Post on 28-Jan-2018
In samenwerking met
College: Hacken en datalekken, wat kun je eraan doen?Vincent Toms / Thimo Keizer
16 november 2017
2www.tomorrowatwork.nl
Vincent Toms Thimo Keizer
thimo.keizer@risicoregisseurs.nlvincent@gdi.foundation
Onderwerpen
3www.tomorrowatwork.nl
• - HUIDIGE SITUATIE
• - CASUS
• - TIPS & TRICKS
45
min.
Huidige situatie: Vulnerability & Exploits
4www.tomorrowatwork.nl
Hackers liggen altijd op de loer..!
5www.tomorrowatwork.nl
6www.tomorrowatwork.nl
Ransomware is HOT
Waarom is “hacken” zo makkelijk?
Zelf doen
Option 1: $0,-
Uitbesteden
Option 2: $5.000
Option 3: $30,- BUT infect > 200 computers
Purchase price:$0,01 (100 servers)
Randsomware: de opties
7www.tomorrowatwork.nl
• INVESTMENT
- $1,00
- Kennis
- Kunde
- Tijd
.....INTERNET !!
• INCOME
- $1.000,- p/hijack
• (infected > 200)
•
• &
- DDOS ($25,-)
8www.tomorrowatwork.nl
The business case (ROI)
En GEEN
aanbestedings
traject vereist
What to Do If Infected with Ransomware Isolate the infected computer immediately &infected systems should be
removed
Isolate or power-off affected devices that have not yet been completely corrupted.
Immediately secure backup data or systems by taking them offline. Contact law enforcement immediately
If possible, change all online account passwords and network
passwords Delete Registry values and files
Doen we de goede dingen? Het advies
9www.tomorrowatwork.nl
Hoe vaak maak jij een back-up
thuis?
• A. Elke dag
• B. 1 p/wk
• C. 1 p/mnd
• D. Wanneer ik “zin” heb
En heb jij de standaard instellingen
van je router gewijzigd?
• A. Wat bedoel je?
• B. Nee, te ingewikkeld
• C. Geen idee
• D. Ja, natuurlijk
10www.tomorrowatwork.nl
De grootste uitdaging: gedragsverandering
11www.tomorrowatwork.nl
En eerlijk is eerlijk…
12www.tomorrowatwork.nl
Wat doe jij er aan?
Userid: Admin Password: Admin
Hackingfordummies
Password
Password
Password Password
Password
Password
Wat doet je organisatie er aan?
Het is een gedeelde verantwoordelijkheid
13www.tomorrowatwork.nl
Of wordt dit onze DIGITALE AGENDA 2020…?
Casus: Wat is interessant voor de cyber crimineel..?
15www.tomorrowatwork.nl
?
?
?
?
???
Camera’s: IoT, hacking en privacy
16www.tomorrowatwork.nl
Welke verantwoordelijkheid
hebben bedrijven als het om
privacy gaat?
• Vanaf 25 mei 2018 aantoonbaar voldoen
• Uniforme privacywetgeving voor de EU
• De Wet Bescherming Persoonsgegevens geldt dan niet meer
• Aantoonbaar maken dat de organisatie voldoet aan de wet
• Verwerkingen van persoonsgegevens niet meer melden
• Het verplicht worden van een Functionaris Gegevensbescherming
• Het verplicht worden van Privacy Impact Assessments
• Een verhoging van de boetes
Algemene verordening gegevensbescherming
17www.tomorrowatwork.nl
De grootste verschillen…
• Organisaties die niet aan de
privacy wetgeving voldoen
• Camera’s die gehackt worden
We hebben dus te maken met…
18www.tomorrowatwork.nl
Informatiebeveiliging
• Camerasystemen zijn IT-systemen
• Camera’s bevatten servers,
videorecorders zijn servers
• Wijzigen van de standaard
instellingen (admin/admin)
• Het op afstand kunnen benaderen
van de camera’s (via internet)
• Backdoors in professionele
camerasystemen
Privacy
• Gerechtvaardigd belang
• Noodzaak cameratoezicht
• Bruikbaarheid van de beelden
• Heimelijk cameratoezicht
• Privacy Impact Assessment (PIA)
• Informatieplicht cameratoezicht
• Bewaartermijn camerabeelden
• Bewerkersovereenkomsten
• Verhoging van de boetes
Waar moet een organisatie rekening mee houden?
19www.tomorrowatwork.nl
Mag u de openbare weg filmen?
• De bescherming van de veiligheid en
gezondheid van een of meer
natuurlijke personen, de beveiliging
van de toegang tot gebouwen en
terreinen en/of de bewaking van
zaken die zich in gebouwen of op
terreinen bevinden.
Gerechtvaardigd belang
20www.tomorrowatwork.nl
?
Mag u in
kleedkamers/toiletten/pashokjes
filmen?
• Kan het doel op een andere manier
bereikt worden, die minder
ingrijpend is voor de privacy?
• Cameratoezicht mag niet op zichzelf
staan. Het moet onderdeel zijn van
een totaalpakket aan maatregelen.
Noodzaak cameratoezicht
21www.tomorrowatwork.nl
?
Mag u bewakingsbeelden gebruiken
om medewerkers te beoordelen?
Voor welk doel moeten de beelden
bruikbaar zijn:
• Observeren
• Detecteren
• Herkennen
• Identificeren
Bruikbaarheid van de beelden
22www.tomorrowatwork.nl
?
Mag u als werkgever verborgen
camera’s gebruiken?
• Strikte voorwaarden
• Altijd tijdelijk
• Vooraf op wijzen
• Vooraf melden bij de Autoriteit die
toetst of het voldoet
• Achteraf informeren
Heimelijk cameratoezicht
23www.tomorrowatwork.nl
?
• De verwerkingen en hun doelen
• De noodzakelijkheid,
proportionaliteit en subsidiariteit
• De risico’s
• De maatregelen (inclusief
informatiebeveiliging)
Meerwaarde PIA?
• Een PIA dwingt je om na te denken
over de inzet van cameratoezicht
• Maar het moet dan wel toegevoegde
waarde hebben
Privacy Impact Assessment (PIA)
24www.tomorrowatwork.nl
Bent u verplicht om vooraf kenbaar
te maken dat er camera’s zijn?
Zorg ervoor dat klanten, bezoekers en
personeel vooraf (dus in principe voor
zij het gebouw betreden) weten dat er
cameratoezicht is:
• Bordjes
• Duidelijk zichtbare camera’s
• Goedkeuring van de
Ondernemingsraad
Informatieplicht cameratoezicht
25www.tomorrowatwork.nl
?
Mogen de beelden standaard 3
maanden bewaard worden?
• Niet lange bewaren dan strikt
noodzakelijk (richtlijn: 4 weken)
• Bij een incident beelden bewaren tot
incident is afgehandeld
• Leg vast wie de beelden terug mag
kijken
Bewaartermijn camerabeelden
26www.tomorrowatwork.nl
?
Beoordeel of de maatregelen in
contracten met bewerkers nog
toereikend zijn
Voor cameratoezicht bijvoorbeeld:
• Bewakers
• Particuliere Alarm Centrale
• Installateur
Wie mag wat met de beelden?
Bewerkersovereenkomsten
27www.tomorrowatwork.nl
Was
• € 816.000 of 10% van de (in
Nederland gerealiseerde) omzet
Wordt
• € 20.000.000 of 4% van de totale
wereldwijde jaaromzet
Verhoging van de boetes
28www.tomorrowatwork.nl
Sinds 1 januari 2016 geldt de meldplicht
datalekken:
• Direct melding maken bij de Autoriteit
Persoonsgegevens zodra er een ernstig
datalek is
• Het datalek ook melden aan de
betrokkenen (de mensen van wie de
persoonsgegevens zijn gelekt).
Dit geldt dus ook voor camerabeelden
Meldplicht datalekken
29www.tomorrowatwork.nl
1. Het ontbreken van een
camerareglement
2. Het gerechtvaardigd belang is niet
vastgelegd
3. De noodzakelijkheid,
proportionaliteit en subsidiariteit
zijn niet afgewogen
4. Er wordt niet duidelijk gemaakt
dat er cameratoezicht plaatsvindt
5. Beelden worden langer bewaard
dan strikt noodzakelijk
6. Er wordt meer opgenomen dan
voor het gerechtvaardigd belang
noodzakelijk is
7. Ongeautoriseerde personen
hebben inzicht in de beelden
8. De beveiliging van het
camerasysteem is niet op orde
9. Camerasystemen worden niet
(goed) beheerd
10. Er zijn geen
verwerkersovereenkomsten
opgesteld
10 zaken die vaak mis gaan bij cameratoezicht
30www.tomorrowatwork.nl
Info
rmatie
beveilig
ing
Meer weten? Kijk eens naar deze blogs op LinkedIn
31www.tomorrowatwork.nl
https://www.linkedin.com/pulse/avggdpr-
hoe-je-5-stappen-voor-cameratoezicht-
maakt-dat-thimo-keizer
https://www.linkedin.com/pulse/came
ratoezicht-10-zaken-die-vaak-mis-
gaan-thimo-keizer
Laatste tip !!!
32www.tomorrowatwork.nl
OM
DENKEN
THINK LIKE A CRIMINAL
Vincent Toms Thimo Keizer
33www.tomorrowatwork.nl
thimo.keizer@risicoregisseurs.nlvincent@gdi.foundation
Contact
In samenwerking met
Evaluatie en discussie
Veel dank voor uw deelname!
• Vragen? Neem contact op met MindCampus:
• T 020 - 582 66 00
• E seminars@mindcampus.nl