download

Note-to-self: 2019 …cost of a data breach…

Many InfoSec and data protection or privacy courses reference 3 authoritative yearly reports that show interesting numbers, statistics and trends about breaches year over year.

And these are extremely useful to talk about to your management…

Interesting to know they all have been updated for 2019.

1. Verizon DBIR

(The Verizon Data breach Investigations Report, DBIR)

https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf (click the view only option)

2. IBM-Ponemon – Cost of a data breach report 2019

https://www.ibm.com/downloads/cas/ZBZLY7KL

(You can always use the official link and give away your privacy…at https://www.ibm.com/security/data-breach)

3. IAPP-EY Annual Governance Report 2019

(IAPP members get it for free)

Hint: the IAPP link below also shows reports of previous years.

https://iapp.org/resources/article/iapp-ey-annual-governance-report-2019/

V2018 also available from the EY website: https://assets.ey.com/content/dam/ey-sites/ey-com/en_gl/topics/financial-services/ey-iapp-ey-annual-privacy-gov-report-2018.pdf

Privacy Life-Hack: het omzeilen van de registratie-walls voor “gratis” downloads. Betaal niet met jouw persoonlijke gegevens.

Wanneer was jouw laatste download van een “gratis” paper, een “gratis” eBook, of een “gratis” aangeboden document… terwijl in feite deze download werd verborgen achter een “privacy wall” of “registratie wall”?

Het is een veel voorkomende praktijk van commerciële bedrijven om jouw contactgegevens te verzamelen voor het opbouwen van hun prospectendatabase of erger (alleen de verkoop van jouw gegevens).

Met de term “Privacy Wall” , “Free Registration Wall” of “consent wall”, verwijs ik naar het equivalent van een “pay wall” wanneer je moet betalen voor toegang tot inhoud. Met een “Privacy Wall“, in plaats van geld te moeten betalen, vereist de provider dat jij je ‘gratis’ registreert om toegang te krijgen tot hun inhoud.

In dat opzicht betaal je in feite met jouw persoonsgegevens.

Onthoud: niets is gratis. Zoals ze in het Engels zeggen “There ain’t no such thing as a free lunch” (eh… Download).

Voordat ik in detail inga op het omzeilen van “Privacy Walls“, zijn er toch een paar opmerkingen over de legitimiteit van deze “Privacy Walls“.

Als je niet geïnteresseerd bent in de achtergrondinformatie, kan je direct naar de privacy life-hack sectie beneden kijken.

Welke gegevens zijn er eigenlijk nodig voor een gratis download?

Echt gratis download

In het kort, technisch gezien heb je geen persoonlijke gegevens nodig om een gratis download te laten werken. Geen! Publiceer het gewoon online en geef de URL aan iedereen.

Beveiligde Download

Maar, wat als…

  • je de download wilt aanbieden voor geregistreerde leden (Ref. gerechtvaardigd belang), of
  • het document wil beveiligen met Digital Rights Management (dat een unieke identitier of mail nodig heeft) en een persoonlijke download link naar de aanvrager wil sturen, of
  • je een digitaal watermerk met gebruikers-id wil toepassen?

…dan is het volkomen zinvol om het e-mailadres te registreren of op te vragen…
(Maar nog steeds onder AVG Art. 13 of soortgelijke wetgeving).

In de praktijk, het echte leven: het verzamelen van jouw persoonlijke gegevens voor commerciële doeleinden…

… veel commerciële of marketing bedrijven vereisen (of dwingen) je om een uitgebreide of volledige set van persoonlijke gegevens in te vullen als voorwaarde om te downloaden… dat is absoluut niet relevant voor de download zelf. Maar het kan zinvol zijn om hun commerciële redenen en dat vertellen ze je (niet) … (Opnieuw: AVG Art. 13)

Juridische overwegingen

Allereerst is het belangrijk om te begrijpen dat in de meeste gevallen wel het legitiem is om contactgegevens te vragen, maar met een grote dubbele als voorwaarde…

Je zou legitiem belang kunnen overwegen om persoonlijke gegevens te verzamelen of de gebruikelijke toestemming van de downloader. (Ik laat de andere 4 AVG opties buiten het bereik voor dit artikel, om het simpel te houden.)

Als AVG van toepassing is (je weet: mensen in de EU,.. enzovoort) en als een verwerker persoonlijke gegevens op vraagt, moet deze voldoen aan AVG Art. 13 die bepaalt dat “informatie moet worden verstrekt wanneer persoonsgegevens worden verzameld van betrokkene “. Dit betekent dat de verwerkingsverantwoordelijke moet uitleggen welke gegevens zij verzamelen, doeleinden van verwerking, contactgegevens van de verwerkingsverantwoordelijke,…en meer.

Dat is waar het in de praktijk vaak fout gaat, de GDPR wordt (nog steeds) niet correct toegepast.

Als je bijvoorbeeld niet de vereiste privacyverklaring opgeeft op het moment van verzamelen, geraak je in de problemen, zoals bijvoorbeeld:

privacywall1.png

Als AVG niet van toepassing is, controleer dan best ook andere wetgeving die van toepassing is zoals e-commerce of eCommunication bescherming. Er is een grote kans dat andere soortgelijke wettelijke regels van toepassing zijn, vergelijkbaar met de eerder genoemde AVG-vereisten.

Wat het geval ook is, je kan jouw persoonlijke gegevens beter zelf beschermen.

Hoe kan je jouw persoonsgegevens beschermen met betrekking tot gratis downloads? Voordat ik die vraag kan beantwoorden, moet je de volgende vraag beantwoorden.

Wat wil je betalen voor een gratis download?

Sta mij toe om Matthias Dobbelaere-welvaert te citeren uit een televisie-uitzending van VIER (trafiek Axel- aflevering 6, Axel Estate een identiteit),

Korte versie via Matthias’ tweet:

“/.. /Wat je eigenlijk moet denken, elke keer dat je een stukje van je privacy afgeeft,… moet je eigenlijk denken dat je 50 euro afgeeft, … Daar kan geld mee verdiend worden . /.. /”

Belangrijke opmerking: deze uitzending op vier, zit ook achter een registratie wall (!) …

Wil je betalen met persoonsgegevens (€50 €… KA-CHING!) voor een gratis download?

Wil je betalen met persoonsgegevens (… nog eens €50) voor bijna 50′ van hoge kwaliteit televisie over diefstal van persoonlijke gegevens…? Het is aan jou om te beslissen. Ik weet het al.

Maar… gelieve te beseffen dat in veel gevallen deze verplichte registratie (“privacy Wall”) voor gratis downloads gewoon NEP is.

Ik bedoel, alleen bedoeld om jouw persoonlijke gegevens te verzamelen, en na registratie krijg je toegang tot een openbaar, daadwerkelijk gratis download.

Als je het op voorhand wist, zou je niet registreren om toegang te krijgen. Omdat het ook niet hoeft, in de meeste gevallen.

Ik wil de voorbeelden hier niet noemen en de schuld geven, maar het kost weinig tijd om de voorbeelden op mijn LinkedIn-tijdlijn te vinden… het is heel gemakkelijk om deze voorbeelden elders op het Internet te vinden.

De privacy life-hack voor “gratis” downloads

In veel gevallen kan je de gratis download uitvoeren zonder jouw persoonlijke gegevens te gebruiken. Het probleem: je weet dat alleen na registratie. Dus…

Optie 1: gebruik een wegwerp mailadres om toegang te krijgen tot de daadwerkelijke gratis openbare link

Zoek op internet naar ‘temporary email‘ of ‘ anonymous email ‘, er zijn veel diensten die je toelaten om een wegwerp mailadres te gebruiken (zoals temp, getnada,… en mijn favoriete mailinator).

Geef ook dummy persoonlijke gegevens in, zoals voornaam, achternaam en adres…

Voordeel: snel, eenvoudig, geen gedoe, geen spam. “Hit and run”, klaar.

Nadeel (beperkt): veel gratis download providers blokkeren deze gekende anonieme mails. Anonieme mail is niet altijd bruikbaar.

Alternatief: Probeer een andere temp mailprovider of schakel over naar optie 2.

Optie 2: Activeer jouw eigen tijdelijke e-mailadres en schakel het opnieuw uit na het downloaden

Registreer je eigen internetdomein, voor een paar dollar per jaar. Vervolgens beheert je je eigen e-mail aliassen of e-mail doorstuurservers.

Je maakt gewoon een download alias zoals Download@yourveryshortdomain.root, Activeer het voor download, Download en deactiveer het na het downloaden. Gedaan.

Voordeel: snel, eenvoudig, geen spam, je hebt de controle.

Nadeel: je moet een paar dollar per jaar doorbrengen. (ongeveer 10 EUR/yr)

Alternatief: vast gratis e-mailadres…

Optie 3: gebruik een apart, gratis e-mailadres voor de downloads

Hotmail, Outlook.com, Gmail,… noem het gewoon.

Voordeel: gescheiden van jouw reguliere post

NADEEL (MAJOR): je krijgt nog steeds de spam en marketing die je niet wil. Je moet jouw registratie annuleren. Ze misbruiken nog steeds jouw persoonlijke gegevens.

Conclusie & tips

Denk eerst hard na of je wil betalen met jouw persoonlijke gegevens (echt?)

Houd er rekening mee: 50 EUR voor een “gratis” Download??!! (Standaardantwoord is Nee!)

  1. Indien nee, registreer met allemaal dummy gegevens
  2. Zo ja, registreer met minimale persoonsgegevens

TIP: gebruik alle dummy gegevens als persoonsgegevens irrelevant zijn

TIP: gebruik een wegwerp-, tijdelijk, anoniem e-mailadres, Download en dan verdwijnen.

TIP: Voeg alleen absoluut noodzakelijke persoonlijke gegevens toe, niets meer.

TIP: Maak de registratie zo snel mogelijk ongedaan (indien van toepassing)

TIP: beheer jouw e-mailadres en-profielen (een wachtwoord-beheersapplicatie kan je helpen). Controleer ze een paar keer per jaar. Ruim ze op, waar mogelijk.

Note-to-self: prepping for CSA CCSK v4 upgrade

Note-to-self: extended reprint of a LinkedIn post…

I might have mentioned it already, but if you have passed the CCSK exam before, better logon to your CCSK profile on the CSA website and check if you still have an exam token left.

By default you get 2 tokens each exam registration, so…

If you pass your exam the first time, the “second try” backup token is left unused in your profile.

And (if not yet expired) you can use it to upgrade your CCSK to v4.

Tokens stay valid for 2 years after purchase.

More info: https://ccsk.cloudsecurityalliance.org/en/faq

On that page you can also find the required study material for the exam.

You can download the CCSK v4 prep kit from : https://downloads.cloudsecurityalliance.org/ccsk/CCSKv4_Exam_Preparation_Kit.zip

It’s an online exam and thus open book exam, using the below reference guides.

But realise:  60 questions in 90 minutes still is hard work, so better do some prep work up front to maximize your chances.

Once you pass this one, you can go for the (ISC)² CCSP with more confidence…

Microsoft resources for GDPR

The page below is a (growing) overview of resources for GDPR info and compliance by Microsoft. The page is updated with other sources I find on my quest for GDPR.

General Resources

Trust Center

Microsoft 365 Enterprise

Online

Assess your readiness for GDPR now

MS partner network

https://partner.microsoft.com/en-us/marketing/details/gdpr#/

Compliance manager

Learn more about Compliance Manager.  Read the Tech Community blog

Sign up for the Compliance Manager public preview program

Blogs

Videos

Tools

Downloads

Note-to-self: ISO27001 & ISO27002 downloads & tools

Just a quick note if you are looking in to ISO27001 documents, to implement IT security in a best-practices-way, bookmark these:

ISO27001 specific material

BTW: there is a very interesting GDPR-ISO27001 mapping example/exercise published on the ISO27001Security.com website: GDPR-ISO27k mapping

And as a surplus, have a read of the PCI-DSS, aka the ISO27001 for Banks

Check the free download section of the ISO standards organization at: ffwd2.me/FreeISO

Note-to-self: #MIM2016 & #FIM2010 Config documenter released on GitHub

Source: Announcement on MIM 2016 Group on LinkedIn by  Jef Kazimer

Source Code: https://github.com/Microsoft/MIMConfigDocumenter

Jef announced that the Identity Community Projects team has published the MIM Config Documenter tool to the Microsoft GitHub Organization as an open source community project.

The MIM configuration documenter is a very nice and easy tool to generate documentation of a MIM / FIM synchronization or service installation.

It allows to: 

  • Document deployment configuration details for the MIM / FIM solution, including MIMWAL Workflow definitions
  • Track any configuration changes you have made since a specific baseline
  • Build confidence in getting things right when making changes to the deployed solution

You can find the project code, releases, and documentation at https://github.com/Microsoft/MIMConfigDocumenter

 

Note-to-self: Hotfix rollup package (build 4.4.1459.0) is available for #MIM2016 SP1

Microsoft has released an hotfix for MIM2016 SP, with an awful lot of updates and improvements.. to much to list… but more to read:

See here: Source: https://support.microsoft.com/en-us/help/4012498/hotfix-rollup-package-build-4-4-1459-0-is-available-for-microsoft-iden