Advanced Security - Legal framework - Belnet - Valérie Castille Brussels - 25th April 2013
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Advanced Security – Legal framework Belnet – Valérie Castille Brussels – 25th April 2013
But de la présentation
Les quelques questions auxquelles il faudra
répondre d’un point de vue juridique sont les
suivantes :
– Quels security tools sont/seront appliqués par l’organisation?
– Sont-ils suffisamment explicités dans le cadre contractuel?
– Sont-ils conformes aux lois applicables?
25.04.2013 Legal Framework - Advanced SecurityStructure de la présentation
1. La spécificité de la propre organisation
2. Le cadre contractuel applicable
1. Le cadre contractuel imposé par d’autres
2. Le cadre contractuel qu’on impose
3. Le cadre légal applicable
1. Le respect de la vie privé
2. La criminalité informatique
3. L’obligation de notification d’un incident
25.04.2013 Legal Framework - Advanced Security1. La spécificité de la propre
organisation
• Deux sous-questions:
A. La forme
- Qui est ou que représente mon organisation? La réponse à cette
questions sera différente selon le statut, forme juridique: privé, public,
subventionné, personnalité juridique distincte
B. Le fond
- Que fait mon organisation? Mission légale ? La mission est-elle
décrite de façon étroite / large ? Les droits et obligations
supplémentaires sont fixées dans une loi, un décret , un arrêté royal
ou un contrat de gestion
25.04.2013 Legal Framework - Advanced SecurityStructure de la présentation
1. La spécificité de la propre organisation
2. Le cadre contractuel applicable
1. Le cadre contractuel imposé par d’autres
2. Le cadre contractuel qu’on impose
3. Le cadre légal applicable
1. Le respect de la vie privée
2. La criminalité informatique
3. L’obligation de notification d’un incident
25.04.2013 Legal Framework - Advanced Security2. Le cadre contractuel applicable
en amont
L’ organisation
en aval
25.04.2013 Legal Framework - Advanced Security2.1 Le cadre contractuel propre
• Les clients de l’organisation:
− Le contrat de fourniture de services; les conditions générales
• Les utilisateurs finaux de l’organisation:
- Les étudiants (haute école / université)
- Les citoyens (administration)
• Les visiteurs / utilisateurs online de l’organisation
- Disclaimer (site web) ; Convention d’utilisation; AUP (Acceptable Use
Policy)
25.04.2013 Legal Framework - Advanced Security2.1 Le cadre contractuel propre
• Le personnel de l’organisation:
− Le contrat de travail ou statut
− Le règlement de travail
− Les policies spécifiques (privacy, camera, password policy)
25.04.2013 Legal Framework - Advanced SecurityDe l’aval vers l’amont
• Attention aux implications juridiques !
− Les droits/garanties de sécurité – dont l’utilisation de
security tools – que l’organisation explicite dans ses
propres contrats doivent correspondre avec ce qui est
décrit dans les accords convenus en amont
25.04.2013 Legal Framework - Advanced Security2.2 Le cadre contractuel qui repose
sur l’organisation
Vérifier dans chaque contrat ce qui est prévu au
niveau de la sécurité et plus précisément au niveau
de l’utilisation des security tools, ex.
- Belnet: contrat
- Opérator télephonique: contrat
- Helpdesk / outsourcing: contrat
- Autorité hiërarchique: contrat de gestion
- …
25.04.2013 Legal Framework - Advanced SecurityStructure de la présentation
1. La spécificité de la propre organisation
2. Le cadre contractuel applicable
3. Le cadre légal applicable
1. Le respect de la vie privée
1. Le logging
2. La criminalité informatique
1. Le hacking externe
2. Le hacking interne
3. Les hacking tool
3. L’obligation de notification d’un incident
25.04.2013 Legal Framework - Advanced Security3. Le cadre légal applicable Quelles lois sont ou pourraient être d’application lors du choix des security tools que l’organisation utilisera dans la mise en place de sa politique de sécurité ? 25.04.2013 Legal Framework - Advanced Security
3. Le cadre légal applicable
• A cet effet, il est bien évidemment important de
pouvoir identifier les droits concernés:
− A commencer par les droits fondamentaux
− Le droit à la vie privée et le secret de la
communication
25.04.2013 Legal Framework - Advanced Security3.1. Le respect de la vie privée
Sources multiples du cadre légal :
• Les conventions et lois :
• Internationales, Européennes, belges (La Constitution belge,
La loi du 8 décembre 1992 relative à la protection de la vie
privée)
• La jurisprudence (européenne et belge)
• Certaines Conventions collectives
• Recommandations / avis de la Commission de la Vie Privée
25.04.2013 Legal Framework - Advanced Security3.1. Le respect de la vie privée
Ces sources légales contiennent les différents
principes de :
- Finalité
- Proportionnalité
- Transparence
Ces principes sont d’une importance
considérable!
25.04.2013 Legal Framework - Advanced Security3.1. Privacy
• La loi du 8 décembre 1992 définit entre autres :
- C’est quoi des données à caractère personnel? (les
adresses IP!)
- L’autorisation pour le traitement des personnes
concernées
- L’obligation d’informer les personnes concernées
25.04.2013 Legal Framework - Advanced Security3.1. Privacy
• L’information doit porter sur:
- La spécification des données à caractère personnel qui
sont collectées
- L’autorisation pour le traitement de la personne concernée
- Le but du traitement des données à caractère personnel:
- Doit être clairement précisé et justifié
25.04.2013 Legal Framework - Advanced Security3.1 Privacy
Le respect des principes de la protection de la vie
privée doit s’appliquer aussi bien:
1. aux données à caractère personnel
&
2. au contenu de la communication
25.04.2013 Legal Framework - Advanced Security3.1. Privacy
• Principe : le contenu de la communication est
protégé par le respect de la vie privée
Mais: l’application du principe est bien plus nuancé en
ce qui concerne le contenu de la communication sur le
lieu du travail
25.04.2013 Legal Framework - Advanced Security3.1. Privacy
Respect du secret de communication
communicatiegeheim
• Eclaircissement de la distinction :
1. Le personnel de l’organisation :
- Le droit de contrôle de l’employeur lors du l’utilisation du mail et les
pages web que le travailleur consulte sur le net
- Parfois il est difficile de trouver un équilibre entre le droit de contrôle
de l’employeur d’une part et le droit à la vie privée du travailleur
d’autre part
25.04.2013 Legal Framework - Advanced Security3.1. Privacy
Respect du secret de communication
2. Les clients / les visiteurs online
- Le droit pour l’organisation de contrôler les mails et les sites consultés
sur le net concerne l’étendue /la portée des security tools qui sont
utilisés
- L’utilisation des tools de monitoring par l’organisation tel que deep
packet inspection
- L’utilisation de l’organisation de cookies (plusieurs cookies différents:
du simple cookie fonctionnel au profilage)
25.04.2013 Legal Framework - Advanced Security3.1. Privacy Concernant la cybersurveillance sur le lieu de travail: Un document à conseiller: Une brochure d’information de la Commission de la vie privée, ayant pour titre : La cybersurveillance 25.04.2013 Legal Framework - Advanced Security
3.1.Privacy
Déclaration auprès de la Commission
En tant qu’organisation il faut également vérifier si
le traitement de données à caractère personnel a
été déclaré auprès de la Commission pour la
protection de la vie privée
− La Commission vie privée est un organe indépendant fédéral.
− Elle gère le traitement de données à caractère personnel.
25.04.2013 Legal Framework - Advanced Security3.1.Privacy
Déclaration auprès de la Commission
• Que faut-il déclarer?
– Le traitement automatisé des données à caractère personnel
• Quand faut-il déclarer ?
– La déclaration doit avoir lieu avant le traitement
• Quelles informations doivent être déclarées
– La finalité du traitement
– Quelles données à caractère personnel sont collectées
– De quelle façon le traitement sera protégé contre des abus
25.04.2013 Legal Framework - Advanced Security3.1.Privacy
1. Logging
• Une question souvent posée :
Peut-on, en tant qu’organisation, faire du logging
des données (à caractère personnel)?
La réponse est positive, toutefois il y a des limites
à respecter.
25.04.2013 Legal Framework - Advanced Security3.1. Privacy
Logging
– Tout d’abord : La finalité du logging des données (dépendra entre
autres de la spécificité de l’organisation (mission; rôle))
– Ensuite : Essayer autant que possible que le logging se fasse de
façon anonyme, de cette façon il y aura pas ou peu de contraintes au
niveau de la vie privée
– Et puis : S’il s’agit de données à caractère personnel , il faudra
évidemment respecter les principes de base de la vie privée
(attention : adresse IP = donnée à caractère personnel !)
25.04.2013 Legal Framework - Advanced Security3.1. Privacy
1. Logging
• Tout d’abord il faut réfléchir quelles données on
souhaite faire enregistrer (logs) :
– L’accès? Seulement l’accès fysique? L’accès au réseau?
– Seulement l’accès ou également le nom?
– Accès, nom, adresse,…
• Avec quelle finalité :
– Par exemple la sécurité du réseau / du système
– Autre, ..
25.04.2013 Legal Framework - Advanced Security3.1. Privacy
Logging
• Qui aura accès au logs?
– Administrateur système
– L’hiërarchie / le management?
• Pour combien de temps seront-ils conservés?
• De quelle façon les logs sont sécurisés?
• Qu’est-ce qui est mis en place en cas d’abus?
• Un écrit qui informe: nécessité?
25.04.2013 Legal Framework - Advanced Security3.1. Privacy
Logging
Un document important de la Commission Vie
Privée : “Mesures de référence en matière de
sécurité applicables à tout traitement de données
à caractère personnel «
− Le document reprend une liste d'onze domaines d’actions liées à la
sécurité de l’information pour lesquels tout organisme qui conserve/ traite
des données à caractère personnel doit prendre des mesures.
25.04.2013 Legal Framework - Advanced Security3.1. Privacy
Logging
• Point 7 (du document). Journalisation, traçage et
analyse des accès.
− L’organisme doit mettre en œuvre des mécanismes de journalisation
et de traçage.
− Ces derniers doivent permettre de retrouver, en cas de nécessité,
l’identité de l’auteur de tout accès aux données à caractère personnel
ou de toute manipulation de celles-ci.
− L’enregistrement de ces informations de contrôle peut concerner,
suivant les cas, l’accès physique, l’accès logique ou les deux.
25.04.2013 Legal Framework - Advanced Security3.1. Privacy
Logging
− La granularité des enregistrements, la localisation et la durée de
conservation de ceux-ci, la fréquence et le type des manipulations
effectuées sur ceux-ci dépendent du contexte.
− Des mécanismes supplémentaires de détection d’intrusion pourraient
être requis.
− Le conseiller en sécurité de l'information doit être en mesure de
justifier la politique adoptée.
25.04.2013 Legal Framework - Advanced Security3.2. Wettelijk kader :
Informaticacriminaliteit
• Naast de problematiek van logging, is er – vanuit
juridisch oogpunt – een continue waakzaamheid
van de organisatie vereist bij het gebruik van
securitytools
• Aantal voorbeelden ter illustratie
25.04.2013 Legal Framework - Advanced SecurityVoorbeeld
Wat nu ?
Check voor jezelf of dit deel uitmaakt van je
normaal takenpakket / monitoring :
- Indien ja, ok (normaal wel)
- Indien neen, beter afzonderlijk en expliciet de vraag van werkgever in
handen krijgen
25.04.2013 Legal Framework - Advanced SecurityVoorbeeld (2)
• Binnen een arbeidsrelatie:
Stel, als systeembeheerder kreeg je opdracht om X-
incident te onderzoeken maar je merkt Y-incident op
Wat nu?
- Je vermoedt dat Y een echt misdrijf is
- Moet je het melden aan je werkgever / baas? Ja
25.04.2013 Legal Framework - Advanced SecurityVoorbeeld (3)
• Buiten een arbeidsrelatie :
Stel, je bent overenthousiast en je test een
beveiliging van een site :
- En je geraakt binnen
- Je bent vriendelijk en meldt het aan de eigenaar van de site
- Is minder vriendelijk en dient klacht in
Wat nu?
- Riskeer je (strafrechtelijk) iets: JA !
25.04.2013 Legal Framework - Advanced SecurityVoorbeeld (4)
• Buiten een arbeidsrelatie:
Stel, je bent – ter kwader trouw - en je
test/kraakt/hackt een beveiliging van een site :
- En je geraakt binnen
- Je meldt het niet aan de eigenaar van de site
- Is minder vriendelijk en dient klacht in
Wat nu?
- Riskeer je (strafrechtelijk) iets: JA !
25.04.2013 Legal Framework - Advanced SecurityVoorbeeld (5)
• Binnen een arbeidsrelatie :
Stel : je bent binnen in het systeem en – ter kwader
trouw - kopieer je tal van gegevens
- Werkgever dient klacht in
Wat nu?
- Riskeer je (strafrechtelijk) iets: JA ! + ook op het vlak van
arbeidswetgeving (C4)
25.04.2013 Legal Framework - Advanced SecurityHeiligt het doel de middelen ?
• Waarom die verschillende voorbeelden ?
- Om aan te tonen dat eenzelfde handeling al dan niet kan leiden tot
een strafrechtelijke veroordeling
- De grenzen heeft men in 2001 gepoogd in een wet te systematiseren :
de wet op de informaticacriminaliteit
25.04.2013 Legal Framework - Advanced Security3.2. Wet op de informaticacriminaliteit
• De wet introduceert de bestraffing van
informaticamisdrijven :
− specifieke computermisdrijven
- waarbij ICT als een doel op zich staat , zoals bij hacking
− niet-specifieke computermisdrijven, zoals datamanipulatie
- ICT wordt als een middel gebruikt om een (reeds bestaand) misdrijf te begaan,
bijvoorbeeld datamanipulatie (valsheid in geschrifte)
25.04.2013 Legal Framework - Advanced Security3.2. Wet op de informaticacriminaliteit
• De wet op de informaticacriminaliteit introduceert
‘hacking’ als een nieuw strafrechtelijk misdrijf
• Daarbij wordt in de wet een onderscheid gemaakt:
- Externe hacken
- Interne hacken
- Poging tot hacken
- Hulpmiddelen / hacking tools
- Uitlokking hacken
25.04.2013 Legal Framework - Advanced Security3.2.1. Externe hacking
(citaat)
“Art. 550bis. § 1. Hij die, terwijl hij weet dat hij daar
toe niet gerechtigd is, zich toegang verschaft tot een
informaticasysteem of zich daarin handhaaft, wordt
gestraft met gevangenisstraf van …
Wanneer het misdrijf, bedoeld in het eerste lid,
gepleegd wordt met bedrieglijk opzet, bedraagt de
gevangenisstraf zes maanden tot twee jaar.”
25.04.2013 Legal Framework - Advanced Security3.2.1. Externe hacking
• Illegaal toegang tot een IT-systeem van iemand
anders
- Algemene intentie volstaat: ‘terwijl hij weet dat hij daartoe niet
gerechtigd is’
- Misleidende intentie => verzwarende omstandigheid
25.04.2013 Legal Framework - Advanced Security3.2.2. Interne hacking
(citaat)
Ҥ 2. Hij die, met bedrieglijk opzet of met het
oogmerk om te schaden, zijn toegangsbevoegdheid
tot een informaticasysteem overschrijdt, wordt
gestraft met gevangenisstraf van (…) en met geldboete
van (…) of met een van die straffen alleen.”
25.04.2013 Legal Framework - Advanced Security3.2.2. Interne hacking
• Meer dan het geoorloofd toegangsniveau van een
IT-systeem
− Gericht op "insiders“
− Afzonderlijk opzet: “met bedrieglijk opzet” of “met het oogmerk
om te schaden”
25.04.2013 Legal Framework - Advanced Security3.2.3.Hacking tools (art. 550, § 5)
• Het bezitten van, het maken van, het verkopen,
het verkrijgen, het importeren of distribueren
tools die vooral bedoeld zijn voor het hacken
− Algemeen opzet volstaat
− Zes maanden tot 3 jaar gevangenisstraf en / of geldboete
25.04.2013 Legal Framework - Advanced Security3.2.3. Hulpmiddelen/hacking tools
• Kunnen uit software bestaan
• Kunnen uit hardware bestaan (bv. kleine
apparaatjes geplaatst tussen je toetsenbord en
computer)
25.04.2013 Legal Framework - Advanced Security3.2.3. Hulpmiddelen
• Software om beveiligingen te testen kan voor
legitieme maar ook voor criminele doeleinden
worden gebruikt.
- Legitieme: bv. door systeembeheerders en beveiligingsmedewerkers
- Niet legitieme: bv. Door criminelen
25.04.2013 Legal Framework - Advanced SecurityToetsing van concretere voorbeelden
van Erik
We overlopen :
- Poortscannen
- Deep packet Inspection
25.04.2013 Legal Framework - Advanced SecurityPoortscannen
• Cf. uitleg Erik
• Voor het poortscannen zijn er verschillende
scantechnieken ontwikkeld
één van de meest gekende is Nmap
• Juridische analyse: kan dit ?
25.04.2013 Legal Framework - Advanced SecurityPoortscannen
• Indien enkel gebruikt om te onderzoeken welke
poorten er op een geautomatiseerd systeem
aanwezig zijn én
• er geen verdere actie op het systeem wordt
ondernomen
• is het juridisch géén inbraak
25.04.2013 Legal Framework - Advanced SecurityPoortscannen
• Evenwel zou het gemakkelijker onder de ‘poging
tot het plegen van een misdrijf’ kunnen vallen.
• Poging = de dader heeft een begin van uitvoering
van een misdrijf gepleegd
• De omstandigheden van de uitvoering van de
poortscan zullen dit moeten verduidelijken
25.04.2013 Legal Framework - Advanced SecurityDeep packet inspection (DPI)
- Is een techniek die op verschillende wijzen kan worden toegepast
- Deze techniek wordt massaal aangewend door Europese ISPs voor
“netbeheer” (“traffic management”), soms bandbreedtebeheer of
“traffic shaping” genoemd met “afknijpen van bandbreedte”
- Nog kritischer voor de bescherming van de persoonlijke levenssfeer in
vergelijking met netbeheer zijn realtime netwerkmonitoring voor
interceptie
25.04.2013 Legal Framework - Advanced SecurityDeep packet inspection
• M.a.w. kan dus zowel worden aangewend voor
legitieme doeleinden als voor criminele
doeleinden
Moeilijkheid is: tot waar is het ‘legitiem’?
– De wet op de informaticacriminaliteit is dé bron, maar soms moeilijk
– Rechtspraak kan helpen
– Aanbevelingen van de Privacycommissie kunnen eveneens een
hulpmiddel zijn
25.04.2013 Legal Framework - Advanced SecurityDeep packet inspection
• Recente aanbeveling (11.04.2012) van de
Privacycommissie hieromtrent : “Aanbeveling
over netneutraliteit, deep packet inspection en
bescherming van de persoonlijke levenssfeer en
persoonsgegevens in de telecomsector”
– Vindplaats : www.privacycommission.be
25.04.2013 Legal Framework - Advanced SecurityDeep packet inspection
• Recente aanbeveling van de Privacycommissie
hieromtrent :
– Scope is breder en kadert ook in discussie rond netneutraliteit
– Maar … toch interessant omdat Privacycommissie aangeeft dat er
wel degelijk legitieme doeleinden kunnen zijn
– Legaal gebruik van DPI is mogelijk bijvoorbeeld in beveiligings- en
firewalltechnologie, in spamfilters, virusfilters voor e-mailverkeer,
cachesystemen (voor webpagina’s,..)
25.04.2013 Legal Framework - Advanced SecurityDeep packet inspection
• Waarom deze voorbeelden van legaal gebruik van
DPI?
– De commissie motiveert dit als volgt: “telkens gaat het om
toepassingen waarvan de gemiddelde gebruiker redelijkerwijze kan
verwachten dat zijn netwerkverkeer wordt onderzocht”
25.04.2013 Legal Framework - Advanced SecurityDeep packet inspection
• Bepaalde DPI daarentegen:
duidelijk een hoog risico voor de bescherming
van de persoonlijke levenssfeer, bijvoorbeeld:
– Toepassing van DPI voor direct marketing doeleinden;
– Toepassing van DPI voor het (zogenaamd) bestrijden van
auteursrechtelijke inbreuken
25.04.2013 Legal Framework - Advanced SecurityMeldingsplicht cyberincident
Door de monitoring is er een cyberincident ontdekt
Wat nu?
• Welke juridische stappen te nemen ?
a) Het beperken van de schade
b) Het melden van het incident
25.04.2013 Legal Framework - Advanced SecurityMeldingsplicht ?
Ja
• Aan wie? Uitgestrektheid ervan, hangt af
• Je rol daarin :
- (i) slachtoffer
- (ii) netwerk gebruikt om cybercrime te plegen
- (iii) dader is een personeelslid
- (iv) dader is een klant
25.04.2013 Legal Framework - Advanced SecurityMeldingsplicht
Aan wie ?
- Aan hiërarchie in geval van een overheid
- Politie
- Gerechtelijke Autoriteiten
- Cert.be
- BIPT (cfr, smalle meldplicht)
- Privacycommissie
25.04.2013 Legal Framework - Advanced SecurityNuttige links
www.privacycommission.be
www.mineco.fgov.be : Gids voor internetgebruikers
− wil, in zo duidelijk mogelijke taal, de sluier rond het
internet oplichten
− Zowel voor potentiële surfer als echte
internetgebruiker
25.04.2013 Legal Framework - Advanced SecurityBedankt voor jullie aandacht Merci pour votre attention
Vous pouvez aussi lire
