INFO
SECURITY MAGAZINE
JAARGANG 16 - DECEMBER 2017 - WWW.INFOSECURITYMAGAZINE.NL
CYBERCRIMINELEN WERPEN BARRIÈRES OP VOOR DIGITALE TRANSFORMATIE
BIJ SECURITY IS ANGST EEN SLECHTE RAADGEVER
DE IMPACT VAN DRONES OP SECURITY
‘CONTOUREN VAN EEN CYBERWAR WORDEN ZICHTBAAR’
EDITORIAL: ROBBERT HOEFFNAGEL
COLOFON Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@fenceworks.nl. Uitgever Jos Raaphorst 06 - 34 73 54 24 jos@fenceworks.nl twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 robbert@fenceworks.nl twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel
TITAN ondersteunt u in het proactief monitoren van uw netwerk voor ongewenste activiteiten zoals ongeautoriseerde toegang of mogelijke hacks. Het continu monitoren van het netwerkverkeer en logbestanden draagt bij aan het vroegtijdig detecteren van bijvoorbeeld malware, ransomware of ongewenste activiteiten. Actieve detectie, nog voordat een virusscanner deze vindt, of een hacker er met de gevoelige data vandoor gaat. TITAN biedt u de totaaloplossing.
Advertentie-exploitatie Jos Raaphorst 06 - 34 73 54 24 jos@fenceworks.nl Eindredactie/traffic Ab Muilwijk
CYBER SECURITY
MONITORING www.novaccent.nl » Weerbaar tegen ransomware & malware » Weerbaar tegen overige cyberdreigingen » Voorkomen van imagoschade » Voorkomen van datalekken
Neem contact met ons op over de mogelijkheden
» Voorkomen van fraude
Druk CHAPO nv Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 info@fenceworks.nl © 2017 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.
Meer informatie: www.infosecuritymagazine.nl
security moet makkelijker
Soms ben ik net een IT’er. Zeker als iemand in mijn familie bij mij komt met een vraag of probleem over een applicatie of telefoon. Net als menig IT-professional snap ik dan vaak niet waarom die - zeg maar - gebruiker ‘het niet snapt’. Want in mijn ogen is het allemaal heel eenvoudig, gewoon een kwestie van doen wat er staat. De werkelijkheid zit anders in elkaar. Want waar ik gebruikers er van verdenk dat ze simpelweg niet goed lezen, ben ik natuurlijk volledig geconditioneerd door mijn - laat ik maar zeggen - IT-achtige manier van werken. Ik weet hoe het werkt, dus weet ik in veel gevallen welke vragen of handelingen er aan zitten te komen.
schaft via de AppleID van iemand anders. Dus toen WhatsApp opnieuw geactiveerd diende te worden, kwam het sms’je (wederom two-factor authentication) terecht op een andere smartphone. Nadat we eerst nog ‘even’ het wachtwoord van de AppleID van die andere gebruiker hadden opgezocht.
Hoe anders is de wereld van de eindgebruiker
Waarna de gelukkige iPhone X-gebruiker verzuchtte: “Wat een gedoe allemaal! Kunnen we al die securitymaatregelen niet veel beter uit zetten? Werkt veel sneller!”
Ik moest hier weer aan denken toen ik laatst iemand moest helpen met het in gebruik nemen van een gloednieuwe iPhone X. De oude telefoon was gevallen en het scherm deed niets meer. Gelukkig had ik eerder geregeld dat met grote regelmaat van die oude telefoon backups worden gemaakt naar iCloud. Kwestie van even de meest recente kopie op de nieuwe iPhone zetten en klaar! Het liep iets anders. Het scherm van de oude smartphone was weliswaar kapot maar de rest functioneerde nog prima. Dat merkte ik toen Apple keurig volgens de instellingen two-factor authentication toepaste. Ik hoor de sms die de tweede trap van deze aanpak vormt op de oude telefoon binnen komen, maar kon uiteraard de code niet lezen. Kijk dan, zo adviseerde Apple mij, op een ander aan dit iCloud-account gekoppelde Mac of tablet. Dan moest die alleen wel van de meest recente versie van het OS zijn voorzien. U voelt het al: dat was niet gebeurd. Dus eerst een MacBook Air upgraden, waarna inderdaad de juiste iCloud-kopie kon worden geladen op de iPhone X. Maar toen werkte WhatsApp niet. Want deze gebruiker had ooit WhatsApp aange-
Zie hier de wereld waarin niet-IT-specialisten leven. Ze willen heus wel veilig werken, maar het is vaak zo ingewikkeld. Vinden zij. En gelijk hebben ze. Want de logica van Apple die simpelweg en geheel volgens afspraak two-factor authentication toepaste, was voor deze gebruiker vooral heel erg lastig en vervelend. En dus zet men ‘dat lastige gedoe’ maar liever weer uit. Zonder zich te realiseren welke risico’s men daarmee loopt. Conclusie: voor eindgebruikers is de huidige aanpak rond security vaak veel te ingewikkeld. Dat moet veel en veel eenvoudiger. Want vaak krijgen eindgebruikers te horen dat ze ‘domme dingen’ doen en daarmee zo’n ransomware-aanval of breach zelf veroorzaken. De werkelijkheid is vaak anders. Security moet - en kan - veel simpeler. En zal dan ook veel effectiever blijken. Een mooi voornemen voor 2018! ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)
» Voldoen aan compliance richtlijnen
2 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
www.novaccent.nl
Vormgeving Media Service Uitgeest
Voornemen voor 2018:
info@novaccent.nl
+31 (0)33 - 456 3663
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 3
Inhoud
INFOSECURITY NUMMER 05 - DECEMBER 2017 - JAARGANG 16
8 ‘Het jaar van de Cloud-WiFi en Smart Cities’ 10 Hybrid Cloud: zes noodzakelijke maatregelen 12 Wat maakt de detectie van ransomware zo moeilijk?
10
Bedrijven zijn dit jaar meerdere keren opgeschrikt door grote ransomware-uitbraken, onder meer van de WannaCry en (Not)Petya ransomware. Deze uitbraken laten zien hoe groot de impact van dergelijke malware kan zijn en hoe slecht veel bedrijven tegen dergelijke uitbraken zijn gewapend. Wat maakt ransomware zo moeilijk te detecteren en hoe kan deze vorm van malware tijdig worden tegengehouden?
14 Cybercriminelen werpen barrières op voor digitale transformatie
Het bedrijfsleven en de maatschappij staan in 2018 voor de uitdaging om de digitale transformatie aan te gaan. Nieuwe technologische ontwikkelingen helpen daarbij, maar cybercriminelen maken daar ook handig gebruik van. “We verwachten daarom in 2018 nog veel meer destructieve cyberaanvallen die gebruik maken van automatisering, machine learning en artificial intelligence”, zegt Vincent Zeebregts, country manager Nederland bij Fortinet.
6
NAAR EEN HOLISTISCHE BENADERING VAN CYBERSECURITY
17 Trends 2018: DIA, Security en Service 22 De impact van drones op security 24 ‘Certificering van crucial belang voor informatiebeveiliging’ 28 Forcepoint publiceert Security Predictionsrapport 2018 30 Veilig werken met microservices – mits u deze maatregelen neemt 32 Bij security is angst een slechte raadgever 35 RAIN systeem maakt ‘terugspoelen’ van cyberaanval mogelijk 36 Steeds meer ransomware is gericht op Android-, Linux- en MacOS-systemen 38 Een pleidooi voor gedragsbiometrie
Nu apps voor mobiel bankieren door steeds meer mensen dagelijks worden gebruikt, beginnen cybercriminelen serieus belangstelling te krijgen voor methoden en technieken om mobiele apparaten te compromitteren. Nieuwe en geavanceerde aanvalsmethoden hebben de klassieke pogingen om gebruikersnaam en wachtwoord te ontfutselen overbodig gemaakt. Zelfs een betere, maar nog altijd basale methode als two-factor authenticatie lijkt onvoldoende. De reden is dat hackers manieren hebben gevonden om gebruikers te verleiden tot het invoeren van toegangscodes via valse gebruikersinterfaces van betaalsites. Tijd voor een nieuwe aanpak - ‘behavioral biometrics’ - die individuele transacties beschermt zonder dat de gebruiker hier extra handelingen voor hoeft te doen.
40 ‘Contouren van een cyberwar worden zichtbaar’ 42 Legal Look 4 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
De digitale transformatie van organisaties heeft in 2017 een hoge vlucht genomen. De verandering die dat met zich meebrengt, heeft grote gevolgen. Niet alleen voor de organisaties die er actief mee bezig zijn, maar ook voor de maatschappij als geheel. De groeiende afhankelijkheid van data en digitale oplossingen maakt ons kwetsbaar.
35
14
26
28 32
17
HOE ZORGT U DAT UW GEGEVENS VEILIG GENOEG ZIJN VOOR GDPR (AVG)? INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 5
VISIE omgevingen digitale componenten krijgen (het Industrial IoT), waardoor nieuwe bedrijfsonderdelen - die voorheen onkwetsbaar leken voor aanvallen uit cyberspace - nu plotseling onder vuur komen te liggen. We zien hoe nationaal en internationaal gezocht wordt naar manieren om cybersecurity te reguleren, wat leidt tot nieuwe verplichtingen en onzekerheden waar organisaties rekening mee moeten houden. En tot slot zien we een groeiende noodzaak om samen te werken en de eigen infrastructuur op een of andere manier te ontsluiten voor andere organisaties, met andere systemen en oplossingen, in andere delen van de wereld. Het grootste deel van deze veranderingen is bovendien niet van tijdelijke aard, maar structureel, en vraagt om een nieuwe kijk op cybersecurity. Dit zijn de acht belangrijkste aanbevelingen voor 2018:
1. Manage je kwetsbaarheid
René van Buuren
holistische
Naar een benadering van cybersecurity De digitale transformatie van organisaties heeft in 2017 een hoge vlucht genomen. De verandering die dat met zich meebrengt, heeft grote gevolgen. Niet alleen voor de organisaties die er actief mee bezig zijn, maar ook voor de maatschappij als geheel. De groeiende afhankelijkheid van data en digitale oplossingen maakt ons kwetsbaar.
2017 kreeg alleen de Nederlandse Autoriteit Persoonsgegevens al 6.184 meldingen van datalekken binnen en werd meer dan 500 keer een onderzoek opgestart. Via de Vault7 dump van Wikileaks werd dit jaar duidelijk dat zelfs de CIA zijn eigen spionageactiviteiten en hacking tools niet uit handen van hackers wist te houden.
Groeiende kwetsbaarheid 2017 was een jaar waarin we het aantal spraakmakende cybersecurity incidenten opnieuw hebben zien stijgen. Denk aan de ransomware golven rond Wannacry en de Petya-familie, maar ook aan een duizelingwekkende lijst met bedrijven die dit jaar grote hoeveelheden gevoelige gegevens zagen weglekken. Xbox, Playstation, Equifax, Kmart, Verizon, Deloitte, diverse Nederlandse ziekenhuizen, de ANWB... In de eerste drie kwartalen van 6 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
De waarde van data is door de digitale transformatie toegenomen. Data-analyse en Artificial Intelligence brengen nieuwe mogelijkheden, maar maken ook dat we extra waakzaam moeten zijn op de integriteit en de kwetsbaarheid van de gegevens waarop we die nieuwe kansen baseren. De roep om snelheid en flexibiliteit klinkt steeds luider, en security wordt daardoor gemakkelijk uit het oog verloren. We zien hoe steeds meer operationele
Als in IT-systemen een kwetsbaarheid ontdekt wordt, duurt het (volgens het WhiteHat Web Security Statistics Report 2016) op dit moment gemiddeld 30 dagen voor iemand een manier ontwikkelt om het te misbruiken. De tijd die de gemiddelde organisatie nodig heeft om dergelijke bekende gaten in hun systemen te dichten is 245 dagen... Vulnerability management wordt dan ook een van de belangrijkste pijlers onder een solide veiligheidsbeleid.
2. Voorkom dat je verzuipt Alarm slaan is niet moeilijk. Er zijn aardig wat systemen op de markt die iedere afwijking van normale gebruikspatronen direct signaleren. Gemiddeld leidt dat tot 18% - 40% zogenaamde false positives. Een systeem dat zorgvuldig is afgestemd op de organisatie, kan het aantal false positives terugbrengen naar hooguit 5%. Een goed geleid security team weet bovendien direct prioriteiten te leggen door een juiste inschatting te maken van de potentiële impact op de business. Uiteindelijk gaat het er niet om hoe snel iemand alarm slaat - het gaat erom zo snel mogelijk adequaat te reageren, zodat de impact op de business minimaal blijft.
3. Denk om je mensen Cybersecurity is een samenspel van technologie en tools, processen en methoden, en menselijke kennis en ervaring. Met name het belang van de
'De waarde van data is door de digitale transformatie toegenomen'
accountgegevens, via Shadow IT of zelfs door moedwillig misbruik, kan data in de cloud nog steeds gecompromitteerd raken. Cloud computing is goed, maar om het werkelijk veilig te krijgen, moeten organisaties zorgen dat ze beter inzicht krijgen in wat er met hun data in de cloud gebeurt.
6. Let op de Operationele Technologie menselijke component wordt hierin te vaak onderschat. Alle vorderingen op het gebied van AI ten spijt, blijft technologie een tool die afhankelijk is van de mens die hem op de juiste manier weet in te zetten. Dat betekent ook dat de strijd om getalenteerde cybersecurityspecialisten de komende jaren steeds heviger zal worden. Een organisatie die in de nieuwe digitale wereld veilig wil zijn, zal bijzonder zuinig moeten zijn op de talenten waarover het kan beschikken.
4. Gebruik de technologie Hoewel menselijk inzicht en expertise de kern vormen van een succesvol beveiligingsbeleid, is de realiteit ook dat de hoeveelheid informatie die op securityspecialisten afkomt extreem groot is en sterk zal blijven groeien. Essentieel is dan ook gebruik te maken van intelligente tools zoals gedragsanalyse, Machine Learning en AI. Enerzijds om voorspelbare en herkenbare incidenten snel af te handelen en zo het aantal meldingen te reduceren tot de voornaamste dreigingen die om menselijke aandacht vragen. Anderzijds om nieuwe dreigingen te signaleren die mogelijk nog niet op het netvlies staan van de menselijke specialisten. Belangrijk is technologie te blijven zien als een tool: een middel dat specialisten helpt hun taken beter uit te voeren - maar die net zo goed ook door de vijand wordt gebruikt en bestudeerd. Dat maakt dat zelfs de beste tools voorlopig nog kwetsbaar zullen blijven voor misbruik en manipulatie en dat menselijke intelligentie en communicatie de uiteindelijke regie moeten blijven voeren.
5. Controleer de cloud De apparatuur waarop public clouds draaien is in veruit de meeste gevallen vele malen beter beschermd dan wat de meeste organisaties ooit on-premise zouden kunnen realiseren. Maar dat is niet het hele verhaal. Met geroofde
Steeds meer voorheen domme apparatuur, van wissels tot radarsystemen en productielijnen, wordt uitgerust met sensoren en een internetverbinding. Naast de evidente voordelen die dat oplevert, betekent het ook dat deze apparatuur bereikbaar - en kwetsbaar - wordt voor aanvallen vanuit cyberspace. Dit is een nieuwe ontwikkeling waar organisaties vaak onvoldoende op bedacht zijn, maar waar snel specifieke aandacht voor moet komen.
7. Wees waakzaam - ken je vijand Voor een goede verdediging is het essentieel te weten wie de vijand is. Threat Intelligence is erop gericht een zo goed mogelijk beeld te vormen van de dreigingen waarmee een organisatie te maken kan krijgen, zodat aanvallen snel worden herkend en afgeslagen. Dit betekent ook dat actief informatie moet worden uitgewisseld met interne en externe partners om de activiteiten van de voornaamste tegenstanders nauwlettend in het oog te houden.
8. Start een SOC Security Operation Centers (SOCs) worden nog veel gezien als een luxe die voorbehouden is aan grote organisaties met specifieke veiligheidseisen. Maar in het nieuwe securitybeleid waar we naartoe moeten, is duidelijk behoefte aan één plaats in de organisatie waar alle componenten van een securitystrategie samenkomen. Dat geldt voor alle punten die hierboven al zijn genoemd, maar bijvoorbeeld ook voor governance, risk management en compliance (GRC). Om de steeds complexere en permanent veranderlijke dreiging de baas te blijven, moet iedere organisatie op zoek naar een centrale plaats waar gespecialiseerd personeel alle security operations coördineert. RENÉ VAN BUUREN is directeur Cybersecurity bij Thales Nederland
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 7
VISIE bonden applicaties en apparaten biedt allerlei mogelijkheden om efficiënter te werken, aanzienlijk op kosten te besparen - Johnson noemt de voorbeelden van vuilcontainers die aangeven wanneer ze geleegd moeten worden en van slimme meters die het mogelijk maken om actueel verbruik van water en energie te monitoren en daar de capaciteit op af te stemmen - en nieuwe publieke en commerciële diensten te ontwikkelen en aan te bieden.
STEVE JOHNSON VAN RUCKUS OVER DE TRENDS EN ONTWIKKELINGEN
‘Het jaar
van de Cloud-WiFi en Smart Cities’ “Digitale transformatie leunt op goede connectiviteit. IoT, big data, big analytics, AI; de inzetbaarheid en het succes ervan zijn grotendeels afhankelijk van draadloze netwerken. De onderliggende infrastructuur moet enerzijds robuust en betrouwbaar zijn, anderzijds schaalbaar en open zijn voor partners en externe toepassingen. Het is dan ook logisch dat connectiviteit steeds vaker wordt afgenomen als clouddienst: WiFi-as-a-Service.” Dat zegt Steve Johnson, sinds 2015 Regional Director voor Noord-Europa van Ruckus Wireless. Hij vertelt iets meer over de ontwikkelingen in de Noord-Europese markt waar Ruckus bij betrokken is en over de trends voor de komende jaren. Steve Johnson werkt nu bijna drie jaar voor Ruckus. Hij is al ruim 20 jaar actief in de digitalenetwerkindustrie. Hij werkte bij Computer 2000 en diens opvolger Techdata en vervolgens bij 3Com en vanaf 2010 bij Extreme Networks. In 2015 maakte Johnson de overstap naar Ruckus waarmee hij vorig jaar dus onderdeel werd van Brocade. Wat betreft WiFi-as-a-Service maakt Ruckus duidelijk onderscheid tussen ‘verkoper’- en ‘partner’-cloud-WiFi. Johnson: “In het verkoopkanaal bieden we bijvoorbeeld standaardoplossingen voor kleinere en middelgrote organisaties die wel een betrouwbaar en breed draadloos netwerk willen kunnen uitrollen, maar niet de middelen, kennis óf behoefte hebben om de complexe technologie van de architectuur zelf op te zetten. Datzelfde geldt voor netwerkpartners van Ruckus die niet de complexiteit in huis willen halen, maar wel het beheer over een WLAN-netwerk willen kunnen voeren.” Voor enterpriseklanten, zoals serviceproviders die bijvoorbeeld multi-tenant managed Wi-Fi-services willen aanbieden, is er de mogelijkheid om een eigen private Ruckus WiFi-cloud op te zetten. Partners die zelf een private Ruckus WiFi-cloud opzetten, kunnen eigen maatwerkoplossingen ontwikkelen met geavanceerde services die aansluiten bij hun specifieke klantengroepen. Johnson: “In essentie bieden zij dan hun eigen cloud aan, alleen wel gebaseerd op Ruckus-technologie. Er zijn natuurlijk ook klanten die liever volledig eigenaarschap en controle over hun ICT houden 8 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
Veiligheid als voorwaarde en bottleneck
en die de middelen hebben om dat te realiseren. Die klanten zullen kiezen voor een eigen on-premise platformoplossing.”
Van de Van der Valk hotels tot de Champs Elysees De markt waarin Ruckus, onderdeel van Brocade, wereld actief is met draadloze netwerkoplossingen, is heel breed. Van retailbedrijven en toonaangevende hotelketens zoals Van der Valk tot en met omvangrijke openluchtoplossingen en volledige Smart City-toepassingen. Johnson: “De Noord-Europese markt is een prettige markt om in actief te zijn. Men is hier heel proactief en geavanceerd. Dat geldt voor zowel partners als de gebruikers. Ons partnernetwerk is actief en divers, ik ontmoet hier echt een rijkdom aan innovatie bij serviceproviders en leveranciers, zeker in Nederland en België. Er zijn ook culturele verschillen onderling in de gebruikersmarkt. Zo loopt de zorgsector in Nederland erg voor in digitalisering. Een deelmarkt voor Ruckus zijn de zogeheten multi dwelling units, dat zijn bijvoorbeeld studentencampussen, maar ook seniorenappartementen en woonzorgcomplexen. Daar zie je dat zowel bewoners als medische professionals gewend zijn aan digitale communicatie, monitoring, alarmering en consults. De lat voor draadloze netwerken ligt daar dan ook hoog.” Een belangrijk deel van de activiteiten van Ruckus speelt zich in de openlucht af. Johnson voorziet dat 2018 ook het jaar wordt van de verdere ontwikkeling van Smart City-toepassingen. “Daar wordt natuurlijk al jarenlang over gepraat, maar de afgelopen jaren zijn daar mooie praktische successen behaald. Dat loopt van openbare WiFi voor bewoners en bezoekers, zoals we bijvoorbeeld vorig jaar op de Champs Elysees hebben gerealiseerd, tot en met meervoudige netwerken voor publieke diensten en commerciële activiteiten waar we nu wereldwijd met partners en overheden mee bezig zijn.”
Vuilcontainers en slimme meters “Met al die verbonden apparaten en sensoren, de enorme hoeveelheid data die dat oplevert plus de rekenkracht in de cloud die het mogelijk maakt om daar conclusies en activiteiten aan te verbinden, is het logisch dat Smart City-toepassingen bij veel
publieke bestuurders hoog op het prioriteitenlijstje staat.” Uit een recent onderzoek van Ruckus blijkt dat lokale en regionale overheden bijna overal in Europa bezig zijn met de ontwikkeling
van Smart City-concepten. Niet elke overheid heeft er nog budget voor vrijgemaakt, maar de verwachting is wel dat dat binnen twee jaar gebeurt. Een stadsbreed digitaal netwerk van ver-
Voor stadsbestuurders is een van de belangrijkste aanleidingen om serieus aan de slag te gaan met een Smart City-concept, de veiligheid van burgers en bezoekers, zo blijkt uit het onderzoek. Een ‘sign of the times’ volgens Steve Johnson. “Openbare veiligheid is bij veel mensen ‘top of mind’, dus dat is logisch.” Tegelijk is de zorg over de digitale veiligheid ook een van de grootste drempels bij de ontwikkeling en implementatie van een Smart City-concept. Zeker in Nederland en België zijn de zorgen over cybersecurity groot: 80 procent van de stadsbestuurders ziet dat als bottleneck. Voor Ruckus (en partners) is cybersecurity van het platform uiteraard een belangrijk issue. Johnson: “Je kunt zien wie verbonden is met het netwerk en welke rechten diegene heeft. Authenticatie is vaak dual factor. Met een multi-layered platform kun je de mate van toegang heel precies regelen. Is het een medewerker van de organisatie met rechten, heeft hij of zij een eigen apparaat of van het bedrijf, is het een gastgebruiker? Mag die hoog het systeem in of alleen tot het eerste niveau met internettoegang? Die regulering geldt voor de mensen die inloggen en voor de ‘things’ die verbonden zijn.” “Veiligheid en strikt gereguleerde toegang zijn niet in tegenspraak met de noodzakelijke openheid en het gemak van het draadloze netwerk. Onze WiFi-platforms zijn met open API’s en open standaarden gebouwd op samenwerking met serviceproviders en ontwikkelaars. Voor iedereen moet digitale technologie en continue connectiviteit een vanzelfsprekendheid zijn. Zonder je te moeten verdiepen in de technologische complexiteit die dat mogelijk maakt: het moet het gewoon doen en veilig zijn. Altijd.”
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 9
STRATEGIE
zes
vens verwerkt. Hierin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan.
Hybrid cloud:
4. Beveilig de applicaties Elke applicatie heeft de best mogelijke beveiliging nodig. Het is daarom zaak om per applicatie de juiste maatregelen te nemen. Beveilig applicaties bijvoorbeeld met een Web Application Firewall en continue monitoring en zorg voor een versleuteling van de data en de verbindingen. Houd de beveiliging bovendien continu tegen het licht. Aangezien de aanvallen van kwaadwillenden steeds complexer worden, zijn ook steeds slimmere maatregelen nodig.
noodzakelijke maatregelen
5. Kies voor een centrale backup Als het gaat om een hybrid cloud is het raadzaam om voor een centrale cloudgebaseerde back-updienst te kiezen. Hierbij worden alle data van de afzonderlijke clouddiensten centraal opgeslagen. Zorg er wel voor dat u over voldoende bandbreedte beschikt om een disaster recovery uit te kunnen voeren. Deze bandbreedte moet immers replicatie van data mogelijk maken.
Hybride cloudomgevingen zijn tegenwoordig meer de regel dan uitzondering. Maar met data en processen versnipperd over meerdere clouds, groeit zonder maatregelen ook de kans op een lek of hack. Hoe blijft u ‘in control’ over uw omgeving? De security specialisten van KPN delen hun visie en tips. Uit het rapport ‘Hybrid IT Takes Center Stage’ van Harvard Business Review Analytic Services blijkt dat CIO’s de cloud omarmen om het concurrentievermogen van de organisatie te vergroten. De flexibiliteit van de cloud is in de ogen van IT-directeuren nodig om de digitale transformatie bij te kunnen benen, zo stellen de onderzoekers. Wat in alle onderzoeken duidelijk naar voren komt, is dat bedrijven al lang geen gebruik meer maken van slechts één cloud. Zo gebruiken bedrijven volgens RightScale gemiddeld drie publieke en drie private clouds. Steeds vaker maken zij per applicatie een afweging tussen de public en de private cloud en on-premise. Een combinatie van deze wordt een hybrid cloud genoemd. Bij het gebruik van hybride cloudomgevingen is het van belang om goed na te denken over security aspecten. Voorbeelden hiervan zijn: •
Bij het uitbesteden aan een cloudprovider legt u dan het beheer van data in handen van een bedrijf dat het tot zijn kernexpertise heeft gemaakt? Wat is de reputatie en het track record van de provider en welke afspraken heeft u vastgelegd in een Service Level Agreement?
•
Versnippering van data. Data staan al snel verspreid over meerdere platformen. Deze versnippering wordt nog eens versterkt door de toenemende mobiliteit van medewerkers, die data ook op mobiele devices opslaan. Hierdoor
10 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
6. Besteed aandacht aan veilige verbindingen
wordt het voor een organisatie steeds lastiger om data te beveiligen en hier een back-up van te maken. •
Compliance-issues. In de hybrid cloud loopt mogelijk uw compliance met wet- en regelgeving gevaar. Zo stelt de Algemene Verordening Gegevensbescherming (AVG) die vanaf mei 2018 wordt toegepast dat u inzicht moet hebben in waar privacygevoelige gegevens zijn opgeslagen. Dat is lastig als sprake is van bijvoorbeeld schaduw-IT en een versnipperd IT-landschap. Heeft u dit inzicht niet, dan riskeert u echter fikse boetes.
Hoe voorkomt u dat de hybrid cloud een onbeheersbare chaos wordt? Daarvoor moet u een aantal voorzorgsmaatregelen treffen. Zes tips die hierin leidend zijn:
1. Formuleer beleid Organisaties moeten op het moment dat ze stappen zetten richting de hybrid cloud direct een passend security- en compliancebeleid formuleren. Zowel de technische als de organisatorische controls moeten goed op orde zijn, evenals de processen, de besturing van een organisatie en de menselijke factor. Denk bijvoorbeeld na over hoe u het changemanagement inricht, de toegang tot clouddiensten regelt en reporting voor compliance organiseert. Alleen dan kan er sprake zijn van een toekomstbestendige IT-omgeving die optimaal blijft functioneren.
2. Zorg voor dataclassificatie Welke data zet u waar? In de hybrid cloud kunt u ervoor kiezen om minder
gevoelige data in de public cloud te zetten, en gevoeligere data in een private cloud of on-premise. Deze afweging moet u per type data maken. De keuzes moeten voor iedereen duidelijk zijn.
3. Maak duidelijke afspraken Is het noodzakelijk om op regelmatige basis audits uit te voeren bij de cloudprovider? Maak hierover dan heldere afspraken, en vraag om een ISAE 3402-verklaring. Hiermee toont de provider aan ‘in control’ te zijn over de processen. Ook moet er aandacht zijn voor het datamanagement. Vooraf moet altijd duidelijk zijn waar de data zich bevinden en hoe de toegang en de beschikbaarheid zijn geregeld. De AVG verplicht ook tot het sluiten van een overeenkomst als de provider namens u persoonsgege-
In een hybrid cloud bent u voor de beschikbaarheid van uw IT-omgeving niet alleen afhankelijk van meerdere cloudproviders, maar ook van de verbindingen met de geleverde clouddiensten. Door de verschillende cloudoplossingen te koppelen aan uw bestaande Virtual Private Network, bijvoorbeeld met behulp van private netwerkverbindingen, zorgt u voor een veilige hybrid cloud. Op deze manier maakt u clouddiensten een integraal onderdeel van uw eigen ICT-infrastructuur waar u zelf de controle over heeft. Een hybrid cloud biedt als het ware the best of both worlds en kan voor organisaties de sleutel zijn tot succes. Voorwaarde is wel dat u de regie behoudt. Wilt u sparren met een van de hybrid cloud specialisten op het gebied van security? Neem dan contact op met de specialisten van KPN. kpn.com/zakelijk/grootzakelijk/ cloud-hosting/managed-hybrid-cloud VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 11
RANSOMWARE leggen door systemen die nodig zijn voor de dagelijkse werkzaamheden onbruikbaar te maken. Daarnaast kan allerlei cruciale informatie van bedrijven worden versleuteld, zodat organisaties bijvoorbeeld niet meer bij hun klantgegevens of orders kunnen. Ransomware is voor bedrijven dan ook een zeer serieus probleem dat een enorme impact kan hebben.”
Moeilijk te bestrijden
Wat maakt de
detectie van ransomware zo moeilijk? Bedrijven zijn dit jaar meerdere keren opgeschrikt door grote ransomware-uitbraken, onder meer van de WannaCry en (Not)Petya ransomware. Deze uitbraken laten zien hoe groot de impact van dergelijke malware kan zijn en hoe slecht veel bedrijven tegen dergelijke uitbraken zijn gewapend. Wat maakt ransomware zo moeilijk te detecteren en hoe kan deze vorm van malware tijdig worden tegengehouden? “Ransomware wordt vaak gezien als een recent fenomeen, maar dat is het niet. In 1989 werd ik al geconfronteerd met een vroege versie van ransomware, die op een floppy werd verspreid naar abonnees van het magazine PC Business World. Toen ik deze diskette in mijn floppydrive stak kreeg ik een scherm te zien waar een aantal vragen werden gesteld, die het mogelijk maakten te bepalen hoe groot de kans was dat je met HIV in aanraking zou komen”, aldus Eddy Willems, Security Evangelist bij G DATA. “Enkele dagen later wilde ik mijn PC opnieuw opstarten, maar bleek mijn PC versleuteld te zijn. Ik kreeg een scherm te zien waarop stond dat ik 189 dollar in een 12 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
papieren enveloppe moest stoppen en moest opsturen naar een mailbox in Panama.”
Van fysieke diskettes naar digitale verspreiding “Ransomware is dus zeker niet nieuw. Opvallend genoeg is het na mijn eerste aanraking met dergelijke malware in 1989 een lange tijd stil geweest rond ransomware. Vier of vijf jaar geleden lijkt gijzelsoftware echter opnieuw ontdekt te zijn, waarbij cybercriminelen deze relatief oude aanpak hebben gecombineerd met moderne technieken. Waar de eerste ransomware nog op een floppy fysiek verstuurd werd naar slachtoffers, wordt ransomware tegenwoordig via internet razendsnel verspreid naar een groot aantal gebruikers. Daarnaast worden doorgaans sterke encryptietechnologieën ingezet, waardoor gebruikers in tegenstelling tot de eerste ransomware waarmee ik werd geconfronteerd hun data niet met een simpel trucje weer beschikbaar kunnen maken.” Willems: “De impact van ransomware op een bedrijf is in veel gevallen groot. Deze vorm van malware kan de bedrijfsvoering van een bedrijf direct plat-
Helaas is ransomware in de praktijk moeilijk te bestrijden. Deze vorm van malware maakt vaak gebruik van allerlei slimme trucjes om detectie door beveiligingssoftware te voorkomen. “Het probleem zit niet op de toestellen zelf, maar bij de aanlevering van de mogelijke malware (of ransomware in dit geval) bij de security industrie. Als wij malware binnenkrijgen dan proberen wij die te analyseren in sandboxes en het is vooral daar dat het fout gaat”, legt Willems uit. “Veel ransomware is namelijk voorzien van zogeheten ‘anti-sandboxing-mechanismen’. De ransomware kan hierdoor detecteren dat hij in een sandbox draait en gedraagt zich vervolgens normaal, zodat hij niet wordt herkend als ransomware of malware. Die anti-sandboxing-techniek maakt het dus soms zeer moeilijk om de ransomware te analyseren door de security-industrie en daardoor dus te identificeren als echte malware. Dat is één van de typische technieken gebruikt door de cybercriminelen om het de security-industrie lastig te maken“, legt de Security Evangelist van G DATA uit. “Daarnaast wacht sommige ransomware enkele uren of zelfs dagen voordat hij actief wordt. Geautomatiseerde analysesystemen van beveiligingsbedrijven analyseren verdachte bestanden echter een beperkte periode, waardoor een dergelijke vertraging ervoor kan zorgen dat ransomware niet wordt opgemerkt. Dergelijke slimme werkwijzen maakt het voor beveiligingsbedrijven moeilijk ransomware geautomatiseerd te detecteren en te voorzien van een virushandtekening, die traditionele anti-virussoftware nodig heeft om ransomware te detecteren en tegen te houden.”
Iedere nieuwe ransomware is uniek Dit is een groot probleem, aangezien iedere ransomware er weer net even anders uitziet als zijn voorganger. Voor ie-
der uniek stukje malware moet dus een nieuwe handtekening worden gemaakt om te zorgen dat deze malware wordt gedetecteerd door de anti-virussoftware waar klanten op vertrouwen. Aangezien we jaarlijks worden geconfronteerd met miljoenen nieuwe unieke exemplaren van malware voor uitsluitend het Windows-platform, zijn geautomatiseerde analyses van cruciaal belang om deze malware op te sporen. Enkele jaren geleden was er dan ook geen echt effectieve manier om gebruikers te wapenen tegen ransomware. Willems: “Inmiddels hebben we gelukkig een oplossing gevonden om ransomware ondanks de anti-detectietechnieken die worden toegepast, toch op effectieve wijze te kunnen opsporen. Zo is de nieuwste generatie van G DATA Business Solutions voorzien van antiransomware-technologie, die gebruik maakt van gedragsanalyse in combinatie met kunstmatige intelligentie. Deze nieuwe generatie producten monitort en analyseert het gedrag van bestanden om verdachte handelingen zeer vroegtijdig te detecteren en te stoppen. Zo zien we in de praktijk bijvoorbeeld dat veel ransomware voor het versleutelen van data al enkele typerende handelingen uitvoert, zoals het aanbrengen van wijzigingen in het registry of het wissen van systeemherstelbestanden.”
Iedere ransomware is anders “Iedere ransomware hanteert echter weer net een andere werkwijze dan zijn voorganger, waarbij handelingen in een andere volgorde of op een andere wijze worden uitgevoerd. Door intelligentie los te laten op deze gedragsanalyses is de technologie in staat verdacht gedrag dat wij nog niet eerder hebben gezien toch tijdig op te merken. Deze combinatie maakt het mogelijk onbekende ransomware in een zeer vroegtijdig stadium te herkennen en te stoppen, zonder dat hiervoor een virushandtekening in onze anti-virusdatabase beschikbaar hoeft te zijn.” Een belangrijk bijkomend voordeel is dat zodra onbekende ransomware bij één klant is gedetecteerd, alle andere gebruikers automatisch hiertegen zijn gewapend. “Zodra wij nieuwe ransomware hebben gedetecteerd wordt hiervoor een virushandtekening aangemaakt, die wordt opgeslagen in onze anti-virusdatabase. Deze virushandtekening is
vervolgens beschikbaar voor al onze klanten. Onbekende ransomware hoeft dus slechts één keer via gedragsanalyse te worden opgespoord, om al onze klanten hiertegen te kunnen wapenen.”
Slechts een stukje van de puzzel Ondanks dat anti-ransomware-technologie zeer effectief te werk gaat, is dergelijke technologie slechts één van de stappen die bedrijven zouden moeten nemen om zich te wapenen tegen ransomware. Zo verspreidt veel ransomware zich via kwetsbaarheden in verouderde software. Patch management is dan ook van cruciaal belang om ransomware buiten de deur te houden. Daarnaast kan ransomware worden verspreid via spearphishing, waarbij werknemers via een malafide e-mail die specifiek op hen is toegespitst worden overtuigd een malafide bijlage of URL te openen. Het creëren van bewustzijn onder personeel over dergelijke dreigingen is dan ook van groot belang in de strijd tegen ransomware of andere malware. Gaat het ondanks deze maatregelen toch fout? Dan kunt u vertrouwen op anti-ransomware-technologie om zeker te stellen dat ransomware tijdig wordt gedetecteerd en geen schade kan aanrichten. WOUTER HOEFFNAGEL is freelance journalist
Eddy Willems
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 13
VISIE
VOORSPELLINGEN VAN FORTIGUARD LABS OVER BEDREIGINGEN IN 2018
Cybercriminelen
werpen barrières op voor digitale transformatie Het bedrijfsleven en de maatschappij staan in 2018 voor de uitdaging om de digitale transformatie aan te gaan. Nieuwe technologische ontwikkelingen helpen daarbij, maar cybercriminelen maken daar ook handig gebruik van. “We verwachten daarom in 2018 nog veel meer destructieve cyberaanvallen die gebruik maken van automatisering, machine learning en artificial intelligence”, zegt Vincent Zeebregts, country manager Nederland bij Fortinet. Vincent Zeebregts, country manager Nederland bij Fortinet
Is digitale transformatie de volgende hype? Zeebregts: “Nee, het is de nieuwe realiteit. Het bedrijfsleven zet al lang IT-oplossingen in voor het verbeteren van bedrijfsactiviteiten en -processen en dienstverlening. Tot nog toe draaide dat vooral om automatisering. Nieuwe technologieën, zoals robotisering, machine learning en artificial intelligence, brengen dat echter op een hoger niveau. Waar IT nog veel data genereerde, kunnen deze nieuwe technologieën waarde halen uit de data. Dat leidt tot allerlei nieuwe, op data gebaseerde, bedrijfsmodellen en diensten. De digitale transformatie brengt bedrijven én de maatschappij naar de data-economie.” “De digitale transformatie moet hiervoor de kloof overbruggen tussen wat
mensen willen en wat bedrijven daadwerkelijk kunnen te bieden. Mensen verwachten tegenwoordig dat zij via een zeer divers aantal verbonden apparaten direct toegang hebben tot diensten en zelfs tot de meest gevoelige persoonsen bedrijfsinformatie. Dat leidt tot een wildgroei aan apparaten die toegang hebben tot deze gegevens en van ‘dingen’ die met internet en met elkaar verbonden zijn. De vele IoT-toepassingen in auto’s, huizen en kantoren en de opkomst van smart cities, zijn allemaal tekenen dat de digitale transformatie gaande is. Het moeten echter ook waarschuwingssignalen zijn. Al deze apparaten en applicaties geven cybercriminelen namelijk nog meer middelen om het vloeiende proces van de digitale transformatie te ontwrichten.” FortiGuard Labs, het onderzoeksteam van Fortinet, publiceerde onlangs een rapport over de verwachte bedreigingen van 2018. De onderzoekers gaan daarin in op de methoden en strategieën die cybercriminelen in de nabije toekomst zullen hanteren en de potentiële impact van cyberaanvallen op de digitale transformatie. Wat kunnen we volgend jaar verwachten?
Voorspelling: Het domme botnet wordt een slim hivenet “IT-systemen maken het nu al mogelijk om de data uit miljarden dynamische knooppunten in te zetten voor voorspellende analyses. Dat proces kent nu nog een aantal menselijke handelingen, maar de volgende stap is dat individuele knooppunten automatisch informatie genereren en met elkaar uitwisselen. Zoals het geheel van een zwerm bijen door onderlinge communicatie veel groter is dan de afzonderlijke delen, zijn slimme apparaten die autonoom met elkaar communiceren de basis van deze zogenoemde swarm (zwerm)technologie.” “Cybercriminelen zijn technisch minstens net zo goed onderlegd als andere hoogopgeleide IT-professionals. Het ligt daarom voor de hand dat zij ook intelligente, onderling verbonden apparaten gaan gebruiken. Door miljoenen apparaten te misbruiken als ‘swarmbots’ en deze te verzamelen in een bijenkorf, of ‘hive’, wordt het domme botnet een slim hivenet. Dat is vooral gevaarlijk omdat swarmbots geen menselijke tus14 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
senkomst nodig hebben. Ze praten autonoom met elkaar, komen in actie op basis van gedeelde, lokale informatie en voeren commando’s uit zonder dat een beheerder daar opdracht toe geeft. Ze kunnen ook op eigen houtje nieuwe ‘deelnemers’ aan de hive rekruteren en trainen. Daardoor groeit een hivenet exponentieel en kan het in één keer heel veel verschillende doelwitten treffen. Dat zal in 2018 leiden tot nog meer aanvallen.” “FortiGuard Labs registreerde eerder in het afgelopen jaar in één kwartaal 2,9 miljard communicatiepogingen van botnets. Dat geeft wel aan op welke schaal hivenets en swarmbots schade kunnen aanrichten.”
Voorspelling: Gijzeling van cloud providers is big business “Aanvallen met ransomware namen in het afgelopen jaar 35 keer in omvang toe, mede dankzij geautomatiseerde ransomworms. Het einde is echter nog lang niet in zicht. We verwachten dat de volgende slachtoffers van ransomware vooral cloud serviceproviders zullen zijn. Die markt is enorm lucratief voor cybercriminelen. Ten eerste omdat de marktwaarde van clouddiensten tot 2020 naar verwachting jaarlijks met 19% groeit tot 160 miljard dollar. Ten tweede omdat de ransomware niet alleen de cloud serviceprovider treft, maar ook al zijn klanten. Door die dreiging zijn gegijzelde cloud serviceproviders waarschijnlijk bereid om eerder, en meer, losgeld te betalen dan andere bedrijven.” “Clouddiensten zijn gecentraliseerd en vormen daardoor een gigantisch doelwit. In een cloudomgeving hebben cybercriminelen in één keer toegang tot gegevens van honderden bedrijven of kunnen ze met één enkele aanval een hele reeks bedrijven platleggen. Cybercriminelen infiltreren daarom liever een cloudomgeving, dan dat zij veel tijd, geld en energie steken in het hacken van individuele bedrijven.” “Het effect hiervan treft overigens niet alleen het bedrijfsleven. De overheid gebruikt ook clouddiensten, evenals net-, water- en wegbeheerders, ordebewakers en zorginstellingen. De veiligheid van burgers is afhankelijk van deze diensten. Als een cyberterrorist een grote cloud serviceprovider met
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 15
VISIE
AVG op het wegennet op digitale snelheid te kunnen reageren op vragen van gebruikers. Hierdoor werden deze infrastructuren verbonden met internet en kwamen zij open en bloot te liggen. Dat probeert men nu op te lossen met beveiligingsmaatregelen, maar het is zelden effectief om dat achteraf te doen.” “Veel beheerders van cruciale infrastructuren hebben het gevoel dat zij opeens in een wapenwedloop met cybercriminelen zijn beland. Zij worstelen met de vraag hoe zij nieuwe verbonden systemen kunnen realiseren die zowel voorzien in meer intelligentie als in sterkere beveiliging.”
veel klanten in deze segmenten platlegt, zijn de gevolgen voor de maatschappij rampzalig.” “Volgens FortiGuard Labs gaan cybercriminelen in 2018 artificial intelligence nog vaker inzetten voor aanvallen op verschillende fronten die kwetsbaarheden in de omgeving van cloud serviceproviders zoeken, vinden en misbruiken.”
Voorspelling: Nieuwe generatie polymorfe malware “Zoals gezegd zijn cybercriminelen er heel goed in om de nieuwste technologische ontwikkelingen snel aan te passen en in te zetten. Veel beveiligingsleveranciers versterken bijvoorbeeld hun sandboxoplossingen met machine learning om dreigingen die tot nog toe verborgen bleven aan het licht te brengen. Met artificial intelligence treffen deze oplossingen op een dynamische wijze de juiste beschermingsmaatregelen. Maar diezelfde aanpak kan ook de andere kant op werken. Cybercriminelen passen artificial intelligence toe voor het volledig automatisch in kaart brengen van netwerken, het vinden van aanvalsdoelen, het uitvoeren van virtuele PEN-testen en vervolgens voor het bouwen en lanceren van op maat gemaakte aanvallen.” “Dat is de volgende stap na de automatisering van malware. Zogenoemde polymorfe malware neemt automatisch een nieuwe vorm aan zodra het herkend wordt door beveiligingsoplossingen. Het kan hierdoor meer dan een miljoen virusvariaties per dag produceren. Tot nog toe maakte polymorfe malware
gebruik van vooraf gecodeerde algoritmes, waarbij weinig sprake was van raffinement of controle. De nieuwe generatie, of Next-gen, polymorfe malware is echter ontwikkeld rondom artificial intelligence. Het gaat hier dus niet om eenvoudige variaties op basis van een statisch algoritme, maar om het spontaan en volledig zelfstandig creëren van nieuwe aanvalsvormen op basis van wat de malware door machine learning leert van de beveiligingsoplossingen. Hierdoor kan het veel beter detectie voorkomen.” “FortiGuard Labs registreerde in 2017 in één kwartaal 62 miljoen malwaredetecties. Hierbij ging het om bijna 17.000 malwarevariaties van ruim 2.500 verschillende malwarefamilies. Next-gen polymorfe malware maakt de situatie er in het komende jaar alleen maar erger op.”
Voorspelling: Cruciale infrastructuren op de korrel “Netwerkinfrastructuren in de zorgsector, bij nutsvoorzieningen, het wegennet, de waterwerken, de wetshandhaving enzovoorts, zijn cruciaal voor orde en veiligheid in de maatschappij. Daarom lopen zij het grootste risico dat ze te maken krijgen met de nieuwste technische capaciteiten van cybercriminelen.” “Dergelijke cruciale infrastructuren zijn berucht om hun kwetsbaarheid. Dat komt doordat zij meestal ontworpen werden als een afgesloten en geïsoleerd geheel. Dat veranderde echter door de noodzaak om ook in de zorg, in de elektriciteits- en watervoorziening en
16 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
“Het antwoord is geavanceerde beveiligingssystemen op basis van samenwerkende beveiligingsoplossingen die over het hele netwerk reiken. Oftewel Security Fabric. Hierin werken verschillende leveranciers samen om de beste oplossingen te verenigen die de geavanceerde aanvalssystemen van cybercriminelen tegenhouden.”
Voorspellingen moeten leiden tot actie “De voorspellingen liegen er niet om. We zien al jaren hoe cybercriminelen de voordelen van IT ondermijnen. Met de digitale transformatie lopen zowel de risico’s op aanvallen als de impact daarvan nog hoger op. Organisaties moeten daarop reageren door van leveranciers te eisen dat zij meer en betere beveiligingsmaatregelen inbouwen in hun apparaten en applicaties.” “Beveiligingsoplossingen moeten zich ontwikkelen tot gespecialiseerde systemen die samen kunnen werken en dreigingsinformatie kunnen uitwisselen. Met een dynamisch aanpasbare en interactieve Security Fabric kan beveiliging op digitale snelheid werken. Dat betekent dat beveiligingsoplossingen automatisch reageren op incidenten en dat zij dankzij artificial intelligence en machine learning betere en autonome beslissingen kunnen nemen. Daarvoor moeten organisch gegroeide, hap-snaparchitecturen vervangen worden met een doelgericht ontwerp dat serieuze en aanhoudende aanvallen kan weerstaan. Organisaties die zich niet op 2018 voorbereiden, kunnen de voorspellingen voor 2019 misschien niet meer bijbenen.”
is vergeten aspect bij AVG De aankomende Algemene Verordening Gegevensbescherming (AVG) is voor veel organisaties een heet hangijzer. Maar in die race tegen de klok van compliance zien ze vaak e-mail over het hoofd. De privacywetgeving wordt met de komst van de General Data Protection Regulation (de Engelse term voor de AVG) flink aangescherpt. Bij overtreding hangt een boete van maximaal 20 miljoen euro of 4 procent van de jaaromzet boven het hoofd. Dat bezorgt menig organisatie slapeloze nachten. De benodigde maatregelen om compliance te bereiken, zijn divers. Veel bedrijven steken energie in bijvoorbeeld de uitvoering van data privacy impact assessments (DPIA’s), voor het in kaart brengen van risico’s bij projecten die daarom vragen. “Minder voor de hand liggende gevaren worden echter over het hoofd gezien”, betoogt Lisette Sens, Director Northern Europe bij Mimecast, een bedrijf gespecialiseerd in e-mailsecurity en archivering. E-mailsystemen en -archieven bevatten niet zelden enorme hoeveelheden persoonsgegevens. Zonder maatregelen liggen problemen met compliance op de loer.”
Onderschat De hoeveelheid privacygevoelige data wordt door veel organisaties schromelijk onderschat. Soms zijn zelfs bijzondere persoonsgegevens terug te vinden in e-mailarchieven en inboxen. “Denk hierbij aan een evenement, waarbij deelnemers per mail hun dieetwensen hebben doorgegeven. Deze antwoorden kunnen iets zeggen over iemands religie of gezondheid, en zijn dus bijzondere persoonsgegevens. Dergelijke data ontsnappen vaak aan de aandacht van complianceverantwoordelijken.” Een van de eisen van de AVG is het inzichtelijk maken van persoonsgegevens in e-mailsystemen. De reden hiervoor is dat organisaties ze dan beter tegen diefstal en verlies kunnen beschermen, bijvoorbeeld middels encryptie of een back-up. Toch is er volgens Sens nog een andere reden aanwijsbaar. “Betrokkenen hebben volgens artikel 15 van de AVG te
allen tijde het recht op volledige inzage in de verwerking van persoonsgegevens. Zonder dit inzicht is dat onmogelijk.”
Binnen een maand Inzageverzoeken moeten binnen een maand zijn afgehandeld. Bovendien mag de organisatie hiervoor geen onkosten rekenen. Daardoor bestaat volgens Sens het gevaar van een administratieve DDoS-aanval. “Het gevaar bestaat daarbij dat je zonder speciale maatregelen niet in staat bent om aan vele van dergelijke verzoeken gehoor te geven.” Daarnaast hebben betrokkenen recht op verwijdering van de persoonsgegevens wanneer zij dit verzoeken. Sens: “Dat betekent dat je de specifieke persoonsgegevens snel moet kunnen opsporen en isoleren, zodat je precies het juiste verwijdert. Dat geldt ook voor de persoonsgegevens in e-mail. Dat vereist een systeem dat e-mailsystemen en -archieven snel kan doorzoeken en taggen.” Het ontbreekt de meeste organisaties aan dergelijke systemen. Volgens onderzoek van Mimecast kost het opsporen van de juiste data organisaties gemiddeld zeven uur. Wie honderd verzoeken krijgt, is 700 uur verder. “Dat gaat gepaard met de nodige kosten”, waarschuwt Sens.
Zware dobber Veel bedrijven hebben er volgens Sens nog een zware dobber aan om hun e-mailomgeving helemaal klaar te stomen voor de AVG. Een mogelijke oplossing is het gebruik van een cloudgebaseerde e-maildienst. Toch moeten organisaties daarbij niet over een nacht ijs gaan. “Compliance bereik je niet door simpelweg alle e-mail in de cloud te plaatsen.” “Kies de clouddienst zorgvuldig”, adviseert Sens. “Een cloudmigratie moet er wel voor zorgen dat je persoonsgegevens snel kunt opvragen en verwijderen. Bovendien moet de dienst over de nodige securitymiddelen beschikken. Bijvoorbeeld om spearphishing te voorkomen en besmette bijlagen te onderscheppen. De AVG vereist immers ook dat je persoonsgegevens niet alleen inzichtelijk hebt, maar ook beschermt.” INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 17
VISIE
Trends 2018 DIA, Security en Service Ontwikkelingen in de IT zorgen komend jaar opnieuw voor grote veranderingen in de maatschappij en het bedrijfsleven. Acht experts van zeven grote ondernemingen (Citrix, Dell Boomi, Eaton, Ruckus, Solvinity, Thales en Winvision) buigen zich over drie belangrijke trends.
TREND 1 DIA: DATA, INTERNET OF THINGS & ARTIFICIAL INTELLIGENCE De opkomst van het Internet of Things geeft in 2018, dankzij de groeiende toepassing van sensortechnologie, een enorme boost aan de hoeveelheid gegenereerde data, stelt Geurt van Bennekom, Field Product Manager bij Eaton Benelux. “Om de grote hoeveelheden data te analyseren die door IoT overal beschikbaar komen, wordt Artificial Intelligence onmisbaar.” Het feit dat steeds meer data niet alleen verzameld maar ook geanalyseerd wordt, heeft gevolgen voor onze privacy. Mede dankzij de invoering van de Algemene Verordening Gegevensbescherming in mei, zal in 2018 onvermijdelijk veel over data en privacy gesproken worden. Daar staat tegenover dat juist data-analyse ons ook gaat helpen, onder meer om onze security te verbeteren. Diverse partijen profileren zich nu al steeds nadrukkelijker met security analytics. “Organisaties die over veel data kunnen beschikken, zijn uitstekend gepositioneerd om die data te gebruiken voor analyses”, zegt Andreas van Wingerden, Regional Manager Systems Engineering bij Citrix. “Artificial Intelligence en Machine Learning zijn in staat het onderscheid te maken tussen normaal en afwijkend gedrag. Dat is kennis die we kunnen toepassen om bijvoorbeeld onze veiligheid te vergroten, maar ook 18 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
de gebruikservaring te verbeteren en de productiviteit te verhogen.” Dankzij data-analyse wordt 2018 sowieso het jaar van de nieuwe businessmodellen. Maar ook ontwikkelingen die onder Machine Intelligence vallen, zoals machine learning, deep learning, cognitive analytics en robotics process automation, worden aangedreven door de drie-eenheid Data, IoT & AI. Voor een groeiend aantal leveranciers en gebruikers gaat deze ontwikkeling een onderscheidende factor worden die in 2018 kan leiden tot nieuwe of sterk verbeterde diensten. Tot slot is de verwachting dat in de retail het gebruik van IoT en data-analyse snel een grotere rol gaat spelen. Met name voor winkelcentra en grote steden (Smart Cities) biedt de combinatie Data, IoT & AI interessante kansen om zich te onderscheiden met nieuwe diensten en het serviceniveau te verhogen. Maar dan moet er nog wel een en ander gebeuren, meent Steve Johnson, Regional Director Noord-Europa voor Ruckus: “De zorg over onze digitale veiligheid is een van de grootste drempels bij de ontwikkeling en implementatie van een Smart City-concept. Zeker in Nederland en België zijn de zorgen over cybersecurity groot: 80 procent van de stadsbestuurders ziet dat als bottleneck.”
Andreas van Wingerden, Regional Manager Systems Engineering bij Citrix: “Cloud services en analysetools gaan ons helpen een groot deel van de complexiteit van IT weg te nemen.”
Mattieu Terlouw, Sales Manager bij de Power Quality Division van Eaton Benelux: “Blockchain technologie wordt uiteindelijk net zo belangrijk als water, elektriciteit en internet.”
Marcel Lucker, Commercieel Directeur Winvison. “Het lijkt me het beste als organisaties ook komend jaar niet in de stress schieten, maar planmatig en doordacht optreden.”
drijfsleven een groeiende bron van zorg wordt. Het ‘cyberaspect’ van het security-vraagstuk krijgt een nadrukkelijk fysieke component: naarmate onze leef-, werk- en productieomgeving meer gecontroleerd wordt door digitale instrumenten, wordt cybersecurity een zorg voor onze persoonlijke, fysieke veiligheid. De kans dat door cybercrime slachtoffers vallen neemt snel toe. Maar ook de kans op economische schade groeit voortdurend, door het stilvallen van operationele processen in openbare voorzieningen (bruggen, energiecentrales, OV) en commerciële productie (fabricage, distributie). Mattieu Terlouw, Sales Manager bij de Power Quality Division van Eaton Benelux: “De vraag hoe we onze energievoorziening kunnen bewaken naarmate die business digitaler
en decentraler wordt lijkt mij zeer relevant.” Daarmee lijkt 2018 eindelijk het jaar te worden waarin organisaties op zoek gaan naar de juiste balans tussen verantwoorde risico’s, weerbaarheid, gebruiksvriendelijkheid en kosten. “Het is een illusie te denken dat je cybercriminaliteit volledig buiten de deur houdt,” meent Marcel Lucker, Commercieel Directeur Winvison. “Het gaat er vooral om hoe je er mee omgaat. Doe wat je technologisch kan, heb een plan en beleid klaar en zorg ervoor dat medewerkers weten hoe ze risico’s voorkomen (en monitor en handhaaf dat). Dat geldt net zo goed voor AVG-compliancy - ook hier gaat het om technologie, beleid en gedrag. Het lijkt me het beste als organisaties ook komend jaar niet in de stress schieten, maar planmatig en doordacht optreden.”
Omdat het besef doordringt dat het voorkomen van cybercrime onbegonnen werk is, verschuift de focus voor cybersecurity in 2018 verder van preventie naar detectie, reactie en sanering - en in toenemende mate naar voorspelling (detection, response, remediation, prediction). Met name op het gebied van detectie en voorspelling ontstaan dankzij data-analyse en AI nieuwe kansen voor nieuwe spelers die over grote hoeveelheden relevante data kunnen beschikken. Tegelijkertijd waarschuwt René van Buuren, Directeur Cybersecurity bij Thales Nederland, dat Artificial Intelligence niet het wondermiddel is waarmee de dreiging uit cyberspace definitief onschadelijk wordt gemaakt. “AI is heel belangrijk om nieuwe dreigingen snel te ontdekken. Maar AI heeft ook beperkin-
René van Buuren, Directeur Cybersecurity bij Thales Nederland: “AI heeft ook beperkingen die alleen door menselijke ervaring kunnen worden opgevangen.”
Steve Johnson, Regional Director Noord-Europa voor Ruckus: “De zorg over onze digitale veiligheid is een van de grootste drempels.”
Geurt van Bennekom, Field Product Manager bij Eaton Benelux: “Artificial Intelligence wordt onmisbaar.”
TREND 2 SECURITY De kwetsbaarheid die ontstaat door onze groeiende afhankelijkheid van de digitale wereld wordt in 2018 nog sterker zichtbaar. Niet alleen in de vorm van nieuwe wet- en regelgeving (met name de invoering van de AVG in mei wordt een belangrijke testcase), maar ook omdat de kwetsbaarheid van de publieke sector en de operationele continuïteit van het be-
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 19
VISIE gen die alleen door menselijke ervaring kunnen worden opgevangen.” Volgens Van Buuren is het snel detecteren van mogelijke dreigingen slechts het begin van een goede beveiliging. “Het is veel belangrijker te bepalen wat de mogelijke gevolgen van een aanval zijn voor je business (omzetverlies; reputatieschade; verlies van intellectueel eigendom etc.), en die gevolgen mee te calculeren in je reactie. De tijd waarin je adequaat kunt reageren op een dreiging is veel belangrijker dan alleen de tijd die nodig is om de dreiging te detecteren.” In 2018 zien we de opkomst van de Trust Economy: vertrouwen wordt een van de belangrijkste onderscheidende factoren in een economie die steeds afhankelijker wordt van digitale diensten. Aantoonbare security inspanningen worden niet alleen belangrijk voor compliancy, maar ook als concurrentiefactor. In de strijd tegen fraude en misdaad worden identiteit en uniciteit cruciale begrippen. Kunnen aantonen dat een gebruiker werkelijk is wie hij zegt te zijn, is essentieel voor de betrouwbaarheid van en ons vertrouwen in onze digitale systemen. In het verlengde hiervan zal in 2018 meer worden geëxperimenteerd met bijvoorbeeld blockchain-toepassingen, biometrie en andere middelen en methoden om identiteit en uniciteit te kunnen garanderen. Terlouw (Eaton) denkt dat met name blockchain technologie een belangrijke rol gaat spelen om dat vertrouwen te bewaren. “Blockchain technologie heeft een fundamentele connectie met cybersecurity en zal uiteindelijk net zo belangrijk zijn als water, elektriciteit en internet.”
TREND 3 SERVICE EN ONTZORGEN 2018 wordt het jaar waarin een groot beroep wordt gedaan op IT om de groeiende complexiteit van technologie terug te dringen. Terwijl de afhankelijkheid van digitale systemen toeneemt, groeit ook de vraag om eenvoud. Dat vraagt van IT een andere manier van leveren, en daarmee een nieuwe benadering. “Niemand - op een enkele ICT-er na wordt vrolijk van complexiteit”, meent Marcel Lucker (Winvision). “Voor een ICT-dienstverlener moet ontzorgen core-business zijn. Tegelijk wil je wel samen met de opdrachtgever verder optrekken in digitale transformatie. In dit
ICT en Security Trainingen
Max van Eeghen, Regional Sales & Business Development Director bij Dell Boomi: “Integration Platform as a Service (iPaaS) blijft het snelst groeiende onderdeel van de integratiemarkt.”
Bas Demmink, Technical Commercial Director bij Solvinity: “Zoek hulp bij een ervaren partner, anders komt er van de voorgespiegelde voordelen van de cloud alsnog niet veel terecht.”
cloud-tijdperk staat immers niets meer stil. Dat betekent dat je organisaties meeneemt in de ontwikkelingen en de voordelen laat zien van nieuwe technologie. Er komt steeds meer nadruk te liggen op de adoptie van technologie op alle niveaus in de organisatie. Kernvraag is: hoe haal je het beste uit de technologie voor je organisatie?” De motor voor ontzorging en het terugdringen van complexiteit is een combinatie van open source, open standaarden, virtualisatie, containerization, automatisering, een vrije koppeling tussen bestaande en nieuwe platformen, cloud first en software defined. Het zijn allemaal ontwikkelingen die gericht zijn op hogere flexibiliteit, efficiency, lagere hardware- en personeelskosten, maar vooral met als doel IT-oplossingen soepeler, betrouwbaarder en effectiever te maken. Volgens Max van Eeghen, Regional Sales & Business Development Director bij Dell Boomi, wordt 2018 voor grote organisaties met name het jaar van de integratie, waarbij nieuwe cloudtechnologie geïntegreerd wordt met (lokale) legacysystemen. “Wie het applicatielandschap wil integreren en moderniseren, moet wel de integratietechnologie van vandaag en morgen gebruiken. En ook die vind je (uiteraard) in de cloud. Niet voor niets is integration Platform as a Service (iPaaS) het snelst groeiende onderdeel van de integratiemarkt en dat zal ook komende jaren zo blijven.” In 2018 verwachten organisaties en gebruikers van hun IT-oplossingen hoge beschikbaarheid, betrouwbaarheid, stabiliteit en schaalbaarheid in zowel capaciteit als snelheid. Maar ook cloud computing is daarin niet automatisch
de oplossing, benadrukt Bas Demmink, Technical Commercial Director bij Solvinity. “We zien steeds meer bedrijven die allerlei verschillende cloud-contracten hebben lopen, waarvoor steeds apart wordt afgerekend - en al die diensten moeten dan ook nog eens effectief en veilig samenwerken. Als je dat onder controle wilt houden, kun je maar beter hulp zoeken bij een ervaren partner die weet hoe dat soort diensten beheerd moeten worden, anders komt er van de voorgespiegelde voordelen van de cloud alsnog niet veel terecht.” Organisaties willen minder IT zien en meer oplossingen; meer inzicht en meer controle, maar alleen in en over relevante zaken. Samenwerking met gespecialiseerde partners die managed services aanbieden wordt dan ook een belangrijke trend om in 2018 zorgen over IT weg te nemen. Of het nu gaat om cloud, security of bijvoorbeeld data-analyse: IT zal steeds meer “as a service” worden afgenomen. Organisaties concentreren zich op hun kerntaken en besteden specialistische taken uit aan externe experts, waarbij de interne IT-afdeling vooral de verantwoordelijkheid krijgt ervoor te zorgen dat die diensten optimaal het eigen businessmodel ondersteunen. Andreas van Wingerden (Citrix) ziet het als ontzorging. “Cloud services en analysetools gaan ons helpen een groot deel van de complexiteit van IT weg te nemen. In 2018 verbetert de gebruikservaring en neemt de productiviteit toe – en als we het slim aanpakken, gaan we ook nog verbeteringen zien in onze veiligheid.”
20 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
NIEUW! Privacy DPO-Ready trainingen
TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiliging- en cybersecurity trainingen. Security professionals kunnen bij TSTC terecht voor bijna vijftig security trainingen op zowel technisch als tactisch- strategisch gebied. Naast alle bekende internationaal erkende titels is het ook mogelijk diepgang te zoeken in actuele security thema’s.
VOLKERT DEEN
www.tstc.nl
Top 10 Security trainingen CEH • OSCP • CCSP • CCFP • CISSP • CJCISO • CRISC Privacy CIPP/E-CIPM • CISM • ISO 27001/27005/3100
Recognition for Best ATC’s and CEI’s
of t h e Ye a ATC r
Instructor
ident’s Achievemen Pres Award t
2016
2016
2016
TSTC Accredited Training Center of the Year 2016
Circle of Excellence Instructor 2016
Want security start bij mensen!!
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 21
STRATEGIE
DE IMPACT VAN DRONES OP SECURITY Het gevaar van drones wordt vaak onderschat. De onbemande vaak minuscule vliegtuigen kunnen ongemerkt bedrijfsterreinen binnenvliegen, waar ze foto’s en video’s maken of gesprekken afluisteren. Cyber criminelen kunnen met de verkregen informatie eenvoudig inbreken in een goed beveiligd bedrijfsnetwerk of bedrijfsgeheimen stelen. Het Magenta Drone Defense Shield van TSystems steekt daar een stokje voor. Het schild speurt actief naar drones en kan eventuele indringers realtime detecteren. Gebruikers ontvangen vervolgens direct een melding, waardoor zij passende tegenmaatregelen kunnen nemen. Het schild kan bijvoorbeeld de verbinding tussen de piloot en de drone verstoren. Of dankzij een koppeling met een gebouwbeheersysteem automatisch een voorgeprogrammeerde ‘noodprocedure’ in werking laten treden. Denk hierbij aan het sluiten van ramen, gordijnen en zonwering. Zo beschermen bedrijven zich tegen aanvallen op hun data.
22 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 23
INTERVIEW bestaan over certificering. Bijvoorbeeld over de kosten, maar ook over de rol die de certificerende instantie nu precies vervult. Beperkt deze organisatie zich puur tot het certificeren? Of geeft men ook advies en helpt men veranderingen door te voeren?
Proactief aanpakken
KLANTEN EN TOELEVERANCIERS VRAGEN ER IN TOENEMEND MATE OM, ZEGT ROB JANSEN (DNV GL)
‘Certificering van cruciaal belang voor informatiebeveiliging’
“Natuurlijk weet iedere business manager dat informatiebeveiliging van cruciaal belang is voor zijn of haar organisatie”, zegt Rob Jansen, Lead Auditor bij DNV GL - Business Assurance. “Toch lukt het vaak niet om tot een systematische aanpak te komen. Ik denk dat daar misschien nog wel de grootste waarde van een certificering op basis van ISO 27001 en NEN 7510 zit: het ‘dwingt’ een organisatie als het ware om structuur en systematiek aan te brengen in de informatiebeveiliging.”
Een systeem voor informatiebeveiliging opzetten op basis van een formele norm geeft structuur aan de aanpak die een organisatie op het gebied van IT-security toepast, meent Rob Jansen. Hij is werkzaam bij DNV GL. Deze organisatie verzorgt certificering en trainingen op basis van onder andere ISO 27001 en NEN 7510. 24 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
Concrete maatregelen “Deze standaarden zijn heel concreet. Ze geven een reeks van ‘beheersmaatregelen’ aan die de organisatie helpen om grip te krijgen op risico’s”, vertelt Jansen. “Ook helpen deze normen om een goede beoordeling en analyse van deze risico’s tot stand te brengen. Een certificering is hierbij een belangrijk hulpmiddel. Het is het bewijs dat de organisatie over informatiebeveiliging heeft nagedacht en de beheersmaatregelen goed heeft geïmplementeerd. Het certificaat geeft dus aan dat er binnen de organisatie sprake is van een goed functionerend managementsysteem voor informatiebeveiliging. Daarnaast geeft een certificering de organisatie de mogelijkheid om met regelmaat vast te stellen in hoeverre men nog altijd een goede grip op de risico’s heeft.” Steeds meer organisaties kiezen voor een formele certificering op basis van ISO 27001 en NEN 7510. Toch zien we in de praktijk dat er nog volop vragen
“Veel business managers zijn zich de afgelopen jaren bewust geworden van het belang van informatiebeveiliging. Een belangrijke reden daarvoor is dat de impact van security incidenten steeds hoger uitvallen”, legt Jansen uit. “Het is dan ook logisch dat men is gaan nadenken over de vraag hoe men de impact van deze incidenten kan terugdringen. Dan blijkt dat proactief een systeem van informatiebeveiliging opzetten een efficiënte manier van werken is doordat de impact van incidenten sterk kan worden beperkt en als het onverhoopt toch mis gaat, erover nagedacht is hoe men dient te reageren.” Jansen schaart onder de impact van een beveiligingsincident overigens niet alleen de financiële kosten, zoals uitgaven voor de extra inzet van medewerkers of externe deskundigen en bijvoorbeeld eventuele extra softwarelicenties en hardware. Ook het verlies van intellectual property en reputatieschade spelen een belangrijke rol. De kosten van het opzetten en certificeren van een managementsysteem voor informatiebeveiliging vallen hierbij in het niet, meent hij.
Duidelijke rol De rol die DNV GL bij het opzetten van dit soort managementsystemen kan spelen, is volstrekt duidelijk, zegt Jansen: “Wij beoordelen op verzoek van een organisatie de aanpak die men heeft gekozen, evenals de implementatie van de beheersmaatregelen die in ISO 27001 en NEN 7510 zijn gedefinieerd. Geven wij vervolgens een certificaat af, dan betekent dit dat wij hebben vastgesteld dat men voldoet aan de eisen die in de norm zijn vastgelegd.” Het kan natuurlijk gebeuren dat gedurende dit beoordelingstraject enkele verbeterpunten naar voren komen. In dat geval overhandigen wij deze lijst met aandachtspunten aan de organisatie waarvoor wij de beoordeling hebben gedaan. Het is echter aan die organisatie zelf om deze punten aan te pakken.
Dat kunnen zij zelfstandig doen of in samenwerking met een andere partij. Wij als onafhankelijke certificerende instantie spelen hierbij echter geen rol.”
Waarom is accreditatie belangrijk? In feite mag elke instantie met een onafhankelijke toezichthoudende commissie van deskundigen organisaties toetsen en daarvan een certificaat afgeven. De vraag is wat de waarde is van zo’n toetsing. Accreditatie is belangrijk omdat de Nederlandse Raad voor Accreditatie (RvA) internationaal erkend is als onpartijdig en onafhankelijk toezichthouder van internationale normen, waarbij vooral gelet wordt op de deskundigheid, onpartijdigheid, onafhankelijkheid en verbetercultuur van een certificerende organisatie. DNV GL is bevoegd om het accreditatiemerk op certificaten te hanteren, waardoor de klant - maar ook zijn klanten - het vertrouwen heeft dat de toetsing juist heeft plaats gevonden met het ultieme doel om internationale handel te bevorderen. Een certificaat op basis van ISO 27001 en NEN 7510 is drie jaar geldig. Hierbij is het wel goed om te weten dat er een maal per jaar een periodieke audit dient te worden gedaan om vast te stellen in hoeverre het managementsysteem voor informatiebeveiliging van de gecertificeerde organisatie nog steeds naar behoren functioneert. “Veel organisaties zijn continu in beweging, waarbij processen veranderen, medewerkers andere taken en verantwoordelijkheden krijgen, noem maar op. Het is daarom goed om periodiek vast te stellen of het managementsysteem nog altijd goed functioneert.”
Certificering helpt bij AVG DNV GL heeft inmiddels enkele honderden organisaties in Nederland gecertificeerd op basis van ISO 27001 en NEN 7510. Jansen: “In eerste instantie zagen we vooral belangstelling vanuit de ICT-sector zelf. Vaak combineerde men dit met een kwaliteitssysteem op basis van ISO 9001. Inmiddels zien we een sterk toegenomen belangstelling voor certificering in vrijwel iedere branche. Interessant is ook om te zien dat voorheen vaak werd gedacht dat ISO 27001 en NEN 7510 alleen relevant waren voor grote organisaties, tegenwoordig certificeren wij ook steeds meer bedrijven uit het MKB.”
Certificeren in tien stappen Om tot een certificering op basis van NEN 7510 te komen, doorloopt een organisatie een proces van tien stappen. Interessant genoeg maakt het hierbij niet uit of deze organisatie nu heel klein is (zeg: 10 tot 15 mensen) of juist heel groot. Dit zijn de tien stappen: Stap 1 - Maak kennis met NEN 7510 en ISO 27001 Stap 2 - Zorg voor ondersteuning vanuit het management Stap 3 - Bepaal het beleid voor informatiebeveiliging Stap 4 - Stel een methode voor risicobeoordeling vast Stap 5 - Identificeer, analyseer en beoordeel risico’s Stap 6 - Bepaal de beheersmaatregelen en de doelstellingen voor de risicobehandeling Stap 7 - Maak het definitieve implementatieplan Stap 8 - Train de medewerkers en wijs middelen toe Stap 9 - Voer interne audits, beoordelingen en verbeteringen uit Stap 10 - Start een certificeringstraject
Een laatste punt dat Jansen wil aanstippen, is de relatie tussen ISO 27001 en GDPR ofwel de Algemene Verordening Gegevensbescherming (AVG). “Dat is voor veel organisaties momenteel een belangrijk punt van aandacht. ISO 27001 stelt dat de organisatie moet voldoen aan alle relevante wet- en regelgeving. Dus ook de Algemene Verordening Gegevensbescherming. Een organisatie die zichzelf wil laten certificeren voor een managementsysteem voor informatiebeveiliging zet daarmee dus ook een hele belangrijk stap richting het voldoen aan de wet- en regelgeving omtrent AVG.” VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 25
STRATEGIE Hoe kunt u zorgen dat u aan de vereisten van de GDPR voldoet?
Hoe zorgt u dat uw
gegevens veilig genoeg zijn voor GDPR (AVG)?
U bent waarschijnlijk al bekend met de GDPR (AVG), de Algemene Verordening Gegevensbescherming. De wet wordt in mei 2018 effectief en introduceert zowel nieuwe rechten voor EU-burgers als nieuwe verplichtingen voor bedrijven die de persoonlijke informatie van gebruikers verzamelen, gebruiken of verwerken.
•
•
Hoe beïnvloedt de GDPR uw organisatie? De GDPR omvat een verscheidenheid aan nieuwe mandaten voor gegevenscontrolemechanismen (bedrijven die persoonlijke informatie verzamelen over EU-burgers) en gegevensverwerkers (bedrijven die gegevens opslaan, verzenden of verwerken namens gegevenscontrollers): • Bedrijven moeten actieve toestemming verkrijgen voordat ze persoonlijke gegevens verzamelen of verwerken • Individuen kunnen vragen dat hun persoonlijke gegevens worden verwijderd uit de database 26 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
•
•
van een bedrijf en kunnen kopieën van hun gegevens opvragen in een draagbaar formaat Bedrijven moeten de autoriteiten en de getroffen personen binnen 72 uur na een gegevensinbreuk op de hoogte brengen, tenzij de besmette gegevens worden beschermd door codering of soortgelijke maatregelen Elk bedrijf moet een functionaris voor gegevensbescherming aanstellen om de naleving van de GDPR toe te zien Bedrijven moeten gegevensbescherming in hun producten en diensten bouwen ‘door ontwerp en als standaard’ Sancties voor niet-naleving kunnen ernstig zijn. Toezichthoudende autoriteiten hebben de bevoegdheid om organisaties maximaal 4% of 20 miljoen euro van hun jaarlijkse inkomsten te beboeten en kunnen na een overtreding zwaardere audit- en rapportageverplichtingen opleggen.
De Smartcrypt technologie combineert krachtige codering, vereenvoudigt sleutelbeheer en intelligente gegevensontdekking om bedrijfsbreed controle over gevoelige gegevens mogelijk te maken. Deze technologie helpt organisaties om aan hun GDPR-verplichtingen te voldoen en tegelijkertijd gegevens te beschermen tegen interne en externe cyberbedreigingen. • Beveiliging van gegevensverwerking (artikel 32): Organisaties moeten kunnen aantonen dat ze passende technische en organisatorische maatregelen hebben genomen om een beveiligingsniveau te waarborgen dat past bij het risico, inclusief versleuteling van persoonlijke gegevens. • Meldingen over gegevensinbreuken (artikel 34): Organisaties moeten toezichthoudende autoriteiten en betrokken personen binnen 72 uur na een datalek melden. Organisaties zijn echter vrijgesteld van de vereiste om personen op de hoogte te stellen als de gestolen gegevens worden beveiligd. • Gegevensbescherming door ontwerp en door standaardinstellingen (artikel 25): Organisaties moeten intern beleid aannemen en maatregelen uitvoeren die met name voldoen aan de principes van gegevensbescherming door ontwerp en standaardinstellingen van gegevensbescherming. Deze principes moeten worden overwogen bij het ontwikkelen, ontwerpen en gebruiken van toepassingen, diensten en producten. De SmartCrypt technologie past sterke codering (encryptie) toe. Deze codering blijft bij de gegevens, zelfs wanneer deze worden gedeeld of opgeslagen buiten het netwerk van de organisatie. Dit zorgt ervoor dat gegevens ontoegankelijk blijven voor onbevoegde gebruikers, zelfs als ze worden gestolen of misbruikt. Met vereenvoudigd sleutelbeheer en platformonafhankelijke bediening kan SmartCrypt er voor zorgen dat al uw gegevens binnen uw bedrijf voorzien zijn van encryptie waar nodig en onafhankelijk van het IT-platform waarop ze staan. In tegenstelling tot oplossingen die alleen gegevens versleutelen wanneer
deze niet in gebruik zijn, beschermt SmartCrypt gegevens overal waar deze worden gebruikt, gedeeld en opgeslagen. De Data Discovery- en encryptiefunctionaliteit van Smartcrypt helpt organisaties bij het vinden en beschermen van gevoelige gegevens zodra deze zijn aangemaakt of opgeslagen.
Wat is Data Discovery? Niet te verwarren met e-discovery (het proces van het vinden van elektronische informatie voor gebruik in rechtszaken), is Data Discovery het proces van het scannen van bestanden en mappen om te bepalen welke locaties gevoelige informatie bevatten. Gevoelige informatie kan elke vorm van gegevens zijn - van persoonlijke gezondheidsinformatie, tot intellectueel eigendom en tot e-maillijsten van klanten - die een organisatie uiteraard moet beschermen.
Hoe werkt SmartCrypt Data Discovery? Het proces voor het vinden van gegevens begint met het definiëren van wat gevoelige gegevens precies zijn. Organisaties moeten bepalen wat zij als ‘gevoelig’ beschouwen door hun zakelijke behoeften te evalueren. De definities moeten alle soorten gegevens omvatten die worden gedekt door de GDPR en andere sectormandaten.
Nadat een bedrijf heeft besloten welke gevoelige informatie moet worden gedefinieerd, is de volgende keuze om te kijken waar er gezocht moet worden naar de data - zijn dit gebruikersapparaten, netwerklocaties, uitgaande e-mail of al het voorgaande - en wat te doen met de gevoelige gegevens nadat deze zijn geïdentificeerd. Die laatste stap is waar typische hulpprogramma’s voor het ontdekken van gegevens tekortschieten. De meeste discovery-producten kunnen rapporteren over waar de gevoelige gegevens zich bevinden en sommige kunnen de mogelijkheid bieden om gegevens te verwijderen zodra deze zijn geïdentificeerd, maar meer kunnen ze niet. SmartCrypt Data Discovery kan zoeken naar de gegevens en deze voorzien van encryptie. Als module van Smartcrypt is het mogelijk de data real time te versleutelen.
Hoe nu verder? Wij bij SRC Secure Solutions kunnen u verder helpen - zowel juridisch als technologisch - hoe u het best uw gegevens kunt beschermen en met welke middelen. Voor meer informatie kunt u terecht op srcsecuresolutions.eu. JAMES CHENEY, SRC Secure Solutions BV
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 27
ONDERZOEK “De kern van veel voorspellingen draait om de eis dat inzicht nodig is op het snijvlak van mensen, kritische data en intellectueel eigendom”, zegt dr. Richard Ford, Chief Scientist van Forcepoint. “Door cybergedrag en -intenties in het hart van de beveiliging te plaatsen, heeft de industrie de kans om de snelle veranderingen in het dreigingslandschap bij te benen.” Forcepoint is van mening dat de beveiligingsindustrie zich op de verkeerde dingen heeft gericht. De traditionele netwerkgrenzen zijn aan het verdwijnen of zijn verouderd. In plaats van het bouwen van nog weer hogere muren is meer inzicht nodig. Inzicht in hoe, wanneer en waarom mensen interacteren met kritische data, ongeacht de locatie van die data. “Wij weten dat traditionele datalekken en ransomware focusgebieden blijven voor probleemoplossing en -preventie. Echter, gedragsgerichte risico’s zijn achterliggend aan tal van security-incidenten, variërend van onbedoelde fouten tot en met grootschalige data-inbreuken”, aldus Ford. “Elke benadering die mensen tegenover security stelt, is gebaseerd op foute veronderstellingen. Gebruikers hebben het potentieel om op het ene moment onbedoeld eigen systemen te compromitteren en op het volgende moment een bron van innovatie te zijn. Het gaat erom inzicht te hebben in de menselijke factor voor wat betreft risico’s.”
Het debat over privacy wordt sterker
VAN ONTWIKKELINGEN OP HET GEBIED VAN RANSOMWARE TOT EN MET DE IMPACT VAN PRIVACY OP BEDRIJVEN
Forcepoint
publiceert Security Predictions-rapport 2018 Beveiligingsexpert Forcepoint heeft zijn Security Predictions-rapport 2018 gepubliceerd. Hierin bieden beveiligingsdeskundigen en -onderzoekers achtergrondinformatie en waarschuwingen waarmee beveiligingsprofessionals de komende maanden hun voordeel kunnen doen.
28 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
Ondanks toenemende investeringen in defensieve technologieën blijven beveiligingsincidenten zich voordoen. Terwijl malware zich steeds verder ontwikkelt, brengen bedrijven kritische data naar de cloud en zoeken cybercriminelen steeds nieuwe aanvalsmiddelen. Het rapport helpt professionals zich tegen deze achtergrond voor te bereiden op een veranderend landschap.
De perceptie van privacy is in de afgelopen jaren veranderd. Het verschil tussen persoonlijk en publiek nam af. Er zijn spanningen tussen individuele rechten en ‘security for all’ nu juridische, technologische, maatschappelijke en politieke drivers zorgen voor wat Forcepoint de ‘Privacy Wars’ noemt. Hierbij staan technologen tegenover de man en vrouw in de straat en zijn er stevige discussies binnen de overheid, op het werk en thuis.
Data-aggregaten: een goudmijn die ontdekt moet worden Het incident bij Equifax zorgde voor een schokgolf in de beveiligingsindustrie. De volledige impact is nog steeds niet duidelijk. Forcepoint denkt dat dit de eerste is in een reeks van inbraken in gehoste bedrijfsapplicaties met klanten verkoopinformatie of beheerinformatie voor wereldwijde marketingcampagnes. Aanvallers zoeken de weg van de minste weerstand en als zij een zwakke plek zien in een systeem met interessante persoonlijke data, dan zullen zij daar misbruik van maken.
‘Voorspelling: een dataaggregraat zal in 2018 het slachtoffer zijn van een inbraak waarbij een bekende aanvalsmethode is gebruikt’ De opkomst van cryptovalutahacks Nu cryptovaluta in opkomst zijn, beschikken cybercriminelen over weer een nieuw aanvalsmiddel. Forcepoint voorspelt dat de systemen voor deze valuta steeds meer een doelwit zullen worden. Wij verwachten dat er steeds meer malware zal opduiken, die zich richt op de persoonlijke gegevens van gebruikers van cryptovalutamarktplaatsen. Cybercriminelen zullen zich richten op kwetsbaarheden in systemen die gebaseerd zijn op blockchain-technologieën.
‘Voorspelling: aanvallers gaan zich richten op kwetsbaarheden in systemen die gebruikmaken van blockchain-technologie’
Disruption of Things: het gaat gebeuren De grootschalige adoptie van Internet of Things devices in zakelijke en thuisomgevingen gekoppeld aan de omstandigheid dat veel devices makkelijk toegankelijk zijn en niet streng gemonitord worden, maakt ze een gewild doelwit voor cybercriminelen. Zij kunnen de devices gijzelen of gebruiken om aanwezig te zijn op het netwerk. Hoewel malware op deze devices mogelijk is, lijkt de kans daarop in 2018 niet erg groot. Een nieuwe bedreiging in 2018 is wel de ‘disruption of things’. Aangezien het Internet of Things disruptieve mogelijkheden biedt en toegang geeft tot grote hoeveelheden kritische data, zullen we aanvallen op dit gebied zien en wellicht ook de integratie van een man-in-themiddle-aanval (MITM).
‘Voorspelling: het IoT zal niet gegijzeld worden met ransomware, maar het doelwit zijn van grootschalige disruptie’
‘Voorspelling: in 2018 zal een breed en gepolariseerd privacydebat ontstaan, niet alleen binnen de overheid, maar ook onder burgers’
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 29
STRATEGIE extern toegankelijke API’s zorgvuldig te controleren en vast te stellen welke informatie ze openbaar kunnen maken en op welke interne systemen ze invloed hebben.
API gateways In plaats van te proberen een interne API te beveiligen, is het in veel gevallen makkelijker voor organisaties om speciaal opgeschoonde API’s voor extern gebruik te construeren die voorzien zijn van beveiligingsmaatregelen, zoals rate-limiting, gedetailleerde logging en circuit-breaker patronen.
Veilig werken
met microservices -
mits u deze maatregelen neemt Owen Garrett van NGINX bespreekt in dit artikel microservices en de mogelijke security-risico’s waarmee rekening moet worden gehouden. Vervolgens geeft hij mogelijkheden om de risico’s te minimaliseren.
gefaseerd over te stappen naar het werken met microservices. Andere bedrijven hebben ineens meerdere microservices voor nieuwe applicaties omarmd.
Groter risico Microservices kunnen van application development en delivery een snel proces maken. Dat is onder andere mogelijk doordat microservices een groot, monolitisch systeem ontkoppelen in diverse groepen. De microservices-architectuur past goed bij agile ontwikkelingsstrategieën. Daarnaast sluiten microservices goed aan bij API-gedreven situaties. IT-afdelingen die gebruik maken van DevOps kunnen er goed mee uit de voeten. Bedrijven als Netflix, Uber en Lyft hebben de overstap naar microservices al gemaakt. Soms door 30 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
Bij microservices zien we andere aandachtspunten met betrekking tot beveiliging dan bij monolitische systemen. Het is belangrijk te weten waar je op moet letten, voordat je met microservices aan de slag gaat. Op microservices gebaseerde applicaties zijn heel anders dan applicaties die in één enkel groot monolitisch systeem zijn gebouwd. Kort na het opdelen van een applicatie in individuele diensten, realiseren organisaties zich vaak dat dit mogelijk riskante neveneffecten kan hebben. Zij kunnen hun trusted clients met behulp van de API’s en Web Endpoints directe toegang tot interne gegevens en diensten
geven. Maar deze toegang creëert ook een grotere kans op potentiële aanvallen. En moet dus goed beveiligd zijn.
Lastiger dan ‘gewoon’ webverkeer Het beveiligen van API’s is echter lastiger dan het beveiligen van normaal webverkeer. Microservices-applicaties maken zeer veel gebruik van API’s voor interne communicatie. Hierdoor is het zinvol sommige van deze API’s extern vrij te geven en te vertrouwen op Rich Javascript-clients om webpagina’s en weergaven op het apparaat van de client te genereren. Als gevolg hiervan is het beveiligen van API’s lastiger dan het beveiligen van normaal webverkeer. Het beveiligen van API’s is in veel opzichten makkelijker dan het beveiligen van complexe HTML-transacties die via HTTP-verkeer worden overgebracht. API’s zijn meer gestructureerd, zijn voorzien van goed gedefinieerde authenticatie- en autorisatiemaatregelen, en hebben goed gedefinieerde en gemakkelijk te begrijpen request en respons formats. API’s kunnen echter een veel bredere functionaliteit bieden en gevoelige interne informatie openbaar maken. Het is daarom van essentieel belang alle
Wie een of meer API’s voor externe toegang beschikbaar maakt, doet er goed aan API gateways te overwegen. In plaats van een client die direct via het publieke eindpunt een request indient bij elke microservice, maakt een bepaalde vorm van een API gateway één toegangspunt in het systeem mogelijk. Dit hoeft overigens niet een gespecialiseerd apparaat te zijn. Voor veel use cases kan bijvoorbeeld ook een intelligente omgekeerde proxy worden gebruikt die een organisatie in staat stelt API-verzoeken te inspecteren, te verifiëren en te ‘rate-limiten’. Hierbij treden ze als gatekeeper op. Ze staan alleen verzoeken toe die aan de juiste criteria voldoen. Alle transacties worden bovendien gelogd. Organisaties moeten ervoor zorgen dat alle API-verkeer is gecodeerd met behulp van TLS (Transport Layer Security) en dat elke API-client wordt geverifieerd met zowel een applicatie-identificatie (een API-sleutel of een ander geheime gedeelde sleutel) als een gebruikersidentificatie (een SSL-certificaat of een OAuth-token). Ook voor anonieme API-requests moet gelden dat ze een unieke gebruikersidentificatie gebruiken, rate limits toepassen en verkeer loggen.
‘Microservices hebben een groter risico op aanvallen dan monolitische systemen’
organisaties voor de gezamenlijke interne communicatie TLS (Transport Layer Security) als standaard nemen. Daarnaast is het verstandig om vanaf de start certificate validation in de architectuur op te nemen van zowel clients en servers. De impact die dit heeft op de performance kan door proxy-encrypties geminimaliseerd worden.
Goed voorbereiden Om het interne dataverkeer te beveiligen kunnen organisaties verder gebruik maken van SSL-encryptie voor al het dataverkeer. Dat kan bijvoorbeeld met behulp van een PKI (Public Key Infrastructure). Het is heel belangrijk dat organisaties, voordat ze met microservices aan de slag gaan, zich voorbereiden op aanpassingen qua IT-beveiliging in zo’n nieuwe architectuur. Als je dit van tevoren goed inregelt kun je je voordeel doen van de flexibiliteit en schaalbaarheid van microservices. OWEN GARRETT is Head of Products bij NGINX
Interne security en microservices Vergeet de interne security van microservices applicaties niet. Het is daarnaast ook belangrijk andere componenten van de applicatie kritisch te bekijken. Ook al zijn ze vandaag compleet te vertrouwen, dan geeft dat nog geen garanties voor de toekomst. Je weet nu immers niet hoe sterk het aantal clients van je applicatie op termijn zal toenemen. Daarom is het beter dat
Owen Garrett
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 31
VISIE
Bij security is angst
een slechte raadgever
Op 31 oktober jongstleden presenteerde ik de visie van Pb7 Research op IT-security tijdens de Amsterdam Security Expo. Tussen alle slimme slotenmakers en fysieke beveiligers deed ik mijn bijdrage aan het slaan van de brug tussen fysieke en IT-beveiliging, het thema van dit jaar. Dat deed ik niet door de bedreigingen te benadrukken, maar door vooral te kijken naar de waarde van datgene dat organisaties willen en ook moeten beschermen. Pas als duidelijk wordt waarom iets beschermd moet worden, kun je bepalen hoe je het wil beveiligen.
32 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
Digitale afhankelijkheden In een wereld waar digitale transformatie hoog op de agenda staat, worden organisaties in snel tempo afhankelijker van digitale processen en ontwikkelen ze steeds meer digitale producten en diensten. Een toenemend deel van de omzet komt daar uit voort en is afhankelijk van het goed en veilig functioneren van IT. Als cybercriminelen de IT-infrastructuur weten plat te leggen, hebben organisaties snel een financieel probleem, iets waar ransomware sterk op inspeelt. Daarbij wordt alsmaar meer data geproduceerd, die ook steeds grotere waarde vertegenwoordigt. Aan de ene kant
is steeds meer IT digitaal vastgelegd, waarmee je je als organisatie probeert te onderscheiden van de concurrentie. Anderzijds verzamelen organisaties steeds meer data over hun klanten en potentiële klanten, om zo goed mogelijk commercieel in te spelen op de kansen die daar liggen. Waar het voor veel organisaties vanzelf lijkt te spreken dat IT goed beschermd dient te worden, wordt er nog altijd vaak wat laks omgegaan met de bescherming van de gegevens van klanten. Dat er klantgegevens kunnen verdwijnen wordt eigenlijk als een acceptabel bedrijfsrisico beschouwd. Heel vervelend, maar het is een risico van het vak. Zelfs de mogelijke imagoschade wordt door de meeste organisaties als acceptabel op de koop toe genomen: als het de beste kan overkomen en ook zichtbaar overkomt, dan kunnen wij het zeker doorstaan. We zijn zelfs best bereid om een melding te doen als we gevoelige klantdata verliezen. Als iedereen af en toe wat meldt, valt onze melding immers ook niet meer zo op. En met boetes valt het in de praktijk ook heel erg mee. Die houding vindt Europa problematisch. Terwijl veel Europese overheden alsmaar hun bevoegdheid om persoonsgegevens te verzamelen proberen uit te breiden, vindt men dat we als burger wel beschermd moeten worden tegen bedrijven en andere cybercriminelen die misbruik willen maken van onze persoonsgegevens vanuit commerciële dan wel criminele overwegingen. Dat betekent dat er beperkingen worden gesteld aan de ongebreidelde verzameling en koppeling van gegevens en eisen aan de veilige opslag daarvan. Dit vindt zijn weerslag in de Europese Algemene Verordening Gegevensbescherming (AVG) die in mei 2018 van kracht wordt. In de AVG krijgt de burger meer privacyrechten en krijgen organisaties die persoonsgegevens verzamelen of verwerken – alle organisaties dus – een duidelijke zorgplicht. En als die niet nagekomen wordt, kunnen er meer boetes worden opgelegd: tot 20 miljoen euro, of tot 4% van de wereldwijde omzet, net wat meer is. Wellicht nog belangrijker: bestuurders van organisaties worden daar persoonlijk voor verantwoordelijk gehouden. De boodschap is duidelijk: het speelkwartier is voorbij, het is tijd om privacy en databeveiliging serieus te nemen.
Peter Vermeulen
'De boodschap is duidelijk: het speelkwartier is voorbij, het is tijd om privacy en databeveiliging serieus te nemen' Meer deuren En dat is lastig. Want data is steeds meer onderweg. Data zit allang niet meer opgesloten binnen de muren van een computerruimte. Data bevindt zich in de cloud, verhuist van virtuele server naar virtuele server, wordt verstuurd. En zodra data onderweg is, kan het onderschept worden. Maar waar het pas echt vaak mis gaat, is bij alle apparaten die aan het einde van dat netwerk hangen. De beveiliging van smartphones en tablets blijft vaak al achter bij die van bijvoorbeeld laptops. En terwijl die beveiliging steeds vaker redelijk op orde begint te komen, komen we bij een hele reeks rafelranden waar de digitale en de fysieke wereld bij elkaar komen. Een concreet voorbeeld is de printer: via een printer die jarenlang draait op de voorgeïnstalleerde software zonder enige patch kan een hacker zonder al te veel problemen het netwerk binnendringen. Of hij kan documenten uit het werkgeheugen lezen die geprint of inge-
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 33
VISIE
scand zijn. En als er vervolgens geprint is, willen gevoelige afdrukken ook nogal eens door de verkeerde worden opgehaald. De printer is bij veel organisaties nog een blinde vlek: wie is er eigenlijk verantwoordelijk voor de beveiliging? Een mooi voorbeeld over hoe fysieke en IT-beveiliging elkaar nodig hebben, maar niet vinden, is de USB-stick die recentelijk werd gevonden in Londen met alle beveiligingsplannen van luchthaven Heathrow. Zonder enige vorm van encryptie. Of het horloge met GPS-tracker om je kind in de gaten te kunnen houden, maar waarmee ook anderen je kind kunnen lokaliseren. Op het gebied van het Internet der Dingen zijn er tientallen voorbeelden van productontwerpen die, laten we het netjes zeggen, niet ontworpen zijn op basis van secure-by-design.
Cybercrime En zo komen we uiteindelijk toch uit bij cybercrime. Als de digitale zakelijke belangen en verantwoordelijkheden snel toenemen en de mogelijkheid van dataverlies groter wordt doordat data zich over steeds meer schijven verplaatst, wordt de business case voor cybercrime veel sterker. Zo sterk dat hele overheden zich ermee gaan bezighouden en uitermate geavanceerde aanvallen opzetten. Maar ook voor een scholier die een onvoldoende heeft gekregen en zijn zakgeld gebruikt om wraak te nemen met behulp van een DDoS-aanval. Cybercrime is niet langer het exclusieve domein van techneuten: cybercrime as a service tiert welig. Als organisatie zou je moeten weten dat je de dans niet meer kan ontspringen: vroeg of laat kom je aan de beurt en dan kan je maar beter voorbereid zijn.
NIEUWS
Kan IT-security mee? De toehoorders van mijn sessie heb ik drie overwegingen mee naar huis gegeven. De belangrijkste is dat angst een slechte raadgever is. Laat je als organisatie niet leiden door de waan van de dag. Natuurlijk is het goed als ransomware-incidenten in de Rotterdamse haven worden aangegrepen om een
'Op het gebied van het Internet der Dingen zijn er tientallen voorbeelden van productontwerpen die, laten we het netjes zeggen, niet ontworpen zijn op basis van secure-bydesign'
34 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
goed ransomware-plan op te stellen. En natuurlijk is het goed als de komst van de AVG wordt aangegrepen om een privacy officer aan te stellen en de databeveiliging op orde te krijgen. Maar als voorbij gegaan wordt aan het structurele belang en de structurele risico’s van IT-security, dan sorteren dergelijke maatregelen hooguit een tijdelijk effect. De tweede overweging is dat door de hogere innovatiesnelheid op het digitale vlak, IT-security veel pro-actiever te werk zal moeten gaan. IT-security is er niet om een hek te plaatsen, maar dient betrokken te zijn bij het ontwerp van digitale producten en processen. Steeds meer organisaties hebben wel de mond vol van private en secure by design en agile en devops waarbij IT-security een onderdeel van een productteam kan worden, maar maken vaak nog te selectief gebruik van deze middelen en laten het niet na om af en toe een bochtje af te snijden. Zorg er in ieder geval voor dat er een duidelijk proces is om te bepalen welke betrokkenheid van IT-security noodzakelijk is. De laatste overweging is dat IT-securityafdelingen zich er van bewust moeten zijn dat IT-security niet meer is wat het geweest is. Denk verder vooruit: denk na over hoe IT-beveiliging er over 5 tot 10 jaar uit moet zien. En kijk welke competenties daarvoor nodig zijn. Welke ontbreken er en hoe ga je die ontwikkelen? Kun je dat zelf, of heb je daarvoor hulp nodig. Steeds meer organisaties zien zich genoodzaakt om securitytaken uit te besteden. Maar wat ze niet willen, is het verliezen van de controle. Als je dat kwijt bent, is het over en uit.
RAIN systeem
maakt ‘terugspoelen’ van cyberaanval mogelijk Een nieuw systeem maakt het mogelijk na een cyberaanval de acties van de aanvallers zeer nauwkeurig in kaart te brengen, ook als de aanvallers hebben geprobeerd hun sporen te wissen. Hierdoor kunnen onderzoekers sneller en nauwkeuriger vaststellen hoe aanvallers een bedrijfsnetwerk hebben weten binnen te dringen. Het systeem heet Refinable Attack INvestigation (RAIN) en is ontwikkeld door het Amerikaanse Georgia Institute of Technology (Georgia Tech). “Je kunt teruggaan en ontdekken wat er fout is gegaan in uw systeem, niet alleen op het moment waarop u ontdekt dat iets fout is, maar ook ver genoeg om te achterhalen hoe de aanvaller het systeem is binnengedrongen en wat hij heeft gedaan”, legt Wenke Lee, mededirecteur van het Institute for Information Security & Privacy van Georgia Tech, uit.
Systeem continu monitoren Het RAIN systeem monitort een systeem continu en legt gebeurtenissen die potentieel interessant zijn automatisch vast. Door deze selectie is het mogelijk alle relevante informatie over een aanval te verzamelen, zonder dat hiervoor enorm veel rekenkracht en opslagruimte nodig is. De onderzoekers stellen dat het systeem in staat is ongerelateerde processen te doorzoeken en verbanden met een potentiële aanval vast te leggen met een minimale foutmarge. Het onderzoeken van een cyberaanval is tot nu toe
in belangrijke mate een handmatig proces, dat veel tijd in beslag neemt. Het RAIN systeem automatiseert dit proces in belangrijke mate door zelfstandig relevante informatie aan elkaar te koppelen en deze data vervolgens doorzoekbaar te maken. Dit stelt onderzoekers in staat te zoeken naar specifieke gebeurtenissen of handelingen van aanvallers en zo een beter beeld te krijgen van de uitgevoerde cyberaanval.
Aanval terugspoelen “Gedurende het terugspoelen van een gebeurtenis gebruiken we binaire dynamische instrumentatietools om de juiste informatie te extraheren”, legt Taescoo Kim, assistent-professor van de Georgia Tech’s School of Computer Science en betrokken bij een onderzoekspaper over RAIN, uit. “We organiseren informatie op een hiërarchische manier en passen op iedere laag een ander soort geautomatiseerde analyse toe. Op de diepste laag kunnen we vertellen wat er op byte-niveau gebeurde.” Kim benadrukt dat RAIN nog steeds een significante hoeveelheid opslagruimte vereist op alle relevante informatie op te slaan. Zo genereert een gemiddeld desktopsysteem al snel vier gigabyte aan systeemdata per dag, wat neerkomt op minder dan twee terabytes aan data per jaar. Kim wijst erop dat een dergelijke hoeveelheid opslagruimte beschikbaar is vanaf zo’n 50 dollar per jaar.
PETER VERMEULEN, Principal Analyst, Pb7 Research
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 35
VOORUITBLIK
Steeds meer ransomware is gericht op Android-, Linux- en MacOS-systemen Ransomware is in de afgelopen zes maanden voornamelijk gericht geweest op Windows-systemen. Andere besturingssystemen zoals Android, Linux en MacOS zijn echter niet immuun. Zo is 30,4% van alle Android malware inmiddels ransomware. Dit meldt Sophos in het SophosLabs 2018 Malware Forecast-rapport. “Ransomware is platformonafhankelijk en richt zich voornamelijk op Windows-computers, maar dit jaar zag SophosLabs een toenemend aantal crypto-aanvallen op verschillende apparaten en besturingssystemen die wereldwijd door onze klanten worden gebruikt”, zegt Dorka Palotay, beveiligingsonderzoeker van SophosLabs en medewerker aan de ransomware-analyse in de SophosLabs 2018 Malware prognose.
WannaCry was meest voorkomende ransomware Het rapport volgt ook de groeipatronen van ransomware, wat aangeeft dat WannaCry, dat in mei 2017 van zich liet spreken, de meest voorkomende ransomware was die werd onderschept door 36 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
klantcomputers en hiermee Cerber van de troon stootte die begin 2016 verscheen. WannaCry was goed voor 45,3 procent van alle ransomware die via SophosLabs werd opgespoord; Cerber neemt 44,2 procent van de ransomware voor zijn rekening. “Voor de eerste keer zagen we ransomware met wormachtige kenmerken die hebben bijgedragen aan de snelle uitbraak van WannaCry. Deze ransomware maakte gebruik van een bekende Windows-kwetsbaarheid en kon zich zo via computers verspreiden, waardoor het moeilijk te controleren was”, zegt Palotay. “Hoewel onze klanten ertegen worden beschermd en WannaCry inmiddels is afgenomen, zien we de dreiging nog steeds vanwege de aard van ransomware om computers te blijven scannen en aan te vallen. We verwachten dat cybercriminelen zullen voortbouwen op het gedachtengoed van WannaCry en NotPetya. Dit is al duidelijk bij de Bad Rabbit-ransomwarevariant die veel overeenkomsten vertoont met NotPetya.”
Motief achter NotPetya blijft onduidelijk The SophosLabs 2018 Malware Forecast rapporteert over de opkomst en ondergang van NotPetya,
de ransomwarevariant die in juni 2017 ravage veroorzaakte. NotPetya werd oorspronkelijk gedistribueerd via een Oekraïens boekhoudsoftwarepakket, waardoor de geografische impact beperkt bleef. Het was in staat om zich, net als WannaCry, via EternalBlue te verspreiden. Maar omdat WannaCry reeds de meest blootgestelde machines had geïnfecteerd, waren er nog maar weinigen die kwetsbaar waren. Het motief achter NotPetya is nog steeds onduidelijk omdat er veel misstappen en fouten met deze aanval gepaard gingen. “NotPetya verraste enorm en richtte bij bedrijven veel ellende aan omdat het permanent gegevens op getroffen computers heeft vernietigd. Gelukkig stopte NotPetya bijna net zo snel als het begon. We vermoeden dat de cybercriminelen aan het experimenteren waren of dat hun doel niet ransomware was, maar iets destructievers als het wissen van data. Ongeacht de intentie raadt Sophos ten zeerste af om voor ransomware te betalen en beveelt best practices in plaats daarvan aan: denk daarbij aan het maken van back-ups en het upto-date houden van patches.”
Cerber blijft gevaarlijk Cerber, verkocht op het Dark Web, blijft
een gevaarlijke bedreiging. De Cerber-makers werken de code voortdurend bij en waarbij ze een percentage vragen van het losgeld dat de middle men van slachtoffers ontvangen. Nieuwe features maken Cerber niet alleen een effectief aanvalsinstrument, maar ook beschikbaar voor cybercriminelen. “Dit Dark Web-bedrijfsmodel werkt helaas en zorgt voor een continue ontwikkeling van Cerber. We kunnen aannemen dat de winst de auteurs motiveert om de code te handhaven”, vult Palotay aan. Android-ransomware trekt ook cybercriminelen aan. Volgens de analyse van SophosLabs is het aantal aanvallen op Sophos-gebruikers die Android-apparaten gebruiken in 2017 bijna elke maand toegenomen.
‘Makkelijk inkomstenbron voor cybercriminelen’ “In september alleen al was 30,4 procent van de schadelijke Android-malware die door SophosLabs werd verwerkt ransomware. We verwachten dat dit in oktober naar ongeveer 45 procent zal stijgen”, zegt Rowland Yu, van SophosLabs. “Een van de redenen waarom we geloven dat ransomware op Android van de grond komt, is omdat
cybercriminelen gemakkelijk geld kunnen verdienen in plaats van contacten en sms-berichten te stelen, pop-upadvertenties of phishing van banken die geavanceerde hacktechnieken vereisen. Het is belangrijk op te merken dat Android ransomware voornamelijk wordt ontdekt in niet-Google Play-markten. Dit is een andere reden voor gebruikers om zeer voorzichtig te zijn welke apps ze downloaden.” Het SophosLabs-rapport geeft verder aan dat er twee soorten Android-aanvalsmethoden zijn ontstaan: het vergrendelen van de telefoon zonder gegevens te versleutelen en de telefoon vergrendelen terwijl de gegevens worden versleuteld. De meeste ransomware op Android versleutelt gebruikersgegevens niet, maar schermvergrendeling in ruil voor geld is genoeg om nietsvermoedenden te frusteren. “Sophos raadt aan regelmatig een back-up van je telefoon te maken om zo gegevens te bewaren en te voorkomen dat je losgeld moet betalen. We verwachten dat ransomware voor Android het komende jaar zal blijven toenemen en domineren als het voornaamste type malware op dit mobiele platform”, aldus Yu.
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 37
GEDRAGSBIOMETRIE
SECURITY PER TRANSACTIE EN GEEN OVERLAST VOOR GEBRUIKER
rity-lagen nauwelijks op te vangen zijn. Cybercriminelen zijn voortdurend aan het werk om nieuwe manieren te vinden om deze fouten en lekken te exploiteren. Elk succes betekent dat ontwikkelaars bestaande beveiligingslagen moeten verbeteren of een nieuwe laag moeten toevoegen, die op zijn beurt weer bijdraagt aan de algehele complexiteit. Technologie is echter niet het enige doelwit van cybercriminelen. Ze proberen ook misbruik te maken van het gebrek aan kennis van gebruikers. Criminelen zijn heel goed in staat om de gebruiker een vals inlogscherm te presenteren, waarbij de onwetende klant de inloggegevens invoert evenals eventuele authenticatiecodes die per sms worden toegezonden. De malware wijzigt vervolgens in het geheim en onzichtbaar voor de gebruiker bijvoorbeeld het rekeningnummer waarnaar het bedrag dient te worden overgemaakt. Om deze redenen hebben financiële instellingen - terecht - meer discrete beveiliging toegevoegd aan hun apps. Deze heeft normaal gesproken geen invloed op de bruikbaarheid. Door bijvoorbeeld rekening te houden met de tijd en de plaats waarop gebruikers inloggen op hun mobiele bank-apps, kunnen ze snel verdachte inlogpogingen detecteren. Als iemand aan de andere kant van de wereld probeert om een grote transactie te doen, is er gewoonlijk iets niet in de haak. Het blokkeren van de transactie tot er aanvullende verificatie is geweest, is de beste manier van handelen.
Een pleidooi
voor gedragsbiometrie Nu apps voor mobiel bankieren door steeds meer mensen dagelijks worden gebruikt, beginnen cybercriminelen serieus belangstelling te krijgen voor methoden en technieken om mobiele apparaten te compromitteren. Nieuwe en geavanceerde aanvalsmethoden hebben de klassieke pogingen om gebruikersnaam en wachtwoord te ontfutselen overbodig gemaakt. Zelfs een betere, maar nog altijd basale methode als tweefactor-authenticatie lijkt onvoldoende. De reden is dat hackers manieren hebben gevonden om gebruikers te verleiden tot het invoeren van toegangscodes via valse gebruikersinterfaces van betaalsites. Tijd voor een nieuwe aanpak - ‘behavioral biometrics’ - die individuele transacties beschermt zonder dat de gebruiker hier extra handelingen voor hoeft te doen. 38 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
De grootste uitdaging is altijd geweest: ontwerp een beveiligingsschema dat dynamisch genoeg is om hackers te dwarsbomen zonder dat dit schema de bruikbaarheid van de app of het apparaat belemmert. Vanuit gebruikersperspectief is het lastig om steeds nieuwe inloggegevens toe te moeten voegen, zoals sterke wachtwoorden en unieke gebruikersnamen. Hoewel dit vanuit security-oogpunt erg verstandig is, levert dit voor gebruikers vaak zoveel overlast op dat zij soms zelfs besluiten om maar over te stappen naar een andere en minder ‘strenge’ serviceprovider. Het veroorzaakt bovendien foutief gedrag, waarbij een gebruiker bijvoorbeeld hetzelfde wachtwoord gebruikt voor meerdere platformen of eenvoudige wachtwoorden toepast die gemakkelijk te onthouden zijn. Dat alleen al ondermijnt de veiligheid, om-
dat criminelen gemakkelijker zwakke punten kunnen vinden om te exploiteren. Mobiele apparaten zijn hierbij nog eens extra kwetsbaar, omdat gebruikers bij dit soort apparaten over het algemeen minder alert zijn op beveiliging dan op desktops of laptops.
Nieuwe lagen toevoegen Met enige regelmaat voegen app-bouwers extra beveiligingslagen toe. De effectiviteit daarvan wordt vaak echter deels weer teniet gedaan doordat de technische implementaties nogal eens bugs vertonen. Ook kennen sommige mobiele apparaten en hun besturingssystemen structureel zwakke punten die ook door het toevoegen van extra secu-
Banken kunnen daarnaast nog meer gedragskenmerken toevoegen aan de mix - naast tijd en plaats. Bijvoorbeeld de druk van de vinger op het scherm van de smartphone of tablet tijdens het tikken of swipen. Of denk aan de snelheid van tikken. Sluit een van de biometrische kenmerken niet bij het profiel van de echte gebruiker, dan kan het zijn dat het apparaat is gestolen. Of dat de gebruiker onbewust een overlay gebruikt die door cybercriminelen is aangebracht in plaats van de eigenlijke app voor bankieren.
Gedrag als security-maatregel Dit type beveiliging staat bekend als ‘behavioral biometrics’ ofwel gedragsbiometrie. Het is een extra bescherming die VASCO heeft toegevoegd aan zijn
oplossingen. Door de manier te bepalen waarop de gebruiker het apparaat doorgaans gebruikt, kunnen specifiek voor gedragsbiometrie ontwikkelde algoritmes een soort profiel van de gebruiker definiëren. Als de handelingen van de gebruiker overeenkomen met dit profiel, dan is de kans groter dat de acties van de gebruiker legitiem zijn. En dat het dus niet nodig is om de gebruikservaring te verstoren en mogelijk in gevaar te brengen. Een plotselinge gedragsverandering kan er echter op wijzen dat er iets aan de hand is. De bank kan dan om aanvullende verificatie vragen. Gedragsbiometrie biedt een methode om transacties te verifiëren waarvan de gebruiker geen last ondervindt. Gebruikers zullen deze extra security-laag in de regel zelfs helemaal niet opmerken, omdat er geen extra actie van hen nodig is. Dit betekent op zijn beurt dat de tijd die wordt besteed aan het authenticeren van een gebruiker geminimaliseerd is. De gebruiker kan hierdoor meer tijd besteden aan het feitelijke gebruik van de applicatie. Al die tijd is de sessie echter beveiligd tot het niveau dat gebruikers zouden verwachten. Het gevolg van het gebruik van gedragsbiometrie is minder fraude en een minimalisering van het aantal ‘false positives’. Het doet ook veel minder inbreuk op de privacy van klanten, dan traditionele biometrische gegevens. Denk aan databases met vingerafdrukken, irisscans of stempatronen. Het gedragspatroon van een gebruiker wordt opgeslagen als een wiskundige vergelijking die nutteloos is voor criminelen die persoonlijke gegevens zoeken. Gedragsbiometrie biedt beveiliging per individuele transactie. Het beveiligt niet slechts één ingangsroute, zoals een inlog plus wachtwoord. Hierdoor is het voor criminelen veel lastiger geworden om toegang te krijgen tot bijvoorbeeld bank-apps. Er is nu immers geen sprake meer van technische of menselijke zwakheden. Bovendien wordt de gebruiker niet langer belast met de ongemakken die extra beveiligingslagen normaal gesproken met zich meebrengen. VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 39
VISIE
DEARBYTES SCHETST SECURITYTRENDS VOOR 2018
Neem ziekenhuizen. Het direct patchen van kwetsbare apparatuur is daar lang niet altijd een optie. Als ransomware operaties onmogelijk maakt, is de verleiding om te betalen echter groot.”
2. Contouren van een cyberwar worden zichtbaar Totale verwoesting lijkt steeds vaker de opzet van aanvallers. Remmelzwaal: “De Petya-uitbraak in juni 2017 was een goed voorbeeld van zo’n ‘Destruction of Service’ (DeOS)-aanval. In eerste instantie leek het te gaan om ransomware, maar al snel werd duidelijk dat vernietiging van data en verstoring van processen het primaire doel was. En dan met name data en processen in Oekraïne.” “Door Petya weten we nu eindelijk hoe een cyberwar eruitziet”, aldus Remmelzwaal. “Daar gaan we nog meer voorbeelden van zien. Het zou me verbazen als het in 2018 tot een cyber-staakt-hetvuren komt.”
3. Computers lopen vast door coinminers
‘Contouren van een
cyberwar worden zichtbaar’
Wat zijn de securitytrends voor 2018? Volgens Erik Remmelzwaal, directeur bij beveiligingsspecialist DearBytes, wordt het een bewogen jaar met aanvallen. In 2017 hebben we met WannaCry en NotPetya de potentiële impact van een cyberwar ervaren. Door geopolitieke spanningen is de kans groot dat we dit soort aanvallen vaker gaan meemaken. Of dit leidt tot meer beveiligingsbewustzijn? “Ik denk dat we op een andere manier een gedragsverandering teweeg moeten brengen.”
2017 was op het gebied van security een jaar met pieken en dalen. Grootschalige aanvallen als WannaCry en Petya zorgden voor veel schade en onrust. Tegelijkertijd kreeg het onderwerp de politieke aandacht die het verdient. Zo werd bekend dat Rutte III structureel 95 miljoen euro per jaar reserveert voor cybersecurity.
40 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
Die extra middelen zullen in 2018 hard nodig zijn. DearBytes signaleerde in 2017 meerdere trends die in 2018 mogelijk voor nog grotere problemen gaan zorgen. Remmelzwaal licht er vijf uit:
1. Ransomware wordt nog persoonlijker Ransomwareaanvallen waren in het verleden meestal gericht op grote aantallen privégebruikers. “Maar cybercriminelen weten inmiddels dat het veel lucratiever is om zakelijke gebruikers zeer gericht en persoonlijk aan te vallen. Een slachtoffer is eerder geneigd om een groot geldbedrag te betalen als aanvallers belangrijke bedrijfsprocessen gijzelen. Door het gerichte en persoonlijke karakter van de aanval is bijvoorbeeld een nepmail moeilijker van echt te onderscheiden.” Voor de hand liggende doelwitten zijn politici en de directeuren van organisaties zoals grote advocatenkantoren en financiële instellingen. Die beschikken over veel gevoelige gegevens en kunnen het gevraagde bedrag snel op tafel leggen. “Maar ook de gezondheidszorg en het onderwijs lopen gevaar.
De hoge bitcoinkoers heeft voor een ware goudkoorts gezorgd. Moderne ‘goudzoekers’ delven nieuwe cryptocurrencies zoals bitcoins en ether door met speciale, krachtige computers ingewikkelde cryptografische raadsels op te lossen. Maar dat delven gebeurt soms ook met illegale middelen, waarschuwt Remmelzwaal. “We zien nu de opkomst van de ‘coinminers’. Dit is malware die bijvoorbeeld met behulp van een worm zoveel mogelijk computers besmet om de computerkracht van de slachtoffers vervolgens te misbruiken voor het minen van cryptocurrencies. Slachtoffers hebben vaak niet door dat ze zijn gecompromitteerd, al zou een trager reagerende computer en een hogere energierekening daar wel op kunnen wijzen.”
4. Doxware: chantage met datalekken Cybercriminelen te slim af zijn door te zorgen voor een goede back-up die je na een besmetting met ransomware direct terugzet? En gewoon niet betalen? Daar hebben de aanvallers iets op gevonden. Want als het slachtoffer niet betaalt, dan publiceer je de (gevoelige) data toch gewoon online? “Hiermee is het vrij nieuwe fenomeen doxware geboren: ransomware die
waardevolle of gevoelige informatie openbaar maakt tenzij je het losgeld betaalt”, zegt Remmelzwaal. “Doxware geeft cybercriminelen een stok achter de deur voor als het slachtoffer weigert te betalen.”
5. Sextortion wordt een steeds groter maatschappelijk probleem Doxware past volgens de directeur van DearBytes binnen de bredere trend dat afpersers slachtoffers chanteren met het dreigement data te onthullen. Dat kunnen belangrijke bestanden of geheime chats zijn, maar ook naaktfoto’s of privéseksfilmpjes van het slachtoffer. “Dan hebben we het over ‘sextortion’ en daarmee kunnen oplichters levens verwoesten, ook het leven van bijvoorbeeld directeuren die met compromitterend materiaal onder druk worden gezet om bepaalde beslissingen te nemen.” Bij sextortion kan de afperser een cybercrimineel zijn die het materiaal uit een Dropbox- of iCloud-account heeft gestolen, maar ook een ex die zint op wraak. “Ik hoop in ieder geval dat het kabinet in 2018 vaart maakt met het als zelfstandig delict strafbaar stellen van wraakporno”, aldus Remmelzwaal.
Security-awareness “Genoeg redenen om in 2018 nog meer aandacht te besteden aan security-awareness”, concludeert Remmelzwaal. “Niemand wil bijdragen aan een cyberwar of het slachtoffer worden van chantagepraktijken. Het bevorderen van het beveiligingsbewustzijn wordt ook afgedwongen in de Algemene Verordening Gegevensbescherming. Iedereen die met persoonsgegevens werkt, moet weten hoe daar veilig mee om te gaan. De vraag is hoe we campagnes opzetten die effect hebben.” Remmelzwaal is niet erg onder de indruk van de impact van de meeste security-awarenesscampagnes. “Dreigingen zoals bankingtrojans, datalekken, cyberspionage en ransomware zijn nooit een trigger geweest om gedrag te veranderen. En je kunt je afvragen of de traditionele vormen van voorlichting en het opleggen van boetes wel werken. Ik denk eigenlijk dat we nu een heilloze weg bewandelen.” Om zijn mening kracht bij te zetten, verwijst hij naar het Nationaal Cybersecurity Bewustzijnsonderzoek. Hieruit blijkt
‘Door Petya weten we nu eindelijk hoe een cyberwar eruitziet’ dat Nederlanders zich nog altijd maar weinig zorgen maken over hun digitale veiligheid op het werk. Veel Nederlanders denken dat ze een phishingmail wel herkennen, terwijl dat in de praktijk vaak niet zo blijkt te zijn. “Die zelfoverschatting maakt van medewerkers een gemakkelijk doelwit. Vaak is ook de gedachte: het valt allemaal wel mee, we worden bang gemaakt door de securityfabrikanten. Bedrijven nemen pas actie op het moment dat ze zelf hard getroffen zijn.”
Stevigere boodschap “Misschien moeten we niet meer kiezen voor de ‘zachte aanpak’, maar kijken of we met een boodschap die indruk maakt een gedragsverandering kunnen realiseren”, stelt Remmelzwaal. Als voorbeeld geeft de directeur EduCrypt: een ransomwarecampagne waarbij niet geld de drijfveer was, maar educatie. Na versleuteling van bestanden toonde EduCrypt een tekstbestand met het wachtwoord om de versleuteling op te heffen en het programma waarmee je dat kon doen. Het virus was verder ongevaarlijk. Het diende alleen als een waarschuwing om voortaan goed op te letten bij het downloaden van internet. “Ik heb er mijn twijfels over of zo’n harde variant effectief is. Maar misschien is de politiek er in 2018 klaar voor om in samenwerking met het bedrijfsleven campagnes op te zetten die echt blijven hangen”, besluit Remmelzwaal. “Mensen schrik of angst aanjagen is zeker niet de manier, maar de boodschap mag wel wat steviger worden.” VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 41
LEGAL LOOK DOOR MR. V.A. DE POUS
Regering
ziet slechts deel van digitaal kader Veiligheid is één van de twee kerndomeinen waarin het kabinet Ruttte III het ICT-beleid plaatst en nader bepaald vertaalt zich dat vooral in het voorkomen en vervolgen van strafrechtelijke handelingen ter zake. Zonder enige twijfel noodzakelijk. Om twee gronden te noemen: het OM verwacht dat in 2021 de helft van de misdaad computer-gerelateerd is. Een trendbreuk. Volgens het CBS heeft ruim 20 procent van de bedrijven met minstens tien werkzame personen in 2016 te maken gehad met de gevolgen van cyber-aanvallen. De nieuwe regering kiest voor een reeks van personele en andersoortige maatregelen en maakt daar geld voor vrij. Meer IT-professionals voor (i) internationale opsporing, (ii) bij departementen en (iii) voor de uitvoering van de door de Wet computercriminaliteit III aan te passen strafwetgeving. Daarnaast wordt de aandacht gericht op standaarden voor IoT-toepassingen, veiligere software (kennelijk via een bijzondere juridische aansprakelijkheid), versterking van het bestaande publiek-private expertisecentrum NCSC en het verbeteren van informatiecampagnes. De maatschappelijke problematiek is echter breder dan digitale criminaliteit. ICT maakt ons generiek kwetsbaar vanwege de sterke afhankelijkheid van de beschikbaarheid er van. Niet alleen elektronische misdaad zorgt op allerlei wijzen voor onder meer systeemuitval en directe en gevolgschade, ook gammele informatietechniek (onvoldoende kwaliteit algemeen van producten en diensten door bugs in soorten en maten) creëert voortdurend digitale incidenten. En laten we menselijke fouten niet vergeten. Digitale kwetsbaarheid is de keerzijde van de zo geprezen wondere wereld van de informatiemaatschappij, waar wetgever, beleidsmaker en (openbaar) bestuurder alsmede individu nog altijd onvoldoende aan willen. Dit is interessant. Hoe de - grove - verhouding tussen niet-opzettelijke digitale incidenten en computercriminaliteit ligt, hangt waarschijnlijk af van de gekozen benadering. Het CBS becijferde dat ‘aanvallen van buitenaf’ minder vaak voorkomen dan ‘niet-opzettelijke cyberincidenten’. Onderbouwing van deze onderzoeksgegevens vinden we bijvoorbeeld in de voornaamste oorzaak van de 5.500 datalekken, die vorig jaar zijn gemeld op grond van artikel 34a Wbp: menselijk falen. De Autoriteit Persoonsgegevens detecteerde namelijk de volgende, veelvoorkomende datalekken. Een klant ziet in een klantportaal de gegevens van iemand anders, iemand raakt een USB-stick kwijt met (vaak onversleutelde) persoonsgegevens, een poststuk met persoonsgegevens komt niet aan bij de ontvanger of komt geopend terug en een e-mail met
42 | DECEMBER 2017 | NR. 5 | INFOSECURITY MAGAZINE
Van complexiteit naar resultaat
persoonsgegevens komt bij de verkeerde ontvanger terecht. Criminaliteit lijkt bij een inbreuk op de beveiliging van persoonsgegevens dus grotendeels te ontbreken (overigens met uitzondering van de traditionele diefstal van laptop of smartphone met - opnieuw - onversleutelde persoonsgegevens). Buitengemeen opmerkelijk, mede omdat de geruchtmakende datalekzaken in de VS juist wel het gevolg van hacking zijn. Wie iedere poging tot computercriminaliteit als opzettelijk digitaal incident beschouwt, komt op basis van alle met Internet verbonden systemen en apparatuur uit op een andere verhouding. Ontelbare moedwillige incidenten vinden continu plaats, de niet-opzettelijke in veelvoud overschrijdend. Hacking, malware-besmetting, DDoS-aanval en meer zijn immers aan de orde van de seconde. Een belangrijk complicerend deelprobleem betreft het vrijwel zeker structurele tekort aan IT-professionals in ons land. De eerste signalen in deze arbeidsmarkt dateren van ruim tien jaar terug. De schaarste aan programmeurs en softwaretesters van toen is vandaag niet opgelost. Sterker nog, we moeten daar het tekort aan deskundigen in het belangrijke vakgebied netwerk- en informatiebeveiliging bij optellen. Ons hoger onderwijs levert te weinig IT-professionals af. Deze constatering wringt niet alleen met de plannen van de regering, die graag meer goed-opgeleid ICT-(beveiligings) personeel wil werven, maar raakt Nederland in de volle breedte. Dat tekort plaatsen we ook nog in een ander licht. Wet- en regelgeving, zowel uit Nederland als Europa, schrijft steeds vaker netwerk- en informatiebeveiliging als plicht voor. Hoe kan bedrijf of overheidsorganisatie de wet nakomen als het gebrek aan gespecialiseerde mankracht een blijvend probleem vormt? MR. V.A. DE POUS is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).
Flexibel personeel
Specialisten in regelgeving
Ierse bouwbedrijven behoren tot de toonaangevende dienstverleners voor de meest complexe bouwprojecten voor datacenters, de farmaceutische industrie en biotechnologie in Europa. Ierse bedrijven bieden innovatieve oplossingen, werken flexibel en bouwen een hechte samenwerking. De vereisten van hun klanten staan voorop en ze voltooien veeleisende projecten sneller, efficiënter en volgens de hoogste technologische normen.
Bewezen staat van dienst
Toonaangevende innovatie
Voor deskundige ondersteuning bij het vinden van uw ideale bouwpartner bezoekt u onze website irishadvantage.nl/construction
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2017 | 43
Secura The digitalisation of our society is moving forward fast. This increased pace of digitalisation, combined with the rise of new technologies increases our digital security risks. Cybercrime is on the rise and cyber legislation is globally intensified. Identifying and mitigating digital security risks is therefore becoming progressively more complex. Secura is your independent, specialised advisor taking care of all your digital security needs.
TAKE CONTROL OF YOUR DIGITAL SECURITY
Interested? Would you like to learn more about our services? Please do not hesitate to contact us. We would be happy to become acquainted and to discuss digital security in more detail with you. www.secura.com