Friday, April 29, 2016

International IT trade group urges firms to prepare for GDPR

Warwick Ashford


Companies that fail to start planning to deal with the EU’s data protection requirements are in for a real shock, warns the International Association of Information Technology Asset Managers

An international IT trade group is urging US firms particularly to prepare for the European Union’s General Data Protection Regulation (GDPR), which comes into effect in 2018.
Thousands of US firms that do business in Europe directly or online with European customers will need to gear up to deal with the regulations, warns the International Association of Information Technology Asset Managers (IAITAM).

http://www.computerweekly.com/news/450295150/International-IT-trade-group-urges-firms-to-prepare-for-GDPR?utm_source=dlvr.it&utm_medium=twitter  

Healthcare Information and Management Systems Society – North Carolina Chapter

Top 3 HIMSS Takeaways

I recently presented at the Healthcare Information and Management Systems Society – North Carolina Chapter – where I talked about the importance of securing data within the healthcare industry. During my time at the conference, I kept my ear to the ground to better understand broader trends impacting the industry and left with three big takeaways:
1. Big data delivers on promise, gives me pause
In the talk, “Growing Health Analytics Without Hiring New Staff”, Monica Horvath from a company called ThotWave pointed out an amazing – and somewhat unknown – story regarding the water tragedy in Flint, Michigan. Following the water supply change to the Flint River and subsequent lead poisoning crisis, Pediatrician Dr. Mona Hanna-Attisha used big data to gain insights around the increased lead levels in children in the greater Flint area. Then, she focused on specific areas of Flint where the levels were triple. Essentially, she side-stepped bureaucracy to expose this tragedy, which likely saved lives.
This was a huge win for big data champions, as Ms. Horvath pointed out, but it also made me realize that while this was used for a good cause, could bad actors have access to this level of data? How is all that big data surrounding electronic health records being protected? We need to protect and enable data in a way to allow good actors to continue to discover patterns and conclusions, without exposing that data to bad actors that can do harm to individuals.
2. Multifactor authentication: Still all stick, no carrot
The presentation entitled, “Multifactor Authentication – 2016’s Essential Security Project”, co-presented by Chuck Kesler, CISO at Duke Health, and Jon Sternstein at Stern Security, was a great example of a CISO focused on protecting employees of Duke Health, despite widespread resistance.
Even in a healthcare organization, people don’t always want to do what is best for them, like multifactor authentication, to protect employee credentials. When Duke Health started to roll out the program, there was a minor jump in enrollment, which quickly plateaued. It was not until the message that there might be lost wages for those who lagged, did widespread adoption occur. It was really a reality check that something as simple as multifactor authentication takes a big stick to force people to change, instead of the carrot that assures them their credentials can remain secure.
3. Ransomware: Addressing the elephant in the room
Following my presentation – “Data Under Attack” – I was surprised by some of the initial questions, mostly about ransomware. It quickly dawned on me that my presentation title was somewhat misleading to healthcare IT professionals, who have been inundated with ransomware attacks.
Ransomware is a type of malware that infects computers belonging to individuals and businesses, preventing users from accessing their data. The bad actors who infected the computers keep the data hostage until victims pay a ransom.
While this was not the interpretation of “Data Under Attack” I was considering when putting together the presentation, it was a source of some very interesting conversations. For example, take this question: Could encrypting my data protect it from a ransomware attack? I’ll try to be more succinct in this blog than my answer at HIMSS: If the data being held ransom was encrypted, then the bad actors won’t be able to access it. That’s the good news. The bad news is, if you don’t have a backup of your data, you will need to defeat the encryption of the attacker, recreate the data, or pay the ransom. There is an old IT mantra regarding data: “Data does not exist unless it exists in the 3 places”. Organizations that understand (and practice) this are not susceptible to ransomware, and organizations that persistently protect their data are not susceptible to data breaches resulting from the exfiltration of ransomware.
I can’t wait to title my next presentation!

Wednesday, April 13, 2016

Meldpunt AP niet bedoeld voor elk ICT-indicent

Meldpunt AP niet bedoeld voor elk ICT-indicent

Kaag en Braassem meldde ransomware-besmetting niet

De Zuid-Hollandse gemeente Kaag en Braassem heeft eerder dit jaar last gehad van ransomware. Toch besloot de gemeente geen aangifte te doen bij de Autoriteit Persoonsgegevens (AP) in het kader van de Meldplicht datalekken. Niet elk beveiligingsincident hoeft inderdaad gemeld te worden, stelt de Autoriteit Persoonsgegevens. Alleen ernstige datalekken, waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens. 

Kaag en Braassem werd op 21 januari van dit jaar getroffen door een zogenaamde ransomwarebesmetting. Daardoor lag de dienstverlening die middag stil. Volgens teamleider informatievoorziening Tim de Groot liep een pc van een medewerker van de financiële afdeling de besmetting op na een bezoek aan een normale website.

Daar draaide waarschijnlijk een met ransomware besmette banner. Hoewel de virusscanner van de gemeente de ransomware gelijk detecteerde en in quarantaine had gezet, was het kwaad al geschied. Het virus had toch op plekken op het netwerk bestanden onbruikbaar gemaakt. 

Hersteld

Kaag en Braassem nam direct contact op met de IBD (de Informatiebeveiligingsdienst voor gemeenten). De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING).

'We hebben vervolgens conform hun aanpak gehandeld: er wordt aangifte bij de politie en de pc van de medewerker werd geïsoleerd en verwijderd. Alle werkplekken zijn hierna gecontroleerd op besmettingen voordat verschillende bestandsmappen weer zijn vrijgegeven. Vanuit de backup van de avond ervoor zijn de bestanden hersteld, maar is er wel werk van die desbetreffende donderdagochtend verloren gegaan. Gelukkig is door het snelle handelen de schade beperkt gebleven, aldus De Groot. 

Losgeld

De gemeente heeft daarna met hulp van ict-partner Axians geprobeerd een analyse te maken van wat er precies was gebeurd en of het voorkomen had kunnen worden. Maar omdat de besmette pc inmiddels was geïsoleerd, bleek het lastig om nog duidelijke sporen te achterhalen. Het virus zat in een flash-bestand in het RAM van de machine; de bijbehorende url bestond al niet meer. Volgens de IDB is ransomware een bekend fenomeen. Het is lastig om je hiertegen te verweren. Wij waren als gemeente in principe ook bij met updates en patches.'
Losgeld om van de ransomware af te komen, heeft de gemeente niet betaald. Naar aanleiding van de aanval is er nog wel gekeken of bepaalde elementen in de ict-beveiliging aangescherpt moesten worden. Daaruit is voortgekomen dat er over wordt gegaan van blacklisting - als een applicatie niet op een zwarte lijst staat, mag die worden gebruikt - naar whitelisting: alleen software die op een goedgekeurde lijst staat, mag worden gebruikt. Daarmee wil de gemeente het potentiële infectiegevaar nog verder bezweren.

Geen melding

Kaag en Braassem heeft geen melding gemaakt bij het Meldpunt Datalekken van de Autoriteit Persoonsgegevens. Volgens De Groot heeft de 'security officer' van de gemeente vastgesteld dat er geen sprake was van een datalek. Dan hoeft een cybercrime-actie niet gemeld te worden aan dit meldpunt.
Een woordvoerster van de Autoriteit Persoonsgegevens zegt dat haar organisatie deze specifieke zaak niet heeft onderzocht en daarover dan ook geen uitspraken kan doen. Wel stelt zij dat ‘in zijn algemeenheid geldt dat organisaties zelf moeten bepalen in hoeverre er sprake is van een datalek dat bij ons moet worden gemeld. Melden aan de toezichthouder bij malware hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens.’
In het geval van malware, vervolgt zij, moet de afweging niet beperkt worden tot de gegevens op het geïnfecteerde (rand)apparaat maar moet het risico ten aanzien van alle soorten (persoons)gegevens meegewogen worden waarvan aangenomen kan worden dat deze vanaf het randapparaat benaderd kunnen worden. ‘Voorbeelden van deze bredere afweging zijn toegang tot gegevens via netwerkschijven of informatiesystemen op servers elders op de infrastructuur waar het randapparaat onderdeel van uitmaakt of daarbuiten’, aldus de woordvoerster.

Meldplicht

De meldplicht geldt in Nederland vanaf 1 januari 2016. De plicht houdt in dat bedrijven en overheden direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Ernstig betekent in dit verband dat er kans is op verlies of onrechtmatige verwerking van persoonsgegevens. Het wetsvoorstel is bedoeld als aanscherping van de Wet bescherming persoonsgegevens (Wbp), met oog op de toenemende cybercriminaliteit en privacy-inbreuken.
In sommige gevallen moeten ook de betrokkenen worden geïnformeerd over het datalek, maar alleen als zo’n lek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene. De dreiging van het ten onrechte niet melden van een datalek is groot. Komt de autoriteit erachter, dan volgt er een boete die kan oplopen tot ruim acht ton.

https://www.computable.nl/artikel/achtergrond/security/5739391/1444691/meldpunt-ap-niet-bedoeld-voor-elk-ict-indicent.html?utm_source=nieuwsbrief&utm_medium=email&utm_campaign=dagelijks_13_04_2016&utm_content=topartikelen

Wednesday, April 6, 2016

Management neemt security nu serieus

Management neemt security nu serieus                                                           

Meldplicht datalekken en ransomware dwingen tot maatregelen

Hans Doornbosch, directeur van beveiliger Pinewood
Hans Doornbosch, directeur van beveiliger Pinewood
IT-security wordt momenteel gedomineerd door twee ontwikkelingen; de wet meldplicht datalekken en de dreiging van ransomware. Beide leiden tot meer aandacht van het ­management. “Men beschouwt IT-security niet langer als een IT-aangelegenheid, maar als een vraagstuk dat primair de verantwoordelijkheid van het management is.”

Friday, April 1, 2016

Drie maanden Wet Meldplicht Datalekken, wat nu?

1 april 2016 10:38 | Henk Meeuwisse
   
Het zal weinig security functionarissen zijn ontgaan dat de Wet Meldplicht Datalekken begin dit jaar van kracht is gegaan. Nu we drie maanden verder zijn, kunnen we voorzichtige conclusies gaan trekken of de wet al dan niet een succes is.

Eigenlijk kunnen we stellen dat er weinig veranderd is in de manier waarop we met informatiebeveiliging omgaan in vergelijking tot afgelopen jaar. Wat wel is veranderd, is dat met de meer dan zevenhonderd meldingen die inmiddels hebben plaatsgevonden, inzichtelijk wordt gemaakt dat er daadwerkelijk sprake is van datalekken. Usb-sticks kwijtraken, een laptop op de parkeerplaats laten staan of het ongeoorloofd uitdelen van wachtwoorden, werden afgelopen jaren veelal onder de pet gehouden. Dit nieuwe inzicht zou je een succes kunnen noemen.

Inzicht en voorkomen

Maar is dat een succes? Het liefst wil je elke vorm van melding voorkomen. Dan zou je pas kunnen spreken van een succes. Dat zou betekenen dat de informatiebeveiliging op orde is. En dat laatste is natuurlijk maar de vraag. Veel organisaties werken flink aan de invulling van hun informatie-beveiligingsbeleid. Tegelijkertijd is dat beleid niet van de ene op de andere dag op orde. Dus ook de boetes die de Autoriteit Persoonsgegevens (voormalig CPB) gaat uitdelen, gaan er zeker komen.
Op zichzelf natuurlijk niet zo vreemd. Ga maar na; het gaat immers om persoonsgegevens. Vrijwel elke organisatie, groot of klein, overheid of bedrijf, slaat wel een of meerdere vormen van gegevens op. Sterker nog, de gegevens waar het om gaat, zijn de meest voorkomende vastgelegde gegevens. Denk daarbij aan persoonlijke informatie over gezondheid, levensovertuiging, salaris, schulden, wachtwoorden, school- of werkprestaties en het bekende burgerservicenummer. De kans dat deze gecompromitteerd worden, is daarom vrij groot.

Anonimisering van persoonsgegevens

Voorkoming is nog altijd beter dan genezen. Dus ik pleit voor meer anonimisering van persoonsgegevens dan dat we tot dus ver doen. Meer technische en organisatorische maatregelen zijn nodig om daadwerkelijke ongewenste identificatie van individuele natuurlijke personen uit te sluiten. Dat helpt bij het voorkomen van misbruik van gelekte gegevens. Elke organisatie zal zich moeten afvragen of het mogelijk is data zodanig op te slaan dat een lek geen directe gevolgen heeft voor op persoonsniveau te herleiden gegevens.
Pseudonimisering is van andere orde. Cryptografische bewerkingen zoals encryptie of hashing op identificerende gegevens leiden tot het vervangen van zo’n gegeven door een ander identificerend gegeven. Ook dat verlaagt de kans op misbruik. De verantwoordelijke partij is zelf nog steeds in staat gegevens tot een individu te herleiden, maar voor een derde wordt het wel erg moeilijk.

Risico’s in kaart brengen

Maar voordat je een van deze maatregelen neemt, is het vooral zaak dat eerst de risico’s in kaart worden gebracht. Op basis daarvan kunnen adequate maatregelen worden getroffen. Onnodig, veelal dure veiligheidsmaatregelen zijn uiteraard overbodig als risico’s zeer beperkt zijn. Het is relevant te weten of incidenten zich hebben voorgedaan zonder dat dit geleid heeft tot datalekken. Zo kan een werknemer toegangsgegevens (bijvoorbeeld wachtwoorden die bijvoorbeeld toegang geven tot klantinformatie van het bedrijf) hebben verstrekt aan een persoon buiten de organisatie. Zodra dat ontdekt wordt, kan de organisatie de wachtwoorden aanpassen zodat de buitenstaander geen toegang meer heeft. Vervolgens onderzoekt de organisatie of de derde daadwerkelijk toegang heeft gezocht en gekregen. Bij dit onderzoek wordt gebruik gemaakt van logbestanden, waarin per gebruikersnaam is vastgelegd welke acties er op welk tijdstip hebben plaatsgevonden. Als op basis daarvan ongewenste toegang tot klantgegevens wordt uitgesloten, is er sprake van een beveiligingslek, maar geen sprake van een datalek.

Datalekken wet succes

Dus ja: meer anonimisering is doeltreffend, maar kijk vooral goed waar dat wel of niet nodig is. Veel gebruikelijke veiligheidsmaatregelen als logging, monitoring, toegangsrechten en het bewustzijn vergroten onder medewerkers zijn nog altijd van het grootste belang. De Wet Meldplicht Datalekken heeft er in ieder geval voor gezorgd dat bestuurders inzien dat er geen ontkomen aan is aan de schade die wordt geleden als gevolg van onverantwoorde veiligheidsrisico’s. Ook dat is een succes voor alle security functionarissen, die zich al veel langer bewust waren van de risico’s.

Henk Meeuwisse, senior management consultant security bij Sogeti