Inloggen Geen profiel? Registreer hier.

Verslag van onze 3e Cyber and Information Security Day

09/11/2018

Gisteren ontvingen we meer dan 90 deelnemers in Lamot in Mechelen voor de derde editie van onze Cyber & Information Security Day.
Lees het verslag hieronder

Eddy Van der Stock – Voorzitter V-ICT-OR – Opening

Eddy schetste kort hoe de dag er zou uitzien. Zelf was hij, afgewisseld met Kurt Penninck, moderator van dienst.

Philippe de Backer – Staatssecretaris van Privacy, Noordzee en Bestrijding van Sociale Fraude

Digitalisering is geen magisch woord, het is een feit. Dat bewees Philippe de Backer right off the bat door te spreken over de steeds groeiende ‘unicorn club’ (bedrijven die > 1 miljard dollar omzet draaien, dikwijls IT-bedrijven). Daarnaast zijn klassieke jobs langzamerhand aan het verdwijnen, terwijl IT-gerelateerde jobs in aantal toenemen. Bedrijven moeten dan ook investeren in de herscholing van hun werknemers. Waar we vroeger spraken over “money makes the world go round”, kunnen we nu stellen dat “data makes the world go round”. België omarmt digitalisering, getuige daarvan is de Vlaamse doelstelling ‘Vlaanderen Radicaal Digitaal’, dat tegen 2020 de overheid radicaal wil digitaliseren. Door die toenemende digitalisering neemt ook het belang toe van informatieveiligheid en persoonsgegevensbescherming, duidelijk 2 verschillende maar met elkaar samenhangende begrippen. Met de komst van de GDPR en andere relevante wetgeving krijgen we een framework aangereikt waarmee we, al dan niet begeleid door experten, onze werking GDPR-conform kunnen maken. Philippe de Backer eindigt hoopvol door te stellen dat we de GDPR niet als obstakel moeten zien, maar als een kans. Het is immers een kantelmoment waarop we onze werking onder de loep kunnen nemen en een nog betere dienstverlening richting burger kunnen uitdenken.

Bavo van den Heuvel – Cranium -  Inbreuken in verband met persoonsgegevens (aka "data breaches"): wie zijn ze, wat doen ze, wat drijft hen? Lessons learned

Met behulp van het statement ‘iedereen heeft minstens 5 data breaches’ trok Bavo onmiddellijk de aandacht van iedereen in de zaal. En wist die ook te behouden. Elke maand pikt hij minstens 1 datalek op (waarvan vele aanzienlijk zijn) en pakt hij die met Cranium aan. Voorbeeld: een brave jobstudent hielp een ziekenhuis met de verhuis van dozen met patiëntendossiers. Achteraf vertelde hij dat er misschien wel 1 doos ontbrak. Duidelijk een data breach dus, die voorkomen had kunnen zijn door een procedure bij de verhuis toe te passen (bv. vooraf alle dozen een nummer geven en 1 iemand ze laten afvinken van zodra ze binnenkwamen). Wat ons vooral is bijgebleven is dat sommige besturen niet altijd stilstaan bij wat een data breach (privacy-inbreuk) juist betekent. Een breach niet melden is bv. al een data breach (meldingsplicht is immers niet nagekomen). Een mobiel apparaat verliezen (usb-stick, laptop, gsm…) is ook een data breach, ook al vindt je die terug of doe je een remote-swipe (de ‘window of exposure’ zal bepalen hoe groot de kans is dat er iets is gelekt; logging is hier ook essentieel). Bavo deed een warme oproep om logging te omarmen. Het is en blijft immers een handig hulpmiddel om te bepalen of data is misbruikt of gelekt.

Koen Beroudiaux – Certificatie-auditor ISO 27001

De ISO-normen 27k zijn bekend bij iedereen die aan informatieveiligheid sleutelt. Koen werkt als auditor vooral voor performante bedrijven. Volgens hem mocht de wetgever toen hij de ISO-normen 27k schreef “wel wat meer gas gegeven hebben” (de norm blijft soms vaag en onduidelijk). Sehr undeutsch dus. Bij de Duitse buren vinden we dan wel die typische deutsche Gründlichtkeit terug: de Duitsers hebben een aantal documenten opgesteld om de ISO-normering invulling te geven. En met verve – zij het soms iets te uitgebreid (een compendium van 777 pagina’s is immers een hele boterham). De Nederlanders maken dan weer gretig gebruik van MAPGOOD als methode voor risicoanalyse. Hij raadt de deelnemers die met informatieveiligheid werken dan ook aan om na te gaan hoe onze buurlanden omgaan met de materie. Leren van elkaar, dat is de boodschap.

Lies Van Cauter en Gunter Schryvers - Audit Vlaanderen – Informatiebeveiliging bij lokale besturen: een uitdaging

De thema-audit Informatieveiligheid, uitgevoerd door Audit Vlaanderen, wees aan dat lokale besturen veelal geen vat hebben op hun informatieveiligheid. De auditoren stuurden mensen op pad die een netwerk compleet konden overnemen, die eenvoudigweg de balie voorbijwandelden zonder zich te identificeren of die zelfs toegang kregen tot een archief met gevoelige informatie. Zaken die niet kunnen natuurlijk, en daarom organiseert Audit Vlaanderen workshops waarin ze de pijnpunten uit het onderzoek aanhalen en deelnemers helpen die problemen uit hun werking te halen. Het verslag van de audit, inclusief de pijnpunten, is trouwens beschikbaar via V-ICT-OR, VVSG en Informatie Vlaanderen.

Frankie Schram – professor bestuurskunde aan KU Leuven -  Verhoogt de nieuwe wetgeving inzake bescherming van persoonsgegevens de rechtsbescherming voor de betrokken?

De professor stelde zich kritisch op t.o.v. de bestaande (soms fragmentarische) wetgeving rond gegevensbescherming, zoals de GDPR, de richtlijn politie, adviezen van de GBA… Hij labelde deze tekortkomingen als valkuilen. Zo is de GDPR een verordening, geen richtlijn, maar formuleert het soms eisen eerder als advies dan als verplichting. Professor Schram trok hiermee naar de Gegevensbeschermingsautoriteit, die zelf ook niet onmiddellijk wisten wat zeggen. De GDPR is soms ook ‘schizofreen’: zo spreekt het over de bescherming van natuurlijke personen, terwijl de wettekst het later heeft over de bescherming van economieën en de economische unie, duidelijk geen personen in de fysieke zin van het woord. België heeft een complexe regelgeving, en met de regelgeving rond persoonsgegevensbescherming is dat niet anders. Hij hoopt dat er vereenvoudiging komt, dat verschillende wetten in overeenstemming worden gebracht en dat de Gegevensbeschermingsautoriteit en de Vlaamse Toezichtscommissie binnenkort volledig op punt staan om duidelijke adviezen uit te brengen.

Kurt Penninck – Kennismedewerker bij V-ICT-OR

Een Information Security Management System, wat is dat juist? Kurt legde het in geuren en kleuren uit, en wees erop dat V-ICT-OR zelf ook zo’n tool aanbiedt: de tool informatieveiligheid (www.informatieveiligheid.be). De tool kreeg in 2018 een hele reeks nieuwe functionaliteiten, zoals het verwerkingsregister, het register verwerkersovereenkomsten (inclusief de generieke verwerkersovereenkomst van V-ICT-OR), de registratie van incidenten/datalekken, enz. Kurt schetste ook de evolutie van informatieveiligheid en gegevensbescherming, en waarom het zinvol is te investeren in onze veiligheid op dat vlak.

Hans Van Impelen – DPO bij gemeente Utrecht – AVG/GDPR implementatie bij de gemeente Utrecht

Hans had de uitdaging om de werking van gemeente Utrecht zowel op vlak van informatieveiligheid als op vlak van gegevensbescherming bij te schaven. Geen eenvoudige klus – zijn facts en figures wezen immers uit dat er gigantisch veel dataverkeer mee gemoeid gaat. Een DPO kan niet alles alleen, hij is immers adviseur en neemt een onafhankelijke positie in. Daarom kwam er op vraag van Hans een projectleider bij die, samen met hem, een actieplan uitstippelde, aangevuld met deadlines en verantwoordelijken. De resultaten mogen er zijn: Utrecht heeft alle GDPR-vereisten ingevuld, denkt met andere gemeenten na over informatieveiligheid/persoonsgegevensbescherming en heeft zelfs zijn GDPR-verwante documentatie online geplaatst voor andere besturen. Daarbij maakte hij de kanttekening dat beveiligingsmaatregelen niet online beschikbaar zijn; je wilt immers hackers geen vrij spel geven.

Tijl Deneut – Leraar aan Howest Brugge – Security Awareness in de praktijk

Tijl demonstreerde hoe hackers te werk gaan, hoe ze burgers en besturen bepaalde informatie kunnen ontfutselen. Zo had hij het over de time machine, een website waarmee je random foto’s van webdomeinen van jaren terug kunt oproepen. Ook openbare databases met e-mailadressen en wachtwoorden zijn vrij toegankelijk. 2 voorbeelden van malware passeerden ook de revue: de werking van het virus WannaCry in een afgeschermde omgeving, en de werking van een rubber ducky, een usb-stick dat zelf begint te typen en informatie uit de pc haalt en doorstuurt via internet. Als tegenmaatregelen noemt hij bewustmaking en privé-surfen.

Reflectiedebat met Kurt Penninck, Bavo van den Heuvel, Tijl Deneut, Koen Beroudiaux en Gunther Schrijvers (moderator: Eddy Van der Stock)

Er kwamen een 5-tal vragen aan bod waarbij het publiek via een poll hun stem kon uitbrengen. Belangrijke reflecties die daarbij naar boven kwamen:

  • Bewustmaking is belangrijk, en begint misschien idealiter al bij kinderen op school.
  • Hackers zullen ons altijd een stap voor zijn, maar desondanks blijft het belangrijk dat we onszelf via beveiligingsmaatregelen indekken en hen het werk zo moeilijk mogelijk maken.
  • Data breaches slaan niet alleen op hackers (externen), maar ook op interne lekken.
  • Het volstaat niet om een GDPR-expert in te huren en hem een uurtje te laten praten. Dat is slechts de eerste stap. Het lokaal bestuur moet zelf ook aan de kar trekken, en als ze niet over de nodige expertise beschikken moeten ze iemand inhuren die dat wel heeft.