Upload
b-mature
View
284
Download
0
Embed Size (px)
Citation preview
Hacken, innovatie en "data" lekken
Wat kan je eraan doen...?
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Vincent Toms Thimo Keizer
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
❏ Waarom is hacken zo makkelijk
❏ Een praktijkcasus “Koning Camera”
❏ Oude wijn, nieuw jasje (WBP/ GDPR)
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Waarom is hacken zo makkelijk..?
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Option 1: $0,-
Ransomware: OPTIE 1
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Option 2: $5.000
Option 3: $30,- BUT
infect > 200 computers
Ransomware: OPTIE 2 & 3
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Purchase price:$0,01
(100 servers)
Option 3: Finding computers to infect
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Purchase price:$0,-
Option 3: Infection for FREE (OSINT)
HOEVEEEEEEL !?!?!?
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
The business case (ROI)
INVESTMENT
- $1,00
- Kennis
- Kunde
- Tijd
.....INTERNET !!
INCOME
- $1.000,- p/hijack
(infected > 200)
&
- DDOS ($25,-)
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
En GEEN aanbestedings traject vereist
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
What to Do If Infected with Ransomware❖ Isolate the infected computer immediately &infected systems should be
removed
❖ Isolate or power-off affected devices that have not yet been completely
corrupted.
❖ Immediately secure backup data or systems by taking them offline.
❖ Contact law enforcement immediately
❖ If possible, change all online account passwords and network
passwords
❖ Delete Registry values and files
Het ADVIES
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Hoe vaak maak jij een back-up thuis?
A. Elke dag
B. 1 p/wk
C. 1 p/mnd
D. Wanneer ik “zin” heb
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
1. Receptiveness
2. Understanding 3. Wanting to 4. Being able to
5. Doing
6. Persevering
WILLEN, KUNNEN & DOEN
Balm, M.F.K (2002): Excercise Therapy and behavioural change
Userid: Admin
Password: Admin
Hacking for dummies
Password
Password
Password Password
Password
Password
Onze gedrag
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Algemene verordening gegevensbescherming
• Vanaf 25 mei 2018 aantoonbaar voldoen
• Uniforme privacywetgeving voor de EU
• De Wet Bescherming Persoonsgegevens geldt dan niet meer
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
De grootste verschillen
• Aantoonbaar maken dat de organisatie voldoet aan de wet
• Verwerkingen van persoonsgegevens niet meer melden
• Het verplicht worden van een Functionaris Gegevensbescherming
• Het verplicht worden van Privacy Impact Assessments
• Een verhoging van de boetes
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Functionaris Gegevensbescherming
• Toezien op de naleving van de AVG
• Adviseur op het terrein van privacy
• Contactpersoon voor privacytoezichthouders
• Een onafhankelijke rol
• Aanvullende ontslagbescherming
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Discussie
Kan de Security Officer ook de toekomstige FG zijn?
• Waar het nu nog veel voorkomt dat de security officervan een organisatie ook DPO is, is het maar de vraag of dit onder de AVG nog kan: de security officer heeft nu eenmaal een andere rol en bevoegdheden dan de toekomstige FG.
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Waar moet u rekening mee houden?
• Gerechtvaardigd belang
• Noodzaak cameratoezicht
• Privacy Impact Assessment (PIA)
• Informatieplicht cameratoezicht
• Bewaartermijn camerabeelden
• Meldplicht datalekken
• Bewerkersovereenkomsten
• Verhoging van de boetes
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Gerechtvaardigd belang
De bescherming van de veiligheid en gezondheid van een of meer natuurlijke personen, de beveiliging van de toegang tot gebouwen en terreinen en/of de bewaking van zaken die zich in gebouwen of op terreinen bevinden.
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Mag u in kleedkamers/toiletten/pashokjes
filmen?
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
?
Noodzaak cameratoezicht
• Kan het doel op een andere manier bereikt worden, die minder ingrijpend is voor de privacy?
• Cameratoezicht mag niet op zichzelf staan. Het moet onderdeel zijn van een totaalpakket aan maatregelen.
https://www.nrc.nl/nieuws/2017/07/04/cameras-in-kleedkamers-fit-for-free-a1565584
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Mag u bewakingsbeelden gebruiken om medewerkers te beoordelen?
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
?
Bruikbaarheid van de beelden
Voor welk doel moeten de beelden bruikbaar zijn:
• Observeren
• Detecteren
• Herkennen
• Identificeren
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Mag u als werkgever verborgen camera’s gebruiken?
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
?
Heimelijk cameratoezicht
Heimelijk cameratoezicht:
• Strikte voorwaarden
• Altijd tijdelijk
• Vooraf op wijzen
• Vooraf melden bij de Autoriteit die toetst of het voldoet
• Achteraf informerenhttp://www.nu.nl/internet/4907438/privacywaakhond-onderzoekt-cameras-in-reclamezuilen-ns-station.html
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Mag u als werkgever verborgen camera’s gebruiken voor
trainingsdoeleinden?
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
?
Privacy Impact Assessment (PIA)
• De verwerkingen en hun doelen
• De noodzakelijkheid, proportionaliteit en subsidiariteit
• De risico’s
• De maatregelen
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Meerwaarde PIA?
• Een PIA dwingt je om na te denken over de inzet van cameratoezicht
• Maar het moet dan wel toegevoegde waarde hebben
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Bent u verplicht om vooraf kenbaar te maken dat er camera’s zijn?
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
?
Informatieplicht cameratoezicht
Zorg ervoor dat klanten, bezoekers en personeel vooraf (dus in principe voor zij het gebouw betreden) weten dat er cameratoezicht is:
• Bordjes
• Duidelijk zichtbare camera’s
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Heeft de OR nog iets te zeggen over cameratoezicht op de werkplek?
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
?
Mogen de beelden 3 maanden bewaard worden?
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
?
Bewaartermijn camerabeelden
• Niet lange bewaren dan strikt noodzakelijk (richtlijn: 4 weken)
• Bij een incident beelden bewaren tot incident is afgehandeld
• Leg vast wie de beelden terug mag kijken
http://www.telegraaf.nl/dft/geld/belasting/28761129/___Fiscus_moet_flitsfoto_s_deleten___.html
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Bewerkersovereenkomsten
Beoordeel of de maatregelen in contracten met bewerkers nog toereikend zijn
Voor cameratoezicht bijv:
• Bewakers
• Particuliere Alarm Centrale
• Installateur
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Zijn de boetes hoger dan € 1 miljoen?
?
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Verhoging van de boetes
Was
• € 816.000 of 10 % van de (in Nederland gerealiseerde) omzet
Wordt
• € 20.000.000 of 4 % van de totale wereldwijde jaaromzet
https://nos.nl/artikel/2179381-boetes-dreigen-voor-bedrijven-die-laks-omgaan-met-nieuwe-privacywet.html
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
5 concrete stappen
1. Compliance check
2. Privacy Impact Assessment
3. Camerareglement
4. Verwerkers-overeenkomsten
5. Functionaris Gegevensbescherming
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
https://www.linkedin.com/pulse/avggdpr-hoe-je-5-stappen-voor-cameratoezicht-maakt-dat-thimo-keizer
10 zaken die vaak mis gaan
1. Het ontbreken van een camerareglement
2. Het gerechtvaardigd belang is niet vastgelegd
3. De noodzakelijkheid, proportionaliteit en subsidiariteit zijn niet afgewogen
4. Er wordt niet duidelijk gemaakt dat er cameratoezicht plaatsvindt
5. Beelden worden langer bewaard dan strikt noodzakelijk
6. Er wordt meer opgenomen dan voor het gerechtvaardigd belang noodzakelijk is
7. Ongeautoriseerde personen hebben inzicht in de beelden
8. De beveiliging van het camerasysteem is niet op orde
9. Camerasystemen worden niet (goed) beheerd
10. Er zijn geen verwerkersovereenkomsten opgesteld
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
https://www.linkedin.com/pulse/cameratoezicht-10-zaken-die-vaak-mis-gaan-thimo-keizer
Vincent Toms Thimo Keizer
Deze presentatie wordt u aangeboden door GDI Foundation en B-Mature
Contact
https://www.linkedin.com/in/thimokeizer/https://www.linkedin.com/in/vincenttoms/