SlideShare une entreprise Scribd logo

Verhalen uit de loopgraven - Workshop Security & privacy

B.A.
B.A.

Verhalen uit de loopgraven - Workshop Security & privacy. Talk voor de studenten van AP hogeschool, 27 maart 2019.

Technologie
1  sur  69
Verhalen uit de loopgraven Workshop Security & Privacy – AP 27 maart 2019 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
Wie ben ik ?  Jan Guldentops (°1973)  Dit jaar bouw ik 25 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging ➢ Ben toevalling terechtgekomen in de securitywereld ➢ Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline) ➢ Plotseling ben je security expert  “Gecertificieerd” DPO en informatieveiligheidsconsulent  R&D (vooral security)
Samengevat: COMMON SENSE AS A SERVICE (CAAS)
Wat is informatieveiligheid ?  Beschermen van informatie en informatiesystemen tegen :  Ongeautoriseerde toegang / gebruik / bekendmaking  Integriteit van die gegevens  Beschikbaarheid / verlies van gegevens of systemen  Kortom : Garanderen van CIA  Confidentiality  Integrity  Availibility
Moeilijk evenwicht ● Moeilijke (soms onmogelijke) balans tussen : ● veiligheid ● functionaliteit ● gebruikersgemak ● budget
Waarom aandacht besteden aan informatieveiligheid? Maar ook andere redenen : – PCI DSS ( credit cards ) – ISO 27000 – Nen – Contractuele afspraken met klanten – VTC, KSZ, etc. GDPR  Mei 2018  Wet met tanden ! − Boeteclausules( 4% turnover tot € 20.000.000) − Meldingsplicht binnen 72 uur! − DPO − Etc.
Waarom GDPR ? http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Waarom GDPR? (2)  “Verloren” persoonsgegevens 15.000 Klanten hun gegevens door gebruik productiedata in testsysteem − Gegevens van 700.000 klanten ( geboortedatum, gsm, telefoonnummer, etc.) − Konden zelfs niet vertellen wat er aan de hand was! − Gegevens van 70.000.000 klanten − Exit security officer, CIO & CEO − 19GB aan klantendata − Josh Duggar
Niks nieuws onder de zon ➢ Bescherming van persoonsgegevens bestaat in België al sinds 1992 ( 25 jaar !) ➢ Strenger, duidelijker geworden ➢ Vooral toevoegen boeteclausules ➢ Informatieveiligheidsindustrie werkt al jaren volgens dezelfde principes ➢ ISO27000, Cobit, etc. ➢ Vereisten van GDPR zijn eigenlijk best practices ➢ Inventaris ➢ Nadenken over security ➢ Etc. ➢ Er is heel veel bangmakerij – Het nieuwe Y2K – Opportuniteit voor advocaten, IT-bedrijven en security-consultants en consultants – De wereld is niet vergaan op 25 mei 2018
➢https://youtu.be/F7pYHN9iC9I Waarzegger Dave
Doelstellingen van GDPR ➢ Persoonsgegevens beter beschermen ➢ Inventaris ➢ Degelijk register ➢ Goeie backups ➢ DPO ➢ Meldplicht bij datalekken ➢ Etc. ➢ Meer rechten aan de burgers geven ➢ Duidelijke afspraken ➢ Inzage- en verbeterrecht ➢ Right-to-be-forgotten ➢ Data-overdracht
Persoonsgegevens ➢ Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon die rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden. Dus : ➢ de naam van een persoon ➢ een foto ➢ een telefoonnummer (zelfs een telefoonnummer op het werk) ➢ een code ➢ een bankrekeningnummer ➢ een e-mailadres ➢ een vingerafdruk of andere biometrische gegevens ➢ adressen ➢ leeftijd ➢ gezinssituatie ➢ nummerplaat ➢ Strafregister ➢ DNA ➢ Enz.
Belangrijke bijkomende vraag ➢ Verwerkt u gevoelige informatie, dit wil zeggen informatie over : ➢ Ras ➢ Politieke opvattingen ➢ Religie ➢ Biometrische gegevens ➢ Genetische gegevens ➢ Gezondheid ➢ Seksuele geaardheid ➢ Strafrechterlijke vervolgingen ➢ Bent u een overheidsorganisatie ?
Wat is informatie ? ➢ Een set gegevens die zodanig bijeen zijn gebracht en worden voorgesteld zodat er betekenis of waarde aan kan worden toegekend. ➢ Gestructureerd ➢ Logisch ➢ Betekenisvol ➢ Te gebruiken in een context ➢ Waarde ➢ Kan in vele vormen : ➢ Papier ( ook geschreven ) ➢ Electronisch ➢ Mondeling ➢ Fysieke media ➢ Kennis
Eenvoudig stappenplan ➢ Privacycomissie : ➢ https://www.privacycom mission.be/sites/privacyc ommission/files/docume nts/STAPPENPLAN%20NL %20-%20V2.pdf
Nog uitgebreider ● Voor KMO’s – https://gdpr- dossier.org/wp- content/uploads/2018/ 03/KMO_NL.pdf
Nog beter: Het grote GDPR boek ● https://gdpr.groupjoos .com/assets/downloa ds/Het%20grote %20GDPR %20handboek.pdf
13 + 1 stappen ➢ Bewustmaking ➢ Dataregister ➢ Communicatie ➢ Rechten van de betrokkene ➢ Verzoek tot toegang ➢ Wettelijke grondslag verwerking persoonsgegevens ➢ Toestemming ➢ Kinderen ➢ Datalekken ➢ Privacy by design en PIA ➢ Functionaris voor gegevensverwerking (DPO ) ➢ Internationaal ➢ Bestaande contracten ➢ Beveiligen van persoonsgegevens
1. Bewustmaking ➢ “Informeer sleutelfiguren en beleidsmakers van de aankomende veranderingen. Zij moeten inschatten welke gevolgen de AVG zal hebben voor het bedrijf of de organisatie. “ ➢ Awareness doorheen het hele bedrijf : ➢ Top tot bodem ➢ “Vis rot van de kop” - nood aan een management-buyin ➢ Mensen zijn de zwakste schakel ➢ Ook voor de leveranciers ➢ Zeker doen : ➢ Geef bijvoorbeeld een awareness training ➢ Moet geregeld op de management agenda komen ➢ Controleer je leveranciers, maak goeie afspraken ➢ Maar : ➢ kijk ook verder dan GDPR. ➢ Zijn er nog andere wettelijke vereisten ? Afspraken met klanten ? ➢ Verkoop het als een opportuniteit, niet als een verplicht nummer !
2. Dataregister ➢ “ Breng in kaart welke persoonsgegevens je bijhoudt, waar deze vandaan komen en met wie je deze hebt gedeeld. Registreer je verwerkingen. Mogelijks dien je hiervoor een informatie-audit te organiseren” ➢ Welke persoonsgegevens hou je bij en waar komen deze vandaan ? ➢ Waar worden deze allemaal gebruikt en verwerkt ? ➢ Waar worden ze opgeslagen ( toestel, plaats, applicatie) ➢ Deel je ze met andere partijen ? ➢ Zijn ze versleuteld ? ➢ Informatie-audit ➢ Moet voor alle verwerkingen die niet-incidentieel zijn ➢ Geldt voor verantwoordelijke ( controllers ) als verwerkers ( processors ) ➢ Belangrijk : ➢ Documentatie ( een dataregister ) ● Er is geen vast model voor het register, zolang het schriftelijk, electronisch en begrijpelijk is... ➢ Hoeft geen applicatie te zijn, kan bijvoorbeeld ook een rekenblad zijn. ➢ Vb. Unizo ➢ Vervangt aangifte die je vroeger bij de privacycommissie moest doen. ➢ Wat men wil bereiken is accountability ! ● Verantwoordingsplicht ●
3. Communicatie van privacy informatie ➢ Duidelijk en transparant communiceren over : ➢ Wat de wettelijke basis is voor het verwerken van de gegevens ➢ Hoe lang je de gegevens gaat bijhouden ( data retentie ) ➢ En vermelden wat de rechten van het individu ( data subject of burger) zijn. ➢ Nadruk op duidelijk en transparant ➢ Moet duidelijk in de privacy policy op je website staan, privacy notice bij verwerking en je verkoopsvoorwaarden. ➢ Verschil rechtstreekse / onrechtstreekse inzameling
4. Rechten van de betrokkene (aka data subject of individu)➢ Recht van informatie ➢ Recht van inzage ➢ Recht van correctie ➢ Recht van verwijdering ( right-to-be-forgotten) ➢ Recht op beperking ➢ Recht op overdraagbaarheid van gegevens ➢ Recht op bezwaar ➢ Geautomatiseerde besluitvorming / profilering
5. Verzoek tot toegang ➢“Update je bestaande toegangsprocedures en bedenk hoe je verzoeken tot toegang voortaan zal behandelen onder de nieuwe termijnen in de AVG.” ➢ Wettelijk moet je kostenloos en binnen de 30 dagen kunnen reageren op de vragen van de betrokkenen ➢ Kan enkel als je hier klaar voor bent ➢ Nood aan : ➢ Data register ➢ Procedures ➢ Automatisering ? Webformulier ? Etc.
6. Wettelijke grondslag verwerking persoonsgegevens ➢ Toestemming van de betrokken persoon. ➢ De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. ➢ De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. ➢ Bv bevel van politie, belastingen,BTW,etc. ➢ Maar: verantwoordingsplicht ➢ De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. – essentieel is voor iemands leven of gezondheid ➢ De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. ➢ Vervulling van een openbare taak ➢ De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. – Maar hou rekening met proportionaliteit en subsidiariteit ● Dus: noodzakelijk zijn en in verhouding tot het doel !
7. Toestemming ➢ Evalueer de wijze waarop je toestemming vraagt, verkrijgt en registreert, en wijzig waar nodig. ➢ Als je geen wettelijke basis hebt voor verwerking moet je toestemming / consent vragen aan het individu ➢ Moeilijkheid / opportuniteit ➢ Transparant en eenduidig ➢ Bewijslast ligt bij jou ! ( dus moet bewaard worden) ➢ Opt-in ipv opt-out ➢ Expliciete toestemming
8. Kinderen ➢ “Ontwikkel systemen die de leeftijd van de betrokkene nagaan en ouder(s) of voogd(en) expliciet om toestemming vragen voor de gegevensverwerking van minderjarige kinderen. “ ➢ Je mag geen gegevens van kinderen verwerken zonder toestemming van de ouders/voogd. ➢ Dus controleer je de leeftijd van individuen ➢ Heb je een procedure om ouders / voogd toestemming te vragen ? ➢ Staat er in je privacy policy een leeftijdsbeperking ? ➢ Is die begrijpbaar voor kinderen ?
9. Datalekken ➢ Voorzie adequate procedures om persoonlijke datalekken op te sporen, te rapporteren en te onderzoeken. ➢ Niet enkel om ze op te sporen, ook om ze te voorkomen. Er zijn immers minimale veiligheidsvereisten ! ( hebben we het volgende keer over ) ➢ Zowel qua business continuity ( Backups en zo) als veiligheid ! ➢ Maar je moet ze opsporen en rapporteren ➢ Logging, rapporting ➢ Register van lekken en problemen ! ➢ En als er data gelekt of verloren gegaan is, moet dit gemeld worden binnen de 72 uur aan het individu en de regulator ! ➢ Niet eenvoudig ➢ Zorg dat de procedures en de communicatie klaar ligt !
10. Privacy by Design / PIA ➢ “Maak je vertrouwd met de begrippen “gegevensbescherming door ontwerp” en “gegevensbeschermingseffectbeoordeling” en ga na hoe je deze concepten in de werking van jouw bedrijf of organisatie kan implementeren. ➢ Bij alles wat je doet hou je vanaf het eerste moment rekening met privacy en security. ➢ Belangrijk hierbij is ook privacy by default ➢ Analyseren wat de privacy-risico’s van een project, procedure, stuk software of iets anders is, heet een privacy impact assessment.
11. DPO ➢ “Duid, indien nodig, een functionaris voor gegevensbescherming aan, of iemand die de verantwoordelijkheid draagt voor het naleven van de databeschermingsregels. Beoordeel welke plaats deze inneemt binnen de structuur en het beleid van jouw bedrijf of organisatie.” ➢ DPO = Data Protection Officer ➢ > 250 werknemers ➢ Of Publieke overheid ➢ Of verwerker van gevoelige informatie (cfr. Infra) ➢ Of regelmatig en stelselmatig observeren van betrokkenen op grote schaal ➢ Beschermd statuut : moet beschermd zijn om te kunnen werken en rechtstreeks rapporteren aan het management-comité ➢ Dit is een risico ! ➢ Volgt de verwerking en opslag van persoonsgegevens op. ➢ Rapporteert bij lekken ➢ Kan een extern persoon zijn ➢ Uitzondering maar maak iemand verantwoordelijk, noem hem gewoon geen DPO…
12. Internationaal ➢ Is je bedrijf internationaal actief dan val je onder de toezichtshouder van de hoofdvestiging. ➢ Pas ook op met het opslaan, exporteren van persoonsgegevens buiten de EU ➢ Maar: de grote cloudjongens zijn hier al oplossingen beginnen rond bouwen ➢ Microsoft ➢ Google
13. Bestaande contracten ➢ “Beoordeel je bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng tijdig de noodzakelijke veranderingen aan.” ➢ Herzie je overeenkomsten ➢ Dit geldt ook met je klanten ! ➢ Ga een goeie verwerkingsovereenkomst met duidelijke afspraken aan met je leveranciers. ➢ Belangrijk zijn meldingsplicht, SLA’s minimale veiligheidsvereisten, etc. ➢ Geen papieren tijgers ! Duidelijke afspraken.
Beveiligen van persoonsgegevens ➢ Totnogtoe heel theoretisch en vooral ook organisatorisch ➢ Veel ICT/security-bedrijven die je iets proberen te verkopen voor GDPR ➢ Waar moet je nu zelf op letten ? Wat moet je minimaal hebben ? ➢ Quid cloud ? ➢ Doel van vandaag is niet dat jullie experts worden op het vlak van antivirus, firewalls, etc. Wel dat jullie ICT en/of ICT partners kunnen aansturen.
Artikel 32 ( passende beveiliging) ➢1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: ➢ a. de pseudonimisering en versleuteling van persoonsgegevens; ➢ b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwer-kingssystemen en diensten te garanderen: ➢ c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;- ➢ d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. ➢2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsri-sico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoor-loofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. ➢3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsme-chanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd. ➢4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierech-telijk of lidstaatrechtelijk is gehouden.
Eenvoudiger Artikel 32 ● ➢ PASSENDE BEVEILIGING PERSOONSGEGEVENS VOORZIEN ➢ Passende technische en organisatorische maatregelen nemen, rekening houdend met de stand van de techniek, uitvoeringskosten, context,.… ➢ Rekening houden met verwerkingsrisico’s (vernietiging, verlies, ongeoorloofde toegang,...) ➢ Pseudonimersering en versleuteling ➢ Vertrouwelijkheid, beschikbaarheid, integriteit + veerkracht systemen waarborgen ➢ Herstel na incident (fysiek-technisch) ➢ Testen, beoordelen en evalueren maatregelen ➢ Aansluiten bij goedgekeurde gedragscodes ➢ Toegang persoonsgegevens altijd onder gezag verwerkingsverantwoordelijke ( data controller ) ●
Datalekken in cijfers
De goedheid van de medewerker ● Medewerkers willen helpen en meestal heeft niemand hen duidelijk verteld wat ze wel of niet mogen doen. ● Dus als je vriendelijk vraagt : – Vertellen ze je alles wat je wil weten ; – Laten ze je overal binnen ; – En loggen ze nog voor je in ook ● Social Engineering ● Belangrijk: mensen bewust maken ! ● Maar ook : domheid, luiheid en je m’en fous
Weinig logische en fysieke beveiliging ● Ongeloofelijk waar je allemaal binnen kan wandelen en wat je kan meenemen. – Toegangscontrole is vaak een grapje of makkelijk te omzeilen. – Dossierkasten met bv personeelsgegevens worden niet afgesloten – Enz. ● PC’s zonder screenlocker ● Slecht beveiligde netwerkpoorten – In vergaderzalen, wachtruimtes, etc. – Onbewaakt, gepatched en je zit als bezoeker recht op het interne netwerk
Basis netwerk security ● Opdelen van het interne netwerk in verschillende logisch gescheiden onderdelen ( VLAN’s) – Belangrijk : management VLAN ● Ook controles tussen die vlan’s ! ● Slecht opgezette publiekswifi’s ● Interne WIFI’s met één WPA2-key! ● Tunnels – Openvpn / ssh – Teamviewers
Phising ● Iedereen denkt aan de standaard, in slecht Nederlands geschreven mail van een Oekraïnse schone die zegt dat je de man (m/v) van haar leven bent... – Makkelijk te ontdekken ● Maar: – Wat als ik nu eens een phish op maat van uw organisatie maak ? ● “Kortingsbon van Torfs” onderhandelt voor uw organisatie ● “Sinterklaas heeft een verrassing voor jou” ● “Wij werken aan de beveiliging en zouden graag willen dat u
Wachtwoorden / rollen / rechten ● Waarom, oh waarom gebruiken we nog altijd userid/wachtwoorden voor toegang tot onze systemen ? – Mensen gaan er slordig mee om ; – Kiezen altijd en overal hetzelfde wachtwoord ; – Geven het door ; – Laten het staan op het oorspronkelijke, voorspelbare wachtwoord – Etc. ● We hebben nog altijd verschillende wachtwoordsystemen ! ● Uitdienstprocedures – toegangen wissen als iemand vertrekt. ● -> We moeten naar 2 factor authenticatie
Leveranciers ● Vertrouwt u uw leverancier en heeft u er goeie afspraken mee ? – Bv. bij elke klant root-wachtwoord gebruiken dat hetzelfde gebleven en verwijst naar een calculator uit 1977. – Geen change management – Carte blanche altijd en overal – Geen geintegreerde software in de AD – Onvolwassen reacties op securitybugs ● “Alles is volgens onze interne security standaarden” – Geen updates, etc. – Gegevensverwerkingsovereenkomst ? Veiligheidsnorm ? – Dit geldt ook voor : ● Cloud ● Grote jongens ( Microsoft, etc.)
Traditionele antivirus werkt niet meer ● Traditionele, signature- based antivirus werkt niet meer... – Zie Cryptolocker epidemie – Komen vaak door 2 verschillende anti-virus engines ● Groot probleem ● Verschillende hoopvolle technologieën – e.g. Cylance
Degelijk systeembeheer ● Zelfs luidruchtige interne aanvallen worden nooit opgemerkt. ● IT’ers blussen branden maar doen nooit aan brandpreventie – Nood aan gestructureerde IT: ● Documentatie ● Opvolging ● Monitoring ● Logging – Meldingen ● Updates ● Correct gebruik maken van informatieveiligheidsconsulent en ISMS.
We hangen vanalles aan ons netwerk ● Internet-of-things ● De vraag is dit alles veilig en blijft het veilig ? ● Kan het misbruikt worden ? Is het voldoende geïsoleerd ? ● Vaak worden er ook onzinnige deuren opengezet om het toegankelijk te maken – Port forwardings
Wachttorens en paniekvoetbal ● Dirty Cow – Voorbeeld van getuigen-van- jehova-journalistiek ● “Het einde is nabij !” ● Paniek – Paniekvoetbal – Geen structurele oplossingen ● Grote FUD en propaganda – Android is onveilig ! Koop een Iphone !
Procedures
Dieper ingaan op : Audits ● Er zijn massa’s open source tools beschikbaar om mee te spelen en zelf veiligheid te testen. ● Zie presentatie : – https://www.slideshare.net/janguldentops/infosecurity be-2019-what-are-relevant-open-source-security-tools- you-should-know-and-use-today
Open Source Security Tools facilitators
I. SECURITY AUDITS, TESTING & FORENSICS 3
• Hindu goddess, destroyer of evil forces • = a Debian-based Linux distribution aimed at advanced Penetration Testing and Security Auditing. Kali contains several hundred tools aimed at various information security tasks, such as Penetration Testing, Forensics and Reverse Engineering. • The ideal place to start if you want to start using open source tools for auditing & forensic. • Used to be called backtrack • Just boot the distro and you have all your tools available. • A lot of tutorials available https://www.kali.org/ https://tools.kali.org/tools-listing KALI
How to use KALI (1) • Bootable usb • Live • Install • Use encrypted filesystems ! • vm • Virtualbox, KVM or vmware on your laptop. • @ cloud provider ideal for auditing the “outside” • E.g. Azure, Google Cloud, Hetzner, etc. KALI https://www.kali.org/ https://tools.kali.org/tools-listing
Advanced Kali use • Probe • We use a raspberry pi as an audit device. • PI3 + POE HAT/powerbank + external usbbased WIFI • +- 130€ • Leave it behind at customers : • Sets up a vpn, ssh or dns tunnel to our hq • We have all the tools available for wifi, network and other auditing. https://www.kali.org/ https://tools.kali.org/tools-listing KALI
• Information Gathering • ace-voip,Amap,APT2,arp-scan,Automater,bing-ip2hosts,braa,CaseFile,CDPSnarf,cisco-torch,copy-router- config,DMitry,dnmap,dnsenum,dnsmap,DNSRecon,dnstracer,dnswalk,DotDotPwn,enum4linux,enumIAX,EyeWitness,Faraday,Fierce,Firewalk,fragroute,fragrouter,Ghost Phisher,GoLismero,goofile,hping3,ident-user-enum,InSpy,InTrace,iSMTP,lbd,Maltego Teeth,masscan,Metagoofil,Miranda,nbtscan- unixwiz,Nikto,Nmap,ntop,OSRFramework,p0f,Parsero,Recon-ng,SET,SMBMap,smtp-user-enum,snmp-check,SPARTA,sslcaudit,SSLsplit,sslstrip,SSLyze,Sublist3r,THC- IPV6,theHarvester,TLSSLed,twofi,Unicornscan,URLCrazy,Wireshark,WOL-E,Xplico • Vulnerability Analysis • BBQSQL,BED,cisco-auditing-tool,cisco-global-exploiter,cisco-ocs,cisco-torch,copy-router-config,Doona,DotDotPwn,HexorBase,jSQL Injection,Lynis,Nmap,ohrwurm,openvas,Oscanner,Powerfuzzer,sfuzz,SidGuesser,SIPArmyKnife,sqlmap,Sqlninja,sqlsus,THC-IPV6,tnscmd10g,unix-privesc-check,Yersinia • Wireless Attacks • Airbase-ng,Aircrack-ng,Airdecap-ng and Airdecloak-ng,Aireplay-ng,airgraph-ng,Airmon-ng,Airodump-ng,airodump-ng-oui-update,Airolib-ng,Airserv-ng,Airtun-ng,Asleap,Besside- ng,Bluelog,BlueMaho,Bluepot,BlueRanger,Bluesnarfer,Bully,coWPAtty,crackle,eapmd5pass,Easside-ng,Fern Wifi Cracker,FreeRADIUS-WPE,Ghost Phisher,GISKismet,Gqrx,gr- scan,hostapd-wpe,ivstools,kalibrate-rtl,KillerBee,Kismet,makeivs-ng,mdk3,mfcuk,mfoc,mfterm,Multimon-NG,Packetforge-ng,PixieWPS,Pyrit,Reaver,redfang,RTLSDR Scanner,Spooftooph,Tkiptun-ng,Wesside-ng,Wifi Honey,wifiphisher,Wifitap,Wifite,wpaclean • Web Application Security • apache-users,Arachni,BBQSQL,BlindElephant,Burp Suite,CutyCapt,DAVTest,deblaze,DIRB,DirBuster,fimap,FunkLoad,Gobuster,Grabber,hURL,jboss-autopwn,joomscan,jSQL Injection,Maltego Teeth,Nikto,PadBuster,Paros,Parsero,plecost,Powerfuzzer,ProxyStrike,Recon-ng,Skipfish,sqlmap,Sqlninja,sqlsus,ua- tester,Uniscan,w3af,WebScarab,Webshag,WebSlayer,WebSploit,Wfuzz,WhatWeb,WPScan,XSSer,zaproxy • Exploitation tools • Armitage,Backdoor Factory,BeEF,cisco-auditing-tool,cisco-global-exploiter,cisco-ocs,cisco-torch,Commix,crackle,exploitdb,jboss-autopwn,Linux Exploit Suggester,Maltego Teeth,Metasploit Framework,MSFPC,RouterSploit,SET,ShellNoob,sqlmap,THC-IPV6,Yersinia • Stress testing • DHCPig,FunkLoad,iaxflood,Inundator,inviteflood,ipv6-toolkit,mdk3,Reaver,rtpflood,SlowHTTPTest,t50,Termineter,THC-IPV6,THC-SSL-DOS https://www.kali.org/ https://tools.kali.org/tools-listing KALI
• Forensic tools • Binwalk,bulk- extractor,Capstone,chntpw,Cuckoo,dc3dd,ddrescue,DFF,diStorm3,Dumpzilla,extundelete,Foremost,Galleta,Guymager,iPhone Backup Analyzer,p0f,pdf-parser,pdfid,pdgmail,peepdf,RegRipper,Volatility,Xplico • Sniffing & spoofing • bettercap,Burp Suite,DNSChef,fiked,hamster-sidejack,HexInject,iaxflood,inviteflood,iSMTP,isr- evilgrade,mitmproxy,ohrwurm,protos- sip,rebind,responder,rtpbreak,rtpinsertsound,rtpmixsound,sctpscan,SIPArmyKnife,SIPp,SIPVicious,SniffJoke,SSLsplit,sslstrip,TH C-IPV6,VoIPHopper,WebScarab,Wifi Honey,Wireshark,xspy,Yersinia,zaproxy • Password attacks • BruteSpray,Burp Suite,CeWL,chntpw,cisco-auditing-tool,CmosPwd,creddump,crowbar,crunch,findmyhash,gpp-decrypt,hash- identifier,Hashcat,HexorBase,THC-Hydra,John the Ripper,Johnny,keimpx,Maltego Teeth,Maskprocessor,multiforcer,Ncrack,oclgausscrack,ophcrack,PACK,patator,phrasendrescher,polenum,RainbowCrack,rcrac ki-mt,RSMangler,SecLists,SQLdict,Statsprocessor,THC-pptp-bruter,TrueCrack,WebScarab,wordlists,zaproxy • Maintaining Access • CryptCat,Cymothoa,dbd,dns2tcp,HTTPTunnel,Intersect,Nishang,polenum,PowerSploit,pwnat,RidEnum,sbd,shellter,U3- Pwn,Webshells,Weevely,Winexe • Reverse engineering • apktool,dex2jar,diStorm3,edb-debugger,jad,javasnoop,JD-GUI,OllyDbg,smali,Valgrind,YARA • Hardware hacking • android-sdk,apktool,Arduino,dex2jar,Sakis3G,smali • Reporting tools • CaseFile,cherrytree,CutyCapt,dos2unix,Dradis,MagicTree,Metagoofil,Nipper-ng,pipal,RDPY https://www.kali.org/ https://tools.kali.org/tools-listing KALI
NMAP •Nmap (Network Mapper) is a free and open source utility for network discovery and security auditing. •Many systems and network administrators also find it useful for tasks such as network inventory, managing service upgrade schedules, and monitoring host or service uptime. •Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics. •Nmap was designed to rapidly scan large networks, but works fine against single hosts. In addition to the classic command-line Nmap executable, the Nmap suite includes an advanced GUI and results viewer (Zenmap), a flexible data transfer, redirection, and debugging tool (Ncat), a utility for comparing scan results (Ndiff), and a packet generation and response analysis tool (Nping). •Nmap also has scripts that can detect network related issues. https://nmap.org/
NMAP •Nmap (Network Mapper) is a free and open source utility for network discovery and security auditing. •Many systems and network administrators also find it useful for tasks such as network inventory, managing service upgrade schedules, and monitoring host or service uptime. •Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics. •Nmap was designed to rapidly scan large networks, but works fine against single hosts. In addition to the classic command-line Nmap executable, the Nmap suite includes an advanced GUI and results viewer (Zenmap), a flexible data transfer, redirection, and debugging tool (Ncat), a utility for comparing scan results (Ndiff), and a packet generation and response analysis tool (Nping). •Nmap also has scripts that can detect network related issues. https://nmap.org/
Zenmap ttps://nmap.org/zenmap/
NMAP •Nmap (Network Mapper) is a free and open source utility for network discovery and security auditing. •Many systems and network administrators also find it useful for tasks such as network inventory, managing service upgrade schedules, and monitoring host or service uptime. •Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics. •Nmap was designed to rapidly scan large networks, but works fine against single hosts. In addition to the classic command-line Nmap executable, the Nmap suite includes an advanced GUI and results viewer (Zenmap), a flexible data transfer, redirection, and debugging tool (Ncat), a utility for comparing scan results (Ndiff), and a packet generation and response analysis tool (Nping). •Nmap also has scripts that can detect network related issues. https://nmap.org/
OPENVAS •Vulnerability scanner • Fork of the open source NESSUS tool that became commercial in 2005. • Nessus/Openvas is the most popular vulnerability scanner and third most popular security program currently in use. • Sits underneath a lot of commercial offerings : Greenbone, Acunetix, Alienvault, etc. •Uses a lot of tools (nmap, etc.) to check service and creates a clean report. https://www.tenable.com/products/nessus/nessus-professional http://www.openvas.org/
OPENVAS •Vulnerability scanner • Fork of the open source NESSUS tool that became commercial in 2005. • Nessus/Openvas is the most popular vulnerability scanner and third most popular security program currently in use. • Sits underneath a lot of commercial offerings : Greenbone, Acunetix, Alienvault, etc. •Uses a lot of tools (nmap, etc.) to check service and creates a clean report. https://www.tenable.com/products/nessus/nessus-professional http://www.openvas.org/
Business continuity ● Backups – Zorg dat je altijd een regelmatige backup van al je data hebt ● Ook cloud ! – Test af en toe je backups ● Wet van schrodinger voor backups : – Een backups is maar zo goed als zijn laatste suksesvolle restore ! ● Denk aan business continuity – Redundancy – Procedures – Denk na !
Mobiele toestellen
( Gebrek aan) Realisme ● There is no such thing as absolute security ● Plan for the worst ! ● Vroeg of laat heb je prijs ! ● Niemand is onfeilbaar ( behalve de paus)
Papieren tijgers !
Tijd om wakker te worden ● 2 voornaamste security producten zijn : – Gezond verstand – Structuur ● Iedereen heeft security problemen, niemand is onfeilbaar – Face it, get over it en ga aan de slag – Een securityprobleem hebben is geen schande, maar doe er iets mee ! ● Hard werk
Thank You Contact us 016/29.80.45 016/29.80.46 www.ba.be / Twitter: batweets Ubicenter MCSquare Philipssite 5B 3001 Leuven info@ba.be Twitter: JanGuldentops http://be.linkedin.com/in/janguldentops/

Recommandé

GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenGemeente Zwijndrecht
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenB.A.
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
GDPR for Nerders - OpenTechTalks Gent 2019
GDPR for Nerders - OpenTechTalks Gent 2019GDPR for Nerders - OpenTechTalks Gent 2019
GDPR for Nerders - OpenTechTalks Gent 2019Frank Louwers
 
Avg in de praktijk
Avg in de praktijkAvg in de praktijk
Avg in de praktijkJorgen Holzmann
 
Digitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboeteDigitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboetevalantic NL
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...AKD
 

Recommandé

GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenGemeente Zwijndrecht
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenB.A.
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016AKD
 
GDPR for Nerders - OpenTechTalks Gent 2019
GDPR for Nerders - OpenTechTalks Gent 2019GDPR for Nerders - OpenTechTalks Gent 2019
GDPR for Nerders - OpenTechTalks Gent 2019Frank Louwers
 
Avg in de praktijk
Avg in de praktijkAvg in de praktijk
Avg in de praktijkJorgen Holzmann
 
Digitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboeteDigitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboetevalantic NL
 
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...
Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia d...AKD
 
Nieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieNieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieCopernica BV
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015Bart Van Den Brande
 
Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Anna Willems
 
GDPR
GDPRGDPR
GDPROut Of Use
 
9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet WetenAnn Wuyts
 
Kneppelhout
KneppelhoutKneppelhout
Kneppelhoutwebwinkelvakdag
 
De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017HOlink
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Robbert Hoendervanger ✓
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceB.A.
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
Businessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRBusinessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRMarketing Team
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
 
BLIS AVG Kennissessie
BLIS AVG Kennissessie BLIS AVG Kennissessie
BLIS AVG Kennissessie Suzanne Bruseker
 
Gdpr
GdprGdpr
GdprOut Of Use
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
Nederland ict def
Nederland ict defNederland ict def
Nederland ict defschermerbw
 
20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketingBart Van Den Brande
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoIkinnoveer
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
Gegevensbescherming makelaars
Gegevensbescherming makelaarsGegevensbescherming makelaars
Gegevensbescherming makelaarsTommy Vandepitte
 

Contenu connexe

Tendances

Nieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieNieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieCopernica BV
 
Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Anna Willems
 
9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet WetenAnn Wuyts
 
De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017HOlink
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD
 

Tendances (9)

Nieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieNieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatie
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015
 
Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.
 
GDPR
GDPRGDPR
GDPR
 
9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten9 Dingen Die Je Over Privacy Moet Weten
9 Dingen Die Je Over Privacy Moet Weten
 
Kneppelhout
KneppelhoutKneppelhout
Kneppelhout
 
De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVG
 

Similaire à Verhalen uit de loopgraven - Workshop Security & privacy

USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRGuyVanderSande
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceB.A.
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018Andre Cardinaal
 
Businessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRBusinessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRMarketing Team
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie validFlevum
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
Nederland ict def
Nederland ict defNederland ict def
Nederland ict defschermerbw
 
20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketingBart Van Den Brande
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoIkinnoveer
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
Gegevensbescherming makelaars
Gegevensbescherming makelaarsGegevensbescherming makelaars
Gegevensbescherming makelaarsTommy Vandepitte
 
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgGDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgBart Van Den Brande
 
Wet en regelgeving flexbranche www.uitzendrecht.tips
Wet en regelgeving flexbranche www.uitzendrecht.tipsWet en regelgeving flexbranche www.uitzendrecht.tips
Wet en regelgeving flexbranche www.uitzendrecht.tips🚀 Daniël Maats
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingSuprida
 

Similaire à Verhalen uit de loopgraven - Workshop Security & privacy (20)

USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
 
AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018AVG in de praktijk - 26 juni 2018
AVG in de praktijk - 26 juni 2018
 
Businessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPRBusinessday okt 2016 - Cranium: GDPR
Businessday okt 2016 - Cranium: GDPR
 
171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid171031 fex - op tijd compliant met gdpr - presentatie valid
171031 fex - op tijd compliant met gdpr - presentatie valid
 
BLIS AVG Kennissessie
BLIS AVG Kennissessie BLIS AVG Kennissessie
BLIS AVG Kennissessie
 
Gdpr
GdprGdpr
Gdpr
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
 
Nederland ict def
Nederland ict defNederland ict def
Nederland ict def
 
20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing
 
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmoWebinar 20180118 GDPR: Kader en praktijk voor de kmo
Webinar 20180118 GDPR: Kader en praktijk voor de kmo
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 
Gegevensbescherming makelaars
Gegevensbescherming makelaarsGegevensbescherming makelaars
Gegevensbescherming makelaars
 
Big data en privacy
Big data en privacyBig data en privacy
Big data en privacy
 
Iir big data
Iir big dataIir big data
Iir big data
 
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgGDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
 
Wet en regelgeving flexbranche www.uitzendrecht.tips
Wet en regelgeving flexbranche www.uitzendrecht.tipsWet en regelgeving flexbranche www.uitzendrecht.tips
Wet en regelgeving flexbranche www.uitzendrecht.tips
 
Permission Marketing
Permission MarketingPermission Marketing
Permission Marketing
 
Uw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkelingUw Persoonsgegevens tijdens systeemontwikkeling
Uw Persoonsgegevens tijdens systeemontwikkeling
 

Plus de B.A.

GDPR one year in: Observations
GDPR one year in: ObservationsGDPR one year in: Observations
GDPR one year in: ObservationsB.A.
 
Multicloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuurMulticloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuurB.A.
 
Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ? Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ? B.A.
 
BC, DR & SLA's
BC, DR & SLA'sBC, DR & SLA's
BC, DR & SLA'sB.A.
 
Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...B.A.
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenB.A.
 
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginnersBelgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginnersB.A.
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurB.A.
 
Business Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductieBusiness Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductieB.A.
 
Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learned Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learnedB.A.
 
Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )B.A.
 
Storage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveatsStorage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveatsB.A.
 
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesDe verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesB.A.
 
Random thoughts on security
Random thoughts on securityRandom thoughts on security
Random thoughts on securityB.A.
 
Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source B.A.
 
Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"B.A.
 
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...B.A.
 
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014B.A.
 
ICT & Gezond verstand
ICT & Gezond verstandICT & Gezond verstand
ICT & Gezond verstandB.A.
 
Social media security
Social media securitySocial media security
Social media securityB.A.
 

Plus de B.A. (20)

GDPR one year in: Observations
GDPR one year in: ObservationsGDPR one year in: Observations
GDPR one year in: Observations
 
Multicloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuurMulticloud - Nadenken over een polynimbus infrastructuur
Multicloud - Nadenken over een polynimbus infrastructuur
 
Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ? Werken aan je (digitale) toekomst ?
Werken aan je (digitale) toekomst ?
 
BC, DR & SLA's
BC, DR & SLA'sBC, DR & SLA's
BC, DR & SLA's
 
Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...Infosecurity.be 2019: What are relevant open source security tools you should...
Infosecurity.be 2019: What are relevant open source security tools you should...
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgraven
 
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginnersBelgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
Belgium 101 - Snelle cursus zakendoen in België voor (Nederlandse) beginners
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseur
 
Business Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductieBusiness Continuity & Disaster Recovery introductie
Business Continuity & Disaster Recovery introductie
 
Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learned Hit by a Cyberattack: lesson learned
Hit by a Cyberattack: lesson learned
 
Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )Presentatie Proactieve Monitoring ( BA Monitoring )
Presentatie Proactieve Monitoring ( BA Monitoring )
 
Storage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveatsStorage: trends, oplossingen, caveats
Storage: trends, oplossingen, caveats
 
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesDe verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
 
Random thoughts on security
Random thoughts on securityRandom thoughts on security
Random thoughts on security
 
Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source Proactive monitoring tools or services - Open Source
Proactive monitoring tools or services - Open Source
 
Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"Zarafa Tour 2014: "Where Zarafa can make a difference"
Zarafa Tour 2014: "Where Zarafa can make a difference"
 
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
INFORUM - VEILIGHEIDSPROBLEMEN VOOR BIBLIOTHEEK EN ARCHIEF IN HET DIGITALE TI...
 
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
Veiliger door gezond verstand - Presentatie Safe@schools 27 mei 2014
 
ICT & Gezond verstand
ICT & Gezond verstandICT & Gezond verstand
ICT & Gezond verstand
 
Social media security
Social media securitySocial media security
Social media security
 

Verhalen uit de loopgraven - Workshop Security & privacy

  • 1. Verhalen uit de loopgraven Workshop Security & Privacy – AP 27 maart 2019 Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )
  • 2. Wie ben ik ?  Jan Guldentops (°1973)  Dit jaar bouw ik 25 jaar server en netwerk infrastructuren  Oprichter Better Access (°1996) en BA (°2003)  Open Source Fundamentalist (na mijn uren)  Sterke praktische achtergrond op het vlak van ICT beveiliging ➢ Ben toevalling terechtgekomen in de securitywereld ➢ Documenteerde in 1996 de securityproblemen in de eerste Belgische internetbank ( Beroepskrediet / Belgium Offline) ➢ Plotseling ben je security expert  “Gecertificieerd” DPO en informatieveiligheidsconsulent  R&D (vooral security)
  • 3.
  • 5. Wat is informatieveiligheid ?  Beschermen van informatie en informatiesystemen tegen :  Ongeautoriseerde toegang / gebruik / bekendmaking  Integriteit van die gegevens  Beschikbaarheid / verlies van gegevens of systemen  Kortom : Garanderen van CIA  Confidentiality  Integrity  Availibility
  • 6. Moeilijk evenwicht ● Moeilijke (soms onmogelijke) balans tussen : ● veiligheid ● functionaliteit ● gebruikersgemak ● budget
  • 7. Waarom aandacht besteden aan informatieveiligheid? Maar ook andere redenen : – PCI DSS ( credit cards ) – ISO 27000 – Nen – Contractuele afspraken met klanten – VTC, KSZ, etc. GDPR  Mei 2018  Wet met tanden ! − Boeteclausules( 4% turnover tot € 20.000.000) − Meldingsplicht binnen 72 uur! − DPO − Etc.
  • 9. Waarom GDPR? (2)  “Verloren” persoonsgegevens 15.000 Klanten hun gegevens door gebruik productiedata in testsysteem − Gegevens van 700.000 klanten ( geboortedatum, gsm, telefoonnummer, etc.) − Konden zelfs niet vertellen wat er aan de hand was! − Gegevens van 70.000.000 klanten − Exit security officer, CIO & CEO − 19GB aan klantendata − Josh Duggar
  • 10. Niks nieuws onder de zon ➢ Bescherming van persoonsgegevens bestaat in België al sinds 1992 ( 25 jaar !) ➢ Strenger, duidelijker geworden ➢ Vooral toevoegen boeteclausules ➢ Informatieveiligheidsindustrie werkt al jaren volgens dezelfde principes ➢ ISO27000, Cobit, etc. ➢ Vereisten van GDPR zijn eigenlijk best practices ➢ Inventaris ➢ Nadenken over security ➢ Etc. ➢ Er is heel veel bangmakerij – Het nieuwe Y2K – Opportuniteit voor advocaten, IT-bedrijven en security-consultants en consultants – De wereld is niet vergaan op 25 mei 2018
  • 12. Doelstellingen van GDPR ➢ Persoonsgegevens beter beschermen ➢ Inventaris ➢ Degelijk register ➢ Goeie backups ➢ DPO ➢ Meldplicht bij datalekken ➢ Etc. ➢ Meer rechten aan de burgers geven ➢ Duidelijke afspraken ➢ Inzage- en verbeterrecht ➢ Right-to-be-forgotten ➢ Data-overdracht
  • 13. Persoonsgegevens ➢ Persoonsgegevens zijn alle gegevens die betrekking hebben op een persoon die rechtstreeks of onrechtstreeks geïdentificeerd wordt of kan worden. Dus : ➢ de naam van een persoon ➢ een foto ➢ een telefoonnummer (zelfs een telefoonnummer op het werk) ➢ een code ➢ een bankrekeningnummer ➢ een e-mailadres ➢ een vingerafdruk of andere biometrische gegevens ➢ adressen ➢ leeftijd ➢ gezinssituatie ➢ nummerplaat ➢ Strafregister ➢ DNA ➢ Enz.
  • 14. Belangrijke bijkomende vraag ➢ Verwerkt u gevoelige informatie, dit wil zeggen informatie over : ➢ Ras ➢ Politieke opvattingen ➢ Religie ➢ Biometrische gegevens ➢ Genetische gegevens ➢ Gezondheid ➢ Seksuele geaardheid ➢ Strafrechterlijke vervolgingen ➢ Bent u een overheidsorganisatie ?
  • 15. Wat is informatie ? ➢ Een set gegevens die zodanig bijeen zijn gebracht en worden voorgesteld zodat er betekenis of waarde aan kan worden toegekend. ➢ Gestructureerd ➢ Logisch ➢ Betekenisvol ➢ Te gebruiken in een context ➢ Waarde ➢ Kan in vele vormen : ➢ Papier ( ook geschreven ) ➢ Electronisch ➢ Mondeling ➢ Fysieke media ➢ Kennis
  • 16. Eenvoudig stappenplan ➢ Privacycomissie : ➢ https://www.privacycom mission.be/sites/privacyc ommission/files/docume nts/STAPPENPLAN%20NL %20-%20V2.pdf
  • 17. Nog uitgebreider ● Voor KMO’s – https://gdpr- dossier.org/wp- content/uploads/2018/ 03/KMO_NL.pdf
  • 18. Nog beter: Het grote GDPR boek ● https://gdpr.groupjoos .com/assets/downloa ds/Het%20grote %20GDPR %20handboek.pdf
  • 19.
  • 20. 13 + 1 stappen ➢ Bewustmaking ➢ Dataregister ➢ Communicatie ➢ Rechten van de betrokkene ➢ Verzoek tot toegang ➢ Wettelijke grondslag verwerking persoonsgegevens ➢ Toestemming ➢ Kinderen ➢ Datalekken ➢ Privacy by design en PIA ➢ Functionaris voor gegevensverwerking (DPO ) ➢ Internationaal ➢ Bestaande contracten ➢ Beveiligen van persoonsgegevens
  • 21. 1. Bewustmaking ➢ “Informeer sleutelfiguren en beleidsmakers van de aankomende veranderingen. Zij moeten inschatten welke gevolgen de AVG zal hebben voor het bedrijf of de organisatie. “ ➢ Awareness doorheen het hele bedrijf : ➢ Top tot bodem ➢ “Vis rot van de kop” - nood aan een management-buyin ➢ Mensen zijn de zwakste schakel ➢ Ook voor de leveranciers ➢ Zeker doen : ➢ Geef bijvoorbeeld een awareness training ➢ Moet geregeld op de management agenda komen ➢ Controleer je leveranciers, maak goeie afspraken ➢ Maar : ➢ kijk ook verder dan GDPR. ➢ Zijn er nog andere wettelijke vereisten ? Afspraken met klanten ? ➢ Verkoop het als een opportuniteit, niet als een verplicht nummer !
  • 22. 2. Dataregister ➢ “ Breng in kaart welke persoonsgegevens je bijhoudt, waar deze vandaan komen en met wie je deze hebt gedeeld. Registreer je verwerkingen. Mogelijks dien je hiervoor een informatie-audit te organiseren” ➢ Welke persoonsgegevens hou je bij en waar komen deze vandaan ? ➢ Waar worden deze allemaal gebruikt en verwerkt ? ➢ Waar worden ze opgeslagen ( toestel, plaats, applicatie) ➢ Deel je ze met andere partijen ? ➢ Zijn ze versleuteld ? ➢ Informatie-audit ➢ Moet voor alle verwerkingen die niet-incidentieel zijn ➢ Geldt voor verantwoordelijke ( controllers ) als verwerkers ( processors ) ➢ Belangrijk : ➢ Documentatie ( een dataregister ) ● Er is geen vast model voor het register, zolang het schriftelijk, electronisch en begrijpelijk is... ➢ Hoeft geen applicatie te zijn, kan bijvoorbeeld ook een rekenblad zijn. ➢ Vb. Unizo ➢ Vervangt aangifte die je vroeger bij de privacycommissie moest doen. ➢ Wat men wil bereiken is accountability ! ● Verantwoordingsplicht ●
  • 23. 3. Communicatie van privacy informatie ➢ Duidelijk en transparant communiceren over : ➢ Wat de wettelijke basis is voor het verwerken van de gegevens ➢ Hoe lang je de gegevens gaat bijhouden ( data retentie ) ➢ En vermelden wat de rechten van het individu ( data subject of burger) zijn. ➢ Nadruk op duidelijk en transparant ➢ Moet duidelijk in de privacy policy op je website staan, privacy notice bij verwerking en je verkoopsvoorwaarden. ➢ Verschil rechtstreekse / onrechtstreekse inzameling
  • 24. 4. Rechten van de betrokkene (aka data subject of individu)➢ Recht van informatie ➢ Recht van inzage ➢ Recht van correctie ➢ Recht van verwijdering ( right-to-be-forgotten) ➢ Recht op beperking ➢ Recht op overdraagbaarheid van gegevens ➢ Recht op bezwaar ➢ Geautomatiseerde besluitvorming / profilering
  • 25. 5. Verzoek tot toegang ➢“Update je bestaande toegangsprocedures en bedenk hoe je verzoeken tot toegang voortaan zal behandelen onder de nieuwe termijnen in de AVG.” ➢ Wettelijk moet je kostenloos en binnen de 30 dagen kunnen reageren op de vragen van de betrokkenen ➢ Kan enkel als je hier klaar voor bent ➢ Nood aan : ➢ Data register ➢ Procedures ➢ Automatisering ? Webformulier ? Etc.
  • 26. 6. Wettelijke grondslag verwerking persoonsgegevens ➢ Toestemming van de betrokken persoon. ➢ De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. ➢ De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. ➢ Bv bevel van politie, belastingen,BTW,etc. ➢ Maar: verantwoordingsplicht ➢ De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. – essentieel is voor iemands leven of gezondheid ➢ De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. ➢ Vervulling van een openbare taak ➢ De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. – Maar hou rekening met proportionaliteit en subsidiariteit ● Dus: noodzakelijk zijn en in verhouding tot het doel !
  • 27. 7. Toestemming ➢ Evalueer de wijze waarop je toestemming vraagt, verkrijgt en registreert, en wijzig waar nodig. ➢ Als je geen wettelijke basis hebt voor verwerking moet je toestemming / consent vragen aan het individu ➢ Moeilijkheid / opportuniteit ➢ Transparant en eenduidig ➢ Bewijslast ligt bij jou ! ( dus moet bewaard worden) ➢ Opt-in ipv opt-out ➢ Expliciete toestemming
  • 28. 8. Kinderen ➢ “Ontwikkel systemen die de leeftijd van de betrokkene nagaan en ouder(s) of voogd(en) expliciet om toestemming vragen voor de gegevensverwerking van minderjarige kinderen. “ ➢ Je mag geen gegevens van kinderen verwerken zonder toestemming van de ouders/voogd. ➢ Dus controleer je de leeftijd van individuen ➢ Heb je een procedure om ouders / voogd toestemming te vragen ? ➢ Staat er in je privacy policy een leeftijdsbeperking ? ➢ Is die begrijpbaar voor kinderen ?
  • 29. 9. Datalekken ➢ Voorzie adequate procedures om persoonlijke datalekken op te sporen, te rapporteren en te onderzoeken. ➢ Niet enkel om ze op te sporen, ook om ze te voorkomen. Er zijn immers minimale veiligheidsvereisten ! ( hebben we het volgende keer over ) ➢ Zowel qua business continuity ( Backups en zo) als veiligheid ! ➢ Maar je moet ze opsporen en rapporteren ➢ Logging, rapporting ➢ Register van lekken en problemen ! ➢ En als er data gelekt of verloren gegaan is, moet dit gemeld worden binnen de 72 uur aan het individu en de regulator ! ➢ Niet eenvoudig ➢ Zorg dat de procedures en de communicatie klaar ligt !
  • 30. 10. Privacy by Design / PIA ➢ “Maak je vertrouwd met de begrippen “gegevensbescherming door ontwerp” en “gegevensbeschermingseffectbeoordeling” en ga na hoe je deze concepten in de werking van jouw bedrijf of organisatie kan implementeren. ➢ Bij alles wat je doet hou je vanaf het eerste moment rekening met privacy en security. ➢ Belangrijk hierbij is ook privacy by default ➢ Analyseren wat de privacy-risico’s van een project, procedure, stuk software of iets anders is, heet een privacy impact assessment.
  • 31. 11. DPO ➢ “Duid, indien nodig, een functionaris voor gegevensbescherming aan, of iemand die de verantwoordelijkheid draagt voor het naleven van de databeschermingsregels. Beoordeel welke plaats deze inneemt binnen de structuur en het beleid van jouw bedrijf of organisatie.” ➢ DPO = Data Protection Officer ➢ > 250 werknemers ➢ Of Publieke overheid ➢ Of verwerker van gevoelige informatie (cfr. Infra) ➢ Of regelmatig en stelselmatig observeren van betrokkenen op grote schaal ➢ Beschermd statuut : moet beschermd zijn om te kunnen werken en rechtstreeks rapporteren aan het management-comité ➢ Dit is een risico ! ➢ Volgt de verwerking en opslag van persoonsgegevens op. ➢ Rapporteert bij lekken ➢ Kan een extern persoon zijn ➢ Uitzondering maar maak iemand verantwoordelijk, noem hem gewoon geen DPO…
  • 32. 12. Internationaal ➢ Is je bedrijf internationaal actief dan val je onder de toezichtshouder van de hoofdvestiging. ➢ Pas ook op met het opslaan, exporteren van persoonsgegevens buiten de EU ➢ Maar: de grote cloudjongens zijn hier al oplossingen beginnen rond bouwen ➢ Microsoft ➢ Google
  • 33. 13. Bestaande contracten ➢ “Beoordeel je bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng tijdig de noodzakelijke veranderingen aan.” ➢ Herzie je overeenkomsten ➢ Dit geldt ook met je klanten ! ➢ Ga een goeie verwerkingsovereenkomst met duidelijke afspraken aan met je leveranciers. ➢ Belangrijk zijn meldingsplicht, SLA’s minimale veiligheidsvereisten, etc. ➢ Geen papieren tijgers ! Duidelijke afspraken.
  • 34. Beveiligen van persoonsgegevens ➢ Totnogtoe heel theoretisch en vooral ook organisatorisch ➢ Veel ICT/security-bedrijven die je iets proberen te verkopen voor GDPR ➢ Waar moet je nu zelf op letten ? Wat moet je minimaal hebben ? ➢ Quid cloud ? ➢ Doel van vandaag is niet dat jullie experts worden op het vlak van antivirus, firewalls, etc. Wel dat jullie ICT en/of ICT partners kunnen aansturen.
  • 35. Artikel 32 ( passende beveiliging) ➢1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: ➢ a. de pseudonimisering en versleuteling van persoonsgegevens; ➢ b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwer-kingssystemen en diensten te garanderen: ➢ c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;- ➢ d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. ➢2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsri-sico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoor-loofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. ➢3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsme-chanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd. ➢4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierech-telijk of lidstaatrechtelijk is gehouden.
  • 36. Eenvoudiger Artikel 32 ● ➢ PASSENDE BEVEILIGING PERSOONSGEGEVENS VOORZIEN ➢ Passende technische en organisatorische maatregelen nemen, rekening houdend met de stand van de techniek, uitvoeringskosten, context,.… ➢ Rekening houden met verwerkingsrisico’s (vernietiging, verlies, ongeoorloofde toegang,...) ➢ Pseudonimersering en versleuteling ➢ Vertrouwelijkheid, beschikbaarheid, integriteit + veerkracht systemen waarborgen ➢ Herstel na incident (fysiek-technisch) ➢ Testen, beoordelen en evalueren maatregelen ➢ Aansluiten bij goedgekeurde gedragscodes ➢ Toegang persoonsgegevens altijd onder gezag verwerkingsverantwoordelijke ( data controller ) ●
  • 38. De goedheid van de medewerker ● Medewerkers willen helpen en meestal heeft niemand hen duidelijk verteld wat ze wel of niet mogen doen. ● Dus als je vriendelijk vraagt : – Vertellen ze je alles wat je wil weten ; – Laten ze je overal binnen ; – En loggen ze nog voor je in ook ● Social Engineering ● Belangrijk: mensen bewust maken ! ● Maar ook : domheid, luiheid en je m’en fous
  • 39. Weinig logische en fysieke beveiliging ● Ongeloofelijk waar je allemaal binnen kan wandelen en wat je kan meenemen. – Toegangscontrole is vaak een grapje of makkelijk te omzeilen. – Dossierkasten met bv personeelsgegevens worden niet afgesloten – Enz. ● PC’s zonder screenlocker ● Slecht beveiligde netwerkpoorten – In vergaderzalen, wachtruimtes, etc. – Onbewaakt, gepatched en je zit als bezoeker recht op het interne netwerk
  • 40. Basis netwerk security ● Opdelen van het interne netwerk in verschillende logisch gescheiden onderdelen ( VLAN’s) – Belangrijk : management VLAN ● Ook controles tussen die vlan’s ! ● Slecht opgezette publiekswifi’s ● Interne WIFI’s met één WPA2-key! ● Tunnels – Openvpn / ssh – Teamviewers
  • 41. Phising ● Iedereen denkt aan de standaard, in slecht Nederlands geschreven mail van een Oekraïnse schone die zegt dat je de man (m/v) van haar leven bent... – Makkelijk te ontdekken ● Maar: – Wat als ik nu eens een phish op maat van uw organisatie maak ? ● “Kortingsbon van Torfs” onderhandelt voor uw organisatie ● “Sinterklaas heeft een verrassing voor jou” ● “Wij werken aan de beveiliging en zouden graag willen dat u
  • 42.
  • 43. Wachtwoorden / rollen / rechten ● Waarom, oh waarom gebruiken we nog altijd userid/wachtwoorden voor toegang tot onze systemen ? – Mensen gaan er slordig mee om ; – Kiezen altijd en overal hetzelfde wachtwoord ; – Geven het door ; – Laten het staan op het oorspronkelijke, voorspelbare wachtwoord – Etc. ● We hebben nog altijd verschillende wachtwoordsystemen ! ● Uitdienstprocedures – toegangen wissen als iemand vertrekt. ● -> We moeten naar 2 factor authenticatie
  • 44. Leveranciers ● Vertrouwt u uw leverancier en heeft u er goeie afspraken mee ? – Bv. bij elke klant root-wachtwoord gebruiken dat hetzelfde gebleven en verwijst naar een calculator uit 1977. – Geen change management – Carte blanche altijd en overal – Geen geintegreerde software in de AD – Onvolwassen reacties op securitybugs ● “Alles is volgens onze interne security standaarden” – Geen updates, etc. – Gegevensverwerkingsovereenkomst ? Veiligheidsnorm ? – Dit geldt ook voor : ● Cloud ● Grote jongens ( Microsoft, etc.)
  • 45. Traditionele antivirus werkt niet meer ● Traditionele, signature- based antivirus werkt niet meer... – Zie Cryptolocker epidemie – Komen vaak door 2 verschillende anti-virus engines ● Groot probleem ● Verschillende hoopvolle technologieën – e.g. Cylance
  • 46. Degelijk systeembeheer ● Zelfs luidruchtige interne aanvallen worden nooit opgemerkt. ● IT’ers blussen branden maar doen nooit aan brandpreventie – Nood aan gestructureerde IT: ● Documentatie ● Opvolging ● Monitoring ● Logging – Meldingen ● Updates ● Correct gebruik maken van informatieveiligheidsconsulent en ISMS.
  • 47. We hangen vanalles aan ons netwerk ● Internet-of-things ● De vraag is dit alles veilig en blijft het veilig ? ● Kan het misbruikt worden ? Is het voldoende geïsoleerd ? ● Vaak worden er ook onzinnige deuren opengezet om het toegankelijk te maken – Port forwardings
  • 48. Wachttorens en paniekvoetbal ● Dirty Cow – Voorbeeld van getuigen-van- jehova-journalistiek ● “Het einde is nabij !” ● Paniek – Paniekvoetbal – Geen structurele oplossingen ● Grote FUD en propaganda – Android is onveilig ! Koop een Iphone !
  • 50. Dieper ingaan op : Audits ● Er zijn massa’s open source tools beschikbaar om mee te spelen en zelf veiligheid te testen. ● Zie presentatie : – https://www.slideshare.net/janguldentops/infosecurity be-2019-what-are-relevant-open-source-security-tools- you-should-know-and-use-today
  • 51. Open Source Security Tools facilitators
  • 52. I. SECURITY AUDITS, TESTING & FORENSICS 3
  • 53. • Hindu goddess, destroyer of evil forces • = a Debian-based Linux distribution aimed at advanced Penetration Testing and Security Auditing. Kali contains several hundred tools aimed at various information security tasks, such as Penetration Testing, Forensics and Reverse Engineering. • The ideal place to start if you want to start using open source tools for auditing & forensic. • Used to be called backtrack • Just boot the distro and you have all your tools available. • A lot of tutorials available https://www.kali.org/ https://tools.kali.org/tools-listing KALI
  • 54. How to use KALI (1) • Bootable usb • Live • Install • Use encrypted filesystems ! • vm • Virtualbox, KVM or vmware on your laptop. • @ cloud provider ideal for auditing the “outside” • E.g. Azure, Google Cloud, Hetzner, etc. KALI https://www.kali.org/ https://tools.kali.org/tools-listing
  • 55. Advanced Kali use • Probe • We use a raspberry pi as an audit device. • PI3 + POE HAT/powerbank + external usbbased WIFI • +- 130€ • Leave it behind at customers : • Sets up a vpn, ssh or dns tunnel to our hq • We have all the tools available for wifi, network and other auditing. https://www.kali.org/ https://tools.kali.org/tools-listing KALI
  • 56. • Information Gathering • ace-voip,Amap,APT2,arp-scan,Automater,bing-ip2hosts,braa,CaseFile,CDPSnarf,cisco-torch,copy-router- config,DMitry,dnmap,dnsenum,dnsmap,DNSRecon,dnstracer,dnswalk,DotDotPwn,enum4linux,enumIAX,EyeWitness,Faraday,Fierce,Firewalk,fragroute,fragrouter,Ghost Phisher,GoLismero,goofile,hping3,ident-user-enum,InSpy,InTrace,iSMTP,lbd,Maltego Teeth,masscan,Metagoofil,Miranda,nbtscan- unixwiz,Nikto,Nmap,ntop,OSRFramework,p0f,Parsero,Recon-ng,SET,SMBMap,smtp-user-enum,snmp-check,SPARTA,sslcaudit,SSLsplit,sslstrip,SSLyze,Sublist3r,THC- IPV6,theHarvester,TLSSLed,twofi,Unicornscan,URLCrazy,Wireshark,WOL-E,Xplico • Vulnerability Analysis • BBQSQL,BED,cisco-auditing-tool,cisco-global-exploiter,cisco-ocs,cisco-torch,copy-router-config,Doona,DotDotPwn,HexorBase,jSQL Injection,Lynis,Nmap,ohrwurm,openvas,Oscanner,Powerfuzzer,sfuzz,SidGuesser,SIPArmyKnife,sqlmap,Sqlninja,sqlsus,THC-IPV6,tnscmd10g,unix-privesc-check,Yersinia • Wireless Attacks • Airbase-ng,Aircrack-ng,Airdecap-ng and Airdecloak-ng,Aireplay-ng,airgraph-ng,Airmon-ng,Airodump-ng,airodump-ng-oui-update,Airolib-ng,Airserv-ng,Airtun-ng,Asleap,Besside- ng,Bluelog,BlueMaho,Bluepot,BlueRanger,Bluesnarfer,Bully,coWPAtty,crackle,eapmd5pass,Easside-ng,Fern Wifi Cracker,FreeRADIUS-WPE,Ghost Phisher,GISKismet,Gqrx,gr- scan,hostapd-wpe,ivstools,kalibrate-rtl,KillerBee,Kismet,makeivs-ng,mdk3,mfcuk,mfoc,mfterm,Multimon-NG,Packetforge-ng,PixieWPS,Pyrit,Reaver,redfang,RTLSDR Scanner,Spooftooph,Tkiptun-ng,Wesside-ng,Wifi Honey,wifiphisher,Wifitap,Wifite,wpaclean • Web Application Security • apache-users,Arachni,BBQSQL,BlindElephant,Burp Suite,CutyCapt,DAVTest,deblaze,DIRB,DirBuster,fimap,FunkLoad,Gobuster,Grabber,hURL,jboss-autopwn,joomscan,jSQL Injection,Maltego Teeth,Nikto,PadBuster,Paros,Parsero,plecost,Powerfuzzer,ProxyStrike,Recon-ng,Skipfish,sqlmap,Sqlninja,sqlsus,ua- tester,Uniscan,w3af,WebScarab,Webshag,WebSlayer,WebSploit,Wfuzz,WhatWeb,WPScan,XSSer,zaproxy • Exploitation tools • Armitage,Backdoor Factory,BeEF,cisco-auditing-tool,cisco-global-exploiter,cisco-ocs,cisco-torch,Commix,crackle,exploitdb,jboss-autopwn,Linux Exploit Suggester,Maltego Teeth,Metasploit Framework,MSFPC,RouterSploit,SET,ShellNoob,sqlmap,THC-IPV6,Yersinia • Stress testing • DHCPig,FunkLoad,iaxflood,Inundator,inviteflood,ipv6-toolkit,mdk3,Reaver,rtpflood,SlowHTTPTest,t50,Termineter,THC-IPV6,THC-SSL-DOS https://www.kali.org/ https://tools.kali.org/tools-listing KALI
  • 57. • Forensic tools • Binwalk,bulk- extractor,Capstone,chntpw,Cuckoo,dc3dd,ddrescue,DFF,diStorm3,Dumpzilla,extundelete,Foremost,Galleta,Guymager,iPhone Backup Analyzer,p0f,pdf-parser,pdfid,pdgmail,peepdf,RegRipper,Volatility,Xplico • Sniffing & spoofing • bettercap,Burp Suite,DNSChef,fiked,hamster-sidejack,HexInject,iaxflood,inviteflood,iSMTP,isr- evilgrade,mitmproxy,ohrwurm,protos- sip,rebind,responder,rtpbreak,rtpinsertsound,rtpmixsound,sctpscan,SIPArmyKnife,SIPp,SIPVicious,SniffJoke,SSLsplit,sslstrip,TH C-IPV6,VoIPHopper,WebScarab,Wifi Honey,Wireshark,xspy,Yersinia,zaproxy • Password attacks • BruteSpray,Burp Suite,CeWL,chntpw,cisco-auditing-tool,CmosPwd,creddump,crowbar,crunch,findmyhash,gpp-decrypt,hash- identifier,Hashcat,HexorBase,THC-Hydra,John the Ripper,Johnny,keimpx,Maltego Teeth,Maskprocessor,multiforcer,Ncrack,oclgausscrack,ophcrack,PACK,patator,phrasendrescher,polenum,RainbowCrack,rcrac ki-mt,RSMangler,SecLists,SQLdict,Statsprocessor,THC-pptp-bruter,TrueCrack,WebScarab,wordlists,zaproxy • Maintaining Access • CryptCat,Cymothoa,dbd,dns2tcp,HTTPTunnel,Intersect,Nishang,polenum,PowerSploit,pwnat,RidEnum,sbd,shellter,U3- Pwn,Webshells,Weevely,Winexe • Reverse engineering • apktool,dex2jar,diStorm3,edb-debugger,jad,javasnoop,JD-GUI,OllyDbg,smali,Valgrind,YARA • Hardware hacking • android-sdk,apktool,Arduino,dex2jar,Sakis3G,smali • Reporting tools • CaseFile,cherrytree,CutyCapt,dos2unix,Dradis,MagicTree,Metagoofil,Nipper-ng,pipal,RDPY https://www.kali.org/ https://tools.kali.org/tools-listing KALI
  • 58. NMAP •Nmap (Network Mapper) is a free and open source utility for network discovery and security auditing. •Many systems and network administrators also find it useful for tasks such as network inventory, managing service upgrade schedules, and monitoring host or service uptime. •Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics. •Nmap was designed to rapidly scan large networks, but works fine against single hosts. In addition to the classic command-line Nmap executable, the Nmap suite includes an advanced GUI and results viewer (Zenmap), a flexible data transfer, redirection, and debugging tool (Ncat), a utility for comparing scan results (Ndiff), and a packet generation and response analysis tool (Nping). •Nmap also has scripts that can detect network related issues. https://nmap.org/
  • 59. NMAP •Nmap (Network Mapper) is a free and open source utility for network discovery and security auditing. •Many systems and network administrators also find it useful for tasks such as network inventory, managing service upgrade schedules, and monitoring host or service uptime. •Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics. •Nmap was designed to rapidly scan large networks, but works fine against single hosts. In addition to the classic command-line Nmap executable, the Nmap suite includes an advanced GUI and results viewer (Zenmap), a flexible data transfer, redirection, and debugging tool (Ncat), a utility for comparing scan results (Ndiff), and a packet generation and response analysis tool (Nping). •Nmap also has scripts that can detect network related issues. https://nmap.org/
  • 61. NMAP •Nmap (Network Mapper) is a free and open source utility for network discovery and security auditing. •Many systems and network administrators also find it useful for tasks such as network inventory, managing service upgrade schedules, and monitoring host or service uptime. •Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics. •Nmap was designed to rapidly scan large networks, but works fine against single hosts. In addition to the classic command-line Nmap executable, the Nmap suite includes an advanced GUI and results viewer (Zenmap), a flexible data transfer, redirection, and debugging tool (Ncat), a utility for comparing scan results (Ndiff), and a packet generation and response analysis tool (Nping). •Nmap also has scripts that can detect network related issues. https://nmap.org/
  • 62. OPENVAS •Vulnerability scanner • Fork of the open source NESSUS tool that became commercial in 2005. • Nessus/Openvas is the most popular vulnerability scanner and third most popular security program currently in use. • Sits underneath a lot of commercial offerings : Greenbone, Acunetix, Alienvault, etc. •Uses a lot of tools (nmap, etc.) to check service and creates a clean report. https://www.tenable.com/products/nessus/nessus-professional http://www.openvas.org/
  • 63. OPENVAS •Vulnerability scanner • Fork of the open source NESSUS tool that became commercial in 2005. • Nessus/Openvas is the most popular vulnerability scanner and third most popular security program currently in use. • Sits underneath a lot of commercial offerings : Greenbone, Acunetix, Alienvault, etc. •Uses a lot of tools (nmap, etc.) to check service and creates a clean report. https://www.tenable.com/products/nessus/nessus-professional http://www.openvas.org/
  • 64. Business continuity ● Backups – Zorg dat je altijd een regelmatige backup van al je data hebt ● Ook cloud ! – Test af en toe je backups ● Wet van schrodinger voor backups : – Een backups is maar zo goed als zijn laatste suksesvolle restore ! ● Denk aan business continuity – Redundancy – Procedures – Denk na !
  • 66. ( Gebrek aan) Realisme ● There is no such thing as absolute security ● Plan for the worst ! ● Vroeg of laat heb je prijs ! ● Niemand is onfeilbaar ( behalve de paus)
  • 68. Tijd om wakker te worden ● 2 voornaamste security producten zijn : – Gezond verstand – Structuur ● Iedereen heeft security problemen, niemand is onfeilbaar – Face it, get over it en ga aan de slag – Een securityprobleem hebben is geen schande, maar doe er iets mee ! ● Hard werk
  • 69. Thank You Contact us 016/29.80.45 016/29.80.46 www.ba.be / Twitter: batweets Ubicenter MCSquare Philipssite 5B 3001 Leuven info@ba.be Twitter: JanGuldentops http://be.linkedin.com/in/janguldentops/

Notes de l'éditeur

  1. Belangrijk om te onthouden : 2 manieren waarop wij werken met lokale besturen : Leveren van volledige oplossingen Leveren van huurlingen : consultants die tijdelijk de kennis van de ict-manager aanvullen Leveren van technische ondersteuning en troubleshooting Leveren oplossingen aan lokale besturen sinds 1996