PRIVACY VAN DE OVERHEID

infosecurity

JAARGANG 13 - JUNI 2014 - WWW.INFOSECURITYMAGAZINE.NL

MAGAZINE

NEDERLANDERS VERWACHTEN

PRIVACY VAN DE OVERHEID

EERSTE OPVALLENDE UITKOMSTEN

NATIONALE IT-SECURITY MONITOR BURGER WANTROUWT BEDRIJVEN - ‘HET INTERNET ZAL TOCH NOOIT VEILIG WORDEN’ - NIEUWE EUROPESE DATABESCHERMINGSWETGEVING - TIEN TIPS VOOR EFFECTIEVE WEBFILTERING - IAM VOOR DE CLOUD EN UIT DE CLOUD - IT GEMEENTE VEERE FLEXIBELER EN VEILIGER - PLATFORM INDUSTRIAL CYBER SECURITY - STOPPING ZERO-DAY EXPLOITS FOR DUMMIES - VUUR MET VUUR BESTRIJDEN VIA ETHICAL HACKING - LEGAL LOOK

g

Colofon - Editorial

Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via [email protected]. Uitgever Jos Raaphorst 06 - 34 73 54 24 [email protected] twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 [email protected] twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel Advertentie-exploitatie Will Manusiwa 06 - 38 06 57 75 [email protected] Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 [email protected]

© 2014 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: www.infosecuritymagazine.nl

2

Radicaal bezig Het veldwerk van de Nationale IT-Security Monitor is afgerond en de eerste analyses zijn gemaakt. In de woorden van Peter Vermeulen, directeur van Pb7 Research, het onderzoeksbureau dat het veldwerk voor de Nationale IT-Security Monitor heeft uitgevoerd, zijn we als Nederland goed bezig op het gebied van IT-security. Drie punten vallen met name op. Dat is allereerst dat security in ons land bijzonder serieus wordt genomen. De meeste organisaties lichten minstens eenmaal per jaar hun IT-beveiligingsplan helemaal door en maken aanpassingen waar nodig. Security - en dat is het tweede punt dat duidelijk opvalt - is echter een ‘moving target’. De ontwikkelingen aan de kant van de cybercriminelen gaan razendsnel en veel organisaties hebben dan ook grote moeite om dit tempo bij te houden. Bovendien zijn overheden zich - terecht - veel meer met cybersecurity gaan bemoeien. Dat heeft bijvoorbeeld geleid tot de Europese Data Protectie Verordening. Voldoen

Hij koppelt daarbij bitcoins aan security. Dat is natuurlijk een opmerkelijke combinatie, aangezien in veel ‘analyses’ bitcoins vooral worden gezien als betaalmiddel voor criminelen. Andreessen - die al veel geld heeft geïnvesteerd in bitcoin-startups - ziet het vooral als een mooi hulpmiddel voor micro-payments. Hij ziet het als oplossing voor (tegen) spam. Stel dat we vanaf nu voor ieder mailtje dat we versturen een zeer klein bedrag in bitcoins moeten betalen. Vergelijkbaar met - zeg - een honderdduizendste eurocent. Voor gewone gebruikers van e-mail levert dat nauwelijks kosten op. Maar kijk eens wat zo’n maatregel voor een spammer zou

Het zijn dit soort radicaal andere ideeën die ons op het gebied van security zullen moeten helpen. aan de eisen die hierin worden gesteld is voor veel bedrijven echter vooralsnog een brug te ver. Het is echter maar de vraag of we voldoende doen - zelfs als we alle conventionele maatregelen nemen en alle beschikbare technische voorzieningen toepassen. De komende maanden gaan we verder met het analyseren van de grote hoeveelheid gegevens die het veldwerk heeft opgeleverd en zullen we nog menig artikel en blog post aan dit thema wijden. Misschien moeten we daarnaast ook gaan kijken naar radicaal andere maatregelen. Marc Andreessen u kent hem vast nog wel van de Netscape browser, maar tegenwoordig is hij vooral bekend van de venture capital-firma Andreessen Horowitz - heeft wat dat betreft een aardig proefballonnetje opgelaten.

betekenen. Die organisaties versturen per dag miljoenen mails. Als voor ieder mailtje betaald moet worden, gaan de kosten zeer sterk oplopen. Het is een onverwacht idee - over bitcoins maar ook als antispam-maatregel. Toch zijn het dit soort radicaal andere ideeën die ons op het gebied van security zullen moeten helpen. Want hoe goed we ook alle klassieke security-maatregelen nemen, het gevoel bekruipt toch steeds meer mensen dat we de strijd met de cybercriminelen eerder aan het verliezen dan aan het winnen zijn. Het lijkt tijd te worden voor radicaal nieuwe ideeën. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine

INFOSECURITY MAGAZINE - NR. 3 - JUNI 2014

3

INHOUD

10 Nieuwe stap tegen cybercrime De strijd tegen cybercrime gaat een volgend hoofdstuk in met de lancering van een nieuwe standaard voor veilige software. De standaard van de onlangs opgerichte Secure Software Foundation helpt ontwikkelaars veilige software te ontwikkelen. Daarnaast biedt de standaard de mogelijkheid de veiligheid van bestaande softwareoplossingen te toetsen. 16 Vuur met vuur bestrijden via ethical hacking Steeds meer bedrijven ervaren ernstige gevolgen vanwege gerichte cyberaanvallen. Uit recent onderzoek van McAfee blijkt dat Nederland jaarlijks maar liefst 8,8 miljard euro schade lijdt door cybercrime. Op een paar miljoen na, waarbij consumenten het slachtoffer zijn, gaat het vooral om schade bij bedrijven. Het grote probleem van cybercrime bij bedrijven is dat managers het vaak helemaal niet in de gaten hebben - of pas als het te laat is. Het is dus belangrijk om continu te controleren of er geen rare dingen in de IT-systemen, netwerken en toepassingen gebeuren. Ethical hacking is een eerste oplossing om orde op zaken te stellen. 18 Windows Cluster is geen garantie voor verlies van data 22 Tien tips voor effectieve webfiltering Organisaties hebben dagelijks te maken met medewerkers die vanaf hun pc’s allerlei websites bezoeken. Dit levert niet alleen een potentieel beveiligingsrisico op, maar kan ook nadelig zijn voor de productiviteit. Denk aan het bezoeken van Facebook, online gamingwebsites, pornosites, videosites, et cetera. URL-filtering is een contentfilteringtechniek die voorkomt dat gebruikers bepaalde websites bezoeken, door de toegang te blokkeren. Intussen is dit uitgegroeid tot een van de belangrijkste beveiligingstools bij organisaties. 26 Platform 'Industrial Cyber Security' Steeds meer technische industriële installaties worden op afstand aangestuurd. We kennen ze allemaal, maar staan er niet altijd bij stil. Denk bijvoorbeeld aan de vele bruggen die op afstand worden geopend. De brugwachters van weleer zijn verleden tijd. De internettechniek heeft voor een groot deel hun rol overgenomen. Is dat erg? Nee, het romantische is er misschien een beetje af, maar de processen verlopen wel efficiënter en vaak ook veiliger. Het brengt echter ook potentiële gevaren met zich mee. 32 IT gemeente Veere flexibeler en veiliger De gemeente Veere breidde de afgelopen jaren haar IT uit met nieuwe mogelijkheden. Ze wilde het thuiswerken voor medewerkers faciliteren. Daarnaast wilde ze structuur creëren in de koppelingen naar buiten, die in het kader van de digitale dienstverlening waren aangelegd. Als service aan de bezoekers van het gemeentehuis was het ook gewenst om een draadloos wifi-netwerk beschikbaar te stellen, net zoals het gebruik van internet en social media beheersbaar moest blijven voor de IT’ers. 38 IAM voor de cloud en uit de cloud De ingebruikname van cloud-technologie verandert niet alleen de kijk op IT-afdelingen, maar heeft ook sterke invloed op hoe organisaties kijken naar identity en access management (IAM). Cloud verandert op twee manieren de IAM-strategie: welke cloud resources moeten worden beheerd en welke mogelijkheden zijn er om een identiteitsoplossing toe te passen? 40 Troubleshooting TCP/IP networks 42 Burger wantrouwt bedrijven 44 Wereldwijd consumentenonderzoek legt meningen en gevoeligheden privacy bloot Uit wereldwijd onderzoek dat IT-bedrijf EMC heeft gedaan onder 15.000 consumenten, blijkt dat vrijwel iedereen graag wil profiteren van nieuwe, digitale technologieën, maar daarvoor geen privacy wil inleveren. In dit onderzoek is ook een groot aantal Nederlandse consumenten ondervraagd naar hun zienswijze op online privacy, verdeeld naar activiteiten, communicatie en gedrag. Opmerkelijke uitkomsten daarvan zijn dat Nederlanders meer bemoeienis verwachten van de overheid door bijvoorbeeld het invoeren van opt-inwetgeving en dat hun privacy-niveau mede dankzij sociale media moeilijk in stand te houden is de komende vijf jaar. 46 Legal Look

4

NEDERLANDSE IT-BEVEILIGERS ZIJN GOED BEZIG

6

Het veldwerk van de Nationale IT-Security Monitor is afgerond. Meer dan 200 beslissers op het gebied van IT-security bij organisaties met 50 of meer medewerkers hebben de moeite genomen om zich door een lange lijst te worstelen met vragen omtrent het gebruik en de uitdagingen van IT-security in Nederland. De survey biedt een schat aan materiaal, die we het komende jaar op alle mogelijke manieren gaan analyseren en waarbij een groot aantal thema’s de revue zullen passeren. Voordat we de diepte ingaan, zetten we hier graag een aantal van de meest opvallende uitkomsten op een rij.

STATEFUL APPLICATION CONTROL MAAKT MALWAREDETECTIE OVERBODIG

12

Malware is ‘bad’, zo bad zelfs dat alle traditionele middelen om malware te bestrijden praktisch nutteloos zijn gebleken. “Maar nog niet alle hoop is verloren”, zo stelt Peter H. Gregory, een gevierd security-expert en auteur van het boek ‘Stopping Zero-Day Exploits for Dummies’. Volgens Gregory krijgen malwarebestrijders een nieuwe kans met ‘Stateful Application Control’. “Het is een van de meest veelbelovende ontwikkelingen in lange tijd.”

‘HET INTERNET

ZAL TOCH NOOIT VEILIG WORDEN’

28

De resultaten van de jaarlijkse Unisys Security Index 2014 laten zien dat Nederlanders weliswaar bezorgd zijn over de veiligheid van data online, maar dat we ook geloven dat de strijd om een veilig internet al verloren is. Vraag je ons bijvoorbeeld of we een eigen Europees datanetwerk willen om ons te beschermen tegen spionage van buitenlandse overheidsinstellingen, dan reageren we maar lauwtjes: 51% van de Nederlanders staat hier neutraal tegenover omdat het internet volgens hen hoe dan ook niet veilig zal zijn en slechts 30% vindt dit een goed idee. Waar komt dat wantrouwen vandaan en kunnen we er nog iets aan doen?

NIEUWE EUROPESE

DATABESCHERMINGSWETGEVING

34

Uit onderzoek van Trend Micro, specialist op het gebied van beveiligingssoftware, blijkt dat 4 op de 10 bedrijven in de Benelux zich niet bewust zijn van het feit dat er een nieuwe Europese wet van kracht gaat worden voor databescherming. De nieuwe EU General Data Protection Regulation is opgesteld om één lijn te trekken in de wetgeving over databescherming. Slechts 15 procent van de organisaties in de Benelux weet goed wat deze wetgeving voor hun organisatie gaat betekenen.


5

DOOR PETER VERMEULEN

ONDERZOEK Eerste opvallende uitkomsten Nationale IT-Security Monitor 2014

Nederlandse IT-beveiligers zijn goed bezig Het veldwerk van de Nationale IT-Security Monitor is afgerond. Meer dan 200 beslissers op het gebied van IT-security bij organisaties met 50 of meer medewerkers hebben de moeite genomen om zich door een lange lijst te worstelen met vragen omtrent het gebruik en de uitdagingen van IT-security in Nederland. De survey biedt een schat aan materiaal, die we het komende jaar op alle mogelijke manieren gaan analyseren en waarbij een groot aantal thema’s de revue zullen passeren. Voordat we de diepte ingaan, zetten we hier graag een aantal van de meest opvallende uitkomsten op een rij.

1. SECURITY WORDT BIJZONDER SERIEUS GENOMEN De belangrijkste aanleiding om het securitybeleid te wijzigen, is ook in 2014 nog altijd het plaatsvinden van een incident. Toch lijken de onderzoeksresultaten erop te wijzen dat Nederlandse organisaties het securitybeleid structureler aanpakken dan ooit tevoren. Voor bijna evenveel organisaties vormen analyses op het gebied van risicobeheersing met betrekking tot bedrijfsprocessen en het ontstaan van nieuwe dreigingen een belangrijke aanleiding. Daarmee lijkt de Nederlandse IT-security strategie pro-actiever dan ooit. Nederlands organisaties investeren ook steeds meer in IT-beveiliging. In 2014 verwacht men dat de uitgaven aan ITbeveiliging gemiddeld met 11% toenemen en volgend jaar zelfs met 14%. De topprioriteiten liggen op het vlak van netwerkbeveiliging en identiteits- en toegangsbeheer. Op dit laatste gebied neemt de groei, ondanks de topprioriteit, het komend jaar sterk af. Het hoogtepunt lijkt daar dus nu wel bereikt te worden. Investeringen in netwerkbeveiliging blijven sterk groeien, maar de sterkste groei komt uit een hele andere hoek: mobiele security. De meeste organisaties lichten minimaal eens per jaar het hele IT-beveiligingsplan grondig door. Er wordt beleid geformuleerd op het gebied van databeveiliging, op het gebied van user awareness, op het gebied van privacy, enzovoorts. Toch kent het beleid ook wat zwakke plekken, waaruit blijkt dat de pro-actieve houding nog niet helemaal op het ideale niveau is. Het beleid is er vooral op gericht om de huidige IT-omgeving te beveiligen. Zo zegt maar 18% van de organisaties dat software ontwerpregels een onderdeel zijn van het securitybeleid en niet meer dan 27% van de organisaties heeft een securitybeleid voor het testen van nieuwe oplossingen. Ook is het beleid ter voorbereiding op de Europese Data Protectie Verordening verre van algemeen. 2. SECURITY IS MEER DAN OOIT EEN MOVING TARGET Toch is het belangrijk dat IT beveiligers in staat zijn om de aandacht meer te verleggen naar opkomende en toekomstige uitdagingen. Meer dan ooit is IT-security een moving target. Natuurlijk worden aanvallen steeds ingenieuzer en/of

6

Figuur 1: Reikwijdte IT-Security strategie Vraag: Op welke gebieden heeft uw organisatie beleid geformuleerd op het gebied van IT-beveiliging?

Figuur 2: Hoe wordt de IT-Security strategie geëvalueerd? Vraag: Op basis waarvan evalueert u het beveiligingsbeleid?

grootschaliger. Veel van de inspanningen van IT-security zijn erop gericht om de organisatie hier zo goed mogelijk tegen

te beschermen. Maar er liggen ook hele grote uitdagingen in het veranderende gebruik van informatietechnologie. Juist

“De resultaten van dit onderzoek bevestigen onze ervaringen met klanten dat organisaties alom een verschuiving maken van een reactieve naar een pro-actieve aanpak voor IT-security. Dat is een goede ontwikkeling. Tegelijkertijd krijgen we met deze Nationale IT-Security Monitor ook een goed inzicht in de uitdagingen. We zullen ons meer moeten voorbereiden op de toekomst. Zo ook aan ons de taak om organisaties beter wegwijs te maken naar een veilige cloud-omgeving.” Aldus Rogier van Agt, verantwoordelijk voor IT-security dienstverlening bij Sogeti.


7

ONDERZOEK

Figuur 3: Hoe wordt de IT-Security strategie geëvalueerd? Vraag: Bent u het eerder eens of oneens met de volgende stellingen?

Figuur 4: Hoe vaak wordt security pas op het laatst toegevoegd? Vraag: Bij het ontwikkelen van nieuwe software komt security pas bij het eind van het proces in beeld - Ben u het eerder eens of oneens met deze stelling? Percentage ‘eens’ wordt weergegeven in de figuur.

daar lijkt IT-security moeite te hebben om grip te krijgen: De helft (49%) van de respondenten geeft aan dat er onvoldoende kennis aanwezig is om cloudoplossingen veilig te kunnen gebruiken. Tel daarbij op dat binnen bijna de helft van de organisaties de IT-beveiligers niet zeker weten of ze alle cloudtoepassingen in het vizier hebben en je begrijpt waarom veel beveiligers

liever geen cloudoplossingen binnen hun organisatie zien. Ook geeft de helft (51%) aan dat er onvoldoende kennis aanwezig is om smartphones en tablets veilig te kunnen gebruiken. Om het toch in goede banen te leiden, wordt veelal maar beperkt toegang gegeven tot bedrijfsapplicaties en zet men encryptie in. Maar een eenvoudige virusscanner ontbreekt bijvoor-

Alhoewel security steeds vaker bovenaan de agenda komt te staan, blijkt uit dit onderzoek dat bedrijven vaak pas actie ondernemen na een incident. Het is een inkopper, maar het credo ‘voorkomen is beter dan genezen’ geldt zeker ook bij cybercrime. Maar weinig organisaties kunnen zich de imagoschade en kosten permitteren die cyberaanvallen met zich mee brengen. Daarnaast blijkt ook dat de helft van de it-specialisten vindt dat ze onvoldoende kennis in huis hebben om optimale security-garanties te kunnen bieden aan medewerkers in hun organisatie. We vinden het belangrijk om krachten en kennis te bundelen om zo van elkaar te kunnen leren en echt goede oplossingen te vinden in de strijd tegen cybercrime, vandaar dat Trend Micro sinds kort gratis kennissessies organiseert (www.letstalkabout-it.nl).” Aldus Tonny Roelofs, country manager Trend Micro. 8

“Het is verheugend om te constateren dat steeds meer Nederlandse bedrijven serieus nadenken over het opzetten van een structureler security-beleid. Met het oog op de enorme risico’s die mobiele werknemers lopen, raden wij bedrijven en instellingen aan een formeel BYOD -beleid (bring your own device) op te stellen. Wij kunnen ons levendig voorstellen dat managers zich desondanks zorgen maken of ze wel voldoende kennis in huis hebben. Voldoen we wel aan de nieuwste weten regelgeving? is in dit verband een terechte en relevante vraag. Sophos heeft goed nieuws. Sophos Mobile Control en SafeGuard Encryption zijn getoetst en voldoen aan de nieuwste eisen van de aankomende Europese Data Protectie Verordening. Hiermee voorkomt u dat BYOD een nachtmerrie wordt.” Aldus Pieter Lacroix, managing director Sophos.

beeld in de meeste gevallen. Wel zien we een zeer positieve ontwikkeling op het gebied van het ontwerpen van nieuwe software. Binnen driekwart van de Nederlandse organisaties worden zowel de regels ‘secure by design’ als ‘private by design’ gehanteerd. Dat financiële dienstverleners hierin voorop blijken te lopen zal niemand verbazen. Dat men op dit gebied juist in de zorg achterloopt, is zorgelijk. Helaas lijkt het erop dat deze ontwerpregels maar matig geborgd zijn in de beleidsvorming van IT-security (zie vorige paragraaf). Bij veel organisaties, vooral in de zorg, geeft men dan ook toe dat bij de ontwikkeling van nieuwe applicaties security pas op het laatst wordt ‘toegevoegd’. 3. NEDERLAND IS NOG LANG NIET KLAAR VOOR DE EUROPESE DATA PROTECTIE VERORDENING Ook op een ander gebied mag IT-beveiliging wel iets meer op de ontwikkelingen vooruitlopen, hoewel je de vraag zou kunnen stellen of IT-beveiliging hier leidend zou moeten zijn. De meeste organisaties zijn zich er terdege van bewust dat er vanuit Europa een data protectie verordening aankomt, waarbij overtreders tegen niet misselijke boetes aanlopen. Het goede nieuws is dat de meeste organisaties die het aangaat - organisaties

NATIONALE IT-SECURITY MONITOR De Nationale IT-Security Monitor is een initiatief van FenceWorks - uitgever van onder andere AppWorks, CloudWorks, Digitalezorg.nl magazine en Infosecurity Magazine - en Pb7 Research en is mogelijk dankzij de medewerking van:

Figuur 5: Wie is er klaar voor de Algemene Data Protectie Verordening? Vraag: In welke mate is uw organisatie voorbereid op de volgende eisen van de Dataprotectie Verordening?[Organisaties >249 medewerkers]

•

Sogeti

• • • • • •

Fortinet Sophos TecHarbor Trend Micro TSTC Vest

met 250 of meer medewerkers - bezig zijn om zich voor te bereiden. Het minder goede nieuws is dat er nog heel veel moet gebeuren. Zo heeft niet meer dan 6% een (verplichte) Data Protection Officer aangewezen. Alleen op het gebied van de meldplicht datalekken loopt het percentage wat op, maar dat komt vooral omdat de wetgeving op dat gebied al vooruitloopt. We zouden hier graag alle bedrijven die zich in de diverse trajecten bevinden aanmoedigen om het tempo erin te houden. Maar vooral willen we de organisaties wakker schudden die nog altijd niet door hebben dat ze aan de bak moeten en wat ze dan moeten doen. DE ONDERKANT VAN DE IJSBERG De eerste analyse van de Nationale IT-Security Monitor laat zien dat Nederlandse IT-beveiligers goed bezig zijn. Ze zijn steeds pro-actiever en kijken steeds beter naar alle veranderingen die in de markt plaatsvinden. Toch zullen ze de ruimte moeten zien te vinden om niet alleen bij te blijven, maar ook meer te anticiperen op komende ontwikkelingen. Met elke technologische verandering ontstaan er nieuwe gaten in de beveiligingsmuur en het duurt vaak nog te lang voordat deze gaten gedicht worden. Wie in staat is om deze gaten sneller te dichten of zelfs te voorkomen, helpt zijn organisatie om nieuwe technologische mogelijkheden sneller te omarmen en een voorsprong op de concurrentie te nemen. Met disruptie op de loer in vrijwel iedere

sector, is het belang hiervan niet te onderschatten. In de komende maanden gaat Pb7 Research verder met het analyseren van de onderzoeksgegevens, zodat we ook de onderkant van de ijsberg inzichtelijk voor u kunnen maken. Wilt u meer weten over hoe andere organisaties omgaan

met security beleid, cloud beveiliging, consumerization, IT-security training, databeveiliging, advanced threat protection of bijvoorbeeld risicobeheersing, houdt ons dan vooral in de gaten! Peter Vermeulen is directeur van Pb7 Research

De Nationale IT-security monitor laat een aantal interessante uitkomsten en ontwikkelingen zien. Belangrijke ontwikkelingen welke ook in deze uitgave terugkomen zijn de principes ‘by design’ en ‘by default’. De adoptie ervan volgt daarbij ook de ontwikkelingen binnen de hernieuwde ISO27002 standaard, waarbij meer aandacht is voor onder andere eisen aan het software ontwikkelproces. Ook vermeldt de ISO standaard dat er binnen elk willekeurig project aandacht dient te worden gegeven aan informatiebeveiliging. In een privacy context is ‘by default’ een van de speerpunten van de aanstaande dataprotectie verordening. Door vooraf na te denken over beveiligingsaspecten kan belangrijke winst worden behaald in het verminderen van incidenten en, prettige bijkomstigheid, uw organisatie is meer in control.” Aldus Kees Mastwijk, senior Security Consultant Vest informatiebeveiliging. BUSINESS INFORMATION GOVERNANCE


9

STANDAARD VEILIGE SOFTWARE

Oprichting van Secure Software Foundation

NIEUWE STAP

TEGEN CYBERCRIME De strijd tegen cybercrime gaat een volgend hoofdstuk in met de lancering van een nieuwe standaard voor veilige software. De standaard van de onlangs opgerichte Secure Software Foundation helpt ontwikkelaars veilige software te ontwikkelen. Daarnaast biedt de standaard de mogelijkheid de veiligheid van bestaande softwareoplossingen te toetsen. “Een standaard gaat zeker helpen in de strijd tegen hackers”, zegt interim bestuurslid Wim Goes van de foundation. “Hoe meer er eenduidig wordt gewerkt, hoe meer kennis we opdoen voor de beveiliging.” Goes, behalve bestuurslid ook quality director bij softwaretestbe-

drijf SQS, denkt dat het goed is dat de vrijheid van ontwikkelaars wat wordt teruggedrongen. “Dat is in het belang van de veiligheid. Je kunt je als bedrijf geen software incidenten veroorloven.” Steeds meer bedrijfswaarde bevindt zich in software en de komende jaren neemt dit al-

leen maar toe. “Hackers zijn er op uit om software te laten crashen. Op die manier krijgen ze informatie om te kunnen inbreken in systemen. Door volgens de standaard te werken, geef je ze gewoon minder kans. Of kun je bij een digitale aanval bepaalde delen van je systeem met gevoelige informatie beter beschermen.” BETROUWBARE SOFTWARE Aantoonbaar betrouwbare software speelt een steeds belangrijkere rol. Zowel in de Digitale Agenda als de Nationale Cyber Security Strategie van de overheid is de ontwikkeling van veilige

software ter bestrijding van cybercriminaliteit één van de belangrijkste onderwerpen. De nieuwe standaard is bedoeld als leidraad voor de hele softwareketen, waaronder opdrachtgevers. Onveilige software is echter moeilijk te herkennen. Je kunt als gebruiker dan ook niet weten of je veilige of onveilige software gebruikt. “Bovendien kan het vaak helemaal geen kwaad om onveilige software te gebruiken, totdat er natuurlijk een moment komt dat het misgaat. Maar daar kan best een hele tijd overheen gaan”, aldus Koen Sandbrink van het National Cyber Security Centre. Sandbrink trekt de vergelijking met het bouwen van een kantoor. “Daar weet je van tevoren hoeveel vierkante meter je nodig hebt, wat de architectonische kenmerken moeten zijn, hoe vluchtwegen lopen, noem maar op. Voor software security bestaan zulke eisen niet.” Fred Hendriks van iComply, initiatiefnemer van de Secure Software Foundation, noemt het probleem een witte vlek in ICTland. “Ontwikkelde software wordt pas bij oplevering getest op zwakke plekken en lekken.” STRIJD IS NOG LANG NIET GESTREDEN De Secure Software Foundation benadrukt dat de strijd tegen cybercrime nog lang niet is gestreden. Een wereldwijde standaard is namelijk nog niet beschikbaar. “We willen wel voorop lopen. Daarom hebben we het kader in het Engels ontwikkeld.” Volgens Goes is het belangrijk om nu snel door te pakken. “SQS is nauw bij de ontwikkeling van de standaard betrokken. Medewerkers zijn opgeleid om bij bedrijven te helpen het framework te implementeren en om de certificerings

10

audits te doen. We lopen voorop en zijn een grote, internationale speler op het gebied van software quality en testen. Wij kunnen zorgen voor de afstemming tussen bedrijven.” De afgelopen periode is het ‘Framework Secure Software’ als pilot met succes getest bij diverse software-ontwikkelorganisaties. De standaard is bijna volledig gericht op het veilig produceren van het product. De applicatie, inclusief code, is daarom aanvullend op bestaande (proces)normen zoals de ISO normen. De Secure Software Foundation neemt de uitgifte, verdere ontwikkeling en bewaking van de open standaard voor haar rekening. ALLE BELANGHEBBENDEN IN DE KETEN Het framework richt zich op alle belanghebbenden in de softwareketen. Opdrachtgevers krijgen met dit framework de mogelijkheid aangereikt criteria voor veilige software in hun lijst van vereisten op te nemen, zonder dat ze zelf inhoudelijke experts hoeven te zijn. Zij kunnen hiermee de softwareleverancier vragen om aan te tonen dat hun software veilig is, eventueel door de software te laten certificeren. Het moeten toepassen van het framework kan ook worden benoemd in het aanbestedingtraject. Software-ontwikkelorganisaties kunnen de criteria van het framework gebruiken bij het bouwen van applicaties. Projectmanagers, testers en externe partijen kunnen de kwaliteit met betrekking tot de veiligheid gedurende het ontwikkeltraject meten. Reviewers en auditoren kunnen de criteria uit het Framework Secure Software gebruiken om de veiligheid van de geproduceerde software te beoordelen en hierover aan de opdrachtgevers te rap-

SECURE SOFTWARE FOUNDATION De onlangs opgerichte Secure Software Foundation heeft tot doel de ontwikkeling van veilige software te bevorderen. Dit doet de stichting onder andere door het beheren en ontwikkelen van het Framework Secure Software. Daarnaast is de Secure Software Foundation uitgever en kwaliteitsbewaker van het Secure Software Certificate. Met dit certificaat kunnen software-ontwikkelorganisaties aan gebruikers en klanten aantonen dat hun software betrouwbaar ontwikkeld is. Het Secure Software Certificate kan worden verkregen wanneer bij de ontwikkeling van de software aan alle aspecten van het Framework Secure Software is voldaan. Voor het aanvragen van het Secure Software Certificaat moet de software worden beoordeeld door een van de door de Secure Software Foundation aangewezen officiële inspectie/audit-instellingen. Hierbij moet het audit-rapport worden afgetekend door een Registered Secure Software Auditor (RSSA™). Gedurende het certificeringsproces worden zowel de ontwikkelde applicatie (ontwerp en code) als de borging in de organisatie onderzocht. Wanneer de auditor de invulling van alle aspecten uit het Framework als voldoende beoordeelt, zal hij de Secure Software Foundation verzoeken een Secure Software Certificate af te geven voor de onderzochte applicatie(s). Met de nieuwe standaard voor veilige software hoopt de Software Secure Foundation een belangrijke stap te zetten in de strijd tegen cybercrime. Hierbij wordt gekozen voor een vorm van preventie, die volgens de stichting beter is als genezing. https://www.securesoftwarefoundation.org/

porteren op begrijpelijke wijze. De audit voor het uitreiken van het Secure Software Certificaat kan enkel door een door de stichting gecertificeerde auditpartij worden uitgevoerd. Fred Hendriks: “100% veiligheid is onmogelijk, maar met het framework is het mogelijk om te controleren of er voldoende security is geïmplementeerd.”


11

DOOR FERRY WATERKAMP

MALWARE

Stopping Zero-Day Exploits For Dummies

STATEFUL

APPLICATION CONTROL

MAAKT MALWAREDETECTIE OVERBODIG Malware is ‘bad’, zo bad zelfs dat alle traditionele middelen om malware te bestrijden praktisch nutteloos zijn gebleken. “Maar nog niet alle hoop is verloren”, zo stelt Peter H. Gregory, een gevierd security-expert en auteur van het boek ‘Stopping Zero-Day Exploits for Dummies’. Volgens Gregory krijgen malwarebestrijders een nieuwe kans met ‘Stateful Application Control’. “Het is een van de meest veelbelovende ontwikkelingen in lange tijd.”

ploits ng Zero-Day Ex U kunt Stoppi ty van Infosecuri op de website nloaden: Magazine dow e.nl/ uritymagazin http://infosec -maakt-het-u2014/06/12/ibm gemakkelijk/

12

Steeds vaker zijn het juist de leveranciers van antimalwareproducten die verkondigen dat we de strijd tegen de toenemende cybercriminaliteit verliezen. In mei van dit jaar riep Symantec nog de nodige verontwaardiging over zich af toen Brian Dye, bij het beveiligingsconcern chef informatiebeveiliging, tegenover The Wall Street Journal verkondigde dat antivirus ‘dood’ is. Het leveren van antivirusoplossingen zou geen geld meer opleveren. Het is een boodschap waarin Peter H. Gregory, die zich onder andere Certified Information Systems Auditor en Certified Information Systems Security Professional mag noemen, zich ongetwijfeld kan vinden. In ‘Stopping Zero-Day Exploits for Dummies’ stelt Gregory dan ook dat het detecteren van dreigingen niet langer voldoende is om datadiefstal te voorkomen. “De effectiviteit van de traditionele detectiesystemen neemt af. Antimalwareprogramma’s detecteren nog maar een klein deel van de malware.” GERAFFINEERDE CYBERCRIMINELEN Volgens Gregory heeft de afnemende effectiviteit van de traditionele beveiligingsmaatregelen alles te maken met de steeds geraffineerdere werkwijze van de cybercriminelen. Zo maken criminele organisaties steeds vaker gebruik van ‘zero-day exploits’ waarbij misbruik wordt gemaakt van een nog onbekend gat in de beveiliging om de machine van de gebruiker te besmetten met malware. Omdat er voor deze onbekende gaten – de zogenaamde ‘zero-day vulnerabilities – nog geen bescherming beschikbaar is, vormen ze een populair doelwit voor aanvallers. Met een succesvolle exploit kunnen aanvallers iedere willekeurige vorm van malware op de machine van het slachtoffer plaatsen. Waar de exploit is bedoeld om de malware op het systeem van het slachtoffer te krijgen, is de malware zelf een stukje code die wordt gebruikt om een systeem onder controle te krijgen en informatie te stelen. De auteur merkt daarbij op dat moderne vormen van malware inmiddels veel meer doen dan het loggen van toetsaanslagen, kopiëren van gebruikersschermen en het ontvreemden van informatie die staat opgeslagen op de besmette machine. Als voorbeelden noemt Gregory de Remote access Trojans om een systeem onder controle te krijgen, botnets voor het uitvoeren van grootschalige aanvallen en malware die

specifiek is ontworpen voor het stelen van uiterst gevoelige informatie zoals inloggegevens en creditcardinformatie. Aanvallers maken niet alleen gebruik van geavanceerdere technieken, maar gaan ook hardnekkiger te werk (respectievelijk de ‘A’ en de ‘P’ in APT, oftewel Advanced Persistent Threat). Een aanval kan weken tot zelfs een jaar of langer in beslag nemen. Tijdens die periode doorloopt de aanvaller globaal zes stappen. De eerste stap is het verzamelen van informatie over het slachtoffer waarna in stap twee de aanval kan worden gepland en de tools voor het uitvoeren van de aanval kunnen worden ontwikkeld. In stap drie vindt de eerste aanval plaats, door medewerkers te verleiden om een kwaadaardig document te openen of een besmette website te bezoeken. De malware die op die manier wordt geïnstalleerd, is meestal bedoeld om de aanvaller toegang te verschaffen tot het interne netwerk. Eenmaal binnen kan de aanvaller in stap vier verder op onderzoek uit door het e-mailverkeer te monitoren, het netwerkverkeer te observeren of het interne netwerk in kaart te brengen en indien nodig nieuwe tools ontwikkelen waarmee de aanval kan worden voortgezet. Uitgerust met de juiste kennis en tools kan de aanvaller in stap vijf eindelijk doen waarvoor hij gekomen was, zoals het stelen van data en

intellectueel eigendom of het saboteren van systemen. VERLOREN GEVECHTEN Aanvallers kunnen uiteenlopende redenen hebben om een organisatie aan te vallen, variërend van het uiten van ongenoegen over de sociale of ideologische koers van een organisatie (‘hacktivisme’) tot industriële of politieke sabotage. De meeste cybercriminelen is het echter om geld te doen, en dat doen ze niet onverdienstelijk. Volgens het Amerikaanse ministerie van Financiën gaat in de wereldwijde cybercriminaliteit inmiddels meer geld om dan in de handel in drugs. Volgens Gregory zijn er dan ook ‘verloren gevechten’ gevoerd tegen cybercriminaliteit. “Organisaties hebben vele tools, technieken en processen ontwikkeld en geadopteerd om malware en cyberaanvallen af te kunnen slaan. Sommige technieken zijn min of meer succesvol geweest, maar deze successen hebben er alleen maar toe geleid dat de aanvallers werden aangemoedigd om nog betere technieken te ontwikkelen om onze verbeterde defensiemaatregelen te omzeilen.” Volgens de auteur hebben we de ‘slag’ met de cybercriminelen op meerdere fronten verloren. De opvoeding van de gebruikers, middels security aware-


13

MALWARE ness-trainingen, is een van die fronten. Dergelijke trainingen zijn bedoeld om medewerkers bewust te maken van de gevaren, in de hoop dat ze niet meer op een verdachte link of document klikken. “Je hebt echter maar een paar mensen nodig die uit haast, onwetendheid, vergeetachtigheid of door een inschattingsfout of gewoon nieuwsgierigheid toch een phishing- of spear-phishing openen met als resultaat dat het werkstation van de gebruiker wordt gecompromitteerd.” Even zinloos zijn de pop-upberichten waarin gebruikers wordt gevraagd of bepaalde acties moeten worden toegestaan of geblokkeerd. “De meeste gebruikers hebben geen idee en het kan ze ook niet schelen. Ze willen gewoon hun werk doen.” Ook zijn we volgens Gregory weinig succesvol geweest in het voorkomen van kwetsbaarheden door effectief te patchen. In de praktijk is het bijna niet te doen om alle security-patches die beschikbaar worden gesteld uit te rollen, zeker nu er door de Bring Your Own Computer-trend steeds meer onbeheerde computers inpluggen op het netwerk. Jezelf beschermen tegen een zero-day vulnerability is bovendien onmogelijk. En ook op het gebied van malwaredetectie hebben we de slag met de cybercriminelen verloren. “Door de opkomst van geavanceerdere malware en ontwijkingstechnieken zijn de traditionele beveiligingsmaatregelen een stuk minder effectief geworden.” STATEFUL APPLICATION CONTROL Als lezer van ‘Stopping Zero-Day Exploits For Dummies’ zou je bijna denken dat we volstrekt kansloos zijn in de strijd tegen cybercriminaliteit. De eerste drie hoofdstukken – en daarmee ruim de helft van het boek – staan dan ook volledig in het teken van de ongelijke strijd tussen aanval en verdediging. Pas in hoofdstuk

INTERVIEW vier blijkt dat deze uitgebreide schets van het dreigingslandschap de opmaat vormt naar de introductie van ‘Stateful Application Control’, een nieuwe benadering die moet voorkomen dat malware ook daadwerkelijk wordt uitgevoerd en schade toebrengt aan de endpoints van de gebruiker. In dit hoofdstuk blijkt ook waarom ‘Stopping Zero-Day Exploits For Dummies’ is geschreven ‘met en voor Trusteer, an IBM Company’, zoals al in de inleiding wordt opgemerkt. Stateful Application Control wordt namelijk toegepast in Trusteer Apex. Stateful Application Control maakt gebruik van het gegeven dat een gecompromitteerde applicatie afwijkend gedrag zal vertonen. Trusteer Apex monitort daarom de ‘status’ van een applicatie op het moment dat er een gevoelige handeling wordt verricht, zoals het schrijven naar het filesysteem of het openen van een communicatiekanaal. Op het moment dat de applicatie een applicatie-interface gebruikt, wordt Stateful Application Control getriggerd om de actuele status van de applicatie te vergelijken met alle bekende applicatiestatussen. Als er geen ‘match’ is, duidt dat erop dat er sprake is van een exploit. Trusteer Apex zal dan ook voorkomen dat de gedownloade file wordt uitgevoerd en er schade wordt toegebracht aan de machine. Diefstal van data wordt voorkomen door het Command & Control (C&C)-communicatieverkeer te blokkeren. Dit gedachtengoed wordt in het boek verder verduidelijkt aan de hand van enkele voorbeelden. Als bijvoorbeeld een gebruiker een browser gebruikt om een website te bezoeken en een file te downloaden, is dat een legitieme actie waar een bekende applicatiestatus bij hoort. Als de bezochte website echter een verborgen exploitcode bevat die misbruik maakt van een ongepatchte kwetsbaarheid in een browser om vervolgens een drive-by download uit te voeren, is er

Titel: Stopping Zero-Day Exploits For Dummies, Trusteer Special Edition Auteur: Peter H. Gregory, met bijdragen van Dana Tamir, Director of Enterprise Security bij Trusteer, an IBM Company Pagina’s: 53 ISBN: 978-1-118-75850-2 Over de auteur: Peter H. Gregory (CISA, CISSP, CRISC) is security- en riskmanager, universitair docent en auteur van ruim dertig boeken over security en opkomende technologieën.

sprake van een onbekende, niet gevalideerde applicatiestatus die niet kan worden gematcht met een bekende status. Er is kortom afwijkend gedrag wat erop duidt dat er een exploit heeft plaatsgevonden.

DOOR ESTHER SIEVERDING

CEO Comsec: ‘Simulatie is de beste manier om dreigingen en risico’s te overzien’

VUUR MET VUUR

BESTRIJDEN

VIA ETHICAL HACKING Steeds meer bedrijven ervaren ernstige gevolgen vanwege gerichte cyberaanvallen. Uit recent onderzoek van McAfee blijkt dat Nederland jaarlijks maar liefst 8,8 miljard euro schade lijdt door cybercrime. Op een paar miljoen na, waarbij consumenten het slachtoffer zijn, gaat het vooral om schade bij bedrijven. Het grote probleem van cybercrime bij bedrijven is dat managers het vaak helemaal niet in de gaten hebben - of pas als het te laat is. Het is dus belangrijk om continu te controleren of er geen rare dingen in de IT-systemen, netwerken en toepassingen gebeuren. Ethical hacking is een eerste oplossing om orde op zaken te stellen.

ADVANCED THREAT PROTECTION Stateful Application Control biedt een effectieve bescherming tegen zero-day exploits en andere Advanced Persistent Threats die normaliter onder de radar blijven, zo concludeert de auteur. “Doordat het geen poging doet om een dreiging te detecteren, maar in plaats daarvan de status van de applicatie valideert, is Stateful Application Control in staat om dreigingen accuraat te blokkeren, of die nu bekend of onbekend zijn.” Daardoor is de nieuwe benadering ook niet afhankelijk van een bijgewerkte signature-database of van informatie die op voorhand beschikbaar is over een dreiging. ‘Stopping Zero-Day Exploits For Dummies’ gaat nog dieper in op Stateful Application Control door onder andere te laten zien hoe Trusteer Apex kan worden geïmplementeerd en beheerd en hoe met ‘Real-Time Threat Intelligence’ de beveiliging nog verder kan worden aangescherpt. Het boek wordt afgesloten met een ‘top tien overwegingen’ voor een effectieve ‘Advanced Threat Protection’. Want zoals de auteur het zelf stelt: “Een For Dummies-boek is niet compleet zonder een top tien-hoofdstuk.” Ferry Waterkamp is freelance journalist

14


15

INTERVIEW STAPPENPLAN “Het draait bij ethical hacking dus allemaal om het simuleren van de acties van de tegenstander. Of dit er nu 5, 10, 500 of 10.000 zijn. Hiervoor is eerst veel informatie nodig: niet alleen welke systemen het bedrijf gebruikt, maar ook de functie van die systemen en hun effect op overige bedrijfsprocessen”, vertelt Ishai. “De hele interne infrastructuur wordt onderzocht, omdat we moeten weten welke systemen, netwerken of toepassingen met elkaar in verbinding staan. In het geval van een aanval kunnen IT-onderdelen met een bredere verantwoordelijkheid namelijk ook meer schade aanrichten. Wij krijgen door deze methode toe te passen veel bedrijfsgevoelige informatie onder ogen, waarover we vervolgens rapporteren. Hierbij letten we op privacy issues en focussen we ons enkel en alleen op security-aspecten. We houden ons bovendien aan zeer strenge ethische codes.”

We spraken hierover met Moshe Ishai, CEO bij Comsec Cyber & Information Security Group. Dit Israëlische bedrijf levert volledige dienstverlening en consulting op het gebied van cyber- en informatiebeveiliging. Het richt zich met name op het maken van risicoanalyses door middel van ethical hacking. In Nederland wordt deze strategie nog niet in grote mate toegepast, terwijl het wel de kritieke punten blootlegt en schade kan voorkomen. Tijd dus om wat dieper in het onderwerp te duiken. BEELDVORMING Ishai: ”Veel bedrijven krijgen nog een negatief gevoel bij ‘ethical hacking’. Dit komt door een contradictie in de term. Bestaat er wel zoiets als ethisch hacken? Ben je, als je iemands eigendom infiltreert, niet sowieso een crimineel? Bij ethical hacking gaat het erom dat ITsystemen, netwerken en applicaties binnen een organisatie getest worden door professionele beveiligingsexperts. Op verzoek van het management uiteraard. Hierbij is het belangrijk dat de experts op dezelfde manier denken als een echte hacker. Pas als zij dezelfde tools en handelswijze gebruiken, zoals die binnen de aanvallerswereld voorhanden zijn, is de beveiliging optimaal te onderzoeken. Hacking is dan misschien niet het beste woord ervoor, want dat gebeurt alleen als het slachtoffer er niet van op de hoogte is. Bij ethical hacking worden actuele aanvalstechnieken met de directie besproken en vervolgens gesimuleerd, zodat de organisatie haar eigen weerbaarheid kan testen en gericht actie kan ondernemen om zichzelf te beschermen tegen daadwerkelijke cyber attacks. Dat lijkt mij juist iets heel positiefs.” VOORDELEN “Het grootste voordeel is dat bij ethical hacking voornamelijk gekeken wordt naar reële dreigingen en dat we zorgvuldig nagaan wat het effect is van zulke aanvallen op de bedrijfsprocessen en de bedrijfsvoering. Iedere component van de IT-omgeving is hierbij van belang, omdat ze allemaal onderdeel zijn van de organisatie en een mogelijk risico vormen. Een ander voordeel is dat ethical hacking uitgaat van specifieke scenario’s die bij de klant een rol spelen. Vanwege voorafgaande uitgebreide analyses kunnen we daarmee tot de kern van het probleem komen, dreigingen blootleggen en de 16

1) Maak een overzicht van de totale IT-omgeving “We moeten ten eerste achterhalen hoe de IT-omgeving van de klant is opgesteld, hoe deze werkt en welke onderdelen er verbonden zijn tot het internet, de cloud, of waar data is opgeslagen. Alle aparte onderdelen kunnen immers een risico vormen als de beveiliging ervan niet optimaal is.”

klanten adviseren in wat de vervolgstappen moeten zijn.” TRENDS EN ONTWIKKELINGEN “Wat we vaak merken, is dat de implementatie van security-maatregelen of zelfs het bestaan van een strenge beveiligingsstrategie, nog te wensen overlaat. Ook bij grote internationale bedrijven. Het is daarom cruciaal om hen de ogen te openen door juist de effecten van de aanvallen aan te kaarten. Dit kan variëren van gestolen data dat openbaar wordt gemaakt tot het overnemen van alle kerntaken van de organisatie”, aldus Ishai. “Tegenwoordig hebben de aanvallers daarnaast een voordeel op de bescher-

mers. Ze hebben beschikking over heel goede wapens (tools), over de laatste technieken en platforms. Inmiddels bestaan er gigantische netwerken waar hackers van over de hele wereld bij elkaar komen om informatie uit te wisselen, technieken te bespreken of cyber weapons te verhandelen. Platforms als Darknet zorgen ervoor dat iedereen kan leren hacken – je kunt betalen voor je kennis en voor de middelen. Dit is een serieuze ontwikkeling die wij te allen tijde in de gaten moeten houden. Op die manier kunnen wij altijd de meest actuele technieken testen op de omgevingen van onze klanten.”

2) Bekijk de functionaliteit “Vervolgens is het zaak om van ieder onderdeel te bepalen wat de functionaliteit ervan is en hoe dit doorwerkt in de totale IT-omgeving. Op basis van dit onderzoek is daarna in te schatten welke effecten een mogelijke aanval kan hebben op de bedrijfsprocessen. Wordt een systeem gehackt dat met meerdere bedrijfskritische systemen en netwerken in verbinding staat, dan is de impact van de aanval op de bedrijfsvoering logischerwijs vaak groter.” 3) Vul het ‘Threat Model’ aan “In veel gevallen bestaat er al een algemeen ‘threat model’, maar deze is dan nog niet aangepast aan de daadwerkelijke soft- en hardware binnen het bedrijf. We moeten dit model daarom aanvullen met informatie die we in stap 1 en 2 hebben vergaard. Dit is dan specifiek gericht op de systemen en netwerken van die organisatie. Hiervoor zitten we lang met klanten aan tafel en interviewen we de

executives en business managers, zodat we precies weten welke componenten het huidige model bevat. Daarbij is het van belang om de juiste vragen te stellen, maar ook hoe je deze stelt. Zo krijgen we een volledig beeld van alle technologie en wat de functionaliteit betekent voor het gehele business model, waaruit we een business impact analyse (BIA) kunnen opstellen.” 4) Welke dreigingen zijn in dit geval van belang Ishai vervolgt: “De volgende stap is om – op basis van de business analyse en het threat model – te bepalen welk soort dreigingen in deze organisatie een rol kunnen gaan spelen. Zijn dit interne of externe dreigingen? Ook definiëren de beveiligingsexperts het doel van de aanvaller: waar richten hackers zich momenteel op? Willen ze geld of data stelen? Of informatie openbaar maken? Enzovoorts. We moeten weten waarom aanvallen worden uitgevoerd. 5) Definieer de aanval “De vijfde stap houdt in dat we de service gaan definiëren: dus bepalen we hoe de aanval eruit ziet die we gaan simuleren. Welke componenten zijn erbij betrokken (dit kom ook voort uit het threat model), is het een fysieke aanvaller? Komt deze van het internet, is het een interne of externe dreiging? Bij een interne dreiging bijvoorbeeld, leveren de managers de gebruikersnamen en wachtwoorden zodat wij toegang krijgen tot de systemen. Maar bij een externe aanval – door een buitenstaander – waarbij de black- of greybox wordt aangevallen, dan ontvangen we geen extra informatie. Daar heeft een echte hacker immers ook geen beschikking over.” 6) Specifieke aanpak uitvoeren Dan volgt de daadwerkelijke uitvoering van de simulatie. Comsec heeft speciale methoden ontwikkeld op het gebied van cyber attack simulatie, dat is haar unieke selling point. Het bedrijf heeft verschillende sets van simulaties, die relevant zijn aan specifieke IT-omgevingen en die zij in de loop der jaren ontwikkeld heeft. De simulaties hangen daarmee ook af van de eerder geschetste scenario’s binnen het bedrijf van de klant. Hierbij zet Comsec speciale actuele tools in. 7) Analyse Na de simulatie vindt de analyse plaats:

van de gevonden resultaten, de complexiteit van de problemen en van de stabiliteit van de manipulatie. 8) Rapportage “Tot slot stellen we een totaalrapport op over de resultaten van ethical hacking, welke problemen er zijn, welke problemen kunnen ontstaan, inclusief aanbevelingen om deze uitdagingen direct aan te pakken. Daarnaast krijgt de klant advies in hoe te handelen bij soortgelijke situaties. Elke manipulatie of simulatie heeft namelijk andere variaties. We stellen klanten van die variaties op de hoogte zodat ze daar rekening mee houden op het moment ze hun systemen gaan beschermen.” VALKUILEN Moshe Ishai sluit af met de mogelijke struikelpunten: “Zoals bij elke strategie, zijn er bepaalde punten waar je niet onderuit kan. Dit is bij ethical hacking niet anders. Ethical hacking dekt niet alle aanvalsscenario’s. Dat is vanuit praktisch oogpunt ook bijna onmogelijk. De scenario’s worden opgesteld op basis van de structuur en de IT-omgeving van klanten. Zij moeten zich dan ook realiseren dat zij hacking en cybercrime niet volledig kunnen voorkomen als ze zich qua bescherming alleen focussen op de geteste scenario’s. En als we via ethical hacking niets vinden in de systemen, dan betekent dit niet gelijk dat het systeem veilig is. Aanvallen en systeemonderdelen veranderen dagelijks vanwege updates. Wat op het ene moment geen risico vormt, kan dat op het andere moment wel zijn. Dit is een wezenlijk verschil met risk management, waarbij alle risico’s binnen het bedrijf gecontroleerd worden en elke dreiging apart wordt aangepakt. Bij ethical hacking zou je kunnen denken dat als er niets uit de analyse komt, dat er dan ook geen gevaar dreigt. Maar het kan tevens zo zijn dat er al kwetsbare componenten binnen het systeem aanwezig zijn. Deze componenten vormen dan op het moment van de simulatie wellicht nog geen probleem, maar kunnen dit wel worden door continue wijzigen en updates. Het is dus essentieel om heel de IT-omgeving te blijven controleren op apartheden en afwijkingen. Alleen dan kun je de echte hackers voor zijn en het bedrijf in zijn geheel van een optimale bescherming voorzien.” Esther Sieverding is freelance journalist


17

DOOR BRAM DONS

DATAKEEPER REPLICATIE VOOR WINDOWS CLUSTERS

Windows Cluster EW EVI

R

is geen garantie voor verlies van data

Windows Failover Clustering (WSFC) beschermt de Windowsomgeving en applicaties tegen uitval van een servernode. Het biedt weliswaar een High Availability (HA) oplossing maar geen garantie tegen het verlies van data bij bedrijfkritische Windowsapplicaties als SQL Server. Want in een zogenaamde shared-nothing clusterconfiguratie vormt de shared storage een single-point of failure (spof). Wanneer de shared storage uitvalt, dan heeft geen enkele clusternode meer toegang tot de applicatiedata. De enige beschermde bestanden binnen een Windows cluster zijn de binary files van de SQL engine die zich lokaal op elke servernode bevinden. Door een of meer kopieën van de SQL databestanden te maken, kan het risico van verlies van kritische databasedata sterk worden verkleind. Dit biedt een zogenaamde Disaster-Recovery (DR) oplossing. Microsoft biedt daarvoor het concept ‘SQL Server AlwaysOn’. De firma SIOS biedt met het product

Figuur 1: Testopstelling DataKeeper Cluster Edition

18

DataKeeper Cluster Editon (DKCE) een alternatief voor een dergelijke replicatie-oplossing. DKCE is een in hoge mate geoptimaliseerde host-gebaseerde replicatie-oplossing die naadloos aansluit op Microsoft Windows Server 2008 Failover Clustering (WSFC) en Microsoft Cluster Server (MSCS).

DE SANLESS CLUSTER Voor de SQL Server Always on in combinatie met WSFC is shared storage nodig, voor WSFC in combinatie met DKCE niet. De komst van SQL Server 2012 bracht de mogelijkheid om op basis van Server Message Block (SMB) 3.0 shares (in feite netwerk-gebaseerde storage) te creëren. Daardoor is voor shared storage niet langer meer een dure, op iSCSI of Fibre Channel gebaseerde, SAN nodig. WERKING DATAKEEPER CLUSTER EDITION Een van DataKeeper’s sleutelcomponenten is de kernel mode driver die verantwoordelijk is voor alle mirroringactiviteiten tussen de source en target mirror endpoints. De synchrone of asynchrone replicatie vindt plaats op volume block level niveau. Bij de creatie van een mirror wordt eerst alle data gerepliceerd van het source naar het target volume. Na de initiële replicatie (ook wel ‘full resync’ genaamd) zijn beide volumes exact gelijk. Daarna onderschept DataKeeper alle writes naar het source volume en repliceert de datablocken via het netwerk naar het target volume. DataKeeper maakt van een intent log file (ook wel aangeduid als een ‘bitmap file’) gebruik waarin de in het source volume aangebrachte wijzigingen worden bijgehouden. De log file geeft DataKeeper de mogelijkheid om een fout in het source systeem te herstellen zonder een volledige mirror resync te moeten uitvoeren na herstel van de uitgevallen source server. Het bijhouden van de log file gaat wel ten koste van de prestaties, reden waarom wordt aanbevolen om deze file op een SSD te plaatsen. Volumes die niet kunnen worden gerepli-

ceerd zijn: Windows system volume, volume(s) met Windows page file, niet-NTFS volumes, non-fixed drive types (cd-roms en dergelijke) en target volumes die kleiner zijn dan de source volumes. Er is geen limiet voor wat betreft de grootte van het gerepliceerde volume. De ingebouwde WAN-optimalisatie maakt optimaal gebruik van de bestaande netwerkverbinding zonder dat een WAN accelerator nodig is. Door een efficiënt gebruik van compressie algoritmen wordt optimaal gebruikgemaakt van de beschikbare netwerkbandbreedte. DataKeeper is in staat om bij een 1 GbE netwerk een snelheid van 520 Mbps te halen. REPLICATIE TYPEN Replicatie met DataKeeper kan op verschillende manieren en configuraties worden toegepast. Ten eerste, door een tweede fysieke copy van de data te maken. Ten tweede, een bestaande MSCS/ WSFC cluster uit te breiden met een remote disaster recovery side en door de spof van de storage van de traditionele MSCS/WSFC cluster weg te nemen. DataKeeper is te configureren in een eenvoudige disk replicatiefunctie van disk-to-disk; one-to-one, one-to-many en many-to-one. Disk-to-disk repliceert data tussen twee volumes op dezelfde server, one-to-one, one-to-many en many-to-one tussen een of meer volumes tussen server(s). De MSCS of WSFC cluster is uit te breiden met replicatie van een shared volume naar een remote system via N-shared-disk to one; N-shared-disk to N-shared-disk of N-shared-disk to multiple N-shared-disk.

Figuur 2: Installatie Failover Cluster op basis van File Share Witness

Figuur 3: Mirror details

TESTCONFIGURATIE DATAKEEPER Onze test baseren we op een basis 2-node Windows Server 2012 R2 cluster. De cluster draait in een Active Directory Domain die op een aparte DC server geïnstalleerd moet worden. Beide clusternodes zijn verbonden via twee netwerken, een 100Mb LAN en een 10GbE voor replicatie. De Remote Disaster Recovery Site ‘Remoteback-up’ is ook een Windows 2012 R2 server die deel uitmaakt van dezelfde Domain. Op de primaire, secondaire en back-up Windows Servers wordt de DKCE software geïnstalleerd. Voor de replicatie tussen de twee clusternodes

en de Remote Site Server worden Solid State Disks gebruikt. Op de cluster wordt SQL Server failover cluster software geïnstalleerd. Om de failover en disaster recovery functies van de cluster te testen maken we gebruik van de standaard database TPC-C test van de Benchmark Factory Databases test suite versie 7 van de firma Quest Software; zie http://www. quest.com/benchmark-factory/

we een SANless cluster configureren en geen gebruik van shared storage maken, vinken we niet ‘add all eligble storage to the cluster’ aan. Want, we maken geen gebruik van een ‘Node and Majority’ quorum; dit is wel de default keuze bij een cluster installatie. In plaats daarvan maken we gebruik van SMB 3.0 van Node en selecteren ‘File Share Majority quorum’.

INSTALLATIE WINDOWS 2012 CLUSTER Voor de cluster installatie volgen we de standaard installatieprocedure. Omdat

Een File Share Witness moet op een server, in ons geval de ‘Domain Controller’, worden geconfigureerd die geen deel van de cluster mag uitmaken. De eerste


19

DATAKEEPER REPLICATIE VOOR WINDOWS CLUSTERS het intypen van de primaire en secondaire servernaam wordt een verbinding met beide gemaakt. Na klikken van de ‘Create Job’ volgen we de menu’s om een mirror op de ‘r’ drive te creëren. In het ‘New Mirror’ menu typen we de naam van het source volume, het IP adres op de server en het ‘r’ volume. Dezelfde input geldt voor de Target Server. In het ‘Details’ menu zijn de instellingen van de mirror te specificeren, waaronder: asynchroon of synchroon, de hoeveelheid te comprimeren data en de maximale bandbreedte (meestal gebruikt bij WAN replicatie). Wij kiezen voor synchroon. Na de creatie kan de mirror als volume aan WSFC worden geregistreerd.

Figuur 4: Overzicht beide mirrors

INSTALLATIE SQL SERVER 2012 We vervolgen met de installatie van SQL Server 2012 op de primaire clusternode. In het SQL Server Installation Center menu selecteren we ‘New SQL failover cluster installation’. In het ‘Instance Configuration’ menu geven we een naam aan het SQL Server Network. Als ‘Cluster Disk Selection’ tabblad selecteren we als shared disk het geregistreerde DataKeeper Volume ‘r’ en in het Network Configuration’ tabblad een IP-adres van de primaire server. Na het aanklikken van de ‘Add node to a Server failover cluster’ starten we op dezelfde wijze de installatie op de secondaire clusternode.

Figuur 5: Benchmark Factory TPC-C test

stap is om een file share te creëren en onze ‘mycluster’ cluster daartoe read/ write access op zowel share als NTFS level te geven. We geven de share de naam ‘FSW’. Nu we een file share op de DC hebben gecreëerd, keren we terug naar de Primary node en maken we van ‘Failover Cluster Manager’ gebruik om het quorum type te veranderen. We selecteren ‘Configure a file share wittness’ en selecteren de aangemaakte \\w2kr2green\fsw share. We hebben nu een basis 2-node cluster en gaan verder met de volgende stap: de creatie van de cluster resources. Daarbij maken we gebruik van een replicated disk resource op basis van de third-party software ‘DataKeeper Cluster Edition’, in plaats van een shared disk resource. 20

INSTALLATIE DATAKEEPER CLUSTER EDITION We hebben nu een basis 2-node ‘SANloos’ cluster gecreëerd en kunnen beginnen met de installatie van de DKCE software op beide clusternodes. Hierbij wordt een mirror gecreëerd tussen twee Solid State Devices; de Kingston SSDNOW 50 SSDs met een capaciteit van 240GB; 130/160 MB/s read/write-snelheden en 3000 IOPs. Beide SSDs zijn SATA disk drives die direct verbonden zijn met de clusternodes. Als eerste installeren we DataKeeper op de primaire node. In de achtereenvolgende menu’s wordt de Domain of Server account gespecificeerd en de license file. Na een reboot van de server wordt het DataKeeper User Interface gestart. Na

REMOTE DISASTER RECOVERY Voor het geval de primaire site uitvalt, kan de MSCS of WSFC cluster worden uitgebreid met een shared volume die via een LAN/WAN verbinding naar een remote target wordt gerepliceerd. Op de remoteback-up server creëren we een 400GB volume op een Intel SSD S3700 Series. Na installatie van DataKeeper software op de remoteback-up server creëren we vanuit de bestaande ‘SQL Replication’ job op de primaire server ook een synchrone mirror naar de remote server. Een alternatief is om een remote back-up in de cloud te plaatsen. In samenwerking met Amazon heeft SIOS een replicatie-oplossing ontworpen die data en applicatie in de cloud repliceert. De SANless software synchroniseert real-time kopieën van data over meerdere nodes. Failover binnen en tussen EC2 Availability Zones (AZs) wordt ondersteund availability en disaster protectie in een Amazon cloud.

FAILOVER TEST Het idee achter de failover test is om aan te tonen dat bij uitval van een clusternode de SQL applicatie blijft functioneren en er geen applicatiedata verloren gaat. De SQL data blijft via de remoteback-up replicatie mirror behouden en beschermt de data bij uitval van een clusternode. Om de DR-functie te testen maken we gebruik van een trial Quest Database Benchmark gestandaardiseerde TPC-C test. De trial licentie is slechts voor tien gebruikers waarvan het geringe aantal voor ons doel niet uitmaakt. Na de configuratie van de TPC-C benchmarktest starten we deze TPC-C test op. UITSCHAKELING PRIMAIRE NODE We trekken nu ‘rücksichtslos’ de 220V stekker uit de primaire server. Het WSFC systeem detecteert de uitval van de primaire node en schakelt over naar de passieve node die nu de actieve clusternode wordt. De mirror tussen de primaire en secondaire node is nu verbroken en krijgt de status ‘Resync pending’. De data van de SQL applicatie op de secondaire node wordt nu beschermd door de mirror tussen de secondaire en remote back-up node. We zien dat geen enkele data verloren gaat en de gebruiker zal zo goed als niets merken dat een van de nodes verloren is gegaan. De Benchmark test laat geen enkele foutmelding zien. Na inschakeling van de primaire clusternode zien we dat WSFC service de uitgevallen node weer oppikt. Zodra de primaire node weer deel uitmaakt van de cluster wordt de status gemeld aan de DataKeeper. Daarna wordt de mirror tussen de primaire en secondaire node gesynchroniseerd en is de oude situatie weer hersteld. UITSCHAKELING SECONDAIRE NODE We herhalen de test maar nu met uitschakeling van de secondaire node. De mirror naar de remote-back-up node wordt overgenomen door de primaire node. Ook hier blijft de SQL data beschermd door de mirror. We schakelen de secondaire

Figuur 6: Uitgevallen mirror na afschakeling primaire node

Figuur 7: Uitgevallen mirror bij afschakeling secondaire node

node weer in en wachten tot de cluster volledig is hersteld. Automatisch wordt de mirror tussen de primaire en secondaire clusternode weer hersteld. Ook constateren we dat er voor de gebruiker geen merkbare gevolgen waarneembaar zijn. Alleen geeft de benchmark een OCBC-error aan met als oorzaak een ‘SQL Server Native Client Communication Link failure’. Er gaat echter geen data verloren en de test verloopt verder zonder foutmeldingen. CONCLUSIE Het product DataKeeper Cluster Edition van de firma SIOS biedt in combinatie met Windows Cluster een volledige HA/ DR-oplossing voor de Windows omge-

In samenwerking met Amazon heeft SIOS een replicatie-oplossing ontworpen die data en applicatie in de cloud repliceert

ving. DataKeeper is in verschillende omgevingen toepasbaar: op basis van een traditioneel SAN-gebaseerde shared storage of via de nieuwe SMB 3.0 Node en File Share Majority quorum van Windows Server 2012 R2. De laatste maakt een ‘SANless’ cluster mogelijk, de omgeving waarop onze test is gebaseerd. De installatie van de DataKeeper software op elke cluster is betrekkelijk eenvoudig en verloopt zonder problemen. De creatie van de cluster mirrors en de remoteback-up mirror is vanuit de GUI snel geregeld. Als applicatie draaiden we een database TCP-C test. De failover naar beide kanten van de cluster verloopt zonder problemen. Na herstel van de afgeschakelde clusternode wordt de mirror snel hersteld en er treedt geen verlies van data op tijdens de SQL TPC-C database test. Voor meer informatie over DataKeeper Cluster Edition: FT Systems, http://www.ftsystems.nl/ Bram Dons is consultant bij IT trendwatch


21

DOOR HANS VANDAM

URL-FILTERING

Optimaliseer de bescherming van uw netwerk

TIEN TIPS

VOOR EFFECTIEVE WEBFILTERING Organisaties hebben dagelijks te maken met medewerkers die vanaf hun pc’s allerlei websites bezoeken. Dit levert niet alleen een potentieel beveiligingsrisico op, maar kan ook nadelig zijn voor de productiviteit. Denk aan het bezoeken van Facebook, online gamingwebsites, pornosites, videosites, et cetera. URL-filtering is een contentfilteringtechniek die voorkomt dat gebruikers bepaalde websites bezoeken, door de toegang te blokkeren. Intussen is dit uitgegroeid tot een van de belangrijkste beveiligingstools bij organisaties. Het implementeren van URL-filtering is op zich niet al te moeilijk. Maar om deze techniek echt optimaal en effectief in te zetten, zijn hier tien handige tips. 1. ZORG ERVOOR DAT FILTERING DEEL UITMAAKT VAN EEN BREDERE BEVEILIGINGSOPLOSSING Diverse leveranciers bieden URL-filtering

aan als een aparte, losstaande oplossing die binnen het netwerk geïmplementeerd moet worden. Maar effectiever en voordeliger is een bredere beveiligingsoplossing die standaard al de mogelijkheid tot URL-filtering biedt. High-end Next Generation Firewalls en complete, geïntegreerde oplossingen voor beveiligingsbeheer beschikken vaak al

standaard over URL-filtering en andere mogelijkheden om internetverkeer te blokkeren. 2. EEN FILTERINGOPLOSSING MOET MAKKELIJK TE CONFIGUREREN EN TE BEHEREN ZIJN Het instellen van URL-filteringoplossing zou makkelijk moeten zijn. Bij goede be-

veiligingsoplossingen is dit een kwestie van het doorlopen van enkele eenvoudige stappen. Een van de eerste stappen is ervoor te zorgen dat de firewall en de IPS (Intrusion Prevention System) oplossing in staat zijn om lijsten met gewenste en ongewenste URL’s automatisch te downloaden van de leverancier. Daarna hoeft de configuratie alleen maar te worden afgestemd om specifieke URL’s te blokkeren of juist toe te staan. Het monitoren van de activiteiten van een URL-filteringoplossing zou net zo eenvoudig moeten zijn. En ook hier geldt: als de filteringfunctie deel uitmaakt van een bredere beveiligingsoplossing, kan deze makkelijk worden beheerd en gemonitord via een centrale beheerconsole. 3. FILTEREN OP BASIS VAN WEB-CATEGORIEËN Het filteren van websites op basis van algemeen door de industrie gehanteerde categorieën is een van de makkelijkste en snelste manieren om in een keer een breed scala aan ongewenste URL’s te blokkeren. Bij categorieën valt bijvoorbeeld te denken aan ‘Violence’, ‘Advertising’ of ‘Adult/Mature Content’. Deze aanpak is over het algemeen de basis voor alle web filteringactiviteiten, maar de effectiviteit ervan is sterk afhankelijk van de beveiligingsleverancier, die regelmatig de lijsten met URL’s en categorieën moet bijwerken. Het zou niet de taak van de IT-afdeling moeten zijn om deze lijsten zelf te updaten - de beveiligingsleverancier zou dit moeten doen. Daarbij zou er niet alleen een seintje gegeven moeten worden dat categorieën zijn bijgewerkt, maar moeten deze updates bij voorkeur ook automatisch worden uitgerold zodra ze beschikbaar zijn. De meest geavanceerde filteringoplossingen komen ook met een uitgebreide, kant-en-klare verzameling van categorieën en URL’s, die direct toegepast kan worden. Sommige high-end oplossingen ondersteunen 80 of meer verschillende categorieën en bijna 300 miljoen top-level domeinen en sub-pagina’s. Het zijn daarmee kant-en-klare oplossingen die direct miljoenen websites kunnen blokkeren. 4. HANDMATIGE FILTERS Webfiltering op basis van een van tevoren gedefinieerde lijst is een prima manier om te starten, maar voor echt effectieve

22

filtering is meer nodig. De kant-en-klare lijsten maken gebruik van categorieën, waarmee in een keer complete categorieën van ongewenste sites geblokkeerd kunnen worden. Dit is natuurlijk makkelijk, maar de meeste organisaties zullen de filtering toch willen afstemmen op hun specifieke situatie en wensen. Bijvoorbeeld het blokkeren van extra sites die niet onder de van tevoren gedefinieerde categorieën vallen. Aan de andere kant zijn er misschien sites die juist niet geblokkeerd moeten worden, zelfs als ze onder een van de te blokkeren categorieën vallen of in een van de van tevoren gedefinieerde lijsten staan. Met een goede webfliteringoplossing is het mogelijk om zowel filtering op basis van categorieën te doen als handmatig sites aan de white- en blacklists toe te voegen. 5. OPTIES VOOR DE INSPECTIEREGELS Met behulp van zogenaamde inspectieregels is het mogelijk om de webfiltering verder te optimaliseren. Hiermee kunnen bijvoorbeeld bepaalde onderdelen van online applicaties geblokkeerd worden, maar blijft de applicatie toch gewoon toegankelijk voor gebruikers. Dit is een nuttig hulpmiddel waarmee bepaalde onderdelen van een site die potentieel de productiviteit van werknemers kunnen beïnvloeden - zoals chatfunctionaliteit of de mogelijkheid om content te delen kunnen worden geblokkeerd. Via de inspectieregels kan het dataverkeer tot op diep niveau geïnspecteerd worden. De krachtigste oplossingen controleren het webverkeer op URL-niveau. Daarbij wordt het webverkeer ont-

sleuteld, geïnspecteerd en opnieuw versleuteld, om ongewenst of mogelijk zelfs kwaadaardig verkeer tegen te houden. 6. INTERACTIE MET GEBRUIKERS Hoewel het informeren van gebruikers over geblokkeerde URL’s misschien een detail lijkt, is dit in feite een belangrijk aspect van webfiltering. Door gebruikers te laten weten dat een bepaalde URL is geblokkeerd, wordt verwarring voorkomen en wordt de IT-afdeling niet lastiggevallen met onnodige verzoeken. Maatwerkmeldingen geven gebruikers waarschuwingen of laten weten waarom de site die zij willen bezoeken, is geblokkeerd. Het creëren van dit soort meldingen voor gebruikers moet echter wel eenvoudig en snel gaan. Meestal gebeurt dit via een configuratiemenu, waar een nieuwe melding wordt aangemaakt. Daarbij kan ook vaak gekozen worden uit een van te voren gedefinieerde lijst van meldingen. 7. EFFECTIEVE POLICIES Het instellen van de beleidsregels (policies) voor webfiltering is absoluut een taak voor de IT-afdeling. Kies geen oplossing die deze taak onnodig complex maakt, bijvoorbeeld omdat er aparte policies gedefinieerd moeten worden voor HTTPS en HTTP proxies. Dat betekent namelijk niet alleen dat het meer tijd kost om die policies bij te houden, maar vergroot ook de kans op menselijke fouten. In een goede oplossing is URL-filtering geïntegreerd met andere technieken die een overlappende of vergelijkbare beschermingsfunctionaliteit bieden. Wanneer er een enkele policy kan worden ingesteld die zowel voor webfiltering


23

URL-FILTERING

als voor applicatiefiltering geldt, worden twee tools gecombineerd tot één efficiënte en effectieve oplossing. 8. COMBINEER FILTERTECHNIEKEN Zelfs als het niet mogelijk is om verschillende policies te combineren, zou het nog steeds wenselijk zijn om meerdere beveiligingstechnieken met elkaar te combineren. Als bijvoorbeeld de toegang tot externe webmail servers geblokkeerd moet worden, kan dit gerealiseerd worden met een beveiligingsoplossing die zowel applicatiefiltering als URL-filtering tegelijkertijd toepast. Met de eerste filtertechniek worden privé webmail servers geblokkeerd, terwijl de tweede de toegang tot publieke webmail servers blokkeert. Zo zijn beide ontoegankelijk vanaf het bedrijfsnetwerk. De mogelijkheid om meerdere technieken te combineren resulteert in een betere oplossing die er voor zorgt dat geen ongewenst verkeer wordt doorgelaten.

9. COMBINEER ANDERE BEVEILIGINGSTECHNIEKEN Bij sommige oplossingen is het niet mogelijk om op hetzelfde webverkeer zowel webfiltering als virusscanning toe te passen. Het is in dat geval dan ook erg belangrijk om een goede antivirus-oplossing te gebruiken. Hetzelfde geldt voor webfiltering en Content Inspection Server (CIS) Redirection, waarbij het verkeer wordt omgeleid naar een server die de content eerst inspecteert. Dit vereist echter wel een externe oplossing voor het inspecteren van content. Wanneer webfiltering echter deel uitmaakt van een Next Generation Firewall of een andere complete beveilingsoplossing, zijn antivirusbescherming en CIS naadloos met elkaar geïntegreerd. Er hoeven dan alleen de juiste instellingen te worden geconfigureerd voor antivirusscanning en CIS Redirection, om ervoor te zorgen dat alle dataverkeer grondig wordt geïnspecteerd. Let er daarbij op

dat de gebruikte antivirusoplossing geschikt is voor een brede verscheidenheid aan applicaties, verschillende soorten dataverkeer en verschillende protocollen. 10. VOORKOM EEN TE STRIKTE BLOKKERING Meer is lang niet altijd beter als het gaat om URL-filtering. Een te brede blokkering kan onbedoeld voor problemen zorgen. Sommige commerciële applicaties maken bijvoorbeeld gebruik van functies die vergelijkbaar zijn met die van sommige spyware. Bijvoorbeeld om de activiteiten van gebruikers te monitoren. Dit soort gedrag is vergelijkbaar met wat schadelijke spyware of malware kan proberen te doen. Deze legitieme ‘spyware’ kan daarbij contact zoeken met een webadres. Het blokkeren van alle spyware kan er dan ook toe leiden dat zulke applicaties niet gebruikt kunnen worden, terwijl ze in bepaalde gevallen misschien wel nodig zijn. Een ander gevaar van te strikte blokkeringsregels is dat de IT-afdeling meer verzoeken krijgt om de filtering van bepaalde sites of applicaties op te heffen. Dat kost zowel de IT-afdeling als de gebruiker onnodig veel tijd. Door de webfiltering policies voortdurend te herzien en bij te werken, en regelmatig updates te installeren, kan de webfiltering optimaal worden ingesteld, zonder dat dit ten koste gaat van de bescherming van het netwerk of van de productiviteit. Hans Vandam is journalist

24


25

DOOR ROBBERT HOEFFNAGEL

KLANKBORDGROEP

PLATFORM ‘INDUSTRIAL CYBER SECURITY’ Steeds meer technische industriële installaties worden op afstand aangestuurd. We kennen ze allemaal, maar staan er niet altijd bij stil. Denk bijvoorbeeld aan de vele bruggen die op afstand worden geopend. De brugwachters van weleer zijn verleden tijd. De internettechniek heeft voor een groot deel hun rol overgenomen. Is dat erg? Nee, het romantische is er misschien een beetje af, maar de processen verlopen wel efficiënter en vaak ook veiliger. Het brengt echter ook potentiële gevaren met zich mee. Zo zou het internetsysteem kunnen worden gehackt. Onbevoegde personen kunnen de brug dan op afstand open of dicht doen. Wat is de zin van zo’n actie? Misschien vergezocht, maar bij een overval zou een open brug een interventie van de politie kunnen verhinderen. Ook sluizen en gemalen worden tegenwoordig op afstand bediend. Bij hoog waterpeil gaan de sluizen automatisch open of wordt een signaal geven aan de controlekamer waar vervolgens wordt besloten om wel of geen actie te ondernemen.

26

KLANKBORDGROEP VOOR DE NORMCOMMISSIE INDUSTRIEEL METEN, REGELEN EN AUTOMATISEREN Omdat op veel gebieden deze kwetsbaarheid toeneemt, is er behoefte aan een klankbordgroep. Er is besloten het Platform Industrial Cyber Security op te richten. Deelnemers aan dit platform kunnen ervaringen met elkaar uitwisselen en methodes bespreken om een installatie robuust te maken en zo ongewenste en of kwaadaardige interacties te voorkomen

of te reduceren naar een niveau waarbij de veiligheid niet in het geding komt. Het platform valt onder de normcommissie NEC 65 ‘Industrieel meten, regelen en automatiseren’. Deze normcommissie is binnen Nederland verantwoordelijk voor normen op het gebied van systemen en apparatuur voor besturing en bewaking van productieprocessen en industriële installaties. Deze vinden hun toepassing vooral in de professionele sfeer, waaronder (proces)industrie, energieopwekking en -distributie en weg- en waterbouwkundige infrastructuur. De normcommissie vertegenwoordigt de Nederlandse belangen op Europees (EN) en mondiaal (IEC) niveau. Daarnaast is NEC 65 verantwoordelijk voor het onder de aandacht brengen van het belang van de normen bij de Nederlandse achterban. Hoe pas je de normen toe en hoe is de samenhang met andere normen. Willem van der Bijl, voorzitter NEC 65 en Directeur Produca (activiteiten namens koepel WIB): “Met de oprichting van het platform beogen wij een aantal doelstellingen. Zo willen wij de bewustwording versterken van de kwetsbaarheid met bijbehorende veiligheidsrisico’s binnen de Nederlandse industrie en overige gebruikers. Uitwisseling van kennis en het volgen van relevante ontwikkeling is uitermate belangrijk. Hiervoor willen wij specialisten in de technische beveiliging en veiligheid, marktpartijen, organisaties en de overheid bij elkaar brengen. Het platform kan de normen in ontwikkeling volgen en de normcommissie NEC 65 en andere werkgroepen die betrokken zijn bij normalisatie voeden met informatie en commentaar op de inhoud van de normen. Hierdoor kunnen we goed blijven anticiperen op wat gaat komen en blijven innoveren als het op security aankomt.”

BREED AANDACHTSGEBIED Het platform heeft een breed aandachtsgebied. Het werk van de technische commissies TC 44 ‘Elektrische uitrusting van machines’ en TC 57 ‘Bediening op afstand van energievoorzieningssystemen’ komen dan ook zeker aan de orde. Het betreft namelijk niet alleen de waterbouwkundige infrastructuur zoals hierboven beschreven, maar ook de procesindustrie, energieopwekking en -distributie, wegbouwkundige infrastructuur, de petrochemische industrie en je kunt zelfs denken aan de besturing van kerncentrales. Alle digitale netwerken zijn namelijk te saboteren als je echt kwaad wilt. Ook als je dit zo goed mogelijk beveiligt door bijvoorbeeld alle data te encrypten. Door er bijvoorbeeld voor te zorgen dat systemen tijdelijk stil komen te liggen als er afwijkingen in het reguliere proces worden geconstateerd. Zo kun je voorkomen dat cyberterroristen de energietoevoer voor langere tijd gaan beheersen.

Eric van Aken, commissielid NEC 65 namens koepel Netbeheer Nederland B.V. en Consultant Telecommunicatie en Security / Liandon Energie Consulting: “Het platform kan een grote bijdrage leveren op het gebied van cybersecurity. Voor netbeheerders zijn standaarden heel belangrijk. Netbeheerders nemen namelijk componenten af van verschillende leveranciers. Alleen als er sprake is van interoperabiliteit kunnen we het goed functioneren van ons netwerk garanderen. Op het gebied van cybersecurity verandert er op dit moment veel en in een snel tempo. Als netbeheerder is het belangrijk om deze ontwikkelingen op de voet te volgen. We willen met meer data uit onze in toenemende mate gedigitaliseerde netten kunnen anticiperen op behoeften van en veranderingen door onze klanten. Maar dit moet wel veilig gebeuren. Dat maakt het met normering soms wel heel complex. De ontwikkelingen gaan snel en het normalisatiepro-

ces kan dat soms niet bijbenen. Voordat een internationale standaard de formele status krijgt, moet iedereen het er mee eens zijn en alle open aanmerkingen op de conceptversie zijn verwerkt. Het is daarom ook belangrijk dat er tussen de experts veel kennis en ervaring wordt uitgewisseld binnen het platform zodat we - als gebruiker en normcommissie - goed op de hoogte zijn en blijven en weten hoe we nu al toekomstbestendige maatregelen kunnen gaan treffen. Met dit platform willen we de afstand tussen normen aan de ene kant en de praktijk aan de andere kant klein houden.” WILT U OOK DEELNEMEN? Bent u beroepsmatig betrokken bij industriële installaties geïntegreerd in communicatienetwerken? Of draagt u verantwoordelijkheid betreffende de security van industriële installaties? Dan kunt ook u deelnemen aan het platform. U kunt uw kennis uitwisselen met collega’s en deskundigen en de ontwikkelingen op dit vlak volgen om klaar te staan voor de toekomst. De kick off-bijeenkomst van het platform heeft inmiddels plaatsgevonden. Het is de bedoeling dat het platform minimaal twee keer per jaar bijeenkomt. Wilt u meer informatie over het platform of deelnemen? Dan kunt u contact opnemen met Rianne Boek NEN Consultant telefoon (015) 2 690 194 of [email protected] Voor deelname aan het platform wordt een jaarlijkse bijdrage gevraagd van € 350,- ex. BTW (2014).


27


SECURITY

Waarom hebben Nederlanders zo weinig vertrouwen in online veiligheid en valt hier nog iets aan te doen?

‘HET INTERNET ZAL TOCH NOOIT VEILIG WORDEN’

De resultaten van de jaarlijkse Unisys Security Index 2014 laten zien dat Nederlanders weliswaar bezorgd zijn over de veiligheid van data online, maar dat we ook geloven dat de strijd om een veilig internet al verloren is. Vraag je ons bijvoorbeeld of we een eigen Europees datanetwerk willen om ons te beschermen tegen spionage van buitenlandse overheidsinstellingen, dan reageren we maar lauwtjes: 51% van de Nederlanders staat hier neutraal tegenover omdat het internet volgens hen hoe dan ook niet veilig zal zijn en slechts 30% vindt dit een goed idee. Waar komt dat wantrouwen vandaan en kunnen we er nog iets aan doen? De Unisys Security Index is een jaarlijks wereldwijd onderzoek dat inzicht biedt in de houding van consumenten in een brede reeks veiligheidsgerelateerde onderwerpen. Het onderzoek van 2014 laat een

28

aantal verrassende trends zien: zo zien Nederlanders bankpasfraude en identiteitsdiefstal als een van de grootste veiligheidsproblemen waar we voor staan. Maar liefst 26 procent van de onder-

vraagde Nederlanders maakt zich ernstige zorgen over diefstal van de gegevens van hun betaalpassen, terwijl 30 procent zich zorgen maakt over identiteitsdiefstal en ongeautoriseerde toegang tot persoonlijke informatie. Deze bevindingen zijn natuurlijk niet zo vreemd in het licht van het feit dat de meerderheid van de Nederlandse bevolking het per definitie onveilig vindt online. OFFLINE IS ALLES IN ORDE Van onze offline veiligheid en de dreiging van epidemieën liggen we daarentegen nauwelijks wakker: niet meer dan respectievelijk 13% en 7% van de bevolking geeft aan dat dit iets is waar zij zich

zorgen over maken. Opvallend is ook dat het algehele gevoel van veiligheid is toegenomen ten opzichte van 2013: de indexwaarde van dit jaar is 66, een relatief laag niveau van bezorgdheid vergeleken met de 71 punten van vorig jaar. Hoe komt het dat de online wereld achterblijft als het gaat om deze toename van ons gevoel van veiligheid? Heeft dit met een verschuivende focus van de berichtgeving in de media te maken? Verschuift de criminaliteit naar de digitale wereld? Is het een gevolg van gebrekkige kennis over nieuwe technologieën? Of zijn onze angsten onverhoopt gebaseerd op een juist beeld van de werkelijkheid en zal data online nooit echt veilig zijn? DE TOEGENOMEN DREIGING De beveiligingsrisico’s van grote bedrijven zijn de afgelopen jaren exponentieel gegroeid, zowel in omvang als in bereik en complexiteit. Cloud computing, BYOD en social media zorgen voor een verschuiving van de dreigingen en een enorme toename van de uitdagingen voor CIO’s en CSO’s. Onze traditionele fysieke beveiligingsmethoden zijn niet effectief tegen de geavanceerde en volhardende aanvallen op digitale bedrijfsnetwerken en informatiebeveiliging in een dergelijke vijandige omgeving heeft een geïntegreerde beveiligingsstrategie nodig, met een integrale proactieve benadering om ook de gevaren van morgen het hoofd te kunnen bieden. Beveiliging staat dan ook hoog op de agenda van de meeste Nederlandse bedrijven. Echter, in veel gevallen ligt de verantwoordelijkheid voor de digitale veiligheid bij de Directeur Informatisering en ligt de verantwoordelijkheid voor de fysieke veiligheid bij de Directeur Facilitymanagement. Vaak is er niemand integraal verantwoordelijk voor de gehele veiligheid. Veel Nederlanders zijn dan ook sceptisch over het vermogen van die bedrijven om afdoende beveiliging te bieden om hun data te beschermen. De recente spionagepraktijken van de NSA zullen niet hebben bijgedragen aan een positief beeld van de online veiligheid. Korte tijd geleden deed de Amerikaanse rechter een verrassende uitspraak in een zaak die Microsoft had aangespannen tegen de Amerikaanse overheid: Amerikaanse overheidsinstellingen hebben altijd en overal toegang tot data die bij Amerikaanse bedrijven staat opgeslagen, zelfs wanneer die data in het buitenland staat. In het licht van deze ont-

wikkelingen stelde Unisys de vraag wat de Nederlander vond van het voorstel van Angela Merkel om een eigen, veilig Europees datanetwerk te bouwen waar data veilig is voor internationale surveillance. In plaats van dat we stonden te juichen, lijken we de moed al te hebben opgegeven. Een slechte zaak, aangezien een steeds groter deel van ons leven en onze business zich online afspeelt. Valt dit tij nog te keren?

BEDRIJVEN MOETEN HUN VERANTWOORDELIJKHEID NEMEN Laten we eerst vaststellen dat online veiligheid – naast een consequente implementatie van bewezen beveiligingstechnologieën – staat of valt bij een veilige en betrouwbare vaststelling van de identiteit van de consument. De hoeveelheid uitgegeven wachtwoorden en/of PIN-codes is voor veel consumenten niet meer te onthouden, met alle gevolgen van dien.


29

SECURITY Bedrijven doen er goed aan hun beveiligingsmaatregelen voortdurend up-todate te houden en aandacht te besteden aan veilige, eenvoudige en betrouwbare identiteitstoetsing van hun consumenten en dit ook inzichtelijk te maken voor hun klanten. Dit vergroot niet alleen de daadwerkelijke veiligheid, maar helpt ook het klantvertrouwen en de perceptie van online veiligheid te verbeteren. Digitale veiligheid is een bijzonder complexe aangelegenheid, die veel specialistische kennis vereist. Je kunt van de gemiddelde burger niet verwachten dat hij of zij volledig op de hoogte is van wat er allemaal speelt op beveiligingsgebied, dus die burger is afhankelijk van de informatie die hij voorgeschoteld krijgt door de media en door bedrijven. Het goede nieuws is dat hoe gebruiksvriendelijker onze technologie wordt, hoe makkelijker het zal zijn voor de consument om zich veilig en betrouwbaar te identificeren. “Deze uitkomsten kunnen dienen als een kattebelletje voor Nederlandse bedrijven, dat ze alles op alles moeten zetten om hun klantendata te beschermen tegen cyberaanvallen en fysieke dreigingen,” zegt Jim Vlaming, Account Executive Public Safety and Justice bij Unisys. “Blijkbaar maken mensen zich zorgen over de veiligheid van hun persoonlijke gegevens en kunnen bedrijven hun klanten van dienst zijn door het zichtbaar implementeren van veiligheidsmaatregelen over de gehele linie van hun bedrijfsvoe-

30

Meer weten over business, innovatie & IT? Lees www.BusinessEnIT.nl

ring. Hiermee kunnen ze het vertrouwen van klanten in het bedrijf veiligstellen en het draagt tegelijkertijd aanzienlijk bij aan de reputatie als betrouwbare onderneming.” BRAVE NEW WORLD We bevinden ons midden in een digita-

le revolutie en het is niet zo vreemd dat veel mensen argwanend tegenover die complexe, nieuwe wereld staan. Maar wellicht is dat van voorbijgaande aard en worden mensen minder argwanend naarmate ze vertrouwder worden met digitale technologie. Opvallend in deze context is bijvoorbeeld dat met name ouderen voorstander zijn van een eigen, gesloten Europees datanetwerk: 88% van de 65+ers met een mening (dus met uitsluiting van de groep die aangeeft geen mening te hebben) is voorstander, terwijl dat bij de groep 18- tot 24-jarigen slechts 34% is. Deze laatste groep is opgegroeid met digitale technologie en heeft duidelijk een andere inschatting van de risico’s dan de oudere groep. Hier kan natuurlijk een mentaliteitsverschil ten opzichte van privacy en veiligheid aan ten grondslag liggen, maar waarschijnlijker is dat de digital natives beter in staat zijn om beveiligingsrisico’s realistisch in te schatten en beter in staat zijn zelf hun veiligheid te controleren. Hoe het ook zij, er kan veel gewonnen worden met een goede informatievoorziening. Zodra bedrijven beseffen dat hun verantwoordelijkheid niet stopt bij de beveiliging van hun systemen, maar ook een goede voorlichting van consumenten omvat, kunnen we stukje bij beetje aan de perceptie van een veilige online wereld bouwen.

Business & IT publiceert artikelen en blog posts over de relatie tussen IT, business en innovatie. Ook publiceren? Kijk op http://businessenit.nl/over-business-en-it/


31

DOOR JOS RAAPHORST

CASE

IT GEMEENTE

VEERE FLEXIBELER EN VEILIGER

De gemeente Veere breidde de afgelopen jaren haar IT uit met nieuwe mogelijkheden. Ze wilde het thuiswerken voor medewerkers faciliteren. Daarnaast wilde ze structuur creëren in de koppelingen naar buiten, die in het kader van de digitale dienstverlening waren aangelegd. Als service aan de bezoekers van het gemeentehuis was het ook gewenst om een draadloos wifi-netwerk beschikbaar te stellen, net zoals het gebruik van internet en social media beheersbaar moest blijven voor de IT’ers. De nieuwe wensen van de gemeente Veere vergden met name op het terrein van IT-security een nieuwe aanpak, want “je kan de deur niet zomaar open zetten”, aldus Hans van Dam die als netwerkspecialist verantwoordelijk is voor de IT binnen het gemeentehuis. “Het is prima als mensen naar Facebook gaan, maar tegelijkertijd willen we allerlei schimmige sites buiten de deur houden.” Veere heeft 22 duizend inwoners. In het

gemeentehuis werken ruim tweehonderd medewerkers, waarvoor tweehonderd IT-werkplekken beschikbaar zijn. Hoewel het door de standaardisatie geen hogere wiskunde vergt om die werkplekken netjes en bovenal veilig in de richten, is het wel handig als de techniek een groot deel van de gewenste functionaliteit in zich heeft, stelt Hans van Dam. En daar wrong de schoen de afgelopen jaren steeds meer. De IT-beveiliging van Vee-

re was opgebouwd uit een aantal losse elementen waaronder een Cisco-firewall, Microsoft Proxy en beveiligingssoftware zoals Mail- en Webmarshall. Volgens Van Dam was er met de producten niets mis, maar was de keten als geheel te weinig flexibel voor de wensen van Veere. STANDAARD FUNCTIONALITEIT Spil in de aanpassing van de IT-security was de vervanging van de Cisco PIX 515E-firewall door een XTM 800 series NextGeneration firewall van WatchGuard. Dat was het begin van een moderniseringsslag, waar de gemeente veel gemak van blijkt te hebben. De keuze voor WatchGuard motiveert Van Dam door erop te wijzen dat deze leverancier zich met zijn XTM-serie richt op het middensegment waar Veere zich toe rekent. “Dat betekent dat zijn oplossingen heel dicht in de buurt komen van wat wij zochten.

Want wat vraagt een organisatie als de onze doorgaans? Een firewall met daarin een aantal standaardfunctionaliteiten geïntegreerd. Denk hierbij aan URL-filtering, antivirusoplossingen en intrusion prevention. Wij hechten daarbovenop sterk aan application control, zowel filtering als monitoring”, aldus Van Dam. MONITORING BELANGRIJK Met name de monitoringtool levert achteraf bezien heel wat gemak op. “Ik kan bij problemen in m’n netwerk precies zien waar het probleem zit en wat de oorzaak is. Dat voorkomt in mijn contacten met toeleveranciers veel getouwtrek over de vraag wie verantwoordelijk is voor bepaalde problemen.” Veere blijkt ook veel baat te hebben bij de mogelijkheid om achter de firewall verschillende virtuele netwerken te kunnen creëren. “We hebben nu allerlei aparte netwerken die ik middels een interface kan beheren. Ik kan desgewenst zo een nieuw VLAN inrichten, als ik gecontroleerde toegang voor bepaalde systemen

wil inrichten. Dat is vanuit beheeroogpunt heel eenvoudig te realiseren.” Uitzondering daarop vormt de toepassing voor het thuiswerken, die met behulp van de WatchGuard SSL-VPN-oplossing is gerealiseerd. “We hebben daar een portal van gemaakt, waarbij gebruikers zich middels een toegezonden SMS-code authentiseren. “Dat was functioneel iets makkelijker te realiseren dan ook dat achter de firewall te zetten.” WEET WAT JE WILT Inmiddels heeft de configuratie in Veere zich ruimschoots kunnen bewijzen en geeft Van Dam aan dat hij zeer tevreden is. Zowel over de hardware als over de leverancier, WeSecure uit Amsterdam. “Zeker als je de prijs in ogenschouw neemt.” Bedragen wil hij vervolgens niet noemen, maar aanbieders stunten fors met prijzen, stelt hij. Om meteen te waarschuwen voor “kortingen die je vaak bij de implementatie weer terugbetaalt.” Zijn advies is daarom om eerst kritisch te inventariseren wat je wilt, voordat je de demo van

de leverancier bezoekt. “Door met een heldere vraagstelling het gesprek met de leverancier aan te gaan, krijg je ook precies wat je vraagt.” STRIPPENKAARTSYSTEEM “We kunnen voor support terecht bij WatchGuard waarvan de website overzichtelijk en toegankelijk is, maar we lossen het liever op via de leverancier die onze situatie kent. Daarom ligt het beheer van de beveiligingsoplossing deels in handen van WeSecure. We hebben de afspraak dat we aan de bel kunnen trekken als we ze nodig denken te hebben.” Voor die support maakt de gemeente gebruik van het strippenkaartsysteem bij WeSecure. Van Dam: “Je betaalt een bedrag in één keer vooruit, maar je bent dan van veel administratieve rompslomp af. Je krijgt direct ondersteuning bij elk mogelijk probleem. Over de service hebben we niets te klagen. WeSecure reageert altijd heel snel op vragen en informeert ons over updates. De leverancier voert ongeveer twee keer per jaar een check uit op onze systemen, waarbij hij updates plaatst en de configuratie doorlicht.” Terugkijkend naar de migratie concludeert Van Dam dat het beheer van de systemen nu aanzienlijk eenvoudiger is dan in de oude situatie. De gemeente is flexibeler, kan vlotter inspelen op nieuwe ontwikkelingen en troubleshooting gaat sneller. Daarbij zijn ook de kosten omlaag gegaan en hoewel dat geen doelstelling was, is het wel mooi meegenomen. Jos Raaphorst is uitgever van Infosecurity Magazine

32


33

LET’S TALK ABOUT IT

40% bedrijven in de Benelux is onwetend

NIEUWE

EUROPESE

DATABESCHERMINGSWETGEVING Uit onderzoek van Trend Micro, specialist op het gebied van beveiligingssoftware, blijkt dat 4 op de 10 bedrijven in de Benelux zich niet bewust zijn van het feit dat er een nieuwe Europese wet van kracht gaat worden voor databescherming. De nieuwe EU General Data Protection Regulation is opgesteld om één lijn te trekken in de wetgeving over databescherming. Slechts 15 procent van de organisaties in de Benelux weet goed wat deze wetgeving voor hun organisatie gaat betekenen.

Uit het onderzoek blijkt dat slechts 15 procent van de Benelux-organisaties weet welke concrete stappen er moeten worden genomen om te voldoen aan de wetgeving. Slechts de helft van de organisaties denkt dat het realistisch is om te voldoen aan deze nieuwe wetgeving. De respondenten gaven daarnaast aan dat ze verwachten gemiddeld 2 jaar nodig te hebben om überhaupt compliant te kunnen zijn.

70 PROCENT GEEN VERTROUWEN IN EFFECT WETGEVING Meer dan twee derde van de Benelux-respondenten denkt niet (40 procent) of weet niet (31 procent) dat de regulering organisaties gaat beschermen tegen het illegaal verkrijgen van data door cybercriminelen. Minder dan de helft van de respondenten (47 procent) denkt dat de nieuwe wetgeving inderdaad nodig is om de gegevens van de Europese burgers beter te beschermen. NIET VOLDOENDE OP DE HOOGTE VAN SANCTIES 24 procent van de Benelux-respondenten geeft aan niet op de hoogte te zijn dat er boetes betaald moeten worden als men niet voldoet aan de wettelijk opgestelde eisen. Dit terwijl sancties kunnen oplopen tot 5 procent van de totale omzet van een organisatie. Bijna 60 procent van de respon-

denten geeft aan dat een boete van 2 procent van de omzet significante gevolgen gaat hebben voor hun business. Bij een boete van 5 procent van de gehele omzet is dit percentage nog hoger (80 procent). VERANTWOORDELIJKHEID BIJ OVERHEID Bijna 40 procent van de respondenten geeft aan van mening te zijn dat de verantwoordelijkheid om bedrijven op de hoogte te brengen van deze nieuwe wetgeving bij de overheid ligt. Is uw organisatie klaar voor de Europese databeschermingswet? Trend Micro nodigt u graag uit voor een gratis kennissessie van Let’s talk about it, een initiatief van Trend Micro en gespecialiseerde partners, dat kennissessies organiseert om kennis te delen over security. Inschrijven is gratis (zie kader).

LET’S TALK ABOUT IT Alhoewel security steeds vaker bovenaan de agenda komt te staan, blijkt uit dit onderzoek dat bedrijven vaak pas actie ondernemen na een incident. Het is een inkopper, maar het credo ‘voorkomen is beter dan genezen’ geldt zeker ook bij cybercrime. Maar weinig organisaties kunnen zich de imagoschade en kosten permitteren die cyberaanvallen met zich mee brengen. Daarnaast blijkt ook dat de helft van de IT-specialisten vindt dat ze onvoldoende kennis in huis hebben om optimale security-garanties te kunnen bieden aan medewerkers in hun organisatie. We vinden het belangrijk om krachten en kennis te bundelen om zo van elkaar te kunnen leren en echt goede oplossingen te vinden in de strijd tegen cybercrime, vandaar dat Trend Micro sinds kort gratis kennissessies organiseert (www.letstalkabout-it.nl).

CYBERCRIME UPDATE:

RETAILERS EN OVERHEID OPGELET! De eerste helft van 2014 zit er op. Een mooi moment om terug te kijken op de afgelopen maanden van dit jaar. Want wat gebeurde er de afgelopen tijd op het gebied van cybercrime en waar hebben cybercriminelen zich het eerste kwartaal op gericht? Trend Micro publiceerde de resultaten van het rapport ‘Cybercrime hits the unexpected’ met daarin de belangrijkste cybercrime-highlights, zo worden retailers en de overheid extra gewaarschuwd voor gerichte aanvallen. ZEVEN KEER ZOVEEL MALWARE GERICHT OP POS De belangrijkste verschuiving op het gebied van cybercrime was het afgelopen kwartaal te zien in de aanvallen op Point of Sales. Retailers waren vaak doelwit van een gerichte aanval en er bleek het eerste kwartaal zeven keer meer malware actief gericht op PoS dan in heel 2013. Het doel van cybercriminelen was

34

om persoonlijke en financiële gegevens van online shoppers te achterhalen en hen geld afhandig te maken. Recent voorbeeld van een gerichte aanval op een retailketen is retailketen Target. Uit het onderzoek van TrendLabs blijkt dat een PoS verschillende kwetsbaarheden bevat. OVERHEID BELANGRIJKSTE DOELWIT GERICHTE AANVALLEN De overheid blijft het belangrijkste doelwit voor gerichte aanvallen door cybercriminelen. 76 procent van de gerichte aanvallen die plaatsvonden in het eerste kwartaal van 2014, waren gericht op overheidsinstanties. Verder waren gerichte aanvallen wereldwijd vooral gericht op de industrie (7 procent), telecommunicatie (5 procent), IT (5 procent) en zorg (2 procent).


35

LET’S TALK ABOUT IT

WINDOWS XP EN CYBERCRIME: HET EIND IS SLECHTS HET BEGIN

Het nieuws dat Microsoft stopt met de ondersteuning van Windows XP is inmiddels breed uitgemeten in de media. De één spreekt van een Xpocalyps, de ander geeft aan dat het een kwestie is van de deur open laten staan en niet weten of er een inbreker binnenkomt. Inmiddels we-

ten we al wel dat de overheid 3 miljoen heeft betaald aan Microsoft om de ondersteuning te verlengen. TIJD VOOR ACTIE! De gebeurtenissen rondom het eerdere end of support van Java 6 door Oracle ge-

TIPS EN CYBERCRIMEACHTERGRONDEN: BLOG.TRENDMICRO.NL Meer weten over cybercrime, beveiliging van de cloud en mobile security? Bezoek dan de blog van Trend Micro, speciaal voor Nederlandse IT-specialisten en andere geïnteresseerden in cybercrime en security. Op de blog geeft het lezers tips, handvatten en achtergronden, bijvoorbeeld over hoe om te gaan met het einde van de ondersteuning van Windows XP. Blog.trendmicro.nl publiceert wekelijks interessante blogs en houd je op de hoogte van al het security-nieuws.

ven ons een prima indicatie van wat ons te wachten staat: een toenemend aantal cyberaanvallen die de kwetsbaarheden van Java gebruiken om binnen te komen. Het is dan ook van groot belang over te stappen naar een nieuw Windows-besturingssysteem, omdat nieuwe versies een betere beveiligingsarchitectuur hebben en belangrijker nog, steeds up-to-date worden gehouden. Toch is het overstappen op een nieuwere versie voor sommige organisaties een enorme uitdaging. Switchen is namelijk lastig vanwege hun legacy-systeem en applicaties, met name in complexe omgevingen. TREND MICRO BESCHERMING TOT 30 JANUARI 2017 Om er toch voor te zorgen dat ook de organisaties die nog niet zijn overgestapt beschermd blijven, blijft Trend Micro Windows XP ondersteunen tot 30 januari 2017. Dat doen ze bijvoorbeeld door Deep Security, dat modules bevat die constant beschermen tegen diverse kwetsbaarheden. Als er nieuwe kwetsbaarheden worden ontdekt, dan voegt Trend Micro die hier automatisch aan toe. Daarnaast kunnen XP-gebruikers scan engine-, signature- en product-updates verwachten.

Cloud collaboration

Cloud-based Automation

Cloud Mobile Workflow OWASP Cloud File Sharing

PCI Compliant

MFT: more than File Sharing EDIINT AS1, AS2 and AS3 protocols Meet SLA’s and Compliance requirements Cryptographic Tamper-Evident Logging

Enable employees to send files easily and securely

OpenPGP

Transfer Business files Reliably and Securely

Easy and Reliable File-Based Automation

First Enterprise-class Cloud MFT Service

Non-Repudiation / Guaranteed Delivery

Transport Encryption (“Data-in-Transit”) End-to-End Encryption

FIPS 140-2 Validated Cryptography

Person-to-Person file sharing

Data Hosted in Europe’s largest Cloud Services platform

Tonny Roelofs, country manager van Trend Micro: “Dat Microsoft stopt betekent niet dat cybercriminelen ook stoppen. Zij zullen zich blijven richten op XP en wij vinden het dan ook onze plicht om XP te blijven ondersteunen en ook die klanten te beschermen tegen malware en kwetsbaarheden. Zelfs als Microsoft dat zelf niet meer doet.”

36

VIACLOUD BV • BEECH AVENUE 54 • 1119 PW SCHIPHOL-RIJK • THE NETHERLANDS INFOSECURITY MAGAZINE - NR. 3 - JUNI 2014 +31 (0)20-6586421 • WWW.VIACLOUD.NL • [email protected]

37

DOOR KEVIN CUNNINGHAM

STRATEGIE

IAM VOOR DE CLOUD

EN UIT DE CLOUD De ingebruikname van cloud-technologie verandert niet alleen de kijk op IT-afdelingen, maar heeft ook sterke invloed op hoe organisaties kijken naar identity en access management (IAM). Cloud verandert op twee manieren de IAM-strategie: welke cloud resources moeten worden beheerd en welke mogelijkheden zijn er om een identiteitsoplossing toe te passen?

38

Ten eerste heeft de cloud gezorgd voor nieuwe beheeruitdagingen omdat bedrijven hun IAM-strategie moeten uitbreiden van on-premise toepassingen naar cloud-applicaties. Daarnaast heeft de sterke opkomst van SaaS-managementtools voor bijvoorbeeld HR en services de weg vrijgemaakt voor IDaaS, een nieuwe leveringsmanier die agility

kan vergroten en operationele kosten kan verlagen. Als eerste wil ik kijken naar IAM voor de cloud, daarna naar IAM uit de cloud. SAAS-BEHEER ALS ONDERDEEL VAN IAM Steeds meer bedrijven zullen bedrijfsbreed SaaS-toepassingen aanschaffen, en afdelingen stappen over op cloud-toepassingen, zelfs voor kritische processen, zonder tussenkomst van IT. Het gemak en snelheid van ingebruikname is hierbij het belangrijkste criterium. Maar als IT er niet meer tussen zit, wordt het uiteraard wel steeds lastiger om beveiliging en compliancy te waarborgen. Wanneer toegang tot applicaties met gevoelige informatie niet meer gecontroleerd wordt, loopt het hele bedrijf risico op fraude, dataverlies, privacy-issues en negatieve audit-resultaten. Kortom, iemand binnen de organisatie moet zorgen voor beheerde toegang tot bedrijfskritische applicaties, ongeacht hun locaties. Dat is de rol van IAM. De juiste IAM-oplossing helpt bedrijven bij het beheren van een hedendaagse hybride IT-omgeving. Een overkoepelende aanpak is beter dan een niche-oplossing die de twee los van elkaar beheert. Alleen dan houdt u bedrijfsbreed zicht en controle op wie wat gebruikt. IAM ALS EEN SERVICE Nu het belang van IAM voor de cloud helder is, wil ik kijken naar de mogelijkheden van IAM uit de cloud. IAM heeft andere softwaresectoren vertraagd in de vraag naar SaaS vanwege vraagtekens bij de beveiliging en de complexiteit van het beheer van on-premise software vanuit de cloud. De voor- en nadelen van on-premise tegenover IDaaS moeten worden afgewogen, maar nu er steeds vollediger oplossingen beschikbaar komen, met beveiliging, beschikbaarheid, prestaties en schaalbaarheid die aan de eisen voldoen, is het een plausibel alternatief geworden. BENT U TOE AAN IDAAS? Er zijn drie criteria om te bepalen of een organisatie toe is aan IDaaS. Ten eerste, is het gebruik van SaaS al gemeengoed binnen het bedrijf? Als meerdere online toepassingen worden gebruikt in plaats van de on-premise alternatieven is IDaaS een optie. Er zijn echter uitzonderingen, bijvoorbeeld in streng gereguleerde industrieën. Als een bedrijf aan het

startpunt staat qua SaaS lijkt IDaaS geen goede optie: aangezien IAM een sleutelrol speelt binnen de infrastructuur, wil je daar geen experiment mee aangaan. Ten tweede, wat is belangrijker: het reduceren van toekomstige deployment- en onderhoudskosten of de mogelijkheid om een oplossing aan te laten sluiten bij de bestaande bedrijfsprocessen? Veel bedrijven hebben complexe infrastructuren die het best profiteren van IAM op basis van maatwerk, aansluitend op de specifieke behoeftes. IDaaS kan weliswaar worden aangepast, maar biedt meestal niet de maatwerkmogelijkheden van traditionele IAM-projecten. Men moet dus afwegen wat zwaarder weegt (en meer oplevert) op de langere termijn: besparen op kosten, of een toepassing naadloos aansluitend op de specifieke situatie. Als het mogelijk is om bestaande identiteitsprocessen aan te passen, is IDaaS een optie. Ten slotte, wordt SaaS van bovenaf opgelegd? De voordelen van SaaS worden

steeds duidelijker voor mensen in het (top-)management, zoals snellere terugverdientijd, gebruiksgemak en lagere operationele kosten. Deze voordelen zorgen ervoor dat IT-teams steeds vaker worden opgedragen SaaS te overwegen bij elke aankoop van nieuwe software of de evaluatie van bestaande. Let dan wel op de verschillen tussen een daadwerkelijk SaaS-aanbod en een hosted versie van een on-premise IAM-toepassing die niet dezelfde voordelen biedt. IAM speelt een cruciale rol in cloud-security en compliancy-issues dankzij een centrale, alomvattende benadering van toegangsbeheer voor elke bedrijfstoepassing. Of het nu on-premise of as-aservice wordt toegepast, de juiste aanpak van IAM stelt bedrijven in staat controle te houden over gegevens en risico’s te beheren. Kevin Cunningham, co-founder en president Sailpoint


39

In deze training wordt ingegaan op het efficiënt gebruiken van Wireshark en de packet-level TCP/IP communicatie door het bestuderen van zowel het correct als verkeerd gedragen van netwerken. Een groot gedeelte van de training wordt diepgaand gekeken naar de mogelijkheden van Wireshark. Verder wordt het beoordelen van zowel normale als abnormale communicatiepatronen van de TCP/ IP toepassing en de meest gangbare applicaties bestudeerd, zoals DHCP, DNS, FTP, Telnet, HTTP, POP en SMTP. De nadruk gedurende de training ligt sterk op hands-on laboefeningen en case studies. 40

Hiermee wordt kennis opgedaan die direct na de training kan worden gebruikt. CSI TRAINING: CYBER SECURITY INVESTIGATION AND NETWORK FORENSIC ANALYSIS De CSI Training is door SCOS speciaal ontwikkeld voor netwerkbeveiligings- en wetshandhavingspersoneel met basis- tot gemiddelde kennis van algemene beveiliging en netwerken. Deze cursus maakt forensische netwerkanalyse (Network Forensic Analysis) toegankelijk voor de deelnemers. Indien men reeds beschikt

SLA

VIRTUALISATIE

APPS

SECURITY

STORAGE

SOLUTIONS

PAAS MIGRATIE

CLOUDSHOPPING

SOLUTIONS

STORAGE

LAAS

IT MANAGEMENT

SAAS

PRIVATE LAAS

GREEN IT

PAAS

MIGRATIE PRIVATE APPS CONVERSION HYBRIDE CLOUDCOMPUTING SECURITY

PUBLIC

over goede kennis van hostbased forensische analyse leert men toepassingen met betrekking tot het ‘end-to-end’ digitale forensische proces. Forensische netwerkanalyse omvat het registreren van verdachte gegevens en het ontdekken van ongebruikelijke patronen die schuilgaan achter schijnbaar normaal netwerkverkeer. Deze cursus voorziet de deelnemer van een set onderzoekstechnieken en richt zich op het gebruik van leveranciersonafhankelijke, opensourcetools om inzicht te verschaffen in de volgende gebieden: • de grondbeginselen van forensische analyse • datarecorder technologie en data mining • netwerkbeveiligingsprincipes, waaronder encryptietechnologieën en defensieve configuraties van apparaten voor de netwerkinfrastructuur • herkenning van beveiligingsrisico’s voor verschillende algemene netwerkaanval- en exploitscenario’s, waaronder netwerkverkenningstechnieken, gevaarherkenning van botnetwerken en ‘man-in-the-middle’-aanvallen evenals algemene kwetsbaarheden in het gebruikersprotocol, inclusief IP-gerelateerde protocollen (IP/TCP, DNS, ARP, ICMP), e-mailprotocollen (POP/ SMTP/IMAP) en andere, algemene webbased gebruikersprotocollen • opensourcetools op het gebied van forensische netwerkanalyse • gespecialiseerde forensische netwerkanalysetechnieken, inclusief reconstructie van verdachte gegevens en inspectietechnieken Gedurende de cursus worden praktijkvoorbeelden gebruikt, in combinatie met verschillende praktijkoefeningen, zodat in de praktijk bewezen, praktische forensische analysevaardigheden worden verkregen. Meer informatie: www.scos.nl

VIRTUALISATIE

Als officiële Wireshark Trainings Center van de Wireshark University van Laura Chappell organiseert SCOS Software de Wireshark Troubleshooting TCP/IP networks training. Wireshark is een populaire netwerk analyse tool met meer dan 500.000 downloads per maand. SCOS is de enige in Europa die door de Wireshark University geautoriseerd is om deze training te geven. SCOS-trainers zijn Certified Wireshark University Trainers, lid van FBI InfraGard, het Computer Security Institute, het IEEE en het Cyber Warfare Forum Initiative. Ze spreken regelmatig op regionale, nationale en internationale evenementen op het gebied van netwerken en beveiliging.

DATAC GREEN IT

TCP/IP NETWORKS

CLOUDCOMPUTING

MIGRATIE

TROUBLESHOOTING

SECURITY

PRIVATE

LAAS CONVERSION

HYBRIDE IT MANAGEMENT

PUBLIC

WIRESHARK UNIVERSITY

GREEN IT

cloudworks.nu geheel vernieuwd! Feiten en fictie in kaart gebracht

INFOSECURITY MAGAZINE - NR. 2 - MEI 2014

41


RECHT OM VERGETEN TE WORDEN

ONDERZOEK

Het is niet duidelijk van welke informatie iemand kan vragen die te verwijderen

CONSUMENTEN BETWIJFELEN OF HET

'RECHT OM VERGETEN TE WORDEN’ IN DE PRAKTIJK WERKT Iron Mountain´s onderzoek suggereert dat zelfgenoegzaamheid en wantrouwen bij de consument de door EU voorgestelde hervormingen voor privacy en gegevensbescherming kunnen ondermijnen

Consument wantrouwt de naleving van het recht om vergeten te worden

BURGER

ZIET BEDRIJVEN ALS VERGEETMIJ-NIETJES

Het uitgangspunt van de voorgestelde EU-hervormingen over gegevensbescherming is dat bescherming van persoonlijke gegevens een fundamenteel recht is van alle Europeanen. Organisaties die dit recht schenden, kunnen een boete krijgen van maximaal 2% van hun gehele omzet

Nieuw onderzoek van informatiemanager Iron Mountain suggereert dat consumenten er aan twijfelen of het 'recht om vergeten te worden ' in de praktijk zal werken

88%

zegt te maken te hebben met zo veel organisaties, online en offline, dat niet meer duidelijk is wie welke informatie over hen bezit

72% is er niet van overtuigd dat het de moeite waard is te vragen om persoonlijke informatie te laten verwijderen

83% gelooft niet dat een bedrijf persoonlijke informatie over hen zal verwijderen, zelfs als het bedrijf bevestigt de gegevens verwijderd te hebben

Het is niet duidelijk van welke informatie iemand kan vragen die te verwijderen

42

89%

vindt dat dit geldt voor persoonlijke informatie

De overgrote meerderheid van de mensen (88 procent) heeft er geen idee van wie welke informatie over hem of haar bezit. De voorgestelde Europese richtlijn voor privacybescherming heeft tot doel om bij de verwerking van persoonsgegevens de fundamentele rechten en vrijheden van consumenten te beschermen. Desondanks betwijfelen consumenten of deze richtlijn hen beschermt en of het ́recht om vergeten te worden ́ in de praktijk wel werkt. Burgers vertrouwen er niet op dat bedrijven hun gegevens wissen, zelfs niet als dit gevraagd wordt, blijkt uit nieuw onderzoek van Iron Mountain.

sprekken (48 procent) of sociale mediaberichten (41 procent) kunnen laten verwijderen. “Bijna alles wat we doen, creëert een spoor van informatie die kan worden verzameld, verwerkt en zelfs verspreid. Organisaties die deze informatie verzamelen, moeten hier zorgvuldig mee omgaan en de gegevens goed beheren en beschermen. De voorgestelde Europese hervorming voor de richtlijn over gegevensbescherming is een eerste stap naar betere bescherming van consumenten”, zegt Jeroen Strik van Iron Mountain. “Toch blijkt uit ons onderzoek dat consumenten er anders in staan. Ook al delen zij bijna hun hele zakelijke en sociale leven online, zij wantrouwen organisaties op het naleven van verzoeken om persoonlijke gegevens te verwijderen. Organisaties kunnen deze negatieve houding wegnemen door consumenten te informeren over hun beleid en procedures.” “Of informatie zich op papier, online of in een digitale databank bevindt, bedrijven moeten weten welke informatie ze bezitten, waar deze bewaard wordt, en hoe gegevens veilig gewist of vernietigd kunnen worden als daar om gevraagd wordt - en dit op een transparante en verantwoordelijke manier uitvoeren”, vervolgt Strik. “Het digitaliseren van belangrijke papieren documenten zou een goede eerste stap zijn voor veel bedrijven. Hierdoor kunnen gegevens worden samengevoegd in een centrale database. Bedrijven hebben veel te winnen bij het opbouwen van vertrouwen en het voldoen aan weten regelgeving. Vertrouwen leidt tot loyaliteit en trouw drijft de verkoop op.”

89%

vindt dat dit geldt voor persoonlijke informatie

64%

financiële gegevens

59%

e-mailcorrespondentie

48%

opgenomen telefoongesprekken

41%

sociale mediaberichten

Deze onduidelijkheid geldt zowel voor informatie die op papier als digitaal opgeslagen is

Slechts

1/3

gelooft dat informatie op papier zoals brieven of ingevulde formulieren – valt onder de wetgeving gegevensbescherming

ondanks het feit dat

2/3

De hervorming van de Europese richtlijn voor privacybescherming komt voort uit de gedachte dat bescherming van persoonlijke gegevens een fundamenteel recht is voor alle Europeanen. Organisaties die dit recht schenden, kunnen volgens de huidige voorstellen een boete van maximaal 2 procent van de wereldwijde omzet verwachten. RECHT OM VERGETEN TE WORDEN Consumenten geven aan dat ze in deze tijd met veel verschillende organisaties contact hebben, zowel online als offline, en zich afvragen wat er met hun gegevens en privacygevoelige informatie gebeurt. De voorgestelde wijziging in het Europees recht stelt de consument in staat bedrijven die informatie over hen bezitten, te verzoeken deze te verwijderen. Bijna drie van de vier consumenten (72 procent) is er echter niet van overtuigd dat het de moeite waard is te vragen om persoonlijke informatie te laten verwijderen. 83 Procent gelooft er zelfs niet in dat bedrijven persoonlijke informatie zullen verwijderen, zelfs als het bedrijf bevestigt dat de gegevens gewist zijn. VERWARRING Er heerst verwarring over ́het recht om vergeten te worden. Voornamelijk van welke informatie gevraagd kan worden deze te laten verwijderen. Het merendeel van de ondervraagden meent dat dit geldt voor persoonlijke informatie (89 procent), financiële gegevens (64 procent) en e-mail correspondentie (59 procent). Minder dan de helft meent bovendien dat ze ook opgenomen telefoonge-

aanvoelt dat informatie op papier over hen gemakkelijker te vernietigen is dan online informatie

“Bijna alles wat we doen, creëert een spoor van informatie die kan worden verzameld, verwerkt en zelfs gedeeld. De voorgestelde Europese hervormingen voor

gegevensbescherming zijn een goede eerste stap naar betere bescherming van consumenten", zegt Jeroen Strik van Iron Mountain. "Toch blijkt uit ons onderzoek dat de consument er anders in staat. Ook al delen zij bijna hun hele zakelijke en sociale leven online, zij wantrouwen organisaties op het naleven van verzoeken om persoonlijke gegevens te verwijderen. Of persoonlijke informatie zich op papier, online of in een elektronische databank bevindt, je moet weten welke informatie je hebt, waar die bewaard wordt, en hoe gegevens veilig gewist of vernietigd kunnen worden als daar om gevraagd wordt - en dit op een transparante en verantwoordelijke manier

”

uit te voeren.

Iron Mountain hield het onderzoek onder volwassenen in Nederland, Duitsland, Frankrijk, Spanje en het Verenigd Koninkrijk 1

De Europese Commissie is van plan de bescherming van gegevens in de Europese Unie (EU) onder één enkele richtlijn te brengen, de General Data Protection Regulations (GDPR). Goedkeuring door de Europese Raad moet er zijn voor eind 2014. De effecten worden merkbaar na een overgangsperiode van 2 jaar. Artikel 17: Persoonsgegevens moeten worden geschrapt als het individu zijn gegevens terugtrekt of wanneer de gegevens niet meer nodig zijn en er geen legitieme reden is dat een organisatie deze behoudt.


43

DOOR HANS VANDAM

PRIVACY

Wereldwijd consumentenonderzoek legt meningen en gevoeligheden privacy bloot

‘NEDERLANDERS VERWACHTEN PRIVACY VAN OVERHEID’

Uit wereldwijd onderzoek dat IT-bedrijf EMC heeft gedaan onder 15.000 consumenten, blijkt dat vrijwel iedereen graag wil profiteren van nieuwe, digitale technologieën, maar daarvoor geen privacy wil inleveren. In dit onderzoek is ook een groot aantal Nederlandse consumenten ondervraagd naar hun zienswijze op online privacy, verdeeld naar activiteiten, communicatie en gedrag. Opmerkelijke uitkomsten daarvan zijn dat Nederlanders meer bemoeienis verwachten van de overheid door bijvoorbeeld het invoeren van opt-in-wetgeving en dat hun privacy-niveau mede dankzij sociale media moeilijk in stand te houden is de komende vijf jaar. Het rapport geeft inzage in hoe consumenten kijken naar het recht op online privacy en geeft aan in hoeverre zij bereid zijn (een deel van) hun privacy in te leveren om gebruik te kunnen maken van moderne technologie. Het volledige rapport, met de scores per land, is te vinden op http://netherlands.emc.com/ campaign/privacy-index/index.htm.

44

BELANGRIJKE CONCLUSIES Consumenten willen profiteren van nieuwe technologie zonder daarvoor hun privacy in moeten te leveren. Op basis van de duizenden antwoorden heeft EMC geconcludeerd dat er drie verschillende paradoxen zijn: 1. De ‘We Willen Alles!’-paradox Consumenten geven aan te willen profiteren van alle voordelen van digitale technologie, maar ze zijn niet bereid daarvoor privacy in te leveren.

2. De ‘Onderneem Geen Actie’-paradox - Ondanks dat veel consumenten te maken hebben met allerlei privacyrisico’s, geeft het merendeel aan eigenlijk geen actie te ondernemen om die privacy te beschermen. Ze vinden dat de taak van de instanties die hun informatie vragen, opslaan en verwerken zoals de overheid en het bedrijfsleven. 3. De ‘Social Sharing’-paradox Gebruikers van sociale media claimen dat ze erg gesteld zijn op (hun) privacy, maar geven tevens aan dat ze vrijelijk grote hoeveelheden persoonlijke informatie delen. Dit terwijl ze ook aangeven dat ze er geen vertrouwen in hebben dat deze media hun informatie goed beschermen. Daarnaast gaat de EMC Privacy Index ervan uit dat mensen zich in elke situatie anders gedragen. Daarom zijn zes verschillende persona gebruikt die allemaal een verschillende houding ten opzichte van privacy hebben. OPVALLENDE RESULTATEN De ‘We Willen Alles’-paradox Ongeacht de persona of het type voordeel, hebben mensen weinig bereidheid privacy te ruilen voor de voordelen van digitale technologie: • 91 procent van de respondenten wereldwijd waardeert het voordeel van ‘betere toegang tot informatie en kennis’ dat digitale technologie mogelijk maakt, maar 27 procent zegt dat ze ook privacy wil inleveren om te kunnen profiteren van het internet. In Nederland ligt dit percentage op 23 procent. • 85 procent stelt het gebruik van digitale technologie voor bescherming tegen terroristen en criminelen op prijs, maar 54 procent zegt daarvoor (een deel van) zijn privacy te willen opgeven.

•

Respondenten die ouder zijn dan 55 jaar, verdeeld over diverse landen, zijn duidelijk minder geneigd hun privacy in te wisselen voor gemak. Zij willen meer controle over hun persoonlijke gegevens.

De ‘Onderneem Geen Actie’-paradox Meer dan de helft van alle respondenten geeft aan dat ze te maken hebben gehad met een ‘datalek’. Te denken valt aan een gehackt e-mail- of social media-account of een mobiele telefoon die kwijt of gestolen is. In Nederland ligt dit percentage op 38 procent. Maar veel respondenten nemen verder geen maatregelen om zich daar beter tegen te beschermen. • 62 procent wijzigt zijn wachtwoorden niet regelmatig. Dat percentage is in Nederland hetzelfde. • 4 van de 10 respondenten verandert de standaardinstellingen op zijn social media-account nooit. In Nederland is dat bijna de helft. • 39 procent maakt geen gebruik van wachtwoordbeveiliging (of een equivalent) op zijn mobiele apparaat. In Nederland is dit bij 23 procent van de mensen het geval. • De respondenten in dit onderzoek gaven aan dat ze bedrijven die hun gegevens gebruiken en/of verkopen of ruilen voor financieel gewin (51 procent) en het gebrek aan overheidsbemoeienis daarbij (31 procent) als grootste risico’s ervaren voor de toekomst van privacy. Nederland scoort bij de vraag of de overheid wetten moet invoeren, die bedrijven verbiedt persoonlijke gegevens zonder ‘opt-in’ te verkopen, het allerhoogst van alle landen. 94 procent van de Nederlander ziet hier wel wat in. • Ook hier geldt dat mensen van 55 jaar of ouder niet snel een wacht-

woord op hun mobiele apparaat zullen gebruiken, noch de privacy-instellingen van hun sociale netwerken veranderen. De ‘Social Sharing’-paradox Het gebruik van sociale media neemt nog steeds toe, ondanks dat: • 89 van de respondenten in Nederland verwacht dat hun privacy op en dankzij sociale media moeilijk in stand te houden is de komende vijf jaar. • Men niet gelooft dat de betrokken sociale media in staat of bereid zijn de privacy van hun gebruikers en hun persoonlijke gegevens goed te beschermen. • 47 procent van de Nederlanders gelooft dat deze media in staat zijn hun persoonlijke gegevens te beschermen en maar 40 procent denkt dat dat onderdeel is van het ethische DNA van de sociale media die zij gebruiken. • Het overgrote merendeel van de consumenten (84 procent) geeft aan dat ze niet willen dat iemand anders iets van hen weet, zonder dat ze zelf hebben besloten informatie met die persoon te delen. • Mensen van 65 jaar of ouder zijn significant meer bezorgd over hun privacy daar zij het minst bereid zijn anderen iets te laten weten over hun online gebruik.

•

(70 procent). In Nederland ligt dat percentage op 59 procent. Een grote meerderheid van respondenten (81 procent) verwacht dat het ‘privacyniveau’ de komende vijf jaar zal afnemen.

Deze bevindingen suggereren dat consumenten waarschijnlijk eerder zaken zullen doen met organisaties die het bewaken van privacy hoog in het vaandel hebben staan. Dit schept mogelijkheden en verantwoordelijkheden die zowel bedrijven als overheden niet naast zich neer kunnen leggen. Hans Timmerman, CTO van EMC Nederland: “Het enorme potentieel van de cloud en Big Data om commercieel en sociaal succesvol te kunnen zijn, staat of valt met vertrouwen. Mensen moeten niet alleen weten dat hun gegevens veilig zijn, maar ook dat hun privacy gegarandeerd is. Deze Privacy Index laat de wereldwijde meningen en afwijkingen zien over deze onderwerpen. Het is tevens een waarschuwing voor transparantie, eerlijkheid, veilig online gedrag en degelijk gebruik van persoonlijke gegevens die gedeeld ‘moeten’ worden met bedrijven, overheden en mensen onderling.” Hans Vandam is journalist

Privacy in de toekomst Het vertrouwen dat mensen hebben over hun privacy neemt steeds verder af: • Vergeleken met een jaar geleden geeft 59 procent van de wereldwijde respondenten aan dat ze tegenwoordig minder privacy hebben. Het hoogste percentage van mensen die dat vinden, bevindt zich in Brazilië (71 procent) en de Verenigde Staten INFOSECURITY MAGAZINE - NR. 3 - JUNI 2014

45

TSTC – de Security Opleider van Nederland

DOOR MR. V.A. DE POUS

LEGAL LOOK

- Botnets, DDoS, Malware ... Gehackt! Bent u de volgende? - En wat is dan uw reputatie- en/of financiële schade? - Vormt uw Blackberry of iPhone een security risico? Herkent u bovenstaande vragen?

HOE

Deze tijd vraagt om oplossingen en kennis van zaken.

MIJN HART BLOED Zelden bedacht iemand zo’n treffende naam voor een technische omissie, als die al überhaupt worden bedacht. Heartbleed: een softwarefout van jewelste. De beveiligingssoftware OpenSSL bevatte twee jaar lang een zeer ernstige bug, waardoor zelfs versleutelde data, zoals wachtwoorden, creditkaartnummers en account-gegevens, door hackers konden worden verkregen. En zonder een spoor na te laten. De cruciale ‘kwetsbaarheid’ maakte twee derde van het immense World Wide Web kwetsbaar en toont opnieuw aan dat Internet met digitale touwtjes aan elkaar hangt. Maar en passant ook dat programmeren bij voorkeur als een strak-geleid en hiërarchisch proces moet plaatsvinden. Vertrouwen op vrijwilligers met hun peer review is geen structurele aanpak. Laat dat voor eens en altijd duidelijk zijn. Het was de Delftse promovendus Ruben van Wendel de Joode die in september 2005 stelde dat - het gebrek aan - maakbaarheid van een open source-softwaregemeenschap een probleem vormt. Vrijwilligers die samen aan een project werken, leunen in theorie sterk op peer review: de programmeurs beoordelen elkaars werk. Een vorm van zelfregulering. Voorstanders van open source software roemen de modus operandi. De kwaliteit zou er door stijgen. Maar criticasters wijzen telkens op het feit dat computerprogramma’s van enige omvang altijd onderhoud nodig hebben en vaak ook een routekaart voor de toekomst. Deze processen vereisen sturing en beheer (en natuurlijk voldoende handjes die programmeren en onverkort zorgvuldig testen). De vraag luidt: wie doet wat? Every-

46

Zorg dat u goed getraind bent, kijk gauw op www.tstc.nl/training/security

body’s job is not anybody’s job, zo blijkt overduidelijk uit de OpenSSL-bug.

de lid van dit artikel de reikwijdte van de meldplicht sterk in te perken.

Het oorspronkelijke open source-gedachtegoed (free software) gaat uit van tweerichtingsverkeer: leveranciers worden klant en klanten leverancier. Daar is in de praktijk weinig van terechtgekomen. Nu klinkt de roep luider dat bedrijven die het meest van open source, zoals OpenSSL, hebben geprofiteerd (Google, Facebook, c.s.) meer moeten bijdragen. Dat gebeurt sinds kort in ieder geval financieel.

Wat betekent dit? Kort gezegd, alleen inbreuken waarvan de ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens volstrekt evident zijn, moeten straks worden gemeld aan de toezichthouder. Daarbij blijven dus andersoortige datalekken in beginsel onder de radar. Een inbreuk met ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens, moet daarnaast ook aan de betrokkene (u en ik) worden gemeld, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Indien organisaties de software niet bijwerken en de getroffen beveiligingscertificaten niet intrekken, kunnen zij in overtreding van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) zijn, aldus waarschuwt onze toezichthouder, het College bescherming persoonsgegevens. Voor wie het na al die jaren - om precies te zijn: sinds 1 september 2001 - nog niet weet, dit centrale wetsartikel ziet toe op de verplichting tot het nemen van ‘passende technische en organisatorische maatregelen’ om persoonsgegevens te beveiligen tegen ‘verlies of tegen enige vorm van onrechtmatige verwerking’. Ook het wijzigen van inloggegevens kan hiertoe behoren. Dat brengt ons automatisch naar de relatie tussen datalek en wettelijke meldplicht, waaraan de regering werkt. Na forse kritiek van de Raad van State op het wetsontwerp, wordt nu voorgesteld om de omschrijving van de reikwijdte van de meldplicht in het eerste lid van het nieuwe artikel 34a Wbp aan te passen en om vervolgens door aanpassing van het zes-

Zijn we verheugd over deze geclausuleerde - afgezwakte - meldplicht? Het betekent in ieder geval dat de verantwoordelijke (de partij die de persoonsgegevens verwerkt, zoals bank of cloud service provider) in voorkomende gevallen twee criteria moet beoordelen. Zijn de ernstige gevolgen van een datalek volstrekt evident en heeft de inbreuk waarschijnlijk ongunstige gevolgen voor het individu. Volgens de regering beogen de wijzigingen een beter evenwicht tussen enerzijds de belangen die zijn gediend met een goede bescherming van persoonsgegevens en anderzijds de administratieve lasten en nalevingskosten die met de introductie van wettelijke meldingsverplichtingen gepaard gaan. Wij stellen dat de wijzigingen tot veel discussie zullen leiden.

Een greep uit onze security certificeringen: Certified Ethical Hacker (CEH) Computer Hacking Forensic Investigator (CHFI) Certified Security Analyst (ECSA) Licensed Penetration Tester (LPT) Certified Information Systems Security Professional (CISSP) Certified Information Security Manager (CISM) Certified Information Systems Auditor (CISA) Cloud Security Audit and Compliance (CSAC) Certified Risk Manager ISO 27005/31000

of the Year ATC

of the Year ATC

2013

TSTC - 7e jaar op rij de beste EC-Council Security Opleider Europa!

NIEUW!!!

Certified Information Privacy Professional/ Europe (CIPP/E)

Want security start bij mensen!! INFOSECURITY MAGAZINE - NR. 3 - JUNI 2014 W W W.T S TC .NL

47

You have to SEE IT to believe it

Visibility

The only way to make smart decisions in the 21st Century From the C-level office to network administration, business decisions need to be made at light speed – decisions that enhance productivity and profitability. WatchGuard Dimension instantly turns raw network data into actionable security intelligence. It gives you the ability to see and understand how to protect your business, set tight security policy, and meet compliance mandates.

Go beyond reporting to the decision-making power of WatchGuard Dimension. Pure visibility from any angle. Call us today at +31(0)70 - 711 20 80 or email: [email protected]

PRIVACY VAN DE OVERHEID

Recommend Documents