Gedaan met laden. U bevindt zich op: Overzicht gegevenslekken 2020 Overzicht gegevenslekken reeds gemeld aan de VTC

Overzicht gegevenslekken 2020

Kwaad opzet

Hacking en phishing
AantalSoort datalekGenomen en geplande maatregelen

46

hacking mailbox door externen (openen van phishingmail door medeweker) (waarbij verdere phishingmails verstuurd werden)

Maatregelen kort na opmerken incident (curatief)

  • account geblokkeerd
  • geïmpacteerde mailboxen werden geblokkeerd
  • antivirus scan van laptop geadviseerd
  • afspraak gemaakt voor laptop vervanging
  • paswoord van de medewerker gereset
  • medewerkers die geklikt hebben op de linken werden verplicht zich aan te melden en hun wachtwoorden te wijzigen
  • wachtwoord reset (van hele organisatie)
  • verzamelen en analyseren van logbestanden uit anti-virustoepassing en firewall
  • onderzoek naar IP-adres op firewall
  • inkomende mails van de afzenders van de phishing mail werden onderzocht
  • rechtzettingsmail
  • DPO nam contact op met het (Londens) bedrijf dat e-mails ontving

Maatregelen (voor toekomst)

  • ICT overlegde samen m/h bestuur hoe ze dit in de toekomst kunnen voorkomen

Technische maatregelen

  • versneld besluiten over sterkere ICT-beveiligingsproducten, passend voor het bestuur
  • GPO uitgerold om paswoord complexiteit strikter te maken
  • anti-malware blijft actief
  • antivirussoftware geïnstalleerd
  • nakijken van mailing rules
  • architectuur van interne mailflow wordt herbekeken
  • verder onderzoeken om logins buiten de organisatie te beheren
  • geofencing te activeren
  • invoeren two-factor authenticatie (2FA)

Organisatorische maatregelen

  • (extra) sensibilisering van alle medewerkers

Procedurele afhandeling

  • lek zal gemeld worden bij politie
  • poging werd gemeld bij via https://meldpunt.belgie.be (voor slachtoffers van misleiding, bedrog, fraude, oplichting)
  • melding bij verdacht@safeonweb.be

3

Idem met doorstuurregel

Waaronder:

  • een privé-mailadres dat eerder gehackt werd, werd gebruikt voor professionele doeleinden waarbij een automatische doorstuurregel ingesteld werd
  • gelekte credentials in een externe data breach veroorzaakte een gecompromitteerde mailbox

  • controle berichtregels
  • verwijderen van automatische doorstuurregel
  • tijdelijk monitoren van alle activiteit op mailaccount
  • wachtwoord is gewijzigd
  • doorstuurregel is verwijderd
  • gebruikers worden aangeraden een sterk wachtwoord in te stellen
  • bestuur vraagt offerte op van de ICT-veiligheidsscan
  • two-factor authenticatie (2FA) ingevoerd

1

Een dienstmailbox werd gehackt middels een brute force-aanval

  • account werd geblokkeerd
  • veranderen wachtwoord mailbox
  • manuele controle op andere aanvallen, er wordt gekeken of dit geautomatiseerd kan worden
  • instructie om wachtwoorden van dienstmailboxen te versterken

1

Phising: contactendatabank van het lokaal bestuur werden gecompromitteerd. Contacten ontvingen phisingmails van account vanuit Turkije en Nigeria

  • aanpassen wachtwoorden
  • interne nieuwsbrief werd verstuurd
  • melding aan contactenlijst dat verdachte mails ontvangen kunnen worden
  • bespreking van het lek op IVC
  • bewustmaking van alle personeelsleden

2

Ethical hacking

  • onderzoek logboeken door leverancier en ICT-dienst
  • identificatie van de security bug
  • onmiddellijk in productie brengen van de security bug updates
  • bijstellen van de verwerkingsovereenkomst met de leverancier

1

Spear phishing (valse factuur): medewerker ontving link naar een valse Onedrivepagina waar het e-mailadres en wachtwoord ingegeven werden. Via dat e-mailadres werd een valse factuur dat zogezegd betaald moest worden naar een intern persoon verstuurd.

  • wachtwoord mailbox veranderen
  • MFA invoeren
  • extra bewustmaking

1

De verwerking van gegevens op de website (klantenportaal) om het beheer van het intranet en de goede werking ervan te waarborgen; webserver waarop het intranet draait werd gehackt voor vermoedelijke phishingdoeleinde.

  • website verplaatst
  • bestanden verwijderd
  • wachtwoorden gewijzigd

1

Testdatabase verwerker voor het ontwikkelen van de website werd gehackt

  • de verplichting ingevoerd bij het eerstvolgende bezoek uw wachtwoord te wijzigen

1

Uitbuiting kwetsbaarheid firewall software

  • buiten gebruik stellen van back-up systeem voor VPN-toegang.
    • verplichting een nieuw wachtwoord in te stellen bij een volgende login

2

IT-platform werd gehackt waardoor de hacker toegang kreeg tot de server.

  • IT dienst werd meteen gecontacteerd, vervolgens heeft IT alles hermetisch afgesloten
  • mail werd rondgestuurd om te waarschuwen voor verdachte mails
  • GEO IP filter werd aangezet om aanvallen te voorkomen
  • telewerken kan enkel via VPN
  • security scanning van het netwerk, systemen, firewall en de servers
  • reset wachtwoorden

1

Login op mailbox medewerker. Enkele verstuurde mails werden verwijderd.

  • contact op met onze externe ICT-dienst, Cloudservices, om te kijken wat er aan de hand was
  • wachtwoord werd ondertussen gewijzigd.

1

Onregelmatigheden vastgesteld met loginprofiel van werknemer

  • wachtwoord veranderd
  • alle betrokken dossiers worden doorgenomen om zeker te zijn dat deze effectief onterecht werden opgesteld en dat er geen cliënten aangeschreven worden indien dit niet nodig is
  • interne opleiding voor het correct gebruik van het softwarepakket

1

Account wordt toegewezen aan foutieve gebruiker

  • fix release voor oplossing
  • test en monitoring
  • password flow review

1

In overleg met het stadsbestuur organiseerde de ICT-leverancier het manueel herstarten van een host-servercomputer, die gegevens verwerkt voor het bestuur. Meerdere servermachines starten niet meer correct waaronder de antivirus en antimalware

  • sturen van een schriftelijke klacht aan de leverancier, over de gevolgde werkwijze
  • interne ondersteuning opstarten van de personeelsleden door ICT medewerkers
  • externe ondersteuning opstarten van het bestuur door de leverancier volgens SLA

1

Gepoogd om in te breken op oude server waar het vorige elektronisch patiëntendossier (EPD) op staat. Van oude firewall naar nieuwe firewall werd security policy geactiveerd die niet geactiveerd moest worden. Hierdoor was er toegang tot de oude EPD-server.

  • interne ICT deactiveerde de security policy
  • overleg tussen ICT en EPD-beheerder om het vorige patiëntendossier af te sluiten

2

Hacking servers van hostingprovider van verwerker waardoor mogelijk ongeoorloofde toegang tot persoonsgegevens via de virtualisatieinfrastructuur

/

1

Ingevolge een gekende exploit is een succesvolle inbraakpoging ondernomen

  • opnieuw opbouwen van de web application delivery controller (ADC) toestellen
  • opnieuw instellen wachtwoord voor verbinding gebruikersdatabase
  • opnieuw instellen wachtwoorden domeingebruiker

Er werden in totaal 64 gevallen rond hacking en phishing gemeld.

Ransom/Cryptolocker
AantalSoort datalekGenomen en geplande maatregelen
5
  • pc medewerker geïnfecteerd maar geen data geëncrypteerd. Dienst ICT heeft snel gehandeld en toestel volledig kunnen isoleren. Enkel lokaal opgeslagen gegevens zijn blootgesteld geweest. Geen sporen dat gegevens gekopieerd zijn.
  • een cryptovirus codeerde alle data op de server en op 1 machine
  • de IT dienstverlener werd getroffen door een cryptovirus. Hierdoor is er geen toegang tot e-mail

Maatregelen kort na opmerken incident (curatief)

  • toestel isoleren
  • firewall laten nakijken
  • alle toestellen en servers worden overschreven met een nieuwe installatie

Maatregelen (voor toekomst)

Technische maatregelen

  • dubbele authenticatie geactiveerd op het cybersecurity platform en op VPN-verbinding naar gemeentelijk netwerk
  • nieuwe back-upserver installeren
  • RDP(Remote Desktop Protocol) verbindingen worden niet toegelaten

Organisatorische maatregelen

  • updaten van de ICT-policy
  • rechten op shares worden strenger ingesteld
  • strenger wachtwoordbeheer wordt afgedwongen
  • sensibiliseringsmails en -berichten verspreid via intranet

Er werden in totaal 5 gevallen rond ransom/cryptolocker gemeld.

Diefstal
AantalSoort datalekGenomen en geplande maatregelen
8Diefstal laptop/tablet/smartphone/USB-sticks

Maatregelen kort na opmerken incident (curatief)

  • wachtwoord e-mail en clouddienst voor het online opslaan van bestanden gewijzigd
  • VPN verbinding geblokkeerd

Maatregelen (voor toekomst)

Technische maatregelen

  • harde schijf was al geëncrypteerd
  • schijfencryptie in andere laptops geïnstalleerd
  • multifactorauthenticatie invoeren
  • onderzoeken of alle mobiele toestellen in MDM geplaatst kunnen worden en voorzien van wissen op afstand
  • veiligheidssloten op ramen
  • inbraakalarm reactiveren
  • encrypteren van USB-sticks

Organisatorische maatregelen

  • afspraak om lokaal STEEDS op slot te doen
  • schoolbestuur kijkt na of installeren van bewakingscamera in de gang van zorglokaal en secretariaat en bureau directie financieel haalbaar is op korte termijn
  • uitwerken reglement voor mobiele toestellen en sensibilisering hierrond
  • herinneren afspraken dat er geen doc op C schijf van desktops/laptops mogen bewaard worden
  • bijkomende awareness over wachtwoordbeleid bij personeelslid dat handleiding maakte

Procedurele afhandeling

  • diefstal werd aangegeven bij de politie
4Diefstal tas met papieren documenten/niet digitale agenda met persoonsgegevens

Technische maatregelen

  • documenten bijhouden in afgesloten kast in een afgesloten lokaal
  • gebruik digitale agenda

Organisatorische maatregelen

  • papieren mogen de school niet meer verlaten
  • aanpassing procedure voor inzamelen gegevensfiches

Procedurele afhandeling

  • diefstal werd aangegeven bij de politie

Er werden in totaal 12 gevallen rond diefstal gemeld.

Misbruik toegang(srechten)
AantalSoort datalekGenomen en geplande maatregelen

10

Vermoedelijke onrechtmatige inzage van een patiëntendossier/Rijksregister/bevolkingsregister/… voor persoonlijk gebruik.
(Gegevens worden mogelijk tegen de betrokkene gebruikt in een privé-zaak)

Maatregelen kort na opmerken incident (curatief)

  • laptop en SIM-kaart werden in beslag genomen
  • personeelslid zal worden afgesloten van toegang naar alle authentieke bronnen

Maatregelen (voor toekomst)

Organisatorische maatregelen

  • diensthoofd werd ingelicht
  • blijven houden van opleidingen rond privacy en gegevensbescherming, niet alleen voor nieuwe medewerkers maar ook voor anderen
  • periodieke controles (per kwartaal)
  • rollen en rechten nauwgezet worden nagekeken op geregelde tijdstippen
  • opname i/h incidentenregister

Procedurele afhandeling

  • het ethisch comité werd erbij betrokken
  • tuchtprocedure
  • betrokken werknemer werd ontslagen/geschorst

3

Onrechtmatig doorsturen van gegevens uit personeelsdossiers/Rijksregister

Maatregelen kort na opmerken incident (curatief)

  • Audit Vlaanderen voerde forensisch onderzoek

Organisatorische maatregelen

  • nadruk leggen op naleven deontologische code
  • misnoegde werknemers voorkomen
  • rapport Audit Vlaanderen werd meegedeeld aan de gemeenteraadsleden

Procedurele afhandeling

  • start tuchtdossier
  • medewerker die de mail verstuurde wordt geëvalueerd
  • gesprek zal plaatsvinden tussen algemeen directeur en schepen

2

Schending van het ambtsgeheim voor persoonlijk gewin

  • verspreiden van een algemene communicatie ter sensibilisering, om hen te wijzen op hun persoonlijke verantwoordelijkheden

1

Werknemer neemt bij ontslag gegevens van werknemers/patiënten mee.

  • intrekking van de toegangsrechten van de dader
  • wachtwoord werd gewijzigd
  • back-ups van file server en mailserver
  • back-ups en fileserver over langere periodes bijhouden
  • lek werd gemeld bij gekoppelde dienst
  • aanpassen v/h arbeidsreglement

Er werden in totaal 16 gevallen rond misbruik van toegang(srechten) gemeld.

Publicatie op sociale media of via pers
AantalSoort datalekGenomen en geplande maatregelen

1

Persoonsgegevens doorgeven aan de pers

  • sensibilisering

1

Briefwisseling met handtekeningen die gedeeld werd op sociale media

  • sensibilisering

Er werden in totaal 2 gevallen gemeld rond publicatie op sociale media of via pers.

Fysiek verlies en onbeschikbaarheid

Onbeschikbaarheid van persoonsgegevens
AantalSoort datalekGenomen en geplande maatregelen

1

Studentenkaarten aspirant-inspecteurs intern verloren gegaan

  • zoekaktie(s) naar vermiste kaarten
  • nieuwe studentenkaarten aangevraagd
  • politionele aangifte van verlies

1

Enveloppe met facturen is ergens open gegaan en inhoud is er uitgevallen. De enveloppe kwam leeg aan op de boekhouding

  • contact opgenomen met Bpost
  • afspraak om grote enveloppen extra dicht te plakken met plakband

2

Papieren dossier niet terug te vinden (in centraal archief).

  • opstart werkgroep digitalisering medische dossiers
  • DPO, directie, betrokkene partijen (patiënt, betrokken arts..) werden ingelicht

1

Na het kopiëren van een aantal documenten op de printer van de Dienst Cultuur, zijn een drietal documenten met namen van leerlingen van de Zomerschool2020, deelnemers aan het Sportkamp blijven liggen op de tafel naast het kopieerapparaat.

  • bewustwordingscampagne

1

Foutief uitgeprint document door medewerker dat op een printer van campus terecht kwam

  • printen nog enkel mogelijk te maken door de printopdracht te activeren aan de bewuste printer
  • bewustwordingscampagne omtrent foutief uitgeprinte documenten en achteloos achtergelaten documenten in de onmiddellijke omgeving van printers

1

onbeschikbaarheid gegevens (1werkdag) :
1) falende hardware
2) Niet beschikbaar stellen van IT-beheersinformatie door externe leveranciers.

  • opstarten van storage-functie op ander NAS-toestel, manuele controle en herstel van corrupte data
  • de externe leverancier werd gecontacteerd om de nodige informatie ter beschikking te stellen aan de IT-dienst van de gemeente

7

Tijdelijke niet beschikbaarheid van persoonsgegevens door tijdelijke onbereikbaarheid van elektronische gegevens opgeslagen op servers van leveranciers van cloud-toepassingen, en/of op servers van overheidsdiensten

(7 meldingen 1 incident)

  • het bestuur vraagt verwerker om de geplande redundantie te bevestigen of te realiseren

Er werden in totaal 14 gevallen rond de onbeschikbaarheid van persoonsgegevens gemeld.

Informatie komt ongewild bij verkeerde bestemmeling terecht

Ongewilde/onterechte publicatie
AantalSoort datalekGenomen en geplande maatregelen

1

blijvende publicatie nadat de termijn voor openbaar onderzoek reeds was verstreken.

  • document werd verwijderd van de webserver
  • url van document werd voorzien van een redirect naar de homepagina van de gemeente
  • verzoek aan Google om het document tevens te verwijderen uit de zoekresultaten en de cache van Google

1

Het betreft een incident van twee lijsten die gepubliceerd zijn op de website van het agentschap. Deze lijst bevat het KBO-nummer, de bedrijfsnaam en het steunbedrag.

  • eenmanszaken werden van de lijst geweerd.

1

Publicatie persoonsgegevens van de winnaars van een eindejaarsactie via website gemeente en affiches

  • formeel advies gericht aan college om dit in de toekomst te vermijden en steeds de toestemming op voorhand te vragen aan deelnemers van de actie (voor wat betreft verdere publicatie).

1

Op website v.d. stad kunnen onderwijsinstanties een bezoek aan de bib of één v.d. buurtfilialen aanvragen. Door het aan/afvinken v.e. optie in de ontwerpmodule v.h. formulier waren de ingevulde aanvraagformulieren leesbaar online en gecasht door Google

  • procedure bij Google om gegevens uit cache te halen
  • melding aan de auteur v.h. betrokken formulier met aandachtspunt rond het belang van aan/afvinken v.d. betrokken optie
  • melding verwerker die webplatform beheert i.f.v. mogelijke aanpassing beheersmodule

1

Bekendmaking naam en voornaam en adres van aanvrager speelstraat. Persoonsgegevens zijn (bij opzoeking) terug te vinden op het internet.

  • de wissing van het document;
  • een stappenplan: hoe moeten dergelijke klachten correct worden afgehandeld
  • bewustmakingsessies
  • persoonsgegevens niet meer opnemen in de politiereglementen.

1

Publiceren besluitenlijst CBS op publieke website waarbij door een menselijke fout persoonsgegevens werden mee opgenomen in formulering van enkele besluiten. Voor omgevingsvergunningen geldt een publicatieplicht, was nu langer publiek dan normaal

  • striktere controle
  • aanpassen van procedures voor het online plaatsen van documenten
  • overleg met intern betrokken personen

1

In de raadpleegomgeving van de notuleringssoftware werd na een update door de softwareleverancier onterecht de inhoudelijke toelichting van de besluiten en de geheime zitting gepubliceerd op de website. In deze toelichting worden persoonsgegevens vermeld.

  • na elke update door de leverancier controle door de dienst midoffice

1

Aanroepen van gegevens via externe service (API) publiek beschikbaar.

  • web services worden gesplitst in 2 delen:
    • pagina’s om wachtplaats op te vragen en bijhorend geheim off-line halen
    • alle andere services zijn voorzien van een nieuw geheim
  • cashes clearen

Er werden in totaal 8 gevallen gemeld rond ongewilde of onterechte publicatie.

Onachtzaamheid e-mail/brieven/documenten
AantalSoort datalekGenomen en geplande maatregelen

1

Het dossier mbt een klacht heeft in een publieke map secretariaat gestaan, toegankelijk voor al het personeel

  • personeel er op wijzen informatie op de juiste locatie te plaatsen
  • in de mappenstructuur worden veilige locaties voorzien, waar dat nog niet het geval zou zijn.

1

Een Excelbestand dat identificeerbare informatie bevat over de leefvergoedingen van gedetineerden die hun detentie uitzitten onder elektronisch toezicht, tijdelijk zichtbaar voor onbevoegde personeelsleden. Document op foute plaats opgeslagen

  • informeren naar het mogelijke gebruik van ‘data loss prevention’ data
  • in tussentijd gevoelige bestanden zoals deze xlsx altijd te beveiligen met een paswoord

8

Emailadressen per ongeluk in CC gezet in plaats van BCC

  • sturen verontschuldigingsmail met oproep tot verwijdering van de mail en de emailadressen niet te gebruiken voor andere doeleinden.
  • sensibilisering werknemer(s)
  • mail sturen naar de cliënten met vraag om niet te antwoorden via ‘reply all’
  • extra nakijken van ontvangers voor het effectief verzenden van mails
  • de medewerker die de mail verstuurde werd aangesproken
  • sensibilisering van de volledige organisatie over gebruik cc
  • alternatieve manier om dergelijke mails te versturen wordt onderzocht

22

Het versturen van een brief/e-mail naar een verkeerde geadresseerde (verkeerde persoon) door onachtzaamheid.

o.a. na technisch falen bij de conversie van de adresgegevens op PDF naar mail ID, een manuele correctie plaats, waarbij fouten in adresgegevens

Maatregelen kort na opmerken incident (curatief)

  • contact tussen afzender en persoon die mail onterecht had ontvangen
  • aanslagbiljetten werden opnieuw verstuurd naar de juiste personen

Maatregelen (voor toekomst)

Technische maatregelen

  • bij voorkeur wordt een alternatieve methode gebruikt om verslaggeving te doen bv. telefonisch, via beveiligde bijlage …
  • evaluatie huidige proces, zoeken naar een nieuw passend proces bv. versleutelde e-mail
  • versleutelen van lijsten met persoonsgegevens en gevoelige gegevens
  • versturen van wachtwoord via ander medium
  • uitgesteld verzenden
  • doccle token werd gereset

Organisatorische maatregelen

  • in e-mailberichten nooit een volledige naam noteren, hoogstens initialen
  • medewerker werd gewezen op het feit om steeds te controleren als de bestemmeling correct is
  • sensibilisering
  • dubbelcheck op de geadresseerden
  • gesprek volgt met de medewerkers (envelop)
  • controle uitvoeren via EPD envelop (
  • eventueel adressen laten uitlezen door EPD envelop)

Procedurele afhandeling

  • fout werd bij de verwerker gemeld

1

Burger kreeg foute uittreksel mee. De toepassing v.h. Centraal Strafregister blijkt soms bij een connectieprobleem de vorige aanvraag opnieuw op het scherm te tonen. Medewerker heeft niet gecontroleerd of naam correct was bij het meegeven v.h. uittreksel.

  • medewerkers erop gewezen steeds naam te controleren
  • aan de supportdienst van het centraal strafregister wordt gemeld dat soms de vorige opvraging op het scherm komt bij connectieproblemen

13

Het versturen van een e-mail met een verkeerde bijlage/teveel persoonsgegevens

  • gevraagd aan de ontvanger die de brief verkeerdelijk ontvangen heeft om deze brief te vernietigen
  • toelichting gegeven hoe de foutieve handeling kon gebeuren
  • extra bewustmaking naar veilig e-mailen conform de ICT-code
  • automatisch uitstel op uitgaande e-mail instellen
  • bijlagen beveiligd versturen

1

Mail werd verstuurd naar emailadres dat geacht een voorbeeldadres/fictief adres te zijn

  • bewustmaking

Door onjuiste gegevens

1

Door fusie twee gemeenten zijn aantal straatnamen gewijzigd. Werd gestuurd naar het adres voor de fusie.

  • adressen extra nakijken

Onvoldoende kennis

1

doorgeven rijksregisternummer aan advocaat

  • verwittigen betrokkene
  • bewustzijn creëren
  • omgevingsvergunningen verhogen in classificatie

1

Informatie op verkeerde plaats ter inzage

/

2

onrechtmatig doorgeven van een detailfiche ophaling afvalcontainer aan huisvestigingsmaatschappij.

  • diverse partijen werden op de hoogte gebrachte betreft de juiste handeling van persoonsgegevens
  • continue sensibilisering bij het personeel
  • in de toekomst wordt de leidinggevende bij de minste twijfel ingelicht
  • juridische procedure tussen de huisvestingsmaatschappij en de huurder

1

Een bezwaarschrift werd doorgestuurd naar derden zonder de persoonsgegevens van de indieners de anonimiseren.

  • de huidige manier van anonimisering wordt herbekeken

Er werden in totaal 53 gevallen gemeld rond onachtzaamheid bij e-mails, brieven of documenten.

Ongewild doorgeven door fout in toepassing
AantalSoort datalekGenomen en geplande maatregelen

1

Overschrijving naar verkeerd rekeningnummer

  • onderzoek naar de aankoop van een software module budgetbeheer
  • er zal ook contact worden opgenomen met onze servicing officer bij bank om na te kijken of/en hoe we dit tijdelijk via webtoepassing bank kunnen proberen te vermijden

1

Technische fout bij versturen van aangifteformulieren belastingen per post

  • aangiftes werden opnieuw verzonden
  • verwerker paste het systeem aan
  • opmaak v.d. aangifteformulieren aangepast om problemen te voorkomen bij het afdrukken
  • een $ wordt geplaatst bij elke aangifte

1

Foutieve configuratie van bestemmelingen voor elektronische externe communicatie vanuit het elektronisch patiënten dossier (EPD) door een EPD implementatiemedewerker van een ander ziekenhuis.

  • intern simuleren van toegangsrollen om te identificeren welke medewerkers dit bericht ontvingen

1

Door een technische fout op extranet van website werden op een webpagina met de instelling “private” de bijlagen (register inkomende post) opgeladen in een publieke map.

  • register inkomende post wordt niet meer gepubliceerd op het extranet

1

Covid: doordat er maar 10 personen digitaal geregistreerd kunnen worden diende de contactonderzoeker de gegevens van de 11e contact/patiënt schriftelijk te noteren op papier. Hierdoor raakte diens identiteit bekend bij de contactonderzoeker (of call agent?)

  • via logging werd nagegaan wie call agent was die de inbreuk pleegde
  • betrokkene werd gecontacteerd
  • er werd aan de verwerker gevraagd het systeem aan te passen
  • sensibilisering

1

Een fout in een zakelijke applicatieplatform dat bestaat uit cloudgebaseerde apps voor CRM en ERP, waardoor medewerkers inzage hadden in e-mails van collega’s.

  • contact met verwerker
  • verwijdering van alle e-mails uit platform
  • communicatie uitgestuurd naar alle medewerkers
  • uitschakeling ‘folder-tracking’
  • uitschakeling ‘smart matching’
  • testen van verschillende scenario’s met vernieuwde instellingen

Er werden in totaal 6 gevallen gemeld rond een fout in een toepassing.

Gebruikers- en toegangsbeheer
AantalSoort datalekGenomen en geplande maatregelen

2

Verkeerde rechtentoewijzing in notulensoftware waardoor gemeenteraadsleden en personeel gemeente en OCMW inzage kregen in de agenda en sociale dossiers en verslagen van het bijzonder comité voor de sociale dienst (BCSD) resp. een gemeenteraadslid

  • aanpassing en beperking rechtenbeheer in software
  • uitwerking en definiëring procedures, stappen en rollenbeheer software

1

Betrokkene is tijdens een opleiding tot de ontdekking gekomen dat er toegang was tot eigen CV.

  • toegang tot archief geblokkeerd voor all members
  • map met persoonsgegevens werd gemigreerd naar afgeschermde omgeving
  • lijsten gebruikersbeheer worden gecontroleerd

2

Verkeerde rechtentoewijzing door misconfiguratie in ontwikkelcode.

  • fout rechtgezet

1

Kwetsbaarheid ontdekt in de code authenticatieplatform voor burgers stad. Via url-manipulatie.

  • updaten van de code om de kwetsbaarheid te verwijderen.
  • security static code vulnerability scanner tool gebruiken voor eigen ontwikkelde applicaties. Deze heeft de mogelijkheid om dergelijke kwetsbaarheden in ontwikkelcode te detecteren en mitigatie-acties te definiëren.

1

Ingebouwde rechtencontrole op het gebruik van de pagina niet correct.

  • quick fix oplossing voor de mogelijke toekenning van andere rechten
  • fout in de programmatie is rechtgezet
  • herziening van de methode voor de opbouw van de toegangsrechten

3

onrechtmatige toegang door foute parameter

  • hersteld

Er werden in totaal 10 gevallen rond gebruikers- en toegangsbeheer gemeld.

Gegevenslekken in verband met onderwijs

Kwaad opzet

Hacking

AantalSoort datalekGenomen en geplande maatregelen

1

Diefstal van PC-login leerkracht. Leerling die gegevens gestolen heeft, heeft printscreens gemaakt van het leerlingvolgsysteem en deze naar de betrokken leerlingen doorgestuurd.

  • briefing personeel
  • 2-factor authenticatie voor gebruikers met verhoogde rechten
  • wijzigen wachtwoord
  • slachtoffers ingelicht
  • gesprek met leerlingen
  • klacht politie

1

Derden (vermoedelijk leerlingen van de school) hebben ingelogd in een account van een leraar van de school

  • 2-factor authenticatie

1

2 leerlingen die zich onrechtmatig hebben toegang verschaft tot delen van de Smartschool-omgeving waartoe zij niet bevoegd zijn

  • leerlingen werden preventief geschorst
  • forensisch onderzoek van de IT-systemen

1

Leerling gaf zijn/haar wachtwoord van Smartschool-account door aan andere leerling waardoor de laatste dan toegang had tot de mailbox.

  • gesprek met beide leerlingen
  • wachtwoorden aangepast

Er werden in totaal 4 gevallen rond hacking gemeld.

Ransom
AantalSoort datalekGenomen en geplande maatregelen

/

Er werden geen gevallen rond ransom gemeld.

Phishing
AantalSoort datalekGenomen en geplande maatregelen

/

Er werden geen gevallen rond phishing gemeld.

Diefstal
AantalSoort datalekGenomen en geplande maatregelen

/

Er werden geen gevallen rond diefstal gemeld.

Informatie komt ongewild bij verkeerde bestemmeling terecht

Ongewilde/onterechte publicatie

AantalSoort datalekGenomen en geplande maatregelen

1

Een PDF met daarin de rapporten van een bepaalde klas werd op een fileserver op een verkeerde plaats gezet, waardoor dit bestand door Google werd geïndexeerd en bijgevolg opzoekbaar was via Google.

  • Google gevraagd bestand uit hun indexeringen/zoekresultaten te halen (met succes)
  • aangekaart op personeelsvergadering leerkrachten
  • nieuwe website voor de scholen extra prioriteit gegeven
  • ouders gecontacteerd

Er werd in totaal 1 geval gemeld rond Ongewilde/onterechte publicatie.

Verkeerde bestemmeling of teveel of verkeerde informatie

AantalSoort datalekGenomen en geplande maatregelen

1

Ouders konden 10 minuten persoonsgegevens van klasgenoten inkijken. Een klaslogin is meegegeven i.p.v. de login per klas.

  • bijscholing over lerarenplatform

1

Er werd een mail gestuurd naar een aantal ouders. Bij de mail moest een bijlage gevoegd worden, maar er werd geklikt op een verkeerde bijlage

  • aan alle ontvangers werd meteen een mail gestuurd om de vorige mail te deleten
  • de werknemer werd aangesproken over de manier van aanpak om dit te voorkomen in de toekomst

1

Ouders ontvingen onbedoeld een link naar de databestanden van het aanmeldsysteem

  • deelbare link direct stopgezet
  • gesprek gehad met ouder die bestand downloade en die laatste bevestigde het bestand te zullen verwijderen
  • in de toekomst wordt enkel toegang gegeven tot deze gegevens met verificatie

1

Smartboard stond aan terwijl leerkracht smartschoolmailbox opende en tussen de berichtenlijst stond een mail v.d. klasleraar met als onderwerp ‘voornaam van de leerling-ADHD en autisme’ alle leerlingen konden dit zien.

  • richtlijnen aan alle leerkrachten dat het onderwerp in communicatie geen leerlingnamen in combinatie met gevoelige persoonsgegevens mag bevatten.
  • richtlijnen bij gebruikbeamer/smartbord in de klas

2

het versturen van rapporten in leerlingenvolgsysteem naar leerlingen i.p.v. leerkrachten

  • intrekken van het bericht door ICT-dienst.
  • leraar heeft excuses gestuurd via leerlingenvolgsysteem naar ouders en leerlingen.
  • sensibiliseren: de handleiding voor het aanmaken van rapporten in Smartschool wordt nogmaals doorgestuurd in de volgende interne communicatie aan de leraren.

Er werden in totaal 6 gevallen gemeld rond Verkeerde bestemmeling of teveel of verkeerde informatie.