H2

Questions and Answers

Welke van de volgende opties is niet een van de basisprincipes van een samenleving of maatschappij die wordt genoemd in de tekst?

• Technologie
• Ethiek
• Wetgeving
• Cybersecurity (correct)

Wat is een van de grootste uitdagingen bij het opstellen van wetgeving op het gebied van cybersecurity?

• De moeilijkheid om ethische hacking te definiëren
• De complexiteit van het identificeren van cybercriminelen
• De constante evolutie van technologie (correct)
• Het ontbreken van internationale samenwerking

Welke van de volgende opties is geen voorbeeld van een poging om cybersecurity te reguleren op nationaal of internationaal niveau?

• De NIS en NIS2 directives in Europa
• De wet rond ethisch hacken in België
• De ISO/IEC cybersecurity model over de hele wereld (correct)
• De NIST framework in de Verenigde Staten

Wat is de huidige interpretatie van het openbaar ministerie in België ten aanzien van ethisch hacken?

Ze beschouwen ethisch hacken als een verantwoordelijke vorm van cybersecurity (A)

Welke van de volgende scenario's is het meest waarschijnlijk om te worden beschouwd als ethisch hacken, volgens de informatie in de tekst?

Het melden van een beveiligingslek aan een organisatie na het vinden ervan (B)

Welke website wordt niet aangeduid als relevante bron voor meer informatie over ethisch hacken in de tekst?

https://nl.wikipedia.org/wiki/Legaliteitsbeginsel (B)

Welke van de volgende opties is geen argument dat wordt gebruikt in de tekst om te benadrukken waarom het belangrijk is om de juiste wetgeving op tijd in te voeren?

Er zijn verschillende internationale pogingen om cybersecurityrichtlijnen te creëren (A)

Welk argument wordt niet gebruikt in de tekst om de noodzaak van een juridisch kader voor ethisch hacken te benadrukken?

Ethisch hacken is noodzakelijk om cybercriminelen te bestrijden (C)

Welke van de volgende standaarden wordt NIET gebruikt als basis voor het CyberFundamentals Framework?

ISO/IEC 27000 (B)

Waarvoor staan de afkortingen 'ISO' en 'IEC' in de tekst?

International Standards Organization / International Electrical Commission (A)

Wat is het primaire doel van het ISO/IEC cybersecurity model?

Het aanbieden van een kader voor het beheersen en verminderen van cyberrisico's in organisaties. (C)

Welke bewering over de ISO 27000 standaard is JUIST?

De standaard wordt door veel landen en organisaties gebruikt als model voor cybersecurity. (D)

Welke van de volgende termen wordt gebruikt om een ​​persoon te beschrijven die een sterke interesse in computers heeft en geniet van het leren en experimenteren met ze?

Hacker (B)

Wat is typisch het doel van een scriptkiddie?

Het uitvoeren van grappen en vandalisme op het internet. (C)

Welke beschrijving past het best bij een 'gray hat hacker'?

Een hacker die kwetsbaarheden vindt maar deze mogelijk pas meldt als het in hun voordeel is. (B)

Welke van de volgende categorieën hackers wordt gezien als een onethische crimineel die computer- en netwerkbeveiliging schendt voor persoonlijk gewin?

Black hat hackers (B)

Wat regelt de GDPR met betrekking tot toestemming voor gegevensverzameling?

Toestemming moet expliciet en duidelijk zijn. (A)

Wat is één van de rechten die individuen hebben volgens de GDPR?

Het recht om vergeten te worden. (D)

Wat stelt de GDPR voor gegevensbeveiliging?

Gegevens moeten alleen worden verzameld indien nodig. (B)

Wat doet de Gegevensbeschermingsautoriteit?

Ze controleren de naleving van de GDPR. (B)

Wie moet toestemming geven voor de verwerking van gegevens van jongeren onder de 13?

Een voogd of ouder. (D)

Wat is een belangrijk aspect van gegevensverwerking onder de GDPR?

Er moet een duidelijk doel zijn voor gegevensverzameling. (A)

Wat gebeurt er als jouw rechten volgens de GDPR geschonden worden?

Je kunt klacht indienen bij de Gegevensbeschermingsautoriteit. (B)

Wat is een voorbeeld van een situatie waarin je verplicht kunt zijn om gegevens te geven?

Voor een identiteitskaart of scan op een luchthaven. (C)

Wat is een belangrijk argument voor het behoud van encryptie?

Het beschermt de privacy van individuen. (D)

Wat is een mogelijke negatieve consequentie van het invoeren van backdoors in encryptiesoftware?

Het kan leiden tot misbruik door cybercriminelen. (A)

Waarom is er een debat over rechten op privacy en veiligheidsmaatregelen?

Er zijn verschillende meningen over de impact van encryptie. (D)

Wat is een mogelijk argument tegen encryptie volgens sommige politici?

Het maakt het moeilijk om terroristen te identificeren. (D)

Wat wordt bedoeld met een 'achterdeur' in encryptiesoftware?

Een toegangspunt voor autoriteiten om versleutelde gegevens te lezen. (C)

Hoe kan de discussie over privacy en extra beveiliging worden gekarakteriseerd?

Het is complex en vraagt om evenwicht tussen rechten. (C)

Wat is een gevolg van een gebrek aan encryptie volgens critici?

De privacy van burgers kan ernstig worden geschonden. (A)

Wat is het standpunt van sommige technologiebedrijven over backdoors in hun software?

Ze verzetten zich er vaak tegen vanwege privacyzorgen. (A)

Welke van de volgende zijn doelen van door de staat gesponsorde hacking?

Terroristische groeperingen (B), Buitenlandse regeringen (C), Bedrijven (D)

Welke van de volgende is geen voorbeeld van een verdedigingsstrategie tegen cybercriminaliteit?

Gebruik van malware (B)

Welke van de volgende is een voorbeeld van een publieke kwetsbaarheidsdatabase?

CVE (B)

Welke organisatie werd opgericht om samenwerking tussen de publieke en private sector te bevorderen en cyberintelligentie te delen?

InfraGard (B)

Welke van de volgende is geen onderdeel van de ISO 27000-normen?

Systemen voor vroegtijdige waarschuwing (C)

Welke organisatie biedt een early warning system voor cyberdreigingen in België?

Centre for Cybersecurity Belgium (C)

Welke platform wordt gebruikt om samenwerking te vergemakkelijken door een overzicht te bieden van alle mogelijke aanvallen?

MITRE ATT&CK (A)

Welke van de volgende is een algemene uitdaging voor cybersecurity-specialisten?

Al deze opties (A)

Welke van de volgende argumenten wordt NIET genoemd als reden waarom technologiebedrijven tegen het invoeren van backdoors zijn in de tekst?

Technologische bedrijven zijn bang dat deze backdoors misbruikt kunnen worden door terroristen en andere criminelen om hun activiteiten te verbergen. (C)

Welke van de volgende situaties wordt NIET genoemd als een voorbeeld van wat een overheid met verzamelde data kan doen?

Het uitvoeren van medische experimenten. (D)

Wat wordt in de tekst beschreven als een 'eeuwig strijdtoneel'?

De strijd tussen de overheid en burgers over privacy en veiligheid. (C)

Welke van de volgende vragen wordt NIET gesteld in de tekst over de overheid en dataverzameling?

Wat als er een lek in de dataverzameling is? (C)

Welk argument wordt in de tekst gebruikt om de noodzaak van encryptie te benadrukken?

Encryptie is nodig om de privacy van burgers te beschermen. (A)

Wat is de primaire boodschap van de 'IK HEB NIKS TE VERBERGEN!' - challenge?

Dat mensen die niets te verbergen hebben, geen reden hebben om bezorgd te zijn over privacy. (C)

Welke van de volgende onderwerpen wordt NIET genoemd als een voorbeeld van informatie die burgers mogelijk privé willen houden?

Hun reisplannen. (A)

Wat is de belangrijkste vraag die de tekst over dataverzameling door de overheid oproept?

Hoe kunnen we de privacy van burgers effectief beschermen terwijl we tegelijkertijd veiligheid garanderen? (D)

Flashcards

Wat is het ISO/IEC Cybersecurity Model?

Het ISO/IEC Cybersecurity Model is een raamwerk opgesteld door ISO/IEC om cyberbeveiliging te beheren. Het helpt organisaties complexe cyberbeveiligingsproblemen te begrijpen en aan te pakken.

Wat is het ISO 27000 Model?

Het ISO/IEC 27000 model is een standaard voor informatiebeveiliging die checklists bevat om specifieke beveiligingsdoelstellingen te bereiken. Organisaties kunnen zelf bepalen welke checklists relevant zijn voor hun behoeften.

Wie zijn hackers?

Hackers zijn mensen die inbreken op computersystemen of netwerken om verschillende redenen. Er zijn verschillende soorten hackers, waaronder white hat hackers die ethisch handelen en kwetsbaarheden vinden om systemen te verbeteren, gray hat hackers die tussen ethisch en onethisch handelen, en black hat hackers die criminele aanvallen uitvoeren voor persoonlijk gewin.

Wie zijn Scriptkiddies?

Scriptkiddies zijn vaak tieners of hobbyisten die eenvoudige aanvallen uitvoeren, vaak met als doel grappen uit te halen of vandalisme te plegen.

Ethiek in cybersecurity

Het morele aspect van een actie in de digitale wereld. Is het geoorloofd om iemands wachtwoord te gebruiken zonder toestemming?

Cyberwetten

Wetten en regels die specifiek gericht zijn op het gebruik van computers en netwerken.

Wet rond ethisch hacken

Een wetgeving waarin een bedrijf of persoon toestemming krijgt om op een legale manier systemen te testen op zwakheden en de bevindingen te melden aan de eigenaar.

Wet rond ethisch hacken in België (2023)

Een wet die in 2023 van kracht is geworden in België, die ethische hackers meer bescherming geeft.

Wetgeving in cybersecurity

De taak van het ontwikkelen en invoeren van wetten om de cyberspace te reguleren.

Legaliteitsbeginsel

Het principe dat wetten duidelijk en openbaar moeten zijn, zodat mensen weten wat ze wel en niet mogen doen.

NIS richtlijn

Een richtlijn die de cybersecurity van netwerken en informatiesystemen in Europa reguleert.

Wetgeving loopt achter op technologie

Het vermogen van technologie om sneller te veranderen dan wetgeving kan volgen.

Staatssponsored hacken

De actie van het hacken met de steun of betrokkenheid van een nationale overheid.

Kwetsbaarheidsdatabase

Een database met gekende kwetsbaarheden in software en hardware.

Systemen voor vroegtijdige waarschuwing

Systemen die vroegtijdig waarschuwen voor dreigingen in de cyberruimte.

Delen van cyberintelligence

Het delen van informatie over cyberdreigingen tussen verschillende organisaties.

ISM-normen

Standaarden voor informatiebeveiligingsbeheer die organisaties helpen beveiligingsmaatregelen te implementeren.

Cybersecurityspecialisten

Personen die zich specialiseren in het beveiligen van computersystemen tegen aanvallen.

Cybercriminelen

Degenen die computerinformatie en -systemen aanvallen.

Cyberveiligheid

De bescherming van computersystemen tegen kwaadaardige aanvallen.

Privacy

Het recht van een individu om te bepalen hoe persoonlijke informatie wordt gedeeld en gebruikt.

Backdoor

Een zwak punt in encryptiesoftware dat toegang geeft tot geëncrypteerde gegevens.

Encryptie

Het gebruik van technologie om persoonlijke informatie te beschermen tegen ongeoorloofde toegang.

Veiligheid

De bescherming van de samenleving tegen gevaarlijke daden, zoals terrorisme en criminaliteit.

Privacywetgeving

De wetten en regels die bepalen hoe de privacy van mensen wordt beschermd.

Privacy versus Veiligheid

De moeilijke keuze tussen het beschermen van privacy en het verhogen van veiligheid.

Dwingen van backdoors

De praktijk waarbij overheden druk uitoefenen om backdoors in encryptiesoftware te creëren.

Encryptie

Een technologie die gegevens onleesbaar maakt voor onbevoegden.

Wat zijn 'achterpoortjes' in software?

Geheime toegangen in software die overheden kunnen gebruiken om data te bekijken, zonder toestemming van de gebruiker.

Wat is encryptie zonder achterpoortjes?

Een manier om data te beveiligen, die zelfs voor de overheid onleesbaar blijft.

Hoe verzamelt de overheid data?

Het verzamelen van data door de overheid, bijvoorbeeld voor belastingen of boetes.

Wat is privacy?

Het recht van burgers om hun privé leven te beschermen tegen inmenging van de overheid.

Wat is briefgeheim?

Het recht van burgers om hun correspondentie geheim te houden.

Hoe kan de politie criminelen vatten als er encryptie is?

De vraag hoe de overheid criminaliteit bestrijdt als criminelen encryptie gebruiken.

Waar ligt de grens voor dataverzameling door de overheid?

Het recht van de overheid om data te verzamelen, gebalanceerd tegen het recht op privacy van burgers.

Wat is het eeuwige strijdtoneel?

De spanning tussen de wens van de overheid om veiligheid te garanderen en het recht van burgers op privacy.

GDPR

De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet die privacy beschermt. Deze wet is van kracht sinds 2018.

Gegevensbeschermingsautoriteit

Deze autoriteit controleert of organisaties de GDPR-regels naleven. Je kan bij hen terecht als je privacyrechten geschonden worden.

Recht op inzage, correctie, vergetelheid en overdracht

Het recht om toegang te krijgen tot je persoonlijke gegevens, deze te corrigeren, te wissen of te laten overdragen naar een andere organisatie.

Verantwoordelijkheid organisaties

Organiaties die persoonlijke gegevens verzamelen moeten dit doen met een duidelijk doel, moeten enkel de noodzakelijke gegevens vragen, moeten ze voor een beperkte tijd bewaren en moeten toestemming vragen.

Toestemming

Toestemming is een belangrijke factor in de GDPR. Deze moet duidelijk, expliciet, zonder negatieve gevolgen, intrekbaar zijn en voor mensen van 13 jaar of ouder (of door voogd).

Privacyverklaring

Een document waarin een organisatie beschrijft welke gegevens ze verzamelen en hoe ze die gebruiken.

Handige links

Websites en tools die tips en informatie geven over privacy en gegevensbescherming.

Meer informatie

De GDPR is een complex onderwerp, maar er zijn websites en boeken die extra informatie en uitleg geven.

Study Notes

Hoorcollege: Een wereld van experten en criminelen

• Het college behandelt de wereld van experten en criminelen in de context van cyberveiligheid
• Er wordt gesproken over ethiek en cyberwetten

Ethiek en cyberwetten

• Een ethische vraag: Is het ethisch om het wachtwoord van je studentenaccount door te geven aan iemand anders, zodat die persoon op eduroam internet kan gebruiken?
• Een ethische vraag: Is het ethisch om in te loggen op een website met account waarvan je toevallig de inloggegevens hebt gekregen (bijv. van een post-it)?
• Een ethische vraag: Is het ethisch om een kwetsbaarheid van een middelbare school website te gebruiken om toegang te verkrijgen tot gegevens die niet toegankelijk zouden mogen zijn?
• Een ethische vraag: Is het ethisch om de school niet te informeren over deze kwetsbaarheid?
• Zijn deze acties legaal of illegaal?

Wetgeving in cybersecurity

• De wetgeving in cybersecurity is een moeilijke taak
• Wetgeving loopt vaak achter op technologie
• Het "op tijd" invoeren van regelgevingen is essentieel
• Voorbeeld: zaak Bistel

Nationale en internationale pogingen

• België heeft wetgeving rond "ethisch hacken"
• Europa heeft NIS en NIS2 richtlijnen
• De Verenigde Staten hebben een NIST framework
• Wereldwijd is er een ISO/IEC cybersecurity model

Wet rond ethisch hacken

• Ethische hackers kunnen Belgische bedrijven zonder toestemming hacken als het gaat om beveiligingscontrole.
• Nieuwe wetgeving is ingevoerd op 15 februari 2023
• Het Openbaar Ministerie interpreteert de wetgeving nog steeds restrictief, wat betekent dat "hacken" nog steeds verboden is

Dit kader beschrijft ...

• Hoe een natuurlijke of rechtspersoon zonder frauduleuze bedoelingen kwetsbaarheden in netwerken en informatiesystemen in België kan opsporen en moet melden

Meer informatie

• Links naar verschillende websites met meer informatie over het onderwerp

Het NIS en NIS2 directive

• NIS2 richtlijn is de EU-brede wetgeving over cybersecurity
• NIS2 richtlijn zorgt voor meer cybersecurity in de EU

NIS

• Eerste EU-brede wetgeving rond cybersecurity
• Ingevoerd in 2016
• De invoering verliep moeizaam

NIS 2

• Meer verduidelijking rond technologie vernieuwingen
• Meer samenwerking tussen lidstaten voor grote bedreigingen
• Verplicht meer organisaties en sectoren om te werken rond cybersecurity
• Verplicht nationale wetgevingen in EU-landen tegen 17 oktober 2024

NIST Framework

• National Institute of Standards and Technologies (NIST) framework
• Een raamwerk voor bedrijven en organisaties die cyberbeveiligingsprofessionals nodig hebben
• De framework helpt bedrijven belangrijkste soorten verantwoordelijkheden, functietitels en benodigde vaardigheden te identificeren

Het ISO/IEC cybersecurity model

• Het beveiligen van data is een enorme taak
• Het ISO/IEC framework helpt om dit proces te verbeteren
• Het cybersecurity model is een hulpmiddel voor complexe problemen om te begrijpen en te handelen

Het ISO/IEC 27000 model

• Het is een vaste standaard, opgesteld in 2005 (en geüpdatet in 2013)
• Hij wordt door veel landen en organisaties gebruikt
• Het model is bruikbaar voor elk type organisatie en bevat controle doelstellingen in de vorm van checklists.
• Organisatie mag zelf bepalen welke lijsten voor hen van toepassing zijn

Aanvallers

• Een hacker (aanvaller) kan om verschillende redenen inbreken op computers of netwerken om toegang te verkrijgen
• Verschillende motivaties, waaronder leren, humor, vandalisme en gewin
• Vaak wordt de term in verkeerde zin gebruikt, wat verwarring met de term "cracker" veroorzaakt

Types hackers

• White hat: zoeken zwakke plekken in systemen om ze beter te beveiligen
• Gray hat: vinden zwakke plekken en melden deze aan de eigenaren
• Black hat: breken in voor persoonlijk voordeel

Scriptkiddies

• Meestal tieners of hobbyisten die met bestaande tools aanvallen uitvoeren. Meestal voor grappen en vandalisme

Vulnerability brokers

• Gray hat aanvallers die exploits proberen te ontdekken en deze rapporteren aan leveranciers, soms voor geld of beloningen

Hacktivisten

• Gray hat aanvallers die zich verzamelen en protesteren tegen verschillende politieke en sociale ideeën.
• Publiekelijk protesteren door bijvoorbeeld websites/videos aan te vallen

Cybercriminelen

• Black hat hackers die als zelfstandige werken of voor grote cybercrime-organisaties
• Strijden jaarlijks voor miljarden dollars van consumenten en bedrijven

Verdedigers

• Het dwarsbomen van cybercriminelen is een taak voor bedrijven, overheden en internationale organisaties
• Die organisaties coördineren acties om cybercriminelen te beperken of af te weren

Cybersecurityspecialisten

• Deze organisaties moeten nauw samenwerken met andere deskundigen, en zijn vaak ook afhankelijk van workshops/conferenties ondersteund door internationale technologie-organisaties

Organisaties tegen computermisdaad

• Verscheidene organisaties bestaan om computermisdaad te bestrijden
• België: Federal Computer Crime Unit (FCCU), Centre for Cyber Security Belgium, ...
• Wereldwijd: Europol, ENISA, Interpol, ...

Security vs. privacy

• Een eeuwig debat over de balans tussen beveiliging en privacy
• De overheid verzamelt data/informatie die door hackers gebruikt kan worden/zijn/of worden.
• Er worden vragen opgeworpen als bv.: Hoe ver mag de overheid hiermee gaan? Wat gebeurt er als gegevens voor een verkeerd doel worden gebruikt?, Wat als er een fout zit in de data?, Wat als de definitie van "fout" verandert?

GDPR (General Data Protection Regulation)

• Europese wet voor gegevensbescherming
• Ingevoerd in 2018
• Recht: van inzage, op correctie, om vergeten te worden, op overdracht van gegevens, beveiliging, ...
• Organisaties moeten een juist doel hebben voor gegevensverzameling en enkel nodige gegevens verzamelen. Het recht op toestemming moet er ook zijn, bv. Foto voor identiteitskaart, scan luchthaven.
• Gegevensbeschermingsautoriteit controleert naleving van GDPR

### Organisaties voor samenwerking

• Cybersecurity-specialisten moeten regelmatig samenwerken met professionele collega's.
• Internationale technologieorganisaties sponsoren over het algemeen workshops en conferenties.

Conferenties, CTF's, ...

• Cybersecurity specialisten moeten dezelfde vaardigheden als hackers hebben, vooral black hat hackers, om zichzelf te beschermen tegen aanvallen.
• Hoe kan een individu vaardigheden opbouwen en oefenen om een cyberbeveiligingsspecialist te worden?
• Conferenties en competities zijn een uitstekende manier om kennis en vaardigheden in cyberbeveiliging op te bouwen.

Diverse andere zaken

• Verschillende andere organisaties en specifieke voorbeelden van incidenten en acties