Infosecurity Magazine 01/2016 by Magenta Communicatie

INFO

JAARGANG 15 - MAART 2016 - WWW.INFOSECURITYMAGAZINE.NL

SECURITY MAGAZINE

‘ALLEEN EEN SAMENHANGENDE AANPAK VAN SECURITY HOUDT STAND’

HOE SNEL

REAGEREN NL-ORGANISATIES OP SECURITY INCIDENTEN? ‘DE VEILIGHEID VAN DATA IS EEN VERANTWOORDELIJKHEID VAN ONS ALLEMAAL’ OVERAL (ON)VEILIG - ‘TIEN PUNTEN OM EXTRA OP TE LETTEN’ - WAT IS ‘PASS THE HASH’ (PTH)? - STRUIKELBLOKKEN VOOR EEN EFFECTIEVE BEVEILIGING OVERWINNEN - TOP 10 POPULAIRSTE HACKMETHODEN - ‘MEER ENCRYPTIE LEIDT TOT MEER AANVALLEN OP VERTROUWEN’ - DATELEKKEN VOORKOMEN IN EEN INGEWIKKELD IT-LANDSCHAP - WELKE DATA LEKKEN VIA POORT 53? - WAT STAAT ONS TE WACHTEN OP HET GEBIED VAN DISASTER RECOVERY?

EDITORIAL: ROBBERT HOEFFNAGEL

COLFON

Making technical and innovative contributions for a more secure society

Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@ fenceworks.nl. Uitgever Jos Raaphorst 06 - 34 73 54 24 jos@fenceworks.nl twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst

Fox-it prevents, solves and mitigates the most serious cyber

Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 robbert@fenceworks.nl twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel

threats with smart solutions for government, defense, law enforcement, critical infrastructure, banking, and multinational

Advertentie-exploitatie Mike de Jong 06 - 10 82 59 93 mike@fenceworks.nl

corporations worldwide.

Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk ProFeeling Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 info@fenceworks.nl © 2016 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.

fox-it

2 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

Olof Palmestraat 6, Delft

t +31 (0) 15 284 79 99

po box 638, 2600 ap Delft

f +31 (0) 15 284 79 90

The Netherlands

e fox@fox-it.com

www.fox-it.com Meer informatie: www.infosecuritymagazine.nl

Toen ik vele jaren geleden voor mijzelf begon, was een van mijn eerste acties het zoeken van een goede accountant. Na grondig onderzoek (precies: via-via gevonden) ging ik in zee met iemand met wie ik vele jaren prima heb samengewerkt. De man toonde veel belangstelling voor mijn activiteiten en kon ook mooie verhalen vertellen over zijn eigen vakgebied.

Eerlijkheid duurt het langst Een van die anekdotes had te maken met wetswijzigingen. Hij maakte deel uit van een groepje fiscalisten die graag onder het genot van een glas wijn met elkaar de wereld doornamen. Vooral als zich een wetswijziging voordeed. Dan was het de sport om zo snel mogelijk nieuwe gaten in die wet te schieten waar klanten weer profijt van zouden hebben. Meestal was die klus overigens binnen een paar uur geklaard.

Wat ik bijvoorbeeld vaak tegenkom is de opmerking: ‘Een datalek leidt tot een geldboete’. Vaak hoor ik dan even het verhaal aan. Wellicht zag de spreker die opmerking als een poging om extra aandacht te trekken. Maar vaak volgt er geen nadere uitleg. En dat is niet goed. Er had op z’n minst een opmerking moeten volgen dat het niet op tijd melden van een datalek tot een boete kan leiden.

Ik moest aan dit verhaal denken toen eind vorig jaar de marketingmachine van menig security-aanbieder in overdrive ging als gevolg van de toen nog in aantocht zijnde wetgeving rond datalekken. Niets moet zo mooi zijn voor de rechtgeaarde security professional als veranderende wetgeving. Want dat biedt ongekend veel kansen om met de markt in gesprek te gaan. Want klanten en relaties hebben immers iets anders te doen dan de ontwikkelingen op het gebied van wetgeving op de voet te volgen. Dus doet men maar al te graag een beroep op leveranciers om uit te leggen wat er aan de hand is en hoe ‘we’ daar op moeten reageren.

Security vendors doen er goed aan zorgvuldig te communiceren. Zeker in het MKB kan zo’n opmerking over boetes bij datalekken geheel verkeerd begrepen worden. Bovendien is het maar de vraag of inspelen op angst dat gegevens in verkeerde handen vallen of zorgen over financiële schade wel de beste aanpak is. Uiteindelijk is een ondernemer, IT-manager of CISO vooral geïnteresseerd in de continuïteit van de bedrijfskritische werkprocessen. Security is dan niet zozeer een tool om boeven buiten de deur te houden, maar veel meer een investering in het zeker stellen van de bedrijfsprocessen. Mag u drie maal raden welke boodschap uiteindelijk de meeste impact zal hebben: een rammelend verhaaltje over boeven? Of een betoog waarin het werkelijke probleem van een bedrijf of overheidsorganisatie centraal staat?

‘Datalekken’ was daar weer een mooi voorbeeld van. Het probleem is echter dat veel security-aanbieders - of beter gezegd: mensen die werkzaam zijn bij aanbieders van security-producten en -diensten - hier en daar nog wel eens een bochtje teveel afsnijden als zij de nieuwe situatie uitleggen.

ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 3

Inhoud

INFOSECURITY NUMMER 01 - MAART 2016 - JAARGANG 14

10 ‘Alleen een samenhangende aanpak van security houdt stand’

Gemiddeld bent u elke vier tot zes jaar aan de beurt. Elke organisatie wordt immers vroeg of laat getroffen door een groot security-incident, de uwe ook. Dit wetende zien de meeste bedrijven de noodzaak in om zich te beschermen door te investeren in securitytechnologie. Veel van die investeringen leveren in termen van informatieveiligheid maar beperkt rendement op. Dat geld kun je beter besteden, vinden ze bij Northwave. Aan de daadwerkelijke integratie van beleid, menselijk handelen en technologie.

OVERAL (ON)VEILIG

Steeds meer mensen lopen het risico op een cyberaanval. Dat komt door de combinatie van voortschrijdende technologie en de snelle groei van het aantal apparaten dat wordt verbonden met het internet. ESET brengt jaarlijks een overzicht met trends op het gebied van security. Het bedrijf concludeert dat met de huidige snelheid van alle digitale ontwikkelingen, het heel lastig is om de trends in een simpele zin samen te vatten. Wel staat voor de organisatie als een paal boven water dat beveiliging niet langer het probleem is van een aantal individuen, maar dat het steeds meer iets is waar iedereen over moet nadenken.

13 Beyond Data-event in teken van open data en smart cities 14 Wibu-Systems en Infineon tonen beveiliging voor IoT

Wibu-Systems en Infineon Technologies gaan nauw samenwerken op het gebied van op hardware gebaseerde beveiligingsoplossingen voor Internet of Things-toepassingen. Het eerste product is nieuwe software van Wibu-Systems genaamd CodeMeter µEmbedded.

16 Woningcorporaties presenteren BIC (Baseline Informatiebeveiliging Corporaties) 21 ‘Tien punten om extra op te letten’ 22 ‘De veiligheid van data is een verantwoordelijkheid van ons allemaal’ 25 Wat is ‘pass the hash’ (PTH)? 26 Struikelblokken voor een effectieve beveiliging overwinnen 28 Niet man versus machine, maar man én machine 30 Top 10 populairste hackmethoden 32 ‘Meer encryptie leidt tot meer aanvallen op vertrouwen’ 34 Datelekken voorkomen in een ingewikkeld IT-landschap 36 Welke data lekken via poort 53? 38 File-sharing in de zorg: dat kan veel beter

40 Wat staat ons te wachten op het gebied van disaster recovery? 42 Legal Look 4 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

HOE SNEL REAGEREN NL-ORGANISATIES OP SECURITY INCIDENTEN?

Ook als het om IT-beveiliging gaat, is voorkomen beter dan genezen. Maar als we de afgelopen jaren één ding hebben geleerd, is het wel dat incidenten hoe dan ook zullen plaatsvinden. Als organisatie moet je daar op voorbereid zijn en snel adequate maatregelen kunnen treffen. Om het reactievermogen van Nederlandse organisaties te testen, heeft Intel Security Pb7 Research gevraagd om dit uit te zoeken. Pb7 Research heeft daarom meer dan 100 Nederlandse IT-beveiligers uit grotere organisaties begin 2016 ondervraagd. En dat leidt tot zeer interessante bevindingen. INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 5

SECURITY-TRENDS

ESET: VIJF BELANGRIJKE SECURITY-TRENDS VOOR 2016

Overal

(on)veilig Steeds meer mensen lopen het risico op een cyberaanval. Dat komt door de combinatie van voortschrijdende technologie en de snelle groei van het aantal apparaten dat wordt verbonden met het internet. ESET brengt jaarlijks een overzicht met trends op het gebied van security. Het bedrijf concludeert dat met de huidige snelheid van alle digitale ontwikkelingen, het heel lastig is om de trends in een simpele zin samen te vatten. Wel staat voor de organisatie als een paal boven water dat beveiliging niet langer het probleem is van een aantal individuen, maar dat het steeds meer iets is waar iedereen over moet nadenken.

Bij het opstellen van de trends voor 2016 zagen de onderzoekers van ESET Research Laboratories een duidelijke relatie tussen het groeiend aantal devices, de groei van technologie en de toenemende uitdaging om alle informatie te beveiligen, ongeacht de scope van een implementatie. “Nieuwe technologie, aanvalsrapporten, nieuwe malware en beveiligingslekken met wereldwijde impact: de snelheid waarmee deze zaken elkaar opvolgen zorgen ervoor dat security een steeds grotere uitdaging vormt voor organisaties, instellingen, overheden en gebruikers overal ter wereld”, aldus het rapport. We zetten de belangrijkste van de twaalf ESET-securitytrends op een rijtje. Trend #1: De beveiliging van het Internet der Dingen Volgens onderzoeksbureau Gartner zijn er momenteel 4,9 miljard apparaten verbonden met het internet. De komende vijf jaar blijft dit aantal groeien, naar een verwacht aantal van 25 miljard in 2020. Het gaat dan niet alleen om consument-gerelateerde zaken zoals wearables, en slimme toepassingen in huis, maar ook om apparaten in de zakelijke omgeving. Zo worden steeds meer machines met internet verbonden, ook wel bekend als de vierde industriële revolutie. Doordat er steeds meer apparatuur op elkaar en internet wordt aangesloten, gaat se6 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 7

SECURITY-TRENDS curity een belangrijkere rol spelen. Het komende jaar wordt een uitdaging op dat gebied. Of het nu gaat om een auto die op afstand bediend kan worden, beveiligingslekken in drones of de manier waarop eindgebruikers hun thuisnetwerken beschermen; van ieder gekoppeld apparaat moet goed worden nagegaan of het voldoende bescherming biedt en voldoet aan de toekomstige security- en privacy-eisen. Voor bedrijven vormt het netwerk een kritische factor, aangezien gebruikers en organisaties anders omgaan met de bescherming van informatie op apparaten waar geen security-oplossing op kan worden geïnstalleerd. Het belang daarvan liet Moose zien, een worm die vorig jaar duizenden routers over de hele wereld infecteerde. Trend #2: Ransomware – voorheen bestanden, nu complete apparaten Het grootste gevaar voor computersecurity is kwaadaardige code. De afgelopen jaren zijn er meerdere meldingen van ransomware geweest, waarbij bestanden of volledige bestandssystemen werden gegijzeld door ze te versleutelen. Voor de sleutel moet door de gebruiker worden betaald, alleen zo krijgt hij zijn gegevens terug. Een van de hoogtepunten van de ransomware-evolutie is de groei in het aantal varianten waarbij op verschillende platformen en technologieën wordt gemikt. Waar eerder vooral bestanden werden aangevallen, doken er afgelopen jaar ook gevallen op waarbij complete mobiele apparaten – veelal degene die op Android draaien – werden gegijzeld. Deze ontwikkelingen zorgen ervoor dat we denken dat ransomware nog geen grenzen kent wat betreft het aantal slachtoffers en de complexiteit van de code. Zeker in combinatie met het internet der dingen, kunnen de aanvallen zich ook uitbreiden naar smart tv’s, koelkasten en auto’s. Zoals bij de eerste trend al duidelijk werd, kan niet op alle apparaten een security-oplossing worden geïnstalleerd en

‘MKB niet toegerust op ATP-aanvallen’ juist daar ligt het risico voor consumenten en bedrijven. Voor het komende jaar verwacht ESET dan ook dreigingen op deze nieuwe vlakken. Trend #3: Gerichte aanvallen – implicaties, redenen en doelen Waar malware vooral is gericht op het maken van zoveel mogelijk slachtoffers, zijn Advanced Persistent Threats vooral gericht op een specifiek doelwit. Een goed voorbeeld hiervan is de aanval op de datingsite Ashley Madison, waarbij data van 37 miljoen gebruikers in handen van de aanvallers kwamen. Gerichte aanvallen kunnen meerdere doelen hebben, zo worden ze gebruikt om vertrouwelijke informatie te stelen om zo bijvoorbeeld bedrijfsactiviteiten te bespioneren. Maar aanvallen worden ook uitgevoerd om vervolgens spam te kunnen versturen. Het is bijzonder lastig om te voorspellen of en wanneer een bedrijf zal worden aangevallen door cybercriminelen. Daarom moet een organisatie altijd voorbereid en beschermd zijn, voor het geval dat. De IT-beveiliging van een bedrijf is in toenemende mate een sleutelfactor voor de continuïteit van de bedrijfsvoering. Een proactieve aanpak van de bescherming, de bewustmaking van personeel en continue training van teams zijn dan ook acties die het risico van een beveiligingslek minimaliseren. De bescherming van een bedrijf is geen project, het is een proces. De technologie die wordt gebruikt om (mobiele) werkstations te beveiligen, moet voortdurend worden geëvalueerd door een securityteam. Datzelfde geldt voor het netwerk en de servers. Encryptie helpt om vertrouwelijke informatie te bescher-

Het volledige ESET-rapport met de trends voor 2016 is hier te downloaden: http://www.welivesecurity.com/wp-content/uploads/2016/02/ eset-trends-2016-insecurity-everywhere.pdf

8 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

publieke sector. Aanvallers zoeken altijd naar manieren om zichzelf toegang te verschaffen tot systemen. Vrijwel iedere mogelijke opening wordt gevonden en gebruikt, waarna ze niet alleen informatie kunnen stelen maar apparatuur zo kunnen wijzigen dat data wordt geüpload naar een kwaadaardig netwerk en zo misbruikt kan worden. Ze kunnen zo ook de functionaliteit van industriële apparatuur veranderen voor oneigenlijke doeleinden. In een poging om de bescherming van deze kritische infrastructuren op de agenda te krijgen gaat de European Union Agency for Network and Information Security komend jaar een aantal best practices ontwikkelen op het gebied van ‘opkomende slimme kritische infrastructuur’. ESET verwacht dat het aantal aanvallen op deze sectoren het komende jaar zal stijgen, tenzij maatregelen in rap temp worden ingevoerd. Hierdoor zal informatiebeveiliging in deze branches prominent op de directieagenda komen te staan.

men en is een maatregel die nog niet alle bedrijven – zeker als het gaat om het MKB – nemen. Trend #4: Windows 10 – beveiligingskenmerken en gebruikersprivacy Het nieuwste besturingssysteem van Microsoft dat halverwege vorig jaar het levenslicht zag, biedt betere beveiligingsopties dan voorgaande edities. Het doel van de softwarereus is dat Windows 10 binnen drie jaar op een miljard apparaten draait. Maar om dat te bereiken moet het besturingssysteem veiliger worden en moet het vertrouwen van consumenten en bedrijven groeien. Voor de nieuwe Windowsversie is fors geïnvesteerd in security. Zo zijn er verbeteringen in Windows Defender, een nieuwe oplossing voor Network Access Control en biedt het de nieuwe optie Device Guard. Dat laatste is een combinatie van OS, beheer en hardware waardoor systeembeheerders computers veilig kunnen afsluiten. Ook intern zijn er maatregelen getroffen voor betere beveiliging. Virtualization Based Security brengt de kernel van het besturingssysteem naar een hypervisor, samen met een aantal andere veelgebruikte Windows-services, zoals de Local Security Authority Subsystem Server. Maar al deze verbeteringen doen er niet toe als gebruikers het nieuwe OS niet vertrouwen. Windows 10 vormt een verandering in de hoeveelheid en het type gebruikersdata dat Microsoft verzamelt. Bovendien is de updateprocedure gewijzigd. Voor consumenten worden updates automatisch en verplicht uitgevoerd. Bedrijven hebben de mogelijkheid om deze updates uit te stellen, maar dat is slechts tijdelijk. Ook ontbreken security gerelateerde updates. Dat betekent een verandering in hoeveel controle beheerders hebben over de updates. In combinatie met het feit dat Microsoft niet langer informatie deelt over wat er is gerepareerd in de update, zijn sommige mensen beducht voor welke bugs er gefikst worden en hoe deze reparaties hun systemen beïnvloeden. Trend #5: Kritische infrastructuren – tijd om beveiliging topprioriteit te maken De beveiliging van industriële systemen en netwerken blijft een hoge prioriteit houden. Veel van de security-tekortkomingen op dit gebied zijn te wijten aan het feit dat veel leveranciers van deze

platformen geen wijzigingen of updates op de hardware-controlerende systemen toestaan. Dat betekent dat veel organisaties kritische infrastructuur beheren met behulp van verouderde, kwetsbare besturingssystemen die aan het internet gekoppeld zijn. Daardoor stijgt de kans op een security-incident fors. De sectoren die dit soort systemen gebruiken, bieden veelal essentiële diensten aan de bevolking, zoals energie- en waterleveranciers, maar ook ziekenhuizen en andere zorginstellingen. Door een zwakke infrastructuur liggen datalekken op de loer. Cybercriminelen kunnen eenvoudig een overvloed aan waardevolle data verzamelen, zoals namen, BSN-nummers, telefoonnummers, adressen, mailadressen en andere per-

soonlijke data. In het geval van ziekenhuizen kunnen ook medische dossiers met diagnoses en medicatie worden bemachtigd. Uit onderzoek van ESET blijkt dat er nog een lange weg te gaan is in het voorlichten en de bewustwording van instellingen in de private en

‘Technologie, management en educatie zijn sleutelfactoren voor security’

Technologie, management en educatie Het is een feit dat aanvallen steeds geavanceerder worden. Het beschermen van de informatie en data van een bedrijf blijft een zware en gecompliceerde taak en het vinden van gekwalificeerd personeel die de strijd wil blijven aangaan met de continue (mogelijkheden van) aanvallen vormt een uitdaging. Toch is ESET Research Laboratories van mening dat juist de combinatie van technologie, management en educatie ervoor zorgt dat individuen en organisaties beschermd kunnen worden. Bedrijven zullen hun strategie op deze drie pijlers moeten baseren. Uiteindelijk zal 2016 een uitermate uitdagend jaar vormen door het toenemende potentiële aanvalsoppervlak. We moeten die uitdaging tegemoet treden met een proactieve houding en bewustzijn van security. De rol van de gebruiker wordt steeds belangrijker en deze trend zal zich voort blijven zetten. Gebruikers verwachten een solide beveiliging van hun data en informatie. De uitdaging ligt in het mensen bijbrengen waar de gevaren op internet zitten en wat ze zelf kunnen doen om veilig te blijven. In 2016 en de jaren daarna gaan gebruikers een actievere rol spelen als het gaat om hun eigen security doordat ze steeds blijven leren hoe ze hun data het beste kunnen beschermen.

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 9

SECURITYTECHNOLOGIE men. Wij willen security bereikbaar houden voor iedereen die afhankelijk is van ICT. Dat kan alleen als je de beschikbare expertise effectiever benut.”

INTELLIGENT SECURITY OPERATIONS AS-A-SERVICE

Onduidelijkheid als risico

‘Alleen een

De visie van Northwave heeft zich vertaald in een totaalaanpak die als Managed Service wordt geboden aan organisaties die een integrale benadering van hun bedrijfsrisico’s willen. “Veel organisaties merken dat voor informatiebevei-

security houdt stand’

‘Goede securityspecialisten zijn zo schaars dat het middenbedrijf in de knel dreigt te komen’

liging met verschillende leveranciers en serviceproviders moet worden samengewerkt. Elk deelgebied wordt ingevuld door specialisten die alleen deeloplossingen bieden. Je moet dan zelf als klant meerdere leveranciers gaan managen. Dit leidt tot een gebrek aan samenhang en afstemming, en tot overlapping. Die onduidelijkheid is op zichzelf al een risico. Met onze Intelligent Security Operations brengen we daar verandering in”, zegt De Jong Luneau. In die aanpak bepalen opdrachtgever en Northwave hoe reactieve en proactieve maatregelen elkaar het beste versterken en welke werkverdeling er is tussen de organisatie van de klant, eventuele cloud-providers, beheerders en de securityspecialisten van Northwave. Zo wordt een pragmatische verdedigingsoperatie gebouwd en aangestuurd. Het resultaat is altijd een maatwerkoplossing, terwijl klanten toch profiteren van de schaalvoordelen van uitbesteden. Hoogwaardige security wordt met die aanpak ook bereikbaar voor kleinere bedrijven. Duurzame beveiliging vraagt om slimme structuur. “Wij zorgen ervoor dat alle processen volgens ISO 27001 gedocumenteerd zijn en via plan-do-check-act worden bijgestuurd. Geen ad-hoc projecten, maar samenhangende processen”, zegt Tan. “Daarmee bewaken we prioriteiten en budgetten en maken we

samenhangende aanpak van

Tientallen keren per jaar rukken de incident response teams van Northwave uit om organisaties bij te staan bij een hack, lek of aanval. De techneuten en consultants van het bedrijf werken schouder aan schouder aan het afslaan van aanvallen, het buiten werken van cybercriminelen of spionnen en het duurzaam dichten van gaten in de verdediging. Maar liever werkt het bedrijf aan het voorkomen van dergelijk ongemak.

10 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

“Onderzoek na onderzoek wijst uit dat verreweg de meeste securityincidenten voortkomen uit menselijk handelen. Hacks beginnen tegenwoordig met social engineering. Waarom zoekt men de oplossing dan vooral in de techniek?” vraagt Steven Dondorp zich af. Hij is CEO van Northwave, de onafhankelijke securityservices provider met de Benelux als werkterrein. Aanleiding voor het gesprek is de opening van het state-of-the-art Security Operating Center in Nieuwegein, met 12 seats een van de grootste in de Benelux. “Techniek is belangrijk, maar beleid en organisatie zijn dat evenzo, het ene kan niet zonder het andere. Je moet ze integraal inzetten om tot een securityniveau te komen dat past bij je risico’s en het budget dat je beschikbaar hebt.” Northwave combineert technische services zoals detectie en monitoring vanuit het Security Operations Centre met het testen en optimaliseren van maatregelen en het verbeteren van awareness en het reactievermogen bij incidenten. Dit wordt aangestuurd vanuit een managementsysteem gebaseerd op internationale standaards zoals ISO 27001.

Zwaargewichten en vakidioten Met deze opstelling neemt Northwave een onderscheidende positie in. De meeste aanbieders richten zich op hetzij de organisatorische kant van security hetzij op de technologie. Northwave biedt een integrale aanpak en zorgt daarmee voor meer samenhang in security. Het bedrijf groeit snel. Om leiding te geven aan die groei zijn drie zwaargewichten aangetrokken. Fook Hwa Tan leidt de Business Security & Audit experts. Pim Takkenberg zwaait de scepter over het team van Cyber Securityspecialisten en het CERT van Northwave. Het Management Team wordt gecompleteerd door Marc de Jong Luneau als VP Sales en Marketing. Ook de Jong Luneau is een oudgediende in de securitywereld, met veeljarige internationale ervaring opgedaan bij onder meer BT, Kahuna en Fortinet.

Tan heeft onder meer bij PwC zijn sporen verdiend in Quality Assurance, Auditing en het begeleiden van ISO27001-trajecten. “ISO is geen einddoel, maar het is een goede manier om je securityorganisatie en processen op orde te krijgen en aan te sturen. Vervolgens zorgen wij ervoor dat die op orde blijven, ook als de auditors de deur uit zijn”, zegt Tan. Pim Takkenberg is in Nederland een van de bekendste securityspecialisten dankzij zijn jaren als leider van de High Tech Crime en Cyber Intelligence Teams van het ministerie van Binnenlandse Zaken. Beide mannen hebben gekozen voor Northwave om een serieuze bijdrage te leveren aan het verhogen van de informatieveiligheid bij organisaties in de Benelux. Takkenberg: “Veel specialistische kennis wordt weggetrokken door ministeries en multinationals. Het middenbedrijf dreigt in de knel te ko-

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 11

doorlopend een business afweging van reële risico’s. We nemen daarin behalve informatiebeveiliging ook privacy compliance en Business Continuity Management mee.” ISO 27001 certificering en ‘auditability‘ worden steeds belangrijker. Inkopers hebben de norm ontdekt. Tan: “Dat is al langer aan de gang voor andere ISO-domeinen en gebeurt nu voor security. Je moet kunnen bewijzen dat je goed past op je informatie, anders wil men gewoonweg geen zaken meer met je doen. De nieuwe privacyregels versnellen dit proces. De boetes zijn niet alleen fors hoger geworden, steeds meer bedrijven begrijpen dat hun reputatie op het spel staat als ze onzorgvuldig met gegevens omgaan. Wij helpen hen die verantwoordelijkheid professioneel in te vullen.”

Wake-up Call Een van de uitdagingen in informatiebeveiliging is het verbeteren van de bewustwording op alle niveaus in de organisatie. Security is geen IT-aangelegenheid. Iedereen, van hoog tot laag, draagt verantwoordelijkheid. De Jong Luneau: “Wij bereiken de beste resultaten door met klanten cyberincidenten te oefenen. Wat gebeurt er echt als je wordt aangevallen door hackers? We betrekken er alle sleutelfiguren in een organisatie bij. Hoe lopen de communicatielijntjes, wie zegt en doet wat wanneer en hoe? Dat mes snijdt aan twee kanten. Essentiele vaardigheden worden realistisch getraind en er ontstaat meteen een gesprek bij de koffieautomaat. Daarmee ontstaat collectief veiligheidsbewustzijn. Medewerkers voelen wat er mis kan gaan als ze hun verantwoordelijkheid niet nemen. Geen awareness zonder actie. Daarom bieden we vanuit die ervaring concreet handelingsperspectief zodat iedereen actief weet bij te dragen aan betere beveiliging. Het proces wordt dan van de organisatie zelf. Naast alle beleid, processen, maatregelen en technologie is informatiebeveiliging ook een kwestie van ‘weten’. Weten wat er speelt in de buitenwereld en binnen je ICT-omgeving. Omdat hackers steeds gemakkelijker firewalls en antivirus omzeilen, bewaakt Northwave permanent de ICT van haar klanten. “Dat doen we met moderne SIEM-technologie vanuit het nieuwe SOC. Dat is de cockpit waar alle informatie samenkomt en van waaruit acties worden geïnitieerd en gecoördineerd. Het kan gaan

EVENT

Vlnr: Fook Hwa Tan, Pim Takkenberg, Marc de Jong Luneau en Steven Dondorp, het MT van Northwave. om preventieve acties, maar ook om Incident Response”, zegt Takkenberg. Northwave helpt haar klanten zo om veel sneller te reageren en bijvoorbeeld ook te voldoen aan de Wet Meldplicht Datalekken. Mocht het onverhoopt misgaan, dan komt het Computer Emergency Response Team van Northwave in actie om het probleem te verhelpen. Dat team is een van de vier commerciële teams in Nederland die het prestigieuze CERT-logo mogen voeren, naast die van Fox-IT, Digital Investigations en KPN.

Ties & T-shirts De integrale aanpak van Northwave draait om interdisciplinair denkende professionals. “Dat wil zeggen dat de techneuten (de ‘T-shirts’) en de consultants (de ‘Ties’) elkaar verstaan en respecteren”, zegt Dondorp. “Iedereen levert op zijn gebied meerwaarde, aan de klant, aan elkaar en aan de organisatie. We begrijpen elkaars sterktes en

‘Beter bewustzijn ontstaat door incidenten te oefenen. Geen awareness zonder actie’ stellen die in dienst van de organisaties die op ons vertrouwen. Die verbondenheid en betrokkenheid wordt door onze klanten sterk gewaardeerd. We hebben nauwelijks verloop. Bovendien vragen grote organisaties ons nu ook om die aanpak door te vertalen naar hun eigen Security Teams. Dat is een groot compliment voor de manier waarop we dit bedrijf aan het bouwen zijn. Daar ben ik echt trots op.” THEO LOTH is bedrijfsjournalist

Onafhankelijkheid Northwave is onafhankelijk. Dit wil zeggen dat er geen venture capitalists aan boord zijn, het niet een dochteronderneming is van een grotere entiteit of dat vreemd vermogen is aangetrokken. De groei is altijd gefinancierd uit eigen middelen. Daarnaast is Northwave vendor-onafhankelijk. Het bedrijf adviseert over technologie op basis van erkende best practises en betrouwbare assessments van klantbehoefte. Northwave is ISO 27001 gecertificeerd en mag als een van de vier securityspecialisten in de Benelux het officiële CERT (Computer Emergency Response Team) logo voeren. Bij Northwave werken nu ruim 45 specialisten. Het bedrijf heeft een ambitieuze groeistrategie. Over twee jaar werken er bij Northwave 100 of meer gekwalificeerde security experts. Er zijn vestigingen in Nederland (Nieuwegein) en België (Brussel).

12 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

foto: Dennis van de Water - www.shutterstock.com

SECURITYTECHNOLOGIE

VOOR ZESDE MAAL IN EINDHOVEN:

Beyond Data-event in teken van open data en smart cities

Tijdens het internationale Beyond Data Event, dat op 29 maart 2016 voor de zesde maal in Eindhoven wordt georganiseerd, komen gemeenten en stakeholders uit de hele wereld samen om ervaringen en enthousiasme te delen, innovatieve ideeën te genereren en oplossingen te bieden voor praktijksituaties. Koplopers op het gebied van gerealiseerde open data projecten uit binnenen buitenland delen hun ervaringen op het podium. Daarnaast gaat u in gesprek over geïmplementeerde projecten, samenwerkingen en succesverhalen. En uiteraard welke stappen de komende jaren nog gezet moeten én kunnen worden! Praktijkprojecten van steden, corporates, onderzoeksinstellingen, maar ook innovatieve start-ups dagen je uit om te komen tot nieuwe inzichten. Tevens is er aandacht voor organisaties die onderzoek doen voor het opzetten van een open data project, informatie willen vergaren en ideeën uit willen wisselen om een succesvol project te kunnen starten. FenceWorks (uitgever van onder andere Infosecurity Magazine) is een van de partners van het event.

Tijdens het event komen sprekers aan net woord als: Rob van Gijzel, burgemeester gemeente Eindhoven Constantijn Van Oranje-Nassau, Ambassadeur StartupDelta Catherine Bracy, Senior Director Partnerships & Ecosystem Code for America Beth Simone Noveck, voormalig CTO White House & Founder The Governance Lab Bart Rosseau, Data and Information Management gemeente Gent Meer informatie over het event is te vinden op de website van het Beyond Data Event.

Met korting naar Beyond Data? Dat kan! Omdat FenceWorks partner is van het Beyond Data Event kun u gebruik maken van een speciaal kortingsaanbod. U krijgt daarmee 20 procent korting op de reguliere toegangsprijs. Wilt u gebruik maken van dit aanbod? Schrijf u dan in via beyondopendata2016.paydro. net/event/beyond-open-data-2/ Fenceworks Of vermeld op het inschrijfformulier de kortingscode ‘FenceWorks’.

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 13

SAMENWERKING

ke rol is weggelegd voor op hardware gebaseerde beveiligingsmethodieken. Daarom heeft het concern het zogeheten Infineon Security Partner Network (ISPN) opgezet, waarin diverse partijen samenwerken aan technologie die zich direct voor beveiligingsdoeleinden laat inzetten. Het eveneens Duitse Wibu-Systems maakt deel uit van dit samenwerkingsverband.

Embedded World Wibu-Systems introduceert in het kader van deze samenwerking een nieuw product genaamd: CodeMeter µEmbedded. Dit is een nieuw lid van de CodeMeter-productreeks voor beveiliging van programmacode en het ontwikkelen van een licentieregistratie voor software op microcontrollers en Field Programmable Gate Aray’s (FPGA’s).

Wibu-Systems en Infineon

tonen beveiliging voor IoT Wibu-Systems en Infineon Technologies gaan nauw samenwerken op het gebied van op hardware gebaseerde beveiligingsoplossingen voor Internet of Things-toepassingen. Het eerste product is nieuwe software van Wibu-Systems genaamd CodeMeter µEmbedded.

Met miljarden apparaten die allemaal gekoppeld worden aan het internet ondergaat de samenleving grote veranderingen. Infineon, een Duitse fabrikant van halfgeleiders, denkt dat hierbij een belangrij14 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

Het bedrijf heeft de functionaliteit van de embedded beveiligingsoplossing gestript tot minimale omvang, zonder in te boeten op het beveiligingsniveau. De te laden code is hierdoor slechts 60 kB groot. De licentieregistratie voor de broncode is gekoppeld aan het unieke identificatienummer van het systeem. De registratie wordt aangemaakt tijdens het productieproces van een apparaat op het moment van de inbouw van de microcontroller of FPGA. De sleutel voor encryptie en activering van de software bevindt zich in het af-

gesloten deel van het geheugen. Van daaruit worden de licenties beheerd voor de specifieke functies van apparaten, worden de productie-aantallen bijgehouden, worden via een veilige verbinding instructieregels van de diverse programma’s overgebracht en wordt tevens voorzien in het aanbrengen van updates.

DAVE-ontwikkelplatform Infineon heeft CodeMeter µEmbedded geselecteerd als nieuwe plugin voor zijn DAVE-ontwikkelplatform. Via een grafische gebruikersinterface kan technologie van Wibu-Systems worden geactiveerd die zorgt voor encryptie en signering van de programmacode van de XMC 4000 microcontroller reeks. Deze microcontrollers zijn met name populair voor apparaten die worden toegepast in Internet of Things-toepassingen.

'De sleutel voor encryptie en activering van de software bevindt zich in het afgesloten deel van het geheugen'

Schade door cybercrime stijgt met 200% in vijf jaar tijd De schade die bedrijven gemiddeld lijden door cybercriminaliteit stijgt snel. Iedere vijf jaar nemen de gemiddelde kosten met 200% toe. De totale jaarlijkse schadepost door cybercrime wereldwijd bedraagt inmiddels 450 miljard dollar. Naar verwachting blijft de schade de komende jaren in hetzelfde tempo stijgen. Dit blijkt uit onderzoek van Hamilton Place Strategies. Het is niet eenvoudig de kosten die bedrijven door cybercrime maken in kaart te brengen. Naast duidelijk meetbare kosten zoals het inhuren van externe security professionals en het investeren in beveiligingsoplossingen om herhaling van incidenten te voorkomen zijn er ook minder eenvoudig meetbare kostenposten. Denk hierbij aan reputatieschade die een bedrijf oploopt nadat het getroffen is door een cyberincident. Ook moeilijk meetbaar is de schade die organisaties lijden indien een branchegenoot wordt getroffen. Als voorbeeld noemt Hamilton Place Strategies de malware aanval op de Amerikaanse retailketen Target, waarbij creditcardgegevens van miljoenen klanten werden gestolen. Dit leverde ook andere Amerikaanse retailbedrijven reputatieschade op, waardoor zij inkomsten misliepen.

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 15

INFORMATIEBEVEILIGING

Woningcorporaties presenteren BIC

(Baseline Informatiebeveiliging Corporaties) In navolging van het rijk en de gemeenten is er binnenkort ook voor de woningcorporatiebranche een baseline voor informatiebeveiliging (BIC). Het initiatief voor de ontwikkeling van deze BIC kwam vanuit enkele NetwIT-leden. Inmiddels zijn de werkzaamheden zover gevorderd dat op 5 april de officiële presentatie kan plaatsvinden. NetwIT is een vereniging van en voor IT-verantwoordelijken die werkzaam zijn bij een woningcorporatie. De BIC-werkgroep bestaat uit leden van acht woningcorporaties die bij NetwIT zijn aangesloten. Een van de initiatiefnemers is Joop Schoppers, teamleider ICT, Facilitair en Inkoop bij woningcorporatie De Woonplaats in Enschede. Schoppers wijst naar de baselines BIR en BIG bij het Rijk en de Gemeenten. “Samen met een aantal collega’s van andere corporaties kwam ik tot de conclusie dat een dergelijke baseline ook voor corporaties nuttig zou zijn. Het lag voor de hand om hiervoor NetwIT te benaderen, omdat deze club al eerder initiatieven ontplooide op het gebied van referentiearchitecturen (zoals CORA en VERA) en digitale gegevensuitwisseling. Na overleg met het bestuur van NetwIT is er een werkgroep (een SIG, Special Interest Group) ingesteld. De deelnemende corporaties waren bereid het voortouw te nemen en er tijd en energie in te steken.”

Doelstelling

foto: lornet - www.shutterstock.com

Doelstelling van de werkgroep is te komen tot een baseline die specifiek gemaakt is voor de woningcorporaties. Daarbij is de verwachting dat 80 tot 90 procent van de in te kleuren domeinen binnen de ISO-norm vergelijkbaar is met wat belangrijk is voor gemeenten, rijk of waterschappen. Schoppers: “Wij willen onze BIC specifiek en herkenbaar maken voor woningcorporaties door branche-specifieke bedreigingen te identificeren en deze vervolgens te voorzien van daarbij behorende specifieke mitigerende maatregelen. Voor de langere termijn hebben we als doelstelling onderlinge vergelijkingen mogelijk te maken en eventueel een benchmark op te stellen. Daarmee hebben we eerder al goede ervaringen opgedaan in de vorm van de jaarlijkse benchmark van IT-kosten (wTCO). Daarbij is uiteraard sprake van benchlearning, iets wat voor de BIC ook zou gelden.”

Werkwijze

bekeken. Daarna hebben we de BIG bekeken, aangepast en geactualiseerd. Inmiddels is er de ISO27001, versie 2013. Deze vervangt de versie van 2005, waar de BIG nog op gebaseerd is. Vervolgens hebben we per domein de tekst en de maatregelen aangepast om de herkenbaarheid voor woningcorporaties zo groot mogelijk te maken en de geïdentificeerde risico’s zo goed mogelijk te reduceren.” De BIR stamt uit 2010 en wordt momenteel geactualiseerd. Ervaringen vanuit het rijk en ook ervaringen bij gemeenten (de BIG acceptatie verloopt moeizaam, daarvoor is een visitatiecommissie vanuit de VNG ingezet) deden de leden van de werkgroep besluiten te kiezen voor een pragmatische aanpak. Schoppers: “Per domein hebben we keuzes gemaakt in de mate van detaillering waarmee we iets voorschrijven. Auditors noemen dat deze aanpak Principle Based ten opzichte van Risk Based. Sommige zaken lenen zich niet voor een gedetailleerd voorschrijven van het hoe, maar meer voor het wat, afhankelijk van de karakteristiek van domein of onderwerp. We willen niet tot op het laagste detailniveau zaken voorschrijven. Laat een baseline zijn waarvoor hij is bedoeld: een veilig vertrekpunt waarbij in de basis de zaken geregeld zijn en waarbij een corporatie zich kan concentreren op de uitzonderingen die meer aandacht en specifieke maatregelen behoeven.”

Verspreiding en acceptatie Bij NetwIT zijn ongeveer 140 corporaties aangesloten, samen goed voor ongeveer 80% van het totaal aantal woningen in bezit van corporaties. Gelet op de (technologische) ontwikkelingen en het ontsluiten van de bedrijfssystemen door middel van zogenaamde huurdersportalen, staat informatiebeveiliging hoog op de agenda bij de woningcorporaties. De BIC zal eveneens worden gedeeld met de leveranciers van woningcorporaties, in het bijzonder met leveranciers van software en/of cloud oplossingen. Woningcorporaties zullen naar verwachting in de Inkoopvoorwaarden opnemen dat leveranciers zich dienen te conformeren aan de BIC. De officiële presentatie van de BIC zal plaatsvinden op 5 april ’s middags, aansluitend aan de (besloten) Algemene Ledenvergadering van NetwIT. De presentatie is toegankelijk voor alle belangstellenden. Voor meer informatie: info@netwit.nl. Zie ook www.netwit.nl.

Schoppers legt uit op welke wijze de werkgroep te werk is gegaan. “We zijn gestart met een risico-mitigatie workshop. Aan de hand van 75 algemeen bekende risico’s is nagedacht over de relevantie van elk risico voor een woningcorporatie. Ook zijn eventuele specifieke risico’s voor de eigen branche

16 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 17

ONDERZOEK aan. Zeker als we bedenken dat deze ook zullen voorkomen bij organisaties die vooral incidenten op basis van generieke malware voorbij zien komen en meestal tot veel meer schade kunnen leiden. Het meest opvallende is echter het feit dat bijna 4 op de 10 organisaties (37%) niet eens weet of ze al dan niet het slachtoffer zijn geworden van een security incident. Voor Wim van Campen, vice president Noord en Oost Europa voor Intel Security, is dat iets waar organisaties zich zorgen over zouden moeten maken. “We kunnen intussen wel stellen dat het volledig beschermen van alle bedrijfsinformatie tegen cybercriminelen geen haalbare kaart is. Veel zinvoller is om heel goed te weten wat er gebeurt binnen het bedrijfsnetwerk en de daarop aangesloten systemen, zodat je direct kan reageren als er iets gebeurt dat buiten het ‘normale’ valt. Dus snelle detectie en respons. Het feit dat zo

Hoe snel

reageren NL-organisaties

op security incidenten? Ook als het om IT-beveiliging gaat, is voorkomen beter dan genezen. Maar als we de afgelopen jaren één ding hebben geleerd, is het wel dat incidenten hoe dan ook zullen plaatsvinden. Als organisatie moet je daar op voorbereid zijn en snel adequate maatregelen kunnen treffen. Om het reactievermogen van Nederlandse organisaties te testen, heeft Intel Security Pb7 Research gevraagd om dit uit te zoeken. Pb7 Research heeft daarom meer dan 100 Nederlandse IT-beveiligers uit grotere organisaties begin 2016 ondervraagd. 18 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

En dat leidt tot zeer interessante bevindingen. Om te beginnen, kunnen we inderdaad bevestigen dat incidenten onontkoombaar zijn. Van de onderzochte organisaties zegt 94% in 2015 één of meerdere security incidenten te hebben ervaren. Helaas moet 45% van de Nederlandse organisaties melden dat één of meerdere aanvallen ook daadwerkelijk ‘succesvol’ was en bijvoorbeeld data werd ontvreemd. Voor veel organisaties geldt dat de meeste bedreigingen afkomstig zijn van generieke malware, maar het aantal organisaties dat vooral last heeft van gerichte aanvallen, neemt behoorlijke proporties

‘Het meest opvallende is echter het feit dat bijna 4 op de 10 organisaties (37%) niet eens weet of ze al dan niet het slachtoffer zijn geworden van een security incident’

Doelgerichte aanvallen Veel doelgerichte aanvallen zijn het gevolg van onzorgvuldigheid of ondoordachtzaamheid van gebruikers. Als je maar genoeg spearfishing berichten weet te verzenden, is er altijd wel iemand die bereid is om op een link te klikken. Om te voorkomen dat er dan schade wordt gedaan, is een snelle reactie noodzakelijk. Hoe eerder de malware wordt ontdekt, des te minder schade er kan worden aangericht. Maar ook als een aanval snel is geneutraliseerd, kan een incident doorgaan met schade aan te richten voor de organisatie. Want hoe lang duurt het eigenlijk voor de getroffen IT-services weer in de lucht zijn en betrokken bedrijfsprocessen weer normaal kunnen functioneren? En wan-

Wim van Campen, vice president Noord en Oost Europa voor Intel Security

vele van de ondervraagde organisaties aangeven geen idee te hebben of er in 2015 al dan niet verdachte activiteiten hebben plaatsgevonden, betekent dat er misschien nu nog steeds informatie wordt weggesluisd zonder dat ze dit door hebben. En onze ervaring leert dat een snelle reactie bij een data-inbraak of besmetting met malware juist essentieel is: hoe eerder je actie onderneemt, hoe groter de kans dat je substantiële schade voorkomt.” Natuurlijk worden veruit de meeste aanvallen afgeslagen, maar dat er toch nog zoveel aanvallen uiteindelijk succesvol zijn, heeft vooral met twee zaken te maken: onzorgvuldigheid van gebruikers en de opkomst van geavanceerde malware die lastig is te ontdekken.

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 19

ONDERZOEK

DIGITAAL ZAKENDOEN ‘aanpassen van beveiligingsmiddelen om vergelijkbare incidenten in de toekomst te voorkomen’. Wat opvalt, is dat er weinig wordt gekeken naar de gevoeligheid van niet-geraakte systemen voor aanvallen en dat er maar in beperkte mate wordt gekeken naar analytische security-oplossingen. Juist om sneller aanvallen te identificeren en te kunnen reageren, zouden organisaties er veel baat bij kunnen hebben om meer of beter gebruik te maken van analytische oplossingen. Op zich zeggen beveiligers tevreden te zijn over de analytics die men momenteel in gebruik heeft. Maar er zijn maar weinig organisaties (10%) die menen dat ze zeer effectief zijn. En er is nog een andere reden om nog eens goed naar analytische hulpmiddelen te kijken: veel organisaties hebben moeite om de ontwikkelingen op het security en cybercrime gebied goed bij te houden. Terwijl de bedreigingen steeds complexer worden, is het niet realistisch te verwachten dat het security budget even hard doorgroeit. Om een en ander bij te houden, moeten IT-beveiligers steeds efficiënter en effectiever kunnen opereren. Dat is alleen mogelijk indien ze beveiligingstaken steeds verder automatiseren en verder investeren in detectie- en analysetools.

Gebruikers

neer is eigenlijk het gat gedicht? Laten we het eens op een rijtje zetten: Van de organisaties die in 2015 te maken hebben gehad met doelgerichte aanvallen, geeft 53% aan dat in ieder geval één van die aanvallen niet binnen 24 uur werd geïdentificeerd. Bij diverse organisaties (8%) duurde het zelfs langer dan 3 maanden voor een aanval werd ontdekt. Eén op de drie organisaties bleek vervolgens niet in staat om de bedreiging binnen 24 uur te neutraliseren. En 15% van deze organisaties gaf zelfs aan dat dit meer dan drie maanden duurde! Waar de meeste organisaties toch in staat zijn om binnen enkele uren tot 24 uur een aanval te bedwingen, duurt het normaliseren van de IT-diensten vervol-

gens gemiddeld enkele dagen tot een week. Het rectificeren duurt nog het langst: organisaties weten de gebruikte kwetsbaarheid gemiddeld pas na ongeveer een week te repareren. Voor één op de vijf geldt dat dat zelfs twee maanden of langer duurt. Al die tijd blijven organisaties dus kwetsbaar voor nieuwe aanvallen.

Wat te doen? De meeste Nederlandse organisaties vertrouwen vooral op reactieve hulpmiddelen om het risico op en de gevolgen van doelgerichte aanvallen te minimaliseren. Navraag leert dat men vooral kijkt naar zaken als ‘ondernemen van actie om de impact te beperken’ en het

20 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

Tenslotte wijden we graag nog een aantal woorden aan de gebruikers. Terwijl de IT-omgeving en de bedreigingen steeds omvangrijker en complexer worden, geldt voor de meeste organisaties dat ze uiteindelijk vooral veel moeite hebben om de gebruiker in het zicht te houden. Aangezien de gebruiker voor de meeste organisaties de minst betrouwbare schakel is op het gebied van IT-beveiliging, is het niet voldoende om er eens in de zo veel tijd een strenge e-mail of bewustwordingstraining tegen aan te gooien. Als we accepteren dat dataverlies hoe dan ook plaatsvindt, moet deze data op dat moment dus onbruikbaar zijn. Daarnaast is het noodzakelijk om het gedrag van gebruikers beter in kaart te brengen en afwijkende gedragingen snel en automatisch te herkennen en daarop te reageren. PETER VERMEULEN, Directeur Pb7 Research

‘Tien punten om extra op te letten’

COREY NACHREINER VAN WATCHGUARD:

Veel aanbieders van security-producten benadrukken graag de gevaren die bedrijven en overheden tegenwoordig lopen. Daar houdt Corey Nachreiner, Chief Technology Officer van WatchGuard, niet van. Ondernemers kunnen prima op digitale wijze zakendoen, zolang ze een aantal punten maar goed in de gaten houden. 1. Ransomware is de laatste jaren volwassen geworden, stelt Nachreiner met gevoel voor understatement. In feite gaat het hier om een illegale vorm van het versleutelen van bestanden. Daar zijn cybercriminelen echter zo bedreven in geworden dat veel slachtoffers - ook in zakelijk Nederland - zich gedwongen hebben gezien om het losgeld te betalen. Tot nu toe hebben de criminelen zich vooral gericht op Windows-systemen, maar dat gaat snel veranderen, meent Nachreiner. Ook Android en MacOS gaan er mee te maken krijgen. 2. Phishing is nog altijd een van de meest succesvolle tools van cybercriminelen. Met slim in elkaar gezette trucs op het gebied van social engineering slagen zij er in om veel eindgebruikers om de tuin te leiden. Het enige dat hier tegen helpt: medewerkers trainen, trainen en nog eens trainen. 3. MKB opgelet - Veelal halen met name de geavanceerde aanvallen de media, maar we moeten ons niet vergissen, meent Nachreiner: met name als het doelwit een MKB-bedrijf is, kunnen cybercriminelen volstaan met vaak verrassend eenvoudige aanvalsmethoden. Het MKB zal meer moeten investeren in moderne security-tools. Maar nog belangrijker: volg de basisregels van veilig werken en de kans is groot dat de onderneming ook daarwerkelijk gevrijwaard blijft van inbraken. 4. Ook iOS - Android had als open platform tot nu toe het meeste te maken met virussen en malware. Maar zoals we gezien hebben, zijn cybercriminelen er ook in geslaagd om Apple development platform voor apps te infecteren. Komend jaar gaan we nog veel meer problemen met iOS meemaken. 5. Foute ads - Als iets te mooi om waar te zijn lijkt, is het dat in de praktijk vaak ook. Toch zien we dat veel mensen op internet op malicious advertenties klikken, terwijl het aanbod dat in die ad gedaan wordt in geen enkel opzicht geloof-

10.

waardig is. Maar als het aanbod maar superinteressant lijkt, is de verleiding vaak toch te groot voor veel mensen, constateert Nachreiner. Geautomatiseerde security - Voor veel bedrijven zijn de ontwikkelingen op het gebied van security nauwelijks meer bij te benen. Gelukkig hoeft dat ook steeds vaker niet. Dankzij automation zijn steeds meer security tools in staat zichzelf te configureren en aan te passen aan veranderende omstandigheden. Dit wordt een belangrijk kenmerk van moderne security-producten. Persoonlijke info - Veel aanvallers beginnen met het in kaart brengen van persoonlijke informatie over hun slachtoffers. Het is daarom lastig te begrijpen dat veel bronsystemen met persoonlijke gegevens - van onderwijsdatabases tot opgeslagen medische gegevens - vaak slecht worden beveiligd. Internet of Things - Komend jaar gaan we zien dat cybercriminelen er in slagen om de firmware van IoT-devices te infecteren, zodat ze de macht kunnen overnemen. Wifi - Niets makkelijker dan draadloos werken, maar met name de procedures die gevolgd worden om een apparaat aan een wifi-netwerk te koppelen kennen security-problemen. Hacktivists - Waar cybercriminelen onder de radar willen blijven, zijn activistische hackers juist uit op zoveel mogelijk zichtbaarheid en publiciteit. In 2016 gaan we menig aanval zien waar het niet om geld draait, maar om aandacht, meent Nachreiner. Hacktivists zullen steeds verder gaan om hun boodschap duidelijk te maken.

Corey Nachreiner

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 21

DIGITALE TRANSFORMATIE EN SECURITY

‘De veiligheid van data is een verantwoordelijkheid van ons allemaal’ Digitale Transformatie draait om data. De analyse van de grote hoeveelheden data die door een digitale samenleving worden gegenereerd schept ongekende mogelijkheden, maar stelt ons ook voor uitdagingen. Wat is de impact van digitalisatie op onze veiligheid, en waar zouden we tijdens deze transformatie op moeten letten? De wereld verandert sterk onder invloed van digitalisering. Waar informatietechnologie de afgelopen decennia vooral ‘automatisering’ heeft betekend, maakt het nu nieuwe businessmodellen mogelijk die gevestigde organisaties voor grote uitdagingen stellen. Nieuwe startups blijken vaak vele malen flexibeler doordat ze, ongehinderd door legacy, direct gebruikmaken van nieuwe platformen en technieken. Maar ze weten vooral ook slim gebruik te maken van de enorme hoeveelheden data die we inmiddels genereren, en de tools die we hebben om die data te analyseren. Bedrijven als Uber, Airbnb en Amazon gebruiken data om hun klanten een unieke service te bieden. In het geval van Uber en Airbnb bestaat de service zelfs geheel uit data: een taxibedrijf zonder wagenpark en een hotelketen zonder vastgoed. Amazon, maar ook bijvoorbeeld het Nederlandse Coolblue, gebruiken data-analyse om diensten aan te bieden waarmee ze gevestigde concurrenten ver het nakijken geven. De impact van data was een van de terugkerende thema’s tijdens ExpertsOn Digital Transformation, een event waar, op 9 februari in Hoofddorp, negen experts uit de IT-branche de gevolgen van digitale transformatie met elkaar bespraken. “De grote hoeveelheden data die we genereren en manipuleren bieden ongekende mogelijkheden, maar we moeten wel goed in de gaten houden hoe we daar op een gezonde manier mee

omgaan,” meent Fred Voogt, Regional Manager bij Ruckus Wireless.

De gebruiker bepaalt Bedrijven die met digitale transformatie aan de slag gaan, lijken niet altijd te beseffen dat achter de data gebruikers zitten waar je rekening mee hebt te houden, denkt Voogt. “Neem Location Based Services, waarbij je op maat gesneden diensten aanbiedt aan bijvoorbeeld winkelend publiek. De potentie is gigantisch, maar als je er niet zorgvuldig mee omgaat, schakelen mensen hun WiFi uit, of zetten een blocker aan, en dan valt de bodem onder je model vandaan.” De muziekindustrie heeft het al ervaren, en online adverteerders voelen het nu onder druk van de adblockers: het belang van gebruikersdata betekent ook dat de macht van de gebruiker toeneemt. Pieter Lacroix, Managing Director bij Sophos, bevestigt dat met persoonsgegevens nog veel te makkelijk wordt omgegaan. “We hebben sinds 1 januari een meldplicht datalekken in Nederland. De hoeveelheid meldingen die we tot nu toe als gevolg daarvan hebben gezien, is verhoudingsgewijs tot nu toe vele malen lager dan in bijvoorbeeld het Verenigd Koninkrijk, waar vergelijkbare wetgeving geldt. Doen wij het hier dan zo veel beter? Ik geloof er niets van. Ik ben bang dat het bedrijfsleven de veiligheid van onze gegevens nog veel te weinig serieus neemt.”

‘Security kun je niet meer te lijf met beperkte oplossingen. Dat is alsof je je vinger in de dijk stopt – dat werkt alleen in sprookjes’

22 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

Geen IT-probleem Welke maatregelen zouden bedrijven moeten nemen om data in deze nieuwe wereld te beschermen? Om te beginnen erkennen dat security geen “IT-ding” is, stelt Jeroen van der Meer, CTO bij Solvinity. “Security gaat de hele organisatie aan. IederINFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 23

BLOG

DIGITALE TRANSFORMATIE EN SECURITY

Wat is ‘pass the hash’ (PTH)? ‘Pass the hash, please’. Het klinkt alsof een dinerende Engelsman vraagt het suddervlees door te geven. Maar in werkelijkheid gaat het hier om een zeer gevaarlijke aanval waarbij kwaadwillenden toegang krijgen tot iemands account. Ongeacht hoe sterk het gebruikte wachtwoord is.

trolemiddel nodig voor het kan inloggen. Dat kan via een voorwerp zijn, zoals een token of code via sms. Maar het kan ook een biometrische factor zijn, zoals een vingerafdruk of een irisscan. Een wachtwoord of hash alleen is dan in ieder geval niet meer voldoende.

IDS Onleesbaar gemaakt wachtwoord

een hanteert bedrijfsgegevens, iedere medewerker heeft tegenwoordig via eigen apparatuur een link naar buiten. Sterker: steeds vaker sluiten organisaties intensieve samenwerkingsverbanden met partners en leveranciers die ook direct of indirect toegang hebben tot die datastroom. In zo’n omgeving kun je de verantwoordelijkheid voor de veiligheid van data niet bij één afdeling of zelfs één persoon neerleggen, zoals nu nog vaak gebeurt.” Van der Meer vergelijkt de groeiende hoeveelheid data en de toenemende dreiging van cybercrime met watersnood: “Het komt als een stormvloed op ons af. Dan kun je niet van iedere gemeente verwachten dat ze daar zelf een oplossing voor vinden. Als je dit het hoofd wilt bieden, moet je naar een deltaplan gaan kijken, waarin alle betrokken afdelingen en organisaties samen aan een oplossing werken.” Pieter Lacroix: “De Autoriteit Persoonsgegevens stuurde half februari een open brief aan de Nederlandse zorginstellingen, om ze te waarschuwen zich te houden aan de vereisten van de Wet bescherming persoonsgegevens. Die brief stuurden ze niet aan de IT-afdeling, of aan de CIO, maar aan de Raden van Bestuur. Zij dragen namelijk de eindverantwoordelijkheid voor de bescherming van deze gegevens, maar zijn zich vaak onvoldoende bewust van dit zwaard van Damocles.”

Maatregelen Lacroix denkt dat op security-gebied een aantal zaken moet veranderen. “Om te beginnen moeten de tools worden aangepast aan de nieuwe tijd. Je kunt je security niet meer volgens de oude silo’s inrichten. Wij laten bijvoorbeeld netwerken endpoint-security oplossingen realtime met elkaar communiceren. Dit noemen we de Sophos Security Heartbeat. Dat stelt ons in staat veel sneller en veel breder te reageren op mogelijke dreigingen. Ten tweede is het van be-

‘Ik ben bang dat het bedrijfsleven de veiligheid van onze gegevens nog veel te weinig serieus neemt’ lang dat organisaties zo snel mogelijk hun data via encryptie gaan beveiligen. Data is hun belangrijkste asset, maar al doen ze het alleen maar om zich te beschermen tegen wettelijke aansprakelijkheid. En ten derde moeten organisaties zo snel mogelijk met een degelijk en bedrijfsbreed security-beleid komen, dat ook daadwerkelijk wordt gekend, gecontroleerd en nageleefd.”

24 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

Van der Meer (Solvinity): “Security kun je niet meer te lijf met beperkte oplossingen. Dat is alsof je je vinger in de dijk stopt – dat werkt alleen in sprookjes. Grote bedrijven gebruiken vaak Security Operation Centers (SOCs) waar àl het dataverkeer intensief wordt gecontroleerd. Kleinere organisaties gaan ook die kant op: centraal gecoördineerde combinaties van maatregelen waarmee een totaaloplossing ‘as a service’ wordt geleverd. Wij noemen dat een ‘digitale wasstraat’.” Waar bedrijven zich daarbij van bewust moeten zijn, is dat security degelijk, maar ook laagdrempelig moet blijven, benadrukt Voogt van Ruckus Wireless. “De belangrijkste reden dat security vaak met frisse tegenzin wordt ingevoerd, is dat men bang is dat het de fantastische nieuwe businessmodellen in de weg zit.” Hij noemt als voorbeeld de vele verschillende manieren waarop gebruikers op een open WiFi-netwerk kunnen inloggen. “Het is vaak óf technisch ingewikkeld voor de aanbieder, óf lastig en ondoorzichtig voor de gebruiker, óf volstrekt onveilig.” Een goede beveiligingsoplossing is volgens Voogt niet alleen veilig en eenvoudig te implementeren, maar ook intuïtief voor gebruikers. “Houd je daar geen rekening mee, dan vinden ze vanzelf een omweg, of houden op je dienst te gebruiken.”

Voor een duidelijk begrip van de ‘pass the hash’-techniek, is het allereerst nodig te weten wat een ‘hash’ is. Een hash is een wachtwoord dat door encryptie volledig onleesbaar gemaakt is. Hoe eenvoudig of moeilijk het wachtwoord ook is, zodra het als ‘hash’ is opgeslagen, is het een onleesbare reeks van karakters. Het doel van een hash is het ‘veilig’ bewaren van een wachtwoord op een systeem. NTLM en Kerberos, beide authenticatiesystemen van Windows, zijn kwetsbaar voor deze aanval. Het vraagt gebruikers om een wachtwoord. API’s zoals LsaLogonUser vertalen deze vervolgens in een hash en sturen die hash naar een remote server. Deze server checkt of de gebruiker inderdaad het juiste wachtwoord heeft ingevoerd en dus al dan niet recht heeft op toegang.

Grote zwakte Dit systeem heeft echter een grote zwakte. Door niet het wachtwoord, maar de hash direct aan te bieden aan de server, krijgt een gebruiker evengoed toegang. Een hacker heeft daarvoor dus alleen de gebruikersnaam en bijbehorende hash nodig, en die kan het via gratis tools zo in het systeem opsporen. De sterkte van het wachtwoord maakt geen verschil, met de juiste combinatie van gebruikersnaam en hash is de hacker ‘binnen’. En heeft het vervolgens alle aan de gebruiker gekoppelde rechten. Windows werkt bovendien volgens het SSO (Single Sign On)-principe: eenmaal ingelogd kun je overal bij en heb je geen extra wachtwoorden meer nodig.

Een andere aanbeveling is IDS, ofwel een Intrusion Detection System. De handeling zelf zal je hiermee niet opmerken, het gaat immers om een ‘reguliere’ inlogprocedure. Maar de stappen die daarna volgen zijn vaak wel verdacht, zoals het aanmaken van een shell die over het netwerk gestuurd wordt. Met een IDS-systeem kun je dan direct ingrijpen wanneer een dergelijk incident zich voordoet. Verder doe je er verstandig aan om systemen met gevoelige data te isoleren van het netwerk. Daarmee voorkom je dat een hacker die eenmaal binnen is, hier gemakkelijk bij kan. Ook het regelmatig nalopen van gebruikersprivileges is een goed verdedigingsmechanisme. Want wat kan en mag een gebruiker allemaal doen indien deze is ingelogd? Kan deze alleen documenten inzien, of ook wijzigen en met anderen delen? Of is er juist een extra wachtwoord nodig om bij gevoelige data te komen? Het advies is om niemand meer rechten te geven dan nodig is voor het uitvoeren van zijn of haar werkzaamheden. Dan kan een hacker onder iemands account immers geen onnodige schade aanrichten. ITAY EVRON is Managing Director Benelux bij Comsec Consulting

De aanval kan op afstand verlopen via vrijwel ieder willekeurig communicatieprotocol, zoals FTP, RPC, HTTP en SMB.

Tweetrapsauthenticatie Een adequate verdediging tegen PTH is onder andere een twee- of zelfs driestapsverificatie. Daarbij heeft een gebruiker altijd een tweede of derde con-

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 25

VULNERABILITY MANAGEMENT

VULNERABILITY MANAGEMENT EN DE ROL VAN DE CLOUD

Overstappen naar beveiliging vanuit de cloud De overstap naar de cloud zorgt niet alleen voor veranderingen op het gebied van budgetten en beheerkosten, maar ook qua beveiliging. Vroeger werd voor het beheer van bedrijfsgegevens gebruikgemaakt van interne ICT-middelen en opslagsystemen. Door deze gecentraliseerde aanpak konden bedrijven zich concentreren op het beveiligen van de netwerkrand en voor diepteverdediging zorgen door als het ware uiteenlopende beschermingslagen op de firewall te stapelen.

Struikelblokken voor een effectieve beveiliging overwinnen Bedrijven hebben hun handen vol aan ICT-beveiliging. In 2015 waren verhalen over datalekken aan de orde van de dag. Hieruit blijkt wel dat geen enkel bedrijf meer veilig is voor cyberaanvallen. Er ging in de afgelopen maanden geen week voorbij zonder dat er een nieuwe hack de krantenkoppen haalde.

De groeiende bewustwording van het belang van beveiliging speelt ICT-afdelingen tot op zekere hoogte in de kaart. Datalekken zijn schadelijk voor het bedrijfsimago en leiden tot klantverlies. Topmensen vernemen uit diverse bronnen over beveiligingsincidenten. De beveiliging groeit daarmee in hoog tempo uit tot een hot item op de directieagenda. In januari 2016 bracht het World Economic Forum een nieuw rapport uit, waarin het een gebrekkige ICT-beveiliging identificeerde als een van de grootste risico’s voor het toekomstige succes van bedrijven. Het World Economic Forum ziet cyberaanvallen zelfs als het grootste risico voor de economische groei van bedrijven. Dit benadrukt het belang van een doortimmerde beveiligingsstrategie. 26 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

Dure Dollar De Europese markt heeft echter te lijden onder de sterke dollar. Omdat veel leveranciers van beveiligingsoplossingen in de Verenigde Staten zijn gevestigd, heeft de waardetoename van de dollar de prijzen van beveiligingstechnologie met 20 procent opgestuwd. Net nu bedrijven meer oog beginnen te krijgen voor de beveiliging en ICT-afdelingen daardoor over een groter budget kunnen beschikken, gooit het hoge prijskaartje van beveiligingsoplossingen roet in het eten. Deze ontwikkeling raakt in een stroomversnelling, en de gevolgen zijn nu al te merken. ICT-afdelingen zijn op zoek naar alternatieve oplossingen voor traditionele kapitaalintensieve oplossingen op locatie. Software as a Service (SaaS)-tools bieden wat dat betreft uitkomst. Ze bieden bedrijven de mogelijkheid om klein te beginnen en de mogelijkheden waar nodig uit te breiden. Daarbij betalen ze alleen voor wat ze werkelijk gebruiken. Er zijn ook gratis tools beschikbaar waarmee ze alle ICT-activa binnen de organisatie in kaart kunnen brengen. Zo kunnen ze zich een accuraat beeld vormen van hun ICT-landschap, een eerste vereiste voor een effectiever beheer van de beveiliging.

De accumulatie van deze beveiligingstechnologieën is echter achtergebleven bij de manier waarop bedrijven hun ICT-omgeving beheren en bij het agressieve tempo waarmee cybercriminelen malware ontwikkelen. Iedere werknemer is tegenwoordig in staat om met een mobiel apparaat bedrijfsgegevens op te vragen vanaf een externe locatie. Hoewel veel organisaties op gecontroleerde wijze mobiele apparatuur aan werknemers verstrekken, zetten medewerkers vaak hun eigen smartphones, laptops en tablets in voor werkdoeleinden.

Schaduwzijde Sommige afdelingen schaffen hun eigen applicaties aan zonder daarbij het advies van de ICT-afdeling in te winnen of zich vragen te stellen over de beveiliging. De gegevens die zij met deze applicaties genereren worden nooit opgeslagen op ICT-apparatuur van hun werkgever. Veel applicaties worden tegenwoordig door externe partijen gehost of ondergebracht in de cloud. De ooit zo veilige netwerkrand is hierdoor irrelevant geworden.

Herwin overzicht Ondertussen hebben ICT-teams steeds minder tijd om gaten in de beveiliging te dichten. Het interval tussen de detectie van nieuwe kwetsbaarheden en het uitbrengen van een patch is steeds korter. Al deze ontwikkelingen benemen de ICT-afdeling het zicht op de huidige status van de ICT-middelen en de diensten die werknemers buiten de bedrijfsmuren gebruiken. Als antwoord op dit probleem moet de ICT-afdeling het wereldwijde bedreigingslandschap voortdurend in de gaten houden en in real-time werken. Het in de cloud onder-

brengen van de beveiliging en functionaliteit voor het scannen op kwetsbaarheden kan uitkomst bieden. Beveiliging vanuit de cloud maakt het zelfs mogelijk om mobiele apparatuur aan regelmatige controles te onderwerpen en up-todate en veilig te houden. ICT-afdelingen kunnen op deze manier het overzicht herwinnen en zorg dragen voor voortdurende informatievoorziening en continue beveiliging. Voor kleinere bedrijven is beveiliging vanuit de cloud extra aantrekkelijk, omdat ze daarmee toegang krijgen tot beveiligingsmogelijkheden en niveaus van bescherming waar hun interne ICT-team simpelweg niet aan kan tippen. Aanbieders van cloud-diensten maken gebruik van veilige datacenters. Hun succes staat of valt met de bescherming van klantenomgevingen. Dit is de reden waarom aanbieders van cloud-diensten van meet af aan beveiligingsfunctionaliteit in hun infrastructuur en diensten inbouwen.

melijk buiten de organisatie worden gebruikt en mogelijk niet eens in aanraking komen met het bedrijfsnetwerk. Deze informatie dient als basis voor voortdurende beveiliging en moet daarom continu worden geactualiseerd. Het scannen op kwetsbaarheden vanuit de cloud maakt een einde aan een deel van de ICT-overhead die gepaard gaan met traditionele oplossingen voor vulnerability management. De capaciteit kan namelijk worden aangepast aan de omvang van de vereiste scans. Zo zullen bedrijfskritische applicaties en mobiele apparaten dagelijks op problemen moeten worden gescand, terwijl apparatuur mogelijk slechts één keer per week hoeven te worden gecontroleerd. Hoe het ook zij, een overzicht van alle ICT-activa zal een beter beeld geven van de status van de bedrijfsbrede beveiliging. WOLFGANG KANDEK, Chief Technical Officer, Qualys

Het belangrijkste is om te beginnen met het inventariseren van alle bestaande ICT-middelen die binnen en buiten de bedrijfsmuren worden gebruikt. Zodra alles in kaart is gebracht, kunnen externe applicaties en interne IT voortdurend worden bewaakt op gebreken en verkeerde configuraties. Voor grotere ondernemingen kan de overstap naar de cloud een complexere opgave zijn. Voor hen is het belangrijk om dit traject in te gaan met het gebruik van tools voor asset management die de hele onderneming beslaan. Hiermee moeten zowel de interne en vaste ICT-activa in kaart worden gebracht als apparatuur en applicaties die voornaINFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 27

ONDERZOEK

Niet

Hoewel de belofte van HTTP/2 haast voor zich lijkt te spreken, zal ook deze technologie niet van de ene op de andere dag gemeengoed zijn. Het is niet ongebruikelijk dat een technologie die op papier ideaal is, de tijd neemt om breed geïmplementeerd te raken. Kijk maar naar IPv6. De adoptie is inmiddels, 20 jaar (!) na introductie, groot, maar nog steeds niet volledig afgerond. De groeiratio’s van HTTP/2 vallen echter niet tegen en het is ook niet vreemd dat we een protocol waar zoveel vanaf hangt zomaar aanpassen. Datzelfde geldt voor websites. Er zijn zoveel factoren die een rol spelen, dat HTTP/2 wellicht de eerste keuze wordt, maar HTTP/1 vooralsnog de standaard ‘fall-back’-positie behoudt. Aan de backend (server) zijde kost zo’n overgang tijd en geld en zorgen voor dev en ops. Een HTTP/2 gateway vereenvoudigt dit traject. Het kan de support direct regelen zonder grootscheepse invloed op de backend.

man versus machine, maar man én machine

We zullen een mix van HTTP/1 en HTTP/2 zien, waarbij vooral in mobiele toepassingen en backend apps de adoptie hoger zal zijn. Die zullen immers meer profiteren van de betere prestaties en zijn makkelijker te upgraden.

Een nieuw jaar, tijd om nog even terug, maar vooral vooruit te kijken! De groei in technologische ontwikkeling ging ook het afgelopen jaar goed door. Smart watches waren de nice-to-have, 3D-printers vinden hun weg naar consumenten en Tesla’s rijden (bijna) op autopilot. Die groei zat echter ook in het aantal datalekken en hacks.

Uit eigen onderzoek van F5 Networks bleek al dat 2015 de twijfelachtige eer krijgt als het jaar waarin voor het eerst meer dan de helft van de Nederlandse bedrijven bloot werd gesteld aan cybercrime. Geen bedrijf, organisatie en zelfs land is in principe meer veilig en consumenten worden zich steeds bewuster van de gevaren die zij lopen. Wat betekent dit voor 2016? We zien een trend die (weer) meer focus legt op het individu dan op de massa. Veel investeringen zijn gedaan in technologie voor nieuwe zakelijke mogelijkheden; nu is het tijd om te kijken hoe het individu hiervan kan profiteren. Technologie en software leggen de fundering voor toekomstige innovaties. De trends zijn onder te verdelen in drie hoofdonderwerpen: prestatie, protectie en personen.

Prestatie

Jack Niesen 28 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

We zien een duidelijke stimulans in netwerkprestaties dankzij HTTP/2. Een snellere overdracht van informatie tussen browsers en servers is van cruciaal belang om meer uit een netwerk te halen, en dat is de belofte van HTTP/2 voor het web. Het werd hoog tijd voor een nieuw protocol, want de vorige stamt al weer uit 1997. Toen zagen websites er heel anders uit. De gebruikerservaring is bepalend, en met HTTP/2 wordt de druk op de servers aanzienlijk verlicht. Tijd om over te stappen dus.

Protectie Uit de eerder genoemde Infosecurity Survey blijkt een stijging van het aantal DDoS-aanvallen ten opzichte van vorig jaar. Het is de voornaamste internetbedreiging. De kennis over deze bedreigingen is toegenomen: men weet beter wat de bedreiging is en hoe er mee om te gaan. Zo is ook geleerd dat fraude door werknemers een groeiende rol speelt. De focus voor dit jaar ligt dan ook op het strikter naleven van het security-beleid en de beveiliging op gebruikersniveau. We gaan ook een herziening van security-activiteiten zien. Waar DevOps de controle over het netwerk overneemt, is een vergelijkbare trend in security te zien. Mensen met kennis van beveiliging en softwareontwikkeling zullen in toenemende mate orchestratie en automatisering doorvoeren in de levering van software en infrastructuur. We zien ook steeds meer analytics in security, op basis waarvan betere beveiligingsbeslissingen worden genomen. Een betere gebruikerservaring en meer inzicht in de gebruikte applicaties.

'Technologie en software leggen de fundering voor toekomstige innovaties' Personen We zijn op het punt aangekomen dat de meeste bedrijven niet langer proberen apparatuur te beveiligen, maar identiteiten. BYOD gaat door in 2016 en de beveiliging gaat van apparaten naar de combinatie van mensen, applicaties en data. Wederom een tegemoetkoming aan de gebruikerservaring; iedereen kan veilig het apparaat naar keuze gebruiken. Eindgebruikers worden ook slimmer in het gebruik van apparaten en data. Enerzijds zorgt dat voor risico, zoals we hierboven zagen. Veel incidenten betreffen bewuste of onbewuste acties van medewerkers, veelal aangezet door kwaadwillende buitenstaanders. Gegevens van gebruikers blijven een aantrekkelijke buit. De eindgebruikers worden hier echter wel bewuster in. Zij zullen steeds vaker weloverwogen beslissingen nemen over welke informatie zij delen met organisaties en zullen druk zetten om die gegevens beter te beveiligen. Er is veel om naar uit te zien met het oog op de technologische innovatieve verwachtingen voor dit jaar, maar we moeten niet vergeten wat eerdere ervaringen ons hebben geleerd, vooral rond cybercrime, mobiel werken en netwerkinfrastructuur. Het is gemakkelijk weglopen met de nieuwste innovaties en de risico’s te onderschatten of uit het zicht te verliezen wat de eindgebruiker eigenlijk wil en nodig heeft. Het is zaak te anticiperen en een heldere strategie te hebben om er zeker van te zijn een stap voor de rest te blijven. JACK NIESEN is pre-sales consultant van F5 Networks INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 29

Ken je vijand met de

TOP 10

ONDERZOEK

Top 10 populairste hackmethoden

Zoltán Györkő, CEO van Balabit

Balabit, en aanbieden van diensten op het gebied van IT-beveiliging, logmanagement en monitoringstechnologieën, heeft een Contextual Security Intelligence-rapport (CSI) gepubliceerd. kern van dit rapport vormt een overzicht van de tien populairste hackmethoden. Het onderzoek, gehouden onder 494 IT-securitybeveiligers, biedt organisaties inzicht in de methoden en kwetsbare plekken die hackers het vaakst gebruiken – of misbruiken – om in korte tijd gevoelige informatie te verkrijgen. De belangrijkste conclusie is dat aanvallers van buitenaf (‘outsiders’) zich steeds vaker voordoen als interne gebruiker (‘insider’) en daarbij – meestal per ongeluk – geholpen worden door werknemers.

Interne dreiging

Zoltán Györk, CEO van Balabit: “Het grootste risico voor bedrijven is als outsiders toegang krijgen tot het interne netwerk; ze kunnen dan namelijk maandenlang onzichtbaar blijven. Balabit wil erachter komen wie er achter een zakelijk-gebruikersaccount zit om te bepalen of dat een rechtmatige gebruiker of een hacker is. Zo weten organisaties wie hun vijand is. In een IT-beveiligingsstrategie moet dit prioriteit hebben.” Meer dan zeventig procent van IT-beveiligingsexperts vindt interne dreiging gevaarlijker. 54 procent van de respondenten zegt dat organisaties nog 30 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

steeds bang zijn voor hackers die via hun firewall inbreken in het IT-netwerk. Tegelijkertijd zegt veertig procent dat ze al duidelijk zien dat first-line verdedigingstools, zoals firewalls, gewoonweg niet effectief genoeg zijn om hackers weg te houden. Balabit vroeg IT-beveiligingsexperts of ze meer vrezen van insideraanvallen of van outsideraanvallen. Meer dan zeventig procent van de ondervraagden vindt insiders een grotere bedreiging. Balabit onderzocht welke methoden aanvallers volgens IT-beveiligingsexperts het meest gebruiken om in korte tijd gevoelige data te verkrijgen. 1. Social engineering (bijvoorbeeld phishing) De meeste aanvallers proberen een low-level-gebruikersaccount te krijgen en schalen vervolgens de privileges op. Het identificeren van een bestaande zakelijke gebruiker en het kraken van zijn wachtwoord is echter een langzaam proces en laat veel voetsporen achter. Hierdoor vallen verdachte handelingen sneller op. Hackers gebruiken social engineering-aanvallen daarom vooral als gebruikers ‘vrijwillig’ hun wachtwoord afstaan. “Het recente datalek in Amerika waarbij meer dan tienduizend personeelsleden van Justitie en Binnenlandse Zaken en ruim twintigduizend FBI-medewerkers slachtoffer waren, laat zien dat social engineering-tactieken voor hackers veel makkelijker zijn dan het schrijven van zero-day-exploits”, zegt Györk. “Antimalwareoplossingen en traditio-

nele tools om de controle te behouden over gebruikerstoegang zijn onmisbaar, maar beschermen alleen gevoelige onderdelen van een bedrijf als hackers zich buiten het netwerk bevinden. Als ze eenmaal inbreken in het systeem, zelfs met low-level-toegang, schalen ze hun rechten heel eenvoudig op en krijgen toegang tot het bedrijfsnetwerk. Als dit gebeurt, is de vijand binnen. Een groot risico, omdat het lijkt alsof hij een van ons is.” “Gehackte accounts, waarbij een legale gebruikersnaam en wachtwoord misbruikt worden, zijn alleen te detecteren op basis van veranderd gebruikersgedrag. Bijvoorbeeld tijd en locatie van inloggen, snelheid waarmee getypt wordt of functies die gebruikt worden. User Behaviour Analytics-tools geven echte werknemers een basisprofiel, net zo uniek als een vingerafdruk. Deze tools ontdekken eenvoudig abnormaal gedrag van gebruikersaccounts en waarschuwen het securityteam of blokkeren tot nader order activiteiten van de gebruiker”, voegt Györkő toe. 2. Gehackt account (bijvoorbeeld zwakke wachtwoorden) Gehackte accounts, met name zwakke accounts, zijn gevaarlijk doordat gebruikers over het algemeen zwakke wachtwoorden gebruiken – soms zelfs hetzelfde wachtwoord voor zowel zakelijke als privéaccounts. Zodra een hacker een account en wachtwoord uit een slechter beveiligd systeem (bijvoorbeeld via een privéaccount op social media) achterhaalt, gebruikt hij het heel simpel om ook in het bedrijfsnetwerk in te loggen. 3. Aanvallen via het web (bijvoorbeeld SQL-injecties) Beveiligingsproblemen van online applicaties, zoals SQL-injecties, zijn nog steeds een populaire hackmethode, met name doordat applicaties voor veel insider- en outsidergebruikers de nummer 1-interface zijn voor bedrijfsassets. Dat geeft hackers een enorm gebied om aan te vallen. Helaas is de kwaliteit van applicatiecodes vanuit beveiligingsoogpunt nog steeds twijfelachtig. Ook bestaan er veel geautomatiseerde scanners waarmee hackers heel eenvoudig kwetsbare applicaties opsporen. De overige hackmethoden leveren hackers hetzelfde resultaat op, maar zijn

Populairste hackmethoden

mogelijk ingewikkeld of tijdrovend. Het lijst met de tien populairste hackmethoschrijvenBalabit vanhieldeen exploit kost bijvoorden laat duidelijk zien dat organisaties op twee grote evenementen in 2015 een survey onder 494 IT-beveiligingsprofessionals: de Black beeld tijd en je moet goed zijn in het realtime moeten weten wat ergaat in hun Hat USA-conferentie in Las Vegas en de Black Hat Europe-conferentie in Amsterdam. Het onderzoek in op de De vraagoverige of IT-professionals hun eigenIT-netwerk medewerkers ofspeelt. aanvallen Wie van buitenaf schrijvenenerzijds van code. populaiheeftgevaarlijker er toegang? vinden, anderzijds onthult het de top 10 populairste hackmethoden. Dit geeft organisaties inzicht in de re hackmethoden zijn: Met welke gebruikersnamen en wachtmethoden en kwetsbare plekken die aanvallers het vaakst gebruiken – of misbruiken – om in korte tijd gevoelige woorden? Gaat het om een echte zakedata te verkrijgen. 4. Aanvallen aan de kant van de cliënt lijke gebruiker of om een aanvaller van (bijvoorbeeld tegen documentreaders buitenaf met een gehackt account? Om of webbrowsers). hier achter te komen, moet een bedrijf 5. Exploit tegen populaire serverbestaande securitytools aanvullen, bijupdates (bijvoorbeeld OpenSSL of voorbeeld met continue realtime monitoHeartbleed). ring en tools voorOutsider toegangscontrole en Outsider ~30% ~25% 6. Onbeheerde persoonlijke apparawachtwoordmanagementoplossingen. ten (bijvoorbeeld slecht BYOD-beHet monitoren kan afwijkingen in gedrag EU USA leid). van de gebruiker aantonen. Niet alleen Insiderin het geval van ver7. Fysieke indringing. Insider om alarm te slaan ~70% ~75% 8. Schaduw-IT (bijvoorbeeld persoondachte activiteiten, maar ook om dilijke clouddiensten gebruiken voor rect te reageren bij gebeurtenissen die zakelijke doeleinden). schade opleveren en om verdere ac9. Beheer van third party service protiviteiten Zoals de onderInsider of outsider? Niet te zoblokkeren. duidelijk viders (bijvoorbeeld uitbestede infrazoeksresultaten laten zien, voldoet Balabit onderzocht of IT-professionals bedreigingen van outsiders of van insiders risicovoller vinden. Daarbij het werd een insider-aanval gedefinieerd als een aanval die niet van buitenaf begint en zich met name richt op accounts structuur). langer om alleen outsideraanvallers van rechtmatige gebruikers (dus die zonder ‘hulp’ van een insider of misbruik van een intern gebruikersaccount 10. Profiteren van het ophalen van tegen te houden. Bedrijven moeten onnooit was gelukt). data uitHoewel de respondenten cloud (bijvoorbeeld IaaS gewoon gedrag van eigen gebruikers aangaven nog steeds bang te zijn voor hackers die in hun IT-netwerk inbreken, wijzen de of PaaS). in de gaten te houden. Je weet immers resultaten op een belangrijk punt voor een efficiënte verdedigingsstrategie: in de Verenigde Staten vindt meer dan zeventig procent van de ondervraagden insiders riskanter. dertig procent vindt outsiders een groter nooitSlechts wie er daadwerkelijk achter het inrisico. In Europa is deze verhouding nog extremer: 75 procent van de respondenten vindt insiders gevaarlijker sider-account zit. Conclusie dan outsiders (25 procent). Wat de bron van de aanval ook is, de

Top 10 hackmethoden De surveyresultaten onthullen de top 10 populairste hackmethoden. Dit laat duidelijk zien dat organisaties realtime moeten weten wat er in hun IT-netwerk speelt. En dat kan alleen door bestaande securitytools aan te vullen met continue monitoring die afwijking in gedrag aantoont, en bij verdachte activiteiten alarm slaat en accounts blokkeert.

USA

81%

83%

SOCIAL ENGINEERING (bijvoorbeeld phishing)

62%

63%

GEHACKT ACCOUNT (bijvoorbeeld zwakke wachtwoorden)

51%

54%

AANVALLEN VIA HET WEB (bijvoorbeeld SQL-injecties)

33%

43%

AANVALLEN AAN CLIENT-KANT (bijvoorbeeld van documentreaders of webbrowsers)

23%

17%

EXPLOIT TEGEN POPULAIRE SERVERUPDATES (bijvoorbeeld OpenSSL of Heartbleed)

21%

16%

ONBEHEERDE PERSOONLIJKE APPARATEN (bijvoorbeeld slecht BYOD-beleid)

15%

13%

FYSIEKE INDRINGING

11%

10%

SHADUW-IT (bijvoorbeeld persoonlijke clouddiensten gebruiken voor zakelijke doeleinden)

10%

BEHEER VAN DERDE PARTIJ-SERVICEPROVIDERS (bijvoorbeeld uitbestede infrastructuur)

PROFITEREN VAN HET OPHALEN VAN DATA UIT DE CLOUD (bijvoorbeeld IaaS of PaaS)

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 31

Over de survey

CYBERSECURITY

ZES CYBERSECURITYVOORSPELLINGEN 2016:

encryptie

‘Meer leidt tot meer aanvallen op vertrouwen’ Begin vorig jaar voorspelde het threat intelligence’ team van Venafi dat er in 2015 meer aanvallen op online vertrouwen zouden plaatsvinden. Gebruikmakend van digitale certificaten en encryptiesleutels. Die voorspelling is uitgekomen, gezien de Gogo’s ‘man-in-the-middle’ (MITM) aanvallen, Logjam, Superfish, meer Heartbleed kwetsbaarheden, de inbraak bij St. Louis Federal Reserve Bank en Netcraft’s recente analyse over misbruikte certificaten. 2015 was het jaar waarin versleutelde communicatie gemeengoed werd, met ‘overal HTTPS’ als thema. Bedrijven zijn zich ervan bewust geworden dat encryptie geen optie meer is maar de norm. Het Amerikaanse Office of Management & Budget (OMB) verplicht overheidsdiensten meer encryptie via HTTPS te gaan gebruiken, om het bewustzijn te vergroten. Die beslissing maakte uiteraard deel uit van een inhaalslag op cybersecuritygebied na de geslaagde OPM-inval, waarbij de persoonlijke informatie van miljoenen mensen toegankelijk werd. 2015 heeft mensen tevens bewust gemaakt van kwetsbaarheden in de populaire browsers van Google en Mozilla, o.a. door de onbetrouwbaar gebleken Chinese Certificate Authority (CA) CNNIC. Verder is een terugblik niet compleet zonder vermelding van de headlines over Hillary Clinton. Die op reis maandenlang in plaats van via haar persoonlijke server te werken een privé Gmail-account gebruikte. Daardoor was helaas de vertrouwelijke communicatie over overheidsoperaties te volgen. 32 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

De realiteit is dat meer encryptie meer kansen met zich meebrengt voor criminelen om sleutels en certificaten te misbruiken. Uit onderzoek van Ponemon Research blijkt dat elke grote onderneming de afgelopen vier jaar al is aangevallen met valse sleutels en certificaten. De kans dat aanvallen worden uitgevoerd op het vertrouwen van commerciële bedrijven en overheden, neemt alleen nog maar toe. Zeker omdat Advanced Persistent Threats (APT’s) een rijke historie hebben, gezien het feit dat APT 1 APT 18, Mask, POODLE, FREAK, Shellshock, de Sony-inbraak en CNNIC allemaal veroorzaakt zijn door het uitgeven van valse certificaten. Op basis van bovenstaande terugblik voorspellen wij voor 2016 de volgende zes nieuwe cybersecurity-bedreigingen en trends: 1. Het Certificate Authority (CA) model is verouderd en de waarde van certificaten gedaald, waardoor er een gebrek aan vertrouwen dreigt. In 2015 ontstonden nieuwe businessmodellen, met de introductie van gratis certificaten via initiatieven als ‘Let’s Encrypt’. Deze stimuleren het gebruik van certificaten maar tevens het aantal kansen voor criminelen zich te verbergen binnen versleuteld verkeer voor MITM-aanvallen. CA’s als Comodo en DigiCerf verloren vertrouwen nadat bleek dat hun certificaten werden nagemaakt door hackers. Uit recent onderzoek van Netcraft zijn zelfs valse bankwebsites gevonden die SSL-certificaten gebruiken, uitgegeven door Symantec, Comodo en GoDaddy.

2. IoT-ransomware wordt een favoriete aanvalsmethode voor cybercriminelen. Als miljarden apparaten met het IoT worden verbonden, ontstaat er voor criminelen een veel groter potentieel om aanvallen op uit te voeren. IoT-apparaten vertrouwen allemaal op sleutels en certificaten voor authenticatie en privacy, die te vervalsen zijn. Dit risico is aangetoond door securityonderzoekers die tijdens BlackHat 2015 het GM Onstar-systeem hackten. Verder zijn er ook al zwakheden blootgelegd in de sleutels en certificaten die Samsung voor haar slimme koelkasten gebruikt. Daarom verwachten wij dat cybercriminelen in de toenemende verbonden wereld belangrijke apparatuur gaan gijzelen en losgeld gaan vragen voor overgenomen netwerken en systemen. Waaronder mobiele communicatiemiddelen en slimme domotica. Via een MITM-aanval kunnen cybercriminelen betrekkelijk eenvoudig het verkeer tussen een IoT-apparaat en het hostsysteem onderscheppen om het apparaat een andere actie te laten uitvoeren. Zoals een auto afremmen of juist laten versnellen, de hoogte van een vliegtuig beïnvloeden, een onderdeel van een industriële installatie besturen of teveel morfine toedienen aan een patiënt. Cybercriminelen kunnen ook verkeerde firmware updates sturen om de functionaliteit van IoT-apparaten te verstoren. 3. Grote securityleveranciers gaan klanten, omzet en vertrouwen verliezen, omdat ze aanvallers in versleuteld verkeer niet ontdekken.

Meer encryptie creëert meer uitdagingen voor securityleveranciers die zowel in- als uitgaand versleuteld verkeer niet realtime kunnen ontcijferen. Door zich daarin te verbergen worden APT-type aanvallen van cybercriminelen niet ontdekt waardoor een onterecht veilig gevoel ontstaat. 4. CA’s worden gerangschikt door gebruikers, mede op basis van hun vertrouwen. De gebruikersgemeenschap en belangrijkste browsers gaan CA’s rangschikken op basis van ervaring. Google en Mozilla vertrouwen CNNIC niet meer, maar Apple en Microsoft nog wel. Uit onderzoek van Venafi tijdens BlackHat USA 2015 bleek dat 24% van alle respondenten het CNNIC-rootcertificaat uit hun browsers gaat verwijderen. Netcraft’s onderzoek onthulde dat meerdere CA’s, waaronder Cloudflare, Comodo, Symantec en GoDaddy vervalste certificaten hebben uitgegeven. Op basis van deze voorbeelden verwachten wij dat gebruikers meer lijsten gebaseerd op het vertrouwen van CA’s gaan samenstellen. Zo limiteert Microsoft momenteel al het gebruik van overheidgerelateerde CA’s tot hun eigen geografische regio en de invloed van commerciële CA’s, op basis van de volgende richtlijnen: • Overheid CA’s verstrekken policies voor serverauthenticatie die gelimiteerd zijn tot .gov domeinen en mogen alleen andere certificaten uitgeven conform de ISO3166 landcodes, waarover de betreffende overheid soeverein invloed heeft (zie http://aka.ms/auditreqs, sectie III voor de definitie van een overheid CA). • Overheid CA’s die tevens als commerciële, non-profit of andere publieke entiteit opereren gebruiken daarvoor een andere bron (zie http://aka.ms/auditreqs, sectie III voor de definitie van een commerciële CA). 5. Er komen meer services die kwaadaardige code ondertekenen, naarmate het toenemend gebruik van encryptie meer blind spots voor organisaties creëren. Onderzoekers van Netcraft ontdekten laatst op het dark web een malware service die softwarecodes ondertekent. Dit was één van de eerste services die aanvallers de mogelijkheid bieden een CA naar keuze te misbruiken,

wat hun ranking mede gaat beïnvloeden. Wij verwachten dat er in 2016 meer van deze services worden ontwikkeld, gezien de huidige groei van ondertekende malware met zo’n 50% per kwartaal. 6. Door het groeiend encryptiegebruik, met name bij overheidsorganisaties, gaat het misbruik van sleutels en certificaten toenemen en evenredig daarmee het aantal MITM-aanvallen. Hoewel de intenties voor een toenemend gebruik van encryptie goed zijn om de authenticiteit en privacy van overheidswebsites te garanderen, nemen de eraan verbonden risico’s evenredig toe. Het USA OMB heeft al gewaarschuwd dat er significante lekken kunnen ontstaan, wanneer er geen immuunsysteem is dat alle cryptografische sleutels en digitale certificaten beschermt. Meer versleuteld verkeer dwingt criminelen HTTPS of vervalste certificaten te gaan gebruiken voor hun aanvallen. Daarom adviseert het OMB aan overheidsorganisaties al hun in- en uitgaand verkeer op bedreigingen te controleren en te migreren naar 100% encryptie. Vanaf dat moment is het nodig alle communicatie te inspecteren om te voorkomen dat cybercriminelen daar voor langere tijd misbruik van maken, zonder te worden ontdekt. Verder moeten overheidsorganisaties het gebruik van nagemaakte of gekraakte digitale certificaten op het Internet opsporen, om spoofing en MITM-aanvallen te stoppen. Wat zijn uw belangrijkste securityvoorspellingen voor 2016? Bent u het ermee eens dat er meer aanvallen komen op het vertrouwen van organisaties als zij 100% encryptie gaan gebruiken?

KEVIN BOCEK is VP Security Strategy & Threat Intelligence bij Venafi

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 33

VISIE disch lastige situatie ontstaan. Formeel zijn Nederlandse bedrijven, die gebruik maken van een Amerikaanse Cloud, sinds 6 oktober in overtreding van de Europese Dataprotectie-wet en sinds 1 januari zijn zij wettelijk verplicht om deze overtreding, die wordt gezien als een datalek, te melden bij de Autoriteit Persoonsgegevens. Om deze situatie voor te zijn, is er een overgangsperiode afgesproken, waarin het (zakelijke) gebruik van Amerikaanse Cloud-oplossingen toegestaan bleef. Deze periode liep tot 31 januari 2016. Er wordt naarstig gewerkt aan een opvolger van Safe Harbor en de onderhandelaars hebben begin februari een principeakkoord bereikt. Maar de precieze details zijn nog lang niet uitgewerkt. Zolang dat nog niet het geval is, blijven wij in een juridisch schemergebied als het gaat om Amerikaanse IT-leveranciers.

Datalekken

voorkomen

in een ingewikkeld IT-landschap Op 1 januari 2016 is de nieuwe Meldplicht Datalekken ingegaan. Wanneer een datalek optreedt, moet de verantwoordelijke partij melding maken van het datalek. Laat zij dat na, kan haar dat in het meest ongunstige geval op twee boetes van €820.000,- komen te staan. Volgens de wet zijn er dan namelijk twee overtredingen begaan: 1) er is geen melding van het lek gedaan bij de Autoriteit Persoonsgegevens, 2) er is geen melding van het lek gedaan bij de mogelijke slachtoffers van het lek. Er is nog veel onduidelijkheid over hoe de wet precies in elkaar zit en hoe deze moet worden toegepast. Vandaag spijkeren wij u bij.

Niet nieuw, wel anders De wet is niet nieuw: persoonlijke data moesten altijd al goed beschermd worden volgens de Wet

Malware

bescherming persoonsgegevens (Wbp) en ook gold altijd al een meldplicht. Nieuw is dat het in strijd handelen met de wet direct kan leiden tot een sanctie, die kan worden opgelegd door de Autoriteit Persoonsgegevens (AP). Het beoogde effect is dat ondernemingen die persoonsgegevens verzamelen, opslaan, beheren of bewerken een belangrijke financiële prikkel hebben om datalekken te melden. Onlosmakelijk daaraan verbonden is de vergrote wens om geen datalekken te laten plaatsvinden, aangezien het voor de reputatie van een onderneming schadelijk is als een datalek aan het licht komt. Dat zou moeten leiden tot een beter beleid ten aanzien van de bescherming van persoonsgegevens.

Beleidsregels als leidraad

Daniëlle van Leeuwen 34 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

De wettekst (http://wetten.overheid.nl/BWBR0011468/2016-01-01#Hoofdstuk5_Artikel34a) is niet erg expliciet. Om ondernemingen op weg te helpen bij een correcte toepassing van de wet, heeft de AP beleidsregels opgesteld (https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken). Het is een groot document, maar het geeft duidelijke inzichten. Zo valt te lezen dat het ene persoonsgegeven het andere niet is. Er worden verschillende categorieën persoonsgegevens aangeduid als ‘persoonsgegevens van gevoelige aard’, waarbij het lekken ervan kan leiden tot ernstige gevolgen voor het slachtoffer, zoals stigmatisering of uitsluiting van de betrokkene, schade aan de ge-

zondheid, financiële schade of (identiteits)fraude. Er worden opmerkelijk veel persoonsgegevens als gevoelig gekenmerkt. Voorbeelden zijn gegevens over iemands godsdienst, ras, gezondheid, seksuele leven, strafrechtelijke persoonsgegevens, salaris, verslavingen, kopieën van identiteitsbewijzen, burgerservicenummers en biometrische gegevens, maar ook onschuldiger lijkende gegevens als gebruikersnamen, wachtwoorden en andere inloggegevens behoren tot deze speciale categorie. Bijna elk bedrijf beschikt wel over dergelijke gegevens van klanten of personeelsleden. Bij ‘normale’ persoonsgegevens is het, onder bepaalde voorwaarden, niet altijd noodzakelijk om een mogelijk datalek te melden. Maar bij dit soort ‘gegevens van gevoelige aard’, zijn de regels strenger en zullen mogelijke datalekken vaker wel worden gemeld bij de AP.

Verantwoordelijkheid In de beleidsregels staat, dat de verantwoordelijkheid voor de bescherming van de persoonsgegevens ligt bij de partij die de persoonsgegevens heeft verzameld en niet bij de bewerker van de gegevens. Bij een bewerker van ge-

gevens kan gedacht worden aan een datacenter waar de gegevens worden opgeslagen, of aan de leverancier van een Cloud-oplossing. De beleidsregel stelt dat de verantwoordelijke moet nagaan of de bewerker de nodige maatregelen treft om de persoonsgegevens te beschermen. Maar hoe stel je dat vast?

Safe Harbor Eén handvat hiertoe wordt geboden door de EU-wetgeving over dataprotectie. Deze stelt dat de persoonsgegevens van Europese burgers niet de grenzen van de EU mogen overschrijden, omdat er buiten de EU geen garanties zijn voor een goede databescherming (http:// ec.europa.eu/justice/data-protection/ index_nl.htm). Tot voor kort was voor de VS een uitzondering gemaakt in de vorm van het Safe Harbor-verdrag. In dit verdrag werd gesteld dat de persoonsgegevens van EU-burgers ook in de VS veilig zouden zijn. Er waren dan ook geen wettelijke restricties voor Europese bedrijven om gebruik te maken van Cloud-diensten van bijvoorbeeld Microsoft, Google en Apple. Echter, op 6 oktober 2015 werd Safe Harbor ongeldig verklaard. Daarmee is een juri-

Malware wordt vaak buiten beschouwing gelaten als het gaat over informatiebescherming. Volledig ten onrechte, zo blijkt ook uit de beleidsregel van AP. Deze stelt: ‘Bepaalde typen malware doorzoeken de besmette apparatuur op waardevolle persoonsgegevens zoals e-mailadressen, gebruikersnamen en wachtwoorden en creditcardgegevens, om de gevonden gegevens vervolgens weg te sluizen naar een server die in handen is van de aanvaller’. Dat is nogal een understatement: bijna alle typen malware hebben dit doel. Het is dan ook goed dat de conclusie van de AP luidt: ‘Bij een malware-besmetting moet u ervan uitgaan dat er sprake kan zijn van een datalek’. Melding van een malware-infectie aan de AP is dan ook verplicht. Aangezien er elke minuut 12 compleet nieuwe vormen van malware bijkomen (https://public.gdatasoftware. com/Presse/Publikationen/Malware_Repor ts/G_DATA_PCMWR_H1_2015_ EN.pdf), is het risico op malware elke minuut zeer wezenlijk. Als een onderneming niet regelmatig aan de AP wil moeten melden ‘dat er toch een stukje malware doorheen is geglipt’, kan die maar beter kiezen voor een goede antimalware-oplossing die zoveel mogelijk van die malware afweert. DANIËLLE VAN LEEUWEN is Communicatie Manager Benelux bij G DATA

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 35

Ook zien we steeds vaker dat de interne DNS-infrastructuur wordt misbruikt voor de ‘call home’ door malware of om documenten in stukken gehakt naar buiten te sluizen. Tijdens een recente ‘DNS Security Survey’ gaf 46 procent van de ondervraagden dan ook aan slachtoffer te zijn geweest van ‘data-exfiltratie’. 45 procent had te maken gehad met ‘DNS-tunneling’ waarbij poort 53 wordt gebruikt om data naar buiten te sluizen. Een bekend voorbeeld is de geavanceerde aanval op de Amerikaanse winkelketen Target waarbij de malware die zich had genesteld in de Point-of-Sale-systemen erin slaagde om data via poort 53 naar buiten te sluizen.

Naast deze technische maatregelen is het vooral ook belangrijk dat organisaties hun DNS volledig onder controle hebben. De structuren en processen met betrekking tot de DNS-services moeten goed gedefinieerd en gedocumenteerd zijn. Ook ‘ownership’ is hier belangrijk. Het is duidelijk wie er verantwoordelijk voor de DNS-services is; namelijk het netwerk team. Echter het is niet duidelijk wie er binnen de organisatie verantwoordelijk is voor de beveiliging van deze DNS-services. En dit is absoluut cruciaal om adequater te reageren op incidenten. JESPER ANDERSEN is President en Chief Executive Officer van Infoblox

SLA

VIRTUALISATIE

APPS

SECURITY

STORAGE

SOLUTIONS

PAAS MIGRATIE

CLOUDSHOPPING

LAAS

IT MANAGEMENT

SAAS

PRIVATE LAAS

GREEN IT

PAAS

MIGRATIE PRIVATE APPS CONVERSION HYBRIDE CLOUDCOMPUTING SECURITY

PUBLIC

Bijvoorbeeld de aanvallen op Ziggo bleken achteraf het werk te zijn van vijf jongeren die wilden aantonen dat ze ‘tot grote dingen in staat zijn’. De afgelopen jaren zijn we echter steeds vaker getuige van verfijndere aanvalsmethoden. Een voorbeeld daarvan is de ‘DNS amplification attack’ waarbij een DNS-server een antwoord wordt uitgelokt dat vele malen groter is dan de request. Op deze manier zou in 2013 spambestrijder Spamhaus onderuit zijn gehaald. Een ander voorbeeld is de ‘redirect attack’ waarbij een aanvaller de externe DNS-server overneemt, een kopie van de website maakt en installeert op een eigen server en slachtoffers daar naartoe leidt.

CLOUDCOMPUTING STORAGE

Domain Name System-aanvallen zijn er in vele soorten en maten. Zo zijn er de DDoS-aanvallen die als doel hebben om de ‘externe DNS-server’ en daarmee de website of dienstverlening van een bedrijf onbereikbaar te maken. Dit overkwam Ziggo in augustus 2015 waardoor veel klanten zonder internet kwamen te zitten. Recenter gingen enkele sites van de Nederlandse publieke omroep op zwart na een zware DDoS-aanval.

Het probleem met traditionele firewalls is dat zij poort 53 open laten staan om de DNS-communicatie niet te hinderen. De bescherming tegen DNS-gebaseerde aanvallen zit dus niet ingebakken in de security-oplossingen die de meeste organisaties implementeren. Om zaken als DNS-tunneling te voorkomen, is het goed om erop te letten dat de geselecteerde beveiligingsmaatregelen samen in ieder geval de volgende zaken bieden: • identificatie van data-exfiltratietechnieken, • mogelijkheden tot het blacklisten van de servers waarmee malware contact opneemt, • een DNS-firewall die toeziet op het weglekken van data, • realtime analytics om afwijkende patronen in de DNS-queries te kunnen ontdekken, en • de mogelijkheid om kwaadaardige DNS-queries de pas af te snijden waardoor malware in de DNS-communicatie niet kan worden uitgevoerd en besmette endpoints als het ware worden geïsoleerd.

VIRTUALISATIE

Aanvallen steeds verfijnder

Aanvullende maatregelen

DATAC GREEN IT

Op applicatieniveau vinden de meeste aanvallen op bedrijven vandaag de dag plaats via DNS. Des te opvallender dat bij de beveiliging van het netwerk vaak niet wordt gedacht aan inspectie op poort 53, de poort die wordt gebruikt voor het DNS-verkeer en in toenemende mate ook voor het wegsluizen van data. Om het verlies van gevoelige data – en een boete op basis van de Meldplicht datalekken – te voorkomen, zijn dan ook aanvullende maatregelen nodig.

SECURITY

MIGRATIE

Welke data lekken via poort 53?

PRIVATE

LAAS CONVERSION

HYBRIDE IT MANAGEMENT

PUBLIC

BLOG

GREEN IT

cloudworks.nu geheel vernieuwd! Feiten en fictie in kaart gebracht

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 37

CYBERSECURITY

Dat kan veel beter

FILE-SHARING IN DE ZORG:

Door de digitalisering van bedrijfsprocessen krijgen bedrijven en instellingen te maken met enorme hoeveelheden digitale gegevens. Al die data zullen ergens opgeslagen moeten worden en beheerd. Dat is een complexe taak. Zeker binnen de zorg verliep dit proces de afgelopen jaren niet heel voorspoedig. Dus wat kan een zorginstelling doen om haar gegevens op een zo effectief en veilig mogelijke manier te beheren zonder dat het de toegang ertoe beperkt? Patrick de Goede van Eijk, Solution Expert Security bij T-Systems, licht toe. Gegevensuitwisseling binnen de zorg is in sommige gevallen van levensbelang. Artsen moeten op ieder moment van de meest actuele situatie omtrent een patiënt op de hoogte zijn. Veranderingen in het ziektebeeld hebben immers mogelijk effect op het behandelplan en vice versa. Wordt dit niet tijdig bijgewerkt in het dossier van de desbetreffende patiënt, dan kan onjuist handelen desastreuse gevolgen hebben. “Er zitten meer gevolgen aan het niet goed inrichten van je gegevensuitwisseling. Denk aan onnodige doktersbezoeken of tijdsverlies en hogere kosten wegens zoekgeraakte of ontoegankelijke documenten. Belangrijker nog: wegens onvolledige beveiligingsmaatregelen kunnen persoonlijke privégegevens zomaar op straat komen te liggen. Die kans is – helaas – groter dan veel zorgorganisaties denken. Sterker nog, zeer recentelijk is het flink fout gegaan bij ziekenhuizen die in zee zijn gegaan met onzorgvuldige scanbedrijven. Security en privacy zijn dan ook cruciale gebieden waar de zorgsector in bepaalde gevallen ondersteuning in kan gebruiken.”

Wat er fout gaat

Patrick de Goede van Eijk

“Medici hebben daarom een efficiënte manier nodig om op een veilige manier documenten, informatie en gegevens onderling of met patiënten te delen. Het probleem is dat populaire file sharing-oplossingen zoals

38 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

e-mail en Dropbox niet voldoen aan de, voor een zorginstantie opgestelde, beveiligingsvereisten. Oftewel, ze zijn niet compliant met de Nederlandse NEN-EN-ISO 27799 of internationale HIPAA-regels voor security, privacy en hun meldplicht bij datalekken”, aldus De Goede van Eijk. Hierdoor hebben zorginstellingen en zorgverzekeraars sporadisch met situaties te maken waarin gevoelige informatie uitlekt. Opvallend genoeg blijken hackers niet de grootste boosdoener van dit soort databreaches, maar lag het meer dan eens aan vermissing of diefstal van apparatuur zoals laptops, tablets en smartphones. “Bring-your-own-device brengt, naast hacks en onzorgvuldigheid, dus eveneens aanzienlijke risico’s mee qua databeveiliging. Zeker in de zorgsector, waar medewerkers verantwoordelijkheid krijgen over zeer persoonlijke data vanuit hun gemeenschap, is het extra van belang dat hun mobile devices optimaal beschermd worden. Het besef dat datalekken vaak het gevolg zijn van fouten door menselijk handelen, begint daar dan nu ook door te dringen. Dat is een eerste stap in de goede richting: erkennen waar het gevaar vandaan komt en ontstaat. Zo is gericht actie te ondernemen.”

Wat er beter kan Er zijn vanaf dat startpunt een aantal zaken waar zorginstanties rekening mee kunnen houden: 1. Meldplicht voor lekken van medische gegevens “Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Deze nieuwe wet verplicht organisaties (inclusief zorginstellingen en overheden) om mel-

ding van te doen van een datalek bij de Autoriteit Persoonsgegevens als er sprake is van – een aanzienlijke kans op – ernstige nadelige gevolgen voor de bescherming van verwerkte persoonsgegevens. Gebeurt de melding niet, dan kan het desbetreffende bedrijf een fikse boete verwachten. De boete moet er uiteindelijk voor zorgen dat organisaties zorgvuldiger omgaan met de (persoons)gegevens die zij in bezit hebben. Dat ze zorgen voor een solide beveiliging en dat ze hun securitystrategie en –oplossingen telkens opnieuw onder de loep nemen en blijven testen.”

streng beveiligde datacenters in Duitsland. Door te kiezen voor twee gespecialiseerde securitybedrijven, maakt de Duitse zorgverzekeraar goed gebruik van dat databeveiligingspartnerschap. En zo verzekert het zichzelf van een zeer veilige opslag van gegevens, de mogelijkheid om onderling vertrouwelijke data te delen en te werken op een bewezen, goed beveiligde infrastructuur.”

2. Probeer het niet allemaal zelf te doen Zorginstellingen willen zich op hun core business kunnen concentreren waardoor het lastig is alle facetten van informatiebeveiliging te overzien. Daarom zoeken zij, bij de implementatie van hun informatie beveiligingsbeleid en security-maatregelen, steeds vaker ondersteuning van een partner die bewezen betrouwbare oplossingen biedt.

3. Kies de juiste tools Voor de zorgsector is het nu essentieel om te beseffen dat het gevaar wezenlijk is, en dat iedereen een mogelijk doelwit voor cybercriminaliteit vormt. Het zijn allang niet meer alleen de grote, financiële ondernemingen die moeten vrezen voor hackers of datalekken. De zorg is in het bijzonder juist interessant omdat ze over zoveel persoonlijke gegevens beschikken. Zulke data zijn veel waard op de zwarte markt. Werken via (open) netwerken, is dan risicovol. Maak daarom een zorgvuldige keuze in de oplossingen, tools en systemen, luidt het advies van De Goede van Eijk.

“Zo koos een bekende Duitse zorgverzekeraar recentelijk voor de file sharing-oplossing van Covata”, vertelt De Goede van Eijk. “De verzekeraar koos specifiek voor de oplossing van de Australische databeveiligingsspecialist voor een optimale bescherming van hun gevoelige gegevens. T-Systems host de clouddienst vanuit geaccrediteerde en

“Het spreekt voor zich dat solide dataprotectie en internetsecurity inmiddels uit meer moet bestaan dan alleen het installeren van wat antivirussoftware en een firewall. De Duitse zorgverzekeraar koos niet voor niets voor deze specifieke Safe Share-oplossing van Covata. Eerder al bouwde T-Systems voor hen een technisch netwerk voor het creëren van

een betrouwbare koppeling tussen de zorgverzekeraar en zijn partners. Covata levert hiernaast nu nieuwe file sharing-opties waardoor de instantie naast gegevensuitwisseling met zijn partners, ook op veilige wijze informatie kan delen met interne en externe stakeholders, zoals hun mobiele salesforce, klanten en leveranciers.” Belangrijk hierbij is dat data overal beschermd moet zijn, waar het zich ook bevindt. Dus zowel in het netwerk, buiten het bedrijfsdomein maar ook in mobiele apparaten en in de cloud. Via meerdere toegangscontroles, end-to-end encryptie, een ruime open afschaalflexibiliteit en transparantie, wordt die bescherming gegarandeerd. “En dat is waar het bij populaire file sharing-oplossingen als Dropbox momenteel nog weleens aan schort. Wees dus zeer kritisch in de keuze van tools. Controleer daarnaast altijd of het aan de beveiligingsvereisten voldoet, of de bescherming volledig is (voor zowel applicaties, netwerken als systemen) en dat de data veilig staan opgeslagen in speciaal daarvoor ingerichte omgevingen. Met het nemen van deze stappen kan de zorgsector hun file sharing namelijk nog aanzienlijk verbeteren”, besluit De Goede van Eijk. PATRICK DE GOEDE VAN EIJK, Solution Expert Security bij T-Systems

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 39

ONDERZOEK omgeving te worden gemaakt zodat DRactiviteiten bedrijfsprocessen minimaal belasten. Het incrementeel vastleggen van wijzigingen zorgt ook voor een efficiënt gebruik van netwerken opslagcapaciteit. Bij het lezen en verplaatsen van deltablokken wordt namelijk alleen gebruikgemaakt van gewijzigde gegevensblokken. Op deze manier zijn er minder bandbreedte en opslagcapaciteit vereist voor de herhaaldelijke DR-activiteiten. Dit maakt het mogelijk om een kortere herstelpuntdoelstelling (RPO) en hersteltijddoelstelling (RPO) te hanteren. Door het opnemen van incrementele back-ups in hun strategie voor gegevensbeheer kunnen organisaties daarnaast profiteren van de volgende voordelen: • Minder verstoring van bedrijfsprocessen doordat er geen volledige back-ups nodig zijn – tot wel negentig procent minder impact; • De capaciteit die normaal gesproken voor back-ups is vereist, is te gebruiken voor overige bedrijfsbehoeften; • Herstelpunten van een uur minimaliseren de risico’s door het terugdringen van de RPO; • Een reductie van de benodigde gegevensopslag dankzij de mogelijkheid om één kopie van de data voor uiteenlopende doeleinden in te zetten; • Sneller gegevensherstel doordat gegevens in een open in plaats van leveranciersspecifiek formaat worden opgeslagen.

Wat staat ons te

wachten op het gebied van disaster recovery? Bij moderne informatiebeveiliging is het belangrijk om niet alle data over dezelfde kam te scheren. De dagen waarin ICT-afdelingen ‘s avonds simpelweg een lading bestanden op tape opsloegen en in de kluis stopten zijn lang en breed voorbij. Moderne organisaties maken zich tegenwoordig minder zorgen over de back-uptijden. Hun focus ligt nu op het waarborgen van een snel en eenvoudig herstel van applicatiedata in het geval van een natuurramp of door mensen veroorzaakte calamiteiten. Nu SLA’s grotere hoeveelheden data beginnen te beslaan, worden de eisen ten aanzien van de hersteltijden en -punten steeds verder aangescherpt.

Uit een recente enquête door IDC onder kleine en middelgrote bedrijven blijkt dat 67 procent van al deze organisaties behoefte heeft aan een hersteltijd van minder dan vier uur. 31 procent moet gegevens in minder dan twee uur kunnen herstellen. Het herstellen van data met uiteenlopende middelen, zoals SAN-snapshots, hypervisor guests en gevirtualiseerde applicaties is van cruciaal belang voor het op peil houden van de productiviteit en vermijden van de juridische risico’s en forse boetes die gepaard gaan met de niet-naleving van SLA’s. Een snel herstel van applicaties is tegenwoordig de enige optie. Dit biedt organisaties de nieuwe niveaus van veerkracht en flexibiliteit die van levensbelang zijn in het huidige informatietijdperk.

Problemen rond disaster recovery In regio’s waarin vaak ernstige stroomstoringen en natuurrampen optreden, kan het gebrek aan een goed doortimmerd disaster recovery-plan (DR) het voortbestaan van organisaties in gevaar brengen. Veel bedrijven in Zuidoost-Azië beschikken niet over een samenhangende disaster recovery-strategie of hanteren een strategie die onvoldoende bescherming biedt tegen dit soort ingrijpende bedrijfsrisico’s. Een overzicht van enkele belangrijke DR-uitdagingen die in deze regio zijn geïdentificeerd. 40 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

•

Onvoldoende automatisering: handmatig informatiebeheer is uiterst arbeidsintensief. Technische teams kunnen op deze manier niets anders doen dan back-ups beheren en figuurlijke brandjes blussen. Er is geen tijd voor het hanteren van een genuanceerde aanpak die is gebaseerd op het bedrijfskritische gehalte van data. Handmatige systemen vergroten de kans op menselijke fouten, het uitlekken van gevoelige informatie en gegevensverlies. ICT-afdelingen zouden gebruik moeten maken van geautomatiseerde systemen voor het beheer van de informatielevenscyclus. Op die manier kunnen ze hun focus richten op de verschillende SLA’s en het opvoeren van de automatisering, zodat beheerders meer tijd overhouden voor complexere taken. Back-ups op tape: hoewel de opslag van data op tape een prima oplossing is voor archiveringswerkzaamheden waarbij geen haast is vereist, zijn tapegebaseerde back-upprocessen te inefficiënt en te langzaam voor disaster recovery-doeleinden, zeker als het om het herstel van applicatiedata gaat. Wereldwijd is er sprake van een explosieve gegevensgroei. Alleen al in de afgelopen twee jaar werd meer dan negentig procent van alle data gegenereerd die momenteel in omloop is. Deze enorme gegevensvolumes veranderen de regels van het spel. Voor veel organisaties in de regio Azië-Stille Oceaan vormt tape echter nog altijd het belangrijkste back-upmedium. Dit belemmert hun vermogen om snel en flexibel om te gaan met een crisis of snel in te springen op nieuwe zakelijke kansen. Gegevensredundantie: de wildgroei aan eilandjes van data binnen organisaties in het Azië-Stille Oceaangebied beletten ICT-managers om gefundeerde beslissingen te nemen en grote pools van data op een efficiënte manier te beheren. Dit leidt tot hogere ICT-kosten, een gefragmenteerd overzicht van de organisatie en belemmert innovatie. Uit een enquête die IDC in opdracht van Commvault uitvoerde onder ICT-besluitvormers in de regio Azië-Stil-

•

le Oceaan blijkt dat bij veertig procent van alle organisaties de strategieën voor back-ups, gegevensherstel, informatiebeveiliging en gegevensanalyse nog altijd op afdelingsniveau worden beheerd. Bottlenecks in het netwerk: Azië en het Stille Oceaangebied behoren tot de meest rampengevoelige gebieden ter wereld. Van alle natuurrampen die tussen 2004 en 2013 plaatsvonden, trof maar liefst 41,2 procent deze regio (1.690 incidenten). Het helpt ook al niet dat Zuidoost-Azië voornamelijk bestaat uit onderontwikkelde en nog opkomende landen waarin sprake is van trage en instabiele netwerkverbindingen. Zo leed het Thaise bedrijfs-

leven vorig jaar een omzetverlies van 297 miljoen dollar als gevolg van netwerkstoringen.

Een moderne aanpak van disaster recovery Hoe kunnen bedrijven deze problemen de baas worden en overstappen op een nieuwe aanpak van disaster recovery? Ze zouden kunnen overwegen om gebruik te maken van methoden op blokniveau met snapshots en DR-procedures op basis van datastreaming, waarbij alleen incrementele back-ups worden gemaakt. Dit houdt in dat er regelmatig snapshots worden gemaakt van de gegevens die sinds de laatste back-up zijn gewijzigd. Zo hoeft niet elke keer een back-up van de complete

Innoveren met het oog op de toekomstige DR-behoeften Trends zoals de opkomst van de cloud, anywhere computing en een explosieve gegevensgroei zijn van invloed op bedrijven in alle sectoren. Daarmee veranderen ook de verwachtingen van organisaties. Bedrijven hebben steeds minder tolerantie voor gegevensverlies en verstoringen van hun diensten. Door hun traditionele disaster recovery-strategieën te herzien, kunnen ze de voortdurende beschikbaarheid van informatie waarborgen die van cruciaal belang is om de concurrentie voor te blijven en te kunnen innoveren. MARK BENTKOWER, CISSP en directeur Systems Engineering ASEAN bij Commvault

INFOSECURITY MAGAZINE | NR. 1 | MAART 2016 | 41

LEGAL LOOK DOOR MR. V.A. DE POUS

Digitale inbraken: voorkomen kan niet meer, voorbereiden wel

Wellicht valt er iets te leren van het pragmatisme aan de andere kant van de oceaan, ondanks het schaamrood en de verhitte gemoederen, dat we ook registreren. Vraag jezelf niet af of je gehackt wordt, maar wanneer. De hack bij het US Office of Personnel Management (OPM) in Washington DC vorig jaar, maakt een hoop duidelijk. Laten we bij de omvang beginnen. Het datalek is ronduit massaal. Het betreft een inbraak in informatiesystemen van de federale burgerlijke overheid, waarbij persoonsgegevens van 21,5 miljoen Amerikanen zijn gelekt (conform het jargon van het Europese privacyrecht noemen we die ‘betrokkenen’). Als vermeende dader wordt gewezen op de Chinese overheid. Uit veiligheidskringen horen we de opmerking dat het om ‘passive intelligence collection’ gaat, zeg maar klassieke spionage. Zo ongeveer ieder land houdt zich hiermee bezig en vice versa, ieder overheidsorganisatie loopt in beginsel het ‘beroepsrisico’ hiervan slachtoffer te worden. Om een nationaal idee te geven: Nederland telt grosso modo 1.600 zelfstandige overheidsorganisaties. Die kunnen hun borst nat maken.

langs werd bekend dat het uitvoeren van antecedentenonderzoeken voor overheidsfuncties wordt overgeheveld naar een nieuw op te berichten bureau van het ministerie van Defensie. Daarmee lijkt de grens tussen burgerlijke en militaire taken te vervagen. Wat doet het Witte Huis nog meer? Ten behoeve van de betrokkenen biedt de federale overheid ‘anti-fraud protection’ aan. Hun financiële status wordt door een externe partij als dienst in de gaten gehouden, waarvoor de regering de rekening betaalt. Vooralsnog gaat het om een bedrag van 330 miljoen dollar.

'Sommige experts voeren aan dat de impact van de OPM hack voor de nationale veiligheidssector 40 jaar lang merkbaar zal zijn'

Terminologie is belangrijk. Het voorval betreft geen ‘cyberattack’ of ‘act of war’. Dat betekent vervolgens dat het oorlogsrecht niet van toepassing is op deze daden. Gelukkig maar, want de Verenigde Staten bouwt sinds 2010 in verhoogd tempo een cyberleger - het United States Army Cyber Command - op ter grootte van 6.200 man. Ook getalenteerde hackers worden geworven. Naar verwachting kan een digitale oorlog een soevereine staat - minimaal - volledig ontwrichten: energie, vervoer en handel komen stil te liggen. Naar Nederlands recht zou de Amerikaanse inbraak waarschijnlijk als computervredebreuk (‘hacking’), zoals omschreven in Artikel 138a Wetboek van Strafrecht, worden geclassificeerd. Daarnaast kan er mogelijk worden vervolgd op grond van overtreding van Artikel 98 Wetboek van Strafrecht: schending van een staatsgeheim. Wat een staatsgeheim is, is overigens aan de rechter om te bepalen.

De betrokkenen zijn divers van aard. Het gaat om (oud-)werknemers, gepensioneerden, freelancers van de federale overheid, en hun familieleden. OPM voert onder meer 90% van het antecedentenonderzoek voor ongeveer 100 federale overheidsorganisaties uit. Dat deze informatie een buitengemeen gevoelig karakter heeft, laat zich raden. Bovendien bevatten de bestanden sociale-zekerheidsnummers en vingerafdrukken. Hierboven spraken we van ‘burgerlijke’ overheid. On-

42 | MAART 2016 | NR. 1 | INFOSECURITY MAGAZINE

Uit het feit dat de federale overheid betrokkenen een omvangrijk anti-fraudepakket ter beschikking stelt, mag niet worden afgeleid dat de regering aansprakelijkheid voor het datalek aanvaardt. Op grond van de Nederlandse Wet bescherming persoonsgegevens - en straks de Algemene Verordening Persoonsgegevens uit Europa met rechtstreekse werking - ligt dit in beginsel anders. Bovendien kennen we sinds kort de Wet meldplicht datalekken, die op 1 januari 2016 in werking is getreden. Toezichthouder Autoriteit Persoonsgegevens kan een forse boete opleggen: maximaal EURO 820.000 of 10 procent van de jaaromzet. Zo voortvarend als de federale overheid handelde met betrekking tot de beperking van mogelijke financiële schade voor betrokkenen, zo terughoudend is haar optreden ten aanzien van de beoordeling of het lek gevolgen heeft voor de nationale veiligheid. De roep om een ‘national security assessment’ klinkt duidelijk. In de nabije toekomst wordt deze beoordeling wettelijk voorgeschreven. Sommige experts voeren aan dat de impact van de OPM hack voor de nationale veiligheidssector 40 jaar lang merkbaar zal zijn. Dat is de echte impact van de inbraak. Was de gelekte informatie niet versleuteld?

Wireless is Easy. Secure Wireless is the Challenge Every product that WatchGuard creates is built with consideration for the Secure Wireless environment. From the telecommuter to the corporate network, organizations face persistent security threats across all wireless environments.

Not all Access Points are created equal. Find out why at watchguard.com/securewireless.

ICT en Security Trainingen

Overzicht trainingen: TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiliging- en cybersecurity trainingen. Security professionals kunnen bij TSTC terecht voor bijna vijftig security trainingen op zowel technisch als tactisch- strategisch gebied. Naast alle bekende internationaal erkende titels is het ook mogelijk diepgang te zoeken in actuele security thema’s.

www.tstc.nl/security

• Certified Ethical Hacker (CEH) • CyberSec First Responder (CFR) • Certified Chief Information Security Officer (C|CISO) • Certified Information Security Manager (CISM) • Certified Information Systems Auditor (CISA) • Certified in Risk and Information Systems Control (CRISC)

• Certified Information Systems Security Professional (CISSP) • Certified Cloud Security Professional (CCSP) • Certified Cyber Forensics Professional (CCFP) • ISO 27001 Lead Implementer • ISO 27001 Lead Auditor

Want security start bij mensen!!