Infosecurity Magazine 05/2016

INFO

SECURITY MAGAZINE

JAARGANG 15 - DECEMBER 2016 - WWW.INFOSECURITYMAGAZINE.NL

DARK WEB NOG TE VAAK BLINDE VLEK

MET DEZE ZEVEN TIPS DOET U ONLINE VEILIG UW AANKOPEN

NAAR EEN NIEUWE BENADERING VAN

ENDPOINTBEVEILIGING

ONLINE GAMES EN CASINO’S ZIJN LEUK - GEHACKTE ACCOUNTS NIET

EDITORIAL: ROBBERT HOEFFNAGEL

COLOFON

Remove Network Blind Spots Illuminate your network with total visibility. If you can’t see what’s happening in every corner of your network, you’re suffering from blind spots that pose a massive security risk. WatchGuard gives IT professionals complete visibility across the entire network by integrating world class visualization services into all Firebox appliances.

Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@ fenceworks.nl. Uitgever Jos Raaphorst 06 - 34 73 54 24 jos@fenceworks.nl twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 robbert@fenceworks.nl twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel Advertentie-exploitatie Mike de Jong 06 - 10 82 59 93 mike@fenceworks.nl Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk ProFeeling Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 info@fenceworks.nl © 2016 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.

For complete network visibility contact us at +31 (0) 70 711 2085 www.watchguard.com/visibility. 2 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

Meer informatie: www.infosecuritymagazine.nl

Uw verkeersboete

weg met deze slimme hack

Geef toe - dat klinkt als een prank van een stel jonge gasten. Die houden van (veel te) hard rijden, maar verkeersboetes betalen - tja, da’s niet cool natuurlijk. Ik zie ze al bij elkaar zitten met een biertje (of iets anders) er bij: “Kunnen we daar nu niet iets voor bedenken? Een app ofzo? Zodat we verkeersboetes weer kunnen laten verdwijnen.”

Ik geef toe, het gaat om een al ouder verhaal. Een stel hackers lijkt er in geslaagd om snelheidscamera’s te gebruiken voor het injecteren van SQL statements, zodat de camera gemeten overtredingen weer wist. Daarbij lijken zij gebruik te maken van de OCR-functionaliteit die in dit soort camera’s zit. Die wordt gebruikt voor het lezen van kentekenplaten van auto’s die te hard rijden. Maar als de camera de cijfers en letters kan lezen, dan kan de software natuurlijk meer lezen. En als het lezen van een kentekenplaat tevens tot het activeren van code leidt, dan is daar natuurlijk een leuke en - zeg maar - alternatieve use case voor te bedenken. Wie dit verhaal via Google opzoekt, komt ook de foto tegen van die Renault Megane. Waar normaal de kentekenplaat zit, is nu een lange strook papier aangebracht. Daarop staat iets dat weg heeft van een SQL statement. Die zou ervoor zorgen dat de database ieder record delete waarin het in de statement opgenomen kenteken voor komt. Ik hoorde het verhaal onlangs weer van Lee Fisher, Juniper’s director security EMEA. Het verhaal gaat echter al een aantal jaren op internet rond en ook Fisher wist eigenlijk niet voor honderd procent zeker of het klopt. Maar dat is ook niet zo belangrijk. Want zelfs als het werkt, is de kans groot

dat iedere auto die op deze manier is uitgedost al snel door de politie aan de kant wordt gezet. Oom agent is uiteraard ook niet gek! Mij gaat het er vooral om dat de menselijke creativiteit (kennelijk) tot ongekende dingen in staat is. En dat het als fabrikant eigenlijk volstrekt ondoenlijk is om bij het ontwikkelen van een product rekening te houden met alle mogelijke vormen van misbruik. Ziet u het al voor zich dat een engineer op maandagochtend op kantoor komt en tegen zijn baas zegt: “Volgens mij is deze snelheidscamera te misbruiken als we met een matrixprinter uit 1975 een 2,46 meter lange strook gestoken wit papier printen met daarop de volgende 18 SQL statements. We moeten deze illegale use case absoluut voor zijn, baas!” Dat maakt security aan de vooravond van 2017 tegelijkertijd een fantastisch mooie discipline, maar ook een vak waarbij het vaak lijkt op dweilen met de kraan open. Laten we de komende feestdagen vooral denken aan het eerste: security als dé enabler van digital transformation. Dan gaan we met het vinden van nieuwe oplossingen voor beveiligingsproblemen weer verder op 2 januari. ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 3 © 2016 WatchGuard Technologies, Inc. All rights reserved. 052316

Inhoud

INFOSECURITY NUMMER 05 - DECEMBER 2016 - JAARGANG 14

6

Naar een nieuwe benadering van endpointbeveiliging

Het mag zo onderhand wel bekend worden verondersteld: organisaties doen er honderd dagen – drie maanden - over om er achter te komen dat er een indringer op hun netwerk is. Gemiddeld! Het kan dan niet missen dat die indringer ruim voldoende tijd heeft gehad om alles van zijn gading te bekijken of weg te sluizen. Of om een achterdeurtje in te bouwen om later makkelijk weer binnen te komen. Wat al deze aanvallen meestal gemeen hebben is dat ze via een endpoint – van pc tot smartphone en IoT-apparaat - het bedrijfsnetwerk willen binnendringen.

10 Cybercrimineel profiteert van patiëntenempowerment 12 Dark Web nog te vaak blinde vlek 18 Sensors van Nováccent maken gemeenten weerbaar tegen cyberaanvallen 20 ’Tailor made, praktisch en pragmatisch groeien naar ’secure’ cyberlandschap 22 ‘We bewaken de balans tussen performance en veiligheid van een netwerk’ 24 SecureLink Nederland: informatieniveau over de breedte onvoldoende 26 Onafhankelijke risicobeoordeling voorwaarde securitycompliance 28 Multicloud: zo leg je een veilige basis 30 Elektronische handtekening vergroot security enorm 32 Met deze zeven tips doet u online veilig uw aankopen 38 ‘Maak fabrikanten aansprakelijk voor IoT-security’

De gevaren van onveilige slimme apparaten werden in de herfst van 2016 pijnlijk duidelijk. Het Internet of Things (IoT)-botnet Mirai kreeg onder andere Spotify, Twitter en GitHub op de knieën door DNS-serviceprovider Dyn aan te vallen. Volgens Mikko Hyppönen van F-Secure vallen de Mirai-aanvallen echter in het niet bij wat nog gaat komen. “Hackers die gevoelige gegevens stelen via de IoT-koffiemachine; dat wordt de echte wake-upcall.”

40 Visie op CISO-functie in 2017 42 Legal Look 4 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

10

14

2017: HET JAAR VAN DE AUTONOME, ZELFLERENDE MALWARE

Het jaar 2016 was op vele vlakken interessant. Niet alleen nam het aantal cyberbedreigingen toe en daalde de prijs van gestolen persoonsgegevens navenant, ook de Nederlandse overheid heeft dit jaar twee belangrijke stappen gezet. Per 1 januari is de Wet Meldplicht Datalekken in werking getreden, en afgelopen oktober nam de Tweede Kamer een wetsvoorstel over cybersecurity aan. Deze wet zal organisaties binnen vitale sectoren (bijvoorbeeld nutsen telecombedrijven) en de Rijksoverheid verplicht stellen om ernstige digitale veiligheidsincidenten te melden. Men hoopt dat tijdige melding een effectievere aanpak van cyberincidenten mogelijk maakt en dat maatschappelijke ontwrichting vervolgens beperkt kan worden.

18

26

24

30

22

34

ONLINE GAMES EN CASINO’S ZIJN LEUK - GEHACKTE ACCOUNTS NIET INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 5

ENDPOINT SECURITY steeds venijniger wordende aanvallen. De meeste bedrijven vertrouwen tot nu toe op een ‘strategie van voorkomen’, gebaseerd op oudere security-oplossingen. Maar tegen moderne malware maken die weinig kans en zijn dus ineffectief. Dan komt het aan op detectie. Bedrijven die zich dat realiseren hebben de neiging dit op te lossen door extra producten aan het endpoint toe te voegen om de zichtbaarheid van dreigingen te vergroten en de malware die toch is doorgedrongen, te stoppen. Deze veelheid aan losstaande oplossingen zorgt voor operationele complexiteit. Die complexiteit wordt nog verder vergroot door de komst van het Internet of Things die gepaard gaat met een explosie aan nieuwe (netwerk)verbindingen. Hetzelfde geldt voor de voortsnellende digitalisering. Elk van deze verbindingen vormt in beginsel een opening voor een aanval.

•

•

Combineren en integreren Het zal duidelijk zijn dat endpointbeveiliging op een nieuwe manier benaderd moet worden. Preventie, detectie en respons moeten gecombineerd worden, waardoor endpointbeveiliging drastisch wordt vereenvoudigd. Met een dergelijke oplossing moet organisaties dan ook in staat zijn om in een klap hun verouderde, ineffectieve technologie die alleen maar beschermt, te vervangen.

SNELLERE EN EFFECTIEVERE BESCHERMING TEGEN MALWARE AAN DE RAND VAN HET NETWERK

Naar een nieuwe benadering van

endpointbeveiliging

Het mag zo onderhand wel bekend worden verondersteld: organisaties doen er honderd dagen - drie maanden - over om er achter te komen dat er een indringer op hun netwerk is. Gemiddeld! Het kan dan niet missen dat die indringer ruim voldoende tijd heeft gehad om alles van zijn gading te bekijken of weg te sluizen. Of om een achterdeurtje in te bouwen om later makkelijk weer binnen te komen. Wat al deze aanvallen meestal gemeen hebben is dat ze via een endpoint - van pc tot smartphone en IoT-apparaat - het bedrijfsnetwerk willen binnendringen. De eerste stap is natuurlijk om deze endpoints beter bestand te maken tegen deze aanvallen. Ondanks 6 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

dat we weten dat die preventieve beveiliging nooit 100 procent zal zijn. Aanvallers vinden steeds nieuwe en geavanceerdere manieren om binnen te komen en gebruikers kunnen bijvoorbeeld door een phishing mail ongewild de deur open zetten. Die preventieve aanpak wordt ook bemoeilijkt doordat een stortvloed aan producten en technologieën beschikbaar is. Dat roept vragen op: moeten de huidige antivirussoftware gehandhaafd blijven of is er iets beters? Moer er een firewall komen van alweer een ‘next generation’? Enzovoorts. Het wordt nog ingewikkelder doordat er niet alleen preventieve maatregelen nodig zijn, maar ook mogelijkheden om een doorbraak direct te detecteren en tegenmaatregelen te nemen.

Drastisch omlaag De tijd tussen aanval en de ontdekking ervan moet drastisch omlaag. Er is behoefte aan een eenvoudiger en effectievere manier om aanvallers zoveel mogelijk buiten de deur te houden. En er is continue zichtbaarheid nodig van wat er precies op de endpoints gebeurt. Alleen als die zichtbaarheid er is kan de aanval worden afgeslagen. Alle informatie die tijdens dit proces wordt verzameld moet gedeeld worden met andere beveiligingscomponenten, zodat een volgende aanval nog sneller gepareerd kan worden.

Worsteling Veel bedrijven worstelen nog steeds met de vraag hoe zij hun mobiele gebruikers, desktops, laptops en servers het best kunnen beschermen tegen de

Een van de oplossingen die aan deze eisen voldoen is Cisco Advanced Malware Protection (AMP) for Endpoints. Deze oplossing maakt gebruik van de schaalgrootte en de kracht van de cloud in combinatie met een solide beveiligingsarchitectuur, die zorgdraagt voor een soepele integratie en informatie-uitwisseling tussen de securityonderdelen. Door preventie, detectie en respons in een enkele cloud-beheerde SaaS-oplossing onder te brengen, wordt de complexiteit verminderd en kunnen meer aanvallen gedetecteerd en gestopt worden.

Van drie maanden naar drie minuten Door deze cloudgebaseerde benadering gecombineerd met een informatie-uitwisseling over dreigingen, krijgen organisaties veel sneller zicht op aanvallen, dankzij de volgende voorzieningen:

•

•

Meer zichtbaarheid en snellere ENDPOINT SECURITY ontdekking door continu te monitoren en gebruik te maken van informatie van andere apparatuur om stealth-aanvallen te ontdekken. Alle bestandsactiviteiten worden geregistreerd, waardoor kwaadaardig gedrag snel ontdekt wordt en security-teams direct tot actie kunnen overgaan. Door gebruik te maken van de enorme verzameling aanvalsdata van Talos (Cisco’s wereldwijde organisatie voor het verzamelen van dreigingsinformatie) wordt de Time to Detection (TTD) teruggebracht tot minuten. Recente testen van NSS Labs tonen aan dat deze oplossing de snelste TTD neerzet: 91,8% van alle dreigingen werd ontdekt in minder dan drie minuten! De nieuwste preventiemethode combineert bewezen en geavanceerde beschermingstechnieken die meer dreigingen weten te stoppen, zowel van bekende als opkomende malware. AMP for Endpoints maakt gebruik van de laatste dreigingsinformatie afkomstig van Talos en is uitgerust met quarantaine-technologie om onbekende bestanden te analyseren. Effectievere respons gebaseerd op een dieper inzicht in het endpoint en een gedetailleerd track-record van de malware: waar die vandaan kwam, waar die geweest is en wat die heeft aangericht. Deze forensische gegevens versnellen het onderzoek naar malware. De complexiteit wordt drastisch teruggebracht dankzij een cloudgebaseerde interface, waarmee alle endpoints van een bedrijf kunnen worden gescand op zogeheten Indicators of Compromise. Op basis daarvan kunnen vervolgens systematisch aanvallen op pc’s, Macs, Linux en mobiele apparatuur worden afgeslagen en malware kan worden verwijderd met enkele muisklikken.

Endpoints zijn het begin Met een geïntegreerde oplossing voor endpoints wordt de security al sterk vereenvoudigd, maar het is niet voldoende. Maar de overige securityoplossingen kunnen dan nog voor hoofdbrekens zor-

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 7

ENDPOINT SECURITY

NIEUWS toegang tot het netwerk. Juist als deze ENDPOINT SECURITY verschillende oplossingen nauw met elkaar samenwerken wordt de totale beveiliging veel sterker: het geheel is dan meer dan de som der delen.

gen. Het komt maar al te vaak voor binnen de hele organisatie dat na verloop van tijd 40 tot 60 verschillende beveiligingsoplossingen zijn geïmplementeerd die niet of nauwelijks informatie met elkaar kunnen uitwisselen. Het beheer van tientallen verschillende securityoplossingen die niet voldoende met elkaar communiceren, die allemaal ook nog een ander managementplatform hebben, andere onderliggende hardware en verschillende gebruikersinterfaces, is geen doen meer.

Security als architectuur Met dit in het achterhoofd zou security benaderd moeten worden als een architectuur: een helder, samenhangend ontwerp dat een universeel platform oplevert. In plaats van alsmaar nieuwe, op zichzelf staande securityoplossingen aan te schaffen om nieuwe soorten aanvallen te onderscheppen, kan die functionaliteit op dat platform worden gerealiseerd door er software-oplossingen aan te koppelen. Het platform zorgt voor de benodigde onderlinge verbindingen tussen deze oplossingen, zodat één veel gemakkelijker te beheren geheel ontstaat, terwijl de gebruiker kan kiezen wat hij nodig heeft en wat niet. Hierdoor vermindert de fragmentatie en complexiteit.

securityleverancier in staat moet worden gesteld hierop aan te sluiten. Dat geldt in elk geval voor AMP for Endpoints, dat deel kan uitmaken van een grotere en geïntegreerde security-infrastructuur. Die infrastructuur maakt het mogelijk om dreigingen te zien op verschillende plekken, dus niet alleen op de endpoints. Zodra er een dreiging wordt gezien, kan die overal worden geblokkeerd, automatisch en zonder dat er een beheerder aan te pas hoeft te komen.

Geheel groter dan som der delen Een security-architectuur moet het niet alleen mogelijk maken om gemakkelijke onderdelen zoals endpoint-beveiliging te integreren, maar bijvoorbeeld ook hardware-oplossingen voor preventie zoals firewalls voor het regelen van de

Belangrijker nog: er verdwijnen talloze gaten die door aanvallers benut kunnen worden. Wil zo’n platform kans van slagen hebben, zal het ook een ‘open’ platform moeten zijn. Voor alle duidelijkheid: ‘open’ betekent in dit verband dat iedere 8 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

Voor de endpoint-beveiliging geldt dat alles in het werk wordt gesteld om de tijd tussen de aanval en de ontdekking zo kort mogelijk te houden. Een tijd van drie maanden betekent een enorme kans op grote schade (financiële schade én reputatieschade) doordat aanvallers lang ongestoord hun gang kunnen gaan. Cisco’s oplossing weet de meeste malware buiten de deur te houden, maar wat er desondanks toch doorheen komt, wordt zeer snel opgemerkt: 13 uur of minder en in veel gevallen, zoals aangegeven, binnen enkele minuten. En die tijd is voor een aanvaller veel te kort om met succes op zoek te gaan naar interessante informatie en schade aan te richten. MICHEL SCHAALJE, Technisch Manager Cisco

'Het zal duidelijk zijn dat endpointbeveiliging op een nieuwe manier benaderd moet worden'

Intel Security

kijkt vooruit welke cyberdreigingen ons staan te wachten in 2017 en daarna In het McAfee Labs 2017 Threats Predictions Report worden 14 belangrijke trends op het gebied van cyberdreigingen genoemd waar we in 2017 mee te maken zullen krijgen. Ook benoemt het rapport een aantal zorgelijke ontwikkelingen in de beveiliging van de cloud en van het Internet of Things. Het rapport is een verzameling van de meningen van 31 vooraanstaande experts binnen Intel Security.

“Als we de huidige verhoudingen tussen aanvallers en verdedigers willen veranderen, zullen we de grote voordelen die onze tegenstanders nu genieten, teniet moeten doen”, zegt Wim van Campen, VP Noord- en Oost-Europa voor Intel Security. “Wanneer er een nieuwe verdedigingstechniek is ontwikkeld, zal de effectiviteit toenemen tot het moment dat aanvallers die verdediging kunnen omzeilen. Om echte stappen te kunnen zetten, moeten we als industrie op een aantal sleutelgebieden echt vooruitgang zien te boeken. We moeten er bijvoorbeeld voor zorgen dat het veel duurder wordt om aanvallen uit te voeren, we moeten meer inzicht zien te krijgen in wat er gebeurt op een systeem of binnen het netwerk en we moeten decentraal opgeslagen informatie beter zien te beveiligen.”

Voorspellingen voor 2017 De voorspellingen voor 2017 bestrijken een zeer breed scala aan cyberdreigingen, van ransomware en aanvallen op hardware en firmware, tot aanvallen op IoT-apparaten voor ‘smart homes’ en het gebruik van intelligente computersystemen om effectievere social engineering-aanvallen uit te voeren: 1. In de tweede helft van 2017 zal het aantal ransomware-aanvallen afnemen, evenals de effectiviteit ervan. Dit is het gevolg van steeds betere technieken en methodes die bescherming bieden tegen ransomware. 2. Het aantal exploits voor kwetsbaarheden in Windows zal blijven dalen, terwijl de aanvallen gericht op infrastructuursoftware en virtualisatiesoftware juist zullen toenemen. 3. Aanvallers met geavanceerde kennis zullen zich in toenemende mate gaan richten op hardware en firmware. 4. Hackers zullen met laptops gaan proberen om de besturing van drones over te nemen (‘dronejacking’).

5. Aanvallen op mobiele apparaten zullen het ‘op slot zetten’ van mobiele toestellen combineren met diefstal van logingegevens, waarmee cyberdieven toegang kunnen krijgen tot bankrekeningen, creditcards, etc. 6. IoT-malware zal zorgen voor achterdeurtjes naar ‘connected homes’ en het kan jaren duren voor deze beveiligingsgaten ontdekt worden. 7. Dankzij ‘machine learning’ zullen social engineering-aanvallen steeds slimmer en beter worden opgezet, zodat mensen eerder op links klikken, bijlagen openen, etc. 8. We zullen steeds meer nep-advertenties en betaalde ‘likes’ zien. Dit gaat ten koste van ons vertrouwen in advertenties en ‘likes’. 9. De strijd tussen online adverteerders en ad-blockers zal verder escaleren. Nieuwe technieken die adverteerders ontwikkelen om gebruikers advertenties voor te blijven schotelen, zullen gekopieerd worden door aanvallers die diezelfde technieken dan inzetten om malware te verspreiden. 10. Hacktivisten zullen een grote rol spelen in het onthullen van nieuwe privacy-issues. 11. Dankzij steeds betere samenwerking tussen justitie/politie en de industrie, zullen er met succes acties worden uitgevoerd tegen cybercriminele operaties. 12. Er zullen in 2017 flinke stappen gezet worden in de ontwikkeling van technieken die het mogelijk maken om dreigingsinformatie (‘Threat Intelligence’) uit te wisselen. 13. Cyberspionage zal binnen het bedrijfsleven en in het criminele circuit net zo ‘gewoon’ worden als tussen landen. 14. Leveranciers op het gebied van fysieke beveiliging en cybersecurity zullen gaan samenwerken om producten beter te beschermen tegen digitale dreigingen. INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 9

VISIE

SECURITY IN DE ZORG

iets van een eigen afweging achter: de consument kiest er zelf voor om de privacygevoelige gegevens te delen met derden in ruil voor voordeel.

Minder veilig

Cybercrimineel

profiteert van patiënten-empowerment Er is een sterke lobby om zoveel mogelijk zorgverleners zover te krijgen dat zij hun patiënten met een eigen inlogcode inzicht geven in hun eigen elektronisch medisch dossier. Onder andere de minister van Volksgezondheid en de Nederlandse Patiëntenvereniging vechten hiervoor. Misschien ook wel logisch: patiënten raken zo nauwer betrokken bij hun ziekte en gezondheid. Dit gevoel van controle (of: empowerment) draagt positief bij aan herstel, zo wordt regelmatig bewezen bij wetenschappelijk onderzoek. Bovendien neemt de kans op fouten in het medisch dossier af, omdat de empowered patiënt de fout sneller zal vinden dan een medisch professional en de fout zal laten herstellen. Veel instellingen geven dan ook gehoor aan de oproep. Volgens Nictiz, het landelijke expertisecentrum dat ontwikkeling van ICT in de zorg faciliteert, bood in augustus 25% van de Nederlandse ziekenhuizen een patiëntenportaal aan via internet. Maar er zijn naast voordelen ook nadelen. 10 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

Commerciële belanghebbenden Het belangrijkste nadeel is dat de privacybescherming komt te vervallen. Tegenstanders van de nieuwe openheid vrezen dat derden hun kans ruiken. Werkgevers zouden werknemers onder druk kunnen zetten om hun dossier met de werkgever te delen, bijvoorbeeld in ruil voor meer vakantiedagen. Er is angst voor zorgverzekeraars die aspirant-klanten mooie kortingen bieden in ruil voor inzage in hun dossier vooraf. Ook zijn er andere commerciële partijen die bereid zijn om voor de medische gegevens van consumenten in de buidel te tasten om gerichte marketing te kunnen plegen en grootse big data plannen te kunnen verwezenlijken. Het zou kunnen dat er consumenten zijn die voor dit soort tactieken vallen. Jan-Marc Verlinden, oprichter van het commerciële bedrijf MEDvision360, vertelde de redactie van Nieuwsuur dat hij verwacht dat 50% van de Nederlanders hun medische gegevens met een commercieel bedrijf als het zijne zullen gaan delen. Dat is voor privacyvoorvechters misschien een doemscenario, maar in ieder geval zit er nog

Een nadeel waar ik nog maar weinig over heb gelezen, valt in dezelfde categorie als het vervallen van de privacybescherming. In de zorg gelden strenge NEN-normen voor het beveiligen en het veilig versturen van informatie. Er is een speciaal sub-internet gemaakt waar de communicatie over en het verkeer van patiëntengegevens veilig, namelijk extra geëncrypteerd over gaat (DCN). Het is niet voor niets dat zorgverleners die aangesloten zijn op het landelijk schakelpunt (LSP) uitsluitend met dit extra beveiligde internet mogen werken. Een aansluiting op het algemene internet met de pc’s die zijn aangesloten op het LSP is volgens de voorwaarden van VZVZ, de autoriteit die de toegang tot het LSP regelt, zelfs strikt verboden. De hele borging van de veiligheid van dit systeem vervalt, zodra de informatie die veilige omgeving verlaat en via het algemene internet op de pc van de patiënt zelf terecht komt.

Malware Er zijn uiteenlopende schattingen hoeveel pc’s er in Nederland besmet zijn met malware. We weten dat tussen 5% en 10% van alle Nederlandse pc’s deel uitmaakt van een botnet. Deze pc’s zijn dus per definitie besmet met malware. De meerderheid van deze pc’s staat bij mensen thuis en niet op het werk. Daarnaast zijn er ook besmette pc’s die niet in een botnet hangen. Laten we de schatting conservatief houden en ervan uitgaan dat circa 10% van alle consumenten-pc’s geïnfecteerd en dus onveilig zijn. Dit percentage verschilt sterk van het aantal mensen dat weet of denkt dat zijn pc geïnfecteerd is, want de meeste mensen geloven nog altijd dat hun pc niet geïnfecteerd is, als zij geen vreemde pop-ups of een sterke vertraging van de pc waarnemen. Probleem is, dat moderne malware bijna nooit pop-ups of vertraging veroorzaakt. We kunnen er dus vanuit gaan dat die 10% besmette pc’s een volledig argeloze eigenaar heeft die gelooft dat zijn pc volkomen veilig is. Niet iedereen weet precies wat malware allemaal doet, dus hier even een korte omschrijving van de meest voorko-

'Tegenstanders van de nieuwe openheid vrezen dat derden hun kans ruiken' mende functies. Na de initiële infectie, meestal door een zogenaamde exploit die misbruik kan maken van een beveiligingslek in het besturingssysteem, de software of de browser, wordt een pakket van aanvullende malware gedownload. Zo zal er een programmaatje worden geïnstalleerd dat razendsnel alle documenten, foto’s, video’s en andere bestanden kopieert en naar het ‘Command & Control Center’, zeg maar het moederschip stuurt. Soms wordt er nog een extra zoekfunctie gebruikt, die de inhoud van de documenten op relevantie kan analyseren. Documenten waarin bijvoorbeeld het woord paspoort, BSN of creditcard voorkomen zijn extra interessant. Vervolgens blijft er meestal spyware op de pc actief. Wanneer er een interessant document gemaakt, gedownload of zelfs slechts alleen ingekeken wordt, kunnen screenshots worden gemaakt. Wanneer wordt ingelogd op websites die met wachtwoorden beveiligd zijn, kunnen toetsaanslagen worden vastgelegd door keyloggers, waarmee inloggegevens gestolen kunnen worden.

Banktrojanen Zelfs wanneer gebruik gemaakt wordt van tweefactor-authenticatie, waarbij voor het inloggen een éénmalig wachtwoord wordt verstuurd naar bijvoorbeeld een mobiele telefoon of een speciale token, is dat niet per definitie veilig. Banktrojanen - zo genoemd in het tijdperk dat banken bijna de enige waren die gebruik maakten van tweefactor-authenticatie - kunnen met behulp van een Man in the Browser-aanval meeliften op de (eenmalige) inloggegevens van de gebruiker en zich zo toegang verschaffen tot de informatie. Deze malware is erg lastig te herkennen of tegen te houden en de malware-analisten van G DATA zien er steeds meer opduiken. Banktrojanen kunnen uitsluitend effectief worden gestopt door een technolo-

gie die het opbouwen van Man in the Browser-aanvallen voorkomt, zoals G DATA BankGuard.

Ondergrondse marktplaats Kort gezegd: als de pc van de consument niet veilig is, is medische informatie voor de eigenaar van de pc niet veilig te bekijken. Net zoals is gebeurd bij andere waardevolle informatie, zoals kopie-paspoorten, creditcardgegevens, Paypal-rekeningen, inloggegevens enzovoorts, zullen medische dossiers vandaag of morgen in groten getale te koop worden aangeboden op illegale marktplaatsen. Commerciële partijen die het lastig en duur vinden om patiënten te overtuigen om mee te werken, hebben dan de mogelijkheid om de gegevens in bulk in te kopen. Zonder instemming van de consument. En wie nu denkt dat legitieme ondernemers toch niet zo ver zullen gaan om confidentiële informatie onrechtmatig te verkrijgen of te verhandelen, heeft het recente schandaal van het Belgische Gendia gemist. Dat bedrijf misbruikte de medische vragenlijsten die zwangere vrouwen moesten invullen voor het ondergaan van een prenataal onderzoek om kankerrisicotests te slijten.

NEN-norm voor zorgconsumenten Ik wil mij niet te sterk mengen in de morele discussie over de (on)wenselijkheid van het beschikbaar stellen van elektronische patiëntendossiers aan patiënten. Maar het malware-aspect moet absoluut niet over het hoofd worden gezien. In algemenere zin ben ik fel pleitbezorger van een speciale NEN-norm voor alle consumenten die kiezen voor een digitale toegang tot hun patiëntengegevens. Onder die norm is het verplicht voor de consument om een effectieve antivirus-oplossing op zijn pc te hebben draaien en om kritieke beveiligingsupdates te hebben geïnstalleerd. Is dat niet het geval? Dan zou bij de inlogpoging de toegang moeten worden geweigerd. DANIËLLE VAN LEEUWEN, Communications Manager G DATA

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 11

DARK WEB

DRINGEND BEHOEFTE AAN BETER ZICHT OP ACTIVITEITEN CYBERCRIMINELEN

Maar dit soort sites vervult vaak ook de rol van - bijvoorbeeld - bulletin board. Daar kunnen cybercriminelen bijvoorbeeld vragen stellen over bepaalde aanvalsdoelen: netwerken, bedrijven of overheidsorganisaties. Of opdrachten verlenen voor het ontwikkelen van specifieke stukjes codes die weer in een attack kunnen worden toegepast.

Blinde vlek Grote enterprise-organisaties en overheidsinstellingen kennen vaak security-afdelingen van uitstekende kwaliteit. Zowel de tools die men toepast als de processen die men heeft ingericht zijn van een zeer professioneel niveau. Maar zoals Brian Krebs van KrebsOnSecurity met regelmaat vaststelt: ook voor hen is het Dark Web vaak nog een blinde vlek. Dat is ook niet zo verwonderlijk. Deze sites zijn enkel via TOR of I2P bereikbaar. En iedereen die zich hier voor het eerst meldt, wordt met grote argwaan bekeken. Niemand weet immers of een persoon die bij wijze van spreken capaciteit wil kopen voor een DDoS-aanval op een Nederlandse bank ook inderdaad die aanval wil uitvoeren. Of dat het om een medewerker van een veiligheidsdienst of een onderzoeker van een securityfirma gaat.

Dark Web nog te vaak

blinde vlek

Hoeveel firewalls, unified threat management-systemen of intrusion detection-oplossingen we ook installeren, iedere Chief Information Security Officer van een grote organisatie weet dat cybercriminelen nooit opgeven. Zij blijven altijd zoeken naar mogelijkheden om toegang te krijgen tot het corporate netwerk of om bepaalde bedrijfsapplicaties door middel van DDoS-aanvallen onbereikbaar te maken. Informatie over de aanvallen die zij voorbereiden is eigenlijk alleen te vinden op het Dark Web. Kunnen CISO’s en security specialisten op een of andere manier toegang tot dat soort informatie krijgen? Grote bedrijven en overheidsorganisaties zijn in een continue strijd verwikkeld met cybercriminelen. Dagelijks doen deze pogingen om het corporate netwerk van dit soort organisaties binnen te dringen. Soms vanwege de data die zij denken te kunnen gijzelen (ransomware). In andere gevallen omdat 12 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

hun opdrachtgevers op zoek zijn naar belangrijke informatie. Dit soort opdrachten zijn steeds vaker afkomstig van concurrenten of van buitenlandse overheden die op deze manier economische spionage plegen of politiek voordeel proberen te behalen.

Grotere budgetten Deze aanvallen worden steeds geavanceerder. Dat is ook logisch. Doordat de - zeg maar - ‘winst’ die met een geslaagde inbraak economisch of politiek wordt gerealiseerd steeds groter wordt, groeien ook de ‘budgetten’ waarmee cybercriminelen dit soort attacks kunnen uitvoeren. Wie websites als KrebsOnSecurity of WeLiveSecurity volgt, weet dat de klassieke verdedigingsmethoden tegen dit soort aanvallen onvoldoende bescherming bieden. Natuurlijk dient volop geïnvesteerd te worden in alle traditionele verdedigingsmethoden - van antivirus tot intrusion detection en van firewall

tot forensische tools. Maar voldoende is het niet.

Marktplaatsen Zo waarschuwt Jaya Baloo, Chief Information Security Officer van KPN, met grote regelmaat voor de gevaren van het zogeheten Dark Web. Dit is een voor de gewone gebruiker niet toegankelijk gedeelte van het internet waar cybercriminelen kennis, informatie en tools met elkaar uitwisselen en van elkaar kopen. Hier vindt een meer dan levendige handel plaats. Het Dark Web bestaat uit zo’n 9.000 underground servers die onder andere marktplaats-achtige sites hosten. Daar kan een cybercrimineel niet alleen tools kopen waarmee DDoS- en andere aanvallen kunnen worden uitgevoerd, maar kan hij bijvoorbeeld ook lange lijsten met gestolen credit card-gegevens, inlognamen & wachtwoorden en dergelijke te koop aanbieden. Of juist aanschaffen.

Toch is het van cruciaal belang dat CISO’s en security-specialisten toegang hebben tot het Dark Web. Alleen dan kunnen we immers van een reactieve verdediging doorgroeien naar een meer proactieve bescherming tegen cyberaanvallen. Dit soort aanvallen gaan continu door, maar vaak kunnen de security-afdelingen pas reageren als de attack al daadwerkelijk is begonnen. Wie echter het Dark Web zou kunnen volgen, ziet als het ware hoe cybercriminelen zich voorbereiden op een aanval. Dan kan een bedrijf zich dus veel beter voorbereiden op zo’n attack.

Gespecialiseerde kennis Tot voor kort was het echter nauwelijks mogelijk om toegang te krijgen tot het Dark Web. Hooguit kon men proberen om zich als een soort ‘undercover agent’ voor te doen als crimineel. Maar dat is uiteraard niet bepaald eenvoudig, kost veel tijd en is ook zeker niet zonder risico’s. Er zijn ook nauwelijks bedrijven bekend die dit soort expertise hebben ontwikkeld. Een van de weinige aan-

bieders in deze markt is Kela Targeted Cyber Intelligence.

Tussen cybercriminelen Dit soort bedrijven ontwikkelt in de regel in eigen beheer tools om het Dark Web te kunnen afzoeken naar relevante informatiebronnen. Uiteraard zonder dat hierbij duidelijk is dat het om een security-firma gaat. Dit soort research gebeurt dus per definitie in een soort ‘stealth mode’. Bovendien hebben zij zeer gespecialiseerde medewerkers in dienst die zich dagelijks op underground-sites begeven. Zij leven daardoor dus als het ware tussen de cybercriminelen. Met hun software-tools kunnen zij vraag en aanbod op de eerder genoemde ‘marktplaatsen’ op gestructureerde wijze in kaart brengen. Al dit soort data kan vervolgens doorzocht en geanalyseerd worden. Hierdoor krijgen zij een goed beeld van de doelwitten die criminelen op de korrel willen nemen, evenals de aanvalsmethoden die zij hierbij willen hanteren.

700 tot 900 “Het aantal informatiebronnen waarop zich informatie bevindt of activiteiten plaats vinden die relevant zijn voor grote organisaties is tussen 700 en 900 groot”, zegt Matthijs Blokker van MMOX in Den Haag, dat de diensten van Kela naar ons land heeft gehaald. MMOX specialiseert zich in innovaties in cyber security. Door dit soort informatie continu te verzamelen is Kela in staat bedrijven en overheidsorganisaties op proactieve wijze te helpen met het afweren van cyberaanvallen. Daarmee levert men als het ware de ‘intelligence’ die CISO’s nodig hebben om aanvallen al te zien aankomen nog voordat de attack daadwerkelijk plaatsvindt. Een interessante ontwikkeling hierbij is overigens dat dit soort van het Dark Web afkomstige informatie zich uitstekend laat combineren met gegevens die zich op het vrij toegankelijke internet bevinden. Cybercriminelen leven niet 24/7 op TOR- en Freenet-sites, maar zijn ook daarbuiten actief. En ook dan laten zij sporen achter. De combinatie van al dit soort informatie is een belangrijk hulpmiddel bij het opsporen van cybercriminele netwerken en de mensen die daarin actief zijn. VAN DE REDACTIE

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 13

VISIE

2017: het jaar van de

autonome, zelflerende malware Het jaar 2016 was op vele vlakken interessant. Niet alleen nam het aantal cyberbedreigingen toe en daalde de prijs van gestolen persoonsgegevens navenant, ook de Nederlandse overheid heeft dit jaar twee belangrijke stappen gezet. Per 1 januari is de Wet Meldplicht Datalekken in werking getreden, en afgelopen oktober nam de Tweede Kamer een wetsvoorstel over cybersecurity aan. Deze wet zal organisaties binnen vitale sectoren (bijvoorbeeld nuts- en telecombedrijven) en de Rijksoverheid verplicht stellen om ernstige digitale veiligheidsincidenten te melden. Men hoopt dat tijdige melding een effectievere aanpak van cyberincidenten mogelijk maakt en dat maatschappelijke ontwrichting vervolgens beperkt kan worden.

14 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

Het melden van veiligheidsincidenten is goed, het weten wat organisaties te wachten staat zodat er vooraf actie op ondernomen kan worden, werkt wellicht beter. Op basis van wereldwijde cybercrime-analyses voorziet Fortinet’s onderzoeksteam twee trends die volgend jaar belangrijk zullen worden. Ten eerste wordt malware zo slim dat het menselijk gedrag kan nabootsen, ten tweede zullen steeds meer consumenten, leveranciers en andere belangengroepen oproepen tot de ontwikkeling en toepassing van beveiligingsstandaarden binnen IoT.

Van slim naar slimmer: geautomatiseerde aanvallen die menselijk gedrag nabootsen vragen om intelligentere beveiliging De meeste vormen van malware zijn niet bijster slim. Ja, ze gebruiken technieken om de beveiliging te omzeilen en ze zijn er goed in om zich te verbergen binnen de dynamische activiteiten van apparaten en netwerken. Toch is malware louter geprogrammeerd voor een of meer specifieke doeleinden. Een hacker richt de malware op een doelwit, en de malware slaagt er vervolgens al dan niet in om een bepaalde taak te voltooien. Cybercriminelen compenseren op twee manieren voor deze ‘binaire’ aard van malware: door een tijdsintensief gebruik van meerdere tools waarmee ze een aanval op een specifiek doelwit kunnen richten, of op basis van volume. Want als er maar genoeg malware wordt verzonden, of de malware zich maar een voldoende aantal keer repliceert, zullen cybercriminelen uiteindelijk op een systeem of apparaat stuiten waarvan ze misbruik kunnen maken. Dit staat echter op het punt om te veranderen. Bedreigingen worden met de dag slimmer. Ze zijn steeds vaker in staat om zelfstandig te werk te gaan. We verwachten dat er het komende jaar sprake zal zijn van malware die gebruik maakt van aanpasbare zelflerende technologie die het succes van aanvallen verbetert. Deze nieuwe generatie van autonome malware is zich bewust van haar omgeving en kan berekende beslissingen nemen ten aanzien van de volgende stap die moet worden ondernomen. In veel opzichten zal deze nieuwe malware zich beginnen te gedragen als een menselijke aanvaller: het kan op eigen houtje verkennen, doelen identificeren, metho-

den van aanval kiezen en detectie op een intelligente wijze ontduiken. Van dergelijke malware werd gebruikgemaakt voor een hack bij de Centrale Bank van Bangladesh die tussen 4 en 5 februari 2016 plaatsvond. Deze malware leerde zichzelf aan hoe het instructies voor bankoverschrijvingen moest uitvoeren. Onderzoekers vermoeden dat deze kwaadaardige code enkele weken voor het incident werd geïnstalleerd.

Nieuwe malware kan complexe besluiten nemen Deze nieuwe generatie malware maakt gebruik van code die een voorloper is van kunstmatige intelligentie. Hierbij wordt de traditionele codelogica ‘if not this, then that’ vervangen door complexere besluitbomen. Autonome malware gaat op vergelijkbare wijze te werk als technologie voor het voorspellen van vertakkingen die raadt langs welke tak

'In 2020 zullen er meer dan 20 miljard IoTapparaten online zijn, versus een miljard pc’s' van een beslissingsboom een transactie zal verlopen alvorens die wordt uitgevoerd. De software voor het voorspellen van de vertakking houdt bij of een vertakking al dan niet wordt gevolgd. Als het een sprong constateert die het al eerder heeft gezien, kan het op basis daarvan een voorspelling doen. De software wordt zo na verloop van tijd steeds intelligenter. Autonome malware wordt net als intelligente verdedigingsmechanismen aangestuurd door de verzameling en analyse van informatie, zoals de uiteenlopende typen apparaten die binnen een netwerksegment worden gebruikt, de verkeersstroom, de gebruikte applicaties, transactiegegevens, het tijdstip van de dag waarop transacties plaatsvinden enzovoort. Hoe langer een bedreiging in een host aanwezig kan blijven, des te beter deze zelfstandig kan fungeren, opgaan in zijn omgeving, tools kan selecteren op basis van het beoogde platform en maatregelen kan treffen om de aanwezige beveiligingstools te omzeilen.

Van gedaante veranderende aanvallen die zich op meerdere platforms tegelijk richten In 2017 zal ook sprake zijn van een toename van autonome malware die het op verschillende platforms heeft gemunt en op (en tussen) allerhande mobiele apparaten kan werken. Deze vormen van cross-platform-malware worden ook wel ‘transformers’ genoemd. Ze omvatten diverse exploit- en payload-tools die in staat zijn om in uiteenlopende omgevingen te werken. Deze nieuwe variant van autonome malware bevat een leercomponent die informatie verzamelt over de locatie waarin deze is ingezet, met inbegrip van het platform waarop het is geladen. De malware gaat vervolgens over tot het kiezen, opbouwen en uitvoeren van een aanval op zijn doelwit met behulp van de juiste payload (kwaadaardige code). Transformer-malware wordt gebruikt om diverse platforms te infecteren en zich daarlangs te verspreiden. Deze malware zorgt daarmee voor een uitbreiding van het aanvalsoppervlak en bemoeilijkt het detecteren en verhelpen van de infectie. Zodra een kwetsbaar doelwit is geïdentificeerd kunnen deze tools ook allerhande programmatuur verstoren. Deze kwetsbaarheid kan worden misbruikt om kwaadaardige code te injecteren, data te verzamelen en om onopgemerkt aanwezig te blijven. Autonome malware zoals transformers die zijn ontwikkeld om zich op proactieve wijze via uiteenlopende platforms te verspreiden, kunnen funeste gevolgen hebben voor de verbonden apparaten waar we steeds vaker gebruik van maken voor het uitvoeren en automatiseren van onze dagelijkse taken. Dit vraagt om de inzet van sterk geïntegreerde en intelligente beveiligingstechnologieën die in staat zijn om diverse platforms te scannen, uiteenlopende bedreigingsgegevens met elkaar in verband te brengen en automatisch voor gecoördineerde tegenmaatregelen te zorgen.

IoT-fabrikanten zullen verantwoordelijk worden gesteld voor beveiligingsincidenten Dat het aantal aanvallen op Internet of Things (IoT)-apparatuur zal toenemen, is waarschijnlijk de meest trefzekere voorspelling voor 2017. Het is een eenvoudige optelsom: in 2020 zullen er meer dan 20 miljard IoT-apparaten online zijn, versus een miljard pc’s. We bevinden ons

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 15

VISIE verse opties tot hun beschikking hebben staan om maatregelen te treffen voor het beheer van de beveiligingsproblemen rond IoT-apparaten en -netwerken, zoals toegangsbeheer en netwerksegmentatie, hebben consumenten weinig of geen mogelijkheden op dit gebied. Als IoT-fabrikanten nalaten om hun apparaten te beveiligen, zou dit ertoe kunnen leiden dat consumenten gaan twijfelen of ze deze producten überhaupt zouden moeten aanschaffen. Dit kan rampzalige gevolgen hebben voor de digitale economie. Het kan zijn dat IoT-fabrikanten die geen directe actie ondernemen niet alleen te maken zullen krijgen met omzetverlies, maar ook aansprakelijk zullen worden gesteld voor beveiligingsincidenten waarbij hun producten betrokken zijn. in een heikele positie als het om het IoT gaat. Er is sprake van een reusachtig M2M (machine-to-machine)-aanvalsoppervlak dat zal toenemen tot meer dan 20 miljard verbonden apparaten. Deze draaien op uiterst kwetsbare code en zijn afkomstig van fabrikanten die simpelweg niet over een beveiligingsstrategie beschikken. Deze apparaten zijn als het ware ongeleide projectielen: we kunnen er geen beveiligingsclient aan toevoegen en hun software en firmware zelfs niet effectief updaten. Aanvallers boeken momenteel veel succes door gebruik te maken van standaard gebruikersnamen en wachtwoorden. En er is nog veel meer laaghangend fruit voor lieden die misbruik willen maken van kwetsbaarheden in IoT-apparaten, zoals hardgecodeerde achterdeurtjes en fouten in code die wordt gebruikt voor IoT-verbindingen en -communicatie. Gezien het potentieel dat het Internet of Things cybercriminelen biedt om schade aan te richten en geld te verdienen, verwachten we dat aanvallen op IoT-apparaten een geavanceerder karakter zullen aannemen en misbruik zullen maken van zwakke schakels in IoT-communicatie en processen voor het verzamelen van data.

De opkomst van shadownets Verder voorzien we de opkomst van enorme shadownets. Dit zijn IoT-botnets die niet met conventionele tools kunnen worden ontdekt of gemeten. Shadownets, waarvan recentelijk gebruik werd gemaakt voor de Mirai-aanval, bevinden zich nog in de kinderschoenen.

Ze worden ingezet als botte instrumenten voor het uitvoeren van denial of service (DDoS)-aanvallen die hun weerga niet kennen. We denken echter dat deze aanvallen tot dusver hoofdzakelijk werden uitgevoerd om de mogelijkheden van shadownets te testen. Omdat deze nieuwe bedreiging de ‘proof of concept’-fase inmiddels achter zich heeft, verwachten we een steeds slimmere inzet van deze zwermen van geïnfecteerde apparaten. De eerste en meest waarschijnlijke stap is het combineren van gerichte DDoS-aanvallen met eisen om losgeld. Dit zal naar alle waarschijnlijkheid worden gevolgd door het verzamelen van data, het afstemmen van aanvallen en het verbergen van andere aanvallen.

Een Deepweb binnen het IoT De opkomst van shadownets valt samen met de ontwikkeling van een Deepweb binnen het IoT. Het Deepweb is traditioneel het deel van internet dat niet wordt geïndexeerd door zoekmachines. We denken dat shadownets van geïnfecteerde IoT-apparaten zullen worden ingezet voor zaken als de tijdelijke opslag van gestolen informatie. Daarmee ontstaat een Deepweb binnen het IoT. Er zal gebruik worden gemaakt van swarm (zwerm)– en P2P (peer-to-peer)-tools voor het onopgemerkt opslaan, beheren en opvragen van data via miljoenen apparaten. Verder zal er TOR-achtige functionaliteit worden geïntroduceerd die het mogelijk maakt om IoT-netwerken te gebruiken voor het anonimiseren van dataverkeer. Hoewel bedrijven di-

16 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

ICT en Security Trainingen

Conclusie Tegenwoordig is alles een doelwit en kan alles als een wapen worden gebruikt. Cyberbedreigingen worden intelligenter, gaan autonomer te werk en zijn steeds lastiger te detecteren. Het tempo van ontwikkelingen op het gebied cy-

'Het melden van veiligheidsincidenten is goed, het weten wat organisaties te wachten staat zodat er vooraf actie op ondernomen kan worden, werkt wellicht beter' bercrime is ongekend. De beveiliging is op een belangrijk keerpunt aangekomen nu de gevolgen van cyberaanvallen zich niet langer beperken tot de getroffen organisaties, maar ook persoonlijke, politieke en zakelijke consequenties met zich meebrengen. Dit vraagt om meer verantwoordelijkheidsbesef en actie op diverse niveaus, van leveranciers van beveiligingsoplossingen, IoT producenten tot overheden en consumenten. In 2017 én alle volgende jaren. VINCENT ZEEBREGTS, Country Manager Fortinet Nederland

TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiliging- en cybersecurity trainingen. Security professionals kunnen bij TSTC terecht voor bijna vijftig security trainingen op zowel technisch als tactisch- strategisch gebied. Naast alle bekende internationaal erkende titels is het ook mogelijk diepgang te zoeken in actuele security thema’s.

www.tstc.nl

Top 10 Security trainingen CEH • OSCP • CCSP • CCFP • CISSP • CJCISO • CRISC Privacy CIPP/E-CIPM • CISM • ISO 27001/27005/3100

Recognition for Best ATC’s and CEI’s

of t h e Ye a ATC r

Instructor

ident’s Achievemen Pres Award t

2016

2016

2016

TSTC Accredited Training Center of the Year 2016

Circle of Excellence Instructor 2016

Want security start bij mensen!!

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 17

MARKT Analyse van in- en uitgaande datastroom

NIEUWE DIENST VEREENVOUDIGT HET DELEN VAN INDICATOREN EN CONTEXTINFORMATIE TUSSEN GEMEENTEN

Sensors van Nováccent maken gemeenten weerbaar tegen cyberaanvallen Richtte het hackersgilde enkele jaren geleden zijn pijlen vooral op financiële instellingen, nu betalen vooral gemeenten het gelag rond de digitale samenleving. Vlotte, publieksvriendelijke dienstverlening dreigt ten onder te gaan aan inbraken in en ontregelen van systemen waaraan burgers hun persoonlijke data toevertrouwen. Nováccent nam het initiatief en startte een ingenieuze cyber security monitoring dienst voor gemeenten, inclusief in eigen beheer ontwikkelde intelligentie op sensors. Hoe meer afnemers, des te slimmer de dienst wordt. Afrekenen per sensor op maandbasis maakt de kosten voor de afnemer overzichtelijk. ”Wanneer je geen enkele notie hebt van hetgeen er op je netwerk gebeurt, sta je al gelijk met 1-0 achter”, zegt Stef Liethoff, partner en tevens CTO van Nováccent. ”In de strijd tegen hackers is het voor gemeenten van belang dat ze de gevolgen van inbraak kunnen beperken en niet met de mond 18 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

vol tanden staan wanneer een incident om uitleg vraagt. Tijdens een gesprek met Geert Bax, de voor cyber security verantwoordelijke functionaris van de gemeente Eindhoven, vernamen wij dat vanwege de toenemende en meer gerichte aanvallen van hackers op het gemeentelijke computernetwerk er behoefte was aan permanente netwerkbewaking. De van daaruit verkregen indicatoren wilden ze delen met andere gemeenten. Een eigen cyber security monitoring systeem bovenop de IT-voorzieningen bleek voor hen geen haalbare kaart. Met de aanschaf en implementatie zouden tonnen gemoeid zijn. Bovendien zou de impact op de operationele werkwijze bij de gemeente te groot zijn. Hij vroeg ons, maar ook een andere partij, om een oplossing. Ik ben in conclaaf gegaan met Michiel Monchen, manager van ons Security Operations Center. Ik wist dat daar al eens initiatieven in de richting van de Eindhovense wens waren onderzocht. Afgelopen april zijn we begonnen met het bouwen van de oplossing. In augustus hebben we die opgeleverd en inmiddels bij een aantal gemeenten geleverd.”

Nováccent ontwikkelde een monitoring toepassing op basis van een multifunctionele security sensor, geplaatst op het locale netwerk zo dicht mogelijk bij de werkplekken. Dus achter de firewall op de plaats waar de werkplekken interacteren met het internet. De van intelligentie voorziene sensor analyseert de in- en uitgaande datastroom op gedrag en op specifieke aanvallen. Michiel Monchen: ”We verzamelen indicatoren en daarmee voeden we alle sensoren, geplaatst bij de aangesloten gemeenten. We bouwen gezamenlijk intelligentie op, waardoor de weerbaarheid van deze gemeenten toeneemt. Onze oplossing is laagdrempelig en stimuleert bovendien de samenwerking tussen de gemeenten. We detecteren niet alleen waar en wanneer een besmetting heeft plaatsgevonden, we zijn ook in staat het betreffende malware bestandje, dikwijls in de vorm van een pdf, te separeren en in onze SOC verder te analyseren. Daarmee plaats je de bedreigingen in context. Welke veranderingen treden op bij de eindpunten; wat zijn de bedreigingen; hoe kun je het bestand verwijderen en wat zijn daarbij de risico’s? De antwoorden op al die vragen delen we met de gemeenten.” Het Nováccent SOC wisselt de contextinformatie en de indicatoren uit via een portal. Op die manier vergaart een gemeente de kennis om een begin van een aanval waar te nemen en het probleem vroegtijdig te adressen en te neutraliseren. Op hun beurt verwachten ze bij het SOC dat gemeenten een verdacht e-mailbericht aan bijvoorbeeld een wethouder via de portal aanbiedt, zodat daaruit weer nieuwe indicatoren en contextinformatie is te halen waarmee andere gemeenten hun voordeel kunnen doen wanneer ze een infectie constateren. Ook van meldingen van aanvallen buiten het gemeentelijke netwerk willen ze op het SOC kennis nemen, bijvoorbeeld bij mobiel internet gebruik door medewerkers van de gemeente of bij het werken vanuit huis. Daarmee komen Nováccent experts meer te weten over de bestemming, de payload (de echte malware) en de callback (de terugkoppeling naar de hacker). Op die manier laat zich volgens Monchen in de datastroom de ’tooling’ herkennen die de eindstations aanstuurt. Dat in de

‘In de strijd tegen hackers is het voor gemeenten van belang dat ze de gevolgen van inbraak kunnen beperken en niet met de mond vol tanden staan wanneer een incident om uitleg vraagt’

om de beveiliging aan de eisen te laten voldoen, zoals het dichtzetten van poorten en het op bepaalde tijdstippen beperken van het aantal publiekstoegankelijke websites. Maar die voorzieningen maken een sensor zeker niet overbodig. Het gaat om de snelheid waarmee een aanval is te detecteren en de reactiesnelheid van de gemeente op basis van correcte informatie.”

Gemeenten zijn net als bedrijven juridisch aansprakelijk indien blijkt dat de organisatie rondom de beveiliging van digitale bronnen niet goed is en als gevolg daarvan zich datalekken voordoen. ”Het kan dus geen kwaad om vooraf een quick scan los te laten op het gemeentelijke netwerk om de infrastructuur te beoordelen”, zegt Liethoff. ”Waar zitten de white spots, waar zijn geen afdoende maatregelen getroffen rond kwetsbare systemen, waaronder het gasten wifi of het camera netwerk. Daarover brengen we dan een advies uit en kan de gemeente passende maatregelen nemen

De door Nováccent geplaatste sensor heeft het uiterlijk van een server systeem, voorzien van software waarmee zich in de datatransmissie afwijkingen in gedrag laten opsporen en vanuit verschillende invalshoeken matches zijn te maken. ”De intelligentie van de sensor groeit naarmate de logica vanuit het SOC met nieuwe functionaliteit wordt uitgebreid, aldus Monchen. ”Nu een toenemend aantal gemeenten applicaties uit de cloud willen halen, is het zaak om vroegtijdig de eventuele risico’s te identificeren. Zo kan in potentie het gebruik van Dropbox problemen opleveren. Het dataverkeer van en naar de cloud dienst is encrypted, waardoor we niet in de tunnels kunnen kijken. Toch is het voor een gemeente belangrijk om te weten hoe vaak grote hoeveelheden data heen en weer gaan en waarom. Indien inzicht in de tunnels gewenst is, kan in afstemming met de gemeente ontsleuteling worden toegepast. Een ontsleuteling van dergelijke cloud applicaties heeft naast de organisatorische afstemming over privacy ook qua aanpassingen meer voeten in de aarde. Het lekken van gevoelige data die volgens de gemeentelijke voorwaarden niet gedeeld mogen worden, is dan wel inzichtelijk te maken.”

Michiel Monchen

Stef Liethoff

gemeentehuizen tegenwoordig ook wifi wordt aangeboden aan de bezoekers, leidt naar zijn mening niet per se tot meer risico’s van besmetting. ”Meestal functioneert dit gastgebruik geïsoleerd van het gemeentelijke dataverkeer. Het betreft 1 op 1 verbindingen met het internet zonder afhankelijkheden van andere systemen.”

Infrastructuur in kaart brengen met quick scan

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 19

STRATEGIE Jeffrey de Graaf (l) en Jelle Wieringa van QSight IT

QSIGHT IT LAAT BUSINESS ELEMENTEN MEEWEGEN IN GEAVANCEERD TECHNISCH PLATFORM

'We leveren geen doos met generieke oplossingen, maar een op de klant toegesneden dienstverlening'

Bijna twee jaar geleden nam, volgens de Cyber Security Benchmark van KPMG, het bestuur van tweederde van de beursgenoteerde ondernemingen geen verantwoording voor beveiliging. Blijkbaar stond het onderwerp niet hoog op hun prioriteitenlijst. Nu calamiteiten aan de orde van de dag zijn, dreigen bestuurders door te schieten in hun denken over cybersecurity. Natuurlijk kan een virus het bedrijfsproces ernstig verstoren. Maar wat als het mitigeren van dat ene virus meer kost dan het financiële risico dat de organisatie loopt door de besmetting? Met een zorgvuldige kosten baten analyse, gegoten in een bewezen Managed Security dienstverlening, wil QSight IT praktisch en pragmatisch organisaties in een viertal bedrijfstakken ondersteunen op het security vlak.

res, ’use cases’ en andere stramienvormen, waar cybersecurity juist vol mee zit. Onze projecten in de zorg omvatten daarom veel afstemmingsessies met zowel technische medewerkers als behandelaars, zodat ze een balans weten te vinden in het patiënten belang en het belang van security.”

’Tailor made, praktisch en pragmatisch groeien naar ’secure’ cyberlandschap’ ”Ons vakgebied verschuift naar risicomanagement en risico acceptatie”, zegt Jelle Wieringa, Innovation Officer bij QSight IT. ”Wat is de actie en wat zijn daarvan de consequenties en wat zou de reactie moeten zijn? Die vragen willen wij voor onze klanten beantwoorden met een ’tailor made’ dienstverlening voor een vast bedrag per maand volgens een operationeel kostenmodel zonder verrassingen achteraf. Daarbij helpen we ze de businesscase te maken op basis van hun bedrijfsdoelstellingen. Die moet in overeenstemming zijn met de realiteit, zoals het volwassenheidsniveau van de organisatie op het security vlak. Dus naast de technische informatie, leveren we inzicht in de business impact en de risico’s. Stel dat de kosten voor mitigerende maatregelen 120.000 euro bedragen, maar dat het financiële risico niet boven de 100.000 euro uitkomt, dat kan een directie zich afvragen of de investering wel noodzakelijk is. Wie thuis goudstaven bewaart, wil goede sloten op zijn voordeur. Maar op de deur van het schuurtje met rommel zit misschien helemaal geen slot.” 20 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

Volwassenheidsniveau van cybersecurity QSight IT, ontstaan uit de fusie tussen netwerkspecialist Qi ict en het cybersecurity bedrijf Onsight, kenmerkt zich door een technische, innovatieve cultuur. Geavanceerde monitoring- en managementdienst, gefaciliteerd in een SOC met zelflerende kunstmatige intelligentie, aangevuld met traditionele technologie zoals SIEM, leveren ’threat intelligence’ van hoog niveau. Toch is men bij het bedrijf van mening dat rapportage over het technische dreigingsbeeld voor de klantenkring onvoldoende is om tot een hoger volwassenheidsniveau van cybersecurity te komen. Daarvoor is het noodzakelijk om naast de techniek, ook bedrijfskundige elementen in de dienstverlening te betrekken. Bij QSight IT begrijpen ze de security techniek en weten ze wat er zich op dat vlak in de wereld afspeelt. De klanten brengen de kennis van hun branche in, waardoor de security specialisten inzicht krijgen in hun specifieke bedrijfsprocessen. Waarmee onderscheiden zij zich? Die vraagt stelt Jeffrey de Graaf, VP Sales bij QSight IT, consequent: ”We leveren geen doos met

Dienstverlening wijzigt continu generieke oplossingen, maar een op de klant toegesneden dienstverlening in de context van de bedrijfsdoelstelling en van de dagelijkse praktijk en emotionele waardering.”

Succesvol beveiligen met voorbedachte rade De door QSight IT geïnitieerde kennisexercitie draagt tevens bij aan de interne verantwoording bij de klanten. Niet ieder bedrijf kan het zich veroorloven om zo maar een ton of meer vrij te maken voor security. Wieringa: ”Er moet een door de business gedragen reden zijn. Daarmee worden de bedrijfsdoelstellingen leidend voor het security beleid. Het uitgangspunt is dus strategisch, terwijl de vraag wat je vervolgens gaat doen en hoe, een punt van tactisch operationele aard wordt. Heeft een organisatie langs die lijn zijn security georganiseerd, dan kan ze in de operatie snel handelen, want voor iedereen is het duidelijk wat er is afgesproken. Komt er een virus en er is besloten om het probleem onmiddellijk op te lossen, dan gebeurt dat direct. Je bedrijft cybersecurity met voorbedachte rade.” “De beste vorm van succes is altijd met voorbedachte rade”, vult Jeffrey de Graaf aan.

Security strijdig met kernwaarde zorgsector QSight IT richt zich met de dienstverlening op bedrijven in de zorgsector, de retailbranche, de financiële wereld en de zakelijke dienstverlening. De Graaf vertelt dat het account team voor de klant is samengesteld uit zowel technische specialisten als medewerkers met een business achtergrond. De kwaliteit is verder gewaarborgd door de betrokkenheid van service management, product management en R&D. De accountmanager heeft naast zijn commerciële verantwoordelijkheid ook een resultaat gericht target. Hij of zij blijft intensief betrokken tijdens de uitvoeringsfase van het project. In de zorgsector, waarin QSight IT meewerkt aan een snelle en veilige ontsluiting van data via patiëntenportalen voor een aantal cure en care instellingen, lijkt cybersecurity enigszins strijdig met de uitgangspunten van de behandelaars.”In die sector moeten ze grip zien te krijgen op een enorme hoeveelheid kritische data”, aldus Wieringa. ”De overheid legt allerlei verplichtingen op. Maar die staan op gespannen voet met de realiteit. De kernwaarde van de zorg is om mensen beter te maken. Artsen zijn gewend om in alle vrijheid hun keuzes te maken. Ze hebben een gezonde aversie tegen papieren procedu-

Omdat het technische platform van QSight IT leunt op Big Data principes bestaan er nauwelijks capaciteitsbarrières om te interacteren met de applicaties van klanten. Loggen hun systemen bepaalde activiteiten, dan laat die informatie, evenals andere rapportage output zich probleemloos naar het platform halen voor verdere analyse. Het resultaat van de dienstverlening voldoet altijd aan de wet- en regelgeving en governance en compliance voorschriften in de betreffende bedrijfssectoren, evenals aan normenkaders als ISO 27001, NEN 7510, CobiT en Logius. Het streven is om afgestemd op de beschikbare resources en financiële middelen het maximale beveiligingsniveau te realiseren. Dat hoeft een organisatie van Jeffrey De Graaf en Jelle Wieringa niet in één keer te halen. Het is een proces met grote, afdeling en persoon overstijgende veranderingen. Zij zien het als een continu proces. De wereld van cybersecurity is een evoluerende markt. De dreigingen worden aldoor complexer, geavanceerder en sneller. De overeenkomst die klanten met QSight IT afsluiten, laat zich zonder meer aanpassen aan die dynamiek. Gaandeweg wijzigt de dienstverlening; er komen elementen bij of er vallen onderdelen weg. FRED FRANSSEN is journalist

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 21

STRATEGIE

BROCADE WIL NA OVERNAME VAN RUCKUS WIRELESS GROEIEN IN VEILIGE EN BETROUWBARE WIFI-NETWERKEN

bewaken

‘We de balans tussen performance en veiligheid van een netwerk’ De groei in het aantal WiFi-netwerken is er nog lang niet communicatietechnologie als ZigBee en Z-wave wordt uit. Het Internet of Things (IoT) staat pas aan het begin steeds meer ingezet. “Al deze technologieën worden verankerd in onze producten. We zijn bijvoorbeeld al van haar ontwikkeling, denkt Spencer Hinzen, directeur heel ver met BLE (Bluetooth Low Energy), waardoor Business Development EMEA bij Brocade. Veiligheid en be- apparaten kunnen communiceren met een fractie van trouwbaarheid vormen daarbij uiteraard belangrijk issues. de energie die voorheen nodig was.” Privacy moet gewaarborgd zijn, maar ook de applicaties die op de netwerken draaien, moeten altijd bereikbaar zijn. Wat zijn belangrijke ontwikkelingen voor jullie, komend jaar? Nieuwe technologieën staan te dringen om netwerken “Ik heb hoge verwachtingen van onze OpenG-technoslimmer en sneller te maken. logie. “Mobiele en WiFi-netwerken gaan meer en meer De cijfers liegen er niet om; er is ruimte voor groei voor een netwerkonderneming als Brocade. In 2025 genereren we 25 keer meer bandbreedte dan nu. De mobiele gebruiker opent nu zes keer meer webpagina’s en activeert veertien keer meer megabytes aan applicaties dan in 2013. De verwachting is dat die groei nog jaren doorgaat. Hinzen: “Dat komt met name door video; we gaan meer video bekijken, maar ook meer communiceren via video. Er zullen ook meer en meer apparaten op de infrastructuur aangesloten worden. IoT wordt enorm, sensortechnologie neemt een grote vlucht. Al die data moet uiteraard wel op de goede plek terechtkomen. Daar zien we voor ons een belangrijke rol.” Brocade, dat onlangs netwerkspecialist Ruckus Wireless heeft overgenomen, helpt bedrijven en instellingen aan de juiste hard- en software voor een veilig netwerk. Het bedrijf levert netwerkoplossingen voor organisaties die daarmee hun netwerken om kunnen bouwen tot platformen voor bedrijfsinnovatie. Naast marktleider in de hospitality is het bedrijf ook een belangrijke speler in de zorg. “We zijn nu nummer één in hospitality; hotels, campings, resorts. Daarin hebben we een marktaandeel van boven de 70 procent. Nu richten we ons op educatie en wat we noemen Multiple Dwelling Units. Dat zijn hotelomgevingen die geen hotels zijn, zoals zorginstellingen, studentenhuizen, kazernes, gevangenissen. Die omgevingen lijken sterk op elkaar.” Om netwerken veiliger en sneller te maken zet Brocade vol in op nieuwe technologieën die de laatste maanden en jaren sterk ontwikkeld worden. Nieuwe 22 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

laten samenwerken. OpenG geeft 4G- en straks 5G-toegang, gebaseerd op WiFi-infrastructuur. De grote uitdaging voor telecommaatschappijen is het aanbieden van een goed netwerk in grote gebouwen zoals ziekenhuizen, dat is nog steeds lastig. OpenG geeft de mogelijkheid om small cells aan WiFi access points toe te voegen, waarbij die small cells gebruik maken van de WiFi om een betrouwbaar 4G-bereik binnen de muren neer te zetten. Dat wordt op dit moment al aangeboden in de VS, omdat daar de 3.5 Gigahertzband al is vrijgegeven waarop OpenG draait. We verwachten dit op korte termijn ook in Europa te kunnen uitrollen.”

En andere trends? Wave 2 komt tot wasdom, dat is een belangrijke ontwikkeling. Dat combineren we met onze BeamFlex en dat geeft de hoogste kwaliteit en betrouwbaarheid. Door deze combinatie kunnen we bijvoorbeeld tussen de 25 en 40 procent minder access points inzetten, waardoor de prijs voor een klant flink omlaag gaat. Daarbij is zo’n netwerk makkelijker te managen, simpelweg omdat er minder access points zijn.”

Wat zijn nu de vraagstukken rond security, bij de bouw van slimme netwerken? “Uiteraard ontwerpen we altijd met veiligheid in het achterhoofd, maar daarin moeten we wel de balans bewaken. Encryptie en performance van een netwerk mogen elkaar niet in de weg staan. We houden uiteraard rekening met veiligheid en encryptie, en daarbij ontwerpen we onze producten zo dat de performance daar niet onder lijdt. We hebben

bijvoorbeeld net een netwerk opgeleverd voor Fundis, een grote zorginstelling met achttien vestigingen. Een medewerker wil niet telkens opnieuw hoeven inloggen als hij op een andere vestiging komt, maar dat heeft natuurlijk ook een groot security-element.”

Verschilt een zorginstelling heel erg van andere soorten klanten, als je kijkt naar gebruik van netwerken? Ja, de wensen en behoeften zijn totaal anders. De gebruikte technologieën komen wel overeen met andere markten, maar een zorginstelling heeft specifieke eisen. Location based services zijn van groot belang. Een instelling wil niet alleen weten waar zijn patiënten zijn, maar ook de locatie van verplaatsbare apparatuur is belangrijk. Daarbij zijn de eisen van een patiënt over toegang en veiligheid weer anders dan die van een verpleger, die zonder een goed functionerend netwerk zijn werk niet kan doen. Je hebt te maken met totaal verschillende gebruikersgroepen.”

Zorgt de toenemende complexiteit van dergelijke netwerken ervoor dat iedere branche eigen aanbieders krijgt? “Deze verticale manier van werken werkt in ieder geval goed. Branches hebben inderdaad andere eisen, dus zo’n beweging zien we wel in de markt. We zien daarbij steeds meer de shift naar managed services; een bedrijf of instelling zegt wat het budget is en de zorg voor een netwerk wordt vervolgens helemaal bij ons neergelegd. Binnen de educatiemarkt werken we samen met de Odin Groep. Zij gebruiken Brocade in haar totaaloplossing voor scholen en dat heeft ons op een heel snelle en sterke manier marktleider in Nederland gemaakt. We gaan verder in de specialisatie naar verticale markten. We zijn al sterk in overheid, semioverheid en healthcare.”

En emerging markets? “Geografisch gezien denken we dan meteen aan Afrika, India en China. Het volume van het aantal mensen dat in de toekomst online gaat, neemt daar heel hard toe. En ze gaan meteen over op 4G en WiFi, ze slaan de stappen die we hier hebben genomen over. Genoeg uitdaging dus.”

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 23

VISIE 2017 Platform Met de keuze voor de beste oplossingen zijn bij veel organisaties silo’s ontstaan van oplossingen, welke best in class, maar onafhankelijk van elkaar functioneren. Gevolg hiervan is dat feitelijk een groter aanvalsoppervlak is ontstaan. Daarnaast investeren veel organisaties nog primair in preventieve oplossingen, is de detectie bij toeval en hanteren ze een ad hoc aanpak in geval van incident response. Vorig jaar hebben wij reeds de adaptive security architecture principes onder de aandacht gebracht. De overstap naar een ‘continious response’ mindset en de investering in alle fasen van de security lifecycle, met een keuze voor vendors die geïntegreerde prevention, dection, response en prediction oplossingen bieden, is cruciaal.

SecureLink Nederland:

informatiebeveiligingsniveau over de breedte onvoldoende Peter Mesker

U weet inmiddels wel dat iedere organisatie getroffen wordt door (doelgerichte) cyberattacks en u bent op de hoogte van de maatregelen die getroffen moeten worden. Uiteraard is dat ook bekend op boardniveau binnen uw organisatie. Maar toch is het informatiebeveiligingsniveau over de breedte onvoldoende. Ik doel onder andere op security awareness, het securitybeleid, network access control, identity en access management, managed security services, een crisisplan, cyberverzekering, vulnerability management, data governance, central logging, controle op shadow-IT, et cetera. De rapporten liegen er niet om en schrijven dat ransomware een gemeengoed en nog geavanceerder is geworden (bron: CSBN2016). Ook vanuit SecureLink zijn wij het afgelopen jaar meermalen betrokken geweest bij getroffen organisaties en geconfronteerd met dit feit. Ondanks de ‘slechts’ duizenden meldingen die gedaan zijn bij de autoriteit persoonsgegevens, is de waarheid dat door zowel kwaadaardige software, maar ook door menselijke 24 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

fouten het nog vaak mis gaat bij organisaties. SecureLink is als organisatie fors uitgebreid het afgelopen jaar en wij hebben met name op het gebied van services heel sterk ingezet om onze klanten met de juiste groep cybersecurity professionals, 7/24 te kunnen bedienen. Met de verder doorontwikkelde security maturity assessment doen wij een uitgebreid assessment om de preventieve, detectieve en responsieve capaciteiten van een organisatie vast te stellen. Niet alleen vanuit de techniek, maar ook op het gebied van processen en mensen. Het resultaat van de security maturity review is een presentatie en een verslaglegging met daarin bevindingen én strategische verbeterpunten. Het doel is om te komen tot een hoger maturiteitsniveau op een efficiënte en effectieve manier. Naast de security maturity assessment is het uitvoeren van een gericht assessment cruciaal om de juiste businessbesluiten te kunnen nemen. Dit assessment kan zowel eenmalig als repeterend zijn en betreft assessments zoals een phishing campaign, healthcheck, malware detectietest, penetratietest, vulnerability assessment en perimeter patrol.

Bij voorkeur spreken wij over een ‘platform’ als het gaat om een geïntegreerde architectuur. Er is geen duidelijke definitie vastgesteld, maar wat ons betreft moet het platform bestaan uit componenten om succesvol cyberattacks tegen te gaan en optimale beschikbaarheid, capaciteit en flexibiliteit te bieden. Dit stelt eisen zoals: • volledige visibility; • goede integratie; • automation; • schaalbaar en flexibel; • threat intelligence geïntegreerd. Organisaties dienen innovatie te versnellen door middel van IT om zich te kunnen onderscheiden in hun tak van business. IT is niet langer ondersteunend, maar inmiddels een buisness enabler. De beschikbaarheid van een effectief platform is daarbij van cruciaal belang.

6. Software defined secure netwerken (wired-less architecturen); 7. Secure datacenter solutions die application aware en security optimized zijn met hoge mate van automation en visibility; 8. Centrale identity en access management voorziening in een public/private applicatielandschap; 9. Inzet van geavanceerde endpoint securityoplossingen en verdere stappen op gebied van endpoint detection & response; 10. Inzet van location based services en migratie van draadloze netwerken naar 802.11ac wave II; 11. Beveiliging en controle van IoT en shadow-IT en SAAS-applicaties; 12. Toepassen van securityoplossingen in public cloud omgevingen (zoals bijvoorbeeld e-mail protectie, web application firewall, security gateway). Het kunnen detecteren en blokkeren van cyberthreats in de infrastructuur, maar ook op de endpoint is noodzakelijk. Dit betekent onder andere de inzet van access control, vulnerability management, advanced endpoint protectie en security analysis services. Binnen de security analysis service wordt de relevant logdata van een diversiteit aan logbronnen centraal verzameld, genormaliseerd en op basis van use-cases worden alarmen getriggerd. Alle data kan realtime geanalyseerd worden om meer inzicht en controle te krijgen met als doel het verhogen van het securityniveau. Onderliggende intelligente tools bieden de mogelijkheid om alle machinedata te verwerken, eenvoudig te doorzoeken en overzichtelijk te presenteren.

'De rapporten liegen er niet om en schrijven dat ransomware een gemeengoed en nog geavanceerder is geworden' Maar zeker zo belangrijk zijn de ervaren CDC (Cyber Defense Center) analisten, de processen rond de dienstverlening én de intelligentie welke ingebracht wordt.

Safely enabling business Een sterk expertise team, een hooggewaardeerd advanced Cyber Defense Center en gepassioneerde medewerkers helpen u de adaptive security architectuur te realiseren, continueren en beheren met als resultaat dat IT de enabler is voor uw business. Onze toegevoegde waarde is samen te vatten in drie punten: knowledge, confidence, ability to execute. PETER MESKER, CTO SecureLink Nederland Peter Mesker is een ervaren architect/ designer/presales voor (complexe) security en networking infrastructuren en is bewezen succesvol in het omzetten van concepten naar echte designs. Hij is gefocust op de beste oplossing voor de omgeving van de klant. Na zijn werk bij Juniper Networks, is Peter, als één van de vier, SecureLink gestart in Nederland.

Twaalf topics die uw focus moeten hebben in 2017: 1. Assessment services (security awareness, pentesting, vulnerability assessment en security maturity review, perimeter patrol); 2. Slimme inzet van business relevante threat intelligence; 3. Data Governance (inzicht, grip en controle over data-, bestanden en user rechten); 4. Security analysis en incident response services; 5. Actionable network intelligence (control en security from the core); INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 25

RISKASSESSMENT van het handelsbedrijf wordt maandelijks volledig automatisch vergeleken met de gekozen beleidsinstellingen. Afwijkingen van het beleid worden gerapporteerd.

SRC SECURE SOLUTIONS BIEDT ONAFHANKELIJKE RISKASSESSMENTS VOOR IBM SYSTEM Z, I EN OPEN SYSTEMS

Securityassessment voor IBM System z Op de IBM System z van een bankinstelling draaien veel applicaties die de afgelopen vijfentwintig jaar zijn ontwikkeld en na tests zijn ingericht op de productieomgevingen. Om de data te ontsluiten voor het internet, zijn deze omgevingen weer gekoppeld aan een andere omgeving. SRC heeft voor dit systeem een security-assessmentplan opgesteld dat door alle partijen is getekend. Op basis van dit plan worden de te nemen stappen voor het securityriskassessment bepaald.

In Europa is bij wet geregeld dat bedrijven, (financiële) instellingen en overheidsorganisaties hun privacygevoelige persoonsgegevens moeten beschermen. Voor iedere sector bestaan andere beveiligingsregelingen die uiteindelijk op hetzelfde neerkomen: software en hardware moeten aantoonbaar voldoen aan strenge en gedetailleerde regels en procedures, de organisaties moeten kunnen bewijzen hiervoor continu alles in het werk te stellen en overtredingen worden bestraft. Omdat iedere organisatie zelf verantwoordelijk is voor zijn securitycompliance, is een onafhankelijke risicobeoordeling ofwel riskassessment noodzakelijk. Infosecurity Magazine vroeg SRC Secure Solutions naar hun praktijkervaringen met onafhankelijke riskassessments.

Securityassessment voor IBM AIX

Onafhankelijke

risicobeoordeling voorwaarde

securitycompliance De afgelopen jaren heeft het Nederlandse SRC Secure Solutions onafhankelijke, beproefde riskassessments ontwikkeld voor diverse operating systems. Initiatiefnemers Stephen R. Cheney en Piet J. Munsterman geloven enerzijds in het automatiseren van securitycompliance en pleiten anderzijds voor onafhankelijk riskassessment om securitycompliance controleerbaar te maken. Inmiddels bieden zij riskassessments aan voor IBM-systemen (IBM Mainframe), IBM i (AS/400) en AIX (de Unixomgeving van IBM) en voor diverse Linux-versies. Elk systeem heeft zijn eigen kenmerken en kwaliteiten en vraagt om een gespecialiseerd securityriskassessmentplan. Zo’n riskassessmentplan, oftewel technische risicobeoordeling, is onafhankelijk van het gebruikte beheerorganisatiemodel. Dit is belangrijk omdat veel applicaties draaien op jaren geleden ontwikkelde ‘legacy’-systemen die vaak via een outsourcingovereenkomst zijn ondergebracht bij gespecialiseerde bedrijven. Op deze vertrouwde legacysystemen wordt nog volop doorontwikkeld en vaak vindt integratie plaats met andere systemen, bijvoorbeeld via web- en mobiele systemen. 26 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

Strenge regelgeving Ieder bedrijf en elke organisatie moet, onafhankelijk van de gebruikte software en het operating system, voldoen aan regelingen voor securitycompliance. Een aan de Amerikaanse beurs genoteerd bedrijf heeft te maken met SOX, een bedrijf dat creditcardgegevens voor betalingen op zijn systemen houdt moet voldoen aan PCI, een Nederlandse financiële instelling aan Basel III en de regels van de Nederlandsche Bank en de AFM, een verzekeraar aan Solvency II, een organisatie in de gezondheidszorg aan HIPPA voor bedrijven in de VS en een Nederlandse overheidsinstelling aan de BIR. Die regelgeving voor securitycompliance wordt steeds strenger. Zo is op veel regels nu ook strafrecht van toepassing. De Wet Bescherming Privacygegevens uit 2001 bijvoorbeeld, wordt vervangen door een veel gedetailleerdere Europese wetgeving voor de bescherming van persoonsgegevens. Overtreding wordt bestraft en er gelden aanvullende regelingen zoals de Wet Meldplicht Datalekken. De regels schrijven voor dat organisaties moeten aantonen er met gespecialiseerde securitysoft-

ware, aanvullende procedures en het opleiden van medewerkers alles aan te hebben gedaan om continu te voldoen aan de vereisten voor securitycompliance. Via rapportages na onafhankelijke riskassessments kan het management bewijzen afdoende en de juiste maatregelen te hebben genomen voor hun beveiligingsinstellingen. Geconstateerde omissies kunnen aanvullend via sanering (remediation) direct worden aangepakt.

Praktijkvoorbeeld: BIR-regeling voor Nederlandse overheid Nederlandse overheidsinstellingen moeten voldoen aan de Baseline Informatiebeveiliging Rijksdienst (BIR), een volgens NEN/ISO 27001 en NEN/ISO 27002 gestructureerde regeling. De ‘vertaling’ van deze regels omvat onder andere de technische configuratie van hun systemen en de te hanteren procedures. Van alle betrokkenen vraagt het kennis, kunde en tijd om de wetten en regelingen tot in detail te kennen en voor hun geautomatiseerde omgevingen te interpreteren. En uiteraard moeten zowel de moderne als de legacysystemen, zowel de eigen als de uitbestede syste-

men of omgevingen en de in de ‘cloud’ draaiende systemen aan de regels voldoen. De eisen voor securitycompliance maken hierin geen onderscheid en houden de organisatie hoe dan ook voor alle systemen verantwoordelijk. Een onafhankelijke risicobeoordeling is de meest zekere en waterdichte manier om aan de strenge regels en de vereiste bewijsvoering te voldoen.

Securityassessment voor IBM i SRC Secure Solutions verzorgde onder andere de IBM i-securityriskassessments voor de financiële applicatie van een overheidsinstelling (die moet voldoen aan de BIR) en voor de omgeving van een internationaal handelsbedrijf. Met een standaard-riskassessmentapplicatie vergeleek SRC de instellingen van de financiële applicatie met de door IBM geadviseerde instellingen. De afwijkingen werden geclassificeerd naar risico en in een rapport voorzien van commentaar. Na overleg met deskundigen van alle betrokken partijen is een actieplan opgesteld. Die acties zullen uiteindelijk leiden tot een IBM i-omgeving die aantoonbaar voldoet aan de geëiste compliancy. De IBM i-omgeving

Op de AIX-omgeving van een overheidsinstelling is een applicatie ingericht die toegang regelt tot het internet. Geautoriseerde gebruikers kunnen via deze omgeving hun informatie inzien. Op basis van het door SRC opgestelde security-riskassessmentplan voor een IBM AIX wordt de securitycompliance geautomatiseerd gecontroleerd. De conclusies resulteren na beoordeling en overleg in een saneringsplan.

Onafhankelijk riskassessment toekomstbestendig SRC Secure Solutions heeft in nauw overleg met deskundigen riskassessments voor IBM z, IBM i, IBM AIX en Open Systems laten ontwikkelen. Grondreden was de behoefte aan een onafhankelijke controle en de bijkomende mogelijkheid van een voortdurende controle voor alle bestaande audits. Een beoordeling moet snel herhaald kunnen worden om bijvoorbeeld maandelijks inzage te hebben in de status van de securitycompliance. Voor het handelsbedrijf met IBM i was ook vereenvoudiging van het werk van de beheerafdeling een motief. Naast hun reguliere werk moeten medewerkers immers alle vragen van auditors beantwoorden. Een onafhankelijke rapportagetool die is ingericht conform de eisen van de auditors en die het management direct informatie biedt, slaat twee vliegen in één klap.

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 27

BLOG

Multicloud:

NU:

Cloud MFT € 14,00 (excl. BTW)

zo leg je een veilige basis

Spaghetti-infrastructuur Ongecontroleerde multiclouds introduceren een ‘spaghetti-infrastructuur’ en daarmee de nodige beveiligingsrisico’s. Zo bestaat het risico dat: • • •

het geheel niet meer voldoet aan de vereiste standaarden en corporate policy’s; audits lastig zijn uit te voeren doordat systemen en data overal staan; gevoelige gegevens door controleverlies op onveilige plaatsen kunnen staan.

Als je de controle in de multicloud verliest, is het risico op dataverlies een stuk groter en is de kans aanwezig dat de ‘Coca-Cola-formule’ van jouw bedrijf ineens

28 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

1. Cloudstrategie die beschrijft welke applicaties in aanmerking komen voor de cloud en wat een migratie betekent voor de organisatie; 2. Connectivity die zorgt dat de clouds benaderd kunnen worden door de gebruikers; 3. ‘Integratielaag’ die zorgt voor een veilige communicatie tussen de systemen. Hiervoor kan een ‘Integration Platform-as-a-Service’ (IPaaS) worden gebruikt; 4. Security en identity management die past bij de nieuwe dynamiek van cloudoplossingen; 5. Orchestratielaag die je bijvoorbeeld in staat stelt om de compliance te controleren en te bepalen wie wat mag doen in de cloud. Op deze laag is het mogelijk om beveiligingsmaatregelen zoals het gebruik van virusscanning af te dwingen; 6. Een portal voor het snel deployen van toepassingen op de verschillende cloud platforms. De multicloud is een feit. Bedrijven kunnen de realiteit haar gang laten gaan en wachten tot de stofwolken opstijgen, of de controle terugpakken met behoud van de voordelen van cloud. BRYAN CROES is CTO van het Heineken Account Team van T-Systems

B2B MFT

Experts in Managed PCI Compliant File Transfer Software and Solutions for the Enterprise! Transport Encryption (“Data-in-Transit”)

OpenPGP Mobile File Transfer

Secure Managed File Transfer

Integrated Global File exchange with Salesforce Seamless Enterprise Integration

OWASP

Veel bedrijven vergeten daarbij een belangrijk punt uit het bimodal gedachtegoed van Gartner: de multicloud moet wel een coherent geheel vormen. De keuze voor een cloudoplossing moet dus een strategische keuze zijn, en niet zijn geboren uit het opportunisme van de business die voor een project wel even de creditcard trekt.

Hoe voorkom je dat de stofwolken opstijgen in de multicloud? Door de controle te behouden over wat je doet in de multicloud. Daarvoor is het noodzakelijk om een ‘veilig fundament’ neer te leggen, onder andere door te zorgen voor een:

Non-Repudiation

Ad Hoc MFT

De multicloud is ideaal voor bedrijven die op twee verschillende snelheden willen opereren, geheel in de ‘bimodal IT’-gedachte van Gartner. On-premise IT en de private cloud zorgen voor de stabiele IT-basis, terwijl de publieke cloud geschikt is voor de innovatieve projecten waar snel extra capaciteit voor nodig is. Voor een maximale flexibiliteit wordt per project gekeken wat het beste cloudplatform is.

Leg een fundament

Thru side panel for Microsoft Outlook File-based Automation

Bimodal IT

onbeveiligd in de cloud staat. ASML en Michael Page zullen deze conclusie ook hebben getrokken na het uitlekken van personeelsgegevens via de onbeveiligde servers van partners.

MFT: more than File Sharing

De belofte van de multicloud is voor steeds meer bedrijven aanlokkelijk: niet vastzitten aan bijvoorbeeld Azure of Salesforce, maar per toepassing het beste cloudplatform kiezen. Het verlies van controle ligt echter op de loer. Hoe voorkom je dat de stofwolken opstijgen in de multicloud?

/ Maand / User 1TB / Unlimited File Size

Integration and Programmatic File Transfer

Comprehensive File Transfer for the Enterprise Automate, Integrate and Control Secure File Transfer

www.mft.cloud Experts in Managed File Transfer Software and Solutions!

VIACLOUD BV • BEECH AVENUE 54 • 1119 PW SCHIPHOL-RIJK • THE NETHERLANDS INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 29 +31 (0)20-6586421 • WWW.VIACLOUD.NL • INFO@VIACLOUD.NL

VISIE eenvoudig te doen op deze manier. De tablet wordt via usb aangesloten op een computer en kan dus op allerlei apparaten worden aangesloten, zonder dat er gebruik hoeft te worden gemaakt van wifi of andere draadloze verbindingen. “Er zitten geen batterijen in de tablet en de pen. De twee werken samen dankzij een elektromagnetisch veld; de pen werkt zodra hij in de buurt komt van de tablet.”

Nieuwe standaard

WACOM VOORZIET DOORBRAAK VOOR PAPIERLOOS TEKENEN VAN DOCUMENTEN

Elektronische handtekening vergroot security enorm Niets veiliger dan een handtekening, toch? Het bedrijfsleven vertrouwt al duizenden jaren op de krabbel. Maar met de wens om papierloos te werken, komt dit oeroude gebruik in het geding. Wacom ontwikkelt daarom hardware om elektronische handtekeningen te zetten die ook nog eens veiliger zijn. “Dit is kansrijk. Het is veiliger en de Europese standaard voor dergelijke handtekeningen is al bepaald. Niets staat een doorbraak nog in de weg.” Oorspronkelijk komt Wacom uit Japan en de naam is niet zomaar verzonnen: ‘Wa’ betekent ‘harmonie’, en ‘com’ staat voor ‘computer’. Volgens Thomas Kaeb, Senior Salesmanager van het bedrijf, staat Wacom voor de verbinding tussen mens en machine. Het bedrijf richt zich op de creatieve sector en op oplossingen zoals de elektronische handtekening en het beveiligen van medische dossiers. “Wacom is ontstaan in 1983. Computers werden toen ook al bestuurd met een muis en dat is voor bijvoorbeeld kunstenaars heel lastig. Ons doel was het ontwikke30 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

len van een digitale pen, voorzien van ergonomie vergelijkbaar met een pen die op papier tekent.” Hoewel het bedrijf vanwege haar verfijnde producten een goede naam heeft onder kunstenaars en creatievelingen, zorgde de Duitse Sparkasse in 2007 voor een revolutie binnen het bedrijf. De bank zocht naar een manier om documenten digitaal te ondertekenen en vroeg Wacom om een oplossing. Zo moest ook het gebruik van papier worden teruggedrongen. Kaeb: “Nu steeds meer ondernemingen kantoren sluiten, neemt de vraag naar elektronische handtekeningen toe. Banken en telecombedrijven hebben veel meer digitaal contact met hun klanten dan tien jaar geleden. Op afstand een contract kunnen ondertekenen wordt steeds belangrijker.” “De vinding is niet zozeer een internettechnologie”, vindt Kaeb. Het veiligheidsaspect is het belangrijkste voor de onderneming. De hardware bestaat uit een tablet en een pen. Op de tablet verschijnt het complete document dat getekend dient te worden en de gebruiker tekent op de aangegeven plek in het document. Ook het paraferen van pagina’s is

Waar een winkelier twee seconden meewarig kijkt of de handtekening op het bonnetje enigszins overeenkomt met die op de creditcard, heeft de gebruiker van een elektronische handtekening meer wapens in handen om te scannen op misbruik. Voor de computer is de handtekening namelijk veel meer dan een krabbel. “Tijdens het tekenen op een scherm verandert een handtekening in een algoritme”, vertelt Kaeb. “Iedere handtekening is uniek en de computer legt dat feilloos vast. De volgorde van schrijven, de snelheid en de druk op het scherm worden vastgelegd. Een handtekening ziet er bij veel mensen niet iedere keer als er getekend wordt hetzelfde uit, maar deze onderliggende informatie is altijd identiek. Die kan niet zomaar vervalst worden. Bij digitale geschreven handtekeningen vangen we naast de statische afbeelding ook biometrische data. Deze biometrische data is te herleiden tot één persoon.” Vanuit de regulering wordt ook meer en meer meegedacht over de veiligheid. Afgelopen jaar nam de Europese Unie nieuwe standaarden aan, waarbij een elektronische handtekening nu in alle aangesloten landen eenzelfde geldigheid heeft. Er kan getekend worden op drie niveaus: basic, advanced en qualified. Hoe hoger het niveau, hoe beter de beveiliging. De basic handtekening is bedoeld voor alledaagse handtekeningen, voor een advanced handtekening zijn achterliggende certificaten benodigd, zoals een Public Key Infrastructure (PKI) sleutel. De qualified handtekening is direct gekoppeld aan de ID van een persoon.

'Afgelopen jaar nam de Europese Unie nieuwe standaarden aan, waarbij een elektronische handtekening nu in alle aangesloten landen eenzelfde geldigheid heeft' ervan te landen. Organisaties zien in dat hun efficiency omhoog gaat en dat ze kans krijgen om echt papierloos te werken. De nieuwe Europese standaard helpt ook enorm voor de acceptatie.” De (post)bezorging is momenteel de markt waar de elektronische handtekening het meest zichtbaar is. Bezorgers hebben vaak een kastje, waarop de

De markt is er klaar voor “De markt voor dergelijke veilige handtekeningen staat aan de vooravond van een flinke groei”, denkt Kaeb. “De markt is booming. Tien jaar geleden was dit echt iets nieuws, nu begint de belofte

ontvanger een krabbel voor ontvangst kan zetten. “Een mooie toepassing, maar voor het imago van de markt is het niet het meest ideale voorbeeld”, vindt Kaeb. “De hardware die over het algemeen gebruikt wordt, is al wat ouder. De pennen en het scherm werken vaak niet heel goed, waardoor handtekeningen vaak lijken op een enkele kras. De geldigheid van de handtekening is niet zeer hoog. Het heeft uiteraard wel waarde, want het postbedrijf heeft bewijs dat iemand het pakket heeft aangenomen. Maar als het bedrijf vervolgens wil weten wie diegene is, dan wordt het lastiger.”

Meer kantoren sluiten De echte groei zit volgens Kaeb in de dienstverlening, de markt waarin Wacom begon. Enerzijds willen organisaties inderdaad werken met minder papier en anderzijds vergemakkelijkt de handtekening het werk van dienstverleners. Steeds meer banken en energiemaatschappijen sluiten kantoren en stappen voor klantcontact over op bijvoorbeeld chat- en videoverkeer. De fysieke afwezigheid van de klant biedt daarbij kansen voor de digitale handtekening. Kaeb: “Bedrijven kunnen zich hiermee ook onderscheiden als vooroplopend, modern bedrijf, die hun concurrenten een stapje voor zijn. Maar de user experience zal uiteindelijk de doorslag geven of dit echt een groot succes gaat worden. Je kunt wel het meest veilige systeem ter wereld bouwen, maar als de gebruiker het niet lekker vindt werken, dan ben je nog nergens. De gebruiker staat bij ons centraal, want die is de belangrijkste schakel.”

Thomas Kaeb INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 31

TIPS Tip 3 - Gebruik two-factor authentication Kies altijd voor two-factor authentication. Daarmee dwingt u een webshop om op twee manieren uw identiteit vast te stellen. Heeft u dit bij een webshop ingesteld, dan kunnen cybercriminelen niet zomaar gebruik maken van eventueel gestolen inloggegevens, aldus Nachreiner.

Tip 4 - Betaal liever niet met credit card Deze tip klinkt wellicht wat kort door de bocht, maar wat Nachreiner vooral bedoelt is dit: tik niet zomaar uw credit card-gegevens in op een willekeurige webpagina. Het is veel beter om gebruik te maken van formele betalingsmethoden zoals deze door de banken of bijvoorbeeld PayPal worden aangeboden. Uw gegevens komen dan niet in handen van de webshop en kunnen bij een eventuele inbraak in die winkel dus ook niet in verkeerde handen vallen.

Tip 5 - Is uw systeem up-to-date?

COREY NACHREINER (WATCHGUARD) IS BEZORGD OVER ONLINE-AANKOOPGEDRAG

Met deze zeven tips doet u online veilig uw aankopen Het is hem al vaker opgevallen dat ook mensen die van IT-security hun beroep hebben gemaakt in de dagelijkse praktijk nog wel eens opmerkelijke fouten maken. Zeker als het gaat om het doen van last minute online aankopen rond de feestdagen. Met deze zeven tips zit u echter goed, meent CTO Corey Nachreiner van WatchGuard. Natuurlijk gelden deze adviezen niet alleen als u - vaak net iets te gehaast, want als ieder jaar te laat begonnen - nog wat kerstcadeaus koopt voor uw familie en vrienden. Iedereen die wel eens via webshops producten koopt, kan zijn voordeel doen met deze adviezen. Zelfs mensen die dagelijks met IT-security bezig zijn. Want wie haast heeft kan nog zo veel afweten van online-gevaren, maar maakt net zo gemakkelijk fouten als ieder ander, meent Nachreiner. 32 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

Tip 1 - Pas op voor e-mail scams Lijkt de aanbieding die u via e-mail ontvangt te mooi om waar te zijn, dan is dat veelal ook zo. Kijk goed bij welke webshop u aankopen doet. Gaat het om een bekende firma? Of een webshop waar u nog nooit van gehoord heeft? Pas ook op als een aanbieding een gratis download omvat. Dat betekent vaak dat u (veel) persoonlijke gegevens moet achterlaten en de pdf of - nog erger - zip file kan zomaar een virus bevatten.

Tip 2 - Let op het groene slotje in uw browser Het klinkt wellicht als een advies van tien jaar terug, maar het blijft belangrijk: gebruikt de webshop waar u aankopen wilt doen wel https? U ziet dat - zoals iedere security professional weet - aan het groene slotje in de adresregel van uw browser.

Nachreiner ziet bijna dagelijks rapporten voorbij komen waaruit blijkt dat veel consumenten - maar ook nog verrassend veel zakelijke gebruikers - een computer, tablet of smartphone gebruiken die niet ge-upgrade is naar de laatste software-versie. Ondanks het feit dat hier al jaren voorlichting over is gegeven en zelfs tv-reclame voor is gemaakt. Wie zijn systeem niet up-to-date houdt, loopt een zeer groot risico. Hierdoor kent uw systeem onnodig veel beveiligingsproblemen, lekken die bovendien gemakkelijk opgelost kunnen worden door uw software naar de laatste versie te upgraden. En aangezien cybercriminelen heel goed weten dat lang niet iedereen per direct een update van een softwarepakket installeert, scannen zij met grote regelmaat aan internet gekoppelde apparaten op aanwezigheid van oude lekken.

pen doen terwijl u wacht op uw trein of vliegtuig naar huis, maar wacht met het doen van transacties tot u in een veilige omgeving bent. Dat is bij voorkeur uw thuisnetwerk. Vertrouw als het om betalingen gaat nooit hotelnetwerken of de wifi-verbindingen van coffeeshops en dergelijke. Mocht u niet anders kunnen, kies dan liever voor het 4G-netwerk dan voor public wifi.

Corey Nachreiner

Tip 7 - Pas op met online ads Voor online advertenties met prachtige aanbiedingen geldt eigenlijk hetzelfde als voor e-mails met fantastische kortingen. Klik liever niet op deze ads, omdat uit veel onderzoeken blijkt, zo vertelt Nachreiner, dat de banner niet per se naar de juiste landing page leidt. Het gebeurt maar al te vaak dat besmettingen optreden doordat de banner een url bevat die de bezoeker (eerst) langs een malafide website leidt - met alle gevolgen van dien.

Ook bedrijven

erg werknemer-vriendelijk, maar mocht u het voor uw organisatie beter vinden als werknemers tijdens werkuren geen privé-aankopen doen, dan kunt u via de filtering-optie dit soort websites onbereikbaar maken.

Vaak worden feestdagen vooral gezien als een bedreiging voor consumenten die online aankopen doen. Veel mensen shoppen echter (ook) via het netwerk van hun werkgever. Die doen er dus verstandig aan om een netwerkomgeving te creëren die veilig is en waar hun werknemers geen risico’s lopen. Daar horen drie adviezen bij, stelt Nachreiner.

Web security - Wilt u echter uw werknemers wél de mogelijkheid bieden om nog even gauw een last minute cadeau aan te schaffen, zorg dan voor een veilige netwerkomgeving. Natuurlijk kunt u niet voorkomen dat een werknemer dan privacygevoelige gegevens op een website invult, maar u zorgt er wel voor dat uw UTM-omgeving malware en dergelijke tegenhoudt.

Unified threat management - Organisaties doen er verstandig aan om te investeren in unified threat management. Daarmee beschikt de organisatie over een end-to-end bescherming van het netwerk.

Bovendien kunt u natuurlijk ook overwegen om de in dit artikel genoemde tips nog eens aan uw medewerkers te mailen of desnoods op papier uit te delen, meent Nachreiner. Alleen al het feit dat u duidelijk aangeeft dat u graag wilt dat uw medewerkers veilige feestdagen hebben, zal uw reputatie ongetwijfeld ten goede komen, verwacht hij.

Webfiltering - Veel UTM-oplossingen kennen een webfiltering-optie. Daarmee kan de toegang tot websites worden gereguleerd. Het klinkt wellicht niet

VAN DE REDACTIE

Een andere en hier direct aan gekoppelde tip: is uw antivirussoftware bijgewerkt? En past u - ook thuis - een firewall toe? Is die laatste volledig actueel?

Tip 6 - Shop niet via een vreemd wifi-netwerk Doe nooit betalingen via een wifi-netwerk dat u niet kent, waarschuwt Nachreiner. Ga dus niet laatste aankoINFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 33

ONLINE GAMING

ONLINE GAMES EN CASINO’S ZIJN LEUK

gehackte accounts niet De markt voor online games blijft hard groeien, maar blijft problemen houden met security en authenticatie. Zowel de online gokmarkt als de markt voor gewone online multiplayerspellen hebben te maken met diefstal van accounts, waardoor criminelen zichzelf ten koste van de diensten en hun gebruikers kunnen verrijken. De mogelijke problemen zijn voor gokwebsites duidelijker aanwezig, zoals diefstal van accounts en minderjarigen, gokverslaafden en valsspelers die toegang krijgen tot diensten waar ze niet op mogen komen. Maar accounts voor online multiplayerspellen vormen eveneens een aantrekkelijk doelwit door enorme hoeveelheden aan persoonsgegevens of fictieve handelswaar in het spel dat kan worden verkocht voor echt geld. Of natuurlijk de doorverkoopwaarde van volledige accounts.

Sinds de introductie van World of Warcraft is de markt voor online games uitgegroeid tot een enorme wereldwijde markt. Iedere dag loggen miljoenen mensen in en delen daarbij gevoelige persoonsgegevens met de aanbieder om de abonnementsgelden of extra diensten te betalen. De markt voor online multiplayer-spellen is sinds 2005 maar liefst verdrievoudigd en kent een omzetwaarde van meer dan $ 41 mld. Volgens een recent onderzoek van Technavio zal dat de komende jaren met 11% verder stijgen. De Europese Commissie schat op zijn beurt dat de online gokmarkt binnen de EU ondertussen meer dan € 14 mld waard is, terwijl sommige bronnen zelfs uitgaan van € 16 mld. Dit ondanks de strenge regulering die binnen Europa gangbaar is.

Accounts voor online spellen: een geliefd doelwit Het is vanzelfsprekend dat cybercriminelen graag een hap uit deze markten willen nemen. Grote incidenten, zoals de hack van het Playstation Network in 2011 waarbij 77 miljoen accounts werden getroffen, halen het nieuws, maar dit is slechts het topje van de ijsberg. Regelmatig worden individuele gebruikers het slachtoffer van accountdiefstal. Accounts voor diensten waarop games kunnen 34 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

worden aangeschaft staan op de zwarte markt te koop voor rond de € 50, een ‘koopje’ omdat de gemiddelde waarde van de gekochte spellen die aan zulke accounts zijn gekoppeld boven de € 500 ligt. Hoewel de meeste diensten via e-mail om een extra bevestiging vragen, blijkt het soms mogelijk dit te omzeilen door werknemers van de aanbieder om de tuin te leiden. De gebruiker is altijd het grootste slachtoffer hiervan. Niet alleen omdat er spullen kunnen worden gekocht zonder zijn medeweten, maar ook doordat zijn persoonsgegevens in de verkeerde handen komen. Gestolen accounts voor online multiplayerspellen zijn ook een populaire manier om crimineel geld wit te wassen, bijvoorbeeld door fictieve digitale goederen te kopen en deze door te verkopen aan

gamers. Zeldzame wapens, pantsers of magische artefacten uit World of Warcraft worden ieder jaar voor in totaal € 1,6 mln op eBay van de hand gedaan, zo schat securityleverancier Kaspersky. Daaronder zitten ook fictieve goederen die zijn gestolen van gehackte accounts. Vaak worden wachtwoorden voor meerdere diensten gebruikt, waardoor het risico voor gebruikers alleen maar toeneemt.

Pek en veren Dergelijke problemen bestaan ook voor aanbieders van online gokdiensten.

'De bescherming van hun klanten en hun eigen business is minstens zo belangrijk als bij ieder ander ‘serieus’ online bedrijf'

Creditcardgegevens worden ook hier driftig uitgewisseld. Soms worden hackmethodes aangewend om vals te spelen, wat neerkomt op beroving van echte online spelers. Zo hackten criminelen accounts voor online pokerspellen in 2015. Met een malwarepakket genaamd Odlanor konden ze zo in de kaarten van hun tegenstanders ‘spieken’. Vervolgens schoven ze aan bij de betreffende tafel en ‘wonnen’ ze het geld van die speler. Ook de compliance kan voor problemen zorgen. In de meeste Europese landen is het voor online gokdiensten en ca-

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 35

ONLINE GAMING

NIEUWS

67% van de bedrijven heeft mobiele data niet beveiligt, hoort u daar ook bij? Krijg de controle over gebruikers, devices en toegangen. Voorkom identiteitsfraude, ongewenste toegang tot data en applicaties, inefficiëntie en hoge kosten. Begin goed bij de basis met hybride Identity & Access Management.

sino’s verplicht om minderjarigen en gokverslaafden actief de toegang tot de diensten te ontzeggen. Maar de technologie die hiervoor moet zorgen is niet altijd onfeilbaar. Zo konden gebruikers in België zich met een vervalste staatsregistratie probleemloos registreren bij wedkantoren. Dienstverleners staan voor een enorm probleem, omdat de autoriteiten in zulke gevallen kunnen overgaan tot een verbod voor het niet nakomen van de regels. Pas toen de regels werden aangescherpt, bleken honderdduizenden valse registraties in omloop te zijn, veel meer dan het geschatte aantal online gokkers in België. Omdat steeds vaker op gokwebsites wordt ingelogd met een smartphone, kan diefstal of verlies van zo’n apparaat ook leiden tot ongeautoriseerde toegang.

Bij één op drie West-Europese organisaties DDoS gebruikt als rookgordijn tijdens cyberaanval

De noodzaak voor twee-factorautenticatie

IonIT adviseert, ondersteunt en begeleidt u graag!

WWW.IONIT.NL 36 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

Het is duidelijk dat sterke authenticatie een noodzaak is. Gelukkig bieden steeds meer aanbieders van online spellen deze mogelijkheid. Zo heeft World of Warcraft het mogelijk gemaakt om naast de klassieke gebruikersnaam en wachtwoord een twee-factorautenticatie te gebruiken. Wie hiervoor kiest, moet bij iedere login een code invoeren die binnenkomt via een aparte token. Om een account te hacken zal de crimineel naast de logingegevens dus een specifiek apparaatje moeten stelen. Voor de meeste hackers is dit praktisch niet te doen. Ook online casino’s en wedkantoren, voor wie het beheer van accounts van wezenlijk belang is, zijn serieus bezig met identiteitsbeheer. Unibet gebruikt bijvoorbeeld de MYDIGIPASS-dienst van VASCO, dat werkt op basis van de elektronische identiteitskaart (eID) die de Belgische overheid verschaft. Hiermee is de identiteit van iemand streng te controleren, ongeacht welk apparaat in gebruik is. Het is een van de manieren waarmee Unibet zich aan de strenge regelgeving houdt, ook indien deze regels in de toekomst worden aangescherpt. Uiteindelijk moet worden ingezien dat providers van online spellen, casino’s en wedkantoren diensten leveren waarin veel en grote transacties plaatsvinden en gevoelige persoonsgegevens worden uitgewisseld. Dat alleen al maakt ze aantrekkelijk voor cybercriminelen. Daarom verdient identiteitsbeheer veel aandacht. Gelukkig zien steeds meer bedrijven dit in en raken sterkere authenticatiemethodes in zwang. De bescherming van hun klanten en hun eigen business is minstens zo belangrijk als bij ieder ander ‘serieus’ online bedrijf. MICHIEL VAN BLOMMESTEIN is journalist

DDoS-aanvallen (Distributed Denial of Service) worden dikwijls gebruikt om bedrijven af te leiden terwijl hackers zich via een achterdeur toegang verschaffen, blijkt uit een wereldwijd onderzoek van Kaspersky Lab en B2B International. Wanneer bedrijven in West-Europa ten prooi vallen aan cybercriminaliteit, is in 29,2 procent van de gevallen DDoS onderdeel van de aanvalstactiek. Ruim de helft van de ondervraagde ondernemingen (53,3 procent) uit West-Europa die slachtoffer is geweest van een DDoS-aanval is ervan overtuigd dat het als rookgordijn of afleidingsmanoeuvre voor andere vormen van cybercriminaliteit is gebruikt. De studie wijst verder uit dat bedrijven wereldwijd, in geval van een DDoS-aanval als rookgordijn, worden geconfronteerd met zaken als misbruik van mobiele devices (81 procent), phishing (75 procent) en zelfs kwaadaardige praktijken van interne medewerkers (75 procent). Van alle ondervraagden in West-Europa meldt 19,5 procent slachtoffer te zijn geweest van een gerichte cyberaanval. Ook noemt 24,2 procent van de bedrijven uit West-Europa die door een gerichte aanval dataverlies hebben geleden DDoS als één van de factoren. Martijn van Lom, General Manager Kaspersky Lab Benelux, legt uit waarom DDoS voor cybercriminelen een

aantrekkelijk middel is als onderdeel van hun tactiek: “Door openbare of interne diensten vast te laten lopen, weerhoudt DDoS een bedrijf ervan zijn normale activiteiten uit te oefenen. Dit is uiteraard een groot probleem voor zo’n bedrijf en het is dan ook ‘alle hens aan dek’ voor het IT-team om de crisis snel te bedwingen. DDoS is derhalve niet alleen een makkelijke manier om een bedrijf stil te leggen, maar ook om de IT-medewerkers bezig te houden terwijl er via andere kanalen in het systeem wordt ingebroken.” “Het onderzoek toont aan dat DDoS-aanvallen vaak parallel lopen met andere dreigingen”, vervolgt van Lom. “Bedrijven moeten daarom volledig op de hoogte zijn van alle mogelijke gevaren, en op ieder moment in staat zijn om met meerdere criminele activiteiten tegelijk om te gaan. Zijn ze hier niet op toegerust, dan wordt de schade alleen maar groter, bovenop de aanzienlijke verliezen als gevolg van downtime en mogelijke imagoschade. Iedere onderneming moet betrouwbare DDoS-bescherming in huis hebben om het risico van een aanval te beperken en te zorgen dat medewerkers zich kunnen concentreren op andere, moeilijker zichtbare dreigingen.” Om bedrijven te helpen zicht te houden op het groeiende gevaar van DDoS en alles wat het met zich meebrengt, biedt Kaspersky DDoS Protection volledige en geïntegreerde bescherming tijdens iedere fase van een aanval. INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 37

IOT-SECURITY

MIKKO HYPPÖNEN VAN F-SECURE:

‘Antivirus installeren op een broodrooster gaat echt niet gebeuren’

waarop is te zien hoe goed het apparaat in kwestie is beveiligd. “De vraag is dan in hoeverre klanten bij de aanschaf van een nieuw apparaat letten op dit label. Vergelijk het met het CE-label voor productveiligheid: wie let daar bij de aanschaf van een product op?”

Risico’s serieus nemen

‘Maak fabrikanten aansprakelijk voor IoT-security’ De gevaren van onveilige slimme apparaten werden in de herfst van 2016 pijnlijk duidelijk. Het Internet of Things (IoT)-botnet Mirai kreeg onder andere Spotify, Twitter en GitHub op de knieën door DNS-serviceprovider Dyn aan te vallen. Volgens Mikko Hyppönen van F-Secure vallen de Mirai-aanvallen echter in het niet bij wat nog gaat komen. “Hackers die gevoelige gegevens stelen via de IoT-koffiemachine; dat wordt de echte wake-upcall.” We spreken de Chief Research Officer van F-Secure half november als hij in Amersfoort is voor een toespraak tijdens het congres Cyber Security van Heliview. “De IoT-revolutie vindt plaats, of je nu wilt of niet”, zo zal hij die middag zijn gehoor voorhouden. “Zelfs broodroosters krijgen een chip. Waarom? Niet om de klant te dienen, maar om data over het gebruik van het apparaat voor analyses terug te kunnen sturen naar de fabrikant. Zo’n chip kost misschien maar twintig cent, terwijl de voordelen voor de leverancier enorm zijn.” “De fabrikanten kunnen het zich echter niet permit38 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

teren om meer dan het minimale te investeren in de security van slimme apparaten”, zo benadrukt Hyppönen tijdens een interview met Infosecurity Magazine. “Security zorgt niet voor extra inkomsten. Klanten vragen bij de aanschaf van een koffiemachine echt niet aan de verkoper hoe de firewall werkt of hoe de encryptiemechanismen in elkaar zitten. Daar komt bij dat de leveranciers van slimme apparaten vaak geen ervaring hebben met bijvoorbeeld het ontwikkelen van veilige software.”

Wake-upcall? “Voor de gevolgen van de geringe aandacht voor security waarschuwen we nu al meer dan twee jaar, maar niemand luistert”, zegt Hyppönen bijna verongelijkt. “Ik geloof ook niet dat de recente DDoS-aanvallen met het Mirai-botnet de ‘wake-upcall’ zijn. Zelfs als je mensen vertelt dat hun apparaten deel uitmaakten van de grootste aanval ooit uitgevoerd op de basisinfrastructuur van het internet, dan nog interesseert het ze niets. De reactie is dan: ‘Nou en? Mijn apparaten werken toch nog gewoon? Wat is het probleem?’ Ze gaan echt geen geld stoppen in het

verhelpen van het probleem.” Voor Hyppönen staat echter vast dat de wake-upcall komt. “Wat is de belangrijkste drijfveer voor hackers? Geld verdienen! Daarvoor zullen ze ook het Internet of Things gaan inzetten.” Dat kan bijvoorbeeld door een slimme televisie te ‘gijzelen’ en na betaling van losgeld weer vrij te geven, of door via de gehackte videocamera stiekem opnames te maken van mensen en te dreigen met het publiceren van de beelden als een betaling uitblijft. “Maar binnen zakelijke omgevingen bieden kwetsbaarheden in slimme apparaten hackers ook toegang tot het interne netwerk, waar de waardevolle gegevens zich bevinden”, waarschuwt Hyppönen. “Dat zal de wake-upcall zijn, dat de slimme koffiemachine die zonder overleg met IT is aangesloten op het bedrijfsnetwerk de zwakke schakel vormt in de beveiliging.”

“Ik ben geen voorstander van nieuwe regulering of EU-wetten, maar het is duidelijk dat er op het gebied van IoT en security iets moet gebeuren”, benadrukt Hyppönen. “De fabrikanten gaan uit zichzelf echt niet extra investeren in security. Het kan echter nog jaren duren voordat nieuwe regelgeving gereed is.” “Tot die tijd moeten we de risico’s van het Internet of Things uiterst serieus nemen, en ook meenemen in onze threat assessments”, zo adviseert Hyppönen bedrijven die bewust of onbewust al gebruikmaken van slimme, met het internet verbonden apparaten. “Je moet goed weten wie bepaalde apparaten zou willen hacken en waarom. Als je dat in kaart hebt, dan kun je ook op de juiste plaatsen gaan investeren om de beveiliging aan te scherpen.”

Beveiligen vanuit het netwerk Om het IoT-securityprobleem te tac-

kelen, hebben bedrijven echter wel behoefte aan een nieuw type beveiliging. “We kunnen de beveiliging niet afdwingen op de endpoints, want antivirus installeren op een broodrooster gaat echt niet gebeuren”, aldus de Finse security-expert en veelgevraagd spreker. “De beveiliging van IoT-devices zal daarom vanuit het netwerk moeten komen.” Vooralsnog zijn er echter weinig tot geen oplossingen beschikbaar die voorzien in deze beveiliging vanuit het netwerk, constateert Hyppönen. “Het is toch eigenlijk best gek dat de grote netwerkleveranciers een dergelijke oplossing nog niet bieden?” Daar komt volgens de Chief Research Officer echter snel verandering in. Zo brengt F-Secure volgens Hyppönen in de zomer van 2017 een oplossing op de markt die zorgt voor een extra veilig Wifi-netwerk om IoT-devices op aan te sluiten. “Hiermee dwingen we niet alleen extra beveiliging op de endpoints af. We bieden de gebruikers van IoT-devices ook privacy, bijvoorbeeld door het verkeer te blokkeren als de televisie gebruikersdata naar Samsung wil sturen’. Daarnaast verwacht ik dat we ik de loop van 2017 grote aankondigingen gaan zien van de ‘big boys’.”

Leveranciers aansprakelijk stellen Doordat security voor de fabrikanten van slimme apparaten geen ‘unique selling point’ is, is het oplossen van het ‘IoT-securityprobleem’ volgens de Chief Research Officer van F-Secure niet eenvoudig. “Wat er volgens mij moet gebeuren, is dat we de leveranciers van IoT-devices aansprakelijk moeten stellen voor de problemen en schade die slecht beveiligde apparaten veroorzaken. Een fabrikant is nu al aansprakelijk als een broodrooster je een schok geeft of in de fik vliegt. Dat zou ook zo moeten zijn als diezelfde broodrooster je wifiwachtwoord lekt. De fabrikant moet niet alleen verantwoordelijk zijn voor de ‘safety’, maar ook voor de ‘security’.” Het standpunt van Hyppönen dat de fabrikanten van de slimme apparaten verantwoordelijk zijn voor de security, is ook door de politiek opgepakt. Zo pleit D66 voor een verkoopverbod op apparaten die niet veilig op het internet zijn aangesloten. De Europese Commissie denkt na over een labeling van IoT-hardware

Mikko Hyppönen INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 39

VISIE 2017 over organisaties, waardoor ze innovatievere en meer businessgedreven managers moeten worden. Verder krijgen CIO’s met steeds meer uitdagingen te maken. In een rapport uit CIO Magazine over de CIO-status in 2016 blijkt 88% zich bewust te zijn van die toenemende uitdagingen, terwijl 71% moeite heeft de balans te vinden tussen innovatie, operationele efficiency en security. Met die balans worstel ik zelf ook vrijwel dagelijks. Verder ervaar ik dat mijn CIO en CISO-rollen steeds meer verstrengeld raken en elkaar overlappen.

Adviezen voor CIO’s en CISO’s

Visie

op CISO-functie in 2017 Het ICT-landschap verandert continu, onder andere als gevolg van het groeiende Internet of Things en complexere cyberdreigingen. Technologie verandert in bredere zin steeds sneller en daardoor komt er aanzienlijk meer informatie beschikbaar. Cybersecurity was tot voor kort een ICT-taak, maar wordt in toenemende mate opgeschaald naar een bedrijfsuitdaging met C-level verantwoordelijkheid. Elke organisatie, onafhankelijk van de markt waarin deze actief is, doet er verstandig aan security een hoge prioriteit te geven in het bijhouden van de technische ontwikkelingen. Verder is het belangrijk dat CIO’s, CISO’s en andere managers meer gaan samenwerken om hun organisatie te beschermen tegen het toenemend aantal securityrisico’s. DevOps en mobility Door de opkomst van DevOps en explosieve groei van mobility dreigt security een sluitpost te worden, terwijl het juist centrale aandacht verdient. CISO’s en CIO’s moeten voortdurend hun kennis verrijken 40 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

om te kunnen inspelen op de steeds snellere ontwikkelingen. Levenslang leren is voor mij vanzelfsprekend geworden, wat het voor alle informatiebeveiligingsprofessionals hoort te zijn. Alleen door voortdurend relevante beurzen en seminars te bezoeken, met experts van gedachten te wisselen en belangrijke issues te bespreken met mijn team, vakgenoten en klanten, lukt het mij de actuele trends, ontwikkelingen en bedreigingen te blijven volgen. Bij Venafi vervul ik momenteel een dubbelrol van CIO en CISO, om security in alle ICT-aspecten te kunnen borgen. Op basis van ruim 30-jaar ervaring in diverse security en ICT-rollen, variërend van helpdeskmanagement, identiteitsmanagement, productiebeheer en capaciteitsplanning.

Balans innovatie, operationele efficiency en security Security is in het verleden niet altijd een CIO-taak geweest, omdat de ICT-infrastructuur zijn of haar belangrijkste verantwoordelijkheid was. Die rolverdeling is momenteel sterk aan het veranderen. In 2017 krijgen CIO’s meer invloed op de publieke opinie

Vanwege de mogelijke imagoschade is cybersecurity tegenwoordig een boardroomonderwerp geworden. In mijn huidige functie bij Venafi, help ik CIO’s en CISO’s de verdedigingsstrategieën te versterken tegen complexere en verwoestendere aanvallen op het vertrouwen van hun organisaties. Dat vertrouwen is voor een belangrijk deel gebaseerd op digitale certificaten en encryptiesleutels. Vanuit mijn dubbelrol heb ik de verantwoordelijkheid zowel Venafi als onze medewerkers en klanten te beschermen. Vakgenoten die voor de dezelfde uitdaging staan geef ik graag de volgende adviezen, op basis van al mijn kennis, ervaring en inzichten: • Blijf je hele leven leren: onze industrie en het dreigingslandschap veranderen zo snel dat continu leren absoluut noodzakelijk is • Werk samen: gebruik je team en relaties om voorop te blijven lopen in het detecteren van nieuwe bedreigingen en uitdagingen. Omring je daarvoor met slimmere mensen dan jezelf! • Communiceer, communiceer en

•

communiceer: netwerken en samenwerken zijn cruciaal in deze industrie. Praat met iedereen voor het leggen van nieuwe relaties en brainstorm over mogelijke oplossingen en andere inzichten Leer van successen en fouten: 100% security is niet te realiseren, daarom is elke aanval, incident en kwetsbaarheid een kans om te leren. Leer zowel van je successen als fouten.

Werk samen Gedurende mijn carrière heb ik de ICTen securityevolutie vanaf de eerste rij mogen volgen, waaronder de al genoemde verandering in rolverdeling. Op managementniveau is er de laatste tijd

veel gebeurd om betere samenwerking mogelijk te maken en meer aandacht te besteden aan cybersecurity. Het huidige dreigingslandschap vereist een integrale aanpak voor het delen van informatie en effectieve bescherming tegen alle securityrisico’s. Gelukkig heb ik daarbij mogen samenwerken met enthousiaste getalenteerde mensen, die ik tevens raadpleeg voor alternatieve inzichten en meningen. Wanneer je niet kunt samenwerken met collega’s, wordt een bedrijf nooit succesvol. Dan lukt het je ook niet om de mensen met verkeerde bedoelingen te bestrijden die cyberaanvallen bedenken en uitvoeren. TAMMY MOSKITES, CIO en CISO van Venafi

‘In 2017 krijgen CIO’s meer invloed op de publieke opinie over organisaties, waardoor ze innovatievere en meer businessgedreven managers moeten worden’ Tammy Moskites INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 41

LEGAL LOOK DOOR MR. V.A. DE POUS

Stemmingmakerij

wettelijke meldplicht Goed nieuws. Sociaal mediagigant Facebook - met 1,63 miljard gebruikers - gaat meer doen om te voorkomen dat nepnieuws zich via het platform verspreidt. Enerzijds krijgen gebruikers meer hulpmiddelen om onjuiste informatie te melden, terwijl het bedrijf zelf de detectiesystemen verbetert. Dat hebben we te danken aan de verkiezingen. President elect Trump zou van nepnieuws hebben geprofiteerd, nu kennelijk veel Amerikanen de sociaal media-website als belangrijkste en zelfs enige nieuwsbron lezen.

De nieuwe aanpak mist zijn doel wanneer het om een onzorgvuldige informatievoorziening van een krant gaat; ook in Nederland. ‘Niet melden van cybercrime is vaak verstandiger’, kopte het FD onlangs en verwoordde de mening van een advocaat, ex-officier van justitie. De discussie dateert goed beschouwd uit de jaren zestig en zeventig van de vorige eeuw toen de eerste zaken van computermisbruik aan het licht kwamen. Omdat vriend en vijand er destijds van uitging dat deze incidenten, zoals vermogensdelict of sabotage, doorgaans niet tot aangifte leidden wegens angst voor reputatieschade, werd de omvang van computercriminaliteit steevast vergeleken met het topje van een ijsberg. Dark numbers. Die situatie is vandaag onveranderd, maar de schaal nam wel exponentieel toe. Digitale criminaliteit in de gekoppelde wereld is letterlijk aan de orde van de seconde.

vuil, er gaat iets mis met een software patch, een ambtenaar stuurt persoonsgegevens naar een verkeerd adres, en wat dies meer zij. Vaak ontbreekt opzet en is er geen sprake van cybercrime.

Wie zijn cliënt adviseert geen digitale criminaliteit te melden, heeft deze vrijheid. Op zich is dat geen gammel advies. Het Nederlandse recht kent immers geen algemeen voorschrift om cybercrime - aan wie dan ook - te melden. Bovendien geldt het uitgangspunt dat bedrijven en hun topmanagers risico’s mogen nemen (maar openbaar bestuurder en ambtenaar nadrukkelijk niet). De discussie moeten we echter zuiver voeren. Er bestaat echter wel een inmiddels breed digitaal meldplichtspectrum, dat telkens uitbreidt. Deze juridische lappendeken brengt een veel groter - geconsolideerd - risico voor iedere digitale organisatie met zich mee dan het gedoe omtrent de nieuwe Wet meldplicht datalekken.

Ondertussen roerde VNO-NCW zich in het debat. Een bedrijf moet zich houden aan wettelijke voorschriften, dus ook aan de Wet meldplicht datalekken. Klare taal. Maak dan topprioriteit van het aanpakken van cybercrime. Daarvoor is, gelet op de staat van de informatiemaatschappij, veel te zeggen. Toch missen ook de verzamelde werkgevers een centraal punt. ‘Maar kijk je vanuit bedrijfsoogpunt naar meldingen en vraag je je af what’s in it for me?, dan kan ik melden: bijzonder weinig’, aldus een medewerker. Politie en justitie zijn niet op de digitale opsporing berekend, weet VNO-NCW. Vervolgens doemen hier dezelfde publicitaire zorgen op, als bij de corporate slachtoffers van de eerste generatie computercriminelen 50 jaar geleden. Wat als een melding uitlekt? De wetgeving omtrent - het lekken van - persoonsgegevens draait uiteindelijk om de betrokkene (u en ik), wiens persoonsgegevens door een ander worden verwerkt. Het individu staat dus centraal en niet de organisatie die verwerkt.

Nog een punt van onderscheid, waar het FD aan voorbijgaat. Een wettelijke meldplicht voor een digitaal incident, inclusief persoonsgegevenslek, kan te maken hebben met criminaliteit. Dat hoeft echter nadrukkelijk niet het geval te zijn. USB-sticks worden verloren, een officier van justitie zet een PC bij het oud

42 | DECEMBER 2016 | NR. 5 | INFOSECURITY MAGAZINE

De advocaat ter zake hoort van de overheid dat het instrument meldplicht (in relatie tot het lekken van persoonsgegevens) slechts uit oogpunt van algemeen belang zou zijn gekozen. Dat is opvallend. Bij de meeste meldplichten gaat het primair om het beperken van schade en vervolgens om het stimuleren van vertrouwen in een bepaalde sector of, breder, de samenleving. Voor de Wet meldplicht datalekken is dat niet anders. Daar komt nog bij dat ook het algemeen belang een zaak van gewicht is. De informatiesamenleving heeft juist dringend behoefte aan meer vertrouwen.

INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2016 | 43

www.qsight.nl

One Company One Brand One Culture

100% Dutch QSight IT is een 100% Nederlands IT bedrijf met absolute focus op networking, cloud, security & risico management. Organisaties uit de sectoren Cure & Care, Finance, Public, Manufacturing en Business Services behoren tot de klantenkring van QSight IT. Het aanbod omvat, naast het leveren en integreren van IT, ook een compleet scala aan proactieve consultancy, support- en beheerdiensten.

QSight IT beschikt over een Security Operations Center (SOC) en een Network Operations Center (NOC), strategisch verspreid over meerdere locaties en 24/7 bemand. Onze teams van security- en netwerkprofessionals gebruiken technieken zoals Big Data, Machine Learning en Artificial Intelligence om cyberdreigingen vroegtijdig op te merken, af te wenden en IT kostenefficiĂŤnt te managen.