Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
The good, the bad and the ugly
ICT-beveiliging en privacy bij lokale
besturen
V-ict-or shopt-IT – 26 april 2018
Jan Gulden...
Wie ben ik ?
 Jan Guldentops (°1973)
 Dit jaar bouw ik 20 jaar server en netwerk
infrastructuren
 Oprichter Better Acce...
COMMON SENSE
AS A SERVICE
(CAAS)
Sterk wettelijk kader
● Informatie Veiligheids Consulent ( IVC )
● 4 uur per week / organisatie
● De vragenlijsten van VTC...
Waarom GDPR ?
http://www.informationisbeautiful.net/visualizations/worlds-biggest-dat
a-breaches-hacks/
Waarom GDPR? (2)
 “Verloren” persoonsgegevens
 Open S3 bucket met massa’s klantengegevens ( id-kaarten,
transportdocumen...
Datalekken in cijfers
Doelstellingen van GDPR
➢ Persoonsgegevens
beter beschermen
➢ Inventaris
➢ Degelijk register
➢ Goeie backups
➢ DPO
➢ Meldp...
Persoonsgegevens
➢ Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon die
rechtstreeks of onrechtstr...
Belangrijke bijkomende vraag
➢ Verwerkt u gevoelige informatie, dit wil zeggen informatie over :
➢ Ras
➢ Politieke opvatti...
Niks nieuws onder de zon
➢ Bescherming van persoonsgegevens bestaat in België al sinds 1992 ( 25 jaar !)
➢ Strenger, duide...
13 + 1 stappen
➢ Bewustmaking
➢ Dataregister
➢ Communicatie
➢ Rechten van de
betrokkene
➢ Verzoek tot toegang
➢ Wettelijke...
1. De goedheid van de
medewerker
● Medewerkers willen helpen en
meestal heeft niemand hen
duidelijk verteld wat ze wel of
...
2. Weinig logische en fysieke
beveiliging
● Ongeloofelijk waar je allemaal
binnen kan wandelen en wat je kan
meenemen.
● T...
3. Basis netwerk security
● Opdelen van het interne netwerk in verschillende logisch
gescheiden onderdelen ( VLAN’s)
● Bel...
4. Phising
● Iedereen denkt aan de standaard, in slecht Nederlands
geschreven mail van een Oekraïnse schone die zegt
dat j...
5. Wachtwoorden / rollen /
rechten
● Waarom, oh waarom gebruiken we nog altijd
userid/wachtwoorden voor toegang tot onze s...
7. Leveranciers
● Abominabele security niveau van lokale overheidsleveranciers
● Bv. bij elke klant root-wachtwoord gebrui...
8. Traditionele antivirus werkt
niet meer
● Traditionele, signature-
based antivirus werkt niet
meer...
● Zie Cryptolocker...
9. Degelijk systeembeheer
● Zelfs luidruchtige interne aanvallen worden nooit opgemerkt.
● IT’ers blussen branden maar doe...
10. We hangen vanalles aan ons
netwerk
● Internet-of-things
● De vraag is dit alles veilig en
blijft het veilig ?
● Kan he...
Wachttorens en paniekvoetbal
● Dirty Cow
● Voorbeeld van getuigen-van-
jehova-journalistiek
– “Het einde is nabij !”
● Pan...
Papieren tijgers !
Zeer lelijk
● Pro forma IVC en DPO’s
● Intercommunales
● 1 IVC voor 27 besturen ?
● Waarom niet zelf doen ?
● Pro forma ve...
Realisme
● Absolute veiligheid
bestaat niet !
● Vroeg of laat heb je een
security probleem of
een datalek met
persoonsgege...
Tijd om wakker te worden
● 2 voornaamste security producten zijn :
● Gezond verstand
● Structuur
● Iedereen heeft security...
Samengevat: GDPR
➢ Maak een plan
➢ Actieplan : niet alles moet onmiddellijk gebeuren
➢ Maak iedereen bewust van wat GDPR i...
Thank You
Contact us
016/29.80.45
016/29.80.46
www.ba.be / Twitter: batweets
Remy Toren
Vaartdijk 3/501
B-3018 Wijgmaal
in...
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
Upcoming SlideShare
Loading in …5
×

of

The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 1 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 2 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 3 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 4 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 5 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 6 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 7 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 8 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 9 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 10 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 11 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 12 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 13 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 14 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 15 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 16 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 17 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 18 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 19 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 20 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 21 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 22 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 23 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 24 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 25 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 26 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 27 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 28 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 29 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 30 The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen Slide 31
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

0 Likes

Share

Download to read offline

The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen

Download to read offline

Op basis van 22 jaar praktijk-ervaring op het vlak van informatieveiligheid en privacy bij lokale besturen, maakt Jan Guldentops de rekening. Doorspekt met praktijkvoorbeelden lijst hij ongezouten op wat hij ziet goed (the good) en totaal fout (the bad) gaan en waar het volledig misgroeid is op beveiligingsvlak bij gemeentes, OCMWS en politiezones. Daarna legt hij in een paar basisstappen hoe u als openbaar bestuur dit zelf kan verbeteren en uw burgers de privacy en veiligheid geven die ze verdienen

V-ict-or Shopt-IT, Gent 26 april 2019.

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen

  1. 1. The good, the bad and the ugly ICT-beveiliging en privacy bij lokale besturen V-ict-or shopt-IT – 26 april 2018 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
  2. 2. Wie ben ik ?  Jan Guldentops (°1973)  Dit jaar bouw ik 20 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging ➢ Ben toevalling terechtgekomen in de securitywereld ➢ Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline) ➢ Plotseling ben je security expert  R&D (vooral security)  “gecertifieerd” Data Protection Officer
  3. 3. COMMON SENSE AS A SERVICE (CAAS)
  4. 4. Sterk wettelijk kader ● Informatie Veiligheids Consulent ( IVC ) ● 4 uur per week / organisatie ● De vragenlijsten van VTC en KSZ worden afdwingbaar m.a.w. er worden er soms geweigerd ! ● Binnen GDPR een verplicht DPO ● Verbetering van de organisaties zelf
  5. 5. Waarom GDPR ? http://www.informationisbeautiful.net/visualizations/worlds-biggest-dat a-breaches-hacks/
  6. 6. Waarom GDPR? (2)  “Verloren” persoonsgegevens  Open S3 bucket met massa’s klantengegevens ( id-kaarten, transportdocumenten, etc. )  Gegevens van 700.000 klanten ( geboortedatum, gsm, telefoonnummer, etc.)  Konden zelfs niet vertellen wat er aan de hand was!  Gegevens van 70.000.000 klanten  Exit security officer, CIO & CEO  19GB aan klantendata  Josh Duggar
  7. 7. Datalekken in cijfers
  8. 8. Doelstellingen van GDPR ➢ Persoonsgegevens beter beschermen ➢ Inventaris ➢ Degelijk register ➢ Goeie backups ➢ DPO ➢ Meldplicht bij datalekken ➢ Etc. ➢ Meer rechten aan de burgers geven ➢ Duidelijke afspraken ➢ Inzage- en verbeterrecht ➢ Right-to-be-forgotten ➢ Data-overdracht
  9. 9. Persoonsgegevens ➢ Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon die rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden. Dus : ➢ de naam van een persoon ➢ een foto ➢ een telefoonnummer (zelfs een telefoonnummer op het werk) ➢ een code ➢ een bankrekeningnummer ➢ een e-mailadres ➢ een vingerafdruk of andere biometrische gegevens ➢ adressen ➢ leeftijd ➢ gezinssituatie ➢ nummerplaat ➢ Strafregister ➢ DNA ➢ Enz.
  10. 10. Belangrijke bijkomende vraag ➢ Verwerkt u gevoelige informatie, dit wil zeggen informatie over : ➢ Ras ➢ Politieke opvattingen ➢ Religie ➢ Biometrische gegevens ➢ Genetische gegevens ➢ Gezondheid ➢ Seksuele geaardheid ➢ Strafrechterlijke vervolgingen ➢ Bent u een overheidsorganisatie ? ●
  11. 11. Niks nieuws onder de zon ➢ Bescherming van persoonsgegevens bestaat in België al sinds 1992 ( 25 jaar !) ➢ Strenger, duidelijker geworden ➢ Vooral toevoegen boeteclausules ➢ Informatieveiligheidsindustrie werkt al jaren volgens dezelfde principes ➢ ISO27000, Cobit, etc. ➢ Vereisten van GDPR zijn eigenlijk best practices ➢ Inventaris ➢ Nadenken over security ➢ Etc. ➢ Er is heel veel bangmakerij ● Het nieuwe Y2K ● Opportuniteit voor advocaten, IT-bedrijven en security-consultants en consultants ● De wereld gaat niet vergaan op 25 mei 2018
  12. 12. 13 + 1 stappen ➢ Bewustmaking ➢ Dataregister ➢ Communicatie ➢ Rechten van de betrokkene ➢ Verzoek tot toegang ➢ Wettelijke grondslag verwerking persoonsgegevens ➢ Toestemming ➢ Kinderen ➢ Datalekken ➢ Privacy by design en PIA ➢ Functionaris voor gegevensverwerking (DPO ) ➢ Internationaal ➢ Bestaande contracten ➢ Beveiligen van persoonsgegevens
  13. 13. 1. De goedheid van de medewerker ● Medewerkers willen helpen en meestal heeft niemand hen duidelijk verteld wat ze wel of niet mogen doen. ● Dus als je vriendelijk vraagt : ● Vertellen ze je alles wat je wil weten ; ● Laten ze je overal binnen ; ● En loggen ze nog voor je in ook ● Social Engineering ● Belangrijk: mensen bewust maken !
  14. 14. 2. Weinig logische en fysieke beveiliging ● Ongeloofelijk waar je allemaal binnen kan wandelen en wat je kan meenemen. ● Toegangscontrole is vaak een grapje of makkelijk te omzeilen. ● Dossierkasten met bv personeelsgegevens worden niet afgesloten ● Enz. ● PC’s zonder screenlocker ● Slecht beveiligde netwerkpoorten ● In vergaderzalen, wachtruimtes, etc. ● Onbewaakt, gepatched en je zit als bezoeker recht op het interne netwerk
  15. 15. 3. Basis netwerk security ● Opdelen van het interne netwerk in verschillende logisch gescheiden onderdelen ( VLAN’s) ● Belangrijk : management VLAN ● Ook controles tussen die vlan’s ! ● Slecht opgezette publiekswifi’s ● Interne WIFI’s met één WPA2-key ! ● Tunnels ● Openvpn / ssh ● Teamviewers
  16. 16. 4. Phising ● Iedereen denkt aan de standaard, in slecht Nederlands geschreven mail van een Oekraïnse schone die zegt dat je de man (m/v) van haar leven bent... ● Makkelijk te ontdekken ● Maar: ● Wat als ik nu eens een phish op maat van uw organisatie maak ? – “Kortingsbon van Torfs” onderhandelt voor uw organisatie – “Sinterklaas heeft een verrassing voor jou” – “Wij werken aan de beveiliging en zouden graag willen dat u
  17. 17. 5. Wachtwoorden / rollen / rechten ● Waarom, oh waarom gebruiken we nog altijd userid/wachtwoorden voor toegang tot onze systemen ? ● Mensen gaan er slordig mee om ; ● Kiezen altijd en overal hetzelfde wachtwoord ; ● Geven het door ; ● Laten het staan op het oorspronkelijke, voorspelbare wachtwoord ● Etc. ● We hebben nog altijd verschillende wachtwoordsystemen ! ● Uitdienstprocedures – toegangen wissen als iemand vertrekt. ● -> We moeten naar 2 factor authenticatie
  18. 18. 7. Leveranciers ● Abominabele security niveau van lokale overheidsleveranciers ● Bv. bij elke klant root-wachtwoord gebruiken dat hetzelfde gebleven en verwijst naar een calculator uit 1977. ● Geen change management ● Carte blanche altijd en overal ● Geen geintegreerde software in de AD ● Onvolwassen reacties op securitybugs – “Alles is volgens onze interne security standaarden” ● Geen updates, etc. ● Aan de klant om hen tot de orde te roepen
  19. 19. 8. Traditionele antivirus werkt niet meer ● Traditionele, signature- based antivirus werkt niet meer... ● Zie Cryptolocker epidemie ● Komen vaak door 2 verschillende anti-virus engines ● Groot probleem ● Verschillende hoopvolle technologieën ● e.g. Cylance
  20. 20. 9. Degelijk systeembeheer ● Zelfs luidruchtige interne aanvallen worden nooit opgemerkt. ● IT’ers blussen branden maar doen nooit aan brandpreventie ● Nood aan gestructureerde IT – Documentatie – Opvolging – Monitoring – Logging ● Meldingen ● Correct gebruik maken van informatieveiligheidsconsulent en ISMS.
  21. 21. 10. We hangen vanalles aan ons netwerk ● Internet-of-things ● De vraag is dit alles veilig en blijft het veilig ? ● Kan het misbruikt worden ? Is het voldoende geïsoleerd ? ● Vaak worden er ook onzinnige deuren opengezet om het toegankelijk te maken ● Port forwardings
  22. 22. Wachttorens en paniekvoetbal ● Dirty Cow ● Voorbeeld van getuigen-van- jehova-journalistiek – “Het einde is nabij !” ● Paniek ● Paniekvoetbal ● Geen structurele oplossingen ● Grote FUD en propaganda ● Android is onveilig ! Koop een Iphone !
  23. 23. Papieren tijgers !
  24. 24. Zeer lelijk ● Pro forma IVC en DPO’s ● Intercommunales ● 1 IVC voor 27 besturen ? ● Waarom niet zelf doen ? ● Pro forma verwerkingsafspraken ● Juridisch heel tof maar geen concrete afspraken – Change management ! – SLA’s – Etc.
  25. 25. Realisme ● Absolute veiligheid bestaat niet ! ● Vroeg of laat heb je een security probleem of een datalek met persoonsgegevens ● Niemand is onfeilbaar, tenzij de paus
  26. 26. Tijd om wakker te worden ● 2 voornaamste security producten zijn : ● Gezond verstand ● Structuur ● Iedereen heeft security problemen, niemand is onfeilbaar ● Face it, get over it en ga aan de slag ● Een securityprobleem hebben is geen schande, maar doe er iets mee ! ● Hard werk ● Zelf het IVC en DPO verhaal in handen houden ! ● Doe het zelf met externe hulp ? ● Volg het op zijn minst op ! ● Goeie afspraken maken met je leveranciers !
  27. 27. Samengevat: GDPR ➢ Maak een plan ➢ Actieplan : niet alles moet onmiddellijk gebeuren ➢ Maak iedereen bewust van wat GDPR inhoudt ( awareness ) ➢ Bekijk waar / hoe je persoonsgegevens opslaat en verwerkt in je organisatie ? ➢ Bekijk waar je allemaal aan moet voldoen ? ➢ Gevoelige informatie ? / DPO Ja / neen / Kinderen ? ➢ Dataregister en register van verwerking opstellen ➢ Zorg voor wettelijke basis van verwerking ➢ Worst case consent vragen ! ➢ Schep duidelijkheid met duidelijke privacy-statements ➢ Op je website ; ➢ Naar al je klanten toe ; ➢ In je verkoopsvoorwaarden ; ➢ Telkens je iets doet ➢ Maillinglists etc. ➢ Kijk je beveiliging na ( art 28)of die op snelheid is ➢ Stel de juiste procedures op ➢ Zet procedures op om aan de rechten van het data subject te kunnen voldoen ! ➢ Zet procedures op voor als het misgaat ➢ Kijk je bestaande contracten na ➢ maak afspraken hierrond met je leveranciers ➢ ➢ Don’t panic ! ➢ Denk na over privacy voor alle acties, projecten, software, etc. waar je persoonsgegevens gaat gebruiken en verwerken ➢ o.a. Beperk de gegevens die je opvraagt en bijhoudt ! ➢ Privacy Impact Assessment ➢ Zoek eventueel hulp van externe partijen maar hou de touwtjes in handen !
  28. 28. Thank You Contact us 016/29.80.45 016/29.80.46 www.ba.be / Twitter: batweets Remy Toren Vaartdijk 3/501 B-3018 Wijgmaal info@ba.be Twitter: JanGuldentops http://be.linkedin.com/in/janguldentops/

Op basis van 22 jaar praktijk-ervaring op het vlak van informatieveiligheid en privacy bij lokale besturen, maakt Jan Guldentops de rekening. Doorspekt met praktijkvoorbeelden lijst hij ongezouten op wat hij ziet goed (the good) en totaal fout (the bad) gaan en waar het volledig misgroeid is op beveiligingsvlak bij gemeentes, OCMWS en politiezones. Daarna legt hij in een paar basisstappen hoe u als openbaar bestuur dit zelf kan verbeteren en uw burgers de privacy en veiligheid geven die ze verdienen V-ict-or Shopt-IT, Gent 26 april 2019.

Views

Total views

480

On Slideshare

0

From embeds

0

Number of embeds

5

Actions

Downloads

3

Shares

0

Comments

0

Likes

0

×