WorkshopVersleuteling

Harm van KoppenDistribution Channel manager

April 2016

Agenda• Versleuteling, 256 AES

• Meldplicht Datalekken

• Sophos SafeGuard Enterprise

• Versleuteling in de praktijk

1102 -

256 AES

𝐹𝐺∨𝑔≥∑𝜌 , 𝑖 , 𝑗 √ 𝑑 𝜌

¿𝐺∨¿𝜌 (𝑔) 𝑖 , 𝑗∨𝜌 ,𝑖 , 𝑗> ,¿

65984532658953215695412365745896541236954123657458541236954123654123697

45478547854785412595412364541236589512452554567465146574165741357351438

76541378354135743541327486411965354537265435474321338543245654115768450

7415463543545684357435546574651326456879746

Mythe: Encryptie is verwarrend en complex

MeldplichtDatalekken

6

IT Security Survey SLB Diensten

QuizEen inbraak bij een school. De server wordt meegenomen en de data op de server is versleuteld. Een backup van de server staat fysiek 80km verder op. Alle data kan teruggehaald worden.

De versleutelde laptop van een financieel directeur is uit de auto gestolen. Financiële gegevens (budgetten, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden.

Een journalistiek programma confronteert een school met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, BSN nummers en wachtwoorden) van studenten en docenten op de server van de school door onbevoegden zijn ingezien.

Een docent laat een koffer met daarin een USB stick met een e-mailadressenbestand achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend na 2 dagen terug bij de rechtmatige eigenaar.

Meldplicht Datalekken

Bron: beleidsregels meldplicht datalekken

PersoonsgegevensBijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp Het gaat hierbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

• Gegevens over de financiële of economische situatie van de betrokkene Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salarissen betalingsgegevens.

• (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen.

• Gebruikersnamen, wachtwoorden en andere inloggegevens De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen.

• Gegevens die kunnen worden misbruikt voor (identiteits)fraude Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer (bsn).

De sleutel is versleutelingTechnische en organisatorische maatregelen dienen cumulatief te worden getroffen. Software is een belangrijk instrument tot beveiliging. Dit wetsvoorstel geeft de normen die mede met behulp van software dienen te worden gehandhaafd. Klassieke technische beveiligingsmaatregelen omvatten mede de fysieke afscherming van de randapparatuur die toegang geeft tot de te beveiligen gegevens. Daarnaast zijn er de modernere informatietechnologische maatregelen zoals beveiliging met een «password» en door middel van encryptie. Grotere bedrijven zullen een eigen beveiligingsafdeling hebben. Kleinere bedrijven zullen beveiligingsexpertise van buitenaf inhuren. Wat betreft encryptie zijn de initiatieven vermeldenswaard van de Europese Commissie om te komen tot een min of meer uniform systeem van vertrouwenstussenpersonen (trusted third parties) binnen de Europese Unie.

(Bron: Richtsnoeren AP: beveiliging persoonsgegevens)

IT Security Survey SLB Diensten (vervolg)

Sophos SafeGuard Enterprise

13

Verloren of Gestolen ApparaatOnversleuteld Versleuteld

• Verlies of diefstal van een apparaat kan iedereen overkomen, en overkomt dus ook velen van ons.• Alleen geauthoriseerde gebruikers zouden iets

met deze apparaten moeten kunnen.• Hoeveel apparaten heb jij verloren?

Zet bestanden op Removable Media

• Op deze kleine apparaatjes past heel veel data, maar je bent ze zo kwijt• Blokkeer je ze of bescherm je de data erop?•Waar is je eerste USB stick en wat staat erop?

Zet bestanden in E-Mail

• We emailen allemaal & we maken allemaal wel eens een foutje (het gebeurt)• Wat kan het gevolg zijn van het verkeerde bijvoegsel

aan de verkeerde persoon sturen?• Versleutel je bestanden, of inspecteer je op de

Gateway?

Zet bestanden op een Network Share

• De huidige Operating Systems maken het delen van data op het Network zeer eenvoudig.• Bescherm tegen interne dreigingen.• Wie is bevoegd voor bedrijfs- of

persoonsgegevens?

Zet bestanden in de Cloud

• Cloud Storage heeft de manier waarop data tussen gebruikers een apparaten wordt gedeeld gerevolutioneerd.• Wat heb jij in de Cloud staan, en wat gebeurt er als

iemand het steelt?• Versleutel de data voordat je het in de Cloud zet.

Sophos SafeGuard – simpel & beter

Werkt op verschillende apparateno Windows, OS X, iOS & Androido Integratie met Sophos Secure

Workspace en Mobile Controlo Inclusief centraal beheer van

Microsoft Bitlocker en Apple FileVault2

Gebruikers blijven productiefo Op school, onderweg, met ieder

apparaat

Nog steeds beveiligdo Betrouwbaar apparaat bepaalt

toegang tot data. Een apparaat met risico? Werk met een ander apparaat

Device / User / Process

Versleuteling in de praktijk

Sleutelbeheer

1102 -

Beleid maken:

Om je gratis verder te helpen• EU Data Security Compliance Check in 60 seconden•Whitepaper over EU Data Protection Regulation• Sophos Home:

studenten docentenburenvrienden

Te vinden op www.sophos.com/public-sector-benelux

Vragen?

27