INFO
JAARGANG 14 - MAART 2015 - WWW.INFOSECURITYMAGAZINE.NL
SECURITY MAGAZINE
DAVE MAASLAND VAN ESET: ‘HET GAAT OM TOTALE IT-SECURITY’ PASSWORD S SSWORD ******** *
08 07 06 05 04 03 02 01 00
PASSWORD W
08 07 06 05 04 03 02 01 00
A
B
C
D
F
G
SPECIAL SECURITY-OPLEIDINGEN HOE VEILIG IS EEN PROGRAMMEERBARE INFRASTRUCTUUR? - ’PRIVACY HEEFT OMDENKEN NODIG’ - SECURITY INFORMATION & EVENT MANAGEMENT: TE MOOI OM WAAR TE ZIJN? - ENCRYPTIE IS BEZIG AAN EEN STEVIGE OPMARS - SELECTIE VAN DE BESTE APPLICATION DELIVERY CONTROLLERS - MODERNE SPIONNEN EN HOE DEZE DE HUIDIGE ONDERNEMING BEDREIGEN - BEVEILIGING VRAAGT OM CONTINUE AANPAK - INDUSTRIËLE INFRASTRUCTUUR ONDER VUUR
g
Colofon - Editorial
Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@fenceworks.nl. Uitgever Jos Raaphorst 06 - 34 73 54 24 jos@fenceworks.nl twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 robbert@fenceworks.nl twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel Advertentie-exploitatie Will Manusiwa 06 - 38 06 57 75 will@fenceworks.nl Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 info@fenceworks.nl
© 2015 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: www.infosecuritymagazine.nl
2
‘Klanten’
In deze editie van Infosecurity Magazine besteden we extra aandacht aan security-opleidingen. De klassieke aanpak op dit gebied is het volgen van een technische cursus of workshop. Op die manier leren we immers het verschil tussen normaal en abnormaal dataverkeer, leren we concepten als ‘Unified Threat Management’ doorgronden en zien we hoe we - als we daar tenminste budget voor krijgen - file-level security kunnen toepassen.
Peter Vermeulen van onderzoeksbureau Pb7 Research constateert in zijn artikel terecht dat we daarmee nog altijd niet ten volle begrijpen wat er aan de hand is. IT-security is meer dan een indrukwekkend aantal digitale sloten op de deur spijkeren. Het gaat ook en misschien wel vooral om de mens. Die maakt veel fouten. Meestal onbewust, maar er zijn natuurlijk ook individuen die - bijvoorbeeld - wraak willen nemen na een in hun ogen onterecht ontslag. Het laatste lossen we weer technisch op (intrekken van toegangsrechten en dergelijke), maar het eerste is vooral bewustwording. En goede procedures.
zij bij bekende aanbieders van big dataen business analytics-technologie als SAP en SAS Institute. Met de tools van dit soort aanbieders zoeken zij in de enorme hoeveelheden data die zij verzamelen over klanten, partners, transacties en dergelijke naar abnormale patronen. Patronen die kunnen duiden op oneigenlijk gebruik van procedures. Maar lang niet alle communicatie tussen bedrijf en klant (of ‘klant’) verloopt via online-formulieren of e-mails. Vaak wordt ook simpelweg gebeld naar een call center. Daar ‘babbelen’ dit soort criminelen zich redelijk soepel naar binnen. Van
‘Grote ondernemingen spenderen wereldwijd vele miljarden om dit soort misbruik tegen te gaan’ Stel nu dat we alle hiervoor genoemde maatregelen hebben genomen, zowel technisch als op menselijk vlak. Zijn we dan veilig? Toch niet, vrees ik. Er is namelijk nog een derde probleem: klanten. Of beter gezegd: mensen die zich als klant voordoen. Dit zijn fraudeurs, oplichters of hoe u hen ook wilt noemen. Zij praten zich bij een bedrijf naar binnen toe. Vaak op basis van een mooi verhaal over een apparaat of dienst waar een probleem mee zou zijn. Men wil dan uiteraard geld terug of iets dergelijks. Die groep blijft in de wereld van infosecurity nog vaak onbelicht. Het is meer iets voor een fraude-afdeling. De vraag is of dat terecht is. Want cybercriminelen lijken steeds vaker ook van dit kanaal gebruik te maken. Grote ondernemingen spenderen wereldwijd vele miljarden om dit soort misbruik tegen te gaan. Dat geld besteden
een koppeling met systemen en processen voor IT-security is geen sprake. Die integratie moet snel komen. Grote bedrijven zijn dan ook op zoek naar tools om alle big data-technieken te koppelen aan - bijvoorbeeld - audio-analyses. Dat verklaart de grote belangstelling van venture capital-firma’s voor bedrijven als Pindrop Security. Dit soort startups ontwikkelen technologie waarmee telefoontjes kunnen worden onderzocht: welke is afkomstig van een legitieme klant en welke van een potentiële frauderende ’klant’ of cybercrimineel? Dit soort tools laten zich prima koppelen aan bijvoorbeeld SIEM-oplossingen. Daarmee zetten we opnieuw een belangrijke stap in de strijd met de cybercriminelen. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
3
INHOUD
Vendor Neutral OpenStack Exam 9 Box breidt uit met key management 38 Artikel Netskope Security Information & Event Management: Te mooi om waar te zijn? 40 Security Information & Event Management (SIEM) is bezig aan een opmars. De belofte rondom deze technologie is groot: ‘Met het toepassen van deze technologie verkrijgt u zichtbaarheid over het volledige ITlandschap en kunt u afwijkingen ofwel ‘cyberincidenten’ identificeren’. Een terechte belofte? Of toch niet? Encryptie is bezig aan een stevige opmars 42 Encryptie, het versleutelen van informatie om deze onleesbaar te maken voor onbevoegden, wordt steeds belangrijker nu er veel meer aandacht is voor dataveiligheid en privacy dankzij onthullingen over de afluisterpraktijken van veiligheidsdiensten en de grote data hacks die in het nieuws komen. Denk aan de recent uitgekomen hack bij Gemalto. Encryptie is hot. Forrester heeft onlangs op basis van 52 criteria de belangrijkste leveranciers van endpoint encryptie in kaart gebracht. Sophos is koploper. 45 In drie stappen naar een veilig netwerk
BENEFITS:
EXIN® has launched an vendor-neutral OpenStack cloud certification called EXIN Foundation Certification in OpenStack Software. This exam is aimed at ICT professionals who want to have their basic knowledge and understanding of OpenStack being tested and certified. Later on in 2015 a more technically oriented OpenStack certification aimed at developers and programmers will be launched.
• Confirms competence in OpenStack technology • Extensive options for further education • Alligned with Cloud certification program • Available in multiple languages
ABOUT EXIN 30 years of experience in certifying the competences of ICT professionals Unmatched international recognition: EXIN Holding B.V. is the global independent certification institute for ICT-professionals. With 30 years of experience in certifying the competences of over 2 million ICT-professionals, EXIN is the leading and trusted authority in the ICT-market. EXIN is co-initiator of the eCompetence Framework and the original developer of ITIL® exams. With over 1000 accredited partners EXIN facilitates exams and e-competence assessments in more than 125 countries and 20 languages. EXIN has strategic knowledge partnerships and expertise cooperation with companies such as Microsoft, IBM and EPI. www.exin.com 4EXIN® is a Registered Trade Mark of EXIN.
ITIL® and PRINCE2® are Registered Trade Marks of AXELOS Limited.
48 Moderne spionnen en hoe deze de huidige onderneming bedreigen Beveiliging vraagt om continue aanpak 50 De security-branche wordt nu al geconfronteerd met uitdagingen die bepalend zullen zijn voor het bedreigingslandschap van morgen. Globalisering op de werkplek, Internet of Things en de enorme snelheid waarmee we zakendoen. Al deze ontwikkelingen maken het moeilijk om de steeds geavanceerdere cyberbedreigingen af te slaan en de beveiliging van het bedrijfsnetwerk op peil te houden. Een van de beste manieren om deze problemen op te lossen, is het hanteren van een proactieve, continue beveiligingsaanpak. Het is simpelweg niet langer toereikend om de beveiliging zo nu en dan onder de loep te nemen. Cybercriminelen bestoken bedrijfsnetwerken onophoudelijk en organisaties moeten hierop reageren met continue beveiliging. 52 Industriële infrastructuur onder vuur 54 Legal Look
16-37 SPECIAL SECURITY-OPLEIDINGEN
‘HET GAAT OM TOTALE IT-SECURITY’
6
In de IT-beveiligingsbranche is er inmiddels wel consensus over: de traditionele Antimalwarebenadering is niet langer afdoende. Het gaat nu om totale IT-security. Beveiligingsspecialist ESET lanceerde daarom begin 2015 een compleet nieuw beveiligingsportfolio, dat weliswaar voortbouwt op de bekende NOD32-technologie maar voor de rest van de grond af is ontworpen en opgebouwd om moderne bedreigingen tegen te gaan. “We zijn hiermee als het ware de alarmcentrale van organisaties voor wat betreft het veilig houden van hun IT-omgeving”, zegt Dave Maasland, managing director van ESET Nederland.
HOE VEILIG IS EEN
PROGRAMMEERBARE INFRASTRUCTUUR?
10
Veel mensen zien software-defined networking als een van de grootste veranderingen in de IT sinds de verschuiving van mainframes naar desktops. Overigens zijn het niet alleen LANs’, WAN’s en datacenternetwerken die consequenties ondervinden van deze verschuiving. Software krijgt steeds meer dominantie in alle onderdelen van de IT-infrastructuur en daar is een goede reden voor. Op software gebaseerde systemen beloven meer flexibiliteit, schaalbaarheid en automatisering. De gedachte is dat de volledige IT-omgeving direct op afstand te programmeren is. Daarmee is beter in te spelen op de dynamiek, waarmee organisaties tegenwoordig te maken hebben. Maar hoe veilig is zo’n programmeerbare infrastructuur eigenlijk?
’PRIVACY HEEFT OMDENKEN NODIG’
12
De huidige staat van online-privacy in Nederland is zorgwekkend. Consumenten zeggen veel belang te hechten aan privacy. Woorden en daden blijken echter twee verschillende dingen. Dit blijkt uit onderzoek in opdracht van Kaspersky Lab. De onderzoeksuitkomsten waren aanleiding voor een privacy-debat met vooraanstaande experts.
SELECTIE VAN DE BESTE
APPLICATION DELIVERY CONTROLLERS
46
IT-apparatuur moet om de zoveel tijd vervangen worden. Een goed moment om te bepalen of een toepassing nog wel geschikt is, of dat er betere alternatieven zijn. Eind 2014 waren de load-balancers van Avans Hogeschool aan vervanging toe. De IT-afdeling startte samen met afstuderend student Alexander Petrov een onderzoek naar het beste alternatief. Dit ging vele verder dan een gebruikelijke inventarisatie en aanbesteding. Een uitgebreide praktijktest met gewogen scores leidde uiteindelijk tot het gewenste resultaat. INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
5
DAVE MAASLAND VAN ESET
‘HET GAAT OM TOTALE
IT-SECURITY’
In de IT-beveiligingsbranche is er inmiddels wel consensus over: de traditionele antimalwarebenadering is niet langer afdoende. Het gaat nu om totale IT-security. Beveiligingsspecialist ESET lanceerde daarom begin 2015 een compleet nieuw beveiligingsportfolio, dat weliswaar voortbouwt op de bekende NOD32-technologie maar voor de rest van de grond af is ontworpen en opgebouwd om moderne bedreigingen tegen te gaan. “We zijn hiermee als het ware de alarmcentrale van organisaties voor wat betreft het veilig houden van hun IT-omgeving”, zegt Dave Maasland, managing director van ESET Nederland. ESET timmert al sinds 1992 aan de weg met zijn NOD32-technologie, die zich onderscheidt door weinig systeembe-
lasting. Maasland noemt Nederland een belangrijke markt, omdat het softwaregebruik en de internetpenetratie uitzon-
derlijk hoog zijn. “Dat is ook de reden dat het hoofdkantoor van ESET in Slowakije op de voet volgt waar wij in Nederland tegen aan lopen”, zegt Maasland. Hij wijst erop dat er in Nederland weliswaar veel zorg en aandacht is voor IT-security, maar dat het altijd nog beter kan. “Bij de grote bedrijven staat de problematiek hoog op de agenda en zijn er ook de middelen beschikbaar om te investeren in beveiliging. In het mkb en daaronder is dat anders. Veel mkb’ers denken dat ze geen interessant doelwit zijn, omdat ze geen bank of grote entertainmentonderneming zijn. Maar ook zij zijn kwetsbaar. Het gaat cybercriminelen uiteindelijk altijd om informatie die je kunt verkopen of
gebruiken. Daarbij is niet langer een virus dat via de mail je pc besmet het grote probleem. Het is nu vooral verouderde software. Zorg er dus voor dat al je systemen volledig up-to-date zijn. Dat maakt je minder kwetsbaar.” INTEGRALE AANPAK Volgens Maasland kunnen organisaties tegenwoordig niet zonder een integrale securitybenadering. “Je moet kijken naar je endpoint beveiliging, je authenticatie en je encryptie. De afstemming tussen deze drie zaken is cruciaal voor een goede beveiliging. Omdat dit niet eenvoudig is, zie je dat leveranciers als ESET zich meer en meer richten op advies. Losse oplossingen verkopen is niet meer van deze tijd. Je levert inzicht en advies aan een klant en biedt aansluitend een combinatie van software aan waarmee de klant zijn security optimaal kan inrichten. Zo stel je organisaties ook in staat om in te spelen op nieuwe ontwikkelingen als Bring Your Own Device (BYOD). Veel organisaties houden die trends af omdat ze niet kunnen overzien wat het betekent voor hun IT-beveiliging. Wij helpen dan met het in kaart brengen van bedreigingen en mogelijkheden. Het tegenhouden van dit soort ontwikkelingen lukt sowieso niet. Je kunt dus maar beter zorgen dat je voorbereid bent.” Maasland wijst er in
6
dit verband op dat de ene branche andere behoeften heeft dan de andere. “In de zorg is er bijvoorbeeld sprake van veel uitwisseling van data en bestanden en tegelijkertijd weinig gebruikersaffiniteit met IT. De overheid heeft te maken met krappe budgetten en tal van compliance-eisen. In de financiële dienstverlening gelden weer andere uitdagingen, zoals complexe databases en klantinformatiesystemen. Wij kijken dag in, dag uit naar de trends in deze en andere branches, verzamelen data en delen die zodat klanten zich beter kunnen wapenen tegen bedreigingen.” OMVANG Volgens Maasland moeten we de omvang van de wereldwijde cybercriminaliteit niet onderschatten. “Volgens serieuze schattingen gaat er in deze wereld anderhalf keer meer geld om als in de internationale drugshandel. Dat maakt het tot een serieus probleem. Net als in de drugshandel gaat het cybercriminelen altijd om geld. Of ze verkopen de data die ze stelen of ze gebruiken gestolen gegevens om een organisatie of privépersoon te chanteren. Data wordt gegijzeld en pas als je betaalt, kun je er weer bij. We zien nu overigens wel dat er langzamerhand initiatieven ontstaan om overheden en bedrijven meer te laten
samenwerken, zoals dat ook in de fysieke wereld gebeurt bij de bestrijding van de drugshandel. Dat is van belang als je bedenkt hoe cruciaal een solide IT-infraLANCERING NIEUW ESET-PORTFOLIO ESET lanceerde begin 2015 zijn volgende generatie portfolio van IT-securityproducten voor de zakelijke markt dat vanaf de grond is ontworpen en gebouwd. Het bedrijf werkte in 2014 aan een wereldwijd gebruikersonderzoek en analyseerde de bevindingen. Deze vormden de basis voor de nieuwe reeks van beveiligingsproducten die eerst in de Verenigde Staten op de markt kwam. ESET Remote Administrator vormt het hart van het nieuwe ESET-productportfolio. Deze platformonafhankelijke console voor remote management is opnieuw gebouwd om meer gebruiksgemak, beveiliging en lagere implementatie- en beheerkosten te bieden. De console beschikt over een ingebouwd task-managementsysteem dat downtime minimaliseert en voorziet in het geautomatiseerd uitvoeren van acties op basis van dynamisch groepslidmaatschap.
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
7
DAVE MAASLAND VAN ESET
ENCRYPTIE
BOX BREIDT UIT MET KEY MANAGEMENT Box heeft de Box Enterprise Key Management-dienst (EKM) gelanceerd. Hiermee probeert het bedrijf een combinatie te zoeken tussen strenge beveiliging enerzijds en gebruiksgemak (bijvoorbeeld eenvoudige synchronisatie van bestanden) anderzijds. “Sectoren als financiële dienstverlening, overheid, advocatuur en gezondheidszorg worden geconfronteerd met nieuwe uitdagingen bij het behoud van de controle over hun content en bij het beheren van de toegang tot die content, zonder dat dit een negatieve invloed heeft op de samenwerking en productiviteit”, zegt Aaron Levie, medeoprichter en CEO van Box. “Met EKM verwijderen we de laatste barrière voor cloud-gebruik voor bedrijven die behoefte hebben aan de beste beveiliging van hun gegevens.” structuur is voor onze economie. Als het internet langdurig zou uitvallen, hebben we een enorm probleem.” TRENDS 2015 Volgens Maasland laat het jaarlijkse trendrapport van ESET voor 2015 vijf belangrijke trends zien op beveiligingsgebied. “In de eerste plaats moeten we rekening houden met een toename van de Advanced Persistent Threats (APT). Deze zijn doelgericht en bijna niet te traceren. Dat vereist continue aandacht voor onregelmatige of afwijkende gedragingen in je netwerk en applicaties. In de tweede plaats blijft social engineering de belangrijkste aanvalsvector. Daarom is continue
bewustwording binnen de organisatie cruciaal. Social engineering wordt steeds geavanceerder en vraagt daarom awareness op alle niveaus binnen de organisatie. Als derde trend zien we dat betalingssystemen in de retail kwetsbaar blijven voor zero day-aanvallen. Er zijn voorbeelden te over van grote, bekende winkelketens waar betaalpasinformatie werd gestolen door het vervangen van betaalterminals of het skimmen van betaalpassen. De gevolgen voor de reputatie van deze bedrijven zijn natuurlijk desastreus. De vierde trend is de toename van ransom-ware waarvan we in 2014 ook in Nederland de nodige voorbeelden hebben gezien. Na het infecteren van je pc of laptop worden je bestanden versleuteld en krijg je de sleutel pas als je betaalt. Dit is te omzeilen met een goede back-up van je belangrijke bestanden en goede up-to-date software. Ook ransom-ware maakt graag gebruik van zwakheden in verouderde software. Tot slot is er het Internet of Things dat weer een heel nieuw perspectief biedt voor kwaadwillenden. De eerste voorbeelden hebben we al gezien: de elektrische sportwagen van Tesla is al gehackt en smart-tv’s blijken back-doors te hebben die ook voor hackers interessant kunnen zijn.”
HOSTILE ENVIRONMENT Volgens Maasland is het zaak dat producenten van apparaten die aan het internet worden gehangen al in de eerste fase van de productontwikkeling security meenemen in de ontwerpen. “Al die devices komen terecht in een ‘hostile environment’. Daar kun je dan ook het beste vanaf dag één rekening mee houden Criminelen gaan altijd voor het low hanging fruit. Je moet er dus voor zorgen dat daar zo weinig mogelijk sprake van is.”
OVER ESET Sinds 1987 ontwikkelt ESET bekroonde beveiligingssoftware die meer dan 100 miljoen gebruikers helpt om technologie veiliger te gebruiken. Het brede portfolio aan beveiligingsproducten omvat alle populaire platformen en biedt bedrijven en consumenten over de hele wereld de perfecte balans tussen prestaties en proactieve bescherming. Het wereldwijde verkoopnetwerk beslaat 180 landen en regionale kantoren in Bratislava, San Diego, Singapore en Buenos Aires. Het kantoor in Sliedrecht telt 27 beveiligingsspecialisten die klanten helpen bij het beveiligen van hun data en applicaties.
TRADITIONELE BENADERING De traditionele benadering van door de klant beheerde encryptie belemmert de mobiliteit, bruikbaarheid en eenvoud van cloud services die essentieel zijn voor productiviteit. EKM Box introduceert een aanpak voor bedrijven met volledige single-tenant controle over hun encryptie-
sleutels en audit-logboeken. “Bedrijven van elke omvang zijn nu bezig met het implementeren van nieuwe applicaties en het verplaatsen van activiteiten naar de cloud om hun behendigheid te verhogen, producten sneller naar de markt te brengen en om de klantervaring te transformeren”, aldus Adam Selipsky, Vice President, Amazon Web Services. “Veiligheid is een topprioriteit voor ons. De AWS Cloud-infrastructuur is gebouwd voor de meest flexibele en veilige cloud computing-omgevingen die vandaag beschikbaar zijn. We zijn verheugd om met Box samen te werken en AWS CloudHSM te gebruiken om een nieuwe generatie van zakelijke productiviteit en samenwerking te stimuleren binnen organisaties die het hoogste niveau van beveiliging en naleving van de regelgeving vereisen.” “Informatiebeveiliging blijft een kritische
'Een betrouwbare oplossing voor het beschermen van de meest gevoelige gegevens voor bedrijven en organisaties die geen compromissen willen op het gebied van gegevensbeveiliging en toegangsbeheer'
Aaron Levie
overweging voor organisaties wanneer zij oplossingen, diensten en applicaties naar de cloud verplaatsen”, zegt Prakash Panjwani, senior vice president van Identity and Data Protection, Gemalto. “Gemalto en Box bieden een betrouwbare oplossing voor het beschermen van de meest gevoelige gegevens voor bedrijven en organisaties die geen compromissen willen op het gebied van gegevensbeveiliging en toegangsbeheer in ruil voor de flexibiliteit en functionaliteit van de meest populaire productiviteitstools.” “In een toenemend aantal gebruikssituaties, zoals BYOD-scenario’s (bring your own device) en cloud-situaties, kan het misbruik van vertrouwelijke gegevens alleen worden beperkt door betrouwbare en efficiënte encryptietechnieken”, stelt Jay Heiser, Research VP bij Gartner. “Kopers van cloud services en mobiele apparaten moeten eisen dat providers de mogelijkheid bieden voor beheer van eigen encryptiesleutels. Alleen door het beheer van hun eigen sleutels kunnen organisaties ervoor zorgen dat buitenstaanders niet heimelijk toegang tot die sleutels kunnen verkrijgen.”
Dave Maasland 8
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
9
SOFTWARE-DEFINED NETWORKING
HOE VEILIG
IS EEN PROGRAMMEERBARE INFRASTRUCTUUR? Veel mensen zien software-defined networking als een van de grootste veranderingen in de IT sinds de verschuiving van mainframes naar desktops. Overigens zijn het niet alleen LANs’, WAN’s en datacenternetwerken die consequenties ondervinden van deze verschuiving. Software krijgt steeds meer dominantie in alle onderdelen van de IT-infrastructuur en daar is een goede reden voor. Op software gebaseerde systemen beloven meer flexibiliteit, schaalbaarheid en automatisering. De gedachte is dat de volledige IT-omgeving direct op afstand te programmeren is. Daarmee is beter in te spelen op de dynamiek, waarmee organisaties tegenwoordig te maken hebben. Maar hoe veilig is zo’n programmeerbare infrastructuur eigenlijk? Stephen Mills, Global Security Consulting Product Manager en Gary Middleton, Business Development Manager for Networking bij Dimension Data vinden dat de branche nalaat kritische vragen te stellen over beveiliging. Hoe kwetsbaar
is een programmeerbare infrastructuur? En als de risico’s groter zijn dan bij een hardware-georiënteerde omgeving, hoe kan software-defined beveiliging dan bijdragen aan het verlagen van risico’s?
OPKOMST Middleton wijst erop dat de programmeerbare infrastructuur weliswaar nog in de kinderschoenen staat, maar dat het niet lang meer zal duren voordat het een realiteit is in de ICT-branche. “We zien al orkestratie- en automatiseringstechnologieën in het datacenter en software-defined LAN’s en WAN’s die voor betere ondersteuning zorgen van applicaties en technologieën. Er wordt in de branche ook al gesproken over programmeerbare mobiliteitsoplossingen en beveiligingsinfrastructuren.” De route richting programmeerbaarheid wordt vooral gedreven door de open source-beweging - zoals Open Stack en de orkestratietools die steeds meer worden ingezet. Middleton noemt ook de opkomst van de DevOps-benadering. “In essentie maakt die het mogelijk om de infrastructuur voor een bepaald zakelijk doel te programmeren terwijl de infrastructuur draait. Hetzelfde team is verantwoordelijk voor de ontwikkeling én de bedrijfsvoering. Vandaar de term development operations. Facebook bijvoorbeeld, voert wel dertig infrastructuurupdates per dag uit met gebruik van DevOps-technologie. Dat is een tempo dat in een hardware-omgeving ongehoord is. Wij zijn al begonnen met het verschuiven naar een flexibeler manier van het runnen van ICT-infrastructuren. Dat is mogelijk door software. Er blijft altijd behoefte aan hardware, maar we gaan ervan uit dat de hardware-laag langzamerhand steeds dunner zal worden op alle infrastructuuronderdelen.” BEVEILIGING EN RISICO’S “Het is waar dat de programmeerbare infrastructuur nog aan het begin staat”, zegt Mills. “Dat zorgt voor meer risico’s omdat de branche nog geen inzicht heeft in de volle breedte van bedreigingen. Veel
10
'Software krijgt steeds meer dominantie in alle onderdelen van de ITinfrastructuur' technologie die we tot nu toe hebben gezien, is niet ontwikkeld en geïnstalleerd met het oog op beveiliging. Sterker nog: de software-defined infrastructuur als brede beweging heeft zich vanaf de start niet bekommerd om beveiliging. De beveiligingsindustrie loopt nu achter en moet opgeleid worden. We moeten weten wat de bedreigingen en risico’s zijn en wat ze voor iedere organisatie specifiek betekenen.” “In de traditionele beveiligingswereld gebruikten we hardware in de vorm van netwerkpoorten om de luiken te sluiten”, zegt Mills. “Wanneer je poorten dicht zijn, is de infrastructuur beschermd tegen bedreigingen. Vergelijk het met een slotbrug van een kasteel. Dat is nu anders. De applicatielaag domineert de infrastructuur. Die moet daarom open zijn, omdat anders de business schade lijdt. Dit is een probleem voor de beveiliging, omdat de omgeving ook openstaat voor ongeautoriseerde toegang.” “In de afgelopen zes tot zeven jaar is de manier waarop we applicatiebeveiliging evalueerden veranderd”, stelt Mills. “Nog niet zo lang geleden was dit voor ons een compleet nieuw terrein. Nu is het onderdeel van ons DNA. Wij moeten nu ook kennis hebben van de applicatielaag, omdat de programmeerbare infrastructuur zich daar bevindt.” HET BEVEILIGEN Middleton en Mills zijn het erover eens dat de basisprincipes van beveiliging ook bij de inzet van nieuwe technologie gelden, of het nu gaat om mobility, de cloud of software defined netwerken. Middleton: “De programmeerbare infrastructuur is weliswaar een belangrijke technologische trend met een belangrijke impact. Niettemin moeten organisaties continu blijven letten op de beveiligingsaspecten.” Mills voegt daar aan toe: “Dit onderstreept nog eens het belang van een consistente benadering voor een ar-
chitectuurraamwerk voor beveiliging. Uiteraard zul je op detailniveau verschillen en variaties zien, zoals de tooling die je gebruikt. Maar in de breedte zijn de benadering en de processen gelijk.” “Bij informatiebeveiliging gaat het om de data”, benadrukt Middleton. “En de drie pijlers van databeveiliging zijn: vertrouwelijkheid, integriteit en beschikbaarheid. Deze drie zijn ook relevant bij het beveiligen van een programmeerbare infrastructuur. Beleid is de eerste stap. Wanneer je overweegt een programmeerbare infrastructuur in te zetten, moet je je beveiligingsbeleid updaten. Daarna is het zaak om de juiste beveiligingsmiddelen te kiezen voor het beschermen van de infrastructuur. In een software-defined omgeving zijn deze middelen software georiënteerd. Dat betekent dat de aanvalsmogelijkheden toenemen. Software-gebaseerde systemen zijn immers op afstand te configureren. Je moet dus meer beveiliging implementeren rond de toegang tot software om bijvoorbeeld het toevoegen van niet-geautoriseerde of kwaadaardige code te voorkomen. “De branche moet op dit moment nog bepalen hoe dat het beste kan. De focus heeft tot nu toe vooral gelegen op het gebruik van software defined netwerken om data sneller heen en weer te verplaatsen. Er is nog niet veel aandacht besteed aan de veiligheid. Dat betekent dat het aanvalsvlak groter is geworden”, stelt Middleton. HOE KAN SDN HELPEN? Volgens Middleton biedt de programmeerbare infrastructuur interessante mogelijkheden voor beveiliging. “De bevei-
ligingstechnologieën zelf worden ook zo ontwikkeld dat ze programmeerbaar zijn. We zien nu al firewall- en intrusion detection-oplossingen in de vorm van software. Daarmee kun je tools op een optimale manier programmeren, inrichten, installeren en automatiseren. Bedenk dat de virtual machine binnen heel korte tijd de belangrijkste bouwsteen van moderne computingomgevingen is geworden. Er is op dit moment nog geen eenvoudige manier om een virtual machine te beveiligen. Je kunt het hele netwerk beveiligen of segmenten van het datacenter, maar het is erg moeilijk om een fijnmazig beveiligingsniveau te bieden voor de virtual machine. Wanneer beveiligingstechnologie is opgenomen in de software kun je per virtual machine een beveiligingspolicy toepassen waardoor deze direct beschermd wordt door een firewall en tegen intrusie. Dan kun je de beveiligingsinstellingen ook meeverhuizen met de virtual machine, of deze nu in of uit het datacenter gaat of naar de cloud.” Mills zegt dat er al verschillende beveiligingsleveranciers zijn die deze aanpak kiezen. “Dat is bemoedigend omdat het beveiligen van zo’n snel bewegende dynamische omgeving in het verleden moeilijk is gebleken. Software defined security helpt bij het creëren van een zeer flexibele en wendbare infrastructuur die ook zeer veilig is. Een ander voordeel van software-gebaseerde beveiliging is de mogelijkheid om on demand en op basis van een policy zeer gevoelige datastromen dynamisch te beveiligen. Denk aan creditkaartgegevens of gevoelige persoonsgegevens”, aldus Middleton. “Je kunt dan verschillende encryptiemogelijkheden toepassen om een deel van het verkeer te beschermen, terwijl je het andere deel in clear text laat stromen. Je zou dat deel van data zelfs over een aparte netwerklink kunnen laten lopen. Op deze manier is het netwerkverkeer te controleren en pas je policies effectiever en efficiënter toe.” Hans Vandam is journalist
'De basisprincipes van beveiliging gelden ook bij de inzet van nieuwe technologie' INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
11
NATIONAAL PRIVACYDEBAT
’PRIVACY
HEEFT OMDENKEN NODIG’ De huidige staat van online-privacy in Nederland is zorgwekkend. Consumenten zeggen veel belang te hechten aan privacy. Woorden en daden blijken echter twee verschillende dingen. Dit blijkt uit onderzoek in opdracht van Kaspersky Lab. De onderzoeksuitkomsten waren aanleiding voor een privacy-debat met vooraanstaande experts. De bereidheid van burgers om hun privé-data af te staan, is veel groter dan politici denken. Zo luidde de stelling waarmee gespreksleider Charles Groenhuijsen het Nationaal Privacydebat van Kaspersky opende. Voor die aftrap was al duidelijk dat Nederlanders een grotere bereidheid hebben om hun privacy op te offeren dan die burgers zelf denken. Uit het door Kaspersky ge-
presenteerde privacy-onderzoek, uitgevoerd door Right Marktonderzoek, komt naar voren dat Nederlanders voornamelijk zéggen dat ze hun privacy belangrijk vinden. En ook niet willen opofferen in ruil voor voordeel en gebruiksgemak. IN DE PRAKTIJK TOCH OPOFFEREN Bij het voorleggen van concrete scenari-
o’s blijkt dat Nederlanders wel degelijk bereid zijn hun privacy deels op te geven voor korting en gemak. Grofweg de helft van de ondervraagde consumenten zegt niet bereid te zijn online-privacy in te leveren voor persoonlijk voordeel of gebruiksgemak. Deze 51 procent is de optelsom van 19 procent die ‘zeker niet’ bereid is privacy in te ruilen en 32 procent die daar ‘waarschijnlijk niet’ toe bereid is. Daarnaast stelt 16 procent van de respondenten dat ze het niet weten. Slechts 4 procent wil ‘zeker wel’ wat privacy inruilen voor voordeel of gemak en nog eens 29 procent is daar ‘waarschijnlijk wel’ toe bereid. “De Nederlander is eerder bereid online-privacy op te geven, wanneer duidelijk is wat het oplevert”, stelt Hans Homma van onderzoeksbureau Right.
Verder valt op dat maar weinig Nederlanders besef hebben van wat er met hun privégegevens gebeurt. Logischerwijs hebben dus ook maar weinig burgers grip op hun gegevens. Zo weet slechts 14 procent van de ondervraagde consumenten wat er gebeurt met de persoonlijke informatie die ze afgeven bij hun gebruik van clouddiensten. In Nederland zijn online-services zoals iCloud, Dropbox of OneDrive massaal in gebruik. Deze en meer onwetendheid die uit het onderzoek blijkt, kleurt de op het eerste oog forse 51 procent die zegt ‘geen’ of ‘waarschijnlijk geen’ privacy op te willen geven in ruil voor voordeel of gemak. UITLEG IS NODIG Het debat naar aanleiding van dit onderzoek en recente ontwikkelingen zoals de terreuraanslagen in Parijs ging dieper in op de materie. Onafhankelijk Digital Health Strategist Maarten den Braber meent dat we nog flink wat uit te leggen hebben aan de consument. “Er is veel angst, veel negativiteit rondom privacy. Maar er zijn ook duidelijke voordelen, als je dat maar goed uitlegt.” Hij stelt dat de huidige opzet van permissieverstrekking voor gegevensgebruik moet worden omgedraaid. “Nu accepteren we voorwaarden die door anderen, zoals bedrijven en instellingen, zijn opgesteld.” Den Braber wil over naar een model van gebruikslicenties die consumenten zelf toepassen op hun privégegevens. Net zoals de Creative Commons-licentie dat al doet voor bijvoorbeeld beeldmateriaal. Het gebrek aan uitleg hoeft niet per definitie de angst en negativiteit op te heffen. Meer uitleg zou zelfs tot meer terughoudendheid kunnen leiden. “De overheid heeft gefaald in het uitleggen wat je met je privacy weggeeft en wat de monetaire waarde daarvan is”, zegt Micha Mos, fractievoorzitter van GroenLinks in Amsterdam. Vanuit de zaal wordt ander onderzoek aangehaald waaruit is gebleken dat het verschil zit in 25 cent. Mensen zijn voor zo weinig korting bereid om persoonlijke informatie op te offeren. De diverse experts in het debatpanel zijn het er roerend over eens dat de waarde van die gegevens veel groter is. WIE MAG IN DIGITALE TOILETTAS KIJKEN? Volgens Michiel Steltman, directeur van de Stichting Digitale Infrastructuur Ne-
12
'Nederlander geeft online-privacy op voor voordeel en gemak' derland (DINL), is het vooral een kwestie van context. “Ik vergelijk het met mijn toilettas als ik op Schiphol ben. De douane mag daar in kijken. Dat geldt niet voor elke willekeurige andere burger.” Hij stelt dat er sprake is van verlies aan controle over eigen privacy. Tegenwoordig kan elke organisatie zich de rol van douanier toeëigenen. Dat staan consumenten ook toe. Marcel Joosten, directeur bij online retailer CentralPoint.nl, stipt aan dat er in Europa een flinke kloof is tussen wet- en regelgeving voor bedrijven en die voor consumenten. Organisaties kennen nauwelijks privacy wet- en regelgeving terwijl burgers bij het betuttelende af alom beschermd lijken te worden.Toch zit er veel speelruimte in. “Wij mogen van u als consument alleen gebruiken wat u zelf geeft. Daarbij kunnen we zelf bepalen wat we vragen.” Jornt van der Wiel, security-onderzoeker bij Kaspersky Lab, bevestigt: “Mensen ‘verraden’ zichzelf.” Hij meent dat mensen eerst slachtoffer moeten worden voordat bewustwording ontstaat.
‘HET WORDT NIET MEER BEGREPEN’ Sander Klous, eerste Hoogleraar Big Data aan de Vrije Universiteit Amsterdam, benadrukt dat het waardeverlies van persoonsgegevens alleen voorkomt in combinatie met andere data. Het ene brokje data kan weinig waarde hebben, maar door het te combineren met meer gegevens wordt het ineens waardevol. Daarbij is er sprake van flinke complexiteit. “Het wordt niet meer begrepen”, erkent Klous. Panellid Eva de Leede, deelneemster van de Nationale DenkTank en uitvinder van de datawijzer, draagt een duidingssysteem aan. “Wij pleiten voor icoontjes die de inhoud van gebruiksvoorwaarden duidelijk maken.” Want, zo zegt zij, het kost 76 volle werkdagen per jaar om alle disclaimers te lezen. Nu wordt deze informatie veelal ongelezen geaccepteerd. Het door haar voorgestelde systeem van uitleggende iconen moet de gedetailleerde teksten niet verdringen. De consumenten kan dan zelf bepalen wat hij of zij wel of niet wil lezen.
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
13
INFO
JAARGANG 14 - MAART 2015 - WWW.INFOSECURITYMAGAZINE.NL
NATIONAAL PRIVACYDEBAT GEEN GRIP MAAR BEWUSTHEID WORDT GROTER Senior onderzoeker Geert Munnichs, verbonden aan het Rathenau Instituut, komt tijdens het debat met een gemengde boodschap. “Er is een heel dubbel beeld. Enerzijds heeft de burger geen grip op wat er allemaal met zijn of haar gegevens gebeurt. Anderzijds is de burger wel steeds bewuster dat privacy belangrijk is. Het leeft in de maatschappij.”
SECURITY MAGAZINE
Probleem daarbij is wel dat de consument volgens de onderzoeksuitkomsten niet alleen slecht op de hoogte is van eigen handelen, maar ook van de technische beschermingsmogelijkheden en overheidsmaatregelen. Bijna 90 procent van de Nederlandse consumenten erkent niet op de hoogte te zijn van huidige wetsvoorstellen die hun privacy moeten beschermen. ROL VAN OVERHEID EN CONSUMENT ZELF Tegelijkertijd vindt de burger dat de overheid een grote verantwoordelijkheid heeft voor privacybescherming. De ondervraagde consumenten vinden de overheid voor 72 procent ‘zeer verantwoordelijk’ en voor 18 procent gewoon ‘verantwoordelijk’ voor de bescherming van hun online-privacy. Daarmee wordt de overheid het meest verantwoordelijk geacht, gevolgd door financiële instellingen (zoals banken, hypotheekverstrekkers en verzekeraars). Die organisaties worden voor respectievelijk 61 en 27 procent verantwoordelijk gesteld. Op de derde plaats volgen de gezondheidsinstellingen (zoals ziekenhuizen, apotheken en het GGD) die voor 60 procent ‘zeer verantwoordelijk’ en voor 27 procent ‘verantwoordelijk’ gezien worden voor online-privacybescherming. De consument zelf komt naar eigen mening op de vierde plaats in de verantwoordelijkheidsrangschikking. De consumenten vinden zichzelf voor 55 procent ‘zeer verantwoordelijk’ en voor 34 procent ‘ver-
antwoordelijk’. Online winkels en sociale media worden in nog mindere mate verantwoordelijk geacht voor de bescherming van online-privacy. DE LINK MET SECURITY Privacy heeft hierbij ook een sterke relatie met security. Het gaat namelijk niet alleen om datagebruik door derden, maar ook om dataverlies waarmee de privacy van burgers geschonden kan worden. Privacy staat niet gelijk aan security, werpt DINL-directeur Steltman tegen. “Je moet je security natuurlijk wel op orde hebben.” Ironisch genoeg merken webshops die aan meer privacybescherming doen dat ze daar voor ‘gestraft’ worden, stelt Centralpoint.nl-directeur Joosten. “Wij zagen het aantal aankopen dalen nadat we strengere veiligheidsmaatregelen hadden genomen.” Gebruiksgemak lijkt dus nog altijd be-
'Het kost 76 werkdagen per jaar om alle disclaimers te lezen die je accepteert' 14
tere beveiliging en daarmee ook betere privacybescherming te overtroeven. Het debatpanel meent dat dit deels ligt aan de onwetendheid en onverschilligheid die consumenten volgens het privacy-onderzoek hebben. De experts stellen dat er meer uitleg moet komen, dat er meer verantwoordelijkheid bij de burger moet liggen en dat er meer wetgeving moet komen om grip op privacy ook werkelijk te realiseren. OMDRAAIEN: NIETS, TENZIJ Onderzoeker Munnichs van het Rathenau Instituut stelt dat de toestemming die consumenten nu geven grotendeels virtueel is; gegeven vanuit onwetendheid. “Ja, de consument kan bewuster zijn. Nee, daarmee heeft hij of zij niet automatisch meer grip.” Directeur Steltman van de DINL haakt terug op het voorstel van Den Braber en zegt dat het permissiesysteem inderdaad geheel omgedraaid moet worden. “Simpel: standaard mag er niks met je privégegevens worden gedaan, ténzij jij specifieke toestemming verleent.” Hoe dit dan uitvoerbaar te maken, zonder in de valkuil van een tweede ‘cookiewet’ te trappen, daarover heeft het Nationaal Privacydebat van Kaspersky vooralsnog geen uitsluitsel kunnen geven.
SPECIAL
SECURITY-OPLEIDINGEN PETER VERMEULEN, PB7 RESEARCH: ‘TEN ONRECHTE OVERHEERST NOG ALTIJD DE VRAAG NAAR TECHNISCHE TRAININGEN’
BEVEILIGMIJ.NL: NETWERK VAN SECURITY SPECIALISTEN, ADVISEURS EN ENGINEERS - SECURITY SPECIALIST INHUREN OF MEDEWERKER OPLEIDEN? - ‘OVER INFORMATIEBEVEILIGING BEN JE NOOIT KLAAR MET LEREN’ - DE CHIEF INFORMATION SECURITY OFFICER - EUROPEES COMPETENTIE FRAMEWORK VOOR ICT-PROFESSIONALS - SCOS ORGANISEERT WIRESHARK NETWORK EN SECURITY TRAINING - ‘SECURITY-TRAININGEN HEBBEN DIEPGANG NODIG’ INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
15
SECURITY-OPLEIDINGEN:
TEN ONRECHTE OVERHEERST NOG ALTIJD DE VRAAG
NAAR TECHNISCHE TRAININGEN Informatiebeveiliging is en blijft een bijzonder dynamisch vakgebied. Zowel wat er beveiligd moet worden als wat er bedreigt, verandert snel en neemt in complexiteit toe. Cybercriminelen zijn steeds beter georganiseerd en proberen met steeds geavanceerdere aanvallen zoveel mogelijk schade aan te richten. Tegelijkertijd lijkt het wel of de business alle deuren wijd open probeert te zetten door met het ene na het andere mobiele apparaat en de ene na de andere cloud dienst te komen. Dat net op dat moment de overheid aankondigt flinke boetes uit te delen aan bedrijven die privacygevoelige data lekken, maakt het ook niet makkelijker. En
nu beginnen we ook nog eens na te denken over het Internet of Things. Alsof dat nog niet genoeg is, hebben we ook nog te maken met gebruikers die de gevaren
niet (willen) zien of zich er niet verantwoordelijk voor voelen. Het moge duidelijk zijn: wat IT-informatiebeveiliging betreft, is ‘life long learning’ een zaak van leven of dood. Het goede nieuws is dat de meeste organisaties beseffen dat training een belangrijk thema is voor security en er prioriteit aan geven. In de Nationale IT-Security Monitor 2014 staat training op de vierde plek, slechts enkele procenten achter het belangrijkste thema, cybercrime. Dat betekent echter nog niet dat er voldoende, of op de juiste gebieden wordt geïnvesteerd.
Figuur 1: Security prioriteiten Welke van de volgende thema’s zijn voor u de komende 12 maanden het belangrijkst op het gebied van IT-security?
16
De meeste Nederlandse organisaties (69 procent) geven aan dat ze voldoende of ruim voldoende denken te investeren in security trainingen om een hoog niveau van informatiebeveiliging te garanderen. ‘Slechts’ 21 procent zegt expliciet dat er onvoldoende budget is. En dan nog is het de vraag of het genoeg is. Volgens deze zelfde respondenten is het namelijk niet genoeg. 64 procent van alle respondenten gaf aan dat er niet genoeg in opleiding en training wordt geïnvesteerd. Een hoog niveau is mooi, maar blijkt niet genoeg. Maar waar komt dat verschil dan door? We komen hier later op terug, maar laten we eerst kijken naar waar Nederlandse bedrijven hun security trainingsbudget aan spenderen. INVESTERINGEN Als we naar de investeringen in training kijken, zien we dat databeveiliging een grote rol is gaan spelen. DLP en identiteits- en toegangsbeheer (IAM) staan hoog op het verlanglijstje met daar tussenin netwerkbeveiliging. De afgelopen jaren is er een duidelijke verschuiving op gang gekomen van de manier waarop organisaties beveiligen: waar voorheen vooral het hek bewaakt werd (netwerkbeveiliging), verschuift de beveiliging naar het niveau van de data zelf. De data moet veilig overal gebruikt kunnen worden en veilig in het datacenter kunnen resideren. Door de implementatie van IAM kan vervolgens op een gebruikersvriendelijke manier bepaald worden wie waar bij kan.
'Wat IT-informatiebeveiliging betreft, is ‘life long learning’ een zaak van leven of dood' Dat DLP en IAM zo hoog op de prioriteitenlijst staan, betekent niet dat organisaties het goed voor elkaar hebben. Het betekent vooral dat men hierin is gaan investeren, of wil gaan investeren, maar dat het kennisniveau gebaat is bij een goede upgrade. We zien in de monitor bijvoor-
beeld dat organisaties aangeven dat de grote groei in investeringen op het gebied van IAM een pas op de plaats maakt (blijft desalniettemin op een hoog niveau), terwijl de investeringen in mobiele beveiliging juist de lucht in schieten.
Figuur 2: Security prioriteiten Beschikt u over voldoende trainingsbudget om een hoog niveau van informatiebeveiliging te waarborgen?
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
17
SECURITY-OPLEIDINGEN:
Figuur 3: Investeringen in Security Training Op welke van de volgende gebieden gaat u de komende 12 maanden in training investeren?
Wat verder opvalt aan de prioriteitenlijst, is dat de nadruk op technische vaardigheden ligt. Uiteraard is de uitdaging al zeer groot om op technisch niveau bij te blijven, maar uit zo’n beetje elk IT-security onderzoek komt al jarenlang naar vo-
18
ren dat de gebruiker het grootste gevaar vormt. Toch staat awareness training voor gebruikers pas op de vierde plaats. Ook kunnen we zien dat de aandacht voor training op het gebied van risicobeheersing vooralsnog op een vrij laag niveau blijft
Figuur 4: Investeringen in Security Training Met welke van de volgende stellingen bent u het eens?
hangen, terwijl de risico’s op het gebied van informatiebeveiliging een strategische aangelegenheid op directieniveau zou moeten zijn. Hoewel we niet hebben gevraagd naar voorkeuren voor accreditatie, zien we dat bij 21 procent er het nodige geïnvesteerd wordt in brede certificeringen, zoals CISSP. Zoals gebruikelijk spelen in Nederland certificeringen een grotere rol dan in de meeste andere landen. Opleidingen met accreditatie spelen een belangrijke rol om objectief vaardigheden vast te kunnen stellen. Dat is enerzijds handig bij het wervings- en selectieproces, maar is ook belangrijk voor een transparante communicatie, of verantwoording, naar de organisatie. Uiteraard is een accreditatie iets heel anders dan een garantie en kan het nooit het (enige) uitgangspunt zijn van een opleidingsprogramma. Ook zijn veel accreditatieprogramma’s sterk gericht op bestaande infrastructuren en technologieën, terwijl de gevaren steeds meer komen van opkomende technologieën. Het valt ook op dat de aandacht voor security training die gericht is op het omgaan met veranderingen in de IT-omgeving, ook daadwerkelijk beperkt is. Nog geen 10 procent investeert in cloud security training, terwijl maar liefst 49 procent
aangeeft onvoldoende kennis in huis te hebben om te garanderen dat cloudoplossingen veilig gebruikt worden. Ook op het gebied van mobiel gebruik, zegt 1 op de 2 dat de kennis ontbreekt om het veilig te laten plaatsvinden. En dan is er ook nog relatief weinig aandacht voor veilige softwareontwikkeling. In de Nationale IT-Security Monitor viel op dat veel organisaties aangeven ‘secure by design’ en ‘private by design’ software te ontwikkelen, maar dat in de praktijk veelal de beveiliging toch pas op het laatst aan een applicatie wordt toegevoegd met alle risico’s van dien. De uitkomsten van de Nationale IT-Security Monitor laten zien dat IT-beveiliging ook wat betreft training zich vooral richt op de bestaande IT-omgeving, maar vaak achter de feiten aanloopt als we het over nieuwe technologie hebben. Daarmee wordt ook duidelijk waarom IT-beveiligers aangeven dat ze uiteindelijk toch te weinig investeren in training en opleiding. Security beveiligt de bestaande infrastructuur heel behoorlijk, maar beweegt te weinig mee met nieuwe technologie en zou meer de nadruk op het veiligheidsbewustzijn moeten leggen. Voor veel organisaties blijkt het allemaal simpelweg te complex te worden
'Waar voorheen vooral het hek bewaakt werd (netwerkbeveiliging), verschuift de beveiliging naar het niveau van de data zelf' en zoekt men steeds meer ondersteuning van buitenaf. Voor andere organisaties is er een andere, heel begrijpelijke reden waarom men zich vooral op de IT van gisteren richt: nieuwe oplossingen op het vlak van mobiel en cloud komen grotendeels buiten IT om, en zeker niet op initiatief van IT, de organisatie binnen. Waarom zou je je daar als IT - waar meestal nog altijd IT beveiliging zich bevindt - verantwoordelijk voor voelen? Waarom zou je extra budget moeten aanvragen om iets te beveiligen waar je niet om gevraagd hebt en waar je geen ‘ownership’ over hebt? Als we er iets over te zeggen hebben, verbieden we het wel en anders is het niet ons probleem. Helaas blijkt het als het eenmaal misgaat wél als een probleem van IT te worden beschouwd. Daar kan je van alles van vinden, maar uiteindelijk kun je als informatiebeveiliger uiteindelijk beter de vlucht naar voren maken. Zorg ervoor dat je meer ruimte in het trainingsbudget re-
serveert voor security die helpt nieuwe technologie veilig te gebruiken. Zorg er ook voor dat je beter de vertaalslag naar de business kan maken en in termen van risico management kan werken. En zorg ervoor dat je met de gebruiker om tafel komt en hem bewust maakt van de risico’s die hij neemt en wat hij er tegen kan doen. De beloning is groot: als je als informatiebeveiliger kan bijdragen aan een snelle, veilige lancering van nieuwe digitale producten en diensten en medewerkers ongeacht locatie veilige toegang kan geven tot belangrijke gegevens, verkrijgt je organisatie een belangrijke voorsprong op concurrenten. Met de opkomende digitalisering van de directieagenda, neemt de strategische positie sterk toe. Budget vrijmaken voor security training is geen kostenpost: het is een strategische investering. Peter Vermeulen is directeur van Pb7 Research
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
19
EXPERTVISIE BEVEILIGMIJ.NL
BEVEILIGMIJ.NL:
NETWERK VAN SECURITY SPECIALISTEN, ADVISEURS EN ENGINEERS ‘Voorkom identiteitsfraude’. ‘Zorg dat je veilig internet’. ‘Wees voorzichtig met het doorgeven van persoonlijke informatie’. ‘Gebruik geen makkelijk te raden wachtwoorden’. Iedereen kent deze teksten, die in heel veel verschillende campagnes op ons afgevuurd worden. Toch blijven we – bewust én onbewust – nog altijd veel meer informatie delen dan we eigenlijk zouden moeten willen. Stiekem worden we misschien ook wel een beetje ‘campagne-moe’. BeveiligMij.nl heeft als doel om bedrijven te helpen beter om te gaan met informatie, zowel online als offline. Hoe kan dat beter dan door kennis gratis met hen te delen. Als we allemaal meer beveiligingsbewust zijn, zal de hele wereld er wel bij varen. BeveiligMij.nl heeft samen met Swipe Media een informatieportaal ontwikkeld om het veilig omgaan met informatie te ondersteunen. BeveiligMij.nl
stelt materiaal en achtergrondinformatie beschikbaar om het bewust omgaan met (online) bedrijfs- en privégegevens te bevorderen. E-LEARNING ALS TOOL BeveiligMij.nl biedt naast het informatieportaal bewustwordingstrajecten aan waardoor medewerkers van bedrijven, overheid en semi-overheid zich meer
'Security awareness is een proces met als doel het (online) gedrag te veranderen'
bewust worden van de risico’s van dataverlies en –diefstal. Security awareness is echter geen eenmalige training. Het is een proces met als doel het (online) gedrag te veranderen. Binnen de bewustwordingstrajecten van BeveiligMij.nl wordt naast klassikale trainingen gebruikgemaakt van e-learning. Ontwikkeld door Gouti, zorgt deze tool ervoor dat men regelmatig en herhaaldelijk gewezen wordt op de cyberrisico’s en vooral op het voorkomen van dergelijke incidenten. “Onze trainingen zijn gericht op bewustwording, maar een organisatie is er het meest mee gebaat als die bewustwording leidt tot veiliger gedrag. Om het gedrag meetbaar te maken en vooral ook de verandering in gedrag, is de e-learning een goede tool”, zegt Frank Mulder, eigenaar van De Gesprekspartners dat onder het label Beveiligmij.nl security awareness trajecten exploiteert. “BeveiligMij.nl leert gebruikers wat de meest voorkomende gevaren en valkuilen zijn bij het dagelijks gebruik van informatie”, vervolgt Mulder. “Zo krijgt men inzicht in de vraag hoe verschillende vormen van misbruik-door-derden kan worden herkend en - vooral - hoe zij dit kunnen voorkomen.” WEGLEKKEN Er zijn veel bedreigen waardoor kritieke bedrijfsinformatie kan weglekken. Denk hierbij aan het onjuist vernietigen van papieren documentatie, waardoor informatie letterlijk op staat komt te liggen. Maar denk ook aan het voor bezoekers zichtbaar achterlaten van vertrouwelijke informatie. Ook dit soort vormen van informatieverlies worden behandeld in de trajecten van BeveiligMij.nl. Hiernaast een overzicht van de onderwerpen die tijdens de trainingen en e-learning aan bod komen:
20
• Cybercriminaliteit • Wachtwoorden • Veilig internetten • Veilig e-mailen • Wifi-netwerken • Veilig mobiel • PC beveiliging • Informatievernietiging • Multifunctionals • Veilige werkplek • Identiteitsbewijzen • Social media PARTNERKANAAL BeveiligMij.nl biedt security awareness uitsluitend aan via partners. Zo is en blijft de partner voor de eindgebruiker het aanspreekpunt. Partners zorgen zelf voor het inplannen van trainingen, de facturatie en productadvisering naar hun klanten. Binnen het verkooptraject krijgen zij alle ondersteuning vanuit BeveiligMij. nl. Pieter Remers van De Gesprekspartners licht toe: “We hebben als doel het Nederlandse bedrijfsleven bewuster om te laten gaan met informatie en dat is alleen mogelijk door samen te werken met professionele partners. Wij hebben dan ook besloten ons aanbod enkel via een partnerkanaal te laten verlopen. Hierdoor willen we onze partners helpen zich te onderscheiden door onze diensten aan te bieden in hun eigen huisstijl.” Les- en promotiemateriaal, inclusief informatieportaal en online test kunnen worden aangepast aan de bedrijfsidentiteit van de BeveiligMij.nl partner. Door gebruik te maken van deze ‘white label’-optie kunnen ICT-resellers de opleidingen volledig onder hun eigen naam aanbieden en hebben zij toegang tot een zeer compleet en professioneel netwerk van security-specialisten, adviseurs en engineers. BeveiligMij.nl stimuleert kennisuitwisseling en biedt daartoe een passend aanbod aan achtergrondinformatie, uitgebreide tips en toegang tot het e-learning platform. ONLINE SECURITY AWARENESS TEST Henk-Jan Angerman, algemeen directeur SECWATCH Nederland en partner van BeveiligMij.nl: “Door het security awareness-aanbod van BeveiligMij.nl - denk aan klassikale trainingen en de bijbehorende e-learning trajecten - kunnen wij ons verder onderscheiden in een competitieve markt. De kwaliteit en diversiteit
Frank Mulder
Pieter Remers
'We hebben als doel het Nederlandse bedrijfsleven bewuster om te laten gaan met informatie en dat is alleen mogelijk door samen te werken met professionele partners' van BeveiligMij.nl is een goede aanvulling op ons bestaande aanbod. SECWATCH Nederland kan hiermee haar dienstverlening op het gebied van IT beveiliging verder uitbreiden.”
Ook biedt BeveiligMij.nl een online security awareness test. Hiermee kunnen bedrijven in kaart brengen hoe goed (of slecht) zij op de hoogte zijn van cyberrisico’s en -bedreigingen.
BEVEILIGMIJ.NL BeveiligMij.nl werkt in een team van internet- en security-specialisten. De trainers hebben minimaal vijftien jaar ervaring in de beveiligingsbranche, waardoor zij veel kennis uit de praktijk kunnen delen met de cursisten. Naast het opleiden van organisaties op het gebied van veiligheid en privacy, profileert BeveiligMij.nl zich als onafhankelijk security-expert en -adviseur. De menselijke benadering staat bij BeveiligMij. nl daarbij hoog in het vaandel, aldus het bedrijf. BeveiligMij.nl is een label van De Gesprekspartners. De Gesprekspartners exploiteert onder de naam BeveiligMij.nl activiteiten op het gebied van Security Awareness. De Gesprekspartners komt graag in contact met geïnteresseerde partners. Zij kunnen via de website contact opnemen om mogelijkheden en voordelen te bespreken. Kijk voor meer informatie op www.beveiligmij.nl.
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
21
EXPERTVISIE INSPEARIT
EEN GOEDE OPLEIDING
VERANDERT HET GEDRAG Wie serieus werk maakt van informatiebeveiliging, komt al snel uit op ISO27001, NEN7510, CobiT, OWASP of andere standaarden. Dat is niet per se verkeerd. Dergelijke standaarden bevatten immers een schat aan kennis: ze bundelen de ervaring van vele honderden organisaties en experts. Maar het lukraak implementeren van een standaard heeft veel weg van een schriftelijke cursus autorijden. Soms is het niet zo’n slecht idee om ook een goede instructeur in te schakelen.
Om de informatie in een organisatie succesvol te beveiligen, moet er meer gebeuren dan een standaard op de kop te tikken en een Information Security Officer aan te wijzen. Het doel moet zijn om een cultuur te ontwikkelen waarin veilig werken de norm is. Deze cultuurverandering is dan terug te zien in het gedrag van alle medewerkers met toegang tot waardevolle bedrijfsinformatie. In moderne organisaties zijn dat vrijwel alle medewerkers. Maar hoe brengen we zo’n verandering tot stand? GEDRAG VERANDEREN Mensen veranderen van gedrag als aan drie voorwaarden is voldaan: • de betrokken persoon weet wat het gewenste gedrag is • heeft de competenties om dit gedrag te vertonen • én is gemotiveerd. Voor veel medewerkers zal de nadruk liggen op het vergroten van kennis en motivatie, omdat van hen geen complex nieuw gedrag gevraagd wordt. Ongevraagde e-mails verwijderen, bezoekers begeleiden zolang ze in het gebouw verblijven, een bureau opgeruimd achterlaten, kortom: alert zijn en gezond verstand gebruiken. Voor hen kan een (langlopende) awareness-campagne, aangevuld met standaard e-learning modules, voldoende zijn. Er zullen echter ook medewerkers zijn die hun kennis en competenties op een hoger niveau moeten brengen voordat ze in hun dagelijkse werk het gedrag kunnen vertonen dat noodzakelijk is om bedrijfsinformatie beschikbaar, integer en vertrouwelijk te houden. Denk aan IT-professionals die direct werken aan de informatievoorziening, mensen met een voor-
22
beeldfunctie of personen die toegang hebben of verlenen tot bedrijfskritische informatie. Zij zullen zich nieuwe kennis en competenties eigen moeten maken en dan komt opleiden om de hoek kijken. DE ROL VAN OPLEIDEN In de jaren negentig van de vorige eeuw publiceerden Morgan McCall en zijn collega’s van het Center for Creative Leadership hun invloedrijke 70-20-10 model. Het beschrijft hoe professionals leren: 70 procent door werk uit te voeren, 20 procent van anderen (collega’s, de baas) en 10 procent in opleidingen of door zelfstudie. We zouden dat kunnen opvatten als een pleidooi tegen het volgen van een opleiding, maar de werkelijkheid ligt genuanceerder. Wat het model laat zien, is dat het echte leren pas plaatsvindt als mensen de kans krijgen om te oefenen. Bijvoorbeeld door nieuwe methoden en technieken toe te passen. Opleidingen zijn een goede manier om zulke nieuwe methoden en technieken te ontdekken en ze bieden een veilige omgeving om alvast te experimenteren. De uren in een klaslokaal werken als een hefboom die het leren op de werkvloer in gang zet. Regelmatig een goede opleiding volgen, is dus onmisbaar. Maar hoe kiezen we uit het enorme aanbod op de markt? Drie criteria bepalen de effectiviteit van een opleiding: de docent, de onderwijsvorm en de aansluiting op de werkpraktijk. Daarnaast kan certificering belangrijk zijn. We behandelen deze aspecten een voor een. ERVARING Een goede docent weet uit ervaring waarover hij praat. Wijsheid uit boeken is mooi, maar als het erop aankomt, tellen de vlieguren. Zoek dus naar een opleiding waarin stevige docenten voor de klas staan die in de praktijk toepassen waarover ze lesgeven. ‘Verhalen uit de loopgraven’ beklijven beter dan modellen en theorieën zonder link naar het echte leven. De ideale docent is bescheiden genoeg om ook anderen op het podium uit te nodigen. Als cursisten elkaar hun verhalen vertellen, vergroot dat het leereffect sterk: iedereen wordt dan deelnemer én docent. We leren zelf het meest van wat we een ander leren. De onderwijsvorm is minstens zo belangrijk. Een leidend principe is: niet gedaan,
is niet geleerd. Alleen kennis tot ons nemen - door een boek te lezen of een hoorcollege te volgen - levert onvoldoende op. We moeten met de stof stoeien om het echt tot ons te nemen. Een goede opleiding ruimt daarom veel tijd in voor interactieve werkvormen zoals workshops, serious games en casussen. Dan vallen de kwartjes. Een goede opleiding slaat ook bij herhaling de brug naar de praktijk van de deelnemer. Intake-gesprekken, huiswerkopdrachten, coaching en begeleide intervisie zijn enkele mogelijkheden om de impact van een opleiding te vergroten door deelnemers uit te dagen het nieuw geleerde gedrag niet alleen toe te passen, maar ook vol te houden. Tot slot kan certificering belangrijk zijn. Niet voor niets zijn de CISSP-certificeringen van (ISC) onverminderd populair. Werkgevers en opdrachtgevers hebben
behoefte aan kundige informatiebeveiligers en een certificaat van een betrouwbare instelling maakt kennis en ervaring aantoonbaar. CONCLUSIE Een organisatie die informatiebeveiliging serieus neemt, investeert in opleidingen die medewerkers in staat stellen hun werk beter en veiliger uit te voeren. Pas als iedereen zijn rol begrijpt en ook in staat is die uit te voeren, is het tijd om een standaard te implementeren. Of voelt u zich veilig bij een taxichauffeur die ‘Autorijden voor dummies’ op het dashboard heeft liggen? Jacob Brunekreef, Kor Gerritsma en Eelco Rommes zijn docent en adviseur bij cibit academy, opleider op het gebied van informatiebeveiliging en de officiële Nederlandse partner van (ISC).
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
23
EXPERTVISIE CISCO
Wat is beter?
SECURITY SPECIALIST INHUREN OF MEDEWERKER OPLEIDEN?
Het aantal cyberaanvallen is de afgelopen twee jaar met 120 procent gestegen. De geschatte kosten van cybercriminaliteit lopen op naar gemiddeld 7,6 miljoen dollar per jaar voor elke grote organisatie. Er gaat geen week voorbij zonder dat we geconfronteerd worden met de zoveelste slag van cybercriminelen op overheid en bedrijfsleven. En zelfs individuele burgers blijven niet ongeschonden. Niet vreemd dat organisaties hun IT-beveiligingsbeleid vooral richten op externe dreigingen. Is dat terecht? Nee, zegt IT-leverancier Cisco. Uit recent onderzoek onder de Nederlandse beroepsbevolking blijkt dat het gedrag van werknemers een serieuze zwakke schakel is in de hedendaagse IT-beveiliging. De digitale vrijheden die werknemers zich vandaag de dag permitteren, staan op gespannen voet met de digitale veiligheid die organisaties koesteren om zowel financiële als reputatieschade te voorkomen. “Dat vraagt om een security-beleid dat primair gericht is op de mens. Niet op
Fred Noordam 24
technische mogelijkheden of traditionele security-processen gebaseerd op de organisatiestructuur”, zegt Fred Noordam, Security Lead bij Cisco in Nederland. GEEN OPTIE Uit het onderzoek blijkt dat 71 procent van de Nederlandse beroepsbevolking zich niet bewust is van security bloopers, zoals Heartbleed. Werknemers doen bovendien massaal beroep op het bedrijfsnetwerk voor persoonlijke transacties.
52 procent winkelt op het internet via het netwerk van de baas, 46 procent gebruikt het bedrijfsnetwerk voor hun sociale media activiteiten en 71 procent van onze beroepsbevolking bankiert via het bedrijfsnetwerk. “Verbieden van deze activiteiten is allang geen optie meer”, vertelt Peter Vermeulen, marktanalist van Pb7 tijdens een bijeenkomst die Cisco onlangs organiseerde in het TNO Security Lab in Den Haag. “De gebruiker van nu is mondig, neemt zijn eigen apparatuur mee, haalt zelf applicaties uit de cloud, en ziet niet of nauwelijks gevaar. Totdat het mis gaat. Dan wijst de professional naar de IT-afdeling.” Ook Fred Noordam van Cisco herkent de uitdagingen bij de huidige IT-gebruikers. “Op basis van ons onderzoek hebben we vier verschillende gedragsprofielen opgesteld van medewerkers die uitgangspunt zijn voor de ontwikkeling van de juiste beveiligingsstrategie. Zo onderscheiden we de werknemers die zich bewust zijn van alle veiligheidsrisico’s en hun best doen om online veilig te blijven. Organisaties beschikken verder over medewerkers met de beste bedoelingen, maar niet altijd met succes. De derde groep medewerkers is gemakzuchtig. Zij verwachten dat hun werkgever alles regelt zonder eigen verantwoordelijkheid te nemen. Het laatste gedragsprofiel is van toepassing op medewerkers die nog denken dat cybersecurity een hype is. Waar het hen uitkomt, omzeilen deze medewerkers zelfs het beveiligingsbeleid.” COMPETENTIES “Horrorscenario’s voorleggen aan medewerkers heeft geen zin meer. Dat hebben we al vaak genoeg geprobeerd en maakt weinig of geen indruk”, zegt Esther Oprins, Research Scientist van TNO. Zij doet onderzoek naar competenties en geeft op dat gebied trainingen bij organi-
saties waar veiligheid centraal staat. “Uiteraard kunnen we mensen allerlei vaardigheden bijbrengen. Dat is echter niet genoeg. Het gaat om het totaal aan competenties die het verschil maken. Kennis, vaardigheden, houding en gedrag. Daarmee kunnen we medewerkers echt bewust veilig laten handelen. Zo kunnen we bijvoorbeeld veel leren van de luchtvaartindustrie. Daar zit veiligheidsbesef in de genen van medewerkers. Ze worden ermee opgevoed. De mindset van mensen moet veranderen.” Oprins verwacht overigens dat dit makkelijker zal gaan bij de ‘digital native’ generatie dan bij de huidige en vorige generatie van onze beroepsbevolking. “Menselijke fouten die de informatiebeveiliging van een organisatie op het spel zetten, worden elke dag gemaakt. Een laptop die uit de auto gestolen wordt. Iemand die het bedrijf verlaat en concurrentiegevoelige data meeneemt, slechte wachtwoorden, ingaan op phishing, noem maar op. Het is zaak dat we deze menselijke fouten voorkomen door de juiste competenties te ontwikkelen. Een bedrijf kan de meest ervaren en hoogst opgeleide security-experts in huis hebben. Deze specialisten richten zich vooral op de systemen. Oprins pleit ervoor, meer aandacht te richten op de mens in plaats van het systeem. “De beste security-experts in huis hebben of inhuren, is geen garantie voor een veilige werkomgeving als medewerkers niet beschikken over de juiste competenties.” CRUCIALE VRAAG De cruciale vraag is dan natuurlijk welke competenties werkend Nederland nodig heeft. “Competenties zijn te onderscheiden op drie niveaus; kennis, vaardigheden en houding. Ontwikkeling van competenties kan spelenderwijs, via onderwijs en uiteraard zelfsturend. “Kijk bijvoorbeeld naar karaktereigenschappen als stressbestendigheid, creativiteit en inventiviteit. Die zijn misschien wel belangrijker dan de juiste procedure weten te volgen. Weet je weg te vinden in een organisatie, hoe kun je dingen zelf makkelijk oplossen en zaken op de juiste manier her- en erkennen, en meld incidenten”, adviseert de TNO-wetenschapper. “Verder ervaren we dat serious gaming een hele effectieve leeroplossing is. Zeer geschikt voor het trainen van cybersecu-
Peter Vermeulen
Esther Oprins
rity-bewustzijn. Het spelen van een spel, simulaties ervaren van ‘echte’ omgevingen waarin de medewerker zelf een hoofdrol speelt, bordspelen of managementgames zijn heel effectief. En relatief goedkoop; in een korte tijd en op een impactvolle en ludieke manier wordt er veel geleerd.” Peter Vermeulen van Pb7 voegt daaraan toe dat de hedendaagse werknemer niet meer naar allerlei dure gebruikerscursussen hoeft.
aan IT-beveiliging staat op dit moment bovenaan de ranglijst van belangrijkste investeringsgebieden. Toch wijst het Cisco-onderzoek uit dat Nederlandse werknemers security meer en meer als een barrière zien voor innovatie in plaats van een katalysator voor bedrijfssucces en vernieuwing. Dat herkent de marktanalist wel. “Er is nog een hele weg te gaan. IT-security verschuift langzaam aan van een noodzakelijk kwaad naar een manier om ook innovatie te versnellen. In de Formule 1-wereld kun je geen snelheid maken zonder remmen. Meer dan de helft van de innovaties faalt omdat de veiligheid niet goed geregeld is. Bij de ontwikkeling van nieuwe producten komt veiligheid nog te vaak aan het einde van het proces in beeld. Dat moet veranderen naar een ‘security by design’ aanpak.” Fred Noordam van Cisco sluit zich daarbij aan. “De Chief Information Security Officer (CISO) moet zijn beleid verschuiven van security-processen en -technieken naar een centraal geleid security-beleid vanuit het perspectief van de IT-gebruiker anno nu. Dit vraagt om een gedifferentieerde IT-beveiligingsstrategie afgestemd op het gedrag van het individu en gedragen door het bestuur van de organisatie. Anders gezegd: every company is a security company.”
Het innovatie- en onderzoeksinstituut TNO doet onderzoek naar de vaardigheden die nodig zijn voor de 21e eeuw onder de noemer ‘21st century skills’. Deze worden ook omarmd door de Europese Unie. Daarbij is volop aandacht voor digitale vaardigheden. “Op dit moment is er op school nog nauwelijks aandacht voor digitale veiligheidsgevaren. Onze huidige leermethoden stammen nog uit de tijd van onze papieren generatie. De digitalisering van het onderwijs staat op de agenda van ons Ministerie van Onderwijs, Cultuur en Wetenschappen. Maar is helaas nog niet de praktijk van alledag op onze scholen”, concludeert Oprins. HOOG OP DE AGENDA Peter Vermeulen van Pb7 prijst zich gelukkig met het feit dat IT-beveiliging steeds hoger op de agenda van organisaties komt te staan. Geld en tijd besteden
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
25
EXPERTVISIE EXIN
Snelle adoptie vraagt om verdere professionalisering
EXIN LANCEERT CERTIFICERING VOOR OPENSTACK
De afgelopen jaren heeft OpenStack een enorme groei doorgemaakt. Steeds meer bedrijven en overheidsorganisaties gebruiken deze open source-technologie voor het bouwen van publieke en private cloud-omgevingen. Daarmee groeit ook de behoefte aan het toetsen en certificeren van de kennis van ICT-professionals die met OpenStack-technologie werken. EXIN speelt op deze ontwikkeling in met de lancering van het certificeringsprogramma ‘EXIN Certification in OpenStack Software’. OpenStack is een open source besturingssysteem voor het ontwikkelen en inrichten van publieke en private cloud-omgevingen. Oorspronkelijk van start gegaan als een project van Rackspace en de NASA is OpenStack de afgelopen jaren zeer populair geworden. Het is uitgegroeid tot een van de belangrijkste hulpmiddelen die bedrijven en organisaties inzetten om te komen tot een verdere flexibilisering van hun IT-systemen.
markt in 2018 een omvang bereikt van 3,3 miljard dollar. Figuur 1 schetst wat dat betreft een interessant beeld van de toekomst van OpenStack.
Die populariteit zien we ook terug in de cijfers die marktonderzoekers publiceren. De markt voor OpenStack-oplossingen zal in 2018 vier maal zo groot zijn als in 2014. Naar verwachting heeft de
SNELLE GROEI Deze indrukwekkende groei betekent dat steeds meer ICT-professionals in hun dagelijkse werk te maken hebben met OpenStack. De kennis die zij hiervoor no-
Het project wordt aangestuurd via de OpenStack Foundation. Inmiddels zijn meer dan 17.000 mensen lid van deze organisatie, terwijl bijna 350 bedrijven, universiteiten en onderzoeksinstellingen het project ondersteunen.
dig hebben, doen zij veelal op via praktijkervaring en trainingen die worden aangeboden door commerciële partijen. Vaak zal het dan gaan om trainingen die specifiek gericht zijn op bepaalde tools, terwijl in sommige gevallen ook een meer gedegen basiscursus wordt aangeboden. Er bestond voor ICT-professionals tot voor kort echter geen mogelijkheid om hun kennis op het gebied van OpenStack formeel te laten toetsen door een onafhankelijke partij. Dit had belangrijke gevolgen. Enerzijds konden zij zelf hooguit via de cursussen die zij via aanbieders hebben gevolgd een indicatie geven van hun kennis en ervaring op dit gebied. Anderzijds is het voor IT-managers en HR-managers erg lastig om te beoordelen in hoeverre hun medewerkers of eventuele kandidaten voor bepaalde technische functies over de juiste competenties beschikken. Met de lancering van EXIN Certification in OpenStack Software brengt EXIN hier nu verandering in. Het internationaal opererende maar van oorsprong Nederlandse instituut (EXIN is gevestigd in Utrecht) speelt hiermee in op een snel groeiende behoefte. Zoals wel mag blijken uit het feit dat de laatste OpenStack Summit in Parijs eind vorig jaar maar liefst meer dan vijfduizend deelnemers trok, bestaat er een enorme behoefte aan kwalitatief hoogwaardige informatie over deze technologie. Bovendien is OpenStack voor veel bedrijven en organisaties inmiddels dermate belangrijk dat het eigenlijk nauwelijks nog verantwoord te noemen is dat ICT-professionals het zonder formele vorm van opleiding en certificering moeten stellen. ‘VENDOR NEUTRAL’ EXIN heeft bij het ontwikkelen van dit
26
certificeringsprogramma nauw samengewerkt met HP, een van de belangrijkste ondersteuners van de OpenStack Foundation. HP levert zelf ook commerciële producten op basis van OpenStack, maar het programma dat EXIN nu heeft ontwikkeld is volledig ‘vendor neutral’, benadrukt EXIN in een toelichting. EXIN hanteert een open certificeringsmodel en zal meerdere opleiders accrediteren voor het programma. De rol van HP moet vooral gezien worden als die van kennispartner. EXIN Foundation Certificate in OpenStack Software kent een redelijk technisch karakter. Het biedt een entry-level introductie tot OpenStack. Dit betekent dat alle basiscomponenten die deel uitmaken van de OpenStack-infrastructuur aan de orde komen. Denk aan thema’s als storage, identity management en networking. Hoewel de adoptie van OpenStack in eerste instantie vooral onder enterprise-organisaties snel op gang kwam, kent de certificering een bredere doelgroep. Ook voor ICT-professionals uit het middelgrote bedrijfsleven is het examen en het betrokken certificaat relevant. KENMERKEN Wat biedt EXIN met dit programma nu precies? Het gaat om een aantal belangrijke punten: •
•
•
•
Onafhankelijke certificering het certificeringsprogramma is niet gebonden aan een of meer commerciële aanbieders van OpenStack-producten, maar is geheel onafhankelijk. Inzicht in kennis - het behalen van een certificaat geeft aan dat de betrokken medewerker beschikt over een duidelijk omschreven basiskennis rond deze open source-technologie. Inzicht in competenties - voor HR-managers bij zowel enterpriseals middelgrote organisaties betekent het certificaat dat de betrokken ICT-professional beschikt over duidelijk omschreven competenties. Wereldwijd erkend - doordat EXIN dit programma wereldwijd aanbiedt, maakt EXIN Certification in OpenStack Software het voor organisaties die in meerdere landen actief zijn mogelijk om een beter inzicht te verkrijgen in de kennis van mede-
Figuur 1. De verwachte groei van OpenStack.
Figuur 2. De positie van EXIN Foundation Certification in OpenStack Software binnen het totale programma van EXIN.
•
•
werkers die werkzaam zijn in meerdere landen en op tal van locaties. Dat maakt onder andere het inzetten van buitenlands personeel voor OpenStack-projecten eenvoudiger. Het programma is beschikbaar in meerdere talen. Compleet programma – bouwend op het Foundation niveau certificaat wat nu al beschikbaar is, komt EXIN tevens later dit jaar met de eerste kwalificaties op Advanced-niveau. Deze richten zich op specifieke onderdelen van OpenStack-software, zoals Neutron, Cinder en Swift. Opstap naar bredere opleiding doordat EXIN Foundation Certificate in OpenStack Software een integraal onderdeel uitmaakt van het veel bredere programma examens en certificeringen dat EXIN aanbiedt, kan het behalen van dit certificaat tevens een opstap betekenen naar vervolgstudies en -certificeringen.
Figuur 2 geeft de positie van deze certificering binnen het totale EXIN-programma aan.
Hans Vandam is journalist
MEER WETEN? DOWNLOAD DE BROCHURE Certificering op basis van EXIN Foundation Certificate in OpenStack Software past doorgaans in een driedaagse training. De feitelijke examens worden afgenomen door partners van EXIN, veelal opleidingsinstituten. EXIN heeft een speciale brochure samengesteld waarin meer informatie wordt gegeven over dit certificeringsprogramma. Interesse? Kijk op www.infosecuritymagazine.nl/ downloads
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
27
EXPERTVISIE IIR
BRENNO DE WINTER:
‘JE BENT NOOIT UITGELEERD ALS HET OVER INFORMATIEBEVEILIGING GAAT’ Steeds meer bedrijven schakelen professionals in die zich fulltime richten op informatiebeveiliging. Het is voor deze professionals echter niet eenvoudig op de hoogte te blijven van de ontwikkelingen op dit gebied. “Door de grote hoeveelheid aspecten die bij informatiebeveiliging komen kijken ben je eigenlijk nooit klaar met leren”, legt Brenno de Winter uit.
De Winter is onderzoeksjournalist en daarnaast hoofddocent van de opleiding Informatiebeveiliging bij IIR. “Informatiebeveiliging is een breed speelveld. Ik merk soms dat cursisten het heel ingewikkeld vinden met zoveel verschillende dingen bezig te zijn. Zij moeten alles afweten van techniek en informatie, maar ook kunnen omgaan met wetgeving.”
ÉÉN FTE IS NIET DE OPLOSSING! Security managers hebben geen eenvoudige taak. “Zij zijn eigenlijk een soort achtervang voor alles wat er binnen een bedrijf niet goed is geregeld. Ze worden geacht alle verbeterpunten in kaart te brengen, wat door het brede speelveld enorm ingewikkeld is”, legt Brenno uit. “Daarnaast moeten ze ook nog eens een communicatie-expert zijn en het probleem goed adresseren anders snapt niemand in de organisatie wat het probleem is. Er moet dus bewustzijn ontstaan.” Dit bewustzijn is van groot belang. “Security managers worden aangesteld om een bepaalde taak uit te voeren, maar zodra zij dit in de praktijk doen kunnen zij op weinig waardering rekenen. Vaak wordt voor security simpelweg één fte ingeboekt, waarvan de Security Manager wordt ingehuurd. Bedrijven denken hiermee het onderwerp security te hebben afgedicht. In de praktijk komt de Security Manager na zijn audit van de situatie vaak met allerlei maatregelen, die extra geld vragen maar hier is vaak geen budget voor gereserveerd.” TRAININGEN DOOR DOCENTEN UIT DE PRAKTIJK “IIR leert cursisten onder andere hiermee omgaan. De opleiding geeft managers de juiste handvatten om hun (eerste) stappen te zetten als security manager. Zij leren het speelveld te overzien, waarna ze zich zelfstandig verder in het onderwerp kunnen verdiepen. Deelnemers krijgen brede kennis mee over specifieke onderwerpen en leren zowel hun sterke als zwakke punten kennen. Daarnaast werken we met veel verschillende docenten die afkomstig zijn uit de praktijk. In de lessen die ik geef speelt KPMG bijvoorbeeld een grote rol. Binnen een organisatie als KPMG zijn enorm veel auditors aanwezig, die heel strak volgens de regels naar informatiebeveiliging kij-
•
•
•
•
Meer inhoudelijke informatie over de cursussen en trainingen van IIR is te vinden op www.iir.nl/ict. Of neem contact op met de opleidingsadviseur via 020 - 580 54 00. Brenno de Winter ken. Deze jongens zijn dagelijks met informatiebeveiliging bezig en hebben dus veel ervaring. Zij behandelen de theorie vanuit een praktisch oogpunt”, legt Brenno uit OVER IIR Het cursusaanbod bij IIR varieert continu. Zowel cybercriminelen als tegenmaatregelen ontwikkelen zich continu, waardoor ook de trainingen zich moeten aanpassen. De cursussen, trainingen en opleidingen van IIR worden dan ook continue afgestemd op ontwikkelingen in de praktijk. De volgende cursussen en trainingen staan de komende maanden op de agenda: • Summercourse Informatiebeveiliging (6-daagse verkorte opleiding van 16-06-2015 t/m 30-06-2015 | Scheveningen) • Privacy Officer 2.0 (4-daagse oplei-
'De opleiding geeft managers de juiste handvatten om hun (eerste) stappen te zetten als security manager' 28
ding van 09-04-2015 t/m 24-04-2015 | Amsterdam) IT Risk Management & Assurance (5-daagsebootcamp van 15-04-2015 t/m 26-05-2015 | Amsterdam) CISA: Certified Information System Auditor (6-daagse examentraining van 29-04-2015 t/m 04-06-2015 | Amsterdam) CISM: Certified Information Security Manager (4-daagse examentraining van 11-05-2015 t/m 28-05-2015 | Amsterdam) Praktijktraining Security Architectuur (2-daagse praktijktraining van 1805-2015 t/m 19-05-2015 | Amsterdam)
SUMMERCOURSE INFORMATIEBEVEILIGING Zorg dat uw informatiebeveiliging wél op orde is De Summercourse Informatiebeveiliging helpt u bij het creëren van awareness binnen uw organisatie. Zo voorkomt u dat uw beleid strandt in de uitvoering. •
•
• •
Alle belangrijke beveiligingseisen uit (inter)nationale wet- en regelgeving Inzicht in technische en niet-technische risico’s van (nieuwe) technologieën Elke dag een hands-on praktijkcasus Inclusief: 36 PE-punten & iPad Air met digitaal lesmateriaal
De hoofddocenten zijn security specialisten Brenno de Winter en Vincent Damen, afgewisseld door zes gastsprekers. Locatie: Boomerang Beach Scheveningen Data: 16, 17, 18, 23, 24 en 30 juni 2015
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
29
EXPERTVISIE LOI / NOVI
De Chief Information Security Officer van morgen:
OP ZOEK
len, enerzijds als adviseur en anderzijds als sparring partner van het bestuur. De vraag is of de CISO-van-morgen wel over de juiste kennis en kunde beschikt en of de huidige opleidingen voldoende zijn toegerust op dat wat de moderne CISO moet kunnen en kennen.
moeten worden aangevuld met bedrijfsmatige, organisatorische en psychologische vaardigheden. Gericht op het aanzetten tot voorwaartse actie. Tenminste, als de CISO de verandering blijvend wil laten zijn en security als een continu proces wil borgen. Al met al kunnen we uit het onderzoek uit 2013 concluderen dat de CISO van vandaag beperkingen heeft. CISO’s evalueren en adopteren maar deels de relevante krachten in hun strategie en beleid. Ze weten dat security een continu proces is maar hebben moeite het daadwerkelijk als zodanig te effectueren. Een mogelijke blinde vlek kunnen de sociale vaardigheden zijn. Bijvoorbeeld vaardigheden om doortastend te zijn of meer eisend ten aanzien van het management.
DE CISO VAN VANDAAG In 2013 heb ik een grootschalig onderzoek uitgevoerd om te verkennen wat de strategische kernvraagstukken zijn waar security professionals mee te maken hebben. Ik wilde vaststellen over welke kennis en vaardigheden CISO’s moeten beschikken om de zogenaamde ‘knowing-doing-gap’ te overbruggen. De bevraagde security experts geven aan dat security veelal wordt gezien als een project, maar meer zou moeten worden opgevat als een proces. Opvallend is dat de ondervraagden bij de beantwoording van de vragen weinig ‘zachte vaardigheden’ aanreiken, zoals overtuigingskracht, communicatieve vaardigheden of sensitiviteit ten aanzien van ontwikkelingen in de organisatie. Terwijl ze wel veel waarde bleken te hechten aan zulke ‘soft skills’ en deze zelfs als een belangrijke succesfactor aanmerkten. CISO’s zitten ogenschijnlijk dus wat meer aan de kant van de hard skills (kennis en ervaring) en minder aan de zijde van de soft skills (vaardigheden en competenties). Dit is tegenstrijdig aan dat wat bestuurders en toezichthouders verwachten ten aanzien van de toekomstige ontwikkelingen van hun talenten. Zij zien een groeiende behoefte bij zichzelf en hun mensen aan onder andere helikopter view, kritisch doorvragen, oordeelsvermogen, commitment, resultaatgerichtheid, ondernemingszin en strategisch inzicht. Dit vraagt om een verschuiving binnen de CISO-capaciteiten en hedendaagse opleidingen. Inhoudelijke kennis zal
DE CISO VAN DE TOEKOMST De CISO van de toekomst zal doordrongen moeten zijn van het enorme effect dat het vertrouwen van de stakeholders heeft op de continuïteit van de organisatie. Hij zorgt verder voor de noodzakelijke verbinding van de governance (het richten) met het management (het inrichten van processen) en met de operatie (het verrichten van activiteiten). En als er stakeholder-belangen in het geding zijn, dan grijpt hij in. Steeds zal hij hun belangen op het gebied van security verbinden aan de belangen en doelstellingen van de organisatie. De CISO van de toekomst is dus een verbinder. Hij is in staat om met bestuurders in begrijpelijke bewoordingen over technische onderwerpen te communiceren. Hij is een vaardige verandermanager die psychologisch inzicht paart aan organisatorische sensitiviteit. Hij beschikt over globale kennis van aanpalende disciplines zoals juridische zaken. Hij weet waar de grenzen van de wet liggen en waar die worden overtreden. Hij weet ook waar de aansprakelijkheden van de organisatie liggen. Hij heeft een inschatting gemaakt van de risico’s die de organisatie loopt en is in staat om deze in financiële zin te kwantificeren. Hij heeft verder globale kennis van HR-processen. Hij weet wat de regels zijn waar gebruikers zich aan moeten houden en zorgt ervoor dat deze niet strijdig zijn met hun wettelijke rechten, zoals bijvoorbeeld vastgelegd in arbeidsrecht en de privacywetgeving. Hij is verder toegerust met globale kennis van architecturen
NAAR EEN DUIZENDPOOT Met de intrede van security in de boardroom wordt de vraag actueel hoe dit onderwerp te duiden. Hoe specificeren we het? Wie is verantwoordelijk en aansprakelijk? Dit is noodzakelijk om greep op de materie te krijgen. Het duiden is vooral lastig omdat de kritische assets (in dit geval data) doorgaans niet als zodanig op de balans staan en dus ook niet in het jaarverslag terugkomen. Zelden wordt de goodwill van de data op de balans tot uitdrukking gebracht. Daarom staat dit onderwerp in de meeste gevallen ook niet op het netvlies van de bestuurder (Raad van Bestuur) of de toezichthouder (Raad van Commissarissen). Incidenten waarbij de bestuurdersaansprakelijkheid nadrukkelijk aan
de orde is, komen vooral via de media naar buiten (denk aan RSA, Gemalto, ASML, NZA, Sony, ING) en zorgen daarmee voor de urgentie om meer grip te krijgen op dit fenomeen. Dat blijkt nog steeds lastig. De belangrijkste oorzaak hiervan is dat de bestuurder nog altijd onvoldoende wordt gevoed met input om een gefundeerde discussie te kunnen voeren. De CISO ofwel de Chief Information Security Officer zal hier in toenemende mate een rol vervul-
Lec. Yuri Bobbert Msc RI is onderzoeker aan de Universiteit van Antwerpen op het terrein van bedrijfskritische informatiebeveiliging (Business Information Security). Daarnaast is hij lector bij Hogeschool NOVI en betrokken bij de realisatie van security opleidingsprogramma’s van LOI Hogeschool.
30
(business systemen en IT-architecturen) en kan security architectuurprincipes duiden. Ook heeft hij globale kennis van marketing in huis. Kennis die hij vooral intern benut om bij de medewerkers de juiste houding en het juiste gedrag te bewerkstelligen. Niet in de laatste plaats heeft de CISO van morgen feeling voor finance. Hij begrijpt waar de organisatie haar geld mee verdient, hoeveel er wordt verdiend en of het op een verantwoorde wijze wordt uitgegeven (security van investeringen in relatie tot risico’s). Hij is in staat om business cases uit te werken en toe te lichten om de noodzaak van investeringen in security te onderbouwen. Hij maakt een gedegen afweging van security uitgaven ten opzichte van te realiseren doelen en kan deze afzetten tegen de industriecijfers (benchmarks). De CISO van de toekomst weet bovenal wat hij niet weet. Daarom weet hij dat hij moet samenwerken en is hij daardoor in staat samen te werken in multidisciplinaire teams van experts. Hij waakt als een liaison over de juiste teamsamenstelling van kennis, vaardigheden en ervaring. PERMANENTE EDUCATIE Concluderend kunnen we stellen dat de CISO van de toekomst een duizendpoot is die zich door middel van permanente educatie de kennis en vaardigheden eigen maakt die hij nodig heeft om zijn organisatie blijvend te kunnen (be)dienen. Voor ons vakgebied - waarin veranderingen zich continu voordoen - zijn snelheid en doelgerichtheid van eminent belang. Interventies die nodig zijn om beveiliging naar een hoger plan te tillen, kunnen niet uit louter theoretische zaken bestaan. Er is een voortdurende terugkoppeling vanuit de praktijk nodig. Snelle ‘feedback loops’ zijn dus essentieel. Daarom is ‘action research & learning’ zo’n uitermate geschikte methodiek voor ons vakgebied. Juist door deel uit te maken van het te onderzoeken object ontstaat ‘levende kennis’. Het is aan hogescholen en universiteiten om hiervoor opleidingen te hebben of te ontwikkelen. Niet alleen om de CISO van de toekomst op te leiden qua (technische) kennis en kunde, maar vooral ook om hem/haar de vaardigheden mee te geven die hij/zij nodig heeft om adequaat te blijven functioneren en zo zijn bestuurders te kunnen blijven adviseren.
Daarom pleit ik ervoor om action learning en action research op te nemen in de onderzoekslijnen en leerlijnen van universiteiten en hogescholen. Hogeschool NOVI doet dit al tot grote tevredenheid van de deelnemers. De opleiding ICT van deze hogeschool is recent gekozen tot beste deeltijdopleiding van Nederland. Criteria om deze kwalificatie te verkrijgen waren kleinschaligheid, individuele begeleiding en de intensieve wijze zoals het onderwijs (action learning) wordt gegeven. Onder andere door praktijkgevallen in te brengen in onderzoek en onderwijs en zo actiegericht tot kennisverbreding en -verdieping te komen. Zowel Hogeschool NOVI als ook LOI Hogeschool hebben een leerlijn ‘business information security’ gedefinieerd waarin de ISO en de CISO van de toekomst kunnen worden opgeleid.
MEER WETEN? Yuri Bobbert schreef in 2010 het boek ‘Maturing Business Information Security, a framework to establish the desired state of security maturity’, dat wordt gebruikt op verschillende universiteiten en hogescholen. Vanuit dit boek zijn de MBIS-methode en het MBIS-platform ontstaan (mbis.eu). In 2014 verscheen zijn tweede boek: ‘Hoe Veilig is mijn ‘aandeel’?, Het borgen van Reputatie, Vertrouwen en Continuïteit met de MBIS methode’. Daarnaast heeft Bobbert meerdere wetenschappelijke publicaties op zijn naam. Dit artikel is een bewerking van het hoofdstuk ‘Competentiemanagement’ dat is opgenomen in het boek ‘Hoe veilig is mijn aandeel?’. Dit boek is het resultaat van praktisch en wetenschappelijk onderzoek bij ruim honderd organisaties naar de beveiliging van kritische assets en de wijze waarop bestuurders en managers hun reputatie, vertrouwen en continuïteit kunnen borgen.
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
31
EXPERTVISIE NEN
e-CF zorgt voor structuur
EUROPEES
COMPETENTIE FRAMEWORK VOOR ICT-PROFESSIONALS Omdat er een groot tekort is aan ICT-experts in de EU, heeft de Europese Commissie vanaf 2003 de ontwikkeling van het e-Competence Framework (e-CF) gestimuleerd door steun te geven aan de CEN Workshop ICT Skills. Het e-CF is een neutraal hulpmiddel voor de ICT-sector en een Europees referentiepunt bij het vaststellen van e-competenties (het kan bijvoorbeeld van belang zijn bij HR-management en -planning). Momenteel wordt gewerkt aan een Europese norm voor het e-CF, verwacht wordt dat deze eind 2015 verschijnt.
In 2008 is de CEN Workshop Agreement (CWA) 16234-1 ‘European e-Competence Framework’ (eCF) gepubliceerd. Het e-CF is goed ontvangen en al enkele keren herzien. In 2013 is de derde versie verschenen. Het Italiaanse normalisatie-instituut UNI heeft het e-CF overgenomen als nationale norm en vervolgens het voortouw genomen om hier een Europese norm van te maken. Een Europese norm moet worden overgenomen
door alle lidstaten van de EU, zo ontstaat er één ‘speelveld’ voor e-competenties in Europa. PROCES OM TE KOMEN TOT EEN EUROPESE NORM Begin dit jaar is de CEN-normcommissie ‘eCompetences and ICT professionalism’ opgericht die een Europese norm ontwikkelt op basis van de laatste versie van het e-CF. Eén van de verschillen met een CWA is dat in een norm duidelijk moet zijn wanneer eraan wordt voldaan. Verder heeft een Europese norm een gestandaardiseerde lay-out en hoofdstukindeling. De voorlopige indeling is als volgt: • • • • • •
Inleiding Onderwerp en toepassingsgebied Normatieve verwijzingen Termen en definities Algemene uitgangspunten Doel
Het laatste hoofdstuk gaat geheel over e-Competences. Dit is vrij gedetailleerd en wordt opgedeeld in de te doorlopen fases: A. B. C. D. E.
PLAN BUILD RUN ENABLE MANAGE
In de bijlagen zijn voorbeelden opgenomen voor de mogelijke toepassing van de norm in organisaties met een sterke ICT-afhankelijkheid en/of ICT-component, voor IT-leveranciers in een zakelijke omgeving en voor MKB-bedrijven. De tekst van de CWA wordt nu omgewerkt naar het normformat. Het streven is dat er zo min mogelijk betekenisverschillen ontstaan tussen de CWA en de Europese norm. De veranderingen in de tekst worden voorgesteld, besproken en beoordeeld door de CEN-normcommissie. Inmiddels is een tweede concept van de Europese norm verschenen. Hierop zijn meer dan 100 commentaren binnengekomen die zijn besproken tijdens de laatste vergadering van de CEN-commissie, in oktober 2014 in Berlijn. Verwacht wordt dat de ‘Europese e-CF’-norm eind 2015 verschijnt. 32
'Het e-CF is een neutraal hulpmiddel voor de ICT-sector en een Europees referentiepunt bij het vaststellen van e-competenties' NEDERLANDSE VERTEGENWOORDIGING CEN is het Europese normalisatie-instituut. Aan de CEN-normcommissie wordt deelgenomen door de Europese normalisatie-instituten. Vanuit NEN werkt de normcommissie ‘ICT-Competenties’ mee aan deze Europese norm. Op het moment zijn de firma’s IT-Staffing en ABIO de twee leden van deze commissie. KOMENDE ONTWIKKELINGEN Op de CEN-commissievergadering begin 2015 komt de NEN-commissie met ideeën voor de volgende versie van de eCF norm. De NEN-commissie vindt het van belang dat de begrippen in het e-CF beter gedefinieerd worden en de relaties tussen de begrippen op een eenduidige
wijze worden vastgelegd. Verder moet worden nagedacht over hoe het e-CF ‘geautomatiseerd’ kan worden gebruikt.
MEER WETEN? Als u meer wilt weten over deze normcommissies of deel wilt nemen aan het normalisatieproces dan kunt u contact opnemen met Jan Rietveld. Hij is secretaris van de normcommissie ‘IT Beveiligingstechnieken’ en de commissie ‘ICT-Competenties’ van NEN. E-mail: jan.rietveld@NEN.nl.
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
33
EXPERTVISIE SCOS
SCOS organiseert Wireshark
NETWORK EN SECURITY TRAINING
• • •
•
Als officiële Wireshark Trainings Center van de Wireshark University van Laura Chappell organiseert SCOS Software regelmatig de Wireshark Troubleshooting TCP/IP Networks-training. Wireshark is een populaire tool voor netwerkanalyse met meer dan 500.000 downloads per maand. SCOS organiseert in Europa regelmatig trainingen rond deze tool. WIRESHARK UNIVERSITY: TROUBLESHOOTING TCP/IP NETWORKS In deze training (vijf dagen) wordt ingegaan op het efficiënt gebruiken van Wireshark en de packet-level TCP/IP communicatie door het bestuderen van zowel het correct als verkeerd gedrag van netwerken. In een groot gedeelte van de training wordt diep ingegaan op de mogelijkheden van Wireshark. Verder worden het beoordelen van zowel normale als abnormale communicatiepatronen van de TCP/IP-toepassing en de meest gangbare applicaties bestudeerd. Denk aan DHCP, DNS, FTP, Telnet, HTTP, POP en SMTP. De nadruk gedurende de training ligt sterk op hands-on lab-oefeningen en case studies uit de praktijk. Hiermee wordt kennis opgedaan welke direct na de training gebruikt kan worden.
ADVANCED NETWORKS / SECURITY ANALYSIS Network en Security Analysis (eveneens vijf dagen) omvat de vaardigheden van niet alleen het vastleggen van gegevens, maar ook de mogelijkheid om ongebruikelijke patronen verborgen in schijnbaar normaal netwerkverkeer te onderscheiden. Deze cursus biedt de student een reeks van onderzoek- en analysetechnieken gericht op het gebruik van vendor-neutrale, open-source tools zoals Wireshark om inzicht te geven in de volgende gebieden: • Advanced Network en Security Analysis methodieken • Prestaties van het netwerk analyse en veiligheid bedreiging herkenning betreffende problemen met netwerkprestaties en netwerkaanvallen, Bot-Net gevaarherkenning evenals standaard gebruiker protocol problemen, waaronder IP-gerelateerde protocollen en andere op veelgebruikte internettechnologie gebaseerde user-protocollen (HTTP, VoIP, IRC, IM)
• •
•
Open-Source Network Analysis hulpmiddelen Gespecialiseerde Network Security Analysis technieken, waaronder reconstructie van verdacht dataverkeer en analyse technieken Real-World voorbeelden zullen tijdens de cursus worden gebruikt in combinatie met een groot aantal hands-on oefeningen om in de praktijk bewezen, praktische Network en Security Analysis vaardigheden te bieden. Deelnemers krijgen de beschikking over talrijke Wireshark trace-bestanden en een DVD met netwerk en beveiliging gereedschappen, evenals een bibliotheek van Network Security Analysis referentiedocumenten
CSI TRAINING: CYBER SECURITY INVESTIGATION AND NETWORK FORENSIC ANALYSIS De CSI Training (lengte: vijf dagen) is door SCOS speciaal ontwikkeld voor netwerkbeveiligings- en wetshandhavingspersoneel met basis- tot gemiddelde kennis van algemene beveiliging en netwerken. Deze cursus maakt forensische netwerkanalyse (Network Forensics Analysis) toegankelijk voor de deelnemers. Indien men reeds beschikt over goede kennis van hostbased forensische analyse leert men toepassingen met betrekking tot het ‘end-to-end’ digitale forensische proces. Forensische netwerkanalyse omvat het registreren van verdachte gegevens en het ontdekken van ongebruikelijke patronen die schuilgaan achter schijnbaar normaal netwerkverkeer. Deze cursus voorziet de deelnemer van een set onderzoekstechnieken en richt zich op het gebruik van leveranciersonafhankelijke, opensourcetools om inzicht te verschaffen in de volgende gebieden:
34
• •
De grondbeginselen van forensische analyse Datarecorder technologie en data mining Netwerkbeveiligingspr incipes, waaronder encryptietechnologieën en defensieve configuraties van apparaten voor de netwerkinfrastructuur Herkenning van beveiligingsrisico’s voor verschillende algemene netwerkaanval- en exploitscenario’s, waaronder netwerkverkenningstechnieken, gevaarherkenning van botnetwerken en ‘man-in-the-middle’-aanvallen evenals algemene kwetsbaarheden in het gebruikersprotocol, inclusief IP-gerelateerde protocollen (IP/TCP, DNS, ARP, ICMP), e-mailprotocollen (POP/ SMTP/IMAP) en andere, algemene webbased gebruikersprotocollen Opensource-tools op het gebied van forensische netwerkanalyse Gespecialiseerde forensische netwerkanalysetechnieken, inclusief reconstructie van verdachte gegevens en inspectietechnieken
Gedurende de cursus worden praktijkvoorbeelden gebruikt, in combinatie met verschillende praktijkoefeningen, zodat in de praktijk bewezen, praktische forensische analysevaardigheden worden verkregen. WIFI EN WLAN NETWORK ANALYSIS Deze vijfdaagse cursus is bedoeld voor Wireless Network Engineers en Ehernet-netwerk Engineers voor het verdiepen van hun kennis op het gebied van draadloze netwerken. Deze cursus biedt de cursist een set van analysetechnieken gericht op het gebruik van vendor-neutrale, open-source tools om inzicht te geven in de volgende gebieden: • Wireless Network Analysis fundamentals • Data Recorder technologie en data-mining • Beveiliging gericht op draadloze netwerken, waaronder encryptie technologieën en defensieve configuraties van netwerkinfrastructuurapparaten • Herkennen van diverse problemen die WiFi / WLAN-netwerken en de kwaliteit van de data beïnvloeden
Factoren zoals latency, out-of-sequence pakketten, packet loss en retransmissions en hoe de ervaring van eindgebruikers kan worden geanalyseerd en geëvalueerd. Specifieke draadloze communicatie protocollen waaronder gegevens, beheer en controle en bijbehorende ondersteunende protocol architecturen zullen worden onderzocht. VOICE OVER IP (VOIP) ANALYSE Deze cursus (drie dagen) is bedoeld voor Network Engineers, VoIP en Netwerk Telefonie medewerkers welke een basiskennis bezitten over algemene VoIP / Telefonie en netwerken. Deze cursus biedt de cursist een set van analysetechnieken gericht op het gebruik van vendor-neutrale, open-source tools om inzicht te geven in de volgende gebieden: • VoIP Network Analysis fundamentals • Data Recorder technologie en data-mining • VoIP gerichte netwerkbeveiliging principes waaronder encryptie technologieën en defensieve configuraties van netwerkinfrastructuurapparaten • Herkennen van diverse problemen die VoIP-netwerken en de kwaliteit van de voice data beïnvloeden Factoren zoals latency, out-of-sequence pakketten, Jitter en Quality-of-Service en hoe de ervaringen van eindgebruikers kan worden geanalyseerd en geëvalueerd. Standaard VoIP gerelateerde protocollen waaronder SIP, MGCP, SCCP, UNISTEM, H.323 en bijbehorende ondersteunende protocol architecturen zullen worden behandeld. WINDOWS DIGITAL FORENSICS (5 DAGEN) Deze cursus is speciaal bedoeld voor Windows-beheerders, Windows forensische analisten en Law Enforcement personeel met basiskennis van de Microsoft Windows-architectuur, maar geen kennis van Windows Digital Forensics.
het diepgaande forensische analyse van Windows-besturingssystemen en media gericht op Windows. Identificeer artefact en bewijs locaties die belangrijke vragen beantwoorden, waaronder vragen over de uitvoering van een programma, bestand openen, extern gebruik van het apparaat, geo-locatie, het downloaden van bestanden, anti-forensisch onderzoek en gebruik van het systeem. Na afloop is de deelnemer een effectieve Windows Digital forensisch analist en beheerder met een goed kennisniveau en inzicht om efficiënt digitaal bewijsmateriaal te behouden, extraheren en analyseren in Windows-systemen. Bovenstaande trainingen worden regelmatig door SCOS zowel in Amsterdam-Hoofddorp als op lokatie van de klant georganiseerd.
OVER SCOS EN WIRESHARK SCOS is de enige partij in Europa die door de Wireshark University geautoriseerd is om de Wireshark Network en Security Training te verzorgen. SCOS-trainers zijn Certified Wireshark University Trainers, lid van FBI InfraGard, het Computer Security Institute, het IEEE en het Cyber Warfare Forum Initiative. Ze spreken regelmatig op regionale, nationale en internationale evenementen op het gebied van netwerken en beveiliging. De eerstvolgende cursussen worden verzorgd in Amsterdam-Hoofddorp: • 1-5 Juni 2015 Troubleshooting TCP/IP Networks (Wireshark University) • 8-12 Juni 2015 Advanced Networks and Security Analysis Voor meer inlichtingen: http://www.wireshark.training 023 5689227
Voor maximale effectiviteit, moeten de deelnemers ten minste elementaire kennis hebben van TCP/IP-netwerken, Windows-netwerken en Wireshark. De inhoud van de cursus richt zich op de mogelijkheden en technieken voor analyse in plaats van hoe men een specifiek instrument kan gebruiken. Tevens biedt
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
35
EXPERTVISIE TSTC
Emile Kok:
‘SECURITY-TRAININGEN HEBBEN DIEPGANG NODIG’
Informatiebeveiliging wordt volwassener, heeft daardoor steeds meer behoefte aan specialisten en zal door de groeiende focus op privacy nog meer aandacht gaan krijgen. Het in security trainingen gespecialiseerde opleidingsinstituut TSTC zit dicht bij het vuur als het gaat om trends in de informatiebeveiliging. “Dagelijks leggen bedrijven en cursisten hun kennisbehoefte bij ons neer waardoor verschuivingen in het vakgebied
snel zichtbaar zijn. Ons opleidingsprogramma wordt gevormd door die vraag en geeft dan ook een goed beeld van de
diversiteit die informatiebeveiliging tegenwoordig kenmerkt”, stelt Emile Kok, algemeen directeur van TSTC VERANDERDE BEHOEFTE Tussen 2006 en 2012 was de vraag naar security trainingen volgens Kok redelijk homogeen. Om hun betrokkenheid bij beveiliging aan te tonen, streefden organisaties vooral naar security awareness en medewerkers met bekende titels als
CISSP, CISM en CEH achter hun naam. Omdat vacatures hetzelfde beeld gaven, gingen professionals op zoek naar dergelijke trainingen om hun kansen op de arbeidsmarkt te vergroten. Deze behoefte is volgens TSTC niet verdwenen maar is de afgelopen jaren steeds meer uitgebreid met de wens naar verdere specialistische kennis. Waar een netwerkbeheerder eerder bij veel bedrijven nog kon worden aangewezen als ‘de collega die alles weet over beveiliging’ is hij tegenwoordig nog slechts de firewallspecialist of één van de netwerkbeveiligers. “Met het volwassener worden van informatiebeveiliging, zijn er meer specifieke rollen ontstaan met daarin afgebakende verantwoordelijkheden. Een security professional wordt nog wel geacht over veel zaken iets te weten, maar is bij veel organisaties niet langer meer generalist. Dit verklaart ook het succes van meer gerichte verdiepingstrainingen in penetratietesten, risk management, incident response en cloud security. Deze ontwikkeling wordt verder gestimuleerd door nieuwe eisen van de overheid zoals de jaarlijks verplichte DigiD audit waar bijvoorbeeld gemeenten mee te maken hebben en die dwingen te investeren in verdere ex- of interne security kennis.” PRIVACY In dat kader zal de nieuwe Europese Verordening Bescherming Persoonsgegevens, die de WBP moet gaan vervangen, weer consequenties hebben voor de opleidingsvraag in 2015. Ondanks dat er nog enkele knopen doorgehakt moeten worden, is al wel duidelijk dat er een grote verantwoordelijkheid bij bedrijven komt te liggen op het gebied van bijvoorbeeld privacy management. Waar deze kennis voorheen beperkt bleef tot de juridische afdeling, wordt privacy steeds meer (mede) het domein van informatiebeveiligers en compliance officers. “Omdat de nieuwe privacy verordening vergaande gevolgen heeft voor de informatiebeveiliging en we hier steeds meer vragen over kregen, is TSTC vorig jaar een exclusieve samenwerking aangegaan met IAPP, de grootste internationale vakvereniging voor privacy professionals. We zijn in mei gestart met hun bekendste CIPP/E titel die cursisten certificeert in globale- en Europese privacy wet- en
36
regelgeving. Dit jaar zullen we het programma verder uitbreiden met CIPM en CIPT die gaan over hoe deze kennis toe te passen in een privacy management of technische functie. CIPP/E en CIPM sluiten in combinatie het beste aan op de eisen uit de Europese verordening waarmee veel bedrijven verplicht worden een privacy functionaris aan te stellen.” CERTIFIED CHIEF INFORMATION SECURITY OFFICER (CCISO) Een andere nieuwe titel die TSTC in 2015 zal introduceren is CCISO. De laatste jaren is de eindverantwoordelijkheid voor informatiebeveiliging steeds hoger in de organisatie komen te liggen met de CISO functie tot gevolg. De CISO opereert op het grensvlak tussen beleid en techniek, tracht deze werelden in zijn functie te verenigen en heeft een organisatie brede kijk op informatiebeveiliging. Bij veel potentiële kandidaten schiet de vereiste management- of technische kennis volgens TSTC nog tekort om voldoende draagvlak te kunnen krijgen binnen alle lagen van de organisatie. De CCISO training behandelt al deze aspecten en met name de samenhang ertussen zodat de functie beter kan worden ingevuld. CCISO is een internationaal erkende certificering van EC-Council en fungeert
tevens als aanvulling op een eventuele behaalde CISSP en/of CISM certificering in verband met de specifieke focus op de CISO-rol en de daarbij behorende werkzaamheden. OPLEIDEN ANNO 2015 Volgens TSTC’s directeur is het werk van de opleider langzaam aan het verschuiven. “Bedrijven schakelen ons naast hun reguliere trainingen vaker in voor maatwerktrajecten waarbij certificering nietof van ondergeschikt belang is. We hebben de beschikking tot een uitgebreid netwerk van internationale professionals die naast hun praktijkervaring ook didactisch in staat zijn om hun kennis over te brengen. Om niet voor elke klant een nieuwe training samen te hoeven stellen, zullen we in 2015 ook meer specialistische titels brengen die door kleine groepen te boeken en op punten aan te passen zijn.” Kok noemt voorbeelden als SAP security, Malware Analysis en Exploit Development maar geeft aan dat klanten TSTC met al hun security en privacy vragen kunnen blijven benaderen. “Want één ding verandert er niet, de kennisbehoefte van onze klanten bepaalt uiteindelijk de trainingen op onze agenda.”
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
37
1. Wachtwoordmanagement Bij de ingebruikname van apparaten wordt gemakshalve het standaardwachtwoord niet gewijzigd. Veel gemakkelijker kunnen bedrijven het een hacker niet maken. Het internet wemelt immers van de lijsten met apparaten en bijbehorende standaardwachtwoorden.
4. Softwaremanagement Laat alleen geautoriseerde gebruikers software uitrollen. Installeer altijd de
Lees voor meer informatie de whitepaper ‘Five Best Practices to Improve Building Management Systems (BMS) Security’ via de website van Schneider Electric.
SLA
VIRTUALISATIE
APPS
SECURITY
STORAGE
LAAS
MIGRATIE PRIVATE APPS CONVERSION HYBRIDE CLOUDCOMPUTING IT MANAGEMENT
SAAS
PRIVATE LAAS
GREEN IT
PAAS
5. Beheers kwetsbaarheden Ontwikkel een risk management-plan dat alle types risico’s afdekt. Zorg voor een formeel document voor iedere installatie.
SOLUTIONS
3.Gebruikersmanagement Verleen gebruikers slechts die toegangsrechten die zij nodig hebben om hun werk te doen. Op die manier voorkomen organisaties schade door bijvoorbeeld ongeautoriseerde medewerkers.
PAAS MIGRATIE
SOLUTIONS
nieuwste updates. Hiermee blijven ondernemingen maximaal beschermd tegen lekken en bugs in de code.
CLOUDSHOPPING
SECURITY
PUBLIC
“Daar moet verandering in komen”, aldus Spijkers. “Organisaties behoren onder meer het beherende personeel goed te trainen, zodat zij (nieuwe) bedreigingen leren herkennen en passende maatregelen kunnen toepassen.” Daarnaast zijn de best practices voor het beveiligen van IT in het algemeen ook zeer goed toepasbaar voor een GBS. Deze verminderen de kans op een digitale inbraak en de daaraan verbonden schade aanzienlijk. De best practices zijn:
terfaces tegen SQL-injecties. Investeer in goede firewalls en vergeet ook de fysieke beveiliging niet.
STORAGE
De totale schade van cybercriminaliteit aan IT-systemen bedraagt volgens een onderzoek van McAfee zo’n 263 miljard dollar per jaar. Het GBS is daar inmiddels een volwaardig onderdeel van. Het resultaat is verloren productiviteit, technische support en gemiste omzet. Maar ook minder kwantificeerbaar verlies zoals imagoschade. Het is volgens Marcel Spijkers, Algemeen Directeur bij Schneider Electric in Nederland, dan ook merkwaardig dat veel van deze systemen nog geen adequate beveiligingsstrategie hebben.
CLOUDCOMPUTING
VIRTUALISATIE
Volgens Schneider Electric hebben organisaties de beveiliging van gebouwbeheersystemen (GBS) niet altijd op orde. Doordat de systemen nauw zijn geïntegreerd met de gehele IT enterprise, communiceren ze via allerlei open protocollen onder meer met internet en mobiele apparaten. Hierdoor zijn gebouwbeheersystemen zeer kwetsbaar voor cybersecurity. Schneider Electric geeft daarom ‘best practices’ om grote financiële schade te voorkomen.
DATAC GREEN IT
HELPEN GEBOUWBEHEERSYSTEMEN GOED TE BEVEILIGEN
SECURITY
MIGRATIE
BEST PRACTICES
PRIVATE
LAAS CONVERSION
HYBRIDE IT MANAGEMENT
PUBLIC
WHITEPAPER
GREEN IT
cloudworks.nu geheel vernieuwd! Feiten en fictie in kaart gebracht
2. Netwerkmanagement Een GBS is onderdeel van het IT-netwerk en beveiliging van dit netwerk is dan ook een goed startpunt. Beperk toegang tot niet IP-gerelateerde communicatiekanalen zoals USB-poorten en beveilig webin38
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
39
SECURITY INFORMATION & EVENT MANAGEMENT:
TE MOOI
OM WAAR TE ZIJN? Security Information & Event Management (SIEM) is bezig aan een opmars. De belofte rondom deze technologie is groot: ‘Met het toepassen van deze technologie verkrijgt u zichtbaarheid over het volledige IT-landschap en kunt u afwijkingen ofwel ‘cyberincidenten’ identificeren’. Een terechte belofte? Of toch niet? Het verhaal klinkt uitstekend, door middel van het automatisch verwerken van alle logregels kan er zichtbaar gemaakt worden wat er op het netwerk en applicatie landschap gebeurt en kunnen er afwijkingen en cyberincidenten gesignaleerd worden. Wie wil dit niet? Inderdaad zijn er steeds meer bedrijven die kiezen voor het toepassen van SIEM-technologie. De meest voorkomende ‘drivers’ voor aanschaf van een SIEM-product of -dienst zijn: •
•
•
compliance automation (uit overtuiging of omdat er open audit punten zijn) security management en monitoring (als antwoord op de zogenaamde Advanced Persistent Threats (ATPs)) of beide
Kort gezegd komt de werking van een SIEM op het volgende neer. In zijn algemeenheid genereren alle componenten in een IT-netwerk één of andere manier van transactie-logging die reflecteert wat er op het platform gebeurt. Dit vindt plaats op alle niveaus: netwerkcomponenten, operating systems, databases, security-componenten, applicaties, fileshares, enz. SIEM-technologie verzamelt deze logregels continu, probeert te begrijpen wat een logregel is (authenticatie event? firewall verkeersregel? configuratie-wijziging?), probeert de structuur van de logregel te begrijpen (srcIP 10.0.0.20 betekent SourceIPAddress = 10.0.0.20) en verwerkt deze logregel. Verwerken houdt in het op één of andere wijze indexeren en opslaan van het event en het halen van de logregel langs een lijst van 40
SIEM-regels. Deze regels vormen de ingebrachte logica en kunnen individuele logregels met elkaar correleren.
soort ‘transactie ID’ gemeenschappelijk. Mijns inziens is dit een belangrijk verbeterpunt voor de huidige stand van de technologie in de SIEM-wereld: het (automatisch) terugbrengen van gefragmenteerde, maar gerelateerde logregels tot een begrijpelijke gebruikerstransactie: Jan Jansen logt van buiten in bij zijn bedrijf, volgens de regels der kunst. Of niet natuurlijk - en dan hebben we een incident te pakken.
Door correlatie toe te passen, kunnen verbanden worden gelegd en patronen herkend. Eventueel kunnen onwenselijke scenario’s geïdentificeerd worden of kan er worden bevestigd dat er altijd een bepaalde werkwijze gevolgd wordt (compliance automation).
Terug naar logregels. In het algemeen kan men stellen dat logging de volgende kenmerken heeft:
UITDAGING Dit klinkt mooi, maar de werkelijkheid is weerbarstig. Het is nog niet zo eenvoudig om een goede, effectieve SIEM-oplossing uit te rollen. Waar zit deze uitdaging? Het begint met het begrijpen van logging. Mensen hebben bijna romantische ideeën over logregels. Stel, Jan Jansen logt vanuit huis in bij zijn bedrijf. Er wordt een veilige tunnel opgezet, hierover wordt een RDP-sessie gestart en daarmee heeft deze persoon zijn bedrijfsdesktop thuis op zijn scherm geprojecteerd. In dit proces spelen netwerkverkeer en two-factor authenticatie een rol. De verwachting is dat er nu één logregel gegenereerd is in de trant van:
•
Jan Jansen heeft op tijdstip x een tunnel opgebouwd vanuit IP adres 77.164.38.20, heeft een tijdelijk tunnel adres gekregen:10.0.20.30 en is succesvol ingelogd op Windows met user credentials ‘jan. jansen’. Niets is minder waar. Deze transactie levert meer dan honderd gefragmenteerde logregels op, die alle een klein deel van de puzzel bevatten. Ze komen verspreid voorbij en zitten verstopt in een logflow van driehonderd logregels per seconde. Helaas hebben al deze losse, gefragmenteerde logregels niet een
• •
• • • •
Gevoelig Onvoorspelbaar (twee maal identieke transactie kan verschillende log-resultaten opleveren) Zeer netwerk- en implementatie-specifiek: identieke IT-componenten die verschillend geconfigureerd zijn kunnen zeer verschillend log-gedrag opleveren Onverwacht Repeterend Volumineus Gefragmenteerd
De volgende uitdaging is logregel herkenning of logregel parsing. Dit is bijzonder gevoelig en voornamelijk gebaseerd op een techniek die ‘regular expression’ wordt genoemd (zoals bijvoorbeeld gebruikt door HP ArcSight). Een kleine verandering in een logregel kan resulteren in een mislukte herkenning door een ‘regular expression’. Dat kan weer leiden tot het niet herkennen van een event, wat de geplande opvolgende correlaties en rapportages verhindert. Een derde belangrijke as om log-events te herkennen en te benoemen is de informatie waarmee het event gelabeld kan worden door de toegepaste zonering. Met andere woorden: concluderen in welk deel van het netwerk de logregel is ontstaan, bepaalt een aantal kwalificaties die horen bij deze logregel. Op basis van
deze kwalificaties kan er logica (‘content’) gemaakt worden. Bijvoorbeeld: alleen voor DATACENTER-bronnen wordt er op onverwachte e-mail-activiteit gecontroleerd, voor USERLAN-bronnen gebeurt dat niet omdat dit teveel false positives oplevert. Dit is een lastig proces. Logging is meestal niet gestandaardiseerd en veel aan verandering onderhevig. Het is een (verleidelijke) valkuil om veel te investeren in deze logregel-herkenning, om op die manier betere logica te kunnen maken. In veel gevallen is de levensduur van deze investering echter kort. EFFECTIEVE IMPLEMENTATIE Nu we dit weten, hoe kunnen we dan een effectieve SIEM-implementatie doen? Mijn antwoord daarop: het begint allemaal met het hebben van de juiste verwachting. Indicatoren - Dat betekent allereerst dat we ons realiseren dat een SIEM geen feiten oplevert, maar indicatoren. SCRUM - Bovendien zullen we moeten accepteren dat de uitkomst van een SIEM-traject enigszins ongewis is. Het is veel effectiever om de te bouwen content (met andere woorden: de SIEM business logica) af te laten hangen van de gecollecteerde logging en de kwaliteit daarvan. Een alternatief is de veel gepropageerde ‘Use Case’ benadering. Dit betekent dat men topdown een aantal scenario’s bepaalt die gemonitord dienen te worden. Dat is op zich een prima aanpak, maar - zoals gezegd - het is veel realistischer en effectiever om deze ‘Use Cases’ meer als richting te gebruiken en niet zozeer als maatstaf voor het resultaat. Een goed werkbare, duurzame en bovendien financieel aantrekkelijke aanpak is te kijken naar de kwaliteit van de logregels die verzameld kunnen worden en welke zinvolle dashboards en rapportages daarmee kunnen worden gecreëerd. Wij zelf propageren daarom een SCRUM-aanpak in onze projecten. Dynamisch - Verder is het belangrijk te accepteren dat een SIEM-implementatie dynamisch is. Er worden op diverse niveaus continu verbeteringen aangebracht die gebaseerd zijn op de kennis die men opdoet in het hanteren en ana-
Erik de Bueger
lyseren van de SIEM-output. Zoeken naar vooraf gedefinieerde events is in zijn algemeenheid niet effectief. Durf het kaf van het koren te scheiden. Door het limiteren van de ‘footprint’ kan de zichtbaarheid van de resterende footprint drastisch in kwaliteit worden verbeterd. Niet perfect - Accepteer dat een netwerk niet perfect is ingericht en dat de beheerder slechts ten dele in control is. In zijn algemeenheid loopt de administratie achter bij de werkelijkheid. Focus op kwaliteit - Richt de aandacht niet op de techniek (het bereiken van algoritmische perfectie), maar op het behalen van een acceptabele kwaliteit van output, die voldoende kan zijn voor compliancy of als begin kan dienen van een handmatig onderzoek. • Aandacht - Ook een ingerichte SIEM heeft aandacht nodig. Met deze punten in het achterhoofd is het goed mogelijk om de SIEM-omgeving in te richten. Hierbij dient de focus te liggen op het zoveel mogelijk ‘enablen’ van de door de leverancier standaard aangeleverde logica. Het lijkt altijd aantrekkelijker om zelf flink aan het bouwen te gaan (’ons netwerk is immers anders….’). Bovendien is SIEM-content bouwen een verleidelijke bezigheid voor technische mensen. Dit is over het algemeen echter
geen productieve keuze. Het is beter om door het maken van slimme keuzes en beperkte tuning de standaard content zo goed mogelijk uit de verf te laten komen. Ervaring is hier het toverwoord. Het goede nieuws is: een goed ingerichte SIEM levert fantastische en bruikbare inzichten op. En jawel: het automatiseren van diverse compliancy-rapporten is met een effectieve SIEM heel eenvoudig. De complexiteit van dreigingen en ook de complexiteit van security ‘point solutions’ is enorm toegenomen. Een SIEM is een onmisbaar platform om deze complexiteit te hanteren en om overzicht te houden. Een goed ingerichte SIEM kan de basis vormen van de strategie op het gebied van informatiebeveiliging van een onderneming. De effectiviteit van bestaande oplossingen kan hiermee zichtbaar worden gemaakt, gevonden incidenten kunnen actief en effectief onderzocht worden, terwijl ‘on the fly’ nieuwe detectie scenario’s kunnen worden gemaakt. Informatiebeveiliging snijdt dwars door de traditionele IT-lagen heen, van netwerk- tot applicatie- en presentatielaag. Een SIEM kan al die verschillende bronnen met elkaar in verband brengen. Zonder zichtbaarheid geen veiligheid. Erik de Bueger is directeur operations bij Kahuna
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
41
NIEUWE WETGEVING VEREIST VERSLEUTELING VAN DATA
ra to
lou pt c
ion nc dm anage e
Mobile Encryption
ry
le m
i
an
pt
es
keys
SafeGuard Enterprise
tion
Native Device Encryption
r
edia
te
cr yp
men t Cen
l en
age
rna Data Exchange
mo
va b
Encr y
te
ds
ex
an
lic
42
M
re
pt Encryption for File Shares
Sec
c
ry
go
to
DATA EVERYWHERE
ENCRYPTIE NIET LANGER VRIJBLIJVEND Encryptie is geen vrijblijvende zaak meer, maar bittere noodzaak, zo bleek tijdens de GDPR Roadshows die Sophos onlangs organiseerde in Nederland. De Europese wetgever vraagt van ondernemingen en instellingen wereldwijd dat zij de data van Europese burgers die zij beheren en bezitten beveiligen. Het gaat dan om de EU General Data Protection Regulation die vanaf dit voorjaar de beveiliging van data in 28 landen zal unifor-
g
n
REMOTE OFFICES
AT HOME AND ON THE MOVE
na
tio
V
Ma
Encryption for Cloud Storage
t ec
HEADQUARTERS
OVERHEID NAM HET VOORTOUW Encryptie komt niet zomaar uit de lucht vallen. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) certificeert sinds jaar en dag oplossingen voor harddisk-encryptie voor de niveaus Staatsgeheim Confidentieel en Departementaal Vertrouwelijk. Voor het beschermen van gevoelige informatie van overheidsdiensten worden beveiligingsproducten gebruikt, bijvoorbeeld een product om de informatie op een harde schijf van een computer mee te vercijferen, of een telefoon die spraakvercijfering gebruikt. Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) houdt een gerubriceerde lijst bij van goedgekeurde producten waarbij encryptie telkens een reële optie is. Het gaat hierbij om off-line beveiliging, laptop-, netwerk- en spraakbeveiliging en beveiliging van externe media.
ps
Device Encryption
pro
“My goal would be that all data is encrypted everywhere all the time”, zo onthulde een voormalige CTO van de Amerikaanse inlichtingendienst CIA onlangs. Met deze uitspraak onderstreept hij het be-
lang van encryptie anno 2015. Met de komst van The Internet of Things ontstaat volgens James Lyne, global head of security research bij Sophos, een nieuwe goudmijn voor cybercriminelen. “If
you can connect to it you can own it”, met andere woorden: elk apparaat dat niet is versleuteld, is dan te hacken. Niet voor niets staat de vakbeurs Infosecurity België in Brussel dit jaar in het teken van The Internet of Things. Netwerkbeveiliging en encryptie zijn essentieel om te voorkomen dat cybercriminelen de communicatie tussen het apparaat en de server kunnen onderscheppen en op die manier data stelen. Na de spraakmakende hacks bij Home Depot en Sony vorig jaar was het voor Sophos niet moeilijk om de Security Threat Trends voor 2015 te voorspellen. ‘Encryptie als trend’ staat met stip
a p t o p s , d e s kt o
ge
Data
Encryptie, het versleutelen van informatie om deze onleesbaar te maken voor onbevoegden, wordt steeds belangrijker nu er veel meer aandacht is voor dataveiligheid en privacy dankzij onthullingen over de afluisterpraktijken van veiligheidsdiensten en de grote data hacks die in het nieuws komen. Denk aan de recent uitgekomen hack bij Gemalto. Encryptie is hot. Forrester heeft onlangs op basis van 52 criteria de belangrijkste leveranciers van endpoint encryptie in kaart gebracht. Sophos is koploper.
r ypt l
o Set p
IS BEZIG AAN EEN STEVIGE OPMARS
GEEN COMPROMISSEN Bedrijven kunnen tegenwoordig encryptie toepassen zonder dat ze compromissen hoeven te sluiten. Toch zijn veel bedrijven vaak nog terughoudend met de adoptie van encryptietechnologie. Verouderde encryptietechnieken zorgden vroeger voor vertraging in de IT-processen die grote irritaties opwekten bij eindgebruikers. Met moderne encryptieproducten, zoals bijvoorbeeld SafeGuard Enterprise, is die tijd voorbij. Encryptie biedt protectie en performance. James Lyne: “You don’t have to worry about encryption impacting performance.” Encryptiesoftware volgt tegenwoordig de data en biedt bescherming waar die data ook wordt opgeslagen: op de devices van gebruikers, hun gedeelde mappen, een USB-stick of in de cloud. Bovendien is deze moderne encryptietechnologie tegenwoordig eenvoudig te managen.
Enc
e
ENCRYPTIE
op drie. Encryptie ontwikkelt zich tot de standaard.
En
res ure n e t wo r k fi l e s h a
meren en regelen. Doel van de richtlijn is dat elk individu baas wordt over zijn eigen data en het recht heeft om ‘vergeten’ te worden. De GDPR kent een strikt regime met boetes tot wel 100 miljoen of 5 procent van de wereldwijde omzet bij een ernstige inbreuk. Het is algemeen aanvaard dat encryptie de beste methode is om te voldoen aan deze nieuwe regulering. Wanneer een datalek ontstaat en de ondernemer kan aantonen dat alle persoonlijke data was versleuteld, zal hij minder snel worden beboet. Veel organisaties hebben geen idee wat deze nieuwe regulering inhoudt of hoe zij zich moeten voorbereiden op deze nieuwe regels. MELDPLICHT DATALEKKEN Ook op nationaal niveau bevindt nieuwe wetgeving zich al in een vergevorderd stadium. Zo is in Nederland op 10 februari jongstleden het wetsvoorstel Meldplicht datalekken door de Tweede Kamer goedgekeurd en ligt het nu bij de Eerste Kamer. Het doel van de voorgestelde wet is het voorkomen van datalekken en, mocht er toch gelekt worden, de effecten ervan te beperken. In dit wetsvoorstel krijgt het College Bescherming Persoonsgegevens (CBP) een meer uitgebreide bestuurlijke boetebevoegdheid oplopend tot 810.000 euro of 10 procent van de jaaromzet van de onderneming. Verder regelt dit wetsvoorstel een meldplicht voor gegevensverlies. In België klonk de roep om een meldplicht voor datalekken lange tijd minder luid. Sinds een datalek
bij vervoerder NMBS en Belgacom-gate is iedereen wakker geschud. KOPLOPER Veiligheid begint bij de eindgebruikers. Sophos wordt in het rapport ‘The Forrester Wave: Endpoint Encryption, Q1 2015’ van het Amerikaanse onderzoeksbureau Forrester Research gekwalificeerd als koploper in endpoint encryptie. De onderzoekers constateren dat de ondersteuning van gebruikers en de eenvoudige implementatie consequent hoge cijfers krijgen van Sophos-klanten. De hoge waardering van Sophos is mede te danken aan de sterke SafeGuard encryptieoplossingen, de flexibiliteit in de encryptieregels voor externe media en de mogelijkheden om op bestandsniveau te versleutelen. Vooral dit laatste punt is interessant, aangezien het gebruikers in staat stelt om op eenvoudige wijze informatie veilig op te slaan op mobiele apparaten of in de cloud. Gezien de ontwikkelingen in het huidige IT-landschap is dit onmisbare technologie.
ENCRYPTIE IS NOODZAAK In het rapport beoordeelt Forrester leveranciers op 52 criteria verdeeld in drie categorieën: het actuele aanbod, de strategie en visie en de marktpositie, inclusief partnerprogramma’s. • Sophos staat in de categorie ‘actueel aanbod’ in de top en heeft de hoogste scores in de subcategorieën ‘endpoint volume encryptie’, ‘be-
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
43
NIEUWE WETGEVING VEREIST VERSLEUTELING VAN DATA
•
stand/map encryptie’ en ‘encryptie van externe media’. In de totale categorie ‘marktpositie’ staat de onderneming op de tweede plaats; in de subcategorieën ‘technologie partners’ en ‘financiële stabiliteit’ heeft Sophos de hoogste scores.
Het Forrester-rapport beoordeelt niet alleen de leveranciers, maar onderzoekt ook de noodzaak van endpoint encryptie. Forrester constateert dat organisaties die geen endpoint encryptie implementeren een verhoogd risico lopen op datalekken of schending van complianceregels. Met name de explosie in het gebruik van privéapparaten, mobiele toepassingen en het feit dat de scheiding tussen werk en privé steeds verder vervaagt, zijn volgens de onderzoekers de belangrijkste redenen waarom organisaties serieus werk moeten maken van endpoint encryptie. 52 procent van de kenniswerkers op kantoor neemt kantoorwerk regelmatig mee naar buiten. PLATFORMONAFHANKELIJK De ontwikkelingen op het gebied van encryptietechnologie staan niet stil. Er is een ratrace aan de gang met cybercriminelen die leveranciers dwingt voortdurend met nieuwe softwareversies en updates te komen. Zo lanceerde Sophos onlangs SafeGuard Encryption 7 en Mobile Encryption 3 om eindgebruikers nog beter te beschermen tegen malware en geavanceerde bedreigingen. Deze encryptiesoftware stelt ondernemingen in staat om versleutelde data op elk willekeurig apparaat te creëren, te raadplegen en te wijzigen. Zo kan een Windows-gebruiker via de cloud versleutelde data delen met een Mac-gebruiker. De software voorziet in gegevensbescherming op alle mogelijke platformen en apparaten. Het maakt daarbij niet uit of de data zich op een laptop, smartphone of tablet bevindt of gedeeld wordt via het netwerk of de cloud. De software kan in de werk- en bedrijfsprocessen worden geïntegreerd zonder dat er vertraging in het netwerk optreedt. Daarnaast kunnen eindgebruikers versleutelde documenten aanmaken, wijzigen, opslaan en weer versturen vanaf hun mobiele apparaten. De nieuwste softwareversies ondersteunen zogenoemde native encryptie van Apple (Apple FileVault 2) en Microsoft (BitLocker). Het beheer van encryptie op 44
IN DRIE STAPPEN NAAR EEN VEILIG NETWERK
alle apparaten, platforms en in de cloud vindt plaats vanaf één console. ENCRYPTIE IN DE CLOUD Data encryptie in de cloud tot slot is een relatief nieuw fenomeen waar weinig onderzoek naar is gedaan. In april 2014 publiceerden Thales e-Security en The Ponemon Institute een rapport met de titel Encryption in the Cloud. “Data-encryptie in de cloud is nog geen mainstream”, zo luidde de hoofdconclusie. Hoewel meer dan de helft van de in totaal 4.275 ondervraagde business- en IT-managers gevoelige of vertrouwelijke gegevens opslaat in de cloud, bleek encryptie zeker nog niet volledig ingeburgerd te zijn. Slechts 39 procent van de SaaS-gebruikers en 26 procent van de IaaS- en PaaS-gebruikers antwoordden dat hun gegevens ‘in rust’ standaard versleuteld worden. Slechts 44 procent van die SaaS-gebruikers en 40 procent van die IaaS- en PaaS-gebruikers versleutelt gegevens vóór ze die naar de cloud verzenden. Belangrijk bij gebruik van encryptie is wie de controle over de sleutels heeft (zie de hack bij Gemalto). Voor encryptie in rust gaf 34 procent van de ondervraagden aan dat zij de controle over de encryptiesleutels hebben en 29 procent dat het een combinatie van hun organisatie en de cloudprovider is. Bij 18 procent heeft een third-party dienst de touwtjes in handen en bij 17 procent heeft de cloudprovider de volledige controle over de sleutels. Tegenwoordig is het prima mogelijk om op een veilige manier gebruik te maken van bijvoorbeeld Dropbox. Door informatie die in de cloud wordt opgeslagen direct automatisch te versleutelen, ben je bovendien niet afhankelijk van Dropbox of welke ander provider dan ook. Versleutelen van de informatie doe je namelijk zelf. CONCLUSIE Encryptie is here to stay. Werknemers kunnen dankzij encryptiesoftware veilig samenwerken en bestanden met elkaar delen, waardoor ze overal, op het werk, onderweg en thuis een hoge en veilige productie kunnen leveren. Toch is niet iedereen blij met de opkomst van encryptie. Zo zijn opsporingsorganisaties en inlichtingendiensten bang dat professionele encryptie door bedrijven een gevaar vormt voor de (nationale) veiligheid. Maar overheden hebben vaak verschillende petten op. Naast bescherming van burgers treden zij op als ‘statelijke
WATCHGUARD EN FROST & SULLIVAN PUBLICEREN EBOOK:
Naast menselijk falen blijft onvoldoende aandacht voor de technische aspecten een van de grootste problemen waar we mee worstelen als het om security gaat. Daarom publiceren WatchGuard en onderzoeksbureau Frost & Sullivan nu een eBook om in een handvol stappen de veiligheid van het netwerk drastisch op te voeren.
Pieter Lacroix actoren’. Zo pleit het Nederlandse kabinet in een omstreden wetsvoorstel voor ’terughacken’ en wil zij de politie hackbevoegdheden geven. Bovendien zouden bepaalde verdachten moeten worden gedwongen hun encryptiesleutels op te geven. CHECKLIST Investeer 60 seconden in de Compliance Check op de website van Sophos en hoor direct in hoeverre uw onderneming voldoet aan de GDPR. 1. Verwerkt u jaarlijks persoonsgegevens van meer dan 5.000 Europese burgers? 2. Beschikt u over een beleid voor gegevensbescherming dat werknemers laat zien hoe ze het beste hun persoonlijke gegevens kunnen beschermen? 3. Worden de harde schijven van de laptops van de zaak versleuteld? 4. Wordt data opgeslagen in de cloud? Denk hierbij ook aan klantgegevens in Salesforce, Dropbox enzovoorts? 5. Worden persoonlijke data die via e-mail worden verstuurd geëncrypt? 6. Beschikt u over persoonlijke gegevens die zijn opgeslagen op draagbare media zoals USB sticks, cd’s en dvd’s? Onder het motto Security made Simple zal Sophos deelnemen aan de vakbeurs Infosecurity België die op 25 en 26 maart aanstaande zal plaatsvinden in de Brusselse EXPO. Standnummer: A060. Auteur: Pieter Lacroix, managing director bij Sophos Nederland
Goed opgeleide medewerkers die weten aan welke procedures zij zich dienen te houden, zijn van cruciaal belang voor een kwalitatief hoogwaardige IT-security. Maar er is meer nodig om een netwerk schoon te houden. Er is ook een aantal technische maatregelen nodig. Daarbij hebben zowel grote als kleinere organisaties behoefte aan technische oplossingen die eigenlijk alleen bij enterprise-organisaties betaalbaar waren. Een aantal security-aanbieders is er echter in geslaagd om de kosten van ‘enterprise grade security’ te verlagen waardoor ook middelgrote en kleinere ondernemingen en overheidsorganisaties hier nu gebruik van kunnen maken. EBOOK Zeker voor kleinere bedrijven is dit echter een lastige stap. Men heeft vaak intern slechts de beschikking over een beperk-
te hoeveelheid mensen en middelen, terwijl het vaak ook ontbreekt aan de diepgaande kennis die bij de IT-afdelingen van grote concerns juist volop aanwezig is. WatchGuard is daarom een samenwerking aangegaan met onderzoeksbureau Frost & Sullivan voor het samenstellen van een eBook getiteld ‘Fulfilling the Promise of Unified Threat Management (UTM): Unlocking Full UTM-Enabled Network Protection’. In dit digitale boekje wordt in drie stappen aangegeven hoe ook kleinere organisaties hun IT-security op enterprise-niveau kunnen brengen. UTM-AANPAK “Hoewel veel bedrijven stellen dat hun eisen en wensen ten aanzien van IT-security bepalend zijn voor de planning van hun netwerkcapaciteit, is de realiteit
anders”, zegt Chris Rodriquez, senior industry analist netwerk-security bij Frost & Sullivan. Hij is tevens de auteur van het eBook. “UTM-platformen staan onder enorme druk om tegemoet te komen aan de almaar toenemende eisen die organisaties aan hun beveiliging stellen.” In de publicatie geeft Rodriquez drie stappen aan die zullen leiden tot een UTM-aanpak die niet alleen vandaag de dag voldoet, maar die tevens een goede voorbereiding inhoudt op de toekomst. DRIE STAPPEN Stap 1: Richt de aandacht op de prestaties van het UTM-platform en niet op die van de firewall alleen. Veel aanbieders leggen de nadruk op de prestaties van hun firewall als deze statefull wordt gebruikt. Kijk vooral naar de prestaties als ook de UTM-functionaliteit in gebruik is. Stap 2. Analyseer zorgvuldig de gegevens die testlabs publiceren. Dan zal vaak blijken dat in deze tests UTM-prestaties worden vergeleken wanneer het systeem in feite als een andersoortig security-apparaat wordt gebruikt. Bijvoorbeeld als een IPS (intrusion preventive system). Stap 3. Kies bij voorkeur niet voor een traditionele firewall maar juist voor een UTM-platform. Dit soort systemen kennen een modulaire architectuur en zijn dus volledig voorbereid op uitbreiding van de functionaliteit. Hierdoor zal ook de impact van eventuele nieuwe security features nauwelijks invloed hebben op de netwerkprestaties. Het eBook kan hier worden gedownload: http://bit.ly/1zQQiTl.
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
45
AVANS HOGESCHOOL
SELECTIE
VAN DE BESTE APPLICATION DELIVERY CONTROLLERS IT-apparatuur moet om de zoveel tijd vervangen worden. Een goed moment om te bepalen of een toepassing nog wel geschikt is, of dat er betere alternatieven zijn. Eind 2014 waren de load-balancers van Avans Hogeschool aan vervanging toe. De IT-afdeling startte samen met afstuderend student Alexander Petrov een onderzoek naar het beste alternatief. Dit ging veel verder dan een gebruikelijke inventarisatie en aanbesteding. Een uitgebreide praktijktest met gewogen scores - met veel aandacht voor security-aspecten - leidde uiteindelijk tot het gewenste resultaat. Avans Hogeschool is een opleidingsinstituut voor hoger onderwijs, met ongeveer 28.000 leerlingen en 2.400 medewerkers verdeeld over negen locaties. IT ligt in handen van zo’n 35 mensen. Gezien de ontwikkelingen in de IT-diensten voldeden de Cisco load balancers niet meer; er moest meer geavanceerde technologie komen. Het selectietraject bestond uit twee onderdelen: een request for proposal (RfP) en een proof of concept (PoC). Hiertoe moesten ten eerste de wensen en behoeften die bij de (applicatie)beheerders en ontwikkelaars leefden in kaart worden gebracht. WENSEN EN BEHOEFTEN BEPALEN De huidige Cisco ACE-10 heeft als rol het sturen van de datastromen die zijn bestemd voor de applicatieservers en het verdelen van de server-load voor specifieke applicatieservers. Via gesprekken met beheerders werd achterhaald waarom destijds de keuze op de Cisco load balancers ACE-10 was gevallen. Deze zogenoemde ‘baseline’ eisen zijn gekoppeld aan de wensen die voortkwamen uit gesprekken met onder andere de IT-afdeling, inkopers en met de leveranciers. Voor de selectie van deze leveranciers keek Avans naar de positie op de Magic Quadrant voor ADC’s van Gartner, de 46
aanwezigheid van tussenpersonen en/of de leverancier in Nederland en de focus op de Nederlandse markt. Hier kwamen vier partijen uit: A10 Networks, Cisco/ Citrix, F5 Networks en Riverbed. Avans maakt veel gebruik van web-based applicaties. Oorspronkelijk werd load balancing toegepast op laag 4 van het OSI-model, maar uit de gesprekken kwam de wens naar voren om dit op laag 7 te gaan doen en application firewalling toe te passen, zodat Avans ook kan manipuleren op basis van browsers, afkomst van verkeer en type devices en acteren op het beveiligen van de aangeboden applicaties. Applicaties moesten echt ontsloten worden, in plaats van enkel load balancing toe te passen. Middels een application delivery controller kunnen niet alleen laag 4 (transportlaag) van het OSI-model voor netwerken, maar ook lagen 4 tot en met 7 worden beheerd (transport, sessie, presentatie en toepassing). Hierdoor ontstaan veel meer mogelijkheden voor extra diensten, controle en beveiliging en verschoof het beheer van de netwerkspecialisten naar de applicatiespecialisten. Ook werd de wens uitgesproken dat er duidelijke scheiding in rechten tussen beheerders en beheerdersgroepen kon worden gemaakt.
SELECTIECRITERIA APPLICATION DELIVERY CONTROLLOR De criteria die uit het kwalitatieve onderzoek naar voren kwamen, gingen veel verder dan puur harde, technische eisen. De hardware moest uiteraard voldoen aan een bepaalde capaciteit en beschikken over verschillende aansluitingen. Qua software-eisen werd vastgesteld dat de application delivery controller IPv6 moest ondersteunen. Daarbovenop kwamen echter andere wensen naar voren die lang niet in elk keuzetraject een rol spelen. Avans keek onder andere naar de ontwikkeling van de software en de frequenties van updates; de eenvoud van het beheer woog zwaar mee en de achtergrond van het leverende bedrijf werd beoordeeld. In overleg met Avans’ IT-beheerders Kees Pronk en David Schrok zijn alle definitieve eisen en wensen beoordeeld en is voor elke wens een wegingsfactor toegekend om de zwaarte van de wens te nuanceren in de RfP-beoordeling. Eisen hadden geen wegingsfactor nodig, want dit zijn knockout-criteria en kunnen alleen met ‘ja’ of ‘nee’ beantwoord worden. Zo ontstond een afgewogen scorelijst. RFP Aan de hand van deze scorelijst is de RfP opgesteld. De voorstellen die hierop terugkwamen zijn in een beoordelingssessie met een onafhankelijke voorzitter beoordeeld, en zijn alle definitieve scores voor elke wens vastgesteld. De scores zijn binnen dit team bediscussieerd om de legitimiteit te waarborgen. Bij lage scores op de wensen, werden eerst individuele beoordelingen opgeschreven en daarna met elkaar vergeleken. De beoordelaars waren niet op de hoogte van de prijzen van de ADC’s om de
beoordeling zo onafhankelijk mogelijk plaats te laten vinden. De beoordelaars moesten zich richten op de kwaliteit, los van de prijs. Dit is ook Avans’ uitgangspunt in aankoopbeslissingen: 70 procent kwaliteit en 30 prijs. DE TESTFASE De beoordeling van RfP leverde twee leveranciers op: A10 (via partner Xantaro) en F5 (via partner Securelink). Het PoC moest nu de beloftes uit de RfP testen in de praktijk. Hiertoe ontwikkelde Avans een speciale testomgeving met servers, switches, pc’s wifi-controllers, KVM-switches en Access points. Beide ADC’s werden uitvoerig getest binnen deze testomgeving, op basis van een
vooraf opgesteld testplan om de kwaliteit te waarborgen. Hierbij werd gebruik gemaakt van technische specialisten van de leveranciers/partners voor specifieke uitleg bij sommige tests en configuratie-ondersteuning. Alle testen leverden scores op die opgeteld een eindresultaat gaven met een maximale score van 184 punten. Tijdens de PoC is geconstateerd dat beide ADC’s in de basis voldoen aan de eisen en wensen, maar de ADC van F5 op alle vlakken beter is ontwikkeld, fijnmaziger is in te stellen en meer standaard mogelijkheden heeft ten opzichte van de ADC van A10. Daardoor scoorde de oplossing van F5 gemiddeld hoger. De F5 BIG-IP 4000 haalde 170 punten, een score van 92,4 procent.
TOEGEVOEGDE WAARDE VAN POC De bedoeling van het ADC-selectieproces was het selecteren van kwalitatief gezien de beste oplossing voor Avans Hogeschool. Dankzij de praktijktest hebben we daar veel meer zicht op gekregen. Op basis van beoordeelde offertes tijdens het RfP, voldoen beide ADC’s aan de gestelde eisen. Echter, tijdens het PoC kwamen andere punten naar voren en bleek de ADC van F5 kwalitatief gezien de betere keuze. Het uitvoeren van het PoC heeft dus meer dan zijn waarde bewezen. Alexander Petrov is systeem- en netwerkbeheerder bij Avans Foto: Bob van der Vlist
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
47
ONDERZOEK
MODERNE SPIONNEN EN HOE DEZE DE HUIDIGE ONDERNEMING BEDREIGEN
Onlangs publiceerde het G DATA SecurityLab de uitkomst van een lange, gedetailleerde analyse van drie verschillende soorten malware: Agent.BTZ, Uroburos en Cobra. Voor die eerste is het wellicht nodig diep in het geheugen te graven. Agent.BTZ kwam voor het eerst in het nieuws in 2008, toen het Amerikaanse Pentagon met deze spyware werd geïnfecteerd. Analyse destijds wees uit dat de verantwoordelijken van de malware in Rusland moesten worden gezocht, hoewel er nooit formele beschuldigingen werden geuit. Snel vooruit naar februari 2014, toen de malware-onderzoekers van G DATA een artikel publiceerden over een nieuwe, zeer complexe modulaire spyware die zij Uroburos doopten. Later in datzelfde jaar werd duidelijk dat de ministeries van Buitenlandse Zaken van zowel België als Finland slachtoffer waren geworden van Uroburos. Onlangs ontdekten de Duitse malware-experts opnieuw een belangrijk stuk malware: Cobra. Het betrof we-
derom een zeer complex, modulair stuk code, die sterke overeenkomsten vertoonde met Agent.BTZ. Bij alle drie deze malware-soorten waren er verschillende aanwijzingen in de richting van Rusland, al waren de aanwijzingen klein en ogenschijnlijk onbelangrijk. De onderzoekers van G DATA vermoedden een connectie tussen deze drie stukken malware. Er waren bepaalde overeenkomsten binnen de verschillende
codes en het herhaalde gebruik van bepaalde specifieke technieken gaf hen het idee dat deze drie soorten malware binnen één groot raamwerk pasten. De onderzoekers zetten zich in om zoveel mogelijk samples te verzamelen waarvan ze verwachtten dat die binnen dit raamwerk pasten. Ze verzamelden er uiteindelijk 46 die over een periode van zeven jaar waren samengesteld. Wanneer er naar al deze samples werd gekeken, was het mogelijk om de connectie te zien. Over de jaren was de malware langzaam maar zeker geëvolueerd. De meeste updates betroffen het fixen van bugs in de code en het implementeren van nieuwe features. Een ander belangrijk element was het aanpassen van de code om deze compatibel te maken met de actuele Windows-besturingssystemen. In 2012 werd een grote redesign van de software doorgevoerd. Veel van de componenten werden opnieuw gebouwd. Maar het bleef duidelijk binnen hetzelfde raamwerk passen. De aanpassingen over de jaren lijken consistent met een klant die verzoeken indient voor bepaalde features, updates en kleine aanpassingen. INDRUKWEKKENDE FINANCIERING Malware-onderzoekers zijn geen politiemensen en daarom zijn zij niet in de positie om te speculeren over eventuele daders of een andere schuldvraag. Wat de data echter ontegenzeggelijk tonen, is dat er zeer veel tijd en geld gemoeid gaat met het schrijven van een dergelijke complexe code en het over de jaren doorontwikkelen en up-to-date houden ervan. Ofwel de zaken zijn enorm winstgevend, ofwel er zit een indrukwekkende financiering achter. Het soort financiering dat je verwacht bij staatsspionage. En zou dat ons moeten choqueren? Beoordelen wij het creëren en inzetten van stiekeme spyware als ‘fair play’ bij het
48
achterhalen van informatie van een andere staat? Het antwoord op die vraag is irrelevant: het is de huidige realiteit. Het hiernaast beschreven project lijkt Russisch te zijn, het project Regin, dat eind 2014 aan het licht kwam, lijkt een Amerikaans project te zijn. En hoogstwaarschijnlijk zijn er nog veel meer door staten gesponsorde projecten die nog niet volledig zijn ontdekt of juist zijn toegeschreven. Spioneren doe je op plaatsen waar geheime en waardevolle informatie is. En informatie staat op computers. Een goed staatsspionageprogramma van de 21e eeuw kan niet bestaan zonder wat goede ondergrondse spyware. Het voelt anders, omdat er geen menselijke spion is die zijn leven in de waagschaal hoeft te stellen door in een gebouw in te breken en stiekem foto’s hoeft te maken van geheime dossiers. Maar dat maakt het niet ‘beter’ of ‘slechter’. GELD VERDIENEN Betekent dit dat landen met elkaar in cyberoorlog zijn? Nee. Een andere staat bespioneren is niet hetzelfde als die staat aanvallen. Maar, het is wel van essentieel belang om het bestaan van hoogcomplexe spyware en malware te erkennen en de infrastructuur daarop in te richten. Dit geldt overigens niet alleen voor overheden, maar evengoed voor ondernemingen. Het is niet altijd makkelijk om malware te controleren zodra die ‘in het wild’ is losgelaten. Ons eigen lab is er, zoals gezegd, in geslaagd om 46 versies van een bepaalde malware, die vermoedelijk door een staat is ontwikkeld, te verzamelen. Cybercriminelen kunnen hetzelfde doen. Alle moderne malware zal in verkeerde handen terechtkomen, het is alleen de vraag hoe lang het duurt voordat dat het geval is. Criminelen profiteren maar wat graag van het vele goede codeerwerk van anderen waarvoor ze zelf niets hoeven te investeren. En in de verkeerde handen, wordt dit soort wapens ingezet voor datgene waar criminelen zo van houden: geld verdienen. Of het nu zo is dat de spyware wordt misbruikt om kritieke bedrijfsgeheimen en intellectueel eigendom aan de hoogste bieder (waarschijnlijk de grootste concurrent) aan te bieden, of dat de cyberspion zijn slachtoffer gaat afpersen, het gaat het slachtoffer hoe dan ook veel geld kosten. Er is tot op heden nog altijd te weinig besef bij ondernemingen van deze reali-
Eddie Willems
'Het is van essentieel belang om het bestaan van hoogcomplexe spyware en malware te erkennen en de infrastructuur daarop in te richten' teit. Nog wekelijks zien wij bedrijven, van eenmanszaken tot de grootste multinationals essentiële beveiligingsflaters slaan, terwijl cyberrampen niet proactief worden voorkomen. Enkele voorbeelden: eenvoudige wachtwoorden, niet meer gebruikte software die ook niet meer wordt geüpdate, maar die toch op pc’s blijft staan, een traag beleid ten aanzien van de uitrol van (beveiligings)updates voor alle software en argeloze medewerkers die geen enkele weerstand bieden tegen gemakkelijke phishingaanvallen en geïnfecteerde attachments bij e-mails.
Het wordt tijd om de militaire discipline die door overheden wordt ingezet tegen fysieke spionage te gaan toepassen op onze gehele IT-infrastructuur. Die structuur omvat niet alleen de netwerken, pc’s en datacenters van de overheid, maar vooral ook die van de ondernemingen in ons land, die zoveel gevoelige informatie hebben over ons, hun klanten en die zo ontzettend kwetsbaar zijn. Eddie Willems is Security Evangelist bij G DATA
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
49
SECURITY IN HET BEDRIJFSNETWERK
BEVEILIGING
VRAAGT OM CONTINUE AANPAK De security-branche wordt nu al geconfronteerd met uitdagingen die bepalend zullen zijn voor het bedreigingslandschap van morgen. Globalisering op de werkplek, Internet of Things en de enorme snelheid waarmee we zakendoen. Al deze ontwikkelingen maken het moeilijk om de steeds geavanceerdere cyberbedreigingen af te slaan en de beveiliging van het bedrijfsnetwerk op peil te houden. Een van de beste manieren om deze problemen op te lossen, is het hanteren van een proactieve, continue beveiligingsaanpak. Het is simpelweg niet langer toereikend om de beveiliging zo nu en dan onder de loep te nemen. Cybercriminelen bestoken bedrijfsnetwerken onophoudelijk en organisaties moeten hierop reageren met continue beveiliging. Stel dat u een kapitaal pand bezit. Dat is uw netwerk. Elke keer dat u een deur of raam open laat staan, bestaat de kans dat er een indringer uw huis binnensluipt. Stelt u zich nu voor dat verschillende mensen in huis de gehele dag door ra-
Sumedh Thakar 50
men en deuren openzetten. Hoe houdt u de controle over wie uw huis binnenkomt als u slechts één keer per week controleert of er deuren of ramen openstaan? DE DEUR SLUITEN Met cyberbeveiliging is het niet anders. U moet de netwerkrand voortdurend bewaken, zodat u elke wijziging die aan de firewall wordt aangebracht, en elk nieuw met internet verbonden apparaat kunt spotten. Op die manier kunt u kwetsbaarheden uitlichten en herstellen voordat aanvallers daar misbruik van maken. Momenteel worden er steeds meer technologieën in de cloud ondergebracht. Hierdoor worden er met steeds grotere regelmaat apparaten met een internetverbinding aan het bedrijfsnetwerk toegevoegd. En voor hackers betekenen meer van deze eindpunten meer open deuren en ramen waar ze door naar binnen kunnen sluipen. Veel organisaties overwegen een beroep te doen op continue beveiliging, zodat ze de voortdurend uitdijende netwerkrand effectiever kunnen beschermen. Maar wat houdt continue beveiliging nu pre-
cies in, en hoe kunnen organisaties dit op een effectieve wijze toepassen? Als we kijken naar enkele van de meest recente cyberaanvallen, zien we dat cybercriminelen onophoudelijk bezig zijn met scannen en aanvallen. Van kwetsbare computers kan al binnen een paar uur misbruik worden gemaakt. Een ongelukkige samenloop van omstandigheden kan al snel leiden tot beveiligingsincidenten zoals zero day-aanvallen. Cybercriminelen zijn bovendien in staat om in een oogwenk bedrijfsgegevens buit te maken met behulp van slimme phishing-trucs. NETWERKRAND BESCHERMEN De moderne netwerkrand heeft een sterk gefragmenteerd, complex en dynamisch karakter. Vaak zijn er binnen organisaties verschillende operationele teams actief, die verantwoordelijk zijn voor het beheer van alle firewalls, load balancers, systemen, applicaties en databases. Deze teams brengen regelmatig onafhankelijk van elkaar wijzigingen in de netwerkomgeving aan. Vaak scannen ze de netwerkrand op gezette tijdstippen op kwetsbaarheden en netwerkwijzigingen, of naar aanleiding van specifieke incidenten, maar niet continu. Dit biedt cybercriminelen volop kansen om misbruik te maken van recent geïntroduceerde kwetsbaarheden en om bedrijfsnetwerken tussen interne beveiligingsevaluaties door te infiltreren. Als hackers eenmaal de netwerkrand zijn binnengedrongen, is het enorm moeilijk om tegenmaatregelen te nemen, zeker doordat zij malware achterlaten in allerlei verborgen locaties binnen het bedrijfsnetwerk. Deze kwaadaardige code kan zich lange tijd stilhouden om na een bepaalde periode toe te slaan. Het is daarom van cruciaal belang om een programma voor continue beveiliging toe te passen, zeker nu de netwerkrand van
moderne bedrijven steeds verder uitdijt. Het beheer van kwetsbaarheden stond traditioneel in het teken van het identificeren en melden van potentiële netwerkbedreigingen. Beveiligingsscans werden meestal één keer per jaar uitgevoerd, waarna verslag werd uitgebracht aan het management. Beveiligingsteams konden er vervolgens voor kiezen om problemen handmatig te herstellen en een nieuwe scan uit te voeren. Het aantal beveiligingsincidenten is de afgelopen jaren echter zienderogen toegenomen. Veel organisaties komen daarom terug op hun aanpak. Hun beveiligingsteams voeren inmiddels herhaaldelijk scans uit en er circuleren wekelijks, maandelijks of zelfs dagelijks rapporten over kwetsbaarheden. Maar zoals bij alle bedrijfsrapportage is er de kans dat beveiligingsteams bedreigingen over het hoofd gaan zien naarmate de cycli zich herhalen en de rapporten binnen blijven rollen. MODEL VAN CONTINUE BEVEILIGING Een model dat in continue beveiliging voorziet, ruilt periodieke rapportage in voor meldingen van netwerkwijzigingen en detectiewaarschuwingen. Een dergelijk model kan zich aanpassen aan het flexibele karakter van de netwerkrand en stelt bedrijven in staat om hackers - die sowieso een continu model hanteren - vóór te blijven. Continue beveiliging stelt operationele teams ook in staat om proactieve tegenmaatregelen te treffen. Een succesvol programma voor continue beveiliging ziet er als volgt uit. • Het beveiligingsteam brengt de netwerkrand in kaart. • De focus ligt op het implementeren, controleren en verbeteren van relevante controlemechanismen. • Automatisering staat centraal: er wordt gebruikgemaakt van filters en vooraf gedefinieerde typen gebeurtenissen voor het triggeren van realtime meldingen. • De tijd van het beveiligingspersoneel wordt optimaal benut, iedereen kent zijn of haar rol. • Met behulp van gegevensanalyse worden de juiste medewerkers op het juiste moment ingeseind.
•
De prioriteit blijft liggen bij het identificeren en elimineren van de bedreigingen die het bedrijfsnetwerk de grootste schade kunnen berokkenen.
Een proactieve, continue beveiligingsaanpak is de beste manier om te anticiperen op moderne cyberbedreigingen. Hoewel we niet kunnen voorspellen wat de toe-
komst zal brengen, is het belangrijk dat bedrijven er een gewoonte van maken om voortdurend beveiligingsscans uit te voeren en de netwerkrand uitgebreid te analyseren. Dit zal helpen om de bedreigingen van morgen de baas te blijven. Sumedh Thakar is Chief Product Officer van Qualys
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
51
DIGITALE VEILIGHEID
INDUSTRIËLE INFRASTRUCTUUR ONDER VUUR
Digitale veiligheid is de laatste jaren beslist niet onbesproken gebleven. Veiligheid van bedrijfsnetwerken, laptops, smartphones en desktops is binnen veel organisaties inmiddels een speerpunt, ook in de procesindustrie. Maar gevaar houdt niet op bij de ondersteunende ICT. Ook kritische infrastructuren, machines en procesautomatisering kunnen ten prooi vallen aan hackers. “Beveiliging richt zich doorgaans op het weren van hackers en malware uit computersystemen. Die veiligheid richt zich op twee basisgedachten: enerzijds het weren van ongewenste, digitale rommel als virussen, spyware en spam, anderzijds op het blokkeren van personen die geen recht hebben op toegang”, zegt Henk van der Heijden, Managing Director (a.i.) bij Comsec Consultancy in Nederland en partner & oprichter van TecHarbor. “Maar of het nu gaat om de firewall of inlogprocedure van het bedrijfsnetwerk: de focus ligt op de beveiliging van ICT-systemen. Die liggen onder vuur. Logisch, IT-systemen zitten vaak vol waardevolle data. Denk aan persoonsgegevens, creditcardnummers, wachtwoorden of waardevolle bedrijfsgeheimen. De oplossingen van traditionele beveiligingsfabrikanten, van firewalls tot antivirus-apps, zijn dan ook met name gericht op beveiliging van IT-middelen.”
lerlei processystemen raken veel directer de openbare orde en veiligheid en is dus voor hen een interessant middel om hun doelen te bereiken. Denk daarbij niet alleen aan hacks op banksystemen, maar ook aan bijvoorbeeld vliegvelden, energiecentrales, communicatiesystemen en waterzuiveringsinstallaties. Kortom: aanvallen op systemen die rechtstreeks allerlei al dan niet fysieke en industriële processen aansturen.”
Van der Heijden: “Maar de afgelopen jaren vindt er een verschuiving plaats. Hackers hebben het niet alleen maar gemunt op geld of data. Zogenoemde ‘hacktivisten’ en cyberterroristen hebben ook verontrustende politieke motieven: het ontwrichten van de samenleving en het verstoren van de openbare orde en veiligheid. Cyberaanvallen die zij uitvoeren hebben een veel bredere scope dan ondersteunende IT alleen. Aanvallen op al-
“Procesautomatiseringssystemen zijn namelijk kwetsbaar voor cyberaanvallen. De belangrijkste oorzaak is dat alles steeds meer ‘connected’ wordt. De term Internet of Things duikt niet voor niets overal op. Alles krijgt een internetverbinding, zo ook de zogeheten SCADA- en ICS-systemen die dit soort processen aansturen. Die systemen maken bovendien intensief gebruik van allerlei gestandaardiseerde ‘off-the-shelf’-technologie. Aan de basis
52
Die aanvallen kunnen verstrekkende gevolgen hebben. Er is weinig fantasie nodig om voor te stellen wat een directe inbraak op de systemen van een luchtverkeersleiding zou kunnen veroorzaken. Of wat kwaadwillenden kunnen aanrichten als ze kunnen rommelen met de systemen die de waterzuivering aansturen. Dergelijke hacks zijn geen schrikbeeld van de toekomst, maar een huidige, reële dreiging.
staan vaak dezelfde technieken en protocollen die we kennen uit de traditionele IT. Ze draaien deels of geheel op het Windows- of Linux-besturingssysteem, communiceren met SQL-databases en verbinden via internet-protocollen als TCP/IP en TLS. Dat betekent ook dat ze vaak dezelfde kwetsbaarheden bevatten. En met die kwetsbaarheden zijn hackers doorgaans zeer vertrouwd”, aldus Van der Heijden. “Daarbij komt dat dergelijke processystemen vaak van afstand toegankelijk zijn. Wel zo handig voor de onderhoudsafdeling, want voor het verhelpen van een storing is fysieke aanwezigheid dan niet altijd meer noodzakelijk. Ook de operationele afdelingen zijn er vaak bij gebaat. Maar dat maakt deze systemen ook veel kwetsbaarder voor cyberaanvallen. Zeker wanneer deze systemen wat ouder zijn en uit economische overwegingen houtje-touwtje aan het bedrijfsnetwerk gekoppeld zijn. Ze staan dan bloot aan gevaren waar ze oorspronkelijk niet op zijn berekend.” STUXNET “Wellicht het bekendste ‘cyberwapen’ dat kon doordringen in processystemen was Stuxnet. Deze ‘superworm’ stamt alweer uit 2010 en is ontwikkeld om de Iraanse kerncentrale in Natanz te saboteren”, vertelt Van der Heijden. “Stuxnet was absoluut een geavanceerd stukje software. Het wist zich geheel zelfstandig en zonder menselijke interventie te verspreiden binnen lokale netwerken van kerncentrales, op zoek naar zogenoemde PLC’s: computers met controle over de motoren van de kerncentrifuges. Doel was de motoren dusdanig te oversturen dat de centrifuges stukgingen.” Volgens
berichten is dat bij bijna een vijfde van de Iraanse kerncentrales gelukt. Uiteindelijk stierf Stuxnet een voorgeprogrammeerde dood in 2012, na deze datum besmette het geen systemen meer. Maar het gevaar van cyber-aanvallen op kritische infrastructuren blijft hardnekkig bestaan. “In juni 2014 waarschuwde het Department of Homeland Security nog voor een Trojaans Paard. Deze zou het gemunt hebben op industriële controlesystemen en inmiddels duizenden energiebedrijven in Europa hebben geïnfecteerd. Twee jaar eerder werd de Duitse energiecentrale 50hertz getroffen door een aanval die het internet en e-mail van de organisatie platlegde.” Volgens Van der Heijden blijft de industrie ook in de toekomst een interessant slachtoffer: “Het Internet of Things zorgt voor verregaande automatisering en digitalisering van de sector. Op steeds meer plekken duiken bijvoorbeeld sensoren op. Deze sensoren sturen allerlei meetwaarden naar centrale systemen die op hun beurt weer acties kunnen ondernemen. Sensoren in machines kunnen op die manier storingen voorkomen, terwijl sensoren langs de kant van de weg kunnen zorgen voor slimme, energiezuinige wegverlichting. Dergelijke systemen zijn van een niet te onderschatten waarde, maar vormen ook nieuwe potentiële doelwitten.” BESCHERMING Hoewel hacktivisten en cybercriminelen steeds gewiekster worden, is bescherming tegen cyberwapens als Stuxnet wel degelijk mogelijk. Momenteel is de Nederlandse normenorganisatie NEN bezig met het opstellen van normen voor beveiliging van industriële systemen. In dat kader heeft NEN ook het Platform Industrial Cyber Security opgericht. Het platform moet de branche bewuster maken van de gevaren en gaat beveiligingsnormen opstellen. “Effectieve beveiliging tegen dergelijke gevaren vereist veel kennis en kunde. Aan de ene kant van de werking en beveiliging van SCADA/ICS-systemen, aan de andere kant van de werking van ‘traditionele’ ICT-security. Het afstemmen van die twee is specialistenwerk. Deze kennis hebben organisaties vaak niet ‘in house’, terwijl de beveiliging van dergelijke sys-
Henk van der Heijden temen wel vraagt om continue waakzaamheid en monitoring. Het inschakelen van externe expertise is voor die organisaties dan ook beslist geen onverstandige zet.” Tenslotte zal bewustwording ook moeten zorgen voor waakzaamheid bij iedereen op de werkvloer. “Hacks zijn nog te vaak het resultaat van gestuurd gedrag, zogeheten ‘social engineering’. Hackers om-
zeilen fysieke en digitale beveiligingsmaatregelen door nietsvermoedend personeel tot bepaalde acties te verleiden. Zoals het klikken op een link in een e-mail, of het afgeven van vertrouwde informatie zoals inloggegevens. Uiteindelijk zijn mensen immers vaak de zwakste schakel”, besluit Van der Heijden. Raymond Luijbregts is journalist
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
53
DOOR MR. V.A. DE POUS
LEGAL LOOK
turnIng off encrypted traffIc InspectIon for performance?
NAAR EEN COÖRDINEREND MINISTER VAN VEILIGHEID EN PRIVACY Incidenten en legislatieve voorstellen in het domein veiligheid en privacy volgen elkaar met lichtsnelheid op. Of beter, kruisen voortdurend. De slogan van de informatiemaatschappij - never a boring day - verandert. Dagen worden angstaanjagend. De Sony Entertainment hack in de VS, Charlie Hebdo in Parijs, de superkraak bij allerlei banken (nee New York Times: Nederlandse banken zijn niet getroffen). Dat is andere koek dan de oprukkende digitalisering met robocars waarin Nederland internationaal wil excelleren. Of de overheid die uit oogpunt van kostenbesparing vooral elektronisch met ons wil communiceren. Ondanks alle vet coole cases uit het walhalla van vandaag en de hooggespannen verwachtingen voor morgen, weten we al jaren diep in ons hart dat de moderne samenleving ronduit kwetsbaar is. Uitval van een back-up systeem van de Nederlandse Spoorwegen in Utrecht creëert een dag lang nationale railvervoerchaos. Vervelend doch, in perspectief bezien, slechts onschadelijk leed. Naast de notoire maatschappijbrede afhankelijkheid van IT rijst de ster van de informatietechniek als scherpgeslepen aanvalswapen. Uiterst geavanceerde computercriminaliteit, door radicalen gedreven online-terrorisme en elektronische oorlogsvoering tussen soevereine staten. De VS tuigt een cyber command op van 6.000 man sterk. You’ve ain’t seen nothing yet. Wat moet en kan het recht ermee? De spelregels van de samenleving en zelfs
de basisprincipes in de vorm van grondrechten staan onder druk. Van de uitvoering van het sociale grondrecht recht op arbeid kan de facto weinig meer terechtkomen als aanstormende robotiseringsgolf grootschalig taken van de mens overneemt. Wat dan nog? Tenminste lagere loonbelastinginkomsten van de Staat? Alles draait natuurlijk om het cruciale grondrecht bescherming van de persoonlijke levenssfeer, dat tot de onthullingen van Edward Snowden voornamelijk in de schaduw van het grondrecht op vrijheid van meningsuiting stond. Onterecht. In april 2014 bepaalde het Europees Hof van Justitie dat de algemene bewaarplicht van zogeheten verkeersgegevens in strijd is met het fundamentele recht op de bescherming van persoonsgegevens, zoals verankerd in Europees recht. Het College bescherming persoonsgegevens blijft er op hameren dat het bewijs voor de noodzaak van deze algemene bewaarplicht nog altijd - zelfs in angstige dagen - ontbreekt, gelijk de Nederlandse Staat uit oogpunt van criminaliteits- en terrorismebestrijding coûte que coûte volhardt in dit wettelijk voorschrift voor telecomaanbieders. Dat wringt behoorlijk. Het is dan ook de hoogste tijd dat Nederland een constitutioneel hof krijgt, zoals Duitsland dat sinds jaar en dag kent. Wetgeving kan dan aan fundamentele rechten worden getoetst. Nog een juridisch probleem. De informatiemaatschappij toont zich mede disruptief. Niet zelden worden dankzij ICT tra-
ditionele kaders doorbroken of vervagen grenzen. Daar worstelt het recht mee, bijvoorbeeld wanneer het persoonlijke zich met het zakelijke vermengt. Denk aan nieuwe manieren van werken of de ontluikende deeleconomie. Rechtssubjecten, zoals u en ik, hebben immers diverse afgebakende juridische hoedanigheden met corresponderende rechtskaders: burger, consument, iemand die handelt uit hoofde van beroep of bedrijf, patiënt en wat dies meer zij. Nu verwachten Nederlanders dat de overheid hun online-privacy beschermt (en kennelijk ongeacht hun hoedanigheid), zo luidde een verrassende uitkomst van een representatief onderzoek, in opdracht van de Russische softwareproducent Kaspersky Lab gehouden. Daarvoor ontbreekt een directe juridische grondslag. Sterker nog, de regering zet juist zwaar in op een kleinere overheid en kiest bovendien voor een participatiemaatschappij. Dat beleid kan ter zake worden gewijzigd. Hevel veiligheid, de digitale incluis, van het Ministerie van Veiligheid en Justitie over naar een nieuw departement: het Ministerie van Veiligheid en Privacy. En wellicht hoort Defensie daar ook thuis. Of volg een eenvoudiger route. Laat bestaande structuren bestaan en plaats daarboven een coördinerend Minister van Veiligheid en Privacy. Met een zwaar mandaat en - in schril contrast met de Digicommissaris stevige wettelijke borging.
We have a better Idea. IntroducIng the fastest fIrebox ever. ®
Encrypted traffic is exploding worldwide. That’s why WatchGuard has released two new security appliances that deliver unprecedented speed – the Firebox M400 and M500. In fact, the M500 is 61% faster than the competition with all layers of security turned on – and 149% faster for capacity-intensive HTTPS inspection.* Now you have the power to amp up network performance without sacrificing security strength. Never compromise security. Step up to the new Firebox. Contact us today at: sales-benelux@watchguard.com or call +31 (0)70 711 20 85
Copyright © 2015 WatchGuard Technologies, Inc. All Rights Reserved. * Report TB141118, Miercom, 2014, http://bit.ly/1yBAXGV
54
INFOSECURITY MAGAZINE - NR. 1 - MAART 2015
55
ICT en Security Trainingen
TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiliging- en cybersecurity trainingen. Met praktijkervaren trainers en een unieke invulling van de trainingen vervult TSTC sinds 1999 de behoeften van organisaties en cursisten die belang hechten aan kwaliteitstrainingen die verder gaan dan het boekje en direct aansluiten op de dagelijkse praktijk. Security professionals kunnen bij TSTC terecht voor bijna veertig security trainingen op zowel technisch als tactisch- strategisch gebied. Het programma bevat alle bekende internationaal erkende titels maar het is ook mogelijk onder begeleiding van aansprekende trainers diepgang te zoeken in allerhande actuele security thema’s.
www.tstc.nl/security
Uniek: Trainen volgens snel, praktijkgericht concept
Persoonlijk: Groepsgrootte beperkt tot 8-10 personen
Effectief: 100% Slagingsgarantie
Relevant: CCISO, CISSP, CISM, CISA, CEH, ISO 27001, Privacy & Cloud Security
Want security start bij mensen!!