Presentatie door Sophos over:
- de Nederlandse meldplicht voor datalekken, die op 1 januari 2016 is ingegaan
- hoe encryptie een eerste belangrijke stap richting adequate databeveiliging kan zijn.
Deze presentatie werd gegeven door Harm van Koppen van Sophos op de Securitydag van SLBdiensten op 15 april 2016 bij Aventus te Apeldoorn
8. Quiz
Een inbraak bij een school. De server wordt meegenomen en de data op de server is versleuteld. Een backup
van de server staat fysiek 80km verder op. Alle data kan teruggehaald worden.
De versleutelde laptop van een financieel directeur is uit de auto gestolen. Financiële gegevens (budgetten,
salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet
gecompromitteerd is, was er geen back-up voorhanden.
Een journalistiek programma confronteert een school met het feit dat als gevolg van een beveiligingslek onder
andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, BSN nummers en wachtwoorden)
van studenten en docenten op de server van de school door onbevoegden zijn ingezien.
Een docent laat een koffer met daarin een USB stick met een e-mailadressenbestand achter in de trein. De
koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend na 2 dagen terug bij
de rechtmatige eigenaar.
10. Persoonsgegevens
Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp Het gaat hierbij om persoonsgegevens over
iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap
van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of
hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
• Gegevens over de financiële of economische situatie van de betrokkene
Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salarissen betalingsgegevens.
• (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene
Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen.
• Gebruikersnamen, wachtwoorden en andere inloggegevens
De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de
inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden
hergebruiken voor verschillende verwerkingen.
• Gegevens die kunnen worden misbruikt voor (identiteits)fraude
Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het
Burgerservicenummer (bsn).
11. De sleutel is versleuteling
Technische en organisatorische maatregelen dienen cumulatief te worden getroffen.
Software is een belangrijk instrument tot beveiliging. Dit wetsvoorstel geeft de
normen die mede met behulp van software dienen te worden gehandhaafd. Klassieke
technische beveiligingsmaatregelen omvatten mede de fysieke afscherming van de
randapparatuur die toegang geeft tot de te beveiligen gegevens. Daarnaast zijn er de
modernere informatietechnologische maatregelen zoals beveiliging met een
«password» en door middel van encryptie. Grotere bedrijven zullen een eigen
beveiligingsafdeling hebben. Kleinere bedrijven zullen beveiligingsexpertise van
buitenaf inhuren. Wat betreft encryptie zijn de initiatieven vermeldenswaard van de
Europese Commissie om te komen tot een min of meer uniform systeem van
vertrouwenstussenpersonen (trusted third parties) binnen de Europese Unie.
(Bron: Richtsnoeren AP: beveiliging persoonsgegevens)
15. Verloren of Gestolen Apparaat
Onversleuteld Versleuteld
• Verlies of diefstal van een apparaat kan iedereen
overkomen, en overkomt dus ook velen van ons.
• Alleen geauthoriseerde gebruikers zouden iets
met deze apparaten moeten kunnen.
• Hoeveel apparaten heb jij verloren?
16. Zet bestanden op Removable Media
• Op deze kleine apparaatjes past heel veel
data, maar je bent ze zo kwijt
• Blokkeer je ze of bescherm je de data erop?
• Waar is je eerste USB stick en wat staat erop?
17. Zet bestanden in E-Mail
• We emailen allemaal & we maken allemaal wel
eens een foutje (het gebeurt)
• Wat kan het gevolg zijn van het verkeerde
bijvoegsel aan de verkeerde persoon sturen?
• Versleutel je bestanden, of inspecteer je op de
Gateway?
18. Zet bestanden op een Network Share
• De huidige Operating Systems maken het delen
van data op het Network zeer eenvoudig.
• Bescherm tegen interne dreigingen.
• Wie is bevoegd voor bedrijfs- of
persoonsgegevens?
19. Zet bestanden in de Cloud
• Cloud Storage heeft de manier waarop data
tussen gebruikers een apparaten wordt gedeeld
gerevolutioneerd.
• Wat heb jij in de Cloud staan, en wat gebeurt er
als iemand het steelt?
• Versleutel de data voordat je het in de Cloud zet.
20. Sophos SafeGuard – simpel & beter
Werkt op verschillende apparaten
o Windows, OS X, iOS & Android
o Integratie met Sophos Secure
Workspace en Mobile Control
o Inclusief centraal beheer van
Microsoft Bitlocker en Apple
FileVault2
Gebruikers blijven productief
o Op school, onderweg, met ieder
apparaat
Nog steeds beveiligd
o Betrouwbaar apparaat bepaalt
toegang tot data. Een apparaat met
risico? Werk met een ander
apparaat
25. Om je gratis verder te helpen
• EU Data Security Compliance Check in 60 seconden
• Whitepaper over EU Data Protection Regulation
• Sophos Home:
studenten
docenten
buren
vrienden
Te vinden op www.sophos.com/public-sector-benelux
Wat is een datalek én moet sowieso worden gemeld worden aan de Autoriteit Persoonsgegevens en aan de betrokkenen.
In ROOD zijn voorbeeld welke gemeld moeten worden. Niet alleen bij AP maar ook bij de betrokkenen.
In GROEN is de melding bij de AP nodig, de betrokkenen hoeven niet ingelicht te worden.
ORANJE is twijfel omdat het gaat om een e-mailadres. Dit is niet per definitie een persoonsgegeven maar kan wel een inlog zijn.
Wanneer is er sprake van een incident en wanneer van een datalek.
Daarnaast is de volgorde dat de Autoriteit Persoonsgegevens op de hoogte gebracht wordt. Hiermee wordt de melding dus verplicht.
Het informeren van betrokkene is pas noodzakelijk wanneer het ernstige nadelige gevolgen kan hebben.
Hierboven de definities van wat persoonsgegevens zij. Niet alleen de bijzondere persoonsgegevens zoals genoemd in het Wbp artikel 16 maar ook wat nog meer gegevens zijn die nadelige gevolgen kunnen hebben voor de betrokkene.
Volgens de richtisnoeren van het AP is beveiliging van data door middel van een password en/of versleuteling van data het beste middel om onbevoegden geen toegang te geven tot data.
Diefstal of verlies van een apparaat gebeurt elke dag, overal, en overkomt bijna iedereen wel eens: Bij de securityscanner op het vliegveld achtergelaten?
Telefoon in restaurant of bar vergeten?
Gestolen uit kantoor, hotel of auto?
Onder bedreiging van je afgepakt?
Alleen geauthoriseerde gebruikers hebben toegang tot de apparaten!
Bedenk eens met welke apparaten de medewerkers hun werk doen:
Laptops
Desktops
Smartphones
Tablets
Wat hier mis kan gaan is een verloren of gestolen apparaat. De dreiging is in dit geval een externe, laten we zeggen een dief die het apparaat gestolen heeft. We zijn allemaal mensen.
Een gebruiker kan zijn laptop per ongeluk laten liggen bij de securityscanner op het vliegveld; of het wordt gestolen uit hun auto of hotelkamer. In geen van deze scenario´s wil je dat een onbevoegde toegang tot de digitale inhoud van het apparaat kan verkijgen, en daarmee toegang tot je data. Denk aan dit simpele voorbeeld: wanneer je haast hebt en door de security van het vliegveld moet, van welk object en zijn lokatie ben je je dan het meest bewust? En als je moet rennen, wat pak je dan eerst? Voor de meeste mensen is het hun portemonnee, paspoort of smartphone. Aan laptops wordt vaak pas in tweede instantie gedacht.
Vragen die je jezelf kunt stellen:
Is je organisatie recentelijk van die apparaten kwijtgeraakt?
Wat voor apparaten waren het precies?
Wat stond er op?
Stond er vertrouwelijke informatie op?
Hoeveel verschillende platforms zijn er in gebruik?
Windows? Mac OS X? iOS? Android?
Het principe van deze vereiste is dat je alleen bevoegde gebruikers toegang hebben tot een apparaat. Hoewel de meerderheid van deze gevallen aan eenvoudige en menselijke fouten te wijten zijn is dit een algemene vector voor datalekkage. Met de grote opslagcapaciteit van hedendaagse apparaten kan er een enorme hoeveelheid data lekken, door een onschuldige handeling.
Historisch is dit hoe versleuteling werd toegepast, voor de harde schijf in laptops omdat dit de enige apparaten waren die de organisatie uitgingen. Nu zijn er meer apparaten met data buiten de organisatie. In een databeschermingsbeleid zul je over allemaal iets moeten bedenken. En hoewel het meestal niet de bedoeling is dat desktops de organisatie verlaten, moet je rekening houden met de mogelijkheid dat deze gestolen worden. Dit geldt overigens ook voor een server.
Voor laptops en desktops begin je met versleuteling van de harde schijf. De schijf is versleuteld, en voordat het Operating System opstart moet de gebruiker zich authenticeren. Dit verzekert dat alleen bevoegde gebruikers toegang hebben. En omdat de schijf versleuteld is heeft het geen zin de harde schijf uit het apparaat te sleutelen en via een kabeltje op een ander systeem uit te lezen.
Op smartphones of tablets zet je de ingebouwde versleuteling aan, en verplicht de gebruiker een PIN of een wachtwoord te gebruiken.
Dit is de eerste verdedigingslaag in een databeschermingsstrategie.
Removable Media (zoals bijvoorbeeld USB Sticks) kunnen ook een vector voor datalekkage zijn.
Op kleine apparaten passen grote hoeveelheden data, en ze raken makkelijk uit het zicht.
Weet jij waar je eerste USB stick ligt?
Ben je wel eens een USB Stick kwijtgeraakt?
Nog belangrijker, weet je nog wat er op stond?
Twee basale keuzes:
Sta gebruikers niet toe removable media aan te sluiten
Bescherm data wanneer deze naar removable media wordt gekopiëerd
Het kopiëren van data naar removable media, zoals een USB stick, is een zeer eenvoudige handeling en gebruikers hebben geleerd dat het een makkelijke manier is om data, veel of weinig, te delen met een collega, klant of partner. Omdat het meestal de bedoeling is dat data er maar tijdelijk op staat houden gebruikers meestal niet bij wat er allemaal op staat. Maar het zou ook zomaar een backup van een laptop kunnen zijn. Omdat de tijd en de techniek niet stil staat kan een removable media apparaat, zo klein als je vingernagel, of zo groot als een smartphone, gigabytes dan wel terabytes aan data bevatten.
En omdat deze handige dingen zo lekker klein zijn, worden ze net zo makkelijk verloren. Je doet de USB stick in je broekzak. Je haalt je autosleutels uit je broekzak en je USB stick wordt meegetrokken en valt op de grond. Zou je dat merken?
Het is heel interessant om deze basisvragen te stellen: weet je waar je eerst USB stick is, en wat erop staat?
Dit is een goed voorbeeld omdat de meeste mensen hier geen antwoord op hebben. Het toont aan dat voor de meeste mensen de locatie van dit soort apparaten een secundaire overweging is, laat staan wat er allemaal op staat.
Dus wat kan je organisatie doen? Een methode is simpelweg het gebruik van deze apparaten verbieden. Als ze geen USB stick aan kunnen sluiten, kunnen ze er ook geen data op zetten. Dit is een prima oplossing om van deze vector voor datalekkage af te komen, maar ontneemt de gebruikers deze mogelijkheid om data te delen, en kan op weerstand stuiten van deze gebruikers. Als je baas vraagt waarom hij een USB stick niet kan gebruiken, wat is dan het antwoord? Ook zijn er alternatieve oplossing zoals Device Control zodat je onderscheid kunt maken tussen welke apparaten wel en welke niet aan je laptops en desktops mogen worden aangesloten. Er zijn zelfs bijzonder beveiligingsbewuste bedrijven die zover gaan dat ze de USBpoorten dichtlijmen, zodat er echt niets meer in gestoken kan worden.
Dat brengt me bij de tweede optie: wanneer het gebruikers toegestaan is removable media apparaten aan te sluiten, bescherm dan de data die erop geschreven wordt, door middel van versleuteling. Denk even terug aan onze definitie voor een datalek: zorg dat data geschreven wordt zodat het voor onbevoegden onbruikbaar is.
Oh ja, heeft er iemand wel eens een USB stick op de grond zien liggen, en opgeraapt? Zo ja, heb je gekeken wat er op stond? Zo ja, gefeliciteerd, je kunt nu een malware infectie hebben opgelopen. Zorg dat je anti-malware software up to date is. Op deze manier zijn heel wat nucleaire centrifuges maar ook kassasystemen beschadigd.
We sturen allemaal mail, en we maken allemaal wel eens een foutje. Behalve Sheldon Cooper misschien.
Onbedoelde menselijke fout:
Per ongeluk het verkeerde bestand aan een e-mail gehangen?
Ging dat mailtje toevallig naar buiten de organisatie?
Per ongeluk een mail naar de verkeerde persoon gestuurd?
Ook al was dat binnen de organisatie, wat betekent het dat deze persoon nu over deze informatie beschikt?
Twee keuzes:
Versleutel bestanden bij aan e-mails gevoegd worden
Inspecteer e-mails op de gateway
Er is geen e-mailgebruiker die nooit een bestand gemaild heeft. Dit is een standaard methode om data te delen. E-mailtechnologie is een van die tweesnijdende zwaarden. Het is geweldig om makkelijk data te delen, zowel binnen als buiten een organisatie. Helaas is het net zo makkelijk om er een datalek mee op te lopen, per ongeluk of door een kwaadwillende gebruiker.
We zijn allemaal menselijk en het is zo makkelijk om per ongeluk het verkeerde bestand aan een mail te plakken. Wat voor kwaad zou dat nou kunnen? Stel je voor dat je met een overname of fusie bezig bent, iemand stuurt een bod en de deal mislukt omdat het gepubliceerd werd? Of het bijvoegsel was je prijslijst, of financiële gegevens, of de details van je voorsprong op je concurrentie? Het komt neer op de vraag: welke data is belangrijk voor de organisatie en wat zijn de consequenties als het in verkeerde handen valt.
Je kunt denken dat het minder erg is om het verkeerde bestand binnen de organisatie te versturen, maar wat als je PZ of de juridische afdeling deze fout maakt, en informatie stuurt aan iemand die er geen toegang toe zou moeten hebben?
Het is dus altijd een goed idee om data ook binnen de organisatie te versleutelen. Er zijn vele bestandstypen waar gebruikers mee werken gedurende de dag, en die kunnen allemaal versleuteld zijn. Bijvoorbeeld: De office documenten (Word, Excel, Powerpoint) en de Adobe documenten (PDF, InDesign, Photoshop, etc.).
Moderne Operating Systems maken het delen van data op het bedrijfsnetwerk erg eenvoudig:
Heb je data die andere onderdelen van de organisatie niets aangaan?
Is er een wettelijke verplichting aangaande bevoegde toegang tot data?
Bescherm tegen interne dreigingen:
IT beheerder die bij alle PZ documenten kan
Alleen de juridische afdeling hoort bij de inhoud van juridische documenten op de juristenshare te kunnen
Alleen bevoegde gebruikers kunnen bij patientengegevens
Versleutel je data om deze te beschermen tegen interne dreigingen
Iedereen heeft wel eens data op een netwerkshare gezet, of benaderd. Dit is een ontzettend makkelijke manier om data binnen een organisatie te delen. En door moderne operating systemen kost dit geen enkele moeite. Soms zie je weinig verschil tussen het lokaal of via een netwerk kopiëren van data.
Denk nu aan interne dreigingen. Deze zijn niet per se kwaadaardig, maar men kan per ongeluk data benaderen waarvoor men niet bevoegd is, en die men niet nodig heeft voor de dagelijkse werkzaamheden. Nu kun je denken, nou en, wat maakt dat nu uit? Heel veel, eigenlijk. In sommige regelingen is er specifieke tekst die bepaalt wie toegang mag hebben tot klantengegevens, en welk gedeelte daarvan (voorbeeld: PCI-DSS. Hier moet je aan voldoen als je credit card betalingen accepteert).
Een voorbeeld: IT beheerders hebben over het algemeen goddelijke rechten op interne infrastructuur. Stel je voor dat de IT beheerder het interessant vindt om te weten wat iedereen verdient, of welke optieregelingen er getroffen zijn voor de collega´s? Uiteraard is dit een PZ- en ethische kwestie. Gebruikers verwachten privacy.
Een tweede voorbeeld: Mogen niet-leden van de juridische afdeling toegang hebben tot de juridische documenten van de organisatie, lopende zaken, etcetera?
Een derde voorbeeld: Je bezoekt je dokter eenmaal of vaker per jaar. Vaak zit een dokter in een praktijk met meerdere dokters. En dan heb je net een bloedtest gedaan, of iets dergelijks. Vind je het goed dat hun It-er de resultaten kan zien, of verwacht je hier toch dat je privégegevens vertrouwelijk blijven?
Maar hoe kun je je data beschermen op je netwerk? De eerste stap is natuurlijk ervoor te zorgen dat de toegangsrechten correct zijn ingesteld, maar dit houdt systeembeheerders of hosting providers niet uit je data. Het is een goede praktijk om te verzekeren dat data versleuteld is. Vooral waar het gaat om data waar de systeembeheerder niet in hoort te kunnen lezen, dus waar het instellen van toegangsrechten ontoereikend is.
Cloudopslagdiensten bieden een makkelijke manier om data tussen gebruikers en apparaten te delen.
Dropbox, Onedrive, Googledrive, etc.
Deze diensten bevinden zich buiten de bedrijfsperimeter
Wie heeft er toegang toe?
Wat voor data is er opgeslagen?
Wat is de impact wanneer accounts worden gehackt en de data gestolen?
Versleutel de data voordat je het de Cloud instuurt.
Deze Cloudopslagdiensten zijn makkelijk, handig en dus zeer populair geworden. Helaas zijn ze ook een vector voor datalekken.
Je moet jezelf de volgende vragen stellen:
Mag je organisatie het gebruik van deze diensten toestaan?
Wie in de organisatie zou deze diensten mogen gebruiken?
Welke soorten data mogen wel en welke niet op deze diensten worden opgeslagen?
Wat zijn de gevolgen wanneer accounts gehackt en de data gestolen wordt?
Dat laatste kan een officiëel data lek genoemd worden, en dan heb je als organisatie een probleem. De bewijslast, dat de data onbruikbaar zou zijn, ligt bij de organisatie. Kun je dat niet wordt er vanuit gegaan dat de data gelekt is.
Het is al vaak voorgekomen dat dergelijke accounts gehackt zijn, of dat een Cloudopslagdienst een foutje maakt. De CEO van Box raadt zelfs al hun klanten aan dat ze hun data versleutelen voordat ze het op Box zetten.
Dus wat kun je doen? Zorg ervoor dat alle data die richting wat voor Cloudopslagdienst dan ook versleuteld is, voordat het ook maar je apparaat verlaat. Dat betekent het versleutelen van bestanden nog voordat ze gesychroniseerd worden (misschien beginnen jullie een patroon te zien). Uiteraard wil je het niet pas versleutelen wanneer het bij de dienst is aangekomen, want dat zou betekenen dat de data onversleuteld over het internet is gegaan. Wat geen goede zaak is.
En tegelijkertijd moeten de medewerkers productief kunnen blijven.
Continuing the theme of encryption everywhere, but now with Next-Gen Data Protection
Next-Gen Data Protection continues to support more devices across more OS’s ensuring your workforce can work to productivity, only now with much more security.
The threat protection technology enabled by Next-Gen Data Protection is a constant, so should a device become compromised the necessary actions are taken to secure the device (data), productivity continues as one can work on another device. Next-Gen Data Protection continues and strengthens our story of protection without slowing you down.
These four lines represents 4 different use cases and shows whether the user will have access to encrypted or plain text data. There are many other use cases available, however these four demonstrate examples.
The first column represents the various platforms that will be supported. Columns 2-4 represent the three pillars; Trusted Device, User, and Process. The last column indicates whether the user will see plain text or encrypted data.
The first example is a Mac user who is on a trusted device; the user is trusted; and Microsoft Word is a trusted application. Therefore are all of the three pillars are trusted, the user will have access to the plain text version of the Word document.
The second example is a windows user who is infected by malware. The device and user is trusted, however the process requesting access to that Word document is not. Therefore it will only receive the encrypted version of the file.
The second example is where a user has jailbroken their iOS device. Any jailbroken device is not to be trusted. So even though the user is trusted, and the iOS app accessing the encrypted data is trusted, they will still only see the encrypted data because the device is not trusted.
The last example is on Android, however this use case is the same on Windows or OS X. The device is trusted, but the user is not. Even though the app they are using is trusted, because the user is not they only have access to the plain text data.
These simple use case demonstrate how the next-generation data protection offering from Sophos is reactive to integrity. This is required to respond to the threats in today’s threat landscape and how users make use of corporate data.
This next-generation data protection technology is coming in Sophos SafeGuard version 8!
Sophos heeft zowel in het Nederlands en het Engels een voorbeeld van hoe je beleid kunt maken over informatiebeveiliging. Met een aantal basis vragen kun je werken aan beleid binnen je eigen organisatie.
Je kunt dit zien als ´kapstok´ om het beleid te definiëren. We kunnen geen standaard beleid aanbieden omdat dit per branche en bedrijf verschilt.