Welkom bij het ochtendseminar

Be Aware of Privacy!

Aan dit seminar werken mee:

Wet bescherming persoonsgegevens

Beveiliging:

- Persoonsgegevens beschermen d.m.v. passende technologische en organisatorische maatregelen

- Intern zorgen voor toegang tot de gegevens enkel voor de personen in de organisatie die de gegevens nodig hebben voor de uitvoering van hun taken

Meldplicht datalekken

Verplichte melding iedere inbreuk

Inbreuk; hack, technisch falen, verlies, diefstal van telefoon, laptop, tablet, enz.

U moet melding doen aan de Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

Security is meer dan alleen sloten, kettingen

en muren ...

Mensen

TechniekOrganisatie

&Techniek

Onveilig 12%

Foutje 11%

Netwerk 6 %

Malware 3 %

KwaadwillendeMedewerker 21 %

Hacken 12 % PC diefstal15 %

PC verlies 1%

DraagbareMedia 10 %

Kopiëren 6 %

bij het afval 10 %

Onbekend 5 %

Phishing

A Password is like a toothbrush

Choose a good one

Don’t share itWith anyone

Change itoccasionally

Presentatie titel

3 maart 2016

www.breachlevelindex.com

De hele wereld kijkt mee op

Wat isBowtie risico analyse?

1) Begrijpen wij wat er fout kan gaan?

2) Weten wij welke systemen wij hebben om dit te voorkomen?

3) Hebben wij data om ons ervan te verzekeren dat deze systemenefficient werken?

Drie belangrijke vragen

1979

1988

90’s

00’s

Bowtie geschiedenis

Bowtie sectoren

• Olie & Gas

• Chemisch

• Energie opwekking

• Mijnbouw

• Luchtvaart

• Railtransport

• Bouw & Infra

• Medisch

• IT

• Overheidsinstanties

• Defensie

• Financieel

Barriere denken

Basisstappen van Bowtie diagram

WaaromBowtie risico analyse?

Risico’s structureren

Risico gebaseerde besluitvorming

Communicatie (naar operatie en management)

Monitoren van risico’s

Bowtie toepassingen

Inzicht in afhankelijkheden

Wat als de “Engineering Manager” niet goed presteert?

! ! !

Monitoren en review

Hoe presteren de barrieres?

Bowtie gebaseerde audits

• Makkelijk zwakheden aan te wijzen

• Intuïtieve weergave

• Resultaten focus op risico’s

1) Begrijpen wij wat er fout kan gaan?

2) Weten wij welke systemen wij hebben om dit te voorkomen?

Antwoorden op de drie vragen

3) Hebben wij data om ons ervan te verzekeren dat deze systemenefficient werken?

Antwoorden op de drie vragen

Weet u wat alle symbolen betekenen?

RI&E Informatieveiligheid

Uitgangspunten:

- RI&E is een dashboard informatie tool

- De onderwerpen zijn compatibel met de normen/ wet- en regelgeving

- Samen met de organisatie het geheel van informatie veiligheid bespreken en analyseren aan de hand van de vragenlijst

- Uitbrengen van een Informatie veiligheidsrapport

RI&E Informatieveiligheid (1)

Bronnen

• ISO 27001/2 Informatieveiligheid

• ISO 31000 Risicomanagement

• ISO 9001- 2015 Algemene norm

• ISO 15224 zorg en welzijn

• NEN 7510- 2011 Informatieveiligheid (patiënt veiligheid)

RI&E Informatieveiligheid (2)

Hoofdstappen in de RI&E

Beveiligingsbeleid

Datalekken

Organisatie beveiliging

Beheer van middelen

Fysieke beveiliging

Beheer van bedienings- en communicatie processen

Toegangsbeveiliging

Etc, totaal 11 hoofdonderwerpen

RI&E Informatieveiligheid (3)

Stappenplan Checklist (klein)

Interview management

Opstellen risico kaart informatieveiligheid

Uitvoeren RI&E

Keuze risico’s om uit te werken aan de hand van de nulmeting RI&E

Rapport

Vervolg uitvoering indien het management dit wenst

RI&E Informatieveiligheid (4)

Auditvragen

• Management verantwoordelijkheid

• Resultaatgebied tussen de Talk and Walk

• Hard en Software audit vragen

• Audit vragen gericht op beheersing van Risico’s (proactief en reactief)

• Bewustwording informatieveiligheid binnen de organisatie

Voorbeeld vanBowtie risico analyse

& Mini-workshop

Ongeautoriseerde toeging tot data

Ongeautoriseerde toeging tot data

Ongeautoriseerde toeging tot data

Dank voor uw aandachtIn de map vindt u meer informatie over Bowtie, wet-

en regelgeving, stappenplan, etc.

• Ondernemer in ICT sinds 1987

Agenda

• Omgevingsfactoren• Toegang tot gegevens• Documenten• Concrete aanbevelingen• Plan van aanpak

Waarom hot ?

• Ransomware

• Meldplicht datalekken

AIVD-baas: wordroof

Redenen van aanval

Trends

• IoT spelen nog geen rol• Aanvallen verplaatsen zich naar werkplek• Phishing zeer lonend• 85% van de successen door top 10• Mobiele aanvallen nog niet nodig….• Cybercriminelen zijn sneller

Toegang

• Wachtwoorden• Wachtwoorden

container• Uniek gegenereerde

wachtwoorden• 2-factor authentication• Biometrisch

Waar zijn uw documenten?

• Op het netwerk• Dropbox / Google drive

/ Onedrive• Thuis• Telefoon BYOD

Document beveiliging

• Document encryptie• Alleen voor ingelogde

personen• Publicatie beperkt in

tijd en persoon

Huidige omgeving

Basis security 2.0

• Patchmanagement• Anti-virus• Anti-spam, anti-phishing, anti spy-ware en anti-spoofing• Next generation firewall • WiFi scheiding en encryptie

Security 3.0, uitbreiding

• Webbeveiliging• Applocker• Malwarebytes lokaal installeren• Versleutelen van notebook data en USB data• 2-factor authentication• E-mailbeveiliging • Windows 10 op werkplekken• Awareness training

Technisch

• Oude servers isoleren rest netwerk DMZ• Alle niet functionele zaken op server disabelen• 1 bewaakte internetverbinding • Periodieke scan• Mailserver automatisch .exe bestanden

verwijderen• Bewaak patching• Beperk rechten gebruikers• Back-up

Optie 1

Aandachtspunten

• Domotica aan netwerk• Kassa aan netwerk• Printers

Optie 3

Plan van aanpak

• 0-meting d.m.v. checklist • Bepalen risicocategorie• Advies • Implementatie • Plan – do – act – check

Conclusies

• 100% veiligheid bestaat niet• Veiligheid is dynamisch proces• Bewustzijn medewerkers key• Werk met actuele checklist • Leg beleid en acties vast

Optie 1

Optie 1

Cryptoware tips

Meld vage zaken:

• Systeem wordt traag • Bitcoin scherm• na opening attachment

Awareness trainingMedewerkers moeten weten:

• Een target zijn

• Veilig met wachtwoorden

• Veilig met devices

• Verdachte zaken moeten melden

• Wat te mooi is om waar te zijn is dat ook

• Informatie is vertrouwelijk en daarom waardevol

• Geen bijlagen openen die je niet vertrouwt

• Geen bedrijfsinformatie op laptop, persoonlijke e-mail of

dropbox/Google drive/Wetransfer etc.

Phishing

• 2/3 van de phishingmail bereikt

gebruiker

• 1 op de 6 drukt op phishing mail

• 56% vult naam en wachtwoord in

• Oplossing: 2-factor authentication

• Button op taskbar Outlook

“Boete datalek kan oplopen tot 2,4 miljoen”

De gemeente Amersfoort riskeert door het datalek op de afdeling Sociale Wijkteams geen boete van € 820.000,- maar van € 2.460.000,-

Bron: AD, 22 april 2016

Datalek bij spoorwegen “voelt helemaal niet goed”

De NS heeft duizenden gehandicapte treinreizigers schriftelijk geïnformeerd dat hun persoonlijke gegevens op straat hebben gelegen.

Bron: de Stentor, 30 mei 2016.

Informatiebeveiliging is geen zaak van techniek alleen.

De mens staat vaak aan de basis van een fout.

Medewerkers dienen bewust te worden.

Cultuurverandering.

Awareness training

“Wilt u de uitnodiging voor dit event naar een ander e-mail adres sturen?

We hebben namelijk een virus binnengekregen via een e-mail waardoor nu ons hele systeem platligt.”

DATARISICO ’S:

OOK

VERZEKERBAAR?

O.ZUIDEMA@MEEUS.COM JUNI 2016

WAAR STAAT U?Grip op datarisico’s

“78% van alle datalekken

wordt veroorzaakt door het

gedrag van eigen

medewerkers”

WAAR STAAT U?

78%van de datalekken wordt veroorzaakt door het gedrag van de eigen medewerkers

https://www.youtube.com/watch?feature=player_embedded&v=4lrpq89VqJA

ICT kan niet alles oplossen

100% veilig bestaat niet

Hoe kun je je beschermen?

• Organisatorisch

• ICT

• Verzekeren

Hoe kun je je beschermen?

• Organisatorisch

• Protocol Wet Datalekken / Beleid

• Correcte bewerkersovereenkomsten met derden

• Awareness training personeel, betrokkenen

• Afspraken hoe om te gaan met o.a. wachtwoorden, thuiswerken en social media, clean desk

• Borging gemaakte afspraken (b.v. werkoverleg, fg gesprekken)

• Voorbeeldgedrag management / verantwoordelijke benoemen

• Toegangsbeleid / exit procedures (personeel)

• Weet wat je moet beschermen en waar het opgeslagen is

Hoe kun je je beschermen?

• ICT

• Up to date zijn qua beveiliging / updates

• Contractuele afspraken met leveranciers bij uitval systemen en datalekken

• Protocollen (wachtwoorden, usb-sticks, thuiswerken, tablets)

• Encryptie

• Geen oude (zelf ontwikkelde) software

• Gebruik VPN

• Hackpogingen intern communiceren

• Goede voorbeeld geven / communiceren

Hoe kun je je beschermen?

Data Risks / Cyber verzekering

AANSPRAKELIJKHEID(third party)

EIGEN SCHADE(first party)

1. Wat is mijn

verantwoordelijkheid als

bestuurder?

3. Voldoen mijn huidige

verzekeringen?

2. Waar kan ik op worden

aangesproken

DE DRIE MEEST GESTELDE ACTUELE VRAGEN

Voldoen mijn huidige verzekeringen?

Dekking van bestaande

verzekeringen?

Kan ik mij verzekeren tegen

boetes?

Hoe zit het met

magoschade?

Verzekeraar helpt de schade te

beperken ->

Recente Schadevoorbeelden

Verdwenen USB-stick brengt GGD in verlegenheid

Forse schade bij Duitse staalfabriek door verfijnde hack

Bedrijf betaalt 6.000 dollar om cyberaanvallen te laten stoppen

Datalek bij drie ziekenhuizen BREDA - Door een "ernstige fout" zijn de gegevens van patiënten van twee Nederlandse ziekenhuizen en een Belgisch ziekenhuis op straat komen te liggen.

Datalek-affaire: Amersfoort riskeert boete van ruim acht ton

Een medewerker van supermarktketen Jumbo heeft bijna honderd laptops van het bedrijf gehackt.

Inloop?• Supermarktpersoneel klaagt werkgever aan

wegens datalek

• Bijna 6.000 huidige en voormalige werknemers van de Britse supermarktketen Morrisons hebben hun werkgever aangeklaagd wegens een omvangrijk datalek uit 2014

• De advocaat die de belangen van het personeel behartigt stelt dat de supermarktketen meer had moeten doen om het datalek te voorkomen.

CASUS Retailer Huishoudelijke apparatuur• Een hacker beweert 200.000 email adressen en

telefoonnummers van de website geplukt te hebben. Als gevolg hiervan kwam het bedrijf erachter dat de veiligheid van hun micro sites (websites door hun gebruikt voor advertenties en andere acties) niet up to date was.

• De hacker heeft een deel van de adressen en telefoonnummers uit de database online gezet en de rest van de gegevens verkocht aan spammers.

Kosten voor de retailerForensisch onderzoek 89.000

Communicatiekosten 110.000

Verzenden mailing

Call center

Media campagne en PR om schade merk te beperken

Juridische kosten 300.000

Herstelkosten 175.000

Claims en afhandeling 750.000

TOTAAL 1.424.000

Kosten van datalek MKB bedrijf BTBForensisch onderzoek 35.000

Communicatiekosten (5.000 klanten) 36.000

Verzenden mailing

Call center

Media campagne en PR om schade merk te beperken

Juridische kosten 25.000

Herstelkosten 17.000

TOTAAL 113.000

ACCEPTATIE NORMEN VERANDEREN

SOORT GEGEVENS

BELEID EN BEWUSTWORDING

ACTIVITEITEN

OMGAAN MET RISICO’S

Risico’s inzichtelijk

Preventie- en

beheersmaatregelen

Bepalen

verzekeren

Periodiek

actualiseren

92

Mijn verantwoordelijkheid als

bestuurder?

Die boetes, dat is toch

bangmakerij?

Waar moet ik beginnen?

Inderdaad: niet alles is

verzekerbaar

Inderdaad: overleg met

verzekeraars biedt extra

mogelijkheden

OTTO ZUIDEMA JUNI 2016, O.ZUIDEMA@MEEUS.COM

DATARISICO’S

(NIET)

VERZEKERBAAR

Ook daarom

voldoende

maatregelen nemen

Een verzekering biedt

ook dienstverlening om

de schade te beperken

Waak voor eenzijdige

maatregelen

Risico is niet meer dan een perceptie

VRAGEN?