Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Ontzorgt!
Impact nieuwe wetgeving privacy en cybercriminaliteit
Kennissessie November 2015
Agenda:
Waarom weerbaarheid vergroten in het digitale domein Gevolgen Meldplicht datalekken en highlights EU privacy verordening Waar krijgen privacy en cybercrime een plek en waar corporaties aan kunnen denken in hun eigen omgeving.
een nieuw geluid
Jan Matto Mazars, IT audit en adviesactiviteiten
Hans Bosma Kwaliteitsmanager en Security Coördinator NCCW
Edwin Versteegt Enterprise architect, Stuurgroep VERA
Ontzorgt!
WEERBAARHEID IN HET DIGITALE DOMEIN
Edwin Versteegt
Ontzorgt!
Agenda
• Ontwikkelingen
• Actoren
• Dreigingen
• Kwetsbaarheden
• Belang
Ontzorgt!
Ontwikkelingen
• Ransomware Cryptoware en ransomware is het cybercriminele businessmodel bij uitstek
• Geopolitieke spanningen Manifesteren zich steeds vaker in dreigende inbreuken op digitale veiligheid
• Phishing veel gebruikt in gerichte aanvallen en is dan nauwelijks te herkennen
• Beschikbaarheid (DDoS) wordt belangrijker nu alternatieven voor ICT systemen verdwijnen
• Kwetsbaarheden software zijn nog altijd de achilleshiel van digitale veiligheid
Bron: Cybersecuritybeeld Nederland 2015
Ontzorgt!
Praktijkvoorbeelden
Ontzorgt!
Actoren
• Beroepscriminelen
• Cybervandalen / scriptkiddies
• Hacktivisten
• Interne actoren
• (ex-)medewerkers
• Inhuur
• Leveranciers
• Cyberonderzoekers
• Private organisaties
Het is voor een crimineel allang niet meer nodig om digitale vaardigheden te bezitten om gebruik te kunnen maken van digitale aanvallen
Bron: Cybersecuritybeeld Nederland 2015
Ontzorgt!
Actoren
Bron: Cybersecuritybeeld Nederland 2015
Ontzorgt!
Actoren
Bron: Cybersecuritybeeld Nederland 2015
Ontzorgt!
Dreigingen
• Ransomware
• Mobiele platformen
• Tooling
• Denial of Service
• Misbruik van diensten
• Phishing
• Internetgebruik
• Java
• WIFI routers
Door het succes van spearphishing is deze vorm van social engineering de primaire aanvalssector voor digitale spionage
Ontzorgt!
Kwetsbaarheden
• Imago
• Cloud infrastructuur
• Up to date software
• Medewerker
• Phishing / ransomware / inlog
• Firmware
• Mobiele netwerk
• Transportlaag
Ontzorgt!
Belang
• Verminderd vertrouwen (imago) remt bedrijvigheid
• Nieuwe toepassingen / nieuwe kwetsbaarheden (continuïteit)
• Belang voor de sector is groot, maar stabiel
– Betrouwbaarheid
– Voorbereid zijn op inbreuken
– Beschikbaarheid
Ontzorgt!
Klanten
• Security is een hype en er zijn veel aanbieders die zeer commerciële voorstellen doen voor beveiliging
• Discussie gestart over het zwart maken van het BSN nummer op de kopie van paspoort of rijbewijs
• Interne servers met persoonsgegevens in een niet afgesloten ruimte
• Vragen over beveiliging en autorisaties
• In PVE expliciet richtlijnen informatiebeveiligingsbeleid en afscherming van informatie
• Selectie van ‘veilige’ software
Ontzorgt!
MELDPLICHT DATALEKKEN EN EU PRIVACY VERORDENING
Jan Matto, Mazars
EU Privacyverordening en
Meldplicht Datalekken
NCCW, Almere
Jan Matto, 24 november 2015
Maturing Business
Information Security
Copyright Mazars
Email: [email protected]
@Jan_Matto
Partner Mazars Management Consultants
Centre of Excellence voor IT-audit & -advisory
Digital Trust & Transparency
Andere professionele activiteiten:
Stuurgroep Permanente Educatie Register-
accountants IT en assurance, Veritas / VERA)
NOREA Commissie SOC2
Commissie Zekere Verbindingen, EZ,ECP,DHPA
Commissie van toelating / visitatie NOREA
Redactie Handboek EDP-auditing Kluwer/NBA
Publicaties over IT audit en IT security
Colleges aan verschillende universiteiten
16
Even voorstellen:
Voorbeelden van projecten:
Onderzoek datalek en informatiebeveiliging Nza
Onderzoek biometrische gezichtherkenningsystemen grensbewaking (No-Q)
Privacy en security certificering Fraude detectiesystemen
Privacy Impact assessment identity management systemen (eID Stelsel)
Privacy en security audit Electronische Nederlandse IdentiteitsKaart (eNIK)
Privacy Impact Assessment Central Bank of Ireland, Credit Register
Project assurance Belgische eID systeem
Assurance services voor IT Service Providers
Third Party Rapportages, ISAE3402 audits en DigiD Assessments
Mediation IT projecten / project recovery / calamiteiten
17
This presentation
could include
shocking visions
Overheid is verantwoordelijk voor een betrouwbaar identiteitenstelsel in
de reële wereld én in de virtuele wereld.
20
Identiteitsfraude in Nederland: • Circa 5,6% van de burgers in de periode 2007 - 2011 (4 jaar) is slachtoffer van
identiteitsfraude. • In de jaren 2007 - 2012 (6 jaar) is dit circa 13,3 %. • Van deze slachtoffers heeft een deel financiële schade geleden: naar schatting 9,5% van de
gehele bevolking. • Over 2012 is berekend dat tussen de 672.787 en 869.816 burgers slachtoffer zijn geweest,
die gezamenlijk tussen de 393 en 508 miljoen euro schade hebben geleden. • DigiD uiterlijk 2017 vervangen door nieuw systeem BRON: 2 april 2013, Brief minister Plasterk en bijbehorende rapportage over de Voortgang Toekomstbestendigheid Identiteitsinfrastructuur naar de Kamer. https://www.rijksoverheid.nl/documenten/kamerstukken/2013/04/02/kamerbrief-voortgang-toekomstbestendigheid-identiteitsinfrastructuur
Huidige privacy verordening dateert uit 1995 en is de basis voor de huidige Wet Bescherming Persoonsgegevens: http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:31995L0046&from=en
12 maart 2014: EU parlement stemt voor EU Privacy Verordening (EPV) 7 juli 2015: Meldplicht Datalekken van kracht per 1 januari 2016 https://zoek.officielebekendmakingen.nl/dossier/33662/kst-33662-25?resultIndex=1&sorttype=1&sortorder=4
22 oktober 2015: CBP publiceert Concept Boetebeleidsregels https://www.cbpweb.nl/sites/default/files/atoms/files/boetebeleidsregels_cbp_def_consultatieversie.pdf
http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:52012PC0010&from=EN
Dit betekent per 1 januari 2016:
Melden van een datalek binnen 2 werkdagen bij Autoriteit Persoonsgegevens
Informeren van betrokkenen / geregistreerden
Overtredingen kunnen tot boete leiden van:
Maximaal € 810.000
of
10% van de netto jaaromzet
Dat wat passend wordt geacht
Enige context bij de Privacy Wet– en Regelgeving Algemeen privacy:
• Europees Verdrag Rechten van de Mens
(EVRM: privacy, zelfbeschikking, vrije nieuwsgaring, privacy)
• Realisatie van een IT systeem met verwerkingen van persoonsgegevens impliceert meestal een inbreuk op grondrecht van de bescherming van de persoonlijke levenssfeer
• Voortgaande digitalisering van maatschappij en economie vergroot de risico’s
Maar er zijn ook andere maatschappelijke ontwikkelingen en risico’s:
• Identiteitsdiefstal / -fraude
• Wantrouwen in digitale en eGovernment services
• Risico voor economische groei
• Verstoringen van marktwerkingen
• Politieke en Bestuurlijke risico’s
• ……..
Enkele andere begrippen uit de Privacy Wet- en Regelgeving
1. Persoonsgegevens 2. Bijzondere / gevoelige persoonsgegevens • Stigmatiserende gegevens • Digitale identificerende gegevens • Bijzondere digitale identificerende gegevens (BSN)
3. Kwetsbare groepen 4. Verantwoordelijke 5. Bewerker 6. Bewerkerovereenkomst
• universele Privacy Principes
Grondslag, noodzakelijkheid,
Proportionaliteit, subsidiariteit
Verantwoording
Transparantie
Doelbinding
Data kwaliteit
Gegevensminimalisatie
Privacy Enhancing Technologies (PET)
Privacy by Design (PbD)
Beveiliging
Rechten individu:
- user consent,
- inzage, correctie
- recht om vergeten te worden
Derde landen buiten EER
Elke situatie is anders: Regels Principes Context bepaalt Karakteristieken IT technologie Andere risico’s
Wicked problems:
Universele privacy risico’s
‘Data deluge'-effect
Ontstaan “hotspots”
Waardestijging van persoonsgegevens
‘Function creep’
Inconsistente implementatie en naleving verantwoordingsbeginsel
Geheime (niet transparante) verwerking van persoonsgegevens
Niet toegestane verwerking van persoonsgegevens buiten de EER
Datalekken
Specifieke risico’s ten aanzien van biometrische identificatie en authenticatie
Onrechtmatig gebruik identificerende gegevens, zoals BSN nummers
Noodzaak tot transparantie en compliance / ander gedrag van stakeholders
Bits of Freedom
Journalisten
Politiek
Hackers
Overheid Toezichthouders Privacy toezichthouders
Burgerrechten & privacy beschermers
Citizens, Consumers, Society
27
Highlights Meldplicht Datalekken in de Wet Bescherming Persoonsgegevens
Enkele Highlights Meldplicht Datalekken (1)
• Stel vast of verwerkingen onder de Meldplicht Datalekken vallen
(niet alle verwerkingen vallen onder de meldplicht)
• Maak afspraken met Bewerkers! Bewerkerovereenkomst
• Maak afspraken over wie meldt: Bewerker en/of Verantwoordelijke
• Spreek procedure af voor tijdige melding
• Let op bij bewerkers in andere landen / EU lidstaten die de meldplicht niet kennen afspraken in Bewerkerovereenkomst
Enkele Highlights Meldplicht Datalekken (2)
Wat is een datalek:
• Onbevoegde kennisname (intern of extern!)
• Onrechtmatige verwerking
• Onrechtmatige verstrekking
• Hack / inbraak in systeem / falende externe beveiliging
• Falende interne / externe beveiliging
• Verlies van gegevensdragers / laptops etc
• Ook het verloren gaan van gegevens is een datalek!
Bij datalek verplichting om zo mogelijk de negatieve gevolgen van een datalek voor betrokkenen beperken! (Bijv. resetten inlogcodes / wachtwoorden).
Wanneer moet gemeld worden bij:
A) Autoriteit Persoonsgegevens?
B) Betrokkenen
A) Vanwege het datalek is sprake van een (aanzienlijke kans op) ernstige nadelige gevolgen voor de Bescherming van Persoonsgegevens
B) Vanwege het datalek is sprake van mogelijk ernstige nadelige gevolgen voor betrokkenen
Ernst datalek = aard van persoonsgegevens x volume aan betrokkenen
Er zijn bijzondere omstandigheden waaronder niet gemeld hoeft te worden
Casusposities beschreven in de consultatieversie richtsnoeren Meldplicht Datalekken
Enkele Highlights Meldplicht Datalekken (3)
Enkele Highlights Meldplicht Datalekken (5)
• een kwijtgeraakte USB-stick; • een gestolen laptop; • een inbraak door een hacker; • verzending van e-mail waarin de e-mailadressen van alle geadresseerden
zichtbaar zijn voor alle andere geadresseerden; • een malware-besmetting; • een calamiteit zoals een brand in een datacentrum.
Door CBP genoemde voorbeelden:
Enkele Highlights Meldplicht Datalekken (6)
Voorbeeld wel / geen datalek (onrechtmatige verwerking van persoonsgegevens) Een werknemer geeft aan een derde de gebruikersnaam en het wachtwoord die toegang geven tot alle klantgegevens van alle klanten van het bedrijf waar hij werkt. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de derde geen toegang meer heeft. Daarna onderzoekt het bedrijf of de derde daadwerkelijk toegang heeft gezocht tot de klantgegevens. Bij dit onderzoek maakt het bedrijf gebruik van logbestanden, waarin per gebruikersnaam is vastgelegd welke acties er op welk tijdstip zijn uitgevoerd met welke klantgegevens. Als de logbestanden intact en betrouwbaar zijn, en als op basis van de logbestanden redelijkerwijs kan worden uitgesloten dat er door middel van het betreffende account toegang is verkregen tot de klantgegevens, dan is er uitsluitend sprake van een beveiligingslek en niet van een datalek.
Highlights Europese Privacy Verordening
Enkele highlights EU Privacy verordening (1)
• Verhoging van sancties bij niet naleving
overheid = bedrag tot 1 miljoen,
bedrijfsleven 100 miljoen of tot 5% wereldwijde jaaromzet
• Verplichtingen tot uitvoering van privacy impact assessment (PIA)
al geadopteerd door NL overheid in 2013
• Benoeming van een functionaris voor de gegevensbescherming (FG)
• Verplichting tot Privacy Enhancing Technologies (PET)
en Privacy by Design (PbD)
Privacy Impact Assessment: preventief, voordat het te laat is ……
36
Aanpak en structuur van de PIA eID Stelsel
Wet- en regelgeving
PIA richtlijn
Rijksoverheid
PIA richtlijn NOREA
Literatuur
Privacy principes Privacy risico’s
Ontwerp / maatregelen
Context IT systeem / verwerking persoonsgegevens
Bevindingen Mapping: principes, risico’s, maatregelen
IT werkelijk-heid
• Universele Privacy Principes als basis voor een PIA
Grondslag, noodzakelijkheid,
Proportionaliteit, subsidiariteit
Verantwoording
Transparantie
Doelbinding
Data kwaliteit
Gegevensminimalisatie
Privacy Enhancing Technologies (PET)
Privacy by Design (PbD)
Beveiliging
Rechten individu:
• - user consent,
• - inzage, correctie
• - recht om vergeten te worden
Derde landen buiten EER
Elke situatie is anders: Regels Principes Context bepaalt Karakteristieken IT technologie Andere risico’s
Wicked problems:
Universele Privacy Risico’s als basis voor een PIA
‘Data deluge'-effect
Ontstaan “hotspots”
Waardestijging van persoonsgegevens
‘Function creep’
Inconsistente implementatie en naleving verantwoordingsbeginsel
Geheime (niet transparante) verwerking van persoonsgegevens
Niet toegestane verwerking van persoonsgegevens buiten de EER
Datalekken
Specifieke risico’s ten aanzien van biometrische identificatie en authenticatie
Onrechtmatig gebruik identificerende gegevens, zoals BSN nummers
Mapping principes, risico’s, maatregelen PRIVACY PRINCIPE Privacyrisico’s
ID DD FC IV NT NE DL OB GC Verantwoording x x x x x x Limiteren van het verzamelen van gegevens x x x x x Doelbinding / limiteren van het gebruik van gegevens x x x x x x x Gegevenskwaliteit x x Beveiliging van gegevens ( Privacy by Design/Privacy Enhancing Technologies) x x x x x Transparantie x x x x Rechten van betrokkenen x x x x x
ID: Identiteitsfraude DD: Data deluge'-effect
WA: Waardestijging van persoonsgegevens FC: ‘Function creep’
OU: Onrechtmatig gebruik van uniek identificerende gegevens PF: Profiling VB: Verkeerde behandeling in sociaal en economisch maatschappelijk verkeer SK: Stigmatisering door koppeling van gegevens
IV: Inconsistente implementatie en naleving verantwoordingsbeginsel NT: Geheime (niet transparante) verwerking van persoonsgegevens NE: Niet toegestane verwerking van persoonsgegevens buiten de EU
CC: Nieuwe ontwikkelingen op het terrein van cloud computing waarbij gegevens over de gehele wereld kunnen worden verplaatst.
DL: Data lekken OB: Omkering van de bewijslast voor de betrokkene GC: Consumenten worden gedwongen om in te stemmen met het gebruik van hun gegevens
Enkele Highlights EU Privacy Verordening (2) • Hanteren van Privacy Principes (onder andere OESO)
• Hanteren van maatregelen beperken Privacy Risico’s
– Privacy by design
– Privacy Enhancing Technologies
– Security naar de stand van de techniek
• Respecteren rechten van betrokkenen (geregistreerden) bij datalek
• Rechten van kwetsbare groepen (zoals: kinderen, BN’ers, ex gedetineerden,
lotto winnaars, etc etc)
• Extra aandacht voor stigmatiserende gegevens
Conclusies en Aanbevelingen direct te nemen acties ivm Meldplicht Datalekken (1)
1. Alle registraties van persoonsgegevens moeten voldoen
aan de eisen van de WBP (straks EU Privacy Verordening)
2. Beveilig in elk geval systemen aantoonbaar op een deugdelijk niveau • Gebruik algemeen aanvaarde normen
• Need-to-know
• Weet wie, wanneer met welke rechten toegang heeft
• Logging en detectiemechanismen
• Toets- en evalueer beveiliging regelmatig
3. Inventariseer de verwerkingen van persoonsgegevens
4. Maak de aard en opzet van de verwerkingen transparant
5. Classificeer de verwerkingen naar privacy risico’s
6. Tref zo nodig aanvullende privacy bevorderende maatregelen
Direct te nemen acties ivm Meldplicht Datalekken (2)
7. Leg doelbindingen vast
8. Ga na of verwerkingen gemeld moeten worden bij CBP
(let op: vrijstellingenbesluit WBP)
9. Stel een informatiebeveiligingsbeleid- en plan op
10. Beleg verantwoordelijkheden.
TIP 1: Documenteer en leg bewijsvoering vast TIP 2: Toetsregelmatig veiligheid en toon dat aan TIP 3: Overweeg privacy audit / privacy impact assessment
Tijd voor vragen en discussie
44
Dank voor uw aandacht
Copyright Mazars
Jan Matto
Email: [email protected]
Twitter: Jan_Matto
Mobiel: 06 535 78 232
Ontzorgt!
PRAKTIJKERVARINGEN PRIVACY EN CYBERCRIME
Hans Bosma
Ontzorgt!
Even voorstellen
• Procesmanager
• Kwaliteit
• Security
• Contracten
Email: [email protected]
Ontzorgt!
Maatregelen
• De mens
• Wetgeving
• De techniek
• Samenwerking
• Responsible disclosure
Ontzorgt!
Maatregelen
• Risicomanagement
– Maak een risicoanalyse
• Beleid vaststellen
– Informatie Beveiliging Beleid
– Stel maatregelen op
– Stel beleid voor de maatregelen op
• Contract management
– Bewerkerscontracten / keten
Ontzorgt!
De mens
• E-learning les
• Nieuwsbrief
• Awareness programma
• Phishing experience
• Volgen bijeenkomsten Bewuste en bekwame gebruikers gedragen zich veiliger
Ontzorgt!
Wetgeving
• WBP / Wet datalekken
• Europese verordening bescherming persoonsgegevens
– Architectuur Principes
– Beheersmaatregelen NCCW • ISAE 3402 type 2
– ISO 27001/ISO27002
– ICT richtlijnen beveiliging webapplicaties
Ontzorgt!
De techniek
• Ontwikkelingen
– Privacy by design
– Richtlijnen voor ontwikkelingen
– Vulnerability en pen testen
– Detectie
• Nieuwe ontwikkelingen
– Tweefactor authenticatie
– Cryptografie
Ontzorgt!
Samenwerking
• Functionaris gegevensbescherming
• Melden van incidenten
• Oplossen volgens procedures
• Inrichten en oefenen van scenario's bij datalekken
Ontzorgt!
Responsible disclosure
• Ethische hackers
• Melding en oplossen kwetsbaarheden
• Vrijpleiten hacker
Ontzorgt!
Aan de slag
• Security op de kaart
• Awareness
• Toetsen wettelijke vereisten
– Privacy Impact Assessment, iteratief en dynamisch, maatwerk
– Informatie naar betrokkene / recht van rectificatie
– Privacy by design
• Bewerkerscontracten
• Beveiliging
• Functionaris gegevensbescherming
• Aansprakelijkheid
• Opzetten template scenario datalekken
Ontzorgt!
Ondersteuning
• Uitvoeren van een Privacy Impact Assessment
• ICT security check
• E-learning module Informatiebeveiliging
• Privacy Awareness kennissessie op locatie
• Optimalisatie Beveiliging
Ontzorgt!
VRAGEN?
Welkom bij het nieuwe geluid van NCCW.
Hartelijk bedankt voor uw aandacht!
Strategie NCCW
Maximaal Digitaal
Ketensamenwerking
Keuzevrijheid / wendbaarheid
Ontzorgen
Procesautomatisering
Strategie NCCW
Portalen
Primaire Systemen BIS NOA / Property Management
Ketenprocessen Corporatie Cloud
ESB+ Integratieplatform
Software as a Service