College bescherming persoonsgegevens

JAARGANG 12 - APRIL/MEI 2013 - e 12,00

magazine

College bescherming persoonsgegevens

focust op toezichthouden

007 in hackersland - Security dashboard voor preventieve beveiliging - Event Overheid & ICT - Privacy nieuw betaalmiddel - Crimeware kits - De Waarde van Data

www.infosecuritymagazine.nl

Aan: “Jan Systeembeheerder” [email protected] g

Onderwerp: Wat moet ik doen??

Colofon - Editorial

Infosecurity.nl magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom.

Jan, ik heb een vergadering en kan de link niet op de tablet openen, wat een waardeloos apparaat is dit!

magazine Infosecurity.nl magazine verschijnt viermaal per jaar, toezending geschiedt op abonnementbasis Uitgever Jos Raaphorst 06 - 347 354 24 [email protected] Hoofdredacteur Hans Lamboo 06 – 166 486 70 [email protected] Advertentie-expolitatie Will Manusiwa 06 - 38065775 [email protected]

Hoeveel tijd besteedt u per dag aan het oplossen van gebruiker incidenten? Neem de controle en blijf problemen voor!

Vormgeving Media Service Uitgeest

Panda Cloud Systems Management zorgt ervoor dat u controle heeft over uw netwerk, eenvoudig en proactief, terwijl de kosten verminderen en de efficienty verbeterd.

De nieuwe manier om IT systemen te beheren, monitoren en supporten. SYSTEEM INVENTARISATIE

COMPUTEREN SYSTEEMBEHEER

REMOTE SUPPORT EN ASSISTENTIE

MONITORING EN CONTROLE

Abonnementen Wilt u zich abonneren op Infosecurity.nl magazine of heeft u een vraag over uw abonnement? Stuur een e-mail naar [email protected]

Drukwerk Control Media Infosecurity.nl magazine is een uitgave van FenceWorks B.V. Maredijk 17 2316 VR Leiden 071 – 5214998 © 2013

UITGEBREIDE RAPPORTAGES

Bezoek ons voor een demo op Overheid & ICT stand 01.B087

Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: www.infosecuritymagazine.nl

PANDA CLOUD SYSTEMS MANAGEMENT BIEDT U EEN TOTAALOPLOSSING VOOR ÉÉN VASTE PRIJS. ONTDEK DE VOORDELEN & VRAAG EEN DEMO AAN OP: it-systemsmanagement.pandasecurity.com

Privacy by Design Door toeval is privacy een onderwerp dat in deze editie veel aandacht krijgt. Privacy is een grondrecht, dat vastgelegd is in de grondwet. Het schenden van dit grondrecht is derhalve een ernstige wetsovertreding. Tot op dit moment is de enige straf die daarop staat reputatieschade. Komt het vergrijp de toezichthouder – het CBP – ter ore, dan kan deze een verplicht verbetertraject opleggen met een dwangsom. Een veel te zwak machtsmiddel, vinden politici. De bevoegdheden van het CBP gaan dan ook binnenkort veranderen. Er komen boetes en een meldplicht. De wetgeving op het gebied van bescherming van persoonsgegevens is tamelijk vaag. Het feit dat zich de afgelopen jaren een revolutie heeft voltrokken op het gebied van digitale informatie, maakt het er allemaal niet eenvoudiger op. Een wetgever heeft altijd moeite nieuwe ont-

verantwoordelijkheid met zich mee. Ondernemers brengen elk zakelijk risico in kaart en proberen ze zo beheersbaar te maken. Maar het zit nog niet in hun systeem om te beseffen dat het bezitten van persoonsgegevens óók een zakelijk risico is. Security beperkt zich nog te

Het bezitten van persoonsgegevens is óók een zakelijk risico. wikkelingen bij te houden en loopt vaak achter de feiten aan. Maar op dit moment volgen de nieuwe ontwikkelingen elkaar in zo’n hoog tempo op, dat het voor de handhavers het meest wegheeft van dweilen met de kraan open. Simpel gesteld zijn persoonsgegevens data die herleidbaar zijn tot een natuurlijk persoon. De bezitter van die data beschikt over informatie die in feite niet van hem is – maar van de persoon die achter de data schuilgaat. In veel gevallen is het noodzakelijk persoonsgegevens te registreren, omdat het anders vrij lastig wordt om bijvoorbeeld zakelijke transacties te doen. De wetgever heeft daar begrip voor, maar verlangt wel dat er zorgvuldig met de gegevens wordt omgegaan. Verzamel niet meer data dan nodig voor de transactie. Gebruik de data niet voor andere doeleinden. Gooi de data weg als het irrelevant geworden is – of anonimiseer en aggregeer de gegevens voor statistisch doeleinden. Kortom: het bezitten van persoonlijke data brengt grote

vaak tot het digitaal dichttimmeren van netwerken en apparatuur. Daar is op zich weinig op aan te merken en zal datalekken helpen voorkomen, maar het heeft verder met privacybescherming weinig van doen. Het gaat erom wat de intenties van de bezitter van de data zijn, en wat hij er daadwerkelijk mee doet. Het is immers voor ondernemers en marketeers erg aantrekkelijk om databestanden te koppelen en te analyseren – juist van persoonsgegevens. Maar in feite is dat dus strafbaar. Helaas blijkt dat veel organisaties zich pas zorgen gaan maken over privacy als zich een probleem voordoet. Waar we als samenleving naartoe willen is dat bescherming van persoonlijke informatie van meet af aan wordt ingebouwd in systemen. Privacy by Design dus. Maar zover zijn we nog lang niet.

Hans Lamboo is hoofdredacteur van Infosecurity.nl magazine

Infosecurity.nl magazine - nr. 2 - april 2013

www.overheid-en-ict.nl 23 t/m 25 april 2013 Jaarbeurs Utrecht

Overheid & ICT is hét platform voor ICT-toepassingen en -diensten voor de overheid

In f o r als s matie leute l vo o een slimm r e ov e r h eid

g

INHOUD

9 Recht & informatiebeveiliging In elk nummer onderzoekt Mr. Victor A. de Pous de juridische aspecten van security.

24 Nieuws 30 Crimeware kits Cybercriminelen maken steeds vaker gebruik van zogenaamde ’crimeware kits’, een doe-het-zelf pakket waarmee ook minder handige criminelen websites kunnen infecteren. 32 21 IT-bedrijven presenteren hun visie op de waarde van data Op initiatief van drie communicatiebureaus vond in Hoofddorp het evenement ‘De Waarde van Data’ plaats. Een interessante middag was het resultaat.

Weet wat er speelt in de Cloud. Volg de Cloud Tour op Overheid & ICT #oict13

Vraag nu gratis uw toegangsbadge aan via overheid-en-ict.nl

HOOFDMEDIAPARTNERS

KENNISPARTNER

MEDIAPARTNERS

6

Privacy is een grondrecht, vastgelegd in onze grondwet. Met de groei van de hoeveelheid persoonsgegevens heeft de wetgever bezitters daarvan opgelegd om ‘passende maatregelen’ ter bescherming van de privacy te nemen. Het College bescherming persoonsgegevens (CBP) publiceerde recent richtsnoeren die aangeven wat in de praktijk kan worden verstaan onder ‘passende’ beveiligingsmaatregelen. Wilbert Tomesen is lid van het College. “We gaan niet elke norm invullen, wij geven het kader.”

16 Securitymanagers weer in control met mSafe Waar publieke filetransfer- en opslagdiensten een zegen zijn voor de gebruiker, vormen ze een ware nachtmerrie voor de securitymanager. Gelukkig zijn er inmiddels verschillende veilige alternatieven op de markt. Een voorbeeld hiervan is Motiv mSafe, een puur Nederlands product dat wordt gehost in datacenters in Nederland.

21 Vakbeurs Overheid & ICT CloudWorks en Infosecurity.nl magazine hebben tijdens de beurs een CloudTour en de SecurityTour uitgestippeld.

BRANCHEORGANISATIES

tussen technologie en privacy

10 Eerste editie Security BootCamp een groot succes Dit security evenement, georganiseerd door SecureLink, stond in het teken van hot items op het gebied van security en networking. Het thema van de dag was daarom ook ‘Heel Nederland Veilig’.

18 Security dashboard biedt preventieve cyberbeveiliging Digitale aanvallen op websites, netwerken, IT-systemen en zelfs smartphones zijn inmiddels aan de orde van de dag. De nieuwe online portal van Deutsche Telekom en dochteronderneming T-Systems biedt openheid en transparantie over huidige risicosituaties.

MEDE MOGELIJK GEMAAKT DOOR

Spanningsveld

37 Roep om meer security speelt MariaDB in de kaart Terwijl grote web-bedrijven roepen om almaar snellere technologie om de enorme aantallen klanten en transacties aan te kunnen, neemt de roep om meer security zo mogelijk nog sneller toe. Dat speelt een open source database als MariaDB flink in de kaart. 38 Gewone bedrijfsapplicaties meest gebruikt voor aanvallen Palo Alto analyseerde het netwerkverkeer van meer dan drieduizend organisaties wereldwijd tussen mei en december 2012. Dat leverde een goed beeld op van applicatiegebruik en bedreigingen in 2012. 40 Cloud security: houd de touwtjes in handen Uit onderzoek van Telindus-ISIT onder 214 IT-professionals blijkt dat vijftig procent nog altijd geen vertrouwen heeft in de beveiliging van public clouds. Een duidelijk signaal dus.

007 in hackersland

12

Er komt steeds meer informatie beschikbaar over virussen, malware, hacktivists en cybercrime. Anti-cybercrime organisaties speuren op internet naar activiteiten, IPadressen en verdachte sites. Sommige van deze organisaties gaan zover analisten in verdachte landen naar informatie te laten zoeken. “Dat is het klassieke spionnenwerk zoals we dat kennen uit boeken en films”, zegt Rhett Oudkerk Pool van Kahuna.

Big Data

en privacy kop en munt van nieuw betaalmiddel

26

Steeds meer menselijke activiteiten laten digitale sporen achter. De almaar groeiende databerg bevat dus steeds meer tot personen herleidbare informatie. De mate waarin hangt af van wat een persoon over zichzelf kwijt wil. Een nieuw betaalmiddel is geboren: persoonsgegevens. VINT-onderzoeker Menno van Doorn over het rapport ‘Big Data: privacy, technologie en de wet’.

42 Hoe dynamisch gaat uw organisatie om met data? Gastcolumn van Dirk Raeymaekers van Acronis.


g

College bescherming persoonsgegevens (CBP) legt nadruk op toezichthouden

DOOR Hans Lamboo

‘Spanningsveld

Encryptie Het nemen van passende maatregelen op het gebied van bescherming van persoonsgegevens is dus een cruciale bepaling. Ondanks een aantal incidenten heeft dit niet tot rechtszaken geleid, bijvoorbeeld over schadevergoeding. Tomesen: “Wij kunnen alleen maar naar onszelf kijken. Het CBP onderzoekt niet ieder datalek, niet ieder incident. We stappen niet naar de rechter. Ons enige wapen is op dit moment een gedwongen verbetertraject met een dwangsom. Bovendien kan het College nooit alle datalekken onderzoeken. Maar er komt binnen korte tijd een meldplicht, naast een boetebevoegdheid. We rekenen op ongeveer 60.000 incidenten per jaar.Het CBP zal zich bij elk lek de vraag stellen of het gaat om grote, vermoedelijk structurele overtredingen van de Wbp, die veel mensen raken. Dat betekent dat we in beginsel datalekken of misstanden zullen aanpakken die erg in het oog springen, waar een grote groep mensen wordt geraakt en waar een voorbeeldfunctie vanuit gaat, zoals een ziekenhuis of een supermarkt. We zullen altijd keuzes moeten maken.”

tussen

technologie en privacy Privacy is een grondrecht, vastgelegd in onze grondwet. Met de groei van de hoeveelheid persoonsgegevens heeft de wetgever bezitters daarvan opgelegd om ‘passende maatregelen’ ter bescherming van de privacy te nemen. Het beveiligen van de verwerkte persoonsgegevens is daarvan een essentieel onderdeel. Het College bescherming persoonsgegevens (CBP) publiceerde recent richtsnoeren die aangeven wat in de praktijk kan worden verstaan onder ‘passende’ beveiligingsmaatregelen en ziet toe op de naleving. Wilbert Tomesen is lid van het College. “We gaan niet elke norm invullen, wij geven het kader.” In het kort gezegd is het CBP er voor het toezicht op de naleving van de Wetgeving bescherming persoonsgegevens. In artikel 13 van die wet staat dat organisaties en mensen die persoonsgegevens verwerken, gehouden zijn om passende maatregelen te treffen ter beveiliging van persoonsgegevens, zowel technisch alsorganisatorisch. “Daarmee valt of staat de privacybescherming”, zegt Wilbert Tomesen. “Bedrijven moeten er voor waken te veel gegevens te verzamelen en moeten voorkomen dat de persoonsgegevens worden gebruikt voor andere doelen dan waarvoor ze verzameld zijn. Onze richtsnoeren beveiliging van persoonsgegevens geven invulling aan de term ‘passende maatregelen’. Elke bezitter van persoonsgegevens moet zijn eigen passende maatregelen nemen.” Het CBP kan bij niet- naleving een verbetertraject af te dwingen op straffe van een dwangsom. “Er ligt op dit moment een wetsvoorstel in de Tweede Kamer dat het CBP boetebevoegdheid moet geven”, vertelt Tomesen. “We kunnen dan direct een boete opleggen als wij een overtreding van de wet constateren. Dat is een passender sanctie in geval van gebleken opzettelijke nalatigheid.”

Toezicht Het CBP bestaat uit een college van drie leden en een ondersteunende dienst van ongeveer 75 mensen. De leden van het college worden op voordracht van de minister van Veiligheid en Justitie, tevens de beheerverantwoordelijke - benoemd door de Koningin. ”Maar inhoudelijk zijn wij onafhankelijk. Ook het ministerie heeft geen zeggenschap, bijvoorbeeld omdat onze adviezen hun wellicht niet aan zouden kunnen staan”, zegt Tomesen. “Het CBP houdt toezicht op de naleving van de privacywetgeving door zowel bedrijven als de overheid zelf. Wij onderzoeken bijvoorbeeld ook bij politie, justitie, ministeries of de Belastingdienst. Daarvoor moet je onafhankelijk kunnen opereren. Daarnaast geeft het College ook wetgevingsadviezen op het gebied van persoonsgegevens en dataverzamelen. Nog

een reden om onafhankelijk te zijn.” Aan de Raad van Advies van het CBP neemt ook het bedrijfsleven deel. Ook heeft het College zo nodig contact met belangen- en brancheorganisaties. Tomesen benadrukt echter dat het CBP focust op toezicht en handhaving en geen informatiebureau is voor bescherming van persoonsgegevens. “Daar zijn gespecialiseerde adviesbureaus en advocatenkantoren voor”, stelt hij. “De markt behoort te weten wat er van ze verwacht wordt op het gebied van bescherming van persoonsgegevens. Het CBP houdt afstand om onafhankelijk teblijven. Door middel van het publiceren van richtsnoeren laten we de markt zien wat onze visie is. We publiceren onderzoeksrapporten, richtsnoeren en zienswijzen op verzoek, we communiceren met burgers via onze frontoffice, maar wij geven geen advies over concrete situaties aan bedrijven en organisaties die persoonsgegevens verwerken.” De nieuwe beveiligingsrichtsnoeren zijn verschenen in februari 2013. Gezien alle veranderingen die zich momenteel in de maatschappij en op technologisch gebied voltrekken vond het CBP het nodig de kaders rond beveiliging en privacy te actualiseren. “In een aantal concrete situaties hebben we het afgelopen jaar onze conclusies gepubliceerd. Ik denk aan ons onderzoeksrapport over de gegevensverwerking ten behoeve van de bonuskaart door AH, ons onderzoek naar

Elke bezitter van persoonsgegevens moet zijn eigen passende maatregelen nemen.

de inzet van camera’s op de eerste hulp van een ziekenhuis, en de verwerking van medische persoonsgegevens door (commerciële) arbodiensten. We hebben de gedragingen van WhatsApp onderzocht. We hebben eigenlijk ontzettend veel gedaan”, blikt Tomesen terug. Privacy is bij de meeste landgenoten niet top of mind. Pas in geval van een incident winden ze zich er over op. Ook het begrip ‘privacy’ en de bijborende grenzen interpreteert elk mens op zijn eigen manier. Ook mensen die zeggen niets te verbergen te hebben, willen misschien toch bepaalde zaken geheim houden of vinden dat het een ander niet aangaat.

“Het is dus niet zo gek dat mensen zich zorgen maken over privacybescherming. Het is ook wel een taak voor de overheid, om een zeker niveau van bescherming te bieden”, vindt Tomesen. “Mensen weten immers nauwelijks wat er allemaal speelt. Wat weten de gebruikers nu meer van WhatsApp dan dat je er gratis een berichtje mee kunt sturen? We krijgen daarover veel vragen, net als over privacyproblemen in de zorg. Vergis u niet, wij krijgen over dit soort zaken veel telefoontjes binnen bij onze afdeling publieksvoorlichting. Dan zijn het er misschien maar 10 op een dag, maar achter die 10 mensen zitten nog 1000 andere mensen.”

Niet elk gegeven kan worden gekwalificeerd als persoonsgegeven, omdat het niet altijd herleidbaar is naar een individueel persoon. In Europees verband vindt daarover al enige tijd een discussie plaats. “Het gaat bijvoorbeeld om de vraag of een IP-adres nu een persoonsgegeven is”, zegt Tomesen. “Een IP-adres is voldoende om te individualiseren, to single out a person. En daarmee is een IP-adres, ook zonder dat de bezitter de naam van de eigenaar kent, een persoonsgegeven. De kern is, dat je met behulp van een IP-adres de eigenaar ervan ook kunt beïnvloeden met gerichte reclame, gerichte boodschappen, het geven van informatie.” Een van de manieren die in de markt wordt gebruikt om persoonsgegevens te beschermen is encryptie. Dat kan in veel gevallen een passende maatregel zijn. “Het CBP stelt zich met de Europese dataprotectieautoriteit op het standpunt, dat gegevens geen persoongegevens meer zijn als ze niet meer te ontsleutelen zijn. Maar het is van encryptie zelden de bedoeling om dat definitief te doen en de sleutel weg te gooien. Er is een tussenvorm, pseudonymous genoemd waarbij individuele gegevens geaggregeerd worden gebruikt, waarbij ook het indi-


g

College bescherming persoonsgegevens (CBP)

vidu zelf van geen belang is. Daar kijken wij heel feitelijk naar. Ik benadruk wel dat wij als CBP niet snel genoegen nemen met pseudonimisering. Als er een weg terug is uit de encryptie – als de als de mogelijkheid bestaat de geaggregeerde of encrypte data in de oorspronkelijke staat te herstellen, blijven we bijzonder kritisch.” Cloud De zogenaamde Patriot Act die Amerikaanse politie- en veiligheidsdiensten het recht zou kunnen geven tot het vorderen van data van Nederlandse organisaties op Amerikaans of Amerikaanse organisaties op Nederlands grondgebied, houdt de gemoederen in Europa al enige tijd flink bezig. Ook Nederlandse veiligheidsdiensten hebben echter op dat gebied vergaande bevoegdheden. “Het is inderdaad vanwege justitie mogelijk om bestanden te benaderen en de Amerikaanse wet heeft daarbij een zeer lange arm”, beaamt Tomesen. “Daar voelen wij ons in Europa tamelijk onmachtig . In het kader van cloud computing hebben we wel nadrukkelijk gewezen op de risico’s daarvan. Deze moeten een rol spelen bij de afweging of je persoonsgegevens in de cloud zet. ” Het plaatsen van Nederlandse persoonsgegevens in databases buiten Europa is een risicovolle zaak. “Het is in de cloud nu eenmaal lang niet altijd bekend waar de server met de database zich fysiek bevindt”, zegt Tomesen. “De persoonsgegevens bevinden zich in elk geval buiten de invloedssfeer van het land van herkomst en dat brengt extra risico’s met zich mee. De bezitter van de data is en blijft verantwoordelijk voor de gegevens en moet zich wellicht afvragen of hij zo’n risico wel wil lopen. We zien dan ook een toename van Europese clouds, juist voor dit soort situaties.” Enige tijd geleden werd het CBP gevraagd naar zijn visie op cloud computing door een onderwijsinstelling, die zijn gegevens wilde onderbrengen in een

Amerikaanse cloud. Tomasen: “In onze zienswijze hebben we gewezen op de verantwoordelijkheid en de risico’s. Als je als instelling overweegt om gegevens in de cloud op te slaan, moet je je afvragen of je een dergelijk risico wel wilt nemen. Verantwoordelijkheid kun je niet verkopen, niet uitbesteden, niet cederen. Het gaat uiteindelijk om de persoonlijke gegevens van mensen. Een organisatie die dergelijke gegevens goedkoop in een Zuid-Amerikaans land laat beheren en waar ze vervolgens verdwijnen, kan zich er niet achter verschuilen dat ze hadden afgesproken dat de provider er goed op zou letten.” Bewustwording Tomesen constateert dat het uitbesteden van IT-diensten in verre landen op zijn retour is. “Bedrijven schijnen hun callcenters al weer uit India terug te halen.. Hun klanten accepteren het simpelweg niet meer. Mensen laten blijken dat ze het helemaal niet op prijs stellen dat hun gemeente alle persoonsgegevens gaat plaatsen op een server waarvan ze niet weten waar deze zich bevindt. Het gaat dus in dit hele verhaal vooral om bewustwording, zowel bij de eigenaar als de bezitter van persoonlijke gegevens.” Een meldingsplicht van datalekken met persoonlijke gegevens, het krijgen van boetebevoegdheid, de op stapel staande nieuwe Europese privacyverordening die rechtsstreeks zal gelden in de lidstaten van Europa: er breken drukke tijden aan voor het CBP. “Mijn grootste wens is dat we fors kunnen bijdragen aan de bewustwording. Dat een artikel zoals dit even onder ogen komt van een CEO en een beleidsmedewerker. Bewustwording op het gebied van verantwoordelijkheid en van risico, maar vooral van het feit dat het om persoonlijke gegevens van individuele mensen gaat. Dat we dat vooral niet uit het oog verliezen.” Hans Lamboo is hoofdredacteur van Infosecurity.nl magazine.

Privacy Impact Assessment “Wat wezenlijk is voor ons, of het nu gaat om private bedrijven en instellingen of de overheid, is dat organisaties zich bewust zijn van het feit dat ze activiteiten ontplooien die aan persoonsgegevens raken. Kortom, wees je bewust van het feit dat je met persoonlijke data gaat werken. In dat verband gebruik ik graag de term privacy impact assessment. In het huidige regeerakkoord staat vermeld dat ook overheden met een privacy impact assessment gaan werken. Als een initiatiefnemer zijn businessmodel bedenkt, moet hij direct nadenken over de consequenties voor de privacy. Wat betekent het feitelijk in het kader van de bescherming van persoonsgegevens? Hoe worden de persoonsgegevens verkregen, hoe worden ze opgeslagen, wat zijn de criteria, wie mogen erbij en hoe lang bewaren we ze? Die vragen zouden structureel gesteld moeten worden”, vindt Wilbert Tomesen, lid van het CBP. “Het feit dat informatie digitaal is maakt dat het gemakkelijk en goedkoop te bewaren is. De bewaartermijnen lijken dan ook steeds langer te worden. Ten tweede maakt de beschikbare technologie het gemakkelijk om bestanden te koppelen. Dat maakt het verzamelen van gegevens lucratief, wat ervoor zorgt dat er snel in die hoek naar een oplossing van een probleem wordt gezocht. Ten derde is het van het grootste belang dat de mensen die verantwoordelijkheid dragen op bestuursniveau doordrongen zijn van het feit dat de privacyaspecten en mogelijke risico’s op dat gebied altijd onderzocht moeten worden. Het moet een integraal onderdeel worden van alles wat je doet. Privacy by Design, waarbij privacyvoorzieningen van meet af aan worden ingebouwd in elk systeem. En als laatste punt: zorg dat u als verantwoordelijke op de hoogte blijft van nieuwe ontwikkelingen. Volg onze publicaties, lees onze richtsnoeren, wees u bewust van uw verantwoordelijkheid en onderken tijdig uw risico’s.”

Het gaat om bewustwording, zowel bij de eigenaar als de bezitter van persoonlijke gegevens.

g

Recht & Informatiebeveiliging

De bijt

van toezichthouders 77 miljoen accounts van het Sony Playstation Network gehackt? Een privacy-inbreuk van jewelste. Naam, e-mail, rekeningadres, password, telefoonnummer, geslacht en geboortedatum. “Nee, geen creditkaartgegevens”, zegt Sony. Gamers uit de hele wereld werden in 2011 slachtoffer van belabberde beveiligingsmaatregelen voor een geavanceerd digitaal netwerk dat spelen in de wolken grenzeloos mogelijk maakt. Voer voor juristen. In het claimgrage Amerika daagde een advocaat de Japanse elektronicagigant op grond van het Californische consumentenrecht in een groepsgeding. De zittende magistraat zag daar geen heil in: “there is no such thing as perfect security”, en verwierp de zaak.

De procedure noemen we uitzonderlijk. Zelden wordt een bedrijf of overheidsorganisatie voor de rechter ter verantwoording geroepen op grond van onzorgvuldige omgang met persoonsgegevens in relatie tot een beveiligingsverplichting. In Nederland kreeg zo’n voorschrift een wettelijke basis toen onze eerste privacywet in werking trad. Dat was 1988. Een kwart eeuw later kunnen we niet terugvallen op een hoeveelheid verklarendeof richtinggevende jurisprudentie. Wat zijn dan die ‘passende’ technische en organisatorische maatregelen tot beveiliging van persoonsgegevens om verlies of diefstal te voorkomen? Wanneer kunnen we een datalek aan wie toerekenen? En welke bedragen voor vergoeding van directe en immateriële schade zijn opportuun? Het College Bescherming Persoonsgegevens heeft geen verklaring waarom burgers, consumenten en bijvoorbeeld patiënten op grond van het beveiligingsartikel nauwelijks de gang naar de rechter maken. Wij wel, maar het is een hypothese. Los van de vraag of iedere rechter nogal oppervlakkig zal redeneren dat 100 procent beveiliging niet bestaat, dringt een vergelijking met softwarebugs op. De tweede helft van de jaren tachtig betrof de periode waarin standaardpakketten in allerlei soorten en maten voor de PC breed werden gebruikt. Dat vergrootte tevens de reikwijdte en gevolgen van programmeerfouten. Opmerkelijk: ook hierover is er de afgelopen 25 jaar in

binnen- en buitenland niet of nauwelijks geprocedeerd door al die gebruikers die schade hebben geleden. De grond? Men – de markt, de wereld – accepteert domweg fouten in computerprogramma’s. Het is niet anders. Ook datalekken schitteren kennelijk als voldongen feit. In de praktijk zien wetgevers en geen rechters die het onderwerp adresseren. Exclusief? Nee. In toenemende mate blazen toezichthouders een flinke partij mee. Zo moest Sony in de zaak van de geruchtmakende mega-hack aan de Engelse toezichthouder een boete betalen ter grootte van 250.000 pond, omdat zij de privacywet had overtreden. Nog een voorbeeld. Google kreeg het in Verenigde Staten aan de stok met de Federal Trade Commission wegens het stiekem volgen van Safari-gebruikers. Bingo. Een schikking van 22,5 miljoen dollar. Behalve als sanctionerende instantie treden toezichthouders nadrukkelijk beleidsmatig op de voorgrond. Opinies, zienswijzen, richtsnoeren over allerhande privacy-gerelateerde issues zien vandaag de dag in hoog tempo het licht. Daar is niet iedereen blij mee. “Waakhonden kapen privacybeleid”, aldus Thuiswinkel.org. De brancheorganisatie ziet dat toezichthouders zich nu eens als rechter, dan weer als wetgever manifesteren. ‘Een gang van zaken die volledig indruist tegen de basisprincipes van democratisch bestuur’.

Dat het College Bescherming Persoonsgegevens zich hierin niet herkend, mag niemand verbazen. Hij repliceert met de verwijzing dat zowel de huidige als aankomende wetgeving een technologieneutraal karakter heeft. Zonder interpretatie van de privacyregels kom je in de dynamische informatiemaatschappij niet ver. Wat is wijsheid? We zien allereerst een sterk grondwettelijk recht. Dat grondrecht staat onder druk door de modus operandi van allerlei gratis clouddiensten die fors marktaandeel verwerven. Europese Commissie en toezichthouders staan heldhaftig zij en zij voor stevige privacyrechten, terwijl Europese ministerraad en parlement de kant van het bedrijfsleven kiezen. Ondertussen verkrijgen overheden uit oogpunt van criminaliteit- en terrorismebestrijding telkens meer en zwaardere bevoegdheden. Gemeenschappelijke belangen zijn er nauwelijks.

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist.


g

Security is geen product maar een proces

van de redactie

Eerste editie

Security BootCamp

een groot succes

In miniatuurstad Madurodam heeft op 6 maart 2013 de eerste editie van Security BootCamp plaatsgevonden. Het security event, geheel georganiseerd door SecureLink, werd op gepaste wijze geopend door misdaadverslaggever en host Peter R. de Vries. De gehele dag stond in het teken van hot items op het gebied van security en networking. Het thema van de dag was daarom ook ‘Heel Nederland Veilig’. David Koretz, CEO van Mykonos, welk bedrijf recentelijk is overgenomen door Juniper Networks, beet het spits af met de eerste plenaire sessie. Het innovatieve Mykonos is het eerste Web Intrusion Deception systeem dat hackers detecteert, volgt, profileert en real-time blokkeert. Koretz’ inspirerende verhaal over de ‘Bertillon-methode’ en de vergelijking met de IP-adressen van nu, maakten duidelijk dat de Mykonos- technologie er een is om te onthouden. Het bleef namelijk angstig stil in de zaal toen David vroeg: “Wie weet er zeker, dat er op dit moment geen hacker actief is op uw corporate website?” Hiermee haalde David exact de problematiek naar boven die nu speelt en werd duidelijk hoe de nieuwe Juniper Networks Mykonos-oplossing hiermee omgaat, het inzichtelijk maakt en ook daadwerkelijk voorkomt.

“The biggest challenge to your dynamic environment is security” Lee Klarich, VP Product Management bij Palo Alto Networks, haakte in op de trend ‘security en virtualisatie’. Met de komst van virtuele datacenters en private en public cloud is de juiste security- inrichting een van de grootste uitdagingen anno 2013. Lee gaf aan, dat er een duidelijke verschuiving plaatsvindt in de ontwikkeling van het datacenter zoals dat vroeger bestond en de huidige infrastructuren van de datacenters die nu worden gebouwd. De presentatie ging dieper in op het aspect virtualisatie en security. Virtualisatie is een feit, echter de security tussen de verschillende virtuele lagen laat te wensen over en dient mee te worden genomen in de totale IT-securityinfrastructuur

waarbij eenvoud van beheer key is. De oplossing van Palo Alto Networks biedt een compleet portfolio aan verschillende security gateways die ook deze “virtuele laag” aanpakken. Palo Alto Networks heeft medio november vijf nieuwe producten gelanceerd: de VM-series, WildFire subscription, PANDB, de PA-3000 series en de M-100 management appliance. Al deze producten geven de veelomvattende aanpak van Palo Alto Networks weer op het gebied van virtualisatie, next generation firewallplatformen en managementhardware. Parallelsessies In de parallelle sessies, die een ieder

van tevoren kon selecteren, kwamen onder andere journalist Brenno de Winter, ethisch hacker Jeroen van Beek, security-consultants van SecureLink, customer cases en leveranciers aan bod die hun (kritische) visie op security deelden met de meer dan 240 aanwezigen. De sessies met onderwerpen als Modern Malware, Wireless Security en Designing a Zero Trust Network werden goed bezocht door het overwegend technische publiek. Ook de hands-on firewall workshop van Palo Alto Networks is goed bezocht. In deze workshop, ook wel de ‘Ultimate Test Drive’ genoemd, konden de aanwezigen zelf aan de slag met allerlei configuraties van deze next generation security gateway. Back to the Future In de een na laatste sessie werd door technisch directeur van SecureLink, Peter Mesker, verbinding gemaakt met 2028. In een fictief gesprek met zichzelf in de toekomst werd de ontwikkeling van security intelligentie, IPv6, virtualisatie en cloud bursting besproken. Ook de term AHIRI, afkorting voor Artificial Human Interaction Recognition & Interception, werd onder de loep genomen. Aan de hand van deze visionaire sessie

10

is onder de aanwezigen gevraagd te antwoorden op de volgende stelling: In de toekomst is een belangrijk aspect van IT security gericht op de vereenvoudiging van het beheer en het verkrijgen van inzicht door goed leesbare rapportages. Een duidelijke meerderheid van 92 procent was het eens met deze stelling. Het cliché ‘meten is weten’ is hiervoor een veel voorkomend argument. Daarnaast wordt ook het management steeds meer betrokken bij de vaak complexe materie en zorgen goed leesbare rapportages voor een duidelijke motivatie bottom-up. Door de vele veranderingen in het IT-securitylandschap en de toename van de hoeveelheid data lopen ook de kosten voor het beheer steeds meer op. De vereenvoudiging van dit beheer maakt het proces eenvoudiger en tevens kwalitatiever. Ofwel: zonder inzicht ben bent u niet in control. Hier werd wederom duidelijk dat security geen product is maar een proces. 35 jaar misdaadverslaggever Peter R. de Vries eindigde de dag met een presentatie over zijn 35 jaar ervaring als misdaadverslaggever. Daar waar vele mensen Peter R. de Vries kennen van zijn televisieoptredens, ging Peter ditmaal dieper in op hoe hij als klein jongetje al

gefascineerd was door krantenartikelen over onopgeloste moorden. Vervolgens heeft hij het publiek meegenomen tijdens zijn loopbaan, waarbij bekende zaken zoals de ontvoering van Heineken, de moord op Marianne Vaatstra en de Puttense moordzaak maar ook minder bekende zaken aan bod kwamen. Vervolgens kreeg het publiek de kans alles te vragen wat zij maar wilden, wat resulteerde in een boeiende interactie met de Vries. Security BootCamp 2014-2015 De volgende editie van Security BootCamp zal plaatsvinden op 12 maart 2014. Op de website van SecureLink, www. securelink.nl, zullen de locatie, sprekers en andere zaken in de maanden voor het event bekend gemaakt worden. Vele bezoekers stelden vooral de technische inhoud van de dag in combinatie met de visie die gegeven is op ons vakgebied op prijs. Zij hebben aangegeven, dat er absoluut ruimte is voor een dag als Security BootCamp op een toch volle “evenementen kalender”. Het delen van kennis en ervaring ziet SecureLink als haar verplichting in de ontwikkeling en zichtbaarheid van IT security.


11

g

ThreatScapes van iSIGHT Partners wapen in strijd tegen

007

cybercrime

DOOR Hans Lamboo

in hackersland

Er komt steeds meer informatie beschikbaar over virussen, malware, hacktivists en cybercrime. Anti-cybercrime organisaties speuren op internet naar activiteiten, IP-adressen en verdachte sites. Sommige van deze organisaties gaan zover analisten in verdachte landen naar informatie te laten zoeken. iSIGHT Partners is zo’n organisatie. Uit alle informatie stellen ze ThreatScapes samen, en bieden die op de securitymarkt aan. ThreatScapes bevatten informatie niet alleen ter detectie en preventie, maar beantwoorden ook de ‘hoe’ en ‘wie’. Informatiebeveiliger Kahuna vertegenwoordigt het bedrijf in Nederland. De firewall vormt het verbindingspunt tussen de binnen- en buitenkant van een netwerk. De laatste jaren is een verschuiving opgetreden van activiteiten die zich achter de firewall voltrokken naar daar buiten. Begrip van wat er zich in die buitenwereld allemaal afspeelt, is dus van het allergrootste belang. Hoe werken virussen en malware? En hoe werken cybercriminelen? De Amerikaanse organisatie iSIGHT Partners verzamelt en analyseert informatie en deelt die met zijn partners. Het bedrijf opereert vanuit diverse kantoren in de VS, dichtbij probleemgebieden zoals China en Oekraïne en heeft sinds kort een technologievestiging in Amsterdam. Occasion visability Met het beschikbaar komen van alle informatie rijst de vraag op welke manier deze cyber intelligence, harde informatie en IP-adressen, toegepast kan worden. Een lijst van foute IP-adressen kan worden gebruikt in een firewall om ze direct te blokkeren, of eerst te checken in hoeverre een adres tot last is en indien nodig te blokkeren. Die keuze kan alleen gemaakt worden op basis van feitelijke waarneming. Bij het samenstellen van een IP-reputatiedatabase maakt Kahuna overigens niet alleen gebruik van informatie van iSIGHT Partners, maar van meer dan 12

27 bronnen. Een deel van de informatie is publiek te verkrijgen uit bijvoorbeeld honeypot-projecten, voor een deel moet worden betaald, zoals iSIGHT Partners en bijvoorbeeld HP tippingpoint. Partner Norman levert elke dag url’s en IP-adressen aan, waar foute dingen gebeuren. Niet in lijstvorm, maar alleen de nieuwe. “De kwaliteit van de informatie en snelheid waarmee het ons bereikt is van het grootste belang; daarnaast weegt de relevantie van de informatie voor onze klantenkring mee,” zegt Rhett Oudkerk Pool, oprichter/eigenaar van informatiebeveiliger Kahuna. “Een van onze leveranciers, Palo Alto, brengt een ‘Global Friend’- rapport uit, een occasion visability rapport. Van alle proven concepts die zij in de wereld doen, brengen zij een deel rapport in. We gebruiken dus intelligence vanuit de hele wereld, om onszelf bij te scholen, om configuraties in het veld te verbeteren en om de harde, feitelijke informatie te verzamelen. Url’s, IP-adressen, protocollen, methodieken en tools.” Al deze informatie is verzameld door de bewegingen op internet gade te slaan, door gebeurtenissen in kaart te brengen, door de honeypots te legen. Deze informatie is echter vrij reactief, het brengt immers slechts in kaart wat er gebeurt. “Het liefst zou je willen weten wat er staat te gebeuren”, zegt hij. “Dergelijke in-

formatie zul je moeten zoeken en halen. Daarin voorziet iSIGHT Partners.” Zodra een bedrijf een subscriptie sluit met iSIGHT Partners, begint het rapporten te ontvangen. Die rapporten zijn veelomvattend en moeilijk leesbaar, bovendien kan het zijn dat het bedrijf maar interesse heeft in een heel klein stukje van de informatie. iSIGHT Partners werkt daarom met zogenaamde ThreatScapes, die per domein informatie geven en aanduiden welke technologie een relatie heeft met welke andere technologie(en). “iSIGHT Partners produceert een ThreatScape over advanced persistent threats, een over e-crime, over DDos, een scala aan onderwerpen”, licht Oudkerk Pool toe. “iSIGHT Partners helpt de gebruiker die zich aan het inlezen is in een dossier, door het gehele ecosysteem waar de ThreatScape deel van uitmaakt visueel te maken. Vindt de gebruiker iets dat hem

interesseert, dan ziet hij op de afbeelding de plaats daarvan in het grotere geheel en daardoor ook de relaties met andere onderwerpen. ThreatScapes vormen in feite een visuele representatie, een index, een hoofdstukindeling over het onderwerp.” Klassieke analyse iSIGHT Partners vergaart deze informatie op een aantal manieren, ook via mensen die werken in de landen waar veel cybercriminaliteit is. Deze mensen moeten meerdere talen spreken en bovendien de slang van de onderwereld begrijpen. Ze beschikken over een relatienetwerk en de benodigde technische kennis. “Deze mensen werken op een manier die veel wegheeft van klassieke analyse ten behoeve van spionage. De agenten worden op pad gestuurd op basis van een hypothese en gaan op zoek naar bewij-

zen welk element van de stelling waar is. Dat brokje informatie sturen ze naar het hoofdkwartier terug”, beschrijft hij de werkwijze. “Stel, de hypothese is dat bedrijf A ergens volgende week met een bepaalde technologie zal worden aangevallen. De ene analist zal ontdekken dat het niet volgende week, maar volgende maand zal plaatsvinden. Een ander vindt uit dat het niet om bedrijf A maar om de buurman bedrijf X gaat. Een derde analist constateert dat de veronderstelde technologie helemaal niet populair is

RSA gehackt “Enige tijd geleden werd het securitybedrijf RSA gehackt. Bij het beschouwen van elke fase in het hackingproces blijkt elke stap (weer binnen de context) een trigger. Het werkstation van een HRmedewerker is aangesloten op het High secure-level netwerk van RSA, dat ook toegang geeft tot de meest kritische informatie, de kroonjuwelen. De betreffende medewerker haalt uit zijn quarantainebox een mailtje en klikt op de attachment. De antivirussoftware had dus al geconstateerd dat er iets mis mee was, maar de titel van het document is blijkbaar zo aantrekkelijk dat de medewerker er toch op klikt. Alleen al het feit dat iemand aangesloten is op het meest kritische netwerk, zou al aanleiding moeten zijn om hele krachtige monitoring te organiseren: alles wat er binnen die infrastructuur gebeurt, moet bekeken en geanalyseerd worden. Bovendien is het openen van een attachment in een quarantaine directory een actie die gemakkelijk kan worden geblokkeerd. Het onheil is echter geschied: het attachment installeert software op de pc van de HR-medewerker. Het werkstation gaat sniffen over de infrastructuur en begint vervolgens data naar buiten te pompen naar een server waarvan bekend is dat die in handen is van de Russische maffia. Er zijn serverproviders, waarvan de hele range het best direct in de firewall geblokkeerd kan worden. Want als de betrokken organisatie geen vestiging heeft in Sint-Petersburg en het netwerk is daar druk mee aan het communiceren, dan betekent dat niet veel goeds.”

bij de verdachte groepering, en meldt dat het hoogstwaarschijnlijk om andere technologie gaat. iSIGHT Partners asembleert als het ware alle losse informatie tot één stuk intelligence. Dat is het klassieke spionnenwerk zoals we dat kennen uit boeken en films. Er zijn ook ontelbaar vele ondergrondse marktplaatsen waar iSIGHT Partners de

Dat is het klassieke spionnenwerk zoals we dat kennen uit boeken en films. Infosecurity.nl magazine - nr. 2 - april 2013

13

VIRTUALISATIE

APPS

SECURITY

STORAGE

SOLUTIONS

SOLUTIONS

VIRTUALISATIE

PAAS MIGRATIE

CLOUDSHOPPING

STORAGE

DA GREE

MIGRATIE

CLOUDCOMPUTING LAAS

AAS

PRIVATE LAAS

GREEN IT

SECURITY

PUBLIC

T MANAGEMENT

PAAS

MIGRATIE PRIVATE APPS CONVERSION HYBRIDE CLOUDCOMPUTING PRIVATE

LAAS CONVERSION

PUBLIC

HYBRIDE IT MANAGEMENT

GREEN IT

cloudworks.nu

g

ThreatScapes van iSIGHT Partners

laatste exploits tegenkomt. “Een illustratief voorbeeld: stel, Microsoft komt met een nieuw device. Dan zullen cybercriminelen direct gaan proberen de kwetsbaarheden ervan te zoeken en te misbruiken, er een exploit voor te maken. Dan is het heel interessant om de tijdlijn te volgen: wie werkt er aan, wanneer komt wat in de media, of in de community, welke groeperingen doen wat. Wie gaat verder met het materiaal dat is ontdekt? Wie werkt samen met wie? Welke forumdiscussies leven er, welke niet? Er wordt dus ook veel informatie van het web zelf gehaald, zowel van publieke als gesloten gedeelten, als onderdeel van de hypothesetechniek.” Context is cruciaal Wat doet Kahuna met al die informatie? “Aan de ene kant gebruiken wij die informatie om onze mensen up to date te houden, een aantal mensen binnen ons bedrijf hebben daar vrij toegang toe via een een soort portal”, zegt Oudkerk Pool. Meer organisaties in Nederland zouden de informatie van iSIGHT Partners moeten gebruiken, vindt hij. “Maar Nederland is een klein landje, met andere budgetten dan bijvoorbeeld in de VS. Daarnaast is er het probleem van de technische intergratie van onze en hun intelligence. Een IP-adres is heel concreet en simpel, maar we willen ook accessable intelligence maken. Kahuna doet eigenlijk de inside out, zij doen de outside in. Dat komt allemaal samen op de perimetergrens, de firewall. De next generation firewall. Daar zijn dus detectiemethodieken voor nodig en een ecosysteem om te kunnen monitoren. Het gaat daarbij om de hele keten: hoe gaat de informatie van buiten naar binnen en andersom. Al die componenten spelen daar een rol in – en kunnen ook misbruikt worden. Daar moet dus een monitoringlaag over gezet worden, die in de gaten houdt wat er nu vandaag gebeurt en die gegevens vergelijkt met een archief. Stel, een firewall houdt continu verkeer tegen van een specifiek Chinees IP-adres. Een week later is er plotseling uitgaand verkeer naar datzelfde IP-adres. Dat moet je

kunnen voorkomen met een next generation firewall.” “Bij alle security-incidenten in de wereld is de vraag: had dit kunnen worden gezien of niet? En zo ja, waarom is het dan niet gezien? Een van de redenen daarvoor is dat het meestal om normaal netwerkverkeer gaat, of een gebruikelijke actie. Het gaat om de context: iemand doet een printjob op een printer waar hij normaal gesproken nooit op print, of op een tijdstip waarop dat normaal gesproken niet gedaan wordt; of het gaat om een document wat normaal gesproken alleen door de directiesecretaresse mag worden geprint. Uit al die extra gegevens blijkt dat die ‘normale’ printactie dus helemaal niet zo ‘normaal’ is. Context is van cruciaal belang,” stelt Oudkerk Pool. Reputatieschade Het is onmogelijk een IT-omgeving voor de volle 100 procent te beveiligen. Het gaat dan ook altijd wel ergens mis, dat is een gegeven, zegt hij. “Dat betekent niet dat een organisatie dan maar geen maatregelen hoeft te nemen. Wat belangrijk is, is dat de investeringen in de bescherming van de IT-omgeving evenwichtig gedaan worden. Het is opvallend dat er in dat verband vaak gesproken wordt over reputatieschade, terwijl uit diverse onderzoeken blijkt dat die schade in de praktijk relatief gering is. Een incident kost altijd wel wat klanten, maar vroeger werd gedacht dat klanten massaal hun geld bij hun bank zouden gaan opnemen na een hackingincident - maar dat gebeurt niet. Nederlands internetbankieren werkt heel vaak niet, maar het is niet zo, dat die banken daardoor duizenden klanten verliezen. Mensen hebben er begrip voor, zolang de bank maar uitlegt wat er aan de hand is. Dat sommige acties die het internetbankieren stilleggen preventief zijn. Als een bedrijf niet goed communiceert of gaat liegen, ja dán is het raak.” Hans Lamboo is hoofdredacteur van Infosecurity.nl magazine

Over Kahuna Directeur/eigenaar Rhett Oudkerk Pool richtte in 1998 informatiebeveiligingsbedrijf Kahuna op. Kahuna levert (Managed) Security-oplossingen aan talrijke organisaties in het bedrijfsleven, de financiële sector en de overheid. Door de sterk opkomende cybercriminaliteit nemen het strategisch belang van Security en Compliance Management alleen maar toe. Tegelijkertijd worden netwerkinfrastructuren almaar complexer en wordt het risicoveld breder en gevarieerder, waardoor informatiebeveiliging meer en meer verschuift van detectie naar preventie. Dat komt tot uiting in het Kahuna Security Management Framework dat een afgewogen aanpak van preventieve en detectieve maatregelen omvat. Big Data Analytics, het analyseren van grote hoeveelheden gegevens, is een trend die sterk in opkomst is, zeker op het gebied van security. Kahuna’s verrijkte Security Information & Event-oplossing (SIEM) wordt al jaren ingezet als het gaat om het verzamelen, analyseren en rapporteren van grote hoeveelheden gegevens ten behoeve van Security en Compliance Management. Sinds kort is Kahuna de Nederlandse vertegenwoordiger van iSIGHT Partners, een Amerikaans bedrijf dat gespecialiseerd is in informatievoorziening omtrent cybercrime.

Het is onmogelijk een IT-omgeving voor de volle 100 procent te beveiligen. 14


15

g

Veilig bestanden uitwisselen over internet

DOOR Ferry Waterkamp

Securitymanagers

weer in

control met

mSafe

Waar publieke filetransfer- en opslagdiensten zoals Dropbox, WeTransfer en Google Drive een zegen zijn voor de gebruiker, vormen ze een ware nachtmerrie voor de securitymanager die de controle over zijn data dreigt te verliezen. Gelukkig zijn er inmiddels verschillende veilige alternatieven op de markt. Een voorbeeld hiervan is Motiv mSafe, een puur Nederlands product dat wordt gehost in datacenters in Nederland. Zelfs de criticasters zijn het erover eens: voor privégebruik is een dienst als Dropbox een geweldig idee. Bestanden die in de cloud worden opgeslagen, zijn direct beschikbaar op laptop, tablet en smartphone en kunnen eenvoudig worden gedeeld met vrienden en familie. Voor de kosten hoef je het ook niet te laten. Zo wordt bij Google Drive 5 GB aan opslagcapaciteit gratis weggegeven. Wie bijvoorbeeld een HTC One-smartphone aanschaft, krijgt er zelfs twee jaar lang een 25 GB Dropbox-account bij. De problemen beginnen als diezelfde smartphone met geautomatiseerde Dropbox-applicatie toegang krijgt tot het bedrijfsnetwerk, en Dropbox wordt gebruikt voor het opslaan en delen van bestanden. Op dat moment verliest de securitymanager de controle over zijn data en komt de compliancy in gevaar. Persoonlijke cloudcontainer Bedrijven die het zakelijk gebruik van publieke filetransfer- en opslagdiensten niet aan banden leggen, lopen op de eerste plaats het risico het intellectueel eigendom over hun eigen documenten te verliezen. Bestanden die in Dropbox worden opgeslagen, komen terecht in een persoonlijke ‘cloudcontainer’. Een werknemer die de onderneming verlaat, neemt zijn of haar persoonlijke cloud16

container inclusief documenten met zich mee. De onderneming heeft vervolgens het nakijken. Een ander probleem is dat compliancy in gevaar komt als er geen overzicht meer is van waar bestanden zich bevinden, en wie allemaal toegang hebben tot die rondzwervende bestanden. De betrouwbaarheid van data komt bovendien in gevaar als niet meer is vast te stellen waar zich de laatste versie van een document bevindt. Ook kunnen documenten eenvoudig in verkeerde handen vallen of worden onderschept. Het invullen van het verkeerde e-mailadres bij het delen van een document of het verlies van smartphone of tablet is daarvoor al voldoende. Ook is het voor een bedrijf moeilijk om na te gaan hoe de aanbieders van publieke filetransfer- en opslagdiensten hun security hebben geregeld en of er mogelijk sprake is geweest van een incident.

Veilige alternatieven Gelukkig zijn er diverse oplossingen op de markt die veel van deze problemen wegnemen. Een voorbeeld daarvan is Accellion dat onder andere wordt geleverd door mITE, een specialist op het gebied van enterprise mobility. Het in 1999 opgerichte Accellion is al enkele jaren een marktleider als het gaat om filesharingen managed filesharing-oplossing. Sinds 2010 richt het bedrijf zich nadrukkelijker op het mobiele domein. Accellions Secure Mobile File Sharing-oplossing is onpremise en in de public of private cloud te gebruiken. Een ander voorbeeld is Cryptshare dat in Nederland wordt geleverd door onder andere ICT Security-specialist Motiv. Bij Cryptshare ligt de focus op het uitwisselen van grote bestanden via e-mail. Hierbij worden de bestanden niet op de mailserver opgeslagen maar op de Cryptshareserver. Deze server staat binnen het netwerk van de gebruiker achter de firewall in de DMZ. De bestanden worden daar met een AES-versleuteling opgeslagen terwijl zowel de upload als de download

Motiv heeft met mSafe een puur Nederlands, veilig alternatief voor diensten als Dropbox en WeTransfer op de markt.

via SSL-verbindingen verlopen. Daarmee is Cryptshare een high-end security-oplossing die organisaties in staat stelt om grote bestanden veilig te versturen. Sinds februari van dit jaar heeft Motiv met mSafe ook een puur Nederlands, veilig alternatief voor diensten als Dropbox en WeTransfer op de markt. mSafe is een eigen ontwikkeling van Motiv en wordt gehost in datacenters in Nederland. Hierdoor hebben gebruikers de garantie dat bestanden binnen Nederland worden opgeslagen. Werking mSafe mSafe is speciaal ontwikkeld voor de zakelijke markt, voor het veilig en betrouwbaar uitwisselen van bijvoorbeeld personeelsdossiers, medische dossiers of financiële informatie. Een ander concreet voorbeeld is het aangetekend versturen van digitale post. mSafe levert in de transactielog en in de rapportage het bewijs voor verzending en ontvangst. Op die manier weet de verzender uiterst zeker dat de ontvanger het document heeft ontvangen. Motiv draagt zorg voor de beveiliging van de uitgewisselde bestanden en voorkomt oneigenlijk gebruik van het platform door de dienst continu te bewaken. De basis van mSafe is een werkruimte die een organisatie bijvoorbeeld per project, klant of contactpersoon aanmaakt. Aan deze virtuele folder koppelt de beheerder of eigenaar gebruikers die op de werkruimte inloggen met behulp

van een gebruikersnaam (e-mailadres), wachtwoord en een eenmalige code. Deze code wordt per sms verstuurd naar het mobiele nummer van de gebruiker. Gebruikers kunnen vervolgens bestanden met een omvang van maximaal 10 GB uploaden naar de werkruimte. Deze bestanden komen eerst in een quarantaineomgeving waar Motiv ze scant op malware. Daarna krijgen de gebruikers automatisch per e-mail een melding van de upload waarna een bestand kan worden gedownload en nieuwe bestanden weer worden geüpload. De dienst is volledig webgebaseerd en vereist geen installatie van software; alleen bestanden groter dan 100 MB vereisen een plug-in van Microsoft Silverlight. Door de combinatie van gebruikersnaam, wachtwoord en sms-code werkt mSafe standaard met sterke authenticatie. Ook standaard is de versleuteling van zowel de uitwisseling als de opslag van digitale bestanden. Motiv maakt voor encryptie, handtekeningen en integriteitscontrole gebruik van de 256-bits AES-, de 2048bits RSA- en SHA-512-algoritmen. Per werkruimte kan een ‘bewaartijd’ worden ingesteld waarna een werkruimte automatisch wordt verwijderd. De tijdsduur tussen het aanmaken van een werkruimte en het verwijderen, bedraagt maximaal dertig dagen. Ook is het mogelijk om een bestand automatisch te laten verwijderen direct nadat deze door de ontvanger is gedownload.

I-FourC I-FourC is een van de eerste bedrijven die gebruikmaakt van Motiv mSafe voor het veilig uitwisselen van documenten over internet. “Door al in een vroeg stadium te sparren met Motiv hebben wij zelfs een beetje bijgedragen aan de ontwikkeling van het product”, vertelt Information Security Officer Maurice Sanders van I-FourC, een specialist in het archiveren en digitaliseren van dossiers. Het bedrijf uit het Limburgse Reuver was al geruime tijd op zoek naar een oplossing om bijvoorbeeld referentiebestanden veilig naar de klant te sturen. “Een dergelijke oplossing was in Nederland eigenlijk nog niet voorhanden. Er zijn wel buitenlandse aanbieders maar daar heb je als klant vaak geen gevoel bij en je weet ook niet waar je bestanden komen te staan. Als I-FourC, waar we veiligheid hoog in het vaandel hebben staan, willen we ook geen gebruikmaken van bijvoorbeeld Dropbox of WeTransfer. Zo bestaat bij WeTransfer het risico dat je per ongeluk het verkeerde e-mailadres invoert waardoor vertrouwelijke informatie naar de verkeerde persoon wordt gestuurd.” Toen de zoektocht naar een geschikte oplossing niets opleverde, besloot IFourC bij Motiv aan te kloppen. Sanders: “Daarna is het snel gegaan. mSafe wordt nu binnen I-FourC standaard ingezet voor het veilig uitwisselen van documenten, zoals projectplannen tussen collega’s onderling en met klanten en businesspartners.”

Twee varianten Motiv levert mSafe in twee varianten. De Business-variant is een 100 procent cloudoplossing waarbij Motiv zorgt voor secure hosting in de twee eigen datacenterlocaties, die worden ingehuurd bij een datacenterexploitant in Nederland. Business+ is de maatwerkvariant, waarmee Motiv mSafe als klantinterne oplossing wordt gepositioneerd. Hiermee is het bijvoorbeeld mogelijk om Motiv mSafe Business+ te integreren met de Active Directory en met bestaande systemen en applicaties. Een ander voorbeeld van maatwerk is de mogelijke integratie met authenticatietechnieken zoals RSA SecurID, DigiD en SecurEnvoy. Motiv mSafe Business+ kan als private clouddienst worden afgenomen, maar ook binnen de eigen infrastructuur worden geïnstalleerd. Ferry Waterkamp is freelance journalist. Infosecurity.nl magazine - nr. 2 - april 2013

17

g

Website toont real-time aanvallen op honeypot-systemen

en zendt waarschuwingen uit

DOOR Hans Vandam

Security dashboard

leen dagelijks al 450.000 aanvallen op de afleidingssystemen en we merken dat dit aantal nog steeds enorm toeneemt. Dat bevestigt wel de noodzaak voor een wereldwijd aanvalsoverzicht en het maakt gegevensanalyse mogelijk. Dit is namelijk de enige manier om de verspreiding van virussen, wormen en trojans tegen te gaan en om de gerelateerde kosten bij klanten te drukken”, gaat de Goede van Eijk verder. De sensoren registreren alle aanvalsgegevens 24 uur per dag.

biedt preventieve cyberbeveiliging

Vroegtijdige preventie van cybercrime Samen met het genootschap voor cyberbeveiliging ontwikkelde T-Systems het initiatief om digitale aanvallen inzichtelijk te maken. Het bureau voor informatiebeveiliging (BSI) en de Duitse branchevereniging voor informatietechnologie, telecommunicatie en nieuwe media (BITKOM) brachten diverse grote ondernemingen bij elkaar. Zij bieden gezamenlijk ondersteuning om cybercrime een halt toe te roepen. “Wij willen de website de komende jaren nog flink uitbreiden zodat we de gegevens steeds beter kunnen analyseren. Met onze partnerorganisaties hopen we daarnaast het aantal sensoren en afleidingssystemen aanzienlijk te ver-

Digitale aanvallen op websites, netwerken, IT-systemen en zelfs smartphones zijn inmiddels aan de orde van de dag. Bovendien verschijnen er dagelijks ruim 200.000 nieuwe versies van trojans, wormen en virussen. De dreiging van het internet wordt daarmee groter en groter en een preventieve cyberbeveiliging is cruciaal om als organisatie, overheid of individu de hackers buiten de deur te houden. De nieuwe online portal www.sicherheitstacho.eu van Deutsche Telekom en dochteronderneming T-Systems biedt openheid en transparantie over huidige risicosituaties. Wereldwijd. Met dit ‘security dashboard’ zet de telecomorganisatie alvast een eerste stap om digitale aanvallen te analyseren en daar lering uit te trekken voor de toekomst. Patrick de Goede van Eijk, security expert bij T-Systems Nederland, legt uit: “We willen een beter zicht krijgen op de dreigende situaties en antwoord krijgen op belangrijke security-vragen. Welke systemen vallen hackers het meest aan? Op wat soort momenten gebeurt dit? En in welke regio’s lopen bedrijven het grootste risico? Op basis van de antwoorden kunnen we immers gericht actie ondernemen en cybercrime zo goed als mogelijk binnen de perken houden. Een beveiligingsradar en een platform

als www.sicherheitstacho.eu leveren ons deze nuttige en hulpvolle informatie.” De website is gratis toegankelijk voor beveiligingsexperts en voor overige geïnteresseerde groepen en individuen die willen controleren of hun organisatie gevaar loopt. Kennis over wereldwijde cyberaanvallen Het security dashboard beschikt over een digitale wereldkaart en toont de oorsprong van iedere aanval, plus de

plaats en het tijdstip waarop de aanval plaatsvindt. Daarnaast voorziet de portal in diverse grafieken en diagrammen om de gegevens zo volledig mogelijk weer te geven. Real-time statistieken geven bijvoorbeeld de meest actuele aanvallen door. Hierop is te zien welke aanvalsvorm de hackers het meest gebruiken en het toont tevens het land waarin de targetserver staat. “De cybercriminelen bevinden zich bijna altijd op een compleet andere plaats dan de plek van hun doelwit. Eerst gaan de hackers namelijk op zoek naar gaten in online systemen. Zodra zij

www.sicherheitstacho.eu toont in real-time de doelen waar hackers zich op richten een dergelijk gat of zwak punt ontdekken, dan kunnen zij het systeem binnentreden”, verklaart de Goede van Eijk. “Het gehackte systeem of de beheerder erachter verliest dan direct al zijn controle en moet met lede ogen aanzien hoe anderen zijn systeem besturen. In veel gevallen gebruiken zij de servers voor het verspreiden van spam en malware. Dit kan voor de gehackte organisaties zeer negatieve gevolgen hebben.” www.sicherheitstacho.eu toont daarom in real-time de doelen waar de hackers zich op dat moment op richten. Dit zijn veelal de netwerken en servers die de meeste zwakke punten laten zien. Toch is één zwak punt al voldoende. Het is mogelijk dat de beheerder of organisatie van deze systemen net de gaten wilde dichten

18

door middel van een update, maar toch te laat was. Het is dan ook aan te raden updates direct te installeren om het ontstaan van zwakke punten zoveel mogelijk te vermijden en zo de kans op een aanval te beperken. Honeypot-systemen lokken aanvallers uit T-Systems beschikt wereldwijd over meer dan negentig sensoren die als ‘honeypot’ dienen – een zogenaamd afleidingssysteem. Door bewust zwakheden op bijvoorbeeld een netwerk aan te brengen en deze via internet te tonen, probeert de telecomorganisatie aanvallen uit te lokken. Indien een hacker zo’n honeypot-systeem aanvalt, registreert deze de dreiging en stuurt vervolgens een waarschuwing van een cyberaanval uit. “Wij registreren alInfosecurity.nl magazine - nr. 2 - april 2013

19

Hans Vandam is freelance journalist.

Bezoekers aan Overheid & ICT krijgen het wel erg gemakkelijk

CloudTour / SecurityTour 1F016

THEATER GROEN

1F032

1F020

1F023 1F021

1F025

THEATER ROOD

1F040 1F044 1F046 1F048

1F033

1F041

1F047

1F055

1F061

1F078

GEMEENTE PLEIN

1F071 1F075 1F079

Het wordt de bezoekers aan de vakbeurs Overheid & ICT erg gemakkelijk gemaakt. 1E032 de 1E024namelijk 1E036 1E022 1E020 1E070 1E074 CloudWorks en het vakblad Infosecurity.nl magazine hebben CloudTour en1E048 de SecurityTour 1E054 samengesteld. Op die manier 1E078 OPLEIDINGEN krijgen de deelnemers binnen het uur een (welhaast) compleet beeld van wat de exposanten aan cloud- en security-oplossingen te PLEIN 1E033 bieden hebben. 1E025 1E055 1E083 1E047 1E023 GEO & ICT worden er op twee 1E051uur en om 13.00 uur) rondleidingen verzorgd 1E031 Tijdens de drie beursdagen van Overheid momenten 1E035 (om 11.00 1E021 INFO magazine. door CloudWorks én door Infosecurity.nl Bezoekers - die zich bij de online registratie op kunnen geven - worden in vijf PLEIN minuten bijgepraat door elke van de tien vooraf geselecteerde exposanten met een duidelijke cloud- of security-propositie. 1D032 1D082 1D036 1D070 1D020 1D024 1D054 van de exposanten Het startpunt is de ‘Mediacorner’ waar alle deelnemers een headset krijgen om 1D044 zo de elevatorpitch goed te kunnen beluisteren. 1D045 1C002 1D011 Dit zijn de geselecteerde exposanten: 1E042

1C015

CloudTour SecurityTour 1C044 1C020 1C006 1C010 1C032 WatchGuard

1C037

1C011

Geodan

1C045

1C047

Brainforce

1C055

1C071 1C083

Grontmij Madison Gurkha 1B032 1B020 1B048 1B010 1B044 ORGANISATIE Solviteers Panda 1B031 1B037 1B045 KANTOOR

1C082

1B051

1B054

1B060

1B055 1B061

1B070 1B069

1B081

1B

1B09

1B08

1A09

1A078 1A079

1A071

1A072 1A077

1A058 1A061

1A068

1A073

1A047

1A054

1A067

1A045

1A041

Unisys Odinfo 1A031 1A017 ENTREE

1A048

1B088

1B082

1B076

Fenestrae Enable-U 1B052 1A020 1A038 1A044 Panda Centric

1C0

1A093

Enable-U

TERRAS

1B085

1C004

1E087

1A089

1D007

1A037

Overige functionaliteiten www.sicherheitstacho.eu is een volledig security dashboard dat niet alleen een overzicht verschaft van huidige en dreigende digitale aanvallen, maar ook het aantal aanvallen en het aantal aanvallers per dag toont. Bovendien biedt de website een lijst met landen waar de meeste aanvallen plaatsvinden. Via zowel een beschrijving als een diagram levert de website tevens informatie over het type systeem dat cybercriminelen op dat moment aanvallen. Vaak zijn dat netwerkdiensten, maar het kunnen ook websites, consoles of smartphones zijn. De portal is zowel in het Engels als in het Duits te raadplegen.

23-25 APRIL 2013 | JAARBEURS UTRECHT

1E018

Inzicht delen en gebruiken voor de toekomst De bevindingen en resultaten die T-Systems door gegevensanalyse opdoet, delen zij met autoriteiten, leveranciers en ontwikkelaars van beveiligingssoftware. Zelf gebruikt de telecomonderneming deze informatie ook. Patrick de Goede van Eijk noemt het belang van actualisatie en controle: “Onze eigen systemen moeten wij uiteraard eveneens continu up-to-date houden en veiligstellen. Daarnaast willen wij onze klanten voor specifieke dreigingen waarschuwen en daarom controleren wij hun systemen. Als er sprake is van dreiging dan registreert de website dit. Naar aanleiding van deze dreigingen versturen wij maandelijks inmiddels tienduizenden nieuwsbrieven waarin wij klanten informeren over hun specifieke situatie en of hun systemen worden gebruikt voor het versturen van schadelijke data.” T-Systems kan op deze manier in de toekomst cybercrime een stap voor zijn en uiteindelijk het aantal aanvallen beperken.

g

HALPLATTEGRON

1E016

hogen. Op deze manier proberen we het zicht op en onze kennis over risicovolle situaties verder te verbeteren”, zegt de security expert van T-Systems. “Via de website kunnen we een relatief eenduidig beeld schetsen van de aanvallen die wereldwijd plaatsvinden. Door organisaties die in dreigende regio’s staan te waarschuwen, kan direct actie ondernomen worden. Zij kunnen daarmee inspelen op risico’s en meteen hun virusbescherming aanpassen en waar nodig updates installeren.”

20

Overheid & ICTl

Website toont real-time aanvallen op honeypot-systemen

1E014

g

Genetics TSTC

ENTREE OOST

Brainforce Symantec

DEELNEMERS GEO INFOPLEIN Groupe Secure STARTPUNT TOURS Er worden dagelijks Tours georganiseerd waarin u in één uur over de beursvloer langs een aantal exposanten wordt geleid. Deelnemers aan deworden CloudTour en/of devolgende SecurityTour De Tours georganiseerd in de categorieën:kunnen zich melden bij de Mediacorner Deze vindt u in hal1, standnummer B121, direct naast Congres Theater. Geo Tour,het Security Tour, Cloud Tour en de NUP Tour. Meer informatie vindt u op www.overheid-en-ict.nl EXPOSANT

beursplattegrond op de volgende pagina’s

t 06-GPS A t Aenova Software t AlterNET Internet B.V. t Arcadis t AT Computing t Axway t Azimuth Geodetic

HAL-STANDNR.

01.E018

01.B055 01.B092 01.C010 01.D032 01.E074 01.C004

EXPOSANT

t BlackBerry t Blancco Oy Ltd t BRAIN FORCE B.V. C t C-CONTENT B.V. t Cascadis t Centric t Certsecurity

HAL-STANDNR.

EXPOSANT

HAL-STANDNR.

EXPOSANT

HAL-STAN

t COOLProfs B.V. 01.E042 t Exxellence Group F t Crotec 01.C011 t CycloMedia Technology B.V. 01.C037 t Facto Geo Meetdienst t Fenestrae D 01.A031 t Decos Information Solutions 01.B010 t Fortes Solutions B.V. 01.OP04 t FSFE 01.OP03 t Dimpact Infosecurity.nl magazine - nr. 2 - april 2013 21 01.E054 t Fugro GeoServices B.V. 01.C082 t diz Informatiezuilen G E 01.A071 01.E083 01.A037 01.C045

01.D

01. 01.A 01. 01.O 01.D

g

Beursplattegrond ENTREE WEST

HAL 11

HAL 12

HALPLATTEGROND

HAL 3 HAL 4

HAL 10

EXPOSANT

HAL 9

23-25 APRIL 2013 | JAARBEURS UTRECHT

HAL 2

HAL 8

HAL 7

ENTREE OOST

HAL 1

HAL 1

1E022 1E020 1E024 1E025

GEO INFO PLEIN

1E032 1E036

OPLEIDINGEN PLEIN 1E033 1E023

1E021 1D020

1F033

1D024

1E031

1F041

1F047

1E048

1E047

1E035

1D032

1D036

1F055

1F061

1F071 1F075 1F079

1E054

1E070 1E074 1E078

1E055

GEMEENTE PLEIN 1E102 1E087

1E083

1E095

1E018

1E016

1E014

1F021

1F025

1E051

1D044

1D082

1D070

1D054

GIN CONGRES ZAAL 2 GIN CONGRES ZAAL 1

1F078

1E101

OP01 OP02

1D096

1F023

THEATER ROOD

1F040 1F044 1F046 1F048

1D092

THEATER GROEN

1F032

1F020

1E042

1F016

1D100

OP08

OP03

1D007

1C015

1C006

1C010

1C110 1C020

TERRAS

1C044

1C032

1C082 1C037

1C011

1C045

1C047

1C055

ORGANISATIE KANTOOR

1B032

1B044

1B048

1B054

1B031 1B037

1B045

1B051

1B055 1B061

1B060

1B070

1B088

1B082

1B076

1B069

1B081

1B092

1B100

1B108

1B095 1B099 1B087 1A106

OP05

OP10

NETWERK PLEIN

1D117 1C124

1C116

1C120

OP07 1C119

VIP LOUNGE/ 1B121 MEDIA CORNER

CONGRES THEATER OVERHEID & ICT

THEATER BLAUW

1A094 1A098

1A078 1A089

1A079

1A071

1A072 1A077

1A061

1A068

1A073

1A047

1A054

1A058

1A048

1A067

1A045

1A031

1A041

1A017

1A044 1A037

ENTREE

1A038

OP04

1C106 1C105

1C089

1B052 1A020

OP09

OP06

1B085

1B020

1C100

1C071 1C083

1B010

1D107

1A095

1A103

1C004

1D101

1D045

1D011

1A093

1C002

WORKSHOP ZALEN OVERHEID & ICT

OP11

ENTREE OOST

(SITUATIE PER 28-03-2013. WIJZIGINGEN VOORBEHOUDEN)

DEELNEMERS GEO INFOPLEIN STARTPUNT TOURS Er worden dagelijks Tours georganiseerd waarin u in één uur over de beursvloer langs een aantal exposanten wordt geleid. De Tours worden georganiseerd in de volgende categorieën: Geo Tour, Security Tour, Cloud Tour en de NUP Tour. Meer informatie vindt u op www.overheid-en-ict.nl EXPOSANT

HAL-STANDNR.

t 06-GPS A t Aenova Software t AlterNET Internet B.V. t Arcadis t AT Computing t Axway t Azimuth Geodetic B t BCT t BGT Rotonde t Biblionet ID

22

Overheid&ICT 13-Plattegr GIS wt-9.indd 1-2

01.E018 01.B055 01.B092 01.C010 01.D032 01.E074 01.C004 01.D070 01.C116 01.B052

EXPOSANT

De standnummers zijn als volgt opgebouwd: halnummer.pad.standnummer dus 1A067 = hal 1, pad A, standnr. 067

HAL-STANDNR.

t BlackBerry t Blancco Oy Ltd t BRAIN FORCE B.V. C t C-CONTENT B.V. t Cascadis t Centric t Certsecurity t CiEP Personal Quality & Results t Circle Software Group B.V. t CompLions B.V.

01.E083 01.A037 01.C045 01.A031 01.OP03 01.C082 01.A071 01.E047 01.C020 01.F061

EXPOSANT

HAL-STANDNR.

t COOLProfs B.V. 01.E042 t Crotec 01.C011 t CycloMedia Technology B.V. 01.C037 D t Decos Information Solutions 01.B010 t Dimpact 01.OP04 t diz Informatiezuilen 01.E054 E t Enable-U BV 01.C106 t Equinix 01.E101 t Estreme B.V. 01.A103 t ETTU 01.D100

EXPOSANT

HAL-STANDNR.

t Exxellence Group F t Facto Geo Meetdienst t Fenestrae t Fortes Solutions B.V. t FSFE t Fugro GeoServices B.V. G t Gemeente Zoetermeer Wijkmanagement & CCoverheid t Gemnet B.V.

01.D044 01.F025 01.A106 01.F079 01.OP06 01.D020

01.E084 01.D054

EXPOSANT

HAL-STANDNR.

t Genetics B.V. 01.E021 t Geo-Informatie Nederland (GIN) 01.OP02 t Geo2D 01.E024 t GeoBusiness Nederland t GEOCART GmbH 01.F033 t GeoCensus B.V. Geodesie en GIS 01.F032 t Geodan B.V. 01.D020 t Geodirect B.V. 01.F041 t Geometius bv 01.B031 t Geonovum 01.C116

EXPOSANT

t t t t t t t t t t

HAL-STANDNR.

GISkit B.V. GO Opleidingen Go4Mobility bv Gouw Informatie Technologie GovUnited Grey Hippo B.V. Grontmij Nederland B.V. GroupSecure GX Public H Handheld Benelux

01.F023 01.E023 01.A073 01.C044 01.OP05 01.A047 01.D011 01.B051 01.B045

HAL-STANDNR.

t Het Waterschapshuis 01.D117 t Hoffmann bedrijfsrecherche BV 01.D092 t Huawei 01.B088 I t I-Real BV 01.B099 t IBM Nederland B.V. 01.E095 t ICTU 01.C124 t Inter Access B.V. 01.D101 t Interaction|next BV 01.D024 t Intergraph Benelux B.V. / Security, Government & Infrastructure (SG&I) 01.E055 t Inventive Designers 01.B054 t IOSense BV 01.E024 t iWriter 01.C055 J t Jalema B.V. 01.C083 K t Kadaster 01.C116 t KING 01.C120 t Kluwer/Infofit 01.A017 t Koac NPC 01.E022 t Kodision B.V. 01.B054 t KPN 01.D054 t Kragten 01.F020 L t Lantech BV 01.A061 t Leica Geosystems B.V. LNR Globalcom 01.E055 t Lifecycle Technology LTD 01.E070 t Logius 01.C119 t LPI Nederland 01.OP06 t Lucom Benelux BV 01.A045 M t Madison Gurkha 01.B095 t ManualMaster 01.A054 t Master it Training 01.D036 t METEN IN BEELDEN 01.E016 t Ministerie van Infrastructuur en Milieu, Programma BGT 01.C116 N t Nagios Nederland 01.A067 t Nautikaris B.V. 01.F048 t Nazca it Solutions BV / Nazca-i 01.E048 t NedGraphics B.V. 01.B032 t NEO B.V. 01.D107 t Neopost B.V. 01.B076 t Netcreators 01.E078 t Nieuwland Automatisering BV 01.E020 t NotuBiz B.V. 01.A048 O t Odinfo 01.B082 t Office Specialist 01.E033 t OGD ict-diensten 01.B044 t Omnitrans International 01.F075 t Onegov 01.C071 t Optelec Nederland B.V. 01.F047 t Orbit Geospatial Technologies 01.C015 P t Panda Security 01.B087 t Perceptive Software 01.F078

EXPOSANT

t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t t

t

t

HAL-STANDNR.

PerfectView 01.C071 Planviewer BV 01.F021 Plusine ICT B.V. 01.A089 Postcode.nl B.V. 01.E087 PQR B.V. 01.B069 Principal Toolbox 01.F079 Q Qmatic Holland B.V. 01.B081 QNH Consulting B.V. 01.C071 QSM Europe 01.A079 R Roxit 01.B020 S Samenwerkingsverband van Bronhouders BGT 01.C116 Scholten Awater 01.B100 Seneca BV 01.C071 Serious Gaming KPN 01.E035 SIMgroep 01.B020 Sincerus Consultancy B.V. 01.C110 Slagboom en Peeters Luchtfotografie 01.F016 SmallToGo 01.F040 SOD Opleidingen 01.E031 Solviteers 01.C032 Spigraph Netherlands BV 01.D045 Split~Vision 01.D082 Stichting De Hollandse Cirkel 01.OP08 Stichting Gemgids 01.OP09 01.OP10 Stratech 01.A038 Survey Software & Supplies B.V. 01.E014 SWIS BV 01.E025 Symantec B.V. 01.A077 Synaxion Urbidata 01.C047 Synocom 01.D096 T Tablin Technisch Adviesburo BV 01.F033 Telecats B.V. 01.C089 TimeTell B.V. 01.B037 TOPdesk 01.A044 TSTC B.V. 01.E032 U Unisys Netherlands N.V. 01.E102 V VASCO Data Security 01.B061 Veeam Software 01.E036 VIAG 01.B121 ViCo Virtual Coaching BV 01.E051 Vicrea Solutions B.V. 01.A020 W Wacom Europe GmbH 01.A095 Watchguard Technologies B.V. 01.B108 X Xential (van Interaction|next) 01.D024 Y Ynformus 01.A093

t Geobedrijven op Overheid & ICT

01.A041

28-03-13 12:20


23

g

Nieuws

Webwinkels Schneider Versand doelwit DDoS-aanval Akamai Technologies helpt het Duitse postorderbedrijf Schneider Versand bij het beschermen van zijn online winkels tegen webaanvallen. Schneider heeft voor Akamai’s beveiligingsoplossing Kona Site Defender gekozen vanwege de optimale combinatie van bescherming en prestaties. Dit vertaalt zich in een uitstekende online beleving voor bezoekers, ook bij piekbelasting, zonder extra investeringen in hardware of software. Zo wordt voorkomen dat webaanvallen een negatieve impact hebben op het merk. Schneider Versand is de grootste specialist in Europa op het gebied van promotieartikelen. Vorig jaar werd het bedrijf het doelwit van een DDoS-aanval (Distributed Denial of Service). Door de schaal en de geavanceerde aard van de aanval, was de op open source gebaseerde webserver die het bedrijf op dat moment gebruikte, niet in staat om het aanvalsverkeer te verwerken. Tijdens het hoogtepunt van de aanval werden er 500.000 verzoeken per seconde naar de website verzonden. Hierdoor waren de webwinkels van Schneider drie dagen lang offline. Om in de toekomst beter voorbereid te zijn op dit soort aanvallen, heeft het bedrijf gekozen voor Akamai’s Kona Site Defender. Deze oplossing voorkomt dat kwaadaardig webverkeer het datacenter bereikt. Specialisten van Akamai Professional Services hebben Schneider ondersteund bij de implementatie van Kona Site Defender. Verdere samenwerking met het Akamai service team zorgt ervoor dat er snel een adequaat en efficiënt defensiescenario tegen online dreigingen gevonden kan worden. Kona Site Defender maakt gebruik van de gedistribueerde infrastructuur van het Akamai Intelligent Platform, dat bestaat uit ruim 100.000 servers over de hele wereld en dat diverse opties biedt om te reageren bij aanvallen. www.akamai.nl

24

DOOR Ferry Waterkamp

App moet mobiele devices veel beter beveiligen Aanbieders van mobiele applicaties en besturingssystemen moeten veel meer doen om gebruikers te verzekeren dat data privé blijft en met zorg wordt behandeld. Op basis van de Mobile Threat and Security Roundup 2012, voorspelt Trend Micro een aanzienlijke stijging in kwaadaardige malware in 2013. Adware en applicaties die data stelen zullen in 2013 respectievelijk de tweede en derde vorm van kwaadaardige apps zijn. Trend Micro voorspelt dat het aantal kwaadaardigeen risicovolle Android-apps in 2013 zal toenemen met 185 procent. Omdat het aantal mobiele bedreigingen sterk toeneemt, wil Trend Micro gebruikers meer mogelijkheden geven om hun privacy te beschermen. Daarom introduceert Trend Micro de app Mobile Security 3.0. Hiermee biedt Trend Micro klanten die gebruikmaken van Android-smartphones en -tablets zeer effectieve beveiliging tegen virussen, datadiefstal, phishing en privacy scanning. Daarnaast is de beveiliging van Facebook-informatie verder uitgebreid. Trend Micro Mobile Security 3.0 beschikt over de Trend Micro Privacy Scanner, speciaal ontwikkeld voor het

gebruik van Facebook en biedt een extra beschermingslaag voor persoonlijke informatie. De Trend Micro Privacy Scanner analyseert de Facebook-instellingen van de gebruiker en adviseert op basis daarvan over wijzigingen om de persoonlijke informatie van de gebruiker te beschermen. Daarnaast beschikt de nieuwe versie over een snellere malware-scanner en is het dankzij Trend Micro Mobile Backup and Restore mogelijk om van alle data een back-up te maken in de beveiligde cloud van Trend Micro. www.trendmicro-europe.com

Orange Business Services verbetert Security as a Service-portfolio Orange Business Services heeft de Security as a Service-portfolio verbeterd door het aan te vullen met een cloud gebaseerde en veilige authenticatiedienst van SafeNet, een wereldwijde leider in databescherming. Door Orange Business Services’s veilige authenticatiedienst aan te vullen met SafeNet’s authenticatiedienst, kan Orange zakelijke klanten een extra beveiligingslaag aanbieden bij toegang tot bedrijfsdata of cloud services. Klanten kunnen dezelfde verenigde en beveiligde multifactor verificatiegegevens gebruiken om toegang te krijgen tot virtuele private netwerken of cloud-diensten zoals Google Apps, Sa-

lesforce.com en andere cloud gebaseerde bedrijfsapplicaties en infrastructuren. Bedrijven doen hun voordeel met Secure Authentication, deze veilige authenticatiedienst, door gebruik te maken van Orange’s marktleidende multifactor authenticatie die in een cloud-model wordt aangeleverd. Naast de inherente cloud computing-attributen zoals eenvoud, flexibiliteit en hoge prestaties, profiteren klanten ook van het maandelijke betalingsysteem per gebruiker in plaats van vooraf belangrijke investeringen in hardware of software te moeten doen. www.orange-business.com

Nederland paradijs voor internetcriminelen? Begin februari 2013 publiceerde de NOS het nieuws dat Nederland een ‘paradijs voor internetcriminelen’ is. Na de Verenigde Staten en de Maagdeneilanden staat Nederland op plek drie van favoriete vestigingsplaatsen voor spam versturende en bankgegevens stelende criminelen. Dit blijkt uit een onderzoek van beveiligingsbedrijf McAfee. De Tweede Kamer maakt zich zorgen hierover en vindt dat de privacy bescherming bij providers zodanig is doorgeschoten dat de handhaving en opsporing worden gehinderd. De Dutch Hosting Provider Assocation (DHPA), de belangenbehartiger van de Nederlandse hostingbranche, plaatst echter eerst graag een viertal kanttekeningen bij dit nieuws. Ten eerste vindt de DHPA het onverstandig om de bescherming van privacy ter discussie te stellen. In Nederland zijn juist de Wet bescherming persoonsgegevens (WBP) en de netneutraliteit een groot goed. Het vertrouwen in die wetgeving is één van de redenen dat Nederland een populair hostingland is voor zakelijke gebruikers. De sector is leidend in Europa en het is verstandig om die belangen voor ogen te houden. Ten tweede noemt de NOS dat het vanwege strikt briefgeheim vrijwel niet mogelijk is om gegevens van cybercriminelen op te vragen bij onder meer serviceproviders en hosters. DHPA stelt dat dit onjuist is. Er zijn voldoende middelen om in geval van cybercrime of onrechtmatige inhoud (content) in te grijpen. Dat kan bijvoorbeeld met een gerechtelijk bevel. Voor het verwijderen van ongewenste content is speciaal in overleg met betrokken partijen een gedragscode ontwikkeld die door vrijwel alle hosters wordt nageleefd.

die dit zonder inbreuk op de privacy kon achterhalen. Dat kan de overheid dus ook. Het is dus niet nodig om hiervoor de wet op opsporingsbevoegdheden open te breken. Dan wijst de DHPA op de proporties. In het bericht maakt McAfee melding dat cybercriminelen ‘154 servers in Nederland inzetten om dagelijks honderdduizenden computers over de hele wereld te besturen’. Wat het bericht echter niet meldt, is enige relativering bij dit aantal. In Nederland huizen namelijk honderdduizenden servers, dus relatief is een aantal van 154 erg klein. Te meer omdat bijvoorbeeld een klein land als de Maagdeneilanden plaats twee inneemt. Daar is het percentage servers dat gebruikt wordt door cybercriminelen dus relatief vele malen hoger. Dat komt doordat in Nederland actief wordt gewerkt aan de bestrijding van cybercrime. Dit door instanties als het National Cyber Security System (NCSC), vereniging Abuse-IX en vele anderen. De DHPA heeft de bereidheid om mee te werken aan een oplossing en roept betrokkenen op om vaker met de sector in overleg te treden. Het is in ieders belang om een positief imago te behouden. De hostingsector is een relatief jonge industrie, die graag meer betrokken wil worden bij de gang van zaken omtrent internetveiligheid. www.dhpa.nl.

Een vraag die de berichtgeving oproept is de vraag of justitie voldoende is uitgerust voor de opsporing van servers die voor cybercrime worden ingezet. De getallen zijn gepubliceerd door McAfee,

Chinese en Amerikaanse leger beschuldigen elkaar van cyberaanvallen Het Amerikaanse securitybedrijf Mandiant heeft een bron van cyberaanvallen uit China kunnen terugvoeren tot een legereenheid in Shanghai, zo bericht Guy Kindermans op de website van Datanews.be. Volgens een eigen rapport – ‘APT1, Exposing one of China’s Cyber Espionage Units’ heeft Mandiant - in de voorbije jaren de spionageactiviteiten van een Chinese legereenheid bestudeerd. Volgens Mandiant zou de PLA unit 61398 (People’s Liberation Army unit) uit Shanghai sinds 2006 in 141 bedrijven uit een 20tal industrieën zoals ICT en lucht- en ruimtevaart, (minstens) honderden Terabytes aan data hebben gestolen en dat gedurende langere perioden (tot vier jaar en 10 maanden in een enkel bedrijf). Die beschuldiging is inmiddels weerlegd door onder meer het Chinese ministerie van buitenlandse zaken. Een woordvoerder stelt dat China zelf het slachtoffer is van aanvallen, vooral vanuit de VS. In 2012 zouden meer dan 14 miljoen computers zijn gecontroleerd vanaf ca. 73.000 buitenlandse IPadressen, naast 38.000 websites. Het ministerie van defensie stelt dat zijn websites en deze van China Military Online meer dan 200.000 keer werden aangevallen. Het Chinese leger ondersteunt geen hackers en onthoudt zich van cybersabotage, aldus een woordvoerder. Tevens vindt men de Chinese IP-adressen een te zwak bewijs, omdat aanvallen daarvan misbruik kunnen maken, terwijl er wereldwijd zelfs geen eensgezindheid bestaat over wat cyberaanvallen inhouden. Een en ander stond onder meer te lezen in een mededeling van het officiële Chinese persbureau Xinhua. www.datanews.be


25

g

VINT-onderzoeker Menno van Doorn over privacy: “You

Big Data

ain’t seen nothing yet” allerbelangrijkste. De technologie is verder dan het voorstellingsvermogen van de meeste managers”. Privacy by Design De huidige privacydiscussie is nog maar het topje van de ijsberg, voorspelt Van Doorn. “You ain’t seen nothing yet. Iedereen maakt zich er zorgen over, maar als je kijkt welke technologie er nu al beschikbaar is en welke nieuwe technologie de komende twee jaar nog op de markt zal komen, dan kan er maar één conclusie zijn: er gaan nog veel gekkere dingen gebeuren rondom privacy. De noodzaak om goed met privacy bezig te zijn zal enorm in belang toenemen. Maar het privacy-probleem oplossen, dat is een complete illusie. De radicalen kunnen het willen tegenhouden, maar de technologieën die er nog aankomen hebben vele malen grotere gevolgen voor privacy dan de relatief onschuldige cookies waar we ons nu druk over maken. Naarmate de komende jaren steeds meer mensen met Google-brillen over straat lopen, zullen de kranten vaker bol staan van de vreemde dingen die gebeuren, zaken waar we nog helemaal niet over nagedacht hebben. En de wetgeving hobbelt per definitie een heel eind achter de realiteit aan.”

en privacy kop en munt van

nieuw betaalmiddel Steeds meer menselijke activiteiten laten digitale sporen achter. De almaar groeiende databerg bevat dus steeds meer tot personen herleidbare informatie. Er is zelfs al een industrie ontstaan die dergelijke informatie gebruikt - voor velen een bedreigende gedachte. Maar Big Data is er en zal dus onvermijdelijk zijn toepassing vinden, vooral in de marketing. De mate waarin hangt af van wat een persoon over zichzelf kwijt wil. Een nieuw betaalmiddel is geboren: persoonsgegevens.

Het Verkenningsinstituut voor Nieuwe Technologie (VINT) van IT-dienstverlener Sogeti presenteerde onlangs het onderzoeksrapport ‘Big Data: privacy, technologie en de wet’. Dit is het derde deel in een vierluik over de verschillende aspecten van Big Data. Volgens de auteurs moeten datagedreven organisaties van meet af aan adequate privacymaatregelen nemen en consumenten proactief en eenvoudig inzicht hierin geven. Privacy by Design dus. De drie v’s Sinds de wet op het briefgeheim en de komst van de fotografie laait de discussie over privacy telkens opnieuw op, op zoek naar nieuwe grenzen en interpretaties als gevolg van nieuwe fenomenen en innoverende technologie. Met de komst van Big Data spitst de privacy-discussie in Europa zich momenteel toe op het woord pseudonymous. “Daar zit de lobby van de reclame- en marketingindustrie achter,” weet VINT-onderzoeker Menno van Doorn. “Die stelt zich op het standpunt 26

dat ze weten welke data anoniem is en welke data persoonlijke gegevens bevat. Ook voor Eurocommissaris Viviane Reding is pseudonymous data aantrekkelijk: de nieuwe Europese wetgeving is immers bedoeld om te zorgen voor de privacy van de burger - en de commerciële belangen van de industrie. In één adem. Zo ontvouwt zich een heel nieuw krachtenspel, met aan de ene kant Big Data als de olie waarop een heel nieuwe economie gaat drijven. Privacy is daar de keerzijde van. We zullen daarmee allemaal moeten leren omgaan”. Bij gebrek aan een algemeen geaccepteerde definitie van Big Data, hanteert VINT een standaardomschrijving. Bij Big Data gaat het om de combinatie van Volume, Variety en Velocity. “Het hele concept van ‘Big’ komt uit ‘Big Science’, van de deeltjesversnellers. Volume is maar één aspect. Een oliemaatschappij zal graag zo groot mogelijke hoeveelheden seismische data willen kunnen analyseren om de plaats waar de boor de zeebodem in

DOOR Hans Lamboo

moet zo nauwkeurig mogelijk te kunnen bepalen. Dat geldt ook voor het weer: hoe meer data, hoe nauwkeuriger de voorspelling. Variety duidt op verschillende formats, zoals pdf’s, Office-documenten, mail, internetcontent, jpg’s en video,” legt Van Doorn uit. “Maar ook Velocity kent verschillende vormen: de snelheid waarmee data wordt gegenereerd, waarmee het zich verplaatst en de snelheid waarmee grote bestanden kunnen worden geanalyseerd. DNA’s kunnen vandaag de dag binnen een paar dagen worden geanalyseerd. En het Nederlands Forensisch Instituut krijgt van de recherche het verzoek om enkele honderden terabytes

aan data te analyseren omdat ze binnen 72 uur moeten weten of een bepaald persoon langer kan worden vastgehouden – de benodigde informatie kan zitten in een Wordfeud-chat, in data op een harde schijf of in een Tor-netwerk. Het NFI heeft daartoe zelf een Big Data-cruncher gebouwd. Velocity kan ook betrekking hebben op het realtime leveren van marketing- of strategische stuurinformatie die snelle beslissingen of korte time-tomarket als resultaat heeft. Hoe dan ook: Big Data is in feite een volkomen andere manier om naar data te kijken. Datadeskundigen zullen dat niet beamen, maar vanuit bedrijfsperspectief vind ik dat het

Het onderzoeksteam van VINT is nu al een jaar lang bezig de implicaties en impact van Big Data te onderzoeken en in kaart te brengen. De afgelopen 6 maanden lag de focus daarbij op privacy. “Privacy is in feite een onderdeel van security. Het gaat er vooral om of de data herleidbaar is naar een persoon,” zegt onderzoeker Van Doorn. “VINT – en met ons vele anderen – streeft naar Privacy by Design: zorg er als organisatie voor dat alles dat raakt aan privacy vanaf het begin zit ingebouwd in de systemen. Een voorbeeld. Een verzekeringsmaatschappij wil pay-as-you-go verzekeringen gaan aanbieden, de klant betaalt alleen als hij daadwerkelijk rijdt.

Big Data vierluik De onderzoeksnotitie ‘Big Data: Privacy, technologie en de wet’ van VINT is het derde deel van een vierluik over Big Data. De auteurs Jaap Bloem, Menno van Doorn, Sander Duivestein, Thomas van Manen en Erik van Ommeren hebben dit rapport tot stand gebracht. Met de reeks van vier onderzoeksrapporten schept VINT helderheid over het nut van Big Data door ervaringen en visies in perspectief te presenteren. Onafhankelijk en voorzien van concrete voorbeelden. Een overzicht van de vier rapporten: Rapport 1 – Helderheid creëren met Big Data. Dit rapport geeft een definitie van Big Data en vertelt wat de verschillen zijn met andere dataclassificaties. Verder gaat het rapport in op de mogelijkheden van Big Data. Publicatie heeft plaatsgevonden in juni 2012. Rapport 2 – Big Social. Deze tweede onderzoeksnotitie geeft antwoord op de vraag hoe organisaties het gedrag van mensen voorspellen met behulp van Big Data en social analytics. Dit rapport is eind november 2012 gepubliceerd. Rapport 3 – Big Data & Privacy. Deze onderzoeksnotitie biedt organisaties een handvat voor de spelregels van privacy rondom het gebruik van Big Data. Dit rapport is in maart 2013 verschenen. Rapport 4 – Big Data Business Roadmap. In dit laatste rapport staan de praktische toepassingen van Big Data centraal. Publicatie naar verwachting in mei 2013. Het Big Data rapport ‘Privacy, technologie en de wet’ is gratis te downloaden via http://bit.ly/12w8suR.

Er kan maar één conclusie zijn: er gaan nog veel gekkere dingen gebeuren rondom privacy. Infosecurity.nl magazine - nr. 2 - april 2013

27

SECURE DATA TRANSFER / NETWORK DIAGNOSTIC WAN ACCELERATION / REDUNDANCY WS_FTP Server with SSH Simple. Secure. Managed. • • • • •

SSL / SSH support PCI DSS Compliance FIPS 140-2 ValidatedCryptography Secure Copy (SCP2) SSH Key Management www.wsftp.be

NEW: Wireshark Training • Analyzing TCP/IP Networks • Troubleshooting and Securing TCP/IP Networks www.wiresharkuniversity.be

MOVEit: Secure Managed File Transfer • Built-in end-to-end encrypted transfer and storage • Encrypted transfer over SSL (FTPS/ HTTPS), SSH(SFTP) and EDIINT ASx • Non-repudiation and guaranteed delivery • FIPS 140-2 validated cryptography (NIST and CSE) • Hardened platform and OS security independence www.scos.nl

Authorized Training Partner

Book: Wireshark Network Analysis • The Ultimate Guide • The Official Wireshark Certified Network Analyst Study Guide www.wiresharkbook.be

AirPcap

Cascade Pilot

802.11 a/b/g/n Wi-Fi Capture Adapters www.airpcap.be

Network Communication, Analysis and Forensic investigation www.airpcap.be

CSI – CYBER SECURITY INVESTIGATIONS TRAINING CSI – Cyber Security Investigations and Network Forensic Analysis Practical Techniques for Analyzing Suspicious Network Traffic This course is designed for Network Security and Law Enforcement Personnel: • Forensics Analysis fundamentals • Data Recorder technology and data-mining • Network security principles Security threat recognition

• Understand Network Forensics Analysis • Utilize tools to recognize traffic patterns associated with suspicious network behavior • Reconstruct suspicious activities such as Emails, file transfer or Web-Browsing for detailed analysis and evidentiary purposes • Understand and recognize potential network security infrastructure misconfigurations

CSI Courses CSI-trainers are Certified Wireshark University Trainers, member of FBI InfraGard, Computer Security Institute, the IEEE and Cyber Warfare Forum Initiative. www.scos.nl

FOR EXTREME UP TIME... ALL THE TIME • The highest level of WAN Redundancy

• Firewall, VPN, IPSec and DHCP Server

• SmartDNS for automatic inbound/ outbound line failover and dynamic load balancing

• MultiPath Security (MPSec) for the highest possible secure transmission and redundancy for VPN tunnels

• Automatic VPN, VoIP, Thin Client load balancing and auto failover of sessions

• Multi-line QoS, WAN Optimization, acceleration and compression

g

VINT-onderzoeker Menno van Doorn over privacy

Hij krijgt daarvoor een kastje in zijn auto. Hoewel de verzekeraar helemaal geen interesse heeft in waar de klant rijdt en hoe hard, komt die informatie wél via het kastje bij ze binnen. Privacy by Design zorgt er vervolgens voor dat die overtollige gegevens direct geanonimiseerd worden. De verzekeraar wil immers alleen maar zijn business doen en zit niet te wachten op ‘gezeur’ over privacy of publicaties in de media daaromtrent.” Organisaties moeten zich van meet af aan dus afvragen met welk doel welke informatie wordt verzameld. Moet de Smartmeter van een energiebedrijf elke seconde of elke 15 seconde data verzamelen? Dat maakt veel uit, zegt Van Doorn. “De universiteit van München heeft zo’n meter gehackt om te zien welke informatie je eruit kan destilleren. Door de fluctuering van energieverbruik werd duidelijk welke tv in gebruik was, en zelfs welk tv-programma werd bekeken. Een voorbeeld waarbij het energiebedrijf zelf bepaalt dergelijke data al dan niet te verzamelen.” Ook een bedrijf als Equens bijvoorbeeld, beschikt over heel interessante informatie: omdat ze alle pintransacties registreren kan worden vastgesteld waar mensen geld aan uitgeven en op welke locaties ze dat doen – tot op postcodeniveau, desnoods per uur. “Ze aggregeren en anonimiseren die gegevens by Design. Vervolgens bieden ze die te koop aan. Op zich niets om je zorgen over te maken – maar dat doen de mensen die dit horen wél. Vroeger gebeurde overigens precies hetzelfde door een team interviewers op pad te sturen die in een winkelcentrum vragen stelden aan voorbijgangers. Online is het al veel langer aan de gang. We weten dat Google al gegevens verzamelt sinds het begin.” Over VINT Het Verkenningsinstituut Nieuwe Technologie (VINT) van IT-dienstverlener Sogeti doet elk jaar onderzoek naar belangrijke technologische ontwikkelingen. Afgelopen jaren heeft VINT onderzoek gedaan naar Open-Source innovatie en Crowdsourcing (2006), social media (2008), de crisis en paradigmaverschuiving (2010) en het App Effect (2012). VINT is opgericht in 1994 en heeft inmiddels meer dan 10 boeken en een groot aantal videoproducties gepubliceerd.

RSA gehackt Privacy beschermen in een tijdperk waarin persoonlijke informatie de nieuwe olie is van onze economie, vraagt om adequate wetgeving. Echter, voorlopig schiet wetgeving te kort omdat geavanceerde technologie ver vooruitloopt. Ook de veelal juridische verschillen in de regio’s en landen overal ter wereld, zal harmonisatie en uniformiteit van weten regelgeving niet versnellen. VINT zet zeven aanbevelingen op een rij die organisaties en individuen vandaag al helpen bij verantwoord gebruik van persoonlijke informatie: 1.

2.

3.

4.

5.

6.

7.

Privacy by Design; proactief en preventief te werk gaan. Van meet af aan bepalen aan welke voorwaarden verzameling en inzet van persoonlijke informatie moet voldoen. Wacht niet tot een privacy-inbreuk zich voordoet. Maak privacygarantie tot standaard (default) instelling; individuen hoeven zich niet te bekommeren om de bescherming van privacy. Zorg ervoor, dat maximale privacy wordt gegarandeerd. Integreren van privacy in het ontwerp van IT-systemen; bij het ontwerpen van bedrijfsapplicaties moeten privacy-eisen van meet af onderdeel zijn van het ontwerp en de architectuur van IT-systemen. Privacy is een essentiële component van de functionaliteit van applicaties. Volledige functionaliteit in relatie tot privacy: legitieme privacybelangen volledig inbedden in de functionaliteit van systemen. Vermijden van valse tegenstellingen als privacy versus security. Organisaties moeten aantonen dat allebei mogelijk is. End-to-end security door de tijd heen; aan het einde van een proces of levenscyclus alle gegevens veilig opslaan of op gewenst tijdstip vernietigen. Organisaties moeten ervoor zorgen, dat oplossingen op deze manier volledig dichtgetimmerd zijn. Openheid is het leidmotief: voor alle betrokkenen moet duidelijk zijn wat er precies gebeurt met persoonlijke informatie. Wie dat wil controleren, is in staat dit op een eenvoudige manier altijd en overal te doen. Respectvol omgaan met de privacy van het individu: Organisaties moeten zorgen voor een goede interactie met hun stakeholders. Op het juiste moment op een eenvoudige manier duidelijk maken wat er gebeurt. Dat zorgt voor de opbouw van een vertrouwensrelatie.

Deze aanbevelingen borduren voort op het werk van Ann Cavoukian. Zij is de Canadese Information en Privacy Commissioner en wereldwijd oprichter van het Privacy by Design concept.

“De vraag die me al een hele tijd bezighoudt is: waar gaat die informatie voor gebruikt worden? Smart Cities, bijvoorbeeld. Daar zijn al voorbeelden van gerealiseerd in de Verenigde Emiraten en Zuid-Korea. Dichter bij huis zijn Amsterdam en Almere ermee bezig. De bouw van systemen tot meerder nut van de samenleving, die moet leiden tot veiliger en CO2-neutrale steden,” aldus Van Doorn. “Daarvoor moet alles efficiënter en effectiever worden. Dat kan je bereiken door alles te gaan meten en overal track & trace toe te passen. Als ik vuilnis in de stortkoker werp wordt hoeveelheid en aard gedetecteerd en geregistreerd. Dan zegt de Socioloog Richard Sennett in The Guardian: “who wants to live in a city that’s too smart?” Wat lever je daarvoor in, vraagt hij zich af. Zo zijn we weer terug bij privacy.”

Hans Lamboo is hoofdredacteur van Infosecurity.nl magazine

WWW.SCOS.NL

Distribution: SCOS Benelux • www.scos.nl • [email protected] • tel. +31 (0)23 5685615 • tel. +32 (0)28081587


29

g

De nieuwe generatie malware boezemt angst in

Van de redactie

Crimeware

fineerdheid, ziet het leeuwendeel van de malware er nog precies zo uit als 5 jaar geleden. Dat komt omdat de gebruikers de aanvallers weinig reden geven om hun software te verbeteren. Uiterst geraffineerde malware zoals Stuxnet en Flame staan bovenaan in de rangorde. Hun aanvallen zijn in opdracht van geheime diensten ontworpen voor spionage en cyberoorlog. Stuxnet wordt bijvoorbeeld toegeschreven aan de Amerikaanse overheid, bedoeld om de Iraanse nucleaire installaties aan te vallen. Dit soort malware heeft misschien overeenkomsten in termen van code, maar is niet beschikbaar in development kits, en wordt niet op grote schaal toegepast. Het is juist deze ‘eredivisie van malware’ die IT-managers grote zorgen zou moeten baren.

kits

Afgaande op de gebeurtenissen aan het begin van het jaar, belooft 2013 een naargeestig jaar te worden vol door malware geplaagde bedrijven. Eerst was daar een nog onbekende kwetsbaarheid in Java, die miljoenen Java-gebruikers in gevaar bracht. Een mooi voorbeeld van waarom malware-aanvallers vandaag de dag zo succesvol zijn: ze maken gebruik van fouten in populaire consumentenapplicaties om hun malware ongezien naar binnen te loodsen. Maar er staat ons nog veel meer te wachten. De nieuwe generatie malware is gevaarlijker dan ooit, schrijft Ericka Chickowski op de website van Dark Reading. In het voorbeeld ging het om een Java plug-in, maar de cybercriminelen richten hun pijlen ook op andere populaire plug-ins zoals Flash en Adobe Reader. De aanval op de Java plug-in maakte gebruik van het fenomeen zero-day, waarin voorheen onbekende kwetsbaarheden worden aangevallen. Zero-day aanvallen zijn effectief, omdat de nieuwe malware nog niet wordt herkend door antivirusen antimalware-software. Zoals zoveel malware-aanvallen werd deze gepleegd met zogenaamde crimeware kits, een doe-het-zelf pakket waarmee ook minder handige criminelen websites kunnen infecteren. Packer programs Criminelen kunnen tegenwoordig gewoon SaaS-diensten kopen op een volwassen zwarte markt. Voor een paar duizend dollar kopen ze crimeware kits waarmee ze geautomatiseerde aanvallen kunnen uitvoeren, dus zonder menselijke tussenkomst. Vervolgens lanceren ze dagelijks duizenden van dergelijke aanvallen op enterprise-infrastructuren. Die aanvallen zijn zo massaal dat de traditionele firewalls en antivirus-tools ze echt niet kunnen tegenhouden. Daarnaast is de nieuwe generatie malware in staat om detectiesystemen die werken met signatures te omzeilen. Is een endpoint eenmaal in het bezit genomen, dan wordt het een bruggenhoofd in het netwerk voor 30

aanvallen op andere bronnen – daarmee de firewall geheel buiten spel zettend. De schrijvers van malware weten alles af van firewalls en antivirus-tools. Ze hebben manieren gevonden om hun kwaadaardige programma’s te verbergen en in stilte hun werk te laten doen zonder betrapt te worden. De aanvallers zijn zo behendig geworden, dat het soms maanden of zelfs jaren kan duren voor ze worden ontdekt. Malware kan heel eenvoudig worden verborgen door de payload op de machine van de gebruiker te versleutelen, of door het verkeer naar de botnets te encrypten, soms met door de crimineel zelf gemaakte software. Deze encryptie kan worden gecombineerd met zogenaamde packer programs die het uiterlijk van de binaire code van de malware veranderen met compressie-algoritmen, vergelijkbaar met wat in zip-files gebeurt. Niet alleen verkleinen packer programs de omvang en de footprint van de malware

op de machine, de gebruikte compressie verandert zelfs coderegels in de applicatie, waardoor de malware makkelijker langs de verdediging van de antimalware-scanners glipt, die immers malware detecteren op basis van hoe executable code eruit ziet. Veel antivirus-technologie heeft problemen met het detecteren van packed malware omdat deze veranderingen aanbrengt in de manier waarop de malwarearchitectuur binnen het pakket wordt gepresenteerd. Deze packing schemes zijn bovendien zo ontworpen dat ze zichzelf alleen maar ‘uitpakken’ om een machine te infecteren als er in het systeem van die machine bepaalde variabelen voorkomen die als trigger werken. Ook kan het zo zijn dat de malware alleen maar werkt als een bepaalde applicatie wordt geopend – tot dan houdt het zich verborgen. Encryptie en packing-technologie zijn niet de enige manier waarmee malware-ontwikkelaars antivirus-technologie

De ‘eredivisie van malware’ zou IT-managers grote zorgen moeten baren.

buitenspel zetten. Ze hebben polymorfe malwarecode ontwikkeld die het internet ieder jaar overstroomt met miljoenen ‘stammen’ van malware. De malware die op een website wacht op het moment om op de machine van de bezoeker over te stappen, verandert elke 30 tot 60 seconden de code om detectie te ontwijken. Die voortdurende verandering van code overbelast de signaturegebaseerde systemen. Het is moeilijk om signatures te ontwikkelen voor elke nieuwe variant die opduikt, en omdat elke signature wordt toegevoegd aan het antivirus-programma, verhoogt dat de benodigde resources om op te draaien. Op sommige dagen worden 150.000 nieuwe malware-exemplaren gedetecteerd, vooral door de polymorfie. Het zijn dus geen nieuwe virussen maar nieuwe varianten van een virus. Polymorfie zal vooral toegepast worden in mobiele malware, een waar schrikbeeld voor bedrijven met een BYOD-beleid. En dan is er de dreiging van cross-platform malware, geconsolideerde malware die kan draaien op elk soort device. Dat betekent dat een geïnfecteerde smartphone die binnen bereik van een BlueTooth-verbinding komt van een netwerk of ander device al voor besmetting kan zorgen. Drinkplaats-methode Terwijl de meest kwaadaardige malware groeit in termen van effectiviteit en geraf-

Cybercriminelen infecteren al heel lang websites. Maar steeds vaker passen ze een methode toe die de drinkplaats-methode wordt genoemd, een heel indirecte methode analoog aan de in het wild levende roofdieren die wachten op hun kans bij de drinkplaats. Het roofdier weet dat zijn slachtoffer ooit een keer naar de drinkplaats moet komen. In plaats van actief op jacht te gaan, verschuilt hij zich bij de drinkplaats en wacht af tot zijn slachtoffer naar hem komt. Dat toont aan dat criminelen meer nadenken en onderzoek doen naar wie ze hoe zullen aanvallen. Zo is malware te koop speciaal bedoeld voor SAP-systemen. Daarmee valt de cybercrimineel niet rechtstreeks zijn target aan, maar probeert de website van een grote accountantsfirma te infecteren met de bedoeling bezoekers te besmetten. Die besmette machines onderzoekt de crimineel vervolgens op verbindingen met het SAP-systeem van het bedrijf dat hij wil aanvallen. Gedragsdetectie Omdat de aanvalstechnieken zich steeds verder ontwikkelen, hebben organisaties meer nodig dan de oude vertrouwde beschermingsmethoden die ze al jaren gebruiken. Het werken met signatures van malware heeft anno 2013 nog het meeste weg van het proberen op te bouwen van een database met foto’s en vingerafdrukken van elk persoon ter wereld. Theoretisch kan dat misschien, maar we hebben ook nog te maken met voortdurend veranderende portretten en afdrukken. Security-tools die het gedrag

van applicaties analyseren, rekenen af met dit probleem. Gedragsdetectie biedt bovendien ook nog enige bescherming tegen zero-day aanvallen: het brengt immers verschillende soorten gedrag met elkaar in verband. Daarvoor is het wel noodzakelijk de tactiek die de aanvallers gebruiken te begrijpen. Te veel securitytools vertrouwen nog op een vorm van voorkennis, of het nu gaat om signatures, tactiek of te vermijden url’s. Voorkennis is statisch en moet voortdurend worden geactualiseerd. Beter is het op algoritmen gebaseerde tools te gebruiken die weten hoe een virus werkt – dat is beter dan te kijken hoe de code er uitziet. We weten al 10 jaar dat het beveiligen van netwerken met alleen firewalls niet voldoende is. Toch laten veel bedrijven hun netwerken achter de firewalls onbeveiligd, terwijl dat nu juist meer en meer nodig is. Beveiliging achter de firewall Organisaties moeten hun assests segmenteren en de hoogwaardige weghouden uit drukke gedeelten van het netwerk. Daarnaast moet een veiliger authenticatie- en passwordmanagement worden ingevoerd op endpoints en network assets. Deze stappen creëren blokkades om te voorkomen dat één interne machine het gehele netwerk, inclusief machines en systemen kan besmetten. Segmentatie van assets hoeft zich overigens niet te beperken tot het netwerk: veel organisaties gebruiken virtualisatie en sandboxing als extra bescherming. Sandboxing is echter niet onaantastbaar. Aanvallers kunnen kwetsbaarheden vinden in het basisproces van de sandbox of in het operating system zelf, waarmee ze de afscherming kunnen neutraliseren en hun malware uit de sandbox kan ontsnappen. Malware is een groeiende bedreiging en er is geen verdedigingsmechanisme dat alle malware kan neutraliseren en de volledige bedrijfsomgeving kan beschermen. Alleen een gelaagde, geïntegreerde aanpak is effectief, één die een scala aan verschillende verdedigingsmethodes gebruikt. Dat zal betere bescherming bieden tegen toekomstige malware, welke kant de cybercriminelen ook opgaan. Dat is een belangrijk voordeel, in de wetenschap dat de meeste angstaanjagende aanvallen degene zijn waar we nog geen weet van hebben, aldus Ericka Chickowski op darkreading.com.


31

g

21 IT-bedrijven discussiëren over Big Data

DOOR Hans Lamboo laptops waarvan de gebruiker verwacht dat die snel de opgevraagde informatie tonen. “Mobiele devices zijn maar één voorbeeld,” zegt Clementine Witkamp van Eurofiber. “Ook van de vaste netwerken wordt steeds meer capaciteit verlangd. Er zijn ook zorginstellingen die digitale röntgenfoto’s naar hun datacenter of een andere locatie willen versturen. Dat kan eigenlijk alleen maar met een infrastructuur op basis van glasvezel.” Tjerk Bijlsma van Cisco beaamt dat. “De vraag naar bandbreedte stijgt ook doordat we meer losse componenten met elkaar verbinden. We noemen dat ook wel het ‘internet of everything’. En elk van die componenten genereert data.” Denk hierbij aan sensoren die informatie via internet naar centrales sturen, en naar machines die onderling met elkaar communiceren. De mate waarin dat gebeurt neemt explosief toe, maar het volstrekt zich min of meer buiten het gezichtsveld van de meeste internetgebruikers. De infrastructuur staat echt onder druk. “We bevinden ons op een kruispunt van verschillende technologieën”, voegt Matty Bakkeren van Intel daaraan toe. “Neem alleen al de ontwikkelingen op het gebied van high performance computing, cloud en in de software-industrie”.

De waarde

van data

De hoeveelheid digitale data die organisaties bezitten groeit met een enorme snelheid. Vooral de data in andere formats dan die uit de ERP-systemen en databases neemt snel toe. Welke waarde vertegenwoordigen al die data? Dat hangt ervan af of de informatiepotentie ervan wordt gebruikt of niet. Want dat er belangrijke informatie schuilgaat in die data, daar is iedereen het wel over eens. Wat kan een organisatie doen om van data een asset te maken? In Hoofddorp kwamen 21 IT-bedrijven bij elkaar om daarover te discussiëren.

Als inleiding op de discussie presenteerden marktonderzoekers Ruud Alaerds (Keala Consultancy) en Marcel Warmerdam (theMETISfiles) de belangrijkste resultaten uit hun recente onderzoek. “Omdat de waarde van data natuurlijk een breed onderwerp is, hebben we getracht de essentie van die data nu eens uit te leggen aan de hand van hoe we in organisaties met die data omgaan en in welke mate we daarbij vanuit de technologie geholpen worden. Daarbij staan drie belangrijke trends centraal. De trends die we hier bedoelen zijn in willekeurige volgorde Mobiliteit, Cloud en Social,” aldus Ruud Alaerds. “Achter of ten grondslag aan deze trends liggen meer structurele ontwikkelingen in technologie. Alles wordt op alles aangesloten waarmee ‘the Internet of everything’ steeds maar verder in ontwikkeling is. De hoeveelheid gegevens neemt in sneltreinvaart toe en deze gegevens worden ook steeds meer inzetbaar voor onze uiteenlopende behoeften als gebruiker.” De data, het goud, ligt op straat is de bevinding die algemeen gedeeld werd in de sessie. De uitdaging in de voor ons liggende jaren, ligt in het oogsten van 32

relevante informatie en deze kennis dan toepassen met een bepaald doel. Dit zal de vraag naar en de ontwikkeling van analytische skills en gespecialiseerde dienstverleners op het gebied van analyse en intelligence alleen maar groter maken. “Informatietechnologie heeft onze levens al ingrijpend veranderd en dit zal in de komende jaren alleen maar nog maar meer ingrijpend worden”, voorspelt Alaerds. “Relatief nieuw daarin is dat de informatie die beschikbaar en bruikbaar is het mogelijk maakt om ons als individu het naar de zin te maken. Dus het is niet meer een kwestie van one to many maar veel meer van many to one. Eigenlijk is dus niet Big Data de revolutie, maar de individualisering die erdoor mogelijk gemaakt wordt.” Data en infrastructuur De oude vertrouwde infrastructuur veroudert door alle nieuwe ontwikkelingen steeds sneller, zowel binnen als buiten de datacenters. Steeds meer organisaties onderzoeken de mogelijkheden van cloud computing. Meer dan de helft van de Nederlandse organisaties gebruikt al een of meer clouddiensten, zoals Sales-

Matty Bakkeren (Intel) in gesprek met Peter Franken (Beeldtekst.nl) force, email en een scala aan SaaS-toepassingen. Volgens Hein Brat van Bitbrains is het niet zo dat traditionele IT daarmee volledig uit de gratie aan het raken is en dat alles alleen nog om cloud computing draait. “Juist de hybride cloud vormt een mooie oplossing. Veel organisaties kiezen ervoor om bepaalde oplossingen intern te houden en die aan te vullen met diensten uit de cloud.” De beveiliging van data en netwerken speelt daarbij een belangrijke rol. Hoewel dat nog niet met feiten onderbouwd kan worden hebben veel topmanagers een onprettig gevoel bij het feit dat data buiten de muren van de organisatie komt. “Het gaat daarbij ook vooral om data met een vertrouwelijk karakter, die bedrijven niet willen kopiëren naar de cloud, maar op locatie willen houden”, vult Michel Steffen van Novell aan. “Bovendien zijn er vaak al jarenlang investeringen gedaan in de beveiliging van hun netwerk en data.” Jan Willem van den Bos van IT-dienstver-

lener Cegeka ziet nog andere trends, vooral op het gebied van ontsluiting en integratie. “Er is steeds meer vraag naar informatie op smartphones, tablets en laptops. Dat betekent dat er data en informatie uit vaak al wat oudere ERP-systemen moeten worden ontsloten en naar mobiele devices gestuurd. Dat heeft grote gevolgen voor de infrastructuur en de beveiliging. En dan is er nog het integreren van clouddiensten in de bestaande traditionele omgevingen.” Om de hoeveelheid data te kunnen verwerken en verplaatsen is er een toenemende vraag naar bandbreedte van het netwerk. Mobiele telefoons zijn steeds vaker smartphones, er zijn tablets en

Data en beveiliging Het werd al eerder aangeroerd: beveiliging van data en netwerken is een hot item in de IT-wereld. Dagelijks verschijnen in de media berichten over gehackte servers, gestolen data en datalekken. De IT-afdelingen doen hun uiterste best de digitale infrastructuur zo goed mogelijk te beveiligen. “De technologie die IT-security heet ontwikkelt zich zó snel, dat bijna elke discussie erover al weer achterhaald is,” zegt Abdeluheb Choho van TSS. “Er zijn voorbeelden genoeg waar het misgaat. Maar laten we toch accepteren dat 100 procent beveiligen onmogelijk is. We bouwen ook snelwegen in de wetenschap dat er ongelukken ge-

Niet Big Data is de revolutie, maar de individualisering die erdoor mogelijk gemaakt wordt.

beuren, en dat er mensen onder invloed achter het stuur gaan zitten – mensen die dus opzettelijk verkeerd omgaan met de aangeboden infrastructuur. Maar dat wil niet zeggen dat we dan maar met paard en wagen van A naar B moeten omdat dat veiliger zou zijn. Natuurlijk niet.” Er wordt op heel verschillende manieren naar veiligheid in de cloud gekeken, constateert Hein Brat van Bitbrains. “Vaak vraagt het management zich af of het nou wel zo handig is om zaken buiten de deur te brengen en of het niet veel veiliger is alles op locatie te houden. In die discussies hanteer ik de driehoek van feiten, regelgeving en perceptie. Aan de hand daarvan is heel goed te bepalen hoe je met security in de cloud moet omgaan.” “Je kunt niet alles domweg blijven blokkeren”, vult Pieter Lacroix van Sophos aan. “Dat is een heel traditionele manier van denken, die anno 2013 echt niet meer staande te houden is. Wij zien dat bij cloudstorage.” Reinier van Houten van NetIQ wijst op het belang van een goed identificatie- en accessmanagement. “De afstand tussen de gebruiker aan de ene kant en de IT-toepassing aan de andere kant is letterlijk en figuurlijk steeds groter aan het worden. Het is steeds belangrijker om met grote mate van betrouwbaarheid te kunnen vaststellen dat degene aan de andere kant van de lijn inderdaad de persoon is die hij of zij beweert te zijn”. Ook de ontwikkelingen op dat gebied voltrekken zich in een hoog tempo. Martijn van Lom van Kaspersky Lab snijdt weer een ander aspect van databeveiliging aan. “Wat ook belangrijk is om te beseffen waar de data zich fysiek bevinden. Wie is eigenaar van de data, hoe worden er back-ups gemaakt. Als de cloud in een ander land draait, welke weten regelgeving spelen daarbij. Bedenk wat er gebeurt als die data niet meer beschikbaar zou zijn, bijvoorbeeld bij een switch van provider. Als er data achterblijven, hoe worden die vernietigd?” Inderdaad, security heeft vele gezichten. “Mensen beseffen gelukkig wel dat het zowel zakelijk als privé essentieel is om back-ups te maken,” vult Marieke van der Hart namens WD aan. Tot zover als het gaat om de gevaren die loeren in het netwerk. “Maar de meeste bedreigingen komen helemaal niet van


33

g

21 IT-bedrijven discussiëren over Big Data

buiten”, zegt Tim Leenders van OKI Systems. “Ze komen van binnen de organisatie. Heel vaak blijkt dat werknemers zelf verantwoordelijk zijn voor securitylekken of het onbedoeld verspreiden van informatie”. Jaap Jan Visser van Kroll Ontrack is het daarmee eens. “De mens speelt ook een centrale rol bij dataverlies. Wij zien die rol alleen maar groter worden: bij single disk systemen is in ongeveer 26 procent van de gevallen de mens de oorzaak, maar bij complexere systemen en bedrijfssystemen is dat zelfs 65 procent!” Dat geldt ook voor het laten slingeren van papieren, usb-sticks en het even naar een gmail-account of Dropbox sturen van vertrouwelijke informatie. Een intern awareness-programma moet zeker vast onderdeel uitmaken van bedrijfsbeveiliging. “De toekomst is moeilijk te voorspellen”, zegt Pieter Lacroix van Sophos. “Niemand kon voorzien dat er een dag zou komen waarop de CEO zijn iPhone op tafel legde bij de IT-afdeling en aangaf dat hij daarop bedrijfsinformatie wenste te ontvangen. En hoewel de security-specialist dat in eerste instantie weigerde, zijn smartphones en tablets niet meer weg te denken uit de boardroom. De markt volgt wat de business wil.” Informatiestromen van data In een recent onderzoek wordt informatie ‘de olie van de nieuwe economie’ genoemd. Zonder de juiste informatie op het juiste ogenblik bij de juiste persoon staat alles stil. “Zonder informatie ben je helemaal niets”, stelt Abdeluheb Choho van TSS. “De behoefte aan informatie is groot en er is enorm veel data beschikbaar. De vraag is: hoe ga je daar nu echt intelligent mee om?” Een organisatie kan immers niet álle data bestuderen en niet alle beschikbare data zijn relevant. Het maken van gerichte keuzes daarin is dan ook de eerste stap om een slimme organisatie te worden. Dan rijst de vraag hoe de informatie binnen een organisatie toegepast gaat worden. De resultaten van analyses kunnen immers leiden tot nieuwe of aangepaste producten en diensten, tot nieuwe businessmodellen en businessprocessen. “Processen zonder data zijn waardeloos”, stelt Jan Jaap Kanis van Vanenburg Software. “Net als data zonder processen overigens.” Hij vergelijkt een bedrijf met een persoon in een winkelcentrum. “Het 34

Is ‘less more’ of is ‘bigger better’? heel belangrijk dat de informatie die online is ingewonnen ook in de winkel aanwezig is. Dat creëert eenzelfde beleving.” Matty Bakkeren van Intel blijft even bij de retail. “Door het gebruik van digitale reclameborden en anonieme video-analyse kunnen retailers afwegingen maken op basis van feiten. En niet op aannames of de projectie daarvan.” “Toch blijft het zo dat de compleetheid en correctheid van data bij onze klanten voorop staat”, zegt Casper Haspels van Visma Software. “Ze willen graag direct kunnen rapporteren aan alle stakeholders binnen de organisatie. De kwaliteit van de data is voor hen cruciaal.”

Marieke van der Hart in gesprek met Barber Brinkman en Juliet Lawal van WD

De toekomst iPhone heeft de maatschappij laten wennen aan het werken met touch screens. “De muis en het toetsenbord zullen uit de omgeving verdwijnen”, voorspelt Hugo Leijtens van Nexocial. “De touch screen technologie zal de wereld enorm veranderen de komende twee jaar. Je ziet ze straks overal: op de muur, op de vloer, op telefoons, maar ook op draagbare technologie, zoals de Google- bril.” Marc Bauchant van VoXX ziet een voortschrijdende consumerization. “Ik zie de komende twee jaar vooral een verdere migratie van consumententoepassingen naar het bedrijfsleven toe. Fenomenen

Meer achtergrondinformatie en video-interviews over het event ‘De Waarde van Data’ zijn te vinden op http://meetourclients.wordpress.com/. is toch fantastisch om dan direct te weten waar de producten van je gading de komende 3 uur het goedkoopst zijn?” Zijn vergelijking laat zich makkelijk vertalen naar het bedrijfsleven. Bedrijven hebben meer informatie dan ze denken, maar niet alles ligt voor het grijpen. “Bij veel van onze klanten zit informatie verstopt in verschillende systemen. Dat noemen wij ook wel applicatiesilo’s”,

merkt Hans de Visser van Cordys op. “Het is vaak lastig die data te ontsluiten.” De distributie van informatie kent steeds meer verschillende verschijningsvormen, die allemaal effect hebben op de samenleving. Berend Bouwmeester van hybris constateert dat mensen vaak al zeer goed geïnformeerd een winkel binnenstappen. “Ze weten meer van een product dan de medewerkers in die winkel. Het is wel

als Skype en MSN zullen daar ook hun intrede doen.” “Veel klanten zijn op dit moment bezig te onderzoeken wat hun kansen nu precies zijn, wat voor opties ze hebben”, aldus Matty Bakkeren van Intel. “Wat kunnen ze met data en hoe kunnen ze daar nieuwe inzichten, een betere concurrentiepositie of andere voordelen uit halen?” Tjerk Bijlsma van Cisco voegt daaraan toe: “We zijn de fase voorbij dat het alleen maar gaat om bedrijven zoals Google en Yahoo. Het gaat om alledaagse bedrijven in Nederland die met de huidige stand van de technologie informatie en waarde kunnen halen uit de data die ze bezitten.” In de laatste 20 jaar hebben organisaties vooral geïnvesteerd in transactionele systemen. “Denk aan een goed ERP-systeem, een polisadministratie of een core banking system”, zegt Hans de Visser van Cordys. “Nu komt een nieuwe golf van investeringen op gang waarbij het er vooral om gaat de klanten en partners meer te betrekken bij de bedrijfsvoering.” “Ook de komende twee jaar zal de Wet van Moore nog wel regeren”, besluit Hein Brat van Bitbrains. “En de mensen verwachten ook steeds maar meer voor minder geld. Ik zie steeds meer building blocks beschikbaar komen, onder meer van cloudpartijen. Bedrijven zullen daardoor meer een regisseursfunctie krijgen over de eigen informatievoorziening.” Discussie Alaerds en Warmerdam gingen de discussie aan met de deelnemers in de zaal op basis van een vijftal stellingen. Een zeer interessante discussie ontwikkelde zich over het dilemma: Is ‘less more’ of is ‘bigger better’. Het idee dat almaar grotere en meer diverse databestanden steeds vaker worden geanalyseerd zal niet leiden tot betere inzichten, omdat de signaal tot ruis verhouding binnen data almaar verder toeneemt. Het zal leiden tot een afnemende meeropbrengst van data. Een ander inzicht is dat door naar meer data en meer soorten data te kijken we in staat zullen zijn nieuwe onvoorziene

Aan het event ‘De Waarde van Data’ werd deelgenomen door Bitbrains Cegeka Cisco Comparex Cordys Eurofiber Hybris Intel Kaspersky Lab Kroll Ontrack NetIQ Nexocial Novell OKI Systems Sophos TSS Vanenburg Software Visma Software VoXX WD Winvision Het onderzoek ‘De Waarde van Data’ stond onder leiding van Ruud Alaerds van Keala Consultancy en Marcel Warmerdam van theMETISfiles.

inzichten te verkrijgen wat zal leiden tot versnelling van innovatie. “De bijzondere vaststelling die we bij het bespreken bij dit type dilemma hebben kunnen doen, is dat een duidelijke meerderheid van de mensen bij voorkeur de beschikking wil hebben over zoveel mogelijk data,” aldus Alaerds. “De verklaring hierbij is de ‘angst’ om zaken over het hoofd te zien. Tegelijkertijd wenst men vanuit een zo volledig mogelijk aanbod aan data een goede selectie te kunnen doen om alleen de relevante gegevens ten grondslag te laten liggen aan de keuzes die men daarna maakt. Men lost het dilemma daarmee in feite niet op maar houdt het in stand. De boodschap die we hier mee willen geven is dat bij het niet tijdig maken van keuzes in data die men wenst te gebruiken men in de toekomst simpelweg een volgende probleem heeft gecreëerd. En dat is het probleem van de relevantie van data. Waarmee dus de besluitvorming alleen maar moeilijker is gemaakt.” Hans Lamboo is hoofdredacteur van Infosecurity.nl magazine


35

g

GEORGANISEERD DOOR MADISON GURKHA

MOBILE

door Hans Vandam

Patrik Sallner van SkySQL:

14 mei 2013 | De Reehorst in Ede

Black Hat Sessions XI

‘Roep om meer security speelt MariaDB in de kaart’

Dit jaar organiseert Madison Gurkha alweer de 11e editie van de inmiddels befaamde Black Hat Sessions. Het thema dit jaar is: Cyber...Security. Het woord ‘cyber’ kent nogal wat achtervoegsels, waarmee zaken uit het echte leven te verplaatsen zijn naar de digitale wereld. Denk bijvoorbeeld aan cyberpesten, cybersex, cyberpunk en meer on-topic voor de Black Hat Sessions vooral ook aan cyberwarfare, cyberterrorisme en cybercrime.

r e b y c. . . SECURITY

SPREKERS Met trots presenteert Madison Gurkha voor de Black Hat Sessions Part XI prominente sprekers die zeer goed aansluiten bij het thema Cyber…Security.

‘Cyberkolonel’ Hans Folmer Commandant Taskforce Cyber bij de Defensiestaf

Gerben Klein Baltink Secretaris Cyber Security Raad

Wim Verloop Managing Partner & Senior Forensic Analist, Digital Investigation B.V.

Eileen Monsma Advisor, Politie Team High Tech Crime

Rickey Gevers veroordeeld hacker en tegenwoordig werkzaam bij Digital Investigation B.V.

Alex de Joode Senior Regulatory Counsel and Liaison Officer, LeaseWeb

INFORMATIE De Black Hat Sessions Part XI: Cyber…Security vindt plaats op dinsdag 14 mei 2013 bij Hotel en Congrescentrum De Reehorst te Ede. Het programma start om 09.25 uur en duurt tot 16.40 uur. Aansluitend wordt nog een borrel georganiseerd. Registratie is mogelijk vanaf 08.30 uur. Meer informatie over het congres is te vinden op: www.blackhatsessions.com.

REGISTREER NU! Via het inschrijfformulier op www.blackhatsessions.com kunt u zich direct aanmelden voor het congres. De kosten voor deelname bedragen € 265 excl. BTW per persoon. Documentatie, lunch en koffie zijn inbegrepen. Voor studenten hebben wij een speciaal tarief van € 55 mogelijk weten te maken. Als u zich voor 16 maart 2013 aanmeldt, ontvangt u bovendien 10% vroegboekkorting!

SPONSORS

MEDIA PARTNERS

ORGANISATIE

Your Security is Our Business

Terwijl grote web-bedrijven roepen om almaar snellere technologie om de enorme aantallen klanten en transacties aan te kunnen, neemt de roep om meer security zo mogelijk nog sneller toe. Volgens Patrik Sallner spelen deze trends een open source database als MariaDB flink in de kaart. “Het gebruik van MySQL als hét platform voor grote websites lijkt over zijn top heen. De open access en de veel efficiëntere code van MariaDB lijkt ook vanuit security-oogpunt aan te slaan.” Patrik Sallner is chief executive officer van SkySQL. Deze Finse onderneming levert diensten en aanvullende tools voor gebruikers van MySQL en MariaDB, twee populaire open source-databases. MariaDB is het geesteskind van Monty Program, waar de Fin Michael ‘Monty’ Widenius achter schuil gaat. En Widenius was weer een van de belangrijkste ontwikkelaars van MySQL. Tot Oracle Sun Microsystems en daarmee ook MySQL overnam.

en bijvoorbeeld Safemalloc. Bovendien voegt de rond MariaDB ontstane community in rap tempo nieuwe functionaliteit toe. Als voorbeelden noemde Widenius in Amsterdam onder andere microseconds, multisource en support voor dynamic columns.

Jongste dochter Tijdens een presentatie in Amsterdam gaf Widenius aan dat deze overname een belangrijke reden voor hem is geweest om met MariaDB te beginnen (de naam ‘Maria’ verwijst naar zijn jongste dochter). “Het viel mij op dat Oracle na de overname bepaalde features uit MySQL is gaan halen en deze nu alleen nog als closed source en dus tegen betaling beschikbaar maakt. Bovendien is de development cycle van Oracle rond MySQL behoorlijk traag, veel trager dan de oorspronkelijke community wil. Ook heeft Oracle besloten om testcases niet langer te publiceren. Voldoende reden om MariaDB te beginnen.”

Veranderingen Ook Sallner van SkySQL ziet veranderingen optreden rond MySQL, nu Oracle het voor het zeggen heeft. “Wat we al heel snel merkten, was dat de prijzen voor licenties en services omhoog gingen. Een van de grootste MySQL-gebruikers ter wereld - Deutsche Telekom - reageerde hierop met een nogal drastische beslissing door over te stappen op MariaDB. Van deze database was in februari 2010 als eerste versie 5.1 als stabiele release vrijgegeven en de overstap van het Duitse telecomconcern was een van de ontwikkelingen die MariaDB definitief op de kaart heeft gezet, zegt Sallner. “Daarbij speelt dat MariaDB binary compatible is met MySQL. De claim van Monty dat overstappen van MySQL naar MariaDB een kwestie van minuten is, blijkt in de praktijk dan ook te kloppen.”

MariaDB is gebaseerd op de code base van MySQL, maar dan inclusief nagenoeg alle features die Oracle verwijderd heeft. Denk aan thread pools, storage-engines

Versie 5.1 van MariaDB was de eerste release van deze database, die wat nummering betreft in eerste instantie in de buurt werd gehouden van MySQL. In

volgende versies heeft men een aantal door Oracle uit MySQL verwijderde functies herschreven en weer toegevoegd. “Hetzelfde geldt”, zegt Sallner, “voor een aantal nieuwe features die Oracle inmiddels wel heeft toegevoegd. De mensen in de MariaDB-community blijken veel efficiënter te programmeren, waardoor zij meer functionaliteit in minder regels voor elkaar krijgen. De code is veelal van beduidend betere kwaliteit.” High availability Met ‘high profile’ gebruikers als Facebook en Google is security voor MariaDB een zeer belangrijk issue geworden. Sallner: “Niet iedereen is het er mee eens, maar het open source-model levert in onze visie per definitie een veiliger product op. Er kijken veel meer mensen naar de code, waarbij het bovendien veelal gaat om mensen die een echte passie voor hun community en hun project voelen.” Sallner durft met gerust hart de stelling aan dat open source simpelweg een betere kwaliteit code oplevert, met veel minder fouten, waardoor in principe ook minder misbruik mogelijk is. SkySQL levert ook een aantal extra tools bovenop MariaDB die bijvoorbeeld gericht zijn op ‘high availability’. Een hiervan is Galera Cluster, een clustertechnologie die door middel van nodes zorgt voor permanente fail-over. Deze technologie is ontwikkeld door het eveneens van oorsprong Finse Codership en zorgt bij gebruik van minimaal drie nodes voor een zeer efficiënte vorm van clustering en fouttolerantie. Clustering kan hierbij plaatsvinden binnen een LAN- of WANomgeving, maar kan ook via de cloud worden gerealiseerd. Hierbij kan tevens gekozen worden voor een mix van Galera-clustering en MySQL’s eigen voorzieningen voor replicatie. Wat de beste aanpak is, hangt af van de situatie, stelde Seppo Jaakola van Codership in Amsterdam. “Ons staat maar één doel voor ogen: zorgen dat de data altijd beschikbaar en veilig is.” Kijk voor meer informatie op www.skysql.com of www.mariadb.org. Hans Vandam is freelance journalist.


37

g

Sociale netwerken minder bedreigd dan gedacht

Van de redactie

te zien is. Dit verkeer is onder te verdelen in custom/onbekend TCP en custom/onbekend UDP. Zo is een snelle analyse te maken en is verkeer systematisch te beheren, evenals de bijbehorende risico’s. Onbekend en custom-verkeer kwam op elk onderzocht netwerk voor, meestal tussen de acht en tien procent. Het ging om intern maatwerk, om een bedrijfsoplossing die nog niet geïdentificeerd was, of om een bedreiging (maatwerkapplicatie). Hoewel klein in volume zorgt onbekend/custom-verkeer voor hoge risico’s. Het vaststellen en vervolgens beheren van dit verkeer is vooral van belang, omdat hackers vaak bestaande applicaties en protocollen aanpassen, zodat die doen wat een hacker voor ogen heeft.

Gewone

bedrijfsapplicaties meest gebruikt voor aanvallen

Gewone bedrijfsapplicaties scoren het hoogst als middel om computersystemen en netwerken aan te vallen. Sociale netwerken en video- en bestandsuitwisselingsdiensten scoren veel minder hoog. Die zijn weliswaar goed voor twintig procent van het netwerkverkeer, maar beslaan slechts één procent van alle bedreiging-logs. Dat blijkt uit de tiende editie van het Application Usage and Threat Report van beveiligingsbedrijf Palo Alto Networks. De security-leverancier van onder andere WildFireTM, een firewalldienst voor het bestrijden van moderne malware, analyseerde het netwerkverkeer van meer dan drieduizend organisaties wereldwijd tussen mei en december 2012. Dat leverde een goed beeld op van applicatiegebruik en bedreigingen in 2012. In tegenstelling tot wat vaak wordt gedacht, vormen sociale netwerken, videouitwisselingsdiensten en bestandsdelingsdiensten geen grote bedreigingen. Palo Alto Networks telde 339 van dit type toepassingen. Zij namen twintig procent van de gebruikte bandbreedte in beslag, maar waren goed voor slechts 0,4 procent van alle bedreiging-logs. Dat betekent onder meer dat het blokkeren van deze websites weliswaar effect heeft op de beveiliging, maar dat dit niet de impact heeft, die een organisatie hoopt of denkt. Daarnaast betekent het blokkeren dat medewerkers en klanten een communicatiekanaal minder tot hun beschikking hebben. Palo Alto Networks ontdekte dat Facebook nog steeds het dominante sociale netwerk is. Het rapport identificeerde in totaal 75 verschillende sociale-netwerkapplicaties die gezamenlijk één procent van de totale bandbreedte gebruikten. Op 92 procent van de 3.056 onderzochte netwerken werden zeventien varianten van sociale 38

netwerken gevonden. Het rapport stelt in totaal 5.303 individuele bedreigingen vast, waarvan elf binnen sociale-netwerkapplicaties. Van de 75 applicaties zijn vier Facebookfuncties apart geïdentificeerd: basisversie, apps, posting en social-plugins. Deze zijn door bedrijven deels in en uit te schakelen. Deze vier Facebook-functies gebruiken 75 procent van de socialenetwerkbandbreedte. Dit betekent dat er voor de andere 71 applicaties nog een kwart overblijft. Facebook domineert nog steeds, maar het rapport ziet nieuwe spe-

lers die of hun eigen [curs]niche[\curs] creëren, of zich terugvechten in deze markt. Rol van gewone bedrijfsapplicaties Exploits richten hun pijlen op waardevolle bedrijfsmiddelen via gewone bedrijfsapplicaties. Van de 1.395 onderzochte applicaties waren negen bedrijfskritische applicaties verantwoordelijk voor 82 procent van alle exploit-logs. Uit het onderzoek van Palo Alto Networks wordt duidelijk dat interne beveiliging een stuk minder krachtig is dan externe. 97 procent van de kwetsbaarheid-exploits was afkomstig uit slechts tien applicaties (van de in totaal 1.395 gevonden applicaties). Negen toepassingen werden beoordeeld als hoogwaardig. Het ging om interne toepassingen of infrastructuurgerelateerde applicaties die een integraal onderdeel uitmaken van verschillende bedrijfsfuncties. Deze data wijzen erop dat de strategie om kritische resources van binnenuit

Interne beveiliging is een stuk minder krachtig dan externe

aan te vallen, de regel is en dus niet langer de uitzondering vormt. Dit betekent dat bedrijven hun interne verkeer zullen moeten monitoren naast het verkeer dat van buiten komt. Een nadere beschouwing van de exploit-logs laat zien dat er 2.016 unieke kritische exploits waren (op de zwaarteniveaus hoog en midden) in circa zestig miljoen logs. Niet verwonderlijk was de uitkomst dat de meeste unieke exploits te vinden waren bij web-browsing. De meeste bekeken logs waren afkomstig van MSSQL en MSRPC, wat duidt op een hogere volumeactiviteit binnen deze specifieke exploits. Malware en custom/onbekende applicaties Het rapport wijst verder uit dat malware zich verstopt in maatwerkapplicaties. Deze applicaties worden het meest in verband gebracht met malware. Ze zijn goed voor 55 procent van de malwarelogs, hoewel ze maar twee procent van de totale bandbreedte in gebruik nemen. Het correleren van bedreigingen aan specifieke applicaties (of applicatiekenmerken) stelt beveiligingsteams in staat om risico’s in hun netwerk direct te detecteren. Dit classificeren van verkeer heeft daarnaast het onvoorziene voordeel dat custom of onbekend applicatieverkeer dat op het netwerk aanwezig is,

onderzoeksgegevens geven ook duidelijk aan dat dit zeer kritische toepassingen zijn voor aanvallers. SSL bleek de op een na grootste bron te zijn in malware-logs. Dat is een belangrijke uitkomst, gezien het feit dat veel onderzochte organisaties de SSL-decryptiefunctionaliteit niet hebben ingeschakeld. Dit betekent dat de werkelijke situatie vrijwel zeker ernstiger is en malware binnen SSL groter is dan in het rapport vermeld staat. SSL is vooral gebruikt door het Ramnit-botnet en door varianten van Poison Ivy RAT. Kijkend naar SSL, is de aanname vaak dat het primair relateert aan HTTP (en TCP/443). In de praktijk kan een applicatie SSL echter gebrui-

Organisaties zullen meer controle moeten uitoefenen op persoonlijke applicaties SSL en proxy’s Het Application Usage and Threat Report heeft in de afgelopen jaren regelmatig het gebruik van applicaties onderzocht, die in staat zijn om de beveiliging te omzeilen. Deze brede categorie omvat applicaties zoals SSL en andere tunnelversleutelingstoepassingen, externe proxy’s en tools voor remote desktoptoegang. Deze applicaties zijn onmisbaar voor organisaties, maar vormen ook een bedreiging. Vanuit het perspectief van de hacker bieden deze toepassingen de mogelijkheden om een aanval te verbeteren doordat ze makkelijk opgenomen worden in een netwerk. Daardoor is het controleren van deze applicaties van groot belang. Dit blijkt ook uit het rapport. HTTP-proxy werd aangetroffen bij 97 procent van de organisaties en zorgde voor op drie na het hoogste volume van malware-logs. HTTPproxy werd voor verschillende bedreigingen gebruikt, waaronder TDL-4, Rustock, Gozi en Citadel. Veel van deze malwarefamilies hebben hun eigen proxyservers voor het afschermen van hun werkelijke bron en het tunnelen van verkeer via een netwerk van geïnfecteerde gebruikers. Het is duidelijk dat encryptie en proxies onmisbaar zijn voor bedrijven, maar de

ken via elke poort. De analyse toont aan dat 356 applicaties in staat zijn om SSL te gebruiken (via verschillende poorten). Samen zijn ze goed voor zeven procent van de bandbreedte. Verrassend De uitkomsten van de analyse zijn in die zin verrassend, dat ze licht werpen op de actuele risiconiveaus en op het type applicatie dat voor bedreigingen zorgt. Vooral opvallend is de rol van de sociale netwerken en video- en bestandsuitwisselingsdiensten die maar voor heel weinig bedreiging-logs zorgden in verhouding tot hun gebruik. Daarnaast was het opmerkelijk dat hackers hun malware onder meer verstoppen in UDP-verkeer dat meestal als goedaardig wordt bestempeld. Een en ander betekent dat organisaties meer controle zullen moeten uitoefenen op persoonlijke applicaties die voor meer risico’s zorgen, zoals Facebook-apps. Daarnaast moeten zij aanmerkelijk meer energie steken in het voorkomen van kwetsbaarheden in hun interne infrastructuurapplicaties. Tot slot is het raadzaam om alle verkeer te blokkeren, dat lijkt op onbekend of custom UDP.


39

g

Onderzoek van Telindus-ISIT onder 214 IT-professionals

DOOR Jorgen Rosink

Cloudsecurity:

Geen nutsvoorziening Cloud is geen technologie die zelf iets oplost en in de komende vijf jaar zeker nog geen nutsvoorziening die zomaar uit de kraan is af te nemen. Dit is één van de belangrijkste aspecten wanneer we het hebben over security van de public cloud. Want wanneer u denkt achterover te kunnen leunen bij het afnemen van clouddiensten, dan heeft u het mis. Zoals eerder al gezegd is de public cloud nog in ontwikkeling. Dit betekent dat het cruciaal is om u te verdiepen in de mogelijke beveiligingsrisico’s, of beter gezegd: in de maatregelen die de externe dienstverlener heeft getroffen op dit gebied. Wat zijn de beveiligingsprocedures? Welke systemen worden er gebruikt? Wat voor mensen zijn er straks verantwoordelijk voor uw data?

houd de touwtjes in handen

Cloud is geen technologie die zelf iets oplost en in de komende vijf jaar zeker nog geen nutsvoorziening die zomaar uit de kraan is af te nemen. Dit is één van de belangrijkste aspecten wanneer we het hebben over security van de public cloud. Uit onderzoek van Telindus-ISIT onder 214 IT-professionals blijkt dat vijftig procent nog altijd geen vertrouwen heeft in de beveiliging van public clouds. Een duidelijk signaal dus. Niet gek overigens, want net als voor iedere andere nieuwe dienst of technologie geldt ook voor cloud computing dat de branche tijd nodig heeft om volwassen te worden. Maar wat doe je in de tussentijd? In mijn ogen heeft de eindgebruiker drie opties: 1.

2. 3.

Achterover leunen en wachten tot de volledige markt het volwassen stadium bereikt heeft Blind de samenwerking aangaan met een cloud provider. De touwtjes in handen nemen en zelf op de regiestoel gaan zitten.

Ik zou voor het laatste gaan. Spiegeltje aan de wand Security is altijd een hot topic geweest. Iedereen kent de talloze voorbeelden van informatie die ongewenst op straat komt te liggen. Letterlijk, in containers langs de kant van de weg, of figuurlijk, het terugvinden van je eigen wachtwoord in een (ondertussen) openbaar online document. Geen problemen die je als IT-organisatie binnen je eigen organisatie wenst. Nu er steeds intensiever gebruik gemaakt wordt van internet in zakelijke omgevingen, zijn internet en het eigen netwerk steeds verder met elkaar geïntegreerd. Dit heeft gevolgen voor de beveiliging van de ICT-infrastructuur, of deze 40

nu intern of extern draait. De vraag is echter hoe u nu met dit beveiligingsrisico omgaat en of dit ook de gewenste situatie is. Want één ding is zeker, voordat u een overstap naar de cloud overweegt, is een blik in de spiegel noodzakelijk. Wat betekent security voor u als organisatie? Security is naar mijn mening meer een denkwijze dan een begrip. Want wat is security eigenlijk? Iedere organisatie heeft andere belangen. De bakker en de bank lopen niet hetzelfde bedrijfsrisico, maar willen zich wel allebei secure voelen. Bovendien heeft iedere organisatie één gemene deler als het op security aankomt: als er een breuk in de security is, betekent dit imagoschade voor de desbetreffende organisatie. En of je nou een kleine of een grote organisatie bent, dat wil niemand. Om imagoschade te voorkomen, zou iedere organisatie niet alleen moeten beseffen hoe belangrijk de beveiliging van onze ICT-infrastructuren is, maar er ook naar moeten handelen. Dit is geen exclusief probleem van cloud providers. Ook interne datacenters laten op het gebied van security nog vaak het één en ander te wensen over. Maar op het moment dat je overweegt naar de cloud over te stappen, worden twijfels over security ‘ineens’ top of mind. En die twijfel is gedeeltelijk terecht.

Don’t blame technology Terugkomend op het wantrouwen van ITprofessionals ten opzichte van de security van de public cloud zijn er eigenlijk twee factoren van belang. Laten we met het goede nieuws beginnen. Technisch gezien zijn twijfels over de security van public clouds geheel onnodig. Alle technologie om dit te realiseren is namelijk voorhanden. De vraag is alleen, wordt deze technologie ook inderdaad gebruikt én op de juiste manier toegepast? Voorheen konden bedrijven het zich veroorloven om te denken dat het niet nodig was om hun IT-infrastructuur hermetisch af te sluiten. Er gingen immers minder processen via internet en de kans om gehackt te worden, was aanzienlijk kleiner. Dit is echter niet meer van deze tijd. Organisaties moeten waken voor ‘digitale graffiti’. Je kunt wel denken dat jouw bedrijf niet interessant genoeg is om gehackt te worden, maar stelselmatig wordt er door malafide personen via internet

gezocht naar toegang tot IT-infrastructuren. Deze hackpogingen zijn niet altijd gericht op toegang tot data, maar ook op toegang tot resources, zoals bandbreedte en processorkracht. Hoe groter het datacenter, des te interessanter is het voor hackers om zichzelf daar toegang toe te verlenen. En in de praktijk zijn veel van deze grote datacenters van externe service providers. Des te belangrijker is het dus om te weten wat voor technologie de cloudprovider gebruikt om dergelijke aanvallen af te weren en om precies te weten hoe dit is ingeregeld. Maar om daarachter te komen, is het belangrijk om zelf de touwtjes in handen te nemen.

Neem plaats op de regiestoel en zorg dat u in staat bent om te kunnen beoordelen hoe security is ingeregeld bij de externe dienstverlener. Dit begint met een kijkje in de spiegel. Wat verwacht ik op het gebied van security? Stel een securitybeleid op basis van weten regelgeving en eigen wensen en eisen en toets dat aan de mogelijkheden van de cloudprovider. Des te transparanter de cloud provider, des te meer reden om de organisatie te vertrouwen. Als er om securityredenen niet over security gepraat kan worden, moet dat meteen de nodige twijfel scheppen. Wantrouwen helpt Hoewel de techniek er klaar voor is om informatie secure op te slaan in de cloud, is een gezond wantrouwen zeker op zijn plaats. De beste manier om er zeker van te zijn dat een cloud provider u de best mogelijke en veilige service kan verlenen, is door zelf ook volledig op de hoogte te zijn van de mogelijkheden en eisen op security-gebied. Wees kritisch, houd de regie in handen en ga de dialoog aan om u echt te laten overtuigen. Jorgen Rosink is Consultant bij Telindus-ISIT

Organisaties moeten waken voor ‘digitale graffiti’

overwegingen bij de public cloud 1. Federatief Identity Management: Identity Management is onmisbaar geworden voor iedere organisatie, maar gebeurd in de praktijk nog veel te weinig. Met Federatief Identity Management worden authenticatiegegevens (en eventuele optionele attributen) gedeeld met de cloud provider voor eenduidig en optimaal beheer. 2. Toegang data en eigendomsrecht: Veel cloudproviders hebben hun systemen in het buitenland staan, wat betekent dat ook uw data in het buitenland is opgeslagen. Dit hoeft geen probleem te zijn, maar weet u precies wie er toegang tot de data heeft? Denk bijvoorbeeld aan de Patriot Act. Draait de cloudserver van uw provider op Amerikaans grondgebied of bij een in Amerika gevestigde onderneming, dan betekent dit automatisch dat bij twijfel de Amerikaanse overheid zonder toestemming altijd bij uw data kan.Een twijfelachtige situatie waar overheidsinstellingen zich zeker bewust van moeten zijn. Check daarom altijd waar de data wordt opgeslagen en vraag om garanties dat de data niet de grens over gaat. 3. Exit-strategie: Stel dat de dienstverlening prima is, maar u toch een overstap naar een andere provider wilt maken, hoe krijgt u dan uw informatie terug? Hoe is uw informatie opgeslagen? Maak hier afspraken over, maar zorg bijvoorbeeld ook voor een back-up in eigen bezit. Een andere optie is het coderen van informatie, waarbij in het onfortuinlijke geval van een informatielek of problemen met het terugkrijgen van informatie, data onbruikbaar is voor derden omdat u over een unieke sleutel beschikt. 4. Clouddiensten en eindgebruikers: hoe ga je om met cloud-diensten die rechtstreeks door eindgebruikers benaderd kunnen worden? Denk aan Dropbox en Google Docs. Publieke clouddiensten worden allang niet meer alleen vanuit IT gefaciliteerd. Een beleidsplan hiervoor is geen overbodige luxe, maar ook bewustwording bij de medewerkers is belangrijk. Bepaal welke informatie voor iedereen toegankelijk mag zijn en welke niet en licht dit toe naar de eindgebruikers.


41

g

Thursday, April 25th 2013 | Dutch Design Hotel Artemis, Amsterdam - The Netherlands

Gastcolumn

Hoe dynamisch

CONFERENCE ORGANIZATION

gaat uw organisatie om met data? Er is een beroemde aflevering van de originele televisieserie Star Trek genaamd The Trouble With Tribbles die symbool zou kunnen staan voor de wereldwijde explosieve gegevensgroei waarmee we momenteel worden geconfronteerd. Deze Tribbles planten zich met een enorme snelheid voort, zodat de Starship Enterprise en zijn essentiële systemen al snel door Tribbles overstelpt dreigen te raken. De problemen die Kirk, Spock en hun kompanen met de Tribbles ondervonden, verschillen in wezen niet veel van de gegevensproblemen waarmee veel bedrijven worstelen. Zeker niet als je bedenkt dat maar liefst 90 procent van alle gegevens ter wereld in de afgelopen twee jaar zijn gegenereerd. Bedrijven worden niet alleen geconfronteerd met de vanzelfsprekende vraag waar ze al deze gegevens moeten opslaan, maar ook hoe ze kunnen bepalen welke informatie wel en niet van waarde is voor de organisatie. En dan is er nog het vraagstuk van de integratie van smartphones en tablets binnen hun bedrijfsomgeving. Bedrijven staan nu voor de opgave om twee soorten data te beheren: dynamische data (gegevens die in en uit de organisatie stromen van en naar mobiele apparaten) en statische data (gegevens die de IT-infrastructuur van de organisatie niet verlaten). De hoeveelheid dynamische gegevens levert niet alleen beveiligingsproblemen op, maar roept ook vragen op rond de toegang tot en synchronisatie van bedrijfsgegevens. Bedrijven willen volledige controle hebben over de mobiele apparaten die gebruikt worden om hun gegevens op te vragen, of dit nu binnen of buiten de firewall gebeurt of via een publiek of privaat netwerk. Een manier om dit te bereiken is door een beheerkader te creëren dat ervoor zorgt dat de gegevens afdoende beveiligd zijn, maar toch naar relevante mobiele gebruikers kunnen worden verstuurd. Mobiele gebruikers moeten daarbij de mogelijkheid krijgen om de gegevens die zij op hun mobiele toestel nodig hebben te synchroniseren. Hoe kunnen bedrijven nu hun gegevens consolideren, de juiste data naar de juiste mensen krijgen en tegelijkertijd grip houden op de enorme 42

gegevensvolumes binnen de onderneming? Dit is geen eenvoudige taak, zeker niet als er geen simpele oplossing voorhanden is waarmee zij een onderscheid kunnen maken tussen de gegevens die wel en niet belangrijk zijn voor hun gebruikers. Bedrijven moeten in kaart brengen wat voor gegevens zij in huis hebben en onderscheid maken tussen waardevolle bedrijfsinformatie en overbodige (privé-)data. Op basis daarvan kunnen ze de gegevens labelen die ze aan mobiele gebruikers willen doorgeven. De meeste bedrijven zijn nog altijd op zoek naar een integrale en volledig gecentraliseerde aanpak die dit mogelijk maakt. Er zijn al wel gebieden waarin een dergelijk niveau van controle, synchronisatie en gedefinieerde toegang realiseerbaar is. Een goed voorbeeld is e-mail. Er bestaan inmiddels oplossingen die een distributiehiërarchie binnen een gegevensstructuur creëert die ervoor zorgt dat e-mailbijlagen alleen naar individuele gebruikers of selecte groepen gebruikers worden gedistribueerd. De synchronisatiemechanismen hoeven slechts één keer te worden ingesteld, waarna ze automatisch worden beheerd, zonder de noodzaak van tussenkomst van een gebruiker. Bedrijven zijn op zoek naar een vergelijkbare oplossing die gegevensbeveiliging combineert met apparaatbeheer. Veel werknemers maken voor het uitwisselen van gegevens gebruik van producten als Dropbox en GoogleDrive. Ondanks de populariteit van deze diensten, bieden ze niet de benodigde beveiliging voor vertrouwelijke bedrijfsinformatie. Zo worden bestanden onversleuteld geupload en ligt het beheer volledig buiten de controle van de onderneming. Veel organisaties hebben daarom behoefte aan een mobile file management

(MFM)-oplossing die ze in samenhang met een mechanisme voor gegevensdistributie kunnen gebruiken en hen de juiste mate van beveiliging biedt. Een van de belangrijkste uitdagingen voor bedrijven die veel verschillende mobiele toestellen beheren, is de implementatie van een consistent mechanisme voor het configureren en beveiligen van deze mobiele apparatuur en het synchroniseren van de dynamische bedrijfsgegevens die daarop zijn opgeslagen. En daar kunnen ze niet lang mee wachten, want het aantal gegevens dat de organisatie verlaat via de mobiele apparatuur van hun werknemers zal op korte termijn verdriedubbelen of zelfs vervijfvoudigen. Bedrijven moeten daarom goed nadenken over zaken als beleidsregels die aangeven hoe lang gegevens beschikbaar moeten zijn voor mobiele apparatuur en wanneer het nodig is om deze gegevens te verwijderen om te voorkomen dat de apparaten van werknemers vol raken. De organisatie van morgen omarmt een dergelijke technologische infrastructuur, en kan zo veel nauwkeuriger bepalen welke gegevens naar mobiele apparatuur worden verzonden, hoe ze worden gebruikt en welke wijzigingen erin worden aangebracht. Deze organisaties kunnen voordeel halen uit het feit dat dynamische gegevens zich steeds vaker buiten de bedrijfsmuren bevinden, zonder dat dit ten koste gaat van de veiligheid van, en grip op belangrijke bedrijfsinformatie van de Starship Enterprise. Dirk Raeymaekers is Country Manager Benelux bij Acronis

FOUNDING PARTNERS

A New Approach to Cloud Computing After 3 successful editions of the Innovate IT Conference, it is time to present diﬀerent ways to enable your business with cloud computing. Innovate IT will focus on the business beneﬁts of cloud computing and gives an overview of case examples, lessons learned, integration options & methodologies for implementing cloud solutions. During this edition, we will demonstrate renowned client cases. Visitors will learn from organizations who already made a switch to cloud computing and receive tips and tools to implement in their own organization. The conference committee has put together a comprehensive program in which you will have the opportunity to experience, learn and ask questions! Take a look at the program at www.innovate-it-conference.com We are looking forward to meeting you at the Innovate IT 2013 Conference on thursday April 25th at the Artemis Hotel in Amsterdam.

€100,- DISCOUNT

Register by using discount code KCW-IN13 and receive a € 100,00 discount on the attendee fee.

PARTNERS

Admission is FREE for every 2nd person of the same organization!*

HIGHLIGHTS 2 International Top Keynote Speakers

MEDIA

APPWORKS

6 Client Cases and their Lessons Learned

CLOUDWORKS

A variety of Theme Sessions

CRMSYSTEMEN.NL

Meet fellow IT or Business Managers

EUROCLOUD

COMPUTABLE DUTCHCOWBOYS GIA

Our Chairman and keynotes

KIVI NIRIA NAF

PERSONALIZED CONSULTS Receive in-depth information, exchange know-how on state of the art cloud computing and get inspired! Chairman Koen van den Biggelaar Principal - Cloud Computing, Accenture Keynotes JP Rangaswami Chief Scientist, Salesforce.com Farid Tabarki Trendwatcher of the year 2012 - 2013 and Founder, Studio Zeitgeist

NGI IN COLLABORATION WITH

SCAN THE QR-CODE! FOLLOW THE TWEETS, PROGRAM AND MORE INSTANTLY ON YOUR SMARTPHONE (ALL BRANDS)

USE TWITTER #innovatenl

MORE INFORMATION AND REGISTRATION AT WWW.INNOVATE-IT-CONFERENCE.COM *Not valid inInfosecurity.nl combination with other (early bird) discounts. Not applicable to IT2013 suppliers/consultants. magazine - nr. 2 - april 43

We heb en de 10 meest krit sche suc esfactoren vo r de continuïteitsmanagement worden meegenomen. implementatie van informatiebeveil ging op e n rij gezet. Als me e r we t e n ? u elk van deze punten voldoende a ndacht ge ft, kunt u e n Wi l t u me e r we t e n o v e r S e c u r i t y & Co n t i n u i t y S e r v i c e s ? ho p valkuilen vermijden en verlo pt de implementatie van Ga n a r www. c e n t r i c . e u / s e c u r i t y o f n e m c o n t a c t me t o n s o p v i a iDenformattop iebeveil ging10e n stusuccesfactoren k soepeler. voor informatiebeveiliging [email protected]. De persoonlijke dossiers in de vuilcontainer …. een USBstick die per ongeluk wordt vergeten… de hacker die inbreekt op bedrijfsnetwerken. U kent de voorbeelden wel. Het wordt vaak breed uitgemeten in de media. Deze nieuwsberichten zetten u ongetwijfeld aan het denken. Hoe is de informatiebeveiliging binnen uw organisatie eigenlijk geregeld?

In De praktIjk Het implementeren van informatiebeveiliging blijkt in de praktijk niet eenvoudig. Er liggen allerlei obstakels op de loer. Terugkijkend op de diverse trajecten waarbij wij vanuit Centric in de laatste tien jaar betrokken waren, tekent zich een aantal duidelijke succesfactoren af. Voor een Soepele ImplementatIe We hebben de 10 meest kritische succesfactoren voor de implementatie van informatiebeveiliging op een rij gezet. Als u elk van deze punten voldoende aandacht geeft, kunt u een hoop valkuilen vermijden en verloopt de implementatie van informatiebeveiliging een stuk soepeler.

ntric_add_succesfactoren_32013.indd 1

Bezoek onS op oVerHeID & ICt Van 23 tot en met 25 april zijn wij aanwezig op de beurs Overheid & ICT. Ons team geeft dagelijks om 12 uur een presentatie over de 10 succesfactoren voor informatiebeveiliging voor overheden. We nodigen u van harte uit om onze presentatie bij te wonen. U kunt ons ook bezoeken op de stand van Centric. SUCCeS VerzekerD?! Centric kan u ondersteunen bij het succesvol opstellen, implementeren en uitvoeren van het informatiebeveiligingsbeleid. Het team van Security & Continuity Services is onder meer gespecialiseerd in het vinden van kwetsbaarheden omtrent de informatievoorziening binnen organisaties en het formuleren van passende maatregelen. Kenmerkend voor onze aanpak is dat er breder gekeken wordt dan de ICT-component en ook onderwerpen als fysieke beveiliging, veiligheidsbewustzijn en continuïteitsmanagement worden meegenomen. meer weten? Wilt u meer weten over Security & Continuity Services? Ga naar www.centric.eu/security of neem contact met ons op via [email protected].

7-3-2013 10:36:4

College bescherming persoonsgegevens

Recommend Documents