Infosecurity Magazine 01/2017 by Magenta Communicatie

INFO

SECURITY MAGAZINE

JAARGANG 16 - MAART 2017 - WWW.INFOSECURITYMAGAZINE.NL

VEILIG GEDRAG VAN WERKNEMERS IS NOG VER WEG

DE TOP 5 IAM FUNCTIONALITEITEN DIE U NIET MAG MISSEN

SPAM

WEER HELEMAAL TERUG VAN WEGGEWEEST

ONDERSCHAT VEILIGHEIDSRISICO: DE BEDREIGING VAN BINNENUIT

EDITORIAL: ROBBERT HOEFFNAGEL

COLOFON

UTRECHT 20 & 21 MAART 2017

SECURITY FORUM

Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@fenceworks.nl. Uitgever Jos Raaphorst 06 - 34 73 54 24 jos@fenceworks.nl twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 robbert@fenceworks.nl twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel

Build your defence now

Advertentie-exploitatie Mike de Jong 06 - 10 82 59 93 mike@fenceworks.nl Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk CHAPO nv Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 info@fenceworks.nl © 2017 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitge-

LOCATIE: INVESTERING: PRAKTISCH:

Fort Voordorp, Groenekan bij Utrecht 2 dagen en € 995 parkeren en vervoer OV voorzien

Info en inschrijving: www.globalknowledge.nl/cybercrime 2 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

ver.

Meer informatie: www.infosecuritymagazine.nl

Het kan beter! Bent u wel eens op een event van zogeheten webscale datacenters geweest? Dat zijn dus de datacenters van Facebook, Google, Apple, Microsoft en dergelijke. Wat mij fascineert bij de medewerkers van dat soort bedrijven is dat hun functie vaak zo - zeg maar - ‘onduidelijk’ is. Zo stond ik eens te praten met een medewerker van zo’n datacenter wiens officiële functie ‘network engineer’ was. Maar het gesprek ging helemaal niet over switches of connectiviteit. Het ging over koeling. De man hield een vlammend betoog over het feit dat de productie van warmte in veel datacenters drastisch verminderd kan worden, als we maar de juiste keuzes zouden maken.

Een IT-er die over de fysieke infrastructuur praat. Toen ik hem naar die toch vaak klassieke tegenstelling vroeg, gaf hij een duidelijk antwoord: als we die twee werelden niet volledig met elkaar integreren, kunnen we nooit tot maximale prestaties in het datacenter komen. En met prestaties bedoelde hij niet alleen beschikbaarheid en performance, maar ook milieu-impact en kosten. Om een of andere reden moest ik aan deze ontmoeting denken toen ik een gesprek had met Scott Clemens, de president van Vasco. Een belangrijke boodschap die hij mij mee wilde meegeven was dat we soms heel anders naar IT-security moeten kijken. Security moet volledig geïntegreerd zijn in de applicaties die we gebruiken. Terwijl we nu vaak een gelaagde aanpak volgen. Een voorbeeld. Neem iemand die in de trein of op een vliegveld zit te gamen op een smartphone. Bij veel games is het business model gebaseerd op in-app aankopen. Geen probleem natuurlijk als je thuis wifi gebruikt. Maar openbaar wifi op een vliegveld of een mobiele verbinding in een trein is wel zo’n beetje de meest onveilige omgeving die er bestaat. Desondanks zal die gamer de neiging hebben om toch zo’n in-app aankoop te doen. Met alle risico’s van dien op een rogue netwerk en het stelen van inloggegevens.

Maar waarom kijken we bij mobiele apps vooral naar een al of niet veilige verbinding, terwijl we eigenlijk de app zelf veel nadrukkelijker dienen te beschermen? Dat kan met RASP-technologie. De app kan dan niet gecompromitteerd worden en dus kunnen we veilig werken in een onveilige netwerkomgeving. Er is echter meer mogelijk. Neem het Israëlische Covertix. Dat versleutelt alle data waar een gebruiker mee werkt of die hij verstuurt. Maar het legt ook vast wie een bestand of record mag openen, versturen, wanneer, op welk systeem en dergelijke. Pogingen om buiten die rules om toch het bestand of record te gebruiken, wordt geregistreerd, zodat we precies weten wat er gebeurt. Wie bedenkt dat 90 procent van de gebruikers van een smartphone geen idee heeft hoe hij of zij moet vastleggen dat zijn of haar smartphone is besmet, zal zich realiseren dat de klassieke aanpak van IT-security (firewalls, antivirus en andere ‘sloten op de deur’) volstrekt onvoldoende is. Wie die aanpak kiest, zit op de verkeerde weg. Want het moet beter. Maar het mooie is: het kan ook beter! ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 3

Inhoud

INFOSECURITY NUMMER 01 - MAART 2017 - JAARGANG 15

Technische storingen en menselijke fouten vormen risico voor kritische IT-infrastructuur 12 Veilig gedrag van werknemers is nog ver weg 15 Boek geeft IT-professionals uitleg over digitaal recht 16 90% mobiele gebruikers herkent besmetting eigen smartphone niet

Dat veel mensen nauwelijks op de hoogte zijn van de risico’s die zij lopen als zij een mobiel apparaat gebruiken, is door tal van onderzoeken reeds aangetoond. Dat maar liefst 89 procent van de gebruikers aangeeft dat zij geen idee hebben hoe zij moeten constateren of hun mobiele apparaat al of niet besmet is, noemen researchers van Promon ronduit schokkend. “Dit levert dus een heel gevaarlijke situatie op. We kunnen dit alleen maar oplossen als we authenticatie volledig in mobiele apps integreren”, meent Scott Clements, president en chief operating officer van VASCO, een van de belangrijkste aandeelhouders van Promon.

20 KPN Security Services signaleert toename in uitwijktesten 22 Is antivirussoftware gevaarlijk? 24 Meer prioriteit voor certificaat- en sleutelmanagement 26 De top 5 IAM functionaliteiten die u niet mag missen 28 Onderschat veiligheidsrisico: de bedreiging van binnenuit 30 Elektronische handtekening ondersteunt organisaties bij hun klantvriendelijke benadering

De wereld vertrouwt al duizenden jaren op de ouderwetse handtekening. Maar met de wens om papierloos te werken, komt dit oeroude gebruik in het geding. Wacom ontwikkelt daarom hardware om elektronische handtekeningen te zetten die ook nog eens veiliger zijn. Over de hele wereld worden de diensten van het van oorsprong Japanse bedrijf gebruikt. In Frankrijk is het notariaat bijvoorbeeld heel ver, en ook de honderden vestigingen van Norauto slagen er in om hun customer satisfaction naar een hoger plan te tillen.

32 ‘Cybersecurity moet weg van IT’ 35 LegalLook

4 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

SPAM WEER HELEMAAL TERUG VAN WEGGEWEEST

Meer dan een derde van de organisaties die in 2016 te maken had met een securitydoorbraak, heeft aanzienlijke schade geleden. Dit blijkt uit het Cisco 2017 Annual Cybersecurity Report (ACR). Het rapport maakt deze schade ook concreet: het gaat niet alleen om omzetverlies, maar ook om klanten die weglopen en zakelijke kansen die verdampen. Ook brengt het rapport securitytrends in kaart evenals de barrières die bedrijven ondervinden als zij zich tegen aanvallen willen wapenen. Opmerkelijk is dat spam weer helemaal terug is van weggeweest en dat Cisco er in is geslaagd de ‘time to detection’ meer dan te halveren: van 14 tot 6 uur.

NEDERLANDSE BEDRIJVEN BESTEDEN IT-BEVEILIGING MASSAAL UIT INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 5

ONDERZOEK sche en geopolitieke landschap en de marktomgeving over de gehele wereld. Buiten de traditionele risico’s van brand en natuurrampen is een reeks van nieuwe risico’s in opkomst. Dit vereist een nieuwe kijk op de huidige controle- en risicomanagementinstrumenten.

Marktontwikkelingen en volatiliteit Marktontwikkelingen en volatiliteit (31% van de respondenten) is op BI na het belangrijkste bedrijfsmatige risico. In Nederland wordt naast BI alleen cyber als een nog grotere bedreiging gezien. Het is de voornaamste reden tot zorg in de luchtvaartindustrie, financiële dienstverlening, marine en transport en in Afrika en het Midden-Oosten zelfs sector breed.Om te kunnen anticiperen op plotselinge veranderingen van regels die van invloed kunnen zijn op de markt, moeten bedrijven meer kapitaal investeren om de politiek en het opstellen van beleid in 2017 goed te monitoren. Volgens kredietverzekeraar Euler Hermes, een dochteronderneming van Allianz SE, worden er sinds 2014 wereldwijd jaarlijks zo’n 600 tot 700 nieuwe handelsbelemmeringen opgesteld.

Digitalisering zorgt voor nieuwe risico’s

Technische storingen

en menselijke fouten vormen risico voor kritische IT-infrastructuur Toenemende onderlinge verbondenheid en complexiteit en doeltreffendheid van cyberaanvallen zijn niet alleen een groot direct risico voor bedrijven, maar vormen ook een indirect risico via risicogevoelige en kritische infrastructuren zoals IT-, water- en stroomvoorzieningen. Het gevaar wordt gevormd door technische storingen en menselijke fouten. Beide kunnen leiden tot langdurige en wereldwijde verstoring van zowel de bedrijfsvoering als de supply chain. Dit blijkt uit de zesde jaarlijkse Allianz Risk Barometer waarin bedrijfsrisico’s wereldwijd worden geanalyseerd en ook per regio, land, industriesector en bedrijfsomvang uiteen worden gezet. Het bedrijfsle6 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

ven zou data moeten gaan beschouwen als een activa, stelt verzekeraar Allianz. Daarnaast moet men de risico’s in kaart brengen rondom de beschikbaarheid van die data en het mogelijk verloren gaan dan wel ontoegankelijk worden van data. Resultaten tonen aan dat het midden- en kleinbedrijf cyberrisico’s zwaar onderschat: in deze categorie (omzet < € 250 miljoen) staat cyber pas op de 66ste plaats. Hoewel een serieus incident wel degelijk aanzienlijke schade kan aanrichten.

Business Interruption blijft grootste zorg Business Interruption (BI) blijft de lijst aanvoeren voor het vijfde jaar op rij (37% van de respondenten). In eerste instantie omdat het kan leiden tot aan-

zienlijk omzetverlies, maar ook doordat meerdere nieuwe triggers in opkomst zijn en dan met name immateriële schades en risico’s, zoals cyberincidenten en disruptieve schades door politiek geweld, stakingen en terroristische aanslagen. Deze trend wordt gedeeltelijk gedreven door de opkomst van ‘the Internet of Things’ en de steeds grotere wordende mate van onderlinge verbondenheid van machines, bedrijven en hun supply chain, waarbij schades zich eenvoudig kunnen verveelvoudigen in geval van een incident. Bedrijven worden tevens geconfronteerd met potentiële financiële schades door het veranderende politieke landschap (Brexit, Trump, aankomende EU verkiezingen enz.) wat leidt tot angst voor toenemend protectionisme en anti-globalisering. “Wereldwijd bereiden bedrijven zich voor op een jaar van onzekerheid”, vertelt Chris Fischer Hirs, CEO van AGCS SE. “Ze zijn bezorgd over de onvoorspelbare veranderingen in het juridi-

Tegelijkertijd groeit en evolueert het gebruik van technologieën en automatisering. Dit ontwricht bedrijven in alle industriële sectoren. Hoewel digitalisering nieuwe kansen met zich meebrengt, verandert het de aard van de bedrijfsmiddelen van een voornamelijk fysieke aard naar een meer immateriële. Ook

‘Het midden- en kleinbedrijf onderschat cyberrisico’s zwaar, hoewel een serieus incident wel degelijk aanzienlijke schade kan aanrichten’ kan in een gedigitaliseerde productieomgeving van Industry 4.0 een fout bij het invoeren van data of het verkeerd interpreteren van gegevens de productie stilleggen. Daarnaast zorgt de toenemende digitalisering en automatisering

voor cyberrisico’s (30% van de respondenten). Globaal gezien zetten bedrijven cyberrisico’s op de derde plek in de lijst met voornaamste risico’s, waar het in Amerika en Europa is gestegen naar een tweede plaats en in Nederland, Duitsland, het Verenigd Koninkrijk en Zuid-Afrika zelfs als grootste bedreiging wordt gezien. Tegelijkertijd is het voor bedrijven in de informatie- en telecommunicatietechnologie en in de retail en groothandel het grootste risico vanuit wereldwijd perspectief.

European General Data Protection Regulation Het risico van nu gaat verder dan alleen hacken, privacy en databreuk, alhoewel nieuwe voorschriften op het gebied van gegevensbescherming de negatieve effecten voor het bedrijfsleven wel verergeren. Voor veel bedrijven is het vijf voor twaalf als het gaat om de voorbereiding van de implementatie van de European General Data Protection Regulation in 2018. Hoewel de kosten voor het naleven van deze regels hoog zijn, kunnen de boetes voor niet-naleving zelfs vele malen hoger uitvallen. Natuurrampen (#4) en klimaatveranderingen/ toenemende weerschommelingen (respectievelijk 24% en 6% van de respondenten) staan dit jaar ook hoog op de agenda van het bedrijfsleven, met name in Azië waar vanuit kostenperspectief de grootste ramp ter wereld van 2016 zich voltrok - de Kumamoto aardbeving (Japan). Natuurrampen zijn een topprioriteit in Japan en Hongkong. In de engineering & constructiesector en bij energie- en nutsbedrijven is dit zelfs het grootste risico over de hele linie.

Klimaatschades worden groter “Natuurrampen en klimaatverandering zorgen voor een grote mate van ongerustheid bij onze klanten en de samenleving”, vertelt Axel Theis, Board Member van Allianz SE. “We moeten er van uitgaan dat globale opwarming van meer dan 1,5° Celsius klimaatschades zal versterken, zoals hittegolven en een significante stijging van de zeespiegel. Het is onze taak als verzekeraar om voor deze scenario’s oplossingen te ontwikkelen en samen met onze klanten en publieke partners bescherming samen te stellen door preventiemaatregelen en verzekeringen voor diezelfde partijen. VAN DE REDACTIE

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 7

ONDERZOEK

CISCO PEILT WERKELIJKE SCHADE NA EEN SECURITYDOORBRAAK

Barrières Daarnaast gaat het rapport in op de mogelijkheden die securityteams hebben om zich te verdedigen tegen de aanhoudende evolutie van cybercrime en de steeds veranderende aanvalsmethoden. Voor de CSO’s die hun security willen verbeteren zijn te weinig budget (35 procent), gebrek aan productcompatibiliteit (28 procent), certificeringsproblemen (25 procent) en een tekort aan getrainde securitymedewerkers (25 procent) de belangrijkste hindernissen.

Spam weer helemaal terug van weggeweest

Securitydoorbraak? Een op de vijf klanten weg Het Cisco-rapport laat de concrete impact zien van aanvallen op bedrijven, van MKB tot enterprise. Bij meer dan de helft van de bedrijven die met een securitydoorbraak te maken kregen, kwam deze doorbraak in de openbaarheid. De gevolgen: • 22 procent van de getroffen organisaties verloor klanten - 40 procent verloor zelfs meer dan 20 procent. • 29 procent verloor omzet - bij twee op de vijf bedrijven was dat meer dan 20 procent. • 23 procent zag zakelijke kansen verdampen na een geslaagde aanval, 42 procent van hen verloor meer dan 20 procent.

•

Operationele en financiële systemen werden het meest getroffen, verder werd de merkreputatie aangetast.

Als het kalf verdronken is… Het rapport bevestigt wat we eigenlijk wel weten: er moet eerst iets misgaan voordat er actie wordt ondernomen. De schade die een cyberaanval oplevert zet organisaties tot actie aan. Maar liefst negentig procent van de getroffen organisaties heeft na de aanval hun verdediging tegen dreigingen verbeterd. De belangrijkste maatregelen waren het scheiden van IT- en securityfuncties (38 procent), het aanbieden van meer bewustzijnstrainingen aan werknemers (38 procent) en het implementeren van technologie om de risico’s te verkleinen (37 procent).

van derden - bedoeld om nieuwe zakelijke kansen te benutten en om de efficiency te verbeteren - vallen in de categorie ‘hoog risico’.

Verder hebben securityafdelingen te maken met een toenemende complexiteit van hun omgeving. Twee derde van de organisaties gebruikt meer dan vijf securityproducten - 6 procent heeft meer dan 50 securityproducten geïmplementeerd - wat de kans op gaten in de security sterk vergroot. En zoveel producten zoveel leveranciers: 55 procent van de respondenten werkt met meer dan vijf leveranciers, 3 procent zelfs met meer dan 50 securityleveranciers.

De explosieve groei van het aantal applicaties zorgt voor een forse toename van het securityrisico. Als bedrijven naar de cloud gaan, wordt ook de ‘security perimeter’ - het hek rond de infrastructuur sterk uitgebreid. Elke cloudapplicatie die wordt toegevoegd rekt dat hek verder op. Zeker als werknemers dat zelf (mogen) doen. Vaak wordt het oogluikend toegestaan omdat het de productiviteit ten goede komt. Maar het raakt de security van de bedrijfsinfrastructuur omdat ze met de eigen (private) cloud en SaaS-platforms kunnen communiceren, zodra de toegang wordt gegeven via open authentication (OAuth). Applicaties die hier gebruik van maken hebben zeer uitgebreide en soms zelfs buitensporige toegangsmogelijkheden. Aan te raden is dus dat deze applicaties zorgvuldig beheerd moeten worden.

Steeds korter onder de radar

‘Klassiek’ weer in de mode

Gezien deze aanvallen is het belangrijk om te kunnen vaststellen of de securityaanpak effectief is. Cisco houdt bij hoe snel dreigingen ontdekt worden (‘time to detection’) nadat ze zijn binnengedrongen. Snelle ontdekking van een dreiging is belangrijk om de bewegingsruimte van de aanvallers zoveel mogelijk te beperken en de schade te minimaliseren. Cisco is er in geslaagd om in het afgelopen half jaar deze ‘time to detection’ ruim te halveren: van 14 uur naar 6 uur. Dit cijfer is gebaseerd op gegevens afkomstig van Cisco-securityproducten wereldwijd en zijn verzameld met toestemming van de gebruiker.

Cybercriminelen proberen gaten in de beveiliging weer te benutten met ‘klassieke’ aanvalsmethoden, zoals adware en e-mail spam. Het spamvolume is, na enkele jaren van daling, weer terug op het recordpeil van 2010. Vooral de tweede helft van 2016 heeft een sterke groei laten zien. In de daaraan voorgaande periode hebben betere antispam-technologieën en een succesaanpak van enkele grote spamverspreiders geholpen om spam terug te dringen.

In 2016 werd hacken steeds meer een ‘zakelijke activiteit’. Snelle technologische veranderingen, aangejaagd door digitalisering, bieden ook cybercriminelen nieuwe kansen. Zoals gezegd blijven aanvallers gebruik maken van vertrouwde technieken, maar zij maken ook gebruik van nieuwe methoden, bijvoorbeeld gericht op de middleware-laag waar organisaties lang niet altijd zicht op hebben.

Meer risico in de cloud Cloudmogelijkheden kunnen een risico vormen: 27 procent van door werknemers geïntroduceerde cloudapplicaties

De Cisco-onderzoekers schrijven de stijging van het spamvolume in 2016 toe aan een nieuw botnet (Necurs). Bijna twee derde van het e-mailvolume bestaat uit spam en 8 tot 10 procent daarvan is kwaadaardig. Ook ouderwetse adware, software die zonder toestemming van de gebruiker advertenties downloadt, blijft succesvol. Driekwart van de onderzochte organisaties heeft hier mee te maken gehad. Een lichtpuntje is dat het gebruik van grote exploit kits zoals Angler, Nuclear en Neutrino is afgenomen doordat de eigenaren werden aangepakt. Kleinere spelers vullen echter het gat snel op.

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 9

ONDERZOEK

ONDERZOEK voudigen van hun verzameling securitytools door over te stappen op een geïntegreerde architectuur die naadloze uitwisseling van informatie tussen de verschillende securitycomponenten mogelijk maakt. Ook verdergaande automatisering en stroomlijning van de detectie- en responsprocessen wordt veel eenvoudiger.

Overbelast: helft van meldingen niet gecheckt Volgens het rapport wordt per dag slechts 56 procent van alle securitymeldingen onderzocht. Van de meldingen die wel worden onderzocht is van 28 procent vastgesteld dat ze geen vals alarm zijn. Van de legitieme meldingen wordt vervolgens minder dan de helft daadwerkelijk aangepakt. In cijfers ziet dit probleem er als volgt uit: Als een organisatie per dag 5.000 meldingen krijgt, betekent dat: • 2.800 meldingen (56 procent) worden onderzocht en 2.200 niet (44 procent) • Van de onderzochte meldingen zijn er 784 alerts (28 procent) legitiem, terwijl 2016 meldingen (72 procent) vals alarm zijn. • Van deze legitieme meldingen worden er 360 (46 procent) aangepakt, terwijl met 424 van deze legitieme meldingen (54 procent) niets wordt gedaan. Zorgwekkende cijfers, die de vraag oproepen wat voor soort meldingen er zo doorheen glipt. Zijn dat low-level dreigingen die niet veel meer doen dan spam verspreiden, of zijn het meldingen van dreigingen die de voorbode zijn van een ransomware-aanval of die het netwerk platleggen? De enige manier om meer meldingen te kunnen onderzoeken is securityautomatisering en werkelijk geïntegreerde securityoplossingen. Automatisering van detectie en onderzoek zorgt voor aanzienlijke verlichting van het werk, waardoor ook het tekort aan securityprofessionals minder voelbaar wordt.

Risico blijft Dat er zoveel securityincidenten niet onderzocht kunnen worden betekent natuurlijk dat de organisatie risico blijft lopen. Zullen de dreigingen uiteindelijk een impact hebben op de productiviteit, de klanttevredenheid en het vertrouwen in de onderneming? Volgens de respondenten kunnen zelfs kleine securitydoorbraken op de lange termijn vervelende gevolgen hebben. Zelfs als de financiële schade relatief beperkt was en de besmette systemen gemakkelijk op te sporen waren, worden ook deze kleinere doorbraken als een significant probleem gezien vanwege de stress voor de organisatie.

Volgende stappen Verdedigers zeggen weliswaar vertrouwen te hebben in hun tools, maar moeten vechten tegen complexiteit en gebrek aan mankracht. Het kan niet missen dat aanvallers dit uitbuiten. Het rapport raadt aan de volgende stappen te zetten om risico’s te minimaliseren en dreigingen te voorkomen, te detecteren en weg te nemen: • Zorg dat security een zakelijke prioriteit is. De top van het bedrijf moet het belang van security uitdragen en als een prioriteit financieren. • Breng operationele effectiviteit in kaart: evalueer securityaanpak, patchprocessen, toegang tot het netwerk, applicaties, functionaliteiten en data. • Test de effectiviteit van security: stel duidelijke meetcriteria op. Gebruik deze om de securityaanpak te valideren en te verbeteren. • Een belangrijke stap die organisaties kunnen nemen is het vereen-

10 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

Kortom, kies voor een geïntegreerde benadering van de verdediging: zet integratie en automatisering hoog op de lijst om de zichtbaarheid te verbeteren, de onderlinge samenwerking te stroomlijnen, de tijd tot ontdekking te verkorten en aanvallen te stoppen. Securityteams kunnen zich vervolgens richten op het onderzoeken en tegengaan van werkelijke dreigingen. MICHEL SCHAALJE, technisch directeur Cisco Nederland

Stand van zaken rond de security Het Cisco Annual Cybersecurity Report onderzoekt de meest recente dreigingsinformatie, verzameld door security-experts van Cisco, om inzicht te krijgen in securitytrends bij klanten. Voor het rapport zijn ook bijna 3.000 chief security officers (CSO’s) en security operations-teamleiders uit dertien landen ondervraagd. Het wereldwijde rapport, dat dit jaar voor de tiende maal is verschenen, geeft aan wat momenteel de belangrijkste securityuitdagingen zijn.

Nederlandse bedrijven

besteden IT-beveiliging massaal uit 85% van de Nederlandse bedrijven met tenminste 10 werknemers geeft aan in 2015 werkzaamheden te hebben uitgevoerd op het gebied van ICT-beveiliging. Denk hierbij aan de bescherming van data, het uitvoeren van beveiligingstests en het maken of onderhouden van beveiligingssoftware. Driekwart van de bedrijven kiest ervoor dit soort werkzaamheden uit te besteden aan een derde partij. Dit blijkt uit de Cybersecuritymonitor van het Centraal Bureau voor de Statistiek (CBS). Het aandeel bedrijven dat ICT-beveiligingswerk uitbesteedt varieert aanzienlijk en is onder andere afhankelijk van de omvang van een bedrijf. Zo besteedt 79% van de kleinste bedrijven deze werkzaamheden uit, terwijl dit percentage onder de grootste bedrijven op 43% ligt. Dit verschil is volgens het CBS in belangrijke mate te verklaren door het ontbreken van voldoende kennis en kunde bij veel kleinere bedrijven om ICT-beveiligingswerk zelf uit te voeren.

ICT-sector is een uitzondering De ICT-sector is hierop een duidelijke uitzondering. Alleen in deze sector kiest het overgrote merendeel (70%) van de bedrijven ervoor ICT-beveiligingswerk in eigen beheer uit te voeren. CBS merkt op dat dit beeld enigszins wordt vertekend door het feit dat ook ICT-beveiligingsbedrijven onderdeel uitmaken van deze sector. Deze bedrijven zijn gespecialiseerd in ICT-beveiliging, wat het voor de hand liggend maakt dat zij ICT-beveiligingswerk zelf uitvoeren. In andere sectoren kiest het merendeel van de bedrijven dus ervoor ICT-beveiliging uit te besteden. Zo voert 47% van de financiële instellingen ICT-beveiligingswerk zelf uit. In de bouwnijverheid, de horeca en de gezondheidszorg besteden bedrijven dit werk praktisch allemaal uit. Ook dit is volgens het CBS te verklaren door een gebrek een de benodigde kennis en kunde om dit werk zelf uit te voeren. Daarnaast hebben deze partijen niet altijd de middelen om hier iemand voor aan te nemen en is het ook niet altijd nodig een voltijds ICT-beveiligingswerker in dienst te nemen.

Het 2017-rapport bevat ook de belangrijkste bevindingen van de derde jaarlijkse Cisco Security Capabilities Benchmark Study (SCBS) die onderzoekt wat het beeld is dat securityprofessionals hebben van de stand van zaken rond de security in hun organisatie. Er wordt gekeken naar geopolitieke trends, wereldwijde ontwikkelingen rond datalokalisatie en het belang van cybersecurity als onderwerp voor de raad van bestuur.

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 11

ONDERZOEK als gevolg van de ondoordachte manier waarop mensen in hun werk met informatie omgaan.

ZWERFINFORMATIE GROTE BEDREIGING VOOR INFORMATIEVEILIGHEID

Veilig gedrag

van werknemers is nog ver weg Elke organisatie, zowel de kleinere als de grotere, staat voor de uitdaging om de informatieveiligheid te waarborgen. Investeren in security-technologie ligt dan voor de hand. Maar als medewerkers ‘onbewust onbekwaam’ met de risico’s omgaan, helpt zelfs de meest geavanceerde technologie niet. Uit onderzoek van Veenman blijkt dat organisaties zich dat onvoldoende realiseren: zij denken dat de grootste bedreiging voor de informatieveiligheid van buiten komt. De belangrijkste conclusie van het onderzoek is echter dat de grootste bedreiging van binnenuit komt: onveilig gedrag van medewerkers en het ontstaan van zwerfinformatie. Over cybercriminaliteit en het lekken van gegevens staan de kranten vol. En dat de manier waarop mensen met informatie omgaan risico’s oplevert is bekend. Maar in welke mate zijn medewerkers zich 12 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

bewust van de impact van hun gedrag op de veiligheid? En wat doen organisaties om hun informatieveiligheid te verbeteren? Leggen zij de focus op de techniek of de gedragskant, of zijn beide net zo belangrijk? Veenman, specialist op het gebied van documentmanagement- en informatievraagstukken en visual solutions, heeft dit onlangs laten onderzoeken.

Zwerfinformatie Gezien alle aandacht voor zaken zoals ransomware, hackers en digitale bedrijfsspionage en pogingen van bepaalde mogendheden om in andere landen verkiezingen te manipuleren, is het niet vreemd dat veel ondervraagden denken dat het gevaar van buiten komt. Toch blijkt uit het onderzoek van Veenman dat de dreiging ‘van binnenuit’ veel groter is. Volgens het onderzoek is het grootste risico dat informatie fysiek of digitaal gaat rondslingeren

Deze rondslingerende informatie wordt in het onderzoek ‘zwerfinformatie’ genoemd. Dat kan bijvoorbeeld gaan om prints of USB-sticks die achterblijven op de werkplek. Maar denk ook aan werknemers die hun laptop in de auto laten liggen. Als die laptop gestolen wordt, kan alle bedrijfsinformatie in verkeerde handen komen. Als het dan ook nog privacygevoelige informatie betreft, moet de diefstal in het kader van de meldplicht datalekken officieel worden gemeld bij de Autoriteit Persoonsgegevens. Onveilig gedrag is bijvoorbeeld het klikken op een schadelijke link in een e-mail of het gebruik van publieke diensten, zoals Dropbox en WeTransfer, om zakelijke informatie uit te wisselen. Of een e-mail met een bijlage met salarisgegevens die per ongeluk aan de verkeerde personen wordt gestuurd. Wat ook voorkomt is dat documenten worden rondgestuurd, zonder dat de verzender controleert of iedereen op de verzendlijst wel gerechtigd is die informatie te ontvangen. Het probleem voor de security is dat medewerkers zich niet of nauwelijks bewust zijn van de waarde van privacy- en concurrentiegevoelige informatie. Daarbij komt dat werknemers ook niet weten wat zij precies moeten doen om zwerfinformatie te voorkomen.

Onbewust onbekwaam Door de voortschrijdende digitalisering is informatieveiligheid een steeds complexer domein geworden. Voor het onderzoek is de borging van informatieveiligheid daarom benaderd vanuit een overzichtelijke driehoek met als hoekpunten: •

• •

Bewustzijn van mensen (kennen zij de waarde van informatie en van mogelijke gevaren?) De techniek (adequate beveiligingssoftware en –hardware) Het gedrag van mensen (vertonen zij het juiste gedrag als het om veiligheid gaat?)

Voor optimale veiligheid moeten de drie punten een solide geïntegreerd geheel vormen. Bij informatieveiligheid van organisaties is ICT - de techniekhoek traditioneel in de lead, terwijl het meren-

deel van de respondenten van mening is dat met alleen technische oplossingen de informatieveiligheid niet gegarandeerd kan worden. Zij vinden dat de menskant minstens zo belangrijk is. Nu weet iedereen eigenlijk wel dat als het om security gaat de mens uiteindelijk de zwakke schakel is. Het onderzoek kijkt daarom dieper naar de bewustzijns- en gedragsaspecten en de oorzaken daarvan.

Onbewust bekwaam Als bewustzijn en gedrag nader worden bekeken, dan blijkt dat veel mensen als het ware ‘onbewust onbekwaam’ met informatie omgaan. Mensen blijken zich gewoon niet of onvoldoende bewust van

de waarde van de informatie waar ze mee werken. Zij kunnen zich soms ook niet eens voorstellen dat bedrijfsinformatie voor andere partijen waarde heeft. Daarnaast zijn zij zich ook vaak onbewust van wat de gevolgen kunnen zijn van de manier waarop zij met informatie omgaan. Tot slot speelt ook het gedrag een belangrijke rol. Een berucht voorbeeld: ondanks talloze waarschuwingen om niet op links in mails van onbekenden te klikken, gebeurt dat desondanks maar al te vaak. Het streven moet dus zijn dit alles zodanig te veranderen dat mensen ‘onbewust bekwaam’ worden in veilig omgaan met informatie. Dit wordt in de weg gestaan door: •

Consumentisme. Medewerkers nemen hun gedrag als privé informatieconsument mee naar hun werk. Dat creëert grote veiligheidsrisico’s als zij zich niet bewust zijn dat de bedrijfsinformatie die ze prijsgeven, een heel andere impact kan hebben dan het prijsgeven van privé-informatie.

•

Bestanden zijn net water: ze volgen de weg van de minste weerstand. Mensen willen gemakkelijk hun werk kunnen doen en zonder drempels of beperkingen informatie uitwisselen. Net als in hun privésituatie. Ze zijn zich echter niet bewust van het informatiespoor dat ze achterlaten en hoe anderen hier misbruik van kunnen maken.

Daarnaast blijkt uit het onderzoek dat het gros van de medewerkers niet weet wat binnen hun organisatie wordt verstaan onder informatieveilig werken. Men kent het beleid hiervoor gewoonweg niet. Waar nog bijkomt dat uit het onderzoek naar voren komt dat in veel

organisaties nog geen strak informatieveiligheidsbeleid is vastgesteld. Solide securityprocedures ontbreken soms en als ze er zijn laat de communicatie erover vaak te wensen over. Ook blijkt dat niet of nauwelijks is doorgedrongen dat informatieveiligheid een gemeenschappelijke verantwoordelijkheid is van de organisatie én van alle medewerkers. Het wordt te veel gezien als een verantwoordelijkheid van de organisatie.

Groot vliegwiel Positiever is dat driekwart van de organisaties op een of andere manier bezig is met bewustzijnsontwikkeling, een kwart besteedt daar helemaal geen aandacht aan. Dat het groeitempo van het veiligheidsbewustzijn niet synchroon loopt met de technologische ontwikkelingen vormt een behoorlijke uitdaging. Informatieveiligheid is als het ware een groot vliegwiel dat langzaam op gang komt. Veel organisaties blijken zich nog in de beginfase van de weg naar bewustzijnsverandering te bevinden.

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 13

ONDERZOEK

PUBLICATIE

Geen zwerfinformatie meer Het onderzoeksrapport komt ook met een aantal aanbevelingen om zwerfinformatie tegen te gaan: • Bepaal of er nieuwe en/of additionele technologische oplossingen nodig zijn, bijvoorbeeld oplossingen die gebruikersvriendelijker werken en beter voldoen aan de behoeften van de medewerkers . • Communiceer over het beleid en de risico’s van zwerfinformatie, en blijf dat regelmatig doen. Je kunt zwerfinformatie alleen bestrijden als goed in kaart is gebracht welke informatie geen duidelijke plek heeft binnen de primaire processen en daardoor op allerlei plekken bewaard wordt, zoals laptops, USB-sticks, bureaus en de voor iedereen toegankelijke ‘public cloud storage’ platformen zoals Dropbox, WeTransfer en Google Drive. Begin daarom bij de technologische kant van de informatieveiligheidsdriehoek. Wat zijn de reeds aanwezige softwarepakketten of -applicaties en welke mogelijkheden worden daarbinnen geboden voor optimalisatie van werkprocessen en het ondersteunen van specifieke behoeften van medewerkers? Dit kan voorkomen dat medewerkers zogenaamde ‘workarounds’ rondom de bestaande applicaties bedenken. Achterhaal ook welke eventuele workarounds mogelijk zijn, waarom medewerkers daar gebruik van maken en welke risico’s dit met zich meebrengt. Als blijkt dat de mogelijkheden van bestaande softwarepakketten niet volstaan, of als aanpassingen niet efficiënt toegepast kunnen worden om te voldoen aan de behoefte van de medewerkers, is het interessant om te gaan kijken welke alternatieven wél kunnen voorzien in deze behoefte. Dat kan de kans op onveilig omgaan met informatie drastisch verkleinen. Zwerfinformatie hoeft niet in alle gevallen een veiligheidsprobleem op te leveren. Dat gebeurt pas als de veiligheid in het geding komt en dat hangt dus af van de aard van de informatie. Privacygevoelige of concurrentiegevoelige informatie levert voor de organisaties een veel groter risico op dan andersoortige informatie.

Boek geeft Wie initieert het informatieveiligheidsbeleid? Informatiebeveiliging is niet alleen ICT-security, daar komt veel meer bij kijken. Het is een verantwoordelijkheid van de gehele onderneming, van hoog tot laag. Een speciale functionaris gegevensbescherming (FG) oftewel data protection officer (DPO) kan een spin in het web zijn om iedereen in de organisatie, van hoog tot laag, bewust te maken, te trainen en te auditen. Wie is waar verantwoordelijk voor als er iets mis gaat? Naast helder communiceren wat wel en niet mag, zijn er ook vele trainingen of seminars beschikbaar waarin medewerkers bewust worden gemaakt van de risico’s van zwerfinformatie. Zwerfinformatie als symptoom bevindt zich ook aan de outputkant, het ‘einddocument’, zoals de print, de factuur of aantekeningen op flipovers. Dit laatste is op te lossen door bijvoorbeeld een digitaal bord waar aantekeningen op gemaakt kunnen worden. De notities kunnen direct na een meeting digitaal met de aanwezigen worden gedeeld en vervolgens van het bord worden verwijderd.

Bepaal op welk niveau de verschillende informatie beschermd moet worden. Kroonjuwelen verdienen natuurlijk een ander informatiebeleid en daarmee een ander beschermingsniveau dan gegevens die openbaar beschikbaar mogen zijn. Kijk tot slot goed naar de kosten en baten. Het heeft immers weinig zin geld uit te geven aan bescherming van informatie die geen schade oplevert als het in verkeerde handen komt. EVELIEN ROOS, Business Solutions Manager bij Veenman

Het rapport ‘Zwerfinformatie - Zonder omwegen goed en veilig werken met informatie’ is in opdracht van Veenman uitgevoerd in het najaar van 2016. Het is een benchmark over informatieveiligheid waaraan bijna 170 personen hebben deelgenomen. De hoogste respons kwam van zakelijke dienstverleners (26%). Ook financiële dienstverleners (13%) en overheden (17%) zijn ruim vertegenwoordigd. Het zwaartepunt van de deelnemers ligt bij ICT-managers (25%). Information security officers en leden van de algemene directie zijn beide goed voor 16% van de respons. Daarnaast is de financiële directie met 5% vertegenwoordigd. In dit onderzoek heeft 33% van de organisaties tussen de 20 en 100 medewerkers, 19% tussen de 100 en 1.000 medewerkers en 17% meer dan 1.000. Ook de fysieke structuur van een organisatie is van invloed op de informatieveiligheid. Wanneer de werkzaamheden op meerdere locaties worden uitgevoerd, stijgen de veiligheidsrisico’s. Ruim de helft van de responderende bedrijven heeft 1 tot 10 vestigingen; 40% heeft 11 tot 20 vestigingen. De overige 10% heeft tussen de 20 en 300 vestigingen of meer. Het volledige rapport is te downloaden via www.zwerfinformatie.nl.

14 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

IT-professionals uitleg over digitaal recht

Het gebruik van een door een andere partij ontwikkelde Application Programmering Interface is wellicht technisch gezien heel handig, maar mag dat eigenlijk wel? Is bij die API bijvoorbeeld wel afdoende rekening gehouden met Nederlandse en Europese weten regelgeving? En mag u zelf ‘zomaar’ een API ontwikkelen en aan andere partijen ter beschikking stellen? Een nieuw boek probeert IT-professionals met dit soort onderwerpen op weg te helpen. Van API tot algoritme Met alle ontwikkelingen op het gebied van privacy, algoritmes, API’s, machine learning en IT-security krijgen IT-managers en -professionals meer en meer te maken met weten regelgeving. Het boek ‘Digitaal recht voor IT professionals’ is tot stand gekomen onder redactie van mr Victor de Pous, columnist van onder andere CloudWorks en Infosecurity Magazine. Hij heeft een aantal juristen gevraagd om een groot aantal belangrijke technische ontwikkelingen te behandelen. Daarbij leggen zij uit wat IT-specialisten moeten weten van de weten regelgeving die voor deze thema’s belangrijk zijn.

Gewone mensentaal Dat heeft geleid tot een ruim 170 pagina’s en dertig

hoofdstukken dik boek waarin in ‘gewone mensentaal’ wordt uitgelegd wat de juridische kant van deze ITtrends is. Interessant genoeg levert dit artikelen op die niet alleen tot doel hebben om uit te leggen wat wel of niet mag. Minstens zo interessant is het feit dat kennis hebben van - wat juristen noemen - ‘het rechtskader’ juist veel meer inzicht geeft in hoe bepaalde technologische ontwikkelingen optimaal kunnen worden benut. De wet geldt daarbij als - zeg maar - de ondergrens die aangeeft wat wel mag of wat niet. Maar inzicht hebben in dit rechtskader biedt natuurlijk ook de mogelijkheid om - bijvoorbeeld - op basis van de juridische kant van technologie onderscheidend vermogen tot stand te brengen. In een tijd van digitale transformatie kan dat wel eens een erg belangrijk wapen in de concurrentiestrijd blijken.

Privacy en social media De onderwerpen die in dit boek aan bod komen zijn zeer divers. Ze variëren van het eigendom van software en licenties tot privacy en social media. En van encryptie tot API’s en smart cities. Het boek is tot stand gekomen via een samenwerking van juridische uitgeverij deLex en de Special Interest Group IT en Recht van Ngi-NGN. Dit is de Nederlandse beroepsvereniging van en voor ICT-professionals en -managers. VAN DE REDACTIE

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 15

AUTHENTICATIE

SCOTT CLEMENTS (VASCO) BREEKT LANS VOOR INTEGRATIE VAN AUTHENTICATIE IN APPS

hardware security-tokens voor de bancaire wereld. In Nederland is bijvoorbeeld Rabobank een grote klant. Waar veel klanten van Rabobank jarenlang deze toestellen hebben gebruikt bij online bankieren, zien we inmiddels de aandacht meer en meer verschuiven naar softwaretokens voor authenticatie. “Door onze focus op de bancaire sector hebben we enorm veel ervaring opgedaan met het beschermen van (privacy) gevoelige transacties. De software die wij hiervoor hebben ontwikkeld, hebben we in eerste instantie geïmplementeerd in een hardware token. De hardware token zoals wij die aan onder andere Rabobank leveren is daarbij in feite niet meer dan de drager van de software. De security-aanpak van VASCO zit in die software. Diezelfde software breiden we continu verder uit en stellen we ook op andere manieren aan onze klanten ter beschikking.”

Van hardware tot API

90%

mobiele gebruikers herkent besmetting eigen smartphone niet

Promon levert een technologie die Runtime Application Self-Protection of RASP wordt genoemd. “RASP is een aanpak waarbij de app als het ware zichzelf beschermt”, vertelt Clements. “Bij traditionele methoden voor het beveiligen van apps wordt een security-laag over de functionaliteit van de software gelegd. Dat werkte lange tijd best aardig, maar naarmate cybercriminelen technologisch geavanceerdere tools inzetten, is dit model niet meer houdbaar. Want is de cybercrimineel eenmaal door die security-laag heen gebroken, dan is de functionaliteit van de app verder geheel onbeschermd en kan de crimineel doen wat hij wil. Bij gebruik van Runtime Application Self-Protection is de beveiliging niet iets dat achteraf aan de app wordt toegevoegd,

maar is security volledig in de functionaliteit van de applicatie geïntegreerd.”

Shield De RASP-technologie van het Noorse Promon heet Shield en maakt al enige tijd deel uit van het DIGIPASS for Apps geheten security-platform van VASCO. DIGIPASS for Apps is in feite een zogeheten ‘software development kit’ (SDK). Daarmee kunnen developers security features volledig in een mobiele app integreren.

Authenticatie De deelname van VASCO in Promon speelt een belangrijke rol in de strategie die Clements in zijn nieuwe rol als president en Chief Operating Officer heeft uitgestippeld. VASCO is al jaren een belangrijke speler in de wereld van

Clements: “Het is aan onze klanten om te bepalen hoe zij authenticatie precies willen toepassen. Dat kan per transactie of inlogpoging, maar we kunnen het ook volledig integreren in een app. In dat geval kan de developer authenticatie rechtstreeks in de code van de app opnemen. Daarnaast zien wij ook de opkomst van API’s ofwel Application Programming Interfaces. Voor authenticatie betekent dit dat de developer niet zelf securityfuncties in de app hoeft in te bouwen, maar dat hij dit als het ware uitbesteedt aan een andere partij. Op zijn beurt stelt die andere partij deze security-functionaliteit in de vorm van een API beschikbaar aan anderen.” Clements benadrukt dat al deze vormen van authenticatie deel uitmaken van de strategie van VASCO. Vandaar dat het bedrijf nog altijd hardwarematig ondersteunde authenticatie levert, maar ook DIGIPASS for Apps heeft ontwikkeld en onlangs dus heeft uitgebreid met Promons RASP-technologie. Daarnaast investeert het concern ook in API’s.

‘Bij gebruik van Runtime Application Self-Protection is security volledig in de functionaliteit van de applicatie geïntegreerd’ goed weten hoe zo’n API voor authenticatie in elkaar zit. Wat doet de API nu precies? Is dat gedocumenteerd? Voldoet het aan alle relevante compliance-eisen en standaarden? Bij puur op technische functionaliteit gerichte API’s zien we dat er al veel werk is verzet om deze ‘mutual reliance’ op een goede manier vorm te geven. In de wereld van (privacy)gevoelige transacties moeten op dit punt nog een paar stappen worden gezet. Maar dat we over enige tijd op authenticatie gerichte API’s gaan krijgen, daar ben ik van overtuigd. En met zijn enorme ervaring rond het opbouwen en onderhouden van trust in de bancaire sector zal VASCO daar zonder twijfel een belangrijke rol in spelen.”

Onveilige publieke wifi Terwijl aan de ene kant dus aan op authenticatie gerichte API’s wordt gewerkt, is Clements tegelijkertijd erg enthousiast over RASP als security-methode. “Het is een belangrijke pijler onder het proces van ‘digital transformation’ dat veel organisaties momenteel doorlopen. Daarbij digitaliseren bedrijven zoveel mogelijk werkprocessen. Tegelijkertijd zien we dat wij als privépersonen ons leven ook steeds meer digitalise-

Trust is cruciaal Het is echter nog erg vroeg als het gaat om API’s op het gebied van authenticatie, meent Clements. “We kijken er zeker naar en we doen ook al heel wat R&D op dit gebied. ‘Trust’ is in de wereld waarin wij actief zijn echter een zeer belangrijk thema. Een business-organisatie maar ook een developer wil natuurlijk wel heel INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 17

AUTHENTICATIE ren. Als ik in een trein of metro zit, zie ik veel mensen een spelletje spelen op hun smartphone. Veel van die games bieden de mogelijkheid om binnen het spel aankopen te doen. Geen gamer wil dan wachten tot hij of zij thuis is om in een veilige wifi-omgeving die aankoop te doen. Maar een publieke wifiverbinding is per definitie onveilig. Niet iedereen weet dat, maar we zien mensen die het wel beseffen, toch in een game iets willen kopen en dus de neiging hebben om de gok te wagen en die transactie te doen, ook bij gebruik van een onveilig netwerk. Gezien hun fascinatie voor die game is dat misschien nog wel te begrijpen ook, maar het is levensgevaarlijk om een financiële transactie te doen via een onveilige publieke verbinding.” Juist voor dit soort situaties is RASP een uitkomst. “Doordat security helemaal in de app verweven zit, kun je dit soort aankopen altijd doen, ook als je van een onbekende wifiverbinding gebruik maakt. Een cybercrimineel kan nu eenmaal de macht over een met RASP beschermde app niet overnemen.”

Niet verantwoordelijk Clements noemt het ‘zorgwekkend’ dat 4 op de 10 respondenten in het eerder genoemde onderzoek van Promon aangeven dat zij zichzelf in een publieke omgeving voldoende beschermd voelen zolang zij maar geen belangrijke informatie raadplegen. En dat terwijl zij

ICT en Security Trainingen

verbonden zijn met een mogelijk onveilig wifinetwerk. “Zij realiseren zich kennelijk niet dat zij ook dan grote risico’s lopen. Een gevaarlijke misvatting van veel gebruikers is bovendien dat zij denken dat banken zorgen voor een volledig veilige betaalapp. Banken kunnen de toegang tot de app beveiligen, maar dat de gebruiker zelf verantwoordelijk is voor een veilige verbinding wordt daarbij vaak over het hoofd gezien.” “Als veel gebruikers zich niet verantwoordelijk voelen voor de security rond betaalapps, dan is het met name aan

banken om te zorgen dat online bankieren toch veilig kan gebeuren. Daarbij is voorlichting uiteraard erg belangrijk. Maar we ontkomen er niet aan om ook nieuwe technische stappen te zetten. Betaalapps - maar hetzelfde geldt voor games en andere apps - kunnen met RASP-technologie uitstekend beveiligd worden. Hierdoor kunnen deze apps ook in onveilige omgevingen toch op een veilige en verantwoorde manier worden gebruikt.” VAN DE REDACTIE

TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiliging- en cybersecurity trainingen. Security professionals kunnen bij TSTC terecht voor bijna vijftig security trainingen op zowel technisch als tactisch- strategisch gebied. Naast alle bekende internationaal erkende titels is het ook mogelijk diepgang te zoeken in actuele security thema’s.

18 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

www.tstc.nl

Top 10 Security trainingen CEH • OSCP • CCSP • CCFP • CISSP • CJCISO • CRISC Privacy CIPP/E-CIPM • CISM • ISO 27001/27005/3100

Recognition for Best ATC’s and CEI’s

of t h e Ye a ATC r

Instructor

ident’s Achievemen Pres Award t

2016

TSTC Accredited Training Center of the Year 2016

Circle of Excellence Instructor 2016

Want security start bij mensen!!

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 19

ONDERZOEK

MEEST GEMAAKTE FOUTEN MET BACK-UP EN DISASTER RECOVERY IN 2016

waterleiding zorgt voor een ICT-verstoring. Als dit rampscenario zich voltrekt, lopen de kosten echter al snel in de papieren. Delta Airlines meldde vorig jaar een kostenpost van 150 miljoen euro na een brand in een switch. Hierdoor kwam een groot aantal servers zonder stroom te zitten. Een zeer grote brand op bedrijventerrein De Hoef in Amersfoort zorgde ervoor dat meerdere bedrijven niet bereikbaar waren voor de werknemers. “Een van de belangrijkste oorzaak van downtime - menselijke fouten - is helaas niet geheel uit te sluiten”, reageert Erik Ploegmakers, directeur van KPN Security Services. “Toch is het essentieel om medewerkers bewust te maken van de risico’s van bepaalde handelingen. Ook is het belangrijk om actie te ondernemen en te inventariseren welke dataherstel- en back-upmogelijkheden de gevolgen van menselijk handelen kunnen beperken.”

KPN Security Services

signaleert toename in uitwijktesten Diverse onderzoeksbureaus claimen dat downtime inmiddels het belangrijkste aandachtspunt is voor IT-afdelingen. Hiermee heeft downtime security ingehaald. Ook KPN Security Services zag in 2016 een toename in het aantal uitwijktesten. Daarnaast ziet de securityafdeling van het bedrijf dat bedrijven vaak in dezelfde valkuilen trappen. Diverse onderzoekers wezen in 2016 op de toenemende zorgen rondom downtime. Zo zijn IT-storingen volgens analistenbureau Quocirca de grootste zorg van ICT-afdelingen binnen Europese bedrijven. Een jaar eerder voerde security het lijstje nog aan.

Belangrijkste oorzaken downtime KPN Security Services voerde in 2016 een groot aantal uitwijktesten uit. Deze test geeft bedrijven in20 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

zicht in de haalbaarheid van de uitwijkprocedures die zijn bedoeld om na calamiteiten zoals stroomstoringen, brand of ransomware IT-productieomgevingen weer volledig operationeel te brengen. Naar aanleiding van deze testen concludeert KPN Security Services dat dit de top-5 oorzaken van dataverlies en downtime zijn in 2016: 1. Fouten in hard- en software (44 procent) Denk hierbij aan een gecrashte harde schijf, een switch die omvalt door een mislukte softwareupdate of een server die door oververhitting de geest geeft. 2. Menselijke fouten (32 procent) In de meeste gevallen gaat het om ‘onopzettelijke handelingen’ zoals het per ongeluk wissen van een virtuele machine of een set ongestructureerde data,

het verkeerd terugzetten van een backup of de stekker van die belangrijke switch die per abuis uit het stopcontact wordt gehaald. Uiteraard is opzettelijke sabotage ook niet uit te sluiten. 3. Cybercriminaliteit (17 procent) Computercriminaliteit is een steeds groter probleem. Zo werden in 2016 veel bedrijven het slachtoffer van ransomware, waardoor data niet meer beschikbaar waren. Het beschikbaar hebben van een goede back-up is dan de enige remedie.

nen een hybride omgeving, waarin on-premise en cloud door elkaar heen worden gebruikt. Dat maakt het landschap complex en aan veranderingen onderhevig. Controleer daarom alle processen regelmatig op actualiteit. 4. Vervangende hardware is niet op voorraad Hardware gaat vroeg of laat een keer stuk, ook op de uitwijklocatie. Het is een goed idee om enkele cruciale en kwetsbare onderdelen zoals harddisks in reserve te hebben.

Veelgemaakte disaster recovery-fouten

5. Te weinig aandacht voor vervangende werkplekken Bij diverse rampscenario’s kunnen werkplekken tijdelijk verloren gaan. Thuiswerken is lang niet voor ieder beroep een optie, en sowieso vaak maar een tijdelijke oplossing. Een goed disaster recovery-plan zorgt voor snelle beschikbaarheid van alternatieve fysieke werkplekken, die zijn uitgerust met alle voor het beoogde werk essentiële voorzieningen.

De uitwijktesten die in 2016 zijn uitgevoerd in het continuïteitscentrum van KPN in Almere - de opvolger van het Computer Uitwijk Centrum - bieden ook zicht op de pijnpunten als het gaat om back-up en disaster recovery (DR). Tijdens de uitwijktesten komen geregeld deze punten naar boven:

6. Wachtwoorden zijn niet beschikbaar Inloggegevens zijn nodig om systemen op een uitwijklocatie op te kunnen starten. Wie daar niet op bedacht is, zal mogelijk niet al zijn systemen tijdig kunnen opstarten.

1. Back-ups zijn niet gecontroleerd De beschikbaarheid van een bestand in een reservekopie betekent niet automatisch dat na herstel van dat bestand ook alle bijbehorende functionaliteit weer werkt. Zo kan het gebeuren dat tijdens een back-up niet alle ‘subsets’ van de data worden gekopieerd. Het is verstandig regelmatig te checken of een restore het gewenste resultaat heeft.

4. Stroomstoringen (12 procent) Hoewel de stroomvoorziening in Nederland van hoge kwaliteit is, komen stroomstoringen helaas nog altijd voor. Zo werden de Tilburg University, het KNMI en ook het Media Park in Hilversum in 2016 getroffen door downtime als gevolg van stroomstoringen.

2. Back-ups bevatten niet alle data Een goede back-up bestaat niet alleen uit de gegevens die aanwezig zijn op de centrale bestands- en applicatieserver. Een deel van de cruciale bedrijfsinformatie is immers veelal opgeslagen op desktop-pc’s, laptops en steeds vaker op smartphones en tablets die bijvoorbeeld bij een brand verloren kunnen gaan.

5. Brand en (blus)water (6 procent) Het gebeurt gelukkig niet zo vaak dat bijvoorbeeld een brand of een geknapte

3. Procedures zijn niet up-to-date Disaster recovery is geen kwestie van set-and-forget. Veel organisaties ken-

Bouw veerkracht in “Disaster recovery is geen passieve exercitie die je alleen uitvoert op het moment dat het misgaat. Security en veerkracht na een incident moeten zijn ingebouwd in de applicaties en het IT-landschap. Betrek DR-experts daarom altijd bij de ontwerpfasen en softwarekeuzes”, adviseert Ploegmakers. “De experts van KPN Security Services beschikken over de kennis die nodig is voor een effectieve disaster recovery binnen zowel traditionele, cloud- als hybride IT-omgevingen.” KPN levert al ruim 35 jaar diensten op het gebied van businesscontinuïteit en opereert platformen leveranciersonafhankelijk of het nu gaat om de besturingssystemen Unix, Linux of Windows, de hardware van bijvoorbeeld HPE, IBM of Dell of de software van leveranciers als VMware, Commvault, Veeam Software of Zerto.

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 21

VISIE doen met antivirus-technologie. Als de technologieën van die ‘alternatieve’ beveiligingsproducten dan zeer nauw onder de loep worden genomen, blijkt dat deze gebruik maken van identieke proactieve detectiemethoden die de traditionele (maar uiteraard geëvolueerde) merken ook gebruiken. Het grote verschil zit hem in de naam en de marketing, niet in de oplossingen zelf.

'Voor bedrijven geldt dat beveiliging van het IT-netwerk een lasagne moet zijn met verschillende verdedigingslagen'

En nu

antivirussoftware

gevaarlijk?

Sinds eind de jaren negentig duikt hij regelmatig op: de stelling dat antivirus dood is. Of: antivirus werkt niet. In extremere gevallen wordt zelfs gezegd dat antivirussoftware eerder een extra gevaar oplevert voor de pc die juist beschermd moet worden. Het thema blijkt nog steeds ‘hot’. We bespreken de geschiedenis van deze trend en twee recente voorbeelden.

De geschiedenis Het begon allemaal meer dan 18 jaar geleden toen Dr. Alan Solomon, een gerespecteerd security expert van het gelijknamige bedrijf proclameerde dat antivirussoftware dood was, tijdens een EICAR-conferentie. Het was opmerkelijk en het haalde de media. De nuance die Solomon bij zijn uitspraak aanbracht, ging in de pers echter verloren. In feite wilde hij het punt maken dat het ‘ouderwetse’ antivirus-pakket, dat zich uitsluitend verlaat op het scannen van codes tegen een database met geken22 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

de schadelijke codes (virushandtekeningen) uitgegroeid was tot een volwaardig beveiligingspakket en dat de oude benaming niet meer goed aangaf wat er beveiligd werd. Recenter, in 2014, werd de gewraakte uitspraak herhaald door Brian Dye, toen Senior Vice President of Information Security bij Symantec, maar daarna ‘snel’ verdwenen uit de security industrie, tijdens een interview met The Wall Street Journal (1). Verschillende consumenten en ook bedrijven lieten zich overtuigen door de argumenten – die steevast gingen over de ouderwetse, reactieve antivirussoftware en geen rekening hielden met het feit dat antivirussoftware al decennialang óók is uitgerust met allerlei gedragsherkenningstechnieken en andere proactieve detectiemethoden – en kozen voor een andere manier om hun IT te beveiligen. In het geval van consumenten is dat vaak de methode ‘goed updaten en goed opletten’, een tactiek die lang goed kan gaan, totdat de juiste zero-day voorbij komt. Bedrijven, zoals Netflix (2), laten zich verleiden door ‘alternatieve’ beveiligingsbedrijven, die ‘niets’

En dan nu, hoe staat men er anno 2017 tegenover? Behoorlijk negatief, bleek al in de eerste twee maanden van het jaar. In januari schreef Robert O’Callahan, een voormalig ontwikkelaar van Firefox, een blogpost met de titel ‘Schakel je antivirussoftware uit’. In het bericht (3) doet hij de verschillende problemen uit de doeken waarmee ontwikkelaars van browsers te maken krijgen door programmeerfouten in antivirussoftware en legt hij uit dat de software je computer zelfs onveiliger kan maken. Enkele punten die O’Callahan maakt, zijn absoluut valide. Immers: beveiligingssoftware moet - om zijn werk te kunnen doen - toegang hebben tot alle delen van de pc en het beschikt over veel rechten. Wanneer die rechten kunnen worden overgenomen door een hacker door een programmeerfout in de beveiligingssoftware, ben je ver van huis. Dit levert een dilemma op. Voor consumenten is het eigenlijk een vals dilemma. Het hacken van een computer door het gericht aanvallen van het beveiligingspakket is een tijdsintensieve klus. Er moet eerst worden geïnventariseerd welk pakket het slachtoffer heeft draaien (er zijn er honderden en op Windows Defender na heeft geen enkel product van een bepaald merk een groot marktaandeel) en bovendien is het belangrijk om te weten welke versie van Windows wordt gebruikt. Zelfs al kan een hacker de aanval automatiseren, dan nog zal hij mazzel moeten hebben dat zijn code, die gemaakt is voor een bepaald product van een specifiek merk antivirussoftware in combinatie met een specifieke Windows-versie, belandt op de pc van iemand die precies die combinatie gebruikt. De kans dat dat lukt is duizenden, zo niet miljoenen malen kleiner dan de kans dat een consument tijdens het surfen in aanraking komt met een gevaarlijk stuk malware. Vanuit een kansberekeningsoogpunt is het uitschakelen van de antivirussoftware dan ook

heel onverstandig. Vergelijkbaar met het verwijderen van de sloten op je deuren voor het geval een inbreker over een speciale nepsleutel zal beschikken die uitgerekend op jouw slot past. Nu zegt O’Callahan niet dat je de sloten helemaal moet afschaffen. Maar hij raadt je aan om te kiezen voor een gratis slot Windows Defender - en verder geen moeite te doen om een goed ander slot te kopen. Dat advies is niet erg verstandig. Juist wat zo’n hacker-aanval op antivirussoftware zo onwaarschijnlijk maakt: de grote diversiteit aan systemen met verschillende beveiligings-pakketten, gaat hiermee verloren. Als iedere Windows-gebruiker kiest voor Windows Defender, zullen er binnen de kortste keren nieuwe zero-days zijn die Windows Defender succesvol kunnen aanvallen of omzeilen. Alle malwareschrijvers zullen dan namelijk al hun tijd daarin steken: altijd prijs. Voor bedrijven geldt dat beveiliging van het IT-netwerk een lasagne moet zijn met verschillende verdedigingslagen. Met een solide firewall worden de meeste hacker-aanvallen tegengehouden en met een goede network monitoring tool kunnen onregelmatigheden snel worden ontdekt en tegengehouden, om maar even twee willekeurige aanvullende verdedigingslagen te noemen. Dan het meest recente voorbeeld van antivirussoftware kwaadsprekerij. In februari verscheen een wetenschappelijk artikel (4) van Zakir Durumeric en anderen waarin het ‘breken’ van https door antivirussoftware voor scandoeleinden gehekeld wordt. Uiteraard is het erg onverstandig om versleutelde gegevens te ontsleutelen, daarmee wordt het hele idee van https ondermijnd. Maar doen al die merken die Durumeric daarvan beschuldigt dat ook werkelijk? In elk geval beweert hij ten onrechte dat de software van G DATA zich ook schuldig maakt aan deze zonde. Dat is pertinent onwaar (5). Inmiddels heeft de onderzoeker op

Twitter zijn fout erkend en zijn excuses aangeboden. Het is niet uitgesloten dat de onderzoeker een dergelijke fout ook heeft gemaakt bij andere merken.

Noodzakelijk kwaad Het is nu eenmaal een feit dat iedereen liever zijn geld uitgeeft aan leuke producten. Beveiligingssoftware is een noodzakelijk kwaad, net als je ziektekosten- en inboedelverzekeringen. Niet alleen kost het geld, het zorgt er ook nog eens voor dat er vertragingen in je pc kunnen optreden en het is vaak compleet onduidelijk wat het product nu precies voor je doet. Het feit dat je geen malware-infectie hebt, kan immers aan twee zaken liggen: je software heeft alle malware tegengehouden, of je bent nooit malware tegengekomen. Vanuit dat oogpunt is het negatieve imago van beveiligingssoftware best goed te begrijpen. Maar zolang er elke seconde nieuwe malware de wereld in wordt gestuurd, is het wel degelijk een goed idee om te investeren in een solide beveiligingspakket. EDDY WILLEMS, Security Evangelist bij G DATA

Meer lezen: 1) https://www.wsj.com/news/articles/SB1000142 4052702303417104579542140235850578 2) http://www.forbes.com/sites/thomasbrewster/2015/08/26/netflix-and-death-of-anti-virus/#1dd626c93256 3) http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html 4) https://jhalderm.com/pub/papers/interception-ndss17.pdf 5) https://blog.gdatasoftware.com/2017/ 02/29496-g-data-does-not-touch-https

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 23

TECHNOLOGIE gen veel mensen het gevoel: waar rook is, is vuur. “Vanwege het grote aantal gebruikers is de kans op misbruik van een kwetsbaarheid in Whatsapp’s encryptie enorm”, zegt Bocek. “Gezien verschillende reacties hierover lijkt het slecht managen van alle encryptiesleutels een risico te zijn. Dit potentiële beveiligingslek in een app die meer dan een miljard mensen dagelijks gebruikt, moet voor bedrijven een duidelijke waarschuwing zijn voor de mogelijke businessimpact. Daar kan men zich alleen tegen beschermen met een systeem dat encryptiesleutels effectief beschermt of snel geautomatiseerd vervangt bij een incident.”

Het snelgroeiend gebruik van digitale certificaten en encryptie biedt kansen en bedreigingen. Kansen voor bedrijven en consumenten om zich beter te beschermen tegen cybercriminaliteit. Bedreigingen omdat criminelen dezelfde technologie kunnen benutten om onzichtbaar aan te vallen. Venafi’s Chief Security Strategist Kevin Bocek pleit ervoor certificaten en encryptiesleutels meer prioriteit te geven op de agenda van ICT- en securityverantwoordelijken, onder andere voor DevOps-ontwikkelingen.

Kortere ontwikkelen implementatiecycli

Meer prioriteit

voor certificaat- en sleutelmanagement Verkeerde, verlopen en nepcertificaten De laatste jaren worden steeds meer securityincidenten veroorzaakt door verkeerde, verlopen of nagemaakte certificaten. Zo is Symantec onlangs nog op de vingers getikt vanwege het uitgeven van ruim 100 verkeerde certificaten van juli 2016 tot januari 2017. Daarmee hebben ze de integriteit van versleuteld en geauthentiseerd Internetverkeer in diskrediet gebracht. “Meerdere CA’s, waaronder GlobalSign, Symantec en WoSign, hebben de afgelopen jaren kostbare fouten veroorzaakt met het uitgeven van certificaten”, licht Bocek toe. “Een trend die de komende jaren gaat toenemen door de groei van het Internet of Things, omdat fabrikanten voor hele series apparaten dezelfde certificaten gebruiken. Tegelijkertijd groeit op het dark web tevens de handel in nagemaakte certificaten.” Voor zowel commerciële als non-profit organisaties is het belangrijk zichzelf en alle (klant)relaties beter te gaan beschermen tegen securityincidenten veroorzaakt door digitale certificaten en sleutels. Dat kan alleen als men in staat is ongeautoriseerde certificaten snel te ontdekken en te vervangen, of indien nodig van CA te veranderen. “Als organisaties van één CA afhankelijk zijn kunnen de gevolgen van een securityincident groot zijn, zoals onder andere bij het Nederlandse Diginotar is gebleken”, vervolgt

Securityverantwoordelijken staan dagelijks voor de uitdaging om zowel hun beveiligingsfundering te versterken als zo snel mogelijk te reageren op een toenemend aantal cyberincidenten. Tegelijkertijd verandert het ontwikkellandschap voor IT-toepassingen sterk, waardoor nieuwe risico’s ontstaan. Bedrijven hebben anno 2017 behoefte aan IT-services en -omgevingen die schaalbaar en snel zijn. Oftewel Amazon AWS-achtige functionaliteit en snelheid, voor de

Bocek. “Een ander voorbeeld is het vervangen van 9000 certificaten door GoDaddy omdat die door een softwarebug niet goed waren gevalideerd. Al deze incidenten ondermijnen het vertrouwen in digitale certificaten, waarop de Internet-security voor alle organisaties en mensen is gefundeerd.”

'Dit potentiële beveiligingslek in een app die meer dan een miljard mensen dagelijks gebruikt, moet voor bedrijven een duidelijke waarschuwing zijn voor de mogelijke businessimpact' interne en externe IT-toepassingen. Om die behoefte in te vullen implementeren steeds meer bedrijven processen en tools voor tijdelijk te gebruiken virtuele machines, containers en micro-services, in plaats van oplossingen met een lange levenscyclus. Die ‘snelle’ toepassingen moeten echter wel de centrale security ondersteunen. “Voor het snel kunnen implementeren van nieuwe ICT-toepassingen is een nauwe samenwerking tussen ontwikkeling en beheer nodig, afgekort als DevOps”,

vervolgt Bocek. “Op DevOps-projecten worden aparte teams gezet, die zoveel mogelijk gebruik maken van bestaande automatiseringstools. Dezelfde aanpak is voor de security te gebruiken, namelijk een apart team voor het versterken en beheren van de aanwezige beveiligingsoplossingen en een SWAT-team dat direct kan reageren op incidenten. Daarbij is het noodzakelijk dat alle digitale sleutels en certificaten geautomatiseerd worden beheerd in een oplossing zoals het Venafi Trust Protection Platform. Dan kunnen securityverantwoordelijken namelijk alle policies centraal definiëren voor het gebruik ervan door de DevOps-teams.”

Snelle security voor snelle IT Venafi’s Trust Protection platform biedt organisaties de mogelijkheid alle voordelen van snelle IT te benutten, zonder de beveiliging ervan in gevaar te brengen. Securityverantwoordelijken kunnen daarin centraal alle benodigde policies definiëren via de Venafi API, om DevOps te helpen correct gebruik te maken van securitypolicies en ‘best practices’. Oftewel voor DevOps faciliteren vanaf het begin ingebouwde security toe te passen. Daarvoor biedt het platform als voordelen: •

Achterdeurtjes, malware en ransomware

•

Andere grote veroorzakers van cybersecurityincidenten zijn alle achterdeurtjes in mobiele apps, desktopapplicaties, webservices en beveiligingsoplossingen en natuurlijk malware en ransomware. Wanneer de ontwikkelaar van soft- en hardware via een achterdeurtje toegang creëert tot de eigen producten, is het slechts een kwestie van tijd voordat cybercriminelen, ethische hackers en nationale veiligheidsdiensten dat ook kunnen. Achterdeurtjes leiden dus vrijwel altijd tot securityincidenten. De meeste organisaties hebben al decennialang securityoplossingen in gebruik die ze daartegen zouden moeten beschermen. Inderdaad ‘zouden moeten’, want als ICT-systemen en securityoplossingen zelf zwakheden bevatten, wordt elke gebruiker daarvan onbewust en ongewild kwetsbaar. Een actueel achterdeurtje is de toegang van Facebook tot alle versleutelde Whatsapp-communicatie. Hoewel Facebook het bestaan daarvan ontkent, krij-

•

Unieke sleutels en certificaten zijn binnen seconden uit te geven Hetzelfde centrale platform is zowel te gebruiken door DevOps-teams als securityverantwoordelijken en systeembeheerders Eenduidig inzicht in de securitypositie en -compliance via integratie met helpdesksystemen en SIM/SIEM-omgevingen Geautomatiseerde sanering en nieuwe uitrol bij veranderende policies en standaarden Automatische meldingen over gedetecteerde afwijkingen binnen of buiten de organisatie Vrijwel ongelimiteerde schaalbaarheid zonder extra administratieve overhead

Kevin Bocek 24 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 25

IAM ALS SPIN IN HET WEB een IT-afdeling of applicatiebeheer om de benodigde accounts te beheren. Het IAM systeem kan gekoppeld worden aan uw HR systeem. Deze koppeling zorgt ervoor dat alle wijzigingen die HR maakt automatisch worden doorgevoerd. Een nieuwe medewerker komt binnen en krijgt direct een account met de juiste rechten. Een medewerker verandert van functie en zijn rechten worden direct aangepast. Een medewerker verlaat het bedrijf en zijn account wordt direct inactief gezet. Het inregelen van provisioning op deze manier zorgt ervoor dat handmatige acties niet meer nodig zijn. Menselijke fouten van het verkeerd kopiëren van bijvoorbeeld de naam zijn uitgesloten. Naast veel tijd maakt het uw omgeving ook een stuk veiliger. De rechten van een medewerker worden direct goed gezet en bij het verlaten van het bedrijf zijn deze ook niet langer actief. Voor u geen verhalen meer zoals de ex-politieman die nog toegang had tot gevoelige informatie.

De top 5 IAM functionaliteiten die u niet mag missen Identity & Access Management (IAM). Voor velen een onbekende term en een ver van je bed show. Voor anderen een dagelijkse bezigheid. Hoe dan ook een onderwerp binnen de IT waar u dagelijks mee te maken hebt en welke steeds belangrijker wordt. Belangrijker omdat bedrijfsdata steeds vaker open staat voor hackers. Maar ook omdat u vanuit de (nieuwe Europese) wetgeving allerlei verplichtingen hieromtrent hebt. In mei 2018 wordt de Europese wetgeving (de General Data Protection Regulation) doorgevoerd, vanaf dan bent u verplicht uw organisatie afdoende te beveiligen. Een ontoereikend beveiligingsbeleid kan u zomaar 4% van de totale internationale jaaromzet kosten.

IAM helpt organisaties om in controle te komen en blijven zodat gebruikers vanaf het juiste device, de juiste en veilige toegang krijgen tot beveiligde applicaties. Naast het tijdig en gestandaardiseerde beheer van gebruikersaccounts en toegangsrechten 26 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

biedt het met bijvoorbeeld rapportage mogelijkheden ook ondersteuning bij het naleven van weten regelgeving. Identity & Access Management is bedrijfsbreed. Elke medewerker en administrator heeft er mee te maken. Maar wat zijn nou de onderdelen die u absoluut zou moeten hebben als u aan de slag gaat met Identity & Access Management? Wij hebben een top vijf voor u opgesteld: 1. Provisioning 2. Data Access Governance 3. Single Sign On 4. Self Service 5. Privileged Access Management

1. Provisioning Hier wordt het HR proces gedigitaliseerd. Het proces van in-, door- en uitstroming van medewerkers wordt op basis van business regels geautomatiseerd. Er is dus geen tussenkomst meer nodig van

De voordelen op een rij: • Snellere doorlooptijd • Tijdsbesparing • Minder foutgevoelig • Betere beveiliging van data

2. Data Access Governance Data Access Governance is het beheren en onderhouden van toegangsrechten tot applicaties en van gebruikersrechten binnen applicaties. Gebruikerstoegang en -rechten van medewerkers worden via een uniform beheermodel uitgegeven, gewijzigd en ingetrokken. Medewerkers krijgen de juiste autorisaties zoals deze bij hun rol horen. Dit wordt ook wel Role Based Access Control (RBAC) genoemd. Op basis van de rol die de medewerker heeft wordt met een autorisatiematrix bepaald tot welke systemen en applicaties de medewerker toegang krijgt. Een andere variant hiervan is Attribute Based Access Control (ABAC). Het systeem registreert alle acties van gebruikers automatisch, net als de tijdstippen, hierdoor kunt u de benodigde rapporten maken voor de audit. De voordelen op een rij: • Betere beveiliging van data • Tijdsbesparing • Meer inzicht door rapportagemogelijkheden

3. Single Sign On Een term die u ongetwijfeld kent. Met slechts één keer inloggen direct toegang tot meerdere applicaties op een veilige manier. Een veelgehoorde wens vanuit de medewerkers, eenvoudig in te regelen via een IAM systeem. U koppelt applicaties aan het IAM systeem welke alle accounts en wachtwoorden beheert. Met bijvoorbeeld het Active Directory account welke ook gekoppeld is aan het IAM systeem kunnen gebruikers na eenmalig inloggen (bijvoorbeeld op de PC) vrij toegang krijgen tot alle gekoppelde applicaties. Een koppeling met applicaties van externe organisaties of cloud applicaties is mogelijk met federatie service. Hierdoor kunnen gebruikers met hun eigen gegevens inloggen in applicaties van andere organisaties. Ook is het mogelijk om dan bijvoorbeeld MultiFactor Authentication (MFA) te implementeren. DigiD is hiervan een voorbeeld voor verschillende overheidsapplicaties. De voordelen op een rij: • Gebruikersgemak • Tijdsbesparing • Meer veiligheid

drijfskritische data inclusief persoonsgegevens wilt u tenslotte niet op straat hebben. Privileged Access Management (PAM) beschermt de privileged logingegevens en verdient een prioriteit. Geïntegreerd met het IAM systeem biedt het een solide uitgangspunt voor uw beveiliging. Het helpt u bevoorrechte toegangen binnen uw bestaande Active Directory Domain Server (ADDS) te beperken. Dit kunnen zowel interne als externe gebruikers zijn, denk maar eens aan de remote IT-support die uw organisatie wellicht inschakelt (zoals 92% van alle organisaties doet). PAM monitort en logt het gebruik van privileged logingegevens en levert gedetailleerd inzicht in wie van uw beheerders wat en wanneer doet. Er wordt dus meer controle door monitoring en logging toegevoegd en u krijgt gedetailleerde rapportagemogelijkheden. Aanvallen zijn hierdoor vele malen sneller op te sporen. Bovendien kunt u zo ook beter aan de meldplicht datalekken voldoen. De voordelen op een rij: • Voldoe aan compliance eisen en wetgeving • Meer inzicht door rapportages • Beter beveiliging van data

4. Self Service Een helpdesk die een groot deel van zijn tijd kwijt is aan het resetten van wachtwoorden herkenbaar? Selfservice voor gebruikers maakt het mogelijk dat gebruikers zelf hun wachtwoord kunnen resetten op een beveiligde manier en hun persoonlijke informatie zelf kunnen onderhouden zonder tussenkomst van anderen. Maar ook kan er bijvoorbeeld Self service ingericht worden voor het aanvragen van toegang tot een applicatie, facilitaire services of het inzien van rapportages. Het goedkeuringsproces wordt vastgelegd in gestructureerde workflows. De manager kan de aanvraag direct goed- of afkeuren en laten doorvoeren via het IAM systeem. Tussenkomst van de IT-afdeling is dan niet meer nodig. De voordelen op een rij: • Gebruikersgemak • Tijdsbesparing

5. Privileged Access Management Diefstal van privileged logingegevens, zoals van uw beheerders, is een groot gevaar voor elke organisatie. Uw be-

Naast deze vijf functionaliteiten is er nog veel meer mogelijk. Denk aan het beheren van mobiele devices. IAM wordt de spin in het web van uw IT-organisatie. Of u nu de keuze maakt voor IAM on premise of in de cloud: met een goed ingericht IAM systeem bent u klaar voor de toekomst. GEORG GRABNER is Managing Partner van IonIT. IonIT is gespecialiseerd in Identity & Access Management, Cloud Enablement en Enterprise Mobility. Als technologie onafhankelijke dienstverlener automatiseert IonIT IT-processen zodat gebruikers op tijd de juiste en veilige toegang krijgen tot de toepassingen en diensten die zij nodig hebben en bedrijven het inzicht en controle hierover krijgen.

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 27

INTERVIEW tot de IT-systemen van een organisatie kunnen een groot risico vormen, zeker wanneer die gebruikers ook ITadmin-rechten hebben. Als ze zelf kwade bedoelingen hebben, of als hun inloggegevens gestolen zijn, kunnen gebruikers met dergelijke rechten behoorlijk wat schade aanrichten.”

Catastrofaal voor alle partijen

Onderschat veiligheidsrisico:

de bedreiging van binnenuit Opgelet, iemand probeert gevoelige bedrijfsgegevens via het IT-netwerk te stelen! Wie bij die zin meteen denkt aan een hacker met een Guy Fawkes-masker in een Russische bunker kan er nog wel eens lelijk naast zitten. De grootste bedreiging komt namelijk van binnenuit, waarschuwt Tim Hoefsloot van Forcepoint. “Datalekken kunnen het gevolg zijn van kwade opzet, maar vaker nog van onwetendheid.”

Dat IT-bedreigingen van binnenuit een groot risico vormen, blijkt wel uit onderzoek dat Forcepoint on28 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

langs uitvoerde in samenwerking met Team Vier. Daaruit komt naar voren dat in 2016 alleen al 67 procent van de Nederlandse organisaties de dupe werd van een aanval met een interne oorzaak. Doordat een werknemer gevoelige informatie deelde met de buitenwereld bijvoorbeeld, of een laptop met vertrouwelijke gegevens kwijtraakte. “Natuurlijk is het belangrijk om de IT-infrastructuur en data te beschermen tegen bedreigingen van buitenaf”, zegt Hoefsloot. “Maar bedrijven moeten niet denken dat ze er daarmee zijn. Werknemers, freelancers of andere zakelijke relaties met toegang

Uit het eerder genoemde onderzoek komt ook naar voren dat slechts 61 procent van de organisaties denkt vatbaar te zijn voor IT-bedreigingen van binnenuit, volgens Hoefsloot een teken dat veel ondernemingen de risico’s onderschatten. “Iedere organisatie kan het slachtoffer worden van een IT-bedreiging van binnenuit, IT-managers doen er daarom verstandig aan hun beleid daarop in te richten.” Een van de grootste bedreigingen van binnenuit de organisatie is het risico op datalekken, stelt Hoefsloot. “Zeker als het gaat om persoonsgegevens hebben bedrijven de wettelijke verplichting daar zorgvuldig mee om te gaan. De daaraan gestelde eisen worden bovendien alleen nog maar strenger als de EU General Data Protection Regulation in 2018 ingaat.” Overigens vindt Hoefsloot dat er daarnaast nog een zeer belangrijke reden is om gegevens goed te beveiligen. “Als Intellectual property, juridische documenten of vertrouwelijke informatie van klanten in verkeerde handen komen, is dat catastrofaal voor alle betrokken partijen.”

Gebruikersrechten beperken Organisaties moeten daarom beginnen met het opstellen en communiceren van duidelijke richtlijnen, vindt Hoefsloot. “Datalekken komen vaak voort uit onwetendheid. Doordat iemand bijvoorbeeld niet wist dat hij een klantenlijst niet mocht delen, of dat hij thuis verder aan een juridisch document wil werken en het naar zijn onbeveiligde Gmailaccount stuurt. Duidelijke richtlijnen over wat wel en niet mag, helpen dat soort lekken te voorkomen.” Een andere, relatief eenvoudige ingreep is het beperken van gebruikersrechten tot het minimum van wat werknemers nodig hebben om hun werk te kunnen doen. Hoefsloot: “Dat klinkt logisch, toch gebeurt het nog vaak dat werknemers te veel IT-rechten hebben. Dat iemand van marketing bijvoorbeeld bij de gegevens van finance kan, of dat iemand van

HR toegang heeft tot het CRM-systeem. Niet altijd nodig.”

Nooit helemaal voorkomen, dus goed monitoren Want zelfs in een wereld waar werknemers voor 100 procent te vertrouwen zijn, kan hun account gebruikt worden om data te stelen, legt Hoefsloot uit. In het geval dat iemands inloggegevens worden gestolen bijvoorbeeld. “Dat kun

‘In 2016 werd 67 procent van de Nederlandse organisaties de dupe van een aanval met een interne oorzaak’ je nog deels ondervangen door de toegang tot bedrijfsgevoelige informatie van buiten de fysieke muren van het bedrijfspand af te schermen, en door werknemers vaak hun wachtwoord te laten aanpassen. Maar daarmee voorkom je dan weer niet dat iemand zonder het te weten een e-mail met malware-bijlage opent, van waaruit de datadiefstal begint.” Hoeveel veiligheidsmaatregelen een organisatie ook neemt, IT-bedreigingen zijn nooit helemaal te voorkomen, is wat Hoefsloot wil zeggen. “Organisaties moeten actief en op geautomatiseerde wijze monitoren op verdacht gedrag. Bepaal door te monitoren een baseline van normaal gedag van een persoon, een afdeling en het bedrijf. Als de IT-afdeling automatisch een waarschuwing ontvangt op het moment dat iemand vertrouwelijke gegevens opvraagt, kan die tijdig ingrijpen en voorkomen dat ze op straat komen te liggen.”

keer direct op zo’n melding te reageren. Het is daarom beter om verschillende niveaus van verdachte handelingen in te bouwen, om te voorkomen dat het waarschuwingssysteem teveel false positives geeft.” Ter illustratie noemt Hoefsloot het voorbeeld van een developer die op kantoor werkt aan een stuk code. “Strikt gezien vraagt hij dan een document met vertrouwelijke informatie op, maar hier is het duidelijk dat hij gewoon z’n werk doet. Dit zou dus een melding met lage urgentie moeten opleveren.”

Informatie naar nieuwe werkgever Anders wordt het als die developer het stuk code waar hij aan werkte aan het einde van de dag naar z’n Gmailaccount uploadt. “Dat levert natuurlijk een risico op, en de organisatie moet dit blokkeren en de medewerker hierop aanspreken”, stelt Hoefsloot. Een voorbeeld van een scenario dat zou moeten leiden tot een melding van kritieke urgentie heeft Hoefsloot ook. “Als diezelfde developer recentelijk het bestand cv.docx uploadde naar z’n Gmail, en nu enorme hoeveelheden bestanden met broncode naar een usb-stick kopieert, dan is het duidelijk dat er iets niet pluis is. Alles wijst er dan op dat die persoon bedrijfsgevoelige informatie wil meenemen naar een nieuwe werkgever. Dan moet de organisatie meteen ingrijpen en voorkomen dat de vertrouwelijke gegevens het gebouw verlaten.” TIM HOEFSLOOT, Regional Director Sales, Benelux Forcepoint

Urgentieniveaus Daarbij adviseert hij wel bepaalde urgentieniveaus in te bouwen, gebaseerd op de functie van een persoon binnen het bedrijf. “Er kan een legitieme reden voor het opvragen van gevoelige gegevens zijn, omdat iemand ze nou eenmaal nodig heeft voor z’n werk. Als de IT-afdeling elke keer voor een dergelijk voorval wordt gestoord, verwatert na verloop van tijd ook de urgentie om elke INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 29

ELEKTRONISCHE HANDTEKENING

WACOM HELPT ORGANISATIES MET HET PAPIERLOOS TEKENEN VAN DOCUMENTEN

Elektronische handtekening

ondersteunt organisaties bij hun klantvriendelijke benadering De wereld vertrouwt al duizenden jaren op de ouderwetse handtekening. Maar met de wens om papierloos te werken, komt dit oeroude gebruik in het geding. Wacom ontwikkelt daarom hardware om elektronische handtekeningen te zetten die ook nog eens veiliger zijn. Over de hele wereld worden de diensten van het van oorsprong Japanse bedrijf gebruikt. In Frankrijk is het notariaat bijvoorbeeld heel ver, en ook de honderden vestigingen van Norauto slagen er in om hun customer satisfaction naar een hoger plan te tillen. Oorspronkelijk komt Wacom uit Japan, en de naam is niet zomaar verzonnen: ‘Wa’ betekent ‘harmonie’, en ‘com’ staat voor ‘computer’. Volgens Thomas Kaeb, Senior Salesmanager van het bedrijf, staat Wacom voor de verbinding tussen mens en machine. Het bedrijf richt zich op de creatieve sector en op oplossingen zoals de elektronische handtekening en het beveiligen van medische dossiers. “Wacom is ontstaan in 1983. Computers werden toen ook al bestuurd met een muis en dat is voor bijvoorbeeld kunstenaars heel lastig. Ons doel was

het ontwikkelen van een digitale pen, voorzien van ergonomie vergelijkbaar met een pen die op papier tekent.” Hoewel het bedrijf vanwege haar verfijnde producten een goede naam heeft onder kunstenaars en creatievelingen, zorgde de Duitse Sparkasse in 2007 voor een revolutie binnen het bedrijf. De bank zocht naar een manier om documenten digitaal te ondertekenen en vroeg Wacom om een oplossing. Zo moest ook het gebruik van papier worden teruggedrongen. Thomas Kaeb: “Nu steeds meer ondernemingen kantoren sluiten, neemt de vraag naar elektronische handtekeningen toe. Banken en telecombedrijven hebben veel meer digitaal contact met hun klanten dan tien jaar geleden. Op afstand een contract kunnen tekenen, wordt steeds belangrijker.”

mogelijkheden om haar klanten beter te bedienen, ook op digitaal gebied. Sinds 2011 helpt Wacom het bedrijf met de digitalisering van haar verkooppunten, in het bijzonder met de ontwikkeling en implementatie van de tablets, zodat klanten papierloos en elektronisch kunnen tekenen na een aankoop of reparatie. “We zagen zeker de voordelen van elektronisch ondertekenen”, zegt Marc Desrosiers, hoofd digitale diensten bij Norauto. “We streven voortdurend naar verbetering in onze diensten en het gebruik van de elektronische handtekening is een stap verder in ons digitale proces. In zee gaan met Wacom was een logische stap, gezien hun expertise op dit gebied.” Daarbij helpt Wacom met het inrichten en bereikbaar maken van online catalogi en het verstrekken van online offertes. Bovendien helpen de oplossingen Norauto ook met het bereiken van haar milieudoelstellingen; papiergebruik in de vestigingen van het bedrijf is drastisch gedaald. Naast de technische implementatie, richten Wacom en Norauto zich gezamenlijk op het juridische aspect van de oplossing, zodat Norauto voldoet aan de Europese regelgeving. Daarbij is het onder meer belangrijk dat de elektronische handtekening wordt gecodeerd en niet herbruikbaar is. Inmiddels werkt het bedrijf met ruim 3500 tablets. Al sinds 2008 begeleidt Wacom het Franse notariaat naar een papierloze toekomst waarin de elektronische handtekening centraal staat. Het land kent ruim 4500 notarissen, die elk duizenden documenten en aktes in de kast hebben staan. Samen met Real.not, de digitale tak van de overkoepelende notarisvereniging, helpt Wacom de notarissen flink te snijden in de papierberg. Wacom schat dat tegen het einde van 2018 meer dan 90 procent van de kan-

toren met tablets zal werken. Voor het einde van 2020 zal tussen de 85 en 90 procent van de officiële aktes elektronisch worden verwerkt; dat zijn meer dan 3 miljoen aktes.

Aanzienlijke winst in tijd en ruimte De grootste voordelen voor de notaris komen met name op de lange termijn. Papieren documenten brengen veel risico’s met zich mee, zoals bijvoorbeeld brandgevaar en verlies van documenten. De veiligheid wordt versterkt door de digitale opslag. De fysieke opslag van aktes en documenten wordt sterk vereenvoudigd. Door de enorme papierreductie bespaart de notaris niet alleen ruimte, hij zorgt ook voor een beter milieu. Voor de klanten van de notaris is tijdwinst het belangrijkste voordeel. Betrokken partijen hoeven niet per se op dezelfde locatie te zijn. De handeling lijkt nog steeds veel op de ouderwetse handtekening, maar verloopt veel vloeiender en sneller. “Het veiligheidsaspect is het belangrijkst voor de onderneming”, vertelt Thomas Kaeb. De hardware bestaat uit een tablet en een pen. “Er zitten geen batterijen in de tablet en de pen. De twee werken samen dankzij een elektromagnetisch veld; de pen werkt zodra hij in de buurt komt van de tablet.” Op de tablet verschijnt de context van de handtekening of het complete document dat getekend dient te worden en de gebruiker tekent op de aangegeven plek in het document. De tablet wordt aangesloten op een computer via een exclusief encrypted usb protocol zoals RSE 2048-bit en kan dus op allerlei apparaten worden aangesloten, zonder dat er gebruik hoeft te worden gemaakt van draadloze verbindingen. De gegevens van de context van de ondertekening maken het mogelijk dat de gegevens van de geplaatste handtekening op efficiënte wijze wordt gekoppeld aan de identiteit van de ondertekenaar, het ondertekende document en aan de organisatorische en technische omgeving waar de handtekening werd geplaatst.

Nieuwe standaard

Elektronische offerte

Waar een winkelier meewarig kijkt of de handtekening op het bonnetje enigszins overeen komt met die op de creditcard, heeft de gebruiker van een elektronische handtekening meer wapens in handen om te scannen op misbruik.

Dat geldt ook voor het Franse Norauto, opgericht in 1970. Het merk voor auto-onderhoud heeft bijna 600 winkels, is marktleider in Frankrijk als het gaat om autoreparatie en is inmiddels actief in negen landen. Het klantgerichte bedrijf zoekt telkens naar

Voor de computer is de handtekening namelijk veel meer dan een krabbel. “Tijdens het tekenen op een scherm verandert een handtekening in een algoritme”, vertelt Kaeb. “Iedere handtekening is uniek en de computer kan dat feilloos vastleggen. De volgorde van schrijven, de snelheid en de druk op het scherm worden vastgelegd. Een handtekening ziet er bij veel mensen niet iedere keer als er getekend wordt hetzelfde uit, maar deze onderliggende informatie is altijd identiek. Die kan niet zomaar vervalst worden. Bij digitale geschreven handtekeningen kunnen we naast de statische afbeelding ook biometrische data vangen. Deze biometrische data is te herleiden tot slechts één persoon.”

De markt is er klaar voor De markt voor dergelijke, veilige handtekeningen staat aan de vooravond van een flinke groei, denkt Kaeb. “De markt is booming. Tien jaar geleden was dit echt iets nieuws, nu begint de belofte ervan te landen. Organisaties, zoals het Franse notariaat, zien in dat hun efficiency omhoog gaat en dat ze kans krijgen om echt papierloos te werken.”

Wacom op Infosecurity.be stand 03.A106 Theater 6 tussen 12:45-13:15, 22 en 23 maart De elektronische handtekening en beveiliging: een Europese realiteit In een maatschappij die steeds digitaler wordt, is het belangrijk om slimme en veilige oplossingen te omarmen. Organisaties in de hele wereld werken graag met digitale tools zoals de elektronische handtekening, onder meer om papiergebruik te reduceren. EU-regelgeving is geïmplementeerd om de veiligheid van persoonlijke gegevens te waarborgen. De elektronische handtekening heeft al sinds 2000 dezelfde juridische waarde als een handgeschreven handtekening. Wacom laat op dit gebied de laatste ontwikkelingen voor vast en mobiel gebruik zien, en helpt organisaties om volledig papierloos en beveiligd te werken.

Thomas Kaeb 30 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 31

DEBAT

CYBERSECURITY EXPERTS IN DEBAT

‘Cybersecurity

moet weg van IT’ Cybersecurity krijgt veel aandacht in de IT-branche, maar het grote publiek wordt nauwelijks warm van online inbraken, ransomware en identiteitsdiefstallen. Het onderwerp is niet sexy, terwijl de dreiging met de dag groter wordt. Bewustzijn kweken bij zowel publiek als bedrijfsleven lijkt dé remedie om cybersecurity een boost te geven. Of moet er gewoon een ministerie van ICT komen? Tijdens ExpertsOn Cybersecurity, een event bij Yellow Communications in Hoofddorp, kwamen verschillende security-experts eind februari bij elkaar om de uitdagingen rond dit onderwerp te bespreken. Waarom is er buiten de IT-branche schijnbaar 32 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

weinig aandacht voor cybersecurity en hoe kunnen we bijvoorbeeld het groeiende aantal ransomware-aanvallen afweren? Cybersecurity in vijf stellingen.

Dataverlies interesseert jongeren nauwelijks Vooral jongeren lijken weinig waarde te hechten aan data, en daarmee aan databeveiliging, meent Jeroen van der Meer, CTO Solvinity: “Data en foto’s hebben weinig zeggingskracht voor hen. Dat ze duizenden foto’s en bestanden kwijt kunnen raken door op het verkeerde mailtje te klikken, interesseert ze niets.” Voor een deel wijdt Van der Meer dat aan gebrek aan gevoel voor de onderliggende techniek.

Harde schijven, clouds en andere technologie waarover data zich beweegt, hebben voor de jeugd een hoog abstractieniveau. “Wij, de experts, spreken over IT, maar de meeste mensen voelen de connectie met technologie niet meer. Of je een app aanschaft of een wasmachine maakt voor hen geen verschil.” Dat leidt wellicht ook tot een gevoel van defaitisme: het idee dat er toch niets aan te doen is. Deels wordt dat gevoed door de securitybranche zelf. De realiteit dat er ‘vroeg of laat bij je wordt ingebroken, welke beveiliging je ook hebt’, en dat geen enkele beveiliging honderd procent veiligheid garandeert, helpt niet om gebruikers alerter te maken. René van Buuren, directeur Cybersecurity bij Thales Nederland, erkent dat, maar gelooft niet dat de kous daarmee af is: “Hetzelfde geldt voor onze huizen, en toch heeft iedereen een slot op de voordeur om een drempel voor inbrekers op te werpen. Ik geloof ook dat inbraken blijven komen, maar je kunt er wel degelijk iets tegen doen.” Wat Van

Buuren betreft hebben we zelfs een morele verplichting om ons te verzetten tegen cybercrime: “Als je je niet verdedigt, ben je mede verantwoordelijk voor de ellende om je heen.” Voor Peter Duin, van de Zeehavenpolitie Rotterdam-Rijnmond, is dat gegeven uitgangspunt in de discussie over cyber resilience: de weerbaarheid moet omhoog, en dat begint wat hem betreft bij onderwijs. “Educatie is belangrijk en dat moet goedkoper worden dan die dure opleidingen die er nu zijn. In het reguliere onderwijs moeten we veel meer mensen opleiden in dit veld.” Andreas van Wingerden, Regional Manager Systems Engineering bij Citrix, ziet daarin zelfs een taak voor het bedrijfsleven: “Ik geef zelf om die reden gastcolleges op scholen, om kinderen voor te bereiden op wat er speelt.”

Om cybersecurity op de kaart te zetten, moet er eerst een ramp gebeuren Het verbaast de experts dat een hack

tegenwoordig meer als vermaak dan als probleem wordt gezien. Recent kreeg het filmpje van Patricia Paay veel aandacht, maar er komen al jaren blootfoto’s van beroemdheden in het nieuws. Van der Meer vreest dat ook hier de pijn te ver afstaat van het publiek. “Ik ben bang dat er eerst een flinke ramp moet gebeuren, voordat er fundamenteel iets verandert.” Van Wingerden: “Maar zijn we niet al zover? Er zijn al zelfmoordgevallen omdat mensen via cyberaanvallen werden gechanteerd. Nu is het Patricia Paay, maar daarachter zit een grote groep slachtoffers.” Van Buuren verbaast zich ook over de vervlakking in ons beeld van wat een dreiging is: “Het feit dat we nu miljoenen moeten uitgeven om de boel beheersbaar te houden is ook een ramp.” Van der Meer: “Een paar jaar geleden zagen we die DDoS-aanvallen op de banken en op DigiD. Dat was iets om je zorgen over te maken. En het was zo simpel: op het darkweb bestellen jongens voor een paar euro zo’n aanval. Men vond dat dit moest stoppen. Maar toen het geld ging kosten, haakten velen af.” Heeft de security-industrie zelf bijgedragen aan de lethargische en sceptische houding richting security? Niemand in het gezelschap ontkent dat de security-industrie zijn geld verdient aan deze dreiging. Maar andersom is het ook goed dat de maatschappij zich realiseert dat commerciële partijen, meer nog dan de overheid die vaak noodgedwongen trager werkt, onze belangrijkste verdedigingslinie vormen. De meeste kennis en expertise wordt noodgedwongen opgedaan in de praktijk, waardoor de beste specialisten die we nu hebben over het algemeen bij commerciële partijen werken. “We realiseren ons niet dat de IT-industrie nog maar vijftig, zestig jaar oud is”, meent Van der Meer. We zitten nog maar in de beginfase. Huizen en bruggen bouwen doen we al duizenden jaren, maar in de ICT weten we nog nauwelijks waar we mee bezig zijn.” Wellicht dat inderdaad een virtuele dijkdoorbraak nodig is voor gebruikers, overheid en commercie bereid zijn tot een gezamenlijke aanpak.

Datalekken en criminaliteit moet van de schaamte af Een andere mogelijke oorzaak voor de dubbelzinnige houding rond cybersecurity is de schaamtecultuur die is ontstaan. Bedrijven, maar ook individuele slachtof-

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 33

DEBAT

LEGAL LOOK DOOR MR. V.A. DE POUS

Wetgeving, wetgeving

en nog eens wetgeving

Jeroen van der Meer, CTO bij Solvinity

René van Buuren, Directeur Cybersecurity bij Thales Nederland

fers, worden door de maatschappij vaak als schuldigen afgeschilderd. Gevolg is dat, de meldplicht datalekken ten spijt, vanuit het bedrijfsleven nauwelijks wordt gecommuniceerd over cyberaanvallen of datalekken. Dat is jammer, want op die manier maken we elkaar niets wijzer. Van Buuren: “Er is zoveel schaamte. LinkedIn wordt gehackt, en dat horen we vijf jaar later pas. Waarom is dat? Waarom mogen we de lessen van zo’n hack niet horen?” Duin: “In Rotterdam, in de haven, bouwen we met publieke en private partijen een netwerk. We communiceren veel om iedereen op de hoogte te houden en organiseren ook meetings. Het gaat over bewustzijn en educatie. Als er een poging tot inbraak is, dan zitten daar zo vijf lessons learned in.” Dergelijke initiatieven, die erop gericht zijn informatie te delen en cybersecurity veel meer gezamenlijk tegemoet te treden, zijn volgens alle experts cruciaal voor een succesvolle aanpak.

de baas mag zijn. De shared services en datacenters van de overheid die er nu zijn, worden ook niet verzorgd door politici. Het Rijk heeft al een CTO en een CIO. Het organigram ligt er wel, daar ligt het niet aan.” De experts wijzen erop dat het populaire beeld vaak gaat over de kennis van IT in de Tweede Kamer, “maar die Kamer is een ander instrument dan de Rijksoverheid”, zegt Van Wingerden. Overigens menen de experts dat in de Tweede Kamer wel degelijk mensen met kennis rondlopen. “Maar dit gaat om zaken die ons niet direct raken”, meent Van Wingerden. “Mensen aan de onderkant van de samenleving krijgen niet méér te eten als cybersecurity wordt aangepakt. Cybersecurity is niet populistisch genoeg om te agenderen, blijkbaar.”

Het MKB loopt ernstig achter Volgens de experts moet een onderneming realistisch gezien tussen de acht

In het volgende kabinet moet een ministerie van ICT komen Nederland heeft al decennia een ministerie van Landbouw. Zou een ministerie van ICT niet veel relevanter zijn? De IT-kennis binnen de politiek, laat staan de kennis van cybersecurity, lijkt bedroevend laag. Zou een apart ministerie dat veranderen, of onderschatten we de aanwezige kennis en overschatten we de slagkracht van de overheid? Van Wingerden: “Vergis je niet: bij de overheid gebeurt al veel. Datastromen worden daar steeds beter gestroomlijnd. Ook de politie werkt steeds efficiënter. Maar als we voor ICT een apart ministerie gaan maken, dan voorspel ik jarenlang gekonkel over wie daar

Andreas van Wingerden, Regional Manager Systems Engineering bij Citrix

34 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE

en de twaalf procent van de omzet inzetten om de eigen systemen te beveiligen. Een bedrag waar de meeste ondernemingen niet in de buurt komen, zeker het MKB niet. Uit het Nationaal Ondernemers Onderzoek (Synpact, 2016) blijkt dat de helft van de MKB’ers nog steeds niet zit te wachten op de cloud. Velen hobbyen nog altijd zelf met IT en onderhoud, terwijl veel ondernemers in die groep geld zijn kwijtgeraakt door ransomware. Van der Meer: “Bij MKB’ers ligt de vraagprijs bij ransomware rond de 8000 euro; genoeg om er iets aan te verdienen, en te weinig voor de ondernemer om dure specialisten in te huren. Het is een bewuste psychologische drempel.” Volgens Van Wingerden maken we alleen kans als mensen op jonge leeftijd bewust worden gemaakt van de risico’s. “Fabrikanten hebben daar een rol in. Trainingen moeten betaalbaar worden, ook voor kleine ondernemers.” Bovendien, meent Van Wingerden: “Security moet weg bij de IT-afdeling. Daar heeft het te lang stil gezeten. IT heeft geprobeerd te controleren wat mensen wel en niet mogen.” Van Buuren beaamt dat de discussie over geld moeilijk blijft. “Maar niemand is erbij geholpen als we wachten tot het fout gaat. Ook daarom is het belangrijk dat er meer openheid komt, dat er samenwerking wordt gezocht en dat we meer informatie delen.” Laten zien waar de risico’s liggen, maar ook wat de oplossingen zijn: als dat ook buiten de IT bij een organisatie tussen de oren komt, volgen de budgetten vanzelf. Voorlichting helpt wel degelijk. ROB ROELOFS is journalist

Gedurende de laatste 25 jaar kwam een breed wetgevingsoffensief voor digitale techniek, gegevensverwerking en de informatiemaatschappij op gang, waarvan omvang en intensiteit nu toenemen. Deze huidige periode getuigt namelijk eens te meer van een brede, niet-aflatende stroom digitale weten regelgeving. Vanuit de Europese Unie en door Nederland als autonome wetgever. Hieruit blijkt eens te meer dat de tijd van juridische Spielerei in de informatiemaatschappij definitief achter ons ligt. Velen krijgen met (grote) delen van dit omvangrijke legislatieve raamwerk te maken. Voor openbaar bestuurder en ondernemer zijn deze spelregels echter van strategisch belang geworden; ongeacht de staat van digitale transitie waarin de organisatie zich bevindt, én ongeacht de sector. We benoemen een aantal wetgevingstrends in het cruciale domein privacy en digitale veiligheid. Laten we bij de basis beginnen. Gebaseerd op een stevig verankerd mensenrecht wordt het net rond de bescherming van de persoonlijke levenssfeer aangetrokken. Daardoor versterkt de rechtspositie van de burger. Vice versa zien bedrijf en overheidsorganisatie op grond van de Wet meldplicht datalekken (opgenomen in de Wet bescherming persoonsgegevens), de aankomende Algemene Verordening Gegevensbescherming en de aankomende e-Privacy verordening (‘de Europese Telecomwet’) zich geconfronteerd met nieuwe juridische verplichtingen. Om het algemene probleem van een gebrek aan vertrouwelijkheid van gegevensverwerking het hoofd te bieden, kent het recht uiteenlopende netwerk- en informatiebeveiligingswetgeving. Deze categorie regelgeving schrijft onder andere passende technische en organisatorische maatregelen voor om gegevens te beschermen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Daarnaast gaat het om de opkomst en uitbreiding van wettelijke meldplichten bij incidenten in relatie tot digitale techniek en dataverwerking, waaronder het lekken van persoonsgegevens, een veiligheidsinbreuk of verlies van integriteit. Verder noteren wij de uitbreiding van de juridische bevoegdheden van toezichthouders, waaronder Autoriteit Persoonsgegevens en Autoriteit Consument en Markt, inclusief een forse verhoging van sancties bij overtreding van onder andere wettelijke beveiligingsvoorschriften en meldplichten. In het strafrechtdomein gaat het om hogere straffen voor cybercriminaliteit (Wet voor de implementatie van een Europese richtlijn over aanvallen op informatiesystemen) en de verbreding en versterking van de juridische bevoegdheden van het opsporingsapparaat, inclusief inlichtingen- en veiligheidsdiensten. Op 20 december 2016 heeft de Tweede Kamer het wetsontwerp bestrijding cybercrime (Computercriminaliteit III) aangenomen, terwijl de regering het voorstel van wet inzake

wijziging Wet op de inlichtingen- en veiligheidsdiensten op 28 oktober 2016 bij de Tweede Kamer indiende. Op 14 februari 2017 nam de Tweede Kamer dit voorstel aan. Daardoor wordt ongerichte, digitale massasurveillance voor het eerst in Nederland mogelijk, tenzij de Senaat andersluidend besluit. Onze oosterburen de modus operandi Sleppnetzfahndung. Daarmee keert de overheid een fundamentaal strafrechtbeginsel om. Geen enkele burger is immers ‘zo maar’ een verdachte. Daarvoor is tot nu toe een gerede grond nodig. Een reële verdenking. Dat verandert dus. Enerzijds biedt de wetgever de burger meer privacyrechten, anderzijds wordt dit grondrecht uit veiligheidsoverwegingen juist weer beperkt. Nog een trend. Een gevolg van al het wetgevingsgeweld - en onder druk van de boetedreiging bij niet-naleving - is dat organisaties zich met verve op regulatory compliance richten. Daarbij lijken ze de ratio van het rechtskader te passeren. Dat behoort niet zo te zijn. Niet alleen is bijvoorbeeld het recht op privacy een grondrecht, waarin dus de belangen van het individu het uitgangspunt vormen (en niet die van de organisatie die persoonsgegevens verwerken). Ook vormen de wettelijke voorschriften voor netwerk- en informatiebescherming een belangrijk onderdeel van maatschappelijk verantwoord handelen, onafhankelijk van het privacyrecht. Tenslotte loopt een organisatie door een (te) sterke focus op regulatory compliance het risico dat contractual compliance het voldoen aan overeenkomst en beleid - in de vergetelheid raakt. Denk aan licenties voor computerprogramma’s, afspraken met ketenpartners, of interne regels voor de bescherming van technische en commerciële knowhow. Val niet in deze kuil. MR. V.A. DE POUS is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).

INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 35