DATABEVEILIGING: Wie kijkt er met u mee? - Sander Kollerie & George Smits
Welkom Welkom bij deze workshop
EVEN VOORSTELLEN Business Academy Wie zijn wij? Dit is George van Xtra-IT en hij is algemeen automatiseerder met computerbeveiliging als specialiteit Ik ben Sander van UMM, wij leveren bedrijven hun eigen online leeromgeving onder de naam Business Academy met veel verschillende soorten trainingen waaronder ook binnenkort een uitgebreide training databeveiliging.
“Leren begrijpen” EVEN VOORSTELLEN Onze filosofie Onze filosofie: Leren Begrijpen. Wij zijn er van overtuigd dat het heel belangrijk is om te leren. Dit voorkomt ook een hoop datalekken. De mens is nog steeds de meest risicovolle factor. Maar daarover zo meer.
Risico We gaan het hebben over de risco’s
DE KANS Overkomt mij dit ook? Maar hoe groot is eigenlijk de kans dat uw bedrijf getroffen wordt door een datalek? Dit overzicht toont het aantal ‘datalekken’ – dat klinkt weliswaar als een ongelukje maar doodordinaire diefstal van informatie heet nu eenmaal ook een datalek - waarbij tenminste 30.000 records aan gegevens in verkeerde handen zijn gevallen. In Nederland zijn inmiddels 5000 tot 6000 lekken bekend.
Imagoschade Boetes DE IMPACT Hoe erg is het? En dan de impact van een datalek. Informatie in verkeerde handen kan oneindig veel vervelende gevolgen hebben en zal voor ieder bedrijf anders zijn. Maar veel universeler is de potentiele imagoschade enerzijds en de boetes anderzijds. Voor het niet melden van een datalek terwijl dat wel moet; het niet op orde hebben van de beveiliging; het verwerken van persoonsgegevens zonder toestemming; Kunnen de boetes oplopen tot €820.000 of 10% van de jaaromzet… Goed, jullie zitten hier natuurlijk omdat jullie al lang van de ernst van de zaak doordrongen zijn maar ik denk, ik maak het toch even concreet.
Oorzaak Wat is nu de oorzaak van de datalekken?
HET BEELD Wat vertellen ze ons? Een team van cyber criminelen die door de grootste onderwereldfiguren gerekruteerd worden om in een schimmig en verlaten pakhuis met futuristische techniek de code van een nucleaire bom willen ontvreemden of de goudvoorraad van VS willen stelen op zoek naar de macht over de wereld…dat is Hollywood. In de praktijk zijn vooral bedrijven met minder dan 1000 werknemers het slachtoffer. En gaat het doodordinair om geld.
Medewerkers Malware Malware via mail Zwakke wachtwoorden Sociale media DE OORZAAK Wat vertellen ze ons? Medewerkers Malware Malware via mail Zwakke wachtwoorden Sociale media Interessant om te weten dat hoewel techniek cruciaal is, er ook een enorm risico bij de gebruikers / werknemers ligt. Het ‘Data Breach Investigation Rapport’ van Verizon laat een lijst met voornaamste oorzaken van datalekken zien: Bij 25% van de datalekken waren mensen vanuit de organisatie betrokken 51% van de datalekken werden veroorzaakt door malware (virussen) 66% van de malware kwam via e-mail 81% van alle hack gerelateerde datalekken maakte gebruik van gestolen of zwakke wachtwoorden Social engineering is een van de meest gebruikte vormen om te hacken
DE OORZAAK Wat vertellen ze ons? “Bewustwording is de eerste en beste verdediging tegen cybercriminelen en het gebrek aan bewustzijn in sommige organisaties zorgt voor het herhaaldelijk succes van de meeste cyberaanvallen” - Laurence Dine Want het grootste probleem waar mensen mee te maken in een tijd waar de wereld snel verandert: de meeste mensen doen de dingen zoals ze die altijd gedaan hebben. Want dat is bekend en vertrouwd. En veel mensen zien ook niet de aanleiding om hun werkwijze aan te passen. Dat is precies waarom bewustzijn en uiteindelijk ‘begrijpen’ zo belangrijk is.
Mensen Uiteindelijk zijn de meeste datalekken te herleiden tot mensen. En dan bedoelen we niet de criminelen maar medewerkers die volkomen onbedoeld en onwetend de spreekwoordelijk deur van het slot hebben gehaald.
Het belang van training MENSELIJKE FACTOR Het belang van training Bewustwording is van groot belang, het is daarom noodzakelijk om mensen te blijven opleiden zodat ze niet een datalek veroorzaken van alle gevolgen van dien.
Waar moeten mensen zich van bewust zijn? VOORBEELDEN Waar moeten mensen zich van bewust zijn? Document mailen naar privé mail Bestanden in privé cloudopslag Op USB stick? What’s app gebruiken? Werken op openbare WiFi? Social media verzoeken?
Waar moeten mensen zich van bewust zijn? MAAROOK Waar moeten mensen zich van bewust zijn? Informatie mailen zonder versleuteling Bestanden welke onbewust zijn gewist of verdwenen Alle relaties in de CC Besmetting door een virus, ransomware of gehackt Toegankelijke fax of printer
VRAAG1 Bent u bewust? Heeft u op uw computer, smartphone, tablet, usb, etc. informatie welke voor een derde van belang kan zijn? Graag handen in de lucht
ANTWOORD1 Wordt u bewust? Elk geautomatiseerd object welke bereikbaar is, is voor criminele derden van belang, zelfs uw klokthermostaat! Elke processor (rekenkracht e.d.) kan mis/gebruikt worden voor een digitale aanval
VRAAG2 Bent u bewust? Bevat de informatie die u digitaal heeft opgeslagen cruciale gegevens voor de werking of zelfs voortbestaan van uw bedrijf? Denk aan eigen bedrijfsprocessen maar ook informatie van belang voor uw concurrentie
Bevat de informatie die u digitaal heeft opgeslagen persoonsgegevens? VRAAG3 Bent u bewust? Bevat de informatie die u digitaal heeft opgeslagen persoonsgegevens? Hier draait de datalekwetgeving om, EN VANAF 25 mei 2018 geldt de algemene verordening gegevensbescherming (AVG): maximale boete 20 miljoen euro, belangrijkste wijzigingen: beschrijving verwerking gegevens, soms verplichting uitvoeren van privacy impact assesment (PIA), soms verplichting aanstellen functionaris gegevensverwerking (FG)
Denk ook aan bewaartermijn Combinatie van gegevens TOELICHTING3 Bent u bewust? Zeer ruim begrip: ‘alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’ Gaat ook om de context Denk ook aan bewaartermijn Combinatie van gegevens Volgens art. 2 Wet Bescherming Persoonsgegevens; naam, adres, telefoonnummers, emailadres, geboortedatum, bankrekening, bsn, kenteken, postcode, etc.
VERANTWOORDELIJK:U Bent u bewust? U blijft ten alle tijden verantwoordelijk, niet Google, Dropbox, Microsoft, automatiseerder of hostingpartij! Geen verschuiving verantwoording, zorg voor bewerkersovereenkomst
WATISEENDATALEK Bent u bewust? Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. Melden alleen bij ernstige gevolgen of de kans daarop
Wat moet er allemaal gedaan worden? GEVOLGDATALEK Wat moet er allemaal gedaan worden? Lek stoppen Autoriteit Persoonsgegevens inlichten Belanghebbenden inlichten Plan van aanpak en uitvoering (calamiteitenplan) Bewijsvoering en rapportage Elk punt kan een boete opleveren
Hoe voorkom je dan een datalek? VOORKOMENDATALEK Hoe voorkom je dan een datalek? Voorkomen is beter dan genezen
Vandaag is de eerste dag van de toekomst BEDANKTVRAGEN Vandaag is de eerste dag van de toekomst Bedankt voor uw aandacht Vragen? Business Academy Nog vragen?