INFO
SECURITY MAGAZINE
JAARGANG 18 - DECEMBER 2019 - WWW.INFOSECURITYMAGAZINE.NL
NATIONALE 足CYBERSECURITY MONITOR 2020
EERSTE SCYBER ARENA IN WEST-足 EUROPA GEOPEND
EXPLOSIEVE 足TOENAME 足BEC-AANVALLEN
CRUCIALE OMGEVINGEN VERGEN ANDERE
BEVEILIGINGSAANPAK
TRUST IN GERMAN SICHERHEIT
EDITORIAL: ROBBERT HOEFFNAGEL
Het wordt menens COLOFON Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatie beveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op
Minister Grapperhaus gaf een tijdje terug al aan dat bedrijven die hun cybersecurity niet op orde hebben, te maken kunnen krijgen met een overheid die ingrijpt. Hoe dat ingrijpen precies zou moeten gebeuren, is onduidelijk.
basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@vakbladen.com. Abonnementen kunnen iedere maand ingaan en worden jaarlijks automatisch verlengd. Opzeggingen, uitsluitend schriftelijk, dienen uiterlijk twee maanden voor het einde van de abonnementsperiode in ons bezit te zijn.
Uitgever Rik Stuivenberg
Hoofdredacteur Robbert Hoeffnagel +31 (0)6 - 51 28 20 40 r.hoeffnagel@vakbladen.com
Advertentie-exploitatie Jos Raaphorst +31 (0)6 - 34 73 54 24 j.raaphorst@archermedia.nl
Redactie-coördinatie Ab Muilwijk
Abonnementen abonnementen@vakbladen.com +31 (0)88 -22 666 80
Vormgeving Content Innovators, Den Haag
Druk Veldhuis Media B.V., Raalte Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.
Meer informatie: www.infosecuritymagazine.nl Infosecurity Magazine is een uitgave van
Techneuten lukt het niet altijd om vanuit een ander perspectief naar problemen te kijken. Terwijl al die ongetwijfeld mooie technologie eigenlijk alleen maar faciliterend is. We hebben IT-systemen, applicaties en datacenters nodig zodat we - bijvoorbeeld elektrische auto’s kunnen ontwikkelen, hypotheken verkopen, huizen bouwen, mensen van A naar B vervoeren. Cybersecurity hoort - dat is althans de theorie - een integraal onderdeel te zijn van alle processen en alle systemen die hierbij komen kijken. In de praktijk is dat vaak natuurlijk helemaal niet zo. Vaak is security niet meer dan een laagje extra op een vaak al hopeloos complexe infrastructuur. De brug over de slotgracht zeg maar, waarbij we voor het gemak maar even vergeten dat de boeven liever per helikopter direct op uw digitale binnenplaats landen. De minister kan wel degelijk ingrijpen. En nee, dat zal hij niet doen door een cyberpeloton van het Nederlandse leger op u af te sturen. Maar de overheid kan natuurlijk wel dwingende(r) eisen aan cybersecurity gaan stellen als onderdeel van vergunningen. Daarmee kan de overheid het heel veel bedrijven erg lastig maken. En daarmee ook de aanbieders, die vaak met claims en uitspraken komen die zij in de praktijk - laat ik zeggen - niet altijd voor de volle 100% kunnen waarmaken. Maar niet alleen de overheid zou weleens kunnen ingrijpen als het niet snel beter gaat met cybersecurity. Laatst kwam mij een erg interessant onderzoek onder ogen van een
bedrijf dat in opdracht van aandelen handelaren in kaart heeft gebracht wat er gebeurt met de koers van aandelen als een bedrijf last heeft van een ‘breach’. Die moeten immers tegenwoordig gemeld worden, ook in ons land. Het gehele onderzoek las als het verzamelen van munitie. Private equityfirma’s zijn continu op zoek naar mogelijkheden om geld te verdienen aan ondernemingen waar het management - in de ogen van de PE-firma’s - fouten maken. Niet goed omgaan met data en met cybersecurity zou wel eens zo’n managementfout kunnen zijn. Het was in ieder geval interessant genoeg voor deze analisten om eens goed naar te kijken. Pagina na pagina aan cijfers als koersinformatie en koersverliezen leverde dit onderzoek op. Laat op zo’n enorme hoeveelheid data wat machine learningtechnologie los en ik denk dat we het er snel over eens zullen zijn dat hier kansen liggen voor private equity-bedrijven en andere aandelenhandelaren die graag een paar centen verdienen aan andermans situatie. Het is dus zeker niet alleen een minister die serieus naar het gebrek aan goede cyber security aan het kijken is. Ook de financiële sector ruikt kansen. Gaat dit spelen in 2020? Ik zou er maar serieus rekening mee houden. ROBBERT HOEFFNAGEL is hoofdredacteur van Infosecurity Magazine (NL/BE)
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 3
Inhoud
INFOSECURITY MAGAZINE NUMMER 5 - DECEMBER 2019 - JAARGANG 17
06 Nationale Cybersecurity Monitor 2020: steeds meer incidenten met medewerkers
06
Met de Nationale Cybersecurity Monitor houdt Pb7 Research in samenwerking met Infosecurity Magazine de vinger aan de pols van de Nederlandse cybersecuritymarkt. Waar de monitor zich in de voorgaande edities beperkte tot de IT-securitymarkt, hebben we dit jaar ook naar OT-security gekeken, met name binnen de sectoren chemie & life sciences en de procesindustrie. We zetten de belangrijkste bevindingen hier voor u op een rij.
10 Diversiteit van cruciaal belang voor invullen security-vacatures 12 Naar een zelfverzekerde digitale organisatie 14 Onderzoekers: cruciale omgevingen hebben andere beveiligingsaanpak nodig
Behandel vitale infrastructuren niet op dezelfde manier als het netwerk van bijvoorbeeld een winkel, maar verbind deze aan een veilig circuit waar hackers niet bij kunnen. Het is een van de belangrijkste aanbevelingen uit het omvangrijke rapport Online Discoverability and Vulnerabilities of ICS/ SCADA Devices in the Netherlands, in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het Ministerie van Justitie en Veiligheid uitgevoerd door de Universiteit Twente.
16 ‘De mix waar we naar zochten’ 18 Risico cyberaanvallen grotere kopzorg voor bedrijven dan krappe arbeidsmarkt 20 Eerste scyber arena in West-Europa geopend 24 Waarom is het zo moeilijk toe te geven dat datalekken van binnenuit ontstaan? 26 Veel aanvallen blijven onder de radar 28 NTT ziet brood in SOC voor elke digitaal gestuurde en beveiligde auto 30 ‘Financiële schade downtime door ransomware 200% gestegen’ Datto publiceerde onlangs de bevindingen van zijn vierde jaarlijkse Global State of the Channel Ransomware Report. Het onderzoek is uitgevoerd onder meer dan 1.400 MSP’s die de IT-systemen beheren voor het mkb. Uit het rapport kwam naar voren dat ransomware nog steeds de meest voorkomende cyberdreiging is voor het mkb.
32 ‘Explosieve toename van aantal BEC-aanvallen’ 34 Bosch kiest voor data-gedreven visie op security 36 Normcommissie Biometrie van start 38 Stop met verdedigen, begin met aanvallen 40 Vlak tarief voor jaarlijks abonnement maakt certificeren aantrekkelijker 42 Cyberrisico’s mkb nemen toe door geautomatiseerde aanvallen 4 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
10
16
14
32
34
BOSCH KIEST VOOR DATA-GEDREVEN VISIE OP SECURITY
De Building Technologie-divisie van Bosch opgericht in 1920 en inmiddels uitgegroeid tot een van ’s werelds toonaangevende leveranciers van security-, veiligheid- en communicatieoplossingen - hanteert sinds enige tijd een datagedreven visie op security.
28
36
NORMCOMMISSIE BIOMETRIE VAN START
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 5
ONDERZOEK
Nationale Cybersecurity Monitor 2020:
Steeds meer incidenten met medewerkers
Met de Nationale Cybersecurity Monitor houdt Pb7 Research in samenwerking met Infosecurity Magazine en Automatie | PMA de vinger aan de pols van de Nederlandse cybersecuritymarkt. Het onderzoek wordt mogelijk gemaakt door sponsors Sophos en Thales. Waar de monitor zich in de voorgaande edities beperkte tot de IT-securitymarkt, met af en toe een klein IoT-uitstapje, hebben we dit jaar ook naar OT-security gekeken, met name binnen de sectoren chemie & life sciences en de procesindustrie. Om de trends op het gebied van IT- en OT-security in kaart te brengen, heeft Pb7 Research in oktober en november van 2019 220 bedrijven met 50 of meer medewerkers ondervraagd met behulp van een web panel survey. We zetten de belangrijkste bevindingen hier voor u op een rij. 6 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
Als we kijken naar het type IT-veilig heidsincidenten dat plaatsvindt binnen Nederlandse organisaties, dan zien we dat het afgelopen jaar vooral het aantal incidenten toeneemt dat specifiek gericht is op de gebruiker. CEO-fraude lijkt, tegen deze trend in, wat op zijn retour. Er zijn verder wat meer incidenten met het verlies van informatiedragers, zoals laptops of opslagmedia. We zien vooral een toename van het aantal bedrijven dat phishing meldt, hoewel het aantal bedrijven dat ook daadwerkelijk schade daardoor heeft geleden, nauwelijks is gegroeid. Ook het aantal incidenten met social engineering is toegenomen, hoewel onze respondenten daar geen schade weten te melden. Deze trend geldt voor al deze incidenten: ze komen vaker voor, maar Nederlandse organi saties weten te voorkomen dat dit ook vaker tot schade leidt. Tegenover de groei van bovenstaande type incidenten, zien we dat er ook incidenten zijn die minder vaak voorkomen. De sterkste terugloop zien we bij DDoS-aanvallen, computerinbraak (hacking) en, wellicht verrassend, bij ransomware. Ransomware richt zich steeds vaker op individuele, grote organisaties. Het aantal getroffen bedrijven neemt daardoor af, terwijl de totaalschade in euro’s juist toeneemt.
Groei security-investeringen De uitgaven voor IT-security blijven sterk stijgen. Volgens de ondervraagde bedrijven stegen de investeringen met 11% in 2019, wat wel lager is dan de 14% die men vorig jaar aangaf te verwachten. Voor 2020 verwacht men hetzelfde percentage. De belangrijkste drijfveer achter de investeringen is niet de angst voor cybercrime, maar het bewustzijn dat de bedrijfsvoering beschermd dient te worden tegen aanvallen. De afhankelijkheid van IT groeit ieder jaar, waardoor het belang van beschermen steeds groter wordt.
Dat wordt mede veroorzaakt door de groei van het gebruik van de cloud en, nog altijd, het gebruik van mobiele apparaten en toepassingen. Het belang van deze drijfveer neemt sterk toe met de groei van IoT.
Medewerkersbewustzijn voornaamste prioriteit Dit jaar zien we eigenlijk voor het eerst een duidelijke verschuiving optreden in de prioriteiten die organisaties stellen bij het investeren in IT-security. In de afgelopen monitors werden netwerk beveiliging en secure content & threat management als de belangrijkste prioriteiten aangemerkt. Dit jaar wordt aan medewerkersbewustzijn het vaakst een hoge of topprioriteit gegeven. Bedrijven ontdekken dat een bewustzijnscursus niet een eenmalige gebeurtenis moet zijn. Niet alleen proberen cybercriminelen op steeds nieuwe manieren in te spelen op menselijke zwaktes, maar het bewustzijn is immers naarmate er tijd verstrijkt ook aan slijtage onderhevig. Na medewerkersbewustzijn heeft identiteits- en toegangsbeheer het vaakst een hoge of topprioriteit. Het idee van een digitale identiteit voor iedere gebruiker, met veelal rolgebaseerde toegang tot informatie en systemen, zorgt ervoor dat niet alle poorten zomaar opengaan. Aan de andere kant kan het een solide oplossing vormen voor het wachtwoorden probleem, zeker als het om 2-factor identificatie gaat. Een goede IAMoplossing is gebruiksvriendelijker en voorkomt problemen met zwakke wachtwoorden.
Aandacht voor IoT-security groeit Over de beveiliging van IoT bestaan veel zorgen. Vooral in de consumentenmarkt zijn er veel producten in de markt waar nauwelijks of onvoldoende is nagedacht over IT-beveiliging. Maar ook in de zakelijke markt is het niet altijd duidelijk
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 7
Onderzoek Figuur 1: De belangrijkste incidenten. Met welke van de volgende incidenten heeft uw organisatie de afgelopen 12 maanden te maken gehad?
Figuur 2: Drijfveren voor security investeringen. Welke van de volgende ontwikkelingen hebben de grootste invloed op investeringen in IT-security voor de komende 12 maanden?
hoe veilig het is om allerlei apparaten maar aan het Internet of het bedrijfsnetwerk te hangen, zodat de leverancier bijvoorbeeld op afstand onderhoud kan plegen. Dat geldt zelfs voor printers, waarmee hackers zich toegang tot het bedrijfsnetwerk kunnen verschaffen. Gelukkig zien we dat het bewustzijn hieromtrent duidelijk is toegenomen.
of volledig gescheiden van IT en dat geldt ook voor IT-security. Toch raken IT en OT elkaar steeds meer. In toenemende mate zijn OT-systemen verbonden aan dezelfde netwerken, zowel het internet als bedrijfsnetwerken. Zo geeft meer dan de helft (56%) van de ondervraagde organisaties aan dat industriële controlesystemen met het kantoornetwerk zijn verbonden.
Onze respondenten maken zich alleen maar meer zorgen over de producten van IoT-productleveranciers, terwijl ze zelf vaker ‘secure by design’ IoT ontwerpen. We zien wel dat de groep bedrijven die zegt security pas aan het eind van het proces toe te voegen het afgelopen jaar niet is afgenomen. Daar valt dus nog wel het een en ander te winnen.
De respondenten geven aan dat er nog een behoorlijke slag te maken is, voordat OT-security zich op een professioneel niveau bevindt. 57% van de organisaties geeft aan dat cybersecurity in productieomgevingen onvoldoende of zelfs geheel niet wordt erkend als een risicofactor. En als we doorvragen naar de grootste uitdagingen op het gebied van OT-security, dan geeft de helft (51%) aan dat het ontbreken van een goed zicht op de kwetsbaarheden een grote uitdaging is. Een bijna even grote groep (43%) zegt dat onvoldoende bewustzijn van de risico’s een groot probleem is.
OT en security hebben elkaar nog niet goed gevonden Om de stand van zaken op het gebied van OT-security te onderzoeken, hebben we bedrijven ondervraagd in de procesindustrie, chemie en life sciences, sectoren waar OT (operational technology) veel voorkomt en veelal zeer belangrijk is. Met OT hebben we het over hardware en software waarmee fysieke processen worden gecontroleerd en aangestuurd, zoals plc’s en SCADAsystemen. Binnen veel organisaties is deze wereld qua organisatie grotendeels
Maar aangezien elementaire kennis over OT-security vaak ontbreekt, is het niet vreemd dat de allergrootste uitdaging te maken heeft met machinebouwers en -leveranciers. Steeds meer machine bouwers en -leveranciers willen immers data uitlezen uit machines om de prestaties te monitoren ten behoeve van
8 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
onderhoud. En een deel van dat onderhoud willen ze bovendien online doen. Zolang het niet duidelijk is hoe veilig dit gebeurt of welke maatregelen nodig zijn om dit veilig te maken, is het niet onterecht dat deze leveranciers de online toegang wordt ontzegd. We kunnen het hebben over alle maatregelen die bedrijven kunnen of moeten nemen om de besturing van de productieomgeving te beveiligen. Maar dat zet niet veel zoden aan de dijk als een organisatie onvoldoende is ingericht is op een cyberveilige productie omgeving. Bedrijven moeten zich ervan bewust worden dat cybercriminelen zich steeds meer richten op de zwakste plekken binnen een organisatie en dat een ‘connected’ OT-systeem een grote aantrekkingskracht uitoefent. De gevolgen van een succesvolle aanval op een productiesysteem kunnen groot zijn: de financiële consequenties van het langdurig stilvallen van de productie kunnen groot zijn. De gevolgen kunnen zelfs nog groter zijn, indien een hacker in staat is om sabotage te plegen aan de fysieke omgeving, waardoor mensen in gevaar komen. Bedrijven dienen allereerst de kwets baarheden en bijbehorende risico’s goed in kaart te brengen, zodat daarmee ook een beter bewustzijn kan worden
Figuur 3: Prioriteiten en investeringen. Hoeveel prioriteit hebben de volgende investeringen in de komende 12 maanden?
Figuur 4. IoT en security. Bent u het eerder eens of oneens met de volgende stellingen met betrekking tot IT-beveiliging rond IoT (Internet of Things) binnen uw organisatie?
gecreëerd binnen de organisatie. Als er inzicht is in de kwetsbaarheden (en dit vergt uiteraard onderhoud), kan inzichtelijk worden gemaakt welk beleid noodzakelijk is, welke maatregelen daarbij behoren en welk budget daarvoor vrijgemaakt dient te worden.
Analyse van de onderzoeksresultaten Tussen het oorverdovende geluid van de noodklokken die permanent om ons heen worden geluid, laten we graag een meer genuanceerd geluid horen over de stand van cybersecurity. De resultaten van de Nationale Cybersecurity Monitor laten zien dat het op een aantal punten beter gaat. En dat is goed nieuws. Het aantal IT-gerelateerde security-incidenten met schade lijkt eerder te zijn gestabiliseerd dan gegroeid. Op zich zeggen bedrijven dat ze met meer incidenten te maken hebben gehad, maar dat het minder vaak tot schade leidt. Er zijn ook incidenten waar minder bedrijven mee te maken hebben gehad, zoals DDoS-aanvallen, computerinbraak en ook ransomware. Wat ook goed gaat, is dat we voor het eerst zien dat de prioriteiten bij IT-security investeringen niet vooral bij netwerkbeveiliging en secure content & threat managementoplossingen liggen. De topprioriteit ligt in 2020 bij medewerkersbewustzijn en identity & access management. Bedrijven zien dat
een eenmalige cursus onvoldoende is in een wereld waar naar steeds nieuwe manieren wordt gezocht om gebruik te maken van menselijke zwaktes. Ook bij het Internet of Things zien we duidelijk vooruitgang. Gelukkig, moeten we wellicht zeggen, omdat er bij veel bedrijven nog een lange weg te gaan is. We zien dat steeds meer bedrijven secure by design toepassen op IoT en dat ze zich steeds meer bewust worden dat ze leveranciers daar ook op moeten beoordelen. Maar er valt op het vlak van cyber security ook nog meer dan genoeg te verbeteren. Dat er minder vaak incidenten met schade zijn, betekent niet dat de totale schade afneemt. Cybercriminelen zijn steeds gerichter bezig om individuele bedrijven binnen te dringen, vaak met een combinatie van verschillende technieken, om daar een grote buit te halen. We zien ook dat het aantal incidenten dat veroorzaakt wordt door onoplettende medewerkers duidelijk toeneemt, waardoor die extra aandacht voor medewerkersbewustzijn duidelijk gerechtvaardigd wordt. Op het gebied van OT-security, de bescherming van productiesystemen, valt nog een wereld te winnen. De risico’s nemen hier snel toe, doordat veel productiesystemen aan het kantoor
netwerk zijn gekoppeld en vaak ook aan het internet. Ook de leveranciers van machines spelen daarbij een rol, aangezien zij hun machines steeds vaker online willen uitlezen en online onderhoud willen plegen. Het ontbreekt bij veel organisaties in de industrie aan een elementair bewustzijn van de risico’s. Als gevolg daarvan ontbreekt het aan beleid, aan maatregelen en aan budget om maatregelen te verwezen lijken. Hoewel de aandacht voor cybersecurity risico’s zeker groeit, is er nog een lange weg te gaan. Als het om cybersecurity gaat, is stilzitten geen optie. De belangen en daarmee de risico’s worden steeds groter, terwijl we als samenleving nog altijd niet in staat zijn om cyber criminelen effectief aan te pakken. Daarbij zouden organisaties minder in hokjes moeten denken: cybersecurity strekt zich uit tot ver buiten het traditionele IT-domein. PETER VERMEULEN is analist bij Pb7 Research
Het onderzoek wordt mogelijk gemaakt door:
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 9
ARBEIDSMARKT
Studie van (ISC)2 geeft aan:
Diversiteit van cruciaal belang voor invullen security-vacatures (ISC)2 - een wereldwijd actieve non-profit vereniging van gecertificeerde cybersecurity professionals - publiceerde onlangs de bevindingen van een onderzoek naar de diversiteit op de werkplek binnen IT-functies in Nederland. Uit de resultaten blijkt dat er sprake is van een vooruitstrevende werkcultuur met brede inspanningen om leeftijd, geslacht en etnische diversiteit op de werkvloer te bereiken. Maar ook geeft de studie aan dat er nog veel meer bereikt kan worden om tot een echt evenwichtig personeelsbestand te komen.
Het gaat om een onafhankelijk onderzoek in opdracht van (ISC)2 onder 250 medewerkers die verantwoordelijk zijn voor het aannemen van IT-functies in organisaties in heel Nederland. Er werd gekeken naar de diversiteit in leeftijd, geslacht, etniciteit en herkomst. Hieruit bleek een grote betrokkenheid bij het bevorderen van diversiteit op de werkplek, waarbij driekwart (76%) van de organisaties diversiteit als een belangrijke waarde of bedrijfsprioriteit noemt. Diversiteit is voor een derde van de organisaties (34%) een lange termijnfocus geweest, die de afgelopen vijf jaar een zakelijke prioriteit was, naast bijna vier op de tien (39%), waarvoor het de afgelopen 2-4 jaar een prioriteit was.
Voordelen diversiteit De reden van dit onderzoek is gelegen in het feit dat diversiteit belangrijk is voor Nederlandse werkge vers. Op de vraag waarom diversiteit zo belangrijk is, kwamen de voordelen van het aannemen van personeel naar voren als de belangrijkste overwe ging, waarbij 31% zegt dat een diverse werkplek helpt om toptalent aan te trekken en te behouden. Dit was de grootste overweging onder de respon denten. Daarnaast gaf 28% aan dat diversiteit op de werkvloer innovatie ondersteunt, door een veel breder scala aan ideeën en perspectieven op tafel te brengen bij het oplossen van problemen of het ontwikkelen van nieuwe producten en diensten. Een kwart (26%) is het ermee eens dat een diverse werkplek interessanter en per definitie aantrek 10 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
kelijker is, terwijl meer dan een vijfde (21%) aan geeft dat de merkwaarde en productiviteit worden ondersteund door een divers personeelsbestand. Uit de gegevens blijkt echter dat er lacunes zijn in de realisatie van deze positieve inspanningen op het gebied van diversiteit. Minder dan de helft (43%) is zeer tevreden over het niveau van gender-diversiteit in hun organisaties, en slechts een derde (38%) voor etniciteit. Meer dan een derde (36%) noemde de IT-afdeling als de meest gender-diverse afdeling in hun organisaties, maar een kwart beschouwde het ook als de minst gender-diverse afdeling. Voor etniciteit werd de IT-afdeling door minder dan een kwart beschouwd als de meest diverse afdeling in hun organisaties, maar een kwart beschouwde het ook als de minst gender-specifieke afdeling. Wat betreft etniciteit werd de IT-afdeling door een kwart (24%) van de respondenten als minst divers gezien, maar werd slechts met 18% gezien als de minst diverse naar etniciteit.
Focus op cyber recruitment De aanwerving voor functies op het gebied van cyberbeveiliging blijft in de regio goed in ontwikke ling, met 86% van de ondervraagden die van plan zijn om in het komende jaar meer personeel aan te werven voor specifieke functies op het gebied van cyberbeveiliging. Zo’n 22% is van plan om 4-6 toegewijde professionals op het gebeid van cyberbeveiliging in dienst te nemen, 16% verwacht 7-10 mensen in dienst te nemen en 11% is op zoek
naar 11-30 mensen. De bevindingen illustreren de uitdaging van vraag en aanbod op het gebied van cybersecurityvaardigheden waarmee organisaties niet alleen in Nederland, maar in de hele EU worden geconfronteerd.
Actie ondernemen Iets meer dan de helft van de organi saties (54%) heeft formele programma’s voor diverse aanwervingen op basis van geslacht, leeftijd en nationaliteit. In termen van wie verantwoordelijk is voor deze programma’s, zegt 40% van de respondenten dat de HR-afdeling de belangrijkste drijvende kracht is achter de inspanningen op het gebied van diversiteit en inclusiviteit. Maar slechts een op de vijf zegt dat senior managers vooroplopen bij de inspanningen op het gebied van diversiteit, terwijl slechts een tiende zegt dat het de C-suite in hun organisaties is die de leiding heeft over diversiteit en de agenda bepaalt voor het opbouwen van een divers technologisch personeelsbestand.
Hoe verder? “In de hele EU zien we pogingen om een cultuur van diversiteit op de werkplek te creëren, om zo de organisatorische uitdagingen aan te gaan. Vooral in de
Meer weten? Kijk voor meer onderzoek naar diversiteit en het cybersecurity-personeelsbestand op www.isc2.org/research cyberbeveiligingsruimte, waar de vraag naar geschoolde professionals groter is dan ooit. Van het bevorderen van een creatievere werkplek tot het verbreden van het aanbod aan vaardigheden en vakbekwame professionals die organisaties kunnen aantrekken en behouden, is diversiteit een belangrijke beslissing die moet worden genomen terwijl er tegelijkertijd voor moet worden gezorgd dat de beste kandidaat voor de rol wordt gekozen”, zegt Deshini Newman, Managing Director EMEA bij (ISC)2 in een toelichting op de onderzoeksresultaten. “De vraag naar gekwalificeerde professionals in de cybersecurity-sector is in de eerste plaats een van de belangrijkste uitdagingen voor de organisatie.”
“Nederland wordt al lang beschouwd als een baken voor succesvolle sociale integratie en deze bevindingen bevestigen dat dit nog steeds het geval is voor het personeel. Toch moet er meer worden gedaan om ervoor te zorgen dat meer vrouwen worden aangemoedigd om deel te nemen aan het cyberbeveiligings personeel, dat minderheden die representatief zijn voor de samenleving worden opgenomen en dat de volgende generatie wordt aangemoedigd om deel te nemen aan het arbeidsproces, en niet wordt tegengehouden door leeftijd en gebrek aan ervaring, zodat zij kunnen leren van hun ervaren collega’s.” VAN DE REDACTIE
‘Driekwart van de organisaties noemt diversiteit als een belangrijke waarde of bedrijfsprioriteit’ INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 11
VISIE
Naar een zelfverzekerde digitale organisatie Uit de Nationale Cybersecurity Monitor 2019 blijkt dat organisaties veel meer kunnen doen om digitale dreigingen met vertrouwen tegemoet te treden.
“De mens lijdt het meest door het lijden dat hij vreest”, luidt een mooi oudhollands spreekwoord. Het zinnetje dat daarop volgt - “…doch dat nooit op komt dagen” - gaat voor cybersecurity helaas niet op. De grootste uitdaging voor moderne organisaties is dat iedereen weet dat er sprake is van een reële en groeiende dreiging uit cyberspace, maar dat vaak opvallend weinig moeite wordt gedaan om de vrees voor die dreiging weg te nemen. Sterker nog: door onzekerheid te laten bestaan, wordt de angst én de dreiging alleen maar groter. De jaarlijkse Nationale Cybersecurity Monitor zegt een heleboel over actuele en bekende dreigingen en incidenten, maar het venijn zit vooral in de conclusies die niet getrokken kunnen worden. Identiteitsdiefstal en datadiefstal bungelen met respectievelijk 16% en 11% onderaan de lijst met incidenten die in het afgelopen jaar door de deelnemers werden gerapporteerd – maar ze staan beide bovenaan de lijst als het gaat om incidenten waarvan de respondenten simpelweg niet weten of ze hebben plaatsgevonden. Waarschijnlijk komen identiteits- en datadiefstal bij veel organisaties nu vaker voor dan ze door hebben - maar dat is niet eens het grootste probleem. 21% van de respondenten geeft aan dat juist de onzekerheid over mogelijke dreigingen voor de grootste onrust zorgt. Dat is jammer, want zekerheid krijgen over de risico’s die een organisatie loopt, en 12 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
hoe die moeten worden opgevangen, is helemaal niet zo moeilijk. Er is alleen nog te weinig aandacht voor.
Weten wat je niet weet In 2020 verwachten de deelnemers aan het onderzoek opnieuw 11% méér uit te geven aan IT-beveiliging. Gevraagd naar de drijfveer voor die stijgende budgetten, blijkt het opnieuw vooral te gaan om vrees voor het onbekende: de toenemende afhankelijkheid van IT wordt genoemd (46%), en het groeiende gebruik van de cloud (43%) en mobiele apparaten en toepassingen (36%). Maar incidenten die daadwerkelijk al hebben plaatsgevonden in de organisatie, bungelen helemaal onderaan als motivatie (10%; minder nog dan de druk van klanten en leveranciers met 19%). Angst en onzekerheid zijn slechte raadgevers. De beste manier om de vrees voor onbekende dreigingen weg te nemen, is door er proactief tegen te wapenen. Door software fundamenteel veiliger te ontwerpen (security by design) en in het hele ontwikkelproces aandacht te vragen voor cybersecurity (door middel van Secure DevOps bijvoorbeeld), zijn security incidenten in de toekomst bijvoorbeeld veel beter te voorkomen - maar juist investeringen in die twee maatregelen krijgen in het onderzoek veruit de laagste prioriteit. Zelfs monitoring, waarbij met behulp van SIEM/SOCoplossingen gezorgd wordt dat de organisatie is voorbereid op mogelijke incidenten, krijgt in het
‘Organisaties die onkwetsbaar zijn voor cybercrime, bestaan niet’ onderzoek maar weinig handen op elkaar. 75% zet nog steeds met name in op toegangsbeheer om complexe aanvallen te voorkomen, terwijl monitoring (48%) en response (38%) als laatsten worden genoemd. Dat is jammer, want een goede defensieve grondhouding is het uitgelezen middel om angst en onzekerheid te bestrijden.
Security in Operationele Technologie Voorbeelden van de gevolgen van een slechte voorbereiding zijn te zien in de Operationele Technologie (OT), bij bedrijven die werken met grote en dure machines, van bruggen en sluizen tot productiestraten en industriële gietovens. Dergelijke OT wordt steeds vaker met het internet verbonden en - dus - kwetsbaar voor cyber threats. Dat is een relatief nieuw soort dreiging voor dergelijke organisaties, maar ook één die ze vaak voor een lastig dilemma stelt. Aan de ene kant kan een bedrijf zich storingen in dergelijke machines niet veroorloven. Aan de andere kant is dat juist vaak een reden om zo min mogelijk veranderingen aan de software te willen doorvoeren, terwijl dat vanuit cyber security perspectief juist een regelmatig
terugkerende vereiste is. Geen wonder dus dat respondenten die met Operati onele Technologie werken vooral een uitdaging zien in machineleveranciers die via het internet gegevens uit willen lezen of onderhoud uitvoeren. Maar goede tweede in hun lijstje uitdagingen is ook hier weer het feit dat ze ‘geen goed zicht hebben op de kwetsbaarheden’. Gezien de potentieel grote gevolgen van een mogelijke cyberaanval op OT is dat tamelijk verontrustend.
medewerkersbewustzijn’ als de absolute topprioriteit. Maar dat bewustzijn moet bedrijfsbreed zijn. Een krachtige organisatie die de wereld vol vertrouwen tegemoet treedt, zich bewust is van zijn kwetsbaarheden, inzicht heeft in de risico’s die het neemt en klaar is om te reageren als het zover komt, heeft een veel betere uitgangspositie dan een bedrijf dat ieder risico probeert te vermijden door de boze buitenwereld buiten te sluiten.
Weg met de angst
Organisaties die onkwetsbaar zijn voor cybercrime, bestaan niet. Maar de wetenschap dat de organisatie is voorbereid op de aanvallen die ongetwijfeld gaan komen, geeft vrijheid van handelen. Door te investeren in maatregelen en samenwerkingen die dat inzicht geven, creëren organisaties een uitgangspositie die het mogelijk maakt te innoveren vanuit een reële inschatting van de risico’s. Organisaties die opereren vanuit een dergelijke zelfver zekerde grondhouding, nemen een enorme voorsprong op hun concurrentie.
Vrees werkt verlammend. De angst voor het onbekende kan ervoor zorgen dat beslissingen worden uitgesteld die genomen moeten worden om op een verantwoorde manier operationeel te blijven. Bij iedere organisatie kan het ervoor zorgen dat innovatie stilvalt, omdat risico’s mijden veiliger lijkt dan maatregelen nemen die het mogelijk maken risico’s op een verantwoorde manier te beperken. Organisaties weten zelf ook wel dat onbekende dreigingen gevaarlijker zijn dan bekende. Niet voor niets noemt 20% van de bedrijven in de Nationale Cybersecurity Monitor ‘investeren in
ROEL VAN RIJSEWIJK is directeur Cyber Defense bij Thales Nederland
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 13
ONDERZOEK
Vitale infrastructuren in Nederland kwetsbaar voor hackers
Onderzoekers: cruciale omgevingen hebben andere beveiligingsaanpak nodig Behandel vitale infrastructuren niet op dezelfde manier als het netwerk van bijvoorbeeld een winkel, maar verbind deze aan een veilig circuit waar hackers niet bij kunnen. Het is een van de belangrijkste aanbevelingen uit het omvangrijke rapport Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands, in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) van het Ministerie van Justitie en Veiligheid uitgevoerd door de Universiteit Twente.
Vergeet de klassieke terroristische aanslag. De nieuwste aanvallen komen van hackers en richten zich op elektriciteitscentrales, ziekenhuizen, bruggen, sluizen en kernreactoren. De laatste jaren is tijdens alle grote wereldwijde conferenties voor digitale beveiliging vaak dezelfde boodschap te horen. ‘We hebben heel veel geld besteed aan onze digitale weerbaarheid, maar het heeft onvoldoende gewerkt. We winnen niet’, zei Alex Dewdney - binnen de Britse 14 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
inlichtingendienst verantwoordelijk voor de digitale veiligheid - recent nog.
Hackers Zijn deze zorgen reëel? Kunnen hackers inderdaad ziekenhuizen en elektriciteitscentrales platleggen? “Jazeker”, zegt Aiko Pras, hoogleraar internet veiligheid aan de Universiteit Twente. “Er zijn de laatste jaren soortgelijke voorbeelden. Denk aan het
incident in Oekraïne. Het oosten van dat land werd getroffen door een stroom storing die honderdduizenden mensen trof. Uit onderzoek bleek dat dat het werk was van hackers, mogelijk uit Rusland.” Ook de Nederlandse overheid neemt dit soort dreigingen serieus. Pras en zijn onderzoeksgroep in Twente wonnen een zogenaamde ‘call’ van de Nederlandse overheid, een opdracht van het ministerie om de vitale infrastructuren in Nederland onder de loep te nemen. “Allereerst onderzochten we hoeveel van dat soort vitale systemen in Nederland zijn te vinden door de hobbyist. Dat zijn er zo’n duizend. Vervolgens keken we hoeveel daarvan er ook daadwerkelijk kwetsbaar zijn, dus welke versies van bepaalde software draaien ze en kan je ze hacken. Zestig vitale systemen kennen meerdere zwakke punten en zijn te hacken. Het gaat veelal om relatief kleine systemen die gebruikt worden voor besturingsdoeleinden, maar wat er precies achter zit, weten we niet.”
Wat betekent dit? Pras en zijn collega’s beschrijven in het
rapport dat bovenstaande ontdekking twee dingen kunnen betekenen. “Allereerst kan je denken: dit is schokkend. Stel dat een of meerdere van die zestig besturingssystemen daad werkelijk iets belangrijks is als een sluisdeur of elektriciteitscentrale? Het andere uiterste is dat het hier kan gaan om zestig systemen die bedoeld zijn om potentiële aanvallers te lokken, honey pots genaamd. Deze leiden af van de werkelijkheid, een valkuil voor hackers. Dit is gangbaar in de wereld van cyber security. We delen hoe dan ook onze bevindingen met de eigenaren van deze vitale infrastructuren.”
Politieke keuze Voor Pras is de belangrijkste uitkomst van het rapport echter gericht op het voeden van het politieke debat over cybersecurity van vitale infrastructuren in Nederland. “Volgens ons moet de overheid zeggen: elk systeem dat vitaal is, moet niet onbeveiligd aan het openbare internet gehangen worden zodat kwaadwillende, eventueel buitenlandse hackers erbij kunnen. We signaleren al een tijd dat er in Den Haag relatief weinig kennis van ICT zit. Slechts
een paar mensen hebben er echt verstand van en besluitvorming gaat traag.” Pras pleit voor een ‘apart stukje internet dat losstaand te beheren is’. “Zoiets bestaat nog niet in Nederland. Alles is nu plat, met een paar verschillende aanbieders die in grote lijnen alle klanten hetzelfde behandelen. Aan zo’n gesloten netwerkstructuur gaat politieke besluit vorming vooraf en juist dat debat willen we met dit rapport aanjagen.” Het rapport Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands is in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC), onderdeel van het Nederlands ministerie van Justitie en Veiligheid, uitgevoerd. Naast prof. Aiko Pras werkten vooral zijn collega’s dr. Jair Santanna, dr. Justyna Chromik en dr. Joao Ceron aan het rapport. Allen zijn onderzoekers binnen de vakgroep Design and Analysis of Communication Systems (DACS) van de faculteit EWI van de UT. VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 15
PRAKTIJK
StepStone zet Mimecast S2 in tegen phishing
‘De mix waar we naar zochten’ StepStone Group krijgt maandelijks honderden phishingmails binnen. Omdat de pogingen tot phishing, spearphishing en impersonatie steeds gehaaider worden, zocht het bedrijf naar betere bescherming. Dat werd de S2-bundel van Mimecast.
16 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
StepStone, een van de grootste aanbieders van vacaturesites ter wereld, is actief in 21 landen. Wereldwijd ontvangt het bedrijf bijna 10 miljoen e-mailberichten per maand. Daarvan moet volgens Serge Groven, Corporate IT Manager bij StepStone Group, het overgrote deel worden tegengehouden. “Ongeveer 70 tot 75 procent van de mails mag niet doorgelaten worden.” Het gaat vooral om spam, maar dat is niet het grootste probleem. “We hebben te maken met honderden phishing pogingen per maand”, vertelt Groven. Daarvan gaat het in tien tot vijftien gevallen om spearphishing en impersonatie. “Je hebt het over goed uitgekiende, zeer gerichte e-mails die erg geloofwaardig overkomen. Denk daarbij aan e-mails waarin iemand zich voordoet als klantenmanager. Die doet het verzoek om codes voor cadeau bonnen door te sturen, zogenaamd voor een campagne. In werkelijkheid zijn het criminelen die deze codes willen stelen.”
Risico te groot Tot nu toe zijn echte problemen uitgebleven, mede doordat de werknemers zeer alert zijn en de phishingpogingen op tijd herkenden. Maar één impersonatiepoging, waar Groven om veiligheidsredenen niet veel details over kan noemen, maakte veel indruk. “Die mail was uiterst zorgvuldig getimed en bijna niet van echt te onderscheiden. Bij succes was de schade niet te overzien geweest.” StepStone vond het risico te groot worden. Daarom ging Groven op zoek naar een gespecialiseerde oplossing. “Voor een organisatie als StepStone is dat een grote uitdaging”, zegt hij. “We zijn een groep van bedrijven met ieder hun eigen ICT-infrastructuur. We werken met meer dan 140 verschillende e-maildomeinen.” Daarnaast heeft
StepStone tienduizenden klanten, voornamelijk mkb-bedrijven met beperkte middelen. “Hoewel ze hun best doen, vinden criminelen zwakheden in hun domeinen. Daardoor kunnen ze bijvoorbeeld mails sturen waarvan het lijkt dat ze van onze klanten komen.”
Geavanceerde beveiliging Na een marktanalyse en een offerte aanvraag koos StepStone voor de S2-securitybundel van Mimecast, met onder meer e-mailbeveiliging, antiphishing, anti-impersonatie en antispam. “Het was precies de mix waar we naar zochten”, zegt Groven. “Wij zochten een leverancier die traditionele methoden combineert met geavanceerde technologie.” Als grote pluspunten noemt hij de filters voor IP- en domein blacklisting, en het feit dat Mimecast gebruikmaakt van de beste technologie die in de markt voorhanden is. StepStone en Mimecast implemen teerden de oplossing in februari 2019. Vanwege de zeer complexe omgeving koos Groven voor een Advanced Implementation-servicepakket met Gold Support. “Je hebt dan direct contact met een zeer ervaren projectmanager en een ervaren engineer van Mimecast. Daarnaast toonde Mimecast flexibel te zijn om dit complexe project in goede banen te leiden. Het is met zoveel verschillende domeinen een grote uitdaging om het goed te plannen. Mimecast stuurde goed bij, en ze gaven ons de tijd om de implementatie succesvol af te ronden.” Groven is hoe dan ook onder de indruk van de dienstverlening die Mimecast biedt. “Mimecast is erg professioneel en biedt uitgebreide begeleiding.”
Meteen resultaat Hoewel de uitrol in mei voltooid was, werd de omgeving al in maart
‘Je hebt het over goed uitgekiende, zeer gerichte mails die erg geloofwaardig overkomen’
gedeeltelijk in gebruik genomen. De resultaten spreken meteen voor zich. “In de periode april en mei, na implementatie van Mimecast voor 70 procent van de omgevingen, is het gemiddelde aantal gemelde spearphishingmails gezakt van 10,2 per maand naar 2,5”, zegt Groven. “Daarnaast kunnen we problemen nu veel sneller dan voorheen oplossen. Voor onderzoeken naar aanvallen moet je voor eDiscovery zoekopdrachten uitvoeren in het archief. Dat ging voorheen heel erg traag. Met Mimecast heb je binnen 1 à 2 seconden resultaat.”
Human firewall Nu de oplossingen volledig zijn geïmplementeerd, kijkt Groven vooruit. Mimecast ondersteunt hem daarbij. “Ik was aangenaam verrast dat Mimecast een customer success manager heeft aangesteld. Zij helpt ons reviewen en neemt regelmatig contact op om de omgeving - waar mogelijk - nog verder te optimaliseren.” Die optimalisatie betreft onder andere de ‘human firewall’ van StepStone: de alertheid van zijn medewerkers, die de groep heeft behoed voor incidenten. Maar met de implementatie van Mimecast S2 laat Groven de teugels op dat punt zeker niet vieren. Integendeel. “We zetten technologie van Mimecast in om de human firewall verder te versterken.” Daarvoor maakt StepStone gebruik van Mimecast Awareness Training. Dit platform maakt gebruikers bewust van cybersecurityrisico’s en leert ze dreigingen herkennen. “Uiteindelijk willen we steekproefsgewijze tests opzetten. Als een medewerker op een link klikt, is er een kans van 5 procent dat deze wordt omgeleid naar een webpagina waarop wat vragen over de link worden gesteld. Denk aan vragen als ‘hoe weet u zeker dat deze link veilig is?’ en ‘weet u precies wie de afzender is?’. Mimecast beschermt StepStone niet alleen tegen phishing en impersonatie, maar vergroot ook de awareness bij de medewerkers.” VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 17
SURVEY
Wil én geld om cyberrisico’s te ondervangen is er, inzicht blijft achter
Risico cyberaanvallen grotere kopzorg voor bedrijven dan krappe arbeidsmarkt Driekwart van de Nederlandse organisaties ziet cyberaanvallen als grootste bedrijfsrisico. Bijna een op de vijf (17%) ervaart de kans op een aanval als grootste bedreiging. Risico’s op het gebied van wet- en regelgeving en economische onzekerheid vormen de nummers twee en drie. Dit blijkt uit de Global Cyber Risk Perception Survey van Marsh.
18 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
Kosten geen barrière voor cyberrisicomanagement
Voldoende geld om risico’s te weren, inzicht ontbreekt
Organisaties onwetend over financiële impact cyberrisico’s
Het onderzoek wijst uit dat Nederlandse bedrijven er veel voor over hebben om zich te weren tegen cyberaanvallen. Slechts 29% van de Nederlandse bedrijven laat zich beperken in het tegengaan van cyberdreiging vanwege de benodigde kosten. In andere Europese landen is financiering een veel grotere drempel; 41% geeft aan dat budget hen ervan weerhoudt cyberrisico’s tot een minimum te beperken. Gregory van den Top, cybersecurity consultant bij Marsh Nederland: “In Nederland zien we dat cyberrisicomanagement steeds hoger op de bestuursagenda staat. Het wordt gezien als strategisch onderdeel om de bedrijfscontinuïteit te waarborgen. Hierdoor zien bedrijven dit niet sec als een ICT-aangelegenheid, waardoor er gemakkelijker meer budget vrijkomt voor de benodigde acties. Nederlandse bedrijven zien in dat investeringen broodnodig zijn. Andere landen kunnen hier een voorbeeld aan nemen.”
In tegenstelling tot andere landen in Europa, blijft Nederland wel achter in het kwantificeren en inventariseren van mogelijke risico’s. Slechts 35% van de Nederlandse bedrijven besteedt aandacht aan het systematisch in kaart brengen van cybergevaren, terwijl er voldoende budget lijkt te zijn om cyberrisico’s in te perken. In de rest van Europa is het precies omgekeerd. 47% van de landen kwantificeert de mogelijke risico’s, maar daadwerkelijke actie blijft daar vaker uit. Onder andere vanwege de hoge kosten. Sjaak Schouteren, Cyber Development Leader bij Marsh Nederland: “Nederlandse organisaties investeren relatief veel in nieuwe technologieën. Daardoor verandert hun risicoprofiel en moet het cyberrisico management hierop aangepast worden. Dit is moeilijk voor organisaties. Daarnaast verandert de modus operandi van cybercriminelen constant. Met als gevolg een kat en muis spel.”
Nederlandse bedrijven beschouwen cyber dus als grootste bedrijfsrisico, maar als het aankomt op hoe zij hierop zouden anticiperen, geeft slechts 19% aan er zeer zeker van te zijn cyber aanvallen te kunnen voorkomen of accuraat te handelen. Van den Top: “Bovendien zien we dat vooral de financiële impact die cyberrisico’s met zich meebrengen, nog onduidelijk is voor Nederlandse bedrijven. Alleen wanneer dit goed in beeld is, kan er een juiste aanpak en de benodigde prioriteiten gesteld worden. Hierdoor wordt het cyberrisico management beleid uiteindelijk effectiever.” VAN DE REDACTIE
Belangrijkste punten uit het rapport Hoewel organisaties cyber als topprioriteit beschouwen, neemt het vertrouwen in hun cyberweerzaamheid af. Cyberrisico’s werden de laatste twee jaar nog sterker verankerd als een organisatorische prioriteit. Tegelijkertijd nam het vertrouwen van organisaties in hun vermogen om deze risico’s te beheersen af. ••Cyberrisico’s worden als topprioriteit gezien. 77% van de respondenten rangschikte cyberrisico’s als een top vijf-zorg voor hun organisatie. ••Ondanks de hoge prioriteit die gegeven wordt aan cyberriskmanagement, hebben maar weinig organisaties vertrouwen in hun eigen capaciteiten om cyberrisico’s in kaart te brengen, te managen en te mitigeren. ••Met name in het kader van het kwantificeren van cyberrisico’s dienen Nederlandse organisaties stappen te maken. ••Budgetten en gebrek aan mandaat vanuit hoger management worden minder als belemmeringen gezien voor adequaat cyberriskmanagement in Nederland vergeleken met de rest van Continentaal Europa. ••Organisaties in Nederland noemen ‘riskmanagement’ significant vaker als een van de belangrijkste eigenaren van cyberrisico’s ten opzichte van de rest van Continentaal Europa. ••47% van de organisaties heeft of is van plan binnen 12 maanden een cyberriskverzekering af te sluiten.
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 19
TRAINING
Op 25 oktober opende Scyber, in samenwerking met Cybergym, de eerste arena in West-Europa. Het heeft niets te maken met fitnessapparaten. Die zijn er in de verste verte ook niet te vinden. Wél gaat het over procesinstallaties: boilers, turbines, HMI-schermen, plc’s van diverse merken, I/O, pompen, schakelaars, et cetera. In een ‘scyber arena’ worden cursisten zeer realistisch getraind op diverse aspecten van industriële cybersecurity.
Eerste scyber arena in West-Europa geopend 20 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
Trainingen in cybersecurity zijn er genoeg: bewustwording van wat er speelt (awareness), opzetten van een cybersecurity beheerssysteem, op een veilige manier schrijven van software, veilige websites maken, database beveiliging, cryptografie, IEC-62443, ethisch hacken, er is keuze genoeg. Maar hierbij gaat het steeds om de vaardigheden/kennis van één persoon. Dat bereidt echter nog niet voor op wat er gedaan moet worden als een bedrijf aangevallen wordt. Scyber’s training in samenwerking met Cybergym doet dat wel: hierbij gaat het om de kwaliteiten van alle personen in een team en hun onderlinge samenwerking, de samenwerking tussen teams en hun management, en hun werkprocessen. Dit met als doel om de aanval zo snel mogelijk te stoppen en (reputatie) schade zo beperkt mogelijk te houden. Cybergym komt uit Israël en is bezig met een wereldwijde expansie. De eerste arena stond in Israël, en die was al heel snel het hele jaar volgeboekt. Daarna volgden er meerdere in Japan, Litouwen, Australië, Zuid-Afrika en in New York. En nu is er dus een in Nederland, op Schiphol, op loopafstand van de aankomstterminal. Ik sprak Henk Pieper - Cybergym Director of Sales, en Danny Onwezen, CEO van Scyber.
Wat is de rol van Scyber? Danny Onwezen: “Mijn achtergrond is informatiebeveiliging. Om grip te krijgen op de risico’s, moet je weten hoe je IT-landschap eruit ziet. Wat is er, welk systeem is vitaal, welk niet? En als er een incident is, wat gaan we doen? Dit is niet alleen werk voor de eerstelijns specialisten, maar ook voor de tweedelijns, die zich meer bezighouden met regelgeving en compliancy. Wij bekijken de training vanuit een risk management aanpak, waar zitten de bedreigingen en wat is een mogelijke
aanval met de grootste impact? Die willen we specifiek trainen, uiteraard in overleg met de klant. Hierin vullen we dus Cybergym aan.”
Wie komen er op een training? Henk Pieper: “Idealiter komt er een gecombineerd team, minimaal zeven en maximaal twintig uit een bedrijf - van C-level management tot aan de technische staf op de werkvloer, IT’ers én OT’ers, en soms zelfs secretaresses. Zij vormen samen het ‘blauwe’ team dat het besturingssysteem moet beheren en bewaken. Verder is er een ‘rood’ team, dat zijn wij dus, en die gaan cyber aanvallen op de systemen uitvoeren. Tenslotte is er een ‘wit’ team. Zij zijn de begeleiders van de cursisten. Zij observeren en analyseren wat iedereen doet , helpen ze waar nodig, kijken naar de interactie tussen de cursisten, hun persoonlijk functioneren, en de samenwerking tussen de teams onderling en hun management.” Danny Onwezen: “Het management kan in de arena in een eigen ruimte zitten. Zij hebben anders vaak de neiging zich te gaan bemoeien met de technische details. Het management moet besluiten nemen, gebaseerd op de informatie van de technici. Op hun beurt moeten die ook leren welke informatie het management nodig heeft. Beide teams hebben hun eigen taak, moeten leren op elkaar te vertrouwen en niet elkaars werk opnieuw te doen. Ik zie weleens dat men elkaar onbewust begint tegen te werken.”
Hoe verloopt een training? Henk Pieper: “Een training wordt afgestemd op het type netwerk, de apparatuur en de software die de klant bezit. Van te voren geeft de klant op wat voor soort cyberaanvallen men wil zien: ransomware, phishing, social media of ‘Advanced Persistent Threats’ -
de speciale malware gemaakt voor industriële omgevingen zoals Stuxnet, BlackEnergy, TriSis, Shamoon, et cetera. Het blijkt erg leerzaam te zijn om te zien wat er gebeurt met een pc als je op dat linkje klikt waarvan je wist dat je er niet op had moeten klikken. Dat kun je ook wel vertellen in een PowerPointpresentatie, maar het echt ervaren is toch net even anders.” “Nadat de cursisten de tijd gekregen hebben om zich vertrouwd te maken met de systemen, begint de eerste oefening. Het rode team zet een aanval op, bijvoorbeeld via het netwerk, maar het kan ook anders - iemand komt binnenlopen en vraagt of hij zijn telefoon aan de usb mag opladen. Natuurlijk mag dat dan van de cursisten, die zich niet realiseren dat dan ook een stuk malware binnenkomt via die telefoon. Dan gaan er even later dingen goed fout in de systemen, en het blauwe team moet dit dan detecteren, analyseren, tegengaan en repareren. Maar de pc’s en de SCADA-systemen liggen er dan al uit, en de website van het bedrijf ook. In de arena in Israël gaat ook de verwarming nog een flink stuk hoger, de vloer loopt onder water, het brandalarm loeit, het licht doet raar … de druk wordt opgevoerd! Met ons beheersplatform kunnen we complete aanvalsscenario’s afspelen, die zich ook aanpassen aan de acties die de cursisten nemen. Danny Onwezen: “Veel organisaties weten niet eens welke systemen en gegevens beschermd moeten worden. Daar is nog nooit over nagedacht. Vanuit de risico-gestuurde denkwijze wil je waarschijnlijk niet alles beschermen, maar alleen de ‘kroonjuwelen’ uit het bedrijf. Maar welke zijn dat?” “Dan blijkt hoe goed een organisatie is in crisismanagement - weet iedereen wat er dan gedaan moet worden? Wie is
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 21
Training de kennis-, ervarings- en samen werkingslacunes zitten. We bespreken op persoonlijk niveau en op teamniveau wat er anders kan. Daarna beginnen we een volgende ronde.” Danny Onwezen: “Teams staan onder een enorme druk en beslissers nog meer. Er is weinig tijd voor onderzoek en om na te denken maar er moeten wel beslissingen genomen worden. De ene persoon kan dit beter dan de andere. Maar de mentale weerbaarheid van beslissers is te verhogen door training. Met een externe partij gaan we dit ook in de training integreren.”
Wat is de gemiddelde uitkomst van een training?
De opening van de training arena door (v.l.n.r.) Henk Pieper, Ofir Hason (CEO Cybergym) en Danny Onwezen.
verantwoordelijk voor wat? Wie weet waar iets van? Welke procedures moeten gevolgd worden, wat moet eerst en wat kan later? Als dit in een bedrijf nog nooit eerder is geoefend, dan gaat dit uiteraard fout. Het gaat trouwens ook fout bij bedrijven die aangeven beter voorbereid te zijn. Maar als men zwaar onder druk staat, werkt het toch weer net even anders. Dan wordt door miscommunicatie en onervarenheid de opgelopen schade nóg groter.” Henk Pieper: “De mensen in het witte team beoordelen hoe dit loopt, en pauzeren de oefening na enige tijd. Er volgt dan een evaluatie van wat er gebeurd is. Dit doen we per persoon, op teamniveau , op management niveau en op bedrijfsniveau. Dan is duidelijk waar
Henk Pieper: “Er is altijd een probleem met de interne communicatie. Die loopt in het begin niet. Verantwoordelijkheden zijn niet duidelijk. Management denkt geen rol te hebben. IT’ers en OT’ers werken op een andere manier, en kennen elkaars omgeving niet, en werken elkaar soms tegen. Het is niet duidelijk hoe verdere schade beperkt kan worden, en wie daarin het voortouw moet nemen. Uiteraard kan niemand alles oplossen, maar iemand moet de leiding hebben, en iedereen moet zijn deel doen. Daarom is het goed als een team uit een bedrijf komt, met mensen uit alle niveaus. Je moet elkaar leren kennen, juist in een crisissituatie.”
Hoe zien Scyber en Cybergym de nabije toekomst? Danny Onwezen: “Deze eerste arena op Schiphol gaat zich onder andere richten op de luchtvaartsector. Maar ik wil ook arena’s bouwen voor andere vitale sectoren. Dan krijgen we ook de mogelijkheid om arena’s aan elkaar te koppelen en een cyberaanval in meerdere sectoren tegelijk te simuleren. Opeens blijkt dat je bedrijf onder vuur ligt, maar de stroom valt uit en de telefoon ook nog.” Henk Pieper: “De arena’s die we op andere plaatsen in de wereld hebben,
‘Deze eerste arena op Schiphol gaat zich onder andere richten op de luchtvaartsector’
kunnen allemaal aan elkaar gekoppeld worden. Bijvoorbeeld in Israël is een arena opgezet voor de energiemarkt. Men kan vanaf Schiphol ook een training volgen op die arena, of een andere elders in de wereld. Verder geeft de aanwezigheid van meerdere arena’s wereldwijd ook de mogelijkheid om aanvallen over meerdere tijdzones en in meerdere landen uit te voeren met meerdere wereldwijd opgestelde teams. Bedrijven die wereldwijd actief zijn, hebben meestal wel een 24/7 SOC - Security Operations Center, maar ook hier geldt dat goed met elkaar samengewerkt moet worden.” Danny Onwezen: “Wij richten ons ook op ecosystemen in de vitale sector. Elektriciteit, toegang tot internet, drinkwater en betalingsverkeer zijn voorbeelden van vitale processen. De vitale sector wordt steeds afhankelijker van bedrijven (vaak mkb) die in een toenemende mate een belangrijke rol spelen. De digitale veiligheid van de producten en diensten die deze bedrijven leveren zijn belangrijk, maar ook de digitale weerbaarheid van deze organisaties. In een verbonden ecosysteem ben je pas veilig als je partners dat ook zijn. Een vitale sector kan zich daarom niet alleen wapenen tegen cyberaanvallen. Een bedreiging is, dat veel organisaties in een ecosysteem de basismaatregelen voor cybersecurity nog niet op orde hebben. Onveilige producten en diensten maken het de aanvaller nog makkelijker. Bovendien hebben organisaties vaak een aantal maanden nodig om te ontdekken dat ze gehackt zijn. Cybercriminelen kunnen al die tijd dus ongehinderd hun gang gaan. Security awareness trainingen onder medewerkers helpen de grip op cyber risico’s te vergroten, zodat men zich meer bewust wordt van de mogelijke gevolgen. Ook netwerkbeheerders van deze bedrijven hebben trainingen nodig om bijvoorbeeld een cyberaanval te herkennen.” “Verder moet cybersecurity een speerpunt zijn bij het ontwikkelen van nieuwe producten en diensten. Secure by design! Vooraf nadenken over digitale veiligheid en weerbaarheid in plaats van achteraf. Voorkomen is altijd beter dan genezen.” ROB HULSEBOS is journalist
22 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
Verbeter uw website security met True
BLOG
Iedere organisatie heeft een guilty secret De term ‘guilty pleasure’ kennen we allemaal, maar ben je ook bekend met een ‘guilty secret’? Hiermee wordt iets bedoeld waar je je van bewust bent, maar waarover je niet in het openbaar spreekt. Het is een probleem of situatie waarvan het bestaan je bekend is, maar waar je niet te veel naar wilt graven omdat je bang bent voor wat er nog meer boven tafel komt. Werknemers als hoofdoorzaak van datalekken is een klassieke ‘guilty secret’. We wijzen niet graag naar het team als de oorzaak van security-incidenten. We willen de schaalgrootte van dit probleem niet onder ogen zien, en we willen niet nadenken over het implementeren van oplossingen om het op te lossen.
Maar ondertussen worden er binnen elke organisatie dagelijks gegevens gelekt door werknemers. De cijfers van de Autoriteit Persoonsgegevens (AP) spreken boekdelen; onbewuste menselijke fouten zijn de belangrijkste oorzaak voor het lekken van persoonsgegevens.
24 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
In de eerste helft van 2019 ontving de AP 11.906 meldingen van datalekken, 63% daarvan werd veroorzaakt doordat persoonsgegevens naar de verkeerde ontvanger werden gestuurd. Brieven die kwijtraakten in de post waren goed voor 10% van de datalekken, verlies of diefstal van apparaten en papieren met gegevens waren goed voor 5%.
Moeilijk Bovendien, security professionals weten dat deze datalekken plaatsvinden. Het 2019 Insider Data Breach-onderzoek toont aan dat 95% van de CISO’s zich zorgen maakt over werknemers die data lekken. Maar uit ervaring weten we dat deze incidenten vaak als te beschamend worden beschouwd om op te biechten. Bovendien zijn ze moeilijk te signaleren en op te lossen. Organisaties leggen liever de focus op het tegengaan van externe, kwaadaardige dreigingen omdat deze eenvoudiger te kwantificeren zijn en daarmee beter bespreekbaar. Maar waarom is het zo moeilijk om toe te geven dat datalekken van binnenuit ontstaan? Allereerst houdt niemand ervan om zijn eigen mensen ergens de schuld van te geven. Het is slecht voor het moraal en het kan leiden tot een niet-productieve schuldcultuur. Naar de buitenwereld toe kan het beeld ontstaan van een organisatie die zijn eigen werknemers - die bovendien zijn aangenomen om verantwoord om te gaan met gevoelige data - niet kan vertrouwen. Daarnaast is het probleem moeilijk op te lossen omdat werknemers zich niet altijd voorspelbaar gedragen; ze handelen autonoom, en staan onder externe druk en invloeden. Voor organisaties is het daarom eenvoudiger om te focussen op statische (en weinig verrassende) technische verdedigingstechnieken zoals antivirus scans en firewalls om bekende en voorspelbare dreigingen aan te pakken.
Stap 1: Geef toe dat er een probleem is Alleen door toe te geven dat er een probleem is, kunnen de juiste middelen worden vrijgemaakt om het op te lossen. Uit de AP-cijfers over de eerste zes maanden van dit jaar blijkt dat een groot deel van de datalekken veroorzaakt wordt door een menselijke fout. De kans is dus groot dat op dit moment data gevaar lopen door fouten van personeel. Het Insider Data Breachonderzoek laat zien dat 79% van de IT-verantwoordelijken aangeeft, dat werknemers in hun organisatie per ongeluk data in gevaar hebben gebracht. En 61% geeft aan dat er bewust data zijn gelekt door werknemers. Het is een
algemeen beeld - een eerste stap is dit erkennen.
Stap 2: Begrijp het probleem Na het erkennen van het hebben van een probleem is het zaak er grip op te krijgen. Begrijpen hoe werknemers omgaan met gevoelige informatie is een eerste stap in het voorkomen van lekken en het beschermen van data. Een van de grootste problemen vormt bijvoorbeeld onduidelijkheid onder werknemers over databezit - zo gelooft 29% van de werknemers dat de informatie en projectdata waarmee ze werken, hun bezit is. Bovendien erkent 60% van de werknemers niet dat het exclusieve recht op bezit van bedrijfsdata bij het bedrijf ligt. Zij zijn van mening dat verantwoordelijke afdelingen of individuen dit recht hebben. In de praktijk betekent dit, dat werknemers vinden dat ze het recht hebben om bepaalde informatie te delen of bijvoorbeeld mee te nemen als ze van baan wisselen.
begrijpen of ze bepaalde data wel of niet mogen delen, en hoe ze beschikbare tools kunnen gebruiken om gevoelige informatie te beveiligen. Uit onderzoek blijkt dat er een verschil is tussen generaties in hoe ze met databezit en -verantwoordelijkheid omgaan. Trainingen educatieprogramma’s dienen hier rekening mee te houden. Ze moeten op maat gemaakt zijn voor de verschillende werknemersprofielen binnen een organisatie. Intuïtief en eenvoudig gebruik van securitytools is eveneens belangrijk - wanneer tools moeilijk in gebruik zijn, is de kans groot dat werknemers manieren zullen zoeken om er niet mee te hoeven werken.
Stap 5: Investeer in moderne technologie
Stap 4: Educatie
Een statische vorm van Data Leakage Prevention (DLP) helpt niet tegen onvoorspelbare werknemers. Een geavanceerde vorm van DLP met contextuele machine learningtechnologie zal dit wel doen. Alleen al de sterke groei van ongestructureerde data en de toenemende manieren waarop werknemers data kunnen delen, tonen aan dat een geavanceerde DLP onmisbaar is. Machine learning wordt bijvoorbeeld ingezet om te voorkomen dat de verkeerde geadresseerden aan een e-mail worden gekoppeld of de verkeerde bestanden worden bijgesloten. Machine learning kan ook bepalen welk encryptieniveau nodig is om data te beschermen. Niet door keywords op een ja-of-nee-manier te benaderen, maar door factoren zoals het gedrag van zender en ontvanger mee te nemen - inclusief het realtime risico dat dit gedrag met zich meebrengt. Werknemers zullen altijd nodig blijven om werk gedaan te krijgen. Dat betekent dat de dreiging van datalekken van binnenuit niet vanzelf zal verdwijnen. Het is tijd om het tij te keren - door werknemers te ondersteunen om veilig en effectief te kunnen werken, door veiligheidsnetten te bieden die fouten opvangen en door kwaadaardig gedrag op tijd te stoppen. Organisaties moeten afrekenen met hun guilty secrets en het herstelproces starten.
De meeste werknemers willen geen gegevens lekken. Betere educatie en training zal ze helpen om beter te
AXEL VAN DRONGELEN is Manager Benelux bij Egress
Stap 3: Maak middelen vrij Securityprofessionals moeten een deel van hun budget inzetten om intern datalekken tegen te gaan. Meer dan de helft van de werknemers die tegen de bedrijfsregels in bewust data heeft gedeeld, deed dit namelijk omdat er geen goede tools beschikbaar waren om data veilig te delen. IT-leiders moeten daarom een databeschermingsbeleid opstellen, inclusief securitytools die intuïtief en eenvoudig in gebruik zijn, ondersteuning voor eindgebruikers en geautomatiseerde securitybesluiten waar mogelijk. Ook moeten ze nadenken over hoe technologie kan helpen om het risico van een lek van binnenuit terug te dringen. Kan de inzet van contextuele machine learningtechnologie bijvoorbeeld helpen om te voorspellen wanneer een werknemer in de fout gaat of risicovol met data omgaat? En kunnen gebruikers en admins vervolgens automatisch gewaarschuwd worden, zodat datalekken eerder worden voorkomen?
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 25
AANVALLEN
Sophos 2020 Threat Report gaat in op voornaamste cyberattacks
‘Veel aanvallen blijven
In het 2020 Threat Report van Sophos dat onlangs is gelanceerd, wordt ingegaan op het snel evoluerende landschap van cyberdreigingen. Het rapport laat zijn licht schijnen op de ontwikkelingen van de laatste twaalf maanden, maar kijkt ook vooruit naar de trends die in 2020 cybersecurity zullen beïnvloeden.
“Het dreigingslandschap blijft zich ontwikkelen, en de snelheid en omvang van deze evolutie is zowel versnellend als onvoorspelbaar”, zegt John Shier, senior security advisor bij Sophos. “De enige zekerheid die we hebben, is wat er op dit moment gebeurt. Daarom kijken we in ons Threat Report 2020 naar de invloed van bestaande trends voor het komende jaar. We benadrukken hoe kwaadwillenden steeds meer onder de radar opereren, steeds vernuftiger worden met het exploiteren van fouten, hun activiteiten goed verborgen houden en detectietechnologieën ontwijken - in de cloud, via mobiele apps en binnen netwerken. Het Threat
‘Ransomware-aanvallers verhogen de inzet met automated active attacks’
26 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
Report 2020 is niet zozeer een plan, maar kan worden gezien als wegbewijzering om zo beter te begrijpen wat de komende periode in petto heeft en hoe bedrijven zich optimaal kunnen voorbereiden.”
Zes gebieden Het Threat Report richt zich op zes gebieden waarin researchers in het afgelopen jaar bijzondere ontwikkelingen hebben opgemerkt. Hieronder bevinden zich ook ontwikkelingen die naar verwachting een significante impact hebben op het landschap van cyberdreigingen in 2020: Ransomware-aanvallers verhogen de inzet met automated active attacks (AAA). Op deze manier worden vertrouwde management-tools van organisaties tegen henzelf gekeerd, beveiligings controles ontweken en back-ups uitgeschakeld. Dit alles om de maximale impact in een zo kort mogelijke tijd te veroorzaken. Ongewenste apps komen dichter bij malware. In het jaar van de Android Fleeceware-apps en meer bijna onzichtbare en agressieve adware belicht het Threat Report hoe deze en andere potentially unwanted apps (PUA), zoals browserplug-ins, tussenpersonen worden voor het leveren en uitvoeren van malware en bestandloze aanvallen.
Misconfiguratie De grootste kwetsbaarheid voor cloud computing is een misconfiguratie door operators. Naarmate cloudsystemen complexer en flexibeler worden,
onder de radar’ Meer weten? Meer informatie over het SophosLabs 2020 Threat Report is te vinden op https://www.sophos.com/threatreport2020.
vormen operatorfouten een groeiend risico. In combinatie met een algemeen gebrek aan zichtbaarheid maakt dit cloud computing-omgevingen een kant-en-klaar doel voor cyberaanvallen. Machine learning, ontworpen om malware te tackelen, wordt zelf aangevallen. 2019 was het jaar waarin het potentieel van aanvallen op machine learning beveiligingssystemen werd benadrukt. Onderzoek heeft aangetoond hoe detectiemodellen voor machine learning mogelijk kunnen worden misleid, en hoe machine learning kan worden toegepast om zeer overtuigende nepinhoud voor social engineering te genereren. Tegelijkertijd passen verdedigers machine learning toe op taal om kwaadaardige e-mails en URL’s te detecteren. Verwacht wordt dat dit geavanceerde kat en muisspel in de toekomst vaker zal voorkomen. Andere gebieden in het rapport zijn onder meer het gevaar om cybercriminele verkenningen mis te lopen, het voortdurend uitbreidende aanvalsgebied van Remote Desktop Protocol (RDP) en de verdere opmars van Automated Active Attacks (AAA). VAN DE REDACTIE INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 27
STRATEGIE
Moderne samoerai verandert in internationale cyberspaceverdediger
‘NTT ondervroeg 2.200 nietIT-beslissers wereldwijd. Daarvan gaf 35 procent te kennen bereid te zijn om losgeld te betalen’
NTT ziet brood in SOC voor elke digitaal gestuurde en beveiligde auto Japanners waren de eerste Aziaten die zich met succes stortten op de automotive-sector, die tot in de zestiger jaren van de vorige eeuw nog steeds het domein was van Europese en Amerikaanse fabrikanten. Nu spelen ze bij het grote Japanse telecomconcern NTT Ltd. met de gedachte om elke auto uit te rusten met een eigen SOC. Aan kennis, investeringsvermogen en daadkracht geen gebrek. NTT speelt een grote rol bij het beheren van de onderlaag van de wereldwijde internet backbone. Gevalideerde data voor geavanceerde analyses is ruimschoots voorhanden. 28 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
’Security by design’ is het credo van de security-divisie van NTT Ltd. “Vanaf het begin van de ontwikkeling van een informatiesysteem moet veiligheid voorop staan”, aldus Charles Bovy, pre sales manager Managed Security voor de EMEA-regio. “Net als bij het bouwen van een huis, wil je dat het fundament goed staat. De beveiligings functionaliteit ga je dus als eerste inrichten. De aanvallen nemen toe in aantal en zijn meer complex van aard. Nog steeds hebben we last van ’script kiddies’ op hun zolderkamers, maar het echte gevaar schuilt in de georgani seerde misdaad. Er zit een businessprincipe achter; zij werken ook met een R&D-budget. We zien door de wet- en regelgeving de rechtszaken flink toenemen. Zo heeft British Airways een flinke boete gekregen omdat ze nalatig zijn geweest bij het beveiligen van hun informatiesystemen. Hun verzekering moet nu uitbetalen. Maar die gaat kijken of bepaalde leveranciers van British Airways ook nalatig zijn geweest en daar claims neerleggen.”
35 procent wil losgeld betalen Volgens de NTT-manager is de AVG nuttig geweest voor het vergroten van de bewustwording bij ondernemingen en overheidsinstanties. Toch verbaast hem de houding van directies met betrekking tot incidenten met ransomware. Zijn bedrijf ondervroeg 2.200 niet-ITbeslissers wereldwijd. Daarvan gaf 35 procent te kennen bereid te zijn om losgeld te betalen. “Ik vind dat ronduit schokkend”, zegt Bovy. ”Ik vraag me af of ze het te betalen losgeld in hun budget hebben opgenomen. Waar haal je anders zomaar het geld vandaan? Het gereserveerde bedrag kunnen ze beter besteden aan beveiligingsmaatregelen. Blijkbaar heeft het met hun bedrijfs model te maken; ze willen de data terug of ze zijn bang voor imagoschade. Maar ze worden wel steeds kwetsbaarder voor geavanceerde aanvallen. En niet alleen zijzelf, maar ook hun partners in de supply chain en tenslotte ook de eindklanten.” Bovy ziet het met lede ogen aan. Hij is al langer actief op het gebied van systeem beveiliging, ook toen dat nog niet actueel was. Hij werkte bij het in 2000 in
Zweden opgerichte bedrijf Secode, dat in 2010 door NTT werd overgenomen. De Scandinaviërs waren toen al ver met de ontwikkeling van oplossingen voor het analyseren van firewall logs. De Japanse inbreng voor het ontwikkelen van managed services, ‘risk compliancy’ en ‘governance’ was groot. Ze bezuinigen in geen geval op R&D. Op jaarbasis pompen ze 3,6 miljard dollar in onderzoek en ontwikkeling. Dat is meer dan sommige concurrerende marktpartijen aan omzet hebben.
Dagelijkse analyse van tien terabyte aan data De projecten zijn breed gericht op bijvoorbeeld het ontwikkelen van smart city’s. Veel technologie voor complexe analyses en machine learning wordt in eigen huis ontwikkeld. Door de omvang van het concern is er veel data beschikbaar, afkomstig van het wereldwijde dataverkeer over de eigen fysieke netwerkkabels op het land en onder de zeespiegel. Het concern acteert als ‘Tier-1’ ISP voor de onderlaag van de internetbackbone over de eigen routers en glasvezelverbindingen, die goed zijn voor een dagelijkse analyse van tien terabyte aan data. Daardoor kunnen de netwerkbeheerders heel precies de penetratie van botnets voorspellen. Bovy: “Met een enorme dataset kun je heel interessante dingen doen. Als je alleen maar beschikt over de analysefunctionaliteit heb je in feite niks. Het gaat om de combinatie. Maar je kunt ook niet alles aan de machine overlaten. Een deel van de meldingen zal je via het menselijk brein moet valideren en daarover rapporteren naar de klanten.”
De afnemers van het Japanse concern zitten niet in de mkb-sector, ofschoon Bovy zich wel realiseert dat juist daar de behoefte aan ondersteuning groot is. Maar de kracht van een multinational komt nu eenmaal eerder tot zijn recht bij andere grote bedrijven dan bij de ‘kleintjes’. Met de achterban in een industrieel gericht land zal het niemand verbazen dat de Japanners juist in die sector wereldwijd veel klanten hebben. Anders dan in de IT-wereld zijn de investeringen in machines en systemen gericht op een veel langere termijn dan vijf jaar. De technologie moeten minstens dertig jaar meegaan. Met de digitalisering van de bedrijfsprocessen is de gevoeligheid voor cybercriminaliteit ook in het OT-segment een belangrijk thema geworden. Bij signaleren en reageren op bedreigingen gelden evenwel heel andere criteria dan in de kantooromgeving. “Je kunt niet zomaar een productieband van bijvoorbeeld auto’s stilzetten om elders in de fabriek een probleem op te lossen”, aldus Bovy en hij vervolgt: ”We verlenen veel beveiligingsdiensten aan de automobiel industrie. Niet alleen in Japan, maar ook in Duitsland. Vanuit die expertise zien we dat auto’s communiceren met andere auto’s en met de backofficesystemen van de fabrikant. In de auto zelf zit een compleet navigatie- en entertainment systeem. Er valt dus voldoende data te loggen in een auto om een SOC te voeden die automatisch kan ingrijpen wanneer de situatie onveilig wordt. Autofabrikanten kunnen zich onderscheiden door hun klanten te vragen of ze een veilige, dan wel onveilige auto willen.” VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 29
RANSOMWARE
Onderzoek Datto stelt vast:
’Financiële schade downtime door ransomware 200% gestegen’ Datto publiceerde onlangs de bevindingen van zijn vierde jaarlijkse Global State of the Channel Ransomware Report. Het onderzoek is uitgevoerd onder meer dan 1.400 MSP’s die de IT-systemen beheren voor het mkb. Uit het rapport kwam naar voren dat ransomware nog steeds de meest voorkomende cyberdreiging is voor het mkb. Ransomware, een type schadelijke software, maakt bedrijfsdata ontoegankelijk tot het geëiste losgeld bedrag is betaald. Ransomware wordt gebruikt tegen organisaties van verschillende groottes, maar mkb-bedrijven blijken het voornaamste doelwit van de aanvallen. Het Global State of the Channel Ransomware Report 2019 geeft inzicht in een aantal trends die specifiek impact hebben op het mkb: • Ransomware-aanvallen komen overal voor, maar het aantal ransomware-aanvallen op het mkb in het bijzonder neemt toe. In de afgelopen twee jaar meldde 85 procent van de MSP’s aanvallen op het mkb, vergeleken met 79 procent in 2018. Alleen al in de eerste helft van 2019 meldde 56 procent van de MSP’s aanvallen tegen mkb-klanten. • Er bestaat een kloof tussen de dreiging van ransomware-aanvallen en de risicoperceptie. 89 procent van de MSP’s zegt dat het mkb bezorgd zou moeten zijn over de dreiging van ransomware. Slechts 28 procent van de MSP’s geeft aan dat hun mkb-klanten zich daadwerkelijk zorgen maken.
30 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
• De kosten van ransomware zijn significant. 64 procent van de MSP’s meldt verlies van bedrijfsproductiviteit van hun mkb-klanten en 45 procent geeft aan dat hun klanten bedrijfskritische downtime hebben ervaren. De gemiddelde schade van deze downtime is 141.000 dollar, een toename van meer dan 200 procent vergeleken met de gemiddelde kosten van vorig jaar (46.800 dollar). Het rapport onthulde ook dat de kosten van downtime nu 23 keer hoger zijn dan het gemiddelde losgeldverzoek van 5.900 dollar.
Oplossingen Een van de meest simpele en effectieve maatregelen voor het voorkomen van ransomware wordt onvoldoende benut: MSP’s geven aan bij slechts 60 procent van de e-mail-clients en bij 61 procent van de passwordmanagers twee-factor-authenticatie in te richten, ondanks het feit dat de meerderheid van de MSP’s (67 procent) beweert dat phishing-e-mails de belangrijkste oorzaak zijn van succesvolle ransomware-aanvallen bij het mkb. Oplossingen voor business continuity en disaster recovery (BCDR) zijn nog steeds het meest effectief
in het beperken van de impact van een ransomware-aanval. 92 procent van de MSP’s geeft aan dat klanten met BCDR-oplossingen minder grote kans hebben op substantiële downtime tijdens een aanval. Ook is volgens vier van de vijf MSP’s de klant met BCDR-tools binnen 24 uur hersteld van een aanval, terwijl minder dan 20 procent van de klanten zonder deze voorzieningen daartoe in staat is. MSP’s hebben de verantwoordelijkheid om het mkb te informeren over de beste beveiliging tegen een ransomware-aanval, inclusief training van het personeel en educatie over welke tools te implementeren.
Dynamisch “We leven in een dynamische wereld waarin alles en iedereen met elkaar verbonden is. Daarom is de urgentie om gegevens veilig te delen en op te slaan groter dan ooit”, zegt Joachim Hodes, Sales & Business Consultant ICT bij Axoft IT & Telecom in Rotterdam, een MSP die zich richt op het bieden van een
frequentie, zorgen we ervoor dat we met onze klanten samenwerken om hun IT-omgeving up-to-date te houden. Zo kunnen we het risico en de impact van een aanval verminderen.”
Zelf ook doelwit
continu geüpdatete digitale werkomge ving aan hun klanten. “Om data veilig te houden en onze mkb-klanten te beschermen tegen cyberaanvallen zoals ransomware, zorgen we voor een proactieve aanpak met betrekking tot cybersecurity. Omdat we zien dat ransomware-aanvallen steeds geavanceerder worden en toenemen in
MSP’s zijn zelf ook doelwit van ransomware-aanvallen, gaf het Department of Homeland Security vorig jaar al aan in een waarschuwing voor MSP’s. Vier van de vijf MSP’s heeft aangegeven dat zij steeds vaker gericht worden aangevallen. Slechts de helft van alle MSP’s beschikt echter over externe expertise in het geval van een groot schalige aanval op hun eigen bedrijf of hun klanten. 60 procent van de MSP’s heeft wel een cyber-aansprakelijkheids verzekering om de kosten van een ransomware-aanval te compenseren. VAN DE REDACTIE
‘Oplossingen voor business continuity en disaster recovery zijn nog steeds het meest effectief in het beperken van de impact van een ransomware-aanval’ INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 31
E-MAILAANVALLEN
Onderzoek geeft aan:
’Explosieve toename van aantal BEC-aanvallen’ Business Email Compromise (BEC)-aanvallen zijn sterk in opkomst. Daarvoor waarschuwt beveiligingsspecialist Mimecast in de nieuwste editie van het Email Security Risk Assessment (ESRA)-rapport. Deze aanvalsmethode, ook wel bekend als impersonatieaanvallen via e-mail, werd maar liefst 269 procent vaker waargenomen dan bij de voorgaande kwartaalmeting. BEC-aanvallen zijn een hardnekkig verschijnsel, mede omdat veel traditionele e-mailbeveiligingssystemen hiermee eenvoudig te omzeilen zijn. De toenemende dreiging kwam recent ook al naar voren in het State of Email Security Report 2019. Daaruit bleek dat 85 procent van de ruim 1.000 respondenten wereldwijd in 2018 een impersonatieaanval heeft meegemaakt. Voor bijna driekwart van die slachtoffers had de aanval een directe impact op de business, bijvoorbeeld financiële schade of klantenverlies. De opkomst van BEC-aanvallen onderstreept het belang van aanvullende securitymaatregelen voor e-mail. In een recent rapport van Osterman Research werd geconcludeerd dat Microsoft Office 365 alleen ‘niet volledig voldoet aan de eisen van veel organisaties’. Momenteel versterkt bijna de helft van de Mimecastklanten de beveiliging van Microsoft Office 365 met diensten zoals Targeted Threat Protection.
E-mailbeveiliging niet effectief De BEC-aanval is een van de vele aanvalsmethoden die op grote schaal worden toegepast. Vanaf de start van het ESRA-onderzoek passeerden 28.783.892 spamberichten, 28.808 malwarebijlagen en 28.726 gevaarlijke bestandstypen de e-mailbeveiliging. In totaal was bij elf procent van de geïnspecteerde e-mails sprake van een ‘false negative’, wat betekent dat een schadelijke e-mail ten onrechte als veilig wordt aangemerkt. “Dit ESRA-rapport toont nogmaals aan dat impersonatieaanvallen een risico vormen voor alle typen organisaties, maar het echte probleem is dat veel e-mailbeveiligingssystemen simpelweg niet effectief zijn”, zegt Nick Deen van Mimecast Nederland. “Daardoor komen tienduizenden schadelijke e-mails in de
32 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
inboxen van medewerkers terecht. Zij staan onder grote druk om zelf veilige keuzes te maken.”
Nieuwe manieren “Cybercriminelen zijn continu op zoek naar nieuwe manieren om traditionele beveiligingssystemen te omzeilen en gebruikers te misleiden”, vervolgt Deen. “Het is absoluut noodzakelijk dat IT- en securitybedrijven investeren in onderzoek en ontwikkeling en zich focussen op de gebruikers, die vaak de zwakste schakel in security vormen. Zo worden organisaties weerbaarder tegen alsmaar evoluerende aanvallen.” VAN DE REDACTIE
TW
.nl
techniek & wetenschap in perspectief
MAAK KENNIS MET TW EN VRAAG UW GRATIS PROEFABONNEMENT AAN! * In TW leest u iedere 2 weken het laatste technische nieuws uit binnen- en buitenland, opinie, achtergrond, vacatures en nog veel meer! Bovendien verschijnt TW ook wekelijks in een online editie met extra foto’s en films. Abonnees hebben toegang tot deze online editie en het complete online archief.
GRATIS NUMM 2 ERS
TW
* U ONTVANGT 2 GRATIS NUMMERS EN DE GRATIS NIEUWSBRIEF Ga naar tw.nl/proefabonnement Volg TW:
SECURITY
Nadruk op video analytics en algoritmes
34 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
Bosch kiest voor data-gedreven visie op security De Building Technologie-divisie van Bosch - opgericht in 1920 en inmiddels uitgegroeid tot een van ’s werelds toonaangevende leveranciers van security-, veiligheid- en communicatie-oplossingen hanteert sinds enige tijd een datagedreven visie op security. De divisie van Bosch heeft een breed productportfolio, dat reikt van professionele audio- en conferentiesystemen tot oplossingen voor toegangsbeheer, inbraak- en branddetectie en videobewaking.
Het doel achter deze oplossingen? Zorgen voor een iets betere en veiligere wereld. Om dat doel te bereiken, maken de video-beveiligingsoplossingen van Bosch gebruik van de nieuwste technologie. Door data centraal te stellen en Artificial Intelligence (AI) toe te passen, helpen oplossingen als Intelligence Video Analysis om kritische incidenten snel te beoordelen. Zo worden meer mensen, gebouwen en eigendommen beschermd. Het bewandelen van deze nieuwe datapaden in een traditionele sector als die van beveiligingssystemen, dát is volgens NetApp data-gedreven.
Realtime videobewaking De data die deel uitmaakt van moderne (realtime) videobewaking moet efficiënt beheerd worden. En precies daar komt NetApp om de hoek kijken: Bosch en NetApp zijn al sinds 2011 partners. De samenwerking zorgt ervoor dat de technologie die nodig is voor de
oplossingen van Bosch soepel draait en dat het datamanagementproces betrouwbaar en efficiënt is.
Toekomst van beveiliging Tegenwoordig omvat beveiliging veel meer dan traditionele videobewaking. Er is dan ook een digitale visie nodig die de beschikbare informatie op nieuwe manieren toepast. Daarom werkten Bosch Building Technologies en NetApp samen aan een data-gedreven beveiligingsoplossing. Met behulp van NetApp-technologieën heeft Bosch zijn Video Recording Manager (VRM) opgewaardeerd naar een oplossing die beveiligingscamera’s in een IoTinfrastructuur verandert in nóg slimmere apparaten. Dit nieuwe type video bewaking omvat de realtime detectie van verdachte activiteiten en maakt daarvoor gebruik van een algoritme en slimme video-analytics. Vermiste zendingen in een magazijn zijn zo bijvoorbeeld binnen enkele seconden automatisch op te sporen. Daarnaast
‘Dit nieuwe type videobewaking maakt gebruik van een algoritme en slimme video-analytics’
detecteert het systeem brand en rook sneller dan een normale rookmelder en gaat het de verspreiding van brand dus beter tegen. Deze videobewaking is dan ook heel uiteenlopend toe te passen, zoals op vliegvelden, in bedrijfspanden, hotels, stadions en magazijnen.
Efficiëntie via datastroom De integratie van NetApp-technologie in de Bosch-oplossing maakt storagevirtualisatie mogelijk. Het NetAppbesturingssysteem schrijft de datastroom rechtstreeks naar de storage, zodat de oplossing alle schijven kan beheren als een grote storageverzameling. Hierdoor is de oplossing in staat videostreams en opslagcapaciteit automatisch te balanceren, en blijven processen ook draaien in het geval van een harde-schijfdefect. Dit garandeert een hoge beschikbaarheid van data, minder complexiteit en ideale schaalbaarheid - zonder limiet op het aantal camera’s. Een visie is hiermee werkelijkheid geworden: Bosch voorziet zijn klanten van een overkoepelend, efficiënt beveiligingsmanagementsysteem dat volledig data-gedreven is. VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 35
BIOMETRIE
Nieuwe activiteit NEN:
Normcommissie Biometrie
van start De vingerafdruk voor het ontgrendelen van de smartphone en de irisscan op het vliegveld zijn voorbeelden van biometrie. Biometrie gaat over het identificeren van mensen op basis van unieke persoonlijke fysieke kenmerken. De normcommissie ‘Biometrie’ vertegenwoordigt hierbij de Nederlandse belangen en gaat binnenkort van start. De identificatie geeft toegang tot een gebouw of product. Voor afspraken over biometrie-technieken worden internationale normen ontwikkeld.
uiteenlopende beroepen van (ICT)technicus tot jurist.
De normcommissie Biometrie werkt samen met internationale experts aan het ontwikkelen van normen die de effectiviteit van biometrie vergroten. Belangrijke onderwerpen zijn formaten voor het uitwisselen van data en biometrische profielen. De experts komen zowel van gerenommeerde tech-bedrijven als van overheids instanties en start-ups. Zij hebben
Er zijn verschillende zorgen rondom het gebruik van biometrie. Denk aan privacy-issues, juridische vraagstukken en het optimaal opslaan en delen van de
Uitdagingen rondom privacy en gegevensopslag
gegevens. Er is geen specifiek wettelijk kader voor biometrie, afgezien van de Algemene Verordening Gegevens bescherming (AVG).
Nederlandse normcommissie Het is van groot belang om ook de Nederlandse stem bij de internationale normontwikkeling te laten horen. Via de Nederlandse normcommissie Biometrie is dit mogelijk. Door deelname in de normcommissie is er inspraak in de inhoud van de biometrienormen. Normcommissieleden zitten bij de internationale commissie van biometrie aan tafel en kunnen invloed op de normen hebben. VAN DE REDACTIE
Meer informatie Kijk voor meer informatie over biometrie op www.nen.nl/biometrie of neem contact op met Inge Piek: e-mail kid@nen.nl of telefoon 015 269 02 60.
36 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
ADVERTEREN
IN INFOSECURITY MAGAZINE?
NEEM DAN CONTACT OP MET JOS RAAPHORST j.raaphorst@archermedia.nl | 088 - 6440 682 www.vakbladen.com/adverteren Volg Infosecurity Magazine:
CLOUDBEVEILIGING
Eenvoudige cyberaanvallen blijven effectief:
Stop met verdedigen, begin met aanvallen In de afgelopen decennia zijn we afhankelijk geworden van digitale middelen. Deze middelen hebben zich in de laatste jaren (bijna) allemaal verplaatst naar de cloud, wat grote invloed heeft op hoe informatie beveiligd moet worden tegen cyberdreigingen. De schade die een aanval kan aanrichten, is enorm. Maar ondanks de recent ingevoerde meldplicht cybersecurity en een strengere wet- en regelgeving omtrent cybersecurity, blijven eenvoudige aanvals middelen volgens de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) effectief. Anno 2019 zijn er meer uitdagingen dan ooit bij het beveiligen van de cloud, maar hoe anticiperen organisaties het beste op deze groeiende tendens?
• ‘Het aantal phising-sms’jes is sinds het begin van dit jaar meer dan verdubbeld’ • ‘Het merendeel van de organisaties is onvoldoende voorbereid op een cyberaanval’ • ‘Regeringsleiders en journalisten bespioneerd via lek in WhatsApp’ • ‘Russische hackers jagen weer op Olympische Spelen’ 38 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
Het is slechts een greep uit recente headlines die het belang van cyberveiligheid onderstrepen. De waarde van gegevens blijft stijgen en cybercriminelen zijn sluwer dan ooit. Daarnaast gaan traditionele bedrijven steeds verder met het aanbieden van diensten online. Het is daarbij zaak om constant te controleren of achterdeurtjes openstaan. Bedrijven beseffen vaak niet welke risico’s ze lopen door niet
Samenwerken met de juiste expert
‘Ondanks dat we ons op het hoogtepunt van cyberaanvallen bevinden, zijn er veel mogelijkheden waardoor iedere organisatie optimaal is voorbereid’
De enige constante factor in het huidige security landschap is dat alles continu verandert: zowel aan de kant van de aanvallers als de ontwikkelingen van de beveiliging. Zorg dat je als organisatie experts hebt die hierin gespecialiseerd zijn of zoek een betrouwbare partner die hiermee kan helpen. De recente cijfers liegen namelijk niet: tegen 2020 zijn er wereldwijd 2 à 3 miljoen vacatures op het gebied van cybersecurity. Er is dus een groot tekort aan cyberveiligheid experts. Een andere belangrijke factor is de capaciteit om veranderingen direct te implementeren. Dit is zeer belangrijk en alleen mogelijk als de juiste experts zijn ingeschakeld. Mijn advies: zorg dat security een focuspunt is binnen jouw organisatie, maak ruimte vrij en wees continu op de hoogte van nieuwe ontwikkelingen van de beveiliging in het IT-landschap. Want, in de huidige tijd is het niet de vraag of je te maken krijgt met een cyberaanval, maar eerder wanneer.
Investeer en voorkom
doordacht met computers om te gaan en zich niet aan procedures rond het updaten te houden. Mede hierdoor ontstaan beveiligingslekken. Ondanks dat er meer bewustzijn heerst over digitale beveiliging bij organisaties, nemen te weinig organisaties essentiële maatregelen. Het duurt nog altijd maanden om een aanval te ontdekken en een geschikte oplossing te vinden. Vaak maken organisaties gebruik van een reactieve aanpak, waarmee zij eigenlijk al te laat zijn. Dit valt te wijten aan de onwetendheid van bedrijven: de balans tussen beveiliging en ondersteuning van de business vergt een verandering van hoe we IT-beveiliging benaderen. De beveiliging moet zich aanpassen aan het gedrag van de gebruikers, als onderdeel van een benadering waarbinnen zowel externe als interne dreigingen centraal staan.
Cybersecurity moet dus bovenaan de prioriteitenlijst staan. Naast de impact voor privacygevoelige informatie, zijn ook de financiële gevolgen van het niet beschikken over de juiste cybersecurity aanzienlijk. Investeer als organisatie in een cyberveiligheidsstrategie en voorkom ellende achteraf. Kijk hierbij naar een gemeenschappelijk niveau van beveiliging en pak bedreigingen uit verschillende bronnen aan. ‘Maar de verschillende cloud-structuren maken de taak om gegevens te beveiligen niet altijd makkelijker’, is een geluid dat ik vaak opvang. Door de verschillende vormen van de cloud (hybrid/private/multi), die ook verschillende combinatiemogelijkheden hebben, uiten consumenten groeiende zorgen over cloud-beveiliging. Inderdaad, met een reactieve aanpak duurt het lang om een aanval te ontdekken. Daarom adviseer ik aan alle organisaties: de aanval is in dit geval de beste vorm van verdediging. Het is namelijk wel degelijk haalbaar om verschillende cloudplatforms, die verschillende beveiligings elementen vereisen, te beveiligen en te zorgen dat de impact van een aanval zo minimaal mogelijk is:
• Bewustwording - De eerste stap is bewustwording: 70% van de onregelmatigheden in organisaties is namelijk nog steeds te wijten aan menselijke fouten. En daar zien cybercriminelen hun kansen: zij vertrouwen erop dat zij menselijke fouten kunnen uitbuiten. Iedereen binnen een organisatie kan de zwakke schakel zijn. Om ervoor te zorgen dat werknemers meer bewust zijn van de kwetsbaarheid van gegevens waarmee zij werken, is het verstandig om een bewustwordingsprogramma op te zetten. Bespreek hierin de laatste ontwikkelingen en valkuilen met betrekking tot security. Denk vanuit verschillende doelgroepen, want niet iedereen hoeft het hoogste niveau van security te bereiken. Door deze bewustwording zullen medewerkers in de toekomst voorzichtiger opereren en zijn er minder zwakke schakels. • Cyber threat hunting Organisaties moeten zelf initiatief nemen en zoeken naar bedreigingen om controle over de hackers te krijgen, ook wel cyber threat hunting genoemd. Maak hierbij gebruik van een 24x7x365 controle om de cloudomgeving te beheren. Het herstellen van een aanval kan maanden duren en miljoenen euro’s kosten. Ga daarom actief op zoek naar potentiële zwakke punten en onregelmatigheden die een indicatie van een aanval kunnen zijn om de organisatie optimaal te beveiligen. Ondanks dat we ons op het hoogtepunt van cyberaanvallen bevinden, zijn er veel mogelijkheden waardoor iedere organisatie optimaal is voorbereid. Ga zelf opzoek naar mogelijke dreigingen, schakel zwakke schakels in de organisatie uit, verklein de impact en bespaar reputatieschade door datalekken. Iedereen is verantwoordelijk voor de beveiliging en zoals Johan Cruijff altijd al beweerde, geldt nog steeds: de aanval is de beste verdediging. BERT STAM is sales directeur NoordEuropa, Rackspace
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 39
CERTIFICERING
Certificaat van (ISC)² staat garant voor vakbekwaamheid IT-security professionals
Vlak tarief voor jaarlijks abonnement maakt certificeren aantrekkelijker ‘Quis custodiet ipsos custodes’ vroegen de oude Romeinen zich af. In ons huidige tijdgewricht stellen we ons nog steeds de vraag wie de bewaker bewaakt. Zeker nu gelijktijdig met de digitale vooruitgang ook de uitwassen zoals cybercriminaliteit grip krijgen op het economisch en maatschappelijk bestel. In ieder geval zijn we in de gelegenheid de vakbekwaamheid van onze digitale poortwachters te borgen, bijvoorbeeld door middel van de internationaal erkende certificaten van (ISC)². Vooralsnog lijkt er geen reden te zijn voor een rigoureuze screeningsactie van alle Nederlandse IT-security professionals. De beroepsgroep voelt natuurlijk wel de verhoogde druk vanuit hun organisaties nu de zo belangrijke IT-infrastructuur steeds meer onder vuur komt te liggen van de georganiseerde misdaad en spionerende landen. Anders dan bij hun IT-collega’s uit bijvoorbeeld de applicatieontwikkeling is bij de securityspecialisten het project nooit afgerond. IT-beveiliging is een niet eindigend proces. Elke deelnemer daaraan zal zolang men in het vak zit - moeten werken aan het bijhouden en opwaarderen van de vaardigheden. De vakbekwaamheid uit zich in het verwerven van certificaten in bepaalde methodieken en technologie. En omdat de techniek zich snel ontwikkelt, eindigt het certificeringstraject in principe nooit. De houders van die certificaten hebben goede onderlinge contacten; ze vormen een hechte gemeenschap van kritische, leergierige professionals.
Drivers maar met gezamenlijke passie (ISC)² behoort tot de grootste non-profit organisaties in de wereld die zich bezighouden met het certificeren van gekwalificeerde professionals op het gebied van cybersecurity. Wereldwijd zijn meer dan 140.000 IT-beveiligingsspecialisten als volwaardig lid of als gelieerd lid aangesloten bij deze associatie. In Nederland certificeerde (ISC)² tot nu toe ongeveer 3.000 mensen. Een recent onderzoek 40 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
onder 250 medewerkers, betrokken bij het aanwerven van IT-specialisten toont dat de beveiligingsspecialisten bij ons in vergelijking met andere landen zich kenmerken door hun grote diversiteit. 76% van de ondervraagden ziet een mix van vrouw, man, genderneutraal, oud, jong en diversiteit in etnische oorsprong als een kernwaarde voor de onderneming. Een derde van de onder vraagde organisaties (34%) legde de afgelopen vijf jaar de prioriteit op diversiteit. Op de vraag waarom dit zo belangrijk is, antwoordt 31% dat diversiteit op de werkplek bijdraagt aan het aantrekken en behouden van toptalent. 28% is zelfs van mening dat diversiteit de innovatie ondersteunt doordat meer ideeën en perspectieven ter tafel komen bij het oplossen van problemen of het ontwikkelen van nieuwe producten en diensten. Los van de uitkomsten van het (ISC)² onderzoek blijkt dat ondanks hun diversiteit, IT-security professionals een gemeenschappelijk passie voor hun vak hebben. Het gaat hen niet alleen om geld of status, maar vooral om de IT-voorzieningen van hun opdrachtgever potdicht te houden voor onbevoeg den. (ISC)² biedt de leden online ondersteuning (Lifeworks) bij bedreigingen.
Geschenk van vereniging aan leden De Engelsman Jason Cope geeft leiding aan de commerciële activiteiten van (ISC)² in Europa, Afrika en het Midden-Oosten. Hij spreekt van een zeer
De lessen kan men in uiteenlopende vormen - zowel online als klassikaal volgen. Het ’Gouden standaard; certificaat CISSP, staat voor Certified Information Systems Security Professional. Wie is geslaagd voor het examen en aantoonbaar minstens vijf jaar in die hoedanigheid operationeel actief is, komt in aanmerking voor het volledige lidmaatschap. Een aanvraag tot lidmaatschap, ondersteund door een ander, bestaand lid van (ISC)² volstaat. Wie wel een certificaat heeft behaald maar nog praktijkervaring moet opdoen, kan gelieerd (associate) lid worden. Leden moeten gedurende een periode van drie jaar wel examens blijven doen en jaarlijks het abonnementsbedrag blijven betalen. Lucy Martin staat aan het hoofd van de ’Recognition’ afdeling van de (ISC)². “Wij kunnen mensen helpen bij het selecteren van de voor hen beste trainingsmogelijkheden. Mochten onze trainingen het beste beantwoorden aan hun carrièredoelstel lingen, dan kunnen we ze verder helpen.”
Jason Cope
Traject uitstippelen
Lucy Martin warme band tussen de certificerings organisatie en de aangesloten leden. Hij noemt het dan ook een ’Gift of Love’, nu is besloten dat de leden niet langer extra voor aanvullende certificaten moeten betalen. De jaarlijkse bijdrage voor het abonnement blijft gehandhaafd op 125 dollar. Daarvoor kun je zonder meerkosten 25 leermodules volgen en andere certificaten halen. “Wij zijn een organisatie zonder winstoogmerk”, zegt Cope. “Het gaat ons er niet om zoveel mogelijk opleidingen te verkopen. Veel certificeringsorganisatie richten zich met hun lesstof bij de trainingen op het halen van het examen door de kandidaten. Wij
daarentegen willen van de kandidaten betere professionals maken en leggen daarop de focus bij de cursussen. Nederland is voor ons een belangrijk land, alleen al door de sterke betrokken heid van de leden. We komen daarom graag naar bijvoorbeeld de Infosecuritybeurs en we organiseren hier ook regelmatig onze eigen bijeenkomsten. Bedrijven kunnen ons direct benaderen of via onze partners Firebrand Training in Nijmegen en Cibit in Utrecht.”
Na aanbeveling lid worden Wie een van de negen (ISC)² certificaten wil halen, moet daarvoor flink studeren.
‘(ISC)² behoort tot de grootste non-profit organisaties in de wereld die zich bezighouden met het certificeren van gekwalificeerde professionals op het gebied van cybersecurity’
Acht van de tien Fortune 500 bedrijven vertrouwen op onze professionals, aldus Martin. “Het certificaat op zich is niet een noodzakelijke vereiste bij deze bedrijven, maar sectorbreed wordt er wel meer en meer naar gevraagd in de vacature-omschrijvingen. CISSP omvat een breed georiënteerde training in onderwerpen die je in een IT-security management positie moet kunnen bevatten. Wil je een penetratietester worden, dan zul je verdere trainingen moeten volgen. We werken nauw samen met gerenommeerde universiteiten en hogescholen. Studenten kunnen studiepunten halen na het volgen van onze trainingen en het behalen van de toets. Maar ons lesmateriaal kan ook opgenomen worden in het curriculum van een universiteit. Naast de officiële, internationale erkenning van vak bekwaamheid profiteren onze leden ook van de geweldige hoeveelheid kennis en ervaring die binnen de gemeenschap is opgebouwd. Die bundelt ons Professional Development Institute. Hun informatie is alleen beschikbaar voor leden. Niet-leden en mensen die bezig zijn een certificaat te behalen, moeten daarvoor betalen.” VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 5 | DECEMBER 2019 | 41
BLOG
Cyberrisico’s mkb nemen toe door geautomatiseerde aanvallen In 2019 zijn er weer veel incidenten geweest in Nederland. Met name mkb’ers waren vorig jaar slachtoffer van cybercrime. Dit blijkt ook uit een recent onderzoek van het Ponemon Institute, meer dan 56% van de mkb’ers in de Benelux waren slachtoffer van een cyberaanval vorig jaar. Ik verwacht dan ook dat de cyberrisico’s voor het midden- en kleinbedrijf in 2020 alleen maar zullen toenemen. Deze toename komt met name vanwege het feit dat cyber criminelen steeds vaker automatiseren. Hierdoor kunnen ze niet alleen gerichter slachtoffers maken, maar ook eenvoudig grootschalige aanvallen plegen. Doordat mkb-bedrijven vaak niet de technische kennis in huis hebben om de potentiële risico’s in te schatten, zullen zij sneller slachtoffer worden van een grootschalige phishing aanval dan een multinational.
Gerichter inzetten Ook de hoeveelheid ransomware aanvallen zullen volgend jaar door geautomatiseerde aanvallen toenemen. Cybercriminelen zullen ransomware gerichter gaan inzetten door aanvallen te plegen op servers van specifieke bedrijven. Hierdoor kunnen ze met minder moeite, meer losgeld vragen. Bedrijven kunnen dergelijke aanvallen voorkomen door hun servers te beveiligen met endpoint software die een anti-ransomware module bevatten. Daarnaast is het aan te raden om gebruik te maken van een monitoring service. Op deze manier kunnen ondernemers de betrouwbaarheid en beschikbaarheid van hun infrastructuur garanderen en overzicht houden over wat er in hun netwerk gebeurt. Gezien bedrijven vaak slachtoffer worden van ransomware door menselijk handelen, is het verstandig om het cyberbewustzijn van medewerkers continu te trainen. Geautomatiseerde aanvallen zullen ook de nodige impact hebben op kwetsbare apparaten met een online verbinding. Er zijn nog veel IoT apparaten op de markt waarbij er niet over de beveiliging is nagedacht. ‘Security by design’ zal hierdoor belangrijker dan ooit worden voor fabrikanten. Eindgebruikers doen er daarom verstandig aan om altijd te vragen naar de veiligheidsrisico’s voordat ze een dergelijk apparaat aanschaffen. Daarnaast is het verstandig om IoT-apparaten altijd te updaten met de laatste patches en sterke wachtwoorden met twee-factor-authenticatie te installeren.
Cyberbewustzijn Een ander belangrijk aspect blijft het cyberbewustzijn van medewerkers. Volgend jaar zullen bedrijven doorgaan met het 42 | DECEMBER 2019 | NR. 5 | INFOSECURITY MAGAZINE
digitaliseren van hun activiteiten en steeds vaker werken in de Cloud. Hierdoor worden bedrijven afhankelijker van technologie. Als medewerkers niet cyberbewust zijn en er geen securitybeleid is, kunnen medewerkers fouten maken. Zwakke wachtwoorden, per ongeluk informatie delen met verkeerde personen of werken op persoonlijke apparaten die niet goed beveiligd zijn kunnen ervoor zorgen dat informatie in verkeerde handen valt. Cybercriminelen maken graag misbruik van medewerkers die niet getraind zijn. Middels een cyberbewustzijn training kunnen medewerkers getraind worden en aanvallen voorkomen. Daarnaast zijn er ook soms boze (ex-)medewerkers, die bepaalde informatie delen met cybercriminelen of misbruik maken omdat ze nog toegang hebben tot kritieke systemen of informatie. Om dergelijk situaties te voorkomen, is een securitybeleid erg belangrijk. Kortom, de lat zal wederom hoger worden gelegd door cyber criminelen. Met name mkb-bedrijven zullen een flinke slag moeten maken. Om dit te realiseren, is het noodzakelijk dat cybersecurity een volwaardig onderdeel wordt van hun businessmodel. Mkb-bedrijven zullen hierbij niet alleen moeten investeren in solide beveiligingsoplossingen, maar ook moeten toewerken naar een duurzame beveiligingscultuur. Aan de andere kant heeft de security industrie ook nog een enorme wereld te winnen. Er is veel diversiteit aan ondernemers en het is lastig om één aanpak te bieden die voor iedereen werkt. Daarom is het belangrijk dat we samenwerken aan totaaloplossingen die betaalbaar zijn. Alleen op deze manier kunnen we de digitale wereld stap voor stap veiliger maken. JERREL ABDOEL, Country Manager G DATA CyberDefense Nederland
WIRESHARK UNIVERSITY WIRESHARK TOOLS AND TRAINING Wireshark University Certified Training Partner SCOS Software Amsterdam/Hoofddorp offers these official Wireshark University courses as the European Wireshark University Certified Training Partner of Gerald Combs, the creator of Wireshark. With more than 1 million downloads of Wireshark per month from Wireshark.org it has become the de facto open source analysis tool.
TCP/IP Analysis and Troubleshooting with Wireshark This
course
is
designed
for
Networking,
Government and Security personnel that need to develop a set of packet investigation and network optimization techniques through study of the Networking Protocols using Wireshark and other Open-Source Analysis tools.
Advanced Network/Security Advanced
Network/Security
Analysis
with
Open Source Tools. This course is designed for Networking, and Security Engineers that need
WiFi Network
to further enhance their Network Analysis skills through study of Advanced Network Analysis using
WiFi / 802.11 Network Analysis and Security.
Wireshark
and
other
Open-Source
Network / Security Analysis tools.
This course is designed for Wireless Network Engineers and Ethernet Network engineers, desiring to add wireless capabilities to an existing network that possess a basic to intermediate general networking knowledge.
Course location: Amsterdam/Hoofddorp
MORE INFO: WWW.SCOS.TRAINING