surf informatiebeveiliging & privacy · voorbereiding is het halve werk •advies 1: stel een...
TRANSCRIPT
![Page 1: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/1.jpg)
SURF Informatiebeveiliging & Privacy
Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit
Bart van den Heuvel, UM, SURFibo - april 2015
![Page 2: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/2.jpg)
even voorstellen: Bart van den Heuvel
- Universiteit Maastricht• 1981 – 2003: Netwerkspecialist, UWDC• 2003 –> : CISO, vz. UM-Cert
- SURFnet• 1986 – 2005: ICO, SSC, HCP, SNM, HDB
• 2003 –> : BVI, ICP, SSC, SNM, HDB
• 2009 –> : lid SCIRT
- SURFibo• 2002:SOHO –>2005:SURFibo (vz. 2010) –>2015……..
- SURF• 2014 –> : Lid Stuurgroep IB en Privacy
2
20152015 SCIPR
![Page 3: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/3.jpg)
Disclaimer
Credits: Alf Moens, Chloë Baartmans, Wilma Mossink,Xander Jansen, CSY, SURFibo, SCIRT, Google, ….
![Page 4: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/4.jpg)
![Page 5: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/5.jpg)
Informatiebeveiliging in Nederland
Informatiebeveiliging in Nederland (anno 2014)5
![Page 6: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/6.jpg)
Overeenkomsten en verschillenin de onderwijssectoren
6
WO
HBO
MBO
VO
PO
minderjarigen
leer
linge
n/st
uden
ten
Privacywetgeving
![Page 7: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/7.jpg)
Structuur SURF per 1 januari 2015:Coöperatieve Vereniging SURF
StuurgroepIB & Pr.
SCIPR SCIRT
SIGNUWDC 7
![Page 8: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/8.jpg)
Innovatie programma’s 2015 - 2018
• P1: Verbindende Infrastructuren• P2: Reken- en data infrastructuren• P3: GF e-infrastructuur• P4: Duurzame data• P5: Onderwijs op Maat• P6: Samenwerking aan ICT omgevingen voor onderzoek• P7: Open Access• P8: Betrouwbare en veilige omgeving• P9: Efficiënte bedrijfsprocessen• P10: Duurzaamheid
8
![Page 9: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/9.jpg)
7
Informatiebeveiling in het HO
Risico analyse,modellen
leidraden en starterkits
Toetsing op basis vannormenkader met
SURFaudit benchmark
Inrichting op basis vanmodellen, leidraden en
starterkits(jaarlijkse)
verbeterplannen
9
![Page 10: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/10.jpg)
7
It’s all about Trust
Waar liggen we wakker van:Financiele Risico’sCyberdreigingen
PrivacyVoldoende Kenniswerkers
Samenleving heeftgroot vertrouwen
in Onderwijsen Onderzoek*
Nerveuze maatschappijreageert excessief op
in incidenten
Grootste dreigingenSpionage (WO)
complexiteit infrastructuurWie/wat kan ik nog vertrouwen?Vandalisme en Organised Crime
*Conclusie Commissie Vertrouwen en Integriteit in de Wetenschap KNAW 2013 10
![Page 11: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/11.jpg)
Betrouwbare en Veilige Omgeving
11
![Page 12: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/12.jpg)
12
• Communities–GAP analysis–cross-organisationele community
building
• Awareness– strategie security intelligence– awareness en marketingstrategie– cybersave yourself,
-> Game: Smart Secure Yourself
• Normen− adoptie en compliance juridisch
normenkader− Best practice security en privacy
standaarden− Voorlichting juridisch normenkader− Doorontwikkeling SURFaudit
• Diensten– PvE security en privacy diensten– Software defined security– DDOS mitigatie
• Open Internet− progress report/Papers
Security en PrivacyInnovatie Deliverables in 2015
![Page 13: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/13.jpg)
Communities
13
![Page 14: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/14.jpg)
Smart Secure Yourself
![Page 15: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/15.jpg)
Juridisch Normenkader(Cloud) Sourcing
• Het juridisch normenkader stelt normen voor het hogeronderwijs qua vertrouwelijkheid, privacy, eigendom enbeschikbaarheid ten aanzien van (cloud)leveranciers. Hetbevat clausules die instellingen een stevige basis gevenvoor contracten met leveranciers.
• Bewerkersovereenkomst• Passende maatregelen
-> Compendium
• Auditverplichting-> of “recht op” ?
15
![Page 16: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/16.jpg)
Best practices
16
![Page 17: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/17.jpg)
Privacy initiatief HO
• Juridisch kader– Raamwerk– Ist-Soll: Gap analyse
• PIA– Methodiek– voorbeelden: Studenteninfo; ….
• Privacy Beleid– Template– Leidraad
”VRIJBLIJVENDHEID IS VERLEDEN TIJD”
SamenwerkenWerkt !!
17
![Page 18: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/18.jpg)
Speciale thema’s in SCIPR
• Data lekken
• Onderzoeks gegevens
• Gegevens minderjarigen
Chloë Baartmans | Seminar ‘Privacy: een goed begin is het halve werk’ | 10 December 2014 18
![Page 19: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/19.jpg)
Het kind: speciale behandeling
19
![Page 20: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/20.jpg)
Normenkader IB HO/MBO
20
1. Beleid & Organisatie:- beveiligingsbeleid- verantwoordelijkheden- wetgeving- incident management
4. Continuiteit- wijzigingsbeheer- backup en restore- continuiteitsplannen
2. Personeel, studenten en gasten:- eisen en screening- geheimhouding- security awareness
5. Toegangbeveiliging & Integriteit- toegangsbeleid- userid’s en wachtwoorden
3. Ruimten & Apparatuur- fysieke beveiliging- nutsvoorzieningen- e-waste
6. Controle & Logging- (controle an ) logging- controle van systeemgebruik- controle op technische naleving
![Page 21: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/21.jpg)
7
SURFaudit - resultaten Benchmark2013
Per instelling (resultaten 2013)- hoogste gemiddelde score 3,0- laagste gemiddelde score 1,8- 3 instellingen met geen enkele 1
Scores in Benchmark 2013 lager
Redenen:- uitbreiding normenkader met privacy- toevoeging evidence lijst- kritischere metingen, serieuze
aanpak
1821
![Page 22: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/22.jpg)
Assessments en Audits
22
Self-assessment
Self-assessmentwith peer support
Peer review
Audit
ISO 27001certification
Amount of work
Value
![Page 23: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/23.jpg)
Cyberdreigingsbeeld 2014
- Inventarisatie belangrijkste risico’s- Bedoeld voor de bestuurstafel EN
voor de security professional- Hoofdlijnen en achtergronden- Voorbeelden
- Gebaseerd op nationale eninternationale onderzoekenaangevuld met eigen onderzoek(door Deloitte) in de sector
- Aangeboden aan CvB’s
23
![Page 24: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/24.jpg)
Cybe
rdre
igin
gsbe
eld
HO20
14
24
![Page 25: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/25.jpg)
Bijstellen….
25
![Page 26: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/26.jpg)
It’s all about Risk
• Weten waar de waarde zit• Wat moet beschermd
worden?• Wat is waardevol?• Wat kost het als het mis
gaat? en wat gaat er danmis?
26
![Page 27: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/27.jpg)
27
![Page 28: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/28.jpg)
22
De Juiste maatregelen…..
![Page 29: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/29.jpg)
Awareness
![Page 30: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/30.jpg)
Tools
30
![Page 31: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/31.jpg)
(Distributed) Denial of Service
Xander Jansen / SURFcert
Beveiligingsconferentie SURFcert & SURFibo 13-2-2015
![Page 32: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/32.jpg)
Wie wordt dan aangevallen?
• SURFnet heeft "permanente" filters geplaatst voor(op verzoek van):
• 17 18 MBO instellingen• 5 OSP’s (VO)• 2 HBO’s• 4 overige instellingen• een tiental instellingen die incidenteel door de
wasmachine gaanNewsflash: Wasmachine wordt ook selfservice ?
32
wasmachine
27 mei Seminar DDOS en Firewalls bij SURFnet
![Page 33: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/33.jpg)
Voorbereiding is het halve werk
•Advies 1: stel een baseline vast en monitor uw infrastructuur•Advies 2: instrueer de communicatie adviseur van uworganisatie.
•Advies 3: maak gebruik van de diensten van uw provider.•Advies 4: informeer naar de aanpak (weerstand en repressiemaatregelen) van uw ISP bij DoS-aanvallen en check decontractuele afspraken hierover.
•Advies 5: denk na over de incident response en fail-overscenario’s van de onlinediensten.
•Advies 6: implementeer de voorgestelde (mitigerende)maatregelen aan het einde van deze factsheet.
Bron: NCSC Factsheet Continuïteit van onlinediensten
![Page 36: SURF Informatiebeveiliging & Privacy · Voorbereiding is het halve werk •Advies 1: stel een baseline vast en monitor uw infrastructuur •Advies 2: instrueer de communicatie adviseur](https://reader033.vdocuments.site/reader033/viewer/2022042919/5f615eba402b2a57305c36ac/html5/thumbnails/36.jpg)
Referenties
• Juridisch normenkader voor cloud computing• https://www.surf.nl/kennis-en-innovatie/kennisbank/2013/juridisch-normenkader-cloud-services-hoger-onderwijs.html
• Richtsnoer beveiliging persoonsgegevens• https://cbpweb.nl/nl/richtsnoeren-beveiliging-van-persoonsgegevens-2013
• Hoe?zo! Informatiebeveiliging• http://www.sambo-ict.nl/wp-content/uploads/2014/09/KNS_Informatiebeveiliging_FINAL4A.pdf
• Cyberdreigingsbeeld HO• https://www.surf.nl/nieuws/2014/11/handvatten-om-cybersecurity-instellingen-te-verbeteren.html
• Security en privacy @ SURF• https://www.surf.nl/themas/beveiliging
• https://www.surf.nl/themas/digitale-rechten/privacy/implementatie-algemene-verordening-gegevensbescherming-avg/index.html
36