INFO
SECURITY MAGAZINE
JAARGANG 18 - MAART 2019 - WWW.INFOSECURITYMAGAZINE.NL
NOG NOOIT WAS SECURITY ZO BELANGRIJK VOOR BANKEN
VEILIG INTERNET BEGINT BIJ ONSZELF
GDPR - AL BIJNA
HONDERDDUIZEND KLACHTEN
NETWERKVERKEER IS NU VOLLEDIG INZICHTELIJK
ICT en Security Trainingen
Want security start bij mensen!! Next Generation Cybersecurity Training
Nieuw in 2019
TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatie beveiliging-, cybersecurity en privacy trainingen.
• Extreme Hacking NextGen tm • Cybersecurity Compliance Officer • Cybersecurity Specialist
Top 10 Security trainingen CEH • OSCP • CCSP • CCFP • CISSP • C|CISO • CRISC Privacy CIPP/E-CIPM • CISM • ISO 27001/27005/31000
• Certified Chief Innovation Officer • Red team vs Blue team
of t h e Ye a ATC r
Instructor
ident’s Achievemen Pres Award t
2017
2017
2016
TSTC Accredited Training Center of the Year 2017
Circle of Excellence Instructor 2017
2017
www.tstc.nl
Recognition for Best ATC’s and CEI’s
EDITORIAL: ROBBERT HOEFFNAGEL
COLOFON Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatie beveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@vakbladen.com. Abonnementen kunnen iedere maand ingaan en worden jaarlijks automatisch verlengd. Opzeggingen, uitsluitend schriftelijk, dienen uiterlijk twee maanden voor het einde van de abonnementsperiode in ons bezit te zijn.
Virtualiseer uw CISO De ICT-sector is natuurlijk wel bekend met een overspannen arbeidsmarkt. Vraag en aanbod zijn zelden goed op elkaar afgestemd. Lastig als je developers nodig hebt om snel een nieuw product of nieuwe dienst in de markt te zetten. Maar het kan rampzalig zijn als het gebrek aan goede medewerkers een cruciale functie binnen de organisatie treft als IT-security. Externen inhuren, zegt u? Goed idee! Als zij tenminste wél over voldoende mensen beschikken om u te helpen.
Uitgever Roeland Dobbelaer
Hoofdredacteur Robbert Hoeffnagel +31 (0)6 - 51 28 20 40 robbert@alibi.nl
Advertentie-exploitatie Jos Raaphorst +31 (0)6 - 34 73 54 24 j.raaphorst@archermedia.nl
Redactie-coördinatie Ab Muilwijk
Abonnementen abonnementen@vakbladen.com +31 (0)88 -22 666 80
Vormgeving Content Innovators, Den Haag
Druk Veldhuis Media B.V., Raalte Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.
Meer informatie: www.infosecuritymagazine.nl Infosecurity Magazine is een uitgave van
Cylance zoekt het in AI. Of beter gezegd: in een virtuele CISO. Het idee ligt natuurlijk voor de hand: als AI-technologie in staat is om onderwerpen in foto’s te herkennen, nuttige patronen uit data lakes te halen, dan zouden we toch ook mogen verwachten dat een grote hoeveelheid kennis over ICTsecurity door een AI engine ontsloten kan worden, zodat we er optimaal gebruik van kunnen maken? Misschien heeft u gelijk. Een fascinerend idee is het in ieder geval wel. vCISO - zoals de dienst heet - is gebaseerd op een groot aantal frameworks, standaarden en compliance-regels van onder andere NIST, ISO/IEC en SANS. Volgens de leverancier is het daarmee mogelijk dat vCISO veel dagelijkse vragen beantwoordt. Door de AI engine bovendien te combineren met automation tools is het ook nog eens mogelijk om op basis van die analyses en antwoorden tevens concrete taken uit te voeren. Het idee hierachter is eigenlijk klassieke automatisering. Als we nu eens de veelvoorkomende taken en opdrachten door een ‘apparaat’ laten overnemen, dan kunnen we de schaars beschikbare menselijke kennis, creativiteit en improvisatievermogen inzetten voor die klussen waar daadwerkelijk het verschil wordt gemaakt. Dat kunnen bijvoorbeeld die business-projecten zijn waar het bedrijf wil excelleren. Of waar men de concurrentie voor denkt te zijn en er dus veel commercieel succes te behalen valt.
De vraag is alleen wel hoe we de klassieke fouten die gemaakt zijn bij outsourcing ditmaal kunnen voorkomen. Bij veel - laat ik zeggen - eerste generatie outsourcingprojecten werd zo radicaal veel aan een leverancier overgedragen, dat de eigen organisatie nauwelijks meer in staat was om te beoordelen of die externe partij zijn werk eigenlijk wel naar behoren deed. En als we tekortkomingen zagen, hoe konden we dan die outsourcing-partij - waar we inmiddels met handen en voeten aan gebonden waren - zover krijgen dat hij wél dat deed wat we nodig hadden, zonder dat hier meteen een enorme factuur tegenover stond? Anders gezegd: als we veel dagelijkse taken aan een visuele CISO gaan overlaten, hoe controleren we dan of dat werk wel naar behoren wordt gedaan? Hoe blijven we als organisatie baas over onze security-aanpak? Zijn daar tools of methoden voor? Of gaan we het proefondervindelijk vaststellen? ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 3
Inhoud
INFOSECURITY MAGAZINE NUMMER 1 - MAART 2019 - JAARGANG 17
10 Investeringen in privacy leveren businessvoordelen op
16
12 ‘Het netwerkverkeer is nu volledig inzichtelijk’ Ellips levert software voor de inspectie van groente en fruit. Dat is het kroonjuweel van het bedrijf. “Dan wil je precies weten wie daar toegang toe heeft”, zegt Sander van de Plas, IT Manager bij Ellips. Voor het verkrijgen van dat inzicht installeerde Ellips enkele security-appliances.
14 ‘Machine indentities dienen veel beter beschermd te worden’ 16 Cloud vraagt om nieuwe vorm van escrow 19 TNO en NetDialog starten onderzoek naar security 20 Vijf concrete tips voor DevOps en security 22 Te weinig middelen om doelstellingen te verwezenlijken 24 Veilig internet begint bij onszelf 26 Informatieveiligheid: een kwestie van gedragsverandering? 28 Hoofdrol voor security en cloud in nieuwe oplossingen 30 Mkb legt verantwoordelijkheid cybersecurity bij ICT-dienstverlener 32 ‘AI moet zijn werk kunnen verklaren en verantwoorden’ 34 ‘Nog nooit was security zo belangrijk voor banken’ Met PSD2 en de komst van de grote tech-giganten staat de banken een roerig jaar te wachten. Security speelt hierin een absolute hoofdrol. Klanten eisen een goede maar gebruikersvriendelijke aanpak van beveiliging, terwijl een misstap tot een publiek schandaal kan leiden die juist de gevreesde tech-giganten in de klaart kan spelen. Will LaSala, OneSpan’s Director of Security Services, benoemt vijf security-issues die de komende periode van cruciaal belang zullen zijn voor banken.
42 Een veilig netwerk, hoe doe je dat? 4 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
12
24
32
34
06
GDPR - AL BIJNA 100.000 KLACHTEN
Tijdens de jaarlijkse Data Protection Day heeft de Europese Commissie in een gezamenlijke verklaring een status update gegeven over de impact van de General Data Protection Regulation. Volgens deze verklaring is acht maanden na de inwerkingtreding van de Algemene Verordening Gegevensbescherming op 25 mei 2018 de Europese Commissie erg trots om de sterkste en meest moderne regels voor gegevensbescherming ter wereld te hebben.
22
38
VEILIGHEIDSMENTALITEIT IS ONONTBEERLIJK
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 5
GDPR
Onderzoek Europese Commissie toont aan:
GDPR - al bijna 100.000 klachten Tijdens de jaarlijkse Data Protection Day heeft de Europese Commissie in een gezamenlijke verklaring een status update gegeven over de impact van de General Data Protection Regulation. Volgens deze verklaring is acht maanden na de inwerkingtreding van de Algemene Verordening Gegevensbescherming op 25 mei 2018 de Europese Commissie erg trots om de sterkste en meest moderne regels voor gegevensbescherming ter wereld te hebben.
De Facebook en Cambridge Analytica-zaak en de vele recente datalekken hebben aangetoond dat zij het juiste doen om uw privacy te bewaken. Waar het om gaat, is niet alleen de bescherming van onze privacy, maar ook de bescherming van onze democratieën en de waarborging van de duurzaamheid van onze data gedreven economieën volgens eerste vice president Frans Timmermans. 6 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
Sinds de inwerkingtreding van de Europese data beschermingsregels in mei vorig jaar hebben de nationale privacywaakhonden in de Europese Unie al meer dan 95.000 klachten ontvangen van burgers. Maar wat zijn nu juist die klachten en waar komen ze vandaan? En wat zijn volgens de Data Protectionautoriteiten de meest voorkomende datalekken? We zetten een aantal zaken eens op een rijtje:
‘Het gaat niet alleen om de bescherming van onze privacy, maar ook om de bescherming van onze democratieën’
GDPR Compliance Het aantal meldingen (zie figuur 1) sinds de inwerkingtreding op 25 mei 2018 is vooral in de laatste maanden spectaculair toegenomen en hieruit kunnen we afleiden dat de bewustwordingscampagne maar zeer traag op gang is gekomen met betrekking tot de rechten van de betrokken burgers. (Data Subject Rights) Meest voorkomende soorten klachten Het is dan ook niet verwonderlijk dat de meeste klachten die de burgers neerleggen aangaande hun Privacy komen van de activiteiten van telemarketing en e-mail promoties (zie figuur 2). Maar ook camera’s voor videobewaking worden als ergernis
Figuur 1. Het aantal meldingen.
genoteerd, ondanks dat hiervoor al langer een privacywetgeving bestaat met strikte regels.
Meldplicht Ook het melden van een datalek roept nog steeds vele vraagtekens op en de verplichting om binnen 72 uren het lek te melden zal voor problemen blijven zorgen binnen de organisaties. Veel bedrijven zijn nog steeds niet klaar met hun inventarisatie van waar de tot een persoon herleidbare gegevens zich bevinden binnen en buiten de organisatie (Data Register).
Handhaving van de regels binnen de EU Als we naar het aantal klachten kijken, is de verhouding tussen de verschillende
Gegevens Beschermingsautoriteiten per land binnen de Europese Unie in stijgende lijn (zie figuur 3). Kortom er zal meer moeten worden samengewerkt tussen de beschermingsautoriteiten (DPA) onderling over de landsgrenzen heen.
Boetes Waar men eerder bang voor was sinds de invoering van GDPR blijkt in verhouding met het aantal klachten nog wel mee te vallen, want er zijn tot op heden slechts drie boetes uitgereikt aan die bedrijven die in overtreding waren (zie figuur 4). Wellicht heeft dit ook te maken met de trage start van sommige beschermingsautoriteiten in de Europese landen en moet de machine nog op gang komen?
Figuur 2. Meest voorkomende klachten.
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 7
GDPR
Figuur 3. Er moet meer worden samengewerkt.
Bewustwording en media-aandacht Dankzij de ruime media-aandacht en de vele bewustwordingssessies door middel van seminars en doelgerichte events rondom het thema ‘privacy’wetgeving’ stond GDPR hoog op de agenda bij vele organisaties. Tijdens de piekmaand van vorig jaar mei werd de term ‘GDPR’ meer gezocht op Google dan de Amerikaanse supersterren Beyoncé en Kim Kardashian (zie figuur 5).
Figuur 4. De boetes tot nu toe.
Ondanks deze bewustwording met betrekking tot de nieuwe Privacy wetgeving is er nog veel werk aan de winkel en dit zal nog wel enige tijd in beslag nemen. Vooral de bedrijven die nu nog moeten beginnen om in orde te zijn met de GDPR zullen een tandje moeten bijsteken, want vroeg of laat zal de burger via de nationale privacywaakhonden ook bij hen aankloppen om hun recht op privacy te laten gelden. Ik ben benieuwd of de jaarlijkse Databeveiligingsdag de erkenning bij zowel bedrijven als de consument zal laten toenemen en men de GDPR werkelijk zal omarmen. Zal ongetwijfeld worden vervolgd. PETER WITSENBURG is GDPR-expert en cloud broker
‘Tijdens de piekmaand van vorig jaar mei werd de term ‘GDPR’ meer gezocht op Google dan de Amerikaanse supersterren Beyoncé en Kim Kardashian’ 8 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
Figuur 5. Meest gebruikte zoekwoorden.
CERTIFICERING EN TRAINING
ALS HET GOED IS, IS HET GOED. Maar verbetering zit in een klein hoekje.
Certificeren? Dan moet u voldoen aan de norm. DNV GL toetst u snel en goed. Maar iedereen houdt van opstekers, niet van standjes. Daarom kijken we bij certificering ook naar wat goed gaat en zelfs nog beter kan. Op die gebieden die voor uw bedrijf of organisatie belangrijk zijn. Aandachtspunten waarop u zélf beoordeeld wilt worden. Certificering die net even verder voert. Want verbetering zit in een klein hoekje. U kunt ons bereiken via 010 2922 700 of www.dnvgl.nl
SAFER, SMARTER, GREENER
Stappenplan ISO 27001/NEN 7510 Download kosteloos de whitepaper 'Stappenplan naar informatiebeveiliging' www.dnvgl.nl/whitepapers
ONDERZOEK CISCO
Vertragingen door klantzorgen rond privacy gehalveerd
Investeringen in privacy leveren
business-voordelen op
Organisaties die investeren in het verbeteren van hun omgang met privacy ondervinden tastbare businessvoordelen van deze investeringen, blijkt uit de 2019 Data Privacy Benchmark Study van Cisco. Het onderzoek bevestigt de link tussen een goede omgang met privacy en zakelijke voordelen zoals kortere verkoopcycli en minder - en minder kostbare - datalekken.
De Algemene verordening gegevensbescherming (AVG) is gericht op een betere bescherming van de privacy en de persoonlijke data van EU-burgers. De AVG werd in mei 2018 van kracht. Wereldwijd hebben organisaties zich voorbereid op de AVG. In het onderzoek van Cisco geeft 59 procent van de organisaties aan, dat voldaan wordt aan de meeste of aan alle vereisten. Verder stelt 29 procent vast dat niveau binnen een jaar te bereiken, terwijl 9 procent aangeeft daar meer dan een jaar voor nodig te hebben.
Serieus nemen “Organisaties nemen privacy nu serieus. Data zijn de nieuwe valuta en we zien dat organisaties daadwer kelijk zakelijke voordelen zien van hun investeringen 10 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
in het beschermen van hun data”, zegt Michelle Dennedy, Chief Privacy Officer van Cisco. “Wij geloven absoluut dat zowel het beschermen van klanten als het aanjagen van zakelijk succes mogelijk is door het maximaliseren van de waarde van data en het minimaliseren van risico.”
Zorgen maken Klanten maken zich in toenemende mate zorgen of de producten en services die zij gebruiken passende privacybescherming bieden. De organisaties die hebben geïnvesteerd in dataprivacy om aan de AVG te voldoen, merken dat de duur van de vertragingen in hun verkoop vanwege privacy-zorgen bij klanten is afgenomen: 3,4 weken versus 5,4 weken voor organisaties die niet of nauwelijks klaar zijn voor de
‘AVG leidt daadwerkelijk tot minder datalekken’
AVG. De gemiddelde vertraging in de verkoop aan de huidige klanten was 3,9 weken, een forse daling ten opzichte van de vertraging van 7,8 weken die een jaar geleden werd gerapporteerd.
Minder lekken Organisaties die voldoen aan de AVG zeggen ook minder datalekken te hebben en, áls ze een datalek hebben, dat er minder records zijn getroffen en dat de uitval van systemen korter is. Ook was de kans op significant financieel verlies na een datalek flink lager. Daarnaast geeft driekwart van de respondenten aan dat zij meer algemene voordelen van hun privacy-investeringen ondervinden. Genoemd worden een grotere slagkracht en meer innovatief vermogen doordat zij over passende data controls beschikken. Ook realiseren zij meer concurrentievoordeel en operationele efficiency doordat zij hun data georganiseerd en gecategoriseerd hebben.
Bevindingen Meer dan 3.200 security- en privacyprofessionals uit 18 landen in de belangrijke bedrijfstakken hebben deelgenomen aan het onderzoek. De belangrijkste bevindingen zijn: • 87 procent van de bedrijven heeft te maken met vertragingen in de verkoopcyclus vanwege privacyzorgen bij (potentiële) klanten. Vorig jaar bedroeg dat percentage 66
procent. Dit verschil is waarschijnlijk veroorzaakt door het toegenomen privacy-bewustzijn door de komst van de AVG en door de vele datalekken die in het nieuws zijn geweest. De vertragingen die nu gemeld werden zijn gemiddeld echter flink korter (3,9 weken) dan vorig jaar (7,8 weken). • Afhankelijk van het land varieerden de vertragingen van 2,2 tot 5,5 weken. Langere vertragingen zien we in gebieden met strenge privacy-eisen, of waar die in de maak zijn. • Verkoopvertragingen kunnen leiden tot het niet halen van omzet-targets. Ook kan uitstel leiden tot afstel: de klant besluit uiteindelijk niets te kopen of kiest voor een concurrent. • De belangrijkste redenen voor de vertragingen zijn: beantwoorden van privacy-vragen van klanten, vertalen van privacy-informatie in de taal van de klant, informeren van klanten over de privacy-aanpak van de organisatie en het opnieuw ontwerpen van produc ten om aan de privacy-behoeften van de klant te voldoen. • Slechts 37 procent van de bedrijven die aan de AVG voldoen had te maken met een datalek die meer dan 500.000 dollar kostte, vergeleken met 66 procent van de organisaties die het minst aan de AVG voldoen. VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 11
PRAKTIJK
Ellips implementeert Firebox-appliances en AuthPoint van WatchGuard
‘Het netwerkverkeer is nu volledig inzichtelijk’ Ellips levert software voor de inspectie van groente en fruit. Dat is het kroonjuweel van het bedrijf. “Dan wil je precies weten wie daar toegang toe heeft”, zegt Sander van de Plas, IT Manager bij Ellips. Voor het verkrijgen van dat inzicht installeerde Ellips enkele security-appliances van WatchGuard Technologies. Of het nu gaat om snackkomkommertjes van de Lidl, appeltjes van de Jumbo of Klasse A-spruitjes, grote kans dat ze zijn geïnspecteerd met de software van het Nederlandse Ellips. “We beoordelen 21 soorten groenten en fruit op zowel de externe als interne kwaliteit”, vertelt Van de Plas. “We kijken naar de kleur, afmetingen en het gewicht, maar ook of bijvoorbeeld een appel niet te zacht is van binnen.” Zelfs de steeltjes ontkomen niet aan een controle. “Het gaat vrij ver.” 12 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
Ellips uit Eindhoven levert zijn software en camera’s aan machinebouwers en boeren wereldwijd. Die plaatsen de hard- en software op bijvoorbeeld sorteermachines en landbouwvoertuigen. “Wij leveren onder andere de software die we zelf ontwikkelen, de licenties en de software-updates.” Netwerkbeveiliging is daarbij erg belangrijk. “We willen natuurlijk niet dat die software illegaal wordt gedownload, of dat exploits vat krijgen op onze licentieserver die via het internet is te benaderen.”
Inzicht ontbrak “We willen weten wie toegang heeft tot onze netwerken, vanaf welke locatie en wanneer”, vervolgt Van de Plas. Precies aan dat inzicht ontbrak het. “We hadden acht routers staan met daartussen verschillende netwerken, zonder inzicht in het verkeer dat via die routers ging of inzicht in het internetgebruik en wat er zich tussen de netwerken afspeelde.”
‘We willen weten wie toegang heeft tot onze netwerken, vanaf welke locatie en wanneer’
“We konden totaal niet zien wat er gebeurde”, zo vat de IT Manager van Ellips de situatie samen. Netwerkinstabiliteit en verschillende security-incidenten waren het gevolg. “Zo was op een router op een externe locatie recent een exploit actief die gebruikers wilde besmetten met een cryptominer voor het delven van Ethereum-munten. Dat zorgde weer voor een trage internetverbinding. Werken via die router was bijna niet mogelijk.”
Multifactorauthenticatie
Volledig inzichtelijk
Maar volgens Van de Plas was er nog een andere belangrijke reden om voor WatchGuard te kiezen. “WatchGuard kon ons ook AuthPoint leveren, een cloudgebaseerde oplossing voor multifactorauthenticatie. We gebruiken deze oplossing voor de medewerkers die veel op reis zijn. Bij diefstal of verlies van een laptop wil je niet dat bijvoorbeeld de software van Ellips toegankelijk is voor onbevoegden.”
De implementatie van de nieuwe WatchGuard-omgeving verliep volgens Van de Plas vlekkeloos. “Samen met onze partner COM4 Automatisering hebben we de firewalls in twee weken tijd geïmplementeerd. Daarna moesten we nog veertien firewallregels aanpas sen, dus dat viel erg mee. WatchGuard had onze medewerkers al voorbereid op de nieuwe beveiligingsoplossing.”
Degelijke firewall
AuthPoint beveiligt die toegang met een extra inlogmiddel naast gebruikersnaam en wachtwoord. De gebruiker ontvangt die ‘tweede factor’ via de speciale AuthPoint-app (zie ook het kader). Die app maakt onder andere gebruik van pushmeldingen, eenmalige wachtwoorden of QR-codes voor degenen zonder internetverbinding.
Nog voordat dit incident plaatvond, had Ellips een externe partij ingeschakeld voor het uitvoeren van een securityassessment. Uit dit beveiligings onderzoek bleek dat zowel de security als de compliance met wet- en regelgeving ondermaats waren. De aanbeveling in het rapport was volgens Van de Plas duidelijk. “Ga maar eens op zoek naar een degelijke firewall.” Dat werd de WatchGuard Firebox M470, aangevuld met een WatchGuard Firebox M270 voor het Amerikaanse deel van het netwerk. Daarnaast installeerde Ellips nog twee ‘tabletop appliances’: de WatchGuard Firebox T35 en T55. Van de Plas: “We hebben voor de Total Security Suite gekozen met daarin alle opties. De Firebox-systemen bieden ons naast een firewall ook zaken als DNS-security, applicatiebeveiliging en antispam.” De geboden prijs-prestatieverhouding was voor Ellips een belangrijke reden om voor WatchGuard Technologies te kiezen. Het bedrijf uit Eindhoven heeft nu een ‘high availability’-cluster waarin een tweede firewall altijd in een actieve stand-bymodus staat. “Bij een andere leverancier waren we daarvoor veel meer geld kwijt geweest”, weet Van de Plas.
De eerste ervaringen van Ellips met de nieuwe Fireboxes van WatchGuard zijn erg positief. “We hebben nu bijvoorbeeld inzicht in hoe vaak onze licentieserver wordt gescand op internet en hoeveel hackpogingen er plaatsvinden. Het verkeer dat over onze netwerken loopt, is volledig inzichtelijk. En daar was het ons allemaal om te doen.” VAN DE REDACTIE
MFA voor het mkb Vooral binnen het mkb is multifactorauthenticatie (MFA) nog geen gemeengoed. Terwijl keer op keer blijkt dat de traditionele manier van inloggen niet meer voldoet in de digitale economie. Cybercriminelen passen allerlei social engineering-trucs toe om inloggegevens te verkrijgen. Regelmatig komen miljoenen gebruikersnamen en wachtwoorden op straat te liggen na een hack. Met een extra authenticatiefactor kunnen organisaties de risico’s fors verkleinen. “MFA is dus een cruciaal onderdeel van elke securitystrategie”, stelt Martijn Nielen, senior sales engineer bij WatchGuard Technologies. “Maar deze technologie was lange tijd alleen toegankelijk voor grote bedrijven. De hoge kosten, complexe integratieprocessen en beheerissues vormden een belangrijk obstakel voor kleinere organisaties.” AuthPoint maakt een einde aan deze tweedeling. “Elke organisatie is tegenwoordig een potentieel doelwit. Wij vinden het oneerlijk dat alleen de kapitaalkrachtigste bedrijven kunnen beschikken over security van topniveau. Daarom is AuthPoint niet alleen eenvoudig in beheer en gebruik, maar ook zeer betaalbaar.”
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 13
INTERVIEW
Jeff Hudson, CEO van Venafi:
‘Machine identities dienen veel beter
beschermd te worden’
Dat zelfs de landelijke televisiejournaals er aandacht aan besteden is een duidelijk signaal dat er veel mis is met de beveiliging van het Internet of Things. “Het probleem is dat veel IT-afdelingen nog niet goed weten hoe zij ‘machine identities’ afdoende kunnen beschermen tegen misbruik door cybercriminelen”, vertelt Jeff Hudson, CEO van Venafi, in een interview. Daarmee komt niet alleen IoT in gevaar, maar in feite onze gehele digitale economie, stelt hij. Voor Venafi was dat aanleiding om het zogeheten Machine Identity Protection Development Fund in het leven te roepen.
Hudson kan het niet goed begrijpen. Waarom investeren we als overheden en bedrijfsleven wereldwijd meer dan 8 miljard dollar per jaar aan het beschermen van de menselijke gebruikers in net werken? Maar trekken we tegelijkertijd nauwelijks budget uit voor het beveiligen van machines.
Twee actoren “In een netwerk hebben we te maken met twee - laat ik ze maar noemen - actoren: mensen en machines”, vertelt Hudson. “Mensen maken gebruik van inlog namen en wachtwoorden om zichzelf te identificeren bij machines. Doen zij dat op correcte wijze, dan krijgen zij toegang tot netwerken en data. Machines dienen zich uiteraard ook te identificeren bij elkaar. Maar dat doen zij niet aan de hand van inlognamen en wachtwoorden, maar met certificaten en sleutels.” “We weten allemaal dat het aantal machines in netwerken zeer sterk groeit. Wat ik echter niet begrijp is dat we jaarlijks miljarden uitgeven aan het beschermen van de menselijke actoren in netwerken, maar bijna niets investeren in security voor machines. Criminelen realiseren zich dit maar al te goed. Zij steken steeds meer tijd, energie en geld in het stelen van wat we maar ‘machine identities’ zullen noemen. Dat gebeurt terwijl ze daarnaast ook doorgaan met het bemachtigen van menselijke identiteiten. Want laten we duidelijk zijn: alle identiteiten zijn waardevol en dus aantrekkelijke doelwitten.” 14 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
Development-fonds Veel bedrijven en overheidsorganisaties lijken zich nog onvoldoende te realiseren, hoe waardevol machine identities zijn en welke risico’s zij lopen als zij deze niet voldoende beschermen. “Dat is heel gevaarlijk, want daarmee loopt onze gehele digitale economie gevaar”, meent Venafi’s CEO. “Daarom hebben we het Machine Identity Protection Development Fund opgezet. Dit fonds is gericht op het sneller integreren van intelligentie voor machineidentiteiten in allerlei apparatuur en machines binnen bedrijven.” Het fonds beschikt momenteel over 12,5 miljoen dollar. Developers, consultants, system integrators, start-ups en cybersecurity-leveranciers kunnen een beroep doen op deze middelen voor het bouwen van integraties die machine identities beter beschermen. Het doel dat Venafi met dit fonds nastreeft, zo licht Hudson toe, is dat zoveel mogelijk organisaties ‘machine identity intelligence’ in hun oplossing inbouwen, ongeacht de vraag hoe de rest van de technologie-infrastructuur van hun systeem of omgeving eruitziet.
Gebrek aan beveiliging “Ik zie drie belangrijke ontwikkelingen waar we dit jaar mee te maken zullen hebben en die hebben allemaal te maken met machine identities. Allereerst zien we nu al een explosieve groei van het aantal IoT-apparaten en een sterk toenemend gebruik van
‘Het beveiligen van machine identities moet sneller en zal geautomatiseerd moeten worden’
cloud. Daardoor groeit dus ook het aantal machine identities in het netwerk enorm. Voor het komende jaar verwacht ik dat die groei alleen nog maar zal versnellen. Kijk maar naar de voor spelling van Gartner dat in 2020 - dat is dus volgend jaar - al meer dan 20 miljard IoT-apparaten in gebruik zullen zijn. Voor de beeldvorming: dat is twee maal zoveel als nu.”
Jeff Hudson, CEO van Venafi: “Het Machine Identity Protection Development Fund is gericht op het sneller integreren van intelligentie voor machineidentiteiten in allerlei apparatuur en machines binnen bedrijven.”
Een tweede trend die Hudson hier genoemd wil hebben, is de variatie in machine identities die beschermd zullen moeten worden. “Die variatie wordt groter en groter. Het aantal soorten en typen zal drastisch toenemen. Neem alleen al de adoptie van AI en bijvoorbeeld blockchain. Hierdoor krijgen we te maken met almaar complexer wordende risico’s rond het beveiligen van machine identities. Dat zal allemaal op de een of andere manier beheerd moeten worden.”
Dramatische toename Een derde trend die hij wil noemen is snelheid. “Het beveiligen van machine identities moet sneller. Zeker nu we zien dat de adoptie van DevOps sterk doorzet. Daardoor wordt het voor developers vrijwel onmogelijk om SLA’s te onderhouden en policies rond het beveiligen van machine identities te creëren. Dit hele proces zal geautomati seerd moeten worden.” “Daarnaast verwachten wij - maar dat is eigenlijk een optelsom van de drie trends die ik genoemd heb - een verdere toename van het aantal cyberaanvallen waarbij gebruik wordt gemaakt van versleuteld verkeer. Dit type aanvallen nam de afgelopen jaren al sterk toe en voor de komende jaren verwacht ik een verdere groeiversnelling. Er is nu eenmaal sprake van een toegenomen complexiteit, snelheid, omvang en - zeg
maar ‘capabilities’ van machines en hun identiteiten. Dat zal leiden tot een dramatische toename van het aantal aanvallen.”
Europese partners Hudson wil graag benadrukken dat het eerder genoemde ontwikkelfonds ook voor Europese partijen open staat. “We hebben nu afspraken gemaakt met drie bedrijven: twee in Europa en één in de VS. Jetstack en OpenCredo zijn afkomstig uit de UK, terwijl Cygnacom Amerikaans is. Ik verwacht dat we binnenkort nog een aantal namen bekend kunnen maken.” De Venafi-voorman heeft een duidelijk beeld voor ogen wat hij met het fonds wil: “We richten ons nadrukkelijk op zowel nieuwe omgevingen als op legacy-systemen. Ik verwacht dat developers zich zullen concentreren op integraties met DevOps-tools en -frameworks. Maar ik ga er ook vanuit dat er de nodige integraties tot stand zullen worden gebracht met cloud providers en met providers van visualisatie-tools.” Maar denk ook aan de kansen die er liggen als we integraties tot stand brengen met Mobile Device Management, Next Generation Firewalls, IT Security Management, mainframe providers en bijvoorbeeld Secure Shell (SSH), geeft hij aan. Bovendien is het van cruciaal belang dat we via het fonds ‘machine identity protection’ kunnen inbouwen in nieuwe technologieën als blockchain, IoT, artificial intelligence en machine learning. Laten we bovendien code signing niet vergeten, zegt Hudson. ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 15
ESCROW
Wat te doen als het Service Level van uw SaaS-partner plotsklaps 0,00% is?
Cloud vraagt om nieuwe vorm van escrow Het gebruik van SaaS (Software as a Service) verandert het risicoprofiel van de organisatie. Traditionele software-escrow past niet bij de karakteristieken van SaaS. Broncode-depot is geen oplossing, omdat je weinig aan de software hebt zonder de systemen waarop deze draait. En die staan ergens in de cloud. Een goede op SaaS gerichte escrow zorgt ervoor dat de gebruiker toegang krijgt tot de software, de systemen ĂŠn de data.
16 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
Escrow is de regeling waarbij intellec tueel eigendom (bijvoorbeeld de broncode van software) ter bescherming van de gebruiker wordt gedeponeerd bij een derde partij. Deze aanpak heeft in de ‘oude’ economie haar waarde duidelijk bewezen. Maar in de wereld van cloud services voldoet traditionele software-escrow niet meer. SaaS is wezenlijk anders dan software die on-premise bij de gebruiker draait.
Traditionele aanpak Toen IT en software steeds belangrijker werden voor het voortbestaan van bedrijven, ontstond de behoefte om de risico’s af te dekken die voortkomen uit het mogelijk uitvallen van informatie systemen. Business continuity werd een belangrijk onderwerp op de agenda van de CIO. Security, redundancy, SLA’s, hoge beschikbaarheid - het zijn net als escrow allemaal begrippen en concepten uit de wereld van business continuity. Escrow beantwoordt de vraag hoe de organisatie zich kan indekken tegen het in het ongerede raken van de software leverancier, bijvoorbeeld bij een faillissement. Doel van software (broncode)-escrow is het kunnen voortzetten van het onderhoud van de software die op de eigen servers (on-premise) draait en waar licenties voor zijn afgenomen. De software leverancier deponeert op gezette tijden zijn software-broncode bij de escrowagent. Deze stelt de code onder vooraf afgesproken condities ter beschikking aan de gebruiker, zodat deze de software kan blijven onderhouden.
SaaS en cloud Nu steeds meer bedrijven hun IT naar de cloud brengen en hun software bij voorkeur As a Service afnemen, is een nieuwe situatie ontstaan. Softwareescrow heeft geen antwoord op die nieuwe situatie. Immers, wat heb je aan softwarecode als je geen toegang meer hebt tot je data? En je kunt als gebruiker wel back-ups hebben van je data of deze synchroniseren, maar data krijgen pas betekenis in de context die software aan ze geeft. Die software is dus noodzakelijk. Zonder de systemen waar de software op draait, heb je er niets aan. Zelf knutselen is geen optie. Het opbouwen en in de lucht houden van een IT-omgeving voor
bedrijfskritische SaaS-software is een tijdrovende uitdaging. En die tijd is er niet, de onderneming moet doordraaien. In de realtime business die elk bedrijf tegenwoordig is, kun je geen dag uit de lucht zijn en kun je niet werken met informatie die verouderd is.
SaaS-escrow Om deze problematiek het hoofd te bieden, is SaaS-escrow in het leven geroepen. Saas-escrow waarborgt niet alleen de beschikbaarheid van de functionaliteit, maar ook het gebruik van de software en de toegang tot de data. Dat lukt door de hosting- of housingpartij waar de software is onder gebracht, in de regeling op te nemen. Als de SaaS-leverancier in gebreke blijft, krijgt de klant toegang tot de systemen die bij de hosting provider staan opge steld, inclusief de software en zijn data. In tegenstelling tot de generieke software-Escrow is SaaS-escrow dus maatwerk. Elke situatie is immer anders. De hosting-partij moet bovendien meewerken. Dat kan een uitdaging zijn als deze zich in het buitenland bevindt of een public cloud provider is. De ene cloud provider is coöperatiever dan de andere.
Urgentie Een ander groot verschil is de urgentie, die bij software-escrow minder is. De gebruiker kan blijven doorwerken, ook als de softwareleverancier in gebreke blijft. De software draait immers on-premise. Alleen is onderhoud niet meer mogelijk zonder toegang tot de broncode. Dat probleem lost softwareescrow recht-toe-recht-aan op door de broncode te verstrekken. De gebruiker kan dan zelf onderhoud (laten) doen en heeft daar ook de tijd voor. Een derde verschil is de technische kant van de zaak. Bij SaaS-escrow krijgt de gebruiker geen broncode, maar een basisdocument met daarin informatie over de admin-rechten voor de servers en de software, welke IP-adressen whitelisted moeten zijn, de encryptie sleutels, de API’s, informatie over de precieze locatie in het datacenter, welke systemen daar staan, hoe je erbij komt. Denk verder aan informatie over de architectuur, over remote onderhoud, over patching en wachtwoorden.
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 17
Escrow
Deze basisinformatie heeft dezelfde vertrouwelijkheidsgraad als de broncode in het geval van software-escrow. De informatie moet doorlopend worden geactualiseerd. De escrow-agent ziet erop toe dat dit gebeurt en test regelmatig of alles klopt.
Universele aanpak SaaS-escrow Omdat elke situatie anders is, is de huidige praktijk van SaaS-escrow dat iedereen zijn eigen benadering kiest. Dat maakt het voor alle betrokken partijen lastig om al die uiteenlopende benade ringen te valideren en eraan tegemoet te komen. Als de SaaS-leverancier voor de ene klant informatie op een bepaalde manier moet aanleveren en voor een andere op een geheel andere wijze, maakt dat het bewilligen in SaaS-escrow minder aantrekkelijk. De hosting-partijen hebben ook weinig zin om voor iedere gebruiker een andere afspraak te moeten maken. Het is beter om maatwerk te leveren door standaardmodules te combineren tot een oplossing die voor een specifieke situatie werkbaar is. Dat kan, want de componenten zijn al ontwikkeld. De met hosting providers te maken afspraken zijn bijvoorbeeld al geformaliseerd. Een belangrijk aspect van cloud en SaaSdelivery is standaardisatie van de diensten. Ook in SaaS-escrow moeten we toe naar standaardisatie. Gelukkig zien de serieuze escrow-aanbieders hier het belang van in.
Tips voor gebruikers • Kijk bij de keuze van een SaaSaanbieder naar de randvoorwaarden op het gebied van continuïteit van de klant, waaronder escrow. Dus niet alleen naar de SLA’s en de certifi caten, maar ook of en zo ja welke escrow-regeling wordt geboden. • Neem geen genoegen met softwaredepot. Toegang tot de data en het kunnen gebruiken van het systeem zijn minstens zo belangrijk. Periodieke overdracht leidt in een realtime omgeving tot achterhaalde data.
• Vermijd de papieren werkelijkheid van software-escrow. Een SaaS-omgeving opbouwen kost weken en is heel duur. Het is beter dat de boel door blijft draaien in de huidige omgeving. Vergelijk het met een kapotte auto. Je wilt snel een andere auto en niet een handleiding om de auto te repareren. Kies dus voor het voorkomen van fouten in plaats van achteraf te moeten herstellen. • Gebruik het nuchtere verstand. Niet alle elementen van de SaaS hoeven in de escrow te worden opgenomen. Bijvoorbeeld API’s voor het checken van postcodes of KvK-data zijn niet noodzakelijk voor het voortbestaan van de onderneming. • Kijk naar de kosten en baten ten opzichte van een redundante en gespiegelde omgeving, een veel gebruikte maatregel voor business continuity. • Kijk verder dan het eigen belang. Een goede escrow-regeling houdt de belangen van de eindgebruiker, de SaaS-leverancier en de hosting provider in balans en houdt de escrow werkbaar.
18 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
Tips voor SaaS-leveranciers • Het standaard voorzien in een goede regeling rond SaaS-escrow zal bedenkingen bij de klant over zijn business continuity in de cloud wegnemen. • Het bieden van SaaS-escrow is een sterk verkoopargument. In sommige markten, bijvoorbeeld de gemeente markt, doe je zelfs niet mee als je geen escrow hebt. • De verplichtingen die een escrowregeling met zich brengt op het gebied van het vastleggen van informatie, is een krachtige impuls voor de algehele kwaliteit van de interne IT-processen van de SaaS-leverancier. • Kijk goed naar de kwaliteit van de agent die SaaS-escrow mogelijk maakt. Is deze in staat om de financiële verplichtingen aan de hosting provider daadwerkelijk na te komen? • Wie escrow wil aanbieden, moet het wel goed doen. Denk na over de optimale inrichting. Die hoeft niet te leiden tot hogere kosten. HERMAN KUI, directeur van Escrow4All
SAMENWERKING
Om groeiende complexiteit de baas te worden
TNO en NetDialog starten onderzoek naar security TNO en NetDialog zijn een samenwerking aangegaan op het gebied van cybersecurity. Het onderzoeksinstituut en de softwareontwikkelaar zien mogelijkheden om de groeiende complexiteit van security issues beter in kaart te brengen. Door samen onderzoek te doen, wordt gewerkt aan een hoger niveau van digitale weerbaarheid voor de maatschappij in het algemeen en het bedrijfsleven in het bijzonder.
Veel grote internationaal opererende ondernemingen maken gebruik van de software van NetDialog. Deze software, NetX, monitort het functioneren van netwerken en applicaties wereldwijd. “De focus ligt daarbij op performance, maar vanuit de markt ontstaat een steeds grotere behoefte aan security monitoring, mede door de toenemende afhankelijk heid van digitale systemen. Bedrijven willen graag veilig kunnen werken”, zegt Tim Rühl, CTO bij NetDialog.
Smoky Mountains
Performance data
Eerste resultaten
Performance-gegevens die NetX voortbrengt, vormen de basis van het onderzoek. “Deze gegevens bekijken we met een statistische bril en gaan dan op zoek naar afwijkingen, net als een cardioloog doet met een hartfilmpje”, legt Erik Meeuwissen van TNO uit. “We matchen patronen met modellen om afwijkingen te kunnen herkennen”, vult collegawetenschapper Pieter Venemans aan.
NetDialog en TNO verwachten dat hun onderzoek kennis oplevert die onder meer kan worden toegepast in monitoring software als extra line of defense, naast firewalls en virusscanners. De eerste onderzoeksresultaten worden in de loop van dit jaar verwacht.
Voor het onderzoek zet TNO een beproefd model in met zelflerende algoritmes, de zogenoemde Smoky Mountains. Met dit model kan worden bepaald of dataverkeer binnen de verwachte marges blijft. Dit wordt ook wel anomalie detectietechnologie genoemd. Als dataverkeer stelselmatig de marges overschrijdt, dan is er mogelijk sprake van een security issue, zoals een storing of een DDoSaanval.
VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 19
DEVOPS
Onderzoeksrapport CISO View:
Vijf concrete tips voor DevOps en security Voor de derde keer is CISO View verschenen, een jaarlijks onderzoeksrapport waarvoor 1.000 CISO’s (Chief Information Security Officer) wereldwijd worden gevraagd naar hun praktijkervaringen met security-strategieën en best practices. Het onderzoek is een initiatief van CyberArk en wordt uitgevoerd door onderzoeksbureau Robinsons Insight. In deze editie is met name gekeken naar de beveiliging van DevOps-processen. Security-strategieën moeten gericht zijn op privileged access, ofwel controle op het gebruik van gebruikersaccounts met extra rechten, en het afschermen van deze accounts, secrets en andere gevoelige informatie. Daarbij is het van belang dat de strategie wel aansluiting vindt bij de DevOpscultuur en bijbehorende methodes om te voorkomen dat ze de snelheid en wendbaarheid van product ontwikkeling in de weg staat. Dat dit nog in de kinderschoenen staat, blijkt uit ander onderzoek van CyberArk, het Threat Landscape Report 2018. Dit wijst uit dat zo’n 73 procent van de organisaties nog geen strategie heeft ontwikkeld om accounts met extra toegangsrechten tot DevOps te beschermen.
Vijf aanbevelingen Het rapport wordt samengevat in vijf aanbevelingen, gebaseerd op de praktijkervaringen van de deelnemende CISO’s. Maak het security-team een DevOps-partner - Zorg ervoor dat security-specialisten en ontwikkelaars over de juiste kennis en kunde beschikken. Hierdoor is het voor ontwikkelaars makkelijker om rekening te houden met beveiligingsprincipes, wordt samenwerking gestimuleerd en kunnen agile DevOps-methodes ook binnen security worden toegepast.
1
2
Focus op het beveiligen van DevOps tools en infrastructuur - Stel beleidsregels op (en zorg dat ze nageleefd worden) ten aanzien van de te gebruiken tools en hun configuratie, voer toegangscontrole bij DevOps tools in, gebruik het ‘least privilege’ principe en bescherm en monitor de infrastructuur.
20 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
3
Stel bedrijfsbreed eisen op voor de bescherming van login-gegevens en secrets Maak het centraal beheer van secrets verplicht, breidt de auditing en monitoring mogelijkheden uit, verwijder credentials in tools en applicaties en ontwikkel herbruikbare code-modules.
4
Verander processen om applicaties te testen Het automatische testen van code moet geïntegreerd worden, ontwikkelaars moeten via een ‘break the build’ methode verplicht worden security-issues te repareren, en overweeg een bug bounty programma, waarin ontdekkers van kwetsbaarheden worden beloond.
5
Evalueer de resultaten van DevOps security Test de invoer van tools voor secrets management, meet resultaten, stimuleer verbeteringen en train auditors.
“Het CISO View-rapport geeft concrete ervaringen weer van directeuren en topmanagers die DevOps omarmen, zonder security uit het oog te verliezen”, aldus Renske Galema, regional director van CyberArk. “Voor organisaties die midden in digitale verandertrajecten zitten, is het van belang security en risico’s altijd langs nieuwe tools en technologie te leggen. Door de organisatie- en operationele uitdagingen te begrijpen, kunnen security-teams effectiever meepraten op het niveau van zowel topmanagement, security als ontwikkelaars.” VAN DE REDACTIE
3i-event: Idea - Intellectual Property - Innovation
18 april 2019 Eindhoven Vakblad TW organiseert in samenwerking met C2W, EVMI magazine, Maritiem Nederland en haar overige technischeen ICT titels het 3i-event: Idea, Intellectual Property, Innovation. Ontvang handvaten voor een succesvolle IP strategie en krijg antwoord op de vragen die u tegenkomt op weg naar het verzilveren van uw idee. Bestemd voor R&D professionals, startups en ondernemers uit het mkb.
Locatie Datum Tijd Kosten
Hightech Campus, Eindhoven 18 april 2019 11.00 – 18.00 uur ₏ 175,-
KORTING VOOR ABONNEES Abonnees van Maritiem Nederland, C2W, CloudWorks, Automatie|PMA, Infosecurity Magazine en EVMI ontvangen 50 euro korting op de toegangsprijs!
www.3i-event.com voor programma en aanmelden
ONDERZOEK
Europese IT-afdelingen luiden alarmbel
Te weinig middelen om doelstellingen te verwezenlijken Steeds meer IT-professionals zegt hun taken niet rond te krijgen. Bedrijven verwachten almaar meer van hun IT-afdeling, bijvoorbeeld ondersteuning bieden bij de dagelijkse IT-taken (support, beveiliging, GDPR-maatregelen, ‌) en innovatieve projecten opzetten die de business vooruithelpen. Maar twee derde van de IT-professionals klaagt over onvoldoende middelen voor een adequate ondersteuning. Een derde verlangt dan weer goed gedefinieerde rollen en verantwoordelijkheden.
22 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
Deze conclusies komen uit het Europees onderzoek ‘2018 Insight Intelligent Technology Index’ van IT-advisor Insight. In dat rapport beoordeelt het bedrijf de nieuwste trends en uitdagingen in de sector. Het ondervroeg 1.012 IT-professionals in negen Europese landen. De trend lijkt duidelijk: IT-afdelingen vinden dat ze onvoldoende middelen krijgen om hun taken uit te voeren. “Bedrijven zijn er zich zeer goed van bewust dat technologie een cruciale rol speelt in hun strategie om te evolueren naar een productieve werkplek. Doelstelling? De klanttevredenheid verhogen en hun marktaandeel vergroten. Maar uit het onderzoek blijkt dat er een spanningsveld bestaat tussen wat het management allemaal wil en wat de IT-afdeling met de huidige middelen kan doen. Bedrijven missen een lange termijnvisie en trekken onvoldoende middelen uit voor hun IT-afdelingen”, zegt Marie del Marmol van Insight.
Managed services bieden soelaas Gemiddeld 32% van het IT-budget gaat in Europa naar managed services, een van de oplossingen om de workload te verminderen. Meer dan de helft van de ondervraagden deed dat om de dagelijkse IT-taken te stroomlijnen, een derde om IT-resources vrij te maken voor echte business-gerelateerde zaken en nog eens een derde om medewerkers (die almaar meer hun eigen devices en tools gebruiken) beter te ondersteunen. 67% van de ondervraagden blijft trouwens ook in de komende 12 tot 24 maanden investeren in managed services. Die evolutie is niet vreemd, want de vraag naar IT-expertise groeit. Een grote uitdaging ligt dan ook in het opsporen en aantrekken van gespecialiseerd talent. Lukt dat niet, dan zoeken bedrijven die extra processen, vaardigheden en hulpmiddelen elders door een beroep te doen op externe aanbieders van managed services. 78% van de IT-managers zegt trouwens dat zijn bedrijf een bi-modaal model volgt bij het benaderen van IT-talent. Dat is voor de ene groep gericht op
voorspelbaarheid en voor de andere op innovatie. Finance blijft natuurlijk heel erg belangrijk, maar ook product ontwikkeling heeft een enorme invloed op technologische beslissingen. IT heeft ook het potentieel om intern activiteiten en innovatie te verbeteren.
IT-afdeling als kostenpost Het is wel degelijk een paradox. Organisaties verwachten almaar meer van hun IT-afdeling, namelijk dat ze initiatieven ontwikkelt en ondersteunt om de business te doen groeien. Maar tegelijk beschouwen ze IT als een kostenpost. Dat vindt althans 44% van de ondervraagden. Daarnaast meent 12% dat zijn afdeling meer als innovatiehub wordt beschouwd. 42% tenslotte spreekt over een mix van al die percepties. De IT-budgetten groeien dus niet mee met de bedrijfsbehoefte. Dat blijkt ook uit de cijfers, want 48% meldt dat het IT-budget hetzelfde bleef in het afgelopen jaar. Om toekomstige ontwikkelingen het hoofd te bieden en het concurrentievoordeel te behouden, zijn echter meer middelen nodig. Dat kan door budgetten slimmer aan te wenden, maar ook door innovatie te financieren.
Security: focus op de cloud Beschikbaarheid en beveiliging van data blijven twee hoofdpijndossiers voor veel IT-afdelingen.De cloud kan een oplossing bieden, zo vertellen de cijfers. 63% van de ondervraagden investeerde in het afgelopen jaar daarom in diensten als Software as a Service, ruim de helft in Security as a Service. Kortom, bijna alle bedrijven investeren in de cloud en tonen zich optimistisch naar de toekomst toe. 51% gelooft bijvoorbeeld dat data nu beter beschermd worden en dat investe ringen in de cloud de productie en concurrentiekracht bevorderen. De IT-professionals geven ook aan in welke domeinen ze meer willen
investeren in de toekomst. Met stip bovenaan staat security. Maar liefst 55% noemt het als dé prioriteit voor een hoger IT-budget. De cloud, mobile en CRM volgen op de voet.
Big data blijven zorgenkindje Ook over big data maken ITprofessionals zich zorgen. 36% vindt het gebrek aan intern talent gespecialiseerd in big data een belangrijk probleem. 34% ziet een hele uitdaging in het aanwenden van inzichten uit die big data om de business bij te sturen. Nog eens een derde maakt zich zorgen om de explosieve groei van data in producten die van sensoren gebruikmaken. Gegevensbescherming en –beveiliging betekent voor veel organisaties het verschil tussen slagen of falen. De nieuwe Europese regelgeving GDPR verhoogde de druk voor veel ITmanagers. 57% van hen noemt het een topprioriteit en een van de domeinen waar flink in moet worden geïnvesteerd. Opvallend is ook dat de overgrote meerderheid zich optimistisch toont over GDPR: 74% zegt dat zijn bedrijf beantwoordt aan de nieuwe norm, waarschijnlijk vooral dankzij korte termijninvesteringen als e-mail beveiliging en het dichten van data lekken. 50% ervaart GDPR ook als een positieve evolutie voor het bedrijf, omdat daardoor tal van problemen aan de orde kwamen en konden worden aangepakt.
Proactieve houding essentieel De impact van technologie zal in de toekomst blijven groeien maar de veranderingen volgen elkaar ook snel op. Meer budget is ook een vereiste om de vinger aan de pols te houden en snel in te spelen op nieuwe ontwikkelingen. Een goede IT-manager verlegt dan ook op tijd de prioriteiten. Alleen zo kan hij de benodigde technologische investeringen definiëren. VAN DE REDACTIE
Meer weten? De resultaten van de Europese studie – 2018 Insight Intelligent Technology Index - vindt u hier: be.insight.com/campaigns/insight-intelligenttechnology-index-2018.
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 23
SAFER INTERNET DAY
Veilig internet begint bij onszelf
Dinsdag 5 februari was het Safer Internet Day. Die dag markeerde het begin van een week waarin aandacht werd gevraagd voor veilig en positief gebruik van digitale technologie, met name voor jongeren. De campagne wilde een bijdrage leveren aan een veiliger en beter internet. Waar iedereen gestimuleerd wordt verantwoordelijk, respectvol, kritisch en creatief om te gaan met nieuwe technologie.
In de pakweg 60 jaar dat het internet nu bestaat is het uitgegroeid tot een verschijnsel dat, wellicht meer nog dan tv en telefoon, al onze levens dagelijks beĂŻnvloedt. Onze economie en samenleving zijn bijna onlosmakelijk met het web verbonden. Nog dagelijks ontstaan nieuwe toepassingen die gebruikmaken van snelle en wereldwijde netwerken. Voor ouders, die vaak zelf niet met internet en social media zijn opgegroeid, is het best een uitdaging om kinderen te leren omgaan met verschijnselen als cyberbullying, malware en vrije toegang tot alle denkbare informatie. 24 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
Onveilige IT Hoewel leveranciers van technologie gewoonlijk geen oordeel vellen over wat iemand met hun oplossingen doet, is een veilig internet wel degelijk belangrijk voor de IT-branche. Cybersecurity Ventures, een Amerikaans onderzoeksbureau dat zich specialiseert in cybercriminaliteit, bevestigde onlangs nog een eerdere voorspelling dat de wereldwijde schade door cybercrime in 2021 zal zijn opgelopen tot jaarlijks vijf biljoen euro. Het internet is, met andere woorden, big business voor criminelen. Is dat een plaats waar je je kinderen zomaar wilt laten rondzwerven?
Maarten Robbrecht, SE Manager Benelux & Nordics bij IT- en beveiligings specialist Infoblox, merkt dat de jongste generaties erg geneigd zijn blind te vertrouwen op de technologie die ze gebruiken. “Wij zelf zijn samen met technologie opgegroeid: de tijd waar enige technologische kennis vereist was om überhaupt online te kunnen komen, is nog niet zo gek lang geleden. Jongeren zijn vaak heel handig met toepassingen, maar hebben weinig kennis meer van de onderliggende technologie.”
online veiligheid te verbeteren. Zo is het wat Van Wingerden betreft nog veel te makkelijk om onveilige IT-oplossingen te gebruiken. “De beste manier om mensen op een veilige manier met digitale netwerken te laten omgaan, is door ervoor te zorgen dat veilig gebruik een vanzelfsprekende en gebruiksvriendelijke keuze wordt. Dat lukt alleen door ze veilige toepassingen aan te bieden die minstens zo snel en gebruiksvriendelijk zijn als de meest populaire toepassingen waar kinderen nu al op jonge leeftijd mee te maken krijgen.”
Volgens Robbrecht is het daarom cruciaal ervoor te zorgen dat die technologie ook echt betrouwbaar is. Als voorbeeld noemt hij het domein naamsysteem (DNS), dat domeinnamen vertaalt naar IP-adressen. “Het DNS bepaalt naar welke servers een kind wordt geleid als het over het internet surft. Als een DNS-server wordt gehackt, leidt een vertrouwde domein naam niet meer naar een vertrouwde server.”
Veel goede software is nu vaak nog te ingewikkeld in gebruik. “De makkelijkste manier om te spelen, te communiceren of te werken wordt al snel de populair ste. Of dat dan ook veilig is, vragen mensen zich niet af. Die les leren IT-bedrijven nu in zakelijke omgevingen, maar voor jongeren geldt dit zeker niet anders.”
Jongeren zijn daar niet op verdacht - en horen dat volgens Robbrecht ook niet te hoeven zijn. “Je kunt debatteren over wie verantwoordelijk is voor wat jongeren online ‘uitspoken’, maar wat wel buiten kijf zou moeten staan is de betrouwbaar heid van de diensten die jongeren voor vanzelfsprekend aannemen.”
Moet veiliger Andreas van Wingerden is senior SE Manager bij Citrix. Hij wijst erop dat ouders een belangrijke verantwoor delijkheid hebben voor de manier waarop jongeren zich online gedragen. “Dat iedereen nog veel moet leren over technologie, doet daar niets aan af. Normen voor normaal gedrag zijn online echt niet zo anders dan offline.” Kinderen kunnen zich online makkelijk aan het blikveld van hun ouders onttrekken, maar dat is ook iets waar ouders best wat aan kunnen doen, bijvoorbeeld door samen online te gaan of door jonge kinderen niet in hun eentje op hun kamer achter een pc te zetten. Toch kunnen ook IT-leveranciers volgens Van Wingerden nog veel doen om de
De noodzaak om ervoor te zorgen dat de techniek die we dagelijks gebruiken inherent veilig is, groeit alleen maar verder doordat steeds meer apparaten een online verbinding krijgen. “Van parkeerautomaten tot jacuzzi’s wordt tegenwoordig alles draadloos met elkaar verbonden”, vertelt Spencer Hinzen, Director Business Development EMEA bij Ruckus Networks. “Kinderen kijken tegenwoordig zelfs vreemd op als het nog nodig is een apparaat met een draadje aan een netwerk te hangen: ze verwachten mobiliteit en interesseren zich nauwelijks voor de verschillende typen netwerken die daarvoor worden gebruikt. Bluetooth, wifi, 4G - het is ze om het even, als het maar werkt.”
Security als zekerheid Dat betekent ook dat kinderen erg weinig geduld hebben met storende factoren zoals trage verbindingen of lastige inlogprocedures: de eerste gratis hotspot die ze een snelle verbinding geeft is per definitie de beste. De manier om te voorkomen dat kinderen op onveilige netwerken belanden, is door ervoor te zorgen dat er een goed en veilig alternatief voorhanden is. “Juist in
de openbare ruimte is het daarom verstandig ervoor te zorgen dat mensen kunnen beschikken over snelle én betrouwbare draadloze verbindingen. Gratis veilige wifi is een basisvoorziening waarvoor met name steden en scholen veel meer aandacht zouden moeten hebben.” De online werkelijkheid is keihard, weet Oscar van Os, Manager SOC bij Thales Nederland. Vanuit zijn vakgebied krijgt hij dagelijks te maken met online dreigingen, van simpele hacks van ‘scriptkiddies’ tot grootschalige infiltratiepogingen door internationale mogendheden. Kinderen bang maken heeft geen zin, weet Van Os. “Ja, er zijn grote gevaren op het web - maar die zijn er ook in de buitenwereld.” Waar het vooral om gaat is kinderen bewust te maken. “Op dit moment leren kinderen links en rechts te kijken voor ze oversteken, maar online klikken ze op alles wat los en vast zit. Het is voor ons allemaal belangrijk kinderen te leren dat cybersecurity aan de basis staat van een veilige samenleving.” Vrijwel alle technologie waar kinderen dagelijks mee te maken krijgen, wordt bestuurd door digitale technologie, zegt Van Os: “Van de smartphone in hun zak tot de brug waarover ze naar school fietsen en van de poortjes op het station tot het vliegtuig waarmee ze op vakantie gaan. Het is goed dat ze zich er bewust van worden dat we met zijn allen een verantwoordelijkheid hebben om die technologie te beschermen, en dat onveilig gedrag gevolgen kan hebben, voor henzelf, maar bijvoorbeeld ook voor vrienden en familie die ook besmet kunnen raken.” Op de lange termijn werkt dat volgens Van Os ook door naar bijvoorbeeld de zakelijke omgeving. “We kunnen het ons niet veroorloven dat onze economie, die afhankelijk is van IT-systemen, steeds kwetsbaarder wordt. Daarin ligt natuurlijk een verantwoordelijkheid voor IT- en securityspecialisten, maar uiteindelijk voor ons allemaal.” VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 25
CONGRES
Informatieveiligheid:
Kwestie van gedragsverandering? Op 14 maart 2019 organiseert CKC Seminars de derde editie van het congres Informatieveiligheid in de Overheid in Bussum. Dit jaar staat het thema informatieveiligheid en gedragsverandering centraal, waarbij een aantal zeer actuele vraagstukken aan bod komen. Denk aan: hoe om te gaan met groeiende digitale veiligheidsrisico’s? Welke (geopolitieke) trends kunnen we niet negeren? Bent u al volledig GDPR-compliant? Zijn uw medewerkers doordrongen van het belang en op de hoogte van regels rondom informatieveiligheid? Hoe verhoudt informatieveiligheid zich tot privacy? Hoe om te gaan met het spanningsveld tussen regels en ruimte? Keynote-sprekers geven tijdens het event hun visie op deze thema’s. Zo zal Don Eijndhoven (CISO en expert en veelgevraagd spreker op het gebied van cybersecurity) zijn toehoorders meenemen door het landschap van de hedendaagse digitale geopolitiek. Daarbij zal hij illustreren hoe ieder land hier op eigen wijze mee omgaat - en wat dat betekent voor de rest van de wereld. 26 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
Dick van Gooswilligen (Director Crisiscommunicatie, Issues en (Social) Mediatrainingen, van Sterk Werk Communicatie en voormalig Hoofd Crisiscom municatieteam (CCT Nationale Politie) legt uit hoe crisiscommunicatie het verschil maakt. Wat zijn de vragen die in de buitenwereld leven en hoe kunnen de juiste kernantwoorden worden gecommuniceerd?
De sprekers @ congres ‘Informatieveiligheid in de Overheid’
Maria Genova (onderzoeksjournalist, schrijver en spreker over privacy, identiteitsfraude en cybersecurity) laat op interactieve wijze zien wat er bij gemeenten en andere publieke organisaties precies misgaat. Ook zal zij tips geven over de vraag hoe je dat in de toekomst kunt voorkomen. Tenslotte laat Patrick van Veen (gedragsbioloog en directeur van Apemanagement) zijn toehoorders op ludieke wijze ontdekken wat de uitdagingen zijn in gedrags verandering en wat we kunnen leren van onderzoek bij apen.
Praktijkcases en workshops Tijdens de diverse praktijkcases en workshops wordt aandacht besteed aan ervaringen van overheids organisaties om kennis te delen. Zo vertelt Youri Lammerts van Bueren (onder andere provincie Overijssel) hoe we aan de voorwaarden van de BIO kunnen voldoen en laten Jiska Ligtenberg en Michiel Gorsse (gemeente Leidschendam-Voorburg) hun bijzondere en succesvolle privacy-aanpak zien. Petra Boekhout, Gerard Geuke en Raymond Slot (gemeente Noordoostpolder) gaan in op het gebruik, de toepassing en de doorontwikkeling van de informatie beveiligingsarchitectuur binnen de gemeente. In een praktijkcase belichten zij de uitdagingen van GDPR en geven zij oplossingen om ongestructureerde gegevens te beschermen om aan de complianceeisen te voldoen en de bedrijfs productiviteit te verhogen. Tijdens een panel met als onderwerp de ENSI-Audit is volop ruimte voor interactie tussen sprekers en publiek. Tijdens een Serious Game Crisis (waaraan maximaal 15 personen kunnen deelnemen) bestrijdt de bezoeker de hack van een cybercrimineel.
••Bas van Gils is ervaren consultant, trainer en researcher op het vlak van digitale transformatie. In zijn werk ligt de focus op het realiseren van ‘de digitale droom’ van klanten. Zijn inhoudelijke expertise ligt op het vlak van strategie, architectuur en datamanagement. ••Don Eijndhoven is een expert op het gebied van cybersecurity, digitale geopolitiek, privacy-vraagstukken, informatiebeveiliging en oorlogsvoering in het digitale domein. Eijndhoven is ooit begonnen als helpdeskmedewerker en uiteindelijk doorgegroeid naar IT-architect, waarna hij de overstap maakte naar informatiebeveiliging. Hij schrijft periodiek voor diverse websites en tijdschriften en staat geregeld als spreker op het podium voor onderwerpen zoals digitale spionage en oorlogsvoering, misdaad via het internet, identiteitsfraude en de internationale politiek rondom cyber. ••Maria Genova is schrijfster en spreker. Ze kwam op haar 19e naar Nederland. Met een beetje geluk en heel veel doorzettingsvermogen lukte het haar om al binnen een jaar in de journalistiek aan het werk te gaan. Ze studeerde af aan de Academie voor Journalistiek in Tilburg en werkte voor verschillende kranten en tijdschriften. Inmiddels heeft ze negen boeken op haar naam staan, waaronder een aantal bestsellers. Maria Genova scheef boeken over hackers en identiteitsfraude, falende jeugdzorg, loverboys en sexting. Haar tweede boek ‘Man is stoer, vrouw is hoer’ werd een bestseller. In ‘Vrouwen te koop’ bracht Genova verschillende misstanden in Nederland aan het licht en dat leidde tot kamervragen. Haar boek ‘Komt een vrouw bij de h@cker’ werd een hit in het bedrijfsleven. ••Dick van Gooswilligen is director crisiscommunicatie, issues en (social) mediatrainingen bij het Rotterdamse adviesbureau Sterk Werk Communicatie. Zijn specialisatie is het managen van het crisiscommunicatieproces en het succesvol inzetten van (sociale) media. Hij werkte onder andere bij BAM, Shell, Siemens, maar ook 17 jaar bij de politie. Hij was als Hoofd van het Crisis Communicatie Team betrokken bij tientallen crises, rampen en situaties van maatschappelijke onrust. Bijvoorbeeld de schietpartij in Alphen a/d Rijn, Project X Haren, de vermiste broertjes Ruben en Julian, vlucht MH17, de aanslagen in Parijs en Brussel, de moord op Anne Faber en het onderzoek naar de dood van Nicky Verstappen. ••Patrick van Veen (1970) is gedragsbioloog en werkt als trainer, keynote spreker en onderzoeker voor zijn bedrijf Apemanagement. Vanuit die functie adviseert hij ondernemingen en probeert hij mensen iets te leren over ons oergedrag. In de media is hij regelmatig te zien als vaste deskundige bij Galileo, Tijd voor MAX en RTL Late Night. Hij is schrijver van bestsellers als ‘Help! Mijn baas is een aap’, ‘Dierbare collega’s’ en ‘Verliefd op je klant’. Het motto van Van Veen is: translating science to knowledge. Daarmee probeert hij biologische wetenschap toe te passen op maatschappelijke thema’s.
Deelnemen met korting Informatieveiligheid in de Overheid is een congres voor professionals en bestuurders in de overheid; specifiek gericht op de bewustwording, organisatorische en technische aspecten van informatieveiligheid. Het congres zit boordevol met kennis, inspiratie en contacten en vindt plaats in het Spant! in Bussum. Iedere abonnee van Infosecurity Magazine ontvangt 100 euro korting* op deelname aan dit congres. Gebruik hiervoor bij registratie de code: IVO100ISM19S. Iedere tweede inschrijving (van hetzelfde bedrijf of dezelfde non-profit instelling) ontvangt 50% korting op het reguliere tarief. Voor meer informatie: www.informatieveiligheidindeoverheid.nl *) Deze korting geldt alleen indien u werkzaam bent in een non-profit organisatie
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 27
CES 2019
Hoofdrol voor security en cloud in
nieuwe oplossingen 5G, kunstmatige intelligentie, IoT en zelfrijdende voertuigen zijn enkele van de hoofdthema’s van de afgelopen CES dat begin januari plaatsvond in Las Vegas. De grootste beurs van consumentenelektronica ter wereld is daardoor ook steeds meer een plek voor meer abstracte oplossingen, waarin security en cloud computing een grote rol spelen.
Het Nederlandse bedrijf Belleron lijkt een vreemde eend in de bijt op een beurs als de CES. Op de plek waar je als eerste de nieuwste smartphones, drones en kromme monitors kunt aanschouwen, lijkt een oplossing voor analytics en response voor banken niet heel erg op zijn plaats. “Toen we werden gevraagd om hier te staan, stelden we ook de vraag of de doelgroep wel overeen komt”, zegt Sebastian Kuntz, Business Development Manager bij Belleron. “Maar hier zitten wel de investeerders en scale-ups.”
Onopvallend De oplossing van Belleron wendt machine learning aan om patronen in transacties te herkennen en deze op tijd stop te zetten. Dat gaat verder dan alleen maar abnormaal gedrag te detecteren. “Je hebt 28 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
iedere dag wel abnormaal gedrag bij een bank”, zegt Kuntz. “Als jij een huis koopt, dan merkt het bankensysteem dat aan als abnormaal. Maar voor ons is dat wat wij ‘normaal-abnormaal’ noemen. Als opeens duizenden mensen bloemen kopen bij een online bloemenwinkel in Brazilië, dan hebben we het pas over abnormaal-abnormaal.” Dat is overigens een waargebeurd voorbeeld uit Groot-Brittannië, vertelt Kuntz. Bedrijven als Belleron vallen in eerste instantie niet op. Ze hebben geen mooie gadgets of flitsende presentaties. Wat ze echter wél bieden, zijn oplossingen die geïntegreerd moeten worden in bestaande systemen en op zichzelf geen stand-alone oplossing vormen. Wie over het Nederlandse
‘Dat gaat verder dan alleen maar abnormaal gedrag te detecteren’
startup-paviljoen van de CES wandelt, merkt dat meteen. De gave apparaten maken plaats voor al-dan-niet op cloud gebaseerde softwareoplossingen.
Probleem met AVG Zo biedt Smilo een hybride oplossing aan die ervoor zorgt dat privégegevens niet in een blockchain komen, terwijl de rest van de gegevens daar wel worden vastgezet. Informatie die in de blockchain wordt opgeslagen, kan normaliter niet meer veranderd worden, wat het zeer geschikt maakt om fraude tegen te gaan. Maar niet-verwijderbare privégegevens vloekt met de Algemene Verordening Gegevensbescherming (AVG), zo vertelt CTO Thomas Modeneis. “Klanten kunnen door de hybride aanpak er zeker van zijn dat hun gegevens kunnen worden verwijderd als ze dat willen”, zegt hij. “Als de andere partij AVG-compliant is, dan kan hij aan deze aanvraag voldoen.” En zo kent de Nederlandse CES afvaardiging meer abstracte oplossingen die niet meteen in een apparaatje te vangen zijn. 20Face beweert gezichts herkenning te leveren dat zo lichtgewicht is dat het al werkt bij een deel van het gezicht. Scalys heeft op CES zelfs een innovatieprijs gewonnen voor zijn op security gerichte Trustbox Router.
Traditioneel Ook de van oorsprong traditionele hardwareleveranciers zetten duidelijk steeds meer in op de software en security. Dat komt mede omdat de apparaten zelf steeds meer mogelijkheden bieden. “Je kon vroeger wireless doen met een router in huis”, zegt Richard Jonker, Vice President SMB Product Line Management die met NETGEAR zich tijdens de beurs in een apart hotel heeft gevestigd. “Maar nu kun je veel meer, tot enkele honderden euro’s voor extra functies binnen een router.” Dat maakt het ook voor relatief eenvoudige apparaten steeds belang rijker om beheer en security goed aan te pakken. “Ik denk dat 1 op de 3 dollar die we nu uitgeven puur voor ons beheer platform is”, verwijst Jonker naar Insight, een op cloud gebaseerde beheeromgeving voor kleine bedrijven.
Open source-platform Sommige partijen proberen zelfs meer een manier van werken te tonen. Arrow Electronics, de ICT-distributeur, geeft bijvoorbeeld een open source elektronicaplatform weg waarmee ontwikkelaars hun eigen IoT-oplossingen kunnen creëren die verbonden zijn aan Microsoft Azure, zo legt Cloud Solution Architect Bryan Hamilton van het bedrijf uit. “Microsoft probeert de makers te
binden, de ontwikkelaars met nieuwe ideeën”, zegt hij. “Ze zeggen eigenlijk: je bent misschien nog niet groot genoeg om op schaal te ontwikkelen, maar wij willen je daarbij helpen.” Dat security- en cloudleveranciers meer een voet tussen de deur krijgen, heeft er uiteindelijk alles mee te maken dat de technologie heel dwingend de kant van realtime op gaat. Zelfrijdende auto’s moeten meteen reageren op grote hoeveelheden data, waarvoor meer rekenkracht nodig is dan je aan boord kunt installeren. Hele huishoudens kunnen uitgerust worden met licht schakelaars met op Alexa - en dus op cloud gebaseerde - stemherkenning. Die veranderingen hebben grote impact op wat leveranciers moeten gaan bieden. “Vroeger hadden we het veel over ‘predictive’”, zegt Kuntz. “Maar als ik ga voorspellen dat iets binnenkort misgaat, dan kun je niet op tijd reageren als het daadwerkelijk misgaat. Vroeger had je een dag om te reageren, nu moet het in twee tot drie seconden gebeuren om de schade te beperken.” MICHIEL VAN BLOMMESTEIN is journalist
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 29
ONDERZOEK
Mkb legt verantwoordelijkheid cybersecurity bij ICT-dienstverlener Het is niet eenvoudig voor ICT-beheerders om ondernemers in het mkb bewust te maken van cyberrisico’s, blijkt uit onderzoek van Centraal Beheer. Zes op de tien ICT-beheerders vindt dat zijn mkb-klanten te weinig maatregelen treffen ter bescherming. Mkb-ondernemers onderschatten de cyberrisico’s of denken goed beschermd te zijn. Dit laatste is vaak niet het geval, want afgelopen jaar werd een derde van het mkb geconfronteerd met een cyberincident. Ondanks dat het merendeel van de mkb-bedrijven (75%) zichzelf als verantwoordelijke voor cyber security ziet, hebben ICT-beheerders (42%) het gevoel dat de verantwoordelijkheid rondom cyber security op hen wordt afgeschoven. Volgens de mkb-ondernemers (68%) behoort cybersecurity tot de zorgplicht van de ICT-dienstverlener. Het is hierbij opvallend dat slechts 22% van de ICT-beheerders aangeeft dat er duidelijke afspraken zijn vastgelegd. Juist hierdoor loopt de ICT-beheerder het risico aansprakelijk te worden gesteld bij cyberincidenten. Een derde van de mkb-bedrijven geeft aan dit ook daadwerkelijk te zullen doen.
Niet hoog op agenda Menselijk handelen wordt gezien als een van de grootste cyberrisico’s. Toch doet bijna twee derde van de mkb-bedrijven niets om het bewustzijn van medewerkers te vergroten. En heeft nog geen kwart een informatiebeveiligingsbeleid. Het komt dus niet uit de lucht vallen dat ICT-beheerders (60%) zich zorgen maken over de digitale veiligheid van hun mkb-klanten. Ze slagen er echter nog niet in om de mkb-ondernemer te overtuigen van het belang van cybersecurity. Bijna de helft van de ICT-beheerders heeft hier moeite mee. 30 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
Ruimte voor verbetering De meest voorkomende maatregelen die mkbondernemers nemen, zijn back-up systemen (84%), antivirussoftware (76%) en het gebruik van een firewall (67%). Toch hebben veel mkb-bedrijven slechts een beperkt aantal verschillende maatregelen genomen. Daarbij nemen de percentages af als het om meer complexe maatregelen gaat. Zo past slechts 26% ‘2-factor authenticatie’ toe voor de belangrijkste systemen van zijn bedrijf en heeft 34% de toegangseisen voor gevoelige data vastgelegd.
Behoefte aan hulp Ondanks dat het mkb nog vaak de cyberrisico’s onderschat, is er interesse in producten en diensten voor betere cybersecurity. Zo vindt 64% het prettig als zijn externe ICT-beheerder deze proactief aanbiedt. Ook is er behoefte aan meer inzicht in de cyberrisico’s die de onderneming loopt. Mogelijke oplossingen hiervoor zijn online checklists en een bezoek van een expert die de cyberrisico’s in kaart brengt. Er zijn dus volop kansen voor de ICTbeheerder om de mkb-ondernemer te overtuigen van het belang van cybersecurity. VAN DE REDACTIE
www.scos.cloud
Secure Managed File Transfer Hosted in West Europe – Middenmeer/The Netherlands. Ipswitch MOVEit Cloud is a SaaS version of MOVEit Transfer
Ipswitch MOVEit Cloud delivers the company’s industry-leading Managed File Transfer (MFT) system with all the benefits of cloud computing, including: • reliability • elasticity • and rapid deployment Hosted at a world-class data center facility (ISO/IEC 27001 ) compliant that is engineered to incorporate multiple levels of security and redundancy for optimal • reliability • availability • business continuity and it’s all managed by MOVEit experts.
In an era of high-visibility security violations, scos.cloud leads the industry in security and integrity. scos.cloud protects your most valuable asset – your data – by incorporating essential security measures for cloud services.
Start your Cloud MFTaaS now with one of our MFT experts.
Secure MFT • Secure Email • Ad Hoc Transfer • Automate File Transfer • MFTaaS
www. sc os . c l ou d
STRATEGIE
Canadese computerwetenschapper Yoshua Bengio:
’AI moet zijn werk kunnen verklaren en verantwoorden’ Artificial Intelligence (AI) wordt – met dank aan Hollywood - door veel mensen geassocieerd met robots die de wereld willen overnemen. Daar is in elk geval op dit moment nog absoluut geen sprake van, meent de Canadese computerwetenschapper Yoshua Bengio, specialist op het gebied van neurale netwerken en deep learning. Maar het is wel degelijk belangrijk nu al heel goed na te denken over de impact en consequenties van het gebruik van AI in onze samenleving. Bengio sprak tijdens een bijeenkomst over AI in Montreal met Patrice Caine, CIO van Thales Group, een specialist op het gebied van technische oplossingen voor lucht- en ruimtevaart, transport, defensie en beveiliging. De toepassing van AI is cruciaal om in al deze sectoren sneller en beter onderbouwd beslissingen te kunnen nemen, meent Caine. “Maar als we onze beslissingen baseren op geautomatiseerde analyses en processen moeten we er wel voor zorgen dat deze systemen hun werk kunnen verklaren en verantwoorden.”
Vertrouwen in AI Caine noemt dit ‘a priori trust’: zuivere resultaten gebaseerd op zuivere data. In ons dagelijks leven is het al een uitdaging om onze beslissingen niet te baseren op onbewust gekleurde informatie. Nog moeilijker is het ervoor te zorgen dat we geautomatiseerde systemen voeden met data die bijvoorbeeld een goede reflectie zijn van de enorme diversiteit in deze wereld. “Wij mensen zijn ons al niet bijster goed bewust van onze eigen motivaties”, zegt Bengio. “We moeten er rekening mee houden dat wat we nu AI noemen in feite nog heel dom is. Het heeft maar een heel erg oppervlakkig begrip van de wereld om ons heen.” Dat legt een grote verantwoordelijkheid bij de partijen die gebruikmaken van AI. Zeker als het gaat om de inzet van AI in kritieke systemen. Gerben Edelijn, CEO van Thales Nederland: “Als de kunstmatige intelligentie van Spotify mij verkeerde 32 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
muziek aanraadt, is dat hooguit irritant. Als het gaat om leven en dood, moeten we heel goed weten hoe de algoritmes van dit soort systemen in elkaar zitten en op welke basis ze ons helpen in onze besluitvorming.” Om die reden werkt Thales nu aan een zogeheten ‘charter’ over ethiek en digitale transformatie, vertelt Caine: een document waarin de ethische en morele grenzen zijn vastgelegd waarbinnen het gebruik van AI zich kan ontwikkelen. Het charter, dat in de loop van dit jaar wordt gepubliceerd, draait volgens Caine om vertrouwen, waakzaamheid en beleid. “Vertrouwen in wat AI doet en hoe het werkt, waakzaamheid rond de ethische impact van AI op de toepassingen die wij leveren, en beleid waarmee we
ethische overwegingen een centrale plaats geven in al onze beslissingen.”
‘Thales werkt aan een zogeheten ‘charter’ over ethiek en digitale transformatie’
AI voor veiligheid De uitdaging van dit voornemen wordt heel duidelijk uit de vele nieuwe toepassingen van AI die momenteel worden ontwikkeld. Mike Balm, directeur New Business bij Thales Nederland, houdt zich bezig met AI om vele databronnen, die betrekking hebben op onze veiligheid, op een intelligente manier te kunnen samenbrengen. Er zijn talloze databronnen die ons in potentie samen in staat stellen veel sneller en adequater te reageren op calamiteiten. De uitdaging is dat al die data niet zomaar altijd gecombineerd kan worden. “Als een ziekenwagen naar een adres op weg is, weet de politie soms dat er op het betreffende adres meer aan de hand is, bijvoorbeeld dat er iemand woont die eerder is veroordeeld voor bezit van vuurwapens”, vertelt Balm. “Maar dat mogen ze niet zomaar over de radio met die ambulanceverpleegkundigen delen, omdat anderen die ook naar de radio luisteren dit niet mogen weten.” Wet- en regelgeving zet belangrijke beperkingen op het gebruik van databronnen en het delen van informatie. Maar onder bepaalde omstandigheden, zoals levensbedreigende situaties, maakt de wet plots veel meer mogelijk en moet sommige informatie zelfs worden gedeeld. De uitdaging was een systeem te verzinnen dat reddingsdiensten in staat stelt zeer snel te schakelen, zodat in noodgevallen alle relevante informatie ook direct toegankelijk wordt naar enkel die individuen die op dat moment bevoegd zijn, maar dat na afloop die toegang tot informatie ook weer kan worden afgesloten. Daarvoor heeft Thales Nederland nu een oplossing ontwikkeld. “Momenteel verschuilen organisaties zich achter dikke muren en is het heel lastig om gedoseerd en gecontroleerd informatie te delen. Met onze oplossing beveiligen we informatie op dataniveau in plaats van deze te verschuilen achter firewalls, zodat wij heel gericht toestemming kunnen geven om bepaalde (delen van) informatie te
verstrekken en we die toestemming ook heel snel en eenvoudig weer kunnen intrekken.” De oplossing van Thales is bovendien in staat uit zeer diverse API’s en datatypes relevante informatie te halen.
Mobiliteitsoplossingen Artificial Intelligence kan ook goed worden ingezet voor commerciële toepassingen. Mathijs Voorend, Marketing Manager bij Thales Group, werkt bijvoorbeeld aan MaaS voor openbaar vervoer. MaaS (Mobility as a Service) maakt het mogelijk allerlei verschillende vervoersoplossingen aan elkaar te koppelen en te bundelen. Daarbij gaat het niet alleen om de data van OV-partijen als NS, RET of GVB, maar ook om bijvoorbeeld Uber, taxi’s of fietsverhuurders. “Er komen steeds meer vervoersoplossingen bij”, vertelt Voorend, “Van elektrische steps tot watertaxi’s, drones en deelauto’s. Met MaaS koppel je al die opties in één app, die de ideale oplossing voor je uitwerkt en gelijk voor je afrekent.” Volgens Voorend is MaaS voor stedelijke gebieden een uitkomst. Hij verwacht zelfs dat de eigen auto door dit soort oplossingen voor veel mensen in feite overbodig wordt. Maar ook voor dienstverleners en overheden is het ideaal. “Hoe meer reizigersinformatie we dankzij AI kunnen koppelen, hoe beter we in staat zullen zijn vervoersstromen te managen, zodat we de openbare ruimte veel effectiever kunnen benutten.” Ongewenste bijeffecten van verstedelijking, zoals vervuiling, congestie en zelfs criminaliteit, worden veel beter beheersbaar als verkeer actief kan worden gestuurd.
Controle over AI Dergelijke ontwikkelingen zijn onvermijdelijk, meent Edelijn, maar we moeten er wel over blijven praten: “De samenwerking tussen mens en computer
is een feit. Als we het hebben over zelfrijdende treinen, maakt iedereen zich direct zorgen over het lot van de machinist. Als reactie moeten we niet proberen de techniek tegen te houden, maar moeten we ons afvragen wat we voor die machinist kunnen doen.” Yoshua Bengio schat dat zo’n 50% van de werkzame bevolking vroeg of laat bij- of omgeschoold moet worden, doordat intelligente systemen delen van hun werk overnemen. Maar ook hij denkt niet dat dit een reden moet zijn om de ontwikkeling af te remmen. In tegendeel: “Het laatste wat we willen is dat mensen met minder goede bedoelingen een voorsprong opbouwen.” Hij roept dan ook op tot internationale samenwerking en coördinatie: “Als we zorgen dat we snel meer kennis en ervaring opbouwen, stelt ons dat ook in staat onszelf beter te beschermen tegen de negatieve kanten van AI.” Technologie is uitermate geschikt om complexe situaties hanteerbaar te maken, zeker als ze hoge handelingssnelheid vereisen, zegt Patrice Caine. “Thales gebruikt AI bijvoorbeeld op marineschepen, waar luchtafweergeschut in een fractie van een seconde het verschil tussen een zeemeeuw en een hypersonische raket moet kunnen zien.” Maar AI blijft niet beperkt tot high tech defensieoplossingen. Het dringt nu door tot ons dagelijks leven. De internationale gemeenschap probeert hier momenteel een gezamenlijk standpunt over in te nemen, maar Caine vindt dat de industrie daar niet op mag wachten. “Met AI moeten we heel voorzichtig zijn, juist als het gaat om mensenlevens. Deels vanwege wettelijke aansprakelijkheid, maar vooral vanuit ethisch oogpunt en morele verantwoordelijkheid.” VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 33
SECURITY-ISSUES
Will LaSala van OneSpan:
‘Nog nooit was security
zo belangrijk voor banken’ Met PSD2 en de komst van de grote tech-giganten staat de banken een roerig jaar te wachten. Security speelt hierin een absolute hoofdrol. Klanten eisen een goede maar gebruikersvriendelijke aanpak van beveiliging, terwijl een misstap tot een publiek schandaal kan leiden die juist de gevreesde tech-giganten in de klaart kan spelen. Will LaSala, OneSpan’s Director of Security Services, benoemt vijf security-issues die de komende periode van cruciaal belang zullen zijn voor banken.
34 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
‘In het kader van Open Banking zullen we veel discussies tegenkomen over het gemak van het authenticatieproces’
1
Strengere regelgeving zal aanzet geven tot initiatieven op het gebied van bestrijding van datalekken
Sinds enkele jaren wordt elk komend jaar ‘het jaar van de datalekken’ genoemd. Deze trend zal vooralsnog onveranderd blijven. De noodzakelijke initiatieven voor de aanpak van datalekken - en simpelweg niet alleen het naleven van de regels - zullen essentieel worden om de gegevens volledig te begrijpen. Aangezien het aantal en de ernst van datalekken blijft toenemen, is het van het allerhoogste belang dat organisaties op tijd kunnen reageren. Regelgeving zoals GDPR verplicht organisaties om onmiddellijk te reageren en inbreuken op persoons gegevens te melden. Zes maanden na de inwerkingtreding van GDPR lijkt het heel ‘normaal’ dat de termijn van 72 uur voor het melden van datalekken niet wordt gehaald. En dat terwijl er toch boetes van maximaal tien miljoen euro of twee procent van de wereldwijde jaaromzet kunnen worden opgelegd. Nu steeds meer landen strenge wetgeving op het gebied van gegevensbescherming aannemen, is het verrassend om te zien dat veel organisaties nog steeds onvoldoende zijn toegerust om te reageren op een datalek. Naarmate datalekken in omvang blijven toenemen, zullen ook de kosten voor de afhandeling van de nasleep ervan toenemen. Met inbegrip van de boetes die worden opgelegd voor het niet tijdig opsporen van en reageren op incidenten. Organisaties zullen zich met meer middelen moeten voorbereiden op een mogelijk datalek.
2
Open bancaire standaarden en nieuwe technologieën zullen innovatie in de financiële dienstverlening teweegbrengen
Een van de belangrijkste trends die we in 2019 zullen zien is de wereldwijde adoptie van Open Banking, vooral in het Verenigd Koninkrijk, de Europese Unie en Azië-Pacific (voornamelijk in Singapore, Hongkong en Australië). Open Banking stelt ‘third-party payment service providers’ (TPP’s) in staat om consumentengegevens over hun financiële geschiedenis te verkrijgen van banken en rechtstreekse betalingen te initiëren via bankrekeningen. TPP’s hebben de mogelijkheid om innovatieve financiële diensten voor consumenten en ondernemingen te ontwikkelen, zoals toepassingen voor het samenvoegen van rekeningen en nieuwe betalings methoden rond API’s die door banken worden aangeboden. Dit zou moeten leiden tot meer uiteenlopende betalingsmechanismen, met lagere kosten en meer gebruikersgemak. In het kader van Open Banking zullen we veel discussies tegenkomen over het gemak van het authenticatieproces. Wanneer de gebruiker toegang wil krijgen tot een bankrekeningapplicatie via de toepassing van een TPP, moet de gebruiker worden geauthenticeerd door de bank en moet de authenticatiestroom worden geïntegreerd in de toepassing van de TPP. De authenticatie moet gebeuren op een veilige manier die tegelijkertijd handig is voor de gebruiker. Anders zullen gebruikers de TPPtoepassingen niet adopteren. Er is nog steeds veel discussie tussen financiële
instellingen, TPP’s en toezichthouders over de vraag hoe deze authenticatie dient te gebeuren. Er liggen verschillende benaderingen op tafel, bijvoorbeeld embedded, redirection en decoupled. Deze discussie zal vooral plaatsvinden in de Europese Unie, aangezien financiële instellingen tegen september 2019 Open Bank API’s moeten aanbieden, in overeenstemming met het tijdschema dat is vastgelegd in de technische reguleringsnormen van PSD2.
3
Macht van de consument dwingt banken en financiële instellingen tot betere veiligheid en ervaringen
Het meest waardevolle bezit van een financiële instelling is haar klanten. In 2019 wordt intelligente authenticatie een noodzaak voor financiële instellingen om betere ervaringen op te doen, de kosten te verlagen, de risico’s te verminderen en de inkomsten te verhogen. Dit alles zorgt voor een concurrentievoordeel. Consumenten willen de beveiliging niet meer zien of ervoor betalen, ze verwachten het gewoon. Vandaag de dag zijn banken en financiële instellingen al op zoek naar manieren om de online en mobiele transacties van hun klanten te vereenvoudigen en tegelijkertijd te beveiligen. Dit begint met het gebruik van adaptieve authenticatie en controle binnen hun platformen en infrastructuur. De volgende stap is volledige en continue intelligente authenticatie die misstappen voorkomt, zoals het tegenhouden van een gebruiker bij de voordeur tijdens het inloggen of het
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 35
security-issues
vragen van gebruikers om dezelfde handeling te verrichten ongeacht het potentiële risico dat aan de transactie verbonden is. Klanten verwachten dat hun bankapplicaties beveiligd zijn vanaf het moment dat ze de applicatie downloaden. Door het dagelijks gebruik van de applicatie en het gebruik van nieuwe functies en producten zullen banken en FI’s geen andere keuze hebben dan hun core-systemen en -technologieën zoals alledaagse bankapps te versterken met slimme technologie die zorgt voor het juiste niveau van authenticatie op het juiste moment.
invoeren dat verder gaat dan alleen maar scannen en het verhelpen van beveiligingsfouten. Geavanceerde technologieën zoals intelligente authenticatie zorgen voor de juiste werknemers, gebruiken het juiste niveau van authenticatie op het juiste moment, zijn de sleutel tot een succesvolle beveiligingsinfrastructuur en voorkomen toekomstige kwetsbaarheden in de organisatie. We zullen de rol van DevSecOps volledig ingebed zien in enterprise security-teams en volgend jaar zullen we zien dat deze teams snel groeien binnen organisaties om enterprise applicaties te beschermen.
4
5
DevSecOps zal een belangrijke rol spelen in Enterprise Security Applications
De rol van DevOps en DevSecOps is verder geëvolueerd dan slechts het beschermen van apps voor consumenten en onderzoekt nu hoe interne bedrijfs applicaties, zoals de single sign-on applicaties van een organisatie, kunnen worden beschermd. We zullen zien dat DevSecOps gebruik zal maken van intelligente authenticatie-technologie om de potentiële risico’s verbonden aan de applicatieplatforms van werknemers te beschermen en te vereenvoudigen. Met ongeveer dertig procent van alle aanvallen die het gevolg zijn van een kwetsbaarheid in de applicatielaag, zullen organisaties een volwassen, veilig software-ontwikkelingsproces moeten
Het beveiligen van het gsm-kanaal zal een riskante onderneming blijven, terwijl overlay- en phishing-aanvallen evenals malware-bedreigingen voor mobiele apps nog gevaarlijker worden.
2019 zal waarschijnlijk een nog rooskleu rigere toekomst voor de ontwikkeling van mobiele apps met zich meebrengen. Hoewel het niets nieuws is voor de app-wereld, zijn verschillende spraakmakende bedrijven aangevallen en zijn gebruikers meer dan ooit bezorgd over privacy. Nieuwe en oude aanvallen op mobiele apparaten en toepassingen lijken dagelijks te verschijnen, maar financiële instellingen en organisaties ondernemen nog steeds geen proactieve stappen om de apps van de gebruiker op
36 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
hun apparaten te beschermen. Verwacht wordt dat sommige van de beste koppen in de industrie nog harder zullen werken om de beste bescherming te bieden tegen hacking en phishing-aanvallen om deze prangende zorg te beteugelen. In 2019 zal applicatiebeveiliging een belangrijke rol blijven spelen bij de bescherming van mobiele applicaties. De afscherming van mobiele apps kan elke manipulatie met een mobiele app detecteren en beperken om de kwaadaardige code te stoppen voordat deze schade kan veroorzaken. Daarnaast zien we een aantal van de meest serieuze bedreigingen in mobiele aanvallen, phishing-aanvallen en mobiele app-bedreigingen alleen nog maar gevaarlijker worden. Studies tonen aan dat gebruikers drie keer meer kans lopen om te worden getroffen door phishingaanvallen via mobiele apparaten dan via andere manieren en we zullen deze trend in 2019 zien oplaaien. Ransomwareaanvallen op mobiele apparaten zullen ook blijven toenemen, evenals een toename van het aantal code-injectie aanvallen. Deze multi-payload-aanvallen zullen in 2019 een van de engste bedreigingen zijn en helaas zijn ze voor iedereen ook nog eens gemakkelijk te ontwikkelen. WILL LASALA, Director of Security Services, Security Evangelist, OneSpan
Mijngegevens blijveninEuropa. Als Duitse onderneming zijn wij onderworpen aan de Duitse gegevensbescherming en vele andere strenge wetten met betrekking tot de verwerking van persoonsgegevens. Maar onze claim gaat veel verder. De privacy van onze klanten is voor ons net zo belangrijk als de veiligheid van de systemen. Daarom scheiden wij de verwerking van persoonlijke data strikt van de verwerking van vrijwillig doorgegeven data en werken we niet samen met de Duitse BND, de Amerikaanse NSA of een andere inlichtingendienst – daar hebben we ons toe verbonden.
gdata.nl
STRATEGIE
Smart Home IoT en BYOD:
Veiligheidsmentaliteit is onontbeerlijk Het Internet of Things (IoT) is ons dagelijks leven binnengedrongen - zowel privĂŠ als zakelijk. Wereldwijd heeft de gemiddelde persoon nu drie tot vier aangesloten producten. In 2020 zal dit aantal naar verwachting stijgen tot zes tot zeven apparaten per persoon, wat in totaal ongeveer 50 miljard aangesloten producten oplevert. Hier liggen grote kansen voor securityaanbieders, want gebruikers zullen hun mentaliteit moeten veranderen en betere technische maatregelen moeten nemen.
38 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
‘Als voice/AI-diensten als Amazon Alexa of Google Home verschuiven van het slimme huis naar empowerment van bedrijven, betekent dit ook een verhoogd risico voor het bedrijfsnetwerk’ In hun smart homes bedienen gebruikers - naast mobiele telefoons, laptops en tablets - ook slimme, programmeerbare tv-toestellen, huishoudelijke apparaten, camera’s, sloten, verlichting en nog veel meer. Het gebruik van voice/AI-diensten en ‘smart speakers’ - zoals Amazon Echo, Google Home en Apple HomePod - zal de komende jaren verder groeien.
Aantrekkelijk IoT-connectiviteit biedt cybercriminelen een aantrekkelijk platform om cyber attacks te lanceren. In het verleden hebben zij al misbruik gemaakt van eenvoudig te gebruiken slimme thuisoplossingen om populaire websites en diensten aan te vallen in groot schalige DDoS-aanvallen. Vorig jaar waarschuwde de FBI dat een geavanceerde Russische hackingcampagne, bekend als ‘VPNFilter’, wereldwijd meer dan 500.000 routers en andere apparaten voor het creëren van thuisnetwerken had geïnfecteerd, waardoor routers voor kleine kantoren en huizen onbruikbaar werden. Fabrikanten moeten ervoor zorgen dat hun oplossingen veilig zijn door ontwerp en de standaard instellingen, vrij van alle bekende kwetsbaarheden en voorzien van een goed systeem voor het instal leren van software-updates en patches. Security moet integraal deel uitmaken van de algehele veiligheid, inter operabiliteit en kwaliteit van het internet of Things. Bij UL helpen we ervoor te zorgen dat oplossingen en producten worden getest als onderdeel van een compleet IoT-systeem en op de manier waarop ze in het echt worden gebruikt. Een belangrijke doelstelling voor IoT-fabrikanten is dit jaar om beveiligingsrisico’s te minimaliseren en
oplossingen en producten te beschermen tegen bijvoorbeeld onbedoelde of onbevoegde toegang tot bijvoorbeeld privacygevoelige gegevens, onbedoelde en ongewenste veranderingen of verstoring van de correcte werking van een apparaat.
Tips Hoe dient een eindgebruiker zich te beschermen tegen dit soort risico’s? De onderstaande ‘best practices’ kunnen helpen om gebruikers veilig te houden: • Onveilige set-up. Veel IoTapparaten kunnen worden bestuurd en moeten vanaf een mobiele telefoon worden ingesteld. Om het apparaat op een netwerk aan te sluiten, zal het apparaat eerst een draadloos toegangspunt blootleggen waarop de mobiele telefoon verbinding kan maken om de netwerkreferenties te verzenden. Hoewel dit een snel proces kan zijn, kan het criminelen een kort venster bieden om aan te vallen als de communicatie tussen het IoT-apparaat en de mobiele telefoon niet goed beschermd is. Een onveilige set-up kan er dus toe leiden dat aanvallers toegang krijgen tot het thuis- of bedrijfsnetwerk en andere apparatuur die ermee verbonden is. • Niet-geverifieerde firmwareupdates. Om de best practice te ondersteunen dat fabrikanten hun IoT-apparaat gedurende de gehele levensduur voorzien van softwareonderhoud en eventuele nieuwe producteigenschappen, zullen regelmatig firmware-updates en patches worden vrijgegeven. Daarom is het belangrijk dat dit update-proces goed en volledig beveiligt. Er zal
krachtige cryptografie moet worden toegepast over de gehele firmware en het apparaat mag geen pogingen toestaan om een oudere versie van de software te installeren. Die bevat immers zeer waarschijnlijk tientallen bekende kwetsbaarheden. Bovendien moet het update-proces de authenticatie voor verschillende doeleinden ondersteunen, niet alleen om het firmware-image zelf te authenticeren, maar ook de partij die de update verspreidt. Als een apparaat geen authenticatie van de update-server nodig heeft, dan kunnen aanvallers een eigen update-server opzetten en kwaadaardige updatebestanden aanbieden. • Onveilige clouddiensten. De belangrijkste reden dat IoToplossingen verbonden zijn met het internet is omdat hun ‘hersenen’ zich veelal in de cloud bevinden. De cloud is het middelpunt van een hele populatie van IoT-oplossingen en daarom van groot belang voor aanvallers. De cloud is in theorie aan iedereen blootgesteld en kan fungeren als een aanvalspunt om alle apparaten die erdoor worden aangestuurd uit te buiten. Ook hier zijn goede beveiligingsmaatregelen nodig om ervoor te zorgen dat alleen de juiste gebruiker toegang heeft. • Kwetsbare software. Veel IoToplossingen maken gebruik van commerciële of open source softwarecomponenten, omdat ze de ontwikkeling van oplossingen eenvoudiger maken en daardoor een kortere time-to-market mogelijk maken. Aangezien dit soort componenten op grote schaal worden
INFOSECURITY MAGAZINE | NR. 1 | MAART 2019 | 39
Strategie
gebruikt zijn ze interessant voor aanvallers, omdat het gebruik van dergelijke componenten de deur kan openen tot talloze apparaten, systemen en toepassingen. De WannaCry-aanval maakte bijvoorbeeld gebruik van een Windows exploit om in slechts een maand tijd honderdduizenden systemen wereldwijd te infecteren. Het up-todate houden van software van derden is cruciaal voor de beveiliging van oplossingen die dergelijke software bevatten. • Standaardinstellingen. Met het oog op een efficiënte productie worden veel IoT-oplossingen uit de fabriek vrijgegeven met instellingen als standaard wachtwoorden. Als deze standaardinstellingen onveranderd blijven, neemt de kans dat aanvallers de IoT-oplossing met succes hacken sterk toe. Om dit tegen te gaan, moeten deze standaardinstellingen waar mogelijk uniek zijn en dienen deze instellingen tijdens de setup te worden gewijzigd. Overigens zullen een aantal nationale overheden dit vanaf 2020 verplicht stellen.
Aansprakelijkheid Onveilige IoT-oplossingen en -producten voor gebruik thuis hebben ook invloed op de werkplek als de veiligheidsrisico’s niet worden beheerd door effectieve Bring your own device (BYOD) maatre gelen en -beleid. Ook hier liggen dus kansen voor aanbieders. Medewerkers brengen al jaren hun eigen mobiele telefoons en tablets mee naar de werkplek. Tegenwoordig brengen zij ook smart speakers, tv’s, wearables en andere smart gadgets mee om verbin ding te maken met het bedrijfsnetwerk. Als de beveiliging van BYOD niet weldoordacht wordt beheerd, zullen kleine en middelgrote ondernemingen worden blootgesteld aan nieuwe risico’s - en wellicht ook aansprakelijkheid.
conferenties. Niet alleen leveren ze verhoogde veiligheidsrisico’s op, maar ook risico’s voor de privacy. Het moet voor gebruikers, gasten en medewerkers transparant zijn hoe hun (spraak) gegevens worden gebruikt en of en hoe die gegevens worden beschermd. Als UL pleiten wij er niet voor om terug te gaan naar oude tijden en de innova ties van het Internet of Things tegen te houden. Wij pleiten er echter wél voor om IoT bewust en met voorzichtigheid te omarmen. Zorg dus voor een - wat we maar even zullen noemen - veiligheids mentaliteit en beschouw veiligheid en privacy als een integraal onderdeel van de IT-omgeving. Maar natuurlijk ook van het product of de dienst dat iedere onderneming aan zijn klanten levert.
Voice/AI-diensten op kantoor Als voice/AI-diensten verschuiven van het slimme huis naar empowerment van bedrijven, betekent dit ook een verhoogd risico voor de onderneming als er onveilige IoT-apparaten en -toepas singen worden gebruikt die gegevens verzamelen en kwetsbaarheden voor het bedrijfsnetwerk met zich meebrengen. Een goed voorbeeld hiervan zijn slimme speakers in hotels of smart tv’s voor
40 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
GONDA LAMBERINK en LAURENS VAN OIJEN zijn werkzaam voor UL (Underwriters Laboratories) op het gebied van Identity Management & Security
Betrouwbare ICT verbindt organisaties. TT3P vormt de brug
Een goede informatiebeveiliging biedt zekerheid en geeft vertrouwen. Maar hoe pak je het aan? Wanneer is het goed genoeg? En hoe maak je het aantoonbaar? The Trusted Third Party (TT3P) helpt daar het antwoord op te vinden. Meer informatie vind je op www.tt3p.nl
BLOG
Een veilig netwerk, hoe doe je dat? Wie een middelgroot tot groot netwerk in gebruik heeft, zal het beveiligen hiervan als haast onmogelijk ervaren. Maak bovendien niet de fout te denken dat u geen doelwit bent: er worden per dag honderden inbraakpogingen gedaan bij mkb-ondernemingen. Het beveiligen van het netwerk is dus een uiterst belangrijk proces. U bent al kwetsbaar als slechts één regel in uw router of firewall verouderd is. Maar ook als de laatste update niet is geïnstalleerd. De eerste stappen op weg naar een veilig netwerk vereisen vooral inzicht in deze omgeving. Denk hierbij aan een visueel overzicht van de firewalls, de routers en switches. Ook is het belangrijk antwoord te kunnen geven op de vraag welke rules, IP-adressen en poorten hierbij worden gebruikt en welke open staan. Goed inzicht levert een visueel plaatje op dat het aanvalsoppervlak (‘attack surface’) laat zien. Dit kan zonder een uitgebreide scan en aan de hand van de meest recente ‘vulnerability database’. Kwetsbaarheden worden gerangschikt op basis van - zeg maar - exploiteerbaarheid. Denk hierbij niet alleen aan ernstig, hoog of middelgroot. Er wordt ook gekeken naar de vraag welke kwets baarheden daadwerkelijk worden uitgebuit. Een cybercrimineel is eerder geïnteresseerd in middelgrote en hoge kwetsbaarheden, dan in de ernstige issues, aangezien de ernstige issues veelal als eerste aangepakt wordt door een ICT-team.
Deception technology Zelfs als we ons best doen om alles zo veilig mogelijk te maken, kan het zijn dat er iemand of iets weet binnen te dringen. Denk aan een met malware geïnfecteerde laptop, een zero day exploit of een werknemer met kwaadaardige bedoelingen. Om dit probleem op te lossen, werken we met ‘deception technology’. In feite plaatsen we daarmee (virtuele) imitatie-machines in het netwerk die als ‘honeypot’ functioneren. Ze imiteren routers, servers, workstations, iOS-systemen en dergelijke. Deze honeypots zijn minimaal beveiligd en bevatten data die heel echt lijken. Om de doelwitten nog aantrekkelijker te maken, worden overal op het netwerk lokazen verspreid die naar de imitatie-machines doorverwijzen. Deze lokazen kunnen de vorm nemen van bijvoorbeeld documenten, Excel-bestanden, bookmarks en RDP-sessies. Dit heeft als doel de indringer weg te houden van het echte netwerk. Het mooie hieraan is dat wanneer iemand een poging doet om verbinding te maken met deze machines, deze poging gelijk zichtbaar is. 42 | MAART 2019 | NR. 1 | INFOSECURITY MAGAZINE
Het zal hoogstwaarschijnlijk of altijd daadwerkelijk gaan om iemand (of iets) met kwaadaardige bedoelingen.
Is dit genoeg? Veel mensen vergeten dat sommige systemen al jaren onderdeel zijn van het bedrijfsnetwerk, zonder dat iemand er ooit naar om kijkt. Dit betekent dat als er zwakke plekken bestaan in het netwerk of iemand van binnen het bedrijf kwaadaardige bedoelingen heeft, deze systemen in feite wijd open staan. Het is daarom erg belangrijk om te werken met experts die er voor zorgen dat er geen enkele zwakke plek in het netwerk bestaat. Bij voorkeur via een aanpak op basis van onder andere firewalls, slimme auditing en programma’s die autorisatie automatisch regelen (voor de juiste personen). Deze aanpak moet uiteraard wel juist ingericht worden. Kies daarom een partner die over de juiste tools beschikt om dit uit te voeren. Tot op heden is er voor de IBMi geen virus bekend, maar dat betekent niet dat de fileshares (IFS) vrij zijn van virussen voor andere systemen. Hier moet goed over nagedacht worden.
De juiste tools Het is van cruciaal belang te beseffen dat het niet voldoende is om één aspect van het netwerk te beveiligen. Om een veilige netwerkomgeving te creëren, moet er gekeken worden naar zowel de individuele componenten waaruit het netwerk is opgebouwd als naar het netwerk als geheel. Dat is geen gemakkelijke opgave, maar er bestaan goede tools en partners die het allemaal mogelijk maken! JAMES CHENEY, SRC Secure Solutions, www.srcsecuresolutions.eu
Ik heb weer tijd om te genieten mogen helpen bij hun plannen. En dan te kijken
Net als Bernhard, ook weer tijd hebben om te genieten?
naar de juiste balans tussen werk en privé. We
Bel Bernhard persoonlijk op 038 4674203 of
nemen regelmatig personeel over in de payroll.
kijk op www.bcgroup.nl/ondernemen voor
Zodat de ondernemer weer tijd heeft om te
meer informatie.
“Het is heel uitdagend om ondernemers te
genieten! Ik kan dat ook, omdat ik een team van gespecialiseerde HR-medewerkers achter me heb staan.”
“Net als Marco, Thea, Linda, Arjan, Albert en Hennie meer tijd voor ondernemen?” – Bernhard Nanninga
Uw full service HR partner in payroll
CyberSecurity Specialist? Hack your career at Sogeti. De top van het Nederlandse bedrijfsleven ĂŠn de overheid kiest voor Sogeti en haar cybersecurity expertise. Alle reden voor jou om hetzelfde te doen. Als CyberSecurity Specialist wil je immers niets liever dan opereren in de frontlinie van de ontwikkelingen en voorop lopen bij toporganisaties. En daar krijg je bij Sogeti alle ruimte voor. Naast een breed aanbod van trainingen, cursussen en certificeringstrajecten vind je bij ons de gaafste projecten. In uiteenlopende sectoren. Waar je ook aan de slag gaat, als CyberSecurity Specialist laat jij klanten zien dat cybercriminaliteit bij Sogeti geen kans heeft! Is cybersecurity jouw passie en wil jij onze klanten beveiligen? Hack your career! Kijk voor onze vacatures op www.sogeti.nl/cybersecurityspecialist
