Op basis van 22 jaar praktijk-ervaring op het vlak van informatieveiligheid en privacy bij lokale besturen, maakt Jan Guldentops de rekening. Doorspekt met praktijkvoorbeelden lijst hij ongezouten op wat hij ziet goed (the good) en totaal fout (the bad) gaan en waar het volledig misgroeid is op beveiligingsvlak bij gemeentes, OCMWS en politiezones. Daarna legt hij in een paar basisstappen hoe u als openbaar bestuur dit zelf kan verbeteren en uw burgers de privacy en veiligheid geven die ze verdienen
V-ict-or Shopt-IT, Gent 26 april 2019.
(Be)spreekuur 23 april 2024 - Ondernemers bereiken
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
1. The good, the bad and the ugly
ICT-beveiliging en privacy bij lokale
besturen
V-ict-or shopt-IT – 26 april 2018
Jan Guldentops ( j@ba.be )
BA N.V. ( http://www.ba.be )
2. Wie ben ik ?
Jan Guldentops (°1973)
Dit jaar bouw ik 20 jaar server en netwerk
infrastructuren
Oprichter Better Access (°1996) en BA (°2003)
Open Source Fundamentalist (na mijn uren)
Sterke praktische achtergrond op het vlak van ICT
beveiliging
➢
Ben toevalling terechtgekomen in de securitywereld
➢
Documenteerde in 1996 de securityproblemen in de eerste
Belgische internetbank ( Beroepskrediet / Belgium Offline)
➢
Plotseling ben je security expert
R&D (vooral security)
“gecertifieerd” Data Protection Officer
5. Sterk wettelijk kader
● Informatie Veiligheids Consulent ( IVC )
● 4 uur per week / organisatie
● De vragenlijsten van VTC en KSZ worden
afdwingbaar m.a.w. er worden er soms
geweigerd !
● Binnen GDPR een verplicht DPO
● Verbetering van de organisaties zelf
7. Waarom GDPR? (2)
“Verloren” persoonsgegevens
Open S3 bucket met massa’s klantengegevens ( id-kaarten,
transportdocumenten, etc. )
Gegevens van 700.000 klanten ( geboortedatum, gsm,
telefoonnummer, etc.)
Konden zelfs niet vertellen wat er aan de hand was!
Gegevens van 70.000.000 klanten
Exit security officer, CIO & CEO
19GB aan klantendata
Josh Duggar
9. Doelstellingen van GDPR
➢ Persoonsgegevens
beter beschermen
➢ Inventaris
➢ Degelijk register
➢ Goeie backups
➢ DPO
➢ Meldplicht bij
datalekken
➢ Etc.
➢ Meer rechten aan de
burgers geven
➢ Duidelijke afspraken
➢ Inzage- en
verbeterrecht
➢ Right-to-be-forgotten
➢ Data-overdracht
10. Persoonsgegevens
➢ Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon die
rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden.
Dus :
➢ de naam van een persoon
➢ een foto
➢ een telefoonnummer (zelfs een telefoonnummer op het werk)
➢ een code
➢ een bankrekeningnummer
➢ een e-mailadres
➢ een vingerafdruk of andere biometrische gegevens
➢ adressen
➢ leeftijd
➢ gezinssituatie
➢ nummerplaat
➢ Strafregister
➢ DNA
➢ Enz.
11. Belangrijke bijkomende vraag
➢ Verwerkt u gevoelige informatie, dit wil zeggen informatie over :
➢ Ras
➢ Politieke opvattingen
➢ Religie
➢ Biometrische gegevens
➢ Genetische gegevens
➢ Gezondheid
➢ Seksuele geaardheid
➢ Strafrechterlijke vervolgingen
➢ Bent u een overheidsorganisatie ?
●
12. Niks nieuws onder de zon
➢ Bescherming van persoonsgegevens bestaat in België al sinds 1992 ( 25 jaar !)
➢ Strenger, duidelijker geworden
➢ Vooral toevoegen boeteclausules
➢ Informatieveiligheidsindustrie werkt al jaren volgens dezelfde principes
➢ ISO27000, Cobit, etc.
➢ Vereisten van GDPR zijn eigenlijk best practices
➢ Inventaris
➢ Nadenken over security
➢ Etc.
➢ Er is heel veel bangmakerij
● Het nieuwe Y2K
● Opportuniteit voor advocaten, IT-bedrijven en security-consultants en consultants
● De wereld gaat niet vergaan op 25 mei 2018
13. 13 + 1 stappen
➢ Bewustmaking
➢ Dataregister
➢ Communicatie
➢ Rechten van de
betrokkene
➢ Verzoek tot toegang
➢ Wettelijke grondslag
verwerking
persoonsgegevens
➢ Toestemming
➢ Kinderen
➢ Datalekken
➢ Privacy by design en PIA
➢ Functionaris voor
gegevensverwerking (DPO )
➢ Internationaal
➢ Bestaande contracten
➢ Beveiligen van
persoonsgegevens
14.
15. 1. De goedheid van de
medewerker
● Medewerkers willen helpen en
meestal heeft niemand hen
duidelijk verteld wat ze wel of
niet mogen doen.
● Dus als je vriendelijk vraagt :
● Vertellen ze je alles wat je wil
weten ;
● Laten ze je overal binnen ;
● En loggen ze nog voor je in ook
● Social Engineering
● Belangrijk: mensen bewust
maken !
16. 2. Weinig logische en fysieke
beveiliging
● Ongeloofelijk waar je allemaal
binnen kan wandelen en wat je kan
meenemen.
● Toegangscontrole is vaak een grapje of
makkelijk te omzeilen.
● Dossierkasten met bv
personeelsgegevens worden niet
afgesloten
● Enz.
● PC’s zonder screenlocker
● Slecht beveiligde netwerkpoorten
● In vergaderzalen, wachtruimtes, etc.
● Onbewaakt, gepatched en je zit als
bezoeker recht op het interne netwerk
17. 3. Basis netwerk security
● Opdelen van het interne netwerk in verschillende logisch
gescheiden onderdelen ( VLAN’s)
● Belangrijk : management VLAN
● Ook controles tussen die vlan’s !
● Slecht opgezette publiekswifi’s
● Interne WIFI’s met één WPA2-key !
● Tunnels
● Openvpn / ssh
● Teamviewers
18. 4. Phising
● Iedereen denkt aan de standaard, in slecht Nederlands
geschreven mail van een Oekraïnse schone die zegt
dat je de man (m/v) van haar leven bent...
● Makkelijk te ontdekken
● Maar:
● Wat als ik nu eens een phish op maat van uw organisatie
maak ?
– “Kortingsbon van Torfs” onderhandelt voor uw organisatie
– “Sinterklaas heeft een verrassing voor jou”
– “Wij werken aan de beveiliging en zouden graag willen dat u
19. 5. Wachtwoorden / rollen /
rechten
● Waarom, oh waarom gebruiken we nog altijd
userid/wachtwoorden voor toegang tot onze systemen ?
● Mensen gaan er slordig mee om ;
● Kiezen altijd en overal hetzelfde wachtwoord ;
● Geven het door ;
● Laten het staan op het oorspronkelijke, voorspelbare wachtwoord
● Etc.
● We hebben nog altijd verschillende wachtwoordsystemen !
● Uitdienstprocedures – toegangen wissen als iemand vertrekt.
● -> We moeten naar 2 factor authenticatie
20. 7. Leveranciers
● Abominabele security niveau van lokale overheidsleveranciers
● Bv. bij elke klant root-wachtwoord gebruiken dat hetzelfde gebleven
en verwijst naar een calculator uit 1977.
● Geen change management
● Carte blanche altijd en overal
● Geen geintegreerde software in de AD
● Onvolwassen reacties op securitybugs
– “Alles is volgens onze interne security standaarden”
● Geen updates, etc.
● Aan de klant om hen tot de orde te roepen
21. 8. Traditionele antivirus werkt
niet meer
● Traditionele, signature-
based antivirus werkt niet
meer...
● Zie Cryptolocker epidemie
● Komen vaak door 2
verschillende anti-virus
engines
● Groot probleem
● Verschillende hoopvolle
technologieën
● e.g. Cylance
22. 9. Degelijk systeembeheer
● Zelfs luidruchtige interne aanvallen worden nooit opgemerkt.
● IT’ers blussen branden maar doen nooit aan brandpreventie
● Nood aan gestructureerde IT
– Documentatie
– Opvolging
– Monitoring
– Logging
● Meldingen
● Correct gebruik maken van informatieveiligheidsconsulent en
ISMS.
23. 10. We hangen vanalles aan ons
netwerk
● Internet-of-things
● De vraag is dit alles veilig en
blijft het veilig ?
● Kan het misbruikt worden ? Is
het voldoende geïsoleerd ?
● Vaak worden er ook
onzinnige deuren opengezet
om het toegankelijk te maken
● Port forwardings
24.
25. Wachttorens en paniekvoetbal
● Dirty Cow
● Voorbeeld van getuigen-van-
jehova-journalistiek
– “Het einde is nabij !”
● Paniek
● Paniekvoetbal
● Geen structurele oplossingen
● Grote FUD en propaganda
● Android is onveilig ! Koop
een Iphone !
27. Zeer lelijk
● Pro forma IVC en DPO’s
● Intercommunales
● 1 IVC voor 27 besturen ?
● Waarom niet zelf doen ?
● Pro forma verwerkingsafspraken
● Juridisch heel tof maar geen concrete afspraken
– Change management !
– SLA’s
– Etc.
28. Realisme
● Absolute veiligheid
bestaat niet !
● Vroeg of laat heb je een
security probleem of
een datalek met
persoonsgegevens
● Niemand is onfeilbaar,
tenzij de paus
29. Tijd om wakker te worden
● 2 voornaamste security producten zijn :
● Gezond verstand
● Structuur
● Iedereen heeft security problemen, niemand is onfeilbaar
● Face it, get over it en ga aan de slag
● Een securityprobleem hebben is geen schande, maar doe er iets mee !
● Hard werk
● Zelf het IVC en DPO verhaal in handen houden !
● Doe het zelf met externe hulp ?
● Volg het op zijn minst op !
● Goeie afspraken maken met je leveranciers !
30. Samengevat: GDPR
➢ Maak een plan
➢ Actieplan : niet alles moet onmiddellijk gebeuren
➢ Maak iedereen bewust van wat GDPR inhoudt ( awareness )
➢ Bekijk waar / hoe je persoonsgegevens opslaat en verwerkt in je
organisatie ?
➢ Bekijk waar je allemaal aan moet voldoen ?
➢ Gevoelige informatie ? / DPO Ja / neen / Kinderen ?
➢ Dataregister en register van verwerking opstellen
➢ Zorg voor wettelijke basis van verwerking
➢ Worst case consent vragen !
➢ Schep duidelijkheid met duidelijke privacy-statements
➢ Op je website ;
➢ Naar al je klanten toe ;
➢ In je verkoopsvoorwaarden ;
➢ Telkens je iets doet
➢ Maillinglists etc.
➢ Kijk je beveiliging na ( art 28)of die op snelheid is
➢ Stel de juiste procedures op
➢ Zet procedures op om aan de rechten van het data subject te kunnen voldoen !
➢ Zet procedures op voor als het misgaat
➢ Kijk je bestaande contracten na
➢ maak afspraken hierrond met je leveranciers
➢
➢ Don’t panic !
➢ Denk na over privacy voor
alle acties, projecten, software,
etc. waar je persoonsgegevens
gaat gebruiken en verwerken
➢ o.a. Beperk de gegevens die
je opvraagt en bijhoudt !
➢ Privacy Impact Assessment
➢ Zoek eventueel hulp van
externe partijen maar hou de
touwtjes in handen !