INFO
JAARGANG 14 - DECEMBER 2015 - WWW.INFOSECURITYMAGAZINE.NL
SECURITY MAGAZINE
‘SECURITY EVERYWHERE’
BETEKENT CENTRALE ROL VOOR HET NETWERK
HET SPANNINGSVELD
TUSSEN VEILIGHEID EN PRIVACY
TRENDS IN SECURITY 2016:
ZESTIEN SECURITY-SPECIALISTEN AAN HET WOORD DE TOEKOMST VAN DE DIGITALE IDENTITEIT - CLOUDWARS, MAY THE FORCE BE WITH YOU - BESTUURDERS PERSOONLIJK AANSPRAKELIJK BIJ NIEUWE MELDPLICHT DATALEKKEN ‘TRADITIONELE BENADERINGEN VOLDOEN NIET LANGER’ - HOE WALL STREET MET CYBER-RISICO’S OMGAAT - CLOUD VERANDERT OP DETAILS VEEL - SOCIAL ENGINEERING: OUDE WIJN IN NIEUWE ZAKKEN - BEDRIJVEN VERWAARLOZEN SECURITYFUNDERING - WACHTWOORDEN VRAGEN OM PROBLEMEN - WAAROM BLIJFT CYBERCRIME IN DE MEESTE GEVALLEN ONBESTRAFT?
g
Colofon - Editorial
Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via
[email protected]. Uitgever Jos Raaphorst 06 - 34 73 54 24
[email protected] twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40
[email protected] twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel
Hoeveel dagen per jaar voelt u zich veilig?
Advertentie-exploitatie Will Manusiwa 06 - 38 06 57 75
[email protected] Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk ProFeeling Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59
[email protected]
Kent u dat verhaal van die kalkoen die zich het hele jaar veilig voelde? De afloop laat zich raden... Ook op het gebied van IT-security is het verschil tussen veilig voelen en veilig zijn levensgroot. Vandaar onze vraag: hoeveel dagen per jaar voelt u zich veilig? Heeft uw organisatie alles onder controle of loopt u het risico verrast te worden? Sogeti helpt u graag met het
identificeren, verminderen en voorkomen van risico’s. Dankzij onze kennis, ervaring en bewezen aanpak op het gebied van IT-security is uw informatiebeveiliging 365 dagen per jaar op orde. Zodat u zich volledig kunt richten op uw strategische bedrijfsdoelstellingen. Kijk op sogeti.nl/security. Want zolang u zich veilig voelt, bent u het niet.
Security. Uw veiligheid, onze drive. 2
© 2015 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: www.infosecuritymagazine.nl
‘Helaas kwamen onze voorspellingen uit’
We horen niet vaak marktonderzoekers en analisten met teleurstelling in hun stem zeggen: we hadden gelijk, onze voorspellingen zijn uitgekomen. Het gebeurde echter wel tijdens HPE Discover, een event dat begin december in Londen plaatsvond. De leverancier HPE zegt u misschien niet zoveel, maar die letters staan voor Hewlett Packard Enterprise. Dat is de IT-tak waar onder andere de server-, storage-, software-, security- en networking-divisies van het oude HP in zijn opgegaan na de splitsing van dit concern. De - zeg maar - pc-tak is als zelfstandig bedrijf verder gegaan onder de naam ‘HP Inc’. Tijdens Discover werd - uiteraard - ook veel aandacht besteed aan security. In het verleden publiceerde HP ieder jaar een groot overzichtsrapport met de stand van zaken op security-gebied. HPE zet die traditie voort. Het in 2014 gepubliceerde rapport bevatte voorspellingen over het jaar dat nu vrijwel achter ons ligt. De voorspellingen waren stevig - een behoorlijk doemscenario zelfs - maar zijn volgens HPE dus uitgekomen. WAT KUNNEN WE HET VOLGENDE JAAR VERWACHTEN? In Nederland hebben de security-aanbieders zich inmiddels massaal gestort op de nieuwe Nederlandse wetgeving die het bekend maken van datalekken verplicht stelt. Veel aanbieders proberen het gevoel van urgentie bij de gebruikers nog wat verder op te jutten. Er staan immers fikse boetes op het niet nakomen ervan (en niet op het hebben van datalekken zelf trouwens, zoals hier en daar ten onrechte geroepen wordt). Ik denk eerlijk gezegd dat ze daarmee de plank enigszins misslaan. Natuurlijk is deze nieuwe wet belangrijk. Maar zeker bij grotere bedrijven en instellingen in ons land is men zich zeer wel bewust van het probleem dat IT-security heet. Maar CISO’s en security-specialisten van die organisaties zijn ook wel een beetje klaar met alweer een stapel nieuwe tools die zij geacht worden aan te schaffen. Steeds vaker kom ik onder hen de visie tegen dat techniek alleen de oplossing niet gaat brengen. Er is meer nodig. De vraag die
voor veel mensen echter nog niet beantwoord lijkt te zijn: maar wat dan? Misschien kan een methodiek als FAIR helpen. Die letters staan voor ‘Factor Analysis of Information Risk’. Het gaat om een methodiek waarmee we de zakelijke gevolgen van problemen op het gebied van IT-security in kaart kunnen brengen. Welke risico’s loopt de business bij welk soort en type security-incident? Financieel, juridisch, op het gebied van concurrentievermogen enz. De essentie is wat mij betreft: IT-security bekijken vanuit het oogpunt van zakelijke risico’s. Wat zijn de risico’s die we zakelijk lopen als een bepaald type bedrijfsinformatie door de verkeerde personen wordt ingezien, gestolen, enz.? Soms zijn de gevolgen heel bescheiden. In andere gevallen hebben we met een regelrechte ramp te maken. Die inschatting geeft ook meteen een maat voor de maatregelen die we moeten nemen. En de investeringen die we hiervoor kunnen rechtvaardigen. Dat is een aanpak die IT-security uit de hoek van techniek haalt en neerlegt waar het hoort: bij de business. En daarmee zijn we aan het einde gekomen van alweer een bewogen security-jaar. Volgend jaar gaat - helaas - zeker niet beter worden dan dit jaar. Ik vrees dat ik het niet mooier kan maken. Desondanks wens ik u fijne feestdagen! Robbert Hoeffnagel is hoofdredacteur van Infosecurity Magazine (NL/BE)
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
3
INHOUD
De toekomst van de digitale identiteit 10 In de EU en in Nederland bestaan diverse initiatieven om identificatie en authenticatie van personen (burgers, consumenten) en bedrijven in te richten. Het identity-landschap zal daardoor de komende maanden ingrijpend gaan veranderen. 12 Integratie application delivery controller en firewall voor datacenters
Meer weten over business, innovatie & IT? Lees www.BusinessEnIT.nl
De drie belangrijkste security-thema’s voor 2016 14 Informatiebeveiliging krijgt ieder jaar meer aandacht. En met recht, want de potentiële impact van een lek, cyberaanval of systeemcrash is groter dan ooit. Onze afhankelijkheid van (digitale) informatie groeit onophoudelijk - een groei die in 2016 niet zal afnemen. Maar waarop moet u zich het komende jaar richten? Securityexpert Gerard Stroeve van Centric: “Als ik organisaties en security-specialisten die vraag stel, dan komen drie thema’s telkens terug. Dat zijn cloudsecurity, privacy en awareness.” Dit beeld wordt onderbouwd door de uitkomsten van de Nationale IT-Security Monitor. 17 CloudWars, may the Force be with you 21 Verankeren met het informatiebeveiligingsbeleid Vier security-termen die je vast nog niet kent 22 Op het gebied van technologie hebben we met een enorme vooruitgang te maken. Maar hetzelfde geldt voor crackers, ofwel criminele hackers. Ook zij beschikken over nieuwe methodes die zeer geavanceerd zijn. Dat maakt het security-gebied zeer dynamisch. Het gevolg is dat we continu met nieuwe begrippen te maken hebben. Henk van der Heijden, Managing Director bij Comsec Consultancy in Nederland, legt vier nog relatief onbekende termen voor ons uit. Het spanningsveld tussen veiligheid en privacy 24 De recente terroristische aanslagen in Parijs zijn hartverscheurend en ijzingwekkend. Enge, fanatieke extremisten, die zichzelf moslims noemen, geloven een heldendaad te verrichten wanneer zij zoveel mogelijk ‘ongelovigen’ ombrengen. Als zij daarmee zelf het leven laten, wacht hen een 72-tal schone maagden in het paradijs, zo veronderstellen zij. Dat zij in hun fanatisme (en hun verlangen?) compleet onschuldige burgers doden, die persoonlijk niets te maken hebben met bombardementen op ISdoelen, lijkt een voordeel. Daarmee zit de schrik er namelijk bij miljoenen mensen in de Westerse wereld direct goed in. 28 Kostenbesparing door vertrouwen 30 De Business Case voor IT Auditing-tools 32 Bestuurders persoonlijk aansprakelijk bij nieuwe meldplicht datalekken 34 ‘Traditionele benaderingen voldoen niet langer’ 36 Hoe Wall Street met cyber-risico’s omgaat
Business & IT publiceert artikelen en blog posts over de relatie tussen IT, business en innovatie.
38 Cloud verandert op details veel
Ook publiceren? Kijk op http://businessenit.nl/over-business-en-it/
46 Wachtwoorden vragen om problemen
42 Social engineering: oude wijn in nieuwe zakken
48 Waarom blijft cybercrime in de meeste gevallen onbestraft? 50 Legal Look
4
TRENDS IN SECURITY 2016: SECURITY IN EEN SMACT WERELD
6
Het is er in 2015 niet makkelijker op geworden. Tenzij je een cybercrimineel bent. Met de opkomst van nieuwe technologieën zijn er steeds meer doelen waar je je pijlen op af kan schieten. En dan leveren diezelfde nieuwe technologieën weer allerlei nieuwe wapens op, waar het steeds eenvoudiger wordt om die doelen te raken. En met de doorzettende digitalisering van burger en organisatie valt er ook nog eens steeds meer buit te behalen.
‘SECURITY EVERYWHERE’
BETEKENT CENTRALE ROL VOOR HET NETWERK
18
Het netwerk zoals we dat kenden is dood! Leve het nieuwe netwerk: het extended network dat in de afgelopen jaren is uitgebreid met datacenters, de cloud, talloze endpoints en het Internet of Things. Dat betekent ook dat het aantal mogelijke aanvalsvectoren explosief is toegenomen zodat aanvallers via al die toegevoegde componenten kunnen binnendringen om uiteindelijk bij waardevolle bedrijfsgegevens te komen. Al die verschillende vectoren hebben één gemeenschappelijk aspect: het extended network. Dit netwerk staat centraal in de onlangs uitgebreide security-aanpak van Cisco.
‘DIT IS DE MAJOR LEAGUE’
40
2015 is een jaar geweest waarin we opnieuw een serie concrete cyberaanvallen hebben gezien, waarop door het bedrijfsleven nogal lauwtjes is gereageerd. “Zelfs wanneer een organisatie reeds is aangevallen, wordt er te weinig aan effectieve oplossingen gewerkt”, meent René van Buuren, Director Cybersecurity bij Thales Nederland. In 2016 moet dat anders. “We moeten hier in Nederland ophouden alles maar zelf te willen doen en onze kennis en middelen veel gerichter gaan inzetten.”
BEDRIJVEN
VERWAARLOZEN SECURITYFUNDERING
44
In 2016 krijgen we te maken met slimmere en zwaardere cyberaanvallen. Ter verdediging daartegen adviseert Venafi CIO & CISO Tammy Moskites meer aandacht te besteden aan het beheer van alle gebruikte digitale certificaten en encryptiesleutels. Veel bedrijven investeren namelijk in geavanceerde securityoplossingen aan de rand van hun digitale infrastructuur, terwijl ze de fundering verwaarlozen.
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
5
TRENDS IN SECURITY 2016 PRIVACY
SECURITY IN EEN SMACT WERELD Het is er in 2015 niet makkelijker op geworden. Tenzij je een cybercrimineel bent. Met de opkomst van nieuwe technologieën zijn er steeds meer doelen waar je je pijlen op af kan schieten. En dan leveren diezelfde nieuwe technologieën weer allerlei nieuwe wapens op, waar het steeds eenvoudiger wordt om die doelen te raken. En met de doorzettende digitalisering van burger en organisatie valt er ook nog eens steeds meer buit te behalen.
Foto: Carsten Reisinger - www.shutterstock.com
6
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
7
TRENDS IN SECURITY 2016 PRIVACY
'In analytics zit juist een belangrijk deel van de oplossing voor veel securityproblemen in 2016' Voor de slachtoffers onder bedrijven en instellingen – de niet-slachtoffers zijn duidelijk in de minderheid of hebben het nog niet door – wordt nieuwe technologie steeds meer een hoofdpijndossier. De snelheid waarmee veel organisaties de cloud, slimme mobiele toepassingen, big data, sociale media en het Internet of Things omarmen, lijkt niet of nauwelijks bij te benen. Met zoveel openstaande ramen en achterdeuren, houd je de voordeur alleen nog maar dicht om te voorkomen dat het gaat tochten. Toch? Maar ja, als het misgaat, kan je er in 2016 ook nog eens een flinke boete voor krijgen. Vandaar dat dit jaaroverzicht zich volledig op SMACT richt. DE S VAN ‘SOCIAL’ Mogelijk ben ik met mijn 45 jaren te oud, maar ik zie eigenlijk maar weinig vernieuwingen op het gebied van sociale media. Ook op het gebied van sociale cybercrime, staat de innovatie stil. Anoniem treiteren is een groot probleem, maar kennen we al de nodige tijd. Dat sociale media gebruikt worden om persoonlijke informatie te oogsten ten behoeve van bijvoorbeeld spam en spearfishing, is ook niet nieuw. En het gebrek aan voorzorgsmaatregelen dat gebruikers bereid zijn te nemen, is ook niet nieuw. Er is wel steeds meer aandacht voor training rond zorgvuldig gebruik van sociale media binnen, met op zijn best gemengde resultaten. Jonge medewerkers blijven wat je ook probeert onvoorzichtig en oudere werknemers vooral onkundig. In 2016 zal daar waarschijnlijk niet zoveel in veranderen. Natuurlijk blijft het een belangrijk aandachtspunt, maar laten we maar snel naar de M gaan. DE M VAN ‘MOBILE’ Het gebruik van slimme, mobiele apparatuur is nog altijd een recent fenomeen, maar is zo breed doorgedrongen dat dit 8
veel mensen ontgaat. Vanuit een security-perspectief zal er ook in 2016 behoorlijk geworsteld worden met de mobilisering van de werkplek. Maar 1 op de 3 Nederlandse bedrijven geeft aan over voldoende kennis te beschikken om het gebruik van mobiele apparatuur adequaat te beveiligen. Waar enkele jaren geleden de laptop en de USB-stick de belangrijkste risico’s vormden, is het aantal apparaten dat zich buiten de firewall waagt, geëxplodeerd. Veel IT-beveiligers komen echter nog maar net uit de fase van verbieden en zijn in 2015 gaan reguleren. Maar ze zijn nog heel erg op zoek naar welke beveiligingstechnologie ze het beste kunnen gebruiken. Ook aan de leverancierskant gaan de ontwikkelingen nog zeer snel en is het aanbod lang niet altijd even volwassen. DE A VAN ‘ANALYTICS’ In analytics zit juist een belangrijk deel van de oplossing voor veel security-problemen in 2016. Enerzijds zijn er (al heel lang) de analytics die security leveranciers gebruiken om bedreigingen in kaart te brengen en filters up-to-date te houden, op basis van de gebruiksdata van enorme aantallen gebruikers. Hoewel hierdoor veel aanvallen worden voorkomen, is het ook een methode die per definitie achter de feiten aan loopt. Analytics nemen echter ook een steeds grotere rol in bij het bestrijden van gerichte en complexe aanvallen. De huidige generatie SIEM-tools is niet alleen in staat om events en incidenten te loggen, maar ook om (deels) realtime geautomatiseerd te reageren op gebeurtenissen. Voor steeds meer organisaties wordt dit een bittere noodzaak, met als positieve bijkomstigheid dat veel SIEM-oplossingen goed van pas komen om aan eisen van regelgevers te voldoen. Hoe SIEM-oplossingen worden ingezet, gaat ook veranderen. Steeds minder organisaties be-
schikken over eigen Security Operations Centers. Ze besteden het steeds vaker uit, of verwachten juist meer intelligentie van de tools zelf. DE C VAN ‘CLOUD’ De impact van de cloud op IT-security is groot. Waar met ‘mobile’ de end-point zich buiten de muren van de organisatie bevindt, bevindt met de cloud de backend zich buiten de organisatie. Ook hier geldt dat maar één op de drie organisaties zegt over voldoende kennis te beschikken om het cloudgebruik adequaat te beveiligen. En intussen neemt het gebruik snel toe. In de meeste gevallen blijkt security geen groot probleem te vormen en eerder te verbeteren dan te verslechteren. Maar we zien ook dat weten regelgevers zich steeds meer met databeveiliging bezighouden. Het ongeldig verklaren van het Safe Harbourverdrag laat zien dat je als organisatie voorzichtig om dient te gaan met de locatie van je data. Natuurlijk gaat er een nieuw verdrag tot stand komen en zijn er mogelijkheden om via standaard contracten met Amerikaanse locaties te blijven werken. Maar in combinatie met de nieuwe privacy wetgeving, zullen veel Nederlandse organisaties in 2016 veel voorzichtiger dienen te gaan handelen dan ze de gewend waren. En dan hebben we nog Cybercrime as a Service. CyaaS is geen nieuw fenomeen. Al jaren kan je voor enkele honderden dollars een DDOS-bot aanschaffen. Als je meer te besteden hebt, kan je ook ‘veilig’ lekker spammen. Nieuw is dat je nu ook cybercrime als bijbaantje (CyaaB) kan nemen als je vakkenvullen te vermoeiend vindt. Al voor 50$ is het mogelijk om toegang te krijgen tot een Cryptolockerservice. Enige kennis van IT is niet nodig. Vervolgens vraagt de aanbieder van deze ransomwaredienst 10% van het ver-
diende losgeld. Nou, die 50$ kan je nog wel van je moeder lenen. DE T VAN ‘THINGS’ Het Internet der Dingen creëert een prachtig nieuw speelveld voor de cybercrimineel. En ook voor de crimineel komen daarbij de fysieke criminaliteit en digitale criminaliteit in elkaars verlengde te liggen. Tot nog toe blijken veel IoT-oplossingen eenvoudig te kraken. In Nederland worden per dag gemiddeld 35 auto’s gestolen door het beveiligingssysteem te hacken. Het systeem blijkt al snel gekraakt te worden na de introductie van het systeem op de markt, waarna juist dit beveiligingssysteem tot het grootste risico op diefstal leidt. In een ronde tafel over nieuwe technologie in de zorgsector, vertelden ziekenhuizen dat ze al die mooie nieuwe apparatuur van Philips vooral niet op het Internet aansluiten, omdat dat al tot de nodige incidenten heeft geleid en ze zich dergelijke risico’s niet kunnen veroorloven. Zo kunnen we nog wel een tijdje doorgaan. Het concept security by design moet in 2016 heel snel boven aan de agenda komen en dan nog zullen we er rekening mee moeten houden dat IoT-apparatuur vaak veel langere levenscycli heeft dan IT-apparatuur. DE H VAN ‘HOOP’ De technologische vernieuwing gaat in een hoog tempo door. Om dit veilig te realiseren, lijkt een ongelijke strijd. Toch is er hoop. Gemiddeld genomen neemt het aantal security-incidenten af bij bedrijven die een cloudoplossing in gebruik hebben genomen. Dat zag Pb7 dit jaar zowel in de Nationale EuroCloud Monitor als de MKB Cloud Barometer (in opdracht van Exact en KPN). Juist door de IT-be-
veiliging over te laten aan een gespecialiseerde leverancier, blijft de veiligheid op niveau. Uiteraard dien je dan wel weer zelf zaken als IAM goed op orde te krijgen. Dat leidt wel weer tot een volgende vraag: doen organisaties wellicht nog altijd teveel zelf op het gebied van security? Wanneer kan je er niet meer omheen om van de schaalvoordelen van marktpartijen en samenwerkingsverbanden gebruik te maken? En wat is dan de rol van de eigen IT-beveiligers? In de praktijk zien we inderdaad een toenemende vraag naar managed security services en zijn zelfs steeds meer bedrijven bereid om de regie over de IT-beveiliging met een derde partij te delen. Doordat organisaties meer taken in handen leggen van derden, ontstaat er ruimte om de IT-security organisatie naar een hoger plan te tillen. Daarmee bedoelen we twee dingen: Er ontstaat de ruimte om meer proactief naar dreigingen en het beheersen daarvan te kijken. De nadruk verschuift steeds meer van het zoeken naar bekende dreigingen naar het realtime analyseren van gebeurtenissen op het netwerk. En ook het beschermen van de data zelf, in plaats van alleen de hekken er om heen, wordt steeds belangrijker als je er van uit gaat dat dataverlies onvermijdelijk is. Dan maar onbruikbare data. En er ontstaat de ruimte om ook proactief binnen de organisatie met security om te gaan. Daarmee bedoelen we dat er op alle niveaus nauwer samen moet worden gewerkt binnen de organisatie: van IT-beveiliging naar totale risicobeheersing, waarbij het uitgangspunt altijd de business impact is, inclusief complian-
ce. Security dient overal voor in de keten te komen. IT-oplossingen moeten (echt) secure en private by design worden en IT-security zal samen met de zakelijke beslissers op zoek moeten naar hoe de organisatie nieuwe technologie optimaal kan benutten. Hoewel de noodzaak van deze verschuivingen steeds meer worden erkend, zien we maar een langzame verandering binnen Nederland. Het aantal echte CISO’s is op een paar handen te tellen, de nadruk van de investeringen blijft sterk op perimeterbewaking hangen en de kennis van nieuwe technologie neemt maar beperkt toe. Nu we naar een jaar toe gaan waar dataverlies verplicht inzichtelijk moet worden gemaakt, boetes zullen worden gaan uitgedeeld, IT nog belangrijker wordt voor de organisatie, cybercrime nog complexer en zelfs de terroristische cyberdreiging toeneemt, mag het allemaal wel wat sneller.
Peter Vermeulen is directer van Pb7 Research
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
9
CONGRES
Euroforum-congres op 28 januari 2016 in teken van:
DE TOEKOMST VAN DE DIGITALE IDENTITEIT In de EU en in Nederland bestaan diverse initiatieven om identificatie en authenticatie van personen (burgers, consumenten) en bedrijven in te richten. Het identity-landschap zal daardoor de komende maanden ingrijpend gaan veranderen.
re en het gebruik van idensys moet dit oplossen: Het is duidelijk dat de organisatorische en financiële gevolgen voor de dienstverlening bij uitval van DigiD erg groot kunnen zijn.”
SPREKERSVELD Op dit congres, georganiseerd door Euroforum en mede mogelijk gemaakt door ID Next, PIMN, Connectis, Innopay en PostNL, staat een interessante line-up aan sprekers. Een greep uit het sprekerskorps: prof. Jos Dumortier emeritus hoogleraar ICT Law van de KU Leuven, Jaap Kuipers van het PIMN, Eliane Oldhof van Thuiswinkel.org en Gert Maneschijn van de RDW.
Om te vervolgen met: “Identificatie en authenticatie gaat steeds meer een significante en zichtbare rol spelen in de digitale dienstverlening en dus ook in de maatschappij. Convergentie van authenticatie-middelen lijkt hierin nog niet een belangrijke rol te spelen. Momenteel worden er verschillende soorten authenticatie-middelen door dienstverleners aangeboden waardoor er een (grote) keuze is voor de consument maar dat ook een significante groei aan de digitale sleutelbos veroorzaakt. Door het gebruik van twee factor authenticatie wordt de betrouwbaarheid in het gebruik van de dienstverlening wel verhoogd. Ook is er een significante toename in mobiele toepassingen waardoor het mogelijk is om voor consumenten op een laagdrempelige manier zaken te kunnen doen met commerciële dienstverleners.”
De aanpak van elektronische identificatie en authenticatie voor overheid en bedrijfsleven raakt iedereen. Maar wat betekent dit nu concreet voor uw sector? En wellicht nog belangrijker: voor uw organisatie? Welke ontwikkelingen zijn er op het gebied van online betalen, on-boarding van klanten en identificatie en authenticatie van klanten? Wat kunnen we leren van andere landen, sectoren en initiatieven in het kader van EU-verordeningen, wet- en regelgeving in Nederland? En wat is er nodig om de volgende stap in digitale identiteit te maken? Hoe zit het met de opvolger van DigiD/eHerkenning? Antwoorden op deze vragen krijgt u tijdens het congres ‘De toekomst van de digitale identiteit’. Dit congres brengt alle belangrijke spelers samen en biedt praktische handvatten om meteen in uw eigen werkomgeving mee aan de slag te kunnen.
Maarten Wegdam 10
Ook Robert Garskamp (oprichter IDNextplatform) en Maarten Wegdam, managing partner bij InnoValer verzorgen presentaties. Beide sprekers hebben een blog geschreven (zie ook blog.euroforum.nl) waarin zij een aantal opmerkelijke uitspraken doen en een specifieke visie hebben gegeven op de toekomst van digitale identiteit. SINGLE POINT OF FAILURE Zo schrijft Robert Garskamp: “Digid is (op dit moment) een single point of failu-
IDENTITEITSPROVIDERS Maarten Wegdam, managing partner bij InnoValer Identiteit, gaat in zijn blog ‘Het borgen van de privacy van de klant is essentieel’ dieper in op de ontwikkelingen van identificatie & authenticatie van klanten. Wegdam schrijft: “Steeds meer realiseren organisaties zich dat identificatie & authenticatie van klanten niet hun core business is. Dit zelf doen is niet alleen duur, maar in veel gevallen ook minder veilig en minder gebruikersvriendelijk dan dit aan gespecialiseerde derden over te laten, zogenaamde identiteitsproviders of authenticatie-diensten. In het overheidsdomein kent iedereen dit al met DigiD, die als een soort derde partij burgers authentiseert voor allerlei overheidsdiensten en anders diensten die BSN mogen gebruiken (zorg en pensioen). Dat dit soort herbruikbare iden-
titeiten een goed idee is heeft, uitzonderingen daargelaten zoals in het hoger onderwijs, nog niet echt geleid tot een grootschalige introductie van herbruikbare identiteiten. Redenen hiervoor zijn dat het erg veel vertrouwen eist van de afnemende partij (bijvoorbeeld een online retailer) in de identiteitsprovider, onduidelijkheid over business modellen, market entry uitdagingen (kip-ei probleem) en privacy uitdagingen.” VEEL INITIATIEVEN Wegdam: “Er zijn vele initiatieven, misschien is dat wel één van de problemen. Als dit geen dagelijkse kost is, is het lastig bij te houden. Ik noem wat belangrijke initiatieven. In Nederland zijn het met name Idensys, BankID, een nieuw publiek middel en versterkingen van DigiD. Idensys is de nieuwe naam van het eID stelsel, een afsprakenstelsel beheerd door de Nederlandse overheid waarin private
PROGRAMMA CONGRES DE TOEKOMST VAN DE DIGITALE IDENTITEIT 09.00 Ontvangst en registratie 09.30 Opening door uw dagvoorzitter Jaap Kuipers, Initiatiefnemer, Platform Identity Management Nederland (PIMN) 09.45 E-Identity in Nederland Wat is Gemeenschappelijke Digitale Infrastructuur (GDI). Wat is de digitale identificatie agenda van de Rijksoverheid? Wat is de brug naar het bedrijfsleven? Hoe kan er in deze keten worden samengewerkt? Overzicht van Indensys initiatieven 10.05 Identity in Nederland: voortgang van Bank ID Piet Mallekoote, Directeur, Betaalvereniging Nederland 10.25 Binnen de kaders van de EU: de eIdas verordening, zicht op Europees beleid 2016-2017 Jos Dumortier, Professor Em. of ICT Law, K.U.Leuven; Partner, Time.Lex Andrea Servida, Head of Task Force Legislation Team (eIDAS), European Commission (dit deel van de presentatie is in het engels)
identiteitsproviders gebruikers authentiseren voor publieke en private partijen.” “Idensys kan gezien worden als een doorontwikkeling van eHerkenning, een vergelijkbaar afsprakenstelsel gericht op business2government diensten. BankID is een gezamenlijk initiatief van de Nederlandse banken, die van plan zijn hun bancaire identiteiten te gaan hergebruiken vergelijkbaar met Idensys. Er is ook een initiatief van de Nederlandse overheid tot een veilig publiek middel voor toegang tot publieke diensten, door rijbewijs en identiteitskaart hiervoor geschikt te maken. In de tussentijd werkt de Nederlandse overheid ook aan DigiD versterking door een DigiD app te introduceren en het mogelijk te maken een rijbewijs, paspoort of identiteitskaart te gebruiken als authenticatie-middel bovenop DigiD basis, door de contactloze chip uit te lezen met een NFC reader of
smartphone. Kortom, een bult ontwikkelingen die hopelijk elkaar versterkend allemaal samenkomen in één afsprakenstelsel. Maar of en wanneer dit gebeurt is nog erg spannend. Vanuit Europa wil ik met name eIDAS noemen, dit is een EU verordening waarbinnen landen elkaars digitale identiteitsoplossingen moeten gaan accepteren. Als laatste wil ik FIDO noemen, dit is een veelbelovende nieuwe standaard waarmee het makkelijk wordt allerlei verschillende authenticatiemiddelen te koppelen, zodat een Bring-Your-Own-Authentication haalbaar wordt: mensen kunnen zelf kiezen welk authenticatiemiddel ze willen gebruiken.” Deze en vele andere experts kunt u aan het woord horen en bevragen tijdens het Euroforum congres De toekomst van de digitale identiteit. U kunt zich nog inschrijven via: euroforum.nl/identiteit.
16.00 Wrap up rondetafelsessies en conclusies
11.15 Pauze 11.50 Onboarding of clients and online identity management: lessons learnt from abroad Hannes Astok, Deputy Director and eGovernment expert in Estonian eGovernance Academy and Smart City Lab, Tartu 12.10 Panel debat: Identity in Finance & Telco Nederland Met als topics: Wat zijn de voor- en nadelen van een multi-strategiesysteem, identiteit is van wie, security & data privacy, wat is de business case voor e-Identity, wie moet de leiding nemen in E-Identity? Panel moderator: Robert Garskamp, Oprichter, IDnextplatform Hans-Rob de Reus, Strategisch Adviseur, CIO-office, Directoraat Belastingdienst, Ministerie van Financiën Marleen Stikker, Directeur, De Waag Rob Bening, Chief Information Security Officer, ING Martijn Kaag , Directeur, Connectis
16.15 Hoe gaan banken om met (online) identiteiten? Hoe verloopt de samenwerking tussen Business en Security? Jacoba Sieders, Global Head Identity & Access Management, ABN Amro 16.35 Security in Identity and authentication verification John Broxis, Managing Director, MyBank 16.55 KYC & Identity proofing Drivers to the next maturity in Identity Management 17.15 Closing address Legal Entity Identifier: The benefit of the global LEI for the businesses and consumers (deze presentatie is in het engels) Gerard Hartsink, Chairman of the GLEIF Board, Global Legal Entity Identifier Foundation (GLEIF) 17.35 End of conference Drinks networking reception
13.00 Lunch 14.00 Start rondetafelsessies
Inschrijven kan via: euroforum.nl/identiteit
Robert Garskamp INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
11
EXPERTVISIE A10 NETWORKS
TRENDS IN SECURITY 2016
INTEGRATIE
APPLICATION DELIVERY CONTROLLER EN FIREWALL VOOR DATACENTERS A10 Networks ervaart dat zowel ISP’s en hosting providers als grote organisaties behoefte hebben aan securityoplossingen met meer schaalbaarheid en geïntegreerde functionaliteit. Om de steeds zwaardere DDoS-aanvallen tegen te houden en het toenemende SSL-verkeer te controleren op verdachte inhoud. Maar ook om te anticiperen op businessuitdagingen, door het snelgroeiend gebruik van mobiele apparatuur en cloud-computing en binnenkort het Internet of Things. Zowel bedrijven als consumenten maken steeds meer gebruik van mobiele apparatuur, apps en cloud-computing, van-
Sanya Kapoor 12
wege het gebruiksgemak, de flexibiliteit en mogelijke kostenbesparingen. Deze trend heeft een grote invloed op de per-
formance van de datacenters die ISP’s en andere providers exploiteren. Tegelijkertijd moeten zij voorkomen dat klanten het slachtoffer worden van steeds zwaardere DDoS-aanvallen en SSL-verkeer dat mogelijk malware bevat. Een combinatie van businessuitdagingen die vraagt om oplossingen die zowel beter geïntegreerd als flexibeler schaalbaar zijn. A10 Networks levert al jaren application delivery controllers (ADC’s), welke voorkomen dat applicatie- en webservers trager en niet meer bereikbaar worden. Onder andere voorzien van speciale hardware en software voor het rekenintensieve decoderen en coderen van SSL-verkeer. Deze tot voor kort door iedereen als veilig beschouwde communicatie kan namelijk ook malware bevatten. Of afkomstig zijn van een door hackers nagebootste website met een vals certificaat. Kortom, verbindingen met een ‘slotje’ en encrypted SSL/TLS-pakketjes moeten voortaan ook worden gecontroleerd. INTERNET OF THINGS Volgens Sanya Kapoor, A10 Networks Vice President Global Marketing, gaan vanaf 2016 tevens het Internet of Things en Industrial Internet of Things de performance- en securitybehoeften van serviceproviders en bedrijven beïnvloeden. “Het aantal apparaten dat via Internet communiceert en de hoeveelheid verkeer blijft de komende jaren gestaag toenemen. Vergezeld van alle daaraan gerelateerde securityrisico’s en privacyaspecten.” A10 Networks is de afgelopen jaren vooral succesvol gegroeid door hoge snelheid application delivery controllers te leveren aan ISP’s en grote bedrijven. Organisaties die volledig afhankelijk zijn van Internet en de hoogste eisen stellen aan de performance en beschikbaarheid van hun netwerkapparatuur. “Anticiperend op genoemde mobi-
lity, cloud computing en security trends, hebben wij een nieuwe generatie firewall ontwikkeld. Daarmee kunnen onze klanten al hun digitale assets en communicatie zowel beter als met een grotere verwerkingscapaciteit beschermen. Deze zogeheten Thunder Covergent Firewall wordt vanaf het eerste kwartaal van 2016 leverbaar.” FYSIEK EN VIRTUEEL Met het integreren van ADC- en firewallfunctionaliteit levert A10 Networks tegelijkertijd een bijdrage aan het verder verlagen van de OPEX en CAPEX bij klanten. Afhankelijk van de toepassingsbehoeften kunnen die nog kiezen voor fysieke en virtuele implementaties. Bijvoorbeeld om de totale capaciteit te verdelen over meerdere klanten van serviceproviders, of de vestigingen van een groot bedrijf. “Voor toepassingen met een capaciteitsbehoefte tot 10 Gbps zijn onze virtuele vThunders het meest geschikt”, licht Kapoor toe. “Tot zo’n 40-50 Gbps kunnen klanten uit beide alternatieven kiezen, maar daarboven volstaan alleen fysieke appliances. Voor de zwaarste toepassingen leveren wij ‘S’-modellen, met speciale securityprocessors die al het rekenintensieve SSL/TLS decryptieen encryptiewerk uitvoeren.” Bij virtuele implementaties is het belangrijk te beseffen dat de gebruikte hypervisor deel uitmaakt en dus invloed kan hebben op de totale performance van netwerktoepassingen. Zoals de KVM, die door een groot aantal open source ontwikkelaars wordt onderhouden en verbeterd, of die van softwareleveranciers als Microsoft en VMware. THUNDER CONVERGENT FIREWALL VOOR DATACENTERS Thunder appliances zijn volgens Kapoor bijzonder snel en schaalbaar, vanwege het 64-bit Advanced Core Operating Systeem, A10 Harmony architectuur en inbegrepen ADC- en SSL-hardware. “Tot nu toe leverden wij verschillende ADC-oplossingen voor providers en bedrijven. Onze nieuwe Thunder Convergent Firewall consolideert echter alle beschikbare SSL Insight, ADC en CGN-functionaliteit, met een capaciteit tot 150 Gbps en 5 miljoen CPS, in een één rackhoogte datacenterbehuizing. Dat geheel is centraal te beheren via de aGalaxy managementsoftware.” A10 Networks’ Thunder
‘Het aantal apparaten dat via Internet communiceert en de hoeveelheid verkeer blijft de komende jaren gestaag toenemen’ Convergent Firewall is zowel door Internet- en telecomserviceproviders als bedrijven te gebruiken voor vier toepassingsgebieden: • Secure Web gateway voor URL-filtering, SSL Insight en explicit proxy, ter bescherming van interne Internet-gebruikers • Gi/SGi firewall voor CGNAT en DDoS-bescherming op basis van zelf te definiëren policies • Datacenter firewall, bestaande uit
•
een combinatie van laag 4 firewallfunctionaliteit en laag 7 applicatiegateways voor het beschermen van datacenter servers en performanceoptimalisatie Site-to-Site IPsec VPN voor het op hoge snelheid encrypten van data
Aanvullende informatie hierover is te lezen op: https://www.a10networks.com/ firewall
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
13
EXPERTVISIE CENTRIC
TRENDS IN SECURITY 2016
DE DRIE BELANGRIJKSTE
SECURITY-THEMA’S VOOR 2016 Informatiebeveiliging krijgt ieder jaar meer aandacht. En met recht, want de potentiële impact van een lek, cyberaanval of systeemcrash is groter dan ooit. Onze afhankelijkheid van (digitale) informatie groeit onophoudelijk - een groei die in 2016 niet zal afnemen. Maar waarop moet u zich het komende jaar richten? Security-expert Gerard Stroeve van Centric: “Als ik organisaties en security-specialisten die vraag stel, dan komen drie thema’s telkens terug. Dat zijn cloudsecurity, privacy en awareness.” Dit beeld wordt onderbouwd door de uitkomsten van de Nationale IT-Security Monitor.
1. CLOUDSECURITY Het eerste thema dat komend jaar (en waarschijnlijk ook daarna) veel aandacht zal blijven vragen, is cloudsecurity. Gerard Stroeve: “Veel organisaties geven aan nog te weinig grip te hebben op de cloudoplossingen die zij gebruiken. Hoe vind je bijvoorbeeld afstemming met grote, publieke cloudleveranciers als Google, Microsoft en Amazon?” Een andere grote uitdaging vormt de zogenaamde ‘Shadow IT’, een fenomeen
waarmee bijna iedere organisatie tegenwoordig te maken heeft. Gerard Stroeve: “Wanneer de juiste functionaliteit niet of niet snel genoeg beschikbaar is, zoeken medewerkers daarvoor steeds vaker zelf een oplossing in de cloud. Zo ontstaat er langzaam maar zeker een wildgroei aan gebruikte cloudoplossingen waarop de IT-afdeling geen grip heeft. Dat brengt een belangrijk security-vraagstuk met zich mee: hoe kom ik tot goede richtlijnen rondom veilig cloudgebruik, zonder de productiviteit in de weg te zitten?” ___________________________________ Slechts een derde van de ondervraagden weet zeker dat de cloud binnen de eigen organisatie veilig gebruikt wordt. ___________________________________ Een belangrijke stap naar het antwoord op die vraag, is volgens Gerard Stroeve het volgen van de 4C-benadering. “Bij het kiezen van een cloudleverancier, stel je op voorhand een set van eisen en wensen samen. De 4C-methode deelt die wensen en eisen op in vier hoofdgroepen: compliancy, continuïteit, controle en communicatie. Als je binnen deze vier gebieden je eisen en wensen op een rij zet, heb je een goed uitgangspunt voor je cloudsecurity.” 2. PRIVACY Naast cloudsecurity, staat privacy het komende jaar hoog op de agenda. Gerard Stroeve: “En met recht, want er staat veel te gebeuren. Neem bijvoorbeeld de meldplicht datalekken. Deze gaat op 1 januari 2016 in en verplicht organisaties (zowel bedrijven als overheden) om ernstige datalekken direct te melden. Ook krijgt het CBP, dat vanaf 1 januari verder gaat als de Autoriteit Persoonsgegevens, boetebevoegdheid tot € 810.000,- of zelfs tien procent van de jaaromzet. Die nieuwe autoriteit zal waarschijnlijk
‘De potentiële impact van een lek, cyberaanval of systeemcrash is groter dan ooit’ willen laten merken dat het ernst is en meteen scherp zijn in het handhaven van de meldplicht.” Daarnaast noemt Gerard Stroeve een belangrijke internationale ontwikkeling op het gebied van privacy. “Naar verwachting wordt ook de Europese Algemene Data Protectie Verordening begin 2016 van kracht. Deze verordening zal de Europese regels rondom privacy en persoonsgegevens flink aanscherpen. Er zal een overgangsperiode komen van zo’n anderhalf jaar, maar komend jaar moeten organisaties echt aan de slag met de voorbereiding op die wetgeving.”
‘Onze afhankelijkheid van (digitale) informatie groeit onophoudelijk’ Gerard Stroeve
14
___________________________________ Een kwart van de deelnemers aan de Nationale IT Security Monitor 2015 is niet bekend met de Europese Data Protectie Verordening. ___________________________________ Wat staat u dan te doen in 2016? Volgens Gerard Stroeve is het belangrijk om privacy niet als een op zichzelf staand onderwerp te benaderen. “Informationele privacy heeft specifieke wet- en regelgeving, maar is wel een integraal onderdeel van informatiemanagement en -beveiliging als geheel. Een goed informatiebeveiligingsbeleid geeft privacy normaal gesproken al gerichte aandacht. Maar specifieke kennis en training kunnen natuurlijk geen kwaad. Goede beginpunten zijn het verkrijgen van inzicht in de diverse informatiestromen van de organisatie en een gap-analyse om te weten hoe je er nu voor staat. Als de wetgeving dan definitief is, weet je precies wat er nog moet gebeuren en kun je meteen aan de slag.”
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
15
EXPERTVISIE CENTRIC
TRENDS IN SECURITY 2016
BLOG
CLOUDWARS,
MAY THE FORCE BE WITH YOU Dat de uitspraak van het Europese hof de nodige stof heeft doen opwaaien is haast een understatement te noemen, en hoe moet het nu verder? Eerst nog even als geheugensteuntje kijken we naar de indirecte gevolgen van de uitspraak voor de Public Cloud service providers. Als zij gegevens in de VS willen blijven opslaan, zal daar een andere juridische basis voor moeten worden gevonden.
3. AWARENESS Het derde thema voor 2016 is volgens Gerard Stroeve een echte evergreen. “Beveiligingsbewustzijn is voor onze klanten jaar in jaar uit een prioriteit. Het is een lastig, maar enorm belangrijk onderdeel van informatiebeveiliging. Awareness bij zowel de medewerkers als het bestuur is in feite het vangnet voor security en de olie in de securitymachine”, legt hij uit. “Toch worstelen veel organisaties ermee. Men ziet het nut en de noodzaak om het op te pakken, maar investeringen en echte activiteiten blijven achter.” ___________________________________ Twee derde van de organisaties weet niet zeker of zij voldoende investeren in het beveiligingsbewustzijn van medewerkers. ___________________________________ De uitdaging voor u als organisatie is om continu nieuwe manieren te vinden om uw medewerkers het belang van informatiebeveiliging op het hart te drukken. Gerard Stroeve: “Memo’s versturen is niet meer voldoende en ook de poster heeft vaak zijn beste tijd wel gehad. Je moet echt blijven vernieuwen. Wij gebrui16
‘Door een goed governancemodel ben je in staat te reageren op nieuwe en veranderende dreigingen’ ken sinds kort bijvoorbeeld een serious game, de Hack@Scape, om het bewustzijn bij onze klanten te stimuleren. We merken dat we individuele medewerkers daarmee veel beter bereiken.” TOT SLOT: EEN GEDEGEN BASISPROCES Los van deze drie thema’s vraagt informatiebeveiliging volgens Gerard Stroeve vooral een integrale benadering. “Informatiebeveiliging is een breed vakgebied met verschillende aandachtsgebieden. Naast de thema’s die ik al noemde, is er bijvoorbeeld cybersecurity. Denk maar niet dat het aantal DDoS- of ransomwareaanvallen komend jaar afneemt. Ook verwachten we dat de aandacht voor beschikbaarheid en continuïteitsmanagement komend jaar zal toenemen.” Om effectief met al deze uiteenlopende
dreigingen om te gaan, is een gedegen basisproces cruciaal. Gerard Stroeve: “Door een goed governancemodel ben je in staat te reageren op nieuwe en veranderende dreigingen. Het Information Security Management System (ISMS) is zo’n model. Daarin staan classificatie en het analyseren van risico’s centraal. Daarmee leg je de basis voor het kiezen van de juiste technische en organisatorische beveiligingsmaatregelen. Belangrijk is ook dat het informatiebeveiliging een stevig managementdraagvlak krijgt. Zo kunnen we ons gedegen voorbereiden op de beveiligingsuitdagingen van 2016.” Gerard Stroeve is security-expert van Centric. Vanuit een breed dienstenportfolio ondersteunt Centric organisaties op het gebied van informatiebeveiliging, privacy en continuïteitsmanagement.
Europese persoonsgegevens mógen ook niet meer in de VS bewaard worden, zo heeft het Europees Hof van Justitie vorige maand beslist. Maar wat kan u als zakelijke klant van Public Cloud diensten doen om te voorkomen dat uw bedrijf (tegen de privacy wetgeving in) de gegevens bloot stelt aan derden? Niet geheel toevallig is een aantal Public Cloud providers in de afgelopen jaren begonnen met het bouwen van eigen datacenters in Europa. Uitgezonderd Google die sinds 2010 reeds een datacenter geopend heeft in België en Microsoft met hun eigen datacenter in Ierland sinds 2009 met een bijkomende uitbreiding in 2012 bevinden alle andere datacenters zich buiten het Europese continent. Het is dan ook niet verwonderlijk dat deze Public cloud spelers in versneld tempo datacenters aan het opstarten zijn om zo te kunnen anticiperen op de uitspraak van het Europese hof omtrent het opslaan van vertrouwelijke data. Google heeft onlangs zijn tweede Belgische datacenter geopend op zijn beveiligde site in Saint-Ghislain, bij Bergen. Het gaat om de uitbreiding van een bestaande infrastructuur en een investering ter waarde van 300 miljoen euro. Google heeft ook al een datacenter in de Groningse Eemshaven in gebruik genomen. Daarnaast bouwt men momenteel een tweede complex. De bouw daarvan is pas in 2017 voltooid, hoewel een deel van dat datacenter wel in 2016 al operationeel zal zijn.
Microsoft beschikt over eigen Europese datacenters in Ierland en Nederland. Maar het opslaan van Europese data in deze datacenters biedt echter geen uitkomst, aangezien de Amerikaanse overheid via de Patriot Act ook toegang kan eisen tot data die Amerikaanse bedrijven buiten Amerikaans grondgebied hebben opgeslagen. Microsoft meldde onlangs dat het vanaf nu cloud diensten aanbiedt vanuit zijn datacenter in Middenmeer. Het complex in de Noord-Hollandse polder dient als hub voor Microsofts cloud diensten in Europa, het Midden-Oosten en Afrika. “Wij geloven dat deze lokale cloud een boost is voor innovatieve ontwikkelingen over de gehele wereld”, zei de general manager van Microsoft Nederland. Het nieuwe datacenter van 2 miljard euro in het Noord-Hollandse Middenmeer is nu versneld operationeel gemaakt. Daarnaast heeft Microsoft ook nog eens aangekondigd om de data van Europese klanten die gebruik maken van de Microsoft Cloud tegen een meerprijs op te slaan in Duitse datacenters. Door gebruik te maken van datacenters die eigendom zijn van een Duits bedrijf hoopt Microsoft de NSA buiten de deur te houden. Microsoft gaat zo dus de persoonsgegevens van Europese klanten die dat willen, binnenkort in Europa bewaren en niet meer in de VS. Microsoft gaat daarom een samenwerking aan met Deutsche Telekom, die de datacenters via de dochteronderneming
T-Systems in handen krijgt. Het gaat om datacenters in Frankfurt am Main en Magdeburg, die beide nieuw gebouwd worden. Naar verwachting zijn de datacenters in de tweede helft van 2016 operationeel. De Financial Times wijst op een document over de Microsoft Cloud in Duitsland, waarin staat dat de constructie leidt tot een aangepaste prijs. Het lijkt er dan ook op dat klanten van Microsoft meer zullen moeten betalen om data in de Duitse datacenters op te kunnen slaan. Het gebruik van de Duitse cloud wordt dan ook optioneel, klanten kunnen er ook voor kiezen data in de reguliere datacenters van Microsoft op te slaan. Met de dienstverlening richt Microsoft zich op overheden, de financiële sector en de zorg. U ziet dat met al deze inspanningen hierboven er al duchtig wordt gewerkt aan de footprint voor Public Cloud diensten binnen de Europa landsgrenzen. Toch blijft het afwachten of dit voldoende garanties biedt voor de privacy wetgeving rond de opslag van gevoelige data van uw klanten in de Cloud. Gelukkig hoeft u geen afwachtende houding aan te nemen, er zijn immers nog legio lokale Private Cloud spelers die u met alle plezier willen overtuigen dat uw data bij hun absoluut veilig is. Of om het met de woorden van een overenthousiaste marketeer samen te vatten: ‘NSA proof dataopslag’. En ongetwijfeld zal er nog een vervolg komen met betrekking tot de gegevensopslag in de Cloud, al dan niet ten gunste van de nieuwe of bestaande klanten te helpen overtuigen om de stap naar de Cloud te zetten. Peter Witsenburg is Industry Analist & Cloud Broker
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
17
EXPERTVISIE CISCO
VISIE OP SECURITY 2016
‘SECURITY EVERYWHERE’
BETEKENT CENTRALE ROL VOOR HET NETWERK Het netwerk zoals we dat kenden is dood! Leve het nieuwe netwerk: het extended network dat in de afgelopen jaren is uitgebreid met datacenters, de cloud, talloze endpoints en het Internet of Things. Dat betekent ook dat het aantal mogelijke aanvalsvectoren explosief is toegenomen zodat aanvallers via al die toegevoegde componenten kunnen binnendringen om uiteindelijk bij waardevolle bedrijfsgegevens te komen. Al die verschillende vectoren hebben één gemeenschappelijk aspect: het extended network. Dit netwerk staat centraal in de onlangs uitgebreide security-aanpak van Cisco.
Bedrijven die al deze digitale mogelijkheden willen benutten, hebben daarom ook overal beveiliging nodig. Dat begint vanzelfsprekend met de beveiliging aan de rand van hun netwerk. Dat is als het ware het ‘hekwerk’. Maar zoals iedere security-expert inmiddels weet, is dat allang niet meer voldoende. En dat geldt ook voor de talloze security-oplossingen die veel bedrijven in de loop van de tijd hebben geïnstalleerd. Doordat zij los van elkaar staan, zien deze puntoplossingen zwakke plekken over het hoofd. Denk
bijvoorbeeld aan ongeautoriseerde cloudapplicaties die steeds vaker door werknemers zelf worden geïnstalleerd. Met dit soort van elkaar losstaande oplossingen is het domweg niet mogelijk om een overkoepelende blik op het netwerk te krijgen, en al helemaal niet op het extended network. ONZICHTBAAR Juist die overkoepelende blik op het netwerk is essentieel, wat onzichtbaar blijft kan je immers niet beveiligen. Daarom is er een fundamenteel andere aanpak van de security noodzakelijk. Een security die gebaseerd is op een architectuur die het gehele extended network omvat, inclusief Internet of Things, de cloud, mobiele devices, enz. Wat betekent dat concreet? De visie van Cisco is dat alle security devices en security-oplossingen één platform moeten kunnen delen, dat specifiek is ontworpen om zowel bestaande als nieuwe security-oplossingen onder beheer en besturing te brengen van een integraal managementsysteem. Het grote voordeel is dan dat alle functionaliteiten voor security (identity services, VPN, firewall, etc.) op dit overkoepelende platform geregeld kunnen worden en dat de onderlinge communicatie tussen de securitycomponenten goed geregeld is. VERBREDING Cisco heeft onlangs een verbreding van zijn securitystrategie aangekondigd om deze aanpak verder vorm te geven. Waar het bedrijf naartoe wil is organisaties een securityplatform te bieden voor nog meer inzicht, bescherming en controle. De Cisco visie is dat alle securityoplossingen hetzelfde hardware platform moeten delen. Nieuwe ontwikkelingen op het gebied van security kunnen dan steeds gebruik maken van dit platform. Hiermee wordt voorkomen dat organisaties voor elk nieuw probleem weer een nieuwe oplossing implementeren. Bovendien kunnen bedrijven zelf kiezen waar zij welke functionaliteit nodig hebben en dat alles gebaseerd op dezelfde architectuur. Gezien de enorme complexiteit van de security zal dat niet van het ene moment op het andere te realiseren zijn. Cisco zet daarom de komende tijd stappen en ziet dit als een reis op weg naar dit doel. De enorme breedte en complexiteit van se-
18
curity maakt het bovendien onmogelijk voor één partij om alles te leveren wat voor een solide beveiliging nodig is. Vandaar dat Cisco streeft naar een multiservice-platform dat ook toegang geeft aan security hardware en -software van derde partijen. Deze partijen kunnen hun eigen oplossingen baseren op dat platform, of er voor kiezen dat hun hardware-oplossing via pxGrid (Cisco’s systeem voor de uitwisseling van contextuele beveiligingsinformatie, waardoor beveiligingsplatforms, onderling informatie kunnen delen) communiceert met de overige security-elementen. ENKELE MINUTEN Door de onderlinge uitwisseling van gegevens wordt niet alleen de accuratesse van de detectie groter, er wordt ook (veel) minder gemist. Dit is een zeer belangrijk aspect, omdat het momenteel
vaak veel te lang duurt voordat een aanval wordt ontdekt. Organisaties mogen zich er niet bij neerleggen dat besmetting onvermijdelijk is, ook al lijkt het daar vandaag sterk op. Aanvallen moeten absoluut sneller opgespoord en afgeslagen worden. Een zuiver preventieve aanpak is niet langer effectief en een detectietijd van honderden dagen onaanvaardbaar. Cisco slaagt er nu in om die tijd te beperken tot gemiddeld 46 uur. De ambitie is om dat terug te schroeven tot enkele minuten. CLOUD EN CONTROLE Uit de gegevens van de Cisco’s Cloud Consumption Services blijkt dat het aantal ongeautoriseerde cloudapplicaties dat door werknemers wordt gebruikt 15 tot 20 keer groter is dan CIO’s eerder hadden voorspeld. Dit verschijnsel staat bekend als Shadow IT of ook wel Stealth
'Juist die overkoepelende blik op het netwerk is essentieel, wat onzichtbaar blijft kan je immers niet beveiligen' INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
19
VISIE OP SECURITY 2016 IT, omdat het onder de radar van de IT-afdeling blijft. Het brengt beveiligingsproblemen met zich mee die zware consequenties kunnen hebben. Wie weet wat er aan vertrouwelijke of gevoelige persoonsgegevens in Dropboxen van medewerkers terecht komt? Met de meldplicht die in januari 2016 van kracht wordt, komt ook de verplichting de juiste beveiligingsmaatregelen te treffen. Dat betekent dat er beter in beeld moet komen welke eigen cloudapplicaties door werknemers worden gebruikt. Dat is alleen niet voldoende, het moet ook mogelijk zijn om beveiligingsregels op te stellen die het gebruik van externe cloudapplicaties zoals Dropbox en Salesforce.com, in lijn brengt met het algemeen gevoerde securitybeleid. Zo kan het uploaden en/of ongeoorloofd delen van gevoelige informatie worden tegengegaan. ZICHT OP KWETSBAARHEDEN Bij Cisco werken ongeveer 120.000 mensen. Om de day-to-day business van deze wereldwijde organisatie te kunnen beschermen heeft Cisco - net als ieder ander vergelijkbaar bedrijf - een Chief
BLOG PRAGMATISCHE ICT SECURITY
VERANKEREN MET HET
INFORMATIEBEVEILIGINGSBELEID Dennis Baaten schrijft op InfosecurityMagazine.nl een serie blog posts over ISO 27002:2013. In deze serie (waarvan dit deel 3 is) probeert hij deze norm vooral heel praktisch te maken.
Information Security Officer en een security operating center. Cisco heeft dan ook dezelfde securityproblemen als ieder ander bedrijf, alleen op een andere schaal vanwege de omvang van het bedrijf. Daarnaast is er Talos, de tak die binnen Cisco op basis van informatie uit talloze wereldwijde bronnen de security verzorgt voor klanten en voor Cisco zelf (denk aan rules en signatures voor web/ e-mail en de netwerksecurity-oplossingen).
ONVERWACHTE SLUIPWEGEN (THE TV IS WATCHING YOU) De talloze verbindingen van het Internet of Things zorgen niet alleen voor méér maar ook voor onverwachte aanvalsvectoren. Neem dit scenario: er zijn ‘smart’ tv-toestellen met een camera die op het thuisnetwerk worden aangesloten. Zo’n tv kan worden gehackt en dan kan de aanvaller in de woon - of slaapkamer kijken naar wat zich daar allemaal afspeelt - en dat ook opnemen. Maar de aanvaller kan ook pogingen ondernemen om via dat thuisnetwerk en een laptop van een van de bewoners op een bedrijfsnetwerk te komen. Zo’n tv is ook niet ontworpen met security in het achterhoofd. Maar ook hier geldt: alles zal via het netwerk gaan. In dit scenario zal het voor het bedrijfsnetwerk lijken alsof een legitieme werknemer binnenkomt. Waar het vervolgens op neerkomt, is dat het noodzakelijk is om ongebruikelijke acties van die gebruiker op het netwerk te detecteren. Alleen dan kunnen passende maatregelen worden genomen. Uiteindelijk is het desbetreffende bedrijf zelf verantwoordelijk voor het eigen netwerk en moet het dus goed nagaan waar de beveiligingsrisico’s kunnen zitten. En voor thuis is het een goed idee om de tv-camera af te plakken en het plakkertje alleen weg te halen als die camera ook echt gebruikt wordt. Deze ‘analoge oplossing’ werkt overigens ook goed voor laptops!
20
EXPERTVISIE CISCO
Talos verzamelt op ongekende schaal securitydata van miljoenen gebruikers, honeypots en sandboxes wereldwijd, en via uitgebreide partnerships. Per dag worden zo meer dan 1,1 miljoen unieke malware samples verzameld. Bij Talos werken security threat researchers die worden ondersteund door systemen om de benodigde informatie (‘intelligence’) samen te stellen. Talos werkt met een geavanceerde infrastructuur voor het verzamelen en analyseren van Cisco’s telemetrie-gegevens. Alle output die binnen Cisco wereldwijd gegenereerd wordt door web, end points cloud, e-mail en netwerk, wordt door Talos ook gebruikt om de klanten van Cisco te beschermen. Al deze informatie dient als basis om bekende en vooral ook nieuwe dreigingen te detecteren, te analyseren en af te slaan. VERONTRUSTENDE KWESTIE Het multiservice-platform zal ervoor zorgen dat het netwerk steeds beter als een sensor zal gaan fungeren voor samenwerkende security-oplossingen. Voor organisaties betekent het dat de security voor hen veel minder complex en veel méér geautomatiseerd wordt. Hierdoor gaat niet alleen de kwaliteit van de beveiliging omhoog. Het is tegelijk een antwoord op een verontrustende kwestie: het chronische tekort aan security-analisten. Wereldwijd gaat het momenteel om een tekort van maar liefst 1 miljoen specialisten. Alleen al hierom zal de security-aanpak vergaand geautomatiseerd moeten worden. Bijkomend voordeel is dat de kosten omlaag kunnen - of dat er meer kan worden gedaan voor hetzelfde budget.
De eerste maatregelen uit de ISO 27002:2013 vind je in de hoofdstuk 5, en deze beschrijven dat er een informatiebeveiligingsbeleid is gedefinieerd dat uitlegt hoe de organisatie haar doelstellingen op het gebied van informatiebeveiliging wil bereiken. Bovendien stelt de norm dat een dergelijk beleid goedgekeurd dient te worden door de directie. Er zal dus een en ander vastgelegd dienen te worden, maar het liefst geen enorme pakken papier.
2. Definities - geef een toelichting op veelgebruikte termen zoals bijvoorbeeld betrouwbaarheid, integriteit, beschikbaarheid, vertrouwelijkheid, informatiebeveiliging en risicoanalyse.
Ik definieer de term informatiebeveiligingsbeleid als de totale verzameling van documenten die samen beschrijven hoe de organisatie haar informatiebeveiliging heeft geregeld. Dat is dus inclusief documenten zoals standaarden, richtlijnen, processen en procedures waarin onderwerp-specifieke zaken separaat zijn uitgewerkt. Echter, in de praktijk is het document met de titel ‘informatiebeveiligingsbeleid’ vaak een zogenaamd hoogover document waarmee de directie zich expliciet committeert aan informatiebeveiligingsdoelstellingen. Dit document fungeert dan als kapstok voor andere documenten waarin bepaalde onderwerpen in meer detail zijn uitgewerkt.
4. Besturingsmodel - de wijze waarop de organisatie haar informatiebeveiliging wenst te besturen. Dit is de plek om te verwijzen naar een proces wat voorziet in een plan-do-check-act cyclus waarmee de organisatie borgt dat haar informatiebeveiliging actueel en doeltreffend blijft (Information Security Management System).
De inhoud, opbouw en reikwijdte van een dergelijke document (het informatiebeveiligingsbeleid) kan per organisatie verschillen, maar een aantal onderwerpen zie ik vaak terugkomen. Hieronder een opsomming inclusief een korte toelichting. 1. Intentieverklaring - een beschrijving van de algemene doelstellingen van de organisatie (visie/strategie), en als afgeleide hiervan het belang van informatiebeveiliging. De directie spreekt expliciet haar intentie uit om de beschikbaarheid, integriteit en vertrouwelijkheid op een passend niveau te houden.
3. Doelstelling - beschrijf het doel van het document zelf. Bijvoorbeeld het realiseren van betrouwbare dienstverlening waarbij er tegen een acceptabel kostenniveau bescherming wordt geboden tegen interne en externe dreigingen.
5. Verantwoordelijkheden - benoem wie er in de organisatie welke verantwoordelijkheid draagt. Bijvoorbeeld de directie als eindverantwoordelijke, de information security officer als onafhankelijke aanjager en controleur van het beleid, en de informatie-eigenaren als verantwoordelijke voor het implementeren van risicoverlagende maatregelen. 6. Consequenties voor de praktijk - om het wat tastbaarder te maken, kan er nog op grote lijnen iets worden gezegd over de impact van het beleid op de praktijk. Denk bijvoorbeeld aan het bepalen van maatregelen en aanverwante prioriteiten door het uitvoeren van risicoanalyses, de wijze en frequenties waarmee controles zullen worden uitgevoerd, en het belang van bewustwording en opleiding van medewerkers. Een handtekening onder het document, kun je zien als het noodzakelijke (theoretisch!) commitment van de directie voor
het realiseren en onderhouden van een passende informatiebeveiliging. Zonder management commitment loop je vast, en is het trekken aan een dood paard. Niet dat management commitment automatisch betekent dat alles van een leien dakje gaat, maar dan heb je in ieder geval iets om op terug te vallen. Het zal meer dan eens voorkomen dat er discussies ontstaan over te nemen maatregelen in het kader van informatiebeveiliging. Zodra je collega’s voelen dat ze het met inhoudelijke argumenten niet van je gaan winnen, proberen ze je ‘te pakken’ op het proces: “Waar staat dan dat dit nodig is? Is het management het hier wel mee eens?” In een dergelijk geval ben je blij als er iets op papier staat waar de directie (hiërarchisch boven het operationeel management) zijn handtekening onder heeft gezet. BELANG VAN DOCUMENTEREN VAAK ONDERSCHAT De verborgen boodschap in deze blogpost is eigenlijk dat documenteren en accorderen erg belangrijk is. Niet alleen om discussies te winnen, maar ook omdat je hiermee de directie bewust maakt van haar (wettelijke) verantwoordelijkheden, en om aan medewerkers en andere belanghebbenden (klanten, auditors) uit te kunnen leggen hoe er met informatiebeveiliging om wordt gegaan en waarom dat voor de organisatie belangrijk is. Kortom, doe jezelf een plezier en schrijf dingen op. Verankeren kan niet zonder documenteren. Als het niet op papier staat, dan bestaat het niet. Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging.
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
21
EXPERTVISIE COMSEC CONSULTANCY
TRENDS IN SECURITY 2016
VIER SECURITY-TERMEN
DIE JE VAST NOG NIET KENT Op het gebied van technologie hebben we met een enorme vooruitgang te maken. Maar hetzelfde geldt voor crackers, ofwel criminele hackers. Ook zij beschikken over nieuwe methodes die zeer geavanceerd zijn. Dat maakt het security-gebied zeer dynamisch. Het gevolg is dat we continu met nieuwe begrippen te maken hebben. Henk van der Heijden, Managing Director bij Comsec Consultancy in Nederland, legt vier nog relatief onbekende termen voor ons uit. 1. KWADE TWEELING (EVIL TWIN) Meer dan 80 procent van de Nederlandse huishoudens maakt gebruik van wifi. Overal waar het maar kan, en het kan steeds vaker. Wereldwijd is het aantal publieke hotspots sinds 2009 vertienvoudigd. Maar veilig is wifi niet. Een van de makkelijkste dubieuze toepassingen is de ‘evil twin router’. Met niet meer dan een laptop of zelfs een smartphone en makkelijk te vinden software kan iedereen snel en moeiteloos elke
Henk van der Heijden, Managing Director bij Comsec Consultancy in Nederland
22
willekeurige hotspot nabootsen. Hoe het werkt? Eerst zoekt de criminele hacker - ook wel cracker genoemd - een plek in de buurt van zijn doelwit. Dan wacht hij tot het slachtoffer inlogt, en start hij een eigen basisstation met de identificatiecodes van het origineel. De volgende stap is een signaal (onderdeel van het wifi protocol) dat het contact tussen gebruikers en het originele station verbreekt. Het slachtoffer zal automatisch proberen de verbinding te herstellen. Doordat de ‘evil twin’ een beter signaal toont - dankzij een kortere afstand, een sterkere zender of een richtantenne - wint hij op dat moment van het origineel. De cracker heeft nu volledige controle over de datastromen tussen zijn slachtoffer en internet. De kwade tweeling is vergelijkbaar met de ‘imsi-catcher’, een apparaat dat zich voordoet als een basisstation van het mobiele netwerk. Politie en inlichtingendiensten gebruiken imsi-catchers om telefoons af te luisteren - ook het internetverkeer van een smartphone - en ze nauwkeurig te peilen. Uiteraard is ook deze technologie in handen van criminele organisaties. 2. DOOR LUCHT GESCHEIDEN (AIR-GAPPING) Geen enkele verbinding met de buitenwereld is veilig. Vandaar ‘air-gapping’, de
fysieke isolatie van computers in onder andere nucleaire centrales, financiële centra en sommige militaire toepassingen. Een air-gapped computer of lokaal netwerk staat los van elk publiek netwerk, en is niet uitgerust met draadloze communicatiemiddelen zoals wifi, bluetooth en 4g. Een serieuze air-gap wil zeggen dat alles binnen het eigen gebouw blijft, op ruime afstand van de buitenmuren. Lang werd gedacht dat air-gapping de ultieme beveiliging was, afdoende in alle situaties. Maar in 2010 werd malware gevonden in de systemen voor procesbesturing van de nucleaire installatie bij Natanz (Iran). De malware - bekend als ‘Stuxnet’ - varieerde ongemerkt het toerental van de ultracentrifuges waarmee uranium wordt verrijkt. Het resultaat was een groot aantal defecten in relatief korte tijd, waar de Iraanse staf niets van begreep. Hun controlepanelen toonden heel normale toerentallen; Stuxnet speelde eerder opgeslagen informatie af om zijn werk te camoufleren. Stuxnet is een besmettelijke ‘worm’ die zich waarschijnlijk verspreidde via usbsticks. Hij werd later ook aangetroffen in andere landen. Vorig jaar ontdekten de Duitse onderzoekers Karsten Nohl en Jakob Lell wellicht het mechanisme; usb blijkt fundamenteel onveilig. Malware kan onzichtbaar worden opgeslagen in de firmware van een stick of ander apparaat met een usb-poort. Zulke malware kan gemakkelijk een computer infecteren, die op zijn beurt andere usb-firmware kan besmetten. Verder is nu bekend dat de Amerikaanse inlichtingendienst NSA spioneert via ‘Cottonmouth-1’, een combinatie van malware en een ‘Howlermonkey’ radio
transceiver in een uiterlijk heel gewone usb-plug. Cottonmouth-2 bestaat ook, verwerkt in een usb-chassisdeel. Cottonmouth-1 laat zich achteraf installeren, bijvoorbeeld door aansluiting van een ander keyboard. Nummer-2 wordt bij het doelwit naar binnen gedragen in nieuw gekochte, tijdens transport onderschepte en aangepaste hardware. Howlermonkey heeft een bereik van 13 kilometer - daar is een air-gap niet tegen opgewassen. 3. HONINGPOT (HONEYPOT) De ‘honeypot’ is traditioneel een vrouwelijke agent, die onder andere criminelen in de val lokt. Ook moderne internetboeven blijken daar niet tegen bestand. Enkele jaren geleden installeerden Roemeense crackers malware in de betaalsystemen van honderden Amerikaanse horecabedrijven. De buit bestond uit gegevens van credit en debit cards van 80.000 klanten, inclusief de pincodes en handtekeningen nodig voor frauduleus gebruik. De schade liep in de miljoenen dollars. Hoe konden de daders naar de VS worden gelokt? Een ervan, de 27-jarige Iulian Dolan, gokte online. Een vrouwelijke agent stelde zich voor als vertegenwoordigster van een Amerikaans casino en nodigde hem uit voor een weekend om kennis te maken met het gokpaleis. Verblijf op kosten van de zaak. Dolan belde voor de zekerheid het casino, dat de uitnodiging bevestigde en zijn vliegticket betaalde. Hij trapte er met beide benen in. Medecrimineel Cezar Butu werd gevangen via analyse van zijn e-mailverkeer. Hij kreeg contact met een aantrekkelijke toerist die hij een jaar eerder in Frankrijk had ontmoet, en reisde naar Amerika op uitnodiging van een financieel onafhankelijke dame die voor de aardigheid in een Hooters-restaurant werkte. Althans, daar was hij van overtuigd. Beide heren werden ingerekend toen ze uit het vliegtuig stapten. Een moderne honeypot is minder romantisch. Het is een meestal virtuele server die aantrekkelijk lijkt voor crackers, maar in werkelijkheid niet meer is dan een scherp gecontroleerde speeltuin. Een honeypot kan onder andere crackers afleiden, zodat ze niet aan een echte kraak toekomen. Verder krijgt de gebruiker beter zicht op hun methodes.
'Spam blijft een winstmaker. Een nog tamelijk bescheiden botnet van 10.000 stuks kan honderden miljoenen e-mails per uur verzenden' 4. LEVENDE DODEN (PULSING ZOMBIE) In de maffia op internet hebben ze de laagste rang; het zijn de picciotti, nog minder dan soldati, alleen goed voor het vuilste werk: websites in elkaar slaan, afpersing, digitale beroving. Ze worden ‘zombies’ genoemd, maar zijn hooguit verwaarloosd, aan hun lot overgelaten door eigenaren die niet de moeite nemen om ze te beschermen tegen het kwaad. Zombies werken gewoonlijk in een ‘botnet’, vaak met duizenden soortgenoten. Een verwaarloosde pc, smartphone of webstek in een zombie veranderen is nooit bijzonder moeilijk geweest, maar wel tijdrovend. Dat maakt de ‘botCloud’ aantrekkelijk. Gebruik een gestolen credit card om een fors aantal virtuele servers te huren in een commerciële cloud en minuten later is een compleet botnet klaar voor gebruik. Waarvoor precies? Spam blijft een winstmaker. Een nog tamelijk bescheiden botnet van 10.000 stuks kan honderden miljoenen e-mails per uur verzenden. Een studie van een webshop die handelde in geneesmidde-
len en adverteerde via spam liet zien dat al die e-mail slechts enkele tientallen betalende klanten per uur opleverde. Maar dankzij relatief hoge prijzen betekende dat toch een jaaromzet van miljoenen euro’s. Een tweede optie is afpersing. Betaal, of je webstek wordt lamgelegd met een DDoS-actie. De servers van de webstek reageren erop en hebben daardoor minder of geen tijd voor klanten. Een botnet kan ook worden verhuurd aan eigenaren van webshops die een concurrent willen dimmen. Aangezien de herkomst van een constant bombardement zich tamelijk snel laat achterhalen, wint de ‘pulsing zombie’ terrein. Door op willekeurige momenten kort actief te zijn (en zich meer als een echte browser te gedragen) blijft hij vrijwel onzichtbaar, terwijl het botnet als geheel toch zwaar beslag kan leggen op de servers van een webstek, met kostenverhoging en/of gebrekkige dienstverlening als resultaat. De pulsing zombie lijkt ook beter geschikt voor een botcloud. Doordat het malafide karakter niet wordt herkend, ontstaat voor de verhuurder geen reden om er een eind aan te maken.
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
23
EXPERTVISIE G DATA
TRENDS IN SECURITY 2016
HET SPANNINGSVELD TUSSEN VEILIGHEID EN
PRIVACY
De recente terroristische aanslagen in Parijs zijn hartverscheurend en ijzingwekkend. Enge, fanatieke extremisten, die zichzelf moslims noemen, geloven een heldendaad te verrichten wanneer zij zoveel mogelijk ‘ongelovigen’ ombrengen. Als zij daarmee zelf het leven laten, wacht hen een 72-tal schone maagden in het paradijs, zo veronderstellen zij. Dat zij in hun fanatisme (en hun verlangen?) compleet onschuldige burgers doden, die persoonlijk niets te maken hebben met bombardementen op IS-doelen, lijkt een voordeel. Daarmee zit de schrik er namelijk bij miljoenen mensen in de Westerse wereld direct goed in.
Foto: Petr Kovalenkov - www.shutterstock.com
24
Anders dan bij de aanslag op de cartoonisten van Charlie Hebdo op 7 januari van dit jaar. Daarvan kon men nog denken ‘ik heb de profeet Mohammed nooit beledigd, dus mij zal niet snel iets overkomen’. Twee dagen later werd het al iets enger, toen terroristen bezoekers en personeel van een Joodse supermarkt in Parijs gijzelden. Menig Europeaan die het Joodse geloof aanhangt, voelde toen al beduidend meer angst. Maar bij de grote meerderheid van de Europeanen, die niet Joods is, viel het ook na die aan-
slag mee met de doodsangst. Maar na de aanslag van 13 november blijkt iedereen die ooit wel eens op een terras zit, naar een voetbalwedstrijd gaat, bij een restaurant eet of een concert bezoekt een potentieel doelwit. En dat zijn we nagenoeg allemaal. Wanneer terreur zo dicht bij ons huis komt - zowel letterlijk als figuurlijk - is de eerste, logische reactie een totaal onuitvoerbare kansberekening: hoe groot is de kans dat mij dit zal overkomen? En wat kan er worden gedaan om die kans te verkleinen? De afgelopen jaren wordt er dan onmiddellijk gedacht aan meer capaciteit bij inlichtingendiensten. Veelal wordt geopperd dat er meer bevoegdheden moeten worden gegeven aan deze diensten. Hierbij denkt men dan meestal direct aan online inlichtingen. Het internet wordt immers volop gebruikt door terroristen voor het verspreiden van propaganda, het werven van nieuwe aanhangers, onderlinge communicatie en het verzamelen van informatie over doelwitten van en wapens voor aanslagen. De Nederlandse Minister Plasterk van Binnenlandse Zaken wil het de inlichtingendiensten mogelijk maken om burgers op veel grotere schaal af te luisteren dan nu het geval is. Na toestemming van de minister van Binnenlandse Zaken moet het mogelijk worden een individu op basis van een vermoeden (niet alleen een vermoeden van terroristisch gedrag, maar ook een vermoeden van contact met een persoon die van terroristisch gedrag wordt verdacht) volledig op internet af te luisteren. In hetzelfde wetsvoorstel - dat overigens nog niet door de Eerste Kamer is - staat, dat geheime diensten de mogelijkheid moeten krijgen om, wederom na akkoord van de minister, in te breken in computers en netwerken van interessant geachte individuen. Hiervoor zouden alle hackmiddelen geoorloofd zijn (in de praktijk zal dat vooral door de staat gesponsorde malware betekenen, die door cybercriminelen kan worden gestolen en door hen kan worden ingezet om bijvoorbeeld hun botnets te vergroten). Verder wil het kabinet met de wet regelen dat mensen gedwongen kunnen worden om hun wachtwoorden af te geven als dat nodig is om bij de gegevens te komen, op straffe van een gevangenisstraf van twee jaar. In andere landen zien we vergelijkbare
Daniëlle van Leeuwen
initiatieven. In Groot Brittannië maakte Premier David Cameron zich begin 2015 hard voor een totaalverbod op geëncrypteerde communicatie. De directeur van de Amerikaanse recherchedienst FBI, James Comey pleitte in juli van dit jaar voor een verplichte achterdeur in Amerikaanse encryptiesoftware. Het betreft een gevoelig debat waarbij de voorvechters van de privacy zich fel keren tegen het verbieden of verzwakken van encryptie en het inperken van
de privacy. Degenen die verantwoordelijk zijn voor de veiligheid in hun land willen eenvoudigweg altijd alle informatie kunnen bekijken wanneer zij dat nodig achten. Tussen die polen bevinden zich miljoenen burgers zonder sterke mening. Het is niet vreemd dat na een vreselijke terroristische aanslag het algemene sentiment verschuift richting pro-surveillance. Zo weten ook de kopstukken van de inlichtingendiensten. Nadat de wetgevers in Washington hun positie hadden
'Hoe groot is de kans dat mij dit zal overkomen? En wat kan er worden gedaan om die kans te verkleinen?' INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
25
26
DATAC GREEN IT
VIRTUALISATIE
APPS
SECURITY
STORAGE
SOLUTIONS
SOLUTIONS
op dat soort gegevens standaard moet worden toegepast. Als je encryptie in Nederland verbiedt zorgt dat in het gunstigste geval voor een groot marktvoordeel voor marktpartijen, die zich niet aan de Nederlandse wet hoeven te houden. In het slechtste geval gaan we vroeg of laat compleet ten onder aan cybercriminaliteit in de vorm van identiteitsdiefstal, afpersing en chantage, omdat alle persoonlijke gegevens van alle burgers en bedrijven gemakkelijker kunnen worden ingezien door boeven. Mijn werkgever is een Duits bedrijf en mijn Duitse collega’s hebben een nog veel stelligere overtuiging op dit gebied dan ik. Om er eentje te citeren: “Wij zijn een security-bedrijf. Massasurveillance is de aartsvijand van veiligheid. In Duitsland is al twee keer [in de Nazitijd en ten tijde van de Stasi in de voormalige DDR, red.] aangetoond hoe massasurveillance de veiligheid en persoonlijke vrijheid van mensen kan beperken. Wij hebben daar geen derde voorbeeld van nodig.” En daarom blijven wij inzetten op het verzekeren van de privacy van onze gebruikers. Bijvoorbeeld met onze chatapp SECURE CHAT, waarin tekst en afbeeldingen sterk worden geëncrypteerd voor een gegarandeerd privégesprek, en met onze speciale INTERNET SECURITY PRIVACY EDITIE met VPN.
PAAS MIGRATIE
CLOUDSHOPPING
LAAS
IT MANAGEMENT
SAAS
PRIVATE LAAS
GREEN IT
PAAS
MIGRATIE PRIVATE APPS CONVERSION HYBRIDE CLOUDCOMPUTING SECURITY
PUBLIC
seren? Dit is in het kort het voornaamste argument dat de Privacy Barometer, overigens veel eloquenter, heeft ingebracht tegen het wetsvoorstel voor de uitgebreidere (massa)surveillance. Het is opvallend dat er in de media nu vrij veel argumenten tegen een encryptieverbod worden belicht. Techrepublic. com kopte (zeker niet als enige of als eerste) ‘Encryptie: je kunt de geest niet terug in de fles krijgen.’ Hoewel ik zelf meer houd van de beeldspraak met tandpasta die zich niet terug laat duwen in een tube, vind ik het een rake uitspraak. De technologie bestaat. Dat is niet ongedaan te maken. Als die in, bijvoorbeeld, de VS verboden wordt, kunnen terroristen nog steeds encryptiesoftware van Europese of Israëlische makelij gebruiken. En zelfs al zouden álle landen ter wereld encryptie verbieden, zal dat een terrorist niet tegenhouden om illegaal aan encryptie te komen, of, als hij een beetje wiskundig onderlegd is, zelf encryptiesoftware te maken. Ik geloof dat niemand een illusie koestert over terroristen die zich aan de wet houden. Verder moeten we niet vergeten wat encryptie ons heeft gebracht. Encryptie heeft een grote economische waarde voor ondernemingen die vertrouwelijke en bedrijfskritieke informatie te beschermen hebben. Wij rekenen het ondernemingen vanaf 1 januari 2016 zeer ernstig aan als zij door ‘nalatigheid’ persoonlijke gegevens van klanten (laten) lekken. We hebben afgesproken dat encryptie
STORAGE
CLOUDCOMPUTING
VIRTUALISATIE
Foto: Frederic Legrand - COMEO - www.shutterstock.com
SLA
SECURITY
PRIVATE
LAAS CONVERSION
HYBRIDE IT MANAGEMENT
PUBLIC
bepaald en besloten sterke encryptie niet te verbieden, noch de aanwezigheid van achterdeuren verplicht te stellen, liet Robert Litt, een jurist van de National Intelligence, zich in een later uitgelekte e-mail ontvallen: ‘Het tij zou wel eens kunnen keren in het geval van een terroristische aanslag of een criminele daad waar sterke encryptie kan worden aangewezen als hinderende factor voor de rechtshandhavers’. En inderdaad, nog geen 24 uur na de aanslagen, toen er nog nauwelijks iets bekend was over wie de mogelijke daders waren, waar die woonden, en hoe zij de aanslagen hadden gepland, dook het argument al op in de CBS nieuwsshow Face The Nation. Michael Morell, voormalig gedeputeerd directeur van de Amerikaanse inlichtingendienst CIA, zei daar: “Ik denk dat we nog een debat over encryptie en privacy gaan hebben [na het debat van afgelopen zomer, red.]. Het zal zich baseren op wat er in Parijs is gebeurd.’ Maar hebben de daders van ‘Parijs’ wel gecommuniceerd via geëncrypteerde communicatiemiddelen? Hoewel het onderzoek allerminst is afgerond, wordt er al druk gespeculeerd. In België, waar het merendeel van de terroristen vandaan kwam, gaat men er vooralsnog van uit dat de terroristen gebruik hebben gemaakt van de in-game chatfunctie van de Sony Playstation 4. Deze communicatie is niet geëncrypteerd. Als dit klopt, is het een argument tegen de ‘sleepnet’-aanpak van de door de inlichtingendiensten gewenste massasurveillance. Als je alle digitale conversaties ter wereld wilt gaan verzamelen en analyseren, heb je miljoenen analisten of feilloze selectiesoftware nodig. Het huidige systeem, dat werkt op basis van bepaalde algoritmen, werkt in ieder geval niet goed genoeg: de (ongeëncrypteerde) communicatie tussen de daders van ‘Parijs’ is nooit op de radar verschenen van de inlichtingendiensten, terwijl meerdere van de daders wel bij hen bekend waren. Wat zou er de meerwaarde van zijn geweest om de communicatie van nog eens miljoenen, wellicht zelfs miljarden andere (onschuldige) individuen te bezitten? Als het de inlichtingendiensten al niet lukt om de communicatie van de extremisten die in beeld zijn - en waarbij mag worden afgetapt en afgeluisterd onder de huidige wetgeving - op de juiste wijze te analy-
EXPERTVISIE G DATA
MIGRATIE
TRENDS IN SECURITY 2016
GREEN IT
cloudworks.nu geheel vernieuwd! Feiten en fictie in kaart gebracht
Daniëlle van Leeuwen is PR Manager Benelux bij G DATA
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
27
EXPERTVISIE KEYTALK
TRENDS IN SECURITY 2016
Michael van der Sman, CIO bij KeyTalk, gaf in het voorjaar van 2015 in het interview dat hij gaf aan Infosecurity Magazine al een preview van de mogelijkheden van het KeyTalk portfolio. Hij zei toen over de short lived digital certificates’: “Deze technologie geeft een significante verbetering van de online security, met name op het gebied van bescherming tegen phishing, sniffing, anonieme brute force-aanvallen en man-in-the-middle bedreigingen. Bovendien biedt KeyTalk hiermee mogelijkheden om de kosten van authenticatie te verlagen, terwijl het gebruik voor zowel de enduser als de administrator veel eenvoudiger wordt.”
KOSTENBESPARING DOOR VERTROUWEN
Met technologie van KeyTalk zijn organisaties in staat om zich te wapenen tegen een aantal hardnekkige digitale aanvallen die de grondslag kunnen zijn voor zogenaamde datalekken. Het in Nederland gevestigde bedrijf is actief met geautomatiseerde distributiesystemen van zogeheten ‘short lived digital certificates’.
28
TRUSTED DEVICES RUIMER BESCHIKBAAR “Certificaat-technologie met sterke cryptografische sleutels zoals te vinden op smartcards is nog steeds de meest veilige manier om data-in-motion en toegang tot netwerken te beschermen tegen niet geautoriseerde personen”, aldus Michael van der Sman. “Het grote nadeel was altijd het beheer: aanmaken, (her)uitgifte en revocatie. Vooral het tijdig melden van verloren certificaten met bijbehorende private key om misbruik en daarmee datalekken tijdig te voorkomen, blijft voor beheerders een heikel punt. Door gebruik te maken van kortlevende certificaten met sterke asymmetrische sleutels, hoeven bedrijven zich geen zorgen te maken over tijdige melding van verlies. Het certificaat verloopt immers al voordat interne procedures vereisen dat je dit meldt, of voordat Certificate Revocation Lists worden geüpdatet.” Het kostte KeyTalk tien jaar om deze technologie tot het huidige niveau te ontwikkelen. Oorspronkelijk was deze technologie slechts beschikbaar voor banken die hun online omgeving optimaal wilden beveiligen. Vandaag de dag is KeyTalk beschikbaar voor alle organisaties die hun IT-security goed op orde willen hebben. Met de door het bedrijf ontwikkelde app transformeert een organisatie alle servers, smartphones, tablets, desktops, laptops en Internet of Things devices in wat het noemt ‘trusted devices’. Beyond PKI, Secure Connect for Applications, Internet of
Things en Strong VPN Authentication komen hierin aan bod. Het beveiligingsniveau wat met KeyTalk gerealiseerd kan worden, is te vergelijken met de inzet van hardware tokens. Naast complementair aan hardware tokens, door het toevoegen van asynchrone encryptie, kan met sterke device herkenning KeyTalk zelfs een tokenoplossing volledig vervangen, doordat het gebruikte device als de 2e identificatiefactor kan worden ingezet.
TIP VAN DE SLUIER Een team van zeer gedreven technisch specialisten heeft hard gewerkt aan het tot stand komen van de app. Om een tip van de sluier op te lichten: Beyond PKI Grote organisaties worstelen met de bureaucratie van hun PKI en zijn genoodzaakt veel tijd en dus geld te besteden aan het beheer. Met de distributie engine van KeyTalk worden devices en servers automatisch en frequent voorzien van een nieuw kortlevend certificaat (kortlevend betekent in onze terminologie alles tussen seconden en weken). Hierdoor wordt een hoger veiligheidsniveau gerealiseerd dan met langlevende certificaten
medewerkers van buiten te laten inloggen op dit soort applicaties (die toegang geven tot kritieke en privacygevoelige bedrijfsgegevens). Met KeyTalk wordt het mogelijk om versterkt te authentiseren op basis van hardwareherkenning, waarna de KeyTalk engine een kortlevend certificaat voor bijvoorbeeld een dag beschikbaar stelt. Op basis hiervan is versleutelde toegang tot de applicatie mogelijk. Voor applicaties die niet kunnen omgaan met certificaten voor het verlenen van toegang, heeft KeyTalk een proxy ontwikkeld, die gegevens uit het certificaat omzet in iets dat de applicatie wel kan benutten voor inlog. KeyTalk Secure Connect kan overigens ook als Single Sign-on oplossing worden ingezet om toegang te bieden tot (nagenoeg) alle applicaties die medewerkers gebruiken. Internet of Things KeyTalk’s technologie leent zich uitstekend voor een deel van de Internet of Things markt. Een goed voorbeeld hiervan is de beveiliging van IP-camera’s, die wij daadwerkelijk hebben uitgevoerd en een ‘proof of concept’ heeft opgeleverd. Er zijn ook gesprekken gaande met autofabrikanten voor toepassing van de technologie in de ‘connected car’. Strong VPN Authentication Gebruikers willen niet lastig gevallen worden met de vraag zich telkens weer
‘Door gebruik te maken van kortlevende certificaten met sterke asymmetrische sleutels, hoeven bedrijven zich geen zorgen te maken over tijdige melding van verlies’ het geval is. Maar bovenal komen veel beheertaken rondom de PKI te vervallen, zoals revocation pointers, vernieuwen van certificaten etc. Implementatie van KeyTalk tegen een bestaande PKI aan, leidt in de regel niet tot de noodzaak van desinvesteren en levert daarmee eigenlijk direct een besparing op. Secure Connect for Applications Voor grote bedrijfsapplicaties zoals SAP, AFAS, Exact en Salesforce is veilige toegang en datacommunicatie van groot belang. Veel organisaties maken nog geen gebruik van versterkte authenticatie om
opnieuw te moeten identificeren. KeyTalk ondersteunt daarom met haar certificate based authentication zodat een aantal essentiële VPN-oplossingen kunnen worden verbeterd. KeyTalk laat met deze aanpak zien dat juist vertrouwen doorslaggevend kan zijn in het besparen van kosten. Door in te zetten op Beyond PKI, Secure Connect for Applications, Internet of Things en Strong VPN Authentication, onderstreept KeyTalk de mogelijkheden voor een goed georganiseerde IT-veiligheid. Van de redactie
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
29
EXPERTVISIE NETWRIX
TRENDS IN SECURITY 2016
De Business Case voor IT Auditing-tools
NIET ALLEEN VOOR DE WET
MELDPLICHT DATALEKKEN Veranderingen in bedrijfskritische systemen van de IT-Infrastructuur zijn dagelijkse kost binnen de meeste IT-organisaties. U moet immers voldoen aan de vraag uit de business om betere, snellere en efficiëntere toepassingen te leveren. Maar deze systemen vormen ook de basis voor interneen externe beveiligingsrisico’s en de continuïteit van de IT-omgeving.
Zonder tools om te zien welke veranderingen er zijn gemaakt, heeft een IT-organisatie weinig slagkracht om snel te achterhalen wat de oorzaak is van een datalek of wat de reden is van een systeem dat ineens langzaam,of helemaal niet meer werkt. Een snelle oplossing is dan vaak uitgesloten en het proces van zoeken naar de mogelijke oorzaken kan lang duren. Daarom hebben steeds meer organisaties een systeem om belangrijke configuratie-wijzigingen in de IT-systemen te documenteren. Van spreadsheets
tot aan de meer geavanceerde change management tools. Andere organisaties kiezen om gebruik te maken van de logdata in de systemen door deze op te slaan en te doorzoeken indien dit noodzakelijk is. AUTOMATISCH DETECTEREN Organisaties die veranderingen in de kritische IT-Infrastructuur het meest serieus nemen, gebruiken IT auditing-oplossingen die automatisch alle veranderingen detecteren. Deze zijn dan in een leesbaar
Groei van change management tools: 2014 vs. 2015 (bron: 2015 State of the Changes – Netwrix Corporation
30
formaat onmiddellijk beschikbaar. Een goede oplossing voor IT change auditing is een basisbehoefte voor iedere organisatie en dat is de reden dat deze markt zo snel groeit. Onderzoeken tonen aan dat binnen alle organisaties het IT-personeel essentiële configuratie-wijzigingen maakt in de kritische IT-systemen van hun organisatie zonder deze te documenteren. Dit maakt een goede zichtbaarheid en controle op het gebied van informatiebeveiliging en de stabiliteit van de infrastructuur onmogelijk. Middelgrote organisaties (van 100 – 1000 mensen) lopen daarin het grootste risico.
DATALEKKEN IN HET NIEUWS Afgelopen jaar was het opnieuw een rampjaar wat datalekken betreft. En het is duidelijk dat wat we in het nieuws zien maar het topje van de ijsberg is. Incidenten op het gebied van informatiebeveiliging zagen de afgelopen 2 jaar een groei van 81% naar 90% voor grote organisaties en van 60% naar 74% voor kleine organisaties (bron: PwC 2015 Information Security Breaches Survey). Diepgaand onderzoek wijst uit dat in veel gevallen interne medewerkers misbruik maken van de rechten die ze hebben op de diverse systemen. Ook misconfiguraties vormen een belangrijke oorzaak van incidenten en datalekken (bron: Verizon 2015 Data Breach Investigation Report). WET MELDPLICHT DATALEKKEN Vanaf 1 Januari 2016 moeten een aantal zaken goed in orde zijn, zoals een goed bewustzijn in de organisatie voor wat betreft het behandelen, opslaan, vervoeren en vernietigen van potentieel gevoelige (privé) data, en dit in goed omschreven procedures opzetten en uitvoeren. Daarnaast wordt van de organisatie verwacht
Netwrix Corporation is opgericht in 2006 met als doel meer inzicht te bieden in de veranderingen in de IT Infrastructuur. Inmiddels gebruiken meer dan 6000 bedrijven wereldwijd de Netwrix Auditor voor compliance, IT-beveiliging en het optimaliseren van de operationale IT-omgeving. Netwrix Auditor is eenvoudig te installeren en te gebruiken en werkt zonder agent software op de systemen.
dat er een goede controle is op de infrastructuur en wie toegang heeft tot welke data. Bij veel gevallen van datalekken was de bron van het datalek een interne medewerker of consultant die vanuit de functie die hij/zij vervulde, geen toegang nodig had op de data die uiteindelijk gelekt is. Bij een eventueel datalek is het voor een organisatie uitermate belangrijk om niet alleen de procedures die er zijn rondom het beheer van privé-gevoelige informatie aan te kunnen tonen, maar ook om te laten zien dat er goede controle is op wie wat doet in de infrastructuur. Een IT Auditing-tool is hierbij het aangewezen middel. CRYPTOLOCKER EN ANDERE MALWARE Ook tegen bedreigingen zoals CryptoLocker biedt een IT Auditing-tool de nodige meerwaarde. Niet in de preventie, maar wel op het gebied van het beperken van de schade en een snel herstel van de data. Met de tool kan goed in kaart worden gebracht wie waar welke toegang heeft. Ook kan snel worden bepaald welke bestanden er zijn veranderd door malware. Een recente back-up moet altijd beschikbaar zijn om de versleutelde bestanden snel te kunnen herstellen. PRODUCTIVITEIT VAN DE ITORGANISATIE Hoe we ook kijken naar de zaken die hierboven zijn genoemd, alles komt uiteindelijk neer op het optimaliseren van de productiviteit van de IT-organisatie. Rapportage voor het management, compliance en auditors, het vlot oplossen van problemen doordat sneller diagnose kan worden gesteld, en het beperken van de schade en mogelijke boetes doordat er een betere controle is op wie, waar, welke rechten heeft binnen de IT Infrastructuur.
Veranderingen gemaakt door IT zonder documentatie: 2014 vs. 2015 (bron: 2015 State of the Changes – Netwrix Corporation)
Overzicht van veranderingen binnen de infrastructuur: Management Overzicht
Tegenwoordig moeten organisaties meer doen met minder middelen. En hierbij is het optimaliseren van de productiviteit een belangrijk punt op de agenda van het IT management. Concluderend kunnen we zeggen dat de markt voor IT Auditing-tools de laatste paar jaar snel is gegroeid. Een trend die zich doorzet vanwege de hier genoemde redenen. Specifiek voor de Nederlandse markt zien we nu een acceleratie door de Wet Meldplicht Datalekken. En we verwachten ook in de andere Europese landen een snelle groei met de introductie van nieuwe Europese wetten op de bescherming van privé-gegevens in 2016.
Richard Nootebos is als Country Manager verantwoordelijk voor de Benelux en de Scandinavische landen
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
31
EXPERTVISIE NOVACCENT
TRENDS IN SECURITY 2016
BESTUURDERS PERSOONLIJK
AANSPRAKELIJK BIJ NIEUWE MELDPLICHT DATALEKKEN De Wet meldplicht datalekken die per 1 januari 2016 van kracht wordt, verplicht bedrijven en overheidsinstellingen om melding te maken als gegevens digitaal blijken te zijn ontvreemd. Indien men een datalek niet op tijd meldt (binnen 2 werkdagen), dan riskeren organisaties een boete die kan oplopen tot maximaal €810.000. Een tweede, vaak vergeten aspect, is dat bestuurders van organisaties persoonlijk verantwoordelijk en aansprakelijk kunnen worden gehouden voor het niet naleven van de privacy-wetgeving. Een misverstand dat wij vaak horen is dat men denkt dat men een forse boete krijgt als er zich een datalek voordoet. Nee, men krijgt pas een boete als het datalek niet of niet op tijd wordt gemeld. Als na de melding blijkt dat men nalatig is geweest met het nemen van de vereiste beveiligingsmaatregelen, dan is er tevens
een kans dat de toezichthouder hiervoor ook zo’n hoge boete oplegt. Een gunstig gevolg hiervan is dat cybersecurity en privacy niet langer gedelegeerd kan worden naar de IT-afdeling, maar het een onderwerp moet zijn op de agenda van de directie of raad van bestuur. Je hoort vaak: ‘Het is niet de vraag of zich
Figuur 1. Nováccent heeft een aanpak ontwikkeld op basis waarvan organisaties aan de slag kunnen met de meldplicht datalekken.
32
een datalek kan voordoen, maar wanneer’. Het gaat er om dat organisaties zich voorbereiden op een datalek. Dat we hier nog een flink aantal stappen moeten nemen blijkt wel uit diverse onderzoeken naar diverse datalek-incidenten, waarbij in 85% van de gevallen blijkt dat een datalek pas na weken ontdekt wordt en dat in 92% van de gevallen het datalek door een derde partij wordt ontdekt. STAPPENPLAN Welke stappen moet ik nu ondernemen om voorbereid te zijn op een datalek? Nováccent heeft een aanpak ontwikkeld op basis waarvan organisaties aan de slag kunnen met de meldplicht datalekken (zie figuur 1). 1) Organisatie: overzicht en inzicht in de formeel juridische relaties van de organisatie, dochters, deelnemingen, partners en samenwerkingsverbanden en de bijbehorende contracten 2) Bewerkingen: overzicht en inzicht in alle bewerkingen van persoonsgegevens. Tevens hoort hierbij het uitvoeren van een weerbaarheidscheck op de bewerkersovereenkomsten om zo inzichtelijk te krijgen wat de aansprakelijkheids- en kostenrisico’s zijn. Vervolgens moet men een managementsysteem inrichten om de interne controle op de bewerkingen te handhaven. Hierdoor is men voorbereid op de mogelijke vragen van de toezichthouder en/of betrokkene wanneer een datalek incident is opgetreden 3) Informatie- en IT-risico’s: analyse op de weerbaarheid tegen een datalek a. Waar staat de data? b. Wie is de eigenaar? c. Met wie wordt de data gedeeld (bewerkingen)? d. Hoe wordt de data gedeeld? e. Welke beveiligingsmaatregelen zijn er getroffen om data te beschermen?
f. Welke risico’s zijn er op datalekken? g. Wat is de bewustwording in de organisatie? h. Wat is het beleid? i. Hoe is de organisatie voor wat betreft informatiebeveiliging ingericht? j. Welke voorzieningen zijn ingericht om datalekken te kunnen detecteren? 4) Maatregelen: implementeren en inrichten van maatregelen om weerbaarheid tegen datalekken te vergroten. 5) Incident response: implementeren en inrichten van Incident Response. WAAR STAAT KRITISCHE DATA? Uit onderzoek blijkt dat veel organisaties niet weten waar hun kritische data staat. Het is van belang om dit in kaart te brengen, vervolgens te classificeren, bepalen met wie data gedeeld wordt en vervolgens met welke beveiligingsmaatregelen de data moet worden beveiligd ([zie figuur 2). Dataclassificatie vormt een cruciaal onderdeel in het beveiligingssysteem en bepaalt in belangrijke mate de effectiviteit van de overige maatregelen. Immers als men bijvoorbeeld een document heeft geclassificeerd als ‘Vertrouwelijk’ dan herkent bijvoorbeeld een Data Leak Prevention oplossing deze classificatie en kan men hierop het geldende beleid loslaten. Maar ook kan men een vertrouwelijk document beschermen door deze te versleutelen en van rechten te voorzien (wie mag document inzien, bewerken, printen, doorsturen et cetera). Deze vorm van beveiligen wordt ook wel Information Rights Management genoemd. Een dergelijke oplossing is tot op heden maar mondjesmaat ingezet, maar kan door de druk van de Meldplicht datalekken wel eens een zeer effectieve maatregel blijken, aangezien men de volledige controle krijgt over de data. Het aantoonbaar maken hiervan doet het wel heel goed bij de toezichthouder.
Figuur 2. Uit onderzoek blijkt dat veel organisaties niet weten waar hun kritische data staat.
‘Het is niet de vraag of zich een datalek kan voordoen, maar wanneer’ van het incident zoveel mogelijk te beperken. Vervolgens zal je de response op het incident effectief moeten organiseren en tot slot maatregelen moeten treffen om de schadelijke gevolgen van het incident zoveel mogelijk te beperken, informatie te verzamelen om onderzoek te kunnen doen naar het incident en indien noodzakelijk schadelijke software te verwijderen. Wij raden aan om samen met het top management, IT en communicatie een workshop te organiseren: Datalek incident nu! Een datalek incident kan immers nu gebeuren. De journalist van RTL4 kan nu bellen met de melding dat er gevoelige persoonsgegevens vanuit jouw organisatie is uitgelekt. In deze praktische oefening gaan we na hoe de response
van de organisatie is. Welke oplossingen worden er vanuit de organisatie aangedragen om een uitweg te zoeken uit de crisis? HOGER PLAN Na een dergelijke oefening weet men hoe men er nu voorstaat en aan welke disciplines men nog moet werken om de organisatie naar een hoger plan te trekken. De status quo van de huidige situatie wordt als uitgangspunt gebruikt voor het inrichten van de incidentmanagement organisatie en voor de inrichten van de vereiste hulpmiddelen voor monitoring, detectie, analyse en reparatie met de bijbehorende organisatie, mensen en expertise.
SNELLE DETECTIE Om snel en adequaat te kunnen achterhalen of er een datalek heeft plaatsgevonden, zal je in ieder geval moeten monitoren wat er op je ICT-infrastructuur en binnen je applicaties en data gebeurt. Snelle detectie is van belang om op tijd de melding te kunnen doen en de impact INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
33
EXPERTVISIE QUALYS
TRENDS IN SECURITY 2016
Beveiliging in 2016
DE TWEE MEEST OPMERKELIJKE CYBERINBRAKEN VAN DIT JAAR Er zijn dit jaar tal van cyberinbraken geweest bij grote, middelgrote en kleine bedrijven en bij overheden. Wat mij betreft waren er twee bij met een meer dan gemiddelde impact. In de eerste plaats was dat Ashley Madison waar persoonlijke informatie naar buiten kwam die inderdaad echt persoonlijk was. Kijkend naar de overheid moest het Office of Personnel Management van de Amerikaanse overheid toegeven dat 21,5 miljoen personeelsdossiers het slachtoffer waren van een hack. Hier speelden financiële motieven verder geen rol maar het ging wel om de grootste hack van een overheidsinstantie, die ooit in de openbaarheid is gekomen.
‘TRADITIONELE BENADERINGEN VOLDOEN NIET LANGER’
In de afgelopen twaalf maanden is het aantal datalekken en het volume aan gelekte data flink toegenomen. Er zijn een paar redenen hiervoor: we slaan meer data online op en er is meer oog voor de waarde van die gegevens, zowel bij bedrijven zelf als onder cybercriminelen. Verder is de periode tussen het bekend worden van een kwetsbaarheid en het misbruik ervan met malware, steeds kleiner aan het worden. Die periode is nu ongeveer negen tot tien dagen. Er is daarnaast een toename van het aantal zero day-aanvallen waar geen patch of update voor beschikbaar is. Dat was vooral het geval bij Adobe Flash. In 2015 hebben we op het gebied van security dus een aantal zaken geleerd, maar wat zijn de veranderingen waar we in 2016 op moeten anticiperen?
OMGAAN MET MEER Het is in 2016 voor IT-teams vooral een uitdaging om om te gaan met ‘meer’: meer data, meer apparaten, meer patronen, meer bedreigingen. Zo zorgt de opkomst van het Internet of Things ervoor dat we grote aantallen apparaten en sensoren toevoegen aan IT-netwerken. Dat betekent dat ook fitness-trackers en koelkasten een potentieel slachtoffer kunnen worden van malware-aanvallen. Om dat tegen te gaan, kan het raadzaam zijn om een eigen gastnetwerk voor deze apparaten te creëren, zonder toegang
tot het bedrijfsnetwerk. Gebruik AP-isolatie om apparatuur af te schermen en stimuleer gebruikers om hun corporate IT-middelen niet te verbinden met het gastnetwerk. Voor wat betreft patching binnen het Internet of Things mogen we aannemen dat dit uiteindelijk automatisch zal plaatsvinden. Wie dit niet goed voorbereidt, is op zoek naar problemen. LANGETERMIJNSTRATEGIE Het lijkt alsof veel IT-securityteams op dit moment het gevoel hebben dat ze achterlopen in het omgaan met gegevens en het beveiligen van hun huidige IT-netwerken. Het simpelweg toevoegen van meer IT-beveiligingsoplossingen helpt in elk geval niet bij het beheren van de toenemende stroom aan gegevens. In plaats daarvan is het de moeite waard te kijken naar hoe je als team zou omgaan met tien
keer meer apparaten en gegevens, als je vanaf nul zou mogen beginnen. Zo’n exercitie kan helpen bij het nadenken over een goede langetermijnstrategie. DE CLOUD Naast het Internet of Things is de belangstelling voor cloudcomputing nog steeds groeiende. Steeds meer organisaties realiseren zich dat de cloud voor sommige activiteiten een prima keus is. Commodity-diensten zoals e-mail worden bijvoorbeeld in toenemende mate als clouddienst ingezet. Naarmate er meer apps en diensten overgezet worden naar de cloud is het beheren van de IT-middelen ook iets om als cloudservice in te zetten. Eindgebruikerapparatuur is mobieler dan voorheen, en het type gebruikeromgevingen verandert voortdurend. Met een nauwkeurige lijst van IT-assets, die de status weergeeft van alle geautoriseerde apparaten en software, kan een IT-afdeling de veiligheid beter garanderen. Tegelijkertijd is het continu scannen van alle eindpunten een noodzakelijke stap voor de toekomst. MOBIEL NIET DE BELANGRIJKSTE BEDREIGING In tegenstelling tot wat de meeste IT-beveiligingsbedrijven op dit moment stellen, is mobiel in mijn ogen niet het belangrijkste aanvalsdoel voor 2016. Hoewel beide hun eigen issues hebben, zijn iOS en Android niet te vergelijken met de traditionele computing-endpoints
34
als het gaat om commerciële malware. Mobiele apparaten mogen high-profile doelen zijn van door overheden opgezette aanvallen, het zijn toch de pc’s en laptops waar de commerciële malware-crimineel zich op richt, omdat daar het geld te verdienen is.
wereld waarin gebruikers alleen op hun apparaat vertrouwen en niet langer op het bedrijfsnetwerk. Elk eindpunt moet te vertrouwen en veilig zijn, ongeacht waar en hoe gebruikers willen werken. Dat is een uitdaging voor 2016. Wolfgang Kandek, CTO van Qualys
TOEKOMST VAN SECURITY Ik denk dat we de komende tijd de nodige veranderingen gaan zien in de aanpak van security. De traditionele benaderingen voldoen niet langer. Ze werken onvoldoende en het lukt niet goed om dat te veranderen. In plaats daarvan moeten we kijken naar de toekomst van IT en hoe we veiligheid in alles als een standaard opnemen. Zo gebruiken we steeds meer cloud-applicaties, zoals Salesforce voor CRM en Office 365, voor kantoorautomatisering en communicatie. Dit vermindert het aantal applicaties op het interne netwerk. Naarmate we meer apps en diensten uit de publieke cloud afnemen, zal het aantal aanvalsmogelijkheden voor die interne netwerken krimpen. In de toekomst moeten IT-teams dan ook nadenken over hoe zij veiligheid ontwerpen en praktisch vormgeven in een
'Elk eindpunt moet te vertrouwen en veilig zijn, ongeacht waar en hoe gebruikers willen werken' INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
35
EXPERTVISIE SOLARFLARE
TRENDS IN SECURITY 2016
Standard & Poors wil security-beleid meenemen in waardering bedrijven
WALL STREET
HOE MET CYBER-RISICO’S OMGAAT Security is zo belangrijk geworden voor het zakelijk succes van bedrijven dat de Amerikaanse rating agency Standard & Poors nu overweegt om de aanpak die een onderneming volgt op het gebied van IT-beveiliging mee te wegen in de beoordeling van dat concern. Daarmee is definitief de tijd voorbij dat bedrijven ermee weg komen dat zij security als een extra laagje over hun bestaande IT-infrastructuur heen kunnen leggen. Het moet fundamenteel anders, zegt Russell Stein, CEO van Solarflare. Banken op Wall Street zijn dan ook begonnen met een complete herevaluatie van hun cybersecurity-aanpak. Nu steeds geavanceerdere aanvallen op bedrijven worden uitgevoerd, is cyber risk management een belangrijk thema
geworden voor raden van bestuur en datacenter managers van grote financiële instellingen. De financiële gevolgen maar
ook de reputatieschade van inbraken en gestolen data worden steeds groter en lijken ook meer en meer een structureel karakter te krijgen. Daarmee heeft IT-security een duidelijke impact gekregen op het vermogen van financiële instellingen om zaken te doen. Het is dan ook logisch dat de grote banken en verzekeraars steeds meer geld vrijmaken voor cybersecurity. Zo verwacht PricewaterhouseCoopers dat financiële instellingen in de Verenigde Staten de komende twee jaar meer dan 2 miljard dollar zullen investeren in het verder verbeteren van hun IT-beveiliging. Daarbij mogen we ook niet de impact onderschatten van het nieuws dat rating agency Standard &
Poors overweegt om bedrijven die zwakke ‘cyber security controls’ kennen wel eens met een ‘downgrade’ te maken kunnen krijgen. NIET OF, MAAR WANNEER Voor veel banken op Wall Street maar ook daarbuiten is dus de tijd gekomen om de gehele aanpak op het gebied van IT-security opnieuw tegen het licht te houden. De eerste stap in dat proces is de onderkenning dat een cyber-aanval voor financiële instellingen van welke omvang dan ook ieder moment kan plaatsvinden. Of het bedrijf nu groot of klein is en of de beschikbare mensen en middelen nu omvangrijk zijn of niet. Uit een onderzoek van de Depository & Trust Clearing Corporation (DTCC) blijkt dat een cyberaanval het belangrijkste risico is dat financiële instellingen lopen. Bijna 80 procent van de ondervraagden noemt cyberaanvallen als een van hun 5 belangrijkste uitdagingen. TEMPO BIJHOUDEN Zijn banken er eenmaal van overtuigd van het belang van cybersecurity, dan is het tijd voor de volgende stap. Die is niet zozeer hoe zij aanvallen moeten tegenhouden, maar veeleer hoe zij de ontwikkelingen bij cybercriminelen kunnen bijhouden zodat zij hun netwerkinfrastructuur ook in de toekomst veilig kunnen houden. DATA CAPTURE EN ANALYSE Het belangrijkste doelwit van cybercriminelen is de netwerkserver. Veel financiële instellingen hebben veel geld geïnvesteerd in het voorkomen dat cybercriminelen het netwerk binnen kunnen komen en kostbare gegevens uit het netwerk kunnen halen (noord/zuid-verkeer). Het is echter ook zaak om beter zicht te krijgen op het dataverkeer dat al in het netwerk aanwezig is. Dit zogeheten oost/west-verkeer kan namelijk heel goed malicious code bevatten. Denk aan keyloggers, malware, advanced persistent threats en dergelijke. Slagen cybercriminelen er in om dit soort ‘tools’ langs of door firewalls en dergelijke te krijgen, dan kunnen deze in veel gevallen ongestoord hun werk doen. De reden is simpel: alle aandacht gaat uit naar de perimeter van het netwerk en het tegenhouden van cybercriminelen die daar proberen binnen te komen. Het staat inmiddels echter
36
'Cyber risk management is een belangrijk thema geworden voor raden van bestuur en datacenter managers van grote financiële instellingen' wel vast dat veel pogingen om binnen te dringen ook daadwerkelijk slagen. We zullen dus ons uitgangspunt moeten aanpassen naar: cybercriminelen zijn nu eenmaal in ons netwerk aanwezig, dus hoe vinden we hen en hoe zetten we hen weer buiten de deur? ‘SLEEPER CELLS’ Voor financiële instellingen is het dus van cruciaal belang dat zij over tools beschikken die het verkeer binnen hun netwerk in de gaten houden. Die monitoring-software dient bovendien zeer geavanceerd te zijn. Want steeds vaker zien we dat cybercriminelen op hun beurt ook zeer innovatieve tools en methoden toepassen. Kijk alleen al naar de ‘sleeper cells’ die we steeds vaker tegenkomen. Dat is software die vaak al langere tijd in het netwerk aanwezig is, maar weken- of maandenlang niets doet. Pas na verloop van tijd wordt via geraffineerde methoden een signaal aan die software gegeven dat zij actief moeten worden. Of wordt het laatste onbekende stukje code aangeleverd waardoor de malicious code ‘wakker’ wordt. OVERLEVEN De derde en laatste stap in de hiervoor
genoemde herevaluatie van de cybersecurity-aanpak van financiële instellingen is het vinden van het antwoord op de vraag hoe banken en andere financiële instellingen het beste op een ontdekte aanval reageren. Helaas zijn veel banken nog steeds bezig met een inhaalslag als het om cybersecurity gaat. Zij zijn volop bezig met het implementeren van policies en procedures die zijn ontwikkeld na eerdere cyberaanvallen. Zij zijn dus vaak nog gericht op oude aanvalsmethoden en -technieken en hebben nog nauwelijks tijd gehad om na te denken over meer proactieve beveiligingsmethoden. Cybersecurity dient echter een integraal onderdeel te zijn van de zakelijke strategie van de onderneming. Zowel business managers, IT-managers als CISO’s dienen hun beleid verder te ontwikkelen. Alleen dan kunnen zij het tempo van de ontwikkelingen bij cybercriminelen bijhouden. Lukt dat niet, dan zullen zij meer en meer achter de feiten aan gaan lopen en wordt de kans op ‘succes’ voor cybercriminelen steeds groter. Met alle gevolgen vandien voor het zakelijke succes of misschien zelfs wel het voortbestaan van de financiële instelling. Russel Stein is CEO van Solarflare
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
37
EXPERTVISIE T-SYSTEMS
TRENDS IN SECURITY 2016
Juridische blik op en gezond verstand voor IT-uitbesteden
CLOUD VERANDERT OP DETAILS VEEL
Cloud computing is bezig aan een opmars. De beloftes zijn groot, maar worden die ook waargemaakt? Cloud is vooral standaardwerk: “Je moet je dus meer schikken.” Bovendien werpen recente internationale ontwikkelingen een schaduw op de cloud. Vormt de cloud niet de grootste verandering in het ICT-landschap tot op heden? Nee, de cloud verandert eigenlijk niet veel, juridisch gezien, weet Jan-Paul Agema, Head of Legal Affairs bij T-Systems Nederland. Maar op details verandert er wel veel door de cloud, voegt hij toe. Agema, met in zijn verleden praktijkervaring op het gebied van IT-beheer, schijnt zijn licht op recente ontwikkelingen voor cloud computing. HET NIEUWE UITBESTEDEN Op afstand beschouwd, valt cloud te zien als een nieuwe vorm van uitbesteding. Een organisatie laat bepaalde IT-functies verzorgen door een externe partij; een dienstverlener, een hoster, een outsour-
cer. “Wij bedienen de grootzakelijke markt en dat zijn bijna allemaal maatwerkcontracten”, begint Agema. “Zeker de eerste en tweede generatie outsourcing, die waren absoluut maatwerk met navenante contracten.” “Nu met cloud is dat vooral standaardwerk, dus met standaardvoorwaarden en standaardcontracten.” De écht grote klanten met internationaal bereik kunnen misschien nog wel naar eigen wens afdwingen, maar de regel is standaardwerk. “Bijvoorbeeld voor aansprakelijkheid; die is beperkter want anders is cloud niet haalbaar qua schaalgrootte en dus kosten.” Die haalbaarheid geldt dan voor de aanbieder. Voor de afnemer is het kiezen of delen. “Je moet je meer schikken,
naar de cloudpartij en diens aanbod plus voorwaarden daarvoor.” INVENTARIS EN INSCHATTING VOORAF Tegenwoordig zijn we, afhankelijk van de gehanteerde definitie, aanbeland bij de derde of vierde generatie outsourcing. Dit is dan gekeken naar de grote golfbewegingen van uitbestedingen, niet naar specifieke outsourcingsoperaties van individuele organisaties. Sommige daarvan kunnen immers al verder - of juist minder ver - zijn wat betreft hun uitbesteding en verlenging of overheveling daarvan. In grote lijnen geldt voor cloudgebruik hetzelfde advies als voor uitbesteding: bezint eer ge begint. “Kijk voordat je een besluit neemt over de cloud of je applicatie daar bij past”, geeft jurist Agema een basaal en zinnig IT-advies. “Kijk of het technisch past en of het juridisch past.” Goede inschatting van (compliancy) risico’s en bedrijfsimpact is hierbij van groot belang. “Bijvoorbeeld als het bedrijfskritiek is: dus applicatie down betekent het hele bedrijf plat.” PAS OP VOOR LOCK-IN Groot belang van applicaties voor bedrijven hoeft niet automatisch het vermijden van de cloud te betekenen. Het moet wel aanzetten tot doorvragen, voor beter besef en eventueel te nemen maatregelen. “Hoe snel kun je in geval van problemen bij je data komen? En in wat voor vormen?” Het belang van datastructuren en bestandsformaten speelt bij uitwijk of overstap naar een andere aanbieder. Agema poneert basale maar belangrijke business- en IT-gedreven vragen. Toegang tot gegevens is van belang voor de bedrijfscontinuïteit. Maar minstens zo belangrijk is toegang tot bedrijfsdata in een formaat waar de organisatie mee kan werken.
38
Critici van cloud computing waarschuwen wel dat het een nieuwe vorm van vendor lock-in kan zijn. “Als klant moet je heel erg oppassen”, beaamt Agema. Dat geldt natuurlijk ook voor huidige outsourcing. “Waar ligt het eigenaarschap van de data, de informatie?”, is een cruciale vraag. “Laat staan waar het eigenaarschap ligt van de gebruikte applicatie.” DE KETEN DOORLICHTEN Een actuele vraag met betrekking tot cloud computing is de lokaliteit van informatie. “Waar staat je data? Het gaat dan niet eens zozeer om welk land, maar ook om wiens datacenter.” Agema legt uit dat cloudaanbieders niet altijd zelf datacenters hoeven te hebben. Zij kunnen ook gebruik maken van ‘onderaannemers’. Wat gebeurt er wanneer die een probleem hebben, zoals een storing, datalekkage of een faillissement? Hoe zit het dan met melding, aansprakelijkheid en verantwoordelijkheid? De hoofdjurist van T-Systems pleit dan ook voor een meer zakelijke aanpak, waarbij van tevoren vanuit business-perspectief wordt gekeken naar cloudgebruik. “Wat is de financiële gezondheid van de aanbieder? Hoe zit zijn businessmodel in elkaar? Heeft hij een eigen datacenter?” Vervolgens is het zaak de eigen behoeften af te stemmen op de antwoorden op deze en soortgelijke vragen. CONTINUÏTEIT IN BREDERE ZIN Vragen die in de publieke sector heel gewoon zijn, weet Agema. Zoals: wat is de solvabiliteit? “Dat kom ik in de private sector zelden tegen.” Uiteindelijk gaat het de cloudafnemer wel om de continuïteit van de eigen organisatie. Natuurlijk, daar zijn aansprakelijkheidsclausules voor af te sluiten. Agema ziet echter veel meer nut in goed denkwerk en clausules vooraf. “Het is beter om afspraken te maken voor performance-garanties, inclusief bijvoorbeeld dienstengaranties van een moederbedrijf.” Laatstgenoemde kan helpen als een dochteronderneming problemen heeft, zoals systeemuitval of erger. “Dit wil niet zeggen dat ik tegenstander ben van een goede aansprakelijkheidsregeling, maar het is uiteindelijk een laatste middel.” WAT IS BEDRIJFSKRITIEK? Naast bedrijfskritieke applicaties hebben
organisaties in de praktijk nog vele andere toepassingen die in mindere mate bedrijfskritiek zijn. Ook daarvoor luidt Agema’s advies: heel goed kijken en dan afwegen welke applicaties geschikt zijn voor uitbesteding naar een cloud. Daarbij gaat het om zowel het soort applicatie als ook het daadwerkelijke gebruik daarvan. Wat is precies de gehanteerde definitie van bedrijfskritiek? De snelle opkomst in de afgelopen jaren van CRM (customer relationship management) in de cloud is een teken van verschuivende definities. CRM is misschien niet bedrijfskritiek in de traditionele zin, maar een bedrijf lijdt wel als een complete salesafdeling met lege handen zit doordat hun online-CRM niet toegankelijk is. Toch is CRM lang niet altijd meer puur een lokaal draaiende oplossing. CONTROLEER DE VERBINDING Een vaak overzien maar cruciaal element bij een besluit voor cloud te gaan, is de internetverbinding van de klant. “Als je uitbesteedt, kijk goed naar het geheel”, benadrukt Agema. Hij geeft als bewust overdreven voorbeeld: “Als je een 99,99 procent SLA hebt voor je cloud, maar een DSL-verbinding zonder SLA, tsja.” Die discrepantie in servicelevels kan een organisatie lelijk opbreken. “Ik denk dat er bij veel bedrijven nog een discussie is of cloud nou IT is of onder telecom valt. Voor een jurist is dat niet ter zake. Voor mij is dat slechts een stammenstrijd.” Het is dus wel zaak de benodigde elementen op elkaar af te stemmen. Dat afstemmen hoeft niet per se een opwaartse beweging te zijn: service level agreements (SLA’s) met 99,99 procent uptime voor én cloud én connectie, enzovoorts.
Minder kan mogelijk ook. “Dat hangt af van je applicatie. Je kunt je afvragen of 99,99 procent het je waard is.” Daarnaast is de oude IT-wijsheid van failover van toepassing. Neem bijvoorbeeld een tweede lijn waarlangs je bij een storing het cloudverkeer van bedrijfskritieke applicaties en bepaalde werknemers kunt laten gaan. Die backup verbinding mag best wat langzamer zijn dan de hoofdlijn. Beter iets dan niets. “Hoe belangrijk is je applicatie en hoe belangrijk is je verbinding?” ‘JE KUNT NIET ACHTEROVER LEUNEN’ Overigens bestaat er nog een andere optie die de noodzaak vermindert om zelf alles te controleren en af te stemmen. “Wat wel vaker gebeurt, is de end-toend verantwoordelijkheid bij één partij neerleggen.” Dat kan dan een aanbieder zijn die én clouddiensten én eigen datacenters én eigen verbindingen heeft, of laatstgenoemde in eigen beheer aanbiedt. Maar zo’n end-to-end partij kan ook een integrator zijn, stipt Agema aan. Toch ontslaat ook deze vorm van ‘cloudbesteding’ de afnemer niet van eigen verantwoordelijkheid. “Uitbesteding blijft een zaak van technisch inzicht. Je kunt niet achterover leunen en het allemaal aan de aanbieder overlaten”, waarschuwt Agema. Na de eerste en tweede generatie outsourcing heb ik een enorme kennisval gezien”, Organisaties die hadden uitbesteed, dachten zonder eigen experts toe te kunnen. Daar zijn de meesten weer op teruggekomen. Wat dit betreft, verandert cloud dus eigenlijk niet zo veel. Jasper Bakker is journalist
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
39
EXPERVISIE THALES NEDERLAND
TRENDS IN SECURITY 2016
Thales pleit voor Security Operations Centers als volgende stap in cyberdefensie
MAJOR LEAGUE’
‘DIT IS DE
2015 is een jaar geweest waarin we opnieuw een serie concrete cyberaanvallen hebben gezien, waarop door het bedrijfsleven nogal lauwtjes is gereageerd. “Zelfs wanneer een organisatie reeds is aangevallen, wordt er te weinig aan effectieve oplossingen gewerkt”, meent René van Buuren, Director Cybersecurity bij Thales Nederland. In 2016 moet dat anders. “We moeten hier in Nederland ophouden alles maar zelf te willen doen en onze kennis en middelen veel gerichter gaan inzetten.” Terugblikken op een jaar in termen van cybersecurity is altijd lastig. De voornaamste handicap is dat het bijna onmogelijk lijkt een goed en betrouwbaar beeld te krijgen van waar we precies staan. Tijdens de Cybersecurity Summit die Thales begin oktober organiseerde in The Hague Security Delta, werd het probleem duidelijk geschetst: verschillende bronnen met diverse belangen en uiteenlopende achtergronden komen met aantallen security incidenten die zo ver
40
uiteenlopen dat we in feite alleen kunnen concluderen dat we niet precies weten wat we niet weten. Wat we wel weten is dat de dreiging reëel en groot is, en dat we nog onvoldoende ondernemen om ons er tegen te wapenen. René van Buuren, Director Cybersecurity bij Thales Nederland, over de situatie waarin we anno 2015 verkeren: “Het besef dat er een concrete dreiging bestaat groeit, zowel bij de massa als in het bedrijfsleven. Dat mag ook wel, want er
blijven geregeld incidenten in de media verschijnen. Maar het bedrijfsleven betrekt die dreiging nog veel te weinig op zichzelf.” Enig begrip voor die houding heeft Van Buuren wel. “De kansen die de ontwikkelingen in cyberspace ons bieden zijn ongekend. Het laatste wat je wilt is dat je een positieve ontwikkeling laat afremmen door angst. Juist daarom is het van belang cybersecurity in de eerste plaats als enabler te zien: een goede beveiliging maakt een gezonde business mogelijk. Je moet je helemaal geen zorgen hoeven maken over je beveiliging. Maar sluit daarbij niet je ogen voor de realiteit.” GEEN SPROOKJES Uit de vele rapporten die wereldwijd gegenereerd worden over dit onderwerp rijst een beeld op dat weinig aan de verbeelding over laat. Staten bedreigen staten en bespioneren bedrijven, criminele organisaties nemen complete systemen in gijzeling, en het oude ‘hacktivisme’ maakt langzaamaan plaats voor iets dat zich het beste laat omschrijven als ‘cyberterreur’: de mogelijkheid dat zogenaamde ‘niet-statelijke actoren’ digitale kanalen aangrijpen om te proberen een samenleving te ontwrichten. Het zijn serieuze zaken waardoor we ons niet mogen laten verlammen, meent Van Buuren. “Het zijn geen sprookjes”, benadrukt hij, “dit gebeurt echt. We hebben hier in Nederland dit jaar hacks gezien van grootschalige doelwitten, met sterke aanwijzingen dat er statelijke actoren bij betrokken waren. Er bestaat een zeer serieuze industriële cyberdreiging, waar ook andere nationale doelwitten ongetwijfeld mee te maken krijgen. Als defensieleverancier zijn wij ervaringsdeskundig als het gaat om cyberdreigingen
en zijn we hier dagelijks mee bezig. We weten het dus uit eigen ervaring, maar denk ook eens aan Philips, aan Unilever, de olie- en gasindustrie of aan onze ITknooppunten.” DETECTIE EN REACTIE Volgens Van Buuren is het zeker dat dergelijke partijen onder vuur komen te liggen. “Ook in CSBN 2015 (Cybersecuritybeeld Nederland, het jaarlijkse rapport dat het Nationaal Cyber Security Centrum opstelt namens het Ministerie van Veiligheid en Justitie) wordt weer bevestigd dat landen actief betrokken zijn bij cyberaanvallen op bedrijven en organisaties. Dat betekent dat we te maken hebben met grote belangen en dus ook serieuze budgetten die voor dit soort aanvallen beschikbaar worden gemaakt. Dit is geen amateurwedstrijd meer – dit is de major league!” Een dergelijke dreiging vraagt een professioneel antwoord. Tijdens de Cybersecurity Summit waren de deskundigen het er over eens. Preventie is belangrijk, maar het is verstandig de realiteit onder ogen te zien dat zelfs de beste beveiliging vroeg of laat zal falen. Essentieel is dan ook dat er in 2016 meer aandacht wordt besteed aan detectie en reactie, meent Van Buuren. “In de wetenschap dat iedere beveiliging vroeg of laat gekraakt of omzeild wordt, moeten we zorgen dat we oplossingen inzetten die verdacht gedrag zo snel mogelijk detecteren en onschadelijk maken.” Dat dat niet voor iedere organisatie eenvoudig is te realiseren, baart ook Van Buuren zorgen. “Er is een schreeuwend tekort aan deskundigen. Het feit dat nu ook het Rijk zijn lacunes op dit gebied probeert op te vullen door mensen uit de markt te trekken, maakt het er voor andere organisaties niet eenvoudiger op een team samen te stellen dat voldoende kennis in huis heeft om snel en adequaat te kunnen reageren.” SOC Een belangrijke volgende stap in cyberdefensie is het vroegtijdig kunnen detecteren van aanvallen. Dit gebeurt in zogenaamde Security Operations Centers (SOCs). Een SOC is een beveiligde ruimte waarin een gespecialiseerd team van gecertificeerde deskundigen 24 uur per dag, zeven dagen per week, al het verkeer op de netwerken van klanten in
‘De wetenschap dat je bent voorbereid geeft rust in een organisatie’ de gaten houdt. Thales opende onlangs zijn eigen SOC in Nederland . “Ons SOC in Huizen is één van de 4 SOCs die Thales wereldwijd heeft staan. Hierdoor zijn we niet alleen in staat om wereldwijd kennis te delen, maar hebben we ook de beschikking over de kennis en expertise van duizenden internationale cybersecurity experts en vrijwel alle relevante beveiligingspartijen”, zegt Van Buuren. “Het SOC is ook uitermate belangrijk voor onze eigen beveiliging. Onze opgebouwde kennis staat tevens ter beschikking van onze klanten. Onze experts beschikken altijd direct over de beste technologie en de meest recente informatie en inzichten.” “De wetenschap dat je bent voorbereid geeft rust in een organisatie. Immers, je kunt de kostbare tijd van je interne experts inzetten op het detecteren van incidenten, maar dan laat je hen feitelijk zoeken naar een speld in een hooiberg. Er zijn namelijk slechts een paar incidenten die er daadwerkelijk toe doen. Indien zij zich alleen nog maar hoeven te concentreren op het oplossen van die paar incidenten, creëer je rust.” MELDPLICHT Klanten zijn steeds minder vergevingsgezind als het gaat om schendingen van de privacy en onzorgvuldige omgang met vertrouwelijke informatie, maar vanaf 1 januari 2016 staan er via de meldplicht
datalekken ook nog eens forse boetes op. “Niet alleen ben je als organisatie vanaf 2016 verplicht elk datalek te melden, je moet ook kunnen aantonen dat je passende maatregelen hebt genomen en een solide beveiligingsbeleid voert. Door de inzet van een SOC kun je die discussie voor een belangrijk deel voorkomen”, stelt Van Buuren. “Om je een idee te geven: ons SOC is geschikt voor ABDO omgevingen. ABDO staat voor Algemene Beveiligingseisen voor Defensieopdrachten, wat simpelweg wil zeggen dat we voldoen aan alle eisen die staten stellen aan cyberdefensie”, vertelt Van Buuren. “Wat daar gebeurt is dat onze experts vele miljoenen events per dag terugbrengen tot de belangrijke incidenten die implicaties kunnen hebben voor bedrijfskritische onderdelen van de organisatie. Daar wordt vervolgens direct en gericht actie op ondernomen en verslag van gedaan.” “Als individuele organisatie is het vrijwel onmogelijk een dergelijk beveiligingsniveau in huis te halen en te houden, en ik denk dat je dat ook niet moet willen”, zegt Van Buuren. “Een wedstrijd win je niet door alleen maar bezig te zijn met je verdediging. Door gebruik te maken van een SOC creëer je rust. Als organisatie kun je je vervolgens concentreren op alle positieve kansen die cyberspace óók te bieden heeft.”
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
41
EXPERTVISIE VASCO DATA SECURITY
TRENDS IN SECURITY 2016
SOCIAL ENGINEERING:
OUDE WIJN IN
NIEUWE ZAKKEN Het online bankieren is al lang goed ingeburgerd, maar het blijkt nog steeds een interessante bron van inkomsten te zijn voor lieden met minder goede bedoelingen. Social engineering blijkt een succesvolle manier om online gebruikers geld afhandig te maken. Het is een techniek die mensen ertoe aanzet gevoelige informatie prijs te geven. Een concept dat nog steeds effectief en doeltreffend is.
De bekendste en meest gebruikte manier van social engineering is phishing. Daarbij wordt een e-mail verstuurd onder valse voorwendselen en wordt gevraagd om bijvoorbeeld logingegevens of creditcarddetails te delen. Volgens een rapport van Kaspersky Lab was 37% van de pishingaanvallen gericht op financiële instellingen in het eerste kwartaal van 2015. Bij 21% van de aan-
vallen probeerde men om financiële informatie los te peuteren en 17% mikte op sociale netwerken. De massamails met slecht geformuleerde boodschappen in gebrekkig Nederlands zijn intussen genoegzaam bekend onder de internetgebruikers, dus het aantal geopende e-mails ligt op slechts 3%. Echter, als hackers de moeite nemen om de aanhef te personaliseren en persoonlijke informa-
tie in de e-mail te verwerken - het zogenaamde spearphising - dan stijgt het aantal spectaculair. Maar liefst 70% van de spearphishing e-mails wordt geopend. Een andere efficiënte techniek is het zogenaamde vishing, waarbij het slachtoffer wordt opgebeld door iemand die zich voordoet als een werknemer van de bank. 23% van de mensen die werden gecontacteerd, gaf gevoelige informatie door. Bijna 40% kon niet aangeven of het telefoontje eerlijk dan wel malafide was. Wij mensen houden er immers van om iemand te vertrouwen. Daar spelen phishingaanvallers handig op in. Als de persoon aan de andere kant van de lijn rustig, vriendelijk en beleefd is, dan stellen wij met plezier vertrouwen in hem of haar en geven we confidentiële informatie door. Pishingaanvallen kosten organisaties vaak miljoenen. Gartner schat dat banken in de Verenigde Staten jaarlijks 2,8 miljard dollar verliezen aan fraudegevallen veroorzaakt door phishing. Sommige kosten kunnen berekend worden, maar door kosten gelinkt aan imagoverlies lopen die bedragen in werkelijkheid veel hoger op. DE GEBRUIKER BLIJFT DE ZWAKSTE SCHAKEL Hackers proberen op de gemakkelijkste manier hun doel te bereiken. Ze plegen dus geen aanval op de technologie, omdat ze weten dat het veel te moeilijk is om algoritmes en beveiligingssystemen te kraken. In de plaats daarvan misbruiken ze het vertrouwen en de onwetendheid van de online gebruiker. Alle ontradings-, waarschuwings- en informatiecampagnes ten spijt blijft de gebruiker de zwakste schakel in het beveiligingsverhaal. Twee problemen vallen hierbij op. Ten eerste heeft een bank geen controle over de handelingen van zijn klant. Als iemand
42
ingaat op de vraag van een hacker om bijvoorbeeld een digitale handtekening te genereren en zo een frauduleuze transactie te ondertekenen, dan kan de bank daar weinig tegen beginnen. De gebruiker zit immers aan het stuur en voert een handeling uit wanneer hij dat wenst, ook als erom gevraagd wordt door een onguur individu. Ten tweede kan de gebruiker maar moeilijk de authenticiteit van de boodschap verifiëren. Een hacker kan dus een frauduleuze transactiecontext tonen aan de gebruiker door hem om te leiden naar een valse webpagina. Vaak zien gebruikers het verschil niet tussen de echte website van de bank en een valse website van een hacker. Als de gebruiker een boodschap krijgt die lijkt op die van de bank, dan stelt hij de authenticiteit niet in vraag. Daarom blijven social engineeringaanvallen zo succesvol.
DE BANK NEEMT HET ROER OPNIEUW IN HANDEN Om social engineeringaanvallen te voorkomen, komt het erop aan om de controle over de data te verschuiven van de zwakste schakel - de gebruiker - naar de bank. Het is de bedoeling dat enkel de bank de verrichting kan initiëren, waardoor de beslissing uit de handen van de gebruiker wordt genomen. Dat kan met zogenaamde visuele transactie signing. Deze technologie maakt gebruikt van een geavanceerde, gekleurde QR-code. Op vraag van de gebruiker, toont de bank deze QR-code op het scherm van de computer, tablet of smartphone van de gebruiker. Het cryptogram wordt berekend op basis van de transactie-informatie, zoals het bedrag, de accountgegevens van de ontvanger en informatie over het gebruikte toestel. Deze data wordt geëncrypteerd en kan enkel worden ontcijferd door de gebruiker die de juiste decryptiecode heeft. Dat wil zeggen dat de gekleurde QR-code een persoonlijk bericht is en niet opnieuw kan worden gebruikt. Daarnaast is het principe What You See Is What You Sign (WYSIWYS) belangrijk. De informatie van de transactie wordt voor het tekenen ter bevestiging naar de gebruiker gestuurd, zodat hij kan controleren of de gegevens correct zijn. Pas daarna kan de transactie worden getekend. Zo verhindert de bank dat een gebruiker zomaar iets ondertekent zonder het te beseffen. Bovendien kan de bank gebruikers waarschuwen als het gaat om een transactie met een hoog risico. Deze technologie garandeert een veilige en betrouwbare transactie. Als de bank de volledige controle wegneemt bij de gebruiker en zo de zwakste schakel beschermt, dan zullen social engineeringaanvallen binnenkort tot het verleden behoren. Van de redactie
‘Als de bank de volledige controle wegneemt bij de gebruiker en zo de zwakste schakel beschermt, dan zullen social engineeringaanvallen binnenkort tot het verleden behoren’ INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
43
EXPERTVISIE VENAFI
TRENDS IN SECURITY 2016
BEDRIJVEN VERWAARLOZEN SECURITYFUNDERING
In 2016 krijgen we te maken met slimmere en zwaardere cyberaanvallen. Ter verdediging daartegen adviseert Venafi CIO & CISO Tammy Moskites meer aandacht te besteden aan het beheer van alle gebruikte digitale certificaten en encryptiesleutels. Veel bedrijven investeren namelijk in geavanceerde securityoplossingen aan de rand van hun digitale infrastructuur, terwijl ze de fundering verwaarlozen. Uit wekelijkse nieuwsberichten over securityincidenten en expertonderzoeken blijkt dat het aantal cyberaanval-
Tammy Moskites 44
len toeneemt en deze tevens zwaarder worden. Ter voorbereiding op 2016 is het volgens Venafi CIO & CISO Tammy
Moskites belangrijk dat securityverantwoordelijken een stap terugzetten, om kritisch te kijken naar de fundering van hun verdedigingsstrategie en -middelen. “Bedrijven investeren in geavanceerde oplossingen om informatiediefstal en -verlies te voorkomen, terwijl ze nog onvoldoende inzicht en grip hebben op wat er dagelijks in hun netwerk gebeurt. Deels omdat het digitale landschap van middelgrote tot grote organisaties complex is en anderzijds omdat deze steeds sneller verandert. Daarom is het voor een effectieve verdedigingsstrategie tegen cyberaanvallen belangrijk om precies te weten welke ICT-assets door wie worden gebruikt en welke risico’s daaraan gerelateerd zijn. Maar ook om de gebruikte tools en processen regelmatig te reviewen, mede om te blijven voldoen aan veranderende wet- en regelgeving.” Een fundamenteel onderdeel van die digitale assets zijn alle gebruikte certificaten en encryptiesleutels, waarvoor Venafi een managementoplossing levert. SAMENWERKEN MET BUSINESSMANAGERS Een tweede advies van Moskites aan securityverantwoordelijken is actiever te gaan samenwerken met de businessmanagers. Vergelijkbaar met IT zien zij security namelijk als een beperkende en vertragende invloed op hun processen en projecten. Met als gevolg dat bijvoorbeeld de marketingmanager zelf een onveilig digitaal certificaat inkoopt en gebruikt voor een nieuwe campagne. Daarmee kan hij of zij echter onbewust een deur openzetten voor hackers. “De meeste businessmanagers zien security als een noodzakelijke toevoeging of beperking, in plaats van een fundering. Wanneer klanten als gevolg van een veiligheidsincident het vertrouwen in een organisatie verliezen, heeft dat vaak een
lange termijn invloed op de resultaten, of kan het zelfs tot een faillissement leiden. Omdat uit steeds meer incidenten blijkt dat verbindingen met het bekende slotje niet vanzelfsprekend veilig zijn, is het belangrijk dat security officers beter inzicht krijgen in het gebruik van alle certificaten. Door proactief met collega businessmanagers te gaan samenwerken, kunnen zij van security een ‘enabler’ maken in plaats van showstopper.” SECURITYRISICO’S IDENTIFICEREN, ANALYSEREN EN MANAGEN Security professionals hebben de taak en verantwoordelijkheid om alle mogelijke risico’s te identificeren, te analyseren en te managen. Dit gebeurt vaak vanuit een technisch perspectief, terwijl de mogelijke financiële gevolgen onderbelicht blijven. Ondanks de wereldwijd bekende DigiNotar case. Volgens Moskites krijgen veel CISO’s wel veel verantwoor-
teren. Omdat het te complex en risicovol voor ze wordt alle taken zelf te blijven uitvoeren. Moskites werkt zelf samen met een externe auditor, maar is geen voorstander van outsourcing. “Directies moeten kritisch de toegevoegde waarde en kosten van een auditor of outsourcing afwegen, omdat ze zelf verantwoordelijk
'Outsourcing kan voor bedrijven interessant zijn, maar brengt ook risico’s met zich mee' delijkheid, maar niet de bijbehorende bevoegdheden. “CISO’s tellen bij de meeste organisaties nog niet op C-level mee. Dat blijkt zowel uit de vele gesprekken die ik met hen heb, als de beschrijving van het managementteam op websites en in jaarverslagen. Ik ben daar een uitzondering op, met mijn gecombineerde CIO & CISO-functie, wat begrijpelijk is voor een volledig in Internet-security gespecialiseerd bedrijf als Venafi.” Een ander verbeterpunt dat tijdens het interview met Moskites ter sprake komt is het beperkte aanbod van CISO-opleidingen. “De technische kant van dit vak komt aan bod bij ICT- en securityopleidingen en het risicogedeelte bij managementopleidingen, maar er is amper een CISO-studie op bachelor of masterniveau.” AUDITING EN OUTSOURCING Net als voor het beveiligen van gebouwen en mensen, zijn er dienstverleners die bedrijven graag helpen hun digitale infrastructuur te monitoren en te verbe-
blijven voor de gevolgen van incidenten. De auditor van een klein gespecialiseerd bedrijf waarmee ik samenwerk, vergroot met assessments mijn inzicht en voegt daarmee belangrijke waarde toe. Outsourcing kan voor bedrijven interessant zijn, maar brengt ook risico’s met zich mee. Omdat je zelf moet blijven controleren of de gekozen partner mensen met voldoende actuele kennis en ervaring en effectieve middelen in huis heeft om de beloofde security te waarborgen. Anders krijgt men een vals gevoel van veiligheid, tot het eerste incident. Verder ontstaat er een vertraging in de reactietijd, totdat de outsourcepartner zijn benodigde analyses heeft uitgevoerd.” BEHEER CERTIFICATEN EN SLEUTELS VERBETEREN Het Internet is decennia geleden ontwikkeld met een beveiligingssysteem dat vergelijkbaar is met het menselijke immuunsysteem. Net als de HLA-tags in ons lichaam goede en kwade cellen on-
derscheiden en op basis daarvan accepteren of afstoten, doen digitale certificaten en cryptografische sleutels dat op het Internet. Omdat de meeste mensen deze blindelings vertrouwen, lukt het cybercriminelen steeds vaker om webservers of browsers te hacken en malware toe te voegen aan software. “Alleen wanneer bedrijven hun digitale sleutels en certificaten beter gaan beheren en bij incidenten snel geautomatiseerd vervangen, zijn aanvallen effectiever tegen te houden”, resumeert Moskites. “Dat is namelijk de fundering voor het vertrouwen tussen alle bedrijven en mensen, om met elkaar zaken te doen in de online wereld!” Als oplossing voor dat geautomatiseerde beheer levert Venafi een digitaal immuunsysteem voor het Internet, genaamd Venafi Trust Protection Platform. Meer hierover is te lezen in de kadertekst en op www.venafi.com.
Venafi Trust Protection Platform is een immuunsysteem voor Internet om alle digitale assets van organisaties te beveiligen. Die gebruikt worden in datacenters, desktops, mobiele apparatuur en de cloud. Het platform werkt samen met Venafi ThrustAuthority om het gebruik van alle sleutels en certificaten realtime inzichtelijk te maken en te managen op basis van de securitystrategie en policies. Met behulp van Venafi TrustForce is de levenscyclus van sleutels en certificaten van een organisatie volledig geautomatiseerd te beheren, inclusief het vervangen ervan bij ontdekte bedreigingen. Tenslotte bewaakt Venafi TrustNet het wereldwijde gebruik en vertrouwen van alle sleutels en certificaten.
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
45
EXPERTVISIE WACOM
TRENDS IN SECURITY 2016
Een veilige digitale toekomst vereist biometrie
WACHTWOORDEN VRAGEN OM PROBLEMEN
Biometrische authenticatie is in opmars. Technologische ontwikkeling zorgt ervoor dat steeds meer telefoons beschikken over een vingerafdrukscanner en stemherkenning. Ook is Windows 10 uitgerust met biometrische aanmelding via Windows Hello, zodat de computer aan de hand van een scan van gezicht, iris of vinger controleert of de gebruiker wel de voorgespiegelde persoon is.
naast stelt ABI Research dat alleen al aan het eind van 2015 er wereldwijd in totaal 13,8 miljard dollar omzet met biometrische technologie gedraaid wordt. Waar het momenteel nog vooral overheden zijn die in biometrie investeren, zal in 2017 consumententechnologie het vaandel overnemen. We staan dus nog maar aan het begin van een belangrijke ontwikkeling.
download die gebruikmaken van biometrische beveiliging. Acuity Market Intelligence schat dat 2,5 miljard gebruikers samen in 2020 over 4,8 miljard apparaten beschikken die gebruik kunnen maken van biometrische eigenschappen. Daar-
WACHTWOORDEN ZIJN NOOIT STERK GENOEG Dat biometrie aan terrein wint is niet meer dan logisch. De discussie over de betrouwbaarheid van wachtwoorden en pincodes blijft na iedere grootschalige hack namelijk oplaaien en daar verandert het door IT-organisaties verplichte gebruik van sterke wachtwoorden niets aan. Zelfs bedrijven met de meest strenge policies blijven kwetsbaar zolang hackers over technologie beschikken om het invoeren van wachtwoorden af te vangen (sniffing) of via brute kracht alle denkbare combinaties gewoonweg te kraken. De toegenomen rekenkracht van computers speelt hackers wat dat betreft in de kaart.
De voorspellingen voor komende jaren zijn dat het aantal toepassingen van biometrische authenticatie nog flink zal toenemen. In een recent rapport voorspelt Juniper Research dat in 2019 jaarlijks meer dan 770 miljoen apps worden ge-
De identiteit van een gebruiker beschermen met biometrie is daarom effectiever. In plaats van dat een gebruiker geverifieerd wordt aan de hand van een bewijsje als een onthouden wachtwoord, stelt biometrie met zekerheid vast dat het daadwerkelijk om de echte gebruiker gaat. Een vingerafdruk, gezichtsherkenning of irisscan horen tot de mogelijkheden, maar herkenning van een elektronische handtekening is hierbij net zo goed toepasbaar. DIGITALE HANDTEKENING: SCHAT AAN FORENSISCHE DATA Een digitaal opgeslagen handtekening bevat namelijk vele kenmerken. Niet al46
leen is het lastig om precies de accenten van het schrift van een gebruiker na te bootsen, ook draagt iedere digitale handtekening unieke eigenschappen als de volgorde, snelheid en druk, of hoek waarin de pen gehouden wordt. Variaties in beweging kunnen ook worden geregistreerd als de pen niet tegen de pad aangehouden wordt, zodat een fraudeur ook op basis van deze ‘air time’ tegen de lamp kan lopen. Digitale handtekeningen zijn in diverse sectoren toe te passen. Neem bijvoorbeeld verkopers die een handtekening van de klant nodig hebben voor een aankoop. Niet alleen wordt iemand die zich voordoet als de klant direct betrapt, ook hoeft de verkopende partij niets meer te printen, wat kosten en tijd bespaart en bovendien past in een beleid dat zich baseert op maatschappelijk verantwoord ondernemen. PKI-CERTIFICERING Let er wel op dat de digitale handtekening beschikt over een geldig Public Key Infrastructure (PKI) certificaat. Via deze breed gedragen standaard wordt een elektronische handtekening beveiligd en rechtsgeldig, wat dus ook geldt voor documenten of andere inhoud waarvoor ondertekend wordt. De digitale handtekening maakt ook dat partijen voor transacties en overeenkomsten, waarvoor nu nog een handgeschreven handtekening nodig is, niet elkaar fysiek hoeven te ontmoeten. Een procedure via de computer, smartphone of tablet maakt dat gerechtigde ondertekenaars niet hoeven te reizen om een overeenkomst bekrachtigd te zien. Dit scheelt flink in reis- en verblijfskosten. TWEEFACTOR IS TIJDELIJK Wachtwoorden zijn dood. Bedrijven die altijd hebben vertrouwd op slechts een tekenreeks om toegang te verschaffen of iets te verifiëren, zijn intussen bijna allemaal overgestapt naar tweefactor authenticatie (2FA), bijvoorbeeld door een SMS-code te sturen. Alleen in combinatie met 2FA én biometrie kunnen wachtwoorden veilig zijn, aangezien slimme cybercriminelen al over dual platform malware beschikken, die ook een verificatie-apparaat als een smartphone kan afluisteren.
'De voorspellingen voor komende jaren zijn dat het aantal toepassingen van biometrische authenticatie nog flink zal toenemen' Ontwikkelingen in hardware zorgen ervoor dat er mogelijkheden ontstaan om nog een stap verder te gaan die steeds laagdrempeliger worden. En dat is, gezien de wekelijks opduikende berichten over grote datalekken en hackeraanvallen, een ontwikkeling die positief stemt. In een online wereld waarin we niet altijd op ouderwetse credentials kunnen vertrouwen, is biometrie de sleutel naar een veilige toekomst. Maar realisme is op zijn plaats. Tal van legacy websites zullen komende jaren blijven werken via wachtwoorden. Een praktische oplossing moet ervoor zorgen dat deze sites kunnen blijven werken, maar dan wel op een veiliger manier. Veilige security-architectuur zal ontworpen moeten worden rond de naam/ wachtwoord structuur, daarbij wel gebruikmakend van oplossingen die van gebruikers vraagt biometrische oplossingen als de vingerafdruk, stem, iris, het gezicht of de handtekening toe te passen
bij het aanpassen of toevoegen van gegevens of het doen van transacties. En dit zal op een manier moeten gebeuren die de gebruikservaring niet of nauwelijks aantast, zodat de gebruiker niet geneigd is workarounds te vinden. ALLERMINST TOEKOMSTMUZIEK Omdat oplossingen nu ruimschoots beschikbaar zijn, wil ik in 2016 niets meer lezen over IT-beheerders die gebruikers in platte tekst zonder encryptie wachtwoorden versturen, wachtwoorden die met meerdere gebruikers gedeeld worden, encryptie van databases zonder salting, enzovoorts. Hetzelfde geldt voor juridische afdelingen die blijven werken zonder een digitale handtekening met PKI-certificaat. Biometrie is minder futuristisch dan het misschien nog klinkt. De apparaten en besturingssystemen zijn er klaar voor. Thomas Kaeb is Senior Sales Manager bij Wacom Europe
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
47
EXPERTVISIE WATCHGUARD TECHNOLOGIES
TRENDS IN SECURITY 2016
Het beeld van de hacker is te eenzijdig
WAAROM BLIJFT CYBERCRIME IN DE
MEESTE GEVALLEN ONBESTRAFT? In de media is de ‘hacker’ meestal een ontspoorde tiener, hooguit vroeg in de twintig, die vanuit zijn zolderkamer de computersystemen van grote bedrijven kraakt. Zulke mensen bestaan zonder twijfel. Maar is dit ook de realiteit? Martijn Nielen, Senior Sales Engineer en Certified Ethical Hacker bij WatchGuard Technologies, geeft meer uitleg. Enkele maanden geleden werd TalkTalk (Britse aanbieder van telefonie en internet) slachtoffer van een poging tot afpersing. Er moest £80.000 in bitcoins op tafel komen, anders zou gevoelige informatie over tienduizenden klanten openbaar worden gemaakt. Zoals nummers van betaalkaarten, adressen, telefoonnummers en geboortedata - genoeg voor identiteitsfraude en andere gerichte oplichterij. Sindsdien arresteerde de Britse politie vier mogelijke daders, met leeftijden variërend van 15 tot 20 jaar. In kranten werd
de 15-jarige beschreven als een verlegen ADHD-patiënt die zelden zijn slaapkamer verlaat. PAKKANS VERTEKENT HET BEELD Waarom denken zoveel mensen bij ‘hacker’ aan zulke jongens? Ze komen relatief vaak in beeld doordat ze makkelijk te pakken zijn. Maar dat zegt niets over criminele hackers in het algemeen. Verreweg het grootste deel van de cybercriminelen heeft totaal geen last van de politie. De Britse politie scoort gemiddeld één veroordeling per maand, op grond van de computer misuse act. Dat betekent een pakkans van ruwweg 1 op 10.000, of 0,01 procent. De Amerikaanse politie lijkt het nog aanzienlijk slechter te doen. Volgens een onderzoek van Jumio leidde in 2010 slechts 0,0019 procent van de cybercriminaliteit in de VS tot een veroordeling. Jumio rapporteert ook de leeftijd van de gemiddelde cybercrimineel. 71 procent is ouder dan 25. En er zijn heel wat vrouwen bij: 24 procent van het totaal. Ze blijven vrijwel onzichtbaar, net als die grote meerderheid van oudere cybercriminelen.
Martijn Nielen
48
ZWARTE HOED, WITTE HOED In de wereld van mensen die programmeren binnen de grenzen van de wet is een hacker iemand die uitstekend de weg weet in computersystemen. Iemand die creatief is en doorpakt, de machine altijd kan laten doen wat hij of zij wil. Het
kraken van een zorgvuldig beveiligd systeem is een heldere en ook wel nuttige manier om zulke competenties te bewijzen. Vandaar ‘white hat’ hacking-wedstrijden zoals Pwn2Own. Bij deze wedstrijd kraakte de Zuid-Koreaanse hacker Jung Hoon Lee in maart dit jaar de meest recente versies van Internet Explorer, Chrome en Safari zodanig dat hij vrije toegang kreeg tot de Windows- en Mac OS X-computers waar de browsers op draaiden. Zijn prestatie werd beloond met 225.000 dollar aan prijzengeld. “Met andere woorden, lokihardt (Jung Hoon Lee) verdiende ongeveer $916 per seconde met zijn demonstratie van twee minuten”, schreef Dustin Childs in het blog van sponsor HP Security Research. Knap gedaan. Maar hoe anders zijn de ‘black hats’ precies? Ook zij worden in eigen kring gewaardeerd om hun talent en kennis. Vaak werken ze in goed georganiseerd, zakelijk verband: investeerders, management, hackers die software ontwikkelen en een commerciële afdeling die producten verkoopt en verhuurt, inclusief technische ondersteuning. Klinkt heel normaal, afgezien van de ethische kwestie. En het internationale karakter van internet maakt ook dat verschil onzeker. CRIMINEEL - OF HELD? Jevgeni Bogatsjov is in westerse landen berucht vanwege zijn betrokkenheid bij het opvallend succesvolle ‘botnet’ Gameover Zeus. In februari 2015 zette de FBI een prijs van drie miljoen dollar op zijn hoofd, nadat verzoeken om samenwerking met de Russische politie niets hadden opgeleverd. Eerder al gingen journalisten van de Engelse krant The
Telegraph op zoek naar Bogatsjov en vonden zijn appartement in Anapa, aan de Zwarte Zee. Hij was niet thuis. Zijn buren beschreven hem als een rustige, vriendelijke man. Toen ze hoorden dat de FBI hem zocht, reageerden ze bewonderend: “Wat een geweldige vent. Als je kijkt naar wat de Amerikanen andere mensen aandoen, dan geeft Bogatsjov ze hun verdiende loon.” In het politiebureau, 200 meter verderop in de straat, gaat een agent nog wat verder: “Ik zou hem een medaille geven.” Er is serieus onderzoek gedaan naar eventuele verschillen tussen hackers en normale mensen. Bernadette Schell en collega’s verspreidden tien jaar lang vragenlijsten onder bezoekers van grote jaarlijkse hacker-congressen zoals Defcon en Black Hat. Hun conclusie komt erop neer dat hackers niet significant verschillen van mensen met andere technische en wetenschappelijke beroepen. BEDRIJVEN HUREN GRAAG EEN ‘BLACK HAT’ Ook het psychologische verschil tussen criminele en fatsoenlijke hackers kan minimaal zijn. Het gaat immers om fraude, niet om geweld. Er komt zelfs geen fysieke inbraak aan te pas. Dat maakt succesvolle criminele hackers op het eerste gezicht heel aantrekkelijk voor het bedrijfsleven. Geef ze een nette baan en het worden nette mensen, is het idee. Onderzoek van accountant KPMG laat zien dat ruwweg de helft van de in Engeland gevestigde ondernemingen zou overwegen om een hacker met strafblad in dienst te nemen - om de beveiliging van eigen systemen te verbeteren. In de VS zijn contracten met beruchte, min of meer criminele hackers al heel gebruikelijk. George Hotz (bekend als Geohot) kraakte als eerste de iPhone en kreeg het in 2011 aan de stok met Sony, omdat hij de cryptografische sleutels van de Playstation-3 op zijn website had gezet. Het kwam tot een rechtszaak; Hotz schikte en werd daarna achtereenvolgens ingehuurd door Facebook, Google en Vicarious. MAAR ZIJN HET ALLEMAAL HACKERS Jung Hoon Lee, Jevgeni Bogatsjov, George Hotz en een 15-jarige ADHD-patiënt. De
'Dat maakt succesvolle criminele hackers op het eerste gezicht heel aantrekkelijk voor het bedrijfsleven' een is een doorgewinterde afperser en fraudeur, de ander een genie, de derde heeft niets dan hulp nodig en nummer vier verzon eigen wetten als wat er was hem niet beviel. Het internet veroorzaakt generaties van heel diverse transnationale burgers waar de samenleving nog geen raad mee weet. Ze bij elkaar vegen als ‘hackers’ helpt niet bij het vinden van antwoorden op vragen zoals: • Wie passen goed in een fatsoenlijk bedrijf? • Hoe kunnen de wetgeving voor internet en de handhaving worden
verbeterd om de een te vangen en de ander op de rails te houden? Zij en hun wereld zijn bijna ongrijpbaar, terwijl hun macht toeneemt. Het is tijd voor afscheid van stereotypes en vooroordelen. Er is meer aandacht nodig voor wat ‘hackers’ motiveert, zodat ze meer sociale grond onder de voeten krijgen en om de echte cybercriminelen vaker te kunnen vangen. Martijn Nielen, Senior Sales Engineer en Certified Ethical Hacker bij WatchGuard Technologies
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
49
DOOR MR. V.A. DE POUS
LEGAL LOOK
SJOEMELSOFTWARE
THE POWER OF PEOPLECENTRICITY IN INFORMATIEBEVEILIGING
TAST DIGITAAL VERTROUWEN VERDER AAN Er was eens een Amerikaanse bankmedewerker met kennis van automatisering die bedacht dat een beproefde modus operandi van weleer, ook geautomatiseerd kon plaatsvinden. Weliswaar op zich niet onrechtmatig (de kaasschaafmethode voor het beperken van bedrijfskosten), maar vaak wel. Criminologen hebben het dan over de ‘salamitechniek’. Een in dit geval omstreden, nee, ronduit illegale werkwijze waarbij telkens een klein deel ‘verdwijnt’, ter grootte van het spreekwoordelijke flinterdunne plakje Italiaanse worst. Om het idee te bepalen: dat kan zelfs een cent of minder per financiële transactie zoals een overboeking zijn. Doorgaans kraait er geen haan naar - het verlies valt immers niet of nauwelijks op - en degene die zich van deze techniek bedient, wordt rijk, mits het om volume gaat. Na deze vorm van elektronische vermogensmisdaad - een van de oudste in zijn soort - ontstaat er medio tachtiger jaren ontluikende aandacht voor computervirussen. De aanleiding hiervoor was gelegen in het stijgende gebruik van de gestandaardiseerde IBM PC en zijn klonen, die allemaal op IBM dos of PC dos draaien. Zelfs voor Internet kwam computercriminaliteit dus in zwang. Enkele jaren na de opkomst van de eerste generatie malware verhaalde een medewerker van de toenmalige Centrale Recherche Informatiedienst over de volgende fraudecase. Een Amsterdams kappersbedrijf met verschillende zaken was fiscaal tegen de lamp gelopen. De kassasoftware was namelijk zo geprogrammeerd dat 20
of 25 procent van de aangeslagen omzet niet werd geregisterd in het grootboek. Aan het einde van de werkdag kwam de baas afromen. Een softwarehuis had op zijn verzoek de code aangepast. Nu zorgt VW dankzij de inzet van ‘sjoemelsoftware’ (het woord van het jaar) voor krantenkoppen. Wat klokkenluider Edward Snowden deed ten aanzien van brede toegang van Amerikaanse veiligheidsdiensten tot communicatie en opslag van digitale data, doet ‘Dieselgate’ met betrekking tot misleidende computerprogramma’s. Ineens wordt de wereld wakker geschud en het vertrouwen in de informatiemaatschappij krijgt opnieuw een forse knauw. Niet alleen Duitse auto’s maar bijvoorbeeld ook Japanse koelkasten bedienden zich van softwarecode om keuringsinstituut en klant en samenleving te misleiden. De crux betreft echter in alle zaken telkens hetzelfde: verborgen en tenminste voor gebruikers ongewenste softwarefunctionaliteit. We zoomen uit. Producent en leverancier behoren betrouwbaar te zijn; ook voor wat betreft de werking van ICT. Of wellicht moeten we zeggen: juist ten aanzien van deze techniek als blackbox in allerhande producten en diensten opgenomen. Geen verborgen functionaliteiten; in welke modaliteit dan ook. Uiteindelijk vervult de ICT-er een cruciale rol. Ontwikkelaars bouwen, al dan niet in opdracht van derde of werkgever, malafide programmatuur. Rogue developers. Mede op grond hiervan - maar bijvoorbeeld ook ten aanzien van de mislukte overheidsprojecten
- vragen wij ons af waarom de ICT-sector geen regeling voor klokkenluiders kent. Iemand die ransomware ontwikkelt of exploiteert, wordt meteen als heuse boef weggezet. Maar hoe kijken we tegen ontwikkelaars aan die bij gerespecteerde bedrijven, wereldmarktleiders zelfs zoals Volkswagen AG, in dienst zijn en hun talent misbruiken voor de bouw van softwarecode met verborgen functionaliteit? Zouden deze ICT-ers zelfgenoegzaam meewerken aan malafide handelspraktijken die het management bedenkt? Hoog tijd om de ethische lat hoog te leggen en ook om een klokkenluidersregeling te maken. Plaats vertrouwen in de informatiemaatschappij centraal. Wettelijke borging is hierbij van groot belang. Ten aanzien van financiële software zijn er al juridische vorderingen te melden. Zo gaat de fiscus niet zonder detailgegevens akkoord met boekhouding, die gebaseerd is op een elektronisch kassasysteem. Op 26 juni 2015 benadrukte ons hoogste rechtscollege namelijk dat ook de detailgegevens van een geautomatiseerd kassasysteem in beginsel onder de fiscale bewaarplicht vallen. Alleen met behulp van deze gegevens kan de volledigheid van de verantwoording van de omzet worden geverifieerd en ze kunnen ook van belang zijn voor de belastingheffing. Het juridische net wordt heus aangetrokken. En terecht.
‘Informatiebeveiligingsbewustzijn bij medewerkers is essentieel’ GERARD STROEVE I MANAGER SECURITY & CONTINUITY SERVICES
Informatiebeveiliging gaat verder dan IT alleen Centric kan u ondersteunen bij het succesvol opstellen, implementeren en uitvoeren van een informatiebeveiligingsbeleid conform de ISO 27001-norm, ISO 27002, Baseline Informatiebeveiliging voor Nederlandse Gemeenten en de NEN 7510. Het team van Security & Continuity Services is onder meer gespecialiseerd in het uitvoeren van Gap-analyses en risicoanalyses, het opstellen van beveiligingsplannen en het formuleren van passende beveiligingsmaatregelen. Kenmerkend voor onze aanpak is dat we breder kijken dan de ICT-component alleen. We nemen ook onderwerpen mee als fysieke beveiliging, security awareness en continuïteitsmanagement. Kunt u hulp gebruiken bij de informatiebeveiliging binnen uw organisatie? Ga naar www.centric.eu/informatiebeveiliging of mail ons via
[email protected].
SOFTWARE SOLUTIONS | IT OUTSOURCING | BPO | STAFFING SERVICES 50
www.centric.eu
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2015
51
turnIng off encrypted traffIc InspectIon for performance?
We have a better Idea. IntroducIng the fastest fIrebox ever. ®
Encrypted traffic is exploding worldwide. That’s why WatchGuard has released two new security appliances that deliver unprecedented speed – the Firebox M400 and M500. In fact, the M500 is 61% faster than the competition with all layers of security turned on – and 149% faster for capacity-intensive HTTPS inspection.* Now you have the power to amp up network performance without sacrificing security strength. Never compromise security. Step up to the new Firebox. Contact us today at:
[email protected] or call +31 (0)70 711 20 85
Copyright © 2015 WatchGuard Technologies, Inc. All Rights Reserved. * Report TB141118, Miercom, 2014, http://bit.ly/1yBAXGV
50