H2

Questions and Answers

Welke van de volgende opties is niet een van de basisprincipes van een samenleving of maatschappij die wordt genoemd in de tekst?

Technologie

Ethiek

Wetgeving

Cybersecurity (correct)

Wat is een van de grootste uitdagingen bij het opstellen van wetgeving op het gebied van cybersecurity?

De moeilijkheid om ethische hacking te definiëren

De complexiteit van het identificeren van cybercriminelen

De constante evolutie van technologie (correct)

Het ontbreken van internationale samenwerking

Welke van de volgende opties is geen voorbeeld van een poging om cybersecurity te reguleren op nationaal of internationaal niveau?

De NIS en NIS2 directives in Europa

De wet rond ethisch hacken in België

De ISO/IEC cybersecurity model over de hele wereld (correct)

De NIST framework in de Verenigde Staten

Wat is de huidige interpretatie van het openbaar ministerie in België ten aanzien van ethisch hacken?

Ze beschouwen ethisch hacken als een verantwoordelijke vorm van cybersecurity (A)

Welke van de volgende scenario's is het meest waarschijnlijk om te worden beschouwd als ethisch hacken, volgens de informatie in de tekst?

Het melden van een beveiligingslek aan een organisatie na het vinden ervan (B)

Welke website wordt niet aangeduid als relevante bron voor meer informatie over ethisch hacken in de tekst?

https://nl.wikipedia.org/wiki/Legaliteitsbeginsel (B)

Welke van de volgende opties is geen argument dat wordt gebruikt in de tekst om te benadrukken waarom het belangrijk is om de juiste wetgeving op tijd in te voeren?

Er zijn verschillende internationale pogingen om cybersecurityrichtlijnen te creëren (A)

Welk argument wordt niet gebruikt in de tekst om de noodzaak van een juridisch kader voor ethisch hacken te benadrukken?

Ethisch hacken is noodzakelijk om cybercriminelen te bestrijden (C)

Welke van de volgende standaarden wordt NIET gebruikt als basis voor het CyberFundamentals Framework?

ISO/IEC 27000 (B)

Waarvoor staan de afkortingen 'ISO' en 'IEC' in de tekst?

International Standards Organization / International Electrical Commission (A)

Wat is het primaire doel van het ISO/IEC cybersecurity model?

Het aanbieden van een kader voor het beheersen en verminderen van cyberrisico's in organisaties. (C)

Welke bewering over de ISO 27000 standaard is JUIST?

De standaard wordt door veel landen en organisaties gebruikt als model voor cybersecurity. (D)

Welke van de volgende termen wordt gebruikt om een ​​persoon te beschrijven die een sterke interesse in computers heeft en geniet van het leren en experimenteren met ze?

Hacker (B)

Wat is typisch het doel van een scriptkiddie?

Het uitvoeren van grappen en vandalisme op het internet. (C)

Welke beschrijving past het best bij een 'gray hat hacker'?

Een hacker die kwetsbaarheden vindt maar deze mogelijk pas meldt als het in hun voordeel is. (B)

Welke van de volgende categorieën hackers wordt gezien als een onethische crimineel die computer- en netwerkbeveiliging schendt voor persoonlijk gewin?

Black hat hackers (B)

Wat regelt de GDPR met betrekking tot toestemming voor gegevensverzameling?

Toestemming moet expliciet en duidelijk zijn. (A)

Wat is één van de rechten die individuen hebben volgens de GDPR?

Het recht om vergeten te worden. (D)

Wat stelt de GDPR voor gegevensbeveiliging?

Gegevens moeten alleen worden verzameld indien nodig. (B)

Wat doet de Gegevensbeschermingsautoriteit?

Ze controleren de naleving van de GDPR. (B)

Wie moet toestemming geven voor de verwerking van gegevens van jongeren onder de 13?

Een voogd of ouder. (D)

Wat is een belangrijk aspect van gegevensverwerking onder de GDPR?

Er moet een duidelijk doel zijn voor gegevensverzameling. (A)

Wat gebeurt er als jouw rechten volgens de GDPR geschonden worden?

Je kunt klacht indienen bij de Gegevensbeschermingsautoriteit. (B)

Wat is een voorbeeld van een situatie waarin je verplicht kunt zijn om gegevens te geven?

Voor een identiteitskaart of scan op een luchthaven. (C)

Wat is een belangrijk argument voor het behoud van encryptie?

Het beschermt de privacy van individuen. (D)

Wat is een mogelijke negatieve consequentie van het invoeren van backdoors in encryptiesoftware?

Het kan leiden tot misbruik door cybercriminelen. (A)

Waarom is er een debat over rechten op privacy en veiligheidsmaatregelen?

Er zijn verschillende meningen over de impact van encryptie. (D)

Wat is een mogelijk argument tegen encryptie volgens sommige politici?

Het maakt het moeilijk om terroristen te identificeren. (D)

Wat wordt bedoeld met een 'achterdeur' in encryptiesoftware?

Een toegangspunt voor autoriteiten om versleutelde gegevens te lezen. (C)

Hoe kan de discussie over privacy en extra beveiliging worden gekarakteriseerd?

Het is complex en vraagt om evenwicht tussen rechten. (C)

Wat is een gevolg van een gebrek aan encryptie volgens critici?

De privacy van burgers kan ernstig worden geschonden. (A)

Wat is het standpunt van sommige technologiebedrijven over backdoors in hun software?

Ze verzetten zich er vaak tegen vanwege privacyzorgen. (A)

Welke van de volgende zijn doelen van door de staat gesponsorde hacking?

Terroristische groeperingen (B), Buitenlandse regeringen (C), Bedrijven (D)

Welke van de volgende is geen voorbeeld van een verdedigingsstrategie tegen cybercriminaliteit?

Gebruik van malware (B)

Welke van de volgende is een voorbeeld van een publieke kwetsbaarheidsdatabase?

CVE (B)

Welke organisatie werd opgericht om samenwerking tussen de publieke en private sector te bevorderen en cyberintelligentie te delen?

InfraGard (B)

Welke van de volgende is geen onderdeel van de ISO 27000-normen?

Systemen voor vroegtijdige waarschuwing (C)

Welke organisatie biedt een early warning system voor cyberdreigingen in België?

Centre for Cybersecurity Belgium (C)

Welke platform wordt gebruikt om samenwerking te vergemakkelijken door een overzicht te bieden van alle mogelijke aanvallen?

MITRE ATT&CK (A)

Welke van de volgende is een algemene uitdaging voor cybersecurity-specialisten?

Al deze opties (A)

Welke van de volgende argumenten wordt NIET genoemd als reden waarom technologiebedrijven tegen het invoeren van backdoors zijn in de tekst?

Technologische bedrijven zijn bang dat deze backdoors misbruikt kunnen worden door terroristen en andere criminelen om hun activiteiten te verbergen. (C)

Welke van de volgende situaties wordt NIET genoemd als een voorbeeld van wat een overheid met verzamelde data kan doen?

Het uitvoeren van medische experimenten. (D)

Wat wordt in de tekst beschreven als een 'eeuwig strijdtoneel'?

De strijd tussen de overheid en burgers over privacy en veiligheid. (C)

Welke van de volgende vragen wordt NIET gesteld in de tekst over de overheid en dataverzameling?

Wat als er een lek in de dataverzameling is? (C)

Welk argument wordt in de tekst gebruikt om de noodzaak van encryptie te benadrukken?

Encryptie is nodig om de privacy van burgers te beschermen. (A)

Wat is de primaire boodschap van de 'IK HEB NIKS TE VERBERGEN!' - challenge?

Dat mensen die niets te verbergen hebben, geen reden hebben om bezorgd te zijn over privacy. (C)

Welke van de volgende onderwerpen wordt NIET genoemd als een voorbeeld van informatie die burgers mogelijk privé willen houden?

Hun reisplannen. (A)

Wat is de belangrijkste vraag die de tekst over dataverzameling door de overheid oproept?

Hoe kunnen we de privacy van burgers effectief beschermen terwijl we tegelijkertijd veiligheid garanderen? (D)

Study Notes

Hoorcollege: Een wereld van experten en criminelen

• Het college behandelt de wereld van experten en criminelen in de context van cyberveiligheid
• Er wordt gesproken over ethiek en cyberwetten

Ethiek en cyberwetten

• Een ethische vraag: Is het ethisch om het wachtwoord van je studentenaccount door te geven aan iemand anders, zodat die persoon op eduroam internet kan gebruiken?
• Een ethische vraag: Is het ethisch om in te loggen op een website met account waarvan je toevallig de inloggegevens hebt gekregen (bijv. van een post-it)?
• Een ethische vraag: Is het ethisch om een kwetsbaarheid van een middelbare school website te gebruiken om toegang te verkrijgen tot gegevens die niet toegankelijk zouden mogen zijn?
• Een ethische vraag: Is het ethisch om de school niet te informeren over deze kwetsbaarheid?
• Zijn deze acties legaal of illegaal?

Wetgeving in cybersecurity

• De wetgeving in cybersecurity is een moeilijke taak
• Wetgeving loopt vaak achter op technologie
• Het "op tijd" invoeren van regelgevingen is essentieel
• Voorbeeld: zaak Bistel

Nationale en internationale pogingen

• België heeft wetgeving rond "ethisch hacken"
• Europa heeft NIS en NIS2 richtlijnen
• De Verenigde Staten hebben een NIST framework
• Wereldwijd is er een ISO/IEC cybersecurity model

Wet rond ethisch hacken

• Ethische hackers kunnen Belgische bedrijven zonder toestemming hacken als het gaat om beveiligingscontrole.
• Nieuwe wetgeving is ingevoerd op 15 februari 2023
• Het Openbaar Ministerie interpreteert de wetgeving nog steeds restrictief, wat betekent dat "hacken" nog steeds verboden is

Dit kader beschrijft ...

• Hoe een natuurlijke of rechtspersoon zonder frauduleuze bedoelingen kwetsbaarheden in netwerken en informatiesystemen in België kan opsporen en moet melden

Meer informatie

• Links naar verschillende websites met meer informatie over het onderwerp

Het NIS en NIS2 directive

• NIS2 richtlijn is de EU-brede wetgeving over cybersecurity
• NIS2 richtlijn zorgt voor meer cybersecurity in de EU

NIS

• Eerste EU-brede wetgeving rond cybersecurity
• Ingevoerd in 2016
• De invoering verliep moeizaam

NIS 2

• Meer verduidelijking rond technologie vernieuwingen
• Meer samenwerking tussen lidstaten voor grote bedreigingen
• Verplicht meer organisaties en sectoren om te werken rond cybersecurity
• Verplicht nationale wetgevingen in EU-landen tegen 17 oktober 2024

NIST Framework

• National Institute of Standards and Technologies (NIST) framework
• Een raamwerk voor bedrijven en organisaties die cyberbeveiligingsprofessionals nodig hebben
• De framework helpt bedrijven belangrijkste soorten verantwoordelijkheden, functietitels en benodigde vaardigheden te identificeren

Het ISO/IEC cybersecurity model

• Het beveiligen van data is een enorme taak
• Het ISO/IEC framework helpt om dit proces te verbeteren
• Het cybersecurity model is een hulpmiddel voor complexe problemen om te begrijpen en te handelen

Het ISO/IEC 27000 model

• Het is een vaste standaard, opgesteld in 2005 (en geüpdatet in 2013)
• Hij wordt door veel landen en organisaties gebruikt
• Het model is bruikbaar voor elk type organisatie en bevat controle doelstellingen in de vorm van checklists.
• Organisatie mag zelf bepalen welke lijsten voor hen van toepassing zijn

Aanvallers

• Een hacker (aanvaller) kan om verschillende redenen inbreken op computers of netwerken om toegang te verkrijgen
• Verschillende motivaties, waaronder leren, humor, vandalisme en gewin
• Vaak wordt de term in verkeerde zin gebruikt, wat verwarring met de term "cracker" veroorzaakt

Types hackers

• White hat: zoeken zwakke plekken in systemen om ze beter te beveiligen
• Gray hat: vinden zwakke plekken en melden deze aan de eigenaren
• Black hat: breken in voor persoonlijk voordeel

Scriptkiddies

• Meestal tieners of hobbyisten die met bestaande tools aanvallen uitvoeren. Meestal voor grappen en vandalisme

Vulnerability brokers

• Gray hat aanvallers die exploits proberen te ontdekken en deze rapporteren aan leveranciers, soms voor geld of beloningen

Hacktivisten

• Gray hat aanvallers die zich verzamelen en protesteren tegen verschillende politieke en sociale ideeën.
• Publiekelijk protesteren door bijvoorbeeld websites/videos aan te vallen

Cybercriminelen

• Black hat hackers die als zelfstandige werken of voor grote cybercrime-organisaties
• Strijden jaarlijks voor miljarden dollars van consumenten en bedrijven

Verdedigers

• Het dwarsbomen van cybercriminelen is een taak voor bedrijven, overheden en internationale organisaties
• Die organisaties coördineren acties om cybercriminelen te beperken of af te weren

Cybersecurityspecialisten

• Deze organisaties moeten nauw samenwerken met andere deskundigen, en zijn vaak ook afhankelijk van workshops/conferenties ondersteund door internationale technologie-organisaties

Organisaties tegen computermisdaad

• Verscheidene organisaties bestaan om computermisdaad te bestrijden
• België: Federal Computer Crime Unit (FCCU), Centre for Cyber Security Belgium, ...
• Wereldwijd: Europol, ENISA, Interpol, ...

Security vs. privacy

• Een eeuwig debat over de balans tussen beveiliging en privacy
• De overheid verzamelt data/informatie die door hackers gebruikt kan worden/zijn/of worden.
• Er worden vragen opgeworpen als bv.: Hoe ver mag de overheid hiermee gaan? Wat gebeurt er als gegevens voor een verkeerd doel worden gebruikt?, Wat als er een fout zit in de data?, Wat als de definitie van "fout" verandert?

GDPR (General Data Protection Regulation)

• Europese wet voor gegevensbescherming
• Ingevoerd in 2018
• Recht: van inzage, op correctie, om vergeten te worden, op overdracht van gegevens, beveiliging, ...
• Organisaties moeten een juist doel hebben voor gegevensverzameling en enkel nodige gegevens verzamelen. Het recht op toestemming moet er ook zijn, bv. Foto voor identiteitskaart, scan luchthaven.
• Gegevensbeschermingsautoriteit controleert naleving van GDPR

### Organisaties voor samenwerking

• Cybersecurity-specialisten moeten regelmatig samenwerken met professionele collega's.
• Internationale technologieorganisaties sponsoren over het algemeen workshops en conferenties.

Conferenties, CTF's, ...

• Cybersecurity specialisten moeten dezelfde vaardigheden als hackers hebben, vooral black hat hackers, om zichzelf te beschermen tegen aanvallen.
• Hoe kan een individu vaardigheden opbouwen en oefenen om een cyberbeveiligingsspecialist te worden?
• Conferenties en competities zijn een uitstekende manier om kennis en vaardigheden in cyberbeveiliging op te bouwen.

Diverse andere zaken

• Verschillende andere organisaties en specifieke voorbeelden van incidenten en acties

Description

Test je kennis over de basisprincipes van een samenleving en de uitdagingen van cybersecuritywetgeving. Dit quiz behandelt ethisch hacken en de interpretatie van wetgeving in België. Ontdek welke claims en voorbeelden wel of niet staan in de tekst.