CYBERCRIME/FORENSIC READINESS Mirjam Elferink, advocaat IE/ICT Krijn de Mik, senior forensic IT Expert
CYBERCRIME -INTRO http://www.youtube.com/watch?v=waksf-lf3u4 (Bron: Youtube,"State of cybercrime facts") 2
CYBERCRIME -BEDRIJFSLEVEN GROOTSTE SLACHTOFFER Kosten Nederlandse samenleving: 10 miljard euro Grootste schadeposten: - Inbreuken op intellectuele eigendom (3,3 miljard euro) - Industriële spionage (2 miljard euro) - 59% (ex)-werknemers stelen knowhow - Belasting- en uitkeringsfraude (1,5 miljard euro) - Andere vormen: - Afpersing, online diefstal van geld, online diefstal van klantgegevens (0,5-1 miljard euro) - Deze vormen van cybercrime leiden tot directe schade, schadevergoedingen en boetes, maar ook tot kostenposten vanwege repressieve en preventieve maatregelen. (Bron: TNO) 3
PROGRAMMA CYBERCRIME EN FORENSIC READINESS 1. Wat is cybercrime? 2. Welke wetgeving is van toepassing? 3. Preventie: wat kunt u ertegen doen? 4. En als het dan toch gebeurt.? -Hoe om te gaan met een beveiligingsincident? - Hoe bewijst u het incident? 5. Afgifte NAW-gegevens aan private partijen 6. Wet bewaarplicht verkeersgegevens 7. Presentatie FOX IT Krijn de Mik 8. Contractuele afspraken (cloud)providers 9. Vragen 4
5 CYBERSECURITYBEELD NEDERLAND 3 HTTPS://WWW.NCSC.NL/DIENSTVERLENING/EXPERTISE- ADVIES/KENNISDELING/TRENDRAPPORTEN
WAT IS CYBERCRIME? criminaliteit met ICT als middel én doelwit (http://www.politie.nl/onderwerpen/cybercrime.html ) criminele activiteiten waarbij gebruik wordt gemaakt van ICT ( http://www.om.nl/onderwerpen/cybercrime/ ) alle vormen van criminaliteit waarbij het gebruik van internet een hoofdrol speelt (www.wikipedia.nl ) 6
WAT IS CYBERCRIME? Cybercrime omvat elke strafbare gedraging waarbij voor de uitvoering het gebruik van geautomatiseerde werken bij de verwerking en overdracht van gegevens van overwegende betekenis is (KLPD Dienst Nationale Recherche, 2009) 7
CYBERCRIME IN RUIME ZIN (INSTRUMENT/MIDDEL) Bedreiging Smaad/laster Fraude Oplichting Heling Witwassen Relschoppen Valsheid in geschrifte 8
CYBERCRIME IN ENGE ZIN (ICT ALS DOEL/OBJECT) Computervredebreuk (hacking); Malware (virus, botnet, spyware, ransomware); verwijderen/aanpassen van gegevens; ICT sabotage (DDOS); Grootschalige auteursrechtinbreuk/softwarepiraterij; Spam; Phishing. 9
WETGEVING Cybercrime verdrag (Raad van Europa) -2001 Voorstel voor een Europese richtlijn Cybersecurity (2013) Wetboek van Strafrecht - Wet Computercriminaliteit I - 1993 - Wet Computercriminaliteit II - 2006 - Wet Computercriminaliteit III Ontwerp Wetboek van Strafvordering Procedures Telecommunicatiewet (bewaarplicht providers, spam, cookies) Auteurswet Wet Bescherming Persoonsgegevens Wet particuliere beveiligingsorganisaties/recherchebureaus 10
PREVENTIEF Bewustwording Vaststellen van kwetsbaarheden Opstellen van protocollen: ICT-protocol (e-mail en internetprotocol werknemers), cybercrime-protocol, datalek-protocol, inval (bezoek) opsporingsinstanties protocol Meewerken aan inlichtingenverzoeken protocol Tijdige herkenning Goede beveiliging hard en software: Cybersecuritybeleid 11
EN ALS HET DAN TOCH GEBEURT.? Hoe om te gaan met een beveiligingsincident? 1. Herstellen van de schade en aanscherpen van beveiligingsmaatregelen 2. Incident melden 3. Strafrechtelijke procedure (aangifte doen) 4. Civielrechtelijke procedure 12
EN ALS HET DAN TOCH GEBEURT.? Hoe bewijst u een beveiligingsincident? En wie het heeft gedaan? Systeembeheer/veiligstellen van gegevens -> particulier recherchebureau (Fox IT) Forensisch Onderzoek -> particulier recherchebureau (Fox IT) In geval van IE-inbreuken en diefstal knowhow: -> Conservatoir bewijsbeslag 13
IE-inbreuken/diefstal knowhow Casus: werknemer steelt data werkgever (filmpje: 59%) Werknemer vertrekt naar nieuwe werkgever en nadien blijkt dat hij allerlei knowhow waaronder bepaalde producttechnische tekeningen van het bedrijf heeft gekopieerd en gemaild naar zijn privéadres. Wat nu? -Bescherming op grond van Intellectuele Eigendomsrechten? -Contractuele bescherming knowhow via arbeidsovereenkomsten? Boetebepalingen? -ICT-protocol (internet- en e-mailreglement) -Hoe te bewijzen? -Conservatoir bewijsbeslag -(Forensisch) deskundigenonderzoek 14
AFGIFTE AAN PRIVATE PARTIJEN? Lycos/Pessers: 4 stappen toets a. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk; b. reëel belang derde bij de verkrijging van de NAW-gegevens; c. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen; d. afweging van de betrokken belangen van de derde, de serviceprovider en de websitehouder (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren. Eisen cumulatief 15
WET BEWAARPLICHT VERKEERSGEGEVENS Wettelijke bewaarplicht providers Telecommunicatiewet Bewaartermijn: 6 maanden Termijn staat momenteel ter discussie, want korte termijn -> belang forensic readiness groot, anders teveel kostbare tijd verloren aan onderzoek vergaren data in plaats van onderzoeken data en kosten 16
CYBERCRIME/FORENSIC READINESS Krijn de Mik Sr. Forensic IT Expert
SPREKER Krijn de Mik Sr. Forensic IT Expert Verantwoordelijk voor aansturing en betrokken bij forensische onderzoeken: Integriteit/ compliance/ fraude/ e-discovery Cyber gerelateerde onderzoeken E-mail: mik@fox-it.com 18
Wij voorkomen, beperken en bestrijden de grootste ITbedreigingen BANKEN CRYPTO in sectoren waar beveiliging van cruciaal belang is CYBERCRIME POLITIE DEFENSIE RIJKSOVERHEID VITALE INFRASTRUCTUUR met slimme, technische en innovatieve oplossingen BEDRIJFSLEVEN FORENSICS FOX-IT Ter bescherming van mensen, essentiële bedrijfsmiddelen, informatie en geld. 19
INHOUD 1. Casus 2. Onderzoeksproces 3. Crisis! 4. Oplossingen 5. Vragen 20
CASUS - SITUATIE Organisatie stelt vast dat over de afgelopen maand het volgende is afgenomen: 1. Bezoekersaantallen website 2. Inkomsten De beheerder/ ontwikkelaar wordt ingeschakeld voor onderzoek. Mogelijke verklaring voor geleden schade is dat de website uit de zoekmachine is verwijderd 21
CASUS - VRAGEN Wie host de website? Is de website in eigen beheer, of wordt deze onderhouden door een andere partij? Welke loggegevens zijn voorhanden? Hoe lang gaan de loggegevens terug? Worden er backups gemaakt van de server? Wie had er allemaal toegang? Hoe complex zijn de wachtwoorden? 22
CASUS - ONDERZOEK Carving: terughalen van verwijderde loggegevens Openbronnen onderzoek: verzamelen online gegevens over de website. Timelining: combinatie maken van gegevens harde schijven en openbronnen 23
CASUS - CONCLUSIE Zeer aannemelijk dat een specifiek IP-adres verantwoordelijk is voor wijziging systeem. Onvoldoende bewijsmateriaal nog voor handen. Aangifte gedaan bij de politie, waarna de politie onderzoek gaat doen met als resultaat 24
8 CASUS - CONCLUSIE
BELANG VAN FR Incidenten zijn onvermijdelijk Verantwoordelijkheden richting: Klanten Toezichthouders (meldplicht?) Snelle respons Korte termijn: kan ten koste gaan van zakelijke relaties en inkomsten Lange termijn: beperken kosten en verhalen van kosten (civiel onderzoek) 28
29 TRADITIONELE PD
30 COMPUTER PD
FORENSISCH IT ONDERZOEK Digitaal sporenonderzoek Het speuren naar digitale sporen van (digitale) delicten in computers, netwerken en systemen 31
ONDERZOEKSPROCES Stappen binnen onderzoeksproces: Inventariseren en selecteren Veiligstellen Onderzoeksklaar maken Analyse en correlatie Rapporteren 32
DATA Steeds meer data Zowel relevante Alsook bagger Op steeds meer plaatsen Verspreid over de (IT) organisatie In binnen- en buitenland Buiten de organisatie Netwerken groter en complexer Datastructuren complexer 33
34 HOEVEEL DATA IS DIT?
35 BESCHIKBAARHEID VAN DATA (INTERN/EXTERN)
BEDRIJFSNETWERK Internet 36
VOORBEELDEN VAN MOGELIJK RELEVANTE DATA Stel data zo snel mogelijk veilig: Forensic image desktop Company phone Web proxy records PBX phone records E-mail en file server data VPN access records Application server activiteiten 37
38 WELKE DATA IS IN UW ORGANISATIE BESCHIKBAAR?
BELANGRIJKE VRAGEN? Worden er backups gemaakt en zijn deze al wel eens getest? Welke logbestanden zijn beschikbaar en wanneer roteren deze? Wordt de e-mail gearchiveerd, of alleen lokaal opgeslagen op computers? Worden telefoongesprek gegevens gelogd / eventuele SMS jes? Zijn er proxyservers en welke informatie slaan deze op? BYOD Werkstations/thin clients 39
40
41 WELKE DATA IS BUITEN UW ORGANISATIE BESCHIKBAAR?
OUTSOURCING / CLOUD Internet 42
BELANGRIJKE VRAGEN? Wat kan uw Cloud Service Provider/ outsource partij aanleveren in het geval van een incident? Met welke snelheid kunnen zij informatie aanleveren? Hoe compleet is de informatie die ze aanleveren? Hoe staat het er eigenlijk voor met de beveiliging van uw data extern, en hoe zit met aansprakelijkheid? 43
44 OFF THE RECORD
45
OPLOSSINGEN Zorg voor een gedegen SLA met je outsourcingspartij of CSP Maak afspraken over: hetgeen voor handen moet zijn in het geval van een incident De tijd waarin het aangeleverd moet worden De vorm waarin het aangeleverd moet worden Stem interne processen op elkaar af Ga niet willekeurig dingen loggen Correlatie logging (tijd syncen, ip vs hostname, tijdzones, etc) 46
Oefenen = Doorloop een incident scenario en kijk waar er verbetering mogelijk is Kèn Nugraha - 2013 47
48 Dustin Cohen - 2013
49?
CYBERCRIME/FORENSIC READINESS Mirjam Elferink, advocaat IE/ICT
AANDACHTSPUNTEN (CLOUD)OVEREENKOMST (1) SLA: Maak goede afspraken over het dienstenniveau in een SLA, denk o.m. aan: - Het maken van periodieke back-ups - Het maken van log bestanden - Breng in kaart welke oplossing uw cloudprovider (bv. Microsoft) biedt om u bij te staan in geval van een incident - breng onderlinge afhankelijkheden in kaart tussen uw dienstverlener en diens toeleveranciers/onderaannemers 51
AANDACHTSPUNTEN (CLOUD)OVEREENKOMST (2) Afspraken cloudprovider: - Wie is eigenaar van de data? - Bij wie rusten de intellectuele eigendomsrechten op de data?; - Welke data moeten bewaard blijven; hoe lang en hoe compleet? - Eigendom servers (in geval van private cloud): wie is eigenaar? Toegang tot de applicatie/ fysiek gescheiden omgeving - In geval van public cloud: wat zijn de waarborgen dat andere gebruikers van de public cloud geen toegang hebben tot uw gegevens (fysiek/technisch) 52
AANDACHTSPUNTEN (CLOUD)OVEREENKOMST (3) Quality of service: - controle over fysieke locatie data; - veiligheid (inzien, manipuleren etc.) data; - snelheid; - toegankelijkheid data. Auditregeling Aansprakelijkheid/ Regel wie waarvoor aansprakelijk is. Denk m.n. aan: - dataverlies, datalekken en recovery - beschikbaarheid en bereikbaarheid - boete en schade - sole remedy 53
AANDACHTSPUNTEN (CLOUD)OVEREENKOMST (4) Meldplicht datalekken Anticipeer op de wettelijke ontwikkelingen m.b.t. de datalekmeldplichten. Deze meldplicht rust op u als verantwoordelijke. Toepasselijk recht Cloud grensgebonden. Wellicht contracteert u met buitenlandse partijen. Weet op grond van welk recht de eventuele geschillen zullen worden beslecht! Let op: persoonsgegevens mogen niet zonder meer buiten de EU worden opgeslagen. 54
AANDACHTSPUNTEN (CLOUD)OVEREENKOMST (5) Denk aan contractuele bescherming knowhow via arbeidsovereenkomsten IEbepalingen/boetebepalingen? Maak specifieke afspraken met betrekking tot: privacy Volg hiervoor de derde module ICT en privacy op 13 mei a.s.! Meer over Contracteren in de cloud? Tweede module 15 april a.s.! 55
56 VRAGEN?