Crashcourse beveiligingsincidenten

Security awareness met betrekking tot beveiligingsincidenten heeft gelukkig flinke stappen gemaakt sinds de wet meldplicht datalekken per 1 januari 2016 is ingevoerd.

De Autoriteit Persoonsgegevens, het orgaan dat zich bezig houdt met de naleving van de meldplicht, krijgt regelmatig meldingen binnen van zware lekken. Sterker nog! Als de meldplicht niet wordt nageleefd, heeft het orgaan de macht om een zeer grote geldboete op te leggen. Heel bizar, maar zeker terecht. Eerlijk gezegd had ik gehoopt dat dit proces ook door bedrijven geadopteerd zou worden voor beveiligingslekken. Uiteraard zijn de twee aan elkaar gelieerd, maar er zit ook zeker verschil tussen. In deze blog probeer ik beknopt en begrijpelijk uit te leggen waarom het belangrijk is om beveiligingsincidenten te kunnen herkennen en waarom ze ook direct gemeld moeten worden.

Wat zijn dan precies beveiligingsincidenten?

Om dit goed te kunnen uitleggen is het misschien beter om eerst het verschil weer te geven tussen een beveiligingsincident en een datalek. In de praktijk stelt men het volgende: ‘Een datalek is altijd een beveiligingslek, maar een beveiligingslek hoeft niet altijd een datalek te zijn.’ Huh?! Vraag je je af? We gaan er even dieper op in. De definitie van een datalek is het volgende: Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als je de onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Uiteraard van de website gekopieerd, maar de boodschap is duidelijk. Hoe staat dit dan tegenover een beveiligingsincident? Een inbreuk op de beveiliging, waarbij de vertrouwelijkheid van informatie in gevaar is of kan komen. Het magische woord, wat dus voor het verschil zorgt, is kan. ‘Ja, mijn USB-stick is gestolen. Nee, daar staat geen persoonsgebonden data op, alleen wat random plaatjes van google.’ Een datalek geeft aan dat persoonsgebonden data gecompromitteerd is. Een beveiligingsincident geeft aan dat er iets is gebeurd waardoor persoonsgebonden data gecompromitteerd is of kan worden.

Heldere definitie, maar wat moet ik me erbij voorstellen?

Harde voorbeelden werken natuurlijk beter dan beschrijvingen. Bedenk je daarom bij beveiligingsincidenten het volgende in:

Het kwijtraken of de diefstal van een USB-stick, dvd of cd-rom, etc.
Het kwijtraken of de diefstal van een laptop, smartphone of tablet, etc.
Een share die per ongeluk publiekelijk toegankelijk was.
Een malware-besmetting (ransomware, virussen, etc).
Een calamiteit zoals een brand of inbraak in het datacentrum.
Een inbraak van een hacker.
Een mail die per ongeluk naar de verkeerde groep of extern wordt gestuurd.

Nu zal je ongetwijfeld een beter beeld bij een beveiligingsincident hebben.

Hartstikke mooi allemaal, maar wat moet ik er nu mee?

Uiteraard is het antwoord op deze vraag tevens het doel van deze blog. Om het heel strak uit te leggen heb ik even de slogan van de FBI gejat en vertaald: Cyber security is de verantwoordelijkheid van iedereen! De FBI geeft met behulp van deze slogan lessen aan Amerikaans overheidspersoneel om ze bewust te maken van veiligstelling voor digitaal bewijs. Waarom ze het doen maakt me eigenlijk niet zoveel uit. Dat ze het doen vind ik geweldig! Vanuit mijn positie als security officer word ik hier helemaal warm van. Want ze hebben gelijk! Veiligheid is de verantwoordelijkheid van al het personeel binnen een organisatie, niet alleen het security personeel.

Uiteraard moet er vanuit het management mandaat zijn voor het opzetten van campagnes enzovoorts, maar uiteindelijk is iedereen verantwoordelijk voor zijn eigen stukje veiligheid. Heel simpel: Als werknemer wordt je USB-stick gestolen met daarop onversleutelde persoonsgebonden data. Dit is natuurlijk een enorm datalek. Stel je meldt dit pas na een week aan je chef (moet binnen 6 uur eigenlijk) – en de Autoriteit Persoonsgegevens komt hier achter? Dat is een boete van maximaal 900.000 euro. Er zijn genoeg toekomstige paden om te bewandelen na dit incident, maar dat je werkend leven er niet beter van gaat worden is wel duidelijk. Als je überhaupt nog werk hebt. Door het verbergen, verzwijgen of domweg negeren van beveiligingsincidenten gaat niemand ooit vrolijk worden – dat is dus inclusief jezelf.

Moraal van dit verhaal?

Zorg ervoor dat je alle mogelijke beveiligingsincidenten meldt bij de daarvoor bestemde personen (security officer / manager / service desk). Ook bij twijfel, gewoon doen. Beter een melding teveel dan te weinig. Met andere woorden: beter teveel zeuren dan je baan verliezen plus een boete van bijna een miljoen.

Cookie naam	Beschrijving	Duur
pll_language	Deze cookie wordt gebruikt om de taal van de website te bepalen.	1 jaar
cookiesession1	cookiessession1 wordt gebruikt om een optimale website-ervaring te bieden door middel van de volgende items: - Network equipment failover session persistence; - client tracking; - Logging aggregation to a client; - Security features such as DOS protection; - Session timeout.	1 jaar
moove_gdpr_popup	Deze cookie wordt gebruikt om de cookie voorkeuren op te slaan	1 jaar

Cookie naam	Beschrijving	Duur
_ga	Wordt gebruikt om gebruikers te onderscheiden.	2 jaar
_gid	Wordt gebruikt om gebruikers te onderscheiden.	24 uur
_gat	Wordt gebruikt om de aanvraagsnelheid te vertragen. Als Google Analytics wordt geïmplementeerd via Google Tag Manager, krijgt deze cookie de naam _dc_gtm_<property-id>.	1 minuut
AMP_TOKEN	Bevat een token dat kan worden gebruikt om een klant-ID op te halen bij de AMP-client-ID-service. Andere mogelijke waarden duiden op opt-out, verzoek aan boord of een fout bij het ophalen van een klant-ID van de AMP-client-ID-service.	30 seconden tot 1 jaar
_gac_<property-id>	Bevat campagnegerelateerde informatie voor de gebruiker. Als u uw Google Analytics- en Google Ads-accounts heeft gekoppeld, zullen Google Ads-websiteconversietags deze cookie lezen, tenzij u zich afmeldt. Kom meer te weten.	90 dagen
_gcl_au	Gebruikt door Google AdSense om te experimenteren met de efficiëntie van advertenties op websites die hun services gebruiken.	3 maanden
CPSESSIONID	Gebruikt voor analyse van websitegebruik om gebruikerssessies te onderscheiden.	30 minuten
CPUSERID	Gebruikt voor analyse van websitegebruik en personalisatie om gebruikers te onderscheiden.	900 dagen
CPSESSIONEXP	Gebruikt voor analyse van websitegebruik en personalisatie om gebruikers te onderscheiden.	30 minuten

Cookie naam	Beschrijving	Duur
_hjClosedSurveyInvites	Deze cookie wordt geplaatst zodra een bezoeker interageert met een pop-upvenster met een enquête-uitnodiging. Het wordt gebruikt om ervoor te zorgen dat dezelfde uitnodiging niet opnieuw verschijnt als deze al is getoond.	1 jaar
_hjDonePolls	Deze cookie wordt geplaatst zodra een bezoeker een peiling voltooit met behulp van de Feedback Poll-widget. Het wordt gebruikt om ervoor te zorgen dat dezelfde peiling niet opnieuw verschijnt als deze al is ingevuld.	1 jaar
_hjMinimizedPolls	Deze cookie wordt geplaatst zodra een bezoeker een Feedback Poll-widget minimaliseert. Het wordt gebruikt om ervoor te zorgen dat de widget geminimaliseerd blijft wanneer de bezoeker door uw site navigeert.	1 jaar
_hjDoneTestersWidgets	Deze cookie wordt ingesteld zodra een bezoeker zijn informatie invoert in de widget Recruit User Testers. Het wordt gebruikt om ervoor te zorgen dat hetzelfde formulier niet opnieuw verschijnt als het al is ingevuld.	1 jaar
_hjMinimizedTestersWidgets	Deze cookie wordt geplaatst zodra een bezoeker een Recruit User Testers-widget minimaliseert. Het wordt gebruikt om ervoor te zorgen dat de widget geminimaliseerd blijft wanneer de bezoeker door uw site navigeert.	1 jaar
_hjDoneSurveys	Deze cookie wordt geplaatst zodra een bezoeker een enquête invult. Het wordt gebruikt om de inhoud van de enquête alleen te laden als de bezoeker de enquête nog niet heeft ingevuld.	1 jaar
_hjIncludedInSample	Deze cookie wordt geplaatst om Hotjar te laten weten of die bezoeker is opgenomen in de steekproef die wordt gebruikt om Heatmaps, Funnels, Recordings, etc. te genereren.	1 jaar
_hjShownFeedbackMessage	Deze cookie wordt geplaatst wanneer een bezoeker Inkomende Feedback minimaliseert of voltooit. Dit wordt gedaan zodat de inkomende feedback onmiddellijk als geminimaliseerd wordt geladen als ze naar een andere pagina navigeren waar deze is ingesteld om te worden weergegeven.	1 jaar

Cookie naam	Beschrijving	Duur
logger	connect.onlinesucces.nl	365 days

Naam	Doel	Vervaldatum
fr	Gebruikt door Facebook om een reeks advertentieproducten te leveren, zoals realtime bieden van externe adverteerders.	3 maanden
fbp	Gebruikt door Facebook om advertenties te leveren. De cookie bevat een versleutelde Facebook-gebruikers-ID en browser-ID. Het zal informatie van deze website ontvangen om advertenties beter af te stemmen en te optimaliseren.	3 maanden

waar ben je naar op zoek?

Crashcourse beveiligingsincidenten

Security awareness met betrekking tot beveiligingsincidenten heeft gelukkig flinke stappen gemaakt sinds de wet meldplicht datalekken per 1 januari 2016 is ingevoerd.

Wat zijn dan precies beveiligingsincidenten?

Heldere definitie, maar wat moet ik me erbij voorstellen?

Hartstikke mooi allemaal, maar wat moet ik er nu mee?

Moraal van dit verhaal?

meerblogs

Werner op zoek naar eenvoud: digitale strategie

Wat is applicatie integratie?

Werner op zoek naar eenvoud: managed services

waar ben je naar op zoek?

Security awareness met betrekking tot beveiligingsincidenten heeft gelukkig flinke stappen gemaakt sinds de wet meldplicht datalekken per 1 januari 2016 is ingevoerd.

Wat zijn dan precies beveiligingsincidenten?

Heldere definitie, maar wat moet ik me erbij voorstellen?

Hartstikke mooi allemaal, maar wat moet ik er nu mee?

Moraal van dit verhaal?

Heb je een vraag over dit blog?

Bedankt voor het achterlaten van je gegevens. Een van onze experts neemt binnenkort contact met je op.

meerblogs

Werner op zoek naar eenvoud: digitale strategie

Wat is applicatie integratie?

Werner op zoek naar eenvoud: managed services