De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Veiligheidssessie 1ste semester 2014 1 Programmatorische Overheidsdienst Maatschappelijke Integratie,

Verwante presentaties


Presentatie over: "Veiligheidssessie 1ste semester 2014 1 Programmatorische Overheidsdienst Maatschappelijke Integratie,"— Transcript van de presentatie:

1 Veiligheidssessie 1ste semester Programmatorische Overheidsdienst Maatschappelijke Integratie,

2 PROGRAMMA 1) Smartphones-pda: risico's en aanbevelingen 2) Herhaling van de principes op te werken met een cloud 3) Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 4) Problemen gemeld in de gemeenten en OCMW's. 5) Beveiliging van een Wi-Fi installatie 6) Wat informatie over een voorzorg die moet genomen worden met mails. 2 Programmatorische Overheidsdienst Maatschappelijke Integratie,

3 Vragen of onderwerpen die moeten worden besproken Nu is het aan jullie!

4 De smartphone De Smartphone!

5 Wat kan je met een smartphone doen? - Surfen op internet. - Muziek beluisteren. - Films bekijken. - Mails versturen. - Foto's maken. 5 De Smartphone 1 Programmatorische Overheidsdienst Maatschappelijke Integratie,

6 - Filmen. - Apps installeren (Whatsapp, Skype, Soundhound, enz.) - Een GPS, Coyote gebruiken. - Een kalender, agenda gebruiken. - Bijkomstig, telefoneren. 6 De Smartphone 2 Programmatorische Overheidsdienst Maatschappelijke Integratie,

7 7 De Smartphone 3 Programmatorische Overheidsdienst Maatschappelijke Integratie,

8 - En inloggen op de mailbox van het OCMW of op andere functionaliteiten. - Welke zijn de risico's? 8 De Smartphone 4 Programmatorische Overheidsdienst Maatschappelijke Integratie,

9  Identieke wachtwoorden voor de verschillende toegangen.  Opslag van veiligheidscodes, wachtwoorden en certificaten op de smartphone.  - Meer kwetsbaarheden op het OS van mobiele toesteleln dan op PC - laptops. 9 De Smartphone 5 Programmatorische Overheidsdienst Maatschappelijke Integratie,

10  Niet-versleutelde en niet-beschermde verbindingen.  Bepaalde smartphones kunnen niet beschermd worden, omdat zij niet over voldoende veiligheidsfuncties beschikken.  Onmogelijk om antivirus of andere veiligheidstoepassingen te installeren. Gevaarlijke toepassingen 10 De Smartphone 5 Programmatorische Overheidsdienst Maatschappelijke Integratie,

11 Aanbevelingen veiligheidsbeleid  Wanneer de smartphones gebruikt worden door het OCMW-personeel om toegang te hebben tot gevoelige informatie, moet het gaan om smartphones van het OCMW en waarvan de veiligheidsconfiguratie gebeurt door het OCMW volgens de KSZ-normen. 11 De Smartphone 6 Programmatorische Overheidsdienst Maatschappelijke Integratie,

12 Aanbevelingen veiligheidsbeleid  Beheersoplossingen gebruiken van mobiele terminals waardoor vanuit een centraal punt snel veiligheidsprofielen kunnen worden aangemaakt voor alle smartphones. 12 De Smartphone 7 Programmatorische Overheidsdienst Maatschappelijke Integratie,

13 Aanbevelingen toegangscontrole.  Andere beveiligde verbindingsoplossingen* gebruiken dan het wachtwoord: -eid; -vingerafdruk; -digicode; -de oplossing Terminal - server. * Oplossing waarvan de efficiëntie werd bewezen. 13 De Smartphone 8 Programmatorische Overheidsdienst Maatschappelijke Integratie,

14 Aanbevelingen toegangscontrole.  Configuratie van de automatische vergrendeling (5' bijvoorbeeld).  Het aantal ontgrendelpogingen beperken, dan een steeds langere blokkeringstijd configureren en zorgen dat er na een tiental mislukte pogingen automatisch gewist wordt. 14 De Smartphone 9 Programmatorische Overheidsdienst Maatschappelijke Integratie,

15 Aanbevelingen toegangscontrole.  De terminal niet onbeheerd achterlaten. Een zeer tijdelijke toegang tot een mobiele terminal kan voldoende zijn om schade toe te brengen, zonder dat de gebruiker zelfs op de hoogte is dat hij vergrendeld is. 15 De Smartphone 10 Programmatorische Overheidsdienst Maatschappelijke Integratie,

16 Aanbevelingen toegangscontrole.  De smartphone niet aansluiten op een niet-vertrouwde werkpost, die een rechtstreekse niet-gecontroleerde verbinding kan maken. 16 De Smartphone 11 Programmatorische Overheidsdienst Maatschappelijke Integratie,

17 Beveiligheidsaanbevelingen van de toepassingen.  De geïnstalleerde toepassingen moeten een betrouwbaarheidsstudie ondergaan vooraleer zij mogen gebruikt of geïnstalleerd worden. Deze aanbeveling geldt eveneens voor de vooraf geïnstalleerde toepassingen die indien nodig moeten worden verwijderd worden. 17 De Smartphone 12 Programmatorische Overheidsdienst Maatschappelijke Integratie,

18 Beveiligheidsaanbevelingen van de toepassingen.  De toegangsrechten controleren bij elke update (wijziging, toevoeging, verwijdering).  Het gebruik van de GPS verbieden wanneer die voor geen enkele toepassing nodig is. Indien deze optie niet beschikbaar is, de dienst GPS uitschakelen, wanneer die niet gebruikt wordt. 18 De Smartphone 13 Programmatorische Overheidsdienst Maatschappelijke Integratie,

19 Beveiligheidsaanbevelingen van de toepassingen.  De toegang tot internet via een beveiligde browser beperken.  Geforceerde en regelmatige update van de toepassingen die geconfigureerd zijn overeenkomstig de veiligheidsnormen. 19 De Smartphone 14 Programmatorische Overheidsdienst Maatschappelijke Integratie,

20 Beveiligheidsaanbevelingen mededelingen.  De draadloze (Bluetooth en WiFi) of contactloze (NFC bijvoorbeeld) interfaces moeten verwijderd worden wanneer ze niet worden gebruikt.  Systematisch de automatische koppeling tot de WiFi-toegangspunten verwijderen. 20 De Smartphone 15 Programmatorische Overheidsdienst Maatschappelijke Integratie,

21 Beveiligheidsaanbevelingen mededelingen.  Nooit verbinding maken met onbekende draadloze netwerken die niet vertrouwd zijn.  De losse of interne opslag van de terminal moeten versleuteld worden met een serieuze sleutel. 21 De Smartphone 16 Programmatorische Overheidsdienst Maatschappelijke Integratie,

22 Beveiligheidsaanbevelingen mededelingen.  Elke gevoelige uitwisseling van informatie moet gebeuren via een versleuteld kanaal om vertrouwelijkheid en integriteit van de point-to-point gegevens te verzekeren.  De losse of interne opslag van de terminal moeten versleuteld worden met een serieuze sleutel. 22 De Smartphone 17 Programmatorische Overheidsdienst Maatschappelijke Integratie,

23 Beveiligingsaanbevelingen mededelingen.  Elke gevoelige uitwisseling van informatie moet gebeuren via een versleuteld kanaal om vertrouwelijkheid en integriteit van de point-to- pointgegevens te verzekeren.  De losse of interne opslag van de terminal moeten versleuteld worden met een serieuze sleutel. 23 De Smartphone 18 Programmatorische Overheidsdienst Maatschappelijke Integratie,

24 Aanbevelingen OS  Indien de smartphones gevoelige gegevens bevat, is het aan te raden om de smartphone jaarlijks opnieuw te initialiseren, dit wil zeggen een nieuwe installatie van het besturingssysteem en een wijziging van de sleutels, om het systeem opnieuw op laag niveau te beveiligen. 24 De Smartphone 19 Programmatorische Overheidsdienst Maatschappelijke Integratie,

25 Aanbevelingen beroeps- /privégebruik  Om de verdelingsoplossingen te gebruiken in overeenstemming met de veiligheidsnoden van de minimale normen (verbod om tegelijk voor privé- en professionele doeleinden op internet te gaan), enkel de professionele smartphones die hiervoor bestemd zijn gebruiken. 25 De Smartphone 20 Programmatorische Overheidsdienst Maatschappelijke Integratie,

26 26 De Smartphone Programmatorische Overheidsdienst Maatschappelijke Integratie, Enkele links: - https://www.bit9.com/research/orphan-android-top-vulnerable-smartphones- 2011/orphan-android-infographic/ https://www.bit9.com/research/orphan-android-top-vulnerable-smartphones- 2011/orphan-android-infographic/ - smartphones-black-hat smartphones-black-hat - mass-smartphone-hacking/ mass-smartphone-hacking/

27 Vragen ? 27 De Smartphone Programmatorische Overheidsdienst Maatschappelijke Integratie,

28  Clausule over de soevereiniteit* De verstrekker moet de instelling verzekeren dat noch hij, noch zijn eventuele onderaannemers onderworpen zijn aan verzoeken van buitenlandse autoriteiten in België of in de Europese Unie. Voorbeeld: Microsoft 'must release' data held on Dublin server * https://www.bcss.fgov.be/binaries/documentation/fr/securite/policies/isms_050_cloud_computing_policy_fr.pdf 28 HERHALING VAN DE PRINCIPES OP TE WERKEN MET EEN CLOUD Programmatorische Overheidsdienst Maatschappelijke Integratie,

29  Behoudens afwijking vereist elke uitbesteding van persoonlijke gegevens een versleuteling van de gegevens gedurende de overdracht en voor de opslag. De middelen om te versleutelen moeten steeds onder de controle blijven van de instelling wat het beheer betreft en mogen niet worden uitbesteed* (opgelet met de landen die hun versleutelsystemen eisen: Frankrijk bijvoorbeeld).  *https://www.bcss.fgov.be/binaries/documentation/fr/securite/policies/isms_050_cloud_computing_policy_fr.pdf 29 HERHALING VAN DE PRINCIPES OM TE WERKEN MET EEN CLOUD Programmatorische Overheidsdienst Maatschappelijke Integratie,

30 Vragen? 30 HERHALING VAN DE PRINCIPES OM TE WERKEN MET EEN CLOUD Programmatorische Overheidsdienst Maatschappelijke Integratie,

31  Huidige toepasselijke wettelijke bepalingen inzake persoonsgegevens worden op artikel 16, §4 van de wet verwerking persoonsgegevens gewezen (ook ‘privacywet’ genoemd).  De verantwoordelijke voor de verwerking, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens [1] Zie hiervoor ook het artikel 17 van de Europese privacyrichtlijn [2]. [1] [2] 31 Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 1 Programmatorische Overheidsdienst Maatschappelijke Integratie,

32  Er worden door de cloudaanbieders inspanningen geleverd inzake beveiligde verbindingen en encryptie van de data wordt aangeboden (mogelijk wel niet standaard of zonder extra kost) voor vertrouwelijke gegevens  Het is echter niet zeker of de geboden oplossingen de gepaste bescherming bieden. Wie heeft de sleutel? garanties om na lange termijn terug te kunnen de- encrypteren? eenvoudig en snel in gebruik (want anders wordt het toch niet toegepast)? … 32 Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 2 Programmatorische Overheidsdienst Maatschappelijke Integratie,

33  -vrij-zeker-data-onbereikbaar-overheden.html -vrij-zeker-data-onbereikbaar-overheden.html  (opm: lijkt op basis van wetgeving van toepassing op Amerikaanse burgers).  Microsoft zou ook encryptie aanbieden. Dat werd door hen gezegd op shopt-it na de opmerkingen van de veiligheidsexperts in het debat. 33 Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 3 Programmatorische Overheidsdienst Maatschappelijke Integratie,

34  Zie oa (uit 2011) security/ / /deel-1-encryptie- gevoelige-clouddata-is-noodzakelijk.html security/ / /deel-1-encryptie- gevoelige-clouddata-is-noodzakelijk.html 34 Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 4 Programmatorische Overheidsdienst Maatschappelijke Integratie,

35  Het is positief dat de cloudleveranciers informatieveiligheid als een verkoopsargument beginnen te gebruiken.  Op dit moment is het zo dat enkele grote cloudaanbieders op dat punt haasje over spelen en is het niet duidelijk welke de beste of voldoende garanties biedt. 35 Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 5 Programmatorische Overheidsdienst Maatschappelijke Integratie,

36  Bij de commerciële cloudaanbieders beweegt er dus wat, maar ook aan de zijde van de overheid. Enkele overheden in België hebben zelf al een private (of community?) cloud opgezet [6]. Er zouden ook plannen zijn voor intergouvernementele samenwerking binnen Europa. [6]  Zie over Fedict :Het Laatste Nieuws, 3 maart Zie ook het departement LNE van de Vlaamse Overheid. 36 Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 6 Programmatorische Overheidsdienst Maatschappelijke Integratie,

37  Daarbij aansluitend kan verwezen worden naar de “Good Practice guide for securely deploying Governmental Clouds” [7] van het European Union Agency for Network and Information Security (ENISA) waarin talrijke aanbevelingen staan inzake privacybescherming en informatieveiligheid. [7]  [7] management/emerging-and-future- risk/deliverables/security-and-resilience-in- governmental-clouds [7]http://www.enisa.europa.eu/activities/risk- management/emerging-and-future- risk/deliverables/security-and-resilience-in- governmental-clouds 37 Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 7 Programmatorische Overheidsdienst Maatschappelijke Integratie,

38  Conclusie: aangezien er wat groeit qua beveiliging en vertrouwelijkheid, maar er tegelijk nog veel onzekerheden zijn, is het aangewezen geen overhaaste beslissingen te nemen. 38 Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 8 Programmatorische Overheidsdienst Maatschappelijke Integratie,

39  Ter herinnering de belangrijkste problemen inzake publieke cloud op een rijtje: gebruik van de data voor het opstellen van profielen van de gebruikers die dan voor eigen marketingdoeleinden gebruikt worden (cf. recent ivm een Nederlandse en een “Belgische” bank [8] ), doorgegeven worden aan “verbonden ondernemingen” of verkocht worden; [9] [8] [9] 39 Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 8 Programmatorische Overheidsdienst Maatschappelijke Integratie,

40 hacking en achterdeurtjes [10] en hiermee gelinkt: [10]  NSA spionageactiviteiten (NSA al dan niet op basis van de hieronder vermelde Amerikaanse wetgeving) via de firma’s die de clouddiensten aanbieden (en daar nu niet gelukkig lijken mee te zijn).  aandachtspunten bij cloudcontracten en outsourcingcontracten in het algemeen, Zie ondermeer publicatie van ENISA [11] en de al talrijke richtlijnen gepubliceerd door advocaten en consultants. [11]  een rechter – ook een Europese - kan gegevens opvragen aan de cloudaanbieder en u weet als eigenaar van de gegevens van niets (ongeacht de contractuele bepalingen of zelfs met een uitdrukkelijk daarin opgenomen voorbehoud) [12] [12] 40 Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 9 Programmatorische Overheidsdienst Maatschappelijke Integratie,

41 hacking en achterdeurtjes [10] en hiermee gelinkt: [10]  Amerikaanse cloudproviders: grootschalige screening van clouddata met gegevens van Europese burgers bij Amerikaanse ondernemingen of ondernemingen met een link met Amerika. De opslaglocatie is niet doorslaggevend! Dit is mogelijk op basis van Amerikaanse wetgeving, namelijk de Patriot Act en FISA Amendments act, er moet zelfs geen sprake zijn van terrorisme of zware criminaliteit [13].[13]  [8] Gazet van Antwerpen, 11 maart 2014, “ING wil info over koopgedrag klanten doorspelen aan derden” [8] 41 Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 10 Programmatorische Overheidsdienst Maatschappelijke Integratie,

42 hacking en achterdeurtjes [10] en hiermee gelinkt: [10]  [9] gedwongen-dataminen-studentenmail? [9]http://webwereld.nl/big-data/82349-google-staakt- gedwongen-dataminen-studentenmail?  “Ook belooft hij deze lijn door te trekken naar de andere Apps-diensten, zoals Google Apps for Business en Google Apps for Government. Wanneer dat gebeurt wordt niet vermeldt.” Het is niet zeker of dit ook garanties zal bieden voor de Europese burger.  [10] dwingt-duits-windows-backdoorartikel-offline [10]http://webwereld.nl/beveiliging/79064-microsoft- dwingt-duits-windows-backdoorartikel-offline  voor-iphones? voor-iphones?  doet-zijn-beklag-bij-obama-over-nsa/article htm (oa ivm Belgacom-BICS) doet-zijn-beklag-bij-obama-over-nsa/article htm  [11] management/files/deliverables/cloud- computing-risk-assessment [11]http://www.enisa.europa.eu/activities/risk- management/files/deliverables/cloud- computing-risk-assessment  [12] -usa-tech-warrants-idUSBREA3O24P (data MS in Dublin) [12] -usa-tech-warrants-idUSBREA3O24P  [13] cloud-hou-rekening-met-de-amerikaanse- wetgeving [13]http://www.v-ict-or.be/nieuws/data-in-de- cloud-hou-rekening-met-de-amerikaanse- wetgeving . 42 Richtlijn goedgekeurd door de POD MI en de VTC, rond de cloud van Microsoft 11 Programmatorische Overheidsdienst Maatschappelijke Integratie,

43 Vragen? 43 HERHALING VAN DE PRINCIPES OM TE WERKEN MET EEN CLOUD Programmatorische Overheidsdienst Maatschappelijke Integratie,

44 De POD MI heeft 2 OCMW's geholpen om hun plan proberen te trekken in verband met de informatica- en veiligheidsproblemen. Dit zijn de vaststellingen.  Zwakke informaticakennis van de gemeenten en OCMW's. 44 Problemen gemeld in de gemeenten en OCMW's 1. Programmatorische Overheidsdienst Maatschappelijke Integratie,

45  Zwakke kennis van de gemeenten en OCMW's op het vlak van informaticatoekomst.  Onwetendheid over prijzen en kosten.  Mentaliteit is gebleven zoals in het verleden: ja, het is mogelijk om veel te doen ZONDER CIVADIS.  Gebrek aan kennis over bestekken.  Sommige OCMW's vragen CIVADIS om bestekken op te stellen. 45 Problemen gemeld in de gemeenten en OCMW's 2. Programmatorische Overheidsdienst Maatschappelijke Integratie,

46 46 Problemen gemeld in de gemeenten en OCMW's 3. Programmatorische Overheidsdienst Maatschappelijke Integratie,

47  Buitensporige offertes: sommige leveranciers vragen tussen 2 en 4 maal de prijs van het materiaal.  Miskenning van de aankoopcentrales die veel geld kunnen opleveren op materiaal en op licenties: aankoopcentrale in Henegouwen, provinciale regering van Luxemburg.  De gemeentelijke gezagdragers zijn niet op de hoogte van de bedreigingen op het van van informatica en veiligheid. 47 Problemen gemeld in de gemeenten en OCMW's 4. Programmatorische Overheidsdienst Maatschappelijke Integratie,

48  Externe zelfstandige professionals worden weinig gebruikt om de problemen af te bakenen, DE oplossingen te onderzoeken en te helpen bij het opstellen van het bestek.  In sommige OCMW's zijn er goede specialisten op het vlak van bestekken. Zij kunnen jullie helpen.  Miskenning van de technische mogelijkheden en prijzen. 48 Problemen gemeld in de gemeenten en OCMW's 5. Programmatorische Overheidsdienst Maatschappelijke Integratie,

49  Gebrek aan reactie, zelfs wanneer het mogelijk is om grote besparingen te doen (tot 50 %).  Vaak teveel invloed van de lokale informaticus die "alles weet" en niemand nodig heeft.  Gebrek aan controle van wat de informaticus doet. 49 Problemen gemeld in de gemeenten en OCMW's 6. Programmatorische Overheidsdienst Maatschappelijke Integratie,

50  Gebrek aan overdracht van informatie wanneer de informaticus vertrekt of verdwijnt.  Artisanaal beheer van het netwerk met het risico op ernstige rampen en financiële verliezen.  De veiligheidsconsulent wordt te weinig betrokken bij de aankopen van nieuw materiaal en nieuwe software: de veiligheid speelt hier een belangrijke rol: wachtwoord, beveiligde toegang, eigendom van gegevens, enz. 50 Problemen gemeld in de gemeenten en OCMW's 7. Programmatorische Overheidsdienst Maatschappelijke Integratie,

51  De OCMW's beschikken over hulpmiddelen: de UVCW; de POD MI; externe consultants; specialisten in de OCMW's (bestek, netwerktesten, aankoop van materiaal, van software); mogelijkheid om samen te werken om een professionele veiligheidsconsulent te hebben (test in die zin in de provincie Luxemburg). 51 Problemen gemeld in de gemeenten en OCMW's 8. Programmatorische Overheidsdienst Maatschappelijke Integratie,

52  Vragen? 52 Problemen gemeld in de gemeenten en OCMW's EINDE Programmatorische Overheidsdienst Maatschappelijke Integratie,

53  Zie document KSZ https://www.bcss.fgov.be/binaries/documentation/fr/securite/policies/isms_038_wlan_fr.pdf  De risico's van Wi-Fi  Waar hangt de veiligheid van Wi-Fi vanaf.  Belang van de uitgewisselde gegevens.  Aanbevelingen 53 Beveiliging van een Wi-Fi installatie 1 Programmatorische Overheidsdienst Maatschappelijke Integratie,

54 Talrijke OCMW's wensen Wi-Fi te installeren voor hun mobiele posten en hun klanten. De risico's van Wi-Fi  Onwettelijke toegang tot talrijke tools die beschikbaar zijn op internet.  De beschikbare en geïnstalleerde codesystemen geven vaak een vals gevoel van veiligheid.  https://www.youtube.com/watch?v=57hVdt-4bTY https://www.youtube.com/watch?v=57hVdt-4bTY  Het is onmogelijk om de Wi-Fi technologie goed te beveiligen. 54 Beveiliging van een Wi-Fi installatie 1 Programmatorische Overheidsdienst Maatschappelijke Integratie,

55  Elke Wi-Fi technologie moet, in de mate van het mogelijke, vermeden worden. 55 Beveiliging van een Wi-Fi installatie 2 Programmatorische Overheidsdienst Maatschappelijke Integratie,

56 Aanbevelingen 1  De Wi-Fi interface enkel activeren wanneer deze gebruikt moet worden.  Om de controle te houden op de connectiviteit van de terminal, systematisch de automatische verbinding uitschakelen van de Wi-Fi toegangspunten die geconfigureerd zijn in de terminal.  Het besturingssysteem en de Wi-Fi-piloten van de terminal steeds up to date houden via de veiligheidsverbeteringen.  Zoveel mogelijk vermijden om verbinding te maken met onbekende draadloze netwerken of die niet vertrouwd zijn. 56 Beveiliging van een Wi-Fi installatie 3 Programmatorische Overheidsdienst Maatschappelijke Integratie,

57 Aanbevelingen 2  De inkomende verbindingen via de Wi-Fi-interface blokkeren dankzij de configuratie van de lokale firewall.  Het veiligheidsbeleid van het OCMW naleven, in het bijzonder de versleutelmiddelen voor authentificatie en bescherming van de vertrouwelijkheid en de integriteit die moeten worden uitgevoerd.  Geen persoonlijke Wi-Fi verbinden op het netwerk van het OCMW. 57 Beveiliging van een Wi-Fi installatie 4 Programmatorische Overheidsdienst Maatschappelijke Integratie,

58 Aanbevelingen 3  Bij een mobiele toestand, bij elke verbinding met Wi-Fi- toegangspunten die niet vertrouwd zijn (bijvoorbeeld in het hotel, het station of de luchthaven), vóór elke gegevensuitwisseling, systematisch de aanvullende beveiligingsmiddelen gebruiken (VPN, Ipsec bijvoorbeeld).  Wanneer gevoelige (persoonlijke) gegevens moeten worden verstuurd via een Wi-Fi netwerk, moet een specifiek veiligheidsprotocol zoals TLS of IPsec, worden uitgevoerd. 58 Beveiliging van een Wi-Fi installatie 5 Programmatorische Overheidsdienst Maatschappelijke Integratie,

59 Aanbevelingen 4  Het toegangspunt configureren om een robuuste versleuteling te gebruiken. de WPA2 met het versleutelingsalgoritme AES-CCMP wordt sterk aangeraden. Voor de persoonlijke toegangspunten, de authentificatiemode WPA-PSK (persoonlijke WPA) gebruiken met een lang en moeilijk wachtwoord (bijvoorbeeld een twintigtal karakters), des te meer daar dit opgeslagen wordt en de gebruiker dit niet moet onthouden. 59 Beveiliging van een Wi-Fi installatie 6 Programmatorische Overheidsdienst Maatschappelijke Integratie,

60 Aanbevelingen 5  Wanneer de toegang tot het Wi-Fi netwerk niet wordt beschermd door een wachtwoord (WPA-PSK) is het zeer belangrijk om dit regelmatig de wijzigen, maar eveneens de verspreiding ervan te controleren. In het bijzonder: het wachtwoord niet meedelen aan niet-bevoegde derden (dienstverleners bijvoorbeeld); het wachtwoord niet schrijven op een support die kan worden bekeken door een niet-bevoegde derde. het wachtwoord regelmatig wijzigen, in het bijzonder wanneer het werd in gevaar gebracht. 60 Beveiliging van een Wi-Fi installatie 7 Programmatorische Overheidsdienst Maatschappelijke Integratie,

61 Aanbevelingen 6  Voor de professionele Wi-Fi netwerken, een WPA2 opstellen met een gecentraliseerde authentificatie-infrastructuur door een beroep te doen op WPA-Entreprise (standard 802.1X en EAP-protocol), en sterke authentificatiemethodes.  De Private VLAN configureren in mode "Isolated" wanneer het Wi- Fi toegangspunt deze functionaliteit ten laste neemt.  Geen generieke en standaard voorgestelde netwerknaam (SSID) bewaren. De gekozen SSID moet niet te uitgesproken zijn tegenover een beroepsactiviteit of persoonlijke informatie. Voorbeeld: openbaar netwerkOCMW, OCMWHuppeldepup, OpenbaarOCMW, enz. 61 Beveiliging van een Wi-Fi installatie 8 Programmatorische Overheidsdienst Maatschappelijke Integratie,

62 Aanbevelingen 7  Systematisch de functie WPS (Wi-Fi Protected Setup) van de toegangspunten verwijderen.  De administratie van het Wi-Fi toegangspunt beveiligen door: beveiligde administratieprotocollen te gebruiken (HTTPS bijvoorbeeld); de administratie-interface te verbinden met een beveiligd draadnetwerk voor administratie, ten minste om de toegang voor Wi-Fi gebruikers te verhinderen; sterke administratiewachtwoorden te gebruiken.  Architectuur netwerk en omgeving Active Directory: aanbevelingen mogelijk op aanvraag. 62 Beveiliging van een Wi-Fi installatie 9 Programmatorische Overheidsdienst Maatschappelijke Integratie,

63 VRAGEN? 63 Beveiliging van een Wi-Fi installatie Programmatorische Overheidsdienst Maatschappelijke Integratie,

64 Remi-applicatie van Cebud  Remi is een applicatie die het toelaat referentiebudgetten te berekenen voor cliënten. Deze budgetten laten toe te zien hoeveel een cliënt nodig heeft om een waardig menselijk leven te kunnen leiden. De veiligheidsconsulenten van OCMW’s hadden problemen met de opslag van gevoelige data (een hele hoop financiële gegevens) onder het rijksregisternummer.  Remi is een online web applicatie dat individuele referentiebudgetten berekent. Dit budget kan worden aangepast aan de individuele situatie van de cliënt. De toepassing gaat uit van het reële uitgaven patroon van de cliënt. Omdat het een individueel dossier is kan het maandbudget aangepast worden. De berekening kan dus terug opgeroepen worden.  De MA kan alleen de eigen dossiers oproepen. De MA kan enkel de eigen dossiers aanmaken, lezen, schrijven en wijzigen. In het dossier staan persoonsgegevens, gezinsgegevens, uitgaven en inkomsten. 64 REMI APPLICATIE VAN CEBUD 1 Programmatorische Overheidsdienst Maatschappelijke Integratie,

65  Het rijksregisternummer wordt gehashed opgeslagen op een manier die niet doorbreekbaar is.  Het inloggen op de toepassing gebeurd via een individuele account van het OCMW. Het account is dus gekoppeld aan het OCMW. Iedere MA gelinkt aan het OCMW krijgt een login van Cebud. De persoon die de toegang vraagt moet een aantal gegevens doorgeven aan Cebud. Cebud bewaart deze gegevens.  De toegang tot de toepassing verloopt via een login met een paswoord.  De Thomas Moore hogeschool heeft een veiligheidsconsulent die zich ook zal bezig houden met de toepassing.  Vanaf januari wordt de toepassing betalend. OCMW’s die willen kunnen dan de toepassing verder gebruiken. De gegevens van de OCMW’s die de toepassing niet verder wensen te gebruiken zullen verwijderd worden.  De data wordt bewaard op servers die zeer sterk beveiligd zijn. De servers en hun netwerk wordt uitbesteed aan stone, een Belgisch bedrijf. De gegevens worden opgeslaan in België. De hogeschool is zelf ook gebonden aan privacywetgeving waardoor dit punt ook voor hun toepassingen belangrijk is. 65 REMI APPLICATIE VAN CEBUD 2 Programmatorische Overheidsdienst Maatschappelijke Integratie,

66 Conclusies  Het gebruik van het rijksregisternummer is geen probleem. OCMW’s zijn gemachtigd om het rijksregisternummer gebruiken. De gegevens worden bovendien veilig bewaard bij Cebud.  Het toegangsbeheer is te zwak. Het OCMW kan niet zelf MA’s toevoegen of verwijderen. Enkel Cebud heeft zicht op de toegangen naar de toepassing. Het toegangsbeheer moet in handen komen van de OCMW secretaris of de veiligheidsconsulent.  De toegang tot de toepassing met een login met wachtwoord is te zwak. Er moet een sterke authenticatie zijn zoals bijvoorbeeld een login met e-id.  Cebud moet als partner van het OCMW de minimale veiligheidsnormen van de KSZ volgen. 66 REMI APPLICATIE VAN CEBUD 3 Programmatorische Overheidsdienst Maatschappelijke Integratie,

67 Conclusies  Cebud moet een samenwerkingsovereenkomst sluiten met het OCMW dat de toepassing wilt gebruiken. Dit punt zal in januari in orde zijn. Vanaf dan is de toepassing betalend en worden er licentieovereenkomsten gesloten met de OCMW’s die de toepassingen verder willen gebruiken. De OCMW’s die de toepassing vanaf januari wensen te gebruiken zullen een opleiding krijgen van Cebud.  Cebud gaat aan de slag om de bovenstaande punten de verbeteren. Zij zullen ons een document bezorgen over de problemen en hun oplossingen. In de werkgroep informatieveiligheid kunnen we dan dat document bespreken en terugkoppelen naar Cebud. 67 REMI APPLICATIE VAN CEBUD 4 Programmatorische Overheidsdienst Maatschappelijke Integratie,

68 VRAGEN? 68 THE END Programmatorische Overheidsdienst Maatschappelijke Integratie,


Download ppt "Veiligheidssessie 1ste semester 2014 1 Programmatorische Overheidsdienst Maatschappelijke Integratie,"

Verwante presentaties


Ads door Google