Advanced Security - Legal framework - Belnet - Valérie Castille Brussels - 25th April 2013

 
Advanced Security - Legal framework - Belnet - Valérie Castille Brussels - 25th April 2013
Advanced Security – Legal
framework
Belnet – Valérie Castille
Brussels – 25th April 2013
Advanced Security - Legal framework - Belnet - Valérie Castille Brussels - 25th April 2013
But de la présentation

Les quelques questions auxquelles il faudra
répondre d’un point de vue juridique sont les
suivantes :

     – Quels security tools sont/seront appliqués par l’organisation?
     – Sont-ils suffisamment explicités dans le cadre contractuel?
     – Sont-ils conformes aux lois applicables?

25.04.2013        Legal Framework - Advanced Security
Structure de la présentation

1.     La spécificité de la propre organisation
2.     Le cadre contractuel applicable
             1. Le cadre contractuel imposé par d’autres
             2. Le cadre contractuel qu’on impose

3.     Le cadre légal applicable
             1. Le respect de la vie privé
             2. La criminalité informatique
             3. L’obligation de notification d’un incident

25.04.2013           Legal Framework - Advanced Security
1. La spécificité de la propre
organisation

•   Deux sous-questions:
     A. La forme
     - Qui est ou que représente mon organisation? La réponse à cette
         questions sera différente selon le statut, forme juridique: privé, public,
         subventionné, personnalité juridique distincte

     B. Le fond
     -       Que fait mon organisation?  Mission légale ? La mission est-elle
             décrite de façon étroite / large ? Les droits et obligations
             supplémentaires sont fixées dans une loi, un décret , un arrêté royal
             ou un contrat de gestion
25.04.2013              Legal Framework - Advanced Security
Structure de la présentation

1.     La spécificité de la propre organisation
2. Le cadre contractuel applicable
             1. Le cadre contractuel imposé par d’autres
             2. Le cadre contractuel qu’on impose

3.     Le cadre légal applicable
             1. Le respect de la vie privée
             2. La criminalité informatique
             3. L’obligation de notification d’un incident

25.04.2013           Legal Framework - Advanced Security
2. Le cadre contractuel applicable

                                            en amont

             L’ organisation
                                           en aval

25.04.2013       Legal Framework - Advanced Security
2.1 Le cadre contractuel propre

• Les clients de l’organisation:
− Le contrat de fourniture de services; les conditions générales

• Les utilisateurs finaux de l’organisation:
     - Les étudiants (haute école / université)
     - Les citoyens (administration)

• Les visiteurs / utilisateurs online de l’organisation
     - Disclaimer (site web) ; Convention d’utilisation; AUP (Acceptable Use
     Policy)

25.04.2013        Legal Framework - Advanced Security
2.1 Le cadre contractuel propre

• Le personnel de l’organisation:

     − Le contrat de travail ou statut
     − Le règlement de travail
     − Les policies spécifiques (privacy, camera, password policy)

25.04.2013        Legal Framework - Advanced Security
De l’aval vers l’amont

•   Attention aux implications juridiques !
−   Les droits/garanties de sécurité – dont l’utilisation de
    security tools – que l’organisation explicite dans ses
    propres contrats doivent correspondre avec ce qui est
    décrit dans les accords convenus en amont

25.04.2013     Legal Framework - Advanced Security
2.2 Le cadre contractuel qui repose
sur l’organisation

Vérifier dans chaque contrat ce qui est prévu au
niveau de la sécurité et plus précisément au niveau
de l’utilisation des security tools, ex.

     - Belnet: contrat
     - Opérator télephonique: contrat
     - Helpdesk / outsourcing: contrat
     - Autorité hiërarchique: contrat de gestion
     - …

25.04.2013        Legal Framework - Advanced Security
Structure de la présentation

1.     La spécificité de la propre organisation
2.     Le cadre contractuel applicable
3. Le cadre légal applicable
             1. Le respect de la vie privée
                 1. Le logging
             2. La criminalité informatique
                 1. Le hacking externe
                 2. Le hacking interne
                 3. Les hacking tool
             3. L’obligation de notification d’un incident

25.04.2013           Legal Framework - Advanced Security
3. Le cadre légal applicable

 Quelles lois sont ou pourraient être

 d’application lors du choix des security tools que

 l’organisation utilisera dans la mise en place de

 sa politique de sécurité ?

25.04.2013   Legal Framework - Advanced Security
3. Le cadre légal applicable

•   A cet effet, il est bien évidemment important de
    pouvoir identifier les droits concernés:
−   A commencer par les droits fondamentaux
−   Le droit à la vie privée et le secret de la
    communication

25.04.2013     Legal Framework - Advanced Security
3.1. Le respect de la vie privée

Sources multiples du cadre légal :
•   Les conventions et lois :
     • Internationales, Européennes, belges (La Constitution belge,
         La loi du 8 décembre 1992 relative à la protection de la vie
         privée)

•   La jurisprudence (européenne et belge)

•   Certaines Conventions collectives

•   Recommandations / avis de la Commission de la Vie Privée

25.04.2013         Legal Framework - Advanced Security
3.1. Le respect de la vie privée

Ces sources légales contiennent les différents
principes de :
-   Finalité
- Proportionnalité
- Transparence
 Ces principes sont d’une importance
    considérable!

25.04.2013     Legal Framework - Advanced Security
3.1. Privacy

•   La loi du 8 décembre 1992 définit entre autres :
-   C’est quoi des données à caractère personnel? (les
    adresses IP!)
-   L’autorisation pour le traitement des personnes
    concernées
-   L’obligation d’informer les personnes concernées

25.04.2013    Legal Framework - Advanced Security
3.1. Privacy

•   L’information doit porter sur:
-   La spécification des données à caractère personnel qui

    sont collectées

-   L’autorisation pour le traitement de la personne concernée

-   Le but du traitement des données à caractère personnel:
     - Doit être clairement précisé et justifié

25.04.2013         Legal Framework - Advanced Security
3.1 Privacy

Le respect des principes de la protection de la vie
privée doit s’appliquer aussi bien:

1. aux données à caractère personnel
     &
2. au contenu de la communication

25.04.2013   Legal Framework - Advanced Security
3.1. Privacy

•   Principe : le contenu de la communication est
    protégé par le respect de la vie privée

 Mais: l’application du principe est bien plus nuancé en
    ce qui concerne le contenu de la communication sur le
    lieu du travail

25.04.2013     Legal Framework - Advanced Security
3.1. Privacy
Respect du secret de communication
communicatiegeheim
•    Eclaircissement de la distinction :

1. Le         personnel de l’organisation :
     - Le droit de contrôle de l’employeur lors du l’utilisation du mail et les
             pages web que le travailleur consulte sur le net
     - Parfois il est difficile de trouver un équilibre entre le droit de contrôle
             de l’employeur d’une part et le droit à la vie privée du travailleur
             d’autre part

25.04.2013              Legal Framework - Advanced Security
3.1. Privacy
Respect du secret de communication

2.     Les clients / les visiteurs online
     - Le droit pour l’organisation de contrôler les mails et les sites consultés
         sur le net  concerne l’étendue /la portée des security tools qui sont
         utilisés
     - L’utilisation des tools de monitoring par l’organisation tel que deep
         packet inspection
     - L’utilisation de l’organisation de cookies (plusieurs cookies différents:
         du simple cookie fonctionnel au profilage)

25.04.2013          Legal Framework - Advanced Security
3.1. Privacy

Concernant la cybersurveillance sur le lieu de
travail:
 Un document à conseiller:
Une brochure d’information de la Commission de la vie
privée, ayant pour titre :
La cybersurveillance

25.04.2013   Legal Framework - Advanced Security
3.1.Privacy
Déclaration auprès de la Commission

 En tant qu’organisation il faut également vérifier si
le traitement de données à caractère personnel a
été déclaré auprès de la Commission pour la
protection de la vie privée

     − La Commission vie privée est un organe indépendant fédéral.
     − Elle gère le traitement de données à caractère personnel.

25.04.2013       Legal Framework - Advanced Security
3.1.Privacy
Déclaration auprès de la Commission

•   Que faut-il déclarer?
     – Le traitement automatisé des données à caractère personnel

•   Quand faut-il déclarer ?
     – La déclaration doit avoir lieu avant le traitement

•   Quelles informations doivent être déclarées
     – La finalité du traitement
     – Quelles données à caractère personnel sont collectées
     – De quelle façon le traitement sera protégé contre des abus

25.04.2013         Legal Framework - Advanced Security
3.1.Privacy
1. Logging

•   Une question souvent posée :
    Peut-on, en tant qu’organisation, faire du logging
    des données (à caractère personnel)?

 La réponse est positive, toutefois il y a des limites
à respecter.

25.04.2013   Legal Framework - Advanced Security
3.1. Privacy
Logging

     – Tout d’abord : La finalité du logging des données (dépendra entre
         autres de la spécificité de l’organisation (mission; rôle))

     – Ensuite : Essayer autant que possible que le logging se fasse de
         façon anonyme, de cette façon il y aura pas ou peu de contraintes au
         niveau de la vie privée

     – Et puis : S’il s’agit de données à caractère personnel , il faudra
         évidemment respecter les principes de base de la vie privée
             (attention : adresse IP = donnée à caractère personnel !)

25.04.2013             Legal Framework - Advanced Security
3.1. Privacy
1. Logging

•   Tout d’abord il faut réfléchir quelles données on
    souhaite faire enregistrer (logs) :
     – L’accès? Seulement l’accès fysique? L’accès au réseau?
     – Seulement l’accès ou également le nom?
     – Accès, nom, adresse,…

•   Avec quelle finalité :
     – Par exemple la sécurité du réseau / du système
     – Autre, ..

25.04.2013         Legal Framework - Advanced Security
3.1. Privacy
Logging

•   Qui aura accès au logs?
     – Administrateur système
     – L’hiërarchie / le management?

•   Pour combien de temps seront-ils conservés?
•   De quelle façon les logs sont sécurisés?
•   Qu’est-ce qui est mis en place en cas d’abus?
•   Un écrit qui informe: nécessité?

25.04.2013        Legal Framework - Advanced Security
3.1. Privacy
Logging

    Un document important de la Commission Vie
    Privée : “Mesures de référence en matière de
    sécurité applicables à tout traitement de données
    à caractère personnel «
−   Le document reprend une liste d'onze domaines d’actions liées à la

    sécurité de l’information pour lesquels tout organisme qui conserve/ traite

    des données à caractère personnel doit prendre des mesures.

25.04.2013        Legal Framework - Advanced Security
3.1. Privacy
Logging

•   Point 7 (du document). Journalisation, traçage et
    analyse des accès.
     − L’organisme doit mettre en œuvre des mécanismes de journalisation
         et de traçage.
     − Ces derniers doivent permettre de retrouver, en cas de nécessité,
         l’identité de l’auteur de tout accès aux données à caractère personnel
         ou de toute manipulation de celles-ci.
     − L’enregistrement de ces informations de contrôle peut concerner,
         suivant les cas, l’accès physique, l’accès logique ou les deux.

25.04.2013          Legal Framework - Advanced Security
3.1. Privacy
Logging

     − La granularité des enregistrements, la localisation et la durée de
         conservation de ceux-ci, la fréquence et le type des manipulations
         effectuées sur ceux-ci dépendent du contexte.

     − Des mécanismes supplémentaires de détection d’intrusion pourraient
         être requis.

     − Le conseiller en sécurité de l'information doit être en mesure de
         justifier la politique adoptée.

25.04.2013           Legal Framework - Advanced Security
3.2. Wettelijk kader :
Informaticacriminaliteit

•   Naast de problematiek van logging, is er – vanuit
    juridisch oogpunt – een continue waakzaamheid
    van de organisatie vereist bij het gebruik van
    securitytools
•   Aantal voorbeelden ter illustratie

25.04.2013   Legal Framework - Advanced Security
Voorbeeld

 Wat nu ?
Check voor jezelf of dit deel uitmaakt van je
normaal takenpakket / monitoring :
     - Indien ja, ok (normaal wel)
     - Indien neen, beter afzonderlijk en expliciet de vraag van werkgever in
         handen krijgen

25.04.2013         Legal Framework - Advanced Security
Voorbeeld (2)

•   Binnen een arbeidsrelatie:
Stel, als systeembeheerder kreeg je opdracht om X-
incident te onderzoeken maar je merkt Y-incident op
 Wat nu?
     - Je vermoedt dat Y een echt misdrijf is
     - Moet je het melden aan je werkgever / baas? Ja

25.04.2013        Legal Framework - Advanced Security
Voorbeeld (3)

•   Buiten een arbeidsrelatie :
Stel, je bent overenthousiast en je test een
beveiliging van een site :
     - En je geraakt binnen
     - Je bent vriendelijk en meldt het aan de eigenaar van de site
     - Is minder vriendelijk en dient klacht in

      Wat nu?
     - Riskeer je (strafrechtelijk) iets: JA !

25.04.2013          Legal Framework - Advanced Security
Voorbeeld (4)

•   Buiten een arbeidsrelatie:
Stel, je bent – ter kwader trouw - en je
test/kraakt/hackt een beveiliging van een site :
     - En je geraakt binnen
     - Je meldt het niet aan de eigenaar van de site
     - Is minder vriendelijk en dient klacht in

      Wat nu?
     - Riskeer je (strafrechtelijk) iets: JA !

25.04.2013          Legal Framework - Advanced Security
Voorbeeld (5)

•   Binnen een arbeidsrelatie :
Stel : je bent binnen in het systeem en – ter kwader
trouw - kopieer je tal van gegevens
     - Werkgever dient klacht in

      Wat nu?
     - Riskeer je (strafrechtelijk) iets: JA ! + ook op het vlak van
         arbeidswetgeving (C4)

25.04.2013         Legal Framework - Advanced Security
Heiligt het doel de middelen ?

•   Waarom die verschillende voorbeelden ?
     - Om aan te tonen dat eenzelfde handeling al dan niet kan leiden tot
         een strafrechtelijke veroordeling

     - De grenzen heeft men in 2001 gepoogd in een wet te systematiseren :
         de wet op de informaticacriminaliteit

25.04.2013          Legal Framework - Advanced Security
3.2. Wet op de informaticacriminaliteit

• De wet introduceert de bestraffing van
  informaticamisdrijven :

− specifieke computermisdrijven
     -   waarbij ICT als een doel op zich staat , zoals bij hacking

− niet-specifieke computermisdrijven, zoals datamanipulatie
     -   ICT wordt als een middel gebruikt om een (reeds bestaand) misdrijf te begaan,
         bijvoorbeeld datamanipulatie (valsheid in geschrifte)

25.04.2013           Legal Framework - Advanced Security
3.2. Wet op de informaticacriminaliteit

•   De wet op de informaticacriminaliteit introduceert
    ‘hacking’ als een nieuw strafrechtelijk misdrijf
•   Daarbij wordt in de wet een onderscheid gemaakt:
     - Externe hacken
     - Interne hacken
     - Poging tot hacken
     - Hulpmiddelen / hacking tools
     - Uitlokking hacken

25.04.2013        Legal Framework - Advanced Security
3.2.1. Externe hacking

    (citaat)

    “Art. 550bis. § 1. Hij die, terwijl hij weet dat hij daar
    toe niet gerechtigd is, zich toegang verschaft tot een
    informaticasysteem of zich daarin handhaaft, wordt
    gestraft met gevangenisstraf van …

    Wanneer het misdrijf, bedoeld in het eerste lid,
    gepleegd wordt met bedrieglijk opzet, bedraagt de
    gevangenisstraf zes maanden tot twee jaar.”

25.04.2013     Legal Framework - Advanced Security
3.2.1. Externe hacking

•   Illegaal toegang tot een IT-systeem van iemand
    anders
     - Algemene intentie volstaat: ‘terwijl hij weet dat hij daartoe niet
         gerechtigd is’
     - Misleidende intentie => verzwarende omstandigheid

25.04.2013          Legal Framework - Advanced Security
3.2.2. Interne hacking

    (citaat)

    Ҥ 2. Hij die, met bedrieglijk opzet of met het
    oogmerk om te schaden, zijn toegangsbevoegdheid
    tot een informaticasysteem overschrijdt, wordt
    gestraft met gevangenisstraf van (…) en met geldboete
    van (…) of met een van die straffen alleen.”

25.04.2013     Legal Framework - Advanced Security
3.2.2. Interne hacking

•   Meer dan het geoorloofd toegangsniveau van een
    IT-systeem
     − Gericht op "insiders“
     − Afzonderlijk opzet: “met bedrieglijk opzet” of “met het oogmerk
         om te schaden”

25.04.2013        Legal Framework - Advanced Security
3.2.3.Hacking tools (art. 550, § 5)

•   Het bezitten van, het maken van, het verkopen,
    het verkrijgen, het importeren of distribueren
    tools die vooral bedoeld zijn voor het hacken

     − Algemeen opzet volstaat
     − Zes maanden tot 3 jaar gevangenisstraf en / of geldboete

25.04.2013        Legal Framework - Advanced Security
3.2.3. Hulpmiddelen/hacking tools

•   Kunnen uit software bestaan

•   Kunnen uit hardware bestaan (bv. kleine
    apparaatjes geplaatst tussen je toetsenbord en
    computer)

25.04.2013   Legal Framework - Advanced Security
3.2.3. Hulpmiddelen

•   Software om beveiligingen te testen kan voor
    legitieme maar ook voor criminele doeleinden
    worden gebruikt.
     - Legitieme: bv. door systeembeheerders en beveiligingsmedewerkers
     - Niet legitieme: bv. Door criminelen

25.04.2013        Legal Framework - Advanced Security
Toetsing van concretere voorbeelden
van Erik

   We overlopen :

     - Poortscannen
     - Deep packet Inspection

25.04.2013       Legal Framework - Advanced Security
Poortscannen

•   Cf. uitleg Erik
•   Voor het poortscannen zijn er verschillende
    scantechnieken ontwikkeld
     één van de meest gekende is Nmap
•   Juridische analyse: kan dit ?

25.04.2013    Legal Framework - Advanced Security
Poortscannen

•   Indien enkel gebruikt om te onderzoeken welke
    poorten er op een geautomatiseerd systeem
    aanwezig zijn én
•   er geen verdere actie op het systeem wordt
    ondernomen
•   is het juridisch géén inbraak

25.04.2013   Legal Framework - Advanced Security
Poortscannen

•   Evenwel zou het gemakkelijker onder de ‘poging
    tot het plegen van een misdrijf’ kunnen vallen.
•   Poging = de dader heeft een begin van uitvoering
    van een misdrijf gepleegd
•   De omstandigheden van de uitvoering van de
    poortscan zullen dit moeten verduidelijken

25.04.2013   Legal Framework - Advanced Security
Deep packet inspection (DPI)

     - Is een techniek die op verschillende wijzen kan worden toegepast

     - Deze techniek wordt massaal aangewend door Europese ISPs voor
         “netbeheer” (“traffic management”), soms bandbreedtebeheer of
         “traffic shaping” genoemd met “afknijpen van bandbreedte”

     - Nog kritischer voor de bescherming van de persoonlijke levenssfeer in
         vergelijking met netbeheer zijn realtime netwerkmonitoring voor
         interceptie

25.04.2013             Legal Framework - Advanced Security
Deep packet inspection

•   M.a.w. kan dus zowel worden aangewend voor
    legitieme doeleinden als voor criminele
    doeleinden
 Moeilijkheid is: tot waar is het ‘legitiem’?
     – De wet op de informaticacriminaliteit is dé bron, maar soms moeilijk
     – Rechtspraak kan helpen
     – Aanbevelingen van de Privacycommissie kunnen eveneens een
         hulpmiddel zijn

25.04.2013          Legal Framework - Advanced Security
Deep packet inspection

•   Recente aanbeveling (11.04.2012) van de
    Privacycommissie hieromtrent : “Aanbeveling
    over netneutraliteit, deep packet inspection en
    bescherming van de persoonlijke levenssfeer en
    persoonsgegevens in de telecomsector”
     – Vindplaats : www.privacycommission.be

25.04.2013       Legal Framework - Advanced Security
Deep packet inspection

•   Recente aanbeveling van de Privacycommissie
    hieromtrent :
     – Scope is breder en kadert ook in discussie rond netneutraliteit
     – Maar … toch interessant omdat Privacycommissie aangeeft dat er
         wel degelijk legitieme doeleinden kunnen zijn
     – Legaal gebruik van DPI is mogelijk bijvoorbeeld in beveiligings- en
         firewalltechnologie, in spamfilters, virusfilters voor e-mailverkeer,
         cachesystemen (voor webpagina’s,..)

25.04.2013          Legal Framework - Advanced Security
Deep packet inspection

•   Waarom deze voorbeelden van legaal gebruik van
    DPI?
     – De commissie motiveert dit als volgt: “telkens gaat het om
         toepassingen waarvan de gemiddelde gebruiker redelijkerwijze kan
         verwachten dat zijn netwerkverkeer wordt onderzocht”

25.04.2013         Legal Framework - Advanced Security
Deep packet inspection

•   Bepaalde DPI daarentegen:
     duidelijk een hoog risico voor de bescherming
    van de persoonlijke levenssfeer, bijvoorbeeld:
     – Toepassing van DPI voor direct marketing doeleinden;
     – Toepassing van DPI voor het (zogenaamd) bestrijden van
         auteursrechtelijke inbreuken

25.04.2013         Legal Framework - Advanced Security
Meldingsplicht cyberincident

Door de monitoring is er een cyberincident ontdekt
 Wat nu?

•   Welke juridische stappen te nemen ?
    a)       Het beperken van de schade
    b)       Het melden van het incident

25.04.2013            Legal Framework - Advanced Security
Meldingsplicht ?

 Ja
•   Aan wie? Uitgestrektheid ervan, hangt af
•   Je rol daarin :
     - (i) slachtoffer
     - (ii) netwerk gebruikt om cybercrime te plegen
     - (iii) dader is een personeelslid
     - (iv) dader is een klant

25.04.2013         Legal Framework - Advanced Security
Meldingsplicht

     Aan wie ?

             -   Aan hiërarchie in geval van een overheid
             -   Politie
             -   Gerechtelijke Autoriteiten
             -   Cert.be
             -   BIPT (cfr, smalle meldplicht)
             -   Privacycommissie

25.04.2013            Legal Framework - Advanced Security
Nuttige links

www.privacycommission.be

www.mineco.fgov.be : Gids voor internetgebruikers
−   wil, in zo duidelijk mogelijke taal, de sluier rond het
    internet oplichten
−   Zowel voor potentiële surfer als echte
    internetgebruiker

25.04.2013     Legal Framework - Advanced Security
Bedankt voor jullie aandacht
Merci pour votre attention
Vous pouvez aussi lire