OPEN BREIN

CYBR-H02

Nov 20, 20245 min read

Doelstellingen

  • Ethiek
  • Wetgeving
  • Aanvallers
  • Verdedigers
  • Security & privacy

Notities

Ethiek

Is persoonlijk, bv. Vind je het oké om een zwakheid in het rooster systeem te exploiteren om later examens te hebben?

  • Wettelijk strafbaar (in België), maar is het ethisch?

Wetgeving

Problemen met wetgeving

  • Niet gemakkelijk om te vormen rond technologie. Meeste wetgevers zijn geen technologie experten.
  • Meestal komt wetgeving na een incident.

Voorbeelden van internationale en nationale

Europa

NIS

  • Eerste EU-brede wetgeving rond cybersecurity
  • Ging moeizaam
  • (Ingevoerd in 2016)

NIS2 directives

  • Meer verduidelijking
  • Hoe omgaan met snelle technologische vernieuwingen
  • Meer samenwerking tussen lidstaten (bij grote bedreigingen)
    • Verplicht meer organisaties en sectoren om te werken rond cybersecurity
  • Verplicht lidstaten om meer de wet te handhaven
  • (Ingevoerd op 16 jan 2023, moet in de nationale wetgevingen van EU-lidstaten staan tegen 17 okt 2024)

VS

NIST framework (National Institute of Standards and Technologies)

  • Een raamwerk voor bedrijven en organisaties die cyberbeveiligingsprofessionals nodig hebben.
  • Stelt bedrijven in staat de belangrijkste soorten verantwoordelijkheden, functietitels en benodigde personeelsvaardigheden te identificeren.

Wereldwijd

ISO (International Organization for Standardization) / IEC (Electrotechnical Commission) model

  • Het beveiligen van data is een enorme taak. Het is onmogelijk voor een persoon om alles van begin tot einde te weten.
  • Het ISO model is een hulpmiddel om complexe problemen te begrijpen en aan te pakken. (De organisatie moet zelf bepalen welke controle doelstellingen voor hen van toepassing zijn)
  • Alhoewel de standaard niet verplicht is, wordt het door veel landen en organisaties gebruikt als het model voor cybersecurity.
  • Het ISO 27000 model is bruikbaar voor elk type organisatie en bevat controle doelstelling in de vorm van checklists.
  • (Het ISO/IEC 27000 is een standaard opgesteld in 2005 en geupdated in 2013)

In België

Ethisch hacken toegelaten, mag als:

  • Bedrijf vraagt letterlijk ‘Probeer ons te hacken’
  • Je zwakheden zoekt zonder negatieve doeleinden
    • Je mag de zwakheid niet verder bekijken of exploiteren!
    • Als je iets vind MOET je dit melden. (Anders illegaal)

NIST Framework

Het NIST ‘raamwerk’ (nl. basis om op verder te bouwen) omvat:

  • Verantwoordelijkheden die een bedrijf moet nemen
  • Functietitels waarvoor een bedrijf moet aanwerven
  • Benodigde algemene personeelsvaardigheden

Ze wordt voorgesteld in de Cybersecurity Framework cirkel:

  • Identificeren: identificeren en begrijpen van cybersecurityrisico’s voor systemen, data en mogelijkheden
  • Beschermen: het implementeren van maatregelen en beveiligingen om kritieke systemen en data te beschermen
  • Detecteren: mogelijke cyberbeveiligingsincidenten tijdig detecteren
  • Reageren: het reageren op cyberbeveiligingsincidenten en het beperken van hun impact
  • Herstellen: het herstellen van systemen en data na een cyberincident, zodat de organisatie zo snel mogelijk weer normaal kan functioneren

Aanvallers

Ook wel eens ‘hackers’ genoemd zijn personen die om verschillende redenen inbreken op computers of netwerken om toegang te verkrijgen

White hat

Hackers met goede bedoelingen. Breken in op systemen om zwakheden te vinden om ze (te laten) verbeteren.

Gray hat

Tussen de twee. Met redenen van eigen agenda. (Zal duidelijker worden met voorbeelden)

Scriptkiddies

Meestal tieners of hobbyisten die aanvallen met redenen van grappen of licht vandalisme. Ze hebben weinig of geen vaardigheid.

Vulnerability brokers

Hackers die zwakheden vinden en deze verkopen aan de hoogste bieder. Dit wordt soms door het bedrijf zelf (bv. Google) betaald, of iemand op illegale forums.

Hacktivisten

Activisten die a.d.h.v. informatica hun politieke en/of sociale ideeën verspreiden door de tegenpartij te benadelen.

  • bv. Klimaatactivisten die de website van BP (British Petroleum) platleggen.

Black hat

Criminelen die systemen voor onethische illegale redenen kraken, meestal om redenen van geld en/of macht.

Cybercriminelen

Hacker die zelfstandig werken of voor grote organisaties. Ze stelen geld van consumenten en bedrijven.

State sponsored hackers

(Afhankelijk van jouw opinie) zijn hackers die voor de overheid werken om tegenpartijen van het land aan te vallen, hoe dan ook, met een groot budget.

Verdedigers

Cybersecurity-specialisten

Mensen die specialiseren in het verdedigen tegen cyberaanvallen (preventief en tijdens).

Toolbox

  • Databasen met kwetsbaarheden
  • Vroegtijdige waarschuwingssystemen
  • Het delen van kennis d.m.v. samenwerking
  • ISM-normen (zie Wereldwijd)

Organisaties

Cybersecurity-specialisten moeten dezelfde vaardigheden hebben als hackers, vooral black hat-hackers, om zich te beschermen tegen aanvallen.

  • Men doet dit a.d.h.v. Conferenties en competities

Voorbeelden

  • Belgie: Federal Computer Crime Unit (FCCU), Centre for Cyber Security Belgium, …
  • Wereldwijd: Europol, ENISA, Interpol, …

Conferenties

Internationale technologieorganisaties sponsoren vaak workshops en conferenties

  • bv. Brucon, Cyber security challenge Belguim, Cybersec Europe, …

Security vs. Privacy

Een eeuwig strijdtoneel

De politie wilt illegale activiteiten stoppen maar burgers hebben recht op privacy.

  • Hoe kan de politie de berichten van mensensmokkelaars lezen als ze geëncrypteerd staan.

GDPR

De Europese wet voor beschermen van privacy, ingevoerd in 2018. Het omvat de recht van de Europese burger op:

  • van inzage
  • op correctie
  • om vergeten te worden
  • op overdracht
  • en beveiliging …

van gegevens opgeslagen door bedrijven. Ze zijn ook verplicht om:

  • een correct doel te hebben voor de verzameling van gegevens
  • enkel nodige gegevens te verzamelen
  • voor een beperkte duur die gegevens te bewaren
  • en voor elke algemene verwerking en verzameling toestemming te vragen

Bedrijven die in Europa willen handelen zijn verplicht een duidelijke privacyverklaring te hebben en de gebruiker hiervoor te laten aftekenen.

Toestemming geven is niet zomaar een vinkje zetten, ze moet:

  • Duidelijke uitleg hebben.
  • Niet automatische aangevinkt staan.
  • Geen expliciet negatieve gevolgen hebben.
  • Intrekbaar zijn.
  • Enkel wettelijk bindend zijn voor personen met leeftijd 13 jaar of ouder, indien jonger met toestemming van voogd.

Gegevingsbeschermingsauthoriteit

De orgaan binnen de Vlaamse Overheid die kijkt of de GDPR (in ons land, toegepast: de AVG) wordt nageleefd.

Bronnen