Bewustwording Informatieveiligheid bij gemeenten

Presentatie over: "Bewustwording Informatieveiligheid bij gemeenten"— Transcript van de presentatie:

1 Bewustwording Informatieveiligheid bij gemeenten
Januari 2014

2 Copyright © 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING).
Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van deze mededeling.

3 Voorwoord Deze bewustwordingspresentatie is een voorbeeldpresentatie t.b.v. gemeenten. Het staat een gemeente vrij om sheets toe te voegen en te verwijderen. Deze presentatie heeft als doelgroep ‘Iedere medewerker binnen de gemeente’. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en het afgeleide voorbeeld Informatiebeveiliging Beleidsplan is als uitgangspunt genomen voor deze presentatie. Er is geen keuze gemaakt in specifieke onderwerpen, het kan zijn dat een gemeente bepaalde accenten in het eigen beveiligingsbeleid scherper of minder scherp wil neerzetten. Colofon Presentatie bewustwording BIG Naam document 1.0 Versienummer Versiedatum Januari 2014 Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Versiebeheer Copyright © 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het document en de inhoud mogen commercieel niet geëxploiteerd worden; KING wordt als bron vermeld; publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met de Taskforce BID In samenwerking met Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Hoe realiseert de IBD haar doelen? De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het ‘pas toe of leg uit’ principe. Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG, PUN en WBP, maar ook de archiefwet.

4 Informatiebeveiliging, belangrijker dan ooit?

5 Inhoud Doel van de presentatie
Wat is informatie en in welke vorm kennen we het? Wat is Informatiebeveiliging? Informatiebeveiliging, wat zijn de principes? Het belang van informatiebeveiliging in relatie tot het werken bij een gemeente. Inzicht in de risico’s, bedreigingen en maatregelen die nodig zijn om alle vormen van informatie te beschermen. Starten van een cultuur- en gedragsverandering.

6 1. Doel van de presentatie
Voor wie Iedere medewerker binnen de gemeente, ongeacht soort arbeidsverhouding Inhoud Informatiebeveiligingsmaatregelen Doel Creëren van een hogere bewustwording van informatiebeveiliging met als resultaat het verbeteren van de houding ten opzichte van informatieveiligheid en het willen veranderen van onveilig gedrag naar veilig gedrag. Kennis, Houding en Gedrag is een belangrijke leidraad. Informatiebeveiliging gaat niet enkel over de 'harde' kant zoals virusscanners, wachtwoorden, et cetera. We moeten mensen zich bewust laten worden van de risico's en wat je (als gebruiker) ermee kunt doen (mitigeren in een prachtig Nederlands anglicisme). Mensen doen daar dus kennis over op ('O, dat wist ik niet, goh, goed dat ik nu weet hoe het wel moet/hoort'). Zodra ze die Kennis hebben, gaat hun Houding ten opzichte van risico's veranderen. Ze zijn er alerter op en zullen ook andere daarop aanspreken. Een veranderde Houding komt dus voort uit verbeterde Kennis. En als je dan bewust alerter bent, dan pas je jouw Gedrag aan,  je handelt anders, omdat je nu weet wat je moet doen en waarom.

7 2. Wat is informatie? Een set gegevens die zodanig bijeen zijn gebracht en worden voorgesteld zodat er betekenis of waarde aan kan worden toegekend. Voorbeeld: Edwin de Vries Kerkstraat 50 Amsterdam Geboorte datum: Gestructureerd Logisch Betekenisvol Te gebruiken in een context Waarde Vorm Denk aan: GBA gegevens BSN En voor wie is dat interessant? Waarom? Welke interessante of vertrouwelijke informatie heeft u?

8 3. En….in welke vorm kennen we het ?
Op papier (ook geschreven) Mondeling Elektronisch (netwerken) Transport (signaal) Transport (fysieke media, mobiele apparaten) Kennis Informatie is overal binnen de gemeente en in alle vormen.

9 4. Waarom hebben we informatiebeveiliging nodig?
Informatie heeft waarde Waardevolle informatie veilig stellen Privacy beschermen Aanpak om informatie te beschermen Informatie heeft een bepaalde gevoeligheid

10 5. Wat is de waarde van informatie?
Geldelijke waarde Aantrekkelijk voor anderen (insiders of outsiders) Nut voor u Nuttig voor anderen De (potentiële) schade als gevolg van verkeerd gebruik of compromitteren van de informatie Tijdigheid Welke waarde heeft uw informatie?

11 6. Wat is informatiebeveiliging?
Beschikbaarheid De mate waarin een informatiesysteem in een bedrijf aanwezig is op het moment dat de organisatie het nodig heeft Exclusiviteit (vertrouwelijkheid) De mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden Integriteit De mate waarin een informatiesysteem zonder fouten is

12 7. Wat is het doel van het beveiligingsprogramma bij de gemeente?
Herkennen van bedreigingen, zwakheden en risico’s ten opzichte van gemeentelijke informatie Tegengaan of verminderen van deze risico’s naar een acceptabel niveau Verwijderen of verminderen van een zwakheid in een systeem De kans verkleinen dat een bedreiging manifest wordt Reduceren van de schade als er toch een incident optreedt Herstellen van informatievoorziening

13 8. Balans Beveiliging Er is een relatie tussen gebruiksgemak en beveiliging Als de beveiliging toeneemt, neemt het gebruiksgemak af Voorbeeld: IPAD, schermbeveiliging. Gebruiksgemak

14 9. Beveiliging is noodzakelijk
Beschikbaarheid, integriteit en exclusiviteit van onze informatie is zeer belangrijk voor de doelstellingen van onze gemeente Onze informatiesystemen moeten altijd worden beschermd Onze informatie moet altijd worden beschermd Onze burgers moeten er van uit kunnen gaan dat wij hun informatie beschermen

15 Informatie opgeslagen in onze systemen
, Used with permission,

16 10. Informatiebeveiliging is de taak van iedereen binnen de gemeente
De gemeente is een informatieverwerkende organisatie Burgers en ketenpartners geven hun (gevoelige) informatie aan ons, en de gemeente heeft betrouwbare informatie nodig om haar taken uit te kunnen voeren Informatiebeveiliging is essentieel voor de continuïteit van onze dienstverlening richting onze burgers Informatiebeveiliging is essentieel om het vertrouwen van onze burgers in de gemeente te versterken

17 11. Verantwoordelijkheid!
Het is de verantwoordelijkheid van iedere medewerker binnen de gemeente om gemeentelijke informatiesystemen en informatie te beschermen U bent verantwoordelijk voor het veilig gebruik van computerapparatuur, software en informatie welke onder uw verantwoordelijkheid valt binnen uw werk Het is alleen toegestaan om informatie te gebruiken die gerelateerd is aan uw werk De eigenaar van de informatie bepaalt de gevoeligheid van die informatie en daarmee ook de mate van bescherming die nodig is. Op basis daarvan wordt een classificatie toegekend De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) gaat uit van vertrouwelijkheid

18 12. Informatiebeveiliging is de taak van iedereen!
Informatiebeveiliging kunt u lastig later toevoegen, het moet er gewoon zijn Informatiebeveiliging is niet alleen de taak van de beveiligingsspecialisten Informatiebeveiliging is de taak van iedereen! We moeten er allemaal voor zorgen dat gemeentelijke informatie, -middelen en -ruimten goed zijn beveiligd en dat ook blijven Wat kunt u daaraan bijdragen?

19 13. Gemeentelijke informatie moet worden
behandeld in overeenstemming met de classificatie Proces Beschikbaarheid Integriteit Vertrouwelijkheid Burgerzaken (klantbegeleiding, afspraken) Belangrijk Absoluut Vertrouwelijk Basisregistratie persoonsgegevens Essentieel Geheim Overige basisregistraties Openbaar Indienen en behandelen beroep en bezwaarschriften Noodzakelijk Openbaar/ vertrouwelijk Sociale Zaken — Uitvoering / verstrekking voorzieningen Hoog Sociale Zaken — Handhaving en controle Openbare orde en veiligheid (brandweer, preventie, rampbestrijding) Dit is een voorbeeld, het inschatten van het belang van een proces en de waardering van de BEI-eisen kan per gemeente anders zijn. Dit is wel de grondslag voor risico afweging! Dit is een voorbeeld, het inschatten van het belang van een proces en de waardering van de BEI eisen kan per gemeente anders zijn.

20 14. Beveiliging binnen onze gemeentelijke organisatie
Integraal verantwoordelijke Gedelegeerd verantwoordelijke Iedere manager Information Security Officer ICT-servicedesk (telefoonnummer) Overige beveiligingsnummers Voeg namen toe van de gemeentelijke beveiligingsverantwoordelijken

21 Wat zijn bedreigingen? Are the most dangerous people in the world geeks? Kevin Siers thinks so. In his editorial cartoon Bringing Civilization to its Knees..., Siers compares geeks to the conquering Goths, Vandals, and Huns. “Geeks are just as dangerous,” the cartoon seems to say. “Even if they don't look as intimidating as the Huns, Goths, or Vandals, geeks are just as dangerous.” And this is true. So much depends on computers in today's society that if someone were successful at shutting down the whole system, it would be a catastrophe. Through pictures, Siers tells the stories of various people who are involved in “bringing civilization to its knees”. Originally these people were warriors and conquerors, but in today's technologically advanced age, geeks are the ones who can bring life as we know it crashing down. In order to understand the cartoon, the reader would have to understand how much modern society depends on computer technology. So much depends on computers that if one determined hacker could break the code, it would be a disaster. The reader would also have to understand the meaning of “geek” and the double meaning of the word “hack”. According to the Merriam-Webster online dictionary, a geek can be defined as “a person often of an intellectual bent who is disliked an enthusiast or expert especially in a technological field or activity”. Merriam-Webster also defines the word “hack” as “to make chopping strokes or blows to write computer programs for enjoyment to gain access to a computer illegally” (Web). Siers cleverly uses the double meaning of the word “hack” in his comic to highlight the similarities between the warriors and the geek. In his Civilization cartoon, Siers compares the Goths, the Vandals, and the Huns with the Geeks, and uses several techniques to highlight the contrasts between them. To detail the difference between attackers of the past and the modern geek, Siers drew Goths, Huns, and Vandals as brawny, fierce warriors who hack at their enemies with various sharp weapons, while he drew the geek as the stereotypical scrawny nerd who hacks into computers using his own computer as a weapon. As stated before, Siers uses the double meaning of the word “hack” to make the point that despite technological advances, human nature remains the same and that there will always be those who want to destroy what others have built. Siers upholds the common belief that geeks are hackers, and that hackers are bad. This is partially true, as many geeks use their skills to hack into protected files to learn confidential information and information that should be secure. However, not all hackers are so inclined. Many hackers use their knowledge to protect people and information by building firewalls and improving online security systems. So while Siers's view is correct in some situations, one should keep in mind that what he drew was the stereotypical geek, not the representative of every geek in the world. Geeks certainly hold power in the world. Does this make them some of the most dangerous people in the world? Kevin Siers wanted to persuade the reader that geeks are, indeed, as dangerous as warriors who wield swords. And through his cartoon, he made the point that since human nature is the same despite the advances made, geeks can be dangerous indeed. Works Cited Merriam-Webster. Definitions of words. Merriam-Webster. Encyclopædia Britannica, 2011. , Used with permission, Kevin Siers, The Charlotte Observer

22 15. Wat zijn bedreigingen? Malware via websites Verouderde software
Mobile devices Cybercrime, DDoS, phishing Digitale spionage Werknemers Buitenlandse wetgeving Verlies van data, BYOD Stroomstoring Verlies van kennis Apps van derden Identiteitsdiefstal Een bedreiging is een gevaarlijke gebeurtenis die wellicht ooit voorkomt. Het gevaar kan zowel van buiten komen, als besloten liggen in een voorwerp of situatie zelf. Er wordt vaak onderscheid gemaakt naar interne en externe bedreigingen maar ook naar opzettelijk en onopzettelijk handelen.

23 16. Externe bedreigingen Hackers Crackers Scriptkiddies

24 17. Welke motivatie? Vandalisme Boosheid Politiek Nieuwsgierigheid
Schade willen toebrengen Persoonlijk gewin

25 18. Voorbeelden externe bedreigingen
Natuurrampen: Aardbeving, overstroming, tornado en bliksem Stroomstoring Geen Airco Terrorisme Brand en waterschade Personeelstekort Digitale aanvallen van buitenaf Hacken, digitale inbraak DDOS-aanval SAAS, toegang tot applicatie Spionage Hoewel externe bedreigingen traditioneel in de ICT-security vaak als bijvoorbeeld natuurrampen of terroristische aanslagen werden gezien moet dit begrip tegenwoordig worden uitgebreid. Externe bedreigingen zijn bijvoorbeeld ook: een DDOS-aanval of een Hacker die van buiten probeert binnen te dringen, en dat wordt al helemaal bijzonder als de gemeente ook nog SAAS-applicaties gebruikt. Hieronder een lijst: Communicatieverstoring Onderscheppen van communicatie, manipulatie van communicatie. Niet-geautoriseerd gebruik van een applicatie De bedreiging van niet-geautoriseerd gebruik van een applicatie kan zich voordoen als geautoriseerde gebruikers van een applicatie, deze gebruiken voor niet toegestane activiteiten. Bijvoorbeeld een boekhouder die het salarissysteem gebruikt om zijn eigen zaken te doen. Deze bedreiging staat bij extern omdat er ook een SAAS-oplossing gebruikt kan worden en je anders moet omgaan met toegang en controle. Brand en waterschade De bedreiging van brand omvat de mogelijkheid dat brand fysieke componenten aan kan tasten die samen een systeem vormen, inclusief documentatie en magnetische media. De kwetsbaarheid van een gebouw of kamer in verband met brand hoort hier ook bij. Natuurramp of terrorisme De bedreiging van een natuurramp omvat de mogelijkheid dat ofwel door een natuurlijke gebeurtenis, ofwel een door mensen veroorzaakte gebeurtenis (zoals een verkeersongeluk), fysieke schade toegebracht wordt aan de locatie of het omgevende gebied. Denk ook aan overstroming. Personeelstekort De bedreiging van een personeelstekort omvat de mogelijkheid van absentie van belangrijk personeel door wat voor een reden dan ook en het gemak waarmee ze kunnen worden vervangen door anderen. Diefstal of vernieling door buitenstaanders De bedreiging van diefstal door buitenstaanders omvat zowel documentatie, inclusief informatie, als ook fysieke componenten. Stroomstoring, Airco De bedreiging van een stroomstoring omvat de mogelijkheid dat de stroomvoorziening van het gebouw kan uitvallen.

26 19. Nog meer bedreigingen…
Diefstal of verlies van: - Laptops - Desktops - PDA’s / tablets - Telefoons / Smartphones - Data (fysiek) DVD, CD-ROM, harddisks, USB-sticks etc. - Data (logisch) draadloos, Man-in-the-middle (MITM) Social Engineering

27 20. Interne bedreigingen (1/2)
Informatiebeveiliging precentatie gemeenten 20. Interne bedreigingen (1/2) Onoplettendheid (verkeerde informatie geven) Slordigheid (typo’s, clean desk?) Onwetendheid (de regels niet kennen) Onbewust handelen (aannemen dat iets zo is) Je niet houden aan gemeentelijke regels (gewoon de regels bewust overtreden) Bijvoorbeeld: Gebruiken van onveilige software en van gemeentelijke informatie naar privé , opschrijven wachtwoorden Je niet houden aan de clean desk Policy Over gevoelige informatie praten in openbare ruimten Zie : 53 % of respondents Damage caused by insider attacks more damaging than outsider attacks Most common insider cyber incident Unintentional exposure of private or sensitive data (34%) Theft of intellectual property (IP) (34%) Unauthorized access to/ use of information, systems or networks (30%) Theft of other (proprietary) info including customer records, financial records, etc… (31%) Persbericht augustus 2013 Hoewel kwetsbaarheden in de applicaties die werknemers voor hun dagelijkse werk gebruiken een van de belangrijkste oorzaken vormen voor beveiligingsincidenten (bij 39 procent van alle bedrijven), is er sprake van een even hoog aantal incidenten dat het gevolg is van fouten van werknemers. Vier van de vijf typen interne beveiligingsincidenten bleken nauw verband te houden met misstappen van medewerkers. Werknemers kunnen er opzettelijk of per ongeluk voor zorgen dat vertrouwelijke bedrijfsgegevens uitlekken of dat het auteursrecht wordt geschonden. In beide gevallen kan dit tot kostbare rechtszaken leiden. Spyware Medewerkers die werkgerelateerde berichten naar persoonlijke accounts verzenden en illegale content of gekraakte software naar hun werkcomputer downloaden, beseffen zich vaak niet dat dit soort activiteiten het imago van hun werkgever kunnen schaden. In een geval lekten vertrouwelijke bedrijfsdocumenten uit nadat een werknemer kopieën in zijn persoonlijke account had opgeslagen. Toen beveiligingsexperts het incident onderzochten, troffen ze spyware aan op de pc van de werknemer. Deze malware legde al zijn toetsaanslagen vast, waardoor cybercriminelen de aanmeldingsgegevens voor zijn account konden bemachtigen. Op die manier hadden zij vrij spel met de vertrouwelijke bedrijfsdocumenten. Een ander incident ontstond toen een werknemer zijn privélaptop naar het werk meenam en daarmee een verbinding met het lokale bedrijfsnetwerk maakte. Op de laptop had de werknemer een BitTorrent-client geïnstalleerd waarmee hij software voor eigen gebruik downloadde. Hieronder bevonden zich gekraakte programma’s. Drie maanden later klopte de politie bij zijn werkgever aan met een huiszoekingsbevel, wegens verdenking van het schenden van copyright door het gebruik van illegale software. Het bedrijf zag zich uiteindelijk gedwongen om een boete te betalen. Beheermaatregelen Bedrijven kunnen de kans op dit soort incidenten minimaliseren door verschillende maatregelen te treffen. Definieer, implementeer en bewaak bedrijfsbrede beleidsregels voor de ict-beveiliging, maak gebruik van specialistische beveiligingsoplossingen en maak werknemers bewust van ict-risico’s. ‘Naast het identificeren en voorkomen van incidenten op basis van uiteenlopende technologieën moeten beveiligingsspecialisten niet nalaten om gebruik te maken van beheermaatregelen’, zegt malware-expert Kirill Kruglov van Kaspersky Lab. ‘Het is van cruciaal belang om werknemers bewust te maken van beveiligingsrisico’s. Laat hen weten wat wel en niet is toegestaan op basis van het beveiligingsbeleid en wat de gevolgen zijn als zij de interne richtlijnen overtreden.’ Read more: Goed betaalde werknemer gevaarlijker dan hackers" vrijdag 18 november 2011, 14:06 door Redactie, 12 reacties Bedrijven hebben meer te vrezen van goed betaalde werknemers dan van externe hackers, zo stelt KPMG topman Stan Gallo. Tijdens een evenement over fraude vertelde Gallo dat de doorsnee fraudeur geen hacker is die vanuit een donkere zolderkamer opereert, maar eerder een 'insider' die al binnen de organisatie zit. In 65% van alle fraudegevallen gaat het om eigen personeel dat toegang tot de IT-systemen heeft en zowel geld naar eigen rekeningen overmaakt of intellectueel eigendom verkoopt. Gallo gaf als voorbeeld een moeder die zichzelf met 1,2 miljoen dollar beloonde door het factuursysteem van haar werkgever te manipuleren. Ze ontdekte dat de betaalgegevens op een gedeelde netwerkschijf werden bewaard. Ze wijzigde vervolgens de bestanden en vulde haar eigen rekening in. Ze gebruikte haar positie om de betaling goed te keuren en verborg de transactie tussen de duizenden andere betalingen die het bedrijf deed. Vertrouwen Gallo merkte op dat vrouwen veel meer stelen dan mannen, maar dat de meeste diefstallen het werk van mannen zijn. In veel gevallen is hebzucht de motivatie om de werkgever te duperen dan dat werknemers het geld echt nodig hebben. De gemiddelde fraudeur verdient een salaris van euro. In veel gevallen lukt het niet om het gestolen geld terug te krijgen, omdat de fraudeurs dit al aan hun levensstijl hebben opgemaakt. Gemiddeld wist het team van Gallo negen procent van het gestolen bedrag terug te krijgen. Eén van de problemen waardoor bedrijven kwetsbaar zijn, is dat ze zich alleen op externe dreigingen richten. "Als je aan veiligheid denkt, heeft iedereen stevige externe veiligheidsprocedures, maar werknemers hebben vertrouwen, en ze misbruiken dat", besluit Gallo. Vooral in de Amerikaanse literatuur is de omvang van het probleem van de 'insider threat' goed zichtbaar gemaakt. In Nederland wordt er ook over geschreven. In de Monitor Internetbeveiliging, het eindrapport van een studie door KPMG in opdracht van het Ministerie van EZ, wordt de kwetsbaarheid van het bedrijfsleven in relatie tot Internet weergegeven [KPMG]. Daarin wordt opgemerkt dat 16% van de beveiligingsincidenten door insiders wordt veroorzaakt. Neys komt in een studie naar de invloed van regels op security awareness en gedrag tot de conclusie dat binnen de Rabobankorganisatie 6% van de overtredingen van beveiligingsregels door insiders "met boze opzet" gebeurt [NEYS]. In 2002 heeft het Computer Security Institute (CSI) in samenwerking met de FBI een 'Computer Crime and Security Survey' uitgevoerd [POWE], waarin van 1996 tot en met 2002 data worden gepresenteerd met betrekking tot beveiligingsincidenten. Het percentage attacks door een insider is weliswaar dalende, maar is niettemin substantieel: in 2000 gaf 71% van de respondenten (455 bedrijven en organisaties) aan dat ze last hadden gehad van insider attacks, in 2001 was dat percentage 49% en in 2002 38%. Verton [VER1] betoogt dat door steeds groter wordende kennis van medewerkers in combinatie met het gebruik van steeds geavanceerdere hulpmiddelen, de gevaarlijke insider is veranderd in iemand wiens activiteiten effectiever worden en moeilijker te detecteren. Met andere woorden, er wordt steeds minder gedetecteerd maar er gebeurt misschien steeds meer. Om een indicatie te geven van het gemiddelde jaarlijkse verlies door 'unauthorized insider access': in 1998 bedroeg dat bijna 3 miljoen dollar per bedrijf, ongeveer het tienvoudige van de gemiddelde jaarkosten door financiële fraude in Proctor, auteur van het Practical Intrusion Detection Handbook, zegt dat hoewel hackers een toenemende bron van ergernis zijn, 85% tot 90% van de verliezen door insiders worden veroorzaakt [COH1]. Het meest overtuigend is de opsomming door Gudaitis, die diverse statistieken bij elkaar heeft gezocht, zie voor referenties [GUDA]: 57% van de aanvallen en 66% van de netwerkaanvallen komt van binnenuit; de belangrijkste aanvaller is de 'disgruntled employee' ofwel de gefrustreerde medewerker; 80% van de respondenten noemde de gefrustreerde medewerker als bron van een incident; 82% van verlies door computercriminaliteit komt door gefrustreerde medewerkers, 2% van de Information Security Officer

28 20. Interne bedreigingen (2/2)
In een recent onderzoek geven meer dan de helft van de partijen aan dat beveiligingsincidenten van binnenuit zijn opgetreden Diverse onderzoeken lopen uiteen, maar 30% tot meer dan 60% van de incidenten komt van binnenuit de eigen organisatie

29 21. Interne bedreigingen, wat maakt ons kwetsbaar?
Eenvoudige wachtwoorden: te kort, te makkelijk of gewone woorden (uit woordenboek) Niet in staat om geheimen te bewaren: opschrijven van wachtwoorden, vertrouwelijke informatie versturen via , lekken van informatie Impliciet vertrouwen van dingen die we van anderen krijgen: openen bijlagen van onbekende mensen die een virus of een andere kwaadaardige code kunnen bevatten Klikken op links van ‘phishing’ s Algemene sheet als inleiding op kwetsbaarheden Uitleggen wat phishing s zijn!

30 22. Hoe informatie op papier te beschermen?
Opbergen van papieren in een kast of andere geschikte container (Clean Desk Policy) Geen informatie of wachtwoorden op ‘post-its’ of briefjes en andere informatie, zoals cd-roms, laten rondslingeren Maak gebruik van shredders (verplicht voor gevoelige informatie) Sluit uw deur van het kantoor

31 23. Informatie op papier (vervolg)
Altijd afdrukken van printers en faxapparaten halen, met name aandacht besteden aan gemeenschappelijke printers Verwijder de afdrukken uit gemeenschappelijke printers direct (Let op: Sommige printers en faxapparaten slaan kopieën van documenten op, die later kunnen worden opgehaald) Gebruik bij voorkeur speciale enveloppen (sealed) voor persoonlijke of gevoelige interne post Gebruik een procedure om gevoelige informatie te verzenden (dubbele enveloppen, koeriers etc.) Gebruik ‘de dubbele enveloppen techniek’ voor gevoelige externe (inkomende of uitgaande) post Voor ‘zeer gevoelige informatie’ overwegen gebruik te maken van ‘tamper-proof’ of verzegelde enveloppen

32 24. Hoe mondelinge informatie te beschermen?
Informatiebeveiliging presentatie gemeenten 24. Hoe mondelinge informatie te beschermen? Wees u bewust van uw omgeving Ga er niet vanuit dat in het gebouw altijd een veilige plek is om alle soorten informatie te bespreken (burgers, bezoekers, aannemers, derden) Handhaaf het ‘need to know’-principe Adopteer een minimalistische benadering met betrekking tot het verstrekken van informatie aan derden als u niet zeker weet of iets iemand anders aangaat Vermijd specifieke details met betrekking tot operationele procedures, beveiligingsprocedures of de computersystemen van de gemeente Information Security Officer

33 24. Hoe mondelinge informatie te beschermen? (vervolg)
Informatiebeveiliging presentatie gemeenten 24. Hoe mondelinge informatie te beschermen? (vervolg) Zeer gevoelige informatie kan beter niet over de telefoon besproken worden Wees voorzichtig bij de bespreking van gemeentelijke vertrouwelijke informatie op een mobiele telefoon (omgeving, afluisteren etc.) Information Security Officer

34 25. Informatiesysteem-specifieke uitdagingen
Informatiebeveiliging presentatie gemeenten 25. Informatiesysteem-specifieke uitdagingen Aggregatie – toenemende datavolumes Gebrek aan zichtbaarheid Gebruiksgemak versus beveiliging Software en hardware installatie Portabiliteit Snelheid Technologische vooruitgang Gebruikers kennis / competenties Information Security Officer

35 26. Hoe kun je informatie beschermen?
Informatiebeveiliging presentatie gemeenten 26. Hoe kun je informatie beschermen? Gezond verstand Veilige wachtwoorden Antivirus maatregelen Software uit bekende bronnen Nadenken over mobiele apparaten Goed gebruik van media Voorzichtigheid met het web en Log on / log off Opslaan van documenten/ back-up Juiste toegangsrechten Deze onderdelen komen in de volgende sheets aan de orde, ze hoeven nu niet behandeld te worden Information Security Officer

36 Informatiebeveiliging presentatie gemeenten
27. Gezond verstand! Ziet iets er vreemd uit/ is er iets veranderd ? De computer of het systeem gedraagt zich anders dan anders Noteer de datum en tijd waarop de problemen zich voordeden Geloof niet alles wat u op het Internet vindt Zoek hulp / bel de helpdesk als u twijfelt Information Security Officer

37 Informatiebeveiliging presentatie gemeenten
28. Wachtwoorden Schrijf wachtwoorden nergens op Als het toch nodig is, bewaar opgeschreven wachtwoorden op een veilige plaats Vernieuw regelmatig uw wachtwoorden Kies een sterk wachtwoord Deel nooit uw wachtwoord met anderen U bent verantwoordelijk voor misbruik van uw wachtwoord Verander uw wachtwoord direct als u misbruik vermoedt Wie gebruikt thuis dezelfde wachtwoorden als op het werk? Bij deze sheet ook noemen wat het gemeentelijk beleid is voor wat betreft de eisen voor wachtwoord vernieuwing. Ook noemen wat wordt verstaan onder een sterk wachtwoord, zie hiervoor het voorbeeld wachtwoordbeleid van de IBD Als je niet juist met je wachtwoord omgaat kan iemand anders misbruik maken onder jouw account en als er goed gelogd wordt is dat ook jou aan te rekenen. Het kan nodig zijn om een wachtwoord op te slaan, bijvoorbeeld voor continuïteit van de gemeente of van beheerderaccounts. (voor het geval iemand uitvalt). Sla deze wachtwoorden volgens een procedure op in een kluis. Regel de toegang tot die kluis. Regel een procedure voor het openen van de enveloppe met de wachtwoorden en bijvoorbeeld ondubbelzinnige toestemming van het management. Verander beheerderswachtwoorden direct als er een functiewisseling plaatsgevonden heeft. Information Security Officer

38 Informatiebeveiliging presentatie gemeenten
29. Wachtwoord problemen Als u een wachtwoord goed kunt onthouden is het waarschijnlijk ook makkelijk te raden voor anderen Moeilijke wachtwoorden zijn zonder een geheugensteuntje moeilijk te onthouden Opschrijven van wachtwoorden Korte wachtwoorden zijn makkelijk te kraken Niet voor alles hetzelfde wachtwoord gebruiken Dit is voor Nederlanders niet anders: Over half of UK adults use the same password to access internet sites One in four use birthdays or names as passwords Older internet users are turning to social networking to stay in touch Average UK adult has 237 social network friends UK adults are risking their online security by using identical or easy to remember passwords on the websites they visit, new Ofcom research reveals. More than half (55%) of adult internet users admit they use the same password for most, if not all, websites, according to Ofcom’s Adults’ Media Use and Attitudes Report 2013. Meanwhile, a quarter (26%) say they tend to use easy to remember passwords such as birthdays or names, potentially opening themselves up to the threat of account hacking. Remembering passwords also remains a challenge for some, with a quarter (25%) of adult internet users reporting they have problems doing so. However, Ofcom’s report does show that adult internet users are increasingly adopting security methods while going online. Six in ten (62%) say they protect their Wi-Fi internet connection (up from 52% in 2011) and 61% say they make judgements such as checking for padlock symbols or secure system messages before entering personal details (compared to 56% in 2011). Among smartphone owners, three in four (75%) say they use a screen lock, with half (50%) stating they have PIN protection for their SIM card. This is higher than for non-smartphone users, where these features are used by 40% and 20% respectively. James Thickett, Ofcom’s Director of Research, said: “While our research shows that some people are still taking security risks online, they clearly feel these are outweighed by the benefits that the internet brings. We are seeing more and more adults turning to the internet for information and as a way of keeping in touch.” Information Security Officer

39 Informatiebeveiliging presentatie gemeenten
30. Goede wachtwoorden Wat is een goed wachtwoord? Alfabetisch – A tot Z en a tot z Nummers – 0 tot 9 Speciale letters / leestekens – ~ ! @ # $ % ^ & * ( ) + = [ ] { } / ? < > , ; : \ | ` ’ ” . Een goed wachtwoord moet minimaal 8 tekens lang zijn en naast (hoofd)letters een nummer en een leesteken bevatten. Information Security Officer

40 31. Gemakkelijk te onthouden wachtwoorden?
Informatiebeveiliging presentatie gemeenten 31. Gemakkelijk te onthouden wachtwoorden? Neem een zin die u kunt onthouden Neem van ieder woord de eerste letter en vervang letters voor tekens Bijvoorbeeld: Onze gemeente is een veilige organisatie in 2014: Og=€V0!2o14 Dit is voor Nederlanders niet anders: Over half of UK adults use the same password to access internet sites One in four use birthdays or names as passwords Older internet users are turning to social networking to stay in touch Average UK adult has 237 social network friends UK adults are risking their online security by using identical or easy to remember passwords on the websites they visit, new Ofcom research reveals. More than half (55%) of adult internet users admit they use the same password for most, if not all, websites, according to Ofcom’s Adults’ Media Use and Attitudes Report 2013. Meanwhile, a quarter (26%) say they tend to use easy to remember passwords such as birthdays or names, potentially opening themselves up to the threat of account hacking. Remembering passwords also remains a challenge for some, with a quarter (25%) of adult internet users reporting they have problems doing so. However, Ofcom’s report does show that adult internet users are increasingly adopting security methods while going online. Six in ten (62%) say they protect their Wi-Fi internet connection (up from 52% in 2011) and 61% say they make judgements such as checking for padlock symbols or secure system messages before entering personal details (compared to 56% in 2011). Among smartphone owners, three in four (75%) say they use a screen lock, with half (50%) stating they have PIN protection for their SIM card. This is higher than for non-smartphone users, where these features are used by 40% and 20% respectively. James Thickett, Ofcom’s Director of Research, said: “While our research shows that some people are still taking security risks online, they clearly feel these are outweighed by the benefits that the internet brings. We are seeing more and more adults turning to the internet for information and as a way of keeping in touch.” Information Security Officer

41 Informatiebeveiliging presentatie gemeenten
32. Antivirus Open geen die u niet vertrouwt Open nooit bijlagen van s die u niet verwacht Klik niet op links in s die u niet vertrouwd Zorg voor een up-to-date antivirusscanner Download geen uitvoerbare programma’s en installeer zelf geen software Bij twijfel een handmatige extra virusscan uitvoeren Check voor gebruik media van anderen Dit is voor Nederlanders niet anders: Over half of UK adults use the same password to access internet sites One in four use birthdays or names as passwords Older internet users are turning to social networking to stay in touch Average UK adult has 237 social network friends UK adults are risking their online security by using identical or easy to remember passwords on the websites they visit, new Ofcom research reveals. More than half (55%) of adult internet users admit they use the same password for most, if not all, websites, according to Ofcom’s Adults’ Media Use and Attitudes Report 2013. Meanwhile, a quarter (26%) say they tend to use easy to remember passwords such as birthdays or names, potentially opening themselves up to the threat of account hacking. Remembering passwords also remains a challenge for some, with a quarter (25%) of adult internet users reporting they have problems doing so. However, Ofcom’s report does show that adult internet users are increasingly adopting security methods while going online. Six in ten (62%) say they protect their Wi-Fi internet connection (up from 52% in 2011) and 61% say they make judgements such as checking for padlock symbols or secure system messages before entering personal details (compared to 56% in 2011). Among smartphone owners, three in four (75%) say they use a screen lock, with half (50%) stating they have PIN protection for their SIM card. This is higher than for non-smartphone users, where these features are used by 40% and 20% respectively. James Thickett, Ofcom’s Director of Research, said: “While our research shows that some people are still taking security risks online, they clearly feel these are outweighed by the benefits that the internet brings. We are seeing more and more adults turning to the internet for information and as a way of keeping in touch.” Information Security Officer

42 33. Software en Hardware installatie
Informatiebeveiliging presentatie gemeenten 33. Software en Hardware installatie Installeer geen ongeautoriseerde hard- en software Gebruik geen eigen software of download deze niet van een onbekende bron of van het Internet Installeer zelf geen modems of draadloze toegangspunten Wijzig geen netwerk componenten Gebruik alleen gelicenseerde software Information Security Officer

43 34. Mobiele telefoons en tablets
Informatiebeveiliging presentatie gemeenten 34. Mobiele telefoons en tablets Bescherm zowel telefoon en SIM met een Pincode Bewaar mobiele apparaten die niet in gebruik zijn in een afgesloten kast of op een andere veilige plaats Let op met opvallend gebruik van mobiele apparatuur, bijvoorbeeld op straat Behalve dat het apparaat waarde heeft kan ook de informatie die erop staat waarde hebben voor een ander Gebruik encryptie om informatie op het apparaat te beschermen Maak gebruik van mogelijkheden om een apparaat terug te vinden, de meeste hebben dit tegenwoordig Dit is voor Nederlanders niet anders: Over half of UK adults use the same password to access internet sites One in four use birthdays or names as passwords Older internet users are turning to social networking to stay in touch Average UK adult has 237 social network friends UK adults are risking their online security by using identical or easy to remember passwords on the websites they visit, new Ofcom research reveals. More than half (55%) of adult internet users admit they use the same password for most, if not all, websites, according to Ofcom’s Adults’ Media Use and Attitudes Report 2013. Meanwhile, a quarter (26%) say they tend to use easy to remember passwords such as birthdays or names, potentially opening themselves up to the threat of account hacking. Remembering passwords also remains a challenge for some, with a quarter (25%) of adult internet users reporting they have problems doing so. However, Ofcom’s report does show that adult internet users are increasingly adopting security methods while going online. Six in ten (62%) say they protect their Wi-Fi internet connection (up from 52% in 2011) and 61% say they make judgements such as checking for padlock symbols or secure system messages before entering personal details (compared to 56% in 2011). Among smartphone owners, three in four (75%) say they use a screen lock, with half (50%) stating they have PIN protection for their SIM card. This is higher than for non-smartphone users, where these features are used by 40% and 20% respectively. James Thickett, Ofcom’s Director of Research, said: “While our research shows that some people are still taking security risks online, they clearly feel these are outweighed by the benefits that the internet brings. We are seeing more and more adults turning to the internet for information and as a way of keeping in touch.” Information Security Officer

44 35. Laptops en opslagmedia
Geen gevoelige informatie plaatsen op laptop computers of draagbare opslagmedia zonder encryptie Overweeg het verkrijgen van een kabelslot voor laptops Behandel draagbare opslagmedia met dezelfde zorg als het equivalent papieren document - berg het op Laptops worden bij voorkeur volledig versleuteld. Draagbare opslagmedia moet goed worden geëtiketteerd en de gevoeligheid (classificatie) van de inhoud daarvan duidelijk worden gemarkeerd Laat de laptop niet in de auto achter en vervoer deze niet op de achterbank (in het zicht) Laat de laptop niet in een onbeheerde auto liggen

45 36. E-mail Gebruik niet ‘unsubscribe’ voor junk mail
Informatiebeveiliging presentatie gemeenten 36. Gebruik niet ‘unsubscribe’ voor junk mail Zend geen gevoelige informatie met (Internet) , dit is niet veilig Gebruik geen gemeentelijke voorzieningen voor privé s Alle , ook privé , kan worden onderschept, wees u daarvan bewust en wees voorzichtig met wat u schrijft Forward geen virus informatie of verdachte s, gebruik de telefoon en bel de helpdesk Wees ervan bewust dat makkelijk vervalst kan worden (Virus, Hoaxes, afzenders etc.) Negeer kettingbrieven en wees u bewust van criminele toepassingen met Bij het gebruiken van ‘unsubscribe’ bevestig je dat het adres geldig is en dat het gelezen wordt. De junkmailzender weet dan dat het adres valide is. Information Security Officer

46 Informatiebeveiliging precentatie gemeenten
37. Web Browsing Alle activiteiten op Internet zijn te traceren, intern en extern - wees voorzichtig Het is niet toegestaan om illegale content te bekijken Het is niet toegestaan om naar sites te gaan met adult-materiaal Vermijd controversiële locaties Vermijd overtollig gebruik van resources Information Security Officer

47 38. Log on / log off Controleert u wie de laatste gebruiker was op uw werkstation? Aan het einde van de dag afmelden Als dat niet automatisch gebeurt, instellen van de schermbeveiliging op 5 minuten Even weg bij de computer, gebruik ctrl-alt-delete, gevolgd door enter om het werkstation te vergrendelen Bij het inloggen ziet men de eigen gebruikersnaam staan, vaak wordt die door Windows onthouden. Kijkt u weleens of daar wat anders staat, of valt dat op? Dan is er dus iemand anders op uw PC geweest. Als men niet afmeldt blijft de PC aanstaan, dit heeft 2 effecten: Iemand zou zich toegang kunnen verschaffen tot uw PC Het kost energie voor de gemeente De schermbeveiliging is heel belangrijk, deze hoort door ICT op automatisch aangaan te zijn ingesteld. Bij het verlaten van het bureau altijd de PC locken!

48 39. Password-beveiliging
Informatiebeveiliging precentatie gemeenten 39. Password-beveiliging Bij een vergeten wachtwoord of een geblokkeerd account, alleen volgens de juiste procedure handelen Pas dit aan naar gemeentebeleid! Er is geen beveiligingspatch beschikbaar voor ‘stommiteit’ Information Security Officer

49 Informatiebeveiliging precentatie gemeenten
40. Document opslag Sla werk-gerelateerde documenten op het netwerk op, bij voorkeur in groeps- directories Bewaar nooit documenten op de C-schijf, deze krijgt geen back-up Vermijd langdurige opslag van gegevens op cd-roms, USB tokens, geheugenkaartjes, et cetera Op het netwerk is de informatie ook beschikbaar voor collega’s indien dat nodig mocht zijn, wordt zelf geen single point of faillure. PC’s en informatie op laptops wordt niet gebackupped. Draagbare media kan stuk gaan en de langdurige opslag erop die erop staat vertrouwen is niet veilig. Bovendien kun je draagbare media kwijtraken. Information Security Officer

50 Informatiebeveiliging precentatie gemeenten
41. Social Engineering Hoe werkt een Social Engineer? Informatie verzamelen door gebruik van Internet, waarnemen en dumpsterdiving Doel vaststellen en een relatie aangaan Uitbuiten van die relatie Uitvoeren van de gestelde doelen, verkrijgen specifieke informatie Social Engineering is een heel breed begrip; het is de verzamelnaam voor een methode die enkel op basis van communicatie tussen aanvaller en slachtoffer mensen kneedt en manipuleert, zodat ze hun onbedoelde steentje bijdragen in een grotere aanval: het stelen van waardevolle informatie. Het maakt gebruik van psychologie, identiteitsfraude, computer- telefoon- en faxtechniek en van de onwetendheid van de slachtoffers. Maar boven alles maakt Social Engineering gebruik van de zwakste schakel in de beveiliging: de menselijke factor. Als er dan toch een definitie van Social Engineering moet zijn, zou deze (ongeveer) zó moeten luiden: Social Engineering is de verzameling van technieken waarmee een kwaadwillende aanvalt op informatiesystemen, door de zwakste schakel in de beveiliging te kraken: de mens. De aanval is erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de kwaadwillende dichter bij het aan te vallen informatiesysteem komt. De kwaadwillende kan uiteindelijk het informatiesysteem en zijn succesvolle indringen in de organisatie inzetten om iets ongemerkt te stelen; dit kan zowel goederen als gegevens betreffen. Een andere omschrijving die aangetroffen wordt (in de Master Thesis van Dick Janssen uit 2005) luidt: de kunst en wetenschap om mensen te laten doen wat jij wilt. De (poging tot) definitie is in enige mate ontleend aan de gekozen bewoordingen in de Wikipedia (de Nederlands tak van de grote online Open Encyclopedie Een groot verschil tussen de hier gebezigde definitie en die van de Wikipedia, zit hem in het feit dat deze definitie Social Engineering uit de hackers en de computers tilt. Social Engineering is een techniek die weliswaar dáár zijn vorm en naamsbekendheid heeft gekregen, maar die zogezegd ook in een willekeurige andere (niet ICT)-omgeving ingezet kan en zal worden. De Social Engineer maakt gebruik van een aantal psychologische trucs om informatie te vergaren: Het komt er op neer dat social engineering meestal bestaat uit meerdere kleine aanvallen waarbij altijd sprake is van één of meerdere van de onderstaande kenmerken: - Er wordt gezaaid en geoogst; zowel in het klein als in het groot. Dat kan binnen een (telefoon)gesprek zijn, bijvoorbeeld: Eerst het winnen van vertrouwen of het inboezemen van angst en daarna het vragen om een handeling of informatie die eigenlijk niet gegeven mag worden), maar dat kan ook binnen een Social Engineering-aanval in zijn geheel, bijvoorbeeld: het eerst een paar mensen bij een administratie vertellen dat er binnenkort een onderzoek komt, en daarna elders vragen om handelingen of informatie die eigenlijk niet gegeven mogen worden. Daarbij wordt dan geloofwaardigheid geoogst doordat navragen op andere afdelingen het antwoord "daar heb ik inderdaad vorige week iets over gehoord" oplevert. - Er wordt de schijn gewekt dat men met een insider, een collega, een aanzienlijke klant of wat voor een betrokken partij dan ook communiceert. Dit wordt hoofdzakelijk gedaan door eerder vergaarde insider-information in te zetten (jargon, kennis van werkwijzen of informatiesystemen). - Men is via het één uit op het ander. Denk hierbij aan vragen om een ‘zogenaamd naar de verkeerde afdeling gefaxt’ document intern door te faxen naar een andere afdeling. Daarbij is de Social Engineer dus in gesprek met iemand die elders of bij iemand anders iets veroorzaakt, zodat een verzoek van de Social Engineer dáár aan geloofwaardigheid wint. - Hulpeloos of autoriteit; er wordt ruwweg het meest gebruik gemaakt van gespeelde (gelogen) hulpeloosheid en van autoriteit. Denk hierbij in het eerste geval aan een Social Engineer die zich voordoet als iemand die in de problemen zit, die nieuw is op de werkvloer of in de clientèle en/of die enorm in de problemen zit. Deze persoon wordt altijd geholpen. Zelfs wanneer de Social Engineer maar een klein beetje hulp krijgt, heeft hij enorme winst. De informatie is doorgaans altijd te hergebruiken. In het geval van autoriteit moet men denken aan het zich voordoen als een helpdeskmedewerker of andersoortige ICT-medewerker, een nieuwe leidinggevende of een belangrijk iemand die ván een leidinggevende de toezegging heeft gehad dat de medewerker in kwestie een zeer urgent probleem zal oplossen. Iets als: een dossier zou ‘tijdens de vakantie van de baas’ vier dagen geleden al ergens zijn. Dat is (alweer) mis gegaan. Administratief medewerker X zou het oplossen en wel direct. Zo is toegezegd door de afwezige baas. De aangesproken medewerker gelooft dat de opdracht bij hem of haar is neergelegd en dat aarzelend navraag doen niet op prijs gesteld zal worden door zijn of haar leidinggevende. (dit lijkt nu echt een voorbeeld van even gewoon snel doen wat er van je gevraagd wordt...). Zie : Information Security Officer

51 42. Draag uw toegangspas! Draag uw toegangspas tijdens het werk
Begeleid mensen zonder toegangspas naar de receptie Vraag iedereen zonder zichtbaar gedragen pas om deze zichtbaar te dragen Geef nooit iemand toegang door de deur open te houden zonder u af te vragen of die persoon wel naar binnen mag. Bij twijfel: begeleiden naar de receptie

52 43. Wat kan er tegen Social Engineering ondernomen worden?
Informatiebeveiliging precentatie gemeenten 43. Wat kan er tegen Social Engineering ondernomen worden? Bij bellen, bij twijfel vragen om een terugbelnummer dat geverifieerd kan worden Laat mensen zonder badge niet meelopen bij het naar binnengaan. Breng bezoekers naar de receptie Vraag u af waarom een bepaald verzoek aan u wordt gedaan! Telefoons met nummerherkenning Zorg dat alle telefoons een display hebben met nummerherkenning. U ziet dan meteen dat/of nummerweergave uitgeschakeld is bij de beller en u kunt beter verifiëren wie u belt en waar hij vandaan belt (wanneer de nummerherkenning niet is uitgezet). Het kan een onderdeel zijn van een strategie waarin controleren en verifiëren onderdeel uitmaken van het verlenen van diensten (zoals informatieverstrekking). Eigen telefoonnummer, in beeld? Op dezelfde manier kan overwogen worden iets te doen met nummerweergave vanuit de eigen telefoon. Vaak wordt er bij bedrijven voor gekozen het eigen nummer afgeschermd of vereenvoudigd (het algemene nummer van de organisatie komt in beeld) te tonen. Daar valt veel voor te zeggen; men voorkomt daarmee dat klanten rechtstreekse nummers bellen in plaats van dat zij de Koninklijke weg bewandelen. Een reden om dit niet zo in te stellen, is dat de authenticatie van uw medewerkers naar anderen toe veel duidelijker is. Met andere woorden: Wanneer uw automatiseringsafdeling altijd met afgeschermde nummers belt, valt het minder op wanneer een Social Engineer met een afgeschermd nummer belt en een nepverhaal opbelt. Terugbellen Verifiëren door terug te bellen naar iemand die iets van uw organisatie (medewerker) vraagt, is één van de meest efficiënte methoden van bestrijding van Social Engineering. Vraag een terugbelnummer aan degene die u aan de telefoon hebt. Dat nummer moet van de organisatie zijn waarvoor de persoon zegt te werken. Aan een 06-nummer hebben we in deze niets. Zoek via bijvoorbeeld Internet het algemene nummer van de organisatie op. Vervolgens belt u dat nummer en laat u zich doorverbinden naar de persoon in kwestie. Vragen stellen Inhoudelijke vragen over de materie (zonder zelf iets weg te geven) stellen is ook een goed afweermechanismen. Niet in de laatste plaats omdat uw eventuele vermoeden met een oplichter te maken te hebben hierdoor bevestigd of weggenomen kan worden. (U kunt natuurlijk ook daadwerkelijk met een legitiem verzoek van een legitiem persoon te maken hebben.) Wanneer de persoon zich echter op overdreven hulpeloosheid of juist op autoriteit (al dan niet van een wat moeilijk te benaderen leidinggevende) begint te beroepen, of ontwijkend gedrag gaat vertonen, is het tijd om luidruchtiger te twijfelen. Controleer het beweerde; u hoeft niet bang te zijn dat uw leidinggevende het ten nadele aanrekent wanneer u iets verifieerd. Hij of zij waardeert dit bijzonder: of deze dat nou laat merken of niet. Bij twijfel: gooi het in de groep Een Social Engineer liegt u iets voor. De leugens zijn doorgaans vrij makkelijk te ontzenuwen, zo lang u maar niet uw navraag bij de door de Social Engineer opgegeven referentie doet. Stap naar een leidinggevende, uw (informatie) beveiligingsfunctionaris of als het iets ICT-matigs betreft naar uw applicatiebeheerder of helpdesk. Melden Tenslotte: de kracht van Social Engineering zit hem onder meer in het feit dat het onzichtbaar is. De kleine voorvalletjes die u wellicht meemaakt met een dergelijke aanvaller, lijken vaak te futiel om ergens te melden. Toch is het aan te bevelen kleinere verdachte situaties of voorvallen te melden bij uw (informatie)beveiligingsfunctionaris, Security Officer of leidinggevende. Daarnaast zijn er nog wel wat tips voor wanneer iemand vermoed met een Social Engineer van doen te hebben (of wanneer iemand dat zeker weet): Verkeerd wachtwoord opgeven Wanneer een (zogenaamde) ICT-medewerker uw wachtwoord vraagt, mag u er in de meeste gevallen vanuit gaan dat dit niet klopt. Er zijn altijd wel situaties te bedenken waarin u de helpdeskmedewerker wél kunt of moet vertrouwen. (Bijvoorbeeld: u krijgt van uw ICT-beheerder een speciaal programma wat niemand anders heeft, en om het programma werkend te krijgen vergt dit installatie en configuratie onder uw gebruikersnaam. Wanneer u dan uw vertrouwde werkplekondersteuner of helpdeskmedewerker aan uw bureau krijgt, kunt u gerust uw wachtwoord geven. Besef wel wat u weggeeft. Wanneer uw werkzaamheden een te hoge vertrouwelijkheids- of gevoeligheidsgraad hebben, moet u echter van deze stap afzien. U moet dan gewoon tijd vrijmaken om samen met de medewerker achter uw computer te kruipen. Geeft u het wachtwoord wel, vergeet dan niet dit direct na het klusje te veranderen. Vraagt een 'onbekende' ICT-medewerker u om uw wachtwoord: geef het dan nooit. Een tip: geef het verkeerde wachtwoord en bel daarna het afdelings- of teamhoofd van de Helpdesk of technisch beheer om te vertellen wie u zojuist wat heeft gevraagd. In de wacht zetten Wanneer u twijfelt over de oprechtheid van een beller, moet u de persoon 'in de wacht' zetten. Geef aan dat u even moet overleggen met een collega of met uw baas en laat de beller een halve of hele minuut (of meer) wachten. De Social Engineer zal dit zien als onraad. Hij zal een ander willen bellen; iemand bij wie hij minder argwaan tegenkomt. Durf te twijfelen Durf te twijfelen en durf twijfel uit te spreken. Durf naar een leidinggevende te stappen met een simpele controlevraag. En leidinggevenden: ontvang medewerkers met twijfels, opmerkingen of vragen omtrent mogelijke telefonische indringers met open armen. En voor de leidinggevende geldt natuurlijk: neem de duidelijke rol van verantwoordelijke, van aanspreekpunt en van 'de te informeren persoon' aan. Wanneer medewerkers niet naar hun leidinggevende durven te gaan met hun onderbuikgevoel of hun beginnende blundertjes, zullen de signalen die opgemerkt moeten worden zoals al eerder gezegd 'in de ruis van de organisatie verdwijnen'. Er zijn diverse onderzoeken geweest waarbij mensen hun wachtwoord gaven voor bijvoorbeeld een ballpoint! Draag altijd uw toegangspas binnen de werkruimten Information Security Officer

53 Informatiebeveiliging precentatie gemeenten
44. Bedrijfsinformatie Dus… Bescherm gemeentelijke informatie alsof uw baan er vanaf hangt, omdat… uw baan er ook vanaf hangt! Het is wat prikkelend, maar dat mag ook. Information Security Officer

54 4/13/2004 Vragen? Information Security Officer