INFO SECURITY MAGAZINE SCHIJNBAAR ONGEVAARLIJKE FOUT KAN TOCH LEVENSGEVAARLIJK ZIJN HET MALAFIDE SUCCES VAN RANSOMWARE

INFO

JAARGANG 15 - MEI 2016 - WWW.INFOSECURITYMAGAZINE.NL

SECURITY MAGAZINE

‘SCHIJNBAAR ONGEVAARLIJKE FOUT KAN TOCH LEVENSGEVAARLIJK ZIJN’

HET MALAFIDE SUCCES VAN RANSOMWARE SPECIAAL KATERN CONGRES ‘DIGITAAL ZAKENDOEN EN EID’ HET GEVAAR VAN GRATIS SSL-CERTIFICATEN - DE MELDPLICHT DATALEKKEN KAN RANSOMWARE UITBANNEN - WAAROM BANKEN HUN DATA SLIMMER MOETEN INZETTEN VOOR CYBERSECURITY - ‘DE MARKT VRAAGT OM EEN HYBRIDE FOCUS OP IDENTITY & ACCESS MANAGEMENT’ - BLURRY BOX TOONT HACKERS ALLEEN VAAG BEELD VAN CODE - HOE EEN CYBERSEC FIRST RESPONDER (CFR) TEAM BIJDRAAGT AAN EEN ORGANISATIECULTUUR VAN VEILIGHEID - SECURITY AWARENESS PROGRAMMA: ZORG DAT HET WERKT! - ENCRYPTIE VAN DATA ‘IN TRANSIT’ IS SLEUTEL VOOR SLUITENDE INFORMATIEBEVEILIGING

EDITORIAL: ROBBERT HOEFFNAGEL

COLFON Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@ fenceworks.nl.

ICT en Security Trainingen

Uitgever Jos Raaphorst 06 - 34 73 54 24 [email protected] twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 [email protected] twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel Advertentie-exploitatie Mike de Jong 06 - 10 82 59 93 [email protected] Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk ProFeeling

Overzicht trainingen: TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiliging- en cybersecurity trainingen. Security professionals kunnen bij TSTC terecht voor bijna vijftig security trainingen op zowel technisch als tactisch- strategisch gebied. Naast alle bekende internationaal erkende titels is het ook mogelijk diepgang te zoeken in actuele security thema’s.

www.tstc.nl/security

• Certified Ethical Hacker (CEH) • CyberSec First Responder (CFR) • Certified Chief Information Security Officer (C|CISO) • Certified Information Security Manager (CISM) • Certified Information Systems Auditor (CISA) • Certified in Risk and Information Systems Control (CRISC)

• Certified Information Systems Security Professional (CISSP) • Certified Cloud Security Professional (CCSP) • Certified Cyber Forensics Professional (CCFP) • ISO 27001 Lead Implementer • ISO 27001 Lead Auditor

Want security start bij mensen!!

Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 [email protected] © 2016 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.

Meer informatie: www.infosecuritymagazine.nl

Laatst zat ik tijdens een etentje naast een dame. Zij bleek huisarts te zijn, hoog opgeleid dus. Uit haar verhalen maakte ik op dat zij al heel wat van de wereld gezien had. We raakten aan de praat over reizen en verre bestemmingen en daarbij vertelde ik haar hoe blij ik ben met een service als Uber.

Levensgevaarlijk Ik viel even stil toen de dame naast mij aangaf dat zij nog nooit van Uber had gehoord. Nadat ik had uitgelegd hoe Uber werkt, hoe zij een notoir klantonvriendelijke sector op z’n kop hebben gezet, maar ook inconsequente overheden flink te kijk hadden gezet, viel het kwartje bij haar onmiddellijk. Met andere woorden: ze kende het bedrijf niet, maar toen het concept eenmaal was uitgelegd, was ze meteen om. En dat bracht mij tot de conclusie dat wij met z’n allen nog altijd een grote fout maken. Met ‘wij’ bedoel ik dan iedereen die dagelijks in de wereld van infosecurity rond loopt. Wij overschatten namelijk de mate waarin de gebruiker op de hoogte is van alle risico’s van het gebruik van digitale systemen en verbindingen. Hoe onbegrijpelijk dit wellicht voor ons klinkt, men is zich nauwelijks bewust van de gevaren van bijvoorbeeld spam. Of het gebruik van gratis wifi op openbare locaties. En waar wij denken dat iedereen inmiddels wel weet wat ransomware is - nou, vergeet dat dus maar. Dagelijks openen miljoenen mensen e-mails waarvan u en ik denken: dat is overduidelijk spam. De simpele trucjes van facturen in een zip file, aanmaningen of bevestigingen van zogenaamd geplaatste bestellingen het is voor wie dagelijks met dit onderwerp bezig is allemaal heel doorzichtig. Maar bij heel veel mensen ligt dat totaal anders.

Ik heb - denk ik - inmiddels een behoorlijk goed gevoel ontwikkeld voor wat wel eens spam zou kunnen zijn, maar helemaal zeker ben ik daar niet van. En dan heb ik het nog niet eens over alle trackers die ongemerkt op een systeem worden geplaatst en die mijn en uw gedrag op internet in kaart proberen te brengen. En ja, ik gebruik daarnaast ook nog eens een VPN. Maar of het allemaal genoeg is om de key loggers en andere tools van de bad guys buiten de deur te houden? Wie zich eenmaal bewust is van de risico’s, past zijn gedrag aan. Voorlichting is en blijft dus van cruciaal belang. En ik weet het: dat roepen we al minstens 25 jaar. Maar alleen een gebruiker die zich bewust is van de gevaren, zal ook daadwerkelijk zijn gedrag veranderen. Dit gebrek aan bewustzijn is echt een zeer groot probleem. Doe maar eens een zoekactie naar dit onderwerp. Een van de eerste onderzoeken die ik tegenkwam gaf doodleuk aan dat maar liefst 30 (!) procent van de Amerikanen regelmatig spam mails opent - zelfs als zij het idee hebben dat dat mailtje van de bank er toch wel wat anders uitziet dan anders. Ik bedoel maar. ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)

INFOSECURITY MAGAZINE | NR. 2 | MEI 2016 | 3

Inhoud

INFOSECURITY NUMMER 02 - MEI 2016 - JAARGANG 14

8

‘Schijnbaar ongevaarlijke fout kan toch levensgevaarlijk zijn’

WatchGuard CTO Corey Nachreiner maakt dagelijks video’s waarin hij nieuwe hacks, vulnerabilities en andere nieuwe aanvalsmethoden bespreekt. Maar sommige van de hacks die hij bespreekt, zijn niet door gewone cybercriminelen te misbruiken. Toch is het nuttig om van dit soort problemen op de hoogte te zijn, meent hij. Als voorbeeld behandelde hij onlangs een methode om via een probleem met het SS7-protocol mobiele telefoons te hacken. In eerste instantie lijkt een cybercrimineel hier namelijk niets mee te kunnen, maar dat blijkt toch niet helemaal te kloppen.

36

6

VASCO INTRODUCEERT FIDO U2F-GECERTIFICEERDE AUTHENTICATOR

10 Het gevaar van gratis SSL-certificaten 16 Het malafide succes van ransomware

VASCO Data Security International introduceert DIGIPASS SecureClick, een hardware authenticatietoken dat gebruikers volledige toegang biedt tot veelgebruikte online toepassingen met slechts één druk op de knop.

Ransomware heeft zich de afgelopen tijd bewezen als een waardevolle inkomstenbron. Met deze vorm van cybercrime verdienen criminelen bijna letterlijk gouden bergen. “En die winstgevendheid stijgt lineair met de waarde van data”, zegt Dave Maasland, Managing Director van beveiligingsspecialist ESET Nederland. Zijn het gouden tijden voor hackers?

35 Waarom banken hun data slimmer moeten inzetten voor cybersecurity 36 ‘De markt vraagt om een hybride focus op Identity & Access Management’ 38 Blurry Box toont hackers alleen vaag beeld van code 41 Hoe een CyberSec First Responder (CFR) team bijdraagt aan een organisatiecultuur van veiligheid 42 Smart City Event 44 Security awareness programma: zorg dat het werkt!

Ministeries, waterschappen, de zorg en zakelijke dienstverlening. Overal worstelen ze met dezelfde vraag: “Hoe krijg ik mijn medewerkers zover dat ze aantoonbaar veiliger gaan werken?” Deze vraag vormde de rode draad tijdens een Masterclass Security Awareness, verzorgd door Lourens Dijkstra.

46 Fysieke beveiliging en Baseline Informatiebeveiliging Nederlandse Gemeenten 47 Uw data in de wolken u met beide benen op de grond 49 Encryptie van data ‘in transit’ is sleutel voor sluitende informatiebeveiliging 50 Legal Look

SPECIAAL KATERN CONGRES ‘DIGITAAL ZAKENDOEN EN EID’

4 | MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE

12

DE MELDPLICHT DATALEKKEN KAN RANSOMWARE UITBANNEN 12

38

16

42

35

Ransomware is een plaag voor alle bedrijven en personen die aan internet gekoppeld zijn met een pc of een smartphone. Helemaal sinds cryptoware een stevig percentage van ransomware uitmaakt, is de beer los. Het heeft er sterk de schijn van dat iedereen vroeg of laat slachtoffer zal worden van een stuk malware dat de pc en alle bestanden daarop gijzelt tegen betaling van losgeld. Althans: zo lijkt het. Sinds het I Love You-virus is er in de media niet meer zoveel aandacht geweest voor één bepaald soort malware. Als je niet over verregaande inzichten in de malware-industrie beschikt, zou je geloven dat er vandaag de dag alleen nog maar ransomware is. Malware die iets anders doet, daar hoor of lees je nooit meer iets over.


AUTHENTICATIETOKEN

VOOR GEBRUIK MET POPULAIRE ONLINE TOEPASSINGEN

Identity & Access Management Heeft u al de controle over gebruikers, devices data en toegangen? Vooorkom identiteitsfraude, ongewenste toegang tot data en applicaties, inefficiëntie en hoge kosten. Begin goed bij de basis met Identity & Access Managment.

VASCO introduceert FIDO U2F-gecertificeerde authenticator

VASCO Data Security International introduceert DIGIPASS SecureClick, een hardware authenticatietoken dat gebruikers volledige toegang biedt tot veelgebruikte online toepassingen met slechts één druk op de knop. DIGIPASS SecureClick is ontwikkeld naar FIDO U2F-specificaties om te voldoen aan de missie van de FIDO Alliance (Fast IDentity Online) om een hoger veiligheidsniveau te realiseren voor online gebruikers. Dit gebeurt door middel van standaarden voor sterke authenticatie die verder gaan dan een te kraken statisch wachtwoord. DIGIPASS SecureClick is FIDO-gecertificeerd en communiceert via Bluetooth Low Energy (BLE) of een usb-poort. Het toestel is gebruiksvriendelijk en heeft de grootte van een muntstuk. DIGIPASS SecureClick biedt de bewezen veiligheid van tweefactorauthenticatie in een heel draagbaar apparaatje.


Consumenten en zakelijke gebruikers profiteren met DIGIPASS SecureClick van de meest eenvoudige en veilige toegangservaring. Na het starten van een applicatie die FIDO U2F ondersteunt, voert de gebruiker de inloggegevens in en drukt op de knop van de DIGIPASS SecureClick om het authenticatieproces te voltooien. Het proces maakt gebruik van een versleuteld communicatiekanaal tussen de DIGIPASS SecureClick en het BLE-apparaat en levert zo eenvoudige, veilige en snelle gebruikersauthenticatie. Jan Valcke, President & COO van VASCO Data Security: “DIGIPASS SecureClick is een belangrijke innovatie die een optimale balans biedt tussen applicatiebeveiliging en een naadloze gebruikerservaring. We hebben met onze authenticatieoplossingen al jaren veel succes in het bankwezen en we zijn erg enthousiast dat we nu de visie van de FIDO Alliance kunnen ondersteunen met een sterkere be-

veiliging van een breder aanbod van online toepassingen.” “Het behalen van de FIDO-certificering is een mijlpaal die laat zien hoe VASCO de visie van de FIDO Alliance voor open en uitwisselbare sterke authenticatie ondersteunt”, zegt Brett McDowell, Executive Director van de FIDO Alliance. “Door het gebruik van FIDO-gecertificeerde producten zoals DIGIPASS SecureClick hebben consumenten toegang tot toepassingen die ondersteund worden door de FIDO U2F-standaard, waaronder Google, Dropbox en GitHub, met een sterke authenticatie die ontzettend handig in gebruik is.”

FIDO Alliance FIDO - Fast IDentity Online - werd opgericht in 2012 en is een samenwerkingsverband waarvan vele vooraanstaande ICT en financiële bedrijven, zoals VASCO Data Security, Microsoft, Google, Bank of America en VISA, lid zijn. FIDO stelt zich tot doel om het gebrek aan comptabiliteit tussen de technologieën van authenticatie en gezichtsherkenning te verhelpen. Daarnaast wil FIDO het probleem rondom het onthouden van meerdere gebruikersnamen en wachtwoorden aanpakken. FIDO Alliance verandert de aard van authenticatie door normen voor eenvoudigere en sterkere authenticatie te definiëren met een open, schaalbare, interoperabele werkwijze, die de afhankelijkheid van wachtwoorden verminderen. FIDO authenticatie is sterker, persoonlijk en gemakkelijker in het gebruik bij de authenticatie van online services. Meer info op: https://fidoalliance.org/

WWW.IONIT.NL INFOSECURITY MAGAZINE | NR. 2 | MEI 2016 | 7

ANALYSE bruik maakt zit in een protocol genaamd SS7. Die benaming zal bij het gros van de lezers van Infosecurity Magazine waarschijnlijk geen belletje doen rinkelen. Het gaat om een zogeheten ‘carrier protocol’. Wie het opzoekt op Wikipedia komt de volgende omschrijving tegen: ‘Signalling System No. 7 (SS7) is a set of telephony signalling protocols developed in 1975, which is used to set up and tear down most of the world’s public switched telephone network (PSTN) telephone calls. It also performs number translation, local number portability, prepaid billing, Short Message Service (SMS), and other mass market services’.

COREY NACHREINER VAN WATCHGUARD IN ANALYSE VAN SS7-HACK:

‘Schijnbaar ongevaarlijke

fout kan toch levensgevaarlijk zijn’ WatchGuard CTO Corey Nachreiner maakt dagelijks video’s waarin hij nieuwe hacks, vulnerabilities en andere nieuwe aanvalsmethoden bespreekt. Maar sommige van de hacks die hij bespreekt, zijn niet door gewone cybercriminelen te misbruiken. Toch is het nuttig om van dit soort problemen op de hoogte te zijn, meent hij. Als voorbeeld behandelde hij onlangs een methode om via een probleem met het SS7-protocol mobiele telefoons te hacken. In eerste instantie lijkt een cybercrimineel hier namelijk niets mee te kunnen, maar dat blijkt toch niet helemaal te kloppen. Nachreiner behandelde medio april een incident waarbij een lid van het Amerikaanse congres - Ted Lieu - werd gehackt. Of beter gezegd: zijn mobiele 8 | MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE

telefoon. Het incident werd breed uitgemeten op de Amerikaanse televisie, ook al werd hierbij gebruik gemaakt van een probleem in een protocol dat in ICT-termen gerust stokoud mag worden genoemd. Het gaat namelijk om het SS7-protocol, dat stamt uit 1975.

Prime time tv Waar gaat het precies om? Een Duitse wetenschapper - Karsten Nohl van het in Duitsland gevestigde Security Research Labs - was er in geslaagd om een technisch probleem met SS7 te benutten om toegang te krijgen tot de telefoon van dit congreslid. Het enige dat hij hiervoor nodig had, was het telefoonnummer van de man. Vervolgens kon hij precies vaststellen waar dit congreslid zich geografisch bevond, kon hij meeluisteren met alle telefoonge-

Het gaat dus om een protocol dat uitsluitend door telefoniebedrijven wordt gehanteerd. Voor een cybercrimineel is het onmogelijk om toegang tot dit protocol te krijgen, stelt Nachreiner. Sterker nog, Nachreiner geeft aan dat om zijn hack te kunnen doen, Nohl van een Duitse carrier speciaal voor dit project toegang tot SS7 heeft gevraagd en gekregen. Maar toen Nohl eenmaal toegang tot dit protocol had, was het ook meteen raak en had hij volledige toegang tot de mobiele telefoon van Ted Lieu en kon hij continu diens locatie vaststellen, gesprekken volgen en sms-berichten lezen. sprekken en kon hij alle sms-berichten die verstuurd werden vanaf of naar dit nummer bekijken. Het was een slimme zet van Nohl, want de hack leek angstaanjagend simpel (alleen een telefoonnummer is voldoende) terwijl het ook nog eens om een congreslid ging. Kortom, het incident was goed voor 12 minuten ‘prime time television’ in de Verenigde Staten.

‘Nation states’ Nohl heeft daarmee zijn punt gemaakt: hij heeft aangetoond dat via het probleem met SS7 volledige toegang tot een mobiele telefoon kan worden verkregen, waarbij men enkel en alleen het telefoonnummer behoeft te weten. Maar

'Als cybercriminelen worden gesteund door een overheid, dan ontstaat een serieus en levensgevaarlijk probleem'

ook is duidelijk, zo geeft Nachreiner in zijn videobespreking aan, dat cybercriminelen hier niets mee kunnen. ‘Heeft het hele project van Nohl dan eigenlijk wel nut gehad?’, lijkt vervolgens de terechte vraag. Nachreiner vindt van wel. Want naast cybercriminelen kennen we natuurlijk ook nog het fenomeen ‘nation states’. Als cybercriminelen worden gesteund door een overheid en die overheid dwingt - bijvoorbeeld de nationale telco ertoe om deze ‘state sponsored hackers’ toegang te geven tot SS7, dan ontstaat een serieus en levensgevaarlijk probleem. Waar Nachreiner dus aangeeft dat - zeg maar - gewone cybercriminelen weinig kunnen met de exercitie van Nohl, zullen bij menig telco én veiligheidsdienst wel degelijk de alarmbellen stevig zijn afgegaan. ROBBERT HOEFFNAGEL

Nachreiner relativeert de ernst van dit incident echter. Sterker nog, hij gebruikt dit voorbeeld om duidelijk te maken dat er soms technische problemen met bepaalde software of protocollen kunnen bestaan die weliswaar tot onbedoeld gebruik kunnen leiden, maar die technisch zo complex of voor criminelen zo onbereikbaar zijn, dat op papier inderdaad sprake is van een ernstige situatie, terwijl de hack zelf eigenlijk niet uitvoerbaar is.

Wat regelt SS7? Hoe zit het met dit Duitse voorbeeld? Het probleem waarvan Karsten Nohl ge-

Corey Nachreiner INFOSECURITY MAGAZINE | NR. 2 | MEI 2016 | 9

CERTIFICATEN aanvalspogingen te verbergen in versleuteld verkeer.

Amazon ACM beveiligt geen encryptie en verhoogt evenmin de beveiliging van een organisatie

gevaar

Het van gratis SSL-certificaten In januari heeft Amazon Web Services (AWS), de cloud computing divisie van deze e-commerce gigant, AWS Certificate Manager (ACM) geïntroduceerd. De reden daarvoor is het feit dat SSL/TLS-certificaten die vaak worden gebruikt voor het beveiligen van de Amazon Web Services veel tijd kosten om uit te geven, te installeren en te beheren. Daardoor beperken ze de toepassing ervan.

ACM reduceert de complexiteit van SSL/TLS-certificaatmanagement door certificaten rechtstreeks via Amazon’s certificate authority (CA) en Amazon Trust Services (ATS) uit te geven. Dat is een grote stap voor Amazon, omdat zij daarmee de CA-markt betreden. Hoewel de nieuwe service eerst alleen in de 10 | MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE

Verenigde Staten wordt geleverd, is het Amazon’s ambitie dit aanbod wereldwijd uit te rollen. ACM is een mooi initiatief voor alle bedrijven die snel transacties willen versleutelen en beveiligen binnen de Elastic Load Balancers (ELC) en/of CloudFront (CF) omgevingen. Verder zijn de ACM-certificaten gratis, wat een trend lijkt te worden naarmate de markt beweegt naar 100% encryptie van alle online transacties en communicatie. In tegenstelling tot andere CA’s is het echter niet ACM’s ambitie met hen te gaan concurreren, omdat het niet hun business is certificaten te verkopen. Ze willen alleen de mogelijkheid bieden snel en eenvoudig extra beveiliging aan AWS toe te voegen. Dat is goed voor de cloud-business en kan ertoe leiden dat alle CA’s binnenkort gratis domain gevalideerde (DV) certificaten gaan leveren.

Gratis encryptie beveiligt niet uw sleutels en certificaten Als Amazon ACM certificaten uitgeeft, worden de bijbehorende private sleutels in de cloud bewaard. Elke organisatie neemt een groot risico als zij private sleutels op een andere locatie bewaren dan op een hardware security module (HSM). Dat risico neemt toe naarmate die sleutels verder van het bedrijf worden bewaard, vandaar dat opslag in de cloud extra risicovol is. Wie dit toch doet vertrouwt erop dat degene die zo’n sleutel opslaat en bewaart daar als enige toegang toe heeft. Encryptiesleutels in de cloud bewaren zien mensen met verkeerde intenties het liefst gebeuren (hackers of ontevreden medewerkers), omdat ze daar eenvoudiger te stelen zijn. Als een sleutel eenmaal gestolen is, kan men die verkopen via het Darknet, of misbruiken. Naarmate er meer gratis certificaten worden uitgegeven verzwakt de Internet-beveiliging. Criminelen zullen ze namelijk in toenemende mate gaan gebruiken om

Het voordeel van de vereenvoudigde encryptie voor Amazon AWS services is groot, maar gaat helaas wel ten koste van de veiligheid. Alle door ACM uitgegeven sleutels en certificaten worden namelijk bewaard binnen de Amazon AWS cloud, om ze eenvoudiger te beheren. Het risico daarvan is dat criminelen alleen maar toegang hoeven te krijgen tot een AWS omgeving. Eenmaal binnen kunnen ze namelijk zelf vervalste sleutels en certificaten gaan gebruiken om via versleutelde verbindingen onzichtbaar te blijven. Een ander groot risico is dat wanneer er bij de Amazon CA wordt ingebroken, geen snelle oplossing beschikbaar is om gecompromitteerde sleutels en certificaten in te trekken (daarvoor is namelijk een Amazon service case nodig). Ook is er geen automatische back-up naar een tweede CA, zoals het NIST aanbeveelt. Het is niet de doelstelling van Amazon ACM certificaten beter te beveiligen, of te gaan concurreren met andere CA’s. Ze vereenvoudigen alleen de uitgifte en beheer van sleutels en certificaten voor gebruik in de AWS Cloud. Helaas laten ze daarbij ook steken vallen. ACM geeft haar gebruikers bijvoorbeeld geen inzicht in certificaten die zijn uitgegeven door andere CA’s, terwijl de eigen certificaten voor zover nu bekend niet voor andere services te gebruiken zijn dan AWS Elastic Load Balancing of Amazon CloudFront. Verder is de levensduur beperkt tot 13 maanden, waarna ze zonder berichtgeving en inzicht worden vernieuwd. Amazon vereist zelfs dat gebruikers een service case openen als ze er geen gebruik meer van willen maken. ACM-gebruikers hebben ook geen mogelijkheid onbekende certificaten te identificeren en te registreren, of invloed uit te oefenen op de policies voor certificaatmanagement. Door alle certificaten in de AWS-cloud op te slaan ontstaat er voor mensen met verkeerde intenties een interessante kans. Niet dat bedrijven daarom geen gebruik moeten maken van Amazon ACM. Wie op AWS vertrouwt voor snelle schaalbare cloud-resources, wil graag dat zijn transacties snel en veilig

'Encryptiesleutels in de cloud bewaren zien mensen met verkeerde intenties het liefst gebeuren (hackers of ontevreden medewerkers), omdat ze daar eenvoudiger te stelen zijn' worden versleuteld. Daarbij moeten ze echter beseffen dat alleen het gebruik van ACM onvoldoende beveiliging biedt voor de gebruikte sleutels en certificaten, waardoor ze een bewust risico op inbraak of misbruik lopen. Uit reacties van certificaatspecialisten blijkt dat het slechts een kwestie van tijd is voordat criminelen erin slagen om de gratis AWS-certificaten te gaan misbruiken. Om zich te verbergen in versleuteld verkeer en onzichtbaar gevoelige informatie te stelen. Hoewel de AWS-certificaten een uitkomst lijken om snel apps en services te bouwen, kunnen ze niet de benodigde beveiliging bieden die Global 5000 ondernemingen nodig hebben. NICK HUNTER, Senior Technical Manager, Venafi


RANSOMWARE

De

Meldplicht

Datalekken kan ransomware uitbannen Ransomware is een plaag voor alle bedrijven en personen die aan internet gekoppeld zijn met een pc of een smartphone. Helemaal sinds cryptoware een stevig percentage van ransomware uitmaakt, is de beer los. Het heeft er sterk de schijn van dat iedereen vroeg of laat slachtoffer zal worden van een stuk malware dat de pc en alle bestanden daarop gijzelt tegen betaling van losgeld. Althans: zo lijkt het. Sinds het I Love You-virus is er in de media niet meer zoveel aandacht geweest voor één bepaald soort malware. Als je niet over verregaande inzichten in de malware-industrie beschikt, zou je geloven dat er vandaag de dag alleen nog maar ransomware is. Malware die iets anders doet, daar hoor of lees je nooit meer iets over.

Als je naar wat statistieken hierover kijkt, kom je al snel tot de conclusie dat ransomware slechts een klein percentage van alle malware in de wereld uitmaakt. In 2015 zelfs minder dan 1% (1). Het lijkt erop dat dat aandeel groeiende is, maar het is zeker dat ‘gewone’ malware nog altijd ruimschoots in de meerderheid is. Toch hebben IT-beheerders bij bedrijven en bij automatiseerders schijnbaar alleen nog maar oog voor ransomware en zijn er veel klachten over het feit dat niet alle ransomware door alle beveiligingsproducten even goed worden tegengehouden. Een verklaring voor dit verschijnsel zou kunnen worden gevonden in een hoger besmettingspercentage van ransomware. Maar is dat wel zo? Nee, zeggen de malware-experts. Ransomware maakt gebruik van dezelfde (social engineering) technieken, zwakke plekken en exploits als alle andere malware. Uiteraard bestaat er simpele malware, die gemakkelijk kan worden tegengehouden. Maar er bestaat ook simpele ransomware die gemakkelijk wordt tegengehouden. Veel ransomware is relatief nieuw en maakt gebruik van relatief nieuwe beveiligingslekken, waar veel andere malware relatief oud is en gebruik maakt van oude beveiligingslekken, die relatief vaker al gepatcht zijn. Maar er is ook heel veel nieuwe malware, die gebruik maakt van dezelfde nieuwe beveiligingslekken als ransomwa12 | MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE


SECURITY-TRENDS

re. Dat niet alle malware wordt tegengehouden door antivirussoftware is dan ook geen nieuws. Voor de meeste merken ligt het detectiepercentage van nog onbekende malware (de zogenaamde proactieve detectie) tussen de 60% en 90%. Voor reeds bekende malware (reactieve detectie) liggen de detectiepercentages tussen de 75% en de 99,9% (2). Deze percentages gelden dus voor zowel ransomware als voor alle andere malware. Het is dan ook bij nagenoeg alle systeembeveiligers bekend dat het installeren en updaten van een antimalware een goede eerste stap is, maar dat het daar niet bij moet blijven. Het up-todate houden van álle software op het netwerk, door het uitvoeren van patches en het upgraden naar nieuwe versies, is minstens zo belangrijk. Een geweldig voorbeeld hiervoor is ons onlangs gegeven door de affaire die bekend staat als de ‘Panama Papers’. Het juridisch kantoor uit Panama dat te maken kreeg met ’s werelds omvangrijkste datalek, maakte op talloze vlakken gebruik van oude, ongepatchte systemen, die het gehele

systeem volledig open zette voor malware en hackers (3). Misschien heeft de grote aandacht voor ransomware te maken met het aantal mensen dat weet dat een infectie heeft plaatsgevonden. Meestal wanneer er een trojaan of keylogger op het bedrijfsnetwerk wordt aangetroffen, weet alleen de systeembeheerder van de infectie af. De meeste malware heeft immers tot doel om eerst eens ongemerkt kopietjes te maken van alle interessante bestanden op het systeem om die naar het moederschip te sturen en vervolgens zo lang mogelijk onopgemerkt op het netwerk te blijven rondhangen. Dan kan de malware de rekenkracht van de pc’s binnen het netwerk inzetten in een botnet, waarmee DDoS-aanvallen kunnen worden gepleegd, waarmee spam kan worden verspreid en waarmee wachtwoorden met brute force kunnen worden gekraakt. Hoe langer de malware daar kan blijven zitten, hoe lucratiever de oorspronkelijke tijdsinvestering van het schrijven en verspreiden van de malware. Het is om die reden dat (succesvolle)

(1) https://securelist.com/analysis/kaspersky-security-bulletin/73038/ kaspersky-security-bulletin-2015-overall-statistics-for-2015/ (2) https://www.virusbulletin.com/testing/vb100/latest-rap-quadrant/ (3) http://www.wired.com/2016/04/security-week-panama-papers-law-firmseriously-shoddy-security/ (4) https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/ files/beleidsregels_meldplicht_datalekken.pdf (5) https://www.security.nl/posting/466908/AP+ontvangt+1000+ meldingen+over+datalekken (6) http://www.computerweekly.com/news/450280745/PanamaPapers-stolen-by-hackers-says-Mossack-Fonseca 14 | MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE

Eddy Willems malware-infecties nauwelijks opvallen. De medewerkers van een bedrijf zullen er in de regel niets van merken. Dat ligt uiteraard anders bij ransomware. Bij een besmetting met ransomware, kan niemand binnen het bedrijf nog bij zijn bestanden en in de regel kan niemand zijn werkzaamheden nog uitvoeren. De kans dat het nieuws over een dergelijke besmetting uiteindelijk ˈuitlekt, is uiteraard veel groter. Toch is daarmee het verschijnsel nog niet volledig verklaard. Het meeste nieuws dat openbaar wordt over ransomware-besmettingen, wordt niet zozeer door loslippige medewerkers de wereld ingebracht. Het zijn meestal ook echt de IT-afdelingen die dergelijk nieuws met derden bespreken. Ik denk dat dat te maken heeft met sociale acceptatie. Het werkt ongeveer zo: je hoort niemand erover dat een bepaalde banktrojaan op een zakelijk netwerk is aangetroffen. Als je als IT Manager ziet dat die banktrojaan op jouw systeem staat, kan dat eigenlijk maar één ding betekenen: je bent laks geweest. Je hebt een

bepaalde patch niet op tijd uitgevoerd en nu is die banktrojaan uitgerekend op jouw netwerk binnengekomen. Je concurrenten en mede-ondernemers zijn veel verstandiger, want die hebben geen last van deze banktrojaan. Uit pure schaamte en angst voor een slechte reputatie besluit je de besmetting dood te zwijgen. En zo ondergaat de volgende die een besmetting met die banktrojaan oploopt, hetzelfde denkproces. Bij ransomware is deze spiraal doorbroken, wellicht met behulp van minder discrete medewerkers die het nieuws aan de grote klok hebben gehangen. In ieder geval lijkt het nu nog nauwelijks een issue te zijn om ervoor uit te komen dat je netwerk door ransomware is gegijzeld. Er zijn al zoveel voorbeelden van dit soort infecties bij andere bedrijven, dat we ons niet meer de enige sukkel voelen. En dat terwijl er precies dezelfde fouten aan ten grondslag liggen, zoals te late installatie van patches, het niet effectief filteren van e-mailbijlages en onvoldoende informeren van de medewerkers over de gevaren van links in e-mails, valse

facturen en zip-files als bijlagen. Eerder haalde ik Mossack Fonseca, het juridisch kantoor van de Panama Papers al even aan. Voor velen voelt die zaak heel anders aan dan een besmetting met de ransomware waar de accountant op de hoek mee te maken krijgt. Maar in de ogen van de wet is er geen verschil. Meestal wordt voor een hack malware ingezet. Een keylogger stelt een cybercrimineel in staat om inloggegevens te stelen met behulp van geregistreerde toetsaanslagen. Een Exploit kan misbruik maken van een zwakke plek in de software die gebruikt wordt, waarmee een database rechtstreeks kan worden benaderd. Een Remote Access Tool geeft een cybercrimineel op afstand de volledige controle over een pc of een mobiel apparaat, waarmee data gemakkelijk kunnen worden gestolen. In veel gevallen kan niet worden vastgesteld dat er gegevens zijn gestolen. De enige indicatie dat dit mogelijk kan zijn gebeurd, is de aanwezigheid van malware op het netwerk. Het is dan ook zeer terecht dat de Au-

toriteit Persoonsgegevens in zijn richtlijn datalekken stelt dat bij een infectie met malware moet worden verondersteld dat een datalek kan zijn opgetreden. Met andere woorden: een infectie met malware moet worden behandeld als een datalek en moet dan ook altijd worden gemeld aan de Autoriteit Persoonsgegevens (4). De nieuwe openheid van ondernemingen over besmettingen met ransomware geeft wel te denken over de naleving van de Meldplicht Datalekken op dit punt. Volgens de Autoriteit Persoonsgegevens werden er in het eerste kwartaal van 2016 iets meer dan 1000 meldingen van datalekken gedaan (5). Als ik alleen al nadenk over hoeveel Nederlandse ondernemingen ik, als één persoon, al heb horen klagen over ransomware en ik houd rekening met het feit dat ransomware slechts 1% van alle malware is, dan weet ik zeker dat besmettingen met malware - of het nou om ransomware of om andere malware gaat - nauwelijks worden gemeld. Nu komen bedrijven niet graag uit voor verwijtbare fouten. En een malware-infectie en/of datalek is bijna altijd terug te voeren op één of meerdere verwijtbare fouten. Bij Mossack Fonseca is het datalek in de publiciteit gekomen en de eerste reactie van het bedrijf is om een externe hacker de schuld te geven dat die de wet heeft overtreden (6). Dat Mossack Fonseca zelf een verantwoordelijkheid heeft om informatiebeveiliging als serieuze taak op te vatten, wordt in alle toonaarden ontkend. In Nederland is het ook nog steeds denkbaar dat bedrijven die een datalek niet melden zich met dergelijke argumenten verdedigen. ‘Wist ik niet’ of ‘begrijp ik niet’ liggen op de loer. Het is naar mijn idee dan ook hoog nodig dat de Autoriteit Persoonsgegevens begint met het uitdelen van boetes aan bedrijven die de verplichte meldplicht van datalekken (inclusief malware-infecties) niet naleven. Pas wanneer het pijn gaat doen in portemonnees, gaat informatiebeveiliging pas echt een prioriteit worden bij ondernemers. En als informatiebeveiliging en IT-beveiliging een prioriteit worden, zullen we vanzelf een daling van het aantal infecties met ransomware en andere malware gaan zien. EDDY WILLEMS, Security Evangelist bij G DATA


RANSOMWARE

Het malafide

succes van ransomware Ransomware heeft zich de afgelopen tijd bewezen als een waardevolle inkomstenbron. Met deze vorm van cybercrime verdienen criminelen bijna letterlijk gouden bergen. “En die winstgevendheid stijgt lineair met de waarde van data”, zegt Dave Maasland, Managing Director van beveiligingsspecialist ESET Nederland. Zijn het gouden tijden voor hackers? Grof gezegd is ransomware, in sommige kringen ook wel crypto-ransomware genoemd, de digitale equivalent van een ontvoering. Zijn bij de analoge variant van deze misdaad mensen doorgaans het wisselgeld, bij ransomware is data het waardevolle ruilmiddel. “Ransomware versleutelt gegevens van het slachtoffer dusdanig grondig dat je het als verloren kunt beschouwen. Tenzij je bereid bent het losgeld te betalen, vaak een bedrag in Bitcoins. Hoewel je dan – net als bij een analoge criminele transactie – nog maar moet afwachten of je ook daadwerkelijk de ‘sleutel’ krijgt waarmee je de data weer kunt ontcijferen”, legt Maasland uit. “Toch zijn veel organisaties bereid het losgeld te betalen, omdat hun gegevens vaak vele malen meer waard zijn.” De schade van een dergelijke aanval is vaak substantieel, net als de opbrengsten voor cybercriminelen. Berucht is de ransomware Cryptowall, familie van het eveneens beruchte CryptoLocker. Deze malware leverde een groep cybercriminelen een slordige 325 miljoen euro op. Er bestaan geen officiële cijfers van de schade voor het bedrijfsleven, maar voorzichtige schattingen gaan richting miljarden euro’s. Maasland: “Het treft hen namelijk in het hart: in de steeds groter groeiende afhankelijkheid van data. Trends als het Internet of Things, met zijn miljoenen connected devices, zorgen voor

een enorme data-aanwas en vergroten daarmee de afhankelijkheid van die gegevens. En met die afhankelijkheid groeit ook het gevaar van ransomware.”

Vernuftige aanvallen De aanvallen zelf worden ook steeds vernuftiger. Ransomware sluipt ongemerkt binnen via bijvoorbeeld phishing en spam. Dat zijn aloude technieken, maar de uitvoering daarvan wint de laatste tijd sterk aan kwaliteit. “Waar e-mails voorheen vaak nog bol stonden van taalfouten, zijn deze steeds vaker netjes opgesteld in de taal van de ontvanger en soms zelfs geheel op de persoon afgestemd”, licht Maasland toe. “Door social engineering-technieken verkrijgen aanvallers cruciale informatie over het slachtoffer die zij vervolgens misbruiken in vertrouwenwekkende e-mails. Dat maakt ransomware-aanvallen lastiger te herkennen, wat het gevaar van een besmetting vergroot.” Volgens Maasland is een goede awareness onder het personeel nog altijd cruciaal. “Gebruikers zouden regelmatig awarenesstrainingen moeten krijgen, met bijvoorbeeld nep-phishingmails. Een goede bewustwording is een van de belangrijkste, zo niet hét belangrijkste wapen tegen ransomware”, benadrukt hij.

Steeds breder De aanvallen treffen bovendien een steeds breder publiek. Waren voorheen vooral Windows-gebruikers het slachtoffer, inmiddels lopen met respectievelijk de introductie van Keranger en Linux.Encoder.1 ook Mac- en Linux-systemen gevaar. Ook Android-gebruikers hebben wat ransomware betreft hun zorgeloosheid verloren. Malware als Cryptolocker/Simplocker en Android/Lockerpin.A. richten zich zelfs specifiek op de enorme hoeveelheid aan Android-apparatuur die momenteel in gebruik is. “Dat maakt van ransomware een bedreiging voor vrijwel alle digitale systemen”, zegt Maasland.

Malware als dienst

Dave Maasland 16 | MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE

Ransomware is bovendien niet langer het speeltje van malafide techneuten. Cybercriminelen hebben eenvoudige tools en dienstverlening beschikbaar gesteld op het ‘dark net’, zodat de aanvallen beschikbaar zijn voor een breed kwaadwillend publiek. Maasland: “Iedereen die het niet zo nauw neemt met regels en ethiek kan via deze middelen geld verdienen. Het behoeft geen verdere toelichting dat deze ‘democratisering’ van ransomware de populariteit en de kwantiteit van de aanvallen verder vergroot.” INFOSECURITY MAGAZINE | NR. 2 | MEI 2016 | 17

RANSOMWARE Specifieke branches lopen daarbij extra gevaar. Maasland haalt het onderwijs aan als voorbeeld. “Leerlingen bewezen eerder hoe gemakkelijk DDOS-aanvallen zijn uit te voeren, met behulp van eenvoudige ‘tooltjes’. Scholen lopen daarbij gevaar, want de leerlingen zijn een explosief vat van experimenteerdrift en onvolwassenheid kan leiden tot incidenten. En waarbij DDOS-aanvallen primair gericht zijn op het veelal tijdelijk platleggen van IT-diensten, heeft ransomware een kwaadaardiger doel: het saboteren van data en het afpersen van de organisatie.” Daarnaast spelen volgens hem de complexe onderwijsnetwerken een rol. “Iedere dag loggen duizenden gebruikers in en uit met allerhande apparatuur. Beheerders van dergelijke netwerken moeten dan ook meer dan ooit in staat zijn dergelijke aanvallen te herkennen en gevaren tijdig kunnen indammen voor het verder verspreid.” Volgens SURFnet werd vorig jaar iedere dag wel een school getroffen door dergelijke DDOS-tools. “We moeten er rekening mee houden dat leerlingen dergelijke eenvoudige tools ook kunnen inzetten voor het opzetten van ransomware-aanvallen”, zegt Maasland.

Criminele exploitatie Er is bovendien nog een gevaar aan dit nieuwe as-a-service-model. Omdat ransomware geld oplevert, is het servicemodel ook exploiteerbaar door cybercriminelen. “Auteurs van ransomware kunnen via een soort piramidesysteem andere hackers inschakelen met de door hen ontwikkelde malware”, legt Maasland uit. “Zij maken tegen betaling gebruik van de malware en verdelen zo de winst. Het maakt de aanval zo niet alleen uitermate lucratief voor de ‘lone wolfs’, maar ook voor grootschalige, goed georganiseerde criminele netwerken.” Maar er zijn meer manieren waarop cybercriminelen samenwerken met en aan ransomware. Vorig jaar is de eerste open source malware gespot, waarvan de broncode dus vrij toegankelijk was. Op de bekende open source ontwikkelaarshub GitHub verscheen ‘Hidden Tear’. Deze volledig functionele ransomware was volgens de initiële makers ‘slechts bedoeld voor educatieve doeleinden’. Deze aanbeveling is echter geen garantie dat de malware ook daadwerkelijk alleen daarvoor wordt ingezet. “Natuurlijk geeft open broncode bevei-

ligingsexperts de mogelijkheid om de aanvalsmechanismen beter en sneller te doorgronden. Maar het geeft tegelijkertijd cybercriminelen de mogelijkheid zeer efficiënt kennis te delen en samen te werken aan steeds geavanceerdere

malware”, verduidelijkt Maasland. “Dat vergroot de noodzaak bij overheden en het bedrijfsleven om in minstens dezelfde mate en intensiteit samen te werken en kennis te delen.”

Wat te doen tegen ransomware? 1. De organisatie op orde Gelukkig zijn er op organisatieniveau absoluut maatregelen mogelijk om de kans op een ransomware-aanval te beperken en eventuele schade te minimaliseren. Allereerst is een degelijke situational awareness onmisbaar. Weet welke data überhaupt in de organisatie bestaat, waar deze bestaat en wie de ‘owners’ hiervan zijn. Een degelijk Incident Response Plan is ook voor ransomware-aanvallen waardevol. Zeker met de aangescherpte meldplicht datalekken in het achterhoofd is het goed te weten bij wie welke taken en verantwoordelijkheden liggen op het moment dat een aanval wordt ontdekt.

CONGRES DIGITAAL ZAKENDOEN & EID 2016 WWW.DIGITAAL-ZAKENDOEN.NL

2. Back-up is onmisbaar Absoluut onmisbaar in de beveiligingsstrategie tegen ransomware is een actuele, betrouwbare back-up van alle relevante bedrijfsdata. Wanneer ransomware gegevens hermetisch versleutelt, is het terugzetten van een back-up van die data de meest voor de hand liggende en meest effectieve methode om de schade te minimaliseren. Het voorkomt dat de organisatie grote sommen geld moet neerleggen om weer bij de data te kunnen. Dat vereist een back-updiscipline en dito technische voorzieningen om dit te realiseren. Organisaties moeten daarbij goed beseffen dat data tegenwoordig niet enkel meer op de bestandserver staat. Data is meer dan ooit aanwezig op allerlei (mobiele) devices, in cloudomgevingen en bijvoorbeeld oplossingen voor relatiebeheer en data warehousing. Een back-upvoorziening moet hiermee overweg kunnen.

3. Technische beveiligingsmaatregelen Verder is het belangrijk dat de technische beveiliging van organisaties op orde is. Voorzieningen als een intelligente firewall en bijgewerkte netwerken endpoint-beveiligingssoftware zijn onmisbaar. Uiteraard zijn dergelijke voorzieningen niet specifiek bedoeld voor het stoppen van ransomware, maar voor malware in het algemeen. Endpoint-security en firewall vormen een stevige tandem tegen ransomware: mocht de malware onverhoopt langs de endpoint-laag glippen, dan kan de firewall de communicatie met de Command & Control-server van de aanvaller alsnog onderscheppen.

Digital Identity and e-Business 2016

4. Strikt updatebeleid Een strikt updatebeleid is in alle gevallen noodzakelijk: firmware, software en besturingssystemen moeten altijd voorzien zijn van de laatste updates. Dat voorkomt het risico op aanvallen die misbruik maken van reeds gepatchte kwetsbaarheden.

5. Specifieke aandacht voor de mailserver Verder vereisen e-mailbijlagen en eventuele spamfilters specifieke aandacht. Veel ransomware komt binnen via een e-mail met daarin een bijlage. Deze bijlage is bij een ransomware-aanval vaak een executable, een uitvoerbaar bestand met de .EXE-extensie. Ook komt het regelmatig voor dat de malware in een ZIP-archief de organisatie binnenkomt. Mailservers kunnen met de blokkade van beide bestandstypen veel leed voorkomen.

5. Creëer bewustwording

Datum: woensdag 15 en donderdag 16 juni 2016 Locatie: Postillion Hotel Bunnik Kennispartners: EAB PI-Lab

VVBI

Tenslotte zijn en blijven mensen de zwakste schakel van iedere IT-beveiligingsstrategie. Alleen met goede mix van gezond verstand en awareness-trainingen is dit risico te minimaliseren.


‘Dit congres wordt georganiseerd door


CONGRES DIGITAAL ZAKENDOEN & EID

DATUM: WOENSDAG 15 EN DONDERDAG 16 JUNI 2016 / LOCATIE: POSTILLION HOTEL BUNNIK

CONFERENTIE / CONFERENCE Digital Zakendoen en eID 2016

Digital Identity and e-Business 2016

Digitaal Zakendoen & eID is een tweedaags congres dat een breed publiek wil ondersteunen bij de vele mogelijkheden en kansen die digitaal zakendoen biedt. Het gaat om zakendoen voor de ondernemer en zaken regelen voor de consument. Zaken doe je tegenwoordig digitaal, inmiddels het nieuwe normaal. Digitaal Zakendoen & eID gaat in op invloedrijke trends en de wijze waarop wij in Nederland daarop kunnen en moeten inspelen. Daarbij zal er ook gekeken worden naar kansen voor Nederland als transactieland, waarbij hoge internationale ambities en strategische vergezichten niet uit de weg worden gegaan.

Digital Identity and e-Business is a two days conference aiming at supporting a broad audience with the many possibilities and opportunities that e-business offer. This concerns both businesses and consumers. It has become common practice to handle your business electronically. Digital Identity and e-Business addresses inﬂuential trends and the way these can be anticipated. We will look at The Netherlands as being a provider of transaction services, while including long term views and ambitions.

Met het doordacht toepassen van elektronische bouwstenen worden efficiëncy voordelen gerealiseerd voor de eigen organisatie en wordt het tegelijkertijd de klant gemakkelijker gemaakt. Het congres toont hoe o.a. elektronische identiteiten, vertrouwensdiensten, contracteren en elektronisch factureren als bouwstenen worden gebruikt en hoe nieuwe technologische ontwikkelingen dit verder kunnen verbeteren.

By cleverly applying electronic building blocks higher efficiency can be achieved, while improving user convenience. The conference will show how electronic identities, trust services, contracting and electronic invoicing are constituting these basic building blocks, and how these can be improved by new technological developments.

NATIONAAL EN INTERNATIONAAL Om gestructureerd aandacht te geven aan zowel de nationale als de internationale aspecten van digitaal zakendoen en elektronische identiteit, bestaat het congres uit twee delen: Dag 1 (15 juni) staat in het kader van internationale kansen en ontwikkelingen. Dag 2 (16 juni) richt zich op de Nederlandse markt. Dag 2 valt samen met de jaarlijkse ECP update over elektronische identiteiten. Op dag 1 zullen de sessie grotendeels in het Engels zijn, op dag 2 is dat Nederlands.

NATIONAL AND INTERNATIONAL In order to properly address both national as international aspects of e-business and digital identity, the congress is split into a international and national part: Day 1 (15 June) focuses on international opportunities and developments Day 2 (16 June) addresses the Dutch market. The conference on Day 2 is coinciding with the ECP yearly update on electronic identities. The first day will be held largely in English, while the second day will be in the Dutch language.

ACHTERGROND Bedrijven en consumenten kunnen nu profiteren van inlogdiensten die gebruikersvriendelijk en veilig zijn. Boetes en reputatieschade door datalekken prikkelen bedrijven om sterkere inlogvoorzieningen te bieden. De banken spelen daarop in met iDIN en mobiele toepassingen. Overheid en bedrijven bieden in 2016 een versterkt DigiD en Idensys. Het gevolg is meer concurrentie op de markt voor elektronische toegangsdiensten. Nieuwe wetgeving en standaardisatie op Europees niveau dwingen ons om over de grens te kijken. Per slot van rekening biedt de Europese Unie een enorme interne markt, die wij als Nederland natuurlijk niet willen missen. Slim digitaal zakendoen met gebruik van elektronische identiteiten hoort daar bij.

BACKGROUND Businesses and consumers can now benefit from login services that are more convenient and safe. Penalties and damaged reputations by data leaks are an incentive for organizations to provide stronger authentication. Banks are responding to that by introducing iDIN (BankID). Government and businesses are offering solutions like DigiD and Idensys. The result is increased competition on the market. New legislation and standardisation at European level are forcing us to look beyond our national border. The EU internal market offers a large opportunity, which we should try to address. For that we need smart electronic businesses using electronic identities

PLENAIRE CONFERENTIES De plenaire conferenties vinden plaats in de middagen van 15 en 16 juni. De inhoud van deze bijeenkomsten is overeenkomstig de algehele opzet, dat wil zeggen dat de conferentie op de eerste dag een internationale opzet heeft en de tweede een nationale.

PLENARY CONFERENCES The plenary conferences take place in the afternoon of the 15th and 16th June. The content of the conferences corresponds with the overall set up, which means that on day 1 it will be in an international context, while day 2 will address national aspects.

WORKSHOPS Beide dagen starten met diverse parallelle workshops, in totaal zeven. Daarvoor dient van tevoren te worden gereserveerd.

WORKSHOPS On both days we start with various workshops in parallel, seven in total. To participate one needs to register in advance.

Digitaal Zakendoen & eID vindt plaats op 15 en 16 juni 2016 in het Postillion Hotel Bunnik (Kosterijland 8, 3981 AJ Bunnik, NL).

Digital Identity and e-Business takes place on 15 and 16 June in the Postillion Hotel Bunnik (Kosterijland 8, 3981 AJ Bunnik, NL).

ECP-LEDEN ECP-leden, PIMN deelnemers en VVBI-leden die aan een workshop en het congres willen deelnemen kunnen zich tegen een gereduceerd tarief aanmelden. Voor ECP-leden zijn gratis kaarten beschikbaar voor de workshops en conferentie op 16 juni (met een maximum per ECP deelnemer). Dat is inclusief lunch en borrel (zie ook onder ‘locatie/kaarten/contact’). Voor de laatste updates / for the latest updates: www.digitaal-zakendoen.nl

II

WWW.DIGITAAL-ZAKENDOEN.NL

III



PROGRAMMA OVERZICHT / PROGRAM OVERVIEW

CONFERENTIE / CONFERENCE

DAY 1 - 15 June 2016 Workshops 09.30 - 12.30 09.00 - 12.30 09.30 - 12.30 12.30 - 13.30

Workshop 1 - e-ID Market Workshop 2 - Biometrics for Civil ID (starts at 09.00!) Workshop 3 - Authentication Technologies Lunch

Chair: Arnold Roosendaal Chair: Max Snijder Chair: Bob Hulsebosch

Conference 13.30 - 14.00

Identity Management in 2030

14.00 - 14.25 14.25 - 14.50 14.50 - 15.20

Authentication technologies; trends and developments Mobile authentication with e-passport and smartphone Coffee/tea

15.20 - 15.40 15.40 - 16.05 16.05 - 16.30 16.30 - 17.00

Biometric ID in Consumer Markets Biometrics for Civil ID and e-Residency Opportunities in the eID Market Panel discussion: Biometrics and Global Identity: “It is inevitable that governments will store biometrics of all citizens in order to support national identity management.”

17.00

Joost van Prooijen, Morpho Victoria Saue, Enterprise Estonia Arnold Roosendaal, TNO PI-Lab Moderator: Max Snijder

Networking and drinks

DAG 2 - 16 Juni 2016 Workshops 09.30 - 12.30

12.30 - 13.30

Workshop 4 - Kennisplatform Administratieve Software Workshop 5 - Zakendoen met de Overheid Workshop 6 - Ken uw Klant / KYC Workshop 7 - Vertrouwensdiensten Lunch

Voorzitter: Gerard Bottemanne Voorzitter: Roy Tomeij Voorzitter: Erik van de Poel Voorzitter: René van den Assem

Conferentie 13.30 - 13.35

Welkom en introductie

13.35 - 13.45 13.45 - 14.15 14.15 - 14.45 14.45 - 15.00

Opening Digitaal Zakendoen 2017, het nieuwe normaal Het economisch potentieel van eID en e‐dienstverlening Biometrie in Digid?

15.00 - 15.30

Koffie/thee

15.30 - 16.00 16.00 - 16.30 16.30 - 17:00 17.00 - 18.00

iDIN eID in Nederland Discussie Netwerkborrel en eID Café

Voor de laatste updates / for the latest updates: www.digitaal-zakendoen.nl

IV

DAG 2

Jasper Mutsaers, Dutch National Office for Identity Data (RvIG) Reinier van der Drift, MicroFocus Maarten Wegdam, InnoValor

Jaap Kuipers, Platform Identity Management Nederland (PIMN) Arie van Bellen, Directeur ECP KPN Mark Bressers, Ministerie van Economische Zaken Max Snijder, Secretaris European Association for Biometrics

Piet Mallekoote, Directeur Betaalvereniging Steven Luitjens, Ministerie van Binnenlandse Zaken olv Jaap Kuipers

CONFERENTIE / ECP CONGRES (16 JUNI 2016, 13.30 - 17.00)

DAY 1

CONFERENCE (15 JUNE 2016, 13.30 - 17.00) The use of electronic identities is increasing at a rapid pace. Migration, international travelling and advancements in ICT are leading to a strong growth of the mobility of people and organisations. That has many consequences, both opportunities and challenges. One of the consequences is that the management of identities isn’t bounded to a specific country or geographic area anymore. Cross border business and travel are confronting us with the challenge of establishing trust between people and organisations who speak different languages, are coming from different cultures and social systems, and who only may have remote contact with each other through digital means. The role and understanding of national identity management is in the process of being redefined. Social networks, financial institutions and new authentication platforms from mobile phone providers are increasingly taking up a role in establishing and processing of a credible identity. While the world becomes more digitized, the physical element of face-to-face contact is relatively diminishing. That creates a strong ratio for using biometrics in this cyber world of electronic identities. Therefor the uptake of biometrics by the smart phone manufacturers is a major milestone for the introduction of biometrics into the mass market. Where the biometric passport still encounters some resistance and currently lacks a strong business case, biometrics for civil id seems to gain momentum especially in the

perspective of the need for a strong proof of physical identity as a reliable foundation for the people moving around in the digital space. For this first day conference the recent vision paper ‘Identity Management in 2030, authored by the Dutch National Office for Identity Data (RvIG), will be used as a general background. Presentations and discussions during this conference will reﬂect directly or indirectly on this paper, in order to create a picture of where we are today, where we are heading to and which next steps we need to take. Biometrics will be an important topic, due to its pivotal role within the various identity chains. Topics of the conference are: • Identity Management in 2030: the global approach on identity • Exchange of formal legal and functional credentials in European context • Civil-id in consumer markets • Biometrics & mobile authentication: new payment platforms leading the way in biometrics (Samsung Pay, Apple Pay etc.) • Biometrics for Civil-ID (international speaker) • Compliancy of biometrics to Stork and eIDAS • Panel discussion: biometrics and global identity Statement: “It is inevitable that governments will store biometrics of all citizens in order to support national identity management.”

De conferentie behandelt belangrijke ontwikkelingen en bouwstenen voor digitaal zakendoen. Voor Nederland transactieland, handelsland, is het belangrijk om de transactiekosten van zakendoen laag te houden. In een digitale omgeving betekent dit gebruiksvriendelijk en betrouwbaar bestellen, contracteren, factureren en betalen. De tijd is rijp om ook de meer waardevolle en gevoelige transacties elektronisch af te gaan handelen. Daarvoor zijn vertrouwensdiensten en elektronische identiteiten (eIDs) op een voldoende betrouwbaarheidsniveau beschikbaar. Idensys en iDIN presenteren de resultaten van hun eID-pilots en vertellen over de volgende stappen. Het businessmodel van eID komt aan de orde in de vraag hoe kosten te besparen en de tarifering van eID en vertrouwensdiensten. Verkend wordt hoe Nederland beter kan concurreren met digitale dienstverlening en de verplichte Europese eIDAS verordening of dat er een risico is dat andere landen ons inhalen door betere elektronische dienstverlening. Tijdens het congres spreken vertegenwoordigers namens iDIN, Idensys, Overheid en Bedrijfsleven. Deze conferentie is in het Nederlands.

This conference will be in English.

WWW.DIGITAAL-ZAKENDOEN.NL

V



WORKSHOPS

DAY 1

15 June 2016, 09.30 - 12.30 On the first day of the workshops the international aspects of digital identity and e-business are being discussed. The workshops will be held in English. Workshop 1 - eID Market 15 June, 09.30 - 12.30 Chair: Arnold Roosendaal, TNO - PI-lab An update on the eID practice and pilots in The Netherlands or in short: the Dutch eID market

VI

The use of eIDs in The Netherlands increases as more and more valuable services are available online. In 2017 citizens and companies will have the right to handle all transactions with Government electronically. For eHealth affordable eID is a must. This, and competition in the digital domain need user friendly and secure access methods. Therefore new developments are tested in eID pilots. The Dutch Parliament wants to evaluate the eID pilots for e-Government before summer. Entrepreneurs start to see that linking their websites to eID hubs with an international reach offers easier access to their services.

This seminar is for parties who want to use national eID infrastructures for their services and who want to come into contact with the organisations who provide the eID building blocks like KYC, f2f checks, remote enrollment, eID production and delivery. Also for organisations which like to offer services this is an opportunity to understand where their products fit into the Dutch ecosystem. For organisations who want to use a dedicated eID system or a national eID system an overview will be given of the efforts (technical, organisational, legal) needed to connect to such systems.

Program: • Dutch eID pilots, Arnold Roosendaal, TNO PI-Lab • eHealth, Merik Seven, Nictiz • iDIN, Allard Keuter, Betaalvereniging • Business models, Douwe Lycklama, Innopay Workshop 2 - Biometrics for Civil ID 15 June, 09.00 - 12.30 Chair: Max Snijder, Secretary of the European Association for Biometrics A workshop about the use of biometrics for national identity systems and electronic services (in cooperation with the European Association for Biometrics)

The paper ‘Identity Management in 2030’ by the Dutch National Office for Identity Data (RVIG) provides us with a vision where conclusive proof of identity is evolving into a situation of achieving evidence of identity, subjected to scenarios, availability of information and prior knowledge about a person. The role of biometrics for the e-passport was limited to making the document more secure and to facilitate machine assisted border control processes (such as e-gates). The scheme as provided by the ICAO doesn’t provide scenario’s for e-services or national identity management. In that sense the introduction of biometrics for governmental use (not ta-

king into account the use for criminal and justice purposes) wasn’t based on the vision that biometrics can be used for national identity systems and electronic public and private services. The first Apple smart phones with inbuilt fingerprint authentication functionality has brought biometric authentication into the domain of mass markets. At the same time, governments understand that identity management is crucial to their operations and that a reliable identity infrastructure is a precondition for a successful implementation of identity management. Both in the electronic services domain as well as in national identity management, WWW.DIGITAAL-ZAKENDOEN.NL

VII



WORKSHOPS

biometrics seem increasingly to take a pivotal role in facilitating convenient electronic consumer services, while providing an important addition to the establishment of a credible identity. This includes the power of biometrics to de-duplicate ID databases and to prevent identity fraud with tokens such as passports, national ID cards and smart phones. The paper ‘Identity Management in 2030’ shows a scenario where biometrics are a key enabling technology. Yet it remains unclear how the path towards this scenario looks like and if this scenario meets reality in the first place. Because still, 2016 is the starting point for that path and at this moment many elements need thorough assessment and discussion. During the workshop ‘Biometrics for Civil ID’ we will zoom in on current developments of using biometrics in national ID schemes, taking into account new mobile technologies and solutions. Use cases and new technologies will be presented and discussed. After the workshop a better view should exist on where we are and how to proceed towards the use of biometrics for Civil ID in governmental and non-governmental scenarios. Topics that will be addressed: • the role of government in national identity management and the facilitation of a reliable eID infrastructure • functional and legal identities • biometrics for authentication in mobile devices • biometrics as part of a root identity • legal and societal aspects 26 | MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE VIII

•

the ‘convenience justifies all’ paradigm

Program: • Identity Management in 2030 and the role of biometrics, Jasper Mutsaers (RvIG) • Biometrics and Civil ID, Joost van Prooijen (Morpho) • e-Residency and e-Business, Victoria Saue (Enterprise Estonia) • Root-id and birth certificates, Arthur Dallau (NVVB) • Workshop including break-out sessions: Scenarios of the future, derived from the paper ‘Identity Management in 2030’; three scenarios are selected and will be discussed and analyzed in three groups based on a Quick Scan Checklist. References: ‘Identity Management in 2030’ by Dutch National Office for Identity Data (RvIG) http://www.worldbank.org/en/programs/id4d This workshop is organized in cooperation with the European Association for Biometrics – www.eab.org Workshop 3 - Authentication Technologies 15 June, 09.30 - 12.30 Chair: Bob Hulsebosch, InnoValor Identification verification technologies are developing from static to dynamic continuous multi factor authentication in which a mix of authentication technologies provide ease of use and security. The continuous monitoring makes it possible

to detect anomalies and to temporary raise security (step-up) after which authentication can proceed at a regular user friendly and secure level. User friendly biometric authentication (fingerprints and selfies) play a role next to PIN codes passwords and tokens. The mobile phones supported by risk detection systems play an increasing important role in identity verification. Optimal and secure use of biometric authentication requires understanding of the (lack of) biometric capabilities. Internet (IP) technology leads to further convergence between physical and logical access control. We see NFC enabled smartphones opening doors and paying bills. Authentication technologies will be presented in relation to use cases like biometric payments, authentication and remote account opening where face-2-face verification is done by a system. Specific topics are The FIDO and BOBS standard Biometric authentication Mobile strategies Program: • Introduction (Rob van der Staaij, author/cyber security expert) • Continuous authentication and mobile strategy , Chris van Diemen (Everett) • FIDO and BOBS standards, Rutger Slager (1U) • Biometric authentication • Convergence logical and physical access, Cor Stolk (Secure Logistics)

DAG 2

16 Juni 2016, 09.30 - 12.30 Op de tweede dag van de workshops zal er ingegaan worden op nationale aspecten van elektronische identiteit door te kijken naar huidge praktijk en onderwerpen. De workshops zullen in het Nederlands worden gehouden. The workshops on the second day will zoom into national aspects of e-ID, by looking into current practices and topics. The workshops will be held in Dutch. Workshop 4 - Kennisplatform administratieve software 16 juni, 09.30 - 12.30 Voorzitter: Gerard Bottemanne, GBNed De belangrijkste doelstelling van het kennisplatform is het bij elkaar brengen van kennis op het gebied van (innovatieve) ontwikkelingen en softwareleveranciers. Ditmaal ook gericht op medewerkers in de accountancy en auditsector die goed geïnformeerd willen zijn. Op het programma van het Kennisplatform staan dan ook de volgende onderwerpen: 1. Meldplicht datalekken en Safe Harbor / Privacy Shield actualiteiten; deze sessie wordt ingevuld door de IT-Jurist, bekend van ondermeer het rapport ‘Meldplicht datalekken: inleiding met een juridisch kader’ dat gratis beschikbaar is. 2. Een keurmerk voor software en clouddiensten; deze sessie wordt ingevuld door

INFOSECURITY MAGAZINE | NR. 2 | MEI 2016 | 27 WWW.DIGITAAL-ZAKENDOEN.NL IX



WORKSHOPS

Zeker Online, opgericht door softwareleveranciers van online boekhouden in samenwerking met de Belastingdienst. En de recente samenwerking met het CIP (Centrum voor Informatiebeveiliging en Privacybescherming). 3. Elektronisch factureren met UBL in een Europees kader; Elektronisch factureren op

basis van UBL is ook in Nederland inmiddels een feit en wordt steeds meer ingezet door het bedrijfsleven en de accountancy. CEN TC434 geeft invulling aan de opdracht vanuit de Europese Commissie (EC) om te komen tot ‘de ontwikkeling van één EU norm wat betreft een Europese factuur. Er vindt een syntax mapping plaats met een beperkt aantal syntaxen, waaronder UBL.

Programma: • Meldplicht Datalekken, ICT-Jurist • Zeker Online keurmerk • Elektronisch factureren met UBL, Dennis Krukkert (TNO) • De Fraude Helpdesk, Fleur van Eck Workshop 5 - Digitaal Zakendoen met de Overheid 16 juni, 09.30 - 12.30 Voorzitter: Roy Tomeij, ECP / Ministerie van Economische Zaken Digitaal zakendoen is het nieuwe normaal, zakendoen is vanzelfsprekend geautomatiseerd. Verschillende elektronische kanalen zijn beschikbaar voor communicatie met bestaande en nieuwe klanten. Wie ICT niet slim inzet krijgt het lastig met concurrenten. De Overheid helpt ondernemers zaken digitaal af te wikkelen en zet in op massale digitalisering (Digitaal 2017). Denk aan de Berichtenbox en het vaarwel voor de blauwe envelop. Deze bijeenkomst laat zien welke diensten beschikbaar zijn voor ondernemers om zaken met de overheid (B2G) en onderling (B2B) efficiënter af te handelen. Mijn Overheid voor bedrijven is een van de voorbeelden die behandeld zullen worden. De bijeenkomst is bedoeld voor vertegenwoordigers van branches en bedrijven die willen weten welke mogelijkheden er zijn voor efficiënter digitaal werken en ondernemen. Programma: • Digitaal Ondernemersplein, Bart Ladrak (Min.EZ)

28 X | MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE

• •

MijnOverheid voor bedrijven, Marieke van Putten (Min.EZ) Consultatie, Roy Tomeij (ECP/EZ)

Workshop 6 - Ken uw Klant / KYC 16 juni, 09.30 - 12.30 Voorzitter: Erik van de Poel, BKR Nederland loopt voorop in het gebruik van internet, waardoor diensten makkelijk elektronisch kunnen worden aangeboden. De hele wereld kan een kijkje komen nemen in de internet etalage. Nieuwe klanten die vervolgens zaken willen doen ontvangen we gastvrij. Daarbij passen vriendelijke registratieprocessen zonder wachttijden. Leveranciers willen (en moeten soms wettelijk) hun klanten kennen om diensten te personaliseren en risico’s goed in te schatten. Daarbij helpen dataleveranciers die klanten bij voorbaat kennen en kunnen helpen bij het online registeren of ‘onboarden’. Voorbeelden zijn het online openen van een bankrekening en de selfie check bij de virtuele balie van de eID leverancier. Dataleveranciers informeren over wie en wat iemand is, bijvoorbeeld met betrekking tot de (krediet) risico’s. Deze bijeenkomst behandelt de functies van databemiddelaars. Hoe kunnen zij een zakelijke en maatschappelijke functie vervullen als attribuut leverancier in het eID ecosysteem? Kunnen databemiddelaars een rol vervullen bij het voorkomen van fraude met gelekte of gestolen gegevens? En hoe transparant zijn deze partijen voor de geregistreerde consumenten?

Programma: • Datakwaliteit, Martijn de Boer (CDDN) • F2F checks, Eric Verheul (KeyControls) • Identiteitsfraude, Helen van der Sluys, (BZK) • ID-fraude en Bigdata, Johan ten Houten (Deloitte) Workshop 7 – Vertrouwensdiensten 16 juni, 09.30 - 12.30 Voorzitter: René van den Assem (Advies in Vertrouwen) “Het opbouwen van vertrouwen in de online-omgeving is essentieel voor economische en sociale ontwikkeling. Een gebrek aan vertrouwen, met name ten gevolge van een ogenschijnlijk gebrek aan rechtszekerheid, leidt ertoe dat consumenten, bedrijven en overheden aarzelen om transacties elektronisch uit te voeren en van nieuwe diensten gebruik te maken”, aldus de eIDAS verordening. Trust services, vertrouwensdiensten helpen consumenten en ondernemers om online dienstverlening te kunnen vertrouwen. Voorzieningen voor betrouwbaar digitaal zakendoen zijn elektronische handtekeningen, veilige e-mail, tijdstempels. Soms zijn de belangen zo groot dat gewone ICT tekort schiet en vertrouwensdiensten moeten worden ingezet. Er zijn organisaties die het gebruik van vertrouwensdiensten verplichten, zoals Tenderned voor het indienen van tenders of wanneer jaarrekeningen elektronisch gedeponeerd worden. Uiteindelijk dienen de vertrouwensdiensten bij te dragen aan efficiënt zakendoen, iets wat voor Nederland transactieland van groot belang is.

Programma: • eIDAS, Mickey Vonckx (Connective) • Case study: Vastgoed keten, Kick Willemse (Evidos) • Blockchain, Pascal van Hecke (Innopay) Mini Expo Op de Mini Expo zullen bedrijven en andere organisaties producten en diensten demonstreren. Deze Mini Expo is direct aan de centrale binnenruimte gesitueerd, waar de lunches zullen worden geserveerd en waar de dagelijkse voorzieningen rond koffie, thee en andere versnaperingen zich bevinden. De stands van de Mini Expo grenzen tevens aan de brede gangen die naar de workshops leiden. De volgende bedrijven/organisaties zullen deelnemen aan de Mini Expo: • 1U • AMP Logistics • BKR • CDDN • Centric • CMI Centraal Meldpunt Identiteitsfraude en -fouten • Connective • ECP • Forum Standaardisatie • Fraudehelpdesk • InnoValor, ReadID • iProov • KPN • Lucom • MicroFocus • Morpho • Privacy&Indentity-lab • VVBI

INFOSECURITY MAGAZINE | NR. 2 | MEI 2016 | 29 WWW.DIGITAAL-ZAKENDOEN.NL XI



Aan de basis van een betrouwbaar eID Al sinds 2007 stelt AMP voor diverse banken de identiteit van klanten vast. Via een bezoek aan de klant, thuis of op het werk, wordt de klant gezien en wordt zijn legitimatiebewijs gecontroleerd. Vanuit deze ervaring is AMP vanaf 2013 paspoorten aan burgers gaan bezorgen. Inmiddels verzorgt AMP ook binnen het eHerkenning stelsel voor erkende partijen de face-to-face identificatie en staat daarmee aan de basis van een betrouwbare identiteit om online zaken te doen. 030 240 80 20

[email protected]

twitter.com/amp_logistics

facebook.com/amplogistics

KPN is een toonaangevende leverancier van ICT-diensten. Onze producten en diensten helpen onze klanten én Nederland verder. Met slimme oplossingen richten we ons op maatschappelijke thema’s die in de toekomst een steeds grotere rol gaan spelen, waaronder identity, security & privacy. KPN Trusted Services is bijna 20 jaar pionier op het gebied van elektronische identiteits-oplossingen voor zakelijke gebruikers en overheden. KPN levert identiteitsmiddelen en bijbehorende voorzieningen om veilig en betrouwbaar online te kunnen communiceren met zakenpartners en overheidsdienstverleners, en beheert als gecertificeerde, vertrouwde partij reeds miljoenen identiteitsmiddelen voor veilige communicatie. Met de toenemende digitalisering van onze samenleving nemen wij onze verantwoordelijkheid om een veilige en betrouwbare digitale samenleving te creëren. Wij investeren en ontwikkelen actief in het tot stand komen van nieuwe afsprakenstelsels en standaarden zoals eHerkenning, eIDAS en eID/Idensys. www.kpn.nl

30 XII| MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE

INFOSECURITY MAGAZINE | NR. 2 | MEI 2016 |XIII 31 WWW.DIGITAAL-ZAKENDOEN.NL



UL-TS.COM SAFEGUARDING SECURITY COMPLIANCE AND GLOBAL INTEROPERABILITY

SECURE AUTHENTICATION AND AUTHORIZATION • BANKING • PAYMENTS • eIDAS • TRANSIT • PAYMENTS • BIOMETRICS • CONNECTIVITY • DIGITAL IDENTITY • E-PASSPORT • E-DRIVER LICENSE

For more information, please visit: UL-TS.COM

32 | MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE XIV

UL and the UL logo are trademarks of UL LLC © 2016

INFOSECURITY MAGAZINE | NR. 2 | MEI 2016 | XV 33 WWW.DIGITAAL-ZAKENDOEN.NL

BLOG

Waarom banken hun data slimmer moeten inzetten voor cybersecurity

Als 2015 organisaties iets geleerd heeft, is het wel dat het niveau van cybersecurity wereldwijd niet hoog genoeg is. Kijk alleen al naar de vele wake-upcalls die ze kregen via het nieuws, klantvragen en in het slechtste geval: via daadwerkelijke data-inbreuken. Banken zagen daarnaast het aantal phishing-gevallen toenemen – in januari werd zelfs een reclamecampagne gelanceerd om mensen hier bewust van te maken. Het is dan ook geen verrassing dat een recent onderzoek onthulde dat cybersecurity, nu de economische crisis op zijn eind loopt, momenteel de belangrijkste zorg is voor banken wereldwijd.

DIT CONGRES IS GEORGANISEERD DOOR:

HET CONGRES WORDT MEDE MOGELIJK GEMAAKT DOOR ONZE PARTNERS:

Banken zijn altijd zeer goed op de hoogte geweest van de gevaren rondom cybersecurity – ze weten tenslotte dat ze iets hebben wat het waard is om te stelen. En dus ook iets wat het waard is om te beveiligen. Echter, in het huidige cyberklimaat woedt een continue strijd: hoe te beschermen tegen ervaren en vastbesloten hackers? Banken zijn door hun omvang namelijk vaak enorm verzuild. Diverse afdelingen en landen opereren binnen het bedrijf, zonder elkaar ooit te kruisen. Daarnaast werken ze veelal met legacy-systemen die niet goed met elkaar samenwerken. Dat betekent dat de consistentie op het vlak van cyberstrategie vaak achterblijft. Het gevolg: verscheidene zwakke plekken in netwerken zonder gestandaardiseerd beleid. Beleid dat die gaten kan dichten of waarin vastligt hoe om te gaan met aanvallen als ze plaatsvinden.

Coördineren van cyberstrategieën LOCATIE EN CONTACT

KORTINGSREGELINGEN

Postillion Hotel Bunnik Kosterijland 8 3981 AJ Bunnik Tel: +31 30 - 656 92 22

ECP-leden, PIMN deelnemers en VVBI-leden die aan een workshop en het congres willen deelnemen kunnen zich met een gereduceerd tarief aanmelden. Voor ECP-leden zijn gratis kaarten beschikbaar voor de conferentie en workshops op 16 juni ‘s middags (met een maximum per ECP deelnemer). Dat is inclusief lunch en borrel.

TICKETS BESTELLEN Om deel te nemen aan het congres kunt u kaarten bestellen via Eventbrite. Prijzen: 15+16 juni: 675,15 juni: 375,16 juni: 375,De prijzen zijn inclusief workshop (naar keuze), lunch en borrel.

KENNISPARTNERS:

EAB

PI-Lab

CONTACT Jaap Kuipers (programma): 06-23 64 25 13 [email protected] Max Snijder (pr/communicatie): 06-24 60 38 09 [email protected]


VVBI

Financiële organisaties worden vaak bekritiseerd om hun aanpak van cybersecurity. Toch heeft de Bank of England bijvoorbeeld de laatste jaren al flink veel actie ondernomen. Zo introduceerde de bank CBEST, een raamwerk om te testen hoe voorbereid een organisatie is tegen schadelijke cyberaanvallen. Dit raamwerk bevat intelligence vanuit de overheid en commerciële dienstverleners om potentiële aanvallen op een financiële organisatie te identificeren. Daarna repliceert het technieken om te testen hoe snel ze kunnen reageren. Nog recenter voerde de Bank of England Operation Resilient Shield uit, een gedeeld initiatief met zijn Amerikaanse partners. Hierin testte de bank de coördinatie en mogelijkheden van de sector om aanvallen van hackers op te vangen.

Hoe zorg je voor security-intelligence bij de banken? Elk willekeurig securitysysteem – of dat nu bij een bank of een andere organisatie is – verzamelt enorm veel data van servers, apparaten, applicaties, databases en andere securitysystemen die zijn geïmplementeerd binnen de IT-omgeving. Het waden door al deze informatie en het proberen te verbinden van losse punten om een eventuele inbreuk te vinden, kan ontmoedigend en onrealistisch lijken. Zeker als systemen volledig los van elkaar werken, zoals vaak het geval is. Toch kan zo’n data-analyse het verschil maken tussen een kwetsbaar en een veilig netwerk. Dat is waar security-intelligence van pas komt. Het belangrijkste doel hiervan is het leveren van de juiste informatie uit alle lagen van de business. En dat op het juiste moment, met de juiste context en naar de juiste mensen. Het kost banken tijd om de bedreigingen van vandaag de dag te verzachten. Data-analyse kan deze tijd verkorten. Het belang hiervan vind je in twee metingen: de gemiddelde tijd die het kost om bedreigingen te detecteren en de gemiddelde tijd die het kost om op bedreigingen te reageren. Tegenwoordig opereren de meeste bedrijven in een tijdsperiode van weken en maanden. Dit geeft kwaadwillenden in deze tijdsperiode echter nog volop kansen om schade te berokkenen. Bedenk je maar eens hoeveel een hacker kan doen als hij inbreekt in het banknetwerk en dit een maand lang niet wordt gedetecteerd. Door alle netwerkactiviteiten – ongeacht waar ze plaatsvinden – te voorzien van context, zijn financiële organisaties in staat de losse punten met elkaar te verbinden en bedreigingen tegen te gaan voordat er schade is. Een succesvolle inbreuk bij een bank kan de economie serieuze schade toebrengen. Het is dus enorm belangrijk dat banken de vele kwetsbaarheden aanpakken die zijn ontstaan door hun verzuilde netwerk. Door security-intelligence te gebruiken, kunnen financiële organisaties de tijd die het kost om een bedreiging te identificeren en te neutraliseren, verkorten – van weken en maanden tot dagen en uren. En in een ideale wereld, zelfs tot minuten. Een inbreuk in het huidige securitylandschap is bijna onvermijdelijk. Banken zijn daarbij altijd een belangrijk doelwit. Wat zij kunnen doen: bewapenen met security-intelligence om de impact van een bedreiging te minimaliseren. ROSS BREWER, Vice President en Managing Director internationale markten bij LogRhythm


MARKT

JAN OVER VAN IONIT:

‘De markt vraagt om een hybride focus op Identity & Access Management’

“Vandaag de dag is hybride Identity & Access Management (IAM) de hoeksteen voor Security, gebruik van cloud applicaties, samenwerking op Internet en gecontroleerde groei van de organisatie met de bijbehorende IT. IAM geeft de juiste gebruikers toegang conform afspraak op elk moment vanaf elke locatie met elk device.” Jan Over van IonIT is hier heel helder in. We zien in de markt dat er grote behoefte is aan hybride oplossingen en ondersteuning met gebruikmaking van meerdere OS-en, technologieën en platforms. In feite werden we door onze eigen klanten, die met name in de educatieve, overheid, financiële en juridische dienstverlening terug te vinden zijn, uitgedaagd om antwoord te geven op functionele vragen. Die vragen spitsten zich juist toe op inzet van Identity & Access Management. Maar dan wel een met een multidisciplinaire aanpak waarbij toegang tot data op de goede manier is geregeld.” Om deze ambitie waar te maken, is Oxford Computer Group (OCG) voor de Benelux regio van Jan Over per april 2016 gefuseerd met IonIT uit Eindhoven en samen verdergegaan onder de naam IonIT.

Missie Jan Over vervolgt: “Het is de missie van IonIT om bedrijven te overtuigen van de nut en noodzaak van hybride IAM die door alle ontwikkelingen alleen maar groter wordt. We hebben verschillende klan36 | MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE

ten geholpen om hun IT-strategie voor de cloud te realiseren. Zo zien we dat het hedendaagse vraagstuk niet meer geënt is op één standaard omgeving maar een mix van applicaties en platformen binnen het eigen datacenter, de cloud en mobiel. Daarbij verlangt, nee eist, de klant - en terecht - een veilige, compliant, gebruiksvriendelijke, kostenbesparende en toekomstvaste IT-voorziening.” “De nut en noodzaak van een hybride IAM is terug te brengen tot zeven kernbegrippen en het vereenvoudigen/optimaliseren hiervan: bedrijfsvoering, kostenbeheersing, operationele efficiëntie, risicobeheersing, compliance van de weten regelgeving, digitale identiteit en security.” 1. Bedrijfsvoering vereenvoudigen: geen foutgevoelige en kostbare handmatige werkzaamheden meer bij de instroom van nieuw personeel, bij de doorstroom (verandering functie en dus autorisatie wijzigingen) en bij de uitstroom van personeel (toegang stopzetten). 2. Kostenbeheersing doordat eindgebruikers en gedelegeerde tussenpersonen beheer en onderhoud uitvoeren. De Servicedesk krijgt hierdoor minder calls, er hoeft minder beheer en onderhoud te worden uitgevoerd en er is beter inzicht in de licenties, gebruikt en ongebruikt. 3. Vergroting van de operationele efficiëntie door het automatiseren van handmatige en routinematige werkzaamheden. 4. Verbeterde risicobeheersing door verminde-

ring van foutgevoelige handmatige werkzaamheden. 5. Aantonen dat men compliance is met de geldende weten regelgeving zoals: PCI-DDS (creditcard), SOX (financiële sector), EU Privacy Directive (wetgeving op gebied van privacy van persoonsgegevens) en Nederlandse overheid BIR (informatiebeveiligingskader voor rijksoverheid). 6. Een betrouwbare digitale identiteit van een gebruiker in plaats van een foutgevoelige gecorrigeerde identiteit die overgetikt is door een persoon. 7. Veilige toegangscontrole-infrastructuur tot applicaties met bijvoorbeeld sterke authenticatie en de juiste security maatregelen. Jan Over vervolgt: “Als OCG werkten we voornamelijk met Microsoft maar daarbij mis je de koppelingen met andere platformen en technieken. We liepen in de dagelijkse praktijk hier veel tegenaan. Een klant die heel traditioneel on-premise vanuit zijn eigen datacenter werkt, wil nu naar de cloud en vraagt dus ook om IAM die vanuit de cloud werkt. Bedrijven plaatsen steeds vaker hun bedrijfsdata buiten de organisatie en maken deze beschikbaar voor een bredere gebruikersgroep zoals partners en klanten. Ook de toegang tot deze gegevens verplaatst zich buiten de organisatie naar verschillende platformen en diensten die ook buiten het beheer van de eigen organisatie vallen. Als je nagaat dat 67% van de professionals aangeeft dat

de beveiliging van bedrijfskritische data op mobiele devices nog niet op orde is, dan is prima voor te stellen dat een goed geïmplementeerde IAM meer dan belangrijk is voor de organisatie.” We hebben klanten geholpen om hun cloud applicaties zoals bijvoorbeeld HR of een elektronische leeromgeving te ontsluiten voor hun IAM in hun datacenter of in de cloud. Waar we tevens de autorisatie tot cloud applicaties hebben geregeld. Hiermee kwamen onze klanten ‘in control’.” “Die beweging zien we sterk groeien”, zo vervolgt de enterprise architect. “Een fusie met IonIT die al forse en brede ervaring heeft op dit terrein lag daarom voor de hand. Samen kunnen we een team op de been brengen dat inspeelt op de hybride IAM ontwikkelingen in de markt. Hiermee willen we de huidige maar zeker ook de nieuwe klanten ondersteunen bij het veilig houden van hun bedrijfsdata, terwijl hun gebruikers altijd, overal en vanaf elk device kunnen werken.”

Managed Services provider

Jan Over

In feite willen we als IonIT doorgroeien naar een Managed Services organisatie waarbij we de klanten maximaal kunnen ontzorgen. Als professionals brengen we naast meer dan 25 jaar ervaring op Identity Management gebied ook zeer specialistische Microsoft & cloud kennis en ervaring mee. Zo zijn we zevenmaal uitgeroepen tot Microsoft Partner van het jaar op het gebied van Identity Management. Deze specialistische kennis blijft gewaarborgd en de dienstverlening wordt gecontinueerd. Dit is een toevoeging op de al bestaande Microsoft partnership van IonIT. Door de fusie van OCG Benelux en IonIT wordt de

IAM kennis verbreed, extra producten toegevoegd en een breder scala aan diensten en kennis aangeboden. De klant kan rekenen op een team van deskundigen met zeer specialistische kennis van IAM, cloud en Enterprise Mobility Management en de onderliggende infrastructuur. We hebben inzicht in hoe we identiteits- en toegangsbeheer met alle hedendaagse datacenter en cloud uitdagingen kunnen aanpakken. Met een doordachte aanpak levert dit ook nog eens de nodige kostenreductie op. We leveren technologie onafhankelijke dienstverlening om gebruikers- en toegangsbeheer voor het datacenter en de cloud naar een hoger niveau te tillen. Dat doen we via consultancy, projecten en managed service. Uiteraard zullen we ook de nodige support leveren op de diverse IT-omgevingen en zorgen we voor meer interne kennis door het bieden van trainingen.

We pushen geen technologie “We staan nu al bekend om onze no-nonsens mentaliteit en betrokkenheid waarbij we een duidelijke strategie voeren. We beginnen bij het begin en niet bij de oplossing. Samen met de klant kijken we naar het probleem en brengen deze duidelijk in kaart. We nemen de huidige en gewenste functionaliteiten, infrastructuur, planning en budget onder de loep en op basis van de verkregen informatie maken we een plan van aanpak waarbij we naar de mogelijke oplossingen kijken. We gaan pas daadwerkelijk aan de slag als de klant geheel tevreden is met de geboden oplossing.” JOS RAAPHORST, uitgever van Infosecurity Magazine


ONDERZOEK

PRINCIPE UIT DE 19e EEUW TOT LEVEN GEBRACHT IN GEZAMENLIJK ONDERZOEK VAN DUITSE INSTITUTEN

Blurry Box

toont hackers alleen vaag beeld van code Te midden van de aanbieders van beveiligingsoftware bevond zich in Hal 5 van de recente CeBIT technologiebeurs in Hannover een stand van het Karlsruhe Institute for Technology met een presentatie over Blurry Box. Deze baanbrekende beveiligingstechnologie zal in de tweede helft van dit jaar in de productlijn van het eveneens in Karlsruhe gevestigde Wibu-Systems worden ingebouwd. Stefan Bamberg , manager bij de Duitse beveiligingspecialist, doet het geheim uit de doeken. De Blurry Box Technologie is een gezamenlijke ontwikkeling van het Duitse onderzoeksinstituut FZI (Forschungszentrum Informatik), het Karlsruhe Institute for Technology en Wibu-Systems. De technologie is gebaseerd op de Wet van Kerckhoffs, vernoemd naar een 19e eeuwse Nederlandse cryptograaf. Volgens diens theorie zit het geheim in de sleutel en niet in het versleutelingsysteem. Momenteel is in alle gangbare oplossingen de afscherming geheel gericht op de beveiligingmethodiek. De hacker met kennis daarvan kan inbreken. Nadeel van de toepassing van het principe van Kerckhoffs op software was het grote beslag op systeembronnen; applicaties ondervonden vertraging. Bij Blurry Box is dat niet het geval. Degene die de technologie toepast, gaat er vanuit dat potentiële hackers bekend zijn met zijn methode en tevens inzicht hebben in de te beschermen software. Ze kunnen de regels code bekijken in tekstvorm. Maar het is evenwel onmogelijk voor ze om statische code analyse toe te passen, terwijl analyse van dynamische code wordt voorkomen door toevoeging van extra beschermlagen.

Hackers zelden bekend met structuur van software

software past een doorsnee gebruiker maar 10 tot 20% van de functionaliteit toe, terwijl een power user komt aan 30 tot 50%. Interne kwaliteitscontroleurs hebben inzage in 80 tot 90% van de code. Onderzoeken tonen ook aan dat hackers maar zelden het uiteindelijke doel van de software of de interne structuur kennen. Wel beschikken ze over een uitstekende kennis van hackingtechnieken. Verborgen code kunnen ze zonder meer detecteren en waarden in terugkeeropdrachten wijzigen. Hun specialistische kennis stelt ze ook in staat delen van de code te combineren of om code te lezen en eventueel terug te plaatsen in het werkgeheugen van de computer.

Functionele blokken van applicaties Door een applicatie onder te verdelen in blokken met bepaalde functiegroepen zijn binnen Blurry Box verschillende beveiligingsmethoden te combineren. Een functieblok f[i] heeft de invoerparameter pln[i] en de uitvoer parameter pOut[i]. Afhankelijk van pln[i] zal het functieblok als resultaat pOut[i] opleveren. In het Blurry Box proces zijn de afzonderlijke functieblokken vermenigvuldigd naar verschillende varianten. Zo is functieblok f[i] veranderd in de blokken f[i,1] tot f[i,m]. De functieblokken f[i,j] zijn toegankelijk via een gebundelde functie fw[i], afhankelijk van de toegangsparameter pln [i]. De uitvoer van de variant f[i,j] wordt teruggegeven als waarde pOut[i]. Daardoor zal onder besturing van de geselecteerde parameterbundel gedurende elke cyclus een minimale hoeveelheid code worden uitgevoerd. Theoretisch is het mogelijk om de varianten te omzeilen door de bundelfunctie fw[i] te manipuleren, zodat alleen een enkelvoudige variant per keer wordt uitgevoerd. Om die truc uit te sluiten, modificeert Blurry Box Technologie de varianten van een functieblok zodat ze alleen met de correcte reeks

In de afgelopen 20 jaar is er veel wetenschappelijk onderzoek verricht naar IT-criminaliteit; meestal in samenhang met experimenten op het gebied van software ontwikkeling. Diverse studies laten zien dat de meest gangbare software een dusdanig complexe structuur heeft, dat geen enkel mens meer in staat is de achterliggende code te doorgronden nadat hij of zij het programma heeft opgestart. Van die 38 | MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE


ONDERZOEK parameters kunnen werken. Zonder kennis van de interne structuur is een hacker niet in staat andere, onbekende varianten of de originele functieblokken gemakkelijk te herleiden uit enkelvoudige of zelfs meervoudige varianten. Wijzigingen aan de code, resulteren in varianten die incorrecte uitvoer leveren aan parameters die niet in hun bereik liggen. Een hacker kan zonder de specialistische kennis van de betreffende software een expres ingebouwde fout niet corrigeren. De onbekende variant is om die reden niet te vervangen door een bekende versie. Elke enkelvoudige variant is volledig versleuteld met een sleutel die veilig is opgeborgen op een dongle met een USB-aansluiting en een eigen geheugen; in feite een in hardware uitgevoerde sleutel. Die is ook voorzien van een API functie (Application Programm Interface) waarmee versleutelde informatie in het geheugen is te laden en te decoderen. Die versie van de code wordt via een API teruggegeven en vervolgens geactiveerd als een uitvoerbare code variant. Zonder een correcte sleutel is geen enkele variant te decoderen. Het encryptie proces werkt volgens de Advanced Encryption Standard (AES). Die onderscheidt willekeurig gekozen waarden in het verwerkingsproces van de computer. Die waarden representeren blokken met dezelfde inhoud in verschillend cijferschrift.

Boobytrap komt na valluik Via Blurry Box laten zich in softwaresystemen verschillende valluiken inbouwen. Zo wordt voorkomen dat aanvallers alle varianten op de dongle ontsleutelen zonder dat de applicatie correct opstart. Die valluiken bestaan uit versleutelde varianten die de betreffende sleutel als ongeldig verklaren als ze door de dongle worden gedecodeerd. Omdat die ook moeten werken bij hackers die de betreffende broncode trachten te analyseren, bevat deze code links die direct leiden naar ’boobytrapped’ blokken. Bij geoorloofd gebruik van de software worden die nooit geopend. Ze worden immers alleen benaderd door varianten die niet opstarten wanneer de applicatie normaal draait. Code moving is een proces dat alleen software, geladen op een beveiligde sleutel activeert. Dit proces maakt de applicatie te traag. Zelfs het draaien van een deel van de code op de dongle is

BLOG

Hoe een CyberSec First Responder (CFR) team bijdraagt aan

een organisatiecultuur van veiligheid geen optie. Het maakt de beveiliging onnodig complex. Een alternatief is het laten draaien op de hardware sleutel van uitsluitend code die de processtappen uit een selectie van de functieblokvarianten uitvoert. Dat neemt niet veel tijd. De selectie en implementatie van de betreffende variantencode kan automatisch verlopen zonder daar de oorspronkelijke software ontwikkelaar bij te betrekken. Het proces werkt als volgt: de index van de bundelfunctie (i) en de relevante parameter pln[i] worden overgebracht naar de dongle. Daarin vinden de berekeningen op de varianten plaats en het resultaat wordt teruggestuurd (j). Op deze manier is het voor hackers onmogelijk te voorspellen welke varianten (of valluiken) al dan niet zijn gekozen. De volgorde waarin de blokken worden gedecodeerd in operationele omstandigheden is niet willekeurig gekozen. Een blok wordt altijd gevolgd door een specifieke selectie uit de andere blok-

ken. In het geheugen van de dongle onderscheidt Blurry Box een geldige en een niet geldige volgorde. In het laatste geval wordt de operatie afgesloten.

Bestendigheid Blurry Box Technology Hackers zijn experts in het gebruik van verschillende aanvalsmethoden. Zij hebben echter geen kennis van de interne structuur en werking van de applicatie. Alle vormen van hackers aanvallen zijn door het wetenschappelijke team achter de Blurry Box technologie beproefd. De praktijktesten omvatten ook inbraakpogingen, waarbij de aanvallers op de hoogte waren van de versleutelingmethode. Door vast te houden aan het principe van Kerckhoffs liet de beveiligingsmethode zich onafhankelijk testen en valideren. STEFAN BAMBERG is Senior Key Account & Partner Manager Wibu-Systems

Alternatief voor USB-dongle Wie voor referentiefunctionaliteit geen hardware sleutel in de vorm van een dongle wil gebruiken, bijvoorbeeld wanneer in een project met Internet of Things (IoT) de aangesloten apparaten geen USB poort hebben, kan ook gebruikmaken van een Trusted Platform Module (TPM). Meer en meer systemen en apparaten worden standaard uitgerust met dit stukje extra elektronica met een eigen processor en geheugen waarin de correcte status van de diverse registers in diverse lagen vanaf de ’boat loader’ tot en met de applicatie wordt bijgehouden. In de praktijk blijkt een TPM echter niet altijd voldoende functionaliteit te bieden. Zo kan het ook voor de beveiliging wenselijk zijn om het gebruik van de software alleen toe te staan aan houders van licentierechten. Het is dan zinvol om die rechten op een centraal punt aan te maken, te distribueren en te beheren. Wibu-Systems levert hiervoor Protection Suite, waarmee een complete set van programmacode zich in zijn geheel laat versleutelen en integreren met een licentieregistratie (CmLicense Central). Gecombineerd met de CodeMeter API is daaraan specifieke functionaliteit toe te voegen. De encryptie gaat tot op het niveau van de ‘executable’ code, waardoor ’reverse engineering’ (herleiden van code naar functiestappen) onmogelijk is. In 2017 komt CmCloud beschikbaar, een variant die zich eveneens goed laat combineren met de Blurry Box encryptie technologie.


Hoe belangrijk is - volgens u - een goede veiligheidscultuur op de werkvloer? Het is minstens net zo belangrijk als technologie en misschien zelfs nog wel belangrijker. In feite zijn uw medewerkers de eerste firewall. Ze staan letterlijk tussen uw bedrijfsinformatie/activa en de cybercriminelen in. Inbraken die volledig gebaseerd zijn op technologie zijn namelijk zeldzaam. De meeste inbraken zijn het gevolg van fraude door onzorgvuldigheid of gebrek aan inzicht of zelfs criminele bedoelingen van een medewerker. Een goede veiligheidscultuur zorgt voor een constante versterking van uw medewerkers in het beschermen van de organisatie. Het ondersteunt hen in hun beschermende gedrag en ontmoedigt neigingen in de richting van verraad of fraude. Wat me de afgelopen 10 jaar als opleider op het gebied van IT Security wel is opgevallen, is dat het voor een goede veiligheidscultuur van belang is dat bedrijven het security gedachtengoed echt omarmen en verder intern uitdragen. De crux hierbij is - dat zal u niet verbazen - de juiste training. U kunt natuurlijk al uw medewerkers trainen om inbraakpogingen te herkennen en te weerstaan of u zou een kleine groep specialisten kunnen trainen om uw netwerk als geheel te controleren en te reageren op (be)dreigingen. Denk hierbij aan de Cybersec First Responder (CFR) training.

Maar er is nog een belangrijke reden voor de vorming, training en ondersteuning van een CFR team: het laat uw organisatie én uw klanten zien dat u security serieus neemt. En dat is een fundamenteel element voor het creëren van een organisatiecultuur van veiligheid. Als u een CFR team heeft, promoot dan hun zichtbaarheid binnen de organisatie. U kunt zelfs zoeken naar manieren om het prestige van het team te verbeteren: maak een competitie voor kandidaten om in het team te komen, breng regelmatig verslag uit in een bedrijfsnieuwsbrief of laat de teamleden presentaties geven aan andere afdelingen over security. Het promoten van het belang van het CFR team kan op deze manier bijdragen aan de sociale normen en conformiteit, alsmede de geruststelling dat medewerkers gewoon aan het werk kunnen. Tenslotte zal het CFR team zelf uw netwerk en security routines monitoren. First Response is echter niet alleen technologie en handhaving. U moet zoveel mogelijk manieren vinden om uw medewerkers security policies te laten naleven, met gezond verstand na te laten denken en fraude te herkennen. De aanwezigheid van een gecertificeerd CFR team binnen een veiligheidscultuur kan daarbij alleen maar helpen. Meer info over CFR trainingen: http://www.tstc.nl/ EMILE KOK is directeur van TSTC

Die laatste groep kan een CyberSec First Responder team vormen die: • Bedreigingen analyseert • Computer- en netwerkomgevingen veilig ontwerpt • Het netwerk proactief verdedigt • Reageert op of onderzoek doet naar cybersecurity incidenten om de verliezen voor uw organisatie te minimaliseren Een goed opgeleid CyberSec First Responder (CFR) team zorgt verder voor een korte ‘verblijfstijd’ van criminelen na het binnendringen op uw netwerk en kan daardoor ook het verlies aan data verminderen. De gemiddelde tijd voor een bedrijf om een inbraak te detecteren bedraagt 205 dagen - als u het sneller ontdekt is dat een concurrentievoordeel.


EVENT Valencia

Smart City Event 7 – 10 JUNI 2016 – AMSTERDAM ARENA De 6e editie van het Smart City Event is onmisbaar voor iedere bestuurder of professional die zich bezighoudt met (de toekomst van):

Daarnaast zijn er praktijkvoorbeelden uit binnen- & buitenland, waaronder Valencia, Sant Cugat, Lyon, Yanbu (Saoedi Arabië) en Barcelona.

Smart Cities, Energy, Mobility, Lighting, Data & Internet of Things

Het gehele programma is te vinden op de website van het Smart City Event: www.smartcityevent.com

Gedurende 4 dagen delen ruim 800 deelnemers uit 30 verschillende landen hun kennis & ervaringen. Op het programma staan diverse keynote presentaties, College Tours, rondetafelsessies, excursies, Boot Camps en masterclasses.

Kortingsaanbod

Met bijdragen van onder andere: • • • • •

Eberhard van der Laan - burgemeester gemeente Amsterdam Peter Bakker - President World Business Council for Sustainable Development en voormalig CEO TNT Viktor Mayer-Schönberger - Publicist van zeven boeken evenals meer dan 100 artikelen Jan Kempers - Manager Sustainable Development, Heineken Vincent Guallart - Chief Artist Barcelona City


Als lezer van Infosecurity Magazine kunt u gebruikmaken van een kortingsaanbod van 20%. Wanneer u gebruik wilt maken van dit aanbod, kunt u zich aanmelden via https://euroforum.paydro.com/ smart-city-event-2016 of vermeld de code ‘partner’ op het inschrijfformulier van het congres.

Onsight IntelliGuard

SOC as a Service • • • •

gain control of operational risks in the area of IT security detect internal fraud and threats at an early stage proactively identify external vulnerabilities and threats comply with laws, regulations and standards, such as Logius, PCI, COBIT and ISO 27001 • respond swiftly and appropriately to incidents

For a safe, smooth and orderly conduct of your IT traffic

Event: Smart City Event Datum: 7 – 10 juni 2016 Locatie: Amsterdam ArenA

securing your business Mr. B.M. Teldersstraat 5, NL-6842 CT Arnhem, the Netherlands

P.O. box 225, NL-6800 AE Arnhem

T +31 26 35 20 100

www.onsight.nl


MASTERCLASS

1. Risicoanalyse Een awareness programma dient aan te sluiten bij de business. Wat zijn de risico’s die naar voren komen uit de risicoanalyse. Het awareness programma dient aantoonbaar bij te dragen aan het verlagen van risico’s. ‘Wat zijn de ‘kroonjuwelen’ van de organisatie die we willen beschermen?’ Voor succes op de lange termijn is het belangrijk dat het programma niet ‘stand-alone’ draait, maar is verankerd in de werkprocessen binnen de organisatie. 2. Monitoren Bepaal vooraf wat je met het awareness programma wilt realiseren. Maak dit concreet en start met een nulmeting of een awareness assessment. Bespreek de resultaten en het plan van aanpak met het management. ‘Monitoren is meten, meten is weten’ Meet gedurende het traject een aantal keren de voortgang en breng de organisatie op de hoogte van het resultaat. Werkt het programma of dient het te worden bijgesteld? Voer praktijktesten uit zoals: mystery visits, telefonische aanvallen en phishing tests.

SECURITY AWARENESS PROGRAMMA

Zorg dat het werkt! Ministeries, waterschappen, de zorg en zakelijke dienstverlening. Overal worstelen ze met dezelfde vraag: “Hoe krijg ik mijn medewerkers zover dat ze aantoonbaar veiliger gaan werken?” Deze vraag vormde de rode draad tijdens een Masterclass Security Awareness, verzorgd door Lourens Dijkstra. Security awareness Veel organisaties werken aan de bewustwording van medewerkers van veiligheidsrisico’s. Ze doen een rondje langs het werkoverleg, hangen posters op bij de koffieautomaat en zorgen voor een up-todate informatiebeveiligingsplan op het intranet. Toch geeft de meerderheid van de aanwezigen aan dat het programma onvoldoende impact heeft en 44 | MEI 2016 | NR. 2 | INFOSECURITY MAGAZINE

wordt ervaren als: ‘just background noise’. Maar hoe zorg je dan dat al die inspanningen het gewenste resultaat opleveren? Wat is de effectiviteit van het awareness programma? ‘Hoe zorg je voor een awareness programma dat wél werkt?’

De kunst van het veranderen Wat werkt dan wel? Hoe breng je medewerkers nut en noodzaak van informatiebeveiliging wel bij? Om dit succesvol te doen maken we gebruik van een aantal veranderkundige principes. Welke zijn dit en hoe kunnen we deze succesfactoren inzetten bij het inrichten van een security awareness programma? Het succes zit in hem in de volgende vijf succesfactoren:

3. Commitment Een goed programma heeft draagvlak nodig en verzorg je niet alleen. Verzamel de juiste bemanning en competenties in je projectgroep. Vergeet hierbij ook niet de HR-afdeling, Communicatie en uiteraard de lijn! Laat het team meedenken en bepalen. Zorg voor commitment bij het management en dus voor budget. 4. Wees creatief: zorg dat het opvalt en leeft Een succesvol awareness programma valt op en heeft herkenbare symbolen. Zorg dat medewerkers het er met elkaar over hebben. Zorg voor een professionele uitstraling en ga voor de combi: leerzaam en leuk. De game Alcatraz van Insite is een goed voorbeeld. Dit spel betrekt deelnemers actief bij het onderwerp informatieveiligheid waardoor er draagvlak ontstaat voor informatieveilig werken. ‘Zet E-learning en gaming in voor een hogere commitment’ Een e-learning module waarin gaming-elementen zijn verwerkt, scoort beter dan een eenvoudige vragenlijst. Speel ‘leentjebuur’ bij andere interne

'Hoe breng je medewerkers nut en noodzaak van informatiebeveiliging bij?' succesvolle programma’s. Probeer aan te sluiten op wat goed werkt in jouw organisatie. 5. Focus op gedragsverandering Bepaal vooraf wat de medewerker moet doen; wat wordt er gedurende en aan het eind van het programma van hem verwacht? We noemen dit doelgedrag. Bijvoorbeeld: de medewerker moet het beeldscherm vergrendelen bij het verlaten van de werkplek. Het bepalen van het doelgedrag is tijdrovend, maar een essentieel onderdeel in de voorbereidingsfase. Met de nulmeting zien we hoe mensen zich nu gedragen. Vervolgens kan aan de hand van de uitkomsten worden nagegaan wat de medewerker helpt om het juiste doelgedrag te laten zien. Welke triggers zet je in zodat de medewerker volhardt in zijn nieuwe aangeleerde gedrag?

klus. Maar met deze vijf succesfactoren in je plan van aanpak, creëer je succes en impact! Insite Security ondersteunt organisaties bij het inrichten en op orde brengen en houden van informatiebeveiliging. Een belangrijk onderdeel hiervan is awareness. Kijk op de website om te zien wat Insite u en uw organisatie te bieden heeft, of neem contact op. DRS. LOURENS DIJKSTRA is organisatiepsycholoog en werkzaam als organisatieadviseur bij Insite Security. Hij spreekt regelmatig op congressen en seminars over gedrag, awareness en informatiebeveiliging

Succes verzekerd? Het ontwikkelen van een awareness programma dat werkt is een uitdagende INFOSECURITY MAGAZINE | NR. 2 | MEI 2016 | 45

BLOG

IT-SECURITY

Fysieke beveiliging en Baseline

Informatiebeveiliging Nederlandse Gemeenten

Alle gemeenten hebben toegezegd om voor eind januari 2017 te voldoen aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Maar wat is dat: de BIG? De Baseline is een uitwerking informatiebeveiligingsbeleid en omvat maatregelen met betrekking tot inrichting, beheer en onderhoud van informatiesystemen binnen gemeenten. De Baseline is door 95% van Nederlandse gemeenten geaccepteerd. Op deze baseline is ‘verplichte zelfregulering’ van toepassing. Wie denkt dat de baseline alleen over informatiebeveiliging gaat heeft het mis. Hoofdstuk 9 van de baseline gaat over fysieke beveiliging en beveiliging van de omgeving. Hoofdstuk 9 gaat over de gebouwen en terreinen van de gemeente. Uitgangspunt is dat deze voldoende weerstand bieden bij gewelddadige aanvallen zoals inbraak en vandalisme. De baseline geeft aan hoe de gemeente ten aanzien van de beveiliging gebouwen een en ander dient in te richten. Zo dient de gemeente haar gebouwen en terreinen in te delen in zones, het zogenaamde zoneringsplan. De baseline spreekt over minimaal 4 beveiligingszones. De meeste gebruikte zones bij gemeente zijn; Openbaar; wachtruimten en spreekkamers, Werkruimten, ICT-ruimte/beveiligde ruimte (paspoort opslag of WBP art. 16 informatie of gevoelige gegevens). De beveiligingszones worden door middel van fysieke barrières gecreëerd. Doordat de gebouwen en terreinen zijn ingedeeld in zones is het eenvoudig om hieraan autorisatie modellen te koppelen zodat de toegang kan worden gereguleerd. Toegang tot gebouwen en/of ruimtes is alleen mogelijk na autorisatie voor desbetreffende zone. Het spreekt voor zich dat de wijze waarop men toegang krijgt tot een zone afhankelijk is van het type zone. Zo zal bijvoorbeeld een spreekkamer kunnen worden voorzien van een eenvoudig mechanisch slot en zal de ICT ruimte worden voorzien van een biometrielezer en misschien wel een camera. Het type toegangsmiddelen hoort dus in overeenstemming te zijn met de zonering en het risico. Het autorisatie proces dient zo te zijn ingericht dat sprake is van doelbinding zoals (ICT)-Beheer, BHV, GBA, PUN voor speciale ruimtes. Een andere verplichting uit de baseline is dat beveiligingspersoneel toezicht houdt op de toegang van de zones en hiervan een registratie bijhoudt. Verder dient de toegangsbeveiliging zo te zijn ingericht dat ongeautoriseerden alleen onder begeleiding van bevoegd personeel en als er een noodzaak is toegang krijgen tot de beveiligde zones.


Risico zones In veel gemeentelijke gebouwen zijn er zones met een verhoogd risico op bijvoorbeeld geweld en agressie. Daarbij moet worden gedacht aan wacht- en spreekkamers en de ruimtes waar bezoekers in contact komen met gemeente ambtenaren. In deze zone behoren zogenaamde overval alarmknoppen te zijn geplaatst. Deze knoppen geven na het indrukken een direct alarm bij de aanwezige beveiligers. Omdat de gebouwen ‘s avonds, ‘s nachts en in de weekenden gesloten zijn dienen de gebouwen voorzien te zijn van een inbraakdetectiesysteem dat gekoppeld is aan een alarmcentrale. Uitgangspunt van de baseline is dat er 24 uur, 7 dagen per week bewaking is en dat de inbraakdetectie gekoppeld is aan een particuliere alarmcentrale. Uiteraard dienen er dan afspraken gemaakt te worden over alarm opvolging, aanrijroutes en follow-up door politie. Verder dient ook het gehele stelsel van organisatorische maatregelen te zijn ingericht. Onderdeel daarvan is onder andere de procedure wat te doen bij een overval. Ten slotte gaat de baseline er vanuit dat gemeente voor haar terreinen, gebouwen en beveiligde ruimtes gebruik maakt van cameratoezicht.

Wat moet ik er mee? Als informatiebeveiliger kun je je afvragen wat moet ik hier nu mee? Veel technieken die gebruikt worden binnen de fysieke beveiliging zijn op IT-technologie gebaseerd. De integratie tussen fysieke beveiligingssystemen en IT neemt komende jaren alleen maar toe. Denk bijvoorbeeld aan IP camera’s of intercoms met daarop een app. Maar ook nu al zijn veel toegangscontrole systemen uitgerust met een server met daarop een applicatie die onder andere de deurcontroles aanstuurt. Ook camera systemen zijn vaak gewoon een server met daarop een applicatie en daaraan een IP netwerk met IP camera’s. Kortom je kunt bijna alle IT beveiligingsaspecten uit de baseline los laten op de techniek die bij fysieke beveiliging wordt gebruikt. Zelfs aspecten zoals hardening, patchmanagment en antivirus kunnen allemaal worden geïmplementeerd. Kortom de fysieke beveiliging is goed in lijn te brengen met de Baseline Informatiebeveiliging Nederlandse Gemeenten. RONALD EYGENDAAL schrijft sinds 1990 over informatiebeveiliging, elektronische & technische beveiliging, fraudedetectie & -bestrijding, en bewaking & beveiliging voor toonaangevende vakbladen in Nederland en België

Uw data in de wolken

u met beide benen op de grond

Vrijwel alle IT-managers en CIO’s zijn er inmiddels van overtuigd dat de manier waarop Facebook, Netflix en Google hun datacenters hebben ingericht de enige manier is om aansluiting te houden met de snelheid van ontwikkeling in hun industrie. De enorme groei van virtualisatieplatformen als NSX van VMware laat zien hoe groot deze behoefte is. IT-managers moeten een enorme flexibiliteit aan de dag leggen om de snelle ontwikkeling in hun branche het hoofd te bieden en de concurrentie voor te blijven. Dat kan alleen door een extreme vorm van automatisering en kostenbesparing, waarbij het datacenter vrijwel onzichtbaar wordt, en diensten met een paar klikken kunnen worden toegevoegd en on demand worden opgeschaald of gedownsized.

Data security is leading

Net zoals in de afgelopen tien jaar de hardware van servers en opslag gevirtualiseerd is, zo zal in de komende jaren het gehele datacenter gevirtualiseerd worden. Tegelijkertijd moeten privacy officers en CSO’s een strakker veiligheidsbeleid implementeren. Dit proces kan niet - net als voorheen - achteraf worden toegevoegd, maar moet vanaf het begin strak geïntegreerd worden. Het enorme tekort aan security operations specialisten kan worden opgelost door de aandacht te richten op afwijkingen binnen een hoog geautomatiseerde omgeving.

Migratie is complex en kost tijd

Vrijwel alle ondernemingen bevinden zich nu in de transitiefase waarin bedrijfskritische applicaties deels al naar de openbare of hybride cloud zijn gemigreerd. Men voelt aan dat het software defined datacenter een concept is dat netwerken en opslag overstijgt en een centrale regie mogelijk maakt. IT-ver-

antwoordelijken voelen ook de noodzaak van een ‘zero trust’-veiligheidsarchitectuur. De segmentering, het beschermen van hun kroonjuwelen (data) en het streven naar een maximaal zichtbaarheid van alle verkeer vereisen een hyper geautomatiseerde structuur voor implementeren, testen, introduceren en onderhouden. Maar tegelijk moeten bestaande applicaties en infrastructuren nog worden onderhouden en zelfs uitgebreid, met ouderwetse servers, opslag en hardware.

Hoe ‘cloud-ready’ bent u?

Om zicht - en antwoord - op deze belangrijke uitdagingen te krijgen hebben wij de Cloud Readiness Security Scan ontwikkeld, waar wij u graag gratis kennis mee laten maken. Deze scan geeft inzicht in de exacte verkeerspatronen van uw oost-west (intern) en noord-zuid (extern) dataverkeer tussen virtuele en externe servers en clouddiensten. NEEM CONTACT MET ON2IT OP VIA [email protected] of bel ons 088 - 22 66 200

Over ON2IT ON2IT is specialist op het gebied van IT-security. Wij beveiligen data, applicaties en gebruikers slimmer. IT-security is onze specialisatie en passie.ON2IT biedt met zijn op Zero Trust gebaseerde security framework een - in de afgelopen tien jaar in de praktijk bewezen - architectuur voor een optimaal beveiligd Software Defined Data Center. Om dit te realiseren werken wij samen met leading parters zoals Palo Alto Networks, VMware, Brocade en Citrix. Ook zijn wij ISO27001 gecertificeerd. Dit toont aan dat ON2IT zorgvuldig omgaat met informatiebeveiliging, en haar maatregelen continu evalueert en verbetert. Meer informatie: www.on2it.net


NEW: WIRESHARK 2

BLOG

Encryptie van data ‘in transit’

is sleutel voor sluitende informatiebeveiliging

Advanced Analysis with the New Wireshark 2.0 (5 days)

(27 Juni – 1 Juli 2016 Amsterdam/Hoofddorp) Designed for Networking, and Security engineers that need to further enhance their Network Analysis skills through study of Advanced Network Analysis using Wireshark and other Open-Source Network / Security Analysis tools. Successful completion of this course will provide these individuals with a path-way into the field of both Network and Security Analysis.

Troubleshooting TCP/IP Networks (Wireshark University) (5 days) DotNet Academy offers this official Wireshark University course of Laura Chappell in association with the European Wireshark University Authorized Training Partner: SCOS Software bv, Amsterdam/Hoofddorp. Until now, IT professionals using the Wireshark open source analyzer had to teach themselves to decipher packets and detect vulnerabilities on the network. The education and certification programs shorten the learning curve–making networks safer and more stable in a shorter period of time.

WiFi and WLAN Network Analysis (5 days) This course is designed for Wireless Network Engineers, and Ethernet Network engineers desiring to add wireless capabilities to an existing network that possess a basic to intermediate general networking knowledge.

Sinds 1 januari 2016 zijn alle ogen op het Nederlandse bedrijfsleven gericht. Op deze datum ging de Meldplicht datalekken van kracht. Onlangs bracht PwC het Privacy Governance rapport naar buiten waaruit blijkt dat slechts 16% van de ondervraagde organisaties eind 2015 voorbereid waren op de nieuwe meldplicht. Inmiddels zijn er in het eerste kwartaal van dit jaar al meer dan 1000 meldingen van een datalek binnengekomen bij de Authoriteit Persoonsgegevens. Veel organisaties hebben hun informatiebeveiliging dus nog niet op orde.

Aangezien alle Europese landen in 2017 of 2018 te maken krijgen met een zelfde soort wet, namelijk de Algemene verordening gegevensbescherming, moeten bedrijven in zowel Nederland als heel Europa dit jaar nog meer maatregelen nemen om te kunnen voldoen aan de strenge privacyeisen.

Encryptie tijdens netwerktransport Omdat data zich continu verplaatst van gebruiker naar datacenter, van datacenter naar datacenter en

Voice over IP (VoIP) Analysis (5 days) Designed for Network Engineers, VoIP and Network Telephony Personnel that possess a basic to intermediate general VoIP/ Telephony and networking knowledge. Successful completion of this course will provide these individuals with a skill-set and path-way into the field of Network and VoIP Analysis.

CSI: Cyber Security Investigations and Network Forensic Analysis (5 days) CSI Training is designed for Cyber/Cloud Security and that possess a basic to intermediate general security and networking knowledge. This course will provide a path-way into the field of Network Forensics Analysis. Personnel that already possess a working knowledge of Host-based Forensics Analysis should also attend this course as a means of gaining expertise in the End-to-End Digital Forensics process.

Windows Digital Forensics Course (5 days) Forensic Training for Windows administrator/ windows forensic analysts or Law Enforcement personnel with basic knowledge of the Microsoft Windows architecture- but no knowledge of Windows Digital forensic.

dotNet-trainers zijn Certified Wireshark University Trainers, lid van FBI InfraGard, het Computer Security Institute, het IEEE en het Cyber Warfare Forum Initiative. Ze spreken regelmatig op regionale, nationale en internationale evenementen op het gebied van netwerken en beveiliging.

SCOS sponsor SharkFest Europe 17-19 October 2016, Papendal-Arnhem More Information:

www.dotnet.academy

[email protected]

www.dotnetacademy.nl

48 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

First time in Europe tel. +31 (0) 23 5689227

'Encryptie op de optische laag tijdens het netwerktransport is een effectief middel om voor integrale beveiliging te zorgen. Recente doorbraken op het gebied van gevirtualiseerde oplossingen voor gegevensencryptie komen dan ook op het juiste moment' vice versa, is een vorm van encryptie van gegevens tijdens de overdracht de belangrijkste manier om data ontoegankelijk te maken voor derden. De versleuteling van gevoelige en bedrijfskritische data ‘in transit’ is essentieel voor een echt sluitende strategie voor informatiebeveiliging. Encryptie op de optische laag tijdens het netwerktransport is een effectief middel om voor integrale beveiliging te zorgen. Recente doorbraken op het gebied van gevirtualiseerde oplossingen voor


gegevensencryptie komen dan ook op het juiste moment. Het hoogste niveau van encryptie (AES 256) is nu al beschikbaar voor de gegevensoverdracht op basis van een Virtualised Network Function (VNF), een oplossing die forse kostenbesparingen met zich meebrengt. Daarmee wordt de encryptie van kleinschaliger gegevensverbindingen, zoals 2 Mb/s-verbindingen naar bijkantoren, voor veel organisaties opeens een economisch haalbare kaart. De Meldplicht datalekken en de komst van nieuwe Europese weten regelgeving stellen bedrijven met een Nederlandse/Europese aanwezigheid voor de opgave om de juiste technische en organisatorische maatregelen te treffen voor het beschermen van persoonsgegevens en geavanceerde technologische oplossingen te vinden die hen daarbij kunnen helpen. Nederlandse bedrijven spelen wat dat betreft een pioniersrol. Zodra de EU-wetgeving van kracht gaat, zullen zij immers het beste zijn voorbereid.

Een snelle checklist voor de Meldplicht datalekken: 1. Schakel een juridisch adviseur in om inzicht te verwerven in de gevolgen van de meldplicht datalekken voor uw organisatie. 2. Bouw privacy in uw bedrijfsprocessen in. Dit is mogelijk door u een goed beeld te vormen van de informatiestromen binnen uw organisatie. Ga na op welke door u verzamelde gegevens de Meldplicht datalekken van toepassing is, wat de bestemming van de informatiestroom is, wie toegang tot de informatie heeft, waar die wordt opgeslagen, hoe die wordt overgedragen, of die op het juiste moment wordt gewist enzovoort. 3. Pas de juiste mate van beveiliging toe op persoonsgegevens om uw organisatie te beschermen tegen boetes en juridische stappen, mocht het ergste gebeuren. Dit kunt u onder meer doen door inzicht te verwerven in de technologische oplossingen die hiervoor op de markt beschikbaar zijn. Weeg de kansen en risico’s tegen elkaar af en documenteer de beslissingen die u neemt. DUNCAN ELLIS, Global Industry Insights bij Ciena

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 49

LEGAL LOOK DOOR MR. V.A. DE POUS

Het mondiale encryptiedebat: Nederland laatste der Mohikanen?

Niet zozeer de voortdurende stroom baanbrekende onthullingen van klokkenluider Edward Snowden plaatst het onderwerp encryptie wereldbreed op de politieke agenda, het zijn vooral de terroristische aanslagen in het westen. Telkens weer. New York, Londen, Madrid, Parijs en recent Brussel. Het geruchtmakende juridische wapengekletter tussen de FBI en Apple Inc. - ingegeven door eveneens een jihadistische aanslag, in San Bardino, Californië - oogde in toenemende mate een schijnvoorstelling. Dat had alles te maken de visie van experts. Federale agenten beschikken direct of indirect over voldoende technische kennis en mogelijkheden om een heuse iPhone 5c te kraken; nog los van de discussie of informatie opslagen in iCloud gemakkelijk (voor Apple) toegankelijk is. Mogelijk is in ieder geval de eerste aanname op werkelijkheid gestoeld, nu de versleutelde gegevens kennelijk zijn ontsloten en de procedure daarmee van de baan is. Was het dan toch geen proefproces? Ondertussen mengde vriend en vijand zich in het debat. Terwijl bijvoorbeeld Microsoft zich faliekant achter Apple schaarde, koos Bill Gates juist voor de FBI: Apple moet meewerken. Later nuanceerde hij zijn stelling enigszins. En wij dan? Nederland heeft begin dit jaar een buitengemeen ferm en in sommige kringen ongetwijfeld omstreden standpunt over encryptie ingenomen. Eigenlijk gaat het om meersporenbeleid. Een. Op dit moment vindt het kabinet het ‘niet wenselijk om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland.’ Twee. Het kabinet zal zowel deze conclusie als de hieraan ten grondslag liggende afwegingen internationaal verkondigen. Drie. De minister van Economische Zaken zal sterke encryptie bevorderen, in lijn met een amendement ter zake op de begroting van EZ. Keuzes, die niets aan duidelijkheid te wensen overlaten.

encryptie door verdachten toeneemt, vooral binnen kinderpornonetwerken. Moeite met deze maatregel had Opstelten niet. Het gaat immers om strafbaar gedrag dat de geestelijke gezondheid en lichamelijke integriteit van slachtoffers ernstig kan aantasten. Daar komt bij dat een verdachte die zich zo heeft ingespannen om zijn activiteiten voor de buitenwereld te verhullen, rekening moet houden met de inzet van zwaardere middelen door de overheid om de burgers te beschermen, zo luidde de redenering. En volgens wetenschappelijk onderzoek is onder bepaalde strenge voorwaarden een ‘ontsleutelplicht’ kennelijk verenigbaarheid met het in artikel 6 van het EVRM opgenomen nemo-teneturbeginsel. Dat betreft een uiterst cruciaal strafvorderlijk principe: verdachten kunnen niet verplicht worden mee te werken aan hun eigen veroordeling.

'Nederland heeft begin dit jaar een buitengemeen ferm en in sommige kringen ongetwijfeld omstreden standpunt over encryptie ingenomen'

Hoe anders was de politieke stemming in Den Haag vier jaar geleden. Verdachten van het bezit en de handel in kinderpornografie of van terroristische activiteiten kunnen straks verplicht worden mee te werken aan het openen van versleutelde bestanden op hun computer, aldus minister Opstelten (V&J) in 2012. Een wetsvoorstel was in de maak. Met de nieuwe maatregel kwam de bewindsman tegemoet aan een wens van Tweede Kamerleden. De opsporingspraktijk heeft namelijk behoefte aan de mogelijkheid van een ‘decryptiebevel’ omdat


Nu waait de wind dus uit diametrale hoek. Interessant is de motivering van het kabinet. Veel succes met toegang tot versleutelde gegevens valt vandaag niet te verwachten, omdat onder meer leveranciers, die informatie van hun klanten verwerken, er zelf niet bij kunnen. Alleen de klant heeft immers de sleutel. Een andere afweging ziet toe op het risico dat digitale achterdeurtjes met zich meebrengen: systemen worden kwetsbaar en dat opent letterlijk de deur voor misbruik door criminelen, terroristen en buitenlandse inlichtingendiensten. Je kunt zeggen dat Nederland zich pragmatisch opstelt - ingegeven door de stand der informatietechniek en de gewoonten en gebruiken in de ICT-sector - en zich minder door een fundamentele, grondrechtelijke benadering van het dilemma laat leiden. Ongeacht de motivering, het encryptiestandpunt van het kabinet staat onverkort fier. Laten we hopen dat Nederland ter zake niet de laatste der Mohikanen wordt; niet in Europa en niet in de wereld.

Wireless is Easy. Secure Wireless is the Challenge Every product that WatchGuard creates is built with consideration for the Secure Wireless environment. From the telecommuter to the corporate network, organizations face persistent security threats across all wireless environments.

Not all Access Points are created equal. Find out why at watchguard.com/securewireless.

INFOSECURITY MAGAZINE | NR. 2 | MEI 2016 | 51 © 2016 WatchGuard Technologies, Inc. All rights reserved. WGCE66888_011216

The IT Security Expo and Congress

Nuremberg, Germany, 18 – 20 October 2016 Visit the most important exhibition for IT security with Europe’s most comprehensive range of IT security solutions. More than 400 exhibitors are looking forward to your visit.

Get Your Upgrade, NOW! Find new solutions.

it-sa.de Would you like to be kept informed? it-sa.de/newsletter

INFO SECURITY MAGAZINE SCHIJNBAAR ONGEVAARLIJKE FOUT KAN TOCH LEVENSGEVAARLIJK ZIJN HET MALAFIDE SUCCES VAN RANSOMWARE

Recommend Documents