene Verordening Gegevensbescherming(AVG) Implementatie 25 mei 2018 Meer plichten voor werkgevers/ondernemers Meer rechten voor individuen Doelstelling: verbetering en versterking van privacy rechten van personen recht te verwijderen / vergeten te worden recht standaard format / overdragen / inzage, correctie, bezwaar Uniforme Europese regels Iedereen mag instanties aanspreken op naleving AVG Geldt ook voor ZZP-ers, MKB-érs (afspraken met klanten, telefoonnummers, personeelsinfo) Gevolgen marketing: bellen of post mag, digitaal alleen met toestemming en transparant zonder kleine lettertjes met mogelijkheid om af te melden \\ Verder met Meeùs 14
Europese Privacy Verordening (AVG) Meer verantwoordelijkheden voor organisaties (doel: bewijzen ben je in control) Ben je in control? Hoe kom je in control? Zijn je processen op orde? Mogelijk verplicht: Aanstelling Functionaris Gegevensbescherming Mogelijk verplicht Privacy Impact Analyse Verplichte verwerkersovereenkomsten met verwerkers Hoge boetes: 10 miljoen euro / 2% wereldwijde omzet. Bij ernstige gevallen 20 miljoen euro / 4% wereldwijde omzet AP, bij boetes geen kwantum korting Advies: maak impact analyse voor je bedrijf! \\ Verder met Meeùs 15
Europese Privacy Verordening (AVG) \\ Verder met Meeùs 16
Bewerkersovereenkomst Tot 25 mei 2018 Omschrijving diensten, verwerkingen toegang, handelingen Betrouwbaarheidseisen Inhoud en frequentie beveiligingsrapportages \\ Verder met Meeùs 17
Bewerkersovereenkomst Vanaf 25 mei 2018 Onderwerp en duur van de verwerking Aard en doel van de verwerking Categorieën van de betrokkenen Rechten en verplichtingen van de verwerkingsverantwoordelijke Schriftelijke instructies m.b.t. tot doorgifte van gegevens Wettelijke en niet-wettelijke geheimhoudsingsverplichtingen Beveiligingsmaatregelen Verplichtingen inzake subverwerkers en/of doorzetverplichting \\ Verder met Meeùs 18
Bewerkersovereenkomst Vanaf 25 mei 2018 Bijstand verlenen bij verzoeken uitoefening rechten betrokkenen Bijstand verlenen bij inbreuken beveiliging (lees: datalekken) Bijstand verlenen bij Privacy Impact Assessment en voorafgaande raadpleging van de toezichthouder Wissen of terugbezorgen van persoonsgegevens na afloop van de verwerkingsdiensten Informatieplicht en auditrecht \\ Verder met Meeùs 19
Datarisico s beperken
3 meest gestelde vragen 1.Wat is mijn verantwoordelijkheid? 2.Waar kan ik op worden aangesproken? 3.Is mijn huidige risicomanagement afdoende? \\ Verder met Meeùs 21
Ondernemer/Bestuurder verantwoordelijk voor menselijk handelen \\ Verder met Meeùs 22
Bestuurder is hoofdelijk aansprakelijk Juridische kosten Melden lek (AP) Contact benadeelden Continuïteit Kosten van specialisten Imagoschade Boete \\ Verder met Meeùs 23
Risico s verminderen door: Organisatorisch ICT Personeel \\ Verder met Meeùs 24
Bescherming: organisatorisch Onderwerp directietafel: aandacht! Protocol Wet Meldplicht Datalekken / Beleid (wie trekt gele hesje aan?) Correcte bewerkersovereenkomsten met derden Afspraken over wachtwoorden, thuiswerken, social media, clean desk, Borgen gemaakte afspraken Voorbeeldgedrag management Weet wat je moet beschermen, waar het is opgeslagen en wie toegang heeft Toegangsbeleid Wat doe je als het gebeurd? Incident Response Plan opstellen \\ Verder met Meeùs 25
Bescherming: ICT Contractuele afspraken met leveranciers bij uitval systemen en datalekken Patchmanagement (correctie van programmatuur) Logging Anti-software up-to-date (anti-virus/-spam/-phishing/-spy-ware/-spoofing) Next generation firewall Wifi scheiding bedrijfsnetwerk en gasten Gebruik encryptie Gebruik VPN Protocollen (wachtwoorden, usb-sticks, thuiswerken, tablets) Hackers uitnodigen (Responsible disclosure) Pen test \\ Verder met Meeùs 26
Bescherming: personeel Voor aanstelling: origineel cv bevestigen en VOG Arbeidsovereenkomst aanpassen Awareness training personeel Beleid over gedrag en omgang met privacygegevens Vertaling naar functioneringsgesprekken of beoordelingen Onderwerp werkoverleg / interne uitingen Voorbeeldgedrag en communicatie Exit procedure vertrekkend personeel Social engineering onderzoek \\ Verder met Meeùs 27
Oplossing Verzekeren
Cyberrisico s en huidige verzekeringen Dekking van bestaande verzekeringen? \\ Verder met Meeùs 29
Bescherming door verzekeren \\ Verder met Meeùs 30
Incident Hoe te handelen respons plan bij een (voorbeeld) incident \\ Verder met Meeùs 31
Welke dekking biedt een verzekering? EIGEN SCHADE (first party) 1. Data inbreuk Kosten eigen ICTérs / Forensisch ICT onderzoek Kosten externe deskundigen melden inbreuk (juridisch, communicatie betrokkenen, meldplicht, callcenter etc.) Kosten crisismanagement en PR 2. Cyber business interruption Optioneel kan ook niet online omzet veroorzaakt door de hack verzekerd worden 3. Hacker schade Kosten herstel website, intranet, netwerk, computersysteem, programma s of data 4. Cyber afpersing Kosten en vergoedingen van onderzoek, assistentie en eventueel betaald losgeld \\ Verder met Meeùs 32
Welke dekking biedt een verzekering? AANSPRAKELIJKHEID (third party) 1. Privacy aansprakelijkheid De gevolgen van gestolen privacygevoelige gegevens - Kosten van onderzoek - Claims van individuele personen - Schending geheimhoudingsplicht - Boetes opgelegd door toezichthouders 2. Cyber aansprakelijkheid Schade die ontstaat als een website of e-mail onbedoeld een auteursrecht schendt, laster verspreidt of een virus bevat. \\ Verder met Meeùs 33
100% veilig bestaat niet \\ Verder met Meeùs 34
Foute boel en dan? \\ Verder met Meeùs 35
Vragen Ben je in control? 1. Welke data heb je in huis en waar? 2. Welke persoonsgegevens heb je in huis? 3. Van welke data ben je echt van afhankelijk en hoe is dit beveiligd? 4. Wat doe je aan (awareness) trainingen voor het personeel? 5. Zijn er procedures/protocollen opgesteld 6. Heb je een plan als het mis gaat? Wat gebeurd er bij een lek? 7. Is dit onderwerp een terugkerend agendapunt bij de directie? \\ Verder met Meeùs 36
Risico is perceptie \\ Verder met Meeùs 37
Dank voor uw aandacht!