Infosecurity Magazine 03/2018 by Magenta Communicatie

INFO

SECURITY MAGAZINE

JAARGANG 17 - JULI 2018 - WWW.INFOSECURITYMAGAZINE.NL

THALES DATA THREAT REPORT 2018: MEER DATALEKKEN DAN OOIT TEVOREN

OCTAVIA DE WEERDT (NBIP): ‘WE STAAN NERGENS MEER VAN TE KIJKEN’

DE DRIE A’S

VAN APPLICATIE BEVEILIGING

SUPPLY CHAIN NIEUWE ZWAKKE SCHAKEL IN CYBERSECURITY

Connecting Global Competence

The Leading Summit for Cyber Security Discover how cybersecurity can be a growth lever for your company, and how you can exploit the opportunities offered by digitization to the full!

September 20 – 22, 2018 ICM – Internationales Congress Center München

cmdctrl.com

EDITORIAL: ROBBERT HOEFFNAGEL

COLOFON

Gaat blockchain uw en mijn data verhandelbaar maken? De grote social media-platformen zitten momenteel in de hoek waar de klappen vallen. En het lijkt er op dat deze storm voorlopig nog niet voorbij is. Sterker nog, het idee dat onze persoonlijke data eigendom is van onszelf en niet van social media-firma’s begint steeds meer mensen aan te spreken. Zozeer zelfs dat grote IT- en telecombedrijven er inmiddels wel brood in lijken te zien.

Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@vakbladen.com.

Uitgever Roeland Dobbelaer

Betaalmodel

+31 (0)6 - 42 22 44 55

Neem HPE, Nokia of OSIsoft. Bepaald geen kleine ‘jongens’ in hun eigen markten. Het idee dat wij als privépersonen zelf moeten kunnen bepalen of wij onze data aan een ander overdragen (en zo ja, hoe) prikkelt hun fantasie. Zeker als daar een betaalmodel bij komt kijken. Anders gezegd: ‘Prima Facebook, dat jij data over mij verzamelt, maar dan wil ik daar graag een financiële vergoeding voor hebben’.

rdobbelaer@betapublishers.nl

Hoofdredacteur Robbert Hoeffnagel +31 (0)6 - 51 28 20 40 robbert@alibi.nl

Advertentie-exploitatie Jos Raaphorst +31 (0)6 - 34 73 54 24 j.raaphorst@archermedia.nl

Redactie-coördinatie Ab Muilwijk

Abonnementen abonnementen@vakbladen.com +31 (0)88 -22 666 80

Vormgeving Content Innovators, Den Haag

Druk

Maar hoe regelen we dat? Een Zwitserse startup genaamd Streamr heeft daar wel wat ideeën over. En geheel in stijl passen de Zwitsers daar een combinatie van blockchain en tokens voor toe. In feite komt het er op neer dat wij zelf onze data verzamelen die vervolgens wordt vastgelegd in een op blockchain-technologie gebaseerde applicatie. Een partij die interesse heeft in deze data kan deze vervolgens kopen door middel van een transactie die in het model van Streamr wordt voldaan in zogeheten DATAcoins.

Veldhuis Media B.V., Raalte

Blockchain-applicatie Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.

Meer informatie: www.infosecuritymagazine.nl Infosecurity Magazine is een uitgave van

HPE is zoals gezegd een partij die op deze trein is gesprongen. De applicatie die het concern heeft ontwikkeld, is bedoeld voor een automobilist die zijn rijgedrag en bijvoorbeeld brandstofverbruik laat vastleggen. Dat gebeurt in dit geval op een Edgeline-server van HPE in een Audi Q2. Op deze server is een blockchain-applicatie geïnstalleerd. Het staat de automobilist vervolgens vrij of hij of zij deze data aan een partij beschikbaar wil stellen. Dat kan bijvoorbeeld een verzekeraar zijn die dan voor deze data wil betalen. Dat kan dan dus via DATAcoins. Of door een korting op de

premie te geven. Maar het staat de auto mobilist natuurlijk ook vrij om deze data beschikbaar te stellen voor wetenschappe lijk onderzoek. Of aan een milieuorganisatie. En in dat soort gevallen kan de gebruiker dus besluiten om de data gratis of tegen een lager bedrag beschikbaar te stellen. Hij kan dus differentiëren. HPE heeft dit project inmiddels draaien. Nokia heeft een enigszins vergelijkbaar project lopen, waarbij boeren via mobiele basisstations weersinformatie verzamelen en deze gegevens desgewenst aan allerlei partijen kunnen verlopen. Streamr werkt ook aan b2b-toepassingen. Bijvoorbeeld met OsiSoft, een bedrijf dat software levert voor onder andere het monitoren van industriële processen. Via DATA-tokens kunnen toeleveranciers en afnemers data met elkaar delen en verhandelen.

Machtsverschuiving De opkomst van dit soort blockchaintoepassingen zou wel eens een ware machtsverschuiving kunnen veroorzaken. Commerciële partijen worden dan geconfronteerd met consumenten die zelf bepalen of zij hun persoonlijke data beschikbaar willen stellen. En zij bepalen daarbij zelf welke waarde zij aan deze data meegeven. Krijgen we daarmee eindelijk privacy op maat? ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 3

Inhoud

INFOSECURITY MAGAZINE NUMMER 3 - JULI 2018 - JAARGANG 17

06 VASCO lanceert nieuw identity-platform en neemt onboarding-specialist over 10 Machines maken de mens menselijker bovenmenselijk zelfs 11 EternalBlue-exploit inmiddels populairder dan tijdens WannaCry 12 Meer datalekken dan ooit tevoren

18 Elimity succesvol bij Benelux-banken 20 Angst belemmert momenteel ontwikkeling AI-projecten 22 Cryptomining-malware groeit snel 24 Octavia de Weerdt (NBIP): ‘We staan nergens meer van te kijken’ 26 Supply chain nieuwe zwakke schakel in cybersecurity

In 2017 was er een verontrustende toename in ransomware en andere cyberaanvallen op de supply chain te zien. Vooral bedrijven in de zakelijke dienstverlening kregen te maken met een aanzienlijke groei van het aantal aanvallen. Dit gold vooral voor de EMEA-regio, waar twintig procent van alle aanvallen gemunt was op deze sector. Dit blijkt uit het ‘Executive Guide to the NTT Security 2018 Global Threat Intelligence Report’ van Dimension Data.

28 Connected cybersecurity- connected succes 30 Illumio en Qualys: op kwetsbaarheden gebaseerde microsegmentatie 31 Tijd voor een update-verplichting 32 Application Performance Monitoring steeds meer een security tool 34 Hoe blockchain kan bijdragen aan veiligere (tele)communicatie 37 Versleutelde USB-sticks goed voor veiligheid 38 Gratis security-scan voor houders van cyberpolissen 39 Ziften lanceert Microsoft Azure Powered Endpoint Security 40 Run verwacht op certificering vernieuwde zorgnorm 41 Dalend gebruik illegale software leidt tot minder security-risico’s 42 Is Russische censuur gevaarlijker dan Nederlandse censuur?

4 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

DE DRIE A’S VAN APPLICATIEBEVEILIGING

In het eerste deel van deze korte serie over het ontwikkelen en bouwen van veilige applicaties lichtte Jan Vlietland van het Nederlands Instituut voor de Software Industrie negen maatregelen toe om dit doel te bereiken. In het tweede deel gaan we in op de drie A’s van applicatiebeveiliging: authenticatie, autorisatie en accountability.

DE 5 LESSONS LEARNED VAN NEDERLANDSE SECURITYEXPERTS INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 5

STRATEGIE

NIEUWE POSITIONERING VRAAGT OM NIEUWE NAAM: ONESPAN

VASCO lanceert nieuw

identity-platform en neemt onboarding-specialist over Het van oorsprong Belgische VASCO Data Security lanceert een zogeheten Trusted Identity-platform. Dit TID-platform bundelt bestaande en nieuwe producten. TID maakt het financiële instellingen mogelijk om Identity and Access Management volledig in applicaties te integreren, zonder dat dit voor de gebruiker als storend wordt ervaren. Onder de naam ‘Intelligent Adaptive Authentication’ introduceert het bedrijf een eerste op TID gebaseerde oplossing. Ook kondigt het de overname van Dealflo aan, een specialist in digital onboarding. VASCO grijpt de lancering van TID aan om tevens zijn naam te veranderen in OneSpan.

“De nieuwe strategie die ten grondslag ligt aan TID is zo ingrijpend dat wij hier een nieuwe bedrijfsnaam aan willen koppelen: OneSpan”, zegt VP Corporate Development & Hardware Operations, Giovanni Verhaeghe. “De nieuwe naam bestaat feitelijk uit twee woorden. Het woord ‘One’ betekent hier dat wij zo nauw met onze klanten willen samenwerken dat wij als het ware één met elkaar worden. Wat we

6 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

daarmee willen zeggen: security mag geen ‘afterthought’ zijn, een technische oplossing die we achteraf nog eventjes aanbrengen om een applicatie of mobiele app te beveiligen. Security en het verkrijgen van een zo groot mogelijke zekerheid over de identiteit van de gebruiker dient volledig in de app te zijn geïntegreerd. Het dient hiermee één te zijn.”

‘De nieuwe strategie die ten grondslag ligt aan Trusted Identity is zo ingrijpend dat wij hier een nieuwe bedrijfsnaam aan willen koppelen: OneSpan’

Acquisitie en onboarding

Nieuw en bestaand ‘Span’ staat in het Engels voor ‘overbruggen’. Verhaeghe: “We willen samen met onze klanten bruggen bouwen zodat zij hun afnemers een oplossing of een ervaring kunnen aanbieden die én veilig is én heel gebruiksvriendelijk. Tot nu toe moeten bedrijven bij het aanbieden van toepassingen waarbij digitale transacties komen kijken vaak kiezen tussen of veilig of heel gemakkelijk te gebruiken. Dat is niet de goede aanpak, denken wij. Wij willen een brug slaan tussen veilig én gebruiksgemak. En dat kan ook, mits we maar technologie gebruiken die volledig in de app kan worden geïntegreerd zodat security hand-inhand gaat met functionaliteit.” Het Trusted Identity Platform dat OneSpan nu heeft gelanceerd (zie figuur), combineert bestaande VASCOfunctionaliteit met een aantal nieuw ontwikkelde mogelijkheden. “Sommige nieuwe functies ontwikkelen we zelf, maar doordat we TID hebben opgezet als een open platform met een application programming interface (API) die door derde partijen kan worden gebruikt, voorzie ik ook dat nieuwe functies zullen worden aangedragen door externe partijen die nauw met ons willen samenwerken.”

Op business-niveau maakt TID digitale transacties mogelijk, draagt het zorg voor fraudedetectie, biedt het opties om compliant te zijn met weten regelgeving en is tevens functionaliteit beschikbaar voor ‘customer acquisition and onboarding’. Ofwel het werven van nieuwe klanten en het voor hen mogelijk maken dat zij op een prettige en soepele manier zichzelf kunnen registreren en transacties kunnen doen. Waar het bedrijf al beschikt over technologie om de meeste van deze functies zelf in te vullen, kiest OneSpan ten aanzien van acquisition and onboarding voor een overname en wel van Dealflo.

andere beveiligingsmaatregelen te maken kan krijgen dan bijvoorbeeld iemand die voor het eerst een app gebruikt, een website bezoekt of een transactie initieert. IAA en het onderliggende TID-platform zijn beschikbaar als een SaaS-oplossing. De eerste versie van IAA ondersteunt een softwarematige methode van authenticatie. In een later stadium zullen hier wachtwoorden, authenticatie via hardware, via SMS-berichten en via OneSpan’s Cronto-hardware aan worden toegevoegd. Ook het gebruik van gedragsbiometrie wordt in IAA opgenomen.

Technisch betekent dit dat het platform authenticatie biedt. Daarnaast biedt het analytics om fraude op te sporen, maar vooral ook om deze te voorkomen. Apps die voorzien zijn van de mogelijkheid om transacties te doen, dienen zeer nadrukkelijk beveiligd te zijn, zonder dat dit de gebruikservaring benadeelt. Ook biedt TID de mogelijkheid om door middel van digitale handtekeningen transacties te regelen.

Fraude en API

IAM op basis van scores

Veel financiële instellingen richten zich nadrukkelijk op fraudepreventie en hebben hier vaak fors in geïnvesteerd. “Dit is een van de redenen waarom wij van het Trusted Identity Platform een open platform hebben gemaakt”, zegt Verhaeghe. “Via onze API kunnen we heel eenvoudig samenwerken en bijvoorbeeld informatie delen met tal van oplossingen die banken reeds in gebruik hebben voor bijvoorbeeld fraudedetectie en -preventie. Maar hetzelfde geldt uiteraard voor andere reeds bestaande functionaliteiten.”

Op basis van het Trusted Identity Platform ontwikkelt OneSpan een aantal concrete producten. De eerste daarvan luistert naar de naam ‘Intelligent Adaptive Authentication’ ofwel IAA. Deze oplossing biedt een zeer moderne manier van authenticatie over meerdere kanalen heen. Een van de voordelen van deze aanpak is dat iedere interactie van een bedrijf met een gebruiker of klant van een score kan worden voorzien. Op basis van deze in realtime berekende score kan het toe te passen niveau van authenticatie en beveiliging worden aangepast. Hierdoor is een bedrijf in staat om een hele soepele gebruikers ervaring te creëren, waarbij een regelmatig terugkerende bezoeker met

Verhaeghe: “IAA is voor financiële instellingen beschikbaar als een webservice. Wij werken hierbij samen met AWS. Het is niet nodig om on-premise speciale software componenten te ontwikkelen of te installeren. Het enige dat een bank of andere financiële instelling nodig heeft, is een TLS-verbinding met onze IAAservice.”

ROBBERT HOEFFNAGEL

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 7

VEILIGE APPLICATIES

Jan Vlietland (NISI) over:

De drie A’s

van applicatiebeveiliging In het eerste deel van deze korte serie over het ontwikkelen en bouwen van veilige applicaties lichtte Jan Vlietland van het Nederlands Instituut voor de Software Industrie negen maatregelen toe om dit doel te bereiken. In het tweede deel gaan we in op de drie A’s van applicatiebeveiliging: authenticatie, autorisatie en accountability. “Over authenticatie, autorisatie en accountability valt heel veel te vertellen. Maar laten we voor de goede orde beginnen met vast te stellen wat we eigenlijk onder deze drie termen verstaan”, zegt Jan Vlietland van het NISI. • Authenticatie is het proces van het verifiëren van de identiteit van een gebruiker. Dit kan een persoon zijn, maar natuurlijk ook een - zeg maar apparaat, een applicatie of een microservice. Dit gebeurt bij voorkeur in realtime. • Autorisatie is de procedure die wordt gehanteerd om vast te stellen wat een bepaalde geautoriseerde gebruiker mag doen. Zeg maar: welke rechten heeft die gebruiker? • Accountability geeft aan dat we willen vaststellen wie of wat verantwoordelijk is voor een actie en hoe we deze gebruiker daarvoor aansprakelijk kunnen houden.

factor authentication in feite een zwakke beveiligingsaanpak is. Er zijn tal van methoden om hier omheen te werken. Passwords kunnen geraden worden. Ze kunnen via malware gestolen worden, via social engineering of sniffing afhandig worden gemaakt, noem maar op. “Dan kennen we multi-factor authentication, wat al beduidend veiliger is dan de single-variant”, aldus Vlietland. In dit geval dient de gebruiker zich via twee verschillende hulpmiddelen te identificeren. Denk aan een combinatie van een wachtwoord en een PIN, een smartcard of een token, een vingerafdruk of een irisscan.” Maar het is ook mogelijk om bijvoorbeeld gedragskenmerken toe te passen of locatiespecifieke info. Of denk aan een identificatie via het te gebruiken apparaat of een tijdstip.

Vormen van authenticatie

Continuous authentication

Er zijn meerdere manieren om het proces van authenticatie te realiseren. De eerste is single factor authentication. Hierbij wordt slechts één factor (zeg maar: hulpmiddel) gebruikt om de identiteit van een gebruiker vast te stellen. Veelal gaat het dan om een wachtwoord. Daarmee is meteen duidelijk dat single

Een derde vorm is wat we wel noemen: continuous authentication. Hierbij wordt de identiteit van een gebruiker voortdurend vastgesteld. Na een initiële log-in procedure wordt aan de hand van biometrische factoren, contextinformatie of bijvoorbeeld gegevens over het gebruikte apparaat continu gekeken wie de

8 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

gebruiker is. Denk bij contextuele gegevens bijvoorbeeld aan een locatie (via bijvoorbeeld GPS-data) of een tijdstip. “Bij toepassing van continuous authentication wordt het voor een cybercrimineel veel lastiger om een sessie over te nemen of om met een gestolen apparaat toegang tot een applicatie of tot data te verkrijgen.”

OAuth Dan kennen wij uiteraard nog open authentication (OAuth). Vlietland: “Dit is een specificatie die het mogelijk maakt om toegang tot resources te verkrijgen zonder dat hierbij het gebruikte wachtwoord of andere vertrouwelijke gegevens bekend worden gemaakt. In plaats daarvan wordt een token gebruikt die alle relevante gegevens bevat.”

informatie beheerd wordt door de eigenaar van die info • Role-Based Access Control (RBAC), waarbij de toegang tot informatie geregeld is op basis van de rol die een gebruiker vervult • Attribute-Based Access Control (ABAC), waarbij een attribuut dan bijvoorbeeld een locatie of een tijdstip kan zijn “Er zijn dus tal van methoden, met ieder hun voor- en nadelen. Belangrijker hier is echter om vast te stellen dat in de praktijk het gebruik van deze access control-methoden nog regelmatig mis gaat.”

Autorisatie

Bekende problemen zijn het niet goed toepassen van het fenomeen ‘scheiding van taken’ (segregation of duties). Ook gebeurt het regelmatig dat de ‘least privilege’ en ‘need to know’ (zie deel 1 van deze serie) niet goed zijn geïmplementeerd. “Soms zijn de modellen die gebruikt worden voor het definiëren van rollen te complex of worden gast- en test-accounts verkeerd gebruikt. Of wordt onvoldoende aandacht besteed aan de manier waarop ‘events’ behandeld, gelogd en onderzocht worden. En zo zijn er nog meer punten die mis kunnen gaan - een account database die bijvoorbeeld niet up-to-date is.”

Er bestaan meerdere autorisatie methoden. Denk onder andere aan:

RBAC

• Mandatory Access Control of MAC waarbij gewerkt wordt met security labels • Discretionary Access Control (DAC) waarbij de toegang tot de relevante

Laten we nog even nader kijken naar de methode van RBAC ofwel role-based access control. “RBAC vormt in feite een reeks van autorisaties die is gebaseerd op enerzijds de organisatie structuur van de gebruiker, zijn business

OAuth is veel makkelijker te implementeren dan Security Assertion Markup Language (SAML), vertelt Vlietland. Het is ook beter geschikt voor de mobiele wereld. Er wordt gewerkt met RESTful API’s. “Daarnaast geldt dat OAuth gebruikt kan worden voor zowel authenticatie als autorisatie.” In onderstaand figuur is kort weergegeven hoe dit in de praktijk werkt.

processen en een aantal policies en regels. Daarmee heeft deze manier van werken het in zich om het hele proces rond autorisatie transparanter te maken. Dat is dus een belangrijk pluspunt”, meent Vlietland. “Daar staat echter wel tegenover dat het implementeren van RBAC soms erg complex kan zijn en - mede daardoor relatief veel tijd kost.”

Duidelijke voordelen Toch zijn de voordelen van role-based autorisaties evident, meent hij. “Met RBAC is het toekennen, veranderen of intrekken van autorisaties veel efficiënter geregeld dan bij andere methoden. Is het eenmaal goed geïmplementeerd, dan zijn de autorisaties veel transparanter. Dat geldt met name voor de functionarissen die deze autorisaties moeten begrijpen: business managers, auditors en eindgebruikers.” Bovendien kunnen de principes die ten grondslag liggen aan een goede autorisatie veel gemakkelijker worden afgedwongen, stelt Vlietland. “Dat zijn dus: need-to-know, least privilege en segregation of duties.” In deel 3 van deze serie gaan we dieper in op encryptie en de (on)mogelijkheden die blockchain te bieden heeft.

ROBBERT HOEFFNAGEL is hoofdredacteur van CloudWorks en Infosecurity Magazine

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 9

BLOG

Machines maken de mens menselijker- bovenmenselijk zelfs Automatisering is een veelgebruikte term in TED Talks en op evenementen zoals het World Economic Forum. Economen, managers en politici proberen gezamenlijk te duiden welke veranderingen automatisering met zich meebrengt en wat het effect zal zijn op sectoren en de samenleving. De verwachting is dat automatisering in eerste instantie zal resulteren in geleidelijke verbeteringen binnen verschillende sectoren. Een recent onderzoek toont aan dat we ons in een ‘reskilling revolution’ bevinden: automatisering zorgt ervoor dat machines veel taken van medewerkers overnemen en sneller uitvoeren. De nieuwe rol van medewerkers is om de werkzaam heden van machines te controleren en actie te ondernemen op basis van de resultaten, wat nieuwe vaardigheden vereist. Op deze manier worden processen sneller en efficiënter.

Technologie en het tekort aan cybersecurity-talent In de cybersecurity-sector vindt een verschuiving plaats van individuele specialisten die de verdediging testen naar teams die geautomatiseerd werken om het security-proces te stroomlijnen. Automatisering heeft de manier waarop organisaties zichzelf beschermen veranderd. Overal ter wereld is er een tekort aan security engineers en network engineers, waardoor organisaties moeite hebben geschikt personeel te vinden. Automatisering zorgt er echter voor dat de manier waarop organisaties zichzelf beschermen verandert, omdat het bestaande teams helpt effectiever te werken. Teams kunnen snel reageren op kritieke gebeurtenissen en automatisering zorgt ervoor dat deze teams de tijd hebben om problemen te voorkomen. Zo zijn securityanalisten altijd beschikbaar op het moment dat zich een probleem voordoet. Mens en machine kunnen elkaar versterken: machines doen het tijdrovende werk, terwijl de mens het werk van de machine controleert.

Technologie in dienst van de mens Security-teams hebben een probleem met context. Ze hebben meer informatie en data dan ooit te voren, maar niet genoeg tijd om het allemaal te verwerken tot nuttige inzichten. Ze missen de vaardigheden om de belangrijkste informatie voor hun bedrijf te filteren. Automatisering dient hier als het exoskelet voor het security-team. Het onderzoeken van security-incidenten is namelijk een lang en lastig proces. IP-adressen, malware notificaties en URL’s moeten in meerdere systemen worden opgeslagen om er meer over te leren en te bepalen of er daadwerkelijk een risico is en wat er aan gedaan kan worden. Dit werk kan allemaal worden geautomatiseerd. Het securityteam hoeft dan enkel nog de resultaten te bekijken en te bepalen wat de volgende stappen zijn. Security-teams spenderen minder 10 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

tijd aan het invulwerk en meer tijd aan het nemen van beslissingen om problemen op te lossen. Voor een sector die verlegen zit om talent is dit de manier om huidige medewerkers bovenmenselijke krachten te geven.

Intuïtie van automatisering Gebruikers zijn geen machines. Ongeacht of het security-teams zijn of klanten, gebruikers begrijpen intuïtief wat de mogelijk heden van technologie zijn. Als technologie hen voordelen biedt, dan omarmen ze het en wordt het onderdeel van hun dagelijkse ritme. Gebruikers kunnen met behulp van technologie nieuwe werkprocessen en concepten creëren. Denk bijvoorbeeld aan de ontwikkeling van auto’s en de manier waarop het leven daardoor destijds is veranderd. Gebruikers dachten in die tijd enkel nog aan treinen en paarden, terwijl de toekomst om hen heen werd opgebouwd. Tegenwoordig is het doel van automatisering voornamelijk om bestaande taken sneller, beter, goedkoper en betrouwbaarder uit te voeren. In die zin wordt er wederom gebouwd aan een nieuwe wereld. De automatisering van onderzoek naar securityincidenten is slechts een begin, maar het stelt drukke securityteams in staat om boven zichzelf uit te stijgen om zo de uitdagingen van hun organisatie aan te gaan. MICHAEL MAAS, VP Noord-Europa, ServiceNow

ONDERZOEK

EternalBlue-exploit inmiddels populairder dan tijdens WannaCry Het is inmiddels een jaar geleden dat de WannaCryptor.D ransomware (ook bekend als WannaCry en WCrypt) flinke verstoringen in de wereld veroorzaakten. Terwijl de dreiging zelf niet langer enorm lijkt, bedreigt de onderliggende kwetsbaarheid - beter bekend als EternalBlue - nog steeds niet-gepatchte en onbeschermde systemen. Zoals de onderzoeksgegevens van ESET laten zien, is de populariteit van EternalBlue in de afgelopen maanden enorm gestegen en heeft een recente toename zelfs de grootste pieken van 2017 overtroffen. De EternalBlue-exploit maakt gebruik van een kwetsbaarheid in het SMB-protocol van Microsoft. Dit probleem is overigens behandeld in Microsoft Security Bulletin MS17-010. Aanvallers scannen het internet af. Blijkt een systeem kwetsbaar voor de aanval, dan wordt de desbetreffende machine geïnfecteerd. Dit was het mechanisme achter de effectieve distributie van WannaCryptor.D ransomware via netwerken.

deze machines volgens Dave Maasland, Managing Director van ESET Nederland. “We hebben gezien dat bedrijven veel hebben geleerd van deze grootschalige aanval. Toch komen wij nog regelmatig kwetsbare systemen tegen, ook in Nederland. Daarom moeten we extra benadrukken dat WannaCry voorbij is, maar de dreiging van EternalBlue en alles wat daar misbruik van maakt, nog steeds aanwezig is.”

Nieuwe hoogtepunten

EternalBlue heeft veel spraakmakende cyberaanvallen mogelijk gemaakt. Behalve WannaCryptor, dreef het ook de destructieve Diskcoder.C (ook bekend als Petya, NotPetya en ExPetya) aan in juni 2017, evenals de BadRabbit ransomware-campagne in het vierde kwartaal van 2017. Het werd ook gebruikt door Sednit (aka APT28, Fancy Bear en Sofacy) cyberspionage groep om wifi-netwerken in Europese hotels aan te vallen.

Interessant is echter dat uit onderzoeksgegevens blijkt dat EternalBlue onmiddellijk een kalmere periode had na de WannaCryptor-campagne van 2017. In de loop van de volgende maanden vielen pogingen om de EnternalBlue-exploit te gebruiken terug tot ‘slechts’ honderden detecties per dag. Sinds september vorig jaar is het gebruik van de exploit langzaam weer in een stroomversnelling gekomen, voortdurend groeiend. Het bereikte medio april 2018 nieuwe hoogtepunten.

Cryptominers Een mogelijke verklaring voor de nieuwste piek is de Satan ransomware-campagne, maar dit kan ook worden gekoppeld aan andere cybercrime-activiteiten.

Niet succesvol We moeten benadrukken dat de infiltratiemethode die door EternalBlue wordt gebruikt niet succesvol is op apparaten met de laatste beveiligingsupdates en up-to-date anti-malware software. Toch zijn er nog steeds vele kwetsbare machines te vinden op het internet. Dit zegt iets over het beveiligingsniveau van

De exploit is ook geïdentificeerd als een van de verspreidingsmechanismen voor kwaadwillende cryptominers, waarmee cybercriminelen computers van slachtoffers gebruiken om cryptocoins te ‘minen’. Recentelijk werd het ingezet om de Satan ransomware-campagne te distribueren, die slechts enkele dagen na de ontdekking van de EternalBluepiek van medio april 2018 door ESET’s telemetrie werd beschreven. De EternalBlue-exploit zou waarschijnlijk in 2016 zijn gestolen van de NSA en online gelekt op 14 april 2017 door een groep genaamd Shadow Brokers. Microsoft heeft updates uitgebracht die het SMB-beveiligingslek op 14 maart 2017 hebben opgelost, maar tot op de dag van vandaag zijn er veel niet-gepatchte machines ‘in the wild’. Deze exploit en alle aanvallen die tot nu toe zijn ingeschakeld, wijzen op het belang van tijdige patches en de behoefte aan een betrouwbare en meerlaagse beveiligingsoplossing die de onderliggende kwaadwillende tool kan blokkeren. VAN DE REDACTIE INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 11

ONDERZOEK

Thales Data Threat Report 2018:

datalekken

Meer dan ooit tevoren

Thales publiceerde onlangs de resultaten van het Data Threat Report 2018, dat is opgesteld in samenwerking met onderzoeksbureau 451 Research. Daaruit blijkt dat inmiddels al bijna driekwart van de Nederlandse bedrijven te maken heeft gehad met een of meerdere datalekken. Als gevolg hiervan is de angst voor datalekken in Nederland groter dan elders in de wereld. Uit het Data Threat Report 2018 komt duidelijk naar voren dat overal ter wereld organisaties een digitale transformatie doormaken, waarin data een cruciale rol speelt. Inmiddels maakt 94% van alle ondervraagde organisaties wereldwijd gebruik van gevoelige gegevens die verwerkt worden in de cloud, big data- en IoTtoepassingen, containers, blockchain of mobiele oplossingen.

• 42% van de organisaties gebruikt inmiddels meer dan 50 SaaS-applicaties • 57% werkt met minimaal drie verschillende IaaSleveranciers • 53% werkt in drie of meer PaaS-omgevingen • 99% maakt reeds gebruik van big data • 94% is bezig met IoT-technologie • 91% bereidt zich voor op of maakt gebruik van mobiele betalingen

Recordtempo De digitale transformatie zorgt voor efficiency en schaalvergroting, maar maakt ook nieuwe businessmodellen mogelijk die groei en winst opleveren. Vrijwel alle kenmerkende nieuwe toepassingen van de digitale informatietechnologie worden in recordtempo omarmd: 12 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

Acceptatie De acceptatie van deze nieuwe oplossingen gaat zo snel dat tegelijkertijd meer kwetsbaarheden en grotere risico’s ontstaan die vragen om nieuwe oplossingen voor databeveiliging. De grootte en de impact van de nieuwe dreiging komt duidelijk naar

‘Hoewel technologie veel heeft veranderd voor organisaties, blijken beveiligings strategieën nauwelijks aangepast aan de nieuwe realiteit’

Nauwelijks aangepast Hoewel technologie veel heeft veranderd voor organisaties, blijken beveiligings strategieën nauwelijks aangepast aan de nieuwe realiteit: investeringen in databeveiliging liggen niet in lijn met wat algemeen gezien wordt als de beste manier om data te beveiligen.

voren uit een sterk groeiend aantal datalekken en kwetsbaarheden: • In 2018 gaf 67% van alle respondenten aan dat ze te maken hebben gehad met een datalek, waarvan 36% in het afgelopen jaar. In 2017 meldde nog 26% een datalek in het voorgaande jaar. • In Nederland ligt het percentage organisaties dat ooit een datalek zegt te hebben gehad zelfs hoger (74%). Daar staat tegenover dat ‘slechts’ 27% van de Nederlandse respondenten in het afgelopen jaar een datalek heeft gemeld. Dat is ook binnen Europa lager dan het gemiddelde (32%). • Opvallend genoeg voelt 47% van alle Nederlandse respondenten zich ‘zeer’ of ‘extreem’ kwetsbaar voor data dreigingen. Dat is hoger dan het internationale gemiddelde van 44% en hoger dan het Europese gemiddelde van 41%.

• 77% van de respondenten noemt de beveiliging van data-in-ruste de meest effectieve maatregel om datalekken te voorkomen (direct na netwerk beveiliging en de beveiliging van data-in-beweging met elk 75%). • Desondanks besteedt 57% van de respondenten het grootste deel van hun beveiligingsbudget aan de beveiliging van endpoints en mobiele toepassingen, gevolgd door de beveiliging van analyse en correlatie oplossingen (50%). • Dit maakt duidelijk dat er ruimte zit tussen perceptie en realiteit: beveiligingsoplossingen die gericht zijn op data-in-ruste staan bij respondenten met 40% onderaan de prioriteitenlijst met IT security uitgaven.

Budgetten groeien Goed nieuws is dat overal ter wereld de budgetten voor cybersecurity aan het stijgen zijn. In Nederland verwacht 39% van de respondenten een iets hoger budget en 29% zelfs een aanzienlijk hoger budget. Daar staat tegenover dat de respondenten tegelijkertijd ook serieuze obstakels zien die het moeilijk maken cybersecurity maatregelen doorgevoerd en geaccepteerd te krijgen: • Complexiteit - hoewel moderne cybersecurity-platformen en -diensten steeds eenvoudiger en gebruiksvriendelijker worden, vreest 45% van de respondenten (41% in

Nederland) dat cybersecurity het gebruik van IT ingewikkelder maakt. • Prestaties - hoewel de meeste oplossingen tegenwoordig hardwareondersteuning hebben die de impact op de prestaties van applicaties minimaliseert, ziet 35% mogelijk prestatieverlies nog als bezwaar. • Noodzaak - hoewel het aantal datalekken groeit en de AVGvereisten steeds meer druk leggen op organisaties om hun cybersecurity te verbeteren, twijfelt 34% van de respondenten nog steeds aan de noodzaak van cybersecurity maatregelen.

Positief gestemd Nederlanders zijn redelijk positief over de effectiviteit van compliancy: 55% denkt dat voldoen aan weten regelgeving ‘zeer’ of ‘extreem’ effectief is om datalekken te voorkomen. Daarmee zijn Nederlanders overigens wel wat kritischer dan hun Europese collega’s (60%) of het internationale gemiddelde (64%). Om de trend van datalekken te keren en op een veilige manier gebruik te maken van nieuwe technologieën en innovaties, doet het rapport een aantal aanbevelingen. Maak bijvoorbeeld gebruik van security analytics en multi-factor authenticatie om onveilig datagebruik zo snel mogelijk te identificeren. Pas verder encryptie en toegangscontrole toe als primaire beveiliging van data en overweeg een ‘encrypt alles’-strategie. Kies een platform voor databeveiliging dat geschikt is voor meerdere toepassingen, om zo zowel complexiteit als kosten terug te dringen. VAN DE REDACTIE

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 13

KENNISEVENEMENT

D3NH4CK: de

5 lessons learned van

Nederlandse securityexperts

Onlangs vond in Den Haag de tweede editie van D3NH4CK plaats, het kennisevenement van DearBytes waar experts uit de securitywereld hun inzichten delen. Wij waren erbij en delen de 5 belangrijkste lessen. 14 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

1. Internet of Things: ga uit van datalekken Het Internet of Things (IoT) was een ‘hot topic’ tijdens D3NH4CK, en niet zozeer vanwege de spannende toepassingen die verbonden apparaten mogelijk maken. Mattijs van Ommeren, Principal Security Consultant bij Nixu Corporation, en Wesley Neelen, ethical hacker bij DearBytes, hadden een complete sessie gewijd aan de gevaren. Van Ommeren ontdekte in 2008 een enorm lek in een populaire consumenten-NAS. Via de kwetsbaarheid kon hij niet alleen bij de data van andere eigenaren van de betreffende NAS, maar ook code uitvoeren op hun apparaten. Het aanvalsoppervlak was enorm, want het model werd onder diverse merknamen wereldwijd verkocht. Inmiddels is de situatie volgens Van Ommeren nauwelijks verbeterd. Een recente proef met een gangbare IP-camera deed het ergste vermoeden. Het apparaat lekte onder andere het unieke identificatienummer op het netwerk, wat eenvoudig toegang verschafte tot de onversleutelde videostream. Ook het wifiwachtwoord bleek te achterhalen via het netwerkverkeer dat het apparaat genereert. Neelen trof recentelijk een ernstig lek aan in kindersmartwatches waardoor hij eenvoudig de locatie van kinderen kon achterhalen. Hij haalde met de ontdekking de landelijke media en vroeg mede via die weg aandacht voor het probleem. Volgens Van Ommeren en Neelen zijn het geen op zichzelf staande incidenten, maar is de onveiligheid van het IoT een structureel probleem. Een belangrijke oorzaak is de manier waarop de apparaten tot stand komen. De leveranciersketen is lang en ingewikkeld, met onder andere verschillende producenten voor bijvoorbeeld het besturingssysteem, de SoC en de software. In al die schakels kunnen zwakheden ontstaan. Daarbij zijn een snelle time-to-market, krappe winstmarges en gebruiks vriendelijkheid de belangrijkste focuspunten, en dat gaat ten koste van de aandacht voor veiligheid.

‘Met welke beschermende maatregelen sla je een cyberaanval af? En hoe beperk je het risico op een datalek? In de praktijk maken de directies van Nederlandse bedrijven vaak verkeerde keuzes’ De belangrijkste lesson learned: het Internet of Things biedt kansen, maar ga er vanuit dat de data die je ermee verwerkt op straat belanden. Is dat risico onacceptabel, dan kun je het IoT beter links laten liggen.

2. Focus ligt nog altijd op brandjes blussen Met welke beschermende maatregelen sla je een cyberaanval af? En hoe beperk je het risico op een datalek? In de praktijk maken de directies van Nederlandse bedrijven vaak verkeerde keuzes. Te vaak ligt de nadruk op technische ad-hoc oplossingen waarmee de board brandjes blust. Dit was een belangrijke conclusie die klonk tijdens ‘the Boardroomgame’. De deelnemers aan dit spel vormden samen de directie van fietsenfabriek Antilopen. In meerdere rondes moesten ze met het beschikbare budget beveiligingsmaatregelen aanschaffen. Aan het einde van iedere ronde kregen de deelnemers te horen aan welke dreigingen het bedrijf daadwerkelijk bloot had gestaan. Waren de juiste maatregelen getroffen om die dreigingen te mitigeren? Dan had dit een positief effect op het resultaat van de onderneming. Volgens de deelnemers aan the Boardroomgame bootste het spel de werkelijkheid goed na. “Wij investeerden bijvoorbeeld pas in de derde ronde in een beveiligingsbeleid en in incidentresponse, terwijl je daar eigenlijk mee hoort te beginnen”, aldus Sander van Blitterswijk, een van de deelnemers aan het spel. “Maar ook in de praktijk zie je dat beleid en incident-response ondergeschoven kindjes zijn.” “Een ad-hocbenadering van beveiliging op boardroomniveau zien we helaas ook in de praktijk”, bevestigt Nandenie

Moenielal, senior securityconsultant bij DearBytes. “Security wordt vaak gezien als een puur technische aangelegenheid. Maar beleid, processen en mensen zijn minstens zo belangrijk. Technische maatregelen alleen zijn niet voldoende om de business te beschermen.”

3. Responsible-disclosurebeleid: onmisbaar in de strijd tegen cybercriminaliteit Hoe spoor je kwetsbaarheden in je IT-systemen op voordat er misbruik van wordt gemaakt? Volgens ZerocopterCEO Edwin van Andel zijn er genoeg ethical hackers die aangetroffen kwetsbaarheden graag melden zonder dat ze daarmee kwade bedoelingen hebben of er überhaupt iets voor terug hoeven zien. De angst om wegens computervredebreuk te worden aangeklaagd, houdt ze echter tegen. De oplossing: stel een responsibledisclosurebeleid op. Hierin kan de organisatie aangeven op welke manier een gevonden lek ‘netjes’ gemeld kan worden. Bijvoorbeeld door het lek niet met de rest van de wereld te delen voor het is opgelost, en door aangetroffen data en systemen verder met rust te laten. In ruil voor het houden aan die gedragscode belooft de organisatie geen stappen te ondernemen tegen de ontdekker van het lek. Dat een responsible-disclosurebeleid werkt, is inmiddels ruimschoots bewezen. Het NCSC heeft richtlijnen voor het opstellen van zo’n beleid, en er is zelfs een ISO-normering voor beschikbaar.

4. De sleutel van effectieve threat intelligence is een Cyber Fusion Cell “Hadden de slachtoffers van WannaCry vorig jaar de ernstige consequenties van niet tijdig patchen op voorhand geweten,

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 15

Kennisevenement

dan hadden ze andere keuzes gemaakt”, aldus een confronterende Matthijs van der Wel van PwC. Volgens hem kan threat intelligence (TI) die inzichten bieden. Het probleem is dat TI enorm veelomvattend is. Het is kennis van de vijand, maar ook van de eigen systemen, van de positie en ontwikkelingen in de markt. Zelfs het politieke speelveld kan van invloed zijn op de risico’s die een organisatie loopt. Die kennis zit vaak gevangen in silo’s. In de hoofden van mensen, in logs van securityoplossingen en in databanken vol ongestructureerde data. Hij pleit dan ook voor een soort ‘Cyber Fusion Cell’, een plek waar alle informatie samenkomt en die heterogene teams verbindt. Een Cyber Fusion Cell combineert verschillende informatiebronnen en correleert deze informatie, al dan niet met behulp van kunstmatige intelligentie. Alle betrokken teams krijgen vanuit deze cel de juiste ‘actionable’ informatie op

het juiste moment. Op die manier kunnen organisaties hun verzamelde kennis en inzichten optimaal benutten in de strijd tegen cyberdreigingen.

5. Gebouwautomatiserings systemen zijn het volgende doelwit Tijdens de openingssessie van D3NH4CK vestigde Suzanne Rijnbergen, portfoliomanager Security bij KPN, de aandacht op het gevaar van gebouwautomatiseringssystemen. Dergelijke systemen hebben steeds vaker een koppeling met het internet. Dat biedt hackers bijvoorbeeld mogelijkheden de koeling in datacenters uit te schakelen, het licht in kantoor gebouwen te bedienen of gevoelige data te stelen. Met voorbeelden maakte Rijnbergen duidelijk dat deze risico’s niet alleen in theorie bestaan. Bekend is de hack bij de Amerikaanse winkelketen Target.

16 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

De aanvallers drongen binnen via het bedrijf dat de airco onderhield en remote toegang had tot de systemen. Het gevolg was dat de creditcard- en NAW-gegevens van ruim 40 miljoen klanten op straat lagen. Het netwerkgebaseerde Intrusion Detection Systeem BrAIN, een ontwikkeling van KPN en SecurityMatters, moet aanvallen op systemen voor gebouwautomatisering en -beheer detecteren en afslaan. Aan de hand van blacklists en whitelists controleert BrAIN of het gemonitorde BACnet-verkeer ‘goed’ of ‘fout’ is. BACnet is een datacommunicatie protocol voor gebouwautomatiserings systemen. Ook signaleert BrAIN eventuele misconfiguraties en manipulatie van systemen.

www.scos.cloud

Secure Managed File Transfer Hosted in West Europe – Middenmeer/The Netherlands. Ipswitch MOVEit Cloud is a SaaS version of MOVEit Transfer

Ipswitch MOVEit Cloud delivers the company’s industry-leading Managed File Transfer (MFT) system with all the benefits of cloud computing, including: • reliability • elasticity • and rapid deployment Hosted at a world-class data center facility (ISO/IEC 27001 ) compliant that is engineered to incorporate multiple levels of security and redundancy for optimal • reliability • availability • business continuity and it’s all managed by MOVEit experts.

In an era of high-visibility security violations, scos.cloud leads the industry in security and integrity. scos.cloud protects your most valuable asset – your data – by incorporating essential security measures for cloud services.

Start your Cloud MFTaaS now with one of our MFT experts.

Secure MFT • Secure Email • Ad Hoc Transfer • Automate File Transfer • MFTaaS

www. sc os . c l ou d

MARKT

Software voor AM beoogt continu compliance te realiseren

Elimity succesvol bij

Benelux-banken De Belgische fintech start-up Elimity is actief op de identity & access management (IAM) markt en boekt daar nu eerste successen bij Rabobank en ING. Het software-platform van het bedrijf stelt banken, verzekeringsbedrijven en andere financiĂŤle dienstverleners in staat om hun interne data-gerelateerde security en compliance verder te verbeteren. 18 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

Het platform levert hen relevante IAM-inzichten op zodat men kan doorgroeien van periodieke en tijdrovende compliance-inspanningen naar een meer efficiënte en continue vorm van compliance. De software speelt succesvol in op de groeiende vraag van instellingen om zich met een gerust hart aan te kunnen passen aan steeds complexere regelgevingen.

‘Voor elke bank, verzekeringsbedrijf en financiële dienstverlener vormt het beheer van wie toegang heeft tot welke data een cruciaal onderdeel van security, risk en wettelijke compliance’

IAM-compliance Voor elke bank, verzekeringsbedrijf en financiële dienstverlener vormt het beheer van wie toegang heeft tot welke data een cruciaal onderdeel van security, risk en wettelijke compliance. Terwijl bij veel bedrijven technische IAMplatformen in gebruik zijn, blijft het zogeheten attesteren van IAMcompliance een tijdrovende uitdaging. Streng gereguleerde bedrijven voeren grote periodieke inspanningen uit om handmatig in informatietabellen te graven. Ze besteden veel tijd en middelen om de compliance te verifiëren voor slechts één verlopen moment in de tijd. De situatie wordt steeds moeilijker omdat deze partijen geconfronteerd worden met een stijgende organisatorische complexiteit en strenger wordende wettelijke vereisten. De uitdaging is dus duidelijk: hoe een organisatie van tienduizenden gebruikers en duizenden rollen beheren om compliant te blijven met wettelijke verplichtingen?

Data analytics “Vandaag vormt datatoegangcompliance een technisch en tijdrovend proces”, zegt Elimity CEO Maarten Decat. “Bedrijven kunnen nu echter beschikken over een oplossing die minder arbeidsintensief en foutgevoelig is. Door het opzetten van een IAMdatamart en het verbinden van technische IAM-data met bedrijfs activiteiten en HR-informatie, biedt ons software-platform begrijpbare business compliance inzichten doorheen toepassingen, organisatie-domeinen en departementen.” Financiële bedrijven gebruiken het platform om IAM-compliance te beheren. Elimity ondersteunt het reduceren of het elimineren van Excel-inspanningen die door business consultants handmatig worden uitgevoerd om te slagen voor

één enkele verificatie. Bijkomend bouwt het Elimity platform verder op de bestaande security infrastructuur, waardoor de return on investment verder verhoogt.

Begrijpen, automatiseren en voorkomen Elimity helpt banken om hun IAMmaturiteit verder te verhogen. De aanpak van de fintech ontsluit data intelligence voor het automatiseren van monitoring, het opvolgen van compliance doorheen de tijd, en het signaleren wanneer inbreuken optreden. Door de integratie van het platform uit te breiden naar tools die data-toegangsverzoeken beheren, zorgt Elimity voor klanten dat compliance niet meer kan worden geschonden. “In essentie laat dit onze klanten toe om te evolueren naar een preventief datatoegang-beheer, iets waarnaar de markt reeds jaren uitkijkt”, vult Decat aan. De aanpak van Elimity stelt alle betrokken managers in staat om gefundeerde beslissingen te nemen, vanuit hun eigen oogpunt en verantwoordelijkheden, als onderdeel van de integrale automatisering van het beheer van risico en compliance. Data-gedreven toegang-management op enterprise-niveau is de ontbrekende schakel in IAM voor bedrijven om te komen tot een situatie waarin men continu voldoet aan de eisen die worden gesteld aan compliancy en security.

Uitrol bij Rabobank Na het afronden van een succesvolle pilot bij Rabobank, voert Elimity nu een productie-deployment uit bij deze bank. Decat: “Organisaties met een grootte en complexiteit zoals Rabobank hebben voordeel bij een structurele maar hanteerbare oplossing om bij te blijven met meer stringente interne en wettelijke vereisten. Op die manier

faciliteert Elimity financiële instellingen om gestructureerd om te gaan met IAM compliance verificaties. Door de inzichten die Elimity aanbiedt doorheen het grootste deel van de medewerkers, autorisaties en toepassingen, laat Elimity hen toe om continu en efficiënt de toegang te beheren tot hun meest belangrijke data.”

Gevalideerd bij ING Belangrijk voor Elimity is de relatie met ING, die begon toen het bedrijf als laureaat werd uitgeroepen op ING FinTech Village. De ING-incubator valideerde het idee van Elimity, terwijl aan de verwachtingen werd beantwoord. “Het platform van Elimity biedt mogelijkheden voor het beheer van datatoegang over de hele INGorganisatie. Het past in de strategie om onze interne inspanningen verder te stroomlijnen met het oog op IAM compliance verificaties en verder te evolueren naar continue compliance”, zegt David Rasson, Center of Expertise Lead Innovation bij ING.

Groeien in Europa en VS “We werken intensief samen met onze belangrijkste klanten en schakelen een versnelling hoger met verschillende Belgische en internationale banken. Het doel is om uit te breiden buiten de BeNeLux regio naar de rest van Europa en later de VS”, zegt Decat. “Om dit te realiseren, trekken we nieuwe getalenteerde personeelsleden aan en exploreren we partnerships met financiële consultancy verleners.” De zaken gaan snel voor Elimity. “We verbeteren structureel hoe banken omgaan met datatoegang-compliance, en dat is slechts de eerste stap in onze ambitie.” VAN DE REDACTIE

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 19

STRATEGIE

ECP|Platform voor de InformatieSamenleving wil inhoudelijke discussie

Angst belemmert momenteel ontwikkeling

AI-projecten “Doemscenario’s van intelligente robots die de mensheid bedreigen en overheersen veroorzaken angst in de samenleving. Innovatie en een verantwoorde ontwikkeling van artificial intelligence (AI) worden daardoor bemoeilijkt.” Dat zegt Daniël Frijters van ECP|Platform voor de InformatieSamenleving, in reactie op de horrorverhalen die regelmatig in het publieke debat over kunstmatige intelligentie naar voren worden gebracht.

Daarom neemt ECP het initiatief om de hype van de realiteit te scheiden door een inhoudelijke discussie aan te gaan met bedrijven, overheden en maatschappelijke organisaties. Ook heeft het een AI Impact Assessment ontwikkeld dat als hulpmiddel kan dienen voor verantwoorde AI-toepassingen. ECP start deze discussie door een whitepaper getiteld ‘Artificial Intelligence - Gespreksstof en handvatten voor een evenwichtige inbedding in de samenleving’ te lanceren. Dat gebeurde tijdens het NOREA-voorjaarssymposium over kunstmatige intelligentie en robotisering voor IT-auditors. Frijters: “Vanwege de grote maatschappelijke impact van kunstmatige intelligentie is het van belang dat bedrijven, overheid, kennisinstellingen, politici, bestuurders en eindgebruikers met elkaar in gesprek gaan over dit onderwerp. Hoe benutten we de kansen die kunstmatige intelligentie biedt? En hoe zorgen we er gelijktijdig voor dat intelligente toepassingen rekening houden met voor mensen belangrijke ethische en juridische waarden?” Deze vragen zijn urgent nu zelfrijdende auto’s, robotrechters en zorgrobots hun intrede doen en nieuwe toepassingen voor de deur staan.

AI Impact Assessment Voor het formuleren van antwoorden werkt ECP met haar deelnemers verder in de daarvoor ingerichte werkgroep Kunstmatige Intelligentie. De werkgroep 20 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

ontwikkelt tevens een AI Impact Assessment als hulpmiddel voor het vroegtijdig onderkennen van de maatschappelijke, ethische, juridische en organisatorische impact van AI-gebruik. Zo krijgt een verantwoorde ontwikkeling en inbedding van kunstmatige intelligentie in de samenleving de broodnodige aandacht die het verdient. “Niemand is gebaat bij een samenleving die grootschalig gebruikmaakt van onverantwoorde intelligente systemen zonder ethisch besef.”

Menselijke controle inbouwen Kunstmatige intelligentie is volgens Frijters geen revolutie die de mensheid ineens overkomt. Het is een ontwikkeling die onze samenleving langzaamaan binnenkomt en verandert. Innovaties bieden nieuwe mogelijkheden en nieuwe economische kansen, maar er ontstaan ook ethische en maatschappelijke vraagstukken. Zo zijn er nu al systemen die redeneren, leren en zelfstandig strategieën en doelen bedenken. “De hype met gevaarlijke cyborgs miskent de realiteit dat er nu al systemen zijn die niettransparant tot een resultaat komen. Mensen hebben hier nauwelijks of geen invloed op en kunnen de resultaten niet aanpassen. De discussie moet daarom niet zo zeer gaan over kunstmatige intelligentie als technologie, maar over wenselijkheid of onwenselijkheid om menselijke controle in te bouwen.”

Discover strategies and technical solutions for your digital security at it-sa 2018.

Get your free ticket now!

Nuremberg, Germany 9 -11 October 2018

it-sa.de/en

RAPPORT

Fortinet ziet toename met 28 procent

Cryptomining-malware

groeit snel

Fortinet stelt in zijn Global Threat Landscape Report voor het eerste kwartaal van 2018 dat sommige cybercriminelen er inmiddels de voorkeur aan geven om gekaapte systemen in te zetten voor cryptomining, in plaats van het opeisen van losgeld via ransomware. Detecties van cryptomining-malware namen dan ook flink toe. Was de groei vorig jaar nog 13 procent, nu is het gestegen tot 28 procent.

Uit de onderzoeksgegevens van Fortinet blijkt dat cybercriminelen slimmer gebruik maken van malÂ ware en recent ontdekte zero day-kwetsbaarheden. Ze zijn daarmee in staat om snelle en grootschalige aanvallen uit te voeren. Hoewel het aantal detecties van exploits per bedrijf in het eerste kwartaal van 2018 met 13 procent daalde, nam het aantal detecties van unieke exploits met ruim 11 procent toe. 73 procent van alle bedrijven werd het slachtoffer van een exploit met ernstige gevolgen.

Piek in cryptojacking Cybercriminelen blijven hun malware verbeteren. Dit maakt de preventie en detectie steeds moeilijker. 22 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

Detecties van cryptomining-malware namen flink toe. Was de groei vorig jaar nog 13 procent, nu is het gestegen tot 28 procent. Cryptojacking kwam vaker voor in het Midden-Oosten, Latijns-Amerika en Afrika. Hoewel cryptomining-malware een relatief nieuwe bedreiging is, geeft die blijk van een ongekende diversiteit. Cybercriminelen ontwikkelen bestandsloze malware om detectie te omzeilen en kwaadaardige code in browsers te infecteren. Cryptominers richten hun pijlen op verschillende besturingssystemen en cryptovalutaâ&#x20AC;&#x2122;s, waaronder Bitcoin en Monero. Ze gebruiken en optimaliseren daarnaast

‘Cybercriminelen ontwikkelen bestandsloze malware om detectie te omzeilen en kwaadaardige code in browsers te infecteren’

een belangrijk beveiligingsprobleem voor organisaties. De makers van ransomware maken gebruik van nieuwe methoden zoals social engineering en gefaseerde aanvallen om detectiemechanismen te omzeilen en systemen te infecteren. In januari maakte de GandCrab-ransomware zijn entree. Dit was de eerste ransomwarevariant die losgeld eiste in de vorm van de cryptovaluta Dash. Twee andere ransomware-varianten die zich in het eerste kwartaal van 2018 tot belangrijke bedreigingen ontpopten, waren BlackRuby en SamSam.

Meerdere aanvalskanalen verspreidingstechnieken die ze hebben overgenomen van andere bedreigingen. Daarbij evalueren ze welke methoden wel en niet succesvol waren om hun kans op succes te vergroten.

Gerichte aanvallen Malware blijft ingrijpende schade aanrichten, zeker wanneer cybercriminelen die gebruiken voor gerichte aanvallen. Hierbij voeren zij eerst uitgebreide verkenningen binnen het bedrijfsnetwerk uit alvorens een aanval in gang te zetten. Deze voorzichtige aanpak vergroot hun kans op succes. Zodra de cybercriminelen het netwerk zijn binnengedrongen, banen ze zich een weg door het netwerk om vervolgens het meest destructieve onderdeel (de payload) van hun aanval te activeren. De Olympic Destroyermalware en de meer recente SamSamransomware geven blijk van de verwoestende impact die cybercriminelen aanrichten door een gerichte aanval te combineren met een schadelijke payload.

Ransomware Ransomware neemt zowel in aantal als geavanceerdheid toe en blijft daarmee

Hoewel de aanvallen Meltdown en Spectre het nieuws domineerden, waren de meest voorkomende aanvallen gericht op mobiele apparaten of bekende exploits in routers of internettechnologie. 21% van alle organisaties deed melding van mobiele malware. Dit is een stijging van 7% en wijst erop dat IoT-apparaten een doelwit blijven vormen. Cybercriminelen blijven gretig gebruikmaken van bekende en ongepatchte kwetsbaarheden en recent gepubliceerde zero day-kwetsbaarheden. Technologie van Microsoft bleef het belangrijkste doelwit voor exploits. Routers kwamen op de tweede plaats. Content management systemen en internetgerichte technologieën werden eveneens zwaar getroffen.

Cyberhygiëne is meer dan patchen Uit metingen van het aantal opeen volgende dagen waarin sprake is van aanhoudende botnet-communicatie blijkt dat cyberhygiëne om meer vraagt dan alleen patching. Zo is het belangrijk om geïnfecteerde systemen grondig te reinigen. Uit de onderzoeksgegevens bleek dat 58,5 procent van alle botnetinfecties dezelfde dag wordt gedetecteerd en ongedaan kon worden

gemaakt. 17,6 procent van alle botnets blijven twee dagen achtereen in stand. 7,3 procent hield het drie dagen vol. Circa 5 procent van alle botnets blijft langer dan een week actief. Zo werd de Andromeda-botnet in het vierde kwartaal van 2017 uit de lucht gehaald, maar uit data voor het eerste kwartaal blijkt dat het botnet inmiddels opnieuw prominent van zich laat horen.

Cyberaanvallen op OT Hoewel OT-aanvallen een kleiner percentage van alle bedreigingen vertegenwoordigen, zijn de ontwikkelingen op dit gebied alarmerend. Operationele technologie wordt steeds meer verbonden met het internet, en dat heeft serieuze gevolgen voor de beveiliging. De overgrote meerderheid van exploits richt zich momenteel op de twee meest gebruikte industriële communicatieprotocollen. Omdat die op brede schaal worden ingezet, vormen ze een gewild doelwit. Uit de onderzoeksgegevens van Fortinet blijkt dat pogingen om misbruik te maken van kwetsbaarheden in industriële besturingssystemen (ICS) in Azië iets vaker voorkomen dan in andere regio’s. Er is sprake van een alarmerende ontwikkeling op het gebied van cyberbedreigingen, stelt het bedrijf. Cybercriminelen geven blijk van hun efficiëntie en flexibiliteit door misbruik te maken van het groeiende digitale aanvalsoppervlak en recent gepubliceerde zero day-bedreigingen. Daarnaast maken ze gebruik van malware kits van de zwarte markt. IT- en OT-teams beschikken over onvoldoende middelen om hun systemen effectief te beschermen. Het goede nieuws is echter dat de implementatie van een security fabric voorziet in snelheid, integratie en geavanceerde analysemogelijkheden en zo uitgebreide bescherming kan bieden.

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 23

INTERVIEW

Octavia de Weerdt (NBIP):

‘We staan nergens meer van te kijken’ Disruptieve DDoS-aanvallen mogen inmiddels geen uitzondering meer heten. Eind mei waren ABN Amro en de Rabobank wederom het slachtoffer. En het einde is nog lang niet in zicht, zo blijkt uit het onlangs verschenen DDoS Data Rapport 2017 van de Stichting Nationale Beheersorganisatie Internetproviders (NBIP). Sterker nog, DDoS-aanvallen worden alleen maar slimmer en complexer. We spraken met Octavia de Weerdt, algemeen directeur van NBIP, over de onderzoeksresultaten, over trends en de toekomst van de Nationale Wasstraat (NaWas) tegen DDoS-aanvallen.

“Het is weer raak”, begint Octavia de Weerdt. Op de beursvloer van DHPA TechFest, het decor van het interview, gaat zojuist het nieuwtje rond dat ABN Amro en de Rabobank wederom het doelwit waren van een DDoS-aanval. Een stop op betaalverkeer heeft natuurlijk ontwrichtende consequenties voor de samenleving. Maar het grootste gevaar schuilt misschien wel in het denkbeeld dat burgers en bedrijven hebben bij DDoS-aanvallen, stelt De Weerdt. “Dit soort berichten kunnen als gevolg hebben dat burgers gaan denken dat een DDoS-aanval iets is 24 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

wat je nou eenmaal overkomt, waar niet veel aan te doen is. Ook denk ik dat bij het MKB of grotere bedrijven, die hun infrastructuur hebben uitbesteed, het idee leeft dat ze wel veilig zijn: ‘Wij hebben toch al wat geregeld’ of ‘Onze provider doet hier vast wat tegen’. Dat is dus schijnveiligheid.”

Gerichte DDoS-aanvallen Regelmatig hebben grote bedrijven en instellingen te kampen met DDoS-aanvallen, en toch lijkt het alsof ze zich niet wapenen. Natuurlijk doen ze dat wel enigszins. Banken bijvoorbeeld stellen inmiddels dat

ze juist veel aanvallen weten af te slaan. Ondanks dat zijn niet alle aanvallen voorkomen. Het rapport van NBIP verklaart misschien wel waarom dat gebeurt. “Eén van de conclusies is dat DDoSaanvallen kleiner worden qua aantal Gbps, en vele malen korter duren vergeleken met het jaar daarvoor. Daaruit concluderen wij dat er in 2017 veel gerichter is aangevallen.” Een logische ontwikkeling, stelt De Weerdt: “Een aanval net boven de capaciteit van de provider is namelijk moeilijker te detecteren dan een grote aanval. Een slimme aanval: gericht met groot effect.” Die ontwikkeling van korte aanvallen heeft ook te maken met een gunstig verdienmodel dat dit soort aanvallen in stand houdt. Als je aanvallen kan inkopen, moet het het waard zijn om het te blijven doen. Dus des te eerder je met een aanval doelgericht kan zijn, des te meer je er als malafide verkoper aan verdient, zo legt De Weerdt uit. Ook ziet de NBIP dat de opkomst van kortere aanvallen heeft te maken met afpersing of het aftasten van zwaktes. “Na een korte aanval worden er wel eens afpersmails gestuurd, met de boodschap: ‘betalen anders voeren we meer DDoSaanvallen uit’. En bij deelnemers van onze NaWas of een ander ‘scrubbing center’ zie je wel eens korte aanvallen om te kijken of alles goed beveiligd is. Ze kloppen als het ware op de deur, maar zijn daarna ook weer gauw weg.”

Trends voorspellen Het rapport, met data van deelnemers aan de NaWas, laat daarnaast andere trends zien. De zogenoemde multivectoraanval - een combinatie van een zwaardere DDoS-aanval en een kleinere, subtielere vorm - wordt steeds vaker gebruikt. In 2017 betrof het ruim 23 procent van de aanvallen, terwijl dat jaar ervoor nauwelijks zulke aanvallen waren waargenomen. “Eind 2016 waren multivector-aanvallen uitschieters. Maar vorig jaar heeft aangetoond dat multivector gemeengoed wordt. Het gaat voorlopig ook niet weg.” Het is slechts één voorbeeld van een trend die de NBIP aan heeft zien komen. Ook memcached-aanvallen, die in 2017 voor het eerst werden gespot, zijn nu al

een nieuwe vorm van DDoS-aanvallen die in gebruik zijn. “We staan nergens meer van te kijken. Omdat we nieuwe aanvalstypen al vroegtijdig analyseren en categoriseren, kunnen we ze beter herkennen en daarop reageren.” Sinds de NaWas in 2014 operationeel live is gegaan, heeft de NBIP het aantal DDoS-aanvallen zien stijgen van één per twee dagen naar ruim twee aanvallen per dag. De NaWas wist elke DDoS-aanval op haar deelnemers te mitigeren. “We hebben meer dan 2.150 aanvallen opgevangen en ‘schoon’ verkeer teruggestuurd naar de servers van onze deelnemers. Daar zijn we hartstikke trots op”, zegt De Weerdt.

NaWas vijf jaar Een feestje is ook wel op zijn plaats want in slechts vijf jaar tijd (het idee ontstond in 2013) is de NaWas een begrip in het Nederlandse internetlandschap. Wat is het grote geheim? Volgens De Weerdt komt dat onder andere doordat de organisatie continu haar kennis bijhoudt. “Zo zijn we in staat geweest bij te blijven. We vragen ons ook steeds af: zijn we nog actueel? Alleen dan zet je iets op wat na vijf jaar niet redundant is.” Dat die kennis is bijgehouden, komt ook door het coöperatieve model van de NaWas. Alle deelnemers dragen bij, zowel financieel voor de apparatuur om DDoS-verkeer te ‘wassen’, als qua kennis. “Hoe meer deelnemers, hoe beter DDoS-aanvallen te mitigeren zijn”, legt De Weerdt uit. “De gedachte is altijd geweest dat iedereen zich kan aansluiten, want daar heb je allemaal profijt van. Als je malafide verkeer dan op de juiste knooppunten mitigeert, dan heb je veel veiliger internetverkeer.”

Europese uitbreiding Uitbreiding ligt dan ook in het verschiet. Op dit moment heeft de NBIP plannen klaar voor een tweede nationale wasstraat, maar ook wordt flink ingezet op een Europees initiatief, zo zegt De Weerdt. Waarom is daarvoor gekozen? “Dat idee is begonnen als de verlenging van onze visie, een ‘veiligere digitale infrastructuur’. Een betere wereld begint natuurlijk bij jezelf, dus begonnen we bij onszelf. Maar in het verlengde daarvan

ligt natuurlijk dat je op den duur die kennis niet bij jezelf moet gaan houden. We willen het beste jongetje van de Europese klas zijn. We hebben nu al enkele Europese deelnemers die zich bij ons hebben aangemeld. Elke ‘independent’ uit Europa kan zich aansluiten.” Daar komt nog eens bij dat er meer kennis beschikbaar komt in het hele netwerk, wat DDoS-mitigatie weer ten goede moet komen. De Weerdt kijkt graag vooruit. Zo wordt er ook gedacht aan een scrubbing center op relevante posities in Europa. “Of die nou in Frankfurt staat of in Londen, maakt niet zoveel uit. Je zou 80 procent van de wasstraat eerstelijns lokaal kunnen opvangen, en de rest bij ons in Amsterdam. Op dit moment zijn we daarvoor met potentiële partners in gesprek.” Maar, zo stelt ze ook, de vraag vanuit geïnteresseerden naar een volledige regionale mitigatie blijft relevant, hoe gek dat ook klinkt als je denkt in termen van een globaal internet. “De geografische gedachte blijft belangrijk, dat moet je niet onderschatten.”

Preventie versus mitigatie Omdat de NBIP met de NaWas altijd heeft gekeken hoe het relevant kan blijven, evolueert de stichting continu. De toekomst laat zich daarom lastig beschrijven als het gaat om de dienstverlening. De Weerdt denkt daarom in doelen, niet in middelen. “We kijken hoe wij een schakel in de grotere keten van anti-DDoS-maatregelen kunnen zijn. Dus niet alleen inzetten op mitigeren. Je kan bijvoorbeeld aan de voorkant van een DDoS-aanval ingrijpen, in een botnet, of in de keten. Er zal helaas altijd een mitigatiedienst nodig zijn. Maar aan de preventieve kant zullen we in de toekomst ook wat kunnen betekenen, niet alleen aan de reactieve kant.” Het DDoS data rapport 2017: De opkomst van slimme DDoS-aanvallen is te downloaden op de website van Stichting NBIP: www.nbip.nl LORENZ VAN GOOL

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 25

SUPPLY CHAIN

Onderzoek Dimension Data:

26 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

nieuwe zwakke schakel in

Supply chain

cybersecurity De zakelijke dienstverlening kreeg tien procent van alle wereldwijde ransomware-aanvallen te verduren. Daarmee was deze sector na de financiële dienstverleningssector en de technologiesector het derde grootste doelwit, terwijl de zakelijke dienst verlening in 2016 nog op de zesde plaats stond. Ook in Noord- en Zuid-Amerika was deze sector op de derde plaats te vinden (met negen procent van alle aanvallen).

Incident response engagements Het aantal keren dat voor klanten in de financiële dienstverlening aan ransomware gerelateerde, en aan externe firma’s uitbesteedde incident response engagements noodzakelijk waren tegen hackers, nam af van 22 procent in 2016 tot vijf procent in 2017. Daarentegen is de supply chain van zakelijke dienstverleners duidelijk een doelwit geworden voor diefstal van bedrijfsgeheimen en intellectueel eigendom. Gegevens van klanten en zakelijke partners komen hierdoor mogelijk op straat te liggen. Ondanks de daling van het aantal uitbesteedde incident response engagements blijft de financiële sector het belangrijkste doelwit van cybercriminelen, die regelmatig

omgevingen verkennen om kwetsbaarheden in infrastructuren en applicaties te ontdekken.

Gedateerde netwerken Mark Thomas, CTO Cybersecurity van de Dimension Data Group: “In supply chains zijn verschillende onderdelen aanwezig die zich vaak bevinden op losse, gedateerde netwerkinfrastructuren. Dat maakt ze een eenvoudige prooi voor cybercriminelen. Serviceproviders en outsourcers vormen ook een belangrijk doelwit vanwege hun bedrijfsgeheimen en intellectueel eigendom. Bedrijven moeten hun ogen openen voor de realistische bedreigingen en ervoor zorgen dat alle aspecten van hun bedrijfsvoering beveiligd zijn.” Technologie was in 2017 de op een na meest aangevallen sector: negentien procent van het aantal aanvallen was daarop gericht. Opvallend is dat het aantal aanvallen op de overheid afnam van negen procent in 2016 tot vijf procent in 2017. Daarnaast was er in 2017 een enorme toename van 350 procent te zien in het aantal ransomwaregevallen. Dat was zeven procent van alle wereldwijde malwareaanvallen; in 2016 was dat nog een procent. Naar verwachting zet deze

‘De resultaten in het NTT Security 2018 Global Threat Intelligence Report laten ook grote verschillen zien tussen de diverse werelddelen’

groei door als gevolg van de populariteit van ransomware. Een aantal uitkomsten uit het rapport: • Zeventig procent van alle aanvallen in Noord- en Zuid-Amerika was gericht op de sectoren technologie en financiële dienstverlening. De Verenigde Staten zijn wereldleider als het gaat om technologie-innovatie en in de financiële sector is een grote hoeveelheid persoonlijke gegevens te vinden, waar cybercriminelen wel raad mee weten. • In Australië was het onderwijs de meest aangevallen sector (26 procent). Met een open-netwerkmodel en omgevingen waarin veel wordt samengewerkt, en er dus verbinding is tussen studenten, campussen, hbo-instellingen en universiteiten, is het onderwijs een waardevol doelwit. • Het aantal aanvallen op de APACproductiesector nam af tot slechts zeven procent (terwijl dat in 2016 nog 32 procent was). Reden is de adoptie van uitgebreide security-governance en pro-activiteit in het versterken van de cyberverdediging. Mark Thomas: “De resultaten in het NTT Security 2018 Global Threat Intelligence Report laten ook grote verschillen zien tussen de diverse werelddelen. In EMEA speelt bijvoorbeeld ransomware een grote rol. Ransomware was hier goed voor bijna dertig procent van de cyberaanvallen, terwijl het wereldwijde gemiddelde op zeven procent ligt. EMEA was verder ook de enige regio waarin ransomware het meest voorkomende type malware was. Dat is te wijten aan de verscheidene cyberaanvalcampagnes, zoals WannaCry en NotPetya.” VAN DE REDACTIE

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 27

SUMMIT

Internationale conferentie in München van 20 tot en met 22 september

Domeinoverschrijdende samenwerking centraal op

Command Control Summit Cybersecurity speelt een cruciale rol bij digitale transformatie en is daarmee sterk bepalend voor de groei van de economie. Van 20 tot 22 september 2018 komen in de Messe München besluitvormers en experts bij elkaar voor de ‘Command Control Summit’. Zij zullen gezamenlijk zowel de risico’s op het gebied van cybersecurity in kaart brengen, maar ook nadrukkelijk kijken naar de kansen op het gebied van cyberveiligheid. Cyberaanvallen en digitalisering zijn nu onlosmakelijk met elkaar verbonden en moeten samen worden opgenomen in strategische bedrijfsplannen. Naarmate data, ‘things’ als sensoren, machines en individuen steeds meer onderling verbonden raken, nemen de kwetsbaarheden van consumenten, bedrijven en overheden toe.

Holistisch beeld Vooral het corporate en operationeel management krijgt te maken met een almaar toenemende complexiteit. Zij worden geconfronteerd met veel onzekerheden die het gevolg zijn van digitalisatie. Om het digitale bedrijfspotentieel te realiseren, zijn verbeterde governance-methoden nodig ten behoeve van veiligheid en risicomanagement. Bovenal moet het management zich tegenwoordig afvragen hoe een holistisch beeld kan worden verkregen van de cyberrisico’s waarmee hun bedrijf te maken krijgt. Een belangrijk probleem hierbij is dat analoge ideeën over veiligheid nog steeds botsen met de nieuwe digitale realiteit. Dit hokjesdenken botst met digitale 28 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

positionering en de noodzaak om holistisch te denken over cyberveiligheid. Het is dan ook pure noodzaak dat we komen tot een nauwere, meer agile en bovendien domeinoverschrijdende samenwerking op het gebied van strategie, governance, IT en cyberveiligheid. Alleen op die manier is het mogelijk sneller de risico’s van digitalisering op te sporen en preventieve stappen te zetten. Anders gezegd, de veiligheidsproblemen van de verbonden wereld hebben een nieuwe en vooral ook systematische aanpak nodig.

Achterblijven Toch blijft cyberveiligheid nog steeds achter, zelfs nu het aantal complexe en technisch zeer geraffineerde cyberaanvallen sterk toeneemt. Maar al te vaak beperkt cyberveiligheid zich tot het geïsoleerde, technisch complexe en kostbare domein van experts. Hiërarchische bedrijfsstructuren en beperkte samenwerkingsmechanismen binnen de branche waarin de organisatie actief is, hebben vaak tot gevolg dat cyberveiligheid niet wordt beschouwd als

een sectoroverschrijdende uitdaging die essentieel is voor het garanderen van veilige waardeketens en daarmee bepalend voor het toekomstige succes van de economie. Meer dan ooit vereist duurzame en kwalitatieve groei een geïntegreerde aanpak op het gebied van cyber veiligheid. Een aanpak waarmee in de toekomst onder andere de complexiteit op het gebied van technologie, personeel en procedures kan worden opgelost. En waarbij risicomanagement volledig in de organisatie en de werkprocessen is geïntegreerd.

worden beveiligd door holistische cybersecurity om manipulatie of verstoring in de huidige of toekomstige waardeketens te voorkomen. Cyberveiligheid moet worden beschouwd als een strategische en interdisciplinaire kwestie. Tegenwoordig vergt dat meer dan ooit uitwisseling tussen sectoren, bijvoorbeeld in de energiebranche en het digitale kruispunt van elektriciteit, verwarming, productie en transport. Dit is eerder een verplichting geworden dan een optie, niet in de laatste plaats met het oog op de competitiviteit en de toekomstige levensvatbaarheid van onze economie.

Verkeerscontrolecentra

Succes

Dit geldt vooral voor toekomstige kritieke IT-infrastructuren als luchtverkeers beheerssystemen, smart grids en een verregaand geautomatiseerd verkeerscontrolecenter voor autonome voertuigen. In dergelijke infrastructuren zijn geavanceerde systemen zoals geolocatiesatellieten, grondstations, voertuigelektronica, datanetwerken en softwarecomponenten onderling met elkaar verbonden. Het aanvallen van slechts één van deze componenten kan een verwoestend effect hebben op de veiligheid van het hele systeem. En dus op het leven van de verbonden autogebruikers en hun omgeving.

Het succes van een onderneming is tegenwoordig grotendeels afhankelijk van technologische innovatie. Cyberveiligheid, het veilig in netwerken opnemen van waardeketens en digitale leiderschapsvaardigheden zijn de sleutelfactoren voor groei en succes. Digitalisering brengt belangrijke veranderingen met zich mee die verregaande gevolgen hebben op diverse niveaus binnen onze sociale structuur. Een interdisciplinaire dialoog is daarom essentieel voor de op risico’s gebaseerde, politieke en economische governance van de moderne digitale wereld.

Digitalisering vereist een stevig fundament om verder te groeien en te ontwikkelen en vrij te zijn. Dit kan alleen

De Command Control Summit tilt cyberveiligheid naar een hoger niveau. Het vormt de eerste interactieve en

Eugene Kaspersky van Kaspersky Lab is een van de sprekers tijdens de Command Control Summit in München.

interdisciplinaire top die in het teken staat van de sectoroverschrijdende cyberveiligheid. Het event richt zich op actie- en groeigebieden binnen industrieën en waardeketens die met elkaar verbonden zijn. Command Control biedt besluitvormers en specialisten innovatieve showcases met oplossingen voor de toenemende complexiteit op gebieden zoals digitale fabrieken, geïntegreerd risicomanagement, kritieke infrastructuur, datamanagement en de menselijke factor in cyberveiligheid.

Neem deel aan de Command Control Summit die van 20 tot en met 22 september 2018 in München plaatsvindt. Profiteer hierbij van een nieuw innovatief en interdisciplinair format dat: ••De relevante nationale en internationale stakeholders op het gebied van cyberveiligheid samenbrengt via een geleide interactieve uitwisselingsdialoog. ••Internationale topsprekers als Eugene Kaspersky (CEO van Kaspersky Lab), Prof. Marco Gercke (Cybercrime Research Institute), Lance Spitzner (SANS Institute), Terry Halvorsen (CIO van Samsung) en vele anderen live op het podium brengt. ••De kans biedt deel te nemen aan interactieve panels met invloedrijke vertegenwoordigers uit politiek, bedrijfsleven en wetenschap, over belangrijke cyberveiligheid onderwerpen op het gebied van GDPR, robotics en IoT. ••De mogelijkheid biedt deel te nemen aan exclusieve business-georiënteerde workshops en trainingssessies over bewustwordingsmaatregelen, juridische aspecten en aansprakelijkheid. ••Strategische en operationele afhankelijkheden visualiseert voor de industrie- en dienstensector, evenals kritieke infrastructuren met behulp van toekomstgerichte cyberveiligheid-showcases. ••Plaats biedt aan ambitieuze start-ups met een speciaal programma dat een boost geeft aan matchmaking, 1-op-1 gesprekken en meer. ••Een exclusieve networking-finale kent op het legendarische Oktoberfest De agenda voor de Command Control Summit vindt u op https://cmdctrl.com/program/information/agenda

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 29

MICROSEGMENTATIE

Samenwerking maakt visualisatie van kwetsbaarheden mogelijk

Illumio en Qualys: op kwetsbaarheden gebaseerde microsegmentatie Illumio kondigt wereldwijd nieuwe mogelijkheden aan om kwetsbaarheden in kaart te brengen op zijn Adaptive Security Platform. Hierbij zijn kwetsbaarheidsen dreigingsdata van het Qualys Cloud Platform geïntegreerd met application dependency mapping van mogelijk aanvalspaden in realtime te voorspellen. De integratie tussen het Qualys Cloud Platform en Illumio resulteert in kwetsbaarheidskaarten waarmee organisaties inzicht krijgen in de verbindingen met kwetsbaarheden binnen en tussen applicaties. Ook biedt de integratie een East-West exposure-score die het aantal workloads berekent, dat kwetsbaarheden kan exploiteren in applicaties. De integratie is te gebruiken om microsegmentatiepolicy’s te genereren, die East-West Exposure verminderen en patching prioriteren.

Verbonden omgevingen “Digitale transformatie leidt tot een grote hoeveelheid verbonden omgevingen waar perimeterbescherming niet langer volstaat. Het is belangrijk dat de focus verschuift naar de bescherming van data die worden verspreid over applicaties, systemen, devices en de cloud”, zegt Philippe Courtot, CEO en Chairman van Qualys. “De nieuwe Illumio-integratie met Qualys helpt bedrijven meer zicht te krijgen op hun hybride omgevingen en de geschikte controls te implementeren om assets te beschermen tegen cyberdreigingen, zowel on-premise als in de cloud.” “Kwetsbaarheidsbeheer is een onmisbare tool voor elk securityteam. Met onze Qualys Cloud Platformintegratie krijgen organisaties op een kaart te zien hoe actieve, bekende kwetsbaarheden mogelijk zijn te exploiteren door kwaadwillenden”, zegt Andrew Rubin, CEO en medeoprichter van Illumio. “Door kwetsbaarheidskaarten toe te voegen aan ons Adaptive Security Platform, krijgen securityteams realtime inzicht in mogelijke aanvallen en kunnen ze direct microsegmentatie implementeren om de verspreiding van datalekken te voorkomen.” 30 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

Nieuwe mogelijkheden Kwetsbaarheidskaarten maken het applicatiesecurity-, kwetsbaarheidsbeheer- en segmentatieteams mogelijk te begrijpen welke kwetsbaarheidspaden binnen datacenters en cloudomgevingen zijn te misbruiken door kwaadwillenden. Kwetsbaarheidskaarten tonen realtime welke applicaties zijn verbonden met kwetsbare poorten. Ook maken zij het risico zichtbaar dat applicaties lopen wanneer de initiële connecties niet gepatcht zijn. Verder kunnen met een kwetsbaarheidskaart onnodige aanvalsrisico’s worden geëlimineerd door kwetsbaarheden zonder actief of historisch verkeer te tonen. Dit soort kaarten plaatsen kwetsbaarheden in de context van de application dependency-kaart. Met behulp van een workload-, applicatie- en connectiviteitscontext geeft Illumio organisaties een exposure score voor hun East-West-verkeer. De score is berekend op basis van het aantal workloads dat mogelijk de kwetsbaarheden op andere workloads kan exploiteren. Hoe lager de score, hoe kleiner de kans dat een kwaadwillende de kwetsbaarheid kan exploiteren. Mocht patching niet mogelijk zijn, dan is microsegmentatie te gebruiken om het aantal workloads dat in verbinding staat met de kwetsbaarheid, te verminderen. Ook is het nu mogelijk om geautomatiseerde policyaanbevelingen te genereren die gebaseerd zijn op kwetsbaarheden. Dit mitigeert kwetsbaarheden via automatische aanbevelingen. Het Adaptive Security Platform verbindt kwetsbaarheidsdata in realtime met applicatieverkeer, waardoor organisaties de mogelijkheid hebben microsegmentatie in te zetten om de verspreiding van datalekken te voorkomen.

BLOG

Tijd voor een

update-verplichting Heeft een hardware-fabrikant de plicht om zijn apparatuur geregeld een beveiligingsupdate te geven? Die vraag houdt de gemoederen in de ICT al jaren bezig. Je zou verwachten dat gebruikers fel voor een update-plicht zijn en producenten tegen. Maar dat hoeft niet zo te zijn. Wijzelf bijvoorbeeld vinden dat de gebruiker het recht heeft om de apparatuur veilig te (blijven) gebruiken. Daarom pleiten wij voor een wettelijke verplichting tot beveiligingsupdates voor alle hardware-fabrikanten die hun apparatuur in Europa verkopen.

• Er moet een nieuwe, vrijwillige certificering komen die fabrikanten kunnen gebruiken om producten te kenmerken die meer dan gemiddelde security bieden. Dit vormt momenteel de focus van de EU Cybersecurity Act. Een mooi moment om deze update-verplichting definitief wettelijk vast te leggen.

JAN BUIS, Vice President Wireless LAN, IoT & Switches bij LANCOM

Niet ontvankelijk Een wettelijk geregelde update-verplichting biedt gebruikers de mogelijkheid om hun apparatuur gedurende een langere periode veilig te gebruiken. Nu is die verplichting er nog niet. Daardoor kon het gebeuren dat de Consumentenbond twee weken geleden nul op het rekest kreeg in een rechtszaak die men had aangespannen tegen Samsung. De belangenvertegenwoordiger van de Nederlandse consument hoopte Samsung via de rechter te dwingen om zijn smartphones voortaan twee jaar lang van updates te voorzien. Maar de rechter verklaarde de bond niet ontvankelijk. Er zijn dus op dit moment wel duidelijke Europese eisen op het gebied van elektromagnetische compatibiliteit (EMC) en fysieke bescherming tegen elektrische schokken. Maar er zijn geen eisen om normale consumenten- en zakelijke producten regelmatig van (security) updates te voorzien. Dit klopt niet. Daarom vragen wij - inderdaad: als fabrikant - heel nadrukkelijk om wettelijk verplichte security-updates. Het gaat met name om deze drie punten: • Er moeten basiseisen komen voor een bepaald niveau aan security, waar alle apparaten aan moeten voldoen die aan het internet kunnen worden gekoppeld. Noem het maar met een knipoog naar CE een ‘Security CE’. • Fabrikanten moeten verplicht worden om updates te leveren in het geval van een kwetsbaarheid. INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 2018 | 31

STRATEGIE

Dynatrace richt zich meer en meer op software intelligence

Application Performance Monitoring meer een security tool We zitten momenteel in een transformatieperiode waarin alle bedrijfsprocessen worden gedigitaliseerd en iedereen digitaal gaat samenwerken en communiceren. Software wordt daardoor voor elk bedrijf de sleutel tot innovatie en het creëren van concurrentievoordeel, als die tenminste perfect werkt. Tijdens de Perform Europe-conferentie van Dynatrace werd duidelijk dat deze aanbieder in application performance monitoring zichzelf opnieuw aan het uitvinden is. Voor het monitoren van op cloud gebaseerde digitale transformaties is namelijk een andere oplossing nodig dan voor traditionele ICT-systemen. Na zes jaar ontwikkelen levert het bedrijf nu een software intelligence-platform voor multl-cloud omgevingen, dat een goed inzicht geeft in het gedrag van applicaties, maar ook in de security rondom de toepassingen en services. De succesvolste innovators van nu hebben één belangrijke overeenkomst: ze innoveren met software in de cloud. AirBnB, Amazon, Facebook, Google, Netflix, Uber en dergelijke onderscheiden zich met op software gebaseerde services die overal en altijd via de cloud toegankelijk zijn. Maar ook continu worden verbeterd om de gebruikers ervan 32 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

te blijven verleiden en een betere experience te bieden. Tijdens de keynote van Perform Europe vertelde Dynatrace CEO John Van Siclen over de trend dat bedrijven steeds sneller nieuwe software ontwikkelen en introduceren. Dat kan omdat het

geen volledige applicaties meer zijn, maar microservices die net als legoblokken met elkaar te verbinden zijn en kunnen samenwerken. In plaats van vroeger om de zoveel maanden nieuwe softwareversies lanceren, gaat de trend nu richting uren, minuten of seconden (zoals bij Amazon). Uiteraard heeft die trend vergaande gevolgen voor het managen van de performance van alle software. Reden voor Dynatrace om een nieuwe aanpak en een nieuw platform te ontwikkelen.

Performance monitoring “Wij hebben in 2012 een groep ontwikkelaars vrijgemaakt om na te denken over de toekomst van ICT en onze toegevoegde waarde daarvoor”, vertelt Vice President Michael Allen. “Dat team is de afgelopen jaren uitgegroeid tot 170 developers die het nieuwe Dynatrace-platform hebben bedacht en gecreëerd.” Tijdens Perform Europe 2018 was de ontwikkeling en introductie van dit nieuwe monitoring-platform in 2017 het hoofdthema. Het lanceren van een nieuw platform lijkt een goede strategische beslissing te zijn geweest. Dat blijkt wel uit een aantal door Van Siclen gepresenteerde cijfers. In 2017 groeide de omzet afkomstig van het nieuwe platform met maar liefst 525% dankzij bijna 700 nieuwe klanten. De totale omzet van Dynatrace bedraagt inmiddels circa 500 miljoen dollar en

Van Siclen wil er de komende jaren een ‘billion dollar company’ van maken.

Kunstmatige intelligentie Het gebruik van zowel legacy on-premise bedrijfsapplicaties als een snelgroeiend aantal cloud services, maakt het managen van alle software binnen bedrijven vele malen complexer. “Voor het managen van de performance van microservices en andere software die in containers draaien, is het noodzakelijk dat wij ook in de containers kunnen kijken”, legt Allen uit. “Dat doen wij met intelligente agents, die volledig autonoom werken en zelflerend zijn. Daarnaast hanteren we zogenaamde managementzones.” Hierbij wordt gebruikgemaakt van kunstmatige intelligentie, wat meteen ook de nieuwe positionering van het bedrijf verklaart, namelijk: leverancier van software intelligence. In dat toekomstperspectief past tevens de eind 2017 uitgevoerde acquisitie van Qumram. Een softwarebedrijf dat technologie levert voor het vastleggen en visueel terugkijken van alle digitale interacties via webapplicaties en mobiele apparatuur. Anders gezegd: het registreren van gebruikersgedrag en het uitvoeren van analyses daarop. Qumram’s technologie wordt dit jaar via re-engineering in het nieuwe Dynatraceplatform geïntegreerd.

Complementaire markten Met de eigen kunstmatige intelligentie

Michael Allen van Dynatrace: “Bij het kijken in containers met slimme agents spelen namelijk ook security-aspecten een rol.”

en Qumram’s-technologie komt Dynatrace in aanraking met complementaire markten, waar nieuwe groeikansen liggen. Bij het kijken in containers met slimme agents spelen namelijk ook security-aspecten een rol, waardoor het monitoren van de ICTsecurity binnen handbereik komt. Allen vertelde daarover dat het bedrijf weliswaar nog geen concrete plannen voor dat marktsegment heeft, maar dat men wel ziet dat klanten de tooling voor dit doeleinde aan het uitproberen zijn. Ook kunnen klanten Dynatrace’s nieuwe monitoring-platform behalve via de cloud ook op de eigen locatie gebruiken om de security-verantwoordelijkheid zelf in de hand te houden. Met Qumram’s technologie wordt behalve het monitoren van de performance van alle gebruikte software binnen organisaties tevens het monitoren van gebruikers mogelijk. Een toepassing waar privacyaspecten aan verbonden zijn, maar waarmee ook compliancy te handhaven is. Op welke complementaire markt(en) Dynatrace zich de komende jaren gaat focussen om de groeiambitie te realiseren, is nu nog niet duidelijk. Waarschijnlijk bewaart Van Siclen dat tot de Perform Europe 2019-conferentie.

CEO John Van Siclen wil van Dynatrace een ‘billion dollar company’ maken.

VAN DE REDACTIE

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 33

BLOCKCHAIN

Hoe blockchain kan bijdragen aan veiligere (tele)communicatie Blockchain is geen nieuwe technologie en veel mensen kennen de eerste toepassingen ervan in de financiële sector. Ook andere sectoren onderkennen de mogelijkheden om efficiëntie én security naar een hoger niveau te tillen met behulp van blockchaintechnologie. Colt Technology Services en Pacific Century CyberWorks (PCCW) Global verkennen actief de mogelijkheden voor de telecomsector en hebben inmiddels meerdere succesvolle Proof of Concepts (PoC’s) afgerond.

De samenwerking tussen Colt en PCCW kwam tot stand vanuit hun deelname aan het ITW Global Leaders Forum (GLF). Binnen dit netwerk maken de bestuurders van de grootste wholesale-carriers ter wereld strategische afspraken. Zo willen zij onder andere bijdragen aan de digitale samenleving en faciliteren bij toekomstgerichte bedrijfsmodellen. Om dit te bereiken verkennen zij ook de mogelijk heden van nieuwe technologieën zoals blockchain. Informatiebeveiliging en privacy zijn hierbij voor alle spelers in de sector, onder andere door GDPR, basisbeginselen om in acht te nemen. Colt en PCCW vonden elkaar in de verwachting dat blockchain uitkomst kon bieden op deze fronten.

Mogelijkheden Beveiliging heeft altijd een belangrijke rol gespeeld in 34 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

de telecomsector vanwege de grote hoeveelheid persoonlijke gegevens en de risico’s op fraude, kwaliteitsproblemen, (ver)storingen of andere onvoorziene omstandigheden. De huidige hoge mate van (inter)connectiviteit brengt echter continu nieuwe uitdagingen met zich mee. Colt verkent de mogelijk heden van disruptieve technologieën dan ook proactief om de kwaliteit van de dienstverlening te kunnen waarborgen. Zo was Colt in oktober 2017 al met PCCW in gesprek over de mogelijkheden van blockchain-technologie voor de optimalisatie van diverse processen. In de voorspellingen die IBM deed in januari 2018 weerklonken hun ideeën. IBM stelt dat bij de inzet van blockchain-technologie voor Communication Service Providers de grootste winst zal voortkomen

uit het stroomlijnen van interne processen, de ontwikkeling van nieuwe digitale services en de investering in vertrouwen, beveiliging en transparantie binnen zakelijke ecosystemen, inclusief het Internet of Things. Colt en PCCW waren ondertussen al van start gegaan en bundelden in maart 2018 hun krachten met blockchainstartup Clear. Samen ontwikkelden ze een PoC om in kaart te brengen of de voordelen van blockchain ingezet konden worden voor een beveiligde en efficiënte kostenverrekening tussen carriers. Dit begon bij de mogelijkheden om het verrekenproces te versnellen en de betrouwbaarheid te optimaliseren. Ze ontwikkelden hiervoor een systeem dat de doorlooptijd drastisch reduceert.

Kostenverrekening De eerste PoC bestond uit de demonstratie van een geautomatiseerd blockchain wholesale verrekensysteem om belminuten tussen carriers te verrekenen. Het project werd hierop gericht omdat de meerderheid van operators vergelijkbare processen heeft ingericht om transacties te verrekenen. De partners hebben technologie aan de PoC toegevoegd die zij in eigen beheer hadden, zoals een meervoudig gelaagde architectuur en geavanceerde cryptografie. Ook zorgden zij voor verbeterde schaalbaarheid om de toepassing geschikter en veiliger te maken voor de telecomsector. De PoC omvatte het gebruik van een bilaterale blockchain op basis van slimme

‘Bij de inzet van blockchain-technologie zal de grootste winst voortkomen uit het stroomlijnen van interne processen, de ontwikkeling van nieuwe digitale services en de investering in vertrouwen, beveiliging en transparantie binnen zakelijke ecosystemen’ contracten om de waarde van de gespreksgegevens vast te stellen en de transacties vast te leggen. Deze werden aan een openbare blockchain gerapporteerd. Tijdens tests bleek dat het mogelijk is om in een paar minuten lijsten met duizenden telefoongesprekken te analyseren en verrekenen. Waar er eerst honderden uren nodig waren kan het proces met behulp van blockchain worden teruggebracht tot enkele minuten. Bovendien werd ook aangetoond dat door middel van blockchain de foutmarge geminimaliseerd kan worden. Binnen het huidige proces worden miljoenen gespreksgegevens iedere maand handmatig gecontroleerd. Ook fraude moet nog handmatig opgespoord worden. Menselijke fouten zijn in deze context vrijwel onvermijdelijk. Door dit proces te digitaliseren met behulp van blockchain-technologie worden de gegevens automatisch gecontroleerd en kunnen incidenten sneller en effectiever worden opgespoord.

Het systeem kan aangeven waar menselijke actie nodig is. Momenteel moeten carriers hun eigen records vergelijken en kunnen er discrepanties ontstaan. Met blockchain gaan zij uit van hetzelfde grootboek en is er slechts één waarheid. En dat is welkom, want de telecomsector worstelt nog steeds met fraude, vooral bij roaming.

Realtime registratie In mei 2018 werd bekend dat Colt en PCCW hun onderzoeken naar het volgende niveau hebben getild, met een tweede succesvolle PoC, waarbij het de deelnemende partijen is gelukt om het blockchain-grootboek te voeden met live datafeeds. Andere leden van het ITW Global Leaders’ Forum (GLF) - zoals BT, HGC Global Communications, Telefónica en Telstra - hebben bij deze PoC de mogelijkheid aangegrepen om aan te haken en de PoC naar een hoger plan te tillen door het grootboek ook te voeden met hun live data. Deze PoC maakt het mogelijk om het inter-carrierverkeer automatisch te verifiëren en verrekenen op basis van realtime data. Het doel van de uitbreiding is om op korte termijn de bilaterale tests tussen Colt en PCCW Global uit te breiden naar multilaterale relaties binnen de hele wholesale telecommarkt. Colt was al optimistisch gestemd over het succes van de eerste PoC, maar het gebruik van realtime data was een belangrijke extra stap om het nut van de toepassing van blockchain-technologie in de telecomsector aan te tonen. De tweede PoC deed niet alleen wat ervan werd verwacht - het wholesale-verkeer op accurate wijze verifiëren en verrekenen aan de hand van realtime informatie - maar maakt de weg ook vrij voor een veilige automatisering van arbeidsintensieve, handmatige taken. Dit biedt carriers als Colt meer vrijheid om te investeren in de groei van hun

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 35

Blockchain

onderneming en die van hun klanten. Met deze eerste PoC’s hebben Colt en PCCW de basis gelegd voor vervolg onderzoeken naar de potentie van blockchain, waaronder ook op het gebied van fraudebestrijding.

Fraudebestrijding Doordat blockchain in de basis over security gaat, is het haast vanzelf sprekend dat er ook kansen liggen op het gebied van fraudebestrijding. Volgens de Communications Fraud Control Association (CFCA) bedroeg de schade door fraude binnen de telecomsector in 2017 wereldwijd bijna 30 miljard dollar. Een van de fraude-soorten waar blockchain uitkomst kan bieden is voice fraude, waarbij kwaadwillenden met toegang tot fysieke SIM-kaarten identiteitsfraude plegen. Met blockchain zou de telecomindustrie kunnen afstappen van SIM-kaarten en overstappen op beveiligde software om de identiteit vast te stellen. Daarmee worden de data- en minutenuitwisseling via een peer-to-peer netwerk gecontroleerd. IHS Markit voorspelde al in mei 2017 dat de adoptie van deze zogenoemde eSIMS zal groeien van

108 miljoen in 2016, naar bijna 1 miljard in 2021. Een andere optie zou kunnen zijn om gebruikers door middel van apps een digitale identiteit toe te kennen waardoor zowel het apparaat als de gebruiker wordt gecontroleerd. Ook Microsoft werkt aan een blockchain-gebaseerd identiteitsmanagementplatform voor cross-device authenticatie.

Meer veiligheid Door de veelbelovende resultaten van de PoC’s van Colt en PCCW kan er nagedacht worden over de mogelijkheden voor een ecosysteem waarin bijvoorbeeld contracten digitaal worden opgeslagen in transparante, gedeelde databases waar ze niet verwijderd of gewijzigd kunnen worden. Er zou dan voor alle contracten, processen, activiteiten en betalingen een digitale vermelding zijn en een digitale handtekening die geïdentificeerd, gecontroleerd, opgeslagen en uitgewisseld kan worden. Dit maakt de processen efficiënter, betrouwbaarder en veiliger. De resources die hiermee bespaard worden, kunnen

36 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

elders worden ingezet en er kan dan meer geïnvesteerd worden in zaken als service, research en development of de ontwikkeling van nieuwe diensten. IBM voorspelt bijvoorbeeld de ondersteuning van digital asset transacties om te betalen voor muziek of mobiele games, mobiel betalen en identity-as-a-servicediensten. Door de optimale afstemming tussen carriers kunnen operators bovendien tijdig en flexibel anticiperen op marktontwikkelingen zoals M2M en IoT, maar ook op vragen van eindklanten. Blockchain is een concrete, zorgvuldig gedocumenteerde stap naar een digitale economie waar diensten snel, flexibel en veilig beschikbaar kunnen worden gesteld, ongeacht de locatie of het device van de eindgebruiker. Controle binnen en het vertrouwen in de telecomsector is niet langer gebaseerd op de rol van één persoon of autoriteit. VAN DE REDACTIE

BEVEILIGING

Kingston wijst ook op voordelen voor productiviteit

Versleutelde USB-sticks goed voor veiligheid De kans op uitlekken van privacygevoelige informatie wordt niet verkleind door het weren van draagbare opslagapparatuur. Sterker nog, de beveiliging van versleutelde USB-sticks is volgens Kingston Digital de laatste jaren grondig verbeterd waardoor de inzet ervan - in combinatie met werknemersbeleid over acceptabel en onacceptabel gebruik - juist is aan te raden met het oog op de Europese privacywetgeving.

Onlangs verschenen berichten over bedrijven die USB-sticks willen verbieden om datalekken te voorkomen. Deze organisaties beseffen echter niet hoe ingeburgerd het gebruik van draagbare opslagapparatuur is. “Wij vinden dat bedrijven en andere instanties die hun werknemers het gebruik van verwisselbare opslagapparaten verbieden, onvoldoende analyses hebben uitgevoerd om inzicht te krijgen in de vele manieren waarop gegevensstromen lopen binnen en buiten een organisatie”, aldus Niels Burnet, Business Development Manager bij Kingston.

Bescherming persoonsgegevens De reden dat bedrijven nu maatregelen nemen, bijvoorbeeld in de vorm van een verbod op USBsticks, is de komst van de GDPR. Deze wet is gericht op de bescherming van persoonsgegevens in de EU. Bij een datalek krijgen organisaties boetes die kunnen oplopen tot vier procent van de totale jaarlijkse inkomsten of twintig miljoen euro. Daardoor zijn er aanzienlijke financiële prikkels om risico’s te minimaliseren. Het weren van draagbare opslagapparatuur klinkt als een eenvoudige oplossing, maar bedrijven beseffen niet dat dit de productiviteit van werknemers kan beperken en de werkefficiëntie zal verlagen. De huidige mobiele werknemers hebben legitieme zakelijke doeleinden voor het gebruik van verwisselbare media.

Voorbeeld • Opslag zonder cloud: mobiele werknemers hebben mogelijk geen toegang tot de benodigde bestanden of kunnen bestanden niet overdragen vanwege onbetrouwbare lokale ‘Free Wi-Fi’netwerken of firewalls • Belang van USB-poort: voor het onderhoud van systemen of het helpen van klanten bij de implementatie van software is een USB-poort nodig • Externe gegevens: het verzamelen van gegevens uit veldonderzoek bij noodsituaties en wetenschappelijke operaties

Versleutelde producten Om de cyberbeveiliging te bevorderen, de productiviteit van werknemers te behouden en intussen compliant te zijn in het kader van GDPR is het gebruik van versleutelde apparatuur een interessante oplossing. Versleuteling is een van de meest betrouwbare manieren van bescherming wanneer het gaat om mobiele opslag van vertrouwelijke of gevoelige informatie. Versleutelde USB-sticks zijn oplossingen voor beveiligings producten en een essentiële pijler van een uitgebreide strategie ter voorkoming van gegevensverlies. Het is verstandig om er als bedrijf op aan te dringen dat werknemers alleen versleutelde USB-drives gebruiken. Op deze manier maak je gebruik van de productiviteitsvoordelen van het toestaan van USB-toegang in combinatie met de bescherming van (privacygevoelige) informatie. Versleutelde USBoplossingen zijn ontworpen om zelfs de meest gevoelige gegevens te beschermen, met behulp van de strengste beveiligingsvoorschriften en protocollen. Versleutelde USB-drives zijn hulpmiddelen om beveiligingslekken te voorkomen. Ze helpen veiligheid en naleving te garanderen door het aanbieden van: • Op hardware gebaseerde AES-256bit-codering in XTS-modus • Antivirus/malwarebescherming • Mogelijkheid tot beheer op afstand TAA-conform / FIPS gecertificeerd • Capaciteiten variërend van 4 GB tot 128 GB

Vergroten bewustzijn Daarnaast is het van belang om beleid op te stellen waarin acceptabel en onacceptabel gebruik van draagbare opslagapparatuur beschreven staat. Door medewerkers te trainen wordt hun bewustzijn vergroot en risicovol gedrag met persoonsgegevens tot een minimum beperkt.

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 37

SECURITY-SCAN

Initiatief van Hiscox en SecureMe2

Gratis security-scan voor houders van cyberpolissen Verzekeraar Hiscox en SecureMe2 zijn een exclusieve samenwerking aangegaan die gericht is op MKB-bedrijven die een Hiscox Cyber Verzekering (CyberClear) hebben. De samenwerking maakt het voor klanten mogelijk hun cybersecurityrisico’s en daarmee de kans op schade sterk te verminderen. Aad van Boven, CEO en medeoprichter van SecureMe2: “We hebben gekozen voor Hiscox vanwege de ervaring die deze verzekeraar heeft met cyberverzekeringen en de meest uitgebreide polis aanbiedt die bovendien een wereldwijde dekking heeft. SecureMe2 zal zich met Hiscox in eerste instantie richten op de Benelux. Daarnaast starten we deze zomer projecten in Frankrijk en Spanje. Daarna zullen projecten in Engeland en Duitsland volgen. Op termijn willen we actief worden in alle landen waar Hiscox cyberpolissen verkoopt.”

Niet voldoende Yasin Chalabi, Manager Professional Insurance en Cyber & Data Risks van Hiscox, wijst erop dat veel security-oplossingen voornamelijk gericht zijn op het controleren van inkomend internetverkeer. “Dat is van groot belang, maar niet meer voldoende in een tijd waarin nieuwe vormen van malware zich razendsnel ontwikkelen en zich al in netwerken bevinden.” Onderdeel van de Hiscox-cyberverzekering is daarom een gratis securityscan van twee weken, 38 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

uitgevoerd door SecureMe2 met behulp van het SAM Cyber Alarm, de eerste eenvoudige, effectieve, betaalbare en betrouwbare oplossing om realtime inbraken op het bedrijfsnetwerk te ontdekken.

Aanbevelingen Deze scan resulteert in een rapportage met aanbevelingen. Deze geeft aan wat verbeterd kan worden en welke stappen de eindgebruiker moet nemen om controle te krijgen over het eigen netwerk. De resultaten van de scan hebben geen invloed op de hoogte van de polis. Na de scan kan de klant er voor kiezen om het SAM Cyber Alarm van SecureMe2 aan te schaffen. CyberClear by Hiscox, een cyber en data risks verzekering, dekt de gevolgen van systeeminbraak, diefstal of verlies van vertrouwelijke informatie, cyberaansprakelijkheid, hacking en cyberafpersing (ransomware). De verzekering vergoedt bedrijfsschade op basis van brutowinst in plaats van nettowinst. Daarnaast worden de kosten en bedrijfsschade als gevolg van inbreuken en systeemstoring of -falen bij andere bedrijven vergoed.

MARKT

Ziften lanceert Microsoft Azure Powered Endpoint Security Ziften betreedt de Nederlandse cyberbeveiligingsmarkt in samenwerking met InSpark, een fullservice technologieverlener die de strategie voor doorlopende beheer- en ondersteuningsdiensten voor het Ziften Zenithbeveiligingsplatform ondersteunt. InSpark wordt de nieuwste partner in het Activate Partner-programma van Ziften en neemt deel via Ziften’s Fast Start-programma voor de onboarding van de channel partners van Microsoft Windows Defender Advanced Threat Protection (ATP).

Dit volgt de eerder aangekondigde strategische samenwerking van Ziften met Microsoft en de integratie van zijn Zenith eindpuntdetectie en reactie (EDR) platform met Windows Defender ATP. De geïntegreerde oplossing biedt de gezamenlijke klanten een cloud-gebaseerd ‘single pane of glass’ voor het detecteren, bekijken, onderzoeken en reageren op geavanceerde cyberaanvallen en inbreuken op Windows-, MacOS- en Linux-endpoints - inclusief fysieke, virtuele en cloud-gebaseerde systemen.

Fast Start “Ziften is 100% gericht op het leveren van klantwaarde via channel partners”, aldus Greg McCreight, Senior Vice President Worldwide Channels bij Ziften. “Met ons Fast Start-programma bieden we hands-on partnership aan de bestaande Microsoft-channel partners, waarmee we in staat zijn snel problemen van klanten betreffende post-beveiligingsinbreuken op te lossen. InSpark is één van de eerste gezamenlijke Ziften en Microsoft-beveiligingspartners in EMEA, wat ons een enorme kans biedt om samen de endpointbeveiligingsmarkt in Nederland te verstoren. Door de samenwerking met InSpark, een toonaangevende digitale transformatiepartner en beveiligingsdeskundige van Microsoft, verwachten we snel succes in de markt te realiseren.” “Als Microsoft-partner met de meeste MVP’s in Europa, zagen we meteen de waarde van een samenwerking met Ziften om Microsoft Windows Defender ATP uit te breiden met hun Zenithbeveiligingsplatform”, aldus Ronny de Jong, Lead Consultant Modern Workplace, InSpark. “Het is een perfecte cyberbeveiliging die geschikt is voor onze klanten die kunnen profiteren van de naadloze integratie tussen Zenith en Windows Defender ATP, waardoor ze end-to-end bescherming en zichtbaarheid ontvangen voor hun Windows- en niet-Windows-

systemen. We verwachten onmiddellijk succes met het aanbieden van deze unieke beveiligingsoplossing aan onze klanten samen met het leveren van de nodige volledige life-cycle diensten voor de Ziftenbeveiligingsoplossing.”

Herhaling Samen helpen Ziften, InSpark en Microsoft organisaties bij het versnellen van het opsporen van aanvallen en zero-day exploits, ontdekken ze de volledige omvang van een inbreuk, reageren ze snel op aanvallen, voorkomen ze herhaling, en verhogen ze de gehele productiviteit van de beveiligingsoperaties. De geïntegreerde, cloud-aangedreven benadering ondersteunt de meest complexe, multi-endpoint, multi-cloud enterprise-omgevingen, waardoor commerciële en overheidsklanten de mogelijkheid krijgen tot: • Het uitbreiden van Windows Defender ATP naar macOS en Linux Systemen: klanten kunnen eenvoudig waarnemingen van inbreuken, het onderzoek en de reactie daarop nu naar iedere client, servers en cloud-VM’s uitbreiden. Ze krijgen een geïntegreerde ‘single pane of glass’ die Windows-, macOS- en Linux-systemen ondersteunt. • Veilige omgevingen met multi-cloud, Windows en Linux: organisaties kunnen problemen met de opvolging van de cloud en beveiligingsproblemen oplossen met zichtbaarheid en controle over alle virtuele besturingssystemen die worden ingezet in elke cloud-serviceverlener. • 6 maanden uitvoeren, Lookback Forensics: klanten kunnen altijd zoeken naar 6 maanden rijkelijke machine-timeline die beveiligingsgebeurtenissen van Windows-, MacOS- en Linux-systemen verenigt - zowel fysiek als virtueel.

INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 39

CERTIFICERING

Run verwacht

op certificering vernieuwde

zorgnorm Het Utrechtse softwarebedrijf Eljakim Information Technology is als eerste bedrijf in Nederland gecertificeerd volgens de NEN7510:2017. Waarnemers verwachten een run op certificering op basis van deze vernieuwde norm. Belangrijk in de zorg

“Privacy en informatiebeveiliging zijn hot topics in de zorg”, zegt Christian Oudenbroek, Managing Partner van Brand Compliance. “Zorginstellingen komen met veel privacygevoelige informatie in aanraking, zoals patiëntgegevens en het is natuurlijk belangrijk dat deze gevoelige informatie niet uitlekt.” Eind vorig jaar is de vernieuwde norm NEN7510 gepubliceerd. “Wij zijn verheugd dat we Eljakim Information Technology als eerste bedrijf officieel hebben gecertificeerd. De verwachting is dat op korte termijn veel bedrijven dit voorbeeld gaan volgen. Behalve softwareleveranciers in de zorg is er ook veel animo onder andere organisaties, zoals dienstverleners die met (gevoelige) patiëntgegevens werken, verpleeghuizen, ziekenhuizen, fysiotherapeuten en GGZ-instellingen”, aldus Oudenbroek.

Eerste certificering

De vernieuwde zorgnorm biedt onder andere maatregelen die moeten worden getroffen op het gebied van informatiebeveiliging. Hij is bedoeld voor Nederlandse zorginstellingen en hun toeleveranciers. Brand Compliance uit ’s-Hertogenbosch voerde de toetsing bij Eljakim Information Technology uit en mocht het eerste certificaat overhandigen. 40 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

Softwarebedrijf Eljakim IT ontwikkelt sinds 1996 software voor de overheid en non-profitorganisaties in onderwijs, zorg en welzijn. “Veel van onze projecten hebben een maatschappelijke betekenis. We zoeken creatieve oplossingen voor technische uitdagingen”, zegt directeur Eljakim Schrijvers. “We zijn er trots op om als eerste bedrijf volgens deze vernieuwde norm te zijn gecertificeerd. Dat past in ons streven om een betrouwbare IT-partner te zijn voor onze klanten. Het is bovendien een erkenning dat ons managementsysteem zorgt voor een duurzame aanpak en borging van informatie beveiliging.”

SOFTWARE

BSA in nieuw rapport:

Dalend gebruik illegale software leidt tot minder security-risico’s

Om de risico’s op cyberaanvallen te verminderen en de prestaties te verbeteren, doen bedrijven er goed aan illegale software in hun netwerk te verwijderen en software asset management in te voeren. Dat meldt de BSA | The Software Alliance in zijn 2018 Global Software Survey. Het onderzoek geeft aan dat in Nederland 22 procent van de software op computers niet de juiste licenties heeft. Dat is twee punten minder dan de vorige studie over 2016.

De commerciële waarde van de illegale software in Nederland komt uit op 448 miljoen dollar. De cijfers worden onder meer beïnvloed door meer aandacht voor software asset management (SAM), meer abonnementen op software en meer oog voor veiligheid. Ook de bewustwordingscampagnes van de BSA zorgen voor meer aandacht voor het belang van legale software.

Consequenties Bedrijven over de hele wereld gebruiken software om hun bedrijfsvoering te optimaliseren, winst te maken, nieuwe markten te ontginnen en concurrentievoordeel te behalen. “Maar zowel CIO’s als het nu gepubliceerde onderzoek geven aan dat illegaal gebruik van software kan leiden tot ernstige consequenties voor organisaties op het gebied van veiligheid”, stelt de BSA in een persbericht. CIO’s stellen dat diefstal van persoonlijke en bedrijfsgegevens hun belangrijkste zorg is als het gaat om malware, dat vaak onderdeel is van illegale software. Meer dan de helft van de ondervraagde CIO’s (51%) zegt dat cybersecurity de belangrijkste reden is om illegale software te mijden. Het verlagen van de risico’s op juridische procedures komt op de tweede plaats (43%). In het rapport geeft de organisatie aan welke risico’s bedrijven lopen. Ook laat het onderzoek zien hoeveel illegale software er te vinden is op computers in 110 landen en regio’s. Binnen het onderzoek zijn de antwoorden van bijna 23.000 consumenten, werkgevers en CIO’s meegenomen.

Resultaten “Organisaties missen economische en veiligheids voordelen als ze geen goed beheerde software gebruiken”, zegt Victoria Espinel, bestuursvoorzitter en CEO van BSA | The Software Alliance. “Zij doen er goed aan te kijken naar Software Asset Management-programma’s en de software op hun netwerken goed te beheren. Dat helpt hen bij het terugdringen van risico’s rond cyberaanvallen en het vergroten van de omzet.” De belangrijkste resultaten uit het onderzoek zijn: • Het gebruik van software zonder een licentie nam weliswaar licht af, maar vindt nog steeds op grote schaal plaats. Wereldwijd gaat het om 37 procent van alle software op personal computers, dat is twee punten minder dan in 2016. • CIO’s geven aan dat illegale software voor risico’s zorgt en tot kosten leidt. Malware als gevolg van illegale software kost bedrijven jaarlijks bijna 359 miljard dollar. • Het verbeteren van software-compliance biedt economische en veiligheidsvoordelen. Bedrijven die hun softwarebeheer verbeteren, zien omzetstijgingen tot wel 11 procent. • Het verbeteren van het softwarebeheer levert direct economisch voordeel op. Onderzoeken laten zien dat bedrijven tot wel 30 procent per jaar kunnen besparen op softwarekosten door een robuust SAM- en licentie-optimaliseringsprogramma. Het rapport is beschikbaar op www.bsa.org/ globalstudy. INFOSECURITY MAGAZINE | NR. 3 | JULI 2018 | 41

BLOG

Is Russische censuur gevaarlijker dan Nederlandse censuur? Censuur is niet direct een nieuw verschijnsel in Rusland. Na het feitelijk verbieden van VPN ondergaan versleutelde messengers nu hetzelfde lot. Echt iets om schande van te spreken. Maar waarom is het zó anders wanneer onze eigen regering voorstellen doet die in dezelfde richting gaan? Het gebruik van ongereguleerde VPN-oplossingen en proxy diensten is in Rusland al effectief gecriminaliseerd: om officieel toegestaan te worden, moeten VPN-aanbieders bepaalde websites zelf binnen een VPN kunnen blokkeren om de Russische censuurwetgeving na te leven. De autoriteiten houden een zwarte lijst bij van websites die onder deze categorie vallen. Ze bevatten alle websites met inhoud die als schadelijk of illegaal wordt beoordeeld. Van elke VPN-aanbieder wordt verwacht dat hij de zwarte lijst oplegt aan zijn gebruikers. Op verzoek van de autoriteiten moeten zij ook gegevens over de gebruikers van de respectievelijke VPN-dienst kunnen overleggen, hoewel veel aanbieders dit niet kunnen omdat zij eenvoudigweg geen gegevens over hun gebruikers verzamelen. Naast het effectief verbieden van VPN, legt de Russische regering zich nu toe op het volgende project: versleutelde messengers verbieden. Het eerste doelwit is de boodschappers dienst ‘Telegram’. Ironisch genoeg heeft Telegram Russische wortels, maar dit maakt van Telegram geen Russisch schoothondje. De dienst werd gevraagd om cryptosleutels aan de Russische veiligheidsautoriteiten te overhandigen (en zo een achterdeur voor de autoriteiten te openen). Telegram weigerde dit enerzijds uit principe, anderzijds omdat het technisch niet mogelijk is: elke conversatie heeft zijn eigen willekeurig gegenereerde encryptiesleutel, die Telegram niet bezit. In reactie hierop, begon Rusland specifieke IP-adressen te blokkeren om het gebruik van Telegram te beperken. Het succes van deze maatregel was beperkt, zo geven de autoriteiten eerlijk toe. Vervolgens probeerden de Russische autoriteiten druk uit te oefenen op Apple en Google om Telegram uit hun lokale app stores te verwijderen. De hele verbanningsprocedure is vergelijkbaar met de procedure die al werd gebruikt voor VPN-technologieën: de technologie schendt de Russische censuurwetgeving en moet dus worden uitgebannen. De argumentatie is dezelfde: de app zou worden gebruikt om terroristische activiteiten te plannen en te coördineren. Daarom moet deze door de autoriteiten kunnen worden gecontroleerd. Een strikte naleving van de Russische wet betekent niet per se een verbod op VPN en versleuteling, maar het zou de technieken wel nutteloos maken. 42 | JULI 2018 | NR. 3 | INFOSECURITY MAGAZINE

De autoriteiten willen gebruikers duidelijk kunnen identificeren en hun gedrag en communicatie kunnen bespioneren ondanks versleuteling en anonimisering. Hiermee worden versleuteling en anonimisering in essentie teniet gedaan. Het is interessant dat dit nu in Rusland gebeurt. In onze westerse samenleving wordt het regime van Rusland sterk gewantrouwd en staat iedereen klaar om deze vorm van censuur ten strengste te veroordelen. Maar wat nu als een regime waar we meer vertrouwen in hebben met vergelijkbare argumenten komt om sterke encryptie te verbieden? Interessant genoeg wordt dat na elke afgrijselijke terroristische aanslag - ook in Nederland - opnieuw bediscussieerd als een mogelijk goede maatregel. Steeds meer burgers lijken bereid om privacy op te offeren voor meer veiligheid. Maar dan moet het wel écht meer veiligheid opleveren. Om nog maar eens duidelijkheid te scheppen in dit lastige dilemma: er is geen enkel bewijs dat de criminele activiteit afneemt als gevolg van toenemend toezicht. Bovendien hebben maatregelen zoals het verbod op versleutelde communicatie een blijvend negatief effect op het vertrouwen van de burgers in hun regering in het algemeen en de veiligheids autoriteiten in het bijzonder. Grappig dat we dat in het geval van Rusland zo feilloos aanvoelen, maar het in ons eigen huis niet lijken te willen zien. EDDY WILLEMS is security evangelist bij G DATA

Meet your privacy challenges head on with IAPP training

DATA IS ONE OF YOUR MOST VALUABLE ASSETS.

TSTC FAST TRACKS PRIVACY

And every day it is being accessed, shared, managed and transferred by people in your organization

in all departments and at all levels. Unless your employees have a solid understanding of the considerations and challenges involved in managing data, you risk a data breach, losing customer

trust—or even enforcement action.

IAPP training can provide your staff with the knowledge they need to help you meet your privacy

program goals. The IAPP offers seven privacy and data protection training programs to extend knowledge to staff who need to have a solid understanding of privacy principles and practices.

Our comprehensive and flexible programs can be suited to your specific needs and availability in order to help you drive privacy knowledge across your organization.

Which Is Right for You?

CIPP/E

Professionals with privacy skills are in high demand. Show off your knowledge and skills with an IAPP credential.

Certified Information Privacy Professional / Europe By investing in your staff, you give them the knowledge to make better decisions in their everyday work, which is fundamental Which Is Right for You? to the success of your privacy program.

CIPM

Professionals with privacy skills are in high demand. Show off your knowledge and skills with an IAPP credential.

THE WHAT Laws and regulations

THE HOW Operations

THE HOW Technology

Certified Information Privacy Manager

•

Legal

•

Compliance

•

Information Management

•

Data Governance

•

Human Resources

•

Risk Management

•

Information Technology

•

Information Security

Accountability

•

Software Engineering

•

Audit

•

Privacy by Design

•

Privacy Analytics

• Privacy Operations www.privacyassociation.org/iappcert

CIPT

JURISDICTIONAL

THE WHAT Laws and regulations

GLOBAL, CROSS-INDUSTRY

www.privacyassociation.org/certification

THE HOW Operations

THE HOW Technology

Certified Information Privacy Technologist

•

Legal

•

Risk Management

•

Information Technology

•

Compliance

•

Privacy Operations

•

Information Security

•

Information Management

•

Accountability

•

Software Engineering

•

Data Governance

•

Audit

•

Privacy by Design

•

Human Resources

•

Privacy Analytics

JURISDICTIONAL

CDPO

GLOBAL, CROSS-INDUSTRY

www.privacyassociation.org/certification

Certified Data Protection Officer

0318 581480

W W W.T STC .NL

SAVE THE DA TE

G inschrijrvatis 3 septem en vanaf ber 201 8

31 OKT & 1 NOV 2018 JAARBEURS UTRECHT

WWW.INFOSECURITY.NL WWW.DNCEXPO.NL THEMA: Quantified World

In samenwerking met:

Hoofdmediapartner:

Infosecurity Magazine 03/2018

Articles inside

minder security-risico’s Is Russische censuur gevaarlijker dan Nederlandse censuur?

Endpoint Security Run verwacht op certificering vernieuwde

meer een security tool Hoe blockchain kan bijdragen aan veiligere

Tijd voor een update-verplichting

cyberpolissen Ziften lanceert Microsoft Azure Powered

Versleutelde USB-sticks goed voor veiligheid

Illumio en Qualys: op kwetsbaarheden

meer van te kijken’ Supply chain nieuwe zwakke schakel in cybersecurity

Angst belemmert momenteel ontwikkeling

VASCO lanceert nieuw identity-platform en

Connected cybersecurity- connected succes

neemt onboarding-specialist over Machines maken de mens menselijker

tijdens WannaCry Meer datalekken dan ooit tevoren

Elimity succesvol bij Benelux-banken

bovenmenselijk zelfs EternalBlue-exploit inmiddels populairder dan