BEURSSPECIAL INFOSECURITY - STORAGE EXPO - TOOLING EVENT

INFO

JAARGANG 14 - NOVEMBER 2015 - WWW.INFOSECURITYMAGAZINE.NL

SECURITY MAGAZINE

SECURITY ANALYTICS

VERBETERT ZICHT OP INCIDENTEN

‘SECURITY OPERATIONS

IN EIGEN BEHEER KUN JE NIET LANGER ZELF’

BEURSSPECIAL

INFOSECURITY - STORAGE EXPO - TOOLING EVENT BESTRIJDING RANSOMWARE VRAAGT OM INTEGRALE AANPAK SECURITY - BEN JIJ DE RECHTMATIGE EIGENAAR VAN JE DOMEINNAAM? - DOORSTAAT UW ORGANISATIE DE PRIVACY-PROEF? - OPTIMAAL RISICOMANAGEMENT ONMISBAAR BIJ INSCHATTEN VAN CYBERRISICO’S - INTERNET OF TROUBLE - OPENSTACK: VEILIG GENOEG? BEDRIJVEN VERWAARLOZEN ONLINE VERTROUWEN - GENERATIE Y WIJST DE WEG OP GEBIED VAN SECURITY - COMPUTING EVERYWHERE VRAAGT OM MEER BEWUSTWORDING - CLOUDTELEFONIE EN DATABEVEILIGING: EEN DEGELIJKE DUITSE COMBINATIE - EDWARD SNOWDEN ZET IT-SA OP DE KAART

g

turnIng off encrypted traffIc InspectIon for performance?

We have a better Idea. IntroducIng the fastest fIrebox ever. ®

Encrypted traffic is exploding worldwide. That’s why WatchGuard has released two new security appliances that deliver unprecedented speed – the Firebox M400 and M500. In fact, the M500 is 61% faster than the competition with all layers of security turned on – and 149% faster for capacity-intensive HTTPS inspection.* Now you have the power to amp up network performance without sacrificing security strength. Never compromise security. Step up to the new Firebox. Contact us today at: [email protected] or call +31 (0)70 711 20 85

Colofon - Editorial

Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via [email protected]. Uitgever Jos Raaphorst 06 - 34 73 54 24 [email protected] twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 [email protected] twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel Advertentie-exploitatie Will Manusiwa 06 - 38 06 57 75 [email protected] Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 [email protected]

© 2015 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: www.infosecuritymagazine.nl

Op naar 2016 -

het jaar van de datalekken Nee, geen zorgen. De kop boven dit voorwoord wil niet zeggen dat dit de laatste editie van Infosecurity Magazine van 2015 is. Maar de kreet ‘2016’ is in de wereld van informatiebeveiliging zo langzamerhand wel een gevleugeld begrip. Meestal wordt dan verwezen naar 1 januari 2016. En dat is het moment dat het afgelopen is met het verstoppertje spelen over incidenten op het gebied van IT-security. Voor zover er privacygevoelige gegevens bij betrokken zijn althans.

GOEDE ZAAK Dat datalekken vanaf het nieuwe jaar gemeld moeten gaan worden, is absoluut een goede zaak. Maar laten we niet de illusie hebben dat we daarmee het probleem hebben opgelost. Waar ik bijvoorbeeld weinig mensen over hoor is het feit dat het hier uitsluitend gaat om datalekken die we ook daadwerkelijk hebben vastgesteld. Terwijl uit menig onderzoek inmiddels wel duidelijk is dat het aantal vastgestelde datalekken op zijn best het topje van de ijsberg is. ‘ONSCHULDIG DATALEKJE’ Misschien moeten we met enig gevoel voor drama wel stellen: organisaties waar een datalek wordt gevonden hebben eigenlijk geluk. Want bij hen is nu in ieder geval duidelijk waar het lek zich bevindt en welke gegevens geraakt zijn. We weten uit onderzoek dat ‘the bad guys’ in vrijwel iedere organisatie binnen zijn. En vaak al heel lang. Alleen hebben we dat nog niet vastgesteld. En daarmee ontkracht ik natuurlijk ook direct mijn opmerking over geluk hebben als er een datalek is vastgesteld. Want wie zegt mij dat er bij een organisatie waar een datalek zichtbaar is geworden niet nog veel meer aan de hand is? Wie (te) veel spionageboeken heeft gelezen, zou zelfs de redenatie kunnen volgen dat cybercriminelen misschien wel heel bewust een klein en relatief onschuldig data-

lekje hebben - zeg maar - ‘gelekt’. Zodat CISO’s en security-specialisten zich samen met toezichthouders op dat ene lek(je) storten en geen enkel oog meer hebben voor wat er verder in het netwerk van de organisatie gebeurt. KREDIETWAARDIGHEID Begrijp mij niet verkeerd: de meldplicht rond datalekken is absoluut een stap in de goede richting. Het helpt om IT-security nu eindelijk eens op de agenda van de directie te krijgen. En gelukkig komen er meer ontwikkelingen aan die de aandacht van het management alsnog serieus op security zullen vestigen. Bijvoorbeeld het meenemen van een security track record bij het waarderen van de kredietwaardigheid van een bedrijf. Is het geld van een investeerder eigenlijk wel veilig bij een club die regelmatig niet in staat blijkt cybercriminelen buiten de deur te houden? PIJN DOEN Natuurlijk is ook dat een te simpele voorstelling van zaken. Maar het helpt wel om de aandacht van topmanagers te krijgen. In het bedrijfsleven gebeurt er immers alleen iets als het in de top van de organisatie pijn gaat doen. Robbert Hoeffnagel is hoofdredacteur van Infosecurity Magazine (NL/BE)

Copyright © 2015 WatchGuard Technologies, Inc. All Rights Reserved. * Report TB141118, Miercom, 2014, http://bit.ly/1yBAXGV

2

INFOSECURITY MAGAZINE - NR. 4 - NOVEMBER 2015

3

INHOUD

Bestrijding ransomware vraagt om integrale aanpak security 6 Ransomware is een groeiend probleem voor securityleveranciers, politie en justitie én voor ICT-gebruikers. Zowel consumenten als bedrijven kunnen het slachtoffer worden, zonder dat dit hun eigen schuld is. 9 Ben jij de rechtmatige eigenaar van je domeinnaam? 14 Optimaal risicomanagement onmisbaar bij inschatten van cyberrisico’s

Thru side panel for Microsoft Outlook Non-Repudiation

B2B MFT

Ad Hoc MFT

OpenPGP Mobile File Transfer

Secure Managed File Transfer

Integrated Global File exchange with Salesforce Seamless Enterprise Integration

OWASP

File-based Automation

MFT: more than File Sharing

Experts in Managed PCI Compliant File Transfer Software and Solutions for the Enterprise! Transport Encryption (“Data-in-Transit”)

Integration and Programmatic File Transfer

Comprehensive File Transfer for the Enterprise Automate, Integrate and Control Secure File Transfer

‘Security operations in eigen beheer kun je niet langer zelf’ 16 Waar veel aanbieders van security-oplossingen zich momenteel volledig richten op de Meldplicht Datalekken, kiest Ronald Prins van Fox IT voor een andere aanpak. Hij wijst er op dat het intern regelen van security operations voor vrijwel geen enkele IT-afdeling nog een haalbare kaart is. “Veel organisaties kijken hierbij vooral naar de technische kant: hebben wij wel voldoende expertise in huis om al die meldingen zelf af te handelen? Daarbij verliezen zij echter maar al te gemakkelijk de kosten die zij hiervoor moeten maken uit het oog.” Internet of trouble 20 Er is al veel gesproken over eventuele risico’s van de toenemende digitalisering van alledaagse apparaten. Het (doorlopend) verzamelen van (privacygevoelige) gegevens is veel security-experts een doorn in het oog. Vooral als je bedenkt dat het IoT ook met rap tempo onze industrie (nu al tot industrie 4.0 gedoopt), de gezondheidszorg (e-Health) en financiële sector (je account binnenkomen op basis van je stemgeluid) binnen holt. Is OpenStack wel veilig genoeg? 22 OpenStack is een software platform dat gebruikers een eigen cloudinfrastructuur kan bieden. 'Self-service' voor de instelling van resources maakte het platform populair, maar de beveiliging kreeg pas aandacht nadat intern gebrek eraan een serieus probleem werd. 24 Security-by-design voorkomt veel ellende 26 Culturele aspecten sterk bepalend voor kwaliteit IT-beveiliging Generatie Y wijst de weg op gebied van security 28 In navolging van Generatie Y eisen steeds meer gebruikers continu toegang tot al hun digitale services. Natuurlijk is het gebruiksgemak enorm als we altijd en overal kunnen bankieren, toegang hebben tot al onze gegevens en direct kunnen communiceren met vrienden en collega’s. Maar aan die 24/7-connectiviteit zitten ook risico’s. Alleen een zeer sterke vorm van authenticatie houdt ons en onze gegevens veilig. Maar hoe krijgen we dat voor elkaar? Vasco Data Security schreef er een interessante whitepaper over. 32 Programma, beursplattegrond, standhoudersoverzicht en alle informatie over Infosecurity.nl, Storage Expo en The Tooling Event. Bedrijven verwaarlozen online vertrouwen 54 Uit het toenemende aantal cyberaanvallen en een rapport over de mogelijke financiële gevolgen daarvan, blijkt dat bedrijven hun online vertrouwen verwaarlozen. Kevin Bocek, vice president security strategy & threath intelligence van Venafi pleit daarom voor beter beheren van encryptiesleutels en certificaten. 56 Cloudtelefonie en databeveiliging: een degelijke Duitse combinatie Security Analytics verbetert zicht op incidenten 58 Geen enkele organisatie heeft een compleet overzicht van alle bedreigingen. Sterker nog: veel bedrijven weten het nog niet eens als ze zijn gehackt. Dit blijkt onder andere uit een onderzoek van het SANS Institute. Security Analytics op basis van Big Data moet zorgen voor een ‘baseline’ waardoor er een beter zicht ontstaat op alles wat afwijkt van normaal en incidenten sneller worden opgespoord.

Experts in Managed File Transfer Software and Solutions!

66 Legal Look

VIACLOUD BV • BEECH AVENUE 54 • 1119 PW SCHIPHOL-RIJK • THE NETHERLANDS +31 (0)20-6586421 • WWW.VIACLOUD.NL • [email protected]

10

In een wereld waarin iedereen steeds meer met elkaar in verbinding staat, lijkt de scheidslijn tussen privé en openbaar naar de achtergrond te verdwijnen. Maar niet alleen vrienden en familie volgen ons makkelijker dan ooit. Ook volstrekte vreemden, het bedrijfsleven en overheden kijken mee. Weet u nog waar uw persoonsgegevens allemaal bewaard worden? Om een beeld te geven van de actuele ontwikkelingen op het gebied van privacy en dataprotectie, stelden we een aantal vragen aan Gerard Stroeve en Julian Vermolen. Beiden zijn Security & Privacy-specialisten bij Centric.

‘GOEDE BEVEILIGING DIENT BETAALBAAR TE ZIJN’

18

Er valt qua IT-beveiliging weinig meer te kiezen. Alle producten die virussen, hackers, botnets, datadieven en andere cybercriminelen buiten de deur houden presteren min of meer gelijk. Dat is althans de gedachte bij veel ICT-beheerders. Een leverancier in oplossingen voor IT-beveiliging kan zich echter nog wel degelijk onderscheiden, meent André Noordam, systems engineering manager bij Fortinet. “Beveiliging is altijd een mix van prestaties en snelheid tegenover budget en barrières. De leverancier die daar de juiste balans in weet te vinden, heeft een voorsprong op de concurrentie.”

COMPUTING EVERYWHERE VRAAGT OM

MEER BEWUSTWORDING

52

De smartphone is anno 2015 de gewoonste zaak van de wereld. Bellen, mailen, apps versturen, foto’s maken en vervolgens delen op social media. Het is net zo normaal als water uit de kraan en stroom uit het stopcontact. Niemand staat er meer bij stil dat de meest eenvoudige smartphone meer rekenkracht heeft in één apparaat dan waarover de NASA in de jaren ’60 beschikte voor het Apollo-project, dat zoals bekend leidde tot de eerste maanlanding. Deze vergelijking laat zien hoe enorm krachtig de technologie in slechts een paar decennia is geworden.

61 Blog Dennis Baaten: leg eerst een goede basis Edward Snowden zet is-sa op de kaart 62 Als beursorganisator zal je maar een spreker hebben die met een eenvoudige Google zoekopdracht maar liefst 36.400.000 hits oplevert. Eén waar de Verenigde Staten ook nog eens een opsporingsbevel naar heeft uitgevaardigd. De Zuid-Duitse NürnbergMesse heeft dit voor elkaar gekregen. Voor haar IT Securitybeurs it-sa had het Edward Snowden weten te strikken. 's Werelds bekendste klokkenluider sprak op 8 oktober, de laatste dag van de driedaagse beurs over cyberveiligheid. Infosecurity Magazine greep deze opmerkelijke zet aan om tijdens de afgelopen it-sa uitvoerig met Frank Venjakob, de directeur van de Messe, te spreken over de internationale ambitie van deze securitybeurs.

4

DOORSTAAT UW ORGANISATIE DE PRIVACY-PROEF?

MALWARE RUIMT JUNIPER VIA DE CLOUD OP

64

Het Amerikaanse bedrijf Juniper heeft het beveiligen van bedrijfsnetwerken tot een van zijn kernactiviteiten verklaard. Tijdens een recent georganiseerd evenement in London introduceerde het in Californië (Santa Clara) gevestigde bedrijf een anti-malware oplossing die vanuit de cloud werkt. Het systeem biedt een adequate beveiliging en is volledig cloud gebaseerd. Daardoor kunnen firewalls en beveiligingsregels van zakelijke netwerken of complete campussen optimaal geconfigureerd worden. INFOSECURITY MAGAZINE - NR. 4 - NOVEMBER 2015

5

RANSOMWARE

Dreiging is niet nieuw maar wordt steeds serieuzer

BESTRIJDING

RANSOMWARE VRAAGT OM INTEGRALE AANPAK SECURITY Ransomware is een groeiend probleem voor securityleveranciers, politie en justitie én voor ICT-gebruikers. Zowel consumenten als bedrijven kunnen het slachtoffer worden, zonder dat dit hun eigen schuld is. Ransomware is kwaadaardige software die binnendringt op pc’s, smartphones, netwerkopslagapparaten (NAS-systemen, network attached storage) en andere computers om daar kostbare bestanden te gijzelen. Dat gijzelen gebeurt door de data te versleutelen met krachtige encryptie. Vervolgens krijgt het slachtoffer een melding te zien waarin de gijzeling wordt aangekondigd, met de losgeldeis

en instructies voor betaling. De alsmaar groeiende digitalisering van de maatschappij, inclusief het zakenleven, zorgt voor een flinke impact van deze digitale misdaad. VAN VANDALISME NAAR BUSINESS Maar eigenlijk is het geen nieuw probleem, weet Wim van Campen, vice-pre-

sident voor Noord- en Oost-Europa bij Intel Security (voorheen McAfee). “het versleutelen van netwerkdrives gebeurde al in de jaren negentig. Toen was het vandalisme. De encryptie was zwakker en werd bovendien geheel in software gedaan.” Anno nu is ransomware echter serieuze business voor cybercriminelen, vertelt hij. Het verbaast hem dan ook niet dat de voorgeschotelde gijzelingsmeldingen zijn voorzien van duidelijke instructies voor ‘de klant’. “Ze zijn slim en bieden zelfs een soort helpdesk.” De ingezette malware is professioneel gemaakt en

wordt ook net zoals gewone software gedistribueerd en middels licenties en royalties verstrekt aan de mensen die dit daadwerkelijk inzetten om geld te verdienen. De digitale afpersers zijn maar zelden de makers van de ransomware. MODERNE MIDDELEN AANWENDEN De datagijzeling zelf gebeurt met krachtige encryptie die bovendien gebruikmaakt van aanwezige hardware bij slachtoffers. De gijzelnemers benutten de cryptomogelijkheden van je machine, waarschuwt Van Campen. Dit kunnen bepaalde eigenschappen van moderne processors zijn om encryptie veel sneller te laten verlopen. Maar het kan ook een ingebouwde encryptievoorziening van een besturingssysteem zijn dat dan wordt misbruikt voor de gijzelneming. “Zoals Keychain op OS X.” Daarnaast is ransomware geen statisch fenomeen. Net zoals reguliere software geregeld wordt verbeterd en uitgebreid, krijgen ook ransomwareprogramma’s updates van de makers. Bijvoorbeeld betere encryptie en nieuwe manieren om computers van slachtoffers binnen te dringen. Deze technische verfijningen komen naast twee basale zaken die de ransomwaredreiging nu juist zo groot maken. ONKRAAKBAAR Van Campen spreekt van een omslag dankzij Bitcoin en public-private key encryptie. Laatstgenoemde zorgt voor een versleuteling van de gegijzelde gegevens die effectief onkraakbaar is. Eerstgenoemde zorgt voor een veilig en in de praktijk nagenoeg ontraceerbare betaalmogelijkheid. Bitcoin is een virtuele valuta die via een peer-to-peer netwerk anoniem valt uit te wisselen. De ransomware-uitbaters maken gebruik van ontwikkelingen in de ICT-markt, vat Van Campen samen. “Maar dan voor een ander doel.” Van Campen vertelt dat de geëiste bedragen sluw zijn bepaald: relatief laag. Het is een orde van grootte in euro’s die heel redelijk lijkt, zo stelt hij. Wanneer het losgeld te hoog is, kan een slachtoffer zich bedenken of dat het wel waard is. “Het is gewoon business”, legt van Campen de ‘prijssensitiviteit’ van de afpersers uit. “De crux is dat eenmaal gegijzelde data niet te ontsleutelen is”, geeft

6

Wim van Campen, vice-president Noord- en Oost-Europa, Intel Security Van Campen aan. De door ransomware aangewende encryptie is van dusdanige kracht dat kraken niet aan de orde is. Dit ondanks de vooruitgang in rekenvermogen die standaard beschikbaar is. De vice-president van Intel Security geeft aan dat er wel twee uitzonderingen zijn voor de onkraakbaarheid van gegijzelde gegevens. TWEE (ZELDZAME) UITZONDERINGEN De eerste uitzondering is als de datagijzelnemers een fout hebben gemaakt in het gebruikte algoritme voor het versleutelen. Dan is de versleuteling toch niet zo sterk als gedacht en valt de code alsnog te achterhalen. Dit was recent het geval bij een ransomwaregeval dat is uitgeplozen door securityspecialist Fox-IT. De tweede uitzondering is als bij invallen of

onderzoeken door de politie de digitale administratie van de gijzelnemers in handen komt van de autoriteiten of van security-experts. Dan zijn de decryptiesleutels uit te delen aan de slachtoffers. Dit was het geval bij een onderzoek door securityleverancier Kaspersky. Deze twee uitzonderingen hebben tot op heden al enkele duizenden slachtoffers van ransomware uit de brand weten te helpen. Dit lijkt dus hoop te bieden, maar de realiteit is dat de twee uitzonderingen maar zelden voorkomen en dat de duizenden geholpen consumenten en ondernemingen relatief een klein aantal zijn. Niet alleen zijn er wereldwijd vele slachtoffers, waarvan een groot aantal onbekend is doordat ze het stil houden. Ook zijn er diverse ransomwarevarianten en achterliggende criminele bendes actief.


7

BLOG

Bron: McAfee Labs Threats Report mei 2015

RANSOMWARE

HET FALEN VAN ANTIVIRUS? Veel mensen - consumenten en ook zakelijke gebruikers - rekenen op bestaande securitysoftware om zich te beschermen tegen digitale dreigingen, inclusief ransomware. Helaas blijkt dit in de praktijk niet altijd te werken. Waarom faalt antivirus in het tegenhouden van ransomware? Van Campen weet het antwoord, of eigenlijk: de antwoorden. “Antivirus beschermt je tegen bedreigingen die al bekend zijn.” Malware wordt tegenwoordig zeer goed en in snelle afwisseling gemaskeerd. Dat maskeren gebeurt op meerdere niveaus. Enerzijds op het niveau van eindgebruikers, die dan bijvoorbeeld een bestand per mail krij-

kers, het technisch vermommen verhindert herkenning door securitysoftware. “Elk ransomwarebestand is uniek.” Dit verklaart ook het enorme opbloeien van ransomware. “We hebben in het tweede kwartaal al 1,2 miljoen nieuwe varianten gezien”, aldus Van Campen. Hij verwijst naar het Threats Report dat Intel Security elk kwartaal uitbrengt. “Het blijft een beetje dweilen met de kraan open, maar technische oplossingen zijn zeker niet kansloos”, vervolgt Van Campen. CYBERWAPENWEDLOOP Dreigingen scannen op gedrag is mogelijk, maar blijkt lastig. “Ransomware opent

'De crux is dat eenmaal gegijzelde data niet te ontsleutelen is' gen toegezonden er uitziet als een Excelof PDF-bestand. “Compleet met het xlsof pdf-icoontje.” Dan zullen de meeste gebruikers niet aarzelen om het bestand te openen, waarna ze de ransomwarebesmetting te pakken hebben. TELKENS SLUW VERMOMMEN Anderzijds gebeurt het maskeren op softwareniveau. Door gebruik van uiteenlopende technieken krijgt ransomware telkens andere bestandsgroottes, andere inhoud van de malafide software zelf, enzovoorts. Het vermommen met icoontjes voorkomt wantrouwen bij eindgebrui8

een bestand, doet iets en slaat het weer op. Dat is heel normaal gedrag.” Wel is het zo dat ransomware zodra het start even contact legt met zijn server voor de unieke encryptiesleutel waarmee het dan bestanden gaat vergrendelen. “Maar de policy bij bedrijven is dat uitgaand verkeer in de regel gewoon wordt toegestaan, zonder beperkingen.” Een effectievere scanmethode is het uitvoeren van mogelijk verdachte programmatuur in isolatie, in een zogeheten sandbox. Met statische analyse van de code valt volgens Van Campen zo’n 60 procent van de kwaadaardige software te

onderscheppen. Met behulp dynamische code-analyse valt dat percentage nog te verhogen. De makers van ransomware volgen deze ontwikkelingen echter ook en anticiperen daar op, waar securityleveranciers vervolgens weer op reageren. “Het is een ratrace”, bevestigt Van Campen. AWARENESS Security moet dan ook veel meer geïntegreerd worden, betoogt hij. “We moeten af van de losse point solutions en over naar integratie.” Die overgang naar een bredere en holistische aanpak moet ook op een metaniveau: tussen bedrijven onderling en zelfs wereldwijd en in de hele security-industrie. Ransomware is tegenwoordig namelijk een internationale business die ook verschillende markten en specifieke doelgroepen op de korrel neemt. “Spear phishing – waarbij slachtoffers heel doelgericht worden benaderd met een phishing e-mail – is heel belangrijk voor de digitale afpersers.” De securitytopman argumenteert nog dat voorlichting momenteel misschien wel de belangrijkste bescherming is tegen ransomware. Er heerst volgens hem te veel een houding van ‘Dat overkomt mij niet’. “Ik zie dat ook bij bedrijven waar ransomware soms zelfs wel meerdere keren heeft toegeslagen”, zegt Van Campen. Hij schrikt wel eens hoe nonchalant bedrijven met hun eigen security kunnen zijn. Voorkomen is hierbij een groot deel van ‘de oplossing’ en daar speelt awareness een belangrijke rol. Jasper Bakker, Freelance tech- en internetjournalist

BEN JIJ

DE RECHTMATIGE EIGENAAR VAN JE DOMEINNAAM? Ooit wel eens opgezocht wie een bepaalde domeinnaam geregistreerd heeft? Grote kans dat je hierbij gebruik hebt gemaakt van de zogenaamde Whois-gegevens van dat domein. In de Whois-gegevens kun je namelijk van een domein terugzoeken op wiens naam dit is geregistreerd. De Whois-gegevens werken als een soort telefoonboek voor domeinnamen.

De partij die verantwoordelijk is voor de registratie van onder andere .COM-domeinnamen is ICANN. Zij zijn degenen die de touwtjes in handen hebben en onder andere ook de regels opstellen voor de Whois-gegevens. ICANN stelt dat Whois-gegevens te allen tijde waarheidsgetrouw moeten zijn en behoudt zich het recht voor een domeinnaam offline te halen als ze merken dat de Whois-gegevens incorrect zijn. Er valt zeker wat te zeggen voor deze regelgeving. Het zorgt ervoor dat je altijd kunt terugvinden wie de eigenaar van een bepaald domein is en dat je contact met hem of haar kan opnemen. Heb je interesse in een overname van een domein? Check de Whois-gegevens. Heb je technische problemen met een website? Check de Whois-gegevens. Het bereikbaar zijn van de domeinhouder is dus heel fijn voor mensen die goede intenties hebben.

Helaas is niet iedereen zo braaf. Ook spammers en andere kwaadwillende partijen maken dankbaar gebruik van deze contactgegevens die met 1 klik op de knop op te vragen zijn. Er zijn zelfs partijen actief die mensen aan de hand van hun Whois-gegevens telefonisch benaderen om ze met een leugenachtig verhaal domeinen bij hen te laten kopen tegen uitzinnige prijzen. Je zou zeggen dat de oplossing van het probleem simpel is: maak je Whois-gegevens anoniem. Het anonimiseren of gebruiken van incorrecte Whois-gegevens is echter uitdrukkelijk verboden door ICANN. Sommige registrars bieden wel zogenaamde Whois-protection services aan, waarbij ze bijvoorbeeld domeinnamen op naam van hun bedrijf zetten. Het gevaar hierbij is dat dit gevolgen heeft voor het juridisch eigenaarschap. De houder zoals bekend in de Whois-gegevens is degene die het recht op het

gebruik van de domeinnaam heeft. De houder heeft dus de macht over de domeinnaam en kan bijvoorbeeld altijd de verhuiscode van het domein opvragen. Mocht er ooit onenigheid over een domeinnaam ontstaan, dan heeft de houder het recht over het domein te beslissen. In het geval dat je echter niet kunt aantonen dat jij de houder bent, omdat je gebruikmaakt van Whois protection, dan is het domein simpelweg niet jouw rechtmatig bezit. Als je een domeinnaam registreert dan is het dus belangrijk goed op te letten dat deze op jouw naam (of de naam van je bedrijf) geregistreerd staat. Op die manier behoud jij de controle over je domeinnaam en sta je te allen tijde sterk. Onze vraag aan jou: ben jij juridisch ook eigenaar van je domein(en)? Roze-Marijn Ammerlaan is werkzaam bij TransIP


9

PRIVACY

DOORSTAAT

UW ORGANISATIE DE PRIVACY-PROEF?

In een wereld waarin iedereen steeds meer met elkaar in verbinding staat, lijkt de scheidslijn tussen privé en openbaar naar de achtergrond te verdwijnen. Maar niet alleen vrienden en familie volgen ons makkelijker dan ooit. Ook volstrekte vreemden, het bedrijfsleven en overheden kijken mee. Weet u nog waar uw persoonsgegevens allemaal bewaard worden? Om een beeld te geven van de actuele ontwikkelingen op het gebied van privacy en dataprotectie, stelden we een aantal vragen aan Gerard Stroeve en Julian Vermolen. Beiden zijn Security & Privacy-specialisten bij Centric.

10


11

PRIVACY langrijker worden van digitale informatie in ons dagelijks leven. Het is nu eenmaal veel moelijker grip te houden op digitale gegevens dan op een vel papier.” Vermolen:“Eenmaal op het internet, kan informatie zich razendsnel verspreiden. Daarna is het vrijwel onmogelijk om te achterhalen waar de gegevens allemaal zijn opgeslagen. Bovendien worden gegevensverzamelingen steeds vaker ‘aan elkaar geknoopt’ om zo functionele of commerciële voordelen te behalen. En natuurlijk vraagt ook de populariteit van sociale media als Twitter en Facebook aandacht voor privacy. Doordat de vraagstukken die hieruit volgen door de huidige wetgeving maar moeilijk beantwoord worden, is het belangrijk dat er passende en eenduidige nieuwe regels komen.”

OM PRIVACY IS DE LAATSTE JAREN VEEL TE DOEN, MAAR WAT IS HET NOU PRECIES? Stroeve: “Goede vraag, want niet iedereen heeft hetzelfde idee van wat privacy precies is. Zelfs de gevestigde bronnen zijn er vaag over. In het woordenboek, bijvoorbeeld, staat privacy omschreven als ‘de mogelijkheid om in eigen omgeving helemaal zichzelf te zijn’. Juridisch gezien draait het vooral om de bescherming van ‘de persoonlijke levenssfeer’.

mag gaan, en de relationele privacy, ook wel het brief-, telefoon- en telegraafgeheim genoemd. Tot slot is er het recht op informationele privacy, het recht om in de beslotenheid van je persoonlijke levenssfeer met rust te worden gelaten en om bijvoorbeeld niet te worden afgeluisterd. Als het in de actualiteit gaat over privacy, dan gaat het vaak om de beschermde (digitale) verwerking van persoonsgegevens. Dat valt ook onder de informationele privacy.”

'Het is nu eenmaal veel moelijker grip te houden op digitale gegevens dan op een vel papier' Dat is uiteraard vrij subjectief en dat maakt privacy tot op zekere hoogte een ongrijpbaar begrip.” Vermolen: “Je kunt vier vormen van privacy onderscheiden. Zo is er de lichamelijke privacy, omschreven als het recht om zelf te bepalen wat er met je lichaam gebeurt. Dan heb je de ruimtelijke privacy, het feit dat niemand zonder jouw toestemming bijvoorbeeld je huis binnen 12

WAAROM IS HET JUIST NU ZO’N BELANGRIJK ONDERWERP? Stroeve: “Vooropgesteld: privacy is altijd al een belangrijk goed geweest en ons recht erop is vastgelegd in de grondwet. Maar inderdaad, de laatste jaren krijgt met name die informationele privacy meer aandacht. Dat hangt direct samen met de technologische ontwikkelingen van de laatste jaren en het steeds be-

ZITTEN DIE REGELS ERAAN TE KOMEN? Vermolen:“Ja, zeker. Zowel binnen Nederland als op Europees niveau wordt er aan nieuwe wetgeving gewerkt. Afgelopen zomer is er in Nederland bijvoorbeeld al de Meldplicht Datalekken aangenomen. Deze wet wordt per 1 januari 2016 van kracht als onderdeel van de Wet Bescherming Persoonsgegevens. Organisaties die getroffen worden door hackers of op een andere manier een datalek ten aanzien van persoonsgegevens ontdekken, zijn voortaan in bepaalde gevallen verplicht dit te melden aan de betrokkenen en het College Bescherming Persoonsgegevens.” Stroeve: “Een andere interessante en omvangrijke ontwikkeling speelt op Europees niveau. In januari 2012 deed de Europese Commissie een voorstel voor een zogenaamde Algemene Verordening Gegevensbescherming. Als die er komt, zal dat een enorme vooruitgang zijn. Alleen al omdat de huidige richtlijn stamt uit 1995 en door de lidstaten op nationaal niveau vrij geïnterpreteerd kan worden. De komende verordening is meer dan een richtlijn en moet worden gezien als wetgeving. Deze zal zonder omzetting rechtsreeks en onverkort van toepassing zijn in alle Europese lidstaten.” WAT GAAT DIE EUROPESE WETGEVING BETEKENEN VOOR DE LEZERS VAN DIT BLAD? Stroeve: “Wat de exacte inhoud van de verordening zal zijn, is nog onderwerp van onderhandeling. Er zijn de afgelopen jaren al enorm veel wijzigingsvoorstellen behandeld en ook op dit moment

'Het tijdig treffen van voorbereidingen helpt om de eisen vanuit de nieuwe wetgeving soepel te implementeren' wordt er nog over onderhandeld. Maar op hoofdlijnen is er zeker al het een en ander bekend en is het wel duidelijk dat de Europese wetgeving op veel punten verder gaat dan de huidige Nederlandse regels.” Vermolen:“Zo wordt er structurele, specifieke aandacht gevraagd voor privacy binnen de processen waarin persoonsgegevens worden verwerkt. Privacy wordt nadrukkelijk niet meer facultatief. Daarnaast is een belangrijke verandering dat er forse sancties verbonden worden aan het niet op orde hebben van de privacy. Stroeve: “De verwachting is dat de onderhandelingspartijen, de Europese Commissie, het Europees Parlement en

de Raad van Europa, het aan het eind van het jaar wel eens zijn. Daarna zal de wetgeving vrij snel worden ingevoerd, met een overgangsperiode van zo’n twaalf tot achttien maanden.” Vermolen:“Dat lijkt een lange periode, maar gezien de voor organisaties ingrijpende aspecten van de nieuwe wetgeving valt dat wel mee. Ons advies is om niet te wachten, maar om alvast aan de slag te gaan met de voorbereidingen op die nieuwe regels.” WAT VOOR STAPPEN KUNNEN ORGANISATIES NU AL ZETTEN? Vermolen:“Vanuit Centric ondersteunen wij organisaties bij de voorbereiding op de nieuwe Europese wetgeving. Je kunt

daarbij op zowel strategisch als tactisch en operationeel niveau al hele concrete stappen zetten. Stroeve: “Kijk je er op bestuurlijk of strategisch niveau naar, dan kun je alvast een visie en een strategie rondom privacy formuleren. Denk na over hoe de aandacht voor privacy geborgd wordt en over hoe je het proces rondom privacy gaat inrichten. Wie wordt bijvoorbeeld verantwoordelijk voor de coördinatie van de verschillende activiteiten op dit vlak?” Vermolen: “Op tactisch of operationeel niveau is het een goede stap om vooral inzicht en overzicht te krijgen. Dat betekent dat je goed kijkt naar welke verwerkende processen er zijn en welke persoonsgegevens daarin gebruikt worden. Daarna volgt de vraag: in hoeverre voldoen deze verwerkende processen al aan de diverse componenten van de aanstaande wetgeving? Kortom: hoe goed voldoet u op dit moment al aan de regels van de nabije toekomst? Het tijdig treffen van voorbereidingen helpt om de eisen vanuit de nieuwe wetgeving soepel te implementeren. Zo doorstaat uw organisatie uiteindelijk de ‘privacy-proef’.

TIEN HOOFDPUNTEN VAN DE EUROPESE PRIVACY VERORDENING 1. Beleid, visie en strategie Organisaties dienen bewust aandacht te geven aan de passende bescherming van persoonsgegevens. Dit vraagt om een heldere visie, een gedegen strategie en de inrichting van een privacyproces.

4. Recht op informatie, rectificatie en vergetelheid Organisaties zijn verplicht persoonsgegevens te verstrekken, aan te passen en/of volledig te wissen als de betreffende persoon daar om vraagt.

2. Functionaris Gegevensbeheer Organisaties die (gevoelige) persoonsgegevens verwerken, zijn - afhankelijk van de grootte van die organisatie - verplicht een Functionaris voor Gegevensbescherming aan te stellen.

5. Passende informatiebeveiligingsmaatregelen Organisaties dienen de persoonsgegevens te beschermen met passende technische en organisatorische beveiligingsmaatregelen. Dit betekent dat de maatregelen volgen uit een risicoanalyse, aansluiten bij de standaarden in de markt en worden geïmplementeerd conform de opvatting ‘data protection by default and design’.

3. Transparantie en toestemming Organisaties moeten hun privacy policy in heldere, begrijpelijke taal inzichtelijk maken. Bovendien moet expliciete toestemming van de betrokkenen worden verkregen voor het verwerken van persoonsgegevens.

6. Privacyeffectbeoordeling Voor bepaalde verwerkingen dient de organisatie een beoordeling uit te voeren van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens.

7. Meldplicht datalekken Een inbreuk in verband met persoonsgegevens moet zonder onnodige vertraging en zo mogelijk binnen 24 uur aan de toezichthoudende autoriteit gemeld worden. 8. Documentatieplicht Organisaties zijn verplicht verwerkingen die onder hun verantwoordelijkheid worden verricht, te documenteren conform vastgestelde richtlijnen. 9. Gegevensverstrekking aan buitenlandse overheden Organisaties mogen geen persoonsgegevens verstrekken aan buitenlandse overheden zonder wettelijke basis. 10. Versterking sancties en toezicht Organisaties die zich niet aan de regels houden, riskeren boetes oplopend tot vijf procent van de wereldwijde omzet.


13

RISK MANAGEMENT

Aanvallers evolueren snel en wetgeving wordt aangescherpt

OPTIMAAL RISK MANAGEMENT ONMISBAAR BIJ

INSCHATTEN VAN CYBERRISICO’S

De digitale wereld brengt organisaties een groot goed op het gebied van efficiency en slagvaardigheid. ICT ondersteunt alle moderne bedrijfsprocessen en zorgt voor een vitale infrastructuur. De criminele wereld heeft ontdekt dat er in deze digitale maatschappij veel geld te verdienen valt. Cybercriminelen zijn steeds meer financieel gemotiveerd geraakt en er is duidelijk sprake van een trend van ‘hacking for fame’ naar ‘hacking for fortune’. Methoden van cybercriminelen evolueren daarbij sneller dan security. Wat kunnen we daar tegen doen?

& non-profit) moeten op straffe van sancties en boetes onverwijld melding doen bij datalekken van privacy gevoelige gegevens. Het CBP wordt de Autoriteit Persoonsgegevens en krijgt een zelfstandige bevoegdheid tot het opleggen van sancties en boetes. Deze boetes kunnen oplopen tot een maximum van € 810.000. Niet alleen de verantwoordelijken, maar ook bewerkers en medeplegers (feitelijk leidinggevenden) kunnen een boete opgelegd krijgen.

maar aan verlies van bedrijfsinformatie of personeelsgegevens, verzuimgegevens, het in verkeerde handen komen van offertes, schade aan het IT-netwerk, aansprakelijkheid claims en reputatieschade.

De eerst logische reactie van de organisatie om het datalek intern te houden is dan dus niet meer wenselijk. Onverwijld moet de organisatie gekwantificeerd en gekwalificeerd de Autoriteit informeren over welke data gelekt zijn en wat de organisatie voor maatregelen treft. Daarnaast moet de organisatie alle betrokkenen informeren wanneer het datalek (een kans op) nadelige gevolgen voor betrokkenen heeft.

‘Dat overkomt ons niet’ is een veelgehoorde reactie op de vraag of een organisatie voldoende beschermd is tegen cyberaanvallen. Bestuurders en directieleden van organisaties zijn vaak van mening dat de ICT-beveiliging afdoende is. Er is immers flink geïnvesteerd in technische middelen zoals firewalls, malware detection, access management, en dergelijke. De digitale risico’s worden door ondernemers echter zwaar onderschat en er is veelal geen duidelijk beeld van de gevolgschade. De gevolgen van cybercrime voor de organisatie kunnen erg groot zijn. Denk

MELDPLICHT DATALEKKEN Een extra dimensie voor de bewustwording van de financiële risico’s van een cyberincident is de komst van nieuwe wettelijke regels. Op 1 januari 2016 zijn de aanpassingen van de huidige WBP (Wet Bescherming Persoonsgegevens) van kracht. Een onderdeel van deze aanpassing is de nieuwe Meldplicht Datalekken. Organisaties (bedrijven, overheden

CONTRACTEN EN PRIVACY MANAGEMENT Het is dus zaak dat de onderneming in kaart brengt hoe data kunnen lekken en

Wat kost een cyberincident / een datalek? ® Melding CbP

24 uur

14

48 uur

Hoeveel denkt u dat directe en indirecte kosten zoals imagoschade zullen bedragen?

met welke bewerkers (ICT-bedrijven, hosting-aanbieders, cloud-leveranciers en dergelijke) zaken wordt gedaan. De organisatie zal nieuwe afspraken moeten maken voor het signaleren en informeren van datalekken. Bestaande contracten moeten mogelijk worden aangepast. Een aanbieder als CYCO kan bewerkingsovereenkomsten en IT-contracten actualiseren naar de nieuwe wetgeving. De meldplicht en andere verordeningen zullen een hele nieuwe fase inluiden in de bewustwording van cyberrisico’s. Organisaties zijn immers tot nu toe geneigd om bij ieder datalek vooral zo weinig mogelijk publiciteit hieraan te geven vanwege een reële reputatie- en imagoschade. Door de meldplicht zal aan veel meer incidenten ruchtbaarheid moeten worden gegeven. KWETSBAARHEDEN Voor organisaties is het belangrijk antwoord te kunnen geven op de vraag waar de kwetsbaarheden die een cyberrisico vormen zich precies bevinden. En wat waardevolle data is en dan niet alleen in de ogen van de organisatie, maar ook hoe een cybercrimineel dit beoordeelt. Het is de verantwoordelijkheid van iedere organisatie om persoonsgegevens te verwerken overeenkomstig de bepalingen in de Wet Bescherming Persoonsgegevens. Door de enorme groei van digitale opslag en de opkomst van externe dataopslag groeit ook het gevaar van het overtreden van privacyregels. De hoofdverantwoordelijkheid ligt bij de bestuurder van de organisatie - ook als het datalek plaatsvindt bij bijvoorbeeld een cloud provider. Bovendien constateren wij dat cybersecurity in toenemende mate onderdeel gaat uitmaken van de beoordeling van de kredietwaardigheid van de organisatie. Dit heeft weer een impact op de financierbaarheid van de organisatie. CYBER RISICO ANALYSE CYCO biedt organisaties een complete analyse van de specifieke cyberrisco’s binnen de onderneming. Het bedrijf krijgt waardevolle managementinformatie waar de organisatie direct mee aan de slag kan. De CRA start met een nulmeting. Deze nulmeting geeft inzicht in de volwassenheid van de huidige maatregelen binnen de organisatie per aandachtsgebied. Na de nulmeting bent u in staat

'De meldplicht en andere verordeningen zullen een hele nieuwe fase inluiden in de bewustwording van cyberrisico’s' om per aandachtsgebied bewuste keuzes te maken. We adviseren u vervolgens door concrete aanbevelingen te geven en hierin prioriteit te bepalen. De grootste risico’s dienen als eerste te worden gemitigeerd. We werken daarin graag samen met (bestaande) IT-partners. BEWUSTZIJN Organisaties leggen bij informatiebeveiliging vaak sterk de nadruk op de techniek. In de praktijk blijkt dat technische maatregelen weliswaar noodzakelijk zijn, maar zeker niet afdoende zijn om voldoende bescherming te bieden. Beveiligingsmaatregelen tegen cybercrime-risico’s zijn zo sterk als de zwakste schakel. En dat is vaak de mens. Organisaties zullen - mede door invoering van de eerdergenoemde meldplicht - zelf interne protocollen moeten opstellen om te voldoen aan een adequaat veiligheidsniveau. CYCO helpt ondernemingen bij het analyseren van de risico’s en financiële gevolgen van systeeminbraken en datalekken. Een belangrijk onderdeel daarbij is kennisoverdracht op het gebied van risicobewustwording van iedereen binnen de organisatie. Dat gebeurt via workshops en masterclasses met een zo-

genaamde ‘hacker experience’. Tijdens deze trainingen laat een ethische hacker zien hoe cybercriminelen te werk gaan. Hierdoor kunnen medewerkers mogelijke risico’s zelf gaan herkennen en hier actie op ondernemen. RISICO’S INSCHATTEN De kosten van een cyberincident of datalek lopen snel op. Denk eens aan IT-kosten, forensische experts, imagoschade en advocaatkosten. De cybercrime-verzekering is in Nederland een nieuw product. Er zijn nog maar weinig verzekeraars die een volwaardig product bieden. In landen als de Verenigde Staten en Groot-Brittannië zijn deze verzekeringen al veel langer gemeengoed. Het Verbond van Verzekeraars schrijft in haar Position Paper oktober 2013 ‘Virtuele risico’s, echte schade’ dat de behoefte in Europa sterk toeneemt. Experts verwachten dat op termijn een verzekering voor het cyberrisico net zo gangbaar is als een brandinbraak verzekering. Wouter Parent en Robert van der Vossen zijn beiden werkzaam bij CYCO Cybercrime Cover


15

INTERVIEW

Ronald Prins (Fox-IT) over technische skills én productiviteit:

‘SECURITY OPERATIONS IN EIGEN BEHEER KUN JE NIET LANGER ZELF’

Waar veel aanbieders van security-oplossingen zich momenteel volledig richten op de Meldplicht Datalekken, kiest Ronald Prins van Fox-IT voor een andere aanpak. Hij wijst er op dat het intern regelen van security operations voor vrijwel geen enkele IT-afdeling nog een haalbare kaart is. “Veel organisaties kijken hierbij vooral naar de technische kant: hebben wij wel voldoende expertise in huis om al die meldingen zelf af te handelen? Daarbij verliezen zij echter maar al te gemakkelijk de kosten die zij hiervoor moeten maken uit het oog.” Productiviteit is niet de eerste kreet waar veel mensen aan zullen denken als we het over IT-security hebben. Toch is dat voor Ronald Prins van Fox-IT een belangrijk en helaas ook vaak vergeten thema. Misschien past het ook wel in de rationalisering - of misschien moeten we wel zeggen: professionalisering - van deze discipline. BELANGRIJKE DENKFOUT “Veel organisaties vinden IT-security zo belangrijk, dat zij dit per se in eigen beheer willen doen. Daarmee maken ze

in mijn ogen een belangrijke denkfout. Security operations kun je als bedrijf of overheidsinstelling niet meer zelf. De hoeveelheid incidenten die je moet afhandelen is daar veel te groot voor. Bovendien gebruiken cybercriminelen technieken die steeds geavanceerder worden en hun werkmethoden veranderen ook nog eens razendsnel. Dat kun je als organisatie niet meer bijhouden. Daar heb je gespecialiseerde mensen voor nodig die de hele dag niets anders doen. Het gaat daarbij overigens niet alleen om kennis. Het is ook heel belangrijk dat de security-medewerkers voortdurend uitgedaagd worden. Alleen dan kunnen zij de cybercriminelen bijhouden.” SECURITY OPERATIONS CENTER De basis voor wat ook wel managed security operations wordt genoemd, vormt het security operations center (SOC). In een SOC komen drie disciplines bij elkaar, zegt Prins: technologie voor het waarnemen en analyseren van incidenten, de skills van de security-specialisten die de waargenomen incidenten beoordelen en behandelen en tenslotte intelligence. Dit laatste punt is in de ogen van Prins erg belangrijk. “Met goede tools kun je heel veel incidenten waarnemen en in kaart brengen. Maar hoe goed je medewerkers ook zijn, je hebt heel veel kennis nodig over wat er allemaal gebeurt. Die kennis gebruik je om bijvoor-

beeld malware uit elkaar te rafelen en te onderzoeken waar dat stukje software nu precies voor bedoeld is. Wat we bij de ene klant zien gebeuren, kan ook relevant zijn voor een andere relatie. Doordat wij voor heel veel bedrijven werken, bouwen wij dus heel veel intelligence op waar alle klanten weer van profiteren.” CYBER THREAT MANAGEMENT PLATFORM Langzaam maar zeker ziet Prins dat meer bedrijven en overheidsorganisaties security operations gaan uitbesteden aan gespecialiseerde aanbieders. Desondanks wil men zelf blijven zien wat er gebeurt. “Daar hebben wij een portal voor ontwikkeld - wij noemen dat het Cyber Threat Management platform. Daarin hebben we een aantal functies bij elkaar gebracht. Aan de ene kant is dat - wat ik maar zal noemen - de techniek. Wij plaatsen op goed gekozen plekken in het netwerk van een klant sensoren die het inen uitgaande dataverkeer bekijken. Die sensoren hebben wij zelf in eigen beheer ontwikkeld. Zij geven een heleboel meldingen aan ons door van gebeurtenissen die als niet normaal beschouwd kunnen worden. Al die incidenten geven we op het Cyber Threat Management platform weer. Na een eerste analyse kunnen we daar de false positives uit filteren. Ook dat aantal geven we weer. Zo voeren we een aantal analysestappen uit. Uiteindelijk escaleert een aantal incidenten door naar onze security-specialisten. Zij bekijken zo’n incident en onderzoeken wat er precies aan de hand is. En lossen het op door bijvoorbeeld de klant een advies te geven over de te nemen maatregelen.” BEDRIJFSECONOMISCHE AFWEGING “Al dit soort gegevens worden zichtbaar gemaakt in de portal die iedere klant kan gebruiken. Daarmee ziet men dus ook hoeveel werk wij voor hen verzetten. En

Het Security Operations Center (SOC) van Fox-IT

dus in feite uit handen nemen. En dat zou ik de tweede functie van ons Cyber Threat Management platform willen noemen. Het geeft hen de cijfers om zelf een bedrijfseconomische afweging te maken: stel dat ik zelf met eigen mensen die tienduizenden incidenten per dag zou moeten analyseren, wat zou mij dat dan kosten? En hoeveel budget zou ik moeten uitgeven om uit al die incidentmeldingen de false positives te halen? Wat zijn nu mijn kosten per gemeld incident, en hoeveel zou ik moeten investeren om zelf alle onterechte meldingen eruit te halen? En wat zou ik daarnaast moeten investeren in alle incidenten die wel terecht blijken? Hierbij realiseert men zich natuurlijk ook dat wij tal van zelf ontwikkelde algoritmen gebruiken om bijvoorbeeld false positives uit de reeks incidenten te halen. Waar wij veel analyses kunnen automatiseren, zouden zij dat zelf nooit op die manier kunnen aanpakken.” INVESTERINGEN OPTIMALISEREN Prins is de eerste om te erkennen dat het een open deur is om te stellen dat cybercriminelen razendsnel nieuwe technologie en werkmethoden ontwikkelen. “Het

'Veel organisaties vinden IT-security zo belangrijk, dat zij dit per se in eigen beheer willen doen' wordt echter heel interessant als je daar een kreet als ‘productiviteit’ aan koppelt. De kernactiviteit van een bank is niet security, datzelfde geldt voor een transportbedrijf of een verzekeringsmaatschappij. Die ondernemingen willen daarentegen wel veilig kunnen werken, de informatie van hun klanten goed beschermen en commerciële informatie uit handen van onbevoegden houden. Dit soort bedrijven doen er dan goed aan om een bedrijfseconomische afweging te maken: hoe kan ik mijn investeringen in IT-security optimaliseren? Wat moet ik zelf doen en wat kan ik beter uitbesteden?” PRODUCTIVITEIT In de praktijk ziet Prins dat met name grote en internationaal opererende bedrijven nu kijken naar het uitbesteden

van security operations. Daarbij hanteren zij steeds vaker beoordelingscriteria als productiviteit. “Toch zie ik nog dat veel andere bedrijven vooral met de technische kant van IT-security bezig zijn. Zij hebben nog vaak het idee dat bedrijfsgegevens alleen in hun handen veilig zijn. Daardoor hebben zij het idee dat er dus weinig anders op zit dan dat zij zelf de security op zich nemen. Dat is zo langzamerhand toch echt een achterhaald idee. Zij hebben niet de mensen noch de schaalgrootte om echt bij te blijven op technisch gebied. En wie dan ook nog eens kijkt naar aspecten als ‘return on investment’ komt al snel tot conclusie dat het uitbesteden van dit gedeelte van hun IT-security verreweg de beste aanpak is.” Robbert Hoeffnagel

Ronald Prins

16


17

NEXT GENERATION FIREWALL

André Noordam (Fortinet):

‘GOEDE

BEVEILIGING DIENT BETAALBAAR TE ZIJN’ Er valt qua IT-beveiliging weinig meer te kiezen. Alle producten die virussen, hackers, botnets, datadieven en andere cybercriminelen buiten de deur houden presteren min of meer gelijk. Dat is althans de gedachte bij veel ICT-beheerders. Een leverancier in oplossingen voor IT-beveiliging kan zich echter nog wel degelijk onderscheiden, meent André Noordam, systems engineering manager bij Fortinet. “Beveiliging is altijd een mix van prestaties en snelheid tegenover budget en barrières. De leverancier die daar de juiste balans in weet te vinden, heeft een voorsprong op de concurrentie.”

De oplossingen van Fortinet waarborgen volgens Noordam de balans tussen kwaliteit en prijs, doordat alle producten volledig op elkaar zijn afgestemd en met elkaar zijn geïntegreerd. Dat is een van de voordelen van de Next Generation (NGFW) Firewall van Fortinet. Hierbij is het ook mogelijk om specifieke functies wel of niet te activeren op verkeersstromen. “Dat is echt onderscheidend”, zegt Noordam, “want bij veel concurrenten is het alles of niets, ongeacht de bedrijfsom-

vang of bedrijfsactiviteiten. Dat betekent dat zij veel meer verkeer controleren dan nodig is en dat gaat ten koste van de prestaties. Ook het budget lijdt daaronder, want de unit is twee keer zo duur als die van Fortinet.” BEVEILIGEN ALS EEN VLIEGVELD Fortinet wil met de NGFW-oplossing niet alleen kosten, frustraties en tijd besparen voor ICT-beheerders. “Het is tegenwoordig essentieel dat alle beveiligingmaatregelen samenwerken, omdat de cybercriminelen steeds geavanceerdere aanvallen bedenken”, weet Noordam. “Ze komen bovendien binnen via allerlei apparaten en apps die met internet verbonden zijn. Elke organisatie heeft op dit moment malware binnen de muren, dat is nu eenmaal een feit. Daarom moeten we beveiliging tegenwoordig heel anders aanpakken.” Volgens Noordam lijkt IT-beveiliging tegenwoordig op het beschermen van een vliegveld. “Het verkeer komt van alle kanten en controles vinden op meerdere punten plaats, ook achter eerdere controlepunten. De vragen zijn nu: waar kom je vandaan, waar ga je naartoe, wat zit er in je tas, wie heeft die ingepakt, kun je nog eens je paspoort laten zien, etc.” MOBIELE FLITSER VERSUS TRAJECTCONTROLE De firewall blijft vanzelfsprekend een kritieke component in die beveiliging en kruipt zelfs steeds dichter tegen het hart van dat netwerk aan. Bij steeds meer bedrijven staat de firewall voor de netwerklaag, ook wel bekend als laag 3 van het computernetwerk. De netwerklaag regelt het verkeer tussen de andere lagen met routers en switches. Deze treden op als wegwijzers en wegomleggingen om het verkeer zo goed en snel mogelijk te leiden. “Veel concurrerende firewalls staan vóór deze routers en switches en vormen zo wegblokkades die het verkeer vertragen”, zegt Noordam. “Fortinet heeft er daarom voor gekozen om de functionaliteit van de routers en switches te integreren in de firewall. De controles staan hierdoor de vrije doorgang van het verkeer niet meer in de weg.” “Het is hetzelfde verschil tussen een mobiele flitser en een trajectcontrole”, vervolgt Noordam. “Er staan regelmatig kilometerslange files omdat de politie een mobiele flitser heeft opgesteld. Iedereen

'Elke organisatie heeft op dit moment malware binnen de muren, dat is nu eenmaal een feit. Daarom moeten we beveiliging tegenwoordig heel anders aanpakken' trapt op de rem en vertraagt daardoor het achterliggende verkeer. Bij een trajectcontrole worden de overtreders ook gesnapt, maar iedereen kan wel gewoon doorrijden.” Dat het netwerkverkeer optimaal blijft stromen is bij bijna elke organisatie essentieel. “Er zijn op steeds meer fronten maatregelen nodig”, zegt Noordam. “Een goed voorbeeld daarvan is de financiële sector. Bij banken is tegenwoordig alles geautomatiseerd en verbonden met internet, zowel voor medewerkers als voor klanten. Banken zijn steeds afhankelijker van IT en de ICT-beheerder krijgt steeds meer te doen, de uitdagingen met betrekking tot beveiliging groeien maar de budgetten stijgen niet of nauwelijks. Fortinet maakt de oplossingen betaalbaar dankzij ASICs, de Fortinet netwerkcontentprocessor die de FortiGate een ongekend hoge doorvoersnelheid geeft. “Binnen onze FortiGate-appliances realiseren we doorvoersnelheden van ruim 1 Tbps”, aldus Noordam. “Dat is echt een doorbraak in de ICT-industrie. De ontwikkeling van ASIC kostte natuurlijk veel tijd en geld, maar nu dat we de processor hebben, is het fabriceren van deze ASIC niet meer zo duur. Dat is het geheim achter de uitstekende prijs-kwaliteitverhouding van Fortinet.” THE PROOF IS IN THE EATING Dat dit geen holle woorden of loze beloftes zijn, blijkt uit de wereldwijd gerespecteerde testen van NSS Labs. Noordam: “NSS Labs is echt onafhankelijk en gaat uit van het principe: the proof of the pudding is in the eating. De enige manier om positieve testresultaten te krijgen is door vooraf een goed product te maken. Leveranciers hebben verder geen enkele invloed op de uitkomst. De testen bevestigen dat onze FortiGate complexe inkomende en uitgaande beleidsregels correct toepast met de hoogste mate van

detectie, zelfs als deze bestaan uit meerdere regels, objecten en applicaties. Maar NSS Labs berekent ook de realistische beheerskosten. Uit de Total Cost of Ownership (TCO) berekeningen van NSS Labs blijkt dat Fortinet 4 tot 5 maal goedkoper is dan onze concurrenten.” VERDEDIGING VERSTERKT DOOR ONDERZOEK Een van de redenen waarom de appliances van Fortinet zo goed presteren in de testen van NSS Labs, is het eigen onderzoeksbureau, FortiGuard Labs. Daar analyseert men niet alleen het gedrag van internetdreigingen, maar ook de code die de cybercriminelen gebruiken voor hun malware. Zo kan men door kwaadaardige coderegels te herkennen, de nieuwste malware ontdekken. Dit door Fortinet gepatenteerde principe heet Compact Pattern Recognition Language (CPRL) en is een technologie waarmee de ‘handtekening’ (signature) van malware herkend wordt. “Een enkel CPRL-script kan 50.000 verschillende malwarevarianten herkennen en blokkeren”, zegt Noordam. “Hierdoor is niet meer voor elke malwarevariant een unieke signature nodig, wat de schaalbaarheid en prestaties verhoogt. “Door CPRL te combineren met sandboxing werpen we een enorm net uit om malware, de meest recente Advanced Persistent Threats en Advanced Evasion Techniques te vangen. Vervolgens werkt Fortinet automatisch alle oplossingen bij die klanten in gebruik hebben met deze informatie. Zo zijn deze altijd up-to-date en in staat dreigingen te stoppen, vaak nog voordat zij op het toneel verschijnen. Daarin herken je de technische insteek van Fortinet. Wij zijn een echt techneutenbedrijf en daarom vergeten we de markt nog wel eens te vertellen hoe goed onze oplossingen zijn.” www.fortinet.com

André Noordam

18


19

DIGITALISERING

INTERNET

OF TROUBLE Er is al veel gesproken over eventuele risico’s van de toenemende digitalisering van alledaagse apparaten. Het (doorlopend) verzamelen van (privacygevoelige) gegevens is veel security-experts een doorn in het oog. Vooral als je bedenkt dat het IoT ook met rap tempo onze industrie (nu al tot industrie 4.0 gedoopt), de gezondheidszorg (e-Health) en financiële sector (je account binnenkomen op basis van je stemgeluid) binnen holt. Laatst toonde het Belgische reportageprogramma Panorama dat er nu al jacht wordt gemaakt op medische gegevens die via smart apps kunnen worden verzameld (terugkijken kan via http://deredactie.be/cm/vrtnieuws/videozone/ programmas/panorama/2.40767). Vragen als ‘Hoe goed is de verbinding beveiligd waarover al die gegevens wor-

den verstuurd?’ ‘Hoe sterk is de cloud beveiligd waarin deze gegevens worden bewaard?’ ‘Mag de aanbieder de gemeten gegevens aan derden verkopen?’ en ‘Hoe betrouwbaar is het authenticatiesysteem waarmee de rechtmatige eigenaar van de gegevens zich aanmeldt bij de gegevens?’ dringen zich steeds nadrukkelijker op. Het zijn zaken waar de mees-

te ontwikkelaars van Smart-apparaten en veel consumenten in onvoldoende mate over nadenken. Dat de zorgen niet ongegrond zijn, is in de afgelopen maanden helaas keer op keer gebleken. Enkele voorbeelden. SLIMME AUTO’S Er zijn al meerdere slimme auto’s ‘gehackt’. De meest sprekende voorbeelden zijn de 1,4 miljoen Jeeps die Fiat Chrysler terugriep nadat bleek dat een hack van het met het internet verbonden entertainmentsysteem de hele controle van de auto uit handen gaf aan derden en de Corvette waarvan de remmen van afstand konden worden aangestuurd. SMART FITNESSGADGETS Ze worden steeds populairder: de polsbandjes waarmee je je stappen, hartslag en calorieverbruik kunt monitoren. Onlangs testte het vermaarde onafhankelijke testinstituut AV-Test hoe de gegevens over de fitnessprestaties van de gebruiker van het polsbandje naar de mobiele telefoon of de cloud werd verstuurd en hoe veilig de gebruikte apps zijn. De hele test is te vinden op https://www. av-test.org/en/news/news-single-view/ test-fitness-wristbands-reveal-data/. Enkele bevindingen: bij 7 van de 9 onderzochte devices kon Bluetooth niet worden uitgeschakeld en bij vier van de bandjes was er geen bevestiging nodig op het apparaat om het te koppelen aan een ander apparaat. Zeven van de bandjes konden met meerdere smartphones worden gekoppeld (en de verschillende smartphones konden tegelijkertijd werken) en bij zes van de bandjes werd log-informatie vrijgegeven. Voor sommige van deze uitkomsten is niet direct duidelijk hoe een crimineel hiervan kan profiteren. Maar nadat verzekeraar Achmea op 6 oktober hardop filosofeerde in het FD over het plaatsen van ‘kastjes’ in auto’s die het rijgedrag

monitoren, is het zeker niet ondenkbaar dat bijvoorbeeld zorgverzekeraars zullen volgen. Voor notoire couch-potato’s, verstokte rokers en stevige drinkers lijkt het mij dan zeer aanlokkelijk om heel eenvoudig jouw mobiele telefoon te kunnen koppelen aan het fitnessbandje van een fitte twintiger, die vervolgens al het zware werkt voor je doet. Daarnaast kan een fitness-app een (gegevens)dief haarscherp inzicht geven wanneer je wekelijkse voetbaltraining plaatsvindt, zodat hij precies weet wanneer je niet thuis bent om je eigendommen te bewaken. De aspecten die AV-test in het beschreven onderzoek heeft bekeken zijn interessant, maar vrij beperkt. Hiermee kun je misschien de integriteit van de gegevens en de bescherming van de gegevens optimaliseren, maar er is nog zoveel meer. Denk bijvoorbeeld aan de rekenkracht van slimme apparaten die kunnen worden misbruikt in een botnet, zoals we al eerder zagen bij een smart koelkast, die spam bleek te versturen. Internet of Things moet zich dus ook wapenen tegen malware, niet alleen tegen gegevensdiefstal. Er worden wel enkele activiteiten ontplooid, die beogen Internet of Things veiliger te krijgen. Zo worden steeds vaker ethische hackers door de automotive-industrie ingeschakeld om PEN-tests uit te voeren en om zo na te gaan hoe hackbestendig technologieën zijn. Dat is een goede ontwikkeling, maar het is zeer vrijblijvend (het is het eigen initiatief van de fabrikanten) en beperkt (ook hierbij blijft het gevaar voor malware bijna volledig buiten beschouwing). STANDAARDEN OPSTELLEN Het wordt tijd dat er standaarden worden opgesteld die door alle fabrikanten van smart-technologieën dienen te worden gerespecteerd. Een onafhankelijk orgaan dat audits uitvoert en dat de macht heeft om de verkoop van onveilige producten te verbieden lijkt daarbij onontbeerlijk. In die richting denkt ook de Online Trust Alliance, een samenwerkingsverband van IT-securty en technologiebedrijven die momenteel werkt aan ‘the Internet of Trust Framework’. Dit raamwerk wil een richtlijn bieden aan fabrikanten en ontwikkelaars om het aantal en de omvang van aanvalsvectoren te verkleinen en het aantal zwakke plekken te minimaliseren. Daarnaast probeert de organisatie ver-

Eddy Willems antwoorde omgang met privacy en data te bewerkstelligen en van security een ‘state of mind’ te maken bij fabrikanten en ontwikkelaars. ‘Privacy & Security by Design’ moet het model worden van een in te voeren bindende gedragscode. Of dat laatste zal lukken, valt nog te bezien. Maar het streven is goed. Wanneer vanaf het allereerste moment wanneer een idee opkomt direct aan privacy en security wordt gedacht, kan een groot deel van de security-issues van IoT worden opgelost, cq. voorkomen. Solide firmware in de apparaten, die vervolgens goed te updaten is, is hierbij een absolute must. Gebruikers moeten in hun systeem krijgen dat zij updates ook regelmatig uitvoeren. De fabrikant kan daarin een belangrijke rol spelen, door zijn gebruikers steevast op updates te attenderen, vooral als deze een beveiligingslek dichten. APPS MOETEN VEILIGER Een ander aspect waarbij veiligheid voorop moet komen te staan zijn de apps van het IoT. Hiermee worden de gemeten gegevens toegankelijk gemaakt voor de gebruiker. Deze kunnen op desktops of op mobiele apparaten worden gebruikt. Ze bieden vaak een gemakkelijke optie voor cybercriminelen om aan de gegevens te komen, omdat er slecht over security is nagedacht. Authenticatie is soms slechts éénmalig nodig, bij elk vervolg-

gebruik niet meer. Voor zover gebruik wordt gemaakt van wachtwoorden ter authenticatie, worden er te weinig eisen aan de wachtwoorden gesteld. Beter zou het zijn om voor apps die privacygevoelige gegevens ontsluiten tweefactor-authenticatie standaard in te stellen. In algemeenheid zouden de apps veel veiliger moeten worden ontwikkeld. Want dat gegevens de moeite waard zijn voor cybercriminelen is al gebleken toen wij de Vicepass Trojan ontdekten. Deze trojan lijkt het eerste voorbeeld van malware die op zoek gaat naar alle wachtwoorden van alle IoT-apparaten die binnen het netwerk te vinden zijn. Uiteraard kunnen gebruikers ook een rol spelen in het veiliger maken van hun eigen IoT. Meestal hebben gebruikers de mogelijkheid om via instellingen bepaalde toegangsmogelijkheden te beperken of te beveiligen, bijvoorbeeld met een wachtwoord. Een sterk, uniek wachtwoord is uiteraard de beste optie. Laat de app niet langer open staan dan nodig. Zet je slimme apparaat uit wanneer je het niet gebruikt. Zorg dat je een veilige router gebruikt met een sterk wachtwoord. En houd je pc, smartphone en tablet vrij van malware met behulp van antimalware-software. Eddy Willems is security specialist bij G DATA

Foto: danupop.m - www.shutterstock.com

20


21

CLOUD-BEVEILIGING

IS OPENSTACK WEL

VEILIG GENOEG?

OpenStack is een software platform dat gebruikers een eigen cloud-infrastructuur kan bieden. ‘Self-service’ voor de instelling van resources maakte het platform populair, maar de beveiliging kreeg pas aandacht nadat intern gebrek eraan een serieus probleem werd. Open-source OpenStack bestaat uit relatief nieuwe broncode. Zonder twijfel mankeert het niet aan implementatieproblemen en is de software op vele punten kwetsbaar. Gelukkig lijkt de gemeen-

schap van ontwikkelaars en gebruikers beveiliging heel serieus te nemen; security.openstack.org en het Security Project vatten de koe bij de horens. Verder betekent open-source dat iedereen de status

van kwetsbaarheden kan volgen via onder andere bugs.launchpad.net. Maar ook op het hoogste niveau zijn er nog steeds zwakke plekken van bedenkelijke aard, zoals authenticatiebestanden die leesbare wachtwoorden bevatten en onversleutelde RPC-communicatie. Nieuwe kwetsbaarheden kunnen ontstaan bij de configuratie van OpenStack. Bovendien spelen andere componenten een rol. Stel dat bij de implementatie een

oude versie van OpenSSL wordt gebruikt - dan kan uw organisatie het slachtoffer worden van Heartbleed of soortgelijke SSL-defecten. ZELF OP DE HOOGTE BLIJVEN Het Security Project helpt bij een veilige implementatie, met de uitstekende Security Guide. Als een systeem gebaseerd op OpenStack eenmaal draait, is het voor de gebruiker zaak om zelf op de hoogte te blijven van nieuwe pijnpunten, onder andere via de advisories (OSSA), notes (OSSN), en een of meer van de vele mailinglijsten. Verder biedt het Security Project een procedure voor gebruikers om defecten te rapporteren zodat ze kunnen worden opgelost. Of de OpenStack software snel genoeg wordt verbeterd om de stroom van nieuwe beveiligingsproblemen bij te houden is nog de vraag, want het is een relatief jong platform. De OpenStack Foundation doet zijn uiterste best. En de vele erbij aangesloten bedrijven - waaronder IBM, Intel, Cisco, Dell en Huawei - hebben belang bij een gezamenlijk succes. Maar net als elke vorm van publieke en hybride cloud computing is OpenStack een complex geheel bestaande uit vele lagen van in elkaar grijpende technologieën met verschillende herkomst, die vaak de grenzen van allerlei vertrouwensniveau’s overbruggen. Dit zijn ideale omstandigheden voor de snelle evolutie van moeilijk oplosbare beveiligingsproblemen. VERDEDIGING IN DE DIEPTE OpenStack is een ‘cloud’-platform. Maar uiteindelijk gaat het nog steeds om fysieke servers in echte gebouwen, aangesloten op de hardware van een reëel netwerk. De CTO/CIO van een organisatie zal een uitgebreide verdediging in de diepte daarom minstens in overweging moeten nemen: firewalls, IPS, anti-malware enzovoort. Fysieke servers en images

'OpenStack is een ‘cloud’-platform, maar uiteindelijk gaat het nog steeds om fysieke servers in echte gebouwen, aangesloten op de hardware van een reëel netwerk' hebben de gebruikelijke bescherming nodig. OpenStack helpt tot op zekere hoogte door API’s te bieden voor toepassing van klassieke beveiligingsmethodes binnen een cloud, zoals netwerk-IPS via de networking-API. Maar een cloud maakt het oppervlak dat een aanvaller kan benutten in geen enkel opzicht kleiner. Er ontstaat slechts potentieel voor nieuwe kwetsbaarheden. Volgens Robert Clark (beveiligingsarchitect van HP’s Helion cloud en projectleider voor de beveiliging van OpenStack) is van belang dat een organisatie de hardware waar een cloud op draait kan vertrouwen. Niemand mag er ongemerkt aan kunnen sleutelen. Verder is een ‘plat’ netwerk met gelijke toegang voor alle gebruikers wat hem betreft een slecht idee. Beter is verdeling in minstens vier gescheiden netwerken: voor ‘public’ (in contact met internet), ‘management’ (huishoudelijk verkeer), ‘guest’ (contact tussen virtuele machines van eindgebruikers) en ‘storage’. Alleen de netwerken voor management en storage moeten veilig zijn, de andere twee kunnen niet worden vertrouwd. Dat is een goed begin, maar een CTO/ CIO mag niet vergeten dat vele andere systemen met een OpenStack platform in verbinding staan. De Cloud Security Alliance biedt een ‘cloud controls matrix’, waarin de beveiliging wordt verdeeld in

'Gelukkig lijkt de gemeenschap van ontwikkelaars en gebruikers beveiliging heel serieus te nemen'

22

zestien domeinen zoals identiteits- en toegangsbeheer, mobiele beveiliging, naleving en audit, versleuteling, sleutelbeheer enzovoort. Gebruikers van OpenStack doen er goed aan om al deze domeinen en hun volledige werkgebied met zorg te evalueren. AUDIT EN OVERZICHT De beveiliging van een OpenStack-platform blijft altijd een bewegend doelwit. Een regelmatige audit is onmisbaar, om nieuwe kwetsbaarheden in het systeem als geheel tijdig aan het licht te brengen. Bij de inschatting van hun prioriteit moet rekening worden gehouden met zowel de exploiteerbaarheid als het effect dat exploitatie zou hebben op uw organisatie. Een zwakke plek die nauwelijks exploitabel is, of bij een geslaagde aanval slechts beperkte schade oplevert, hoeft immers niet hoog op de lijst te staan. Belangrijk is ook het bijhouden van de tijd die nodig blijkt om een gat te dichten of de eventuele schade bij voorbaat te beperken. Uw team moet na verloop van tijd sneller en effectiever kunnen reageren. Mits goed beheerd is open-source OpenStack een veelbelovend platform dat voor allerlei organisaties van grote waarde kan zijn. Maar de eerste vraag is altijd weer ‘kan ik deze technologie veilig genoeg gebruiken’? Virtuele inbraken zijn dagelijks werk en de hoeveelheden data die in verkeerde handen vallen zijn haast onvoorstelbaar groot, net als de financiële schade. Bescherming van uw data moet de hoogste prioriteit hebben, maar niet elke CTO/CIO is een beveiligingsexpert. Gelukkig betekent de populariteit van OpenStack dat de juiste partners gemakkelijk te vinden zijn. Corey Nachreiner is Chief Technology Officer (CTO) bij WatchGuard Technologies


23

EXPERTVISIE

SECTOR

MOET SECURITY-BY-DESIGN OMARMEN Zomer 2015 zal vast de geschiedenis ingaan als het moment dat zelfrijdende auto’s voor het eerst door de straten van California reden. Deze primeurs kwamen voor rekening van Tesla en Google. Kort nadat deze auto’s het daglicht zagen, slaagden twee hackers op de ‘Black Hat’ conferentie erin zelfrijdende auto’s stil te zetten. Of zelfs vanaf afstand in de greppel te laten rijden. ‘Security-by-Design’ stond vanaf dat moment volop in de schijnwerpers. Of liever gezegd; het gebrek daaraan. En dat moet snel veranderen. De onderzoekers Charlie Miller en Chris Valasek kregen het voor elkaar om de controle van een zelfrijdende auto over te nemen. De software van de centrale controle-unit werd aangepast, terwijl deze niet bereikbaar is via internet. Het multimediasysteem is wel bereikbaar via een publiek IP-adres met open poort. Hoewel dit onderdeel en de centrale controle-unit van elkaar gescheiden zijn, weerhoudt

dit het eerste onderdeel er niet van om de firmware van het tweede aan te passen om zo updates uit te voeren. Deze combinatie zorgde voor een succesvolle aanval. ONBOARD WIFI HACKEN De eerste hackpogingen van deze onderzoekers zijn minder bekend. Ze probeerden eerder in te dringen via

de wifi-verbinding van het multimediasysteem. Dat is het meest voor de hand liggende kanaal. De auto’s kunnen namelijk worden uitgerust met een onboard wifi-voorziening. Dat is handig voor de passagiers die onderweg hun status op Facebook willen aanpassen. Net als bij je eigen router is het wel noodzakelijk dat je over een sleutel beschikt. Met deze voorziening kun je verbinding maken. Er was goed nagedacht over de connectiviteit. Dat was gebaseerd op een industriestandaard met een lange, willekeurige en unieke sleutel die gebruik maakt van WPA2. Dit zou betekenen dat er zoveel verschillende sleutels zijn dat het één voor één aflopen van alle mogelijke combinaties, ook wel bruteforcen genoemd, in de praktijk niet realistisch is. Het multimediasysteem genereert de specifieke sleutel op het moment dat de auto voor de eerste keer opstart. Hiervoor gebruikt het systeem de actuele tijd van dat moment. Aangezien het bouwjaar - of via het kenteken zelfs de dag! achterhaald kan worden, wordt het aantal mogelijkheden al enorm verminderd. Is de dag bekend, dan zijn er nog maar zeven miljoen combinaties mogelijk. Rekening houdend met dit grote aantal en het feit dat men alleen verbinding kan maken wanneer het voertuig aan staat, zal ook het uitvoeren van deze aanvalsvector bij een theoretisch verhaal blijven. Een aanvaller zal namelijk uren binnen het bereik van de slachtofferauto moeten blijven terwijl hij in gebruik is. Kortom, de veiligheid van deze configuratie laat te wensen over. Tegelijkertijd zal deze implementatie als losstaande oplossing elke veiligheidstest doorstaan. Uit de testen zal bijvoorbeeld niet duidelijk worden hoe de auto bij initieel opstarten weet wat de tijd is. Er is echter wel een probleem, wat misschien niet zo duidelijk uit deze testen naar voor zal komen. Er is

nog geen monteur die dit in de settings heeft ingevoerd. Uit onderzoek blijkt dat op het moment dat de sleutel wordt bepaald, de default systeemtijd plus een paar seconden waarin de headunit opstart, gebruikt wordt. Om precies te zijn is dit 1 januari 2013 00:00.32. Als gevolg hiervan is natuurlijk elke sleutel voor iedere auto exact hetzelfde. Voor de hacker is het dan een koud kunstje om op het netwerk te komen. IT HERKENT ALLEEN BUGS Natuurlijk kan iedereen iets over het hoofd zien. Toch is het typerend voor de IT-industrie dat dergelijke problemen niet boven tafel komen. En dat terwijl die eigenlijk simpel te detecteren zijn. In onze sector kijken we vaak alleen naar implementatiefouten. Beter bekend als bugs. Deze zwakheden richten zich op lokale onderdelen. Dat zien we bijvoorbeeld bij de aanpak voor security testen via scanners. De focus hierin ligt op de content en niet op de context. Als je weet wat scanners doen, is dat logisch. Scanners voeren alleen patroonherkenning uit. Gevonden patronen worden gecorreleerd aan een beschrijving waar de begeleidende tekst bij gezocht wordt. Dit terwijl de ontwerpfouten, de zogenaamde flaws, net zo prevalent zijn. Deze ontwerpfouten zijn veel abstracter en hebben tegelijkertijd impact op het gehele systeem. Aangezien tools de context niet begrijpen, kunnen ze ook geen analyses daarop uitvoeren. De inzet van de ‘abuse cases’ had het voorval met de zelfrijdende auto’s kunnen voorkomen. Met deze techniek worden de negatieve varianten van bedoelde functionaliteit opgesteld. Een voorbeeld: ‘De sleutel van de wifi wordt bepaald door de actuele tijd’. De negatieve variant is dus ‘De sleutel van de wifi wordt bepaald door de NIET actuele tijd’. Ergens in het ontwerp zou een antwoord moeten staan over hoe deze abuse case kan worden afgevangen dan wel voorkomen. Wanneer dit er niet staat, is de huidige uitleg niet toereikend. Dat betekent dat de implementatie kan afwijken van de echte wens. VEILIG NOG VOORDAT PRODUCT BESTAAT Bij ´Security-by-Design´ is het zaak dat de veiligheid van het systeem prioriteit krijgt nog voordat er überhaupt iets gebouwd, geprogrammeerd of opgeleverd

'Bij ´Security-by-Design´ is het zaak dat de veiligheid van het systeem prioriteit krijgt nog voordat er überhaupt iets gebouwd, geprogrammeerd of opgeleverd wordt' wordt. Het proces dat ‘Security-by-Design’ voortbrengt heet de ‘Secure Development Lifecycle’, of kortweg SDLC. Met de inzet van SDLC worden hoge security-eisen gesteld. De kans op aannames, ambiguïteiten en onduidelijkheden binnen de opgeleverde producten wordt hiermee aanzienlijk verkleind. Een ander goed voorbeeld van ‘Security-by-Design’ is de inzet van een threatmodel op basis van het ontwerp. Dit proces geeft op een systematische manier weer welke bedreigingen er in het systeem aanwezig zijn. Bedreigingen geven aan ‘wat’ er mis kan gaan, maar niet ‘hoe’. Logisch, de implementatie moet immers nog plaatsvinden. Door het schetsen van het systeem met daarbinnen de datastromen, processen, actoren en opslag zoals uiteindelijk bedoeld, wordt in één klap duidelijk welke afhankelijkheden tussen de componenten bestaan. Ook de hierboven genoemde wificode zou tijdens dit proces naar voren zijn gekomen. De SDLC kent meerdere activiteiten. Die vallen samen met de activiteiten in het normale ontwikkelproces of v-model. Eén van de belangrijkste onderdelen van het borgen van security in de levenscyclus van assets, is het erkennen dat niet alle risico’s vooraf te verhelpen zijn. Daar staat tegenover dat een informatiesysteem weerbaar en flexibel moet zijn. Zeker na oplevering. In normale gevallen worden faal-situaties zelden, niet of amper getest. Zo wordt weerbaarheid alleen gerealiseerd als er tijdens dit proces veel falen optreden waar veel van geleerd kan worden. SECTOR MOET SECURITYBY-DESIGN OMARMEN De technologie ontwikkelt zich steeds sneller. Dan is het niet ondenkbaar dat toekomstige auto’s zelfs zonder nieuwe versies komen te zitten. Zoiets simpels als veranderde verkeersregels kan dan gro-

te gevolgen hebben. Zo loopt de gemiddelde telefoon nu al achter op de huidige versies. Zo’n beetje alles dat meer dan twee jaar oud is, krijgt geen ondersteuning meer. Tot voor kort was dat niet aan de orde in de auto-industrie. Onderdelen voor oude auto’s kunnen eenvoudig nagemaakt worden omdat ze grotendeels (nog) niet afhankelijk zijn van software. Dat wordt anders bij intelligente auto’s die veelal draaien op eigen ontwikkelde niet-standaard software. Moeten we ondersteuning op deze auto’s verplichten? Of, net als met milieuzones, de auto’s zonder support niet meer toestaan? Dit falen zouden we nu al bewust kunnen introduceren zodat auto’s echt zelfstandig werken. Dat kan alleen als de hele sector ‘Security-by-Design’ omarmt. Netflix is een goed voorbeeld waarbij Security-by-Design bij beheer omarmd is. De online filmdienst heeft een suite van tools, de Simian Army, ingezet om de weerbaarheid van hun content delivery netwerk te verbeteren. Met deze tools worden continu bewust fouten veroorzaakt in de productie-omgeving van Netflix. Zo wordt elke zoveel minuten een willekeurige server uit de lucht gehaald zonder aankondiging. De systemen zijn zo gebouwd dat Netflix hiermee overweg kan. ‘Normale’ uitval wordt op deze manier niet gemerkt. Security-by-Design zorgt er in dit geval voor dat zij zich veel beter kunnen voorbereiden op onvermijdelijke fouten. Als IT ervoor zorgt, dat Security-by-Design gemeengoed wordt, zullen aanpalende sectoren volgen. En kunnen we rustig naar een Netflix film kijken als de zelfrijdende auto ons op het juiste adres thuis heeft gebracht… Marinus Kuivenhoven is Senior Security Specialist bij IT-dienstverlener Sogeti

Foto: Jia Li - www.shutterstock.com

24


25

CONFERENTIE

Wat had je kunnen leren op #VB2015?

CULTURELE

ASPECTEN STERK BEPALEND VOOR KWALITEIT IT-BEVEILIGING Zeg de woorden ‘Virus Bulletin’ tegen iemand die niet dagelijks met informatiebeveiliging bezig is en de kans is groot dat je met grote glazige ogen wordt aangekeken. Door die blik realiseer je je ineens wat een vreemde naam het eigenlijk is voor een toonaangevende conferentie over informatiebeveiliging die dit jaar in Praag plaats vond. In dit artikel belichten we kort een aantal aspecten die op deze voor de wereld van antivirus en anti-malware belangrijkste conferentie de revue passeerden.

kennisgat op het gebied van informatiebeveiliging. Er is al vaker gesproken over het gebrek aan mensen met de juiste vaardigheden voor de huidige complexe informatiesystemen die steeds vaker doelwit zijn van aanvallen. Het raakt aan een ander onderwerp waarover werd gesproken, namelijk dat van diversiteit op de werkvloer. En dan met name het tekort aan vrouwen in de rol van informatiebeveiliging.

talloze mogelijkheden zijn om te netwerken met medestrijders tegen kwaadaardige code en andere crimineel cyber-gedrag.

Het komt er grofweg op neer dat zowel publieke als private organisaties niet voldoende mensen kunnen vinden om belangrijke posities op het gebied van informatiebeveiliging te vullen. Dat is slecht voor die organisaties en eigenlijk voor de gehele maatschappij. Als je een memo ontvangt waarin staat dat er per-

De naam ‘Virus Bulletin’ is afkomstig van een gedrukt bulletin over de ontwikkelingen in de wereld van computervirussen dat voor het eerst in 1989 verscheen. Het werd verzonden vanuit het Engelse Oxfordshire. Sinds jaar en dag is het ook de naam van de conferentie waar gedegen onderzoek alomtegenwoordig is en waar

GEBREK AAN PROFESSIONALS Eén van de zaken die tijdens de conferentie veel aandacht kreeg, is het gapende

soonlijke informatie op straat is komen te liggen door een beveiligingslek, bedenk dan dat dit heel goed het gevolg kan zijn van onderbezetting van de security-afdeling. Belangrijkste reden: het bedrijf kan niet de juiste mensen vinden. Het is dus niet noodzakelijkerwijs omdat de organisatie te weinig geld investeert om de juiste mensen aan te nemen. VROUWEN IN INFORMATIEBEVEILIGING Het meest recente arbeidsmarktrapport van (ISC)², de grootste niet-commerciële organisatie van gecertificeerde cyber-, informatie-, software- en infrasecurity-beveiligingsprofessionals wereldwijd met bijna 110.000 leden in meer dan 160 landen, is getiteld ‘Women in Security: Wisely Positioned for the Future of InfoSec’. Het laat deprimerende statistieken zien: zo zijn vrouwen tegenwoordig sterker ondervertegenwoordigd in informatiebeveiligingsteams dan twee jaar geleden (10% nu tegen 11% in 2013). Toch groeit het aantal vrouwen in informatiebeveiliging, simpelweg omdat de beroepsgroep groeiende is. De wijsheid waar in de titel van het rapport naar wordt verwezen, is afkomstig van het feit dat vooral vrouwen impact hebben op het gebied van governance, risk en compliance (GRC). De rol van GRC is een belangrijke en groeit in informatiezekerheid en het cybersecurity ecosysteem. Het rapport laat zien dat een op de vijf vrouwen GRC als hun primaire functionele verantwoordelijkheid zien, terwijl dat voor mannen een op acht is. Hopelijk betekent dit dat er meer vrouwen de scepter kunnen zwaaien op het gebied van cyberrisico’s van een organisatie. SLECHTE STATISTIEKEN Onderzoeken en cijfers zijn belangrijke zaken voor alles dat met cyber security te maken heeft. Toch zijn ze niet vanzelfsprekend. Zo zijn veel statistieken op dit gebied niet hard te maken. Er zijn slechts weinig onderzoeksresultaten die een behoorlijke transparantie bieden. Zo kun je in je zoektocht naar de juiste security-oplossing voor jouw organisatie een onafhankelijk onderzoek tegenkomen dat rept van een representatieve groep respondenten van 500 bedrijven. Maar in werkelijkheid kan de data uit het onderzoek van veel minder bedrijven afkomstig zijn en zelfs zijn aangedragen door

26

'Het komt er grofweg op neer dat zowel publieke als private organisaties niet voldoende mensen kunnen vinden om belangrijke posities op het gebied van informatiebeveiliging te vullen' mensen met een bepaalde agenda. Ook kan het onderzoek gefinancierd zijn door een organisatie die producten of diensten op security-gebied wil verkopen. De onafhankelijkheid kun je dan eenvoudigweg schrappen. En wat wordt er eigenlijk verstaan onder ‘security incident’ zoals in één van de vragen voorkomt? Slechts weinig onderzoeken zijn daar helder in. Vraag je, om een idee te krijgen van wat er allemaal niet deugt aan de huidige manier van het meten van cybercrime, eens af in wat overheden doen om cybercriminaliteit vast te leggen en te meten? En hoe doen ze dat met traditionele criminaliteit? Wil je statistieken over autodiefstallen of bankovervallen? Die kan de overheid je eenvoudig geven, want daar worden al sinds jaar en dag cijfers van bijgehouden. Wil je weten hoeveel Amerikaanse bedrijven te maken kregen met online criminaliteit het afgelopen jaar en wat hen dat gekost heeft? Dan verwijst de overheid je door naar de leveranciers van securityproducten en -diensten. Tenzij je genoegen neemt met data van tien jaar terug, want dat is de eerste en enige keer dat de Amerikaanse overheid een poging heeft gedaan om dat soort zaken te meten. RISICOMANAGEMENT Het gebrek aan data over cyber criminaliteit is niet alleen irritant voor criminologen. Wat zijn ook alweer de twee belangrijkste criteria voor risicomanagement? Juist, de mogelijkheid en de impact van een incident, oftewel frequentie en kosten. Bedenk je vervolgens dat voor veel bedrijven risicomanagement onderdeel is van weten regelgeving waaraan ze moeten voldoen. Dat is met de huidige statistieken op het gebeid van cybercrime dus vrijwel onmogelijk. Dus in plaats van kwantitatieve input is het noodzakelijk om kwalitatieve maatregelen te ge-

bruiken, die subjectief zijn en dus vatbaar voor culturele vooroordelen. Uit onderzoek blijkt dat één groep mensen risico’s consistent lager inschat dan de rest van de populatie, namelijk: blanke mannen. Dit zogenoemde ‘Blanke Man Effect’ is aangetoond in meerdere studies waarbij mensen het risico van diverse activiteiten en technologieën moesten inschatten. Met andere woorden: blanke mannen zijn minder snel geneigd om te zeggen ‘Dit doen we niet, dat is te risicovol’. Dit effect blijft zelfs overeind als alle deelnemers hoogopgeleide wetenschappers zijn. En we weten dat in de VS, maar ook in veel Europese landen, blanke mannen fors zijn oververtegenwoordigd in het management. Zo is 73,7 procent van de CEO’s en 70,5 procent van de algemene en operationele managers in de VS een blanke man en slechts 12,4 procent van de CEO’s niet-blank. Het is daarentegen ook wel weer zo dat in landen zoals de VS de meeste professionals op het gebied van informatiebeveiliging - de mensen wier waarschuwingen over cyber-risico’s zouden worden genegeerd door het management - blank en man zijn (90 procent). Een mogelijke verklaring hiervoor is afkomstig uit verder cultureel onderzoek waaruit blijkt dat een specifieke groep blanke mannen zo’n 30 procent - risico’s consistent lager inschat, waardoor de algehele score van de groep blanke mannen lager uitkomt. Zou het kunnen dat juist die mannen de bedrijven besturen die cyber-risico’s niet serieus nemen? En zal de komst van vrouwen in GRC de uitkomst van risicomanagementoverleg beïnvloeden? Het antwoord op die vragen, en nog veel meer, was te vinden op Virus Bulletin in Praag. Righard Zwienenberg is senior research fellow bij ESET


27

WHITEPAPER

Dankzij grote drang tot adoptie nieuwe technische oplossingen

GENERATIE Y

WIJST DE WEG OP GEBIED VAN SECURITY

In navolging van Generatie Y eisen steeds meer gebruikers continu toegang tot al hun digitale services. Natuurlijk is het gebruiksgemak enorm als we altijd en overal kunnen bankieren, toegang hebben tot al onze gegevens en direct kunnen communiceren met vrienden en collega’s. Maar aan die 24/7-connectiviteit zitten ook risico’s. Alleen een zeer sterke vorm van authenticatie houdt ons en onze gegevens veilig. Maar hoe krijgen we dat voor elkaar? VASCO Data Security schreef er een interessante whitepaper over. Noem hen Generation Y of ‘digital natives’. Het zijn de twintigers die hun hele leven lang al gewend zijn om altijd en overal digitaal verbonden te zijn. Waar ze

ook zijn, altijd kunnen ze communiceren met vrienden. Afspraken maken doen ze via social media en er is geen moment dat ze geen toegang tot hun bank en hun

geld hebben. Hun hele leven speelt zich online af. Sommige waarnemers zien hierin een groot risico, juist omdat al hun gegevens online staan. Er is maar 1 foutje nodig en cybercriminelen plunderen hun bankrekening, stelen hun identiteit en chanteren hen met wellicht wat al te wilde uitgaansfoto’s. Maar er zijn ook volop analisten die van mening zijn dat deze generatie de eerste groep is die serieus bereid is om nieuwe technologie toe te passen, juist om hun online verworvenheden te beschermen. VOORKEUR VOOR MOBIEL Security-specialist VASCO schreef een

whitepaper over security en Gen-Y: ‘Authentication for the Next Generation; How Gen Y is changing the way we protect our digital lives’. Deze groep van 20’ers speelt in zowel maatschappij als economie een steeds grotere rol. Figuur 1 schetst een beeld van het gebruik van apps voor mobiel bankieren versus bankieren via een website vanaf een desktop of notebook onder een aantal generaties. De digital natives hebben een duidelijke voorkeur voor mobiele apps voor het doen van betalingen, waar oudere generaties weliswaar graag online bankieren, maar dan liefst vanaf een computer en met gebruik van een browser. INNOVATIEVE TECHNOLOGIE Dat mobiel bankieren risico’s kan opleveren, beseft Generatie Y maar al te goed. Daarom verwachten zij ook heel veel van de technologie die hen zelf en hun data moet beschermen. Zo moet deze technologie eenvoudig te gebruiken zijn. De oplossing dient volledig geïntegreerd te zijn in het mobiele apparaat dat hun voorkeur heeft of dient anders ingebouwd te zijn in de apps die zij gebruiken. Hoge eisen dus, maar innovatieve technologieën voor authenticatie die aan deze eisen voldoen, mogen vervolgens wel op een duidelijke adoptie onder 20’ers rekenen. ENORME ONTWIKKELING Authenticatie heeft de afgelopen jaren een enorme ontwikkeling doorgemaakt. Waren we 25 jaar geleden nog bezig met hardwarematige tokens die een eenmalig wachtwoord voor de gebruiker genereerden, inmiddels zijn deze ‘kastjes’ drastisch gemoderniseerd. Sommige aanbieders leveren een token met usb-aansluiting, andere voorzien het token van een toetsenbord om een pincode te kunnen ingeven. Ook wordt nu gewerkt met QR-codes of andere cryptografische afbeeldingen. Bovendien zijn softwarematige tokens beschikbaar. Deze ‘draaien’ op een smartphone en genereren eenmalige wachtwoorden. Andere softwarematige oplossingen versturen een sms met een code of gebruiken biometrische opties tot en met selfies aan toe. MODERNE AUTHENTICATIE Gen-Y eist een authenticatiemethode die net zo makkelijk te gebruiken is als de manier waarop zij WhatsApp of Facebook checken. Daarbij zoeken zij bovendien naar extra gebruiksgemak. In plaats

28

'Generatie Y verwacht heel veel van de technologie die hen zelf en hun data moet beschermen' van geld te halen uit een geldautomaat passen zij liever draadloze betalingsmethoden toe die direct een aantal extra ge-

gevens doorsluizen richting leverancier. Denk aan een koffiebar waar niet alleen de betaling op een veilige manier wordt

Figuur 1: voorkeur van een aantal leeftijdscategorieën als het gaat om het op digitale wijze doen van bancaire transacties.


29

4 & 5 NOV 2015 JAARBEURS UTRECHT

WHITEPAPER

VAKBEURZEN, SEMINARS EN ONLINE MATCHMAKING VOOR IT-MANAGERS EN IT-PROFESSIONALS

geregeld maar waarbij tevens direct de gewenste koffie wordt doorgegeven - alles met een en dezelfde swipe. Daarom dient een moderne authenticatie-oplossing er niet alleen voor te zorgen dat de data van de gebruiker veilig is, maar is het ook van groot belang dat de gebruiker er extra gebruiksgemak van heeft. Die combinatie is cruciaal voor adoptie van nieuwe technologie door Gen-Y. In het kader ‘Moderne authenticatiemethoden uitgelegd’ is een aantal van dit soort oplossingen op een rij gezet (zie kader).

IT SECURITY

STORAGE

IT MANAGEMENT SOLUTIONS

Hans Vandam is journalist

MODERNE AUTHENTICATIEMETHODEN UITGELEGD Twintigers zijn 24/7 online. Alles wat zij belangrijk vinden in hun leven willen zij op die manier doen en beleven. Met die houding geeft Gen-Y een enorme impuls aan nieuwe manieren van werken, maar ook aan security-methoden om online veilig te kunnen zijn. Op welke manier zou dit kunnen? In de whitepaper ‘Authentication for the Next Generation; How Gen Y is changing the way we protect our digital lives’ geeft security-specialist VASCO Data Security een aantal opties: •

30

CrontoSign Visual Transaction Signing - Dankzij een aantal nieuwe scanning-algoritmen heeft VASCO een zeer moderne variant op de aloude QR-code ontwikkeld. Deze aanpak is als hardware maar ook als software beschikbaar. Alle voor de transactie belangrijke data is verwerkt in een beeld dat met de camera van een smartphone kan worden gescand. Vervolgens wordt deze data vertaald naar een voor de gebruiker leesbare vorm zodat de transactie kan worden goedgekeurd. Tegelijkertijd wordt de authenticatie van zowel gebruiker als

DIGIPASS for Apps is dan ook eerst en vooral een software development kit (SDK) die een app-ontwikkelaar kan toepassen om authenticatie volledig in zijn app te integreren. Hierdoor is het mogelijk om zowel applicatie, device, platform én gebruiker te beschermen.

service provider geregeld, zodat een krachtige bescherming ontstaat tegen trojans en ‘Man in the Middle’- en ‘Man in the Browser’-aanvallen. •

Online transacties via Bluetooth - De DIGIPASS GO 215 is een goed voorbeeld van een authenticatie-oplossing waarbij het eenmalige wachtwoord via een bluetooth-verbinding met de smartphone wordt verzonden. Het device creëert hierbij de code, die vervolgens rechtstreeks naar de app wordt gestuurd, zodat de gebruiker het wachtwoord niet behoeft in te typen.

Cloud Computing

• De DIGIPASS GO 215 Bluetooth •

Authenticatie zonder dat de gebruiker deze behoeft te initiëren - In deze opzet maakt de authenticatie deel uit van de webapplicatie of mobiele app. Hierdoor kan de integriteit van de applicatie worden verzekerd, evenals de transactie zelf.

De DIGIPASS 760 CrontoSign scanner

THEMA 2015: COMPUTING EVERYWHERE

Op risicoanalyse gebaseerde methoden - Bij methoden die uitgaan van zogeheten ‘risk-based authentication’ wordt de beslissing om al of niet toegang tot een applicatie of tot data te verschaffen gebaseerd op een dynamische reeks van omstandigheden. Dit soort methodes dienen veelal als een extra authenticatie-tool. Hierbij worden onder andere opties gebruikt als de rol van de gebruiker of de locatie van waaruit deze toegang wil. Ook wordt gekeken naar patronen in de reeds tot stand gebrachte transacties of activiteiten.

Cyber Security

Data Center & Infrastructure Optimisation

Data Growth & Storage Capacity

Enterprise Mobility

ITSM & Control

Privacy Governance & Risk Management

REGISTREER NU VOOR GRATIS TOEGANG: WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NL KEYNOTES | SEMINARS | CASE STUDIES | RUIM 150 EXPOSANTEN Mede mogelĳk gemaakt door:

Hoofdmediapartner:


31

DEELNEMERSLIJST 4 - 5 NOVEMBER 2015 | JAARBEURS, UTRECHT INFOSECURITY.NL Exposant (ISC)2 3M Nederland A10 Networks Aerohive Networks AirWatch Akamai Technologies Algosec Ansul Brandbeveiliging Special Hazards ARCADIZ networks Arista Networks Barracuda Networks Bitdefender Bodis Bomgar Cert2Connect Cisco Systems CompLions Contec CRYPSYS secure computing CyberArk Software DearBytes Dell Dimension Data Draytek DTX Elastica Entrust E-quipment ESET Exclusive Networks Fluke Networks Enterprise Solutions Fortinet Fox-IT F-Secure G DATA Software Gemalto (SafeNet) Heynen HP Huawei INVEA-TECH iSOC24 ITSX Information Technology Security eXperts iXsmartmobile Kaspersky KPN LogicNow Madison Gurkha Minkels Motiv Netwrix Nutanix On2it Outpost24 Paessler AG Palo Alto Networks Qualys Rapid7 Sectra Communications SecureLink Nederland Shavlik SMS Passcode Sophos

DEELNEMERSLIJST

32

Stand B120 D166 E080 E116 B127 E132 E135 E131 D133 B116 D088 D162 E156 D137 B166 B100 B117 D130 B122 B143 B136 B056 A144 B144 E056 A116 E100 E141 C088 D153 A104 D116 C145 D160 A106 A136 A104 B033 C076 A101 C121 C136 E139 B107 D075 E066 C136 C123 D100 A135 B116 D115 E136 B123 D115 D131 C121 C144 D115 A135 B122 D087

Exposant Splunk Inc TechAccess TellTales Consulting Trend Micro TSTC UBM Nederland Unacle Utimaco IS Varonis Veeam Software Wacom WeSecure Westcon Security Wyless

Situatie per 24-09-2015, wijzigingen voorbehouden. Definitieve indeling was bij het ter perse gaan nog niet bekend.

Stand D076 A132 E164 Theater: Cyber Security E148 A135 E152 C140 D138 B103 C130 D115 E104 A107

GRATIS NAAR DE BEURS?

BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NL

STORAGE EXPO

THE TOOLING EVENT

Exposant Stand Arcserve A079 Avnet Technology Solutions A056 AXEZ B030 Cisco Systems B100 Commvault C028 DataManagement Professionals B063 Dell B056 Dimension Data A144 EMC B076 Fujitsu B038 HP B033 Huawei C076 i³ groep B073 IBM Theater: Data Growth & Storage Capacity Infotheek A032 Interconnect A092 Kingston Technology A089 Kroll Ontrack A075 NetApp C046 NETGEAR A068 Nexenta B057 Nexsan by Imation B079 Nimble Storage D033 Oracle B095 PernixData A096 Pure Storage C029 QNAP Systems A072 SanDisk B020 Schleifenbauer A082 Scholten Awater B048 Seagate Cloud Systems & Solutions B088 SimpliVity B045 SJ-Solutions C043 Super Micro Computer A080 Synology A061 Telindus A024 TenICT Infrastructure Management B093 Tintri D039 Virtual Instruments A071 Vocas Sales & Services A076 Zerto A097 Zettastor A049

Exposant Arcade ICT Axios Systems Benelux Communicare Communicativ De ISM-methode Dell Dell Software Dupaco Distribution Frontline Services HEAT Software France Ixiium Kaseya KPN LANDESK Matrix42 Microsoft Monitor 24-7 Inc. Mproof OMNINET Plantronics Red Hat RES Software Schneider Electric IT Benelux SES Community Snow Software Benelux StartReady The Backbone Themateam TOPdesk Vodafone X-ICT

MELD U NU AAN VIA INFOSECURITY.NL, STORAGE-EXPO.NL OF THETOOLINGEVENT.NL

Stand D040 E048 E014 E014 B006 B056 D048 D048 E014 D027 E038 E050 E014 C004 E041 E014 E032 D028 E028 E014 D048 D048 B012 E014 C002 E014 E007 E014 C012 E014 B012

DEELNEMERSLIJST INFOSECURITY MAGAZINE - NR. 4 - NOVEMBER 2015 33

PLATTEGROND 4 - 5 NOVEMBER 2015 | JAARBEURS, UTRECHT Situatie per 24-09-2015, wĳzigingen voorbehouden. Definitieve indeling was bĳ het ter perse gaan nog niet bekend. THEATER 1: Privacy, Governance & Risk Management

THEATER 2: Data Growth & Storage Capacity

THEATER 9

THEATER 8

THEATER 7

THEATER 3: Cyber Security

E028 Hoofdsponsor

E007

E048

E038

E035

Hoofdsponsor

E050

THEATER 4

THEATER 3

THEATER BOULEVARD E056

E066

E070

E100

E104

E116

E134

E132

E041

VIP LOUNGE SCHOLTEN AWATER

E148

E152 E154 E156 E162

E136

E131 E135

D050

D076

D048

D100

D088

D116

D166

E141

D134

D040

D034

D170

E139

D130

D138

D160 D162

D005

THEATER 6: Datacenter & Infrastructure Optimisation

THEATER 1

THEATER BOULEVARD

E086

E080

THEATER 2

E164

D036

D028

MEDIA TERRAS

THEATER 5: Cloud Computing

D039

C012

C004

D075

D033

D027

D087

D131

TERRAS

C130

C088

C043

B020 B012

C121

B076

B056

B048

B030

C134

D153 D157

C144

C136

C123

C152

B088

B100

B136

B154

B122

B120

B144

B039

B045

B057

B063

B073

A048

A024

ENTREE HAL1

A032

A033

A019

A036

A041

A046

A045

B162 B166

STORAGE EXPO B033

C156 B158

C145

B116

B038

D149

INFOSECURITY.NL

B006 C029

D143

C140

TERRAS C076

B010

D133 D135 D137

D115

C046

C036

C028

C002

THEATER 9: Universal Communications

E032

THEATER 5

THE TOOLING EVENT

THEATER 4: Cyber Security

THEATER 8: IT Service Management & Control

VIP LOUNGE

THEATER BOULEVARD

Hoofdsponsor

THEATER 7: Enterprise Mobility

THEATER 6

B079 A082

A056

A062 A058

A049

A061

A067

A068

A072 A076 A080

A071 A075 A079

B093

B095

B103

B107

A088

A112

A102 A092

A089

A096

A104 A106

A095 A097 A101 A103 A107

B117

B123 B127

B139

B143

A144

TERRAS TERRAS

A118 A116

A117 A121

A132

A125

ENTREE

A136

A129 A135

A145

ENTREE JAARBEURS

NAAR 1STE VERDIEPING:

Werkelijke situatie

ZAAL 10: Management Seminars ZAAL 11: Management Seminars

Zaal 14 Zaal 10

Zaal 11

Zaal 12

Zaal 13

ZAAL 12: Technische Seminars ZAAL 13: Technische Seminars SUPERNOVA

ZAAL 14: (ISC)2 Workshops

PLATTEGROND

34

GRATIS NAAR DE BEURS?


MELD U NU AAN VIA INFOSECURITY.NL, STORAGE-EXPO.NL OF THETOOLINGEVENT.NL

PLATTEGROND INFOSECURITY MAGAZINE - NR. 4 - NOVEMBER 2015 35

g

Seminaroverzicht Woensdag 4 en donderdag 5 november

JAARBEURS UTRECHT

THEATER 1: PRIVACY, GOVERNANCE & RISK MANAGEMENT

THEATER 2: DATA GROWTH & STORAGE CAPACITY

WOENSDAG 4 NOVEMBER

WOENSDAG 4 NOVEMBER

11:00 - 11:30: Dynamisch risicomanagement: eenvoudig met behulp van GRCcontrol tooling Mike de Bruijn - product owner, Complions

Complexiteit en veranderingen in organisaties, normen en weten regelgeving maken de inzet van tooling noodzakelijk om risico’s te beheersen. Dergelijke tooling is vaak complex en integratie met Governance of Compliance management ontbreekt veelal waardoor het meestal stopt bij signaleren. Complions biedt een geïntegreerd en pragmatisch risicomanagementsysteem waarbinnen risico’s geïdentificeerd worden en maatregelen via een Governance systeem (o.b.v. Plan-Do-Check-Act) worden geselecteerd en beheerst. 11:45 - 12:15: Bent u klaar voor de meldplicht datalekken? Arthur Donkers - directeur/IT security consultant, ITSX via Madison Gurkha

DearBytes Pentester Rik van Duijn bekruipt regelmatig het gevoel dat elke organisatie eenvoudig en onopgemerkt te hacken is. Regelmatig voert hij succesvolle pentests uit zonder moeite te doen om detectiemaatregelen te ontwijken. Hij laat sporen achter maar wordt niet herkend! En de kans op signalering neemt natuurlijk alleen maar af als de aanvaller wél actief uw detectie probeert te omzeilen. Rik laat u zien hoe u meer inzicht in aanvallen krijgt en hoe u deze kennis kunt gebruiken voor detectie. Herkenning op basis van evil canaries, gedrag en laterale beweging komen tijdens de presentatie aan bod. 13:15 - 13:45: Shining a Light on Shadow IT Johan den Hartog - Sales Engineer BeNeLux & Nordics, Tenable Network Security via CRYPSYS secure computing

•

• Informatiebeveiliging is al lang geen ‘ICT feestje’ meer en de tijd van perkamenten afvinklijstjes is ook definitief voorbij. Risico’s zijn de nieuwe valuta van informatiebeveiliging. Informatiebeveiligers zullen meer in termen van risico’s en passende maatregelen moeten leren denken. Alleen op deze manier kunnen zij hun organisaties en klanten helpen. Deze risicobenadering vergt een andere manier van denken en een procesmatige benadering. Aan de hand van de Wet meldplicht datalekken - die per 1 januari 2016 in werking treedt - als voorbeeldcase, wordt deze nieuwe benadering gepresenteerd. 12:30 - 13:00: Effectief monitoren: denk als een hacker Rik van Duijn - IT security expert, DearBytes

• •

•

•

IT infrastructures have changed dramatically in the last 15 years but why are they still approach asset discovery the same way? Having a clear understanding of what assets and vulnerabilities are in the infrastructure but why do almost all organizations fail to have Good situational awareness? How can organizations gain clarity and profile the personalities of systems to focus on what matters to the business? What metrics can be used to measure the coverage of assets and ensure visibility? What is the business value of gaining insight into what is running in the environment?

We will explain how to grow in data governance, nowadays data is growing exponentially, but the value of data is growing almost at the same level. What is needed to go from a zero in data governance to a hero of data governance. How can Varonis help you. What are the steps to be taken. DONDERDAG 5 NOVEMBER 11:00 - 11:30: Dynamisch risicomanagement: eenvoudig met behulp van GRCcontrol tooling Mike de Bruijn - product owner, Complions

11:45 - 12:15: Bent u klaar voor de meldplicht datalekken? Arthur Donkers - directeur/IT security consultant, ITSX via Madison Gurkha

12:30 - 13:00: Effectief monitoren: denk als een hacker Rik van Duijn - IT security expert, DearBytes

36

Cyber Security

Data Growth & Storage Capacity

Enterprise Mobility

11:00 - 11:30: Storage Class Memory Raymond Delorme - storage solutions sales engineer, Dell

13:15 - 13:45: Shining a Light on Shadow IT Colin West - EMEA sales engineering director, Tenable Network Security via CRYPSYS secure computing

14:00 - 14:30: From Zero to Datagovernance Hero Jeremy Agenais - system engineer Belgium/ Netherlands, Varonis

11:45 - 12:15: All Flash, Hyper-Converged en Data management van HP? Ja! Van HP, en met praktijk voorbeelden! Remko Westrik & Sander de Jong - pre-sales consultants, HP

14:00 - 14:30: From Zero to Datagovernance Hero Jeremy Agenais - system engineer Belgium/ Netherlands, Varonis

Data Center & Infrastructure Optimisation

KPN (ICT) biedt datacenter IT- en cloud diensten. Tijdens deze sessie leert u hoe KPN data services levert en automatiseert aan zakelijke klanten, middels de inzet van IBM Cloud Orchestrator en Storage Virtualisatie technologieën zoals IBM SmartCloud Virtual Storage Center & IBM SAN Volume Controller.

Door de toenemende diversiteit in soorten en de vele mogelijkheden van flash technologieën, zijn steeds meer organisaties op zoek naar geschikte toepassingen in lijn met hun doelstellingen. Storage Class Memory is een veelbelovende techniek maar in hoeverre kan SCM bestaande technologieën zoals SSD vervangen?

THEMA’S

Cloud Computing

10:15 - 10:45: KPN automatiseert Data Management diensten dankzij IBMs Cloud Orchestrator Jan van Cruchten - technical product manager, KPN via IBM

IT Service Management & Control

Privacy, Governance & Risk Management

Universal Communications


12:30 - 13:00: Snelle Applicaties en VDI op VMware? Easy! Maikel Kelder - sales engineer Benelux, Pernixdata

Zonder wijzigingen te maken in je huidige infrastructuur kan je met Pernixdata je Storage performance enorm versnellen en je scale out kosten verminderen. Pernixdata FVP versnelt je Applicaties en VDI desktops en brengt je storage performance naar de ESX host. Pernixdata Architect geeft je uniek inzicht in storage verbruik per applicatie, tot aan blocksizes en trends, met mogelijk tot automatische acties om storage performance issues te voorkomen.

11:00 - 11:30: Storage Class Memory Raymond Delorme - storage solutions sales engineer, Dell

11:45 - 12:15: All Flash, Hyper-Converged en Data management van HP? Ja! Van HP, en met praktijk voorbeelden! Remko Westrik & Sander de Jong- pre-sales consultants, HP

12:30 - 13:00: Snelle Applicaties en VDI op VMware? Easy! Maikel Kelder - sales engineer Benelux, Pernixdata

DONDERDAG 5 NOVEMBER 10:15 - 10:45: KPN automatiseert Data Management diensten dankzij IBMs Cloud Orchestrator Jan van Cruchten - technical product manager, KPN via IBM

Nieuwe technologieën breken op grote schaal door: All-Flash Storage, Hyper-Converged Systemen, Cloud et cetera. Ook technologisch zijn er geen belemmeringen voor het gebruik door bedrijven en instellingen, hoe groot of klein deze ook zijn. De overwegingen om deze technologieën in te zetten zijn gebaseerd op strategische afwegingen, aanschafen gebruikskosten (energie!), opbrengsten en efficiency winst. En wat te denken van andere voordelen als de inzet van geavanceerde datamanagement-toepassingen, zoals deduplicatie, compressie en andere datareductie-technieken?


37

g


JAARBEURS UTRECHT

THEATER 3: CYBER SECURITY WOENSDAG 4 NOVEMBER 10:15 - 10:45: How outsiders become insiders: Understanding and Combating Today’s Threats Craig Everson - director of sales engineering EMEA, Rapid7/iSOC24

Today’s attackers employ a variety of deception tactics allowing them to impersonate legitimate users and bypass existing IT security defences. Web applications are often compromised in order to host malware or be turned into a phishing site. Users who visit these sites then become infected or have their credentials stolen, giving attackers access to your network. Once inside, attackers become insiders. They use stealthy techniques to move around the network, looking for targets, while remaining undetected for months. In this session we will examine: • Common tactics used by today’s attackers to target users and web assets • How attackers impersonate legitimate users to become “insiders” • Best practices for preventing, detecting and containing these threats

11:00 - 11:30: Necessity of Cyber security operations for data breach reporting Christian Prickaerts - principal security expert, Fox IT

New data breach legislation requires organizations to provide insight into the scope and cause of a data breach. Additionally the effectiveness of security controls could be challenged, since a breach proved these to be less than adequate. Considering that most breaches are detected long after the initial attack, our incident response team is often faced with a lack of available (forensic) data. Without continuous cyber security operations both questions will prove to be difficult to answer. Organizations that run a Cyber-Security Operation Center (CSOC) not only detect an attack better, but are also more capable to comply with aforementioned regulation.

38

11:45 - 12:15: Mobile Threat Prevention: Leer hoe je iOS & Android devices kan beschermen tegen geavanceerde threats zoals zero day en malicious applicaties Zahier Madhar - security engineer, Check Point

Het stelen van informatie van Android & IOS devices is niet nieuw voor geavanceerde hackers. Net zoals bij desktop besturingsysstemen zijn er voor mobile bessturingsystemen ook vulnerabilities waar misbruik van gemaakt kan worden. Een goed voorbeeld is Certifi-gate vulnerability. Deze vulnerability maakte het voor hackers mogelijk om toegang te krijgen tot informatie van het Android device. Tijdens mijn presentatie wil ik laten zien hoe eenvoudig het is om een IOS & Android device te hacken. Ik zal laten zien hoe het werkt maar ook hoe je de informatie op het device kan beveiligen tegen threats. 12:30 - 13:00: A minute in cyber security Simon Bryden - consulting systems engineer, Fortinet

In the current threat environment, cyber security techniques must evolve to handle ever-larger volumes of data. This presentation discusses the scale and complexity of the task of converting this raw data into actionable threat intelligence. By using statistics gathered from a typical minute in the FortiGuard labs, we will look at different ways in which information is analysed and managed in order to provide end-to-end protection against evolving threats. • Hear real-life testimony of the operation of a threat intelligence lab • Get an idea of the scale of threat data and how it can be managed • Understand how data can be correlated to create high-quality threat intelligence • Learn about advanced threats and the kill chain • Understand how zero-day threats can be managed and mitigated

13:15 - 13:45: Vijf overpeinzingen voor een betere ICT-beveiliging Walter Belgers - principal security consultant, Madison Gurkha

Als penetratietester kom je veel bij bedrijven en instellingen over de vloer en op die manier krijg je een goed beeld van veel voorkomende problemen binnen organisaties die leiden tot beveiligingsproblemen. In deze lezing wordt een top-5 van problemen behandeld. 14:00 - 14:30: Client IP Reputation: wanneer je reputatie je vooruit snelt Tim Vereecke, Senior Solution Architect, Akamai Technologies Netherlands BV

15:30 - 16:00: Hoe krijg je grip op onbekende virussen? Tim de Gier - IT security consultant, Contec

Virussen maken tegenwoordig gebruik van geavanceerde technieken om virusscanners te omzeilen. Zo is het opsporen van polymorfe virussen zeer complex, doordat dit malware-type bij iedere besmetting van signature verandert. De razendsnelle ontwikkelingen op dit gebied laten veel organisaties achter met vragen zoals ‘hoe detecteer je dergelijke virussen alsnog?’ en ‘hoe stel je de impact van onbekende virussen vast?’

DONDERDAG 5 NOVEMBER

13:15 - 13:45: Vijf overpeinzingen voor een betere ICT-beveiliging Walter Belgers - principal security consultant, Madison Gurkha

14:00 - 14:30: Client IP Reputation: wanneer je reputatie je vooruit snelt Tim Vereecke, Senior Solution Architect, Akamai Technologies Netherlands BV

14:45 - 15:15: The e-mail that will cost you millions Jornt van der Wiel - security researcher Global Research & Analysis Team, Kaspersky Lab

This presentation is a real case that will give insight information of how a cybercriminal gang hacked their way into highly secured networks, using techniques coming straight out of the APT playbook, and got away with millions. The presentation will highlight their modus operandi and discuss simple to advanced countermeasures that could have saved each company millions and their reputation.


10:15 - 10:45: How outsiders become insiders: Understanding and Combating Today’s Threats Craig Everson - director of sales engineering EMEA, Rapid7/iSOC24

11:00 - 11:30: Necessity of Cyber security operations for data breach reporting Christian Prickaerts - principal security expert, Fox IT

11:45 - 12:15: Mobile Threat Prevention: Leer hoe je iOS & Android devices kan beschermen tegen geavanceerde threats zoals zero day en malicious applicaties Zahier Madhar - security engineer, Check Point

12:30 - 13:00: A minute in cyber security Simon Bryden - consulting systems engineer, Fortinet

15:30 - 16:00: Hoe krijg je grip op onbekende virussen? Tim de Gier - IT security consultant, Contec

THEATER 4: CYBER SECURITY WOENSDAG 4 NOVEMBER

Uw website of web applicatie beschermen tegen hackers en datadiefstal is een blijvende uitdaging. Met name de bescherming van web applicaties is complexe materie. Voor security teams is het gebruikelijk om te kiezen voor een aanpak die bestaat uit verschillende lagen: rate controls, payload detection en natuurlijk Client IP Reputation monitoring. Tijdens deze presentatie gaan we in op de voordelen van het toevoegen van een Client IP Reputation Intelligence laag als onderdeel van een gelaagde bescherming tegen cyber aanvallen. We zullen onder andere kijken we naar de manier waarop er aan een IP adres een ‘waarde’ toegekend kan worden naar aanleiding van zijn of haar gedrag in het verleden. Hiermee krijgen organisaties bedreigingen beter inzichtelijk, kan men betere security beslissingen nemen en malafide IP-adressen weren.

14:45 - 15:15: The e-mail that will cost you millions Jornt van der Wiel - security researcher Global Research & Analysis Team, Kaspersky Lab

10:15 - 10:45: Gerichte aanvallen en APT’s: een reëel gevaar? Ronald Pool - cyber security specialist, Trend Micro

Cybercrime kostte het bedrijfsleven afgelopen jaar wereldwijd ruim 455 miljard dollar. Geavanceerde gerichte aanvallen (APT’s) zijn vanwege de grote impact die zij hebben aan de orde van de dag. Steeds vaker worden organisaties geconfronteerd met onder meer Ransomware. Deze aanvallen worden daarnaast complexer en gerichter. Dit maakt het voor organisaties lastiger er adequaat op te reageren. Hoe kunt u voorkomen dat u slachtoffer wordt van cyberaanvallen of bedrijfsspionage? En wat betekent de nieuwe wet meldplicht datalekken voor uw organisatie? 11:00 - 11:30: The next-generation smartphone security Sectra Communications

A smartphone provides great flexibility for individuals. But traditionally, the versatility of smartphones has also exposed them to threats such as malware and interception, which has disqualified them for use by individuals that handle sensitive or classified information. Sectra is proud to present the next-generation secure smartphone featuring advanced pho-

ne integrity and encryption solutions ensuring secure calls as well as the protection of stored information. 11:45 - 12:15: Security: Not a Zero Sum Game. Visibility and control in the cloud - the key to cybersecurity Thomas Kramps, Regional Director Benelux, Netskope

Cybersecurity is een bedrijfsbreed probleem, en niet alleen een IT probleem. Cloud applicatie gebruik, en de daaruit voortkomende beveiligingsrisico’s, wordt niet alleen vanuit IT geïnitieerd maar meer en meer vanuit de gebruiker. IT heeft geen zicht en controle over Cloud applicatie gebruik en de data die naar Cloud Applicaties gaat. Dit gebrek aan inzicht en controle neemt grote beveiligingsrisico’s met zich mee. Met de nieuwe wet op bescherming persoonsgegevens kan dit leiden tot hoge boetes en grote imagoschade. 12:30 - 13:00: Good morning Monday - hello cyber attack! Why IT users outside the corporate network are the new popular target of hackers Gary Dawkin - principle technical consultant, Dimension Data

There is a massive increase in malware detections on Monday mornings when users reconnect their devices to the corporate network. The NTT 2015 Global Threat Intel-


39

g


JAARBEURS UTRECHT

THEATER 5: CLOUD COMPUTING ligence Report shows that seven out of ten vulnerabilities relate to the end-user in an organisation - particularly those who are accessing key systems and data - via devices which often aren’t comprehensively managed by the business. Today, it’s not just traditional end points that organisations need to worry about. The reach of cyber threats has extended to mobile devices and social platforms. How do you adapt your security policy to these new facts? 13:15 - 13:45: Meldplicht datalekken & de EU Databeschermingsregulering – hoe voorkomt uw organisatie torenhoge boetes? Pieter Lacroix - managing director Nederland, Sophos

Op 1 januari 2016 verandert er veel voor Nederlandse organisaties en de kans is dat u nog niet eens weet waar we het over hebben. In juni werd de meldplicht datalekken officieel opgenomen in het Staatsblad en vanaf 1 januari geldt deze nieuwe wetgeving binnen Nederland. Ondervindt uw organisatie een datalek na deze datum, dan riskeert u al gauw een boete van 810.000 EUR of hoger. Naast de Nederlandse overheid is men ook op Europees niveau bezig de regulering rond databeveiliging strenger te maken. Tijdens zijn presentatie legt Pieter Lacroix uit wat deze regels allemaal betekenen en hoe u als Nederlandse organisatie vervolging, boetes en reputatieschade kunt voorkomen.

14:00 - 14:30: A Continuous view of vulnerabilities & Compliance with Cloud Agent Chantal T’Gilde - managing director Netherlands & Nordics, Qualys

Global networks have evolved, and so must the way we assess their security and compliance posture. Traditional assessment methods present many challenges for security teams such as scanning windows, managing credentials, and the rise of cloud environments, which can be cost prohibitive. This talk presents a new disruptive approach using lightweight cloud agents to continuously assess and address the security and compliance of global IT assets, whether on-premise, in elastic cloud environments or endpoints.

•

•

sess and address the security and compliance of global IT assets. How to get real-time inventory of IT assets, whether they reside on premise, in the cloud or mobile endpoints. How to provide IT and security teams visibility and actionable data across millions of IT assets in seconds

11:00 - 11:30: The next-generation smartphone security Sectra Communications

14:45 - 15:15: Best Practices for Scoping Infections and Disrupting Breaches Dessy Dominique - senior sales engineer, Splunk

11:45 - 12:15: Security: Not a Zero Sum Game. Visibility and control in the cloud - the key to cybersecurity Thomas Kramps, Regional Director Benelux, Netskope

Infection and exploits will occur. The new goal is to prevent those infections from becoming a data breach. To do this successfully, security analysts need the ability to continuously collect, analyze, correlate and investigate a diverse set of data.

12:30 - 13:00: Good morning Monday – hello cyber attack! Why IT users outside the corporate network are the new popular target of hackers Gary Dawkin - principle technical consultant, Dimension Data

Attend this session to hear about the specific data sources and capabilities required to determine the scope of an infection before it turns into a breach. 15:30 - 16:00: Barbarians within the gates! Understanding and mitigating targeted attacks Bart Bruijnesteijn - sales engineer North EMEA, Cyber-Ark Software

When an attacker has found his way inside your network, how can you stop him getting to your most valuable information? Because targeted attacks take advantage of a specific organization’s weaknesses, finding attack patterns that fit a broad range of cases is very difficult. But there is one pattern that can be found in almost all targeted attacks: the exploitation of privileged accounts. So, what if you had a way to secure the one thing attackers need for a successful attack?

DONDERDAG 5 NOVEMBER 10:15 - 10:45: Gerichte aanvallen en APT’s: een reëel gevaar? Ronald Pool - cyber security specialist, Trend Micro

13:15 - 13:45: Meldplicht datalekken & de EU Databeschermingsregulering – hoe voorkomt uw organisatie torenhoge boetes? Pieter Lacroix - managing director Nederland, Sophos

10:15 - 10:45: Why Dell Data Center Networking is seen as Extreme Visionary by Gartner Adnan Bhutta - director global strategy, Dell

In 2014, Dell announced a radically new switching paradigm (Open Networking), allowing organizations to run third-party software on our switches. According to Gartner, “Dell has been the most innovative and disruptive mainstream data center networking vendor in the market over the past 12 months”. Software Defined Networking and Open Networking are terms that have been oracled in the press as “the natural next big thing”. During this session, we would like to give you more insight on why Dell is in pole position to take the lead in this upcoming revolution. 11:00 - 11:30: Storage on Your Terms: Deep Dive into Software-Defined Storage Technologies and Use Cases Rob Bloemendal, Regional Sales Manager Benelux & Nordics, Nexenta

twenty years, the next ten years will be a period of rapid advances-storage is set to shift from bottleneck and cost center to a primary enabler of an organization’s virtualization vision. This is an idea and data-rich session for big thinkers. Learn how your peers are riding these three waves to realize the fuller potential of their data center-walk away with their best practices in mind. 12:30 - 13:00: Zou het kunnen? Simpele Disaster Recovery? Gijsbert Janssen van Doorn - SE manager Benelux & Nordics, Zerto

Over 70% of Dutch organisations are not fully confident in their ability to recover systems and data from all platforms following a disruption. While most companies believe data protection to be critical to the success of their organisation, 41% still rely on daily backup as their primary protection strategy. Zerto will discuss if this is still a relevant strategy. We’ll consider: • •

14:00 - 14:30: A Continuous view of vulnerabilities & Compliance with Cloud Agent Chantal T’Gilde - managing director Netherlands & Nordics, Qualys

14:45 - 15:15: Best Practices for Scoping Infections and Disrupting Breaches Dessy Dominique - senior sales engineer, Splunk

15:30 - 16:00: Barbarians within the gates! Understanding and mitigating targeted attacks Bart Bruijnesteijn - sales engineer North EMEA, Cyber-Ark Software

What attendees will learn: • How to build a continuous program to as-

40

WOENSDAG 4 NOVEMBER


Software-Defined Storage (SDS) means different things to different people, with solutions ranging from do it yourself to full-fledged scale up and scale out architectures, the landscape can seem blurry and confusing. This session aims to eliminate the confusion on what all these terms mean by mapping each style of SDS with a corresponding environment. These solutions include the use of virtual server based solutions, containers, bare metal installs and even hyper-converged. Regardless of vertical or company size, from branch offices through the largest enterprise, the right Software-Defined Storage strategy can put you back in control and help you gain unmatched levels of flexibility, scalability, performance, and cost efficiency. 11:45 - 12:15: Embracing the Era of VM-aware Storage - Smart Storage for Virtualisation and Cloud Niels Roetert, Systems engineer, Tintri

Three major trends are shaping the future of storage-virtualization, cloud and performance. While storage has changed little in the past

•

The key differences between backup, disaster recovery and business continuity The factors that need to be considered when designing and deploying a data protection strategy that takes into account all critical data, no matter where or how it’s generated The impact that new workloads - such as cloud, big data and mobile - are having on data protection

13:15 - 13:45: Big data, cloud en digital creëren een revolutionair nieuwe kijkervaring voor o.a. de Tour de France. Ontdek hoe! Jessica Constantinidis - senior next generation datacenter consultant, Dimension Data

Dimension Data is voor vijf jaar de officiële Technology Partner van de Amaury Sport Organisation (ASO) - de eigenaar van de Tour de France en verschillende andere grote wielerevents. We voorzien wielrenfans snel en direct van gedetailleerde wedstrijdinformatie. Ontdek hoe wij gebruik maken van cloud, big data en digital om miljoenen wielerfans een revolutionair nieuwe kijkervaring te bieden.

Tijdens deze sessie leert u tevens hoe u binnen uw eigen organisatie makkelijker de transitie naar cloud kunt maken en kunt profiteren van een versnelde time-to-value. 14:00 - 14:30: Shadow IT: van ‘sneaky bastards’ naar business value in de Cloud! Eric Otten - ITaaS/cloud architect & datacenter consultant, Telindus

Maakt u al gebruik van Cloud diensten? Cloud wordt steeds meer gezien als doel, om tegemoet te komen aan wensen van gebruikers en de gestelde business doeleinden. Is uw IT infrastructuur niet geschikt om dit te realiseren, kunt u besluiten dit met Cloud diensten in te vullen. En als u het niet doet, doen uw gebruikers het wel middels Shadow IT. Hoe houdt u de controle? Hoe integreert u Cloud met uw interne IT? In deze presentatie hoort u wat Shadow IT en Software Defined voor u kunnen betekenen bij uw “Journey to the Cloud”. 14:45 - 15:15: Keeping Ahead of the Cloud and Manage it All Marwin Marcussen - EMEA solution architect, Kaseya

It is an open door to tell that technology changes are rapidly accelerating. IT departments and Managed Service Providers need to cope with that and must be able to adapt and manage that. But how? You cannot buy tooling all the time to manage all new technology. DONDERDAG 5 NOVEMBER 10:15 - 10:45: Why Dell Data Center Networking is seen as Extreme Visionary by Gartner Adnan Bhutta - director global strategy, Dell

11:00 - 11:30: Storage on Your Terms: Deep Dive into Software-Defined Storage Technologies and Use Cases Rob Bloemendal, Regional Sales Manager Benelux & Nordics, Nexenta


41

g


11:45 - 12:15: Embracing the Era of VM-aware Storage - Smart Storage for Virtualisation and Cloud Niels Roetert, Systems engineer, Tintri

12:30 - 13:00: Zou het kunnen? Simpele Disaster Recovery? Gijsbert Janssen van Doorn - SE manager Benelux & Nordics, Zerto

13:15 - 13:45: Big data, cloud en digital creëren een revolutionair nieuwe kijkervaring voor o.a. de Tour de France. Ontdek hoe! Jessica Constantinidis - senior next generation datacenter consultant, Dimension Data

14:45 - 15:15: Keeping Ahead of the Cloud and Manage it All Marwin Marcussen - EMEA solution architect, Kaseya

14:00 - 14:30: Shadow IT: van “sneaky bastards” naar business value in de Cloud! Eric Otten - ITaaS/cloud architect & datacenter consultant, Telindus

JAARBEURS UTRECHT

* How we realised 91% power reduction by consolidating to Oracle storage and servers * How we managed 93% floor space reduction * Cooling down by 80% * Significantly reduced management overhead * Application engineered storage, the added bonus in end-user experience DONDERDAG 5 NOVEMBER 10:15 - 10:45: Kijk voor meer informatie op www.infosecurity.nl Cisco

THEATER 6: DATA CENTER & INFRASTRUCTURE OPTIMISATION WOENSDAG 4 NOVEMBER 10:15 - 10:45: Kijk voor meer informatie op www.infosecurity.nl Cisco

11:00 - 11:30: Met ketenmonitoring grip op een ‘educatieve’ hybrid cloud Gertjan Flinterman - ICT manager, Hogeschool Windesheim via The Backbone

Voor een hogeschool als Windesheim is de ICT essentieel (als enabler en strategisch gezien) voor het primaire proces, namelijk het onderwijs dat wordt gegeven. Grote incidenten moeten snel onder controle zijn en worden opgelost of minimaal afdoende worden gecommuniceerd. Het hebben van minder verstoringen is direct ondersteunend aan het succes van de organisatie De ICT van Windesheim kan worden getypeerd als een ultiem voorbeeld van een hybrid cloud met (nog) veel componenten in eigen beheer en (steeds meer) services en die worden afgenomen. De spreker neemt u mee in de wereld van ICT binnen het hoger onderwijs en zal laten zien hoe Windesheim voor haar educatieve hybrid cloud de vereiste business continuity behaalt, namelijk door toepassing van ketenmonitoring.

42

11:45 - 12:15 Kijk voor meer informatie op www.infosecurity.nl Arcade ICT

13:15 - 13:45: Hyperconverged IT infrastructuur: Versimpel uw IT Arif Goelammohamed, Solution Architect, SimpliVity

SimpliVity is opgericht met een missie om IT te vereenvoudigen. Als pionier in de hyperconverged infrastructuurmarkt helpt SimpliVity bij het vereenvoudigen van het beheer van complexe en logge legacy IT-systemen. SimpliVity’s hyperconverged IT-platform levert enterprise-class prestaties en geeft IT-managers de beschikbaarheid die zij vandaag de dag nodig hebben. Geen enkel ander bedrijf heeft alle IT-elementen onder de hypervisor (8-12 ongelijksoortige functies) in een eenvoudige 2U building block samengebracht, om IT te vereenvoudigen, operationele efficiëntie, en 3x TCO op te kunnen leveren. De unieke data virtualisatie-architectuur verbetert prestaties, beveiliging en data-efficiëntie. Tegelijkertijd is het centrale beheer toegankelijk via slechts één enkele interface. 14:00 - 14:30: Security at the 3 IT-Environments Virtual, Physical and Mobil (technical presentations incl. live demonstration) Claudiu-Mihai Nastac - technical project manager, Bitdefender

11:00 - 11:30: Computing everywhere? Monitoring everywhere! Gert Kiewiet technisch directeur, The Backbone

11:45 - 12:15: Kijk voor meer informatie op www.infosecurity.nl Arcade ICT

13:15 - 13:45: Hyperconverged IT infrastructuur: Versimpel uw IT Arif Goelammohamed, Solution Architect, SimpliVity

Join the Bitdefender presentation and find out more about the leading solution for security management, as only Bitdefender provides a concrete response to the current challenges in terms of scalability and performance. From the beginning, developed for the requirements in heterogeneous environments and building on a unique architecture, Gravity Zone combines the security for virtualized, physical, mobile endpoints and Exchange Server.

14:00 - 14:30: Security at the 3 IT-Environments Virtual, Physical and Mobil (technical presentations incl. live demonstration) Claudiu-Mihai Nastac - technical project manager, Bitdefender

14:45 - 15:15: Availability for the Modern Data Center Henk Arts - senior system engineer, Veeam

15:30 - 16:00: How a customer profited from vendor lock-in by betting lock, stock and barrel on Oracle Daniel Lieuw & Wouter Runnenburg - accountmanagers, Oracle

14:45 - 15:15: Availability for the Modern Data Center Henk Arts - senior system engineer, Veeam

The modern business is an always-on, 24/7 enterprise with workers dispersed across multiple locations. This has driven the need for modern IT services which can be delivered at any time to anywhere. Yet most of all, it has made clear the fact that business continuity and protection of data in the modern world has to evolve.

THEATER 7: ENTERPRISE MOBILITY WOENSDAG 4 NOVEMBER

15:30 - 16:00: How a customer profited from vendor lock-in by betting lock, stock and barrel on Oracle Daniel Lieuw & Wouter Runnenburg - accountmanagers, Oracle


10:15 - 10:45: Do you need to easily and professionally manage all mobile devices in your organization? What about Dell?’ Andy Struys - senior EMEA solution architect, Dell

Companies are facing critical choices regarding mobility. End users want maximal flexibility while security still needs to be in place. Data needs to be available on all devices the end user wants but how do we manage all those devices? How can we make IT as agile as possible to keep up with the rapidly changing business without adding too much complexity?

11:00 - 11:30: Van Mobile Device naar Mobiele Werkplek Roy Peters, Regional Sales Manager Mobility, Citrix

Roy Peters is als Regional Sales Manager Mobility binnen Citrix Nederland verantwoordelijk voor vraagstukken op het gebied van


43

g


JAARBEURS UTRECHT

THEATER 8: IT SERVICE MANAGEMENT & CONTROL mobiliteit, met een focus op het EMM pakket XenMobile van Citrix. Thematieken als het beheren van mobiele apparaten, beveiliging van applicaties en data, alsmede het veilig delen van bestanden zijn onderwerpen waarmee Roy zich dagelijks bezig houdt. Recentelijk rijst steeds vaker de vraag hoe vervolgens een werkplek volledig gemobiliseerd kan worden, iets waar Citrix ook een perfecte oplossing voor biedt. Roy leunt op meer dan 15 jaar ervaring in ICT en Telecom, met voornamelijk klanten in overheid en grootzakelijke omgeving.

11:45 - 12:15: The impact of Enterprise Mobility on IT Service Management and Compliance Oliver Bendig - CTO, Matrix42

Todays employees have the desire to work from anywhere, anytime and on any device. To support mobile work-styles many IT organizations have started to use Enterprise Mobility Management (EMM) solutions to control the Mobility Tsunami. But a Mobility project is more than just technology and does not end with the ability to deploy Apps and Data to devices. The mobile workspace creates new requirements on IT Service Desk and the Compliance processes and teams. Learn in this session about the impact of Mobility on IT Service Management and License Management and how to avoid the most common pitfalls in Mobility projects. 12:30 - 13:00: Unified endpoint management Marwin Marcussen - EMEA solution architect, Kaseya

The growth of mobile devices is enormous, by the end of this year there are almost 7.2 billion mobile sim connections. How do you manage that growth as an IT department or as a Managed Service Provider? Is managing data the answer to that?

13:15 - 13:45: Case Study: BearingPoint- Enterprise Mobility Mastered a Key Factor for Productivity Peter Schuchmann - enterprise account executive, Airwatch

Anytime, anywhere mobile access to corporate data is a required capability in today’s fast-paced enterprises. BearingPoint had the goal to free consultants of administrative work, so they can focus on business. BearingPoint’s IT team say that it was crucial to offer applications that made life easier for consultants such as managing invoices, terms of office, Financial Dashboard, etc. Join AirWatch by VMware as we explore BearingPoint’s mobility journey and discuss their successful enterprise mobility management strategy where they were able to provide world class services anytime, anywhere to its employees. 14:00 - 14:30: Wi-Fi - A Platform For More Than Connectivity Matthew Gast – director of technology, Aerohive

25 Billion network connected devices are expected by 2020, thanks to the proliferation of the Internet of Things (IoT), which will see the rise of intelligent workspaces, from building controls, to security, or simply to remotely make a coffee from your desk. With Wi-Fi already firmly established as the primary access medium for laptops, tablets, and smartphones etc. organisations are beginning to explore how they can leverage their infrastructure to provide additional value beyond connectivity, for both their existing connected user base, and this new wave of network hungry IoT systems and sensors. Join Aerohive to explore these opportunities. DONDERDAG 5 NOVEMBER

11:00 - 11:30: Van Mobile Device naar Mobiele Werkplek Roy Peters, Regional Sales Manager Mobility, Citrix

11:45 - 12:15: Workspace Management as a Service: Managing the Personal Cloud from the Cloud Oliver Bendig - CTO, Matrix42

The workspace of the future is a Personal Cloud that consists of many Apps, many Devices, many Data and many IT-Services that are provided on-premise or/ and are consumed as a cloud service. The Personal Cloud is the next major evolution of the user experience. As the Personal Cloud rises in importance, IT organizations will find current approaches to dealing with users will fail. IT leaders are seeking for an easy button to manage the hybrid personal cloud of end-users. Learn in this session about the challenges that Personal Cloud brings to IT organizations and how IT can control and secure it through a management solution from the Cloud. 12:30 - 13:00: Unified endpoint management Marwin Marcussen - EMEA solution architect, Kaseya

13:15 - 13:45: Case Study: BearingPoint- Enterprise Mobility Mastered a Key Factor for Productivity Peter Schuchmann - enterprise account executive, Airwatch

14:00 - 14:30: Wi-Fi – A Platform For More Than Connectivity Matthew Gast – director of technology, Aerohive

10:15 - 10:45: Do you need to easily and professionally manage all mobile devices in your organization? What about Dell?’ Andy Struys - senior EMEA solution architect, Dell

44


WOENSDAG 4 NOVEMBER 11:00 - 11:30: De voordelen en de uitdagingen van geïntegreerd IT Business Service Management Guy Werckx - managing director, OMNINET

Dienstverlenende organisaties (zowel interne- als externe service providers) zijn voortdurend op zoek naar manieren om hun maturiteit en efficiëntie te verhogen. Dit op operationeel, functioneel en strategisch niveau. Meestal zijn de processen min of meer onder controle, maar gefragmenteerde support afdelingen, een gedifferentieerd softwarelandschap en slechte integraties leiden vaak tot verlies van visibiliteit, overzicht, controle, algemene inefficiëntie en met als uiteindelijke gevolg te hoge kosten. De oplossing is om te evolueren van een geïsoleerde IT Service Management organisatie en oplossing, naar een completere en beter geïntegreerde Business Service Management inrichting. Hierbij ondersteunt één software oplossing de volledige levenscyclus van CRM-, Project-, Service- en Finance Management. Deze pragmatische en hands-on presentatie richt zich op de uitdagingen waar dienstverlenende organisaties mee worden geconfronteerd tijdens deze overgang en de voordelen die het een organisatie kan opleveren. Het geeft inzicht over hoe een verhoging van de efficiëntie en kostenbesparing hand in hand kunnen gaan. 11:45 - 12:15: Automation, dé oplossing voor efficiencyverbetering, kostenverlaging en betere klantenservice! Wil van Krieken - senior sales engineer, HEAT Software

Volgens diverse analisten hebben steeds meer CIO’s in 2015 prioriteit voor de Mobiele Klanten ervaring, naast de ondersteuning van desktops en laptops. Meer en meer wordt gebruik gemaakt van tablets of smartphones om toegang te krijgen tot bedrijfsdata. Dit heeft een enorme impact op uw IT organisatie: niet alleen voor de beveiliging van uw data maar ook op het aantal groeiende Incidenten die door Uw service Desk moeten worden opgelost, alsmede de complexiteit

ervan door de diversiteit aan platformen. Leer tijdens deze sessie hoe uniform beheer van uw heterogene omgeving d.m.v. automation met uw Service Management oplossing een positieve bijdrage zal leveren op uw klantenervaring. 12:30 - 13:00: FrieslandCampina: Met Service Management van IT kostenpost naar Strategische Enterprise Oplossing Jan Hoogenberg - manager business specific platform, FrieslandCampina via Axios Systems

Royal FrieslandCampina behoort, met vestigingen in 32 landen, tot de grootste zuivelondernemingen in de wereld. In deze presentatie gaat Jan in op de werkzaamheden van de IT organisatie om het service management wereldwijd uit te rollen. Deze aanpak zorgt ervoor dat interne processen worden gestructureerd en geoptimaliseerd. Tegelijkertijd zijn de medewerkers via self service zelfredzaam waardoor forse besparingen optreden. De service management oplossing is niet langer een IT oplossing maar biedt toegevoegde waarde voor de gehele organisatie hierdoor zijn kostenbesparingen en een betere kwaliteit van de dienstverlening naar de toekomst toe geborgd. 13:15 - 13:45: Ketenintegratie, van klant tot leverancier Pouyan Daddeh - consultant, TOPdesk

De kwaliteit van uw dienstverlening staat centraal, maar door de groeiende rol van uw leveranciers wordt het voor u een uitdaging om die kwaliteit te blijven waarborgen. In deze presentatie demonstreert Pouyan Daddeh hoe u de keten van klant tot leverancier optimaal kunt faciliteren. Door het wegnemen van schakels verhoogt u de efficiëntie van uw dienstverlening en zorgt u voor een optimale klantbeleving. Daarbij is goede en efficiënte communicatie met uw leveranciers van levensbelang. 14:45 - 15:15: Managed Security - The importance of a layered security Ian Trump, Lead Security, LogicNow

Het klinkt als een utopie; een beveiligingsoplossing die niet alleen voorspelt waar je netwerk zal worden aangevallen, maar meteen de best mogelijke oplossingen voor je op een rijtje zet. Een beveiligingsoplossing die machine learning mogelijk maakt en prescriptieve analyses uitvoert. Zo’n oplossing zou een enorme verandering in IT-dienstverlening en voor IT-professionals betekenen. Een dergelijke oplossing is er. De oplossing is niet alleen beschikbaar voor grote ondernemingen met een groot IT-budget, maar ook voor middenen kleinbedrijven.

15:30 - 16:00: Efficient paperless workflow in point of sales Thomas Kaeb - senior sales manager, WACOM Europe & Jan van Buren - managing director, Lucom Benelux

Wacom in cooperation with Lucom presents their handwritten electronic signature solutions that make signing contracts and other business processes much easier. For example, the phone contracts of telecom stores in the Netherlands are drawn up, digitally signed using a Wacom pad, emailed and archived with Lucom software. This has resulted in direct cost savings and efficiency, improved the legal validity of contract information and finally satisfied customers and staff. In this session we will show you the completely digital execution of such a process and will also tell about the numerous possibilities to make processes paperless in various industries. DONDERDAG 5 NOVEMBER 11:00 - 11:30: De voordelen en de uitdagingen van geïntegreerd IT Business Service Management Guy Werckx - managing director, OMNINET

11:45 - 12:15: Automation, dé oplossing voor efficiencyverbetering, kostenverlaging en betere klantenservice! Wil van Krieken - senior sales engineer, HEAT Software


45

g


12:30 - 13:00: FrieslandCampina: Met Service Management van IT kostenpost naar Strategische Enterprise Oplossing Jan Hoogenberg - manager business specific platform, FrieslandCampina via Axios Systems

13:15 - 13:45: Werk samen met uw leveranciers aan een betere dienstverlening Pouyan Daddeh - consultant, TOPdesk

15:30 - 16:00: Efficient paperless workflow in point of sales Thomas Kaeb - senior sales manager, WACOM Europe & Jan van Buren - managing director, Lucom Benelux

14:45 - 15:15 Verbeter het contact met uw klanten over alle kanalen dankzij Skype for Business Aldo Estoppeij, Cloud Productivity Specialist, Vodafone

is daarom belangrijk en dáár ligt onze expertise. Wat komen wíj tegen bij voor u herkenbare projecten? Wat zijn de best practices en succesfactoren? Ga met ons mee op weg naar Universal Communications!

Laat u inspireren door talloze mogelijkheden die u beschikbaar krijgt om uw klantcontact te optimaliseren met Skype for Business als de verbindende factor. Géén techniek, koppelingen of promotie van software omgevingen. Wel concrete inspiratie op het vereenvoudigen en verbeteren van uw communicatie(proces) voor al uw kanalen. Skype for Business waarover u met Skype for Business eenvoudig zult beschikken. De belofte van Skype for Business is niet alleen communicatie vanuit één interface vanaf ieder device. Wij overbruggen grenzen richting tal van applicaties waar we informatie vandaan betrekken óf laten zelfs de informatie in die applicaties leidend zijn in de manier waarop we communiceren en bereikbaar zijn. Hoe ziet dit eruit voor uw organisatie?

14:45 - 15:15: Managed Security - The importance of a layered security Ian Trump, Lead Security, LogicNow

THEATER 9: UNIVERSAL COMMUNICATIONS WOENSDAG 4 NOVEMBER 10:15 - 10:45: Universal Communications met Skype for Business Mark Meerbeek - product marketing manager Skype for Business, Microsoft

Een belangrijke stap in de missie van Microsoft is om op een nieuwe manier naar productiviteit te kijken en mensen met elkaar te verbinden. We noemen dit ook wel Universal Communications. Skype for Business (SfB) is hier een belangrijke eerste stap in en combineert de bekende op Skype geïnspireerde ervaring, met een set aan uitgebreide Lync eigenschappen plus de mogelijkheid om te connecteren met 300 miljoen plus Skype gebruikers. Voor organisaties biedt dit de kans om geheel nieuwe Business- of Klant-scenario’s te kunnen bedenken. In de vorm van een presentatie zal dit door Microsoft nader worden toegelicht. 11:00 - 11:30: Skype for Business versus traditionele telefonie, hoe veilig is uw bedrijfscommunicatie? Lucas Wensing - oprichter en CEO, StartReady & Jeroen van Vliet - oprichter en CTO, StartReady

Organisaties maken de stap van traditionele telefonie naar Universal Communications op basis van Skype for Business. Met welke zaken moet u rekening houden als het gaat om IP-communicatie, beveiliging van systemen (toegang, versleuteling, verbindingen, werkplek), en integratie met bestaande systemen zoals gateways en ISDN? Aan de hand van praktijkvoorbeelden nemen we nu mee langs deze thema’s.

46

11:45 - 12:15: Bereikbaarheid en samenwerken met Skype voor Bedrijven Edwin Rademaker - senior productmanager, KPN & Robin Koenders - consultant Skype for Business, KPN

KPN is dé partij om alle communicatievoorzieningen vanuit één partij, één contract, één aanspreekpunt, één helpdesk en één adviseur te regelen. Ook het beheer en de service kunnen volledig uit handen genomen worden. Met meer dan 50.000 gebruikers live vormt KPN een bewezen en vertrouwde partij. Tijdens de presentatie krijgt u inzicht in de verschillende mogelijkheden en de kansen voor uw organisatie; de projectaanpak bij de uitrol van Skype en de mogelijke on-premise, hosted en hybride oplossingen. En daarnaast de adoptie: technologie gaat pas echt werken als medewerkers het omarmen. KPN heeft vanuit Consulting een omvangrijk adoptieprogramma ter bevordering van de adoptie van Skype for Business. 12:30 - 13:00: Slimmer (samen)werken is hot! Best Practices Usage & Adoption Lync/Skype for Business Marion Stempels - managing partner, ThemaTeam & Thea van den Bosch - managing partner, ThemaTeam

Slimmer (samen)werken is hot! De tools zijn er. Hoe zorgen we ervoor dat deze ook daadwerkelijk optimaal worden ingezet en gebruikt? Hoe kunt u meer halen uit de tools en op een nieuwe manier productiviteit en mensen verbinden? Leer van de praktijkervaringen en kom naar onze sessie. Het succes van invoeringen van nieuwe manieren van werken en communiceren ligt uiteindelijk bij de gebruikers. Usage & Adoption

JAARBEURS UTRECHT

13:15 - 13:45: Klantcontact met Skype for Business in de praktijk GertJan Coolen - senior business consultant, Communicare

Wat zijn de voordelen voor een organisatie als zij overstapt van traditionele telefonie naar Skype for Business en wat komt hierbij kijken? Welke strategie en visie is nodig om de organisatie anders te laten denken en deze nieuwe manier van werken eigen te maken. Wat zijn de voordelen voor de klant? Hoe zorgt een organisatie voor eenvoud voor de agent, optimale klantbediening en tevreden klanten door de inzet van aanvullende contact center software? 14:00 - 14:30: Noise@Work – block out the noise and concentrate Frank Timmermans, Country Manager Benelux & Nordics, Plantronics

Our recent study proves that noise in the workplace is a growing issue. With nine out of ten employees affected, join our session for no more unnecessary noise and improved collaboration. Hear how Plantronics can help.


15:30 - 16:00 De Surface Hub, echt samenwerken! Eric Hartsink, Directeur, Communicativ

Medio q1 - 2016 wordt de Microsoft Surface Hub verkrijgbaar in de markt. Met dit room device wil Microsoft een geïntegreerde manier van samenwerken aanbieden in combinatie met Microsoft Skype for Business en

Business applicaties. Hoe werkt dit apparaat nou echt en wat betekent dit voor uw toekomstige samenwerken? Communicativ heeft in combinatie met zijn strategische partner Insight (Elite partner Surface Hub) de mogelijkheid gekregen om de Surface Hub live te demonstreren en dit doen we dan ook echt live, inclusief Q&A aan het eind van de sessie.

DONDERDAG 5 NOVEMBER 10:15 - 10:45: Universal Communications met Skype for Business Mark Meerbeek - product marketing manager Skype for Business, Microsoft

11:00 - 11:30: Skype for Business versus traditionele telefonie, hoe veilig is uw bedrijfscommunicatie? Lucas Wensing - oprichter en CEO, StartReady & Jeroen van Vliet - oprichter en CTO, StartReady

11:45 - 12:15: Bereikbaarheid en samenwerken met Skype voor Bedrijven Edwin Rademaker - senior productmanager, KPN & Robin Koenders - consultant Skype for Business , KPN

12:30 - 13:00: Slimmer (samen)werken is hot! Best Practices Usage & Adoption Lync/Skype for Business Marion Stempels - managing partner, ThemaTeam & Thea van den Bosch - managing partner, ThemaTeam

13:15 - 13:45: Klantcontact met Skype for Business in de praktijk GertJan Coolen - senior business consultant, Communicare

14:00 - 14:30: Noise@Work – block out the noise and concentrate Frank Timmermans, Country Manager Benelux & Nordics, Plantronics

14:45 - 15:15 Verbeter het contact met uw klanten over alle kanalen dankzij Skype for Business Aldo Estoppeij, Cloud Productivity Specialist, Vodafone

15:30 - 16:00 De Surface Hub, echt samenwerken! Eric Hartsink, Directeur, Communicativ

ZAAL 10: MANAGEMENT SEMINARS WOENSDAG 4 NOVEMBER 11:00 - 11:45: KEYNOTE: Computing Everywhere: Van applicaties en diensten naar systeemoplossingen Rob van Kranenburg - oprichter, Resonance Design

Het huidige security en computing paradigma is gebroken. In Engeland wordt jaarlijks voor 18 miljard pond schade aangericht door hacks en het jaar daarop voor 16 miljard geïnvesteerd. Het is duidelijk dat alle partijen baat hebben bij het huidige paradigma. Met de komst van Internet of Things is dat onhoudbaar geworden. Elk object wordt uniek adres-

seerbaar, middels de ecologie RFID/NFC/ barcode/QR code en elk object waar software redelijkerwijs in kan krijgt een IPv6 adres. IoT is enorm disruptief. Het enige niveau dat stil lijkt te staan is het strategische beleidsniveau zowel publiek als privé. Noch het democratisch politieke model, noch het bedrijf als entiteit is houdbaar. Een pragmatisch cybernetisch model dringt zich op. 12:00 - 12:45: KEYNOTE: Data Analytics in the Cloud Steve Seymour - solution architect EMEA, Amazon Web Services

13:00 - 13:45: Enterprise Mobility: vloek of zegen? Ali Agzanay - information security officer, NS

De maatschappij kan niet zonder mobiliteit omdat het ons zowel op privé als zakelijk gebied voordelen biedt. De voordelen brengen zoals vaak ook nadelen met zich mee in de vorm van risico’s die we lopen. De risico dienen we te mitigeren zonder de voordelen uit het oog te verliezen, dit kan het mobility vraagstuk complex maken. We willen vrijheid geven aan de medewerkers maar toch controle houden op wat ze met die vrijheid kunnen. Tijdens deze presentatie zal worden ingegaan op vraagstukken rond Enteprise Mobility Ma-


47

g


JAARBEURS UTRECHT

ZAAL 11: MANAGEMENT SEMINARS nagement (EMM). Kan EMM ons verder helpen of moeten we op zoek naar andere oplossingen? 14:00 - 14:45: KEYNOTE: Internet Exchange - at the heart of the Internet Mark Cooper - chief commercial officer, AMS-IX

As more and more services migrate to the cloud the connectivity becomes more and more vital. But in most cases enterprises are unaware of how they actually reach the services over the internet. The presentation will explain the role of an internet exchange and how it ensures that the cloud is accessible regardless of whether its from a PC at home or office or even from a mobile device. 15:00 - 15:45: ICT-denken en de hersenen: Waarom leidt systeemdenken iedere keer tot dezelfde (on)gewenste resultaten? Bernd Jansen - oprichter, Instituut MENZ

Waarom doen we vaak hetzelfde met vaak hetzelfde resultaat ondanks dat we eigenlijk iets anders willen? Deze presentatie kan helpen om een beter inzicht te krijgen in hoe wij mensen denken en hoe we onze werkelijkheid bouwen. Hoe we vast kunnen blijven zitten in onze (soms niet werkende) strategieën en wat we kunnen doen om daar verandering in te brengen. Wij hopen dat deze lezing je (humorvol) gaat verassen, je misschien jezelf laat inspireren en dat je positief de zaal verlaat. Let op: Dit seminar duurt een uur in plaats van drie kwartier

tion security dienstverlening. Deze uitvraag was onderdeel van een omvangrijke aanbesteding en betrof ook diensten voor werkplek, hosting, service desk en connectiviteit. Deze presentatie gaat in op de wijze waarop NS het ambitieniveau heeft vastgesteld, dit heeft vertaald in een security architectuur en de uitgevraagde dienstverlening. Tot slot geven wij kort inzicht in de wijze waarop het toezicht op het gerealiseerde beveiligingsniveau is ingeregeld. Wij sluiten af met enkele “lessons learned”. 12:00 - 12:45: Data Management als invulling van het kwaliteitsaspect Integriteit Rolf Emmens - consultant data management, Emmens Information Consulting

Beveiligingstrajecten stellen veelal een informatieclassificatie centraal. Elk informatieasset wordt gescoord op beschikbaarheid, vertrouwelijkheid en integriteit. Waar deze classificatie over integriteit van informatie gaat, zegt dat ook iets over de bron hiervan: de onderliggende data. Maatregelen voor integriteit van informatie gaan daarmee over integere data. Masterdata vormt het fundament voor betrouwbare data voor alle processen en actoren die die data moeten gebruiken. Daarnaast is masterdata veelal informatieasset overstijgend en zal wellicht een eigen classificatie moeten krijgen. Emmens zal een methode presenteren waarmee vanuit de risico analyse informatiebeveiliging de brug wordt gelegd naar het vakgebied (Master) Data Management.

13:00 - 13:45: Meldplicht Datalekken: administratieve last of invulling van goed risico management? Erik König - privacy officer global markets, Koninklijke Philips & Wolter Karssenberg management consultant privacy, EigenRuimte Advies

Op 1 januari 2016 gaat de meldplicht datelekken in. Iedere organisatie is dan - op straffe van hoge boetes - verplicht om datalekken te melden aan de toezichthouder (CBP) en aan de betrokkenen (cliënten, burgers, patiënten, etc.). In dit seminar gaan Erik König en Wolter Karssenberg in op de belangrijkste vragen:In welke situatie moet ik melden aan het CBP en aan de betrokkenen? Hoe snel moet ik melden? Wat moet ik melden? Wat zijn de consequenties als ik niet meld? Hoe borg ik het meldproces van detectie tot opvolging? Hoe ga ik om met publiciteit? U wordt op de hoogte gebracht van de wettelijke eisen en de praktische invulling daarvan. 14:00 - 14:45: Cyber security? (serious) Game on! Bas Stroeken - executive consultant, Atos Consulting

Serious gaming is een uitermate geschikt middel om uitdagingen rondom cyber security bewustzijn en gedrag te adresseren. Het is namelijk effectiever dan traditionele methoden, zoals colleges volgen, boeken lezen, of e-learnings doen. Met een actuele case uit de spoorsector (Life Savers Game) is dit seminar praktisch ingestoken en beantwoordt het vragen als: Wat is serious gaming? Wat is het niet? Wat levert het op? Hoe pak je het aan? En wat zijn de valkuilen?

WOENSDAG 4 NOVEMBER 12:00 - 12:45: Turbo-training: Dit móét u weten over de hybride cloud Bart Matthijs Veldhuis - Computable Expert en cloud architect, Weolcan

Het meest voorkomende model van cloud is tegenwoordig de hybride cloud waarbij public en private gecombineerd worden. Deze presentatie is eigenlijk een (turbo) training en geeft een onafhankelijk beeld van welke stappen je moet nemen, welke risico’s eraan verbonden zijn en hoe deze te mitigeren zijn. Vervolgens gaan we ook in detail in op hoe je selecteert welke applicaties geschikt zijn voor welke cloud en welke use cases er zijn voor de hybride cloud. 13:00 - 13:45: OpenStack - Backup automated Eric Kessels - CTO, Fairbanks

In OpenStack the workloads are typically short term. How can you make sure that those workloads are backup on a save way and made available very fast when there is a problem. 14:00 - 14:45: De werelden van management en expert bij elkaar gebracht Stef Schinagl - IT Auditor, Noordbeek

Information Security as a Service bij de NS Joseph Mager - information security officer, NS & Jack Krul - information security officer, NS

Managers moeten besluiten nemen op basis van ‘echte’ risico’s welke de missie van de organisatie in gevaar brengen. Daarvoor hebben zij advies nodig van hun (risico)experts en IT Auditors. Helaas lijkt het dat deze experts zijn opgesloten in technische details op een te laag operationeel niveau, waardoor zij te ver afstaan van de ‘bedoeling’ van de organisatie. Management en Experts leven in verschillende werelden met elk een eigen taal, niet te begrijpen voor elkaar.

In 2013 heeft NS haar ambitieniveau voor informatiebeveiliging bepaald. Op basis van dit ambitieniveau heeft NS vervolgens een uitvraag in de markt gezet voor o.a. informa-

Schinagl schetst de probleemanalyse en licht toe hoe risico georiënteerde educatie voor de security expert, systeemtaal en -denken kan reduceren. Dit alles baseert hij op onderzoekresultaten van een pilot welke is uitgevoerd op de IT Audit opleiding aan de Vrije Universiteit van Amsterdam.

DONDERDAG 5 NOVEMBER 11:00 - 11:45:

48


DONDERDAG 5 NOVEMBER 12:00 - 12:45: De impact van DevOps op uw organisatie Anko Tijman - Computable Expert en Agile & DevOps coach, Ordina

Wat verstaan we precies onder DevOps, wat is de kern en waarom zou je het willen toepassen? Aan de hand van 3 principes wordt besproken welke impact DevOps heeft op beheer, ontwikkeling en de mensen in uw organisatie: 1) Automatisering van de automatisering, 2) Beheer én Ontwikkeling gaan nu samenwerken, en 3) Leren uit productie, betekent plannen, organiseren en realiseren op basis van feiten. Vervolgens kijken we naar wat dit betekent voor mens en organisatie. 13:00 - 13:45: Hardware is dead, Long live software! Willem de Bruijn - onafhankelijke storage consultant, Inforstorage

We zitten in een overgang naar software defined oplossingen in de datacenters. (Infrastructure, Storage, etc...). De manier hoe hardware gebruikt kan worden is niet meer

beperkt door de hardware zelf. Software kan de ontwikkelaar ontzorgen en de hardware afhankelijkheden verwijderen. Dit kan worden bereikt door bijvoorbeeld containerisatie of virtualisatie. Hoe ver we met software defined kunnen gaan in onze datacenters wordt duidelijk gemaakt in deze sessie aan de hand van een aantal voorbeelden. 14:00 - 14:45: Privacy vs Data Protection - Computing Everywhere Means Data Everywhere Alex McDonald - SNIA Europe Board of Directors (NetApp)

Computing everywhere means data everywhere. This enormous change in the way we provide and consume IT means that there are new and significantly different requirements for data protection (preventing malicious and accidental access to or loss of data) and privacy (ensuring the rights of individuals and organisations to control what information can be stored about them). This tutorial explores the new EU data protection legislation and highlights the elements that could have significant impacts on data handling practices.


49

g


JAARBEURS UTRECHT

ZAAL 12: TECHNISCHE SEMINARS WOENSDAG 4 NOVEMBER 12:00 - 12:45: Infrastructure and storage in an age of clouds and containers Nigel Poulton - independent infrastructure specialist

Clouds and containers are rocking the world - companies and individuals that can’t adapt will be left behind. In this session, we’ll take a look at some of the cloud and container technologies that are aiming to meet the needs of traditional enterprises. 13:00 - 13:45: Wel of geen OpenStack: The right tool for the right job Erik Zandboer - advisory vSpecialist EMEA, EMC

In dit seminar wordt een globaal overzicht geschetst van OpenStack en zijn componenten. Er wordt gekeken in welke situaties OpenStack kan helpen, en in welke situaties OpenStack een minder goede match is. Om daar achter te komen zullen ook de termen ‘platform 2’ en ‘platform 3’ aan bod komen, en de verschillen daartussen.

standing what it takes to make the solution scale horizontally. In this presentation I’ll go into some of the basic concepts of Big Data. How Big Data solutions accept and use the characteristics of the underlying hardware and what this means for the architecture of the applications and algorithms that run on it. At the end of this presentation you will understand why I say that nobody running a true BigData system uses a SAN to store their data. 15:00 - 15:45: Flash - Plan for the disruption Paul van der Lingen - SNIA Europe Benelux Member (NetApp)

This presentation will cover the following: • • • • • •

Introduction to flash storage How flash is being deployed in storage systems Considerations and tradeoffs Performance benefits of flash in storage Trends in non-volatile memory Network impact of flash in storage

DONDERDAG 5 NOVEMBER 11:00 - 11:30: The Value of Software Defined Storage Rob Bloemendal - SNIA Europe Benelux Committee (Nexenta)

Vraagt u zich af of OpenStack iets voor u kan betekenen? Zet dan de eerste stap door dit seminar te bezoeken. 14:00 - 14:45: Nobody stores Big Data on a SAN! Niels Basjes - lead IT-architect scalable solutions, Bol.com

At bol.com Big Data is the fact of life for almost everything. One of the key things needed to successfully run Big Data solutions is under-

Software defined storage has emerged as an important concept in storage solutions and management. This session defines the elements that differentiate software defined storage solutions in a way that enables the industry to rally around their core value. A model of software defined storage infrastructure is described in a way that highlights the roles of virtualization and management in software defined storage solutions.

Learn about the characteristics of various software defined storage solutions. Understand a vendor neutral model that melds these characteristics together. Learn how those characteristics create flexible storage solution value. 12:00 - 12:45: Software snel en veilig ontwikkelen Ad Kint - management consulting professional, CIP & Marcel Koers - senior strategisch architect, CIP

Ad Kint en Marcel Koers geven inzicht in de CIP producten “Grip op SecureSoftwareDevelopment(SSD)” en “Grip op de beveiliging in inkoopcontracten”. Toepassing van deze producten resulteert in een baseline voor veilige software en een betere sturing, opdrachtverstrekking door de opdracht gevende partij. Het op te leveren resultaat door de aannemer/bouwer is toetsbaar en verifieerbaar door de opdracht gevende partij. Het Centrum voor Informatiebeveiliging(CIP) is een door de overheid in het leven geroepen publieke/private netwerkorganisatie. 14:00 - 14:45: Haken en ogen aan Hybride Omgevingen Bas Steelooper - CSO, ConsultingExperts

Cloud is hot, iedereen heeft het erover. In Nederland ligt de acceptatie van cloud lager dan in andere landen. In deze sessie gaat Bas jullie meer vertellen over voordelen en nadelen van cloud met name hoe dat past binnen de reeds bestaande ICT-omgeving. Waar moet je op letten binnen de organisatie, welke afwegingen/overwegingen moeten worden gemaakt bij toekomstige keuzes en investeringen binnen de ICT-omgeving.

ZAAL 13: TECHNISCHE SEMINARS WOENSDAG 4 NOVEMBER 12:00 - 12:45: Infosecurity Hacking Challenge v3.0 - powered by Deloitte: ‘Ervaar hoe een hacker te werk gaat’ Rob Muris - senior consultant, Deloitte & Coen Steenbeek - senior manager, Deloitte & Ivo Noppen - junior manager, Deloitte

50

Hacken is het doorbreken van de beveiliging van een applicatie of infrastructuur en wordt vaak met enig mysterie omgeven. In deze sessie tonen wij u hoe hackers echt werken. Tijdens InfoSecurity 2012, 2013 en 2014 hebben eerdere Hacking Challenges

plaatsgevonden met zeer enthousiaste reacties. Dit jaar hebben we onze challenge totaal vernieuwd, met voor de deelnemende hackers nog meer diepgang - waarbij u live kan meekijken. De sessie wordt begeleid door Deloitte Ethical Hacking experts, die tevens live toelichting geven over de acties van de hackers.


13:00 - 13:45: Hacking you, your computer, your organization, and your information Bruce Wynn - independent cyber consultant

Best rated speaker at Infosecurity Belgium of this Year A live stageshow based on a real hacking campaign by forces in the Syrian Conflict! Bruce Wynn plans to translate the obscure ‘hacker talk’ (of things like droppers, loaders, bootstrappers, RATs and loggers) into what it really means to you. Using real (but disguised!) methods, tactics and tools from the Syrian Conflict, he’ll show how ‘they’ got in, what ‘they’ did once in, and how ‘they’ got out! His avowed intent is to: • • • • •

Open Your Eyes Focus Your Mind Stimulate Your Imagination Scare you Half to Death Resuscitate You!

As a result of the show, he knows you will modify some of your online behaviour!

15:00 - 15:45: Hacking a Fortune 500 - Catch me if you can Marc Smeets - IT security advisor, Linq42 & Pieter Ceelen – oprichter, Securing.nl

13:00 - 13:45: Quantum computing: big trouble and opportunities for cybersecurity Tim Taminiau - group leader, QuTech, Delft University of Technology

Twee sprekers - een aanvaller en een verdediger - nemen je mee in het aanvallen en verdedigen van een bedrijf met voorbeelden en tips van beide zijden.

The laws of quantum mechanics enable a fundamentally new way to process information. This creates both challenges and opportunities for secure communication. On the one hand quantum computers can efficiently crack some of the widely used cryptography schemes. On the other hand, quantum communication provides methods to communicate securely. In this talk I will introduce these ideas and discuss a recent experiment at Delft University that demonstrates that secure communication, guaranteed by the laws of physics, is possible.

Kernpunten: • interactief en technisch diepgaand • van concepten zoals Kill Chain en Pyramid of Pain naar praktische voorbeelden • de halve waarheid die SIEM heet • moderne tools maar ook gewoon gezond verstand • eenvoudige voorbeelden die een SOC effectiever laten werken. DONDERDAG 5 NOVEMBER 11:00 - 11:45: Infosecurity Hacking Challenge v3.0 - powered by Deloitte: ‘Ervaar hoe een hacker te werk gaat’ Rob Muris - senior consultant, Deloitte & Coen Steenbeek - senior manager, Deloitte & Ivo Noppen - junior manager, Deloitte

14:00 - 14:45: Hoe maak je een (on)veilige Android-app: De OWASP Mobile Top 10 Ton van Deursen - senior security consultant, Madison Gurkha

In deze presentatie gaat Ton van Deursen in op de meest voorkomende kwetsbaarheden in Android-apps op basis van de OWASP mobile Top 10. Hierbij gebruikt hij voorbeelden uit door Madison Gurkha uitgevoerde pentesten. Verder geeft hij richtlijnen voor ontwikkelaars waarmee kwetsbaarheden in Android-apps kunnen worden voorkomen. De OWASP (Open Web Application Security Project) Mobile Top 10 is het minder bekende broertje van de OWASP Top 10 voor webapplicaties. De OWASP Mobile Top 10 bevat de tien meest voorkomende kwetsbaarheden in mobiele applicaties.

12:00 - 12:45: Side Channels: Hardware of software dreiging? Job de Haas - principal security analyst, Riscure

14:00 - 14:45: The DevOps Butterfly effect and why Failure is not an option, but a requirement Mark Reijn - mission critical engineer, Schuberg Philis & Reinier Beeckman - developer, CGI

De keuze voor dagelijkse kleine software aanpassingen, in plaats van één grote release, zorgen voor flexibiliteit en voorspelbaarheid in Europa’s grootste zeehaven. De continuïteit van dagelijks meer dan honderd zeeschepen is hierbij het uitgangspunt.

“Side channels” is de term voor informatie-kanalen die onbedoeld geheimen lekken vanuit een beveiligd systeem. De aanvalstechniek kreeg grote bekendheid toen eind jaren negentig door meting van het stroomverbruik de geheime sleutel uit een smart card gehaald kon worden. Maar wat zijn de gevaren van “Side channels” vandaag de dag? Is het alleen een risico voor hardware oplossingen? Of ook voor een website? Deze presentatie geeft een inzicht in de state-of-theart op het gebied van “Side Channel Attacks”. INFOSECURITY MAGAZINE - NR. 4 - NOVEMBER 2015

51

BEURS

Centraal thema op Infosecurity, Storage Expo en The Tooling Event

COMPUTING EVERYWHERE VRAAGT OM MEER BEWUSTWORDING

De smartphone is anno 2015 de gewoonste zaak van de wereld. Bellen, mailen, apps versturen, foto’s maken en vervolgens delen op social media. Het is net zo normaal als water uit de kraan en stroom uit het stopcontact. Niemand staat er meer bij stil dat de meest eenvoudige smartphone meer rekenkracht heeft in één apparaat dan waarover de NASA in de jaren ’60 beschikte voor het Apollo-project, dat zoals bekend leidde tot de eerste maanlanding. Deze vergelijking laat zien hoe enorm krachtig de technologie in slechts een paar decennia is geworden. Het lijkt erop dat de bewustwording over die enorme toename van rekenkracht geen gelijke tred heeft gehouden met de technologische ontwikkeling zelf. Toegegeven: als Edward Snowden onthult hoe

overheden massaal data verzamelen van en over burgers, is er veel protest. Datzelfde gebeurt als blijkt dat Volkswagen met behulp van technologie consumenten en overheden zand in de ogen strooit

over schadelijke uitstoot van hun auto’s. Ook dan is de verontwaardiging groot. Niettemin zijn meer dan een miljard mensen akkoord gegaan met de algemene voorwaarden van Facebook zonder ze te lezen. Datzelfde geldt voor de miljoenen mensen die Google, OneDrive of Dropbox gebruiken. Ik ken niemand die de moeite heeft genomen om de kleine letters te lezen. Toch is algemeen bekend, dat we flink inleveren op privacy wanneer we het vakje ‘Ik ga akkoord’ bij een van deze bedrijven aanvinken. CONSEQUENTIES VAN COMPUTING EVERYWHERE Computing Everywhere is een trend die niet te stoppen is. Nog even en allerlei

apparaten in en om het huis zijn op grote schaal verbonden met het internet, van koelkast tot thermostaat tot alle verlichting. Dat alles heeft meer consequenties dan op het eerste oog zichtbaar. Zo zal deze trend naar verwachting zorgen voor een ander - en vooral - lichter privacybegrip. Op dit moment is de privacy in Europa - in tegenstelling tot de Verenigde Staten - relatief goed beschermd. Zo zijn persoonlijke data in Europa de eigendom van het individu, terwijl ze in Amerika het bezit zijn van de organisatie die ze opslaat. Vraag is hoelang Europa dat weet vast te houden. Daarnaast is er het toenemende gevaar van misbruik van data door organisaties, maar zeker ook door overheden. Uiteindelijk is de overheid van vandaag niet per se de overheid van morgen. WAT KUNNEN WE DOEN? In de eerste plaats is er paal en perk te stellen aan wat er allemaal verzameld wordt. Dat is veel meer dan zichtbaar is voor het oog. Ook in de broekzak of handtas levert de smartphone data aan de operator, om maar een voorbeeld te noemen. In de auto-industrie is er op initiatief van overheden een heel systeem van emissienormen ontstaan dat de uitstoot van CO2 aan banden moet leggen. Over de praktische uitwerking daarvan is na het VW-schandaal veel te zeggen, maar een dergelijk normstelsel heeft hoe dan ook zijn waarde. Dat zou ook kunnen gelden voor de technologiesector, waar een vergelijkbaar stelsel kan zorgen voor meer terughoudendheid in wat organisaties en landen allemaal over individuen verzamelen. Daarbij zou er een maximum kunnen gelden voor wat betreft het opslaan van bepaalde privacygevoelige data. Het voorbeeld van VW laat zien dat dat niet eenvoudig is, zeker omdat data grensoverschrijdend zijn. Maar het alternatief - alles wat op te slaan is, gaan we opslaan en we zien wel wat we ermee doen - is ook ongewenst. BEWUSTWORDING Daarnaast moeten we als afnemers van technologie ons meer bewust zijn van de effecten van deze ontwikkeling. Zolang iedereen uitsluitend oog heeft voor het gebruik en het gemak van technologie en zonder nadenken instemt met eenzijdige gebruiksvoorwaarden van organisaties, zal er niet veel veranderen. Daarvoor is

52

'Computing Everywhere biedt heel veel goeds in de vorm van gemak en rust, maar stelt de samenleving ook voor cruciale vragen' een omslag in denken nodig. De smartwatch - nieuwste loot aan de verzameling intelligente devices - verzamelt gezondheidsinformatie die de bezitter weliswaar helpt om gezonder te leven, maar ook de zorgverzekeraar de middelen biedt om zijn premie te differentiëren. Dat klinkt positief, maar de vraag is of dat ook zo is. Want hoelang duurt het voordat de verzekeraar een smartwatch als verplichting gaat opleggen? En wat gebeurt er dan met mensen die niet ambulant zijn? Gaan die meer premie betalen? Computing Everywhere biedt heel veel goeds in de vorm van gemak en rust, maar stelt de samenleving ook voor cruciale vragen die beslist een antwoord nodig hebben. Daar liggen nog flinke uitdagingen.

Eric Nieuwland werkt als consultant en trainer bij Inspearit en Cibit Academy. Tevens is hij lid van de adviesgroep van de Jaarbeurs voor Infosecurity

Dit jaar is Computing Everywhere het overkoepelende thema van de drie IT-beurzen Storage Expo, Infosecurity.nl en The Tooling Event op 4 en 5 november in de Jaarbeurs in Utrecht. Binnen het thema is uitgebreid aandacht voor zaken als cloud computing, datacenter-infrastructuuroptimalisatie en datagroei en storagecapaciteit. Meer informatie is te vinden op de websites van de drie beurzen: Infosecurity, Storage Expo en The Tooling Event.


53

IMMUUNSYSTEEM VOOR INTERNET

BEDRIJVEN VERWAARLOZEN

ONLINE

VERTROUWEN Uit het toenemende aantal cyberaanvallen en een rapport over de mogelijke financiële gevolgen daarvan, blijkt dat bedrijven hun online vertrouwen verwaarlozen. Kevin Bocek, vice president security strategy & threath intelligence van Venafi pleit daarom voor beter beheren van encryptiesleutels en certificaten. Het Internet is de afgelopen decennia een onmisbare infrastructuur geworden voor online business en communicatie. Een groot aantal bedrijven heeft er zelfs hun bestaansrecht aan te danken, terwijl vele miljarden aan marktkapitalisatie gebaseerd zijn op innovaties en productiviteitsverbeteringen die het Internet mogelijk maakt. Door alle voordelen waarvan iedereen profiteert, beseffen businessmanagers nog niet dat securityverantwoordelijken zich steeds meer zorgen maken over het online vertrou-

wen van hun organisatie. Sinds het vorige onderzoek twee jaar geleden, hebben namelijk alle door het Ponemon Institute ondervraagde Global 5000 bedrijven te maken gehad met een aanval op hun encryptiesleutels en digitale certificaten. Omdat daarop de beveiliging van alle online business en communicatie in de wereld is gebaseerd, wordt het tijd om de oogkleppen af te zetten voor de mogelijke gevolgen van online vertrouwen verliezen.

WAARSCHUWINGSSIGNALEN De afgelopen jaren zijn succesvolle inbraken bij ‘vertrouwde’ organisaties waarschuwingen geweest die niet langer te negeren zijn. Zoals het daardoor veroorzaakte faillissement van DigiNotar in Nederland. Maar ook het door cybercriminelen gestolen SSL/TLS-certificaat van een top 5 bank, waarmee 80 miljoen klantbestanden zijn gestolen, of de diefstal via zo’n certificaat van gegevens over 4,5 miljoen patiënten. Voor zowel online business als ieders privacy, is weten wie u kunt vertrouwen van cruciaal belang. Dat belang wordt de komende jaren alleen maar groter wanneer apparaten, machines en robots zonder tussenkomst van mensen met elkaar gaan communiceren via het Internet of Things. Als bedrijven verzuimen zich structureel beter te beveiligen, zijn ze onvoorbe-

reid op wat securityprofessionals al de Cryptoapocalypse noemen. De dag dat cybercriminelen met gekraakte cryptografische sleutels en valse certificaten als ultieme wapens erin slagen om een groot gedeelte van de wereldeconomie te verstoren. ONDERZOEK NAAR ONLINE VERTROUWEN Het feit dat online vertrouwen gebaseerd op cryptografische sleutels en certificaten gevaar loopt, wordt bevestigd door het 2015 Cost of Failed Trust Report van Ponemon Institute. Slechts de helft van alle 2.394 ondervraagden is zich daarvan bewust en is het eens met Gartner’s visie dat digitale certificaten niet langer blindelings te vertrouwen zijn. De andere helft negeert het gevaar dat ze hun online vertrouwen verliezen tot nu toe volledig. Uit het onderzoek blijkt tevens dat 54% van alle respondenten niet weet waar en hoe alle digitale sleutels en certificaten voor SSL/TLS en SSH-communicatie binnen de eigen organisatie worden bewaard en gebruikt, terwijl het gemiddelde aantal ervan bij de ondervraagde organisaties sinds 2013 met 34% is gegroeid naar bijna 24.000. Die groei wordt aangejaagd door de onthullingen van Edward Snowden en het feit dat Google websites die daarvan gebruik maken beter waardeert. Omdat veel organisaties hun sleutels en certificaten in spreadsheets beheren, in plaats van met een centrale managementoplossing, hebben ze er bij beveiligingsincidenten onvoldoende grip op. SLEUTEL- EN CERTIFICAATMANAGEMENT De sterke groei in gebruikte sleutels en certificaten wordt mede veroorzaakt door het toenemende gebruik van cloud services en mobiele apparatuur. Security professionals verwachten dat aanvallen via mobiele certificaten de komende jaren zowel het vaakst gaan voorkomen als de grootste impact hebben. Omdat er geen alternatieven voor het gebruik van encryptiesleutels en digitale certificaten beschikbaar zijn, wordt het tijd dat organisaties ze beter gaan beschermen maar ook sneller anticiperen op ontdekte kwetsbaarheden, zoals na de Heartbleed onthulling vorig jaar. Daarvoor is realtime inzicht nodig in welke sleutels en certificaten waar worden gebruikt en een ma-

54

'Als bedrijven verzuimen zich structureel beter te beveiligen, zijn ze onvoorbereid op wat securityprofessionals al de Cryptoapocalypse noemen' nagementoplossing waarmee ze indien nodig geautomatiseerd te vervangen zijn, in plaats van handmatig op basis van spreadsheets. Verder is het voor grote bedrijven verstandig om zelf het Internet te monitoren met betrekking tot te koop aangeboden certificaten. Deze worden daar namelijk voor $ 1.000,-- of meer tussen cybercriminelen verhandeld.

ver tegen te houden. Als oplossing voor dat geautomatiseerde beheer heeft Venafi een digitaal immuunsysteem voor het Internet geïntroduceerd, genaamd Venafi Trust Protection Platform. Meer hierover is te lezen in de kadertekst en op www.venafi.com

IMMUUNSYSTEEM VOOR HET INTERNET Het menselijk lichaam wordt beschermd door een immuunsysteem gebaseerd op HLA-tags, die goede en kwade cellen van elkaar onderscheiden en op basis daarvan accepteren of afstoten. Die tags zijn bij elk mens uniek en zelflerend, in een complexe veranderende lichaamsomgeving die continu wordt bedreigd. Het Internet is ontworpen met een vergelijkbaar identificatiesysteem, gebaseerd op cryptografische sleutels en digitale certificaten. Omdat deze echter blindelings worden vertrouwd lukt het cybercriminelen vrij eenvoudig om webservers te hacken en malware toe te voegen aan software. Alleen als bedrijven hun eigen sleutels en certificaten beter gaan beheren en bij incidenten snel geautomatiseerd vervangen, zijn aanvallen effectie-

VENAFI TRUST PROTECTION PLATFORM Venafi Trust Protection Platform is een immuunsysteem voor Internet om alle digitale assets van organisaties te beveiligen. Die gebruikt worden in datacenters, desktops, mobiele apparatuur en de cloud. Het platform werkt samen met Venafi ThrustAuthority om het gebruik van alle sleutels en certificaten realtime inzichtelijk te maken en te managen op basis van de securitystrategie en policies. Met behulp van Venafi TrustForce is de levenscyclus van sleutels en certificaten van een organisatie volledig geautomatiseerd te beheren, inclusief het vervangen ervan bij ontdekte bedreigingen. Tenslotte bewaakt Venafi TrustNet het wereldwijde gebruik en vertrouwen van alle sleutels en certificaten.


55

CLOUDTELEFONIE

CLOUDTELEFONIE EN DATABEVEILIGING:

EEN DEGELIJKE DUITSE

COMBINATIE

Twee derde van de Duitse IT-bedrijven kiest voor Duitse producten en diensten. Nee, het is niet chauvinisme dat hieraan ten grondslag ligt, maar de strenge Duitse privacywetgeving. Deze is nog strikter dan de telecommunicatierichtlijnen van de EU. NFON, leverancier van hoogwaardige, cloud-gebaseerde telefonie-oplossingen, koestert zijn ‘Made in Germany’-signatuur. “Het is meer dan een imago, het is een kwaliteitslabel dat onderdeel is van ons DNA”, volgens Jürgen Städing, Chief Product Officer van NFON. NFON AG is dé toonaangevende leverancier van cloud-gebaseerde IP-telefonie in Europa. Het bedrijf heeft zijn hoofdkantoor in München en is actief in twaalf Europese landen en Turkije. NFON is de enige aanbieder van cloud-telefonie voor grote bedrijven. Het is mogelijk met deze

oplossing om één tot 249.000 toestellen binnen een organisatie aan te sluiten. Voor zijn laatste PAC-onderzoek (door Pierre Audoin Consultants) heeft NFON de krachten gebundeld met LANCOM Systems, de Duitse producent van WLAN-technologie. De resultaten van

dat onderzoek waren opmerkelijk. Twee derde van de respondenten zei altijd een product of dienst te kiezen met een ‘Made in Germany’-label. Gevraagd naar de reden, gaf 99 procent de Duitse privacywetgeving en bescherming van persoonsgegevens op, 97 procent het feit dat datacenters zich op Duits grondgebied bevinden en 96 procent de gemoedsrust die een overeenkomst biedt als deze gebaseerd is op Duits recht. Daarnaast vindt 94 procent het belangrijk dat het hoofdkantoor van het bedrijf in Duitsland is gevestigd en near- of off-shoring geen deel uitmaakt van het ontwikkelproces. BETROUWBARE IT-OPLOSSINGEN “Dit toont aan dat de hele NSA-affaire verder reikt dan de Amerikaanse rege-

ring wil inzien”, zegt Städing. “Bedrijven die in Europa werken voor de overheid of overheidsinstanties, moeten betrouwbare IT-oplossingen aanbieden. Het is hét belangrijkste selectiecriterium voor overheden in Europa. Maar ook bedrijven die werken met gevoelige en bedrijfskritische informatie willen zich niet blootstellen aan beveiligingsrisico’s.” De Duitse telecommunicatiewet (TKG) is een federale wet die de telecommunicatie-industrie reguleert. Alle bedrijven die cloud-gebaseerde telecommunicatie-oplossingen aanbieden in Duitsland moeten zich strikt houden aan een aantal voorschriften qua boekhouding, certificering, gegevensbescherming, privacy en veiligheid. Städing: “Het vreemde is dat deze regeling niet van toepassing is op on-premise telecommunicatieoplossingen. En dan te bedenken dat wij geen telecommunicatiesysteem bieden, maar een cloud-dienst. De wetgever in Duitsland stelt dat elke IP-gebaseerde dienst om een strengere aanpak vraagt. Toen NFON startte, zo rond 2007, hebben we veel energie gestoken in het voldoen aan alle voorschriften. We moesten vooraf aangeven wat we gingen doen met klantgegevens als er externe partijen bij betrokken zijn: wie heeft toegang tot de gegevens en hoe informeren we onze klanten daarover? De regering eiste een diepgaande analyse van onze processen. Alle inspanningen uit de begintijd werpen nu hun vruchten af. Omdat we echt kunnen zeggen dat onze cloud-oplossing veel veiliger is dan een on-premise oplossing.” GROOTSTE LEVERANCIER VAN CLOUD-TELEFONIE Hoewel de strenge wetten in Duitsland werden gezien als een obstakel voor jonge bedrijven om de telecommunicatiemarkt te betreden, is dit voor NFON achteraf een voordeel gebleken om zich te ontwikkelen tot Europa’s grootste leverancier van cloud-gebaseerde telefoonsystemen. De TKG is nu een aanbeveling als het gaat om veiligheid, uitsluitend back-uppen in datacenters in Duitsland en het beschermen van persoonsgegevens. Städing: “NFON voldoet volledig aan de Duitse regelgeving, ondanks het feit dat we geen persoonlijke gegevens opslaan buiten de muren van een organisatie. Een back-up van zakelijke telefoonnummers, e-mailadressen en extensies

56

zoals ‘John Smith’ of ‘kantoor’ wordt lokaal gemaakt. Wij slaan wel, gedurende maximaal dertig dagen, de voicemails op in onze datacenters. En dan nog, op verzoek van een bedrijf kunnen we de spraakbestanden versleutelen, ook dat hoort bij onze dienstverlening.” Volgens Städing is privacy stevig verankerd in de Duitse grondwet. En gezien de geschiedenis van Duitsland, is deze heilig voor de meeste Duitsers. “Burgers moeten hun regering kunnen vertrouwen op dit punt. Privacy wordt gerespecteerd, gesproken woorden zijn privé. Gegevens worden niet geanalyseerd en niet voor langere tijd opgeslagen, zonder toestemming vooraf van de rechthebbende of zonder een uitspraak van de rechter. In veel landen is de aanvraag van een politieman om gegevens in te zien al voldoende.” SOLIDE BUSINESSMODEL Dan zijn er nog andere aspecten die te maken hebben met veiligheid, dat wil zeggen redundantie, stabiliteit en beschikbaarheid. Städing is zich bewust van het feit dat cloud-diensten een imago-uitdaging hebben. “Soms vertellen prospects me dat een cloud-gebaseerd telefoonsysteem geen optie is, omdat dit volledig afhankelijk is van de beschikbaarheid van een IP-netwerk. Dan vertel ik ze dat geen telefoontjes kunnen plegen tijdens een netwerkstoring onderaan hun zorgenlijstje zou moeten staan. Tegenwoordig is bedrijfscontinuïteit namelijk

volledig afhankelijk van de stabiliteit van een IP-netwerk. Een netwerkstoring kan het verschil betekenen tussen concurrerend zijn en failliet gaan. Een ander argument dat ik vaak gebruik, is dat NFON vanuit zijn datacenters in Duitsland tienduizenden klanten ondersteunt. Voor deze klanten bieden wij elke cloud-gebaseerde telefooncentrale denkbaar. Zonder een solide en veilig netwerk heeft NFON eenvoudigweg geen businessmodel.” Omdat NFON de hoge kwaliteit van zijn diensten streng bewaakt, vraagt het bedrijf het TÜV-instituut elk jaar om de spraakkwaliteit te testen en met duizenden testtelefoontjes de beschikbaarheid van het systeem te onderzoeken. Städing: “In mijn optiek is er geen twijfel. Cloud-gebaseerde telefoonsystemen zijn de toekomst. De komende drie jaar gaat meer dan vijftig procent van de Duitse bedrijven zijn PBX vervangen; dan hebben we het alleen al in Duitsland over meer dan 3,1 miljoen bedrijven. Zij staan voor de keuze: investeren we in een eigen PBX of kopen we telefonie in als een service? Met een contract dat ze per maand kunnen opzeggen, pay-peruse, functierijke UC, integratie met ERPen CRM-systemen, schaalbaar en geen onderhoudskosten. Je hoeft niet helderziend te zijn om te beseffen dat een overgrote meerderheid van de bedrijven gaat kiezen voor een toekomstvast cloud-gebaseerd telefoonsysteem.”


57

EXPERTVISIE

Security professionals snakken naar een baseline

SECURITY ANALYTICS VERBETERT ZICHT OP INCIDENTEN Geen enkele organisatie heeft een compleet overzicht van alle bedreigingen. Sterker nog: veel bedrijven weten het nog niet eens als ze zijn gehackt. Dit blijkt onder andere uit een onderzoek van het SANS Institute. Security Analytics op basis van Big Data moet zorgen voor een ‘baseline’ waardoor er een beter zicht ontstaat op alles wat afwijkt van normaal en incidenten sneller worden opgespoord. ‘Datagedreven informatiebeveiliging’ is zeker geen nieuw fenomeen. Al sinds de opkomst van de Intrusion Detection Systemen eind jaren ’80 analyseren we logs, verkeersstromen en events als we een gebeurtenis (achteraf) aan een forensisch onderzoek willen onderwerpen.

Het op het spoor komen van afwijkende verkeerspatronen door logfiles te analyseren, is sinds jaar en dag ook de kern van iedere Security Information and Event Management (SIEM)-oplossing. Ondanks deze lange voorgeschiedenis worstelen securityprofessionals echter

nog altijd met het verkrijgen van inzicht in wat er gebeurt op het netwerk, zo luidde een van de belangrijkste conclusies van het SANS Institute nadat het 350 securityprofessionals had ondervraagd voor de Analytics and Intelligence Survey 20141. Op de vraag of het bedrijf de afgelopen twee jaar slachtoffer is geweest van een hack, gaf 24 procent aan geen idee te hebben. Van de respondenten die zich wel bewust waren van een aanval of inbraak, kon een belangrijk deel geen indicatie geven van de detectietijd. Vijf procent van de ondervraagden gaf aan dat de detectietijd in het ergste geval opliep tot ruim tien maanden.

KLOOF IN SECURITYDEKKING Dat aanvallers doorgaans ruimschoots de tijd krijgen om rond te neuzen op het netwerk en door de data, bleek ook uit een studie van het Ponemon Institute waarvan de resultaten in januari van dit jaar werden gepresenteerd. Volgens dit onderzoek zijn ‘bad guys’ gemiddeld al 243 dagen binnen voordat ze worden opgemerkt. Daarna duurt het vervolgens nog eens ongeveer 45 dagen om de schade te herstellen2. Dat bedrijven er lang over doen om een inbraak te detecteren – en in enkele gevallen een inbraak helemaal niet detecteren – is niet zo vreemd als je bedenkt dat bedrijven met gemiddeld 17.000 malware-alerts per week te maken hebben. Slechts vier procent van alle malware-alerts wordt daadwerkelijk onderzocht. Dit betekent een significante kloof in de dekking van security. Daarnaast worden niet alle belangrijke malware-infecties onderschept door traditionele ‘endpoint’ security-oplossingen en handmatige interventies, waardoor organisaties verder worden blootgesteld. BASELINE 36 procent van de door het SANS Institute ondervraagde securityprofessionals gaf aan vooral moeite te hebben met het vaststellen wat normaal verkeer en normaal gedrag is. Door het ontbreken van een ‘baseline’ weten veel professionals niet waar ze op moeten letten. Eveneens 36 procent gaf aan het gevoel te hebben dat Big Data de sleutel is tot een betere detectie. Steeds meer securityleveranciers beloven die baseline te bieden met Security Analytics waarbij alles draait om het verzamelen van nog meer securitydata dan we al gewend waren. Door op die Big Data analyses los te laten, wordt het mogelijk om ‘normale patronen’ te herkennen in het gedrag van de gebruikers of in het verkeer dat het netwerk of de endpoints passeert. Big Data wordt dus als het ware ingezet voor het ‘profilen’ van verkeer en gedrag. Verkeer of gedrag dat afwijkt van deze ‘baseline’ moet (automatisch) leiden tot een alert. EVENTS CORRELEREN Volgens marktonderzoeksbureau Gartner is Security Analytics een van de belangrijkste securitytrends van dit moment en ‘mogelijk de sleutel in de detectie van inbraken’. “Security Analytics-platforms trachten security-events in een context

58

Bastiaan Schoonhoven

‘Slechts vier procent van alle malware-alerts wordt daadwerkelijk onderzocht’ te plaatsen door zo veel mogelijk data te verzamelen en te analyseren, zodat in ieder geval de events die de grootste schade toebrengen met een grote nauwkeurigheid worden gevonden”, aldus research director Eric Ahim van Gartner. De kracht van een Security Analytics-platform schuilt volgens Gartner in het vermogen om events die verspreid door de tijd plaatsvinden met elkaar in verband te brengen en als één enkel incident te zien. Dat een aanval meerdere stadia door-

loopt, bleek bijvoorbeeld uit de hack bij de in Nederland gevestigde simkaartenfabrikant Gemalto, die in februari van dit jaar aan het licht kwam. De activiteiten die nu in verband worden gebracht met deze hack vonden plaats in 2010 en 2011 en strekten zich uit over meerdere stadia. Zo werd in 2010 het Franse interne netwerk van Gemalto aangevallen en later dat jaar werden er e-mails met malware naar medewerkers onderschept. Tegelijkertijd werden er verschillende pogin-


59

EXPERTVISIE

BLOG PRAGMATISCHE ICT SECURITY

LEG EERST

gen gedaan om de pc’s van Gemalto-medewerkers te kraken. Met een Security Analytics-oplossing waren deze events waarschijnlijk sneller opgemerkt en met elkaar in verband gebracht, en had het incident een hogere prioriteit gekregen. ONVOLWASSEN MARKT “De securitymarkt is nu nog onvolwassen als het gaat om de toepassing van analytics”, zo stelt Gartner-analist Ahim. De markt is nog volop in ontwikkeling en het is dan ook lastig om te voorspellen welke combinatie van tools uiteindelijk voor de beste Security Analytics-oplossing gaat zorgen. Wel duidelijk is dat SIEM-oplossingen zoals HP ArcSight een belangrijke rol gaan spelen aangezien deze oplossingen bij uitstek geschikt zijn om grote hoeveelheden data te verzamelen, op te slaan en te analyseren. Security Analytics-oplossingen kijken ‘offline’ naar data over grote tijdsperioden om daar patronen in te ontdekken en detecteren vervolgens zelf of via SIEM de afwijkingen van die patronen. Daarnaast ziet Gartner een rol weggelegd voor tools voor ‘user behavior analytics’ die kijken of het gedrag van de ge-

EEN GOEDE BASIS

in Washington kondigde deze leverancier namelijk DNS Malware Analytics aan als aanvulling op HP User Behavior Analytics (UBA) dat eerder dit jaar werd geïntroduceerd. HP DMA helpt bedrijven bij de automatische analyse van de data die mogelijk een bedreiging vormen. Daarbij wordt gekeken naar de karakteristieken van malware die via DNS contact opneemt met de Command & Control-server van

‘Door het ontbreken van een ‘baseline’ van normaal gedrag weten veel professionals niet waar ze op moeten letten’ bruiker opvallende afwijkingen vertoont. Als we bijvoorbeeld online onze bankzaken regelen, dan gaan we doorgaans eerst naar de homepage, checken ons saldo en maken daarna misschien geld over. Aanvallers laten een geheel ander patroon zien; die gaan zo snel mogelijk naar de pagina om geld over te maken om zo snel mogelijk het geld weg te sluizen. DNS MALWARE ANALYTICS Een mooi voorbeeld van de tools die beschikbaar komen voor Security Analytics werd afgelopen september geleverd door HP Enterprise Security Products. Tijdens de gebruikersconferentie Protect 60

de hacker om te voorkomen dat het IPadres van de server wordt opgepikt door een anti-botoplossing. Op basis van slimme algoritmen kunnen risico’s snel worden gedetecteerd. Hierdoor is het volgens HP mogelijk om ook de dreigingen die we nu nog niet aan zien komen en zero-day aanvallen die nog niet in het wild zijn gespot te detecteren en te stoppen. EXTERNE EXPERTISE Hoe de gebruikers uiteindelijk omgaan met de uitkomsten van Security Analytics is in grote mate bepalend voor het succes van de oplossingen die nu op de markt komen. Ook de manier waarop de data worden gevisualiseerd, bepaalt

voor een belangrijk deel de adoptie van Security Analytics. En uiteindelijk draait het natuurlijk allemaal om een goede incident-response op basis van het verkregen inzicht. Daarvoor is technologie alleen niet genoeg; dat vraagt om Mensen, Processen en Technologie, en die componenten zijn niet altijd in overvloed aanwezig. Niet verwonderlijk dat in het eerder aangehaalde onderzoek van het SANS Institute 31 procent van de ondervraagden aangaf dat het voor detectie van incidenten op basis van verzamelde data vertrouwt op de expertise van een derde partij. Bastiaan Schoonhoven is Marketing Manager bij Motiv ) Analytics and Intelligence Survey 2014, SANS Institute, www.sans.org/reading-room/whitepapers/analyst/analytics-intelligence-survey-2014-35507 2 ) The Cost of Malware Containment, Ponemon Institute, januari 2015, www. ponemon.org/local/upload/file/Damballa%20Malware%20Containment%20 FINAL%203.pdf 1

Meer informatie vindt u ook op www. securityvandaag.nl. Het platform voor het laatste nieuws op het gebied van Privacy & Regelgeving, Inside Threat, Cybersecurity, Mobile Security en Security Management. SecurityVandaag.nl is vanaf 4 november live.

Eindelijk begint het besef dat een goede informatiebeveiliging cruciaal is voor het succes en voortbestaan van organisaties te groeien. Dat mag ook wel, want vanaf 1 januari 2016 zijn bedrijven verplicht om datalekken te melden wanneer deze nadelige gevolgen hebben voor persoonsgegevens. De Europese Unie werkt op dit moment zelfs aan een nieuwe Europese privacyverordening die strikte eisen gaat stellen aan organisaties die werken met persoonsgegevens. Boetes tot 100 miljoen euro of 5% van de jaaromzet voor wie zich niet aan de regels houdt zullen ongetwijfeld de aandacht krijgen van veel CEO’s en andere topmanagers. Het zal duidelijk zijn dat we informatiebeveiliging maar beter niet meer aan het toeval overlaten. We doen er verstandig aan om binnen organisaties iemand aan te wijzen die als opdracht meekrijgt de organisatie te ondersteunen bij het minimaliseren van security- en privacy-risico’s. VEEL UITDAGINGEN Deze persoon wordt vanaf de eerste werkdag geconfronteerd met heel wat uitdagingen. Eentje die ik zelf in de praktijk vaak tegenkom, is dat de juiste achtergrond of expertise ontbreekt. Natuurlijk kan iedereen zich in grote lijnen wel een beeld vormen van de onderwerpen die aangepakt dienen te worden. Maar het borgen van aandacht voor informatiebeveiliging door de gehele organisatie heen, is een behoorlijk uitdagende klus. Zeker als die aandacht ook nog eens vertaald moet worden in concrete maatregelen. Zelfs iemand die wél de nodige achtergrond en expertise bezit, is hier wel even zoet mee. PRAGMATISCHE AANPAK Voor veel (vaak kleinere) bedrijven geldt dat er eerst en vooral behoefte is aan een pragmatische aanpak. Daarmee kunnen ze op korte termijn een goede basis leggen en gestructureerd verder bouwen. Een volledige implementatie van NEN-ISO/IEC 27001 en de bijhorende best-practice NEN-ISO/IEC 27002 gaat in veel gevallen te ver. Toch kunnen deze

normen wel een goede inspiratiebron vormen. Ze bevatten namelijk wel degelijk goede en voor iedereen bruikbare beheersmaatregelen. NIEUWE BLOG Daarom ga ik iedere twee weken op de website van Infosecurity Magazine een blog schrijven waarin ik telkens een beheersmaatregel uit NEN-ISO/IEC 27002 onder de loep neem. Ik probeer dan kort en in begrijpelijke taal toe te lichten wat deze control inhoudt. En wat je in de praktijk kunt doen om er invulling aan te geven. Uiteraard ben je van harte uitgenodigd om ook jouw mening te geven of je ervaringen te delen. WAAR HEBBEN WE HET OVER? Bij wijze van aftrap begin ik met een korte uitleg van beide normen. ISO 27001 is een standaard die beschrijft hoe een organisatie ervoor zorgt dat de informatiebeveiliging altijd goed is. Dat gebeurt via een reeks van processen en procedures die ook wel een Information Security Management System (ISMS) wordt genoemd. ISO 27001 beschrijft dus eigenlijk aan welke eisen een goed ISMS dient te voldoen. De achterliggende gedachte is dat wanneer er op de juiste momenten en op de juiste manier aandacht wordt gegeven aan informatiebeveiligingsrisico’s, dit continu resulteert in passende maatregelen die het risico tot een acceptabel niveau verlagen.

MAATREGELEN NEMEN De ISO 27001 geeft in bijlage A een overzicht van een groot aantal organisatorische en technische maatregelen. Deze kunnen genomen worden als het risico hier aanleiding toe geeft. Je zou dus kunnen stellen dat de ISO 27002 een verlengstuk vormt van de ISO 27001. Het is als het ware een handreiking waarin een aantal potentiële maatregelen in detail zijn uitgewerkt zodat je wat te kiezen hebt. CERTIFICEREN Het is dus ISO 27001 die er met behulp van een ISMS op toe ziet dat de juiste maatregelen worden geselecteerd en geïmplementeerd. ISO 27002 geeft een opsomming van een flink aantal maatregelen die hierbij ter beschikking staan. Om deze reden is ISO 27001 certificeerbaar, en ISO 27002 niet. Maar vergis je niet. Een auditor kijkt bij certificering van ISO 27001 ook naar de wijze waarop je geselecteerde maatregelen uit de ISO 27002 hebt geïmplementeerd. Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging


61

IT-SA 2015

EDWARD SNOWDEN

ZET IT-SA OP DE KAART Als beursorganisator zal je maar een spreker hebben die met een eenvoudige Google zoekopdracht maar liefst 36.400.000 hits oplevert. Eén waar de Verenigde Staten ook nog eens een opsporingsbevel naar heeft uitgevaardigd. De Zuid-Duitse NürnbergMesse heeft dit voor elkaar gekregen. Voor haar IT Securitybeurs it-sa had het Edward Snowden weten te strikken. ‘s Werelds bekendste klokkenluider sprak op 8 oktober, de laatste dag van de driedaagse beurs over cyberveiligheid. Infosecurity Magazine greep deze opmerkelijke zet aan om tijdens de afgelopen it-sa uitvoerig met Frank Venjakob, de directeur van de Messe, te spreken over de internationale ambitie van deze securitybeurs.

“De it-sa begon ooit als colocatie van de beurs Systems uit München. Letterlijk betekent it-sa dan ook IT Security Area. Georganiseerd door de uitgever van het Duitse Infosecurity Magazine ‘KES’. Op het moment dat de beurs Systems ter ziele ging, werd de it-sa als stand alone voortgezet. Op zoek naar een nieuw onderkomen kwam de organisatie in Nürnberg terecht waar wij de it-sa graag als gastevent onderdak verschaften om na een paar jaar het geheel zelfs over te nemen. Gelukkig werken we nog steeds intensief samen met de oprichters van de it-sa, zo zit Nina Malchus (dochter van de it-sa oprichter Peter Hohl, red.) in de Raad van Advies van de beurs.” STEVIGE GROEICIJFERS “Wij zijn dan ook bijzonder trots op de groeicijfers die we hebben doorgemaakt. Dit jaar hoopten we de magische grens van 400 exposanten te passeren. Dat is gelukt en hoe! Het werden er zelf 428. Een groei van ruim 10% dat zich ook in de bezoekersaantallen laat zien. Gemeten na drie beurs - en congresdagen heeft de Nürnberg Messe ruim 9.000 bezoekers mogen begroeten , een groei van 22%.” Venjakob vervolgt: “De it-sa is meer dan een verzameling exposanten. Naast de beursvloer is er ook een stevig congresprogramma opgebouwd. Een programma met vele sprekers van naam en faam. Dat waarderen de bezoekers dan ook zeer en die waardering is welhaast nog belangrijker dan de groei die we doormaken. De eerste dagen van de beurs geven al zeer goede waarderingscijfers te zien. Vooral omdat we it-sa als een echte business to business beurs presenteren. Het grootste compliment dat de deelnemers kunnen geven aan ons is dan ook dat ze echt zaken hebben gedaan. Dat geeft ons veel vertrouwen dat we op de goede weg zijn met de organisatie

62

van dit event.” “Naast de focus op het zakelijke aspect”, gaat de beursdirecteur verder, “is ook de internationalisering van it-sa een belangrijk speerpunt. Er presenteren zich nu al tientallen exposanten op de beurs die niet uit Duitsland komen maar uit landen zoals Israël, Oostenrijk, Groot-Brittannië, de VS, Tsjechië, Roemenië, Polen, Zweden en natuurlijk Nederland. Ook die internationale exposanten zoals de Nederlanders zijn erg te spreken over de professionaliteit die de beurs uitstraalt.” NIEUWE DUITSE WET De pas van kracht geworden Duitse IT-beveiligingswet creëert uiteraard de nodige vragen waarop exposanten perfect kunnen inspelen. De druk op ondernemingen die aanvallers in het vizier krijgen, neemt hierdoor alleen maar toe waarbij ook de strenge privacywetgeving een enorme rol speelt. Ook de antwoorden op vragen over de betekenis van de nieuwe Europese wetgeving, die voorziet in minimum standaarden en een meldplicht voor beveiligingsincidenten in talrijke branches, waren te vinden op de it-sa 2015. EDWARD SNOWDEN ALS MAGNEET De it-sa organisatie heeft het voor elkaar gekregen om Edward Snowden als spreker binnen te halen. Deze voormalige CIA-medewerker mag samen - om het vriendelijk te zeggen - met WikiLeaks-oprichter Julian Assange een klokkenluider van de buitencategorie genoemd worden. Via een live-verbinding - in levende lijve zou helemaal een stunt zijn geweest - richtte Snowden zich tot de vele IT-veiligheidsexperts en -aanbieders die aanwezig waren.

Onder het motto ‘Verdediging tegen de duistere kunsten’ benadrukte Edward Snowden het belang van IT-beveiliging en gaf aan dat het nu meer dan ooit zaak

is om ernst te maken met het handhaven van cyberveiligheid. Zeker in het tijdperk van de mondiale digitale netwerkvorming die geen landsgrenzen kent.

Frank Venjakob INFOSECURITY MAGAZINE - NR. 4 - NOVEMBER 2015

63

ANTI-MALWARE

MALWARE

RUIMT JUNIPER VIA DE CLOUD OP Het Amerikaanse bedrijf Juniper heeft het beveiligen van bedrijfsnetwerken tot een van zijn kernactiviteiten verklaard. Tijdens een recent georganiseerd evenement in London introduceerde het in Californië (Santa Clara) gevestigde bedrijf een anti-malware oplossing die vanuit de cloud werkt. Het systeem biedt een adequate beveiliging en is volledig cloud gebaseerd. Daardoor kunnen firewalls en beveiligingsregels van zakelijke netwerken of complete campussen optimaal geconfigureerd worden. Het Amerikaanse bedrijf voor geavanceerde telecominfrastructuur Juniper is aan een recovery bezig. Tijdens een vurig betoog wist CEO Rami Rahim het publiek te raken. Er waait een nieuwe wind door het gerenommeerde bedrijf dat vorig jaar nog dik rode cijfers schreef. Binnen de organisatie is men er zeker van: Juniper is op weg terug. Daarbij zijn fundamentele wijzigingen aangebracht in de bedrijfsstrategie. De meest opvallende is nog wel dat men open source software (Open Stack) tot speerpunt verklaard heeft. Onder het mom: de klant gaat voor een open totaaloplossing van software en diensten. Wij kunnen die leveren en onze goede naam doet de rest. Gesloten en vendor specifieke systemen met een lock-in zijn niet langer acceptabel, aldus Rahim.

64

De nieuwe Juniper Networks Unite architectuur bevat tal van initiatieven, waaronder de anti-malware oplossing. Binnen het concept passen Juniper Networks Sky Advanced Threat Prevention, Junos Space Security Director en Juniper Networks SRX Series Services Gateways. Met dit portfolio van producten gaat Juniper verder op de weg van recovery. Een sterk merk dat terug wil keren in de spotlights van de IT-industrie.

Omgekeerd moet de malware beveiliging het werken niet in de weg zitten. Vergaande automatisering en schaalbaarheid zijn dan een must. De Sky Advanced Threat Prevention oplossing past in deze klantenvraag: een schaalbare en eenvoudig te managen omgeving. Een oplossing op basis van een op cloud technologie gebaseerde netwerkbeveiliging. Een belangrijke bouwsteen in het concept zijn de bekende SRX-firewalls van Juniper. Zij worden via de cloud gevoed met de laatste virusdefinities en zijn daarmee altijd up-to-date. Een ontbrekende schakel in het concept is een device managementsysteem voor het beheer van de vele mobiele devices op het netwerk. Juniper adviseert zijn klanten daarvoor een third party product te gebruiken, nu men in het kader van een herstructurering deze activiteit afgestoten heeft. Binnen het Sky Advanced Threat Prevention concept is er in elk geval niet in voorzien.

WAT MAAKT HET SKY CONCEPT ZO UNIEK? Het beveiligen van een bedrijfsomvang is een klus die de nodige aandacht vraagt. Tegen de achtergrond van de dynamiek van het bedrijfsleven, is schaalbaarheid een must. Dat de cloud dan om de hoek komt kijken is evident.

MALWARE BEVEILIGING VAN DE NIEUWE GENERATIE De dynamiek van het internet heeft bedrijven voor nieuwe uitdagingen gesteld. Nieuwe aanvallen kunnen zich razendsnel verspreiden en statische beveiligingsdefinities voldoen dan niet meer. Bovendien zijn de nieuwe virussen zo

slim dat ze de standaard beveiligingen niet langer als een obstakel zien. Geavanceerde detectiesystemen van de nieuwste generatie die dynamisch worden bijgewerkt, zijn dan de enige oplossing. Traditionele oplossingen brengen het risico met zich mee dat malware pas waargenomen wordt als het zich al in het netwerk genesteld heeft. Dat is te laat om voor de juiste beveiliging te zorgen. WAAROM WORDT HET NETWERK ZO KWETSBAAR? Dat moderne netwerken een nieuwe aanpak vereisen komt voort uit de veranderende maner van werken. Waren werknemers een paar jaar geleden nog aan hun bureau gekluisterd met een PC die via een vast netwerk aangesloten was, tegenwoordig is alles mobiel. Laptops (ongeacht welk besturingssysteem), tablets en smartphones vormen het gereedschap van de moderne werknemer. Overal waar een internetverbinding is wil men met deze systemen toegang tot het netwerk en dat ook nog snel, gebruikersvriendelijk en met 24 x 7 beschikbaarheid. Bovendien, en dat maakt de zaak nog complexer, hebben multinationals een netwerkstrategie met talloze landen waar deze gebruikt wordt. Zonder een goed managementsysteem is dat onmogelijk te beheren. Als regels niet bedrijfsbreed wordt opgelegd en afgedwongen, is een adequate beveiliging onmogelijk. Een sluitende beveiliging is enkel mogelijk door gebruik te maken van een netwerk dat het overzicht en de controlemechanismen biedt, die nodig zijn om een veilig netwerk te creëren. DE NIEUWE JUNIPER AANPAK Om aan de vele bedreigingen die op de moderne netwerkmanager afkomen weerstand te bieden, heeft Juniper een beveiliging bedacht die open en transparant en bovendien gebruikersvriendelijk te beheren is. Hierbij wordt gebruik gemaakt van de ‘open policy enforcement’ engine die gevoed wordt met de nieuwe definities die door Juniper Networks en andere in malware gespecialiseerde bedrijven ontdekt worden. Alle nieuwe virusdefinities worden via de cloud en de policy enforcement in realtime naar de eindgebruikers gebracht. De nieuwe regels, die als gevolg van de nieuwe virussen gedefinieerd worden, kunnen direct naar de fysieke of virtuele (NFV)

Rami Rahim SRX firewalls verstuurd worden. De innovatieve beveiligingsmogelijkheden die in het concept verwerkt zijn, maken deel uit van de Juniper Unite-architectuur. Ze zijn gebaseerd op open, dynamische en krachtige technologieën voor de detectie en preventie van netwerkbedreigingen. DE BOUWSTENEN VAN HET CONCEPT Het totale concept is een statisch geheel en zal in de loop der tijd verder ontwikkeld en uitgebreid worden. Alleen op die manier zal men de ontwikkelaars van malware effectief de mond kunnen snoeren. Een belangrijk onderdeel van het Sky Anvanced Threat Prevention concept is dat het ondernemingen beschermt tegen command & control malware. Dit is mogelijk door alle downloads die binnen het netwerk plaatsvinden automatisch te analyseren alvorens er toegang tot de netwerk resources zoals cliënts en storage wordt gegeven. Hiertoe worden bestanden tijdelijk in een gesloten om-

geving (een sandbox) opgeslagen en gedwongen kleur te bekennen. Daarmee komt de ware identiteit bovendrijven. Mochten vreemde zaken worden gevonden, dan kunnen direct passende maatregelen worden genomen. Van Sky Advanced Threat Prevention worden verschillende versies geïntroduceerd met uiteenlopende specificaties. De meest elementaire (en gratis) versie voorziet al in een compleet portfolio van anti malware functies en richt zich vooral op exe-bestanden. De premium versie is uitgebreid met features die de beveiliging verder opvoert, bijvoorbeeld door geïnfecteerde cliënts via een quarantaine van hun omgeving te isoleren en is geconfigureerd om meer bestandsformaten (waaronder doc, ppt, pdf en xls) te analyseren. Hiermee wordt het malware onmogelijk gemaakt de regie van vitale netwerkcomponenten over te nemen. Hans Steeman is freelance journalist


65

DOOR MR. V.A. DE POUS

LEGAL LOOK

SAFE-HARBOUR:

THE POWER OF PEOPLECENTRICITY IN INFORMATIEBEVEILIGING

BACK-TO-BASICS OF BACK-TO-SCHOOL? Wat krijg je als je recht, politiek en economie samen beschouwt in het perspectief van grensoverschrijdende handel? Gedoe, dat zijn bron heeft in nationaal belang. Zo wijzen sommigen er fijntjes op dat de Europese Commissie voor de tweede maal fors wordt teruggefloten door de rechter. Eerst verklaarde het Hof van Justitie van de Europese Unie de Richtlijn gegevensbewaring uit 2006 met terugwerkende kracht ongeldig wegens schending van grondrechten (Digital Rights Ireland en Seitlinger arrest). Dat was op 8 april 2014. Nu haalt de rechter een streep door het Safe Harbour verdrag tussen de Europese Commissie en de Verenigde Staten uit 2000, hetgeen mogelijk 4.000 plus Amerikaanse bedrijven raakt die zich hierbij hebben aangesloten - multinationals en vooral kleinere ondernemers. Het gaat nader bepaald om afspraken dat trans-Atlantische doorgifte van persoonsgegevens een rechtmatige basis geeft, ondanks het gemis aan adequate rechtsbescherming in de VS voor Europeanen. Goed beschouwd is Safe Harbour dan ook, in ieder geval mede, een handelsverdrag, bedoeld om het grensoverschrijdende zakendoen tussen de beide regio’s makkelijker te maken. Maar op 6 oktober jl. achtte de rechter het door Safe Harbour geboden beschermingsniveau toch van onvoldoende niveau. En dat een nationale privacytoezichthouder altijd individuele zaken in behandeling moet nemen ondanks dat er een verdrag van kracht is. De toezichthouder is de baas en

niet de Europese Commissie. Enerzijds vindt er namelijk in de VS een grootschalige verzameling van persoonsgegevens van Europese burgers plaats, terwijl anderzijds de Europese burgers geen aanspraak op een effectieve dataprotectie kunnen maken. Dank je wel, klokkenluider Snowden, voor de onthullingen die twee jaar na dato nadrukkelijk in de internationale samenleving blijven doorwerken. En hoe. Eerder luidden de Europese privacytoezichthouders met regelmaat de noodklok. De doorgifte van persoonsgegevens naar de VS vraagt om extra waarborgen. Dat vindt de rechter nu dus ook en privacyvoorvechters hebben de vlag uithangen. Het sentiment aan de overzijde van de oceaan toont anders. Begin dit jaar haalde president Obama, doorgaans terughoudend van aard tenzij het om terrorisme of nationaal vuurwapenbeleid gaat, opmerkelijk uit. Europa kent geen succesvolle internationale ICT-bedrijven van enige omvang en pakt op deze grond de Amerikaanse concurrentie juridisch aan. Handelspolitiek-getinte wetgeving en rechtspraak werpen ten onrechte drempels op voor bedrijven uit de Verenigde Staten die zaken willen doen in de Europese markt, zo luidt de niet-malse kritiek. Op die stelling dingen we af. Het communautaire mededingingsrecht en haar toezichthouder (de Europese Commissie) zijn weliswaar vaak strikt, maar tevens allerlei Europese bedrijven krijgen de wind van voren. Daarnaast gaat het

natuurlijk om het recht op privacy. Europa beschouwt dat als een grondrecht en heeft de bescherming van de persoonlijke levenssfeer dan ook als zodanig gecodificeerd. Hier gelden nu eenmaal onze regels, net zoals de Verenigde Staten eigen weten regelgeving heeft (die soms buiten het grondgebied ook jurisdictie kent, zoals de omstreden Patriot Act). Vervolgens gaat het om de hamvraag wat de consequenties van het arrest van het Hof van Justitie van de Europese Unie voor Nederlands ICT-gebruikers zijn in hun hoedanigheid als klant van een Amerikaanse leverancier en misschien wel in het bijzonder, een cloudleverancier. Veel draait in dit kader om de samenwerkende Europese privacytoezichthouders. Die gaan eerst hun beleid bepalen. Het ligt voor de hand dat vooral kleinere leveranciers - die immers doorgaans geen goedgekeurde EU- privacymodelcontracten met hun klanten in Europa hebben gesloten - extra werk krijgen. Daarop zullen Nederlandse gebruikers - als verantwoordelijke voor persoonsgegevens - nauwgezet moeten toezien. Ondertussen gaan EU en VS naar redelijke waarschijnlijkheid aan een nieuwe Safe Harbour werken. Dat moest in zoverre toch al gebeuren, omdat de verouderde en versnipperde privacywetgeving snel wordt vervangen door Algemene Verordening Gegevensbescherming. Partijen gaan dus terug naar een nieuwe wettelijke basis en de uitgangspunten van de rechter.

‘Informatiebeveiligingsbewustzijn bij medewerkers is essentieel’ GERARD STROEVE I MANAGER SECURITY & CONTINUITY SERVICES

Informatiebeveiliging gaat verder dan IT alleen Centric kan u ondersteunen bij het succesvol opstellen, implementeren en uitvoeren van een informatiebeveiligingsbeleid conform de ISO 27001-norm, ISO 27002, Baseline Informatiebeveiliging voor Nederlandse Gemeenten en de NEN 7510. Het team van Security & Continuity Services is onder meer gespecialiseerd in het uitvoeren van Gap-analyses en risicoanalyses, het opstellen van beveiligingsplannen en het formuleren van passende beveiligingsmaatregelen. Kenmerkend voor onze aanpak is dat we breder kijken dan de ICT-component alleen. We nemen ook onderwerpen mee als fysieke beveiliging, security awareness en continuïteitsmanagement. Kunt u hulp gebruiken bij de informatiebeveiliging binnen uw organisatie? Ga naar www.centric.eu/informatiebeveiliging of mail ons via [email protected].

SOFTWARE SOLUTIONS | IT OUTSOURCING | BPO | STAFFING SERVICES 66

www.centric.eu


67

   

BEURSSPECIAL INFOSECURITY - STORAGE EXPO - TOOLING EVENT

Recommend Documents