Hacken, innovatie en "data" lekken

Hacken, innovatie en "data" lekken

Wat kan je eraan doen...?

Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature

Vincent Toms Thimo Keizer

[email protected]


[email protected]

❏ Waarom is hacken zo makkelijk

❏ Een praktijkcasus “Koning Camera”

❏ Oude wijn, nieuw jasje (WBP/ GDPR)


Waarom is hacken zo makkelijk..?


Ransomware is HOT


Option 1: $0,-

Ransomware: OPTIE 1


Option 2: $5.000

Option 3: $30,- BUT

infect > 200 computers

Ransomware: OPTIE 2 & 3


Purchase price:$0,01

(100 servers)

Option 3: Finding computers to infect


Purchase price:$0,-

Option 3: Infection for FREE (OSINT)

HOEVEEEEEEL !?!?!?


The business case (ROI)

INVESTMENT

- $1,00

- Kennis

- Kunde

- Tijd

.....INTERNET !!

INCOME

- $1.000,- p/hijack

(infected > 200)

&

- DDOS ($25,-)


En GEEN aanbestedings traject vereist


Doen we de goede dingen ??


What to Do If Infected with Ransomware❖ Isolate the infected computer immediately &infected systems should be

removed

❖ Isolate or power-off affected devices that have not yet been completely

corrupted.

❖ Immediately secure backup data or systems by taking them offline.

❖ Contact law enforcement immediately

❖ If possible, change all online account passwords and network

passwords

❖ Delete Registry values and files

Het ADVIES


https://www.us-cert.gov/sites/default/files/publications/Ransomware_Executive_One-Pager_and_Technical_Document-FINAL.pdf

Hoe vaak maak jij een back-up thuis?

A. Elke dag

B. 1 p/wk

C. 1 p/mnd

D. Wanneer ik “zin” heb


De grootste uitdaging


1. Receptiveness

2. Understanding 3. Wanting to 4. Being able to

5. Doing

6. Persevering

WILLEN, KUNNEN & DOEN

Balm, M.F.K (2002): Excercise Therapy and behavioural change

Userid: Admin

Password: Admin

Hacking for dummies

Password

Password

Password Password

Password

Password

Onze gedrag


http://zembla.vara.nl/dossier/uitzending/hacken-voor-dummies

Onze gedrag


En wie is dan verantwoordelijk?


Casus “Koning Camera”


Rijksvastgoedbedrijf


Ook het Koningshuis


Camera’s & AVG (GDPR)


INZOOMEN: CAMERATOEZICHT


Algemene verordening gegevensbescherming

• Vanaf 25 mei 2018 aantoonbaar voldoen

• Uniforme privacywetgeving voor de EU

• De Wet Bescherming Persoonsgegevens geldt dan niet meer


De grootste verschillen

• Aantoonbaar maken dat de organisatie voldoet aan de wet

• Verwerkingen van persoonsgegevens niet meer melden

• Het verplicht worden van een Functionaris Gegevensbescherming

• Het verplicht worden van Privacy Impact Assessments

• Een verhoging van de boetes


Functionaris Gegevensbescherming

• Toezien op de naleving van de AVG

• Adviseur op het terrein van privacy

• Contactpersoon voor privacytoezichthouders

• Een onafhankelijke rol

• Aanvullende ontslagbescherming


Discussie

Kan de Security Officer ook de toekomstige FG zijn?

• Waar het nu nog veel voorkomt dat de security officervan een organisatie ook DPO is, is het maar de vraag of dit onder de AVG nog kan: de security officer heeft nu eenmaal een andere rol en bevoegdheden dan de toekomstige FG.


Waar moet u rekening mee houden?

• Gerechtvaardigd belang

• Noodzaak cameratoezicht

• Privacy Impact Assessment (PIA)

• Informatieplicht cameratoezicht

• Bewaartermijn camerabeelden

• Meldplicht datalekken

• Bewerkersovereenkomsten

• Verhoging van de boetes


Mag u de openbare weg filmen?


?

Gerechtvaardigd belang

De bescherming van de veiligheid en gezondheid van een of meer natuurlijke personen, de beveiliging van de toegang tot gebouwen en terreinen en/of de bewaking van zaken die zich in gebouwen of op terreinen bevinden.


Mag u in kleedkamers/toiletten/pashokjes

filmen?


?

Noodzaak cameratoezicht

• Kan het doel op een andere manier bereikt worden, die minder ingrijpend is voor de privacy?

• Cameratoezicht mag niet op zichzelf staan. Het moet onderdeel zijn van een totaalpakket aan maatregelen.

https://www.nrc.nl/nieuws/2017/07/04/cameras-in-kleedkamers-fit-for-free-a1565584


Mag u bewakingsbeelden gebruiken om medewerkers te beoordelen?


?

Bruikbaarheid van de beelden

Voor welk doel moeten de beelden bruikbaar zijn:

• Observeren

• Detecteren

• Herkennen

• Identificeren


Mag u als werkgever verborgen camera’s gebruiken?


?

Heimelijk cameratoezicht

Heimelijk cameratoezicht:

• Strikte voorwaarden

• Altijd tijdelijk

• Vooraf op wijzen

• Vooraf melden bij de Autoriteit die toetst of het voldoet

• Achteraf informerenhttp://www.nu.nl/internet/4907438/privacywaakhond-onderzoekt-cameras-in-reclamezuilen-ns-station.html


Mag u als werkgever verborgen camera’s gebruiken voor

trainingsdoeleinden?


?

Privacy Impact Assessment (PIA)

• De verwerkingen en hun doelen

• De noodzakelijkheid, proportionaliteit en subsidiariteit

• De risico’s

• De maatregelen


Meerwaarde PIA?

• Een PIA dwingt je om na te denken over de inzet van cameratoezicht

• Maar het moet dan wel toegevoegde waarde hebben


Bent u verplicht om vooraf kenbaar te maken dat er camera’s zijn?


?

Informatieplicht cameratoezicht

Zorg ervoor dat klanten, bezoekers en personeel vooraf (dus in principe voor zij het gebouw betreden) weten dat er cameratoezicht is:

• Bordjes

• Duidelijk zichtbare camera’s


Heeft de OR nog iets te zeggen over cameratoezicht op de werkplek?


?

Mogen de beelden 3 maanden bewaard worden?


?

Bewaartermijn camerabeelden

• Niet lange bewaren dan strikt noodzakelijk (richtlijn: 4 weken)

• Bij een incident beelden bewaren tot incident is afgehandeld

• Leg vast wie de beelden terug mag kijken

http://www.telegraaf.nl/dft/geld/belasting/28761129/___Fiscus_moet_flitsfoto_s_deleten___.html


Bewerkersovereenkomsten

Beoordeel of de maatregelen in contracten met bewerkers nog toereikend zijn

Voor cameratoezicht bijv:

• Bewakers

• Particuliere Alarm Centrale

• Installateur


Zijn de boetes hoger dan € 1 miljoen?

?


Verhoging van de boetes

Was

• € 816.000 of 10 % van de (in Nederland gerealiseerde) omzet

Wordt

• € 20.000.000 of 4 % van de totale wereldwijde jaaromzet

https://nos.nl/artikel/2179381-boetes-dreigen-voor-bedrijven-die-laks-omgaan-met-nieuwe-privacywet.html


5 concrete stappen

1. Compliance check

2. Privacy Impact Assessment

3. Camerareglement

4. Verwerkers-overeenkomsten

5. Functionaris Gegevensbescherming


https://www.linkedin.com/pulse/avggdpr-hoe-je-5-stappen-voor-cameratoezicht-maakt-dat-thimo-keizer

10 zaken die vaak mis gaan

1. Het ontbreken van een camerareglement

2. Het gerechtvaardigd belang is niet vastgelegd

3. De noodzakelijkheid, proportionaliteit en subsidiariteit zijn niet afgewogen

4. Er wordt niet duidelijk gemaakt dat er cameratoezicht plaatsvindt

5. Beelden worden langer bewaard dan strikt noodzakelijk

6. Er wordt meer opgenomen dan voor het gerechtvaardigd belang noodzakelijk is

7. Ongeautoriseerde personen hebben inzicht in de beelden

8. De beveiliging van het camerasysteem is niet op orde

9. Camerasystemen worden niet (goed) beheerd

10. Er zijn geen verwerkersovereenkomsten opgesteld


https://www.linkedin.com/pulse/cameratoezicht-10-zaken-die-vaak-mis-gaan-thimo-keizer

Vincent Toms Thimo Keizer

[email protected]


[email protected]

Contact

https://www.linkedin.com/in/thimokeizer/https://www.linkedin.com/in/vincenttoms/

Hacken, innovatie en "data" lekken

Business

Transcript of Hacken, innovatie en "data" lekken