Visie en Trends in information security & risk management NGI - Mei 2008

Visie en Trends in information security & risk management NGI - Mei 2008 Trends: wat gaat er mis; wat gebeurt er in organisaties Visie: nieuwe doelen voor de beroepsgroep Dr. ir. Paul Overbeek RE Paul.Overbeek @ Ois-NL.EU 06-53786475

Keek op de week dinsdag 20 mei 11:42 Banken: illegale software helpt misbruik internetbankieren 10:42 PDoS-aanval beschadigt hardware permanent 09:59 Meeste spamsites geregistreerd via paar registrars 09:32 I Love You maakt rentree dankzij Storm worm maandag 19 mei 16:49 GovCERT: Debian OpenSSL-lek treft ook niet-Debian gebruikers 11:47 Kabinet schaft stemmen met computer voorlopig af 11:31 Risico draadloos veelal onbekend 09:40 “Thuiswerkcentrales” mogen krantenwijk gaan nemen zaterdag 17 mei 11:59 Redmond Magazine infecteert bezoekers met malware 11:39 Nederlandse politie hackt verdachten met Trojaans paard vrijdag 16 mei 15:27 Hacker verwijdert accounts van 10.000 ambtenaren 12:49 VS willen volledige controle over alle computers 11:19 Hacker versleutelt klantendatabase van bank 10:58 NSA offline door DNS problemen 10:40 Schneier: Lieg tegen laptop leegzuigende douane 10:10Internet in alarmfase geel wegens Debian OpenSSL-lek20

1

Storing ISP Landelijke storing treft xxx Gepubliceerd: gisteren 15:11 Trend: Veel klanten van xxx kunnen dinsdag geen gebruik Toename makencontinuiteitsbehoefte van internet. Door eenversus storing sinds het begin gebrek aan echte beheersing van de nacht ondervinden ook andere diensten en Storing xxx nog niet opgelost providers die gebruik maken van2008 het centrale Door Dimitri Reijerman, woensdag 14 mei door trial and tot transportnetwerk vanerror xxx is hinder. De problemen zijn in 09:18,Beheersing views: 11.029 acceptable practice verheven. Zelfheel Nederland merkbaar, meldt xxx. Het bedrijf werkt Ondanks de uitgesproken verwachting dat de herstellende componenten horen oplossing maar hoe lang hetofeuvel nog gaat storing opaan heteen transportnetwerk van xxxfirst-line defense te zijn, maar daarna moet veel deOorzaak rootduren is onbekend. dinsdagavond zou zijn opgelost, krijgen adsl- storing xxx nog raadsel cause toch boven water te halen zijn. Het zakelijke helpdesknummer van xxx is onbereikbaar (Novum) - Door een storing bij xxx kunnen abonnees nog steeds geen verbinding. door de drukte. Storingen daardoor momenteel mensen geen gebruikmaken van xxx is nog steeds naarstig op zoekkunnen naar deveel niet de worden doorgegeven. en andere diensten. Ook andere oorzaak van problemen die zich op het internet atmen providers die gebruikmaken transportnetwerk voordoen. Op Radio 1 lietdiensten een woordvoerder van het telecombedrijf wetenvan dathet er centrale transportnetwerk van xxx ondervinden hinder. De problemen zijn in na het bekijken van de loggegevens nieuwe heel isNederland merkbaar, zegt een software geïnstalleerd zal worden. Onduidelijk van xxx. echter nog wanneer de problemen definitiefwoordvoerder zullen zijn verholpen.

Paspoort

Lek in RFID-chip handig voor paspoortdieven Dat de RFID-chip in het Nederlandse paspoort gekraakt is, is al twee jaar bekend. Dit Trend: Risico in ‘business perspectief’ is echter geen probleem voor de veiligheid van het paspoort… Kabinet bestaatmanagement uit stelletje digibeten

is het echter Inzicht in echte risico’s is noodzakelijk. Risico is Volgens perceptieBijleveld en Eerst het drama met de OV-chipkaart en nu is onmogelijk omin persoonsgegevens Hetrisico’s probleem wordt veroorzaakt doorvan de de RFID-chip het management van is daarom afhankelijk stemming van ook algemeen bekend geworden dat het op afstand uit teeen lezen en werken paspoort. Die geeftdoelwit bij juiste vragen, bijvoorbeeld door deNederlandse dag. paspoort een eenvoudig leesapparaat bij de douane, de juisteEuropese antwoorden. landen inmiddels samen van paspoortdieven is, volgens GroenLinksBeter de Wijnand top risico’s identificeren en met van paspoorten Kamerlid Duyvendak schort het en die actief managen, om de veiligheid binnen de politiek aan benodigde men is vergeten dat ook te regelen voor antwoorden regelmaat deze"Maar topde actualiseren verder te vergroten. op Het probleem technische kennis. "Het kabinet lijkt te In de praktijk blijkt dat elk land een eigen verkeerde vragen. met de huidige paspoorten wordt bestaan uit een stelletje digibeten," zo riep hij manier heeft bedacht om met foute codes om te gaan. Analyseer tijdens het debat met staatssecretaris Ank veroorzaakt doordat geen Focus op echtede risico’s voor de en niet opversturen ‘fear, doubt, foutmelding die bedrijfsvoering, je terugkrijgt na het bewust vaner een Bijleveld van Binnenlandse Zaken. afspraken zijn gemaakt over de verkeerde code en je weet uit welk land het paspoort komt," uncertainty’. zegt GroenLinks wil nu dat er een veiliger paspoort foutmeldingen die het paspoort Poll tegenover Trouw. komt. geeft. Hierdoor heeft elk land eigen Risicomanagement: kansaccepteren, van maken codes geïmplementeerd Wat doen we met risico’s: wegnemen, mitigeren, verleggen en kunnen paspoortdieven hierdoor de of kans van maken Paspoortbom nationaliteit van een paspoorthouder Vorig jaar waarschuwde de Londenseachterhalen. Royal Academy of Engineering al dat dit probleem gebruikt kan worden door terroristen, om bommen af te laten gaan als er iemand van een bepaalde nationaliteit in de buurt komt.

2

Misbruik LinkedIn, Hyves, Plaxo… •

•

•

Informatie uit sociale netwerk app’s zoals LinkedIn, Hyves en Plaxo worden steeds vaker misbruikt voor reclame doeleinden en gericht Spam. Ook acquisitie en werving maakt gebruik van deze nieuwe media. Opvallen is dat veel deelnemers zeer openhartig zijn over allerlei prive zaken, en sommige maken zich daardoor ronduit kwetsbaar. Voorbeelden zijn: politieagenten, AIVD-medewerkers en militairen

Onderzoek naar anti-IND-website Internet opportunisten, Sloop de deportatiemachine! boefjes Dat is het motto van een website die zich keert tegen de IND, de Immigratie- en en echte criminelen 1/4 Naturalisatiedienst.

Vier criminelen die via een Trojaans paard de online bankrekeningen van internetgebruikers plunderden, zijn veroordeeld tot zware gevangenisstraffen en boetes. Drie van de vier kregen celstraffen tussen de zes en acht jaar, de vierde die alleen het geld opnam, kreeg 2,5 jaar.

3

Onrust op financiele markten na DOS-attack 2/4 • Een Amerikaanse zakenbank is het doelwit geweest van een DoS-aanval. Volgens de bank is het de eerste keer dat aanvallers erin slagen de servers van een financiële dienstverlener te crashen. De aanval zorgde voor onrust in de toch al gespannen financiele wereld omdat de bank voor klanten via het internet niet bereikbaar of zelfs zichtbaar was. Klanten konden de bank niet bezoeken of aandelen konden verhandelen.

Kwaadaardige software 3/4 Vijf miljoen consumenten opgelicht door anti-virusbedrijf april 2008 12:13 6 april 2008 17:4905 GMT 29A virus-writing gang shuts down De voormalige directrice van that een itZuid-Koreaans anti-virusbedrijf is A notorious virus-writing gang has announced has Marek Strihavka “door Benny” Chech. aangeklaagd wegens het oplichten van consumenten middel ceased its operations. Schrijver van virussen en andere van nepsoftware. De nepscanner van de 41-jarige Lee Shin-ja werd In a posting on 29A’s website, group member VirusBuster kwaadaardige software "Benny" is sinds dan 5 miljoen consumenten gebruikt voor het announced the end of a2005 gangdoor that meer was responsible for opgepakt. Tevens zijn de computers van beschermen huninfected computers. Omvirusschrijversgroep consumenten zover teinkrijgen writing malware such as Cabir van (which Symbian 29A beslag dat ze defirst software kochten, bedrijfHij allerlei popups opweken het mobile phones), Duts (the ever Pocket PCtoonde virus, het genomen. werd een aantal dat defiction machine metHaiku malware besmet was. bizarrely inspired scherm by a science novel), (which geleden door een Tsjechisch antivirusbedrijf in dienst genomen. generated Japanese-style poetry), Stream (which was the Gebruikersofkonden kiezenData of ze de gratis of de betaalde versie first virus to take advantage NTFS dan Alternate EenWindows kleine vierand miljoen Streams), Lindosewilden (whichgebruiken. infected both Linuxmensen kozen voor de Welcomeand to 29A Labs gratis optie, maar die Windows was voorzien computers), Donut (a .NET aware file van spyware waarmee het ### Warning ### surfgedrag werd gemonitord. 1,26 miljoen mensen betaalden 30 infector). This site contains euroviruses, per jaartrojans om deand nietother bestaande dreigingen te verwijderen. software that may damage computer systems. If you don't likeMedia the stuff this site feel free to Portonverdiende hiermee in drie jaar tijd ruim 6 miljoen euro. LEAVE at any moment. =[ Enter ]= Просмотр профиля EugeneSuchkov - Rus

4

Professionalisering computercriminaliteit 4/4 In Amerika is een professioneel opererende bende internetcriminelen opgerold die mogelijk al tien jaar lang via internet gehackte creditcards goederen kocht. De uit zo'n 40 personen bestaande bende, gebruikte vervalste rijbewijzen en creditcards om voor zeker 100 miljoen dollar per jaar aan goederen te kopen, die dan weer via het internet werden verkocht. Dankzij Chinese hackers die de databases van grote winkelketens hackten, wist de bende aan de creditcardgegevens te komen. Niet alleen de creditcardgegevens, ook ontvingen de bendeleden elke maand uit China 3000 Opportunisten, boefjes en echte criminelen zijn overal lege creditcards, waarmee verwoed werd gewinkeld. De aangeschafte goederen werden aangeboden op de van de Trend: Internet wordt steeds meer een afspiegeling website Eastrades.com. ‘gewone’ maatschappij. Internet, midden in de samenleving.

Logisch natuurlijk, maar ons beeld (perceptie dus) is nog steeds: Internet, het nieuwe paradijs. Helaas, de ‘appel’ is al lang gegeten en de slang is los. We hebben nog geen idee van de lengte van de slang, of wat Pandora’s Internetdoos nog voor ons in petto heeft.

Tunnels A73 – problemen met tunnel software Tunnel A73 weer afgesloten door storing DEN HAAG - De A73 is dinsdagochtend omstreeks 07.15 uur tussen Roermond en Venlo in beide richtingen afgesloten door een storing in de Roertunnel. Dat heeft de ANWB gemeld. Sinds de opening van de snelweg ruim een week geleden, treden er geregeld storingen op in de ICTdetectiesystemen van de tunnels bij Swalmen en Roermond. Hierdoor moet de weg steeds worden afgesloten. Kettingbotsing na storing A73-tunnel Strenge eisen07:17 Publicatie: 25/02/08 Rijkswaterstaat wijt 07:20 de voortdurende afsluitingen aan Laatst gewijzigd: 25/02/08

Tunnelvisie software ontwikkelaars

de strenge eisen van de nieuwe tunnelwet. Bij elke in deinsoftware van de veiligheidssystemen Doorstoring een storing het veiligheidssysteen van de gaan de Trend: IT is everywhere Roertunnel vantunnels de A73 onverbiddelijk zijn zondagavonddicht. vier auto's op Degebotst. tunnels van de A73 zijn de eerste die aan de Geen trend maar van alle elkaar nieuwe richtlijnen sprongen voldoen.de Deverkeerslichten andere in Nederland Volgens Rijkswaterstaat voor volgenvan dedekomende jaren. op rood. moeilijk de ingang tunnel plotseling

Camiel Eurlings tijden: OTAP blijft

Enkele auto's konden nog op tijd remmen, maar achteropkomend verkeer zag het te laat en botste op de stilstaande voertuigen. Eén persoon werd ter controle naar de eerste hulp gebracht. Ook vorige week waren er problemen in de tunnel, toen ontstonden er kilometers lange files na een storing bij de tunnel in Swalmen.

5

"Ik kan u beloven dat het de komende jaren beter wordt."

Zorgen over ICT bij Belastingdienst Excuses na nieuwe problemen bij Belastingdienst 28 februari 2008 08:26 naar Belastingdienst nodig' 'Parlementair onderzoek De oorzaak van de fout kwam aan het licht bij een test die half februari is uitgevoerd. Dezevoor kon niet eerder 'AOW-heffing kilometerheffing te veel fiscus' DEN HAAGen - Staatssecretaris Jan Kees de Jager gehouden worden omdat nog onderdelen van het (Financiën) heeft woensdag excuses aangeboden voor verwerkingsproces ontbraken. een nieuwe fout bij de Belastingdienst, waardoor De Jager kondigde woensdag aan dat zo'n test in de 730.000 mensen hun belastingaangifte opnieuw toekomst eerder gehouden moet worden. moeten insturen.

Jan Kees de Jager

De getroffen belastingplichtigen hadden voorgrijpt afgelopen De Jager in na fout met honderdduizenden weekeinde hun aangifte digitaal aangeleverd. aangiftes Omdat dit jaar voor het eerst volledig gebruik27 wordt gemaakt februari 2008van 07:39 DigiD, de digitale inlogcode voor overheidsinstanties, is de software aangepast. Door een foutDEN in het systeem HAAG - Debleek 730.000 digitale afgelopen vrijdag dat alle ingestuurde aangiftes belastingaangiftes die inmiddels zijn onbruikbaar zijn ingediend zijn door een fout in het computersysteem Trend?: De verantwoordingshorizon wordt steedsonbruikbaar geworden. Belastingdienst checkt online profielen korter. Quality bargaining: te veel willen/moeten doen en LinkedIn om De Belastingdienst gebruikt vriendensites als Hyves, Facebook te weinig resources aangiftesmet te controleren.

Keten-afhankelijkheid in vitale infrastructuur Elektriciteitspanne Zuid-Florida treft 4,4 miljoen mensen Stroomstoring Florida was menselijke blunder

Het zuiden van Florida is vandaag getroffen door een gigantische De stroomstoringen in Florida zijn elektriciteitspanne, veroorzaakt veroorzaakt door één medewerker. Dat heeft het elektriciteitsbedrijf Florida doordat vijf reactoren van de Power&Light bekendgemaakt. kerncentrale van Turkey Point in het zuidoosten van de deelstaat het Een monteur veroorzaakte in een onderstation ten zuiden van Miami een hadden begeven. storing bij de inspectie een Trend: van aandacht voor vitale infrastructuren

haperende schakelaar. Het automatische beveiligingssysteem schakelde Veerkracht en de-vitalisering De stroompanne trof 4,4 miljoen vervolgens een kerncentrale en een mensen en zorgde voor chaotische kolencentrale uit. Ook twee andere taferelen op de weg doordat alle centrales ondervonden hinder van de In storing. het zuiden van de Amerikaanse staat Floridaverkeerssignalisatie is (novum/adv) was uitgevallen.

dinsdag op veel plaatsen de stroom uitgevallenVolgens nadat de nieuwszender CNN trof het elektriciteitsbedrijf een kerncentrale wegens deeen panne grote delen van de regio storing had uitgeschakeld. Daardoor ontstond van tijdelijk Daytona Beach tot Palm Beach, een tekort aan stroom, waar ongeveer drie miljoen ten noorden van Miami. (belga/bdr) mensen last van hadden.

6

xxx: OV chip wel veilig 14-4-2008: Het is voor mij van groot belang genoeg voorlopig… helderheid te krijgen over de consequenties die partijen verbinden aan het rapport van de RHUL. Tineke Huizinga: OV-chipkaart is veilig Zoals ik al eerder schreef, schaf ik het NVB pas af Aanvalsplan OV-chip moet voor 'rust' zorgen als ik ervan overtuigd ben dat de reiziger op de OVchipkaart kan vertrouwen. Ik vraag mij in alle ernst af • de ov-chipkaart kan doorwerken met gekraakte chip, of de datum van 1 januari 2009 TLS,chip OV-bedrijven maar moet uiteindelijk wel een andere kiezen. enworden decentrale overheden gelet op de uitkomsten van Ook er meer 'geheime maatregelen' genomen. de rapportages van TNO en RHUL nog haalbaar is. • belangen gebruikers veilig: "Het belangrijkpartijen dat de Ook deze vraag heb ik aan deisbetrokken klant de kaartTrend: accepteert", informatiebeveiliging, risicomanagement, voorgelegd. • introductiedatum 1 januaritechniek 2009 nietenheilig compliance, privacy op de politieke • hackers nooitagenda op OV-chipkaart gericht, maar juist op Hoogachtend, de RFID-tag zelf. dat de meerdere lagendun vangezaaid op Nog Zij eendenkt trend: kennis en ervaring beveiliging met vooral de fraudecontroles in het de plekken waar dat nodig is DE STAATSSECRETARIS VAN VERKEER EN backoffice voldoende zal zijn. WATERSTAAT, • TLS.. noodplan in werking … verwacht ze dat de kaart veilig is. • "IkJ.C. haalHuizinga-Heringa de strippenkaart uitsluitend uit de markt als ik er van overtuigd ben dat er een goede OV-chipkaart ligt."

Trend: Afhankelijkheid en verwevenheid in ketens/parternships neemt toe Hoe te beheersen?

7

Think local – act local Think global – act local Think global – act global Globalisering IT service provision zet door Standaardisatie, prijsdruk, professionalisering processen aan de onderkant (networks, housing, hosting, call centers, standaard app’s) Divers beeld, ruimere marges, professionals aan de bovenkant Vaste versus variabele relaties in rap tempo Keuze: local player, local clients Horizontale of verticale integratie binnen en tussen de ketens

Wereldwijd – compliance • Information risk & security – Now becoming Mandatory for most companies due to new legislation
PROVE to ME – Differentiator: Selection criterion for the public/market: reputation is everything
TELL ME – Enabler for some new products – but ‘accidents happen’
Can I trust you? Aantoonbaarheid compliance Trust me

Tell me

Show me

Prove to me

8

Visie: op weg naar verdere professionalisering De drie speerpunten van Paul 1. Kwaliteit van de professional moet transparant zijn – Erkenning opleidingsniveau – Praktijkervaring – Persoonlijke integriteit, ook van de organisatie – Professionele houding •

Permanente educatie

Leren van fouten 2. Leren van fouten – Cultuurverandering tav delen van (bijna) fouten – Van incident tot leermoment – Iedere fout is al een keer gemaakt – Wegnemen ‘laksheid’ ten aanzien van leren van ervaringen elders – Persoonlijke verantwoordelijkheid – Aanspreekbaar

9

Onafhankelijk toezicht 3. ‘Inspectie’ bij ICT / Informatie ongevallen • •

‘Van Vollenhoven’ Doet aanbevelingen met uitstralen effect voor de hele sector

Conclusie 1/2 DOELEN • De sector moet zich serieuzer nemen – Om erger te voorkomen. – Beveiliging is geen bijproduct

• Zorgvuldiger werken – Lifecycle denken: tussentijdse verantwoording en evaluaties – Echte acceptatie

• Durven leren van elkaar – Best & bad practice sharing – Learning from incidents

• Kaf en koren – Zelfreinigend vermogen van de sector versterken

10

Conclusie 2/2 HOE • Mechanismen voor structurele verbetering – Governance / oversight / gildestructuur

Hier ligt een verantwoordelijkheid voor de beroepsverenigingen

Contact details Dr. ir. Paul L. Overbeek RE OIS Information Risk & Security Management Rivierpad 20 NL 2614 XB Delft 06-53786475 [email protected]

11