Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Certificaat voor dataverwerkers.

01-03-2017, 13:44 door Anoniem, 9 reacties
Na het zoveelste lek, vandaag weer het AMC, zouden we ons eens hard moeten gaan maken voor een erkend certificaat in de dataverwerking. Op dit moment kan iedere, zelfbenoemde, IT'er privacy gevoellige data "verwerken" en opslaan, zou het niet eens tijd worden dat bedrijven verplicht worden om dat door gecerificeerde mensen te laten doen?
Reacties (9)
01-03-2017, 14:14 door Anoniem
In principe zijn er al certificeringen voor. Kijk eens naar ISO normen en bijvoorbeeld NEN7510.

Bij mijn weten moet een zorginstelling aan kunnen tonen adeauate beveiligingsmaatregelen te hebben genomen wat gebaseerd kan worden op de NEN normen. Hier moet ook de dataverwerker aan voldoen indien dit een externe partij is.
01-03-2017, 14:18 door Anoniem
Persoonlijk ben ik niet zo kapot van verplichtingen. Net als verboden, ze zijn een zwaktebod. Je moet ze zien als laatste redmiddel, en dus zou ik zeggen, is dat echt het enige wat je kan verzinnen?

Certificeringen zijn per definitie duur want papieren rompslomp. Voor sommige dingen zijn ze het juiste middel en de extra kosten meer dan waard, maar of dat hier ook het geval gaat zijn, valt nog helemaal te bezien.

En laten we wel wezen, steeds meer bedrijven hangen aanelkaar van "dataverwerking", en al die "analisten" of "office managers" (een mailing is ook dataverwerking, weet je), of wat dan ook, zijn maar al te vaak helemaal geeneens wat je "ITer" zou mogen noemen.

Dus nee, best kans dat wat je voorstelt helemaal niet de juiste groep raakt en ook al niet het gewenste effect gaat sorteren. We zijn daarmee terug bij af. Hoe het dan wel moet? Gooi maar wat ideetjes in de groep. Hoe zou je zoiets aanpakken zonder gelijk met het vingertje te gaan zwaaien, al dan niet per wetboek?
01-03-2017, 14:32 door Anoniem
Door Anoniem: In principe zijn er al certificeringen voor. Kijk eens naar ISO normen en bijvoorbeeld NEN7510.

Bij mijn weten moet een zorginstelling aan kunnen tonen adeauate beveiligingsmaatregelen te hebben genomen wat gebaseerd kan worden op de NEN normen. Hier moet ook de dataverwerker aan voldoen indien dit een externe partij is.

Indien die certificering en verplichting er is hoe komt het dan dat we nog tegen zoveel lekken aanlopen?
Zijn 'we' dan allemaal zo onkundig, voldoet de certificering niet, of gaan we er laks mee om omdat er toch (nog?) geen doden vallen?
01-03-2017, 14:53 door karma4
Klopt Anoniem 14:14.
Wat je helaas nog veel ziet bij bestuurders is dat ze geloven dat zodra ze het outsourcen ze ook niet meer verantwoordelijk zijn.
01-03-2017, 15:00 door Anoniem
Door Anoniem: ...
Bij mijn weten moet een zorginstelling aan kunnen tonen adeauate beveiligingsmaatregelen te hebben genomen wat gebaseerd kan worden op de NEN normen. Hier moet ook de dataverwerker aan voldoen indien dit een externe partij is.

In de praktijk komt daar helaas niets van terecht. In 2016 kregen de grotere zorginstellingen de verplichting om Security Officers aan te stellen, die zich in de praktijk alleen maar bezig blijken te houden met de juridische afdekking rondom de Wet Bescherming Persoonsgegevens. Aan daadwerkelijke (technische) informatiebeveiliging doen ze vrij weinig en wat ze wel doen laten ze aan systeembeheerders en helpdeskpersoneel over. Die zitten er immers toch al en zo kost het de instelling niets. Dat deze mensen over zeer beperkte kennis rondom informatiebeveiliging beschikken wordt voor het gemak genegeerd. Wanneer het flink mis gaat, dan volgt er niets meer dan een aanwijzing van de Autoriteit Persoonsgegevens. Pas bij herhaling en wanneer blijkt dat de zorginstelling de aanwijzing niet heeft opgevolgd, dan volgt er een boete. Gevolg is dat men pas iets gaat doen op het moment dat men een aanwijzing heeft gekregen en de boete daadwerkelijk in het verschiet ligt: Wanneer het kalf verdronken is...

Het wordt tijd dat men eens serieus gaat kijken naar cybersecurity in het zorglandschap en harde technische eisen gaat stellen i.c.m. verplichte audits.
01-03-2017, 15:08 door Anoniem
Door Anoniem: Persoonlijk ben ik niet zo kapot van verplichtingen. Net als verboden, ze zijn een zwaktebod. Je moet ze zien als laatste redmiddel, en dus zou ik zeggen, is dat echt het enige wat je kan verzinnen?

Certificeringen zijn per definitie duur want papieren rompslomp. Voor sommige dingen zijn ze het juiste middel en de extra kosten meer dan waard, maar of dat hier ook het geval gaat zijn, valt nog helemaal te bezien.

En laten we wel wezen, steeds meer bedrijven hangen aanelkaar van "dataverwerking", en al die "analisten" of "office managers" (een mailing is ook dataverwerking, weet je), of wat dan ook, zijn maar al te vaak helemaal geeneens wat je "ITer" zou mogen noemen.

Dus nee, best kans dat wat je voorstelt helemaal niet de juiste groep raakt en ook al niet het gewenste effect gaat sorteren. We zijn daarmee terug bij af. Hoe het dan wel moet? Gooi maar wat ideetjes in de groep. Hoe zou je zoiets aanpakken zonder gelijk met het vingertje te gaan zwaaien, al dan niet per wetboek?

Ik ben in principe ook niet voor verplichtingen maar net als belastingbetalen ontkomen we er niet aan.

Wat zou jij er dan aan willen doen om datalekken terug te brengen?
01-03-2017, 15:13 door tvo83
Door Anoniem:

Indien die certificering en verplichting er is hoe komt het dan dat we nog tegen zoveel lekken aanlopen?
Zijn 'we' dan allemaal zo onkundig, voldoet de certificering niet, of gaan we er laks mee om omdat er toch (nog?) geen doden vallen?

Omdat die verplichting een wassen neus is. De AP komt eerst met een waarschuwing, en pas bij herhaling volgt een eventuele boete. In de praktijk komt men dus pas in beweging op het moment dat er een waarschuwing (en daarmee dus een lek) is geweest.
01-03-2017, 15:58 door Rob Koch - Koch Consultancy - Bijgewerkt: 01-03-2017, 15:59
De privacywetgeving is in het leven geroepen om ervoor te zorgen dat de persoonsgegevens van burgers (ja, u ook!) goed worden beschermd en dat de privacy wordt gewaarborgd. En we weten allemaal dat we er met z'n allen een potje van hebben gemaakt. Uw en mijn gegevens worden ongelimiteerd gekopieerd verkocht, gedistribueerd en misbruikt. Een bron van Identiteitsfraude en criminaliteit. De wetgeving dwingt op Europese schaal de gegevensverwerkingen in kaart te brengen en te beoordelen op juridische grondslag en privacy risico's. De meest risicovolle verwerkingen onderwerp je aan extra diep onderzoek naar de mogelijke privacyrisico's. Deze informatie moet beschikbaar zijn in een actueel bijgehouden privacy-administratie. Het hebben van een datalek an sich is niet strafbaar. Je hoeft ook niet alle datalekken te melden. Je moet echter wel middels je administratie kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om je gegevens te beschermen en de privacy te waarborgen. De Autoriteit geeft eerst "bindende aanwijzingen" om de kans op herhaling te verlagen. Als echter blijkt dat je géén administratie hebt en géén inzicht in je gegevensverwerkingen dan zit je plots in een heel onplezierig gesprek met de Autoriteit. En dan mag je hopen dat er geen oordeel komt dat er sprake is van "verwijtbaar gedrag" want dan gaat de discussie zomaar ineens over mogelijke boetes.
01-03-2017, 21:26 door Anoniem
Door Anoniem: Na het zoveelste lek, vandaag weer het AMC, zouden we ons eens hard moeten gaan maken voor een erkend certificaat in de dataverwerking. Op dit moment kan iedere, zelfbenoemde, IT'er privacy gevoellige data "verwerken" en opslaan, zou het niet eens tijd worden dat bedrijven verplicht worden om dat door gecerificeerde mensen te laten doen?

Aha informatie verwerkings technologie is volgens mij een van de onderwerpen die in dit Topic worden aangestipt. De academische wereld leert ons dat de definitie van informatie tamelijk goed is verwoord in dit artikel:

https://en.wikipedia.org/wiki/Information.

Op basis van dat artikel zou je mogen verwachten dat een website ontwikkelaar begrijpt wat informatie dus is. En dus passende maatregelen inbouwt in zijn of haar toepassing om toegang tot informatie te reguleren.
Een certificering helpt niet zo heel erg bij het voorkomen van fouten op dit vlak, tenzij in de certificering een nadrukkelijke paragraaf of norm is opgesteld die duidelijk aangeeft dat een Applicatie voor in gebruik name getest wordt op het tonen van Informatie aan de daarvoor geauthoriseerde personen. Elke afwijking in deze test moet dan eerst opgelost worden voordat de Applicatie in gebruik mag worden genomen, mij dunkt dat bij AMC Patienten Dossier Lek (https://www.security.nl/posting/505699/AMC+lekt+pati%C3%ABntgegevens+via+online+afsprakensysteem) deze stap over het hoofd is gezien, of op zijn minst door incapabel personeel is uitgevoerd.

Daar kan geen certifcering tegenop ...........................................
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.