SISLink09 - Who dunnit: crimo in onderwijsland - Alf Moens (TU Delft/SUF)
35
>> 0 >> 1 >> 2 >> 3 >> 4 >> My Name is Moens, Alf Moens
Transcript of SISLink09 - Who dunnit: crimo in onderwijsland - Alf Moens (TU Delft/SUF)
>> 0 >> 1 >> 2 >> 3 >> 4 >>
My Name is Moens,Alf Moens
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Granted to Alf MoensLicense to Kill
any network connection that is abused, is using extensive bandwidth, has been hacked or
otherwise compromised, is multiple times used to distribute copyright protected material, is used for
spamming, as long as it doesnot belong to any vital piece of the information infrastructure, according to the management or the owner, or is registered on
the name of a bobo of the institute.
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Security Manager TU Delft,
Voorzitter SURFibo,
Programmamanager IB SURF
Alf Moens MISM
>> 0 >> 1 >> 2 >> 3 >> 4 >>
DISCLAIMER
De navolgende beelden en verhalen zijn gebaseerd op echte
praktijkgebeurtenissen.
Iedere overeenkomst met bestaande personen, situaties en instellingen is
volledig opzettelijk.
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Whodunnit?
Of wel,
Hoe voorkom ik dat we in de krant komen?
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Whodunnit?
• Wat is de rol van architectuur?• Wat is de rol van standaarden?• Wat is de rol van identity management?•• Bij het voorkomen van informatielekken.
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Wat kan er mis gaan?
• Drie recente praktijkvoorbeelden• Analyse van wat er mis ging en waarom• Handreiking om schade te voorkomen of
te beperken.
>> 0 >> 1 >> 2 >> 3 >> 4 >>
1
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Studieresultaten in Google
April 2009Ergens in Nederland
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Scene 1: OR vergadering met CvB
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Scene 2: Aankondiging en Escalatie
• Voorzitter College → Directeur ICT• Directeur ICT → Manager ICT Operations• Manager ICT Operations
– Functioneel beheerders– Technisch beheerders– Security manager– Ingetrokken verloven, maximale stand-by
• CRISIS DUS!
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Scene 3: Het bericht
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Scene 4: De Feiten
• Studieresultaten:– Excel sheet op website van een vakgroep– Met namen, nummers en resultaten– Niet een keer maar meerdere Excels– Namen plus nummers mag niet samen
• Kostprijsberekening TU Delft Personeel– Interne brief op openbare website
• Binnen 1 uur probleemanalyse naar CvB
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Scene 5: De Afronding
• Verzoek naar vakgroep om sheets aan te passen
• Verzoek naar M&C om interne brief te verwijderen
• Terugkoppeling naar melder (en enige discussie)
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Scene 6: Analyse
• Wat ging hier mis?• Vakgroep heeft eigen website, buiten
corporate site om, maar alles open.• Vakgroep wil veel info naar studenten
geven• Het zijn de eigen cijfers (vakgroep &
student)
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Scene 7: Oplossing
• By design: sites met studieresultaten afschermen (architectuur, standaarden, IM)
• Voorlichting• Beter gemeenschappelijke faciliteiten
bieden:– Gebruikerswens ≠ geboden functionaliteit
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Intermezzo
Architectuur
>> 0 >> 1 >> 2 >> 3 >> 4 >>
2
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Gegevens op Straat
Februari 2009Ergens in Nederland
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Dit voorbeeld is IVM de vertrouwelijkheid van de casus
uit de oorspronkelijke presentatie verwijderd. Belangstellende kunnen zich wenden tot de
auteur.
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Oeps?
Niet Over Nagedacht.Oplossing is Simpel.
>> 0 >> 1 >> 2 >> 3 >> 4 >>
3
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Gegevens op Straat
Mei 2009Ergens anders in Nederland
>> 0 >> 1 >> 2 >> 3 >> 4 >>
>> 0 >> 1 >> 2 >> 3 >> 4 >>
>> 0 >> 1 >> 2 >> 3 >> 4 >>
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Een Opgeblazen Badeendje?
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Een Opgeblazen Badeendje?
Het is uit de hand gelopen.- vroeg signaal- geen reactie- happige pers- (Internet Rules)
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Hoe Helpen Architectuur
Standaarden enIdentity Management?
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Architectuur
• Er is te voren over nagedacht• Er is Samenhang• Er zijn Keuzes gemaakt voor
– Oplossingen– Methodes en– Technieken
• Er is Samenhang
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Standaarden
• Eenduidige manier van– Werken– Verwerken– Presenteren
• Er zijn afspraken gemaakt
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Identity Management
• Gebruikers zijn bekend• Toegang tot informatie is gereguleerd• Identiteiten en rechten zijn eenduidig
vastgelegd
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Arc
hite
ctuu
r
Sta
ndaa
rden
Overige
Iden
tity
Man
agem
ent
(On)bevoegden, per ongeluk
Onbevoegden, Opzettelijk (hackers)
Foutje, Sorry, Niet over Nagedacht
Opgeblazen Badeendje
Eigenwijze Gebruiker
Voorlichting, Procedures
Preventie
Voorlichting, Procedures
Alertheid
Strafregels?
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Conclusie
• Architectuur, Standaarden en Identity Management dragen in belangrijke mate bij aan het beperken van negatieve pers
• Maar lossen niet alles op• “Traditionele” Beveiliging en Voorlichting
blijven noodzakelijk, maar worden steeds meer een vangnet.
>> 0 >> 1 >> 2 >> 3 >> 4 >>
Studielink zo Lek als een MandjeKamervragen!Alle studenteninformatie in Studielink blijkt voor iedereen toegankelijk te zijn. Met enkele simpele muisklikken komen de lijsten met namen, studievoorkeuzen, cijferlijsten en banknummers te voorschijn. Door nog een paar keer door te klikken kunnen ook originele diploma's gedownload worden.
De directeur van Studielink, Wouter de Haan, was niet bereikbaar voor commentaar, wegens een Studielink congres in Noordwijk.
Het lek in Studielink heeft er altijd ingezeten en is waarschijnlijk al lange tijd misbruikt in het criminele circuit voor identiteitsdiefstal bij argeloze eerstejaars.
De LSVB heeft aangekondigd vanmiddag nog vragen te stellen in de Tweede Kamer. Minsiter Plasterk (foto) is teruggeroepen van een internatioonale feestbijeenkomst van ministers van Onderwijs. De Nationale coordinator terrorisme bestrijding ziet vooralsnog geen aanleiding het dreigingsniveau te verhogen.
