Toon posts:

Artikels en lezingen over privacy en data loss België

Pagina: 1
Acties:

maandag 7 februari 2022 18:08

Acties:
  • 0 Henk 'm!
  • silencedkill
  • Registratie: Juli 2006
  • Laatst online: 09-10 23:14

silencedkill

Topicstarter
Hallo allemaal,

Ik hoopte dat iemand mij en anderen op die hier op zoek naar zijn mij kan doorverwijzen naar wat handige artikels en lezingen voor privacy en lezing omtrend privacy en data loss prevention specifiek voor België.

Ik heb interesse in dit topic van den beginnen en zit ook met een aantal prangende vragen vanwege een delicate werk situatie die recent opgedoken is.

Eentje die me nauw aan het hart ligt is een test omgeving die productie gegevens bevatte (een kopietje is vlug gemaakt en altijd handig om goede testen te doen), puur op het internet gegooid is en na een aantal maanden verwijderd is omdat we deze gevonden hadden. Alle logging, backups, en meer zijn ook verwijderd. De veiligheids officier vond het allemaal goed want het bestaat niet meer dus er valt ook niets te rapporteren.
Zo kan ik nog -tig voorbeelden geven, helaas. Er kan altijd wel iets verkeerd gaan, maar dit begint echt te gortig te worden.
De balans tussen de zaken werkbaar te maken, afhankelijk van wie je beschikbaar hebt,en functioneel te zijn is niet altijd eenvoudig. Het is niet de bedoeling om hier een schandpaal op te richten.
Wat ik graag wil is mocht iemand ervaring hebben hiermee om het positieve en richtlijnen die voor hem/haar werk(t)en te delen. Mag ook via PM. Eerlijk, ik weet niet wat ik hiermee moet doen.

maandag 7 februari 2022 18:22

Acties:
  • 0 Henk 'm!
  • Spacecowboy
  • Registratie: September 2000
  • Laatst online: 22:43

Spacecowboy

XBL: Biggmans

Als QA engineer heb ik wel wat ervaring met het gebruiken van representatieve testdata, en het gedoe wat hieromheen komt kijken.

Ik weet niet precies wat je vraag is, maar om wat voorbeelden te geven hanteren wij deze maatregelen:
- Geen productiedata in test, al helemaal niet op openbare infra.
- Gemaskeerde data is ok, mits niet herleidbaar tot personen
- toegang tot tot omgevingen en data wordt altijd gemonitord en gelogd.

Sommige situaties vereisen soms productiedata, dat kan soms niet anders. Bij ons werkt het dan als volgt:
- Product owner geeft signoff, data-eigenaar geeft signoff, secops geeft signoff. In deze signoff staat welke data waarom waar wordt gebruikt, hoe lang deze wordt gebruikt, en wie hier toegang toe heeft. Hierin staat ook bijvoorbeeld waarom geen synthetische data kan worden gebruikt.

Onze testdata bestaat uit een kopie productie, die gemaskeerd is, deze wordt maandelijks opnieuw gevuld, in principe over alle pipelines/omgevingen.

Mocht je meer specifieke vragen hebben, shoot, zou ik zeggen.

HENG HENG

dinsdag 8 februari 2022 07:38

Acties:
  • 0 Henk 'm!
  • silencedkill
  • Registratie: Juli 2006
  • Laatst online: 09-10 23:14

silencedkill

Topicstarter
Goeiemorgen,

Bedankt voor het antwoord. Dit soort zaken ben ik precies naar op zoek. Voorbeelden van uit de praktijk, hoe het er aan toegaat. Ik ben zelf geen programmeur en heb er te weinig kennis voor.
Op heden werkt het bedrijf waarvoor ik momenteel werk een beetje als een start-up; As you go en zonder al te veel procedures.

Om een praktisch voorbeeld te geven, laatst moesten we de database van het datawarehouse overzetten van productie naar test, deze bevat 16 jaar aan data. Deze bevat onder andere namen, betalingen, adres gegevens, inlog gegevens zoals datum, ip, locatie, etc... Uiteraard moest dit de dag ervoor gebeuren want het was dringend.

Er zijn gelijk wat externe programmeurs ingehuurd -resources tekort - via een online platform. Deze hebben geen bedrijfs laptop, en bijgevolg zijn die devices niet beheerd door de firma. Geen VPN dan maar, anti-virus, we hopen het. Conclusie, Zet die maar in de cloud en gooi maar op internet, dan kunnen ze eraan. Hoe ga je daar (menselijk) mee om?

Dat anonimiseren klinkt wel goed om onmiddelijk mee te starten, maar hoe doe je dat ? Voor de export of erna, zijn daar bepaalde functies voor, of exporteer je die as-is en verander je die daarna ? Is dat echt random of om een extreem voorbeeld te nemen verander je dan daarna voornaam en naam in A,B, de volgende in AA, BB. Is er een richtlijn van wat data traceerbaar maakt tot een persoon, met wat boerenverstand kom je ver maar in dit geval was het een data warehouse, een combinatie van zowat alles die mogelijk is. Wat maakt een vereiste om toch productie data te gaan gebruiken om te vermijden dat iemand zijn voetje zet en aanhaalt "productie data is vereist" maar met een drogreden.
Ik vond hier en daar wel een paar artikels maar voornamenlijk zo random geschreven dat het erop lijkt dat die mensen nog nooit een database gezien hebben. Een soort checklist zou dan ook goud waard zijn voor mij, ook al is dat de heilige graal niet.
In mijn geval als het dan nog eens beschreven is voor België dan is dat leuk meegenomen.

dinsdag 8 februari 2022 07:51

Acties:
  • 0 Henk 'm!
  • burnedhardware
  • Registratie: Januari 2001
  • Laatst online: 23:17

burnedhardware

Wat je beschrijft is een schending van de avg op de principes voor gegevensverwerking. Risico dat je daar mee loopt is een boete van 4% van je jaaromzet
artikel
5c - data minimalisatie
5e - anonimiseren wanneer mogelijk
5f - voldoende beveiligd

Zoals je aangeeft, is de dataset willens en wetens nagenoeg onbeveligd op het internet gezet.
https://gegevensbeschermi...%20commentaar/artikel%205

dinsdag 8 februari 2022 11:25

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Iets als https://www.pinkroccadelo...sking-toegevoegde-waarde/ doet het deels automatisch.
silencedkill schreef op dinsdag 8 februari 2022 @ 07:38:
Er zijn gelijk wat externe programmeurs ingehuurd -resources tekort - via een online platform. Deze hebben geen bedrijfs laptop, en bijgevolg zijn die devices niet beheerd door de firma. Geen VPN dan maar, anti-virus, we hopen het. Conclusie, Zet die maar in de cloud en gooi maar op internet, dan kunnen ze eraan. Hoe ga je daar (menselijk) mee om?
Technisch: remote desktop, leen ze een bedrijfslaptop uit.
Of organisatorisch: verifieer hoe en wat men opslaat - en vernietigt.
En juridisch/ financieel: contract, geheimhouding, boetebeding.

(edit: 'random' buitenlandse (of ook Belgische) devvers geef je natuurlijk nooit toegang tot productiedata)
Dat anonimiseren klinkt wel goed om onmiddelijk mee te starten, maar hoe doe je dat ? Voor de export of erna, zijn daar bepaalde functies voor, of exporteer je die as-is en verander je die daarna ? Is dat echt random of om een extreem voorbeeld te nemen verander je dan daarna voornaam en naam in A,B, de volgende in AA, BB. Is er een richtlijn van wat data traceerbaar maakt tot een persoon, met wat boerenverstand kom je ver maar in dit geval was het een data warehouse, een combinatie van zowat alles die mogelijk is. Wat maakt een vereiste om toch productie data te gaan gebruiken om te vermijden dat iemand zijn voetje zet en aanhaalt "productie data is vereist" maar met een drogreden.
Testen met 'life like' data is belangrijk. Dat is geen drogreden. Maar het hoeft ook niet productiedata te zijn.

Alleen de naam veranderen is niet genoeg. Idealiter anonimiseer je de namen, mailadressen, etc, en hussel je de verschillende velden door elkaar en misschien kan je sommige velden gewoon randomizen tussen bepaalde waarden.

J. Jansen met Jan@bb.ccc woont op Straatnaam 2 te Stad en kocht een rode fiets, is 1m89 lang. A. Alberts met Albert@cc.dd woont op Laan 3 te Dorp en kocht een auto, is 1m67 lang. ==> Henk Henksen met Henk@x.y woont op Straatnaam 3 te Dorp en kocht een auto, 1.68 lang. Truus Smit met Bliep@y.z woont op Laan 2 te Stad en kocht een fiets, 1.75 lang.

Zo heb je nog steeds (voor testdoeleinden) reële data, maar is het bij voldoende grote datasets niet te herleiden naar echte personen.

Nog wat spannender wordt het nog als je over een keten test en in de verschillende systemen dezelfde data wilt hebben, of het over de tijd heen hetzelfde wilt hebben.
Ik vond hier en daar wel een paar artikels maar voornamenlijk zo random geschreven dat het erop lijkt dat die mensen nog nooit een database gezien hebben. Een soort checklist zou dan ook goud waard zijn voor mij, ook al is dat de heilige graal niet.
In mijn geval als het dan nog eens beschreven is voor België dan is dat leuk meegenomen.
Zoek je iets als https://towardsdatascienc...ets-c4602e581a35?gif=true en https://towardsdatascienc...dio-55323eba60e9?gif=true ?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq