Infosecurity Magazine 01/2018 by Magenta Communicatie

INFO

SECURITY MAGAZINE

JAARGANG 17 - MAART 2018 - WWW.INFOSECURITYMAGAZINE.NL

GDPR GAAT NIET ALLEEN OVER GEGEVENSBEVEILIGING

IOT-BOTNETS, VERZEKERINGEN EN DE CRYPTOBUBBLE

AAN DE SLAG MET

CYBERSECURITY

CYBERAANVALLEN VOORKOMEN EN BESTRIJDEN MET REALTIME MONITORING

EDITORIAL: ROBBERT HOEFFNAGEL

CERTIFICERING EN TRAINING

COLOFON

ALS HET GOED IS, IS HET GOED.

Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@fenceworks.nl.

Maar verbetering zit in een klein hoekje.

Uitgever Jos Raaphorst 06 - 34 73 54 24 jos@fenceworks.nl twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 robbert@fenceworks.nl twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel Advertentie-exploitatie Jos Raaphorst 06 - 34 73 54 24 jos@fenceworks.nl Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk CHAPO nv

Certificeren? Dan moet u voldoen aan de norm. DNV GL toetst u snel en goed. Maar iedereen houdt van opstekers, niet van standjes. Daarom kijken we bij certificering ook naar wat goed gaat en zelfs nog beter kan. Op die gebieden die voor uw bedrijf of organisatie belangrijk zijn. Aandachtspunten waarop u zélf beoordeeld wilt worden. Certificering die net even verder voert. Want verbetering zit in een klein hoekje.

Stappenplan ISO 27001/NEN 7510 Download kosteloos de whitepaper 'Stappenplan naar informatiebeveiliging' www.dnvgl.nl/whitepapers

Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 info@fenceworks.nl © 2018 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.

U kunt ons bereiken via 010 2922 700 of www.dnvgl.nl Meer informatie: www.infosecuritymagazine.nl

SAFER, SMARTER, GREENER 2 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

Het gevaar van automatisering Voor CloudWorks, een zusterwebsite/magazine van Infosecurity Magazine, schreef ik onlangs een blog over de vraag: wie checkt eigenlijk de algoritmes? En er vanuit gaande dat zo’n controle inderdaad plaatsvindt: op welke aspecten worden algoritmes dan precies gecontroleerd?

Ik schreef die blog naar aanleiding van het almaar spannender wordende onderzoek van special prosecutor Robert Mueller naar de inmenging van Rusland in de laatste Amerikaanse presidentsverkiezingen. Een van de opmerkelijke constateringen die we nu al kunnen doen, is dat de algoritmes van met name Facebook en Google/YouTube door de Russen kennelijk heel gemakkelijk konden worden misbruikt. Al vraag ik mij zo langzamerhand af of hier wel sprake was van misbruik. Misschien moeten we wel gewoon zeggen: gebruik. Want kennelijk zijn deze algoritmes opgezet op een manier die dit soort beïnvloeden heel makkelijk mogelijk maakt. Met als gevolg dat een complete Westerse maatschappij verscheurd dreigt te worden. En zie wat er in de UK gebeurde met de Brexit. Een drama waar de Russen zich volgens tal van intelligence-experts ook enthousiast mee hebben bemoeid. Het probleem is dat wij als Westerlingen ons tot voor kort nauwelijks hebben gerealiseerd hoeveel macht wij hebben gegeven aan een handvol bedrijven. Veel mensen hebben hun complete sociale leven (en meer) op Facebook gezet. Steeds meer bedrijven zijn in belangrijke mate afhankelijk van advertising via YouTube, Instagram of datzelfde Facebook. En dat doen we allemaal zonder dat we weten hoe deze bedrijven eigenlijk vraag en aanbod bij elkaar brengen. We horen daar prachtige cijfers over, maar ook steeds meer geklaag. Hoe kan het dat een commercial over tandpasta of hondenbrokken getoond

wordt bij video’s of berichten over geweld, kindermishandeling of erger? Waarom hebben we onszelf zo afhankelijk gemaakt van een handvol corporates die totaal geen inzicht geven in hun algoritmes? Sterker nog: die niet eens mensen beschikbaar stellen als we daar vragen over hebben? Want probeert u maar eens een mens-van-vlees-enbloed aan de telefoon te krijgen als u een vraag heeft over een campagne die u via een van hen wilt doen. Gaan we met security niet dezelfde kant op? Steeds vaker horen we dat machine learning patronen kan halen uit de enorme hoeveelheid meldingen die onze security-tools ophoesten. Netwerkverkeer met mankracht in de gaten houden is niet te doen, dus laten we machine learning-tools deze klus klaren. Maar hoe doen ze dat eigenlijk? Hoe kijken zij naar al die data en hoe komen zij tot de conclusie dat er wel eens een relatie zou kunnen bestaan tussen twee of meer gebeurtenissen? Automatisering kan onze productiviteit flink verhogen. Maar heeft ook belangrijke gevaren in zich. Gevaren die alles te maken hebben met het black box-karakter van veel van de tools die we gebruiken. Maar als we niet weten hoe die zwarte dozen van binnen werken, hoe weten we dan eigenlijk in hoeverre we goed bezig zijn? Zijn we dan inderdaad de veiligheid aan het vergroten? Of draaien we onszelf opnieuw - net als bij social media - een rad voor ogen? ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 3

Inhoud

INFOSECURITY NUMMER 01 - MAART 2018 - JAARGANG 17

6 9 12 14 16 20 23 24 26

Camera’s beter beveiligen tegen cyberaanvallen KPMG: ‘Nederlander gaat massaal gebruikmaken van nieuwe privacyrechten’ Coprocessor-aanvallen: een verborgen dreiging Hackersgroep GOLD LOWELL zit achter je geld aan Platform van VZVZ geniet vertrouwen van meer dan 12 miljoen Nederlanders In zeven stappen een effectief security awareness programma Verborgen kwetsbaarheden in organisaties: papierstromen beveiligen DDoS-kwartaalrapport onthult ‘toevallige’ aanvallen en cybercriminelen op zoek naar geld GDPR gaat niet alleen over gegevensbeveiliging

AAN DE SLAG MET CYBERSECURITY

De datum 25 mei 2018 zal (hopelijk) bij bijna elke ondernemer en bij alle IT-professionals rood omcirkeld in de kalender staan. In publicaties als deze is al heel veel geschreven over de GDPR of de AVG. Aangezien de afkortingen staan voor General Data Protection Regulation en Algemene Verordening Gegevensbescherming, ligt de nadruk op het beschermen van (persoons)gegevens. Niet ten onrechte. Maar wel ten onrechte is, dat er nauwelijks aandacht is voor netwerkbeveiliging in dit verband.

28 IoT-botnets, verzekeringen en de cryptobubble 32 De opkomst van de functionaris gegevensbescherming 34 Cyberaanvallen voorkomen en bestrijden met realtime monitoring 37 ‘Gestolen inloggegevens steeds vaker gebruikt door botnet’ 38 Werkcomputers geïnfecteerd met virus door ongeoorloofd internetgedrag werknemer 39 Hoe kunt u Security Transformation inbouwen met volledige zichtbaarheid van uw attack surface? 40 ‘Let bij multicloud goed op security’

Een groeiend aantal bedrijven is bezig hun data en belangrijkste bedrijfsapplicaties te verplaatsen naar de cloud. Of het nu gaat om een eenvoudige verplaatsing of een overstap naar een volledig ander platform, we zien dat klanten sneller dan ooit voor de cloud kiezen.

42 Voldoet u al aan de nieuwe richtlijn voor Cyber Security? 4 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

‘ICT ZORGT VOOR MENSEN’ HOOFDTHEMA VAN ZORG & ICT 2018 INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 5

STRATEGIE

Privacyzorgen

Camera’s beter beveiligen tegen cyberaanvallen Gartner voorspelt dat er eind 2018 ruim 11 miljard apparaten verbonden zijn met het Internet of Things en in 2020 meer dan 20 miljard. Een deel daarvan zijn camera’s, die voor steeds meer toepassingen worden gebruikt. Behalve voor de gebruikers en beheerders is het snelgroeiende aantal camera’s interessant voor cybercriminelen, om informatie te stelen of aanvallen mee uit te voeren. Tim De Craene, business development manager BeLux van Mobotix en Taco Tjalkens, business development manager Nederland pleiten voor het voorkomen van misbruik, door camera’s beter te gaan beveiligen tegen cyberaanvallen. Snelgroeiend aantal camera’s en toepassingen Camera’s beïnvloeden de levens van miljarden mensen. Variërend van toezicht op hun gedrag in de dagelijkse leefomgeving, werknemers in organi6 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

saties en slapende baby’s, tot het observeren van winkelbezoekers, productieprocessen, logistieke transporten en het scannen van kentekens. De snelle groei van het aantal camera’s en toepassingen is het gevolg van toenemende veiligheidszorgen, de beschikbaarheid van visuele sensoren in steeds meer producten en verbeteringen op het gebied van videosoftware. Vroeger was het bij cameratoezicht noodzakelijk dat beveiligingsmedewerkers 24/7 alle beelden in de gaten hielden voor het signaleren van afwijkend gedrag en incidenten. Tegenwoordig krijgen de gebruikers en beheerders van cameratoepassingen automatische berichten over beeldopnames die volgens de eigen instellingen interessant zijn. Een zorgwekkend gevolg van het snelgroeiend aantal camera’s en toepassingen zijn helaas ook de bijbehorende securityrisico’s.

Grootste securityrisico’s Dat camera´s een geliefd en kwetsbaar doelwit zijn

voor cyberaanvallen, bleek in 2016 bij de succesvolle DDoS-aanval op Amazon, Netflix, Twitter en andere sites, via een groot botnet van digital video recorders (DVR’s) en IP-camera’s. Begin 2017 slaagden hackers er zelfs in twee derde van de toezichtcamera’s van de politie in Washington tijdelijk over te nemen. De vijf grootste securityrisico’s bestaan uit: • aanvallen waarbij men het beheerderswachtwoord bemachtigt via een gehackt gebruikersaccount • ongeautoriseerde toegang via een ‘backdoor’ van de fabrikant • installatie en uitvoering van malware via de ‘Real Time Streaming Protocol’-pakketverwerker • kwetsbaarheden die het omzeilen van de gebruikersauthenticatie mogelijk maken en hackers toegang geven tot de configuratiebestanden • aanvallen op camera’s waarbij derden live video streams weten te onderscheppen Een groot deel van bovenstaande risico’s is het gevolg van kwetsbaarheden in gelicenseerde software of hardware van toeleveranciers en onvoldoende oog en aandacht voor het voorkomen ervan.

Terwijl de financiële en strafrechtelijke aansprakelijkheid met betrekking tot het hacken van camera’s nog ter discussie staan, komt er gelukkig al wel meer duidelijkheid in de regelgeving. Videobeelden vallen namelijk ook onder de nieuwe Europese richtlijn voor het beschermen van de persoonlijke informatie en privacy van mensen. Simpelweg omdat opnames van bijvoorbeeld het bezoeken van een psycholoog, of bijwonen van een politieke bijeenkomst, waardevolle informatie kan zijn. Tevens bestaat het risico dat op videobeelden andere persoonlijke informatie van mensen te zien is. In lijn daarmee werken overheden in de hele wereld ook aan richtlijnen om de volgende generatie IoT-apparatuur beter te beveiligen. Er is echter nog geen wereldwijde of industriespecifieke consensus en uniformiteit om mensen effectief te beschermen tegen misbruik van het snel toenemende aantal camera’s. “Als innovator op het gebied van digitale videotoepassingen beveiligen wij al onze oplossingen zo optimaal mogelijk vanaf het ontwerpstadium”, vertelt De Craene. “Daardoor bieden ze nu al de best mogelijke beveiliging tegen cyberaanvallen.”

Beveiligingsverschillen camera’s “Mobotix biedt in tegenstelling tot andere merken alleen toegang tot de camera via een webinterface”, licht De Craene toe. “Dit betekent dat klanten onze camera’s slechts via één poort kunnen configureren en beheren en die poort optimaal te beveiligen en te monitoren is. Er zit dus geen backdoor of resetfunctie voor het beheerderswachtwoord in, zoals bij andere fabrikanten. Als een klant zijn wachtwoord kwijtraakt moet de

'Een zorgwekkend gevolg van het snelgroeiend aantal camera’s en toepassingen zijn helaas ook de bijbehorende securityrisico’s' camera terug naar onze fabriek om deze opnieuw in te stellen. Onze supportmedewerkers kunnen een wachtwoord namelijk niet op afstand resetten, dus hackers evenmin. Als een camera wordt gestolen en de eigenaar meldt het serienummer ervan bij Mobotix, wordt een ingezonden camera herkend en is de dief eenvoudig te traceren. Gebruiksgemak vinden wij erg belangrijk, maar niet als dat ten koste van de beveiliging gaat.” “Ook onze eigen accessoires en complementaire oplossingen van derden moeten via die ene toegangspoort en een speciale interne MxBus met de camera communiceren”, vult Tjalkens aan. “Alle communicatie met onze camera’s gebeurt uiteraard versleuteld, waardoor deze nooit herkenbaar is en ook de beeldopnames worden versleuteld opgeslagen op de interne en/of externe geheugencapaciteit.”

Intelligente videosoftware Behalve op beveiligingsgebied onderscheidt Mobotix zich ook met software

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 7

STRATEGIE

AVG

KPMG: ‘Nederlander gaat massaal

gebruikmaken van nieuwe privacyrechten’

Nederlanders gaan massaal gebruikmaken van de rechten die de nieuwe privacywet hen biedt. Via de nieuwe Algemene Verordening Gegevensbescherming (AVG) die eind mei 2018 van kracht wordt, krijgen burgers onder meer het recht om al hun persoonlijke gegevens in te zien, te verwijderen, en om onjuiste persoonlijke gegevens te corrigeren.

van concurrenten. Camera’s van Mobotix zijn te vergelijken met een smartphone, omdat er een processor, geheugen, hoge resolutie lens en audio in zit. Die hardware wordt volledig ontwikkeld en geproduceerd in Duitsland en aangestuurd met een extra beveiligd Linux OS. “Kritische Linux-functies voor onder andere de authenticatie zijn door onze eigen engineers volledig herontworpen en beter beveiligd”, zegt De Craene. “Andere standaard Linux-services die overbodig zijn en wellicht kwetsbaarheden kunnen bevatten zijn verwijderd. Uiteraard worden ook de updates van onze software versleuteld verstuurd naar de klanten en partners.” “Behalve op het gebied van security onderscheiden Mobotix-camera’s zich ook met intelligentie, via de meegeleverde en licentievrije analyse- en ma-

nagementsoftware”, vertelt Tjalkens. “Daarmee is zowel volledig automatisch afwijkend gedrag te detecteren, als een videocall op te zetten met een bezoe-

ker om daarna een deur op afstand te openen. Maar bijvoorbeeld ook het aantal bezoekers van winkels in de retail te tellen.”

“Gewezen op hun nieuwe rechten, wil meer dan 80% in actie komen. Dat betekent dat bedrijven en instanties hun borst kunnen natmaken”, aldus Koos Wolters, privacy expert van KPMG. In het licht van het aanstaande referendum over de vernieuwde Wet op de inlichtingen- en veiligheidsdiensten is het ook opvallend dat bijna de helft van de Nederlanders privacy inlevert voor veiligheid.

Bedrijven en instanties moeten alle zeilen bijzetten Uit dit opinieonderzoek blijkt dat minder dan 20% van de Nederlanders op dit moment op de hoogte is van de nieuwe wetgeving die in mei van kracht wordt. Wolters: “Als straks het besef doorklinkt welke rechten burgers krijgen, zullen organisaties alle zeilen bij moeten zetten om aan alle eisen te voldoen. Immers, organisaties die hun maatregelen op orde hebben, genieten meer vertrouwen bij consumenten waardoor zij sneller toegang krijgen tot persoonsgegevens.”

Nederlanders willen vooral weten wie wat verzamelt. Meer dan 80% vindt dat bedrijven en instanties die beschikken over bijzondere persoonsgegevens dit duidelijk moeten vermelden en moeten garanderen dat dit volledig privacy-proof gebeurt.

Veiligheid belangrijker dan privacy Nederlanders vinden hun veiligheid belangrijker dan hun privacy. Bijna de helft (46%) van de Nederlanders is van mening dat de overheid meer bevoegdheden zou moeten krijgen om de criminaliteit terug te dringen, ook als dit ten koste zou gaan van de privacy. Wolters: “Andersom is slechts 25% bereid om veiligheid in te leveren voor privacy. Overigens vindt een meerderheid van de Nederlanders dat de overheid er goed in geslaagd is de juiste balans te vinden in het borgen van veiligheid en privacy.”

Zorgen om bescherming medische gegevens Uit het onderzoek van KPMG blijkt dat Nederlanders zich met name zorgen maken om de wijze waarop wordt omgegaan met hun medische gegevens. 70% heeft twijfels over het gebruik van dit soort persoonlijke informatie, vooral in het elektronisch patiëntendossier (EPD). Wolters: “90% heeft nog nooit het eigen EPD ingezien. Veel mensen zetten bovendien vraagtekens bij de veiligheid van hun gegevens bij de huisarts. Minder dan de helft van de Nederlanders denkt dat medische gegevens die worden bewaard door de huisarts of dokter goed beschermd zijn.”

Belfius-project Een voorbeeldproject waarbij de extra beveiligingsaspecten van Mobotix doorslaggevend zijn geweest voor de leverancierskeuze, is de modernisering van het cameratoezicht in alle kantoren van Belfius. Dat is een grote Belgische bank en verzekeraar met zo’n 10.000 medewerkers en ruim 700 kantoren. “Eind 2015 zijn wij op zoek gegaan naar hoge resolutie digitale IP-camera’s ter vervanging van onze verouderde analoge CCTV-systemen”, zegt projectleider Zisis Patronoudis. “Daarbij waren de bedrijfszekerheid en beeldkwaliteit van de camera’s uiteraard belangrijke selectiecriteria. Tevens zochten wij camera’s die zowel goed beveiligd zelfstandig als in een lokaal netwerk te gebruiken waren en eenvoudig te bedienen door lokale bankmedewerkers. Na een ‘Proof-Of-Concept’ periode heeft Belfius voor Mobotix gekozen. Die beslissing is gebaseerd op de betrouwbaarheid en kwaliteit van hun camera’s en andere onderscheidende factoren. Zoals het feit dat de volledige functionele besturing in de camera zelf zit en niet centraal, het interne SD-geheugen, dual-lens mogelijkheden en zij waren één van de eerste met 5 Megapixel beeldkwaliteit. Nu bevatten de nieuwste types al 6 Megapixel Moonlight lenzen, die onder minimale lichtomstandigheden nog steeds duidelijke opnames maken. Een ander verschil is de licentievrije MxManagementCenter videomanagementsoftware, wat voor zo’n 4.500 camera’s een interessant financieel voordeel oplevert.”

8 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 9

STRATEGIE

•

Aan de slag

met cybersecurity

Veel bedrijven hebben hun digitale beveiliging niet op orde. Naar schatting kost cybercriminaliteit de Nederlandse ondernemers zo’n 10 miljard per jaar. Zeker mkb’ers hebben nog flink wat werk te verzetten om hun weerbaarheid te vergroten. Gelukkig staan ze er niet alleen voor. Verschillende kenniscentra zorgen voor ondersteuning. Maar waar klop je eigenlijk aan met welke vraag? Ondernemers moeten zich bewust zijn van de risico’s van cybercrime en investeren in beveiliging. Maar in de praktijk blijven maatregelen uit of hebben ze onvoldoende effect. Om bedrijven op weg te helpen, zijn de overheid én marktpartijen afgelopen 10 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

jaar twee verschillende initiatieven gestart en een derde is al aangekondigd.

Drie initiatieven: zelfde doel, andere aanpak Het Ministerie van Veiligheid en Justitie opende in 2012 het Nationaal Cyber Security Centrum en vorig jaar richtten Cisco, DearBytes, KPN en McAfee de stichting Cyber Central op. Daarnaast kondigde het ministerie van Economische zaken aan dat in 2018 het Digital Trust Centre zijn deuren opent. Alle initiatieven zetten in op samenwerking tussen ondernemers en kennisdeling, maar hun doelgroepen en aanpak verschillen. • Het Nationaal Cyber Security Centrum (NCSC)

- Het NCSC richt zich voornamelijk op de Rijksoverheid en organisaties in de vitale infrastructuur, zoals water-, energie- en telecombedrijven. Het centrum is het Nederlandse aanspreekpunt op het gebied van ICT-dreigingen en cybersecurity-incidenten. Het NCSC deelt actuele dreigingen en geeft beveiligingsadviezen: hoe richt je als ondernemer bijvoorbeeld succesvol een Security Operations Center (SOC) in en hoe bescherm je een domeinnaam tegen phishing? Digital Trust Centre (DTC) - Het grootste deel van de Nederlandse bedrijven kan bij cybercalamiteiten niet terecht bij het NCSC en is op zichzelf aangewezen. Daarom start de overheid dit jaar het Digital Trust Centre. Het doel van het DTC is om in nauwe samenwerking met het NCSC het gehele bedrijfsleven weerbaarder te maken tegen cyberdreigingen. Het DTC gaat bedrijven adviseren over dreigingen en maatregelen. Bovendien helpt dit kenniscentrum samenwerkingen tussen bedrijven tot stand te brengen op regionaal niveau en binnen branches. Cyber Central - De stichting Cyber Central is een initiatief van vier marktpartijen. Volgens Cyber Central kan niemand de strijd tegen cybercriminaliteit alleen winnen. Daarom is het belangrijk dat cybersecurity voor iedereen begrijpelijk is. Zodat ondernemers bijvoorbeeld weten welk beleid ze moeten uitzetten en medewerkers aanvoelen hoe ze veilig kunnen werken. Cyber Central vergroot die kennis onder meer met workshops waarin cyberaanvallen worden gesimuleerd. Daarnaast organiseert Cyber Central een maandelijkse bijeenkomst, vrij toegankelijk, met wisselende thema’s. Voor dit initiatief staat het beleven van digitale veiligheid centraal.

Van theorie naar praktijk “Naast deze drie kenniscentra zijn er nog meer, vergelijkbare initiatieven”, zegt Erik Remmelzwaal, CEO van DearBytes en directeur van KPN Security Products. Denk aan No More Ransom en Nederlands Cyber Collectief. “Op zich is het natuurlijk goed dat ondernemers op zo veel plekken informatie kunnen halen

Volop aandacht voor samenwerking en kennisdeling

'Rutte III lijkt verder te gaan op de koers die het vorige kabinet heeft ingezet. Samenwerking en kennisdeling blijven hierbij cruciaal'

over cybersecurity. Maar tot nu toe is het effect van al die initiatieven beperkt. Want als het om hun digitale beveiliging gaat, lopen veel ondernemers achter de feiten aan. Uiteindelijk is beveiliging iets wat ze op orde willen hebben, maar niet te veel tijd moet kosten. Het NCSC is daarom voor de gemiddelde ondernemer ook niet interessant. Het centrum deelt vooral theoretische en technische berichten over dreigingen. Een mkb’er die daar al iets van oppikt, moet echt een ICT’er in dienst hebben om de informatie te kunnen duiden. Ik hoop dan ook dat het DTC een stuk praktischer is. En dat kan nog best lastig worden, want het DTC zal zelf geen securityoplossingen ontwikkelen. Daarvoor moet het centrum verwijzen naar marktpartijen, terwijl het ook een onafhankelijke positie moet innemen. Ik ben benieuwd hoe dit uitpakt.”

Komende jaren kunnen ondernemers rekenen op nog meer steun van de overheid. Het Digital Trust Center is de eerste van een reeks maatregelen. Zo zal kabinet Rutte III bedrijven komende jaren stimuleren om veiligere software te maken. En ook onderzoek naar cybersecurity krijgt een impuls. Daarnaast zet de overheid in op voorlichtingscampagnes. Vooral het verbeteren van huidige campagnes, zoals Alert Online en het creëren van nieuwe campagnes staat hoog op de agenda. Tot slot bespreekt de Tweede Kamer het idee om een apart onderzoeksinstituut voor cybersecurity op te richten. Om deze en andere securityplannen te verwezenlijken, heeft de regering structureel 95 miljoen euro gereserveerd. En daarnaast nog eens 10 miljoen voor opsporingsdiensten. Belangrijk, want naar verwachting is cybercrime in 2020 goed voor 50% van alle misdrijven. Rutte III lijkt verder te gaan op de koers die het vorige kabinet heeft ingezet. Samenwerking en kennisdeling blijven hierbij cruciaal. Aan bedrijven de taak om hier gebruik van te maken. Aan mogelijkheden in elk geval geen gebrek. Cyber security inzetten voor uw bedrijf? De cyber security specialisten van KPN helpen u eenvoudig de zwakke plekken in uw ICT-infrastructuur te identificeren en elimineren. www.kpn.com/zakelijk/grootzakelijk/ security/cyber-security

Beveiliging ervaren Wat Remmelzwaal verder opvalt, is dat veel van de bestaande kennisinitiatieven focussen op theoretische en technische oplossingen. “Denk aan een stappenplan wanneer je gehackt wordt of tooltjes waarmee je ransomware van je computer kan halen. Maar cybersecurity is uiteindelijk iets wat je gewoon moet doen. Die invalshoek staat dan ook centraal bij Cyber Central. In workshops ervaren ondernemers en hun personeel wat (on)veiligheid precies betekent aan de hand van realistische scenario’s. Ze moeten bijvoorbeeld kunstwerken beschermen tijdens een transport en gaan zelf aan de slag als hacker. Die ervaring helpt ze het hoofd koel te houden en snel te handelen bij eventuele incidenten.”

Erik Remmelzwaal

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 11

BLOG baar of open source, maar is redelijk eenvoudig te verkrijgen. Het Project Zero-team van Google begon het onderzoek met het raadplegen van productgegevensbladen op de website van een chipfabrikant. Dit soort informatie geeft cybercriminelen een voorsprong bij het identificeren van kwetsbaarheden.

Einde oefening

Coprocessor-aanvallen: een verborgen dreiging Gesprekken over IT-beveiliging worden gedomineerd door botnets, ransomware, DDoS-aanvallen, kwetsbaarheden in Internet of Things-apparatuur, open source-software en de discutabele staat van informatiebeveiliging. De relevantie van deze vraagstukken is onbetwist. Er ligt echter ook een slapende, en daardoor bijzonder risicovolle, dreiging op het gebied van coprocessors op de loer. Coprocessors zijn speciaal ontwikkeld en inmiddels onmisbaar om de performance van de huidige uitgebreide en efficiënte smartphones op peil te houden. Ze nemen specialistische en resource-intensieve taken, zoals cryptografische processen of het beheer van mobiele en WiFi-radio’s, weg van de hoofdprocessor. Tegelijkertijd houden ze ook de ontwikkeling van smartphones eenvoudig. Coprocessors zijn hiermee essentieel geworden binnen de evolutie van smartphones. 12 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

Kwetsbaarheden in firmware Er zit echter ook een addertje onder het gras. Coprocessors functioneren doorgaans op basis van hun eigen firmware en die is - net als elke andere computercode - vatbaar voor cyberaanvallen. Omdat coprocessors gebruikmaken van een bevoorrechte, rechtstreekse communicatielijn naar de hoofdprocessor, kunnen cybercriminelen met een gehackte coprocessor andere beveiligingsmechanismen omzeilen. Dit is inmiddels geen theoretische dreiging meer. Project Zero, een team van beveiligingsanalisten bij Google dat de taak heeft om zero day-kwetsbaarheden te vinden, heeft ‘proof of concepts’ die laten zien hoe iOS en Android devices aangevallen kunnen worden door misbruik te maken van kwetsbaarheden in WiFi-coprocessors. Moderne besturingssystemen maken gebruik van diverse technieken om de beveiliging te versterken, zoals de toepassing van digitale certificaten of het elimineren of beperken van speciale rechten en ‘su-

per user’-accounts. Ook worden voor applicaties nauwkeurig sandbox-omgevingen gehanteerd. Het leeuwendeel van deze verbeteringen richt zich echter op computercode die op de hoofdprocessor draait en gaat voorbij aan firmware van de coprocessor(s).

Coprocessors worden nog vaak over het hoofd gezien IT-beveiliging is een kat-en-muisspel. Naarmate er meer kwetsbaarheden geïdentificeerd en verholpen worden, zoeken cybercriminelen ook weer nieuwe ingangen. Coprocessors vormen een dergelijk nieuw en relatief onbeschermd kanaal en zijn daarmee een aantrekkelijk doelwit. Het opzetten van een dergelijke aanval is niet zo moeilijk omdat coprocessors zijn ontwikkeld om te worden gebruikt door verschillende Original Equipment Manufacturers (OEM’s). Deze fabrikanten hebben toegang nodig tot de firmware en documentatie van de coprocessors om die op te kunnen nemen in het ontwerp van hun devices. Deze documentatie is weliswaar niet open-

Als een hacker toegang heeft tot de firmware van coprocessors, is het einde oefening. Dit biedt hen toegang tot alle apps en alle data en databases waar die apps gebruik van maken. Dan hebben we het over logingegevens, GPS-data, contactgegevens, bankrekeningen en eigenlijk alles wat er maar op het mobiele apparaat te halen valt. Daarnaast kan het IP-adres van mobiele apparaten worden gebruikt voor hacking-activiteiten en kunnen deze devices zelfs worden ingezet voor spionagedoeleinden. Cyberaanvallen volgen doorgaans een voorspelbaar, gebaand pad. Gevorderde hackers identificeren en misbruiken kwetsbaarheden en, hoewel ze hun methoden en tools zo lang mogelijk geheim proberen te houden, zullen die vroeg of laat algemeen bekend worden. Net als met alle hackerstactieken zullen aanvallen op de firmware van smartphones naar verloop van tijd worden ‘gedemocratiseerd’ zodra meer mensen inzicht krijgen in de kwetsbaarheden en aanvalsmethoden. Aanvankelijk zullen deze aanvallen op nauwgedefinieerde data gericht zijn en worden uitgevoerd door cybercriminelen met specifieke doelstellingen. Zodra de technieken op brede schaal bekend worden, zullen de aanvallen een opportunistisch karakter krijgen, die worden gedaan door hackers met wisselende vaardigheidsniveaus en motieven, gewoon omdat het kan.

die door de werkgever zijn verstrekt. Ze kunnen echter ook worden ingezet in een BYOD-omgeving. EMM vanuit de cloud biedt nog meer flexibiliteit. Dit vereenvoudigt het beheer en de beveiliging van mobiele apparaten met uiteenlopende besturingssystemen, zoals iOS, Android en Windows. Daarnaast biedt het de mogelijkheid om bedrijfsgegevens op gestolen, zoekgeraakte of gehackte apparaten op afstand te wissen.

(Zonder) Waarschuwing Kwetsbaarheden in coprocessors vertegenwoordigen kansen voor cybercriminelen. En ze zullen deze vroeg of laat benutten. Het probleem met aanvallen via de coprocessors is dat de slachtoffers zich pas zullen realiseren wat er is gebeurd nadat de schade is aangericht. Wanneer er bijvoorbeeld bedrijfsgevoelige informatie is uitgelekt of devices op afstand zijn overgenomen. In mei dit jaar gaat de GDPR van kracht. De gevolgen van cyberaanvallen kunnen daarmee veel verder strekken dan genante krantenkoppen of een PR-crisis. De boetes voor het lekken van klantengegevens kunnen oplopen tot een bedrag van 20 miljoen euro of vier procent van de totale jaaromzet. Bedrijven zullen coprocessor-aanvallen dus moeten toevoegen aan het lijstje dreigingen waarop ze zich effectief moeten voorbereiden. JAMES PLOUFFE is Lead Solutions Architect bij MobileIron

Wat te doen? Welke beschermingsmaatregelen kunnen er nu precies worden genomen? Enterprise Mobility management (EMM) is een eerste vereiste. Deze technologie stelt bedrijven in staat om een beheerinfrastructuur in te richten die in staat is om de beschikbaarheid van firmware-updates van OEM’s bij te houden. Dit maakt het mogelijk om updates automatisch te installeren en om apparaten met verouderde firmware de toegang tot bedrijfsbronnen te ontzeggen. EMM-oplossingen vormen daarmee een ideale tool voor het beheer van mobiele apparaten

James Plouffe

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 13

RANSOMWARE van de CTU geeft echter aan dat GOLD LOWELL financieel is gemotiveerd. De onderzoekers hebben geen indicatie gevonden dat de netwerktoegang misbruikt wordt voor spionage of datadiefstal. In sommige gevallen waarbij de slachtoffers het initiële losgeld betaalden, heeft GOLD LOWELL zijn eisen achteraf significant verhoogd om de bereidheid van de slachtoffers om losgeld te betalen maximaal uit te buiten.

Handige hackers

Hackersgroep GOLD LOWELL

zit achter je geld aan Het gevaar van cyberaanvallen blijft alsmaar groeien. In de afgelopen een tot twee jaar zijn vooral ransomware-aanvallen ongekend populair. Criminele individuen en particuliere hackersgroepen, maar ook overheidsinstanties zitten achter deze aanvallen. Ook al hebben deskundigen vaak een vaag idee wie achter de aanvallen zitten en waar zij vandaan komen, het is buitengewoon lastig om precies aan te duiden wie de slechteriken zijn en hoe zij werken. Hiervoor is niet alleen een groot monitoring-network noodzakelijk maar het traceerwerk vraagt ook om tijd.

van Secureworks Counter Threat Unit (CTU) eind 2015 begonnen financieel gemotiveerde campagnes te traceren waarbij de GOLD LOWELL genoemde groep gebruikmaakte van SamSam ransomware (ook wel bekend als Samas en SamsamCrypt). Volgens het onderzoek van de CTU scant en exploiteert GOLD LOWELL bekende kwetsbaarheden in internetsystemen om een eerste voet aan de grond te krijgen in het netwerk van een slachtoffer. De cybercriminelen zetten vervolgens de SamSam ransomware in en eisen betaling om de data van het slachtoffer te ontsleutelen.

Geld, niet spionage Secureworks, een leverancier van beveiligingsoplossingen dat gebruikmaakt van globale informatie over cyberaanvallen, achterhaalt regelmatig het gedrag van hackersgroepen. Zo zijn de onderzoekers 14 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

Het gebruik van bepaalde scan-and-exploit technieken van hackers om toegang te krijgen tot het netwerk van slachtoffers laat zien dat de aanvallen gericht zijn op systemen en protocollen (bijvoor-

beeld JBoss en RDP) die eerder door organisaties dan door particulieren worden gebruikt. De aanvallers mikken vooral op de netwerkrand en kiezen hun slachtoffers zorgvuldig om de kans op een succesvolle afpersing te verhogen. Bij de meeste slachtoffers van GOLD LOWELL die bekend zijn bij de CTU gaat het om kleine tot middelgrote organisaties. Sommige deskundigen beweerden na bekende SamSam-aanvallen in 2016 en 2018 dat GOLD LOWELL zijn pijlen vooral richt op de zorgsector. De verspreiding van de door Secureworks waargenomen activiteiten van de groep laat echter zien dat GOLD LOWELL zich niet beperkt tot een bepaalde branche of type organisatie.

GOLD LOWELL gebruikt een combinatie van algemeen beschikbare en zelf ontwikkelde tools met publiek beschikbare exploits en technieken. Dat de groep een eigen ransomware toolkit wist te ontwikkelen suggereert dat de ontwikkelaars binnen de groep veel verstand hebben van encryptie en Windows netwerkomgevingen. De aanvallers hebben laten zien dat zij in staat zijn om toegang te krijgen via internetsystemen, hun privileges naar hogere niveaus binnen het netwerk te escaleren en horizontaal binnen het netwerk uit te breiden. In tegenstelling tot vele andere criminele activiteiten die gebruikmaken van ransomware vergen de methodes van GOLD LOWELL manuele interactie via het toetsenbord om een directe relatie op te bouwen tussen de aanvaller en zijn slachtoffer. Om voor het betalen van het losgeld vertrouwen op te bouwen bieden de aanvallers hun slachtoffers test-decryptie van bepaalde data aan.

Wie zijn de slechteriken? Taalfouten in GOLD LOWELL’s losgeldeisen en communicatie tijdens de trans-

acties doen vermoeden dat Engels niet de moedertaal van de aanvallers is. Tot vandaag de dag is de toeschrijving van de aanvallen aan een bepaalde groep onzeker omdat zij een beroep doen op publiek beschikbare tools, diensten en infrastructuren. De consistentie van de methoden en tools die tijdens de SamSam-aanvallen sinds 2015 werden gebruikt zijn echter een indicatie dat GOLD LOWELL één groep is of een verzameling van nauw verbonden hackers.

Wat te doen? De activiteiten van GOLD LOWELL zijn tussen 2015 en 2018 significant toegenomen. Dit geeft aan dat hun ‘businessmodel’ nog steeds goed werkt. Over de jaren heen heeft de groep haar methodes lichtjes aangepast. Zij maakt nog steeds gebruik van publiek beschikbare tools maar heeft zijn eigen knowhow en programma’s verder uitgebouwd om succesvol te blijven. De aanvallers komen het netwerk via internetsystemen binnen. Daarom adviseren de CTU-onderzoekers aan organisaties om de security-protocollen voor deze systemen hoogste prioriteit te geven. Software updates, regelmatige penetratietests, monitoren voor abnormaal gedrag en toegangscontrole staan boven aan de lijst van security-maatregelen. Organisaties moeten ook hun weerbaarheid tegen ransomware-incidenten in kaart brengen. Denk eraan om noodplannen op te stellen en te testen, regelmatig back-ups van belangrijke data aan te maken en deze goed te beschermen.

De methode van GOLD LOWELL om eerst netwerktoegang te verkrijgen voor SamSam te installeren houdt potentieel een groot gevaar in voor het misbruik van de vertrouwelijke data op de systemen van de slachtoffers. De analyse INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 15

LSP

VEILIG SCHAKELPUNT VOOR ZORGINFORMATIE

matie veilig en snel overbrengen (red.: https://www.vzvz.nl/geaccepteerdegznen). Het gaat om het vertrouwen binnen de totale zorgketen, dus ook om het vertrouwen tussen arts en patiënt. Voor de patiënt is transparant wie welke gegevens over hem of haar uitwisselt, dat is online in te zien.”

Rol van zorgverlener vastgelegd op UZI-pas

Platform van VZVZ geniet vertrouwen van meer dan 12 miljoen Nederlanders Indien je met meer dan vijf partijen gaat samenwerken bij het uitwisselen van gevoelige digitale informatie, wordt het organisatorisch complex en de juridische verantwoordelijkheid voor de afzonderlijke deelnemers erg groot. Er ontstaat dan behoefte aan een partij die deze uitwisseling faciliteert en de spelregels binnen de samenwerking waarborgt. Met woorden van deze strekking verklaart drs. Joris Smits, manager operations bij VZVZ (Vereniging van Zorgaanbieders voor Zorgcommunicatie) het bestaansrecht van zijn werkgever, een vereniging die 7 jaar geleden ontstond nadat de politiek de stekker trok uit het project voor de ontwikkeling van het landelijk Elektronisch Patiënten Dossier (EPD) en bijbehorende Landelijk Schakelpunt (LSP). Nadat in 2011 de overheid zich terugtrok uit het EPD/ LSP-project, nam de privaatrechtelijke vereniging 16 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

VZVZ het beheer over van de inmiddels gebouwde ICT-infrastructuur. Aan belangstelling bij de betrokken zorgaanbieders geen gebrek. Desondanks bleek al snel dat op basis van deelnemer-abonnementen het systeem zich niet rendabel liet exploiteren. De zorgverzekeraars schoten te hulp vanuit hun belang de zorg betaalbaar te houden. De vereniging mocht zich eerst bewijzen alvorens de assuradeurs in 2013 structureel financieel gingen participeren. Het overgrote deel van de zorgaanbieders, bestaande uit ziekenhuizen, apothekers, individuele huisartsenpraktijken en huisartsenposten, was tevreden. Als deelnemers in de vereniging hebben ze er hard aan getrokken om inmiddels van meer dan 12 miljoen Nederlanders toestemming te krijgen om hun medisch dossier beschikbaar te stellen voor informatie-uitwisseling via het LSP. Een paar honderd huisartsen hebben echter nog steeds principiële bezwaren tegen het schakelsysteem. Joris Smits erkent dat dit voor hem een doorn in het

oog is. Immers, hierdoor kan informatie ontbreken bij de huisartsenpost. Toch huldigt hij tevens het principe van participatie op vrijwillige basis. “We winnen aan vertrouwen doordat we aan privacyaspecten heel veel aandacht besteden. In geen land ter wereld is die aandacht zo groot. Onze wetgeving stelt vergaande eisen als het gaat om het verkrijgen van expliciete toestemming voor het delen van informatie. Daarnaast gaan we huisartsen straks veel werk uit handen nemen bij het overdragen van hun dossiers. Bijvoorbeeld door zorgvuldig gestructureerd informatie over te zetten van het ene dossier naar het andere wanneer patiënten overgaan naar een andere huisartsenpraktijk. Alle huisartsen gebruiken een vorm van een gedigitaliseerd dossier. Binnen hun applicaties is het mogelijk geautomatiseerd informatie aan anderen op te leveren of van anderen te verwerken. Wij zien erop toe dat die software conform de afgesproken functionaliteit en standaarden blijft werken. We garanderen dat informatie alleen op basis van ‘need to know’ wordt gedeeld. Bovendien certificeren we de inmiddels zestien netwerkproviders, die in het private Zorgnet de infor-

De rol van de zorgverlener is vastgelegd op de UZI-pas (red.: Unieke Zorgverleners Identificatie) en wordt bepaald aan de hand van strikte protocollen. Alleen een bevoegd huisarts krijgt inzicht in de professionele samenvatting van een collega. Een specialist in het ziekenhuis ziet naast de medicatiegegevens alleen een specifieke set van voor hem of haar relevante informatie. Een apotheker of diens assistenten zien alleen maar die medicatiegegevens in samenhang met informatie over mogelijke intoleranties, contra-indicaties en eventuele allergieën. Bevoegdheden laten zich eventueel wel uitbreiden naar andere beroepsgroepen in de zorg. Zo kan het ook voor een diëtist noodzakelijk zijn om kennis te nemen van gegevens uit het huisartsdossier. Dit gebeurt pas na overeenstemming met de beroepsgroep en nadat een protocol is vastgesteld. De snelheid en het gemak van data-uitwisseling staat op gespannen voet met het strikt waarborgen van de privacy. VZVZ is in staat om daar de goede balans in te vinden voor haar leden. Voor VZVZ is dat een belangrijk thema dat vraagt om oplossingen. Op dat vlak wil de vereniging voorop blijven lopen door te anticiperen op de ontwikkelingen. Zo gaat men voorzieningen implementeren, waarmee zich de consequenties van nieuwe wetgeving laten vertalen naar een werkbare oplossing voor samenwerking in de zorgketen. De sancties van de EU-privacyrichtlijnen die in mei van kracht worden, veroorzaken bij de vereniging zeker geen paniek. De basisprincipes van de architectuur en het hart van de technologie onder de motorkap van het LSP stamt uit 2006. En achter de keuzes die toen gemaakt zijn, staat Joris Smits in de kern nog steeds. Binnen het private Zorgnet netwerk werkt de transmissie weliswaar volgens het gangbare TCP/IP-netwerkprotocol, maar het netwerk is niet zichtbaar vanuit het openbare internet. De hackpogingen hebben geen kans van slagen

'Zorgdata is gewild bij hackers en iedereen in de sector moet dus veel investeren om die buiten de deur te houden'

gehad. Ook de keuze voor de technologiepartners heeft bijgedragen aan die robuustheid. Volgens Smits zijn die partijen, ook nadat de eerste technisch geslaagde landelijke LSP/EPD opzet moest worden gestopt, blijven meedenken en adviseren over een eventuele doorstart. CSC, het bedrijf dat destijds de architectuur heeft ontworpen, is onder de nieuwe naam DXC Technology nog steeds betrokken bij het technisch beheer van het LSP. Zij maken, op basis van de door VZVZ opgestelde specificaties, de koppelingen op het LSP pasklaar voor de specifieke Nederlandse omstandigheden. De software (Healthshare) van LSP waaruit zij de kern van het schakelplatform samenstelden, is afkomstig van Intersystems.

Aantrekkelijkheid van zorgdata stelt hoge eisen aan beveiliging ”Er zijn weinig platforms in de zorgmarkt waarvan de technologie qua capaciteit en afhandelingssnelheid zich nog steeds zo goed bewijst”, aldus de operations manager van VZVZ. ”Jaarlijks handelen wij 300 miljoen berichten af vanuit een centrale omgeving met een enorm hoge bedrijfszekerheid binnen de keten van zorgaanbieders die informatie uitwisselen. Het platform kan probleemloos doorgroeien dankzij de ingebouwde redundantie met twee gespiegelde computeromgevingen, waarbij in het geval van storing bij een van de twee configuraties, taken onvertraagd zijn over te nemen. De technologie voorziet in een bewakingsmechaniek. Deze arbiterfunctie activeert de ‘herroutering’ wanneer ergens vertragingen dreigen te ontstaan. Het geheel is samengesteld

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 17

LSP

uit componenten, zodat we altijd een keuze kunnen maken welk instrument we waarvoor inzetten. Voor bepaalde taken bij het beheer van het platform

gebruikt DXC het Intersystems product DeepSee. Voor monitoring van de functies van het systeem in de keten gebruiken ze andere oplossingen. Je kan

MedMij: informatie-uitwisseling tussen Persoonlijke Gezondheidsdossiers en Zorgaanbieders Een nieuwe uitdaging vormt de uitbreiding van de dienstverlening richting het MedMij-programma, een initiatief op het gebied van het persoonlijke gezondheidsdossier. Ook daar trekt de overheid zich na het opstarten uit terug en is gekozen voor een private vorm (stichting). Het doel is burgers meer toegang te geven tot informatie in hun medische dossiers, waardoor zij zelf meer de regie kunnen voeren in een zorgtraject. Zij worden in de gelegenheid gesteld informatie op te vragen bij zorgaanbieders, waarna die hun persoonlijke gezondheidsomgevingen kunnen gaan vullen en bijhouden. Ook nu is een zorgvuldig georganiseerde toestemmingsronde vereist. Patiënten moeten artsen toestaan om hun informatie naar het persoonlijke dossier te uploaden. Het gestructureerd vastleggen van data volgens standaarden moet ervoor zorgen dat de betrokkenen elkaars informatie begrijpen en geïntegreerd in applicaties over kunnen nemen conform de weten regelgeving en de beveiligingseisen. Deze informatie-uitwisseling verloopt straks deels via het openbare internet. Tussen dit ’onveilige’ internet en het beveiligde Zorgnet komt een bufferzone: een gedemilitariseerde zone in het Zorgnet, ingericht en bewaakt onder regie van VZVZ. De in Nederland vertrouwde standaard voor gestructureerde uitwisseling tussen zorgsystemen, HL7 versie 3, biedt voor ontwikkelaars van persoonlijke gezondheidsomgevingen vaak geen soelaas: te complex voor implementatie op consumenten gerichte smartphones en IoT devices. FHIR (Fast Health Interoperability Resources) is daarom aangewezen als de standaard voor koppeling met de consumentengerichte IT-voorzieningen. MedMij zorgt voor ondersteuning van de standaard, maar niet vanuit het HealthShare platform van het LSP, hoewel HealthShare wel het FHIR-protocol ondersteunt. Voor aansluiting op de persoonlijke gezondheidsdossiers komt een vertaalservice met een complete set aan beveiligingsmaatregelen die berichten tussen de beide domeinen naar elkaar omzet. Daarover moeten alle betrokken partijen landelijk nog afspraken maken. Zij zullen tot nadere uitwerkingen moeten komen voordat het grootschalige berichtenverkeer tussen zorgaanbieders en de persoonlijke gezondheidsdossiers van start kan gaan. Ter ondersteuning daarvan worden dit jaar allerlei ‘proof of concepts’ ontwikkeld. 18 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

de standaard functionaliteit toepassen, maar je kan deze ook combineren met maatwerk.” Zorgen over de weerbaarheid tegen hackers en de afscherming van privacygevoelige informatie in het algemeen heeft Smits wel. Vooral als het gaat om de voorzieningen op dat vlak bij de diverse zorgaanbieders. ”Zorgdata is gewild bij hackers en iedereen in de sector moet dus veel investeren om die buiten de deur te houden. Voor de grote zorgaanbieders en partijen die applicaties leveren zijn die investeringen makkelijker op te brengen dan door de kleine spelers op de zorgmarkt. Wij zien het als onze doelstelling hen daarbij te helpen, bijvoorbeeld bij het implementeren en gebruiken van UZI-servicecertificaten of het organiseren van kennisuitwisseling tussen leveranciers en afnemers om tot een hoger niveau van beveiliging te komen. In dat licht maken we ons sterk voor subsidieregelingen voor huisartsen en apothekers. Die moeten uiteraard wel zorgen dat hun werkomgeving voldoet aan de NEN-normen. We merken dat naarmate er strenger wordt gecontroleerd op de beveiligingseisen, er meer behoefte ontstaat aan technische ondersteuning. Door de aandacht voor de privacyrichtlijnen raken de technologische ontwikkelingen in een hogere versnelling. Wij zijn daarop voorbereid zowel voor wat betreft de technische als de organisatorische invulling.” AUTEUR: Frans van der Geest

NETWORKING@IT-SA Be a part of it-sa 2018 and make connections for your company’s future. Europe’s leading trade fair for IT security is the only place where the who’s who of the industry come together every year!

Nuremberg, Germany 9 -11 October 2018

it-sa.de/en INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 19

STRATEGIE ties in je projectgroep. Vergeet hierbij ook niet de HR-afdeling, Communicatie en uiteraard de lijn! Laat het team meedenken en bepalen. Zorg voor commitment bij het management en dus voor budget. Het lijnmanagement heeft de rol van ‘probleemeigenaar’. Dus mochten de (awareness) resultaten tegenvallen dan moeten ze dit ervaren als risico en er mee aan de slag gaan.

Stap 5: Wees creatief: zorg dat het opvalt en leeft

HET 7 STAPS-MODEL SECURITY AWARENESS

zeven stappen

een effectief security awareness programma

Veel organisaties werken aan de bewustwording van medewerkers voor informatiebeveiliging. Ze doen een rondje langs het werkoverleg, hangen posters op bij de koffieautomaat en zorgen voor een up-to-date informatiebeveiligings-plan op het intranet. Toch geven medewerkers aan het programma niet te hebben opgemerkt. Het programma heeft onvoldoende impact en wordt ervaren als: ‘just background noise’. “Hoe zorg je voor een awareness programma dat wél werkt?” De kunst van het veranderen Wat werkt dan wel? Hoe breng je medewerkers nut en noodzaak van informatiebeveiliging wel bij? Om dit succesvol te doen maken we gebruik van een aantal veranderkundige principes. Welke zijn dit en hoe kunnen we deze succesfactoren inzetten bij het 20 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

inrichten van een security awareness programma? Het succes zit hem in het volgen van het 7-staps model security awareness.

Stap 1: Voer een risicoanalyse uit Een awareness programma dient aan te sluiten bij de business. Wat zijn de risico’s die naar voren komen uit de risicoanalyse. Het awareness programma dient aantoonbaar bij te dragen aan het verlagen van risico’s. ‘Wat zijn de ‘kroonjuwelen’ van de organisatie die we willen beschermen?’ Voor succes op de lange termijn is het belangrijk dat het programma niet ‘stand-alone’ draait, maar is verankerd in de werkprocessen binnen de organisatie.

Stap 2: Integrale aanpak: mens, organisatie en techniek Met een awareness programma ben je

er nog niet. Zorg er ook voor dat het programma naadloos aansluit bij en ondersteund wordt door organisatorische en technische maatregelen. De keten is immers zo sterk als de zwakste schakel. Dus zorg er voor dat je op al de onderdelen blijft investeren: mens, organisatie en techniek.

Stap 3: Monitoren Bepaal vooraf wat je met het awareness programma wilt realiseren. Maak dit concreet en start met een awareness assessment of een nulmeting. Bespreek de resultaten en het plan van aanpak vervolgens met het (lijn)management. ‘Monitoren is meten, meten is weten’. Meet gedurende het traject een aantal keren de voortgang en breng de organisatie op de hoogte van het resultaat. Werkt het programma of dient het te worden bijgesteld? Voer praktijktesten uit zoals: mystery visits, telefonische aanvallen en phishing tests.

Stap 4: Commitment Een goed programma heeft draagvlak nodig en verzorg je niet alleen. Verzamel de juiste bemanning en competen-

Een succesvol awareness programma valt op en heeft herkenbare symbolen. Zorg dat medewerkers het er met elkaar over hebben. Zorg voor een professionele uitstraling en ga voor de combi: leerzaam en leuk. De game Alcatraz is een goed voorbeeld. Dit spel betrekt deelnemers actief bij het onderwerp informatiebeveiliging waardoor er draagvlak ontstaat voor informatieveilig werken. ‘Zet e-learning en gaming in voor een hogere commitment’. Een e-learning module waarin gaming-elementen zijn verwerkt, scoort beter dan een eenvoudige vragenlijst. Speel ‘leentjebuur’ bij andere interne, succesvolle programma’s. Probeer aan te sluiten op wat goed werkt in jouw organisatie.

Stap 6. Focus op gedragsverandering Bepaal vooraf wat de medewerker moet doen; wat wordt er gedurende en aan het eind van het programma van hem verwacht? We noemen dit doelgedrag. Bijvoorbeeld: de medewerker moet het beeldscherm vergrendelen bij het verlaten van de werkplek. Het bepalen van het doelgedrag is tijdrovend, maar een essentieel onderdeel in de voorbereidingsfase. Met de nulmeting zien we hoe mensen zich nu gedragen. Vervolgens kan aan de hand van de uitkomsten worden nagegaan wat de medewerker helpt om het juiste doelgedrag te laten zien. Welke triggers zet je in zodat de medewerker volhardt in zijn nieuwe aangeleerde gedrag?

te bevestigen of te belonen. Zorg ervoor dat je programma up-to-date is en pas het aan op andere risico’s of nieuwe weten regelgeving.

Succes verzekerd? Het ontwikkelen van een awareness programma dat werkt is een uitdagende klus. Maar met deze zeven stappen in je plan van aanpak, creëer je succes en impact! Veel succes hierbij en mocht je wat hulp kunnen gebruiken, aarzel dan niet om contact op te nemen. DRS. LOURENS W. DIJKSTRA MMC CISM CMC is werkzaam als senior adviseur informatiebeveiliging. Als arbeidsen organisatiepsycholoog richt hij zich op trajecten op het snijvlak van gedrag en informatiebeveiliging. Hij verzorgt regelmatig workshops, gastcolleges en awareness trajecten bij diverse opdrachtgevers.

Stap 7 Continu verbeteren Zorg voor een tijdshorizon van drie jaar. Gedrag is weerbarstig en wil je werken aan gedragsverandering dan dien je elke drie maanden iets aan te bieden om het doelgedrag

drs. Lourens W. Dijkstra

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 21

BEURS

BLOG

‘ICT zorgt voor mensen’ hoofdthema van Zorg & ICT 2018 De inzet van ICT in de zorg is niet alleen nodig, het is fundamenteel. Veel zorgprofessionals worden dagelijks ondersteund door ICT in hun zorg voor patiënten en cliënten. Maar hoe draagt ICT precies bij aan een succesvolle zorgorganisatie? Welke uitdagingen komen er kijken bij zorgtransformatie en hoe zetten zorgprofessionals concrete stappen?

Als hét startpunt voor digitaal gedreven zorg geeft Zorg & ICT 2018 antwoord op deze en andere vragen. Van 17 tot en met 19 april 2018 staat hal 1 van Jaarbeurs Utrecht in het teken van innovatie in de zorg onder het thema ‘ICT zorgt voor mensen’. Bezoekers kunnen zich gratis registreren voor dit event. “Met actuele informatie, innovatie en inspiratie is Zorg & ICT het jaarlijkse hoogtepunt voor directie, management, zorgprofessionals en ICT’ers werkzaam in de zorgsector”, zegt Paul Verdult, brandmanager bij Jaarbeurs. “ICT lijkt misschien een abstract onderwerp, maar veel zorgprofessionals hebben er dagelijks mee te maken. Dossiers worden gedigitaliseerd, behandeltrajecten digitaal verwerkt en apps brengen zorg naar de eigen leefomgeving. Digitaal gedreven gezondheidszorg biedt voordelen qua werkdruk, zorgkwaliteit en kosten, maar vraagt een belangrijke transformatie van organisaties. Zorg & ICT 2018 maakt uitdagingen inzichtelijk en helpt om concrete stappen te zetten.”

Zorgexperts aan het woord Naast de mogelijkheid tot kennis uitwisselen en net-

werken met vakgenoten biedt Zorg & ICT 2018 een gratis seminarprogramma met ruim honderd sessies. Hierin komen belangrijke thema’s als GDPR, eHealth, robotica, domotica, cybersecurity en digitale infrastructuur uitgebreid aan bod. Sprekers zijn onder anderen Igor Tulevski, cardioloog en medeoprichter van Cardiologie Centra Nederland, die vertelt over het gebruik van Hartwacht, een gebruiksvriendelijke app voor de hartzorg. De CIO van het nieuwe Prinses Máxima Centrum voor kinderoncologie, Richard Kamman, gaat in op de uitbouw van de gehele ICT-omgeving van het nieuw te bouwen centrum. Ook Dennis Verschuuren, Operational Security Officer bij het Maasstad Ziekenhuis, gaat dieper in op de praktijk. Hij vertelt over de implementatie van NEN7510-maatregelen bij het Maasstad Ziekenhuis. Innovatie en beleving: het Computable Future Lab Nieuw op Zorg & ICT 2018 is het Computable Future Lab, de innovatiezone op de beurs. Opkomende, jonge bedrijven, zorginstellingen en partners demonstreren samen de meest veelbelovende innovaties in de zorgsector. Hoe helpen connected devices en sensortechnologie zorgverleners bij een betere behandeling van patiënten? Hoe worden virtual en augmented reality ingezet in de zorg? En hoe helpt artificial intelligence bij het opstellen van een behandelplan? Bezoekers vangen een glimp op van de nabije toekomst - van innovatie tot implementatie. Zorg & ICT 2018 vindt plaats op dinsdag 17, woensdag 18 en donderdag 19 april 2018 in hal 1 van Jaarbeurs Utrecht. De beurs is dagelijks geopend van 9.30 uur tot 16.30 uur. Registreren voor gratis toegang kan via zorg-en-ict.nl

Verborgen kwetsbaarheid in organisaties:

papierstromen beveiligen Persoonsgegevens en andere gevoelige informatie vertrouwelijk houden en beveiligen is tegenwoordig al lastig genoeg. Het wordt nog uitdagender om daarbij aan alle wetten, voorschriften en regels te voldoen. Om uw organisatie beter te beveiligen, is een volledig beeld van alle risico’s - en de kwetsbaarheden die u wellicht over het hoofd ziet - onontbeerlijk. Alleen op die manier is het mogelijk de risico’s goed in te schatten en te beperken. Nieuws over datalekken en veiligheidsrisico’s duiken vrijwel dagelijks op. En niet bij de minste bedrijven en merken, zoals Equifax, Target en Yahoo. Zij en vele anderen zijn geconfronteerd met hacking en gegevenslekken. Bijzonder vervelend, naast de enorme kosten om de (reputatie)schade zoveel mogelijk te beperken. Datalekken komen nog steeds voor, ondanks technische vorderingen en ondanks dat organisaties tegenwoordig veel meer investeren in beveiligingsproducten, -diensten en -personeel. Ja, het zou kunnen dat de ‘slechteriken’ altijd een stapje voor blijven. Maar misschien is het ook wel zo dat veel bedrijven niet genoeg doen om hun risico’s correct in te schatten.

Risico’s nauwkeurig omschrijven Informatie afdoende beveiligen is al een hele uitdaging op zich. En wordt nog lastiger als je tegelijk aan alle voorschriften en regels moet voldoen, zoals de GDPR. Wat te doen? Om te beginnen moeten organisaties de totale context waarin ze actief zijn secuur scannen op mogelijke bedreigingen en kwetsbaarheden. Vervolgens moeten ze hun blootstelling aan al deze risico’s nauwkeurig bepalen.

Risicobeoordelingskader Deze inspanningen leveren een zogeheten ‘risk-based framework’ op, een risicobeoordelingskader dat bedrijven in staat stelt eenduidig te communiceren over hun inspanningen op het gebied van informatiebeveiliging. Daarnaast helpt dit kader ondernemingen om samen te werken met specialisten en om specifieke doelstellingen voor een betere, totale beveiliging te bepalen, te monitoren en te meten. Met een sterkere focus op de risico’s kunnen bedrijven de juiste prioriteiten bepalen en beslissingen nemen, zodat hun gevoelige gegevens zo goed mogelijk beveiligd zijn.

Stappenplan voor risicobeperking Als uw organisatie alle risico’s in kaart heeft gebracht en goed heeft ingeschat wat de impact daarvan is op de beveiligingsomgeving, is het tijd voor de volgende stap: de risico’s beperken. Dit brengt u waarschijnlijk op domeinen die u niet zo snel 22 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

in verband brengt met gegevensbeveiliging, zoals processen om informatie op papier te verwerken. Elke keer als een document of formulier wordt gekopieerd, gescand, geprint, gefaxt of ge-e-maild kunnen persoonsgegevens per ongeluk voor iedereen zichtbaar zijn of onbedoeld in verkeerde handen terechtkomen. Dit kan gebeuren als hiervoor een analoog faxapparaat, een multifunctionele printer (MFP) of zelfs een mobiele telefoon of tablet worden gebruikt. Ondanks alle elektronische processen blijven papieren documenten circuleren, waarbij het vrijwel onmogelijk is om deze te traceren en te controleren. Een probleem, omdat de risico’s met papieren documenten vaak groter zijn dan u denkt.

Wat te doen? Een betere beveiliging van papierstromen begint bij het inventariseren van de kwetsbaarheden als u in uw organisatie papieren documenten print, scant of faxt. Stel uzelf onder meer eens deze vragen: • Kan iemand (inclusief bezoekers) bij een kopieerapparaat komen en deze bedienen? • Liggen geprinte documenten ergens zonder toezicht? • Zijn uw scan- en printstromen versleuteld? • Is het in uw organisatie mogelijk om activiteiten zoals printen, kopiëren, scannen en faxen te traceren? Levert dit u informatie op over wie, wat, wanneer, waar en hoe?

Verrassende beveiligingstools Het maakt duidelijk dat uw organisatie zowel de fysieke als de elektronische toegang tot MFP’s moet controleren en beveiligen. Maar hoe daarmee te beginnen? Bijvoorbeeld door gebruik te maken van oplossingen om documenten in te lezen en te kiezen voor workflow- en printbeheer. Deze kunnen u helpen om gevoelige persoonsgegevens af te schermen met een extra beveiligings- en controlelaag voor processen met papieren documenten, zoals printen. En zelfs om vertrouwelijke informatie op te slaan. De oplossingen kunnen tevens gebruikers authentiseren, toegang tot workflows en documenten controleren, documenten met persoonsgegevens en andere gevoelige informatie helpen traceren en zelfs informatie bijhouden over alle gebruikersactiviteiten met deze documenten. JEFF SEGARRA is Senior Director Product Marketing voor de afdeling Document Imaging bij Nuance Communications

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 23

RAPPORTAGE in de onderzochte periode waren echter politiek gekleurd. DDoS-aanvallen op het Tsjechische bureau voor statistiek en de site van het Spaanse Constitutionele Hof. Of pogingen om te profiteren van wijzigingen in de bitcoin-wisselkoers, zoals de aanvallen op BTG-websites en Bitcoinbeurs Bitfinex. Online commerce en cybercriminaliteit maken ook deel uit van de DDoS-activiteiten in het vierde kwartaal van 2017. In aanloop naar de piekverkoopperiode van Black Friday en Cyber Monday hebben de ‘honeypots’ van Kaspersky Lab een plotselinge toename geregistreerd van het aantal pogingen van Linux-DDoS-bots om speciaal in stelling gebracht lokaas te infecteren. Dit zou de wens van cybercriminelen kunnen onderstrepen om, voorafgaand aan een periode van grote verkopen, de omvang van hun botnets uit te breiden.

DDoS-kwartaalrapport

onthult ‘toevallige’ aanvallen en cybercriminelen op zoek naar geld Onbedoelde DDoS-aanvallen door spammers, politieke sabotage en eigenaren van DDoS-botnets die geld proberen te verdienen met de Bitcoin: dit zijn een paar van de trends die worden geanalyseerd in Kaspersky Lab’s vierde kwartaalrapport van 2017, op basis van data van Kaspersky DDoS Intelligence*.

Het aantal landen dat DDoS-botnet-slachtoffers heeft, is in het vierde kwartaal van 2017 gedaald van 98 naar 82. Vietnam is omhooggeschoten in de lijst van meest aangevallen landen en neemt daarmee de plaats in van Hong Kong. Ondanks kleine schommelingen hebben alle andere landen in deze 24 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

top 10 hun positie behouden. Canada, Turkije en Litouwen hebben intussen, ten koste van Italië, Hong Kong en het Verenigd Koninkrijk, een plaats verworven in de top-10 van landen waar C&C-servers zijn gevestigd die DDoS-botnets besturen. Na een sterke opmars in het derde kwartaal is het aandeel van Linux-botnets in de laatste drie maanden van het jaar op hetzelfde niveau gebleven (71 procent, tegenover 29 procent voor Windows-botnets). Het percentage SYN DDoS-aanvallen is echter gedaald van 60 naar 56 procent, als gevolg van afnemende activiteit van de Xor DDoS Linux-bot. Hierdoor is het aandeel van UDP-, TCP- en HTTPaanvallen gegroeid, hoewel het percentage ICMP-aanvallen blijft dalen en met 3 procent een laagterecord voor 2017 heeft gevestigd.

De Kaspersky DDoS Protection-statistieken, die data bevatten over botnet-activiteiten, laten een daling zien in de populariteit van DDoS-aanvallen volgens de HTTP- of HTTPS-floodmethode: van 23 procent in 2016 naar 11 procent in 2017. Tegelijkertijd is er een toename in de frequentie van aanvallen waarbij ook verschillende methodes worden toegepast, namelijk van 13 naar 31 procent. Dit zou kunnen komen door de complexiteit en kosten van het organiseren van HTTP(S)-aanvallen, terwijl cybercriminelen met gemengde aanvallen beter slagen tegen lagere kosten. De langstdurende DDoS-aanval via botnets in de laatste maanden van 2017 heeft 146 uur in beslag genomen. Het doelwit van deze aanval was een site van een Chinees bedrijf dat bezoekers leert traditionele Aziatische gerechten te bereiden. De meest beruchte aanvallen

Zoals in het vierde kwartaal is aangetoond, is DDoS niet altijd bedoeld als manier om geld te verdienen of problemen te veroorzaken: het kan ook een toevallige bijwerking zijn. Zo veroorzaakte een modificatie aan de Lethic-spambot in december een uitgebreide ‘DDoS-aanval’ op de DNS-servers van de nationale RU-domeinzone. Het lijkt erop, dat de Trojan door een fout van een ontwikkelaar een groot aantal verzoeken heeft ingediend naar niet-bestaande domeinen en uiteindelijk het effect van een massale DDoS-aanval heeft geproduceerd. “Je hoeft geen direct doelwit te zijn om slachtoffer te worden van een DDoS-aan-

val”, zegt Kirill Ilganaev, hoofd Kaspersky DDoS Protection bij Kaspersky Lab. “Tegenwoordig is DDoS een instrument om druk uit te oefenen of illegaal geld te verdienen. Aanvallen brengen niet alleen schade toe aan grote, bekende organisaties, maar ook aan kleine ondernemingen. Geen enkel bedrijf dat afhankelijk is van internettoegang, al is het maar een beetje, kan vandaag de dag zonder bescherming tegen DDoS. Daarom hebben we in 2017 een speciale versie van Kaspersky DDoS Protection gelanceerd, aangepast aan de behoeften van kleine bedrijven.” Kaspersky DDoS Protection combineert de uitgebreide expertise van Kaspersky Lab bij de bestrijding van cyberdreigingen met de unieke intern ontwikkelde bedrijfstechnologie. De oplossing biedt bescherming tegen alle typen DDoS-aanvallen, ongeacht complexiteit, kracht en duur. *Het DDoS Intelligence-systeem (onderdeel van Kaspersky DDoS Protection) is ontwikkeld om commando’s te onderscheppen en analyseren die worden verzonden naar bots van command & control (C&C) servers, en hoeft niet te wachten met het verzamelen van data tot de daadwerkelijke infectie van gebruikersapparaten of de uitvoering van cybercriminele commando’s. Het is belangrijk om te vermelden dat DDoS Intelligence-statistieken zich beperken tot botnets die door Kaspersky Lab zijn gedetecteerd en geanalyseerd.

Foto: Tatiana Belova - www.shutterstock.com

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 25

NETWERKBEVEILIGING

GDPR gaat niet alleen over

'Wie naast gegevensbeveiliging ook aan netwerkbeveiliging doet, is goed op weg naar 25 mei'

gegevensbeveiliging De datum 25 mei 2018 zal (hopelijk) bij bijna elke ondernemer en bij alle IT-professionals rood omcirkeld in de kalender staan. In publicaties als deze is al heel veel geschreven over de GDPR of de AVG. Aangezien de afkortingen staan voor General Data Protection Regulation en Algemene Verordening Gegevensbescherming, ligt de nadruk op het beschermen van (persoons)gegevens. Niet ten onrechte. Maar wel ten onrechte is, dat er nauwelijks aandacht is voor netwerkbeveiliging in dit verband.

De meeste bedrijven, gemeenten, ziekenhuizen, scholen en andere instellingen beschikken over veel persoonsgegevens. Het advies om eerst eens te inventariseren welke gegevens er precies zijn en waar deze zich binnen de organisatie bevinden, is dan ook een goed advies. Wie databases wil versleutelen met behulp van encryptie, moet eerst weten welke databases daar precies voor in aanmerking komen. Vervolgens luidt het advies om na te gaan of alle verzamelde persoonsgegevens wel echt nodig zijn om te verzamelen. Wellicht kan de database wat ingeperkt worden. Een derde advies is om goed na te denken over wie precies toegang dient te hebben tot deze gegevens. Met een beperking van het aantal toegangsgemachtigden, slinkt het aantal personen dat (per ongeluk) data kan lekken. Dit zijn goede adviezen, die absoluut moeten worden opgevolgd. Maar de adviezen gaan uit van een theoretische situatie, waarbij persoonsgegevens zich statisch ophouden in databases. Hoewel dat voor een (groot) deel van de gegevens ook zal gelden, geldt dat in de praktijk niet voor álle gegevens. Er zijn altijd rogues. Vooral wanneer bepaalde medewerkers opeens geen toegang meer hebben tot de database, terwijl zij van mening zijn dat zij die zo nu en dan wel nodig hebben. Of medewerkers die niet graag werken met het nieuwe CRM-systeem, omdat ze nu eenmaal al jarenlang lekker werken met een Excelsheet. Medewerkers die gedachteloos een kopie van een deel van de database maken en voor de 26 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

maken van een aantal apparaten met de software die in het bedrijf gebruikt wordt, om zo patches te kunnen testen voordat deze naar het hele netwerk worden uitgerold. Er zijn ook programma’s die patches aanbieden die extra gecontroleerd zijn (zoals G DATA PatchManagement). De kans om dan een patch te installeren die met andere software conflicteert, is dan veel kleiner. Bovendien inventariseert een dergelijke oplossing exact welke hardware en software er op het netwerk draaien en geeft zij altijd een actueel overzicht van beschikbare patches die moeten worden geïnstalleerd.

Goede netwerkbeveiliging essentieel

duur van een bepaald project ‘even’ op hun eigen pc opslaan. Dit zijn slechts enkele voorbeelden van zeer denkbare scenario’s waarin veilig geëncrypteerde databases geen soelaas bieden. Scenario’s waarbij gevoelige gegevens onversleuteld binnen het netwerk rondfladderen, als gewillige slachtoffers in geval van een hack.

Patches tijdig installeren Om deze reden is het van essentieel belang dat organisaties niet alleen persoonsgegevens beveiligen, maar dat ook het netwerk beveiligd wordt als een spreekwoordelijk fort. Om dit te bewerkstelligen, moeten om te beginnen patches tijdig worden geïnstalleerd. Door reverse engineering kunnen malwareschrijvers gemakkelijk code maken die dat beveiligingslek uitbuit, dat door de net uitgebrachte

patch wordt afgeschermd. Meestal zitten er slechts enkele dagen tussen het uitkomen van een patch en de eerste malware die het daaraan gerelateerde lek uitbuit. Nu hebben veel IT-beheerders een haat-liefdeverhouding met patches. Patches kunnen, als zij niet uitvoerig genoeg getest zijn, conflicten veroorzaken. Zo heeft Intel onlangs een van de ‘Spectre’ patches moeten intrekken, omdat deze in sommige systemen willekeurige reboots veroorzaakte. Microsoft heeft zelfs een ‘out of brand’ patch ontwikkeld om de slechte Intel-patch uit te schakelen. Dit incident illustreert duidelijk waarom patches zo’n slecht ima-

go hebben. Wanneer we in de media horen over bedrijven die door cybercriminelen zijn aangevallen, omdat ze een bepaalde patch van twee jaar oud nog niet hadden geïnstalleerd, fronsen security-experts graag de wenkbrauwen. En hoewel er nauwelijks een geldig excuus te bedenken is voor het twee jaar op de plank laten liggen van een kritieke update, is een licht gevoel van scepsis ten opzichte van patches wel te begrijpen. Toch is er geen keuze: lekken dichten, is patchen. Maar hoe kan dat veilig? Voor bedrijven is het nodig om een duurzame patchmanagementstrategie te ontwikkelen. Onderdeel van de strategie kan zijn om een proefopstelling te

Een goed gepatcht systeem is veel minder kwetsbaar dan een ongepatcht systeem. Maar helemaal veilig is het niet, want er zijn altijd ook nog zero-days: beveiligingslekken waarvoor nog geen patch beschikbaar is. Om netwerken daartegen te beschermen, is het installeren, het op de juiste wijze configureren en het up-to-date houden van een goede netwerkbeveiliging essentieel. Het is van belang dat de beveiligingsoplossing niet alleen vertrouwt op reactieve detectie van malware op basis van virushandtekeningen. Betrouwbare proactieve detectiemethoden zijn, in een periode waarin elke 3,2 seconde een nieuw stuk schadelijke code de wereld in worden gestuurd, onmisbaar voor een solide bescherming tegen malware. Daarnaast moet ook een firewall worden geïnstalleerd om aanvallers buiten de poorten te houden. Wie naast gegevensbeveiliging ook aan netwerkbeveiliging doet, is goed op weg naar 25 mei.

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 27

VOORUITBLIK

CYBERSECURITY IN 2018:

niet weten hoe ze een device zelf kunnen beveiligen. Dit onderwerp heeft ook de aandacht van de Nederlandse politiek. Zo roept Rutte-III in het regeerakkoord op tot standaarden voor veilige IoT-apparaten. In botnets schuilen overigens ook andere gevaren. Zo bleek onlangs dat meer dan 500.000 apparaten worden ingezet om de cryptocurrency monero te ‘minen’. Een lucratieve business: dit zogeheten Smominru-botnet heeft in korte tijd miljoenen euro’s opgeleverd.

2. Verdubbeling aantal Linuxgebaseerde aanvallen Het Internet of Things groeit explosief. Volgens schattingen van Gartner zijn er in 2020 ruim 20 miljard IoT-apparaten in gebruik. Cybercriminelen hebben het steeds vaker gemunt op deze devices. Veel IoT-apparaten zijn voorzien van embedded Linux-systemen. WatchGuard verwacht mede hierom dat het aantal aanvallen op Linux-systemen in 2018 verdubbelt.

IoT-botnets,

verzekeringen en de cryptobubble Securityprofessionals, maak de borst maar nat. De afgelopen maanden hebben al duidelijk gemaakt dat 2018 een jaar wordt vol gewiekste cyberaanvallen, grootschalige malwarebesmettingen en ander digitaal leed. Wat kunnen we verwachten op het gebied van cybersecurity? Corey Nachreiner, CTO bij beveiligingsspecialist WatchGuard, heeft zeven belangrijke ontwikkelingen op een rij gezet. 1. IoT-botnets dwingen overheden tot actie Securityjaar 2018 begon roerig voor Nederland. Ons land werd eind januari geteisterd door een reeks DDoS (Distributed Denial of Service)-aanvallen. Onder andere de vier grote banken, de Belastingdienst, DigiD en Rijkswaterstaat kregen te maken met dit type aanval. 28 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

DDoS-aanvallen ontlenen hun brute kracht vaak aan een IoT-botnet zoals Mirai. Dit zijn enorme netwerken van slecht beveiligde IP-camera’s en andere met internet verbonden apparaten, die meestal zonder medeweten van de eigenaar met malware besmet zijn. Die malware wordt steeds geavanceerder en de botnets steeds groter, wat krachtigere DDoS-aanvallen mogelijk maakt. Deze trend kan alleen worden omgebogen als fabrikanten IoT-apparaten structureel veiliger maken. In de loop van 2018 zijn overheden waarschijnlijk genoodzaakt om met nieuwe weten regelgeving te komen die de security van IoT-devices naar een hoger niveau tilt. Bijvoorbeeld door fabrikanten (deels) aansprakelijk te stellen voor schade als gevolg van onveilige producten. Waarschijnlijk zijn makers van consumentenapparaten als eerste aan de beurt, omdat de eindgebruikers van deze producten vaak

Het WatchGuard Threat Lab monitort welke malware en aanvallen door de producten van WatchGuard worden afgeslagen. De groeiende dreiging voor Linux is al langer zichtbaar. Zo was 36 procent van de meest gedetecteerde malware in het eerste kwartaal van 2017 gericht op Linux. In het volgende kwartaal signaleerde WatchGuard een stijging in aanvallen op netwerksoftware van Linux-systemen. Ook kwam door het honeynet van het Threat Lab een groot aantal Telnet- en SSH-aanvallen op Linux-gebaseerde systemen aan het licht, vergelijkbaar aan de Mirai-aanvallen.

3. Opkomst cyberverzekeringen stuwt ransomware

impact hebben. Downtime, gegevensverlies of het betalen van losgeld kan een faillissement inluiden. Met een cyberverzekering kunnen middelgrote en kleine bedrijven de kosten van een securityincident beperken en ervoor zorgen dat ze snel weer ‘back in business’ zijn. Toch kan de opkomst van cyberverzekeringen op lange termijn ook averechts werken. Uit onderzoeken blijkt dat ongeveer een derde van de ransomwareslachtoffers het losgeld betaalt. Ransomware is dus een zeer effectieve afpersingsmethode gebleken. Dit heeft ertoe geleid dat criminelen een hoger bedrag vragen, waardoor juist weer minder mensen tot betaling overgaan. Om hun businessmodel in stand te houden, richten ransomwarecriminelen zich vooral op mensen van wie ze weten dat die betalen. WatchGuard voorziet dat afnemers van cyberverzekeringen vaker slachtoffer worden van ransomware. Zij zijn interessante doelwitten omdat de kans groot is dat het losgeld wordt betaald, aangezien de verzekeraar de kosten mogelijk vergoedt. Logisch gevolg is dat aanbieders van dergelijke verzekeringen strengere eisen gaan stellen aan de security van klanten.

4. Betaalbare multifactorauthenticatie verovert mkb Authenticatie krijgt niet altijd de aandacht die het verdient. Uit het Verizon Data Breach Report 2017 blijkt dat bij 81 procent van door hackers veroorzaakte datalekken gebruik werd gemaakt van gestolen of zwakke inloggegevens. Wanneer een cybercrimineel met de gegevens van een medewerker kan inloggen als legitieme gebruiker, zijn zelfs

‘Hackers kunnen hun hart ophalen, want het aantal producten met een draadloze verbinding blijft groeien’ de beste beveiligingsmaatregelen zinloos. Hoe meer rechten die medewerker heeft, hoe groter de potentiële schade. Na alle incidenten van de afgelopen jaren mogen we wel concluderen dat de gemiddelde medewerker er niet zo’n beste wachtwoordhygiëne op nahoudt. Daarom maken de meeste oplossingen voor authenticatie gebruik van nog een ander identificatiemiddel, zoals biometrische beveiliging. De meeste securityexperts zijn het erover eens dat multifactorauthenticatie (MFA) - waarbij twee of meer identificatiemethoden worden toegepast - het veiligst is. Probleem is echter dat effectieve MFA-technologie tot nu toe redelijk onbereikbaar was voor het midden- en kleinbedrijf. In veel gevallen waren er namelijk complexe on-premise oplossingen en dure hardwaretokens voor nodig. Kleinere bedrijven kunnen zich dergelijke grote investeringen vaak niet permitteren. Ook het beheer van MFA-oplossingen was nodeloos ingewikkeld. Deze praktische obstakels worden in 2018 voorgoed uit de weg geruimd. Er zijn steeds meer betaalbare, gebruiks-

Cyberverzekeringen winnen aan populariteit. Zo’n cyberverzekering kan bijvoorbeeld worden afgesloten om de schade na een datalek te dekken, of de juridische kosten van een eventuele rechtszaak. Ook zijn er speciale pakketten rondom afpersing via internet, bijvoorbeeld een besmetting met ransomware. In sommige gevallen betaalt de verzekeraar zelfs het losgeld. Deze verzekeringen zijn een welkome aanvulling op goede security. Zeker voor kleine bedrijven kan een ransomwarebesmetting een enorme financiële INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 29

VOORUITBLIK vriendelijke MFA-oplossingen beschikbaar. Dit zal ertoe leiden dat goede authenticatie ook binnen het mkb de standaard wordt, zeker voor de belangrijkste gebruikers.

5. Wifihackers richten pijlen op protocollen als Zigbee en bluetooth Het uitvoeren van geavanceerde aanvallen op wifinetwerken is al lang niet meer weggelegd voor hackers met uitgebreide technische kennis. Op internet staan allerlei toegankelijke tools waarmee zelfs amateurs een man-in-themiddleaanval op 802.11-netwerken kunnen opzetten en informatie kunnen stelen. De bijna 3 miljoen online videohandleidingen en andere educatieve filmpjes rondom wifihacking maken het nog makkelijker om dit te leren. Ook andere draadloze standaarden worden kwetsbaarder voor hackers. Dit hangt samen met de brede beschikbaarheid van software-defined radio’s (SDR), een radiofrequentietechnologie die een apparaat in staat stelt om te communiceren met een groot frequentiebereik. De eerste SDR-aanvalstools zijn al opgedoken, zoals HackRF One van Great Scott Gadgets. Op YouTube zijn talloze ‘how to’-video’s te vinden met instructies voor bijvoorbeeld het openen van autodeuren en het spoofen van gps-signalen. Hackers kunnen hun hart ophalen, want het aantal producten met een draadloze verbinding blijft maar groeien. Van slimme auto’s en alarmsystemen tot gasmeters en pacemakers: stuk voor stuk zijn ze interessant voor hackers. WatchGuard voorziet een breed scala aan nieuwe aanvalsmethoden waarbij met SDR-technologie data worden onderschept van devices die gebruikmaken van protocollen als Zigbee, Sigfox, bluetooth, RFID en LoRa.

teraadsverkiezingen op 21 maart is inmenging van buitenaf niet uitgesloten. De vraag is op welke manier. Tijdens de hackersconferentie DefCon 2017 troffen hackers meerdere kwetsbaarheden in stemmachines aan. Direct werden in de media grote vraagtekens gezet bij deze stemmethode. Door stemmachines te hacken, zou de verkiezingsuitslag gemanipuleerd kunnen worden. Een belangrijk detail bleef in de berichtgeving echter veelal onderbelicht: tijdens DefCon hadden de aanvallers fysieke toegang tot de stemmachines. Ze konden ze zelfs helemaal uit elkaar halen. Directe manipulatie van uitslagen ligt dus niet voor de hand. De indirecte aanpak - het verspreiden van foutieve informatie en propaganda - is kansrijker. De grote social media hebben elk een pakket maatregelen aangekondigd om fake news en politieke beïnvloeding tegen te gaan. Toch is de verwachting dat zowel binnen- als buitenlandse actoren volop gebruik zullen maken van nep-Facebook- en -Twitter-accounts om invloed uit te oefenen op de verkiezingen.

7. Populaire cryptomunt gaat ten onder door kritieke kwetsbaarheid Bij cryptocurrency denken veel mensen aan de bitcoin, maar er zijn diverse digitale valuta met een fors volume. Zo hebben de ether, litecoin en de eerder genoemde monero ieder een totale waarde van meer dan 1 miljard euro. De blockchain van elke cryptocoin heeft zijn eigen innovatieve kenmerken.

6. Misleidende informatie rondom verkiezingen VS In november van dit jaar gaat de Amerikaanse bevolking weer naar de stembus. Niet om een president te kiezen, maar voor het Huis van Afgevaardigden en de Senaat. Het is goed mogelijk dat cybercriminelen en buitenlandse mogendheden (opnieuw) zullen proberen om deze verkiezingen naar hun hand te zetten. Ook bij onze eigen gemeen30 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

‘Buitenlandse mogendheden zullen opnieuw proberen om verkiezingen naar hun hand te zetten’

Meet your privacy challenges head on with IAPP training DATA IS ONE OF YOUR MOST VALUABLE ASSETS. in all departments and at all levels. Unless your employees have a solid understanding of the considerations and challenges involved in managing data, you risk a data breach, losing customer trust—or even enforcement action.

Zo fungeert de Ethereum-blockchain als een volledig decentrale computer die applicaties kan draaien. Dergelijke features brengen echter ook specifieke securityrisico’s met zich mee. Er gaat nog steeds veel geld om in cryptovaluta, ondanks recente verliezen. Dat maakt bezitters van cryptomunten en handelsplatforms - een aantrekkelijk doelwit voor cybercriminelen. Dit bleek al in 2016 toen hackers een kwetsbaarheid in een populaire blockchainapplicatie misbruikten om tientallen miljoenen dollars aan ether te stelen. Onlangs nog werd 300 miljoen euro aan cryptovaluta buitgemaakt bij Coincheck, een van de grootste Japanse beurzen voor cryptovaluta. WatchGuard voorspelt dat hackers dit jaar een kwetsbaarheid in een populaire cryptomunt vinden die zo ernstig is dat de gebruikers absoluut geen vertrouwen meer hebben in de veiligheid ervan. Dit kan ertoe leiden dat de waarde van de cryptovaluta in kwestie volledig verdampt.

TSTC FAST TRACKS PRIVACY

And every day it is being accessed, shared, managed and transferred by people in your organization

IAPP training can provide your staff with the knowledge they need to help you meet your privacy

program goals. The IAPP offers seven privacy and data protection training programs to extend knowledge to staff who need to have a solid understanding of privacy principles and practices.

Our comprehensive and flexible programs can be suited to your specific needs and availability in order to help you drive privacy knowledge across your organization.

Which Is Right for You?

CIPP/E

Professionals with privacy skills are in high demand. Show off your knowledge and skills with an IAPP credential.

Certified Information Privacy Professional / Europe By investing in your staff, you give them the knowledge to make better decisions in their everyday work, which is fundamental Which Is Right for You? to the success of your privacy program.

CIPM

Professionals with privacy skills are in high demand. Show off your knowledge and skills with an IAPP credential.

THE WHAT Laws and regulations

THE HOW Operations

THE HOW Technology

Certified Information Privacy Manager

•

Legal

•

Compliance

•

Information Management

•

Data Governance

•

Human Resources

•

Risk Management

•

Information Technology

•

Information Security

Accountability

•

Software Engineering

•

Audit

•

Privacy by Design

•

Privacy Analytics

• Privacy Operations www.privacyassociation.org/iappcert

CIPT

JURISDICTIONAL

THE WHAT Laws and regulations

GLOBAL, CROSS-INDUSTRY

www.privacyassociation.org/certification

THE HOW Operations

THE HOW Technology

Certified Information Privacy Technologist

•

Legal

•

Risk Management

•

Information Technology

•

Compliance

•

Privacy Operations

•

Information Security

•

Information Management

•

Accountability

•

Software Engineering

•

Data Governance

•

Audit

•

Privacy by Design

•

Human Resources

•

Privacy Analytics

JURISDICTIONAL

CDPO

GLOBAL, CROSS-INDUSTRY

www.privacyassociation.org/certification

Certified Data Protection Officer

0318 581480

W W W.T STC .NL

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 31

INTERVIEW Een FG - de Nederlandse term voor data protection officer (DPO) - is een interne privacytoezichthouder. Hij of zij controleert of de AVG binnen de organisatie wordt toegepast en nageleefd. De FG biedt bijvoorbeeld ondersteuning bij privacyaudits, traint medewerkers op het gebied van privacy en treedt op als contactpersoon voor de Europese toezichthouders.

FG’s zijn zeer gewild De verplichte FG geldt onder andere voor alle overheidsinstanties en publieke organisaties, zoals scholen en zorginstellingen. Maar ook voor organisaties die als kernactiviteit op grote schaal individuen volgen of bijzondere persoonsgegevens verwerken. Banken, retailers, technologiebedrijven en marketingbureaus: allemaal moeten ze de afweging maken of een FG nodig is. Volgens schattingen van de International Association of Privacy Professionals (IAPP) zijn er alleen al in Europa en de VS meer dan 28.000 FG’s nodig. Wereldwijd zijn dat er zelfs 75.000. Het gevolg is dat er flink wordt getrokken aan de beschikbare FG’s. Zelfs grote bedrijven als Uber, Facebook, Microsoft en Airbnb hebben (of hadden tot voor kort) een openstaande FG-vacature.

Tijd begint te dringen

‘IK WORD ELKE WEEK TIEN KEER GEBELD DOOR RECRUITERS’

De opkomst van de functionaris gegevensbescherming De deadline voor de AVG nadert. De nieuwe Europese privacywet leidt tot een enorme vraag naar functionarissen voor de gegevensbescherming. Zij vervullen immers een sleutelrol in de naleving van de AVG. Hoe kijkt data protection officer Marc French van Mimecast tegen de FG-functie aan? En wat is volgens hem de impact van de AVG op de organisatie? 32 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens van EU-burgers verwerken aan nog strengere privacyregels voldoen. Een van de belangrijkste veranderingen ten opzichte van de huidige Wet bescherming persoonsgegevens (Wbp) is dat een groot aantal organisaties onder de Algemene verordening gegevensbescherming (AVG) verplicht is een FG aan te stellen.

“Ik word elke week zo’n acht tot tien keer gebeld door recruiters”, vertelt Marc French, die bij e-mailbeveiligingsspecialist Mimecast de functie van FG combineert met zijn taken als senior vicepresident. “Sinds januari gaat de telefoon steeds vaker. Het lijkt erop dat iedereen zich opeens realiseert: ‘O mijn god, over drie maanden moeten we al klaar zijn voor de AVG’.” French besteedt momenteel zo’n 65 procent van zijn tijd aan de AVG. “Ik houd bij of er nieuwe AVG-richtlijnen zijn, overleg met ontwikkelaars over het waarborgen van privacy in nieuwe productfuncties en beoordeel verzoeken tot dataverwerking van de marketingafdeling. Ook werk ik aan ons privacybeleid en voer ik gesprekken met klanten over onze omgang met de AVG en privacy.”

Informatiebeveiliging en privacyrecht “Het is een interessante rol waarin informatiebeveiliging en het privacyrecht sa-

Meer nodig dan alleen automatisering

‘Het is een interessante rol waarin informatiebeveiliging en het privacyrecht samenkomen’

menkomen”, zegt French, die een achtergrond als CISO heeft. “Privacy was altijd het domein van juristen, maar ik denk dat organisaties de AVG nu te veel vanuit juridisch perspectief benaderen. Dat terwijl de implementatie van technische en organisatorische maatregelen even belangrijk is.” Tegelijkertijd mogen de strikt juridische elementen volgens hem niet worden onderschat. “Ik ben zelf geen jurist, dus ik heb een privacyjurist tot mijn beschikking die dat aspect voor zijn rekening neemt. Maar die persoon gaat bijvoorbeeld geen privacytrainingen geven of datalekken melden aan de toezichthouder en de betrokkenen. Als FG moet je dus van meerdere markten thuis zijn.”

Meldplicht datalekken French benadrukt dat de zoektocht naar een FG niet de enige uitdaging is die de AVG met zich meebrengt. “Hoewel Nederland al langer een meldplicht datalekken kent, wordt de impact nog altijd onderschat. Bij voorkeur stel je de toezichthouder binnen 72 uur op de hoogte van een datalek. Maar een partner kan ook schuldig zijn aan een lek. Als verantwoordelijke moet je snel kunnen bepalen waar in je supplychain de fout zit.” “Dit betekent dat je bij een datalek de hele keten inzichtelijk moet hebben”, vervolgt de FG van Mimecast. “Je hebt in totaal 72 uur om informatie op te halen bij contactpersonen in je supplychain, anders kun je als verantwoordelijke niet op correcte wijze melding doen bij de toezichthouder. Zonder de juiste voorbereidingen komt een gemiddeld bedrijf al gauw in tijdnood.”

Het is slechts een voorbeeld van het extra werk dat de AVG oplevert. Volgens French kan technologie, zoals tooling voor het opzetten en bijhouden van een verwerkingsregister, uitkomst bieden. “Absoluut, het is te veel werk om alleen door mensen te laten uitvoeren. Maar automatisering kan niet alle menselijke taken overnemen. Bovendien beschikt slechts een deel van de organisaties over deze technologie.” “Voor de gemiddelde organisatie is AVG-compliance een handmatig proces”, stelt French. “Wij hebben het geluk dat we een securitybedrijf zijn. We hebben technologie, tools en mensen in huis die het makkelijker maken. Maar voor een typisch productiebedrijf dat spullen aan EU-burgers verkoopt, ligt dat natuurlijk anders. Daar moet het meeste werk handmatig gebeuren.”

Coulantie in het begin Op overtredingen van de AVG staat een maximale boete van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. French verwacht niet dat er meteen boetes uitgedeeld worden. “Dit is speculatie, maar het lijkt me dat de toezichthouder in eerste instantie coulant zal zijn.

‘De impact van de meldplicht datalekken wordt nog altijd onderschat’

Logisch, want uit onderzoek blijkt dat minder dan de helft van de organisaties op 25 mei klaar is voor de AVG.” “Het is mogelijk dat ze aan het einde van de zomer een voorbeeld stellen. Waarschijnlijk richten ze hun pijlen op een grote Amerikaanse multinational. Interessant genoeg zijn die bedrijven juist het beste voorbereid op de AVG. Ik vermoed dat de eerste boete niet naar de Microsofts, Amazons of Googles van deze wereld gaat, maar naar een bedrijf in de categorie daaronder.”

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 33

MONITORING malieën in het gedrag van netwerkverkeer (ADS). Onder andere omdat een groeiend deel van de cybercriminelen bezig is hun businessmodel te verleggen naar het lucratief minen van cryptocurrency, is een snelle detectie van ransomware nodig. ADS detecteert abnormaal netwerkverkeer dat kan wijzen op pogingen tot ransomware verspreiding, voordat de effectieve verspreiding plaatsvindt. “Network Performance Monitoring & Diagnostics (NPM&D) en Anomaly Detection System (ADS) liggen in elkaars verlengde”, zegt Willy Verplancke, als Business Development Manager verantwoordelijk voor de Belgische klanten van Flowmon Networks. “Momenteel is onze business voor bijna 50% afkomstig van oplossingen voor het monitoren van netwerkverkeer en eveneens bijna 50% van security-oplossingen om DDoS-aanvallen tegen te houden. De komende jaren verwachten wij nog aanzienlijke groei te kunnen realiseren in het ADS-segment. Mede als gevolg van de nieuwe regelgeving (GDPR) op het gebied van informatie- en privacybescherming en het EU NIS Directive for Critical Infrastructure, die beide dit jaar in geheel Europa van kracht worden. Ook het monitoren van industriële SCADA- en IoT-systemen is voor ons een belangrijke groeimarkt.

Benelux-markt

Cyberaanvallen

voorkomen en bestrijden met realtime monitoring Realtime monitoren van al het netwerkverkeer is zowel noodzakelijk om cyberaanvallen te voorkomen als effectief te bestrijden, is de visie van het Tsjechische Flowmon Networks. Daarvoor levert deze specialist in het monitoren van netwerken en applicaties een oplossing die door steeds meer Internet-providers, financiële dienstverleners, zorginstellingen en andere organisaties in de Benelux wordt gebruikt. Tijdens Infosecurity.be in Brussel laat Flowmon zien hoe digitale infrastructuren en assets beter te monitoren en te beschermen zijn. 34 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

‘End-to-end’ inzicht netwerkverkeer De komende jaren krijgen alle bedrijven, non-profit organisaties en overheden te maken met meer en zwaardere cyberaanvallen. Via hun netwerkingangen en alle daarop aangesloten apparatuur, waaronder een snel groeiend aantal smartphones, tablets, IP-camera’s en op het Internet aangesloten industriële apparatuur en sensoren (IoT). “Om onderbrekingen van kritische processen en services te voorkomen, is het belangrijk realtime ‘end-to-end’ inzicht in al het netwerkverkeer te hebben”, zegt Frank Dupker, VP Sales EMEA van Flowmon Networks. “Zonder dat inzicht is het namelijk onmogelijk tijdig

te signaleren wie een organisatie via welke ingang aanvalt en hoe een aanval zich ontwikkelt.” Dat cyberaanvallen verstrekkende gevolgen kunnen hebben, is vorig jaar zomer onder andere duidelijk geworden bij het Deens bedrijf Maersk in Rotterdam. Nadat ransomware een aantal kritieke systemen wist te gijzelen, kon er dagenlang niet meer worden gewerkt en duurde het weken voordat de logistieke serviceverlening weer op peil was. In totaal heeft die wereldwijd bekend geworden cyberaanval bij Maersk tussen de 200 tot 300 miljoen dollar aan schade veroorzaakt.

Volgens Dupker en Verplancke vertonen de Belgische en Nederlandse markten meer overeenkomsten dan verschillen. In beide landen investeerden tot nu toe serviceproviders, financiële dienstverleners en zorginstellingen de grootste budgetten in securityoplossingen, gevolgd door retailers en grote bedrijven in andere sectoren. Een voorbeeld is de NaWas, waarin een groep Nederlandse

'De komende jaren krijgen alle bedrijven, non-profit organisaties en overheden te maken met meer en zwaardere cyberaanvallen'

Internet-providers samen investeert in de benodigde oplossing en capaciteit op securitygebied. Flowmon is al enkele jaren hun partner voor het bieden van DDoS-bescherming aan bedrijven en consumenten. De ‘security-volwassenheid’ blijkt in de praktijk vaak gerelateerd aan de mate van digitalisering binnen organisaties. “In sommige ziekenhuizen wordt nog met verouderde computers, of met Internet verbonden apparatuur gewerkt, waardoor ze extra kwetsbaar zijn voor cyberaanvallen”, vertelt Verplancke als voorbeeld. “Door het toenemend gebruik van elektronische patiëntendossiers zien wij daar de laatste tijd al meer belangstelling voor monitoring en diagnostisering. In zijn algemeenheid vertrouwen echter nog teveel organisaties op hun firewalls en andere securityoplossingen, of de serviceproviders, zonder dat ze zelf realtime inzicht hebben en weten wat er allemaal binnen hun netwerkinfrastructuur gebeurt. Dat kan een tijdlang goed gaan, zolang ze geen serieus doelwit van

Network Anomalie Detectie Behalve voor het monitoren en diagnostiseren van netwerkverkeer, levert Flowmon Networks nog een complementaire oplossing voor het detecteren van ano-

Frank Dupker INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 35

MONITORING

ANALYSE

‘Gestolen inloggegevens

steeds vaker gebruikt door botnets’

cybercriminelen zijn, maar ook vergaande consequenties hebben voor zowel de continuïteit als het imago.”

Best-of-breed oplossingen Flowmon Networks is een specialist op het gebied van netwerken applicatiemonitoring die voor het leveren van ‘best-of-breed’ oplossingen nauw samenwerkt met leveranciers als F5 en Juniper Networks. Het totale securityspectrum is in hun visie namelijk te breed en te diep om overal de beste functionaliteit voor te kunnen ontwikkelen en leveren. “Steeds meer organisaties kiezen voor ‘best-of-breed’ oplossingen, in plaats van de totaaloplossingen van één leverancier”, licht Dupker toe. “Zowel uit het oogpunt van een betere prestatie/ prijsverhouding, als te grote afhankelijkheid. Wij zijn in 2017 wereldwijd ruim 25% gegroeid en in lijn daarmee volop bezig onze organisatie te globaliseren. Dit betekent concreet dat er al gespecialiseerde verkoopteams in verschillen-

de Europese landen, Azië-Pacific en de Verenigde Staten actief zijn. Verder worden alle ondersteunende bedrijfsprocessen geïnternationaliseerd en groeit onze organisatie ook op het gebied van R&D en technische support. Het vinden van de juiste mensen daarvoor is in een krapper wordende arbeidsmarkt wel een uitdaging aan het worden.”

Jiri Tobola, sinds 2018 de nieuwe CEO van Flowmon Networks, heeft zich tot doel gesteld het securitybedrijf de komende drie jaar te verdubbelen. Behalve de eigen organisatie wordt daarom tevens het ecosysteem van technologiepartners en netwerkspecialisten die Flowmon-oplossingen implementeren verder uitgebreid.

Uit een analyse door Akamai van meer dan 7,3 biljoen maandelijkse bot requests blijkt een scherpe stijging in het misbruik van gestolen inloggegevens. Meer dan 40 procent van de login-pogingen is malafide. Dat is één van de uitkomsten van het Fourth Quarter, 2017 State of the Internet / Security Report. Volgens het Ponemon Institute kunnen credential stuffing-aanvallen een organisatie tot wel $2,7 miljoen per jaar kosten. Daarnaast laat de analyse van Akamai zien dat DDoS-aanvallen een constante dreiging vormen en dat het Mirai botnet nog steeds in staat is tot behoorlijke pieken in activiteit. Nederland is na de Verenigde Staten het vaakst de bron van DDoS-aanvallen, namelijk 47 miljoen keer. De onderzoekers van Akamai zien dat de recente hackactiviteiten zich richten op remote code execution-kwetsbaarheden in de software van ondernemingen om zo enterprise systemen onderdeel te maken van een botnet. Zo hebben hackers kwetsbaarheden verkend in de HTTP-server in GoAhead - met meer dan 700.000 potentiële doelen - en Oracle WebLogic Server. De onthulling van de Spectre en Meltdown kwetsbaarheden eerder dit jaar hebben de deur geopend voor een nieuwe golf van aanvallen, waaronder de verborgen installatie van cryptomining-programma’s.

Uit het onderzoek blijkt eveneens dat het totaal aantal DDoS-aanvallen in het vierde kwartaal van 2017 met 14 procent is gestegen vergeleken met hetzelfde kwartaal in 2016. Hoewel uit eerdere rapporten de intensiteit van het Mirai botnet leek af te nemen, registreerde Akamai eind november een piek van meer dan 1 miljoen unieke IP-adressen die door het botnet werden gebruikt om het internet te scannen. Dit toont aan dat Mirai nog steeds in staat is om explosief te groeien.

Hoofdpunten Andere bevindingen uit het rapport zijn: • De hospitality-industrie is het grootste slachtoffer van credential-aanvallen. 82 procent van de login-pogingen in deze sector komt van kwaadaardige botnets. • De financiële sector zag een sterke stijging in het aantal DDoS-aanvallen, met 298 aanvallen op 37 verschillende organisaties in het laatste kwartaal. • Applicatie layer DDoS-aanvallen zoals GET, PUSH en POST flood attacks namen met 115 procent in volume toe in Q4, vergeleken met Q3. • Het aantal DDoS-aanvallen vanuit de VS steeg met 31 procent in Q4 2017 vergeleken met Q4 2016. • Akamai signaleerde 146 Petabytes aan botverkeer in november en 145 Petabytes in december, wat neerkomt op ongeveer 550 Mbps. • Akamai wist 4.364 aanvallen te mitigeren op het routed platform in Q4. In heel 2017 signaleerde Akamai in totaal 15.965 aanvallen.

Bots zorgen voor toenemende dreiging credential stuffing

Willy Verplancke

Flowmon en F5 Eind vorig jaar is Flowmon Networks lid geworden van F5 Networks’ Technology Alliance Program (TAP). Beide partners gaan samen een oplossing introduceren die zowel Internet Service Providers als bedrijven automatisch beschermt tegen multi-vector DDoS-aanvallen. Deze gezamenlijke verdedigingsoplossing is gebaseerd op een integratie van Flowmon’s DDoS Defender met de F5 BIG-IP Advanced Firewall Manager (BIG-IP AFM). Flowmon observeert en leert continu van netwerkverkeer, voor het detecteren van onrechtmatigheden en anomalieën. Zodra een DDoS-aanval wordt gedetecteerd geeft Flowmon inzicht in de karakteristieken ervan en wordt het verkeer automatisch omgeleid naar de BIG-IP AFM. Vervolgens kan F5’s BIG-IP AFM automatisch het beste mitigatiepad bepalen. Als de aanval is afgeslagen informeert F5’s BIG-IP AFM de Flowmon DDoS Defender daarover en is zowel de oorspronkelijke routering als configuratie weer te herstellen.

36 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

Op een gemiddelde dag monitort Akamai meer dan 2.750 verzoeken van bots per seconde. Dat is meer dan 30 procent van het totale webverkeer - met uitzondering van videostreaming - op het platform. Hoewel een groot deel van deze botactiviteit gelegitimeerd is, zetten cybercriminelen steeds vaker bots in. Veel van de botnets die verantwoordelijk zijn voor DDoS-aanvallen worden bijvoorbeeld ingezet om gestolen inloggegevens te misbruiken. Van de meer dan 17 miljard inlogverzoeken die in november en december op het platform van Akamai werden getrackt, werd bijna de helft (43 procent) gebruikt voor het misbruiken van inloggegevens. “Toenemende automatisering en datamining hebben gezorgd voor een enorme toename van botverkeer om websites en online diensten te beïnvloeden. Hoewel de meerderheid van dit verkeer toegevoegde waarde heeft voor online bedrijven zoeken cybercriminelen naar manieren om de krachtige volumes van bots in te zetten voor kwalijke doeleinden”, zegt onderzoeker McKeay. “Ondernemingen moeten monitoren wie hun website bezoekt om onderscheid te kunnen maken tussen mensen en bots, zowel legitieme als kwaadaardige bots. Niet al het webverkeer en niet alle bots zijn immers gelijk.”

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 37

ONDERZOEK

BLOG

Werkcomputers

geïnfecteerd met virus door ongeoorloofd internetgedrag werknemer Maar liefst 27 procent van de organisaties heeft geen maatregelen getroffen om werknemers bewust te maken van cybercrime. Dit gebrek aan maatregelen brengt ernstige risico’s met zich mee. Dit blijkt uit onderzoek van BIT onder meer dan 1.000 Nederlanders met een kantoorbaan.

Zo klikt 14 procent van de werknemers op de werkvloer op linkjes in e-mails van onbekende afzenders. Bijna een kwart (22%) geeft aan dat hierdoor de werkcomputer of -laptop weleens geïnfecteerd is met een virus. 12 procent heeft geen idee of dit gevolgen heeft gehad. Naast het klikken op linkjes in e-mails van onbekende afzenders, geeft één op de tien werknemers aan weleens bestanden te openen uit mails van onbekende afzenders. 26 procent heeft hierdoor te maken gekregen met een virus en 15 procent weet niet of het gevolgen heeft gehad. De onderzoeksresultaten zijn gebundeld in het rapport ‘Internet eigenwijs 2017’.

Getroffen maatregelen Van de organisaties die wel maatregelen hebben genomen om werknemers bewust te maken van

internetgevaren, heeft 43 procent veiligheidsmaatregelen opgesteld in een reglement en deze ook aan alle medewerkers uitgelegd. Volgens 34 procent van de medewerkers zijn veiligheidsrisico’s gedocumenteerd en aan iedereen uitgelegd en bij 19 procent van de bedrijven worden interne bijeenkomsten georganiseerd over veiligheidsrisico’s. Daarnaast zegt bijna een derde van de werknemers dat internetgebruik continu anoniem wordt gemonitord en dat zij worden aangesproken op het moment dat er risicovolle handelingen worden uitgevoerd. Wido Potters, Manager Support & Sales bij BIT: “Met de toenemende cybercriminaliteit is het een zorgwekkend gegeven dat nog te weinig organisaties zich bezighouden met het creëren van bewustwording en het begeleiden van werknemers. Ons onderzoek laat zien dat dit voor reële gevaren zorgt. Het advies is dat de IT-afdeling de volgende stap zet om werknemers, en ook zeker het management, te informeren en overtuigen van de gevaren en consequenties die verbonden zijn aan onveilig internetgedrag. Bewustwording onder werknemers is de basis om cybercrime op de werkvloer terug te dringen en een open, veilig en vrij internet te waarborgen.”

Hoe kunt u Security Transformation onderbouwen met volledige zichtbaarheid van uw attack surface? Wij hebben gezien dat er veel redenen zijn waarom u een Security Transformation programma (ST) - een kwalitatieve beweging over de invulling van IT-beveiliging - overweegt of al uitvoert met betrekking tot het verminderen van het risico op cyberaanvallen. Bijvoorbeeld: • U heeft een nieuwe CISO aangesteld die een fast-track programma wil implementeren dat onmiddellijke verbeteringen op gaat leveren. • U heeft veel verschillende beveiligingstechnologieën geïmplementeerd en voert regelmatig audits uit, maar u heeft moeite om uw IT-beveiligingsteam te blijven opschalen. • U heeft een zeer toolgerichte benadering van cyberbeveiliging gekozen, maar heeft te veel gegevens, onvoldoende mankracht, uw processen zijn niet volwassen of uw operationele aanpak werkt gewoon niet. • U heeft geprobeerd uw beveiliging uit te besteden, maar dit levert niet de verwachte voordelen op. • U worstelt met het beantwoorden van vragen van topmanagers, zoals waar lopen we het meeste risico van een aanval, wat wordt er gedaan en welke mogelijkheden hebben we om dit te voorkomen? Een bekende rode draad in al deze kwesties is het zoeken naar een verbeterde aanpak en processen om u te helpen uw bestaande bronnen beter te benutten. Maar als u niet precies weet wat u probeert te verdedigen, dan is het erg moeilijk om een effectieve beveiligingsstrategie te plannen. Zonder een centraal model en een duidelijk en gedetailleerd overzicht van uw infrastructuur is de kans groot dat de technologieën en processen die u probeert te implementeren slecht worden ingesteld of gewoon helemaal niet werken. Gezond verstand en een plan van aanpak zijn nodig om uw ‘attack surface’ (de kwetsbare delen van uw infrastructuur) te begrijpen, om onmiddellijke resultaten te bereiken en een vertrouwd platform te creëren waarop u uw processen in de loop van de tijd kunt laten rijpen en evolueren. Dit helpt belangrijke uitdagingen aan te pakken, waaronder: •

•

38 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

Zeer slechte context van het ‘attack surface’, vanwege de complexiteit, schaal, heterogene technologie, gebruik van cloud, outsourcers, etc.; historische gegevens die vaak verouderd zijn; en een perimeter die gewoon niet bekend is - wat het bouwen van een effectieve verdedigingsstrategie bijna onmogelijk maakt. De noodzaak om een snelle risicovermindering te demonstreren, wat inhoudt dat gebreken in compliance en blootstelling, kwetsbaarheden met een hoog risico en alle

•

toegangs- en uitgangspunten worden geïdentificeerd en geprioriteerd aan deze ‘quick wins’. Verbetering van beveiliging en compliance door gebruik te maken van bestaande processen, zoals hoe u firewall-wijzigingsbeheer in een eerste verdedigingslinie kunt veranderen, zorgen dat het patchproces aan uw beveiligingsbehoeften voldoet, compliance-management insluit binnen normale dagelijkse activiteiten en bestaande systemen processen verbeteren zonder extra investeringen. De beste manier om het transformatieprogramma te plannen en te beheren, uw benadering van beveiliging te laten rijpen en fouten van ‘early adopters’ die teveel geïnvesteerd hebben in technologie te vermijden.

Hoe kunt u dit aanpakken? Begin door te focussen op detectie en risicovermindering: 1. Bouw een model van uw complete organisatie-infrastructuur en zorg voor een context rond alle in- en uitlooppunten en complexiteiten van uw netwerk en assets, om u een gedetailleerd inzicht te geven in wat u probeert te verdedigen. 2. Dit model moet dagelijks automatisch worden bijgewerkt, zodat u een continu en actueel beeld van uw ‘attack surface’ krijgt. 3. Het model kan vervolgens regelmatig worden geanalyseerd om alle kansen te identificeren om risico’s snel te verminderen, veerkracht te vergroten en onmiddellijke resultaten te behalen. 4. Ontwikkel en verbeter uw bestaande processen of creëer nieuwe op gebieden zoals het automatiseren van compliance en beleidsbeheer, het automatiseren van changemanagement en het verbeteren van het beheer van de kwetsbaarheden (bijv. firewalls). 5. Verhuizen naar geavanceerdere ‘use cases’ zoals Skybox inbouwen in een SOC of Computer Emergency Response Team (CERT) om het te gebruiken bij outsourcing bij een Managed Security Service Provider (MSSP), of een soort hybride model. Skybox geeft een bedrijf het gereedschap om totaal inzicht te geven over de ‘attack surface’ en deze beheerbaar te maken, waardoor het de kans op cyberaanvallen reduceert. Graag willen wij van SRC Secure Solutions en Skybox Security u helpen om betere resultaten te behalen met uw initiatieven voor Security Transformation, u kunt via onze website op http://www.srcsecuresolutions.eu/index.php/products-services/skybox-cybersecuritymanagement/skybox-cybersecurity-management meer lezen. JAMES CHENEY, SRC Secure Solutions

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 39

MULTICLOUD voor- en nadelen om er zeker van te zijn dat hun multicloud-implementatie een succes wordt.

Voordeel 1: Bepalen welke provider de beste prestaties biedt Omdat bedrijven steeds vaker bang zijn om aan een verouderde oplossing ‘vast te zitten’, biedt het evalueren en invoeren van een multicloud-omgeving organisaties de mogelijkheid om te beoordelen welke provider de beste prestaties en ondersteuning biedt voor hun specifieke vereisten. Zo heeft GE zijn cloudhostingstrategie opnieuw ingericht voor gebruik van zowel Microsoft Azure als Amazon Web Services. GE wil zodoende bepalen welke hostingomgeving het beste presteert en welk contract voor hun klanten het voordeligst is. Uiteindelijk kunnen organisaties op deze manier de beste technologieën van verschillende providers uitproberen en kiezen om er zeker van te zijn dat ze de meest geschikte en rendabelste oplossing kiezen voor hun bedrijf.

Nadeel 1: Minder koopkracht en meer overhead

‘Let bij multicloud goed op security’ Een groeiend aantal bedrijven is bezig hun data en belangrijkste bedrijfsapplicaties te verplaatsen naar de cloud. Of het nu gaat om een eenvoudige verplaatsing of een overstap naar een volledig ander platform, we zien dat klanten sneller dan ooit voor de cloud kiezen. Organisaties komen er echter al snel achter dat één cloudoplossing onvoldoende is voor alle toekomstige behoeften, waardoor de multicloud voor veel bedrijven een steeds belangrijkere strategie zal worden in 2018. Gartner voorspelt zelfs dat een multicloud-aanpak vanaf 2019 voor 70% van alle ondernemingen de standaard gaat zijn. Momenteel is 40 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

dat minder dan 10%. Om goed te kunnen manoeuvreren in de multicloud-trend, moet je je echter wel hebben verdiept in zowel de voordelen als de uitdagingen die een overstap naar een dergelijke omgeving met zich meebrengt. Meer flexibiliteit mag dan een voordeel zijn, maar een multicloud-aanpak kan wel hogere kosten met zich meebrengen omdat de workload van een organisatie wordt verdeeld over meerdere providers. Ondanks de voordelen van betere betrouwbaarheid en meer uptime, kan het beheren van meerdere cloudomgevingen leiden tot een te hoge werkdruk voor IT-personeel. Met deze zaken in het achterhoofd dienen organisaties een afweging te maken van de belangrijkste

Nadeel 2: Uitdagingen op het gebied van beheer en bedrijfsvoering De complexiteit van verschillende cloudomgevingen kan al snel een uitdaging vormen, omdat het onder de knie krijgen van elk afzonderlijk cloudplatform behoorlijk wat tijd en mankracht kan kosten. Deze medewerkers zouden bijvoorbeeld ook kunnen worden ingezet voor andere zaken, zoals het ontwikkelen van nieuwe IT-functies en klantondersteuning. Als een multicloud-omgeving niet goed wordt beheerd en in de gaten gehouden, zullen problemen in de bedrijfsoperatie zich opstapelen, wat weer leidt tot obstakels op het gebied van toegangsbeheer en beveiligingsupdates. Ten slotte houdt een effectieve multicloud-omgeving in dat interne ontwikkelaars meerdere platforms moeten beheersen en dat er sprake is van extra governance-processen, afhankelijk van de verschillende omgevingen die moeten worden ondersteund.

Voordeel 3: Bedrijfscontinuïteit en minder downtime

Een multicloud-strategie kan de koopkracht van een organisatie verminderen. Als een bedrijf bij meerdere providers inkoopt, vervalt het voordeel van grootschalige inkoop. Het kan zelfs zo zijn dat een bedrijf meer betaalt voor minder. Daarnaast kunnen de personeelskosten stijgen, omdat IT-teams moeten werken met meerdere cloudproviders, in plaats van dat ze alle aandacht op één cloudplatform kunnen richten.

Het kan riskant zijn als je bedrijf maar één cloudplatform gebruikt, omdat het merendeel van de data dan maar op één plek is opgeslagen. Bij een multicloud-strategie kunnen, als het ene cloudplatform niet meer reageert of optimaal presteert, toepassingen via een alternatieve cloudoptie draaien. Omdat betrouwbaarheid en uptime voor elk bedrijf essentieel zijn, zal het maximaal reduceren van downtime de algehele productiviteit en prestaties van een organisatie stimuleren.

Voordeel 2: Meerdere opties mogelijk

Nadeel 3: Beveiligingsproblemen

Een multicloud-aanpak geeft organisaties meer flexibiliteit omdat een IT-afdeling de vrijheid heeft om de meest geschikte cloud te kiezen voor hun vereisten. De ene cloudleverancier biedt bijvoorbeeld meer beveiligingsmogelijkheden die niet worden ondersteund door andere opties op de markt, terwijl een andere leverancier een superieure beschikbaarheidsarchitectuur biedt. In feite beschikken organisaties bij het inzetten van meerdere clouds over de flexibiliteit om per IT-workload de beste implementatie-optie te kiezen. Zo kunnen ze van elke van deze clouds die stukjes selecteren die voor hun activiteiten het meest gunstig zijn.

Beveiliging is een belangrijk onderdeel binnen de clouddiscussie en dit geldt uiteraard ook voor een multicloud-omgeving. Vooral ook omdat de cloud steeds meer wordt gebruikt als opslagplaats voor gevoelige gegevens. Een groeiende complexiteit door gebruik van meerdere clouds kan een groter beveiligingsrisico vormen, vooral als de multicloud-omgevingen minder goed worden beheerd en als beveiligingsupdates niet op de juiste manier worden doorgevoerd. Aan de andere kant kan het gebruik van meerdere clouds het risico van grootschalig dataverlies en downtime als gevolg van hardwareproblemen juist verminderen. Door meer-

'Gartner voorspelt zelfs dat een multicloud-aanpak vanaf 2019 voor 70% van alle ondernemingen de standaard gaat zijn'

dere clouds op een slimme manier te combineren, kunnen organisaties gevoelige data juist veilig in een private cloud opslaan en andere delen van het bedrijf in een public cloudomgeving laten draaien. Het lijkt er sterk op dat bedrijven in 2018 steeds meer voor de multicloud-aanpak zullen gaan, waarbij organisaties de eigenaardigheden van deze aanpak gaan ervaren. Bijvoorbeeld door te meten in hoeverre een cloudplatform wordt geadopteerd, wat het interne gebruik ervan is en wat het kost qua workload die erop moet draaien en implementatie. Antwoorden op deze vragen krijg je pas als je ze gaat stellen. JAMES EILOART, SVP Tableau EMEA

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 41

RICHTLIJN

Voldoet u al aan de nieuwe

richtlijn voor Cyber Security? Niet alleen op het gebied van safety gelden normen en richtlijnen om veiligheid te waarborgen. Ook op het gebied van security moet u voldoen om de veiligheid van uw mensen en systemen te garanderen. De nieuwe richtlijn ‘Cyber security voor industriële automatisering en besturingssystemen’ (IEC 62443) moet voorkomen dat bedrijven en componenten insecure zijn. De nieuwe richtlijn helpt u bij het managen van industriële security binnen uw organisatie. Vaak wordt weten regelgeving gezien als een hoofdpijndossier, maar de praktijk wijst uit dat voldoen aan de geldende eisen ervoor zorgt dat u weerbaarder bent voor cyberaanvallen en hackers. Want het is niet de vraag wanneer u gehackt wordt, maar hoe u ermee omgaat. Wanneer u voldoet aan de IEC 62443 is uw automatiseringsnetwerk zo ingericht dat u inzicht heeft in wanneer er een cyberaanval plaatsvindt. Ook krijgt u inzicht in de werking van verschillende hackingtools. U weet de risico’s te analyseren én u weet uw Cyber Security Management te monitoren en te verbeteren. Na een cyberaanval is het van belang dat u snel ‘herstelt’ en deze recovertijd zo kort mogelijk houdt. Immers productiestilstand betekent oplopende kosten! Denkt u nu: Dan sluit ik mijn netwerk volledig af! Nee! Ook dit is niet de oplossing. Kijk juist naar nieuwe, innovatieve mogelijkheden om uw netwerk zo veilig mogelijk te houden en verkeer van data te bevorderen en te vereenvoudigen zonder

dat uw industriële netwerk kwetsbaar is voor aanvallen van buitenaf. Pilz geeft u graag handvatten en inzicht in de toepassing van de geldende weten regelgeving voor Cyber Security. Onze consultants ondersteunen u met hun services op het gebied van cyberveiligheid. Als betrouwbare partner in machineveiligheid en industriële automatisering heeft Pilz een Cyber Security-programma ontwikkeld om cyber veiligheid te waarborgen. Ons Cyber Security-programma bestaat uit producten en diensten die zich enerzijds richten op het menselijke aspect in de vorm van ‘awareness trainingen’ maar anderzijds zich ook richten op de technische en praktische invulling daarvan. Zodat u na een eventuele cyber attack zo snel mogelijk weer operationeel bent. Met services als risk assessments en een recover plan helpen we u de cyberrisico’s te inventariseren en uw hersteltijd, wanneer u toch wordt aangevallen, te minimaliseren. Met de hardware ‘SecurityBridge’ wordt het veiligheidscircuit van uw productielijn beveiligd tegen ongewenste cyberaanvallen. Pilz ontzorgt u graag. Wij kunnen niet alleen uw netwerk scannen en analyseren op risico’s, maar deze risico’s ook voor u tegengaan en uw organisatie weerbaarder maken. Wilt u eens vrijblijvend de mogelijkheden met ons doorspreken? Neem contact op via info@pilz.nl of bel naar 0347 320477. Kijk voor meer informatie op https://cybersecurity.pilz.nl.

SecurAcademy When it comes to training and awareness, Secura has a solid track record. Secura’s experts are pleased to share their knowledge with you. The following practical training courses are planned and open to join.

MANAGEMENT

TECHNICAL

8 May

10 April

In this 1-day course you will receive an overview of the GDPR and you will be updated about recent developments, guidelines and best practices. You will get a thorough understanding of the GDPR regulation, the impact and how to ensure compliance.

Train your developers to improve security at the creation stage. Learn how to find and exploit common vulnerabilities in web applications, such as Cross Site Scripting and SQL Injection, as well as steps to mitigate these issues in code.

14-18 May

Masterclass OSINT Information Gathering

GDPR live (Executive Overview)

Certified ISO 27.001 Lead Implementer training (incl. Exam) Master the implementation and management of Information Security Management Systems (ISMS) based on ISO/IEC 27001. After mastering all the necessary concepts of ISMS, you can sit for the exam on day 5. The ‘PECB Certified ISO/ IEC 27001 Lead Implementer’ 3-hour exam fully meets the requirements of the PECB Examination and Certification Programme (ECP).

27-29 June

Masterclass GDPR Live (incl. DPIA and workshop)

As of May, GDPR will be a fact within Europe. But how to approach it? The first day of this masterclass will give you an overview of the status of the GDPR, recent development, guidelines and best practices. The second day you will learn how to perform a Data Protection Impact Assessment (DPIA). In the last day, we focus on Privacy by Design and Privacy by Default. This gives you all the essentials to act as a GDPR professional.

Secure Programming Training

19 April

Open Source Intelligence (OSINT) is critical for Red Teaming. Improve your OSINT skills by learning how to improve internet searches and create a clear overview of your findings by the OSINT guru Arno Reuser. You have nothing to hide. This course is intended for white/blue team members and intel-lovers.

3 May

Hands-on Hacking Workshop A fun and practical 1-day course to gain insight how hackers can break into your organization. First, you will see how an attacker will become the Domain Administrator of an organisation after compromising the laptop of an employee. Afterwards, in a practical session, you will be able to setup a Raspberry Pi as an attack platform to gain this first foothold in an organisation.

3-4 July

Mobile Application Hacking Training Combining the fast world of security and mobile apps, this course teaches you how to assess mobile app security by our own Secura experts. Armed with in depth information about the Android and iOS environment, your developers or pentesters will learn to identify security flaws in iOS & Android apps.

www.secura.com/securAcademy

TAKE CONTROL OF YOUR DIGITAL SECURITY 42 | MAART 2018 | NR. 1 | INFOSECURITY MAGAZINE

INFOSECURITY MAGAZINE | NR. 1 | MAART 2018 | 43

Bereid je voor op de AVG CreĂŤer nu privacybewustzijn bij al je medewerkers en bereid je hele organisatie voor op de AVG. In de Privacy E-learning Suite zit voor iedere medewerker een passend programma. suite.weetwatjezegt.nl Weetwatjezegt.nl is onderdeel van