June 24, 2024 | Posted in Algemeen nieuws, Informatieveiligheid, Kennisdagen, LB365, Oplossingscatalogus en QRC by Stefan De Cuyper | 0 Comment
In deze online kennisdag gaan we in detail doorheen 3 belangrijke tools uit onze community. De voorbije RKK's (regionale kenniskringen) registreerden we flink wat vragen over de concrete functionaliteiten en de unieke opportuniteiten die in deze 3 oplossingen binnen handbereik liggen. Heel veel lokale besturen zijn / willen hier nu mee aan de slag.
1/3 oplossingscatalogus
2/3 informatieveiligheidstool
3/3 LB365
We gaan via live demo doorheen deze 3 oplossingen en beantwoorden al jullie vragen. Bij elke demo voorzien we naast een V-ICT-OR expert ook minstens één gebruiker uit de lokale besturen.
-/-
1/3 oplossingscatalogus (55 minuten demo sessie)
Deze tool geeft een overzicht van de referentiearchitectuur van de Vlaamse lokale besturen, waarbij hun dienstverleningsnoden worden vastgelegd in deze referentiearchitectuur.
De catalogus verbindt de vrije markt met de publieke sector door een duidelijk overzicht te geven van beschikbare software, leveranciers en standaarden.
Momenteel bevat de catalogus al meer dan 750 oplossingen. De oplossingscatalogus is GRATIS voor iedereen, ook voor de bedrijven en voor de lokale besturen.
2/3 informatieveiligheidstool (55 minuten demo sessie)
De informatieveiligheid tool is een ‘package deal’. Het wil alle aspecten van persoonsgegevensbescherming bundelen zodat je (bijna) niet meer handmatig hoeft te werken. Een drieluik: je kunt er een op maat gemaakte risicoanalyse, maturiteitsmeting en veiligheidsplan mee uitwerken.
De vragenlijst voor de maturiteitsmeting werkt op basis van de ‘richtsnoeren’ (gebaseerd op ISO-normen 27k). Bovendien bezit de tool een tweede vragenlijst die uw organisatie niet alleen aan de wettelijke vereisten van informatieveiligheid toetst, maar ook aan die van de AVG (GDPR, persoonsgegevensbescherming).
Verder zijn er een groot aantal bijkomende functionaliteiten, zoals verwerkingsregisters, verwerkersovereenkomsten (incl. generieke verwerkersovereenkomst die juridisch werd nagekeken), statistieken, vraag-antwoord functionaliteit…
3/3 LB365 (55 minuten demo sessie)
Oorspronkelijk in 2011 gestart als het Common Citizen Service Platform (CCSP). Dit project heeft als missie de samenwerking tussen lokale besturen te stimuleren en gezamenlijk digitale oplossingen te laten ontwikkelen. Elk lokaal bestuur kan aansluiten bij dit los samenwerkingsverband van intussen al 35 besturen die samenwerken om hun diensten te digitaliseren en een midoffice uit te bouwen.
LB365 begint met het bouwen van een gecentraliseerd klantendossier. Hier worden gegevens van burgers en ondernemers uniform vastgelegd en beheerd, waardoor een integraal beeld ontstaat dat als basis dient voor diverse dienstverleningsprocessen.
De databank van dit klantenbeheersysteem is op haar beurt maximaal gekoppeld aan allerlei authentieke bronnen zoals het Rijksregister, de Kruispuntbank van Ondernemingen (KBO) en het Verenigingenregister waardoor de betrouwbaarheid van de gegevens wordt versterkt en lokale overheden toegang hebben tot actuele en nauwkeurige informatie.
Daarbovenop werden diverse oplossingen/modules gebouwd vanuit de reeds gebouwde generieke componenten met elk hun eigen specifieke functionele vereisten. Aangezien deze generieke componenten steeds hergebruikt kunnen worden zorgt dit niet alleen voor een kostenvermindering maar ook een daling van de leveranciersafhankelijkheid.
LB365 biedt ondertussen al een ruim scala aan, van meer dan 14 horizontale digitale diensten.
-/-
KLIK HIER naar de eventpagina voor registratie aanwezigheid.
-/-
Deze kennisdag is GRATIS voor alle effectieve V-ICT-OR leden. Tarief voor niet leden = 195 EUR / 350 EUR. No-shows de dag zelf worden gefactureerd aan 100% van de standaard inkom tarief.
Nog geen lid? Dat kan al vanaf 35 euro.
De week voor deze kennisdag ontvang je een Teams link om deze online kennisdag te volgen. Je bent vrij om één, twee of alle drie de demo's te volgen.
June 11, 2024 | Posted in Algemeen nieuws, CIS-dag en QRC by | 0 Comment
In navolging van het digitaliseringsdecreet van 23 juni 2023 is een belangrijke stap gezet in de richting van een efficiëntere en veiligere elektronische uitwisseling van persoonsgegevens. Vorige week werden de leden van het nieuw opgerichte Vlaamse Comité voor de Mededeling van Persoonsgegevens officieel bekendgemaakt.
Dit comité heeft als voornaamste doel het verlenen van beraadslagingen die de elektronische uitwisseling van persoonsgegevens faciliteren. Deze uitwisseling zal zowel plaatsvinden tussen Vlaamse instanties onderling als met externe overheden en private organisaties.
Het Vlaamse comité voor de mededeling van persoonsgegevens komt in principe één keer per maand samen. Na afloop worden de beraadslagingen op de website van het comité gepubliceerd.
SOURCE - Meer informatie over de oprichting en de leden van het comité is te vinden op KLIK HIER.
Met dit initiatief zet Vlaanderen een belangrijke stap in de verdere digitalisering en modernisering van haar diensten, waarbij de privacy en beveiliging van persoonsgegevens centraal staan.
-/-
KLIK HIER naar de eventpagina van onze CIS 2024 - cyber and information security dag op 03/10/2024 te Lamot Mechelen. Met oa reeds op de agenda
* Miguel De Bruycker - Managing Director General - Centrum voor Cybersecurity België.
* Jan Guldentops - CWW moderator
* Inti De Ceukelaire - ethical hacker & cybercrime onderzoeker
* ...
June 10, 2024 | Posted in Algemeen nieuws, CIS-dag en QRC by Stefan De Cuyper | 0 Comment
Jan Guldentops (AP lector / CWW moderator) volgde 2 weken geleden (23/05) de hele twitter-discussie rond oude domeinnamen van openbare instellingen (steden, gemeenten, OCMW, politie, ...) waarbij Inti De Ceukelaire de kat de bel aan gebonden heeft. Hij had namelijk op de CyberWeerbaarheidsWoensdag (CWW) van V-ICTOR een aantal vragen gekregen rond Inti De Ceukelaire's geniale idee om (oude) domeinnamen van openbare besturen te gaan registeren en er de mail van te onderscheppen.
Goed gevonden om oude domeinnamen die besturen laten vervallen opnieuw te registreren en er een mailserver achter te hangen. En ja er gaat mail toekomen op een foute plek (net zoals dit ook gebeurt als je fysiek verhuist.) En ja je gaat in staat zijn om bepaalde accounts en toepassingen die geregistreerd zijn op het oude domeinnaam te resetten en ze over te nemen.
KLIK HIER naar de eventpagina van onze CIS 2024 - cyber and information security dag op 03/10/2024 te Lamot Mechelen. Waar én Jan Guldentops én ook Inti De Ceukelaire aanwezig zijn.
-/-
Lees hieronder de bewuste LinkedIn post.
What’s in a (domain) name? Mijn twee cent?
Het leeuwendeel van de mail die er op toekomt zal vrij onschadelijk of onbruikbaar zijn. Al zal hier en daar wel een dropbox of een andere account overgenomen kunnen worden. Hoe groot het potentiëel is moeilijk in te schatten. Bovendien hebben de meeste besturen een incentive om te impact te vergoeielijken terwijl Inti terecht zoveel mogelijk aandacht hier voor vraagt. De waarheid ligt in het midden maar ga er vanuit dat er op deze manier e-mail en potentieel allerlei accounts in handen van (gelukkig ) Inti De Ceukelaire gevallen zijn.
Het toont mijns inziens vooral aan hoe ad hoc en zonder veel doorzicht we omgaan met allerlei basis-elementen van digitale infrastructuur. Op zich was het voor de meeste besturen slimmer geweest om de domeinnamen a rato <10€ / jaar nog een paar jaar aan te houden. Op die manier waren potentieel datalekken voorkomen en kan ook één of andere commerciële snoodaard kan het domein niet misbruiken om er promotie mee te voeren, te scammen, vissen of ander ongein mee uit te halen.
We beseffen te weinig hoe belangrijk dat kleine elementje van een domeinnaam is. Het is het hart van je hele internet-aanwezigheid en kan op nog meer creatieve manieren misbruikt worden.
We beseffen bovendien niet hoe noodzakelijk het is om op een doordachte manier van al die leuke clouddiensten gebruik te maken. En vooral dat we dit niet inventariseren en documenteren en nadenken over wat dit nu allemaal zou inhouden. Inti heeft een hele discussie over hoe pijnlijk het is dat de gemeente Pelt een aantal dropbox accounts op het oude overpelt.be domein staan heeft. Ik zou het pijnlijk vinden als een gemeente confidentiële gegevens, laat staan persoonsgegevens op dropbox zou staan hebben.
Ook het gebruik van een e-mail als extra authenticatie factor is iets waar we met zijn allen eens over na moeten denken. En vooral hoe we met die e-mailadressen omgaan. Nauwelijks bedrijven hebben een uitdienst procedure of afspraken over hoe je omgaat met het e-mailadres van een vertrekkende werknemer: ofwel blijft dit bestaan zonder boodschap ( out-of-office) en wordt de mail nog jaren geforward, ofwel kan de medewerker er nog jaren gebruik van maken.
Last but not least kreeg ik de vraag of dit als datalek gemeld moet worden bij de toezichtshouder ( Vlaamse Toezichtscomissie voor Vlaamse Overheid o.a. gemeentes en Gegevensbeschermingsautoriteit voor de anderen). Wel je moet een lek pas melden als je het ontdekt en er tijdens dit lek persoonsgegevens verloren of gestolen worden. Het is als bestuur moeilijk in te schatten of dit het geval is. Als inti toegang gekregen heeft tot de dropbox-account van pietje.puk@overpelt.be waar hij foto’s van kanariepietjes bijhoudt dan is er niet veel aan de hand, als pietje als medewerker van het OCMW een lijst van alle verdeelde maaltijden met naam en toenaam deelde om ze door te geven aan een Traiteur dan is er stront aan de knikker. Als hier ook maar enige indicatie van zo’n lek is en er is risico voor het datasubject aan verbonden moet je het melden.
Conclusie: beschouw dit als een wakeup call en laten we blij zijn dat een ethische hacker op dit idee is gekomen. Dikke merci Inti De Ceukelaire!
Todo's :
De gemeente Pelt is niet bij de pakken blijven zitten en heeft ondertussen (in de week van 27 mei) ook effectief de nodige stappen ondernomen om hun domeinnaam terug in handen te krijgen - en met succes.
SOURCE / BRON > KLIK HIER.
KLIK HIER naar de eventpagina van onze CIS 2024 - cyber and information security dag op 03/10/2024 te Lamot Mechelen. Waar én Jan Guldentops én ook Inti De Ceukelaire aanwezig zijn.