m heden werkzaam in de beveiligingsbranche Voorheen diverse gerenommeerde beveiligingsbedrijven

Even voorstellen:

Clemens Jans RSE Vanaf 1984 t/m heden werkzaam in de beveiligingsbranche Voorheen diverse gerenommeerde beveiligingsbedrijven Vanaf 01-06-2014 Sales Manager ASB-Security BV Eindhoven

KIEN Technodag 23 juni 2015

Programma • Dreiging cybercriminaliteit, beveiligingsbranche onvoldoende op voorbereid?, (checklist) • NPR 8136, advies om deze dreiging in de praktijk tegen te gaan • Praktijk voorbeelden

Cybercriminaliteit

Is de Beveiligingsbranche er klaar voor!

Gesloten waardeketen • Klantlocatie, alarminstallatie, alarm over IP infra • Alarmtransmissienetwerk van klant naar PAC • Ontvangst aan meldkamer/PAC-zijde

• VRKI, Verbeterde Risico-klasse Indeling • Beveiligd tegen DDoS aanvallen?

Klantlocatie • Alarminstallatie, geen voorkeurschakeling, beveiligd gebied? toegang tot router? • Welke AoIP communicatie, open/gesloten?

• Installateur, kennis van IP en van regelgeving? • Klant gaat af op deskundig advies installateur!

Ontvangst aan meldkamer/PAC • Voldoende capaciteit infrastructuur, voor-achterdeur • Van iedere leverancier ontvanger + back-up… • Primair en secundair alarmtransmissiepad op verschillende ontvangers?

• Internet aansluitingen beveiligd tegen DDoS?

Alarmtransmissie netwerk • • • • • •

Alarm over IP, IP is niet vanzelfsprekend internet Over internet, dan voor iedereen toegankelijk... Tunnel over Internet veilig? Enkel of dubbel transmissiepad, back-up…? Besloten, zowel primair als back-up Voldoende accu - capaciteit t.b.v. stroomuitval

VRKI, Verbeterde Risico-klasse Indeling • Wordt door het CCV, Centrum voor Criminaliteitspreventie en Veiligheid beheerd • Beschrijft o.a. bouwkundige, organisatorische, elektronische maatregelen en actie/opvolging • Alarmtransmissiekaart met verschillende AoIP oplossingen • Helaas onvoldoende opmerkingen over risico’s alarm over internet/DDoS/Cybercrime

DDOS aanvallen Denial-of-service aanvallen (DoS-aanvallen) en distributed denialof-service aanvallen (DDoS-aanvallen) zijn pogingen om een computer, computernetwerk of dienst onbruikbaar te maken voor de bedoelde gebruiker.[1] Het verschil tussen een 'gewone' dos-aanval en een distributed dos-aanval is dat in het laatste geval meerdere computers tegelijk de aanval uitvoeren. Hiervoor wordt vaak een botnet gebruikt,[2] maar het kan ook gaan om meerdere personen die hun acties coördineren, iets wat bijvoorbeeld gebeurt bij aanvallen van de zogenaamde Anonymous-beweging. Ook al kunnen de methode, het motief en het doelwit verschillen, toch blijft het hoofddoel een website, internetdienst of server ervan te weerhouden aanvragen van reguliere gebruikers te behandelen.[3] Vaak zijn de doelen prominente websites of diensten, zoals die van banken of creditkaartservices. De term wordt gebruikt in verband met computernetwerken, maar is niet beperkt tot dit gebied; hij wordt bijvoorbeeld ook gebruikt met betrekking tot CPU resource management.(Wikipedia)

DDoS topje van de ijsberg • • • •

ING, EuroCard, VisaCard, PayPal DigiD Verschillende sites Overheid Eigen Stijl, e.a.

• • • •

Virtuele inbraken zoals bij: Gemalto SIM kaarten leverancier ASML E.a.

Meest voorkomende (oude) oplossingen: PSTN Public Switch Telephone Network

ISDN Intergrated Services Digital Network

S0’ bus S0’ bus

Alarm System

Losse PSTN overdrager

Alarm System

accu

accu

Losse ISDN overdrager

S0 bus

NT-1 Norm 88

IS/RA

Norm 88

InfraStructuur / RandApparatuur Rechtstreeks vanaf wijkcentrale

PSTN A/B 50volt Signaal doorgelust middels voorkeurschakeling Bandbreedte 64 kbit/s {kiesverbinding} AL1 – test 1 x per 25 uur, controle PAC elke 24 uur

IS/RA

ISDN 100volt 2 x B kanaal 64kbit/s {kiesverbinding AL1} 1 x D kanaal 16kbit/s {DAA AL2 uitgefaseerd 1-1-2015) AL2 – test elke 90 sec. en/of controle PAC elke 900 sec.

Meest voorkomende xDSL oplossingen via koper (KPN) / glas infrastructuur: Voice over Internet Protocol (PSTN)

(Thuis) Computer(s)

Cat 5/6

Alarm System

Router xDSL

Losse IP overdrager

LAN Local Area Network

accu

230volt

Cat 5/6 Norm 88

IS/RA xDSL via koper / glas (rechtstreeks naar wijkcentrale) Bandbreedte kbit/s – Mbit/s 1 Mbit = 1000 kilobit = 1000000 bit

xDSL – technologieën ADSL ADSL2 ADSL2+ HDSL HDSL2 IDSL MSDSL PDSL RADSL SDSL SHDSL UDSL VDSL VDSL2

Meest voorkomende xDSL oplossingen via Ziggo en/of UPC: Voice over Internet Protocol (PSTN)

(Thuis) Computer(s)

Cat 5/6

Alarm System

Router xDSL

Losse IP overdrager

accu

LAN Local Area Network Cat 5/6

230volt Coaxiale kabel

AOP AOP Abonnee Overname Punt xDSL via coaxiale koper kabel ( via straatkasten in de wijk, in-gekoppeld en doorgelust) Bandbreedte kbit/s – Mbit/s? 1 Mbit = 1000 kilobit = 1000000 bit

Categorieën SP1 t/m SP6 specificeren alarmtransmissie systemen met enkelvoudig alarmtransmissiepad Voice over Internet Protocol (PSTN)

Zie VRKI voor juiste criteria Gemiddelde transmissietijd 95% van alle transmissies

Maximale transmissietijd

Alarm System

Router xDSL

Losse IP overdrager

accu

230volt

IS/RA of AOP

Internet via Provider x

Rapportagetijd - primair ATP Rapportagetijd alternatief bij uitval primair ATP Rapportagetijd alternatief ATP bij uitval primair ATP Rapportagetijd ATS Beschikbaarheid % ATSN (op jaarbasis) Beschikbaarheid % - ATS (op maandbasis)

AL1

SP1

SP2

SP3

SP4 SP5 SP6

120 s

60 s

20 s

20 s

10 s 10 s

240 s

90 s

30 s

30 s

15 s 15 s

480 s 120 s

60 s

60 s

30 s 30 s

32 dgn 25 u 30 min 3 min 90 s 20 s Op

Op

Op

Op

Op

Op

Op

Op

Op

Op

Op

Op

32 dgn 25 u 30 min 3 min 90 s 20 s Op

Op

Op

Op

Op

Op

Op

Op

99

99,8

Substitutiebeveiliging

Op

Op

Op

Op

M

M

Informatiebeveiliging

Op

Op

Op

Op

M

M

Back-up netwerkinterface op de SPT

Op

Op

Op

Op

Op

Op

Op

Op

Op

Op

Op

Op

Back-up RCT M Mandatory (VEREIST) Op Optional (OPTIE)

99,5 99,9

Categorieën DP1 t/m DP4 specificeren alarmtransmissie systemen met dubbel alarmtransmissiepad Voice over Internet Protocol (PSTN)

Alarm System

Router xDSL

Losse IP overdrager

accu

230volt

IS/RA of AOP

GPRS via Provider x

Internet via Provider x

Zie VRKI voor juiste criteria

AL1* DP1

AL1 DP2

AL2 DP3

AL3 DP4

Gemiddelde transmissietijd

60 s

20 s

20 s

10 s

95% van alle transmissies

90 s

30 s

30 s

15 s

Maximale transmissietijd

120 s

60 s

60 s

30 s

Rapportagetijd - primair ATP

25 u

30 min

3 min

90 s

Rapportagetijd - alternatief bij uitval primair ATP

50 u

25 u

25 u

5u

Rapportagetijd - alternatief ATP bij uitval primair ATP

25 u

30 min

3 min

90 s

Rapportagetijd ATS

50 u

60 min

6 min

3 min

Op

99,5

99,9

99,9

Op

99

99,8

99,8

Substitutiebeveiliging

Op

Op

M

M

Informatiebeveiliging

Op

Op

M

M

Back-up netwerkinterface op de SPT

M

M

M

M

M

M

M

M

Beschikbaarheid % - ATSN (op jaarbasis) Beschikbaarheid % - ATS (op maandbasis)

Back-up RCT M Mandatory (VEREIST) Op Optional (OPTIE)

Meest voorkomende oplossingen: DP1 t/m DP2 ? Wordt verkocht voor DP3/DP4 ! EN 50136 ??? ATP = Alarm Transmissie Pad

GPRS via Provider x

Secundair 2

Ontvanger

2 Alarm System

PAC

Losse IP overdrager

1

accu

soft ware

2

Internet via Provider x

EN 50131

NPR8136 VoP: - Alarm transmissie tijd / aankomst tijd - Beschikbaarheid = Rapportage Mogelijke ontsluitingspaden! ATSP = Alarm Transmissie ( Service) Provider? Wie is waar voor verantwoordelijk?

2 1

Ontvanger

Primair

EN 50518

Meest voorkomende oplossingen: DP1 t/m DP2 ? Wordt verkocht voor DP3/DP4 ! DDoS aanval mogelijkheden / GPRS aanvallen ! EN 50136 ??? ATP = Alarm Transmissie Pad

GPRS via Provider x

Secundair 2

Ontvanger

2 Alarm System

PAC

Losse IP overdrager

1

accu

soft ware

2

Internet via Provider x

EN 50131

NPR8136 VoP: - Alarm transmissie tijd / aankomst tijd - Beschikbaarheid = Rapportage = mogelijke ingangen voor DDoS aanval = mogelijke aanval GSM/GPRS ATSP = Alarm Transmissie ( Service) Provider? Wie is waar voor verantwoordelijk?

2 1

Ontvanger

Primair

EN 50518

Lite (DP1 / DP2) EN 50136 ATP = Alarm Transmissie Pad

Vodafone GPRS BAV

PN

Secundair PN

2

Ontvanger SCS5000

2 Alarm System

PAC

ASB Beheer

DigiAlarm Box

Sync

accu

1

accu

Router xDSL

EN 50131

Internet provider X

Alarm Gateway

PN

1

NPR8136 VoP: - Alarm transmissie tijd / aankomst tijd - Beschikbaarheid = Rapportage ATSP = Alarm Transmissie Service Provider PN = Private Network is Besloten Alarmtransmissie Verbinding

Ontvanger SCS5000

Primair

EN 50518

soft ware

DP3 / DP4 EN 50136 ATP = Alarm Transmissie Pad

Secundair PN

Vodafone GPRS

PN

2

Ontvanger SCS5000

BAV

2 Alarm System

PAC

ASB Beheer

DigiAlarm Box

Sync

accu

1

accu

PN

KPN Alarm Gateway

PN

1

Ontvanger SCS5000

Primair

BAV

EN 50131

NPR8136 VoP: - Alarm transmissie tijd / aankomst tijd - Beschikbaarheid = Rapportage ATSP = Alarm Transmissie Service Provider PN = Private Network is Besloten Alarmtransmissie Verbinding

EN 50518

soft ware

DP3/DP4 MET Mobitex RAM Mobile Data oplossing EN 50136 ATP = Alarm Transmissie Pad

PN

Mobitex RAM mobile Data

Secundair PN

2

Ontvanger SCS5000

BAV

2 Alarm System

PAC

ASB Beheer

Maatwerk Box

Sync

accu

1

accu

PN

KPN Alarm Gateway

PN

1

Ontvanger SCS5000

Primair

BAV

EN 50131

NPR8136 VoP: - Alarm transmissie tijd / aankomst tijd - Beschikbaarheid = Rapportage ATSP = Alarm Transmissie Service Provider PN = Private Network is Besloten Alarmtransmissie Verbinding

EN 50518

soft ware

Vragen ?

Praktijk AL1 Situatie: • Klant heeft een internetaansluiting (www) • Risico analyse blijkt Alarmtransmissie conform AL1 Oplossing conform NPR 8136: • Keuze uit SP2 (enkel pad) of DP1 (dubbel pad)

Praktijk AL1 Keuze SP2? • • • • •

Internetaansluiting een veilige verbinding? Noodstroomvoorziening Router? Noodstroomvoorziening Overdrager? Congestie beperkende maatregelen? Beschikbaarheid voldoende?

Praktijk AL1 Keuze DP1/2? • Internetaansluiting een veilige verbinding? • Back-up wel een Besloten Alarmtransmissie Verbinding (GPRS via besloten omgeving)? • Noodstroomvoorziening Router / Overdrager? • Congestie beperkende maatregelen? • Beschikbaarheid voldoende?

Praktijk AL1 Twee opties: 1.Eenmalig hardware ± € 500,00 + diensten van derde partij(en) (excl. installatie). 2.Dienst vanuit ATSP* insteek: inclusief: IP-Converter GPRS, GPRS, simkaart exclusief: installatie Primair IP is het Internet van de klant en back-up GPRS behoord een BAV te zijn Eenmalig aanvraag: ± € 75,00 (huidige oplossing PSTN kost nu Per maand: ± € 15,00 ca. € 20,-, + € 10,00 verkeer = € 30 ,- mnd

* Alarm Transmissie Service Provider

Praktijk AL2 Situatie: • Klant heeft een internetaansluiting voor pinnen en logistiek • Risico analyse blijkt Alarmtransmissie conform AL2 (DP3 of DP4)

Oplossing conform NPR 8136: • Keuze uit SP4 (enkel pad) of DP3 (dubbel pad)

Praktijk AL2 Keuze SP4? • Internetaansluiting een Besloten Alarmtransmissie Verbinding? • Noodstroom router/overdrager? • Congestie beperkende maatregelen? • Beschikbaarheid voldoende?

Praktijk AL2 Keuze DP3? • Internetaansluiting een Besloten Alarmtransmissie Verbinding? • Back-up wel een Besloten Alarmtransmissie Verbinding (GPRS via besloten omgeving)? • Noodstroomvoorziening Router / Overdrager? • Congestie beperkende maatregelen? • Beschikbaarheid voldoende?

Praktijk AL2 Twee opties:

1.Eenmalig hardware ± € 500,00 + diensten van derde partij (excl. installatie). 2.Dienst vanuit ATSP* insteek: Inclusief: Alarm IP-Converter, IP Netwerk, GPRS, Simkaart; Exclusief: installatie; Primair IP is een BAV** en back-up GPRS is een BAV**; Eenmalig aanvraag: ± € 269,00; Per maand: ± € 54,90. Oude oplossing: ISDN kosten waren ca. € 33,- mnd + Digi Access Alarm kosten van 38,55 tot 150,- mnd * Alarm Transmissie Service Provider ** Besloten Alarmtransmissie Verbinding

Vragen ?