INFO
JAARGANG 14 - MEI 2015 - WWW.INFOSECURITYMAGAZINE.NL
SECURITY MAGAZINE
AANDACHT VOOR
MANAGED SECURITY SERVICES
INFOSECURITY MAGAZINE EN INSITE SECURITY ORGANISEREN
SERIOUS GAME ALCATRAZ SPECIAAL KATERN CONGRES ‘DIGITAAL ZAKENDOEN EN EID’ ESET ZIET GROEIMARKT IN MANAGED SECURITY SERVICES - ‘GOEDE IT-BEVEILIGING VAN ESSENTIEEL BELANG VOOR ONDERNEMERS’ - VOLDOEN AAN EUROPESE DATALEK-WETGEVING NU AL MOGELIJK - SECURITY MONITORING ONMISBAAR IN DE STRIJD TEGEN CYBERDREIGINGEN - ‘ORGANISATIES MOETEN NIET ALTIJD ALLES ZELF WILLEN DOEN’ - SLECHTE BEVEILIGING VAN MEDISCHE APPARATUUR ZORGT VOOR GROTE PRIVACYRISICO’S - MET INZICHT WIN JE DE OORLOG - DE CATCH-22 VAN CLOUDAPPLICATIES - PROBEER MENSELIJKE FACTOR BIJ ICT TE VERMINDEREN
SP
g
EEL E! ME
SERIOUS GAME MAAKT DEELNEMERS SPELENDERWIJS BEWUST VAN BELANG VAN VEILIG WERKEN
Hoe gaan we in ons dagelijks werk om met gevoelige informatie? Keer op keer blijkt dat de mens een van de zwakste schakels is als het om informatiebeveiliging gaat. Naast alle technische maatregelen om cybercriminelen buiten de deur te houden, is het dus ook van cruciaal belang om binnen het management en onder de medewerkers ‘awareness’ te creëren over het belang van security. Daarom organiseren Infosecurity Magazine en Insite Security op 25 juni de serious game ‘Alcatraz’
Colofon - Editorial
Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via
[email protected]. Uitgever Jos Raaphorst 06 - 34 73 54 24
[email protected] twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40
[email protected] twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel Advertentie-exploitatie Will Manusiwa 06 - 38 06 57 75
[email protected] Eindredactie/traffic Ab Muilwijk
DE GAME: • maakt deelnemers bewust wat informatieveilig werken is - als individu, als management maar ook als organisatie als geheel • brengt het onderwerp informatieveiligheid tot leven • brengt het verbeterpotentieel in kaart • legt de basis voor een actieplan met verbeterpunten en concrete maatregelen HET RESULTAAT: • meer (gedeelde) kennis over informatieveiligheid • hoger niveau van veiligheidsbewustzijn • inzicht in concrete verbeterpunten • basis voor een actieplan met verbeterpunten en concrete maatregelen
Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59
[email protected]
© 2015 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: www.infosecuritymagazine.nl
Aanmelden: www.infosecuritymagazine.nl/alcatraz 2
Digitaal zakendoen In deze editie van Infosecurity Magazine besteden we aandacht aan twee belangrijke ontwikkelingen: de opkomst van het langs digitale weg zakendoen en de mogelijkheden die managed security services bieden. Beide trends hebben veel met elkaar te maken.
Op 10 en 11 juni vindt in Bunnik het congres ‘Digitaal Zakendoen en eID’ plaats. Als we digitaal zaken met elkaar willen doen, is het van cruciaal belang dat u en ik precies weten wie ik en u nu precies zijn. Identiteit speelt sowieso een hoofdrol in het zakendoen, maar natuurlijk helemaal als we elkaar niet kunnen zien. Doen we een transactie in een winkel of op de markt, dan weten u en ik wellicht ook niet elkaars naam en adres, maar wordt direct afgerekend en geleverd. Bij
hun security-aanpak kunnen zijn. Zeker als het om kleinere bedrijven gaat. Weet uw systeembeheerder precies hoe een firewall moet worden afgesteld? Kan hij uit de logbestanden snel zinvolle informatie halen die een indicatie vormen dat er wellicht ongenode digitale gasten binnen de organisatie aanwezig zijn? En kan die systeembeheerder inderdaad een rol spelen als het gaat om het opleiden van de medewerkers van de organisatie en het vergroten van hun awareness? Het
‘Voor veel organisaties zou de beste aanpak weleens het uitbesteden van hun security-aanpak kunnen zijn’ digitale vormen van zakendoen loopt zo’n transactie anders. Maar willen we als koper toch graag onze goederen ontvangen en als verkoper natuurlijk ons geld. Dat kan fout gaan doordat iemand zich tussen u en mij heeft weten te manoeuvreren en uw of mijn identiteit probeert te misbruiken. Identiteitsfraude heeft alles te maken met een security-aanpak die niet op orde is. Natuurlijk weten we allemaal dat ieder bedrijf is geïnfecteerd met malware, maar dat wil natuurlijk nog niet zeggen dat we cybercriminelen vrij spel moeten geven. Ook in een IT-infrastructuur waarin malicious code aanwezig is, kunnen we nog altijd voorkomen dat een crimineel er met geld of intellectual property vandoor gaat.
antwoord zal vaak luiden: neen, dat kunnen wij zelf niet meer aan. Hoe lossen we dit probleem dan op? Precies: door security geheel of gedeeltelijk uit te besteden aan partijen die hiervan hun specialiteit hebben gemaakt. Beide thema’s komen in deze editie van Infosecurity Magazine bij elkaar. En als u dan toch dit magazine in handen heeft, leest u dan ook het artikel over de serious game die wij als Infosecurity Magazine samen met Insite Security lanceren. Via een bordspel (jawel … geheel analoog) helpen wij u om intern de discussie over IT-security op gang te brengen. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine
Hoe? Voor veel organisaties zou de beste aanpak weleens het uitbesteden van INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
3
INHOUD
DATA SECURITY CONGRES 18 JUNI 2015 Infosecurity Magazine en Insite Security organiseren Alcatraz 8 Hoe gaan we in ons dagelijks werk om met gevoelige informatie? Keer op keer blijkt dat de mens de zwakste schakel is als het om informatiebeveiliging gaat. Naast alle technische maatregelen om cybercriminelen buiten de deur te houden, is het dus van cruciaal belang om binnen het management en onder de medewerkers ‘awareness’ te creëren over het belang van security. Daarom organiseren Infosecurity Magazine en Insite Security op 25 juni de serious game ‘Alcatraz’. 12 ‘Goede IT-beveiliging van essentieel belang voor ondernemers’ 14 Voldoen aan Europese datalek-wetgeving nu al mogelijk 16 Security monitoring onmisbaar in de strijd tegen cyberdreigingen ‘Organisaties moeten niet altijd alles zelf willen doen’ 18 “Het is slecht gesteld met cybersecurity”, aldus Raimund Genes, CTO van Trend Micro. Hij geeft als voornaamste oorzaak hiervan aan dat veel directies te vaak hun prioriteit leggen bij de gebruikerservaring van hun diensten en producten in plaats van de beveiliging. Security is nu eenmaal niet de core business van veel organisaties. Het hoge tempo waarin cybercriminalitieit zich ontwikkelt, vereist echter een aanpak waarin alleen volledige toewijding kans van slagen heeft, zo stelt Patrick de Goede van Eijk, Solutions Expert Security bij T-Systems Nederland.
DATA SECURITY CONGRES, 18 JUNI 2015. MIS HET NIET! MELDPLICHT DATALEKKEN, CLOUD, PRIVACY EN SECURITY ZIJN ALLEMAAL HOT TOPICS. MAAR WAT BETEKENT DAT VOOR DE IT-AFDELING? Kom op 18 juni 2015 naar het security congres en wij brengen u op één dag op de hoogte van de laatste ontwikkelingen op het gebied van de Meldplicht Datalekken, Cloud, Privacy en Security voor onmisbare kennis rondom deze zeer actuele onderwerpen. Op dit congres komen deskundigen aan het woord vanuit verschillende invalshoeken: juridisch, eindgebruiker, leverancier en wetenschap.
Jaap-Henk Hoepman Jaap-Henk is Universitair Hoofddocent privacy enhancing technologies en identity management aan de Digital Security groep van de Radboud Universiteit Nijmegen. Jaap-Henk is tevens wetenschappelijk directeur en mede oprichter van het Privacy & Identity Lab, lid van The Internet of People, voormalig lid van de Executive Board van Trust in Digital Life, voormalig voorzitter van IFIP werkgroep ‘Pervasive Systems Security’.
Datum: Tijd: Toegang: Locatie:
Jamie Barnett Jamie is CMO binnen Netskope en heeft een indrukwekkende achtergrond: VP Marketing voor Zenprise, een enterpise mobility software bedrijf geacquireerd door Citrix, Senior Director Marketing voor McAfee’s mobile security business unit, Vice President, Product Management en Marketing voor het distributed processing software bedrijf Blue Vector. Daarnaast heeft hij meerdere management posities mogen bekleden binnen EMC, inclusief het co-founden van een data management afdeling binnen EMC en verantwoordelijk voor de acquisitie van RSA Security.
18 juni 2015 van 09.30 uur tot 15.45 uur gratis voor eindgebruikers Endemol Studio’s, MediaArena 2, 1114 BC Amsterdam-Duivendrecht
SPREKERS ZIJN ONDER ANDERE: Jan Brölmann Jan is een ervaren advocaat op het gebied van IE/ICT, die met regelmaat adviseert en procedeert over de volgende juridische onderwerpen: Cloud computing, Cookies en Privacy Statements en Privacy.
Slechte beveiliging van medische apparatuur zorgt voor grote privacyrisico’s 20 Medische apparatuur is in toenemende mate verbonden met een netwerk, waardoor data eenvoudig kan worden uitgewisseld. De kans op cyberincidenten neemt hierdoor echter ook toe. Het is dan ook zorgelijk dat de IT-beveiliging van medische apparaten in Nederlandse ziekenhuizen slecht op orde blijkt te zijn. Door de medische gegevens waarmee op de apparaten wordt gewerkt, zijn de privacyrisico’s groot. 39 Cloud-beveiliger CipherCloud breidt uit naar Nederland Met inzicht win je de oorlog 40 De meest succesvolle generaals zijn vaak degenen die de meeste kennis verzamelen vóór en tijdens de strijd. Zij beseffen dat het noodzakelijk is om zoveel mogelijk te weten over hun tegenstander, het slagveld en hun eigen troepen. Met die kennis verfijnen ze hun militaire tactieken en strategieën. Zonder deze kennis gaan ze de strijd onvoorbereid aan en is de kans op verlies groot. 44 ‘Exportvergunningen zijn vaak vergeten gat in informatiebeveiliging’ 48 Nieuwe EU-privacywet vraagt om integrale aanpak databescherming 50 Nationale IT-Security Monitor 2015 52 Nog weinig consistentie in cybersecuritywetgeving 54 Online bankieren met het veiligste endpointdevice
6
Op 10 en 11 juni vindt er in het Postillion Hotel in Bunnik een groot congres plaats waarin de meeste spelers in het domein van elektronische dienstverlening aanwezig zullen zijn. Aanbieders van diensten, leveranciers van middelen en vertegenwoordigers van de overheid zullen op informele wijze twee informatieve dagen met elkaar doorbrengen. Het congres ‘Digitaal Zakendoen en eID’ beoogt met 700 bezoekers dan ook een moment in de ontwikkeling van de Nederlandse eID-industrie te markeren, waarbij we niet alleen kijken naar waar de toekomst ons zal brengen, maar vooral ook waar we op dit moment al goed in zijn.
ESET ZIET GROEIMARKT IN
MANAGED SECURITY SERVICES
10
Waarom zaken zelf doen als een specialist het beter en goedkoper kan? Onder dat motto hebben bedrijven in de afgelopen decennia steeds meer niet-kernactiviteiten uitbesteed aan derden. Van schoonmaak tot catering tot IT-beheer. Een relatieve nieuwkomer is security. De Managed Security Services zijn duidelijk in opkomst en security-specialist ESET speelt daarop in.
DE CATCH-22 VAN CLOUDAPPLICATIES
42
Cloudapplicaties zijn niet meer weg te denken uit ons dagelijks leven, en dus ook zakelijke omgevingen. De complexiteit van beheer wordt daarmee steeds groter. Want wie gebruikt nu welke cloudapplicatie en wat doet die gebruiker daar precies mee? Vragen waar IT-afdelingen vaak geen antwoord op kunnen geven, omdat ze geen grip hebben. Met als gevolg dat ze uit angst maar alle cloudapplicaties blokkeren. Of juist de kop in het zand steken. Eduard Meelhuysen, VP Sales EMEA van Netskope, ziet het dagelijks. Een gesprek over hinken op twee benen: flexibel werken mogelijk maken en veiligheid bieden.
PROBEER MENSELIJKE
FACTOR BIJ ICT TE VERMINDEREN
46
Mens en machine liggen elkaar niet altijd even goed. Dat zien we bij de beveiliging van industriële omgevingen, maar ook nog steeds bij - wat heet - de kantoorautomatisering. De menselijke factor is een geducht aspect bij het waardebehoud van gegevens. Op technisch vlak is hier veel te bereiken, maar altijd in samenhang met bewustwordingsprogramma’s, want iets werkt pas als mensen snappen waarom het nodig is.
57 ‘Veel cybercriminelen beginnen met digitale diefstallen in games’ 58 Legal Look
MEER INFORMATIE EN AANMELDEN: WESECURE.NL/EVENTS/INSCHRIJVEN-SECURITY-EVENT/ITEM202
DIGITAAL ZAKENDOEN ELEKTRONISCHE IDENTITEIT: EEN NATIONALE AMBITIE
SPECIAAL KATERN CONGRES ‘DIGITAAL ZAKENDOEN EN EID’
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
5
EVENT
Congres 10 en 11 juni in Bunnik
DIGITAAL ZAKENDOEN EN ELEKTRONISCHE IDENTITEIT: EEN NATIONALE AMBITIE Op 10 en 11 juni vindt er in het Postillion Hotel in Bunnik een groot congres plaats waarin de meeste spelers in het domein van elektronische dienstverlening aanwezig zullen zijn. Aanbieders van diensten, leveranciers van middelen en vertegenwoordigers van de overheid zullen op informele wijze twee informatieve dagen met elkaar doorbrengen. Het congres ‘Digitaal Zakendoen en eID’ beoogt met 700 bezoekers dan ook een moment in de ontwikkeling van de Nederlandse eID-industrie te markeren, waarbij we niet alleen kijken naar waar de toekomst ons zal brengen, maar vooral ook waar we op dit moment al goed in zijn. Accent komt te liggen op wat er op dit moment al mogelijk is, geïllustreerd aan een aantal veelzeggende praktijkvoorbeelden. Een gemeente die zijn gemeentehuis opheft, elektronische vrachtbrieven, paspoorten die aan huis geleverd worden, artsenbezoek via de webcam; allemaal voorbeelden van dienstverlening waar één of andere vorm van elektronische identiteit en authenticatie op de ach-
6
tergrond een onmisbare rol speelt. Jaap Kuipers, de organisator van het congres en initiatiefnemer van Platform Identiteitsmanagament Nederland: “Wie het programma bekijkt, ziet daarin weerspiegeld dat het elektronisch zakendoen in Nederland in veel branches en ketens eigenlijk al tot de standaard behoort. Maar niet het hele veld is homogeen bezig. Soms is dat vanwege de te maken
investeringen, maar ook weet men niet altijd wat er te krijgen is op het gebied van diensten, producten en standaardisatie. ‘Digitaal Zakendoen en eID’, georganiseerd door Platform Identiteitsmanagement Nederland (PIMN) en ECP, levert een bijdrage om gezamenlijk hier een aantal stappen in verder te komen.” STAPSGEWIJZE INNOVATIES Niet dat er de afgelopen tien jaar niets is gebeurd, integendeel. De laatste jaren is er sprake geweest van diverse stapsgewijze innovaties. Stap voor stap werden verbeteringen aangebracht in diverse sectoren door digitalisering. Soms ging dat gepaard met veel vuurwerk en tromgeroffel, maar vaak zijn elektronische toepassingen geruisloos in de ‘mainstream’ terechtgekomen, gewoon omdat ze efficiënt en gebruikersvriendelijk zijn. Daarnaast lijken we ons ook steeds meer te realiseren dat Nederland in de wereld van digitale dienstverlening het bepaald niet slecht doet in vergelijking met an-
dere landen binnen en buiten Europa. Een goede digitale infrastructuur komt onze positie en imago van internationaal handelsland ten goede, zeker als je daar onze sterke logistieke sector bij optelt. En Europa wordt steeds belangrijker. De afgelopen jaren heeft de Europese Commissie, onder de bezielende en krachtige leiding van voormalig Eurocommissaris Kroes, het digitaal één worden van de Europese markt gestimuleerd. Dat is goed voor Nederland als handelsland. Maar om deze ontwikkeling in klinkende munt om te zetten hebben we behoefte aan elektronische vertrouwensdiensten voor rechtszekerheid op internet. Hiervoor heeft de EU op 3 april 2014 de Verordening voor ‘Elektronische Identificatie en Vertrouwensdiensten voor Elektronische Transacties in de Interne Markt’ vastgesteld. De verordening is al van kracht in 2016 en vervangt de huidige regels voor elektronische handtekeningen. Jaap Kuipers hierover: “Nederland kan tijdens haar EU voorzitterschap in 2016 de Europese digitale handschoen oppakken en een nieuwe impuls geven. We hebben al eerder laten zien dat we als klein land belangrijke invloed in Europa kunnen hebben. Dit is een grote kans voor Nederland-Transactieland.” NEDERLAND ONDERKENT BELANG Nederland onderkent het belang van digitale dienstverlening en regelt het recht op elektronisch zakendoen met de overheid per 2017. Dat is al over 2 jaar. In voorbereiding daarop stimuleert het Ministerie van Economische Zaken doorbraakprojecten met ICT, waaronder het project ‘Massaal Digitaal’. Dit project stimuleert meer digitale dienstverlening voor burgers en bedrijven. Bovenstaande ontwikkelingen komen niet uit de lucht vallen, aan veel bouwstenen wordt al jaren gewerkt. Meer dan ooit begrijpen we dat ‘vertrouwen’ randvoorwaarde is voor digitaal zakendoen, partijen moeten voldoende zekerheid hebben over de (nieuwe) klant aan de andere kant. Nu het fysieke aspect bij zakendoen losser wordt (onder andere door de smart phone en plaatsonafhankelijke dienstverlening), wordt het voldoende betrouwbaar en verifieerbaar kunnen vaststellen van de online identiteiten van de transactiepartners een randvoorwaarde. Technische middelen daarvoor komen als paddenstoelen uit de grond.
Jaap Kuipers
Max Snijder
‘Digitaal Zakendoen & eID’ gaat spelers helpen om hierin hun weg te vinden, zodat oplossingen gevonden worden die passen bij een bepaalde dienstverlening.
wetgeving, sociale adoptie bij digitaal zakendoen en plaatsonafhankelijk werken.
CONFERENTIES, WORKSHOPS EN SEMINARS Het congres ‘Digitaal Zakendoen & eID’ bestaat uit twee conferenties en een 11-tal workshops en seminars. Onderwerpen lopen uiteen van strategie en
Behalve luisteren kunnen deelnemers ook actief meepraten in de 11 workshops en seminars, die verspreid plaatsvinden over de twee dagen. Wie graag van dichtbij wil zien hoe bepaalde producten en diensten werken is er de Mini Expo, een laagdrempelige expositie van bedrijven en dienstverleners. Dat Nederland toe is
'Nederland kan tijdens haar EU-voorzitterschap in 2016 de Europese digitale handschoen oppakken en een nieuwe impuls geven' beleid, tot uitvoering en standaardisatie. Brede overzichten zullen gegeven worden door onder andere Digicommissaris Bas Eenhoorn en Elly Plooij (voorzitter van e-Stelselraad, het Strategisch Beraad voor eHerkenning). Naast grote trends en ontwikkelingen wordt er ook ingegaan op stand van zaken en dagelijkse praktijk van vertrouwensdiensten en eID in Nederland, zoals elektronische identiteiten in de praktijk, het stelsel, standaardisatie, best practices en de rol van de overheid. Een meer praktijkgerichte invalshoek wordt behandeld door middel van onderwerpen zoals vertrouwen en veiligheid, fraudepreventie en -detectie, privacy,
aan een dergelijk verbindend evenement is duidelijk: de respons is groot en daarmee ook de verwachte opkomst. Kaarten zijn beperkt beschikbaar, dus reserveer snel. Max Snijder is medeorganisator van ‘Digitaal Zakendoen en eID’
MEER INFORMATIE EN KAARTEN: zie het speciale katern in het hart van Infosecurity Magazine.
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
7
SERIOUS GAME ALCATRAZ
Deelnemers spelenderwijs bewust maken van belang veilig werken
INFOSECURITY MAGAZINE EN INSITE SECURITY
ORGANISEREN ALCATRAZ Hoe gaan we in ons dagelijkse werk om met gevoelige informatie? Keer op keer blijkt dat de mens de zwakste schakel is als het om informatiebeveiliging gaat. Naast alle technische maatregelen om cybercriminelen buiten de deur te houden, is het dus van cruciaal belang om binnen het management en onder de medewerkers ‘awareness’ te creëren over het belang van security. Daarom organiseren Infosecurity Magazine en Insite Security op 25 juni de serious game ‘Alcatraz’.
Informatiebeveiliging lijkt vaak een technische zaak. Toch ontstaan 70 procent van alle informatie-incidenten door men-
selijk handelen. Soms is men simpelweg niet op de hoogte van de procedures, in andere gevallen kent men die wel maar
geeft het management niet altijd het juiste voorbeeld. Het kan ook zijn dat men zich niet bewust is van het feit dat ‘social engineering’ wordt toegepast of maakt men elementaire fouten door te eenvoudige wachtwoorden te gebruiken of deze niet regelmatig te wijzigen. UITDAGEN EN STIMULEREN Daarom organiseren Infosecurity Magazine en Insite Security de serious game ‘Alcatraz’. De game is een effectief instrument om deze zwakke schakel in de informatiebeveiliging te versterken. Deelnemers worden uitgedaagd om zich
‘Ik ben zeer blij dat we deze game hebben kunnen spelen. De game daagt je uit om aan de slag te gaan met informatieveiligheid. Het werd precies duidelijk wat een medewerker echt nodig heeft om verder te kunnen met het thema informatieveiligheid’ - Michel Wekema, Security Officer provincie Groningen OVER INSITE SECURITY Insite Security wil de IT security-dienstverlening fundamenteel veranderen. We willen ervoor zorgen dat privacy vanzelfsprekend is, onze klanten veilig zaken doen via internet en zich kunnen richten op waar ze goed in zijn. We doen dit door mens, organisatie en techniek met elkaar te verbinden.
uit te spreken over de staat van informatieveiligheid binnen hun organisatie. De game stimuleert om na te denken over kwetsbaarheden en de manier waarop deze kunnen worden aangepakt. Alcatraz betrekt de deelnemers bij informatieveiligheid en creëert zo draagvlak voor beleid en maatregelen. De game helpt van de mens als zwakke schakel juist de sterkste schakel te maken. Zeg maar: ‘the human firewall’. INFORMATIEVEILIGHEID VERGROTEN Een puur technische of een uitsluitend organisatorische benadering van informatieveiligheid is niet voldoende. Het beveiligingsbewustzijn van de mens (de ‘awareness’) zou juist het startpunt moeten zijn. Informatiebeveiliging is pas echt ‘veilig’ als de mensen op de juiste manier omgaan met zowel de technische als de organisatorische maatregelen. Het gedrag van mensen bepaalt uiteindelijk hoe veilig informatie is. WAT IS ALCATRAZ? In de game Alcatraz - een bordspel met vragen en stellingen - wordt besproken wat er nodig is om informatieveilig gedrag blijvend te stimuleren. De game: • maakt deelnemers bewust wat informatieveilig werken is - als individu, als management maar ook als organisatie als geheel
8
brengt het onderwerp informatieveiligheid tot leven • brengt het verbeterpotentieel in kaart • legt de basis voor een actieplan met verbeterpunten en concrete maatregelen VOOR WIE? Alcatraz is een serious game voor iedereen: het management, een afdeling, een projectgroep of nieuwe medewerkers. Op 25 juni spelen we de game met individuele spelers. Iedereen die werkzaam is bij middelgrote en grote organisaties kan aan de game deelnemen. De deelnemers komen op een leuke en innovatieve manier meer te weten over informatieveiligheid. Door het spelen van de game wordt duidelijk welke kritische succesfactoren en aandachtspunten er in uw organisatie zijn, om de informatieveiligheid succesvol te vergroten. DE GAME Alcatraz is een bordspel. Tijdens het spelen gaan de deelnemers aan de hand van stellingen over informatieveilig gedrag
met elkaar in gesprek. De stellingen zijn onderverdeeld in drie niveaus: organisatie, management en medewerker. Per stelling wordt een oordeel gevraagd over de huidige én de gewenste staat. Deze scores worden genoteerd en vervolgens besproken. De deelnemers ontdekken in korte tijd hoe andere personen naar de verschillende aspecten van informatieveiligheid kijken. Zo wordt het verbeterpotentieel in de organisatie zichtbaar en ontstaat er draagvlak voor verbeteringen. HET RESULTAAT Het resultaat van de game: • Meer (gedeelde) kennis over informatieveiligheid • Hoger niveau van veiligheidsbewustzijn • Inzicht in concrete verbeterpunten • Basis voor een actieplan met verbeterpunten en concrete maatregelen
'Op 25 juni spelen we de serious game Alcatraz met individuele spelers. Iedereen die werkzaam is bij middelgrote en grote organisaties kan deelnemen' MEER WETEN OF AANMELDEN? • We spelen Alcatraz op 25 juni in Amsterdam • Aantal deelnemers: maximaal 42 • Tijdsduur: 2 tot 4 uur • Spelvorm: interactief bordspel • Meer weten? Vraag het aan Robbert Hoeffnagel:
[email protected] of 06 51 28 20 40 • Aanmelden: www.infosecuritymagazine.nl/alcatraz
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
9
MANAGED SECURITY SERVICES
ESET
ZIET GROEIMARKT IN MANAGED SECURITY SERVICES Waarom zaken zelf doen als een specialist het beter en goedkoper kan? Onder dat motto hebben bedrijven in de afgelopen decennia steeds meer niet-kernactiviteiten uitbesteed aan derden. Van schoonmaak tot catering tot IT-beheer. Een relatieve nieuwkomer is security. De Managed Security Services zijn duidelijk in opkomst en security-specialist ESET speelt daarop in. “Bij managed services gaat het uiteindelijk om ontzorging”, zegt Dave Maasland, managing director van ESET Nederland. “Met name technologie is de afgelopen jaren steeds complexer geworden. Dat
Dave Maasland
10
maakt het voor bedrijven – zeker in het mkb – moeilijk om bij te blijven qua kennis en techniek. De managed-serviceproviders zijn in die markt gesprongen en spelen in op de behoefte aan ken-
nis en expertise. Dat geldt nu ook voor security-services, waarbij het op dit moment vooral gaat om bepaalde security-software die je als managed service afneemt.” AWARENESS Maasland waarschuwt er wel voor dat uitbesteding van security kan leiden tot minder interne aandacht voor security. “Dat is uiteraard niet de bedoeling. Ook als je je security uitbesteedt, moet je je medewerkers scherp blijven houden. Zij moeten altijd attent zijn op verdachte e-mails of andere aanvalsmiddelen. Er mag niet het beeld ontstaan, dat de verantwoordelijkheid voor de beveiliging uitsluitend bij de serviceprovider ligt. Iedere medewerker in de organisatie moet zich dagelijks bewust zijn van mogelijke gevaren. Onlangs nog bleek dat maar liefst 23 procent van de medewerkers op een dubieuze link in een phishingmail klikt.” Daarnaast is het volgens Maasland belangrijk dat klant en MSP regelmatig met elkaar overleggen. “Uitbesteding betekent afstand. Dat mag niet leiden tot ‘out of sight, out of mind’. Beleg regelmatig een sessie om te kijken hoe het gaat en hoe de beveiliging nog weer een trapje hoger kan. Die advieskant is goed door de MSP op te pakken. MSP’s hebben de potentie om zich meer te profileren als een echte sparringpartner, waarbij ze hun klanten helpen de bedrijfsdoelstellingen en ambities te realiseren.” HEILIGE GRAAL? Managed security services hebben beslist grote voordelen, zeker voor kleine en middelgrote bedrijven. Dat is ook een van de redenen waarom ESET als een van de eerste security-leveranciers een speciaal programma in het leven riep voor managed security services. Maar beschouw ze ook weer niet als de heilige graal, benadrukt Maasland. “Op het
gebied van security is er geen ‘one size fits all’. Kijk dus goed wat bij je past. Er zijn veel mkb-bedrijven met een heel beperkte complexiteit als het om IT gaat. Zij zijn in de regel in staat om hun beveiliging met lokale oplossingen zelf op orde te houden. Aan de andere kant zijn er mkb-bedrijven, die al snel in de categorie vallen waarin de complianceregels binnenkort strikter worden. Als je meer dan vijfduizend klantrecords beheert, moet je in de toekomst bijvoorbeeld een datalek officieel melden. Voor deze bedrijven kan een managed service wel een goede keus zijn om de continuïteit te waarborgen.” Voor grote bedrijven kunnen managed services ook interessant zijn, ondanks dat deze organisaties in de regel geneigd zijn veel zelf te doen. Maasland: “Zij kunnen bijvoorbeeld een specifieke deeltaak zoals toezicht op data uitbesteden aan MSP.” VOORDELEN Volgens Maasland hebben managed security services voordelen op de korte en de lange termijn. “Op de korte termijn heb je de quick wins van up-to-date software, doordat de MSP je patches en dergelijke uit handen kan nemen. Up-to-date software is de basis van ieder beveiligingsbeleid, omdat het de kwetsbaarheid van systemen vermindert. Daarnaast creëer je op de langere
termijn meer inzicht in je omgeving. Een MSP monitort je systemen 24x7, wat veel informatie oplevert en rust creëert. Daarnaast bouwt een MSP zijn dienstverlening continu uit met nieuwe oplossingen die inspelen op opkomende bedreigingen. Cybercriminelen blijven zoeken naar nieuwe aanvalsmiddelen. Zo zie je steeds meer malware die zich eerst lang verstopt op een systeem om pas later toe te slaan. Dat vereist andere opsporingstechnieken. Daar kan een MSP goed in voorzien.” SELECTIE Hoe weet je of een MSP betrouwbaar is? Maasland: “Het is uiteraard verstandig om niet met de eerste de beste MSP in zee te gaan. Om te beginnen is het raadzaam om te kijken welke tools hij inzet. Zijn het tools van de bekende en gerenommeerde security-vendors? Kijk vervolgens of de MSP volledig gecertificeerd is door zijn vendor. Elke MSP kan een beveiligingsdienst verkopen, maar implementeren en onderhouden is een ander verhaal. ESET gaat bijvoorbeeld alleen in zee met MSP’s met tenminste twee gecertificeerde mensen voor onze producten. Zo weet een eindklant dat hij de kwaliteit krijgt die hij verwacht.” MSP-AANPAK VAN ESET ESET beschouwt de managed servi-
TRENDS 2015 VOLGENS ESET Volgens ESET zijn dit belangrijkste security-trends voor 2015: • Een toename van de Advanced Persistent Threats (APT). Deze zijn doelgericht en bijna niet te traceren. Dat vereist continue aandacht voor onregelmatige of afwijkende gedragingen in het netwerk en applicaties. • Social engineering als belangrijkste aanvalsvector. Continue bewustwording binnen de organisatie blijft daarom cruciaal. Social engineering wordt steeds geavanceerder en vraagt om awareness op alle niveaus binnen de organisatie. • Betalingssystemen in de retail blijven kwetsbaar voor zero day-aanvallen. Er zijn diverse voorbeelden van grote, bekende winkelketens waar betaalpasinformatie werd gestolen door het vervangen van betaalterminals of het skimmen van betaalpassen. • Toename van ransom-ware. Cybercriminelen infecteren een systeem en versleutelen alle bestanden. Na betaling van losgeld krijgt de gebruiker de bestanden volgens de cybercriminelen terug, maar in veel gevallen gebeurt dat niet. • Het Internet of Things biedt een heel nieuw perspectief voor kwaadwillenden. De eerste voorbeelden zijn al bekend: de elektrische sportwagen van Tesla werd gehackt en smart-tv’s blijken backdoors te hebben die ook voor hackers interessant kunnen zijn.
ces-markt als een groeimarkt. Daarom ontwikkelde het als een van de eerste security-vendors een speciaal programma voor MSP’s. Het programma voorziet in een flexibel maandelijks abonnement waarbij licenties heel gemakkelijk te upen downgraden zijn. Alle beheer is gebruiksvriendelijk uit te voeren op basis van ESET Remote Administrator. Maasland: “Daarnaast kan een MSP terugvallen op onze support, vanuit Nederland en in het Nederlands. Dat zorgt voor korte lijnen en dat is zeker in geval van een grootschalig incident een prettig idee.”
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
11
MANAGED SECURITY SERVICES
Thijs van Puijenbroek, TvP Automatisering:
‘GOEDE IT-BEVEILIGING VAN ESSENTIEEL BELANG VOOR ONDERNEMERS’
Ondernemers zijn goed in hun vak. En succesvolle ondernemers zijn daarnaast ook nog goed in ondernemen. Maar ondernemers kunnen niet overal goed in zijn. Evenmin kunnen zij overal verstand van hebben. Een psycholoog met een psychologiepraktijk is geen IT-specialist. Toch is zijn praktijk afhankelijk van een goed werkende IT. Bovendien beschikt hij over een archief met dossiers waarin de meest persoonlijke informatie staat over zijn cliënten. Een goede IT-beveiliging is dan ook van essentieel belang voor hem. Maar hij heeft helemaal geen verstand van computers, laat staan over de nieuwste manieren waarop cybercriminelen malware en phishing inzetten om zijn bankgegevens te achterhalen en de social engineering die zij gebruiken om via zijn Facebook-gebruik zijn zakelijke server binnen te komen. En dus moet hij
vertrouwen op een partij die dit voor hem in orde brengt en houdt. De hier beschreven psychologiepraktijk is één van de klanten van Thijs van Puijenbroek, eigenaar van TvP Automatisering. Tot voor kort hielp hij deze klant door beveiligingssoftware op de pc’s van
de praktijk te installeren en op gezette tijden via de management server, waar hij vanuit zijn eigen kantoor toegang toe had, te controleren of alle instellingen nog klopten, alle patches en updates waren geïnstalleerd en, niet onbelangrijk, of er virusmeldingen waren. Maar de psychologenpraktijk was niet de enige klant van TvP. Zo was er ook het advieskantoor dat gemeenten bijstaat. Deze organisatie stuurt werknemers met hun laptop naar gemeenten toe om daar enkele weken te werken en daar tot een advies te komen. Het zou voor deze ondernemer een flinke flater zijn als één van zijn werknemers door een slechte IT-beveiliging het gehele netwerk van de betreffende gemeente zou infecteren. Ook deze klant had dus groot belang bij een goede beveiliging. En het bleek nogal eens mis te gaan met het uitrollen van patches en het installeren van updates op de laptops van het bedrijf. Bij TvP constateerde men dat telkens pas op het moment dat ze kans en tijd hadden om in te loggen op de management server van deze klant. G DATA MANAGED SERVICES Van Puijenbroek kaartte dit probleem aan bij zijn vaste IT Security-partner, G DATA. Gelukkig was G DATA al aan de ontwikkeling begonnen van een oplossing die deze problematiek in één klap zou verhelpen. Hij besloot dan ook om direct in de beta-fase van het project in te stappen en werd TvP Automatisering zo de eerste automatiseerder in Nederland die G DATA Managed Services aanbood. Inmiddels werkt TvP een jaar met G DATA Managed Services en Van Puijenbroek kan de voordelen bondig samenvatten: “Met G DATA Managed Services hebben wij in één oogopslag het overzicht van de beveiligingsstatus bij al onze klanten.” En daarmee raakt hij aan de kern van de waarde van Managed Services.
12
De eindgebruiker, die geen IT-expert is en misschien zelfs een lichte afkeer heeft van IT, hoeft helemaal niets meer te doen nadat de software op zijn pc’s is geïnstalleerd. Zelfs als de gebruiker per ongeluk op een verkeerde knop drukt en zo bijvoorbeeld de firewall uitschakelt, is dat geen groot probleem. Een dergelijke veranderde instelling wordt namelijk onmiddellijk gemeld in de centrale management server, waarin de systemen van alle klanten van TvP in één overzicht worden weergegeven. Van Puijenbroek kan dan direct ingrijpen en levert zo in plaats van een reactieve een proactieve service. “Voorheen moesten we echt inloggen op de management server van een bepaalde klant als we wilden kijken of alles in orde was. Dat doe je niet meerdere keren op een dag als je tientallen klanten hebt, dat is eenvoudigweg onmogelijk. Dat heeft in het verleden wel eens vervelende gevolgen gehad. Eén van mijn klanten had per ongeluk bepaalde instellingen van de beveiligingssoftware aangepast. Hierdoor was het beveiligingsniveau onbedoeld sterk naar beneden bijgesteld. Na deze aanpassing opende een van de medewerkers van de klant een e-mail met bijlage en kon een virus het systeem besmetten. Ik heb de besmetting pas de volgende dag opgemerkt, toen het tijd was voor mijn dagelijkse controle van hun systemen. Het virus had toen al uren vrij spel gehad. De klant was hier niet blij mee. En ik kon de eindgebruiker ook niet de schuld geven, zijn kennisniveau was te laag om te begrijpen dat hij zelf een fout maakte. Het gevolg was echter dat we een tijd bezig waren om het systeem te ontsmetten. Mijn klant kon in die tijd zijn klanten niet bedienen. Kortom: economische schade voor ons beide.”
‘Met G DATA Managed Services hebben wij in één oogopslag het overzicht van de beveiligingsstatus bij al onze klanten’ één van onze klanten. Ik kan dit overzicht zelfs op mijn mobiel zien, dus ook als ik onderweg ben, kan ik alles in de gaten houden. Als het nodig is, kan ik dus direct,
proactief inspringen en een rampscenario afwenden.” Van de redactie
RAMPEN VOORKOMEN Hij vervolgt: “Uiteindelijk heeft deze klant nog geluk gehad: in plaats van een irritant, maar niet al te schadelijk virus, had ook een hacker op het systeem kunnen binnendringen en daar alle gegevens over en van zijn klanten kunnen stelen. Een dergelijk datalek levert een bijna permanente reputatieschade op. Met Managed Services behoren dat soort problemen tot het verleden. Onze medewerkers hebben de centrale management server altijd als we achter de pc zitten open staan en zo zien we dus in real-time wanneer er iets mis gaat bij INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
13
MANAGED SECURITY SERVICES
Nieuwe technologie van Nederlandse bodem
‘VOLDOEN AAN
EUROPESE DATALEK-WETGEVING
NU AL MOGELIJK
Op Europees niveau is nieuwe regelgeving in de maak over de meldplicht bij het lekken van data. Er wordt momenteel hard gewerkt aan de General Data Protection Regulation. In het Nederlands: de Algemene verordening gegevensbescherming. In de verordening staat een algemene verplichting tot het melden van datalekken. Deze nieuwe Europese verordening zou boven onze wet gaan. Dus ook boven de nieuwe Nederlandse wet die in de maak is. Technologie van Nederlandse bodem biedt nu al de bescherming welke organisaties nodig hebben om zich te wapenen tegen datalekken. Het niet melden kan behoorlijk worden bestraft op grond van de nieuwe verordening: ‘A fine with a minimum of 450.000 EUR or up to 5% of the annual worldwide turnover in case of an enterprise, which-
ever is greater’. De nieuwe regelgeving is in de maak. Dit betekent echter niet dat de verordening ook morgen van toepassing is in Nederland. Een Europese verordening heeft rechtstreekse werking,
wat zoveel betekent als dat de regelgeving niet eerst omgezet hoeft te worden in een Nederlandse wet. Wel krijgen de lidstaten na vaststelling van de verordening eerst twee jaar de tijd om de eigen wetgeving in lijn te brengen met een nieuwe Europese verordening. Naar verwachting praten we dan over 2016. Wanneer gaan die twee jaar dan in? Op 12 maart 2014 heeft het Europese Parlement vóór de hervorming van de gegevensbescherming gestemd. Wat gebeurt er nu verder? ‘To become law the proposed Regulation has to be adopted by the Council of Ministers using the ‘ordinary legislative procedure’ (co-decision)’. Hoe deze medebeslissingsprocedure (codecisie) er precies uitziet, is vrij complex.
Als alles heel voorspoedig verloopt, kan de verordening in 2016 aangenomen worden. De vraag is nu: heeft het zin om onze (afwijkende) meldplicht op te tuigen en in te voeren om de tijd te overbruggen tussen nu en de inwerkingtreding van de meldplicht? Zowel de huidige richtlijn (95/46/ EC) als de toekomstige verordening maken namelijk geen onderscheid tussen lekken met of zonder ernstige nadelige gevolgen. Dit onderscheid is wel opgenomen in het wetsvoorstel. NEDERLANDSE TECHNOLOGIE Met technologie van KeyTalk zijn organisaties in staat om zich te wapenen tegen een aantal hardnekkige digitale aanvallen die de grondslag kunnen zijn voor deze zogenaamde datalekken. Het in Nederland gevestigde bedrijf is actief met geautomatiseerde distributiesystemen van zogeheten ‘short lived digital certificates’. Deze technologie geeft een significante verbetering van de online security, met name op het gebied van bescherming tegen phishing, sniffing, anonieme brute force-aanvallen en man-in-the-middle bedreigingen. Bovendien biedt KeyTalk hiermee mogelijkheden om de kosten van authenticatie te verlagen, terwijl het gebruik voor zowel de enduser als de administrator veel eenvoudiger wordt. “Certificaat-technologie met sterke cryptografische sleutels zoals te vinden op smartcards is nog steeds de meest veilige manier om data-in-motion en toegang tot netwerken te beschermen tegen niet geautoriseerde personen”, aldus Michael van der Sman, CIO bij KeyTalk. “Het grote nadeel was altijd het beheer: aanmaken, (her)uitgifte en revocatie. Vooral het tijdig melden van verloren
Michael van der Sman
certificaten met bijbehorende private key om misbruik en daarmee datalekken tijdig te voorkomen, blijft voor beheerders een heikel punt. Door gebruik te maken van kortlevende certificaten met sterke asymmetrische sleutels, hoef je je als bedrijf geen zorgen te maken over tijdige melding van verlies. Het certificaat verloopt immers al voordat interne procedures vereisen dat je dit meldt, of voordat Certificate Revocation Lists worden geupdate.” Het kostte KeyTalk tien jaar om deze technologie tot het huidige niveau te ontwikkelen. Oorspronkelijk was deze technologie slechts beschikbaar voor banken
‘Door gebruik te maken van kortlevende certificaten met sterke asymmetrische sleutels, hoef je je als bedrijf geen zorgen te maken over tijdige melding van verlies’
die hun online omgeving optimaal wilden beveiligen. Vandaag de dag is KeyTalk beschikbaar voor alle organisaties die hun IT-security goed op orde willen hebben. Met de door het bedrijf ontwikkelde app transformeert een organisatie alle servers, smartphones, tablets, desktops, laptops en Internet of things devices in wat het noemt ‘trusted devices’. KeyTalk wordt gebruikt bij klanten zoals ForFarmers, Canon Oce en Marel. Bij deze organisaties is het essentieel dat de online security optimaal is. Deze organisaties zijn mede hierdoor compliant als het gaat om maatregelen met betrekking tot deze nieuwe Europese wetgeving. Carmen Portocarero, CEO van KeyTalk: “Als jurist en in mijn rol van general councel weet ik wat er binnen een organisatie komt kijken als het gaat om privacy, data security en dergelijke. Na mijn functie als directeur bij AT&T vind ik het als CEO van KeyTalk een uitdaging om organisaties te ondersteunen op het raakvlak van technologie & wetgeving. De technologie van KeyTalk gaat naar mijn mening een heel grote rol spelen in het kader van de EU-regelgeving.“ Meer informatie vindt u op keytalk.com Van de redactie
14
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
15
MANAGED SECURITY SERVICES
SECURITY MONITORING
ONMISBAAR IN DE STRIJD TEGEN CYBERDREIGINGEN
Organisaties hebben constant te maken met digitale dreigingen die onder andere kunnen leiden tot dataverlies, privacy-schending en grote financiële schade. Om deze dreigingen tegen te gaan, maken de meeste organisaties gebruik van preventieve maatregelen, zoals firewalls en IDS. De hoeveelheid eventgegevens die hieruit voortkomt is echter zo ontzettend groot geworden, dat bedrijven er niet aan toe komen om alle data zelf handmatig te analyseren.
Het is daardoor vaak niet duidelijk of de preventieve maatregel die is getroffen, ook daadwerkelijk werkt. Daarnaast is het voor organisaties moeilijk om gekwalificeerd personeel te werven en om kennis bij te blijven spijkeren over informatiebeveiliging, omdat deze snel veroudert. Het uitbesteden van technische informatiebeveiliging kan hiervoor een oplossing zijn. Sincerus, consultancybedrijf op het gebied van informatiebevei-
16
liging, is daarom CyberMonitor gestart. CyberMonitor bewaakt continu de inen externe cyberdreigingen waarmee bedrijven te maken hebben. Hiervoor worden specialistische software en getrainde analisten ingezet. Kritieke systemen en bedrijfsapplicaties worden 24 uur per dag geanalyseerd. Aanvallen en malware-infecties worden gesignaleerd en (ongeautoriseerde) wijzigingen in de infrastructuur worden gecontroleerd.
Hierdoor kan er snel actie worden ondernomen en wordt de kans op financiële en imagoschade sterk gereduceerd. Daarnaast bewaakt CyberMonitor toegekende autorisaties en het gebruik ervan, zodat hierover kan worden gerapporteerd in het kader van wet- en regelgeving. “Vaak had digitale schade voorkomen kunnen worden, door gebruik te maken van real-time security monitoring”, zegt Peter Westerveld, directeur bij Sincerus. “Maar er wordt meestal pas veel te laat naar security gekeken. Veel bedrijven denken dat ze niks te verbergen hebben, maar je hebt wel altijd wat te beschermen.” CyberMonitor werkt niet reactief, zoals firewalls en virusscanners, maar juist proactief. “Continu monitoren is belangrijk omdat het gemiddeld 229 dagen duurt voordat een securitylek wordt ontdekt”, aldus Westerveld. “Door gebruik te maken van security monitoring, heeft
Peter Westerveld
een kwaadwillende niet meer maanden de tijd om een kwetsbaarheid uit te nutten. Bovendien gebruiken we bij security monitoring de meest actuele dreigingsinformatie en intelligentie afkomstig uit een veelvoud van bronnen om te voorkomen dat organisaties slachtoffer worden van een nieuw type aanval of malware.” FINANCIEEL HAALBAAR Sincerus heeft jarenlange ervaring met SOC- en SIEM-projecten voor grote multinationals. Hieruit bleek dat middelgrote bedrijven ook behoefte hebben aan Security Information and Event Monitoring (SIEM). Hoewel deze organisaties zich steeds meer bewust zijn van digitale gevaren, is security niet de core business. Deze bedrijven zijn vaak ook financieel niet in staat om te voorzien in de benodigde middelen en getrainde analisten om security monitoring zelf in te richten. “SIEM software installeren op een server is nog niet het meest ingewikkelde. Het gaat er uiteindelijk om wat je ermee doet”, aldus Westerveld. Door gebruik te maken van een shared service center als CyberMonitor, hoeven bedrijven niet te investeren in hardware, software en personeel. Wel kan er geprofiteerd worden van goed opgeleide security analisten met een schat aan ervaring. “Sincerus is al ruim tien jaar werkzaam binnen de informatiebeveiliging en heeft vele specialisten in dienst. Wij beschikken dus over alle benodigde middelen en expertise”, zegt Westerveld. Al deze kennis wordt ingezet in het Security Operations Center (SOC). Hierdoor is real-time security monitoring niet langer alleen voor grote ondernemingen financieel haalbaar, maar ook voor het midden- en kleinbedrijf, decentrale overheden en de publieke sector.
is voor organisaties erg belangrijk dat alle data in Nederland blijft. Doordat CyberMonitor gebruikmaakt van een Nederlands SOC, worden alle handelingen, zoals de datalogging van bedrijven, door Nederlandse professionals uitgevoerd. Data wordt in Nederland gemonitord en bestudeerd en valt onder de Nederlandse wetgeving.
DATA VALT ONDER NEDERLANDSE WETGEVING In tegenstelling tot veel grote aanbieders van security monitoring, opereert Sincerus met CyberMonitor vanuit een in Nederland gevestigd SOC. Vanuit dit SOC worden continu kritieke systemen en bedrijfsapplicaties geanalyseerd. Veel grote aanbieders van cyber monitoring werken vanuit centra die gevestigd zijn in Aziatische landen, maar wie hebben er allemaal toegang tot de data die daar wordt gemonitord? Dit is een angst die tegenwoordig bij veel bedrijven heerst. Het
BEHOUD VAN REGIONAAL TALENT Sincerus verplaats haar CyberMonitor-activiteiten van Zwolle naar Enschede. Op 3 juni wordt het SOC in Enschede officieel geopend. De keuze voor een SOC in Enschede is niet bepaald toevallig. “We zoeken aansluiting bij de Universiteit Twente en Saxion Hogescholen”, zegt Westerveld. Beide opleidingsinstituten hebben een opleiding op het gebied van informatica en informatiebeveiliging. “Wij hebben continu goed opgeleide mensen nodig die ons SOC kunnen versterken. Door het SOC in Enschede te
‘Door gebruik te maken van een shared service center als CyberMonitor, hoeven bedrijven niet te investeren in hardware, software en personeel’ openen, kunnen we de aanwas van goed personeel van opleidingen in Nederland garanderen”, aldus Westerveld. “Tevens creëren we werkgelegenheid die aansluit bij deze opleidingen, waardoor we mensen in de regio behouden.” Al met al kan het uitbesteden van informatiebeveiliging en het gebruikmaken van real-time monitoring de schade door digitale dreigingen tot een minimum beperken. Tot op heden werd in 67 procent van de gevallen dat er een lek werd ontdekt het betreffende bedrijf hiervan op de hoogte gesteld door een extern beveiligingsbedrijf. Westerveld: “Met de introductie van CyberMonitor creëren wij een volledig sluitend portfolio op het gebied van beveiliging. Hier hebben klanten veel profijt van. Mocht CyberMonitor een dreiging ontdekken, dan kan het betreffende bedrijf zich ook verder beroepen op de specialisten van Sincerus.”
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
17
MANAGED SECURITY SERVICES
Managed security services essentieel in bestrijding cybercriminaliteit
‘ORGANISATIES
MOETEN NIET ALTIJD ALLES ZELF WILLEN DOEN’ “Het is slecht gesteld met cybersecurity”, aldus Raimund Genes, CTO van Trend Micro. Hij geeft als voornaamste oorzaak hiervan aan dat veel directies te vaak hun prioriteit leggen bij de gebruikerservaring van hun diensten en producten in plaats van de beveiliging. Security is nu eenmaal niet de core business van veel organisaties. Het hoge tempo waarin cybercriminalitieit zich ontwikkelt, vereist echter een aanpak waarin alleen volledige toewijding kans van slagen heeft, zo stelt Patrick de Goede van Eijk, Solutions Expert Security bij T-Systems Nederland. Het goed beveiligen van IT is geen eenvoudige opgave. Het tempo waarin cybercriminelen innoveren met nieuwe aanvalstechnieken ligt hoog. Een set-and-forget-strategie gaat voor security dan ook niet op. “Het installeren van voorzieningen als een firewall, monitoringsysteem en intrusion detection system (IDS) alleen is niet genoeg. Security vereist continue aandacht. Daarbij doel ik niet alleen op de security-voorzieningen. IT’ers moeten hun kennis ook voortdurend bijspijkeren.” ZWARE WISSEL Dat legt een zware wissel op de IT-verantwoordelijken van een organisatie. “Allereerst moeten zij op operationeel vlak
18
de nodige maatregelen nemen om de IT-beveiliging op orde te houden. Iedere dag weer. Denk aan het monitoren van de gehele IT-infrastructuur en het updaten van software. Daarnaast moeten IT’ers doorlopend aan de strategie sleutelen. Beveiligingsstrategieën verouderen immers snel. Wat vandaag goed werkt, is morgen alweer achterhaald of zelfs ronduit gevaarlijk. De IT-afdeling voert altijd een ratrace met een onzichtbare vijand die vaak sterker, slimmer en sneller is dan zij.” Die continue aandacht vereist veel en gespecialiseerde kennis. Niet alle bedrijven hebben dat in huis. Of willen het niet in huis halen. Want goed geschoold, gekwalificeerd personeel is duur. “Goe-
de IT’ers zijn schaars, laat staan goede IT’ers met de nodige kwalificaties en diploma’s om zich een volwaardig security-expert te noemen. Toch is dat hoge kennisniveau tegenwoordig hoognodig. Firewalls, intrusion detection systemen en monitoring-tools zijn pas waardevol in de handen van ervaren experts. Ook zien we dat bedrijven er moeite mee hebben om gecertificeerde security-experts te behouden. Zij zijn zeer gewild. Zie ze dan maar eens vast te houden. In die zin is het outsourcen van security een logische stap. De kosten ervan liggen doorgaans lager dan het aannemen, scholen en behouden van eigen personeel.” UIT ONVERWACHTE HOEK Toch is die voor de hand liggende kostenbesparing volgens De Goede van Eijk niet de enige factor die een bedrijf in overweging moet nemen bij een mogelijke outsourcing van de beveiliging. “Natuurlijk zijn personeelskosten een grote, voorspelbare factor die outsourcing kan wegnemen. Maar vergeet niet wat de ware kosten zijn als bijvoorbeeld je inhouse security-monitoring het begeeft, waardoor een cyberhack plaatsvindt. Terwijl de hack met een 24/7-montoringdienst voorkomen had kunnen worden. Security is nooit een kwestie van alleen preventieve kosten. Bovendien levert outsourcing in veel situaties productiviteitswinst op. Medewerkers worden ontlast van taken, waardoor zij tijd kunnen vrijmaken voor productie, innovatie of al wat op lange of korte termijn geld oplevert. De winst komt vaak juist uit onverwachte hoek.” Security is voor een managed security provider de kerntaak. Dankzij een breed klantenportfolio opereren deze providers in veel verschillende branches, waardoor zij ervaring hebben met allerlei scenario’s. Ze hebben dus zowel in theorie als in de praktijk een brede blik op cybersecurity.
Die combinatie van focus en brede ervaring is erg waardevol in de strijd tegen cybercrime. Daar is het als organisatie lastig tegen opboksen, want security is nu eenmaal vrijwel nooit core business. Bedrijven moeten dat durven toegeven, zij moeten vooral doen waar ze goed in zijn.” We kennen voldoende praktijkvoorbeelden van bedrijven die zelf hun security regelen en waarbij het behoorlijk is misgegaan. Een goed voorbeeld daarvan is Sony Pictures Entertainment. De beveiligde werkomgeving, zie zij in eigen beheer hebben, werd begin december vorig jaar slachtoffer van een hack. Het resultaat was dat de medewerkers dagenlang geen toegang hadden tot applicaties. “De security-experts van FireEye hebben vervolgens het netwerk doorgelicht op lekken en de schade uiteindelijk hersteld. Dat was voor Sony dus een harde en dure les.” FRISSE BLIK Een managed security provider is niet alleen op uitvoerend niveau van waarde. Zij kunnen ook op strategisch gebied ondersteuning bieden door met een objectieve blik naar de aanwezige voorzieningen te kijken. “We zien vaak dat organisaties in de loop der tijd beschikken over meerdere hardware- en softwareoplossingen die allemaal hetzelfde probleem oplossen. Door hierin te snijden, kunnen organisaties aanzienlijke kostenbesparingen realiseren. Of ze hanteren bepaalde procedures die niet echt of zelfs helemaal niet meer effectief zijn. Daardoor loopt een organisatie onnodige risico’s. Een provider kan helpen bij het bouwen van een meer samenhangende, geïntegreerde omgeving. Die frisse blik is bij organisaties dikwijls erg welkom.” Bovendien levert een managed security provider sommige diensten op een niveau dat in-house niet of nauwelijks haalbaar is. “Neem logging en monitoring. Doet een bedrijf dat zelf, dan zijn ze afhankelijk van de aanwezigheid van die specifieke verantwoordelijke. Op werkdagen is dat geen probleem, maar ‘s nachts en in het weekend kom je voor problemen te staan. Een security provider kan zo’n dienst 24/7 leveren. Die paraatheid en alertheid voorkomt veel ellende. Ook de redundancy en het niveau van beveiligingsvoorzieningen waarover een security provider beschikt, is voor
Patrick de Goede van Eijk
veel organisaties simpelweg een veel te hoge investering. Terwijl dat niveau wel nodig is om een kans te maken in de strijd tegen cybercriminaliteit.” NIET ZALIGMAKEND Is managed security dan altijd en in iedere situatie een goede oplossing? “Zeker niet. Voor sommige bedrijven is het veel verstandiger de fysieke beveiligingsapparatuur in-house te beheren en alleen additionele diensten als FireEye in de vorm van een managed service af te nemen.” Bedenk ook dat het inschakelen van managed security services een zeer ingrijpende operatie kan zijn. Verantwoordelijkheden en rollen worden omgegooid, bestaande infrastructuren gaan op de schop. Het kan een lastige overgang zijn van mensen, rollen, processen, hardware en software. “Een bedrijf moet daar wel klaar voor zijn”, legt De Goede van Eijk uit. “Bepaal met de security provider een strikt implementatieplan, gekoppeld aan een tijdspad. Zo weet je als organisatie waar je aan toe bent. Daarnaast vraagt een managed security provider veel vertrouwen. Zij krijgen niet alleen een enorm verantwoordelijke taak, maar ook belangrijke of zelfs vertrouwelijke infor-
matie in handen. Maak ook goede afspraken: wat gebeurt er bijvoorbeeld als zij failliet gaan? Wat zijn de (on)mogelijkheden bij een eventuele overstap naar een andere managed security provider? Dat zijn zeker vragen waarbij organisaties stil moeten staan.” VAN BINNENUIT Het beschikken over alleen security-voorzieningen is sowieso vrijwel nooit zaligmakend. Veel cyberdreigingen komen van binnenuit, vanuit het eigen personeel. Daar is soms zelfs het zwaarste geschut niet tegen bestand. “Hoe goed je beveiliging ook is ingericht en wordt beheerd, tegen kwaadwillende of nietsvermoedende medewerkers is techniek niet altijd opgewassen. Als iemand zich aan de telefoon voordoet als een geloofwaardige instantie die vraagt om bepaalde klantgegevens, dan kan een nietsvermoedende medewerker al snel zijn mond voorbijpraten. Dat zijn potentiële lekken die geen enkele penetratietest in kaart brengt. Awareness-trainingen zijn daarom enorm belangrijk en vrijwel altijd een goede aanvulling op managed security-oplossingen.” Raymond Luijbregts is journalist
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
19
ONDERZOEK DELOITTE
SLECHTE BEVEILIGING VAN MEDISCHE APPARATUUR ZORGT VOOR GROTE PRIVACYRISICO’S Medische apparatuur is in toenemende mate verbonden met een netwerk, waardoor data eenvoudig kan worden uitgewisseld. De kans op cyberincidenten neemt hierdoor echter ook toe. Het is dan ook zorgelijk dat de IT-beveiliging van medische apparaten in Nederlandse ziekenhuizen slecht op orde blijkt te zijn. Door de medische gegevens waarmee op de apparaten wordt gewerkt, zijn de privacyrisico’s groot.
De Amerikaanse Government Accountability Office kwam in 2012 met een rapport naar buiten. Sindsdien is de aandacht voor de beveiliging van medische apparatuur flink toegenomen. Dit onderzoek was voornamelijk gericht op Amerikaanse apparatuur en ziekenhuizen. Deloitte heeft naar aanleiding hiervan het initiatief genomen een onderzoek uit te
voeren naar de IT-beveiliging van medische apparatuur in Nederlandse ziekenhuizen. Het bedrijf heeft tussen eind 2013 en begin 2015 17 van de 82 Nederlandse ziekenhuizen geïnterviewd over het onderwerp. VIRUSUITBRAKEN Het onderzoek laat zien dat medische apparatuur ook in ons land niet gevrijwaard blijft van cyberincidenten en de beveiliging lang niet altijd op orde is. Tien van de zeventien ondervraagde ziekenhuizen geeft aan te maken te hebben gehad met een virusbesmetting van medische apparatuur. De risico’s die dit soort besmettingen opleveren zijn groot. Zowel de integriteit als werking van medische apparatuur kan niet meer worden gegarandeerd en performanceproblemen kunnen de beschikbaarheid van het apparaat in gevaar brengen. Ook processen die steunen op de getroffen apparaten kunnen door virusbesmettingen worden beïnvloed, waardoor ook medische behandelingen in gevaar kunnen komen. Het is overigens in veel gevallen niet mogelijk simpelweg een virusscanner op de medische apparatuur te installeren. Niet alleen ondersteunen virusscanners niet alle apparatuur, ook zijn ziekenhuizen niet altijd bevoegd software te installeren op de apparatuur die zij in eigendom hebben. Intrusion Detection Systemen (ISD) en Security Information and Event Management (SIEM) systemen kunnen uitkomst bieden. Deze systemen vergroten de weerbaarheid tegen virusbesmettingen, zonder de werking van de apparatuur te beïnvloeden. USB-POORTEN Naast virussen leveren ook USB-poorten gevaar op. Steeds vaker worden devices via een USB-poort aan medische apparatuur verbonden. Denk hierbij aan randapparatuur als printers, maar ook aan USB-sticks. Zo kunnen ziekenhuizen patiënten op USB-sticks afbeeldingen of gegevens meegeven. Deze USB-sticks blijken echter een beveiligingsrisico op te leveren, aangezien deze besmet kunnen zijn met malware en op hun beurt de medische apparatuur kunnen infecteren. Ruim driekwart van de ziekenhuizen geeft aan dat het (meestal) niet mogelijk is om gegevens van medische apparatuur direct versleuteld op een USB-stick
20
op te slaan. Hier is dan ook ruimte voor verbetering. Deloitte adviseert ziekenhuizen voor het verstrekken van gegevens of afbeeldingen aan patiënten uitsluitend gebruik te maken van USB-sticks die door het ziekenhuis zelf verstrekt worden. Hierdoor wordt uitgesloten dat een onbekende USB-stick die mogelijk besmet is met malware met de apparatuur verbinding
steld voor het verwijderen van gegevens van medische apparatuur voordat deze wordt afgevoerd. Ziekenhuizen die niet over zo’n beleid beschikken laten apparatuur ophalen door de leverancier, leveren deze in bij een professionele afvalverwerker of laten de apparatuur vernietigen door een gecertificeerde partij. Deze ziekenhuizen gaan er vanuit dat deze partijen zelf op een adequate manier de data verwijderen en geven deze
'Tien van de zeventien ondervraagde ziekenhuizen geeft aan te maken te hebben gehad met een virusbesmetting van medische apparatuur' maakt. Wie toch onbekende USB-sticks wil kunnen gebruiken, kan een losstaand systeem inzetten dat USB-sticks op virussen controleert voordat deze gebruikt kunnen worden. PRIVACY Privacy van patiënten is voor de zorgsector van groot belang. Het merendeel van de ziekenhuizen besteedt hier dan ook veel aandacht aan. Zo blijkt iets minder dan driekwart van de ziekenhuizen een adequate procedure te hebben opge-
belangrijke taak dus uit handen, met alle risico’s van dien. Medische apparatuur verstuurt echter ook data via netwerken naar andere apparaten. Met het oog op de privacy is het van belang deze verbindingen te beveiligen om te voorkomen dat data onderschept kan worden. Deze verbinding blijkt echter lang niet altijd versleuteld te zijn. Twee ziekenhuizen stellen dat medische apparatuur over het algemeen communiceert over een versleutelde verbin-
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
21
ONDERZOEK DELOITTE ding, terwijl zes ziekenhuizen stellen dat dit niet het geval is. Zeven ziekenhuizen stellen geen zicht te hebben op de versleuteling van communicatie.
CONGRES DIGITAAL ZAKENDOEN & EID
EXPLICIET BEVEILIGINGSBELEID Ziekenhuizen blijken daarnaast lang niet altijd een expliciet beveiligingsbeleid voor medische apparatuur te hebben. Bij dertien van de zeventien onderzochte ziekenhuizen bleek zo’n beleid te ontbreken. Deloitte merkt op dat in veel ziekenhuizen de afdeling Medische Technologie en de IT-afdeling volledig gescheiden van elkaar opereren. Hierdoor is niet altijd duidelijk waar verantwoordelijkheden met betrekking tot de beveiliging van medische apparatuur liggen.
MODERN ONDERNEMEN IN EEN DIGITALE WERELD
Op basis van deze resultaten geeft Deloitte een aantal Good Practices en tips: Eén verantwoordelijke voor ICT en Medische Technologie Door één verantwoordelijke aan te stellen voor zowel ICT als Medische Technologie, kunnen beide afdelingen sneller schakelen en zijn zowel taken als verantwoordelijkheden duidelijk. Netwerksegregatie Het administratieve netwerk zou van het medische netwerk gescheiden moeten zijn. Ook kunnen apparaten in subnetwerken worden ingedeeld om extra beveiliging te bieden tegen massale virusbesmettingen. Virussen kunnen zich hierdoor minder eenvoudig verspreiden over de apparatuur in het ziekenhuis. Beveiligingsbeleid Een beveiligingsbeleid voor medische apparatuur zet alle taken en verantwoor-
delijkheden duidelijk uiteen. Het beleid zorgt daarnaast dat tijdens het inkoopproces de juiste informatie wordt verkregen over medische technologie.
dische apparatuur beschikbaar is. Deze inventaris zou ook inzicht moeten geven in de eigenschappen en het cyberrisicoprofiel van apparaten.
Awareness Bewustzijn onder medische technici en IT’ers over de cyberrisico’s die netwerk verbonden medische apparatuur met zich mee brengt, is van groot belang. Potentiële dreigingen worden hierdoor eerder gesignaleerd en er kan sneller adequate actie worden ondernomen.
SOMMIGE KWETSBAARHEDEN ZIJN EENVOUDIG TE MITIGEREN Deloitte benadrukt dat het niet gebruiken van medische apparatuur vooralsnog een groter risico oplevert voor de gezondheid van een patiënt dan het gebruiken van kwetsbare apparatuur. Wel merkt het bedrijf op dat een aantal kwetsbaarheden eenvoudig te mitigeren zijn. Ziekenhuizen zouden op deze punten dan ook actie moeten ondernemen om de privacy van patiënten te waarborgen.
Apparatuur, connectiviteit en risico’s inventariseren Medische apparatuur kan alleen goed worden beschermd tegen cyberdreigingen als een complete en up-to-date inventaris van netwerk verbonden me-
Wouter Hoeffnagel is journalist
‘Dit congres is georganiseerd door
Datum: woensdag 10 en donderdag 11 juni 2015 / Locatie: Postillion Hotel Bunnik 22
CONGRES DIGITAAL ZAKENDOEN & EID
DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK
PROGRAMMA modern ondernemen in een digitale wereld
‘DIGITAAL ZAKENDOEN & EID’ IS EEN NIEUW TWEEDAAGS EVENEMENT DAT EEN BREED PUBLIEK WIL ONDERSTEUNEN BIJ DE VELE MOGELIJKHEDEN EN KANSEN DIE HET DIGITAAL ZAKENDOEN TE BIEDEN HEEFT. ‘DIGITAAL ZAKENDOEN & EID’ GAAT IN OP INVLOEDRIJKE TRENDS EN DE WIJZE WAAROP WIJ IN NEDERLAND DAAROP KUNNEN EN MOETEN INSPELEN. DAARBIJ ZAL ER OOK GEKEKEN WORDEN NAAR KANSEN VOOR NEDERLAND ALS TRANSACTIELAND, WAARBIJ HOGE INTERNATIONALE AMBITIES EN STRATEGISCHE VERGEZICHTEN NIET UIT DE WEG WORDEN GEGAAN. ‘DIGITAAL ZAKENDOEN & EID’ IS EEN SAMENWERKING VAN PIMN EN ECP.
(Kennis-) Partners: ICTRecht/ Thuiswinkel.org / Vereniging voor Biometrie en Identiteit (VVBI) / Disceru / Nictiz Gold Sponsors: 1U / AMP Logistics / BKR / CDDN / Connectis / Cosign / Digidentity / Dynalogic / KPN / Ondertekenen.nl / Quo Vadis Media partners: CloudWorks, Infosecurity Magazine, FenceWorks en Vip|Doc HET CONGRES Voor u ligt het uitgebreide programma van ‘Digitaal Zakendoen en eID’, mede georganiseerd als feestelijke bevestiging dat het in 2004 gestarte jaarlijks ECP seminar over elektronische identiteiten na 10 jaar uit zijn jasje is gegroeid. Ook eHerkenning en DigiD vieren dit jaar een 5 en 10 jarig jubileum. Voor de Nederlandse samenleving is “digitaal het nieuwe normaal” en een stelsel van elektronische identificatie een randvoorwaarde. Zakendoen is digitaal en eIDs zijn de sleutels. Digitaal zakendoen in brede zin heeft een enorme vlucht genomen. Mobiele transacties, sociale netwerken en cloud services zijn daarbij niet meer weg te denken. De groei is enorm en de verwachting is dat deze alleen nog maar zal toenemen. ‘Digitaal Zakendoen & elD’ richt zich op de nationale markt voor elektronisch zakendoen en zal daarbij ook Europese en internationale marktontwikkelingen in beschouwing nemen, zoals de nieuwe EU
24 II
verordening voor elektronische identiteiten en vertrouwensdiensten (eIDAS). Het evenement brengt de belangrijkste actoren bij elkaar gericht op het benutten van kansen en het presenteren van oplossingen die werken. Omdat Nederland de ambitie heeft Massaal Digitaal te gaan en de ontwikkeling van eID’s serieus vorm heeft gekregen is het nu de tijd om vruchten te plukken van bewezen oplossingen en om op strategische wijze de toekomst verder vorm te geven. ‘Digitaal Zakendoen & eID’ is voor organisaties die hun processen willen stroomlijnen en kosten verlagen, maar nog zoeken naar de passende elektronische bouwstenen, en aanbieders van identiteits- en vertrouwensdiensten. Mogelijkheden zijn er voor goedkoper elektronisch documentverkeer (polissen, contracten), gebruik van standaard elektronische sleutels voor gebruiksvriendelijke klanttoegang tot uw portalen, fraudebestrijding door datakwaliteit en externe validatie van nieuwe klanten. ‘Digitaal Zakendoen & eID’ zoomt in op beleids- en implementatieaspecten en zal schetsen welke beschikbare technologische mogelijkheden voordeel bieden. VERTROUWEN ALS DE SLEUTEL Meer dan ooit begrijpen we dat ‘vertrouwen’ randvoorwaarde is voor digitaal zakendoen, partijen moeten voldoende zekerheid hebben over de (nieuwe) klant aan de andere kant. Nu het fysieke aspect bij zakendoen losser wordt, wordt het voldoende betrouwbaar en verifieerbaar kunnen vaststellen van de online identiteiten
van de transactiepartners een randvoorwaarde. Technische middelen daarvoor komen als paddenstoelen uit de grond. Maar hoe vindt u oplossingen die passen bij uw dienstverlening? ‘Digitaal Zakendoen & eID’ gaat u daarbij helpen. HET PROGRAMMA Tijdens het 2-daags congres vinden er twee plenaire bijeenkomsten plaats en 11 workshops. De conferenties gaan in op strategie en beleid, en zullen de huidige stand en dagelijkse praktijk van vertrouwensdiensten en eID in Nederland belichten. De workshops gaan in op specifieke aspecten van digitaal zakendoen: hoe organiseren we documentenstromen bij verdergaande digitalisering, welke mogelijkheden bieden diverse biometrische vernieuwingen in de consumentenelektronica? Lees het programma voor meer details, of ga naar www.digitaal-zakendoen.nl. MINI EXPO Gedurende het gehele congres zijn er diverse organisaties en bedrijven met een stand op de Mini Expo. Daar wordt informatie verspreid en worden demonstraties van producten en oplossingen gedemonstreerd. De volgende bedrijven en organisaties zullen op de Mini Expo aanwezig zijn: 1U, AMP Logistics, BKR, CDDN, CM, Connectis, Cosign, Digidentity, Dynalogic, Forum Standaardisatie, KPN, Ondertekenen.nl, Qiy en QuoVadis
RDA Chip op het rijbewijs (tbc) Onderwijs-ID/Kennisnet, SURFnet (tbc) LOCATIE Postillion Hotel Bunnik Kosterijland 8 3981 AJ Bunnik Tel: +31 30-6569222 KAARTEN BESTELLEN Om deel te nemen aan het congres kunt u kaarten bestellen via Eventbrite Prijzen: 10+11 juni: 595, 10 juni: 325,11 juni: 325,De prijzen (ex. BTW) zijn inclusief workshop (naar keuze), lunch en borrel. ECP-LEDEN ECP-leden die op 10 juni aan een workshop en het congres willen deelnemen kunnen zich met een gereduceerd tarief aanmelden via Eventbrite: http://www. eventbrite.nl/e/tickets-digitaal-zakendoen-en-eid-15728779202 Voor ECP-leden zijn gratis kaarten beschikbaar voor de conferentie op 10 juni ‘s middags (max. 2 per ECP lid). Dat is inclusief lunch en borrel, maar exclusief workshop. CONTACT Jaap Kuipers (programma): 06-23642513 /
[email protected] Max Snijder (pr/communicatie): 06-24603809 /
[email protected] BESCHRIJVING WORKSHOPS Aan het begin van Dag 1 en aan het eind van Dag 2 vinden in totaal 11 workshops en seminars plaats. Hiervoor moet een ieder zich van tevoren aanmelden. Op Dag 1 is er een workshop ‘Digitaal Zakendoen in de praktijk’, waarbij informatie en consultatie over Digitaal Zakendoen plaatsvindt. Parallel aan deze workshop, waar branches voor zullen worden uitgenodigd, zijn er drie inhoudelijke
workshops. Daarin worden concrete technisch georiënteerde vraagstukken behandeld: biometrie, e-documenten en datakwaliteit/fraudepreventie. Aan het einde van Dag 2 vinden diverse workshops plaats die meer branche-/keten georiënteerd zijn en is er een workshop over juridische aspecten. Om voldoende ruimte te geven voor discussie zijn er bij voorkeur niet meer dan drie sprekers voor elke workshop. Na afloop van de workshops op dag 2 komt iedereen nog eenmaal samen voor een plenaire discussie en afsluiting.
WORKSHOPS DAG 1 / 10.00 - 12.30 WORKSHOP 1 - DIGITAAL ZAKENDOEN IN DE PRAKTIJK Voorzitter: Roy Tomeij i.o.v. ministerie van Economische Zaken
Interactieve sessie met medewerking van het ministerie van Economische Zaken en enkele brancheorganisaties. Het informeren en consulteren van brancheorganisaties over Digitaal zakendoen staat centraal. De deelnemers gaan – telkens aan hand van een korte informatieve inleiding – aan de slag en geven hun reacties op specifieke vragen. Aan het eind van deze sessie hebben deelnemers (scherper) in beeld wat er al mogelijk is in digitaal zakendoen tussen bedrijven onderling en met de overheid. En hoe zij daar als brancheorganisatie op kunnen inspelen. De onderwerpen hebben betrekking op: • Digitaal zakendoen in een specifieke branche. Voorbeeld van digitalisering binnen de eigen sector (B2B) als tussen bedrijven en de overheid (G2B). • Beschikbare digitale (overheids)diensten én de wensen van ondernemers. • Samenhang tussen de benodigde
WWW.DIGITAAL-ZAKENDOEN.NL INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
III 25
CONGRES DIGITAAL ZAKENDOEN & EID
DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK
Woensdag 10 Juni Workshops 1-4 10.00 – 12.30
Workshop 1 – Digitaal Zakendoen in de praktijk Workshop 2 – eDocumenten Workshop 3 – Biometrie Workshop 4 – Datakwaliteit en fraude preventie
olv. Roy Tomeij (Min.EZ) olv. Oscar Dubbeldam, Disceru olv. Raymond Veldhuis (UT) olv. Holger Wandt (DDMA)
12.30 – 13.30
Lunch (Binnentuin)
13.30 – 13.40
Welkom en Introductie namens ECP
Arie van Bellen, ECP
13.40 – 14.20
Digicommissaris Digitaal zakendoen en eID
Bas Eenhoorn, Digicommissaris
14.20– 14.45
Nederland Transactieland: succes door samenwerking, organisatie en innovatie
Rene Bruijne, TransFollow
14.45 – 14.55
Rapportage: inventarisatie eID in Nederland
Arnold Roosendaal, TNO
14.55 – 15.30
Koffie/thee/networking/demo’s (Binnentuin)
15.30 – 15.55
Recht op digitaal zakendoen, van beleid naar uitvoering
Anja Lelieveld, Digitale Overheid
15.55 – 16.20
Europees digitaal zakendoen en eIDAS
Prof. Jos Dumortier, KU Leuven
16.20 – 16.45
Keynote: Samenwerking in het eID Landschap
Elly Plooij, voorzitter eStrategisch beraad
16.45 – 17.00
Samenvatting / afsluiting dagvoorzitter
Jaap Kuipers, PIMN-ECP
17.00 – 18.00
Borrel en networking
PROGRAMMA
Conferentie 1 – eID Strategie en Beleid
•
Donderdag 11 juni Conferentie 2 – eID in de praktijk 10.00 – 10.10
Welkom en Introductie door dagvoorzitter
PIMN-ECP
10.10 – 10.35
eID Pilots: een overzicht en stand-van-zaken
Bob van Os, Logius BZK
10.35 – 11.00
Toegang tot patiëntendata (PGD) en eIDs
Marcel Heldoorn, NPCF
11.00 – 11.35
Koffie/thee/networking/demo’s (Binnentuin)
11.35 – 12.00
eID in praktijk van mobiele toepassingen
Marcel Wendt, Digidentity
12.00 – 12.25
Plaatsonafhankelijke dienstverlening: het cyber- gemeentehuis
Burgemeester Dirk van der Borg Gemeente Molenwaard
12.25 – 12.30
Aankondiging workshops 5 - 11
Max Snijder, EBG/EAB
12.30 – 13.30
Lunch (Binnentuin)
13.30 – 16.15
Workshop 5 – e-Health Workshop 6 – Werk en inkomen digitaal geregeld Workshop 7 – Juridische aspecten Workshop 8 – eFactureren / XML Workshop 9 – eID: wat is hot? Vraagbundeling: waar wachten we op? Bijeenkomst 10 – Onderwijs en elektronische identiteiten Seminar 11 – Thuiswinkels, consumenten en eID
olv. André Beerten, Octopus olv. Voorzitter: Jelle Attema, ECP olv. Steven Ras, ICTRecht olv. Gerard Bottemanne, GBNed olv. Arnold Roosendaal / Maarten Wegdam olv. René van den Assem, Advies in Vertrouwen olv. Elaine Oldhoff, Thuiswinkel.org
Panel discussie / statement richting EU voorzitterschap 2016 / plenaire afsluiting
Moderator ECP
Workshops 5-11
16.15 – 17.00
17.00 – 18.00
26 IV
voorzieningen voor digitaal zakendoen, zoals eHerkenning en Ondernemingsdossier (Combipakket). Gebruikersgemak bij aanvragen en gebruiken van digitale diensten en voorzieningen.
WORKSHOP 2 - E-DOCUMENTEN Voorzitter: Oscar Dubbeldam, Disceru Deze workshop behandelt de mogelijkheden, richtlijnen, wettelijke vereisten en onmogelijkheden van het digitaal verzenden van documenten aan klanten. Vanuit kostenperspectief is het digitaal verzenden van documenten veel goedkoper dan fysieke post. Beveiligingsvraagstukken maken betrouwbare digitale verzending van documenten wel erg lastig. Zeker wanneer het documenten betreft zoals ziektekostenpolissen, Uniforme Pensioen Overzichten, facturen of declaratieoverzichten. Het is geen optie dat e-mail in de SPAM folder terechtkomt, niet gelezen wordt of direct verwijderd wordt omdat de bijlage niet vertrouwd wordt. De workshop zal via een presentatie, klantencases en discussie komen tot een aanbeveling over de meest praktische, betrouwbare en wettelijke verantwoorde manier is om digitaal met de klant te corresponderen.
geweest. De consumententoepassing volgt op een jarenlang introductieproces van biometrie in het paspoort en biometriegebruik bij toegangscontrole en surveillance. Aan de orde komen: algemene introductie, business drivers, basiswerking, huidige stand van de techniek, veiligheid, mobiele toepassingen, standaardisatie en andere actuele ontwikkelingen. Er wordt speciaal aandacht besteed aan de standaarden die onder de FIDO Aliance worden ontwikkeld en hoe deze het gebruik van biometrie op brede schaal kunnen ondersteunen. Ook wordt er een life demo gegeven van een volledige functionele biometrische authenticatie op de smartphone. Sprekers/onderwerpen: 1. Update biometrie, Raymond Veldhuis (Universiteit Twente) 2. Stemherkenning en vingerafdrukken bij mobiel betalen, Max Mouwen (Directeur Internet & Mobiel ING) 3. Biometrie, consumenten elektronica en FIDO Alliance, Reinier van der Drift (Authasas) 4. Multi biometric authenticatie op de smartphone: Case Study Gezondheidszorg en Demo (Rob Goijen, 1U) WORKSHOP 4 - DATA KWALITEIT EN FRAUDE PREVENTIE Voorzitter: Holger Wandt (specialist da-
takwaliteit, voorzitter DDMA Klantdata & Dialoog) Het kunnen beschikken over veel (big) klantendata lijkt mooi, maar onbetrouwbare en vervuilde klantendata brengen juist kosten met zich mee. Veel bedrijven en de overheid investeren nog in de kwaliteit van gegevens over klanten en burgers. Voor online zaken doen is het snel kunnen kennen van nieuwe klanten (Know Your Customer proces) van belang. Hoe zorg je ervoor dat frauderisico’s beperkt blijven, conversie niet belemmerd wordt en voldaan wordt aan wettelijke KYC eisen? Klantendata wordt belangrijk gevonden, het wordt wel de nieuwe olie genoemd. Wie klantendata intelligent op orde brengt en houdt heeft een voorsprong in het digitale kanaal. Voor het voorkomen van fraude en het oplossen identiteitsfouten zoekt de overheid nu samenwerking met de private sector. Experts op het gebied van datakwaliteit en identity management bespreken de nieuwste ontwikkelingen. Sprekers/onderwerpen: 1. Inleiding Datakwaliteit, Holger Wandt (Human Inference) 2. Nieuwe aanpak voor verhogen gegevenskwaliteit, Martijn de Boer (CDDN) 3. Preventie identiteitsfraude, Erik van de
Sprekers/onderwerpen: 1. Ontwikkeling en business case eDocumenten, Oscar Dubbeldam 2. Casus digitale documenten uit financiële sector of logistiek, John Lageman (Cosign) 3. Wettelijke vereisten en regelgeving, Oscar Dubbeldam WORKSHOP 3 - BIOMETRIE Voorzitter: Raymond Veldhuis, Universiteit Twente Biometrie lijkt nu zijn intrede te hebben gedaan voor massale toepassingen. De introductie van de vingerafdruk op de iPhone 5S is daarvoor een belangrijke katalysator
Borrel en networking WWW.DIGITAAL-ZAKENDOEN.NL INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
V 27
CONGRES DIGITAAL ZAKENDOEN & EID
DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK
PROGRAMMA Poel (BKR) Vanuit de overheid zijn identiteitsfraude deskundigen aanwezig om kennis in te brengen over fraudepreventie, het herstellen van schade en de publiek private samenwerking. De workshop is bedoeld voor wie werken aan de kwaliteit van klantendata en geinformeerd willen worden over recente ontwikkelingen waaronder elektronische identiteiten, attribuutverstrekking, identiteitsfraude en samenwerkingsverbanden.
WORKSHOPS DAG 2 / 13.30 – 16.15 WORKSHOP 5 - E-HEALTH Voorzitter: André Beerten, Octopus-IB e-Health moet leiden tot zorgverbetering, waarbij één van de doelstellingen is om 40% van de Nederlanders direct toegang te geven tot de eigen medische gegevens. Hierbij is elektronische identiteit verificatie van patiënten en zorgverleners een randvoorwaarde. Hiervoor zijn verschillende oplossingen beschikbaar. Lastig is het regelen van toegang voor wisselende groepen zorgverleners, mantelzorgers, gemeenten en derden wanneer in ketens wordt samengewerkt en medische gegevens op verschillende plaatsen worden bijgehouden. In 2014 bleek een norm voor Toegang tot patiëntengegevens in commissie NEN7521 een taai vraagstuk te zijn, er is een meerjarig groeipad voorzien. Door tablet- en smartphone-toepassingen stijgt de vraag naar authenticatie, wat vraagt om nieuwe oplossingen naast en met DigiD en de UZI-pas. Groeiende e-Health vraagt zowel om gebruikersvriendelijke als veilige toegang tot patiënten data. Om de weg te vinden in de vele mogelijkheden is voorlichting nodig; het vraagstuk is aanzienlijk complexer dan het populaire internetbankieren en inloggen bij de belastingdienst.
28 VI
Sprekers/onderwerpen: • Samenvatting onderzoek toegang tot patiëntportalen, Antoon van Luxemburg (M&I/Partners) • De zorg ontzorgd: regel de eIDs, Dik Hermans (aanjager Zorg ontzorgd met ICT) • eID Pilots in de Zorg, Hedde van der Lugt (Nictiz) • Case Study: eID bij de zorgverzekeraars, Henk-Jan Jansen (Connectis)
WORKSHOP 6 - WERK EN INKOMEN DIGITAAL GEREGELD Voorzitter: Jelle Attema, ECP Veel overeenkomsten kunnen digitaal worden geregeld, salarisstroken en salarisbetaling worden elektronisch afgehandeld. Voor de uitzendbranche met 700.000 uitzendkrachten kan een digitaal werkproces zorgen voor kostenverlaging. Enkele uitzendbureaus hebben hun proces vrijwel helemaal gedigitaliseerd. Wat is er voor nodig om processen voor werk en inkomen verder te digitaliseren en welke rol speelt de overheid hierbij? Bij het digitaal contracteren speelt de vraag naar de identiteitsverificatie. Hoe zorgt de werkgever voor de controle van de identiteitsdocumenten en wordt een verklaring omtrent het gedrag digitaal aangevraagd? Diverse voorzieningen voor het verder stroomlijnen van de processen voor werk en inkomen komen aan de orde. Sprekers/onderwerpen: 1. Digitaal zakendoen in de uitzendbranche Piet Meij (NBBU)/Jurrian Meeter (ABU) 2. Case Study: digitalisering van het uitzendproces, Kick Willemse (Ondertekenen.nl) 3. e-Identiteit op orde, een nieuwe fase, Michael Hagen (ID checker)
WORKSHOP 7 - JURIDISCHE ASPECTEN Voorzitter: Steven Ras, ICTRecht Juridische aspecten zijn een belangrijk grondslag voor het betrouwbaar inkaderen van afspraken. Het elektronisch zakendoen introduceert situaties waarbij de juridische kaders soms nog relatief onbekend zijn. Digitale handtekeningen zijn dermate nieuw, dat daarover weinig tot geen jurisprudentie is. Onbekendheid leidt tot koudwatervrees voor het digitaliseren van bedrijfsprocessen. Hoe met juridische aspecten moet worden rekeningen gehouden en welke dat in het elektronisch zakendoen zoal zijn wordt in deze workshop uitgebreid besproken. Sprekers/onderwerpen: 1. De voordelen van digitaal contracteren, Steven Ras (ICTRecht) 2. Casus en business case van massaal digitaal werken 3. Digitale handtekening: soorten en gebruikersacceptatie, Lex Samuel (QuoVadis) WORKSHOP 8 - EFACTUREREN / XML Voorzitter: Gerard Bottemanne, GBNed Workshop van het Platform eFactureren (simpeler invoicing, XML audit files) 60 software leveranciers hebben hun systemen geschikt gemaakt voor elektronisch factureren. Digitaal 2017 is een goede reden voor softwareleveranciers en branchevertegenwoordigers om elkaar te informeren over de voordelen van elektronisch factureren, zoals lagere kosten en versnelling in het factureringsproces. Er wordt aandacht besteed aan XML Audit Files, een belangrijk platform voor het standaardiseren van communicatie bij digitaal zakendoen. XML biedt een familie van standaarden die de gegevensuitwisseling vereenvoudigt. Enkele aansprekende voorbeelden zullen worden besproken, waarbij
implementatie van techniek en organisatie aan de orde zullen komen. CreAim bespreekt de eHerkenning ontwikkelingen. Sprekers/onderwerpen: 1. eHerkenning voor bedrijven, Frank Jonker (CreAim) 2. eFactureren, Gerard Bottemanne (GBNed) 3. Audit files, Fred van Ipenburg (Belastingdienst) en Roos Timmermans (Unit4) WORKSHOP 9 - EID IN GEBRUIK: WAT IS HOT? Voorzitter: Arnold Roosendaal, TNO en Maarten Wegdam, InnoValor DigiD viert het 10 jarig bestaan. In 10 jaar is de kostprijs van een authenticatie gedaald van meer dan � 3,50 naar � 0,11. De prijs van een postzegel is in die tijd gestegen naar � 0,69. In deze workshop dagen we het publiek uit te bepalen wat serieus hot is en waar we nog op wachten met het gebruik van elektronische identiteiten. Aanbieders van elektronische identiteiten worden uitgedaagd hun oplossing te pitchen en aanbieders van elektronische diensten worden gevraagd wat zij verwachten van de aangeboden oplossingen en waarop zij wachten. De aanbiedende partijen: Digidentity, Connectis, SURFnet/Onderwijs-ID, Mobi-ID, NotarisID, Chip op het rijbewijs, BankID
Het onderwijs digitaliseert fors. De discussie over het regelen van identiteiten, een onderwijs-id en het delen van attributen staat hoog op de agenda van organisaties die samenwerken in het onderwijs en zeker ook in de politieke aandacht. De bijeenkomst biedt een uitstekende gelegenheid om de status met elkaar te delen en van andere sectoren te leren wat speelt. De invulling van de bijeenkomst vindt plaats in overleg met direct betrokken organisaties Kennisnet, eHerkenning, René van den Assem en ‘Digiloket’. Onderwerpen: 1. Onderwijs nummervoorziening en pseudoniemen, H-P Köhler (Kennisnet) 2. Digitale dienstverlening en eHerkenning in het onderwijs, Jeroen Schutz (Schoolpoort/Digiloket), ZetSolutions 3. Dienstverlening en eID/attributen in ketens WORKSHOP 11 - THUISWINKELS, CONSUMENTEN EN EID Voorzitter: Elaine Oldhoff, Thuiswinkel.org Als er één branche is waar de digitale ontwikkelingen een grote vlucht nemen dan is dat de Thuiswinkel branche. Consumenten omarmen webwinkelen massaal, in toenemende mate op mobiele apparaten. Voor webwinkels is ‘one-click
buy’ het ijkpunt. Bij elektronische identificatie zijn gemak en risicobeheersing belangrijke parameters, vooral als het gaat om mobiel shoppen en betalen. De Qiy Foundation heeft samen met een groot aantal publieke en private partijen afgelopen jaren gewerkt aan een nieuwe Europese standaard om consumenten de regie over hun eigen gegevens op internet terug te geven. Inmiddels is op basis van de standaard een schaalbare en veilige infrastructuur beschikbaar, waar zowel consumenten als marktpartijen, zoals banken, verzekeraars en webshops zich op kunnen aansluiten. De consument bepaalt zelf welke gegevens hij of zij met andere partijen wil delen op het moment dat er persoonlijke gegevens worden gevraagd, van bezorgadres tot betaalgegevens en van favoriete reisbestemming tot schoenmaat. Daarbij kunnen bedrijven zich abonneren op klantgegevens, die rechtstreeks van een betrouwbare bron afkomen. Dit verlaagt kosten, verhoogt de kwaliteit van de relatie en biedt hele nieuwe mogelijkheden voor product/marktcombinaties. Tijdens deze sessie worden de mogelijkheden van het Qiy Trust Framework getoond. Sprekers/onderwerpen: 1. Consumenten aan het stuur, Marcel van Galen (Qiy) 2. eID pilots bij Thuiswinkel, Elaine Oldhoff (Thuiswinkel.org)
Vragende partijen: Bovag Mobi-ID, Verzekeraars, Gezondheidszorg, Onderwijs, Webwinkels, VNO-NCW, MKB-Nederland (zelf aanwezig of vanuit publiek beschikbare uitspraken) WORKSHOP 10 - ONDERWIJS EN ELEKTRONISCHE IDENTITEITEN Voorzitter: René van den Assem, Advies in Vertrouwen
INFOSECURITYWWW.DIGITAAL-ZAKENDOEN.NL MAGAZINE - NR. 2 - MEI 2015
VII 29
CONGRES DIGITAAL ZAKENDOEN & EID
DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK
OVERZICHT
SPREKERS ‘Digitaal Zakendoen en eID’ JELLE ATTEMA Na een uitgebreide periode als researcher bij de TU Delft is Jelle Attema sinds 2009 bij ECP werkzaam op het gebied van e-factureren (zie: www.e-factureren.info) en interoperabiliteit. Hij opereert binnen de cluster ‘Verbinding’ en is betrokken bij onder andere Open Standaarden, Elektronisch Factureren, Stelsel voor eID, de Digitale Agenda, Cloud Computing en Betrouwbaar Administreren.
30 VIII
RENÉ VAN DEN ASSEM René van den Assem bedient klanten als strategisch adviseur of project manager in een range van ICT-gerelateerde activiteiten. Hij helpt klanten hun inzichten te vergroten in een doelgerichte benadering. Zijn specialiteiten zijn onder andere business-IT strategy, information security, identity management, eSignatures en enterprise architecture. René is betrokken bij elektronische identiteiten in het onderwijs en heeft ervaring met eHerkenning.
ANDRÉ BEERTEN André Beerten is een ervaren adviseur informatieveiligheid en privacy. Sinds 2003 is hij in diverse technische, commerciële en adviserende rollen actief in de informatiebeveiliging, onder andere bij KPN, Getronics en Glidepath. André’s ervaring als systeem- en netwerkbeheerder (1988-1998) helpen dagelijks bij de vertaling van beheersingsdoelen vanuit normen en wetgeving naar praktische en werkende oplossingen in proces en techniek. André is regelmatig moderator op security bijeenkomsten.
ARIE VAN BELLEN Arie van Bellen leidt als directeur van ECP een staf van 20 personen die samen met de inmiddels 160 aangesloten partijen (bedrijven, overheden, kenniscentra, koepels, wetenschappers en digiraden) op een professionele en daadkrachtige wijze een bijdrage leveren aan thema’s als digivaardigheid, vertrouwen en veiligheid en standaarden. Daarmee faciliteert het ECP in belangrijke mate de ‘digitale agenda Nederland’. Van Bellen heeft de leiding over het Platform voor de Informatie Samenleving sinds de start in 1998. Hij presenteert verklaringen, leidt debatten en geeft visie op de informatiemaatschappij en gerelateerde onderwerpen. Van Bellen is lid van verschillende commissies en neemt deel aan vergaderingen van zowel overheid als bedrijfsleven in Nederland. Daarnaast is hij betrokken bij het EU-beleid ten aanzien
van de Digitale Agenda en is hij hoofd van de delegatie namens Nederland in de VN. DIRK VAN DER BORG Dirk van der Borg is Burgemeester Gemeente Molenwaard en lid van de Raad van Advies van de NVVB. Hij is gepassioneerd lokaal bestuurder met de kernwoorden visie, verbinden en daadkracht. Hij heeft ruime ervaring met innovatieve dienstverleningsconcepten, zoals fusies, gemeentelijke herindelingen en intergemeentelijke samenwerkingsvormen. GERARD BOTTEMANNE Gerard Bottemanne is sinds 1999 eigenaar van onderzoeksbureau GBNed. Daar houdt hij zich bezig met elektronisch factureren en met de daaraan ten grondslag liggende standaardisatie en compatibiliteit van boekhoudpakketten en andere
registratiemiddelen. Gerard Bottemanne is gespecialiseerd in het raakvlak tussen accountancy en ICT. Hij volgt de ontwikkeling op gebied van accountancy, accounting en ICT op de voet. Bottemanne is de initiatiefnemer van de efactureren UBL Ketentest. RENE BRUIJNE Rene Bruijne, Managing Director bij TransFollow en directeur bij Beurtvaartadres BV, heeft als belangrijke drijfveer het digitaal voorzetten van de eerste vormen van ketenefficiency: van het “Beurtvaartadres” (sinds 1685) naar Beurtvaartadres 2.0. Rene Bruijne is gespecialiseerd in digitale (inter-)nationale vrachtdocumenten (operationeel, technisch en juridisch) voor het vervoer van alle soorten goederen (gevaarlijke stoffen, distributie, afval, fytosanitair), maar ook voor tankcleaning en douane.
INFOSECURITY WWW.DIGITAAL-ZAKENDOEN.NL MAGAZINE - NR. 2 - MEI 2015
IX 31
CONGRES DIGITAAL ZAKENDOEN & EID
DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK
OVERZICHT
SPREKERS ‘Digitaal Zakendoen en eID’ OSCAR DUBBELDAM Oscar Dubbeldam (MBA, MIT, M-EDP) heeft meer dan 25 jaar ervaring in de ICT als adviseur en manager. Een groot deel van daarvan heeft hij opgedaan in workflow en document en output management. Heeft gedurende deze jaren Enterprise Document Management Solutions en High Volume Output Management oplossingen ontwikkeld en geïmplementeerd binnen de financiële dienstverlenings- en verzekeringsbranche, de lokale overheden en de farmaceutische industrie. JOS DUMORTIER Jos Dumortier is Honorary Professor ICT Law aan de Katholieke Universiteit Leuven. Hij is oprichter en eerste directeur van het Interdisciplinary Center for Law and ICT (www. icri.be). Hij is gespecialiseerd in juridisch advies op het gebied van ICT met betrekking to intellectueel eigendom, privacy, electronic business, e-government, information security, telecommunications. Jos Dumortier adviseert de EU over eIDAS en digitale handtekeningen. BAS EENHOORN Bas Eenhoorn is bestuurder en voormalig ambtenaar. Op zijn 29ste was Bas Eenhoorn burgemeester van Schiermonnikoog en later waarnemend burgemeester van onder andere Alphen aan den Rijn. Hij had adviesfuncties bij Moret, Ernst & Young en Capgemini. Op 28 mei 2014, midden in zijn burgemeesterschap van Vlaardingen, is hij door het kabinet benoemd tot Nationaal Commissaris Digitale Overheid, de zgn. Digicommissaris. Daarmee kreeg hij de opdracht om samen met alle betrokken partijen een nationaal programma Digitale Overheid op te stellen en die actueel te houden en de uitvoering en realisatie daarvan te regisseren. Identificatie & Authenticatie is een belangrijk dossier van de Digicommissaris.
32 X
MARCEL HELDOORN Marcel Heldoorn (NPCFMBA, MIT, M-EDP) is senior beleidsadviseur digitale zorg bij patiëntenfederatie NPCF. Zijn werkterrein bestaat onder andere uit gezondheid 2.0, health 2.0, e-health, nexthealth en telemedicine. Hij is thuis in onderwerpen als het persoonlijk gezondheidsdossier (PGD), privacy, wetgeving en de ontwikkeling van richtlijnen. NPCF dossierhouder eID en authenticatie. JAAP KUIPERS Jaap Kuipers is initiatiefnemer van Platform Identity Management Nederland, platform voor het delen van kennis en verbinden van belanghebbenden en deskundigen op het gebied van electronische identiteit en digitaal zakendoen. Hij was betrokken bij diverse initiatieven en projecten op het gebeid van eID en IT-security, zoals SURFfederatie, DigiD, eHerkenning, eID Stelsel, Consumenten-ID, OpenId+, NEN 7521 Toegang tot patiëntendata, digitale kluisjes, ECP platform authenticatie, TTP dienstverlening, SSEDIC project, Studiereis naar Silicon Valley, OASIS Trust Elevation, Vereniging voor Biometrie en Identiteit. ANJA LELIEVELD Anja Lelieveld is Programmamanager Digitale Overheid en programmamanager identiteit bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Zij is gericht op ontwikkeling van organisatie en personeel, hetgeen zij combineert met strategisch inzicht en de vertaling daarvan naar de werkvloer en praktische werkwijzen. ELAINE OLDHOFF Elaine Oldhoff is beleidsadviseur bij thuiswinkel.org. Zij is gespecialiseerd in het analyseren van/adviseren in (be-
leids-)ontwikkelingen in de e-commerce sector, met een focus op cookiewetgeving/ Telecommunicatiewet, e-Identity, Richtlijn Consumentenrechten, Privacy/Algemene Verordening Gegevensbescherming en Online & Alternatieve Geschillenbeslechting. Zij maakt deel uit van verschillende commissies, waaronder de Commissie Consumentenrecht & Privacy Thuiswinkel.org (secretaris), de Commissie Consumentenvraagstukken VNO NCW (lid) en de e-Regulations Committee, Ecommerce Europe (lid).
ken. Steven is daarnaast redactiesecretaris van het Tijdschrift voor Internetrecht en vice-voorzitter van ISPConnect.
BOB VAN OS Bob van Os is projectmanager eID pilots bij het Ministerie van BZK. Bij Logius coordineert hij het programma eID Pilots. Hij heeft jarenlange ervaring in de ICT bij de overheid vanuit diverse affiliaties.
MAX SNIJDER Max Snijder is onafhankelijk adviseur op het gebied van identiteit en biometrie. Hij heeft zich gespecialiseerd in de strategische en operationele aspecten van grootschalige invoering van biometrie. Buiten Nederland werkt hij veel op Europees en internationaal niveau op gebieden als paspoorten, identiteitskaarten en nationale identiteitssystemen. Hij deed studies voor de WRR, Rathenau Instituut en het Europese Parlement. Daarnaast is hij secretaris en medeoprichter van de European Association for Biometrics (www.eab.org).
ELLY PLOOIJ Elly Plooij is een ervaren bestuurder en sparringpartner van directies in de semipublieke en private sector. Zij is toezichthouder bij verschillende organisaties en onafhankelijk voorzitter van adviescolleges voor regering en Parlement over ICT, authenticatie, identificatie en standaarden. Voorzitter van Stelselraad eHerkenning en eID Platform. Voormalig lid en vice-voorzitter Europees Parlement. STEVEN RAS Steven Ras is partner en medeoprichter van het bedrijf ICTRecht, waar zich bezighoudt met ICT, overheid en recht, de digitale handtekening, hosters, hosting en diverse overeenkomsten. Na zijn rechtenstudie aan de VU te Amsterdam heeft hij zich gespecialiseerd in ICT en recht. Mede vanwege zijn achtergrond als internetondernemer heeft hij veel belangstelling voor het internetrecht en de daarmee samenhangende juridische vraagstuk-
ARNOLD ROOSENDAAL Arnold Roosendaal (PhD, LLM) is a research scientist specialist at TNO with a specific expertise in the field of privacy and identity. Within the department of Strategy and Policy for the Information Society, he works on several national and international research projects.
trie neemt daarbij een belangrijk plaats in met aandachtsgebieden variërend van forensics tot mobiele toepassingen. Raymond Veldhuis geeft leiding aan een van de grootste academische researcch groepen in Europa. Hij is voorzitter van de Academia Special Interest Group van de European Association for Biometrics. HOLGER WANDT Holger Wandt is als principal advisor bij Human Inference, Europees marktleider op het gebied van datakwaliteitsoplossingen, verantwoordelijk voor alle kennisgerelateerde datakwaliteitsvragen. Daarnaast is hij bestuurslid van de commissie datakwaliteit van de DDMA, lid van de International Association for Information and Data Quality (IAIDQ) en docent op de Universiteit Utrecht (Moderne Naamkunde) en op Nyenrode Business Universiteit (Masterclass Data Quality Management).
organisaties over innovaties die gerelateerd zijn aan digitalisering. De laatste jaren ligt het accent vooral op digitale identiteit, privacy en vertrouwen. Maarten Wegdam’s specialiteiten zijn informatiebeveiliging in ketens, privacy, business modelling, digitale identiteiten, identity federation, autorisatie, authenticatie, mobile applications, context awareness, trust, middleware, NFC, identity verification, Internet of Things en personalization. MARCEL WENDT Marcel Wendt is CTO en mede-oprichter van Digidentity, een gecertificeerde Trusted Third Party (TTP), een onpartijdige organisatie die zakelijke betrouwbaarheid levert bij digitale transacties door middel van commerciële en technische beveiligingsdiensten. Onder zijn technische leiding heeft Digidentity een indrukwekkend portfolio van TTP producten ontwikkeld en op de markt gezet.
MAARTEN WEGDAM Als adviseur beweegt Maarten Wegdam zich op het grensvlak van ICT/technologie, business en gebruikers. Hij adviseert
ROY TOMEIJ Roy Tomeij heeft een uitgebreide achtergrond als programmamanager en ondernemer. Op dit ogenblik werkt hij voor verschillende overheidsprojecten. Zo is hij voorzitter van de Kerngroep Informatieberaad in de Zorg en is hij bij het Minister voor Economische Zaken een belangrijke aanjager van digitaal zakendoen en de implementatie van digitale voorzieningen voor bedrijven. RAYMOND VELDHUIS Raymond Veldhuis is professor aan de Universiteit Twente, waar hij mede leiding geeft aan de groep Services, Cybersecurity and Safety Research. Biome-
INFOSECURITY WWW.DIGITAAL-ZAKENDOEN.NL MAGAZINE - NR. 2 - MEI 2015
XI 33
CONGRES DIGITAAL ZAKENDOEN & EID
DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK
Bedrijfsprocessen stroomlijnen met digitale handtekeningen
Wij maken digitaal zakendoen mogelijk, eenvoudig en rechtsgeldig!
CoSign, de meest gebruikte oplossing voor digitale handtekeningen, biedt een breed scala aan configuraties die passen bij uw bedrijfsbehoeften, of deze nu zijn gebaseerd op de grootte of het type van uw organisatie, op het bestandsformaat/de apps die u momenteel gebruikt, of uw eisen voor techniek, beveiliging en regelgeving. Miljoenen ondertekenaars bij bedrijven, overheidinstanties en cloudleveranciers wereldwijd maken al gebruik van CoSign, de enige cross-enterprise oplossing voor digitale handtekeningen die betrouwbaarheid, integriteit, controle en beveiliging waarborgt voor papiervrije processen voor de bedrijfsomgeving. www.arx-cosign.nl
ONDERTEKENEN.NL IS EEN DIENST VAN EVIDOS, EXPERT IN DIGITALE HANDTEKENING OPLOSSINGEN
Aan de basis van een betrouwbaar eID Al sinds 2007 stelt AMP voor diverse banken de identiteit van klanten vast. Via een bezoek aan de klant, thuis of op het werk, wordt de klant gezien en wordt zijn legitimatiebewijs gecontroleerd. Vanuit deze ervaring is AMP vanaf 2013 paspoorten aan burgers gaan bezorgen. Inmiddels verzorgt AMP ook binnen het eHerkenning stelsel voor erkende partijen de face-to-face identificatie en staat daarmee aan de basis van een betrouwbare identiteit om online zaken te doen.
KPN is een toonaangevende leverancier van ICT-diensten. Onze producten en diensten helpen onze klanten én Nederland verder. Met slimme oplossingen richten we ons op maatschappelijke thema’s die in de toekomst een steeds grotere rol gaan spelen, waaronder identity, security & privacy. KPN Trusted Services is bijna 20 jaar pionier op het gebied van elektronische identiteits-oplossingen voor zakelijke gebruikers en overheden. KPN levert identiteitsmiddelen en bijbehorende voorzieningen om veilig en betrouwbaar online te kunnen communiceren met zakenpartners en overheidsdienstverleners, en beheert als gecertificeerde, vertrouwde partij reeds miljoenen identiteitsmiddelen voor veilige communicatie. Met de toenemende digitalisering van onze samenleving nemen wij onze verantwoordelijkheid om een veilige en betrouwbare digitale samenleving te creëren. Wij investeren en ontwikkelen actief in het tot stand komen van nieuwe afsprakenstelsels en standaarden zoals eHerkenning, eIDAS en eID/Idensys. www.kpn.nl
030 240 80 20 34 XII
[email protected]
twitter.com/amp_logistics
facebook.com/amplogistics INFOSECURITYWWW.DIGITAAL-ZAKENDOEN.NL MAGAZINE - NR. 2 - MEI 2015
XIII 35
CONGRES DIGITAAL ZAKENDOEN & EID
DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK
10 miljoen gebruikers, veilig verbonden Connectis helpt bedrijven en overheidsorganisaties. Dankzij onze software en diensten kunnen gebruikers veilig inloggen. Zo wordt betrouwbaar online zakendoen mogelijk.
Met wie doet u geen zaken?
Dankzij de software van Connectis loggen meer dan 10 miljoen gebruikers veilig in op honderden websites. Meer weten? Kijk op www.connectis.nl
“47% van de consumenten liegt tijdens online registraties.” Identificeer en valideer uw klanten. Snel, legaal en klantvriendelijk. Leer meer over online identificatie en validatie op cddn.nl of bel ons op 088 - 83 57 000.
VEILIG, EENVOUDIG EN VERBONDEN – WWW.CONNECTIS.NL
Digidentity is jouw digitale identiteit, één online profiel waarmee je toegang hebt tot overheden, zakelijke en private partijen. Bij ons ligt de controle over de gegevens volledig bij jezelf.
Erkend aanbieder eHerkenning
Identificeren via je smartphone
Nederlandse en Britse overheid
Een zakelijke registratie om bijvoorbeeld online subsidie aanvragen te doen voor het bedrijf waar je werkzaam bent.
Veilig identiteitsbewijzen uploaden door een foto te maken met de Digidentity app op je smartphone.
Wij zijn bouwers van de Nederlandse DigiD en voor de Britse overheid zijn wij een van de identity providers.
[email protected]
www.digidentity.eu
088 778 78 78
BKR is een onafhankelijke stichting, zonder winstoogmerk, die tot doel heeft om overkreditering en problematische schuldsituaties te voorkomen. De doelstelling van BKR is om overkreditering en problematische schuldsituaties bij consumenten te voorkomen en financiële risico’s voor zakelijke klanten te beperken. Zo levert BKR een bijdrage aan een gezonde financiële dienstverlening en het bestrijden van misbruik en fraude. www.bkr.nl
SAFE AND SECURE
SAFE AND SECURE
Veilig en betrouwbaar thuisbezorgd! Dynalogic is dé specialist in personalized logistics: het aan de deur uitvoeren van face-to-face controles, ID verificaties en/of authenticaties in combinatie met flexibele same-day en next-day opdrachten op het moment dat de eindgebruiker dit uitkomt en met gepersonaliseerde positie- en statusupdates.
WWW.DYNALOGIC.EU/ SAFEANDSECURE
36 XIV
INFOSECURITYWWW.DIGITAAL-ZAKENDOEN.NL MAGAZINE - NR. 2 - MEI 2015
XV 37
CLOUD-BEVEILIGING
CLOUD-BEVEILIGER CIPHERCLOUD
BREIDT UIT NAAR NEDERLAND Nu de opmars van de cloud niet meer te stuiten is, worden securityvraagstukken steeds ingewikkelder. De zakelijke cloudmarkt in Nederland zal naar verwachting in 2016 groeien naar 1,2 miljard euro, maar Europese en landspecifieke regelgeving op het gebied van gegevensbescherming dreigen een spaak in het wiel te steken. Cloud-enabler CipherCloud, nu ook in Nederland actief, doet daar wat aan. Het helpt organisaties over te stappen op cloudapplicaties zonder dat zij zich zorgen hoeven te maken over problemen met beveiliging.
Dit congres is georganiseerd door:
Het congres wordt mede mogelijk gemaakt door onze partners:
38
CipherCloud is een jong bedrijf dat groeit als kool. Pravin Kothari, oprichter en CEO van CipherCloud, en eerder co-founder van het securityplatform ArcSight dat in 2010 voor 1,5 miljard dollar door HP werd ingelijfd, zag 4,5 jaar geleden een gat in de cloudmarkt ontstaan dat gedicht moest worden. “De voordelen van cloud zijn ondertussen wel duidelijk”, vertelt Jeroen Blaas, general manager Europe bij CipherCloud. “Er is echter één factor die bedrijven sterk heeft afgeremd in hun adoptie van de cloud, en dat is security.” Traditionele securityleveranciers hadden allemaal hele mooie oplossingen om alles binnen het eigen bedrijfsnetwerk te beschermen. Maar toen steeds meer bedrijven de cloud opzochten, moesten ze het antwoord schuldig blijven. “Dat is het gat dat Kothari zag ontstaan. Je had een oplossing voor data die onderweg is, kijk naar SSL. Je had encryptieoplossingen voor ‘data at rest’ in het datacenter. Maar voor ‘data in use’ waren er nog geen goede oplossingen. CipherCloud heeft daar iets voor ontwikkeld. Wij encrypten de data voordat die naar de cloud gaat. We zetten een gateway bij de klant neer in de vorm van een software appliance en al het verkeer gaat daar langs.” Binnen één jaar stond er een product dat goed genoeg was om door een van de grootste Amerikaanse banken te worden aangeschaft. “Op dat moment wist Kothari dat hij goed zat”, vervolgt Blaas. “De voordelen van de cloud gaan allang niet meer over kostenreductie, maar vooral over de snelheid en flexibiliteit waarmee je nieuwe bedrijfsprocessen kunt imple-
beperking van reputatieschade. Andere landen beschouwen ook versleutelde data nog gewoon als data. In dat geval is ‘tokenizen’ een oplossing. Bepaalde kritische informatie blijft dan gewoon binnen de muren van het bedrijf en wordt naar buiten toe vervangen door tokens, waaruit de oorspronkelijke data alleen via een eigen tokendatabase binnen de bedrijfsmuren is te reconstrueren. Beide methoden kunnen zo nodig ook worden gecombineerd.
Jeroen Blaas menteren of reeds bestaande kunt aanpassen.” ENCRYPTIE ‘ON THE FLY’ Afhankelijk van de wet- en regelgeving waaraan een bedrijf onderhevig is, wordt de data door CipherCloud versleuteld of ‘getokenized’. Vaak is alleen versleuteling voldoende. Belangrijk punt hierbij is de vraag of versleutelde data wel of niet nog als informatie wordt aangemerkt. Dit in verband met de meldingsplicht waaraan bedrijven zich steeds vaker hebben te houden als er onverhoopt data van klanten onderweg verloren is gegaan. In bepaalde landen geldt die plicht niet als het ‘slechts’ om versleutelde data gaat. Dat is geen informatie meer, is dan de redenering. Geen meldingsplicht betekent
VERSLEUTELDE DATA BLIJFT DOORZOEKBAAR Het bijzondere van CipherCloud’s gepatenteerde encryptiemethode is onder meer dat versleutelde data gewoon doorzoekbaar blijft. “Je kunt dus nog steeds gaan filteren. Dus zoek je bijvoorbeeld alle Jansens in een database, dan kunnen we nog steeds zien waar die zich bevinden, en dat vrijwel zonder vertraging”, legt Blaas uit. Dat betekent bijvoorbeeld dat dashboards en e-maps, allerlei functionaliteit zoals die bijvoorbeeld in een cloud als die van Salesforce.com zit ingebakken, door CipherCloud overeind gehouden wordt, zonder de security aan te tasten. “Dat is ons marktpotentieel. Alle bedrijven die in een gereguleerde industrie zitten, bijvoorbeeld banken die PCI compliant moeten zijn, kunnen nu als ze ons product installeren, met een gerust hart gebruikmaken van cloudapplicaties als Salesforce, Box, Office 365 en ServiceNow.” Dick Schievels is journalist
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
39
INFORMATIEBEVEILIGING
MET INZICHT
WIN JE DE OORLOG De meest succesvolle generaals zijn vaak degenen die de meeste kennis verzamelen vóór en tijdens de strijd. Zij beseffen dat het noodzakelijk is om zoveel mogelijk te weten over hun tegenstander, het slagveld en hun eigen troepen. Met die kennis verfijnen ze hun militaire tactieken en strategieën. Zonder deze kennis gaan ze de strijd onvoorbereid aan en is de kans op verlies groot. Ditzelfde concept geldt voor informatiebeveiliging. Hoe meer inzicht u heeft in het netwerk en de security-toepassingen, hoe beter u in staat bent het beveiligingsbeleid aan te passen voor de optimale bescherming van uw organisatie.
Toch blijft het verbazingwekkend hoe weinig beheerders weten over wat er daadwerkelijk in hun netwerken gebeurt. Veel van de logging- en rapportagesoftware waar ze traditioneel op vertrouwen, brengen de gebeurtenissen die zich
achter de schermen van de organisaties bevinden niet compleet in beeld. De data zijn weliswaar aanwezig, maar liggen begraven in logs. Zonder toepassingen die dit inzichtelijk maken, zijn ze niet snel vindbaar en dus ook lastiger te interpreteren en om te zetten in actie. Meer inzicht biedt meer kennis en dus een betere kans om de verdediging te versterken. Hieronder geeft WatchGuard Technologies vijf manieren waarop inzicht het securitybeleid verbetert. 1. Ken de troepen Moderne veiligheidscontroles verifiëren gebruikers en identificeren netwerktoe-
passingen op basis van netwerkverkeer. Wanneer u deze mogelijkheden combineert met goede visibility tools, krijgt u een geheel nieuw beeld van wat er binnen het netwerk gebeurt. Zo ziet u welke tools en applicaties het meest in trek zijn, wie de meeste bandbreedte gebruikt en welke soorten bestanden ze downloaden. Dit inzicht helpt uw netwerkbeleid vorm te geven. Ziet u bijvoorbeeld dat een bepaalde applicatie meer bandbreedte gebruikt dan een andere, meer kritische toepassing, dan zijn er verschillende opties.
en aanvallen op het netwerk. De meeste IT-afdelingen laten de systemen het werk doen en besteden weinig aandacht aan de resultaten. De gedachte is: IPS blokkeert een aanval, het gevaar is afgewend dus waarom zou ik er dan nog aandacht aan besteden? Goede visibility tools kunnen patronen van aanvallen laten zien, ook van aanvallen die mislukken. Weet u bijvoorbeeld welke server de meeste aanvallen te verduren krijgt? Welke gebruikers worden geassocieerd met geblokkeerde malware? Welk type aanvallen het meest wordt gebruikt?
Een quality of service policy geeft voorrang aan die toepassingen die van belang zijn voor uw bedrijf of blokkeert bepaalde applicaties helemaal. Of wanneer u er achter komt dat een bepaalde gebruiker een risicovolle applicatie gebruikt, kunt u uitzoeken waarom hij dat doet en bepalen of het nodig is om het gebruik te beperken.
Met goede visibility tools komen deze trends bovendrijven en hiermee kunt u weer de beleidsregels verscherpen, de verdediging van bepaalde servers ophogen of bepaalde gebruikers een halt toeroepen.
2. Krijg inzicht in de patronen van het netwerk Er bestaat geen vast sjabloon voor ‘goed’ netwerkverkeer. Voor elke organisatie is het verkeer anders. Dit is afhankelijk van het soort bedrijf en de activiteiten. Om abnormale, mogelijk gevaarlijke activiteiten op uw netwerk te kunnen detecteren moet u inzicht krijgen in wat voor uw netwerkverkeer ‘normaal’ is. De enige manier om daar snel en duidelijk inzicht in te krijgen is door het daadwerkelijk te zien. Door visualisatietools regelmatig te monitoren, interpreteert u het netwerkverkeer sneller en herkent u het basisniveau van uw netwerk. Doordat u meer inzicht heeft, vallen uitschieters in de netwerkactiviteit ook sneller op. Die onregelmatigheden kunnen weer een aanwijzing zijn voor afwijkende gebeurtenissen. Die gebeurtenissen hoeven niet per definitie slecht te zijn, maar door ze te identificeren creëert u meer inzicht in het netwerk. Dit kan weer een basis zijn voor aanpassing van de security-regels. 3. Wat zijn de zwakke plekken van het netwerk? Veel security professionals hebben systemen als antivirus, intrusion prevention en deep packet inspection. Al die systemen herkennen en blokkeren malware
40
4. Filter de achtergrondgeluiden Iedereen die ooit internetverkeer heeft gemonitord kent de constante stroom aan ruis op het netwerk. Deze ruis bestaat uit allerlei informatiestromen en activiteiten. Denk aan legitieme robots die door het netwerk kruipen, security-onderzoekers die poorten scannen, maar ook aan geautomatiseerde malware die op zoek is naar nieuwe slachtoffers. Met goede tools identificeert u deze ruis, die vaak bestaat uit willekeurige verbindingen met populaire poorten als TCP 445, 137, 111, 69, 3389, 5800, enzovoorts. Welke poorten gebruikt worden is afhankelijk van de locatie en activiteiten. Dit achtergrondgeluid bestaat hoe dan ook uit ongewenste connecties en wanneer u weet welke connecties dat zijn, kunt u zich daar beter tegen beschermen. Een firewall blokkeert deze verbindingen waarschijnlijk al standaard, maar u kunt ook een stap verder gaan: bekijk wie erachter zit. Moderne security-toepassingen hebben de optie om autoblocking policies aan te maken. Hiermee worden bepaalde connecties - de naam zegt het al - automatische geblokkeerd. Wanneer de visibility-oplossing aangeeft dat er heel veel pogingen worden gedaan om verbinding te maken via een bepaalde poort, dan blokkeert een autoblock policy het IP-adres dat achter die verzoeken zit. Als iemand zo vaak probeert een connectie te maken die je niet hebben wilt, heeft diegene waarschijnlijk niet veel goeds in de zin.
5. Werken de huidige tactieken? Het beleid is opgezet. Misschien is het interne netwerk al onderverdeeld aan de hand van organisatorische rollen en zijn er regels toegevoegd om bepaald verkeer op die netwerken te beperken. Wellicht wilt u bepaalde communicatiestromen via bepaalde routes laten lopen, om communicatie rondom vertrouwelijke data te monitoren met data loss prevention tools. Of misschien heeft u wel beleidsregels opgesteld om specifieke communicatiestromen te versleutelen. Wat er ook binnen uw organisatie van toepassing is, weet u eigenlijk wel of die beleidsregels werken? En weet u of er misschien manieren zijn om deze regels stiekem te omzeilen? Ook hier kunnen visibility tools helpen. Sommige toepassingen visualiseren bijvoorbeeld hoe bepaalde soorten verkeer door het netwerk reizen en welke security-policies dat verkeer tegenkomt. Hiermee komen potentiële beleidsfouten boven water. Zoals ongebruikte policies. Snel een tijdelijke policy toevoegen om een testserver toegang te geven, is zo gebeurd, maar een onverwijderde, ongebruikte policy vormt een risico. Oplossingen op het gebed van policy visibility identificeren de meest- en minstgebruikte regels en zo kunt u zich ontdoen van ongebruikte rommel. In het kort komt het er op neer dat visibility tools in beeld brengen wat er nu werkelijk gebeurt in het netwerk. Aan de hand van deze kennis kunt u beleidsregels aanpassen zodat u meer grip krijgt op wat er binnen het netwerk moet gebeuren. Beheerders van de firewalls hebben vaak geen toegang tot alle relevante informatie die ze nodig hebben om goede beslissingen te nemen. Visibility tools vertalen de datasoep in duidelijke, bruikbare informatie. Wanneer u deze toepassingen gaat gebruiken, komt u erachter dat er nog veel meer manieren zijn om de beleidsregels te verbeteren en uw organisatie te beschermen. Dan bent u een stapje dichter bij die succesvolle generaal. Hans Vandam is journalist
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
41
CLOUDBEVEILIGING
Flexibel werken versus veilig werken:
DE CATCH-22 VAN CLOUDAPPLICATIES
Cloudapplicaties zijn niet meer weg te denken uit ons dagelijks leven, en dus ook zakelijke omgevingen. De complexiteit van beheer wordt daarmee steeds groter. Want wie gebruikt nu welke cloudapplicatie en wat doet die gebruiker daar precies mee? Vragen waar IT-afdelingen vaak geen antwoord op kunnen geven, omdat ze geen grip hebben. Met als gevolg dat ze uit angst maar alle cloudapplicaties blokkeren. Of juist de kop in het zand steken. Eduard Meelhuysen, VP Sales EMEA van Netskope, ziet het dagelijks. Een gesprek over hinken op twee benen: flexibel werken mogelijk maken en veiligheid bieden. Hoe groot is het probleem eigenlijk? “In elk – écht elk – bedrijf worden cloudapplicaties gebruikt. Van kleine mkb’s tot grote enterprises. Uit ons onderzoek blijkt dat het gemiddelde aantal cloudapplicaties in een organisatie in een kwartaal tijd toenam van 630 naar 730.
In zeventien procent van de organisaties zijn maar liefst duizend cloudapplicaties in gebruikt. Als je nagaat dat veruit de meeste IT-managers zich niet bewust zijn van deze cijfers, kun je je wel een voorstelling maken van de omvang van het probleem. Ik hoor het dagelijks in de
praktijk: ‘Cloudapplicaties? Nee joh, niet in onze organisatie.’ Mogelijk komt dat doordat ze de kop in het zand steken, wat een false sense of security geeft. Maar die onwetendheid kan ook het gevolg zijn van Shadow IT: gebruikers bepalen zelf welke apps ze downloaden. Wat eigenlijk ook terecht is, want zij moeten er tenslotte mee werken. En medewerkers kúnnen dat ook zelf doen, zonder tussenkomst van de IT-afdeling. Dat is heel handig voor de gebruiker, maar zorgt voor angst bij de IT’ers – ze hebben geen controle meer. Ze weten niet wat de gebruiker precies met die apps doet en of daar misschien gevoelige data bij komt kijken. En dan denkt de IT-afdeling met een firewall voldoende bescherming te bieden. Maar dat is slechts een doekje tegen het bloeden, want wat als je medewerkers thuis werken? Of mobiel aan de
slag gaan? Mobiele gebruikers zijn de grootste cloudappgebruikers. Kortom, een complex vraagstuk. Cloudapp-adoptie staat echt nog in de kinderschoenen en dat maakt van cloudapplicaties een gevaarlijk probleem.” Moeten bedrijven het gebruik van cloudapplicaties dan verbieden? “Nee, tegenhouden is in ieder geval niet de oplossing. Ik heb dat zelf gezien met de opkomst van wifi. Bij organisaties heerste daar veel weerstand tegen: doordat wifi veelal een open verbinding is, vreesden IT-afdelingen voor het verliezen van de controle en voor datalekken. Maar met wifi was je wel veel flexibeler en de vraag ernaar was dan ook groot. Precies hetzelfde is nu aan de hand met cloudapplicaties. De IT-afdeling kan er angst voor hebben, maar feit is dat mensen cloudapplicaties willen gebruiken, omdat ze hun werk nu eenmaal veel efficiënter maken. Zeg nu zelf, zou jij bijvoorbeeld nog zonder cloudapps als WeTransfer, of DropBox kunnen, of willen? Bedrijven bevinden zich daardoor nu in een spagaat. Aan de ene kant willen ze het hun werknemers mogelijk maken flexibel te werken. En aan de andere kant willen ze voorkomen dat gevoelige data op straat komt te liggen. Enable & control is daarom mijn motto. Laat medewerkers cloudapplicaties gebruiken, maar doe dat wel een gecontroleerde manier. Dat begint met kennis en inzicht: welke apps worden er gebruikt? De ene applicatie kun je wel toestaan, de andere niet. Pas als je dat in beeld hebt, kun je de touwtjes in handen houden.” En hoe zit het met de veiligheid van data? “Dat je in de cloud opgeslagen data bij voorkeur onder de Nederlandse weten regelgeving vallen, is inmiddels gemeengoed geworden in de IT-wereld. Echter, in de praktijk zie ik vaak nog dat IT-managers hier onvoldoende inzicht in hebben. ‘In het contract voor deze app heb ik een clausule laten opnemen, die mij garandeert dat de data daarin niet in het buitenland is opgeslagen’, zeggen ze dan. ‘En daar krijgen we regelmatig rapportages van.’ Wat ze zich dan niet realiseren, is dat de provider die rapportages zelf maakt. Hoe betrouwbaar zijn ze dan nog? Je hebt dus onafhankelijke tools nodig. Veel traditionele tools zijn gemaakt voor het beveiligen van de parameters
42
Eduard Meelhuysen
'Cloudapp-adoptie staat echt nog in de kinderschoenen en dat maakt van cloudapplicaties een gevaarlijk probleem' – en die zijn in de huidige situatie met cloudapplicaties niet langer bruikbaar. Er zijn geen netwerkranden meer….. De cloud is het netwerk” Wat is jouw gouden tip voor organisaties die worstelen met cloudapplicaties? “Beveiligingszorgen weerhouden IT-afdelingen er vaak van om zaken uit te besteden. Maar waarom zou je alles wat niet je core business is intern houden? Een externe partij heeft deskundige, gespecialiseerde mensen in dienst. Zij hebben kennis die je zelf niet in huis hebt. Betrouwbaarder kan dus niet. Mijn tip: kijk eens naar CASB’s, Cloud Access Security Brokers. Deze term, door Gartner geïntroduceerd, duidt op on-premise- of cloudoplossingen die fungeren als controlepunt voor veilige clouddiensten. Zaken als encryptie, auditing, Data Loss Prevention (DLP), toegangscontrole en
anomaliedetectie zorgen voor inzicht in het cloudappgebruik binnen je organisatie. Een cloudapp-provider kan je hierbij helpen, zodat je eindelijk dat hoofdpijndossier kunt sluiten.” Hans Vandam is journalist
Om u op weg te helpen naar een werkomgeving waar je op een veilige manier flexibel kunt werken, schreef Netskope het e-book ‘Cloud Security for Dummies’. Stap voor stap ontdekt u hoe u alle gebruikte apps in uw organisatie vindt, waarom u data in de cloud moet versleutelen, hoe u het veiligheidsrisico van een app bepaalt, wat er nodig is voor een effectieve cloudpolicy en de tien must-haves voor cloudsecurity. Downloaden kan via go.netskope.com/ Cloud-Security-for-Dummies
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
43
COMPLIANCE
Richard Groenendijk van AEB Nederland:
‘EXPORTVERGUNNINGEN ZIJN VAAK VERGETEN GAT IN INFORMATIEBEVEILIGING’
Bij informatiebeveiliging wordt vaak aangegeven dat het gaat om het bewust of onbewust lekken van gegevens. Eén aspect wordt daarbij nog wel eens over het hoofd gezien: exportvergunningen. Welke producten en bijbehorende informatie mag een bedrijf wel of niet aan bepaalde landen, bedrijven of personen leveren? “Dat onderwerp heeft te maken met zowel security als compliance en risk management”, zegt Richard Groenendijk,General Manager van AEB Nederland. “Met name handelen op basis van de laatste stand van zaken is hierbij erg lastig. Wie dit niet goed aanpakt, kan tegen hoge boetes aanlopen en bovendien gevoelige informatie in verkeerde handen vallen.”
De relatie tussen exportvergunningen en informatiebeveiliging zal niet voor iedereen direct duidelijk zijn. Toch is die er wel degelijk, meent Richard Groenendijk van AEB Nederland. Deze dochter van het Duitse softwarebedrijf AEB richt zich met name op grote SAP-gebruikers die veel producten leveren aan buitenlandse klanten. “We hebben het hier heel nadrukkelijk over compliance en risk management. Lang niet ieder product of kennis of informatie van het product mag zomaar aan een buitenlandse afnemer worden geleverd. Daar bestaan duidelijke regels
‘Lang niet ieder product mag zomaar aan een buitenlandse afnemer worden geleverd’ over. Op het overtreden van die regels staan vaak hele forse boetes. Overheden willen nu eenmaal voorkomen dat bepaalde producten in verkeerde handen kunnen vallen.” ACTUELE CONTENT Of een product geleverd mag worden, is - in ieder geval in theorie - eenvoudig vast te stellen door te controleren of het te leveren product is geplaatst op een lijst met verboden goederen. Het kan hierbij gaan om bepaalde producten die niet geleverd mogen worden. Of om personen, bedrijven of landen waaraan niet mag worden geleverd. Groenendijk: “Het probleem is alleen dat dit soort lijsten erg uitgebreid zijn en bovendien regelmatig veranderen. Er moet dus continu worden gecheckt of een levering wel is toegestaan. Handmatig checken is door de lange lijsten en de frequente wijzigingen niet haalbaar. Bedrijven doen er dus goed aan om dit procesmatig en langs geautomatiseerde weg aan te pakken.” De bekende leveranciers van enterprise-software - denk aan SAP, Oracle, Microsoft en dergelijke - leveren hiervoor weliswaar oplossingen, maar volgens Groenendijk voldoen die in de praktijk maar zeer ten dele. “Het gaat vaak om complexe oplossingen die duur in aanschaf zijn en die zich bovendien lastig laten implementeren. Ook is de software vaak niet voldoende flexibel. En een heel groot probleem is dat - zoals wij dat noemen - de content niet altijd even gemakkelijk kan worden geraadpleegd. Met andere woorden: heb je dan eenmaal die complexe software draaien, dan blijkt het nog heel lastig om vervolgens met de laatste lijsten met verboden goederen, personen en dergelijke te werken.”
Richard Groenendijk: “Met name voor bedrijven die ook in de Verenigde Staten actief zijn, kunnen de gevolgen van het overtreden van handelsrestricties enorm zijn”
44
MAATREGELEN Wat hier duidelijk meespeelt, denkt Groenendijk, is dat voor de bekende aanbieders dit soort functionaliteit maar een van de vele modules is die in hun software zit. “Men heeft het wel, maar het heeft geen prioriteit.” AEB richt zich daarentegen nadrukkelijk op complian-
ce en risk management in onder andere de wereld van supply chain management en heeft hierdoor in de loop van de jaren veel ervaring opgebouwd. “Het is van cruciaal belang dat het controleren of een product aan een buitenlandse afnemer mag worden geleverd volledig is geïntegreerd in de werkprocessen van een bedrijf. Stel dat een verkoper op een beurs of aan de telefoon met een nieuwe en hem onbekende klant te maken krijgt. Dan dient al bij het aanmaken van die klant in een CRM- of verkoopsysteem een check plaats te vinden. Maar die check moet dus wel gedaan worden op een database die tot op de minuut wordt bijgehouden. Wij hebben software ontwikkeld die daadwerkelijk in het verkoopproces ingrijpt zodra blijkt dat een klant of een bedrijf wordt ingevoerd die op deze lijst staat. Of waarvan de naam of de omstandigheden verdacht zijn. We hebben een hele reeks van regels ontwikkeld die gezamenlijk een inschatting maken of een klant al of niet verdacht is. Vergeet hierbij niet dat de kans natuurlijk groot is dat men zal proberen
desnoods een juridische afdeling of een compliance officer.” ONVOLDOENDE URGENTIE In de praktijk merkt Groenendijk dat grote bedrijven zich op zich wel bewust zijn van het feit dat zij op dit gebied duidelijke maatregelen moeten nemen, maar dat de urgentie nog wel eens ontbreekt. “Dat is niet verstandig. Met name voor bedrijven die ook in de Verenigde Staten actief zijn, kunnen de gevolgen van het overtreden van handelsrestricties enorm zijn. Het kan gaan om stevige boetes, maar ook om maatregelen als het intrekken van vergunningen en dergelijke.” Maar dit geldt ook voor bedrijven die geen zaken doen met Amerika maar waarbij hun informatie wel via Amerikaanse servers verloopt, die vallen dan namelijk onder Amerikaans recht. Dit wordt veelal over het hoofd gezien maar de Amerikaanse sanctiewetgeving heeft een extra exterritoriale werking en dient ook in ogenschouw genomen te worden. Overigens gaat het bij dit soort handelsmaatregelen niet alleen maar om het voorkomen dat bepaalde goederen in handen van verkeerde landen of personen komen. “Groene verf kan gebruikt worden voor decoratie, maar ook voor een militair doel. Het gaat echter nog veel verder. Denk bijvoorbeeld ook aan de ‘intellectual property’ en de technolo-
‘Het is van cruciaal belang dat het controleren of een product aan een buitenlandse afnemer mag worden geleverd volledig is geïntegreerd in de werkprocessen van een bedrijf’ om die verkoper om de tuin te leiden. Levert die check een hit op, dan kunnen daar allerlei maatregelen aan worden gekoppeld. Dat kan variëren van een harde blokkering van het verkoopproces tot een escalatie naar het management of
gische kennis die op die manier in handen van verkeerde personen of bedrijven kan vallen”, aldus Groenendijk. Robbert Hoeffnagel
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
45
THIN CLIENTS
PROBEER
MENSELIJKE FACTOR BIJ ICT TE VERMINDEREN Mens en machine liggen elkaar niet altijd even goed. Dat zien we bij de beveiliging van industriële omgevingen, maar ook nog steeds bij - wat heet - de kantoorautomatisering. De menselijke factor is een geducht aspect bij het waardebehoud van gegevens. Op technisch vlak is hier veel te bereiken, maar altijd in samenhang met bewustwordingsprogramma’s, want iets werkt pas als mensen snappen waarom het nodig is. Om een beeld te krijgen van de gevoeligheden die bij computergebruik op de loer liggen, is het doornemen van het 2015 Data Breach Investigations Report van Verizon een aanrader. Het bedrijf werkt bij de opstelling van dit rapport
samen met 70 organisaties in 61 landen. Denk aan Computer Security Information Response Teams, overheidsinstanties, service providers en beveiligingsbedrijven. Enkele opvallende cijfers over 2014: 79.790 beveiligingsincidenten; 2.122 bevestigde gevallen van dataverlies; maar ook 700 artikelen in The New York Times over computerinbraak, tegenover minder dan 125 artikelen in 2013. En volgens het rapport was 2014 ook het jaar waarin ‘cyber’ is doorgedrongen tot de directiebesprekingen. Een schokkend cijfer is dat - volgens het rapport - vijftig procent van de mensen binnen een uur een link opent in een phishing-bericht. En er wordt steeds meer gehengeld in de vijver, het aantal phishing-berichten neemt namelijk toe. Vaak zijn die niet alleen bedoeld om direct toegang te krijgen tot gegevens, maar om de PC onderdeel te maken van een botnet, zodat hij op een later tijdstip te gebruiken is in een georkestreerde DDoS-aanval. Maar ook hier is hoop. Lance Spitzner, Training Director for the SANS Securing The Human program, meent dat bewustwordingsacties vruchten afwerpen. “Je vermindert niet alleen het aantal slachtoffers tot minder dan 5 procent, maar je creëert tegelijkertijd een netwerk van menselijke sensoren die phishing-aanvallen effectiever herkennen dan welke technologie dan ook.” PATCHES Geen enkele software die op de markt
46
komt, is foutloos. De producenten ontdekken fouten terwijl hun programmatuur wereldwijd al wordt gebruikt. Ze sturen herstelcodes rond, maar niet iedereen past deze zogenoemde patches meteen toe. Dit zorgt ervoor dat mensen die met slechte intenties gebruikmaken van die fouten, voor een open doel spelen. Nogmaals een schokkend cijfer uit het Verizon-rapport: 99,9 procent van de geëxploiteerde kwetsbaarheden gebeurde langer dan een jaar nadat de CVE was gepubliceerd. De Common Vulnerabilities and Exposures zijn de lijsten met herstelcodes. Met andere woorden: patches worden niet of nauwelijks toegepast; in elk geval veel te laat. Overigens maakt Verizon wel de kanttekening dat niet elke kwetsbaarheid gelijk is, hetgeen dan gelijkelijk geldt voor de patches, maar dat je gewoon geen risico moet nemen. Want geduchte problemen (zoals Heartbleed, POODLE, Schannel en Sandworm) ontstonden binnen een maand nadat de patch was verstrekt. Conclusie van Verizon: ‘There is a need for all those stinking patches on all your stinking systems’. CENTRALISEREN Het centraal aanpakken van zaken kan hierbij helpen. Dat gaat bijvoorbeeld op voor de phishing-aanvallen: filter het e-mailverkeer op dergelijke verdachte berichten voordat ze in de mailbox komen van de medewerkers. Vooral voor beheerders van computersystemen is het handig om een centrale aanpak toe te passen. Het is immers veel eenvoudiger één mailserver onder surveillance te plaatsen en grondig te inspecteren dan de tientallen (zo niet duizenden) mailboxen binnen een organisatie. Beheerders krijgen er trouwens wel een taak bij: het overbrengen van de bood-
schap dat niet alles is geoorloofd met PC’s, tablets, smartphones en wat dies meer zij. De IT’ers hebben evenwel diepgaande technische kennis, maar ontberen vaak de didactische vaardigheden om medewerkers zo ver te krijgen dat zij de beperkingen fluitend aanvaarden. TECHNIEK SCHIET TE HULP Ook op andere vlakken schiet de techniek te hulp: bijvoorbeeld door het centraliseren van de gegevensverwerking en beschikbaarstelling van applicaties. De medewerkers werken in dat geval met een zogenoemde thin client: een klein kastje dat beeldscherm, muis en toetsenbord van een gebruiker verbindt met een centrale server waarop alle toepassingen staan. “Het grote voordeel van een thin client is dat de gebruiker over dezelfde functionaliteit beschikt, maar dat het systeem werkt met een embedded besturingssysteem”, zegt Martijn van Tricht, system engineer bij IGEL Technology Benelux, fabrikant van thin clients. “Gebruikers kunnen niet zelf iets installeren op een thin client, dus ook geen malware.” Voor de meeste applicaties is de inzet van deze kastjes geschikt. Alleen voor bijvoorbeeld zware 3D-ontwerpsoftware werkt het niet optimaal, omdat het netwerktransport van gebruiker naar centrale server te veel tijd vergt. Daar is wel wat aan te doen met het tweaken van de WAN-verbinding, maar een dergelijke oplossing is niet zaligmakend. Daar staat echter tegenover dat het hier om een heel gering aandeel van het applicatielandschap gaat. Het overgrote merendeel van de gebruikers is heel goed te bedienen met een thin client. LIEVER LINUX Vanwege dit soort voordelen winnen thin clients terrein. Volgens onderzoeksbureau IDC groeit het gebruik van deze apparaten elk jaar gestaag met een kleine tien procent. Ook het aandeel van zero clients (thin clients zonder OS) groeit: in 2014 was dit goed voor 24,6% van alle thin clients; een stijging van 13,6% ten opzichte van 2013. Maar het merendeel van de gebruikte clients betreft thin clients met het Windows-embedded OS: 44,5%. Wie echter helemaal voor veiligheid gaat, kiest een zero client of een Linux-client, want de meeste malware wordt gemaakt voor het Windows-platform dat immers
het grootste is. Voor kwaadwillenden is het efficiënt hun code te schrijven voor het meest gebruikte besturingssysteem. GEEN USB-STICKS Social engineering is nog steeds een belangrijke manier voor kwaadwillenden om zich in een systeem te nestelen. Laat een USB-stick op een parkeerterrein slingeren met een pakkende tekst als ‘love scene Paris Hilton’ en succes is verzekerd. Er is altijd wel iemand die hem meeneemt en in de PC stopt. Eenmaal binnen weet het virus wel hoe het zich dient te gedragen. Dus moet je ervoor zorgen dat iemand geen USB-stick in het apparaat kan steken. Bij de meeste thin clients is die mogelijkheid verhinderd. Beheerders zijn overigens vaak in de gelegenheid om centraal te regelen dat bepaalde personen wel een USB stick mogen gebruiken.
Martijn van Tricht
boksen tegen de iPads, de Samsungs en de andere grote namen.” Wel verwacht hij dat er agents of apps komen die een bestaande tablet kunnen omtoveren in een mobiele thin client. Een dergelijke oplossing bestaat al voor
'Gebruikers kunnen niet zelf iets installeren op een thin client, dus ook geen malware'
Of dat medewerkers alleen USB sticks van een aangewezen merk mogen benutten. Hetzelfde geldt voor camera’s en andere randapparatuur. Voor beheerders zijn thin clients met recht een zegen; voor organisaties een financieel voordeel, omdat het beheer zoveel goedkoper uitvalt dan dat van PC’s en omdat de beveiligingsrisico’s veel kleiner zijn.
laptops, in de vorm van thin client-software. Op die manier blijven gebruikers vrij om overal en altijd te werken, terwijl de beveiligingsrisico’s afnemen en het beheergemak toeneemt.
TABLETS Tegenwoordig zijn medewerkers echter steeds mobieler en gebruiken ze een hele reeks aan apps. Het gebruik van tablets neemt toe binnen organisaties. Kunnen we verwachten dat er op dit vlak ook thin clients komen? Van Tricht acht die kans klein. “Er zullen geen tablets van de makers van thin clients op de markt komen”, verwacht hij. “Er valt niet op te INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
47
PRIVACY
Enorme boetes voor wie te laconiek omgaat met data van klanten of medewerkers
NIEUWE EU-PRIVACYWET
VRAAGT OM INTEGRALE AANPAK DATABESCHERMING
De nieuwe EU-privacywet heeft grote gevolgen voor het bedrijfsleven en andere organisaties. De General Data Protection Regulation (GDPR) wordt dit jaar van kracht en dat betekent dat organisaties niet heel veel tijd meer hebben om hun mensen, processen, organisatie en ICT-voorzieningen daarop in te richten. De boetes zijn enorm voor wie te laconiek omgaat met beveiliging en bescherming van persoonlijke data van klanten. Het doel van de GDPR is dat elk individu weer baas wordt over zijn eigen data. Burgers moeten op verzoek volledig inzage kunnen krijgen in alle informatie die door een bedrijf of instelling over hen is vastgelegd. Ook het doel van de vastlegging moet kraakhelder zijn. Bovendien,
als burgers niet meer willen dat hun gegevens worden bewaard en verwerkt, en er zijn geen wettelijke gronden die dat tegenhouden, dan dienen die gegevens op verzoek direct verwijderd te kunnen worden.
‘De impact van de nieuwe Europese regelgeving is ook voor Nederland erg groot’
48
BOETES TOT 100 MILJOEN EURO Personen, bedrijven of instellingen die persoonlijke data van klanten in beheer hebben – in GDPR-termen heten die ‘data controllers’– of zij die dat soort data verwerken (‘data processors’) zijn verplicht tot implementatie van dusdanige technische en organisatorische maatregelen, dat de beveiliging optimaal is gegarandeerd. Doe je dat niet, dan word je daar keihard op afgerekend. Niet alleen worden er fikse boetes in het vooruitzicht gesteld (250.000 tot 100 miljoen euro, of een omzetgerelateerde boete van tussen de 0,5 en 5 procent!), maar ook komt er een meldingsplicht indien je persoonsgevoelige data ‘verspeelt’, terwijl je die niet afdoende hebt beschermd. IMPACT OP MENSEN, PROCESSEN, ORGANISATIE EN ICT Volgens Rob Westerhoff, directeur van ICT security-distributeur Crypsys uit Gorinchem, is de impact van de nieuwe Europese regelgeving ook voor Nederland erg groot. “Het gaat om technologie, maar ook om de mensen in je bedrijf, de processen en de organisatie. Bij medewerkers moet je eigenlijk al in de functieomschrijving vastleggen tot welke informatie zij wel en niet toegang mogen hebben. Processen moet je nauwkeurig inrichten en organisatorisch moet je regelen wie werkt met welke data.” Iedere organisatie, groot of klein, moet zijn datamanagement opnieuw aan een zorgvuldige inspectie onderwerpen, zegt Pieter Lacroix, managing director van Sophos Nederland. “Je moet verzoeken van klanten om inzage, wijziging en verwijdering van data kunnen honoreren en je moet te allen tijde verantwoording kunnen afleggen over hoe je met de data van klanten bent omgesprongen. Dat be-
'Iedere organisatie, groot of klein, moet zijn datamanagement opnieuw aan een zorgvuldige inspectie onderwerpen' tekent het constant monitoren, evalueren en waar nodig herinrichten van dataverwerkingsprocedures, maar het betekent bovenal het implementeren van ‘state of the art’-technologie ter bescherming van data die je onder je hoede krijgt. Het goede nieuws is dat het implementeren van dergelijke maatregelen de laatste jaren veel eenvoudiger, en dus ook financieel aantrekkelijker, is geworden.”
mondjesmaat mee bezig zijn. Alle reden voor onze ICT-dienstverleners om dit onderwerp eens even goed op de agenda van klanten te zetten. Het is bij uitstek een onderwerp waar een ICT-dienstverlener kan bewijzen dat hij een strategische partner is. Het gaat hier niet over het blussen van brandjes maar om een
Rob Westerhoff integrale aanpak van ICT-security die van levensbelang is voor bedrijven.” Kijk voor meer informatie op www.sophos.com en www.crypsys.nl
ENCRYPTIE IS EEN BELANGRIJK WAPEN Rob Westerhoff van Crypsys: “Het gaat om analyseren van datagebruik, beveiliging van mobiele data, versleuteling van gegevens: je moet dus absoluut kiezen voor een integrale beveiligingsoplossing. Wat ons betreft biedt Sophos op dat gebied een van de best beschikbare oplossingen.” Encryptie (versleuteling van data) is een belangrijk wapen in de strijd om gegevensbescherming. Toch zijn veel bedrijven vaak nog terughoudend met encryptietechnologie, omdat versleuteling voorheen de IT-performance negatief beïnvloedde. Met moderne encryptieproducten, zoals SafeGuard Enterprise van Sophos, is dat voorbij. Lacroix: “Deze oplossing biedt protectie én performance. Het volgt de data en biedt bescherming waar die data ook wordt opgeslagen: op de devices van gebruikers, hun shared folders, een USBstick of in de cloud. Bovendien is deze moderne encryptietechnologie ook nog eens eenvoudig te managen.” Westerhoff ziet de nieuwe EU-privacywet ook als een kans. “Als distributeur van Sophos leveren wij ICT-dienstverleners security-oplossingen. De General Data Protection Regulation maakt het noodzakelijk dat bedrijven serieus en structureel werk maken van databeveiliging. Ik zie dat eindklanten er nog maar Pieter Lacroix
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
49
ONDERZOEK Partners van de Nationale IT-Security Monitor 2015
Nationale IT-Security Monitor 2015
‘LANDELIJK ONDERZOEK BRENGT STAND VAN ZAKEN IN BEELD
Het is alweer bijna een jaar geleden dat de Nationale IT-Security Monitor voor het eerst het licht zag. Op initiatief van FenceWorks, de uitgever van Infosecurity Magazine heeft Pb7 Research een jaarlijks terugkerend onderzoek opgestart om in kaart te brengen hoe Nederlandse organisaties omgaan met IT-beveiliging. In plaats van in te gaan op het aantal incidenten, kijken we daarbij naar hoe IT-beveiliging georganiseerd wordt, hoe er wordt geïnvesteerd, hoe bedrijven omgaan met het veranderende dreigingsveld en welke uitdagingen ze daarbij tegenkomen. Ook gaan we ieder jaar in op een aantal specifieke thema’s. In 2014 ging het bijvoorbeeld om cloud security, databeveiliging en trainingen.
Het onderzoek wordt onafhankelijk opgezet en uitgevoerd en wordt gefinancierd met behulp van een aantal sponsors. Dit jaar zijn dat Centric, HP, Sogeti, Sophos en TSTC. CONCLUSIES EN VERVOLGONDERZOEK Het afgelopen jaar kwamen we tot een aantal interessante conclusies, die we dit jaar zeker verder moeten gaan onderzoeken. De voornaamste conclusie was dat IT-beveiliging zich vooral richt op de IT van gisteren en minder aandacht heeft voor de technologie die nieuw de organi-
satie binnenkomt. De helft van de bedrijven gaf aan te weinig kennis te hebben om cloudoplossingen veilig te kunnen gebruiken. Hetzelfde blijkt het geval te zijn voor mobiele toepassingen. Er blijkt dan ook nog heel veel geïnvesteerd te worden in netwerkbeveiliging, terwijl de aandacht juist steeds meer zou moeten verschuiven naar databeveiliging. Dit jaar gaan we wederom kijken waar het security budget aan wordt uitgegeven en of er meer richting nieuwe technologie als cloud en mobiel gaat. PRIVACY Een tweede conclusie was dat privacy in een hele korte tijd zich bovenaan de agenda heeft weten te nestelen. Hoewel we met de vinger naar bijvoorbeeld de NSA zouden kunnen wijzen, heeft dat vooral te maken met de langzaam maar zeker aanstormende algemene dataprotectie verordening en de daarop vooruitlopende nationale wet- en regelgeving. De meeste Nederlandse organisaties kiezen ervoor om toch maar vooral op het laatste moment klaar te zijn. Opvallend is ook dat organisaties uit de zorg zich er het minste druk om maken, terwijl daar juist de urgentie het hoogst zou moeten zijn. Ook dit jaar gaan we weer kijken hoe Nederlandse organisaties vorderen en of de zorgsector aan de inhaalslag begint. CONCURRENTIEVOORDEEL Een derde conclusie is dat bedrijven die IT-security solide én flexibel weten in te richten steeds meer een concurrentievoordeel weten te realiseren. Steeds meer producten en diensten zijn sterk IT-afhankelijk en vereisen een naadloos functionerende IT-omgeving. Veel innovaties lopen stuk doordat security te laat aanschuift bij productontwikkeling. Bedrijven die secure en private by design effectief weten te implementeren (iedereen zegt het te doen, maar de praktijk blijkt weerbarstig) en een flexibele, veilige omgeving weten te creëren, verkorten hun time-to-market en voorkomen zo goed als mogelijk gênante fails. Dit jaar willen we verder kijken naar de relatie tussen security en zakelijk succes. Ook vonden we dat organisaties steeds meer op zoek
50
'Liever gaan we op zoek naar hoe bedrijven meer zakelijk voordeel weten te realiseren doordat ze hun beveiliging goed voor elkaar hebben' zijn naar de juiste partners op het gebied van IT-beveiliging. Natuurlijk bouwt niemand meer zijn eigen virusscanner of firewall, maar veel organisaties erkennen dat de complexiteit van IT-beveiliging dermate toeneemt, dat meer hulp van buitenaf noodzakelijk wordt. Steeds meer bedrijven denken zelfs voor de regie op IT-beveiliging binnen enkele jaren een strategische partner te hebben. Dit jaar willen we ook dit verder onderzoeken. Wat zijn de ontwikkelingen op het vlak van managed services? En in welke mate lopen bedrijven warm voor (managed) SIEM, een dienst waar veel aanbieders zich flink warm beginnen te lopen. Ondanks alle verbeterpunten zien we in de resultaten en de vele discussies die volgden, dat organisaties in Nederland het helemaal niet zo slecht doen. Er is vaak een duidelijke visie voorhanden,
men erkent wel dat er verbeterpunten zijn, zet zich daarvoor in en men vindt uiteindelijk wel de benodigde budgetten, hoewel het natuurlijk nooit genoeg is. In vergelijking met veel andere landen, zijn we zelfs wat aan de risicomijdende kant. We willen met dit onderzoek juist niet aansluiten bij de gebruikelijke FUD-communicatie (Fear, Uncertainty & Doubt) rond security. Behalve dat niemand nog schrikt van het vreselijke dat de vaak wel heel verre buurman is overkomen, doet het geen recht aan de zakelijke bijdrage die security iedere dag aan iedere organisatie levert. Liever gaan we op zoek naar hoe bedrijven meer zakelijk voordeel weten te realiseren doordat ze hun beveiliging goed voor elkaar hebben. Peter Vermeulen is directeur van Pb7 Research
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
51
JURIDISCH
BSA onderzoekt aanpak Europese landen:
NOG WEINIG
CONSISTENTIE
IN CYBERSECURITY-WETGEVING Niet elke EU-lidstaat is even goed voorbereid als het gaat om cybersecurity. Dat blijkt uit een onderzoek van BSA | The Software Alliance, dat voor het eerst Europese wet- en regelgeving op het gebied van cybersecurity analyseerde. BSA | The Software Alliance toetste de nationale wet- en regelgeving in alle 28 EU-lidstaten aan de hand van 25 criteria die als essentieel worden beschouwd voor effectieve bescherming van cybersecurity.
Doel van het onderzoek was de EU-landen een mogelijkheid te bieden om hun eigen beleid af te zetten tegen de belangrijkste uitkomsten. Daarnaast zet BSA een stap vooruit door de belangrijkste bouwstenen voor een krachtig juridisch kader voor cybersecurity te bepalen. VERDEELD “Als het gaat om cyberbescherming, is er in Europa sprake van grote verdeeldheid. De meeste lidstaten erkennen dat
52
cybersecurity een prioriteit is. Toch blijft de volledige interne markt kwetsbaar voor bedreigingen vanwege de inconsistenties in hun aanpak”, zegt Thomas Boué, Director of Policy EMEA bij BSA. “De Europese richtlijn voor netwerk- en informatiebeveiliging kan helpen bij het verstevigen van het basisniveau van cybersecurity en cyberweerbaarheid, als die richtlijn zich richt op het in lijn brengen van de bescherming van de meest kritische Europese infrastructuur en op
het introduceren van geharmoniseerde rapportage- en kennisdelingsprocessen binnen de gemeenschappelijke markt.” NATIONALE PRIORITEIT Het onderzoek laat zien dat de meeste EU-lidstaten cybersecurity beschouwen als een nationale prioriteit - vooral als het gaat om kritische infrastructuren. Er zijn verder aanzienlijke hiaten tussen de cybersecurity-policy’s, juridische kaders en operationele mogelijkheden van alle lidstaten, met als gevolg een grote achterstand in algehele cybersecurity-bescherming in Europa. Bijna alle EU-lidstaten hebben incident response-teams samengesteld om cyberincidenten aan te pakken, maar het doel en de ervaring van deze eenheden verschillen. Het onderzoek onderstreept verder dat er op het gebied van cybersecurity een zorgwekkend gebrek is aan systematische samenwerking tussen overheid en bedrijfsleven, en tussen Europese regeringen en niet-gouvernementele organisaties (ngo’s) en internationale partners. Op basis van het onderzoek raadt de BSA EU-lidstaten dan ook aan te focussen op vier belangrijke onderdelen van een krachtig juridisch kader voor cybersecurity. 1. Creëer en onderhoud een uitgebreid juridisch kader met policy’s, gebaseerd op een nationale cybersecurity-strategie die is aangevuld met branchespecifieke cybersecurity-plannen. 2. Geef operationele eenheden duidelijke verantwoordelijkheden voor operationele computerbeveiliging en emergency-response en incident-response. 3. Kweek vertrouwen en werk samen met het bedrijfsleven, ngo’s en internationale partners en allianties.
4. Stimuleer het onderwijs en het bewustzijn rondom risico’s en prioriteiten op het gebied van cybersecurity. PLEIDOOIEN Verder bepleit de BSA bij Europese regeringen dat zij geen nutteloze beschermingsregelingen treffen, die afbreuk kunnen doen aan cyberbeschermingsinitiatieven in plaats van ze te verbeteren. Lidstaten moeten volgens de organisatie vooral onnodige of onredelijke eisen vermijden, die de keuze kunnen beperken en kosten verhogen. Het gaat dan om onder meer unieke, landspecifieke certificerings- of testeisen, mandaten voor lokale content, voorschriften voor gevoelige informatie als broncode en encryptiesleutels, en beperkingen aan buitenlands eigendom en intellectueel eigendom. Daarnaast is het zaak dat lidstaten standaarden niet manipuleren, maar juist toonaangevende, internationaal erkende, technische standaarden ondersteunen. Verder zouden ze data-lokalisatieregels moeten vermijden en ervoor zorgen dat data vrij tussen de verschillende markten kan bewegen. Ook is het volgens de BSA onverstandig wanneer lidstaten de voorkeur geven aan eigen technologieën die buitenlandse concurrentie belemmeren en schadelijk zijn voor wereldwijde innovatie. SITUATIE IN NEDERLAND In het onderzoek stelt BSA vast dat Nederland een ver ontwikkeld juridisch en policy-kader voor cybersecurity heeft, waaronder de National Cyber Security Strategy 2 uit 2013. Dit is de tweede strategie in deze lijn; het cybersecurity-kader in Nederland wordt elke twee jaar vernieuwd. Nederland heeft ook een National Cyber Security Centrum (NCSC) dat zich op een centrale manier bezighoudt met aan cybersecurity gerelateerde procedures en werkwijzen. Het NCSC werkt daarnaast actief samen met Information Sharing and Analysis Centres (ISAC’s) voor sectoren die te maken hebben met een kritieke infrastructuur. Het rapport signaleert verder dat er in Nederland geen wetgeving is die voorschrijft dat overheidsinstellingen een Chief Information Officer of Chief Security Officer moeten aanstellen. Ook kent Nederland geen verplichte melding van een beveiligingsincident.
Verder zijn er in Nederland geen sectorspecifieke prioriteiten opgesteld met betrekking tot cybersecurity. Wel ligt er een voorstel vanuit de National Cyber Security Strategy 2 om risicoanalyse en beveiligingseisen vast te stellen voor kritische infrastructuren in samenwerking met het National Cyber Security Centre.
opkomende issues. De huidige strategie is bepaald in 2013 en is een aanpassing van die van 2011. Nederland is daarnaast een van de vijf EU-landen die een actief publiek-privaat partnershipprogramma heeft opgezet. Hoe meer communicatie en coördinatie tussen EU-overheden, de private sector en internationale partners, hoe beter een land bestand is tegen op-
'Nederland heeft een ver ontwikkeld juridisch en policykader voor cybersecurity' “Hoewel deze studie geen rangorde aangaf, geeft zij wel aan dat Nederland het overall goed doet op het gebied van een beleid voor cybersecurity”, zegt Boué. “Nederland heeft een omvattende strategie vastgesteld voor nationale cybersecurity met duidelijke doelen die zij ook meet. Het land heeft ook duidelijk gemaakt dat cybersecurity-strategie in een levend document gevat moet worden met regelmatige updates naar aanleiding van nieuwe omstandigheden of
komende cyberbedreigingen. Het National Cyber Security Centre (NCSC-NL) is een uitgebreid response-team dat optreedt als hub voor alle aan cybersecurity gerelateerde procedures. Deze organisatie is ook actief in het delen van informatie met sectoren die het dichtst staan bij de kritische infrastructuur. Verder zijn bewustwording en educatie belangrijke pijlers van de Nederlandse cybersecurity-strategie.”
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
53
ENDPOINT SECURITY
ONLINE BANKIEREN
MET HET VEILIGSTE ENDPOINT-DEVICE
Als het gaat om geldtransacties is online bankieren voor ons de standaard geworden, zowel zakelijk als privé. Dat komt door drie belangrijke zaken: het is handiger en sneller voor de klant en goedkoper voor de bank zelf. Deze combinatie verklaart de populariteit van online bankieren en maakt het erg aantrekkelijk voor beide partijen. Maar rechtmatige gebruikers zijn niet de enige geïnteresseerden in online bankieren - ook cybercriminelen houden de ontwikkelingen nauwlettend in de gaten. Het is dan ook niet verwonderlijk dat online bankieren steeds vaker succesvolle aanvallen te verduren heeft. Elk jaar
verliezen bedrijven miljoenen euro’s en banken zijn druk bezig deze toename een halt toe te roepen door hun beveiligingsinfrastructuur te verbeteren. Zo voegden ze bijvoorbeeld mechanismen toe die geldstromen analyseren en direct reageren als zich nieuwe en vreem-
de patronen voordoen aan de kant van de server. Tegelijkertijd werkten ze aan de klantinterface. Daar kwamen ze met nieuwe mechanismen die garanderen dat de identiteit van degene die inlogt en de integriteit van de transacties kloppen. Waarschijnlijk heb je een aantal van deze mechanismen al gezien: 2FA, TAN-nummers, mTAN, chipTAN, enzovoort. Cybercriminelen houden echter niet zomaar op als ze eenmaal een grote kans als online bankieren hebben ontdekt. Zij blijven hun tools verbeteren, zodat ze altijd de technische capaciteit hebben om al deze mechanismen aan te kunnen. Een
Als CTO van Qualys praat ik veel met securityprofessionals en IT-beheerders bij bedrijven die de beveiliging van hun online-bankierenomgeving willen verbeteren. Het is duidelijk dat de endpoints die gebruikt worden voor online bankieren de meest interessante doelwitten zijn. De gebruikers van deze endpoints zijn aan te wijzen door het gebruik van professionele netwerken als Xing en LinkedIn, wat hen ontvankelijk maakt voor phishing-aanvallen. Gelukkig kunnen wij als IT-beheerders genoeg doen om cybercriminelen een stap voor te blijven en zo niet het slachtoffer te worden van de strijd. Het belangrijkste is ervoor te zorgen dat de computing-uitrusting die we gebruiken niet over te nemen is door cybercriminelen. Je bedrijf heeft een aantal technische mogelijkheden om de endpoints in online bankieren te beveiligen. Ik zet ze op een rij, van minst veilig tot veiligst. 1. Een Windows-pc, die ook wordt gebruikt voor normale kantoorwerkzaamheden Windows is veruit het populairste besturingssysteem voor desktops en laptops en wordt veel gebruikt voor e-mail, surfen en het bewerken van documenten. Helaas is het ook het populairste besturingssysteem om aan te vallen. Denk aan phishing-aanvallen die binnenkomen via je zakelijke en privémail en ‘watercooler’-aanvallen, die profiteren van jouw surfgewoonten. Microsoft en andere softwareleveranciers als Adobe (Adobe Reader en Adobe Flash) brengen elke maand updates van hun software uit. Hiermee pakken ze de kritieke kwetsbaarheden aan die geliefd zijn bij cybercriminelen. Maar zelfs als de IT-afdeling de Windows-pc’s volledig gepatcht onderhoudt en een up-to-date beveiligingssuite installeert, kunnen cybercriminelen hun gang gaan. Ze kunnen pc’s infecteren met malware, je gebruikersnamen
54
2. Pc’s met andere besturingssystemen De kans dat pc’s met een besturingssysteem als Mac OS X of Linux worden aangevallen is minder groot dan bij hun Windows-soortgenoten. Beide besturingssystemen hebben echter hun eigen kritieke kwetsbaarheden. Denk aan de recente kritieke ‘Shellshock’-kwetsbaarheid die Linux op een nogal eenvoudige manier binnentrad. Desalniettemin focussen cybercriminelen niet zozeer op deze besturingssystemen. De cybercrimetoolkits, verkrijgbaar op de zwarte markt, zijn over het algemeen alleen gericht op Windows. Een pc met een ander besturingssysteem dan Windows is een goede keuze voor als je online wil bankieren.
escalerend actie-/reactie-conflict tussen banken en cybercriminelen dus. Banken hebben hierbij twee tegenstrijdige taken: enerzijds het beveiligen van de transactie - wat enorm veel controles en checks met zich meebrengt - en anderzijds het bieden van gebruiksgemak, wat betekent dat ze niet te opdringerig kunnen zijn bij het bevestigen van de identiteit en integriteit.
Wolfgang Kandek en wachtwoorden opslaan en 2FA- en TAN-verzoeken onderscheppen en omleiden. De cybercriminelen gebruiken zogeheten zero-day-kwetsbaarheden, zowel in Windows als in geïnstalleerde applicatiesoftware. Zero-day-kwetsbaarheden zijn niet bekend bij Microsoft en de grote securityleveranciers. Vaak blijft dat maandenlang zo en ondertussen gebruiken cybercriminelen ze in hun aanvallen. Met de huidige technologie op pc-gebied is de bescherming tegen zero-days bijzonder lastig. Gebruik je een normale kantoor-pc voor online bankieren? Dan kun je de situatie
3. Een Windows-pc, die alleen voor bankieren gebruikt wordt Een Windows-pc toewijzen voor alleen online bankieren is een goede keuze - daardoor is hij zeer bestendig tegen cyberaanvallen. Als je het apparaat upto-date houdt met patches en beveiligingssoftware en je gebruikt de computer niet voor andere taken, dan verklein je het aantal mogelijke aanvallen aanzienlijk. De overige aanvalsvectoren zijn dan andere geïnfecteerde apparaten op je netwerk. De meest kritieke issues zijn gestolen beheerdersgegevens. Zo’n issue houd je onder controle door verschil-
'Een bedrijf heeft een aantal technische mogelijkheden om de endpoints in online bankieren te beveiligen' iets verbeteren door een andere browser dan Internet Explorer te gebruiken voor je banktransacties. Op deze manier ontwijk je een klein deel van de infecties gericht op Internet Explorer. Ik raad de Google Chrome-browser aan als krachtig alternatief. In de afgelopen jaren is die het meest veerkrachtig gebleken in vergelijkende onderzoeken gericht op browsermisbruik. Maar zelfs met Chrome kan ik het niet aanraden te bankieren met een Windows-apparaat dat ook voor normale kantoorwerkzaamheden gebruikt wordt.
lende inloggegevens voor elk apparaat in te stellen. Kies dus voor een Windows-pc die je alleen gebruikt voor online bankieren. En dat is niet alleen mijn mening; Europese en Amerikaanse banken adviseren hetzelfde. 4. Mobiele platformen, tablets en smartphones Tablets en smartphones hebben besturingssystemen die een generatie jonger en beter zijn dan je normale pc. Deze besturingssystemen zijn ontworpen met in het achterhoofd de ervaring met besturingssystemen voor algemene doelein-
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
55
ENDPOINT SECURITY den, zoals Windows, Mac OS X en Linux. Met dergelijke besturingssystemen weten we niet precies hoeveel gebruik klanten van het apparaat zullen maken en dus moeten we maximale flexibiliteit hanteren. Cybercriminelen misbruiken deze kracht en flexibiliteit. En dat heeft ons gebracht tot de situatie zoals hij nu is: we vernieuwen oude besturingssystemen met beveiligingsprogramma’s, zoals automatische updaters, integriteitschecks en inbreukdetectiesystemen. Besturingssystemen voor tablets en smartphones zijn doelgericht geschreven met als uitgangspunt een krachtige beveiliging. Denk maar eens terug aan de eerste versies van de iPhone/iOS-combinatie van Apple, waarbij de scheiding tussen applicaties zo ver was doorgevoerd, dat kopiëren en plakken niet mogelijk was. Een aantal van deze beperkingen is soepeler geworden in de loop van de tijd. Het idee van een sterke beveiliging blijft echter van kracht. Het aantal infecties op mobiele apparaten is nu zeker twee orden van grootte kleiner dan in de pc-wereld. Bij de iPad en iPhone van Apple zijn infecties nagenoeg niet bekend. Een tablet is dus een erg goede keuze voor online bankieren. 5. Chromebase en vergelijkbaar Google wilde zijn browser de universele applicatie voor consumenten maken en kwam daarom met een nieuw besturingssysteem: ChromeOS. In essentie is ChromeOS de Chrome-browser aangevuld met een minimaal aantal opties die noodzakelijk zijn om de browser te laten draaien, zoals netwerk- en gebruikersbeheer. Dat maakt ChromeOS nog beperkter in zijn mogelijkheden dan een mobiel besturingssysteem. Een aantal hardwareleveranciers heeft het nieuwe besturingssysteem gelicenseerd en kwam met computers die draaien op ChromeOS: laptops (de zogeheten Chromebooks) en desktops (Chromebox en Chromebase). Deze apparaten zijn mogelijk veel minder krachtig dan je gemiddelde pc, wat resulteert in een langere acculevensduur en een lagere prijs. Daarnaast zijn ze binnen een aantal seconden opgestart. Ook blijven ze altijd up-to-date door hetzelfde bewezen mechanisme voor continue, automatische updates als de Chrome-browser zelf. Tot op heden zijn securityonderzoekers er niet in geslaagd in te breken in een ChromeOS-apparaat, ondanks de uitgeloofde behoorlijke beloning van 56
NIEUWS
‘VEEL CYBERCRIMINELEN BEGINNEN MET DIGITALE DIEFSTALLEN IN GAMES’
Hoe ontstaan eigenlijk cybercriminelen? Cybercriminelen die zich bezig houden met serieuze cybercriminaliteit blijken in de praktijk vaak te zijn begonnen bij kleinschalige digitale diefstallen in met name online games. Vanaf deze relatief onschuldige misdaden groeien de aanvallers door tot volleerde cybercriminelen, die veel schade kunnen veroorzaken.
100.000 dollar. Een Chromebase, -book of -box is een uitstekende keuze voor online bankieren (zelf gebruik ik nu bijna een jaar een Chromebase voor online bankieren, en hoewel mijn creditcard in die tijd twee keer vernieuwd is, voel ik me nog steeds veilig op dit platform). En dat is ‘m dan, mijn persoonlijke ranglijst voor online bankieren. Ik weet zeker dat er andere mogelijkheden zijn die ik niet behandeld heb, maar die wel aantrekkelijk zijn vanuit beveiligingsoogpunt. Ik heb bewust pc’s die draaien vanaf LiveCD uitgesloten. Dit is een uitstekende manier om de integriteit van het besturingssysteem te garanderen, omdat het wordt geladen vanaf een alleen-lezen-medium (een cd of dvd). Toch denk ik dat het voor de meeste gebruikers onhandig is om steeds dat nogal trage proces, dat bij de meeste LiveCD’s komt kijken, te doorlopen. Dat varieert natuurlijk per gebruiker, maar ik denk dat het voor de meesten te omslachtig is. In mijn ogen is online bankieren een geweldige kans om beveiligingsmaatregelen afgestemd op het datagebruik van de gebruiker te implementeren. Vaak is het voor IT-beheerders een uitdaging om te bepalen tot hoeveel bedrijfskritische data een eindgebruiker toegang heeft. Maar in dit geval zijn gebruikers en het risico op verlies behoorlijk duidelijk gescheiden. IT-beheerders kunnen de beveiliging van het online bankieren binnen hun bedrijf verbeteren door te kiezen voor een van de hierboven genoemde opties - met uitzondering van het gebruik van een nor-
male Windows-pc. Maar de klant beveiligen is slechts een van de componenten van je banktransacties. Het is verstandig om met je eindgebruikers te praten over het beveiligen van de instellingen aan de kant van de bankierenapplicatie. Als de bank two-factor authenticatie (2FA) biedt, zou het geactiveerd moeten zijn. Ik ben voorstander van apparaten speciaal voor 2FA. Ik geef dus eerder de voorkeur aan ChipTAN dan aan mTAN, aangezien de kans dat een aanvaller de transactie manipuleert veel kleiner wordt met een apart device. Evenzo is het slim om notificaties voor belangrijke transacties in te stellen. Hier kies ik liever voor sms- dan voor e-mailnotificaties, simpelweg omdat sms over het algemeen veel meer opvalt dan e-mail. Daarbij is versleuteling belangrijk om je bedrijfsdata en transacties die in behandeling zijn te beschermen. Zorg er dus meteen voor dat je eindgebruikers checken of ze een versleutelde verbinding hebben als ze inloggen op de website van je bank. Dit houdt in dat de pagina waar ze hun persoonlijke gegevens, zoals rekeningnummer en/of wachtwoord, intypen al versleuteld moet zijn. Ook moeten ze bevestigen dat ze een groen slot zien in de url-balk van de browser en dat de url overeenkomt met de naam van de bankwebsite waarop ze willen inloggen. Uitzonderingen hierop mogen ze niet accepteren. Dat garandeert dat ze daadwerkelijk een verbinding aangaan met de website die ze willen.
De directeur van de National Crime Agency, Jamie Saunders, zegt tegenover de Independent dat cybercriminelen veel schade kunnen veroorzaken. Ondanks deze grote schade beginnen veel cybercriminelen met kleinschalige praktijk. “Veel jongeren nemen sommige vormen van criminaliteit niet serieus”, legt Saunders uit. “Het stelen van goud van
elkaar in online games of cheaten. Het lijkt moeilijk voor te stellen de politie op bezoek te krijgen voor het stelen van een zwaard van een vriend in World of Warcraft.” World of Warcraft is een populaire online game dat door miljoenen mensen over de wereld wordt gespeeld. In de game
kunnen duizenden spelers gelijktijdig in een server verblijven en hier interactie met elkaar hebben. Jongeren zullen objecten en geld in World of Warcraft vaak niet stelen met een economisch motief in het achterhoofd, maar juist als experiment of als uitdaging. Ook realiseren sommige jongeren zich niet dat dergelijke diefstallen illegaal zijn.
Wolfgang Kandek is CTO van Qualys
INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
57
DOOR MR. V.A. DE POUS
LEGAL LOOK
36 PE-uren
DE LUIDE POLITIEKE ROEP OM SAMENWERKING Het beeld toont zich duaal. Te gekke vindingen enerzijds. De techniek dendert voort met draagbare technologie, robotisering, virtuele valuta, big data, Internet of Things en wat dies meer zij, gecomplementeerd met hooggespannen verwachtingen. Anderzijds tekenen massale inbreuken op persoonsgegevens de tijdgeest. Criminelen, veiligheidsdiensten, toezichthouders, onderzoekers, maar tevens mismanagement en gammele informatietechniek, leggen telkens, maar op uiteenlopende wijze, de vinger op de zere plek. Een maatschappij met een fragiel, ronduit kwetsbaar karakter. Quo Vadis? Terwijl overheidsorganisatie en bedrijf graag zoveel mogelijk gegevens willen registreren, vastleggen, bewaren en analyseren, is het individu uit oogpunt van informatiebeveiliging en privacybescherming waarschijnlijk beter af met minder gegevensverwerking. De kans op dataminimalisatie lijkt klein. Wat echter sowieso behoort plaats te vinden, is de feitelijke en juridische borging - en natuurlijk naleving - van hoge kwaliteitsnormen voor elektronische technologie en infrastructuur. Als de Nederlandse overheid de veiligheid en betrouwbaarheid van elektronisch stemmen nog altijd niet kan garanderen, waarom zouden andere toepassingen dan wel veilig zijn? Hoe het ook zij, ICT - tegenwoordig vaak met cyber aangeduid - staat volop in de belangstelling. Geen wonder dat onze minister-president op dezelfde dag zowel de Global Conference on Cyber-
58
Space 2015 (GCCS2015) als de AutoRAI opende. Twee totaal verschillende evenementen, maar bij nader inzien met een onlosmakende verbindende factor. Zelfs letterlijk. Hoogwaardig-technologische, zelfrijdende auto’s bewegen zich op de openbare weg en in cyberspace. Dat kan uiteindelijk alleen veilig plaatsvinden, wanneer de netwerk- en informatiebeveiliging op orde is.
tocol Secure of HTTPS. Veelal wordt het minder veilige HTTP ingezet, hoewel er ook uitzonderingen zijn. HealtCare.gov, FTC.gov en bijvoorbeeld de CIA, die sinds 2006 het verkeer van en naar haar site versleutelt. Hoe paradoxaal het vanuit deze kant van de Atlantische oceaan wellicht mag klinken, het ‘HTTPS-Only Standard’-beleid moet burgers beschermen tegen online eavesdroppers.
De hamvraag is wie waar voor verantwoordelijk is. Nederland geeft stoer en onvoorwaardelijk aan dat het voorstander is van een open, vrij en veilig Internet. In de aanloop naar de GCCS2015 luidde de gedachte van de regering: ‘Door te investeren in internationale samenwerking tussen publieke en private partijen verbetert Nederland niet alleen de eigen digitale veiligheid, maar worden ook kansen gecreëerd voor economische groei en innovatie.’ Maar zonder duidelijke taken en verantwoordelijkheden van partijen, gecomplementeerd met een gedetailleerde marsroute voor deze beoogde co-creatie, verandert zo’n politieke verklaring nooit in een zichzelf waarmakende voorspelling.
Ondanks vage aankondigingen neemt politieke aandacht voor samenwerking in het domein digitale veiligheid toe. Met alle diametrale gevolgen van dien. Zo wil de Amerikaanse overheid medewerking van Apple, Google en Microsoft wanneer het gaat om het verkrijgen van toegang tot versleutelde informatie van hun klanten. Tegelijkertijd horen we het pleidooi van president Obama. Overheid en Silicon Valley moeten samen optrekken om de kwetsbaarheid van de informatiemaatschappij terug te dringen. Het Witte Huis zegt klip en klaar dat zij het niet alleen kan. Informatie delen is een van de belangrijkste middelen, maar vormt tegelijkertijd de grootste drempel. De president heeft het voortouw genomen en nieuwe regelgeving biedt de overheid meer ruimte voor het delen van vertrouwelijke informatie over digitale aanvallen met het bedrijfsleven. En vice versa? In Nederland was Rabobank bezorgd dat informatie die zij deelde in het Nationaal Cyber Security Center met een beroep op de Wet openbaarheid van bestuur kan worden opgevraagd door derden, waardoor de beveiligingsmaatregelen van de bank mogelijk worden verzwakt.
Digitale veiligheid begint weliswaar bij de ICT-sector, of juister gezegd, bij degenen die de informatietechniek ontwikkelen. Toch worden kleine stappen bij gebruikers vaak over het hoofd gezien. Om een dwarsstraat te noemen. Het Witte Huis komt pas nu op het idee de 1.200 openbaar toegankelijke websites van federale overheidsorganisaties te voorzien van de standaard Hypertext Transfer Pro-
summercourse
Informatie beveiliging Zorg dat uw informatiebeveiliging wél op orde is
Leer informatie-risico’s in uw organisatie herkennen en beheersen
Beveiligingseisen uit de Nederlandse en internationale wet- en regelgeving
Inzicht in de technische en niet-technische risico’s van technologieën binnen informatiebeveiliging
Herken, behandel en voorkom zelf cyberaanvallen
Hoe leiden security denken, principes en toegepaste methoden tot een veilige organisatie?
Inzicht in trends, toekomst en huidige uitdagingen op het gebied van security
Locatie: Boomeran g Beach Schevenin gen Data: 16, 17, 18, 23, 24 & 30 juni 2015 www.iir.nl/opleiding_informatiebeveiliging INFOSECURITY MAGAZINE - NR. 2 - MEI 2015
59
turnIng off encrypted traffIc InspectIon for performance?
We have a better Idea. IntroducIng the fastest fIrebox ever. ®
Encrypted traffic is exploding worldwide. That’s why WatchGuard has released two new security appliances that deliver unprecedented speed – the Firebox M400 and M500. In fact, the M500 is 61% faster than the competition with all layers of security turned on – and 149% faster for capacity-intensive HTTPS inspection.* Now you have the power to amp up network performance without sacrificing security strength. Never compromise security. Step up to the new Firebox. Contact us today at:
[email protected] or call +31 (0)70 711 20 85
Copyright © 2015 WatchGuard Technologies, Inc. All Rights Reserved. * Report TB141118, Miercom, 2014, http://bit.ly/1yBAXGV
60