Wie helpt nu met wat bij informatiebeveiliging?

Het Nationale Cyber Security Centrum (NCSC) en de Informatiebeveiligingsdienst (IBD) helpen organisaties wanneer een incident rond informatiebeveiliging optreedt. Maar wie nu doet nu wat en wat mag je van welke oganisatie? NCSC richt zich daarbij primair op het Rijk en de vitale sectoren en IBD op de gemeenten. Zij kunnen organisatie helpen bij het melden van incidenten maar ook in de juiste richting wijzen bij het afhandelen van een incident. Maar voorkomen is beter dan genezen daarom bieden ze baselines aan om de basis op orde te hebben en zo preventief maatregelen te nemen ter bescherming. Martijn Hamer van het NCSC en Nausikaa Efstratiades van de IBD vertellen aan Elleke Oosterwijk wat we van hun organisaties nu wel en vooral wat we niet mogen verwachten.

Doelgroep: medewerker informatiebeveiliging, crisisteams informatiebeveiliging. Leerpunten:

  • NCSC en IBD hebben een coördinerende taak
  • De organisaties richten zich vooral op de overheid (het NCSC ook op vitale sectoren)
  • Organisaties blijven zelf verantwoordelijk voor de afhandeling van een incident
  • Zet de BIG of BIR in om de basis op orde te hebben

Het Nationale Cyber Security Centrum (NCSC) en de Informatiebeveiligingsdienst (IBD) helpen organisaties wanneer een incident rond informatiebeveiliging optreedt. Maar wie nu doet nu wat en wat mag je van welke oganisatie? NCSC richt zich daarbij primair op het Rijk en de vitale sectoren en IBD op de gemeenten. Zij kunnen organisatie helpen bij het melden van incidenten maar ook in de juiste richting wijzen bij het afhandelen van een incident. Maar voorkomen is beter dan genezen daarom bieden ze baselines aan om de basis op orde te hebben en zo preventief maatregelen te nemen ter bescherming. Martijn Hamer van het NCSC en N van de IBD vertellen aan Elleke Oosterwijk wat we van hun organisaties nu wel en vooral wat we niet mogen verwachten.

Doelgroep: medewerker informatiebeveiliging, crisisteams informatiebeveiliging. Leerpunten:

  • NCSC en IBD hebben een coördinerende taak
  • De organisaties richten zich vooral op de overheid (het NCSC ook op vitale sectoren)
  • Organisaties blijven zelf verantwoordelijk voor de afhandeling van een incident
  • Zet de BIG of BIR in om de basis op orde te hebben

Remco Groet: Voorbereiden op een datalek

Iedere organisatie wordt een keer geconfronteerd met een datalek. Met die wetenschap kun je voorbereidingen treffen om de gevolgen te beperken als de situatie zich opeens aandient. Welke plannen moet je maken en hoe reageer je als er echt een datalek is. Remco Groet van de Informatiebeveiligingsdienst (IBD) gaat in gesprek met Brenno de Winter over het voorbereiden en het omgaan met een datalek.

Doelgroep: bestuurders en medewerkers van crisisteams die ingezet worden wanneer een datalek een feit is.

Leerpunten:
· Denk na over een datalek voordat het optreedt
· Wees transparant
· Oefen een datalek regelmatig
· Maak een goed communicatieplan

Een auto stelen door een beveiligingslek

ls je op vakantie gaat vanaf Schiphol kun je kiezen uit tientallen parkeerbedrijfjes die rondom de luchthaven opereren. Het idee is simpel; als je op reis gaat geef je je auto af, en als je terug komt wordt deze weer voorgereden. Je verwacht dat de auto veilig is terwijl jij ergens van de zon aan het genieten bent. Maar dat kan vies tegenvallen…

Beveiligingslek
Kassa kreeg een tip over een lek in de beveiliging van het reserveringssysteem bij de parkeerbedrijven van Airport Parking Solutions. Bij het openen van een reservering bleek het mogelijk om, met het veranderen van het reserveringsnummer in de URL, als buitenstaander door het gehele reserveringssysteem heen te lopen en alle voorgaande en huidige reserveringen te kunnen inzien.

De persoonsgegevens van tienduizenden parkeerders zijn hiermee onbedoeld openbaar geworden. Door het ontbreken van een beveiliging op de website dat buitenstaanders de toegang tot het systeem ‘aan de achterkant’ zou moeten ontzeggen, bleek het nu mogelijk om exact te kunnen zien wie er een reservering heeft gedaan voor welke auto en hoe lang deze persoon op vakantie is.

Brenno de Winter, onderzoeksjournalist en te gast in de studio, reageert op dit lek. Het is ernstig dat er zoveel persoonsgegevens op straat hebben gelegen, waar de mogelijkheid bestaat om kwaad te doen op het moment dat iemand duidelijk van huis is, volgens de Winter.

Vreemde auto ophalen
Vervolgens bleek ook nog dat de controle bij één van deze bedrijven bij het ophalen van een auto onvoldoende was. Enkel het laten zien van een uitgeprinte reservering bleek voldoende om de auto die op de reservering stond aangegeven mee te krijgen. Er werd niet om een legitimatiebewijs gevraagd.

Omdat het via het beveiligingslek mogelijk bleek om een willekeurige reservering uit te printen, besloten we de proef op de som te nemen bij het bedrijf Vip Parking, onderdeel van Airport Parking Solutions, en drie keer met een geprinte reservering uit het systeem een vreemde auto op te gaan halen. Alle drie de pogingen die Kassa deed om een auto op te halen met een geprint reserveringsticket van iemand anders, lukte.

 


Reactie eigenaar
De eigenaar van Airport Parking Solutions reageert geschrokken als wij hem op de hoogte stellen van onze bevindingen. Het lek was bij het bedrijf niet bekend, en volgens de eigenaar zijn de medewerkers van Vip Parking daarnaast ook geïnstrueerd om bij het afgeven van de auto om een identiteitsbewijs te vragen. Dat is in de drie gevallen dat wij een verkeerde auto ophaalden niet gebeurd. De eigenaar van Airport Parking Solutions, Karim Boukhidous, heeft in onze uitzending aangegeven geschrokken te zijn en heeft het lek gelijk gedicht. Daarnaast geeft hij aan de medewerkers extra geïnstrueerd te hebben over het verplicht controleren van de naam op het ticket en op het paspoort. Dit zou ervoor moeten zorgen dat er nooit meer een auto van iemand anders aan de verkeerde persoon meegegeven kan worden.

Brenno de Winter bevestigt dat het lek is gedicht. “De reserveringen zijn niet meer online toegankelijk. De reserveringen worden nu alleen via de mail gestuurd en dus alleen toegankelijk voor de juiste mensen. Het beveiligingslek is opgelost.”


Schiphol  
Rondom de luchthaven Schiphol zijn tientallen parkeerbedrijfjes actief die geen onderdeel zijn van Schiphol Airport, en niet vallen onder de officiële parkeergelegenheid van Schiphol. Lees hieronder de complete reactie van Amsterdam Airport Schiphol:

“Helaas wordt de naam Schiphol vaak gebruikt door allerlei bedrijven die parkeerdiensten aanbieden. Amsterdam Airport Schiphol heeft geen relatie met deze bedrijven en heeft daarmee geen invloed op hun bedrijfsvoering. Wij adviseren reizigers dan ook altijd het parkeren bij Schiphol zélf te boeken. Dit kan via de website van Schiphol (www.schiphol.nl). Dat is veilig en betrouwbaar. Als je daar kiest voor een valet dienst dan zorgen officiële Schiphol medewerkers ervoor dat je auto op een parkeerterrein of in een garage van Schiphol zelf wordt geparkeerd. Wanneer je terugkomt, liggen je sleutels klaar en staat je auto buiten op je te wachten bij vertoon van de bij aflevering getekende beheerovereenkomst en een geldig paspoort. De enige die de auto mee krijgt is gewoon de rechtmatige eigenaar.”

 

Marieke van der Klaauw: Verstandig omgaan met sociale media

Sociale media zijn voor veel mensen zowel privé als zakelijke een vast onderdeel van het dagelijks leven. We wisselen informatie uit, hebben een mening en soms werk dat het net ingewikkeld maakt om daar goed mee om te gaan. Waar moet je allemaal rekening mee houden? En ooit komt de onvermijdelijke dag dat je het niet goed doet. Hoe ga je daarmee om? Dat vertelt Marieke van der Klaauw, van het Openbaar Ministerie.

Ot van Daalen: Privacyregels in de cloud

Als je als organisatie gegevens wilt opslaan in de cloud waarop moet je dan letten en wat als je je gegevens weer uit de cloud wilt halen. Wat kun je doen als voorbereiding voor het geval er op termijn een datalek binnen je organisatie ontdekt wordt. Ot van Daalen geeft hierover een aantal tips aan Jan Renshof van het CIP.

 

De privacy op orde krijgen is best lastig. Eerder vertelde Angelique Oortmarssen over het omzetten van wetgeving in concrete daden.

Ot van Daalen vertelde eerder waar je op moet letten als je persoonsgegevens gaat verwerken.

Erik de Jong: Hoe moet je omgaan met cryptolocker?

Wat moet er gebeuren als je organisatie geconfronteerd wordt met een datalek. Natuurlijk is het eerst achterhalen wat er gebeurd is en wat de acties zouden moeten zijn. Maar hoe moet het forensisch onderzoek plaatsvinden, hoe moet je een crisis team inrichten, welke expertise moet daarin vertegenwoordigd zijn. Erik de Jong van Fox-it legt aan Brenno de Winter uit welke stappen een organisatie moet nemen om te achterhalen of er een datalek is en hoe daar mee om te gaan. Stel je hebt last van een cryptolocker wat kun je dan doen? Moet je ingaan op de eisen van de aanvallers en geld betalen? Hoe werkt het proces dan, als je ingaat op de chantage eisen hoe gaat dat dan?

Eerder vertelde Erik de Jong al over datalekken. Welke stappen moet je nu zetten om later datalekken te kunnen opsporen en te achterhalen wat er precies gebeurd is?

Angelique Oortmarssen privacywetgeving omzetten in daden

Om aan de eisen van de wet rond privacy te voldoen is voor veel organisaties behoorlijk lastig. Hoe weet je zeker of je echt aan de regels voldoet? En hoe kun je het voor elkaar krijgen om als organisatie echt privacyvriendelijk te zijn? Het CIP heeft een methode ontwikkeld om dat goed te regelen. Angelique van Oortmarssen legt aan Brenno de Winter uit hoe Grip op Privacy de wet omzet in concrete handelingen. Ook helpt de methodiek organisaties die privacy op een hoger niveau willen krijgen dan de wetgever verplicht. Met het gebruik van deze hulpmiddelen kunnen organisaties privacy binnen hun organisatie op een hoger niveau te brengen.

 

Eerder legde Ot van Daalen al uit waar grofweg op moet worden gelet als je persoonsgegevens gaat verwerken:

Ot van Daalen: De belangrijkste voorwaarden om persoonsgegevens te verwerken

Een organisatie die persoonsgegevens wil verwerken moet zich aan een aantal regels houden. We horen vaak dat we vooraf over zaken moeten nadenken. Maar dat is zo algemeen en niet helder als vanaf 1 januari 2016 er boetes kunnen worden uitgedeeld. Wat zijn de belangrijkste dingen waar je nu op letten en wat betekent dat voor organisaties? Waarom zou ik mij daarover druk maken? Advocaat Ot van Daalen legt dat kernachtig uit aan Brenno de Winter . Deze aflevering is mogelijk gemaakt door Surfnet.

Organisaties die hun privacy en beveiliging beter willen regelen kunnen terecht bij Surfnet voor concrete tips om beveiliging en privacy beter te regelen. Natuurlijk is het beschermen van privacy niet alleen iets voor organisatie. Op de website van het Centrum voor Informatiebeveiliging en Privacybescherming staat een nuttig document ‘Grip op Privacy’ om de ingewikkelde Wet bescherming persoonsgegevens te ontrafelen en om te zetten in handelingen om beter aan de wet te voldoen.

Iedereen is ook persoon en burger die zelf het nodige kan doen om voorzichtiger om te gaan met persoonsgegevens. Op de website Veilig Internetten staan nuttige tips om uw privacy beter te beschermen. Wie een stap verder wil gaan en meer goed wil regelen om de privacy online beter te beschermen kan ook kijken op de Privacy Toolbox van Bits of Freedom.

We stonden al eerder stil bij de verandering in de wetgeving rond het omgaan met persoonsgegevens. Toen vertelde Sergej Katus wat de aankomende meldplicht datalekken betekent voor organisaties en wat de belangrijkste wetswijzigingen zijn:

Ot van Daalen: De belangrijkste voorwaarden om persoonsgegevens te verwerken

Een organisatie die persoonsgegevens wil verwerken moet zich aan een aantal regels houden. We horen vaak dat we vooraf over zaken moeten nadenken. Maar dat is zo algemeen en niet helder als vanaf 1 januari 2016 er boetes kunnen worden uitgedeeld. Wat zijn de belangrijkste dingen waar je nu op letten en wat betekent dat voor organisaties? Waarom zou ik mij daarover druk maken? Advocaat Ot van Daalen legt dat kernachtig uit aan Brenno de Winter. Deze aflevering is mogelijk gemaakt door Surfnet.

Organisaties die hun privacy en beveiliging beter willen regelen kunnen terecht bij Surfnet voor concrete tips om beveiliging en privacy beter te regelen. Natuurlijk is het beschermen van privacy niet alleen iets voor organisatie. Op de website van het Centrum voor Informatiebeveiliging en Privacybescherming staat een nuttig document ‘Grip op Privacy’ om de ingewikkelde Wet bescherming persoonsgegevens te ontrafelen en om te zetten in handelingen om beter aan de wet te voldoen.

Iedereen is ook persoon en burger die zelf het nodige kan doen om voorzichtiger om te gaan met persoonsgegevens. Op de website Veilig Internetten staan nuttige tips om uw privacy beter te beschermen. Wie een stap verder wil gaan en meer goed wil regelen om de privacy online beter te beschermen kan ook kijken op de Privacy Toolbox van Bits of Freedom.

We stonden al eerder stil bij de verandering in de wetgeving rond het omgaan met persoonsgegevens. Toen vertelde Sergej Katus wat de aankomende meldplicht datalekken betekent voor organisaties en wat de belangrijkste wetswijzigingen zijn: