1 VOOR PROFESSIONALS IN INFORMATIEVOORZIENING EN -BEVEILIGING MAGAZINE Nr. 02 najaar 2013 Visie van Motiv op Next-Gen Security ' Klanten willen weten ...
VOOR PROFESSIONALS IN INFORMATIEVOORZIENING EN -BEVEILIGING
MAGAZINE Nr. 02 – najaar 2013
Visie van Motiv op Next-Gen Security
' Klanten willen weten wat er op het netwerk gebeurt' > P. 12
Motiv tijdens Infosecurity.nl 2013
Internationale securityspecialisten delen visie op Motiv Pitch Podium > P. 18
Marco de Graaf en Gino van der Velden van de TU Delft
' Onze droom is BYOD, maar dan clientless’ > P. 34
EN VERDER Ontwikkel apps met security als uitgangspunt GGZ-INSTELLING ALTRECHT GEBRUIKT SMSAUTHENTICATIE
15
JAA
R
> P. 6
DE GESCHIEDENIS
VAN Motiv,
in woord en beeld Motiv betrekt nieuw kantoor op een unieke locatie
MAGAZINE Nr. 02 - najaar 2013
Motivator Magazine is een uitgave van Motiv ICT Security
Coverbeeld: Danny Goyen - Studio Incognito
VOORWOORD
IN DIT NUMMER
6 15 jaar Motiv: De geschiedenis van Motiv, in woord en beeld 12 Visie op Next-Generation Security: ' Klanten willen weten wat er op het netwerk gebeurt' 18 Infosecurity.nl 2013 Internationale security specialisten delen visie op Motiv Pitch Podium 30 Frans van Vugt en Dick Hoogendoorn van ggz-instelling Altrecht: ' Sms-authenticatie past helemaal in deze tijd' 38 Patrick Vergeer en Hette Feenstra van Yellax: ' Cloud is voor ons een vernieuwingsproces' EN VERDER 4 11 16 17 22 23 24 26 27 28
Motiv betrekt nieuw kantoor op een unieke locatie Arthur van Uden van Check Point: 'De passie is bij Motiv altijd gebleven' Paul de Goede van Juniper: 'Ontwikkelingen altijd goed aangevoeld' Advanced Security Operations volgens RSA Column: Cloud in control Column: Wake-up call PCI DSS-compliant met sms-authenticatie van SecurEnvoy Paul van de Berg van VvAA: 'Als ik Motiv bel, krijg ik ook Motiv aan de lijn' Albert Leenders en Kevin van Kuik van Transfer Solutions: 'Motiv is informeel en makkelijk in de omgang' Haiko Wolberink van Imperva: 'Motiv denkt altijd in oplossingen'
33 34 41 42 43 44 46 47 48 50 51
F5 Networks neemt Versafe over Marco de Graaf en Gino van der Velden van de TU Delft: 'Onze droom is BYOD, maar dan clientless' Gerard van Kesteren van 1nP: 'Motiv geeft ons het vertrouwen' Ramon Driessen van Dinkgreve: 'Drijfveer om projecten goed af te ronden' Ben Alfrink van Skillcity: 'Motiv is goed in balans' Motiv kondigt 'Compliance Release' aan van mSafe Corné van Rooij van RSA: 'Security Analytics is Motiv op het lijf geschreven' Bedrijven door gebrek aan kennis onvoldoende bestand tegen DDoS-aanvallen Visie: Ontwikkel apps met security als uitgangspunt Gebruik remote-beheerapplicaties zorgt voor toenemende dreiging Motiv Nieuws
1 5 j a a r m o t iv, 15 ja ar IC T Se cu ri ty ! Motiv is alweer vijftien jaar actief in ICT Security. En in vijftien jaar Motiv hebben we nog veel relaties van het eerste uur. Met medewerkers, klanten en partners kijken we in deze Motivator samen terug op vijftien jaar Motiv. In september hebben we een zeer bijzondere mijlpaal bereikt. Na vijftien jaar te hebben gewerkt binnen onze historische Uitspanning zijn we eind september in een splinternieuw en hypermodern kantoor getrokken. Het nieuwe kantoor vormt de basis voor slimme innovatie voor de komende jaren. Onze basis in IJsselstein is voorzien van een afgesloten ruimte voor de securitymonitoring van ICT. Motiv zet actief in op managed securityservices voor het optimaliseren van de weerbaarheid en inzicht middels securitymonitoring. Op deze manier kunnen we de komende jaren blijven zorgen voor de zekerheid en continuïteit van uw digitale domein. We sturen op innovatie in ICT Security. In deze Motivator aandacht voor het ontwikkelen van veilige softwareapplicaties. Een voorbeeld hiervan is de clouddienst mSafe voor het uitwisselen van vertrouwelijke bestanden. Verder veel aandacht voor vernieuwde securitymonitoring en incident/response-processen rondom onze managed securityservices. De komende periode zijn grote activiteiten gepland. Om te beginnen is op 11 oktober de officiële opening van ons nieuwe kantoor in IJsselstein. Verder zijn we op 30 en 31 oktober groots aanwezig op Infosecurity.nl 2013. Ik hoop u op deze evenementen te mogen ontmoeten. Voor nu wens ik u veel leesplezier en ik hoop dat dit magazine u kan inspireren om te werken aan de toekomst van ICT Security. Bastiaan Bakker, Directeur Business Development bij Motiv
3
H E A D L I N E M otiv b etre k t nieuw k antoor op een unie k e l o c atie
1 5 j aa r mo t i v
door Alexandra Dietzsch en Linda van der Sanden, van Dietzsch + van der Sanden Architecten (www.dvdsarchitecten.nl)
Motiv betrekt nieuw kantoor op een unieke locatie Met de opening van het nieuwe kantoorpand aan de Utrechtseweg 34E in IJsselstein neemt Motiv officieel een nieuwe locatie in gebruik. Die locatie bevindt zich op vertrouwd terrein: het Motivkantoor ‘de Uitspanning’ op de Poortdijk staat aan de andere kant van de topgevels van de oude Schilte-fabriek en is zichtbaar vanuit Linda van der Sanden
4
MM 02 | najaar 2013
Alexandra Dietzsch
het nieuwe Motiv-kantoor.
V O L G E N D E P A G I N A 1 5 j aar motiv A L T I J D V O O R O P I N S E C U R I T Y › P . 6
De fabrieken van houtbewerker Schilte zijn al 150 jaar gehuisvest aan de Hollandse IJssel. Tussen 1994 en 1996 is de oude fabriek in fases vervangen door het nieuwe fabrieks- en kantoorgebouw dat is ontworpen door architect Alexandra Dietzsch. De schoorsteen, topgevels en het poortwachtershuis getuigen nog van de historie van het bedrijf. In 2002 werd op een stuk vrijgekomen fabrieksterrein het plan voor twee kantoorvilla’s ontwikkeld. In opdracht van Schilte Beheer ontwierp Dietzsch + van der Sanden Architecten twee gebouwen die elkaars pendant zijn, de een met het gezicht naar de Hollandse IJssel, de ander met het gezicht naar de Utrechtseweg. Dit laatste is nu het kantoor en het gezicht van Motiv ICT Security.
Duurzaam Het is een kantoor om verwend te raken, met luxe werkplekken en een prachtig dakterras waar je tussen de toppen van de bomen zit. Het dak is met mossedum ingeplant en daardoor een zichtbaar stukje duurzaamheid. Duurzaamheid komt ook terug in het gebouwontwerp door de keuze van de materialen en de toegepaste techniek.
Twee voorbeelden van duurzaam materiaalgebruik zijn de betonbesparende vloeren (die zijn opgevuld met holle, kunststof ballen) en de houtaluminium gevels. De techniek, naar ontwerp en advies van 4-Some Technisch Beheer, blijft daarbij niet achter. Een warmtepompinstallatie zet de warmte/koelte uit het grondwater om in warmte/koelte voor de vloerverwarming en ventilatie. Ledverlichting bespaart energie.
treinzitjes en kasten, die een haast huiselijke sfeer uitstralen. Notenhout en paarse stoffering ademen warmte en luxe uit. De grote vergaderruimten, ook zichtbaar door de glazen wanden, hebben indrukwekkende grote tafels. Deze zijn door meubelfabriek Schilte geproduceerd naar ontwerp van Dietzsch+ van der Sanden Architecten. Het gebeurt niet vaak dat het afleveradres op het eigen terrein is!
Transparant Het interieur is misschien wel het klapstuk. De uitdaging was hier om 1200 m2 lege kantoorruimte, met mooi daglicht en prachtig uitzicht, zo in te delen dat de transparantie behouden blijft, maar ook het karakter van Motiv en de sfeer die past bij het bedrijf. In de vele gesprekken, schetssessies en met 3-D studies werd het beeld steeds duidelijker voor Motiv-directeur Ton Mooren: de kantoorruimte moest transparant, open, stoer en helder worden. Binnen deze transparante wereld, zo stelden wij als architecten voor, zou een plek gecreëerd moeten worden waar de werknemers zich terug kunnen trekken, waar je even met je collega kunt overleggen of een klant kunt spreken. Dit is in de middenzone uitgewerkt met
Een droomopdracht Als je als architect het interieur helemaal op maat mag ontwerpen in een pand dat je ook hebt ontworpen en dat op zijn beurt weer deel uitmaakt van een ook door jou ontworpen stukje stad, dan is dat wel een hele grote uitzondering in de praktijk en een unieke kans om iets compleets te maken. Dit was het geval voor Dietzsch + van der Sanden Architecten, een ware droomopdracht op het terrein van Schilte in IJsselstein. De architecten Alexandra Dietzsch en Linda van der Sanden wensen Motiv een bruisende toekomst toe waarin zakelijkheid hand in hand gaat met een open, menselijke en warme uitstraling!
5
1 5 j aa r mo t i v
15 jaar motiv
ALTIJD VOOROP IN SECURITY Wat in 1998 begon als een ‘groepje slimmeriken met een visie’ is uitgegroeid tot een bedrijf met 90 medewerkers dat vooraan staat op het gebied van informatievoorziening en informatiebeveiliging. Vijftien jaar na oprichting is Motiv een krachtige naam met internationale allure die synoniem staat voor innovatie, kwaliteit en betrokkenheid.
6
MM 02 | najaar 2013
H E A D L I N E 1 5 j aar motiv A L T I J D V O O R O P I N S E C U R I T Y
Van ICT naar ICT Security
Van leverancier naar partner
In de beginjaren lag de focus van Motiv vooral op Oracle-databasetechnologie, applicatieontwikkeling en networking. Motiv ontdekte echter al vrij snel dat bedrijven worstelden met vraagstukken zoals ‘hoe ga ik om met internet, hoe beveilig ik mijn e-mail’ en ‘hoe kan ik informatie veilig delen met mijn medewerkers, leveranciers en klanten?’. Organisaties hadden daarbij vooral veel moeite met de vertaalslag van het beleid en het advies over beveiliging naar het daadwerkelijk uitvoeren en beheren van de beveiliging. Meerdere grote organisaties vroegen Motiv om voor hen deze vertaalslag te maken, en zo werd Motiv naast kennisleverancier ook leverancier van security hard- en software.
In het ‘vacuüm tussen advies en uitvoering’ bevond Motiv zich in de beginjaren op een speelveld waarop geen enkel ander bedrijf acteerde. Het bedrijf kende dan ook een voortvarende start; in een korte tijd kreeg Motiv er veel klanten bij en groeide het bedrijf zowel financieel als in omvang. In de jaren die volgden – en waarin het
Een van de eerste significantie deals was de levering van antivirus voor meer dan honderdduizend gulden. Vervolgens heeft Motiv een keuze gemaakt voor de levering van firewalls en overige securityoplossingen van op dat moment niet marktleidende fabrikanten, waarvoor de markt open lag. Met een groep Oracle- en Microsoftontwikkelaars aan boord ging Motiv zich bovendien ook al snel richten op het ontwikkelen van veilige applicaties en ontstond een duidelijke applicatie-ontwikkelstrategie.
' Naast kennisleverancier werd Motiv ook leverancier van hard- en software' gebruik van internet met een onwaarschijnlijke snelheid groeide – nam echter de concurrentie toe. Om de wereld een stap voor te blijven, moest Motiv veranderen. Motiv besloot zich te transformeren van leverancier naar een partner die spart met zijn klanten over complexe problemen en ook het beheer doet over de geleverde beveiligingsoplossingen. > 7
H E A D L I N E 1 5 j aar motiv A L T I J D V O O R O P I N S E C U R I T Y V O L G E N D E P A G I N A ' D e passie is b i j M otiv a l ti j d ge b l even ' › P . 1 1
1 5 j aa r mo t i v
' Om de wereld een stap voor te blijven, moest Motiv veranderen' > Hierdoor ontstonden binnen Motiv drie kernactiviteiten: • ontwikkeling van bedrijfsapplicaties op maat, • levering van innovatieve securityoplossingen en -diensten en het beheer en • specifieke dienstverlening, zoals detachering, securityconsultancy en projectmanagement. Wat Motiv daarbij speciaal maakt is het serviceapparaat. Sinds 2010 is Motiv gecertificeerd voor 8
MM 02 | najaar 2013
kwaliteit en beveiliging (ISO 9001 en ISO 27001). In 2011 kwam daar ook het certificaat bij voor onder andere het leveren van beheerdiensten op beveiligingsconfiguraties en infrastructuren (ISO/IEC 20000-1:2005). Met certificaten voor drie verschillende ISO-standaarden op het gebied van ICT-dienstverlening bevindt Motiv zich in een unieke positie. Motiv laat daarmee zien zowel het ontwikkelproces, de beheerorganisatie als het toegepaste niveau van informatiebeveiliging aantoonbaar onder controle te hebben.
Vrijheid en vertrouwen De rol van ‘partner’, waarin een klantgerichte instelling cruciaal is, bleek Motiv op het lijf geschreven. Het sluit goed aan op wat Motiv belangrijk vindt: betrokken, betrouwbaar, innovatief en een bedrijfscultuur die open en informeel is. Het informele is in de organisatie duidelijk aanwezig. De organisatie is plat en vrijheid staat hoog in het vaandel. Vertrouwen staat centraal, zowel voor de klant als intern. De managers kennen de werknemers en de werknemers de managers. Het is een familie. Projecten worden gevierd met de hele groep, iedereen heeft inbreng en nieuwe mensen worden snel in het bedrijf opgenomen. Ook leven de problemen van de klanten heel erg binnen het bedrijf. Motiv is betrokken bij zijn klanten. “Toen ik bij de borrel van Motiv kwam, vroeg iedereen me of het probleem was opgelost. Zelfs de medewerkers van de administratie”, zo
vertelde een trouwe klant ooit. Het toont wel aan hoe hecht en open de gemeenschap is. De eerste keer komen klanten binnen in pak, de tweede keer in spijkerbroek. Het oude kantoor van Motiv aan de Poortdijk 13 in IJsselstein – waar Motiv kort na de oprichting zijn intrek nam – ademt deze sfeer ook uit: een chique gebouw met een moderne uitstraling, dat tegelijkertijd ook huiselijk en gezellig is. Een ‘thuis’ voor zowel medewerkers als klanten.
nieuwe ‘thuis’ van Motiv centraal blijven staan. Voor Motiv zijn naast de klanten de medewerkers het allerbelangrijkst, juist om de klanttevredenheid te waarborgen. In een branche die continu in beweging is, is het lastig om te voorspellen waar Motiv over tien jaar staat. Voorop staat dat Motiv in bedrijfskringen nog meer bekendheid verwerft; de naam Motiv
moet direct worden geassocieerd met ICT Security. Motiv richt zich nu en in de toekomst steeds meer op de positie van cloud-intermediair in elke markt waarin we opereren. Wij spelen in op de toenemende behoefte naar informatievoorziening en informatiebeveiliging binnen de kaders van mobiliteit, riskmanagement, cloud security en cyberdreigingen.
Een grote uitbreiding In vijftien jaar tijd is Motiv uitgegroeid tot een bedrijf met 90 medewerkers die recent hun intrek hebben genomen in een nieuw gebouw, op steenworp afstand van de Poortdijk waar het allemaal begonnen is. Het nieuwe pand zorgt voor nieuwe mogelijkheden. De uitbreiding van de dienstverlening met een eigen Security Operations Center is daar een goed voorbeeld van (zie ook het artikel op pagina 12 en verder). Sfeer en informaliteit zullen echter ook in het
'De eerste keer komen klanten binnen in pak, de tweede keer in spijkerbroek' 9
HEADLINE XX
I T E M C AT E G OR I E
10
MM 02 | najaar 2013
H E A D L I N E ‘ de passie is b i j M otiv ge b l even ’ V O L G E N D E P A G I N A V isie van M otiv op N ext - G en S e c urity › P . 1 2
v endo r aan he t w oo r d
Arthur van Uden van Check Point Software Technologies:
' De passie is bij Motiv altijd gebleven' In deze editie van Motivator Magazine, waarin we terugblikken op vijftien jaar Motiv, mag Check Point Software Technologies niet ontbreken. Arthur van Uden, Country Manager Benelux bij Check Point, blikt terug op een samenwerking van bijna dertien jaar. Arthur van Uden, die begin 2000 de Nederlandse vestiging van Check Point opende, kan zich zijn eerste kennismaking met Motiv nog levendig voor de geest halen. “Eind 2000 waren wij op uitnodiging van Nokia in Griekenland voor een seminar en daar stond een lange meneer een gepassioneerd betoog te houden over security. Dat betoog was echt helemaal ‘right-tothe-point’.” Geprikkeld door het betoog was Van Uden vastbesloten om meer te weten te komen over die ‘lange meneer’ en zijn organisatie. Al snel kwam hij erachter dat het ging om Bastiaan Bakker van Motiv, en niet lang daarna was het contact gelegd met Motiv-directeur Ton Mooren. “Ton bleek een kopie van Bastiaan te zijn; exact dezelfde blik en passie als het over security gaat.” Gold Partner Die eerste kennismaking mondde uit in een hechte samenwerking die onlangs nog door Check Point werd bekroond met het toekennen van de Gold Partnerstatus aan Motiv. Volgens Van Uden is de passie waardoor hij in Griekenland werd gegrepen altijd gebleven bij Motiv. “Kijk naar hoe bijvoorbeeld de seminars worden georganiseerd; die worden niet alleen gedegen voorbereid maar de onderwerpen worden ook met volle overtuiging en passie overgebracht op het publiek.”
15 ja a r m o ti v Check Point Software Technologies
komen zetten, en wij hadden daar toen al een oplossing voor met een client op notebooks om een beveiligde connectie op te zetten. Ook managed security is iets wat Motiv al heel vroeg had opgepikt, waarbij Motiv het hele securitybeheer uit handen neemt zodat de klant zich kan concentreren op zijn kernactiviteiten.” Een actueel onderwerp dat Motiv volgens Van Uden scherp in het vizier heeft, is de aanpak van georganiseerde DDoS-aanvallen. “We zien niet alleen dat georganiseerde DDoS-aanvallen plaatsvinden, maar ook dat organisaties geen notie hebben wat er allemaal aan malafide software draait noch welke data hun bedrijf verlaten. Dan heb je niet alleen een firewall en IPS nodig, maar zul je ook een 3D Scan moeten draaien en afhankelijk van de uitkomst de juiste maatregelen moeten treffen. Motiv pakt dit heel goed op.” Wisselwerking “In al die jaren van samenwerking is sprake geweest van een continue wisselwerking tussen de Check Point en Motiv”, concludeert Van Uden. “De kracht van Motiv is dat het een
' Passie als het over security gaat’ partnership ook echt als een samenwerking ziet waarin wordt gewerkt vanuit een vertrouwensrelatie. Zo gaan we bijvoorbeeld samen naar klanten toe, en bedenken we samen oplossingen. En als de techniek een keer niet werkt, en de specialisten van Motiv slagen er zelf niet in om het probleem op te lossen, dan wordt dit door Check Point direct opgepakt. Want zelfs ons hoofdkantoor in Tel Aviv weet: als Motiv belt, dan is het geen onzin. Dan is er echt iets aan de hand.”
“Ook is Motiv altijd heel snel geweest met het signaleren van nieuwe ontwikkelingen”, vervolgt Van Uden. “Al in 2001 zag Motiv in dat thuiswerken door al het fileleed snel op zou 11
Fotografie: Danny Goyen
12
MM 02 | najaar 2013
H E A D L I N E ' K l anten wi l l en weten wat er op het netwer k ge b eurt '
Visie v an M o t i v op N e x t - G en S ecu r i t y
'Klanten willen weten wat er op het netwerk gebeurt'
Een nieuw pand betekent niet alleen een nieuw onderkomen voor de medewerkers van Motiv, maar ook de start van een ‘24x7’ Security Operations Center. Met dit SOC geeft Motiv invulling aan wat het noemt ‘Next-Generation Security’. “Hiermee zijn wij in staat om actie te ondernemen nog voordat de klant heeft opgemerkt dat er een probleem is”, zo stelt Security Consultant Ronald van der Westen van Motiv. 13
H E A D L I N E ' K l anten wi l l en weten wat er op het netwer k ge b eurt '
Visie v an M o t i v op N e x t - G en S ecu r i t y
'Motiv gaat de security voor een klant doen, en niet meer alleen het beheer van een product'
Als onderdeel van zijn ‘Beheerdiensten’ verzorgt Motiv voor een groot aantal klanten het beheer over de geleverde securityproducten. Daaronder valt onder andere het uitvoeren van updates en changes en het oplossen van incidenten. Met de inrichting van een Security Operations Center doet Motiv daar nog een flinke schep bovenop. “Motiv gaat de security voor een klant doen, en niet meer alleen het beheer van een product”, aldus Van der Westen, die onder andere betrokken was bij de inrichting van het SOC. “We nemen bijvoorbeeld niet alleen waar dat een firewall verkeer dropt, maar ook of in dat verkeer informatie zit die voor de klant van belang is. De klant hoeft zelf niet meer te onderzoeken wat er gebeurt en welke impact een gebeurtenis heeft op de organisatie. Dat inzicht verkrijgen wij door de systemen van de klant continu te monitoren en analyseren. Vervolgens kunnen wij ‘on the fly’ wijzigingen aanbrengen in het beveiligingsfilter zonder dat de klant zich daar zorgen over hoeft te maken.”
14
MM 02 | najaar 2013
Ronald van der Westen
Bij de ontwikkeling van het SOC heeft Motiv rekening gehouden met diverse elementen op het gebied van het verkrijgen en verbeteren van inzicht, het zorgen voor detectie en monitoring alsmede het creëren van weerbaarheid. Een uiteenzetting van Motivs operating platform ziet er als volgt uit.
“De toegevoegde waarde van Motiv is dat we door de analyse van het verkeer van meerdere klanten beter kunnen voorspellen welke dreigingen er aan zitten te komen”, vervolgt Van der Westen. “Als we tegelijkertijd bij klant A en klant B een dreiging zien, kunnen we daar klant C tegen beschermen. Op die manier helpen klanten elkaar.”
Stap 1: Inzicht verbeteren
Motiv boort daarnaast ook nog andere bronnen aan voor het opbouwen van ‘Security Intelligence’. Zo heeft het SOC ook een koppeling met externe bronnen zoals het Nationaal Cyber Security Centrum (NCSC) en Check Points ThreatCloud, de online database die wordt gevoed door duizenden Check Point-firewalls. Binnen de ThreatCloud worden verdachte situaties door Check Point geanalyseerd (Threat Emulation). Daarbij worden binnen deze cloud centrale databases met data over botnets (250 miljoen IP-adressen), malware (meer dan vier miljoen viruspatronen) en meer dan 30.0000 sites met malware-infecties bijgehouden. “Met deze informatie zijn we in staat
De basis van het SOC wordt gevormd door de informatie die afkomstig is van de systemen van de klant en die wordt verzameld door een logger. Een belangrijke bron van informatie zijn bijvoorbeeld de ‘Next-Generation Firewalls’ die op klantlocatie staan of in de Secure Cloud van Motiv (zie ook het kader). “Om te weten te komen wat er allemaal gebeurt op het netwerk heb je veel meer nodig dan een traditionele firewall”, aldus Van der Westen. “Dat inzicht krijg je onder andere met een Next Generation Firewall, die naast de traditionele firewallfunctionaliteit ook zaken biedt als IPS, Anti-Bot en antimalware.”
V O L G E N D E P A G I N A “ M otiv heeft de ontwi k k e l ingen a l ti j d goed aangevoe l d " › P . 1 6
Gedegen weerbaarheid Next-Generation Firewalls vormen een belangrijk onderdeel van de ‘nieuwe generatie security’. Dit nieuw type firewall heeft een zeer uitgebreide set aan beveiligingsfilters om geavanceerde malware, botnets en andere cyberaanvallen tijdig te onderscheppen en de impact van een aanval te verminderen. Motiv maakt gebruik van de ‘securityblades’ van Check Point Software Technologies die in combinatie een totale vorm van beveiliging bieden. Zo biedt Check Point blades voor firewalling, antimalware, IPS, Application Control, het bestrijden van botnets en voor Threat Emulation. Deze laatste filter kan op basis van verdacht gedrag bestanden filteren. In verdachte situaties worden bestanden in de afgeschermde omgeving automatisch uitgepakt en opgestart. Bij ongewenste bijwerkingen – wat het geval is bij een zogenoemde zero-day cyberaanval en vormen van phishing – wordt het bestand geweerd en de beheerder gewaarschuwd.
om klanten nog sneller te helpen”, zegt Van der Westen. “We zijn in staat om actie te ondernemen nog voordat de klant heeft opgemerkt dat er een probleem is.”
Stap 2: Monitoren en detecteren Met behulp van een geautomatiseerde analyse wordt er vervolgens voor gezorgd dat de berg aan informatie wordt teruggebracht tot een minimaal aantal events. Dit ‘geautomatiseerd minimaliseren’ gebeurt onder andere op basis van ‘use cases’. Aan de hand van deze ‘scenario’s’ wordt bepaald welke informatie belangrijk genoeg is om voor nader onderzoek aan te bieden bij de Security Information en Event Management (SIEM)-tooling en te tonen op de dashboards in het SOC. “Een poortscan zien wij op zichzelf niet als een beveiligingsincident”, licht Van der Westen toe. “Als een poortscan leidt tot een gerichte aanval op een bepaalde applicatie, dan is die poortscan voor ons wel een stuk informatie die we meenemen in de analyse.”
De SIEM-tooling zorgt vervolgens voor een correlatie tussen de verschillende soorten meldingen, zo legt Van der Westen uit. “Als er vervolgens aanleiding is voor nader onderzoek, wordt er een call aangemaakt, worden de bewuste events gepresenteerd op onze dashboards en gaat een analist van Motiv ernaar kijken. Dan kijken we bijvoorbeeld wie wat heeft gedownload, waar malware vandaan komt en wat een stukje malware precies doet. Dan wordt ook duidelijk of er echt sprake was van een aanval, of van een valse melding.”
Stap 3: Reageren Op basis van alerts kunnen de security-specialisten van Motiv vervolgens maatregelen nemen. Dat kan al dan niet automatisch, afhankelijk van de afspraken die zijn gemaakt met de klant en die vastliggen in het ‘dossier afspraken en procedures’ (DAP). Van der Westen: “Bij een ‘low risk’ dreiging kan het zijn dat we de keuze aan de klant laten of er wel of niet direct maatregelen worden genomen. Bij meldingen met een ‘high’ of ‘medium risk’ kan het zijn dat
we de klant informeren, maar wel direct aan de slag gaan met het nemen van maatregelen.” Maar dit is wel sterk afhankelijk van de gemaakte afspraken, zo benadrukt Van der Westen. “In sommige gevallen kan het zijn dat de impact van een wijziging groter is dan de impact van het probleem zelf. In dat geval bespreken we met de klant de te nemen acties.”
Duidelijke trend Volgens Van der Westen past de opbouw van een Security Operations Center binnen een duidelijke trend. “Steeds meer klanten willen inzicht hebben in wat er op het netwerk gebeurt en hoe de actuele aanvalspatronen eruit zien, zeker als ze na een aanval tot de ontdekking komen dat de aanval voorkomen had kunnen worden. Bijvoorbeeld Next-Generation Firewalls en databases met aanvalspatronen die automatisch worden bijgewerkt, voorzien in die behoefte. De volgende stap is dat de intelligentie als een dienst wordt geboden. En binnen die dienstverlening kunnen we nog veel meer voor de klant gaan doen.”
15
H E A D L I N E “ M otiv heeft de ontwi k k e l ingen a l ti j d goed aangevoe l d ”
v endo r aan he t w oo r d
Paul de Goede van Juniper Networks:
' Motiv heeft de ontwikkelingen altijd goed aangevoeld'
15 ja a r m o ti v
Wat begon als een ‘aftastend gesprek’ mondde uit in een vriendschappelijke relatie die nu al ruim tien jaar duurt. “Dat persoonlijke contact, met een team dat er al heel lang zit, dat kenmerkt Motiv”, zegt Paul de Goede, Channel Manager bij partner Juniper Networks. Toen De Goede in 2003 voor het eerst in contact kwam met Motiv was hij nog in dienst van NetScreen Technologies, de leverancier van beveiligingssystemen die in 2004 werd opgekocht door Juniper Networks. “Motiv had toen net een project gewonnen met NetScreen, en ik wilde wel eens kijken of
Juniper Networks
de kracht van Motiv”, zo oordeelt De Goede. “Door die focus staat Motiv garant voor kwaliteit, en slaagt Motiv er altijd in om voorop te lopen.” “Security is al lang niet meer dat ondergeschoven kindje; het onderwerp is in belang gestegen van een top-10 naar een top3 issue”, vervolgt De Goede. “En het gaat al lang niet meer alleen om het beveiligen van systemen, maar ook om het beveiligen van bijvoorbeeld gebruikers en virtuele omgevingen. Ook de aanvalspatronen zijn gedurende de afgelopen tien jaar heel erg veranderd, en daarmee ook de manier waarop je
' Niet voor niets dat Motiv er als eerste partner in Nederland in slaagde om Junos WebApp Secure te verkopen' Paul de Goede, Juniper Networks
we de basis konden verbreden. Maar dat werd eigenlijk een heel raar gesprek”, zo herinnert De Goede zich. “Motiv deed toen al zaken met Check Point, en men vroeg zich af wat ik eigenlijk kwam doen. De sfeer was heel erg aftastend.” Al snel ontstond er een vriendschappelijke relatie. “Dat persoonlijke contact, met een team dat er al heel lang zit, is ook wat Motiv kenmerkt. De druk bezochte maandelijkse netwerkborrels zijn daar een goed voorbeeld van.” Focus Waar De Goede na de overname van NetScreen door Juniper een steeds breder portfolio ging vertegenwoordigen, is de focus van Motiv altijd op security gebleven. “En daar zit ook 16
MM 02 | najaar 2013
moet beveiligen. Dat zijn ontwikkelingen die Motiv altijd heel goed heeft aangevoeld. Niet voor niets dat Motiv er als eerste partner in Nederland in slaagde om Junos WebApp Secure, JWAS, voor het in realtime detecteren, profileren en voorkomen van hacks en hackers, te verkopen.” Consultants “Motiv begrijpt als geen ander dat een product niet de oplossing kan zijn voor alles”, concludeert De Goede. “Motiv probeert altijd eerst te doorgronden wat de strategie van de klant is op het gebied van security. Naar de klant toe treden de beveiligingsspecialisten van Motiv veel meer op als consultants dan als verkopers.”
H E A D L I N E Ba l ans tussen P reventie , D ete c tie , A na l yse en R esponse V O L G E N D E P A G I N A M otiv op I nfose c urity . n l › P . 1 8
Visie
door Guido Eschbach, Partner Account Manager bij RSA
Advanced Security Operations
Balans tussen preventie, detectie, analyse en response Traditioneel richt informatiebeveiliging zich primair op het voorkomen van incidenten. Specifiek in ICT-beveiliging worden de meeste energie en budgetten geïnvesteerd in preventieve technologieën. Desondanks zien we de laatste jaren een sterke stijging in security-incidenten. Cybercrime heeft zich ontwikkeld tot een volwassen industrietak waar substantiële bedragen in worden verdiend, succesvol specifieke informatie wordt gestolen of vanuit een ideologische motief schade wordt toegebracht. Een recent beveiligingsonderzoek stelt dat er dagelijks tot wel 100.000 nieuwe varianten van malware worden ontwikkeld. Preventieve technologieën zijn goed in het geautomatiseerd herkennen en blokkeren van bekende malwarepatronen. Ze zijn echter niet geschikt om gerichte geavanceerde onbekende aanvallen te detecteren dan wel te blokkeren. Hieruit lijkt de logische conclusie te volgen dat het volledig voorkomen van security-incidenten onhaalbaar is. Maar voorkomen is toch beter dan genezen? Dezelfde metafoor volgend kunnen nog meer vragen worden gesteld. Wat is de kans dat ik ziek word? Hoe snel weet ik dat ik ziek ben zodat er een diagnose kan worden gesteld? Wanneer kan met de juiste behandeling worden begonnen? ICT-beveiliging is op hoofdlijnen niet anders. Wat is het risicoprofiel? Hoe snel is bekend dat iemand probeert geld of informatie te stelen? Hoe kan er iets tegen gedaan worden? Op basis van de antwoorden op deze vragen kan een balans worden bepaald tussen Preventie, Detectie, Analyse en Response. Security Information & Event Management (SIEM) wordt veelal ingezet als centrale technologie voor detectie. SIEM is erop gericht loginformatie uit allerlei verschillende ICT-systemen te centraliseren, interpreteren, hierover te rapporteren en alarmeren. Deze technologie is oorspronkelijk ontstaan vanuit de behoefte
aan geautomatiseerde compliancyrapportages. Voor incidentdetectie is SIEM echter beperkt tot loginformatie waaruit alleen bekende patronen herkend worden. SIEM was een goede start. Voor een goede detectie en analyse van en response op geavanceerde onbekende aanvallen is meer nodig. Security Analytics RSA Security Analytics, een nieuw platform ontwikkeld op basis van bestaande en bewezen technologieën, helpt organisaties in het effectiever en efficiënter detecteren, analyseren en begrijpen van dreigingen die door preventieve en SIEM-technologieën onopgemerkt blijven. RSA Security Analytics maakt dit mogelijk door: • een gedistribueerde, modulaire en schaalbare ‘big data’-architectuur, • het combineren van logdata, volledige netwerkdata en het monitoren van werkplekken, • de ‘realtime’ verrijking van deze informatie met ge aggregeerde externe ‘threat intelligence’ en interne informatie over assets, identiteiten, dataclassificatie, et cetera en • een centrale applicatie voor alerting, dashboarding, analyse en reporting. In tegenstelling tot preventieve technologieën, die vaak zijn gebaseerd op signatures en de ontwikkeling van nieuwe kwetsbaarheden en risico’s niet meer bij kunnen houden, helpt Security Analytics securityspecialisten
met het ontdekken van opvallend of afwijkend gedrag van onbekende dreigingen. Uiteindelijk stelt het verbeterde inzicht en de snelheid van Security Analytics organisaties in staat de tijd tussen de start van de aanval en de reactie erop drastisch te verkleinen waardoor schade voorkomen dan wel aanzienlijk beperkt wordt.
Zie voor meer informatie www.rsa.com of het SecuredByRSA YouTube-kanaal www.youtube.com/SecuredByRSA 17
H E A D L I N E M otiv op I nfose c urity . n l
I n f o s e c u r i t y . n l 2 0 1 3 i n t e k e n v a n IT - o n - d e m a n d
Infosecurity.nl 2013 in teken van IT-on-demand
Motiv op Infosecurity.nl Op onze dynamische, eigentijdse en moderne stand D100 geven wij u op een ontspannen en interactieve manier uitleg over beveiligingsvraagstukken op het gebied van bijvoorbeeld ‘Cloud Movement’, cloudcomputing, cloudsecurity, het veilig ontsluiten van data, Next-Generation Security, Secure Hosting en veilige bestandsuitwisseling.
infosecurity special 2013
Are you always on?
Veilige bestandsuitwisseling
In deze tijd waarin medewerkers niet per definitie binnen kantoormuren en -uren werken, zullen IT-organisaties applicaties en informatie direct moeten kunnen aanbieden. Informatie moet nú beschikbaar zijn, en niet morgen of volgende week. Dit mag echter niet ten koste gaan van ICT Security.
Motiv mSafe is Motivs platform voor het uitwisselen van documenten, maar dan met maximale veiligheid en betrouwbaarheid als uitgangspunt. Motiv draagt zorg voor het veilig uitwisselen van vertrouwelijke bestanden en documenten, en voorkomt oneigenlijk gebruik van het platform door de dienst continu te bewaken.
Op 30 en 31 oktober 2013 is Motiv weer aanwezig op Infosecurity.nl. Met ‘Cloud Movement’ als thema haakt Motiv in op vraagstukken rondom ICT Security, het belang van veiligheid in de Cloud en Secure Apps.
Meer over Motiv mSafe in het artikel op pagina 44 en 45.
Motiv Pitch Podium Dit jaar verzorgt Motiv een nieuw concept: Motiv Pitch Podium: dé ideale plek om ongedwongen te luistere n naar unieke en visionaire pitches van belangrijke internationale spelers op het gebied van ICT Security. In een kwartier wordt u meegenomen in de wereld van ICT Security en zullen recente marktontwikkelingen op het gebied van informatiebeveiliging, informatievoorziening en informatie-integratie worden meegenomen. Via [email protected] kunt u van tevoren vraag die tijdens de pitches worden meegenomen. Op woensdag 30 oktober kunt u na de pitches uitvoerig bijpraten en netwerken op onze uitgebreide borrel. Meer over Motiv Pitch Podium, de pitches en het programma op pagina 19.
Cloud Movement Steeds meer applicaties verplaatsen naar zowel de private als de publieke cloud. Vaak worden risicomanagement en informatiebeveiliging echter overgeslagen wat kan leiden tot incidenten. Tijdige dataclassificatie is essentieel om te voorkomen dat bedrijfsgevoelige data voor iedereen zichtbaar worden. Op Infosecurity.nl 2013 wordt uitgebreid op cloudsecurity ingegaan. Meer over Cloud Movement en cloudsecurity in de column op pagina 22. 18
MM 02 | najaar 2013
Next-Generation Security Steeds meer klanten willen inzicht in wat er op het netwerk gebeurt en hoe actuele aanvalspatronen eruit zien. Motiv voorziet hierin met een ‘24x7’ Security Operations Center, zodat bij problemen tijdig kan worden ingegrepen. Meer over de visie van Motiv op Next-Generation Security leest u in het artikel op de pagina’s 12 tot en met 15.
DDoS Protection, beschikbaarheid en performance DDoS is een probleem van iedereen. Maar gelukkig zijn beschermende DDoS-maatregelen ook beschikbaar en betaalbaar voor iedereen. Tijdens Infosecurity.nl vertellen wij u graag wat de mogelijkheden zijn.
H E A D L I N E X X X xxxxx
H E A D L I N E M otiv P it c h P odium V O L G E N D E P A G I N A p l attegrond infose c urity . n l 2 0 1 3 › P . 2 0
Motiv Pitch Podium
Motiv Pitch Podium Trots presenteert Motiv een nieuw concept tijdens Infosecurity.nl: het Motiv Pitch Podium. Verspreid over de twee beursdagen worden er acht pitches gehouden door zowel Motiv als Check Point Software Technologies. In plaats van productverkoop staat een visionair en actueel verhaal centraal dat aansluit op trends rondom ICT Security.
Woensdag 30 oktober & donderdag 31 oktober 10.30 Check Point Software Technologies DDoS, protecting the threats
van Motiv
tter Niels den O int Po k ec Ch van
Toelichting op de pitches Check Point Software Technologies
14.30 Check Point Software Technologies
De DDoS-aanvallen afgelopen voorjaar moeten een wake-upcall zijn om cybersecurity meer prioriteit te geven. Maar voor het ‘op orde brengen van cybersecurity’ is meer nodig dan een firewall en een antiviruspakket. Voor effectieve preventie biedt Check Point ‘Multi-Layer Security’. In twee visionaire pitches neemt Check Point u mee in de wereld van ‘securitygereedschapskisten’, IPS, Threat Emulation en ‘ThreatCloud’.
Motiv: ‘Scurity Wheel of Prevention’
13.30 Motiv
Securely Exchanging Files over the internet: Just to be (m)Safe
Multi-Layer Security, protecting your business and corporation
15.30 Motiv
The Security Wheel of prevention, availability and performance
100% veiligheid bestaat niet. Security blijkt een continu kat-en-muisspel tussen hacker en verdediger. Motiv optimaliseert dagelijks de securitydiensten aan de hand van de operationele dreigingsanalyses en de beveiligingsadviezen van het NCSC. Op basis van deze informatie optimaliseren we de weerbaarheid en securitymonitoring bij onze klanten. Motiv houdt rekening met diverse elementen op het gebied van het verkrijgen en verbeteren van inzicht, het zorgen voor detectie en monitoring alsmede het creëren van weerbaarheid op basis van het ‘Security Wheel’. 19
H E A D L I N E p l attegrond infose c urity . n l 2 0 1 3
p l at t e g r o n d I n f o s e c u r i t y. n l 2 0 1 3
PLATTEGROND Infosecurity.nl 2013
infosecurity special 2013 20
MM 02 | najaar 2013
H E A D L I N E dee l nemers I nfose c urity . n l 2 0 1 3 V O L G E N D E P A G I N A C l oud in c ontro l › P . 2 2
d e e l n e m e r s I n f o s e c u r i t y. n l 2 0 1 3
Woensdag 30 oktober 2013: Irene Congreszaal / Capsule 1 Titel: Van cloud tot bedrijfsgeheim; waarom wij niet kunnen beveiligen. Spreker: Brenno de Winter, Onderzoeksjournalist Tijd: 11.00 - 11.45 uur
Donderdag 31 oktober 2013: Polar zaal Titel: The fifth wave Bedrijf: KPMG Spreker: Edo Roos Lindgreen, Partner, Head of Innovation Tijd: 11.00 - 11.45 uur Titel: Security bij Google Bedrijf: Google Spreker: Ruben van der Stockt, EMEA Security Lead, Google Tijd: 12.00 - 12.45 uur
21
H E A D L I N E c l oud in c ontro l
Cloud in control
C olumn B as t iaan S choonho v en , ma r ke t ingmanage r bi j M o t i v
Cloud in control
infosecurity special 2013
n
Bastiaan Schoonhove
Een applicatie die naar de cloud verhuist neemt haar data mee. Daarmee stuiten we direct op een probleem: in de cloud kan de ‘dataset’ niet meer meeliften op de controlemechanismen die een bedrijf heeft voorzien binnen het interne netwerk. Het is daarom de kunst om die sets te herkennen en als een losstaand geheel te zien, en te onderkennen dat aanvullende beveiligingsmaatregelen nodig zijn om die sets in het ‘Wilde Westen’ van het boze internet te beschermen. Een goede beveiliging begint echter bij een gedegen dataclassificatie. Zoals het gebruikelijk is om binnen het interne netwerk een ‘gouden zone’ te definiëren voor de kostbaarste kroonjuwelen, is het nu ook zaak om te bepalen welk type informatie beslist niet in de cloud mag staan. Zo zal Coca-Cola de ‘Coca-Cola-formule’ niet beschikbaar stellen via een publieke clouddienst; 22
MM 02 | najaar 2013
Het trekken van een creditcard is vaak voldoende om zakelijke applicaties via de cloud beschikbaar te stellen. Het gevolg is dat bedrijfsgevoelige data zoals financiële gegevens of personeelsinformatie eveneens met enkele eenvoudige handelingen in de cloud komen te staan, zonder dat er een gedegen risico-afweging plaatsvindt en de benodigde beveiligingsmaatregelen worden genomen. Door tijdig in kaart te brengen welke data in de cloud mogen staan, kunnen onveilige situaties worden voorkomen.
die moet binnen het eigen netwerk worden beveiligd en beschermd. Daarna blijft er een verzameling data over die wel in de cloud mag staan, maar ook hier kan nog een tweedeling worden aangebracht. De data die misschien niet het predikaat ‘high secure’ maar wel het predikaat ‘secure’ krijgen, komen bij voorkeur in een private cloud te staan die door de eigenaar van de data kan worden gecontroleerd en die zich bij voorkeur binnen Nederland bevindt. Om er zeker van te zijn dat de cloudprovider de integriteit, vertrouwelijkheid en beschikbaarheid van informatie goed heeft geregeld, is het goed om erop te letten dat de leverancier is gecertificeerd voor bijvoorbeeld ISO 27001, ISO 20000 en ISO 9001. Daarmee toont de leverancier aan de processen op orde te hebben. Bij voorkeur is
de cloudleverancier in staat om de beveiliging van de private cloud in te richten met zaken als firewallfunctionaliteit, Identity and Access Management, en generieke zaken als weerbaarheid, security monitoring en incident response. De data die niet als gevoelig worden gekwalificeerd kunnen probleemloos in een publieke cloud worden geplaatst, bijvoorbeeld van Amazon of Microsoft. Maar ook hier is het raadzaam om na te denken over de beveiliging. Zo kan er voor worden gekozen om een applicatie eerst dusdanig ‘volwassen’ te maken zodat zij in staat is om zichzelf en haar data te beschermen. Bijvoorbeeld een system integrator kan er voor zorgen dat de verschillende diensten die een bedrijf uit de cloud afneemt aan elkaar worden geknoopt zodat vanaf één punt kan worden ingelogd. Zo blijft de onderneming ook in de publieke cloud ‘in control’.
H E A D L I N E W a k e - up c a l l V O L G E N D E P A G I N A Leveran c ier in de s c hi j nwerpers : S e c ur E nvoy › P . 2 4
C olumn N iels den O t t e r , S ecu r i t y E nginee r bi j C heck P oin t S o f t w a r e Technologies
Wake-up call Afgelopen voorjaar werden Nederlandse banken en overheden massaal getroffen door DDoSaanvallen, op een schaal die we in Nederland nog niet gewend waren. Soms kreeg je de indruk dat niemand de aanvallen had zien aankomen. Uit de reacties en de media-aandacht kwam in ieder geval het beeld naar voren dat DDoS bij veel bedrijven niet hoog op de agenda stond en dat security een ‘ver-van-mijn-bedshow’ is. Dat geeft stof tot nadenken voor de toekomst. Voordat we het weten gaan netwerken en websites opnieuw ‘op zwart’ door een aanval die we nu nog niet kunnen voorspellen. Terecht vindt Nationaal Coördinator Terrorismebestrijding en Veiligheid Dick Schoof dan ook dat de DDoS-aanvallen een ‘wake-up call’ moeten zijn voor bedrijven en overheden om cybersecurity meer prioriteit te geven. “Als Nederland economisch een topspeler wil blijven, dan moet de cybersecurity op korte termijn op orde worden gebracht. Niet in 2020, maar nu meteen. Veiligheid en economie zijn meer dan vroeger onlosmakelijk met elkaar verbonden”, zo verklaarde hij in augustus tegenover Het Financieele Dagblad. Maar voor het ‘op orde brengen van de cybersecurity’ is meer nodig dan een firewall en een antiviruspakket. De huidige dreigingen zijn zo divers dat voor een effectieve preventie een ‘Multi-Layer Security’-aanpak nodig is, oftewel een complete gereedschapskist aan beveiligingsmaatregelen. Voor een effectieve preventie is een ‘MultiLayer Security’-aanpak nodig. Die aanpak gaat zoals gezegd verder dan het plaatsen van een firewall en het installeren van antivirus. Zo is minimaal nog een IPS nodig en een gereedschap om bots op het interne netwerk op te kunnen sporen en te kunnen elimineren. Oplossingen als antivirus maken voor het overgrote deel gebruik van ‘signatures’ terwijl we steeds meer te maken krijgen met zero-day threats waarvoor nog geen ‘handtekening’ beschikbaar is. Daarom is
het ook noodzakelijk om in documenten zelf te kunnen kijken, en te analyseren wat er bij opening onder water wordt uitgevoerd op een systeem. Bijvoorbeeld Check Point biedt hiervoor het ‘Threat Emulation Blade’. Een algemene maatregel is het van elkaar leren, zowel op nationaal als internationaal niveau. Al anderhalf jaar geleNiels den Otter den waren er in de Verenigde Staten signalen op te pikken van een toename van het aantal DDoS-aanvallen op ondernemingen. Die signalen werden toen in Nederland niet opgepikt, of hebben niet tot de juiste risicoanalyse geleid. Door onderling meer informatie uit te wisselen, en door gebruik te maken van een online dienst zoals de ThreatCloud van Check Point, zijn signalen beter op waarde te schatten en om te zetten in maatregelen waarmee een daadwerkelijke aanval kan worden voorkomen. Daarnaast blijft het natuurlijk belangrijk om gewoon het gezonde verstand te blijven gebruiken. Kijk wat de belangrijke zaken zijn om te beschermen en welke processen moeten worden gevolgd op het moment dat een aanval plaatsvindt. Kijk ook verder dan de neus lang is, door apparatuur slimmer te gebruiken. Een IPS kan bijvoorbeeld ook prima worden gebruikt om clients te beschermen. Zijn we met deze ‘securitygereedschapskist’ dan volledig voorbereid op alles wat we nu nog niet kunnen voorspellen? Waarschijnlijk niet, maar het wordt wel een stuk eenvoudiger om een aanval tijdig te stoppen. Wie geen maatregelen neemt, is zeker niet voorbereid. Security blijft in dat opzicht een vorm van verzekeren: wie geen verzekering afsluit omdat er toch geen brand uitbreekt, staat met lege hand op het moment dat het noodlot toeslaat.
23
H E A D L I N E P C I D S S - c omp l iant met sms - authenti c atie van S e c ur E nvoy
L e v e r ancie r in de schi j n w e r pe r s : S ecu r E n v oy
Pizzaketen kiest voor SecurAccess
PCI DSS-compliant met sms-authenticatie van SecurEnvoy De populariteit van Pizza Hut's online bestelsysteem vereist een robuuste website en een veilig betalingsnetwerk. Pizza Hut dient zich, net als andere retailers wereldwijd, te houden aan de Payment Card Industry Data Security Standard (PCI DSS). PCI DSS vereist dat medewerkers met externe toegang tot een netwerk dat kaartbetalingsgegevens bevat meer dan alleen een wachtwoord moeten gebruiken om hun identiteit te bewijzen. Voor Pizza Hut betekende dit dat alle medewerkers met laptops – totaal ongeveer 200 – een tweede authenticatiefactor nodig hadden. Gekozen werd voor SecurAccess, de tokenloze two-factor authenticatie (2FA) ontwikkeld door SecurEnvoy.
Een authenticatiewereld zonder hardwaretokens Volgens Fawad Shah van Pizza Hut was authenticatie via mobiele telefoons de meest praktische optie. "We hebben gekeken naar een aantal alternatieve systemen, waaronder plastic tokens die een willekeurig wachtwoord genereren en naar kaarten die iets soortgelijks doen. Mobiele telefoons kwamen echter als beste uit de bus. Iedereen heeft een mobieltje bij zich en dus was een systeem waarbij wachtwoorden via sms worden gestuurd de goedkoopste en meest efficiënte manier om te voldoen aan PCI DSS." Met behulp van sms verstuurt SecurAccess op het moment van verificatie een toegangscode naar de mobiele telefoon van de werknemer die inlogt, waardoor deze beveiligd verbinding kan 24
MM 02 | najaar 2013
Plaatst de gebruiker in control maken met het Pizza Hut-netwerk. De toegangscodes zijn elke keer verschillend en worden geleverd zodra de gebruiker inlogt. Shah vervolgt: "Er was zoals verwacht eerst wat weerstand bij de gebruikers. Medewerkers staan over het algemeen argwanend tegenover veranderingen, vooral als het gaat om IT-systemen. Zodra ze SecurAccess echter begonnen te gebruiken, beseften ze dat het de eenvoudigste en meest effectieve manier is om de toegang tot het netwerk te beveiligen. Met behulp van SecurAccess hebben we onze doelstellingen bereikt. We voldoen aan PCI DSS, al onze medewerkers met laptops zijn in staat om veilig in te loggen en het leidt tot minimale verstoring van onze online betalingssystemen of de praktijk van ons dagelijkse werk."
Geen tokens meer! SecurAccess stelt gebruikers in staat hun bestaande persoonlijke apparaten te gebruiken voor authenticatie. Gebruikers met meerdere apparaten hebben de vrijheid om hun identiteit zo vaak ze maar willen te wisselen tussen apparaten. De eenvoudige 2FA-inlogervaring verandert het favoriete toestel van de gebruiker in een authenticatiemiddel en levert daarmee een oplossing voor een fractie van de kosten van traditionele hardwaretokens.
V O L G E N D E P A G I N A ' A l s i k M otiv b e l , k ri j g i k oo k M otiv aan de l i j n ' › P . 2 6
Grensverleggend: SecurEnvoy-medewerker James Ketchell fietst 29.000 kilometer rond de wereld.
Elegant en simpel Elk mobiele apparaat kan worden gebruikt als authenticatiemiddel. De oplossing gebruikt uw huidige LDAP-server als database en biedt naadloze integratie met Microsoft Active Directory, Novell eDirectory, SunDirectory Server en Open LDAP zonder de noodzaak om extra databases of hardware in te zetten; en levert daarmee meervoudige serverondersteuning voor meerdere domeinen. Diverse leveringsmogelijkheden zijn beschikbaar: • eendaagse/meerdaagse codes, • realtime sms-toegangscodes, verzonden on-demand en sessie-vergrendeld • vooraf geladen sms, • toegangscodes verstuurd via beveiligde e-mail, • Soft Token Apps en • telefoongesprek waarbij toegangscodes worden ingevoerd via het toetsenbord van de telefoon. Klanten profiteren van verminderde supporttijd en het feit dat geen databasebeheer noodzakelijk is vanwege het gebruik van bestaande LDAPservers. Ook is het niet nodig om fysieke token uit te rollen waardoor de ROI voor organisaties relatief hoog is.
Authenticatie onder extreme omstandigheden Een man, een fiets, een krankzinnig idee om de wereld rond te reizen en in de tussentijd ontdekken of de tokenloze two-factor authenticatieoplossing van zijn werkgever SecurEnvoy ook overal ter wereld werkt onder extreme omstandigheden. Dat was de uitdaging die Engelsman James Ketchell op zich nam – en hij is inmiddels ruim 80 dagen onderweg. Tijdens zijn zoektocht naar zijn persoonlijke grenzen, onder het motto ‘Pushing Limits’, test hij ook meteen de grenzen van zijn authenticatiesoftware. In 2008 kreeg James Ketchell een zeer ernstig motorongeluk. Hij overleefde het, maar wel met de diagnose dat hij misschien nooit meer goed zou kunnen lopen. Hij bewees het ongelijk van zijn artsen. Ketchell vocht zich terug en kwam het ongeluk te boven. Op 16 mei 2011 klom hij naar de top van de Mount Everest. Voor deze extreme sporter was dat echter nog niet voldoende. Op 30 juni van dit jaar begon hij vanuit Greenwich Park in Londen aan zijn grootste uitdaging tot nu toe. Sindsdien is hij op zijn fiets vanuit Engeland door Europa naar Azië gereden en vervolgens verder naar Australië. Het kostte Ketchell minder dan 70 dagen
om het vijfde continent te bereiken. Van daar af wil hij zijn reis nu voortzetten naar de Verenigde Staten: totaal bijna 29.000 kilometer, oftewel gemiddeld 160 kilometer per dag. De extreme sporter registreert zijn reis via zijn blog op www.jamesketchell.net/blog/. Dat betekent dat hij af en toe moet inloggen op zijn netwerk vanaf enkele bijzondere locaties. In de sneeuw of in de woestijn, hoog in de bergen of onder de zeespiegel: Ketchell wil de tokenloze two-factor authenticatie-oplossing van zijn werknemer testen onder moeilijke omstandigheden. Voor het SecurEnvoy-concept heeft de gebruiker geen speciale hardwaretoken nodig. In plaats daarvan is alleen een mobiel eindapparaat nodig zoals een smartphone, tablet of laptop. Bij het inloggen voeren gebruikers hun persoonlijke toegangsgegevens in, evenals een dynamisch door de server engine gegenereerde toegangscode. Deze code wordt door de gebruiker ontvangen via sms, e-mail, soft token app of een telefoongesprek. Ketchell heeft al deze verschillende methoden getest tijdens zijn reis – tot nu toe met 100 procent succes. 25
H E A D L I N E ' A l s i k M otiv b e l , k ri j g i k oo k M otiv aan de l i j n '
klan t aan he t w oo r d
Paul van de Berg van VvAA:
' Als ik Motiv bel, krijg ik ook Motiv aan de lijn' “Wij zijn altijd op zoek naar leveranciers en partners die bij ons passen”, zegt Security Officer Paul van de Berg van VvAA, de financiële dienstverlener voor medische professionals. “Motiv weet als geen ander hoe VvAA in elkaar steekt.” Het contact met Motiv ontstond ruim zeven jaar geleden toen VvAA op zoek was naar ‘een partner die ons verder kon brengen op het gebied van security’, vertelt Van de Berg. “Informatiebeveiliging heeft de afgelopen jaren een enorme vlucht genomen; het is zowel in de privésfeer als in het bedrijfsleven een ‘hot item’. Dan heb je een partner nodig die met je meedenkt en gelijk op de stoep staat als je hulp nodig hebt. Motiv is zo’n partner. Als ik Motiv bel, krijg ik ook écht Motiv aan de lijn.” Meerdere rollen VvAA werkt op meerdere vlakken met Motiv samen, zo legt Van de Berg uit. “Soms heeft Motiv een uitvoerende, soms een adviserende en soms een consultancyrol. Op uitvoerend niveau is Motiv bijvoorbeeld belast met het beheer van onze firewalls. Dat is een dienstverlening die stevig is dichtgetimmerd met een Service Level Agreement. Maar soms wil je ook snel kunnen schakelen.” Van de Berg geeft als voorbeeld de grootschalige DDoS-aanvallen die in mei van dit jaar behoorlijk wat hinder in Nederland veroorzaakten. “Toen is er een sessie geweest met Motiv om uitgelegd te krijgen wat nou precies een DDoS-aanval is, wat de
26
MM 02 | najaar 2013
15 ja a r m o ti v
VvAA
gevolgen voor VvAA kunnen zijn en wat we er tegen kunnen doen. De consultants van Motiv konden ons daar toen prima bij helpen. Zij zijn toch de experts op dat gebied, met kennis die je vanwege het specialisme niet volledig zelf in huis kunt hebben.”
' De consultants van Motiv hebben de kennis die je zelf niet volledig in huis kunt hebben' Paul van de Berg, VvAA In control “Motiv heeft bij ons een dagelijkse beheertaak met de firewalls”, concludeert Van de Berg, “maar is ook goed in het ontwikkelen van software. Motiv heeft vorig jaar voor VvAA een applicatie gebouwd waarmee we op een veilige manier bestanden met derden kunnen uitwisselen.” Een ontwikkeling die nu op stapel staat bij VvAA is het nog meer aantoonbaar kunnen maken van alles wat zich op de ICT-infrastructuur afspeelt, zodat we als organisatie ‘aantoonbaar in control’ zijn. “Wat gebeurt er op je infrastructuur? Wie logt er aan en wat doet diegene vervolgens? Dan kom je op het terrein van monitoring dat op een bepaald niveau moet zijn en altijd nog strakker is in te regelen. Dat is een stuk maatwerk dat Motiv heel goed beheerst.”
H E A D L I N E ' I nformee l en ma k k e l i j k in de omgang ' V O L G E N D E P A G I N A ‘ M otiv den k t a l ti j d in op l ossingen ’ › P . 2 8
klan t aan he t w oo r d
15 ja a r m o ti v Transfer Solutions
Albert Leenders en Kevin van Kuik van Transfer Solutions:
'Informeel en makkelijk in de omgang' "Als IT’ers onder elkaar”, zo omschrijft technisch directeur Albert Leenders van Transfer Solutions de relatie met Motiv. “De band is echt meer vriendschappelijk dan formeel zakelijk.” Transfer Solutions, een ICT-dienstverlener met een sterke specialisatie in Oracle- en Java-technologie, kan inmiddels bogen op een geschiedenis van achttien jaar. De band met Motiv gaat helemaal terug tot aan het prille begin van Motiv in 1998. “Wij kennen Motiv-oprichter Ton Mooren nog uit ons gezamenlijk Oracle-verleden, toen Motiv nog een Oracle-dienstverlener was”, vertelt Leenders. “Motiv is gaandeweg security op gaan pakken, en zo ook bij ons.”
“Maar daarnaast opereren we ook als partners, door elkaar bij projecten te betrekken”, benadrukt Leenders. “Om een voorbeeld te geven: nog niet zo lang geleden had Motiv een vraag over de inrichting van een Single Sign-on-omgeving. Toen zijn wij er voor het technische stuk bij gehaald.” Van Kuik: “Vorig jaar het Motiv ook een presentatie verzorgd op een van onze evenementen.” Daarnaast heeft Transfer Solutions medewerkers van Motiv voor langere tijd ingehuurd op verschillende projecten. Deskundige partij “Motiv is gewoon een uitermate deskundige partij met de nodige flexibiliteit”, concludeert Leenders. Van Kuik: “Het zijn gewoon goede techneuten die bovendien erg makkelijk en informeel in de omgang zijn.” Leenders heeft nog wel wat hij noemt een ‘tip vanaf de zijlijn’: “Motiv zou nog wel iets luidruchtiger op de markt aanwezig mogen zijn.”
' Motiv is gewoon een uitermate deskundige partij met de nodige flexibiliteit' Albert Leenders, Transfer Solutions Leverancier en partner De samenwerking is inmiddels tweeledig, zo begrijpen we van Leenders. Enerzijds verzorgt Motiv als leverancier de ICT Security bij Transfer Solutions. “Wij hebben op twee locaties firewalling staan, en die omgevingen heeft Motiv voor ons ingericht en geïmplementeerd”, verduidelijkt Kevin van Kuik, bij Transfer Solutions coördinator systeem- en infrastructuurbeheer. “We zijn nu aan het kijken om de volgende stap te zetten, door alles op te waarderen. Er worden steeds hogere eisen gesteld aan onze dienstverlening, en daar moet je ook de infrastructuur op aan aanpassen.”
Alberts Leenders 27 Kevin van Kuik
H E A D L I N E ‘ M otiv den k t a l ti j d in op l ossingen ’ V O L G E N D E P A G I N A ' S ms - authenti c atie past he l emaa l in de z e ti j d ’ › P . 3 0
v endo r aan he t w oo r d
Haiko Wolberink van Imperva:
'Motiv denkt altijd in oplossingen' “Software is niets meer dan een gereedschapskist; je hebt ook nog een timmerman nodig die een mooie kast kan timmeren”, zegt Haiko Wolberink, bij Imperva salesdirecteur voor de Benelux, het Midden-Oosten en Afrika. “Motiv is zo’n timmerman die denkt in oplossingen en oog heeft voor een wereld die snel aan het veranderen is.” “Waar vijf jaar geleden netwerken nog werden aangevallen voor de ‘guts and glory’, gaat er nu een florerende en criminele handel schuil achter aanvallen”, stelt Wolberink. “En waar beveiligingsvraagstukken zich vijf jaar geleden nog concentreerden op het netwerk, gaat het nu om de beveiliging van applicaties en data.”
' Motiv is niet alleen de timmerman, maar ook de schilder en stukadoor' Haiko Wolberink, Imperva Om data tijdens de volledige levenscyclus te beschermen tegen alle soorten dreigingen biedt Imperva drie productgroepen: Database Security, File Security en Web Application Security. “Motiv heeft door de jaren heen expertise opgebouwd op ons volledige portfolio, en is dus niet alleen timmerman maar ook schilder en stukadoor. Doordat Motiv breed kan denken en altijd in oplossingen denkt, hebben ze de producten van Imperva kunnen toepassen bij voorname klanten. Dat levert nog wel eens jaloerse blikken op van concurrenten.”
28
MM 02 | najaar 2013
15 ja a r m o ti v
Imperva Professional Services Het contact tussen Imperva en Motiv ontstond ongeveer vijf jaar geleden, toen Motiv bij een klant een project uitvoerde waar de producten van Imperva deel van uitmaakten. Inmiddels is er sprake van een hechte relatie, een relatie die volgens Wolberink wordt gekenmerkt door continuïteit. “Motiv bevindt zich zowel qua expertise als qua organisatie op een heel hoog niveau.” Sinds begin dit jaar verzorgt Motiv de Professional Services voor Imperva, en treedt in die hoedanigheid ook op uit naam van Imperva. Hierdoor hebben de klanten van zowel Imperva als Motiv één aanspreekpunt voor ontwerp- en imlementatieprojecten op het gebied van Business Security. “Dat zie ik toch wel als de kroon op de relatie”, zegt Wolberink over het optreden van Motiv als partner voor Professional Services. “Motiv bevindt zich daarmee in een unieke positie. Het is maar een heel select groepje partners dat optreedt uit naam van Imperva.”
H E A D L I N E ‘ S ms - authenti c atie past he l emaa l in de z e ti j d '
in t e r v ie w F r ans v an Vug t en D ick H oogendoo r n v an ggz - ins t elling A l t r ech t
' Sms-authenticatie past helemaal in deze tijd’ Vijfhonderd werknemers van ggz-instelling Altrecht maakten eerder dit jaar de overstap van hardtokens naar two-factor authenticatie op basis van sms-tokens. Naar grote tevredenheid. Begin 2015 moeten alle 1500 hardtokens zijn vervangen door de oplossing van SecurEnvoy. “Tegen die tijd is iedereen zo enthousiast dat zelfs de meest verstokte gebruikers van hardtokens overstag zijn.” Altrecht is met een kleine drieduizend werknemers en zo’n twintigduizend patiënten per jaar een grote organisatie op het gebied van geestelijke gezondheidszorg. “En een complexe organisatie”, zo weet Security Officer Frans van Vugt, die zelf werkzaam is geweest als hulpverlener en met 37 dienstjaren naar eigen zeggen tot het meubilair van Altrecht behoort. Altrecht heeft 130 gebouwen in gebruik, verspreid over twee derde van de provincie Utrecht. De behandeling vindt echter ook buiten die gebouwen plaats, zoals bij de patiënten thuis of wanneer nodig op het politiebureau. “De uitdaging is om ervoor te zorgen dat de ICT-middelen overal beschikbaar zijn”, vertelt Van Vugt. “Bijvoorbeeld een elektronisch patiëntendossier moet beschikbaar zijn voor alle hulpverleners. Dan heb je een applicatie nodig die dat kan behappen en moet de netwerkcontinuïteit gegarandeerd zijn.”
Vertrouwelijk Een grotere zorg voor Van Vugt en zijn collega’s is echter de bescherming van privacygevoelige gegevens, zoals die worden opgeslagen in een EPD. “Op geestelijke gezondheidszorg rust nog altijd voor veel mensen een taboe”, legt Van Vugt uit. “Als je in het ziekenhuis ligt krijg je volop aandacht, maar als je bij de ggz loopt ligt dat heel 30
MM 02 | najaar 2013
wat gevoeliger. De ggz is dan ook al van oudsher gewend om vertrouwelijk om te gaan met privacygevoelige gegevens. Maar hoe zorg je ervoor dat privacygevoelige gegevens vertrouwelijk en veilig blijven?” Een uitdaging vormen bijvoorbeeld de E-healthinitiatieven, zoals het via internet aanbieden van vragenlijsten of opdrachten die passen bij een behandeling. Mogelijk is daarbij sprake van gegevensuitwisseling tussen Altrecht en een derde partij. Dat kan het geval zijn wanneer de hosting van een E-health-applicatie buiten Altrecht
en besturingssystemen zijn voorzien van de laatste patches. Daar huren wij Motiv voor in. Vervolgens blijf je zelf wel verantwoordelijk voor het beperken van de risico’s. Risicoloos kun je niet werken, maar je moet wel aan kunnen geven welke risico’s je acceptabel vindt en wat je hebt gedaan om de overige risico’s te beperken.” Een andere belangrijke maatregel voor de reguliere opslag van medische gegevens is het antwoord op de vraag: hoe zorg je ervoor dat privacygevoelig gegevens vertrouwelijk blijven?
' Met name het uitgifteproces is bijzonder complex' plaatsvindt. Dan dien je volgens Van Vugt een ‘vertrouwensdomein’ te scheppen conform NEN 7512. Om een vertrouwensrelatie aan te kunnen gaan, is het wel van belang dat alle partijen de risico’s in kaart hebben gebracht, bijvoorbeeld door middel van een penetratietest. “Zie het als een ‘gecontroleerde zoektocht naar risico’s’ door bijvoorbeeld te kijken of de software
Dit heeft alles te maken met wat Van Vugt noemt ‘de maatregelen aan de voordeur’. “Je moet vast kunnen stellen of een hulpverlener wel geautoriseerd is om gegevens te raadplegen. Dan kom je bij de NEN 7510 uit die voorschrijft dat je voor de toegang tot patiëntgegevens two-factor authenticatie moet gebruiken. Je moet dus niet alleen iets weten, maar ook iets hebben.”
V O L G E N D E P A G I N A F 5 N etwor k s neemt V ersafe over › P . 3 3
Fotografie: Ruud Jonkers
Sms-authenticatie Sinds jaar en dag hadden 1500 medewerkers van Altrecht de beschikking over een hardtoken om via de Citrix Access Gateway in te kunnen loggen op het EPD, het elektronisch voorschrijfsysteem EVS en het personeelsinformatiesysteem. Die oplossing bleek echter duur, onderhoudsgevoelig en beheerintensief te zijn. “Met name het uitgifteproces is bijzonder complex”, stelt Dick Hoogendoorn, Adviseur/Projectleider ICT bij Altrecht. “Daar komt bij dat gebruikers hun token regelmatig verliezen of in de wasmachine laten verdwijnen.” Na een korte verkenning van de markt waren Van Vugt en Hoogendoorn al snel gecharmeerd van de sms-authenticatieoplossing van SecurEnvoy, waarbij voor het inloggen gebruik wordt gemaakt van een sms-code. De gebruiker voert eerst een gebruikersnaam en wachtwoord in. Als dit correct gebeurt, stuurt SecurEnvoy direct een eenmalige, zescijferige code naar het mobiele telefoonnummer van de gebruiker. Als de gebruiker ook deze code correct invoert, is de identiteit definitief vastgesteld en krijgt de geautoriseerde gebruiker toegang tot het systeem. “Deze oplossing past helemaal in deze tijd”, constateert Van Vugt. “Iedereen heeft tegenwoordig een mobiele telefoon en gaat daar zorgvuldiger mee om dan met een hardtoken. Ook privételefoons kunnen worden gebruikt als token, al moet je dan wel voorzieningen treffen want niet iedereen wil zijn privénummer algemeen bekendmaken.”
Brede steun Nadat uit een korte enquête op het Altrecht-intranet was gebleken dat er onder de medewerkers brede steun is voor sms-authenticatie, startte in september 2012 een Proof-of-Concept waarin twaalf gebruikers meedraaiden. Hoogendoorn: “Tijdens deze proefopstelling hebben we gekeken of het technisch allemaal werkt, en of wij het als ICT-afdeling allemaal goed kunnen beheren. Motiv heeft gezorgd voor de training van twee beheerders waardoor we vrij snel thuis waren in de nieuwe omgeving.”
Dick Hoogendoorn (links) en Frans van Vugt
Na de geslaagde proef en een korte evaluatie ging Altrecht begin februari van dit jaar over tot de implementatie van sms-authenticatie voor > 31
H E A D L I N E ‘ S ms - authenti c atie past he l emaa l in de z e ti j d '
in t e r v ie w F r ans v an Vug t en D ick H oogendoo r n v an ggz - ins t elling A l t r ech t
' De tweedelijns beheerder heeft nu weer meer tijd voor zijn kerntaken' > driehonderd gebruikers. “Van die driehonderd gebruikers zouden in maart de hardtokens verlopen, dus er zat wel enige druk achter”, aldus Van Vugt. Hoogendoorn: “Voor die datum moest technisch alles op orde zijn, de gebruikers zijn getraind en de servicedesk is ‘opgelijnd’ zodat die de beheertaken van de tweede- en derdelijns beheerders over kon nemen. Daarin schuilt eigenlijk de grote winst: de tweedelijns beheerder die eerst menig uurtje per week zoet was met het beheren van hardtokens, kan nu weer meer tijd steken in zijn kerntaken. De gebruikers kunnen zelf hun telefoonnummer beheren via het ‘smoelenboek’ van Altrecht en aangeven voor wie het nummer zichtbaar mag zijn. Vanuit het smoelenboek wordt het telefoonnummer overgeheveld naar Active Directory en van daaruit naar de SecurEnvoy-server.”
Softtokens
Fotografie: Ruud Jonkers
Inmiddels is het aantal SecurEnvoy-gebruikers uitgebreid naar 500. “Begin 2015 hopen we vrijwel volledig over te zijn op SecurEnvoy”, schetst Hoogendoorn. “Over twee jaar is iedereen zo
32
MM 02 | najaar 2013
enthousiast dat ook de verstokte gebruikers van hardtokens overgaan op de sms- of softtokens van SecurEnvoy.” De softtokens van SecurEnvoy, waarbij een code wordt gegenereerd met behulp van een app, worden nu geëvalueerd binnen Altrecht. Hoogendoorn: “Bij sms-authenticatie zijn de kosten voor sms wel niet zo heel hoog, maar de softtokens leveren toch een direct kostenvoordeel op. Binnen de ICT-afdeling hebben we de softtokens al enkele weken draaien, en dat werkt erg goed.” “Dat is direct ook een compliment voor Motiv”, stelt Van Vugt. “Motiv is niet alleen met innovatie bezig, maar zorgt er ook voor dat de innovatie echt werkt zodat de klant niet vastloopt.”
Altrecht 550 jaar geleden Altrecht is een instelling met een rijke geschiedenis die helemaal teruggaat tot 1461. Op 26 januari van dat jaar vaardigde het stadsbestuur Utrecht officieel de fundatiebrief van de stichting Willem Arntsz uit voor een ‘gasthuys voir die dulle lude’. Het Willem Arntsz Huis verrees in de binnenstad van Utrecht op de hoek van de Lange Nieuwstraat en de Agnietenstraat. Opname was in die tijd aan strikte regels gebonden. Om in aanmerking te komen voor een plaatsje moest iemand ‘volslagen dol’ zijn, ingezetene van de stad Utrecht en armlastig. “In het Utrechtse dolhuys stonden met stro gevulde kribben waarin de razenden met boeien konden worden vastgeketend”, zo verhaalt de website www.altrecht550.nl die in 2011 ter ere van het 550-jarig jubileum van Altrecht in het leven is geroepen. “De behandeling zag er in die begindagen anders uit dan nu. Zij kregen smeersels, drankjes, aderlatingen, niespoeder of braakmiddel. Hielp dat allemaal niet, dan ging men over tot wurging. Door het zuurstofgebrek zou de duivel immers wel naar buiten moeten komen… Pas in 1625 werd de eerste academisch opgeleide medicus aan het Willem Arntsz Huis verbonden.”
H E A D L I N E F 5 N etwor k s neemt V ersafe over
KORT nieuws F5 security-oplossingen uitgebreid met bescherming tegen online fraude
F5 Networks neemt Versafe over F5 Networks neemt Versafe Ltd. over, een ontwikkelaar van antifraude-, antiphishing- en antimalwaretoepassingen. De web- en mobiele beveiliging van Versafe en zijn Security Operations Center (‘SOC’) vormen een uitbreiding op F5’s bestaande securityportfolio.
aanvalstechnieken worden gedetecteerd en realtime advies wordt gegeven aan klanten hoe ermee om te gaan. Het SOC heeft zichzelf al eerder bewezen door de eerste te zijn die financiële malware en zero-daygaten in webapplicaties detecteerde.
Versafe heeft zijn hoofdkantoor in de Israëlische hoofdstad Tel Aviv en biedt beveiligingsoplossingen aan via een abonnementenservice, zonder dat het nodig is software te downloaden of apparaten te registreren. Hun toepassingen detecteren fraude op basis van malware en andere online bedreigingen voor mobiele en webtoepassingen. Daarnaast beschikt het bedrijf over een geavanceerd Security Operations Center van waaruit nieuwe malware en
“De overname ondersteunt F5’s visie en missie om klanten te voorzien van veilige toegang tot data en applicaties vanaf elke locatie, vanaf elk apparaat”, aldus Rene Oskam, Sales Director Benelux van F5. “Webapplicaties staan steeds sterker bloot aan risico’s die kunnen leiden tot diefstal van intellectueel eigendom, geld, gevoelige data en identiteiten. Versafe biedt uitgebreide, realtime detectie en bescherming van alle gebruikers, elk apparaat en elke browser.”
Integratie Versafe’s technologie vormt een logische aanvulling op F5’s security-, toegangs- en mobiele toepassingen. De F5 Application Delivery Firewall kan verder worden versterkt met fraude-, phishing- en malwarebescherming. F5’s Identity en Access Management krijgt de mogelijkheid toegangsgegevens te beschermen tegen diefstal middels malware. F5’s Mobile Application en Device Management is door de toevoeging beter in staat business-to-consumerapplicaties te beschermen. Versafe was al langer een F5 Technology Alliance Partner met integratie middels F5’s iRules-technologie.
'Versafe biedt uitgebreide, realtime detectie en bescherming van alle gebruikers, elk apparaat en elke browser'
René Oskam, Sales Director Benelux van F5
33
Fotografie: Ruud Jonkers
HEADLINE XX
I T E M C AT E G OR I E
Gino van der Velden (links) en Marco de Graaf van de TU Delft
' Onze droom is BYOD, maar dan clientless ' 34
MM 02 | najaar 2013
H E A D L I N E ' O n z e droom is B Y O D , maar dan c l ient l ess '
in t e r v ie w M a r co de G r aa f en G ino v an de r Velden v an de T U D el f t
“Wij zijn speciaal”, zegt Gino van der Velden, Manager IT Operations bij de TU Delft. “We hebben te maken met verschillende typen gebruikers, zoals docenten, wetenschappers, studenten, ondersteunend personeel en gasten. Al deze klanten vragen om onbeperkte vrijheid en snelheid maar verwachten ook een uitstekende beveiliging van ICT-faciliteiten om hun werk goed te kunnen doen. Daarbij willen ze allemaal het liefst hun eigen devices gebruiken.” Deze apparaten zijn veelal niet standaard en zeer moeilijk onder controle te brengen. Daarom bouwde TU Delft een infrastructuur die klanten enerzijds de flexibiliteit biedt die ze nodig hebben en anderzijds beschermt tegen gevaren van buitenaf. “Dit allemaal zonder dat we daarvoor controle moeten hebben over de devices door er bijvoorbeeld aparte software op te installeren.”
“Het mooiste wat ons kan gebeuren is dat als een van onze klanten een applicatie ontwikkelt die de grenzen van onze infrastructuur tart, we samen met de klant de infrastructuur hierop kunnen verbeteren. Nog mooier is het als die applicatie twee jaar later de killer app blijkt te zijn. Als dat gebeurt, dan hebben wij aan ons doel voldaan.” Gino van der Velden van de TU Delft is er duidelijk in: “Wij staan in dienst van het onderzoek, de wetenschap en onze studenten. In het bedrijfsleven heb je een probleem als je met een ongeautoriseerde applicatie het netwerk plat legt. Hier vragen we juist: ‘wat heb je gedaan, en kun je ons helpen om het netwerk zo in te richten zodat jij kunt bouwen wat je wilt?’ Wij willen een netwerk hebben dat alles aankan en niet de beperkende factor is.” Volgens de IT Manager Operations hoort bij die ‘dienstbaarheid’ ook dat er voor de klanten van het Shared Service Center ICT van de TU Delft zo weinig mogelijk blokkades worden opgeworpen. Zo hebben de medewerkers en studenten een grote vrijheid in het gebruik van applicaties ‘die de creatieve processen ondersteunen’. “Als iemand Dropbox installeert, dan hebben wij daar geen weet van. Natuurlijk wijzen we met awarenessprogramma’s wel op de risico’s.” Volgens Van der Velden werkt het ‘plaatsen van sloten’ ook niet. “Wij leiden mensen op die naar onze universiteit komen omdat ze geïnteresseerd zijn in techniek en het bij uitstek interessant vinden
om de grenzen op te zoeken van de technische omgeving waarin ze werken. Op het moment dat wij ergens cryptografie op zouden zetten, wordt die meteen op de proef gesteld. Ik zou me ernstig zorgen maken als geen enkele student zou proberen om een blokkade omver te werpen.” “Wij zetten niet zomaar alles open, maar wel veel meer dan in het bedrijfsleven”, concludeert Marco
beschikbaar zijn en dat natuurlijk met een zeer goede veiligheid. Hierbij zouden we toepassingen als NAC of NAP in kunnen zetten, maar wij willen zo min mogelijk clientsoftware op de devices”, stelt Van der Velden. “De verscheidenheid aan devices is gewoonweg te groot om gebruik te kunnen maken van dit soort type clientsoftware. Een device moet ook gewoon meteen werken, zonder dat je eerst 22 patches moet installeren en drie keer moet herstarten. Dat kan alleen als je clientless werkt.” Een van de eerste stappen in het verwezenlijken van die droom was tegenstrijdig genoeg het standaardiseren van de werkplekken. Van der Velden: “Voorheen was er sprake van een ICT-afdeling per faculteit, ieder met hun eigen ICT-backend, met als resultaat dat we bijvoorbeeld 74 mailomgevingen hadden staan. Die verschillende backends wilden we weer onder controle krijgen, en dat kun je maar op één manier doen: door eerst een goede centrale backend met een beperkt aantal gestandaardiseerde werkplekken neer te zetten. Daarom hebben we zo’n zes tot zeven jaar
' Ik zou me ernstig zorgen maken als geen enkele student zou proberen om een blokkade omver te werpen' Gino van der Velden, Manager ICT Operations bij de TU Delft de Graaf, bij de TU Delft ICT Security Manager. “Bij zaken die ‘high secure’ zijn, zoals personeelsinformatie of onderzoeken die zijn beschermd met een patent, hebben wij gewoon de nette verplichting om te zorgen voor een optimale beveiliging.”
BYOD-droom
geleden een zestal standaard werkplekken gedefinieerd waaruit de gebruikers konden kiezen. Dat gaf ons de gelegenheid om de backend te standaardiseren en nu zijn we zover dat we de client weer vrij kunnen geven. Natuurlijk kan een klant altijd een keuze blijven maken uit een aantal standaard werkplekken waarvan wij een correcte werking garanderen.”
Ook als het gaat om de ‘devices’ die op de campus worden gebruikt, wil de TU Delft zo min mogelijk beperkingen opleggen. “Onze droom is een omgeving te scheppen waarin alle verschillende applicaties op alle mogelijke gebruikte devices
Een andere stap richting ‘clientless BYOD’ was het virtualiseren van de applicaties. De gevirtualiseerde applicaties draaien niet meer lokaal maar worden gestreamd naar de werkplekken. > 35
H E A D L I N E ' O n z e droom is B Y O D , maar dan c l ient l ess ' V O L G E N D E P A G I N A ‘ D e c l oud is voor ons een duide l i j k vernieuwingspro c es ' › P . 3 8
in t e r v ie w M a r co de G r aa f en G ino v an de r Velden v an de T U D el f t
> De student of medewerker kan in een portaal zien welke van de in totaal bijna duizend applicaties voor hem of haar beschikbaar zijn. “Die streaming is wel echt de basis van onze droom”, stelt Van der Velden. “Bring Your Own kunnen wij werkelijkheid maken doordat wij iedere willekeurige applicatie kunnen streamen naar ieder willekeurig device. Zo wordt het bijvoorbeeld mogelijk om een Windows-applicatie te streamen naar een iPad.”
Geautomatiseerd netwerk “We zijn nu in een vergevorderd stadium met het bouwen van een geautomatiseerd netwerk”, vervolgt De Graaf. Een van de wensen was om te komen tot een flexibelere infrastructuur, waardoor bijvoorbeeld de verhuizing van een gebruiker sneller is te realiseren. “Apparaten moeten op basis van gebruikersnaam en wachtwoord automatisch worden herkend; het moet zo zijn dat een gebruiker zijn laptop oppakt, ergens inprikt en direct weer verder werkt. En dat zonder tussenkomst van een persoon of een systeem.” Om die flexibiliteit te realiseren, was het onder andere noodzakelijk om de statische IP-adressen te vervangen door dynamische IP-adressen. “Dat betekende een complete IP-omnummering binnen de gebouwen”, licht De Graaf toe. “Dat lijkt niet zo spannend, maar binnen de TU Delft kom je scripts tegen die door gebruikers zijn gebouwd en soms afhankelijk zijn van vaste IP-adressen.” Een andere uitdaging waren de wetenschappelijke machines, die soms nog verouderde software en besturingssystemen draaien, ‘maar wel moeten blijven draaien omdat ze dure meetapparatuur aansturen’, aldus Van der Velden. Uiteindelijk is het gelukt
36
MM 02 | najaar 2013
' Door te kiezen voor ‘clientless’ accepteren we dat we de devices niet kunnen scannen op malware ' Marco de Graaf, ICT Security Manager bij de TU Delft om het netwerk van 36 gebouwen in iets meer dan een jaar om te zetten. “En dat zonder incidenten; dan heb je het over een huzarenstukje.” Om besmette machines die op het netwerk inprikken in quarantaine te kunnen zetten, maakt de TU Delft gebruik van Quarantainenet. Quarantainenet zorgt ervoor dat een besmette gebruiker alleen zeer beperkte functionaliteit behoudt die nodig is om het probleem op te lossen. Het grote verschil met het afsluiten van een verbinding, is dat de gebruiker met behulp van Quarantainenet meestal zelf het probleem kan oplossen en dat er een betere communicatie met de gebruiker mogelijk is.
Self-healing netwerk “Door te kiezen voor ‘clientless’ accepteren we dat we de devices lokaal niet kunnen scannen op malware”, constateert De Graaf. “Dan moet je op zoek naar andere mogelijkheden en middelen om de detectie goed te kunnen doen.” Een van de ingezette middelen is Quarantainenet waarmee kan worden voorkomen dat een systeem het netwerk besmet, of dat een systeem besmet raakt via het netwerk.
“Maar nog mooier is het als je de scanning aan de edge van het netwerk kunt doen; dat elke switchpoort of access point is voorzien van intrusion detection- en preventiontechnologie”, stelt Van der Velden. “Op de eerste aansluiting die je tegenkomt op het netwerk moet direct gedetecteerd worden of een device geïnfecteerd verkeer verstuurt. Het netwerk moet er vervolgens voor zorgen dat een besmetting zich niet verspreidt en dat de beschikbaarheid, integriteit en vertrouwelijkheid gegarandeerd blijven. Die techniek bestaat nu nog niet, maar we hebben daar wel gesprekken over met leveranciers. We hebben ook Motiv gevraagd om te komen met een voorstel hoe we dit op kunnen pakken.” “Mijn ultieme droom is dat we een self-healing netwerk hebben”, concludeert Van der Velden. “Het liefst ontvang ik een sms’je: ‘die en die machine heeft dat en dat gedaan, en dit is de actie die is genomen om het risico in te perken. Welterusten’. Zover is de techniek nog niet – en de meningen zijn ook verdeeld of je wel moet willen dat het netwerk zelfstandig stappen onderneemt – maar ik wil wel weten hoe ver we kunnen komen in die droom.”
37
H E A D L I N E ‘ D e c l oud is voor ons een duide l i j k vernieuwingspro c es ' V O L G E N D E P A G I N A ' M otiv geeft ons het vertrouwen ' › P . 4 1
in t e r v ie w P a t r ick Ve r gee r en H e t t e Feens t r a v an Y ella x I ndus t r y & I C T
' De cloud is voor ons een duidelijk vernieuwingsproces' “We zijn misschien een klein bedrijf, maar we denken groot”, zegt directeur Patrick Vergeer van Yellax Industry & ICT. Deze instelling heeft onder andere geleid tot Typical Manager, een eigen product voor het ontwerpen van industriële besturingen. Sinds kort wordt dit product voor een relatie van Yellax ook aangeboden via de ‘Secure Cloud’ van Motiv. “Onze uitdaging is nu om klanten te overtuigen van deze nieuwe aanpak en mee te nemen in een nieuw gedachtegoed.” Yellax uit IJsselstein ondersteunt bedrijven al sinds 2001 bij de ontwikkeling van industriële besturingen voor bijvoorbeeld waterinstallaties, bruggen en schepen. “Dat doen we door klanten te helpen in hun projecten, maar ook door projecten aan te nemen”, vertelt Yellax-directeur Patrick Vergeer. Met Typical Manager heeft Yellax bovendien zijn eigen ‘tooling’ gebouwd voor het ontwerpen van elektrische schema’s, PLC/SCADA-besturingen, rapportages en documenten. Deze tooling wordt verkocht aan klanten, maar ook door Yellax zelf toegepast binnen de projecten die worden aangenomen. Typical Manager zorgt er volgens Vergeer voor dat een ontwerp sneller en efficiënter kan worden gemaakt. “Het ontwerpen van industriële 38
MM 02 | najaar 2013
besturingen gebeurt vaak nog op een ambachtelijke manier, sterk afhankelijk van persoonlijke kennis”, legt Vergeer uit. Door het ontbreken van een ‘standaard’ worden besturingen binnen een bedrijf op verschillende manieren ontworpen. De documentatie zoals elektrische schema’s, handleidingen en beschrijvingen worden los van elkaar ontworpen, veelal via aparte Excel-lijstjes. In het ergste geval zit de documentatie in de hoofden van de ontwikkelaars. “Als er dan iemand uit dienst treedt, breekt er paniek uit.” “Met Typical Manager bieden we een softwarepakket om het ontwerpproces vanuit één centraal systeem efficiënt uit te voeren”, vervolgt Vergeer. “De basis is een ‘library’ van de opdrachtgever waarin alle gegevens vastliggen, en op
basis daarvan worden de documenten geproduceerd. Je voert dus de basisgegevens in en vervolgens komen de documenten die je nodig hebt om een technische installatie te ontwerpen en bouwen er automatisch uit rollen. Doordat minder handmatige handelingen nodig zijn, gaat niet alleen de snelheid van het ontwerpen omhoog maar ook de kwaliteit.”
Typical Manager in de cloud Gewend om groot te denken zag Vergeer een nieuwe mogelijkheid om de efficiëntie nog verder te verbeteren: Typical Manager beschikbaar stellen via een cloudomgeving. “Op die manier kun je als bedrijf Typical Manager centraal toegankelijk maken voor alle partijen die betrokken
Fotografie: Ruud Jonkers
Hette Feenstra (links) en Patrick Vergeer
zijn bij het ontwerp van een industriële besturing, zoals system integrators en ingenieursbureaus.” Binnen de cloudomgeving voorziet een oplossing zoals Microsoft SharePoint in de uitwisseling van documenten. “Daardoor ga je wel hogere eisen stellen aan de beveiliging”, weet Hette Feenstra, manager software bij Yellax. “Alle schema’s en documenten komen immers in die cloudomgeving te staan, en als je weet hoe een technische
gingsmaatregelen zoals firewalls en databasebeveiliging en die draait in twee van de datacenters van Motiv in Nederland. De gebruiker krijgt via een SSL VPN-tunnel toegang tot de beveiligde omgeving, of via two-factor authenticatie met behulp van sms-authenticatie van SecurEnvoy. “Onze uitdaging is nu om klanten te overtuigen van deze nieuwe aanpak en mee te nemen in een nieuw gedachtegoed”, stelt Vergeer.
' Fijn om samen met een partij zoals Motiv op te trekken' installatie in elkaar zit kun je die ook saboteren. Het is onze verantwoordelijkheid om ervoor te zorgen dat die documenten goed beveiligd zijn.” “Daarom hebben we er direct vanaf het begin voor gekozen om hierin samen te werken met Motiv”, voegt Vergeer toe. In deze samenwerking zorgt Motiv voor een ‘Secure Cloud’ die is voorzien van een ‘wasstraat’ aan benodigde beveili-
Vitens Bij Vitens, het grootste drinkwaterbedrijf van Nederland, is dat gelukt. De komende jaren worden ruim 200 installaties op het gebied van procesautomatisering, elektrotechniek en instrumentatie gerenoveerd. Om ervoor te zorgen dat alle industriële besturingen worden gebaseerd op één en dezelfde standaard, heeft Vitens ervoor
gekozen om de eigen functionele automatiseringsstandaard (Vipas 3.0) op te nemen binnen Typical Manager en via een cloudomgeving beschikbaar te stellen aan alle betrokken partijen. Inmiddels hebben 125 gebruikers op deze manier toegang tot de industriële ontwerpomgeving van Vitens. Omdat Vitens verantwoordelijk is voor een ‘kritieke infrastructuur’ stelde het bedrijf de hoogst mogelijke beveiligingseisen aan de cloudomgeving, ‘die minimaal aan ISO 27001 en ISO 27002 moest voldoen’, zo begrijpen we van Feenstra. “Als er wordt ingebroken op de cloudomgeving kan de inbreker immers de kennis verzamelen die nodig is om een installatie aan te sturen.” Een risico dat een bedrijf met een verplichting om veilig drinkwater te leveren niet kan lopen. Vergeer: “En dan is het fijn om samen met een partij zoals Motiv op te trekken.”
Duidelijke voordelen De uitrol van Typical Manager en SharePoint binnen de Secure Cloud van Motiv was daarna voor Vitens binnen anderhalve maand geregeld. Met duidelijke voordelen voor zowel Vitens als Yellax, zo constateert Vergeer tevreden. > 39
H E A D L I N E ‘ D e c l oud is voor ons een duide l i j k vernieuwingspro c es '
in t e r v ie w P a t r ick Ve r gee r en H e t t e Feens t r a v an Y ella x I ndus t r y & I C T
Fotografie: Ruud Jonkers
> “Vitens heeft nu de garantie dat elke nieuwe installatie wordt ontworpen vanuit dezelfde standaard. Tijdens het ontwerpproces heeft Vitens inzicht in de voortgang van de projecten waardoor het bedrijf grip houdt op het proces. Een projectleider kan bovendien makkelijker overstappen van het ene op het andere project, want de werkwijze is immer steeds dezelfde. Na oplevering is Vitens zelf verantwoordelijk voor het beheer en onderhoud van de technische installaties; doordat alle besturingen zijn gebaseerd op een en dezelfde standaard wordt dat een stuk eenvoudiger en reduceert dit de maintenancekosten voor beheer en onderhoud.” “Het voordeel voor ons is dat we nu ook het beheer over Typical Manager® binnen de omgeving kunnen doen”, vervolgt Vergeer. “We kunnen via de cloud onze software updaten; die updates hoeven we niet meer naar de klant te sturen. Ook kunnen we via de cloud nieuwe en geoptimaliseerde library’s beschikbaar stellen.”
40
MM 02 | najaar 2013
Software-as-a-Service
Yellax groeit
Deze innovatieve ontwikkelingen bij Vitens is in de markt niet onopgemerkt gebleven. De cloudgebaseerde aanpak van Yellax heeft inmiddels ook de aandacht van andere bedrijven. Vergeer denkt ook alweer na over vervolgstappen. Zo moet het in de visie van Yellax mogelijk zijn om bijvoorbeeld technische tekeningen op een handheld device zoals een iPad te bewerken, waarna de wijzigingen weer ‘terug de cloud’ in gaan. “Uiteindelijk willen we dat Typical Manager evolueert van een ontwerptool naar een ‘ingebruiknametool’ en uiteindelijk een ‘lifecycletool’. Ook zouden we Typical Manager via de cloud als een ‘Software-as-a-Service’ kunnen gaan aanbieden aan kleinere bedrijven. Wij zien de cloud toch duidelijk als een vernieuwingsproces waarbij het niet de vraag is ‘of’ je hiermee start maar ‘wanneer’.”
Yellax heeft zich sinds de oprichting in 2001 gespecialiseerd in het optimaliseren en adviseren van ontwerpprocessen binnen de Industriële Automatisering. Daarbij ligt de focus op water, food, schepen en olie en gas. Het bedrijf heeft veertien medewerkers in dienst, maar dat aantal zal snel worden uitgebreid. “We zitten momenteel in een groeiscenario en willen gaan verdubbelen qua aantal mensen”, zegt directeur Patrick Vergeer. Het bedrijf uit IJsselstein maakte gedurende de eerste helft van dit jaar een stormachtige groei door en richt zich nu op de mogelijkheden om de groei te vergroten met behoud van kwaliteit.
H E A D L I N E ' M otiv geeft ons het vertrouwen ' V O L G E N D E P A G I N A ‘ A l ti j d de dri j fveer om pro j e c ten goed af te ronden ’ › P . 4 2
klan t aan he t w oo r d
15 ja a r m o ti v 1nP
Directeur Gerard van Kesteren van 1nP:
'Motiv geeft ons het vertrouwen' 1nP vertegenwoordigt zeshonderd professionals in de ambulante geestelijke gezondheidszorg, een sector die wordt gekenmerkt door ‘hooggevoelige informatie’ en een ‘interactiviteit die hoge eisen stelt aan de informatiebeveiliging’, zo schetst 1nP-directeur Gerard van Kesteren. Voor de bouw van de webapplicatie Extenzo nam 1nP in 2009 Motiv in de arm. “Motiv voldoet aan de hoge eisen die wij stellen en beschikt over de visie en ‘expert knowledge’ om het te kunnen bouwen en ook uit te kunnen leggen aan niet-techneuten. Zij hebben geïnvesteerd in onze samenwerking zodat ze nu niet alleen over ‘knowhow’ maar zeker ook over ‘know-why’ beschikken en dat maakt de relatie waardevol.” De webapplicatie Extenzo zorgt ervoor dat het elektronische patiëntendossier beschikbaar is op elke werkplek met een internetverbinding. “Door de gevoeligheid van de informatie stellen
Gerard van Kesteren
wijzigingen in de onderliggende standaarden, onder andere voortkomend uit eisen van verzekeraars. “Motiv is echt onze full service-partner”, verduidelijkt Van Kesteren. “Motiv blijft betrokken bij het proces door te wijzen op complicaties en actief mee te denken over oplossingen. De band met Motiv is echt heel laagdrempelig. Natuurlijk is er ook wel eens een kritische noot te kraken, maar dan wordt er altijd direct gewerkt aan een oplossing zonder eerst een schuldige aan te wijzen.”
'Extenzo heeft zichzelf onzichtbaar gemaakt' Gerard van Kesteren, 1nP wij hoge eisen aan de beveiliging van de applicatie en de koppelvlakken”, aldus Van Kesteren. Om aan die hoge eisen tegemoet te komen, zorgde Motiv er onder andere voor dat het webportaal van Extenzo en alle patiëntendossiers uitsluitend via two-factor authenticatie toegankelijk zijn voor bevoegde zorgverleners en hun cliënten. Bij het ontwerp van de applicatie werd rekening gehouden met de effecten van toekomstige wijzigingen in wet- en regelgeving en van koppelingen met externe systemen zoals Vecozo, GBA, zorgmail en survey-engines. Na de oplevering bleef Motiv verantwoordelijk voor onder andere de hosting van de applicatie en het jaarlijks doorvoeren van de
Onzichtbaar De webapplicatie is inmiddels enkele jaren in gebruik, en naar tevredenheid van het ‘1e netwerk Professionals in de ambulante GGZ’ (1nP). “Extenzo heeft zichzelf onzichtbaar gemaakt”, concludeert Van Kesteren. “De applicatie doet gewoon wat ’ie moet doen, zonder dat je daar als gebruiker over na hoeft te denken. Onze professionals moesten er nog wel even aan wennen dat er een veiligere plek is om gegevens op te slaan dan het eigen kantoor. Je moet erop kunnen vertrouwen dat de partij die de gegevens opslaat dat ook goed doet. Motiv geeft dat vertrouwen, bijvoorbeeld door openheid te geven over hoe een audit leidt tot verbeteringen.” 41
H E A D L I N E ‘ A l ti j d de dri j fveer om pro j e c ten goed af te ronden ’
klan t aan he t w oo r d
Ramon Driessen van Dinkgreve Solutions:
' Altijd de drijfveer om projecten goed af te ronden' Dinkgreve Solutions oriënteert zich op wat Manager Operations Ramon Driessen noemt ‘high-traffic, high-performance en high-secure hostingomgeving’. De dienstverlener uit Zeist heeft dan ook de nodige technische kennis in huis. Toch nam Dinkgreve in 2012 Motiv in de arm voor het vervangen van de coreswitches en de firewalls op vier locaties. “Motiv beschikt over de productspecifieke kennis die wij weer niet hebben.”
15 ja a r m o t iv
Dinkgreve Solutions
werd ook nog een evaluatie uitgevoerd. Dat is voor mij het bewijs dat Motiv veel verder is dan de concurrentie.” 15 jaar ICT Security Het beheer over de nieuwe omgevingen houdt Dinkgreve voorlopig nog in eigen hand. Een beetje uit ‘stand verplicht’, zo begrijpen we uit de woorden van Driessen. “We hebben de technische kennis in huis om het beheer te doen.” Driessen spreekt zelf dan ook met passie over het onderwerp ‘ICT Secu-
' De uitdaging is om de balans tussen gebruiks gemak en beveiliging te vinden' Ramon Driessen, Dinkgreve Solutions Driessen kende Motiv nog uit de periode 2007-2010 toen hij werkzaam was voor de toenmalige ‘voorziening tot samenwerking Politie Nederland’ (vtsPN). “In die tijd heb ik Motiv leren kennen als een bekwame partij met goede mensen”, vertelt Driessen. “Niet voor niets dat ik nu bij Dinkgreve ook weer met Motiv samenwerk.” Bij Dinkgreve was Motiv het afgelopen jaar onder andere verantwoordelijk voor de vervanging van de firewalls op vier locaties en de vervanging van de core-switches. “Dan heb je het toch over de kern van je netwerk”, zo zegt Driessen over dat laatste project. “Omdat wij het netwerk niet op alle punten op orde hadden, kwamen er tijdens de vervanging van de switches nogal vervelende zaken aan het licht. Het duurde vaak tot diep in de nacht voordat die problemen waren opgelost. Motiv heeft altijd als instelling gehad: ‘we laten je niet in de steek, we gaan je nu helpen.’ Bij Motiv is er altijd de drijfveer om projecten goed af te ronden. Aan het einde van het project 42
MM 02 | najaar 2013
rity’. “Vijftien jaar ICT Security? Oh ja, dat kan ik met gemak overzien”, zegt hij lachend. “Security blijft een combinatie van beleid, maatregelen, kennis en techniek. Eerlijk gezegd denk ik dat de ontwikkelingen op technisch gebied relatief meevallen. Bijvoorbeeld beveiliging op applicatieniveau is natuurlijk een belangrijke stap geweest, maar over het algemeen denk ik dat er niet zo heel veel is gebeurd.” “Maar de awareness is wel duidelijk veranderd”, vervolgt Driessen. “Onder andere door incidenten zijn bedrijven zich veel meer dan vijftien jaar geleden doordrongen van het feit dat beveiliging moet worden opgepakt. De cloud introduceert nu weer geheel andere risico’s. Veel ondernemingen gebruiken bijvoorbeeld Dropbox, maar hebben vervolgens geen idee waar hun data staan en wie daar allemaal bij kan.” Op dat vlak moet de awareness volgens Driessen duidelijk nog groeien. “De uitdaging is uiteindelijk om de balans tussen gebruiksgemak en beveiliging te vinden.”
H E A D L I N E ‘ M otiv is goed in b a l ans ' V O L G E N D E P A G I N A M otiv k ondigt ' Comp l ian c e R e l ease ' aan van m S afe › P . 4 4
klan t aan he t w oo r d
Ben Alfrink van Skillcity:
'Motiv is goed in balans' “Als het gaat om ondernemerschap en bedrijfsvoering brengt Motiv een bak ervaring in waar met name de kleinere en jongere bedrijven veel van kunnen leren”, zegt directeur Ben Alfrink van Skillcity, een netwerk van middelgrote en kleinere ICT-ondernemingen uit Midden-Nederland. “Het is een heel ondernemend bedrijf, met directeur Ton Mooren als rasondernemer.” Skillcity is in 2001 opgericht met als doel om de circa vijfhonderd middelgrote en kleinere ICT-bedrijven uit MiddenNederland dichter bij elkaar te brengen, beter te laten samenwerken en van elkaar te laten leren. “Wij richten ons primair op de ondernemer of de directie”, vertelt Alfrink. “Onze content rondom thema’s zoals performancemanagement en talent development gaat vooral in op het ondernemerschap.”
trendbreuk is, maar ik ben ervan overtuigd dat Ton er goed over na heeft gedacht hoe de sfeer vast te houden.” Wakker schudden Jaarlijks organiseert Skillcity samen met verzekeraar Chubb Insurance, de juristen van Van Diepen Van der Kroef en met Motiv een seminar rondom het thema ICT Security. “Hoewel de ontwikkelingen op het gebied van ICT Security erg hard gaan, is het onderwerp bij heel veel bedrijven nog een vervan-mijn-bedshow”, stelt Alfrink. “Wij willen onze doelgroep van ICT-bedrijven op het hart drukken dat ze wel aansprakelijk kunnen zijn op het moment dat hun klant wordt gehackt. Zie ons als een soort evangelisten; door partijen wakker te schudden willen we een ‘tweede Diginotar’ voorkomen.”
' Door partijen wakker te schudden willen we een ‘tweede Diginotar’ voorkomen’ Ben Alferink, Skillcity “Motiv was een van die vijfhonderd bedrijven waar Skillcity op mikt”, vervolgt Alfrink. “In 2005 is Motiv echter als participant aan de andere kant van de tafel gaan zitten. Motiv heeft een veel scherpere focus dan de grotere bedrijven en door de jarenlange ervaring kan Motiv als klankbord dienen voor de jongere bedrijven. Daarnaast beschikt Motiv over een uitstekend ecosysteem van klanten, partners en medewerkers. Dat zie je ook terug tijdens de maandelijkse borrels.” In de afgelopen jaren heeft Alfrink Motiv leren kennen als een onderneming ‘in balans’. “Motiv heeft een managementteam dat er al jaren zit en dat naar buiten toe altijd met één gezicht optreedt. De leden van dit team zijn er in geslaagd om een losse en informele sfeer en cultuur te creëren waarbinnen wordt gevraagd naar prestaties, wat zeker niet meevalt naarmate een bedrijf groter wordt. Vaak zie je dat een verhuizing een
1 5 j a a r m o t iv
Skillcity 43
H E A D L I N E M otiv k ondigt ' Comp l ian c e R e l ease ' aan van m S afe
motiv nieuws
Motiv kondigt 'Compliance Release' aan van mSafe
Veilig één of meerdere bestanden uitwisselen met mSafe
U logt in op mSafe en deelt het bestand
mSafe controleert razendsnel op
met 1 of meerdere contactpersonen
virussen en beveiliging en plaatst het bestand veilig in een werkruimte
“De nieuwe versie van mSafe biedt de beheerder van een werkruimte nog meer informatie die van pas komt bij het aantonen van compliance of het overleggen van een auditlog”, zegt Bastiaan Schoonhoven, marketingmanager bij Motiv. “Daarmee zijn bedrijven niet alleen verzekerd van een uiterst veilige bestandsuitwisseling via internet, maar blijven ze ook volledig ‘in control’ over hun eigen gegevens. Die controle ontbreekt bij consumententoepassingen zoals Dropbox, Google Drive of WeTransfer.”
Bedrijven blijven ‘in control’ over hun eigen gegevens Motiv mSafe is speciaal ontwikkeld voor de zakelijke markt voor het uitwisselen van bijvoorbeeld personeelsdossiers, medische dossiers of financiële informatie. Uitgangspunten zijn maximale veiligheid en betrouwbaarheid. Het platform profiteert maximaal van de cloud- en datacenterdiensten van Motiv. Zo zijn sterke authenticatie, scanning op malware en versleuteling standaard. Motiv draagt zorg voor het veilig uitwisselen van vertrouwelijke bestanden en documenten, en voorkomt oneigenlijk gebruik van het platform door de dienst continu te bewaken.
De beheerder van een werkruimte krijgt te zien wie op welk moment een bepaald document heeft geüpload, gedownload of gewijzigd, en of er een virus is aangetroffen. Ook wordt het laatste moment van inloggen getoond. Op de homepage is het aantal deelnemers van de werkruimte en de documenten te zien. Beheerders hebben bovendien inzicht in het aantal downloads en de opslagruimte die nog beschikbaar is.
Permanente werkruimtes Een andere vernieuwing in mSafe is de mogelijkheid om permanente werkruimtes aan te maken. Een dergelijke ruimte, die alleen kan worden aangemaakt door een beheerder, heeft zelf geen vervaldatum. Wel hebben de documenten binnen een n
Bastiaan Schoonhove 44
MM 02 | najaar 2013
V O L G E N D E P A G I N A ‘ S e c urity A na l yti c s is M otiv op het l i j f ges c hreven ’ › P . 4 6
Motiv heeft de afgelopen maanden belangrijke wijzigingen doorgevoerd in mSafe, het platform voor een uiterst veilige bestandsuitwisseling via internet. Zo biedt mSafe de beheerder nu meer inzicht in ‘wie wat wanneer’ doet en met welke documenten. Hierdoor blijft de onderneming ‘in control’ over de opgeslagen gegevens. Andere vernieuwingen zijn de mogelijkheid om permanente werkruimtes aan te maken en om meerdere documenten in één keer te uploaden. Ook is het platform nu beschikbaar in het Engels.
SMS
CODE
SMS
mSafe stuurt notificatie
mSafe valideert de identiteit
Het bestand kan worden
aan contactpersoon
van de gebruiker middels
gedownload en nieuwe bestanden
sms-authenticatie
kunnen worden geüpload
afgenomen opslagcapaciteit. Het aantal transacties kan in bundels worden afgenomen. Een ‘teller’ binnen mSafe biedt de beheerder inzicht in het aantal uitgevoerde transacties, zoals het aantal bestanden dat is gedownload, en het aantal ‘credits’ dat nog beschikbaar is. Voor wie klein wil beginnen, is er een instapmodel beschikbaar.
' Het platform wordt nu ook interessant voor onze internationaal opererende klanten’
Engelstalig
we het platform naar een nog hoger niveau. Nu mSafe ook in het Engels beschikbaar is, wordt het platform ook interessant voor onze internationaal opererende klanten.” Naast de interface kunnen ook de e-mailnotificaties in het Engels worden afgeleverd. Dit is afhankelijk van de taalinstelling door de gebruiker.
Een andere belangrijke stap is dat het platform voor een uiterst veilige bestandsuitwisseling via internet nu ook beschikbaar is in het Engels en daardoor geschikt is voor internationaal gebruik. “Met de introductie van de nieuwe versie tillen
Motiv mSafe is op abonnementsbasis af te nemen, waardoor het voor de klant niet nodig is om vooraf te investeren in het platform. De gebruiker betaalt een jaarlijkse vergoeding voor de
permanente werkruimte een vervaldatum die kan worden aangepast. Ook is het met deze nieuwe versie van mSafe mogelijk om meerdere files in één keer te uploaden, waarbij elk afzonderlijk document wordt gescand op malware.
mSafe kan gedurende dertig dagen gratis en vrijblijvend worden uitgeprobeerd. Kijk voor meer informatie op www.msafe.nl of www.motiv.nl/ veilige-bestandsuitwisseling.
45
H E A D L I N E ‘ S e c urity A na l yti c s is M otiv op het l i j f ges c hreven ’ V O L G E N D E P A G I N A O ntwi k k e l apps met se c urity a l s uitgangspunt › P . 4 8
v endo r aan he t w oo r d
15 ja a r m o ti v RSA
Corné van Rooij van RSA:
' Security Analytics is Motiv op het lijf geschreven' Degelijk en innovatief. Het zijn twee kwalificaties die niet vaak samengaan. Toch zijn het juist deze twee kwalificaties die Motiv typeren, vindt Corné van Rooij, bij RSA District Manager voor de Benelux en Zwitserland. “Motiv waait niet met alle winden mee. Het bedrijf signaleert altijd heel vroeg marktkansen, maar stapt er pas na een gedegen overweging in. En stapt er ook niet zomaar uit als er in een innovatie is geïnvesteerd.” Toen Van Rooij in 2004 in dienst kwam van RSA verkocht Motiv al de SecurID-hardwaretokens. “Ik ben destijds met name aangenomen voor de enterprisedivisie”, vertelt Van Rooij. “RSA maakte toen de ontwikkeling door richting securitymanagement. Identity Management was de eerste stap en daarna kwamen Web-Access en SIEM.”
Early warning-systeem Volgens Van Rooij kan dat succes worden herhaald met Security Analytics, het platform dat RSA begin dit jaar introduceerde. Door zaken als SIEM, network forensics en de analyse van big data te combineren, fungeert het als een ‘early warning’-systeem om Advanced Persistent Threats (APT’s) zo snel mogelijk in de kiem te smoren. “Waar vroeger kleine groepjes verantwoordelijk waren voor cyberaanvallen, zie je nu dat er grote georganiseerde ondernemingen achter zitten”, licht van Rooij toe. “Met Security AnaCorné van Rooij lytics kom je meer over die aanvaller te weten en kun je ingrijpen nog voordat de aanval in alle sterkte heeft plaatsgevonden.” Volgens Van Rooij moet de markt nog wel ‘een beetje wakker worden’ maar heeft het platform alle potentie om ‘heel groot’ te worden. “Het is nog maar een jaar in deze vorm op de markt, maar heeft het in zich om een groot succes te worden. En het is Motiv op het lijf geschreven. Motiv heeft nu al heel veel componenten in huis om complexe aanvallen af te slaan onder andere via hun SOC, en kan daar ook een stuk consultancy omheen bieden waardoor bedrijven bijvoorbeeld hun compliancy op orde krijgen. Er zijn maar weinig partijen die dat kunnen. Ik ben er daarom van overtuigd dat we het succes dat we hebben gehad op de SIEM-markt met Security Analytics kunnen evenaren.”
' Motiv kon toen al het meeste vertellen over SIEM, veel meer dan andere partijen' Corné van Rooij, RSA Het veroveren van de Nederlandse SIEM-markt werd het grootste gezamenlijke succes van RSA en Motiv, zo constateert Van Rooij als hij terugkijkt op de afgelopen jaren. “Toen wij de SIEM-markt betraden, was Motiv al heel sterk in dat onderwerp. Zij waren al partner van de oplossing die RSA toen net had overgenomen. Motiv kon bij de klant het meeste vertellen over SIEM en deze oplossing, veel meer dan andere partijen. Dat zag je dan ook terug in het marktaandeel. Samen veroverden we een topdriepositie.” 46
MM 02 | najaar 2013
H E A D L I N E Bedri j ven door ge b re k aan k ennis onvo l doende b estand tegen D D o S - aanva l l en
branchenieuws
Bedrijven door gebrek aan kennis onvoldoende bestand tegen DDoS-aanvallen Bedrijven staan bloot aan de risico’s van DDoS-aanvallen doordat er onvoldoende kennis in huis is over de aard van de huidige internetgevaren. Ondanks het grote aantal aanvallen blijft kennis bij securityprofessionals achter. Dat blijkt uit onderzoek van F5 Networks. Specialisten in het vakgebied moeten veelal toegeven dat ze onzeker zijn of hun organisatie bestand is tegen de gevaren van DDoS-aanvallen en dat ze de snelheid van de betreffende ontwikkelingen niet meer precies kunnen volgen. F5 vroeg afgelopen voorjaar tijdens Infosecurity Europe 2013 in Londen aan geselecteerde securityprofessionals in hoeverre ze op de hoogte waren van de recente DDoS-aanvallen, meer specifiek de DNS amplificatie-aanvallen. Slechts 10 procent gaf aan dat ze helder konden uitleggen hoe een dergelijke aanval werkt, en maar 11 procent stelde zeker te zijn dat de organisatie niets zou merken van een aanval in de dagelijkse werkzaamheden. Daartegenover staat een grote groep respondenten (87 procent) die stelt dat het moeilijker dan ooit is om bedrijven te beschermen. Bijna een kwart zoekt de reden hiervoor bij BYOD, gevolgd door de complexiteit van de bedreigingen (20 procent) en de verandering in daders van traditionele hackers naar mensen die vanuit spionage of politieke motieven handelen (14 procent).
Weinig consistentie in beveiligingsbeleid Het onderzoek wees tevens uit dat de bescherming van applicaties en infrastructuur gevaar loopt door inconsistent beleid. Een grote meerderheid van 83 procent gaf aan dat ze onzeker zijn over de consistentie van beveiligings- en beschikbaarheidsafspraken binnen de IT-infrastructuur. “Recente gebeurtenissen zoals de Spamhaus-aanval zouden een wakeup call moeten zijn voor veel bedrijven, maar veel professionals vinden de vernieuwingen in DDoS-aanvallen blijkbaar lastig te bevatten”, aldus
Wim Zandee
' Traditionele firewalls doen hun werk niet meer' Wim Zandee, F5 Networks Wim Zandee, pre-sales manager North & East EMEA bij F5 Networks. “Traditionele firewalls doen hun werk niet meer, en zeker wanneer applicaties naar de cloud worden gebracht, is het van cruciaal belang om beveiliging anders in te richten. Er moet meer intelligentie in beveiliging worden aangebracht om een organisatie effectief te beschermen.” 47
H E A D L I N E O ntwi k k e l apps met se c urity a l s uitgangspunt
Visie
door Rohald Boer, Business line manager Application Development bij Motiv
48
Ontwikkel apps met
security als uitgangspunt
MM 02 | najaar 2013
V O L G E N D E P A G I N A M otiv signa l eert toenemende dreiging a l s gevo l g van ge b rui k remote - b eheerapp l i c aties › P . 5 0
Bedrijven die ‘enterprise mobility’ breed hebben omarmd, worden geconfronteerd met een nieuw kwetsbaar punt in de beveiliging: de mobiele applicaties. Met een Mobile Device Management-oplossing kunnen veel security-issues achteraf worden opgelost, maar lang niet altijd is het mogelijk om de mobiele devices van de gebruiker te beheren en controleren. Dan is het beter om de benodigde beveiligingsmaatregelen direct in te bouwen in de mobiele applicaties zelf. Onderweg nog even snel klantgegevens raadplegen, planningen inkijken of patiëntgegevens inzien; steeds vaker worden mobiele apps ingezet om gevoelige informatie op te halen uit bedrijfssystemen. Deze mobiele apps worden beschikbaar gesteld door de leveranciers van bijvoorbeeld ERP- en CRM-systemen, maar ook steeds vaker gebouwd door de IT-afdeling zelf en aangeboden via een zakelijke ‘app store’ of de applicatiewinkels van Google, Apple, BlackBerry en Microsoft.
Motiv onderscheidt daarbij drie risiconiveaus:
Onvolwassen technologie
• Confidential Als een app bijvoorbeeld wordt gebruikt om transactiesystemen te raadplegen, zijn aanvullende beveiligingsmaatregelen noodzakelijk om de confidentiële informatie te beschermen. Voorbeelden van aanvullende maatregelen zijn het verifiëren van de identiteit van de gebruiker door middel van two-factor authenticatie via een server en het valideren van de applicatie voorafgaand aan iedere sessie. Aan de hand van de ‘vingerafdruk’ van de applicatie kan worden gekeken of er is gerommeld met de app.
Mobiele applicaties zijn daarmee in het zakelijk domein terechtgekomen, een domein waar beveiliging cruciaal is. Het mag immers niet gebeuren dat hackers via de mobiele app meekijken in zakelijke systemen en bedrijfskritische gegevens aanpassen of stelen. De meeste mobiele apps kunnen zich op het gebied van beveiliging echter nog niet meten met de ‘traditionele’ bedrijfsapplicaties die vaak al jaren in gebruik zijn. Daarvoor zijn de gebruikte technologie en de beschikbare beveiligingsmaatregelen nog niet volwassen genoeg. Waar het bij de ontwikkeling van webapplicaties gebruikelijk is om de geldende (ISO-) normen en richtlijnen aan te houden, is dat bij de ontwikkeling van mobiele applicaties nog minder gebruikelijk.
Apps veilig gebruiken Het is daarom van groot belang om een aantal algemene uitgangspunten te formuleren voor een veilig gebruik van mobiele applicaties. Zo is het nooit verstandig om een apparaat te jailbreaken om een specifieke mobiele app correct te laten functioneren. Uiteraard moeten ook altijd de actuele updates van het mobiele besturingssysteem worden gedraaid. Voor het benaderen van bedrijfskritische gegevens zijn platformspecifieke apps, die gebruikmaken van de beveiligingsmaatregelen die in het platform zitten, bovendien te verkiezen boven HTML5-apps. Om vervolgens de juiste beveiligingsmaatregelen te kunnen nemen, is het belangrijk om de risico’s goed af te wegen.
• Public In dit geval zijn de risico’s laag en kan worden volstaan met ‘minimale’ beveiligingsmaatregelen. Versleuteling van het verkeer is zo’n minimale maatregel die altijd aanwezig moet zijn. Ook moet worden nagedacht over het identificatie- en verificatieproces en op regelmatige basis moet worden gecontroleerd of de app nog correct functioneert.
• High secure Op dit niveau kan er bijvoorbeeld voor worden gekozen om data-encryptie op het toestel verplicht te stellen voor alle lokaal opgeslagen gegevens, updates van de mobiele applicatie te forceren en een applicatie controleerbaar te maken vanuit een MDMoplossing.
Ruime ervaring Motiv heeft een ruime ervaring als het gaat om het ontwikkelen van veilige webapplicaties. Die ervaring zetten we ook in voor de ontwikkeling van veilige mobiele applicaties voor iOS, Android en Windows voor smartphones en tablets. Dat doen we door zoals hierboven geschetst informatiebeveiliging als een onlosmakelijk kwaliteitscriterium mee te nemen in het ontwikkeltraject. Tijdens de ontwikkeling vindt op meerdere meetpunten een controle plaats op de beveiliging. Onze ontwikkelaars hebben security dan ook als specialisatie en kijken naar zowel de functionaliteit als de veiligheid van de applicatie. Bij Motiv worden apps ontwikkeld met Mono. Deze open-source ontwikkelomgeving is compatibel met .NET. Zo kunnen de ontwikkelaars van Motiv vanuit de voor hen vertrouwde .NET-omgeving native apps ontwikkelen voor iOS, Android en Windows Phone. De laag ‘Client logic layer’ bevat de logica van de app terwijl de ‘Native App layer’ ervoor zorgt dat de ontwikkelaars van Motiv specifieke interfaces kunnen ontwikkelen voor zowel iOS, Android als Windows Phone. Motiv is zowel ISO 20000, ISO 9001 als ISO 27001 gecertificeerd. Daarmee toont Motiv aan zowel het ontwikkelproces als het toegepaste niveau van informatiebeveiliging aantoonbaar onder controle te hebben.
Native APP Layer
Onlosmakelijk kwaliteitscriterium De beveiligingsmaatregelen die aan de hand van de risico-afweging worden geselecteerd, moeten al in de ontwikkeling van de applicatie worden meegenomen. Op die manier wordt informatiebeveiliging als een onlosmakelijk kwaliteitscriterium meegenomen in het ontwikkeltraject en niet achteraf tegen de applicatie aan geplakt. Ook na de oplevering van een applicatie moet de beveiliging regelmatig worden gecontroleerd. Op die manier wordt voorkomen dat updates of kleine wijzigingen in de applicatie grote gevolgen hebben.
Push
5
SMS
SMS
Client Logic Layer
}
Message Service Providers
Business Logic Layer
Motiv APP Security Framework
Devices
Data
Andere data
Het gedachtegoed van Motiv voor het bouwen van veilige apps is samengevat in het ‘Motiv APP Security Framework’. 49
H E A D L I N E M otiv signa l eert toenemende dreiging a l s gevo l g van ge b rui k remote - b eheerapp l i c aties
motiv nieuws
Motiv signaleert toenemende dreiging als gevolg van gebruik remote-beheerapplicaties Motiv signaleert een sterke toename in het gebruik van applicaties zoals TeamViewer, VNC en LogMeIn. Deze applicaties worden veelvuldig gebruikt voor het remote beheer van systemen maar vormen ook een beveiligingsrisico. Daarnaast signaleren de beveiligingsexperts van Motiv dat onveilige filesharingoplossingen onverminderd populair blijven en dat bedrijven onnodig risico lopen door het toestaan van applicaties die het mogelijk maken om anoniem te surfen op internet.
dig gebruik wordt gemaakt van applicaties om anoniem te surfen op internet. Voorbeelden hiervan zijn Ultra-surf, Tor en Cyber-GhostVPN. Een belangrijk bezwaar tegen deze applicaties is dat een lokale proxy of traditionele firewall niet kan filteren op dit verkeer. Bakker: “Het is zeker raadzaam om ervoor te zorgen dat ‘Anonymizer’-diensten niet bereikbaar zijn vanaf het interne netwerk. Inzicht in je netwerk speelt daarbij een belangrijke rol.”
Het is zeker raadzaam om ervoor te zorgen dat ‘Anonymizer’diensten niet bereikbaar zijn vanaf het interne netwerk. Inzicht in je netwerk speelt daarbij een belangrijke rol Het toenemende gebruik van zogenaamde ‘remote administration’-applicaties komt duidelijk naar voren tijdens de ‘3D Security Scans’ (zie kader) die Motiv het afgelopen jaar in opdracht van een groot aantal klanten heeft uitgevoerd. De populariteit van deze applicaties heeft mogelijk te maken met de toenemende mobiliteit van werknemers waardoor het steeds vaker noodzakelijk is om de ‘corporate’ laptops, smartphones en tablets van op afstand te beheren. Ook wordt IT-beheer steeds vaker uitbesteed aan een externe partij.
en online opslag zoals Dropbox, PutLocker en Google Drive nog altijd populair zijn. Met deze applicaties kunnen bedrijfsgevoelige gegevens buiten het netwerk worden opgeslagen waardoor de organisatie de controle verliest. Het advies van Motiv is: als er een passende oplossing voor data-uitwisseling mogelijk is, dienen onveilige alternatieven zoals Dropbox direct te worden afgesloten.
Bastiaan Bakker, Directeur Business Development van Motiv: “Tijdens de 3D Security Scans treffen we veel remote-administrationverkeer aan dat gebruikmaakt van het Remote Desktop Protocol van Microsoft, maar ook van diensten zoals TeamViewer, LogMeIn en VNC. Hier is vaak geen enkele controle op. Als deze remote-beheerdiensten verkeer genereren vanaf of richting het internet, zien we dit als een risico dat extra aandacht verdient. Hackers kunnen dit verkeer onderscheppen om vervolgens systemen over te nemen of aan te vallen.”
Zo’n passende oplossing is Motiv mSafe dat speciaal is ontwikkeld voor de zakelijke markt en kan worden ingezet om bijvoorbeeld personeelsdossiers, medische dossiers of financiële informatie uit te wisselen. Uitgangspunten zijn maximale veiligheid en betrouwbaarheid. Het platform profiteert maximaal van de cloud- en datacenterdiensten van Motiv. Zo zijn sterke authenticatie, scanning op malware en versleuteling van zowel de opslag als het transport van digitale bestanden standaard van toepassing.
Filesharing Naast de toename in het gebruik van remote-beheerapplicaties signaleert Motiv dat applicaties voor filesharing 50
MM 02 | najaar 2013
Anoniem websurfen Uit de 3D Security Scan-rapportages blijkt verder dat veelvul-
3D Security Scan Motiv heeft de 3D Security Scan, die is ontwikkeld door Check Point Software Technologies, gedurende het afgelopen jaar bij tientallen klanten uitgevoerd. Voor de scan wordt er een sensor geplaatst in het interne netwerk van de klant. Deze sensor kijkt onder andere naar de gebeurtenissen die het gevolg zijn van het gebruik van applicaties met een hoog risicoprofiel. Ook wordt het aantal inbraakpogingen gemeten en wordt inzichtelijk of er sprake is van datalekkage en of er systemen zijn besmet met een botnet. De bevindingen worden verwerkt in een uitgebreid ‘3D Security Report’, waardoor de opdrachtgever inzicht krijgt in de actuele status van het netwerk en maatregelen kan nemen tegen mogelijke cyberdreigingen.
H E A D L I N E s M o t i vat o r o p t i m a a l v o o r u • M o t i v C a f é • N i e u w : i M o t i vat o r M otiv ondersteunt het R espe c t P riva c y P rogramma
Colofon Motivator Magazine, voor professionals in informatievoorziening en -beveiliging
optimaal voor u! Motivator is voor mensen met een professionele interesse in IT ook als online magazine te downloaden via www.motiv.nl. Wij hopen dat wij u met Motivator van vakinhoudelijke en functionele informatie voorzien.
U kunt online Motivator downloaden via www.motiv.nl en uw profielgegevens e-mailen. Vermeldt in de e-mail de volgende gegevens:
Wilt u dat ons informatieaanbod nog relevanter wordt voor u? Update dan nu uw profielgegevens en geef aan wat uw interessegebieden zijn. De juiste profiel- en interessegegevens stellen ons namelijk in staat u nog beter van de juiste informatie te kunnen voorzien.
Naam: Functie: Bedrijf: Bedrijfsgrootte: Aantal geautomatiseerde werkplekken:
MOtIV CAFé De Motiv-borrels in de Uitspanning op Poortdijk 13 in IJsselstein zijn inmiddels een begrip in ICT-securityland. Tijdens deze informele netwerkbijeenkomsten ontmoeten medewerkers, klanten en fabrikanten elkaar onder het genot van een drankje en een hapje. De komende borrels staan gepland voor woensdag 13 november en vrijdag 13 december. ME E R I N FOR MAT I E ?
NIEUW! iMotivator
Motiv introduceert naast Mo tivator de tweemaandelijkse iMotivator. Deze digitale nie uwsbrief verzorgt updates ove r de laatste ontwikkelingen op het gebied van informatiebeveiliging en informatievoor ziening, het laatste nieuws en informatie over Motiv, klantcases en evenementen. Daarnaast besteden we aandac ht aan securitytips en maatwerkoplossingen. Schrijf u nu in op: www.motiv.nl/nieuwsbri ef/inschrijving-imotivat or en ontvang de nieuwe iMo tivator!
www . motiv . nl / motiv / evenementen
Motiv ondersteunt het Respect Privacy Programma Identiteitsfraude is de snelst groeiende vorm van criminaliteit! In vijf jaar tijd is deze vorm van fraude verdubbeld. 13,3% van de Nederlanders is in de laatste vijf jaar de dupe geweest van identiteitsfraude: criminelen openen een bankrekening, huren een auto, doen bestellingen via internet of vragen een creditcard aan. Allemaal op naam van hun slachtoffer!
Het is belangrijk dat iedereen zich bewust wordt van de waarde van hun fysieke en digitale identiteit én dat er concrete oplossingen worden aangeboden. Je kunt heel lang praten over het respecteren van de privacy van mensen en de zorgvuldige omgang met persoonlijke gegevens. Maar je kunt het ook gewoon doen. Dat is waar Respect Privacy over gaat. Vanuit de overtuiging van Motiv ondersteunen wij het Respect Privacy Programma. Integriteit, betrouwbaarheid en veiligheid komen hierin samen. Motiv is zich bewust van de waarde van fysieke en digitale identiteiten en heeft het belang van bescherming van persoonsgegevens hoog in het vaandel staan.
