PLATFORM VOOR WERELDSPELERS ÉN STARTUPS

INFO

JAARGANG 14 - SEPTEMBER 2015 - WWW.INFOSECURITYMAGAZINE.NL

SECURITY MAGAZINE

BEURS IT-SA IN NEURENBERG

PLATFORM VOOR WERELDSPELERS ÉN STARTUPS RESULTATEN SERIOUS GAME ALCATRAZ:

GAME BRENGT VERBETERPOTENTIEEL SNEL IN KAART

SECURITY WORDT EEN STRATEGISCHE ASSET VIER EYE-OPENERS VOOR DE CEO - WINDOWS 10 NOG LANG NIET VEILIG GENOEG - ‘ZONDER CONTENT GEEN BEURSVLOER’ - ‘PREVENTIE VAN CYBERCRIME VOLSTAAT NIET MEER’ - POINT OF CONTROL VOOR EEN VEILIGE IT-INFRASTRUCTUUR - EFFECTIEF VULNERABILITY MANAGEMENT IN ZES STAPPEN - IS MACHINE LEARNING NIEUWE SLEUTEL TOT BOVENMENSELIJKE KUNSTMATIGE INTELLIGENTIE? - WAAROM VERTROUWEN WIJ DE OVERHEID NIET MET ONZE GEGEVENS? - KLEINE BEDRIJVEN HET VOLGENDE SLACHTOFFER VAN GROTE HACKS - RED TEAM DAAGT ORGANISATIES UIT

g

THE POWER OF PEOPLECENTRICITY IN INFORMATIEBEVEILIGING

Colofon - Editorial

Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via [email protected]. Uitgever Jos Raaphorst 06 - 34 73 54 24 [email protected] twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 [email protected] twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel

‘Informatiebeveiligingsbewustzijn bij medewerkers is essentieel’ GERARD STROEVE I MANAGER SECURITY & CONTINUITY SERVICES

Advertentie-exploitatie Will Manusiwa 06 - 38 06 57 75 [email protected] Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 [email protected]

Informatiebeveiliging gaat verder dan IT alleen © 2015 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.

Centric kan u ondersteunen bij het succesvol opstellen, implementeren en uitvoeren van een informatiebeveiligingsbeleid conform de ISO 27001-norm, ISO 27002, Baseline Informatiebeveiliging voor Nederlandse Gemeenten en de NEN 7510. Het team van Security & Continuity Services is onder meer gespecialiseerd in het uitvoeren van Gap-analyses en risicoanalyses, het opstellen van beveiligingsplannen en het formuleren van passende beveiligingsmaatregelen. Kenmerkend voor onze aanpak is dat we breder kijken dan de ICT-component alleen. We nemen ook onderwerpen mee als fysieke beveiliging, security awareness en continuïteitsmanagement.

Meer informatie: www.infosecuritymagazine.nl

Kunt u hulp gebruiken bij de informatiebeveiliging binnen uw organisatie? Ga naar www.centric.eu/informatiebeveiliging of mail ons via [email protected].

SOFTWARE SOLUTIONS | IT OUTSOURCING | BPO | STAFFING SERVICES 2

www.centric.eu

Overheden betalen cybercriminelen Hoe ontvangen cybercriminelen eigenlijk geld voor hun diensten? Dat is een interessante vraag waar we eigenlijk maar nauwelijks een antwoord op kunnen geven. Het internationale managementtijdschrift Fortune heeft hier nu onderzoek naar gedaan. Met opmerkelijke resultaten - mits deze correct zijn uiteraard. Het probleem bij het beantwoorden van deze vraag is natuurlijk dat we niet simpelweg even wat loonstrookjes of belastingaangiften kunnen checken. Die zijn er natuurlijk niet. Hoewel … dat is nog maar de vraag. Als het inderdaad zo is dat steeds meer hackers worden ingehuurd door overheden of zelfs op de loonlijst van overheden staan, zou dit prima moeten kunnen. Maar bij gebrek aan functieomschrijvingen als ‘hacker’ of ‘cybercrimineel’ loopt die weg vast dood.

websites, hebben een tijdje met een botnet dat ze bij elkaar geklikt hebben credit card-gegevens gestolen en proberen die vervolgens voor belachelijk lage prijzen ‘per kilo’ te verpatsen. Opmerkelijk is de constatering van Fortune dat veel cybercriminelen gewoon een baan hebben en hun criminele activiteiten er in de avonduren bij doen. Waar werken die mensen dan veelal? U voelt wellicht al aankomen hoe Fortune

‘Opmerkelijk is de constatering van Fortune dat veel cybercriminelen gewoon een baan hebben en hun criminele activiteiten er in de avonduren bij doen’ Toch is het een interessante gedachte dat overheden - u weet wel: dat zijn diezelfde organisaties die ook voorlichtingscampagnes rond cyberpesten en online veiligheid initiëren - ook wel eens de grootste werkgever van cybercriminelen zouden kunnen zijn. Al is dat natuurlijk wel een definitiekwestie: zijn het hackers die de ‘bad guys’ achterna gaan of die bij vijandige mogendheden informatie stelen of juist desinformatie achterlaten? Nog lastiger wordt het als we naar de spreekwoordelijke ‘kleine man’ binnen het cybercrime-gremium kijken. Het beeld dat we uit de film kennen van ‘beeldscherm-cowboys’ klopt hoogstwaarschijnlijk niet. Sterker nog, zodra een cybercrimineel wordt gearresteerd en meer bekend wordt over zijn/haar achtergrond en motieven, dan blijkt dat het in veel gevallen om digitale kruimeldieven gaat. Ze scharrelen wat op underground

die vraag beantwoordt: in de security-industrie. Daar doen zij veel kennis op van aanvalsmethoden, bruikbare lekken, leren zij mensen kennen die ook in het wereldje rondlopen en wellicht ook wel eens ‘een bocht afsnijden’. Hoe laten cybercriminelen zich eigenlijk uitbetalen? Ook een boeiend thema, lijkt mij. Wat blijkt? Betaaldiensten als Western Union, Cryptocheck en Money Gram zijn erg populair. En nee, men vermijdt Paypal. Ook populair: bitcoins en andere alternatieve betalingsmethoden. Met andere woorden: zij maken gewoon slim gebruik van bestaande methoden om betalingen te regelen. Maar dan wel graag eentje die anonimiteit garandeert. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine

INFOSECURITY MAGAZINE - NR. 3 - SEPTEMBER 2015

3

INHOUD

Security wordt een strategische asset 6 IT-beveiliging is en blijft één van de belangrijkste aandachtspunten van IT binnen Nederlandse organisaties. Zonder IT-beveiliging zou iedere grote organisatie en ook de meeste MKB-bedrijven gierend tot stilstand komen. IT-beveiliging is daarom voor iedere organisatie een noodzaak, maar is het daarmee eigenlijk ook een noodzakelijk kwaad? 12 Windows 10 nog lang niet veilig genoeg 14 ‘Zonder content geen beursvloer’ Beurs IT-SA in Neurenberg platform voor wereldspelers én startups 16 Begin oktober vindt in Neurenberg weer de security-beurs IT-SA plaats. Hoewel wellicht wat minder bekend dan de Infosecurity, is de Duitse beurs inmiddels uitgegroeid tot het in omvang derde evenement van Europa op het gebied van IT-security. Alle reden dus om tussen 6 en 8 oktober een of twee dagen naar Neurenberg af te reizen. ‘Preventie van cybercrime volstaat niet meer’ 18 “Het is niet de vraag of, maar wanneer een bedrijf te maken krijgt met kwaadwillende aanvallen. Het is daarom verstandig om te kijken naar de maatregelen die je als organisatie treft”, stelt managing director Pieter Lacroix van beveiligingsbedrijf Sophos. “De huidige wereld met een diversiteit aan security oplossingen zal steeds minder volstaan. Organisaties hebben een geïntegreerde aanpak nodig om zeker te weten dat ze veilig zijn.” 20 Certificering goede voorbereiding op meldplicht datalekken 22 5 belangrijkste HACKER-eigenschappen Effectief vulnerability management in zes stappen 26 Weet u wat de mogelijke risico’s zijn voor uw bedrijfsnetwerk en hoe u kwetsbaarheden daarin te lijf gaat? Of u nu een handvol computers beheert, of duizenden servers over de hele wereld, een doordacht plan voor vulnerability management (VM) is altijd een must. De basis daarvoor is al in zes stappen te leggen. Dat laat cloudbeveiligingsspecialist Qualys opnieuw zien in de tweede editie van ‘Vulnerability Management for Dummies’, die onlangs uitkwam. 28 GLZ gemeenten kiezen voor Barracuda NG Firewalls 30 Is machine learning nieuwe sleutel tot bovenmenselijke kunstmatige intelligentie? Waarom vertrouwen wij de overheid niet met onze gegevens? 34 Nederlanders hebben maar weinig vertrouwen in de overheid als het op de bescherming van hun persoonlijke gegevens aankomt. Maar liefst 69% van de bevolking verwacht dat hun persoonlijke gegevens die bij de overheid staan het komende jaar op enig moment door onbevoegden worden ingezien. Dat blijkt uit cijfers van de Unisys Security Insight Survey, een wereldwijd onderzoek naar cybersecurity. Resultaten Serious Game Alcatraz: Game brengt verbeterpotentieel snel in kaart 36 Insite Security heeft de Serious Game Alcatraz ontwikkeld om het beveiligingsbewustzijn van medewerkers en organisaties te verhogen en daarmee het draagvlak voor informatieveiligheid te vergroten. De game die in juni is gespeeld, laat een aantal opmerkelijke resultaten zien. 40 Red Team daagt organisaties uit 42 Legal Look

4

CYBERSECURITY:

VIER EYE-OPENERS VOOR DE CEO

10

Cybersecurity is de afgelopen jaren veel in het nieuws. Maar al te vaak lezen we over organisaties die zijn getroffen door hackers of andere cybercriminelen. Het gevaar van cyberaanvallen als DDoS, ransomware en phishing ligt dan ook voor iedere onderneming op de loer. Mocht een aanval slagen, dan heeft dat mogelijk grote gevolgen. Daarom is het belangrijk dat cybersecurity ook in de boardroom voldoende aandacht krijgt. Gerard Stroeve, security-expert van Centric, licht vier belangrijke aandachtspunten voor de directie en het management uit.

POINT OF CONTROL

VOOR EEN VEILIGE IT-INFRASTRUCTUUR

24

Het applicatielandschap verandert snel en wordt steeds diverser. Applicaties draaien vanuit public clouds, private clouds en hybrid clouds. Gebruikers bevinden zich overal en werken met uiteenlopende devices. Deze ‘application economy’ brengt grote veiligheidsrisico’s met zich mee en bedrijven worden dan ook steeds vaker slachtoffer van cybercrime. Hoe waarborgt u de beveiliging van uw vertrouwelijke bedrijfsinformatie? Een aanpak die ook wel ‘Point of Control’ wordt genoemd kan hierbij helpen.

INTEGRATIE VAN FYSIEKE BEVEILIGING EN IT-SECURITY DRINGEND GEWENST

32

Onderzoek onder IT-beveiligers laat zien dat een integrale benadering van fysieke beveiliging en IT-security niet alleen onontkoombaar is, maar ook dringend gewenst. Het onderzoek - in opdracht van de vakbeurs Safety & Security Amsterdam - is uitgevoerd door Pb7 Research. Komt deze samenwerking niet van de grond, dan lopen bedrijven en overheidsinstellingen onverantwoord grote risico’s, waarschuwt directeur Peter Vermeulen van Pb7.

KLEINE BEDRIJVEN HET VOLGENDE SLACHTOFFER VAN GROTE HACKS

38

Als we de krantenkoppen moeten geloven, hebben hackers het vooral voorzien op grote internationale organisaties. Of het nu Sony of JPMorgan is, ze lijken zich te richten op multinationals met uitgebreide toeleveringsketens waar ze op zoek gaan naar de zwakke plek in het pantser. Maar hun interesse ligt juist steeds meer bij het MKB.


5

NATIONALE IT-SECURITY MONITOR 2015

SECURITY

WORDT EEN STRATEGISCHE ASSET IT-beveiliging is en blijft één van de belangrijkste aandachtspunten van IT binnen Nederlandse organisaties. Zonder IT-beveiliging zou iedere grote organisatie en ook de meeste MKB-bedrijven gierend tot stilstand komen. IT-beveiliging is daarom voor iedere organisatie een noodzaak, maar is het daarmee eigenlijk ook een noodzakelijk kwaad? De meeste van de 150 respondenten in de Nationale IT-Security Monitor 2015 (NITSM 2015), security beslissers binnen organisaties met 50 of meer medewerkers, menen van wel. Maar security is ook meer. Meer dan 2 op de 3 respondenten geeft aan dat hun organisatie in security investeert om nieuwe producten en diensten succesvol aan te kunnen bieden bij hun klanten. En meer dan 2 op de 3 respondenten zegt dat in security wordt geïnvesteerd om processen te kunnen optimaliseren. In een wereld waar de inzet van ICT steeds meer bepalend wordt voor zakelijk succes, wordt security een strategische asset. Het is goed om te zien dat bedrijven deze rol van security onderkennen. Maar vorig jaar constateerden we met de NITSM al dat er een groot kennisgat bestaat op het gebied van nieuwe technologie als cloud

6

en mobile computing. Tegelijkertijd bleek de nadruk van de investeringen op de beveiliging van de perimeter te liggen bij de meeste bedrijven en veel minder op de beveiliging van de data zelf. Een jaar later zien we dat de urgentie om de cloud te beveiligen veel beter is doorgedrongen. Voor 38% van de Nederlandse organisaties met meer dan 50 werknemers is cloud het belangrijkste security thema voor de komende 12 maanden. Daarmee komt cloud met stip op nummer één. In 2014 gaven organisaties aan vooral de aandacht te richten op cybercrime (in algemene zin), web security en privacy, en stond cloud pas op de vijfde plek. Maar dat de urgentie wordt onderkend, betekent allerminst dat Nederlandse bedrijven alles al op orde hebben. Net als vorig jaar onderkennen veel bedrijven niet over voldoende kennis te

beschikken om cloudoplossingen goed te beveiligen en hetzelfde geldt voor mobiel gebruik. En om het probleem nog wat groter te maken: slechts 23% van de onderzochte beslissers zegt dat IT zicht heeft op alle cloudtoepassingen die gebruikt worden binnen de organisatie. En dus probeert IT allereerst en meer dan wat dan ook, om de grip op cloudtoepassingen te vergroten. Deze maatregelen om het cloudgebruik veilig te houden, zijn vooral restrictief van aard. Er wordt geprobeerd om de wildgroei tot stand te brengen door te standaardiseren op leveranciers (35%) en men doet dat ook beduidend vaker dan vorig jaar. Daarnaast krijgen medewerkers vaak richtlijnen mee voor veilig cloudgebruik (32%). Tegelijkertijd zijn er wel steeds minder organisaties die beperkingen aan managers opleggen bij de aanschaf van cloudapplicaties. Misschien kunnen we beter zeggen dat managers zich steeds beperkingen laten opleggen. En dan wordt het lastig! Als we naar deze uitkomsten kijken, kunnen we rustig stellen dat de meeste Nederlandse organisaties niet opgewassen

zijn tegen de security uitdagingen die de cloud met zich meebrengt. Hoe prijzenswaardig het ook is dat men het cloudgebruik probeert te kanaliseren, zal men moeten accepteren dat (cloud-)gebruikers op enig moment data kwijtraken die in verkeerde handen terecht komt. Het is dus zaak om deze data onbruikbaar te maken voor kwaadwillenden. ‘Cloud’ is geen geïsoleerd probleem. In de hele security benadering van Nederlandse organisaties zien we in het onderzoek nog altijd te vaak het beeld van verbieden, te weinig kennis en aandacht voor nieuwe IT en nieuwe bedreigingen en het te zwaar leunen op perimeterbeveiliging doorgaan. INVESTERINGEN EN GROEI Tussen de toename van het aantal dreigingen, de toenemende complexiteit daarvan, de veranderende technologie en het belang daarvan voor de organisatie, zou verwacht mogen worden dat organisaties het niet alleen belangrijk vinden, maar er ook voldoende aandacht aan besteden en er budget voor vrij weten te maken. Toch laat de NITSM 2015 zien dat de se-

curitybudgetten onder druk komen te staan. Terwijl volgens de respondenten in 2014 het budget nog met 11% groeide, is de verwachting dat de groei in 2015 beperkt blijft tot 7% en dat de groei in 2016 niet verder komt dan 5%. Zoals we al aangaven leggen Nederlandse organisaties nog altijd vaak de meeste prioriteit op de netwerkbeveiliging. Dat zien we terug als we vragen naar waar organisaties het meeste denken te gaan investeren. Zowel dit jaar als vorig jaar, gaf 45% van de ondervraagde organisaties aan vooral op dat gebied prioriteit te geven. Opvallend is dat we vorig jaar zagen dat men aangaf dat de investeringen op het gebied van identiteits- en toegangsbeheer zouden gaan afvlakken en dat het aantal bedrijven dat daar prioriteit aan geeft, stevig is gekrompen van 43% tot 29%. Ook zien we in eerste instantie nog niet terug dat er de afgelopen tijd extra veel aandacht is voor het (on)veilige gedrag van medewerkers, die bijvoorbeeld al snel op een min of meer geloofwaardige link klikken of onzorgvuldig omgaan met inloggegevens. Ongeveer 1 op de 4 or-

ganisaties heeft het als een prioriteit aangemerkt, vrij weinig in vergelijking met de meeste andere investeringsgebieden. Toch neemt de bereidheid om hierin te investeren sterk toe. Maar liefst 47% van de respondenten zegt dat de uitgaven hieraan zullen gaan toenemen. En dat sluit aan bij de aanpak van cloud security (en ook mobile security) zoals we die terugzien in het onderzoek: er wordt veel prioriteit gegeven aan het maken van spelregels voor het gebruik van technologie en misschien wel te weinig geïnvesteerd in de beveiliging op het technische vlak. Het probleem hierbij is dat dataverlies optreedt, hoeveel bewustzijnstraining je er ook tegenaan gooit. Je kan de schuld dan wel bij de gebruikers leggen, maar niet weglopen van je verantwoordelijkheid voor een goede databeveiliging. Zeker niet met de gevolgen die dataverlies voor de organisatie kan hebben.

ORGANISATIE EN BELEID Hoewel er steeds meer wordt gesproken over de ‘CISO’, heeft maar een kleine


7

NATIONALE IT-SECURITY MONITOR 2015

ICT en Security Trainingen

groep bedrijven (12%) ook op papier een CISO aangesteld. Wel heeft een vrij grote groep bedrijven een hoofd informatiebeveiliging. Toch is het duidelijk dat er geen algemeen geldende blauwdruk is voor de verantwoordelijkheid voor IT-beveiliging en de organisatie daarvan. De reikwijdte van het IT-security beleid verschilt al even veel van organisatie tot organisatie. Veel organisaties geven aan beleid te hebben geformuleerd op het gebied van databeveiliging, privacy – sterk in opkomst de laatste jaren, en gedragsregels voor gebruikers. Maar veel organisaties ook niet. Maar wat belangrijker is, net als vorig jaar wordt er maar in beperkte mate beleid geformuleerd omtrent wat te doen met technologische vernieuwing, terwijl veel respondenten aangeven daar

over onvoldoende kennis te beschikken. Security blijkt zelfs minder invloed te hebben op de technologische keuzes dan vorig jaar. Terwijl managers steeds meer zelf technologische keuzes maken, lijkt het er op dat steeds minder organisaties tijdig security in dat proces weten te schuiven. Daar staat gelukkig wel tegenover dat steeds meer organisaties beleid hebben rond het testen van nieuwe toepassingen. Hoe dan ook, we blijven het

OVER DE NATIONALE IT-SECURITY MONITOR 2015 De Nationale IT-Security Monitor is een jaarlijks terugkerend onderzoek op initiatief van Pb7 Research en Infosecurity Magazine. Het is een onafhankelijk onderzoek, dit jaar financieel mogelijk gemaakt door sponsors Centric, HP Nederland, Sogeti, Sophos en TSTC. In het onderzoek kijken we naar de stand van zaken in de Nederlandse IT-security markt. Hoe ziet de security organisatie in elkaar? Hoe past het beleid zich aan aan de veranderende eisen van de markt? Waar liggen de prioriteiten op het gebied van investeringen? Ook kijken we ieder jaar naar een aantal specifieke onderwerpen. Dit jaar ging het onder meer om SIEM, managed services, training en opleiding en cloud security.

over een minderheid van de organisaties hebben die echt beleid maken rond de introductie van nieuwe technologie binnen de organisatie, terwijl juist daar grote veiligheidsrisico’s op de loer liggen. VOORTUITGANG Vorig jaar concludeerden we dat Nederlandse IT-beveiligers prima bezig zijn, maar zich meer richten op het beveiligen van het verleden dan het beveiligen van de toekomst. Daarmee doelden we op het gebrek aan kennis op het gebied van nieuwe technologie die de organisatie binnenkomt, zoals cloud en mobiel en ook het gebrek aan aandacht hiervoor. Dit jaar kunnen we alleen maar concluderen dat er de afgelopen 12 maanden wat begint te veranderen. Vooral het bewustzijn dat IT-security hier meer bovenop moet zitten, is duidelijk gegroeid. In de praktijk lijkt er echter nog maar bitter weinig veranderd. Er is dus nog een hoop werk aan de winkel. Hopelijk zien we de resultaten daarvan het komende jaar terug.

TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiliging- en cybersecurity trainingen. Met praktijkervaren trainers en een unieke invulling van de trainingen vervult TSTC sinds 1999 de behoeften van organisaties en cursisten die belang hechten aan kwaliteitstrainingen die verder gaan dan het boekje en direct aansluiten op de dagelijkse praktijk. Security professionals kunnen bij TSTC terecht voor bijna veertig security trainingen op zowel technisch als tactisch- strategisch gebied. Het programma bevat alle bekende internationaal erkende titels maar het is ook mogelijk onder begeleiding van aansprekende trainers diepgang te zoeken in allerhande actuele security thema’s.

www.tstc.nl/security 8

Uniek: Trainen volgens snel, praktijkgericht concept

Persoonlijk: Groepsgrootte beperkt tot 8-10 personen

Effectief: 100% Slagingsgarantie

Relevant: CCISO, CISSP, CISM, CISA, CEH, ISO 27001, Privacy & Cloud Security

Want security start bij mensen!! INFOSECURITY MAGAZINE - NR. 3 - SEPTEMBER 2015

9

EXPERTVISIE

CYBERSECURITY:

VIER EYE-OPENERS VOOR DE CEO Cybersecurity is de afgelopen jaren veel in het nieuws. Maar al te vaak lezen we over organisaties die zijn getroffen door hackers of andere cybercriminelen. Het gevaar van cyberaanvallen als DDoS, ransomware en phishing ligt dan ook voor iedere onderneming op de loer. Mocht een aanval slagen, dan heeft dat mogelijk grote gevolgen. Daarom is het belangrijk dat cybersecurity ook in de boardroom voldoende aandacht krijgt. Gerard Stroeve, security-expert van Centric, licht vier belangrijke aandachtspunten voor de directie en het management uit. 1. CYBERSECURITY IS GEEN SYNONIEM VOOR INFORMATIEBEVEILIGING Om te beginnen is het van belang de juiste kaders te scheppen rondom cybersecurity. Want, hoewel het woord enorm tot de verbeelding spreekt, wordt het niet

altijd in de juiste context gebruikt. Geregeld wordt cybersecurity beschouwd als een synoniem voor informatiebeveiliging. In werkelijkheid is cybersecurity alleen dat deel van de informatiebeveiliging dat draait om de bescherming tegen aanvallen via het internet.

Cybersecurity is dus een deelgebied van het grotere vakgebied van informatiebeveiliging. Maar omdat organisaties op het cybervlak vaak kwetsbaar zijn, is het zeker een belangrijk deelgebied. Het internet biedt namelijk tal van mogelijke toegangspunten tot uw informatie. Denk aan de computers en servers binnen uw organisatie, maar ook aan allerlei draadloze verbindingen en ‘smart devices’. Het cyberdomein is daarom dé weg voor kwaadwillenden om van buiten uw organisatie bij uw gegevens te komen. 2. CYBERSECURITY IS EEN PROCES, GEEN PROJECT Cyberveiligheid draait dus om het voorkomen of het beperken van de gevolgen van aanvallen via het internet. Dat is een voortdurende rat race, een kat-en-muis-

VEEL VOORKOMENDE CYBERAANVALLEN • DDoS-aanval: een systeem wordt plotseling zwaar overbelast en raakt buiten werking • Ransomware: vergrendelt uw gegevens en geeft u pas na betaling weer toegang • Malware: kwaadaardige software, zoals virussen, adware en keyloggers • XSS & SQL-injection: aanvalsmethoden die ontwikkelfouten in webapplicaties misbruiken • Phishing: misleidende e-mails installeren via een link virussen of andere malware

spel tussen aanval en verdediging. Aanvallers zoeken daarbij dag in dag uit naar nieuwe zwaktes en manieren om deze zwaktes uit te buiten. Zo proberen ze uw IT-afdeling telkens een stap voor te zijn. Daar komt bij dat de potentiële impact van cyberaanvallen groter is dan ooit, nu organisaties steeds afhankelijker worden van digitale informatie. We slaan meer en meer gegevens digitaal op en raken bovendien nauw verweven met de digitale wereld buiten de muren van onze organisaties. U bent dus niet meer alleen afhankelijk van uw eigen systemen, maar ook van vele koppelingen met externe gegevens en databases. Wanneer uw

ISMS: HET GOVERNANCEMODEL VOOR INFORMATIEBEVEILIGING Het Information Security Management System (ISMS) is een governancemodel dat u grip geeft op uw beleid rondom informatiebeveiliging en daarmee ook op het gebied van cybersecurity. Het bestaat uit vier duidelijke stappen: Plan, Do, Check, Act. Plan In de Plan-fase inventariseert u de risico’s en de mogelijke gevolgen ervan voor uw organisatie. Tegen al die risico’s bestaan maatregelen - aan u als directie de taak te beslissen welke maatregelen genomen worden. U kunt risico’s namelijk niet alleen mitigeren (zo klein mogelijk maken), ook het transfereren (onder brengen bij een andere partij) of simpelweg accepteren ervan is mogelijk. 10

Gerard Stroeve

organisatie of informatie plotseling niet of nauwelijks nog digitaal bereikbaar is, heeft dat grote gevolgen. Niet alleen voor u, maar óók voor uw klanten, leveranciers en partners. Het is dus enorm belangrijk om telkens een antwoord te vinden op die nieuwe aanvalsmethoden. Soms is dat makkelijk, maar steeds vaker kost dat veel moeite. Want voor complexer wordende aanvallen, zijn ook complexere verdedigingsmuren nodig. Het ophogen van de cybermuren wordt daarom met iedere nieuwe aanvalsvorm uitdagender. En dus tijdrovender. Beschouw cybersecurity dan ook als een continu proces. 3. CYBERSECURITY IS MEER DAN ALLEEN TECHNIEK Om u te wapenen tegen cybercriminelen zijn technische beveiligingsmiddelen alleen niet genoeg. U kunt cybersecurity zien als een complex bouwwerk dat rust op drie pilaren: techniek, mens en organisatie. Iedere pilaar moet voldoende, passende aandacht krijgen om te zorgen dat uw cybersecurity als geheel solide blijft. Traditioneel zijn het de pilaren techniek en organisatie die de meeste aandacht krijgen. Uw IT-afdeling zet bijvoorbeeld slimme tooling in, zoals firewalls en antivirussoftware, en richt processen in die de kans op beveiligingslekken verkleinen. Maar vaak blijkt, hoe clichématig ook, de mens uiteindelijk de zwakste schakel.

Vergeet daarbij niet dat compliancy met weten regelgeving een belangrijke verantwoordelijkheid is van de directie. Do In deze fase gaat uw organisatie de geselecteerde maatregelen implementeren. De directie moet daarbij bewaken dat voldoende aandacht uitgaat naar alle drie de pijlers: techniek, mens en organisatie. Maak de beveiliging van uw gegevens daarom niet alleen een taak van de IT-afdeling, maar betrek bijvoorbeeld ook HR en de facilitaire afdeling. Bewustzijn rondom risico’s moet organisatiebreed worden gevoed. Check De Check-fase draait om het meten van de effectiviteit van uw maatregelen. Als directie definieert u de prestatie-indica-

Bewustzijn ten aanzien van de risico’s en de mogelijke gevolgen én het vermogen naar dat bewustzijn te handelen zijn net zo belangrijk als technologische beveiligingsmiddelen. 4. DIRECTIE EN MANAGEMENT ZIJN HET FUNDAMENT ONDER CYBERSECURITY Als cybersecurity een bouwwerk is, dan is draagvlak van directie en management het fundament eronder. De drie pilaren techniek, mens en organisatie worden ondersteund door het organisatiebrede informatiebeveiligingsbeleid dat de directie vaststelt. Het hoogste management geeft richting aan cybersecurity en vaardigt het belang ervan actief uit binnen de organisatie. Als directie legt u dus de eerste steen voor een solide cyberbeveiligingsbouwwerk. Dat doet u met een governancemodel dat vorm geeft aan het brede informatiebeveiligingsbeleid binnen uw organisatie. Dat governancemodel wordt ook wel uw Information Security Management System of ISMS-model (zie kader) genoemd. Het is een overzichtelijk model dat u helpt grip te houden op uw cybersecuritybeleid. Gerard Stroeve is manager Security & Continuity Services bij Centric

toren of KPI’s waarover gerapporteerd wordt, want grip houden is een van uw belangrijkste taken. Die rapportages vormen bovendien de basis voor de directiebeoordeling. Zorg dat u een goed onderbouwde mening heeft over wat u als directie van de voortgang vindt en deel deze mening met de betrokkenen. Act Tot slot zorgt u er in de Act-fase voor dat uw directiebeoordeling een goed vervolg krijgt. Beloon betrokkenen als hun prestaties daarom vragen. Als de uitvoering van het beleid te wensen overlaat, dan is het uw taak om te zorgen dat uw organisatie beter presteert. Schiet niet alleen de uitvoering maar ook het beleid zelf tekort? Neem dan uw verantwoordelijkheid en geef sturing aan het nieuwe beleid.


11

TECHNOLOGIE

Windows 10 nog lang niet veilig genoeg

BEVEILIGINGSSOFTWARE BLIJFT NOODZAKELIJK

Afgelopen zomer heeft Microsoft Windows 10 gelanceerd. Een nieuw besturingssysteem met daarin nieuwe slimme methoden die het cybercriminelen lastiger moeten maken om op de systemen in te breken en gebruikers gemakkelijker om ongestoord hun werk te doen. Hoewel er op vele fronten verbeteringen te zien zijn qua veiligheid, is het besturingssysteem nog lang niet waterdicht.

eerder regel lijkt dat uitzondering, ligt aan iets anders. Het is namelijk goed mogelijk om een patch binnen een maand (of twee) te testen en zo technische problemen uit te sluiten. Bovendien zou er na twee maanden, als er problemen waren met de patch, inmiddels duidelijkheid over zijn geweest. De nieuwe taktiek van Microsoft zal dus, naar mijn mening, geen positief effect hebben en alleen nadelen met zich meebrengen.

3.

De security-problemen rond Windows 10 spitsen zich toe op minimaal drie hoofdgebieden.

1.

Detectie verlopen licentie beveiligingssoftware – Windows 10 detecteert antivirussoftware die (door een verlopen licentie) geen updates meer ontvangt en schakelt na enkele waarschuwingen op eigen initiatief Windows Defender in. Hoewel het duidelijk is dat een pc die beschermd wordt door Windows Defender er beter aan toe is dan een pc zonder enige beveiligingssoftware, benadrukt Microsoft zelf ook dat Windows Defender niet meer is dan een basisbeveiliging. Gaan gebruikers zich echter door de aanwezigheid van Windows Defender veilig wanen, dan bereikt Microsoft met deze maatregelen het tegenovergestelde van wat deze beoogt.

2.

Gefaseerde distributie van patches - Thuisgebruikers ontvangen nieuwe patches direct en fungeren daarmee min of meer als testpanel. Wellicht draagt dit bij aan een grotere acceptatie door zakelijke gebruikers van de patches. De ge-

dachte hierachter is eigenlijk heel goed. In de praktijk blijkt dat zakelijke systemen over het algemeen genomen veel trager worden bijgewerkt dan de systemen van consumenten. Patches hebben een slechte reputatie onder systeembeheerders, aangezien deze vaak veranderingen aanbrengen in de software, die nogal eens ingrijpende gevolgen voor de werking daarvan kan hebben. Er kleven echter twee grote bezwaren aan dit plan. Ten eerste wordt de periode waarin bedrijfsnetwerken exponentieel kwetsbaarder zijn aanzienlijk verlengd, doordat malware-schrijvers nu nog vóór de beschikbaarheid van de patch voor de zakelijke netwerken met behulp van de (consumenten)patch kunnen nagaan welk beveiligingslek het dient te dichten. Bedrijven die wel altijd goed hebben gepatcht worden nu dus opeens benadeeld. Ten tweede zal het bedrijven niet aansporen om de patches nu wél uit te voeren. Dat patches niet binnen een of twee maanden worden uitgerold, kan worden toegeschreven aan angst voor problemen met de patch. Maar dat een patch een jaar lang niet wordt uitgerold, wat

Apps in plaats van programma’s – Naar het voorbeeld van Android werkt nu ook Microsoft veelvuldig met apps. Deze kunnen op onder andere pc, tablet, smartphone en Xbox. Het voordeel is dat het via apps lastiger is om een systeem aan te vallen, omdat apps niet of nauwelijks met elkaar kunnen communiceren, doordat zij in aparte sandboxes draaien. Bij Android is echter al gebleken dat ‘lastiger’ niet hetzelfde is als ‘onmogelijk’. Wie een uur investeert in het schrijven van malware voor Windows, kan na die zestig minuten 90,82 procent van alle pc’s wereldwijd infecteren. Investeren we diezelfde tijd in malware voor Linux, dan kunnen we daarna slechts 1,57 procent van alle pc’s besmetten. Met het samentrekken van de besturingssystemen van pc’s, mobiele apparaten en Xbox, wordt dit effect alleen maar vergroot. Bovendien hebben softwareontwikkelaars (mede door deze plotselinge groei van hun markt) momenteel veel haast om hun apps te ontwikkelen, waarbij security gemakkelijk uit het oog verloren wordt. We zien ook dat de app store van Windows de drukte niet goed aan kan. De controle op apps is op z’n zachtst gezegd zwak. En zelfs als die na verloop van tijd verbetert, dan nog is het een groot probleem dat apps ook buiten de officiële store om gedownload kunnen worden. Dan heeft men helemaal geen controle over de veiligheid van de apps.

turnIng off encrypted traffIc InspectIon for performance?

We have a better Idea. IntroducIng the fastest fIrebox ever. ®

Encrypted traffic is exploding worldwide. That’s why WatchGuard has released two new security appliances that deliver unprecedented speed – the Firebox M400 and M500. In fact, the M500 is 61% faster than the competition with all layers of security turned on – and 149% faster for capacity-intensive HTTPS inspection.* Now you have the power to amp up network performance without sacrificing security strength. Never compromise security. Step up to the new Firebox. Contact us today at: [email protected] or call +31 (0)70 711 20 85

Eddy Willems, security-specialist van G DATA Copyright © 2015 WatchGuard Technologies, Inc. All Rights Reserved. * Report TB141118, Miercom, 2014, http://bit.ly/1yBAXGV

12


13

BEURS

Infosecurty.nl 4 en 5 november:

‘ZONDER CONTENT GEEN BEURSVLOER’

‘Op 13 en 14 oktober organiseert Reed Exhibition Companies de beurs Infosecurity.nl in de Jaarbeurs in Utrecht. Deze beveiligingsbeurs wordt voor de eerste keer in Nederland georganiseerd, waarbij ongeveer zeventig (inter)nationale bedrijven en organisaties hun nieuwste producten op het gebied van beveiliging introduceren of tentoonstellen. Na drie succesvolle beursjaren in Engeland komt Europa’s grootste evenement over informatiebeveiliging dit najaar ook naar Nederland’. Zo was in september 1999 te lezen in het persbericht dat gepubliceerd werd in vakbladen en op websites. “Zet de huidige invulling van de beurzen Infosecurity.nl, Storage Expo en Tooling Event naast die van een paar jaar geleden en je ziet een enorm verschil in wat de exposanten op de beurs brengen en wat de bezoekers verwachten. Laat staan als je een vergelijking zou maken met de allereerste Infosecurity van 1999.” Aan het woord is Ivo Meertens, brandmanager van Jaarbeurs IT Media en sinds tien jaar betrokken bij dit jaarlijkse event. Infosecurity Magazine sprak met Meertens in de aanloop naar de komende editie van deze grootste Nederlandse IT-beurs. Meertens vertelt gloedvol over de enorme stappen die de beurs in de afgelopen jaren heeft gezet. “De Jaarbeurs blijft haar beurzen continu ontwikkelen. Dankzij het consequent inzetten van (markt)onderzoek naar wat er leeft bij de exposant,

14

de bezoeker en sinds de samensmelting tussen Marqit en Computable ook de (online) lezer, kunnen we goed inspelen op de laatste trends en in veel gevallen zelfs trendsettend zijn.” Dat heeft geresulteerd in een vakbeurs voor IT-professionals waar jaarlijks zo’n 8.000 bezoekers ruim de tijd voor nemen. EXPOROUTE WERKTE ALS KATALYSATOR “Een van de belangrijkste bouwstenen voor het succes van deze IT PRO-beurs is de Exporoute van Marqit geweest. De Exporoute - een module om bezoekers en exposanten te matchen - was al een aantal jaren in beeld op het moment dat de Jaarbeurs in gesprek ging om the Tooling Event, waarvan Marqit de sales deed, samen te organiseren met Infosecurity.nl en

Ivo Meertens

De bezoekersregistratie voor de beurzen is inmiddels geopend. Toegang is gratis via de beurswebsites: www.infosecurity.nl | www.storage-expo.nl | www.thetoolingevent.nl

Storage Expo. Marqit werkte indertijd al volop aan deze online tool om zo de koppeling tot stand te brengen tussen content (met haar white papers), de exposanten en de beursbezoekers. Vandaag de dag zie je dat ruim 70% van de bezoekers van onze IT-beurzen gebruikmaakt van wat inmiddels is gaan heten: MyExpo. Niet alleen Infosecurity.nl, Storage Expo en the Tooling Event maar ook ICT&Logistiek, Logistica, Overheid 360, Zorg & ICT en NOT (de Onderwijsbeurs met een forse IT-component) bieden MyExpo aan. De bezoeker komt dankzij MyExpo op een snelle en soepele manier aan zijn informatie en de exposant kan die informatie gericht leveren en krijgt de salesleads als het ware ongefilterd op een presenteerblaadje aangereikt.” Naast de bijna revolutionaire technische mogelijkheden om de bezoekers aan de exposanten te koppelen, springt ook de groei van het lezingenprogramma op de beurs in het oog. Ivo Meertens kan deze groei wel verklaren: “Bezoekers willen naast het netwerken vooral geïnformeerd worden door specialisten uit het vak. En dat biedt Jaarbeurs IT Media de bezoekers.” Hij vervolgt: “Ga maar na, tien jaar geleden was het aandeel van het lezingenprogramma nog beperkt. Er waren toen een paar theaters die vaak matig gevuld waren. En nu staan er maar liefst dertien theaters met in totaal 200 tracks die in de meeste gevallen helemaal vol zitten met geïnteresseerde bezoekers. Exposanten zien deze ontwikkeling als een enorme kans om hun (potentiële) klanten nuttige informatie te verstrekken om daarna op de stand persoonlijk verder te praten.”

De Jaarbeurs is volop in ontwikkeling

COMPUTING EVERYWHERE “Ook het aanbod van de exposanten aan de bezoekers is enorm veranderd”, aldus Meertens. ”De traditionele storage aanbieders groeien bijvoorbeeld door naar aanbieders van cloud oplossingen en ook vraagt cyber crime om een specifieke aanpak. We vertrekken in de communicatie - waarbij we uiteraard gebruikmaken van beschikbare Social Media kanalen - dan ook steeds meer vanuit de verschillende thema’s binnen de merken Infosecurity.nl, Storage Expo en the Tooling Event. De komende editie van 4 en 5 november heeft als overkoepelend thema meegekregen: Computing Everywhere.” Gartner heeft Computing Everywhere uitgeroepen tot de trend van 2015. Volgens het onderzoeksbureau is de definitie van Computing Everywhere: het samenkomen van diverse technologieën die onze levenservaring fundamenteel veranderen. “Het gaat daarbij verder dan alleen het automatiseren van dingen: de technologieën bieden een uitbreiding voor onze interactie met de fysieke wereld. Computing Everywhere is in wezen de overtreffende trap van the Internet of Things, waarbij de verbinding van en interactie tussen mobiele apparaten centraal staat. Het draait allemaal om mobiliteit en cloud, maar hoe zit het met de privacy en security?” Er zijn zeven thema’s gedefinieerd: Enterprise Mobility; Cloud Computing; Datacenter & Infrastructure Optimisation; Data Growth & Storage Capacity; Privacy, Governance & Risk Management; Cyber Security en IT Service Management & Control. STARTUPS KRIJGEN DE AANDACHT DIE ZE VERDIENEN In nauwe samenwerking met Computable krijgen dit jaar de Startups de nodige

aandacht die ze verdienen. Op de vooravond van de beurzen vindt de Computable Awards avond plaats in de Jaarbeurs. Dit jaar wordt een nieuwe Award geïntroduceerd voor beste Startup. “De beursvloer kan eenvoudigweg niet zonder de inhoudelijke content”, stelt de brand manager van de Jaarbeurs. “De sy-

nergie die ontstaat tussen de beursvloer en de theaters werkt zo goed, dat we jaarlijks tevreden bezoekers en tevreden exposanten blijven houden.” Jos Raaphorst is uitgever van Infosecurity Magazine

HIGHLIGHTS SEMINARS • Rob van Kranenburg is de oprichter van Council. Dit is een hub voor het bespreken, uitvoeren en implementeren van het Internet of Things. Daarnaast heeft hij een boek geschreven over the Internet of Things. Een stapje verder dan Internet of Things is Computing Everywhere (het thema van onze beurs) en daar gaat hij het tijdens zijn keynote over hebben. Met leuke voorbeelden maakt hij het publiek duidelijk wat Computing Everywhere is en welke rol dit speelt in het bedrijfsleven. • Als belangrijkste internetknooppunt van Nederland speelt AMS-IX een bijzonder belangrijke rol binnen Computing Everywhere. Mark Cooper geeft in zijn keynote de visie weer van AMS-IX op alle zeven thema’s van de beurs. Zijn verhaal zal meer gaan over de rol die AMS-IX speelt binnen en de relatie die AMS-IX heeft met Enterprise Mobility, Data Growth & Storage Capacity, Cloud Computing, IT Service Management & Control en Datacenter & Infrastructure Optimisation. Daarnaast vertelt Cooper over de visie van AMS-IX op de thema’s Cyber Security en Privacy, Governance & Risk Management. • Tijdens dit seminar vertelt Amazon Web Services meer over de techniek achter het commerciële model. Wat is de visie van Amazon Web Services op de ontwikkelingen van web of cloud services en hoe heeft dit effect op de toekomstige IT binnen bedrijven? • De titel van het seminar van Bruce Wynn zegt eigenlijk al genoeg: Hacking you, your computer, your organization and your information. Tijdens zijn presentatie geeft hij een ‘live stageshow’ gebaseerd op een echte hacking campagne door partijen binnen het Syrische Conflict. • Niels Basjes vertelt tijdens de gecombineerde beurzen over de manier waarop Bol.com big data inzet. Hij zorgt daarbij voor technische diepgang door te bespreken hoe big data-oplossingen de karakteristieken van de onderliggende hardware gebruiken en wat dit betekent voor de architectuur van de applicaties en algoritmes die daarop draaien. Aan het eind van de presentatie weet de bezoeker waarom niemand een SAN gebruikt om data op te slaan wanneer zij een echt big data systeem hebben draaien. • En zoals elk jaar vindt ook weer de Hacking Challenge plaats op beide dagen van de beurs. Tijdens dit seminar, waarvoor men zich zowel als deelnemer en als bezoeker kan opgeven, leer je denken als een hacker. INFOSECURITY MAGAZINE - NR. 3 - SEPTEMBER 2015

15

BEURS

Van 6 tot en met 8 oktober in Neurenberg

IT-SA

IN NEURENBERG PLATFORM VOOR WERELDSPELERS ÉN STARTUPS Begin oktober vindt in Neurenberg weer de security-beurs IT-SA plaats. Hoewel wellicht wat minder bekend dan de Infosecurity, is de Duitse beurs inmiddels uitgegroeid tot het in omvang derde evenement van Europa op het gebied van IT-security. Alle reden dus om tussen 6 en 8 oktober een of twee dagen naar Neurenberg af te reizen. Elke tweede ondernemer werd in de afgelopen twee jaar door digitale economische spionage, sabotage of gegevensdiefstal getroffen. Dat is het resultaat van een door de Duitse belangenorganisatie Bitkom in juli 2015 gehouden onderzoek. Op de IT-SA, één van ’s werelds grootste

vakbeurzen betreffende IT-beveiliging, tonen van 6 tot en met 8 oktober exposanten uit tal van landen hoe zakelijke IT-omgevingen effectief beschermd kunnen worden. In het beurscentrum van Neurenberg kunnen security managers en security-specialisten, maar ook busi-

ness managers zich laten informeren over nieuwe ontwikkelingen over onderwerpen als het versleutelen van gegevens, het beschermen van netwerken tegen afluisteren of de vraag hoe zij medewerkers binnen de organisatie kunnen attenderen op digitale gevaren. STRENGERE WETGEVING In Duitsland neemt met de onlangs van kracht geworden IT-beveiligingswet de druk toe op ondernemingen die aanvallers in het vizier krijgen, waarbij we ook de strenge privacy-wetgeving niet mogen vergeten. In Nederland zien we een vergelijkbare trend waarbij door aangescherpte wetgeving aan ondernemers – en dus ook security managers – steeds meer eisen aan de beveiligingsaanpak van bedrijven en organisaties worden gesteld. Vragen over de betekenis van de nieuwe Europese wetgeving, die voorziet in minimum standaarden en een meldplicht voor beveiligingsincidenten in talrijke branches, zullen ongetwijfeld voor heel gespreksstof op de IT-SA zorgen. TRENDBAROMETER De IT-beveiligingsbranche profiteert van de wereldwijd voortschrijdende digitalisering en een groeiende vraag naar IT-beveiligingsoplossingen. Ook een blik op de stand van aanmeldingen voor de IT-SA 2015 laat dat zien. Met meer dan 330 exposanten lag deze net voor de zomer (juli) vergeleken met dezelfde periode van vorig jaar duidelijk op een hoger niveau. Een overzicht van de exposanten is hier te vinden: www.it-sa.de/ exhibitors-products. Gevestigde aanbieders zoals CenterTools, Computacenter of NCP zijn aanwezig, net zo goed als innovatieve startende bedrijven. Ook een aantal Nederlandse security-firma’s neemt deel aan het evenement. “De IT-SA heeft in Europa als beurs vaste voet aan de grond gekregen. Er wordt informatie verstrekt over alle vragen over IT-beveili-

16

ging. Daarmee is het evenement ook een trendbarometer voor de gehele IT-beveiligingsmarkt. Vertegenwoordigers van wereldwijde ondernemingen vinden hier net zo goed passende oplossingen voor hun IT-beveiliging als managers van midden- en kleinbedrijven”, stelt beursmanager Frank Venjakob van de NürnbergMesse. SPECIALE SECTIES VOOR IAM EN DATACENTER Naast APT-bescherming (Advanced Persistent Threat) en VPN-oplossingen (Virtual Private Networks) bieden de speciale secties ‘Data Center Plus’ en ‘IAM Area’, evenals ‘Campus@it-sa’ en ‘Startups@it-sa’ de bezoeker mogelijkheden om zich te oriënteren. Dit jaar is extra veel ruimte beschikbaar gesteld voor jonge, innovatieve bedrijven. “Zo snel als bedreigingen veranderen, zo dynamisch reageert de IT-beveiligingsbranche”, licht Venjakob de ononderbroken groei op de IT-beveiligingsmarkt toe.

NIEUW OP IT-SA: WEBTOOL EN APP Voor de IT-SA 2015 lanceert de NürnbergMesse twee planningstools om het bezoeken van de beurs van 6 tot en met 8 oktober snel en efficiënt te kunnen plannen. De tool is beschikbaar als een webapplicatie en als mobiele app. OPEN FORUMS Drie open forums maken het de bezoeker mogelijk om zich op de IT-SA te laten informeren op het gebied van trends en nieuwe oplossingen. Tijdens de gehele beurs biedt het forumprogramma korte voordrachten van vijftien minuten over actuele vragen, nieuwe technologische ontwikkelingen en het beheren van veilige IT-infrastructuren. Tot de hoogtepunten rekent de organisatie een door Bitkom georganiseerde reeks over het beveiligen van datacenters. In de forums vinden ook Engelstalige presentaties plaats, evenals live hacking-demonstraties.

Op de website van de beurs is het complete programma beschikbaar. Individuele voordrachten van exposanten en congresthema’s kunnen daarmee worden genoteerd, bij anderen worden aanbevolen en direct in de eigen digitale kalender worden overgenomen. De planningshulp is op te vragen via: www.it-sa.de/programme. Met de app betreffende de it-sa 2015 is naast de mobiele website, voor de eerste keer een praktische helper beschikbaar voor smartphone en tablet. Via een volle tekst zoekopdracht vindt de app exposanten en producten. De zoekresultaten kunnen als notitielijst worden opgeslagen en in het hallenoverzicht worden getoond. De app is beschikbaar voor iOS en Android: www.it-sa.de/app.


17

MARKT

Van traditionele silo-aanpak naar geïntegreerde aanpak

‘PREVENTIE

VAN CYBERCRIME VOLSTAAT NIET MEER’ “Het is niet de vraag of, maar wanneer een bedrijf te maken krijgt met kwaadwillende aanvallen. Het is daarom verstandig om te kijken naar de maatregelen die je als organisatie treft”, stelt managing director Pieter Lacroix van beveiligingsbedrijf Sophos. “De huidige wereld met een diversiteit aan security oplossingen zal steeds minder volstaan. Organisaties hebben een geïntegreerde aanpak nodig om zeker te weten dat ze veilig zijn.”

“De markt denkt nog te veel in silo’s. Organisaties beveiligen hun netwerk, mailserver, cloudapplicaties en endpoints en kiezen daarvoor telkens de best-of-breed oplossing. Dat leidt tot een diversiteit van tien tot twintig verschillende security oplossingen”, aldus Lacroix. “Dit is niet alleen kostbaar, het creëert ook minder overzicht. Daarnaast denkt een organisatie veilig te zijn met zoveel

oplossingen, maar eigenlijk lopen ze juist risico. Omdat er een overlap zit in de oplossingen kan het gebeuren dat er gaten ontstaan of downtime.” Door te kiezen voor een integrale security oplossing worden niet alleen kosten bespaard, maar verbetert ook de beveiliging. Het is van belang dat dreigingen op een endpoint worden gezien in het netwerk en vice versa. Hierbij hoeven op zichzelf staande activiteiten niet op te vallen, maar als ze op meerdere plaatsen in de IT-omgeving voorkomen wel. Door systemen met elkaar te integreren, kan er informatie uitwisseling plaatsvinden die securitysystemen beter laat presteren. Het moet een actief systeem zijn dat niet alleen preventief werkt, maar ook indringers detecteert en daar automatisch op reageert.” NIEUWE AANPAK “Om de traditionele silo-aanpak te kunnen veranderen, hebben we het huidige gedachtegoed en de gebruikelijke tools en processen aan de kant geschoven”, zegt Lacroix. “Daarvoor zijn wij terug gegaan naar de basis en hebben gekeken naar hoe de ideale situatie van security er uit zou zien indien men zich niet zou hoeven bekommeren om bestaande zaken.” Lacroix vervolgt: “Als je altijd maar beredeneert wat je kent, kom je nooit tot revolutionaire inzichten. De cybercrimelen worden tenslotte steeds creatiever.” Dus ontwikkelde Sophos een productstrategie waarbij de network security- en endpoint securitypijlers met elkaar communiceren. “Je kunt dat het beste vergelijken met de inzet van een beveiligingsteam voor je organisatie. Je geeft de ene bewaker een knuppel, de ander krijgt een paar handboeien en nog een ander bedient de camera’s. Het enige wat dan nog mist, is die drie een radio te geven zodat ze met elkaar kunnen communiceren en hierdoor een optimale beveiliging kunnen bieden.” Volgens Lacroix moeten we af van het beschermen van eindpunten, en moeten we naar de bescherming van de gebruiker. “In onze huidige digitale economie is het delen van informatie cruciaal geworden. Daarbij mag het er niet meer toe doen met welke apparatuur die informa-

18

'Organisaties hebben een geïntegreerde aanpak nodig om zeker te weten dat ze veilig zijn' tie wordt opgevraagd en bekeken, maar gaat het er om welke informatie inzichtelijk is en hoe daarmee wordt omgegaan. Ook afhankelijk van locatie.” Als de gebruiker centraal wordt gesteld, zijn gebruikersprofielen onmisbaar. User based profiles bepalen welke informatie een gebruiker mag inzien, of en hoe die informatie gedeeld mag worden en of er encryptie moet worden toegepast. “Door de ontwikkeling die de laatste jaren in de hard- en softwarewereld heeft plaatsgevonden, is encryptie niet langer van invloed op de snelheid of de gebruikerservaring. We zien in de markt dan ook steeds meer dat de encryptie standaard staat ingeschakeld.”

STAPSGEWIJS VERANDEREN Lacroix benadrukt nogmaals dat integratie van systemen cruciaal is voor een goede beveiliging. “Veel organisaties hebben geïnvesteerd in oplossingen en hebben te maken met bestaande afspraken en contracten. Het is dan ook niet realistisch om te denken dat klanten van voren af aan beginnen. Maar af en toe een stap terug doen uit de huidige situatie om te bekijken wat wel en niet werkt, en wat de ideale situatie voor hen is, wel. De overgang naar een geïntegreerde oplossing is prima stapsgewijs te maken. Uiteindelijk gaat het erom, hoe meer een organisatie kan samenbrengen, hoe meer samenhang er tussen de systemen komt, des te veiliger het bedrijf is.”


19

OPLEIDINGEN

CERTIFICERING

GOEDE VOORBEREIDING OP MELDPLICHT DATALEKKEN De meldplicht datalekken is feitelijk een voorproefje van de nieuwe EU-privacyverordering. De meldplicht is een driedubbele meldplicht en kan leiden tot dubbele boetes. Er moet vooral rekening worden gehouden met boetes voor gebrekkig privacybeleid. Wanneer en aan wie moet je melden? En wat moet je doen om boetes te voorkomen? Per 1 januari 2016 treden de aanpassingen van de Wet Bescherming Persoonsgegevens (WBP) in werking. De WBP geldt voor iedereen die beroeps- of bedrijfsmatig informatie over personen bijhoudt. Niet alleen wordt in de vernieuwde WBP voortaan een meldplicht datalekken geïntroduceerd. Ook de boetebevoegdheden van het College Bescherming Persoonsgegevens worden flink uitgebreid. Het CBP wordt in de wet omgedoopt tot ‘Autoriteit Persoonsgegevens’ (APg). Een boete kan oplopen tot 810.000 euro of anders maximaal 10% van de jaaromzet, als de APg een nog hogere boete passender vindt. Een APg-boete staat los van de overige kosten van privacyproblemen (reputatieschade, reparatie-inspanningen, individuele schadevergoeding, eventuele juridische kosten). De aanduiding ‘meldplicht datalekken’ is niet de juridische term. In de wettekst wordt gesproken van een ‘inbreuk op de beveiliging’ wat een vertaling is van het Engelse security breach. Er moet sprake zijn van het doorbreken van informatiebeveiliging, van buitenaf (hackers) of van binnenuit – bijvoorbeeld omdat iemand, ondanks de beveiligingsafspraken, toch een koffertje met cliëntdossiers in de trein laat liggen. Wie in het geheel geen beveiliging heeft of zich daar veel te gemakkelijk vanaf heeft gemaakt, maakt het al helemaal te bont. De meldplicht is een driedubbele meldplicht omdat óf moet worden gemeld aan de APg óf aan gedupeerden (waarbij advies moet worden gegeven over tegenmaatregelen) óf aan allebei. Het is belangrijk om aan de hand van privacy impact assessment op het incident, goed te bepalen óf en welke van de meldplichten van toepassing is. Want de WBP kent 20

ook melddrempels: niet alles hoeft te worden gemeld. Daarnaast is er snelheid nodig, want de wet geeft aan dat meldingen ‘onverwijld’ moeten worden gedaan. Het boeterisico is dubbel omdat op verzuim van een meldplicht al in aanmerking komt voor de hoogste boete. Maar vooral rijst de vraag of u ook in aanmerking komt voor een boete voor gebrekkig privacy management. Het datalek kan aanleiding geven tot onderzoek door de APg naar uw informatiebeveiligingsbeleid. Maar informatiebeveiliging is nog maar één van de tien kernverplichtingen van de WBP. Het APg-onderzoek kan zich daarom uitbreiden naar de andere kernverplichtingen, zoals onderzoek naar de ‘proportionaliteit’ van uw gegevensverwerking. Bij good privacy governance valt u niets te verwijten, want u waarborgt dat gegevens steeds behoorlijk, zorgvuldig en in overeenstemming met de wet worden verwerkt. Good governance blijkt met name uit een coherente privacy management aanpak, de betrokkenheid van een Data Protection Officer (‘privacyaccountant’) conform het wettelijke profiel en informatiebeveiligingsbeleid dat is gebaseerd op ISO 27000. Een eerste indicatie dat iemand geschikt is als DPO, is dat hij/zij gecertificeerd is door de internationale organisatie van privacy professionals IAPP. IAPP heeft een drietal certificeringen (CIPP/E, CIPM en CIPT) en worden erkend onder ISO 17024. Deze trainingen kunnen bij TSTC in Veenendaal gevolgd worden. TSTC is een gerenommeerd IT-opleidingsinstituut en erkend specialist in informatiebeveiliging en cybersecuritytrainingen.

CIPP/E Certified Information Privacy Professional Europe CIPP/E is dé Europese standaard op het gebied van privacy certificering. Met een CIPP certificering toont u aan kennis te hebben van zowel globale als specifieke regionale weten regelgeving in privacy en dataprotectie. Hiermee onderscheidt u zich niet alleen van andere professionals maar toont uw organisatie tevens zijn betrokkenheid aan bij deze voor klanten belangrijke thema’s. CIPM Certified Information Privacy Manager Waar CIPP/E alles leert over Europese en lokale weten regelgeving, leert u in de CIPM training hoe u deze binnen een organisatie toepast in een privacy officer of manager rol. Dit maakt CIPM in combinatie met CIPP/E ook een geschikte keus wanneer u de rol van Functionaris Gegevensbescherming (FG) nastreeft. CIPT Certified Information Privacy Technologist CIPT is dé internationaal erkende certificering op het gebied van privacy voor technology professionals. Bij deze training leert u data privacy te waarborgen op alle niveaus van IT-product en service lifecycles. TSTC is Official Training Partner van IAPP

4 & 5 NOV 2015 JAARBEURS UTRECHT VAKBEURZEN, SEMINARS EN ONLINE MATCHMAKING VOOR IT-MANAGERS EN IT-PROFESSIONALS

IT SECURITY

STORAGE

IT MANAGEMENT SOLUTIONS

THEMA 2015: COMPUTING EVERYWHERE Cloud Computing

Cyber Security

Data Center & Infrastructure Optimisation

Data Growth & Storage Capacity

Enterprise Mobility

ITSM & Control

Privacy Governance & Risk Management

REGISTREER NU VOOR GRATIS TOEGANG: WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NL KEYNOTES | SEMINARS | CASE STUDIES | RUIM 150 EXPOSANTEN Mede mogelĳk gemaakt door:

Hoofdmediapartner:

Sergej Katus is trainer/consultant Privacy bij TSTC INFOSECURITY MAGAZINE - NR. 3 - SEPTEMBER 2015

21

E-BOOK

5

belangrijkste HACKER-eigenschappen

Dé ethische hacker bestaat niet. Zoveel specialismen, zoveel unieke kennis en expertise. Toch valt een korte profielschets wel op te stellen. En is een goede, eerste indruk zo gemaakt.

KUNDIG

1 2

PRINCIPIEEL

Ethische hackers kunnen programmeren. Ze weten hoe je code schrijft en hoe je bijvoorbeeld een website of app ontwikkelt. Ook gedegen expertise van een of meerdere platforms is in huis. Of het nu gaat om Linux, Windows of iOS, een ethische hacker weet hoe die technologie in elkaar zit.

3 4

Ethische hackers staan voor hun zaak. Ze hechten erg aan een veilige (digitale) wereld. En kijken daarom ook kritisch naar alles wat speelt rondom online privacy met een gezonde achterdocht. Gewoon, omdat hackers dat nu eenmaal belangrijk vinden. Een beetje ethische hacker heeft een mening.

BETROKKEN Bovendien zorgen juist die principes voor een gedreven houding. Ethische hackers zoeken verder waar anderen stoppen. Daarbij acteren ze soms op de grenzen van de wet en de ethiek. Dat zorgt wel eens voor dilemma’s. Maar uiteindelijk wint de integriteit en betrokkenheid.

NIEUWSGIERIG De allerbelangrijkste eigenschap van de ethische hacker. Puzzelen, ontsleutelen, op zoek naar het onbekende. Uiteindelijk tot de kern van de zaak willen komen. Niet altijd eenvoudig, wel zo uitdagend.

TEAMSPELER Menigeen denkt dat hackers ‘einzelgängers’ zijn. Dat is een groot misverstand. Ze zijn verantwoordelijk voor hun eigen werk én dat van de ander. Zo staan ethische hackers samen voor een knap staaltje teamwerk. Het liefst zoeken ze elkaar (virtueel) op om samen de puzzel op te lossen.

5 Deze karakterschets is opgesteld door Senior specialist informatiebeveiliging Marinus Kuivenhoven van Sogeti.

24


25

VISIE

Neem acht weldoordachte maatregelen

POINT OF CONTROL

VOOR EEN VEILIGE IT-INFRASTRUCTUUR

Het applicatielandschap verandert snel en wordt steeds diverser. Applicaties draaien vanuit public clouds, private clouds en hybrid clouds. Gebruikers bevinden zich overal en werken met uiteenlopende devices. Deze ‘application economy’ brengt grote veiligheidsrisico’s met zich mee en bedrijven worden dan ook steeds vaker slachtoffer van cybercrime. Hoe waarborgt u de beveiliging van uw vertrouwelijke bedrijfsinformatie? Een aanpak die ook wel ‘Point of Control’ wordt genoemd kan hierbij helpen.

Hackers worden steeds slimmer in het vinden van manieren om een bedrijfsnetwerk te infiltreren. Het is daarom van groot belang om kwetsbaarheden op alle niveaus te minimaliseren. Binnen ION-IP is een zogeheten Point of Control-benadering ontwikkeld, die voorziet in een integrale security-aanpak. Deze manier van werken bestaat uit een aantal verschillende elementen, die telkens terug te voeren zijn naar de centrale plaats waar applicaties en gebruikers samen komen: het Point of Control. POLICIES AFDWINGEN Het Point of Control biedt de mogelijkheid om op één centrale plaats de security en performance policies af te dwingen op verkeersstromen, met als voordeel: • een eenvoudiger beheer • lagere kosten • een beter inzicht in wat zich in het netwerk afspeelt Hierbij dient het type dienstverlening dat de organisatie zijn klanten en relaties biedt centraal te staan, met het daaraan gerelateerde gebruik van applicaties. Bedrijven als banken en verzekeraars, reisorganisaties of webwinkels hebben veel klanten die gebruik maken van online-diensten. Dit soort organisaties loopt andere beveiligingsrisico’s dan bijvoorbeeld bedrijven in de maakindustrie en zal dus ook andere (lees: extra) security maatregelen moeten treffen. In alle gevallen begint het echter met de basis: het beveiligen van de IT-infrastructuur. VAN REACTIEF NAAR PROACTIEF Leveranciers van security-oplossingen reageren op de toenemende bedreigingen met telkens weer nieuwe producten. Vaak zijn dit echter reactieve oplossingen en is het kwaad in feite al geschied. Veel belangrijker is het om maatregelen te nemen waarmee u aanvallen kunt voorkomen. Bij een op basis van een Point of

24

Michael Bachman

Control beveiligde infrastructuur gaan we uit van een aantal aspecten die minimaal geadresseerd moeten zijn: 1. Inspecteer alle verkeer tussen gebruikers en applicaties – Het gebruik van applicaties vergroot het risico dat malware binnendringt en vertrouwelijke informatie weglekt. Met het filteren op poortniveau, zoals traditionele firewalls doen, wordt malware die via applicaties binnenkomt niet zichtbaar. Het filteren op applicatieniveau is dan ook een must. Elke applicatie kent zijn eigen risicoprofiel. Om deze risico’s te minimaliseren is het belangrijk om security policies op applicatieniveau op te stellen en toe te passen. Door de applicaties die in het netwerk draaien - en de eigenschappen die daarbij horen - te analyseren, kan zichtbaar gemaakt worden welke toegestane, maar ook welke niet-toegestane applicaties zich in het netwerk bevinden. Op die manier kan malware worden herkend en kunnen verdachte bestanden eerst worden getest alvorens deze wel of niet worden toegelaten. 2. Inspecteer al het verkeer tussen applicaties onderling – Bedrijfsprocessen vinden tegenwoordig niet alleen plaats binnen één applicatie, maar worden vaak door meerdere applicaties ondersteund. Er vindt continu dataverkeer plaats tussen webservers, applicatieservers en databaseservers. Dit maakt dat kwaadwillenden zich eenvoudig toegang kunnen verschaffen tot de databaseservers, waar zich vaak de ‘kroonjuwelen’ van een organisatie bevinden. De informatiestromen tussen de applicaties onderling zijn dus minstens zo belangrijk om te monitoren en om inzicht te krijgen in mogelijke verstoringen en beveiligingsrisico’s. 3. Inspecteer het verkeer tussen applicaties óók in de virtuele netwerklaag (SDN) – Software Defined Networking (SDN) biedt veel vrijheid om snel en eenvoudig nieuwe applicaties te implementeren. Steeds meer organisaties gaan gebruik maken van SDN om flexibeler in te kunnen spelen op snel veranderende marktomstandigheden. Een Software Defined Datacenter (SDDC) brengt echter ook nieuwe risico’s met zich mee. Bescherm virtuele netwerken daarom ook virtueel. Dit kan gebeuren door ook de

'Of u nu een handvol computers beheert, of duizenden servers over de hele wereld, een doordacht plan voor vulnerability management (VM) is altijd een must' securitylaag te virtualiseren, waarmee ook alle verkeer in de virtuele netwerklaag kan worden geïnspecteerd. 4. Zorg voor gebruikersauthenticatie via één centrale plaats – Het gebruik van passwords als toegang tot applicaties kent veel risico’s. Wachtwoorden zijn eenvoudig te achterhalen en ook het regelmatig wijzigen ervan is niet meer afdoende. Het is daarom belangrijk om sterke authenticatie af te dwingen bij de gebruikers. Maak hierbij gebruik van een krachtige authenticatie die via één centrale plek wordt geregeld. Dit is eenvoudiger in beheer, flexibeler, goedkoper en veiliger. Daarnaast kan hiermee gemakkelijker worden voldaan aan compliancy-eisen. 5. Geef gebruikers context-aware toegang tot applicaties – Trends als Bring Your Own Device (BYOD) en mobility hebben ertoe geleid dat steeds meer medewerkers altijd en overal en vanaf elke device toegang hebben tot het bedrijfsnetwerk. Maar hoe voorkomen we dat kwaadwillenden zich op deze manier toegang verschaffen tot het bedrijfsnetwerk? De context van de gebruiker zegt veel over zijn (al dan niet kwaadwillende) intenties. In het Point of Control kunnen centraal dynamische access control lijsten (ACL’s) worden gemaakt op basis van de gebruikersidentiteit en de groep, het type apparaat en de beveiligingssituatie, locatie, IP-adres en een groot aantal andere criteria. Op basis van deze lijsten kunnen we security policies opstellen die er voor zorgen dat toegang wordt geweigerd zodra één van de policies wordt overschreden. 6. Bescherm gebruikers tegen Unknown Malware – Zogeheten ‘unknown malware’ vormt de grootste bedreiging voor elke organisatie. De hoeveelheid nieuwe unknown malware stijgt razendsnel. Tegelijkertijd duurt het steeds lan-

ger voordat nieuwe unknown malware als zodanig herkend wordt, waardoor hackers steeds meer tijd hebben om binnen te komen en om waardevolle bedrijfsinformatie te verkrijgen. Om dit tegen te gaan, is een meerlaagse set aan maatregelen nodig die er gezamenlijk voor zorgt dat het risico zo klein mogelijk wordt. Deze ‘meertrapsraket’ bestaande uit onder andere URL filtering, SSL-inspectie en Threat Prevention zorgt ervoor dat de gehele keten van kwetsbaarheden die de hacker tot zijn beschikking heeft om binnen te komen, maximaal wordt beveiligd. 7. Zorg voor veilige (e-mail) bestandsuitwisseling – Voor het uitwisselen van grote bestanden wordt vaak gebruik gemaakt van cloudapplicaties als WeTransfer, Yousendit en Dropbox. Maar waar blijft deze data nadat het verstuurd is? Hoe goed zijn deze applicaties beveiligd? En hoe veilig is het standaard e-mailpakket? We moeten er dus voor zorgen dat we grip houden op uitwisselen van intellectual property en - dus - kiezen voor een veilig alternatief. Niet alleen voor human to human ook voor machine to machine informatie-uitwisseling. 8. Creëer inzicht in de informatiestromen – Door inzicht te creëren in de informatiestromen kunnen we bedreigingen en kwetsbaarheden vroegtijdig identificeren en voorkomen. Maar hiermee kunnen we ook achteraf terugzien waar een incident heeft plaatsgevonden en hoe dit tot stand is gekomen. Zorg daarom voor een platform van dashboards dat realtime laat zien wat zich in het netwerk afspeelt. Dit biedt tevens de mogelijkheid om optimale performance te garanderen en te voldoen aan de steeds strengere compliancy-eisen. Michael Bachman is directeur van ION-IP


25

E-BOOK

EFFECTIEF VULNERABILITY

MANAGEMENT IN ZES STAPPEN Weet u wat de mogelijke risico’s zijn voor uw bedrijfsnetwerk en hoe u kwetsbaarheden daarin te lijf gaat? Of u nu een handvol computers beheert, of duizenden servers over de hele wereld, een doordacht plan voor vulnerability management (VM) is altijd een must. De basis daarvoor is al in zes stappen te leggen. Dat laat cloudbeveiligingsspecialist Qualys opnieuw zien in de tweede editie van ‘Vulnerability Management for Dummies’, die onlangs uitkwam.

STAP 1: VOER EEN SYSTEEMANALYSE UIT Allereerst is het van belang te weten welke assets (servers, desktops, mobiele devices, enzovoorts) onderdeel zijn van de infrastructuur en wie verantwoordelijk zijn voor het beheer daarvan. Het belangrijkste doel van deze eerste stap is de computersystemen te ordenen op basis van de rol die ze spelen in het bedrijf en zo een nulmeting vast te stellen. Meestal begint de analyse met een VMscan. De VM-oplossing creëert een database met daarin alle computersystemen en netwerkdevices met een IP-adres. Computersystemen verbonden met het internet zijn de eerste waar hackers hun pijlen op richten en moeten dus ook de eerste zijn waar u naar kijkt. STAP 2: BEPAAL UW BEVEILIGINGSSTATUS Welke kwetsbaarheden zich in uw netwerk bevinden, is op twee manieren te onderzoeken. Een eenmalige scan levert een snapshot van de beveiligingsstatus van uw computersystemen op een bepaald moment. Met een scan die structureel draait, kunt u bijhouden hoe snel patches en software-updates toegepast worden en ziet u hoe de beveiligingsstatus verbetert. Beide scans verlopen in twee stappen. Eerst gebruikt de scanner zijn database met kwetsbaarheden om computersystemen, diensten en applicaties te analyseren op bekende gaten in de beveiliging. Een postscan brengt vervolgens prioriteit aan en biedt informatie voor het installeren van patches en updates. STAP 3: AAN DE SLAG MET DE SCANRESULTATEN Alle kwetsbaarheden tegelijk oplossen is onmogelijk. Een functionele VM-workflow bepaalt automatisch welke issues het belangrijkst zijn en de grootste gevolgen voor uw bedrijfskritische syste-

26

men hebben. Waar moet u precies op letten bij de scanresultaten? Ze moeten uitgebreid, specifiek en makkelijk te begrijpen zijn. Verder mogen ze geen fout-positieven (kwetsbaarheid ten onrechte gedetecteerd) en fout-negatieven (kwetsbaarheid aanwezig, maar niet gedetecteerd) bevatten. Fout-positieven vertroebelen namelijk uw scanresultaten met kwetsbaarheden die niet overeenkomen met de assets in uw netwerk, en ze achterhalen is daarom verspilde moeite. Fout-negatieven zijn minder goed zichtbaar, maar vormen wel een enorm risico op misbruik door hackers. STAP 4: FIX DE KWETSBAARHEDEN Gelukkig lossen de grote softwareleveranciers regelmatig kwetsbaarheden op in hun producten en testen ze nieuwe versies uitvoerig. Updates van besturingssystemen, internetbrowsers en standaard applicaties moeten dus volledig transparant voor u zijn. Heeft u echter specifieke instellingen, die de softwareleverancier niet meeneemt in zijn testen, of applicaties die op maat gemaakt zijn, dan is het raadzaam patches te pre-testen vóór u ze toepast op live systemen. Toe aan het ‘echte’ patchen? Deze drie tips helpen: • Herstel kwetsbaarheden zo snel mogelijk en minimaliseer risico’s door de patches toe te passen op volgorde van prioriteit, zoals u die heeft bepaald in stap 3. • Kies voor geautomatiseerde patch-management- en softwaredistributie-oplossingen. Deze zijn essentieel voor alle omgevingen – behalve de kleinste – bij het stroomlijnen van het patchproces en om de kosten zo laag mogelijk te houden. Zulke tools zijn in staat software terug te zetten naar een eerdere status en garanderen dat uw bedrijf de juiste softwareversies efficiënt gebruikt. • Integreer patch-management met andere geautomatiseerde VM-processen. STAP 5: BLIJF UP-TO-DATE Nu alles op orde is, is het zaak altijd de beveiligingsstatus van uw bedrijfsnetwerk in de gaten te houden. De rapportages die uw VM-oplossing genereert, tonen u precies die informatie die u nodig heeft. Ze helpen u alle betrokkenen te informeren, zoals managers van de IT-af-

'Of u nu een handvol computers beheert, of duizenden servers over de hele wereld, een doordacht plan voor vulnerability management (VM) is altijd een must' deling, compliance officers en auditors. Voorbeelden van zulke rapportages zijn: • dashboards, waarin u in één oogopslag een overzicht krijgt; • samenvatting van kwetsbaarheden; • analyse van bedreigingen, die voor elk device in het netwerk specifieke bedreigingen weergeeft; • patchrapportage; • SSL-certificatenbeheer; • compliance-rapportages. STAP 6: BLIJF HERHALEN (EN RAPPORTEREN) Continu vulnerability management betekent dat de voorgaande vijf stappen een doorlopend proces zijn. Om drie redenen is dat noodzakelijk. Ten eerste zijn bedrijfsnetwerken de laatste jaren veel complexer geworden en veranderen ze nagenoeg iedere dag. Voor cybercriminelen is het aantrekkelijk om tussen twee scans in te spelen op net nieuwe kwetsbaarheden en het netwerk binnen te dringen. In de tweede plaats worden er elke dag nieuwe kwetsbaarheden in software voor devices en applicaties ontdekt, nog een bron van bedreigingen die met de minuut verandert. En als laatste profiteren hackers van de kracht van de cloud en parallel computing om continu kwetsbaarheden in uw netwerk en systemen te scannen en aan te vallen. Soms zelfs zo snel dat u geen tijd heeft te reageren. In dit nieuwe tijdperk van cybercriminaliteit is het echt een race tegen de klok: wie identificeert en patcht kwetsbaarheden het snelst? EN DAN: EEN VM-OPLOSSING KIEZEN De beste keuze is een oplossing die: • een overzicht biedt van uw netwerk en alle devices; • zo veel mogelijk kwetsbaarheden nauwkeurig en efficiënt scant; • duidelijk en uitgebreid rapporteert over scanresultaten;

• • •

• •

het herstelproces bewaakt; test en bevestigt dat kwetsbaarheden opgelost zijn; automatisch accurate en gedetailleerde rapportages genereert om compliancy te checken; helpt deze stappen automatisch te herhalen; u en uw security-team helpt de bad guys altijd een stap voor te zijn.

Deze zes tips zijn slechts een tipje van de sluier van wat ‘Vulnerability Management for Dummies’ u biedt. Qualys bracht onlangs een volledig herziene versie van het boek uit, dat inzicht geeft in hoe u een succesvol vulnerability-management-programma implementeert. Stap voor stap leiden de schrijvers u naar een compleet plan, inclusief continuous monitoring; essentieel in de wereld van IT-beveiliging die altijd in beweging is. Wat kunt u verwachten? • nieuwe inzichten in wat een systeem kwetsbaar maakt en hoe u mogelijke aanvallen opspoort • stappenplan voor automatisch dagelijks, continu scannen van belangrijke netwerkonderdelen voor maximale bescherming • kosteneffectieve best practices die helpen het VM-budget tot een minimum te beperken met cloudgebaseerde onderzoeken naar kwetsbaarheden • VM-tips voor mobiele en gevirtualiseerde omgevingen • tips voor snel herstel, waarmee u urgente kwetsbaarheden effectiever aanpakt U kunt het e-book downloaden via: www.qualys.com/vm-dummies


27

PRAKTIJK

Centraal beheer en monitoren van locaties en werkplekken

GLZ GEMEENTEN

KIEZEN VOOR BARRACUDA NG FIREWALLS Midden in het Hollandse Groene Hart liggen tussen de weilanden schilderachtige dorpen en steden die vallen onder de gemeenten Giessenlanden, Leerdam en Zederik. In 2011 zijn diverse afdelingen van deze gemeenten samengevoegd binnen het Samenwerkingsverband GLZ. Deze samenwerking heeft voor veel veranderingen binnen de afdelingen van de verschillende gemeentes gezorgd. Iedere afdeling valt sinds de samenvoeging onder de verantwoordelijkheid van een van de drie gemeentes. De gemeente Zederik is verantwoordelijk voor de ICT-afdeling, die momenteel bestaat uit

zes systeembeheerders, een adviseur en een ICT-manager. De overige gemeentes hebben dus geen ICT-ers meer in dienst. Om alle gemeentes zo efficiënt mogelijk te ondersteunen biedt de ICT-helpdesk

vanuit Zederik support aan alle medewerkers via het ‘click-call-face’-systeem. Dit houdt in dat er bij problemen eerst contact is via e-mail. Als dat niet volstaat, biedt de ICT-afdeling telefonische ondersteuning en als laatste mogelijkheid komt een ICT-medewerker persoonlijk langs. VAN DRIE NAAR ÉÉN BEHEEROMGEVING Na het samenvoegingstraject werd het beheer van de netwerkinfrastructuur een stuk complexer, omdat vanuit de gemeente Zederik niet één maar drie omgevingen beheerd moesten worden. De

toenmalige firewalls - drie in totaal - voldeden niet meer aan de verwachtingen. De gemeente heeft vervolgens een aanbesteding gedaan om de infrastructuur op orde te krijgen en naar een centrale beheeromgeving over te stappen. De gemeente had een aantal harde eisen gesteld waaraan de nieuwe firewall-oplossing moest voldoen. Erwin Franken, Hoofd ICT, licht toe: “Onze medewerkers moesten in de nieuwe situatie werkplek-onafhankelijk kunnen werken door middel van thin clients. Daarnaast wilden we een omgeving die we zoveel mogelijk zelf konden beheren en nauw betrokken zijn bij de migratie. We wilden vooral niet te afhankelijk meer zijn van de kennis van leveranciers en externen. En uiteraard moest de nieuwe oplossing qua prijs ook aantrekkelijk zijn.” SNELLE EN ADEQUATE SUPPORT TIJDENS MIGRATIE Franken overwoog de firewalls van drie verschillende leveranciers. De keuze viel al snel op de Barracuda NG Firewall, model F380 vanwege de flexibiliteit, de vele beheermogelijkheden in combinatie met een scherpe prijs. Zodra de beslissing was genomen, bracht Barracuda Networks Franken in contact met een aantal resellers. Uiteindelijk koos hij voor managed service provider Tredion ICT & Telecom uit Gorinchem. “Ik was niet bekend met Tredion, maar het eerste contact was goed. Ook speelde hun locatie mee in de uiteindelijke beslissing; ik vind het belangrijk dat het support team binnen een kwartier bij ons op kantoor kan zijn als er iets is.” Tredion installeerde twee Barracuda NG Firewalls, één bij de gemeente Zederik

'De ICT-helpdesk biedt vanuit Zederik support aan alle medewerkers via het ‘clickcall-face’-systeem' en één bij de gemeente Leerdam als uitwijkmogelijkheid. Vervolgens startte het migratieproces naar de nieuwe omgeving, dat slechts een weekend in beslag nam. De migratie zelf verliep succesvol, maar na afloop ontstonden er een aantal issues. Franken legt uit: “De Barracuda NG Firewall scant dieper dan de oude oplossing, wat zorgde voor vertraging op het netwerk. Tredion heeft toen het support team van Barracuda in Oostenrijk ingeschakeld, die het probleem snel heeft onderzocht en aangepakt. Het was voor ons een uitdagende situatie, maar de support vanuit Tredion en Barracuda Networks was zeer adequaat.” MEER CONTROLE OVER HET NETWERK Sinds de overstap naar de Barracuda NG Firewalls, ervaren de systeembeheerders bij de gemeente Zederik veel voordelen ten opzichte van de oude situatie. Franken vertelt: “We hoeven nu slechts één omgeving te beheren, we kunnen internetlijnen bundelen en de bandbreedte eenvoudig per gemeente en afdeling toekennen. Ook kunnen we het bandbreedtegebruik monitoren en zien waar eventuele vertragingen op het netwerk vandaan komen.” Franken is ook heel tevreden over de samenwerking met Tredion: “De gebruikseenvoud van de firewall zorgt ervoor

'We hoeven nu slechts één omgeving te beheren, we kunnen internetlijnen bundelen en de bandbreedte eenvoudig per gemeente en afdeling toekennen' 28

dat we het dagelijks beheer zelf kunnen doen. Maar als we tegen problemen aanlopen, lost Tredion het op vanuit het control center in Gorinchem. Dat control center staat in verbinding met onze firewalls. Zodra de ICT-afdeling iets wijzigt in de instellingen van de firewall dan regelt het control center dat het op beide firewalls wordt doorgevoerd.” SAMENVATTING • 3 gemeentes • 1 ICT-afdeling • 600 medewerkers, 450 werkplekken en 150 mobiele apparaten UITDAGINGEN • Reduceren van het aantal beheeromgevingen van 3 naar 1 • In de oude situatie was het niet altijd duidelijk waar een probleem vandaan kwam en hoe dit opgelost kon worden • De nieuwe oplossing moest flexibel zijn en eenvoudig te beheren door de ICT-afdeling van de gemeente zelf OPLOSSING • 2 x Barracuda NG Firewall F380 RESULTATEN • 1 beheeromgeving voor 3 gemeentes • Meer controle over het beheer • Toekennen van bandbreedte per gebruiker en afdeling • Meer inzicht in bandbreedte gebruik • Bundelen van internetlijnen


29

MACHINE LEARNING

IS MACHINE LEARNING

NIEUWE SLEUTEL TOT BOVENMENSELIJKE KUNSTMATIGE INTELLIGENTIE?

Zou het ooit realiteit worden: HAL 9000 uit 2001: Space Odyssey, Skynet van The Terminator, of de onmenselijke wereld geregeerd door robots in The Matrix? Niemand weet het antwoord op die vraag. Zeker is wel dat wetenschappers al in de jaren vijftig van de vorige eeuw begonnen met onderzoek naar kunstmatige intelligentie. Gelukkig is geen van de hierboven geschetste scenario’s in de afgelopen decennia werkelijkheid geworden. Maar een van de onderzoeksgebieden omtrent kunstmatige intelligentie heeft geresulteerd in een flink aantal zeer succesvolle ontwikkelingen, namelijk: machine learning. Machine learning helpt smartphones om menselijke stemmen te begrijpen, bestuurt auto’s zonder chauffeur, en geeft snelle en relevante antwoorden op onze vragen in zoekmachines.

Machine learning geeft computers de mogelijkheid te leren zonder dat ze expliciet geprogrammeerd hoeven te worden. Dit is te zien in de wereld van de levende wezens: zelfs een klein kind leert dat hij geen hete voorwerpen moet aanraken nadat hij zijn hand gebrand heeft. In de wereld van machines is dit veel lastiger. Machines zijn in staat zeer snel en nauwkeurig geprogrammeerde taken uit te voeren, maar doen dat zonder enige redenering of afweging. Dit is dan ook de reden dat machines ideale tools zijn voor taken als high-performance computing. Machines presteren echter veel minder goed wanneer het niet mogelijk is een

'Zelfs een klein kind leert dat hij geen hete voorwerpen moet aanraken nadat hij zijn hand gebrand heeft' probleem te vertalen naar eenvoudige, logische regels - want zelfs de programmeurs weten niet welke commando’s ze moeten invoeren. Machine learning-oplossingen zijn in staat trends en patronen achter de data te ontdekken met een nauwkeurige schatting. Door data te sorteren en te clusteren kunnen machine learning-algoritmen ook een voorspelling voor de toekomst doen. De twee belangrijkste technieken hierachter zijn: • supervised machine learning: wanneer gebeurtenissen gesorteerd moeten worden in bekende categorieën op basis van voorbeelden van echte gebeurtenissen. • unsupervised machine learning: wanneer ondersteunende voorbeelden niet beschikbaar zijn, en categorieën dus niet bekend, waardoor er dus bijvoorbeeld gesorteerd wordt op basis van gelijkenis of ongelijkheid. Het productaanbevelingssysteem van Amazon en andere webshops is een goed voorbeeld van supervised machine learning. Het geeft gebruikers aanbevelingen voor boeken, cd’s en andere producten - zoals sciencefictionboeken, jazz-cd’s of Hongaarse rodepaprikapoeder - op basis van hun eerdere aankopen of die van vergelijkbare gebruikers. TOP 4 BELOFTEN VAN MACHINE LEARNING VOOR DE IT-SECURITY 1. Herkennen van gehackte accounts door externe aanvallers 2. Opsporen van onbekende externe en interne bedreigingen 3. Ondersteunen van het werk van securityteams en SOC’s door het minimaliseren van het aantal valse alarms 4. Uitbreiden van de IT-security zonder de business te hinderen

30

Dániel Bagó

MACHINE LEARNING IN ITSECURITY Naast de toepassingen hierboven beschreven, wordt machine learning nu ook gebruikt als tool in de wereld van IT-security. De reden is een nieuwe trend: de focus bij beveiliging ligt steeds vaker op het monitoren van gebruikers in plaats van op toegangscontrole en het monitoren van devices. Applicaties gericht op controle kunnen zeer effectief zijn tegen bekende computervirussen en malware, maar bieden bijna geen weerstand tegen wijdverspreide Advanced Persistent Threats (APT’s). Bij een typische APT-aanval maakt een aanvaller gebruik van een zero-day-kwetsbaarheid en installeert hij een keylogger op de computer van een gebruiker. De aanvaller kan nu met de keylogger de inloggegevens van die gebruiker stelen, inloggen in het IT-systeem en vertrouwelijke, zakelijke data downloaden. Aangezien zelfs SIEM-oplossingen niet opgewassen zijn tegen zero-day-kwetsbaarheden, is deze aanval vrijwel niet op te sporen en nagenoeg onmogelijk te voorkomen. Dit is de reden dat steeds meer IT-securitybedrijven hun eigen User Behavior Analytics-oplossingen (UBA) ontwikkelen. GEDRAGSANALYSES IN DE PRAKTIJK Het concept achter UBA-oplossingen is heel eenvoudig. Net zoals ouders hun kinderen van elkaar kunnen onderscheiden aan de hand van hoe ze lopen, is UBA-software in staat gebruikers te herkennen op basis van specifieke eigenschappen en te bepalen of ze iets vreemds doen - zelfs als de persoon achter het gebruikersaccount een externe aanvaller is die de geldige inloggegevens van de gebruiker gestolen heeft. UBA-oplossingen beschikken over een grote hoeveelheid data om ongebruikelijke activiteit op te sporen, zoals inlogtijdstip en -plaats, schermresolutie en besturingssysteem van het device, een

TOP 8 TOEPASSINGEN OP BASIS VAN MACHINE LEARNING: 1. Zoekmachines 2. Auto’s zonder bestuurder 3. Stemherkenning 4. Productaanbevelingssystemen in webshops 5. Spamfilters 6. Handschriftherkenning 7. Machine vision 8. Gezichtsherkenning op digitale camera’s

MACHINE LEARNING VERSUS DATAMINING - WAT IS HET VERSCHIL? Machine learning wordt meestal ingezet voor het doen van voorspellingen op basis van bekende data en om onbekende overeenkomsten in datalijnen te ontdekken. Machine learning is een van de favoriete methoden van dataminers.

lijst van regelmatig gebruikte applicaties en protocollen, en typesnelheid. Hoewel deze data vrijwel nutteloos is voor traditionele beveiligingstools, kunnen UBA-oplossingen met machine learning deze datamassa omzetten in bruikbare inzichten. Het analyseren van gebruikersgedrag heeft ook andere praktische toepassingen, naast het tegenhouden van aanvallers. Werknemers die het bedrijf verlaten, verzamelen vaak grote hoeveelheden vertrouwelijke, zakelijke data - zoals broncodes of klantgegevens die hij of zij wil gebruiken in zijn of haar nieuwe baan - en slaan ze vóór vertrek op op een usbstick. Omdat dit gedrag op basis van hun gebruikersprofiel is gecategoriseerd als ongebruikelijk, stuurt een UBA-oplossing een melding naar het securityteam. De tool bewaart de gegevens van deze gebeurtenis, zodat de werkgever juridisch bewijs heeft indien nodig. Zo kan voorkomen worden dat gevoelige data het pand verlaat en onrechtmatig gebruikt wordt. En dat kan een hoop problemen voorkomen Dániel Bagó is Product Marketing Manager of Blindspotter bij BalaBit


31

ONDERZOEK

Onderzoek Safety & Security Amsterdam-beurs:

INTEGRATIE

VAN FYSIEKE BEVEILIGING EN IT-SECURITY DRINGEND GEWENST Onderzoek onder IT-beveiligers laat zien dat een integrale benadering van fysieke beveiliging en IT-security niet alleen onontkoombaar is, maar ook dringend gewenst. Het onderzoek - in opdracht van de vakbeurs Safety & Security Amsterdam - is uitgevoerd door Pb7 Research. Komt deze samenwerking niet van de grond, dan lopen bedrijven en overheidsinstellingen onverantwoord grote risico’s, waarschuwt directeur Peter Vermeulen van Pb7. Safety Security Amsterdam (SSA) vindt plaats van 22 tot en met 24 september in Amsterdam RAI. Beursmanager Nynke Lipsius: “Eén van de belangrijkste topics op de vakbeurs is ‘IT-security’. Onze exposanten bieden een breed scala aan geïntegreerde oplossingen. We introduceren dit jaar bovendien het SSA InnovationLAB, een podium voor vernieuwing. In het SSA Solutions-theater delen managers en ondernemers hun ervaringen over de totaaloplossingen die zij gebruiken. Zeer interessant voor andere managers en ondernemers die zoeken naar oplossingen voor hun eigen situatie.” “We zijn dus ook heel nadrukkelijk bezig met de ontwikkeling van het vakgebied van de fysieke beveiliging. Daarbij zien we ook steeds vaker dat er een koppeling wordt gelegd tussen fysieke bevei-

32

liging en IT-security. We wilden graag meer weten over die ontwikkeling. Vandaar dat we Pb7 Research gevraagd hebben hier onderzoek naar te doen. Uit dit onderzoek komt een duidelijke conclusie naar voren: integratie tussen beide disciplines is van cruciaal belang. Organisaties die hier niet actief op inspelen, nemen grote risico’s.” SECURITY-INCIDENTEN “Vrijwel iedere organisatie heeft ieder jaar met security-incidenten te maken”, vertelt Peter Vermeulen van Pb7 Research. “Soms wordt ingebroken in een kantoor, in andere gevallen proberen criminelen bedrijfsgegevens langs digitale weg te ontvreemden. Hoewel er veel weten regelgeving is om de werkplek in fysieke zin veilig te maken, blijkt dat juist

op het gebied van de digitale beveiliging de meeste incidenten plaatsvinden en er wat wetgeving betreft nog wel wat werk ligt. We zeggen wel eens gekscherend ‘IT-beveiliging is te belangrijk geworden om het alleen aan IT over te laten’, maar dat is natuurlijk wel waar.” Uit het onderzoek voor de SSA-beurs blijkt dat steeds meer Nederlandse bedrijven en overheidsinstellingen de noodzaak van integratie van IT-security en fysieke beveiliging onderkennen. Maar liefst 82 procent vindt het belangrijk of zelfs zeer belangrijk dat beide vormen van beveiliging deel uitmaken van een integrale aanpak. En nog eens 80 procent is van mening dat het (zeer) belangrijk is dat beide disciplines nauw met elkaar samenwerken. Er zijn maar weinig respondenten die goede redenen zien om niet nauw samen te werken. Veelal blijkt de bestaande scheiding tussen fysieke beveiligers en IT-security vooral historisch te zijn gegroeid. INTEGRALE PLANNEN Vermeulen: “Dat is een veelbelovend resultaat. Maar ondanks alle goede intenties blijkt echter maar één op de twee ondervraagde organisaties (53 procent) te beschikken over een integraal plan met betrekking tot het voorkomen van en handelen bij veiligheidsincidenten in de breedste zin van het woord. Met andere woorden: een plan waarbij voor ieder willekeurig veiligheidsincident zowel naar de fysieke beveiliging als de IT-security wordt gekeken. Heeft men wél een dergelijk plan, dan maakt in de meeste gevallen IT-beveiliging daar wel deel van uit.” Als we het over samenwerken hebben, denken respondenten vooral aan de fysieke bescherming van de IT-apparatuur. Met andere woorden: hoe voorkomen we dat apparatuur wordt gestolen? Dat geldt niet alleen voor apparatuur in het datacenter, maar ook voor IT-systemen op de

Figuur 1

SAFETY & SECURITY AMSTERDAM IN RAI AMSTERDAM Safety & Security Amsterdam (SSA) 2015 is een belangrijke vakbeurs voor beveiliging en (brand)veiligheid. Het evenement vindt plaats in de RAI Amsterdam van 22 tot en met 24 september. Dit jaar zal heel duidelijk zichtbaar zijn hoe belangrijk de integratie van fysieke beveiliging en IT-security is. Met voorregistratie is SSA gratis te bezoeken, anders zijn de kosten € 50,bij de entree. Kijk voor meer informatie op www.safetysecurityamsterdam.nl.

Figuur 2

'IT-beveiliging is te belangrijk geworden om het alleen aan IT over te laten'

werkplek én voor de mobiele apparaten (laptops, tablets, smartphones) waarmee de medewerkers werken. Hierbij denkt men eerst aan toegangsbewaking en pas in tweede instantie aan brandpreventie. Maar ook bij calamiteiten zullen de verschillende typen beveiligers (fysiek én IT) met elkaar moeten samenwerken. Omgekeerd zijn fysieke beveiligers steeds meer gebruik gaan maken van IT-hulpmiddelen en zijn ze afhankelijk geworden van een goede werking daarvan.

kijken naar de verschillen, hebben we in het onderzoek vooral gevraagd wat beide groepen van elkaar zouden kunnen leren. Dat levert een aantal bijzondere inzichten op.” Zo laten veel IT-beveiligers zich in het onderzoek kennen als mensen die zich sterk op de techniek richting. Zeg maar: enigszins ‘nerdy’. “Hoewel het zeker niet voor iedere organisatie geldt, zien IT-beveiligers wel degelijk dat ze veel kunnen leren van fysieke beveiligers. Het gaat dan met name om de gestructureerde en procesmatige aanpak die binnen de fysieke beveiliging wordt gehanteerd en de veelal goed georganiseerde communicatie met medewerkers . Veel IT-beveiligers geven daarentegen aan dat ze geen plannen van aanpak hebben klaarliggen voor bijvoorbeeld een cyberaanval, dat ze niet geregeld op calamiteiten oefenen en dat de afstand tot de gebruiker toch wel erg groot is. Dat zijn allemaal punten waar fysieke beveiligers duidelijk verder zijn dan hun IT-collega’s. Alleen al daarom is een bezoek aan de SSA-beurs zeker de moeite waard”, stelt Vermeulen vast.

VAN ELKAAR LEREN Wat Vermeulen betreft is het ook voor specialisten op het gebied van IT-security belangrijk om de SSA-beurs te bezoeken. Pb7 constateert namelijk dat - ondanks de groeiende afhankelijkheid - de fysieke beveiligers en de specialisten op het gebied van IT-security van elkaar verschillen als dag en nacht. “In plaats van te

TOEGANGSBEVEILIGING IT-beveiligers zijn daarentegen ook van mening dat de fysieke beveiligers nog wel het een en ander van hen zouden kunnen leren. Allereerst vinden zij dat fysieke beveiligers te weinig afwegingen maken met betrekking tot zakelijke belangen: wanneer mag een deur open blijven staan en op grond van welke cri-

teria wordt dit bepaald? Ook constateren IT-beveiligers dat er een gebrek aan structurele toegangsbeveiliging bestaat. Met name het sleutelbeheer is hierbij in hun ogen een heikel punt. Vermeulen: “Een ander punt is het concept ‘secure by design’. Hiermee wordt bedoeld dat veiligheid niet iets is dat achteraf is toegevoegd, maar dat al vanaf het allereerste begin tot de ontwerpdoelstellingen behoorde. Deze manier van werken heeft al zijn intrede bij IT gedaan, maar is in de wereld van de fysieke veiligheid nog een onbekend fenomeen. Tenslotte ziet men dat IT een onlosmakelijk onderdeel is geworden van fysieke beveiliging, maar dat de kennis van deze mogelijkheden vaak onder de maat is.” Hans Vandam is journalist

OVER HET ONDERZOEK In juni 2015 heeft onafhankelijk ICT-onderzoeksbureau Pb7 Research in opdracht van SSA 2015 114 beslissers op het gebied van IT-beveiliging ondervraagd met behulp van een webgebaseerde survey. Het doel van het onderzoek was het in kaart brengen van de afhankelijkheid van IT-beveiliging en fysieke beveiliging, om beide nader tot elkaar te laten komen en ze te uitnodigen om zich in elkaars wereld te verdiepen. De resultaten van het onderzoek worden tijdens Safety Security Amsterdam 2015 aan het publiek gepresenteerd.


33

SURVEY

WAAROM

VERTROUWEN WIJ DE OVERHEID NIET MET ONZE GEGEVENS? Nederlanders hebben maar weinig vertrouwen in de overheid als het op de bescherming van hun persoonlijke gegevens aankomt. Maar liefst 69% van de bevolking verwacht dat hun persoonlijke gegevens die bij de overheid staan het komende jaar op enig moment door onbevoegden worden ingezien. Dat blijkt uit cijfers van de Unisys Security Insight Survey, een wereldwijd onderzoek naar cybersecurity. Nederland scoort opvallend hoog op dit punt vergeleken met andere landen. Hoe komt dit? Zijn we zo’n wantrouwig volkje of heeft de overheid zijn beveiliging niet op orde? Met de score van 70% staat Nederland met voorsprong op nummer één op de internationale lijst. In Duitsland (de nummer twee) vindt 61% van de bevolking dat persoonlijke gegevens niet veilig zijn bij de overheid en in landen als Spanje en Groot-Brittannië gaat het om ongeveer de helft van de bevolking (respectievelijk 56% en 49%). Hoe valt deze opvallende discrepantie te verklaren? “Het is zeker zo dat Nederlanders tot de meest veiligheidsbewuste volken van Europa behoren”, zegt Jim Vlaming, Client Executive & Thought Leader Security bij Unisys. “Daarnaast hebben Nederlanders blijkbaar het minst vertrouwen in de overheid als het gaat om afscherming van hun persoonlijke gegevens voor onbevoegden. Hierbij gaat het niet alleen om hackers maar ook om ambtenaren of tijdelijke

werknemers die onnodig toegang kunnen krijgen tot persoonlijke gegevens. Blijkbaar hebben Nederlanders negatieve ervaringen op dat gebied en zijn zij alert op berichtgeving over het lekken van persoonlijke gegevens. Zo kwam verleden maand nog naar buiten dat hackers vertrouwelijke gegevens van ongeveer 21 miljoen Amerikanen hebben gestolen van de Amerikaanse overheid. Om het vertrouwen van de Nederlandse bevolking te winnen, zal de overheid nog flink wat positieve initiatieven moeten ontplooien en implementeren op het gebied van de beveiliging van onze gegevens.” NIEUWE RISICO’S De beveiligingsrisico’s van grote organisaties als banken en overheden zijn de afgelopen jaren exponentieel gegroeid

in omvang, bereik en complexiteit. Cloud computing, mobiele toegang en social media zorgen voor een verschuiving van de dreigingen en een enorme toename van de uitdagingen voor CIO’s en CSO’s. “Onze traditionele beveiligingsmethoden zijn niet effectief tegen de geavanceerde en volhardende aanvallen op zakelijke en publieke netwerken. Informatiebeveiliging in een dergelijke vijandige omgeving heeft een geïntegreerde beveiligingsstrategie nodig, met een proactieve benadering om ook de gevaren van morgen het hoofd te kunnen bieden”, stelt Vlaming. SYMPTOOMBESTRIJDING De onlangs door de Eerste Kamer aangenomen meldplicht datalekken is weliswaar een goede zaak, maar nog lang niet afdoende volgens Vlaming. Dit wetsvoorstel voegt aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Maar dat laat de bron van het probleem ongemoeid. Zo zijn de Nederlandse ge-

meenten verantwoordelijk voor beheer en afscherming van onze identiteitsgegevens, maar zijn zij wel voldoende voorbereid op de nieuwe beveiligingsrisico’s? Vlaming: “Een meldplicht is mooi, maar in wezen niet meer dan symptoombestrijding. Er is vaak geen goede monitoring van de systemen en geen realtime beveiligingsoplossing die waarschuwt en direct actie onderneemt wanneer bijvoorbeeld hackers toegang hebben verkregen tot gegevens. Zo is de kans natuurlijk groot dat je altijd achter de feiten aan zult lopen.” DIGID IS EEN STAP IN DE GOEDE RICHTING Betekent dit dat de Nederlandse overheid op alle vlakken tekort schiet als het op de beveiliging van onze gegevens aankomt? Gelukkig niet: uit het onderzoek blijkt weliswaar dat Nederlanders een beveiliging met een gebruikersnaam en wachtwoord onvoldoende veilig achten, maar 71% van de Nederlanders heeft toch vertrouwen in de beveiliging van de digitale toegang tot overheidsdiensten met hun gebruikersnaam en wachtwoord. “Dat komt vooral doordat de overheid gebruikmaakt van DigiD”, zegt Vlaming. “Nederlanders ervaren DigiD als een veilige manier om persoonlijke gegevens door te geven en dat komt vooral omdat DigiD een beveiligde verbinding opzet en onze privacy borgt. Zo worden er geen NAW-gegevens (naam, adres, woonplaats) doorgegeven over personen, maar alleen een Burgerservicenummer. We maken ons pas zorgen over onze gegevens vanaf het moment dat ze bij de overheid bekend zijn. Hoewel DigiD een stap in de goede richting is, zou de overheid nog een aantal extra stappen moeten zetten om te garanderen dat onze gegevens ook veilig zijn vanaf het moment dat ze op de systemen van de overheid staan, zoals het monitoren van de toegang tot de gegevens en het onzichtbaar en ontraceerbaar maken van onze privacygevoelige gegevens voor hackers en andere onbevoegden.” OOK DE FINANCIËLE SECTOR WORDT ARGWANEND BEKEKEN Overigens is de overheid niet de enige organisatie die nog winst kan boeken op het gebied van vertrouwen. Nederlanders kijken ook met de nodige zorgen naar online bankieren. De helft van de

34

bevolking vindt de huidige beveiliging met gebruikersnaam en wachtwoord van de banken onvoldoende. “Voor de financiële sector is deze uitkomst een goede motivator om hun inspanningen op dit vlak voort te zetten”, zegt Vlaming. “De belangrijkste waarde in deze sector is immers het vertrouwen. Veiligheid is daarbij een van de belangrijkste onderwerpen. Alle reden om te laten zien dat dit goed geregeld is en hier is nog veel werk te verzetten.” Het vertrouwen dat de financiële sector persoonlijke gegevens goed afschermt voor onbevoegden is in Nederland wederom lager dan in andere landen. Samen met Duitsland hebben inwoners van ons land het minste vertrouwen in bescherming van hun persoonlijke gegevens door deze sector. Maar liefst 64% van de ondervraagden geeft aan dat ze verwachten dat hun gegevens in het komende jaar ingezien worden door onbevoegden. Ter vergelijking: in Groot-Brittannië en de Verenigde Staten denkt slechts 33% dat dit zal gebeuren. WAT KAN DE OVERHEID DOEN OM HET VERTROUWEN TE HERSTELLEN? Volgens Vlaming doet de overheid er goed aan de beveiligingsmaatregelen voortdurend up-to-date te houden en dit ook inzichtelijk te maken voor de burger: “Dit vergroot niet alleen de daadwerkelijke veiligheid, maar ook het vertrouwen van de burgers in de overheid. Het begint allemaal met het zekerstellen van de identiteit van iemand die toegang wil tot persoonlijke gegevens. Hiervoor zijn nieuwe authenticatiemethoden aan een opmars bezig, zoals het scannen van vingerafdrukken. Dat is veiliger dan de verouderde manier van gebruikersnaam en wachtwoord authenticatie en bovendien een stuk gebruiksvriendelijker. We zullen biometrische authenticatie de komende tijd dan ook steeds vaker toegepast zien worden. Niet alleen in de financiële wereld, maar ook bij andere bedrijfstakken en de overheid. Denk bijvoorbeeld aan de openbare orde en veiligheidssector: een hulpverlener, politieagent of militair die onderweg snel toegang moet krijgen tot cruciale informatie, kan zich sneller aanmelden via een smartwatch die zijn unieke hartslag meet, dan wanneer hij of zij zou moeten stoppen om een ge-

OVER UNISYS SECURITY INSIGHTS Unisys Security Insights is een wereldwijd onderzoek dat inzicht biedt in de houding van consumenten in een brede reeks veiligheidsgerelateerde onderwerpen. Lieberman Research Group vroeg bijna 11.000 consumenten in twaalf landen naar hun mening. In Nederland hebben 509 personen van 18 jaar en ouder meegewerkt aan het telefonische onderzoek van 11 tot en met 22 mei 2015. Kijk voor meer informatie op: www. unisys.com/unisyssecurityinsights OVER UNISYS Unisys is wereldwijd actief in IT-diensten en -oplossingen. De organisatie biedt een portfolio aan ICT-diensten, software en technologie welke bedrijfskritische problemen bij klanten helpt oplossen. Unisys is er in gespecialiseerd om klanten te helpen bij de beveiliging van hun operationele activiteiten, de efficiëntie en het gebruik van datacenters te verhogen, ondersteuning van hun eindgebruikers te verbeteren en bedrijfsapplicaties te moderniseren. Om deze diensten en oplossingen te kunnen bieden, biedt Unisys diensten in outsourcing en systeemintegratie, maar levert ook adviezen, infrastructuur services, onderhoudsservices, en servertechnologie. Met meer dan 22.000 werknemers bedient Unisys commerciële bedrijven en overheidsinstellingen over de hele wereld. Bezoek voor meer informatie www.unisys.nl of volg Unisys op Twitter.

bruiksnaam en wachtwoord in te voeren. Daarnaast vind ik dat de overheid er zo snel mogelijk voor dient te zorgen dat de systemen met privacygevoelige gegevens dag en nacht gemonitord worden en dat er direct kan worden gereageerd op ongeregeldheden. Wanneer de overheid dit zichtbaar kan maken voor de Nederlandse burger, zal het op den duur wel goedkomen met haar veiligheidsimago.”


35

SERIOUS GAME

Resultaten serious game Alcatraz Insite Security en Infosecurity Magazine

GAME

BRENGT VERBETERPOTENTIEEL SNEL IN KAART Insite Security heeft de Serious Game Alcatraz ontwikkeld om het beveiligingsbewustzijn van medewerkers en organisaties te verhogen en daarmee het draagvlak voor informatieveiligheid te vergroten. De game die in juni is gespeeld, laat een aantal opmerkelijke resultaten zien. Tijdens de Serious Game Alcatraz geven de deelnemers scores voor de huidige en de gewenste situatie over een aantal informatiebeveiligingsonderwerpen. Daarmee komen vaak opmerkelijke verschillen boven water tussen de huidige en de gewenste situatie. Tijdens de game die Insite Security en Infosecurity Magazine net voor de zomer organiseerden, gaven de deelnemers de huidige situatie van informatieveiligheid gemiddeld een 5,6. De score voor de gewenste situatie ligt een stuk hoger: gemiddeld 7,6. Het grootste verbeterpotentieel is te vinden op het gebied van het melden van (bijna)incidenten. De rol van het management wordt door de deelnemers van de workshop beoordeeld met een 5,9. De rol van managers kan verder worden versterkt door het laten zien van voorbeeldgedrag. Het onderdeel ‘Organisatie’ scoort het laagst met een 4,9. De organi-

satievisie op informatiebeveiliging scoort daarentegen net een voldoende: een 5,9. Het spelen van Alcatraz werd door de deelnemers als zeer positief ervaren. De methodiek van serious gaming spreekt aan en is een goede start om aan de slag te gaan met het verhogen van het beveiligingsbewustzijn binnen de eigen organisatie. RUIME VOLDOENDE Tijdens de game krijgen de deelnemers stellingen voorgelegd, op het gebied van Organisatie, Management en Medewerker (zie kader ‘Serious Game Alcatraz’). De deelnemers dienen de huidige en de gewenste situatie een rapportcijfer te geven. De overall gemiddelde score voor de huidige situatie is nipt voldoende met een 5,6. De overall gemiddelde score voor de gewenste situatie ligt een stuk hoger met een 7,6. We zien hierbij dat de

Figuur 1. Gemiddelde score

36

deelnemers de huidige situatie van de dimensie Organisatie een onvoldoende geven. De dimensies Management en Medewerker scoren voor de huidige situatie een voldoende. Op alle dimensies geven de deelnemers de gewenste score een ruime voldoende, dat wil zeggen dat zij het belangrijk vinden dat de informatieveiligheid goed is geregeld. De interpretatie van deze cijfers volgt verderop. Daarnaast zullen per dimensie ook de meeste opvallende scores worden besproken. In de grafiek ‘verbeterbalans’ (figuur 2) is te zien welke van de O2M-dimensies (Organisatie, Management en Medewerker) het belangrijkst wordt gevonden door de deelnemers. Hierbij komt naar voren dat het verbeterpotentieel met name ligt op de dimensie Organisatie. •

Organisatie - Deze dimensie omvat onderwerpen zoals beleid en het melden van incidenten. Gemiddeld genomen werd er relatief het laagst gescoord op de dimensie Organisatie. De huidige score is een 4,9 en de gewenste score een 7,8. Dit wil zeggen dat er veel verbeterpotentieel is.

•

•

Het belangrijkste verbeterpotentieel binnen deze dimensie is te vinden op het gebied van melden van incidenten. De gemiddelde huidige score is een 4,0 en de gewenste score een 7,6. Kernwoorden: visie en incidenten informatieveiligheid Management - Deze dimensie omvat onderwerpen zoals wijzen op risico’s en de voorbeeldfunctie van de leidinggevende. Gemiddeld genomen werd er relatief goed gescoord op de dimensie Management. De huidige score is een 5,9 en de gewenste score een 7,4. Het belangrijkste verbeterpotentieel binnen deze dimensie is te vinden op de voorbeeldrol van de leidinggevende. De deelnemers geven het management daarvoor een 5.0, waarbij de gewenste score 7,1 is. Kernwoorden: voorbeeldgedrag, risico’s Medewerker - Deze dimensie omvat onderwerpen zoals introductie en cultuur van de medewerkers. De huidige gemiddelde score is een

SERIOUS GAME ALCATRAZ Insite Security heeft de Serious Game Alcatraz ontwikkeld om deelnemers aan de slag te laten gaan met het thema informatieveiligheid om het bewustzijn verder te verhogen. In een spelsituatie op het gevangeniseiland Alcatraz worden de deelnemers uitgedaagd om kleur te bekennen aan de hand van stellingen op het gebied van informatieveiligheid. Tijdens de game wordt gewerkt aan het herkennen van risico’s binnen de eigen organisatie. Zo worden deelnemers actief betrokken bij het vervolg en ontstaat er draagvlak voor verbeteringen. Tijdens de game krijgen de deelnemers stellingen voorgelegd, op het gebied van Organisatie, Management en Medewerker. De deelnemers dienen de huidige en de gewenste situatie een rapportcijfer te geven. De game is gespeeld tijdens de bijeenkomst met twee tafels met acht deelnemers. Er is gespeeld in gemixte groepen. De houding om de game te spelen was open en positief. Tijdens de game was de discussie levendig en de sfeer erg goed.

6,1 en de gewenste score een 7,7. Het ondersteunen van nieuwe medewerkers krijgt van de deelnemers een huidige score van 5,3, de gewenste score is een 7,4. Kernwoorden: nieuwe medewerkers, elkaar aanspreken ADVIEZEN De betrokkenheid van deelnemers bij het spelen van de game en in het bijzonder bij het voeren van discussies over de stellingen was opvallend. Deelnemers gaven aan dat de methodiek van serious gaming uitdaagt om over het thema informatieveiligheid te discussiëren en kwetsbaarheden en gedrag bespreekbaar te maken. Door de gemixte samenstelling van de groepen is het lastig om een eenduidig beeld te geven van de oplossingen die benoemd zijn. Hierin komt naar voren dat de deelnemende organisaties erg verschillen qua grootte, problematiek en de ‘security-volwassenheid’. Diverse deelnemers geven aan het thema informatieveiligheid belangrijk te vinden en men geeft aan dat er binnen de eigen organisatie nog te weinig aandacht aan wordt gegeven en als vrijblijvend wordt ervaren. De game wordt als goede tool

ervaren om met medewerkers in gesprek te komen over informatiebeveiliging. De game geeft snel inzicht in waar het verbeterpotentieel ligt binnen de eigen organisatie. Tijdens de discussies en de clou-vragen over bijvoorbeeld ongewenste bezoekers kwam dit sterk als verbeterpunt bij een aantal organisaties naar voren. Om de risico’s van de ongewenste bezoekers te beperken en de medewerkers alert te houden voor beveiligingsincidenten, is ons advies om frequent te werken met praktijktesten. De praktijktesten bestaan uit het versturen van phishing-mails, vrij rondlopende bezoekers, clean desk, rondslingerende USB-sticks en een telefonische aanval. SPEEL MEE! Op dinsdag 24 november kunt u zelf aan de slag met het thema informatieveiligheid. Dan vindt in Amsterdam tussen 15.00 en 17.00 uur een nieuwe editie van Serious Game Alcatraz plaats. Meer weten? Vraag het aan Robbert Hoeffnagel: [email protected]. Aanmelden: www.infosecuritymagazine.nl/alcatraz

Figuur 2. De verbeterbalans INFOSECURITY MAGAZINE - NR. 3 - SEPTEMBER 2015

37

CYBERRISICO

KLEINE BEDRIJVEN

HET VOLGENDE SLACHTOFFER VAN GROTE HACKS Als we de krantenkoppen moeten geloven, hebben hackers het vooral voorzien op grote internationale organisaties. Of het nu Sony of JPMorgan is, ze lijken zich te richten op multinationals met uitgebreide toeleveringsketens waar ze op zoek gaan naar de zwakke plek in het pantser. Maar hun interesse ligt juist steeds meer bij het MKB. De spectaculaire mediaverhalen geven goed weer waar de bedreigingen voor grote ondernemingen liggen. Maar te-

gelijkertijd leidt dit nieuws de aandacht af van het grotere verhaal. Dat gaat over hacks die gericht zijn op kleinere, groei-

ende bedrijven met kwetsbaardere systemen en uiterst waardevolle intellectuele eigendommen. GEBREK AAN ZICHTBAARHEID Volgens een recent onderzoek van Interpolis en Capgemini denkt 71 procent van de ondernemers dat hun bedrijf geen cyberrisico loopt. Een gevaarlijke gedachte, want ondertussen neemt de dreiging toe. Onder andere door het gebrek aan

zichtbaarheid. Hacks van grote bedrijven of instellingen hebben snel de aandacht van politie, justitie en de media. Terwijl cybercriminelen onder de radar kunnen vliegen wanneer ze zich op kleinere bedrijven richten. Zo kunnen ze profiteren van kwetsbaarheden in gemeenschappelijke systemen zoals kassasystemen van retailers of patiëntendossiers van kleine en middelgrote klinieken. Veel kleine bedrijven en organisaties denken dat ze niet groot genoeg zijn om doelwit te worden van een cyberaanval. Maar volgens Visa vertegenwoordigen kleine bedrijven negentig procent van alle zakelijke datalekken. Kleine organisatie slaan namelijk ook waardevolle gegevens op, net zoals grote organisaties dat doen. Denk bijvoorbeeld aan creditcardnummers, medische dossiers, of persoonlijke informatie die bewaard wordt door juridische kantoren en accountants. In sommige gevallen is de MKB’er niet het directe slachtoffer, maar ondervindt hij nog wel schade van een cyberaanval. BEPERKTE BUDGETTEN EN EXPERTISE Hackers scherpen hun methodes voortdurend aan. Zo scannen ze bijvoorbeeld continu geautomatiseerd het internet op zoek naar onbeschermde systemen. Dus zelfs als het slachtoffer geen waardevolle gegevens heeft die het stelen waard zijn, dan nog kan zijn netwerk dienen als onwetende proxy waarover nieuwe aanvallen worden uitgestuurd. Kleine bedrijven en instanties hebben vaak niet de budgetten en expertise in huis om hun software en systemen de beste bescherming te bieden. Uit de meest recente PwC Global State of Information Security Survey blijkt bijvoorbeeld dat kleine ondernemingen (met een omzet van minder dan 100 miljoen dollar) hun security-budgetten in 2014 met twintig procent hebben teruggebracht. Terwijl grote bedrijven dezelfde investering juist met vijf procent hebben verhoogd.

Hacks zijn steeds vaker gericht op kleinere, groeiende bedrijven met kwetsbaardere systemen en uiterst waardevolle intellectuele eigendommen

38

ZWAKKE STANDAARDOPLOSSINGEN Door dit gebrek aan kennis en geld, kiezen MKB’ers er vaak voor hun netwerkbeveiliging te beperken tot een standaard stateful packet filter firewall en signatu-

'Kleine bedrijven en instanties hebben vaak niet de budgetten en expertise in huis om hun software en systemen de beste bescherming te bieden' re-based antivirus. Deze oplossingen blokkeren maar een beperkt deel van de netwerkaanvallen en lopen dagen of zelfs weken achter op de nieuwe zero-day malwarevarianten. En juist deze beperkte beveiliging maakt het MKB een aantrekkelijk doelwit voor de verfijnde en voortdurende veranderende aanvalstechnieken van de hackers van tegenwoordig. Die aanvallen op MKB-bedrijven hebben ook gevolgen voor grotere bedrijven. Hackers weten dat ze hun weg kunnen vinden naar een groter, goed beveiligd doel door te infiltreren in het netwerk van een kleinere supply chain partner. Zo kunnen ze toegang krijgen tot de achterdeur van de grotere systemen. Uit analyse van de aanval op de Amerikaanse winkelketen Target blijkt bijvoorbeeld dat criminelen via een provider van de keten de netwerkreferenties hebben kunnen bemachtigen.

2. Upgrade de firewall Nieuwe cyberbedreigingen zijn veel verfijnder dan die van een jaar geleden. Geavanceerde beveiligingsoplossingen als next-generation firewalls (NGFW) en unified threat management (UTM) zijn ontworpen om het huidige brede scala aan aanvallen tegen te houden, zoals bijvoorbeeld zero-day malware. Deze oplossingen zijn bovendien tegenwoordig betaalbaar en gemakkelijk te managen voor het MKB.

Wat kunnen bedrijven zonder grote IT-afdeling en overeenkomstig budget dan doen om zichzelf te beschermen? Vier tips:

4. Werk aan bewustwording Welke beveiligingstechnieken u ook toepast, werknemers zullen altijd fouten maken. Daarom is het belangrijk hen te trainen in internetveiligheid zodat ze op hun hoede zijn voor bijlagen of links in e-mails, ook als die van mensen komen die ze vertrouwen.

1. Software-updates en patches Meer dan negentig procent van de cyberaanvallen vinden plaatst door fouten in software. In de meeste gevallen heeft de fabrikant die fouten al geadresseerd of opgelost, maar is software van de gebruiker simpelweg nog niet bijgewerkt. Software-updates en patches zijn gratis of relatief goedkoop en de installatie behoeft geen speciale technische kennis. Een strak update- en patchbeleid is een van de meest belangrijke, fundamentele stappen voor de beveiliging. Maak er een gewoonte van om besturingssystemen regelmatig te patchen en installeer firmware-updates voor hardware.

3. Sterk wachtwoordbeleid Voer een streng wachtwoordbeleid in. Natuurlijk is het ook nodig duidelijk te communiceren waaróm dit nodig is. Het gebruik van een password manager is een gemakkelijke manier om werknemers te helpen nieuwe, effectieve wachtwoorden te gebruiken en op regelmatige basis aan te passen.

Door alle verhalen in de media over corporate cyberhacks ontstaat bij sommige MKB’ers wellicht een ‘dat gebeurt mij niet’-houding. Helaas is de realiteit anders en zijn maatregelen wel degelijk noodzakelijk. Corey Nachreiner is CTO bij WatchGuard Technologies


39

INFORMATIEBEVEILIGING

RED TEAM DAAGT ORGANISATIES UIT Denk als een hacker om ze te kunnen verslaan. Dat is de werkwijze van een Red Team bij grote (internationale) organisaties. Het Red Team daagt het complete bedrijf uit alle seinen op rood te zetten als de situatie daarom vraagt. Henk van der Heijden, Managing Director (a.i.) bij beveiligingsexpert Comsec en oprichter van TecHarbor voorspelde het al eerder: veel criminele organisaties hebben de virtuele wereld als hun toneel verkozen. Comsec, een van oorsprong Israëlisch bedrijf dat is gestart in 1987, helpt zijn klanten bij het neerzetten van een veilige digitale infrastructuur met bijbehorende cultuur. In zijn loopbaan heeft Van der Heijden meer dan eens gezien dat aanvallen steeds geraffineerder worden. Hij onderscheidt drie soorten aanvallers. Allereerst de cybercriminelen: mensen die er

alleen maar op uit zijn geld te stelen of via chantage anderen centen afhandig maken. Dan zijn er de ‘hacktivisten’: activisten die vanuit verschillende motieven inbreken in geautomatiseerde systemen. Bijvoorbeeld vanuit een religieuze of politieke overtuiging. En ten slotte is er de cyber warfare: hierbij proberen naties andere landen te ontregelen of op de knieën te dwingen door de (digitale) infrastructuur aan te vallen. “Dit lijkt erg sterk op de traditionele oorlogsvoering; compleet met Red Teams die op onconventionele wijze proberen te bedenken hoe een aanvaller te werk zal gaan, en hoe je je daartegen moet wapenen.”

zend populair: een kleine duizend bezoekers per dag”, aldus Van der Heijden. RED TEAMING IS HET ANTWOORD Hoe moet je je daartegen wapenen? “Inmiddels is ook een deel van de Nederlandse bancaire wereld ervan overtuigd dat Red Teaming het antwoord is, aangezien zij een methode hanteren die het hoger management weet te waarderen. En zonder de welwillendheid van ‘C-level’ is elke cyberoorlog bij voorbaat verloren.”

Ook in de fysieke wereld wordt deze denkwijze toegepast, helaas niet altijd met de juiste bedoelingen. Denk aan de aanvallen op het World Trade Center op 11 september 2001. De Twin Towers in New York werden door de meeste mensen gezien als twee kantoortorens die mede de skyline van de miljoenenstad bepaalden. Een terroristische ‘hacker’ zag echter twee gebouwen die een rol kunnen spelen in het beter op de kaart

Henk van der Heijden

zetten van de ‘islamitische zaak’. Deze hack heeft de wereld op zijn kop gezet. Gelukkig zijn er ook voldoende voorbeelden te noemen van positieve dingen die zijn bereikt door in het hoofd van een hacker te kruipen. Een voorbeeld hiervan is de ontdekking van atleet Fosbury Flop. Voor 1965 sprong een hoogspringer altijd met de borst vooruit en de benen naar onderen over de lat. Maar Flop sprong in dat jaar voor het eerst met zijn rug over de lat waarna hij de benen omhoog slingerde. Sindsdien springt elke atleet op die manier hoog. Een radicaal andere manier van denken, van omgaan met het alledaagse, dat is wat een hacker juist zo onvoorspelbaar en risicovol maakt. REPUTATIESCHADE Henk van der Heijden: “Een Red Team ziet meerdere bedreigingen voor – met name – de bancaire wereld. hacktivisme, bedrijfsspionage, overheidsbemoeienis, terrorisme, en andere criminele ac-

40

“Andere positieve aspecten zijn de focus op het beveiligingsecosysteem van het bedrijf, een gunstige Return on Investment, gerichte aandacht op de kernaspecten van beveiliging, en een ‘agile aanpak’. Met dit laatste wordt bedoeld dat een Red Team breed is samengesteld. Met hooggeschoolde IT-technici die op technisch niveau alles weten van pen testing (penetration testing: inbraakmogelijkheden opsporen), deskundigen die pen testing toepassen op tactisch niveau, in scenario’s kunnen denken en helder met de ‘business’ kunnen communiceren. En ten slotte professionals die op strategisch niveau kwetsbaarheden begrijpen en hoger management kunnen overtuigen van de risico’s en de mogelijke defensie kunnen verklaren”, besluit Van der Heijden.

ANDERS DENKEN Een Red Team is een onafhankelijke groep mensen die de effectiviteit van een organisatie danig op de proef stelt; op zoek naar gaten in de verdediging. De werkwijze is van het leger overgewaaid naar het bedrijfsleven waar de methode wordt toegepast om aanvallen op de digitale schatkist kundig te kunnen pareren.

tiviteiten. Daarbij geldt het risico niet alleen voor de bezittingen van de bank, maar weegt imagoschade tegenwoordig misschien wel zwaarder. Een dag geen internetbankieren als gevolg van een DDoS-aanval doet bijzonder veel afbreuk aan het vertrouwen in het geldbedrijf.” “Het werk van het Red Team is complex. Er is sprake van een oneerlijke strijd: de hackers kunnen zich richten op één zwakke plek, storen zich niet aan landsgrenzen en kennen geen wettelijke beperkingen. De bank daarentegen moet elk mogelijk gaatje ontdekken en dichten, opereert binnen naties en volgt uiteraard vigerende weten regelgeving. Dat een antwoord nodig is, bewijzen de cijfers: in 2013 waren er wereldwijd 47.000 incidenten en 621 digitale inbraken; in 2014 ging het om 63.437 incidenten en 1367 inbraken. Tegenwoordig gaan de exploits schaamteloos over de cybertoonbank. En blijkt een website als 1337day.com, waar dergelijke exploits worden verhandeld, ra-

Teus Molenaar is freelance journalist

Red Teams worden vaak gezien als een verzameling ‘penetration testers’, die zich voornamelijk richten op techniek. Dit is echter een misvatting. Red Teams kijken juist naar het hele ecosysteem en stellen vast welke data en processen absoluut niet mogen worden aangetast, hoe de cultuur is, welke scenario’s je moet doorlopen bij een dreiging. De teams proberen in het hoofd van de hacker te kruipen en het onverwachte toch te voorzien. Het in de praktijk uitproberen van scenario’s kan hierbij veel inzicht geven, maar is in de praktijk helaas niet mogelijk zonder de dagelijkse werkzaamheden zwaar te verstoren. Comsec kan Red Teams ondersteunen om dit gat op te vullen door advies te leveren en als sparring partner mee te denken.


41

DOOR MR. V.A. DE POUS

LEGAL LOOK

MELDPLICHTKLAAR? Trendy ja, nieuw nee. De juridische figuur van een melding van een vaststaande gebeurtenis of onzeker voorval is zo oud als de weg naar Rome. Het begon ooit met afspraken tussen partijen vastgelegd in een overeenkomst. Zo kan een contract bepalen dat wanneer er dit gebeurt of een partij dat wil, er een informatieplicht ontstaat ten overstaan van wederpartij of derde. Wellicht vormen verzekeringsovereenkomsten het ultieme voorbeeld. Schade moet eerst gemeld worden, alvorens een claimprocedure überhaupt start. Maar zelfs in de precontractuele fase hebben partijen een verregaande informatieplicht omtrent zo ongeveer alles wat belangrijk is met het oog op de beoogde overeenkomst, die ze met elkaar willen aangaan. Dat loopt nogal eens fout bij softwareontwikkeling op maat. Nu zien we in toenemende mate de wetgever naar de meldplicht grijpen. Ook die ontwikkeling is nader beschouwd niet nieuw. Wettelijke meldplichten bij schending van staatsgeheimen, bij het verrichten van ongebruikelijke financiële transacties en bijvoorbeeld bij openbaarmaking van koersgevoelige informatie van ten beurze genoteerde bedrijven stammen uit de vorige eeuw. Van recentere datum zijn daarentegen allerlei wetsvoorstellen - van Nederlandse of Europese origine - met betrekking tot het voorschrijven van meldingen bij ICT-gerelateerde incidenten. Van storing tot en met het doorbreken van beveiliging. Een heuse trend. De Eerste Kamer nam onlangs het wetsontwerp meldplicht datalekken aan. Verantwoordelijken, dat zijn overheids-

organisaties en bedrijven die persoonsgegevens verwerken zoals personeelsinformatie en klantgegevens, moeten een ‘lek’ gaan melden. Hierbij gaat het om een incident waarbij kans op verlies of onrechtmatige verwerking van persoonsgegevens bestaat. Maximale boete voor verzuim: tot zegge en schrijve 810.000 euro of tien procent van de omzet Dat liegt er niet om. Dan ligt het voorstel voor de Wet melding inbreuken elektronische informatiesystemen ter tafel. De sleutelbepaling betreft (in tegenstelling tot de Wet meldplicht datalekken) geen ‘brede’ (voor iedereen) maar ‘smalle’ meldplicht, uitsluitend voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving, en alleen als de inbreuk tot gevolg heeft of kan hebben dat die beschikbaarheid of betrouwbaarheid in belangrijke mate wordt onderbroken. Nog een legislatieve blauwdruk. De Europese Commissie werkt sinds 2012 aan de Algemene Verordening Gegevensbescherming (AVG), die uiterlijk volgend jaar onze Wet bescherming persoonsgegevens vervangt. Raad eens. Deze regeling kent tevens een meldplicht en eveneens de geldboete ter grootte van maximaal 810.000 euro. Bingo. Dat belooft wat met big data. Meldplichten beogen veelal preventie. Het voorkomen en beperken van schade of misbruik. Sommigen verwachten mede een maatschappelijke gedragsverandering, bijvoorbeeld dat overheidsorganisatie en bedrijf hun ICT beter gaan beveiligen. Aangescherpte sancties en

strikter toezicht fungeren als modern zwaard van Damocles. Hier regeert de angst. Vandaag zeggen we daarnaast dat transparantie een groot goed is en onmisbaar voor het scheppen van vertrouwen in het maatschappelijk verkeer. Daarin past inderdaad informatievoorziening in soorten en maten, al dan niet van dwingendrechtelijke aard. Meldplichten voor ICT-gerelateerde incidenten vinden hun grondslag in verschillende rechtsgebieden, zoals privacyrecht en telecommunicatierecht. Sommige zijn smal, andere breed. De ene keer moet er uitsluitend aan een van de toezichthouders worden gemeld — College bescherming persoonsgegevens, Agentschap Telecom of National Cyber Security Centrum — de andere keer mede aan betrokkene (degene om wiens persoonsgegevens het gaat). Bovendien volgt wetgeving elkaar soms snel op. De zojuist vastgestelde meldplicht lekken van persoonsgegevens is zelfs nog niet van kracht, maar zal snel het veld ruimen voor de beoogde pan-Europese privacyregeling met directe werking. Dit mag niemand verrassen. Verwarring en aansprakelijkheid trekken in het digitale meldplichtdomein gelijk op met de stijging van de verplichtingen en met de verhoging van administratiefrechtelijke boetes. Wie weet immers inhoudelijk wanneer er precies wat moet worden gemeld en formeel op welke wijze en aan welke partij? En met de exponentiële stijging van geldboetes stijgt de kans op aansprakelijkheid door verzuim. Geen prettig vooruitzicht.

Hoeveel dagen per jaar voelt u zich veilig?

Kent u dat verhaal van die kalkoen die zich het hele jaar veilig voelde? De afloop laat zich raden... Ook op het gebied van IT-security is het verschil tussen veilig voelen en veilig zijn levensgroot. Vandaar onze vraag: hoeveel dagen per jaar voelt u zich veilig? Heeft uw organisatie alles onder controle of loopt u het risico verrast te worden? Sogeti helpt u graag met het

identificeren, verminderen en voorkomen van risico’s. Dankzij onze kennis, ervaring en bewezen aanpak op het gebied van IT-security is uw informatiebeveiliging 365 dagen per jaar op orde. Zodat u zich volledig kunt richten op uw strategische bedrijfsdoelstellingen. Kijk op sogeti.nl/security. Want zolang u zich veilig voelt, bent u het niet.

Security. Uw veiligheid, onze drive. 42


43

PLATFORM VOOR WERELDSPELERS ÉN STARTUPS

Recommend Documents