Infosecurity Magazine 02/2017 by Magenta Communicatie

INFO

SECURITY MAGAZINE

JAARGANG 16 - MEI 2017 - WWW.INFOSECURITYMAGAZINE.NL

CONGRES IDENTITY & ACCESS MANAGEMENT

IK BEN GEHACKT: WAT NU?

LAAT DE AANDACHT VOOR IDENTITEITS- EN TOEGANGSBEHEER

HET BELANG EN DE NOODZAAK VAN REPORTING

NIET VERSLAPPEN

EDITORIAL: ROBBERT HOEFFNAGEL

COLOFON Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@fenceworks.nl.

ICT en Security Trainingen

NIEUW! Privacy DPO-Ready trainingen

Uitgever Jos Raaphorst 06 - 34 73 54 24 jos@fenceworks.nl twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 robbert@fenceworks.nl twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel Advertentie-exploitatie Mike de Jong 06 - 10 82 59 93 mike@fenceworks.nl Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk CHAPO nv

TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiliging- en cybersecurity trainingen. Security professionals kunnen bij TSTC terecht voor bijna vijftig security trainingen op zowel technisch als tactisch- strategisch gebied. Naast alle bekende internationaal erkende titels is het ook mogelijk diepgang te zoeken in actuele security thema’s.

www.tstc.nl

2 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

Top 10 Security trainingen CEH • OSCP • CCSP • CCFP • CISSP • CJCISO • CRISC Privacy CIPP/E-CIPM • CISM • ISO 27001/27005/3100

Recognition for Best ATC’s and CEI’s

of t h e Ye a ATC r

Instructor

ident’s Achievemen Pres Award t

2016

TSTC Accredited Training Center of the Year 2016

Circle of Excellence Instructor 2016

Want security start bij mensen!!

Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 info@fenceworks.nl © 2017 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.

Meer informatie: www.infosecuritymagazine.nl

Over draaien freesbanken Vraag een gemiddelde CISO of IT-professional naar de programmeertalen en de protocollen die gebruikt worden op de werkvloer van fabrieken en productieafdelingen en de kans is erg groot dat hij geen idee heeft waar u het over heeft.

En dat is een groot probleem! Want steeds vaker zien we dat productiemachines besmet raken via - zeg maar - kantoorautomatisering. Terwijl we omgekeerd kunnen constateren dat soms (vaak?) sterk verouderde industriële software een gemakkelijke prooi is voor cybercriminelen. Er zal nog heel wat tijd en energie gestoken moeten worden in het opleiden van security-specialisten om dit probleem aan te pakken. Om trouwens nog maar te zwijgen van de inspanningen die de ontwikkelaars van industriële software zullen moeten leveren om hun producten (eindelijk) op orde te krijgen. Als er ergens een kloof heerst, dan is het wel tussen de ontwikkelaars en beheerders van industriële software en specialisten op het gebied van security. Om te helpen die kenniskloof te dichten lanceert Infosecurity Magazine in samenwerking met ons zuster-mediaplatform Vision & Robotics (www.visionenrobotics.nl) een special over het zo langzamerhand erg actuele thema ‘Security4Industry’. In deze special besteden we volop aandacht aan het beveiligen van industriële systemen. Met andere woorden: SCADA, CNC, MES, MRP en dergelijke. Maar ook de Internet of Things (IoT) netwerken die met de dag populairder lijken te worden. Beschermen dus. Maar tegen wat dan precies? Dat gaan we u uitleggen in deze spe-

cial. Want virussen doen meer dan alleen uw administratieve systemen besmetten. Waardoor uw administratieve netwerken plotsklaps open liggen voor cybercriminelen. Want via de netwerken die zich aan de kantoorzijde van uw organisatie bevinden, zijn ook machines die bestuurd worden op basis van het stokoude maar nog immer populaire Windows CE en dergelijke bereikbaar geworden voor cybercriminelen. Het hangt allemaal met elkaar samen, vrees ik. Centraal in deze special staat een onderzoek van Pb7 Research naar de stand van zaken op het gebied van industrial cybersecurity. Daarnaast besteden we onder andere aandacht aan praktijkcases en publiceren we een aantal blogs en columns van zowel onderzoekers als specialisten uit de praktijk. Het is een wereld waar de meeste security-specialisten - zeg maar: u als onze lezer - maar weinig aandacht aan besteden. In onze ogen is dat niet terecht. Want kantoorautomatisering en industriële automatisering raken steeds meer met elkaar verweven. Een gat aan de ene kant legt de netwerken en de systemen aan de andere kant volledig open. Tijd voor actie. Te beginnen met het lezen van deze special. ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 3

Inhoud

INFOSECURITY NUMMER 02 - MEI 2017 - JAARGANG 16

Laat de aandacht voor identiteitsen toegangsbeheer niet verslappen

Als op dit moment ergens gebruiksvriendelijkheid en zorgvuldigheid met elkaar botsen, is het op het gebied van identiteitsen toegangsbeheer. Een eenvoudig te onthouden wachtwoord is een eenvoudig te raden wachtwoord. Bij de belastingdienst is het weer zo moeilijk om een wachtwoord te maken dat voldoet aan alle eisen die worden gesteld, dat je na twaalf mislukte pogingen uiteindelijk maar met je DigiD inlogt. Het wachtwoord, in ieder geval als enig authenticatiemiddel, lijkt zijn langste tijd dan ook wel te hebben gehad en wordt steeds vaker vervangen door multifactor authenticatie. Wat weer niet altijd bijdraagt aan de gebruiksvriendelijkheid.

PRINTERS REGELMATIG OVER HET HOOFD GEZIEN IN SECURITY-AANPAK

10 Congres Identity & Access Management 12 Wachtwoordloze authenticatie tot een realiteit maken 14 De identiteit drijft de beveiliging 16 Ik ben gehackt: wat nu?

Het SANS Institute heeft de laatste versie van zijn jaarlijkse onderzoeksrapport over endpoint security gepubliceerd. De vierde editie, ‘Next-Gen Endpoint Risks and Protections’ getiteld, wijst erop dat de meest gerapporteerde aanvalsvormen zijn gericht op de eindgebruiker in plaats van technologie. Meer dan de helft (53%) van de respondenten zei de afgelopen 24 maanden te maken hebben gehad met inbreuken op de beveiliging van endpoints. In 2016 vertegenwoordigden desktops en laptops van werkgevers de overgrote meerderheid van alle gehackte endpoints.

De afgelopen jaren heeft informatiebeveiliging zichzelf heruitgevonden als cyber security. De aandacht is verschoven van de interne bedreiging en het handwerk naar de externe en geautomatiseerde bedreiging, al dan niet door een staat ondersteunt. De kernbegrippen daarvan, zoals Cyber Kill Chain, Indicators of Compromise en Advanced Persistent Threat, hebben Identity en Access Management nog niet bereikt.

18 Fortinet maakt de beveiliging van de campus van TU Delft toekomstvast 21 Vier sectoren zijn het doelwit van 77% van alle ransomware 22 Het belang en de noodzaak van reporting 24 ‘Er is duidelijk behoefte aan puur Nederlandse securityspecialist’ 26 Hoe RASP en gedragsbiometrie cruciaal worden voor mobiele beveiliging 29 Haagse Security Delta vertoont stevige groei 33 Cyber Security Raad: ‘Bedrijven doen te weinig aan digitale veiligheid’ 37 Bij één op de vijf organisaties is in 2016 meer dan vijf keer digitaal ingebroken 38 Eerste Nederlandse Cyberwerkplaats opent deuren in Rotterdam 40 Stappenplan van AP bereidt organisaties voor op AVG 42 Legal Look 4 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

KASPERSKY LAB PRESENTEERT CYBERSECURITYOPLOSSING VOOR INDUSTRIËLE SYSTEMEN INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 5

IAM

Laat de aandacht voor identiteitsen toegangsbeheer niet verslappen Als op dit moment ergens gebruiksvriendelijkheid en zorgvuldigheid met elkaar botsen, is het op het gebied van identiteitsen toegangsbeheer. Een eenvoudig te onthouden wachtwoord is een eenvoudig te raden wachtwoord. Bij de belastingdienst is het weer zo moeilijk om een wachtwoord te maken dat voldoet aan alle eisen die worden gesteld, dat je na twaalf mislukte pogingen uiteindelijk maar met je DigiD inlogt. Het wachtwoord, in ieder geval als enig authenticatiemiddel, lijkt zijn langste tijd dan ook wel te hebben gehad en wordt steeds vaker vervangen door multifactor authenticatie. Wat weer niet altijd bijdraagt aan de gebruiksvriendelijkheid. 6 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

De tijd dat je alleen een wachtwoord voor het LAN nodig had, staat me nog helder voor de geest, maar ligt inmiddels ver achter ons. Zakelijke gebruikers worden omringd door grote aantallen toepassingen en databases, vanuit de cloud en vanaf het bedrijfsnetwerk, die ze via verschillende apparaten proberen te gebruiken. Authenticatie dient dus al snel op verschillende platforms plaats te kunnen vinden, waarbij niet per se dezelfde autorisaties horen. Om het nog complexer te maken, laten veel organisaties niet alleen werknemers, maar ook klanten en leveranciers toe tot bepaalde toepassingen. Ook daarbij is het belangrijk dat een klant bijvoorbeeld kan aantonen wie hij is. De impact van de cloud op identiteitsen toegangsbeheer bij Nederlandse or-

ganisaties wordt duidelijk, als we kijken naar hoe Nederlandse organisaties veilig cloudgebruik proberen te waarborgen. In 2016 zagen we in de Nationale IT-Security Monitor dat in vergelijking met 2015 de maatregelen op een aantal punten werden aangescherpt, vooral voor wat betreft technische maatregelen. Identiteitsbeheer kwam hierbij bovendrijven als de meest voorkomende maatregel. En daarbij gaat het niet om het gemak van de gebruiker. Wat SSO betreft, zien we dan ook geen duidelijke toename. Dat betekent overigens niet dat er geen aandacht voor de gebrui-

ker is. Waar in 2015 nog maar 17% van de Nederlandse organisaties duidelijke richtlijnen voor gebruikers van mobiele apparatuur had opgesteld voor wat

‘Zonder snelle toegang vertraagt uw organisatie, zonder toegang valt uw organisatie stil’

betreft de keuze van veilige wachtwoorden, was dat percentage tot 30% gegroeid in het afgelopen jaar. Naast de impact van mobiliteit en de cloud, zien we dat veel organisaties in het Internet der Dingen gaan investeren. Deze ‘dingen’ hebben ook toegang nodig. Bij veel organisaties zullen er al snel meer ‘dingen’ dan personen zich gaan melden. Het wordt tijd dat identiteitsen toegangsbeheer accepteert dat zowel personen als dingen en alles wat daar tussenin zit, bijvoorbeeld services, entiteiten zijn waar rekening mee

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 7

IAM

‘Wat betekent het eigenlijk als ‘dingen’ met enige intelligentie toegang vragen?’ vervolgplannen. 17% van de IT-beveiligers zegt dat ze een afname van identiteitsen toegangsbeheerinvesteringen verwachten, terwijl 24% een toename verwacht. Dat lijkt op het eerste gezicht positief, maar op de meeste andere securitygebieden, wordt veel vaker groei verwacht. De enige duidelijke uitzondering hierop is de zorgsector, waar maar liefst 41% een groei voorziet in identiteitsen toegangsbeheer bestedingen.

Laat de aandacht niet verslappen moet worden gehouden. En waar dus een totaalvisie omheen ontwikkeld dient te worden. Wat dat betreft, is er voor de meeste organisaties zeker nog een lange weg te gaan.

Aandacht voor identiteitsen toegangsbeheer Op het gebied van identiteitsen toegangsbeheer zien we dat veel organisaties bezig zijn met twee zijden van dezelfde medaille: het medewerkersbewustzijn en, op een meer technisch niveau, identiteitsen toegangsbeheer. Beide zijn top-3 securitythema’s voor organisaties binnen Nederland. Wat opvalt is dat de aandacht voor identiteitsen toegangsbeheer niet echt meer lijkt toe te nemen, terwijl er wel veel meer aandacht voor de rol van de gebruiker in het geheel is. Dat beeld wordt versterkt als we kijken naar de investeringsprioriteiten van IT-beveiligers. We zien dat 38% van de Nederlandse IT-beveiligers aangeeft hoge prioriteit te leggen bij investeringen in identiteitsen toegangsbeheer. Met de aandacht voor het onderwerp lijkt dus op het eerste gezicht weinig mis te zijn. Toch is er een punt van aandacht. Nederlandse organisaties lijken een beetje moe te worden van investeringen op dit gebied. Veel organisaties lijken projecten op dit vlak aan het afronden te zijn en hebben geen concrete 8 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

Identiteits- en toegangsbeheer lijkt de afgelopen tijd over voldoende aandacht te hebben beschikt. Maar het lijkt er ook op dat de aandacht dreigt af te zwakken. Toch is het belangrijk om na te denken over de veranderingen waar u als organisatie de komende jaren mee te

maken krijgt. Heeft u al zicht op de plannen van uw organisatie met het Internet der Dingen en zit security daar wel dicht genoeg bovenop? Wat betekent het eigenlijk als ‘dingen’ met enige intelligentie toegang vragen? En hoe complex is het om het overzicht te houden als de organisatie zich in de multicloud begeeft? Wordt het niet ook tijd om op zoek te gaan naar wat analytische toepassingen identiteitsen toegangsbeheer te bieden hebben? Er zijn meer dan genoeg vragen waar u nog een antwoord

TECHNISCH INFORMATION SECURITY OFFICER 1 FTE - vacaturenummer 17049

op zal moeten zoeken. Vergeet daarbij in ieder geval niet dat identiteitsen toegangsbeheer bestaat om deuren te openen voor geautoriseerde entiteiten. Deze entiteiten gebruiken de toegang om productief te zijn en toegang te krijgen tot data waarmee ze onderbouwde beslissingen kunnen nemen. Zonder snelle toegang vertraagt uw organisatie, zonder toegang valt uw organisatie stil. PETER VERMEULEN is Directeur bij Pb7 Research

HOE VER KIJK JIJ?

De Vrije Universiteit Amsterdam (VU) is een innovatieve en groeiende universiteit. IT-voorzieningen zijn essentieel voor de uitvoering van onderwijs en onderzoek. IT ondersteunt onderzoekers, docenten en studenten bij het uitvoeren van hun kerntaken. Daarbij volgen we de laatste ontwikkelingen op IT-gebied en kijken we bij de ontwikkeling van onze dienstverlening nadrukkelijk naar de toekomst. Werken bij IT betekent opereren in een complex, vaak hectisch en uitdagend speelveld. Bij ons krijg je de ruimte om verantwoordelijkheid te nemen. We vinden het belangrijk om van elkaar te leren, altijd met de focus op resultaat. De Technisch Information Security Officer zal onderdeel uitmaken van het Security Operations Center (SOC). Het SOC is dé informatiebeveiliging-partner voor de VU en verzorgt risicoanalyses, incidentmanagement, CERT werkzaamheden, monitoring, training en evaluatie. Initieert en bestuurt informatiebeveiliging- en bewustwordingsprojecten. Faciliteert het Virtuele CERT bij Crisis en grote calamiteiten. Spreekt deze functie je aan? Kijk dan voor een uitgebreide vacaturetekst op WWW.WERKENBIJDEVU.NL

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 9

IAM

CONGRES IDENTITY & ACCESS MANAGEMENT

‘Bijna niemand

hoeft echt te weten hoe je eigenlijk heet behalve mensen die je identiteit willen stelen’

Marco Hendriks Information Risk Manager bij ING ‘Het IAM congres is een goede manier om up-to-date te blijven over de wereld van IAM, zeker omdat er gesproken gaat worden over hot topics zoals biometrie.’

Digitale transformatie heeft impact op de Identity & Access Management oplossingen die organisaties gebruiken. Meer dan ooit is een goede IAM-oplossing de basis voor de juiste balans tussen gebruiksvriendelijkheid, compliance, veiligheid en kostenbesparingen. Het platform om digitale diensten te beveiligen IAM zorgt ervoor dat de juiste mensen toegang krijgen tot de juiste middelen op het juiste moment om de juiste redenen. Een goede IAM oplossing is gebruiksvriendelijk, compliant, veilig en levert kostenbesparingen op. De digitale transformatie, die als doel heeft om toegevoegde waarde te creëren voor zowel de interne als externe klanten, heeft impact op de Identity & Access Management oplossingen die organisaties gebruiken.

Antwoord op vragen

Barry Dukker Sr. Innovatie manager bij Ministerie van Defensie ‘Krijg tijdens het IAM congres inzichten in zaken die ook voor jouw organisatie relevant zouden kunnen zijn en mogelijk in gang gezet zouden moeten worden.’

10 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

Het congres Identity & Access Management 2017 biedt een overzicht van alle ontwikkelingen op het gebied van IAM. De dag inspireert deelnemers om (verder) aan de slag te gaan met IAM. Bovendien wordt ingegaan op vragen als: wat is een goede fundering voor IAM, waar moet je rekening mee houden bij het inrichten van IAM-processen, wat zijn nieuwe mogelijkheden? Hoe ga ik om met klant identiteiten, welke innovaties zijn er, hoe ga ik om met IOT en nog veel meer. Deelnemers hebben aan het einde van de dag bovendien inzicht in de flexibiliteit en winstgevendheid van een goede IAM-oplossing.

IAM in het digitale tijdperk Welke sprekers kunt u verwachten? João Vasco, senior manager identity & access management geeft een keynote lezing over de resultaten uit het Europese onderzoek ‘Identity and Access Management (IAM) in the Digital Age’.

Voor dit onderzoek werden Informatieen Security-managers uit heel Europa gevraagd over hoe zij hun organisatie voorbereiden op de digitale transformatie en hoe IAM-oplossingen deze uitdaging beheersbaar kunnen maken.

Keynotespreker David Birch Een andere keynotespreker is David Birch. Voor wie hem niet kent, David Birch is een internationaal erkend specialist op het gebied van digitale identiteit en elektronisch geld. Tijdens een TEDtalk sprak hij onder andere over een veiligere manier voor persoonlijke identificatie, waarbij gebruik wordt gemaakt van losse onderdelen en waar je vrijwel nooit je echte naam hoeft te gebruiken. “Een barkeeper moet weten hoe oud je

‘Bij de keuze voor een goed IAM-platform zijn praktijkervaringen van groot belang’ bent, een winkelier heeft je PIN-code nodig, maar bijna niemand hoeft echt te weten hoe je eigenlijk heet - behalve mensen die je identiteit willen stelen”, zo stelt hij. David Birch staat net als Bill Gates en Richard Branson in de top 10 Twitter accounts die gevolgd worden door innovators (PR Daily). Verder staat hij in de wereldwijde top 15 favoriete bronnen voor businessinformatie (Wired Magazine).

Ontwerp, implementatie en beheer IAM-oplossing Bij de keuze voor een goed IAM-platform zijn praktijkervaringen van groot belang. Daarom is er tijdens het Identity & Access Management congres ruim aandacht voor ervaringen van onder meer het RDW en de Universiteit Utrecht. Binnen de Universiteit Utrecht (UU) is een goede, veilige en accurate IAM-oplossing een noodzaak. Jaarlijks schrijven duizenden nieuwe studenten zich in, wisselen van studie of worden student-assistent. Daarnaast wijzigt ook het medewerkersbestand continu en kent de UU veel gasten. Iedereen moet op maat worden bediend met een steeds verdergaande elektronische dienstverlening. Het project is inmiddels ‘live’ gegaan. Tijdens haar lezing deelt Hanke Niestern, Teamlead Identity & Access Management van de Universiteit Utrecht, de ervaring van deze IAM-implementatie. Zij vertelt over de gebruikerservaringen, technische mogelijkheden, de voor- en de nadelen en het succes van dit moment. Tenslotte geeft Hanke een korte opsomming van de plannen van de UU voor de nabije toekomst, de mogelijkheden en de planning met nieuwe technologieën.

Neem deel aan het congres Identity & Access Management Bent u bezig met de keuze voor een IAM-platform, digitale transformatie of wilt u uw IAM processen verder optimaliseren. Het congres Identity & Access Management vindt plaats op 18 mei in de Midden Nederland Hallen in Barneveld. Eindgebruikers kunnen het congres kosteloos bezoeken. Voor meer informatie over het congres, het programma en de aanmeldmogelijkheden kijk op iam.heliview.nl.

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 11

AUTHENTICATIE

Wachtwoordloze

authenticatie tot een realiteit maken In 2016 ging bijna twee derde van de beveiligingsincidenten volgens Verizon’s 2016 Data Breach Investigations Report gepaard met het gebruik van standaard, zwakke of gestolen inloggegevens. Zelfs de sterkste en meest complexe wachtwoorden zullen niet voldoende zijn wanneer zij worden gecompromitteerd. Het valt niet te ontkennen dat we af moeten van onze afhankelijkheid van het wachtwoord als primair middel voor authenticatie - maar hoe gaan we daar komen? Het wachtwoord mag dan niet de wortel van alle kwaad zijn, maar het is vandaag de dag onmiskenbaar de oorzaak van vele ernstige problemen voor organisaties. De top twee nadelen alleen al zijn voldoende reden om het wachtwoord af te schaffen: het ernstige risico van beveiligingslekken en de hoge kosten. Organisaties proberen vaak dit risico te beperken door het implementeren van een sterkere wachtwoord complexiteit en het vaker moet wij12 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

zigen van wachtwoorden. Helaas, deze benadering veroorzaakt veel meer een toename van de helpdeskkosten en de frustratie bij de gebruiker dan het doet om de veiligheid daadwerkelijk te verbeteren. Proberen om de wachtwoorden robuuster te maken door toevoeging van een tweede factor, zoals op kennis gebaseerde antwoorden (KBAs), eenmalige wachtwoorden via tekst/SMS (OTPs) en hardware tokens, kan een aanzienlijke verhoging van de lasten voor de gebruikers en je budget betekenen, maar kan niet de beveiliging leveren die nodig is tegen moderne cyberdreigingen.

2-factor authenticatie De algemene consensus lijkt te zijn dat 2-factor authenticatie het antwoord is op onze authenticatie behoeften, of we nu consumenten sites in ons persoonlijke leven bezoeken of ons aanmelden bij enterprise-infrastructuur en applicaties op het werk. Maar is 2-factor authenticatie echt genoeg? Er zijn goed gedocumenteerde hacks in omloop met beschrijvingen van veel populaire 2-factor methoden

gevoelig voor onderschepping. De kern van de zaak is dat een tweede factor op zich je voor een deel zal beschermen, maar niet altijd. Als 2-factor authenticatie al gebroken is, waarom haasten organisaties zich nog steeds naar een gebroken beveiligingsmodel? Misschien is het een gevolg van de perceptie dat alles wat we bovenop gebruikersnaam en wachtwoord doen een goede maatregel is. Maar we kunnen het beter doen. 2-factor authenticatie uitdagingen dragen bij aan frustratie bij gebruikers en verslechtering van de gebruikersbeleving. Dit leidt tot pogingen om de ingevoerde beveiligingsmaatregelen te omzeilen, wat resulteert in een oplossing die slechts een ergernis is en vaak niet meer veilig is. Het plaatsen van 2-factor authenticatie voor iedere toepassing is een enorme overhead, niet alleen voor de eindgebruiker maar ook voor de beheerders en applicatie teams belast met het configureren van systemen.

Adaptieve authenticatie oplossingen We moeten aandringen op oplossingen die van nature niet statisch zijn, die zich herpositioneren op basis van informatie gepresenteerd als onderdeel van een authenticatie-workflow. Denk hiervoor aan adaptieve authenticatie oplossingen die niet alleen in staat zijn om het verloop van een authenticatie poging te veranderen, maar ook verificatiemethoden ondersteunen met behulp van realtime contextuele informatie. De mogelijkheid van op elkaar gestapelde intelligentie om niet alleen dynamische beslissingen aan te sturen,

maar uiteindelijk ook te zorgen voor een risicoscore en audit trail, biedt een krachtige oplossing die zich aanpast overeenkomstig de context van de gebruiker die zich wil aanmelden. Lagen zoals apparaat herkenning, IP reputatie, geo-location, geo-velocity, geo-fencing, groepen, rechten, toegangshistorie en biometrisch gedrag zorgen dat een dwingende risicoscore het authenticatie verificatieproces aanstuurt. Deze lagen helpen een organisatie om een strategische diepgaande defensieve authenticatie-oplossing te bouwen die niet alleen de hackers buiten houdt en de 2-factor authenticatie methoden beschermt, maar ook de gebruikersbeleving verbetert en ergernis wegneemt. Met behulp van dezelfde vergaarde informatie tijdens de Pre-Authenticatie Risicoanalyse kunnen we nu een gebruiker gecontroleerde toegang geven zonder dat er extra authenticatie uitdagingen vereist zijn. De gebruiker zal alleen worden bevraagd wanneer dat nodig is, indien een risico-indicator dat voorschrijft. Dit stelt ons in staat om aan het gebroken model van alleen 2-factor authenticatie te ontsnappen naar een model dat onzichtbaar en continue authenticatie biedt.

lutie, en veel meer. Het IP-adres van de gebruiker wordt onderzocht om te bepalen of het wordt geassocieerd met hackers of cybercriminelen, afwijkend gedrag of zwarte lijsten van IP-adressen. De IdP weet waar gebruikers zich bevinden wanneer zij zich aanmelden en kan aanvallen dwarsbomen op basis van locatie of blokkeren wanneer iemand in Amsterdam werkt er binnen 10 minuten vanuit Parijs geprobeerd wordt in te loggen. Verzoeken om toegang kunnen verschillend behandeld worden afhankelijk van een bepaalde geografische barrière. Bovendien kunnen toegangsverzoeken van telefoonnummers worden geblokkeerd, vanuit bepaalde telecomoperators, per telefoontype en kan het aantal eenmalige wachtwoorden toegestaan in een bepaald tijdsbestek worden beperkt. De IdP is tevens in staat om toegangsverzoeken anders te behandelen van gebruikers met rechten op gevoelige informatie of wanneer het gedrag van de gebruiker afwijkt van het normale. De ultieme laag in beveiliging is biometrisch gedrag, dat een sjabloon creëert op basis van hoe een gebruiker werkt met zijn apparaat waaronder toetsaanslagen en muisbewegingen. De sleutel is om in staat te zijn niet alleen te reageren op cyberdreigingen wanneer ze veranderen en zich aanpassen (nieuwe lagen), maar ook aan de eisen van de gebruiker, aangezien zij in de tijd ook veranderen. De trend is een daadwerkelijk flexibele authenticatie oplossing waarmee organisaties vóór blijven op de hackers zonder te worden opgesloten in een gebroken 2-factor authenticatie model.

SecureAuth Identity Provider De SecureAuth Identity Provider oplossing biedt een dergelijke multi-gelaagde benadering. Op basis van apparaat instellingen kan de IdP een uniek apparaat profiel aanmaken voor elke gebruiker, met behulp van instellingen zoals web browser, taal, geïnstalleerde lettertypen, browser plugins, IP-adres, schermreso-

Reinier Landsman, Managing Partner bij Cert2Connect

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 13

IDENTITY DRIVEN SECURITY

14 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

ADVERTORIAL

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 15

IAM

IAM EN CYBER RESILIENCE

Ik ben gehackt: wat nu? De afgelopen jaren heeft informatiebeveiliging zichzelf heruitgevonden als cyber security. De aandacht is verschoven van de interne bedreiging en het handwerk naar de externe en geautomatiseerde bedreiging, al dan niet door een staat ondersteunt. De kernbegrippen daarvan, zoals Cyber Kill Chain, Indicators of Compromise en Advanced Persistent Threat, hebben Identity en Access Management nog niet bereikt. Dit is geheel onterecht. Mits goed ingericht speelt IAM zelfs een hoofdrol in cyber security. Zoals Verizon in het 2016 DBIR-rapport vaststelde, spelen gekaapte accounts de hoofdrol in 63% van alle succesvolle aanvallen. IAM is niet alleen cruciaal in de preventie van aanvallen zoals de boeken ons leren, maar moet ook een hoofdrol spelen in de afhandeling van hacks. Dit inzicht heeft tot een IAM Resilience project geleid bij een klant, waarvan we in dit artikel de belangrijkste ervaringen delen.

Cyber Resilience Het vermogen goed om te gaan met hacks valt onder de brede naam ‘Cyber Resilience’. Als we IAM inrichten om daarin haar rol te spelen, wat moeten we dan meer kunnen dan nu? Het beste hulpmiddel daarvoor op dit moment is de Cyber Kill Chain. De Cyber Kill Chain toont de verschillende fases van een hack, tot en met het creëren van de Persistence, de vaak vergeten P van APT. Dit valt onder Command & Control, waar de aanvaller achterdeuren maakt om op een opportuun moment terug te keren. Helaas houdt de Cyber Kill Chain te

'Mits goed ingericht speelt IAM een hoofdrol in cyber security'

vroeg op. Het belangrijkste voor de business ontbreekt, namelijk het moment waarop de omgeving weer veilig is om te gebruiken. Zeg maar het ‘All Clear’ moment. De omgeving is pas veilig om te gebruiken als er geen achterdeuren meer zijn - en indachtig het DBIR-rapport, is dat vooral als er geen gekaapte accounts meer zijn. Natuurlijk zijn er andere soorten achterdeuren, zoals vervalste certificaten (zoals bij Snowden of de JSF-hack van de APT-1 groep), die ook opgeruimd moeten worden. Of een logic bomb, een stukje malware dat na enige tijd wakker wordt en de aanvaller weer binnen laat.

‘Achterstevoren’ workshop Om inzicht ten behoeve van Cyber Resilience te creëren organiseerde Traxion een ‘achterstevoren’ workshop, waarbij we van een aantal gangbare achterdeuren vaststelden welke capabilities de organisatie moet hebben om het All Clear moment te kunnen bepalen. Bijvoorbeeld: als je alle wachtwoorden van REST-API’s (die ‘interactive logon’ rechten hebben) veranderd hebt, dan kan hier geen achterdeur meer zijn. En zo zijn er tientallen acties, veelal binnen het IAM-domein. Voor alle scenario’s worden nu runbooks opgesteld, voor het geval dat…. Als geheel onverwachte maar zeer welkome bijwerking blijkt de exercitie een brug te slaan tussen cyber security en het IAM-team. IAM en Cyber Resilience: een echte aanrader. Meer informatie: www.traxion.com

16 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

Peter Rietveld van Traxion INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 17

PRAKTIJK

Mehrdad Rowshanbin: “Fortinet maakt gebruik van de informatie die FortiGuard Labs vergaart over zeroday- en opkomende bedreigingen. Zo bieden de firewalls dus altijd de optimale beveiliging.”

Fortinet maakt de beveiliging van de campus van

TU Delft

toekomstvast

Met circa 6.000 medewerkers biedt de TU Delft 16 bacheloropleidingen en meer dan 30 masteropleidingen aan zo’n 22.000 studenten, verdeeld over 8 faculteiten in 34 gebouwen. Daarmee is de TU Delft niet alleen de oudste, maar ook de grootste technische universiteit van Nederland. “We hebben de omvang van een kleine stad”, vertelt Mehrdad Rowshanbin, hoofd netwerk & telefonie bij TU Delft. “De bewoners daarvan wisselen continu en lopen qua technologische kennis en eisen voorop. Studenten op de campus werken bij voorkeur met ICT-apparatuur van eigen keuze en er is een hoge mate van digitale samenwerking. In het datacenter 18 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

hebben we enkele duizenden servers voor onderwijs- en onderzoekdoeleinden. Er is altijd een enorm dataverkeer tussen de gebruikers op de campus en de servers in het datacenter. Een optimale bescherming is essentieel en blijft een grote uitdaging.”

Firewall was de bottleneck Door de enorme dynamiek en snelle technologische ontwikkelingen op securitygebied is het belangrijk voor de netwerkafdeling van de TU Delft om bij de keuze voor de firewall rekening te houden met alle mogelijke bedreigingen van nu en de toekomst. Rowshanbin: “De firewalls die we vijf jaar geleden installeerden boden aanvankelijk voldoende capaciteit voor de vereiste prestaties en functionaliteit.

Mehrdad Rowshanbin, hoofd netwerk & telefonie bij TU Delft

De machines konden de groei in apparaten, applicaties en gebruikers goed aan, maar liepen uiteindelijk toch aan tegen prestatieproblemen.” Dat probleem werd merkbaar toen voor een bepaalde groep gebruikers de doorvoersnelheid van het netwerk, ondanks een capaciteit van 10 Gbps, op sommige momenten beperkt werd. “Er zat dus een bottleneck in het netwerk en na grondig onderzoek bleek deze veroorzaakt te worden door de firewall”, vertelt Rowshanbin. “We voorzagen dat dit steeds vaker voor zou komen en, hoewel de situatie nog werkbaar was, wilden we de firewall op tijd vervangen.”

Goede voorbereiding is het halve werk Voordat de TU Delft overgaat tot de

aanschaf van nieuwe ICT-oplossingen, doorloopt de ICT-afdeling altijd standaard een aantal stappen. Dit begint bij het maken van een high-level design (blauwdruk) op basis van een programma van eisen. “Voor de hardware keuze zijn we grondig te werk gegaan”, verzekert Rowshanbin. “We beoordeelden de oplossingen van alle bekende securityleveranciers en bekeken hoe zij scoorden volgens onafhankelijke onderzoeksbedrijven. Daarnaast namen we de testresultaten van NSS Labs in de beoordeling mee. Vervolgens toetsten we de aangeboden oplossingen van de leveranciers op basis van het door ons opgestelde pakket van eisen en high-level design. Tijdens de ontwerpfase hebben we bewust voor de firewalls van twee leveranciers gekozen: een

voor de campusomgeving en een voor het datacenter. In ons ontwerp voor de campus stond de doorvoercapaciteit van de data centraal. De campus omvat de werkplekken van onze medewerkers, het netwerk voor de studenten en een deel van de servers van de onderzoekers. De hoeveelheid data die over het netwerk gaat is soms enorm. Daarnaast waren op de campus een aantal nieuwe functionaliteiten gewenst, zoals URL filtering, application control, user-based policy, et cetera. Daarom kozen we Fortinet voor het beveiligen van de campus. De Fortinet firewalls hebben niet alleen een goede prijs-kwaliteitverhouding, maar bieden ook ultrahoge doorvoersnelheden en beschikken over een geïntegreerde oplossing voor extra functionaliteiten.”

Fortinet firewalls zijn flexibel en voldoen aan de toekomstige eisen van het netwerk Voor de campusomgeving selecteerde de TU Delft twee FortiGate 3000D-BDL firewalls in een redundante opstelling en de rapportages van FortiAnalyzer. De FortiGate 3000-serie levert de hoogste prestaties die momenteel beschikbaar zijn in de markt in een compact formaat. De firewall heeft een doorvoersnelheid van ruim 300 Gbps met minimale vertraging. De modellen in de FortiGate 3000-reeks zijn uitermate schaalbaar dankzij de ondersteuning van 40GbEen 100GbE-verbindingen. “De FortiGates leveren indrukwekkende prestaties en zorgen voor de optimale beveiliging van het netwerk”, aldus Rowshanbin. “De FortiGate 3000-BDL firewalls zijn bovendien flexibel genoeg om te vol-

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 19

PRAKTIJK

ONDERZOEK

Vier sectoren

zijn het doelwit van 77% van alle ransomware doen aan de toekomstige eisen van het netwerk.” FortiAnalyzer integreert logging, analyse en rapportage in één systeem. Hierdoor worden bedreigingen voor het netwerk snel ontdekt en kan men tijdig ingrijpen. Daarnaast verzamelt FortiAnalyzer informatie voor forensisch onderzoek en compliance. Voorheen kon de universiteit het verkeer alleen controleren tot en met de netwerklaag. “We wilden dat uitbreiden tot en met laag 7, de applicatielaag. Firewalls zien ook op applicatieniveau wat er gebeurt, en vanwege extra inspectiemogelijkheden moeten de firewalls dan veel krachtiger zijn. De Fortigate NG firewall biedt de mogelijkheid om bij elk datapakketje een diepe inspectie uit te voeren. Dit gebeurt zonder een merkbare performance verlies.” De extra rekenkracht van de firewalls was voor de TU Delft een grote zorg. “We wilden vooraf zeker weten dat het product optimaal bleef presteren als we alle featuresets inschakelden”, zegt

Rowshanbin. “Een testopstelling kan de werkelijkheid niet volledig nabootsen, dus we wilden de prestaties van de firewalls in de live-omgeving controleren. Fortinet staat achter zijn producten en twijfelt geen moment aan de prestaties daarvan. Het bedrijf was direct bereid om daaraan mee te werken.”

Voordelen nieuwe firewall direct zichtbaar Voor het live testen werkten de technici van TU Delft nauw samen met Fortinet consultants en de specialisten van Fortinet-partner Axians. Rowshanbin: “Zo wisten we de doorlooptijd te verkorten en de kans op fouten te verminderen. Alle policies, regels en instellingen werden overgezet, geconfigureerd of vernieuwd. Deze aanpak bood onze eigen specialisten de mogelijkheid om in praktijk kennis te maken met de nieuwe firewall. Dankzij Fortinet en Axians verliep de implementatie probleemloos en in vrij korte tijd. Binnen de vooraf afgesproken

20 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

drie maanden hebben we na goed resultaat besloten om van de praktijktest over te stappen naar daadwerkelijke vervanging van de firewall. Deze vervanging werd binnen enkele uren afgerond. Doordat we 80 procent van de tijd staken in de voorbereiding, was slechts 20 procent nodig voor de implementatie. Bij veel andere organisaties is dat andersom.” Al direct na het overzetten van de oude naar de nieuwe firewall waren er zichtbare verbeteringen in de snelheden van het netwerk, vervolgt Rowshanbin. “Dat was niet alleen te zien op metertjes, maar echt merkbaar voor gebruikers. Dat was een van de belangrijkste redenen om de firewall te vervangen en het voldeed helemaal aan onze verwachtingen. Het project was voor ons en de consultants van Fortinet en Axians erg interessant. Het was een spannend traject, maar uiteindelijk keek iedereen met blije gezichten naar elkaar.” De zoektocht naar flexibele firewalls kwam hiermee tot een mooi einde. Maar is de TU Delft ook goed beschermd tegen toekomstige bedreigingen? “De diensten van Fortinet zitten in de cloud en worden dus continu bijgewerkt”, aldus Rowshanbin. “Daarbij maakt Fortinet gebruik van de informatie die FortiGuard Labs vergaart over zero-day- en opkomende bedreigingen. Zo bieden de firewalls dus altijd de optimale beveiliging. Nu en in de toekomst.”

77% van alle ransomware is gericht op vier sectoren: zakelijke dienstverlening (28%), overheidssector (19%), zorgsector (15%) en retailsector (15%). Ransomware wordt vooral verspreid via phishingaanvallen, waarvan 38% wordt opgezet vanaf Nederlandse servers. Dit blijkt uit het 2017 Global Threat Intelligence Report (GTIR) van NTT Security, waarvoor het bedrijf data van verschillende bedrijven binnen NTT Group heeft onderzocht. In de media wordt veel aandacht besteed aan technische aanvallen waarbij nieuwe kwetsbaarheden worden misbruikt. NTT Security stelt dat bij veel cyberaanvallen echter gebruik wordt gemaakt van minder technische middelen om malware te verspreiden.

Malware verspreiden via phishingaanvallen Zo blijkt 73% van alle malware bij bedrijven te zijn binnengekomen via phishingaanvallen. Overheidsinstellingen (65%) en zakelijke dienstverleners (25%) lopen de grootste kans slachtoffer te worden van phishingaanvallen. Opvallend is ook dat 38% van de phishingaanvallen worden opgezet vanaf Nederlandse servers. Alleen vanaf Amerikaanse servers (41%) worden meer phishingaanvallen opgezet. Dit cijfer wil overigens niet zeggen dat uitzonderlijk veel Nederlanders zich bezig houden met cybercriminaliteit, maar is vooral een weerspiegeling van de grote hoeveelheid servers die in Nederland worden gehost. Daarnaast wijst NTT Security erop dat aanvallers op grote schaal met standaard inloggegevens proberen in te loggen op apparaten. Zo blijkt bij bijna 33% van

alle inlogpogingen op honeypots van NTT Security gebruik te zijn gemaakt van slechts 25 verschillende wachtwoorden. In 76% van de gevallen werd ingelogd door een wachtwoord waarmee het beruchte Mirai malware probeert in te loggen op Internet of Things (IoT) apparaten.

Slechts 6% van de cyberaanvallen is een DDoS-aanval DDoS-aanvallen komen relatief weinig voor. Wereldwijd is slechts 6% van alle cyberaanvallen een DDoS-aanval. Opvallend is wel dat in Australië maar liefst 23% van alle aanvallen een DDoS-aanval betreft. Azië volgt met 16%. Als we kijken naar alle cyberaanvallen blijkt de financiële sector het doelwit te zijn van de meeste cyberaanvallen; 14% van alle aanvallen wereldwijd is op deze sector gericht, gevolgd door de overheidssector (14%) en de maakindustrie (13%). De financiële sector staat in iedere regio wereldwijd in de top 3 met meest aangevallen sectoren. De maakindustrie staat in vijf van de zes regio’s wereldwijd in de top 3.

‘Bij veel cyberaanvallen wordt gebruik gemaakt van minder technische middelen om malware te verspreiden’

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 21

STRATEGIE

'60% van alle datadiefstal wordt veroorzaakt door insiders'

Het belang en de noodzaak van reporting Audit en reporting, je kan er deze dagen niet meer omheen. Zeker met de nieuwe General Data Protection Regulation (GDPR) die per 25 mei 2018 gehandhaafd gaat worden, wordt dit steeds belangrijker. Wat maakt dat dit van groot belang is? U kunt natuurlijk uw data zo goed mogelijk beveiligen maar helemaal waterdicht is het nooit. Daarom wilt u er op tijd bij zijn als er gekke acties gebeuren. Uw beheerder uit Amsterdam logt ineens midden in de nacht vanuit Bangladesh in, dat is opmerkelijk te noemen. Wellicht opmerkelijk genoeg om actie te ondernemen. Ook opmerkelijk is het als de telefoniste ineens bestanden gaat proberen te openen van Finance. Wie had waar en wanneer toegang toe, daar wilt u inzicht in kunnen hebben. U wilt gedrag kunnen analyseren. Het belang van reporting Een goede reporting is essentieel voor het naleven van de GDPR. Binnen 72 uur na een datalek moet u hiervan melding maken. Dit is niet nieuw, dat geldt 22 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

ook al voor de huidige meldplicht datalekken die we hebben. Maar met de Europese GDPR wordt naleven strikter en boetes hoger. Over de GDPR zelf is al genoeg geschreven, en als het goed is bent u hard bezig om uw bedrijf hiervoor klaar te stomen, daar gaan we het dus ook niet over hebben. Wel hoe je als bedrijf hier goed mee kan omgaan. Hoe weet u wie, waar en wanneer toegang toe had? En hoe zorgt u dat het ook de juiste personen zijn die toegang tot uw data hebben? Identity & Acces Management (IAM) is hierbij een belangrijk onderdeel. Beter gezegd een belangrijke basis. Met een ingerichte IAM oplossing krijgt u controle over alle gebruikers en hun toegangen. Door dit uit te breiden met functionaliteiten als Single Sign On, Multifactor Authenticatie en Privileged Access Management maakt u de beveiliging van uw data sterker en zo de kans op een datalek kleiner. Door aan deze oplossing een goede reporting toe te voegen zorgt u dat u ook snel een eventueel datalek kan detecteren. Want detectie is onmisbaar.

Aan de slag met reporting Er zijn verschillende manieren om hier mee aan de slag te gaan. Zoals gezegd zorg eerst voor een goede basis met een goed ingericht Identity & Access Management proces. Bouw uw omgeving zo veilig mogelijk. Dan het inrichten van de reporting mogelijkheden zelf. Begin daarbij met het vaststellen van de functionele eisen. Het is een inkoppertje maar helaas wordt hier nog te vaak de mist mee in gegaan.

jaar een hercertificeringproces te doorgaan met betrekking tot de uitgedeelde rollen en rechten. Een IAG oplossing houdt real-time bij wie, wanneer welke rollen en rechten heeft. Ook kan er een riskclassificatie gegeven worden aan bepaalde rollen. Denk hierbij aan rollen met betrekking tot beheerstaken of omgang met gevoelige informatie. De oplossingen geven heel eenvoudig per gebruiker of rol het risico van de toewijzing weer op basis van een van te voren ingestelde risico indeling van die rol of groep. Dit portal ondersteunt onder andere: risk-level driven hercertificering en intrekking van toegangsrechten, hercertificatie campagnes op basis van organisatie eenheden, functies of risicobeoordelingen, automatische deprovisioning na afloop van de hercertificering en auditbare loggings.

Session auditing Een andere technologie met goede reporting mogelijkheden gericht op de toekomst is Centrify. Met haar Server Suite biedt ze goede audit en reporting mogelijkheden. Deze oplossing biedt met session auditing de mogelijkheid om alle login sessies terug te kijken (gebaseerd op uw audit policy). Van elke login sessie wordt een gedetailleerde log

bijgehouden. Zo weet u precies wie wat gedaan heeft op welke server en wat de resultaten daarvan zijn. De data wordt geleverd in een veilige, gemakkelijk zoekbare geïndexeerde SQL Server database. Deze database is doorzoekbaar op een breed scala van criteria waaronder datum, tijd, server, failed event et cetera. Centrify registreert alle activiteiten van een privileged user inclusief scherm acties, events en metadata en levert een volledig beeld van de intenties en effecten. Inzichten waar IT Security Manager en Auditors veel aan kunnen hebben. Met als mooie toevoeging: op activiteiten in vooraf gedefinieerde mappen of specifieke commando’s kunnen realtime alerts gegenereerd worden waarvan u bijvoorbeeld een sms ontvangt. Zomaar twee technologieën met veel mogelijkheden. Maar ook open source technologieën behoren tot de mogelijkheid. Benieuwd naar de mogelijkheden voor u? We helpen u er graag bij! GEORG GRABNER IS MANAGING PARTNER VAN IONIT. IonIT is gespecialiseerd in Identity & Access Management, Cloud Enablement en Enterprise Mobility. Als technologie onafhankelijke dienstverlener automatiseert IonIT IT-processen zodat gebruikers op tijd de juiste en veilige toegang krijgen tot de toepassingen en diensten die zij nodig hebben en bedrijven het inzicht en controle hierover krijgen.

Controleren en hercertificeren Bij een groot aantal IAM oplossingen zit al een reporting tool inbegrepen. Neem bijvoorbeeld Microsoft en NetIQ, zij stellen basis reporting beschikbaar. Dit is niet altijd toereikend, een ondersteunende technologie kan dan helpen. Zo hebben wij goede ervaringen met Betasystems. Zij bieden een analytics technologie genaamd Garancy IAM suite. Deze kan onafhankelijk van elke IAM oplossing geïmplementeerd worden en direct gekoppeld worden aan een Active Directory. Het gaat hierbij dan om Identity Access Governance (IAG). Het controleren en hercertificeren van gebruikers toegangsrechten en rollen. Veel organisaties zijn verplicht elk INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 23

INTERVIEW steeds meer dat bedrijfsgegevens en de applicaties waarmee deze worden gegenereerd en bewerkt cruciale aspecten van hun bedrijfsvoering zijn.”

Nederlandse aanbieder Hoe ga je als middelgrote security-aanbieder met zo’n trend om? Bovendien speelt er nog een ontwikkeling. Steeds meer Nederlandse IT-bedrijven - ook in de wereld van de security - worden overgenomen door buitenlandse spelers. “In de markt horen we al geruime tijd signalen dat directies van middelgrote en grote ondernemingen dat toch een verontrustende ontwikkeling vinden. Een directeur die bewust gekozen heeft voor een bepaalde securitypartner stelt heel veel vertrouwen in zo’n onderneming. Als die dan plotsklaps overgenomen wordt door een buitenlandse firma, dan - zo merken wij - stelt men daar toch vraagtekens bij. Waar staan straks alle logbestanden eigenlijk? Beschikken we na die overname in Nederland nog wel over voldoende expertise om onze bedrijfsgegevens veilig en beschikbaar te houden? En vaak wordt ook duidelijk prijs gesteld op support in de Nederlandse taal. Maar is die er straks nog wel, als er vanuit één groot SOC misschien wel meerdere landen ondersteund worden?”

ERIK PLOEGMAKERS (KPN SECURITY SERVICES - LINKS) EN ERIK REMMELZWAAL (DEARBYTES):

‘Er is duidelijk behoefte aan

puur Nederlandse securityspecialist’

Op 5 januari van dit jaar maakte KPN bekend de aanbieder van managed security services DearBytes over te nemen. Nu - 5 maanden later - wordt duidelijk waarom beide bedrijven heel bewust voor deze strategie hebben gekozen. “We willen beide groeien en we zien dat er een duidelijke behoefte is aan een stevige en bovenal Nederlandse aanbieder van security-expertise.” Een gesprek met Erik Remmelzwaal, directeur bij DearBytes, en Erik Ploegmakers, Managing Director Security Services bij KPN.

24 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

Erik Remmelzwaal is al heel wat jaren verbonden aan DearBytes. Opgeleid als econoom kwam hij ooit als stagiair bij het bedrijf aan boord om een marktverkenning te doen. Hij is nooit meer weggegaan. In de loop van de jaren groeide hij door naar een managementfunctie. In 2011 was hij nauw betrokken bij de management buy-out van het bedrijf, dat zowel in Den Haag als in Beverwijk een vestiging heeft. “De afgelopen jaren zijn we flink gegroeid naar een omvang van richting de 100 medewerkers.”

Digitale infrastructuur

Veranderingen Dat was voor het management van DearBytes een moment om eens goed over de toekomst na te denken. “Zelfstandig verder blijven groeien was natuurlijk een optie. Daar is in ons marktsegment - de midmarket - zeker ruimte voor. Tegelijkertijd zien we de wereld ook veranderen. Security wordt steeds meer een strategisch onderwerp voor bedrijven en organisaties. Iedereen heeft het tegenwoordig over de impact van cybercriminaliteit, GDPR en vraagstukken als: waar staat mijn data eigenlijk? Maar eerlijk gezegd zagen we die verandering al veel eerder.” “Security verandert meer en meer van een technisch onderwerp in een thema waar de directie van een organisatie zich mee bezighoudt. Zij onderkennen

Erik Ploegmakers geeft leiding aan Security Services bij KPN. Daarvoor was hij werkzaam bij onder andere PwC, Netscout en Fox IT. Hij herkent zich heel duidelijk in de trends die zijn collega van DearBytes schetst. “KPN is van oudsher de aanbieder van de nationale digitale infrastructuur van Nederland. Dat begon natuurlijk met vaste lijnen, maar omvat inmiddels natuurlijk ook mobiele verbindingen, de vele connectiviteitsoplossingen die KPN voor zakelijke gebruikers ontwikkelt, het LoRa-netwerk voor Internet of Things-toepassingen, noem maar op. KPN heeft laten zien dat wij al die verbindingen op een veilige manier kunnen ontwikkelen en beheren. Er is dus heel veel expertise aanwezig op het gebied van security. Zo hebben we het grootste SOC van ons land en beschikken we over een team ethical hackers van wereldfaam.”

Enterprise en midmarket Net als DearBytes ziet natuurlijk ook KPN het belang van security steeds verder toenemen. “Logisch dat security binnen KPN als zeer belangrijk wordt gezien - om die digitale infrastructuur veilig te houden, maar ook omdat het een duidelijke groeimarkt is. Binnen de grootzakelijke markt zijn wij zelf al heel nadrukkelijk aanwezig als securityspecialist, maar dat is minder het geval in de midmarket. Dat is de markt van organisaties met 100 tot 3.000 medewerkers. In dit segment is behoefte aan betaalbare en kwalitatief hoogwaardige securitydiensten. Dat kun je als bedrijf dus eigenlijk alleen maar doen als je standaardiseert en security in de vorm van managed services aanbiedt.” “Waar KPN voor grootzakelijke klanten vooral maatwerkoplossingen op het gebied van security ontwikkelt, is DearBytes juist een specialist op het gebied van managed services. Ook al biedt men daar wel degelijk ook maatwerkopties bij, maar dat is niet de hoofdmoot van de dienstverlening.”

Niet vergroeien Inmiddels ligt de bekendmaking van de overname alweer 5 maanden achter ons. Hoe staat de integratie van beide organisaties er nu voor? Beide organisaties blijven grotendeels zelfstandig, licht Ploegmakers toe. “Het is zeker niet de bedoeling om met elkaar te vergroeien. Waar de afdeling Security Services van KPN zich richt op maatwerk en de grootzakelijke markt, is en blijft DearBytes heel nadrukkelijk gericht op de midmarket en grotendeels gestandaardiseerde managed services.” Toch zien Ploegmakers en Remmelzwaal wel degelijk kansen om gezamenlijk op te trekken. “Neem een middelgrote klant die nu bijvoorbeeld al een aantal zakelijke internetverbindingen van KPN afneemt of bijvoorbeeld digitale werkplekken. Dan is het voor zo’n directeur of ondernemer natuurlijk volstrekt logisch om naast dat soort diensten ook security bij ons onder te brengen. Net als KPN voor zo’n bedrijf uiteraard een prima keuze kan zijn om bijvoorbeeld cloudstorage of hostingdiensten te leveren.” VAN DE REDACTIE

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 25

MOBIELE BEVEILIGING

RASP en gedragsbiometrie Hoe

cruciaal worden voor mobiele beveiliging

Mobiele apps zijn met de opkomst van bankieren op de smartphones niet langer meer een leuk tijdverdrijf. Ze zijn deel gaan uitmaken van onze dagelijkse kernactiviteiten, waaronder geldzaken, die roepen om identiteitsbeheer en beveiliging. Steeds meer mensen maken zelfs exclusief gebruik van mobiele apparaten voor dit soort activiteiten. Dat maakt de apps voor cybercriminelen financieel interessant.

Consumenten in Europa zijn niet bepaald gewend om slachtoffer te worden van malware, laat staan bankenmalware die zich specifiek op smartphones richt. Helaas gebeurt dat steeds vaker, zoals beschreven in een recent artikel over hoe de Trojan BankBot zich richt op klanten van Nederlandse banken en wachtwoorden en pasinformatie buit maakt. De Trojan komt binnen via een op het eerste gezicht legitieme applicatie die lang via de Google Play Store beschikbaar was. Het is slechts één voorbeeld van hoe het ecosysteem voor mobiele apps misbruikt wordt door cybercriminelen met een financieel motief. Consumenten merken mobiele malware steeds vaker niet op en hebben meestal geen idee dat hun apparaat besmet is. Althans, totdat hun bankrekening of digitale portemonnee leeg wordt getrokken. Meestal leidt deze malware de gebruiker om naar een imitatie van ‘hun eigen’ app voor online bankieren, waar ze nietsvermoedend hun identiteit en wachtwoorden 26 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

prijsgeven. Eventuele SMS’jes die ter bevestiging binnenkomen, onderschept de malware eveneens. Dit is voor de meeste gebruikers in Westerse landen een nieuwe situatie. “Malware gericht op mobiel online bankieren heeft in het verleden vooral de klanten van Russische banken en portemonnee-ontwikkelaars gedupeerd, maar valt steeds vaker specifiek Europese en Amerikaanse consumenten aan”, waarschuwt Frederik Mennes, hoofd van de Security Competence Center van VASCO. “Deze malware probeert identiteiten of creditcardgegevens te stelen door nepvensters te tonen of SMS’jes te onderscheppen. De opkomst van malware gericht op mobiel online bankieren in Europa en de VS betekent dat banken hun applicaties moeten gaan beschermen met RASP.”

Maar wat is RASP? RASP staat voor Runtime Application Self-Protection en is een model dat de security direct in de app zelf

integreert, in plaats van als aparte laag over het besturingssysteem. Het probleem met zo’n aparte beveiligingslaag is namelijk dat als een crimineel erdoorheen komt, het hele apparaat en alle applicaties vrij spel zijn voor hem. Trojans werken omdat gebruikers - onbewust hun toestemming verlenen om bepaalde beheerdersacties uit te voeren. RASP-technologie gaat dit tegen door de security naadloos te koppelen aan de applicatie zelf. Het grijpt in bij vreemd gedrag en dwingt verdere authenticatie af. Omdat het modulair is en het geheel met de app kan worden geïntegreerd of als API aan de app kan worden gekoppeld, hoeft het niet specifiek voor elke app te worden ontwikkeld. Dat verkort de implementatie aanzienlijk.

Meerdere gevaren Een ander voordeel van RASP ten opzichte van meer traditionele security is dat het meerdere vormen van cyberdreigingen tegengaat. Dit omdat RASP naar afwijkingen in functioneel- en gebruikersgedrag kijkt in plaats van naar specifieke uitgevoerde code. Belangrijk, omdat criminelen steeds meer mogelijkheden hebben om informatie te stelen of controle over het apparaat te verkrijgen. Een geniepige vorm is de zogenaamde Man-in-the-App-aanval, die is afgeleid van de klassieke man-in-the-middleaanval waarbij hackers tussen zender en ontvanger in zit en de informatie afluistert. Bij Man-in-the-App wordt in feite de applicatie zelf besmet, zodat de uitgezonden gegevens worden veranderd zonder dat de gebruiker dit ziet. Als

'De opkomst van malware gericht op mobiel online bankieren in Europa en de VS betekent dat banken hun applicaties moeten gaan beschermen met RASP' deze een transactie start kan de malware bijvoorbeeld het rekeningnummer van de ontvanger wijzigen naar een eigen rekeningnummer, zodat de hacker het geld ontvangt.

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 27

MOBIELE BEVEILIGING Een andere - meer gebruikelijke - dreiging is de diefstal van passieve data. Mobiele apparaten slaan steeds meer gegevens lokaal op, waaronder onvoldoende of niet versleutelde gevoelige en waardevolle gegevens. Bovendien weten gebruikers in veel gevallen helemaal niet welke bestanden op hun smartphone rondslingeren omdat het browsen door bestanden niet de dagelijkse bezigheid is zoals je dat wel op desktopcomputers hebt. Niet alleen kan een crimineel bij een succesvolle hack rondneuzen in deze bestanden, maar hij kan in de meeste gevallen terugkomen. Dan is er natuurlijk de klassieke malware, nog steeds een grote zorg voor mobile. Recent heeft Android Windows ingehaald als meest geliefde doelwit van malware-auteurs. Onderling zijn de verschillen in malware groot, met sommige die de smartphone gijzelen tot losgeld is betaald tot malware die constant

'RASP en gedragsbiometrie zijn cruciale ontwikkelingen op het gebied van mobiele security omdat ze het apparaat over de hele breedte beveiligen, maar ook iedere transactie afzonderlijk'

NIEUWS

Haagse Security Delta vertoont stevige groei

apps met advertenties downloadt. In de meeste gevallen zal de malware pogen om root-toegang tot het apparaat te krijgen om zich dieper op het apparaat te nestelen, of de gebruiker verleiden om de juiste privileges te bieden met een neppe ‘update’ pop-up. Als laatste kunnen hackers ook het besturingssysteem zelf kraken door zich op bepaalde kwetsbaarheden te richten. Ook dan krijgen ze bij succes volledige controle over het apparaat. Ze kunnen malware installeren, gegevens stelen, telefoonnummers spoofen, SMS’jes en contactlijsten lezen, enzovoorts.

SHIELD VASCO heeft RASP-technologie genaamd SHIELD van de Noorse ontwikkelaar Promon toegevoegd aan zijn DIGIPASS for Apps-platform als beveiligingsmechanisme. DIGIPASS for Apps

wordt door banken gebruikt als authenticatiemiddel voor gebruikers van de apps. De transacties zijn gegarandeerd beveiligd omdat RASP alle vreemde gedragingen oppikt van de app, het apparaat of de gebruiker.

Gedragsbiometrie Een ander onderdeel dat VASCO in zijn oplossingen implementeert, is gedragsbiometrie. Bij traditionele biometrie wordt de gebruiker geïdentificeerd met een persoonlijk kenmerk, zoals stemgeluid, vingerafdruk of beide. Dit heeft echter negatieve gevolgen voor de gebruiksvriendelijkheid. Stemherkenning werkt niet goed als de omgeving lawaaiig is of als de gebruiker een sterk accent heeft. Maar gedragsbiometrie werkt door de interactie van de gebruiker met het apparaat bij te houden, zoals de manier waarop hij het scherm aanraakt en apps opent. Plotselinge afwijkingen kunnen duiden op een veiligheidsprobleem, en de beheerder kan dan passende stappen nemen. RASP en gedragsbiometrie zijn cruciale ontwikkelingen op het gebied van mobiele security omdat ze het apparaat over de hele breedte beveiligen, maar ook iedere transactie afzonderlijk. Ze dichten immers niet slechts één route af die cybercriminelen aftasten, en criminelen komen er niet mee weg zich te richten op slechts één zwakheid. Dat is altijd al hun manier van werken geweest, waarbij het aantal uit te buiten zwakheden enorm is gestegen. Door RASP en gedragsbiometrie zullen ze hun methoden moeten aanpassen. MICHIEL VAN BLOMMESTEIN is journalist

28 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

In de veiligheidssector zijn het afgelopen jaar 1.000 nieuwe banen gecreëerd en is de omzet met 4,8% gestegen naar 7,2 miljard euro. De toegevoegde waarde van deze sector aan de nationale economie is met 6,2% gestegen tot 3,8 miljard euro. Dit blijkt uit het onderzoek van ‘Policy Research Corporation’ naar de economische potentie van het nationale veiligheidscluster The Hague Security Delta (HSD). Dit is een groei boven het landelijke gemiddelde van 2,1%. Om deze groei vast te kunnen houden blijft investeren in het cluster noodzakelijk. Het Nederlandse veiligheidscluster heeft drie belangrijke kernen in Twente, Brabant en Den Haag, waar ook de HSD Campus gevestigd is. Binnen deze kernen wordt de grootste groei gerealiseerd. Richard Franken, algemeen directeur HSD: “Het gaat hierbij om groei van bestaande bedrijven, die door samen te werken en te innoveren konden uitbreiden én om buitenlandse veiligheidsbedrijven die zich in Nederland zijn gaan vestigen. Je ziet dat de aanwezigheid van het cluster en de Campus een grote aantrekkingskracht heeft. Steeds vaker worden in Nederland internationale veiligheidscongressen georganiseerd en openen buitenlandse veiligheidsorganisaties een kantoor op of nabij de Campus. Dat vertaalt zich direct door in extra banen en omzet voor Nederland. Niet alleen op veiligheidsgebied, maar ook bij de dienstverlenende sectoren, zoals adviesbureaus, taxi’s en hotels.”

Concrete resultaten In totaal hebben 12 internationale veiligheidsbedrijven zich in 2016 in Nederland/Zuid-Holland gevestigd, waaronder Red Tullip Systems uit USA/Denemarken, Andrupos uit Duitsland en Payatu en E2labs uit India. Ook bij het binnenhalen van internationale congressen is een goed resultaat behaald. Dit aantal komt uit op 11. Voorbeelden hiervan zijn een congres over Smart Secure Cities, Critical Infrastructure Protection & Resilience Europe, hardware i.o. en European Conference on Blockchain. HSD werkt hiervoor nauw samen met het NFIA, InnovationQuarter en de gemeente Den Haag. Er zijn onder andere soft landing programma’s met Canada en de VS opgezet. Joris den Bruinen, adjunct directeur HSD: “Om deze groei en rendementen door te kunnen zetten, blijft investeren noodzakelijk. Zo organiseren we eind september in Den Haag weer een tweede Cyber Security Week, die vele internationale bezoekers, inkomende handelsmissies en pers naar de stad brengt. Een prachtig voorbeeld hoe deze investeringen direct leiden tot economisch rendement én waarmee we Nederland als ‘secure digital gateway to Europe’ kunnen profileren.”

Haagse regio De cijfers laten zien dat er in de regio Den Haag vorig jaar 31 nieuwe veiligheidsbedrijven en 400 nieuwe banen bij zijn gekomen. De in totaal 406 bedrijven die werkgelegenheid bieden aan 15.200 mensen zijn bij elkaar goed voor een omzet van 2,27 miljard euro en leveren een toegevoegde waarde van 1,23 miljard euro aan de Nederlandse economie. Saskia Bruines, wethouder Kenniseconomie, Internationaal, Jeugd en Onderwijs van de gemeente Den Haag: “Het is mooi om te zien dat de HSD Campus deze spin-off geeft. Het veiligheidsdomein levert werkgelegenheid op voor onze regio. Tel daar nog eens het aantal banen (13.200) bij op van de veiligheidsdiensten, zoals politie en brandweer en je ziet waarom wij de internationale stad van Vrede, Recht en Veiligheid zijn.”

Richard Franken overhandigt het Policy Research Corporation Rapport aan wethouder Saskia Bruines en Wim Kuijken, bestuursvoorzitter HSD (fotograaf: Wiebe Kiestra)

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 29

ONDERZOEK

SANS ENDPOINT SECURITY SURVEY:

Printers regelmatig over het

hoofd gezien in security-aanpak

vormen, namelijk desktops (73%), printers (73%), netwerkapparaten (71%), laptops (71%) en servers (70%). 63% van de respondenten geeft aan dat BYOD-apparaten een verbinding met hun bedrijfsnetwerk maken. Als deze bevindingen worden afgezet tegen het type apparaten dat is opgenomen in het beveiligingsplan van de organisatie, blijkt dat er sprake is van een blinde vlek in de beveiliging als het om printers gaat. Hoewel er printers met het netwerk waren verbonden bij 73% van alle organisaties, gaf slechts 50% van de respondenten aan dat printers werden gemonitord binnen hun beveiligingsprogramma.

Breidt definitie van ‘endpoint’ uit naar gebruiker Meer dan de helft (53%) van de respondenten zei

de afgelopen 24 maanden te maken hebben gehad met beveiligingsincidenten rond endpoints. 10% zei niet te weten of er inbreuk was gemaakt op de beveiliging van endpoints. Tijdens het onderzoek van vorig jaar rapporteerde 44% van de respondenten incidenten met een of meer endpoints. Dit lijkt te wijzen op een toename in cyberaanvallen of effectievere detectie (of mogelijk beide). De meest gerapporteerde aanvalsvormen waren browsergebaseerde aanvallen (74%) en social engineering/ phishing (62%). G.W. Ray Davidson, auteur van het onderzoeksrapport en analist bij het SANS Institute: “Wat vooral opvalt aan deze aanvallen, is dat ze op eindgebruikers in plaats van technologie zijn gericht. Het lijkt erop dat we de INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 31

ONDERZOEK

NIEUWS

‘Het lijkt erop dat we de definitie van ‘endpoints’ moeten uitbreiden naar eindgebruikers’ definitie van ‘endpoints’ moeten uitbreiden naar eindgebruikers.”

Het volwassenheidsgehalte van endpoint-beveiliging Volgens de onderzoeksresultaten van dit jaar zijn bedreigingen die het op endpoints hebben gemunt in opkomst, terwijl beveiligingsmechanismen voor endpoints relatief statisch blijven. Er zijn echter tekenen van lichte verbetering. Zo slaagde 27% van alle organisaties die aan het onderzoek deelnamen erin om bedreigingen te detecteren door middel van proactieve opsporing. Hieruit valt op te maken dat beschermingsmechanismen voor endpoint-beveiliging geleidelijk overgaan van reactief/tactisch (niveau 2) naar preventief (niveau 3) binnen het volwassenheidsmodel voor endpoint-beveiliging. Davidson concludeert: “Ook ons inzicht in de bedreigingen van binnenuit verbetert. Het is niet langer voldoende om bescherming te bieden tegen kwaadwillende personen. Organisaties moeten meer investeren in voorlichting aan eindgebruikers en het monitoren van door gebruikers geactiveerde events. Endpoints kunnen alleen worden beveiligd door het beveiligen van de gebruikers van deze apparaten.”

Secure Europe, 12 t/m 20 juni 2017 in Amsterdam Het beveiligen van eindgebruikers vormt het centrale thema van de Securing the Human-workshop. Deze training maakt deel van negen hands-on workshops die worden georganiseerd tijdens SANS Secure Europe 2017. Dit beveiligingsevenement vindt plaats van 12 t/m 20 juni in Amsterdam. Andere workshops gaan onder andere in op Network Forensics, Security Essentials, Network Penetration Testing en Digital Forensics. Het volledig programmaoverzicht is te vinden op: https://www.sans.org/event/ secure-europe-2017.

32 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

Cyber Security Raad: ‘Bedrijven doen te weinig aan digitale veiligheid’ Succesvolle cyberaanvallen, hacks en digitale lekken zijn regelmatig in het nieuws. De Cyber Security Raad (CSR) constateert dat het Nederlandse bedrijfsleven nog te weinig doet aan digitale veiligheid, terwijl dit wel verplicht is. Volgens de huidige weten regelgeving hebben bedrijven de plicht om te zorgen voor een adequate digitale beveiliging. Mocht zich toch een incident voordoen, dan hebben zij de plicht de gevolgen ervan te beperken en verdere incidenten te voorkomen. In de praktijk blijkt dat bedrijven hier onvoldoende van op de hoogte zijn. Dat kan er bijvoorbeeld toe leiden dat bedrijven hun systemen onvoldoende beveiligen en er producten op de markt worden gebracht die onvoldoende tegen hacken zijn beveiligd.

Advies aan politiek en VNO-NCW De CSR adviseert het Kabinet zelfregulering ten aanzien van ‘zorgplichten’ te stimuleren, het voortouw te nemen in een discussie hierover en de wetgeving van Europese lidstaten op elkaar af te stemmen. VNONCW krijgt het advies om met haar leden over dit onderwerp in gesprek te gaan en invulling te geven aan de verplichte zorg voor digitale veiligheid. Als ondersteuning publiceert de CSR op zijn website een handreiking met een overzicht van de belangrijkste juridische zorgplichten voor bedrijven op het gebied van cybersecurity en de belangrijkste handvatten om deze plichten in te vullen. Diverse topjuristen, Radboud Universiteit, Openbaar Ministerie, Nederland ICT, CIO Platform Nederland en Consumentenbond hebben hieraan meegewerkt. Nederland ICT en het CIO Platform Nederland hebben inmiddels aangege-

ven hun achterban te willen assisteren bij de implementatie van de handreiking.

Negeren van verantwoordelijkheid Ieder bedrijf heeft de verplichting de eigen digitale beveiliging goed op orde te hebben, in afstemming met andere partijen waarmee wordt samengewerkt. Een schending van deze ‘zorgplichten’ kan leiden tot aansprakelijkheid. Indien een bedrijf software, mobiele telefoons, of andere producten of diensten met een ICT-toepassing verwerkt, dienen deze adequaat beveiligd te zijn tegen hacken. Dit kan alleen als cybersecurity al in het ontwikkelstadium van deze producten en diensten wordt meegenomen. Veel bedrijven zijn zich onvoldoende bewust van deze verplichtingen. Daarnaast zijn er bedrijven die hun verantwoordelijkheid bewust negeren en vervolgens aansprakelijkheid trachten te ontlopen via ontsnappingsclausules in contracten. Dit is niet toegestaan onder het consumentenrecht, en ook onder het ondernemingsrecht valt niet alle verantwoordelijkheid uit te sluiten.

Steeds vaker aansprakelijk Het bestuur of de directie van een bedrijf is er verantwoordelijk voor dat het bedrijf inzicht heeft in de cybersecurityrisico’s en daartegen adequate maatregelen neemt. Gebeurt dit niet, dan kunnen zij aansprakelijk zijn voor de schade die consumenten en andere bedrijven lijden. Door nieuwe technologische ontwikkelingen, zoals Internet of Things en eHealth, neemt het risico op digitale en fysieke schade sterk toe. De verwachting van de CSR is dan ook dat schade in de toekomst steeds vaker verhaald zal worden.

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 33

SECURITY4INDUSTRIE tomatiseringssystemen, zodat er bij de ontwikkeling van apparatuur rekening wordt gehouden met nieuwe cybersecurity-standaards en -eisen.”

Eugene Kaspersky

Detectie en preventie van ICS-dreigingen De basis van Kaspersky Industrial CyberSecurity wordt gevormd door een combinatie van traditionele beveiligingstechnologieën die zijn aangepast voor ICS-omgevingen, zoals anti-malwarebescherming, whitelisting en vulnerability assessment. Dit is verder uitgebreid met technologieën die speciaal zijn ontwikkeld voor industriële omgevingen, waaronder integriteitscheck voor PLC’s, semantische monitoring van process control commands en telemetrische data voor het detecteren van cyber-aanvallen op fysieke onderdelen van de infrastructuur. De oplossing voorziet ook in een speciale observability mode, gericht op het herkennen van cyber-aanvallen, menselijke fouten en afwijkingen binnen het industriële netwerk. Alle preventie- en detectietechnologieën worden beheerd via één centrale console.

Gespecialiseerde beveiligingsdiensten voor kritische infrastructuur

Kaspersky Lab presenteert

cybersecurity-oplossing voor industriële systemen Eugene Kaspersky, oprichter en CEO van Kaspersky Lab, heeft tijdens de Industrial Security Day in Antwerpen voor de Benelux de nieuwe gespecialiseerde beveiligingsoplossing voor kritische infrastructuur en industriële installaties gelanceerd: Kaspersky Industrial CyberSecurity. De oplossing komt tegemoet aan de noodzaak om industriële cyberrisico’s te beheersen en daarmee de continuïteit en integriteit van technologische processen in industriële omgevingen te waarborgen. In dergelijke omgevingen kunnen virtuele dreigingen een reëel gevaar voor het milieu vormen en zelfs mensenlevens kosten. Kaspersky’s beproefde technologieën, diensten en kennis komen in Kaspersky Industrial CyberSecurity samen tot een uniforme, holistische benadering van industriële IT-beveiliging. 34 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

Elektriciteitscentrales, raffinaderijen, assemblagelijnen, luchthavens, ‘smart buildings’, de spoorwegen: voor de werking van moderne industriële installaties zijn informatietechnologieën en procesautomatiseringssystemen van essentieel belang. Anders dan bij traditionele IT-netwerken, waarbij vertrouwelijkheid de hoogste prioriteit heeft, is bij industrial control systems (ICS) absolute continuïteit en consistentie van het technologische proces vereist, zonder ruimte voor fouten. Als de cybersecurity-maatregelen niet voldoen aan de veiligheidsvoorschriften, kunnen strikte regelgeving en compliance leiden tot onbeschermde kritische systemen. Kaspersky Industrial CyberSecurity houdt rekening met al deze specifieke eisen en beschermt de lagen van het ICS-netwerk die het gevoeligst zijn voor cyberaanvallen - zoals ICS/SCADA-servers, HMI-pa-

nelen, de werkstations van engineers en PLC’s - zonder de operationele continuïteit en consistentie van het technologische proces te verstoren. “Vandaag de dag is de cybersecurity van industriële systemen en kritische infrastructuren van vitaal belang”, zegt Eugene Kaspersky, CEO van Kaspersky Lab. “Steeds meer van dergelijke systemen maken gebruik van devices en kanalen die in direct contact staan met de buitenwereld. Soms betreft dit apparatuur die nooit bedoeld was voor externe toegang, om nog maar te zwijgen van software die tientallen jaren oud is en nog nooit een upgrade heeft gehad. Dit is een zeer ernstige zaak, want niet alleen de continuïteit van het productieproces staat op het spel, maar ook het milieu is in gevaar en het kan zelfs mensenlevens kosten. Onze oplossing kan ervoor zorgen dat de cybersecurity van de technologische cyclus op

alle niveaus van het geautomatiseerde proces gegarandeerd is. We werken actief samen met fabrikanten van au-

Kaspersky Industrial CyberSecurity biedt verschillende vormen van bescherming waarmee infrastructuur-operators een efficiënte beveiligingsstrategie kunnen vormgeven. Dit gaat verder dan technologieën om dreigingen te detecteren en voorkomen, aangezien er ook gespecialiseerde diensten beschikbaar zijn voor de ontwikkeling van inci-

Eugene Kaspersky

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 35

SECURITY4INDUSTRIE dent response en het voorspellen van incidenten. Een efficiënte benadering van beveiliging begint altijd met goede training op het gebied van industriële cybersecurity - voor IT-security-professionals én het ‘gewone’ personeel - die is gefocust op de bewustwording van medewerkers en het terugdringen van menselijke fouten. Awareness-trainingsprogramma’s besteden onder andere aandacht aan baseline security in ICS en ‘social attacks’ binnen kritische infrastructuur-omgevingen. Expert-trainingen richten zich verder op cyber security assessment en penetration testing. De trainingen helpen klanten om hun kennis te vergroten, de meest kritieke kwetsbaarheden bloot te leggen - zoals zero-day - en cyberdreigingen te voorspellen die relevant zijn voor de specifieke industriële activa en technologische processen van het bedrijf. Incident-response-diensten, verzorgd door Kaspersky’s wereldwijde team voor industriële cybersecurity, lokaliseren de inbreuk, beperken de gevolgen, voorkomen dat de aanvallers nog dieper in de infrastructuur dringen, voorkomen vervolgaanvallen en dragen bij aan de ontwikkeling van een incident-response-plan voor de toekomst.

ONDERZOEK

Foto: EQRoy - www.shutterstock.com

Strenge eisen van de industrie De instellingen van Kaspersky Industrial CyberSecurity zijn in hoge mate aanpasbaar, zodat het kan worden geconfigureerd in strikte overeenstemming met de eisen van verschillende industrieën, faciliteiten en productielijnen. Zo kan de oplossing naadloos worden geïntegreerd in het bestaande ICS-netwerk en de technologische processen van een organisatie, zonder noemenswaardi-

ge aanpassingen in het netwerk en het proces. Alle technologieën zijn getest en gecertificeerd door toonaangevende ICS-leveranciers. Kaspersky Industrial CyberSecurity is met succes uitgetest en geïntegreerd in een aantal projecten, onder andere van olieraffinaderijgigant TANECO, de petrochemische terminal van VARS en de grootste glasleverancier van de auto-industrie AGC Glass Germany.

Bij één op de vijf organisaties is in 2016 meer dan vijf keer digitaal ingebroken 87% van de organisaties is in 2016 getroffen door een cyberinbraak. Bij één op de vijf organisaties werd in de afgelopen twaalf maanden zelfs meer dan vijf keer ingebroken door cybercriminelen.

•

• •

Dit blijkt uit onderzoek van databeveiliger Bitglass in samenwerking met CyberEdge Group en Information Security Community op LinkedIn onder 3.000 ITprofessionals. Bitglass wijst erop dat public cloud apps in toenemende mate van kritiek belang zijn voor de productiviteit van bedrijven. Desondanks geeft slechts 24% van de professionals aan regelmatig SaaS en IaaS apps te controleren op beveiligingsproblemen.

IN DE VOLGENDE EDITIE VAN INFOSECURITY MAGAZINE: Special: Security4Industry Infosecurity Magazine en het eveneens door FenceWorks uitgegeven mediaplatform ‘Vision & Robotics’ hebben de handen ineen geslagen om een special te maken over het beveiligen van industriële IT-systemen en -netwerken. met andere woorden: industrial cybersecurity.

Kritieke beheermogelijkheden ontbreken

In deze special volop aandacht voor het beveiligen van industriële systemen (SCADA, MES en dergelijke) en IoT-netwerken tegen inbraken en ransomware. Centraal in deze uitgave staat een onderzoek van Pb7 Research naar de stand van zaken op het gebied van industrial cybersecurity. In de special aandacht voor onder andere: • Resultaten marktonderzoek naar industrial cybersecurity • Reacties op de resultaten van het marktonderzoek • Praktijkcases: hoe hebben bedrijven dit probleem in de praktijk aangepakt? • Blogs en columns van zowel onderzoekers als specialisten uit de praktijk Alle content wordt zowel in de magazine-edities van Vision & Robotics en Infosecurity Magazine website. Uiteraard inclusief verspreiding van alle content via social media. Interesse om mee te doen aan deze special? Neem contact op met Mike de Jong, mike@fenceworks.nl, +31 (0) 6 10 82 59 93.

36 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

INFOSECURITY MAGAZINE

opgenomen als op de

“Bij enterprise cloud apps ontbreekt het aan kritieke beheermogelijkheden voor databeveiliging die het risico op een lek significant kan terugdringen”, zegt Nat Kausik, CEO van Bitglass. “Veel organisaties kunnen potentiële lekken na afloop detecteren. Slechts weinig organisaties zijn echter in staat dreigingen in real-time te mitigeren.” De belangrijkste resultaten uit het onderzoek zijn: • 52% van de organisaties verwacht dat het budget voor IT-beveiliging zal toenemen. • Slechts 24% van de organisaties controleert SaaS en IaaS apps regelmatig op beveiligingsproblemen. In verhouding: ruim 60% doet dit bij desktops, laptops en het netwerk. 36% controleert mobiele apparaten op beveiligingsproblemen.

•

Een op de drie organisaties is in de afgelopen 12 maanden meer dan vijf keer gehackt. Dit is een verdubbeling ten opzichte van 2014. 87% van de organisaties is slachtoffer geworden van tenminste één cyberaanval. Organisaties geven het vaakst aan mobiel te zien als het meest kwetsbare onderdeel van hun IT-omgeving. Ransomware is een grote zorg. 54% van de bedrijven is er echter in geslaagd gegijzelde data toegankelijk te maken zonder hiervoor losgeld te betalen. 37% noemt phishing de belangrijkste bron van zorgen, gevolgd door insider threats (33%) en malware (32%). Meer organisaties in de retail- (39%) en technologiesector (36%) geven een groot deel van hun budget uit aan security dan in andere verticale markten.

Detecteren van dreigingen 62% van de ondervraagde organisaties geeft tot slot aan dat het detecteren van dreigingen hun belangrijkste vermogen is om kritieke dreigingen tegen te gaan. Organisaties die de cloud hebben omarmd, geven aan vooral behoefte te hebben aan data-encryptie (72%), versleuteling van dataverkeer (60%) en toegangscontrole (56%). Als het gaat om zorgen over de cloud, blijken datalekken (57%), privacy (49%), vertrouwelijkheid (47%) en compliance (36%) tot de meeste zorgen te leiden.

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 37

NIEUWS

Eerste Nederlandse Cyberwerkplaats opent deuren in Rotterdam

De allereerste Nederlandse Cyberwerkplaats in Rotterdam opent kort voor de zomer de deuren. De Cyberwerkplaats is een plek waar jongeren (scholieren, schoolverlaters en gamers) 21-eeuwse vaardigheden worden bijgebracht. Denk hierbij aan vaardigheden zoals het leren hacken van apparaten die verbonden zijn met het internet. Met de opening van de Cyberwerkplaats, naar goed voorbeeld van het succesvolle Franse initiatief ‘École 42’, springen de initiatiefnemers op een rebelse manier in op de toenemende marktvraag naar (cyber)securityspecialisten. Jongeren worden soms letterlijk van de straat geplukt, opgeleid en gekoppeld aan bedrijven die deze jongeren onder hun hoede 38 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

nemen. Het uitgangspunt van de Cyberwerkplaats is: ‘hack je gek en verdien een werkplek’!

Talentvolle medewerkers aantrekken “Wereldwijd worstelen bedrijven en overheden met het aantrekken van jonge talentvolle (cyber)securitymedewerkers omdat zij simpelweg op de verkeerde plekken zoeken”, zegt Mary-Jo de Leeuw, één van de initiatiefnemers van de Cyberwerkplaats. De Leeuw, associate partner bij Revnext, werd de afgelopen jaren door diverse opdrachtgevers in haar rol van cybersecurity-expert ingehuurd om mee te denken over de ‘human capital agenda’. De Leeuw: ”De meeste organisaties staren zich bijvoorbeeld blind op ‘profielen’ en inspiratieloze ‘hackatons’ en zeuren daarna dat ze niet aan personeel

kunnen komen maar dan snap je de securitywereld gewoon echt niet. De hoogste tijd dus voor verandering en een omschakeling die wij dus noodgedwongen zelf gaan doorvoeren omdat wij nergens anders gehoor kregen.”

De meeste securitytalenten zijn autodidact Onderzoek wijst uit dat de meeste securitytalenten autodidact zijn; talenten die zichzelf een weg naar de securitytop hebben weten te werken door gewoon te zijn, wie ze zijn. Astrid Oosenbrug (mede-initiatiefnemer, oud Tweede Kamerlid en IT-expert): “Daar ben ik zelf het levende bewijs van. Ik heb diverse jongeren onder mijn vleugels genomen de afgelopen jaren en die zijn uiteindelijk allemaal goed terecht gekomen. Maar die jongeren passen ook niet in een profiel waar organisaties zo kramp-

achtig aan vast blijven houden. Ik zie het dan ook als een voorrecht dat ik al mijn kennis in de Werkplaats mag inbrengen om zo jongeren op grote(re) schaal te mobiliseren en hopelijk te inspireren.” De Cyberwerkplaats knoopt alle zaken – werving, opleiding, bedrijvenselectie, mentorschap en coaching – aan elkaar en doet dat met een groot aantal samenwerkingspartners zoals Radically Open Security (ROS), een bedrijf dat vele internationale awards won de afgelopen jaren. Melanie Rieback (CEO van ROS): ”Eindelijk een antwoord op de behoefte aan securitytalenten waar wij graag ons steentje aan bijdragen door te investeren in opleidingen. Dat doen wij samen met ons wereldwijde netwerk aan hackers. En uiteraard nemen we jongeren mee onder de arm in de hoop ze langdurig aan ons te kunnen binden.”

Locatie selecteren “We zijn met de gemeente Rotterdam in overleg op welke plek deze Cyberwerkplaats het beste tot zijn recht komt. We hebben nu een aantal locaties in optie en de knoop hierover hakken we de aankomende weken door. Inmiddels wordt er overigens flink gesleuteld aan het eerste ‘lesmateriaal’ en hebben de eerste hacksessies plaatsgevonden. De ‘learnings’ van deze eerste pilotsessie, nemen wij mee in het vervolgtraject. Voor de zomer openen wij dus officieel de deuren in Rotterdam, stropen wij de mouwen op en kunnen wij hopelijk veel securitydromen waarmaken”, zegt Anouk Vos, mede-initiatiefnemer en founding partner bij Revnext. “We zijn er klaar voor.”

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 39

NIEUWS

Stappenplan van AP bereidt

organisaties voor op AVG De Autoriteit Persoonsgegevens stelt een stappenplan beschikbaar die organisaties helpt zich voor te bereiden op de Algemene Verordening Gegevensbescherming (AVG). Bedrijven moeten vanaf 25 mei 2018 voldoen aan deze nieuwe Europese privacywetgeving. Overtreding van de wet kan worden bestraft met boetes die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

De AVG wordt in de gehele Europese Unie (EU) ingevoerd en vervangt in Nederland de Wet bescherming persoonsgegevens (Wbp). Deze nieuwe wet legt organisaties die persoonsgegevens verwerken meer verplichtingen op. De nadrukt ligt bij de AVG meer dan bij de Wbp op de verantwoordelijkheid 40 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

van organisaties om te kunnen aantonen dat zij voldoen aan de wet. De AP adviseert organisaties tijdig van start te gaan met de implementatie van de regels.

Wanneer een PIA uitvoeren? Het stappenplan is door de Autoriteit Persoonsgegevens in samenwerking met andere Europese privacytoezichthouders opgesteld om hierbij te helpen. Het stappenplan geeft meer uitleg over wanneer en hoe organisaties een privacy impact assessment (PIA) moeten uitvoeren. Stap 1 bestaat uit het zorgen voor bewustwording binnen de organisatie. Hierbij staan vragen centraal als: • Wat houden de nieuwe regels in? • Wat betekenen deze regels voor menskracht en middelen?

De AP wijst in stap 2 op de rechten van betrokkenen. Organisaties zijn verplicht te zorgen dat mensen hun rechten kunnen uitoefenen. Denk hierbij aan bestaande rechten zoals het recht op inzage en verwijdering van gegevens, maar ook om nieuwe rechten zoals dataportabiliteit. Dataportabiliteit geeft gebruikers het recht persoonsgegevens te ontvangen die een organisatie over hen heeft verzameld zodat deze zelf kunnen worden opgeslagen of kunnen worden doorgegeven aan een andere organisatie.

Klachten indienen bij AP Ook wijst de AP erop dat gebruikers bij de AP klachten kunnen indien over de wijze waarop organisaties met hun gegevens omgaan. De AP is verplicht deze klachten in behandeling te nemen. De toezichthouder adviseert bedrijven in kaart te brengen welke persoonsgegevens zij verwerken, waar deze gegevens vandaan komen en met wie deze

gegevens worden gedeeld. De AVG verplicht bedrijven een register bij te houden om te kunnen aantonen dat zij in overeenstemming met de wet handelen. Het uitvoeren van een PIA is in sommige gevallen verplicht. Een PIA is een instrument waarmee vooraf de privacyrisico’s van gegevensverwerking in kaart kunnen worden gebracht. Dit maakt het mogelijk maatregelen te nemen om de risico’s te verkleinen. Een PIA is verplicht indien gegevensverwerking ‘waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt’. Dit is in ieder geval het geval indien een organisatie: • systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profilering; • op grote schaal bijzondere persoonsgegevens verwerkt; • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Feedback op richtlijnen Om bedrijven meer duidelijkheid te geven over de PIA hebben de Europese privacytoezichthouders richtlijnen met criteria opgesteld om het privacyrisico te bepalen. Deze richtlijnen zijn opgesteld in samenwerking met stakeholder. Tot en met 23 mei 2017 is het mogelijk in het Engels feedback op deze richtlijnen te sturen naar JUST-ARTICLE29WP-SEC@ ec.europa.eu en presidenceg29@cnil.fr. Nederlandse organisaties kunnen ook opmerkingen insturen of vragen over het proces stellen aan de Autoriteit Persoonsgegevens via guidelines@ autoriteitpersoonsgegevens.nl of 070 – 8888 500. Op termijn wordt een lijst van verwerkingen waarvoor een PIA verplicht is beschikbaar gesteld.

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 41

LEGAL LOOK DOOR MR. V.A. DE POUS

Bedrijfsinformatiebeleid dringend gewenst

Een jaar na het intreden van de inmiddels beruchte wet Meldplicht Datalekken zegt 41% van de organisaties in Nederland geen (tijdige) melding te maken van dataverlies. De belangrijkste gronden om niet te melden zijn (i) onduidelijkheid over de impact van het datalek, (ii) reputatieschade en (iii) het voorkomen van verder misbruik. Daarnaast speelt bij 10% van de ondervraagden (iv) angst voor disciplinaire maatregelen mee, waardoor medewerkers datalekken ook intern onder de pet houden.

Tegelijkertijd heeft meer dan de helft van het bedrijfsleven en overheden in 2016 te maken gehad met één of meer lekken van ‘gevoelige informatie’, aldus de belangrijkste uitkomsten van een onderzoek naar de meldplicht datalekken in de praktijk, door Pb7 Research onder 310 Nederlandse organisaties, in opdracht van de Russische informatiebeschermer Kaspersky Lab uitgevoerd. De onderzoekers rekenen ook het verzuimpercentage door. Men komt uit op 24.000 medeplichtige datalekken in 2016. Of dat er nu veel of weinig zijn; in ieder geval staat het aantal in schril contrast met de 5.500 meldingen die de toezichthouder in dezelfde periode heeft ontvangen. Nog een opmerkelijk punt uit de studie. Als één van de gronden om niet te melden, wijst het onderzoek op ‘voorkomen van verder misbruik’. Dat bevreemdt omdat ook de meldplicht datalekken van 1 januari 2016 - naast allerlei andere wettelijke meldplichten, die kennelijk vaak in de vergetelheid zijn geraakt omdat niemand hieraan denkt - mede in het leven is geroepen om de (gevolg) schade te beperken; in het bijzonder zodat betrokkenen (u en ik) wiens gegevens zijn gelekt, zelf maatregelen kunnen nemen om verdere schade te beperken. Neem het voorbeeld van een Internet Service Provider. Wanneer hij kond doet dat accounts zijn gehackt, kunnen betrokkenen bijvoorbeeld hun wachtwoord wijzigen, hun account beëindigen of andere schadebeperkende maatregelen nemen. Dat werkt. Het blijft merkwaardig, zelfs hoogst merkwaardig, dat verantwoordelijken - degenen die persoonsgegevens verwerken: vrijwel iedere onderneming en overheidsorganisatie - de ratio van het privacyrecht niet snappen. Niet de verantwoordelijke, maar de betrokkene staat in dit rechtsdomein centraal. Een andere casus, die onze neus op de bittere noodzaak van bedrijfsinformatiebeleid drukt. De Autoriteit Consument & Markt (ACM) legde energieleverancier Oxxio een boete op van zegge en schrijve een miljoen euro voor de onjuiste regi-

stratie van klantgegevens in contract-eindegegevensregister; ook wel CER genoemd. Hierin houden alle energieleveranciers die leveren aan consumenten (business-to-consumer markt) per aansluiting bij wanneer het contract afloopt. De betrouwbaarheid van data in dit register is essentieel voor een goede werking van de energiemarkt. De registratie betreft namelijk de eerlijke mededinging. Als de gegevens niet kloppen worden consumenten verkeerd ingelicht over hun keuzemogelijkheden en kunnen leveranciers niet eerlijk met elkaar concurreren. Oxxio had bij contracten voor onbepaalde tijd ten onrechte een einddatum laten registreren. Hierdoor leek het bij het raadplegen van het register dat de klant een contract voor bepaalde tijd had, waardoor de consument moest wachten met overstappen dan wel een vergoeding moest betalen. De bestuurlijke boete onderstreept dus het belang van het zorgvuldig omgaan met bedrijfsinformatie: alle soorten gegevens, geen uitgezonderd. Dat vraagt beleid, controle en handhaving per organisatie. Vandaag staan met betrekking tot klantgegevens (persoonsgegevens) vooral de beschermingsaspecten in het voetlicht - datalekken - terwijl andere aspecten niet of nauwelijks aan de orde komen in de bestuurskamer. De oorzaak van de fout bij Oxxio lag kennelijk bij een migratieproject. Dat doet nadrukkelijk niets af aan de ernst van de overtreding. Toezichthouder ACM is daar duidelijk over. Die classificeert deze overtreding als ernstig, omdat (i) andere energieleveranciers als consumenten erop moeten kunnen vertrouwen dat het register juist, volledig en bijgewerkt is. Bovendien heeft Oxxio de fout (ii) niet met de vereiste spoed opgelost. Opnieuw geleerde lessen voor de bestuurskamer. Pak de datazaken toch eens professioneel aan. MR. V.A. DE POUS is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).

Cyber Risk and Reward Do your ambitions include taking advantage of all that the digital economy has to offer? You may already appreciate cybersecurity is fundamental to your success.The next step is to deepen your understanding of the task ahead: how your business is evolving; the tech innovations to help you get there; and who is accountable for the risks. (ISC)2 has been cer tifying the professionals with that deep understanding for 27 years. With over 120,000 cer tified members across the globe, we have a world of experience, the documented knowledge, and a professional community to apply to your ambition. Would you want anything less? The largest not-for-profit membership body of cer tified cyber, information, software and infrastructure security professionals, ( ISC) 2 assures the competency needed to inform decisions for your whole organisation, from the Board to the front-lines. We are the organisation behind the world-leading Cer tified Information Systems Security Professional ( CISSP)® and the new Cer tified Cloud Security Professional (CCSP)®*, fast becoming one of the most demanded professional credentials in the industry. *Developed in par tnership with the Cloud Security Alliance.

Understand which (ISC)2 Certified Professionals are right for your ambitions.

42 | MEI 2017 | NR. 2 | INFOSECURITY MAGAZINE

INFOSECURITY MAGAZINE | NR. 2 | MEI 2017 | 43

18 mei 2017

Initiatief en organisatie:

Midden nederland hallen

Barneveld

Identity & Access Management De impact van de digitale transformatie

TopkeynoTe David Birch, erkend internationaal thought leader in digital identity & digital money

prAkTIjkcAse Hanke Niestern, Teamlead Identity & Access Management bij Universiteit Utrecht ontwerp, implementatie en beheer IAM-oplossing bij de Universiteit Utrecht - een praktijkverhaal Gert Maneschijn, CSO bij RDW Vereenvoudigd beheer van autorisaties bij rDW

Workshop Vereniging voor Biometrie & Identiteit het wachtwoord is (bijna) dood. Leve de biometrie!

Aanmelden via: www.iam.heliview.nl