INFO
SECURITY MAGAZINE
JAARGANG 18 - MEI 2021 - WWW.INFOSECURITYMAGAZINE.NL
DATADELEN OP GROTE SCHAAL KOMT STEEDS DICHTERBIJ
‘ZERO-TRUST VRAAGT OM VOLLEDIGE INTEGRATIE IN HET NETWERK’
EUROPEES VACCINATIEPASPOORT: VEILIG OF NIET?
‘DE CISO VERDIENT PERMANENTE PLAATS AAN DE BESTUURSTAFEL’
EDITORIAL: ROBBERT HOEFFNAGEL
Nog veel te doen COLOFON Infosecurity Magazine is het enige
Toen ik heel wat jaren terug begon als hoofdredacteur van Infosecurity Magazine had ik niet de illusie dat we het probleem van informatiebeveiliging, cybercrime en privacy bijna opgelost hadden. Sterker nog, iedereen die de digitale transformatie van onze maatschappij, het bedrijfsleven en de overheid op zich af zag komen, wist natuurlijk heel goed dat er nog ongelooflijk veel werk verzet moest worden voordat we daadwerkelijk substantiële vooruitgang op die gebieden zouden gaan zien. Als we alleen al kijken naar de ware stortvloed aan datalekken die we de laatste tijd meemaken, is het duidelijk dat er nog lang niet zijn.
onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatie beveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Abonnementen kunnen iedere maand ingaan en worden jaarlijks automatisch verlengd. Opzeggingen, uitsluitend schriftelijk, dienen uiterlijk twee maanden voor het einde van de abonnementsperiode in ons bezit te zijn.
Uitgever Eric Luteijn
Associate Editor Robbert Hoeffnagel +31 (0)6 - 51 28 20 40 redactie@infosecuritymagazine.nl
Communicatie en Marketing Jos Raaphorst +31 (0)6 - 34 73 54 24 jos@infosecuritymagazine.nl
Abonnementen abonnementen@vakbladen.com +31 (0)88 -22 666 80
Vormgeving Content Innovators, Den Haag
Druk Veldhuis Media B.V., Raalte Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever.
Een uitgave van: LuteijnMedia BV Varenmeent 5 1218 AN Hilversum www.infosecuritymagazine.nl
Edwin Feldmann en Eric Luteijn gaan de komende jaren verder met u informeren over alle relevante ontwikkelingen rond informatiebeveiliging en IT-security. Zelf ga ik mij op andere onderwerpen richten. Edwin en Eric hebben volop nieuwe ideeën, daar gaat u de komende weken en maanden ongetwijfeld meer over horen en zien. Ik wens hen veel succes!
hackers. In Infosecurity Magazine proberen we zoveel mogelijk kanten van IT-beveiliging te belichten. Samen gaan we relevante artikelen schrijven waarbij we op zoek gaan naar de blinde vlekken in de beveiliging en sporen we gaten in de markt op. Neem gerust contact met ons op voor alle nieuwtjes en tips! redactie@ infosecuritymagazine.nl
ROBBERT HOEFFNAGEL
EDWIN FELDMANN - LEAD REDACTIE INFOSECURITY MAGAZINE
Heel veelzijdig Een nieuwe start van Infosecurity Magazine is spannend voor iedereen. Ik neem graag het stokje van Robbert Hoeffnagel over om de komende tijd mooie artikelen in het magazine te presenteren. Daarbij duik ik graag in de onderwerpen waarin ik me de afgelopen jaren als IT-journalist al heb gespecialiseerd, namelijk de beveiliging van informatie, systemen en privacy.
Ideeën in overvloed
Gelukkig is er veel te schrijven over deze onderwerpen, IT-security is heel veelzijdig. De markt kent namelijk veel kanten want het ene bedrijf doet iets met veilige mail of het detecteren en elimineren van malware, een ander bedrijf is weer goed in datarecovery of het opleiden van ethische
ERIC LUTEIJN - UITGEVER & HOOFDREDACTEUR
Afgelopen maand ben ik eigenaar geworden van InfoSecurity Magazine, een titel en website die ik al jaren ken. Als uitgever maar ook als meewerkend voorman met de redactie, want in deze security-sector heb ik een enorm netwerk en verbaas me dagelijks waar cyber crime mee bezig is. Dus werk aan de winkel!
INFOSECURITY MAGAZINE | MEI 2021 | 3
TRUST IN GERMAN SICHERHEIT
Inhoud
INFOSECURITY MAGAZINE - MEI 2021 - JAARGANG 19
06 Veilig of niet?
Max Schulze
10
In maart heeft de Europese Commissie een voorstel gepubliceerd voor het ontwikkelen van een ‘digitaal groen-certificaat’, in de media beter bekend als vaccinatiepaspoort. Het doel hiervan is het reizen voor alle inwoners van de EU makkelijker te maken tijdens de corona-pandemie. Zo’n initiatief roept allerlei vragen op, waaronder een belangrijke voor de acceptatie ervan: wordt het veilig of niet?
10 Data Sharing Coalition: Datadelen op grote schaal komt steeds dichterbij Veel organisaties hebben de transitie naar de cloud gemaakt en verwerken dagelijks grote hoeveelheden data. Maar de waarde van die data wordt pas écht benut als organisaties data met elkaar kunnen delen. Niet alleen binnen hun eigen sector of domein, maar ook daarbuiten: cross-sectoraal.
12 Rudolph Araujo van Arista Networks: ‘Zerotrust vraagt om volledige integratie in het netwerk’ Vorig jaar kondigde Arista Networks de acquisitie aan van Awake Security. Nu nemen aanbieders van netwerkoplossingen wel vaker security-firma’s over. De combinatie van het eigenzinnige Arista en een op AI gerichte beveiligingsfirma als Awake biedt in het licht van trends als zero-trust echter interessante mogelijkheden.
18 Andrew Rose, Resident CISO EMEA bij Proofpoint: ‘De CISO verdient permanente plaats aan de bestuurstafel’ Zoals iedere topmanager weet, is er altijd sprake van een bepaalde hiërarchie op C-niveau. Helemaal bovenaan staat de CEO, gevolgd door de CFO en COO, ondersteund door de CRO en CIO. De CISO is een relatief nieuwe toevoeging aan deze C-level-structuur en hij of zij speelt vooral een rol op de achtergrond.
14
22 NEN start ontwikkeling van standaarden voor quantum-technologie.
Anwar Osseyran
Sinds enige tijd zijn verschillende Nederlandse organisaties actief op het gebied van standaardisatie rondom quantum-technologie. Onlangs hebben de quantum-tech start-ups Delft Circuits, Qblox, Orange Quantum Systems en QuantWare samen met onderzoeksinstituut TNO (QuTech) drie voorstellen ingediend voor standaardisatie van quantum computing bij de Europese standaardisatieorganisatie CEN-CENELEC.
22
INFOSECURITY MAGAZINE | MEI 2021 | 5
INFORMATIEBEVEILIGING
Europees vaccinatiepaspoort:
Veilig of niet? In maart heeft de Europese Commissie een voorstel gepubliceerd voor het ontwikkelen van een ‘digitaal groen-certificaat’, in de media beter bekend als vaccinatiepaspoort. Het doel hiervan is het reizen voor alle inwoners van de EU makkelijker te maken tijdens de corona-pandemie. Zo’n initiatief roept allerlei vragen op, waaronder een belangrijke voor de acceptatie ervan: wordt het veilig of niet? Volgens Stephen Davidson, Senior Manager, Governance, Risk & Compliance bij DigiCert is het antwoord op die vraag meer afhankelijk van de doelstelling, ambities en organisatorische aspecten, dan van (security)technologie.
Het Europese digitaal groen-certificaat wordt een digitaal bewijs dat iemand tegen corona is ingeënt, negatief op corona is getest, of van corona genezen is verklaard. De belangrijkste kenmerken ervan zijn: • Digitaal en/of op papier • Verifieerbaar met een QR-code • Gratis • In de landstaal en in het Engels • Veilig en betrouwbaar • Geldig in alle EU-landen De afgifte van het certificaat wordt georganiseerd door de nationale overheden, die daarvoor bijvoorbeeld ziekenhuizen, testcentra en gezondheidsdiensten kunnen autoriseren. Beide versies, digitaal of papier, bevatten een QR-code met essentiële informatie die de echtheid ervan controleerbaar moet maken. 6 | MEI 2021 | INFOSECURITY MAGAZINE
Lokaal of centraal? Davidson begint te vertellen dat er wereldwijd meerdere initiatieven zijn met verschillende doelstellingen, ambities en focus. Zowel van overheden als belanghebbende commerciële aanbieders. Als eerste voorbeeld noemt hij het Excelsior Pass initiatief van de Amerikaanse staat New York, gebaseerd op IBM’s Digital Health Pass blockchain-technologie. Daar is al mee getest en het gebruik wordt gratis en vrijwillig. Het meedoen hieraan wordt gestimuleerd met verleidelijke bonussen, zoals de toegang tot concerten. sportwedstrijden en andere evenementen. “Excelsior Pass is een lokaal initiatief voor het heropenen van de lokale maatschappij en economie, met pilots voor sportevenementen in Madison Square Garden met publiek. Dat is een compleet
‘Bij het Europese digitaal certificaat betekent dit dat alle EU-inwoners de oplossing moeten kunnen gebruiken en alle landen het moeten kunnen uitrollen en beheren’
ander initiatief dan het Europese digitaal groen-certificaat, met als doel het weer mogelijk maken van vrij reizen voor alle EU-inwoners tijdens de coronapandemie. Daarbij moet men rekening houden met zowel de universele mensenrechten als internationale en juridische aspecten.”
Behoeften, ambities en doel Bij alle initiatieven zijn allereerst de behoeften, ambities en het doel van belang, om de projectresultaten en -scope scherp te kunnen afbakenen. In het verleden zijn al te veel IT-projecten ontspoord of gestrand in drijfzand, door het ontbreken van een stevig fundament. “Er worden momenteel meerdere initiatieven gestart vanuit verschillende ambities en belangen”, vervolgt Davidson. “Zoals de IATA Travel Pass voor luchtvaartmaatschappijen om de gezondheid van mensen te kunnen controleren voordat ze aan boord gaan en het AOKpass van de internationale kamers van koophandel (ICC), voor digitale authenticatie inclusief het beveiligen van medische gegevens. Ook organisaties die internationale standaarden ontwikkelen zijn programma’s gestart voor de bijbehorende informatiebeveiliging”. Davidson is van mening dat het succesvol introduceren van een vaccinatiecertificaat of -paspoort meer een uitdaging wordt van alle stakeholders op één lijn krijgen dan de technische ontwikkeling en beveiliging ervan.
Eenvoudig te gebruiken en te beheren Bij het vertalen van de behoeften, ambities en het doel naar de gewenste resultaten is het van cruciaal belang om het gebruik- en beheersgemak in de gaten te houden. Bij het Europese
digitaal certificaat betekent dit dat alle EU-inwoners de oplossing moeten kunnen gebruiken en alle landen het moeten kunnen uitrollen en beheren. Dat lijkt evident, maar is het in de praktijk verre van. Er zijn nu al allerlei belanghebbenden die zich in communities verenigen en via platformen communiceren om de eigen wensen en zorgen actief te delen. Davidson noemde als voorbeelden daarvan de ‘Good Health Pass Collaborative’, een open initiatief waarin organisaties uit de technologiesector, gezondheidszorg en reiswereld zich hebben verenigd en de COVID-19 Credentials Initiative. Laatstgenoemde is een initiatief afkomstig van en gesteund door de Linux Foundation Public Health (LFPH), met als lange termijn doel gezondheidsorganisaties te helpen COVID-19 en toekomstige pandemieën te bestrijden.
Wat willen mensen? Bij een aantal initiatieven valt het op dat de toekomstige gebruikers amper worden geraadpleegd. Oftewel, wat
willen de mensen die straks hun gezondheid moeten bewijzen zelf? Davidson beaamt dit, maar legt vervolgens uit dat EU-inwoners het grondrecht hebben om vrij te reizen binnen Europa en dat het digitaal groen-certificaat als hoofddoel heeft het reizen binnen de EU tijdelijk makkelijker te maken. Het wordt een vrijwillig te gebruiken ‘tracking’ bewijs om verplichte testen en quarantaineperiodes te voorkomen. Kortom het vaccinatiecertificaat is straks ieders persoonlijke eigendom, net als een gewoon paspoort, rijbewijs of het al bestaande inentingenboekje. “Het EU-initiatief leidt tot een digitaal ondertekend bewijs met een QR-code die op basis van minimale persoonsgegevens bewijst dat je gezond bent volgens één van de gehanteerde criteria. Als je dit bewijs op je smartphone of op papier laat zien controleert een centraal systeem of jij inderdaad de betreffende persoon bent en er dus niet wordt gefraudeerd met het certificaat.”
INFOSECURITY MAGAZINE | MEI 2021 | 7
INFORMATIEBEVEILIGING Let op bredere scope De beoogde controle van het Europese digitaal groen-certificaat is te vergelijken met het controleren van digitale certificaten voor andere toepassingen, zoals de betalingen die mensen dagelijks online verrichten. Veel mensen hebben al jaren ervaring en vertrouwen in het scannen van een QR-code met hun bank-app, waardoor het bewezen veilige technologie is om je identiteit en betalingsbevoegdheid te controleren. “Bij oplossingen voor een gezondheidscertificaat met een bredere scope en een app met meer functionaliteit is het belangrijker te letten op de informatiebeveiliging. Daarbij ontstaat namelijk altijd een spanningsveld tussen de toegevoegde waarde van meer data en functies en het bijbehorende risico op softwarefouten of informatiediefstal. Bij DigiCert hebben wij de afgelopen jaren veel kennis en praktijkervaring opgedaan met het opschalen van projecten om de identiteit van mensen digitaal te verifiëren, waaronder voor het gebruik van SIMkaarten en industriële toepassingen.”
Controle elektronische reisdocumenten Davidson vergelijkt het gebruik, de controle en het beheren van het nieuw te ontwikkelen digitaal groen certificaat met andere elektronische reisdocumenten. “Paspoorten en andere identiteitskaarten bevatten een chip met basis persoonsgegevens die conform
een internationale standaard (ICAO) en organisatie worden beheerd en geverifieerd. Deze standaard beschrijft de Public Key Directory (PKD) technologie voor het digitaal ondertekenen van reisdocumenten, die al ruim tien jaar wordt gebruikt door officiële instanties die reisdocumenten afgeven en bij de toegang tot een land verifiëren. Voor het nieuwe vaccinatiepaspoort ziet de Europese Commissie zichzelf als de ‘trusted party die zorginstellingen in alle lidstaten gaat accrediteren om digitale groene certificaten af te geven. Vergelijkbaar met de versleutelde SSL/TLSbeveiligingscertificaten en de bijbehorende beheeromgeving die DigiCert al sinds 2003 voor verschillende data- en privacygevoelige toepassingen levert.”
Veilig of niet? Davidson verwacht dat het Europese digitaal groen certificaat eenvoudig te gebruiken en veilig wordt. “Europa is begonnen met de wet op het gebied van informatiebeveiliging (lees GDPR), het vastleggen van de doelstellingen en geleerde lessen uit het verleden. Het al in gebruik zijnde inentingsboekje en elektronische reisdocumenten werken in de praktijk al jarenlang effectief en veilig. De oplossing moet op korte termijn door een groot aantal certificaatverstrekkers en -mensen te gebruiken zijn en dus eenvoudig van opzet blijven, gebaseerd op bewezen betrouwbare en veilige digitale certificaten”. Het toevoegen van extra
Geleerde lessen DigiCert is als PKI-specialist en ‘Qualified Trust Service Provider’ (QTSP) betrokken bij veel projecten voor een veilige elektronische ondertekening en verificatie. Op basis daarvan deelde Davidson nog twee belangrijke geleerde lessen. Beperk het verzamelen en opslaan van privacygevoelige persoonsgegevens tot het absolute minimum voor de betreffende toepassing. Daardoor blijft een oplossing compacter en worden er minder fouten gemaakt en data blootgesteld bij het verifiëren ervan. Ten tweede zijn technisch eenvoudig ontworpen systemen met een minimaal datagebruik eenvoudiger te beveiligen, te beheren en beter schaalbaar. Bij het Europese initiatief wordt er straks alleen maar een ja/neevraag gesteld op basis van iemands al bekende elektronisch identiteit.
functionaliteit en benutten van hippe blockchain-technologie zoals door de staat New York brengt onnodige uitdagingen en risico’s met zich mee. “Focus op het doel en transparantie voor de gebruikers met betrekking tot de informatiebeveiliging en -gebruik, zijn zowel van doorslaggevend belang voor een brede acceptatie als de toepassing van het digitaal groen certificaat in alle Europese landen.” Van de redactie 8 | MEI 2021 | INFOSECURITY MAGAZINE
CLOUDCUP Speel mee met de grootste IT voetbalpool van Nederland • Iedere dag mooie prijzen • Speel individueel & samen met collega’s • Creëer je eigen bedrijfspool • Pas op elk moment je voorspelling aan
CLOUDCUP Speel mee met de grootste IT voetbalpool
Speel ook mee via de CloudCup app
van Nederland!
Sponsoren
Via Web & App Meespelen kan door je aan te melden op cloudcup.nl of download onze Android & IOS app
DATAMANAGEMENT
Data Sharing Coalition creëert afsprakenstelsel dat aansluit op GAIA-X
Datadelen op grote schaal komt steeds dichterbij Veel organisaties hebben de transitie naar de cloud gemaakt en verwerken dagelijks grote hoeveelheden data. Maar de waarde van die data wordt pas écht benut als organisaties data met elkaar kunnen delen. Niet alleen binnen hun eigen sector of domein, maar ook daarbuiten: cross-sectoraal. Dit is de uitdaging van de Data Sharing Coalition: een open en groeiend internationaal initiatief dat bestaat uit een grote verscheidenheid aan onder andere brancheorganisaties, standaardisatie-instellingen en (cloud)infrastructuuraanbieders.
Samen maken de aan de Data Sharing Coalition deelnemende partijen cross-sectoraal datadelen op grote schaal mogelijk. Dit doen zij door generieke afspraken hierover vast te leggen in een algemeen afsprakenstelsel. Het belangrijkste principe hierbij staat vast: het delen van data moet altijd plaatsvinden onder controle van de rechtmatige eigenaar - de consument of organisatie aan wie de data toebehoort. Dat gebeurt nu nog te weinig. Het delen van data vindt in toenemende mate plaats in de cloud via 10 | MEI 2021 | INFOSECURITY MAGAZINE
grote commerciële platforms die dankzij hun dominante positie in de markt controle behouden over die data. En dus ook over de waarde die data vertegenwoordigt. Met een algemeen afsprakenstelsel kunnen organisaties eenvoudiger en op een betrouwbare en gecontroleerde manier data uitwisselen met andere partijen - zowel binnen als buiten hun sector. Zo wordt een gelijk speelveld gecreëerd en een ‘winner-takes-most’-situatie voorkomen. In plaats van één dominante partij die profiteert van de waardecreatie van data, geldt dat voor alle betrokkenen.
INFOSECURITY MAGAZINE | MEI 2021 | 11
DATAMANAGEMENT
Interoperabiliteit tussen initiatieven
één digitale infrastructuur waarin clouden edge-diensten van Europese aanbieders worden verenigd. Dit is waar het Gaia-X-project zich op richt. Dit vereist generieke afspraken over cloud-infrastructuur in het algemeen, data-opslag (in de cloud), maar ook over data-uitwisseling nodig, al dan niet via de cloud. De Data Sharing Coalition kan met het opstellen van een afsprakenstelsel voor datadelen een belangrijk puzzelstuk bieden.
In januari 2020 nodigde het ministerie van Economische Zaken en Klimaat de markt uit om de samenwerking op te zoeken voor het cross-sectoraal delen van data. De Data Sharing Coalition, ondersteund door het ministerie, is hieruit voortgekomen. De Data Sharing Coalition verkent in een doorlopend proces welke generieke afspraken nodig zijn voor het cross-sectoraal delen van data. Dit zijn afspraken over de zakelijke, juridische, operationele, functionele en technische voorwaarden waaronder data wordt gedeeld.
Hoe komen de afspraken tot stand?
Waar er al verschillende datadeelinitiatieven zijn waarbij een aantal marktspelers afspraken over het delen van data heeft vastgelegd, zijn deze vooral gericht op één specifieke sector of domein. Wanneer interoperabiliteit mogelijk wordt tussen initiatieven, dan is een veelvoud aan nieuwe use cases op het gebied van datadelen mogelijk. Zo ziet ook de Europese Commissie het, die in haar Europese datastrategie de noodzaak benadrukt van een gemeenschappelijke Europese benadering van het gebruik van data in de digitale economie. Hiermee wordt de concurrentiepositie van Europa verstevigd. Voorwaarde is wel dat data vrij moet kunnen bewegen binnen de EU, maar ook binnen en tussen alle sectoren. Mogelijk zelfs via
De inzichten om tot generieke afspraken te komen, verkrijgt de Data Sharing Coalition op drie manieren. Ten eerste door het ontwikkelen van vijf praktische use cases die ieder afzonderlijk nieuwe waarde creëren door het cross-sectoraal delen van data. Hoewel het in deze use cases gaat om het creëren van interoperabiliteit tussen domeinen in een specifieke context, bieden ze ook praktische inzichten in de vereisten voor de generieke afspraken. Zo wordt in een use case onderzocht hoe een consument zijn energiedata kan delen met financiële dienstverlener. Die kan op basis van deze data bijvoorbeeld persoonlijk advies geven over energiebesparende maatregelen en financiering bieden via een lening. Een andere use case richt zich op logistieke organisaties die vrachtdata delen met hun verzekeraar
‘Wanneer interoperabiliteit mogelijk wordt tussen initiatieven, dan is een veelvoud aan nieuwe use cases op het gebied van datadelen mogelijk’
12 | MEI 2021 | INFOSECURITY MAGAZINE
voor het verbeteren van processen en verminderd risico. Behalve de inzichten uit deze use cases, leveren deelnemers van de Data Sharing Coalition ook experts die nuttige input bieden voor het maken van generieke afspraken. Denk aan advies over het gebruik van bepaalde marktstandaarden die in hun sector of domein worden gebruikt om datadelen mogelijk te maken. Tenslotte analyseert een projectteam van de Data Sharing Coalition ook hoe bestaande datadeelinitiatieven zijn ontworpen. Door lering te trekken uit de standaarden die hierin worden gebruikt en te beoordelen of ze in een bredere context van datadelen toepasbaar zijn. Alle afspraken worden uiteindelijk vastgelegd in een generiek afsprakenstelsel. De eerste praktische stappen hiervoor zijn al gezet met de publicatie van het zogeheten Harmonisatie Canvas waarin de hoofdlijnen van deze afspraken zijn verkend. De definitieve versie van dit canvas dient als basis voor een generiek afsprakenstelsel. Dit Trust Framework kunnen organisaties implementeren wanneer zij ook buiten hun sector of domein data willen delen.
Gecontroleerd datadelen op grote schaal Wanneer data op grote schaal wordt gedeeld, krijgen organisaties toegang tot nieuwe databronnen die nieuwe inzichten bieden. Bijvoorbeeld om processen te verbeteren en nieuwe producten en diensten te creëren. Bovendien kan het delen van data een belangrijke bijdrage leveren aan het oplossen van belangrijke maatschappelijke vraagstukken. Wanneer organisaties bijvoorbeeld data met betrekking tot verkeersstromen kunnen delen, kunnen ze inzichten verkrijgen om de mobiliteit te verbeteren. Denk ook aan de
energietransitie: wanneer organisaties meer inzicht krijgen in energiedata, kunnen ze hun producten- of dienstenaanbod verduurzamen of consumenten helpen duurzamere keuzes te maken. Door het realiseren van dit afsprakenstelsel kunnen organisaties eenvoudiger data met elkaar delen. Deze nieuwe waardecreatie kan in totaal zelfs leiden tot een extra BNP-groei van maximaal 1% voor Nederland en een vergelijkbare groei voor andere EU-lidstaten. Van de reactie
Lid worden van de Data Sharing Coalition Als deelnemer van de Data Sharing Coalition maak je deel uit van een actieve en betrokken community die samen de echte waarde van cross-sectoraal datadelen wil ontgrendelen. Wil jij ook meer kennis vergaren en/ of delen over datadelen (via de cloud)? Of zelfs een van crosssectorale use-cases helpen definiëren en realiseren? Word dan lid van de Data Sharing Coalition via https:// datasharingcoalition.eu/nl/ lid-worden-van-de-data-sharingcoalition/
INFOSECURITY MAGAZINE | MEI 2021 | 13
RISICOMANAGEMENT
Onderzoek van AON geeft aan:
‘COVID-19 flinke wake-up call voor IT-afdelingen’ Voor de uitbraak van de corona-crisis kwam een pandemie of een grote gezondheidscrisis bij 82% van de organisaties wereldwijd niet eens voor in de top tien belangrijkste risico’s. Daarnaast had 73% van de respondenten in de EMEA-regio geen plan klaarliggen voor een dergelijke situatie. De uitbraak van COVID-19 is voor veel organisaties een flinke wake-up call. Ook als het gaat ops hun beleid rond ICT en datacenters. Dat blijkt uit het onderzoek ‘Reprioritizing Risk and Resilience For a PostCOVID-19 Future’ van Aon, een dienstverlener op het gebied van onder andere risicoverzekeringen. Eind 2020 werd hiervoor aan ruim 500 risicomanagers, CFO’s en CRO’s uit 41 landen en verschillende sectoren gevraagd hoe zij de corona-crisis hebben gemanaged, of zij hun zakelijke prioriteiten opnieuw hebben ingedeeld en wat de impact op risicomanagement was binnen hun organisatie.
Lage prioriteit Dat een pandemie of grote gezondheidscrisis laag op het risicoregister stond van veel organisa-ties, bleek eerder al uit Aon’s Global Risk Management Survey 2019, waarin dit risico op plaats zestig stond van in totaal 69 geïdentificeerde risico’s. Het is dan ook geen verrassing dat de risico-infrastructuur van veel organisaties niet goed voorbereid was op een dergelijke crisis en dat veel organisaties aanvankelijk niet goed wisten wat te doen toen COVID-19 toesloeg. Uit het nieuwe onderzoek blijkt dat er grote regionale verschillen zijn in de mate waarop organisa-ties voorbereid waren en een plan hadden klaarliggen voor een pandemie. In de APAC-regio was dit voor 52% van de respondenten het geval, tegenover 31% voor Noord-Amerika en slechts 27% in de EMEA-regio en 21% in Latijns-Amerika. Een verklaring hiervoor is de eerdere ervaring die de Aziatische landen hadden met pandemieën zoals SARS of de varkensgriep.
Grondige evaluatie nodig Volgens Alex van den Doel, managing director bij Aon’s Global Risk Consulting, is door de huidige crisis een grondige evaluatie van de inrichting van risico-, continuïteits- en crisismanagement noodzakelijk: “We staan slechts aan het begin van een langetermijnevolutie in risico- en crisisma-nagement. Resilience van bedrijven wordt een onderscheidende factor.” Organisaties kunnen leren van de manier waarop landen in de APAC-regio na eerdere pandemie-en plannen maakten voor een nieuwe gezondheidscrisis. Tegelijkertijd is er meer nodig, omdat de coronacrisis ook zorgt voor nieuwe risico’s of een toenemende dreiging van bestaande risico’s. Doordat veel mensen thuis werken, is er bijvoorbeeld een grotere dreiging van cyberincidenten doordat de afhankelijkheid van digitale platformen is toegenomen. “Organisaties moeten echt aan de slag met een grondige herziening van hun risicomanagementstrategie. Corona is de wake-upcall, maar organisaties moeten echt met een breder perspectief kijken naar alle bestaande risi-co’s met grote impact, zoals cyber, geopolitiek, leveranciersketen, klimaatverandering en zoge-noemde longtailrisico’s; 14 | MEI 2021 | INFOSECURITY MAGAZINE
nieuwe risico’s met een kleine kans, maar met een grote impact”, legt Van den Doel uit. Om voorbereid te zijn op toekomstige crises zoals door de huidige pandemie is ontstaan, is vol-gens Aon een breder perspectief nodig op risicomanagement waarbij samenhang tussen alle on-derdelen van een organisatie cruciaal is. Van den Doel: “Dan gaat het om zaken die tachtig% van de respondenten uit het onderzoek ook aangeven, zoals HR, IT, compliance en finance. Het anti-ciperen op nieuwe risico’s vergt creativiteit vanuit meerdere disciplines. Betrek deze dan ook bij risico-, continuïteits- en crisismanagement omdat ze vroeg of laat geraakt zullen worden door ver-wachte en onverwachte risico’s en ook onderling afhankelijk zijn.” Van de redactie
Suite voor
Privacy & Informatiebeveiliging: Flexibele best practice tooling voor privacy en informatiebeveiliging conform ISO27001 en NEN7510
MODULE
MODULE
Verwerkingsregister
Risico’s & Maatregelen
Leg een verwerkingsregister aan en krijg inzicht in je datalandschap
Ontdek de risico’s in je organisatie en leg bijbehorende maatregelen vast
MODULE
MODULE
Audits & Afwijkingen
Klachten & (Aan)vragen
Door eenvoudig online audits en controles uit te voeren krijg je direct grip op de opvolging van vervolgacties
Borg registratie en afhandeling van klachten en aanvragen persoonsgegevens
MODULE
MODULE
Privacy Incidenten
Verbeterplannen
Registreer, behandel en analyseer eenvoudig privacy incidenten
Leer van diverse signalen en zet de stap naar structureel verbeteren in je organisatie
Kijk voor meer informatie en een gratis adviesgesprek:
www.smile.nl/isms
INTERVIEW
Rudolph Araujo van Arista Networks:
‘Zero-trust vraagt om volledige integratie in het netwerk’ Vorig jaar kondigde Arista Networks de acquisitie aan van Awake Security. Nu nemen aanbieders van netwerkoplossingen wel vaker security-firma’s over. De combinatie van het eigenzinnige Arista en een op AI gerichte beveiligingsfirma als Awake biedt in het licht van trends als zero-trust echter interessante mogelijkheden. Inmiddels heeft Arista in de vorm van ‘multi-domain segmentatie voor zero-trust security’ eerste productaankondigingen gedaan waarin de technologie en ideeën van beide firma’s terugkomen. Infosecurity Magazine vroeg Rudolph Araujo van Arista Networks om een toelichting.
16 | MEI 2021 | INFOSECURITY MAGAZINE
Ooit was het leven van een CISO redelijk overzichtelijk: er was leven binnen de firewall en leven buiten de firewall. Wat binnen de firewall gebeurde konden we beveiligen en ‘dus’ vertrouwen, alles daarbuiten was gevaarlijk. Met trends als cloud, mobility en remote werken is die wereld veel complexer geworden. Het verschil tussen ‘binnen’ en ‘buiten’ is nu immers volstrekt onduidelijk.
Zero-trust Het concept ‘zero-trust’ helpt hierbij, vertelt Rudolph Araujo van Arista Networks in een interview met Infosecurity Magazine. Zero-trust komt er kort gezegd op neer dat we geen enkele gebruiker in het netwerk vertrouwen tot duidelijk is wie die gebruiker is. Pas daarna worden aan die gebruiker rechten gegeven. Maar hoe stellen we precies vast wie een gebruiker is? IP-adressen werken overduidelijk niet (meer). Inloggegevens geven ook niet voldoende zekerheid. En zelfs als we met enige mate van zekerheid kunnen vaststellen wie de gebruiker is, hoe bepalen we dan tot welke applicaties of data deze user toegang mag hebben? Dat wordt nog eens extra complex als we bedenken dat er veel gebruikers zijn die voor hun werk toegang nodig hebben tot steeds weer andere systemen en databases eb ‘binnen komen’ via dan weer een ISP, dan weer een mobiel netwerk en dan weer via een bedrijfsnetwerk. Het is voor Rudolph Araujo volstrekt duidelijk dat we dit niet kunnen oplossen
met - zeg maar - klassieke oplossingen als directory services, firewalls en dergelijke. De wereld waarin de CISO opereert is daar te complex voor geworden. “Zero-trust biedt echter zeer interessante kansen. Dat je niemand vertrouwt betekent dus ook dat je eerst voor iedere individuele gebruiker de identiteit moet vaststellen. Dat doen we op basis van zoveel mogelijk informatie. Over het apparaat waarmee die gebruiker zich in het netwerk meldt, de applicatie of service waarmee dit gebeurt, (historische) gegevens over de app of service die wordt benaderd, hoe een databron in de regel door gebruikers wordt benaderd, noem maar op. Veel van die informatie is rechtstreeks gekoppeld aan die gebruiker zelf, maar we kunnen natuurlijk ook veel relevante informatie uit de netwerkomgeving halen. Dat maakt de combinatie van Arista en Awake voor mij ook zo interessant.”
daar hebben we erg veel AI-gerelateerde technologie voor security ontwikkeld. Mits je voldoende informatiebronnen kunt gebruiken - over users, de opbouw van het netwerk, de databronnen, de cloud services die deel uitmaken van de netwerkomgeving van de organisatie noem maar op - kan een AI-engine heel goed patronen herkennen.”
Snel analyseren
Waarschijnlijkheid
Een AI-engine heeft echter tijd nodig om data te bekijken en te analyseren. Araujo geeft aan dat de AI-model dat Arista toepast niet afhankelijk is van wat hij noemt ‘unsupervised learning’. Het komt geladen met al veel informatie bevat. Het gaat dan om gegevens over de netwerkomgeving, overzichten van bestaande gebruikers maar ook veel analytische gegevens. De AI-engine zal bij ingebruikname een tijd lang in de achtergrond het netwerk analyseren. Pas nadat die fase is afgerond, kan de zero-trust aanpak met de bijbehorende AI definitief in gebruik worden genomen.
Een van de problemen die je dan wel moet oplossen is het feit dat veel informatie die we kunnen gebruiken om de identiteit van een gebruiker vast te stellen gespoofed kan worden. Hierbij kunnen we echter werken met ideeën die onder andere zijn ontwikkeld in de financiële sector om de identiteit van een persoon vast te stellen die een transactie wil doen. Uitgangspunt hierbij is: we zullen nooit voor de volle 100% zeker weten of de persoon die zich meldt voor deze transactie inderdaad de eigenaar van de rekening is en het recht heeft de transactie te doen. Maar we weten wel dat er tal van factoren zijn die we kunnen gebruiken om zo goed mogelijk vast te stellen of dit klopt. Banken meten al deze factoren en bepalen vervolgens of de gebruiker bij voldoende factoren goed scoort. Een enkele afwijking kan hierbij worden geaccepteerd, mits de totale score maar boven een bepaald niveau blijft. Voorbeeld: een remote worker die iedere keer via een ander IP-adres zich binnen het netwerk meldt wordt dan niet steevast als een potentieel gevaar gezien, mits deze gebruiker op de meeste andere factoren wél goed scoort.
In de aankondiging spreekt Arista naast zero-trust - van multi-domain segmentatie. Het heeft hiervoor MSSGroup ontwikkeld. Dit gaat verder dan het bekende segmenteren van een netwerk in subnetten en dergelijke. Bij MSS-Group wordt gewerkt met functionele rollen. Voorbeeld: camera’s of DVR’s. Hierbij wordt geen gebruik gemaakt van netwerkadressering, maar wordt per functie gegroepeerd. Per apparaat kan vervolgens worden vastgelegd met welke andere apparaten of netwerksegmenten mag worden ‘gepraat’. Voorbeeld: een camera mag enkel en alleen met de DVR communiceren die zijn video opslaat. Loopt dit verkeer via een controller, dan mag ook met die controller worden gecommuniceerd. Maar die controller mag weer niet communiceren met een camera in een ander netwerksegment of bijvoorbeeld met een ander type IoT-sensor. En ook niet met bijvoorbeeld het CRM-systeem of een HR-omgeving. Een cybercrimineel die een soms slecht beveiligd IoT-apparaat weet over te nemen, krijgt hierdoor dus geen toegang tot de apparaten, applicaties, services of databronnen elders in het netwerk.
Araujo kan zich goed in deze vergelijking vinden. “Ik kom zelf van Awake Security en
Van de redactie
INFOSECURITY MAGAZINE | MEI 2021 | 17
VISIE
Andrew Rose, Resident CISO EMEA bij Proofpoint:
‘De CISO verdient permanente plaats aan de bestuurstafel’ Zoals iedere topmanager weet, is er altijd sprake van een bepaalde hiërarchie op C-niveau. Helemaal bovenaan staat de CEO, gevolgd door de CFO en COO, ondersteund door de CRO en CIO. De CISO is een relatief nieuwe toevoeging aan deze C-level-structuur en hij of zij speelt vooral een rol op de achtergrond.
Iets meer dan vijf jaar geleden vond meer dan 74% van de bestuurders op C-niveau dat de CISO geen plaats aan hun tafel verdiende. En meer dan 60% geloofde dat de CISO zou falen in een rol die niet volledig met security te maken had. Gelukkig veranderde deze houding met de toenemende professionaliteit van de CISO-functie. Uit een recent rapport blijkt dat 68% van de leidinggevenden erkent dat het belang van security is toegenomen en 77% is van mening dat de CISO hierdoor een grotere invloed op het bedrijfsproces heeft.
verantwoording geroepen na een spraakmakend incident, maar zelden als gevolg van uitstekende best practices op het gebied van security. De huidige Corona-pandemie is hier een perfect voorbeeld van. De CISO speelt nu een centrale rol in een bedrijfsstrategie die zich in een stroomversnelling bevindt. Nu organisaties zich aanpassen aan een nieuwe manier van werken op afstand, is het aan de CISO om de ‘showstoppers’ te identificeren, de gaten te dichten en te zorgen voor een veilige overgang naar het nieuwe werkmodel of de gevolgen onder ogen te zien.
Niet altijd positief
Kloof
Het toegenomen besef is echter niet altijd positief. De rol van de CISO, en cybersecurity in het algemeen, wordt enigszins als vanzelfsprekend beschouwd en krijgt alleen aandacht wanneer het fout gaat. CISO’s worden altijd door het bestuur ter
Meer belangstelling voor de functie betekent ook niet per se dat de pikorde op C-niveau is veranderd. Van de 62% van de Fortune 500-bedrijven die over een CISO beschikken, vermeldt slechts 4% wie deze functie vervult op zijn website. Dit gebrek aan invloed komt ook intern tot uiting. Meer dan 50% van de CISO’s geeft toe dat de relaties met andere afdelingen, waaronder de financiële afdeling, onder druk staan. Er blijft een kloof bestaan tussen de erkenning van het belang van de rol en het gezag en de invloed van de CISO. Dit is, in ieder geval deels, te wijten aan het onvermogen van security-professionals om efficiënt te communiceren met andere bestuurders op C-niveau. Om deze kloof te overbruggen moeten CISO’s de taal van de C-suite leren. Ze moeten eerst denken als bestuurder en pas daarna als technoloog.
Aan de bestuurstafel Er zijn verschillende factoren die de opkomst van de CISO verstoren. Ten eerste is wat wij onder risico’s verstaan nieuw in de bestuurskamer. De financiële afdeling brengt leidinggevenden al jaren op de 18 | MAART 2021 | NR. 1 | INFOSECURITY MAGAZINE
hoogte van financiële risico’s. Risico in die context is een zakelijke functie met gevestigde modellen, terminologie en meetmethoden die elk bestuurslid begrijpt. Dit kan niet worden gezegd van cybersecurity. Slechts weinigen buiten ons vakgebied zijn bekend met de basisprincipes, laat staan met de steeds veranderende bedreigingen en de gedetailleerde kennis die nodig is om een moderne organisatie te verdedigen. Onze meetbare waarden zijn ook minder tastbaar dan andere bedrijfsfuncties. Een organisatie beschermen is geen exacte wetenschap. We zijn niet altijd in staat om geruststellende antwoorden te geven over wat goed of fout is. Daarnaast kan een situatie van de ene op de andere dag veranderen, omdat een nieuwe kwetsbaarheid kan betekenen dat wat veilig was, nu kwetsbaar is. Omdat slechts weinig bestuursleden ervaring hebben met cybersecurity, moeten we deze antwoorden ook in lekentaal uitleggen. Dit kan het belang van het probleem en de complexiteit van de oplossingen bagatelliseren.
bedrijfsvoering. Het is de taak van de CISO om erachter te komen hoe die zekerheid kan worden geboden zonder dat er ingewikkelde technische discussies ontstaan over hoeveel computers er zijn gepatcht of over de meest recente kwetsbaarheid. Cybersecurity hoort thuis in de bestuurskamer, maar moet nu wel meer aandacht krijgen dan een sessie van een kwartier per kwartaal. Het moet een vast onderdeel worden van elke zakelijke beslissing, in die zin dat de CISO naast de CEO, COO en CIO zit en nooit van tafel gaat.
Perceptie veranderen We moeten de perceptie van cybersecurity veranderen, door onze rol te herpositioneren van een noodzakelijke probleemoplosser naar een bedrijfskritische adviseur. We zijn hier niet alleen om branden te blussen. We zijn een integraal onderdeel van het veilig en succesvol runnen van onze organisaties. Als security-leider is het jouw taak om dit bewustzijn te vergroten en deze cultuur te stimuleren. Naarmate het bewustzijn toeneemt, neemt ook het vertrouwen in het gezag van de CISO toe. En dat is het uiteindelijke doel.
Focus nodig De sleutel om deze uitdagingen te overwinnen is focus. De C-suite wil de zekerheid dat de controlemechanismen efficiënt werken en dat het bedrijf genoeg doet om de cyberdreiging te beheersen. Daarnaast willen bestuurders weten hoe de middelen die aan security worden besteed, bijdragen aan de strategische richting van het bedrijf en de succesvolle
Als het gaat om de bestuurskamer, dan is vertrouwen heel belangrijk. Het stelt je in staat om de strategie te beïnvloeden en een bijdrage te leveren aan het bredere gesprek, zonder dat je eerst je plaats aan tafel hoeft te rechtvaardigen. Om daar te komen is een mentaliteitsverandering nodig die alleen mogelijk is door een cultuur te creëren
waarin security centraal staat. Binnen alle lagen van de organisatie zou men moeten kunnen meepraten over cybersecurity. Alle medewerkers moeten begrijpen met wat voor soort bedreigingen ze te maken hebben, hoe die bedreigingen er in de echte wereld uitzien en welke rol elk individu speelt bij het tegengaan van die bedreigingen.
Niet té technisch We moeten voorkomen dat we al te technische gesprekken voeren en ons in plaats daarvan richten op de waarde die ons werk toevoegt aan de organisatie - samen met de waarde die het beschermt. Elke discussies moet beginnen en eindigen met risico’s - het risico voor het bedrijf, zijn data, zijn intellectueel eigendom en zijn reputatie. Maar ook het risico wanneer dit niet wordt beschermd. Kijk wellicht eens in het handboek van de CFO en overweeg om ‘value at risk’-curves te gebruiken om cyberdreigingen te beschrijven in plaats van alleen de slechtst denkbare scenario’s te belichten. CISO’s moeten door het bestuur eerst als een zakenman worden gezien en niet als een technoloog. We moeten weten welke aspecten zorgen voor inkomsten op de lange termijn en laten zien dat we ons bewust zijn van de tactische uitdagingen waar het bedrijf mee te maken heeft. Laat deze uitdagingen terugkomen in je interacties en verwerk ze in je verhaal. Zorg er daarnaast voor dat de C-suite zich realiseert dat je je bewust bent van en afgestemd bent op de zakelijke prioriteiten en uitdagingen waar je bedrijf voor staat. ANDREW ROSE INFOSECURITY MAGAZINE | MEI 2021 | 19
TREND
Partijen willen kennis sneller beschikbaar maken via software en tools
Green IT Amsterdam en SDIA bundelen krachten Green IT Amsterdam en SDIA slaan de handen ineen. Beide organisaties hebben een sterke focus op het verduurzamen van de digitale infrastructuur. Samen willen ze innovatieprojecten op het gebied van duurzaamheid initiëren of hier aan deelnemen. Daarnaast gaan beide organisaties samenwerken om de kennis en technologie die zij ontwikkelen zo snel mogelijk commercieel beschikbaar te maken voor de markt. Bijvoorbeeld door startups te creëren die software, clouddiensten en andere tools ontwikkelen en verkopen die door datacenters en andere partijen kunnen worden gebruikt om hun digitale infrastructuur groener te maken.
Nooit eerder was de digitale infrastructuur in Nederland belangrijker dan in deze tijd van COVID-19”, zegt Anwar Osseyran, oprichter van Green IT Amsterdam. “Op dit moment zijn zowel de economie als het sociale leven van veel mensen volledig afhankelijk van datacenters en netwerken. De Nederlandse digitale infrastructuur is van uitstekende kwaliteit en ondersteunt ons land 24/7 - ook tijdens deze pandemie. Toch mogen we niet vergeten dat de impact op het milieu en bijvoorbeeld het energieverbruik van deze infrastructuur aanzienlijk is. Via onze samenwerking met SDIA willen we beter gebruik maken van de kennis die we hebben ontwikkeld om de milieuimpact van datacenters en netwerkinfrastructuren verder te verminderen, zonder concessies te doen aan prestaties, beschikbaarheid of innovatiekansen.”
Green IT Amsterdam speelt al jaren een belangrijke rol in het ontwikkelen van kennis om de digitale infrastructuur van ons land te verduurzamen. De Sustainable Digital Infrastructure Alliance (SDIA) werd in 2019 in Duitsland gelanceerd. “Ook wij zijn erg gefocust op mogelijkheden om de digitale infrastructuur verder te vergroenen”, zegt Max Schulze, voorzitter van SDIA. “Onze focus ligt niet alleen op Duitsland, maar ook op andere landen binnen de EU. We willen onze krachten bundelen met organisaties als Green IT Amsterdam om nauw samen te werken aan het ontwikkelen van kennis, technologie en tools die de digitale infrastructuur van alle lidstaten van de EU ten goede komen. We noemen dit: European Reach, Local Impact.”
Het opzetten van een partnership in Nederland stond hoog op het verlanglijstje van SDIA. “Dat ligt natuurlijk ook voor de hand”, zegt Schulze. “De Nederlandse digitale infrastructuur - datacenters, netwerken en ICT-kennis - staat wereldwijd hoog aangeschreven. Nederland is daarmee perfect gepositioneerd om de rol van pilot-land op het gebied van duurzaamheid binnen digitaal Europa te spelen.” Een van de hoofddoelen van de samenwerking tussen Green IT Amsterdam en SDIA is een initiatief om kennis en technologie actief te ontwikkelen tot producten en tools die commercieel beschikbaar worden gemaakt. Bijvoorbeeld door startups op te zetten die software, clouddiensten en andere tools verkopen op basis van kennis en technologie die zijn ontwikkeld door zowel Green IT Amsterdam als SDIA. De samenwerking tussen beide partijen betekent ook dat SDIA-medewerkers een zetel krijgen in het bestuur van Green IT Amsterdam. Tegelijkertijd zullen medewerkers van Green IT Amsterdam een grote rol spelen bij de verdere ontwikkeling van SDIA.
Max Schulze
20 | MEI 2021 | INFOSECURITY MAGAZINE
Anwar Osseyran
Van de redactie
www.scos.cloud
Secure Managed File Transfer Hosted in West Europe – Middenmeer/The Netherlands. Ipswitch MOVEit Cloud is a SaaS version of MOVEit Transfer
Ipswitch MOVEit Cloud delivers the company’s indus-
In an era of high-visibility security violations,
try-leading Managed File Transfer (MFT) system with
scos.cloud leads the industry in security and
all the benefits of cloud computing, including:
integrity.
• reliability • elasticity
scos.cloud protects your most valuable asset – your
• and rapid deployment
data – by incorporating essential security measures for cloud services.
Hosted at a world-class data center facility (ISO/IEC 27001 ) compliant that is engineered to incorporate multiple levels of security and redundancy for optimal • reliability • availability • business continuity and it’s all managed by MOVEit experts. Start your Cloud MFTaaS now with one of our MFT experts.
Secure MFT • Secure Email • Ad Hoc Transfer • Automate File Transfer • MFTaaS
www. sc os . c l ou d
STANDARDISATIE
NEN start ontwikkeling van standaarden voor quantumtechnologie Sinds enge tijd zijn verschillende Nederlandse organisaties actief op het gebied van standaardisatie rondom quantumtechnologie. Onlangs hebben de quantum-tech startups Delft Circuits, Qblox, Orange Quantum Systems en QuantWare samen met onderzoeksinstituut TNO (QuTech) drie voorstellen ingediend voor standaardisatie van quantum computing bij de Europese standaardisatieorganisatie CEN-CENELEC.
De Nederlandse voorstellen richten zich onder meer op een software programmeer interface van een quantum computer in de cloud en op een modulaire opdeling van quantum-computer hardware. Deze indeling is gekozen omdat het goed aansluit bij het productportfolio van de genoemde start-ups. De voorstellen werden geaccepteerd en momenteel wordt gewerkt aan het vervolg om nieuwe voorstellen met verdere uitwerking van functionele specificaties, interworking en interfacing te maken.
bedrijven dat zich richt op quantumtechnologie. Hoewel we nog aan het begin staan van een revolutionaire ontwikkeling, is het nu al van belang dat Nederlandse quantum engineers nadenken over de standaardisatie ervan. Bijdragen aan standaardisatie helpt bijvoorbeeld om impact aan te tonen bij subsidieaanvragen en investeerders, maar ook om een standaard kwaliteitsmaat te realiseren waarmee aangetoond kan worden hoe goed een bepaalde oplossing is.
Focusgroep en NEN werkgroep
Oproep aan quantum engineers
CEN-CENELEC heeft de Focus Group on Quantum Technologies (FGQT) opgericht. Deze groep ontwikkelt een roadmap voor standaarden rondom quantumtechnologie, met daarin beschreven welke aspecten wanneer en waar gestandaardiseerd moeten worden. Nederland (NEN) heeft het voorzitterschap van de Europese focusgroep en Duitsland (DIN) het secretariaat. De Nederlandse bijdragen worden gecoördineerd in de NEN Quantum Werkgroep. Deze werkgroep gaat ook bijdragen aan de internationale ISO-IEC Quantum Werkgroep.
De huidige experts van de NEN Quantum Werkgroep zijn werkzaam op het gebied van quantum computing. Omdat er ook andere toepassingsgebieden voor quantumtechnologie zijn (zoals quantumcommunicatie, quantumsimulatie en quantummetrologie/-sensoren), is uitbreiding van de werkgroep gewenst met quantum engineers uit die vakgebieden. Door ideeën eerst onderling af te stemmen en uitgewerkte voorstellen namens meerdere stakeholders in te brengen, is er een grote slagingskans en impact op Europese en mondiale standaarden.
Standaard kwaliteitsmaat Quantumtechnologie is volop in ontwikkeling. In Nederland is al een ecosysteem ontstaan van 22 | MEI 2021 | INFOSECURITY MAGAZINE
VAN DE REDACTIE
Zolang klassikaal trainen nog niet mogelijk is, worden alle trainingen Live Online gegeven.
SECURITY
De cloud biedt de oplossing
Hoe moet een datacenter fysiek beveiligd worden?
Eagle Eye Networks zorgt voor slimme cloud-camerabeveiliging en cloudtoegangscontrole die ervoor zorgt dat alles op cybersecure wijze beveiligt blijft. Toch blijft er bij veel bedrijven 1 server altijd nog hardnekkig in de hoek staan, de server of recorder voor camerabeveiliging. Vaak onder het stof, in een hoekje, zonder laatste updates maar met een open verbinding naar het netwerk (port forwarding) want ja we willen de beelden van die camera uiteraard wel via onze mobiele telefoon kunnen bekijken. We lezen veel over cybersecurity-problemen en veel van de lezers zullen nu achterover gaan leunen aangezien zij gebruik maken van cloud-oplossingen en dit risico daarmee beperken en de verantwoordelijkheid daarvan in ieder geval bij een andere partij hebben gelegd. En ja, het aantal lokale servers is in de afgelopen jaren flink gedaald en de cloud opslag daarmee gestegen. Toch blijft er bij veel bedrijven 1 server altijd nog hardnekkig in de hoek staan, de server of recorder voor camerabeveiliging. Vaak onder het stof, in een 24 | MEI 2021 | INFOSECURITY MAGAZINE
hoekje, zonder laatste updates, maar met een open verbinding naar het netwerk (port forwarding), want we willen de beelden van die camera uiteraard wel via onze mobiele telefoon kunnen bekijken.
Data intensief Een van de redenen waarom camerabeveiliging vaak een on premise-oplossing blijft is omdat men vaak niet weet dat camerabeveiliging in de cloud ook mogelijk is en veilig kan worden ingezet voor B2Boplossingen. Daarnaast werken de bestaande cloud-camerasystemen vaak met slechts een paar
specifieke camera’s waardoor bedrijven camera’s zouden moeten vervangen op het moment dat ze cloudcamerabeveiliging zouden willen. Tot slot was tot een aantal jaren geleden camerabeveiliging het domein van de fysieke beveiligingsafdeling van een bedrijf in plaats van de IT-securityafdeling. Zo werd er minder over cloud-oplossingen gedacht. Onbekend maakt onbemind van beide kanten. Fysieke beveiligingsafdelingen wisten niet waar ze op moesten letten bij cloud-specificaties en IT-securityafdelingen gingen er vanuit dat cloud voor camera’s gewoonweg niet bestond.
het streamen van alle modellen camera’s eenvoudig en veilig maakt. De veiligheid staat daarbij voorop, cyberveiligheid wel te verstaan. De oprichter van Eagle Eye Networks, Dean Drako, heeft in het verleden Barracuda Networks gebouwd, bekend van de spamfilters en firewalls. Toen hij zocht naar een goede cloudoplossing voor camera’s, kon hij deze niet vinden en besloot daarom zelf een product te bouwen, Eagle Eye Cloud VMS. De key van dit product bestaat uit 2 unieke zaken die hij in het product wilde hebben. Enerzijds was dat de mogelijkheid om met alle cameramodellen en -fabrikanten te kunnen werken om op die manier een open platform te bouwen. Anderzijds om een oplossing te vinden voor het bandbreedte probleem. De architectuur die hij ontwikkelde is te zien in figuur 1. De Eagle Eye Bridge vormt daarin de kern waarbij zowel bandbreedtemanagement wordt geregeld alsmede de mogelijkheid om 3500 cameramodellen zowel analoog als op IP gebaseerd aan te sluiten en te streamen naar de cloud. Het bandbreedtemanagement wordt gedaan door beelden tijdelijk lokaal op te slaan totdat er capaciteit is de beelden door te sturen naar de cloud, bijvoorbeeld ‘s avonds.
Van een samenwerking kwam het op dat moment niet aangezien het bedrijf van Lodhia en Vos - CameraManager geheten - net gekocht waren door Panasonic en zo wereldwijd de clouddivisie voor Panasonic was gaan leiden. Het Japanse bedrijf zag al snel in dat alleen het leveren van hardware niet voldoende zou zijn om waarde toe te voegen in de toekomst. In 2017 besloot CameraManager in zee te gaan met Eagle Eye Networks. Dit was de start van de nauwe samenwerking. Het Amsterdamse CameraManager-product had inmiddels een grote klantenbase variërend van ziekenhuizen in Nederland waar baby’s op neonatale afdelingen gezien konden worden door hun ouders thuis tot grote smart city-projecten. Onlangs werden in Mexico City 14.000 camera’s overgezet naar de cloud, compleet met integratie van alarmknoppen op smartphones en op straat. Daarnaast had Eagle Eye Cloud VMS door de propositie van eenvoudig bandbreedtemanagement en de mogelijkheid om met alle camera’s samen te werken, een grote opmars gemaakt in Amerika bij onder andere retail, logistics en Horeca. Maandelijks handelt het platform inmiddels als meer dan 1 miljard events af.
Uitgebreid Samenwerking cameramanager Interessant is dat Eagle Eye Networks gebruikt maakt van eigen rack en stack space in datacenters in plaats van het onderbrengen van de data bij AWS of Azure. De reden hiervan zit opnieuw in de aard van video wat ontzettend veel data kost om op te slaan. Inmiddels slaat Eagle Eye Networks video op in wereldwijd 11 datacenters. Op zich is dit alles ook niet vreemd aangezien het streamen van camerabeelden naar de cloud een ander project is dan een transformatie van telefonie naar VoIP. Video is namelijk het meest data-intensieve stuk om te streamen naar de cloud. De eerste vraag die daarbij gesteld moet worden is dus bandbreedte. Als een winkel 5 camera’s naar de cloud streamt en daarmee de kassa ‘platlegt’, dan ben je natuurlijk verder van huis als bedrijf.
Architectuur Eagle Eye Networks heeft daarom een innovatieve architectuur ontwikkeld die
In de zoektocht van Dean Drako naar een veilige manier van cloud streaming van camera’s, stuitte hij op een partij, uit Nederland notabene. Al in 2004 startte Rishi Lodhia en Tijmen Vos met het ontwikkelen van camerabeveiliging in de cloud. Zij hadden dezelfde filosofie met betrekking tot datacenters. “Je kunt in video pas echt een goed product maken als je de hele customer experience kunt meenemen en dus eigen datacenterontwikkeling. Zo had Nederland op datacentergebied in 2005 al in primeur door wereldwijd als eerste camerabeelden op te slaan in de cloud.”
Inmiddels is het bedrijf flink uitgebreid mede dankzij een investering van 40 miljoen dollar van Accel Ventures uit Silicon Valley. Tijmen Vos is aangesteld als Global Head of Product. Zijn kennis en kunde van de afgelopen 15 jaar zal gebruikt worden om de volgende stap te maken in het bedrijf, het toevoegen van meer Analytics en AI op het platform. Vos: “Datacenters hebben een enorme vlucht genomen in de afgelopen jaren en Nederland heeft hierin een prominente positie. Bijna alle bedrijven hebben belangrijke data in de Cloud staan en daarom wordt de beveiliging van Datacenters steeds belangrijker. Tja, en als je business cloud is, wil je toch op alle gebieden achter dat product staan en zou je ook de fysieke beveiliging in de cloud willen hebben.” VAN DE REDACTIE
INFOSECURITY MAGAZINE | MEI 2021 | 25
