Berichten

Op donderdag 14 november organiseert V-ICT-OR de 4e editie van de Cyber & Information Security Day.

Dit congres is een ‘must-attend’ voor iedereen die te maken heeft met IT-beveiliging (cybersecurity & cybercrime/ Information security); zowel management als technisch betrokkenen, want door aanwezig te zijn, vergroot je meteen jouw praktische kennis en inzicht.

Justine Simal van IFORI spreekt er tussen 11u00 – 11u30 over “Gegevens delen … Wat zijn de spelregels?

Tijdens deze presentatie zet IFORI, een juridisch kantoor gespecialiseerd in intellectuele eigendomsrechten en ICT-recht, uiteen hoe je op een praktische manier gegevensuitwisseling in een samenwerkingsovereenkomst tussen de verschillende stakeholders op lokaal niveau moet aanpakken. Er zijn op lokaal niveau steeds meer vragen en verplichtingen tot samenwerking, denk bijvoorbeeld aan het Geïntegreerd Breed Onthaal (GBO). Deze brengen in vele gevallen uitdagingen met zich mee op vlak van privacy, gegevensbescherming en data security. Deze sessie wil praktische handvaten aanreiken voor het opstellen van een samenwerkingsovereenkomst, met focus op het aspect van de gegevensuitwisseling.

Inschrijven kan via: https://www.v-ict-or.be/events/cyber-information-security-day-2019

De Nederlandse overheid liet een DPIA (Data Protection Impact Assessment) uitvoeren op Microsoft Office ProPlus. Uit deze DPIA bleek dat Microsoft op grote schaal persoonsgegevens verwerkt over het gedrag van gebruikers. De verzameling van die persoonsgegevens gebeurt zonder dat de gebruiker hierover geïnformeerd wordt, zonder toestemming van de gebruiker, zelfs zonder dat de gebruiker dit kan uitschakelen of zelfs nog maar kan zien over welke gegevens het gaat.

Gegevens over gebruik Office

Microsoft slaat gegevens op van het gebruik van Word, Excel, Powerpoint en Outlook (zowel de online versies als de lokaal geïnstalleerde versies). Microsoft heeft een pilot lopende om de gegevens van die programma’s op te slaan in de Microsoft Cloud (via Sharepoint en OneDrive).

Microsoft verzamelt diagnostische gegevens over de handelingen van de gebruiker via ingebouwde telemetriesoftware. De verzamelde gegevens worden periodiek in een batch naar de servers van Microsoft in de US gestuurd. Bij online gebruik van diensten (bijvoorbeeld de online versie van Office 365) wordt het gebruik ook vastgelegd in de logbestanden van Microsoft zelf.

Het is echter niet duidelijk welke inhoud van bestanden met deze diagnostische gegevens worden opgeslagen. Zo blijkt dat deze diagnostische gegevens onder andere bevatten welke woorden voor en na een woord dat u wil vertalen komen. Microsoft heeft bijvoorbeeld ook aangegeven dat ze niet de inhoud van e-mails opslaat, maar de logbestanden van Microsoft geven wel de onderwerp-titels van e-mail weer. Voorlopig is het onmogelijk om als gebruiker te zien welke gegevens precies worden verzameld en doorgestuurd.

Onderhandelingen met de Nederlandse overheid

Gezien potentieel heel wat gegevens met een hoog risico op die manier door Microsoft worden verwerkt zonder toestemming of passende garanties is duidelijk dat er actie ondernomen moet worden. De Nederlandse overheid, die gebruik maakt van Microsoft en 300.000 gebruikers uitmaakt, is daarom in onderhandeling getreden met Microsoft om deze problemen te verhelpen.

Microsoft heeft naar aanleiding van de DPIA zero exhaust settings ontwikkeld, waardoor er zo geen telemetriegegevens meer zouden verzameld worden (als de zero exhaust settings aangezet worden). Deze initiatieven zijn wel een begin, maar er blijven nog een aantal problemen over, niet in het minst de reeds gedane verwerkingen van persoonsgegevens.

Wat te doen?

Theoretische technische maatregelen

Ervan uit gaand dat de optie ooit toegankelijk wordt, kan de office beheerder de zero exhaust settings toepassen voor alle gebruikers. Daarnaast kan hij de vrijwillige connected services uitschakelen (zoals de online spellingschecker en vertaalservice). Microsoft vraagt ook om gegevens te delen om Office te verbeteren, maar de beheerder kan uitschakelen dat gebruikers deze melding krijgen (en zo hun gegevens delen).

Het gebruik van de Microsoft Cloud, zoals Sharepoint en OneDrive is op zich problematisch. Het kan aangewezen zijn enkel lokaal geïnstalleerde versies van Office te gebruiken en niet de online versie van Office 365.

Tot slot kan men ook opteren voor alternatieve software. Hierbij moet men natuurlijk wel uitkijken dat deze software niet aan dezelfde gegevensrisico’s is blootgesteld als Office.

Haalbare organisatorische maatregelen

Bovenstaande technische maatregelen laten echter niet toe om het risico bij het gebruik van Office volledig uit te sluiten, noch zijn ze voor iedereen haalbaar. En zoals de Nederlandse overheid zelf in onderhandeling treden met Microsoft lijkt weinig realistisch.

Het is echter geen optie om geheel niks te ondernemen, gezien je dan in de problemen komt met je eigen GDPR-verplichtingen. Deze realiteit moet worden meegenomen in uw risicoanalyse en veiligheidsplan/beleid. Bij stilzitten van Microsoft kan bijvoorbeeld beleidsmatig worden uitgemaakt om op termijn te kijken naar alternatieven. Daarnaast kan men de Gegevensbeschermingsautoriteit raadplegen in het kader van de residuele risico’s die blijken uit de DPIA van de Nederlandse overheid.

 

Audit Vlaanderen kwam tot de conclusie dat heel wat lokale besturen ondermaats scoren bij informatiebeveiliging.

Informatiebeveiliging: “De beveiliging van informatie tegen vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden of opgeslagen informatie

Het gaat om de beveiliging van alle informatie, waaronder ook persoonsgegevens. De GDPR zelf voorziet principieel dat organisaties de integriteit en vertrouwelijkheid van persoonsgegevens moeten waarborgen!

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Probleempunten

Uit het rapport blijken voornamelijk volgende punten problematisch:

  • Leveranciersrelaties;
  • Bewustzijn van medewerkers;
  • Technisch beheer (cryptografie, onderhoud systemen, …);
  • Incidentenbeheer;

Positieve noot

Er is dus nog heel wat ruimte voor verbetering. Anderzijds merkt het verslag wel op dat er hier en daar wel goed wordt gewerkt: zo is er speciale vermelding voor besturen die medewerkers sensibiliseren en trainen op vlak van privacy & informatieveiligheid.

Naast eigen incidenten en persaandacht voor incidenten elders blijkt ook het einde van de inwerkingtredingsperiode van de AVG een goede aanleiding om ad-hoc-infosessies te organiseren.

Sensibilisering

IFORI kan uw gemeente of OCMW bijstaan door te voorzien in sensibiliseringssessies omtrent informatieveiligheid en/of privacy. Dit deden we reeds voor lokale besturen, met een positieve vermelding tot gevolg.

Oplossing

Tot slot geeft het rapport enkele aanbevelingen mee waarmee elk lokaal bestuur aan de slag kan om haar informatieveiligheid te verbeteren.

Neem uiteraard gerust contact met ons op indien u zich hierover extern wil laten adviseren door experten op vlak van informatieveiligheid & privacy bij lokale besturen.

GDPR, DPO… U mag CWC aan het (to do) lijstje toevoegen.

Het idee van een cyberweerbaarheidscertificaat (FR: certificat de cyberrésilience) voor bedrijven werd deze week gelanceerd door het Strategisch Comité. Het is duidelijk dat, na de GDPR, niemand van de partners rond de tafel nog nieuwe verplichtingen wil/durft opleggen aan de bedrijven rond cyber security. Enkel een sterke aanmoediging… Daarom wil de Belgische regering werken aan een certificaat dat bedrijven kunnen behalen en aantoont dat niet alleen het betrokken bedrijf maar ook haar volledige distributieketen ‘weerbaar is’ tegen cybercriminaliteit. Dit staat los van de certificaten die de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie) nog in het leven kan roepen.

Wat de criteria zullen zijn, wie zal instaan voor de controle en de toekenning en wat de impact ervan zal zijn bij het brede publiek van het nieuwe label, valt af te wachten. Wij volgen het evident verder voor u op.

Alles is te lezen in het Nationaal Pact voor Strategische Investeringen dat het Strategisch Comité op 11 september 2018 voorgesteld heeft: https://www.premier.be/sites/default/files/articles/Report_FULL-NL_WEB_FINAL.pdf

 

Heeft u vragen hoe u nu al uw cyberweerbaarheid kan verbeteren, zoekt u een doorlichting van uw weerbaarheid op vandaag of zoekt u een opleiding van uw mensen rond cyber security, laat het ons weten, we helpen u graag verder. Op vandaag heeft IFORI als expert reeds duizenden personeelsleden binnen bedrijven en organisaties opgeleid en gesensibiliseerd rond cyberveiligheid.