MAGAZINE EN VERDER. 'Vanuit de Santander Group ligt de focus op samenwerken met partners' ' De vertrouwde msafetechnologie

VOOR PROFESSIONALS IN INFORMATIEVOORZIENING EN -BEVEILIGING

MAGAZINE Nr. 01 – voorjaar 2015

AKSEL DORÈL EN BASTIAAN BAKKER VAN MOTIV

' De bescherming van de databerg moet omhoog' > P. 6

DIETER HERBOTS VAN DELA BELGIË

' Als je bent gehackt, wil je dat meteen weten' > P. 14

ROHALD BOER VAN MOTIV

' De vertrouwde mSafe technologie zit altijd onder de motorkap’ > P. 46

EN VERDER 'ZERO-DAY ATTACKS MAKEN STEEDS MINDER KANS' DAGBOEK VAN EEN HACKER

> P. 24

Jan Pronk van Santander Consumer Finance Benelux

'Vanuit de Santander Group ligt de focus op samenwerken met partners'

M O T I VAT O R M A G A Z I N E N R . 0 1 - V O O R J A A R 2 0 1 5

20

38

40

50

Opinie:

Thomas van der Knijff van Meijers:

Eurofiber:

Lucas Vousten van Joanknecht & Van Zelst:

Eerder in Motivator Magazine:

'INSPECTIE VERSLEUTELD WEBVERKEER VORMT GROTE UITDAGING'

'PRIVACY IS BIJ HET GEBRUIK VAN E-MAIL ECHT EEN PROBLEEM'

IT VEILIG ACHTER HET HEK

'JE MOET LATEN ZIEN HOE JE IT-SECURITY HEBT GEREGELD'

DE KLANTEN VAN MOTIV AAN HET WOORD

MAGAZINE Motivator Magazine is een uitgave van Motiv ICT Security

Fotografie: Ruud Jonkers

10

2

MM 01 | voorjaar 2015

3


VOORWOORD Big Data kan niet zonder security De eerste Motivator van dit jaar is een feit. In dit nummer staat het thema ‘Big Data’ in relatie tot Privacy en Security centraal; componenten die elkaar vaak niet verdragen, maar elkaar soms ook versterken. Zo zullen we in deze editie uitgebreid ingaan op de risico’s die kleven aan het verzamelen van ‘grote bergen data’, maar zullen we ook zien dat Big Data is in te zetten als wapen in de strijd tegen cybercrime en dus de bescherming van de privacy. Cybercrime is ook in ons land razendsnel van kwajongenswerk uitgegroeid naar internationaal opererende netwerken die de hele digitale wereld gebruiken voor het stelen van geld, goederen, informatie en identiteiten en voor chantage, afpersing en fraude. De financiële schade, imagoschade, verlies van banen en faillissementen in Nederland worden (nog) niet systematisch onderzocht of bijgehouden. Wel noemt de AIVD cybercriminaliteit en digitale spionage de grootste dreigingen op het gebied van cybersecurity en werd de economische schade voor Nederland in 2014 geschat op circa 8,8 miljard euro. Tijdens een van de security-updatesessies van Motiv toonde een van onze eigen Certified Ethical Hackers hoe eenvoudig het is om een stukje malware te ontwikkelen dat door de meeste antivirusscanners niet zal worden opgemerkt. Tijdens de demonstratie was niet meer dan vijftien minuten nodig om een virusscript in elkaar te zetten en dit script te coderen met meerdere encoders, in een legitieme executable te plaatsen en de effectiviteit van het stukje malware te testen via bijvoorbeeld VirusTotal. We zijn dus toe aan de next step, het voorkomen dat de ‘hacker’ data kan wegsluizen. Daarbij kunnen we veel risico’s afvangen met technologie, processen en mensen. Als Managed Security Provider kijken wij naar het businessbelang en hoe de IT-dienst daar waarde aan toevoegt. We zijn elke dag bezig met de kritieke randvoorwaarden op het gebied van informatiebeveiliging. Risicogebaseerd denken en werken voor onze relaties vormt de basis. Namens de gehele redactie wens ik u veel lees- en kijkplezier. Bastiaan Bakker, Commercieel Directeur bij Motiv

Bastiaan Bakker

EN VERDER

6

Aksel Dorèl en Bastiaan Bakker van Motiv: ‘De bescherming van de databerg moet omhoog’

12

Michiel Steltman van Dutch Hosting Provider Association: ‘Meldplicht datalekken is een draak’

14

Dieter Herbots van DELA België: ‘Als je bent gehackt, wil je dat meteen weten’

18

Arthur van Uden van Check Point: ‘Met Capsule stellen wij de mobiele gebruiker voorop’

23

Motiv Talk: Data Leakage Prevention

24

Jan Pronk van Santander Consumer Finance Benelux B.V.: ‘Vanuit de Santander Group ligt de focus op samenwerken met partners’

28

Dagboek van een hacker: ‘Ik stop een thermometer in de organisatie’

32

Koemar Dharamsingh van Websense: ‘Tijd om in actie te komen voor bescherming bedrijfsgegevens’

34

37

Motiv Talk: ‘Zero-day attacks maken steeds minder kans’

44

Hans Nipshagen van Akamai: ‘Kijk ook naar de impact die privacy heeft op security’

46

Rohald Boer van Motiv: ‘De vertrouwde mSafe-technologie zit altijd onder de motorkap’

48

Pim Cornelissen en Pepijn Janssen van RedSocks: ‘Wij lopen maximaal een uur achter op de virusschrijvers’

Lennard van der Poel van Bloei: ‘Privacy is nu eenmaal een mega-ding in de zorg’ 5

H E A D L I N E ' D E B E S C H E R M I N G VA N D E D ATA B E R G M O E T O M H O O G '

B I G D ATA | M A N A G E D S E C U R I T Y P R O V I D E R | V I S I E | M O T I V


VISIE

Bastiaan Bakker en Aksel Dorèl van Motiv


' DE BESCHERMING VAN DE DATABERG MOET OMHOOG'

Aksel Dorèl (links) en Bastiaan Bakker

Op het moment dat ‘Big Data’ informatie wordt, neemt ook het risico toe dat er gevoelige informatie weglekt uit de ‘databerg’. “Als de databerg groeit, dan moet de bescherming van die databerg omhoog”, zo is dan ook de overtuiging van Bastiaan Bakker, Commercieel Directeur bij Motiv. “Die bescherming is een specialisme waar veel bedrijven mee worstelen.” “We zien een duidelijke trend dat we alles maar bewaren, en daarmee ook steeds meer vertrouwelijke data”, stelt Bastiaan Bakker. “En tegelijkertijd zien we dat bedrijven die data steeds vaker buiten de deur opslaan, in de clouds van bijvoorbeeld Google, Microsoft of Salesforce.com. Die clouds worden maar groter en groter en groter en voor de crimineel valt er steeds meer te halen.”

' Als je verbanden kunt aanbrengen ga je ineens van data naar informatie'

Eigen verantwoordelijkheid Die steeds groter wordende ‘databerg’ – of die nu intern staat of bij een cloudprovider – stelt bedrijven voor steeds grotere uitdagingen,

6


zo schetsen Bakker en Aksel Dorèl, Algemeen Directeur van Motiv. Een eerste uitdaging is het invullen van de verantwoordelijkheid die

bedrijven zelf behouden als het gaat om de vertrouwelijkheid van de (klant-)data die in de cloud staan. “Door data in de cloud te zetten, wordt een partij als Google verantwoordelijk voor een goed huisvaderschap over jouw data”, aldus Bakker. “Maar als er toch iets met die data gebeurt en op straat komen te liggen, dan ben je als eigenaar van de data zelf verantwoordelijk. Bij het uitbesteden van taken, ben je nog steeds zelf eindverantwoordelijk voor de bescherming van deze data. Je zult dus zelf moeten vaststellen of de data goed worden beschermd. Dat is iets wat we ons allemaal goed moeten realiseren.”

Het belang van het nemen van die eigen verantwoordelijkheid wordt nog eens extra onderstreept door nieuwe privacyregels die nu in de maak zijn, zoals de Europese Privacyverordening die de privacy van consumenten beter moet waarborgen. Bakker: “Toezichthouders zoals het College bescherming persoonsgegevens krijgen zwaardere bevoegdheden en kunnen bedrijven op straffe van een fikse boete verplichten om data breaches te publiceren, ook als die breach heeft plaatsgevonden bij je provider. Je wordt dus gedwongen om je vuile was buiten te hangen, met als gevolg dat ook de klanten die niet zijn getroffen door de breach ongerust worden. Die Privacyverordening hangt nu als een ‘zwaard van Damocles’ boven het hoofd van veel bedrijven, want als de verordening van kracht wordt, is dat ook per direct.” “Die Privacyverordening is een superrelevante vrachtwagen die via de achteringang binnen komt denderen. Ondertussen lopen onze klan-

ten er tegenaan dat er bij sommige cloudproviders vrij weinig is geregeld als het gaat om het vertrouwelijk en integer houden van de data”, stelt Dorèl. “Daar kunnen wij als Motiv een toegevoegde waarde bieden, bijvoorbeeld door in kaart te brengen welke risico’s klanten lopen en door klanten te laten wennen aan het feit dat risicobehandeling iets is wat je zelf moet blijven doen”, vult Bakker aan. “Daar wordt vaak nogal snel overheen gestapt, dat je zelf de keuze kunt maken om iets wel of niet bij een cloudprovider neer te zetten.”

Van data naar informatie De waarde die een ‘berg data’ vertegenwoordigt op het moment dat een hacker erin slaagt om verbanden tussen data te leggen, stelt bedrijven voor een geheel andere uitdaging. “Vroeger had je een ‘systeem x’, ‘systeem y’ en ‘systeem z’ binnen je eigen IT-infrastructuur, maar dat is door ontwikkelingen als Big Data en cloud allemaal één grote berg met data geworden”,

legt Bakker uit. “Op het moment dat je erin slaagt om binnen die berg data verbanden aan te brengen, waardoor je bijvoorbeeld ‘kaart 1234’ kunt koppelen aan een bepaald gedrag én aan een bepaalde klant of creditcardinformatie kunt koppelen aan patiëntgegevens, dan is data ineens gevoelige informatie geworden.” “Als je van data naar informatie gaat, vindt er een nieuwe manifestatievorm plaats”, vervolgt Dorèl. “Dan kan informatie ineens wel worden ontsloten, of worden gekoppeld aan een identiteit, met grote gevolgen. Dat zijn ‘manifestatiemomenten’ waar je iets mee moet. Wij merken dat veel bedrijven daarmee worstelen, en dat er een grote behoefte is aan beveiligingsmaatregelen om te voorkomen dat gevoelige informatie weglekt op het moment dat je van data naar informatie gaat.” >

7


VISIE

> Confronteren met de risico’s “Als de databerg groeit, dan moet de bescherming van die databerg omhoog”, concludeert Bakker. Dorèl: “Je hebt grote ‘piles’ met data die je wel of niet in meer of mindere mate wilt beveiligen. Dat is waar wij op inspelen. Maar uiteindelijk moeten we in mijn visie naar een situatie waarin consumenten een ‘digitale zelfbeschikking’ hebben, zoals die wordt geboden door het QIY Trust Framework. Als consument bepaal je dan zelf wie je gegevens mag hebben, houden en doorzetten.” De grote vraag is echter hoe nu al kan worden voorkomen dat waardevolle informatie weglekt uit die berg met data? Het antwoord van Dorèl op deze vraag is heel eenvoudig: “De klant moet weten wat er allemaal mogelijk is. Daarin hebben wij een adviesrol die we invullen door klanten – bijvoorbeeld tijdens security-awarenessworkshops – te confronteren met de risico’s. En ook door de beveiligingsmaatregelen die mogelijk zijn stap-voor-stap zo concreet mogelijk te maken. Vervolgens kunnen we samen met de klant 8


de risico-afweging maken; voor welke maatregelen wordt wel gekozen, en voor welke bewust ook niet. Motiv voert vervolgens de beveiliging uit conform de afweging die de klant zelf maakt. Op die manier heb je taken en verantwoordelijkheden expliciet gemaakt.”

Next step “In onze dienstverlening zetten we nu technisch de ‘next step’”, vervolgt Bakker. “Vroeger zorgden we er met een firewall voor dat de voordeur potdicht zat zodat niemand naar binnen kon. Nu gaan we ervan uit dat de crimineel erin slaagt om binnen te komen en in de databerg gaat rondneuzen. Dan moet je dus zien te voorkomen dat hij data kan wegsluizen. Dat doen we door te filteren op uitgaand verkeer. Daarnaast kunnen we

ook beveiligingsmaatregelen implementeren ter voorkoming van het onbewust lekken van data, wat misschien nog wel een veel groter probleem is. Een fout zoals een e-mail adresseren aan de verkeerde Piet is snel gemaakt.” “We kunnen heel veel risico’s afvangen met technologie, processen en mensen en daar kunnen wij als Managed Security Provider als geen ander de balans tussen vinden. Maar daarbij opereren we wel binnen het kader van wat we nu weten”, besluit Dorèl. “Interessant wordt het als we te maken krijgen met dreigingen die we nu nog niet kennen. Hoe ga je daar mee om? Dan gaat het om vertrouwen, het vertrouwen dat je zakendoet met een partij die het voor je gaat fixen.”

' Als je van data naar informatie gaat, vindt er een nieuwe manifestatievorm plaats' 9

HEADLINE INSPECTIE VERSLEUTELD WEBVERKEER VORMT GROTE UITDAGING

INTERNETBEVEILIGING | SSL/TLS | SSL-INTERCEPTIE | OPINIE | MOTIV

INTERNETBEVEILIGING | SSL/TLS | SSL-INTERCEPTIE | OPINIE | MOTIV

OPINIE

Een goede balans tussen security en privacy

'Technisch gezien is het probleem, dat securityoplossingen als het ware ‘blind’ worden door de toepassing van versleuteling, prima op te lossen'

Rémon Verkerk, Product Manager bij Motiv

' INSPECTIE VERSLEUTELD WEB VERKEER VORMT GROTE UITDAGING'

Niet waterdicht

Steeds vaker verloopt communicatie over het internet via een beveiligde, versleutelde verbinding. Een positieve ontwikkeling die echter ook een belangrijke keerzijde kent: sommige beveiligingsoplossingen kunnen niet in een versleutelde verbinding kijken waardoor kwaadaardige pakketjes vaak ook onopgemerkt blijven. Een oplossing voor dit probleem is het tijdelijk ‘ontsleutelen’ van de verbinding zodat er toch inspectie kan plaatsvinden. Deze oplossing stuit echter op de nodige privacybezwaren. Volgens Product Manager Rémon Verkerk van Motiv doen organisaties er goed aan om deze bezwaren goed af te wegen tegen de security. Websites worden al lang niet meer alleen gebruikt voor het presenteren van statische content zoals productinformatie of het laatste nieuws. Sinds de introductie van ‘Web 2.0’ in 2001 heeft de webbrowser zich gaandeweg ontwikkeld tot een platform voor communicatie, samenwerking en informatie-uitwisseling. We wisselen bestanden uit via de browser, vergaderen via WebRTC of de Skype for Business-webapp en benaderen onze e-mail, PowerPoint-presentaties en SharePoint-sites via de Office 365-portal.

gericht op kwetsbaarheden in internetbrowsers kunnen het systeem van de gebruiker compromitteren. In het geval van zogenaamde ‘Man-inthe-Browser Attacks’ wordt kwaadaardige code in de browser van het slachtoffer geplaatst die informatie afvangt en/of manipuleert voordat deze wordt versleuteld en getransporteerd. En zo kan het gebeuren dat de gebruiker 25 euro denkt over te maken maar dat er 2500 euro van zijn of haar bankrekening wordt afgeschreven.

Aanvullende beveiligingsmaatregelen Cybercriminelen spelen echter ook in op de mogelijkheden die het webplatform biedt. Aanvallen 10


De toegenomen communicatie via het internet vraagt om aanvullende beveiligingsmaatregelen;

anders is het voor kwaadwillenden te eenvoudig om de communicatie af te vangen en informatie eigen te maken. Versleuteling van het webverkeer is dan ook sterk aan te bevelen. Gelukkig zien we de laatste jaren een duidelijke toename in de versleuteling van het webverkeer op basis van Secure Sockets Layer (SSL) en diens opvolger Transport Layer Security (TLS). Deze protocollen worden gebruikt om te verifiëren of er inderdaad verbinding is gemaakt met de gewenste webserver en om de communicatie met die webserver te beveiligen.

Zoals bijna geen enkele beveiligingsmaatregel zijn ook SSL en TLS niet waterdicht. In het geval van de eerder genoemde Manin-the-Browser Attacks lost SSL/TLS niets op als de aanvaller erin slaagt om het verkeer bij de bron of op de bestemming te onderscheppen, dus nog voor of net na de versleuteling van het verkeer. En recente aanvallen zoals Heartbleed en Poodle maakten pijnlijk duidelijk dat aanvallers het versleutelde verkeer kunnen openbreken door gebruik te maken van kwetsbaarheden in de SSL- en TLS-protocollen. Een ander belangrijk nadeel van het gebruik van SSL/TLS waar onvoldoende over wordt nagedacht, is het effect dat versleuteling van webverkeer kan hebben op de beveiliging. Want in hoeverre zijn securityoplossingen zoals proxyservers en next-generation firewalls – die inspectie doen op het verkeer – nog in staat om aanvallen op het webverkeer te detecteren als de communicatie is versleuteld? In de praktijk stellen we dan ook vast dat sommige securityoplossingen – zonder aanvullende maatregelen – steeds minder goed in staat zijn om de klant te beschermen tegen dergelijke dreigingen. En wat te denken van het inzicht in de productiviteit, ongewenst surfgedrag van medewerkers en het lekken van bedrijfsinformatie? De controle hierop wordt steeds beperkter.

SSL-interceptie Voor de securityspecialisten van Motiv is dé oplossing voor dit probleem eenvoudig: plaats de securityoplossing tussen de verkeerstromen en laat deze fungeren als doorgeefluik/proxy door inkomende SSL/TLS-verbindingen te ontsluiten en een nieuwe SSL/TLS-verbinding op te zetten

met de bestemming. Deze proxy doet zich naar de clients voor als de bestemming (de website die wordt bezocht) door gebruik te maken van ‘valse’ certificaten. Feitelijk gaat het hier om een ‘legitieme Man-in-the-Middle Attack’. De vraag is hooguit waar deze ‘interceptie’ van het SSL/TLS-verkeer het beste kan plaatsvinden. Next-generation firewalls kunnen in voorkomende gevallen SSL-interceptie doen (dit

' In de praktijk merken we dat privacy-over wegingen vaak de reden zijn om niet met SSL/TLS-interceptie aan de slag te gaan' geldt overigens ook voor TLS). Dit vraagt echter flink wat rekencapaciteit en resources van de firewall; iets waarmee bij de sizing van de oplossing rekening moet worden gehouden om problemen met de performance van de oplossing te voorkomen. Moderne Web Security Gateways kunnen de SSL-interceptie ook voor hun rekening nemen, waarbij uitgebreide policy’s het mogelijk maken om verkeersstromen te monitoren en aanvallen op het webverkeer effectief af te slaan.

Privacy een struikelblok? Technisch gezien is het probleem, dat securityoplossingen als het ware ‘blind’ worden door de toepassing van versleuteling, dus prima op te lossen. In de praktijk merken we helaas dat SSL/

TLS-interceptie nog maar weinig wordt toegepast, en dat privacy-overwegingen vaak de reden zijn om er niet mee aan de slag te gaan. Dan wordt het bijvoorbeeld niet wenselijk geacht dat er SSL-interceptie plaatsvindt op privéverkeer vanaf een zakelijk device, of dat een financiële transactie afkomstig van de financiële afdeling wordt opengebroken door de verbinding te ontsleutelen. Vaak genoeg gaan organisaties de discussie uit de weg en laten het privacy-aspect zwaarder wegen. In de visie van Motiv is het beter om hier een balans te vinden tussen privacy en security. Inspectie van internetverkeer door de werkgever moet altijd bekend zijn bij de werknemer en bovendien ‘proportioneel’ en in alle redelijkheid en matigheid gebeuren – ook als het verkeer niet is versleuteld. Een goede reden om tot SSL-interceptie over te gaan, kan zijn dat er anders een grote kans is slachtoffer te worden van een infectie of een cyberaanval. Daarbij is het goed om te weten dat SSL-interceptie niet op al het versleutelde webverkeer hoeft te worden toegepast. Er kan bijvoorbeeld voor worden gekozen om uitzonderingen te maken op basis van rollen. Zo is het prima mogelijk om het verkeer van bepaalde personen of van afdelingen zoals Legal of Finance uit te sluiten van SSL-interceptie.

Conclusie Door het (toenemende) gebruik van SSL/TLS verliezen organisaties de controle over wat er allemaal het netwerk op komt en verlaat. Organisaties doen er goed aan om hier goed over na te denken en een beleid op te stellen ten aanzien van SSL-interceptie. Daarbij is het goed om te weten dat de situatie niet zo zwart-wit is als de perceptie vaak is. Het is geen kwestie van wel of helemaal geen SSL-interceptie toepassen. 11

H E A D L I N E ‘ ME L D PL I C H T DATA L E K K EN I S E EN D R A AK ’

Michiel Steltman

S E C U R E H O S T I N G | S E C U R I T Y B A S E L I N E | V I S I E | D H PA

S E C U R E H O S T I N G | S E C U R I T Y B A S E L I N E | V I S I E | D H PA

VISIE

Michiel Steltman, Directeur van de Dutch Hosting Provider Association

Volgens Steltman is er onterecht nog veel angst om de drempel naar de cloud over te stappen. “Waar een bedrijf voorheen zelf de kwaliteit van de eigen IT-dienstverlening bepaalde, ligt die regie bij online dienstverlening bij de serviceprovider. Dat verlies aan controle maakt bedrijven angstiger dan nodig is. Als je de eigen IT kunt ‘zien’ en ‘aanraken’, wil dat nog niet zeggen dat de beveiliging dan op orde is. Een server onder de keukentafel zie je staan, maar die server staat toch echt veiliger in een goed beveiligd datacenter, en is vaak in betere handen bij een hoster die informatieveiligheid diep in de organisatie en cultuur verankerd heeft.” Ook is het volgens Steltman een misvatting dat cloud de risico’s vergroot. “De risico’s liggen in het zakendoen en communiceren via internet, en dat is iets wat elk bedrijf doet.”

' MELDPLICHT DATALEKKEN IS EEN DRAAK' Vertrouwen is goed voor de handel. Potentiële klanten doen immers geen zaken met een dienstverlener die ze niet vertrouwen. Volgens Michiel Steltman, Directeur van de Dutch Hosting Provider Association, is het waarborgen van privacy en informatiebeveiliging de kern van dat vertrouwen. Steltman is dan ook enthousiast over de gedachte achter de nieuwe Europese Privacyverordening die nu in de maak is. En toch plaatst de Directeur een kanttekening bij de verordening. “De praktische invulling leidt tot problemen.” De Stichting DHPA treedt al vanaf 2009 op als belangenbehartiger van de Nederlandse hostingsector. “Dat is ontstaan vanuit een Calimerogevoel”, vertelt Directeur Michiel Steltman, die ook Directeur is van koepelorganisatie Digitale Infrastructuur Nederland (DINL) die eind 2014 werd opgericht. “Hosters werden door de vertegenwoordigers uit de traditionele telecom- en IT-branche gezien als ‘leuk voor de company website, maar niet serieus als het echt over IT gaat’. Terwijl het maatschappelijke belang van de hostingsector toen al enorm was. Verzekeraars, de automotive sector, notarissen, allemaal maken ze direct of indirect gebruik van bedrijfskritische online systemen die bij hosters draaien. Als de hostingsector omvalt, haalt het niet eens de krant, want ook kranten zijn voor hun verschijning afhankelijk van zulke diensten.” 12


' De kracht van de Privacyverordening is dat die het vertrouwen stimuleert' Inmiddels gaat er volgens Steltman een ‘disruptieve kracht’ uit van de online industrie. “Wat UberPOP is voor de taxibranche, zijn online, cloud en hosting voor de traditionele IT. Alle bedrijven doen inmiddels wel iets online. Dat gaat verder dan een company website; het gaat tegenwoordig over de online presence van bedrijven en

daar is de hostingsector sterk in. Dat geluid willen we laten horen. We willen de spreekbuis zijn voor wat wij noemen de sector digitale infrastructuur die alles vertegenwoordigt van wat zich onder de motorkap van de online wereld afspeelt.”

Vertrouwen in online ketens In het nu zesjarige bestaan van de DHPA is er volgens Steltman ‘ontzettend veel bereikt’. “We zijn echt een factor van betekenis geworden in politieke debatten over het internet.” Toch is er ook nog een hele slag te slaan. “Vijf procent van de IT-toepassingen staat in de cloud, de overige 95 procent staat nog altijd on-premise. Om ook die 95 procent de transitie naar de cloud te laten maken, is het nodig dat mensen er vertrouwen in hebben dat hun IT-infrastructuur met die online ketens beter wordt, en niet slechter.”

In antwoord op de vraag hoe die angst kan worden weggenomen, hamert Steltman op het belang van transparantie. “Transparantie is goed voor het vertrouwen en vertrouwen is goed voor de handel. Als klant moet je het gevoel hebben dat je de controle niet verliest. Daarvoor is het belangrijk dat je ziet wat er met je data gebeurt, dat je weet welke partijen allemaal zijn betrokken bij de online dienstverlening en dat inzichtelijk is welke beveiligingsmaatregelen deze partijen hebben getroffen.” De getroffen maatregelen en de effectiviteit daarvan zouden ook zichtbaar moeten worden in wat Steltman noemt een ‘dashboard van je keten’.

Europese Privacyverordening Ook bescherming van privacy is belangrijk bij het creëren van vertrouwen in de online economie. “Niet alleen het bedrijfsleven maar ook de overheid doet dingen met je data en je hebt geen idee wat. Dat verlies van controle maakt angstig.” De aanstaande Europese Privacyverordening – die de minder strenge privacyrichtlijn uit 1995 moet vervangen – is dan ook een goede stap in de richting van transparantie. Toch is Steltman niet helemaal tevreden. “De kracht van de veror-

harde schijven? Dat is nogal wat! De aansprakelijkheid voor het kunnen weten dat informatie lekt, gaat nogal ver en is niet meer fair. Met de wijsheid achteraf kan je natuurlijk alles nalatig noemen.” “Ook sluit de wetgeving niet goed aan bij de praktijk”, vervolgt Steltman. “De rollen van bewerker en verantwoordelijke zijn bijvoorbeeld niet altijd duidelijk. Voor hosters hebben persoonsgegevens geen betekenis, voor hen zijn het gewoon

' Transparantie is goed voor het vertrouwen en vertrouwen is goed voor de handel’ dening is dat die het vertrouwen stimuleert. Die gedachte is goed, maar de uitvoering rammelt.” Als voorbeeld van de ‘rammelende uitvoering’ noemt Steltman de ‘Meldplicht datalekken’ die – als de Eerste Kamer akkoord gaat met het wetsvoorstel – wordt opgenomen in de Wet bescherming persoonsgegevens. “Een meldplicht met boetes voor bedrijven die ‘hadden moeten kunnen weten’ dat ze gehackt zijn, is natuurlijk een draak. Moet je iedereen binnen de onderneming de harddisk laten vervangen nu gevallen bekend zijn van door Stuxnet geïnfecteerde

DHPA en Motiv De Stichting DHPA heeft naast 31 deelnemers uit de hostingsector ook een groot aantal technologie- en businesspartners aan zich gebonden. De partners maken de activiteiten van de DHPA mede mogelijk en kunnen via het platform van de DHPA nieuws en ontwikkelingen delen met een groep bedrijven. “Met mijn team kan ik de geluiden uit de sector agenderen bij de deelnemende partners”, aldus Directeur Michiel Steltman. “Het gaat erom hoe je het collectief van ideeën bij elkaar brengt.” Motiv heeft zich in januari 2014 als businesspartner aangesloten bij de DHPA. “Wij selecteren onze partners op onze kernwaarden ethiek, conduct, professionaliteit en kwaliteit”, aldus Steltman. “Daarnaast moet je als partner kennis hebben van zaken en je kunnen mengen in het debat.” Motiv voldoet volgens Steltman ruimschoots aan deze eisen. “Motiv is heel toegewijd en heel professioneel met het thema security bezig. Security zit in de cultuur van Motiv.”

gegevens die beveiligd moeten worden. Ook het ontbreken van standaard bewerkersovereenkomsten maakt het voor hosters onnodig lastig. Kortom, tussen gedachte en uitvoering zit een te grote kloof.”

Draak bezweren Om de kloof te dichten is het volgens Steltman nodig dat er vooral ‘praktische dingen worden gedaan’. Een voorbeeld daarvan is het opstellen van generieke bewerkersovereenkomsten waarin wordt vastgelegd hoe de hoster met de persoonsgegevens moet omgaan. En wat onder veilig wordt verstaan, kan worden vastgelegd in een generieke ‘security baseline’. Als voorbeeld hiervan noemt Steltman het ‘keurmerk voor veilige internetdiensten voor het MKB’, een gezamenlijk initiatief van de ministeries van Economische Zaken en Veiligheid & Justitie, waar het ECP en de online sector bij betrokken zijn. “Als de denkrichting van de sector wordt gevolgd, heb ik er vertrouwen in dat we met zo’n keurmerk echt meters gaan maken. Als je kunt aantonen dat je richtlijnen en best practices volgt die algemeen worden geaccepteerd of zelfs vastliggen in standaarden, kan achteraf moeilijk worden beweerd dat je nalatig bent geweest. Dat is de manier waarop wij deze draak denken te kunnen bezweren.” 13

H E A D L I N E ' A L S J E B EN T G E H AC K T, W I L J E DAT ME T E EN W E T EN '

S E C U R I T Y O P E R AT I O N S C E N T E R | M A N A G E D S I E M | W E B A P P L I C AT I O N F I R E WA L L | D E L A B E LG I Ë


KLANTCASUS

Dieter Herbots, ICT Consultant bij DELA België

'Als je bent gehackt, wil je dat meteen weten'

' Een actieve monitoring vinden wij van cruciaal belang’

Een eigen koers en een sterke groei van de onderneming brachten DELA België ertoe om de eigen IT-voorzieningen een ‘stapje hoger’ te brengen. “Motiv is de partner die ons daarin adviseert”, aldus ICT Consultant Dieter Herbots. Dat advies leidde onder meer tot de implementatie van een Web Application Firewall, de segmentatie van het netwerk en de afname van SIEM in de vorm van een managed security service.

Dieter Herbots

14



DELA België is in 1989 opgericht als filiaal van de coöperatie die in Nederland al vanaf 1937 actief is op het gebied van uitvaartverzekeringen en -verzorging. Dat filiaal is sindsdien wel meer en meer een lokaal Belgische koers gaan varen met eigen uitvaartcentra en crematoria-activiteiten en een tweede Belgische zetel gevestigd te Luik, specifiek voor de Belgisch Franstalige markt met een eigen portfolio dat inmiddels duidelijk andere accenten kent. “Als je in Nederland aan DELA denkt, dan denk je vooral aan uitvaartverzekeringen met dienstverlening, dikwijls nog in natura. In België is ondertussen ook de ‘uitvaarttak’ opgericht naast de ‘verzekeringstak’ waardoor ook ons portfolio veel beter in balans is”, aldus Dieter Herbots, bij DELA België verantwoordelijk voor de ICT-infrastructuur en -diensten. “Zo hebben we op het gebied van uitvaarten een hele scope aan diensten waaronder nabestaandenzorg.” De stappen die zijn gezet richting verzelfstandiging hebben ook gevolgen voor de IT, zo begrijpen we van Herbots. “Door de verzelfstandiging zijn we steeds meer functies – zoals compliancy en risk – gaan onderbrengen in de eigen bedrijfsprocessen. En doordat we andere producten zijn

gaan voeren, gericht op de Belgische markt, en tevens te maken hebben met Franstalige gebruikers en klanten, zijn we ook meer en meer onze eigen applicaties gaan ontwikkelen die tevens draaien in België. Dit alles had wel tot gevolg dat we het IT-securityniveau van DELA België een stapje hoger moesten tillen, los van het moederhuis in Nederland. Motiv is onze partner die ons daarin adviseert.”

Web Application Firewall De ingebruikname van een door DELA België gebouwde verzekeringsapplicatie vormde de aanleiding voor het eerste contact met Motiv. “Onze verzekeringstussenpersonen kunnen via het web inloggen op deze applicatie om dossiers en polissen te beheren, maar dan moet je er wel zeker van zijn dat de inhoud van de dossiers en polissen – oftewel de database met de persoonsgegevens van de verzekerden – goed beschermd is. Dan heb je niet veel aan een traditionele firewall maar heb je echt een Web Application Firewall nodig die ook kan ‘leren’ wat normaal gedrag is en wat niet. Motiv heeft ons op dat gebied heel neutraal geadviseerd.” De keuze van DELA België viel op de SecureSphereoplossing van Imperva die in de ogen van Her-

bots de beste mogelijkheden biedt om de webapplicatie te beschermen. Als voorbeeld geeft de ICT Consultant de ‘geo-location’-functie die alarm slaat als de website wordt benaderd vanaf een opvallende locatie. Een ander voorbeeld is Imperva’s ThreatRadar waar bedrijven ‘security intelligence’ met elkaar delen over bijvoorbeeld malafide sites die beter kunnen worden geblokkeerd. “Er is nog wel een hele tijd overheen gegaan voordat we de WAF echt in productie konden brengen”, erkent Herbots. “Het online krijgen van de WAF en het inschakelen van de ‘learning’module is zo gedaan, maar dan volgt nog het risicomanagement. De WAF moet leren wat risico’s zijn, en hoe langer de WAF leert, hoe stabieler de WAF wordt.”

Compartimentering Parellel aan het keuzetraject dat leidde tot de WAF van Imperva voerde Motiv een analyse uit van de ICT-omgeving van DELA België. Deze analyse bracht een negental aandachtspunten aan het licht die een voor een werden aangepakt. Het eerste punt dat werd aangepakt, is wat Herbots noemt de ‘platte pannenkoek’ die het netwerk van DELA België tot op dat moment nog was. > 15

HEADLINE 'ALS JE BENT GEHACKT, W I L J E DAT ME T E EN W E T EN '


KLANTCASUS

' Zeker in het huidige tijdperk van Bring Your Own Device moet je ervan uitgaan dat je een breach hebt' Dieter Herbots, ICT Consultant bij DELA België > “De aloude aanpak dat je – eenmaal de DMZ gepasseerd – alles op het netwerk kunt doen wat je maar wilt, is niet meer van deze tijd. Zeker in het huidige tijdperk van Bring Your Own Device – waardoor toestellen op het netwerk komen die daar eigenlijk niet horen – moet je ervan uitgaan dat je een ‘breach’ hebt. De vraag is dan hoe je de impact van zo’n breach beperkt? Dat kan alleen maar door het netwerk goed te compartimenteren waardoor een breach opgesloten blijft binnen één cel van het netwerk.” Het advies om het netwerk te compartimenteren, werd volgens Herbots dan ook ‘strikt opgevolgd’. Om dezelfde reden werd de Active Directoryomgeving van DELA België losgekoppeld van die van DELA Nederland. “Je wilt niet dat de ITleverancier die de Active Directory in België onderhoudt impact kan veroorzaken in Nederland, en omgekeerd.” Door de Belgische Active Directory los te koppelen van de Nederlandse werd het voor Herbots en zijn collega’s ook eenvoudiger om netwerkgebruikers te bedienen in de Franse taal. “Het ligt gevoelig om boodschappen zoals ‘Gelieve uw wachtwoord te resetten’ alleen in het Nederlands aan te bieden.”

Actieve monitoring Een tweede punt van aandacht was het goed inrichten van het Security Information and Event Management (SIEM). “Wij hebben echter zelf niet de capaciteit om de logfiles en rapporten van honderden pagina’s door te spitten op zoek naar zaken waarover je verwittigd wilt worden”, stelt Herbots. “Wij werken dan ook voornamelijk met outsourcing.” 16


DELA België nam dan ook het besluit om SIEM als een ‘managed security service’ van Motiv af te nemen. Als onderdeel van deze dienst zijn er ‘loggers’ geplaatst in het netwerk van DELA België die de gegevens afkomstig van de securitycomponenten – waaronder ook de WAF van Imperva – na een eerste filtering doorsturen naar het Security Operations Center van Motiv. In dit SOC vindt een tweede analyse van de data plaats waarna de belangrijkste zaken voor een nadere inspectie worden getoond op de dashboards van de SOC-analisten.

Bij geconstateerde beveiligingsproblemen nemen de security-experts van Motiv maatregelen om de impact te minimaliseren. “Binnen het contract is ook een aantal reactieve uren opgenomen.” “Er zijn gevallen bekend van bedrijven die ruim een jaar lang niet doorhadden dat ze waren gehackt; dat mag ons natuurlijk niet gebeuren”, concludeert Herbots. “Een actieve monitoring vinden wij dan ook van cruciaal belang. Als je bent gehackt, wil je dat meteen op dezelfde dag weten.”

Draagt Elkanders Lasten DELA België maakt deel uit van een coöperatie die in de jaren ’30 van de vorige eeuw is opgericht te Eindhoven. Wie in die tijd geen geld had voor een uitvaart, werd ’s morgens vroeg in een hoekje van het kerkhof begraven, zonder steen, zonder naam of zichtbaar kenteken. Een groep begrafenisondernemers vond dit onwaardig, en vond dat iedereen recht had op een waardige begrafenis, ongeacht rang, stand of inkomen. Daarom stichtten zij de vereniging ‘Draagt Elkanders Lasten’, nu verkort tot DELA. Iedereen kon lid worden voor een beperkt maandelijks bedrag, en was hierdoor verzekerd van een waardige begrafenis. DELA is sinds 1989 aanwezig in België en telt nu ruim 750 medewerkers, en helpt vóór, tijdens en na een uitvaart. Vóór het overlijden kan men bij DELA middels een uitvaartverzekering de financiële gevolgen van een overlijden opvangen. Voor het verzorgen van uitvaarten heeft DELA België 67 hoog gekwalificeerde begrafenisondernemers verspreid over meer dan 145 uitvaartcentra. DELA België verzorgt de uitvaart van meer dan één op tien overleden Belgen (circa 12.000 uitvaarten per jaar) en verzorgt als eigenaar van vijf crematoria 39% van de Belgische crematies. DELA beschikt tevens over 25 consulenten nabestaandenzorg die na een uitvaart zich bekommeren om de praktische en administratieve gevolgen van een overlijden. Via het DELA fonds wil de coöperatie projecten ondersteunen die de zorg voor elkaar, rouwverwerking en de maatschappelijke betrokkenheid stimuleren. Voor meer informatie: dela.be.

17

Arthur van Uden, Country Manager Benelux van Check Point

‘Met Capsule stellen wij de mobiele gebruiker voorop’ Door de ‘Bring Your Own Device’-trend is het aantal persoonlijke mobiele toestellen op de werkvloer de afgelopen twee jaar bijna verdubbeld. Die mobiele apparaten – bijna computers met daarop zakelijke data – connecteren echter niet alleen met het bedrijfsnetwerk, maar ook met eventuele malafide netwerken thuis of onderweg. Met Check Point Capsule beschikken organisaties altijd en overal over een gedegen beveiliging, op elk apparaat en voor elk document.

Bring Your Own Device heeft ervoor gezorgd dat persoonlijke mobiele devices zoals smartphones en tablets zowel in een professionele omgeving als privé worden gebruikt. Daarmee is ook binnen het apparaat zelf de grens tussen zakelijk en privé verdwenen; zakelijke documenten staan naast de Dropbox-app met daarin de vakantiekiekjes. “Maar hoe weet je nog of de smartphone of iPad veilig is als die ook door de kinderen wordt gebruikt om spelletjes mee te spelen?”, schetst Arthur van Uden, Country Manager Benelux van Check Point Software Technologies. “Dit soort vragen levert iedere security-officer hoofdbrekens op.” 18


Mobile Security Report Die hoofdbrekens komen ook duidelijk naar voren uit een recent onderzoek (‘The Impact of Mobile Devices on Information Security’) waarvoor Check Point bijna achthonderd IT-professionals heeft ondervraagd over het transport van gevoelige, zakelijke informatie buiten beheerde omgevingen. Volgens dit onderzoek maken vrijwel alle IT’ers (98 procent) zich zorgen over de impact van een mogelijk mobiel beveiligingsincident in hun organisatie, terwijl 82 procent vreest dat het aantal mobiele beveiligingsincidenten in 2015 nog verder zal toenemen. 42 procent gaf bovendien aan dat

mobiele beveiligingsincidenten hun organisatie in 2014 meer dan 250.000 dollar heeft gekost. Er was naar aanleiding van Check Points ‘Mobile Security Report’ ook goed nieuws te melden. 56 procent van de respondenten gaf aan de zakelijke gegevens te beheren die staan op de apparaten die eigendom zijn van de medewerkers; in 2013 lag dat percentage nog op 37 procent. Toch plaatst Van Uden hier een kanttekening bij. “Er is inmiddels een hele rits van op zichzelf staande oplossingen op de markt, maar tot voor kort was er niet één, allesomvattende oplossing voor mobile security, die

M O B I L E S E C U R I T Y | C A P S U L E | D O C UM E N T S E C U R I T Y | C H E C K P O I N T S O F T WA R E T E C H N O LO G I E S

M O B I L E S E C U R I T Y | C A P S U L E | D O C UM E N T S E C U R I T Y | C H E C K P O I N T S O F T WA R E T E C H N O LO G I E S

In de schijnwerpers

' Data kunnen eenvoudig worden veiliggesteld door de container te wissen' ook nog eens naadloos integreert met het beveiligingssysteem van het bedrijfsnetwerk.” Bijkomend probleem is volgens Van Uden dat je als bedrijf met de huidige Mobile Device Management-oplossingen het apparaat van de gebruiker volledig onder controle neemt, terwijl de gebruiker dat doorgaans niet op prijs stelt. “Met onze Capsule-oplossing stellen wij de gebruikers voorop, met behoud van vrijheid voor de gebruiker.” Check Point Capsule Check Point Capsule beveiligt zakelijke gegevens op mobiele toestellen zonder de noodzaak om het complete apparaat te beheren. De gebruiker kan op zijn mobiele apparaat zelf een ‘Capsule Workspace App’ installeren die als het ware een veilige container creëert op het mobiele apparaat. In deze container worden zakelijke data volledig versleuteld en gescheiden van de persoonlijke data en applicaties opgeslagen. Met ‘one-touchtoegang’ hebben gebruikers via een VPN-verbinding toegang tot bedrijfs-e-mail, bestanden, mappen, contacten en agenda’s, zonder dat persoonlijke data benaderd worden. “Als een device kwijtraakt, kunnen de zakelijke data eenvoudig worden veiliggesteld door de container te wissen”, aldus Van Uden. Een andere module binnen de ‘meerlaagse beveiliging’ van Check Point is Capsule Connect om apparaten die zich buiten het bedrijfsnetwerk bevinden te beveiligen tegen dreigingen. Capsule Connect scant al het verkeer van en naar mobiele apparaten in de cloud en voorkomt toe-

gang tot kwaadaardige bestanden en websites, schade door bots en andere cyberbedreigingen. Van Uden: “Daarbij wordt ook ‘threat emulation’ toegepast op documenten en worden verdachte bestanden in quarantaine geplaatst.” Deze nieuwe beveiligingstechnologie ondersteunt diverse platformen en besturingssystemen, inclusief iOS, Android, Windows en MacOS. Document Security Het derde component binnen de Capsule-oplossing van Check Point is ‘Capsule Document Security’, dat volgens Van Uden uniek is in de markt. Met Document Security is het mogelijk om al bij de creatie van een document – maar ook aan bestaande documenten – een ‘automatische beveiliging’ toe te voegen waardoor alleen geautoriseerde gebruikers toegang hebben tot beveiligde documenten op al hun apparaten. Printen, kopiëren of delen met andere personen lukt dan niet. Zo kan een document als ‘beveiligingsparameter’ meekrijgen dat het document alleen kan worden gelezen door geautoriseerde gebruikers binnen de HR-afdeling of dat een document alleen op printers binnen het eigen bedrijfsnetwerk mag worden afgedrukt. “Het grote voordeel van Capsule Document Security is dat ik als organisatie de controle behoud over de

documenten, ook als die bijvoorbeeld worden verplaatst naar Dropbox”, licht Van Uden toe. Het inregelen van Document Security is volgens de Country Manager Benelux een kwestie van ‘Active Directory erbij pakken’. “Standaard kan een document door iedereen worden gelezen, en van daaruit ga je de regels verder aanscherpen. Door zijn grote expertise op dit vakgebied is Motiv de aangewezen partij om bedrijven hierbij te assisteren.” Bij de creatie van documenten gaat Document Security uit van een grote vrijheid voor de gebruiker. “Doordat alles wordt gelogd, worden alle handelingen die betrekking hebben op het document inzichtelijk gemaak. Ga je tegen de regels in, dan krijg je daar automatisch een melding van.” Complete oplossing “Check Point Capsule is een complete oplossing die helpt bij het oplossen van de uitdagingen waar security-officers vandaag de dag mee te maken hebben”, concludeert Van Uden. “Met Check Point Capsule beschikken organisaties over een gedegen beveiliging op elk apparaat en voor elk document die bovendien naadloos aansluit op de corporate security-omgeving.”

' Als organisatie behoud ik de controle over de documenten' 19

H E A D L I N E ‘ P R I VA C Y I S B I J H E T G E B R U I K VA N E - M A I L E C H T E E N P R O B L E E M ’

G E G E V E N S B E V E I L I G I N G | V E I L I G E B E S TA N D S U I T W I S S E L I N G | M S A F E | M E I J E R S


KLANTCASUS

Thomas van der Knijff, Operations Manager bij Meijers

' Privacy is bij het gebruik van e-mail echt een probleem' Meijers (‘Registermakelaars in Assurantiën’) voert een stringent beleid als het gaat om informatiebeveiliging. “Als we het idee hebben dat iets kan leiden tot datalekkages of breuken in de beveiliging, dan doen we het niet”, aldus Operations Manager Thomas van der Knijff. “Maar dan willen we de gebruikers wel een alternatief kunnen bieden.” Voor potentieel gevaarlijke filesharingtoepassingen zoals WeTransfer, Hightail en Dropbox werd dat alternatief gevonden in Motiv mSafe. Meijers adviseert en begeleidt zakelijke en particuliere relaties bij risicobeheer en ‘employee benefits’ zoals inkomensbescherming en pensioenen. Ook bemiddelt Meijers bij het tot stand brengen van passende verzekeringsoplossingen. “We bieden de ‘full service’. Het enige wat we niet doen, is hypotheken”, zo vat Operations Manager Thomas van der Knijff het krachtig samen.

Thomas van der Knijff

20



“We zijn een makelaar die op de achtergrond opereert”, vervolgt Van der Knijff. “Je treft ons niet op de billboards aan.” Die bescheiden opstelling heeft een ‘stevige, mooie groei’ van het bedrijf niet in de weg gestaan. Wat ruim veertig jaar geleden begon op de spreekwoordelijke slaapkamer van oprichter Jaap Meijers, is uitgegroeid tot een onderneming met ruim 150 medewerkers. “Met een mooi (internationaal) netwerk aan langdurige relaties is de onderneming gaan vliegen en groeien we jaarlijks met tien tot vijftien medewerkers en evenredig in omzet.”

Ook hebben we systemen in gebruik waarvan we nog niet het volledige potentieel benutten.”

Bedrijfsprocessen verfijnen Aan Van der Knijff, die verantwoordelijk is voor ICT, Facility en ‘Operations’, de taak om samen met zijn team de bedrijfsprocessen van Meijers te verfijnen en af te stemmen op de groei. “We werken nu aan een ‘roadmap digitalisering’ waarin we onze back-

kon vinden”, licht Van der Knijff toe. “De vorming van de nieuwe afdeling ‘Volmacht’ hebben we bijvoorbeeld als moment aangegrepen om een gestructureerde manier aan te reiken voor het opslaan van informatie, zodat op een relevant moment als schadeafhandeling alle klantinformatie goed is vastgelegd.” De medewerkers hebben wel even moeten wennen aan die nieuwe manier van werken, onderkent de Operations Manager,

‘ Wij vinden het belangrijk dat klantgegevens veilig worden verstuurd’ en front-office de komende twee tot drie jaar gaan vormgeven. Maar eerst moeten we ervoor zorgen dat we kloppende data hebben, want 'if you automate a mess, you get an automated mess’."

“maar inmiddels krijg ik de vraag waarom andere afdelingen nog niet zo werken. Dat is natuurlijk een groot compliment.”

Uitwisselen van gegevens “Procesmatig doen we echter nog heel veel zaken exact zoals we die veertig jaar geleden ook al deden”, merkt Van der Knijff op. “Waar een bepaalde taak veertig jaar geleden door één persoon werd uitgevoerd zijn dat er nu vijf geworden, maar de werkwijze is hetzelfde gebleven. Dat is natuurlijk gek.

Een belangrijk aandachtspunt daarbij is de manier waarop de verschillende afdelingen binnen Meijers informatie vastleggen. “Doordat iedere afdeling een eigen methode hanteerde voor het opslaan van informatie, kon het gebeuren dat een andere afdeling de informatie niet terug

Een ander punt van aandacht is de manier waarop informatie wordt gedeeld met bijvoorbeeld klanten, verzekeringsmaatschappijen en andere intermediairs. “De uitwisseling van gegevens is eigenlijk in de gehele branche een verschrikking”, zo zegt Van der Knijff resoluut. “Elk jaar komen > 21

H E A D L I N E ‘ P R I VA C Y I S B I J H E T G E B R U I K VA N E - M A I L E C H T E E N P R O B L E E M ’


KLANTCASUS

' mSafe is een belang rijk onderdeel van onze informatie beveiliging’

RONDETAFEL DATA LEAKAGE PREVENTION

25 JUNI 2015 10.00 UUR

BEWUSTWORDING VAN DE MOGELIJKE GEVOLGEN VAN HET LEKKEN VAN BEDRIJFSGEVOELIGE DATA OF KLANTGEGEVENS

LOCATIE IJSSELSTEIN

Thomas van der Knijff, Operations Manager bij Meijers

RONDETAFEL VOOR CIO, CSO EN CISO

Data Loss/Leakage Prevention (DLP) is hot anno 2015 en staat op de agenda van menig CIO, CISO en CSO. Kort gezegd heeft dit twee redenen.

> er wel weer nieuwe standaarden voor gegevensuitwisseling bij. Niet alle partijen sluiten zich daarbij aan. Terwijl je als klant gewoon mag verwachten dat gegevens zonder gedoe zijn over te dragen. Daar moeten we een standaard voor hebben.” Een groot deel van de gegevensuitwisseling gebeurt bij Meijers per traditionele post en per e-mail. “Maar aan e-mail kleven ook nadelen. Privacy is bij het gebruik van e-mail echt een groot probleem”, zo geeft Van der Knijff als voorbeeld. “Wij vinden het belangrijk dat klantgegevens niet alleen veilig worden verstuurd, maar dat we ook met een bepaalde zekerheid kunnen vaststellen wie de gegevens ontvangt. Een e-mail kan na ontvangst als hagel door een organisatie worden verspreid waardoor je geen controle meer hebt over de verstuurde gegevens.” Daar komt bij dat de beperking die e-mail oplegt aan de omvang van de bestanden voor Meijers steeds vaker een probleem vormde. Diensten die veelvuldig worden gebruikt om deze beperking te omzeilen, zoals Dropbox, WeTransfer en Hightail (voorheen YouSendit), zijn bij Meijers geblokkeerd. “Als het gaat om informatiebeveiliging, dan hanteren wij best wel een stringent beleid. Als we ergens niet achter staan, of het idee 22


hebben dat een toepassing leidt tot datalekkages of breuken in de beveiliging, dan doen we het gewoon niet. Maar tegelijkertijd proberen we de gebruikerservaring wel zo hoog mogelijk te houden en proberen we altijd een alternatief te bieden.”

Motiv mSafe Het alternatief voor de geblokkeerde filetransferdiensten werd gevonden in Motiv mSafe. De basis van Motiv mSafe is een werkruimte die Meijers bijvoorbeeld per project, klant of contactpersoon kan aanmaken en die alleen toegankelijk is met een gebruikersnaam, wachtwoord en een eenmalige sms-code. Gebruikers uploaden vervolgens bestanden naar de werkruimte. Zowel de uitwisseling van gegevens als de opslag van bestanden is versleuteld. Met mSafe Direct is het ook mogelijk om documenten rechtstreeks met één contactpersoon te delen. “Motiv mSafe werkt heel laagdrempelig, maar biedt tegelijkertijd wel de controle die nodig is”, oordeelt Van der Knijff. Een gedeeld document kan alleen worden gedownload door de ontvanger van de sms-code die dus in het bezit moet zijn van een aan de werkruimte gekoppeld mobiel telefoonnummer. “Na het downloaden van een document ontvang ik een bewijs van ontvangst.

Ten eerste zijn organisaties zich steeds meer bewust van de mogelijke

Natuurlijk kan de ontvanger er voor kiezen om een gedownload document verder te verspreiden, maar dan heb ik er als verzender alles aan gedaan om het document veilig te delen met een geverifieerde ontvanger.”

gevolgen van het lekken van bedrijfsgevoelige data of klantgegevens. Ten tweede dwingen zowel bestaande als nieuwe weten regelgeving maatregelen af ter voorkoming van datalekken en het tijdig melden ervan.

“mSafe is ontwikkeld door een partij met een ‘security-firstgedachte’ en wordt gehost op Nederlandse servers. Dat is misschien niet heilig, maar geeft wel een goed gevoel”, zo concludeert de Operations Manager van Meijers. “Motiv mSafe werkt voor mij bovendien redelijk ‘worry-free’; het systeem verwijdert bestanden na een bepaald aantal dagen automatisch, waardoor er geen enorm archief ontstaat. Er zit als het ware een automatische opschoning op.”

Beveiliging op orde “mSafe past goed bij de organisatie die we zijn”, besluit Van der Knijff. “Ik wil graag de medewerkers beschermen tegen fouten, maar ze wel iets in handen geven wat ze kunnen gebruiken. mSafe is een belangrijk onderdeel van onze informatiebeveiliging. Natuurlijk, security blijft een aandachtspunt en kwetsbaarheid van bedrijven is een feit. mSafe ligt in de lijn van alle securitymaatregelen die we treffen. Als onderdeel van het grotere geheel waarbij we zoveel mogelijk beveiligingsscenario’s proberen te analyseren.”

HEEFT U INTERESSE IN DEELNAME AAN DEZE RONDETAFEL? NEEM DAN CONTACT OP MET UW ACCOUNTMANAGER OF DE AFDELING MARKETING, VIA 030-6877007 OF [email protected].

Programma

Sprekers

09.30 uur | Ontvangst 10.00 uur | De uitdaging om bedrijfs gevoelige informatie binnen uw organisatie te houden 10.15 uur | 2015 Threat Report, Significant risks for data theft 11.00 uur | Pauze 11.15 uur | Hoe voorkom ik een Data Leakage-incident? 11.45 uur | Juridische aspecten van datalekken: meldplichten, boetes en aansprakelijkheid 12.15 uur | Aanpak Data Loss Prevention 12.45 uur | Lunch

Bastiaan Bakker | Commercieel Directeur, Motiv Neil Thacker | Information Security & Strategy Officer EMEA, Websense Friederike van der Jagt | Advocaat, Stibbe en expert op het gebied van de juridische aspecten van datalekken Rémon Verkerk | Product Manager, Motiv en expert op het gebied van e-mail-, web- en datasecurity

23

H E A D L I N E ' VA N U I T D E S A N TA N D E R G R O U P L I G T D E F O C U S O P S A M E N W E R K E N M E T PA R T N E R S '

S E C U R I T Y M A N A G E M E N T | S E C U R I T Y M O N I T O R I N G | S A N T A N D E R C O N S U M E R F I N A N C E B E N E L U X B . V.


KLANTCASUS

' Vanuit de Santander Group ligt de focus op samenwerken met partners'

Een ‘frisse wind’ en een sterkere focus op de klant moeten bij Santander Consumer Finance Benelux zorgen voor een reeks aan nieuwe, innovatieve producten en diensten. “Als IT moeten we daar wel op inspelen”, stelt Jan Pronk, IT-Manager bij Santander Consumer Finance Benelux. “En als er nieuwe kanalen richting onze klanten komen, betekent dat ook dat die goed moeten worden beveiligd.” “Koop nu, betaal later.” Iedereen kent wel de acties waarbij je als consument de mogelijkheid hebt om nu al in een auto rond te rijden die je volgend jaar pas betaalt, of om je nieuwe koelkast in termijnen af te betalen. “Vaak zitten daar financiële producten van ons achter”, vertelt Jan Pronk van Santander Consumer Finance Benelux dat zich richt op het aanbieden van financiële diensten aan consumenten, retailers en automotive bedrijven.

Jan Pronk, IT-Manager bij Santander Consumer Finance Benelux B.V.

Santander Consumer Finance is in 2003 opgericht door de wereldwijd opererende Spaanse bank Santander. Vijftien jaar later is het bedrijfsonderdeel vertegenwoordigd in dertien landen in Europa en is het met meer dan 17 miljoen klanten leidend op het gebied van consumentenfinancieringen in de Europese markt.

gen van een consumentenkrediet. “Waar eerst een ondertekend formulier, een bankpasje en een identiteitsbewijs moesten worden ingescand en opgestuurd voor controle, stappen we nu over op een proces waarbij de handtekening elektronisch wordt geplaatst en de diverse controles van bijvoorbeeld de kredietwaardigheid automatisch plaatsvinden”, legt Pronk uit. Bij niet al te hoge bedragen is een kredietaanvraag binnen een kwartiertje geregeld zonder dat er papierwerk aan te pas komt.

Uitdaging voor IT Een andere voorbeeld van vernieuwing dat Pronk aanhaalt, is het verder uitbreiden van e-commerce-oplossingen en -producten. “Het zijn allemaal voorbeelden van diensten die het voor de

'Op securitygebied nog de nodige stappen te zetten’

Jan Pronk

24



Ambitieuze toekomstplannen De toekomstplannen van Santander Consumer Finance Benelux zijn allerminst bescheiden, zo begrijpen we van de IT-Manager. “We willen verder doorgroeien en een grote speler in de Benelux worden.” Een frisse wind die door het bedrijf waait sinds het aantreden van nieuwe leidinggevenden en vernieuwing moeten gaan zorgen voor die groei. Een goed voorbeeld van die vernieuwing is het elektronische proces dat Santander Consumer Finance heeft geïntroduceerd voor het aanvra-

klant zo eenvoudig mogelijk maken, maar die IT voor een behoorlijke uitdaging plaatsen. Als er nieuwe kanalen richting onze klanten komen, betekent dat ook dat die goed beveiligd moeten worden. In het geval van het elektronische proces voor het aanvragen van een krediet moeten niet alleen de verbindingen goed worden beveiligd, maar ook de gescande handtekeningen zelf. Die moeten ergens komen te staan en bepaalde mensen moeten daar bij kunnen en anderen juist weer niet. Dat moet allemaal traceerbaar zijn en de beveiliging moet op kwaliteit kunnen worden gecontroleerd.” > 25

H E A D L I N E ' VA N U I T D E S A N TA N D E R G R O U P L I G T D E F O C U S O P S A M E N W E R K E N M E T PA R T N E R S '


KLANTCASUS

' Cloud wordt steeds breder geaccepteerd, maar wel met een sterke regierol voor de Santander Group' Jan Pronk, IT-Manager bij Santander Consumer Finance Benelux B.V.

> Voor specifieke expertise – zoals het inrichten en monitoren van de beveiliging – doet Santander Consumer Finance dan ook steeds vaker een beroep op de kennis van een partner, zo schetst Pronk. “Als onderdeel van een bank draaien en bouwen we heel veel systemen intern; dat is een beetje de manier waarop we standaard werken. Maar we hebben niet alle kennis zelf in huis. Zeker voor ons als een klein bedrijf binnen de Santander Group is het noodzakelijk om voor bepaalde zaken een beroep te doen op outsourcingpartners. Vanuit de Santander Group ligt de focus voor het komende jaar dan ook op samenwerken met partners. Cloud wordt steeds breder geaccepteerd, maar wel met een sterke regierol voor de Santander Group.”

gewoon heel goed kunnen vinden. Motiv communiceert transparant, geeft ons goede feedback en schakelt snel.” Als onderdeel van de samenwerking implementeerde Motiv onder andere een nieuwe VPNoplossing en een webfilter. Ook is Motiv verantwoordelijk voor de monitoring en het onderhoud van de firewalls die Santander Consumer Finance op locatie in Utrecht heeft geïnstalleerd. “Die expertise is voor ons lastig in huis te halen”, aldus Pronk. “Motiv draagt zorg voor de firewalls en reageert als er bijvoorbeeld een inbraak wordt geconstateerd. Voor ons is het erg handig om met een lokale partner te schakelen die wat dicht op onze omgeving zit.”

' We hebben niet alle kennis zelf in huis'

Samenwerking met Motiv Het afgelopen jaar heeft Santander Consumer Finance al verschillende securityprojecten opgepakt samen met Motiv. “Het belangrijkste voor ons is dat partners over de juiste certificeringen beschikken”, stelt Pronk, “maar het werd voor ons ook al heel snel duidelijk dat we het met Motiv 26


“Daarnaast monitoren we zelf de nodige componenten binnen het netwerk, komt er regelmatig een auditor over de vloer en voeren we de nodig securitychecks uit die ons alert moeten houden”, besluit Pronk. “Maar op het gebied van security willen we zeker nog de nodige stappen zetten en daar gaan we Motiv zeker bij betrekken.”

Grupo Santander De geschiedenis van de ‘Grupo Santander’ gaat terug tot 1857, toen in het Spaanse plaatsje Santander de Banco Santander werd opgericht. Met meer dan 150 jaar historie is Santander de vierde grootste bankgroep ter wereld op basis van winst en de grootste bank van de Eurozone in termen van marktwaarde. Santander heeft meer filialen dan iedere andere internationale bank – meer dan veertienduizend – en levert service aan meer dan honderd miljoen klanten in tien kernmarkten. Santander Consumer Finance startte in 2003 als een op zichzelf staande divisie binnen de Santander Group. Santander Consumer Finance is vertegenwoordigd in dertien Europese landen en biedt kwaliteit met zijn financiële dienstverlening via meer dan 125.000 partners. Dit onderdeel van de Santander Groep heeft meer dan 17 miljoen klanten en is leidend op het gebied van consumentenfinancieringen in de Europese markt.

27

H E A D L I N E ‘ I K ST OP E EN T H E R MOME T E R I N D E OR G AN I SAT I E ’

ETHICAL HACKER | PERSOONLIJK DAGBOEK | BEVEILIGINSONDERZOEK | HACKINGTOOLS


d Jonkers

H E T D A G B O E K VA N . . .

: Ruu Fotografie

‘Direct valt de grote hoeveelheid (web-) applicaties op’ Dinsdag 3 en woensdag 4 maart 2015

en rks De l u Pa

Paul Derksen, Gecertificeerd Ethical Hacker:

‘Ik stop een thermometer in de organisatie’ De financiële en reputatieschade door een digitale inbraak of een datalek kan enorm zijn, zeker als de ‘Meldplicht datalekken’ (zie kader) ook door de Eerste Kamer wordt aangenomen en je als organisatie gedwongen wordt om je vuile was buiten te hangen. Het laten uitvoeren van een beveiligingsonderzoek dat de zwakke punten in de beveiliging blootlegt, is een eerste stap in het voorkomen van digitale inbraken en datalekkage. Maar hoe verloopt zo’n beveiligingsonderzoek? Motiv’s Certified Ethical Hacker Paul Derksen geeft een impressie aan de hand van zijn persoonlijke dagboek.

28


Deze week ga ik aan de slag met een even omvangrijke als uitdagende klus: het uitvoeren van een beveiligingsonderzoek in opdracht van een medische instelling die bestaat uit twee afzonderlijke ziekenhuizen met ook afzonderlijke infrastructuren en elk een eigen geschiedenis. Na de intake met de klant is afgesproken dat het onderzoek zal bestaan uit een extern onderzoek om te kijken of databronnen van buitenaf zijn te benaderen, een intern onderzoek en een draadloos (Wifi-) onderzoek. Deze onderzoeken moeten uiteindelijk een onderzoeksrapportage en een mooi eindresultaat in de vorm van een onderzoekspresentatie opleveren. Aan de hand van ‘kleurtjes’ in het rapport maak ik duidelijk wat zwak, wat voor verbetering vatbaar en wat nu goed is. Hiermee hebben bijvoorbeeld security-officers en IT-managers een document in handen richting de directie. Maar zover is het nog lang niet! Mijn streven is om elk onderzoek goed te laten verlopen. Daarvoor heb ik allereerst vaak afstemming met bijvoorbeeld een security-officer, ICT-manager, netwerkarchitect, systeem- en netwerkbeheer en de applicatiebeheerder of -eigenaar. Zo zorg ik ervoor dat het resultaat voor alle betrokkenen (zowel Motiv als klant) duidelijk is. En dat alle betrokkenen op de hoogte zijn van wat er gaat plaatsvinden, wanneer, waarom en hoe. Bovendien leg ik zo de scope van het onderzoek onderling en unaniem vast!

Als eerste pak ik het externe onderzoek op, uiteraard vanaf een externe werkplek: thuis, vanaf de eigen werkplek waar ik in alle rust geconcentreerd kan werken. Tijdens een eerste inventarisatie valt mij direct de grote hoeveelheid (web-) applicaties op de externe infrastructuur op. Die dienen stuk voor stuk (en in veel gevallen handmatig) onderzocht te worden. Een flink karwei! Daarnaast moet een nieuwe kwaliteitsslag worden gemaakt op de vastlegging (administratie) van de scanresultaten en tevens de gebruikte tooling volledig worden bijgewerkt.

Dinsdag 10 en woensdag 11 maart 2015 Eén aspect is mij tijdens de eerste week van het onderzoek wel duidelijk geworden: door de grote hoeveelheid diensten (waaronder vrij veel webapplicaties) die wordt aangeboden, is ook een groot aantal gedetailleerde scans nodig. Ieder type dienst (webapplicatie, e-mail, telewerken) vergt immers weer een andere aanpak. Dit maakt dat het onderzoek nooit helemaal een vast stramien heeft en daarmee blijven dergelijke onderzoeken ook leuk om te doen. En dan zijn nog niet eens alle diensten geïnventariseerd! Kortom een pittig weekje, waarin ik ook nog eens nieuwe hackingtools moest installeren. Des te meer reden om trots te zijn op het resultaat van deze week: ik heb een beter beeld gekregen van het applicatielandschap, er zijn grote stappen gezet in het uitvoeren van de scans en de administratie is volledig bijgewerkt. Daarnaast heb ik alvast een basisopzet kunnen maken voor de rapportage.

29

H E A D L I N E ‘ I K ST OP E EN T H E R MOME T E R I N D E OR G AN I SAT I E ’



H E T D A G B O E K VA N . . .

Ethical Hackers Een Ethical Hacker beschikt over dezelfde kennis, ervaring, methodiek en instrumenten als een kwaadaardige ‘black hat’-hacker, echter, met als doel

Meldplicht datalekken

om applicaties, computersystemen

Later dit jaar treedt naar verwachting een . brede Meldplicht datalekken in werking

en -netwerken van klanten juist te beschermen tegen hackers. Ethical

Organisaties worden verplicht om inbreuken op de beveiliging die leiden tot sdiefstal, verlies of misbruik van persoon gegevens te melden. Dit moet worden

Hackers van Motiv kijken niet alleen vanuit de techniek naar bepaalde zaken, maar vertalen bevindingen en constateringen ook naar bedrijfs-

gemeld aan het CBP en in veel gevallen ook aan de personen van wie de gege-

processen. Op die manier wordt het duidelijk waarom geconstateerde

vens zijn. De sanctie op niet-naleving van de meldplicht is een maximale boete van 810.000 euro.

tekortkomingen een risico vormen voor de organisatie.

'black hat'

CBP

Paul Derksen, Gecertificeerd Ethical Hacker


ang hebben ers en andere kwaadwillenden geen toeg Weet u honderd procent zeker dat hack ere gevoelige gegevens, essentiële bestanden en and tot uw IT-omgeving, vol met persoonlijke iv een grondig ier om daar achter te komen: door Mot bedrijfsinformatie? Er is maar één man ren ethical n. Motiv heeft hiervoor meerdere erva beveiligingsonderzoek te laten uitvoere st. hackers met de nodige ‘vlieguren’ in dien g voor een netwerkscans vormen vaak de nulmetin Beveiligingsonderzoeken (pentesten) en eter in en. “We stoppen als het ware een thermom organisatie om tot oplossingen te kom iceerd als ICT Security Consultant en Gecertif de organisatie”, aldus Paul Derksen, die n van beveiligingsonderzoeken. Ethical Hacker is belast met het uitvoere

Hoe gaan we te werk?

‘Een groot aantal gedetailleerde en toegespitste scans is nodig’

30

Motiv’s Beveiligingsonderzoek

Dinsdag 17 en woensdag 18 maart 2015

Dinsdag 24 en woensdag 25 maart 2015

Deze week wordt eens te meer duidelijk dat dit beveiligingsonderzoek grote uitdagingen kent: een van de hoofdwebsites blijkt ruim 10.000 unieke webpagina’s te bevatten, en die moeten allemaal worden onderzocht! Om dit zo efficiënt mogelijk te doen, voer ik een verdere optimalisatie door van de uit te voeren scans. Daarnaast ga ik verder met het detailonderzoek van de aangeboden applicaties op de externe infrastructuur, en met een resultaat: ik heb weer enkele nieuwe aanknopingspunten omtrent mogelijke kwetsbaarheden in een aantal (web-) applicaties gevonden! Ook heb ik de benodigde administratie weer bijgewerkt, de rapportage-opzet verder uitgewerkt en klantafspraken gemaakt ter voorbereiding op het interne onderzoek dat nu in zicht komt.

Goed nieuws: de scans op de hoofdwebsite blijken optimaal te zijn! Dit bespaart onnodig veel werk en geeft toch een gedetailleerde impressie van het niveau van informatiebeveiliging. Daarnaast verder met het detailonderzoek van de aangeboden applicaties op de externe infrastructuur. De afspraak voor de aanvang van de interne scans kan helaas niet doorgaan. Dit heeft gelukkig geen verstrekkende gevolgen; het beveiligingsonderzoek verloopt nog steeds geheel volgens planning. Het einde van het externe onderzoek komt in zicht, en ik ben klaar voor stap 2, het interne onderzoek. De komende weken zal ik aanzienlijk meer tijd doorbrengen op klantlocatie!

oek beveiliging

z onder

ar maken erzoek moet je goede afspraken met elka “Voordat je start met een beveiligingsond Derksen. Aan infrastructuur in elkaar steken”, vervolgt en ook weten hoe de organisatie en de e voor het eting’ wordt vervolgens generiek de scop de hand van een eerste ‘vragenset nulm zowel intern basis van deze scope kan bijvoorbeeld beveiligingsonderzoek vastgesteld. Op ties en de de beveiliging van de core-webapplica als extern bekeken worden hoe het met worden ulp van een ‘web application assessment’ ICT-infrastructuur is gesteld. En met beh woord als integriteit. wacht heid elijk rouw vert el zow op cht erzo kwetsbaarheden ond een nadere een globale testspecificatie met daarin Op basis van een discoveryscan wordt rkelijke ‘ethical d van deze specificatie wordt de daadwe aanvalsstrategie opgesteld. Aan de han dachtsgebiewordt gecontroleerd op een aantal aan hack’ uitgevoerd. De systeembeveiliging wachtwoordent), informatieversleuteling (encryptie), den zoals versiebeheer (patchmanagem en Unix) en ing van systeembestanden (Windows beleid en beveiligingsbaselines, beveilig en de defensieve niet-noodzakelijke diensten (services) registry (Windows), aanwezigheid van ruikersinvoer ge code. Onvoldoende validatie van geb maatregelen ten aanzien van kwaadaardi de zaken die g zijn slechts enkele voorbeelden van en onvoldoende gebruik van versleutelin tsamenvatentijdse bevindingen als de managemen vaak aan het licht komen. Zowel de tuss resenteerd. opgenomen in een rapportage en gep ting en eventuele aanbevelingen worden

31

G E G E V E N S B E V E I L I G I N G | D ATA P R O T E C T I O N O F F I C E R | D ATA B E S C H E R M I N G S B E L E I D | W E B S E N S E

G E G E V E N S B E V E I L I G I N G | D ATA P R O T E C T I O N O F F I C E R | D ATA B E S C H E R M I N G S B E L E I D | W E B S E N S E

In de schijnwerpers

Koemar Dharamsingh, Sales Manager Benelux Websense

'Tijd om in actie te komen voor bescherming bedrijfsgegevens' De recente golf van inbreuken op bedrijfsdata en beveiligingsdreigingen die wereldwijd de krantenkoppen halen, dient als een constante herinnering aan de noodzaak om het toezicht op en de bewaking van bedrijfsgegevens te verbeteren. Als Europese ondernemingen echter denken dat ze nu al voor een uitdaging staan, dan zal dit nog worden versterkt door de op handen zijnde wijzigingen in de EU Data Protection-wetgeving.

De nieuwe EU-verordening – die waarschijnlijk niet eerder dan in 2017 van kracht zal worden – zal strengere eisen stellen aan het databeschermingsbeleid en de bijbehorende systemen van bedrijven. Om te beginnen zal de verordening, na te zijn goedgekeurd, in elke lidstaat wetgeving worden en de huidige richtlijn die sinds 1995 actief is vervangen. De Verordening zal meer macht geven aan nationale instanties zoals het College bescherming persoonsgegevens (CBP) en, gesteund door de EU, bedrijven informeren om in actie te komen op het gebied van gegevensbescherming. Zachte aanpak verandert De huidige EU-richtlijn – en de uitwerking daarvan in bijvoorbeeld de Wet bescherming persoonsgegevens – wordt wereldwijd gezien als een verzameling maatregelen met een beperkt effect. Organisaties nemen boetes vaak voor lief in plaats van aanzienlijke tijd, middelen en geld te steken in de implementatie van een gegevens-

32


beschermingsprogramma of het uitwerken van grote strategische aanpassingen. Deze zachte aanpak zal drastisch veranderen als/ zodra de EU-verordening actief wordt. Volgens het nieuwe voorstel moet elke datacontroller de toezichthoudende instantie binnen 72 uur verwittigen nadat men zich bewust is geworden van een geleden data-inbreuk. Er kunnen boetes opgelegd worden van maximaal vijf procent van de jaarlijkse wereldwijde omzet, als blijkt dat bedrijven nalatig zijn geweest bij het beschermen van hun gegevens. Om nog maar te zwijgen over de gevolgen die de onthulling voor hun merk zal hebben in de hele EU. Deze wetgeving draait echter niet alleen om het beboeten van organisaties en zal niet van de ene op de andere dag leiden tot het opleggen van boetes. Het gaat eerder om het aanmoedigen van organisaties om de detectie van inbreuken te verbeteren en beveiligingsprofessionals beter te

informeren, zodat ze de directie kunnen adviseren over de effecten van de wetgeving. Ze moeten weten wat het voorstel inhoudt, zodat ze hun gegevensbescherming kunnen verbeteren en de uitgaven binnen het beveiligingsbudget beter kunnen beheren of mogelijk zelfs verhogen, met als uiteindelijke doel het beter beschermen van de gegevens van EU-burgers. Bedrijven zijn niet voorbereid Onafhankelijk wereldwijd onderzoek suggereert dat bedrijven in de verste verte niet zijn voorbereid op het invoeren van de nieuwe regelgeving. Tachtig procent van de 5.000 ondervraagde ITbeveiligingsprofessionals geeft aan te denken dat hun leidinggevenden data-inbreuken niet koppelen aan financiële verliezen, een score die snel zal moeten veranderen. In feite wijzen data van het Ponemon Institute erop dat de gemiddelde kosten per gestolen of verloren record vanwege een data-inbreuk naar schatting $188 bedragen, terwijl de gemiddelde kosten van een organisato-

' De Data Protection Officer (DPO) zal een essentiële rol spelen op het moment dat de nieuwe wetgeving van kracht wordt’ rische data-inbreuk $5,4 miljoen zijn – bedragen die alleen maar zullen toenemen met de introductie van de nieuwe regelgeving. Minder dan de helft van de ondervraagde IT-beveiligingsprofessionals meent een goed begrip te hebben van het dreigingslandschap waarmee hun bedrijf wordt geconfronteerd. Verontrustend is dat slechts een derde van de respondenten die te maken hebben gehad met data-inbreuken (35%) precies weet welke gegevens van hen werden gestolen. Het is dus duidelijk dat de bedrijfsbeveiliging gebrekkig is; gegevensbeveiliging staat op een zorgwekkend laag peil en de opleidingsniveaus van gebruikers zijn rijp voor verbetering. Organisaties die zwaar investeren in toezicht op, verwerking en beheer van hun netwerken hebben geen excuus om hun data niet te beschermen. Ze moeten hun beveiligingsbudget adequater leren te besteden door over te stappen van een puur op de infrastructuur gerichte beveiliging naar een moderne, meer succesvolle, risicogebaseerde, data-centrische strategie. Tijd voor verandering De toenemende dreigingen voor bedrijven die onder de wet vallen, maken het nog noodzakelijker dat iedereen binnen een organisatie zich volledig bewust is van de risico's. Beveiligingsprofessionals moeten binnen hun bedrijven een cultuur opbouwen waarbij medewerkers voortdurend rekening houden met de privacyrisico's die elk proces met zich meebrengt.

Het advies aan bedrijven is om te zijn voorbereid en nu al met een plan van aanpak te starten om met data-inbreuken om te gaan. Dit is absoluut noodzakelijk, omdat het proces niet zomaar vanuit het niets plaatsvindt. Beveiligingsteams moeten hun strategieën gaan afstemmen en zijn voorbereid op eventuele vragen over de gewijzigde regelgeving als/zodra deze vanuit de directie gesteld worden. Niet voorbereid en gereed zijn is dé manier om de directieraad te vervreemden en ervoor te zorgen dat het bedrijf gevaar loopt; niet alleen wat betreft data-inbreuken, maar ook financiële verliezen.

ken over een robuust databeschermingsbeleid en dat alle medewerkers zich bewust zijn van de risico's waaraan ze hun bedrijf kunnen blootstellen. De op handen zijnde wetswijzigingen zullen de lat hoger leggen. Het is voor bedrijven noodzakelijk om nu een start te maken met hun toekomstplannen, om ervoor te zorgen dat ze beter voorbereid zijn op de steeds toenemende aantallen cyberaanvallen waarmee ze worden geconfronteerd en dat ze zich niet in een kwetsbare positie plaatsen voor de strengere nieuwe regelgeving.

De opkomst van de DPO De Data Protection Officer (DPO) zal, voor organisaties die er een hebben, een essentiële rol spelen op het moment dat de nieuwe wetgeving van kracht wordt. DPO's zijn er volledig verantwoordelijk voor dat hun organisatie zich bewust is van en voldoet aan de wetgeving. De DPO maakt maar al te vaak deel uit van het juridische team en is niet bereid om mee te doen met of betrokken te raken bij het informatiebeveiligingsteam. Ze dienen zich nu volledig bewust te zijn van de technologie die wordt gebruikt om data te beschermen en moeten deel gaan uitmaken van de algemene beveiligingsopleiding binnen de organisatie. Om hen bij te staan in deze gigantische taak zullen ze taken moeten definiëren en delegeren aan informatie-eigenaren, die zullen fungeren als databeschermingsvertegenwoordigers voor elke businessunit.

De voorgestelde EU-verordening houdt rekening met een voorbereidingsperiode van twee jaar. Dit dient uitsluitend om bedrijven te helpen het detecteren van data-inbreuken te verbeteren, dus ze dienen hier onmiddellijk mee te beginnen. Om de bal aan het rollen te krijgen, zijn betere opleidingen inzake gegevensbescherming voor alle medewerkers de komende twee jaar een absolute noodzaak, naast de ontwikkeling van een solide databeschermingsbeleid. Hoewel dit artikel te goeder trouw is geschreven, vertegenwoordigt de inhoud ervan uitsluitend de mening van de auteur en dient het alleen ter informatie. Dit artikel bevat een algemene verklaring omtrent de wetgeving en dient geenszins als vervanging van specifiek juridisch advies over een bepaald onderwerp.

Het is nu duidelijk aan beveiligingsprofessionals om ervoor te zorgen dat hun organisaties beschik-

33

H E A D L I N E ‘ P R I VA C Y I S N U E E N M A A L E E N M E G A - D I N G I N D E Z O R G ’

S E C U R E H O S T I N G | B E V E I L I G I N G P E R S O O N S G E G E V E N S | P R I VAC Y | B LO E I


I TLEAMN TCCAATSEUGSO R I E K

Lennard van der Poel, Directeur van Bloei

' Privacy is nu eenmaal een MEGA-ding in de zorg' Bloei is nog een relatief nieuwe naam binnen de gezondheidszorg. Toch heeft de ‘innovator’ al een lange geschiedenis als adviesorganisatie. “In 1999 zijn we als Resense begonnen met kennismanagement en vervolgens de zorg ingerold”, legt Bloei-directeur Lennard van der Poel uit. In de jaren die volgden hielp Resense – en vanaf 2011 Bloei – diverse grote zorginstellingen bij het vormgeven van hun processen.

Bloei heeft een duidelijke missie: de gezondheidszorg revolutionair veranderen. De innovator uit Den Haag doet dit naar eigen zeggen ‘met een frisse blik'. Deze houding resulteerde onder andere in de BETERapp die patiënten de regie geeft over het eigen herstel. Met het verplaatsen van de regie van hulpverlener naar patiënt komen echter ook steeds meer belangrijke data bij de patiënt te liggen. “De beveiliging van persoonsgegevens blijft daarbij onverminderd belangrijk.”

' Bij die gebruiker kom je in een grijs gebied terecht'

Lennard van der Poel

34



Het verschil maken Een voorbeeld van zo’n proces is het inrichten van ‘zorgpaden’ waarin het volledige behandeltraject voor een patiënt met een bepaalde ziekte of diagnose wordt beschreven. Van der Poel: “Onze moderne visie op het zorgpad bestaat uit ‘advies op maat’. Je zegt dan niet tegen een patiënt met de diagnose ADHD ‘ga dat pad in en rennen maar’, maar je stemt het pad af op de individuele behoeften van de patiënt. Daar hebben we ook een systeem voor gemaakt, met voor de zorginstelling de mogelijkheid om te voorspellen welk beroep je moet gaan doen op de specialisten binnen je organisatie. Dan kun je daar je personele bezetting op afstemmen.”

“We hebben veel advieswerk verricht, vooral op het gebied van zorgpaden”, concludeert Van der Poel. En getuige de lange lijst met klanten niet zonder succes, zo moet ook de Bloei-directeur beamen. “En toch waren we er zo’n twee jaar geleden een beetje klaar mee”, zo klinkt het bijna als een ontboezeming. “Dat advies is leuk, maar het verandert niets. Het is allemaal in de marge, een soort van suboptimalisatie. We zien dagelijks in het nieuws dat er in de zorg grote problemen zijn, en die los je niet op met zorgpaden. Hulpverleners hebben – mede door alles wat ze moeten registreren – bovendien helemaal geen tijd voor veranderingen en verbeteringen.”

“Misschien heeft het iets met de leeftijd te maken hoor, maar we willen nu echt het verschil gaan maken. We willen iets achterlaten”, vervolgt Van der Poel. Om het verschil te kunnen maken, is het volgens de directeur nodig om de zaken om te draaien. “Wij geloven in het omdraaiingsprincipe”, zo zal hij tijdens ons gesprek dan ook meerdere keren verklaren. Niet de hulpverlener, maar de patiënt moet de regie krijgen over zijn eigen herstel. “De focus ligt nu nog heel erg op het ‘zorgen voor’ de patiënt; die focus moet verschuiven naar ‘zorgen dat’ de patiënt zijn leven weer op kan pakken. Als de patiënt de regie krijgt, krijgt hij ook zelfvertrouwen en zelfvertrouwen is medicijn nummer één.”

BETERapp Om de regie bij de consument neer te leggen, ontwikkelde Bloei de BETERapp die kan worden gedownload via de appstores voor Android en iOS. “Die app begint bij jou en mij, bij de consument”, legtVan der Poel uit. “Als patiënt kan ik via de BETERapp mijn doelen opgeven en de activiteiten die ik ga ontplooien om die doelen te bereiken.” > 35

H E A D L I N E ' Z E R O - D AY AT TA C K S M A K E N S T E E D S M I N D E R K A N S '

H E A D L I N E ‘ P R I VA C Y I S N U E E N M A A L EEN MEGA-DING IN DE ZORG’

M O T I V TA L K | U N K N O W N M A LWA R E | T H R E AT E X T R A C T I O N | S E C U R I T Y C H E C K - U P


KLANTCASUS

Door Ferry Waterkamp, Freelance Journalist

' Zero-day attacks maken steeds minder kans' > Zo kan ‘klachtenvrij leven’ een doel zijn en mediteren een activiteit om dat doel te bereiken. Via de app kan de gebruiker dagelijks aangeven hoe het gaat met de activiteiten en wat bijvoorbeeld de gemoedstoestand is. Op weg naar herstel kan de BETERapp-gebruiker ook de hulp inschakelen van een ‘netwerk’ van vrienden, familie of hulpverleners en hiermee gegevens delen. Personen met wie gegevens gedeeld zijn, kunnen deze inzien via mijn.beterapp.nl en via deze omgeving tips of complimenten geven. “Als zorgverlener blijf je op de hoogte en kun je veel gerichter coachen.” Een andere belangrijke functionaliteit in de app is de mogelijkheid om een koppeling te maken met het elektronisch patiëntendossier van de patiënt. “Als een behandelaar een notitie in het EPD maakt, kan die met de patiënt worden gedeeld waarna die zichtbaar wordt binnen de BETERapp. Je krijgt als het ware een portaal naar je EPD.”

Zwaar beveiligd lijntje Al in een vroeg stadium van de ontwikkeling van de BETERapp stond voor Bloei vast dat dat ‘portaal naar het EPD’ uiterst veilig moet zijn. “Privacy is nu eenmaal een mega-ding in de zorg. We hebben dan ook alle analyses gedaan die je ook moet doen voor de NEN 7510 en de ‘high risks’ met ‘high impact’ direct aangepakt.” Die analyses leverden onder andere het inzicht op dat ‘het lijntje naar het EPD’ en de verbinding met de mijn.beterapp.nl-omgeving zwaar beveiligd moeten zijn. “Een hulpverlener die gegevens 36


opvraagt krijgt een QR-code gepresenteerd. Na het scannen van die code met de smartphone wordt er een unieke, versleutelde verbinding opgezet tussen de mobiel, de servers van Bloei en eventueel het EPD. Daarbij slaan wij niets op, maar sturen de gegevens die worden opgevraagd uit het bronsysteem direct door.” De gegevens die de app-gebruiker deelt met zijn netwerk worden wel opgeslagen, en wel binnen de Secure Hosting-omgeving van Motiv. Binnen die omgeving staan ook de servers opgesteld waarop de serversoftware van Bloei draait en die worden beheerd door Motiv. De keuze voor het Secure Hosting-platform van Motiv is niet geheel toevallig, zo begrijpen we van de directeur van Bloei. De BETERapp is gekoppeld met het systeem ‘Extenzo’ van de Stichting 1nP, een landelijk werkende netwerkorganisatie van zelfstandig gevestigde professionals. De Extenzo-webapplicatie, die dossiers beschikbaar stelt overal waar (mobiel) internet beschikbaar is, is gebouwd door Motiv en wordt gehost binnen de Secure Hosting-omgeving van Motiv. “De communicatie tussen de BETERomgeving en de webapplicatie van 1nP wordt nog veiliger als alles binnen dezelfde veilige omge-

ving staat. 1nP gaf bovendien aan op het gebied van security het volste vertrouwen te hebben in Motiv; die stem woog voor ons zwaar.”

Grijs gebied Vanaf het door Van der Poel geschetste ‘secure platform’ loopt er een versleutelde verbinding naar het mobiele apparaat van de BETERappgebruiker. “Bij die gebruiker kom je in een grijs gebied terecht. Door de ‘omdraaiing’ komen er steeds meer data te liggen bij de patiënt die de gegevens zelf bijhoudt en daar mee mag doen wat hij wil, zelfs op Facebook zetten. In hoeverre moet je de gebruiker dan in bescherming nemen?” “Als je voor het eerst gebruikmaakt van de BETERapp, geef je als gebruiker heel expliciet aan dat jeweet wat je doet”, concludeert Van der Poel.“ Beide partijen moeten weten wat ze doen. Als hulpverlener moet je je er bewust van zijn dat een gedeelde notitie weer verder kan worden gedeeld. Als je als gebruiker gegevens gaat delen met een hulpverlener, dan moet je je er bewust van zijn dat die gegevens worden opgeslagen, in dit geval veilig bij Motiv waar niemand er bij kan.”

In 2014 had 33 procent van de organisaties te maken met ‘unknown malware’, zo blijkt uit het ‘2014 Check Point Security Report’. De strijd tegen deze onbekende malware stond centraal tijdens een ‘updatesessie’ die Motiv op 16 april verzorgde in samenwerking met Check Point Software Technologies. Aan het begin van de sessie toonde ‘Certified Ethical Hacker’ Paul Derksen van Motiv hoe eenvoudig het is om een stukje malware te ontwikkelen dat door de meeste antivirusscanners niet zal worden opgemerkt. Tijdens een demonstratie had Derksen niet meer dan vijftien minuten nodig om een virusscript in elkaar te zetten en dit script te coderen met meerdere encoders, in een legitieme executable te plaatsen en de effectiviteit van het stukje malware te testen via VirusTotal. “De grootste uitdaging is om de gebruiker te verleiden om de executable te openen”, concludeerde Derksen. Hackers worden echter steeds vindingrijker in het verpakken van kwaadaardige code, zo benadrukte Zahier Madhar, Security Engineer bij Check Point Software Technologies. “Neem bijvoorbeeld de e-cards die je ontvangt op Valentijnsdag; die wekken toch je nieuwsgierigheid.”

Gelaagde beveiliging

' We hebben alle analyses gedaan die je ook voor de NEN 7510 moet doen' Lennard van der Poel, Directeur van Bloei

Tijdens zijn presentatie zette Madhar uiteen hoe een gelaagde beveiligingsaanpak kan helpen om de risico’s van een Zero-day-dreiging te minimaliseren. De eerste stap is het opwerpen van een blokkade met een Intrusion Prevention System en antivirus. Als malware er toch in slaagt om deze beveiligingsmaatregelen te omzeilen, zijn ‘post infection’-maatregelen nodig. Zo kan met een Anti-Bot

Software Blade van Check Point het verkeer met een Command & Control-server worden afgevangen. De ‘Threat Emulation Software Blade’ is een ander wapen in de strijd tegen onbekende malware. Bestanden die na een eerste globale filtering potentieel verdacht zijn, worden in een sandbox-omgeving uitgepakt. Blijkt het bestand (onbekende) malware te bevatten, dan wordt dit gecommuniceerd met de ThreatCloud van Check Point. Via diezelfde ThreatCloud worden vervolgens alle Check Point Security Gateways bijgewerkt met nieuw verkregen signatures. Een recente toevoeging aan de gelaagde beveiliging van Check Point is Threat Extraction. Deze beveiligingsaanpak zorgt ervoor dat bestanden

besmette privélaptop die contact maakt met het bedrijfsnetwerk. “Klopt”, moest Madhar toegeven, “maar we detecteren het wel als de malware op die laptop contact opneemt met een Command & Control-server. Madhar benadrukte bovendien dat Check Point met ‘Capsule’ een oplossing heeft die ‘mobiele devices geschikt maakt voor zakelijk gebruik’. Meer over de Capsule-oplossing van Check Point, waar Channel Manager Stein Tiebosch van Check Point tijdens de updatesessie uitgebreid op inging, leest u in het artikel op pagina 18 en 19.

Security Check-Up Bart Verhaar, Product Manager bij Motiv, sloot de bijeenkomst af met een presentatie over de Security Check-Up waarmee Motiv voor organisaties helder in kaart brengt welke risico’s ze lopen. “Het

' Threat Extraction reconstrueert het bestand zonder de potentiële bedreigingen'

Capsule

netwerk zit vol verrassingen”, stelde Verhaar, waarbij hij verwees naar het ‘2014 Check Point Security Report’. Uit dit onderzoek blijkt onder andere dat 33 procent van de organisaties in 2014 had te maken met ‘unknown malware’. “Organisaties zijn kwetsbaar. Met de Security Check-Up bieden we inzicht in bijvoorbeeld de risicovolle applicaties op het netwerk, besmette computers, gevallen van dataverlies en de misbruikte kwetsbaarheden. Zo krijg je als organisatie een helder antwoord op de vraag: ‘waar sta ik nu?’”

Een van de aanwezigen merkte tijdens de updatesessie in IJsselstein wel op dat Check Point daarmee nog geen oplossing heeft voor bijvoorbeeld een

Vraag nu een Security Check-Up aan via 03068 77 007 of [email protected].

zonder vertraging en gegarandeerd zonder malware op de juiste bestemming binnen een netwerk worden afgeleverd door bedreigingen preventief te verwijderen. Actieve content, geïntegreerde objecten en andere uitvoerbare bestanden worden eerst uitgepakt en geanalyseerd. Vervolgens wordt het bestand zonder de potentiële bedreigingen weer in elkaar gezet. “Zero-day attacks maken steeds minder kans”, concludeerde Madhar.

37

HEADLINE IT VEILIG ACHTER HET HEK

C LO U D - E N D ATA C E N T E R D I E N S T E N | D ATA C E N T E R | R E D U N D A N T I E | E U R O F I B E R

C LO U D - E N D ATA C E N T E R D I E N S T E N | D ATA C E N T E R | R E D U N D A N T I E | E U R O F I B E R

De datacenters van Motiv

IT VEILIG ACHTER HET HEK Motiv biedt met ‘Cloud- en datacenterdiensten’ een uitgebreid portfolio voor de bescherming van kritische applicaties en bedrijfsinformatie. Een deel van die diensten draait op servers die staan opgesteld in diverse zwaar beveiligde datacenters in Nederland. Een van die datacenters is ‘Datacenter Utrecht’ van Eurofiber in Groenekan. “Wij zorgen ervoor dat de IT veilig achter de hekken staat.”

Eurofiber is in Nederland en België een gespecialiseerde aanbieder van glasvezelverbindingen voor de zakelijke markt. In Nederland gaat ruim vijftig procent van het mobiele communicatieverkeer over het netwerk van Eurofiber. “De grote kracht van ons netwerk is dat het een open digitale infrastructuur is waarmee we keuzevrijheid bieden in toepassingen, bandbreedte en dienstenleveranciers. Partners leveren er hun diensten overheen”, vertelt Business Consultant Rudi de Visser. Diezelfde filosofie ligt ook ten grondslag aan het in mei 2012 geopende datacenter van Eurofiber in Groenekan, zo begrijpen we van De Visser. “Wij verhuren de racks met power en koeling, maar het zijn de partijen in het datacenter die de diensten leveren. Waar we dark fiber in strekkende meters leveren, leveren we de co-locatie in vierkante meters.”

Hoe komt een leverancier van glasvezelverbindingen ertoe om zelf een datacenter te bouwen? De Visser: “Dat datacenter is aan de ene kant ontstaan vanuit een eigen behoefte. We wilden

een nieuwe Point of Presence (PoP) voor onze actieve apparatuur hebben. Aan de andere kant zagen we ontwikkelingen zoals cloudcomputing. Steeds meer bedrijven plaatsen hun volledige IT-omgeving in een datacenter en halen diensten uit de cloud. Hiervoor is een betrouwbare verbinding met een hoge beschikbaarheid naar de cloud nodig en dat begint bij een datacenter. Het is dus een logisch verlengde van ons glasvezelnetwerk. Binnen de regio Utrecht was er nog geen goed datacenter voorhanden, terwijl de regio Utrecht toch een ideale locatie is voor een datacenter, zo centraal in Nederland. Vanuit onze locatie in Groenekan is er binnen vijf milliseconden ‘round trip’ altijd een ander datacenter in de buurt, wat belangrijk is voor klanten die ervoor kiezen om een primair en secundair datacenter op te zetten. Met ons eigen netwerk zijn wij bovendien de enige partij die tussen bijvoorbeeld Utrecht en Maastricht een volledig redundante verbinding kunnen aanbieden met een round trip van nog geen drie milliseconden. Dat is echt uniek.”

Was veiligheid een belangrijk selectiecriterium tijdens de zoektocht naar een ge-

schikte locatie voor het datacenter? Heeft Eurofiber bijvoorbeeld een omgevingsscan uitgevoerd om mogelijke risico’s in kaart te brengen? Facility Manager Jan Bonke: “Absoluut! Je brengt de veiligheidsrisico’s in kaart door te kijken of er in de buurt fabrieken staan, een tankstation dat kan ontploffen, of er sprake is van nabij gelegen opslag van gevaarlijke stoffen. Daarnaast keken we naar het vervoer over het spoor en of er wissels in de buurt zijn waar zich gevaarlijke situaties voor kunnen doen, et cetera. Andere factoren waar je uiteraard ook naar kijkt, zijn bijvoorbeeld de beschikbare connectiviteit – zijn er voldoende carriers in de buurt die connectiviteit kunnen leveren – en de energievoorziening. Dat laatste punt is misschien nog wel het belangrijkste criterium want als datacenter moet je de nodige megawatts kunnen leveren.”

Hoe is de fysieke beveiliging van het pand zelf ingericht? Is daar een specifieke norm voor gevolgd? Bonke: “Daar kun je verschillende standaarden voor volgen, waaronder BORG 4 voor fysieke beveiliging. Het gaat erom dat je een gelaagde

'Het gaat erom dat je voor indringers zoveel mogelijk barrières opwerpt'

' We kunnen tijdens onderhoud altijd een systeem uit zetten zonder de continuïteit in gevaar te brengen' beveiliging opbouwt waarmee je voor indringers zoveel mogelijk barrières opwerpt. Dat begint al buiten het gebouw met een hoog hekwerk met daarop schrikdraad en camera’s. Een klant kan met zijn pasje en vingerafdruk binnenkomen, en dat wordt allemaal gelogd en op camera vastgelegd. Maar ook binnen in het datacenter zijn er barrières, bijvoorbeeld in de vorm van sloten op de racks. De gehele set aan beveiligingsmaatregelen is gecertificeerd en verbeteren we continu.”

Welke maatregelen neemt Eurofiber om de beschikbaarheid van het datacenter te garanderen? Bonke: “Ons ontwerp is Tier III-gecertificeerd1, wat inhoudt dat we op elk vlak redundant zijn

en dus altijd een systeem uit kunnen zetten tijdens onderhoud zonder de continuïteit in gevaar te brengen. Daarnaast zijn we voor ISO 9001, ISO 14001, ISO 27001 en NEN 7510 gecertificeerd en aan de richtlijnen uit die standaarden hebben we ons ook te houden.” De Visser: “De klant betaalt voor redundantie en krijgt van ons dan ook de ontwerptekeningen te zien. We bieden volledig inzicht in hoe we het datacenter hebben opgebouwd. Klanten zijn ook altijd welkom om zelf het datacenter te bekijken, of om het datacenter te laten auditen. Klanten zoeken vertrouwen en daarin komen wij hen tegemoet. Wij zijn volledig transparant en daarmee proberen wij ons te onderscheiden.”

Een ander onderscheidend vermogen voor een datacenter is de mate van energieefficiëntie en het ‘groene karakter’. Waar staat Eurofiber op deze aspecten? Bonke: “Van alle stroom die we verbruiken is 100 procent ‘groen’. Met het oog op de portemonnee kijken klanten uiteraard ook naar de efficiëntie van het datacenter. Bij volledige belasting halen we een Power Usage Effectiveness2 van 1,24 gemiddeld, maar een volledige belasting halen commerciële datacenters in de praktijk nooit. Er valt ook genoeg af te dingen op de PUE als maatstaf. Ik kijk liever naar de ‘Energy Usage Effectiveness’ die het gemiddelde over een bepaalde periode weergeeft, en dan zitten we op 1,4 over een heel jaar gemeten. We kijken continu hoe we die efficiëntie verder kunnen verbeteren. Door onze deelname aan de MJA3 (MeerjarenAfspraken Energie-efficiency, red.) hebben we ons ook vastgelegd op een verbetering van de energie-efficiëntie met jaarlijks twee procent. Daarnaast maken wij het energieverbruik inzichtelijk door middel van kWhmeters op rackniveau waardoor klanten bewust worden van het energieverbruik van hun ICT-omgeving.”

1 Het Uptime Institute categoriseert de datacenters in vier levels: Tier I, II, III en IV, die staan voor een beschikbaarheid van respectievelijk 99,67%, 99,75%, 99,982% en 99,995%. Deze percentages komen overeen met respectievelijk maximaal 28,8 uur, 22 uur, 1,6 uur en 0,8 uur downtime per jaar. Tier III is de hoogste certificering die in Nederland is afgegeven. 2 De Power Usage Effectiveness (PUE) geeft de ratio weer tussen het totale stroomverbruik van een datacenter en het stroomverbruik van de computerapparatuur zelf.

38


39

H E A D L I N E ‘ J E MO E T L AT EN Z I EN H O E J E I T - SE C U R I T Y H E B T G E R E G E L D ’

I T - AU D I T | D I G I D - A S S E S S M E N T | I S A E3402 | J OA N K N E C H T & VA N Z E L S T



KLANTCASUS

Lucas Vousten, Partner bij Joanknecht & Van Zelst

' Je moet laten zien hoe je IT-security hebt geregeld' Of je nu wilt aantonen dat je als een ‘goed huisvader’ omgaat met de data van je klanten, of dat de DigiD-inlog op je webportaal betrouwbaar is, als onderneming krijg je steeds vaker te maken met IT-audits. Een gunstige ontwikkeling, vindt registeraccountant en IT-auditor Lucas Vousten van Joanknecht & Van Zelst. Hij is partner en met zijn IT-expertise betrokken bij de Assurance-praktijk. “Bij organisaties die echt iets doen met de opmerkingen van een IT-auditor zie je de volwassenheid op het gebied van informatiebeveiliging toenemen. Ze worden zich bewuster van security.”

'Als een onbevoegd persoon rechtstreeks de database in kan, zijn de data niet meer betrouwbaar’

Lucas Vousten

40


Het belang van de IT-audit komt eigenlijk voort uit de controle van de jaarrekening. “Je hebt te maken met een ‘object’ – oftewel een jaarrekening – waar een handtekening van een accountant onder staat”, legt Lucas Vousten uit. “Maar dat object komt uit systemen waarvan je de zekerheid wilt hebben dat die betrouwbaar werken. Als een onbevoegd persoon rechtstreeks toegang heeft tot de database, zijn die data niet meer betrouwbaar. Zelfs niet als die onbevoegde persoon geen misbruik heeft gemaakt van die toegangsrechten, want ik kan niet met zekerheid zeggen dat dat niet is gebeurd.”

Als voorbeeld haalt Vousten de hack bij chipmachinefabrikant ASML aan die in februari van dit jaar breed werd uitgemeten in de pers. “Hoewel het niet eens duidelijk is of Chinezen iets hebben meegenomen – en of het wel Chinezen waren – is de impact van een dergelijke hack echt enorm. Bedrijven zoals ASML gaan van hun toeleveranciers eisen dat ze voldoen aan een set beveiligingsmaatregelen om überhaupt zaken te kunnen doen. Dat gaat gebeuren, nog los van de nieuwe wetgeving die eraan zit te komen. Want als groot bedrijf wil je niet dat een toeleverancier als achterdeur kan worden gebruikt om bij je binnen te komen.”

Transparantie

Hetzelfde geldt volgens Vousten voor serviceproviders aan wie IT-processen worden uitbesteed. “Klanten gaan aan hun dienstenleverancier vragen hoe ze hun zaken hebben geregeld en of ze ‘in control’ zijn over de werkzaamheden die worden uitbesteed. Een dienstverlener kan aantonen dat hij ‘in control’ is met een ISAE3402-verklaring (de internationale standaard voor uitbesteding, red.). >

“In het kader van onze accountantscontrole moeten we weten of we gebruik kunnen maken van de beschikbare data”, constateert Vousten. “Dat kan alleen door verslag te doen van de IT en daar transparant over te zijn. Transparantie wordt ook steeds vaker gevraagd. Als leverancier of partner moet je laten zien hoe je je IT-security hebt geregeld.”

Joanknecht & Van Zelst Joanknecht & Van Zelst is vanuit Eindhoven met ruim honderd medewerkers actief met de disciplines accountancy, assurance, belastingadvies, corporate finance en financieel-juridisch advies. IT-audit maakt al enkele jaren deel uit van de dienstverlening en is een groeiende expertise. “Een breed pakket, maar wel met voldoende focus om het dicht bij huis te houden”, benadrukt partner en IT-auditor Lucas Vousten. “IT is de afgelopen vijf tot zes jaar steeds nadrukkelijker op de agenda komen te staan omdat IT uiteindelijk ook een van de componenten is waar wij als accountants ook gebruik van maken. In het kader van onze accountantscontrole moeten we weten of we van die IT gebruik kunnen maken.”

41

H E A D L I N E ‘ J E MO E T L AT EN Z I EN H O E J E IT-SECURITY HEBT GEREGELD’

Van links naar rechts: Koen Cornelissen, Lucas Vousten en Bas Dollevoet van Joanknecht & Van Zelst


KLANTCASUS

> Zo’n verklaring hebben we ook aan Motiv afgegeven. Motiv kan deze verstrekken aan al zijn klanten die IT-processen toevertrouwen aan Motiv. Maar als je in zee gaat met een leverancier die een ISAE-verklaring kan overleggen, ontslaat je dat niet van je eigen verantwoordelijkheid over de gegevens van jouw klanten”, waarschuwt Vousten.

DigiD-audit Ook instanties zoals verzekeraars, zorginstellingen en overheidsorganen met een webportaal met een DigiD-inlogmogelijkheid, moeten jaarlijks een correcte werking van de ‘DigiD-koppeling’ aantonen met een IT-audit. Tijdens deze audit wordt beoordeeld of de koppeling voldoet aan de 28 normen die overheidsinstantie Logius

maar ook op de organisatie en de procedures die zijn ingericht om informatie te beveiligen.”

Bewuster van security Een groot deel van de instanties met een webportaal met DigiD-inlog liet begin 2014 voor het eerst een DigiD-assessment uitvoeren. Als we Vousten in maart van dit jaar spreken bij Joan-

' Wetgeving dwingt organisaties om nog beter op de hoogte te zijn van wat er zich in de ‘boze buitenwereld’ afspeelt’ Lucas Vousten, Partner bij Joanknecht & Van Zelst verplicht stelt. Deze normen zijn ontleend aan de ICT-beveiligingsrichtlijnen van het Nationaal Cyber Security Centrum (NCSC). “Na de audit volgt een rapportage. Daarin staat aan welke normen de koppeling voldoet en aan welke niet”, legt Vousten uit. “Als de koppeling niet op alle punten voldoet, brengt Logius een advies uit. De instelling moet vervolgens de verbeteringen doorvoeren waarna een nieuwe audit plaatsvindt. Als de koppeling op een groot aantal punten niet voldoet, kan een afsluiting van de koppeling het gevolg zijn en de continuïteit van de business in gevaar komen.” Motiv voert de penetratietesten uit die deel uitmaken van de DigiD-assessments, vertelt Vousten. “Dat gaat voor ons te veel de diepte in. Wel hebben wij zelf de technische kennis om de uitkomsten van een penetratietest te beoordelen. Ook houden we de procedures tijdens een audit tegen het licht, zoals het toekennen van rechten in bepaalde omgevingen. Een IT-audit richt zich niet alleen op de technische beveiligingsmaatregelen, 42


knecht & Van Zelst op kantoor in Eindhoven is de ‘tweede ronde’ DigiD-assessments in volle gang. “Wat we ook bij reguliere audits zien, is dat organisaties die daadwerkelijk iets doen met de opmerkingen van een IT-auditor volwassen worden in hun doen en laten. Ze worden zich bewuster van hun IT-security.” Dat bewustzijn zal volgens Vousten nog verder toenemen als nieuwe wetgeving – zoals de Meldplicht datalekken – van kracht wordt. “De wetgeving dwingt organisaties om nog beter op de hoogte te zijn van wat er zich in de ‘boze buitenwereld’ afspeelt. Al heb je al het mogelijke gedaan, een inbraak voorkom je niet. Met een shovel komen criminelen altijd binnen. Dan is het zaak dat je goede monitoring op je systemen hebt en dat je snel en adequaat kunt reageren en rapporteren richting de betrokken instanties.” “Bij veel kleinere ondernemingen is er nu nog helemaal geen securitybewustzijn, zeker niet op boardniveau”, besluit Vousten. “Maar deze onder-

nemingen zijn wel bestuurlijk aansprakelijk als de beveiliging van persoonsgegevens werkelijk slecht is geregeld. De echt grote ondernemingen zullen de eersten zijn die op basis van de Meldplicht datalekken boetes krijgen opgelegd, maar ook webshops die niet genoeg hebben gedaan om gegevens te beschermen zullen boetes krijgen. Daar ben ik van overtuigd.”

Motiv beheert security “Poef!” Een klap vormde voor Joanknecht & Van Zelst zo’n anderhalf jaar geleden letterlijk de aanleiding om een groot deel van de IT-voorzieningen te vervangen. “Op het terrein van de buren werd een verdeelpunt voor de elektriciteit verplaatst en waarschijnlijk werd er iets verkeerd aangesloten”, vertelt Lucas Vousten. Doorgebrande printplaten en een defecte switch waren het trieste resultaat. “We zaten al vijftien jaar in dit pand en een deel van de IT-voorziening was sowieso aan vervanging toe”, aldus Vousten. Motiv kreeg van Joanknecht & Van Zelst de opdracht voor de implementatie van een Next-Generation Firewall van Check Point Software Technologies, Web Security van Websense, een Remote VPN-oplossing van Juniper Networks en SecurEnvoy om middels multi-factorauthenticatie in te loggen op het netwerk. “Die technische oplossingen zijn leuk, maar het moet ook allemaal worden beheerd. Dat is een vak apart. Daarom hebben we ervoor gekozen om ook het beheer door Motiv te laten doen. Maar uiteraard scannen we ook zelf met een grote regelmaat op kwetsbaarheden.”

43

D D O S | KO N A S I T E D E F E N D E R | S C R U B B I N G | A K AMA I T E C H N O LO G I E S

D D O S | KO N A S I T E D E F E N D E R | S C R U B B I N G | A K AMA I T E C H N O LO G I E S

In de schijnwerpers

Hans Nipshagen, Regional Manager Benelux bij Akamai Technologies

‘Kijk ook naar de impact die privacy heeft op security’ In de filosofie van Akamai moeten cyberaanvallen zo dicht mogelijk bij de bron worden afgeslagen, aan de ‘periferie van het internet’. “Door al het webverkeer – en dus ook het vuile verkeer – naar je toe te halen, vergroot je de kans op een succesvolle

' Uit privacyoverwegingen vuil verkeer naar je eigen omgeving halen, is naar mijn mening een verkeerde afweging’

aanval”, aldus Hans Nipshagen, Regional Manager Benelux bij Akamai. Helaas moet Nipshagen constateren dat beveiligingspolicy’s het niet altijd toestaan dat verkeer buiten Europa wordt ‘getermineerd’. Akamai Technologies is vooral bekend als provider van een Content Delivery Network dat ervoor zorgt dat bijvoorbeeld webvideo zonder haperingen wordt afgeleverd bij de consument. “Onder de motorkap spelen we een belangrijke rol op het internet”, licht Hans Nipshagen toe. “Dagelijks wordt dertig procent van het internetverkeer door Akamai afgeleverd bij de eindgebruiker.” “Maar doordat we ons CDN kunnen inzetten om netwerkaanvallen op Laag 3, 4 en 7 te stoppen, zijn we ook een van de leidende partijen in de strijd tegen Distributed Denial of Service (DDoS)aanvallen”, benadrukt Nipshagen. “Doordat zoveel partijen ons netwerk gebruiken om hun content af te leveren, zien we ook het aanvalsverkeer voorbij komen dat als doel heeft om websites plat te krijgen. Al die data die we elke dag zien,

44

MM 02 | najaar 2014

stoppen we in een database en aan de hand van analyses kunnen we al in een vroeg stadium aanvalspatronen herkennen en nieuwe rules en signatures beschikbaar stellen aan onze klanten. Dat is wat we noemen de ‘Science of Big Data’.” Aanvallen pareren Om klanten te beschermen tegen netwerkaanvallen biedt Akamai een tweetal oplossingen, te weten Kona Site Defender en het ‘scrubbingnetwerk’ van Prolexic dat begin 2014 werd gekocht. “Met Kona Site Defender acteert ons wereldwijde netwerk als een Web Application Firewall waarbij je de juiste schaal hebt om een aanval te pareren waarbij we er tegelijkertijd voor zorgen dat de site van de klant sneller wordt. Wij noemen dat security met een Return on Investment”, aldus Nipshagen.

Prolexic maakt gebruik van zes datacenters wereldwijd die met een 3,2 Terabit-scrubbingnetwerk aan elkaar zijn verbonden om Distributed Denial of Service-aanvallen te kunnen pareren. Op basis van ‘anycast-technologie’ wordt een aanvaller naar het dichtstbijzijnde datacenter geleid en wordt het vervuilde verkeer ‘schoongewassen’. “Als het een grote aanval betreft, kunnen we het verkeer verdelen over de vijf andere datacenters.” Schaal van het internet De kracht van de oplossingen schuilt volgens de Regional Manager Benelux in het feit dat Akamai de schaal van het wereldwijde internet inzet. “We gaan zo dicht mogelijk bij de bron van de aanval zitten. Als er een aanval vanuit China komt, dan stoppen we die in of zo dicht mogelijk bij China. Onze WAF-rules kijken vanaf die plek naar de

kwaadaardige pakketjes. Dat vuile verkeer moet je immers niet naar je toe gaan halen, maar stoppen aan de periferie van het internet, zo dicht mogelijk bij de aanvaller zelf.” Toch ziet Nipshagen vaak het tegenovergestelde gebeuren. “Zelfs in Europese tenders zie je als eis dat verkeer binnen Europa schoongewassen moet worden. Dan worden vaak verouderde privacypolicy’s toegepast met als gevolg dat je het vuile verkeer juist Europa binnenlaat waardoor de ca-

Als voorbeeld geeft Nipshagen een aanval op een Zweeds gamingbedrijf die er uiteindelijk toe leidde dat telecomprovider Telia helemaal plat ging. “De enige manier om je goed te kunnen wapenen tegen DDoS- en Laag 7-attacks is door het volledige internet in te zetten. Je hebt de schaal van het internet nodig om je te kunnen wapenen.” Privacy vs. security Nipshagen komt zelfs situaties tegen waarin beveiligingsregels het termineren van webverkeer op

' Het zit vaak in de hoofden, dat het allemaal binnen Europa moet' paciteit die je nodig hebt om volumetrische aanvallen aan te kunnen in één keer wordt verkleind.”

een CDN helemaal niet toestaan, ook niet binnen Europa en zelfs niet binnen Nederland. “Bedrijven

staan voor een dilemma: handhaaf ik policy’s die vaak jaren oud zijn, of laat ik de veiligheid die het termineren van het verkeer op een CDN mij biedt zwaarder wegen dan privacy? Begrijp me niet verkeerd: privacy is ontzettend belangrijk, maar je moet wel altijd blijven kijken naar de impact die privacy heeft op de veiligheid. Uit privacyoverwegingen vuil verkeer naar je eigen omgeving halen, is naar mijn mening een verkeerde afweging.” Volgens Nipshagen is er wel sprake van een kentering. “Gelukkig zijn er steeds meer organisaties, bijvoorbeeld binnen de overheid en financiële sector, die inzien dat de kans op een succesvolle aanval juist wordt vergroot door al het verkeer over te halen naar het eigen datacenter. Dat bewustzijn moet groeien, en daar speelt een partner zoals Motiv een belangrijke rol in. Motiv heeft al heel veel ervaring op het gebied van monitoring en kan op basis van vertrouwen de dialoog aangaan.” “Als we met Chief Information Security Officers rondom de tafel zitten en uitleggen hoe we aanvalsverkeer stoppen, dan blijkt die aanpak overigens vaak helemaal niet in strijd te zijn met de securitypolicy’s binnen het bedrijf”, concludeert Nipshagen. “Het zit vaak in de hoofden, dat het allemaal binnen Europa moet. Technisch is er ook heel veel mogelijk. Zo kunnen we op basis van url-infrastructuren een deel van de omgeving buiten Europa scannen waardoor het datacenter van de klant wordt ontlast en er capaciteit overblijft om het ‘extra secure’ deel van de omgeving wel lokaal te inspecteren.”

45

HEADLINE 'DE VERTROUWDE MSAFE-TECHNOLOGIE ZIT ALTIJD ONDER DE MOTORKAP'


Motiv biedt met Motiv mSafe al enkele jaren een platform voor het snel, eenvoudig en vooral uiterst veilig uitwisselen van bestanden. Een nieuwe toevoeging is de mogelijkheid voor bedrijven om mSafe volledig te ‘integreren’ in hun eigen bedrijfssystemen. Motiv mSafe is speciaal ontwikkeld voor het uitwisselen van zakelijke documenten, zoals personeelsdossiers, medische dossiers of financiële informatie. De basis is een werkruimte die een organisatie bijvoorbeeld per project, klant of contactpersoon aanmaakt en die alleen toegankelijk is met een gebruikersnaam, wachtwoord en een eenmalige code. Gebruikers uploaden vervolgens bestanden naar deze werkruimte. Met ‘mSafe Direct’ is het ook mogelijk om documenten snel en eenvoudig te delen met één contactpersoon zonder de noodzaak om eerst een werkruimte aan te maken.

Motiv vergroot flexibiliteit mSafe

' De vertrouwde mSafe technologie zit altijd onder de motorkap' Rohald Boer van Motiv

Rohald Boer

46


Drie varianten mSafe wordt inmiddels met succes toegepast binnen een groot aantal organisaties, waaronder de Gemeente Houten. Elders in deze uitgave van Motivator Magazine leest u hoe Meijers (‘Registermakelaars in Assurantiën’) gebruikmaakt van Motiv mSafe. Volgens Rohald Boer, bij Motiv Business Line Manager Applicatie Ontwikkeling, kan Motiv dan ook terugkijken op een succesvolle marktintroductie van mSafe. “Al sinds de introductie van mSafe in 2013 merken we wel dat er onder onze klanten een grote behoefte bestaat aan de flexibiliteit om mSafe volledig te kunnen incorporeren binnen de eigen bedrijfsprocessen”, aldus Boer. Om aan deze behoefte tegemoet te komen, biedt Motiv zijn dienst voor het uiterst veilig uitwisselen van bestanden voortaan aan in drie varianten. Variant ‘A’ is de standaardversie van mSafe. “Dit is de variant die snel is uit te rollen en snel in gebruik is te nemen, maar wel met de herkenbaarheid en het vertrouwen van mSafe”, licht Boer toe. “Variant ‘B’ heeft nog steeds de vertrouwde mSafeuitstraling, maar wel met de mogelijkheid voor de klant om een eigen huisstijl en een eigen logo toe te voegen aan de mSafe-portal en aan de e-mailnotificaties”, vervolgt Boer. De e-mailnotifica-

ties kunnen ook inhoudelijk worden aangepast. Bij deze variant krijgt de klant tevens de beschikking over een eigen domeinnaam (bijvoorbeeld info@ bestandsuitwisseling.bedrijfsnaam.nl) of mSafe-subdomein (www.bedrijfsnaam.msafe.nl). “Variant ‘C’ tot slot kan volledig worden geïncorporeerd in de processen van het bedrijf”, aldus Boer. Bestanden worden dan uitgewisseld via een url die volledig toebehoort aan de klant, de emailnotificaties worden verstuurd met als afzender een e-mailadres uit het domein van de klant en ook de sms-berichten die – in het geval van sms-authenticatie – nodig zijn om in te loggen, worden verstuurd uit naam van de klant. “Onder de motorkap bevindt zich nog altijd de vertrouwde technologie van Motiv mSafe.” In alle gevallen kan mSafe worden gekoppeld aan Microsofts Active Directory Federation Services. Door het gebruik van ADFS krijgen gebruikers een SSO-ervaring als ze op het eigen bedrijfsnetwerk zijn ingelogd. Hierdoor is het niet meer nodig om apart op mSafe in te loggen.

‘ Voor grote bedrijven wordt het eenvoudiger om de kosten voor het gebruik van mSafe in te schatten’ Continue verbetering Motiv werkt continu aan een verdere verbetering van mSafe. Zo is recent een belangrijke privacyoptie doorgevoerd waardoor een deelnemer aan een werkruimte niet de e-mailadressen kan zien van de overige deelnemers. Ook zijn er opties toegevoegd die het mogelijk maken om de retentietijd oneindig te kunnen verlengen en om deelnemers bestanden te laten verwijderen in permanente werkruimtes.

M S A F E | V E I L I G E B E S TA N D S U I T W I S S E L I N G | I N T E G R AT I E B E D R I J F S S Y S T E E M | M O T I V

M S A F E | V E I L I G E B E S TA N D S U I T W I S S E L I N G | I N T E G R AT I E B E D R I J F S S Y S T E E M | M O T I V

MOTIV NIEUWS

“Binnen een werkruimte is er meer structuur aan te brengen door ‘labels’ te hangen aan documenten”, vult Boer aan. “Op deze manier zijn de geüploade documenten onder te verdelen in categorieën wat het overzicht binnen een werkruimte vergroot. Daarnaast hebben we de zoekmogelijkheden uitgebreid. Zo is het nu mogelijk om documenten te zoeken en te filteren op basis van bestandsnaam, label, datum van upload en de gebruiker die een bestand heeft geüpload.” Een andere belangrijke recente verbetering in Motiv mSafe is de toevoeging van een nieuwe authenticatiemethode. Naast de vertrouwde methode – waarbij de gebruiker na het invoeren van een gebruikersnaam en wachtwoord een smscode ontvangt om in te loggen – is sinds enkele maanden authenticatie met behulp van een ‘softtoken’ op een smartphone-app van de gebruiker mogelijk. Deze app genereert elke dertig seconden een nieuwe code, waarmee een gebruiker met zijn gebruikersnaam en wachtwoord kan inloggen op mSafe. “Deze methode werkt ook als er geen netwerkverbinding is”, stelt Boer. “De gebruiker hoeft bovendien niet meer te wachten op het binnenkomen van een sms-code.” Bij het koppelen van de authenticatie-app aan Motiv mSafe wordt er op de smartphone van de gebruiker een ‘sleutel’ geplaatst die ervoor zorgt dat er altijd een code beschikbaar is, ook in ‘offline modus’.

Licentiemodel aangepast Tot slot haalt Boer het licentiemodel aan dat eveneens op een belangrijk punt is aangepast. Hierdoor wordt het voor grote bedrijven eenvoudiger om de kosten voor het gebruik van mSafe in te schatten. “Die kosten waren altijd gebaseerd op het aantal downloads”, legt Boer uit. “Die constructie is prima voor bedrijven tot ongeveer veertig medewerkers maar grotere bedrijven geven toch vaak de voorkeur aan een vast bedrag per maand voor het gebruik van Motiv mSafe.”

47

M A LWA R E T H R E AT D E F E N D E R | M O N I TO R I N G | F LO W D ATA | R E D S O C K S

M A LWA R E T H R E AT D E F E N D E R | M O N I TO R I N G | F LO W D ATA | R E D S O C K S

In de schijnwerpers

CEO Pim Cornelissen en CTO Pepijn Janssen van RedSocks

' Wij kijken niet naar de inhoud van het verkeer maar naar de bestemming en het gedrag'

Motiv voegde begin dit jaar met RedSocks een opvallende leverancier van beveiligingsoplossingen toe aan het portfolio. Opvallend, omdat het een puur Nederlands bedrijf betreft dat de zaken anders belooft aan te pakken dan de gevestigde orde. “Wij richten ons op de blinde vlek in IT-security”, aldus CTO Pepijn Janssen. Tijd voor een kennismaking met Janssen en CEO Pim Cornelissen. Aangekomen op het kantooradres van RedSocks in Den Haag blijkt het nog niet zo eenvoudig te zijn om Pepijn Janssen en Pim Cornelissen te vinden. Nergens is het logo of de bedrijfsnaam van de Nederlandse start-up te vinden, niet bij de entree op de begane grond, niet in de lift en ook niet op een van de acht verdiepingen. Een bewuste keuze, uit veiligheidsoverwegingen, zo begrijpen we van Janssen en Cornelissen als we het tweetal eenmaal hebben gevonden. Twee rode babysokjes, vastgepind naast de toegangsdeur tot het kantoor, blijken de enige aanwijzing te zijn dat hier Nederlandse securitygeschiedenis wordt geschreven. RedSocks... Heeft die opvallende naam eigenlijk nog een diepere betekenis? Janssen: “Na de oprichting van het bedrijf in 2012 hebben we ruim anderhalf jaar ‘onder de radar’ aan ons product gewerkt en zochten toen een tijdelijke projectnaam. Dat werd RedSocks, met de kleur rood van gevaar en van de brandweer en ‘socks’ als in ‘sockets’, de aansluitingen van je netwerk. Dus eigenlijk de ‘brandweer voor je aanslui48


tingen’. Die naam bleek een goede ‘conversation starter’ te zijn en is blijven hangen.” In juni 2014 is RedSocks officieel naar buiten getreden met de ‘malware threat defender’. Hoe werkt dat product? Janssen: “Wat wij jaren geleden al merkten, is dat er bijna niemand kijkt naar het uitgaande netwerkverkeer. Dat is wat wij noemen de blinde vlek in IT-security. We beveiligen ons aan de voorkant met firewalls, next-generation firewalls, inbraakpreventiesystemen, et cetera, maar bijna dagelijks kunnen we in de krant lezen dat die beveiliging niet afdoende is. Nog altijd glipt er heel veel malware door die ‘beveiliging aan de voordeur’ heen. Die moet je zien te vinden. Dat doen we door aan de hand van de ‘flowdata’ te kijken naar al het uitgaande verkeer. We slaan als het ware het verkeer plat en kijken alleen naar de verbindingen en niet naar de inhoud van het verkeer. Als een verbinding leidt naar een bestemming die wij als ‘fout’ kenmerken, of als er gedragingen zijn die wij als gevaarlijk hebben gelabeld, dan maakt de mal-

ware threat defender daar melding van en kan de klant daar een actie aan koppelen. Een voorbeeld van een actie is een instructie aan een firewall om een client af te sluiten. Maar dat is aan de klant; wij sluiten geen clients af.” Hoe weet de malware threat defender dat er wordt gecommuniceerd met een ‘foute bestemming’? Cornelissen: “De uitdaging is om bijna proactief mee te kijken met de virusschrijvers. Onze labs analyseren per dag 300.000 stuks malware en monitoren bijna 70.000 botnets continu. Daarbij focussen we ons op Europa, waardoor bijvoorbeeld de bekende ‘PostNL-malware’ bij ons veel sneller op de radar komt te staan dan bij bedrijven uit de VS. Die monitoring en analyses leveren lijsten met IP-adressen en url’s van slechte systemen op die we ieder uur opnieuw laten landen op de appliances bij onze klanten. Op die manier lopen wij maximaal een uur achter op de virusschrijvers.” Janssen: “Daarnaast maken we gebruik van een sterke, heuristische engine die alle vormen van malafide uitgaand verkeer weet op te merken.”

Van links naar rechts Pepijn Janssen en Pim Cornelissen

Die effectiviteit is ook al in de praktijk gebleken? Cornelissen: “Absoluut! Op alle plaatsen waar wij staan – waaronder twee grote universiteiten – hebben we malware gevonden die niet door andere systemen werd gedetecteerd, of pas veel later.” Hoe komt het eigenlijk dat het nog steeds niet lukt om alle malware ‘aan de voordeur’ te stoppen? Janssen: “Dat heeft meerdere oorzaken. Dankzij Bring Your Own Device nemen mensen vaak malware mee via de achterdeur. Ook zien we de laatste jaren een enorme toename in het gebruik van encryptie wat het voor beveiligingsoplossingen lastig maakt om precies te zien wat er gebeurt. Voor ons vormt encryptie geen belemmering want wij kijken niet naar de inhoud van het verkeer maar naar de bestemming en het gedrag. Een andere verklaring is dat moderne malware tot wel tien keer per dag verandert, terwijl bijvoorbeeld desktop-antivirus maar twee tot vier keer per dag wordt bijgewerkt en daarmee eigenlijk kansloos is. Het is ook vrijwel onmogelijk om dagelijks 300.000 signatures toe te voegen aan een desktop-antivirusproduct waardoor er keuzes gemaakt moeten worden. Wij hoeven die keuzes niet te maken, want wij kunnen er per uur miljoenen records doorheen pushen en alle intelligence die we kunnen krijgen sturen naar al onze dozen. Daar zit geen limiet aan.”

Hoe kan de malware threat defender worden opgenomen in het netwerk van de klant? Janssen met een lach: “Heel eenvoudig; de appliance draait doorgaans binnen een uur! Onze oplossing draait op flowdata. Deze data zijn veelal aanwezig in een netwerk en anders kan een extra probe deze data genereren. Daarbij kan er ook voor worden gekozen om de flows door te sturen naar een malware threat defender die staat opgesteld bij Motiv waarna Motiv de flows kan analyseren en acties kan koppelen aan een melding. De MTD wordt dan als het ware als een dienst afgenomen.”


'Wij lopen maximaal een uur achter op de virusschrijvers'

RedSocks en Motiv RedSock tekende begin dit jaar een partnerovereenkomst met Motiv voor de levering van de malware threat defenderoplossing. “Het is niet altijd eenvoudig om aan klanten uit te leggen wat wij doen”, stelt CEO Pim Cornelissen van RedSocks. “We werken daarom samen met ‘serviceresellers’ die kundig kunnen uitleggen wat wij doen. Motiv kan dat als geen ander, en kan de klant ook begeleiden bij het gebruik van ons product. Motiv is bovendien een bekende naam in de markt. Wij vinden het dan ook een eer om met Motiv te mogen samenwerken.”

49

H E A D L I N E K L A N T V E R H A L E N , T I P S E N T O O L S O P H E T G E B I E D VA N I C T S E C U R I T Y

Klantverhalen, tips en tools op het gebied van ICT Security Evidos ' Evidos ondertekent elektronisch met Motiv' Genomineerd voor Computable Awards!

Jaargang 5, nummer 1, voorjaar 2015 Contactgegevens Motiv Utrechtseweg 34E, 3402 PL IJsselstein T +31 (0)30 - 68 77 007 F +31 (0)30 - 68 77 006 www.motiv.nl [email protected]

Redactie Aksel Dorèl (Motiv) Bastiaan Bakker (Motiv) Bastiaan Schoonhoven (Motiv) Julia P.C. van Brink (Motiv) Ferry Waterkamp Concept & vormgeving Studio Incognito buro voor de vorm, IJsselstein

Fotografie Ruud Jonkers (Ruud Jonkers Fotografie) iStockphoto Druk Drukkerij van Midden, Benschop Advertentie-index 4 Websense 27 Qualys 9 SecurEnvoy 43 Check Point 17 RedSocks 52 Akamai

Marketing [email protected] T +31 (0)30 - 68 77 007 Motivator Magazine is een uitgave van Motiv ICT Security, IJsselstein en verschijnt twee keer per jaar, in een oplage van 3200 exemplaren. © 2015 Motiv ICT Security.

COLOFON Motivator Magazine, voor professionals in informatievoorziening en -beveiliging

Rivas Zorggroep

TU Delft ' Onze droom is BYOD, maar dan clientless'

'Continue beschik baarheid cruciaal voor EPD'

Gemeente Houten


'mSafe is onze Houtense cloud'

50


51

MAGAZINE EN VERDER. 'Vanuit de Santander Group ligt de focus op samenwerken met partners' ' De vertrouwde msafetechnologie

Recommend Documents