Ontzorgt!

Impact nieuwe wetgeving privacy en cybercriminaliteit

Kennissessie November 2015

Agenda:

Waarom weerbaarheid vergroten in het digitale domein Gevolgen Meldplicht datalekken en highlights EU privacy verordening Waar krijgen privacy en cybercrime een plek en waar corporaties aan kunnen denken in hun eigen omgeving.

een nieuw geluid

Jan Matto Mazars, IT audit en adviesactiviteiten

Hans Bosma Kwaliteitsmanager en Security Coördinator NCCW

Edwin Versteegt Enterprise architect, Stuurgroep VERA

Ontzorgt!

WEERBAARHEID IN HET DIGITALE DOMEIN

Edwin Versteegt

Ontzorgt!

Agenda

• Ontwikkelingen

• Actoren

• Dreigingen

• Kwetsbaarheden

• Belang

Ontzorgt!

Ontwikkelingen

• Ransomware Cryptoware en ransomware is het cybercriminele businessmodel bij uitstek

• Geopolitieke spanningen Manifesteren zich steeds vaker in dreigende inbreuken op digitale veiligheid

• Phishing veel gebruikt in gerichte aanvallen en is dan nauwelijks te herkennen

• Beschikbaarheid (DDoS) wordt belangrijker nu alternatieven voor ICT systemen verdwijnen

• Kwetsbaarheden software zijn nog altijd de achilleshiel van digitale veiligheid

Bron: Cybersecuritybeeld Nederland 2015

Ontzorgt!

Praktijkvoorbeelden

Ontzorgt!

Actoren

• Beroepscriminelen

• Cybervandalen / scriptkiddies

• Hacktivisten

• Interne actoren

• (ex-)medewerkers

• Inhuur

• Leveranciers

• Cyberonderzoekers

• Private organisaties

Het is voor een crimineel allang niet meer nodig om digitale vaardigheden te bezitten om gebruik te kunnen maken van digitale aanvallen

Bron: Cybersecuritybeeld Nederland 2015

Ontzorgt!

Actoren

Bron: Cybersecuritybeeld Nederland 2015

Ontzorgt!

Actoren

Bron: Cybersecuritybeeld Nederland 2015

Ontzorgt!

Dreigingen

• Ransomware

• Mobiele platformen

• Tooling

• Denial of Service

• Misbruik van diensten

• Phishing

• Internetgebruik

• Java

• WIFI routers

Door het succes van spearphishing is deze vorm van social engineering de primaire aanvalssector voor digitale spionage

Ontzorgt!

Kwetsbaarheden

• Imago

• Cloud infrastructuur

• Up to date software

• Medewerker

• Phishing / ransomware / inlog

• Firmware

• Mobiele netwerk

• Transportlaag

Ontzorgt!

Belang

• Verminderd vertrouwen (imago) remt bedrijvigheid

• Nieuwe toepassingen / nieuwe kwetsbaarheden (continuïteit)

• Belang voor de sector is groot, maar stabiel

– Betrouwbaarheid

– Voorbereid zijn op inbreuken

– Beschikbaarheid

Ontzorgt!

Klanten

• Security is een hype en er zijn veel aanbieders die zeer commerciële voorstellen doen voor beveiliging

• Discussie gestart over het zwart maken van het BSN nummer op de kopie van paspoort of rijbewijs

• Interne servers met persoonsgegevens in een niet afgesloten ruimte

• Vragen over beveiliging en autorisaties

• In PVE expliciet richtlijnen informatiebeveiligingsbeleid en afscherming van informatie

• Selectie van ‘veilige’ software

Ontzorgt!

MELDPLICHT DATALEKKEN EN EU PRIVACY VERORDENING

Jan Matto, Mazars

EU Privacyverordening en

Meldplicht Datalekken

NCCW, Almere

Jan Matto, 24 november 2015

Maturing Business

Information Security

Copyright Mazars

Email: jan.matto@mazars.nl

@Jan_Matto

Partner Mazars Management Consultants

Centre of Excellence voor IT-audit & -advisory

Digital Trust & Transparency

Andere professionele activiteiten:

Stuurgroep Permanente Educatie Register-

accountants IT en assurance, Veritas / VERA)

NOREA Commissie SOC2

Commissie Zekere Verbindingen, EZ,ECP,DHPA

Commissie van toelating / visitatie NOREA

Redactie Handboek EDP-auditing Kluwer/NBA

Publicaties over IT audit en IT security

Colleges aan verschillende universiteiten

16

Even voorstellen:

Voorbeelden van projecten:

Onderzoek datalek en informatiebeveiliging Nza

Onderzoek biometrische gezichtherkenningsystemen grensbewaking (No-Q)

Privacy en security certificering Fraude detectiesystemen

Privacy Impact assessment identity management systemen (eID Stelsel)

Privacy en security audit Electronische Nederlandse IdentiteitsKaart (eNIK)

Privacy Impact Assessment Central Bank of Ireland, Credit Register

Project assurance Belgische eID systeem

Assurance services voor IT Service Providers

Third Party Rapportages, ISAE3402 audits en DigiD Assessments

Mediation IT projecten / project recovery / calamiteiten

17

This presentation

could include

shocking visions

Overheid is verantwoordelijk voor een betrouwbaar identiteitenstelsel in

de reële wereld én in de virtuele wereld.

20

Identiteitsfraude in Nederland: • Circa 5,6% van de burgers in de periode 2007 - 2011 (4 jaar) is slachtoffer van

identiteitsfraude. • In de jaren 2007 - 2012 (6 jaar) is dit circa 13,3 %. • Van deze slachtoffers heeft een deel financiële schade geleden: naar schatting 9,5% van de

gehele bevolking. • Over 2012 is berekend dat tussen de 672.787 en 869.816 burgers slachtoffer zijn geweest,

die gezamenlijk tussen de 393 en 508 miljoen euro schade hebben geleden. • DigiD uiterlijk 2017 vervangen door nieuw systeem BRON: 2 april 2013, Brief minister Plasterk en bijbehorende rapportage over de Voortgang Toekomstbestendigheid Identiteitsinfrastructuur naar de Kamer. https://www.rijksoverheid.nl/documenten/kamerstukken/2013/04/02/kamerbrief-voortgang-toekomstbestendigheid-identiteitsinfrastructuur

Huidige privacy verordening dateert uit 1995 en is de basis voor de huidige Wet Bescherming Persoonsgegevens: http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:31995L0046&from=en

12 maart 2014: EU parlement stemt voor EU Privacy Verordening (EPV) 7 juli 2015: Meldplicht Datalekken van kracht per 1 januari 2016 https://zoek.officielebekendmakingen.nl/dossier/33662/kst-33662-25?resultIndex=1&sorttype=1&sortorder=4

22 oktober 2015: CBP publiceert Concept Boetebeleidsregels https://www.cbpweb.nl/sites/default/files/atoms/files/boetebeleidsregels_cbp_def_consultatieversie.pdf

http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:52012PC0010&from=EN

Dit betekent per 1 januari 2016:

Melden van een datalek binnen 2 werkdagen bij Autoriteit Persoonsgegevens

Informeren van betrokkenen / geregistreerden

Overtredingen kunnen tot boete leiden van:

Maximaal € 810.000

of

10% van de netto jaaromzet

Dat wat passend wordt geacht

Enige context bij de Privacy Wet– en Regelgeving Algemeen privacy:

• Europees Verdrag Rechten van de Mens

(EVRM: privacy, zelfbeschikking, vrije nieuwsgaring, privacy)

• Realisatie van een IT systeem met verwerkingen van persoonsgegevens impliceert meestal een inbreuk op grondrecht van de bescherming van de persoonlijke levenssfeer

• Voortgaande digitalisering van maatschappij en economie vergroot de risico’s

Maar er zijn ook andere maatschappelijke ontwikkelingen en risico’s:

• Identiteitsdiefstal / -fraude

• Wantrouwen in digitale en eGovernment services

• Risico voor economische groei

• Verstoringen van marktwerkingen

• Politieke en Bestuurlijke risico’s

• ……..

Enkele andere begrippen uit de Privacy Wet- en Regelgeving

1. Persoonsgegevens 2. Bijzondere / gevoelige persoonsgegevens • Stigmatiserende gegevens • Digitale identificerende gegevens • Bijzondere digitale identificerende gegevens (BSN)

3. Kwetsbare groepen 4. Verantwoordelijke 5. Bewerker 6. Bewerkerovereenkomst

• universele Privacy Principes

Grondslag, noodzakelijkheid,

Proportionaliteit, subsidiariteit

Verantwoording

Transparantie

Doelbinding

Data kwaliteit

Gegevensminimalisatie

Privacy Enhancing Technologies (PET)

Privacy by Design (PbD)

Beveiliging

Rechten individu:

- user consent,

- inzage, correctie

- recht om vergeten te worden

Derde landen buiten EER

Elke situatie is anders: Regels Principes Context bepaalt Karakteristieken IT technologie Andere risico’s

Wicked problems:

Universele privacy risico’s

‘Data deluge'-effect

Ontstaan “hotspots”

Waardestijging van persoonsgegevens

‘Function creep’

Inconsistente implementatie en naleving verantwoordingsbeginsel

Geheime (niet transparante) verwerking van persoonsgegevens

Niet toegestane verwerking van persoonsgegevens buiten de EER

Datalekken

Specifieke risico’s ten aanzien van biometrische identificatie en authenticatie

Onrechtmatig gebruik identificerende gegevens, zoals BSN nummers

Noodzaak tot transparantie en compliance / ander gedrag van stakeholders

Bits of Freedom

Journalisten

Politiek

Hackers

Overheid Toezichthouders Privacy toezichthouders

Burgerrechten & privacy beschermers

Citizens, Consumers, Society

27

Highlights Meldplicht Datalekken in de Wet Bescherming Persoonsgegevens

Enkele Highlights Meldplicht Datalekken (1)

• Stel vast of verwerkingen onder de Meldplicht Datalekken vallen

(niet alle verwerkingen vallen onder de meldplicht)

• Maak afspraken met Bewerkers! Bewerkerovereenkomst

• Maak afspraken over wie meldt: Bewerker en/of Verantwoordelijke

• Spreek procedure af voor tijdige melding

• Let op bij bewerkers in andere landen / EU lidstaten die de meldplicht niet kennen afspraken in Bewerkerovereenkomst

Enkele Highlights Meldplicht Datalekken (2)

Wat is een datalek:

• Onbevoegde kennisname (intern of extern!)

• Onrechtmatige verwerking

• Onrechtmatige verstrekking

• Hack / inbraak in systeem / falende externe beveiliging

• Falende interne / externe beveiliging

• Verlies van gegevensdragers / laptops etc

• Ook het verloren gaan van gegevens is een datalek!

Bij datalek verplichting om zo mogelijk de negatieve gevolgen van een datalek voor betrokkenen beperken! (Bijv. resetten inlogcodes / wachtwoorden).

Wanneer moet gemeld worden bij:

A) Autoriteit Persoonsgegevens?

B) Betrokkenen

A) Vanwege het datalek is sprake van een (aanzienlijke kans op) ernstige nadelige gevolgen voor de Bescherming van Persoonsgegevens

B) Vanwege het datalek is sprake van mogelijk ernstige nadelige gevolgen voor betrokkenen

Ernst datalek = aard van persoonsgegevens x volume aan betrokkenen

Er zijn bijzondere omstandigheden waaronder niet gemeld hoeft te worden

Casusposities beschreven in de consultatieversie richtsnoeren Meldplicht Datalekken

Enkele Highlights Meldplicht Datalekken (3)

Enkele Highlights Meldplicht Datalekken (5)

• een kwijtgeraakte USB-stick; • een gestolen laptop; • een inbraak door een hacker; • verzending van e-mail waarin de e-mailadressen van alle geadresseerden

zichtbaar zijn voor alle andere geadresseerden; • een malware-besmetting; • een calamiteit zoals een brand in een datacentrum.

Door CBP genoemde voorbeelden:

Enkele Highlights Meldplicht Datalekken (6)

Voorbeeld wel / geen datalek (onrechtmatige verwerking van persoonsgegevens) Een werknemer geeft aan een derde de gebruikersnaam en het wachtwoord die toegang geven tot alle klantgegevens van alle klanten van het bedrijf waar hij werkt. Na ontdekking van het gebeurde past het bedrijf het wachtwoord van het betreffende account aan, zodat de derde geen toegang meer heeft. Daarna onderzoekt het bedrijf of de derde daadwerkelijk toegang heeft gezocht tot de klantgegevens. Bij dit onderzoek maakt het bedrijf gebruik van logbestanden, waarin per gebruikersnaam is vastgelegd welke acties er op welk tijdstip zijn uitgevoerd met welke klantgegevens. Als de logbestanden intact en betrouwbaar zijn, en als op basis van de logbestanden redelijkerwijs kan worden uitgesloten dat er door middel van het betreffende account toegang is verkregen tot de klantgegevens, dan is er uitsluitend sprake van een beveiligingslek en niet van een datalek.

Highlights Europese Privacy Verordening

Enkele highlights EU Privacy verordening (1)

• Verhoging van sancties bij niet naleving

overheid = bedrag tot 1 miljoen,

bedrijfsleven 100 miljoen of tot 5% wereldwijde jaaromzet

• Verplichtingen tot uitvoering van privacy impact assessment (PIA)

al geadopteerd door NL overheid in 2013

• Benoeming van een functionaris voor de gegevensbescherming (FG)

• Verplichting tot Privacy Enhancing Technologies (PET)

en Privacy by Design (PbD)

Privacy Impact Assessment: preventief, voordat het te laat is ……

36

Aanpak en structuur van de PIA eID Stelsel

Wet- en regelgeving

PIA richtlijn

Rijksoverheid

PIA richtlijn NOREA

Literatuur

Privacy principes Privacy risico’s

Ontwerp / maatregelen

Context IT systeem / verwerking persoonsgegevens

Bevindingen Mapping: principes, risico’s, maatregelen

IT werkelijk-heid

• Universele Privacy Principes als basis voor een PIA

Grondslag, noodzakelijkheid,

Proportionaliteit, subsidiariteit

Verantwoording

Transparantie

Doelbinding

Data kwaliteit

Gegevensminimalisatie

Privacy Enhancing Technologies (PET)

Privacy by Design (PbD)

Beveiliging

Rechten individu:

• - user consent,

• - inzage, correctie

• - recht om vergeten te worden

Derde landen buiten EER

Elke situatie is anders: Regels Principes Context bepaalt Karakteristieken IT technologie Andere risico’s

Wicked problems:

Universele Privacy Risico’s als basis voor een PIA

‘Data deluge'-effect

Ontstaan “hotspots”

Waardestijging van persoonsgegevens

‘Function creep’

Inconsistente implementatie en naleving verantwoordingsbeginsel

Geheime (niet transparante) verwerking van persoonsgegevens

Niet toegestane verwerking van persoonsgegevens buiten de EER

Datalekken

Specifieke risico’s ten aanzien van biometrische identificatie en authenticatie

Onrechtmatig gebruik identificerende gegevens, zoals BSN nummers

Mapping principes, risico’s, maatregelen PRIVACY PRINCIPE Privacyrisico’s

ID DD FC IV NT NE DL OB GC Verantwoording x x x x x x Limiteren van het verzamelen van gegevens x x x x x Doelbinding / limiteren van het gebruik van gegevens x x x x x x x Gegevenskwaliteit x x Beveiliging van gegevens ( Privacy by Design/Privacy Enhancing Technologies) x x x x x Transparantie x x x x Rechten van betrokkenen x x x x x

ID: Identiteitsfraude DD: Data deluge'-effect

WA: Waardestijging van persoonsgegevens FC: ‘Function creep’

OU: Onrechtmatig gebruik van uniek identificerende gegevens PF: Profiling VB: Verkeerde behandeling in sociaal en economisch maatschappelijk verkeer SK: Stigmatisering door koppeling van gegevens

IV: Inconsistente implementatie en naleving verantwoordingsbeginsel NT: Geheime (niet transparante) verwerking van persoonsgegevens NE: Niet toegestane verwerking van persoonsgegevens buiten de EU

CC: Nieuwe ontwikkelingen op het terrein van cloud computing waarbij gegevens over de gehele wereld kunnen worden verplaatst.

DL: Data lekken OB: Omkering van de bewijslast voor de betrokkene GC: Consumenten worden gedwongen om in te stemmen met het gebruik van hun gegevens

Enkele Highlights EU Privacy Verordening (2) • Hanteren van Privacy Principes (onder andere OESO)

• Hanteren van maatregelen beperken Privacy Risico’s

– Privacy by design

– Privacy Enhancing Technologies

– Security naar de stand van de techniek

• Respecteren rechten van betrokkenen (geregistreerden) bij datalek

• Rechten van kwetsbare groepen (zoals: kinderen, BN’ers, ex gedetineerden,

lotto winnaars, etc etc)

• Extra aandacht voor stigmatiserende gegevens

Conclusies en Aanbevelingen direct te nemen acties ivm Meldplicht Datalekken (1)

1. Alle registraties van persoonsgegevens moeten voldoen

aan de eisen van de WBP (straks EU Privacy Verordening)

2. Beveilig in elk geval systemen aantoonbaar op een deugdelijk niveau • Gebruik algemeen aanvaarde normen

• Need-to-know

• Weet wie, wanneer met welke rechten toegang heeft

• Logging en detectiemechanismen

• Toets- en evalueer beveiliging regelmatig

3. Inventariseer de verwerkingen van persoonsgegevens

4. Maak de aard en opzet van de verwerkingen transparant

5. Classificeer de verwerkingen naar privacy risico’s

6. Tref zo nodig aanvullende privacy bevorderende maatregelen

Direct te nemen acties ivm Meldplicht Datalekken (2)

7. Leg doelbindingen vast

8. Ga na of verwerkingen gemeld moeten worden bij CBP

(let op: vrijstellingenbesluit WBP)

9. Stel een informatiebeveiligingsbeleid- en plan op

10. Beleg verantwoordelijkheden.

TIP 1: Documenteer en leg bewijsvoering vast TIP 2: Toetsregelmatig veiligheid en toon dat aan TIP 3: Overweeg privacy audit / privacy impact assessment

Tijd voor vragen en discussie

44

Dank voor uw aandacht

Copyright Mazars

Jan Matto

Email: jan.matto@mazars.nl

Twitter: Jan_Matto

Mobiel: 06 535 78 232

Ontzorgt!

PRAKTIJKERVARINGEN PRIVACY EN CYBERCRIME

Hans Bosma

Ontzorgt!

Even voorstellen

• Procesmanager

• Kwaliteit

• Security

• Contracten

Email: hans.bosma@nccw.nl

Ontzorgt!

Maatregelen

• De mens

• Wetgeving

• De techniek

• Samenwerking

• Responsible disclosure

Ontzorgt!

Maatregelen

• Risicomanagement

– Maak een risicoanalyse

• Beleid vaststellen

– Informatie Beveiliging Beleid

– Stel maatregelen op

– Stel beleid voor de maatregelen op

• Contract management

– Bewerkerscontracten / keten

Ontzorgt!

De mens

• E-learning les

• Nieuwsbrief

• Awareness programma

• Phishing experience

• Volgen bijeenkomsten Bewuste en bekwame gebruikers gedragen zich veiliger

Ontzorgt!

Wetgeving

• WBP / Wet datalekken

• Europese verordening bescherming persoonsgegevens

– Architectuur Principes

– Beheersmaatregelen NCCW • ISAE 3402 type 2

– ISO 27001/ISO27002

– ICT richtlijnen beveiliging webapplicaties

Ontzorgt!

De techniek

• Ontwikkelingen

– Privacy by design

– Richtlijnen voor ontwikkelingen

– Vulnerability en pen testen

– Detectie

• Nieuwe ontwikkelingen

– Tweefactor authenticatie

– Cryptografie

Ontzorgt!

Samenwerking

• Functionaris gegevensbescherming

• Melden van incidenten

• Oplossen volgens procedures

• Inrichten en oefenen van scenario's bij datalekken

Ontzorgt!

Responsible disclosure

• Ethische hackers

• Melding en oplossen kwetsbaarheden

• Vrijpleiten hacker

Ontzorgt!

Aan de slag

• Security op de kaart

• Awareness

• Toetsen wettelijke vereisten

– Privacy Impact Assessment, iteratief en dynamisch, maatwerk

– Informatie naar betrokkene / recht van rectificatie

– Privacy by design

• Bewerkerscontracten

• Beveiliging

• Functionaris gegevensbescherming

• Aansprakelijkheid

• Opzetten template scenario datalekken

Ontzorgt!

Ondersteuning

• Uitvoeren van een Privacy Impact Assessment

• ICT security check

• E-learning module Informatiebeveiliging

• Privacy Awareness kennissessie op locatie

• Optimalisatie Beveiliging

Ontzorgt!

VRAGEN?

Welkom bij het nieuwe geluid van NCCW.

Hartelijk bedankt voor uw aandacht!

Strategie NCCW

Maximaal Digitaal

Ketensamenwerking

Keuzevrijheid / wendbaarheid

Ontzorgen

Procesautomatisering

Strategie NCCW

Portalen

Primaire Systemen BIS NOA / Property Management

Ketenprocessen Corporatie Cloud

ESB+ Integratieplatform

Software as a Service