際際滷

際際滷Share a Scribd company logo

180621 flevum executive - presentatie - cybercriminaliteit - veenman

Flevum
Flevum

Innovatie | Cybercriminaliteit en de zwakheden van personeel Na 25 Mei 2018 zal ieder bedrijf bij een datalek moeten aantonen dat alles in het werk is gesteld om datalekken te voorkomen en dat alle voorzorgsmaatregelen zijn getroffen om veilig om te gaan met privacygegevens van personen. De General Data Protection Regulation zal u niet zijn ontgaan. Organisaties die niet kunnen laten zien dat zij alles in het werk gesteld hebben om informatie te beschermen, kunnen torenhoge boetes verwachten Dus bouwen we muren om ons netwerk met firewalls, beschermen we onze end-points met virusscanners, versleutelen we bestanden en benoemen een Security Officer. Maar hoe zit het eigenlijk met het personeel? Zijn zij zich bewust van de loerende gevaren? Weten zij wat wel en niet mag? Cybercriminelen maken gebruik van menselijke zwakheden zoals hebzucht, na誰viteit en nieuwsgierigheid. Uw personeel is dus een belangrijk doelwit. Veenman heeft onder de naam Zwerfinformatie een benchmark gedaan naar informatieveiligheid. Hanneke Mulder, Directeur Marketing & Strategie bij Veenman zal een uiteenzetting geven over de oorzaken en risicos van zwerfinformatie. Bert Reijmerink, Sales Consultant en specialist op het gebied van cybercrime en security, benadrukt in zijn presentatie de belangrijke menselijke kant van zowel cybercriminaliteit als cybersecurity. Hoe denkt een hacker, hoe denkt en handelt uw personeel? Hoe voorkomt u zwerfinformatie? Met pakkende voorbeelden en veel interactie krijgt u handvatten aangereikt om in uw bedrijf mee aan de slag te gaan.

1 of 57
Download to read offline
En de zwakheden van personeel
Hanneke Mulder & Bert Reijmerink Naam Leeftijd Hobby(s) Woonplaats
Agenda 1. Veenman & zwerfinformatie 2. Uitdagingen 3. Veiligheidsbewustzijn & verantwoordelijkheid 4. Veiligheidsbeleid & maatregelen 5. Eindconclusies & zwerfinformatie voorkomen
100 jaar jong 3 locaties in Nederland MKB(+) Zakelijke dienstverlening Zorg (care/cure) Transport Industrie Anno 1919 Dirk Veenman Rotterdamse mentaliteit 150 FTE Informatie in de hand Best of both worlds 100% dochter van Xerox Managed Print Services, Informatie- logistiek en AV Communicatie IT Kennis- & Implementatiepartner
Grootste gevaar voor informatieveiligheid? Zwerfinformatie en onveilig gedrag! Zwerfinformatie is rondslingerende data. Zowel digitaal, in de cloud of opgeslagen op usb-sticks of laptops, als op papier. Deze informatie vormt veiligheidsrisicos wanneer daar niet bewust mee wordt omgegaan. Bewustwording 29%van de medewerkers is zich (volledig) bewust van de risicos 21%van de medewerkers vindt dat ze zelf verantwoordelijk zijn voor informatieveilig werken Risicos Grootste risicos voor informatieveilighe id Datalekken Nog geen 40% van MKB is goed voorbereid op een datalek 1. Rondslingerend papier 2. USB-sticks 3. Hackers 4. Priv辿gebruik van smartphones en tablets 36%Gebruikt een gratis publieke -beperkt beveiligde- applicatie voor videoconferencing 820.000,- Boetes kunnen oplopen tot (Reputatieschade nog niet meegenomen) In 20165.500 datalekken gemeld
Woord van de week
Toename aan data & informatie Veiligheid UITDAGINGEN WAARMEE WE TE MAKEN HEBBEN Behoefte aan flexibel werken & delen van informatie
Toename data en informatie Spanningsveld Behoefte aan flexibel werken en delen van informatie Informatieveiligheid is een samenspel van de bewustwording van de waarde van informatie, techniek en gedrag. De technologie is het domein van de ICT en krijgt vaak de meeste aandacht; Focus moet verschuiven naar de mens (80% van de oorzaak). Waarde van informatie bewustwording Techniek Gedrag Impact Security bewustzijn Gouden driehoek
Toename data en informatie Behoefte aan flexibel werken en delen van informatie
TOTSTANDKOMING RAPPORT Periode begin 2017 170 deelnemers Hoogste respons van zakelijke -, financi谷le dienstverlening & overheid Zwaartepunt bij ICT managers, Informatie Security Managers en Directie MKB, MKB +
GROEIENDE VEILIGHEIDSRISCICOS Fysiek rondzwervende informatie is het grootste risico Uitbreiding van het aantal communicatiekanalen; naast telefoon, email, ook videoconferencing, social media en chats Groeiend gebruik van schaduw-IT; 41 % geeft aan dat minimaal de helft van de organisaties gebruik maakt van skype, snapchat, WhatsApp, Dropbox, WeTransfer Publieke chat apps voor zakelijke doelen; gros (48%) gebruikt WhatsApp De opmars van multifunctionele oplossingen (Google +, Slack) Bestanden zwerven rond over verschillende media
180621 flevum executive - presentatie - cybercriminaliteit - veenman
INFORMATIE IS ALS WATER het zoekt altijd de weg van de minste weerstand
VEILIGHEIDSBEWUSTZIJN & VERANTWOORDELIJKHEID Risicos van openbare netwerken vaak niet bekend Onduidelijkheid over de risicos van zwerfinformatie informatiespoor? Weinig eigen verantwoordelijkheid voor veilig werken 70% zegt dat werknemers niet verantwoordelijk zijn Bewustzijn van privacygevoelige informatie - 55% geeft aan dat hier te weinig kennis over is of geen uitspraak over durft te doen Grote hacks komen in het nieuws, maar onvoldoende zichtbaarheid/ bewustzijn in de zakelijke omgeving Bij 38% geen duidelijke contactpersoon die formeel verantwoordelijk is - bij ruim 25% is ICT-manager verantwoordelijk voor informatieveiligheid Directie, management en specialisten vindt men de verantwoordelijke om het initiatief te nemen Het besef dringt nog onvoldoende door dat informatieveiligheid een gemeenschappelijke verantwoordelijkheid is van alle medewerkers
VEILIGHEIDSBELEID EN MAATREGELEN Driekwart van de organisaties heeft het beleid aangescherpt meest genoemde reden is door verandering wetgeving Organisatorisch zijn er stuurgroepen opgericht, monitoring van informatiegebruik, encrypties, gedragscodes. Op technologisch gebied voert men een strakker beheer voor mobile devices, usb sticks en mail Het MKB weet niet goed raad met de Meldplicht Datalekken bijna 70% denkt dat het niet zon vaart zal lopen 40% preventie, 27% controle en 16% repressie om gedrag te be誰nvloeden Gros van de medewerkers weet niet wat informatieveilig werken inhoudt Communicatie over procedures laat te wensen over bij 64% geen procedures opgezet Werknemers worden op verschillende manieren ge誰nformeerd bijna een kwart is nog niet actief bezig met kennisoverdracht en bewustwording Externe leveranciers worden alleen ingezet voor de techniek (64%)
EINDCONCLUSIES Organisaties denken dat het veiligheidsrisico van buiten komt, maar in praktijk van binnen; Slechts 20% van de medewerkers voelt zich verantwoordelijk voor informatieveiligheid; ICT traditioneel in de lead, maar merendeel meent dat onvoldoende waarborging is met alleen technische oplossingen; Grootste risico vormt het feit dat informatie fysiek rondslingert; Zakelijk net zo makkelijk communiceren & informatie uitwisselen als priv辿; Bewustzijn van waarde privacy- en concurrentiegevoelige informatie erg laag; Bijna 25% van de bedrijven nog niet actief bezig met bewustzijnsontwikkeling; Gros van medewerkers weet niet wat informatieveilig werken inhoudt. Communicatie over procedures laat te wensen over of ontbreken vaak.
ZWERFINFORMATIE TEGENGAAN 1. Goed in kaart brengen welke informatie essentieel is voor de primaire bedrijfsprocessen en welke niet? 2. Vaststellen wat voor soort zwerfinformatie de veiligheid in het geding brengt, bv. Persoonsgegevens (risicobepaling) 3. Kijk dan eerst naar de technologische kant van de informatieveiligheidsdriehoek: biedt deze de mogelijkheid tot optimalisatie van de werkprocessen en voldoet ze aan de behoeften van de medewerkers? 4. Kijk dan naar de gedragshoek: welk gedrag vertoont men en waarom is dat zo? 5. Kijk vervolgens naar de bewustzijnshoek: welke niveau van bewustzijn is er? Onbewust onbekwaam? Of bewust onbekwaam?
VERVOLG 6. Informatieveiligheidsbeleid defini谷ren, verantwoordelijkheden defini谷ren 7. Bepaal op basis van de risicos tot welk niveau de verschillende informatie beschermd moet worden 8. Bepaal of er nieuwe en/of additionele technologische oplossingen nodig zijn, bijvoorbeeld die gebruikersvriendelijker werken en beter voldoen aan de behoeften van de medewerkers 9. Communicatie over het beleid en de risicos van zwerfinformatie en dit continu op de agenda van de organisatie houden: het is een zaak van iedereen in de organisatie om bewust te zijn, te trainen en te auditen. Dus stel jezelf als organisatie de vraag: Hoe kan e.e.a. beklijven: maatregelen? Bijscholen? In combi met techniek? 10. Begin bij jezelf!
Vragen?
Agenda 1. Waarom? Daarom! 2. Crimineel goed! 3. Jij bent.. DE ZWAKSTE SCHAKEL!! 4. Wrap up
Waarom? Daarom!
Belangrijkste onderdeel GDPR/AVG
Belangrijkste miskleun GDPR/AVG
Autoriteit Persoonsgegevens 72 man groot 25 man handhaving Mogen niet groeien Klachtengestuurd werken
De oplossing: Functionaris Gegevensbescherming De functionaris voor de gegevensbescherming (FG) houdt binnen een organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp). FG heeft een onafhankelijke rol, is onschendbaar en brengt verslag uit aan de hoogst leidinggevende. De FG heeft toegang tot alles (fysiek en data). De FG heeft geen sanctiebevoegdheid, wel onderzoeks- en controle bevoegdheid. De FG moet worden aangemeld bij de AP, moet samenwerken met de AP en is het communicatiekanaal naar AP. De FG is een verlengstuk van de AP, de AP stelt zich terughoudend op bij organisaties met een FG
180621 flevum executive - presentatie - cybercriminaliteit - veenman
Beschermen van persoonsgegevens artikel 10 lid 1 van de Grondwet; artikel 8 van het Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM); artikel 7 van het Handvest van de Grondrechten van de Europese Unie; artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR). Opdat ieders recht op privacy is gewaarborgd!
180621 flevum executive - presentatie - cybercriminaliteit - veenman
Identiteitsfraude Voorbeelden Rijbewijs gestolen in discotheek - 1737 autos op zijn naam - Boetes, aanmaningen Gevangenisstraf - Uitkering stopgezet - 17 jaar ellende en angst - Europese hof voor rechten van de mens
Identiteitsfraude Voorbeeld #2
180621 flevum executive - presentatie - cybercriminaliteit - veenman
Crimineel goed!
Cybercriminelen Worden gedreven door illegaal rijk worden Geen verstand van technologie Stappenplan
Stap 1: Slachtoffers vinden #1. Spam Vaak starten digitale boeven met het versturen van spam. Hoewel de hoeveelheid spam vermindert, worden er dagelijks nog miljarden berichten verstuurd in de hoop dat een klein percentage door de spamfilters komt. #2. Phishing Via e-mail worden niet alleen spam-aanbiedingen gedaan, digitale oplichters gebruiken e-mail ook graag voor het achterhalen van persoonlijke en financi谷le gegevens van slachtoffers. #3. Social media De meeste spam is naar het web verhuisd. Gebruikers klikken eerder op links in advertenties op sociale media als ze van een bekende of vriend lijken te komen.
Vervolg #4. Search poisoning Het leidt tot vergiftigde resultaten die leiden naar exploits, malware en phishing sites. #5. Drive-by downloads SophosLabs ziet iedere dag 30.000 nieuwe urls die onschuldige internetters blootstellen aan een grote verscheidenheid aan kwaadaardige code die probeert om kwetsbaarheden te zoeken in besturingssystemen, browsers, plugins en applicaties. #6. Malware Wormen, virussen en andere malware worden ook nog steeds gretig gebruikt door cybercriminelen. Hoewel ze minder gangbaar zijn dan 10 jaar terug, gebruiken oplichters ze nog immer om systemen te infecteren en de apparatuur van slachtoffers te kunnen gebruiken.
Stap 2: Geld verdienen #1. Login-diefstal Door gebruik social engineering techniek #2. Advertentiefraude Via Malware internetverkeer manipuleren. Ze leiden de kliks van de gebruiker om naar advertenties op de webpagina van de oplichters. #3. Ransomware Ransomware is malware die de bestanden op de computer van een slachtoffer gijzelt. #4. Bankmalware Er is een gespecialiseerde industrie ontstaan rondom het buitmaken van authenticatie-informatie waarmee gebruikers bijvoorbeeld online bankieren. #5. SMS-fraude Social media spammers gebruiken veelal sms-diensten om slachtoffers geld afhandig te maken. Als een gebruiker op internet zijn mobiele nummer achterlaat om te worden ingelicht als er bijvoorbeeld iets gewonnen is, schrijven digitale boeven deze gebruiker in voor een dure sms-dienst. Ook apps in de Play Store kunnen uitgerust zijn met een extra programmaatje dat kostbare smsjes stuurt naar nummers die in handen zijn van de oplichters.
180621 flevum executive - presentatie - cybercriminaliteit - veenman
180621 flevum executive - presentatie - cybercriminaliteit - veenman
180621 flevum executive - presentatie - cybercriminaliteit - veenman
180621 flevum executive - presentatie - cybercriminaliteit - veenman
180621 flevum executive - presentatie - cybercriminaliteit - veenman
Jij bent. de zwakste schakel!
Social engineering is key
The art of human hacking Chris Hadnagy MANIPULATIETECHNIEKEN De overmoedige CEO: sociaal gehacked Het pretparkschandaal
Wat leren we hiervan Les 1: Emotie is een zwakheid Les 2: Leidinggevenden vaak een zwakke schakel Les 3: Een beveiligingsbeleid is zo goed als de handhaving. Les 4: Criminelen maken graag misbruik van het goede karakter en de behulpzaamheid
The John Podesta Emails
180621 flevum executive - presentatie - cybercriminaliteit - veenman
180621 flevum executive - presentatie - cybercriminaliteit - veenman
180621 flevum executive - presentatie - cybercriminaliteit - veenman
Het brein van Podesta (en ieder ander)
Het reptielen- & zoogdierenbrein Neemt vaak uitgevoerde handelingen over Angst blokkeert kritisch oordelen Vertrouwen (google, bank, hulpvaardige toon) Voor wat hoort wat: ter wille maken De vijand van de vijand is je vriend
Het reptielen- & zoogdierenbrein Verizon onderzoek 636.000 phishing mails 30% geopend 12% op attachment geklikt 3% deed melding
De Cortex het mensenbrein Verantwoordelijkheid nemen Bewustzijn Ratio Beredenering Hier ligt de taak van managers en leidinggevenden!
Uw verantwoordelijkheid! Beinvloed het mensenbrein! De veilige organisatie van de toekomst vraagt om oplettende, trotse, zelfbewuste, lerende en gelukkige medewerkers. Zij leren sneller, maken daardoor minder fouten en nemen meer verantwoordelijkheid.
Wrap up
Wrap up Er is geen complete technische oplossing tegen cybercriminaliteit Organisaties denken dat het veiligheidsrisico van buiten komt, maar in praktijk van binnen Er wordt gestuurd op de zwakheden van de mens (Social Engineering) De oplossing zit binnen u en uw personeel Neem verantwoordelijkheid als bestuurder en laat dit niet over aan ICT alleen
The end! Vragen?

More Related Content

180621 flevum executive - presentatie - cybercriminaliteit - veenman

  • 2. Hanneke Mulder & Bert Reijmerink Naam Leeftijd Hobby(s) Woonplaats
  • 3. Agenda 1. Veenman & zwerfinformatie 2. Uitdagingen 3. Veiligheidsbewustzijn & verantwoordelijkheid 4. Veiligheidsbeleid & maatregelen 5. Eindconclusies & zwerfinformatie voorkomen
  • 4. 100 jaar jong 3 locaties in Nederland MKB(+) Zakelijke dienstverlening Zorg (care/cure) Transport Industrie Anno 1919 Dirk Veenman Rotterdamse mentaliteit 150 FTE Informatie in de hand Best of both worlds 100% dochter van Xerox Managed Print Services, Informatie- logistiek en AV Communicatie IT Kennis- & Implementatiepartner
  • 5. Grootste gevaar voor informatieveiligheid? Zwerfinformatie en onveilig gedrag! Zwerfinformatie is rondslingerende data. Zowel digitaal, in de cloud of opgeslagen op usb-sticks of laptops, als op papier. Deze informatie vormt veiligheidsrisicos wanneer daar niet bewust mee wordt omgegaan. Bewustwording 29%van de medewerkers is zich (volledig) bewust van de risicos 21%van de medewerkers vindt dat ze zelf verantwoordelijk zijn voor informatieveilig werken Risicos Grootste risicos voor informatieveilighe id Datalekken Nog geen 40% van MKB is goed voorbereid op een datalek 1. Rondslingerend papier 2. USB-sticks 3. Hackers 4. Priv辿gebruik van smartphones en tablets 36%Gebruikt een gratis publieke -beperkt beveiligde- applicatie voor videoconferencing 820.000,- Boetes kunnen oplopen tot (Reputatieschade nog niet meegenomen) In 20165.500 datalekken gemeld
  • 7. Toename aan data & informatie Veiligheid UITDAGINGEN WAARMEE WE TE MAKEN HEBBEN Behoefte aan flexibel werken & delen van informatie
  • 8. Toename data en informatie Spanningsveld Behoefte aan flexibel werken en delen van informatie Informatieveiligheid is een samenspel van de bewustwording van de waarde van informatie, techniek en gedrag. De technologie is het domein van de ICT en krijgt vaak de meeste aandacht; Focus moet verschuiven naar de mens (80% van de oorzaak). Waarde van informatie bewustwording Techniek Gedrag Impact Security bewustzijn Gouden driehoek
  • 9. Toename data en informatie Behoefte aan flexibel werken en delen van informatie
  • 10. TOTSTANDKOMING RAPPORT Periode begin 2017 170 deelnemers Hoogste respons van zakelijke -, financi谷le dienstverlening & overheid Zwaartepunt bij ICT managers, Informatie Security Managers en Directie MKB, MKB +
  • 11. GROEIENDE VEILIGHEIDSRISCICOS Fysiek rondzwervende informatie is het grootste risico Uitbreiding van het aantal communicatiekanalen; naast telefoon, email, ook videoconferencing, social media en chats Groeiend gebruik van schaduw-IT; 41 % geeft aan dat minimaal de helft van de organisaties gebruik maakt van skype, snapchat, WhatsApp, Dropbox, WeTransfer Publieke chat apps voor zakelijke doelen; gros (48%) gebruikt WhatsApp De opmars van multifunctionele oplossingen (Google +, Slack) Bestanden zwerven rond over verschillende media
  • 13. INFORMATIE IS ALS WATER het zoekt altijd de weg van de minste weerstand
  • 14. VEILIGHEIDSBEWUSTZIJN & VERANTWOORDELIJKHEID Risicos van openbare netwerken vaak niet bekend Onduidelijkheid over de risicos van zwerfinformatie informatiespoor? Weinig eigen verantwoordelijkheid voor veilig werken 70% zegt dat werknemers niet verantwoordelijk zijn Bewustzijn van privacygevoelige informatie - 55% geeft aan dat hier te weinig kennis over is of geen uitspraak over durft te doen Grote hacks komen in het nieuws, maar onvoldoende zichtbaarheid/ bewustzijn in de zakelijke omgeving Bij 38% geen duidelijke contactpersoon die formeel verantwoordelijk is - bij ruim 25% is ICT-manager verantwoordelijk voor informatieveiligheid Directie, management en specialisten vindt men de verantwoordelijke om het initiatief te nemen Het besef dringt nog onvoldoende door dat informatieveiligheid een gemeenschappelijke verantwoordelijkheid is van alle medewerkers
  • 15. VEILIGHEIDSBELEID EN MAATREGELEN Driekwart van de organisaties heeft het beleid aangescherpt meest genoemde reden is door verandering wetgeving Organisatorisch zijn er stuurgroepen opgericht, monitoring van informatiegebruik, encrypties, gedragscodes. Op technologisch gebied voert men een strakker beheer voor mobile devices, usb sticks en mail Het MKB weet niet goed raad met de Meldplicht Datalekken bijna 70% denkt dat het niet zon vaart zal lopen 40% preventie, 27% controle en 16% repressie om gedrag te be誰nvloeden Gros van de medewerkers weet niet wat informatieveilig werken inhoudt Communicatie over procedures laat te wensen over bij 64% geen procedures opgezet Werknemers worden op verschillende manieren ge誰nformeerd bijna een kwart is nog niet actief bezig met kennisoverdracht en bewustwording Externe leveranciers worden alleen ingezet voor de techniek (64%)
  • 16. EINDCONCLUSIES Organisaties denken dat het veiligheidsrisico van buiten komt, maar in praktijk van binnen; Slechts 20% van de medewerkers voelt zich verantwoordelijk voor informatieveiligheid; ICT traditioneel in de lead, maar merendeel meent dat onvoldoende waarborging is met alleen technische oplossingen; Grootste risico vormt het feit dat informatie fysiek rondslingert; Zakelijk net zo makkelijk communiceren & informatie uitwisselen als priv辿; Bewustzijn van waarde privacy- en concurrentiegevoelige informatie erg laag; Bijna 25% van de bedrijven nog niet actief bezig met bewustzijnsontwikkeling; Gros van medewerkers weet niet wat informatieveilig werken inhoudt. Communicatie over procedures laat te wensen over of ontbreken vaak.
  • 17. ZWERFINFORMATIE TEGENGAAN 1. Goed in kaart brengen welke informatie essentieel is voor de primaire bedrijfsprocessen en welke niet? 2. Vaststellen wat voor soort zwerfinformatie de veiligheid in het geding brengt, bv. Persoonsgegevens (risicobepaling) 3. Kijk dan eerst naar de technologische kant van de informatieveiligheidsdriehoek: biedt deze de mogelijkheid tot optimalisatie van de werkprocessen en voldoet ze aan de behoeften van de medewerkers? 4. Kijk dan naar de gedragshoek: welk gedrag vertoont men en waarom is dat zo? 5. Kijk vervolgens naar de bewustzijnshoek: welke niveau van bewustzijn is er? Onbewust onbekwaam? Of bewust onbekwaam?
  • 18. VERVOLG 6. Informatieveiligheidsbeleid defini谷ren, verantwoordelijkheden defini谷ren 7. Bepaal op basis van de risicos tot welk niveau de verschillende informatie beschermd moet worden 8. Bepaal of er nieuwe en/of additionele technologische oplossingen nodig zijn, bijvoorbeeld die gebruikersvriendelijker werken en beter voldoen aan de behoeften van de medewerkers 9. Communicatie over het beleid en de risicos van zwerfinformatie en dit continu op de agenda van de organisatie houden: het is een zaak van iedereen in de organisatie om bewust te zijn, te trainen en te auditen. Dus stel jezelf als organisatie de vraag: Hoe kan e.e.a. beklijven: maatregelen? Bijscholen? In combi met techniek? 10. Begin bij jezelf!
  • 20. Agenda 1. Waarom? Daarom! 2. Crimineel goed! 3. Jij bent.. DE ZWAKSTE SCHAKEL!! 4. Wrap up
  • 24. Autoriteit Persoonsgegevens 72 man groot 25 man handhaving Mogen niet groeien Klachtengestuurd werken
  • 25. De oplossing: Functionaris Gegevensbescherming De functionaris voor de gegevensbescherming (FG) houdt binnen een organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp). FG heeft een onafhankelijke rol, is onschendbaar en brengt verslag uit aan de hoogst leidinggevende. De FG heeft toegang tot alles (fysiek en data). De FG heeft geen sanctiebevoegdheid, wel onderzoeks- en controle bevoegdheid. De FG moet worden aangemeld bij de AP, moet samenwerken met de AP en is het communicatiekanaal naar AP. De FG is een verlengstuk van de AP, de AP stelt zich terughoudend op bij organisaties met een FG
  • 27. Beschermen van persoonsgegevens artikel 10 lid 1 van de Grondwet; artikel 8 van het Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM); artikel 7 van het Handvest van de Grondrechten van de Europese Unie; artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR). Opdat ieders recht op privacy is gewaarborgd!
  • 29. Identiteitsfraude Voorbeelden Rijbewijs gestolen in discotheek - 1737 autos op zijn naam - Boetes, aanmaningen Gevangenisstraf - Uitkering stopgezet - 17 jaar ellende en angst - Europese hof voor rechten van de mens
  • 33. Cybercriminelen Worden gedreven door illegaal rijk worden Geen verstand van technologie Stappenplan
  • 34. Stap 1: Slachtoffers vinden #1. Spam Vaak starten digitale boeven met het versturen van spam. Hoewel de hoeveelheid spam vermindert, worden er dagelijks nog miljarden berichten verstuurd in de hoop dat een klein percentage door de spamfilters komt. #2. Phishing Via e-mail worden niet alleen spam-aanbiedingen gedaan, digitale oplichters gebruiken e-mail ook graag voor het achterhalen van persoonlijke en financi谷le gegevens van slachtoffers. #3. Social media De meeste spam is naar het web verhuisd. Gebruikers klikken eerder op links in advertenties op sociale media als ze van een bekende of vriend lijken te komen.
  • 35. Vervolg #4. Search poisoning Het leidt tot vergiftigde resultaten die leiden naar exploits, malware en phishing sites. #5. Drive-by downloads SophosLabs ziet iedere dag 30.000 nieuwe urls die onschuldige internetters blootstellen aan een grote verscheidenheid aan kwaadaardige code die probeert om kwetsbaarheden te zoeken in besturingssystemen, browsers, plugins en applicaties. #6. Malware Wormen, virussen en andere malware worden ook nog steeds gretig gebruikt door cybercriminelen. Hoewel ze minder gangbaar zijn dan 10 jaar terug, gebruiken oplichters ze nog immer om systemen te infecteren en de apparatuur van slachtoffers te kunnen gebruiken.
  • 36. Stap 2: Geld verdienen #1. Login-diefstal Door gebruik social engineering techniek #2. Advertentiefraude Via Malware internetverkeer manipuleren. Ze leiden de kliks van de gebruiker om naar advertenties op de webpagina van de oplichters. #3. Ransomware Ransomware is malware die de bestanden op de computer van een slachtoffer gijzelt. #4. Bankmalware Er is een gespecialiseerde industrie ontstaan rondom het buitmaken van authenticatie-informatie waarmee gebruikers bijvoorbeeld online bankieren. #5. SMS-fraude Social media spammers gebruiken veelal sms-diensten om slachtoffers geld afhandig te maken. Als een gebruiker op internet zijn mobiele nummer achterlaat om te worden ingelicht als er bijvoorbeeld iets gewonnen is, schrijven digitale boeven deze gebruiker in voor een dure sms-dienst. Ook apps in de Play Store kunnen uitgerust zijn met een extra programmaatje dat kostbare smsjes stuurt naar nummers die in handen zijn van de oplichters.
  • 42. Jij bent. de zwakste schakel!
  • 44. The art of human hacking Chris Hadnagy MANIPULATIETECHNIEKEN De overmoedige CEO: sociaal gehacked Het pretparkschandaal
  • 45. Wat leren we hiervan Les 1: Emotie is een zwakheid Les 2: Leidinggevenden vaak een zwakke schakel Les 3: Een beveiligingsbeleid is zo goed als de handhaving. Les 4: Criminelen maken graag misbruik van het goede karakter en de behulpzaamheid
  • 50. Het brein van Podesta (en ieder ander)
  • 51. Het reptielen- & zoogdierenbrein Neemt vaak uitgevoerde handelingen over Angst blokkeert kritisch oordelen Vertrouwen (google, bank, hulpvaardige toon) Voor wat hoort wat: ter wille maken De vijand van de vijand is je vriend
  • 52. Het reptielen- & zoogdierenbrein Verizon onderzoek 636.000 phishing mails 30% geopend 12% op attachment geklikt 3% deed melding
  • 53. De Cortex het mensenbrein Verantwoordelijkheid nemen Bewustzijn Ratio Beredenering Hier ligt de taak van managers en leidinggevenden!
  • 54. Uw verantwoordelijkheid! Beinvloed het mensenbrein! De veilige organisatie van de toekomst vraagt om oplettende, trotse, zelfbewuste, lerende en gelukkige medewerkers. Zij leren sneller, maken daardoor minder fouten en nemen meer verantwoordelijkheid.
  • 56. Wrap up Er is geen complete technische oplossing tegen cybercriminaliteit Organisaties denken dat het veiligheidsrisico van buiten komt, maar in praktijk van binnen Er wordt gestuurd op de zwakheden van de mens (Social Engineering) De oplossing zit binnen u en uw personeel Neem verantwoordelijkheid als bestuurder en laat dit niet over aan ICT alleen