Infosecurity Magazine 05/2018

INFO

SECURITY MAGAZINE

JAARGANG 17 - DECEMBER 2018 - WWW.INFOSECURITYMAGAZINE.NL

DEZE ZES TRENDS GAAN 2019 BEPALEN

CYBERCRIME OMDAT HET KAN

NATIONALE IT-SECURITY

MONITOR 2018/2019

AI SCHIET SECURITY-­ TEAMS TE HULP

www.scos.cloud

Secure Managed File Transfer Hosted in West Europe – Middenmeer/The Netherlands. Ipswitch MOVEit Cloud is a SaaS version of MOVEit Transfer

Ipswitch MOVEit Cloud delivers the company’s industry-leading Managed File Transfer (MFT) system with all the benefits of cloud computing, including: • reliability • elasticity • and rapid deployment Hosted at a world-class data center facility (ISO/IEC 27001 ) compliant that is engineered to incorporate multiple levels of security and redundancy for optimal • reliability • availability • business continuity and it’s all managed by MOVEit experts.

In an era of high-visibility security violations, scos.cloud leads the industry in security and integrity. scos.cloud protects your most valuable asset – your data – by incorporating essential security measures for cloud services.

Start your Cloud MFTaaS now with one of our MFT experts.

Secure MFT • Secure Email • Ad Hoc Transfer • Automate File Transfer • MFTaaS

www. sc os . c l ou d

EDITORIAL: ROBBERT HOEFFNAGEL

Toch wel COLOFON Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@vakbladen.com. Abonnementen kunnen iedere maand ingaan en worden jaarlijks automatisch verlengd. Opzeggingen, uitsluitend schriftelijk, dienen uiterlijk twee maanden voor het einde van de abonnementsperiode in ons bezit te zijn.

Wie de hele dag met cybersecurity en ITbeveiliging bezig is, krijgt na verloop van tijd als vanzelf last van tunnelvisie. Inderdaad: ik heb het hier (ook) over mijzelf. Iedere dag weer komt er bij mij een ‘never ending’ stroom van berichten binnen, waarin security op een of andere manier een hoofdrol speelt. Soms gaat het om nieuwe technologische vondsten om cybercriminelen ‘nog beter’ tegen te kunnen houden. In andere gevallen gaat het juist om incidenten waarbij - ik zou haast zeggen - ‘weer eens’ gegevens van enkele miljoenen mensen in verkeerde handen zijn gevallen.

Uitgever Roeland Dobbelaer

Hoofdredacteur Robbert Hoeffnagel +31 (0)6 - 51 28 20 40 robbert@alibi.nl

Advertentie-exploitatie Jos Raaphorst +31 (0)6 - 34 73 54 24 j.raaphorst@archermedia.nl

Je zou zeggen dat je hierdoor toch een heel aardig beeld krijgt van wat er in de wereld van informatiebeveiliging speelt. Toch laat ook ik mij zo af en toe verrassen. Een recent voorbeeld was die bekende bioscoop­ exploitant waar een serieus geval van ‘CEO fraude’ plaatsvond. Ik geef toe: ik viel even volledig stil toen ik dat bericht las. Niet vanwege de omvang van de fraude, maar omdat dit incident überhaupt had kunnen plaatsvinden.

Redactie-coördinatie Ab Muilwijk

Abonnementen abonnementen@vakbladen.com +31 (0)88 -22 666 80

Vormgeving Content Innovators, Den Haag

Druk

Eerlijk gezegd heb ik ‘CEO fraude’ lange tijd gezien als slimme marketing van securityaanbieders. Toen ik daar de eerste persberichten en blogs over las, was mijn eerste reactie: dit menen ze niet serieus. Maar gaan we nu serieus beweren dat als er een mailtje van de CEO binnenkomt om een paar miljoen naar een bepaalde rekening over te maken, dat men dit klakkeloos doet? Ik geloofde er niet zoveel van.

Veldhuis Media B.V., Raalte Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.

Meer informatie: www.infosecuritymagazine.nl

Tot dit incident dus. Ik besloot daarop er eens een - ik geef toe: weinig wetenschap­ pelijk - onderzoekje tegenaan te gooien. Ik belde wat kennissen en bekenden op die werken bij grotere bedrijven en overheids­ organisaties. De situatie bleek nog erger dan uit menig persbericht blijkt. Want ja, als er zo’n mailtje binnenkomt wordt de betaling in veel gevallen simpelweg gedaan.

Infosecurity Magazine is een uitgave van

Zonder dat men even navraag doet of een procedure volgt die regelt dat ook betalingen op initiatief van ‘de hoogste

baas’ op een gecontroleerde en verifieerbare manier verlopen. Van de 12 mensen die ik belde gaf slechts één (!) persoon aan dat bij een dergelijk verzoek een check plaatsvindt. Maar dit bedrijf doet het sowieso goed. Als een relatief groot bedrag moet worden betaald, wordt altijd gecontroleerd of het rekeningnummer waar men het geld op wil storten wel klopt. Hoe? Door simpelweg de telefoon te pakken en de contactpersoon van deze leverancier te bellen om een aantal controlevragen te stellen. Klopt alles, dan wordt het geld per direct overgemaakt. 2018 is een jaar geweest waarin IT-security zijn grote doorbraak meemaakte. Of we nu directeur van een klein bedrijf zijn, een CFO van een enterprise-organisatie, een IT-­ manager van een mkb-firma of desnoods een politicus of volksvertegenwoordiger, we weten allemaal hoe cruciaal goede beveiliging is. En hoe reddeloos verloren ‘we’ zijn als bedrijf, maatschappij of individu als we geen goede technische en proce­ durele maatregelen nemen. Het afgelopen jaar is security definitief op ieders agenda terechtgekomen. Laten we hopen dat we eind volgend jaar kunnen constateren dat we in 2019 de cybercriminelen definitief op achterstand hebben weten te zetten. ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 3

Inhoud

INFOSECURITY MAGAZINE NUMMER 5 - DECEMBER 2018 - JAARGANG 17

12 TRUSTECH 2018: Staat GDPR innovatie rond authenticatie in de weg?

12

De technologische ontwikkelingen rond biometrie en gezichtsherkenning is de afgelopen jaren erg hard gegaan. Zo hard, dat het de wetgeving voorbij dreigde te steken. In Europa is getracht dat voor te zijn met privacywetgeving, met de Algemene Verordening Gegevensbescherming (AVG) voorop. Maar de rest van de wereld kijkt er toch een beetje anders tegenaan, zo blijkt uit de afgelopen editie van TRUSTECH in het Zuid-Franse Cannes.

16 ‘Zo doorbreken we in 2019 de toename in cybercrime’ 18 Wanneer heeft u voor het laatst uw securityreflexen getest? 22 Zo weet je hoe veilig jouw organisatie is 24 ‘Cryptojacking en versleuteld verkeer steeds groter beveiligingsrisico’ 27 Zo lek als een (winkel)mandje 28 Deze zes trends gaan 2019 bepalen 30 Cybercrime - omdat het kan Bedrijven worden regelmatig geconfronteerd met weglekkende bedrijfsgeheimen. Dat kan grote schade tot gevolg hebben. De bescherming van deze geheimen is dan ook een van de belangrijkste prioriteiten voor 2019. Een eerste aanzet hiervoor is de Wet bescherming bedrijfs­ geheimen die in oktober is aangenomen door de Eerste Kamer. Maar organisaties kunnen zelf ook maatregelen nemen om hun Intellectueel Eigendom te beschermen.

32 ‘Security moet je niet bezitten, secure moet je zijn’ 34 AI schiet security-teams te hulp

27

24

30

34

36 ‘Steeds meer aandacht voor e-mailbeveiliging’ 38 Een security framework gebruiken geeft rust 40 Vapor-worm wordt groot in 2019 42 OT-netwerken beveiligen met Skyboxbeveiliging 4 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

06

NATIONALE IT-SECURITY MONITOR 2018/2019

Na afwezigheid van een jaar is de Nationale IT-Security Monitor weer helemaal terug. Met deze monitor houdt Pb7 Research - in samenwerking met Infosecurity Magazine - de vinger aan de pols van de Nederlandse ITsecurity markt. Net als in de voorgaande edities onderzoeken we wat de belangrijkste trends en investeringen zijn in de zakelijke markt.

28

36

STEEDS MEER AANDACHT VOOR E-MAILBEVEILIGING

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 5

MONITOR

Nationale IT-Security Monitor 2018/2019

Impact en aantal incidenten blijft toenemen - ondanks grotere budgetten Na afwezigheid van een jaar is de Nationale IT-Security Monitor weer helemaal terug. Met deze monitor houdt Pb7 Research in samenwerking met Infosecurity Magazine de vinger aan de pols van de Nederlandse IT-security markt. In november 2018 zijn 228 bedrijven met 50 of meer medewerkers ondervraagd met behulp van een web gebaseerde panel survey. Net als in de voorgaande edities onderzoeken we wat de belangrijkste trends en investeringen zijn in de zakelijke markt. Het onderzoek is dit jaar mede mogelijk gemaakt dankzij de steun van hoofdsponsors IBM, Kaspersky Lab en Sogeti. 6 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

In het onderzoek proberen we veel vraagpunten over een aantal jaren heen ter herhalen, zodat we goed inzicht krijgen in de ontwikkelingen. Maar we borduren ook voort op de laatste bevindingen en houden onze ogen open voor nieuwe thema’s. Zo hebben we in deze editie ook weer goed gekeken naar de belangrijkste drijfveren achter security-investeringen en het veranderende dreigingsbeeld. Ook keken we opnieuw naar de impact van de cloud, mobiele databeveiliging en compliance uitdagingen ten aanzien van met name de AVG. Dit jaar keken we ook specifiek naar het Internet of Things.

Resultaten In de vorige Nationale IT-Security Monitor constateerden we dat IT-security dreigingen steeds tastbaarder werden. Terwijl de afhankelijkheid van IT sterk was toegenomen, waren de dreigingen veel reëler geworden door ransomwaregolven die grote bedrijven plat wisten te leggen. Bovendien werd de hand van meer en minder bevriende overheden steeds zichtbaarder. Maar IT-security werd ook een onderwerp op directie­ niveau door de onvermijdelijke komst van de Algemene Verordening Gegevensbescherming. We stelden dan ook dat de angst wederom regeerde in IT-securityland. Intussen zijn in het afgelopen jaar 2018 de gemoederen aardig verhit geraakt. In navolging van de Verenigde Staten worden ook in Nederland en de EU ITen IT-securityleveranciers ‘uit voorzorg’ in de ban gedaan. En het aantal datalekken en de ernst ervan lijken eerder toe dan af te nemen, ondanks alle wet- en regelgeving. De cybercrimebedreigingen nemen allerminst af. We zien bovendien een toenemende aandacht voor steeds geraffineerdere en bovendien gepersonaliseerde hybride cybercrime, zoals CEO-fraude die bij bijvoorbeeld Pathé miljoenen euro’s heeft gekost.

‘Wat mobiel datagebruik betreft, geldt ook dat richtlijnen voor veilig gedrag en gebruikerstraining aan belang toenemen’

Meestal weet men schade te voor­ komen, maar toch zijn er aardig wat organisaties bij wie malware tot schade leidde. Iets minder vaak, maar toch bij 1 op de 2 organisaties, staat het verlies van informatiedragers zoals laptops, smartphones of USB-sticks. Bij dergelijke incidenten wordt relatief vaak schade geleden. Er zijn ook incidenten die wat vaker plaatsvinden dan twee jaar geleden, zoals ransomware en hacks, maar de verschillen zijn niet heel groot. Opvallend is dat geen enkel type incident minder vaak is gaan plaats­ vinden. Wel hebben DDoS-aanvallen minder vaak tot schade geleid. Blijkbaar zijn organisaties daar nu wat beter tegen gewapend. Nieuw in ons overzicht is CEO-fraude. Opvallend is dat meer dan een op de vier organisaties met zulke incidenten te maken heeft gehad, waarbij het bij 6% van alle organisaties ook tot daadwerkelijke schade heeft geleid.

Investeringen Het is dan ook niet vreemd dat de

uitgaven aan IT-security sterk blijven stijgen. Volgens de ondervraagde bedrijven stegen de uitgaven aan IT-security met 14% in 2018. Voor 2019 verwacht men hetzelfde percentage. Vooral bij zakelijke dienstverleners en in de publieke sector zien we een sterke groei plaatsvinden. Binnen finance en de industrie groeien de uitgaven beneden gemiddeld, maar ook nog altijd met bijna 10% per jaar. Angst lijkt daarbij niet (langer) de belangrijkste drijfveer. Hoewel er nog best vaak gereageerd wordt op inciden­ ten binnen of buiten de organisatie of het algemene dreigingsbeeld, liggen de belangrijkste drijfveren elders. Navraag leert dat vooral het groeiende gebruik van de cloud bedrijven aanzet om meer te gaan investeren in IT-beveiliging. Dat wordt op de voet gevolgd door wet- en regelgeving, waarbij opvalt dat ‘andere wetgeving’ nog vaker wordt genoemd dan de AVG. Daarna zien we dat veel organisaties aangeven dat de directie wakker is geworden en de noodzaak van

Dreigingsbeeld Als we kijken naar het type IT-veilig­ heidsincidenten dat plaatsvindt binnen Nederlandse organisaties, zien we dat er de afgelopen twee jaar eigenlijk heel weinig is veranderd. Net als twee jaar geleden is meer dan 70% van alle organisaties getroffen door malware.

Figuur 1: Incidenten - Met welke van de volgende incidenten heeft uw organisatie de afgelopen 12 maanden te maken gehad? INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 7

Monitor Medewerkersbewustzijn staat inmiddels ook bij veel organisaties op de agenda. Het is zelfs de meest genoemde topprioriteit. Met de opkomst van complexe dreigingen, waarbij cyber­ criminelen steeds uitgekookter van persoonlijke zwakheden van medewerkers proberen te profiteren, is dat begrijpelijk en zijn geregelde opfriscursussen bittere noodzaak.

Figuur 2: Drijfveren voor security investeringen - Welke van de volgende ontwikkelingen hebben de grootste invloed op investeringen in IT-security voor de komende 12 maanden?

investeringen begrijpt. Dat zal zowel het gevolg zijn van de toenemende afhankelijkheid van IT, al dan niet vanuit de cloud, als de eisen en sancties van wet- en regelgevers rond onder meer de AVG. Waar investeren Nederlandse organisa­ ties dan in? Veel organisaties geven een hoge of zelfs topprioriteit aan een groot aantal security-gebieden. Het meest

genoemd worden veilige content en threat management evenals netwerk­ beveiliging. Dat zijn voor IT-beveiligers toch wel de belangrijkste hygiënegebieden die op orde moeten zijn en ieder jaar dienen te worden geëvalueerd. We kunnen stellen dat dat inmiddels ook geldt voor databeveiliging, hoewel veel organisaties daar nog wel een slag kunnen maken. Het wordt dan ook relatief vaak als topprioriteit aangemerkt.

Ieder jaar hameren we in de monitor op het belang van secure en private by design. Het belang van secure development lijkt achter te blijven. Maar als we er rekening mee houden dat maar de helft van de ondervraagde bedrijven zelf software ontwikkelt of op maat laat ontwikkelen, kunnen we ook stellen dat dit voor Nederlandse organisaties een bijzonder belangrijk thema is.

Datalekken en compliance Het is alweer twee en een half jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) van kracht werd. Je zou dus mogen verwachten dat alle voorbereidingen inmiddels zijn afgerond en dat er hier en daar nog wat bijgeschaafd wordt. Het goede nieuws is dat beduidend meer organisaties beduidend meer stappen hebben afgerond. Het slechte nieuws is dat de meerderheid van de Nederlandse organisaties nog altijd in gebreke blijft.

Dataprotectie Verordening? Als er een datalek optreedt, reageert niet iedere organisatie even adequaat. Slechts 26% meldt alle incidenten zowel aan de directie als aan de betrokkenen. Veel organisaties kiezen ervoor om alleen ernstige incidenten te melden. Bij 22% van de bedrijven worden gedupeerden meestal niet of helemaal niet op de hoogte gesteld van een datalek. Ook zegt maar 40% altijd netjes een melding te maken bij de Autoriteit Persoonsgegevens bij verlies van privacygevoelige informatie. Dat is overigens wel een verbetering ten opzichte van de 35% van het onderzoek in 2016, maar het oogt toch teleurstellend.

Cloud, mobiel en IoT

Figuur 3: Prioriteiten en investeringen - Hoeveel prioriteit hebben de volgende investeringen in de komende 12 maanden? 8 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

Nederlandse bedrijven zijn in de afgelopen tien jaar steeds meer gebruik gaan maken van de cloud en mobiele oplossingen. In het verlengde daarvan zien we dat steeds meer bedrijven ook

het Internet of Things (IoT) omarmen. Wat het IoT betreft, staan we pas aan het begin, ondanks dat we al behoorlijk lang geleden zijn begonnen met het aan elkaar knopen van apparaten. Maar de toegenomen rekenkracht en de mogelijk­ heden die daardoor ook ontstaan om dingen autonoom slimme beslissingen te laten nemen dankzij kunstmatige intelligentie en machine learning, zorgen ervoor dat we een lange innovatiegolf tegemoet kunnen zien. En dat brengt helaas ook weer nieuwe bedreigingen met zich mee.

‘De respondenten in de monitor wijzen vooral naar de tekortkomingen van leveranciers’ Maar ook op het gebied van de cloud nemen de uitdagingen voor bedrijven toe. Veel organisaties laten de schroom ten aanzien van cloud computing varen en vertrouwen steeds meer kritische workloads aan de cloud toe. Die cloud is dan wel in de meeste gevallen een matig geïntegreerde multicloud die zich moet gaan ontwikkelen tot een efficiënte hybride cloud. De meeste organisaties hebben nog onvoldoende grip op hun cloud-omgeving, wat niet alleen beheer, maar ook beveiligingsrisico’s met zich meebrengt. Zoals we eerder zagen, hebben IT-security investeringen in dit domein dan ook behoorlijk wat prioriteit. In de tussentijd wordt vooral ook veel in identiteitsbeheer en veilig gedrag geïnvesteerd.

Figuur 4: Gereedheid met betrekking tot Algemene Data Protectie Verordening In welke mate voldoet uw organisatie aan de volgende eisen van de Europese Dataprotectie Verordening?

vinden in het park, babyfoons waar iedereen mee kan kijken, maar ook slecht beveiligde printers waarmee hackers op uw bedrijfsnetwerk kunnen komen. En dan zijn er nog de botnets die bestaan uit gehackte IoT-apparaten die u voor een prikkie kunt huren om een DDoS-aanval op te zetten.

Tekortkomingen Veel fabrikanten laten dus de nodige steken vallen bij de ontwikkeling van nieuwe producten. Maar de risico’s nemen ook toe door het beheer van fysieke apparaten aan het internet te koppelen. Apparatuur kan gemani­

puleerd worden, zodat oververhitting en brandgevaar ontstaat; weg- en waterwerken kunnen ook niet zonder grote risico’s via het internet benaderd worden. De respondenten in de monitor wijzen vooral naar de tekortkomingen van leveranciers. Wat hun eigen IoTactiviteiten betreft, geeft een derde aan dat security er pas aan het eind ‘aan wordt toegevoegd’, terwijl maar een op de vijf altijd de regel ‘secure by design’ aanhoudt. Daar valt zeker nog wel het nodige te verbeteren.

Wat mobiel datagebruik betreft, geldt ook dat richtlijnen voor veilig gedrag en gebruikerstraining aan belang toenemen. Wat we dit jaar vooral zien, is dat IT van afstand veel vaker apparaten goed kan beheren. Het aantal bedrijven dat over MDM beschikt, nam sterk toe. Over de beveiliging van IoT bestaan veel zorgen. Aan de ene kant zijn er de bekende verhalen over fabrikanten die de software niet of nauwelijks hebben beveiligd: kinderarmbandjes waarmee niet alleen de ouders hun kind kunnen

Figuur 5: Veilig mobiel datagebruik- Welke beveiligingsmaatregelen heeft uw organisatie genomen om bedrijfsdata te beschermen op smartphones en tablets? INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 9

Monitor Analyse IT-security is een serieuze zaak. Dat feit lijken we inmiddels allemaal te begrijpen. In de wereld van IT-security wordt vaak geroepen dat IT-security te belangrijk is om aan IT’ers en IT-beveiligers over te laten. Nu iedereen - van de bestuurder tot aan de minister - het bloedserieus begint te nemen, wordt er verzucht dat het toch fijn zou zijn als ze ook wat meer verstand van zaken hadden. Maar IT-security is en blijft nu eenmaal een complex onderwerp waar alleen het falen zichtbaar is. In de vorige monitor constateerden we dat de angst voor nieuwe dreigingen en voor nieuwe regels (AVG!) IT-security stevig in zijn greep had. Ook dit jaar zien we dat de dreigingen verder toenemen en dat de impact van incidenten steeds groter wordt. En dat terwijl Nederlandse organisaties steeds afhankelijker worden van IT. Het voordeel daarvan is, dat de budgetten voor IT-beveiliging vrij stevig mogen blijven groeien. Het nadeel is dat het aantal incidenten waar bedrijven mee te maken hebben, ondanks deze investeringen, maar blijft groeien. Er lijkt een klein succesje te zijn bij het bestrijden van DDoS-aanvallen, maar verder zien we in de Monitor dat de schade eerder toe- dan afneemt. De

‘Als we kijken naar het type IT-veiligheidsincidenten dat plaatsvindt binnen Nederlandse organisaties, zien we dat er de afgelopen twee jaar eigenlijk heel weinig is veranderd’

wapenwedloop tussen cybercriminelen en beveiligers valt te vaak nog uit in het voordeel van de slechteriken, die steeds geavanceerdere manieren bedenken om organisaties van hun geld te ontdoen. Daardoor moeten CISO’s net zo hard in nieuwe kennis en vaardigheden investeren om bedreigingen zo goed mogelijk te neutraliseren. Toch valt er nog meer dan genoeg te verbeteren bij Nederlandse organisaties. Het gebrek aan compliance met de AVG - die alweer twee en een half jaar van kracht is - is opvallend. Nog altijd lijken veel bedrijven af te wachten of en waar het fout gaat en proberen ze er dan het beste van te maken. AVG compliance blijft voorlopig werk-in-uitvoering. Wel blijft het een belangrijke drijfveer voor security-investeringen.

De belangrijkste drijfveer voor security investeringen is het toenemende gebruik van de cloud. Voor veel organisaties komt het cloud-gebruik inmiddels in de ‘mainstream’ van de IT-infrastructuur. Daarmee komen ook veel van de data-kroonjuwelen in de cloud terecht. Voorheen vermeden organisaties dat simpelweg, maar nu moeten ze ervoor zorgen dat ze de cloud veilig maken en houden. Zo wordt databeveiliging, waaronder encryptie, een steeds belangrijker thema. De volgende stap is de opkomst van het Internet of Things (IoT). De mogelijkheid om digitaal de fysieke omgeving te manipuleren biedt niet alleen grote mogelijkheden voor de eigenaar en gebruikers, maar ook voor cyber­ criminelen. Helaas gaat daar nog altijd veel mis. Ook de ondervraagde organisaties die zich met IoT bezig­ houden, denken lang niet altijd in termen als ‘secure by design’ en laten security te laat in het proces aansluiten. Als CISO loop je rond met een kruiwagen met steeds meer kikkers. Het lijkt onmogelijk om ze er allemaal in te houden. Hoe frustrerend dat ook kan zijn, het maakt het vak uitdagend voor de gepassioneerde beveiliger. Zo bezien is IT-security in 2018 alleen maar leuker geworden.

Figuur 6: IoT en security - Bent u het eerder eens of oneens met de volgende stellingen met betrekking tot IT-beveiliging rond IoT (Internet of Things) binnen uw organisatie?

10 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

PETER VERMEULEN is directeur van Pb7 Research

CERTIFICERING EN TRAINING

ALS HET GOED IS, IS HET GOED. Maar verbetering zit in een klein hoekje.

Certificeren? Dan moet u voldoen aan de norm. DNV GL toetst u snel en goed. Maar iedereen houdt van opstekers, niet van standjes. Daarom kijken we bij certificering ook naar wat goed gaat en zelfs nog beter kan. Op die gebieden die voor uw bedrijf of organisatie belangrijk zijn. Aandachtspunten waarop u zélf beoordeeld wilt worden. Certificering die net even verder voert. Want verbetering zit in een klein hoekje. U kunt ons bereiken via 010 2922 700 of www.dnvgl.nl

SAFER, SMARTER, GREENER

Stappenplan ISO 27001/NEN 7510 Download kosteloos de whitepaper 'Stappenplan naar informatiebeveiliging' www.dnvgl.nl/whitepapers

BEURS

TRUSTECH 2018:

Staat GDPR innovatie rond authenticatie in de weg?

De technologische ontwikkelingen rond biometrie en gezichtsherkenning zijn de afgelopen jaren erg hard gegaan. Zo hard, dat het de wetgeving voorbij dreigde te steken. In Europa is getracht dat voor te zijn met privacywetgeving, met de Algemene Verordening Gegevensbescherming (AVG) voorop. Maar de rest van de wereld kijkt er toch een beetje anders tegenaan, zo blijkt uit de afgelopen editie van TRUSTECH, een grote beurs op het gebied van authenticatie-technologie in het Zuid-Franse Cannes. Op de dag dat Uber in Nederland onder de oude privacywetten een boete krijgt van 600.000 euro voor het niet-melden van een lek in 2016, zetten producenten van identificatiesystemen, betaalterminals en smartcardpersen hun stands op in Cannes. De grens tussen authenticatie en gebruiksgemak is dunner dan ooit. Het is ironisch dat de Europese privacywetten ze in een lastige spagaat dwingt. Voor sterke authenticatie en identificatie moet immers een database worden aangelegd van persoonsgegevens. Die moet weer voldoen aan de strenge wetgeving in Europa, waardoor de prikkel er is om vooral niet té veel gegevens te verzamelen. Minder data maakt de identificatiesystemen echter ook weer minder nauwkeurig.

Vlucht nemen Niemand had kunnen verwachten dat authenticatietechnologie zo’n vlucht zou nemen. Michiel van der Veen, de Chief Executive van de European Association for Biometrics, haalde tijdens TRUSTECH een recent rapport van het NIST aan die stelt dat de prestaties 12 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

van identiteitssystemen tussen 2013 en 2018 met een factor 20 zijn verbeterd. “Tussen 2010 en 2013 zagen we slechts een verbetering met een factor twee”, zo zegt hij. “Dit komt vooral door zelflerende machines. De technologie wordt alsmaar beter, de precisie steeds groter. Maar het biometrische is op zichzelf al een belangrijk persoonskenmerk.”

Privacy by Design Dat laatste is cruciaal, omdat de procedures in veel gevallen nog helemaal niet bij zijn. “Toen ik aankwam in mijn hotel, maakten ze meteen een kopie van mijn paspoort”, vertelt Van der Veen. “Het is iets eenvoudigs, maar het is een teken dat Privacy by Design nog niet is meegenomen, zelfs niet in deze simpele procedures.” Dat heeft grote gevolgen voor het gebruik van biometrische gegevens. Je kunt niet zomaar alle

technologie toepassen enkel en alleen om volledig accuraat te hebben wie bijvoorbeeld een gebouw betreedt. De discussie is niet langer technisch, maar vooral ook ethisch, zo zegt Van der Veen. “Kun je gezichtsherkenning gaan inzetten bij de ingang van een kantoorpand?”, vraagt hij retorisch. “Bij een kerncentrale wellicht wel, maar bij een normaal bedrijf is een pasje eigenlijk genoeg. Het gaat om het verschil tussen authenticatie, dat legitiem is, en identificatie, dat in veel gevallen een stap te ver gaat.” Iedereen heeft immers maar één gezicht en twee wijsvingers. Komt dat op straat te liggen, dan kunnen de gevolgen volgens hem enorm zijn.

wandeling over de beursvloer. Europa blijft voor hen weliswaar een belangrijke markt voor bestaande systemen, maar de echte geavanceerde (en daarmee lucratieve) omzet zit in markten daarbuiten, in de wereld zonder AVG. “We leveren in Europa vooral aan opsporingsinstanties”, zegt Radoslava Balgova, marketing coördinator bij het Slowaakse Innovatrics die op hun stand een gezichtsherkenningssysteem demonstreert. “Maar nieuwe systemen leveren we wereldwijd, vooral in LatijnsAmerika en Afrika.” Vooral dat laatste continent is voor Innovatrics uiterst interessant. “In sommige Afrikaanse landen kun je stemmen met je vinger­ afdruk. Ik zou willen dat dit ook in Slowakije kon.”

Contra-intuïtief Voor leveranciers is dit echter volledig contra-intuïtief, zo is wel duidelijk na een

De grootste vertegenwoordiging op TRUSTECH komt uit China, een land dat

radicaal anders tegen biometrie en privacy aankijkt dan Europa. Tijdens het evenement kwam het nieuws naar buiten over Dong Mingzjoe, een airconditioning­ magnate die een bekeuring op de mat kreeg voor lopen door rood licht. Het bleek echter dat het gezichtsherkennings­ systeem haar beeltenis had opgepikt van een reclameboodschap op een passerende bus. Leveranciers leggen zich vooral toe in het vinden van een balans tussen beveiliging en gebruikersgemak. En zien in de uitdagingen rond privacy vooral een rol weggelegd voor hun klanten.

Bescherming moet beter Beperking van gegevens die in grote databases terechtkomen is een ding, maar ook dan moet de bescherming beter. Daar blijkt het punt echter dat de

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 13

Beurs

bescherming in theorie reeds zeer sterk is. Nat Sakimura, de voorzitter van de OpenID Foundation, ging in zijn keynote tijdens TRUSTECH in op de vraag hoe digitale identiteit zich heeft ontwikkeld. “U moet Ali Baba bijvoorbeeld zo zien dat de veertig rovers met Sesam Open U een zwakke gedeelde sleutel op de lange termijn gebruikten”, begint hij. “Zo kwamen ze aan hun einde.” Technieken zijn onderhand een heel eind gekomen, met sterke persoonlijke sleutels. Dat is mede aangezwengeld door de smartphone-revolutie van 2008, waardoor opeens grote aantallen nieuwe onbeschermde apparaten het ecosysteem in kwamen.

Grote hacks Grote hacks zijn dan ook vrijwel nooit een gevolg van fouten in de versleuteling zelf. “Heel soms zit er een fout in het bewijs van de cryptologen”, zegt Remi Geraud-Stewart van de Information Security Group van de Ecole Normale Superieure, tijdens zijn presentatie. “Dat had je met het WPA2-lek van vorig jaar

bijvoorbeeld. Maar dat is een uitzonde­ ring. Als we de veiligheid van onze tools kunnen bewijzen, leg dan maar eens uit waarom we nog steeds lekken hebben.” Die uitleg zit ‘m erin dat cryptologen andere mensen zijn dan de specialisten die het uiteindelijk moeten implemen­ teren. ”Systemen, programma’s en gebruikers zijn niet abstract en de visie van de persoon die de feitelijke implementatie doet wijkt af van het ontwerp van de cryptograaf. Daardoor krijg je onvoldoende resultaat.”

Vertrouwen Uiteindelijk wordt bij TRUSTECH vooral gehamerd op het concept van vertrou­ wen, en daar blijft de branche een taaie kluif houden. Dat gaat verder dan de groeiende complexiteit door Internet of Things of de introductie van blockchain waarmee decentrale databases dichterbij komen. “Je moet naar de toekomst kijken niet door te vragen wat over tien jaar anders is, maar wat over tien jaar hetzelfde is

14 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

gebleven”, stelt Patrick Gauthier, Vice President bij Amazon Pay. “Consumen­ ten willen nooit minder vertrouwen, minder gemak of minder waarde. Startend vanuit dit uitgangspunt heb je altijd een voorsprong.” Het aantal online transacties stijgt hard, zo merkt hij, “maar tegelijkertijd daalt het vertrouwen. In de overheid, in de media, in techbedrijven, enzovoorts. Het aantal gedownloade mobiele applicaties heeft een plateau bereikt.” Vertrouwen is volgens de Amazonbestuurder een absolute voorwaarde geworden voor je kunt gaan innoveren. Leveranciers kunnen niet meer verwachten dat ze overtuigen met het verkooppraatje dat iets snel, makkelijk en veilig is. “Wil je je onderscheiden in de markt? Dan moet het vooral traag, moeilijk en onveilig zijn.” MICHIEL VAN BLOMMESTEIN is journalist

INFO

SECURITY MAGAZINE

Maak kennis met Infosecurity Magazine en vraag uw gratis proefabonnement aan!*

GRATIS nummer Infosecurity Magazine

*U ontvangt 1 gratis nummer en de gratis nieuwsbrief.

Ga naar infosecuritymagazine.nl/proefabonnement Volg Infosecurity Magazine:

INTERVIEW

‘Zo doorbreken we in 2019 de toename in

cybercrime’

In gesprek met Martijn van Lom van Kaspersky: Wie had 10 jaar geleden kunnen bedenken dat we inmiddels ranglijstjes maken van de grootste hacks allertijden? Het datalek bij de Marriot hotelketen waarbij gegevens van 500 miljoen hotelgasten zijn geraakt, staat nog vers in ons geheugen. En inmiddels leren de jaarcijfers van 2018 ons dat ransomware met meer dan 40% is gestegen. Afgelopen jaar is 1 op de 3 computers op een of andere manier in aanraking gekomen met cybercriminaliteit. Hoe kunnen we deze toename doorbreken en wat gaat 2019 ons brengen op dat vlak? We vragen het Martijn van Lom, Europees directielid van Kaspersky Lab. Het securitysoftwarebedrijf dat terugkijkt op misschien wel het meest turbulente jaar uit de meer dan twintigjarige geschiedenis van Kaspersky Lab. 16 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

Wat zijn voor jou de meest opmerkelijke gebeurtenissen van 2018? “Het was een jaar van uitersten, waarbij de grootste gemene deler toch wel ons gezamenlijk vertrouwen is dat voortdurend op verschillende manieren op de proef wordt gesteld. Zowel op geopolitiek niveau, in het concurrentie­ landschap van bedrijven als op individueel gebied.” Dat klinkt niet erg hoopgevend? “Dat zou kunnen, maar ik ben zeker niet pessimistisch. Daarom ook het jaar van de uitersten. In 2018 hebben we ongelooflijk veel cybercriminaliteit weten op te sporen. En belangrijker nog, weten te voorkomen. Dankzij onze geavanceerde technologie hebben we goed op het vizier waar cyberdreigingen vandaan komen en hoe ons daartegen te beschermen. In een wereld die steeds digitaler wordt en cybercriminelen steeds slimmer worden, zijn we al veel alerter dan we ooit waren. Niet voor niets is security een agendapunt in de bestuurskamer. Dat kwam een paar jaar geleden niet verder dan de IT-afdeling. Ook de komst van de AVG-wetgeving heeft daar uiteraard bij geholpen.” Maar wat kun je als securitysoftwarebedrijf doen aan een vertrouwenscrisis in onze samenleving? “Ik zou het geen crisis willen noemen. Wel moeten we beseffen dat we met zijn allen harder ons best moeten doen om elkaar het vertrouwen te geven. Zo kunnen we als cybersecurity-industrie inzicht geven in onze softwarebroncodes. Onze software ook voortdurend laten toetsen door onafhankelijke auditors.” Doen jullie dat al? “Kaspersky Lab heeft eind 2017 het zogeheten Global Transparency Initiative aangekondigd. Een wereldwijd initiatief voor meer transparantie, te beginnen bij onszelf. Zo hebben we afgelopen najaar een Transparency Center geopend in Zurich. Een plek waar onze gebruiks­ gegevens worden verzameld en waar klanten inzage krijgen in software­ broncodes. Vooraanstaande adviseurs van de global Big Four accountancy-

kantoren staan klaar om onafhankelijke audits te doen op de technologie en het gebruik van onze cybersecurity software.”

oplossen. Ook wij hebben onlangs Microsoft nog attent gemaakt op een aantal kwetsbaar-heden in hun software. We moeten elkaar echt nog beter helpen.”

Is dat het gevolg van de overheidsmaatregel om Kaspersky Lab antivirussoftware uit te faseren?

Moet je ook je vijand helpen?

“Nee. De Nederlandse overheid heeft deze maatregel mei 2018 aangekondigd. Toen waren wij al volop in voorbereiding van onze transparantiemaatregelen. Neemt niet weg dat ons Global Transparency Initiatief ons wel gaat helpen om ook met de Nederlandse overheid de dialoog aan te gaan over hun beslissing.” Wat vind je van de maatregel van de Nederlandse overheid? Dat moet jullie veel schade doen. “Het spreekt voor zich dat wij deze voorzorgsmaatregelen enorm betreuren temeer er nooit enig bewijs is geleverd dat onze antivirussoftware onethisch wordt gebruikt. Inmiddels heeft een onafhankelijk onderzoeks- en reconstructierapport van Brenno de Winter aangetoond dat de argumenten voor de beslissing van de overheid ongegrond zijn. De Winter heeft het kabinet inmiddels opgeroepen dit besluit te heroverwegen. Uiteraard zijn wij enorm blij dat steeds meer onafhanke­ lijke partijen bevestigen dat er niks mis is met onze antivirussoftware. Sterker nog, in 91% van de onafhankelijke product­testen van o.a. Gartner en IDC komen we als top 3 beste uit de bus.” Hoe kunnen jullie dit tij dan keren? “Kaspersky Lab heeft afgelopen jaren intensief samengewerkt met de Nederlandse overheid. Bijvoorbeeld met het NoMoreRansom-initiatief waarmee we al heel wat cybercriminaliteit hebben weten te voorkomen. We hebben een gemeenschappelijke missie; een digitaal veilige wereld voor iedereen. Daarom pleiten wij ook voor bedrijfs- en grensoverschrijdende samenwerking en transparantie. Ik snap dat dat niet makkelijk is in een wereld waarin we elkaar steeds minder vertrouwen. Maar cybercriminaliteit kun je niet alleen als land of een enkel bedrijf of individu

“Als cybersecurity-industrie hebben we een steeds grotere verantwoordelijkheid in een verdergaande digitale samen­ leving. We geloven oprecht dat we de wereld veiliger kunnen maken ongeacht wie en waar je bent en wat je doet. Als je online bent, heb je simpelweg het recht om vrij te zijn van malware, e-spionage of andere vormen van cybercrime. Daarom is het onze taak elke vorm van malware - waar dat ook vandaan komt - op te sporen. Malware is malware. Dat kan wel eens tot gevolg hebben dat we niet altijd met iedereen even goeie vrienden zijn als we bijvoorbeeld dreigingsactoren bloot leggen afkomstig uit sommige landen of van bepaalde spionagebendes.” Wat doen jullie voor bedrijven in Nederland die gegevens niet richting Rusland willen laten gaan? “Ik noemde al even de initiatieven die we hebben genomen met de verhuizing naar Zwitserland. Verder hebben we in 2018 ook ons zogeheten KPSN-initiatief gelanceerd. Een cloud-securitydienst waarbij we de klant gratis hosting bieden bij SaaS-Force en daarmee de garantie geven dat gegevens binnen de grenzen van de Europese Unie blijven.” Wat zijn jouw verwachtingen voor 2019? “Helaas moeten we onderkennen dat ransomware een groot probleem blijft. Een sluimerend gevaar dat in steeds meer nieuwe varianten voor gaat komen. Ook CEO- of andere identiteitsfraude blijft toenemen, zo verwacht ik. Cybercriminelen gaan steeds gerichter te werk. Onze toenemende connectiviteit wordt de grootste uitdaging. Als alles straks aan het internet hangt, of het nu onze smartphone of wasmachine is, ontstaan steeds meer veiligheidsrisico’s. Maar met slimme technologie, meer samenwerking en transparantie gaan we het tij absoluut keren.” VAN DE REDACTIE

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 17

STRATEGIE

Wanneer heeft u voor het laatst uw

security-reflexen getest? 18 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

Datalekken zijn onvermijdelijk geworden. De niet-aflatende stroom verhalen over cybercriminaliteit en datalekken bewijst dit eens te meer. Zo hield recentelijk een nieuwe SamSamransomware flink huis in Nederland, biechtte een bekende internationale hotelketen het tweede grootste datalek ooit op en deelde de Autoriteit Persoonsgegevens de eerste boete uit. Dankzij de net gepubliceerde Nationale IT-Security Monitor kunnen we nu ook een cijfer plakken op de stand van securityzaken in Nederland. Meer dan 40% van de ondervraagde organisaties in Nederland heeft een computerinbraak te verduren gehad en meer dan 70% is wel eens getroffen door malware. Heel belangrijk is daarom uw antwoord op de vraag: Wanneer heeft u voor het laatst uw security-reflexen getest?

Of PSD2 dat nog strenger is en FSSbedrijven (Financial Software & Systems) verplicht elke inbreuk binnen 4 uur te melden. Dergelijke strakke deadlines vragen om een bijzonder praktisch ingericht incident responseplan.

Heilige drie-eenheid De klassieke ‘heilige drie-eenheid’ van cyberbeveiliging is detecteren, voorkomen en reageren. Voor menig organisatie lag de focus echter lange tijd op detectie en preventie van incidenten. Maar in een omgeving waarin het niet langer de vraag is of we gehackt zullen worden maar wanneer, zien we de aandacht verschuiven naar het ontwikkelen van robuuste incident response-maatregelen, met een reëel verdedigingsplan.

Gelukkig leidt niet ieder incident ook tot schade, maar een goed doordachte incident response-strategie is hoe dan ook essentieel geworden. Heel wat bedrijven raken namelijk overweldigd en hebben moeite om met de vereiste snelheid en efficiëntie te reageren op een lek of hack. En juist na het incident ontstaat vaak de meeste schade. Tel daar nog eens de nieuwe wetgeving bij op. Zoals GDPR dat bedrijven 72 uur de tijd geeft om een inbreuk te melden.

De Nationale IT-Security Monitor illustreert dat we op dit terrein nog een lange weg af te leggen hebben. Slechts 34% van de ondervraagden geeft aan over een dergelijk plan te beschikken. Op pagina 6 tot en met 10 van deze editie van Infosecurity Magazine bespreekt Peter Vermeulen, directeur van onderzoeksbureau Pb7 Research, de resultaten van de Nationale IT-Security Monitor. Met die 34% doet Nederland het overigens niet eens zo slecht. Het Ponemon Institute heeft eerder dit jaar onder bijna 3.000 IT- en securityprofessionals een wereldwijd onderzoek uitgevoerd naar cyber-weerbaarheid: ‘The Third Annual Study on the Cyber Resilient Organization’. Hier geeft

slechts 23% van de organisaties aan over een formeel incident response-plan te beschikken.

AI kan helpen Het begint allemaal bij de keuze voor de juiste technologie. Deze kan steeds meer op geautomatiseerde wijze helpen anomalieën te detecteren. Een voorbeeld van zo’n technologie is QRadar, IBM’s Security Intelligence-platform. Cybercriminelen worden immers steeds slimmer. Sommige aanvallen kunnen in een oogwenk alweer voorbij zijn, terwijl andere jaren voorbereiding vergen voor ze zich volledig ontplooien. Een goede stap om je te wapenen tegen al dit soort aanvalsstrategieën is zoveel mogelijk kennis vergaren, zo snel en zo efficiënt mogelijk. Het is bijvoorbeeld niet handig om ergens een gigantische collectie pdf-bestanden te hebben met blogs over recente ontwikkelingen en response-strategieën van beveiligings­ experts. Die gegevens zijn ongestruc­ tureerd en het kost enorm veel tijd om door al die blogs te gaan op zoek naar nuttige inzichten. Als we onze eigen intelligentie echter aanvullen met technologie, dan kunnen die enorme rijkdom aan inzichten plotsklaps wél ontsluiten. Dan kunnen we al die informatie doorzoeken op een manier, waarvoor mensen gewoon de ‘intellectuele bandbreedte’ missen. Op die manier kunnen nieuwe technologieën helpen om incident response-plannen naar het volgende niveau te tillen. Een goed voorbeeld van deze aanvullende intelligentie is IBM QRadar Advisor with

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 19

Strategie

‘Een goede stap om je te wapenen tegen al dit soort aanvalsstrategieën, is zoveel mogelijk kennis vergaren’

Watson dat security-analisten terzijde staat om met behulp van kunstmatige intelligentie razendsnel incidenten te onderzoeken en te helpen oplossen.

Gedeelde problemen en oplossingen Wat nog belangrijker is om incident response-plannen naar het spreekwoordelijke ‘next level’ te brengen, is beseffen dat die plannen doorgevoerd moeten worden in de volledige onderneming. Het is een misvatting dat cybercriminaliteit enkel een probleem is voor de IT-afdeling en de security-specialisten. Problemen die de hele onderneming treffen, moeten ook aangepakt kunnen worden door de hele onderneming. Hoe zal bijvoorbeeld een PR-manager omgaan met de reputatie­schade die veroorzaakt wordt door een lek? Wat communiceert een

verkoper aan zijn klanten? Het is essentieel om een volwaardig incident response-plan te hebben dat zo weinig mogelijk aan het toeval overlaat. Test het plan daarom onder reële omstandigheden. De meeste bedrijven doen wel elk jaar een brand­oefening, dus waarom geen cyber­veiligheidsoefening waaraan iedereen deelneemt? Dit is mogelijk in gespecialiseerde locaties als IBM’s Cyber Range in Boston of in de mobiele variant daarvan - de CTOC-truck - die in 2019 Europa zal doorkruizen en in de eerste helft van 2019 twee keer Nederland zal aandoen. De uitvoering van de incident responseprocedures is nog een andere broodnodige vaardigheid. Voor een accurate en snelle response moeten organisaties immers in staat zijn om het

20 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

volledige response-proces te orkestreren - over alle technologieën, processen en medewerkers heen. De automatisering van de incident response-plannen is daarbij essentieel. Heel wat van het manuele werk van het onderzoeken en verhelpen van cyberincidenten kan ondersteund worden met software, zoals IBM’s Security Orchestration-platform: IBM Resilient. Automatisering helpt de vaardighedenkloof te verkleinen. Het helpt immers beveiligingsanalisten om intelligente beslissingen te nemen en snel te reageren op waarschuwingen.

Verandering in mentaliteit Kortom, de dreiging van cyber­ criminaliteit wordt dan wel steeds groter, maar met de juiste voorbereiding kunnen we vol vertrouwen fundamentele veranderingen doorvoeren in hoe we reageren op cyberdreigingen. De menselijke inspanningen en intelligentie aanvullen met technologie is al een stap in de juiste richting. Maar je kunt een gigantische stap voorwaarts zetten als je al die maatregelen integreert in een breder incident response-plan waarin ook automatisering en orkestratie zijn opgenomen. EERO VELLEKOOP is Marketing Leader bij IBM Security Benelux

Onze mensen maken echt het verschil Chantal van BC Group maakt echt werk van

Met bevlogen werknemers zorgt BC Group

werk: “Ik ken alle kandidaten bij naam, weet

voor het vinden, plaatsen en begeleiden van

wat er speelt en zoek oplossingen voor vragen

talent. Hiernaast ondersteunt en adviseert

die soms nog niet eens gesteld zijn, omdat ik

ze u als full service HR partner in payroll.

de kandidaten als mijn eigen collega zie. Mijn opdrachtgevers zien mij als hun persoonlijke

Nieuwsgierig?

personeelsfunctionaris. Zij kunnen mij om

Bel Chantal persoonlijk op 038-4674203 of

19:30 uur nog een vraag stellen!”

kijk op www.bcgroup.nl/werkmakenvanwerk voor meer informatie.

“Mijn opdrachtgevers zien mij als hun persoonlijke personeelsfunctionaris.” – Chantal Lubbers

INTERVIEW

Interview met Pieter Lacroix, Director Security van Sogeti

Zo weet je hoe veilig jouw organisatie is

Het valt niet altijd mee om security-budget te rechtvaar­ digen. Zeker omdat inzicht geven in de ROI een flinke uitdaging is. Inmiddels zijn de meeste bestuurders zich bewust van de toenemende cybercriminaliteit en strenge wet- en regelgeving rondom gegevensbescherming en datalekken. Dat zijn - kort door de bocht - de belangrijkste drijfveren voor het geld dat wordt besteed aan het beschermen van de digitale veiligheid van de organisatie. Maar wanneer weet je of je na die investeringen ook veilig bent? Het merendeel van de Chief Information Officers geeft aan dat cyberaanvallen helaas onvermijdelijk zijn. Nodeloos blijven investeren in security heeft dus geen zin. Maar het is wel prettig om te weten waar je staat. Pieter Lacroix, Director Security bij ICT-dienstverlener 22 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

Sogeti, vertelt wat in zijn ogen de beste aanpak daarvoor is. Over het hoe, wat en waarom van ‘redteaming’. Hoe is het volgens jou gesteld met de security-status van Nederlandse Top 500-bedrijven? “Het belang van een digitaal veilige organisatie is inmiddels onderwerp van gesprek in bestuurskamers. Dat was een aantal jaren geleden nog niet zo vanzelfsprekend. Het was vooral een uitdaging voor IT-afdelingen. Inmiddels is de veiligheid van een digitaal gedreven organisatie van zo’n groot belang, dat gealloceerde budgetten niet langer als kosten moeten worden beschouwd, maar als investeringen die direct bijdragen aan reputatie­beheer, vertrouwen van stakeholders en zelfs continuïteit van de organisatie.” Wat is er nodig voor een digitaal veilige organisatie? “Uiteraard moet een aantal fundamentele zaken op orde zijn ter verdediging van

cyber­dreigingen. Een veilige infrastructuur, applicaties en processen zijn daarvoor de uitgangs­punten. De meeste grote organisaties hebben dat inmiddels wel op orde. Echter, veiligheid is een dynamisch proces. Vandaag kun je bestand zijn tegen cyberinbraken, en morgen misschien niet meer.” Wanneer weet je of je je zaken op orde hebt? “Het treurige antwoord is eigenlijk dat je dat nooit 100% kan garanderen. Er zijn wel manieren om de veiligheid van een organisatie voort­durend te toetsen. Daarvoor hebben we bij Sogeti onze redteaming diensten opgetuigd.” Hoe profiteert een organisatie van Sogeti redteaming-expertise? “De meeste bedrijven hebben eigen security teams in dienst. Daarnaast doen ze vaak een beroep op externe expertise voor het testen van specifieke applicaties op zwakheden. Maar de uitdaging zit hem veelal in het holistische beeld en het kwaliteitsniveau van de veiligheid in brede zin. Security professionals zijn geen (ethische) hackers. Deze digitale inbrekers handelen anders. Die denken niet vanuit één bepaalde afdeling, applicatie, infrastructuur of proces. Bovendien kan een organisatie onbewust ook bedrijfsblind zijn. Dan kan een red team dat van buitenaf komt, uitkomst bieden. Zij zoeken als hackers naar allerlei manieren om zowel digitaal als fysiek in te breken.” Vertel eens hoe dat in de praktijk in zijn werk gaat? “Onze red team professionals gaan op zoek naar zwakheden op drie verschillende niveaus; de infrastructuur, applicaties plus mensen en processen. Voordat we werkelijk van start gaan, doen we in overleg met de klant een intake. Tijdens dit gesprek stemmen we bijvoorbeeld af welke informatie vooraf gedeeld wordt. Afhankelijk van de gegevens die het bedrijf wil prijsgeven, kiezen we voor een zogeheten white, grey of blackbox aanpak. Hoe meer informatie we vooraf krijgen, hoe efficiënter we ons werk kunnen doen. Zo kunnen we zoveel mogelijk doen in beperkte tijd. Uiteraard kan de klant ook kiezen voor een blackbox scenario. Dan gaan we zonder voorinformatie aan de slag. Na overeenkomst over de aanpak spreken we een window af waarbinnen ons red team

‘Het komt helaas voor dat een red team na een jaar opnieuw dezelfde zwakheden vindt’

actief zal zijn. Dat kan een specifiek moment zijn maar meestal komen we een termijn van twee tot drie maanden overeen. Zo weet de klant niet wanneer we toeslaan. Dat is natuurlijk ook de realiteit bij echte cyberaanvallen. Daarmee zijn onze bevindingen ook het meest waardevol.” Waar moet een goed red team aan voldoen? “Het is van groot belang dat het een multidisciplinair team is. De ethische hackers moeten thuis zijn in de wereld van applicaties en infrastructuur maar beschikken ook over psycholo­gische en communicatieve vaardigheden. Bovendien moeten ze inzicht hebben in de fysieke processen van een organi­satie. Inbreken hoeft niet altijd digitaal te gaan.” En wat levert zo’n red team dan op? “Het red team geeft inzicht in de zwakheden van de organisatie. De zogenaamde blinde vlekken. En daarmee krijg je eigenlijk antwoord op de vraag hoe veilig je organisatie nu echt is. De inzichten geven eveneens een gerichte aanleiding voor het nemen van maat­ regelen of het aangaan van dialoog met het manage­ment voor meer budget. Verder leert onze ervaring dat de opgedane kennis blue teams ook dwingt beter of anders te gaan samenwerken.” Hoe confronterend zijn de red team uitkomsten voor de interne security professionals? “Wat mij betreft helemaal niet. Als er nauwelijks zwakheden zijn gevonden, hebben de security experts het gewoon goed op orde. En als er wel zwakheden worden gevonden, is er aanleiding voor gesprek en verbetering. Dus ja, volgens mij heb je niks te verliezen. Natuurlijk moet een organisatie open staan voor kritiek en bereid zijn om vervolgens ook echt maatregelen te nemen. Het komt helaas voor dat een red team na een jaar opnieuw dezelfde zwakheden vindt.”

Serieus!? “Dat gebeurt wel. Eigenlijk hoeft dat niet per definitie een drama te zijn. Het kan ook een bewuste keuze zijn om bepaalde risico’s te accepteren. Het bedrijf weet zelf vaak beter dan wij wat de mogelijke impact is van bepaalde risico’s.” Is jouw advies om zo’n red team regel­matig aan de slag te laten gaan? “Veilig zijn is dus een dynamisch proces. Iedereen weet dat security­ ontwikke­lingen razend­snel gaan. Extra uitdagend in deze tijd waarin organisaties volop in hun digitale transformatie zitten. Dan kan het heel nuttig zijn regelmatig van buitenaf te laten toetsen hoe je ervoor staat. Een periodieke red team-actie geeft je structureel inzicht in de status van je veiligheid.” Waarom zouden organisaties voor een Sogeti red team moeten kiezen? “In tegenstelling tot niche spelers hebben wij als ICT-dienstverlener ervaren experts in huis die ook de taal van de business spreken. Dat is van groot belang, want ook de niet-IT-afdelingen moeten snappen wat nodig is voor hun (digitale) veiligheid. Wij hebben hackingdiensten gebundeld met een breed scala aan security-expertise en adviseurs. Zo zorgen we ervoor, dat gevonden zwakheden direct aangepakt kunnen worden en helpen we met het mitigeren van risico’s. Dit in tegen­stelling tot de grote consultancy bedrijven, die vaak met dikke rapporten binnenkomen zonder concrete technische oplossingen. Ik zou haast zeggen dat het testen van veiligheid in onze genen zit. We zijn niet voor niks groot geworden met het testen van software op functionaliteit, prestaties, snelheid, betrouwbaarheid èn veiligheid.” VAN DE REDACTIE

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 23

RAPPORT

‘Cryptojacking en versleuteld verkeer steeds groter

beveiligingsrisico’ Vincent Zeebregts, country manager Fortinet, kijkt naar 2019

24 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

Fortinet heeft deze maand het Global Threat Landscape Report gepubliceerd. Dit rapport analyseert bedreigingsinformatie die werd verzameld via miljoenen sensoren van Fortinet in alle delen van de wereld. Vincent Zeebregts, country manager Fortinet Nederland, vertelt waarom het rapport veel gebruikt wordt door bedrijven en organisaties die security hoog op de agenda hebben staan. “Het rapport brengt ieder kwartaal het bedreigingslandschap in kaart in plaats van een maal per jaar of half jaar. We bieden natuurlijk ook realtime threatinformatie, maar dit rapport stelt ons in staat om de laatste ontwikkelingen rond exploits, malware en botnets tot in detail te bespreken.”

De vier belangrijke bedreigingstrends die in het Global Threat Landscape Report voor het derde kwartaal van 2018 naar voren komen zijn volgens Zeebregts:

1. Cryptojacking zet de deur open voor andere bedreigingen Cryptojacking ontpopte zich het

afgelopen jaar tot een steeds belang­ rijkere bedreiging. Dit blijkt uit het feit dat het aantal platforms dat werd gebruikt om naar cryptomunten te zoeken in het derde kwartaal van 2018 een sprong van 38% maakte.

kwetsbaar. Zeker als ze ook een open BYOD-beleid hanteren. Dat komt omdat cybercriminelen mobiele apparaten steeds vaker gebruiken om toegang te krijgen tot bedrijfsnetwerken”, vertelt Zeebregts.

Zeebregts licht toe: “Organisaties beginnen te beseffen dat cryptojacking meer is dan alleen een lastig fenomeen dat de prestaties van hun computer­ systemen en IT-bronnen belast. We constateren een toename van het aantal varianten van cryptojacking-malware die beveiligings­oplossingen (zoals antivirussoftware) deactiveren, extra communicatiepoorten op firewalls openen en beheerdersaccounts toevoegen. Cybercriminelen zijn daarmee in staat om andere malware te verspreiden. Infecties met cryptojackingmalware resulteren daarmee niet alleen in diefstal van CPU-vermogen, maar vormen ook een springplank voor andere cyberaanvallen.”

3. Botnet-infecties zijn hardnekkiger dan ooit

2. Mobiele apparaten vormen een steeds grotere bedreiging Aanvallen op mobiele apparatuur hebben een steeds grotere impact op de netwerkbeveiliging. In het derde kwartaal van 2018 werd ruim een kwart van alle bedrijven getroffen door een aanval met mobiele malware. Het mobiele besturingssysteem Android is met afstand het meest populaire doelwit van cybercriminelen. Ter vergelijking: slechts 0,0003% van alle bedreigingen was op Apple’s iOS gericht. Dit probleem neemt grote proporties aan: maar liefst 14% van alle malwaremeldingen in het derde kwartaal had betrekking op Android. “Beveiligingsprofessionals die in hun security-strategie onvoldoende aandacht besteden aan mobiele bedreigingen maken hun organisatie daarmee uiterst

Hoewel het aantal botnet-infecties geen noemenswaardige stijging vertoonde, groeide het aantal dagen dat deze infecties aanhielden van 7,6 dagen tot 10,2 dagen. Volgens Fortinet wijst deze stijging van 34% erop dat botnetinfecties een geavanceerder karakter krijgen, moeilijker te detecteren zijn en lastiger om te verhelpen. “De langere infectieduur is echter ook te wijten aan het feit dat veel organisaties nog altijd nalaten om best practices op beveiligingsgebied toe te passen, zoals het patchen van kwetsbare apparatuur”, zegt Zeebregts. “Zij zouden gebruik moeten maken van tools zoals FortiNAC Network Access Control om elk apparaat binnen het netwerk in kaart te brengen, te segmenteren en te bewaken, met inbegrip van IoT-apparatuur. Dit combineer je vervolgens met de Security Audit Update Service die kwetsbaar­ heden in de IT-omgeving opspoort en praktische aanbevelingen aanreikt om die te verhelpen. Deze dienst kan worden ingezet om malware-epidemieën te voorkomen en om na het optreden van een beveiligingsincident na te gaan of het probleem volledig is verholpen.”

4. Versleuteld dataverkeer bereikt een recordhoogte Uit Fortinet’s analyse blijkt dat versleuteld dataverkeer voor het eerst meer dan 72% van al het netwerkverkeer vertegenwoordigt. Dat is een stijging van bijna 20% in één jaar tijd en van 55% ten opzichte van het derde kwartaal

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 25

Rapport

‘Het hoge percentage versleuteld verkeer levert serieuze problemen op voor traditionele detectie- en bewakingsoplossingen’ van 2017. Hoewel veel mensen het toenemende gebruik van encryptie als een positieve ontwikkeling voor de beveiliging zien, levert het hogere percentage versleuteld verkeer ook serieuze problemen op voor traditionele detectie- en bewakingsoplossingen. “Veel cyberbedreigingen maken gebruik van versleutelde communicatie om onopgemerkt te blijven”, weet Zeebregts. “Cybercriminelen zien de prestatie­ beperkingen die inherent zijn aan vrijwel alle firewall-apparatuur en intrusion prevention systems (IPS). Deze weerhouden organisaties ervan om versleutelde data te inspecteren zonder nadelige gevolgen voor de netwerk­ prestaties. Het gemiddelde prestatie­ verlies als gevolg van een grondige inspectie van netwerkpakketten bedraagt

maar liefst 70%. Dit maakt deze beveiligings­apparatuur vrijwel onbruikbaar in netwerken waarvan de prestaties van bedrijfskritisch belang zijn.” De meeste leveranciers van beveiligings­ oplossingen maken hun prestatie­ metingen voor de inspectie van met SSL versleuteld verkeer niet openbaar. Het prestatieverlies is volgens Fortinet ook een reden waarom veel van het huidige versleutelde verkeer simpelweg niet wordt geanalyseerd op kwaadaardige inhoud. Dit maakt het tot een ideaal medium voor cybercriminelen om malware te verspreiden of informatie naar buiten te smokkelen.

aanvalskanalen die ontstaan als gevolg van initiatieven op het gebied van digitale transformatie. Een beveiligings­ aanpak die meer van hetzelfde biedt is daarom gedoemd te mislukken. “De nieuwe bedreigingen die aan bod komen in ons Threat Landscape Report laten zien dat organisaties de laatste ontwikkelingen op beveiligingsgebied niet alleen nauwlettend moeten volgen, maar deze inzichten ook op slimmere wijze moeten toepassen. Het automa­ tiseren van beveiligingstaken zoals het installeren van patches, het analyseren van configuraties en logbestanden en het in kaart brengen en bewaken van met het internet verbonden apparatuur zou al flink helpen. Maar dat is slechts het begin. Organisaties moeten hun activiteiten op het gebied van digitale transformatie combineren met een even agressieve strategie voor het transformeren van hun beveiliging. Anders zullen ze slachtoffer worden van steeds inventievere cybercriminelen, en kunnen ze hun concurrentievermogen in de digitale economie verliezen”, aldus Zeebregts.

Samenvattend Cybercriminelen maken met succes misbruik van het groeiende aantal

26 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

VAN DE REDACTIE

BLOG

Zo lek als een (winkel)mandje

Webshops hebben zich massaal voorbereid op de drukte tijdens de feestdagen. Deze extra omzet is natuurlijk fantastisch, maar hebben ze wel de juiste maatregelen genomen? De kans dat een webshop getroffen wordt door een aanval is reëel en kan leiden tot grote (financiële) consequenties omdat de organisatie meestal volledig stilstaat. Volgens Gartner zijn de gemiddelde kosten van downtime 5.600 dollar per minuut. Met name tijdens de feestdagen kan downtime een significante impact hebben. Hoewel er al veel stappen zijn gezet om webshops veiliger te maken, zijn er nog steeds veel winkeliers die niet goed genoeg hebben nagedacht over hun webshop. Zij zien de webshop als een verlengstuk van hun bestaande winkel en besteden te weinig aandacht aan de cyberveiligheid. Het is noodzakelijk dat ook deze ondernemers maatregelen treffen, omdat cyber­ inbreuken een grote impact kunnen hebben op de omzet en reputatie van het bedrijf. Om nog maar te zwijgen over de eventuele boetes vanwege de meldplicht datalekken (GDPR/ AVG). Echter zijn er verschillende factoren waar rekening mee gehouden moet worden om een veilige webshop te realiseren. De eerste fout die retailers vaak maken, begint al bij het opzetten van de webshop. Veelal vergeten ze om kritisch te kijken naar de webhosting. Voor webshops is het bijvoorbeeld veiliger om gebruik te maken van dedicated hosting in plaats van shared hosting. Het is veiliger om gebruik te maken van een dedicated server of een VPS omdat deze alleen geschikt zijn voor één gebruiker. Meerdere gebruikers op dezelfde server via een shared host - brengt risico’s met zich mee als er een website tussen zit met beveiligingsfouten. De websites van alle gedeelde gebruikers kunnen hierdoor in gevaar komen. Daarnaast is het belangrijk om te zorgen dat een webshop is voorzien van een SSL (Secure Sockets Layer) certificaat. SSL is een encryptie tussen de browser en server die gevoelige informatie, zoals persoons- en betaalgegevens, kan versleutelen. Verder is het aan te raden dat de webshop PCI DSS compliant is. Creditcardmaatschappijen hebben deze regelgeving ingesteld als gevolg van het toenemend aantal diefstallen van creditcardgegevens. Als webshops een credit­ card als betaalmogelijkheid willen aanbieden, moeten ze voldoen aan deze eisen. Uiteraard is het belangrijk dat webshops naast deze maat­ regelen zorgen voor een solide security-oplossing voor alle apparaten. Vaak vergeten webshop-beheerders om hun mobiele apparaten te beveiligen. Dit is onverstandig, omdat het

perfecte doelwitten zijn om wachtwoorden te stelen. Cyber­ criminelen kunnen op deze manier gemakkelijk toegang krijgen tot het CMS systeem. Belangrijk is om daarbij altijd alle updates en patches, van bijvoorbeeld het WordPress of Drupal CMS, te downloaden. Zorg ervoor dat klanten sterke wachtwoorden gebruiken als ze inloggen bij de webshop. Het is tenslotte de verantwoordelijkheid van de winkelier om klanten te voorzien van een sterk wachtwoord. Monitor ook het netwerk regelmatig en weet wie waar toegang heeft tot het netwerk en welke apparatuur toegang heeft tot de systemen. Indien een webshop personeel heeft, is voorlichting cruciaal. Iedereen binnen de organisatie moet op de hoogte zijn van de risico’s. Het voltallige personeel kan bijvoorbeeld ieder jaar naar een lezing of workshop over cybercrime gaan. Om er zeker van te zijn dat er geen lekken zijn, kunnen winkeliers eventueel een penetratietest laten uitvoeren. Op deze manier kunnen nieuwe lekken worden ontdekt en is het mogelijk om de veiligheid van de webshop te verbeteren. Kortom, om succesvol te zijn met een webshop, gaat het niet alleen om de supply chain en het optimaliseren van de SEO. De veiligheid van een online winkel is tegenwoordig minstens zo belangrijk om de omzet te verbeteren. Daarnaast kan een slechte beveiliging ook een enorme impact hebben op de reputatie van het bedrijf, want wat zullen klanten denken als hun gegevens op straat komen te liggen? Hoewel de boven­ staande adviezen hierbij kunnen helpen, zijn webshops tegenwoordig dermate complex dat er, net als bij het beveiligen van een normale winkel, enige expertise bij komt kijken. Het is daarom verstandig om een externe specialist in te schakelen. Dit kan misschien wel duur zijn, maar een webshop zo lek als een (winkel)mandje kan ook een heleboel tijd, geld en stress kosten.

EDDY WILLEMS, Security Evangelist bij G DATA INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 2018 | 27

VISIE

Voorspelling F5 Networks:

Deze

zes trends gaan

2019 bepalen

28 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

1

Multi-cloud heeft de toekomst

Bedrijven zetten vol in op kennis en kunde van cloud en vooral op multi-cloud. Strategische inzet van multi-cloud helpt bedrijven bij het verschuiven van workloads naar publieke clouds die geschikt zijn voor specifieke taken. Het Future of Multi-Cloudonderzoek door F5 Labs laat zien, dat experts de inzet van multi-cloud als cruciaal zien voor de overlevingskansen van ondernemingen. Investeringen in de technologie worden steeds minder relevant, omdat de use-cases kraak­ helder zijn. Kunstmatige intelligentie en machine learning zijn van groot belang hierbij om de automatisering van processen te stimuleren.

2

Applicatieservices stimuleren innovatie

De populariteit van apps speelt zowel in de consumentenmarkt als bij zakelijke gebruikers. Het is cruciaal om te investeren in applicatie­ portfolio’s en infrastructuren. Hierbij moet balans zijn tussen effectieve controle en ruimte voor innovatie. Applicatieservices helpen hierbij. Ze zijn inmiddels veel verder dan de traditionele Applicatie Delivery Controllers en zijn software-defined, gekoppeld en makkelijk te implemen­teren. Het is nu mogelijk om losse services realtime te koppelen aan applicaties op basis van de actuele behoeftes. Hierdoor gaat de servicekwaliteit aanzienlijk omhoog, met positieve gevolgen voor beveiliging, beschikbaarheid en betrouwbaarheid, zelfs als de applicatie dit zelf niet in huis heeft. Deze upgrade van applicaties ongeacht hun locatie - levert bedrijven ongekende mogelijkheden op in 2019.

3

Bewustzijn en beveiliging

De kennisachterstand loopt met de digitalisering wel op. Dit heeft securityissues tot gevolg. Uit onderzoek van F5 Labs blijkt dat zo’n 38 procent van de bedrijven geen idee heeft waar welke applicaties draaien. Ook blijkt dat er weinig beveiligings­ maatregelen worden genomen om applicaties en gegevens binnen die

applicaties te beschermen. Een meerderheid test web-applicaties niet op kwetsbaarheden, heeft geen standaard testprocedures of is überhaupt niet op de hoogte of er testen worden uitge­ voerd. Bedrijven moeten inzicht krijgen in de applicatie-omgeving, om effectieve inzet van apps en beveiliging ervan te combineren. Komend jaar zal in het teken staan van verdere botbescherming, versleuteling van de applicatielaag, API-security en gedrags­ analyse.

4

De invloed van millennials wordt bepalender

De millennial-generatie wordt vaak als ‘lui’, ‘individualistisch’ en ‘moeilijk’ gedefinieerd, maar ze zijn onmisbaar met het oog op de skills gap in IT. Vrijwel alle sectoren hebben behoefte aan tech-savvy medewerkers. De vooroordelen moeten opzij worden gezet, want deze jonge mensen zijn specialisten op een ander niveau dan de huidige workforce.

5

Thingbots worden veelzijdiger

producenten van IoT-apparatuur sterker rekening gaan houden met security. Bedrijven moeten daarom zelf beschermingsmaatregelen treffen, zoals bot-detectie en DDoS-beveiliging. De verdediging moet op de applicatielaag worden doorgevoerd.

6

Super NetOps

Multi-cloud mogelijkheden en opkomende risico’s veranderen het speelveld. Gebruikers willen snelle en veilige services. In 2019 zal daarom de druk verder toenemen op traditionele IT-teams om programmeer­ baarheid zo veel mogelijk door te voeren en de aansturing en agility door te voeren die nodig is. Hierbij moeten NetOps, SecOps en DevOps teams beter leren samenwerken. Dat kan met zogeheten Super NetOps. Deze nieuwe systeemdenkers kunnen actief de samenwerking binnen organisaties stimuleren, zodat er snel, automatische applicatie-ontwikkeling wordt door­ gevoerd. Netwerkspecialisten zullen steeds meer leren hun kennis op een nieuwe manier in te zetten, zodat ze geïntegreerde service-providers worden, in plaats van ticket-verwerkers.

In 2018 werd bekend dat IoT-apparatuur het belangrijkste doelwit is van hackers. Dit kan proble­ matisch worden, zelfs levensbedreigend als kritieke infrastructuur wordt overgenomen via connected devices. Volgens het jaarlijkse Hunt for IoTrapport zijn zwakke inloggegevens inmiddels net zo gevaarlijk als IoTapparatuur. F5 Labs rapporteerde dertien Thingbots aan het einde van 2018, die door hackers ingezet kunnen worden als onderdeel van een botnet bestaande uit aaneengesloten apparatuur. Het beruchte Mirai botnet valt hier ook onder. Hoewel de DDoSaanval de meest gebruikte methode was, begonnen hackers in 2018 te experi­ menteren met het installeren van proxy-servers om aanvallen op te starten, crypto-jacking, het installeren van Tor-nodes en packet sniffers, DNS-kaping, credential stuffing en het aansturen van frauduleuze trojans. Waarschijnlijk moet er eerst heel veel omzetschade worden geleden, willen

WIM ZANDEE, presales director North & East EMEA bij F5 Networks

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 29

VISIE

Cybercrime omdat het kan

2019 wordt het jaar van vogelvrij intellectueel eigendom Bedrijven worden regelmatig geconfronteerd met weglekkende bedrijfs­geheimen. Dat kan grote schade tot gevolg hebben. De bescherming van deze geheimen is dan ook een van de belangrijkste prioriteiten voor 2019. Een eerste aanzet hiervoor is de Wet bescherming bedrijfsgeheimen die in oktober is aangenomen door de Eerste Kamer. Maar organisaties kunnen zelf ook maatregelen nemen om hun Intellectueel Eigendom te beschermen. 30 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

Uit het ‘Cybersecurity Beeld’ van het NCSC en het jaarverslag van de AIVD komt duidelijk naar voren dat cybercrime op de nationale agenda staat. Cybersecurity versterken op nationaal niveau is niet alleen noodzakelijk voor de bescherming van de vitale belangen van de Staat der Nederlanden, maar ook ter bescherming van het intellectueel eigendom van het Nederlandse bedrijfsleven. Zaken als cyber warfare en gesjoemel met verkiezingen zijn wellicht de meest in het oog springende voorbeelden van cybercrime, maar voor de BV Nederland is het vooral interessant dat er ook wordt gejaagd op intellectual

property (IP). En daarmee raakt cyber­ crime - wellicht voor het eerst - voelbaar de core business.

Bedrijfsgeheimen In de afgelopen maanden is in de media veel aandacht besteed aan de Wet bescherming persoonsgegevens en haar opvolger de AVG, maar in oktober is in Nederland ook de Wet bescherming bedrijfsgeheimen in werking getreden. Dat was niet voor niets. Bedrijven zijn voor hun concurrentiepositie en innovatief vermogen afhankelijk van de mogelijkheid om bepaalde informatie geheim te houden. Waarom investeren in de tijdrovende ontwikkeling van nieuwe producten of diensten als vervolgens een ander er onmiddellijk mee aan de haal gaat? Nu is diefstal van intellectueel eigendom op zich niets nieuws. Maar digitalisering en globalisering maken dit soort criminaliteit wel steeds makkelijker. Bovendien worden de economische gevolgen ervan groter. Om dat te beteugelen, is een wettelijk kader nodig. Het Europees Parlement heeft daarvoor in 2016 een richtlijn uitgevaardigd die ‘de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrecht­ matig verkrijgen, gebruiken en openbaar maken daarvan’ moet regelen. De Wet bescherming bedrijfsgeheimen is een uitvloeisel hiervan. De wet definieert een bedrijfsgeheim als informatie die geheim is, daarmee ‘handelswaarde’ heeft en dus geheim gehouden dient te worden. Door de wettelijke bescherming wordt het makkelijker voor bedrijven om concurrenten aan te pakken die met hun bedrijfsgeheimen aan de haal gaan.

Oorzaken en maatregelen Helaas laat de misdaad zich (per definitie) niet weerhouden door wettelijke kaders. De strategische waarde van intellectueel eigendom wordt vrijwel geheel bepaald door de mate waarin andere personen of partijen er niet over kunnen beschikken. Diefstal van IP is dus niet alleen aantrekkelijk om er zelf rijker van te worden, maar ook om anderen waarde te ontnemen. Het is een economisch wapen dat zowel voor individuele bedrijven als voor statelijke actoren buitengewoon aantrekkelijk is. Een wet die dit probeert te reguleren, is onmisbaar om tot vervolging over te

‘De meeste bedrijven zijn duidelijk nog onvoldoende opgewassen tegen cybercrime’

kunnen gaan. Maar als je als organisatie fors in IP hebt geïnvesteerd, wil je toch liever voorkomen dat je met dit soort praktijken te maken krijgt. Om te bepalen wat je tegen IP-diefstal kunt doen, is het goed je af te vragen waarom cybercrime überhaupt nog zo veel in het nieuws is. De digitale wereld is niet anders dan de fysieke wereld, in de zin dat criminaliteit nooit volledig is uit te bannen. Waar waarde is, is immers diefstal. Wat vreemd is aan criminaliteit in de digitale wereld is dat de meeste cybercrime schijnbaar weinig oplevert. Toch gebeurt het, want het is laag­ drempelig, eenvoudig en de pakkans is gering. Waarom is er zo veel cyber­crime? Omdat het kan.

Center). Hiermee voorkom je weliswaar niet dat je wordt aangevallen, maar het stelt je wel in staat direct maatregelen te nemen zodra je de eerste signalen oppikt die erop wijzen dat iemand je beveiliging heeft weten te omzeilen.

Goede verdediging Er zijn dus wel degelijk maatregelen te nemen tegen bedrijfsspionage. De Wet bescherming bedrijfsgeheimen biedt nu ook juridisch houvast voor een goede verdediging. Maar noch de wet, noch de beste experts en de slimste technologie, bieden hulp wanneer een organisatie en haar medewerkers de meest basale beveiligingsmaatregelen niet op orde hebben. Zolang daar niets aan verandert, is Intellectueel Eigendom - ook wettelijk gezien - vogelvrij.

Simple Things First Het NCSC schreef in het ‘Cyber­ securitybeeld 2018’ dat de digitale weerbaarheid van Nederland onder druk staat. Dat komt met name doordat cybercrime veel te makkelijk te realiseren is. Zelfs met heel eenvoudige middelen is het mogelijk toegang te krijgen tot bedrijfsnetwerken. Sociale media maken social engineering een peulenschil, omdat iedereen zijn hele hebben & houden op straat gooit. Technische oplossingen worden niet goed geconfi­ gureerd. Updates niet uitgevoerd. Mensen gebruiken onveilige producten of veilige producten op een onveilige manier. Er worden back-ups gemaakt, maar niet gecontroleerd of die back-ups voldoen. Men stormt de cloud in omdat die nu veilig zou zijn, maar controleert niet wat er in die cloud gebeurt. De meeste bedrijven zijn duidelijk nog onvoldoende opgewassen tegen cybercrime.

Hoe groot dat gevaar is, wordt waarschijnlijk pas duidelijk als een organisatie haar producten onder een andere naam op de markt ziet verschijnen. Als je als organisatie niet wilt dat 2019 het jaar wordt waarin dat gebeurt, is het nu zaak om met de business om tafel te zitten en cyber­ security gezamenlijk bovenaan de agenda te krijgen. Door er minimaal voor te zorgen dat de basale cybersecurity maatregelen geïmplementeerd zijn, kun je voorkomen dat je kostbare bedrijfsinformatie voor het grijpen ligt. FOKKE DIJKSMA, CyberSecurity Consultancy Lead bij Thales

Er zijn hele goede oplossingen voor cybersecurity en detectie op het allerhoogste niveau. Denk bijvoorbeeld aan een SOC (Security Operation INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 31

BLOG

‘Security moet je niet bezitten, secure moet je zijn’ Nu de digitale transformatie van bedrijven snel doorzet, zien bedrijven zich geconfronteerd met een snel complexer wordend security-vraagstuk. Security as a Service lijkt het model om bij te blijven in dit dynamische tijdperk. Security heeft lange tijd niet de aandacht gekregen die het verdiende; het was in feite iets dat achteraf in orde werd gemaakt. Gelukkig is de noodzaak van goede beveiliging anno 2018 wél doorgedrongen. De groeiende dreiging van cyber­ crime, het toenemend aantal datalekken, strengere wet- en regelgeving en het gevaar op reputatieschade, zorgt ervoor dat security momenteel een hot topic is - en vooral zou moeten zijn - voor IT-managers. Niemand wil van zijn directeur een Marc Zuckerberg maken die zwetend uit moet leggen waarom hij het beheer van persoonsgegevens van miljoenen gebruikers heeft veronachtzaamd.

Beveiliging en digitale transformatie IT-security aanpakken is een nobel streven, maar geen eenvoudige taak. Het beveiligingsvraagstuk is door de digitale transformatie bijzonder complex geworden. Cloud-technologie en de snelle groei van het aantal digitale devices maakt de locatie van data ambigue, waardoor het een grote uitdaging is te weten welke ogen toegang hebben gehad tot data. Wetgeving wordt steeds volwassener en strenger. De AVG is bijvoorbeeld echt een stap vooruit in de ontwikkeling van goede internet-wetgeving, maar geeft organisaties ook meer verplichtingen op het gebied van databeheer die niet vaak duidelijk zijn. En dan is er nog de ontwikkeling van het internet der dingen (IoT). Steeds meer apparaten communiceren via het internet met andere apparaten. Een geweldige ontwikkeling, maar toezicht houden op al dat dataverkeer is lastig en maakt de beveiliging van die data een uitdaging.

transformatie waar we nu in zitten. De belangrijkste plus is dat bedrijven zich kunnen richten op hun kerntaak. Supermarkt­ ketens, modewinkels en ziekenhuizen zijn voorbeelden van organisaties die in de basis geen technologiebedrijven zijn, maar wel uitstekend van technologie profiteren. Security kan voor hen een notoir hoofdpijndossier zijn. Door IT als dienst af te nemen, wordt dit opgelost. Men kan technologie opschalen wanneer men wil en men is flexibel in zijn uitgavepatroon. Daar komt nog bij dat je door as-a-service veel meer controle hebt op de beveiligingsstandaarden. Je kan bijvoorbeeld contractueel garanderen dat je met de laatste stand van de technologie werkt. Dat krijg je nooit voor elkaar als je zelf in mensen en middelen voor IT-beveiliging gaat investeren, apparatuur moet immers drie tot vijf jaar worden gebruikt, eer ze is afgeschreven. En vaak zijn er in de tussentijd al vernieuwingen en verbeteringen geweest. Natuurlijk dien je als bedrijf wel de nodige kennis van zaken te hebben om op niveau met je partner over de vereisten op het gebied van IT-security te praten. Maar dit weegt niet op tegen de voordelen die het dienstenmodel met zich meebrengt. Bovendien zijn goede IT-partners als AnyLinQ strategisch in staat om ook bij te dragen aan de kennisontwikkeling van een bedrijf (AnyLinQ heeft hier zelfs het model voor KaaS Knowledge as a Service). Mijn verwachting is dat de interesse van bedrijven in Security as a Service snel gaat toenemen. Want security moet je niet bezitten, secure moet je zijn.

Zelf de IT-beveiliging regelen is door de snelle digitalisering mijns inziens een bijna onmogelijke opgave geworden. Je moet dan immers zelf security-specialisten aannemen en die zijn niet makkelijk te vinden. Bovendien zijn er experts bij gespeciali­ seerde IT-partijen die het veel beter kunnen. De weg vooruit is het afnemen van IT-security als geheel en als dienst. Een betrouwbare partner regelt alle facetten op infrastructureel gebied die op dit gebied van belang zijn. En de IT-afdeling richt zich op het applicatiegebruik en de digitale weerbaarheid van het personeel. Er zijn veel voordelen te benoemen, is het aannemen van een eigen security-specialist nog wel nodig?

Voordelen van Security as a Service Security as a Service heeft een aantal belangrijke voordelen die dit model ideaal geschikt maakt voor de fase van digitale 32 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

ALBERT BREEDVELD, directeur Business Development & Partnerships bij Econocom

Kaspersky for Business

938 aanvallen in een minuut 7 beschermingslagen 1 oplossing Uw security is veilig bij ons. Wij bieden krachtige bescherming tegen bekende en onbekende dreigingen. Uitgebreid beheer en de gevoelige gegevens van uw bedrijf worden beveiligd door encryptie. www.kaspersky.nl Š 2018 AO Kaspersky Lab. All rights reserved. Registered trademarks and service marks are the property of their respective owners.

TECHNOLOGIE

MMOX wil security-afdelingen weer baas over eigen IT-omgeving maken

AI schiet security-teams te hulp Eindelijk komt er hulp voor de vaak zwaar overbelaste security-teams van bedrijven en overheidsinstellingen. Voelde hun werk tot nu toe vaak aan als dweilen met de kraan open, dankzij innovatieve AI-technieken kunnen zij eindelijk weer effectief optreden tegen cybercriminelen.

We weten het inmiddels allemaal: het handmatig blijven beveiligen van een middelgrote of grote IT-omgeving is onmogelijk. Hoeveel firewalls, intrusion detection-systemen en andere tools we ook installeren, cybercriminelen weten altijd weer gebruik te maken van een nieuwe zero-day threat of een minder gelukkig gekozen configuratie-instelling.

security-afdelingen nodig hebben om de IT-omgeving weer veilig te maken. Het maakt het mogelijk om veel security-taken volledig te automatiseren.

Geavanceerde tools Security automation maakt gebruik van een aantal nieuwe technologische ontwikkelingen, zoals Neural Networks, Polymorhic Sensors, Machine Awareness en Automated Data Monitoring. Deze technieken maken allemaal gebruik van AI. Ze zijn bedoeld om bedreigingen die we tot nu toe niet kennen (de zogeheten ‘zero-day threats’) toch tegen te houden. Denk hierbij aan DDoS, Brute Force, botnets, Advanced Persistent Threats (APT), phishing en malware.

Zelf-leren cruciaal Worstelen De kwaliteit van Nederlandse security-teams is zeer goed. Bovendien zijn de investeringen die bedrijven en overheidsorganisaties doen in security tools de afgelopen jaren fors gegroeid. Een van de problemen waarmee security-afdelingen echter blijven worstelen, is de enorme hoeveelheid meldingen die zij krijgen over security events. Want hoe meer security tools we installeren, hoe meer informatie security-specialisten binnen krijgen. En al die data moeten zij beoordelen op relevantie en ernst.

Door het inzetten van op AI-gebaseerde oplossingen kunnen security-afdelingen zich eindelijk weer volledig concentreren op hun kerntaak. Dat is het ontwikkelen van nieuwe strategieën en werk­methoden om de veiligheid van de business en zijn werkprocessen te garanderen.

Meer weten? MMOX heeft een jarenlange ervaring met het monitoren van het dark web, met threat intelligence en met het ontwikkelen van op AI gebaseerde securityoplossingen.

Extra hulp Gelukkig krijgen security-teams nu hulp in de vorm van op Artificial Intelligence gebaseerde security automation. AI vormt hét ultieme hulpmiddel dat 34 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

Wilt u meer weten over de mogelijk­heden die AI en security automation voor uw bedrijf of organisatie te bieden hebben? Kijk dan op www.mmox.co.

BANEN IN TECHNIEK, ICT, CHEMIE & LIFE SCIENCES Bètabanen is vernieuwd!

Met een breder platform, meer banen, extra plaatsingsmogelijkheden en scherpere prijzen. Bekijk vandaag de vernieuwde website nog! www.betabanen.nl

E-MAILBEVEILIGING

Lucien Barink van Cryptshare:

‘Steeds meer aandacht voor e-mailbeveiliging’ Hoewel e-mail zakelijk nog steeds het populairste online communicatiemiddel is, was er tot voor kort weinig aandacht voor de beveiliging ervan. Door de komst van de AVG begon men zich in een aantal sectoren achter de oren te krabben. Verschillende leveranciers van oplossingen voor ‘secure e-mail’, zoals de Nederlandse bedrijven Zivver en Skotty, sprongen als een bok op de haverkist. Cryptshare, sinds 2011 actief in Nederland, is één van de partijen die ziet dat de bewustwording rondom veilige e-mail en bestandsuitwisseling groeit. 36 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

Befine Solutions, het Duitse moederbedrijf van Cryptshare, werd opgericht als gespecialiseerde ontwikkelaar van maatwerksoftware in opdracht van een aantal verschillende Blue Chip-klanten. Eén van deze oplossingen was Cryptshare, dat in 2007 als pakketsoftware op de Duitse markt kwam. Aan de hand van klantvragen werd nieuwe functionaliteit aan het pakket toegevoegd. Ook breidde het bedrijf zijn werkterrein uit naar Nederland, het Verenigd Koninkrijk en de Verenigde Staten. Op dit moment heeft Cryptshare meer dan 4 miljoen gelicenseerde klanten in 40 verschillende landen.

Grote bestanden versturen Lucien Barink, general manager van Cryptshare in de Benelux, vertelt dat de oplossing in eerste instantie vooral gebruikt werd om eenvoudig en veilig via e-mail grote bestanden te versturen. “Daar zitten bij ons geen limieten aan. We hebben klanten die bestanden tot 100 GB versturen met Cryptshare. Denk bijvoorbeeld aan videobestanden of aan CAD-tekeningen in de offshoreindustrie.” Gaandeweg kwam er ook steeds meer belangstelling van organisaties die ook de inhoud van hun e-mailverkeer wilden beveiligen. De motivatie voor het beveiligen van e-mail verschilt per organisatie, licht Barink toe. “Zo deelt één van onze klanten, een groot vervoersbedrijf in Nederland, de planningen van wanneer welke chauffeur waarheen moet met de chauffeurs. Deze informatie is afkomstig van een maat­ werkomgeving die met behulp van een API direct is gekoppeld aan Cryptshare. De planning wordt via Cryptshare gedeeld met de desbetreffende chauffeur. De beveiligingssleutel is hun eigen chauffeurnummer, dat op hun pasje staat. Aan de andere kant hebben we klanten die zich uitermate bewust zijn van de gevoeligheid van de informatie waarmee ze te maken hebben. Dat varieert van advocaten­ kantoren tot en met industriële bedrijven die hun intellectueel eigendom willen beschermen.”

Goed nadenken Organisaties moeten vandaag de dag goed nadenken hoeveel vrijheid ze hun medewerkers willen geven in hun online communicatie met de buitenwacht. Daarbij moeten ze in het achterhoofd houden dat ze - wanneer ze ervoor kiezen om vooral te mikken op beveiliging - het risico lopen dat gebruikers naar alternatieven gaan zoeken om hun gebruiksgemak te behouden. Om ervoor te zorgen dat mensen het beleid van hun werkgever inzake veilige e-mail- en bestandsdeling volgen, moet de balans tussen eenvoud en beveiliging in orde zijn. Al naar gelang het bedrijfsbelang en daaraan gerelateerd het bewustzijn binnen de organisatie kan Cryptshare zo ingericht worden, dat gebruik ervan verplicht is voor het versturen van e-mail of wordt de keuze hiervoor bij de gebruikers

‘Organisaties moeten vandaag de dag goed nadenken hoeveel vrijheid ze hun medewerkers willen geven in hun online communicatie met de buitenwacht’

gelegd. Die moeten dan zelf bepalen of iets versleuteld verstuurd moet worden of dat dit niet nodig is. In dat geval is het risico dat er toch iets onbedoeld op straat komt te liggen natuurlijk wel wat hoger. Cryptshare biedt binnen die context volgens Barink een aantal voordelen, die hij als volgt omschrijft. “De beveiligde Cryptshare-server staat in het netwerk van de klant, die bepaalt of deze on-premise of bij een hosting-partij wordt geïnstalleerd. Wij verplichten de klant niet om hun data ergens te stallen. We kunnen binnen één bedrijf per werknemer, per afdeling en per situatie bepalen welke mail wel of niet via Cryptshare verstuurd moet worden en met welke parameters dat gebeurt. Dat kunnen we vooral bieden, omdat Cryptshare binnen de klantomgeving draait en niet in de cloud.”

Bewustzijn creëren De organisatie moet vooraf dus goed nadenken over de vraag hoe ze het systeem gaan inrichten. “Dat zie ik als een pluspunt”, zegt Barink. “Het creëert namelijk een bewustzijn van de communicatiestromen en van het nut van veilige e-mail en bestands­ uitwisseling.”

menig sector bezig. Ook bij Cryptshare komen er aanvragen binnen die overduidelijk getriggerd zijn door de regelgeving die bepaalt hoe organisaties moeten omgaan met de persoons­ gegevens in hun bezit. Met name in de zorgsector is er zoveel onduidelijkheid dat de NEN zich genood­zaakt zag om - onder druk van de markt en van de Autoriteit Persoonsgegevens - een NTH-werkgroep in het leven te roepen die begin volgende jaar een richtlijn moet opleveren voor de zorgsector en hun stakeholders. Barink zegt daarover: “Ik ben voorstander van dit initiatief om naar een minimum aan veiligheid voor e-mail toe te werken. Die moet bijdragen tot een betere besluitvorming bij de aanschaf van een systeem voor veilige communicatie. Binnen die normering moeten gebruiksgemak - voor de eindgebruikers én voor de IT-afdelingen - en veiligheid centraal staan. Het mag geen ‘beperkende’ norm worden in de zin dat het e-mailen of bestandsdeling moeilijker maakt.” VAN DE REDACTIE

Cryptshare beperkt haar klantenkring niet tot middelgrote en grote bedrijven. Met de introductie van Cryptshare Express begin 2019 wil Barink bijvoor­ beeld huisartsen adresseren. “Die oplossing is gericht op kleine organi­ saties en zelfstandigen die geen eigen server en eigen netwerk hebben voor het installeren van Cryptshare, maar wel veilig willen of moeten e-mailen.”

NTH-werkgroep Sinds begin dit jaar kan niemand er meer omheen - AVG heeft diepe indruk gemaakt op de BV Nederland en houdt

Lucien Barink van Cryptshare

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 37

VISIE

Een security

framework gebruiken geeft rust

Wanneer is een organisatie, systeem of product veilig genoeg? Deze vraag komen we in de praktijk veelvuldig tegen. En ondanks het feit dat we al heel lang actief zijn in de wereld van digitale beveiliging, valt hierop geen eenduidig antwoord te geven. Je hoort weleens: ‘zorg dat jouw systemen veiliger zijn dan die van jouw buren, dan breken ze bij jou niet in’. Maar dat gaat niet op voor bijvoorbeeld ‘targeted attacks’. Veel organisaties hebben wel allerhande maatregelen genomen op het gebied van digitale beveiliging, maar ze kennen hun (ware) risicoprofiel nog niet. Ondanks alle nadruk op cybersecurity en digitale weerbaarheid zijn nog veel organisaties ‘onbewust onbekwaam’ of ‘bewust onbekwaam’. 38 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

Secura is een kenniscentrum op het gebied van digitale veiligheid. Wij helpen onze klanten om de beveiliging op een hoger niveau te brengen. We benaderen het onderwerp digitale beveiliging op een holistische manier: mensen, proces en techniek (zie figuur). Het niveau van beveiliging zal op elk van deze domeinen goed geregeld moeten zijn, om een goede beveiliging van een organisatie met bijbehorende systemen en producten te waarborgen.

Standaarden en normenkaders Hoe kunnen we digitale veiligheid nu meer in kaart brengen? Onze ervaring is, dat het gebruik van standaarden en ‘security metrics’ hierbij helpt. Wij proberen deze te gebruiken om er mensen, processen en systemen tegenaan te houden, om zodoende een meer objectieve maatstaf te hanteren in het meten van security. Als het gaat om mensen, dan zijn er allerhande trainingsprogramma’s die helpen om mensen op een bepaald kennisniveau te krijgen. Dit kan variëren van awareness-programma’s tot ISACA- (bijvoorbeeld CISA, CISM) en ISC2- (denk aan CISSP) en EC-Council(CEH, ECSS) certificeringen. Deze garanderen niets, behalve dat een bepaald basiskennisniveau kan worden verondersteld bij de mensen die deze titels hebben.

‘Het resultaat van een expliciet beveiligingsbeleid en een security framework is, dat een organisatie op een evenwichtiger en meer proactieve manier met beveiliging om kan gaan’ Zo is er de OWASP Top 10 (in verschil­ lende varianten) voor webapplicaties. En kennen we de IEC 62443-standaard voor Industrial Control Systems (en andere embedded systemen). Voor cloud-applicaties bestaan er de guidelines van de Cloud Security Alliance (CSA). Voor IoT zijn er bijvoorbeelden standaarden van OWASP en van IoT Security Foundation. Er zijn specifieke standaarden in de maak voor de digitale beveiliging van auto’s (ISO-SAE AWI 21434) en medische apparatuur (ISO 14971). Elk van deze standaarden kan helpen bij het in kaart brengen en het vergroten van de volwassenheid van de digitale veiligheid van deze software, systemen en producten.

garantie bieden voor digitale veiligheid, maar het kan wel helpen om inzicht te verschaffen en om het algemene beveiligingsniveau te verhogen (en aan te tonen aan de buitenwereld). Het voldoen aan (internationale) standaarden is een manier of een taal om beveiliging op een compacte manier uit te drukken. Als je weet dat een product aan IEC 62443-4-2 voldoet, dan mag je daar een bepaalde verwachting aan hechten. Het mooiste is als het beveiligingsniveau dat wordt geambieerd door een organisatie, wordt samengevat in een Information Security Management System (ISMS) en een security framework. Het is van belang dat het gewenste beveiligingsniveau van een organisatie expliciet wordt benoemd en dat het juiste normenkader daaraan gehangen wordt.

Resultaat Het resultaat van een expliciet beveiligingsbeleid en een security framework is, dat een organisatie op een evenwichtiger en meer proactieve manier met beveiliging om kan gaan. Onze ervaring is dat het rust geeft. Minder achter de feiten aan rennen en meer gestructureerd werken. Beveiliging wordt daarmee niet meetbaar zoals een temperatuur of een elektrische stroom. Maar door het gebruik van (internationaal) erkende standaarden en normen wordt beveiliging wel meer inzichtelijk, transparanter en beter vergelijkbaar (benchmarks). Het kan helpen om meer ‘in control’ te komen.

Als het gaat om processen zijn er allerlei standaarden die controls voorschrijven om security te borgen. De meest bekende standaard is ISO 27001. Hierop bestaan allerlei varianten (NEN 7510, BIO, Cyber Essentials en andere). Verder zijn er allerhande standaarden voor softwareontwikkelprocessen (Secure Software Development Lifecycle) en assessments daarop (bijvoorbeeld OWASP SAMM). Ook hiervoor geldt dat het hebben van een certificaat geen garantie is op security, maar wel helpt in het verhogen van de security-graad binnen een organisatie (ook afhankelijk van het ‘statement of applicability’).

Security Framework

Kijken we naar techniek (software, systemen en producten), dan zijn er allerlei standaarden en guidelines die kunnen helpen om security te verifiëren.

De visie van Secura is, dat een klant goed in beeld moet hebben welke beveiligingsniveaus gewenst zijn binnen zijn organisatie qua mensen, processen en techniek. Het normenkader gaat geen

DIRK JAN VAN DEN HEUVEL is Managing Director van Secura

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 39

VISIE

WatchGuard Threat Lab schetst de security-trends voor het komende jaar

Vapor-worm

wordt groot in 2019

2019 wordt het jaar van de ‘vapor-worm’. Deze nieuwe vorm van fileless malware is in staat zichzelf te verspreiden via kwetsbare systemen. WatchGuard Technologies waarschuwt hiervoor in zijn ‘Security Predictions’ voor het komende jaar.

Het Threat Lab-onderzoeksteam van WatchGuard baseert zijn voorspellingen op een grondige analyse van belangrijke veiligheids- en dreigingstrends uit het bijna afgelopen jaar. Dit zijn de acht belangrijkste bevindingen:

eigenschappen. Het markeert de opmars van de vapor-worm, die zichzelf verspreidt door misbruik te maken van zwakke plekken in software. Eén ding is duidelijk: de vapor-worm wordt groot in 2019.

2. Aanvallers gijzelen het internet Een collectief van hacktivisten of zelfs een gehele natie opent in 2019 een gecoördineerde aanval op de infrastructuur van het internet. In 2016 toonde een DDoS-aanval op hosting­partij Dyn aan dat een enkele aanval op een hostingpartij of registrar grote websites neer kan halen. De conclusie? Het internet is steeds eenvoudiger te gijzelen door een DDoSaanval af te vuren op de zwakke plekken in de infrastructuur of de onderliggende protocollen te misbruiken.

1. Vapor-wormen duiken op Fileless malware is lastig te identificeren en blokke­ ren. Het kan volledig in het geheugen draaien zonder een spoor achter te laten op het geïnfecteerde systeem. Daar komt nog een extra uitdaging bij. Fileless malware krijgt in 2019 ‘worm-achtige’ 40 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

3. VN komt met cybersecurity-verdrag De Verenigde Naties treden in 2019 harder op tegen de talrijkere door staten gesponsorde cyberaan­ vallen. Met een internationaal cybersecurity-verdrag vormen ze een krachtig front tegen de vijand.

‘Cybercriminelen gaan voor steeds grotere aanvallen op het bedrijfsleven, overheden en zelfs de infrastructuur van het internet’

communicatievoorzieningen, alles ligt plat. Terroristen maken vervolgens van de chaos en angst gebruik om grote sommen geld onopgemerkt weg te sluizen. Fictie? Misschien wordt dit in 2019 realiteit. We weten inmiddels dat terroristen en natiestaten hiertoe in staat zijn.

7. Hackers veroorzaken stroomstoringen met ransomware

4. AI-gedreven chatbots in de aanval Cybercriminelen en black hat-hackers ontwikkelen het komende jaar kwaad­ aardige chatbots die ze inzetten op legale websites. Deze chatbots laten onwetende slachtoffers op geïnfecteerde links klikken, documenten vol malware downloaden en privé-informatie delen.

5. Hack biometrische beveiliging zet multifactorauthenticatie op de kaart

Hacker veroorzaken in 2019 chaos door industriële besturingssystemen en openbare nutsbedrijven te bestoken met ransomware. Met ernstige gevolgen, zoals langdurige stroomstoringen die een hele stad treffen. Het bedrag dat ze vragen voor het opheffen van de versleuteling neemt met ruim 6.500 procent toe, van gemiddeld 300 tot 20.000 dollar per aanval.

8. WPA3-wifinetwerken blijven kwetsbaar Verbeteringen aan de nieuwe WPA3encryptiestandaard weerhouden hackers er niet van om wifinetwerken aan te vallen. Daarbij maken ze gebruik van malafide access points (AP’s), Evil Twin AP’s of een van de zes bekende

dreigingscategorieën uit het Trusted Wireless Environment-framework. Zonder aanvullende beveiligings­ maatregelen in de wifi-infrastructuur zijn WPA3-gebruikers nog altijd kwetsbaar voor aanvallen. “Het dreigingslandschap verandert terwijl je ernaar kijkt. Cybercriminelen passen continu hun tactieken aan en gaan voor steeds grotere aanvallen op het bedrijfsleven, overheden en zelfs de infrastructuur van het internet”, zegt Corey Nachreiner, chief technology officer bij WatchGuard Technologies. “Rode draad in het verhaal is dat alle voorspelde dreigingen zijn te voorkomen. Zowel kleine als grote organisaties moeten alvast vooruitkijken welke bedreigingen de kop opsteken en zich voorbereiden op evoluerende aanvallen. Pas de afweersystemen daarop aan. Op die manier kunnen ze cyberaanvallen afslaan.” De complete 2019 Security Predictions vindt u op https://www.watchguard. com/2019Predictions. VAN DE REDACTIE

Biometrische authenticatie wordt steeds populairder, met dank aan bijvoorbeeld Apple’s FaceID. Inloggen met alleen een vingerafdruk of irisscan biedt echter onvoldoende veiligheid. Dat weten hackers ook. In 2019 kraken zij een populaire biometrische inlogmethode om vervolgens een grote aanval uit te voeren. Die aanval bevestigt nog eens de noodzaak van multifactor­ authenticatie.

6. Terroristen leiden aandacht af met ontwrichtende cyberaanval We kennen de taferelen uit de Die Hard-films: cyberaanvallen die een stad volledig verlammen. Van het openbaar vervoer tot aan de geldautomaten en de

Corey Nachreiner, WatchGuard Technologies INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2018 | 41

BLOG

OT-netwerken beveiligen met Skybox-beveiliging Operationele technologie (OT) netwerken en kritische infrastructuur die industriële controle en toezicht omvat en gegevensverwerving (ICS en SCADA) systemen worden steeds vaker aanvals­ doel voor de hedendaagse cyberattacker. Beveiligingscontroles geïmplementeerd op IT netwerken vertalen of integreren vaak niet met de OT milieu. Dit betekent dat malware of kwaadaardige aanvallers die gedetecteerd zouden worden via next-generation firewalls, pakketinspecteurs en preventiesystemen niet worden gevonden in het OT-netwerk. En een succesvolle aanval kan desastreuze gevolgen hebben, schade toebrengen aan de infrastructuur, diensten verstoren en de gezondheid en veiligheid van de werknemers of de klanten die zij bedienen. Legacy OT-netwerken (waarvan sommige jaren geleden werden geïmplementeerd) zijn vaak direct out-of-thebox aangesloten zonder aanpassingen of wijzigingen aan de oorspronkelijke configuratie. Het resultaat is dat er riskante configuraties zijn zoals standaard wachtwoordgebruik en gemakkelijk detecteerbare en exploiteerbare standaard­ instellingen. Waardoor ze zelfs kwetsbaar zijn voor beginnende hackers. Kwetsbaarheden en andere veiligheidsproblemen zijn ook aanwezig in de software en firmware in het besturings­ systeem binnen de netwerken en hun ontwikkelings­ methodologie was ontworpen en uitgevoerd in een landschap waar er andere bedreigingen golden. Deze verouderende technologieën missen encryptiemogelijkheden, principes voor gegevensvalidatie en andere breed gedragen ‘best practices’ op het gebied van beveiliging die sinds implementatie zijn geëvolueerd.

• Analyseer paden van elke bron naar elke bestemming binnen uw netwerken • Zoek overal in uw organisatie blootgestelde kwetsbaarheden en stel prioriteiten op basis van het netwerk context en informatie over bedreigingen • De beveiliging versterken om de uptime te handhaven en storingen te voorkomen

Hoe lost u dit op? Zichtbaarheid, consistentie en continuïteit zijn de sleutel tot het begrijpen en in kaart brengen van uw ICS en SCADA systemen en de integratie met uw IT-systemen voor een compleet beeld van uw aanvalsoppervlak. Bij SRC Secure Solutions hanteren wij de Skybox Security Suite wat de meest omvattende set cybersecurity management oplossingen biedt om IT- en OT-netwerken vanaf één platform te beveiligen. Met intelligente automatisering, context en volledige zichtbaarheid, Skybox vereenvoudigt het gebruik van middelen voor het beheer van het beveiligingsbeleid en kwetsbaarheidsrisico’s die aanwezig zijn op zowel uw IT- als OT-netwerken. Skybox integreert gegevens uit meer dan 120 netwerken en beveiligingstechnologieën, met inbegrip van OT-netwerk en beveiligingsbeheerplatforms. Deze gegevens zijn gebouwd in een uitgebreid model voor naadloze zichtbaarheid in alle omgevingen, waardoor een gedetailleerde, end-to-end oplossing mogelijk wordt.

Skybox as a Service Skybox as a Service vergroot de beveiligingsbeheermogelijkheden van de Skybox Security Suite. De service oplossing heeft dezelfde mogelijkheid om de zichtbaarheid op uw netwerk (zowel fysiek, cloud of hybride) als de applicaties die u op uw netwerk installeert. Daarbij zit er een versimpelde GUI management console bij. Skybox as a Service kan ook als Managed Security Service (MSS) worden geleverd. Kijk voor meer informatie op www.srcsecuresolutions.eu

Gezien de waarde van de activa en van de systemen die beheerd worden door OT-netwerken, is het geen wonder dat zij het doel zijn voor aanvallen. Organisaties die gebruik maken van dit soort netwerken zijn vaak verantwoordelijk voor de levering van energie, producten en defensie die gevolgen hebben voor de veiligheid en de economie van de samenlevingen die op hen vertrouwen. Er is geen ruimte voor fouten, ontwrichting of stilstand, zonder zicht op de apparaten, aansluitingen en veiligheidshouding van uw OT-netwerken, kritische aanval vectoren glippen door de scheuren.

Wat is er te doen? • Breng operationele en informaticanetwerken mee - inclusief virtuele en cloud-netwerkomgevingen - in een uitgebreid, visueel model van uw aanvalsoppervlak

42 | DECEMBER 2018 | NR. 5 | INFOSECURITY MAGAZINE

JAMES CHENEY, SRC Secure Solutions

ICT en Security Trainingen

Want security start bij mensen!! Next Generation Cybersecurity Training

Nieuw in 2019

TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatie beveiliging-, cybersecurity en privacy trainingen.

• Extreme Hacking NextGen tm • Cybersecurity Compliance Officer • Cybersecurity Specialist

Top 10 Security trainingen CEH • OSCP • CCSP • CCFP • CISSP • C|CISO • CRISC Privacy CIPP/E-CIPM • CISM • ISO 27001/27005/31000

• Certified Chief Innovation Officer • Red team vs Blue team

of t h e Ye a ATC r

Instructor

ident’s Achievemen Pres Award t

2017

2017

2016

TSTC Accredited Training Center of the Year 2017

Circle of Excellence Instructor 2017

2017

www.tstc.nl

Recognition for Best ATC’s and CEI’s

CyberSecurity Specialist? Hack your career at Sogeti. De top van het Nederlandse bedrijfsleven ĂŠn de overheid kiest voor Sogeti en haar cybersecurity expertise. Alle reden voor jou om hetzelfde te doen. Als CyberSecurity Specialist wil je immers niets liever dan opereren in de frontlinie van de ontwikkelingen en voorop lopen bij toporganisaties. En daar krijg je bij Sogeti alle ruimte voor. Naast een breed aanbod van trainingen, cursussen en certificeringstrajecten vind je bij ons de gaafste projecten. In uiteenlopende sectoren. Waar je ook aan de slag gaat, als CyberSecurity Specialist laat jij klanten zien dat cybercriminaliteit bij Sogeti geen kans heeft! Is cybersecurity jouw passie en wil jij onze klanten beveiligen? Hack your career! Kijk voor onze vacatures op www.sogeti.nl/cybersecurityspecialist