VAN PERIODIEKE SCANS NAAR CONTINUE MONITORING

infosecurity

JAARGANG 13 - OKTOBER 2014 - WWW.INFOSECURITYMAGAZINE.NL

MAGAZINE

VAN PERIODIEKE SCANS NAAR CONTINUE MONITORING

MELDPLICHT NOODZAAKT TOT BETER INZICHT IN DATALEKKEN

ALTIJD EN OVERAL

INFORMATIEBEVEILIGING ALS BUSINESS ENABLER

BEURSSPECIAL

INFOSECURITY – STORAGE EXPO – TOOLING EVENT INDUSTRIE HEEFT BETERE BESCHERMING TEGEN CYBERAANVALLEN NODIG - NEDERLAND IN TOP 3 LANDEN HOSTING MALAFIDE URL’S - SECURITY BEGINT BIJ MENSEN - PAS OP: IOT IN UITVOERING! - 14 MYTHES OVER MOBILITY EN SECURITY - TIEN ONMISBARE FUNCTIES VOOR UW NEXTGENERATION FIREWALL-AANKOOP - ENCRYPTIE IS SLEUTEL TOT BEWAKEN VAN UW REPUTATIE - VEILIG IMPLEMENTEREN VAN MOBIELE APPS - NORMEN VOOR IT-BEVEILIGING EN RISICOMANAGEMENT EEN ABSOLUTE MUST - FLEXIBELER INSPELEN OP RISICO’S DOOR PROGRAMMEERBARE NETWERKEN

g

THE POWER OF PEOPLECENTRICITY IN INFORMATIEBEVEILIGING

Colofon - Editorial

Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via [email protected]. Uitgever Jos Raaphorst 06 - 34 73 54 24 [email protected] twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 [email protected] twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel

‘Informatiebeveiligingsbewustzijn bij medewerkers is essentieel’ GERARD STROEVE I MANAGER SECURITY & CONTINUITY SERVICES

Advertentie-exploitatie Will Manusiwa 06 - 38 06 57 75 [email protected] Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 [email protected]

Informatiebeveiliging gaat verder dan IT alleen © 2014 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.

Centric kan u ondersteunen bij het succesvol opstellen, implementeren en uitvoeren van een informatiebeveiligingsbeleid conform de ISO 27001-norm, ISO 27002, Baseline Informatiebeveiliging voor Nederlandse Gemeenten en de NEN 7510. Het team van Security & Continuity Services is onder meer gespecialiseerd in het uitvoeren van Gap-analyses en risicoanalyses, het opstellen van beveiligingsplannen en het formuleren van passende beveiligingsmaatregelen. Kenmerkend voor onze aanpak is dat we breder kijken dan de ICT-component alleen. We nemen ook onderwerpen mee als fysieke beveiliging, security awareness en continuïteitsmanagement.

Meer informatie: www.infosecuritymagazine.nl

Kunt u hulp gebruiken bij de informatiebeveiliging binnen uw organisatie? Ga naar www.centric.eu/informatiebeveiliging of mail ons via [email protected].

SOFTWARE SOLUTIONS | IT OUTSOURCING | BPO | STAFFING SERVICES 2

www.centric.eu

Firewall

van de zaak

Nederland moet een Digitale Delta worden. Daarover lijken politiek en belangenbehartigers van ICT- en datacenterbedrijven het inmiddels wel eens. Hoewel niet altijd precies duidelijk is wat men daarmee bedoelt, lijkt men elkaar te vinden in een aanpak die tot een herhaling van het succes van dit land als vestigingsplaats voor datacenters moet leiden.

In feite hebben we het hier over een radicale digitalisering van de economie en de maatschappij. Door het consequent en maximaal toepassen van IT zijn enorme voordelen te behalen. Werkprocessen in het bedrijfsleven kunnen nog veel efficiënter, de samenwerking tussen overheid en bedrijven wordt er veel beter door, maatschappelijke organisaties en burgers kunnen veel sneller en goedkoper tot samenwerking komen, terwijl ook de - zeg maar - kwaliteit van de Nederlandse werknemer hierdoor nog flink omhoog kan.

de gevaren. Hierdoor kwam spontaan het idee op van een - zeg maar - Firewall Privé-regeling. Net als we jaren geleden PC Privé-projecten kenden. Het idee is eigenlijk heel simpel. Destijds zagen we met z’n allen in dat Nederlanders betere computervaardigheden moesten krijgen. Via een fiscale regeling hebben we dat in no-time voor elkaar gebokst. Het woord ‘PC’ moeten we inmiddels vervangen door ‘online’. We moeten online gaan leven en denken. Maar dat moet wel op een veilige manier gebeu-

Door het consequent en maximaal toepassen van IT zijn enorme voordelen te behalen Kernbegrip is wat mij betreft: ‘digital literacy’. Anders gezegd: Nederlanders moeten extreem goed worden in digitaal denken en doen. Daarmee bedoel ik niet dat ze allemaal een cursus Word of Excel hebben gevolgd, maar dat digitaal werken in hun DNA gaat zitten. Dat we niet alleen online formulieren kunnen invullen of mails kunnen versturen, maar dat we ook - zeg maar: als tweede natuur - met digitale tools samenwerken. Dat social media niet meer (alleen) voor foto’s van de katten of van een optreden van Pearl Jam worden gebruikt, maar dat we op een social-achtige manier gaan leven en werken. Ik moest hier aan denken tijdens het TDI-symposium (trusted digital identity) van Vasco. Daar werden de voordelen van digitaal werken benoemd, maar ook

ren. Bij bedrijven met een eigen IT-afdeling is dat al een uitdaging, laat staan bij mensen thuis. Security is echter wel van cruciaal belang willen we de Nederlandse werknemer ‘digital literate’ maken en Nederland omvormen tot Digitale Delta. Enkel en alleen een firewall is dan uiteraard niet voldoende. Zie het eerder als een metafoor voor het drastisch vergroten van het bewustzijn van Nederland op het gebied van infosecurity. Daar hebben we tools als firewalls voor nodig, maar wellicht ook cursussen en opleidingen. Online denken en doen moet, maar secure online denken en doen nog meer. Tijd voor een Firewall Privé-project dus. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine

INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014

3

INHOUD

Nee heb je, Ja kun je krijgen! Neem geen genoegen met de beperkingen van EMC Als u EMC gebruikt voor uw dataopslag, neemt u te vaak genoegen met ‘nee’. ‘Nee’ voor het ontbreken van een gezamenlijk operating system voor mid range, high-end en all-flash. Geen 8x snellere provisioning - en zeker nee, als u het vergelijkt met de garanties die HP u kan bieden. Zoals dat u 50% van uw benodigde capaciteit kunt reduceren als u gebruik maakt van HP3PAR StoreServ Storage. Of dat u in staat bent de VM density op uw servers te verdubbelen.* Bekijk wat een overstap naar HP3PAR StoreServ Storage voor u kan doen - en zeg JA tegen HP. Benefit

EMC

HP

Tier-1voorzieningen voor een midrange prijs

Nee

Ja

8x snellere provisioning

Nee

Ja

Get Thin Guarantee: Reduceer Capaciteitseisen met 50%

Nee

Ja

Get Virtual Guarantee: Verdubbel VM density

Nee

Ja

All-flash array met enterprise data services

Nee

‘De betrouwbaarheid staat ter discussie’ 12 In 2017 moet het contact tussen burger en overheid volledig digitaal zijn ingericht, zo is in ieder geval de ambitie van het huidige kabinet Rutte II. Ondertussen maakt diezelfde burger zich steeds grotere zorgen of zijn ‘digitale identiteit’ wel veilig is. “Identiteitsfraude is een serieus probleem”, aldus Wilma van Dijk, directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Nederland in top 3 landen hosting malafide URL’s 18 Uit onderzoek van Trend Micro, specialist op het gebied van beveiligingssoftware, blijkt dat Nederland in het tweede kwartaal van 2014 populair is als het gaat om het hosten van malafide URL’s. Ons land staat daarmee op een gedeelde tweede plek met onder andere China en Rusland.

14 mythes over mobility en security 34 Vroeger was het beveiligen van mobiele bedrijfsdevices nog gemakkelijk. De IT-afdeling stelde volledig dichtgetimmerde laptops en Blackberries ter beschikking aan medewerkers. Heel wat security professionals kijken met weemoed terug naar die tijd, want de komst van de smartphones heeft een hoop verandert. Maar ook anno 2014 is security goed aan te pakken. Zolang we de focus maar leggen op de data en niet op de apparaten. Veertien mythes over mobility en beveiliging.

Ja

Download nu het Adoption Profile van Forrester Technology en de ESG White Paper op hp.nl/storage-oplossingen of scan de QR code.

HP 3PAR StoreServ Storage powered by Intel® Xeon® processors

Meer informatie? Informeer bij onderstaande platinum partners:

©2014 Hewlett-Packard Development Company, L.P. Alle rechten voorbehouden. Producten zijn afhankelijk van beschikbaarheid. Het is mogelijk dat de gefotografeerde producten niet overeen komen met de omschrijving. Prijs-, druk- en zetfouten voorbehouden. Intel, het logo van Intel, Xeon en Xeon Inside zijn handelsmerken van Intel Corporation in de Verenigde Staten en andere landen.

BALANS ZOEKEN

TUSSEN SNELLE EN VEILIGE NETWERKEN

16

Beveiligingsoplossingen ontwikkelen zich continu. Gebruikers zijn zich bewust van de risico’s en willen gewoon door kunnen werken. Tegelijkertijd werken cybercriminelen continu aan nieuwe aanvalstechnieken. De maatregelen daartegen moeten effectief zijn, maar mogen de snelheid van het netwerk niet vertragen. Hoe komen we tot een aanpak die deze (schijnbare) tegengestelde eisen voldoet?

SECURITY BEGINT BIJ MENSEN

20

Wie een rondje over de jaarlijkse Infosecurity-beurs wandelt en niet beter zou weten, zou zomaar tot de conclusie kunnen komen dat een effectieve bescherming tegen cybercrime te koop is per doos. Even (laten) configureren, lampjes controleren en u en uw directie kunnen weer rustig slapen. De werkelijkheid is echter anders.

Pas op: IoT in uitvoering! 28 Het Internet of Things is groot, groter, groots. Het is Big Data gepasseerd op de hype cycle van Gartner en zit nu op de piek van die bekende curve. Tijd voor relativering dus. Een security-expert ontdekt zijn eigen hackbare huis. Flexibeler inspelen op risico’s door programmeerbare netwerken 32 IT-beslissers zien steeds vaker af van nieuwe IT-projecten uit angst voor cyberdreigingen. Het feit dat aanvallen veelvuldiger voorkomen en complexer van aard zijn, schrikt af. Onnodig, aldus Gert Jan Wolfis van F5. Door het netwerk programmeerbaar te maken, sta je juist veel sterker en kun je sneller inspelen op acute dreigingen als Heartbleed en Shellshock en geavanceerde DDoS-aanvallen.

The power of HP Converged Infrastructure is here.

4

Normen voor IT-beveiliging en risicomanagement een absolute must 6 Met dagelijks nieuws over hackers en informatielekken in het achterhoofd is het van essentieel belang dat organisaties hun informatiebeveiliging op orde hebben. Om de bedrijfsvoering veilig te stellen, moet de informatie goed beveiligd zijn. Bovendien verwachten klanten dat privacygevoelige informatie zorgvuldig behandeld wordt.

Tien onmisbare functies voor uw NextGeneration Firewall-aankoop 64 De behoefte aan supersterke netwerkbescherming is misschien de voornaamste reden om te investeren in een next-generation firewal (NGFW), maar er komt meer bij kijken. Uw bedrijf heeft nog andere vereisten om in overweging te nemen. ‘Van ‘guessing’ naar ‘knowing’ bij gebruik van cloud-apps’ 80 “Wanneer wij een groter bedrijf vragen hoeveel cloud-apps de medewerkers in totaal gebruiken, houden de meesten het op een stuk of twintig. Wanneer wij dan met onze tools gaan zoeken, komen we regelmatig uit op vijfhonderd.” Dat zegt Sanjay Beri van het Amerikaanse Netskope, dat onlangs van start ging in de EMEA-regio. 39 Programma, beursplattegrond, standhoudersopverzicht en alle informatie over Infosecurity.nl, Storage Expo en The Tooling Event

GEBRUIKSGEMAK

GAAT CLOUDBEVEILIGING VERBETEREN

30

Het snelgroeiend gebruik van cloud computing en mobiele apparatuur vraagt om betere beveiliging dan de combinatie van gebruikersnaam en wachtwoord. Ook om identiteitsdiefstal te voorkomen. De oplossing daarvoor is al jarenlang beschikbaar, namelijk onze vingerafdruk, stem, iris, gezicht en andere biometrische kenmerken. Volgens iXsmartmobile staat het biometrisch beveiligen van informatie, apps en cloudservices op het punt van doorbreken en wordt gebruiksgemak de aanjager. Zowel in de business- als consumentenmarkt.

VEILIG IMPLEMENTEREN VAN MOBIELE APPS

72

De uitkomsten van de Nationale IT-Security Monitor 2014 laten zien dat de helft van de respondenten aangeeft dat er onvoldoende kennis aanwezig is om cloud oplossingen veilig te gebruiken. En dat er onvoldoende kennis is om mobiele apparaten veilig te implementeren. Vest beschrijft in dit artikel een methodiek voor risicoanalyses op cloud computing projecten, alsmede een strategie voor het veilig implementeren van mobiele apparaten.


5

DOOR JAN RIETVELD

IDENTITEITSDIEFSTAL

Normen voor IT-beveiliging en risicomanagement:

EEN ABSOLUTE

MUST

Met dagelijks nieuws over hackers en informatielekken in het achterhoofd is het van essentieel belang dat organisaties hun informatiebeveiliging op orde hebben. Om de bedrijfsvoering veilig te stellen, moet de informatie goed beveiligd zijn. Bovendien verwachten klanten dat privacygevoelige informatie zorgvuldig behandeld wordt. NEN, het Nederlands Normalisatie-instituut, organiseerde onlangs een informatiebijeenkomst over diverse ontwikkelingen rondom de normen op het brede gebied van IT-beveiligingstechnieken. Hoe wordt de nieuwe versie van de internationale normen voor informatiebeveiliging, NEN-ISO/IEC 27001 en NEN-ISO/ IEC 27002, gebruikt? Welke gevolgen heeft de nieuwe structuur van deze nor-

men voor het implementeren ervan? Wat is de nieuwe manier van werken bij risicobeoordeling, en wat zijn de ontwikkelingen rond normen voor privacy en cyber security? INFORMATIEBEVEILIGING NEN-ISO/IEC 27001 specificeert eisen voor de implementatie van beveiligingsmaatregelen die zijn aangepast aan de

behoeften van afzonderlijke organisaties. NEN-ISO/IEC 27002 geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie. Internationaal is vastgesteld dat IT-audits per 1 oktober 2014 plaatsvinden tegen NEN-ISO/IEC 27001:2013. Henk Keijzer, commissielid ‘IT Beveili-

gingstechnieken’ namens Dekra: “Certificaten tegen de oude norm uit 2005 vervallen ná 1 oktober 2015. Vanaf dat moment worden er dan ook geen audits meer uitgevoerd tegen die verouderde norm. De schatting is dat momenteel 20% van de Nederlandse bedrijven over is op de nieuwe norm, maar velen stellen het uit.” RISICOMANAGEMENT EN PRIVACY-EFFECTBEOORDELING De internationale norm voor risicomanagement is NEN-ISO/IEC 27005. Rieks Joosten van TNO geeft aan dat deze norm in lijn wordt gebracht met ISO 31000. “De klassieke risicoanalyse aanpak, gebaseerd op bedrijfsmiddelen, dreigingen en kwetsbaarheden, wordt aangevuld met andere bruikbare methoden. TNO en NEN hebben daarvoor de ‘risk-owner centric’ Advanced Risk Management aanpak voorgesteld, die geschikt is voor genetwerkte omgevingen.” Organisaties moeten privacy risico’s beheersen en dit ook kunnen aantonen. Eén van de hulpmiddelen daarbij is het Privacy Impact Assessment (PIA), oftewel de privacy-effectbeoordeling. De normenreeks voor privacy van de ISO-commissie ‘IT Security techniques’ begint vorm te krijgen. Momenteel is er al een norm voor privacy kaders. Er wordt gewerkt aan een ‘Code of practice for personally identifiable information (PII) protection’ en de publicatie van NEN-ISO/IEC 29134 ‘Privacy Impact Assessment’ (PIA) wordt verwacht in mei 2016. Deze laatste norm geeft richtlijnen voor een proces voor privacy-effectbeoordeling en specificeert de structuur en content van een PIA-rapport. CYBER SECURITY Op Europees niveau houdt de Cyber Security Coordination Group (CSCG) zich bezig met de coördinatie van standaardisatie rond cyber security. De Europese Commissie heeft gevraagd om technische richtlijnen en aanbevelingen te ontwikkelen voor normen en best practices op het gebied van NIB in de publieke en private sector. Piet Donga, Information Risk Manager bij ING en voorzitter NEN-commissie ‘IT Beveiligingstechnieken’, vertelt dat beveiligingsnormen en technische normen ervoor moeten zorgen dat nieuwe generaties software en hardware beschikken over sterkere geïntegreerde en gebruiks-

6

vriendelijke beveiligingskenmerken. Bovendien dient de branche normen op te stellen voor de prestaties van bedrijven op het gebied van cyberbeveiliging. Ook moet de voor het publiek beschikbare informatie verbeterd worden door beveiligingslabels of keurmerken te ontwikkelen, waarmee de consument zich beter op de markt kan oriënteren. De taken van CSCG zijn: • Analyse van bestaande cyber security standaarden. • Coördinatie van een gezamenlijke cyber security strategie van de Europese standaardisatie-organisaties. • Trans-Atlantische samenwerking met NIST (National Institute of Standards and Technology). • Contactpunt voor de Europese Commissie voor alle vragen over cyber security en normalisatie. DE BETROKKEN NENCOMMISSIE Op nationaal niveau is de NEN-commissie ‘IT Beveiligingstechnieken’ een onafhankelijke commissie die meewerkt aan de internationale ISO/IEC-normen voor

IT-beveiligingstechnieken en aan de Europese CSCG. De normcommissie houdt zich onder andere bezig met: • Het bepalen van het Nederlandse standpunt en het commentaar vaststellen voor wat betreft de internationale en Europese normen in ontwikkeling. • Mondiale normen in Nederland implementeren. • Nationale normen op het gebied van informatiebeveiliging en cryptografie vaststellen. • Het stimuleren van nationale normalisatie-activiteiten op het informatiebeveiligingsgebied en het verstrekken van strategische informatie & advies. • Advies geven binnen het werkgebied van de commissie. MEER INFORMATIE Wilt u meer weten over normen voor IT-beveiliging, of meer informatie over deelname in de normcommissie? Neem dan contact op met Jan Rietveld, Consultant E&ICT bij NEN, telefoon (015) 2 690 376 of e-mail [email protected].


7

DOOR RÉMON VERKERK


MELDPLICHT

NOODZAAKT TOT BETER INZICHT IN DATALEKKEN Een systeem dat door een Distributed Denial of Service (DDoS)-aanval ‘omvalt’, blijft niet lang onopgemerkt. Dat kan helaas niet worden gezegd over ‘datalekken’; die blijven soms jaren onder de radar. Gelet op de enorme impact die een datalek kan hebben, is dat onacceptabel. Met een combinatie van een continue monitoring van de beveiliging, het creëren van ‘user awareness’ en technische maatregelen zoals Data Loss Prevention kan de periode dat een datalek onopgemerkt blijft tot een minimum worden beperkt.

De Nederlandse verzekeraar VGZ kwam in juli van dit jaar pijnlijk in het nieuws toen bleek dat de declaratiegegevens van ongeveer 27.000 verzekerden twee jaar lang op de privécomputer van een VGZ-medewerker hadden gestaan. De blunderende medewerker had de gegevens op de privéserver gezet om nieuwe software te testen, maar was vervolgens vergeten om ze daar ook weer te verwijderen. De schade van dit incident, dat eind 2013 door VGZ werd opgemerkt, bleef voor zover bekend redelijk beperkt. “We hebben geen aanwijzingen dat de gegevens door kwaadwillenden zijn ingezien”, zo

8

liet de verzekeraar in een persverklaring geruststellend weten. Mede door de brief die VGZ (vanzelfsprekend) stuurde aan de gedupeerde verzekerden was de reputatieschade echter een feit. Dat het veel erger kan aflopen, bewees de Amerikaanse winkelketen Target begin dit jaar. Criminelen waren erin geslaagd om de gegevens van 40 miljoen crediten debetcards en de persoonsgegevens van 70 miljoen klanten te ontvreemden. Binnen enkele weken waren de kosten van deze inbraak al opgelopen tot 61 miljoen dollar. Het nieuws over deze diefstal werd extra pijnlijk toen naar buiten kwam dat het securityteam van Target in Min-

neapolis meerdere meldingen van zowel het detectiesysteem als van collega’s in India in de wind had geslagen. HOGE BOETE Bedrijven hebben kortom redenen genoeg om alert te zijn op het weglekken van bedrijfsgevoelige gegevens. Met de invoering van de nieuwe ‘Meldplicht datalekken’ – die momenteel als wetsvoorstel in behandeling is bij de Tweede Kamer – krijgen bedrijven er nog een extra reden bij. Zowel private als publieke organisaties die persoonsgegevens verwerken, worden straks verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden bij het College bescherming persoonsgegevens (CBP). Daarnaast ontvangt in veel gevallen ook de eigenaar van de persoonsgegevens een melding als de inbreuk ongunstige gevolgen heeft voor zijn of haar persoonlijke levenssfeer. Is er sprake van nalatigheid om te melden, dan kan het CBP een boete opleggen van maximaal 450.000 euro (zie ook het kader). Dit bedrag komt bovenop de reputatieschade die door de melding wordt geleden. Helaas leert de praktijk dat het overgrote deel van de organisaties geen idee heeft of er data weglekken, welke data lekken en waar die dan naartoe lekken. De meeste bedrijven en instanties hebben een prima inzicht in de aanvallen waar ze mee te maken hebben, maar hebben heel weinig zicht op het verkeer dat de organisatie verlaat op het moment dat ze

zijn gecompromitteerd. Dat inzicht is echter wel nodig om te voorkomen dat gevoelige gegevens in verkeerde handen vallen en om te kunnen voldoen aan de ‘Meldplicht datalekken’ die in 2015 van kracht moet worden. INZICHT IN DATALEKKEN Een eerste stap om te komen tot meer inzicht in (uitgaande) datastromen is het periodiek uitvoeren van een scan van de beveiliging. Daarbij is het wel belangrijk om te kijken naar de scope van de scan. Heel vaak gaan bedrijven niet verder dan het controleren of alle patches zijn geïnstalleerd. Een patch kan echter ook zijn geïnstalleerd door een hacker nadat hij gebruik heeft gemaakt van een kwetsbaarheid om een systeem binnen te dringen. Door de kwetsbaarheid in dit gecompromitteerde systeem te patchen, voorkomt de hacker dat collega-hackers op dezelfde wijze de controle kunnen overnemen. Daarom moet de beveiligingsscan ook gericht zijn op het detecteren van verdacht verkeer, zoals bots die informatie sturen naar een Command and Control-server of de uitwisseling van grote hoeveelheden gegevens via diensten zoals Dropbox en OneDrive. Dit laatste is zeker verdacht als de bedrijfspolicy’s het gebruik van dergelijke opslagdiensten verbieden. Naast de scope van de scan moet ook worden gekeken naar de frequentie. Een scan jaarlijks uitvoeren heeft eigenlijk weinig zin. Als er enkele maanden na het uitvoeren van de jaarlijkse scan een kwetsbaarheid in de beveiliging ontstaat – bijvoorbeeld door een gemiste patch – hebben hackers alsnog maanden de tijd om deze kwetsbaarheid uit te buiten. Beter is het om bijvoorbeeld maandelijks de beveiliging te scannen, of zelfs continu. Dan komt een lek of een aanval op een systeem zo snel mogelijk op de radar. Een continue monitoring van de beveiliging kan worden gerealiseerd door het Security Information and Event Management (SIEM) ‘24/7’ te beleggen binnen een eigen Security Operations Center, of door SIEM als een beheerde dienst af te nemen. Voor veel organisaties zal een volledige SIEM-dienst echter nog een stap te ver zijn. Een goed alternatief is dan om een analysetool zoals RiskVision van Websense of de Check Point Security CheckUp permanent naar de verkeersstromen te laten kijken.

Drie vormen van Data Loss Prevention DATA LOSS PREVENTION Uiteraard is het ook zaak om maatregelen te treffen waarmee kan worden voorkomen dat data al dan niet opzettelijk buiten de organisatie terechtkomen. Een goed voorbeeld daarvan is Data Loss Prevention. Hiermee kan bijvoorbeeld worden voorkomen dat een document door een tikfout in het e-mailadres bij de verkeerde geadresseerde terechtkomt, of dat als vertrouwelijk geadresseerde documenten in een file sharing-omgeving zoals

Dropbox of Google Drive worden geplaatst. Globaal kunnen we drie vormen van DLP onderscheiden: • ‘Data-in-Motion Network-based DLP’, waarbij wordt gekeken welke gegevens er van het bedrijfsnetwerk naar het internet gaan. Detectie en het afdwingen van policy’s – waarin bijvoorbeeld staat welke bestandtypes het bedrijfsnetwerk mogen verlaten – vinden op een centraal punt plaats.

Het overgrote deel van de organisaties heeft geen idee of er data weglekken, welke data lekken en waar naartoe INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014

9


Rémon Verkerk is Product Manager bij Motiv

Het voorkomen van ‘opzettelijk lekken’ van data zal in alle situaties lastig blijven

10

OpenPGP Mobile File Transfer

Secure Managed File Transfer

Integrated Global File exchange with Salesforce Seamless Enterprise Integration

Integration and Programmatic File Transfer

Comprehensive File Transfer for the Enterprise

MELDPLICHT DATALEKKEN De meldplicht datalekken - die na behandeling door de Tweede en later Eerste Kamer vermoedelijk in 2015 van kracht zal worden - is een toevoeging op de Wet bescherming persoonsgegevens (Wbp). De meldplicht legt ‘verantwoordelijken voor de verwerking van persoonsgegevens’ - zowel in de publieke als private sector - de verplichting op om ‘doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens’ te melden bij het College bescherming persoonsgegevens (CBP). In de meeste gevallen moet naast het CBP ook de betrokkene worden ingelicht als de inbreuk ‘ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer’. Als aan deze verplichtingen niet wordt voldaan, kan een ‘bestuurlijke boete’ worden opgelegd van maximaal 450.000 euro.

Experts in Managed PCI Compliant File Transfer Software and Solutions for the Enterprise! Transport Encryption (“Data-in-Transit”)

B2B MFT

bruikers zijn zich simpelweg niet bewust van de risico’s. Afgelopen zomer - toen bekend werd dat talloze naaktfoto’s van diverse Hollywood-beroemdheden vermoedelijk van Apple’s iCloud waren gejat - werd helaas maar weer eens duidelijk dat de beveiliging van dergelijke omgevingen nog wel eens te wensen overlaat.

Non-Repudiation

OWASP

SECURITY-AWARENESS Om ‘onopzettelijk lekken’ tegen te gaan, is het ook van belang om de security-awareness van de gebruikers te verhogen. Zo is er bij het verkeerd adresseren van een e-mail doorgaans ook geen kwade opzet in het spel. Ook worden documenten doorgaans niet uit kwade wil in een file sharing-omgeving zoals Dropbox of OneDrive geplaatst. De meeste ge-

Rémon Verkerk.

Thru side panel for Microsoft Outlook

Ad Hoc MFT

Hoewel de productcategorie DLP al heel wat jaren oud is, staat het bij de meeste organisaties nog niet heel hoog op de agenda. Met name aan ‘Data-at-Rest DLP’ – de variant die zich richt op de statische data – wordt nog weinig waarde gehecht. Toch is het echter wel degelijk van belang om inzicht te krijgen in waar bedrijfsgevoelige informatie wordt opgeslagen en wie er toegang toe heeft. Op die manier wordt de kans verkleind dat data met behulp van een usb-stick buiten de organisatie worden gebracht.

Het voorkomen van ‘opzettelijk lekken’ van data zal in alle situaties lastig blijven, zelfs als er sprake is van een continue monitoring van de beveiliging en de noodzakelijk maatregelen zijn geïmplementeerd. Zo is het niet (of nauwelijks) te voorkomen dat iemand met zijn mobiele telefoon een foto maakt van zijn scherm en de afbeelding verstuurt. Een dergelijke vorm van diefstal zal de organisatie echter niet op een boete van 450.000 euro komen te staan, aangezien het hier niet gaat om een inbreuk op de getroffen beveiligingsmaatregelen.

File-based Automation

•

Gebruikers die met vertrouwelijke data werken, moeten bewust worden gemaakt van de risico’s zodat er twee keer wordt nagedacht voordat er een document naar buiten wordt gestuurd. Een DLP-oplossing kan helpen bij het creëren van dat bewustzijn, bijvoorbeeld door het sturen van een melding naar de gebruiker. ‘Weet u zeker dat u dit wilt versturen?’

‘Data-in-Use Endpoint DLP’, waarbij er wordt gekeken welke data tussen de endpoint van zowel de interne als de remote gebruikers worden uitgewisseld. Detectie en ‘policy enforcement’ vinden op meerdere punten plaats. ‘Data-at-Rest DLP’, waarbij de detectie zich richt op de statische data in bijvoorbeeld databases en op endpoints.

MFT: more than File Sharing

•

Van een ‘doorbreking’ kan sprake zijn als technische en organisatorische beveiligingsmaatregelen niet hebben gefunctioneerd, maar ook als bijvoorbeeld een laptop of smartphone met gevoelige gegevens wordt gestolen uit een afgesloten locker. De meldplicht zelf zegt niets over de maatregelen die een verantwoordelijke moet treffen voor de beveiliging van persoonsgegevens. Daarvoor wordt verwezen naar de ‘beveiligingsverplichting’ zoals die staat omschreven in artikel 13 van de Wbp. Deze bepaling verplicht de verantwoordelijke om ‘passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking’. EUROPESE MELDPLICHT Overigens is het nog maar de vraag hoe

lang de Nederlandse meldplicht datalekken van kracht zal zijn. Op 25 januari 2012 heeft de Europese Commissie een voorstel gepresenteerd voor een ‘Algemene verordening gegevensbescherming’ die de richtlijn 95/46/EG en daarmee ook de Wbp zal vervangen. De beoogde verordening legt strengere privacyregels op aan organisaties en bedrijven die gegevens van Europeanen verwerken. Verder komt er een strengere toestemmingseis voor het gebruik van persoonsgegevens. Gegevens mogen alleen worden gebruikt voor het doel waarvoor ze verzameld zijn en worden opgeslagen gedurende de toegestane bewaartermijn. De nieuwe verordening – die naar verwachting niet eerder dan in 2016 in werking zal treden – zal ook een nieuwe meldplicht voor datalekken bevatten.

Automate, Integrate and Control Secure File Transfer

Experts in Managed File Transfer Software and Solutions!

VIACLOUD BV • BEECH AVENUE 54 • 1119 PW SCHIPHOL-RIJK • THE NETHERLANDS INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 +31 (0)20-6586421 • WWW.VIACLOUD.NL • [email protected]

11

DOOR FERRY WATERKAMP

TRUSTED DIGITAL IDENTITY SYMPOSIUM 2014

‘DE BETROUWBAARHEID

STAAT TER DISCUSSIE’

In 2017 moet het contact tussen burger en overheid volledig digitaal zijn ingericht, zo is in ieder geval de ambitie van het huidige kabinet Rutte II. Ondertussen maakt diezelfde burger zich steeds grotere zorgen of zijn ‘digitale identiteit’ wel veilig is. “Identiteitsfraude is een serieus probleem”, aldus Wilma van Dijk, directeur Cyber Security bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).

Van Dijk deed deze uitspraak tijdens het Trusted Digital Identity Symposium 2014, een door Vasco Data Security georganiseerd evenement dat op 11 september plaatsvond in Maarssen. Om aan te tonen wat de gevolgen kunnen zijn van identiteitsfraude, toonde de directeur Cyber Security een filmpje van ‘Safe internetbanking.be’. Hierin wordt de identiteit van hoofdrolspeler ‘Tom Degroote’ middels phishingmails, neptelefoontjes en het vergaren van informatie op social media overgenomen door een hacker. Aan het einde van het filmpje slaagt deze hacker erin om bij ‘onze Tom’ een kostbare harp af te laten leveren die hij nooit heeft besteld.

naam voor zou komen op een lijst met terreurverdachten. “Achteraf bleek dat iemand anders zich bediende van zijn identiteit.”

Van Dijk haalde ook het voorbeeld aan van Ted Kennedy - tot aan zijn dood in 2009 senator van de staat Massachusetts - die in 2004 tot vijf keer toe de toegang tot een vliegtuig werd ontzegd omdat zijn

Als het aan Van Dijk ligt, komt daar snel verandering in. “Onze ambitie is om leidend te zijn op het gebied van cybersecurity.” Volgens Van Dijk hebben burgers, private partijen en overheid een

GEZAMENLIJKE AMBITIE “De betrouwbaarheid van de digitale identiteit is een zeer heikel onderwerp”, zo constateerde keynotespreker Robbert Hoeffnagel, hoofdredacteur van Infosecurity Magazine. “Na een hele reeks aan beveiligingsincidenten maken burgers zich zorgen. Dan kan minister Opstelten wel met zijn zware basstem zeggen dat het allemaal veilig is, maar iedereen merkt dat het anders zit. De betrouwbaarheid staat ter discussie.”

gezamenlijke verantwoordelijkheid om die ambitie, die is neergelegd in het ‘Actieprogramma 2014-2016’, te realiseren. “Burgers moeten weten wat cyberhygiëne is, private partijen hebben een zorgplicht en de overheid moet faciliteren.” NEDERLANDSE EID Een voorbeeld van de faciliterende rol van de overheid is het goed inrichten van de ‘elektronische ID’. De ‘eID’ is de opvolger van de DigiD ‘die niet sterk genoeg was’, zo vertelde cryptograaf Eric Verheul die betrokken is bij het Nederlandse eID-programma. “Doel is om iets neer te zetten waar niet alleen de overheid maar ook de private sector iets aan heeft. Bij het publiek is het besef doorgedrongen dat een inlog met gebruikersnaam en wachtwoord niet meer afdoende is; situaties zoals naaktfoto’s die uitlekken kunnen niet blijven bestaan. Een organisatie als Thuiswinkel.org heeft weer behoefte aan een stelsel waarmee niet alleen de identiteit kan worden vastgesteld, maar ook of personen wel of geen 18 jaar oud zijn.” In deze visie kon beleidsmedewerker Elaine Oldhoff van Thuiswinkel.org zich helemaal vinden. Volgens Oldhoff zijn klanten eerder geneigd om informatie te delen als ze zelf de controle hebben over hun privacy. “Het eID-stelsel is een goede manier om transparantie en controle te bieden. Ook hopen we dat de leeftijdsverificatie (bijvoorbeeld bij de aanschaf van alcoholhoudende dranken, red.) wordt opgelost met de eID.” PRIVACY EN CONTROLE Binnen eID worden er meerdere maat-

12

regelen genomen om de gebruiker de privacy en controle te bieden waar Oldhoff het over had. Om te voorkomen dat bijvoorbeeld een webwinkel teveel informatie ontvangt over de bezoeker en kan gaan ‘profilen’ - geeft eID een met cryptografie gegenereerde ‘pseudoID’ door. “Optioneel kun je attributen toevoegen, zoals een geboortedatum als dat nodig is voor de aanschaf van een product”, aldus Verheul. De webwinkel krijgt niet de exacte leeftijd door maar alleen of iemand wel of geen 18 jaar oud is bijvoorbeeld. Ook zijn het niet langer de organisaties die bepalen hoe een gebruiker zich aanmeldt, maar de gebruiker zelf. “Het nieuwe eID gaat uit van multi-token support en de gebruiker bepaalt van welk token hij gebruikmaakt”, aldus Verheul. “Welk token je ook gebruikt, je komt altijd op dezelfde plaats uit. Organisaties profiteren zo van elkaars sterke middelen.” Een belangrijk uitgangspunt daarbij is dat eID zoveel mogelijk de bestaande authenti-

sche eID-kaart. Deze elektronische identiteitskaart is al sinds 2003 in gebruik. “Al in 2002 hebben wij de wagen genomen naar Nederland, want daar liep toen een project over eID”, merkte Frank Leyman van de Federale Overheidsdienst Informatie- en Communicatietechnologie (Fe-

‘Het eID-stelsel is een goede manier om transparantie en controle te bieden’ catiemiddelen hergebruikt. “Het is nooit ons idee geweest om een ‘DigiD-kaart’ in te voeren als enige authenticatiemiddel.”

dict) bijna vilein op. “Wij zijn toen maar begonnen want jullie hadden blijkbaar iets langer de tijd nodig.”

BELGISCHE EID Tijdens het TDI-symposium passeerden meerdere tokens de revue die mogelijk kunnen worden gebruikt voor eID-authenticatie. Zo presenteerde George Poel, bij Rabobank Nederland Adviseur Information Security & Risk Management, de nieuwe ‘Rabo Scanner’ voor internetbankieren die in 2015 naar alle klanten wordt ‘uitgerold’. Op een vraag uit de zaal of het nieuwe apparaatje in de toekomst mogelijk ook kan worden gebruikt om via eID in te loggen op de dienstverlening van derde partijen, moest Poel echter het antwoord schuldig blijven.

“In tegenstelling tot in Nederland doen wij het wel met één systeem en één kaart”, constateerde Leyman. “Het is een sleutel om deuren te openen, maar ook om toegang te krijgen tot de plaatselijke milieustraat, de disco, de bibliotheek of de drankautomaat met bier. In online modus kun je er bijvoorbeeld aangiftes mee doen of bedrijfsinformatie mee opvragen.”

Door de aansluiting op het Europese eIDAS - Electronic Identification and Signature (Electronic Trust Services) - moet het in ieder geval wel mogelijk zijn om het Nederlandse eID-stelsel te gebruiken in combinatie met bijvoorbeeld de Belgi-

“Ik gebruik mijn eID vooral voor het ondertekenen van documenten”, vertelde Jos Dumortier, die als professor ICT-recht is verbonden aan de Katholieke Universiteit Leuven. Dumortier raakte daarmee een actueel onderwerp aan: het Europese wettelijke kader voor elektronische handtekeningen dat stelt dat een ‘gekwalificeerde elektronische handtekening’ gelijkstaat aan een geschreven handtekening op papier. Dit kader bestond in

de vorm van een richtlijn maar heeft nu in gewijzigde (ruimere) vorm de status gekregen van een verordening die in september in werking is getreden. “Ik vraag me echter af of we nu niet regelgeving bedenken voor iets wat al lang achterhaald is. Een handtekening behoort toch vooral toe aan de wereld van papier en haal je te voorschijn bij een dispuut. In de digitale wereld gaat het erom dat we systemen bouwen waarmee het makkelijk is om te achterhalen wat er is gebeurd.” ONTNUCHTEREND Na de verschillende presentaties over eID-stelsels en tokens borrelde tijdens de discussies de vraag op of er niet teveel nadruk ligt op de burger die zijn identiteit moet bewijzen. “Maar hoe weet je als burger dat je ook echt tegen een overheidssite zit te praten”, zo vroeg een van de aanwezigen zich af. Het meest ontnuchterende antwoord op die vraag kwam misschien wel van Maria Genova, columniste en auteur van het boek ‘Komt een vrouw bij de h@cker’. “Er is geen enkel veilig systeem, dat wordt keer op keer bewezen. En wie denkt dat de burger wel voor zijn eigen veiligheid zorgt, is naïef.” Ferry Waterkamp is freelance journalist


13

DOOR HANS VANDAM

IT SECURITY IS GEEN IT-FEESTJE MEER, MAAR SERIEUZE BOARDROOMDISCUSSIE

JAMES LYNE

STEELT DE SHOW TIJDENS SOPHOS DAY

Toeval of niet, de timing van Sophos Day was perfect. Terwijl James Lyne, Global Head of Security Research bij Sophos, in DeFabrique in Utrecht moeiteloos de aandacht vasthield met een aantal live hacks, gaf minister Hennis-Plasschaert elders het startschot voor het Defensie Cyber Commando. De Nederlandse krijgsmacht gaat infiltreren in digitale systemen van derden. Kortom: de cyberoorlog woedt op alle fronten. Managing director Pieter Lacroix van Sophos kondigde hem enthousiast aan: James Lyne, niet zomaar een spreker, maar een fenomeen. Volgens eigen zeggen een ‘geek’ die bezeten is van technologie. Met branie legt Lyne elke kwetsbaarheid in de digitale wereld bloot. Hij is een hacker met een nobel motief: ‘I take the security threat as a direct affront to the purpose of the web.’ Het publiek hing dan ook direct ademloos aan zijn lippen, toen Lyne vertelde over Warbiking, zijn persoonlijke kruistocht tegen de onveilige draadloze wereld. Op een speciaal geprepareerde racefiets met wifi-scanners, accesspoints en GPS-ontvangers toerde Lyne onlangs door Londen en San Francisco om aan te tonen hoe onveilig open wifi-netwerken zijn. Binnenkort is Amsterdam aan de beurt.

In zijn openingsspeech ruimde Lyne een wijdverbreid misverstand uit de weg. Bij een geïnfecteerde computer wijst men al snel met een beschuldigende vinger naar de gebruiker. ‘Je zult wel pornosites hebben bezocht’. In werkelijkheid wordt 86 procent van de malware verspreid door bonafide websites van bonafide bedrijven. Spectaculair waren de live hacks die Lyne aan het eind van de middag gaf. Lyne liet zien hoe kwetsbaar de microfoonfunctie op een Android mobiele telefoon is. Als je eenmaal de controle over het apparaat hebt, kun je vertrouwelijke gesprekken op afstand afluisteren. Ook BitCoins-tegoeden zijn niet veilig voor cybercriminelen, zo demonstreerde Lyne. Goedkope, maar ook dure, slecht beveiligde CCTV-camera’s in de openbare ruimte kunnen een dankbare inkomstenbron zijn voor cybercriminelen.

Door een dergelijke camera te hacken, kun je bijvoorbeeld op afstand inzoomen op een persoon die binnen in een benzinestation net op het punt staat zijn pincode in te toetsen. IOT Met de komst van The Internet of Things (IoT) ontstaat volgens Lyne een nieuwe goudmijn voor cybercriminelen. ‘If you can connect to it you can own it’, met andere woorden: elk apparaat is dan in principe te hacken. Zo zijn er al honderdduizenden spammails verstuurd via de inlogggevens van bijvoorbeeld smart televisies en een met het internet verbonden koelkast. De huidige computervirussen en trojaanse paarden zijn ontworpen om data te stelen, je te bespieden via je eigen webcam, of miljoenen euro’s te stelen. Sommige kwaadaardige scripts richten zich zelfs op energievoorziening, nutsbedrijven en infrastructuur. Niet voor niets staat Infosecurity dit jaar in het teken van The Internet of Things. Netwerkbeveiliging is daarom essentieel om bijvoorbeeld te voorkomen dat cybercriminelen de communicatie tussen het apparaat en de server kunnen onderscheppen en op die manier data stelen. SOPHOS CLOUD Harm van Koppen, channel account executive bij Sophos, ging uitgebreid in op Sophos Cloud, een nieuwe dienst van Sophos die net zijn eerste verjaardag heeft gevierd. Logisch dus dat er vanuit de zaal de nodige vragen werden gesteld. Sophos Cloud is de nieuwe securitydienst die gebruikers essentiële

14

bescherming biedt tegen hedendaagse bedreigingen. De dienst is vooral gericht op organisaties die een simpeler aanpak van IT-beveiliging zoeken. Security made simple. Gebruikers kunnen veilig werken, ongeacht de plaats waar ze zich bevinden, via de cloudgebaseerde dienst. ‘Klanten die naar de cloud overstappen hebben geheel eigen wensen. Om aan die wensen te voldoen heeft Sophos ervoor gekozen om juist niet de bekende on-premise oplossing naar de cloud te verhuizen maar juist een frisse nieuwe omgeving op te zetten. Daarnaast blijft Sophos investeren in zijn on-premise security software’, zo benadrukte Van Koppen. SECURITYMANAGEMENT 3.0 ‘We leven in een wereld waar grootmachten, terroristen, beroepscriminelen, cybervandalen, hackers en gefrustreerde ex-werknemers uit zijn op uw kroonjuwelen’, zo waarschuwde Ernst-Jan Zwijnenberg, unitmanager ICT Security bij Hoffmann Bedrijfsrecherche. Onder het motto Securitymanagement 3.0 presenteerde hij enkele cijfers. De totale schade als gevolg van cybercrime wordt alleen in Europa al geschat op jaarlijks 290 miljard euro, meer dan er in de wereldwijde drugshandel om gaat. In Nederland verdampt 1,5 procent van het bruto nationaal product als gevolg van cybercrime. Dat is onnodig, want het merendeel van de incidenten kan volgens Zwijnenberg eenvoudig worden voorkomen indien hard- en software bijgewerkt zijn met de laatste upgrades. Bij Hoffmann Bedrijfsrecherche, die een tevreden klant is van Sophos, weten ze al jaren dat medewerkers zowel de zwakste als de sterkste schakel zijn in de strijd tegen cybercrime. SYNOLOCKER De praktijkvoorbeelden liggen voor het oprapen. De diefstal van 56 miljoen creditcards bij het Amerikaanse Home Depot is nog vers, net als de nieuwste kwetsbaarheid Shellshock in Linux en OS X. Cybercriminelen trekken zich niets aan van grenzen. Ook Nederlandse ondernemers en particulieren werden onlangs slachtoffer van Synolocker, een vorm van ransomware. NAS-systemen met een internetkoppeling werden gegijzeld en pas weer vrijgegeven als losgeld werd betaald. De malware versleutelt de bestanden op de NAS en eist een betaling van 200 BitCoins om de sleutel te verkrijgen

waarmee de bestanden weer ontsleuteld kunnen worden. Er rest vaak niets anders dan de criminelen te betalen. Om geen slachtoffer te worden van Synolocker adviseert Hoffmann om de Synology NAS niet met het internet te laten verbinden, steeds de laatste versie firmware op de NAS te installeren en regelmatig een goede back-up te maken en deze offline te bewaren. KROONJUWELEN Zwijnenberg constateerde verder dat IT-security gelukkig steeds meer een serieuze boardroomdiscussie wordt in plaats van een IT-feestje. Het is zaak om de kroonjuwelen van het bedrijf te benoemen en te beschermen, of het nu gaat om klantenbestanden of om intellectuele eigendommen. Security by design en privacy by design zijn volgens hem randvoorwaarden om de bedreigingen vanuit cyberspace in de toekomst het hoofd te kunnen bieden. Hij sloot af met

enkele tips. Ga ervan uit dat uw organisatie wordt gehackt, het is slechts nog de vraag wanneer. Richt een incident respons proces in. Laat regelmatig een risk assessment uitvoeren. Maak gebruik van actieve monitoring en adequate logging. Tot slot: laat de IT-infrastructuur periodiek toetsen en testen door specialisten zoals Sophos. Managing director van Sophos, Pieter Lacroix, sloot de bijzonder geslaagde Sophos Day af met een oproep om toch vooral Infosecurity 2014 te bezoeken op 29 en 30 oktober aanstaande in de Utrechtse Jaarbeurs, waar James Lyne een keynote zal verzorgen voor degenen die Sophos Day helaas hebben gemist en waar hij tevens de resultaten van Warbiking Amsterdam presenteert. Tevens nam hij al een voorschot op de dertigste verjaardag van Sophos die volgend jaar gevierd zal worden.


15

DOOR HANS VANDAM

INTERVIEW MET THEO SCHUTTE, COUNTRY MANAGER FORTINET NEDERLAND

BALANS ZOEKEN TUSSEN SNELLE EN VEILIGE NETWERKEN

Beveiligingsoplossingen ontwikkelen zich continu. Gebruikers zijn zich bewust van de risico’s en willen gewoon door kunnen werken. Tegelijkertijd werken cybercriminelen continu aan nieuwe aanvalstechnieken. De maatregelen daartegen moeten effectief zijn, maar mogen de snelheid van het netwerk niet vertragen. Hoe komen we tot een aanpak die aan deze (schijnbare) tegengestelde eisen voldoet? Interview met Theo Schutte, country manager Fortinet Nederland. In het kat-en-muisspel tussen cybercriminelen en leveranciers van beveiligingsoplossingen worden elk uur nieuwe stappen gezet, zegt Theo Schutte, country manager van Fortinet Nederland. “Cybercriminelen introduceren steeds geavanceerdere manieren om de verdedigingslinies van bedrijfsnetwerken te omzeilen of ongezien te doorbreken. De leveranciers zetten alle middelen en kennis in om de nieuwste aanvallen af te

weren, het liefst nog voordat zij plaatsvinden.” UNIFIED THREAT MANAGEMENT “Een netwerkbeheerder die beveiliging serieus neemt, moet tegenwoordig heel wat maatregelen nemen”, vervolgt Schutte. “Een firewall en een antivirus-oplossing zijn al lang niet meer genoeg. Tegenwoordig is tenminste een unified threat management (UTM)-oplossing

nodig.” UTM staat voor multifunctionele beveiligingsapparaten die meerdere, geïntegreerde beveiligingsdiensten uitvoeren. De UTM-oplossing van Fortinet heet FortiGate en is niet alleen een firewall, maar voorziet ook in maatregelen als URL-filtering, applicatiebeheer, intrusion prevention (IPS), antimalware, advanced threat protection (ATP), data loss prevention (DLP) en scanning van kwetsbaarheden. De FortiGate is verkrijgbaar als fysiek apparaat en in virtuele vorm. “De functies in een UTM-appliance werpen echter niet alleen een barrière op voor allerlei kwaadaardige code en mensen”, aldus Schutte. “Ze creëren ook een knelpunt in het netwerkverkeer. De heilige graal van netwerkbeveiliging is dan ook een oplossing die de systeemen gegevensbeveiliging optimaal houdt, maar waarbij tegelijkertijd de netwerkverbinding snel blijft.” “De oplossing voor dit vraagstuk ligt in de integratie en consolidatie van zoveel mogelijk processen en machines die voor het netwerk staan. Hoe minder hordes het netwerkverkeer hoeft te nemen, hoe sneller het loopt. Dat realiseren we met UTM, maar ook door de geïntegreerde switchingtechnologie die het netwerkverkeer regelt in de FortiGate op te nemen. Dat maakt het netwerk snel, maar ook voordeliger en vele malen beter te beheren dan allerlei verschillende oplossingen op een rij.” NETWERKPROCESSOR FortiGate integreert bescherming in het netwerkverkeer, maar is dat voldoende

16

om de snelheid te leveren die gebruikers willen? Schutte: “De 5000-serie van de FortiGate maakt gebruik van de nieuwe NP6-ASIC netwerkprocessor die de firewall een zeer hoge doorvoersnelheid geeft. Binnen de nieuwe FortiGate 5000-serie zijn meerdere van deze ASICs tegelijkertijd actief, waardoor de doorvoersnelheid oploopt tot ruim 1 Tbps. Hiermee kunnen we grote datacenters een zeer snelle firewall bieden voor het verdedigen van platformen voor Big Data, de cloud, Infrastructuur- en Software as a Service.” Aanvankelijk lanceerde Fortinet deze aanpak voor het beschermen en versnellen van netwerkverkeer in de grootzakelijke markt. Inmiddels is deze technologie echter ook beschikbaar voor middelgrote bedrijven en in het MKB. “Deze technologie is geschikt voor gebruik in alle bedrijfsomvangen”, zegt Schutte. “Of het nu gaat om kleine en middelgrote bedrijven of om organisaties met heel veel vestigingen, ISPs en multinationals.” Tegenwoordig betekent beveiliging vooral het toevoegen van maatregelen voor draadloze netwerken. Schutte: “Draadloze netwerken zijn een verhaal apart. Er zijn meerdere wireless access points, die bestuurd worden. Al het verkeer gaat als één verkeersstroom naar een firewall om daar geïnspecteerd te worden. Met onze oplossing, de FortiAP Thin Wireless Access Points, is het access point ook de firewall, omdat de volledige toegangscontrole en de beveiliging plaatsvindt door de centrale beheeromgeving.” SOFTWARE-DEFINED NETWORKING Welke trends ziet Schutte op het gebied van netwerkbeveiligjng de komende tijd doorbreken? Daar hoeft hij niet lang over

na te denken: Advanced Threat Protection (ATP) en Software-defined networking (SDN). “SDN is een virtualisatielaag die ervoor zorgt dat je de netwerkcapaciteit kunt regelen naar behoefte. Je kunt dus opschalen op piekmomenten door meer virtuele machines in te schakelen. Die moeten dan echter wel beveiligd zijn. Fortinet heeft daarom de virtuele FortiGate ontwikkeld die het netwerkverkeer binnen virtuele netwerken beveiligt. Dit maakt het ook mogelijk om beveiligingscontroles in te voegen voordat het netwerkverkeer de virtuele netwerklaag bereikt.” De virtuele appliances van Fortinet zijn beschikbaar om te functioneren op nagenoeg alle populaire virtualisatieplatformen. “Als technologiepartner van VMware haken wij ook in op het NXS-platform voor netwerkvirtualisatie. Onze integratie met VMware staat voor een ontwerp dat dynamische controles van de beleidsregels voor beveiliging mogelijk maakt”, zegt Schutte. “Dit concept versterkt ons aanbod van UTM-oplossingen voor virtuele machines. Het geeft onze klanten nog een keuze voor het toepassen van beveiliging voor de cloud en softwarematige datacenters. Nu klanten de cloud beginnen te virtualiseren, voorzien wij hen van de juiste beveiligingsoplossingen voor zowel virtuele als fysieke omgevingen. Zo kunnen ISPs de functionaliteit van duizenden next-generation firewalls aanbieden aan hun klanten.” ADVANCED THREAT PROTECTION De tweede trend die Fortinet waarneemt is Advanced Threat Protection (ATP): het ontdekken, aanpakken en tegenhouden van de meest recente en verfijnde be-

dreigingen. Schutte: “Een manier om dat te doen is door onbekende programma’s te inspecteren en te testen in een ‘sandbox’, een afzonderlijke ruimte.” Met FortiSandbox ontdekken netwerkbeheerders ATPs die op maat zijn gemaakt voor een specifiek doel. “FortiSandbox doet dit op twee niveaus”, legt Schutte uit. “Het inspecteert de protocollen en functies in een appliance en biedt de optie voor integratie met de bestaande FortiGate-infrastructuur. Het levert zodoende een bijzonder effectieve bescherming tegen deze opkomende klasse van bedreigingen.” Hoewel sandboxes heel effectief zijn, maken zij slechts deel uit van een gecoördineerde beveiligingsaanpak om de steeds slimmere aanvallen af te wenden. Schutte: “Wij adviseren dat bedrijven zich richten op vijf aspecten van een ATP-raamwerk: toegangscontrole, voorkomen van bedreigingen, ontdekken van bedreigingen, reageren op incidenten en continue controle. Dat is beter dan verwachten dat welk nieuw product dan ook het probleem zal oplossen.” De oplossing voor het beveiligen van supersnel netwerkverkeer is niet alleen een kwestie van UTM en next-generation firewalls, de combinatie van firewalls, URL-filtering, antispam, ATP en IPS. Dat moet nog verder gaan: de oplossing moet ook het switchen van meerdere netwerkfuncties in een unit afhandelen. Security moet van alles blokkeren, maar niet de snelheid. Dat is de onderliggende gedachte van de nieuwe generatie FortiGate-platformen van Fortinet. Deze maakt door integratie en consolidatie veilige en snelle netwerken mogelijk. Hans Vandam is journalist

‘NIEUWE APPLICATIES WORDEN UITGESTELD UIT ANGST VOOR CYBERCRIME’ In augustus 2014 heeft Fortinet een wereldwijd onderzoek laten uitvoeren onder 1.610 CIO’s, CTO’s, IT-directeuren en hoofden van IT-afdelingen. Uit dit onderzoek (‘Internet Security Census 2014’ geheten) blijkt dat de angst voor cybercriminelen en andere IT-bedreigingen er bij IT-beslissers goed in zit. Meer dan de helft van alle respondenten (53 procent) zegt hierdoor zelfs de implementatie van nieuwe applicaties, diensten of andere IT-initiatieven uit te stellen of te beëindigen. Vooral mobie-

le applicaties en strategieën zijn hete hangijzers, maar de cloud scoort ook hoog. Uit het onderzoek blijkt dat maar liefst 90 procent van de ondervraagde CIO’s en CTO’s de taak om hun organisaties te beschermen steeds lastiger vindt. Dat komt vooral door de druk vanuit de directiekamer om het bedrijf veilig te houden. Van de IT-beslissers die de grootste druk vanuit de directie ervaren, geeft 63 procent toe dat tenminste één nieuw IT-initiatief uitgesteld of geannuleerd werd uit angst voor cyberbedrei-

gingen. De ondervraagde IT-beslissers noemen daarnaast ook de toename in de frequentie en complexiteit van de bedreigingen (88 procent) en de nieuwe eisen die opkomende technologieën stellen aan beveiliging, zoals het Internet of Things (IoT) en biometrie (88 procent) als de grootste uitdagingen om hun organisatie veilig te houden. Kijk voor meer informatie over dit onderzoek op www.fortinet.com


17

DOOR TONNY ROELOFS

ONDERZOEK VAN TREND MICRO:

NEDERLAND IN TOP 3 LANDEN

WAT BETEKENT HET INTERNET OF EVERYTHING VOOR UW ORGANISATIE?

HOSTING MALAFIDE URL’S

Uit onderzoek van Trend Micro, specialist op het gebied van beveiligingssoftware, blijkt dat Nederland in het tweede kwartaal van 2014 populair is als het gaat om het hosten van malafide URL’s. Ons land staat daarmee op een gedeelde tweede plek met onder andere China en Rusland. Het onderzoeksrapport laat daarnaast zien dat Nederland ook behoort tot de tien landen wereldwijd met het hoogste aantal Botnet C&C-servers en Botnet-connecties. Het aantal malafide URL’s dat werd gehost in Nederland groeide van 24 miljoen in het eerste kwartaal van 2014, naar 31 miljoen in het tweede kwartaal. Dat is een groei van bijna 30 procent. In april verdubbelde het aantal gehoste malafide URL’s zelfs. Hiermee staat Nederland op een gedeelde tweede plaats van landen die malafide URL’s hosten. GROOTSTE AANTAL C&CSERVERS Naast dat Nederland in het rapport wordt genoemd als een van de landen met de meeste botnet-connecties, staat Nederland ook in deze top 5 als het gaat om het grootste aantal Botnet Command and Control (C&C)-servers. De meerderheid van deze C&C-domeinen zijn verbonden met ofwel ZeuS banking malware of Cryptoplocker ransomware. Zeus-Servers staan er om bekend gecompromitteerde servers te gebruiken als C&C-server. Cryptolocker-varianten daarentegen gebruiken juist elke dag nieuwe C&C-domeinen om zo te voorkomen dat ze worden geblokkeerd.

Tonny Roelofs, country manager Trend Micro Nederland: “We zien de afgelopen tijd een groot aantal DDOS-aanvallen bij Nederlandse banken. Deze aanvallen worden uitgevoerd door middel van botnets. We kunnen in onze bevindingen echter geen direct verband zien tussen het grote aantal botnet-connecties en botnet C&C-servers in Nederland en deze DDOS-aanvallen. De botnets die worden gehost in Nederland zijn namelijk vooral gerelateerd aan ZeuS en Cryptolocker en die zijn beide niet verantwoordelijk voor DDOS-aanvallen. Het zou dus zelfs zo kunnen zijn dat je op basis van onze feiten en cijfers kunt concluderen dat de aanvallen van buiten Nederland komen, maar dit zijn echter in deze fase nog speculaties.” DRIE KEER ZO VEEL ADWARE Er is meer adware, dan malware aanwezig in Nederland. Het aantal soorten adware in Nederland is drie keer zo groot dan het aantal malware-detecties in het tweede kwartaal van dit jaar. Opvallend is dat er minder DOWNAD-infecties waren

in Nederland, dit komt mede door het feit dat Microsoft is gestopt met de support van Windows XP. Het feit dat deze malware echter nog steeds in de top 10 van meest voorkomende malware staat, geeft aan dat er nog steeds veel verouderde systemen, zoals Windows XP, worden gebruikt door veel Nederlandse organisaties. OVERHEID BELANGRIJK DOELWIT De overheid blijft ook in het tweede kwartaal van 2014 veruit het belangrijkste doelwit van cybercriminelen. Ruim 81 procent van de gerichte aanvallen richtte zich op overheidsinstanties in het tweede kwartaal van dit jaar. Dit is een stijging ten opzichte van het eerste kwartaal van dit jaar waarin 76 procent van de geavanceerde gerichte aanvallen (APT’s) was gericht op de overheid.

TIPS EN CYBERCRIMEACHTERGRONDEN Meer weten over cybercrime, beveiliging van de cloud en mobile security? Bezoek dan de blog van Trend Micro, speciaal voor Nederlandse IT-specialisten en andere geïnteresseerden in cybercrime en security. Op de blog geeft het lezers tips, handvatten en achtergronden, bijvoorbeeld over hoe om te gaan met het einde van de ondersteuning van Windows XP. Blog. trendmicro.nl publiceert wekelijks interessante blogs en houd je op de hoogte van al het security-nieuws.

18

Voor velen van ons is het ‘Internet of everything’ (IoE) een soort wereld van de toekomst waarin allerlei soorten connected devices ons leven veilig, gemakkelijker en productiever maken. Niet voor niets hebben veel CIO’s deze signalen opgepakt en bekijken ze op dit moment de mogelijkheden voor hun bedrijf. Er is alleen een belangrijk probleem dat we eerst ook kenden met smartphones. Veel van deze apparaten zijn namelijk niet ontworpen voor gebruik in het bedrijfsleven. Vaak zijn de apparaten niet stevig genoeg en al helemaal niet getest volgens de security-standaarden van de betreffende organisatie. Toch zullen deze apparaten ongetwijfeld ook hun weg vinden naar een bedrijf. U kunt en wilt immers niet al uw medewerkers controleren op deze gadgets voordat ze het bedrijf binnenlopen en waarschijnlijk ook nog eens verbinding gaan maken met het bedrijfsnetwerk. SECURITY GEEN PRIORITEIT Bedrijven die IoE-apparaten maken, ontwikkelen deze producten vaak voor commerciële doeleinden en dus om zoveel mogelijk te verkopen. En geef ze eens ongelijk, dat is het bestaansrecht van alle commerciële organisaties. Er zijn maar weinig fabrikanten die veel aandacht geven aan security omdat nog weinig consumenten hier echt om vra-

WAAR BLIJFT DE INFORMATIE? Een bijkomend probleem is namelijk dat bijna alle informatie op de smart devices wordt doorgestuurd naar het hoofdkantoor van de leverancier. En dat het vaak heel onduidelijk is wat daar precies wordt opgeslagen en hoe deze informatie wordt beveiligd. Weet u bijvoorbeeld welke informatie er vanaf uw slimme printer wordt teruggestuurd naar het hoofdkantoor van de leverancier in de Verenigde Staten? En hoe zit dat met de videoconferencing apparatuur in de verschillende kantoren? Klokkenluider Edward Snowden maakte menig organisatie nerveus met zijn onthullingen van de NSA, en niet voor niets want er zijn gewoon genoeg redenen om waakzaam te zijn.

potentiële risico’s voor de waardevolle bedrijfsdata te minimaliseren? Ten eerste is het belangrijk te weten dat de risico’s op dit moment nog redelijk klein zijn. Daarentegen groeit het aantal slimme internet-connected apparaten snel en zijn er waarschijnlijk al wel een aantal te vinden in uw organisatie. Het is belangrijk dat een weloverwogen en goed uitgedacht plan wordt gemaakt als het gaat om deze nieuwe apparaten in uw organisatie. En wees daarbij nu al bijzonder kritisch op de zaken die wellicht in de nieuwe EU-wetgeving over databescherming komen te staan. Dan is het nog zaak te gaan zitten met alle facilitaire teams om te bespreken dat alle nieuwe en ook huidige apparaten moeten voldoen aan de opgestelde eisen. Dat kost inderdaad tijd, en dat terwijl elke CIO een enorme lijst van to do’s heeft. Echter is dit er wel één om op de prioriteitenlijst te zetten. Als u nu geen actie onderneemt zult u zich binnenkort waarschijnlijk zelf ineens realiseren dat de effectiviteit van uw organisatie grotendeels bepaald wordt door bedrijfskritische, maar helaas vaak ongeteste consumenten gadgets. Deze dan pas verwijderen en vervangen kost veel te veel capaciteit, geld en ergernis.

TIPS OM VOORBEREID TE ZIJN Maar wat kunnen CIO’s doen om deze

Tonny Roelofs is Country Manager van Trend Micro Nederland

gen. Recentelijk werd Nest, een smart device-producent die onlangs werd overgenomen door Google, gedwongen 400.000 rookmelders terug te roepen nadat er een bug werd ontdekt waardoor mensen hun rookmelder per ongeluk uit konden zetten. En vanuit security-oogpunt wordt dit nog interessanter als u zich bedenkt dat Google ook de leverancier is van het meest onveilige mobiele ecosysteem dat er is, namelijk Android.


19

TSTC BRENGT LIVE SEMINARS OP INFOSECURITY 2014:

SECURITY

BEGINT BIJ MENSEN

Wie een rondje over de jaarlijkse Infosecurity-beurs wandelt en niet beter zou weten, zou zomaar tot de conclusie kunnen komen dat een effectieve bescherming tegen cybercrime te koop is per doos. Even (laten) configureren, lampjes controleren en u en uw directie kunnen weer rustig slapen. De werkelijkheid is echter anders. Het aantal incidenten op het gebied van IT-security neemt sterk toe. Criminelen, maar ook vijandige overheden bedenken steeds weer nieuwe technieken om duurbetaalde appliances ongemerkt te omzeilen. Het gevolg is een wapenwedloop waarin u als verdedigende partij waarschijnlijk aan het kortste eind trekt. Volgens TSTC moet security anders worden aangepakt. Opleider TSTC - voluit Tshukudu Technology College - is een Nederlandse specialist in compacte (IT) security trainingen. Op de Infosecurity-beurs communiceert het bedrijf een heldere, maar vooral ook andere boodschap: security start bij mensen.

Deze boodschap betekent niet dat er bij informatiebeveiliging geen technische oplossingen nodig zijn. Waar het echter om gaat is dat organisaties prioriteit zouden moeten geven aan het verhogen van het kennisniveau van de individuele medewerker als het om security gaat. De

kern is dat het uiteindelijk mensen zijn die beleid bedenken en controleren. Het zijn mensen die techniek implementeren en monitoren. Net als het mensen zijn die vatbaar zijn voor bijvoorbeeld social engineering. De ervaring leert dat consequent investeren in training en opleiding

er voor zorgt dat de kosten die gemaakt moeten worden voor het beveiligen van de organisatie per saldo omlaag gaan, terwijl de effectiviteit van de security-aanpak juist omhoog gaat. SECURITY- EN PRIVACYTRAININGEN TSTC is dit jaar voor de negende keer op rij aanwezig op Infosecurity. Niet met 150 vierkante meter standruimte vol uiterlijk vertoon, maar met ruimte en tijd voor een goed gesprek over opleiden, certificeren en persoonlijke ontwikkeling. Of u nu zelf op zoek bent naar een training of de kennis van uw medewerkers naar een hoger plan wilt tillen, er zijn namelijk tal van mogelijkheden. Het volledige security- en (sinds dit jaar) privacy-opleidingsprogramma van TSTC bevat vandaag de dag veertig, meest vendor-onafhankelijke, titels - met of zonder certificering. In veel gevallen zijn cursisten niet langer dan drie tot vijf dagen van hun werkplek afwezig en wordt de training indien van toepassing afgesloten met het bijbehorende examen. Maatwerk behoort eveneens tot de mogelijkheden, bijvoorbeeld in gevallen waarin behoefte bestaat aan meer diepgang op een specifiek terrein of een op de eigen situatie toegespitste, verkorte training. SEMINARS OP DE BEURS Ook wanneer u niet direct van plan bent een training te volgen is het dit jaar de moeite waard om de TSTC stand te bezoeken. Internationale topsprekers praten u gedurende de dag in aantrekkelijke, informele presentaties bij over diverse, actuele security thema’s.

HET PROGRAMMA OP DE STAND (D153) IS BEIDE EXPO DAGEN ALS VOLGT: 10.15 Duane Anderson Heartbleed vs vSphere 5.5 11.15 Wayne Burke New Hacking Technologies - incl. Google Glass demo 12.15 Martin Knobloch Pentester gezocht? - the Do’s and Don’ts

13.30 Duane Anderson Heartbleed vs vSphere 5.5 14.30 Wayne Burke Evil is here - New technologies in evil hands! 15.30 Martin Knobloch Pentester gezocht? - the Do’s and Don’ts

•

training van te maken, worden cursisten bij TSTC zodanig opgeleid dat de kans van slagen voor het examen (indien van toepassing) zeer groot is. Dankzij de slagingsgarantie is men er van verzekerd dat bij onverhoopt zakken voor een examen men kosteloos opnieuw aan een training mag deelnemen of zelfs zonder kosten opnieuw examen mag doen.

Op www.tstc.nl/infosecurity vindt u meer uitgebreide informatie over de presentaties en sprekers.

OVER TSTC Al in 2005 onderkende TSTC dat security-training niet voorbehouden zou moeten zijn aan technische vendors als Cisco, Microsoft of Checkpoint. Sinds die tijd is de opleider uitgegroeid tot dé Nederlandse specialist in onafhankelijke trainingen op de terreinen informatiebeveiliging, IT-security en privacy. Een training bij TSTC voldoet altijd aan de volgende eisen: • een klassikale kwaliteitstraining van een praktijkervaren didactisch vaardige trainer • een huiselijke maar ook professionele sfeer 20

een duidelijke meerwaarde boven zelfstudie.

Dit uit zich bij de technisch georiënteerde trainingen in uitdagende hands-on praktijklabs waar in tactische en strategische titels veel aandacht is voor discussie en interactie. Het belangrijkste doel van een training is dat professionals met direct toepasbare, nieuwe kennis terugkeren op hun werkplek.

U vindt TSTC 29 en 30 oktober op Infosecurity-beurs, stand D153.

Toch is voor veel deelnemers en organisaties het behalen van een certificering ook van belang. Zonder er een examenINFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014

21

DOOR GERARD STROEVE

INFORMATIE: ALTIJD EN OVERAL

INFORMATIEBEVEILIGING ALS

BUSINESS ENABLER

In een wereld waarin alles en iedereen met elkaar in verbinding staat, groeit het besef dat het beveiligen van gegevens essentieel is. Snelle, door technologie gedreven, ontwikkelingen als consumerization of IT, mobiele devices, the Internet of Things en cloud computing vragen om gerichte aandacht voor de bescherming van informatie. Daarnaast zorgen de beveiligingsincidenten van de afgelopen jaren ervoor dat het onderwerp zich bij veel organisaties aandient. De behoefte aan een gedegen beleid en bewustzijn rondom het beveiligen van gegevens wordt bovendien gesterkt door toenemende weten regelgeving. In dit artikel schetst Centric security-expert Gerard Stroeve zijn visie op informatiebeveiliging en de waardevolle rol die security kan vervullen binnen organisaties. Niet alleen op technologisch, maar ook op sociaal niveau lijkt de waardebeleving rond informatie te veranderen. Door het gemak en de snelheid waarmee we in ons dagelijks leven gegevens met elkaar kunnen uitwisselen, realiseren we ons niet altijd waar en onder welke voorwaarden we onze informatie opslaan en wie er toegang toe heeft. Kleine lettertjes van gratis clouddiensten worden niet door iedereen gelezen. Deze IT-gemakken zien we echter ook steeds vaker terug in het bedrijfsleven. Het eens zo stevige IT-fort kan zich niet in hetzelfde tempo weren tegen de toenemende dreigingen. In deze nieuwe, open wereld moet er daarom meer expliciete aandacht komen voor informatiebeveiliging. BREDER DAN IT Het bewustzijn neemt toe dat de nieuwe technologieën niet altijd in lijn zijn met hoe veilig wij onze gegevens willen opslaan. Hierin is een tweetal nuances belangrijk. In de eerste plaats moeten we beseffen dat, hoewel het bewustzijn groeit, de noodzaak omtrent informatiebeveiliging zelf in de basis niet is veranderd. Tien of zelfs honderd jaar geleden gold al: we zijn zelf verantwoordelijk voor het waarborgen van informatie, in alle vormen. Dat is ook meteen de tweede kanttekening die we plaatsen bij dit onderwerp: hoewel de aandacht voor security vooral het gevolg is van de snelle, IT-gerelateerde ontwikkelingen, is informatiebeveiliging op zichzelf veel breder dan IT. Een succesvolle informatiebevei22

ligingsstrategie omvat alle vormen van informatie. Van de digitale gegevens op servers, apparaten en andere dragers tot de analoge informatie in boeken en papieren en de specifieke kennis in de hoofden van individuele medewerkers. VOLWASSENHEID Het resultaat van de verhoogde aandacht voor informatiebeveiliging is dat organisaties gedwongen worden kritischer naar hun eigen informatiebeveiligingsstrategie te kijken. De meeste organisaties zijn onbewust al wel actief op het vlak van security, maar vaak ontbreekt een beleid dat richting geeft aan het besluitvormingsproces. Veel organisaties zullen de volgende stap naar volwassenheid moeten zetten en een doordachte en praktisch toepasbare strategie voor informatiebeveiliging moeten ontwikkelen en uitdragen. RISICOMANAGEMENT De kracht van een goede informatiebeveiliging is dat zij aansluit bij het karakter en de waarde van de gegevens, in relatie tot de risico’s. Passende informatiebeveiliging doet nooit te weinig, maar ook niet te veel. De organisatiedoelstellingen komen immers op de eerste plaats; de balans tussen risicomanagement en kostenefficiëntie is daarin essentieel. Om tot een passende strategie te komen, zal de organisatie eerst uit moeten zoomen en zich de vraag stellen: “Waar willen we naartoe?”. Op basis van die vraag een duidelijke beleidsnotitie schrijven, werkt

vaak al bijzonder verhelderend. Aan de hand van ‘het grotere plaatje’ wordt het risicobeheersproces dat volgt een stuk gestructureerder. De beveiligingseisen van de informatie waarmee gewerkt wordt, vormen binnen dat beveiligingsproces de basis voor de keuzes die gemaakt worden. Typisch vallen die eisen in de categorieën vertrouwelijkheid, integriteit en beschikbaarheid. Daarnaast is een risicoanalyse een belangrijk onderdeel van het informatiebeveiligingsproces. Met behulp van die analyse wordt niet alleen vastgesteld welke dreigingen er bestaan, maar ook wat de gevolgen zijn als die dreigingen werkelijkheid worden. Gezamenlijk leggen het beveiligingsbeleid, de beveiligingseisen en de risicoanalyse het fundament voor een passende informatiebeveiligingsstrategie. Idealiter gebeurt dit vanuit een integrale benadering met aandacht voor het hele speelveld van informatiebeveiliging. Dit speelveld wordt beschreven in de Beveiligingskubus (zie kader). BUSINESS ENABLER Gebruikers en het management zagen informatiebeveiliging vroeger wellicht als tijdrovend of vertragend op de processen. Tegenwoordig wordt echter steeds beter duidelijk dat informatiebeveiliging organisaties toegevoegde waarde biedt. Security is de noodzakelijke voorwaarde om nieuwe technologieën in te kunnen zetten. Neem bijvoorbeeld mobility en thuiswerkfaciliteiten; het zijn

voorbeelden van voorzieningen die de productiviteit, creativiteit en flexibiliteit van organisaties en hun medewerkers flink kunnen bevorderen. Door de juiste beveiligingsvoorzieningen te treffen, kunnen ze veilig worden ingezet en groeit het vertrouwen in het gebruik ervan. Bovendien biedt een helder informatiebeveiligingsbeleid medewerkers een houvast in hun dagelijkse werkzaamheden. Duidelijke afspraken over hoe er op kantoor wordt omgegaan met (gevoelige) informatie, zowel digitaal als analoog als in kennisvorm, geeft medewerkers een gevoel van structuur en laat zien dat veiligheid belangrijk wordt gevonden. Voor de beeldvorming naar buiten is een strategie op informatiebeveiliging eveneens van toegevoegde waarde, omdat het zorgt voor een betrouwbaar imago. Sterker nog, omdat ook wij als

consumenten bewuster worden van de noodzaak van informatiebeveiliging, verwachten we van onze ‘leveranciers’ een

gen. De wereld staat namelijk geen moment stil en roept steeds weer nieuwe vragen op. Bijvoorbeeld: hoe gaat u om

‘Een succesvolle informatiebeveiligingsstrategie omvat alle vormen van informatie’ proactieve en professionele houding ten aanzien van het onderwerp. CONTINUE AANDACHT Ook als de strategie is bepaald en het proces is ingericht, dan blijft informatiebeveiliging uw continue aandacht vra-

met de beveiliging van data op mobiele devices en welke eisen stelt u aan de opslag van gegevens in de cloud? Jarenlang heeft de IT-afdeling er zorgvuldig voor gezorgd dat informatie veilig binnen de muren van uw organisatie bleef, maar dat is tegenwoordig niet zo eenvoudig meer.


23

INFORMATIE: ALTIJD EN OVERAL Niet alleen nieuwe technologische ontwikkelingen vragen uw aandacht, maar ook de steeds verder aangescherpte weten regelgeving. In Europa wordt de Europese Privacy Verordening voorbereid, die grote impact heeft op de wijze waarop u privacygevoelige gegevens dient te behandelen en te bewaren. Dan hebben we nog niet gesproken over de enorme creativiteit van cybercriminelen, die met onder meer DDoS-aanvallen organisaties weten plat te leggen. Met andere woorden, informatiebeveiliging is een continu proces. Door het goed in te richten en er voldoende aandacht aan te schenken, wordt informatiebeveiliging

‘Security is de noodzakelijke voorwaarde om nieuwe technologieën in te kunnen zetten’ daadwerkelijk een business enabler voor uw organisatie en bent u klaar voor (toekomstige) dreigingen.

Gerard Stroeve is Manager Security & Continuity Services bij Centric

blokje vertegenwoordigt een combinatie van vorm, aspect en maatregel en speelt zijn eigen rol in het informatiebeveiligingslandschap. Om de puzzel op te lossen, moeten ze allemaal op de juiste plek zitten.

legt u de basis voor een succesvolle informatiebeveiligingsstrategie. Een strategie die rekening houdt met de verschillende behoeften van alle vormen van informatie en daaraan de juiste maatregelen koppelt. Alleen als u alle puzzelstukjes de aandacht geeft die zij verdienen, kunt u de puzzel als geheel oplossen.

DE BEVEILIGINGSKUBUS Informatiebeveiliging is voor velen een complexe puzzel die bovendien heel mooi in de vorm van een van de meeste complexe puzzels, de Rubiks kubus, is weer te geven. Daarvoor plaatsten we op elk van de kubusassen één dimensie van informatiebeveiliging. DE VORM Steeds meer informatie is tegenwoordig digitaal. Toch is veel informatie ook nog op andere wijze beschikbaar. Op de zijden van de eerste as projecteren we de diverse vormen van de informatie: digitaal, analoog en kennis. DE KERNASPECTEN Op de zijden van de tweede as zetten we de kernaspecten van informatiebeveiliging: vertrouwelijkheid, integriteit en beschikbaarheid (VIB). DE BEHEERSMAATREGELEN De VIB-kernaspecten van uw informatiestromen bepalen mede welke beheersmaatregelen u moet treffen. Die maatregelen plaatsen we op de zijden van de derde as. Deze vallen typisch binnen drie categorieën: techniek, mens en organisatie. Met het invullen van deze drie dimensies van informatiebeveiliging is een complete beveiligingskubus gevormd. Deze beslaat in feite het hele speelveld van informatiebeveiliging voor elke afzonderlijke informatiestroom - een speelveld met 27 unieke aandachtsgebieden. Elk

24

Dat vraagt om een integrale aanpak. Door van tevoren al uw informatiestromen te bestuderen en te classificeren,

IT ROOM INFRA Het meest complete event van computerruimtes en datacenters

Donderdag 6 november 2014 Congrescentrum 1931 Brabanthallen Den Bosch

Registreer u met onderstaande code voor een bezoek aan het event op

www.itroominfra.nl

Registratiecode: ITR3850 Bekijk de deelnamevoorwaarden op de website

EN G RT A O N A SP M N RA T N& E E EID GI W H R U G NE BO ILI E E V -& & A T IES DA T A TE LL M A AR ST W IN K E& D AL T U ER KO T EN C TA DA INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014

25

DOOR MARINUS KUIVENHOVEN

EFFECTIEF OMGAAN MET INFORMATIEBEVEILIGING

RISICO’S

INSCHATTEN BLIJKT LASTIG Onlangs las ik een onderzoek waarin wordt gesteld dat ouders die veel boeken bezitten over bevallen en opvoeden, de beste ouders zijn. Dan kijk ik naar mijn boekenkast en denk ik: “Kijk, de beste pappa van de wereld!” Uit de conclusie van het onderzoek blijkt echter dat het helemaal niet uitmaakt welke boeken je hebt of hoeveel. Het gaat om het feit dat je vooraf tijd investeert in de baby die op komst is. Om zo mogelijke risico’s bij de bevalling en opvoeding zo laag mogelijk te houden. Volgens het onderzoek is de kans dan groot dat ouders dezelfde inspanning voortzetten na de geboorte. Mensen kunnen risico’s goed inschatten als het gaat om dagelijkse en concrete zaken. Voor abstracte dingen, of zaken waar we niet dagelijks mee te maken hebt (zoals baby’s) gaat dit niet meer op. Bruce Schneier omschreef dit mooi: “More people are killed every year by pigs than by

26

sharks, which shows you how good we are at evaluating risk.” En omdat we hier zo slecht in zijn, spelen fabrikanten van baby-producten hier handig op in. Die weten dat namelijk maar al te goed. Iedereen die ooit negenmaandenbeurzen heeft bezocht, kan dit beamen.

BEERTJESMOTIEF Zo’n beurs is onderverdeeld in voeding, gebruiksgemak en veiligheid. Met andere woorden: om de drie stands vind je wel een verkoper met de meest geniale uitvinding om jouw toekomstige spruit te beschermen van al het kwaad.

Van klittenbandstraps om de onfortuinlijke beweging te voorkomen, tot complete valhelmen mét oorkleppen waar een bergbeklimmer jaloers op zou zijn. En allemaal laten ze je geloven dat je een slechte ouder bent als je de veiligheidsbril met beertjesmotief niet neemt. Het bizarre is dat de security-wereld net zo in elkaar steekt. Maak mensen bang en ze nemen je product wel af. Er bestaat zelfs een marketingterm voor: FUD. Dit staat voor Fear, Uncertainty en Doubt. Kortweg, angst, onzekerheid en twijfel helpen klanten te motiveren producten en diensten aan te schaffen. Probeer maar eens een website, boek of beursstand te vinden waar geen gemaskerde man achter een laptop op staat, zonder plaatjes met sloten, donkere schermen met onleesbare code of teksten als ‘Zoveel euro schade bij duizenden bedrijven door hackers’ of ‘bent u wel veilig?’. Allemaal bedoeld om een angstreactie uit te lokken en mensen te laten reageren met emotie. SUCCESVOLLE TACTIEK Dat dit soort tactieken werken, staat dus buiten kijf. Echter, dit is alles behalve de goede manier om effectief om te gaan met informatiebeveiliging. Security gaat juist over ratio in plaats van emotie. Hoe wij de wereld ervaren, wijkt af van hoe deze daadwerkelijk is. Alleen daar waar ons gevoel overlapt met de realiteit bestaat zekerheid. Waar gevoel en realiteit niet overlappen, hebben we enerzijds iets wat we niet verwachten. Of anderzijds verwachten we iets wat er niet is. Zekerheid is ook gewoon de letterlijke vertaling van security. Security is niet een kwestie van zoveel mogelijk maatregelen implementeren. Het is juist investeren waar het nuttig is om zekerheid te realiseren. Dat kunnen we alleen maar doen door met ratio te handelen. NADEEL Want de angstconstructie heeft nog een nadeel. Als dreigingen uitblijven of ver in de toekomst liggen, worden mensen ongevoelig voor eindeloos angst zaaien. Dit zag je destijds gebeuren met klimaatverandering. Tien jaar geleden kondigde Al Gore een groot doemscenario aan. Hoe goed de bedoelingen ook zijn, zonder rechtstreekse impact, zijn mensen niet geïnteresseerd. Tenzij de verhalen nog heftiger worden.

Hoe krijgen we dan zekerheid? Dit kan door vooraf goed na te denken over het proces zelf. We introduceren feedback om de mate van security en de afwijking op de gewenste security te bepalen. Dat is ook waarom de investering in boeken bij kinderen wel werkt. In tegenstelling tot digitale gegevens, geven kinderen wel feedback waardoor wij kunnen bijsturen. En we leren het ouderschapsproces te verbeteren. PROCES VERBETEREN Overal waar we feedback introduceren, zien we dat het proces wordt verbeterd. Kijk bijvoorbeeld naar fotografie. Vroeger was iedereen een slechte fotograaf. Waarom? Foto’s werden alleen gemaakt op vakantie, verjaardagen en feestdagen. Als het rolletje vol was, werden de foto’s pas ontwikkeld. Je had geen idee wat je had gedaan om de foto zo mooi of lelijk

te maken. Met de komst van de digitale camera is dit veranderd. Door feedback zijn de slechtste fotografen nu beter dan de professionals van vroeger. Het gaat zelfs zo ver dat we zulke mooie foto’s maken dat we er achteraf allemaal filters overheen gaan leggen om ze weer lelijk te maken en daarmee weer natuurlijk. RATIO GEBRUIKEN Kortom, de techniek ondersteunt alleen maar een proces, waardoor het proces kan worden verbeterd. Door ratio te gebruiken en feedback te introduceren kunnen gegevens groeien, relaties worden gelegd. En uiteindelijk kunnen we zo veilig volwassen worden. Marinus Kuivenhoven is security specialist bij Sogeti


27

DOOR MARTIJN VAN LOM

HOE EEN SECURITY-EXPERT ZIJN EIGEN HUIS HACKT

PAS OP:

IOT IN UITVOERING!

Het Internet of Things is groot, groter, groots. Het is Big Data gepasseerd op de hype cycle van Gartner en zit nu op de piek van die bekende curve. Tijd voor relativering dus. Een security-expert ontdekt zijn eigen hackbare huis.

Het IoT (Internet of Things) zit volgens de marktkenners van Gartner nu op het toppunt van de hype, op de zogeheten ‘piek van opgeblazen verwachtingen’. Het duurt naar schatting van het onderzoeksbureau nog een jaar of vijf à tien na het bereiken van die piek voordat een technologie is gestabiliseerd en geaccepteerd. Eerst volgt traditioneel een snelle instorting van de hype. WIE HET VERLEDEN NIET KENT ... De voorspelde dip in de IoT-hype valt mede te wijten aan security. Of eigenlijk: gebrek aan security. De diverse apparaten die het Internet of Things vormen, lijken eerder geleerde IT-beveiligingslessen te zijn vergeten. Dat gebrek betreft niet alleen toekomstige smart devices, maar ook de things die nu al connected zijn in ons werk en leven. Zoals de doodgewone consumentenelektronica die onze senior securityspe-

cialist David Jacoby in zijn eigen huis heeft. Hardware als NAS-systemen (network attached storage), waarvan Jacoby er twee heeft van twee verschillende leveranciers. Maar ook apparaten als een smart-TV, een satellietontvanger, een internetrouter, en een printer. Systemen die qua mogelijkheden en rekenvermogen menig oude pc voorbijstreven. HET INTERNET OF THINGS IS AL IN HUIS Onze security-onderzoeker besloot die doodgewone apparatuur eens kritisch te bekijken, om het gehypte IoT tastbaarder te maken. “We kunnen veel artikelen vinden over hoe hackers en onderzoekers kwetsbaarheden vinden in bijvoorbeeld auto’s, koelkasten, hotels en residentiële alarmsystemen”, leidt Jacoby zijn eigen onderzoek in. Hij stelt echter dat veel van dergelijk beveiligingsonderzoek te ver van de lezer afstaat. Die heeft immers geen smart car, geen connected koel-

kast, geen volledig digitaal huis. Tenminste, niet in de vorm zoals die doorgaans wordt gezien voor het Internet of Things. In de praktijk hebben veel mensen al behoorlijk wat connected systemen in huis en thuiskantoor. “Een gemiddeld modern huishouden kan zo’n vijf apparaten hebben die zijn aangesloten op het lokale netwerk, waarbij dat geen computers, tablets of mobiele telefoons zijn.” Jacoby heeft het over tv-toestellen, printers, gameconsoles, netwerkopslagsystemen, mediaspelers en satellietontvangers. Apparaten die hij zelf ook heeft en die hij als security-expert natuurlijk goed onderhoudt. Jacoby onderwierp zijn eigen huis aan een onderzoek, waarbij hij de gebruikelijke doelwitten van pc’s, tablets en smartphones links liet liggen. Zijn verwachting was dat zijn huis behoorlijk veilig zou zijn. “Ik werk al meer dan vijftien jaar in de security-industrie, en ik ben nogal paranoïde als het aankomt op het toepassen van security-patches.” APPARATUUR TE VONDELING GELEGD Jacoby kwam van een koude kermis thuis. Hij ontdekte flink wat connected apparaten op zijn thuisnetwerk, de meeste voor home entertainment. Voordat hij zijn onderzoek begon, had hij alle apparaten voorzien van de nieuwste firmwareversies. Dat is een securitymaatregel die veel consumenten niet of niet geregeld nemen. Deels uit laksheid, deels uit onwetendheid. Want wie is zich er goed van bewust dat een Blu-Ray speler of een opslagapparaat in wezen een computer is, die ook onderhoud nodig heeft?

28

Tijdens het updaten ontdekte Jacoby ook dat niet alle apparaten zelf automatisch konden controleren of er nog updates waren voor hun firmware. Erger nog: de updates waren zelfs handmatig niet altijd gemakkelijk te vinden op de websites van de fabrikanten. “Dat maakte het hele proces nogal tijdrovend”, geeft onze securityspecialist aan. Daarnaast bleken veel van de betreffende producten te zijn afgeschreven door de makers, dus niet langer ondersteund met nieuwe updates. “Hebben deze producten voor thuiskantoren en entertainment maar ongeveer een jaar ‘te leven’ voordat ze ‘discontinued’ worden?”, vraagt Jacoby zich af. INGANGEN GENOEG Na alle voorbereidingen kon Jacoby beginnen aan het echte onderzoek: het aanvallen van zijn eigen elektronica. Als een buitenstaander, dus zonder bestaande inlogrechten te benutten. De twee NAS-apparaten waren als eerste aan de beurt, omdat daar kostbare gebruikersdata staan en omdat daar relatief complexe omgevingen draaien. Een Linux-versie, met webserver, beheeromgeving en meer mogelijke ingangen voor een kwaadwillende. Beide NAS-systemen gingen al gauw voor de bijl. Jacoby wist diepgaande toegang te krijgen, voorbij de beheeromgeving en op niveau van het besturingssysteem. Daarmee had hij een ingang in het thuisnetwerk. Een blijvende ingang. Want een volledige reset door een eindgebruiker zou dit hackprobleem niet wegnemen. Hetzelfde bleek te gelden voor de verborgen functies die de ‘huishacker’ aantrof op de router die bij zijn internetabonnement hoort. Ook zijn digitale tv-ontvanger Dreambox sneuvelde, via de default beheer-login. Het beheeraccount gaf bovendien root-rechten op het onderliggende Linux-systeem. OPSTAPJES NAAR MEER Kortom, voor cybercriminelen zijn er genoeg interessante mogelijkheden om alternatieve, kwaadaardige firmware te installeren op die handige, met internet verbonden apparaten in huis. Software die weer kan dienen als opstapje naar bijvoorbeeld de smart-tv, die content vanaf een mogelijk gecompromitteerde NAS haalt en die ook online-aankoopmogelijkheden biedt. Of beter gezegd: fraudemogelijkheden.

'Waar het IoT verbonden wordt, vallen securityspaanders' Overigens, wie slim denkt te zijn door een smart-tv niet aan het thuisnetwerk te koppelen, is niet per definitie veilig. Dit blijkt uit de verschillende kwetsbaarheden in het HbbTV-protocol, dat ervoor zorgt dat smart-tv’s extra content kunnen tonen die van internet gehaald wordt. Inloggegevens voor bijvoorbeeld social media op smart-tv’s zijn buit te maken,

en toestellen zelf zijn te kapen voor malafide doeleinden zoals het minen (delven) van de virtuele valuta Bitcoin voor een kwaadwillende. Kortom, waar het IoT verbonden wordt, vallen security-spaanders. Wees alert. Martijn van Lom is General Manager Benelux and Nordic bij Kaspersky Lab


29

DOOR HANS VANDAM

IDENTITEITSDIEFSTAL

GEBRUIKSGEMAK GAAT CLOUDBEVEILIGING VERBETEREN

Het snelgroeiend gebruik van cloud computing en mobiele apparatuur vraagt om betere beveiliging dan de combinatie van gebruikersnaam en wachtwoord. Ook om identiteitsdiefstal te voorkomen. De oplossing daarvoor is al jarenlang beschikbaar, namelijk onze vingerafdruk, stem, iris, gezicht en andere biometrische kenmerken. Volgens iXsmartmobile staat het biometrisch beveiligen van informatie, apps en cloudservices op het punt van doorbreken en wordt gebruiksgemak de aanjager. Zowel in de business- als consumentenmarkt. Identiteitsdiefstal is een misdrijf waar steeds meer mensen mee te maken krijgen. Bij volwassenen om de bankrekeningen leeg te roven, of criminele transacties uit te voeren en bij minderjarigen om hun identiteit op sociale netwerken te misbruiken. Verder zijn er ook nog criminelen die specifieke interesse hebben in vertrouwelijke bedrijfsinformatie en de cijfers liegen er niet om. Enkele recente publicaties daarover variëren van miljoenen patiëntgegevens die gestolen zijn bij een Amerikaanse ziekenhuisgroep, tot zelfs 375 miljoen gehackte klantgegevens in de eerste helft van 2014. Welke feiten correct zijn is minder relevant, de oplossing natuurlijk wel, namelijk biometrisch beveiligen. “Net als andere persoonsgegevens worden de gebruikersnamen en wachtwoorden van mensen in databases opgeslagen die te hacken zijn”, vertelt Joseph Kakisina product marketing director van iXsmartmobile. “Daarom is deze beveiligingsmethode in het tijdperk van cloud en mobile computing structureel onvoldoende veilig. Veel mensen gebruiken verschillende gebruikersnamen en wachtwoorden voor verschillende cloudservices, alleen zijn die combinaties moeilijk te onthouden. Door onze unieke biometrische kenmerken te gaan gebruiken voor identificatie en authenticatie, zijn zowel het beveiligingsniveau als gebruiksgemak te verhogen. Die kenmerken vergeten we nooit en heeft iedereen altijd bij zich.” Waarom wordt biometrische beveiliging dan niet allang door ie30

dereen gebruikt? Omdat de technologie daarvoor zo betrouwbaar en nauwkeurig mogelijk moet zijn en tegelijkertijd eenvoudig toepasbaar. Dat lijkt strijdig, omdat beveiliging altijd vanuit de techniek is ingevuld en een hoger niveau daarom wordt geassocieerd met moeilijker toepasbaar. iXsmartmobile stelt echter de mens centraal en maakt biometrische beveiliging zo eenvoudig dat iedereen het kan gebruiken. GEBRUIKSGEMAK Als beveiliging moeilijk is, proberen mensen de toepassing te vermijden, of een work-around te bedenken. Dan worden zij ineens de zwakste schakel in de totale oplossing. iXsmartmobile heeft een biometrische oplossing ontwikkeld waarin mensen zowel de sterkste schakel als sleutel zijn. Iedereen is er inmiddels al aan gewend geraakt dat onze vingerafdruk en gezichtskenmerken op een chip in het paspoort staan. Verder worden steeds meer smartphones en tablets uitgerust met een vingerafdruklezer, terwijl ze standaard al een camera, microfoon en touchscherm hebben. Oftewel, alle benodigde componenten voor biometrische identificatie. Mede daarom is volgens iXsmartmobile de tijd nu rijp om biometrische beveiliging op brede schaal te gaan toepassen. “Wij hebben een cloudoplossing ontwikkeld die mensen de mogelijkheid biedt om zich via een app met een intuïtieve interface biometrisch te identificeren”, vervolgt Kakisina. “Met hun vingerafdruk, stem of gezicht, maar ook een digitale handtekening, of combinatie van twee technieken. Gewoon door de gewenste methode met één klik te se-

lecteren en te gebruiken via onze ‘natural user interface’. Makkelijker is het niet te maken.” De app van iXsmartmobile draait al op alle smartphones en tablets met Android en iOS en aan de Windows versie wordt gewerkt. Het veelgehoorde gevaar dat de biometrische kenmerken van mensen te stelen en te misbruiken zijn, voorkomt het bedrijf met de zogenaamde BioHASH-technologie. Die zorgt ervoor dat met het gekozen biometrische kenmerk en een ‘random key’ een eenmalig te gebruiken certificaat wordt gegenereerd voor identificatie of autorisatie. Omdat zowel het biometrische kenmerk als de eenmalige key direct worden weggegooid, is de privacy gewaarborgd en de gebruikersidentiteit nooit te stelen. BETERE BEVEILIGING TEGEN LAGERE KOSTEN Voor zowel hosting en cloudservice providers als grote bedrijven, is het grootste voordeel van iXsmartmobile’s multi-biometrische oplossing de betere beveiliging van informatie en applicaties. Verder worden de beheerkosten voor alle gebruikersnamen en wachtwoordencombinaties fors lager en kan men eenvoudiger voldoen aan compliancy richtlijnen. Tenslotte verhoogt het gebruiksgemak ook de productiviteit van elke mobiele medewerker. Dus betere beveiliging tegen lagere kosten. “Onze iXsmartmobile suite bestaat uit de al genoemde combinatie van een app en cloudservice”, legt Kakisina uit. “Afhankelijk van de klantwensen is het authentiseren daarmee als een ‘stand-alone’ of ‘client-server’ proces te configureren. Bij

stand-alone gebruik worden alle biometrische taken op het mobiele apparaat verwerkt en in de client-server situatie merendeels op een centrale server. Voor de veilige communicatie tussen het mobiele apparaat en de cloudservices waarmee mensen willen werken, worden eenmalige certificaten gebruikt op basis van de X.509v3-standaard. MobbID is onze gebruikersapp voor multi-biometrische identificatie en authenticatie, vanaf vrijwel alle mobiele apparatuur.” “De grafische selectiemethode om je daarmee te identificeren, benadrukt de ontwikkeling in beveiliging dat gebruiksgemak een vereiste is. Door het zo eenvoudig te maken, is er niemand die het gebruik van MobbID niet meteen begrijpt. Optioneel kan de app met 2SSL een extra beveiligde verbinding maken met de meest gangbare cloudservices. Cloudservices als Amazon, Google Apps, Office365, Salesforce, Webex en Active Directory Fed Services die SAML 2.0 ondersteunen, kunnen namelijk op eenvoudige wijze gebruikmaken van onze authenticatie services.” Meer informatie hierover is te vinden op: http://ixsmartmobile.com/ Hans Vandam is journalist


31

DOOR GERT JAN WOLFIS

SECURITY

FLEXIBELER INSPELEN

OP RISICO’S DOOR PROGRAMMEERBARE NETWERKEN

IT-beslissers zien steeds vaker af van nieuwe IT-projecten uit angst voor cyberdreigingen. Het feit dat aanvallen veelvuldiger voorkomen en complexer van aard zijn, schrikt af. Onnodig, aldus Gert Jan Wolfis van F5. Door het netwerk programmeerbaar te maken, sta je juist veel sterker en kun je sneller inspelen op acute dreigingen als Heartbleed en Shellshock en geavanceerde DDoS-aanvallen. Bij het groeiende internet of things richten we ons vaak op de gevolgen voor de architecturen van datacenters. Dat komt omdat de behoefte aan verificatie, toegangscontrole, beveiliging en levering van toepassingen toeneemt naarmate het aantal mogelijke endpoints toeneemt. Slechts drie jaar geleden was de uitkomst van een onderzoek dat 81 procent van de respondenten security-functionaliteit uitzetten ten gunste van de performance, zelfs al gaven ze de prioriteit aan security. Je zou deze overweging helemaal niet moeten maken, natuurlijk. En inmiddels hoeft dat ook niet, met name door security-maatregelen zelf veel sneller en efficiënter te maken. Dat betekent dat het datacenter schaalbaar moet zijn, en met name het netwerk programmeerbaar. De huidige status van het internet en de manier waarop we het gebruiken, vereisen een nieuwe, snelle manier van bescherming. Kwetsbaarheden en aanvallen kunnen met een programmeerbaar netwerk efficiënter worden geweerd. Vandaag de dag wordt programmeerbaarheid vooral gebruikt in het controle-pad om automation en orchestratie mogelijk te maken. Programmeerbaarheid is echter niet alleen geschikt als controlemiddel om datatransport per applicatie te optimaliseren, maar ook om 32

het daadwerkelijke transport van data door het netwerk te manipuleren. Je kunt daardoor veel sneller inspelen op actuele gebeurtenissen, of ze nu kwaadwillend zijn of niet. BESCHERMING VOORDAT ER PATCHES ZIJN Programmeerbaarheid is een krachtig middel om aanvallen als Shellshock en Heartbleed, maar ook minder aansprekende kwetsbaarheden en aanvallen te detecteren en onschadelijk te maken. Patches worden snel ontwikkeld en uitgedeeld, maar tot die tijd loop je nog wel steeds risico. Die patches om lekken te dichten verschijnen relatief snel, maar lang niet altijd snel genoeg. Daarnaast kost het tijd om al die patches door te voeren in alle getroffen systemen. Tot die tijd is het van belang toch beschermd te zijn. Bedrijven moeten met de kwetsbaarheid omgaan terwijl ze een lange termijn oplossing regelen. Bij Shellshock gaat het om kwetsbaarheden verborgen in HTTP-headers. De meeste netwerkinfrastructuren zullen dit niet herkennen. Door infrastructuren programmeerbaar te maken middels bijvoorbeeld F5’s BigIP/Viprion proxy of LineRate proxy wordt snelle bescherming geboden tegen deze aanvallen op applicatieniveau. Het BIG-IP platform gebruikt hiervoor onder andere iRules, een Tcl-gebaseerde scripting-taal die op maat te gebruiken is om netwerkverkeer te inspecteren, analyseren, sturen, om te leiden, manipuleren, onbeschouwd laten, spiegelen en veel meer. Het biedt flexibiliteit en beheer om veel meer mogelijkheden uit bestaande apparatuur te halen. Het voegt business-logica toe aan de netwerklaag. Maar bovendien biedt het directe bescherming voor back-end servers, voordat patches zijn getest en toegepast. MANIPULEER NETWERKVERKEER Het concept van programmeerbaarheid van het datatransport is dus interessant. Wanneer de weg die data bewandelt door middel van programmeerbaarheid gemanipuleerd kan worden, krijgen organisaties de kans direct maatregelen te nemen tegen kwalijke requests en verdere risico op misbruik te voorkomen. En het geeft bedrijven de tijd om een permanente oplossing te vinden. Dit is nu al te doen met application delivery controllers (ADC). Een ADC functioneert op laag

4-7 van het OSI-model. En is in staat om te participeren in traditionele infrastructuren en Software Defined Networking (SDN) omgevingen en kan functioneren als gateway met application delivery als extra toevoeging. Een volwaardige ADC biedt naast een full-proxy architectuur, hoge performance en SSL-offloading, programmeerbaarheid van management, data en controle paden. Deze ingrediënten zorgen ervoor dat je een sterke basis hebt voor totale controle over hoe applicaties worden aangesproken door gebruikers en bieden de mogelijkheid om kwetsbaarheden in een aantal uren te patchen in plaats van te wachten totdat de softwareproducent een patch levert. SAMENWERKING ANDERE SYSTEMEN De software defined application services (SDAS) bieden de programmeerbaarheid van data en control plane en maken daarmee ook integratie met andere (beveiligings)toepassingen mogelijk. Zelfs als die van andere leveranciers zijn. F5’s high performances services fabric zit dankzij de centrale locatie op een strategisch punt in het netwerk en biedt daardoor een uitstekend uitgangspunt voor het controleren van datatransport per applicatie. Alle applicatie-requests worden beïnvloed door de SDAS, zoals beschikbaarheid, security en identiteitsen toegangscontrole. Zodra een request binnenkomt, kan deze eerst worden gescreend op kenmerken van DDoS-aanvallen. Vervolgens wordt het request afhankelijk van het beleid gestuurd naar een geïntegreerde security-toepassing (bijvoorbeeld Sourcefire-sensors). Zodra deze het groene licht geeft, wordt het request teruggestuurd via SDAS richting de bedoelde applicatie.

De gebruikte regels hiervoor kunnen uiteenlopen van heel simpel tot krachtiger en complexer met meerdere condities en criteria. Acties die erop volgen kunnen betrekking hebben op een automatische configuratie voor security services, zoals het blokkeren van een apparaat dat aan de basis van een aanval lijkt te staan. Wanneer security-toepassingen een probleem detecteren, kunnen ze actie ondernemen door een iRule aan het datapad toe te voegen dat het IP-adres van de afzender kan blokkeren. Dankzij programmeerbaarheid kunnen security-services sneller reageren, waardoor het hele datacenter-ecosysteem beter beschermd is, zonder concessies te doen qua performance. PROGRAMMEERBAARHEID ALS KEUZECRITERIA Het aanbod security-toepassingen en netwerk(ondersteunende) apparatuur is groot. Bij de keuze voor een leverancier speelt uiteraard prijs en functionaliteit een belangrijke rol. Daarnaast kijken eindgebruikers naar intercompatibilieit en naar minder technische kenmerken zoals imago van een bedrijf. Maar programmeerbaarheid wordt nog te weinig meegenomen als criteria in het keuzetraject, terwijl het juist van invloed is op vrijwel alle aspecten hier net genoemd. Dankzij programmeerbaarheid is flexibel om te gaan met bestaande resources (bescherming van investeringen), is sneller in te spelen op risico’s (functionaliteit) en zijn verschillende systemen beter op elkaar af te stemmen (compatibiliteit). En met die kenmerken krijg je vanzelf een goed imago. Gert Jan Wolfis is Senior Field Services Engineerbij F5 Networks


33

DATALEKKEN VOORKOMEN

SIEM:

zijn getroffen, dan moet er geld worden gereserveerd voor de financiële schade en de eventuele boete. Gebeurt dit niet, of onvoldoende, dan kan dat leiden tot het verlaten van de goedkeuring of zelfs het achterwege blijven van de goedkeuring. En dat kan desastreuze gevolgen hebben voor ziekenhuizen. Wil je bijvoorbeeld een nieuwe MRI-scanner aan gaan schaffen en wil je die financieren met een lening van de bank, dan moet je een goedgekeurde jaarrekening kunnen overleggen. Is je jaarrekening niet goedgekeurd, dan zal geen bank in je investeren.”

EEN PREVENTIEF MEDICIJN VOOR DE ZORG

Vanaf 1 januari 2016 zijn ziekenhuizen en zorginstellingen verplicht om maatregelen te treffen ter voorkoming van datalekken. Zijn er op die datum nog geen afdoende maatregelen getroffen, dan kunnen forse boetes worden opgelegd die variëren van minimaal 200.000 euro volgens de Nederlandse wetgeving, tot maximaal 4% van de jaaromzet volgens de Europese wetgeving. Frank Voogel, Account Executive bij Unisys, pleit voor de invoering van Security Information and Event Management (SIEM) in de zorg, om instellingen te helpen aan de regelgeving te voldoen en tot 19% van het totale financiële risico van datalekken te voorkomen. Ziekenhuizen krijgen net als andere organisaties in toenemende mate te maken met datastromen die buiten het eigen netwerk om gaan. Denk bijvoorbeeld aan het gebruik van cloudapplicaties en cloudstorage, het ontsluiten van de mobiele apparatuur van de werknemers (BYOD), of het gebruik van applicaties

als Whatsapp en Dropbox voor werkgerelateerde zaken. Deze nieuwe, open omgeving brengt natuurlijk de nodige beveiligingsrisico’s met zich mee. Gezien de vaak privacygevoelige informatie waarmee men in de zorg werkt, zoals het Elektronisch Patiënten Dossier (EPD), is zorginstellingen er veel aan gelegen

datalekken te voorkomen. Dat betekent onder meer dat in kaart moet worden gebracht hoe de datastromen in de organisatie lopen en dat de medewerkers moeten worden voorgelicht over wat ze kunnen doen en wat ze moeten laten. “Sommige informatie mag niet overal worden opgeslagen. Andere informatie

mag niet voor iedere medewerker toegankelijk zijn”, zegt Voogel. “Het raadplegen van het EDP wil je bijvoorbeeld toestaan voor de behandelende arts, maar verbieden voor personeel dat niets met de patiënt te maken heeft. Je wilt niet dat wanneer Máxima in het ziekenhuis belandt, ieder personeelslid haar gegevens op kan vragen. Daar zal je dus beleid voor in moeten stellen en SIEM kan een enorme bijdrage aan de uitvoering van dat beleid leveren.” RUIS ELIMINEREN De hoeveelheid opgeslagen security events groeit exponentieel en handmatige analyse en beoordeling van logbestanden is daarom geen optie. Voogel: “Zorginstellingen hebben behoefte aan geautomatiseerde tools om relevante events uit de enorme hoeveelheid van loggegevens te selecteren. SIEM maakt gebruik van gegevens die door verschillende bronnen in logbestanden worden opgeslagen en vormt deze gegevens real-time om tot relevante beveiligingsinformatie. Er wordt gebruikgemaakt van gegevens die worden gelogd door applicaties, databases, besturingssystemen, netwerken en hardware componenten. Hieruit filtert SIEM de relevante events en elimineert eventuele ruis. Zo bereiken organisaties een ‘near real-time’ beveiliging tegen bedreigingen. Tegelijkertijd wordt er een hogere mate van bewustzijn en een beter begrip van de kwetsbaarheden gerealiseerd.”

ten aanzien van datalekken, dan kunnen er forse boetes worden opgelegd, die kunnen oplopen tot maar liefst 4% van de jaaromzet. “Er bestaat nog veel onduidelijkheid over hoe de wetgeving er precies uit zal gaan zien en of de Nederlandse of de Europese wetgeving leidend gaat zijn bij het beoordelen van ziekenhuizen”, zegt Voogel. “Maar door een SIEM-oplossing te implementeren die rekening houdt met de richtlijnen zoals die geformuleerd zijn in de norm NEN 7510, kunnen organisaties al veel doen om boetes te voorkomen.” NU AL GEVOLGEN VOOR ZIEKENHUIZEN Ziekenhuizen kunnen al negatieve gevolgen ondervinden van de nieuwe wetgeving voordat deze van kracht is. “Wanneer de risico’s die een organisatie loopt onvoldoende belegd zijn, dan kan het gebeuren dat de accountant de jaarrekening niet goedkeurt”, stelt Voogel. “De accountant zal ook het risico op datalekken mee gaan wegen in zijn eindoordeel en wanneer er onvoldoende maatregelen

REGELGEVING Vanuit de wetgevende instanties komt er steeds meer aandacht voor het voorkomen van datalekken. Voldoen zorginstellingen per 1 januari 2016 niet aan de eisen die door de overheid worden gesteld

DE VOORDELEN VAN SIEM Een belangrijk voordeel van SIEM is dat je beleid proactief in plaats van reactief wordt, zegt Voogel. “De respons wordt niet over je afgeroepen, maar je kunt het incident voor zijn, door het systeem automatisch te laten reageren op bepaalde situaties. Als je weet dat een wachtwoord bijvoorbeeld al een jaar lang niet gewijzigd is, dan kun je daar wat mee doen, omdat SIEM dat monitort. Dat levert tegelijkertijd een winst in efficiëntie op, want je kunt heel veel steeds terugkomende handelingen automatiseren, zoals het weigeren van toegang aan gebruikers die tien keer de verkeerde credentials invoeren, of het afsluiten van oneigenlijke apps op basis van vooraf geformuleerde regels. Maar het grootste voordeel voor ziekenhuizen is dat het dataverkeer inzichtelijk wordt gemaakt en men zo veel eenvoudiger kan voldoen aan de regelgeving.” SIEM ME UP Uit onderzoek van Verizon blijkt dat organisaties tot 19% van het totale financiële risico dat ze lopen als gevolg van datalekken, kunnen voorkomen met een SIEM implementatie. “De meeste SIEM-oplossingen in de markt zijn echter bijzonder prijzig in aanschaf en onderhoud”, zegt Voogel. “Dat weerhoudt veel ziekenhuizen ervan om nu al een SIEM-oplossing aan te schaffen. Het gaat vaak om investeringen van tonnen. Het kan echter veel goedkoper: een oplossing in een shared omgeving kan bijvoorbeeld voor een behoorlijke kostenreductie zorgen, vergeleken met een maatwerkoplossing. Wanneer die shared oplossing rekening houdt met de naleving van de NEN normen, dan heb je wel voordelen van een implementatie op maat, maar niet de kosten.”

Frank Voogel 34


35

DEELNEMERSLĲST STORAGE

IT SECURITY

Exposant A10 Networks Aerohive Networks Airwatch Akamai Technologies Aras Security Arista Networks Arrow ECS Networking & Security Atal Barracuda Networks Blancco Bomgar Cert2Connect Cisco Systems CompLions Compumatica Secure Networks Contec iSC CRYPSYS Data Security CyberArk Software Cyberoam Technologies Pvt. Ltd. Data Protectors Davinsi Labs DearBytes Dell Dimension Data Draytek E-quipment ESET NOD32 Exclusive Networks EXIN F5 Networks Feitian Technologies Firebrand Training Fortinet Fox-IT F-Secure Gateprotect G Data Software GlobalSign Huawei IBM INVEA-TECH IP4sure iSOC24 B.V. ITSX Information Technology Security eXperts iX smartmobile Kaspersky Lab KeepltSafe KPN Logpoint A/S Madison Gurkha Minkels Motiv Multicap Nagios Nederland NetOp NewChannel Norman Data Defense Systems Nutanix Outpost24

Stand E066 E116 B107 E164 C146 D088 E086 A103 D056 A117 E135 C160 B100 B117 B116 D130 B122 B143 C152 D145 E148 B136 B056 A144 B144 E141 D116 C116 B123 C130 D157 E 070 E 086 C145 A112 A116 D137 D135 A044 B048 A101 A104 D129 B154 E139 E136 A107 D075 D129 B154 E056 D100 D170 E152 D131 C152 B162 D088 E080

Exposant Palo Alto Networks Pine Digital Security PointSharp Prianto B.V. Pronovus Qi ict Qualys Rohde & Schwarz SafeNet Technologies Sectra Communications SecurIF Security Academy SMT Simple Management Technologies Sophos Splunk Services SRC Secure Solutions Swivel Secure Ltd. TechAccess Trend Micro Truphone TSTC UBM Van Randwijk Paperflow Solutions Varonis Veeam Software Voltage Security Watchguard Technologies Westcon Security Wyless

DEELNEMERSLĲST

40

BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL

Stand D115 E076 E154 C125 B139 A102 D134 A118 A136 C144 A129 A125 D076 D087 D076 A133 C152 A132 C088 C136 D153 A135 D165 D138 B103 D139 C123 E104 E156

Exposant ACES Direct Arcserve Arista Networks AXEZ Bull Catalogic Software Circom Cisco Systems CommVault Data Center Arnhem Data Management Professionals Dell Dimension Data Dovilo EAN Consulting EMC E-Storage Evault, A Seagate Company Fusion-io Hitachi Data Systems HP Huawei I3 groep IBM Imtech ICT Inprove Interconnect IS Group Kingston Technology LaCie NetApp Netgear Nexenta Nexsan Technologies Ltd. Nimble Storage N-TEC Nutanix Oracle PernixData PQR Pure Storage Puur Data QNAP Systems Qsan Technology Raidon Nederland Scholten Awater Seagate SimpliVity SJ-Solutions SLTN Super Micro Computer Synology Tectrade Telindus Tintri Virtual Instruments Zerto Zettastor ZyXEL Communications

IT MANAGEMENT SOLUTIONS Stand A082 A060 D088 B030 B087 A040 A095 B100 C028 A071 B063 B056 A144 A049 A045 B076 B038 B088 B020 C076 B033 A044 B073 B048 B093 A068 A092 B079 A041 A067 C046 A080 B057 A079 D033 A045 D088 A032 A088 D039 C036 A036 A072 A045 A076 A056 A067 A033 B039 C029 A075 A061 B048 A024 A096 A121 A097 A090 A019

MELD U NU AAN VIA INFOSECURITY.NL, STORAGE-EXPO.NL OF THETOOLINGEVENT.NL

Exposant Arcade ICT Autotask Azlan Nederland Axios Systems Barracuda Networks Citrix Systems De ISM-methode Dupaco Distribution Forward IT Frontrange Solutions IGEL Technology InfraVision Matrix42 Mexon Technology Microsoft Monitor 24-7 Inc. Mproof Novell OGD ict-diensten OMNINET Technologies SMT Simple Management Technologies Splunk Services The Backbone TOPdesk

Stand D040 E046 THEATER 2: Enterprise Mobility B006 D056 THEATER 2: Enterprise Mobility C004 B012 D005 D027 E050 E012 E048 D034 D048 & D050 E032 D028 B012 E041 E028 D076 D076 E007 C012

DEELNEMERSLĲST INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 41

PLATTEGROND Situatie per 23-09-2014, wĳzigingen voorbehouden. Definitieve indeling was bĳ het ter perse gaan nog niet bekend. THEATER 1: IT Service Management & Control HOOFDSPONSOR

THEATER 1

THEATER 2: Enterprise Mobility

THEATER 2

VIP LOUNGE

THEATER BOULEVARD

E012

HOOFDSPONSOR

THEATER 3

E028

THEATER 3: Datacenter & Infrastructure Optimisation E007

E048

E032 E046

THEATER 4

THEATER 5

THEATER 6

THEATER BOULEVARD

E050

E056

E066

E070

E076

THEATER BOULEVARD

E086

E080

THEATER 7

E104

E116

E134

E124 E132

E148

E152 E154 E156 E162

E136

E164

TOOLING EVENT E035

TERRAS

THEATER 4: Cloud Computing

E041

D050

E131 E135 E139

D056

D076

D048

D028 D034

HOOFDSPONSOR

D170

D100

D088

D116

MEDIA TERRAS

E141

D130 D134

D040

D166

D138 D165

THEATER 5: Cyber Security

D005

THEATER 6: Privacy, Governance & Risk Management

C004

D075

D033

D027

TERRAS D039

C012

D131

D087

C028

D115

TERRAS

C130

C116 C076

C088

C125

C029 B038

D153

D161 C164

C146

B076

B056

B030

C144

C152

B088

B100

B162 C156

C123

C145

B116

B048

C136

INFOSECURITY.NL

B006 B020

D139

D145

D157

HOOFDSPONSOR

B012

D129

C046

C036

THEATER 7: Data Growth & Storage Capacity

D135 D137

B136 B122

C160

B154 B144

STORAGE EXPO B039

B057

B033 A024

B063

A044

ENTREE HAL1

A032

A036 A040

A041

A045

A049

A068 A058 A060

A061

A067

B079 A082

A062

A056

A033

A019

B073

A072 A076 A080

A071 A075 A079

B087

B093

A090 A088

A096 A092

A089

B103

B107

B117

A112

A118

A104 A106

A116

A102

A095 A097 A101 A103 A107

ENTREE JAARBEURS

B123 B127

B139

A132

B143

A144

TERRAS TERRAS

ENTREE

A136

A145

A117 A121 A125 A129 A133 A135

Hoofdsponsor: Intel® en Cisco

Intel, the Intel logo, Xeon, and Xeon Inside are trademarks or registered trademarks of Intel Corporation in the U.S. and/or other countries.”

NAAR 1STE VERDIEPING:

Zaal 13 Werkelijke situatie MEDIA PLAZA

ZAAL 9: INFOSECURITY.NL - Management Seminars ZAAL 10: STORAGE EXPO - Technische Seminars

Zaal 9

Zaal 10

Zaal 11

Zaal 12

ZAAL 11: STORAGE EXPO - Management Seminars ZAAL 12: INFOSECURITY.NL - Technische Seminars ZAAL 13: INFOSECURITY.NL - Seminars

PLATTEGROND

42

BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL

SUPERNOVA

MELD U NU AAN VIA INFOSECURITY.NL, STORAGE-EXPO.NL OF THETOOLINGEVENT.NL

PLATTEGROND INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014 43

g

Seminaroverzicht Seminars thematheaters

WOENSDAG 29 OKTOBER Zaal 1 - IT Service Management & Control Keynote: Zet uw dienstenwinkel op de kaart met een PDC! Spreker: Miriam Peters-van Kalsbeek – Consultant, TOPdesk Woensdag: 10.15 – 10.45 uur Over de keynotesessie: Deze presentatie gaat over de invulling van uw producten- en dienstencatalogus (PDC). Waarom zou u een PDC willen, welke basisprincipes gelden er en hoe kan dit worden vertaald naar een servicemanagement tool? Sessie: Behulpzaam volgens afspraak Spreker: Roeland van Rijswijk – Consultant, TOPdesk & Xander Orth – Accountmanager, TOPdesk Donderdag: 10.15 – 10.45 uur Over de sessie: Klanten worden steeds veeleisender; alles moet het liefst nu gebeuren. Hoe gaat u om met deze kritische klant en hoe zorgt u dat u de klant tevreden houdt? Tijdens deze presentatie wordt besproken hoe Service Level Management u hierbij kan helpen.

Sessie: The Future of Service Level Management Spreker: Christophe Feams - Operations Manager, OMNINET 11.00 – 11.30 uur Over de sessie: Customer Focus is considered as key-tosuccess within ITIL®. Still, the importance of measuring Customer Satisfaction is often underestimated in many service organizations. This presentation will focus on the added value of measuring customer satisfaction. Discover the missing link…

Sessie:

Welke invloed heeft uw klantenservice op uw klantbeleving? Spreker: Cees Broer - Sales Manager, FrontRange Solutions 11.45 – 12.15 uur Over de sessie: Klantontevredenheid, slechte bereikbaarheidscijfers, herhaalverkeer en klachten worden binnen veel organisaties bestempeld als het probleem van de klantenservice. Maar is dat wel terecht? Welke invloed heeft klantenservice eigenlijk op klantbeleving? Leer hoe een multichannel strategie, flexibiliteit, automation en telefonie-integratie met uw service management oplossing een positieve bijdrage hebben op uw klantbeleving.

Sessie:

44

A Smarter Approach to Building a

Successful IT Services Business Spreker: Jamie Daum - Regional Sales Manager, Autotask 12.30 – 13.00 uur Over de sessie: In this session, Technology Solution Providers will learn the benefits of implementing an IT business management platform to gain operational efficiency; accountability for internal/ external metrics; and real intelligence about the factors that affect the business and the solutions implemented to deliver solid results for their organizations and their clients.

Sessie:

KCS: Kennis als fundering voor een goede dienstverlening Spreker: Sander van der Moolen – Consultant, Infravision oensdag: 13.15 – 13.45 uur Over de sessie: Knowledge-Centered Support (KCS) is een bewezen methodiek (geen tool) waarmee u de kennis van de mensen in uw organisatie benut om uw dienstverlening te transformeren. Wilt u het verloop van personeel verlagen, uw medewerker tevredenheid verbeteren en meer? Leer tijdens deze sessie wat de KCS methodiek allemaal mogelijk maakt. Sessie:

Unique ITSM challenges of Multi – Nationals Spreker: Martijn Adams - Director ITSM, InfraVision & Cor Winkler Prins - VP Product Management, ITRP Institute Donderdag 13.15 – 13.45 uur Over de sessie: The ITSM world is changing rapidly. Key developments are IT becoming a broker of Services, the need to take control and the globalisation of organisations. ITSM (applications) are still struggling to deliver the required functionalities and global performance, but with the help of modern technologies things are changing! Sessie:

Case Study: De provincie Utrecht professionaliseert service management en introduceert een self service portal Spreker: Thuy Tran Chau - Informatie- en ICT specialist provincie Utrecht & Arthur Wetzel Teamlead Management Department, provincie Utrecht 14.00 – 14.30 uur Over de sessie: Zelfredzaamheid van medewerkers staat centraal bij het project Click-Call-Face van de provincie Utrecht. De self-service portal “Serviceplein”, waar de service management tool assyst van Axios Systems de drijvende kracht

WOENSDAG 29 & DONDERDAG 30 OKTOBER

achter is, maakt dit mogelijk. Hiermee komen alle taken, via de dynamische workflows, bij de juiste afdeling en medewerker terecht. Sessie:

Flexibele en complete IT Service Management software Spreker: Jacob-Jan Van der Spek - Sales Consultant, Ultimo Software Solutions 14.45 – 15.15 uur Over de sessie: Het vinden van een passende IT Service Management Tool is een uitdaging. De Ultimo software onderscheidt zich door flexibiliteit, waardoor er een passende oplossing voor uw organisatie kan worden gerealiseerd. Bezoek de presentatie en ontdek onder andere hoe de software wordt toegepast in combinatie met de ISM methodiek. Zaal 2 – Enterprise Mobility Keynote: Van BYOD naar de Mobiele Werkplek – met Cisco en Citrix Spreker: Epke Habraken - Strategic Alliance Sales Manager, Citrix 10.15 – 10.45 uur Over de Keynotesessie: Medewerkers worden steeds mobieler en willen (moeten) overal kunnen beschikken over het “zakelijke” netwerk. Hoe speelt het business aspect hier op in en kan IT hierin een rol spelen? Hoe kan je een Mobile Workspace het beste Mobiliseren, Virtualiseren en Veilig aanbieden? Citrix en Cisco hebben een gezamenlijke propositie die hierop inspeelt. Sessie:

Geef uw mobiele werknemers de vrijheid en beveilig uw bedrijf Spreker: Andy Struys - Sr. Solution Architect EMEA, Dell 11.00 – 11.30 uur Over de sessie: Kies oplossingen die aansluiten bij uw mobiele strategie - niet andersom. U moet een uniforme, end-to-end oplossing implementeren die uw mobiele strategie nu en in de toekomst ondersteunt. Dell biedt verschillende oplossingen om uw mobiele uitdagingen aan te pakken, zoals endpoint management, container beheer of een combinatie van beide. Sessie:

De uitdagingen van BYOD en het nieuwe werken Spreker: Dhr. Servie Janssen - Marketing Manager, Qi ict 11.45 – 12.15 uur Over de sessie: Bij het faciliteren van Bring-You-Own-Device is beveiliging de grootste uitdaging. Wat zijn de risico’s? Zijn de risico’s platform-specifiek? Welke oplossingsrichting past bij mijn organisatie?

BEURSSPECIAL | WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL | WWW.THETOOLINGEVENT.NL

Sessie:

Customisable risk-based authentication for mobile, cloud and beyond Spreker: James Romer - Senior Sales Engineer, EMEA, SecureAuth Corporation (i.o.v. Cert2Connect) 12.30 – 13.00 uur Over de sessie: Leer hoe SecureAuth’s IdP 8.0 voorziet in een eenvoudig te implementeren, flexibele en veilige methode voor het beveiligen van uw identiteit in de verbonden wereld van vandaag - deze sessie belicht ‘use cases’ voor op risicogebaseerde analyse van identiteit-relevante contextuele informatie, Identity tools, Single-Sign-On en multi-factor authenticatie workflows, waaronder Social en Federated ID’s.

ges to the enterprise. Join AirWatch by VMware to learn how executives are planning and securing their next generation of initiatives while ensuring they protect sensitive corporate information and employee privacy. Sessie:

How to Execute Your Next Generation of Mobile Initiatives Spreker: Adrian Dumbbleton - Sales Manager EMEA, Airwatch Donderdag: 13.15 – 13.45 uur Over de sessie: The exponential growth of mobile devices in the workplace presents benefits and challenges to the enterprise. Join AirWatch by VMware to learn how executives are planning and securing their next generation of initiatives while ensuring they protect sensitive corporate information and employee privacy.

Deze presentatie wordt in het Engels gegeven. Sessie: Sessie:

How to Execute Your Next Generation of Mobile Initiatives Spreker: Peter Schuchmann - Enterprise & Government Account Executive Netherlands, Airwatch Woensdag: 13.15 – 13.45 uur Over de sessie: The exponential growth of mobile devices in the workplace presents benefits and challen-

Investeer in de toekomst: Gebruik Gigabit Wi-FI om Veilig BYOD, IoT en meer te kunnen waarborgen. Spreker: Roy Verboeket - Sales Engineer, Aerohive 14.00 – 14.30 uur Over de sessie: Steeds meer mobiele gebruikers, apparaten en applicaties connecteren met onze netwer-

ken dan ooit tevoren. Hierdoor worden Wi-Fi infrastructuur capaciteit, veiligheid en schaalbaarheid cruciaal om uw “ mobile workforce” te kunnen garanderen. Het is tijd om te bepalen hoe u de nieuwste technologieën en trends kunt gebruiken zonder dat het u teveel network resources kost. Sessie:

Veilig en mobiel delen van bestanden - EFSS in de praktijk Spreker: Gertjan Beentjes - Key account manager & Partner executive, Novell 14.45 – 15.15 uur Over de sessie: Bestandsdeling en mobiele bestandstoegang vanuit uw eigen infrastructuur is mogelijk, ook zonder uit te wijken naar Clouddiensten. Novell Filr biedt een zakelijk alternatief! Door een appliance te installeren bovenop uw bestaande infrastructuur, heeft u met minimale inspanningen en investeringen uw bestandsomgeving veilig gereed gemaakt voor al uw mobiele medewerkers.

Sessie:

The impact of Enterprise Mobility on IT Service Management and Compliance Spreker: Oliver Bending – CTO Matrix42 15.30 – 16.00 uur


45

g

Seminaroverzicht Woensdag 29 en donderdag 30 oktober

Over de sessie: Today’s employees desire a mobile workplace. To support mobile work-styles many IT organizations have started to use Enterprise Mobility Management (EMM). Learn in this session about the impact of Mobility on IT Service Management and License Management and how to avoid the most common pitfalls in Mobility projects. Zaal 3: Datacenter & Infrastructure Optimisation Sessie:

JE BENT GEK ALS JE EEN NEXT GENERATION FIREWALL VOOR JE DATACENTER OVERWEEGT! Spreker: Jack Niesen - Sales Consultant, F5 Networks 10.15 – 10.45 uur Over de sessie: Next Generation Firewalls zijn uitermate geschikt voor outgoing traffic, social media applicaties en dergelijke, maar dat is niet wat u in uw datacenter nodig heeft. Uw datacenter vraagt een andere benadering en architectuur. In deze sessie zal F5 hun visie over de firewall-architectuur, gebaseerd op full-proxy en high-connection capacteit application delivery controllers, voor het datacenter presenteren.

Sessie:

Het einde van de traditionele storage array? Spreker: Marcel Kleine - Sales Consultant, PQR 11.00 – 11.30 uur Over de sessie: Converged, hyper-converged, maar ook software defined staan vandaag de dag centraal. Wat doet de gevestigde orde? En wat doen de startups? Is een centraal storagesysteem eigenlijk nog wel van deze tijd? Is dit het einde van de traditionele storage array? Marcel Kleine geeft antwoord op deze vragen tijdens zijn presentatie.

Sessie:

Business Service Intelligence; de transformatie van proactieve ketenbewaking naar predictive service intelligence Spreker: Philippe Thys - Solution Architect en Managing Consultant, Arcade ICT 11.45 – 12.15 uur Over de sessie: Business Service Intelligence biedt de mogelijkheid om gecontroleerd en schaalbaar van proactief naar predictive management te evolueren. De statistisch verwerkte informatie leidt tot analyses en prognoses die ten grondslag liggen aan optimalisering van de busi-

46

ness. Uiteindelijk ontstaat een transformatie van keten management naar service health en vervolgens naar service intelligence.

Sessie:

Ketenmonitoring in de wereld van Internet of Things Spreker: Gert Kiewiet - Directeur Operations & Projecten, The Backbone 12.30 – 13.00 uur Over de sessie: In de huidige “Internet of Things” wereld is de eindfunctie afhankelijk van eigen IT-middelen en diensten in de cloud. Het hebben van een actueel inzicht in “end-to-end” performance en SLA’s van de IoT-IT, krijgt hiermee een extra dimensie. In deze sessie wordt een beeld geschetst hoe monitoring oplossingen hierin moeten mee-ontwikkelen. Sessie:

Datacenter & Infrastructure Optimisation: Software Defined is de oplossing, of niet? Spreker: Harm de Haan - Manager Consultancy & Advisory Board member, Telindus 13.15 – 13.45 uur Over de sessie: Hoe optimaliseer ik een volledig Datacenter infrastructuur: Software Defined gaat het allemaal oplossen. Maar is dat wel zo? Telindus laat in deze presentatie weten wat hun ervaringen tot nu toe zijn met software defined oplossingen? Wat is het, wat is het niet en wat komt er nog meer bij kijken? Sessie:

Het digitale loket altijd toegankelijk voor burgers, gebaseerd op een geoptimaliseerde, veilige, toekomstbestendige infrastructuur Spreker: George Schipper – Director, GR Cocensus (i.o.v. Hewlett-Packard Nederland B.V.) 14.00 – 14.30 uur Over de sessie: Consensus heeft met een HP ConvergedSystem een ICT-infrastructuur voor de regio Alkmaar bereikt met eisen zoals hoge beveiliging, groei, duurzaamheid en de infrastructuur moest geschikt zijn voor het Nieuwe Werken en cloudtoepassingen. In deze sessie presenteren we de mogelijkheden van HP ConvergedSystem voor uw organisatie en de ervaringen van Cocensus.

JAARBEURS UTRECHT

Over de sessie: • High-Speed Recovery • Data Loss Avoidance • Verified Protection • Risk Mitigation • Complete Visibility Zaal 4: Cloud Computing Keynote: The Internet of Things: Kleine dingen met grote gevolgen Spreker: Hans Bos - National Technical Officer, Microsoft 10.15 – 10.45 uur Over de Keynotesessie: Het “Internet of Things” is niet een toekomstige technologie trend. Het is er al. In apparatuur, in sensors, in cloud infrastructuur, in data en business intelligence. In deze bijeenkomst geeft Microsoft praktische inspiratie voor vandaag en morgen op basis van Cloud OS + Intelligent Systems + Data. Sessie:

Hybrid cloud – Hoe transformeert u uw datacenter naar een business service center? Spreker: Jessica Constantinidis - Next Generation Datacenter & Cloud Transitional Lead Director, Dimension Data 11.00 – 11.30 uur Over de sessie: Met de belofte van cloud als het nieuwe leveringsmodel: Hoe besluit u welke applicaties u vanuit de cloud moet hosten en wanneer migreert u deze? Hoe integreert u uw bestaande omgeving met de cloud? Deze presentatie biedt u best practices en een aansprekende case study.

Sessie:

Software Defined Storage Hydrateert de Cloud Spreker: Gijsbert Janssen van Doorn - Sales Engineer, Nexenta 11.45 – 12.15 uur Over de sessie: Datagroei door trends als the Internet of Things zorgt ervoor dat veel organisaties naar cloud computing kijken om hun schaalbaarheid en flexibiliteit te verbeteren. Deze organisaties zullen snel merken dat Software-Defined-Storage (SDS) cloud computing mogelijk maakt. Leer van Nexenta hoe SDS u kan helpen uw cloud infrastructuur een realiteit te maken.

in-a-Box oplossing die het mogelijk maakt om met een simpele installatie wizard, een kostenefficiënte private cloud op te zetten in minder dan 2 uur tijd die ruimte biedt aan 100 virtuele machines en 34TB gedeelde opslag in een zeer stille en compacte chassis.

Sessie:

Workspace Management as a Service: Managing the Personal Cloud from the Cloud Spreker: Oliver Bending – CTO Matrix42 13.15 – 13.45 uur Over de sessie: The workspace of the future is a Personal Cloud that consists of many apps, devices, data and IT-Services that are provided on-premise or/ and are consumed as a cloud service. Learn in this session about the challenges that Personal Cloud brings to IT organizations and how IT can control and secure this.

Sessie: Sessie:

Veeam - Availability for the Modern Data Center Spreker: Henk Arts - Senior System Engineer (Teamlead), Benelux, Veeam Software 14.45 – 15.15 uur

Cloud-in-a-Box, uw Private Cloud in minder dan 2 uur Spreker: Eric van ’t Hoff - Western Europe Alliances Manager, Dell 12.30 – 13.00 uur Over de sessie: Samen met Microsoft biedt Dell een Cloud-


Sessie:

Tegenmaatregelen in de Cloud met Citrix NetScaler Spreker: Klaas de Jong - Solution Consultant, Tech Data | Azlan (i.o.v. Citrix) 14.00 – 14.30 uur

Over de sessie: Niet alle applicaties werden geschreven met maximale beveiliging in het achterhoofd en in de meeste gevallen ook niet ontwikkeld voor gebruik op het Internet. Om tegemoet te komen aan deze tekortkomingen moet u deze applicaties opnieuw schrijven of de Citrix NetScaler vóór deze (web) applicaties plaatsen. Maar de Citrix NetScaler kan zo veel meer …

Sessie:

Do You Need Backup or Disaster Recovery? The 5 Key Attributes Spreker: Darren Swift - Solutions Engineer, Zerto 14.45 – 15.15 uur Over de sessie: Many organizations apply a data protection label to their processes not understanding if they are really disaster recovery, backup, archiving or something else. This session will help clarify the key differences between backup and disaster recovery and help you understand what level of protection you need for your production applications.

Zaal 5: Cyber Security Sessie:

Enterprise Mobility, een beveiligingsrisico? Met live Android Hack! Spreker: Peter van der Voort - Senior Solution Consultant, Dimension Data 10.15 – 10.45 uur Over de sessie: Tijdens deze presentatie leert u hoe u aan de hand van het Secure Enterprise Mobility Model uw bedrijfskritische processen en data in een ‘open’ omgeving kunt ontsluiten. Inclusief live Android Hack waarmee u ziet hoe eenvoudig een mobiel device gehackt kan worden.

Sessie:

Cyber Security: Een kwestie van Gezond Verstand Spreker: Michiel Broekhuijsen - Managing Consultant, Lantech BV i.o.v. Exclusive Networks 11.00 – 11.30 uur Over de sessie: Cyber criminaliteit, data lekken, cyber spionage en andere cyber onheil, zijn aan de orde van de dag. De vraag is niet meer of uw organisatie hierdoor geraakt wordt, maar wanneer.


47

g


Michiel Broekhuijsen zal in deze presentatie in gaan op drie essentiële pijlers die uw organisatie weerbaarder moeten maken tegen deze digitale onheil.

Sessie:

Software-Defined Protection: Beveiliging van Vandaag voor Bedreigingen van Morgen Spreker: Niels den Otter - SE Teamleader, Check Point Software Technologies i.s.m. Motiv ICT Security 11.45 – 12.15 uur Over de sessie: In deze sessie zal Niels den Otter toelichten hoe je praktisch om kunt gaan met uw IT-beveiligingsstrategie: het concept van ‘Software-Defined Protection’. U leert meer over de implementatie: het segmenteren, het toevoegen van automatische lagen die u intelligent beschermen tegen bedreigingen, en het bouwen van een open en flexibele beheerlaag.

Spreker: René van Wolferen- Security Professional, Essent Donderdag: 14.00 – 14.30 uur Over de sessie: During a security incident, the focus is usually on solving the incident as quick as possible. But it may require investigation on other area’s as well. The presentation aims at providing an overview of information that is available and required to effectively decrease the required time to determine the overall impact.

Sessie:

Using Machine Data to Defeat Fraud, Theft and Abuse Spreker: Mr Niklas Blomquist - Senior Sales Engineer, Splunk Inc. 14.45 – 15.15 uur Over de sessie: Traditional anti-fraud and retail loss prevention tools are not flexible or scalable enough to detect minute patterns of fraud or to keep up with the ever-changing tactics of fraudsters. Hear how organizations use Splunk software to defeat fraud, theft and abuse.

Sessie:

Incident response: is het mogelijk om dingen op een goede manier fout te laten gaan? Spreker: Erik de Jong - Hoofd FoxCERT, Fox-IT 12.30 – 13.00 uur Over de sessie: Is uw organisatie al eens het slachtoffer geweest van cybercriminelen? Nog niet? Wees gewaarschuwd; duivelse dilemma’s kunnen uit het niets opdoemen. In deze sessie vertelt Erik de Jong, hoofd van het Computer Emergency Response Team van Fox-IT (FoxCERT), over het dagelijks werk van zijn incident response team. Titel:

Zie voor meer informatie www. infosecurity.nl Bedrijf: Akamai Technologies 13.15 – 13.45 uur Sessie:

Supporting the Incident Response Process with Qualys Spreker: Marcel de Kock - Information Security Officer, Essent Woensdag: 14.00 – 14.30 uur Over de sessie: During a security incident, the focus is usually on solving the incident as quick as possible. But it may require investigation on other area’s as well. The presentation aims at providing an overview of information that is available and required to effectively decrease the required time to determine the overall impact.

Sessie:

48

Supporting the Incident Response Process with Qualys

Sessie: Who’s using your privileges ? Spreker: Dries Robberechts - Regional Sales Engineer Benelux, CyberArk Software 15.30 – 16.00 uur Over de sessie: Recent attacks show that inside or remote access to unmonitored privileged accounts is a major concern for nearly all organizations. In this session, we will go through some of these attacks and show step by step how CyberArk can help by securing and monitoring privileged access to your sensitive infrastructure. Zaal 6: Privacy, Governance & Risk Management Keynote: Sandboxing als techniek in de strijd tegen advanced malware Spreker: Mischa Deden - Sales Engineer, Intel Security 10.15 – 10.45 uur Over de Keynote sessie: Waarom zien steeds meer bedrijven oplossingen om geavanceerde malware te detecteren en analyseren als haalbare opties voor het verbeteren van hun huidige IT security? Mischa Deden gaat in op de veranderingen in advanced malware en de mogelijkheden om optimaal gebruik te maken van sandboxing technologieën. Sessie:

Nederland vergroot weerbaarheid Spreker: Dominick Bertens - Key Accountmanager NL-NAVO, Secra Communications 11.00 – 11.30 uur

JAARBEURS UTRECHT

Over de sessie: Iedere dag komen er nieuwe smartphones en applicaties op de markt. Maar hoe zit het met de integriteit en veiligheid van deze hypermoderne “computers” die u aan laat haken op alle denkbare netwerken? Hoe oefent u controle uit op applicaties en wat zijn de consequenties van het inzetten van de nodige beveiliging. Sessie:

Risicomanagement zonder goede integratie met Governance is nutteloos Spreker: De heer Ing. Marcel Lavalette CISA EMITA - Algemeen Directeur, Complions 11.45 – 12.15 uur Over de sessie: Bedrijfsprocessen en reputatie lijden steeds meer bij cybersecurity en privacy incidenten. De tijd dat privacy- en information security alleen een verantwoordelijkheid is van Information Security Officers, is voorbij. Goede beheersing maakt een mix van maatregelen noodzakelijk vanuit meerdere managementsystemen. Dit vraagt om integrale tooling voor Governance, Risk Management en Compliance.

Sessie:

Het SIEM proces: van implementatie tot correlatie in 10 stappen Spreker: Dennis Switzer - Product Manager SIEM, DearBytes 12.30 – 13.00 uur Over de sessie: SIEM is veel meer dan een product, het is een proces. Van het implementeren van een SIEM oplossing tot het detecteren en blokkeren van security incidenten. Dennis Switzer, Product Manager SIEM, zal tijdens zijn case study de 10 stappen van een succesvol SIEM proces toelichten.

Sessie: How to make complete security simple – your IT security roadmap for 2015 Spreker: Heer Pieter Lacroix - Managing Director, Sophos 13.15 – 13.45 uur Over de sessie: In deze presentatie laat Pieter Lacroix aan de hand van onderzoeken en business cases zien hoe je op een simpele manier omgaat met je IT security. Daarnaast laat Pieter ook zien wat je als IT professional naar 2015 toe van Sophos kunt verwachten. Een must-see voor iedere IT organisatie!

Sessie: Building your APT toolkit Spreker: Simon Mullis - Global Technical


Lead, Alliances, FireEye, Inc. 14.00 – 14.30 uur Over de sessie: We’ve all heard about APT, targeted attacks and Cybercrime. In this talk, we will discuss the architectural components you need in your arsenal to detect, validate, contain and remediate the inevitable targeted attack. What is the evolution of the Cyber Security architecture?

Sessie:

Nieuwe motieven. Nieuwe tactieken. Hoe beschermt u zich tegen Targeted Attacks en andere dreigingen? Spreker: Jornt van der Wiel - Security Researcher, Kaspersky Lab 14.45 – 15.15 uur Over de sessie: Veel malware van tegenwoordig is doelgericht ontwikkeld om computers over te nemen en illegaal geld te verdienen. Daardoor staan bedrijven voor veel complexere bedreigingen en elke organisatie kan het slachtoffer van

cybercriminaliteit worden. In deze case study ontvangt u concrete tips om uw bedrijf tegen malware te beschermen. Zaal 7: Data Growth & Storage Capacity Sessie: A new era of server side storage Spreker: Frank Denneman - Tech Evangelist, PernixData 12.30 – 13.00 uur Over de sessie: In this presentation, Frank dives into the fundamental rethink of storage architecture in the virtual datacenter. Decoupling performance from capacity allows the use of software defined storage by leveraging server-side storage intelligence. Building a true scale out performance platform.

Sessie:

Verhoog de kwaliteit van uw service met storage innovatie Spreker: Dhr. Cor Beumer - Manager Storage, Oracle & Dhr. Martien Ouwens - Manager Storage, Oracle 13.15 – 13.45 uur

Over de sessie: In deze lezing zorgt Oracle voor een inspirerende update van haar visie op storage en de nieuwe fase in de storage wereld. Namelijk van Software Defined Storage nu naar Applications Defined Storage.

Sessie: Hoe kan je datagroei doorbreken Spreker: Vincent van der Linden - Solution & Storage Sales Manager, Dell 14.00 – 14.30 uur Over de sessie: Ongeacht dat de meest recente opslagoplossingen het mogelijk maken data transparant te plaatsen op de juiste technologie, is het doorbreken van de datagroei een vereiste om de kosten post die gepaard gaat met dataopslag te verlagen zonder risico te lopen bedrijfskritsche data ongeoorloofd verdwijnt. In deze break-out sessie, vertellen we hoe dit eenvoudig te realiseren is.


49

g


JAARBEURS UTRECHT

INFOSECURITY.NL WOENSDAG 29 OKTOBER Keynote: The Internet of Things Everything: nerve centre of the world? Spreker: Yori Kamphuis - Futurist of the Year 2013, CoBlue Cybersecurity 11.00 – 11.45 uur – zaal 9 Over de Keynotesessie: The Internet of Things evolves into the Internet of Everything. That provides us with new opportunities, as it may serve as nerve centre of the world. This goes hand in hand with challenges. What are these opportunities and challenges exactly? And what are the implications for business, privacy and society? Over de spreker: Yori has been elected as Futurist of the Year 2013. He also is a Global Shaper of the World Economic Forum. He received his education in industrial engineering, geopolitics, territory & security, exponential technologies and theology, at the University of Twente, King’s College, London and Singularity Univerity (Silicon Valley). Among other things, Yori won the StrICTly for Business competition, the NATO Cyber Defence competition, a Huygens scholarship of the Ministry of Education, Culture and Science, and a scholarship from FreedomLab Future Studies/SU NL. Yori is passionate to make the world more secure. Together with two students, he co-founded Coblue Cybersecurity

Seminar: Fat Data, Privacy & Security. The proposed EU Data Protection Regulation Spreker: Mireille Hildebrandt - Full Professor of Smart Environments, Data Protection and the Rule of Law 12.00 – 12.45 uur – zaal 9 Over de sessie: Big Data has apparently become a major addition that penetrates all of society. Though Big Data seem to enable attractive business cases, the unbridled collection and grotesque storage of data lead to a number of problems, not to mention the application of ‘data science’. Which problems can be detected and to what extent does the proposed EU Data Protection Regulation provide useful guidelines to prevent data obstipation and abuse of inferred profiles? Over de spreker: Mireille Hildebrandt is a lawyer and legal philosopher. She holds the Chair of Smart Environments, Data Protection and the Rule

50

of Law at the institute of Computing & Information Sciences (iCIS) at Radboud University Nijmegen, and is also affiliated with the Erasmus University Rotterdam and the research group on Law, Science, Technology & Society at Vrije Universiteit Brussel. In her research she looks into the implications of everyday usage of artificial intelligence on democracy and the rule of law. She also teaches ‘Law in Cyberspace to master students of Digital Security. See http:// works.bepress.com/mireille_hildebrandt/

Seminar: InfoSecurity Hacking Challenge v3.0 - powered by Deloitte: “Ervaar hoe een hacker te werk gaat” Spreker: Thomas Bosboom – Manager Cyber Risk Services, Deloitte Risk Services & Martijn Knuiman – Senior Manager Cyber Risk Services, Deloitte Risk Services 12.00 – 12.45 uur – zaal 12 Over de sessie: Hacken is het doorbreken van de beveiliging van een applicatie of infrastructuur en wordt vaak met enig mysterie omgeven. In deze sessie tonen wij u hoe hackers echt werken. Dit jaar hebben we onze challenge totaal vernieuwd, met voor de deelnemende hackers nog meer diepgang - waarbij u live kan meekijken. Als u als hacker wilt deelnemen aan de Hacking Challenge dient u zich van te voren in te schrijven, inschrijving kan individueel of in teams van twee door een e-mail te sturen naar: [email protected]. Vermeld volledige namen, e-mailadressen, telefoonnummers en of u op de eerste of tweede dag komt. Let op: u moet geregistreerd zijn als bezoeker. Over de spreker: Thomas is een manager binnen de Cyber Risk Services afdeling van Deloitte Risk Services en heeft ruim 8 jaar ervaring op het gebied van IT infrastructuur en security. Hij heeft gewerkt aan diverse security infrastructuur projecten en bekleedde rollen zoals ethical hacker, security adviseur en security auditor. Thomas heeft zich gespecialiseerd in de security van mobile devices & Apps, Secure Software Development en

Ethical Hacking. Daarnaast is hij ook trainer voor de Deloitte HackLAB trainingen waarbij klanten hands-on ervaring krijgen in de werkwijze van hackers en inzicht in de risico’s die organisaties dagelijks lopen. Martijn is een senior manager binnen de Security & Privacy afdeling van Deloitte Risk Services en heeft ruim 10 jaar ervaring op het gebied van IT infrastructuur en security. Hij heeft gewerkt aan diverse security infrastructuur projecten en bekleedde rollen zoals security officer, security adviseur en security auditor. Martijn heeft zich gespecialiseerd in de uitvoer van security gerelateerde opdrachten zoals implementatie van Cyber SOCs, Data Leakage Prevention, Security Management en Ethical Hacking. Martijn is daarnaast verantwoordelijk voor de Deloitte HackLAB trainingen waarbij klanten hands-on ervaring krijgen in de werkwijze van hackers en inzicht in de risico’s die organisaties dagelijks lopen.

Seminar: Hoe beheerst u strategische Cyber Security risico’s? NOREA Cyber Security Assessment geeft u inzicht en oplossingsrichtingen. Spreker: ºWouter-Bas van der Vegt - Senior Principal Security en Risk Management & Mark van der Krift - Senior Consultant Security en Risk Management 13.00 – 13.45 – zaal 9 Over de sessie: De NOREA kennisgroep Cybercrime heeft het Cyber Security Assessment ontwikkeld om bedrijven weerbaar(der) te kunnen maken tegen cybercrime. Het Assessment is een hulpmiddel om vanuit een concrete vraag voor (informatie)beveiliging de belangrijkste maatregelen te kunnen selecteren. Tijdens deze presentatie geven wij inzicht in de opzet van deze Cyber Security Assessment en wat deze voor u kan betekenen. Over de spreker: Wouter-Bas heeft zeer veel ervaring op het gebied van IT risico management en auditing bij grote organisaties in het publieke en private domein. De werkzaamheden van Wouter-Bas behelzen onder meer het coördineren en aansturen van onderzoeken en advieswerkzaamheden ten aanzien van Cyber security en Privacy vraagstukken. Wouter-Bas is lid van verschillende werkgroepen op het gebied van Cyber Security en Privacy, zoals de werkgroep Cyber Security van Nederland ICT en de werkgroepen Cybercrime en Privacy van NOREA. Mark is een zeer ervaren IT auditor en adviseur op het gebied van het IT Governance en Risk Management. Mark


heeft een achtergrond binnen het publieke en financiële domein waarbinnen hij organisaties helpt de vertaling van IT en Cyber security risico’s naar passende pragmatische beheersmaatregelen te maken. Mark is lid van de kennisgroep Cybercrime van NOREA (Nederlandse Orde van EDP Auditors) Mark is een zeer ervaren IT auditor en adviseur op het gebied van het IT Governance en Risk Management. Mark heeft een achtergrond binnen het binnen het publieke en financiële domein waarbinnen hij organisaties helpt de vertaling van IT en Cyber security risico’s naar passende pragmatische beheersmaatregelen te maken. Mark is lid van de kennisgroep Cybercrime van NOREA (Nederlandse Orde van EDP Auditors) Seminar: GSM geheimen: over IMSI-catchers, Stingrays, Stealth SMS’en en hoe je er voor 300 EURO zelf een bouwt Spreker: Ralph Moonen – Directeur, ITSX 13.00 – 13.45 uur – zaal 12 Over de sessie: In deze presentatie zal Ralph Moonen een overzicht geven van de huidige zwakheden in het GSM systeem. Tevens zal hij een van de mogelijke aanvallen (een zogenaamde ‘IMSI-catcher’) op GSM demonstreren met een Software Defined Radio (SDR) van 300 EUR en het open source pakket OpenBTS. Over de spreker: Ralph Moonen is een doorgewinterde consultant in de informatiebeveiliging en IT audit, met een focus op het beheersen van technische risico’s. Als medeoprichter en directeur van ITSX is hij verantwoordelijk voor de financiële en vaktechnische zaken van ITSX. Hij is docent op de postdoctorale TIAS opleiding tot Register EDP-Auditor (RE) en auteur van diverse stukken innovatieve software. Seminar: Customer Assurance: De voor- en nadelen van een Uniform Control Framework Spreker: Karan Jankipersad - Manager Client Assurance, KPN 14.00 – 14.45 uur – zaal 9 Over de sessie: Het aantoonbaar ‘In Control’ zijn wordt voor bedrijven met de dag belangrijker. Klanten moeten u als ICT supplier kunnen vertrouwen dat de belangrijkste risico’s in de aan u uitbestede dienstverlening in relatie tot de kritieke business processen van de klant voldoende zijn afgedekt. Hiervoor willen stakeholders waaronder corporate klanten periodiek aantoonbare assurance ontvangen. Ook KPN had hiermee te maken. Om deze vorm van assu-

rance zo efficiënt mogelijk in te richten heeft KPN in de afgelopen jaren een zogenaamd Uniform Control Framework ontwikkeld. De toepassing van dit framework heeft, in het doolhof van frameworks verschillende voordelen en nadelen. Over de spreker: Binnen KPN heeft Karan de afgelopen 17 jaar verschillende management en audit/ compliance functies ingevuld. In de beginjaren was hij verantwoordelijk voor de service en installatie van LAN’s/WAN’s (m.n. Cisco, Nortel en 3Com). Binnen KPN Audit voerde hij een grote variëteit aan onderzoeken uit waaronder uit-

voering van Enterprise Risk Assesments met de Board of Management, TPM, ISO en project audits en inrichting SoX processen binnen KPN. De laatste jaren is Karan werkzaam in risk compliance, waarbij hij verantwoordelijk is voor het afgeven van onafhankelijke assurance aan corporate klanten. Hij genoot de opleidingen RO aan de EURAC en Martieme Techniek aan de TU Delft.


51

g


en de conceptontwikkelaar van Mindgame Seminar: Onder de motorkap van Advanced Persistent Threats Spreker: Rickey Gevers - Cybercrime Expert, Digital Investigation 14.00 – 14.45 uur – zaal 12 Over de sessie: Advanced Persistent Threats worden gezien als dé grote cyber nachtmerrie van dit moment. Een aanvaller, vaak overheid gerelateerd, nestelt zichzelf, na mogelijk vele verschillende aanvallen, op een zeer geavanceerde manier in een netwerk en sluist daar over een langere periode onnoemelijk veel data naar buiten. Een grote nachtmerrie waar men zich tot op heden nog niet goed tegen weet te wapenen. Deze presentatie behandelt de geavanceerdheid van dit type aanvallen. Over de spreker: Rickey Gevers is een GIAC Certified Forensic Analyst (GCFA) en werkt als Senior Cybercrime expert bij Digital Investigation. Daar geeft hij leiding aan de teams tijdens de grotere internationale cyber incidenten.

Seminar: Security Awareness programma’s nog niet effectief? Dan is het tijd voor Serious Games! Spreker: Gerard Mulder - Creative Director 15.00 – 15.45 uur – zaal 9 Over de sessie: Als verantwoordelijke voor security weet u als geen ander de kritieke punten in de organisatie op te noemen. Maar het onder de aandacht brengen via intranet, presentaties en beleidsnota’s hebben tot op heden nog niet het gewenste resultaat. Voor dit probleem, de boodschap op een effectieve manier overbrengen, zijn serious games een effectief alternatief. Met serious games laat je je werknemers tot inzicht komen dat security geen zaak is van anderen maar essentieel is voor hun eigen succes en dat van de organisatie. Mindgame weet welke spelvorm het meest effectief is voor uw doelgroep. Wij nemen u op interactieve wijze mee in de wereld van serious games! Over de spreker: Gerard Mulder is gespecialiseerd in het overbrengen van lastige verhalen met behulp van Games. Hij is docent van het vak “Serious games” in het 2e jaar aan de HKU

52

Sessie:

Everyday Cybercrime – and what you can do about it Spreker: James Lyne - Global Head of Security Research, Sophos 15.00 – 15.45 uur – zaal 12 Over de sessie: How do you pick up a malicious online virus, the kind of malware that snoops on your data and taps your bank account? Often, it’s through simple things you do each day without thinking twice. James Lyne reminds us that it’s not only the NSA that’s watching us, but ever-more-sophisticated cybercriminals, who exploit both weak code and trusting human nature. Over de spreker: In an ever-expanding world of networked mobile devices, security threats -- and our ignorance of them -- are more widespread than ever. James Lyne of security firm Sophos believes that if we continue to ignore basic best practices, security is on a trajectory of failure. A self-described geek, Lyne spends time ripping apart the latest gadgets and software, builds true random number generators out of tinfoil and smoke alarm parts, among other unlikely objects. But his gift lies in his ability to explain complicated concepts and abstract threats to diverse audiences around the world. DONDERDAG 30 OKTOBER Keynote: RAT RACE Spreker: Peter Zinn – Sr. Adviseur Team High Tech Crime, de Landelijke Politie 11.00 – 11.45 uur – zaal 9 Over de Keynotesessie: Wat zijn de grootste digitale bedreigingen

voor uw bedrijf? En wat kunt u eraan doen om cybercriminelen een stap voor te blijven? Waarom cybercriminelen het op úw bedrijf gemunt hebben. Met voorbeelden uit de politiepraktijk. Over de spreker: Als senior adviseur voor het Team High Tech Crime van de politie vertaalt Peter technologische ontwikkelingen en dreigingen naar strategieën en oplossingen. En spannende presentaties die je aan het denken zetten.

Seminar: InfoSecurity Hacking Challenge v3.0 - powered by Deloitte: “Ervaar hoe een hacker te werk gaat” Spreker: Thomas Bosboom – Manager Cyber Risk Services, Deloitte Risk Services & Martijn Knuiman – Senior Manager Cyber Risk Services, Deloitte Risk Services 11.00 – 11.45 uur – zaal 12 Over de sessie: Hacken is het doorbreken van de beveiliging van een applicatie of infrastructuur en wordt vaak met enig mysterie omgeven. In deze sessie tonen wij u hoe hackers echt werken. Dit jaar hebben we onze challenge totaal vernieuwd, met voor de deelnemende hackers nog meer diepgang - waarbij u live kan meekijken. Als u als hacker wilt deelnemen aan de Hacking Challenge dient u zich van te voren in te schrijven, inschrijving kan individueel of in teams van twee door een e-mail te sturen naar: [email protected]. Vermeld volledige namen, e-mailadressen, telefoon-


JAARBEURS UTRECHT

nummers en of u op de eerste of tweede dag komt. Let op: u moet geregistreerd zijn als bezoeker. Over de spreker: Thomas is een manager binnen de Cyber Risk Services afdeling van Deloitte Risk Services en heeft ruim 8 jaar ervaring op het gebied van IT infrastructuur en security. Hij heeft gewerkt aan diverse security infrastructuur projecten en bekleedde rollen zoals ethical hacker, security adviseur en security auditor. Thomas heeft zich gespecialiseerd in de security van mobile devices & Apps, Secure Software Development en Ethical Hacking. Daarnaast is hij ook trainer voor de Deloitte HackLAB trainingen waarbij klanten hands-on ervaring krijgen in de werkwijze van hackers en inzicht in de risico’s die organisaties dagelijks lopen. Martijn is een senior manager binnen de Security & Privacy afdeling van Deloitte Risk Services en heeft ruim 10 jaar ervaring op het gebied van IT infrastructuur en security. Hij heeft gewerkt aan diverse security infrastructuur projecten en bekleedde rollen zoals security officer, security adviseur en security auditor. Martijn heeft zich gespecialiseerd in de uitvoer van security gerelateerde opdrachten zoals implementatie van Cyber SOCs, Data Leakage Prevention, Security Management en Ethical Hacking. Martijn is daarnaast verantwoordelijk voor de Deloitte HackLAB trainingen waarbij klanten hands-on ervaring krijgen in de werkwijze van hackers en inzicht in de risico’s die organisaties dagelijks lopen.

Seminar: Informatiebeveiliging bij een Nobelprijswinnaar Spreker: Hans de Jong – Head Confidentiality and Information Security, OPCW 12.00 – 12.45 uur – zaal 9 Over de sessie: Het OPCW is een internationale organisatie die is gevestigd in Den Haag en die als doel heeft om alle chemische wapens in de wereld te vernietigen. De organisatie is in het afgelopen jaar voornamelijk in het nieuws geweest vanwege de werkzaamheden voor de vernietiging van de chemische wapens in Syrië en vanwege het toekennen van de Nobelprijs voor de vrede. Deze presentatie gaat in op hoe informatiebeveiliging is georganiseerd in deze internationale organisatie en welke unieke uitdagingen hierbij spelen.

Over de spreker: In zijn professionele carrière heeft Hans sinds zijn studie in Leiden vele projecten uitgevoerd op het gebied van implementatie van ICT en ICT beveiliging in zowel de publieke als private sector. In de afgelopen 15 jaar heeft hij voornamelijk projecten op het gebied van informatiebeveiliging uitgevoerd. Om nu ook eens eindelijk eindverantwoordelijkheid te dragen voor genomen beslissingen heeft Hans ruim 4 jaar geleden een positie aanvaard bij het OPCW als hoofd informatiebeveiliging. Hans is getrouwd en vader van vier kinderen.

Seminar: “Trust me! I am a social engineer.” Spreker: Ijskimo - Geocacher and Lifehacker 12.00 – 12.45 uur – zaal 12 Over de sessie: In zijn lezing zal Marcel ingaan op een aantal observaties t.a.v. de hedendaagse “beïnvloedingsmaatschappij” en de wijze waarop daarmee kan worden omgegaan. De lezing is een selectie uit een programma dat Marcel aanbiedt aan het bedrijfsleven. Dit programma is altijd maatwerk en kan naast een uitgebreidere lezing bijvoorbeeld ook uit workshops bestaan. Over de spreker: “IJskimo” is de naam die Marcel van der Velde (pseudoniem) hanteert in de hackersgemeenschap. Marcel houdt zich al vanaf jonge leeftijd bezig met social engineering, iets waarmee hij de laatste periode de nodige mediabelangstelling mee heeft getrokken. In een recent interview vertelde hij dat het voor hem als kind al een koud kunstje was om “snoepjes bij elkaar te ritselen”. Ook kreeg hij veel dingen voor elkaar die vrienden (en zelfs volwassenen) niet zomaar gedaan kregen. “Van mijn eerste zakgeld kocht ik een rode pen. Denk daar maar eens aan op achtjarige leeftijd”. Hoewel er sprake lijkt van een aangeboren talent moet je zoiets wel ontwikkelen, net als bijvoorbeeld het bespelen van een muziekinstrument. “De basis is aanwezig maar de rest is leren door studie, vallen en opstaan”, aldus Marcel. “Daarom ben ik altijd erg geïnteresseerd geweest in communicatie in de breedste zin van het woord”.

Twee jaar geleden won Marcel met overweldigende score de eerste “Sogeti Social Engineering Challenge” tijdens “Hack in the box” in Amsterdam. Hij wordt gezien als een van de experts op zijn vakgebied.

Seminar: PIA in het ontwikkelingsproces van informatiesystemen Spreker: Wolter Karsenberg – Business Consultant Privacy, Balance & André J. Biesheuvel – Partner, Duthler Associates 13.00 – 13.45 uur – zaal 9 Over de sessie: Privacy impact assessments zijn er in vele smaken. Zo ook in het ontwikkelingsproces van nieuwe of aanpassingen op bestaande software. In een tijdbestek van 15 minuten worden de toehoorders meegenomen door een casus waarbij stappen worden gezet op het vlak van privacy & security by design, de betekenis van privacy by default en is er dan toch sprake van aansprakelijkheid van de software leverancier? Verder worden de begrippen “accountability” en “auditability” uitgediept en de rol van de (IT)-auditor geduid. Over de spreker: Wolter Karssenberg RE is Business Consultant Privacy bij Balance. Balance is een bureau voor advies, projecten en interim. Wolter trekt de privacy adviespraktijk van Balance. Voorheen was hij o.a. statutair directeur en manager van Bureau Krediet Registratie (BKR) en ICT-auditor en management consultant bij een rechtsvoorganger van Deloitte. Wolter is lid van de Kennisgroep Privacy van NOREA, de beroepsorganisatie van IT-auditors. Hij heeft meegeschreven aan de NOREA-methode voor Privacy Impact Assessments. Wolter spreekt regelmatig op congressen en bijeenkomsten. Het vinden en borgen van de balans tussen het productief inzetten van data en het beschermen van privacy is wat Wolter drijft. André is econoom, register accountant en IT auditor. Is managing partner bij Duthler Associates (www.duthler.nl) en actief lid van de NBA en NOREA. Zijn interesseveld bestrijkt het gebied van kwaliteit van informatievoorziening. En thans in het bijzonder gegevensbescherming en het borgen van privacy. Hiervoor heeft hij voor zowel de onderneming of instellingen als voor de betrokkene oplossingen aangedragen en toegepast in de praktijk. Wij kunnen denken aan het toepassen van PIA’s, ontwikkelen en onderhouden van re-


53

g


gelconforme taxonomieën, privacy & security managementsystemen en of informatie-ecosystemen. Steeds wordt hierbij in multidisciplinaire teams gewerkt. André treedt frequent op voor besturen en raden van commissarissen.

cessen in de organisatie en het vergroten van bewustwording, draagvlak en commitment voor informatiebeveiliging bij medewerkers en het management. Fred stimuleert als voorzitter van de beroepsvereniging PvIB (Platform voor Informatiebeveiliging, www.pvib.nl) de professionalisering van de beroepsgroep..

Seminar: Volledige controle & veiligheid bij gegevens uitwisseling Spreker: Zie voor meer informatie www.infosecurity.nl 13.00 – 13.45 uur – zaal 12 Over de sessie: LocalBox is een initiatief van 2 ambtenaren, Marcus Bremer en Ruud Vriens, en ICT-journalist Brenno de Winter, maar het idee is afkomstig uit de Tweede Kamer. Met de opslagdienst wil de overheid een veilige manier creëren om gegevens uit te wisselen waarbij de gebruiker zelf de volledige controle heeft over deze gegevens. De code van LocalBox is open source waardoor gebruikers er zelf een server mee kunnen opzetten. Maar het is ook mogelijk LocalBox af te nemen bij een hosting provider. Een overstap naar een andere providers is eenvoudig.

Seminar: Operational security Spreker: Cor Rosielle - Core Team Member, ISECOM 14.00 – 14.45 uur – zaal 12 Over de Sessie: Veel security professionals besteden hun tijd aan compliancy en risico management. Hoewel dat allebei helpt om de beveiliging te verbeteren, is het geen van beiden compleet. Cor vertelt hoe operational security kan helpen de beveiliging verder te verbeteren. Met behulp van kengetallen, kan worden vastgesteld: - welke soorten maatregelen beter werken en welke minder goed - hoeveel de beveiliging toeneemt - hoe de verbeterde beveiliging gemeten kan worden - hoe we kunnen weten of een maatregel de beveiliging vergroot of verkleint - hoe goed kan een systeem onbekende bedreigingen weerstaan Over de spreker: Cor is een ICT-professional vanaf 1983. Gedurende zijn carrière heeft hij vele rollen vervuld in de automatisering: operator, programmeur, functioneel ontwerper, systeembeheerder, netwerkbeheerder, afdelingshoofd, etc. Hij raakte in de loop der jaren meer en meer betrokken bij IT security. Aanvankelijk voor de evaluatie van security producten of voorgestelde maatregelen, maar al snel ontwierp hij de beveiligingsmaatregelen zelf. In het dagelijks leven werkt Cor momenteel als penetratietester bij een semi-overheid. Daarnaast is hij als core team member sterk betrokken bij ISECOM.

De inhoud van dit seminar kan nog wijzigen Seminar: Uniforme kwalificatie van professionals in informatiebeveiliging Spreker: Fred van Noord – Voorzitter beroepsvereniging PvlB 14.00 – 14.45 uur – zaal 9 Over de sessie: Organisaties moeten steeds meer informatie beschermen tegen een steeds complexer dreigingsbeeld. Dat wordt nog eens versterkt doordat ze steeds vaker in ketens en internationaal functioneren. Hiervoor zijn goed opgeleide en ervaren informatiebeveiligers nodig. Met het grote aanbod van titels en certificaten kan de informatiebeveiliger niet goed meer duidelijk maken welke kennis en vaardigheden hij/zij heeft en ook voor werkgevers en opleidingsinstellingen levert dit problemen op. Over de spreker: Fred van Noord heeft ruim 20 jaar ervaring met vraagstukken op het gebied van informatiebeveiliging en service management. Met name hebben zijn aandacht: organisatorische inrichtingsvraagstukken en verandervraagstukken van risicomanagement, risicoanalyses, de aansluiting van informatiebeveiliging met de bedrijfsprocessen, het inrichten van de processen, het werkend krijgen van pro-

54

Deze presentatie geeft een technische deep-dive in de werking van Flash en gaat daarna in op de gevolgen van dit soort technieken op het storagelandschap: wat betekent het bijvoorbeeld voor storagenetwerken of storage-arrays zoals we die al jaren kennen? Over de spreker: Ooit begonnen in de Unix- en Storage-hoek in een kleinere omgeving, is Jurjen zich later ook in grote omgevingen bezig gaan houden met Storage in een grotere diversiteit aan platformen. Tegenwoordig heeft hij als Infrastructuur Engineer een breder aandachtsgebied, waarvan Storage nog steeds een belangrijk deel uitmaakt.

WOENSDAG 29 OKTOBER

Keynote: Topprestaties bereiken door Data-(Business)Analytics: Leervoorbeelden uit de sport Spreker: Jan-Willem de Koster - Business Development Manager, SAP Nederland 12.00 – 12.45 uur – zaal 11 Over de sessie: In de wereld van de topsport telt alleen de eerste plaats. Naast talent en een goede training zetten sporters massaal in op technologie om hun prestaties te verbeteren. Hier kunt u een voorbeeld aan nemen, ook u kunt met behulp van analyses uit verzamelde data, de prestaties van uw bedrijf verhogen. Tijdens deze sessie worden een aantal concrete voorbeelden gegeven hoe technologie sport helpt om de prestaties te verbeteren met real-time analytics en hoe dit toepasbaar is bij uw bedrijf. Over de spreker: Jan-Willem studeerde Bedrijfskundige Informatica aan de Hogeschool West-Brabant. Alvorens aan de slag te gaan bij SAP Nederland werkte hij 7 jaar als consultant bij uiteenlopende organisaties waaronder Philips. In zijn werk is Jan-Willem voortdurend op zoek naar manieren om het succes van bedrijven te vergroten door de intelligente en innovatieve inzet van IT waarbij hij specifiek aandacht heeft voor technologische ontwikkelingen in de sport.

Seminar: Flash: een revolutie in het storagelandschap? Spreker: Jurjen Oskam - Infrastructuur Engineer, Rabobank Nederland 12.00 – 12.45 uur – zaal 10 Over de sessie:

Seminar: The cloud in your own datacenter Spreker: Marc Van Eijk – Consultant, Inovativ 13.00 – 13.45 uur – zaal 10 Over de sessie: Hybrid Cloud, wat betekent dat en belangrij-

STORAGE EXPO

JAARBEURS UTRECHT


ker nog wat kan ik ermee? Investeren in een eigen datacenter? Of juist niet…... Cloud grenzen vervagen. Kom naar deze sessie en leer hoe public cloud technieken geïntegreerd kunnen worden met de on-premises wereld. Eén platform voor de Private, hosted en public cloud. Over de spreker: With a strong background on fabric components and vital management features, Marc embraced the CloudOS vision from day one. He works with many Service Providers and Enterprise Organizations, extending their datacenters into hybrid clouds with Microsoft Azure and Azure Pack. His experiences from real life deployments are shared by speaking at regional and international events. Marc has an active role in the Dutch hyper-v community. He blogs for hyper-v.nu that has profiled itself around the CloudOS and is well-known for in-depth blogs on fabric components and Azure Pack. Seminar: Software defined storage als antwoord voor de cloud Spreker: Ruben Van der Zwan – CTO,

Amsio 13.00 – 13.45 uur – zaal 11 Over de sessie: Voor het daadwerkelijk bouwen en beheren van grootschalige infrastructuren is meer nodig dan een cloud propositie aan de voorkant. Door de onvoorspelbare groei en gebruik van data is het noodzakelijk traditionele waarden te laten varen. Om de interne operatie mee te laten groeien met de groei van klantdata is een oplossing nodig. Software defined (storage) is dat antwoord. Door de traditionele hardware laag om te buigen naar een software strategie ontstaan er veel voordelen zoals het bieden van meer performance en hogere beschikbaarheid en om ook op de langere termijn een leiderspositie te houden in een razendsnel veranderende markt. Over de spreker: Ruben van der Zwan is de CTO bij Amsio en verantwoordelijk voor de technologiekeuzes van de organisatie en de productontwikkeling. De vertaling van complexe vraagstukken naar totaaloplossingen voor klanten en partners is hier onderdeel van. Ruben heeft 10 jaar ervaring in de

hosting industrie en heeft een technische achtergrond. Seminar: Advances in Open SDN Interoperability Spreker: Curt Beckmann - EMEA CTO, Chair of Forwarding Abstractions Working group at ONF, Brocade 14.00 – 14.45 uur – zaal 10 Over de sessie: Significant efforts within the OpenStack, OpenDaylight and Open Networking Foundation communities are transforming Open SDN in important ways. Since SDN burst into the spotlight in 2011, the focus of most presentations has been on what the future holds. Most real progress toward practical SDN has been behind the scenes. Mr Beckmann’s presentation will describe how standards and products are at making important innovations that will bridge the gap between laboratory curiosity and production network. Over de spreker: Curt Beckmann is EMEA CTO for Brocade and Brocade’s lead representative at the ONF, where he chairs the Forwarding Abstractions Working Group. Curt entered networking as an


55

g


ASIC architect at Bay Networks in 1995, where he worked on Ethernet switching and early Layer 3 gigabit switches. He moved on to lead Fibre Channel storage virtualization and iSCSI protocol-conversion system-on-a-chip ASIC designs at Rhapsody Networks, which Brocade acquired in 2003. He spent some years in product management before returning to technology, where he now focuses on OpenFlow and SDN controller interoperability. Seminar: VMWare Cluster met een SAN ? Spreker: Jos de Goeij – Projectmanager, Ordina 14.00 – 14.45 uur – zaal 11 Over de sessie: Voor een klant van Ordina hebben we een onderzoek uitgevoerd naar de performance van een VMware Cluster omgeving in combinatie met een SAN. Tijdens het onderzoek zijn diverse metingen verricht om te weten waar de bottleneck vandaan kwam. De aanbevelingen die uit het onderzoek kwamen zijn daarna geïmplementeerd waarna de performance enorm is verbeterd. In deze presentatie komen de tips voor deze combinatie! Over de spreker: Jos begon zijn carrière eind de jaren ‘80 als PC Specialist bij Detam. Voor hij bij Ordina terechtkwam in 2001 werkte hij als netwerkspecialist. Bij Ordina vervulde hij verschillende functies, gaande van Team Manager en Pre Sales Manager naar zijn huidige functie als ProjectManager.

overwinnen. Over de spreker: Erik Zandboer is Senior vSpecialist binnen EMC met primaire focus op Nederland. Deze focus is vooral gericht op cloud computing en Software-Defined DataCenter (SDDC) bij klanten en partners. Daarnaast runt Erik zijn VMware- en storage-gerelateerde blog site VMdamentals. com. Hiervoor heeft hij de ere titel van vExpert ontvangen voor 2011, 2012 en 2013. Hobby’s zijn fotografie (blog.xhd.nl) en de bouw van een geautomatiseerd paludarium (www.paluweb.nl). Ervaring in de IT-industrie gaat bijna 20 jaar terug. Tijdens zijn loopbaan heeft hij gewerkt voor bedrijven als Siemens, ICT, KPN, ASML en Imtech in diverse functies en is uitgegroeid tot VMware evangelist.

Seminar: OpenStack and Open Standards Storage Spreker: Glyn Bowden - SNIA Europe member & Neil Stobart, EMEA Sales Engineer Director, Nexenta Systems 15.00 – 15.45 uur – zaal 11 Over de sessie: OpenStack has been gaining momentum in the IaaS space for some time now. It is a great example of Open Source collaboration and many contributors (more than 15,000!) coming together to make new technology. Often, large vendors and the organisations

that represent them are seen as incompatible with the Open Source model, particularly in the storage arena. Big Tin is not required. This presentation will also discuss what SNIA can offer the Open Source community, the importance of standards and where SNIA are already contributing. Over de spreker: Glyn Bowden is a senior Solutions Architect with Hewlett Packards Helion Professional Services team helping customers and partners design, implement and run their next generation IT infrastructure and cloud services. He has more than 15 years experience with some of the major contributors and users of cutting edge technology and has been responsible for their implementation at some of the largest scale. Glyn is a member of the Storage Networking Industry Association UK committee and received awards for contributions made for the last two years. Neil has been involved in IT for over 18 years working within end user, channel and vendor environments providing a unique viewpoint on the use of technology in industry. Majoring in technical sales around data management and storage solutions for the last 15 years, Neil has vast experience assisting organisations address the challenges they are faced with on the management and protection of data as the industry experiences exponential growth of this key unique asset. Neil is very much focused on understanding how to help

JAARBEURS UTRECHT

organisations use and manage their data more effectively to improve business operations, through managing costs or improving revenue streams. Neil recently joined Nexenta from Dell where he was the technical lead for data storage solutions across EMEA. DONDERDAG 30 OKTOBER

Seminar: Deepdive in storage architecturen, Flash en Software-defined Storage Spreker: Erik Zandboer - Sr. vSpecialist, EMC 15.00 – 15.45 uur – zaal 10 Over de sessie: Uiteindelijk gaat het altijd om de applicaties. En dan voornamelijk hun performance en beschikbaarheid. De eisen die deze applicaties stellen aan storage forceren ons om steeds nieuwe storage architecturen te bouwen en nieuwe technologieën aan te boren. Mede hierdoor worden storage omgevingen groter en meer divers, waardoor abstractie en automatisering onmisbaar beginnen te worden. In deze sessie zal ik de diverse storage architecturen en nieuwe opslag technologieën belichten en waarom architectuur zo belangrijk hierin is. Tevens zal ik Software-defined Storage (SDS) belichten en hoe dit bedrijven kan helpen de IT uitdagingen van vandaag te

56


Seminar: How to handle storage challenges in parallel processes Spreker: Gerbrand De Ridder - R&D Manager & Lead System Architect, Infostrada Creative Technology 11.00 – 11.45 uur – zaal 10 Over de sessie: In this presentation Gerbrand shares insides in different broadcast workflows and the used storage solutions to meet the project requirements. Starting with explaining the different type of data used in the broadcast industry and the challenges to store and work in parallel processes with this data. Based on use cases like Utopia and Content Distribution Gerbrand will explain the different storage technologies and workflows used in these projects. Over de spreker: The core business of Infostrada Creative Technology is the provision of audiovisual facilities services to broadcasters and businesses.

Over the past few years Infostrada Creative Technology has developed many innovative products, including Centralparq, SmartVoD and the Live Center. As R&D and Lead System Architect Gerbrand is part of the core business developing team. More than 20 years of experience in the broadcast market from operator, demo artist, product manager to the current position. Deep experience and specialized in encoding, editing, playout and workflow systems including the associated datacenter services like storage, servers, network and darkfiber.

Seminar: State of the Backup & Recovery Industry Spreker: Curtis Preston - Backup & Recovery Expert, Truth in IT, Inc. 11.00 – 11.45 uur – zaal 11 Over de sessie: A lot has changed in the twenty years that Mr. Preston has been in the backup space. From the advent of disk backup, dedupe, and completely new backup types such as CDP, ne-

ar-CDP, and source-dedupe to the complete upheaval of everything one virtualization took over. This talk will provide an overview of the state of the art in backup & recovery. Over de spreker: W. Curtis Preston has been specializing in Backup, Recovery, and archive for over 20 years. He started his career running backups for a $35B credit card company in the US, and went on to consulting for several years. He designed and implemented enterprise backup systems for some of the largest companies in the world, including Amazon.com, Rackspace.com, and Exxon-Mobil.

Seminar: Demystifying public cloud storage architecture Spreker: Yorick Docter - Solution Specialist Datacenter, Microsoft 12.00 – 12.45 uur – zaal 10 Over de sessie: Hoe ontwerp je een schaalbaar storage platform voor wereldwijde schaal, 1000+ nieuwe


57

g


JAARBEURS UTRECHT

en grote organisaties te helpen in de snel veranderende storage wereld. Als consultant heeft hij sindsdien gewerkt voor meerdere grotere en kleine IT organisaties in het land.

gebruikers per dag en meer dan 8 biljoen objecten? Tijdens deze sessie duiken we in de innovatieve architectuur van het Microsoft Azure storage platform. Over de spreker: Als Technology Solution Specialist Datacenter bij Microsoft ligt Yorick zijn focus op cloud technology en specifiek op virtualization en management. Als architect en specialist staat hij is voor grootschalige projecten bij grote ondernemingen. He helpt gebruikers een visie, strategie en architectuur te ontwikkelen voor datacenter- en cloudoplossingen.

Keynote: Storage TRENDS: software, servers, virtualisation, cloud and objects Spreker: Chris Mellor - Storage Editor, The Register 12.00 – 12.45 uur – zaal 11 Over de Keynotesessie: The legacy filler and SAN certainties are being blasted apart by moves to bring slow

58

disk-based storage into a multi-core, multi-socket, virtualised server age. Latency, cost and complexity are the three storage devils and must be destroyed so that virtualised servers can get at primary data fast, simply and in a format suited to them. Secondary and tertiary (archive) data is heading towards the cloud. Technologies such as cloud storage gateways, FLAPE, Flash, scale-out server SANs, and VVOLs look set to tear legacy storage certainties apart while the centralised versus distributed storage tension continues unresolved. Over de spreker: Chris Mellor covers storage and allied technology areas for The Register. After experience working for DEC, Unisys and SCO, he became an IT journalist writing for a variety of print publications. He edited the UK’s first storage print magazine and then moved into the online world writing for IDG’s Techworld, then started up the Blocks & Files blog, which was bought by El Reg. He has written many sportscar buying guides, a few mountaineering guides and drives a car that’s faster than he is.

Seminar: OpenStack en OpenStorage Spreker: Ilja Coolen - Onafhankelijke Storage Consultant, ICSS 13.00 – 13.45 uur – zaal 10 Over de sessie: OpenStack is hot en iedereen lijkt er iets mee te willen doen. Alle storage leveranciers claimen dat ze OpenStack ondersteunen, maar hoe doen ze dat en wat betekent dat in de praktijk? Over de spreker: Ilja is in 1996 in IT begonnen als mainframe (I/O) operator en via operations doorgegroeid in 2000 tot storage specialist. Een specialisatie die tot de dag van vandaag erg spannend is. Het fundament voor zijn kennis is gelegd bij een van de grootste pensioenfondsen ter wereld. In 2007 is Ilja zelfstandig aan de slag gegaan met als primaire doel onafhankelijk te zijn in werk in het algemeen en daarbij kleine


Seminar: Big Data - Got it! Now What? Spreker: Edwin Peters - Marketing Director, SAS Institute B.V. 13.00 – 13.45 uur – zaal 11 Over de sessie: De hype rondom big data is zo onderhand wel voorbij, toch? De fase is aangebroken waarin het gaat om wat die data en de data-analyse concreet opleveren. Het gaat om het te gelde maken van informatie en intelligentie voor organisaties. Kortom, het benutten van data moet zowel extra omzet als kostenbesparingen opleveren. In deze presentatie gaat Edwin Peters in op hoe organisaties middels big data analytics waarde uit hun (big) data kunnen halen. Over de spreker: Edwin Peters is sinds 1996 in verschillende rollen werkzaam bij SAS. De laatste acht jaar was hij, als Manager Solutions, verantwoordelijk voor de verkoopondersteuning van alle SAS oplossingen in de Nederlandse markt en gaf hij leiding aan een team van ruim 20 medewerkers. In zijn huidige functie als Marketing Director richt Edwin zich onder meer op de verdere ontwikkeling en implementatie van digitale marketinginitiatieven. Edwin studeerde Technische Bedrijfskunde aan de Universiteit Twente.

Seminar: Storage bij LeaseWeb, een kijkje in de keuken Spreker: Jeroen Kuijk - Product Owner Bare Metal Cloud, LeaseWeb Global Services b.v. 14.00 – 14.45 uur – zaal 10 Over de sessie: LeaseWeb is bekend als IaaS hosting leverancier. Sinds 2009 heeft LeaseWeb ook een aantal succesvolle cloud diensten aan het portfolio toegevoegd. Door de jaren heen is het uitgegroeid tot een infrastructuur waar toonaangevende bedrijven hun online infrastructuur aan toevertrouwen. Welke storage systemen gebruikt LeaseWeb, hoe ontsluiten we deze naar klanten en wat zijn onze ervaringen met de verschillende vendoren? Er wordt een kijkje in de keuken gegeven ten aanzien

van de LeaseWeb storage producten van nu en de toekomst. Over de spreker: Jeroen Kuijk is al meer dan 15 jaar werkzaam in de IT. In diverse functies heeft hij ervaring opgedaan met complexe projecten in enkele totaal verschillende gebr uiksomgevingen. Zo heeft hij ervaring in het uitvoeren en managen van grote migratieprojecten, het verhelpen van diverse verstoringen met flinke impact en het vormen van IT teams gespecialiseerd in het verbeteren van IT infrastructuren ter voorkoming van verstoringen. Bij LeaseWeb is hij 4,5 jaar Team Manager geweest van het Hosting Operations Team, verantwoordelijk voor de wereldwijde shared hosting producten van LeaseWeb, waaronder webhosting, cloud platformen en storage infrastructuren.

Seminar: Real time analytics op big data mogelijk gemaakt door in-memory technologie Spreker: Wouter Pepping - Manager, Deloitte 14.00 – 14.45 uur – zaal 11 Over de sessie: SAP HANA is een platform for real-time analytics, dat gebruik maakt van in-memory computing technology. HANA biedt uitzonderlijk goede performance op zeer grote hoeveelheden data. Daarbij worden terrabytes aan data in-memory opgeslagen. Tijdens de presentatie zullen de analytics mogelijkheden van het platform worden gedemonstreerd. Over de spreker: Wouter heeft een achtergrond in business analytics en is sinds 5 jaar werkzaam bij de afdeling data analytics van Deloitte. Hij werkt aan innovatieve oplossingen op het gebied van analytics en BI en maakt sinds 2 jaar deel uit van het Deloitte SAP HANA team.


59

INFOSECURITY.NL, STORAGE EXPO EN THE TOOLING EVENT 2014

IN HET TEKEN VAN THE INTERNET OF THINGS Op 29 en 30 oktober vindt in de Jaarbeurs te Utrecht weer het grootste IT-evenement van Nederland plaats, in de vorm van de drie gecombineerde beurzen Infosecurity, Storage Expo en The Tooling Event. Dit jaar staat het thema The Internet of Things centraal, wat als een paraplu is voor een breed aanbod van activiteiten, zowel op de traditionele beursvloer als tijdens het inhoudelijke programma. Zoals elk jaar heeft Jaarbeurs ook deze zeventiende editie weer voor een overkoepelend thema gekozen dat raakvlakken heeft met alle drie de beurzen. Dit jaar is dit thema The Internet of Things. Door de opkomst van The Internet of Things krijgen bedrijven te maken met een grote hoeveelheid data die alleen

maar zal toenemen. Deze verzamelde data brengt veel mogelijkheden met zich mee. Zo versnelt The Internet of Things de stap van data naar analytics naar applicaties en weer terug naar data. Inzichten kunnen hierdoor sneller en makkelijker worden verkregen om hier vervolgens betere bedrijfsbeslissingen door

te nemen. Maar tegelijkertijd zullen er ook een aantal drastische veranderingen plaats moeten vinden binnen bedrijven, om voorbereid te zijn op het The Internet of Things tijdperk. Het is een onderwerp dat grote gevolgen heeft voor allerlei aspecten van IT

bij organisaties, zo meent Ivo Meertens, Marktmanager bij Jaarbeurs en verantwoordelijk voor de IT-beurzen. “Omdat ondertussen steeds meer zaken verbonden worden met het internet, heb je te maken met veel meer dataverkeer en spelen veel nieuwe zaken op het gebied van beheer van de bijbehorende ITsystemen.” INFOSECURITY.NL, STORAGE EXPO EN THE TOOLING EVENT The Internet of Things biedt organisaties dus volop uitdagingen op het gebied van beheer, beveiliging, storagecapaciteit en datamanagement. “Infosecurity.nl, Storage Expo en The Tooling Event bieden gezamenlijk de handvatten om IT-organisaties klaar te stomen voor het tijdperk dat reeds is begonnen”, zegt Meertens. Op de beursvloer en in de stands is er namelijk volop de mogelijkheid voor kennismaking met en oriëntatie op toonaangevende IT-bedrijven, -producten en -diensten. Daarnaast is er een uitgebreid inhoudelijk programma met presentaties en keynotesessies van specialisten uit het veld. Hierbij worden ook de technisch diepgravende onderwerpen niet gemeden. INFORMATIE, SEMINARPROGRAMMA EN NETWERKEN Bezoekers krijgen tijdens de twee beursdagen volop informatie over vraagstukken en trends. Ook de vraag waar het met de IT naartoe gaat, wordt door een grote hoeveelheid aanwezige partijen en deskundigen beantwoord. “Onze intentie is om IT-professionals na die twee dagen weer te laten vertrekken met praktische handvatten om in te zetten in het dagelijks werk als IT-er”, zo zegt Meertens. Bezoekers van vorig jaar gaven aan dat de belangrijkste reden voor het bezoek aan de beurzen was om op de hoogte te blijven van nieuwe producten branche-ontwikkelingen. Daarop volgde de mogelijkheid om deel te nemen aan de informatieve seminars, workshops en lezingen. Uiteindelijk heeft 70 procent van de bezoekers dit inhoudelijke programma bezocht. De derde reden die bezoekers tenslotte gaven om de beurzen te bezoeken was netwerken, want ondanks de digitalisering blijft het onderhouden van persoonlijke contacten erg belangrijk. Onder de bezoekers en exposanten is een brede vertegenwoordiging van

60


de Nederlandse IT-sector: van start-up tot multinational en van datacenter tot IT-dienstverlener. INHOUDELIJK PROGRAMMA In voorgaande jaren kenden Infosecurity.nl, Storage Expo en The Tooling Event hun eigen theaters en sessies. Dit jaar zal het centrale thema The Internet of Things voor het eerst dienen als paraplu voor zeven thematische ‘theaters’ op de beursvloer, die op hun beurt ruimte geven aan diverse sessies rondom dé IT-thema’s van 2014: • IT Management & Control • Enterprise Mobility • Datacenter & Infrastructure Optimisation • Cloud Computing • Cyber Security • Privacy, Governance & Risk Management • Data Growth & Storage Capacity Gedurende de dag zullen de thema’s vanuit verschillende invalshoeken worden belicht en kunnen bezoekers zich laten informeren over oplossingen voor deze actuele vraagstukken binnen het IT-landschap.

Het inhoudelijk programma is dan ook zeer divers en zal worden geopend door een keynote seminar van de door Second Sight uitgeroepen Futurist of the Year 2013 en medeoprichter van cybersecurity-bedrijf Coblue, Yori Kamphuis. Hij zal bespreken hoe the Internet of Things verloopt in the Internet of Everything en wat dit zal betekenen voor organisaties. Daarnaast geven onder anderen Mireille Hildebrandt (hoogleraar ICT en Rechtsstaat aan de Radboud Universiteit Nijmegen) en Jos de Goeij (projectmanager bij Ordina) een seminar. Het volledige seminarprogramma is te vinden op www.infosecurity.nl, www.storage-expo. nl en www.thetoolingevent.nl.

PRAKTISCHE INFORMATIE • Beurscombinatie over: Databeveiliging (Infosecurity.nl) Data-opslag (Storage Expo) IT-beheer (The Tooling Event) • Wanneer: Woensdag 29 & donderdag 30 oktober 2014 • Waar: Jaarbeurs Utrecht • Toegang: Gratis na vooraanmelding


61

TSTC – de Security Opleider van Nederland - Botnets, DDoS, Malware ... Gehackt!

ADVANCED PERSISTENT THREATS:

Bent u de volgende?

DE EERSTE STAP IS DETECTIE

- En wat is dan uw reputatie- en/of financiële schade? - Vormt uw Blackberry of iPhone een security risico? Herkent u bovenstaande vragen? Deze tijd vraagt om oplossingen en kennis van zaken.

Een greep uit onze security certificeringen:

Bij Advanced Persistent Threats (APT) vallen cybercriminelen een netwerk herhaaldelijk aan, om hier vervolgens plaats in te nemen zodat gedurende lange tijd enorm veel data kan worden gestolen. Duidelijk dé grote nachtmerrie voor bedrijven.

Certified Ethical Hacker (CEH)

Licensed Penetration Tester (LPT)

Computer Hacking Forensic Investigator (CHFI)

Certified Information Security Manager (CISM)

Certified Security Analyst (ECSA)

Certified Information Systems Auditor (CISA)

Certified Information Systems

Cloud Security Audit and Compliance (CSAC)

Security Professional (CISSP)

Hoewel veel organisaties zich beseffen dat de kans groot is dat zij worden getroffen door een dergelijke aanval, bieden zij hier nog onvoldoende bescherming tegen. Een eerste stap bij het bestrijden van APTs is het herkennen ervan en om die reden vroegen wij Rickey Gevers, Cybercrime Expert bij Digital Investigation, die een onafhankelijk technisch seminar zal verzorgen op Infosecurity.nl, hoe Advanced Persistent Threats kunnen worden gedetecteerd.

Internationale topsprekers op stand TSTC Infosecurity Utrecht Jaarbeurs 29 & 30 oktober 2014 - Standnummer D.153 Zie www.tstc.nl/infosecurity

of the Year ATC

62

of the Year ATC

2013

DETECTIE IS MOGELIJK! Hoewel Advance Persistent Threats zoals Stuxnet en Snake dermate geavanceerd zijn dat zij gebruikmaken van zero-day exploits, zo zegt Gevers, blijkt het gehele verloop van een infectie wel degelijk mogelijk is te detecteren. “Sterker nog, door gebruik te maken van relatief eenvoudige security measurements is het mogelijk om een groot gedeelte van de APTs buiten de deur te houden.” ZAKEN OP ORDE Wanneer u zeker wilt zijn dat APT’s tijdig kunnen worden herkend, moet u ervoor zorgen dat een aantal zaken op orde zijn, meent Gevers. “Zorg dat het patch management op orde is, zorg voor vulnerability management en laat op gestructureerde basis het digitale veiligheidsniveau van het bedrijf testen door professionals. Maar het allerbelangrijkste is dat je weet wat je moet beschermen

Certified Risk Manager ISO 27005/31000

TSTC - 7e jaar op rij de beste EC-Council Security Opleider Europa!

en op basis daarvan security niveau’s inbouwt.” ACTIEVE APT IN NEDERLAND “In Nederland hebben we nog sterk de illusie dat APTs vooral op andere landen gericht zijn. De enige reden dat wij als Nederlanders dit denken is omdat we nog helemaal niet in staat zijn APTs te herkennen/willen herkennen.” Tijdens zijn seminar ‘Onder de motorkap van Ad-

vanced Persistent Threats’ op Infosecurity.nl zal Gevers de geavanceerdheid van dit type aanvallen behandelen, waarbij hij specifiek in zal gaan op een actieve APT in Nederland. “Bij deze APT bleek de CEO van een grote internationale firma slachtoffer te zijn. Gedurende minimaal een half jaar had deze APT groep zichzelf toegang verschaft tot de computers van de CEO.”


NIEUW!!!

Certified Information Privacy Professional/ Europe (CIPP/E)

Want security start bij mensen!! W W W.T S TC .NL MAGAZINE - NR. 4 - OKTOBER 2014 INFOSECURITY

63

DOOR MISCHA DEDEN

NETWERKBESCHERMING

TIEN ONMISBARE FUNCTIES VOOR UW NEXT-GENERATION FIREWALL-AANKOOP

De behoefte aan supersterke netwerkbescherming is misschien de voornaamste reden om te investeren in een next-generation firewal (NGFW), maar er komt meer bij kijken. Uw bedrijf heeft nog andere vereisten om in overweging te nemen. U wilt een NGFW die uw bedrijfsvoering veerkracht geeft, die een redelijke TCO (total cost of ownership) heeft, en die continue uptime, schaalbaarheid en flexibiliteit biedt. Een oplossing die uw huidige en toekomstige business aankan. Het moet passen binnen uw budget en bij de specifieke behoeften van uw netwerk. Hier tien onmisbare criteria voor de NGFW die de eisen van uw onderneming vervult. 1. CENTRAAL, KRACHTIG BEHEER Inloggen op meerdere firewalls en andere netwerkcomponenten om veranderingen door te voeren of om activiteit te bekijken, kan een ongewenst beslag leggen op uw schaarse middelen. Zoek een gecentraliseerd beheersysteem dat alle firewalls in uw omgeving, al dan niet verdeeld over meerdere clusters en locaties, aggregeert. En daarmee uw securityteam de mogelijkheid geeft om snel te reageren op incidenten. Een gecentraliseerd systeem stelt u in staat om firewall-activiteit te bepalen, bekijken en besturen via een enkel venster. Centraal beheer moet u ook de mogelijkheid geven om routinetaken te automatise-

ren, elementen te hergebruiken, slimme shortcuts in te zetten, en in te zoomen op dieper liggende informatie. Dat geeft maximale efficiency met minimale inzet. 2. BEHEER VAN GEBRUIKERS EN APPLICATIES Gebruikers- en applicatiebeheer is een onmisbare functie geworden voor NGFW’s. Het internet blijft namelijk variërende plekken en opties bieden om uw werknemers te lokken, weg van hun werk en productiviteit. Applicatiebeheer is al flink doorontwikkeld om voorbij de basale functie van poorten en protocollen te gaan. De huidige technologie geeft u de kracht om gedetailleerde policies aan te maken die zijn te baseren op karakteris-

tieken zoals gebruikersidentiteit, gebruikersrol en de specifieke aspecten van een webapplicatie. Kijk hierbij ook naar meer geavanceerde beheeropties voor zowel gebruikers als applicaties. Zoals bijvoorbeeld de mogelijkheid van uitbreiding voor gebruikersgroepen, domeinnamen en TLS-matches (firewall-regels voor webapp-verbindingen die beveiligingsprotocol Transport Layer Security gebruiken). Een andere geavanceerde beheeroptie die valt aan te raden, is de mogelijkheid om uitgebreide rapportages te genereren over het netwerkgebruik door gebruikers en applicaties. 3. HOGE BESCHIKBAARHEID Downtime van functies op bedrijfsnetwerken wordt door de meeste mensen gezien als onacceptabel. Zelfs voor gepland routine-onderhoud. Eén cruciale functie om hoge beschikbaarheid en veerkracht te behalen, is het gebruik van active-active clustering voor uw NGFW. De firewall is daarbij geclusterd met minstens één evenknie die altijd aan is en dus klaar staat om taken direct over te nemen. Deze active-active clustering laat de business doordraaien tijdens systeemupdates en onderhoud. Daarnaast vergroot deze aanpak de flexibiliteit wanneer er

64

zware applicaties draaien die een hoger prestatieniveau nodig hebben. Clusters moeten in staat zijn om per clusternode te worden geüpgrade zonder dat het functioneren wordt onderbroken. Dit betekent dus ook dat de verschillende nodes tijdens onderhoud moeten kunnen werken met verschillende softwareversies en hardwarevarianten. 4. PLUG&PLAY-UITROL Als uw onderneming meerdere, geografisch verspreide locaties omvat, heeft u een NGFW nodig die plug&play-uitrol biedt. Door de cloud te gebruiken voor installatie en configuratie valt uw NGFW makkelijk te installeren bij elk kantoor op afstand. Daar hoeft het systeem dan slechts te worden aangesloten op stroom en een fysieke netwerkverbinding, waarna de inrichting via het netwerk wordt gedaan. Dit kan flinke besparingen brengen in tijd en reiskosten. Bovendien kan implementatie van uw NGFW dan worden verkort van enkele weken naar luttele minuten. Naast de initiële uitrol zijn ook updates en upgrades op afstand en geautomatiseerd uit te voeren. Het centrale beheersysteem geeft dan de mogelijkheid om deze handelingen op afstand te overzien en aan te sturen. 5. DEEP PACKET INSPECTION Deep Packet Inspection (DPI) is de volgende must-have voor uw NGFW. Deze monitoringfunctie zorgt ervoor dat de diverse brokken van elk datapakket grondig wordt onderzocht. Dit ondervangt dan mismaakte packets, fouten in het netwerkverkeer, geïdentificeerde cyberaanvallen, en andere uitzonderingen. DPI kan ongewenste vormen van dataverkeer snel herkennen en blokkeren, zoals afkomstig van Trojans, virussen, spam, inbraakpogingen en andere schendingen van de normale communicatie op uw netwerk. De analyse van packetdata gebeurt met diverse methodes, inclusief inspectie van datastromen, signatures van kwetsbaarheden, configuratie van netwerkpolicies, identificatie van protocollen, normalisering van data, en zowel onversleutelde (HTTP) als versleutelde (HTTPS) webverbindingen. NGFW’s met DPI-mogelijkheden moeten ook dynamische updates aankunnen die zijn te automatiseren, zodat policy-configuraties en bescherming tegen geïdentificeerde kwetsbaarheden op regelmatige basis zijn aan te passen.

6. BESCHERMING TEGEN AET’S Advanced Evasion Techniques (AET’s) staan erom bekend dat ze verschillende aanvallen combineren, dat ze zich tijdens aanvallen dynamisch aanpassen, en dat ze diverse protocollagen benutten. Dit alles om kwaadaardige content of een security-exploit binnen te brengen via netwerkverkeer dat onschuldig oogt voor minder geavanceerde security-oplossingen. AET-bescherming verwijdert de ‘verduistering’ (obfuscation) van deze heimelijke aanvalstechnieken, zodat het verkeer grondig geïnspecteerd kan worden over verschillende protocollen en lagen heen. Diep ingebouwde AET-bescherming in een NGFW zorgt ervoor dat zelfs de meest grondige data-analyse en normalisering geen impact heeft op het presteren van het netwerk. 7. MULTI-TENANCY Grote ondernemingen en aanbieders van managed services hebben specifiek behoefte aan een NGFW die multi-tenancy ondersteunt. Deze functie zorgt voor een scheiding en onderscheid tussen diverse domeinen op het netwerk. Gebruikers behorend bij die verschillende domeinen zijn dan op gepaste wijze te beveiligen zonder dat die diversiteit ten koste gaat van de efficiency. Multi-tenancy mogelijkheden bieden aparte maar interoperabele beheermogelijkheden voor domeinen. Deze zijn ook toe te passen op verschillende bedrijfsdivisies, geografische locaties, en de externe organisaties van klanten. Deze entiteiten kunnen dankzij multi-tenancy gescheiden van elkaar blijven terwijl ze toch allemaal profiteren van dezelfde beveiligingsvoordelen. Dit omvat een gelijke blik op en overzicht van de securitysituatie, de uniforme beheermiddelen, de geautomatiseerde functionaliteit, de voortdurend geoptimaliseerde netwerkverbindingen en andere geavanceerde functies van uw NGFW. 8. AANPASBARE, NWISSELBARE ARCHITECTUUR: HARDWARE, SOFTWARE, VIRTUEEL De architectuur van uw volgende NGFW moet aanpasbaar en inwisselbaar zijn zodat u security op de meest effectieve manier en naar behoefte kunt inzetten. Let er bij een NGFW op dat die zowel voor uw budget als qua architectuur zo flexibel mogelijk is. Dit geldt voor alle vormen van NGFW’s, of die nou beschikbaar zijn als software, als fysieke appliance, of als virtuele appliance. Kies voor een oplos-

sing die wanneer nodig ook van rol kan veranderen, zónder de noodzaak voor nieuwe licenties en contracten daarvoor. Bijvoorbeeld van intrusion prevention system (IPS), naar Layer 2-firewall, of firewall met VPN (virtual private network). 9. VPN OP ENTERPRISE-NIVEAU Veerkrachtige en flexibele connectiviteit tussen verschillende vestigingen vereist de aanwezigheid van krachtige VPN-technologieën (virtual private network) in uw NGFW. Veel NGFW’s zijn voorzien van IPsec VPN, dat bestaat uit een verzameling securityprotocollen die zijn toegevoegd aan de communicatielaag waar de netwerkpakketten worden verwerkt. IPsec kent meerdere voordelen, waaronder de afhandeling van securityvoorzieningen zonder dat er wijzigingen nodig zijn op individuele computers. Kijk bij de selectie van uw volgende NGFW naar nog meer VPN-vermogen door IPsec te combineren met andere geavanceerde technologieën. Zoals gecombineerde netwerklinks of tunnels om kosteneffectieve VPN-verbindingen te maken met hoge beschikbaarheid. Let er ook op dat uw geselecteerde NGFW beheermiddelen heeft die krachtig genoeg zijn om uw VPN’s uit te rollen, te configureren en in te zetten. 10. VIRTUALISATIE Virtuele appliances maken het makkelijk om zelfstandig een uitgebreide security-infrastructuur op te zetten met virtuele machines. Elke virtuele appliance kan dan een eigen, onafhankelijke rol vervullen. Daarbij kan elk van die virtuele machines zelfs zijn eigen, afwijkende softwareversie en besturingssysteem draaien. De optie van virtual contexts geeft beheerders een manier om de configuraties van de diverse securitygateways te scheiden. Die scheiding gebeurt dan niet aan de hand van fysieke eigenschappen, maar op logische en functionele basis. Elk van die gescheiden elementen is dan apart te beheren op een enkele fysieke NGFW-appliance. Deze aanpak is ideaal voor aanbieders van managed security services (MSSP’s, managed security service providers) die hun beveiligingsdiensten bieden aan meerdere klanten en daarvoor dezelfde fysieke elementen gebruiken. Mischa Deden is Sales Systems Engineer voor Noord- en Oost-Europa bij McAfee


65

DOOR HANS VANDAM

UIT ONDERZOEK VAN NSS LABS BLIJKT:

VOLLEDIGE BESCHERMING

TEGEN EVASIVE-TECHNIEKEN WEL DEGELIJK MOGELIJK Door het grote aantal security-incidenten waarmee we de laatste maanden worden geconfronteerd, lijkt het soms wel of de cybercriminelen de strijd aan het winnen zijn. Wie echter een recent verschenen onderzoek van NSS Labs leest, ziet dat die conclusie niet klopt. Next generation firewalls blijken wel degelijk in staat om nagenoeg alle aanvallen tegen te houden en - wellicht nog belangrijker - de vele technieken die cybercriminelen bedenken om security-maatregelen te omzeilen volledig te neutraliseren.

De informatieplicht die steeds meer overheden aan bedrijven opleggen om security-incidenten waarbij persoonsgegevens zijn betrokken openbaar te maken heeft grote voordelen. Maar helaas kent dit beleid ook een belangrijk nadeel. Aan de ene kant krijgen we een steeds beter beeld van wat er daadwerkelijk gebeurt op het gebied van security. Tegelijkertijd zien we nu echter ook heel duidelijk hoe vaak cybercriminelen in staat zijn om door te dringen in netwerken waarvan we dachten dat deze goed afgeschermd waren voor onbevoegden. De maatschappelijke onrust die hierover is ontstaan, zal niemand ontgaan zijn. Sterker nog, hierdoor lijkt soms de indruk te ontstaan dat de cybercriminelen de strijd aan het winnen zijn.

We zien dat de securityaanbieders momenteel behoorlijk goed scoren ONJUIST BEELD Dat beeld klopt echter niet. Waar de wedloop tussen cybercriminelen en aanbieders van beveiligingsproducten vaak iets weg heeft van ‘haasje-over’, zien we dat de security-aanbieders momenteel behoorlijk goed scoren. Dat blijkt bijvoorbeeld uit een recent gepubliceerd onderzoek van NSS Labs. Dit testlab heeft onlangs een aantal zogeheten ‘next generation fi-

rewalls’ onderzocht en onderworpen aan een groot aantal - wat zij noemen - ‘real world attacks’. Met andere woorden: op basis van de diepgaande kennis van NSS Labs van de security-wereld, heeft men een groot aantal aanvalsmethodieken van cybercriminelen verzameld. Vervolgens heeft men onderzocht in hoeverre een serie bekende firewalls in staat is om deze aanvallen tegen te houden. Daar-

bij heeft men gekeken naar producten van Barracuda, Checkpoint, Cyberoam, Cisco, Dell (Sonicwall), Fortinet, McAfee, Palo Alto Networks en WatchGuard. Van sommige aanbieders zijn meerdere modellen firewalls beproefd. KOSTEN EN PRESTATIES Wat het onderzoek echter extra interessant maakt, is het feit dat NSS Labs niet uitsluitend naar de technische prestaties van de diverse leveranciers heeft gekeken. Men heeft echter ook een relatie gelegd met de kosten die een IT-afdeling moet maken om tot een bepaald prestatieniveau te komen. Met andere woorden: wat kost het om een bepaalde hoeveelheid dataverkeer te beveiligen? De resultaten van deze tests zijn weergegeven in figuur 1. BEKENDE NAMEN Opvallend is dat een aantal bekende aanbieders wat minder goed lijken te scoren dan wat kleinere spelers als bijvoorbeeld WatchGuard, dat zowel wat betreft kosten als effectiviteit goed uit de tests naar voren komt. Uit het onderzoek blijkt dat de WatchGuard XTM 1525 97,8 procent van alle geteste aanvallen weet tegen te houden. Bovendien omzeilde deze firewall alle zogeheten ‘evasive techniques’ die cybercriminelen toepassen om beveiligingsmaatregelen te omzeilen. Daar komt bij dat de kostprijs per beveiligde Mbps door NSS Labs als ‘zeer gunstig’ wordt getypeerd. IN DETAIL Meer in detail levert de test als resultaat op dat de WatchGuard XTM 1525 volgens NSS Labs 96,7 procent van alle aanvallen blokkeert tegens serverapplicaties en 98,7 procent van alle pogingen om client-applicaties aan te vallen. Dit betekent dat de XTM 1525 gemiddeld 97,8 procent van alle aanvallen tegenhoudt. Belangrijk is bovendien dat de firewall zeer goed scoorde in de NSS Application Control-test. NSS Labs heeft vastgesteld dat de software die door de firewall wordt gebruikt, ofwel XTM v11.8, op correcte

Figuur 1. Resultaten van de test van NSS Labs waarbij de effectiviteit tegen aanvallen is afgezet tegen de kosten per beveiligde Mbps. en effectieve wijze complexe policies afdwingt die zijn samengesteld uit meerdere regels, objecten en applicaties. Hierbij hebben de onderzoekers vastgesteld dat de XTM bij zowel inkomend als uitgaand dataverkeer met succes kan vaststellen welke applicatie de data verstuurt of ontvangt, om vervolgens de juiste policy op deze datastroom toe te passen. TOELICHTING “Voor bedrijven en overheidsorganisaties is het van cruciaal belang dat zij een goed begrip hebben van de prestaties

en effectiviteit van moderne firewalls”, zegt Vikram Phatak, chief executive officer van NSS Labs in een toelichting op de testresultaten. “De WatchGuard XTM 1525 kende gedurende het gehele testproces een zeer hoge en bovendien zeer consistente mate van bescherming tegen aanvallen en pogingen van cybercriminelen om de beveiligingsvoorzieningen van de firewall te omzeilen.” Hans Vandam is journalist

Uit het onderzoek blijkt dat de WatchGuard XTM 1525 97,8 procent van alle geteste aanvallen weet tegen te houden.

INCIDENTEN REAL-TIME ZICHTBAAR De WatchGuard XTM 1500-serie biedt een throughput tot 25 Gbps en 10 Gbps als sprake is van het gebruik van een VPN (virtual private network). Net als alle WatchGuard Next Generation (NGFW) en Unified Threat Management 66

(UTM) appliances wordt de XTM 1525 ondersteund door WatchGuard Dimension. Deze software maakt beveilingsmaatregelen en eventuele incidenten in real-time zichtbaar. Hierdoor kan per direct het door een beveiligingsincident

getroffen deel van een netwerk worden vastgesteld en geïsoleerd. WatchGuard Dimension genereert ook in real-time alle voor die aanval relevante informatie - van type aanval tot trendinformatie.


67

DOOR HANS VANDAM

HET EID-STELSEL EN CYBERCRIMINALITEIT

‘ECHT ROBUUSTE

SECURITY KUNNEN BIEDEN, BLIJFT KWESTIE VAN CONTINU MONITOREN EN TESTEN’ Door het grote aantal security-incidenten waarmee we de laatste maanden worden geconfronteerd, lijkt het soms wel of de cybercriminelen de strijd aan het winnen zijn. Wie echter een recent verschenen onderzoek van NSS Labs leest, ziet dat die conclusie niet klopt. Next generation firewalls blijken wel degelijk in staat om nagenoeg alle aanvallen tegen te houden en - wellicht nog belangrijker - de vele technieken die cybercriminelen bedenken om security-maatregelen te omzeilen volledig te neutraliseren.

Henk van der Heijden, oprichter en partner TecHarbor & managing director (a.i.) bij Comsec Consultancy in Nederland: “Het eID-stelsel geldt als standaard voor het vaststellen van bevoegdheden. Je kunt denken aan een soort Identity- & Access Management (IAM-)systeem, maar dan met de Nederlandse overheid als toezichthouder. Private en publieke organisaties spreken daarbij af welke eisen ze stellen op het gebied van veiligheid, betrouwbaarheid en de bescherming van privacy. Op deze manier brengt het stelsel verschillende inlogmiddelen samen; van DigiD voor burgers en eHerkenning voor ondernemers tot logins bij banken en gebruikersnaam / wachtwoord combinaties voor webwinkels. Het spreekt voor zich dat de inrichting en implementatie hiervan zeer complex is. Het uitvoeren van zorgvuldige tests via ethical hacking op de systemen is dan ook noodzakelijk.” STELSEL VAN IDENTITEITEN Hoe gaat het stelsel eruit zien? Gebruikers – burgers, ondernemers, consumenten – kunnen online bij verschillende instanties en organisaties terecht en daarbij hun eigen inlogmethode kiezen. Stel dat Marieke vanaf haar laptop wil inloggen bij een webshop om een nieuwe trui te kopen. Via de site krijgt zij de vraag in te 68

loggen met eID. Vervolgens heeft zij de mogelijkheid te kiezen uit verscheidene eID-middelen. Marieke kiest ervoor om op haar mobiele telefoon een code te ontvangen, welke zij vervolgens op het inlogscherm kan invoeren. Het systeem herkent mevrouw Marieke de Groot en geeft haar toegang tot de webshop waarbij zij direct kan winkelen en afrekenen. De persoonlijke informatie die er over haar beschikbaar komt voor de winkel – denk aan geboortedatum, woonadres, interesses – bepaalt Marieke zelf. De gebruiker besluit immers hoe hij of zij zich authentiseert bij organisaties die meedoen met eID (instellingen/banken/winkels/verzekeraars/overheid). Momenteel bekijken de ontwikkelaars ook of identiteitsdocumenten als inlogmiddelen kunnen fungeren. Het grote voordeel van dergelijke inlogprocedures en samenwerkingen is dat burgers (als ondernemer of als consument) niet talloze wachtwoorden hoeven te gebruiken voor iedere online transactie. Met eID is het straks mogelijk om via dezelfde authenticatieprocedure zowel je boodschappen online te doen als een nieuwe parkeervergunning aan te vragen. Daarnaast is het voor organisaties goedkoper om veiligere diensten aan te bieden als ze het gezamenlijk aanschaf-

fen en beheren. Zo profiteren deelnemende instellingen van elkaars sterke middelen. BELANG GOEDE CYBER SECURITY Tegelijkertijd heeft de overheid de ambitie geuit om Nederland als leidend op de Europese kaart te zetten op het gebied van cyber security. Zelfs de koning noemde het belang ervan in de Troonrede tijdens Prinsjesdag. “Het is ook niet gek. Nederland was na de Verenigde Staten en het Verenigd Koninkrijk het derde land in de wereld dat op het internet was aangesloten. Inmiddels maakt 80 procent van de Nederlandse burgers gebruik van online banking, 62 procent van webshops (4e in Europa), bezit 94 procent van de families minstens één PC en heeft 95 procent van de jongeren een of meerdere social media accounts”, legt Van der Heijden uit. “Verbonden zijn en blijven is onderdeel geworden van ons dagelijks leven. Dit brengt een nieuwe manier van beveiligen met zich mee. Daar moeten we bewust en innovatief op inspelen, willen we daadwerkelijk het verschil kunnen maken.” Het Nationaal Cyber Security Centrum, onderdeel van het Ministerie van Veiligheid en Justitie, neemt de taak op zich

om het land weerbaar te maken tegen cyberaanvallen en de vitale belangen te beschermen. Nederland investeert daarom in veilige en privacy-bevorderende ICT-producten en –diensten en bouwt coalities voor vrijheid, veiligheid en vrede in digitale domeinen. Het eID-stelsel is een voorbeeld van een dergelijke samenwerking tussen meerdere partijen. Hij voegt toe: “het is een mooi streven om het bedrijfsleven online aan de overheid te koppelen door middel van een enkele digitale identificatie. Samenwerking en de ‘koppen bij elkaar’ is een eerste belangrijke stap om cybercriminaliteit tegen te gaan en een goede defensie op te bouwen. Om dezelfde reden is pas geleden tevens de Cyber Threat Alliance (CTA) opgericht: een initiatief van vier grote internet security-bedrijven. Toch zitten er nog wel veel haken en ogen aan het concept van het stelsel. Allereerst is daar de vraag wat er gebeurt als mensen met dezelfde naam inloggen. Persoonsverwisselingen zullen te allen tijde voorkomen moeten worden, want anders ligt de persoonlijke informatie voor het oprapen. En dat kan ernstige gevolgen hebben als degene die toegang krijgt tot die gevoelige data slechte bedoelingen heeft. Uiteraard is hier al aan gedacht. De overheid zegt pseudoniemen te willen vormen op basis van een unieke identiteit van een persoon. Het is echter alleen mogelijk uit te sluiten of die persoon daadwerkelijk is wie hij zegt te zijn, als je over alle persoonsidentiteiten beschikt. Inlogmethodes via identiteitsdocumenten zoals een paspoort of rijbewijs is een mogelijkheid om persoonsverwisselingen te voorkomen. Maar daarmee ben je er nog niet.” ETHICAL HACKING Van der Heijden is ervan overtuigd dat indien diverse netwerken, systemen en toepassingen met elkaar verbonden zijn, het continu monitoren en testen hiervan essentieel is. “Het is bijna de enige optie om op elk moment op de hoogte te zijn van wat er binnen je organisatie of instelling gebeurt. Ontwikkelingen als cloud, mobile, big data analytics, The Internet of Things (of Everything), maken ons leven op heel veel vlakken makkelijker, sneller, en beter. Maar er komt ook een hele nieuwe manier bij kijken om dit alles optimaal te beschermen. En de hackerwereld staat niet stil. Deze ontwikkelt zich ook in een heel rap tempo. De oplossing

ligt in het opdoen van kennis. We moeten inzicht hebben in de totale IT-infrastructuur, overal en op elk moment.” Het eID-stelsel moet in 2017 als standaard gaan dienen voor het regelen van toegang bij online dienstverlening. “Diverse private en publieke instellingen worden hierbij aan elkaar gekoppeld en de privacy van burgers staat op het spel als de implementatie niet juist verloopt. Het is echt noodzakelijk om de verbonden elementen vooraf te testen op de weerbaarheid en dit vervolgens continu bij te houden. Een van de weinige methodes om hackers voor te zijn is ethical hacking. In opdracht van het management worden alle systemen, netwerken en applicaties getest door middel van gerichte hacks.

Het is ethisch omdat de organisaties ervan op de hoogte zijn dat ze worden aangevallen. Doelgerichte attacks maken bovendien inzichtelijk waar de gaten zitten. Deze kan een (security) manager vervolgens direct opzoeken en wegwerken. Daarnaast is er veel effectiever en efficiënter een security-strategie te bepalen omdat het bedrijf nu zijn zwakkere plekken kent. Wil het eID-stelsel slagen en ons als burgers echt volledig beschermen tegen online gevaar, dan zou het voor de deelnemende partijen raadzaam zijn zich kwetsbaar op te stellen en lering te trekken uit de consequenties voor het bedrijf als zij slachtoffer worden van cybercriminaliteit.”


69

DOOR DIRK GEERAERTS

EU-GEGEVENSBESCHERMING:

ENCRYPTIE

IS SLEUTEL TOT BEWAKEN VAN UW REPUTATIE De EU-verordening omtrent gegevensbescherming gaat op dit moment door de molen van het Europees Parlement. Door het recente, alarmerende nieuws van beveiligingslekken en diefstal van data, krijgen Europese organisaties (en cloud-serviceproviders die actief zijn op de Europese markten) door deze verordening te maken met verscherpt toezicht als het gaat om de bescherming van (persoons)gegevens. Maar waarom introduceert de EU deze verordening? Wat betekent het voor uw organisatie en wat moet u erover weten? Er is meer behoefte aan regulering dan ooit. Volgens de ‘Breach Level Index’ van

SafeNet, zijn in de eerste helft van 2014 alleen al meer dan 375 miljoen klantge-

gevens gestolen of verloren. Dit als gevolg van de 559 datalekken wereldwijd. Dit enorme aantal gegevenslekken zou bij IT-managers alle alarmbellen moeten laten afgaan. Maar wat misschien nog alarmerender is, is het feit dat het in minder dan één procent ging om beveiligde lekken. Dit betekent dat bijna alle data die gestolen werd, niet adequaat werd beschermd. Dit is de voornaamste reden dat de EU deze verordening omtrent gegevensbescherming introduceert, om bij datadiefstal en –lekken te garanderen dat klantgegevens buiten schot blijven. De verordening betekent de grootste verandering in gegevensbescherming in de EU sinds 1995. Zij vervangt de vorige Data Protection Directive. Eenmaal aangenomen, overstijgt deze verordening de wetgeving in alle 28 EU-lidstaten. Hiermee creëert de EU uniformiteit binnen alle lidstaten wat de bescherming van gegevens aangaat en scherpt het de straffen voor het niet naleven van de verordening aanzienlijk aan. Het feit dat het gaat om een ‘verordening’ in plaats van ‘richtlijn’ is belangrijk, omdat het rechtstreeks van toepassing is op alle EU-lidstaten, zonder dat het nodig is dat nationale wetgevende machten deze bekrachtigen. WAT BETEKENT DIT VOOR UW ORGANISATIE? De meest opvallende verandering in de voorgestelde EU-verordening is de verplichting om zowel de autoriteiten als de getroffen personen te melden wanneer een datalek plaatsvindt. De aanpassing van de EU-regelgeving, die dateert van

augustus 2013 (verordening nummer 611/20132), houdt in dat aanbieders van openbare elektronische communicatiediensten in de EU de nationale regelgevende instanties binnen 24 uur na het signaleren van een datalek in kennis moeten stellen. Klanten moet worden geïnformeerd als een datalek ‘ongunstige gevolgen kan hebben voor de persoonsgegevens of persoonlijke levenssfeer’. Op dit moment hoeven alleen telecom-maatschappijen en Internet Service Providers (ISP’s) aan deze verordening te voldoen. De voorgestelde verordening omtrent gegevensbescherming geldt echter voor alle organisaties die persoonsgegevens verwerken. Dit betekent dat serviceproviders die klantinformatie beheren, zoals aanbieders van cloud-diensten, ook verantwoordelijk worden gehouden.

aanbevelingen voor de maatregelen die van toepassing zijn op het ontoegankelijk maken van gegevens voor ongeautoriseerde gebruikers. Het rapport beschrijft een technische voorziening die een aanzienlijke invloed zal hebben op de keuze die serviceproviders maken bij beveiligingsoplossingen die voldoen aan de EU-regelgeving. Met deze aanbevelingen in het achterhoofd, moet elke organisatie rekening houden met drie factoren bij het ontwikkelen van een uitgebreide strategie voor gegevensbescherming. Ten eerste, waar is de data opgeslagen - in een database, file servers, virtuele omgevingen of de cloud? Ten tweede, hoe en waar worden encryptiesleutels veilig opgeslagen? Tot slot, wie krijgt er toegang tot de gegevens en nog belangrijker, hoe wordt deze toegang gecontroleerd?

De verordening betekent de grootste verandering in gegevensbescherming in de EU sinds 1995 Dit is vooral verontrustend, gezien de impact die een datalek kan hebben op de reputatie van een organisatie en uiteindelijk de omzet. Het onderzoek ‘The Cost of Data Breach 2014’ van Ponemon geeft aan dat de gemiddelde kosten van een datalek zo’n 3,5 miljoen dollar zijn. De beschadigde reputatie en het verlies van klanten hebben de grootste invloed op de omzet. Uit ons onderzoek blijkt dat meer dan de helft van de volwassen respondenten (57 procent) nooit, of zeer waarschijnlijk niet, gaat shoppen bij of zaken doet met een bedrijf dat te maken heeft gehad met een datalek, waarbij persoonlijke gegevens verloren zijn gegaan. De enige uitzondering op de verordening dat personen in kennis gesteld moeten worden van datalekken, is als er passende maatregelen getroffen zijn om ‘gegevens ontoegankelijk te maken voor eenieder die geen recht heeft om ze in te zien.’ Dus hoe kunnen organisaties gegevens ontoegankelijk maken? HET LEK DICHTEN Als een van de officiële adviseurs van de Europese Commissie, publiceerde ENISA onlangs een rapport met input en

Deze drie factoren zijn te vertalen in een drie-stappenaanpak voor gegevensbescherming: 1. VERSLEUTEL ALLE KRITISCHE GEGEVENS In het ENISA-rapport wordt versleuteling genoemd als een essentiële en effectieve methode om te voldoen aan de wettelijke beveiligingsstandaarden voor het ontoegankelijk maken van data. Dit betekent data beveiligen op applicatieniveau (zoals POS-terminals), terwijl ze verstuurd worden en opgeslagen zijn. Dit moet verder reiken dan alleen financiële data, alle waardevolle, bedrijfskritische en klantendata moet worden meegenomen. 2. ENCRYPTIECODES OPSLAAN EN BEHEREN Versleutelde gegevens zijn zo veilig en toegankelijk als hun encryptiecode toelaat. Een van de meest voorkomende fouten die organisaties maken is deze opslaan op dezelfde plek als de data. Hierdoor stellen ze hun kritische informatie bloot aan aanzienlijke risico’s. Een crypto-managementplatform beheert de encryptiesleutels, en zorgt ervoor

dat deze encryptiesleutels worden hernieuwd en verwijderd. Het biedt ook extra ‘trust anchors’ voor encryptiesleutels die hardware security-modules gebruiken. 3. TOEGANGSCONTROLE Zorg voor een authenticatiestrategie om de identiteit van gebruikers te beschermen, om er voor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de systemen, data en apps. Concreet betekent dit dat een risicoanalyse noodzakelijk is om de toegangscontroles af te stemmen op specifieke dataverwerkingsscenario’s. Effectieve toegangscontrolesystemen gebruiken multi-factorauthenticatie, die een extra niveau van gebruikersauthenticatie vereist, zoals de toegangscode die naar een mobiele telefoon wordt verzonden. NIET VOORBEREID? BEREID JE DAN VOOR OM TE FALEN De EU-verordening omtrent gegevensbescherming wordt eind 2014 afgerond en wordt in 2017 van kracht. Echter, als bedrijven nu geen stappen ondernemen om hun manier van gegevensbescherming te veranderen, krijgen ze niet alleen te maken met compliance-sancties, maar zetten ze ook hun reputatie en het vertrouwen van hun klanten op het spel. De rapportage-eisen van de nieuwe EU-verordening maakt datalekken beter zichtbaar. Als gevolg hiervan verergeren de economische en zakelijke gevolgen van een lek. Daarom moeten bedrijven nu maatregelen nemen om voorbereid te zijn als de nieuwe verordening van kracht wordt. Security professionals moeten altijd rekening houden met specifieke risico-analyse-eisen. Dit om organisatorische en technische maatregelen te nemen om datalekken te signaleren, voorkomen en dichten. Data-encryptie-oplossingen zijn essentieel bij het betrouwbaar versleutelen van vertrouwelijke informatie. Wanneer encryptie wordt gecombineerd met andere maatregelen, zoals beveiligd ‘key management’ en toegangscontrole, biedt dit een robuuste basis bij het voldoen aan de geldende EU-wetgeving. Bezoek SafeNet op Infosecurity.nl: hal 1 stand A136. Dirk Geeraerts is Regional Sales Director bij SafeNet

Dirk Geeraerts 70


71

DOOR JIM DE HAAS EN KEES MASTWIJK

VEST INTRODUCEERT METHODIEK VOOR RISICOANALYSES BIJ CLOUD-PROJECTEN

VEILIG IMPLEMENTEREN

BUSINESS INFORMATION GOVERNANCE

VAN MOBIELE APPS

De uitkomsten van de Nationale IT-Security Monitor 2014 laten zien dat de helft van de respondenten aangeeft dat er onvoldoende kennis aanwezig is om cloud oplossingen veilig te gebruiken. En dat er onvoldoende kennis is om mobiele apparaten veilig te implementeren. Vest beschrijft in dit artikel een methodiek voor risicoanalyses op cloud computing projecten, alsmede een strategie voor het veilig implementeren van mobiele apparaten. In de meeste organisaties zijn er constant veranderingen in het IT- & applicatie-landschap. Naast projecten die verouderde technologie vervangen is er uitbreiding en innovatie. Bedrijven fuseren, bedrijven splitsen, het IT-bedrijf staat nooit stil. Grote wijzigingen in het IT-landschap brengen risico’s met zich mee. In dit artikel vragen we aandacht voor risicobeheersing in projecten die cloud computing implementeren en het

gebruik van mobiele apparaten. Cloud projecten met een substantieel budget zullen in de meeste gevallen een bepaalde governance of beheersstructuur moeten volgen. Om budget te verkrijgen is een goedgekeurd projectvoorstel benodigd. Het is verstandig dit aan te vullen met de resultaten van een gedegen risicoanalyse. Organiseer een workshop en inventariseer de risico’s die het project resultaat kan lopen. Daar

zijn een aantal eenvoudige hulpmiddelen voor. Denk aan een formulier om de impact op de bedrijfsvoering vast te stellen. Beoordeel de impact vanuit financieel, operationeel en imago perspectief. Doe dit voor de aspecten vertrouwelijkheid, integriteit en beschikbaarheid. Het resultaat van deze exercitie geeft aan hoe belangrijk een applicatie is voor de ondersteuning van de bedrijfsprocessen.

KWETSBAARHEDEN Vervolgens gaat het team vaststellen wat dreigingen en kwetsbaarheden zijn. Hier zijn meestal wat meer technisch onderlegde medewerkers voor nodig. Medewerkers met kennis van de infrastructuur, of in dit geval cloud computing. Een goede bron voor meer informatie over de risico’s van het gebruik van cloud computing is de website van Enisa. Wil je meer weten over mogelijke cloud security risico’s, download dan een van hun whitepapers. Nog niet helemaal thuis in de wereld van cloud computing? Lees je dan eerst in op de website van de Cloud Security Alliance (CSA). De CSA heeft een overzicht van beheersmaatregelen gemaakt, variërend van technische maatregelen, tot contractuele en juridische. De voorbereiding van een dreigingen analyse begint met het vaststellen van een scope die past bij het project of situatie in kwestie. Bijvoorbeeld een bedreiging op het datacenter waar de applicatie wordt gehost, uitval van systemen, of aanvallen door hackers. Maak de lijst niet te lang, dat is helemaal niet nodig om een goede risico analyse te maken. Zo’n 20 items is voldoende. Verdeeld over categorieën zoals applicatie ontwikkeling, beheer en hosting. Neem de context van het project daarbij in ogenschouw. Draait de applicatie straks in Amerika? Gaat het project kritische bedrijfsprocessen uitbesteden? Krijgt de service provider wel of geen toegang tot uw data? Afhankelijk van de sector waarin het bedrijf opereert zijn er richtlijnen van de toezichthouders, zoals De Nederlandsche Bank (DNB) of in het buitenland de Monetary Autority of Hongkong. Deze instanties hebben richtlijnen voor risicoanalyses op cloud computing projecten voor financiële instellingen uitgevaardigd. DNB gebruikt daarbij de risicoanalyse van Enisa als brondocument. Neem deze informatie mee in de dreigingen analyse. DATA CLASSIFICATIE Nu bekend is hoe belangrijk de applicatie is (data classificatie), en welke dreigingen en kwetsbaarheden er zijn, is het tijd voor de selectie van maatregelen. Het is handig om op basis van diverse bronnen een lange lijst van eisen op te stellen en vervolgens per project een selectie te maken. Meestal op dit punt in het proces komen er vragen van betrokkenen over wat nu precies cloud computing is. Zorg

72

voor een heldere definitie die is goedgekeurd door senior management. Welke definitie precies wordt gebruikt maakt niet uit, zolang alle deelnemers maar hetzelfde referentiekader gebruiken. Een makkelijk bruikbare definitie is dat cloud computing applicaties gebruikmaken van een gedeelde infrastructuur. Klanten, waaronder uw eigen bedrijf, hebben geen invloed op hoe deze infrastructuur er uit ziet en wordt beheerd door de provider. Er zijn geen fysiek gescheiden servers, geen gescheiden databases. Alle klanten draaien in één en dezelfde omgeving en de provider geeft meestal weinig informatie over de wijze waarop klantdata logisch wordt gescheiden. Met behulp van de project context wordt een selectie gemaakt van maatregelen die passen bij de gevonden dreigingen en kwetsbaarheden. Grofweg zijn er maatregelen voor het project en voor de leverancier. Meestal dient het project tevens een aantal processen in te richten voor na de live gang. Denk aan het periodiek controleren van toegangsrechten op de applicatie. Het project kan in haar projectvoorstel rekening houden met de kosten en doorlooptijden van de te implementeren maatregelen. Een risk manager houdt tijdens het project de vorderingen bij en rapporteert aan de stuurgroep over risico’s. Na het uitvoeren van risicoanalyses op enkele cloud projecten zal je merken dat er steeds meer collega’s en meer disciplines bij betrokken worden. Kennis en ervaring binnen deze groep loopt behoorlijk uiteen en dat maakt discussiëren over risico’s en maatregelen lastig. Organiseer een basiscursus cloud computing beveiliging. Bij voorkeur in company, zodat de eigen situatie en voorbeelden in de les kunnen worden meegenomen. VEILIG GEBRUIK VAN MOBIELE APPARATEN Het veilig gebruiken van mobiele apparaten en applicaties begint met een inventarisatie van functionele eisen en een strategie. Neem de volgende situatie. Een bedrijf in de zakelijke dienstverlening waar de werknemers op kantoor en onderweg gebruikmaken van e-mail, agenda, bestandsuitwisseling, en ondersteunende apps zoals die voor takenlijstjes, enquêtes, planning en online samenwerken. Naast de eigen werknemers

is er een grote groep consultants. Er zijn werknemers die hun eigen telefoon of tablet willen gebruiken. Er is een centrale IT-afdeling die regie wil voeren en in controle wil zijn. Bij het opstellen van een strategie voor mobiele beveiliging moeten een aantal keuzes worden gemaakt. Wel of geen Bring Your Own? Wel of geen centraal beheer van apparaat configuratie (mobile device management of MDM). Wel of geen eigen appstore? Wel of geen gebruikmaken van een security container waar binnen applicaties veilig kunnen draaien. En hoeveel budget is er eigenlijk om het beleid te implementeren, want dergelijke maatregelen zijn per gebruiker best kostbaar. Een veel gekozen strategie is het toestaan van Bring Your Own, geen centraal configuratiebeheer in combinatie met een container. Voor het veilig gebruiken van mobiele apparaten kan dezelfde risicoanalyse methodiek gebruikt worden als hierboven beschreven voor cloud computing. De twee in dit artikel toegelichte projecten zijn IT-gerelateerd. De beveiliging van IT-systemen en informatie zou echter in ieder project een vast onderdeel moeten zijn, en bij voorkeur in een zo vroeg mogelijk stadium. Juist dan kan beveiliging een ‘business enabler’ worden door het verschil te maken in concurrentievoordeel en efficiëntie. Bijkomend voordeel van een dergelijke strategie is dat je in lijn handelt met de welbekende ISO27002 standaard, ook aangeduid als de Code voor Informatiebeveiliging. Jim de Haas en Kees Mastwijk zijn werkzaam bij Vest Informatiebeveiliging (www.vest.nl)


73

STELLAR DATA RECOVERY LANCEERT ‘DIT-DATA RECOVERY’ EN REDUCEERT DOWNTIME MET 50%

NIEUWE METHODE MAAKT DATA RECOVERY PROCES SNELLER EN VEILIGER

Stellar Data Recovery maakt tijdens de Storage Expo de lancering van DIT-Data Recovery bekend. DIT-Data Recovery is ontworpen om downtime zo kort mogelijk te houden. Stellar Data Recovery heeft verschillende bestaande en nieuwe oplossingsrichtingen met elkaar vergeleken en in de praktijk getoetst. DIT-Data Recovery is een zorgvuldig uitgekiend data recovery proces dat optimale snelheid, veiligheid en robuustheid garandeert. Traditioneel zijn er twee invalshoeken bij data recovery. DIY (Do-it-Yourself) Data Recovery, waarbij de systeembeheerder werkt met data recovery software tools die op de markt verkrijgbaar zijn. Hiervoor kan bijvoorbeeld ‘Stellar Data

74

Recovery - Tech edition’ -software gebruikt worden. De andere aanpak is de harde schijven van de server in het data recovery laboratorium van Stellar te laten behandelen. Stellar heeft een lange ervaring in het op-

lossen van data recovery vraagstukken bij grote bedrijven. Data recovery op een server met meerdere harde schijven in een RAID opstelling is daarbij een veel voorkomende dienst. Ook data recovery van VMWare of andere virtuele data opslag is gangbaar. DIY data recovery is dan niet altijd de meest ideale oplossing omdat er inherente beperkingen zitten aan wat met een standaard softwarepakket mogelijk is, en ook omdat de benodigde specialistische kennis bij het bedrijf kan ontbreken. Opsturen van de harde schijven is de andere optie maar dat heeft als nadeel dat het bedrijf gedurende het recovery proces niet over haar data beschikt en bedrijfsprocessen gedurende de tijd dat de datadragers in het data recovery laboratorium zijn stil liggen. DIT (Do-it-Together) Data Recovery is gebaseerd op de Reduced Down Time procedure (RDTp) van Stellar. Deze procedure maakt het in bepaalde gevallen mogelijk om de downtime sterk te reduceren. Ook biedt DIT de mogelijkheid tot extra databeveiliging tijdens het transport van de datadragers. “Het reduceren van downtime en het tegelijkertijd absoluut robuust en veilig houden van het gehele data recovery proces waren de uitgangspunten bij de ontwikkeling van RDTp en DIT”, zegt Kees Jan Meerman, Managing Director van Stellar Data Recovery EMEA. “We zijn er nu in geslaagd de downtime in bepaalde situaties met wel 50% en meer te verlagen. Dat is goed nieuws voor onze klanten. Dat daarbij de mogelijkheid

onstaat om de data versleuteld naar ons laboratorium te verzenden is extra meegenomen.” WAT IS ‘DIT DATA RECOVERY’ DIT Data Recovery staat voor ‘Do-it-Together’ Data Recovery. De methode is gebaseerd op twee principes: gereduceerde downtime gecombineerd met een minimaal risico op verder dataverlies. Bij DIT Data Recovery wordt gebruikgemaakt van de Reduced Down Time Procedure (RDTp) van Stellar. Eén van de belangrijkste basisprincipes bij professionele data recovery is dat een engineer nooit een recovery operatie direct op de originele datadrager uitvoert. De data recovery wordt altijd uitgevoerd op een clone (een sector-by-sector kopie) van de originele datadrager. Dit is een belangrijke veiligheidsmaatregel om verder dataverlies te voorkomen zowel bij fysieke schade als bij logische schade. HET MAKEN VAN EEN CLONE BIJ LOGISCHE SCHADE EN BIJ FYSIEKE SCHADE Bij logische schade is het maken van een clone een betrekkelijk recht-toerecht-aan proces dat met generalistische IT-kennis uitgevoerd kan worden. Afhankelijk van de capaciteit van de te clonen datadragers en de capaciteit van de apparatuur waarmee de clone wordt gemaakt kan dit cloneproces enkele uren tot meerdere dagen duren. Hoewel het proces technisch niet al te moeilijk is kan er nog steeds veel fout gaan bij de settings. Het zal bijvoorbeeld niet de eerste keer zijn dat de source en de target in de hectiek per ongeluk verwisseld worden met alle rampzalige gevolgen van dien. Ook de duur van het proces wordt nogal eens onderschat. Daarom is begeleiding door een data recovery engineer wense-

lijk. Bij fysieke schade is het maken van een clone geen eenvoudig proces. Hiervoor is specialistische kennis vereist en heel vaak ook een gecontroleerde stofvrije omgeving (data recovery lab). De datadrager is immers beschadigd en niet meer leesbaar. Afhankelijk van de ernst van de beschadiging kan het cloneproces enkele uren tot meerdere dagen duren. DIT DATA RECOVERY PROCEDURE Alvorens met DIT te starten is er contact tussen de klant en de data recovery engineers van Stellar. Samen wordt geïnventariseerd welke procedure adequaat is, de hoogste TAT mogelijk maakt, het minste risico oplevert en de grootste veiligheid garandeert. De engineers van Stellar begeleiden de klant via een secured remote connection bij het correct en veilig maken van de image. Voorbeeldsituaties waarin RDTp of DIT leiden tot gereduceerde downtime • Als de server nog werkt maar sommige belangrijke data verloren zijn geraakt. • Als een gebruiker van een PC data verloren heeft en hij zo snel mogelijk weer door wil werken vanaf de originele datadrager. De totale interuptietijd kan aanzienlijk worden verkort en de kans dat de datarecovery succesvol is wordt vergroot. Voorbeelden waarin DIT niet kan, of niet wordt aanbevolen • Bij een fysieke crash van een van de harde schijven. • Bij een malconfiguratie van het RAID systeem bijvoorbeeld een foutief uitgevoerde rebuild.

VERSLEUTELING VAN DATA MOGELIJK Bij DIT kan de data versleuteld naar het lab van Stellar getransporteerd worden. Ook retour naar de klant kan de data versleuteld worden. Dit is voor sommige bedrijven een extra geruststelling en soms zelfs een harde eis. Bijvoorbeeld als de originele datadragers het bedrijf niet mogen verlaten. Dit maakt DIT een aantrekkelijke optie. DO IT TOGETHER – NEEM CONTACT OP! Neem bij dataverlies altijd zo snel mogelijk contact op met de engineers van Stellar Data Recovery om met hen de meest geschikte methode van data recovery te bespreken. CONTACT: Stellar Data Recovery Zonnebaan 39 3542 EB Utrecht 030-7600701 [email protected] www.stellar.nl

OVERZICHT VAN DE GEBRUIKTE PROCESSEN STANDAARD DATA RECOVERY PROCES Verzenden van datadrager naar Stellar met koerier

TIJD

EDUCED DOWN TIME PROCEDURE (RDTP) Verzenden van datadrager naar Stellar met koerier

TIJD

DIT DATA RECOVERY

TIJD

3 uur

Maken van een image van de RAID configuratie

A

Maken van de clone bij Stellar

B

Maken van de clone bij Stellar

B

Verzenden van de image naar Stellar

3 uur

Uitvoeren van de data recovery

C

Terugzenden van de datadrager naar klant

3 uur

Terugzenden van de datadrager en de gerecoverde data naar de klant

3 uur

3 uur


75

NATIONALE IT-SECURITY MONITOR 2014

DOOR PETER VERMEULEN

GRIP OP DE CLOUD

NIEUWSGIERIG NAAR DE LAATSTE DIGITALE INNOVATIES VOOR DE ZORG?

t n e m e n n o b a ) s ti ra (g n e e u n Neem dan l .n rg zo le a it ig D n a v e n zi a g a m t e h op Voor de meeste Nederlandse organisaties is de vraag ‘Is de cloud veilig?’ totaal niet relevant. In plaats daarvan moeten ze zich afvragen of ze wel veilig gebruik maken van de cloud. Voor de meeste organisaties blijkt die vraag moeilijk te beantwoorden. Als men al een overzicht heeft van welke cloudoplossingen er eigenlijk allemaal gebruikt worden, ontbreekt het vaak aan de benodigde kennis om adequaat in te spelen op een veilig gebruik ervan. Hoewel 56% van de Nederlandse organisaties met 50 of meer medewerkers aangeeft dat security zicht heeft op alle cloud applicaties, is dit voor bijna evenveel organisaties helemaal niet zo vanzelfsprekend. Bijna 1 op de 4 respondenten geeft aan dat er zeker cloudapplicaties zijn die onder de radar blijven, terwijl 1 op de 5 eerlijk toegeeft het niet te weten. Deze onzekerheid kenmerkt veel organisaties, ook organisaties die hier ‘ja’ hebben geantwoord. Zelfs als ze denken alles in het vizier te hebben, blijven er maar medewerkers aan komen zetten met handige

nieuwe toepassingen uit de cloud. Er is vaak weinig behoefte om de IT-afdeling te informeren, want die heeft nog nooit enthousiast gereageerd op eigen initiatief. Het hebben van overzicht is een eerste stap om cloud veilig binnen een organisatie toe te passen. Als alle toepassingen in beeld zijn, kan er beleid worden gemaakt. Dat kan vanuit de cloudoplossing gebeuren: welke toepassing willen en kunnen we toestaan en welke niet? Maar dat zal steeds meer gaan gebeuren van-

Figuur 1: Heeft security zicht op alle cloud applicaties die binnen de organisatie worden gebruikt? 76

De zorgsector ontwikkelt zich in razend tempo. Nieuwe digitale werkprocessen, nieuwe applicaties, het gebruik van de cloud, de opkomst van mobiele apparaten, Big Data, privacy-issues, de almaar voortgaande integratie van informatie - het is maar een greep uit de vele digitale ontwikkelingen waar zorgprofessionals, bestuurders en innovators dagelijks mee te maken hebben. Hoe houdt u overzicht? En hoe krijgt u inzicht in de gevolgen voor uw organisatie? Het internetplatform Digitalezorg.nl helpt al jaren om bij te blijven rond alle relevante ontwikkelingen. Om de zorgsector hierbij nog beter te kunnen helpen, hebben de stichting Digitalezorg.nl en uitgeverij FenceWorks het Digitalezorg.nl Magazine gelanceerd. Hierin vindt u visies, achtergronden, productbesprekingen, columns, interviews en nog veel meer.

uit een risicoanalyse op basis van de typen workloads: aan welke eisen moeten (cloud) applicaties voldoen die voor verschillende workloads verantwoordelijk zijn; waar is cloud een no-go-area, waar moet het aan strenge eisen voldoen en waar zijn beperkte eisen acceptabel? Vervolgens is het noodzaak om leveranciers de maat te nemen en de van toepassing zijnde technische maatregelen te treffen. Maar inmiddels begint de schoen bij veel organisaties dan toch aardig te wringen. Bij veel organisaties is de kennis eenvoudigweg niet in huis om dit uit te voeren. Van de respondenten in de Nationale IT-Security Monitor geeft 1 op de 2 organisaties (49%) aan onvoldoende kennis in huis te hebben om cloudoplossingen veilig te kunnen gebruiken. Dit hiaat in de kennis omtrent cloudsecurity lijkt echter niet snel weggewerkt te gaan worden: niet meer dan 9% van de onderzochte organisaties geeft aan het komend jaar in cloud security training te gaan investeren. Ook op het gebied van training zien we dat IT-security zich nog altijd vooral op de IT van gisteren richt. Peter Vermeulen, directeur Pb7 Research

Interesse in een gratis abonnement? Ga naar www.digitalezorg.nl/digitale/magazine/ INFOSECURITY MAGAZINE - NR. 4 - OKTOBER 2014

77

DOOR TIMO KÖNNEN

CYBERSECURITY

INDUSTRIE HEEFT BETERE BESCHERMING

TEGEN CYBERAANVALLEN NODIG Industriële installaties lopen in toenemende mate het risico het slachtoffer te worden van cyberaanvallen. Nieuwe producten als de SMP Gateway kunnen hier een nuttige rol bij spelen. Op een kwade dag nestelde een virus zich onopgemerkt in de besturingssystemen van een aantal Nederlandse elektriciteitscentrales. Nadat het zich maandenlang slapende had gehouden, ging het midden op een werkdag tot actie over. Het liet het toerental van de turbines in de centrales ongecontroleerd oplopen, zonder dat de operators dat op hun schermen konden zien. Na enkele minuten crashten de turbines, de centrales vielen uit. Weer een paar minuten later begon in het elektriciteitsnet een domi-

no-effect te ontstaan: andere centrales werden nu overbelast en vielen een voor een uit. Binnen een half uur tijd kwamen overal in het land de treinen tot stilstand, net als de rest van het openbare leven. Er ontstonden chaotische taferelen, plunderingen van winkels werden gemeld - al reisde het nieuws een stuk langzamer nu telefoon, internet, radio en televisie niet meer werkten. Ondertussen breidde het domino-effect zich uit over de rest van Europa…

KNOOPPUNTFUNCTIE Deze gebeurtenissen zijn gelukkig fantasie, maar helemaal uit de lucht gegrepen zijn ze helaas ook weer niet. Toen het Stuxnet-virus in 2010 een Iraanse verrijkingsfaciliteit saboteerde, was de potentie van cyberterrorisme in één klap duidelijk aan de wereld. En een andere vorm van cyberaanvallen, met als doel het stelen van informatie van bedrijven, is al jaren aan de orde van de dag. Het komt alleen niet veel in het nieuws, omdat de getroffen bedrijven daar niet happig op zijn. Plaatsvervangend hoofd van de Algemene Inlichtingen- en Veiligheidsdienst Marc Kuipers stelde onlangs op een internationaal congres over cybersecurity dat speciaal Nederland kwetsbaar is voor zulke aanvallen, omdat ons land zowel fysiek als digitaal een knooppuntfunctie heeft. De laatste jaren is het aantal aanvallen volgens Kuipers sterk gegroeid, vooral in de sectoren chemie, energie en hightech. Hij vindt het de hoogste tijd dat bedrijven hun digitale beveiliging aanzienlijk gaan verbeteren. SITUATIESCHETS Al ging het Kuipers om cyberdiefstal, in zijn situatieschets is Nederland automatisch ook een te gemakkelijk doelwit voor cyberterrorisme, dat immers dezelfde digitale routes gebruikt. Voor een Stuxnet-achtig virus kan een kleine opening al genoeg zijn om op een vitale plek te belanden. Een voorbeeld is een medewerker van een energiebedrijf die een dagje thuis werkt. De laptop die hij gebruikt om in te loggen op de server van kantoor, is zonder dat hij het weet geïnfecteerd. Het virus reist via de server naar de SCADA-systemen (Supervisory Control And Data Acquisition) waarmee operators de machinerie van de centrale

78

aansturen. Een scenario zoals aan het begin beschreven is dan dichtbij gekomen. KOPPELINGEN Virussen profiteren ervan dat steeds meer IT-systemen in bedrijven met elkaar in contact staan. De energiewereld heeft wat dat betreft een extra reden om waakzaam te zijn. ‘De ontwikkeling richting smart grids - slimme elektriciteitsnetten, die flexibel kunnen inspelen op fluctuaties in vraag en aanbod - heeft het nodig gemaakt om allerlei systemen aan elkaar te knopen. Op veel plaatsen is een webachtig geheel van verbindingen ontstaan’, zegt Hans Meulenbroek, productmanager Smart Grid Automation Systems bij powermanagementbedrijf Eaton. SCADA EN PLC Een bijkomende factor die terroristen extra kansen kan geven, is dat SCADA-systemen en PLC’s (Programmable Logic Controllers, die de directe aansturing van apparaten verzorgen) nogal eens minder goed zijn beveiligd dan de gewone IT-netwerken. ‘Die netwerken zijn het domein van IT’ers, voor wie beveiliging traditioneel een hoofdtaak is. Zo is het volstrekt normaal een deel van een IT-netwerk af te schakelen voor een beveiligingsupdate’, verklaart Meulenbroek. ‘De aansturende systemen vallen daarentegen onder OT, Operations Technology. Voor een OT’er is de prioriteit dat de machines goed werken. Afschakelen van een OT-systeem voor een beveiligingsupdate is ongewenst, want de apparatuur moet zo min mogelijk uit staan. Het cultuurverschil tussen IT en OT bemoeilijkt het digitale veiligheidsbeleid.’ ADVIEZEN Cybersecurity-experts hebben wel een paar nuttige adviezen voor bedrijven om de veiligheid te vergroten, zoals het zorgen voor een goed beveiligde systeemtoegang. Een ander nog relatief gemakkelijk uitvoerbaar advies is om alle netwerkconnecties in kaart te brengen en de onnodige te verwijderen. Wie het echt goed wil doen, moet voor een ingrijpend andere aanpak kiezen en de beveiliging richtinggevend laten zijn bij het ontwerpen van alle systemen. SMP GATEWAY Een probleem met dat laatste advies is dat

Freddie Kuipers, Business Development Manager bij Eaton het in zekere zin ‘altijd te laat komt’. Een bedrijf in de energiesector zal meestal al allerlei systemen hebben staan die nog jaren mee moeten. De praktische vraag blijft dan hoe die bestaande systemen op een veilige manier met elkaar en met de buitenwereld zijn te verbinden. Een mogelijke manier om dat te doen is om alle communicatie te laten verlopen via een afzonderlijk, speciaal ontworpen systeem. Zo’n systeem, de SMP Gateway, wordt sinds kort in Europa door Eaton op de markt gebracht. BEVEILIGINGSEISEN De SMP Gateway is oorspronkelijk ontwikkeld voor de Amerikaanse en Canadese markt. ‘De behoefte aan een dergelijk systeem bestond daar al langer, omdat de overheid – vooral naar aanleiding van de aanslagen van 9/11 – gedetailleerde beveiligingseisen aan de energie-infrastructuur is gaan stellen’, verklaart Meulenbroek. ‘Het is simpelweg niet mogelijk om alle IED’s – Intelligent Electronic Devices, de computers en alle andere apparaten met programmeerbare elektronica die een bedrijf in gebruik heeft – aan die eisen te laten voldoen. De enige manier om het op te lossen, is om die apparaten achter een elektronisch scherm te plaatsen. Dat is wat de SMP Gateway doet.’ RISICOVOL In de oude, risicovolle situatie hebben allerlei IED’s niet alleen direct contact met elkaar, ze worden ook rechtstreeks vanaf de werkvloer, vanuit kantoren en vanuit woonhuizen benaderd door werknemers voor het opvragen van informatie en het

geven van opdrachten. In de nieuwe situatie bundelt de SMP Gateway al die communicatie en ziet erop toe dat die volgens veilige regels verloopt. ‘Alleen communicatie volgens protocol wordt doorgegeven’, verduidelijkt Meulenbroek, die toevoegt dat de IED’s van alle bekende fabrikanten worden ondersteund. KOSTEN Tegenover de kosten van het systeem staat niet alleen het vermijden van mogelijk aanzienlijke financiële schade door terrorisme of diefstal van bedrijfsgegevens. Ook valt er volgens Meulenbroek een efficiencyslag te maken door de extra mogelijkheden van de gegevensbundeling in de SMP Gateway te benutten. Het softwarepakket Yukon IED Manager Suite van Eaton heeft daar verschillende modules voor. Zo is er de Event Manager, die foutenlogs en sensorwaarden van IED’s kan opslaan en weergeven. CYBERBEVEILIGING Voor de burger is het te hopen dat de energiesector de waarschuwingen op het gebied van cyberbeveiliging ter harte neemt, of het nu met behulp van de SMP Gateway is of op andere manieren. Zolang de Europese Commissie de sector daar niet toe dwingt, zal er een achterstand blijven bestaan ten opzichte van de situatie in Noord-Amerika. Meulenbroek vindt dan ook dat er regelgeving moet komen die vergelijkbaar is met de Noord-Amerikaanse. ‘Nu staat de deur nog te vaak uitnodigend op een kier.’ Timo Können is Journalist


79

DOOR ROBBERT HOEFFNAGEL

SANJAY BERI VAN NETSKOPE:

‘VAN ‘GUESSING’ NAAR ‘KNOWING’ BIJ GEBRUIK VAN CLOUD-APPS’

“Wanneer wij een groter bedrijf vragen hoeveel cloud-apps de medewerkers in totaal gebruiken, houden de meesten het op een stuk of twintig. Wanneer wij dan met onze tools gaan zoeken, komen we regelmatig uit op vijfhonderd.” Dat zegt Sanjay Beri van het Amerikaanse Netskope, dat onlangs van start ging in de EMEA-regio. Het bedrijf stelde de Nederlander Eduard Meelhuysen aan als eindverantwoordelijke voor de regio. Netskope is actief op het gebied van veilige cloud-enablement. Het bedrijf levert tools en diensten om bedrijven te helpen beleid te ontwikkelen voor wat betreft het gebruik van cloud-apps. Beri: “Wij praten vooral met Chief Information Officers en Chief Security Officers. Zij hebben in toenemende mate te maken met wat in de VS ‘Shadow IT’ is gaan heten: afdelingen die op eigen houtje en zonder medeweten van de IT-afdeling apps zijn gaan gebruiken, omdat het snel en gemakkelijk is. CIO’s en CSO’s zijn vaak in het ongewisse hoeveel cloud-apps er werkelijk in hun organisatie worden gebruikt. Zij schatten de aantallen systematisch te laag in.” BLINDDOEK AFNEMEN Netskope - opgericht in 2012 in Californië met hulp van durfkapitaal - ondersteunt organisaties bij het meer greep krijgen op cloud-apps. “We willen af van ‘guessing’ zoals nu massaal gebeurt en toe naar ‘knowing’”, zegt Beri. Het bedrijf ontwikkelde daarvoor het Netskope Active Platform™. Dat biedt organisaties verschillende tools om het inzicht in cloud-appgebruik te vergroten en apps veilig te gebruiken. “Als eerste stap nemen we de blinddoek af en maken we met ons Discovery-tool alle cloud-apps die binnen een organisatie draaien zichtbaar. Vervolgens zorgen we voor een uitgebreide, dynamische risicometing van die apps, zoals een meting van de enterprise-readiness van elke app. Daarbij meten we apps aan de hand van vijftig criteria, variërend van business-conti80

nuïteit tot versleuteling van ongebruikte data, of ze wel geschikt zijn voor de zakelijke omgeving.” VERBIEDEN - JA OF NEE Beri wijst erop dat veel organisaties na een Discovery-proces snel de neiging hebben om bepaalde apps te verbieden. Beri benadrukt dat dat in de meeste gevallen niet de juiste aanpak is. “Het is vooral belangrijk dat je kijkt naar risicovol gebruik. Als je mensen gaat verbieden om app A te gebruiken, gaan ze op zoek naar app B met dezelfde functionaliteit. Met ons platform is goed in kaart te brengen of er risicovol wordt omgegaan met data. Zo is bijvoorbeeld vast te stellen dat een medewerker vertrouwelijke gegevens in zijn Dropbox plaatst. Dat is niet verstandig. Met ons platform kun je een gebruiker daarop wijzen en een betrouwbaar alternatief voorstellen. Je moet medewerkers daarin coachen. Het gaat erom hun gedrag te beïnvloeden, zodat ze niet langer op een risicovolle manier omgaan met data.” POLICY’S Naast het coachen van medewerkers in cloud-appgebruik is het volgens de Netskope-CEO zaak om duidelijke policy’s te creëren binnen de organisatie. Beri: “Die gaan uiteraard verder dan het uitsluitend toestaan of verbieden van apps. Door ons inzicht in de app zelf en het gebruik ervan in de organisatie kunnen we veel betekenisvollere policy’s voor elke app instellen. Een voorbeeld is dat content delen alleen mogelijk is binnen het land of de regio waarin de content gecreëerd is.” ONDERZOEK Uit een recent onderzoek van Netskope

blijkt dat er in Europa over het algemeen weinig vertrouwen is in cloudproviders. Zeven op de tien bedrijven beschuldigt cloudproviders van het niet voldoen aan weten regelgeving voor wat betreft databescherming en privacy. 53 procent van de respondenten geeft aan dat de kans op datalekken groter is als gevolg van de cloud. Ook blijkt dat bij datalekken de verwachte economische impact maar liefst verdrievoudigt als de cloud erbij betrokken is. Dit fenomeen staat bekend als ‘het Cloud Multiplier Effect’. Het onderzoek toont aan dat dit fenomeen op verschillende niveaus van toepassing is op de diverse cloudscenario’s, zoals de toename van het delen van data met een cloud-app of het toegenomen gebruik

van mobiele devices die verbinding maken met de cloud. Volgens Beri laat het onderzoek zien dat sommige bedrijven moeite hebben met Shadow IT. Het toont aan dat zij veel meer inzicht moeten hebben in welke data en apps toegankelijk zijn in de cloud, en dat ze begeleiding nodig hebben bij het analyseren van leveranciers”, zegt Sanjay Beri, CEO en medeoprichter van Netskope. “We weten allemaal dat de cloud winst in productiviteit kan opleveren, maar dit moet niet ten koste gaan van beveiliging. Onze respondenten zijn het ermee eens dat de cloud in staat is veiliger te zijn dan IT on-premise. Maar dit geldt alleen als policy’s correct worden nageleefd.”

EDUARD MEELHUYSEN VP SALES & GM EMEA BIJ NETSKOPE Netskope stelde eerder dit jaar Eduard Meelhuysen (44) aan als VP Sales & GM EMEA. Als hoofd van de internationale sales- en marketingorganisatie is het zijn belangrijkste taak de sales- en marketingafdelingen en de sales engineers aan te sturen. Daarnaast zet Meelhuysen zich in voor het neerzetten van Netskope als thought leader in Cloud Access Security Brokerage en voor het onder de aandacht brengen van Netskope in de markt en bij analistencommunity’s. Ook

is hij verantwoordelijk voor het aantrekken van nieuwe klanten. Voordat Meelhuysen in dienst kwam bij Netskope, bekleedde hij verschillende leidinggevende functies in internationale omgevingen. Zo was hij Sales Director Northern Europe bij Aerohive Networks, Director Benelux, Middle East & Southern Africa bij Imperva en Managing Director bij Magirus Benelux.


81

WATCHGUARD APT BLOCKER.

®

BECAUSE MOST MALWARE MORPHS. VISIT WATCHGUARD AT INFOSECURITY.NL 2014 AND FIND OUT MORE!

ADVANCED MALWARE NOW THREATENS EVERY NETWORK. EVEN YOURS. Advanced persistent threats (APT) once targeted only the largest networks. Not anymore. Zero day attacks and advanced malware are taking aim at networks of all sizes. And since most of today’s malware can morph to avoid detection by signature-based anti-virus solutions, the likelihood yours will be attacked grows every day.

Detect modern malware threats instantly - Seeing is knowing. WatchGuard APT Blocker provides real-time protection with one of the industry’s most sophisticated platforms for detecting advanced persistent threats and zero day malware. It integrates with WatchGuard Dimension™, the award-winning security visibility solution that enables you to recognize advanced threats instantly. Dimension is standard with WatchGuard’s UTM and NGFW platforms. Detection in seconds, protection in minutes. Minutes count, so choose instant visibility. Choose one of the most sophisticated platforms for detecting advanced persistent threats and zero day malware. Choose WatchGuard APT Blocker.

Contact us today at +31 70 711 20 80 or email: [email protected] to learn more.

VAN PERIODIEKE SCANS NAAR CONTINUE MONITORING

Recommend Documents