LET S TALK ABOUT IT NATIONALE IT-SECURITY MONITOR FENCEWORKS EN PB7 RESEARCH LANCEREN MAGAZINE CYBERCRIME VORMT GROOTSTE RISICO VOOR ECONOMIE

infosecurity

JAARGANG 13 - MEI 2014 - WWW.INFOSECURITYMAGAZINE.NL

MAGAZINE

FENCEWORKS EN PB7 RESEARCH LANCEREN

NATIONALE IT-SECURITY MONITOR

LET’S TALK ABOUT IT CYBERCRIME VORMT GROOTSTE RISICO VOOR ECONOMIE VEILIG GASTGEBRUIK OP WIFI-NETWERKEN - TWEEDE SECURITY BOOTCAMP VAN SECURELINK INNOVATIE VRAAGT OM GOEDE BEVEILIGING - 'DATACENTERS INVESTEREN TE WEINIG IN BUITENBEVEILIGING' - INTERNET OF THINGS EIST DEGELIJKE BEVEILIGING - INFORMATIERISICO´S BIJ BEDRIJFSOVERNAMES GROTER DAN BIJ FUSIES - ‘OPZETTEN VAN BEVEILIGING IS NIET INGEWIKKELD’ - 100 GIGABIT APPLICATION DELIVERY CONTROLLERS - LEGAL LOOK

g

Colofon - Editorial

Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via [email protected]. Uitgever Jos Raaphorst 06 - 34 73 54 24 [email protected] twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 [email protected] twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel Advertentie-exploitatie Will Manusiwa 06 - 38 06 57 75 [email protected] Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 [email protected]

© 2014 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.

SecurePROTECT | Managed Security Service Met SecurePROTECT biedt SecureLink modulaire beheerdiensten aan, waaronder SIEM en Vulnerability Management. Het intelligente proces voorziet in permanente proactieve monitoring van uw infrastructuur, 24 uur per dag, 7 dagen per week, 365 dagen per jaar!

Van Go Secure naar Stay Secure! www.securelink.nl 2

Meer informatie: www.infosecuritymagazine.nl

Nieuw: de Nationale

IT-Security Monitor

Het aardige van mijn beroep is dat ik bij veel bedrijven over de vloer kom - zowel gebruikers als aanbieders. Nieuwsgierig als een journalist van nature is, mag ik mensen graag het hemd van het lijf vragen. Over het onderwerp waarvoor we bij elkaar zijn gekomen, maar ik mag ook graag uitstapjes naar andere takken van (IT-)sport maken. Daarbij valt mij steevast één ding op: hoe weinig we eigenlijk weten. Dat klinkt misschien een beetje vreemd, daarom zal ik uitleggen wat ik bedoel. Bij veel bedrijven en overheidsorganisaties werken mensen aan IT en security die vaak zeer goed opgeleid zijn, technisch van de hoed en de rand weten, en die bovendien zeer gedreven zijn om hun opdrachtgevers zo goed mogelijk van dienst te zijn. Het lastige is alleen dat zij vaak moeten werken met informatie die nog wel eens erg algemeen wil zijn. Aanbieders voorzien hen vaak van whitepapers en andere documentatie die op zich prima is, maar die zelden echt

oriënteren, maar wie echt wil weten wat een trend betekent hier in Nederland heeft meer nodig. Noem het maar: lokaal onderzoek dat - als het even kan - goed aansluit op internationaal onderzoek. FenceWorks en Pb7 Research werken inmiddels nauw samen rond de Cloud Monitor en de Dutch Datacenter Index en daar voegen we nu een nieuw onderzoek aan toe: de Nationale IT-Security Monitor. Ook nu weer werken we nauw samen met een aantal partners - in dit geval Sogeti, Fortinet, Sophos, TecHarbor, Trend Micro, TSTC en Vest - om werkelijk zicht te bie-

Hoeveel geld investeren bedrijven en overheden eigenlijk in hun security-aanpak? goed aansluit op hun eigen situatie. Onderzoeken van de bekende bureaus behandelen grote thema’s op basis van een kleine steekproef, waarbij de algemene conclusies misschien wel nuttig zijn, maar vaak toch te algemeen blijven om echt bruikbaar te zijn. En ik hoor het ook van technische professionals: mooi dat threat report, maar het is mij te algemeen. Want wat men echt wil, is precies weten wat een bedreiging nu voor hun specifieke situatie betekent. Dit lijkt mij overigens een pracht van een business model voor een adviesbureau op het gebied van security. Enkele jaren geleden besloten FenceWorks - uitgever van onder andere Infosecurity Magazine - en onderzoeksbureau Pb7 Research dat wij verdieping op de Nederlandse markt wilden gaan bieden. De internationale marktonderzoeken zijn vaak een prima startpunt voor wie zich op een bepaald thema wil

den op de Nederlandse markt. Om maar enkele onderwerpen te noemen: wat gebeurt er in ons land op het gebied van IT-security? Hoe organiseren bedrijven en overheden hun security-aanpak? Hoeveel geld investeren zij hierin? De Nationale IT-Security Monitor wordt een jaarlijks terugkerend onderzoek. Want we weten als Infosecurity Magazine als geen ander dat ontwikkelingen op het gebied van security tijd kosten. Daarom willen we in de tijd kunnen zien hoe de aanpak van Nederlandse bedrijven en overheden zich ontwikkelt. Het onderzoek is inmiddels gestart. In juni verwacht directeur Peter Vermeulen van Pb7 Research de eerste resultaten bekend te kunnen maken. Kijk voor meer info op pagina 6-7 of ga naar www.nationale-it-security-monitor.nl. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine

INFOSECURITY MAGAZINE - NR. 2 - MEI 2014

3

INHOUD

8 Cybercrime vormt grootste risico voor economie Cybercrime komt gelukkig steeds vaker bovenaan de agenda te staan van Nederlandse organisaties. Niet voor niets want zowel onze eigen minister Ivo Opstelten als Barack Obama waarschuwen dat cybercrime het grootste risico is voor onze economie. Wat moeten Nederlandse bedrijven weten om optimaal bewapend de strijd aan te gaan met cybercriminelen? Let’s talk about it is een initiatief van Trend Micro en gespecialiseerde partners en is in het leven geroepen om Nederlandse it-managers en executives van de juiste kennis te voorzien om goede beslissingen te nemen in de it-beveiliging van hun organisatie.

Meer weten over business, innovatie & IT? Lees www.BusinessEnIT.nl

11 ‘Werknemers kopiëren onethisch gedrag van ondergeschikten’ 14 Tweede Security BootCamp van SecureLink In de Rijtuigenloods in Amersfoort vond onlangs de tweede editie van Security BootCamp plaats. Dit evenement is volledig gericht op IT-security en wordt georganiseerd door SecureLink. Op deze themadag presenteren internationale en nationale security consultants hun visie op de toekomst. Het thema van deze dag was ‘Are you on the right security track?’ 17 Samsung wil met KNOX de B2B-markt veroveren 18 Innovatie vraagt om goede beveiliging De roep om innovatie is nog nooit zo luid geweest als de afgelopen tijd. Maar kunnen we onze nieuwe vindingen ook dusdanig beschermen dat andere aanbieders niet zomaar met de resultaten van onze inspanningen aan de haal kunnen gaan? Het Duitse Wibu Systems biedt hier interessante security-oplossingen voor. 24 VASCO wil groeien als identity aggregator VASCO mag dan vooral bekend zijn als ontwikkelaar en leverancier van authenticatie-tools voor banken, het bedrijf ziet ook veel kansen in sectoren als eCommerce en gaming. Hierbij is een hoofdrol weggelegd voor MyDigipass.com, een set van tools waarmee bedrijven zelf kunnen bepalen hoe zij zekerheid willen verkrijgen over de identiteit van een online-klant. 26 Internet of Things eist degelijke beveiliging De wereld raakt meer en meer verknoopt. Dat heeft veel voordelen; ook voor bedrijven die industriële automatisering toepassen. Want de analyses van gegevens leiden tot efficiëntere bedrijfsprocessen. Maar er zit ook een uitdaging aan vast: goede bescherming van die gegevens. Rockwell Automation heeft samen met Cisco een strategie ontwikkeld die de ‘connected enterprise’ in veilig vaarwater leidt. 29 ‘Amazon levert cloudserver met verouderd en kwetsbaar besturingssysteem’ 30 Ruckus Wireless helpt bedrijven veilige WiFi-diensten in te richten Ruckus Wireless lanceert de Smart Wi-Fi Access Management Service (SAMS). SAMS maakt het voor organisaties eenvoudig WiFi-diensten in te richten, te beheren en te exploiteren. Hiervoor is een gebruiksvriendelijke ‘point-and-click’ portal beschikbaar. 31 36% van SharePoint-gebruikers houdt zich niet aan het beveiligingsbeleid 34 ‘Opzetten van beveiliging is niet ingewikkeld’ Security is een zeer belangrijk thema in de ICT. Soms wordt deze discussie over beveiliging echter ingewikkelder gemaakt dan eigenlijk nodig is. Dat bleek tijdens de onlangs gehouden ‘GIS Tech 2014’. Tijdens deze conferentie demonstreerden Ernst Bostelaar en Theo Michielse, respectievelijk system architect en business consultant bij de leverancier van GIS-software Esri Nederland, een pragmatische aanpak waarmee een goede balans kan worden gevonden tussen veiligheid, functionaliteit en kosten.

Business & IT publiceert artikelen en blog posts over de relatie tussen IT, business en innovatie. Ook publiceren? Kijk op http://businessenit.nl/over-business-en-it/

37 Kroll Ontrack en Blancco bieden oplossing voor het wissen van data 38 Nederland in top-10 van landen die in Q4 2013 het meeste DDoS-aanvalsverkeer genereerden 39 Sophos verhoogt prestaties van netwerkbeveiliging 40 Schneider Electric en McAfee werken samen aan beveiliging 41 100 Gigabit Application Delivery Controllers voor cloudservices en bedrijfsnetwerken 42 Legal Look

4


6

Onderzoeksbureau Pb7 Research en FenceWorks - uitgever van onder andere AppWorks, CloudWorks, DigitaleZorg.nl en Infosecurity Magazine - lanceren de Nationale IT-Security Monitor. Doel van dit jaarlijks terugkerende onderzoek is om op structurele wijze in beeld te brengen hoe Nederlandse bedrijven en overheidsorganisaties omgaan met IT-security, governance en risicobeheer, vertelt Peter Vermeulen, directeur van Pb7 Research.

VEILIG GASTGEBRUIK OP WIFI-NETWERKEN

12

Met een technologie genaamd ‘station isolation’ maakt WatchGuard het mogelijk om veilige wifi-netwerken te bouwen. Hierbij is het mogelijk om te bepalen of de ene wireless client kan communiceren met de andere. Bij gasttoegang tot de netwerken zorgt WatchGuard er voor dat de ene wireless client de andere niet kan zien of kan bereiken, ondanks het feit dat ze beide met hetzelfde netwerk (SSID) verbinden. Maar ook de gebruiker zelf kan maatregelen nemen om veilig als gast van een ‘vreemd’ wifi-netwerk gebruik te maken.

‘DATACENTERS INVESTEREN TE WEINIG IN

BUITENBEVEILIGING’

20

Inbraken bij datacenters komen met enige regelmaat voor. Eén op de vijf datacenters heeft de afgelopen jaren te maken gehad met incidenten op het gebied van binnendringen. Vooral inbraken komen regelmatig voor. Dit kan gevolgen hebben voor de continuïteit van het datacenter, wat juist steeds meer van belang is. Datacenters besteden dan ook te weinig aandacht aan fysieke beveiliging of buitenbeveiliging. Dit blijkt uit onderzoek onder DatacenterWorks-lezers in opdracht van HERAS.

INFORMATIERISICO´S

BIJ BEDRIJFSOVERNAMES GROTER DAN BIJ FUSIES

32

De afgelopen jaren is het aantal bedrijfsovernames in Nederland bijna verdubbeld. Dat leidt onder medewerkers van overgenomen bedrijven vooral tot grote onzekerheid over baanbehoud. Bedrijven hebben echter geen idee dat hiermee ook het informatiebeheerbeleid op losse schroeven komt te staan. Uit nieuw onderzoek van informatiemanager Iron Mountain blijkt dat medewerkers van overgenomen bedrijven meer bezig zijn met hun eigen rol binnen de nieuwe organisatie, dan met het bewaken en effectief integreren van de informatie. INFOSECURITY MAGAZINE - NR. 2 - MEI 2014

5

ONDERZOEK In samenwerking met Sogeti, Fortinet, Sophos, TecHarbor, Trend Micro, TSTC en Vest

FENCEWORKS EN PB7 RESEARCH LANCEREN


Onderzoeksbureau Pb7 Research en FenceWorks - uitgever van onder andere AppWorks, CloudWorks, DigitaleZorg.nl en Infosecurity Magazine - lanceren de Nationale IT-Security Monitor. Doel van dit jaarlijks terugkerende onderzoek is om op structurele wijze in beeld te brengen hoe Nederlandse bedrijven en overheidsorganisaties omgaan met IT-security, governance en risicobeheer, vertelt Peter Vermeulen, directeur van Pb7 Research.

“Wat we samen met onze partners met de Nationale IT-Security Monitor beogen, is tweeledig”, licht Vermeulen toe. “Allereerst willen we op structurele wijze een breed jaarlijks Nederlands security-onderzoek in de markt zetten om te begrijpen wat er in de Nederlandse markt speelt. Anderzijds willen we holistisch

Nederlandse bedrijven en overheidsinstellingen momenteel mee worstelen, maar ook burgers en consumenten”, aldus Robbert Hoeffnagel, hoofdredacteur van FenceWorks. “Er wordt in ons land de afgelopen tijd enorm veel aandacht besteed aan innovatie. Zonder innovatie kan Nederland als economie maar ook niet als maatschappij succesvol zijn. Maar zonder goede IT-security heeft innoveren geen zin.”

naar IT-security en GRC (governance, risk management en compliance) kijken als noodzaak voor een gezond organisatie(veiligheids-)beleid.”

CENTRALE THEMA’S Vragen die centraal staan in de eerste editie van de Nationale IT-Security Monitor zijn onder andere:

“Daarmee richt de Nationale IT-Security Monitor zich op een van de belangrijkste problemen waar niet alleen

1. Hebben organisaties beleid geformuleerd op het gebied van Informatiebeveiliging? Hoe ziet dat eruit?

En in hoeverre is dat beleid ‘future proof’? 2. Beschikken organisaties over een security officer en/of risk manager? Wie zijn dat? En wie is formeel eindverantwoordelijk voor informatiebeveiliging? 3. Welk thema is voor bedrijven en overheden het belangrijkst: cybercrime, websecurity, trainingen, identity management, privacy, algemene dataprotectie-verordeningen of nog hele andere thema’s?

EERSTE RESULTATEN De Nationale IT-Security Monitor vindt jaarlijks plaats. Het onderzoek is reeds van start gegaan. Peter Vermeulen, directeur van onderzoeksbureau Pb7 Research, verwacht in juni de eerste resultaten van de Security Monitor te kunnen publiceren. Dit zal onder andere gebeuren bij de mediapartners van de Nationale IT-Security Monitor: AppWorks, CloudWorks, DigitaleZorg.nl en Infosecurity Magazine. Kijk voor meer informatie op www.nationale-it-security-monitor.nl.

6

4. Hoeveel budget maken organisaties vrij voor informatiebeveiliging? Welke investeringen staan boven aan de agenda? 5. Welke positie neemt informatiebeveiliging in op de begroting? ACTUELE THEMA’S De Nationale IT-Security Monitor zal allereerst bestaan uit een aantal vaste onderzoeksvragen. Hierdoor is het mogelijk om in de loop van de jaren dat we dit onderzoek uitvoeren een goede historische vergelijking te maken hoe Nederlandse bedrijven en overheidsinstellingen kijken naar bepaalde security-thema’s. Deze vaste vragen zullen vooral betrekking hebben op 1. Organisatie en beleid 2. Investeringen en groei

NATIONALE IT-SECURITY MONITOR De Nationale IT-Security Monitor is een initiatief van FenceWorks - uitgever van onder andere AppWorks, CloudWorks, DigitaleZorg.nl en Infosecurity Magazine - en Pb7 Research.

Daarnaast zal iedere jaareditie van de Nationale IT-Security Monitor een aantal actuele thema’s behandelen. Dit jaar zal de eerste editie onder andere ingaan op punten als: a. Databeveiliging (onder andere de ‘algemene dataprotectie-verordening’) b. Technische vaardigheden en training

c. Risicobeheersing (processen voor crisiscommunicatie, verzekeringen, schadeberekeningen & afwegingen) d. Cybercrime e. Cloud security/identity and access management f. Consumerization of IT Kijk voor meer informatie op www.nationale-it-security-monitor.nl.

Aan de Nationale IT-Security Monitor werken mee: • Sogeti • • • • • •

Fortinet Sophos TecHarbor Trend Micro TSTC Vest


7

LET’S TALK ABOUT IT

CYBERCRIME

VORMT GROOTSTE RISICO VOOR ECONOMIE

Cybercrime komt gelukkig steeds vaker bovenaan de agenda te staan van Nederlandse organisaties. Niet voor niets want zowel onze eigen minister Ivo Opstelten als Barack Obama waarschuwen dat cybercrime het grootste risico is voor onze economie. Wat moeten Nederlandse bedrijven weten om optimaal bewapend de strijd aan te gaan met cybercriminelen? Let’s talk about it is een initiatief van Trend Micro en gespecialiseerde partners en is in het leven geroepen om Nederlandse it-managers en executives van de juiste kennis te voorzien om goede beslissingen te nemen in de it-beveiliging van hun organisatie. We spraken met Tonny Roelofs, country manager van Trend Micro in Nederland, over dit initiatief. LEREN VAN ELKAARS FOUTEN EN BEST PRACTICES Roelofs: “We zien dat het belang van een goede beveiliging tegen cybercrime steeds duidelijk wordt, ook op c-level

niveau. Wij vinden het belangrijk dat organisaties volledig geïnformeerd zijn en zo de juiste beslissingen en maatregelen kunnen nemen. Er is tegenwoordig al lang geen standaard meer voor beveiligen. Elke organisatie moet met hulp van specialisten een uitgebreide kosten-batenanalyse kunnen maken.” Roelofs verbaast zich over het gebrek aan initiatieven om kennis te delen op dit gebied. “Er zijn zoveel organisaties die intern het gesprek voeren en minstens net zo veel organisaties die al maatregelen hebben genomen. Let’s talk about it biedt een platform waarin wij mensen uit verschil-

lende organisaties tijdens kennissessies met elkaar in gesprek laten gaan over hun ervaringen, zowel de fouten als de best practices.” ENTHOUSIASTE REACTIES Elke kennissessie heeft een specifiek onderwerp. Dit kan variëren van algemene thema’s als cybercrime, mobile security en beveiliging van de cloud tot zeer specifieke onderwerpen als beveiliging van het Rotterdamse havengebied, compliancy en cybercrime in de zorg. Er heeft inmiddels al een aantal sessies plaatsgevonden door het hele land. Roelofs: “De reacties zijn zeer positief. We merken dat mensen het prettig vinden en terugkomen met inspiratie om het gesprek over het belang van een goed security-beleid in de eigen organisatie op gang te houden.” Roelofs geeft aan dat hij de diversiteit aan onderwerpen die de revue passeren bijzonder interessant vindt. “Deelnemers kunnen vooraf input leveren en wij zorgen dat een moderator alle onderwerpen bespreekt zodat mensen inderdaad antwoord krijgen op hun security-uitdagingen.” SECURITY-UITDAGINGEN Voor de komende tijd staan er diverse interessante sessies op het programma over onder andere gerichte aanvallen (APT’s) en beveiliging van het datacenter. Nieuw zijn de kennissessies die speciaal worden georganiseerd voor één specifieke branche. “We zien dat de discussie tussen verschillende branches een hele open discussie teweeg brengt, dit is positief en zorgt ervoor dat je niet binnen hokjes blijft denken”, vertelt Roelofs. “Soms is het echter ook prettig om juist gebruik te maken van de kennis van je vakgenoten. Daarom kiezen we ervoor een breed aanbod aan sessies te organiseren, zodat organisaties zelf kunnen kiezen.”

8

DE NIEUWE EU-WETGEVING VOOR DATABESCHERMING Recentelijk deed TrendLabs, het onderzoeksbureau van Trend Micro, onderzoek naar de implementatie van de wettelijke verplichtingen waaraan organisaties moeten voldoen volgens de nieuwe EU-wetgeving voor databescherming. “De resultaten zijn verontrustend”, stelt Roelofs. “Zestig procent van de organisaties weet niet welke stappen er genomen moeten worden om te voldoen aan deze wet en dat terwijl er forse boetes tot wel vijf procent van de omzet tegenover staan.” Tijdens een van de kennissessies die na de zomer zal plaatsvinden staat dit vraagstuk centraal. DE ZORG STAAT VOOR EEN ZWARE TAAK In de zorg is it inmiddels onmisbaar, helaas heeft security vaak tijdens de implementatie niet alle aandacht gehad of zijn bestaande maatregelen niet voldoende. Juist om deze reden organiseert Trend Micro op 26 juni een speciale kennissessie voor it-managers in de zorg. Bijna dagelijks komt er wel een zorginstelling in het nieuws omdat geautomatiseerde systemen zijn gehackt en patiëntgegevens op straat liggen of omdat it-systemen één of meerdere dagen niet hebben ge-

functioneerd. Roelofs: “Het is helaas een vaststaand feit dat de impact van deze incidenten toeneemt. Het gevolg daarvan is niet alleen dat het heel erg veel geld kost om gaten te dichten, maar ook dat de reputatie van de zorginstelling zwaar in het geding komt.” Tijdens deze kennissessie zullen ook partijen aanwezig zijn die al diverse maatregelen hebben genomen om hun kennis en ervaringen te delen. “Ondanks dat organisaties in de zorg veel dezelfde uitdagingen hebben vanwege wettelijke verplichtingen, is de sector heel divers. Ons doel is om organisaties te voorzien van de juiste handvatten om goede beslissingen te nemen.” MEDIA EN JOURNALISTEN GEWILD DOELWIT CYBERCRIME In de media zelf is er veel aandacht voor cybercriminaliteit. Maar hoe zit het bij media-concerns zelf? “Uit onderzoek van Google blijkt dat eenentwintig van de vijfentwintig grootste nieuwsorganisaties wereldwijd al eens doelwit zijn geweest van hackers. Ook bleken journalisten helaas oververtegenwoordigd in een wereldwijd onderzoek naar slachtoffers van cyberaanvallen”, vertelt Roelofs. “Tijdens de kennissessie beantwoorden we vragen als hoe moet je omgaan met deze bedreigingen en wat zijn de prioriteiten.”

LET’S TALK ABOUT IT - FACTS Wat? Let’s talk about it, een initiatief van Trend Micro en gespecialiseerde partners, dat kennissessies organiseert om kennis te delen over security. Doel is organisaties handvatten te geven voor een goed beveiligingsbeleid. Waar en wanneer? De sessies van Let’s talk about it vinden op verschillende dagen door het hele land plaats. De hele agenda is te bekijken op letstalkabout-it.nl/agenda Deelnemen? Verschillende Nederlandse banken, bekende retailconcerns, overheden en andere organisaties gingen u al voor. Gratis inschrijven kan op letstalkabout-it.nl

tuigd dat we door deze kennissessies in ieder geval op een positieve manier kunnen helpen bij het uitwisselen van informatie en de digitale wereld een stukje veiliger kunnen maken. We nodigen iedereen dan ook uit om hieraan mee te doen.”

INSCHRIJVEN VOOR GRATIS KENNISSESSIES Roelofs: “Inschrijven voor alle kennissessies is uiteraard helemaal gratis. Meer informatie kunnen geïnteresseerden vinden op de website van Let’s talk about it: letstalkabout-it.nl. We zijn ervan over-

TREND MICRO INTRODUCEERT

HEARTBLEED DETECTOR APP Uit onderzoek van TrendLabs, het onderzoeksbureau van Trend Micro, blijkt dat populaire mobiele apps kwetsbaar zijn voor de Heartbleed-bug. Al na het eerste onderzoek vonden de onderzoekers 7.000 geïnfecteerde apps, waarvan 6.000 apps nog steeds geïnfecteerd zijn. Dit is één van de belangrijkste redenen dat Trend Micro een gratis Android-app introduceert om gebruikers te bescher-

men tegen Heartbleed: de Trend Micro Heartbleed Detector. Functionaliteiten van Trend Micro Heartbleed Detector: • De app controleert of de versie van OpenSSL die wordt gebruikt in de Android-versie van het apparaat, kwetsbaar is; • De app controleert alle OpenSSL’s die geïntegreerd zijn in de geïnstal-

•

leerde apps; Trend Micro Heartbleed Detector controleert of geïnstalleerde apps communiceren met niet-gepatchte (en dus kwetsbare) servers.

De Trend Micro Heartbleed Detector is vanaf nu gratis te downloaden in de Google Play Store.


9

LET’S TALK ABOUT IT

WINDOWS XP EN CYBERCRIME:

HET EIND IS SLECHTS HET BEGIN

TIJD VOOR ACTIE! De gebeurtenissen rondom het eerdere end of support van Java 6 door Oracle geven ons een prima indicatie van wat ons te wachten staat: een toenemend aantal cyberaanvallen die de kwetsbaarheden van Java gebruiken om binnen te komen. Het is dan ook van groot belang over te stappen naar een nieuw Windows-besturingssysteem, omdat nieuwe versies een betere beveiligingsarchitectuur hebben en belangrijker nog, steeds up-to-date worden gehouden. Toch is het overstappen op een nieuwere versie voor sommige organisaties een enorme uitdaging. Switchen is namelijk lastig vanwege hun legacy-systeem en applicaties, met name in complexe omgevingen.

Het nieuws dat Microsoft stopt met de ondersteuning van Windows XP is inmiddels breed uitgemeten in de media. De één spreekt van een Xpocalyps, de ander geeft aan dat het een kwestie is van de

deur open laten staan en niet weten of er een inbreker binnenkomt. Inmiddels weten we al wel dat de overheid 3 miljoen heeft betaald aan Microsoft om de ondersteuning te verlengen.

TREND MICRO BESCHERMING TOT 30 JANUARI 2017 Om er toch voor te zorgen dat ook de organisaties die nog niet zijn overgestapt beschermd blijven, blijft Trend Micro Windows XP ondersteunen tot 30 januari 2017. Dat doen ze bijvoorbeeld door Deep Security, dat modules bevat die constant beschermen tegen diverse kwetsbaarheden. Als er nieuwe kwetsbaarheden worden ontdekt, dan voegt Trend Micro die hier automatisch aan toe. Daarnaast kunnen XP-gebruikers scan engine-, signature- en product-updates verwachten. Tonny Roelofs, country manager van Trend Micro: “Dat Microsoft stopt betekent niet dat cybercriminelen ook stoppen. Zij zullen zich blijven richten op XP en wij vinden het dan ook onze plicht om XP te blijven ondersteunen en ook die klanten te beschermen tegen malware en kwetsbaarheden. Zelfs als Microsoft dat zelf niet meer doet.”

10

DOOR SANNE PONSIOEN

ONDERZOEK

‘Werknemers kopiëren onethisch gedrag

van ondergeschikten’

Medewerkers in een organisatie kopiëren onethisch gedrag eerder van ondergeschikten dan van leidinggevenden. Ze zijn daarnaast geneigd om ‘goed’ gedrag juist over te nemen van medewerkers met een hogere status. Dat blijkt uit het proefschrift van Sanne Ponsioen. Zij promoveerde op 17 april aan de Rijksuniversiteit Groningen.

Sanne Ponsioen stelt verder vast dat de neiging om immoreel gedrag van anderen na te bootsen een kwestie van persoonlijkheid is: “Aangezien je die eigenschap in assessments kunt meten, zou dat aspect meer aandacht kunnen krijgen bij het aannemen van nieuw personeel.” Onethisch gedrag, gemakshalve samengevat onder de noemer ‘fraude’, is van alle tijden. Het gaat in dit onderzoek om illegaal en moreel onacceptabel gedrag zoals diefstal, liegen en bedriegen. Uit onderzoek blijkt dat bedrijven jaarlijks vijf procent van hun inkomsten verliezen aan fraude. Het komt ook voor dat bedrog wordt gepleegd in het belang van het bedrijf, zoals bij het Enron-schandaal, waar medewerkers samenspanden om hun klanten op te lichten. STATUS Ponsioen vindt de manier waarop slecht gedrag gekopieerd wordt erg opvallend. “Je zou verwachten dat een werknemer zegt: ‘Als de baas het mag, mag ik het ook’, maar onethisch gedrag wordt eerder afgekeken van collega’s met een lagere status. Het onethische gedrag begint vaak klein, maar kan zich dan binnen een

organisatie als een olievlek verspreiden. Uit een van mijn studies blijkt dat mensen goed gedrag daarentegen graag nabootsen van mensen met een hogere status. Het is dus heel belangrijk dat leidinggevenden het goede voorbeeld geven.” KARAKTER Ponsioen deed haar onderzoek aan de hand van vragenlijsten, case studies en psychologische experimenten. Volgens haar hangt de neiging om fraude te plegen in de eerste plaats samen met het karakter van de medewerker. “Mensen die heel goed in staat zijn om hun gedrag te rationaliseren, die hun gedrag gemakkelijk kunnen goedpraten, zijn er duidelijk vatbaarder voor. Aangezien je die eigenschap in assessments kunt testen, zou je daarop kunnen selecteren aan de poort.” VERBONDENHEID Een andere factor is de mate waarin me-

dewerkers zich verbonden voelen met hun bedrijf. Wie die verbondenheid niet voelt, steelt makkelijker van de baas. Overigens kan wie zich wél met het bedrijf identificeert in de verleiding komen om in naam van het bedrijf te liegen en te bedriegen. Ponsioen: “Onethisch gedrag hoeft zich niet meteen tegen de organisatie te keren, maar het blijft onethisch.” Sanne Ponsioen (Groningen, 1984) studeerde International Business & Management en Human Resource Management aan de Rijksuniversiteit Groningen. Zij verrichtte haar promotieonderzoek bij de vakgroep HRM & OB van de Faculteit Economie en Bedrijfskunde. De titel van haar proefschrift is: ‘Contagious business: when we copy unethical behavior’. Promotor is prof.dr. H.B.M. Molleman en co-promotor dr. L.B. Mulder. Ponsioen is momenteel werkzaam als coördinator van de Graduate School BSS en docent aan de RUG.


11

DOOR ETIËNNE VAN DER WOUDE

WATCHGUARD WERKT MET ‘STATION ISOLATION’

VEILIG

GASTGEBRUIK

OP WIFI-NETWERKEN Met een technologie genaamd ‘station isolation’ maakt WatchGuard het mogelijk om veilige wifi-netwerken te bouwen. Hierbij is het mogelijk om te bepalen of de ene wireless client kan communiceren met de andere. Bij gasttoegang tot de netwerken zorgt WatchGuard er voor dat de ene wireless client de andere niet kan zien of kan bereiken, ondanks het feit dat ze beide met hetzelfde netwerk (SSID) verbinden. Maar ook de gebruiker zelf kan maatregelen nemen om veilig als gast van een ‘vreemd’ wifi-netwerk gebruik te maken. De ene wifi-gast wordt op deze manier dus beschermd tegen andere draadloze clients. Of beter gezegd: iedere client geïsoleerd van de andere gebruikers van het draadloze netwerk. Dit betekent dat een client die eventueel geïnfecteerd is met malware of virussen geen schade kan aanrichten. Ook eventuele onbevoegde gebruikers die in het draad-

loze netwerk willen rondkijken, kunnen niet bij de andere clients komen die in het netwerk zijn opgenomen. VLAN’S Deze technologie is standaard ingebouwd in de WatchGuard XTM firewall-producten. Het bedrijf maakt hierbij gebruik van VLAN’s ofwel virtuele lo-

kale netwerken. Al het verkeer van een WatchGuard Access Point wordt gecontroleerd door de WatchGuard XTM Firewall. Daarbij kunnen policies worden toegepast die de gebruiksvoorwaarden en bijvoorbeeld security-eisen ondersteunen of handhaven. Zo kunnen er intra-VLAN policies worden gedefinieerd waardoor een wifi-gast aan de ene kant van een gebouw niet kan meelezen wat een wifi-gast doet die verbonden is met een access point aan de andere kant van het gebouw - ook niet als beide gebruikmaken van hetzelfde gast-SSID. De ene gebruiker kan dus ook geen gegevens achterhalen op een ander device, omdat de devices elkaar niet kunnen bereiken. BANDBREEDTE-MANAGEMENT Om de beschikbaarheid van het draadloze netwerk te kunnen garanderen, is

De WatchGuard XTM firewall heeft standaard ‘station isolation’-functionaliteit aan boord.

het bovendien mogelijk om de maximale bandbreedte per gebruiker te beperken en is het mogelijk om ervoor te zorgen dat alle gebruikers samen niet meer dan bijvoorbeeld dertig procent van de beschikbare internet-capaciteit consumeren. Ook is het mogelijk dat het verkeer van ongeveer tweeduizend internet-applicaties tot een maximale bandbreedte wordt beperkt. Op die manier kan bijvoorbeeld worden ingesteld dat al het Youtube-verkeer van alle gastgebruikers in totaal niet boven een bepaalde limiet gaat. WAT KAN DE GEBRUIKER ZELF DOEN? Een goed startpunt is dat een gebruiker er vanuit gaat dat het wifi-netwerk waarmee hij wil werken per definitie onveilig is. Het is immers ondoenlijk om eerst te controleren of het netwerk wél veilig is. Dus moeten we het als onveilig beschouwen. Daarom is het altijd beter een Virtual Private Network (VPN) tunnel op te bouwen. Zo’n tunnel zorgt ervoor dat zijn device - mits goed geconfigureerd - niet meer rechtstreeks te benaderen is en al het web-verkeer en alle data van en naar andere applicaties eerst versleuteld wordt voordat het wordt verstuurd naar een goed beveiligd en dus vertrouwd punt. VPN PHONE HOME WatchGuard heeft voor deze toepassing onlangs een Firebox T10 geïntroduceerd. Dit is in feite een combinatie van een firewall en een VPN-server. Dankzij de ingebouwde VPN-mogelijkheden voor Windows, Mac OS/X, Android en iOS is het mogelijk om al het verkeer van de

12

gebruiker te ‘tunnelen’ naar de VPN-server. Afgezien van het feit dat al het dataverkeer daarmee is versleuteld, kan de gebruiker bovendien zijn security-niveau zelf bepalen. In de praktijk betekent dit dat de gebruiker ‘virtueel’ op internet kan via een internet provider waarvan de reputatie gecontroleerd kan worden. Bovendien beschikt dit model over alle security features van haar grotere broertjes die ook door bedrijven gebruikt wordt die regelmatig bewust het doelwit zijn van professionele cybercriminelen. Bijkomend voordeel van deze ‘phone home’ voor de thuiswerker: onder normale omstandigheden kan een eventuele werkgever ook niet zien wat de gebruiker op internet doet. VPN NAAR HET BEDRIJF Bij internet-security blijft het altijd een uitdaging om een balans te vinden tussen het risico, de vrijheid van handelen en de kosten. Als de gebruiker thuis (nog) geen VPN-server heeft, dan is in sommige gevallen een andere voor de hand liggende keuze om juist een tunnel op te bouwen naar de VPN-server van bijvoorbeeld de werkgever, als deze dat tenminste toestaat. In de meeste gevallen mogen we er immers van uitgaan dat op security-gebied

een werkgever beter te vertrouwen is dan iemand met kwade bedoelingen op hetzelfde wifi-netwerk. Daarbij moeten we er dan wel van uit kunnen gaan dat de werkgever onderwerpen als privacybescherming serieus neemt. Door op deze manier met VPN te werken, is de gebruiker er in ieder geval van verzekerd dat zijn device zelf niet rechtstreeks aangevallen kan worden, omdat hij dan beschermd wordt door de firewall van het bedrijf - zelfs als we als gebruiker onderweg zijn. ‘ONAFHANKELIJKE’ DERDE PARTIJ Zijn beide opties niet beschikbaar, dan zou de gebruiker kunnen overwegen om gebruik te maken van een openbare VPN-aanbieder. Er zijn betaalde en gratis varianten genoeg, de vraag is alleen of deze hun security wel goed op orde hebben en of deze wel te vertrouwen zijn. Als alle geboden opties geen alternatief bieden dan is het natuurlijk ook nog mogelijk om te werken met de 3/4G verbinding van de mobiele operator, voor zover het signaal dit toelaat en eventuele kosten geen bezwaar zijn. Etiënne van der Woude is regional sales manager Benelux bij WatchGuard

Dit betekent dat een client die eventueel geïnfecteerd is met malware of virussen geen schade kan aanrichten INFOSECURITY MAGAZINE - NR. 2 - MEI 2014

13

TWEEDE SECURITY BOOTCAMP VAN SECURELINK

TOEKOMSTVISIES

OP EEN VEILIGE EN VITALE CYBERSAMENLEVING In de Rijtuigenloods in Amersfoort vond onlangs de tweede editie van Security BootCamp plaats. Dit evenement is volledig gericht op IT-security en wordt georganiseerd door SecureLink. Op deze themadag presenteren internationale en nationale security consultants hun visie op de toekomst. Het thema van deze dag was ‘Are you on the right security track?’

Greg Day, CTO van FireEye, beet de spits af met de eerste plenaire sessie. FireEye is onlangs als oplossing toegevoegd aan het portfolio van SecureLink. Met de overname van Mandiant richt FireEye zich nu ook op moderne vormen van malware-detectie, ‘signature-less’ detectie en het beveiligingen tegen zero-day aanvallen. Wil van Gemert is directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Hier is hij verantwoordelijk voor de vormgeving van het Nationaal Cyber Security Centrum. Tijdens Security BootCamp vertelde hij over een veilige en vitale cyber samenleving en ging hij in op de cyber security-strategie van de overheid. Van Gemert gaat per 1 mei bij Europol leiding geven aan het Operations Department. ‘MOMENTEN VAN DE WAARHEID’ Onder leiding van Herbert Blankesteijn, journalist bij BNR, discussieerden Brenno de Winter, Eric van Sommeren, Wil van Gemert en Peter Mesker over verschillende security-stellingen. De Winter gaf met de stelling ‘het cyber security-beleid van de overheid stimuleert cybercriminaliteit’ een flinke impuls aan de discussie. Van Gemert ging in op het zogenaamde ‘Security IQ’ van bedrijven en overheden. Dit sloot aan bij de stelling van Peter Mesker - ‘Security is altijd een proces’. Anders gezegd: er dient eerst een goede security-architectuur te zijn, voordat er naar de tools gekeken kan worden.

sprekers en klanten verzorgden interessante en inhoudelijke sessies. Met onder andere een hacking workshop, onderwerpen als datacenter security, BYOD en datalekken werd het middagprogramma gevuld. Ook de managed security services-dienst SecurePROTECT werd in een sessie gepresenteerd. VENDOR-PLEIN Op het demo-perron konden de verschil-

lende partners van SecureLink door middel van een ‘Pecha Kucha’-presentatie hun oplossingen pitchen. Dit zijn presentaties die bestaan uit twintig slides, die ieder twintig seconden getoond worden. Hierdoor waren de deelnemers in staat meerdere presentaties bij te wonen. Peter Mesker, CTO van SecureLink, wierp vorig jaar een blik in de toekomst. Dit jaar keek hij in zijn presentatie ‘Back

to History’ terug naar de ontwikkelingen op het gebied van networking en security. Communicatie was vroeger persoonlijk en beperkt qua geografische schaal. Er werd informatie op de achterkant van een sigarendoos geschreven en er was van datalekken geen sprake. Dat is nu wel anders. Mesker stond stil bij de ontwikkelingen op netwerkinfrastructuur gebied en bijbehorende security componenten. Hij eindigde zijn betoog met de ambitie

PARALLEL-SESSIES Na de lunch, die gesponsord werd door Palo Alto Networks, gingen de deelnemers uiteen in de verschillende parallelsessies. Security consultants van SecureLink en SecureLabs, maar ook externe 14


15

TWEEDE SECURITY BOOTCAMP VAN SECURELINK ‘BEHOEFTE AAN MANAGED SECURITY SERVICES GROEIT STERK’ Tijdens de Security BootCamp heeft SecureLink onderzoek gedaan naar de behoefte aan Managed Security Services. Zeventig procent van de deelnemers - veelal vertegenwoordigers van Top 1000-organisaties - gaf aan dat in de toekomst binnen de organisatie de behoefte aan Managed Security Services zal groeien. Als reden wordt de toenemende mate van complexiteit rondom het beheer van IT-security aangegeven, evenals de sterke groei van het aantal oplossingen binnen de markt. SECUREPROTECT Onder de naam ‘SecurePROTECT’ heeft bootcamp-organisator SecureLink zelf ook een Managed Security Service ontwikkeld. Deze service biedt onder andere monitoring, release management, vulnerability management en back-up beheer. Ruim vijftig organisaties in de Benelux maken gebruik van deze dienstverlening.

“dat wij samen de verantwoording nemen voor goede data-integriteit, communicatie en hoge toegevoegde waarde.” ‘SHIFT HAPPENS’ De dag werd afgesloten met een enerverende presentatie van Ruud Veltenaar,

bekend als filosoof en inspirator. Met de stelling ‘van welvaart naar welzijn’ riep hij op tot verwondering. Met voorbeelden van nieuwe technieken en ontwikkelingen werd duidelijk dat de wereld niet stilstaat.

“De ontwikkelingen zorgen in vrijwel iedere organisatie voor een fundamentele verandering. Van een over het algemeen statische en reactieve aanpak, naar een preventieve en continue bescherming om een incident te voorkomen. SecurePROTECT ondersteunt organisaties in deze vraag naar expertise en biedt een continue modulaire dienst”, aldus Peter Mesker, CTO van SecureLink. SPECIALISTISCHE KENNIS “Het inzetten van de SecurePROTECT-dienstverlening betekent concreet ontzorging in de dagelijkse gang van zaken rondom IT security beheer. Specialistische kennis en flexibiliteit bij het uitvoeren van technische en functionele aanpassingen zijn hierbij te allen tijde beschikbaar”, vertelt Marco Barkmeijer, CEO van SecureLink. Met de snelle ontwikkelingen op het gebied van IT security wordt het belang van specialistische kennis steeds groter. Hierdoor kan de organisatie zich focussen op de core business en de bijbehorende processen.

16

MARKT

Samsung wil met

KNOX de B2B-markt veroveren Dat Samsung zich meer en meer wil richten op de zakelijke markt begint nu concretere vormen aan te nemen. Met de introductie van KNOX, een beveiligingsoplossing waarmee medewerkers hun privétoestellen veilig op het werk kunnen gebruiken, verwacht Samsung antwoord te geven op de beveiligingsuitdaging die BYOD met zich meebrengt. ANDROID Samsung steekt haar ambities niet onder stoelen of banken. In 2020 moet de omzet wereldwijd zijn verdubbeld van 200 miljard US dollar naar 400 miljard US dollar. Dit moet mede gerealiseerd worden door een verdere groei in de zakelijke markt. Deze markt blijft achter vanwege het lage vertrouwen in Android, dat zich kenmerkt door vele beveiligingsproblemen. Volgens een rapport van McAfee werden er tot aan het einde van het derde kwartaal in 2013 maar liefst 172 miljoen varianten van malware gevonden. Android neemt daarvan ongeveer 98% voor z’n rekening. KNOX Het is dan ook niet vreemd dat de beveiliging eerst op orde moet zijn alvorens bedrijven Android-toestellen gaan omarmen in een zakelijke omgeving. Met Samsung KNOX worden op een smartphone of tablet zakelijke applicaties en gegevens gescheiden van privétoepassingen en -data. De zakelijke applicaties worden daarvoor in een container of ‘kluis’ geplaatst. Binnen deze container gelden strikte beveiligingsregels voor

het gebruik van applicaties en de opslag van gegevens. Toepassingen die buiten de container staan, hebben beperkte of geen toegang tot de data die in de container staan. Dit is afhankelijk van de gekozen instellingen. Alle gegevens die binnen de container worden opgeslagen, zijn beveiligd tegen malware en phishingaanvallen. Ook als de smartphone of tablet gestolen is, kunnen hackers niet bij de data. BYOD Mits goed geïmplementeerd, kan BYOD leiden tot aanzienlijke kostenbesparing en productiviteitverhoging. Zo blijkt uit een onderzoek dat Samsung in 2013 heeft laten uitvoeren dat bij invoering van BYOD de communicatiekosten voor organisaties jaarlijks gemiddeld 17% dalen. Dat komt overeen met bijna 7 miljoen euro per organisatie. Bij meer dan 37% van de Nederlandse respondenten verbeterde bovendien de productiviteit op de werkvloer na de invoering van het BYOD-beleid.

Volgens Erik Swart, Director B2B bij Samsung Electronics Benelux, toont het onderzoek aan dat organisaties veel voordeel kunnen behalen uit BYOD. Maar BYOD brengt ook beveiligingsrisico’s met zich mee. CIO’s moeten beleid formuleren dat de risico’s van datalekken minimaliseert en tegelijk duidelijkheid biedt voor de werknemers. VERDIENMODEL Naast een initiële groei in de verkoop van mobiele devices in de zakelijke markt, verwacht Samsung meer omzet te gaan realiseren met de licentieverkoop van KNOX en bijbehorende softwaresupport. Zo gaat KNOX 2,88 euro per maand (exclusief BTW), per gebruiker kosten. Het is nog even wachten op de eerste reacties van de organisaties die deze oplossing aan het testen zijn, maar het FIPS 140-2 certificaat is al binnen. Daarnaast is het met een marktaandeel van 35% wereldwijd op de smartphone-markt een kwestie van tijd voordat Samsung ook leidend gaat worden in de zakelijke markt.


17

DOOR ROBBERT HOEFFNAGEL

INTELLECTUEEL EIGENDOM Wibu Systems beschermt programmacode maar bijvoorbeeld ook machine-instelling

INNOVATIE

VRAAGT OM GOEDE BEVEILIGING De roep om innovatie is nog nooit zo luid geweest als de afgelopen tijd. Maar kunnen we onze nieuwe vindingen ook dusdanig beschermen dat andere aanbieders niet zomaar met de resultaten van onze inspanningen aan de haal kunnen gaan? Het Duitse Wibu Systems biedt hier interessante security-oplossingen voor. Het is zeker niet alleen de IT-sector die met een beveiligingsprobleem zit. Hetzelfde geldt voor de industrie. Ook hier ziet men zich geconfronteerd met een enorm security-probleem. Bedrijven ontwikkelen de ene geavanceerde machine en installatie na de andere, maar ontdekken al gauw dat concurrenten in sommige landen het niet zo nauw nemen met de

vraag van wie die moderne technologie eigenlijk is. Men kopieert alles wat los en vast zit en duikt vervolgens zwaar onder de (Westerse) prijs. Uit een onlangs verschenen rapport van de VDMA (Verband Deutscher Maschinen- und Anlagenbau) blijkt dat meer dan 70 procent van de Duitse fabrikan-

ten van machines en installaties te maken heeft gehad met piraterij en diefstal van intellectueel eigendom. De schade bedraagt volgens de VDMA zo’n acht miljard euro per jaar. Wibu Systems ontwikkelt security-oplossingen die inspelen op dit probleem: hoe bescherm ik de innovatieve machines die ik lever aan landen waar men zich aan de bescherming van intellectuele eigendomsrechten weinig gelegen laat liggen? MODULAIR De software die Wibu Systems ontwikkelt kan voor een breed scala van security-problemen worden ingezet. Zo is het mogelijk om bijvoorbeeld de instellingen

van een machine softwarematig te vergrendelen. Hierdoor kan het bedienend personeel geen wijzigingen aanbrengen en verloopt de productie zowel in kwaliteit als kwantiteit exact zoals dit is ingesteld. Ook biedt het bedrijf oplossingen voor het beschermen van de programmatuur die als machinebesturing dient. Door een groot aantal security-maatregelen reeds in de broncode en de structuur van de programmacode op te nemen, kan voorkomen worden dat de complete broncode of gecompileerde software uitgelezen en gekopieerd kan worden. Dit kan bijvoorbeeld door de software modulair op te bouwen en iedere module te versleutelen. Pas op het moment dat een bepaald stuk van de software daadwerkelijk in actie moet komen, wordt deze module geladen en leesbaar gemaakt, terwijl de rest van de modules versleuteld blijft. De sleutel die nodig is voor de decryptie kan op tal van manieren worden gebruikt - zowel softwarematig als hardwarematig. Tijdens de onlangs gehouden Hannover Messe-beurs in Duitsland toonde Wibu Systems interessante voorbeelden van de mogelijkheden van zijn security-technologie. Neem het voorbeeld van ZSK Stichmaschinen. Een borduurmachine van deze firma stond tijdens de beurs opgesteld op de stand van Wibu. Het leek in eerste instantie een gimmick, aangezien de machine gebruikt werd om baseball-petjes te voorzien van een geborduurd Wibu-logo. Maar er bleek ook een serieus verhaal aan deze machine vast te zitten. TEXTIELBEDRIJVEN ZSK is een typisch voorbeeld van een Duits bedrijf dat aanzienlijke aantal machines exporteert. Vaak gaan deze machines naar landen als China of India, waar lokale textielbedrijven de systemen gebruiken om kleding van bijvoorbeeld logo’s te voorzien. Dat gebeurt tegen zeer lage prijzen, waardoor het voor Westerse bedrijven erg interessant is om dit soort werk uit te besteden aan dergelijke firma’s. Totdat zij er achter komen dat er iets fout gaat. In het verleden ontdekten bedrijven als Nike dat er al snel nadat zij een order hadden geplaatst voor de productie van zeg - 100.000 poloshirts met een bepaald logo er grijze import ontstond. Vergelijkbare kwaliteit product, maar tegen een veel lagere prijs. Op hun beurt kwamen

18

bedrijven als ZSK tot de ontdekking dat hun productiemachines nagebouwd werden. Wibu Systems ontwikkelt software waarmee beide problemen kunnen worden tegengegaan. EMBEDDED SOFTWARE Hoe zit dat? Allereerst het probleem van ZSK en collega-machinebouwers. Productiemachines bestaan veelal uit twee delen: de machine zelf en de programmatuur die zorgt voor het aansturen van het systeem. Machines laten zich in zoverre kopiëren dat een ingenieur met verstand van zaken de werking van een installatie veelal wel kan achterhalen. De uitdaging zit ‘m veel eerder in de kwaliteit van de machine. Duitse componenten zijn vaak door veel R&D van zeer hoge kwaliteit waardoor de machine zeer robuust en zeer nauwkeurig is. Chinese firma’s kunnen het ontwerp vaak grotendeels kopiëren, maar beschikken niet over de kennis en kunde om dezelfde componentkwaliteit te halen. Het gevolg is een vergelijkbare functionaliteit maar met beduidend slechtere kwaliteit. Een machine van bijvoorbeeld ZSK onderscheidt zich van concurrenten door de intelligentie die softwarematig wordt ingebouwd. Die software mag dus onder geen beding gekopieerd kunnen worden. Wibu Systems levert tools waarmee machinebouwers de software die zij in hun apparatuur opnemen, zwaar kunnen beveiligen tegen misbruik, diefstal of wijziging. Broncode, gecompileerde code, toegang tot de code - het kan allemaal afgeschermd en gereguleerd worden, zodat de machinebouwer zonder angst voor diefstal van zijn intellectueel eigendom systemen kan exporteren. GRIJZE IMPORT Maar dan de situatie van het bedrijf dat in China poloshirts van een logo laat voor-

zien. Hoe gaat die nu voorkomen dat zijn toeleverancier in staat is illegaal te produceren voor de grijze import? Ook daarvoor levert een aanbieder als Wibu een oplossing. Die bestaat uit een softwarematige omgeving waarin alles wat met die order te maken heeft, kan worden vastgelegd en kan worden afgeschermd van onbevoegden. Neem het logo. Dat kan versleuteld worden verstuurd naar een borduurmachine als die van ZSK. De Chinese toeleverancier kan hier verder niet bijkomen. Ook de afgesproken productieaantallen kunnen via ‘keys’ (opgenomen in hardware- dan wel softwarematige ‘tokens’) worden ingesteld. Deze keys kunnen rechtstreeks vanuit het ERPof CRM-systeem van de opdrachtgever worden verstuurd naar een machine als die van ZSK. In feite worden hiermee geheel afgegrendelde gebruiksrechten toegekend. Dit kan zeer fijnmazig. Bijvoorbeeld door in te stellen dat toeleveringsbedrijven per dag 8 uur met de ZSK-machine producten tot een maximum van een instelbaar aantal logo’s en poloshirts kunnen produceren. Het is voor deze toeleverancier daarmee dus niet mogelijk om na de ‘runs’ die worden uitgevoerd voor de opdrachtgever in de avonduren de borduurmachine nogmaals aan te zetten om voor de grijze import te produceren. De ZSK-machine zal simpelweg bij iedere poging tot starten van de bewerking in de softwarematige omgeving van Wibu controleren of inderdaad geproduceerd kan worden, op welke tijdstippen, in welke aantallen, met welke logo’s en dergelijke. Hiermee is het dus mogelijk om af te dwingen dat de toeleverancier enkel en alleen de in de order opgegeven aantallen kan produceren. De toeleverancier kan de orderinformatie dus zelf niet aanpassen.


19

DOOR WOUTER HOEFFNAGEL

ONDERZOEK PB7

‘Datacenters investeren

te weinig in

buitenbeveiliging’ Inbraken bij datacenters komen met enige regelmaat voor. Eén op de vijf datacenters heeft de afgelopen jaren te maken gehad met incidenten op het gebied van binnendringen. Vooral inbraken komen regelmatig voor. Dit kan gevolgen hebben voor de continuïteit van het datacenter, wat juist steeds meer van belang is. Datacenters besteden dan ook te weinig aandacht aan fysieke beveiliging of buitenbeveiliging. Dit blijkt uit onderzoek onder DatacenterWorks-lezers in opdracht van HERAS. “Door de snel toenemende digitalisering van bedrijfsprocessen worden organisaties steeds afhankelijker van de continuïteit van het datacenter. Hoewel de veiligheid aan de buitenkant begint, blijken nog lang niet alle datacenters daar de aandacht aan te geven die het verdient”, legt Peter Vermeulen, directeur van Pb7 Research uit. Het onderzoek is in februari 2014 via een online survey uitgevoerd door Pb7 Research. Het analistenbureau ondervroeg in totaal 90 lezers van Data-

centerWorks, die allen datacenterbeslissers zijn. RISICO VAN INDRINGERS Het feit dat datacenters maar relatief weinig oog hebben voor databeveiliging is opvallend, want datacenterbeslissers blijken zich wel bewust te zijn van de risico’s die binnendringen met zich mee kan brengen. Zo geeft 79 procent van de datacenterbeslissers aan bang te zijn voor verstoringen van bedrijfsprocessen.

Deze verstoringen kunnen de omzet van bedrijven flink onder druk zetten. Diefstal van gevoelige gegevens is voor 60 procent van de datacenterbeslissers een grote bron van zorgen. Het uitlekken van gevoelige gegevens kan immers ernstige schade toebrengen aan de reputatie van bedrijven, datacenters en hun klanten. Schade aan apparatuur is voor 41 procent een zorgenkind. Beschadigde apparatuur kan grote gevolgen hebben voor de continuïteit van het datacenter, wat noodzakelijk is om de dienstverlening aan klanten en werknemers op peil te houden. INCIDENTEN 20 procent van alle datacenters heeft de afgelopen vijf jaar daadwerkelijk te maken gehad met incidenten op het gebied van binnendringen. Inbraak komt veruit het meeste voor. 14 procent van alle datacenters heeft in de afgelopen jaren met inbraak te maken gehad. Het gaat hierbij zowel om succesvolle als niet succesvolle inbraken. Ook andere incidenten komen echter voor bij datacenters. 3 procent van de datacenterbeslissers geeft aan in de afgelopen vijf jaar geconfronteerd te zijn met (poging tot) sabotage of vernieling. (Poging tot) brandstichting en (poging tot) diefstal komen minder vaak voor. Beide incidenten zijn in de afgelopen vijf jaar bij 1 procent van de datacenters voorgekomen.

Figuur 1: definitie buitenbeveiliging Maar liefst 77% van de datacenterbeslissers vindt dat buitenbeveiliging uit een totaalaanpak van afschrikken, detecteren, vertragen, actie ondernemen en toegang verlenen bestaat.

20

WAT IS BUITENBEVEILIGING? Maar wat is buitenbeveiliging nou precies? Welke maatregelen vallen wel of juist niet onder buitenbeveiliging? Ruim driekwart (77%) van de datacenterbe-

Heras hanteert voor haar totaaloplossing in buitenbeveiliging ADVAT: Afschrikken, Detecteren, Vertragen, Actie ondernemen en Toegang verschaffen slissers ziet ‘buitenbeveiliging’ van hun datacenter(s) als een totaalaanpak die indringers niet alleen moet afschrikken, detecteren en vertragen, maar ook direct actie moet ondernemen als een indringer wordt gedetecteerd. De beveiligingsoplossing moet daarnaast aan geautoriseerde bezoekers toegang verlenen tot het datacenter. 18 procent is echter van mening dat ‘buitenbeveiliging’ vooral bestaat uit poorten, hekken, hang- en sluitwerk.

Het is dan ook opvallend dat buitenbeveiliging bij maar liefst een derde (33%) van alle datacenters geen integraal en goed doordacht onderdeel uitmaakt van het datacenterontwerp. Binnen deze groep geeft 22 procent aan dat fysieke beveiliging weliswaar geen sluitstuk is, maar wel meer aandacht had moeten krijgen. 7 procent van de datacenterbeslissers stelt dat buitenbeveiliging wel degelijk een sluitstuk is geweest in het ontwerp.

Figuur 2: aandacht voor buitenbeveiliging in het ontwerp Volgens 67% is buitenbeveiliging een integraal en goed doordacht onderdeel van het ontwerp.


21

ONDERZOEK PB7 verschaffen van toegang aan geautoriseerde bezoekers is door 61 procent van de datacenterbeslissers goed nagedacht tijdens het ontwerp. Het afschrikken van inbrekers blijft echter achter. ‘Slechts’ 42 procent van de datacenters heeft hier in zijn ontwerp rekening mee gehouden. INVESTERINGEN SPREIDEN Niet ieder datacenter heeft dan ook dezelfde concrete maatregelen genomen om zijn buitenbeveiliging te verbeteren. Bedrijven blijken hun investeringen daarnaast te spreiden om zo goed mogelijk beveiligd te zijn. Toegangscontrole is door maar liefst 95 procent van alle datacenters geïmplementeerd en is hiermee de meest populaire maatregel om de buitenbeveiliging te verbeteren. Elektronische pasjes worden binnen 91 procent van de datacenters gebruikt. Camerabewaking en gedegen hekwerk zijn eveneens populaire maatregelen om de buitenbeveiliging van datacenters te verbeteren. 90 procent van de datacenterbeslissers geeft aan in deze maatregelen te hebben geïnvesteerd. Detectiesystemen worden binnen 88 procent van de datacenters gebruikt, terwijl in 73 procent van de datacenters bewakers aanwezig zijn.

Het ultramoderne en goed beveiligde datacenter van Interxion

GEÏMPLEMENTEERDE MAATREGELEN Bij 67 procent van de datacenters is buitenbeveiliging dus wel een integraal en goed doordacht onderdeel van het ontwerp. Naar welke elementen van buitenbeveiliging hun aandacht tijdens het ontwerp uit is gegaan verschilt echter per datacenter. 67 procent van de datacenterbeslissers geeft aan zich tijdens het ontwerp gericht te hebben op het ondernemen van actie indien indringers wor22

De mate waarin bedrijven investeren in verschillende elementen van buitenbeveiliging verschilt aanzienlijk den aangetroffen. 64 procent heeft daarnaast ook veel aandacht besteed aan het vertragen van inbrekers, wat een snelle toegang tot de kern moet voorkomen.

62 procent van de datacenterbeslissers stelt dat het detecteren van inbrekers een integraal onderdeel is van het ontwerp van zijn of haar datacenter(s). Over het

MINDER POPULAIRE MAATREGELEN Minder populaire beveiligingsmaatregelen zijn tourniquets en biometrische beveiligingsoplossingen. 46 procent van de datacenterbeslissers heeft geïnvesteerd in tourniquets, terwijl 41 procent heeft ingezet op biometrische beveiliging. De mate waarin bedrijven investeren in verschillende elementen van buitenbeveiliging verschilt aanzienlijk. Zo geeft 69 procent van de ondervraagden aan maximaal geïnvesteerd te hebben in elektronische pasjes, terwijl 18 procent hier gemiddeld op heeft ingezet. 4 procent heeft hier minimaal in geïnvesteerd. Een ander voorbeeld is toegangscontrole, dat door 66 procent van de datacenters maximaal is geïmplementeerd. 28 procent van de datacenterbeslissers geeft aan hier gemiddeld in te hebben geïnvesteerd en 1 procent minimaal. 63 procent van de datacenterbeslissers heeft maximaal ingezet op camera’s, terwijl 24 procent dit gemiddeld heeft gedaan. 3 procent van de datacenters heeft minimaal geïnvesteerd in camerabewaking.

Figuur 3: elementen buitenbeveiliging in ontwerp datacenter Over de meeste beveiligingselementen is bewust en goed nagedacht bij de inrichting van de fysieke buitenbeveiliging.

Figuur 4: vormen van fysieke buitenbeveiliging

HEKWERK EN DETECTIESYSTEMEN Ook bij hekwerk en detectiesystemen zijn deze verschillen goed te zien. 62 procent van de datacenters heeft maximaal op hekwerk ingezet. 19 procent heeft gemiddeld geïnvesteerd in hekwerk, terwijl 9 procent dit minimaal heeft gedaan. 59 procent van de datacenterbeslissers geeft aan maximaal te hebben geïnvesteerd in een detectiesysteem, terwijl 28 procent hier gemiddeld op heeft ingezet. Slechts 3 procent heeft detectiesystemen minimaal geïmplementeerd.

Ondanks dat veel datacenters goed op weg zijn met buitenbeveiliging blijkt een derde hier onvoldoende op in te zetten. Dit brengt flinke risico’s met zich mee. “Datacenters die minder aandacht hebben besteed aan buitenbeveiliging, blijken ook daadwerkelijk vaker het slachtoffer te zijn van binnendringing, met alle kwalijke gevolgen van dien”, legt Vermeulen uit. Investeren in buitenbeveiliging is dus de moeite waard!


23


AUTHENTICATIE

Stelt kennis van authenticatie beschikbaar voor niet-bancair bedrijfsleven

VASCO

WIL GROEIEN ALS

IDENTITY AGGREGATOR VASCO mag dan vooral bekend zijn als ontwikkelaar en leverancier van authenticatie-tools voor banken, het bedrijf ziet ook veel kansen in sectoren als eCommerce en gaming. Hierbij is een hoofdrol weggelegd voor MyDigipass.com, een set van tools waarmee bedrijven zelf kunnen bepalen hoe zij zekerheid willen verkrijgen over de identiteit van een online-klant. VASCO is vooral bekend geworden dankzij de zogeheten ‘random reaa ders’ die banken als Rabo in gebruik hebben. Deze banken stellen de appaa raatjes aan klanten ter beschikking, zodat deze op een veilige manier financiële transacties kunnen doen. “We hebben inmiddels meer dan 200 miljoen van dit soort random readers uitgeleverd”, vera telt COO en president Jan Valcke van VASCO. “Hoewel vrijwel geen enkele concurrent van ons nog dit soort apparaa tjes levert, produceren wij er nog altijd 100.000 per dag. Wij zien dan ook nog steeds een gezonde vraag naar hardwaa rematige Digipassen.”

24

BASIS VOOR TRUST Bij gebruik van een Digipass maakt de bank gebruik van het feit dat de identia teit van zijn klant reeds officieel geveria fieerd is. “In sommige landen gebeurt dat via een DigiD-achtige methode van de overheid. In andere gevallen stelt een bank zelf bij het openen van een bankrea kening de identiteit van een klant formeel vast. Daarmee weten we dus reeds wie de klant is, zodat we bij bijvoorbeeld een financiële transactie ons verder kunnen concentreren op de vraag of de betaler inderdaad de persoon is die hij of zij bea weerd te zijn.” In de goed gereguleerde wereld van overheden en financiële instellingen biedt deze met zekerheid vastgestelde identiteit een goede basis om de ‘trust’ te regelen die nodig is om bijvoorbeeld een online overboeking te kunnen doen. “Er bestaan echter ook veel situaties waar we niet met een dergelijke authenticatie kunnen werken”, vertelt Valcke. “Denk aan een webshop waar een bestaande of nieuwe klant een bestelling wil plaatsen. Of kijk naar een online game-site. In dat soort gevallen kunnen we geen gebruik maken van een vooraf officieel vastgea stelde identiteit. Toch wil de eigenaar van die eCommerce- of gaming-site zekera heid hebben over de identiteit van zijn klant. Daar hebben we een andere mea thode voor moeten ontwikkelen, die we ook wel ‘identity aggregation’ noemen.”

PARAMETRISERING Bij deze manier van werken moet de juistheid van de identiteit die een klant of bezoeker opgeeft stap voor stap worden opgebouwd. Valcke spreekt in dit vera band van ‘parametrisering’. “De exploia tant van een webshop kan aan de hand van een hele lijst van parameters met een steeds grotere mate van zekerheid inschatten of de identiteit van een klant klopt. Die parameters hebben betreka king op tal van aspecten. Denk aan het land van waaruit de klant de webshop benadert. Heeft de klant al eerder een aankoop gedaan? Verliep die transactie zonder problemen? Gebeurde dat vana af hetzelfde IP-adres en apparaat? Ook is het mogelijk om bijvoorbeeld vast te stellen in hoeverre de smartphone waara mee een klant een website benadert al of niet gecompromitteerd is. Zo hebben we een hele lijst met controles waarvan de eigenaar van de site zelf kan bepaa len of hij die ‘aan’ of ‘uit’ wil zetten. Per parameter wordt voor iedere individuele bezoeker een score gemaakt. Een spea ciale ‘decision engine’ berekent vervola gens de identiteitsscore van deze klant. Daarmee beschikt de site-eigenaar per direct over een nauwkeurige inschatting van de vraag of de opgegeven identiteit ook inderdaad correct is en de transactie normaal zal kunnen worden afgerond.” TERMS & CONDITIONS VASCO levert deze technologie als softa ware die de eigenaar van een eComa merce- of gaming-site zelf in zijn eigen product inbouwt. Ook is een API (applicaa tion programming interface) beschikbaar waardoor deze vorm van identity aggrea gation als een service aangeroepen kan worden. “Het aggregatie-mechanisme is voor de bezoeker van de website vollea dig transparant. Eventuele juridische of privacy-aspecten kan de eigenaar van

COO en president Jan Valcke van VASCO Data Security.

de website opnemen in zijn ‘terms & cona ditions’ die hij een bezoeker eenmalig laat accorderen.” Deze aanpak is nieuw voor VASCO. “We hebben de technologie die hiervoor noa dig is inmiddels klaar. Voor de zomer vera wacht ik dat we de eerste klanten kunnen noemen die op deze manier transacties via hun website gaan faciliteren.” Valcke spreekt van een grote markt die op deze manier aangesproken kan worden. “Het is een aanpak waarbij we steeds minder zullen leunen op de verkoop van hardwaa re-matige tokens. App- en website-onta wikkelaars hebben een softwarematige aanpak nodig en liefst ook eentje die als een cloud service geleverd kan worden. Maar in andere gevallen zal men het wela licht liever in de eigen code integreren. Daarbij kunnen zij gebruikmaken van een afrekenmodel per click of transactie. Al deze delivery-modellen ondersteunen we.” PLATFORM Dat is een heel ander manier van werken dan waar VASCO met de hardwarematia ge Digipass-producten mee begonnen

is. Zijn deze producten daarmee aan het einde van hun ‘lifecycle’ gekomen? “Nee, dat denk ik zeker niet. Zoals gezegd, levea ren wij nog altijd grote aantallen random readers. Bovendien zie ik goede kansen om deze kastjes verder uit te bouwen tot een platform dat banken kunnen gebruia ken om nieuwe diensten voor hun klanten te ontwikkelen.” Valcke wijst in dat opzicht onder andere op de aanvraag voor een banklicentie die Facebook onlangs heeft gedaan bij de Centrale Bank in Ierland. Het bedrijf heeft kennelijk plannen om een eigen methoa de te introduceren voor het faciliteren van financiële transacties. Banken zal het ona getwijfeld zijn opgevallen dat Facebook met zijn één miljard gebruikers wel eens een geduchte concurrent op het gebied van ‘payments’ zou kunnen worden. “Als we de Digipass-readers kunnen ontwika kelen tot een platform waarmee banken extra diensten kunnen aanbieden aan hun klanten, vergroten zij de drempel voor toegang tot de markt voor financiële transacties aanzienlijk. Bovendien kan ik mij goed voorstellen dat er sowieso ina teressante diensten te bedenken zijn die

banken additionele omzet vanuit hun bea staande klantenkring kunnen opleveren.” INNOVATIE Innovatie gaat bij VASCO echter nog wel wat verder, meent Valcke. Hij vertelt over de aanpak die zijn bedrijf heeft gekozen om nieuwe technologie te ontwikkelen en de kans te geven om als product op de markt te komen. Hiervoor is een incua bator-model ontwikkeld waarbij bijvoora beeld naar ‘wearable technology’ wordt gekeken. “Als ik zie waar sommige unia versiteiten en onderzoekers mee bezig zijn om een gebruiker van technologie te voorzien waarbij hij zichzelf automaa tisch identificeert zodra hij binnen een bepaalde afstand van een apparaat komt, dan zie ik daar zeer interessante kansen voor.” “We gaan de komende jaren in de markt voor payments en financiële transacties veel nieuwe initiatieven zien. Maar ook voor overheden komen dankzij innovatiea ve technologie zeer interessante mogea lijkheden beschikbaar om met zekerheid de identiteit van personen vast te stellen.”


25

DOOR TEUS MOLENAAR

SECURITY

INTERNET OF THINGS

EIST DEGELIJKE BEVEILIGING De wereld raakt meer en meer verknoopt. Dat heeft veel voordelen; ook voor bedrijven die industriële automatisering toepassen. Want de analyses van gegevens leiden tot efficiëntere bedrijfsprocessen. Maar er zit ook een uitdaging aan vast: goede bescherming van die gegevens. Rockwell Automation heeft samen met Cisco een strategie ontwikkeld die de ‘connected enterprise’ in veilig vaarwater leidt. Op de website van Vision & Robotics is gevraagd naar de visie op beveiliging van industriële netwerken. De resultaten

laten zien dat hier nog een wereld is te winnen. Zo blijkt een groot aantal mensen het er volledig mee eens te zijn dat

‘security in de industriële automatisering zwaar wordt onderschat’. Zij geven aan dat hier een groot gevaar in schuilt. Een andere groep geeft aan het ermee eens te zijn, maar voegt eraan toe dat er geen budget is om speciale beveiligingstoepassingen voor de fabrieksomgeving aan te schaffen. Denk daarbij aan firewalls, beveiligingssoftware, encryptiemogelijkheden en dergelijke. De kleinste groep meent dat het allemaal wel meevalt, zolang er maar een goede scheiding is aangebracht en in stand wordt gehouden tussen de administratieve automatisering op kantoor en de industriële automatisering in de fabriek. GEVARIEERD BEELD Patrick Blommaert, business manager bij Rockwell Automation Benelux, herkent de reacties wel. “Het is heel wisselend. Over het algemeen constateer ik dat het onderwerp beveiliging wel op de agenda staat bij de industriële ondernemingen. Maar ik moet toch ook vaststellen dat juist de grotere bedrijven hier bewust mee bezig zijn en hun maatregelen treffen; of dat al hebben gedaan. Maar bij de kleinere ondernemingen kan wel wat meer gebeuren; daar ontbreekt soms het urgentiegevoel.” Hij vertelt dat Rockwell zelf dit onderwerp regelmatig te berde brengt bij zijn klanten: de OEM’s, maar ook de organisaties die de machines gebruiken. “Dan brengen we de oplossing naar voren die wij samen met Cisco hebben ontwikkeld voor de connected enterprise.” INTERNET OF THINGS De aandacht voor beveiliging van geautomatiseerde systemen is tegenwoordig des te prangender, vanwege de opkomst van het Internet of Things (IoT): een wereld waarin heel veel apparaten via het

26

Security wordt in de industriële automatisering zwaar onderschat internet protocol aan elkaar zijn gekoppeld. Zo kun je bijvoorbeeld via een tablet of een smartphone apparatuur in de fabriek regelen. Maar ook de onderlinge verwevenheid tussen fabrikant, afnemer, toeleverancier neemt toe, omdat ze van elkaars systemen gebruikmaken. Zo kun je bijvoorbeeld zelf de voorraden bij een leverancier – of bij een klant – in de gaten houden. We spreken dan van de ‘connected enterprise’. Een organisatie waarbij kantoor- en industriële automatisering verweven zijn; en waarbij digitale banden zijn gesmeed tussen bedrijven die in dezelfde keten actief zijn. De connected enterprise heeft ontegenzeggelijk voordelen. Maar het vereist een gedegen beveiliging, zodat bijvoorbeeld niet iemand ‘van buiten’ het chloorgehalte in het zwembad gaat regelen, zoals vorig jaar in Nederland is gebeurd.

EEN UI Samen met routerfabrikant Cisco heeft Rockwell Automation een architectuur ontwikkeld die niet-geautoriseerde toegang tot netwerken en apparatuur verijdelt. De grondgedachte is de opstelling van een gelaagde beveiligingsstructuur: als een ui waarbij de rokken de verschillende lagen van defensie vormen. Want beveiliging raakt het menselijk gedrag (niet overal zomaar op klikken en niet elke usb-stick zomaar in een computer stoppen; sterke wachtwoorden gebruiken, en dergelijke), de fysieke onderdelen, het netwerk, de applicatie en de beveiliging van een apparaat/machine/robot zelf. Kwaadwillenden gebruiken zwakheden in software om ergens toegang toe te krijgen. Zodra een softwarehuis zo’n gat (een exploit) ontdekt, herstelt het de onvolkomenheden. De ‘stoplap’ wordt rondgestuurd naar de klanten. Het is zaak om


27

SECURITY

ONDERZOEK

SECURITY WORDT IN DE INDUSTRIËLE AUTOMATISERING ZWAAR ONDERSCHAT Volledig mee eens, hier zit een groot gevaar Mee eens, maar wij hebben geen budget om speciale security-tools voor de fabrieksomgeving aan te schaffen Zolang we een goede scheiding aanhouden tussen de administratieve automatisering op kantoor en de industriële automatisering in de fabrieksomgeving valt het allemaal wel mee

deze patches gecontroleerd en tijdig toe te passen. Gebruik in elk geval beveiligingssoftware, whitelisting, host intrusion-detection systemen en andere oplossingen voor beveiliging van apparatuur. Verwijder applicaties die niemand nog gebruikt. Dat geldt ook voor protocollen en diensten. En zet alleen de poorten open op routers en switches (de verkeersregelaars van het netwerk) die nodig zijn voor de bedrijfsvoering. Niet alleen de kantoorcomputers zijn gevoelig voor aanvallen van buitenaf; het is net zo goed op industriële automatise28

31 stemmen

17 stemmen

9 stemmen

ring van toepassing. De FactoryTalk Security architectuur van Rockwell Automation is erop gericht alle netwerkverkeer te kanaliseren en te beheersen. Die zorgt er bijvoorbeeld voor dat alleen bevoegden toegang hebben tot applicaties; en geeft een signaal als iets onoorbaars gebeurt. Het FactoryTalk AssetCentre systeem maakt hier onderdeel van uit en regelt veilig gebruik van geautomatiseerde fabrieksomgevingen. Het zorgt bijvoorbeeld voor back-up en herstel van configuraties die van belang zijn voor de processen binnen het machinepark.

IN TIEN STAPPEN NAAR VEILIGE NETWERKEN 1. Bepaal wie netwerktoegang heeft. Gebruik hiervoor bijvoorbeeld directories die de toegang regelen en apparatuur die poorten kan blokkeren. 2. Zorg voor robuuste en betrouwbare afhandeling van het netwerkverkeer door toepassing van firewalls, en intrusion detection/prevention. 3. Gebruik antivirus software en whitelisting (hiermee is aan te geven welke applicaties op computers mogen starten: alleen degene die op de white list staan). 4. Creëer een bewustzijn binnen de organisatie dat patching (het actualiseren van software nadat een fout is hersteld) noodzakelijk is om over goed werkende software te beschikken. 5. Spreek met medewerkers beveiligingsprocedures af. Denk aan het hanteren en beheren van sterke wachtwoorden, hoe je omgaat met usb-sticks, en het gebruik van persoonlijke apparatuur (zoals smart phones en tablets) in de zakelijke omgeving. 6. Blokkeer veranderingen aan de controller door hem in de Run modus te zetten. 7. Controleer wie gerechtigd is om wát, waar te mogen doen in een toepassing met de FactoryTalk Security architectuur. 8. Monitor wat er gebeurt in het systeem met de Controller Change Detection en het FactoryTalk Asset Centre systeem. 9. Bescherm het intellectueel eigendom met Logix Source Protection. 10. Zorg ervoor dat alle Ethernet-apparatuur onderling verbonden is via standaard protocollen.

Tegelijk heeft Rockwell industriële switches en routers in zijn portfolio opgenomen die geschikt gemaakt zijn voor fabrieksomgevingen. “Je moet niet te snel denken dat je alles al goed hebt geregeld”, zegt Blommaert. “Het is goed om na te gaan welke risico’s je loopt en hoe je die kunt afdekken.”

‘Amazon levert cloudserver

met verouderd en kwetsbaar besturingssysteem’ Amazon Web Services zit vol met kwetsbaarheden. Dit stellen althans onderzoekers van beveiligingsbedrijf Bkav na klachten van één van zijn klanten. De servers die Amazon aan deze klant heeft geleverd blijken te draaien op een verouderde versie van Windows Server, die al jaren niet meer is geüpdatet. De zaak kwam aan het rollen nadat een klant van Amazon ontdekte dat zijn server was geïnfecteerd met malware. Dit terwijl de klant de antimalware-oplossing van Bkav gebruikte om dit te voorkomen. De klant vroeg opheldering aan Bkav, die de servers van Amazon besloot te onderzoeken. LANGE TIJD NIET GEÜPDATET Dit onderzoek toont aan dat de servers die Amazon aan de klant van Bkav heeft geleverd draaien op Windows Server

2003. Het besturingssysteem van de servers was voor het laatst geüpdatet in oktober 2009, wat betekent dat allerlei bekende beveiligingsgaten dus nog wagenwijd open stonden. De aanvallers hebben vermoedelijk van deze gaten misbruik gemaakt om de malware op de cloudservers te installeren. Het probleem blijkt zich echter niet alleen voor te doen bij Amazon Web Services, maar ook bij andere cloudleveranciers.

Bkav onderwierp een aantal concurrenten aan een test en ontdekte dat HP Public Cloud servers levert die voor het laatst in juli 2013 zijn geüpdatet. Ook de Amerikaanse cloudprovider GoGrid gaat de fout in. Deze provider zou servers leveren die voor het laatst zijn geüpdatet in april 2012. Beide bedrijven hadden de auto-update functie van Windows uitgeschakeld. MICROSOFT WINDOWS AZURE Ook Microsoft Windows Azure Platform werd aan een test ontworpen. Microsoft blijkt de enige partij te zijn die niet de fout in gaat. Het bedrijf heeft de auto-update functie van Windows gewoon ingeschakeld, waardoor het besturingssysteem van gebruikte servers volledige up-to-date is.


29

SMART WIFI ACCESS MANAGEMENT SERVICE

ONDERZOEK

Ruckus Wireless

helpt bedrijven veilige

wifi-diensten in te richten

36% van

SharePoint-gebruikers

houdt zich niet aan het beveiligingsbeleid

Ruckus Wireless lanceert de Smart Wifi Access Management Service (SAMS). SAMS maakt het voor organisaties eenvoudig wifi-diensten in te richten, te beheren en te exploiteren. Hiervoor is een gebruiksvriendelijke ‘point-andclick’ portal beschikbaar.

36% van alle SharePoint gebruikers houdt zich niet aan het beveiligingsbeleid van hun werkgever. De gebruikers verschaffen zichzelf bijvoorbeeld toegang tot allerlei gevoelige en vertrouwelijke informatie, terwijl deze helemaal niet voor hen bedoeld is.

SAMS maakt de wifi-diensten voor gastgebruikers prettiger en eenvoudiger toegankelijk. Bedrijven kunnen direct draadloze hotspots inrichten voor één of meer locaties, zonder daarvoor grote datacenters te hoeven bouwen of een dure infrastructuur aan te leggen.

Dit blijkt uit een onderzoek van Cryptzone dat is uitgevoerd onder bezoekers van Microsoft’s SharePoint Conference in het Amerikaanse Las Vegas. SharePoint wordt opvallend vaak gebruikt om vertrouwelijke gegevens op te slaan. Maar liefst 76% van de bedrijven blijkt SharePoint voor dit doeleinde in te zetten.

SWS is een flexibel raamwerk voor verschillende softwarediensten via ‘carrier-class’ Smart Wifi infrastructuur, zoals cloudbased draadloze toegang (SAMS), Ruckus SPoT locatiediensten en gevirtualiseerde managementsoftware. Dit raamwerk biedt organisaties de mogelijkheid Smart wifioplossingen op maat in te richten en dus flexibel te zijn. Bovendien stelt SAMS channel partners in staat om eenvoudig te migreren naar servicemodellen op abonnementsbasis. ALLE COMPONENTEN IN ÉÉN OPLOSSING De oplossing levert alle benodigde infrastructuuren servicecomponenten in

30

één oplossing. De oplossing is hiermee gericht op bedrijven en locaties zoals winkelcentra, stadions, congrescentra, vliegvelden en andere openbare ruimten die draadloze diensten willen aanbieden. SAMS biedt alle diensten die doorgaans in het lokale netwerk zitten als dienst aan vanuit de cloud. Denk hierbij aan WLAN controllers, authenticatieservers, captive portals, advertentietools en content filters. “De voordelen die de cloud oplevert voor de markt voor draadloze toegang zijn onmiskenbaar”, zegt Selina Lo, president en CEO van Ruckus Wireless. “Ruckus levert niet alleen infrastructurele wifi-oplossingen van wereldklasse maar biedt zijn partners en klanten ook de mogelijkheid meer voordeel te halen uit hun wifi-oplossingen door innovatieve nieuwe diensten aan te bieden. Denk daarbij aan cloudbase toegang, locatiediensten, analytics en de mogelijkheid om hun netwerken professioneel te exploiteren.”

VERTROUWELIJKE INFORMATIE Slechts 19% van de ondervraagde werknemers geeft aan geen vertrouwelijke informatie in SharePoint op te mogen slaan. Dit betekent echter niet dat dit ook niet gebeurt. Een kwart van deze groep geeft echter aan mensen te kennen die via SharePoint documenten hebben geopend waar zij geen rechten voor hebben, wat betekent dat het SharePoint-systeem bij deze bedrijven wel degelijk vertrouwelijk informatie bevat. Vertrouwelijke data die in SharePoint wordt opgeslagen is bijna per definitie niet veilig voor IT-beheerders. Het overgrote merendeel van de IT-beheerders gaf op de SharePoint Conference aan van mening te zijn dat zij alle aanwezige data mogen openen aangezien zij beheer-

dersrechten hebben. Dit is uiteraard onzin, aangezien niemand de IT-beheerders toestemming heeft gegeven vertrouwelijke documenten in te zien. We kunnen dan ook stellen dat deze groep IT-beheerders zijn verhoogde rechten misbruikt. SECURITY AUDIT Vertrouwelijke data in SharePoint wordt dus met enige regelmaat door onbe-

voegden ingezien. Bedrijven lijken zich hier weinig zorgen over te maken, wat onder andere blijkt uit het feit dat maar liefst 36% van de ondervraagde organisaties zijn eigen IT-systemen niet aan een security audit onderwerpt. Deze bedrijven hebben dan ook geen idee of de beveiliging van hun IT-systemen op orde is en hoe veilig vertrouwelijke informatie daadwerkelijk is.


31

28%

INFORMATIERISICO´S BIJ BEDRIJFSOVERNAMES

GROTER DAN BIJ FUSIES

De afgelopen jaren is het aantal bedrijfsovernames in Nederland bijna verdubbeld. Dat leidt onder medewerkers van overgenomen bedrijven vooral tot grote onzekerheid over baanbehoud. Bedrijven hebben echter geen idee dat hiermee ook het informatiebeheerbeleid op losse schroeven komt te staan. Uit nieuw onderzoek van informatiemanager Iron Mountain blijkt dat medewerkers van overgenomen bedrijven meer bezig zijn met hun eigen rol binnen de nieuwe organisatie, dan met het bewaken en effectief integreren van de informatie. Overnames en fusies brengen voor medewerkers veel onzekerheden met zich mee. Dat heeft ingrijpende gevolgen voor het informatiebeheer en dus ook voor de waardevolle bedrijfsinformatie die zij in hun bezit hebben.

Een op de drie medewerkers van een overgenomen bedrijf in Europa geeft aan dat er doorgaans geen informatiebeheerbeleid bestaat om administratieve gegevens in de nieuwe organisatie te integreren en klantgegevens te beschermen. Bij medewerkers van overnemende

bedrijven ziet slechts 19 procent dit als punt van zorg. Daarnaast vormen papieren dossiers een ernstig probleem bij net overgenomen bedrijven, 44 procent van de medewerkers van overgenomen bedrijven stelt dat er geen procedure bestaat om papieren informatie succesvol te integreren in nieuwe digitale systemen, en 31 procent zegt hetzelfde over de opslag en archivering van papieren documenten. TWIJFELS EN ZORGEN Bij overnames zijn het vooral de medewerkers van overgenomen bedrijven die zich zorgen maken over het samenvoegen van bedrijfsinformatie en het veranderen van informatiebeheersysteem. Voor een derde (33 procent) van de medewerkers is dit een punt van onge-

rustheid. En bij een bijna even groot deel (34 procent) heerst verwarring over wat nieuwe verantwoordelijkheden zullen zijn. Of gegevens van twee samengestelde bedrijven succesvol kunnen worden samengevoegd, baart 41 procent van medewerkers bij overgenomen bedrijven zorgen, terwijl 34 procent zich afvraagt of de overname de kwaliteit van de gegevens ten goede komt. Een kwart van de medewerkers (27 procent) twijfelt of klanten- en bedrijfsinformatie samengevoegd kan worden en tot slot vreest 17 procent voor overlap en doubleringen in de gegevens. FUSEREN Bij fusies is het een ander verhaal. Werknemers maken zich in dat geval duidelijk minder druk over de interne veranderingen die samenvoeging van twee organisaties met zich meebrengen, en houden hun aandacht gericht op het beheren en bewaken van waardevolle bedrijfsinformatie. Medewerkers houden zich in het fuseringsproces bezig met de belangrijke aspecten van het informatiebeheer, waarbij slechts een kwart van de medewerkers zich zorgen maakt over de toekomstige veranderingen. Daarnaast voelt driekwart (71 procent) van de medewerkers zich gesteund bij het integreren van informatie, wat ook geldt bij de bescherming van klantgegevens. Bijna twee derde (62 procent) van de medewerkers voelt zich ook in dit proces gesteund. PRAGMATISCH BELEID “Informatiemanagement is vaak een bijzaak wanneer bedrijven fuseren”, zegt Jeroen Strik van Iron Mountain. “Gezien de potentiële waarde van informatie en de wens van de fuserende ondernemingen om kostenstructuren te rationaliseren, zou het echter een prioriteit moeten zijn. Overnames of fusies bieden organisaties de mogelijkheid hun informatiemanagementsysteem te evalueren en

FUSIES EN OVERNAMES

ONDERZOEK INFORMATIERISICO´S GROTER BIJ OVERNAMES DAN BIJ FUSIES, BLIJKT UIT ONDERZOEK Medewerkers van overgenomen bedrijven zijn meer bezig met hun functie, dan met het effectief integreren van informatie

Het beeld is anders wanneer bedrijven fuseren:

voelt zich gesteund bij informatie-integratie

71%

62% voelt zich gesteund bij het beschermen van klantgegevens

is bezorgd over de naderende veranderingen

24% Overnames kunnen grote invloed hebben op informatieveiligheid en het-beheer. Medewerkers van overgenomen bedrijven zijn meer bezig met hun functie, dan met het effectief integreren van informatie

Onzekerheid over de informatie ná de overname betreft:

34%

Onduidelijke verantwoordelijkheden over het informatiebeheer

33%

Verwachte veranderingen van het informatiebeheersysteem

27%

Het samenvoegen van verschillende bedrijfs- en klantendossiers De omgang met verschillende gegevensformaten, de overlap en doublures van de gegevens

Een derde van de medewerkers van overgenomen bedrijven geeft aan dat er geen beleid is voor de Informatie-integratie en klantgegevensbescherming: een vijfde van de medewerkers bij overnemende bedrijven:

33%

van de medewerkers van overgenomen bedrijven geeft aan dat er geen beleid is om informatie te integreren en klantgegevens te beschermen

17%

Het gebrek aan aandacht tijdens een overname verhoogt het risico op datalekken en dataverlies en contrasteert met de zorgen van medewerkers bij het overnemende bedrijf:

41%

19%

in vergelijking met van de medewerkers bij het overnemende bedrijf

maakt zich zorgen over het samenvoegen van de databestanden

Papierendossiers vormen een ernstig probleem bij net overgenomen bedrijven:

34% is bezorgd over de informatiekwaliteit

28%

maakt zich zorgen over onduidelijke verantwoordelijkheden

44% zegt dat het ontbreekt aan bedrijfsprocessen waarin papier in digitale systemen wordt opgenomen

31%

zegt dat er geen procedures bestaan om het papieren archief op te slaan

eventuele door Het beeldveranderingen is anders wanneerconsistent bedrijven fuseren: te voeren, informatierisico´s te verkleinen en de toegang tot informatie te verbetezich gesteund bij 71% voelt ren.” informatie-integratie “Uit ons onderzoek blijkt62% dat een bedrijfsvoelt zich gesteund bij het overname een sterke emotionele impact beschermen van klantgegevens heeft op medewerkers. Die kan ertoe leiden dat zij de verantwoordelijkheid voor

24%

is bezorgd over de naderende veranderingen

Juist in tijden van verandering is een effectief informatiebeheerbeleid gebaat bij sterke communicatie en 33% betrokken medewerkers.

Een derde van de medewerkers van overgenomen bedrijven geeft aan dat er geen beleid is voor de Informatie-integratie en klantgegevensbescherming: een vijfde van de medewerkers bij overnemende bedrijven: van de medewerkers van overgenomen bedrijven geeft aan dat er geen beleid is om informatie te integreren en klantgegevens te beschermen

32

maakt zich zorgen over onduidelijke verantwoordelijkheden

Jeroen Strik, commercieel directeur van Iron Mountain, Nederland, België en Duitsland: informatieverwerking niet meer nemen. “De emotionele invloed van overnames, kunnen leiden tot verslapte aandacht voor het informatiebeheer.Papieren dossiers zijnzijn het kwetsbaarst. omdat veel bedrijven Papieren dossiers hetVooral meest kwetsgeen effectieve opslag of integratieplannen hebben en zij hierdoor waardevolle bedrijfsinformatie onnodig blootstellen aanveel datalekkenbedrijven of dataverlies. Duidelijke geen baar. Vooral omdat communicatie zal medewerkers helpen te begrijpen wat er gebeurt en hoe zij hier een bijdrage aan kunnen leveren. ” effectieve opslag of integratieplannen hebben en zij hierdoor waardevolle beOnderzoek van Opinion Matters uitgevoerd in opdracht van Iron Mountain. Opinion Matters ondervroeg 1257 medewerkers werkzaam in de maakindustrie, de juridische of financiële drijfsinformatie onnodig bloot aan dienstverlening, de farmacie en de verzekeringsbranche in Nederland,stellen Duitsland, Frankrijk, Spanje en het Verenigd Koninkrijk. datalekken of dataverlies. Juist in tijden van verandering is een effectief informatiebeheerbeleid gebaat bij sterke communicatie en betrokken medewerkers. Zoals het onderzoek bevestigt, voelen veel medewerkers zich onveilig en in de steek gelaten. Duidelijke communicatie zal medewerkers helpen te begrijpen wat er gebeurt en hoe zij hier een bijdrage aan kunnen leveren. Zo beschermt een bedrijf, gefuseerd of samengesteld, het meest waardevolle bezit: informatie.”


33


SECURITY

Ernst Bostelaar en Theo Michielse van Esri Nederland:

‘OPZETTEN VAN BEVEILIGING

IS NIET INGEWIKKELD’

Security is een zeer belangrijk thema in de ICT. Soms wordt deze discussie over beveiliging echter ingewikkelder gemaakt dan eigenlijk nodig is. Dat bleek tijdens de onlangs gehouden ‘GIS Tech 2014’. Tijdens deze conferentie demonstreerden Ernst Bostelaar en Theo Michielse, respectievelijk system architect en business consultant bij de leverancier van GIS-software Esri Nederland, een pragmatische aanpak waarmee een goede balans kan worden gevonden tussen veiligheid, functionaliteit en kosten. Regelmatig verschijnen berichten in de media over gegevens die ‘op straat’ gevonden zijn en over gevoelige gegevens die een cybercrimineel via een eenvoudige inbraakactie kon ‘meenemen’. Cloud computing is in opmars en met tal van nieuwe mogelijkheden nemen ‘dus’ ook de risico’s rond informatiebeveiliging toe. Ernst Bostelaar is er duidelijk over: “Het delen van geo-informatie vanuit de cloud, met bijvoorbeeld ArcGIS Online, is een mooie oplossing. Om het veilig te maken zodat maximaal van de voordelen kan worden geprofiteerd moet je natuurlijk wel goed nadenken over wie je toegang geeft tot welke gegevens.” MAGISCHE DRIEHOEK Het startpunt bij het aan de slag gaan met security zijn twee vragen: ‘Wat willen we beveiligen?’ en: ‘Hoe gaan we die beveiliging vervolgens opzetten?’. Theo Michielse legt uit: “De antwoorden op deze vragen moeten afgezet worden tegen de ‘magische driehoek’ van de security: het spanningsveld tussen de mate van beveiliging, de bruikbaarheid en de kosten van het systeem. Er moet meestal een balans worden gevonden, want én veilig én functioneel én goedkoop zal niet altijd haalbaar zijn.” PRIJSKAARTJE Op basis van een risicoanalyse kan in termen van beschikbaarheid, integriteit en vertrouwelijkheid het gewenste niveau van informatiebeveiliging worden bepaald. Er moet worden geïnvesteerd om te zorgen dat alleen geautoriseerde 34

personen toegang krijgen en dat vertrouwelijke gegevens niet uitlekken. Aan een stabiel systeem met gegarandeerd constante 24/7-beschikbaarheid hangt een prijskaartje. Investeren in aanvullende beveiligingsmaatregelen is niet altijd nodig, want er zijn vaak al heel wat voorzieningen ‘in huis’. Het gaat er dan vooral om dat kennis wordt opgedaan van beveiliging en de toepassing van die kennis in het project. Beveiligingsrisico’s zijn beheersbaar door de security goed te testen. EIGEN INFRASTRUCTUUR OF IN DE CLOUD System architect Bostelaar laat een plaatje zien van een uitgewerkt scenario. “Onderin zijn informatiebronnen zichtbaar. Dat zijn in de wereld van Esri: gegevens en kaarten. In het midden staan manieren om deze uit te wisselen: services die een kaart of een analyse maken. Bovenaan staan de gebruikers, die overal, altijd en met elk soort apparaat informatie willen opvragen. Daarbij kan het HTTPS-protocol worden gebruikt om te zorgen dat vertrouwelijke gegevens versleuteld worden verstuurd.” Bostelaar legt uit dat de robuuste onderkant van deze architectuur met data en services de eigen infrastructuur van een organisatie kan zijn, maar dat deze ook in de cloud kan staan, waarmee een deel van het beheer uit handen is genomen. AUTHENTICATIE EN AUTORISATIE Bij het gebruik van services wordt eerst de identiteit van de gebruiker bepaald, zegt Bostelaar: “Wie ben je en wat mag je doen? Vaak wordt gekozen om authenticatie door een webserver uit te laten voeren, zodat single sign-on mogelijk wordt. Autorisatie gaat over de vraag wat iemand mag. Een gebruiker heeft een bepaalde rol en zo wordt bepaald of toegang wordt verleend.” Michielse vult aan: “Dat zien we in zowel ArcGIS Online als bij server-oplossingen: gebruikers worden ingedeeld in groepen. Zo kun je heel

“Dat zien we in zowel ArcGIS Online als bij server-oplossingen: gebruikers worden ingedeeld in groepen. Zo kun je heel eenvoudig een kaart beschikbaar stellen aan een bepaalde afdeling binnen de eigen organisatie.” eenvoudig een kaart beschikbaar stellen aan een bepaalde afdeling binnen de eigen organisatie.” WIE BEHEERT TOEGANG? De zogenoemde ‘identity store’ is voor ArcGIS for Server de plek waar gebruikers en rollen worden beheerd. Soms wordt er voor gekozen om een GIS-applicatiebeheerder verantwoordelijk te maken voor het beheer hiervan. Dit biedt de afdeling dan de flexibiliteit om snel een nieuwe gebruiker of rol aan te laten maken die alleen voor GIS relevant is. Zo kan een login worden gemaakt om medewerkers van een externe partij toegang te geven tot een voor hen bedoelde ‘map service’. Een andere mogelijkheid is om gebruik te maken van de centrale Active Directory of LDAP-server van de organisatie. In dat geval zal een systeembeheerder vanuit de IT-afdeling verantwoordelijk zijn voor het beheer van deze centrale plek met gebruikers en rollen.

"Om het delen van GIS-informatie via de cloud veilig te maken zodat maximaal van de voordelen kan worden geprofiteerd moet je natuurlijk wel goed nadenken over wie je toegang geeft tot welke gegevens.”

BEVEILIGING VAN GEGEVENS De gegevens die we buiten de organisatie beschikbaar willen stellen, kunnen voor dit doel in de cloud veilig worden beheerd. Datasets die bedoeld zijn voor extern gebruik, worden dan gekopieerd naar de cloud. Gegevens kunnen natuurlijk ook vanuit de eigen organisatie naar buiten worden gepubliceerd. Vaak wordt dan gekozen om te werken met een interne en een externe server. Door verder met twee verschillende (geo)databases te werken, is de interne data gescheiden van de externe data. Technisch is geregeld dat de externe server geen toegang heeft tot de (geo)database met interne gegevens. Software als ArcGIS biedt een replicatiemechanisme dat ervoor zorgt dat extern opgevraagde gegevens altijd up-to-date zijn. BEST EENVOUDIG De stapsgewijze uitleg van system architect Ernst Bostelaar en business consultant Theo Michielse maakt duidelijk dat het opzetten van beveiliging niet erg ingewikkeld hoeft te zijn. “Als we vooraf maar goed nadenken over de wensen, een ontwerp maken en alles toetsen. Het is vooral een kwestie van vertrouwd worden met de voorzieningen van het platform en deze op de juiste manier toepassen.”


35

DATAC GREEN IT

SECURITY

SLA

INFORMATIEBEVEILIGING

VIRTUALISATIE

APPS

SECURITY

STORAGE

SOLUTIONS

PAAS MIGRATIE

CLOUDSHOPPING

SOLUTIONS

STORAGE

VIRTUALISATIE

MIGRATIE

CLOUDCOMPUTING LAAS

SAAS

PRIVATE LAAS

GREEN IT

SECURITY

PUBLIC

IT MANAGEMENT

PAAS

MIGRATIE PRIVATE APPS CONVERSION HYBRIDE CLOUDCOMPUTING PRIVATE

LAAS CONVERSION

PUBLIC

HYBRIDE IT MANAGEMENT

GREEN IT

cloudworks.nu geheel vernieuwd! Feiten en fictie in kaart gebracht

36

Kroll Ontrack en Blancco

bieden oplossing voor het wissen van data

Kroll Ontrack en Blancco kondigen een strategische alliantie aan. Vanuit deze samenwerking gaat Kroll Ontrack het portfolio van software voor het wissen van data aanbieden aan ondernemingen, computer refurbishing-bedrijven en overheidsdiensten. Door de alliantie wordt Blancco’s zogeheten wipe-software voortaan ondersteund door de datavernietigingshardware en de verificatiediensten van Kroll Ontrack, inclusief de Ontrack Eraser Degausser.

“Beide partijen zijn zich bewust van het belang om gelijke tred te houden met evoluerende technieken en hebben een sterke behoefte om zakenrelaties aan te

gaan met betrouwbare partners”, zegt Kim Väisänen, managing director van Blancco. “Deze alliantie is gunstig voor beide partijen, maar is vooral in het belang van klanten die wereldwijd gehecht zijn aan de vertrouwelijkheid en veiligheid van data.” GECOMBINEERDE OPLOSSING Het resultaat van de alliantie is een gecombineerde oplossing voor het wissen van data. Hiertoe wordt zowel de end-toend software van Blancco als de zogeheten degausser-technologie van Kroll Ontrack ingezet. Deze stelt klanten in staat om via één contactpunt al de producten en diensten te bestellen die in hun behoeften aan het wissen van data voorziet. De producten die nu beschikbaar komen via Kroll Ontrack zijn met name: Blancco 5 for servers, laptops en pc’s; Blancco Mobile voor smartphones en tablets en Blancco File en LUN voor selec-

tief data wissen. De genoemde en andere Blancco-oplossingen kunnen centraal worden gemanaged via de zogenoemde Blancco Management Console, die een compleet te auditen data erasure management (DEM) proces borgt. Tevens levert de management console geconsolideerde en gedetailleerde rapporten met betrekking tot datavernietiging. Als resultaat van de alliantie zal Kroll Ontrack de producten voor het wissen van data van Blancco ondersteunen, zowel het wissen op locatie als op afstand. Tevens zullen Kroll Ontrack engineers, die inmiddels gecertificeerd zijn voor de ondersteuning van Blancco’s oplossingen, de technische ondersteuning voor hun rekening nemen. De onafhankelijke evaluaties en analyses van Kroll Ontrack moeten de garantie bieden dat de data definitief is gewist en niet meer teruggehaald kan worden, ook niet door experts.


37

STATE OF THE INTERNET

NETWERKBEVEILIGING

Nederland in top-10 van landen die in Q4 2013 het meeste

DDoS-aanvalsverkeer genereerden

Akamai heeft zijn ‘State of the Internet’-rapport over het vierde kwartaal van 2013 gepubliceerd. Uit het rapport blijkt onder andere dat in Nederland in Q4 plotseling naar een zesde plaats is gestegen van landen waar het meeste DDoS-aanvalsverkeer werd gegenereerd, met een aandeel van 2,7% van het totaal. In Q3 was dit nog 0,5%. Het aantal DDoS-aanvallen (Distributed Denial of Service) is in het vierde kwartaal van 2013 met bijna een kwart (23%) toegenomen ten opzichte van Q3. Dit na een lichte daling in Q3. In Q4 werden 346 aanvallen waargenomen door het Akamai-platform, waarvan 38 waren gericht op organisaties in EMEA. Het totale aantal DDoS-aanvallen in 2013 komt hiermee op 1.153, een toename van 50% ten opzichte van 2012. Indien deze trend zich voortzet, zou dit betekenen dat we in het eerste kwartaal van 2014 wereldwijd ruim 380 aanvallen kunnen verwachten en dat in heel 2014 minstens 1.700 aanvallen te verwachten zijn. Deze DDoS-aanvallen kunnen het internetverkeer van en naar websites blokkeren. In Q4 werden 38 aanvallen op EMEA-organisaties waargenomen door Akamai; voor heel 2013 kwam het aantal DDoS-aanvallen op EMEA-organisaties op 167. Opvallend genoeg is in het vierde kwartaal de hoeveelheid DDoS-aanvalsverkeer dat vanuit Nederland werd gegenereerd, sterk toegenomen: 2,7% van het wereldwijde totaal. Hoewel het nog altijd een relatief klein aandeel gaat, is

38

dit aanzienlijk meer dan in Q3 (0,5%). Nederland is hiermee geëindigd op een zesde plaats van de wereldranglijst (en op de eerste plaats in EMEA) van landen waar het meeste DDoS-verkeer werd gegenereerd. In deze lijst eindigde China opnieuw op de eerste plaats, met 43%, terwijl de Verenigde Staten en Canada met respectievelijk 19% en 10% op plaats twee en drie eindigden. In Q4 zag het Computer Security Incident Response Team (CSIRT) van Akamai een duidelijke toename van de inzet van scanners die controleren of een web-applicatie kwetsbaar is. Hierbij ging het om een serie aanvallen op financiële sector, waarbij gebruik werd gemaakt van de scanners ‘Skipfish’ en ‘Vega’, om te kijken hoe goed een website beschermd was. Deze scanners zijn gratis verkrijgbaar en zijn bedoeld voor beveiligingsprofessionals, die hiermee de beveiliging van hun websites kunnen controleren. Akamai heeft ook opnieuw onderzocht of bedrijven die eenmaal het slachtoffer zijn geworden van een DDoS-aanval een grotere kans hebben om in datzelfde

kwartaal nogmaals het doelwit te worden. Waar deze kans in Q3 van 2013 nog bijna 25% was, blijkt dit in Q4 te zijn toegenomen tot 35%. Poort 445 (Microsoft-DS – Active Directory) was met 30% opnieuw het belangrijkste doelwit van aanvallers, gevolgd door poort 80 (web) met 14% en poort 443 (SSL/HTTPS) met 8,2% NEDERLAND OPNIEUW KOPLOPER IN EMEA MET AANDEEL ZEER SNELLE INTERNETVERBINDINGEN Binnen EMEA was Nederland met 45% opnieuw het land met het hoogste percentage zeer snelle breedbandverbindingen (10Mbps of meer), gevolgd door Zwitserland (42%). Ten opzichte van Q3 zag Nederland slechts een zeer bescheiden groei in deze categorie (1,0%), maar vergeleken met dezelfde periode in 2012 was de toename 91%. Wereldwijd komt ons land hiermee op de derde plaats, terwijl Zuid Korea met 71% de koploper is. Gekeken naar het aantal breedbandaansluitingen met een snelheid van 4Mbps of hoger, eindigde Nederland in Q4 met 87% achter EMEA-koploper Zwitserland, waar 91% van de vaste verbindingen een snelheid behaalt van 4Mbps of hoger. Wereldwijd staat ook hier Korea weer op nummer 1, met 94%. De gemiddelde breedbandsnelheid van vaste verbindingen is in Nederland in het laatste kwartaal van 2014 met 0,7% gedaald, naar 12,4Mbps. Waar Nederland met 36,9Mbps in Q3 nog op de negende plaats eindigde in de wereldwijde lijst van landen met de hoogste pieksnelheden, zijn we in Q4 door andere landen net uit de top-10 verdreven; met 43,6Mbps eindigde ons land op de 11e plaats. Wereldwijd was de gemiddelde pieksnelheid nu 23,2Mbps, terwijl de hoogste snelheid werd gemeten in Hong Kong: maar liefst 68,0Mbps.

Sophos

verhoogt prestaties van netwerkbeveiliging Sophos heeft de Sophos SG Series aangekondigd. Hiermee brengt het bedrijf een belangrijke vernieuwing aan met betrekking tot haar hardware. Deze high-performance hardware - gebaseerd op de vierde generatie Intel Core-processoren - levert meer dan vier keer de snelheid van de vorige generatie UTM-apparaten. De nieuwe SG Serie omvat verschillende modellen om te kunnen voldoen aan de eisen van kleine kantoren tot grote bedrijven met nevenvestigingen. FIREWALL-DOORVOER De uitgebreide medium, mid-range 200, 300 en 400 modellen zijn per direct beschikbaar. Deze 1U-apparaten leveren allemaal een firewall-doorvoer van meer dan 10 Gbit per seconde. Hierdoor kan er makkelijk aan de eisen van beveiliging met meerdere lagen worden voldaan. De SG Serie is de zesde generatie Sophos-beveiligingspoorten die is gebouwd op een Intel-architectuur. Hier-

door kunnen klanten snel profiteren van de verbeteringen op het gebied van prestatie en bescherming. De SG Serie maakt gebruik van Intel-technologieën, inclusief high-speed LAN-interfaces, grote Solid State Drives en AES-NIA-versnelling. UTM-OS De SG Serie werkt met het laatste

Sophos UTM 9.2-besturingssysteem, dat beschikt over meer dan honderdvijftig verbeteringen, waaronder nieuwe Advanced Threat Protection en SPX Email Encryption-functionaliteiten. UTM 9.2, die is ontworpen om op een Intel-architectuur te werken, kan worden ingezet op unified servers van Intel, evenals op virtuele apparaten en in de cloud met Amazon Web Services.

TESTS VAN MIERCOM Testlab Miercom heeft onlangs tests uitgevoerd met de Sophos SG Series: www.miercom.com/2014/04/sophossg230-sg210-utm220/ Meer info over de Sophos SG Series-apparaten en UTM 9.2 is beschikbaar op www.sophos.com/accelerated


39

INDUSTRIAL CYBER SECURITY

Schneider Electric en McAfee

werken samen aan beveiliging

OPERATIONALE BEVEILIGING VERBETEREN Organisaties die belast zijn met het aanleggen en beheren van cruciale infrastructuren, verbeteren met de cybersecurity-oplossingen van Schneider Electric en McAfee hun operationele beveiliging. Daarnaast kunnen zij kosten besparen, doordat zij niet achteraf tal van security-problemen moeten oplossen. Werken met vooraf geteste en gecertificeerde IT-applicaties verbetert ook de prestaties en de beschikbaarheid van belangrijke softwaresystemen. Denk hierbij aan SCADA-oplossingen en syste40

100 Gigabit Application

Delivery Controllers voor cloudservices en bedrijfsnetwerken

Door het snelgroeiend gebruik van cloudtoepassingen krijgen zowel serviceproviders als bedrijven die eigen applicaties hosten behoefte aan betere schaalbaarheid en beveiliging. Application networking specialist A10 Networks introduceert daarom vier nieuwe Thunder Series Appliances met flexibel te configureren 10GbE/40GbE/ 100GbE interfaces en speciale beveiligingsprocessors. Deze zijn gebaseerd op de innovatieve Advanced Core Operating System (ACOS) software van het bedrijf.

Schneider Electric en McAfee gaan een partnership aan voor de levering van cybersecurity-oplossingen. De bedrijven richten zich hiermee op utilities en transportinfrastructuren. De samenwerking betekent onder andere dat organisaties die actief zijn op het gebied van cruciale infrastructuren, zoals water, olie & gas, elektrische netwerken en transport, gebruik kunnen maken van softwareprogramma’s die vooraf zijn getest op eventuele security-problemen. Deze IT-applicaties zijn vervolgens gecertificeerd, zodat de afnemer zeker weet dat deze software geen security-problemen kent. Hierbij wordt gebruikgemaakt van een techniek die ‘whitelisting’ wordt genoemd. Dit wil zeggen dat alleen software wordt aangeboden die aantoonbaar veilig is.

DOOR PETER VAN BERKEL

SECURITY

men voor energiemanagement. De samenwerking maakt het mogelijk om technieken voor whitelisting te combineren met onder andere oplossingen om wijzigingen in softwaresystemen op een goed gecontroleerde manier uit te voeren. Hierdoor kunnen zij kwaadaardige of niet opzettelijke systeemwijzigingen voorkomen. Dit voorkomt dat ongeauthoriseerde code en malware op een systeem wordt geplaatst. Deze mogelijkheden beschermen belangrijke systemen tegen aanvallen doordat voorkomen wordt dat zich een gat in de beveiliging bevindt, zonder dat een organisatie zich hiervan bewust is. Daarnaast wordt de kans op een inbraak in de software geminimaliseerd. Tot slot zorgen goed in-

gerichte patch-cycli ervoor dat systemen en apparaten blijven voldoen aan alle relevante security-standaarden. KRITISCHE INFRASTRUCTUREN Met de McAfee-oplossingen Embedded Control, Integrity Control & Application Control kunnen gebruikers de veiligheid, beschikbaarheid en betrouwbaarheid van kritische infrastructuuromgevingen verbeteren. Dankzij de samenwerking tussen Schneider Electric en McAfee kunnen organisaties change policies doorvoeren. Het voorziet tevens in uitgebreide en geautomatiseerde audit-mogelijkheden voor Industrial Control System-omgevingen.

Het verkeer in datacenters en bedrijfsnetwerken groeit explosief door het gebruik van steeds meer mobiele apparaten, cloudservices, big data en social media. Daarom krijgen zowel Internet Service Providers als middelgrote tot grote bedrijven behoefte aan een flexibeler schaalbare ICT-infrastructuur. Tegelijkertijd wordt het beveiligen van cloudapplicaties kritischer, omdat criminelen en hackers hun aanvallen de laatste tijd steeds vaker verleggen van laag 3-4 naar laag 7. Om te anticiperen op beide ontwikkelingen heeft A10 Networks vier nieuwe modellen Thunder Series Application Delivery Controllers (ADC) geïntroduceerd. Afhankelijk van het gekozen model en bijbehorende interfaces kunnen die in totaal tussen de 40 Gbps en 150 Gbps per appliance verwerken. Uiteraard kan men ook meerdere appliances clusteren om de performance verder op te schalen, zoals gebruikelijk bij netwerkapparatuur.

ZELFLERENDE BEVEILIGING Hoewel ADC’s oorspronkelijk zijn ontwikkeld om op laag 7 van het OSI-model de performance van netwerken cloudapplicaties te optimaliseren, bevatten ze tegenwoordig ook veel beveiligingsfuncties. Zoals Web Application Firewalls (WAF), die op laag 7 van het OSI-model hun beschermingswerk doen en speciale SSL security processors in de ‘S’-modellen van A10 Networks nieuwe Thunder Series. WAF’s onderscheppen en analyseren http-verkeer met als doel alleen geoorloofde webtransacties door te laten. Daarbij worden alle berichten op basis van policies en signaturen gecontroleerd op potentieel bedreigende content en instructies. Omdat hackers steeds geavanceerdere aanvallen proberen te bedenken die op laag 7 worden gericht, zijn WAF’s automatisch in staat om te leren wat normaal en niet-normaal applicatiegedrag is. Uiteraard kan de datacenter-/ netwerkbeheerder zo’n WAF als aanvulling op het eigen leerproces ook volledig zelf configureren en aanpassen.

TOEGEVOEGDE WAARDE WAF Door een ADC met WAF aan het datacenter of netwerk toe te voegen, kunnen zowel serviceproviders als bedrijven op een flexibel schaalbare wijze hun applicatie- en databaseservers ontlasten van rekenintensieve beveiligingstaken om de bescherming te verhogen. Door de WAF-functionaliteit van zo’n ADC te combineren met andere beveiligingsfuncties zoals SSL Offload, ontstaat een slimme firewall met een grote verwerkingscapaciteit, die alle gangbare protocollen begrijpt (IPv4, IPv6, TCP, HTTP, SIP, DNS, SMTP, FTP, Diameter en RADIUS). Daardoor bieden ze zelfs goede bescherming tegen de steeds hevigere DDoS-aanvallen. Tenslotte is zo’n WAF ook één van de officieel erkende oplossingen om online betalingen veilig PCI DSS compliant te verwerken. Oftewel de wereldwijd gebruikte Payment Card Industry Data Security Standard voor het beveiligen van webgebaseerde financiële transacties. Kortom, de WAF’s die standaard deel uitmaken van nieuwe generatie ADC’s hebben interessante toegevoegde waarde te bieden.


41

42

VIDEO

WEBSITES

ADVE MARKETING

PUBLIC RELATIONS

MAIL CAMPGAGNE

GHOSTWRITING

GHOSTWRITING

EVENTS WEBSITES

VIDEO

ADVERTISING

ADVERTISING SALESLEADS

EVENTS ROUNDTABLES

M

MAGAZI

FREE PUBLICTY

WHITEPAPE

FREE PUBLICTY

VIDEO

ADVERTORIALS

worden onomkeerbaar geanonimiseerd of de verantwoordelijke en verwerker houden zich onverkort aan de dwingende wettelijke voorschriften van de privacywetgeving. Dat betekent onder meer voldoen aan de informatieplicht (individuen goed informeren over wat er met hun persoonsgegevens gebeurt) en de toestemmingsplicht (individuen voorafgaand om toestemming vragen). De praktijk zal het leren. Wat gebeurt er op contractueel vlak? Te weinig. Weliswaar oogt er een omslag in het denken, waardoor privacybescherming en informatiebeveiliging voor sommige bedrijven langzaam van een last in een lust verandert, maar die ontwikkeling krijgt nog onvoldoende juridisch beslag in algemene voorwaarden en andere overeenkomsten. Anders gezegd: een beetje CEO haast zich al gauw te verklaren dat de privacy & security zeer hoog in het vaandel staan, terwijl handelspraktijk en juridische voorwaarden de stelling niet of onvoldoende staven. Of het nu gaat om de inzet van cookies op websites of het koppelen van allerlei bestanden. Niet zo zeer het voldoen aan weten regelgeving (legal compliance) creëert economische waarde, maar vooral het klanten meer rechten geven dan waar ze wettelijk recht op hebben of wat branchegebruikelijk is. Dat levert in pas echt voordeel op en betreft een toegevoegde waarde in de marketingmix. Entrepreneurs: leg de lat dus nog hoger.

PR EVENTS

Hiermee gaan ze nadrukkelijk verder dan de Europese Commissie, die vindt dat geldboetes niet meer dan 1 of 2 procent van de omzet behoren te bedragen. Het parlement is verder voorstander van sterke privacyrechten voor de Europese burger. Dat uit zich onder meer in brede consensus over meer zeggenschap over persoonsgegevens. De burger dus aan het roer. Hij moet meer controle hebben over zijn persoonsgegevens, onder meer door vooraf toestemming voor gebruik te geven. Bovendien is ook het Europees Parlement voorstander van een ‘recht om vergeten te worden’. Op grond hiervan heeft de burger het recht om vernietiging van zijn informatie te vorderen. Het laatste woord is echter aan de Europese ministerraad. Ondertussen waarschuwt de Nederlandse toezichthouder, het College bescherming persoonsgegevens, terecht voor de risico’s van de toverformule big data. Uit de enorme berg data kunnen bedrijven en overheden verbanden en behoeften destilleren waardoor zij toekomstig gedrag van mensen kunnen voorspellen, zónder dat mensen dit zelf ook maar kunnen vermoeden. Organisaties kunnen hierdoor mensen anders behandelen dan anderen, wat een grote impact op iemands leven kan hebben Let op. De hooggespannen, vaak commerciële verwachtingen van het verzamelen, koppelen en analyseren van gigantische hoeveelheden gevarieerde gegevens komen alleen uit wanneer de verwerking van persoonsgegevens grofweg op twee rechtmatige manieren plaatsvindt. Of de persoonsgegevens

MAIL CAMPAIGNS

MAIL CAMPGAGNE

Bedrijven verkeren in ronduit lastige situaties. Naast de voortdurende stroom parallelle marktveranderingen, is het vechten tegen digitale misdaad. Daarbij moeten we wel onderscheiden: cybercriminaliteit, economische spionage, militaire spionage en zelfs elektronische oorlogsvoering. Dat geldt voor een belangrijk deel evenzo voor overheidsorganisaties. Netwerk- en informatiebeveiliging is dus meer dan ooit cruciaal geworden. Ook in dit kader kan het recht een dubbelrol vervullen en acteert dan enerzijds als kaderscheppend voorschrift - dwingendrechtelijke weten regelgeving - en anderzijds als contractueel instrument om de digitale beveiliging te optimaliseren. Om het populair te duiden: vooral de legislatieve boel is flink in beweging. En ja, dat heeft weinig verrassend deels met de onthullingen van klokkenluider Edward Snowden te maken. Maar laten we de periode voor 6/6 en andere zaken niet vergeten. Zo krijgt allereerst het nieuwe communautaire privacykader steeds meer vorm. Het Europees Parlement in Straatsburg vergaderde recent over het ontwerp Algemene Verordening Gegevensbescherming, die de huidige regels uit 1995 vervangt (Europese Richtlijn privacybescherming en de Wet bescherming persoonsgegevens). De rijen sluiten zich grotendeels. Als het aan de parlementariërs ligt, gaan de sancties op schending van de nieuwe wet fors omhoog. De boetes kunnen tot 100 miljoen euro oplopen. De maximumstraf moet 5 procent van de geconsolideerde - wereldwijde - omzet worden.

MARKETING PR

ALS VOORSCHRIFT EN STURINGSINSTRUMENT

GHOSTWRITING

MARKETING

RECHT:

WHITEPAPERS

DOOR MR. V.A. DE POUS

LEGAL LOOK

EVENTS

VIDEO

ROUNDTABLES ADVERTISING

Resultaat door samenwerking Bel met FenceWorks 079 - 500 05 59 voor een afspraak met uw accountmanager.

FenceWorks is uitgever van AppWorks, CloudWorks, DatacenterWorks, Infosecurity magazine en Vision & Robotics.


43

You have to SEE IT to believe it

Visibility

The only way to make smart decisions in the 21st Century From the C-level office to network administration, business decisions need to be made at light speed – decisions that enhance productivity and profitability. WatchGuard Dimension instantly turns raw network data into actionable security intelligence. It gives you the ability to see and understand how to protect your business, set tight security policy, and meet compliance mandates.

Go beyond reporting to the decision-making power of WatchGuard Dimension. Pure visibility from any angle. Call us today at +31(0)70 - 711 20 80 or email: [email protected]

LET S TALK ABOUT IT NATIONALE IT-SECURITY MONITOR FENCEWORKS EN PB7 RESEARCH LANCEREN MAGAZINE CYBERCRIME VORMT GROOTSTE RISICO VOOR ECONOMIE

Recommend Documents