Infosecurity Magazine 03/2017 by Magenta Communicatie

INFO

SECURITY MAGAZINE

JAARGANG 16 - JULI 2017 - WWW.INFOSECURITYMAGAZINE.NL

VEILIG PRINTEN IN DE BENELUX: WERK AAN DE WINKEL!

DE MYTHE VAN VEILIG OFFLINE COMPUTERGEBRUIK

WAAROM HET PLANNEN

VAN EEN WORST CASE SCENARIO UW BEDRIJF VERDER ZAL HELPEN

VEILIGHEID IT-OMGEVING IS NET ZO STERK ALS DE ZWAKSTE SCHAKEL

EDITORIAL: ROBBERT HOEFFNAGEL

COLOFON

The IT Security Expo and Congress

MEET TRUE HEROES on Europe‘s biggest IT security platform Lucas Anderson, 53, CISO

Verantwoordelijk voor het ISO 27001 certificaat van zijn bedrijf.

Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@fenceworks.nl. Uitgever Jos Raaphorst 06 - 34 73 54 24 jos@fenceworks.nl twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 robbert@fenceworks.nl twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel Advertentie-exploitatie Mike de Jong 06 - 10 82 59 93 mike@fenceworks.nl Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk CHAPO nv Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 info@fenceworks.nl © 2017

Laat u informeren over de meest actuele veiligheidsrichtlijnen op de it-sa 2017.

Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.

Meer informatie: www.infosecuritymagazine.nl

Nürnberg, Duitsland 10 t/m 12 oktober 2017

2 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

it-sa.de/en

Gevaarlijk bezig De IT-sector hangt al vele jaren aan elkaar van vluchtige trends en hypes. En zo kon het gebeuren dat vlak voor de zomer ‘ineens’ ransomware een kreet werd die iedereen kent en waar zelfs het avondjournaal aandacht aan besteedde. Dat lijkt een goede zaak, maar de vraag is of we er ook maar iets mee opschieten. Want vorig jaar had iedereen het over ‘DDoS’ en het jaar daarvoor was het … tja wat was het toen ook alweer? Zolang we geen structurele maatregelen nemen zijn we volgend jaar om deze tijd bezig met de volgende rage. Maar is er aan de veiligheid van onze digitale economie en onze digitale maatschappij weinig tot niets verbeterd. We gaan pas verbetering zien als er een paar dingen gebeuren. Dat is allereerst het algemene bewustzijn van iedereen in dit land dat IT-security van cruciaal belang is. Niet alleen voor ons als werknemer, maar juist ook voor ons als individu en als burger. Want niet alleen kan onze slordigheid (excuses aan hen die wél zorgvuldig met security-thema’s omgaan!) tot talloze problemen leiden voor de bedrijven of organisaties waar we werkzaam zijn. Minstens zo belangrijk is de impact op onszelf. Als privépersonen die tal van persoonlijke info of zelfs hun identiteit kunnen kwijt raken, maar van wie ook hun bankrekening geplunderd kan worden. En wat dacht u van onze rol als burger van dit land? We hebben gezien tot welke politieke en maatschappelijke problemen zelfs maar het vermoeden van gecompromitteerde verkiezingen kunnen leiden. Dan is de stap naar die ransomware-aanvallen gauw gezet. Want horen die niet in datzelfde rijtje thuis? Niet bitcoins verdienen lijkt immers het doel van deze aanvallen geweest. Eerder waren het oefeningen in ontwrichting. Want wie met cybercrimine-

le aanvallen in staat is om een maatschappij, economie of overheid plat te leggen, hoeft helemaal niet te investeren in tanks, raketten en vliegtuigen. Die kan tegen een fractie van de kosten een minstens zo ontwrichtende impact op een tegenstander hebben als een ouderwetse veldslag. Gelukkig investeert de Nederlandse overheid nu in - zeg maar - militaire en politionele cybersecurity. Maar dat is niet voldoende. Ook wijzelf hebben als individuen, burgers en werknemers de plicht om ons maximaal te wapenen tegen cybercriminelen - of die nu op geld of macht uit zijn. Ieder individu dat slordig met zijn of haar persoonlijke IT-security omgaat, is net zo gevaarlijk bezig als een IT-manager die Windows XP in gebruik heeft en systemen aan internet koppelt. Het bewustzijn dat we dan met vuur spelen moet heel snel drastisch omhoog. Te beginnen bij onszelf, als mensen die werkzaam zijn in de securityen IT-industrie. ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 3

Inhoud

INFOSECURITY NUMMER 03 - JULI 2017 - JAARGANG 16

Intent-Based Network Security smeedt allianties in de strijd tegen cybercriminaliteit

Beveiligingsoplossingen moeten beter met elkaar kunnen samenwerken. Ze moeten slimmer zijn en weten welke wijzigingen er plaatsvinden binnen het netwerk. Ze moeten bovendien anticiperen op nieuwe bedreigingen en automatisch beveiligingsregels toepassen en bijwerken. “Kunstmatige intelligentie en machine learning zijn hierbij essentieel”, zegt Vincent Zeebregts, country manager Nederland bij Fortinet.

‘Securitystrategie in Nederland moet radicaal anders’ 10 Cyber Security Monitoring 16 ‘Multi-platform Smartcrypt-software beschermt meer dan 35.000 bedrijven’ 18 De mythe van veilig offline computergebruik

VEILIG PRINTEN IN DE BENELUX: WERK AAN DE WINKEL!

Als we veilig willen werken, dan houden we onze computers offline. Het is maar de vraag of die schijnzekerheid ook door de hoofden speelde bij al die IT-professionals, betrokken bij de autofabrikant Renault, de Britse NHS-ziekenhuizen, de parkeerbeheerder QPark en de Duitse spoorwegen. Wat we wel weten is dat ransomware ’WannaCry’ waarschijnlijk tienduizenden computers heeft geïnfecteerd in meer dan 100 landen.

22 NEN introduceert examen voor beveiliging industriële systemen 23 Wie betaalt uw ransomware-rekening? 24 Veiligheid IT-omgeving is net zo sterk als de zwakste schakel 28 Waarom het plannen van een worst case scenario uw bedrijf verder zal helpen

Incidentrespons wordt steeds belangrijker in een tijd waarin datalekken en downtime de nachtmerrie van veel bedrijven zijn. Toch is incidentrespons vaak niet zo efficiënt of effectief ingericht als zou moeten. In dit artikel werpen we een licht op de voordelen van een goede incidentresponsstrategie en geven we enkele tips om u te helpen beginnen.

34 Gartner identificeert belangrijkste securitytechnologieën voor 2017 36 80% van de bedrijven verwacht in 2017 getroffen te worden door cyberaanval 37 ‘Kleinschalige DDoS-aanvallen leveren het grootste gevaar op’ 38 ‘Bedrijven onderschatten IT-beveiligingsrisico’s door eigen medewerkers’ 39 ‘Hoe vrij ben je als je bij bijna iedere stap gevolgd kan worden?’ 40 Malware, ransomware en overzicht 30 jaar ontwijkingstechnieken 42 Legal Look

4 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

De rol van printer en MFP is een bijzondere in de informatievoorziening van een organisatie. Het is de plek waar digitale informatie fysieke vorm krijgt en vice versa. Het is ook het punt waar de verantwoordelijkheid van de IT-afdeling abrupt eindigt en waar die volledig bij de werknemer komt te liggen. Hoewel die scheiding helder lijkt, blijkt dat in de praktijk niet zo eenvoudig te liggen binnen veel organisaties in de Benelux. Al was het maar omdat printers en de bijbehorende dienstverlening lang niet altijd aangeschaft worden door de IT-organisatie. De printomgeving lijkt binnen veel organisaties wat IT-beveiliging betreft op een rafelrand. Beleid ontbreekt vaak, of is beperkt en het is lang niet altijd duidelijk wie er verantwoordelijk is, los van de individuele gebruiker zelf.

IT-BEVEILIGINGSINCIDENTEN JAARLIJKS GROTE KOSTENPOST VOOR INDUSTRIËLE ONDERNEMINGEN INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 5

TRENDS

Intent-Based

Network Security smeedt allianties in de strijd tegen cybercriminaliteit Beveiligingsoplossingen moeten beter met elkaar kunnen samenwerken. Ze moeten slimmer zijn en weten welke wijzigingen er plaatsvinden binnen het netwerk. Ze moeten bovendien anticiperen op nieuwe bedreigingen en automatisch beveiligingsregels toepassen en bijwerken. “Kunstmatige intelligentie en machine learning zijn hierbij essentieel”, zegt Vincent Zeebregts, country manager Nederland bij Fortinet. “Netwerkomgevingen breiden zich steeds verder uit en daardoor verliezen IT- en beveiligingsprofessionals het overzicht en de grip op moderne infrastruc6 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

turen”, aldus Zeebregts. “Die twee ontwikkelingen bieden cybercriminelen veel nieuwe mogelijkheden om hun aanvallen uit te voeren en dat is een groot probleem.”

Global Threat Landscape Report De country manager baseert zich daarbij op het Fortinet Global Threat Landscape Report over het eerste kwartaal van 2017, dat begin juni verscheen. Dit rapport brengt elk kwartaal een actueel overzicht van het ‘bedreigingslandschap’. De cijfers en analyses zijn afkomstig uit informatie die FortiGuard Labs verzamelt uit de netwerkapparaten die klanten van Fortinet wereldwijd in gebruik hebben.

Het Global Threat Landscape Report ziet vooral risico’s in de trends van hyperconvergentie en het Internet of Things (IoT). “Deze trends versnellen de verspreiding van malware”, aldus Zeebregts. “Nu netwerken, gebruikers en apparaten steeds meer informatie en bronnen delen, kunnen aanvallen gemakkelijk de oversteek maken van een besmette organisatie naar volledig andere werelddelen of marktsectoren. Het is daarom belangrijk om malware goed te bestuderen. Dat biedt inzicht in de voorbereidende fase van aanvallen en de technieken die cybercriminelen gebruiken om netwerken binnen te dringen.” “Bedreigingstrends vormen een weerspiegeling van de omgeving waarin ze plaatsvinden”, vervolgt Zeebregts. “Het hoge tempo waarmee bedrijven op publieke en private clouds overstappen, de hoeveelheid en diversiteit van slimme apparaten die een verbinding maken met het netwerk en ongeoorloofde activiteiten zoals schaduw-ICT, beginnen beveiligingsprofessionals boven het hoofd te groeien. Het is daarom belangrijk om inzicht te krijgen in de manier waarop informatietechnologie, diensten, controlemechanismen en gedragspatronen zich in de loop van de tijd ontwikkelen. Dit kan nuttige informatie opleveren voor het opstellen van uitgebreidere beveiligings- en beleidsregels.” Het onderzoek van Fortinet brengt een aantal opvallende trends in kaart. Ten eerste is dat de opkomst van mobiele malware. Dit vormt een toenemend probleem voor veel organisaties. “Mobiele apparaten zijn vaak niet het bezit van de organisatie waarin ze gebruikt worden. Gebruikers verbinden met allerlei openbare netwerken, waar ze besmet kunnen raken met malware. Vervolgens willen zij toegang tot jouw bedrijfsnetwerk. Het is daarom verrassend, en uitermate riskant, dat veel organisaties mobiele apparaten niet afschermen binnen het bedrijfsnetwerk”, vertelt Zeebregts. Applicaties vormen de tweede trend in beveiligingsrisico’s, volgens het rapport. Een gemiddeld bedrijf gebruikt bijvoorbeeld 62 verschillende cloudapplicaties. “Grofweg een derde van alle door onze apparaten gedetecteerde applicaties zijn cloudgebaseerd”, zegt Zeebregts. “Daarnaast bereikten IaaS-applicaties een nieuw hoogtepunt. Veel organisaties hebben als gevolg van de overstap naar de cloud minder zicht

op hun data. Bovendien slaan ze steeds meer gegevens op in cloudapplicaties en -diensten. Dit is een zorgwekkende trend.” Het benodigde inzicht, en daaruit voortvloeiende managementinformatie voor het bepalen van een goed onderbouwde strategie en doeltreffend beleid rond beveiliging, vraagt volgens Zeebregts om samenwerking tussen beveiligingsoplossingen. “Dat maakt een volledige, allesomvattende bewaking van het netwerk mogelijk doordat de oplossingen cruciale beveiligingsinformatie automatisch uitwisselen en gecoördineerd reageren op bedreigingen.”

Intent-Based Network Dat is geen toekomstmuziek, verzekert de country manager van Fortinet. “Intent-Based Network Security (IBNS) is een nieuwe technologie die de basis legt voor een dergelijke geautomatiseerde aanpak. IBNS biedt overzicht op het complete netwerk en geïntegreerde beveiligingsoplossingen kunnen zich automatisch aanpassen aan wijzigingen van netwerkconfiguraties om cyberbedreigingen gesynchroniseerd af te weren.” Volgens Gartner gaat Intent-Based Networking het ontwerp en gebruik van netwerken ingrijpend verbeteren. De Amerikaanse marktonderzoeker zegt daarover: “De huidige bedrijfsnetwerken zijn nog afhankelijk van hoeveel begrip netwerkontwerpers hebben van de volledige netwerkomgeving. Dat begrip bepaalt namelijk in hoeverre het ontwerp voldoet aan de eisen van de applicaties die het ondersteunt. Naarmate computeromgevingen groter, complexer en dynamischer worden, kunnen architecten onmogelijk meer dan ‘goed geïnformeerd raden’ naar de vereiste configuratie. Dat leidt tot ongeplande uitval en vaak lange, moeilijke zoektochten naar oplossingen.” De technologie achter een Intent-Based Network lost deze uitdagingen op met interconnectiviteit, automatisering en intelligentie, stelt Gartner: “Intent-Based Networking maakt voorafgaand aan de implementatie algoritmisch de ‘juistheid’ van de configuratie aantoonbaar. Vervolgens controleert het de werking van het netwerk continu. Als het detecteert dat iets niet voldoet aan de bedoeling van het ontwerp (het ‘intent’), waarschuwt het de beheerder of neemt het, indien mogelijk, zelf corrigerende maatregelen

‘Bedreigingstrends vormen een weerspiegeling van de omgeving waarin ze plaatsvinden’

om de juiste werking te herstellen.” De componenten van Intent-Based Networks zijn onderling verbonden en werken slim en automatisch samen. Dat is een wezenlijk nieuwe benadering van netwerken, aldus Zeebregts. “De onderliggende structuur van netwerken bleef jarenlang min of meer hetzelfde: gegevensverkeer stroomde van A naar B over een voorspelbare reeks apparaten, kabels en poorten op basis van gangbare protocollen en opdrachten. Dat is in de afgelopen jaren sterk veranderd door virtualisatie, Software Defined Networks (SDN) en de cloud. Intent-Based Networking is de volgende mijlpaal in de evolutie van netwerken en brengt een nog veel radicalere verandering in het ontwerp, de verbindingen en het gebruik van netwerken.”

Fortinet Security Fabric Veel beveiligingsoplossingen kunnen deze netwerkevolutie volgens Zeebregts niet of nauwelijks bijhouden. “De meeste beveiligingsoplossingen zijn nog altijd geïsoleerde, op zichzelf staande en op netwerkgrenzen gebaseerde oplossingen. Deze hebben per definitie niet de benodigde reikwijdte, prestaties in het verwerken van ruwe gegevens of geavanceerde automatisering om de beveiligingseisen van Intent-Based Networks te ondersteunen. Intent-Based Network Security bestaat daarom uit beveiligingsoplossingen van verschillende leveranciers die automatisch en slim samenwerken en daarbij gebruik maken van kunstmatige intelligentie en machine learning.” De IBNS-oplossing van Fortinet heet Security Fabric. FortiOS 5.6, het beveiligingsbesturingssysteem van Fortinet, ondersteunt de Security Fabric, vertelt Zeebregts. “Het maakt de essentiële automatisering en bouwstenen mogelijk voor het verwerken, uitwisselen en inzetten van beveiligingsinformatie voor

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 7

TRENDS Intent-Based Network Security.” De Security Fabric is echter geen verzameling van Fortinet oplossingen alleen. Het is tevens een omvangrijk ecosysteem van allerlei leveranciers die gezamenlijk het hele grenzeloze netwerk beveiligen, van endpoint tot de cloud. Fortinet werkt nauw samen met deze leveranciers aan de ontwikkeling van open API’s voor de Security Fabric. “Organisaties kunnen daardoor de oplossingen van Fortinet gebruiken en in combinatie met zowel bestaande als nieuwe beveiligingstechnologieën inzetten in hun IBNS-omgeving”, aldus Zeebregts. IBNS kan het netwerk dynamisch segmenteren, geïnfecteerde apparaten in quarantaine zetten en malware verwijderen. Nieuwe of gewijzigde apparaten, gebruikers, processen of diensten krijgen automatisch de juiste beveiligingsmaatregelen toegewezen. Zeebregts: “Zo zorgt IBNS voor een brede reactie op bedreigingen die veel meer omvat dan de optelsom van de afzonderlijke beveiligingsoplossingen die het netwerk bewaken.”

Machine learning en kunstmatige intelligentie De samenwerking tussen een breed scala aan beveiligingsoplossingen in een IBNS-oplossing is mogelijk omdat de nieuwste generaties van deze producten beschikken over kunstmatige intelligentie en machine learning. “Deze technologieën groeien uit tot belangrijke bondgenoten in de strijd tegen cybercriminaliteit”, zegt Zeebregts. “De ‘things’ binnen het Internet of Things en de data in de cloud zijn de meest aantrekkelijke doelwitten en ingangspunten voor cybercriminelen. Het beveiligen daarvan is een uitdaging op zich. Machine learning zet daarvoor de rijkdom aan gegevens in die Internet of Things (IoT)-apparaten aanleveren. Kunstmatige intelligentie maakt voorspellende applicaties mogelijk die helpen om cybercriminelen af te weren.” Een van de grootste uitdagingen die gepaard gaat met de inzet van kunstmatige intelligentie en machine learning schuilt in de kwaliteit van bedreigingsinformatie. Die is namelijk uiterst vatbaar voor ‘false positives’ (onterechte waarschuwingen) als gevolg van het dynamische karakter van het IoT. “Het bedreigingslandschap kan in een kwes-

STRATEGIE

IT-LEVERANCIERS MOETEN INHERENT VEILIGE OPLOSSINGEN LEVEREN

‘Securitystrategie

in Nederland moet radicaal anders’

Vincent Zeebregts tie van seconden veranderen”, weet Zeebregts. “Een systeem kan op het ene moment schoon zijn, de volgende seconde geïnfecteerd zijn en het moment daarop alweer vrij zijn van malware. Het verbeteren van de kwaliteit van bedreigingsinformatie is van cruciaal belang in een tijd waarin IT-afdelingen meer beveiligingstaken toevertrouwen aan kunstmatige intelligentie. Daar is vertrouwen voor nodig, en daar schuilt meteen de unieke uitdaging in.” De beveiligingsbranche kan zich volgens Zeebregts niet permitteren om kunstmatige intelligentie en machine learning de volledige regie in handen te geven. “We moeten zorgen voor evenwichtig beveiligingsbeheer door middel van procedures die eventuele problemen naar mensen escaleren. Deze werkrelatie tussen mensen en machines zorgt ervoor dat kunstmatige intelligentie en machine learning werkelijk effectieve beveiliging bieden.” Momenteel leggen mensen verbindingen, wisselen bedreigingsinformatie uit en passen die toe op beveiligingssystemen. Volgens Zeebregts kan kunstmatige intelligentie die taak in de toekomst deels zelfstandig uitvoeren. “Volledige automatisering, waarbij machines alle beslissingen volledig zelf nemen, blijft echter een onhaalbare kaart. Mensen en machines moeten altijd blijven samenwerken.” Bovendien gaat ook met kunstmatige intelligentie en machine learning het

8 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

De huidige securitystrategie in Nederland is achterhaald. Security wordt nog steeds massaal als oplossing achteraf verkocht. Terwijl iedereen weet dat die aanpak niet meer voldoende is om cyberdreigingen het hoofd te bieden. Erik Remmelzwaal, directeur bij DearBytes, vindt dat securityen IT-partijen in actie moeten komen om samen inherent veilige oplossingen te leveren. “Uiteindelijk moeten securityleveranciers zoals we ze nu kennen overbodig zijn.”

kat-en-muisspel tussen beveiligingsexperts en cybercriminelen gewoon door. “De nieuwe generatie malware maakt ook gebruik van kunstmatige intelligentie”, zegt Zeebregts. “Er bestaat al malware die gebruikmaakt van machine learning om aanvallen succesvoller te maken. Deze nieuwe generatie malware is contextbewust, wat betekent dat het begrijpt in welke omgeving het zich bevindt. Het kan dan zelfstandig slimme berekeningen uitvoeren om de volgende actie te bepalen. Deze moderne malware gedraagt zich als een menselijke aanvaller: het voert verkenningen uit, identificeert doelwitten, kiest de beste aanvalsmethode en weet detectie slim te vermijden.”

Remmelzwaal ziet heil in een andere mindset. “Security moet een attribuut zijn, een eigenschap van digitale middelen, in plaats van een toevoeging achteraf. Nederland heeft behoefte aan netwerkconnectiviteit, hardware en software die inherent veilig is. Over digitale veiligheid moet al in de designfase zijn nagedacht. Security-by-design moet de nieuwe norm zijn.”

Juist omdat cybercriminelen een beroep doen op kunstmatige intelligentie, is de Security Fabric vereist, stelt Zeebregts. “We hebben sterk geïntegreerde en uiterst intelligente beveiligingstechnologieën nodig die in staat zijn om uiteenlopende platforms te analyseren, gegevens over bedreigingen met elkaar in verband te brengen en automatisch een gecoördineerde respons in werking te zetten. Kunstmatige intelligentie en machine learning zullen hierbij van onschatbare waarde blijken. Ze zullen het mogelijk maken om de visie van Intent-Based Network Security (IBNS) te realiseren, waarbij zakelijke vereisten automatisch worden vertaald en toegepast op de bedrijfsbrede infrastructuur.”

Onvoldoende aandacht

Goede voorbeeld DearBytes gaf zelf onlangs het goede voorbeeld door samen te gaan met KPN. Volgens Remmelzwaal was de verkoop van DearBytes een logische zet en in lijn met de missie. “KPN is gespecialiseerd in connectiviteit en ICT-diensten, wij in security. Dankzij de symbiose van deze diensten, bieden we gebruikers oplossingen die vanuit de basis veilig zijn. Zo dragen we op een andere manier dan gebruikelijk bij aan een veiliger Nederland, en uiteindelijk een veiligere wereld.”

tijen. “Security-by-design vereist specialistische kennis. Die kennis zit bij partijen die nu security leveren als dienst achteraf. Zij moeten op hun beurt die kennis beschikbaar stellen aan software- en hardwareontwikkelaars.”

Onafhankelijke controle Een onafhankelijke partij moet volgens Remmelzwaal vervolgens die veiligheid beoordelen, en onveilige producten van de markt weren. “We hebben bijvoorbeeld de Nederlandse Voedsel- en Warenautoriteit die de veiligheid beoordeelt van voedsel en consumentenproducten. Die controle is echter nog niet doorvertaald naar het digitale tijdperk. Ze moeten digitale veiligheid meenemen in hun beoordeling. Dat verkleint de kans dat je een inherent onveilig product koopt.”

Factor mens De factor mens speelt ten slotte een cruciale rol. Voldoende security-awareness is volgens Remmelzwaal onmisbaar. “Wie wil overleven in deze digitale wereld, moet zich ook bewust zijn van de gevaren die daarmee gepaard gaan. Oplossingen kunnen nog zo veilig zijn, met ondoordacht gebruik zet je alsnog de poort voor cyberdreigingen wagenwijd open.” Volgens Remmelzwaal kan educatie daarbij helpen. “Voorlichting is enorm belangrijk. We moeten zorgen dat mensen in een vroeg stadium in hun leven al een stukje bewustzijn wordt bijgebracht. We kennen zoiets als seksuele voorlichting, maar wat mij betreft mag security-voorlichting net zo veel aandacht krijgen.”

Op dit moment geven veel IT-leveranciers de veiligheid van hun producten en diensten onvoldoende aandacht. “Internet of Things-apparaten zijn daarvan doorgaans een goed voorbeeld. Daar zie je standaardwachtwoorden die gebruikers niet hoeven aan te passen en patches die niet of laat verschijnen. De gevolgen hebben we kunnen zien tijdens de aanvallen van het Mirai-botnet vorig jaar. Dat botnet bestond uit honderdduizenden gekaapte IoT-devices.”

Samenwerking tussen IT- en securityleveranciers Een andere mindset tijdens de ontwikkeling van IT-oplossingen is niet voldoende. IT-leveranciers moeten veel meer de samenwerking zoeken met securityparErik Remmelzwaal INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 9

STRATEGIE men die hier gebruik van maken. Tot zover overzichtelijk. Als we een laag dieper gaan, zien we direct complexiteit ontstaan. Immers, wat gebeurt er eigenlijk op dat netwerk behalve het verplaatsen van data van A naar B? Is het een intern netwerk of verplaatsen we data via het internet? Staan de systemen of applicaties in de cloud? Welke besturingssystemen en applicaties draaien er op de systemen? Welke systemen zijn er überhaupt aangesloten op het netwerk? Dit is nog maar het topje van de ijsberg.

Voorkomen is beter dan genezen

Cyber

Security Monitoring Tegenwoordig is een firewall en virusscanner al lang niet meer afdoende om ons te wapenen tegen cybercriminelen. Met de komst van de cloud is data overal en het ‘bring your own device’-concept brengt ook zo zijn eigen security gerelateerde uitdagingen met zich mee. Het ligt dan ook voor de hand om de beveiliging in te richten rond de data zelf. Je wilt immers op elk moment van de dag zeker weten dat je de baas bent over je data en kunt bepalen wie er iets mee mag doen.

10 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

Dan nu de praktijk; veel bedrijven hebben geen zicht op welk soort data ze hebben, wie de eigenaar is, welke classificatie een bestand heeft en waar de data zich ergens bevindt. Inmiddels zijn er enkele vooruitstrevende bedrijven met deze uitdaging gestart. Een goede ontwikkeling, maar het zal nog vele jaren duren voordat de rest volgt. Redenen genoeg om goede Cyber Security Monitoring in te richten.

Het landschap Als je naar het technische IT-landschap kijkt, dan kun je dit grof indelen in het netwerk en de syste-

Om beveiligingsincidenten te beperken of waar mogelijk te voorkomen, is het belangrijk om de IT-security goed op orde te hebben. Het is bijvoorbeeld een must om altijd de laatste security updates te installeren op de systemen, netwerkcomponenten en applicaties. Het gebeurt echter zelden dat organisaties dit goed ingeregeld hebben en daarnaast ook de controle hierop afdoende hebben ingericht. Dit is ook wel logisch, want het is een kostbare, arbeidsintensieve en soms zelfs vervelende bezigheid om alles constant actueel te houden, dit goed te managen en de resultaten te controleren. Helaas weten cybercriminelen dit ook. Dit resulteert al snel in de eerste gaten in de beveiliging. Het gebeurt nog te vaak dat iemand per ongeluk op een link in de mail klikt, of een geïnfecteerde USB stick van thuis gebruikt. Gelukkig zijn er uitstekende oplossingen beschikbaar om automatisch het IT-landschap te voorzien van updates en te scannen op kwetsbaarheden. Er bestaat zelfs tooling waarmee je het hele vulnerability management proces volledig geautomatiseerd kunt laten plaatsvinden. Van het informeren van de systeemeigenaren over de gevonden kwetsbaarheden tot het automatisch controleren of de herstelwerkzaamheden naar behoren zijn uitgevoerd.

Op zoek naar de verschillen Er gaat veel dataverkeer over het net-

werk alle kanten op. Helaas liften hier ook wel eens ongenode gasten mee. Het is dan ook belangrijk om constant mee te kijken. Niet zozeer wat er allemaal voorbij komt, maar voornamelijk welke afwijkingen er voorbij komen. Goede voorbeelden van dergelijke afwijkingen zijn virussen, onverwacht grote dataoverdracht en de ransomware WannaCry van mei dit jaar. Dergelijke zaken zijn met de juiste monitoring tools snel te herkennen. Uiteraard zitten de cybercriminelen niet stil en zoeken constant naar nieuwe manieren om binnen te dringen, gevoelige data te stelen of data te gijzelen en tegen betaling weer beschikbaar te stellen. Het is daarom aan te raden om een Cyber Security Sensor in het netwerk te plaatsen die dagelijks wordt gevoed met nieuwe dreigingen en deze kan herkennen. Het lastige is dat er voor de analyse en opvolging vaak veel specifieke kennis nodig is. Iets dat niet altijd bij elke organisatie aanwezig is.

Logfile analyse Maar wat nou als een cybercrimineel toch een gaatje heeft gevonden en onzichtbaar is gebleven? Er komen immers dagelijks nieuwe zero-day kwetsbaarheden bij en cybercriminelen worden met de dag slimmer. Door logfiles van allerlei bronnen te verzamelen en deze slim te correleren en te analyseren is het mogelijk om deze onzichtbaar gebleven cybercriminelen alsnog te ontdekken. Het zou bijvoorbeeld raar zijn als een directe collega op het financiële systeem is ingelogd vanuit Nederland en een uur later vanuit een land aan de andere kant van de wereld. Dit is een simpel voorbeeld, maar het illustreert wel de kracht van het gebruik van logfile analyse. Het voorbeeld zoals hierboven beschreven vertoont veel uiterlijke kenmerken van een SIEM. Een kostbare investering voor organisaties. Gelukkig zijn er tegenwoordig SIEM-oplossingen die van nieuwe technieken en inzichten zijn voorzien en daarnaast ook goed betaalbaar zijn. Zelfs voor de wat kleinere organisaties.

'Cybercriminelen gebruiken steeds geavanceerdere methodes voor hun aanvallen en werken ook steeds nauwer samen. Zorg ervoor dat u ze bij kunt houden' Conclusie Cyber Security Monitoring is hard nodig. Door een combinatie van goed Vulnerability Management, een Cyber Security Sensor die de afwijkingen in het netwerkverkeer in de gaten houdt en een next generation SIEM is het mogelijk cybercriminelen een stap voor te blijven. Nováccent heeft in nauwe samenwerking met haar klanten een tweetal ondersteunende producten ontwikkeld onder de naam VAMP en TITAN. Deze set met tools kan tevens in één platform worden samengebracht waardoor er een Integraal Cyber Security dashboard ontstaat met een compleet zicht op het kwetsbaarhedenlandschap vanuit diverse invalshoeken. Deze real-time inzichten in combinatie met de analyses en het advies van de security analisten uit ons Security Operations Center, zorgen ervoor dat u kunt vertrouwen op de betrouwbaarheid van uw IT-omgeving waardoor u zich weer kunt focussen op uw core business. Nieuwsgierig naar meer details? Neem contact op met info@novaccent.nl. LUCK BRON, Director Security Operations Nováccent

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 11

ONDERZOEK

'De grootste uitdaging voor veilig printen is het gebrek aan aandacht voor het onderwerp'

Veilig printen in de Benelux:

werk aan de winkel! De rol van printer en MFP is een bijzondere in de informatievoorziening van een organisatie. Het is de plek waar digitale informatie fysieke vorm krijgt en vice versa. Het is ook het punt waar de verantwoordelijkheid van de IT-afdeling abrupt eindigt en waar die volledig bij de werknemer komt te liggen. Hoewel die scheiding helder lijkt, blijkt dat in de praktijk niet zo eenvoudig te liggen binnen veel organisaties in de Benelux. Al was het maar omdat printers en de bijbehorende dienstverlening lang niet altijd aangeschaft worden door de IT-organisatie. De printomgeving lijkt binnen veel organisaties wat IT-beveiliging betreft op een rafelrand. Beleid ontbreekt vaak, of is beperkt en het is lang niet altijd duidelijk wie er verantwoordelijk is, los van de individuele gebruiker zelf.

Om in kaart te brengen in welke mate organisaties in de Benelux zich risico’s veroorloven en wat ze daar aan zouden kunnen doen, heeft Pb7 Research in opdracht van HP Inc een onderzoek gedaan on12 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

der IT-beslissers, IT-security professionals en andere medewerkers die verantwoordelijk zijn voor de aanschaf en het beheer van printers/MFP’s bij meer dan 200 organisaties in Nederland en België met 50 of meer medewerkers. Daarbij hebben we vooral gekeken naar het bewustzijn, de incidenten, de uitdagingen waar organisaties mee worstelen en de mogelijke oplossingen.

Printer security als ondergeschoven kindje Als we het met de respondenten over security incidenten hebben in de printomgeving, blijkt men zich vooral bewust van het risico dat vertrouwelijke informatie door onbevoegden wordt ingezien of meegenomen. Op zich is dat niet zo vreemd, want op dat gebied lijken ook de meeste incidenten plaats te vinden. Bij zeker één op de vijf organisaties zijn er in de afgelopen 12 maanden afdrukken met gevoelige informatie verdwenen van de printer. En dan zullen we er rekening mee moeten houden dat de meeste van deze incidenten waarschijnlijk onder de radar

blijven. En dat is een steeds groter probleem. Want we hebben ook gevraagd om wat voor gevoelige informatie het dan gaat. In 44% van de gevallen bleek het om privacygevoelige informatie te gaan. Met andere woorden, incidenten die veelal gemeld zouden moeten worden via de Meldplicht Datalekken en waar wel eens grote boetes op zouden kunnen staan zodra volgend jaar de Algemene Verordening Gegevensbescherming van kracht wordt. Om de stroom van vertrouwelijke afdrukken in goede banen te leiden, is het allereerst belangrijk dat medewerkers zich bewust zijn van de risico’s en dat ze daar naar handelen. Dat begint met het aanwijzen van een eindverantwoordelijke en het vastleggen van beleidsregels. Op beide vlakken is zeker nog niet iedereen goed voorbereid. Bij 30% van de ondervraagde organisaties is er niemand eindverantwoordelijk naast de werknemer zelf. En in 46% van de ondervraagde organisaties ontbreekt het aan een duidelijk beleid waarin wordt bepaald hoe medewerkers op een veilige wijze met afdrukapparatuur om dienen te gaan. Kijken we naar het beleid, dan zien we dat daarin vooral wordt vastgelegd hoe medewerkers moeten omgaan met gevoelige documenten en wie er verantwoordelijk is voor de instructie. Ook hoe er zorgvuldig wordt omgegaan met afgeschreven apparatuur staat in de top-3. Toch zien we dat geen van deze beleidsmaatregelen door een meerderheid van de organisaties in de Benelux worden gebruikt. Maar een eenduidig beleid met betrekking tot veilig printen biedt geen volledige garantie. Slechts twee procent van de respondenten die aangaf over een veilig printen beleid te beschikken, geeft aan dat medewerkers zich ook altijd aan

het beleid houden. Het merendeel zegt dat medewerkers zich vaak of bijna altijd er aan houden. Daardoor is het voor iedere organisatie slechts een kwestie van tijd voordat een incident plaatsvindt.

Technische hulpmiddelen Om medewerkers te ondersteunen in de veilige omgang met printers, hebben organisaties steeds meer technische hulpmiddelen tot hun beschikking die

vaak worden meegeleverd op nieuwe afdrukapparatuur. Denk aan authenticatie aan de printer, waardoor een document pas afgedrukt kan worden als iemand een PIN-code intoetst of zich met een pasje legitimeert. Veel organisaties zeggen over dergelijke faciliteiten te beschikken, maar dat betekent nog niet dat het gebruik ook goed vastgelegd is in beleidsregels. Terwijl 71% zegt authenticatie aan de printer te gebruiken,

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 13

ONDERZOEK

‘IT, of IT-security, zal de volledige verantwoordelijkheid moeten nemen over de beveiliging van de printomgeving’ Uitdagingen De grootste uitdaging voor veilig printen is het gebrek aan aandacht voor het onderwerp. Respondenten beklagen zich vooral over het gedrag van medewerkers dat moet veranderen en het gebrek aan prioriteit en beleid binnen de organisatie. Omdat organisaties vaak niet veel verder komen dan dit punt, lijkt er nog maar weinig aandacht voor de veranderingen die plaats vinden in de printomgeving. Zo wordt steeds vaker printen toegestaan door mobiele apparaten van medewerkers én gasten, waardoor nieuwe risico’s ontstaan. Aan de andere kant zijn er steeds meer technische mogelijkheden om veilig te printen, maar ontbreekt het aan de aandacht hiervoor en verdiepen veel organisaties zich hier helaas niet in.

Analyse zegt maar 44% dat het gebruik daarvan verplicht is bij documenten met gevoelige informatie. De meest eenvoudige maatregel om het verdwijnen van documenten te voorkomen, is het gebruik van afdelingsprinters op bijvoorbeeld de financiële afdeling. Hier geldt dat 87% zegt hierover te beschikken. Maar tegelijkertijd geeft 69% aan dat mede-

werkers die toegang hebben tot deze printers ook wel eens gevoelige informatie via andere printers afdrukken.

Netwerkincidenten Terwijl het verdwijnen van geprinte documenten een uitdaging is voor veel organisaties waar nog wel beleid op wordt gemaakt, blijven de risico’s van

14 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

technische kwetsbaarheden veelal onderbelicht. Dat terwijl 9% van alle respondenten aangeeft dat printers in de afgelopen 12 maanden zijn gehackt, dat malware is geïnstalleerd, of dat een hacker via de printomgeving het netwerk heeft weten binnen te dringen. Veel van de respondenten blijken zich er helemaal niet van bewust te zijn dat dit tot de mogelijkheden behoort. Sterker nog, 46% acht het onwaarschijnlijk dat dat mogelijk is. Het gebrek aan bewustzijn van de cybercrime risico’s leidt ertoe dat veel organisaties de technische mogelijkheden die op printers aanwezig zijn om de veiligheid te verbeteren vaak niet gebruiken. Het zorgt er ook voor dat de firmware van printers nogal eens aan de aandacht ontsnapt. Slechts 22% van de onderzochte organisaties zegt regels met betrekking tot het softwareonderhoud van de afdrukapparatuur te hebben vastgelegd.

De rondvraag onder Belgische en Nederlandse bedrijven bevestigt het beeld dat de printomgeving vaak een ondergeschoven kindje is als we naar IT-security kijken. Er is redelijk vaak nog wel beleid over hoe medewerkers dienen om te gaan met het afdrukken van vertrouwelijke informatie, maar daarbij lijkt vaak over het hoofd te worden gezien dat er een digitale informatiestroom aan een afdruk voorafgaat. We zien dat aan de ene kant het beleid ten aanzien van het gedrag van gebruikers nog behoorlijk kan verbeteren, terwijl we aan de andere kant zien dat er onvoldoende oog is voor de technische risico’s en mogelijkheden om dat te beperken. Organisaties zouden er goed aan doen om deze rafelrand aan te pakken. Allereerst dienen er duidelijke verantwoordelijkheden te zijn. Hou daarbij in het oog dat er een dwingend belang bij is, vanuit de privacy weten regelgeving. Dat betekent dat de medewerker wel verantwoordelijk is, maar niet eindverantwoordelijk. Die verantwoordelijkheid

ligt uiteindelijk bij de directie. Los daarvan zal IT, of IT-security, de volledige verantwoordelijkheid moeten nemen over de beveiliging van de printomgeving, ook als de aanschaf als facilitaire verantwoordelijkheid wordt beschouwd. De printomgeving biedt nu teveel mogelijkheden voor kwaadwillenden om het netwerk te betreden. Organisaties dienen allereerst de firmware up-to-date te houden en verder bewuster om te

gaan met de security-mogelijkheden die printers bieden. Dat begint met het ontwikkelen van een visie op welke mogelijkheden nodig zijn. Vooral op het vlak van rol-gebaseerde autorisatie en intrusion detection is daar nog een groot gat. PETER VERMEULEN is directeur van Pb7 Research

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 15

INTERVIEW “Als u een aanval ontleedt, kunt u het onderscheiden in drie fases”, vervolgt Matt. “Eerst moet er iemand binnen komen. Daarna moeten ze toegang krijgen tot de informatie. En als laatste moeten ze de informatie eruit halen. 90% van de branche focust zich 90% van de tijd op het zorgen dat mensen niet binnen komen.” Matt erkent de logica, maar vindt het niet meer realistisch. De kans is namelijk erg groot dat een netwerk wordt gehackt. “We moeten ons realiseren dat we ze niet 100% kunnen tegenhouden, ze gaan op den duur binnenkomen. Daarom focussen wij (PKWARE en SRC) op de tweede stap. We erkennen dat ze binnen gaan komen. Wat wij doen is zorgen dat we ze kunnen herkennen en de gegevens ontoegankelijk maken door middel van encryptie. Ze kunnen het niet lezen of gebruiken en daardoor valt er niets aan te verdienen.”

De 4 componenten van Smartcrypt Data Security Solution

‘Multi-platform

MATT LITTLE (PKWARE):

Smartcrypt-software beschermt meer dan 35.000 bedrijven’ SRC Secure Solutions heeft Matt Little - VP bij data encryptie bedrijf PKWARE - gevraagd om namens ons iets te vertellen over hoe multi-platform Smartcrypt software de gevoelige financiële gegevens van meer dan 35.000 bedrijven beschermt. De eerste keer dat ik van data encryptie had gehoord, kwam door een advertentie achterin een stripboek. Het product was een zwaar geheime ‘decoder ring’, zij beschreven het als ‘het meest geavanceerde high-tech spy gereedschap’. De ring had een alfanumerieke code (A=1, B=2, enz.) wat mij de mogelijkheid gaf om ‘top-secret’ communicatie te hebben met mijn mede spionnen (mijn neef destijds). De meesten van ons gebruiken tegenwoordig encryptietechnologie, we leven allemaal in een technologische omgeving waar informatie het meest waardevolle bezit is. Hierdoor wordt encryptie niet 16 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

alleen maar een goed idee, maar noodzakelijk om in de huidige digitale samenleving te leven. Uw informatie wordt beveiligd door encryptietechnologie bijvoorbeeld wanneer u inlogt in een online account of zelfs bij het pinnen van je boodschappen bij de supermarkt. “Wanneer u nadenkt over hoe de gevaren zijn veranderd in de loop van de tijd, zijn mensen tegenwoordig niet meer alleen uit op het verstoren van online diensten of hun concurrenten platleggen”, zegt Matt Little. “Ze doen het niet voor de lol, ze doen het om geld te verdienen.” In een enquête van Duke University/CFO Magazine Global Business Outlook uitgevoerd in 2015 bleek dat er bij meer dan 80% van de Amerikaanse bedrijven digitale inbraken waren geweest, met als doel persoonlijke klant gegevens te stelen of te wijzigen. Wereldwijd melden meer dan 85% van de bedrijven weleens te maken hebben gehad met inbraken op hun data.

Hoe voorkom je dat jouw data gestolen wordt? Begin door goed te plannen, wat als er een indringer het netwerk binnen komt, en er is gezorgd dat de verdediging goed opgesteld staat? Een kasteel stort niet in als de vijand de gracht over is gestoken, ze moeten immers eerst nog over de muur heen zien te klimmen. “Je moet een gelaagde strategie hanteren voor het beveiligen van je gegevens”, vertelt Matt. “Je moet meerdere lagen creëren, je moet ervan uit gaan dat indringers door de verschillende lagen heen gaan breken en je moet verschillende beveiligingslagen hebben, iets om je netwerk te beveiligen, iets voor je apparatuur en beveiliging voor je gegevens.” Voor SRC en PKWARE is dataencryptie (gegevens versleuteling) het belangrijkste wapen tegen inbraak, het kan de schatkist onbruikbaar en dus waardeloos maken voor de hackers. Hiervoor is het Smartcrypt platform uitgebracht, het combineert vier encryptie componenten tot een flexibel data security product. 1. De applicatie die gegevens versleutelt In de kern van het platform bevindt zich de applicatie, deze verricht het zwaarste werk. De applicatie kan worden geïnstalleerd op de systemen van de eindgebruiker en alle apparatuur die toegang heeft tot bedrijfsgegevens. “De

Smartcrypt applicatie is een end-to-end versleutelingsapplicatie, het wordt op ieder endpoint en server geïnstalleerd. De gegevens worden versleuteld wanneer ze worden opgevraagd, en decryptie vindt alleen plaats wanneer de gegevens gebruikt worden via een geautoriseerd systeem.” De applicatie gebruikt PKWARE’s Smartkey technologie. De versleuteling wordt automatisch uitgevoerd volgens de bedrijfsprocedures. Sleutels kunnen automatisch worden gegenereerd, gesynchroniseerd en uitgewisseld worden zonder dat de eindgebruiker daar tussen zit. 2. De Manager die beheer geeft over de organisatie De Manager is het brein van het systeem. Hier kunnen beheerders versleuteling regels en de beveiliging procedures bepalen. “De Manager is het controlecentrum die het beleid hanteert en behandelt de uitwisseling van de sleutels. Banken gebruiken digitale certificaten als sleutel, het is een stuk sterker dan een wachtwoord maar het vraagt duidelijke planning en structuur om dit te beheren. Soms moeten de sleutels verplaatst worden, of op inactief gesteld wanneer ze verloren of gestolen zijn. Je kan ze ook gebruiken om gegevens digitaal te versnipperen als ze uit de omgeving worden gehaald.” Ook geeft de geavanceerde reporting-tool van de Manager de beheerders zicht over al de encryptie activiteit binnen de organisatie. Er kan gezien worden wat er versleuteld wordt, wie erbij kan en waar de data naar toe is gegaan. 3. De SDK die een eenvoudige interface biedt aan ontwikkelaars Ondanks het feit dat de Smartcrypt applicatie de gebruikers een inclusieve oplossing biedt, wil of kan niet iedere organisatie ‘third party’ software draaien. Organisaties die zelf veel ontwikkelen willen mogelijk liever met de ‘Software Development Kit’ (SDK) werken. “Het is erg gebruikelijk voor financiële organisaties om zelf hun applicaties te schrijven, wat wij bieden is een SDK, dit maakt het mogelijk voor deze organisaties om onze versleutelingstechniek direct in hun eigen applicatie te bouwen.” Wanneer men de SDK implementeert, verkleint dit de afstand die de data af moet leggen voordat het versleuteld

wordt. Een korte route betekent minder kans dat de gegevens onderschept worden. 4. De ‘Transparant Data Encryption’ die ‘slapende’ gegevens beveiligt Het Smartcrypt platform limiteert zichzelf niet alleen tot gegevens die opgevraagd worden. TDE is de vierde component van Smartcrypt en beveiligt opgeslagen gegevens op enterprise servers. “TDE maakt het mogelijk voor bedrijven om makkelijk hun informatie te beveiligen. TDE doet dit door de database, de backups en de transitie log bestanden die in rust zijn te versleutelen. Hiermee voorkom je dat hackers toegang krijgen tot opgeslagen gegevens die niet per se direct in gebruik zijn.” Om TDE te gebruiken hoeft er niks veranderd te worden binnen de codering of configuratie van een applicatie. Dit maakt het gemakkelijk voor organisaties om de compliance te beheren. “Met Smartcrypt TDE kan PKWARE de security bij klanten sterker maken en tegelijk de vraag om versleuteling op bestandsniveau waarmaken”, vertelt Matt. “Beveiligingssystemen die zich richten op het netwerk en de apparatuur hebben vaak lekken die onopgemerkt zijn en blijven. Met de Smartcrypt technologie is het erg makkelijk voor bedrijven om hun gegevens te versleutelen en de waarde van gestolen of gelekte informatie te verkleinen.” Voor meer informatie over PKWARE Smartcrypt en SRC kijk op srcsecuresolutions.eu.

Matt Little

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 17

SECURITY

CYBERSPACE ALLEEN BETREDEN BIJ BEVEILIGING AAN DE BRON, HET OS EN DE APPLICATIE

De mythe

van veilig offline computergebruik Als we veilig willen werken, dan houden we onze computers offline. Het is maar de vraag of die schijnzekerheid ook door de hoofden speelde bij al die IT-professionals, betrokken bij de autofabrikant Renault, de Britse NHS-ziekenhuizen, de parkeerbeheerder QPark en de Duitse spoorwegen. Wat we wel weten is dat ransomware ’WannaCry’ waarschijnlijk tienduizenden computers heeft geïnfecteerd in meer dan 100 landen.

Cyberaanvallen op grote schaal voltrokken zich tot dusver voornamelijk via het e-mailverkeer met virussen, verstopt in de aangehechte bestanden van e-mailberichten. WannaCry richtte zich niet tot de PC’s van individuele gebruikers. De ransomware infecteerde onder meer kaartjesautomaten en digitale dienstregelingen. Er is dus een ander aanvalsplan gevolgd, waaraan wellicht toch een fout van een individuele computergebruiker ten grondslag ligt. Iemand heeft bijvoorbeeld een geïnfecteerde website bezocht. Virussen op websites gedragen zich anders dan hun pendanten in het e-mailverkeer. Browsers en zeker browser plug-ins hebben zwakke plekken waarlangs een infectie zich kan verspreiden. Echt verraderlijk is het scenario wanneer er helemaal geen individueel computergebruik aan te pas komt. Bijna elk modern computersysteem, groot en klein, werkt met processen en services op de achtergrond. Indien een aanvaller erin slaagt die processen te voeden met gemanipuleerde data, heeft hij in principe toegang tot de andere delen van het computersysteem. De controle over de computer laat zich volledig overnemen. Wanneer deze is aangesloten op een netwerk, heeft de aanvaller zich toegang verschaft tot het netwerk. In complexe software, zoals bijvoorbeeld operating systems (OS) zijn altijd dergelijke zwakheden te ontdekken. Er bestaan specialisten in het opsporen van die zwak18 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

ke plekken. Zij brengen de software ontwikkelaars daarvan op de hoogte en gunnen hen de tijd met een tussentijdse oplossing (patch) te komen. Pas na verloop van tijd verneemt het grote publiek iets over het probleem en de voorhanden patch.

Kennis zwakheden voor hoogste bieder Kwaadwillende onderzoekers van zwakke plekken verkopen hun bevindingen aan de hoogste bieder. Dit blijkt een bloeiende business te zijn. De software ontwikkelaar weet van niks, terwijl een selecte groep ’ingewijden’ hun kennis ruimschoots kan misbruiken. In het geval van algemeen bekende zwakheden zijn gebruikers in de gelegenheid hun besturingssystemen tijdig te beschermen door het aanbrengen van de beveiliging updates. Maar dat moeten ze dan ook echt doen en er niet alleen over praten. De vraag is terecht of we ons door het offline gebruik van computers wel kunnen afschermen tegen cyberaanvallen, want in een ’connected world’ zijn individuele systemen zelden altijd helemaal offline. Er zijn altijd momenten waarop software een functionele update ondergaat. Een onderhoudsmedewerker zal op de een of andere manier toegang moeten hebben tot bepaalde delen van de softwarecode. Zelfs in een omgeving met de hoogste beveiligingsclassificatie, zoals bij een nucleaire elektriciteitscentrale, werken servicetechnici geregeld aan de programmatuur van de besturings- en controlesystemen. Waar halen zij hun updates vandaan? Lopen zij nog rond met CD’s, gebrand vanaf verschillende computersystemen? Zelfs al zouden ze de gewenste code handmatig intikken, dan nog is er geen zekerheid, wanneer je niet weet of er achter die ingevoerde instructieregels geen virus schuil gaat.

Alleen selectief online gaan Selectief online gaan op een gecontroleerde manier: ligt daarin de oplossing? Via een zware firewall alleen verbindingen toestaan met bekende systemen die de computer in de nucleaire elektriciteitscentraINFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 19

SECURITY le nodig heeft om zichzelf te reorganiseren. Maar in hoeverre zijn die update servers te vertrouwen? De tijd, nodig voor het grondig controleren van die systemen en de toegangspoorten, zou wel eens ten koste kunnen gaan van de snelheid waarmee het betreffende computersysteem een update moet ondergaan. Des te langer je daarmee wacht, des te kwetsbaarder het systeem. De oude stelregel van veilig updaten gaat nog steeds op: zo min mogelijk en zoveel als noodzakelijk. Cyber security gericht op het beveiligen van de poorten van computersystemen moet, maar beveiligen vanuit het ontwerp van een systeem is beter. Terug naar de basis dus met het afschermen van de software tegen ongeoorloofd gebruik en ongewenste aanpassingen via een adequate licentieregistratie. En dan kan je daarna beslissen of je de software gratis ter beschikking stelt of juist niet. Het gaat allereerst om het effectief beveiligen van kwetsbare besturingssystemen. Veel moderne besturingssystemen van vitale toepassingen binnen industriële omgevingen en nutsvoorzieningen (water, gas en elektriciteit) zijn gebaseerd op standaard hardware met standaard operating software als VxWorks, QNX, Windows of Linux Embedded. Ook in de Run-time omgevingen wordt vaak een gedeelde standaard toegepast, bijvoorbeeld CODESYS. Een fysieke scheiding van besturingssystemen en de apparaten of de productiemachines levert geen extra bescherming op. Vanuit hun laptops hebben servicemonteurs toegang tot controllers. De back ups van software en data, alsmede de instellingparameters zijn elders opgeslagen. Ze komen allemaal tezamen in de processor van het embedded computersysteem of de procescontroller (PLC). Dat is de plek waar de beveiliging cruciaal is. De controllers bevatten alleen uitvoerbare (run) code, waarvoor de configuratiegegevens en de parameters zijn vrijgegeven door daartoe gemachtigde functionarissen. De meest besturingsmodules zijn op locatie op te waarderen met nieuwe functionaliteit, terwijl gelijktijdig tijdens die sessie ’bugs’ zijn te ’fixen’. Als een onderhoudsspecialist toegang heeft tot software, kan een hacker er ook bij. Via een secure boot is misbruik te voorkomen.

HEt keNNiseveNt Over COMputerruiMtes, DataCeNters eN ClOuD COMputiNg

LVD, een Belgische fabrikant van metaalbewerkingsmachines, beveiligt het geavanceerde besturingssysteem met CodeMeter

Cryptografische versleuteling en digitale handtekeningen Bij deze beveiligde opstartprocedure starten alle systeemonderdelen, inclusief de bootloader, vanuit een cryptografisch beveiligde omgeving die de betrouwbaarheid waarborgt. De afzonderlijke onderdelen van het besturingssysteem zijn voorzien van digitale handtekeningen van de producent en de technische manager van het productiebedrijf dat de PLC’s toepast. In het controleproces verifieert elke laag in het systeem of de volgende mag worden opgestart. De bootloader controleert het OS, dat op zijn buurt de run-time omgeving controleert, waarna van daaruit de applicaties inspectie ondergaan (applicatie runtime, applicatie configuratie data). In deze controleketen is het van belang dat de publieke sleutel van de eerste laag geen verandering ondergaat. Daarmee is de beveiliging van de gehele keten verankerd. Een pre bootloader in de vorm van een ’systemonchip’ (SOC) of een Trusted Platform Module (TPM) is waarschijnlijk het meest optimaal. Minder kostbaar is het toepassen van een tweevoudige bootloader, waarvan het deel met het initiële laadprogramma niet is te wijzigen. Aanvullende beveiligingsvoorzieningen zorgen ervoor dat een laag nagaat of de bewerking in de vorige laag correct is verlopen. De contro-

20 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

le moet beide kanten op kunnen gaan. Voor de teruggaande controle volstaat een dongle met een usb-connector, (micro)SD-kaart of CF-kaart. Op dit externe, goed afgesloten blokje elektronica, is een zogeheten ’state machine’ aangebracht, die met een daarmee corresponderende versleutelde code de status van het opstartproces registreert. De ontcijfering voor het opstarten van de volgende laag vindt alleen dan plaats, wanneer is vastgesteld dat het voorgaande proces correct is verlopen en de status op de dongle is vastgelegd. De diverse software onderdelen laten zich dus nooit afzonderlijk en in samenhang door hackers simuleren. Door het opnemen van een script met hash codes tussen de instructieregels, is met zekerheid vast te stellen of bepaalde programma’s nog dezelfde kenmerken hebben als toen ze voor het eerst werden geactiveerd. In de industriële wereld is het heel gebruikelijk om door middel van encryptie via hash codes en handtekeningcertificaten de verschillende lagen te controleren. De meeste moderne besturingssystemen voor ’embedded’ applicaties hebben de mogelijkheid om op het niveau van de ’bootloader’ de integriteit van het OS te laten checken alvorens deze te activeren. . MARCEL HARTGERINK, directeur Wibu-Systems Benelux

iT ROOM iNfRA 2017 14 NOveMBer

• WarMtE

1931 CONgresCeNtruM

• eNergiE

DeN BOsCh

• ONtwerpeN eN MaNageN • iMpaCt iOT • Data CeNtraal

Registreer u online voor een bezoek aan het event Bekijk de deelnamevoorwaarden op de website

www.itrOOMiNfra.Nl

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 21

TRAININGEN

BLOG

NEN introduceert

examen voor beveiliging industriële systemen NEN introduceert een examen voor de NEN-training ‘IEC 62443: Cyber security voor Industrial Automation and Control Systems’. Eindgebruikers en toeleveranciers binnen industriële proces- en productieomgevingen kunnen met behulp van het examen aantonen dat zij over de nodige expertise beschikken om in een IACS-omgeving een beleid op te zetten en te implementeren in overeenstemming met IEC 62443 en Europese regelgeving.

Binnen de industriële sector en installatiebranche is een sterke behoefte aan gekwalificeerd personeel op het gebied van cybersecurity. Uitval van primaire bedrijfsprocessen kost geld en kan gevaarlijke situaties opleveren. Deelnemers van de NEN-training ‘IEC 62443: Cyber security voor Industrial Automation and Control Systems’ kunnen vanaf september de mogelijkheid hun deskundigheid op het gebied van de IEC 62443-normenreeks testen door de training af te sluiten met een examen.

NEN-examencertificaat De IEC 62443-normenreeks is een wereldwijd geaccepteerde standaard om cybersecurity in te regelen.

De normenreeks biedt praktische handvatten voor het opzetten van een effectief cybersecurity beleid voor industriële proces- en productieomgevingen. Hierbij wordt een balans gemaakt tussen mens, techniek en organisatie. Zowel eindgebruikers als toeleveranciers hebben hiermee een uniform vertrekpunt bij het beschermen van de primaire processen tegen cyberaanvallen. Medewerkers kunnen hun IEC 62443-deskundigheidsniveau aantonen door het behalen van het NEN-examencertificaat. De training ‘IEC 62443: Cyber security voor Industrial Automation and Control Systems’ wordt door NEN in samenwerking met Hudson Cybertec aangeboden. Na het afronden van het examen is de deelnemer aantoonbaar een ‘IEC 62443 security professional’ die de kennis heeft om in een industriële automatiseringsomgeving een protocol op te zetten en te implementeren in overeenstemming met IEC 62443 en Europese regelgeving.

Ieder kwartaal beschikbaar Het examen kan ieder kwartaal worden afgelegd bij NEN in Delft en wordt onder toezicht afgenomen. Om zeker te stellen dat de exameneisen aansluiten op de behoeften van de sector, is de behoefte gepeild bij vertegenwoordigers van de belanghebbende partijen FME, FHI, NCSC, Uneto-VNI, Verbond van Verzekeraars, VNAB, VNCI en Deltalinqs.

Wie

betaalt uw ransomware-rekening? Nu de grote aandacht voor de ransomware-aanval met Wannacry wat is weggezakt, is wellicht ook het moment gekomen om even wat afstand te nemen: wat is er nu eigenlijk gebeurd? 14 jaar oude OS’en Allereerst het speelveld. John Gunn, Chief Marketing Officer van security-specialist Vasco Data Security, typeerde de situatie heel aardig toen hij zei: “In een wereld waarin security-technologie een snelle ontwikkeling doormaakt, moeten we niet verbaasd staan als 14 jaar oude operating systemen gevoelig zijn voor aanvallen. De verantwoordelijkheid daarvoor ligt bij hen die vertrouwen op archaïsche beveiligingsmethoden, waaronder niet-gepatchte besturingssystemen en verouderde authenticatiemethoden. We leven nu eenmaal in een wereld waarin aanvallen opmerkelijk geraffineerd worden opgezet en uitgevoerd en we moeten dus absoluut gebruik maken van de laatste innovaties om ons tegen dit soort aanvallen te beschermen. Zo niet, dan zijn de gevolgen voor de organisaties die besluiten hier niet in te investeren.”

15 patches per dag? Andere topmensen uit de wereld van IT-security lieten zich in vergelijkbare woorden uit. Zo schreef Erik Remmelzwaal van het Nederlandse DearBytes een blog waarin hij een lans brak voor consequent patchen. Maar hij wijst er niet geheel ten onrechte ook op dat patchen inmiddels bijna een industrietak op zich is geworden. Het gaat om vele honderden patches per jaar. Soms wel 15 of meer per dag. Is dat nog wel haalbaar - althans: zonder goede vorm van automatisering? Maar hoe zit het dan met het testen van al die patches? Want wie durft het aan om - zeker in een Windows-omgeving - een software-update door te voeren zonder eerst het effect daarvan op andere software grondig te testen?

Goede oplossingen Is niet het eerste dat we mogen vragen van onze softwareleveranciers dat zij hier fatsoenlijke oplossingen voor ontwikkelen? Oplossingen die bovendien rekening houden met de ongekende complexiteit van de software-stack en het applicatielandschap zoals die binnen alle enterprise-organisaties - grotendeels dankzij diezelfde softwareleveranciers - is ontstaan?

22 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

Aansprakelijkheid Wat dat betreft is het zo langzamerhand meer dan goedkope borrelpraat om de discussie eens aan te zwengelen of softwareontwikkelaars die hun producten op commerciële basis aan afnemers leveren niet veel meer aansprakelijk zouden moeten zijn voor de kwaliteit van de door hen verkochte programmatuur. Waarom worden autofabrikanten die fouten maken wél - en terecht - hard aangepakt, maar halen we onze schouders op als een softwarefabrikant producten levert waarin tal van fouten zitten? Natuurlijk, een bouwbedrijf dat een nieuwbouwwoning oplevert waarvan het dak lekt, zal het gat opsporen en dichten. Maar wat zou er gebeuren als het hele huis vol met gaten zou zitten - van dak tot fundering inclusief de schuur? Waarom accepteren we dan wel software waarin dagelijks nieuwe ‘gaten in het dak’ worden ontdekt?

Verdienvermogen beschermen Hier wreekt zich het gebrek aan aandacht voor ICT in de politiek. Of zoals een politicus laatst tegen mij zei: “Met ICT-onderwerpen trekken we geen stemmen.” Het wordt tijd dat hier verandering in komt. De digitale infrastructuur van Nederland is inmiddels - na Schiphol en de Rotterdamse haven - uitgegroeid tot de derde mainport van het land. En die digitale infrastructuur bestaat niet alleen maar uit glasvezelkabels. Kabels kunnen op zich niet zoveel, het gaat om de software die waardevolle data door die glasvezels stuurt. En met die data verdienen we (veel) geld. Als software ons vermogen om als land geld te verdienen met de digitale infrastructuur in gevaar brengt, wordt het een zaak van nationaal belang om te zorgen dat we oplossingen voor dit soort problemen vinden. Het wordt dus tijd dat we wakker worden en de derde mainport van ons land op een fatsoenlijke manier gaan beheren en beschermen.

ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 23

INTERVIEW

SPEEL GEEN RUSSISCHE ROULETTE MET JE IT-OMGEVING, VERVANG IT-PRODUCTEN TIJDIG

ben een testomgeving gemaakt waarin we verschillende situaties op allerlei facetten kunnen testen. De bijzonderheden die we vinden melden we en vervolgens is het aan de supportafdeling van Zyxel om dit verder via een goed proces te begeleiden op juiste configuratie of op basis van escalatie, intern of eventueel naar het hoofdkantoor in Taiwan.” Het komt ook weleens voor dat Evers de nieuwste oplossingen van Zyxel, bijvoorbeeld Nebula, in zijn testomgeving laat zien aan potentiële klanten. Evers kent de klantbehoefte en kan daar samen met Zyxel met creatieve oplossingen op inspelen. Een goede wisselwerking tussen beide partners is dan ook van belang.

Vervangingsstrategie

Veiligheid IT-omgeving is net zo sterk als de zwakste schakel “Een gegarandeerde uptime van 99,99% is onze expertise”, aldus Jeffrey Evers, eigenaar en consultant van I&S Services. Hoe hij dat met zijn vijf collega’s en de nieuwe Nebulaoplossing van Zyxel, Your Networking Ally, voor elkaar krijgt, vertelt hij hier. Evers is met zijn bedrijf sinds begin 2016 partner van Zyxel. Het bedrijf was op zoek naar een leveran24 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

cier die producten levert met de juiste prijs-kwaliteitverhouding en kwam zo bij Zyxel terecht. I&S Services verkoopt niet alleen de producten van Zyxel in oplossingen, maar ondersteunt ook resellers die zelf onvoldoende expertise hebben met advies. Het kan voorkomen dat resellers een bepaalde security of wifitechnologie hebben gekozen, waarbij ze behoefte hebben aan extra ondersteuning. Evers kent de oplossingen van de leverancier dusdanig goed dat hij de resellers kan adviseren. Daarnaast helpt

Evers hanteert met zijn adviezen regelmatig de strategie van de vervangbaarheid: “Als je niet hopeloos achter wilt lopen, is vervanging noodzakelijk. Na vijf jaar is de kans op defecten 16% groter dan bij nieuwe producten, na zes jaar is dat al 36% groter. Dat is als Russische roulette spelen met je IT-omgeving. Heb je dure producten te vervangen, dan is dat in je portemonnee te voelen. Zyxel zit met zijn prijzen aanzienlijk onder de top van de markt. Dat heeft als voordeel dat je hun producten makkelijk tijdig kunt vervangen. Bij dure producten ben je min of meer verplicht ze langer aan te houden, maar ook deze zijn na vijf jaar verouderd. Met onze vervangingsstrategie door middel van producten met een juiste prijs-kwaliteitverhouding is de klant kostenefficiënter, wendbaarder en up-to-date, en kan hij aan de voorkant van innovatie blijven zitten, bijvoorbeeld op het gebied van veiligheid.”

Veiligheid het bedrijf Zyxel met het verder ontwikkelen van het Zyxel-portfolio op het gebied van onder meer wifi en security. Zo heeft het bedrijf het relatief nieuwe Zyxel Nebula, een cloud network managementoplossing, meerdere keren binnenstebuiten gekeerd. Evers: “Voordat je bij een klant gaat installeren moet het grondig getest zijn op veiligheid en de configuraties bekeken worden, je kunt het immers maar één keer goed doen.”

Testomgeving I&S Services In de testomgeving van I&S Services gaat het bedrijf op zoek naar bijzonderheden in het product. Evers: “We heb-

Bedreigingen zijn aan de orde van de dag. Denk aan hackers die zich van buiten het bedrijf naar binnen werken en valse mails en facturen versturen, bijvoorbeeld door middel van exploits. Maar ook van binnenuit zijn er bedreigingen, zoals medewerkers die per ongeluk ingaan op zo’n valse mail of opzettelijk data willen meenemen als ze het bedrijf verlaten. Evers: “Data gaat tegenwoordig zo snel over de lijnen dat een bedrijf het niet merkt wanneer iemand met kwade intenties of per ongeluk te veel gigabytes aan data uploadt. Vroeger had je zoiets door een trage verbinding naar de buitenwereld direct

'Als je niet hopeloos achter wilt lopen, is vervanging noodzakelijk'

in de gaten. Nu moet je up-to-date securityproducten in huis hebben om zo’n bedreiging tegen te gaan, waarbij we veelvoudig gebruik maken van de Unified Threat Management (UTM) services van Zyxel op de security appliances.” Om een goed securityadvies uit te kunnen brengen, gaat Evers altijd eerst na waar de klant staat, welke infrastructuur er ligt en welke policies gehanteerd worden. Hij licht de hele IT-omgeving door. Een trend van dit moment is bijvoorbeeld Bring Your Own Device (BYOD). Dit is een mooie ontwikkeling, maar wel een die op het gebied van veiligheid veel problemen kan creëren voor een bedrijf. Het is daarom belangrijk dat de basis van de IT goed is. Om het veilig te houden moet je volgens Evers ook het sociale aspect niet uitvlakken: “Een voorbeeld: Als ergens een server staat te encrypten omdat er een randsomware aanval is, dan heeft waarschijnlijk iemand per ongeluk iets verkeerd aangeklikt, bijvoorbeeld op een valse factuur. Daarom moet je mensen regelmatig wijzen op de bedreigingen en ze leren alert te zijn. We sturen dan ook regelmatig mailingen naar medewerkers met de laatste security updates.” Bij een virusuitbraak zorgt I&S Services eerst dat deze stopt en dat de diensten zijn hersteld. Vervolgens wordt onderzocht hoe het virus is binnen gekomen. Bijvoorbeeld door de login te achterhalen van de veroorzaker, zodat diegene geïnformeerd kan worden hoe het is gebeurd. Het bewustmaken hiervan kan soortgelijke problemen in de toekomst voorkomen. Vaak geeft de veroorzaker aan ‘al te denken dat er iets niet klopte’. Behalve het oplossen van security issues en aanvallen is I&S goed op de hoogte van de regelgeving, zowel de Nederlandse als de Europese regels. I&S Service levert zo een totaalpakket aan securityservice.

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 25

INTERVIEW

SAVE THE DA TE

Nebula-voordelen Vooral naar veiligheidsservices en wifi is momenteel veel vraag bij klanten, merkt Evers. Heeft een bedrijf veel satellietlocaties met maar twee of drie medewerkers, dan is het toepasselijker om niet te gaan voor lokale inrichtingen maar voor Nebula van Zyxel. Daarmee kan je alle locaties remote monitoren en overzien. Onlangs heeft I&S Services een uitzendbureau met veertig locaties van Nebula voorzien. Evers: “Met conventionele hardware moest je naar al die veertig locaties rijden om alles in te stellen. Maar met Nebula wordt de vervangingsstrategie van I&S makkelijker uitvoerbaar. Wanneer er defecten zijn, maken we gebruik van dropshipping: de producten van Zyxel, zoals gateways en switches, worden op de locatie van de klant afgeleverd. Nog voordat het product bij de klant is afgeleverd kan het al vooraf in de cloud worden geconfigureerd. De QR-code van het apparaat wordt gescand en de klant hoeft alleen nog maar de stekker erin te steken. De configuratie wordt automatisch op het apparaat gezet en zo is deze direct klaar voor gebruik. Dit alles is mogelijk doordat Nebula cloud based is; dat zorgt voor een enorme schaalbaarheid en de regelgeving is eenvoudig. Onmogelijke routerwijzigingen die voor downtime zouden kunnen zorgen, configureert Nebula bijvoorbeeld gewoonweg niet, dat is dus niet alleen eenvoudiger maar ook veiliger. Zo is de locatie weer snel in de lucht.” Al met al is Nebula op basis van meerdere locaties, centraal beheer en outsourced IT dus sneller, proactief en kostenefficiënter dan conventionele oplossingen. Bovendien zijn de bedrijfsgegevens te beveiligen op applicatieniveau. Dat is geen overbodige luxe volgens Evers, gezien de groei in het aantal gebruikte applicaties en daarmee de groei in aanvallen op applicatieniveau. Nebula heeft niet alleen grote voordelen voor de klant, maar ook voor de activiteiten van I&S Services. Het bedrijf kan nu veel meer klanten tegelijkertijd ondersteunen en ook grotere klanten zijn beter behapbaar. De services van I&S Services zijn nu laagdrempeliger voor veel organisaties. Dit zorgt ervoor dat I&S Services kan helpen de algehele internetveiligheid bij het mkb, mkb+ en de enterprises in Nederland te verbeteren.

GRA

inschrij TIS v 1 septem en vanaf ber 201 7

Jeffrey Evers

'Data gaat tegenwoordig zo snel over de lijnen dat een bedrijf het niet merkt wanneer iemand met kwade intenties of per ongeluk te veel gigabytes aan data uploadt' Toekomst Een oplossing als Nebula vraagt weinig expertise van een IT-beheerder op locatie, vanwege de makkelijke interface die ervoor zorgt dat het configureren van de producten remote kan gebeuren.

Dit heeft tot gevolg dat deze beheerder meer tijd over heeft voor andere projecten. “Wanneer IT-beheerders dit beseffen en de oplossing adopteren zal hun baan er alleen maar interessanter op worden”, voorspelt Evers. Het is dus een kans voor de IT-beheerder die hij met beide armen zou moeten aanpakken. Evers verwacht daarnaast dat het draagvlak voor deze oplossing alleen maar groter zal worden en voor meer veiligheid bij klanten zal zorgen. Hij is enthousiast dat een bedrijf als Zyxel, dat net onder de top van de markt actief is, zich zo durft te ontwikkelen. “Resellers en klanten die mee willen blijven doen moeten mee gaan met zulke innovaties.

WWW.INFOSECURITY.NL WWW.DNCEXPO.NL

We verwachten dat Nebula dusdanig innovatief blijft dat het ook op de lange termijn zal blijven kunnen voorzien in de juiste oplossing op het juiste tijdstip voor onze klanten.”

I&S heeft zich sinds 2007 onder meer gespecialiseerd in het beheren van systemen, servers, netwerken, werkplekken en telecommunicatieservice voor middelgrote en kleinere organisaties. Sectoren waar I&S Services actief is zijn logistiek, financiële dienstverlening, industrie en groothandel. Het bedrijf adviseert ook op het gebied van IT-beveiliging. Een constante veiligheid op het geëiste niveau is pas realiseerbaar na de juiste keuze van producten, configuratie en onderhoud op het gebied van deze beveiliging. Wat vandaag nog veilig is, hoeft het morgen niet meer te zijn. https://www.is-services.nl/

26 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

1 & 2 NOV 2017 JAARBEURS UTRECHT

THEMA: Digital Driven Transformation

In samenwerking met:

Hoofdmediapartner:

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 27

VISIE

VIRTUELE BRANDEN BESTRIJDEN: BENT U KLAAR VOOR EEN INCIDENT?

•

• • •

Waarom het plannen van

Risico’s en scenario’s identificeren

een worst case scenario uw bedrijf verder zal helpen

Bij het denken over incidentrespons moet u per definitie nadenken over wat te doen als er slechte dingen gebeuren. Dit is ongemakkelijk en voelt pessimistisch aan. Vooral kleinere bedrijven houden ervan om optimistisch te zijn en klampen zich vast 28 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

aan mantra’s als ‘het komt wel goed’ en ‘wij zijn toch geen interessant doel’. In securitykringen is er een belangrijk gezegde: er zijn twee soorten bedrijven: degene die weten dat ze zijn aangevallen en degene die dat niet weten. Met andere woorden: alle bedrijven krijgen vroeg of laat te maken met beveiligingsincidenten. Het is dan ook beter om ervoor te zorgen dat je daar als bedrijf op voorbereid bent. Sommige gebeurtenissen die veel aandacht in de media hebben gekregen, zoals de WannaCry-infectiegolf, zijn een belangrijke herinnering aan dit feit. In dit stuk zullen we enkele strategische overwegingen over incidentrespons en -bereidheid bespreken. In de praktijk lijkt de verantwoordelijke voor incidentrespons op een brandweerman die naar een

‘Wat brandt?’ (dat wil zeggen hout, chemicaliën, kunststoffen, metalen, enz.) ‘Hoeveel gewonden zijn er?’ ‘Zijn er nog mensen in het gebouw?’ ‘Wie doet de melding?’ (dit is eigenlijk de minst kritische informatie voor de eerste responders)

brand wordt geroepen. Die wordt soms gestuurd met minimale informatie (‘er is een brand op adres X’) en er wordt van hem verwacht in recordtijd op te treden, waardoor er weinig schade aan eigendommen wordt veroorzaakt en er geen slachtoffers vallen. Om dit doel te bereiken, is informatie veruit het belangrijkste om als brandweerman te hebben. Ieder kind leert dat je bij het bellen van de brandweer de volgende vragen aan een nooddienstverlener moet proberen te beantwoorden: • ‘Wat is er gebeurd?’ • ‘Waar is het gebeurd?’ (op dit moment is de brandweer al onderweg)

Een cruciale vraag die moet worden beantwoord is: wat ziet de organisatie als een risico en op welke incidenten probeert de organisatie zich dus voor te bereiden? Welke scenario’s zou een hypothetische aanvaller (intern of extern) in staat stellen om schade aan de organisatie aan te brengen? Als u alle mogelijke risico’s tegelijkertijd aanpakt, zal het hele project zo schrikwekkend groot lijken dat het waarschijnlijk slechts gedeeltelijk zal worden uitgevoerd, of zelfs volledig op de lange baan zal worden geschoven vanwege de kosten die mogelijk de pan uit zullen rijzen. Om een ietwat extreem voorbeeld te kiezen, als een bedrijf ervoor zou willen zorgen dat zijn datacenter veilig is voor alle door de mens veroorzaakte en natuurlijke rampen en het tegelijkertijd wil beschermen tegen eventuele interne dreigingen, spreken we niet alleen over verschillende projecten die op zichzelf alleen al uitdagend zijn, maar in combinatie met elkaar worden ze zo complex dat de organisatie er niet tegen opgewassen is. De nadruk zou dan ook moeten liggen op die risico’s die een onmiddellijke bedreiging vormen voor de gegevens van een organisatie en de mogelijkheid om producten of diensten te leveren. Toegegeven, een aardbeving of meteoriet kan dit effect ook hebben. Afhankelijk van het gebied waar u zich bevindt, kunnen historische gegevens echter aantonen dat de kans daarop verwaarloosbaar is, in vergelijking met de waarschijnlijkheid dat u te maken krijgt met een datalek of een ander beveiligingsincident. In het algemeen geldt dat we voorbij het punt zijn dat hackers een aanval plegen uit pure nieuwsgierigheid. Het doel van een aanval is meestal het behalen van een strategisch, tactisch of financieel voordeel. De vraag om te stellen is ‘cui bono?’ - wie profiteert ervan als uw organisatie op een specifieke manier wordt aangevallen?

'De nadruk zou dan ook moeten liggen op die risico's die een onmiddellijke bedreiging vormen voor de gegevens van een organisatie en de mogelijkheid om producten of diensten te leveren' Kosten en baten Hoewel het huren van een externe expert kan lijken op een aanzienlijke investering met een onduidelijk rendement, bespaart het de organisatie veel geld op de lange termijn. Het is veel goedkoper om vooraf een consultant in te huren om informatie te consolideren en een plan te formuleren dan deze stappen te moeten zetten wanneer je je middenin incidenten bevindt. Afhankelijk van uw locatie zijn er cijfers beschikbaar die de gemiddelde financiële schade weergeven die een organisatie lijdt in de nasleep van een IT-incident. In Duitsland bedraagt de gemiddelde schade per geval in de MKB-sector 41.000 euro. Met dit in het achterhoofd kan de kans om financiering te krijgen voor een incidentgereedheidsproject aanzienlijk worden verhoogd. Om schade te voorkomen is het verstandig om te werken met experts, ook al kosten deze geld. Immers; de beste persoon om te vragen wat voor soort informatie een incidentresponder nodig heeft in een ‘worst case scenario’, is een incidentresponder. Ook kunnen zij mogelijke problemen in de netwerkinstelling detecteren en advies geven om deze te beperken. Tijdens dit proces moeten alle betrokkenen samenkomen en besluiten nemen. Een starre directie doet er verstandig aan om het concept van een ROI (Return On Investment) los te laten als het gaat om investeringen in beveiliging. In veel opzichten is IT in het algemeen en IT-beveiliging in het bijzonder nog steeds hoofdzakelijk een kostencentrum en draagt niet bij aan de winstgevendheid van een organisatie. De vraag die de directie zichzelf stelt moet dan ook niet zijn: ‘Hoeveel winst halen we uit die investering?’, Maar ‘Hoeveel winst verliezen we in het geval van een incident als we die investeringen niet doen?’. Een toenemend aantal organisaties heeft aan den lijve ondervonden dat zij

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 29

VISIE zonder adequate informatiebeveiliging niet in staat zijn om zaken te doen wanneer een incident zich voordoet. Als het gaat om een gebrek aan informatiebeveiliging, kunnen effecten wel of niet catastrofaal zijn; voorafgaande ramingen zijn moeilijk te maken. Een ander gevaar dat op de loer ligt op dit gebied is de toenemende verplichting om te voldoen aan bepaalde wettelijke en nalevingsnormen die ook een veiligheidscomponent hebben. Nalevingsrichtlijnen kunnen een beveiligingsbasis bieden, maar ze zijn zelden afdoende. Organisaties komen door compliancy in de verleiding om het minimale te doen dat ze nodig hebben om aan de regelgeving te voldoen, maar niet meer. Datalekken zijn in nagenoeg alle gevallen nog steeds mogelijk, zelfs al wordt aan alle standaarden voldaan.

'Er zijn twee soorten bedrijven: degene die weten dat ze zijn aangevallen en degene die dat niet weten'

In een notendop: hoe te beginnen •

Tijd voor de controle De voorbereiding op veiligheidsincidenten is een goede gelegenheid om de netwerkinfrastructuur en enkele van de processen die daarmee verband houden grondig te onderzoeken. Vooral netwerken die over de jaren zijn gegroeid, kunnen zwakke plekke bevatten. Dingen die mogelijk zouden zijn bedoeld als een tijdelijke oplossing voor een probleem dat op een gegeven moment plaatsvond, kunnen nu als vaste inrichting gebruikt worden. Uw worst case scenario heeft hier zelfs geen externe factor nodig om een incident te veroorzaken. Een snelle ‘hack’ kan zich gemakkelijk ontwikkelen tot een volledige ramp. Stelt u zich voor dat een dergelijke oplossing is geïmplementeerd door iemand die het bedrijf al lang geleden heeft verlaten. Het systeem crasht, zonder dat iemand weet waarom. En later blijkt dat een voormalig beheerder een cronjob of script heeft aangemaakt die de service automatisch opnieuw laat herstarten als die crasht. Dus het onderliggende probleem is nooit opgelost, maar om de activiteiten door te laten gaan, is er een snelle oplossing ingebouwd, wat natuurlijk logisch is. En dan houdt de machine waarop dat script draait ermee op. Maak gebruik van de mogelijkheid om uw systeem van deze oude ‘quick and dirty’ fixes te ontdoen. Documentatie is essentieel; zorg ervoor dat - als u niet gemakkelijk van oude hacks kunt ontsnappen - deze in elk geval goed zijn gedocumenteerd. Als u testomgevingen of databases heeft die naar buiten ge-

oplossing zijn, in andere gevallen niet (bijvoorbeeld een distributiecentrum met chaotische opslag). Het ontwikkelen van terugvalstrategieën is iets dat zeker in overweging moet worden genomen bij het ontwikkelen van een incidentresponsplan.

richt zijn, controleer of ze goed beveiligd zijn. Het zou niet de eerste keer zijn dat onbevoegde personen toegang krijgen tot gegevens in onbeveiligde databases. Een fout hierin kan echt het einde van een bedrijf betekenen. Als de controle toont dat kritieke diensten of vertrouwelijke informatie wordt bewaard op hardware die niet-redundant, webgericht of anderszins in onnodig blootgestelde positie is, overweeg dan om deze componenten te verplaatsen en te consolideren.

Verkrijgen van externe bronnen Een andere vraag die moet worden beantwoord, betreft de outsourcing van onderdelen van de incidentrespons. Het inhuren van een team van externe specialisten om dit aspect aan te pakken is zinvol, vooral bij kleinere bedrijven. Grotere bedrijven daarentegen zouden hun eigen toegewijde IR-team moeten hebben vanwege de complexiteit van de omgeving en de eis voor zeer korte

30 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

reactietijden. Toch is het niet onverstandig om daarnaast de mogelijkheid te hebben om extra externe manschappen te kunnen inroepen. Het toestemming krijgen voor het inschakelen van externe hulp is in sommige organisaties een delicaat onderwerp. Het kan interne IT-personeelsleden het idee geven dat de gehele IT zal worden uitbesteed. Er kan dan ook een bepaalde mate van weerstand tegen het plan optreden. Dit project gaat echter niet over een specifiek persoon of diens individuele prestatie in het verleden - het gaat erom om het bedrijf te laten voortbestaan na het worst case scenario. Incidentrespons is immers niet een dagelijkse vereiste. Het beste incidentresponsplan is nog steeds datgene dat nooit in actie hoeft te worden gebracht. Toch, als personeelsleden bang zijn voor negatieve reacties op foutjes of gemakkelijke fixes die zij in het verleden hebben gemaakt, kunnen ze in de verleiding komen om een gefilterde versie

van de realiteit te verschaffen. Dit zou later voor grote problemen kunnen zorgen. De eerste stap in het hele proces van het opzetten van een duurzame mate van incidentenbereidheid zal je geen arm kosten: praat met mensen en kom in contact met deskundigen die je meer inzichten kunnen bieden dan je momenteel hebt.

Pijnpunten & achteruitgang Tijdens dit initiële proces is het nodig om een aantal factoren te definiëren, waaronder de Maximaal Toelaatbare Downtime (MTD) van een bepaalde dienst. Dit concept, afkomstig uit het risicomanagement, vertegenwoordigt cijfers die een directe invloed hebben op een incidentresponsstrategie. In een medische faciliteit is de maximaal toelaatbare downtime voor het lab bijna nul, omdat de afdelingen zoals het traumacenter meestal in een fractie van minuten bepaalde laboratoriumresultaten nodig

hebben. Daarom heeft het lab voorrang tijdens een incidentreactie. Labs die de afdeling oncologie bedienen, zouden daarentegen een paar dagen vertraging kunnen tolereren. MTD kan ook worden gedefinieerd door andere factoren, bijvoorbeeld hoe lang kan een bepaalde dienst niet werken voordat het de verkoopcijfers beïnvloedt? Dit hangt weer af van het bedrijf; een niet werkende webshop kan beperkte schade aanrichten als het een paar uur op een dinsdagavond in juli gebeurt, maar een veel grotere schade midden in het kerstseizoen. Met dit in gedachten kan een strategie worden geformuleerd. Een organisatie moet ook een overzicht krijgen van belangrijke activa en de infrastructuur van de organisatie. Deze initiële planningsfase bestaat waarschijnlijk uit veel vraagtekens. Sommige vragen kunnen ongemakkelijk lijken omdat het de indruk kan geven dat de IT-afdeling nalatig is geweest, hoewel dit in werkelijkheid misschien absoluut niet zo is. Echter, zonder te weten welke diensten en welke machines als kritiek worden beschouwd en dus welke onderdelen van het netwerk speciale aandacht behoeven, wordt het plan onnuttig en onuitvoerbaar. Een ransomware-infectie resulteert vaak in een mate van chaos en verwarring tijdens de dagelijkse werkzaamheden. In veel moderne omgevingen bestaan er nauwelijks terugvalprocedures die niet gebaseerd zijn op computergebaseerde technologie. Sommige delen van een organisatie hebben de mogelijkheid om terug te gaan naar het gebruik van pen en papier om hun meest essentiële diensten te laten draaien, zij het in een lager tempo. Dit overkwam een 911 verzendcentrum in Ohio dat zijn systemen door een ransomware-infectie niet kon gebruiken - dit wierp de operaties ongeveer 25 jaar terug in de tijd. Er zijn gevallen waarin pen en papier een

•

Identificeer het type incident waarop de organisatie zich wil voorbereiden. Zorg ervoor dat de directie het plan ondersteunt. Ondersteuning is meestal gemakkelijker te verkrijgen als er in het recente verleden een incident is geweest. Beoordeel of er bestaande beveiligingsconcepten zijn en controleer of ze kunnen worden aangepast. Als bestaande systemen of processen in uw huidige plan kunnen worden gebruikt, kunnen deze kosten besparen. Let wel, dat ‘pappen en nathouden’ alleen ter wille van het besparen op budget misschien niet duurzaam is op de lange termijn. Wees kritisch op de gegevens die u tijdens het proces ontvangt en maak duidelijk dat het ontwikkelen van dit plan geen prestatiebeoordeling is. Vraag offertes aan van bedrijven die zich specialiseren in Incident Response and Handling, zoals G DATA Advanced Analytics. Bouw een relatie op met die partner - dat bespaart veel tijd op de lange termijn.

TIM BERGHOFF, Security Evangelist bij G DATA

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 31

ONDERZOEK

ICS-CIJFERS:

Incidentervaring: cyberdreigingen op de werkvloer

IT-beveiligingsincidenten

jaarlijks grote kostenpost voor industriële ondernemingen Hoewel de meerderheid van de industriële organisaties meent goed te zijn voorbereid op cyberbeveiligingsincidenten, is dit vertrouwen mogelijk niet gegrond. Een op de twee ICS (Industrial Control System)-bedrijven heeft vorig jaar namelijk tussen een en vijf incidenten meegemaakt, aldus een onderzoek uitgevoerd door Kaspersky Lab. Gezien het feit dat mitigatie van een gemiddeld incident de industriële organisaties tot 255.000 dollar kost, verhoogt deze uitkomst de prijs van ineffectieve industriële beveiliging naar 497.000 dollar per jaar.

De opkomende Industrie 4.0 trend maakt cyberbeveiliging wereldwijd een topprioriteit voor industriële organisaties en voegt nieuwe uitdagingen toe voor het omgaan met ICS. Hiertoe behoren de convergentie van IT en operationele technologie (OT), en 32 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

de beschikbaarheid van industriële controle-netwerken voor externe providers. Om meer inzicht te krijgen in de problemen en kansen waar ICS-organisaties tegenwoordig mee worden geconfronteerd, hebben Kaspersky Lab en Business Advantage tussen februari en april 2017 een wereldwijd onderzoek uitgevoerd onder 359 professionals binnen de industriële cyberbeveiliging. Een van de belangrijkste bevindingen van het onderzoek is een kloof tussen de perceptie en de realiteit van ICS-incidenten. Zo meent 83% van de respondenten goed te zijn voorbereid op een OT/ICS cyberbeveiligingsincident, terwijl de helft van de ondervraagden in de afgelopen 12 maanden te maken had met één tot vijf IT-beveiligingsincidenten, en 4% zelfs zes of meer. Dit werpt een belangrijke vraag op: wat moet er worden gewijzigd in de IT-beveiligingsstrategieën en beschermingsmethoden van deze organisaties, zodat ze hun kritische bedrijfsgegevens en technologieprocessen efficiënter kunnen beschermen?

ICS-bedrijven zijn zich terdege bewust van de risico’s waarmee ze worden geconfronteerd: 74% van de respondenten is van mening dat er een cyberbeveiligingsaanval kan plaatsvinden op hun infrastructuur. Ondanks het hoge bewustzijn van nieuwe dreigingen zoals gerichte aanvallen en ransomware, is conventionele malware nog steeds het grootste knelpunt voor de meeste ICS-organisaties. Het voert de lijst van zorgen over incidenten aan: 56% van de respondenten beschouwt het als de meest zorgwekkende vector. In dit geval voldoet de perceptie aan de realiteit: een op de twee respondenten moest vorig jaar de gevolgen tegengaan van conventionele malware. Maar er is ook een discrepantie wat betreft medewerkersfouten en onbedoelde acties - die veel meer een bedreiging vormen voor ICS-organisaties dan beïnvloeders uit de toeleveringsketen en partners, en dan sabotage en fysieke schade door externe spelers. Toch zijn het de externe factoren die in de top drie staan waar ICS-organisaties zich het meest zorgen over maken. Ondertussen zijn de drie belangrijkste gevolgen van ondervonden incidenten onder meer kwaliteitsschade aan producten en diensten, verlies van eigendoms- of vertrouwelijke informatie en vermindering of verlies van productie op een plek.

goed beschermd tegen externe dreigingen, maar wat er intern plaatsvindt, volgt een directe route, zonder een firewall ertussen. De dreiging komt voor medewerkers uit een onbekende hoek”, erkent een ICS-professional van een productiefaciliteit in Duitsland. Aan de positieve kant lijken de door ICS-professionals ingezette beveiligingsstrategieën vrij solide. De meerderheid van de bedrijven heeft het gebruik van air gaps als beveiligingsmaatregel al opgegeven en maakt nu gebruik van meer uitgebreide cyberbeveiligingsoplossingen. In de komende 12 maanden zijn de respondenten van plan om industriële anomaliedetectie-instrumenten (42%) en beveiligingsbewustzijnsopleidingen voor medewerkers te implementeren. Industriële anomalie dreigingsdetectie is vooral relevant omdat een op de twee ondervraagde ICS-bedrijven toegeeft dat externe aanbieders toegang hebben tot industriële

controlenetwerken in hun organisatie, waardoor de dreigingsperimeter wordt verruimd. “De toenemende samenhang tussen IT- en OT-systemen brengt nieuwe beveiligingsuitdagingen met zich mee en vereist een hoge mate van paraatheid onder bestuursleden, technici en IT-beveiligingsteams. Ze hebben een gedegen kennis nodig van het dreigingslandschap, weloverwogen beveiligingsmiddelen en ze moeten ervoor zorgen dat werknemers zich bewust zijn van de gevaren”, zegt Martijn van Lom, General Manager Benelux van Kaspersky Lab. “Bij cyberdreigingen op de ICS-werkvloer is het beter om voorbereid te zijn. Het terugdringen van beveiligingsincidenten zal veel gemakkelijker zijn voor degenen die een op maat gemaakte beveiligingsoplossing gebruiken, die specifiek inspeelt op ICS-behoeften.”

Beveiligingsstrategieën: van air gap tot detectie van netwerkonregelmatigheden 86% van de onderzochte organisaties heeft een goedgekeurd en gedocumenteerd ICS-cyberbeveiligingsbeleid om hen te beschermen tegen potentiële incidenten. De ervaring met incidenten laat echter zien dat een cyberbeveiligingsbeleid alleen niet voldoende is. Worstelend met een gebrek aan interne en externe IT-beveiligingsexpertise erkennen industriële organisaties dat een gebrek aan vaardigheden het belangrijkste punt van zorg is met betrekking tot ICS-beveiliging. Dit is uitermate zorgwekkend, aangezien het aangeeft dat industriële organisaties niet altijd klaar zijn om aanvallen te bestrijden, terwijl ze voortdurend het risico lopen dat de beveiliging in het gedrang komt - soms door hun eigen werknemers. “Interne dreigingen zijn gevaarlijker. We zijn INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 33

SECURITY TECHNOLOGIEËN voorspelt dat tegen het eind van 2017 tenminste 10% van de grote bedrijven Software-Defined Perimeters technologie heeft geïmplementeerd om gevoelige omgevingen te isoleren.

De IT-wereld is volop in beweging, wat leidt tot allerlei nieuwe uitdagingen en aandachtspunten voor security professionals. Om hen te helpen zich hierop voor te bereiden heeft Gartner de belangrijkste security technologieën voor 2017 op een rijtje gezet.

Cloud Access Security Brokers Cloud Access Security Brokers (CASB’s) pakken de gaten aan die in de beveiliging van bedrijven ontstaan door het toenemende gebruik van cloud diensten en mobiele apparaten. CASB’s geven IT-beveiligers uniforme controle over meerdere cloud diensten, voor iedere gebruiker en apparaat. Gartner stelt dat de noodzaak controle en inzicht te houden in cloud diensten steeds groter wordt door het toenemende gebruik van Software as a Service (SaaS) in combinatie met blijvende zorgen over security, privacy en compliance.

Gartner

identificeert belangrijkste security-technologieën voor 2017 Cloud Workload Protection Platforms - Moderne datacenters ondersteunen workloads die draaien op fysieke machines, virtuele machines (VM’s), containers, private cloud infrastructuur en in veel gevallen één of meerdere public cloud Infrastructure as a Service (IaaS) providers. Hybrid cloud workload protection platforms (CWPP) bieden een geïntegreerde manier om deze workloads te beheren via een centrale beheerconsole en een uniforme methode om een beveiligingsbeleid te handhaven, ongeacht de locatie waar een workload draait. Browser isoleren - Bijna alle succesvolle cyberaanvallen worden opgezet vanaf internet. Browser-gebaseerde aanvallen zijn de belangrijkste soort aanvallen gericht op eindgebruikers. Security professionals kunnen aanvallen niet stoppen, maar wel de schade beperken door de internetsessies van eindgebruikers te isoleren van zakelijke endpoints en netwerken. Door dit te isoleren, wordt malware van de systemen van eindgebruikers geweerd en worden de mogelijkheden om een bedrijf aan te vallen significant teruggedrongen door het risico van een aanval te verschuiven naar de serversessie. Deze sessie kan bij iedere nieuwe browsersessie, nieuw tabblad dat wordt geopend of URL die wordt opgevraagd gereset worden naar een bekende betrouwbare staat. Misleiden - Misleidingstechnologieën zijn onder andere trucs, lokmiddelen en andere middelen die worden ingezet om de activiteiten van een aanvaller te vertragen, een aanval op te merken of geautomatiseerde tools van een aanvaller te verstoren. Dergelijke technologieën worden achter de firewall geïmplementeerd en helpen organisaties aanvallers te detecteren die hun verdediging hebben weten te doorbreken. Misleidingstechnologieën worden 34 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

volgens Gartner in toenemende mate geïmplementeerd op meerdere lagen van de stack, waaronder de endpoint-, netwerk-, applicatie- en datalaag. Endpoint detection and response - Endpoint detection and response (EDR) oplossingen zetten traditionele preventieve maatregelen voor endpoints in, zoals antivirussoftware, om endpoints te monitoren op indicatoren die wijzen op ongebruikelijk gedrag of activiteiten die kunnen duiden op kwaadaardige intenties. Gartner voorspelt dat in 2020 zo’n 80 procent van de grote organisaties, een kwart van de middelgrote organisaties en 10 procent van de kleinere organisaties in EDR-capaciteiten hebben geïnvesteerd. Network Traffic Analysis - Network Traffic Analysis (NTA) oplossingen monitoren netwerkverkeer, verbindingen en objecten voor indicatoren van gedrag dat kan wijzen op kwaadaardige intenties. Bedrijven die een netwerk-gebaseerde aanpak willen omarmen om aanvallen te detecteren die hun beveiliging

hebben weten te doorbreken, kunnen volgens Gartner NTA overwegen als een manier om dergelijke incidenten te identificeren, beheren en af te slaan. Managed Detection and Response - Managed Detection and Response (MDR) providers leveren diensten aan bedrijven die hun vermogen op het gebied van threat detection, incident response of continous-monitoring willen verbeteren, maar zelf niet de expertise of middelen in huis hebben om dit te doen. De vraag vanuit onder meer kleine en middelgrote bedrijven (MKB) naar dergelijke oplossingen is groot, aangezien deze bedrijven vaak niet de middelen hebben om in dergelijke oplossingen te investeren. Microsegmentatie - Indien een aanvaller weet binnen te dringen tot bedrijfs-

systemen, kan deze zijn aanwezigheid in veel gevallen ongehinderd uitbreiden naar andere systemen. Microsegmentatie gaat dit tegen en zorgt dat onderdelen van het netwerk worden geïsoleerd om dit te voorkomen. Gartner vergelijkt dit met schotten in een onderzeeër, die bedoeld zijn om de schade te beperken indien de romp van de onderzeeër het begeeft. Software-Defined Perimeters - Software-Defined Perimeters definieert een logische reeks afzonderlijke, met het netwerk verbonden gebruikers binnen een veilige ‘computing enclave’. Deze enclave is doorgaans afgeschermd van openbare toegang en is uitsluitend toegankelijk voor specifieke gebruikers via een trust broker. Dit reduceert de mogelijkheden die aanvallers hebben om een organisatie aan te vallen. Gartner

OSS Security Scanning and Software Composition Analysis voor DevOps Security architecten moeten in staat zijn security maatregelen automatisch op te nemen in een DevSecOps cyclus, zonder hiervoor handmatige handelingen te hoeven verrichten. Dit moet op een voor DevOps teams zo transparant mogelijke wijze gebeuren zonder hierbij de flexibiliteit van DevOps in gevaar te brengen, terwijl tegelijkertijd wordt voldaan aan juridische verplichtingen en risico’s worden ingeperkt. Software composition analysis (SCA) tools maken het mogelijk de broncode, modules, raamwerken en libraries te analyseren die een ontwikkelaar gebruikt om OSS-componenten te identificeren en inventariseren, en bekende beveiligings- en licentieproblemen op te sporen voordat een applicatie wordt uitgerold. Container beveiliging - Containers gebruiken een gedeeld besturingssysteem (OS). Een aanval op het host OS kan er hierdoor toe leiden dat alle containers worden gecompromitteerd. Gartner benadrukt dat containers op zich niet onveilig zijn, maar in veel gevallen op een onveilige wijze worden uitgerold door ontwikkelaars zonder betrokkenheid van security teams of aansturing van security architecten. Traditionele netwerken host-gebaseerde security oplossingen hebben geen zicht op containers. Container security oplossingen beschermen de volledige levenscyclus van containers, van creatie tot productie.

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 35

80% NIEUWS

creating new insights for a secure world

80% van de bedrijven verwacht in 2017 getroffen te worden door cyberaanval

80% van de organisaties verwacht dit jaar getroffen te worden door een cyberaanval. Desondanks zijn veel bedrijven niet goed voorbereid op dergelijke aanvallen. Dit blijkt uit de ‘2017 State of Cyber Security Study’ van ISACA, een organisatie die individuen en organisaties wereldwijd helpt bij IT-beveiliging, risk management en governance. Meer dan de helft (53%) van de respondenten geven in het onderzoek aan het aantal cyberaanvallen in 2016 te hebben zien toenemen. Hierbij zien bedrijven verschillende dreigingen: • 97% van de organisaties ziet het gebruik van het Internet of Things (IoT) toenemen. Bedrijven richten zich daarom voor het eerst meer op het beveiligen van IoT-apparatuur dan het beveiligen van mobiele apparaten. ISACA stelt dat cyber security professionals zeker moeten stellen dat de juiste protocollen worden gehanteerd om deze nieuwe dreiging het hoofd te bieden. • 62% van de respondenten heeft in 2016 te maken gehad met ransomware. Slechts 53% van de organisaties heeft echter een formeel proces ontwikkeld om te reageren om een ransomwareuitbraak. Met het oog op de significante impact die de ransomware WannaCry recentelijk internationaal had, noemt ISACA dit percentage zorgwekkend. • 78% van de organisaties geeft aan in 2016 met een aanval te maken te hebben gehad die de bedrijfsvoering van een bedrijf kan onderbreken of gebruikersdata in gevaar kan brengen.

Beveiligingsmaatregelen worden niet vaak gecontroleerd Opvallend is dat slechts 31% van de bedrijven aangeeft met regelmaat zijn beveiligingsmaatregelen te controleren. 13% test deze nooit. 16% van de bedrijven heeft daarnaast geen incident response plan opgesteld. “Er is een significant en zorgwekkend gat zichtbaar tussen de dreigingen waar organisaties mee te maken hebben en het vermogen van bedrijven deze dreigingen tijdelijk en effectief te adresseren”, aldus Christos Dimitriadis, bestuursvoorzitter van ISACA en hoofd IT-beveiliging bij INTRALOT. Dimitriadis stelt dat security professionals onder druk staan de infrastructuur van organisaties te beschermen en teams voldoende te trainen en voor te bereiden.

Hoe ziet het nieuwe beveiligen eruit?

Registreer gratis met code ASE810007 amsterdamsecurity.com/expo

Chief Information Security Officer Meer bedrijven dan ooit hebben inmiddels een Chief Information Security Officer (CISO) aangesteld. 65% van de respondenten geeft aan dat hun organisatie over een CISO beschikt, ten opzichte van 50% in 2016. Het aantrekken van voldoende security professionals blijft echter een uitdaging. Ook geeft meer dan de helft van de respondenten aan geen vertrouwen te hebben in het vermogen van het beveiligingsteam om complexe security problemen aan te pakken. Meer dan de helft is van mening dat security professionals de business onvoldoende begrijpen. ISACA wijst erop dat training cruciaal is om dit gebrek aan vaardigheden aan te pakken. Tegelijkertijd heeft één op de vier bedrijven per security professional een trainingsbudget van minder dan 1.000 dollar beschikbaar. De helft van de organisaties verwacht dat dit budget in 2017 zal stijgen.

Amsterdam Security Expo (voorheen SSA) is de grootste vakbeurs voor beveiliging en (brand) veiligheid in de Benelux. De toegenomen complexiteit van oplossingen en verhoogde veilig heidsrisico’s vragen om een nieuwe benadering. Op de eerste editie van de Amsterdam Security Expo staan de laatste ontwikkelingen en innovaties extra in de schijnwerper in het InnovationLAB. Ook zijn er vier nieuwe specials: Cyber Security, Public Safety, Smart Buildings en Fire Protection.

Amsterdam Security Convention is het nieuwe netwerk en kennis event met focus op eindgebruik ers van security oplossingen. Nieuwe inzichten kunnen alleen plaatsvinden door een open discussie. Amsterdam Security Convention biedt haar genodigden een nieuwe ervaring: scenario based programming. Actuele IT en Security bedrei gingen worden in filmscenarios gepresenteerd en afgewisseld met keynotes, seminars en ronde tafel discussies. In deze innovatieve setting staan waardevolle ontmoetingen centraal.

Bridging the Gap between IT and Physical Security

Meer informatie amsterdamsecurity.com/convention

36 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 37

ONDERZOEK

JAARVERSLAG

‘Bedrijven onderschatten

IT-beveiligingsrisico’s door eigen medewerkers’ Europese bedrijven onderschatten de gevaren en de risico’s van IT-bedreigingen van binnenuit. 43 procent van de werknemers is ervan overtuigd dat zijn organisatie niet vatbaar is voor deze zogenaamde insider threats. Nog eens drie op de tien zijn niet helemaal zeker van hun zaak. Dat terwijl een derde van de werknemers ooit zelf betrokken was bij een IT-beveiligingsincident. Dat blijkt uit onderzoek van Forcepoint en onderzoeksbureau Atomik Research onder vierduizend kantoormedewerkers in verschillende Europese landen. Onder insider threats verstaat Forcepoint IT-beveiligingsbedreigingen die in een organisatie van binnenuit komen. Daarbij kan het zowel om de eigen medewerkers gaan, als om freelancers, oud-medewerkers en andere mensen met kennis van, of toegang tot de IT-infrastructuur van een organisatie. In 2016 was 67 procent van de Nederlandse bedrijven nog het slachtoffer van een beveiligingsincident dat het gevolg was van een insider threat, zo blijkt uit een eerder onderzoek van Forcepoint en onderzoeksbureau Team Vier. Overigens lijken Nederlandse organisaties zich beter bewust van de gevaren van insider threats; hier denkt slechts 27 procent dat zijn of haar organisatie niet vatbaar is voor bedreigingen van binnenuit.

Gevolg van onwetendheid In sommige gevallen gaat het bij insider threats om risico’s die voortkomen uit onwetendheid. Zo toont het onderzoek van Forcepoint en Atomik Research aan dat 27 procent niet denkt aan de veiligheid bij het uploaden van data naar de cloud. Ruim een tiende (elf procent) geeft daarnaast aan ooit per ongeluk data aan derden te hebben doorgestuurd, en zeventien procent kreeg te maken met een verloren of gestolen device. Iets meer dan een kwart (26 procent) denkt bovendien dat het delen van logingegevens geen vei-

ligheidsrisico oplevert, of weet dat niet zeker. Een mogelijke oorzaak voor insider threats als gevolg van onwetendheid is het feit dat 27 procent van de ondervraagde werknemers aangeeft dat zijn of haar werkgever geen beveiligingsbeleid heeft of uitvoert. Vier op de tien (39 procent) zeggen verder dat ze nog nooit een training hebben gekregen op het gebied van databeveiliging. Bijna een kwart (23 procent) van de ondervraagden is niet op de hoogte van de gevolgen die een beveiligingslek kan opleveren, en 22 procent denkt zelfs dat een lek geen financiële gevolgen heeft voor de organisatie, of weet dat niet zeker.

Ook kwade bedoeling een serieuze bedreiging Naast onwetendheid vormen ook insiders met kwade bedoelingen een serieuze bedreiging. Zo geeft veertien procent van de ondervraagde werknemers aan dat hij of zij zou overwegen om inloggegevens te verkopen aan derden. Van deze groep zouden vier op de tien dat zelfs doen voor minder dan 250 euro. Iets minder dan een derde (29 procent) geeft daarnaast aan ooit bewust informatie te hebben doorgestuurd aan onbevoegden, en vijftien procent nam ooit bedrijfskritische informatie mee naar een nieuwe werkgever. “Insiders hebben vaak toegang tot gevoelige gegevens en een beveiligingslek als gevolg van een insider threat kan verwoestende gevolgen hebben voor een organisatie, zowel op financieel gebied als voor de reputatie”, zegt Tim Hoefsloot, Regional Director bij Forcepoint. “Daar komt bij dat in mei 2018 de General Data Protection Regulation ingaat. Deze Europese regelgeving stelt zeer strenge eisen aan de bescherming van data en kan leiden tot torenhoge boetes als het misgaat. Bedrijven doen er daarom verstandig aan risico’s van binnenuit de organisatie serieus te nemen en voorzorgsmaatregelen te nemen om de risico’s en gevolgen van insider threats zoveel mogelijk te verkleinen.”

Autoriteit Persoonsgegevens: ‘Hoe vrij ben je als je bij bijna iedere stap gevolgd kan worden?’ Het jaarverslag van de Autoriteit Persoonsgegevens (AP) is door voorzitter Aleid Wolfsen gepresenteerd aan de leden van de vaste commissie voor Veiligheid en Justitie van de Tweede Kamer. Hierbij stelde Wolfsen de volgende vraag: “Hoe vrij ben je nog als je kunt worden gevolgd bij bijna elke stap die je - letterlijk en figuurlijk - zet?” Tijdens de presentatie van het jaarverslag van de AP schetste Wolfsen hoe camera’s, gps, apps, wearables en zelfs de televisie en het wifisignaal van smartphones mensen op de voet kunnen volgen. “Bedrijven en ook de overheid zitten mensen steeds dichter op de huid. Mensen moeten dan wel weten wat er vervolgens gebeurt met al die informatie en daarover iets te zeggen hebben”, aldus Wolfsen. Die zeggenschap van mensen over hun gegevens wordt versterkt als over een jaar - op 25 mei 2018 nieuwe Europese privacywetgeving geldt. “Deze nieuwe wet, de Algemene Verordening Gegevensbescherming (AVG), is een antwoord op de huidige tijd waarin databedrijven steeds machtiger worden, persoonsgegevens gouden handel zijn en big data hét toverwoord lijkt te zijn om problemen op te lossen”, sprak Wolfsen. De nieuwe privacywet geeft burgers meer rechten en organisaties meer verantwoordelijkheden. De AP krijgt op dat moment ook steviger bevoegdheden, zoals de mogelijkheid om boetes op te leggen tot 20 miljoen euro. “Dat maakt dat nu het moment is dat organisaties aan het werk moeten om straks aan de AVG te voldoen”, benadrukte Wolfsen. In 2016 heeft de AP op verschillende terreinen onderzoek gedaan en advies gegeven over nieuwe weten

38 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

regelgeving. De AP richtte zich onder meer op beveiliging, internet & telecom en gezondheid. Beveiliging In 2016 ging bij het onderwerp beveiliging verreweg de meeste aandacht van de AP naar de meldplicht datalekken. De AP ontving in 2016, het eerste jaar van de meldplicht, bijna 5.700 meldingen van datalekken. Ruim 100 organisaties kregen een waarschuwing van de AP. In tientallen gevallen startte de AP een diepgaander onderzoek. Daarnaast vroeg de AP in 2016 bij verschillende onderwerpen aandacht voor beveiligingsaspecten. Zo zorgde de AP ervoor dat de beveiliging van Suwinet verbeterde, een systeem voor gegevens over werk en inkomen. Internet en telecom Via internet zijn mensen op allerlei manieren te volgen, niet alleen met de welbekende cookies maar ook op minder bekende manieren zoals via het wifisignaal van hun telefoon. In 2016 deed de AP onder meer onderzoek naar wifitracking en interactieve digitale tv. Dit zorgde ervoor dat alle onderzochte bedrijven de overtredingen beëindigden. Gezondheid Gegevens over de gezondheid behoren tot de gevoeligste persoonsgegevens die er zijn. Deze gegevens zijn dan ook niet voor niets wettelijk extra beschermd. Toch zijn er ontwikkelingen zichtbaar die de bescherming van gezondheidsgegevens onder druk zetten, zoals meer fraudeonderzoek in de zorg en de opkomst van online patiënten portalen. In 2016 heeft de AP daarom onder meer aandacht gevraagd voor het verstrekken van diagnose-informatie en voor de toegang tot patiëntgegevens.

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 39

RAPPORT

MCAFEE LABS:

gezien kon worden door beveiligingsexperts. McAfee Labs onderscheidt drie categorieën van methoden die door malware gebruikt worden om detectie en analyse te voorkomen: Anti-security technieken: gebruikt om detectie door antimalware-producten, firewalls, application containment en andere tools te voorkomen. Anti-sandbox technieken: gebruikt om automatische analysemethoden te detecteren en om softwaresystemen te vermijden die het gedrag van malware rapporteren. Anti-analist technieken: gebruikt om malware-analisten om de tuin te leiden, door bijvoorbeeld de aanwezigheid van programma’s zoals Process Explorer of Wireshark vast te stellen.

De verborgen dreiging van steganografie

Malware,

ransomware en overzicht 30 jaar ontwijkingstechnieken McAfee heeft het McAfee Labs Threats Report juni 2017 gepubliceerd. Het rapport gaat in op de werking van de wachtwoord stelende trojan Fareit, geeft een overzicht van dertig jaar ontwijkingstechnieken in malware en beschrijft de opkomst van steganografie als techniek om detectie te voorkomen. Enkele trends: de hoeveelheid mobiele malware is de afgelopen vier kwartalen met 79% gegroeid tot 16,7 miljoen varianten, ransomware groeide in het afgelopen jaar met 59% tot 9,6 miljoen varianten en meer dan de helft van alle gemelde beveiligingsincidenten vond plaats in de gezondheidszorg, de publieke sector en bij onderwijsinstellingen. “Er zijn honderden, zo niet duizenden anti-security-, anti-sandbox- en anti-analist-technieken die 40 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

door hackers en malware-auteurs worden gebruikt en die veelal kant-en-klaar op het Darkweb te koop zijn”, zegt Vincent Weafer, vicepresident McAfee Labs. “Dit rapport maakt duidelijk dat hackers zich steeds meer bezig houden met het verbergen van complexe dreigingen die enterprise-omgevingen voor langere perioden aanvallen. Er worden ook totaal nieuwe aanvalsmethoden ontwikkeld, zoals verschuilmethoden die zich specifiek richten op beveiligingstechnieken die gebaseerd zijn op machine learning.”

Dertig jaar ontwijkingstechnieken Malware-ontwikkelaars zochten vanaf de jaren ’80 van de vorige eeuw naar manieren om beveiligingsoplossingen te omzeilen. In eerste instantie verdedigde malware zich door een deel van de eigen code te versleutelen, waardoor de malware niet in-

Steganografie is een methode om berichten te verbergen in computerbestanden, zoals afbeeldingen, geluid, video of tekst. Malware-auteurs maken hier vaak gebruik van om detectie door beveiligingssoftware te voorkomen. De eerste toepassing van deze technologie in een cyberaanval was de Duqu-malware in 2011. De te verbergen informatie werd in een afbeelding geïnjecteerd, die vervolgens naar het aan te vallen systeem werd gestuurd. Eenmaal aangekomen werd de verborgen informatie uitgepakt zodat het gebruikt kon worden door de malware. Een op deze manier behandelde afbeelding is door het menselijk oog of door beveiligingstechnologie heel moeilijk te detecteren. McAfee Labs denkt dat netwerk-steganografie de nieuwste vorm van deze techniek is. Hierbij worden lege velden in TCP/IP-headers gebruikt om informatie te verbergen. Deze methode wint aan populariteit omdat hackers hiermee onbeperkte hoeveelheden informatie over het netwerk kunnen sturen.

een Word-document, JavaScript of een ingepakt bestand als bijlage ontving en deze opende, zorgde ervoor dat Fareit het systeem kon infecteren. Vervolgens werden gebruikersgegevens en wachtwoorden opgespoord en naar centrale servers gestuurd, waarna extra malware naar het aangevallen netwerk kon worden gestuurd. “Mensen, bedrijven en overheden worden steeds afhankelijker van systemen die alleen maar door wachtwoorden zijn beveiligd”, vervolgt Weafer. “Omdat het vaak ook nog eens om zwakke wachtwoorden gaat die makkelijk gestolen kunnen worden, wordt dit een steeds populairder aanvalspunt voor hackers. We denken dan ook dat dit soort aanvallen in de toekomst zullen toenemen. Pas als we overstappen op twee-factor authenticatie zal deze weg worden afgesneden.”

Trends eerste kwartaal 2017 Naast bovengenoemde cijfers en dreigingen registreerde het McAfee Labs

Global Threat Intelligence netwerk wereldwijd nog het volgende: • 301 openbaar gemaakte security-incidenten in het eerste kwartaal van 2017, een toename van 53% ten opzichte van een kwartaal eerder. • McAfee Labs ziet de groei van mobiele malware in Azië in het eerste kwartaal verdubbelen; deze stijging is verantwoordelijk voor een toename van 57% van de wereldwijde infecties. • Aantal malwares voor Mac OS in het eerste kwartaal 2017 met 53% gestegen, vooral door een vloedgolf van adware. • Ransomware weer actiever in Q1, vooral door Congur-aanvallen op Android-toestellen. • In april dit jaar is het brein achter het Kelihos-botnet in Spanje gearresteerd. Kelihos verzond jarenlang miljoenen spamberichten met malware gericht op banken en ransomware.

Fareit, de beruchte wachtwoordendief Fareit verscheen op het toneel in 2011 en heeft zich sindsdien op verschillende manieren verder ontwikkeld. Er is een groeiende consensus dat Fareit gebruikt werd bij de aanval op het Amerikaanse Democratic National Committee, in de aanloop naar de presidentsverkiezingen van 2016. Fareit verspreidde zich via phishing-mails, DNS-besmetting en exploit kits. Iemand die een mail met INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 41

LEGAL LOOK DOOR MR. V.A. DE POUS

WannaCry? WannaLaw! De internationale aanval van gijzelsoftware (WannaCry) wijst opnieuw - en voor de zoveelste maal - op de kwetsbaarheid van de informatiemaatschappij. De Nationaal Coördinator Veiligheid en Terrorismebestrijding zegt dat 100% bescherming niet gerealiseerd kan worden, maar adviseert 10% van het ICT-budget aan digitale veiligheid te besteden. Een waardevol advies. Individu, organisatie en samenleving hebben echter meer nodig in de voortdurende strijd tegen de gevolgen van de sterke afhankelijkheid van digitale technologie.

Als basisvoorwaarde voor een in tijd duurzame informatiemaatschappij geldt volgens ons de generieke preventieve verbetering van digitale kwaliteit. Waarom worden softwarecode met serieuze fouten, de bijhorende continue stroom patches en updates alsook het ontbreken van wettelijke kwaliteitsvoorschriften nog altijd geaccepteerd? Wie terugkijkt, weet dat sinds de tweede helft van de jaren tachtig het computervirus en andere malware avant la lettre telkens voor krantenkoppen zorgden. Juridisch bezien werd het destijds nieuwe verschijnsel vooral strafrechtelijk aangepakt. ‘Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie’, luidt artikel 350a, lid 3 van ons Wetboek van Strafrecht. Maar daarmee zijn we er niet. Allereerst niet, omdat er tevens allerlei (i) andere maatregelen dan het recht (zoals de huidige status quo: strafbaarstelling en formele bevoegdheden voor de opsporing) noodzakelijk zijn. Denk aan budget, kennis en schaalgrootte bij politie en justitie. Daarnaast is het onvermijdelijk dat (ii) verantwoord ICT-gedrag bij overheidsorganisatie, bedrijf en individu regel wordt. Zo is het ronduit ontluisterend dat de publieke zorgsector in het Verenigd Koninkrijk (National Health Service - NHS) kennelijk nog altijd op Windows XP draait, terwijl Microsoft sinds 4 april 2014 hierop geen ondersteuning meer biedt, tenzij er tegen forse betaling een speciale regeling wordt getroffen. Kennelijk, want de internationale aanval van WannaCry bracht hier transparantie. Al jaren waarschuwen vriend en vijand voor het gevaar van het niet updaten van computerprogramma’s, besturingssystemen incluis, maar mogelijk werden niet eerder de gevolgen van veiligheidsgebreken zo duidelijk als met de besmetting met deze gijzelsofware. Nog een exponent van noodzaak van verantwoord ICT-gedrag, maar dan anders. Overheden houden nieuwe fouten in

42 | JULI 2017 | NR. 3 | INFOSECURITY MAGAZINE

computerprogramma’s (‘zero-day leaks’) geheim om er hun veiligheidsdiensten gebruik van te laten maken. In de VS gaan nu stemmen op voor een meldplicht ter zake; een interessante optie, die de moeite van het uitwerken waard is. Maar in onze visie betreft het belangrijkste argument dat juridisch bezien de strafrechtelijke aanpak alleen onvoldoende is voor het ontbreken van specifieke civiele rechtsnormen. Wettelijke voorschriften, welke de kwaliteit van digitale technologie, om te beginnen softwarecode, stevig borgen. (Weliswaar kent het Nederlandse recht al lang de rechtsfiguur onrechtmatige daad. Hierbij gaat het echter om een open normstelling, die in beginsel vooral correctief kan werken.) Het juridische uitgangspunt behoort te luiden dat ontwikkeling, terbeschikkingstelling en verspreiding van software door wettelijke kwaliteitsnormen zijn bepaald. Alleen solide en veilige computerprogramma’s mogen worden geleverd en gebruikt. Het maakt niet uit dat je aanhanger bent van de gedachtelijn van de Engelse overheid dat data het ‘levensbloed’ van iedere organisatie is (Digital Britain, 2009) of het gedachtegoed omarmt van entrepreneur (NetScape met de eerste webbrowser Mosaic) en investeerder Marc Andreesen, die stelt dat we ons in een dramatische en brede technologische en economische verandering bevinden, waarin software grote domeinen van de wereldeconomie overneemt (Why software is eating the World, 2011); zonder voldoende digitale kwaliteit blijft de informatiemaatschappij onder druk staan. Daarentegen fungeert het inzetten op en wettelijk borgen van digitale kwaliteit als een meersnijdend zwaard. Toepassing leidt namelijk tot minder uitval van informatiesystemen en netwerken, minder digitale criminaliteit en creëert tegelijkertijd meer broodnodig vertrouwen in zowel de informatietechniek als de informatiemaatschappij. MR. V.A. DE POUS is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).

TITAN ondersteunt u in het proactief monitoren van uw netwerk voor ongewenste activiteiten zoals ongeautoriseerde toegang of mogelijke hacks. Het continu monitoren van het netwerkverkeer en logbestanden draagt bij aan het vroegtijdig detecteren van bijvoorbeeld malware, ransomware of ongewenste activiteiten. Actieve detectie, nog voordat een virusscanner deze vindt, of een hacker er met de gevoelige data vandoor gaat. TITAN biedt u de totaaloplossing.

CYBER SECURITY

MONITORING www.novaccent.nl » Weerbaar tegen ransomware & malware » Weerbaar tegen overige cyberdreigingen » Voorkomen van imagoschade » Voorkomen van datalekken

Neem contact met ons op over de mogelijkheden

www.novaccent.nl

» Voorkomen van fraude » Voldoen aan compliance richtlijnen info@novaccent.nl

INFOSECURITY MAGAZINE | NR. 3 | JULI 2017 | 43

+31 (0)33 - 456 3663

ICT en Security Trainingen

NIEUW! Privacy DPO-Ready trainingen

TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiliging- en cybersecurity trainingen. Security professionals kunnen bij TSTC terecht voor bijna vijftig security trainingen op zowel technisch als tactisch- strategisch gebied. Naast alle bekende internationaal erkende titels is het ook mogelijk diepgang te zoeken in actuele security thema’s.

www.tstc.nl

Top 10 Security trainingen CEH • OSCP • CCSP • CCFP • CISSP • CJCISO • CRISC Privacy CIPP/E-CIPM • CISM • ISO 27001/27005/3100

Recognition for Best ATC’s and CEI’s

of t h e Ye a ATC r

Instructor

ident’s Achievemen Pres Award t

2016

TSTC Accredited Training Center of the Year 2016

Circle of Excellence Instructor 2016

Want security start bij mensen!!