1

Sophos Encryption Roadshow 2016

Deel je bevindingen via Linkedin of Twitter met #Sophos of #SophosBenelux

2

Agenda

• Achtergrond

• De meldplicht datalekken

￮ Hoe ben je in overeenstemming met de verordening, en hoe minimaliseer je boetes in geval van een datalek

• Hoe kan Sophos helpen?

• Hoe kan Sophos & encryptie helpen?

￮ Next Generation Data Protection

￮ Sophos.com

1102 -

3

QuizEen inbraak bij een bedrijf. De server wordt meegenomen en de data op de server is versleuteld. Een backupvan de server staat fysiek 80km verder op. Alle data kan teruggehaald worden.

De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen waren betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, was er geen back-up voorhanden.

Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien.

Iemand laat een koffer met daarin USB key met een e-mailadressenbestand achter in de trein. De koffer is voorzien van een deugdelijk slot, en komt via 'gevonden voorwerpen' ongeopend na 2 dagen terug bij de rechtmatige eigenaar.

44

Achtergrond

5

Amendments from European Parliament21 November 2013(1102 paginas)

Project of RegulationEuropean Commission 25 January 2012(118 paginas)

Press pack from the European Commission22 October 2013

Bronnen

Handboek EuropeseGegevensbeschermingswetgevingRaad van Europa December 2013

Interinstitutional File Presidency11 June 2015(201 paginas)

1102 -

6

Te zorgen voor een enkele Europese wet

om het huidige inconsistente raamwerk

van nationale wetten te vervangen.

Moderniseer de principes, heilig verklaard in de

EU Data Beschermingsrichtlijn van 1995

Doel

7

Voordelen van de nieuwe verordening

Voordelen voor organisaties

1. Éen EU markt, éen wet

2. One-stop-shop – een enkele toezichtsautoriteit

3. Dezelfde regels voor alle bedrijven

Voordelen voor EU-burgers

1. Betere databescherming

2. Geeft mensen de controle

88

De meldplichtdatalekken

9

Nederland

22 januari 201510 februari 2015

4 juni 2015

26 mei 2015

1 januari 2016 – ingang meldplicht Half 2017 evaluatie

10

Meldplicht Datalekken

Bron: beleidsregels meldplicht datalekken

11

Persoonsgegevens

Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp Het gaat hierbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

• Gegevens over de financiële of economische situatie van de betrokkene Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salarissen betalingsgegevens.

• (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen.

• Gebruikersnamen, wachtwoorden en andere inloggegevens De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen.

• Gegevens die kunnen worden misbruikt voor (identiteits)fraude Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer (bsn).

12

Focus op Databescherming in WBP3 sleutelartikelen over databescherming:

1. Beveiliging van de verwerking (Artikel 13)A. voorkom onrechtmatige toegang tot persoonsgegevensB. Onder onrechtmatige vormen van verwerking vallen de aantasting van de

gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan.

2. Melding van een inbreuk in verband met persoonsgegevens aande toezichthoudende autoriteit (Artikel 34a, lid1)

De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

3. Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene (Artikel 34a, lid2)

De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkeneonverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. (Geschatte € 16,60 nalevingskosten.)

13

Wat moet je weten

• Organisaties moeten:￮ passende beveiligingsmaatregelen nemen om persoonsgegevens te

beschermen

￮ een duidelijk databeschermingsbeleid hebben voor persoonsgegevens

￮ Bewerkersovereenkomst met klanten en/of derden

￮ een functionaris voor gegevensbescherming aanwijzen (behalve MKB)

• Boetes voor onbeschermde datalekken kunnen oplopen tot€820.000

• Als door de cryptografische bewerkingen die u heeft toegepast de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan kunt u de melding aan de betrokkene achterwege laten.

14

De sleutel is versleuteling

Technische en organisatorische maatregelen dienen cumulatief te worden getroffen. Software is een belangrijk instrument tot beveiliging. Dit wetsvoorstel geeft de normen die mede met behulp van software dienen te worden gehandhaafd. Klassieke technische beveiligingsmaatregelen omvatten mede de fysieke afscherming van de randapparatuur die toegang geeft tot de te beveiligen gegevens. Daarnaast zijn er de modernere informatietechnologische maatregelen zoals beveiliging met een «password» en door middel van encryptie. Grotere bedrijven zullen een eigen beveiligingsafdeling hebben. Kleinere bedrijven zullen beveiligingsexpertise van buitenaf inhuren. Wat betreft encryptie zijn de initiatieven vermeldenswaard van de Europese Commissie om te komen tot een min of meer uniform systeem van vertrouwenstussenpersonen (trusted third parties) binnen de Europese Unie.

(Bron: Richtsnoeren AP: beveiliging persoonsgegevens)

15

Maatregelen

Next Gen FirewallHTTP/ HTTPS scanningATP

IDS / IPSSandBoxingEndpoint SecurityReporting

EncryptionData Leakage PreventionSPX email

BackUp & Restore

16

Datalekken actueler dan ooit tevoren

17

Meldingsdocument datalekken

18

Nederlandse organisaties nauwelijks op de hoogte

Source: Sophos BNL Public Sector Survey November 2015

Niet op de hoogte per branche

19

Organisaties ondernemen geen actie

Source: Sophos BNL Public Sector Survey November 2015

2121

Hoe kan Sophos helpen?

22

Complete Security

AT HOME AND ON THE MOVE

Mobile Control Endpoint SecuritySafeGuard Encryption

HEADQUARTERS

Endpoint SecuritySafeGuard Encryption

REMOTE OFFICE 1

NextGen Firewall

Secure Wi-Fi

Endpoint SecuritySafeGuard Encryption

Secure Wi-Fi

Secure VPN Client

Mobile Control

Reputation Data • Active Protection SophosLabs Correlated intelligence • Content Classification

Administration

CLOUDSTRATEGY

Web Application Firewall

Secure Email Gateway

Secure Web Gateway

Mobile Control

Network Storage AntivirusServer Security

Guest Wi-Fi

UTMNextGen Firewall

Secure Web GatewaySecure Email Gateway

Web Application Firewall

REMOTE OFFICE 2

Secure Wi-Fi

Endpoint SecuritySafeGuard Encryption

Mobile Control

Secure VPN RED

1. Management2. Security Service3. Infrastructure4. Data5. Threat Intelligence

23

5 stappen om datalekken te voorkomen

1. Zorg dat je patches up-to-date zijnData-stelende malware maakt vaak gebruik van bekende kwetsbaarheden.

2. Gebruik meerlaagse beschermingMalware komt binnen via Web en Mail, hou het daar tegen waar het de organisatie binnenkomt

3. Kies voor Advanced Threat ProtectionGebruik een next-generation firewall die aanvallen op het netwerkdetecteert en tegenhoudt, maar ook data exfiltratie tegenhoudt.

4. Gebruik Selective SandboxingTegen malware die zich in het begin “netjes” gedraagt.

5. Limiteer verspreiding van gevoelige dataMaak gebruik van Application Control en Data Control

24

Een solide databeschermingsstrategie

Data is waar het om gaat

1. Hoe gaat data je organisatiein en uit?

2. Wat doen de gebruikers met de data?

3. Wie heeft er toegang tot data?

25

Beleid maken:

2626

Hoe kan Sophos & encryptie helpen?

27

Mythe: Encryptie is verwarrend en complex

28

Verloren of Gestolen Apparaat

Onversleuteld Versleuteld

• Verlies of diefstal van een apparaat kan iedereenoverkomen, en overkomt dus ook velen van ons.

• Alleen geauthoriseerde gebruikers zouden iets met deze apparaten moeten kunnen.

• Hoeveel apparaten heb jij verloren?

29

Zet bestanden op Removable Media

• Op deze kleine apparaatjes past heel veel data, maar je bent ze zo kwijt

• Blokkeer je ze of bescherm je de data erop?

• Waar is je eerste USB stick en wat staat erop?

30

Zet bestanden in E-Mail

• We emailen allemaal & we maken allemaal wel eens eenfoutje (het gebeurt)

• Wat kan het gevolg zijn van het verkeerde bijvoegsel aande verkeerde persoon sturen?

• Versleutel je bestanden, of inspecteer je op de Gateway?

31

Zet bestanden op een Network Share

• De huidige Operating Systems maken het delen van data op het Network zeer eenvoudig.

• Bescherm tegen interne dreigingen.

• Wie is bevoegd voor bedrijfs- of persoonsgegevens?

32

Zet bestanden in de Cloud

• Cloud Storage heeft de manier waarop data tussengebruikers een apparaten wordt gedeeldgerevolutioneerd.

• Wat heb jij in de Cloud staan, en wat gebeurt er alsiemand het steelt?

• Versleutel de data voordat je het in de Cloud zet.

33

SafeGuard Enterprise Encryption

• Versleutelt data op allerlei apparaten en operating systems

• Vertraagt niet – en zit niet in de weg van de workflow enprocessen van de organisatie

• Inclusief centraal beheer van Microsoft’s BitLocker en Apple’s FileVault

• Voorziet in uitgebreide rapporten om naleving aan te kunnentonen

SafeGuard verzekert dat persoonsgegevens beschermd zijn in gevalvan een datalek

34

Continue Productiviteit

Werk op diverse apparaten￮ Windows, OS X, iOS & Android

￮ Integratie met Sophos Secure Workspace en Mobile Control

Gebruikers blijven productief￮ Op kantoor, onderweg, met ieder

apparaat

Nog steeds beveiligd￮ Device integrity bepaalt toegang tot

data. Een apparaat met risico? Werkmet een ander apparaat

35

Transparant, niet opdringerig

Beveiliging tegendatalekken, met minimaleimpact op het dagelijkse

werk van je collega’s

…tot dat wel nodig is

Synchronized Security

Gesynchroniseerd met:Trusted system,

Trusted userTrusted process

Altijd aan. Standaard.

Overal

Data-centric protection die altijd aanstaat, het

beveiligt je data doorheen zijn hele

lifecycle waar het maar wordt gedeeld (over alle

apparaten en in de cloud)

Sophos is de enige vendor die next generation encryption levert, een data centric protection die is opgebouwd op basis van hoe men werkt en data gebruikt. Het versleutelt standaard alle

data , staat altijd aan en beveiligt je data waar het ook gaat. Het bouwt verder op de Synchronized Security visie waarbij data proactief wordt beveiligd en wordt opgetreden tegen

alle vormen van bedreiging.

Sophos SafeGuard 8Encryption as a Threat Protection Technology

36

SPX Email Encryption

• E-mailversleuteling en DLP oplossing die privacy,vertrouwelijkheid en integriteit van gevoelige e-mails beschermt.

• Detecteert automatisch wanneergevoelige informatie de organisatieverlaat, en blokkeert of versleutelt..

• Neemt beveiliging uit de handenvan uw medewerkers en regelt het voor hen.

• Beschikbaar in:￮ Sophos UTM

￮ Sophos Firewall

￮ Sophos Email Appliance

37

Om je gratis verder te helpen

• EU Data Security Compliance Check in 60 seconden

• Whitepaper over EU Data Protection Regulation

• Probeer gratis: Sophos SafeGuard Enterprise, SPX email encryptie, XG Firewall en Endpoint

• Sophos Home voor thuis

Te vinden op www.sophos.com/public-sector-benelux

38© Sophos Ltd. All rights reserved.

#Sophos of #SophosBenelux