Hét vakblad voor managers en ict-professionals
Jaargang 5 Nr. 5 - 12 mei 2015
kennis delen • kennis maken KENNIS DELEN • KENNIS MAKEN
Hoe veilig is uw software?
De quantumcomputer: fictie of realiteit?
6
Regelmatig verbazen we ons over de snelheid waarmee de technologische ontwikkelingen gaan. Zet u schrap, want de volgende (r)evolutie staat alweer voor de deur: quantumcomputers. Peter Olsthoorn interviewt Anouschka Versleijen, programma- en strategisch directeur van het QuTech Center van de TU Delft. Daar wordt onderzoek gedaan naar supersnelle quantumcomputers die rekenexercities, die nu nog jaren vergen, straks in een oogwenk kunnen uitvoeren.
DevOps: Stoomcursus en praktijkcase
Noodkreet: meer aandacht voor beveiliging Het merendeel van de beveiligingsproblemen wordt veroorzaakt door zwakke of verouderde software. Sommige spraakmakende incidenten konden bijvoorbeeld plaatsvinden doordat er geen updates waren doorgevoerd. Onderzoeksjournalist Brenno de Winter luidt de noodklok: Willen we de risico’s in de hand houden, dan moet er meer aandacht komen voor het maken van veilige software. Dat is meer dan alleen een technisch verhaal. Het hangt voornamelijk samen met het besef dat het krijgen en behouden van controle uiteindelijk loont. De cijfers die De Winter voor dit artikel heeft verzameld, spreken boekdelen. Op zijn befaamde ‘Lektober’-oproep kwamen 700 meldingen van lekken in software binnen. IBM onderzocht de producten van 2.600 leveranciers en vond daarin maar liefst 9.600 lekken. Het bedrijf luidt eveneens de noodklok door te
concluderen dat het melden van lekken niet langer voldoet. Verizon meldt in een onderzoeksrapport dat ruim 500 bekende lekken sinds 2013 al meer dan 200 miljoen keer zijn misbruikt.
Vervolgens is het zaak dat eenmaal gepubliceerde software regelmatig van updates wordt voorzien. Het is de hoogste tijd dat we het cybercriminelen weer serieus lastig gaan maken.
Dit probleem moet bij de wortel worden aangepakt: de ontwikkeling van software.
Facebook datacenter van toekomst?
De strategische agenda
Quantumencryptie snel nodig
pagina 11
pagina 15
pagina 3
pagina 17
8 12
Op pagina’s 6 en 7 praat Mirjam Hulsebos u bij over DevOps. Deze samenstelling van de termen ‘development’ en ‘operations’ is de nieuwste trend in agile werken. Kort gezegd omvat het de integratie van het ontwikkelen en geautomatiseerd in productie nemen van software. Allereerst komen twee experts aan het woord die de struikelblokken bespreken die it-afdelingen en software-ontwikkelbedrijven zoal tegenkomen als zij de stap naar DevOps wagen. Op pagina 7 staat een van de allereerste succesvolle praktijkcases beschreven. Bij financieel dienstverlener Stater maakte de volledige it-organisatie de ommezwaai naar DevOps. Het resultaat: kortere time-to-market door snellere releases, hogere klanttevredenheid door minder incidenten.
Ze bestaan echt! Succesvolle big data cases
De technologie bestaat al een tijdje, maar erg volwassen was Hadoop nog niet. Jonge digitale bedrijven laten al enkele jaren zien welke waarde er verborgen ligt in data. Dit zijn bedrijven zonder legacy en met een uitstraling die data engineers en datascientists aantrekt. Tot voor kort moest je in de enterprisemarkt de big data cases met een lampje zoeken. Dat verandert nu snel, zo ontdekten wij op de Hadoop Summit 2015 in Brussel. Tijdens de derde Europese Hadoop Summit in Brussel, kwamen tot ieders verrassing juist de aloude brickand-mortar-bedrijven met interessante big data cases.
Dossier Security: 6 visies van experts pagina 20
Nederlanders twitteren minder
Windows 10: eerste indruk
Grooveshark stopt ermee
Accu op zonne-energie
De laatste twee jaar gebruiken Nederlanders Twitter fors minder. Uit onderzoek door Telecompaper blijkt dat de app van het sociale netwerk steeds minder vaak wordt geopend. pagina 18
Microsoft vervangt Windows 8 relatief snel door Windows 10. Naar verwachting komende zomer al. Een eerste indruk van een bètaversie van het OS dat wél succes moet brengen. pagina 18
Muziekstreamingdienst Grooveshark, opgericht in 2006, houdt ermee op. Dit is het gevolg van een schikking die de dienst trof met grote platenmaatschappijen. pagina 18
Tesla, vooral bekend om zijn auto’s, brengt de Powerball op de markt. Met deze grote accu moet het makkelijker worden voor huishoudens om helemaal op zonneenergie te draaien. pagina 18
Tamagotchi voor Apple Watch
Wie koopt Salesforce.com?
22,3 miljoen PS4’s verkocht
Webwinkels slecht beveiligd
Weet u het nog, die hype rondom het digitale huisdier Tamagotchi? Nu heeft Bandai Namco de Tamagotchi naar de Apple Watch gebracht.
De geruchten zwellen aan dat Salesforce.com binnenkort in handen komt van een grote zakelijke it-leverancier. Er is veel interesse, met name van IBM en Oracle.
pagina 18
pagina 18
Sony verkocht sinds de lancering in november 2013 wereldwijd meer dan 22,3 miljoen exemplaren van de PlayStation 4. Met de draagbare spelcomputers gaat het minder goed. pagina 18
Twee derde van de 100 grootste Nederlandse webwinkels heeft de beveiliging van hun website niet op orde. In 38 procent van de gevallen betreft het een ernstig beveiligingslek. pagina 19
Columnisten: Columnisten: Lex Borger Naam Achternaam Lotte de Bruijn Naam Achternaam Adriaan Meij Naam Achternaam Brenno de Winter
pagina 5 pagina 00 pagina 13 pagina 00 pagina 19 pagina 00 pagina 21
HP raadt Windows aan.
Professionele mobiliteit. HP Mobility. De mobiele oplossing die bij u past. Maak kennis met de nieuwste 2-in-1-oplossing voor de zakelijke markt, voorzien van een Intel® CoreTM M processor, twee batterijen en diverse accessoires. Zoals de lichte Travel Keyboard om onderweg lang door te werken. Net zo handig en mobiel als een tablet en net zo veilig en snel als een notebook.
HP Wireless Dockingstation cadeau Koop nu de HP Elite x2 1011 2-in-1 oplossing en ontvang tijdelijk een HP Wireless Dockingstation cadeau!
€1.530,- Excl. BTW Bundelbestelnr.: BL5G47EA01
Feel the magic of a new PC with Intel Inside®.
©2015 Hewlett-Packard Development Company, L.P. Alle rechten voorbehouden. Producten zijn afhankelijk van beschikbaarheid. Het is mogelijk dat de gefotografeerde producten niet overeen komen met de omschrijving. Prijs-, druk- en zetfouten voorbehouden. Intel, het logo van Intel, Intel Inside, Intel Core en Core Inside zijn handelsmerken van Intel Corporation in de Verenigde Staten en andere landen. Niet alle functies zijn beschikbaar in alle edities of versies van Windows. Mogelijk zijn een hardware-upgrade en/of apart aangeschafte hardware, drivers en/of software nodig om de functionaliteit van Windows volledig te benutten. Kijk op http://www.microsoft.com. Deze actie loopt t/m 31 mei 2015.
SECURITY
3 12 mei 2015
Hoe veilig is uw software? Beveiliging verdient een centrale plaats
door: Brenno de Winter Vaak wordt de mens als de zwakste schakel genoemd wanneer het om security gaat. Toch wordt bijna ieder beveiligingsprobleem veroorzaakt door de gebruikte software. Alle grote publiek geworden beveiligingsincidenten van de laatste vijf jaar hadden in de kern iets te maken met verouderde of zwakke software. Wie de risico’s in de hand wil houden, zal dus iets moeten doen met de kwaliteit van de programmatuur. Dat is meer dan alleen een technisch verhaal, waarbij de vraag luidt: hoe temt de opdrachtgever de leverancier in dit kader en de leverancier de opdrachtgever? Hoe kun je controle krijgen en houden?
Veel landen, waaronder ook Nederland, beschikken over een cyberleger. Binnen dat leger zijn experts dagelijks in de weer om op basis van technologie bij een aanval te kunnen terugslaan of juist proactief een aanval te kunnen uitvoeren. Inmiddels beschikken we in ons land over offensieve wapens op internet: tools waarmee lekken in software kunnen worden misbruikt. Dit misbruik is mogelijk omdat we kunnen vertrouwen op de zwakheid van onze programmatuur. Vooral onbekende lekken – zogenaamde zero days – zijn nuttig. Want een slachtoffer kan zich lastig verdedigen als hij niet weet waar de aanval zal plaatsvinden en met welke middelen.
Arsenaal aan hacks Inlichtingendiensten, zoals de NSA, sturen actief aan op het verzwakken van programmatuur. Toch heeft de betere aanvaller dergelijke aansporingen niet eens nodig. In de meeste gevallen zijn er genoeg zwakheden te vinden in broncode om binnen te kunnen dringen. Internetter van het eerste uur, beveiligingsexpert en XS4ALL-oprichter Rop Gonggrijp onderschrijft dat de slechte kwaliteit van programmatuur de hoofdoorzaak is van onze huidige omvangrijke en talrijke beveiligingsproblemen. “De aanvaller, of die wel of geen kwaad in de zin heeft, heeft een arsenaal aan hacks op matig geschreven software tot zijn beschikking. Met enkele standaard hulpmiddelen kan hij de lekken naar believen uitbuiten en misbruiken. Wie een opleiding tot penetratietester heeft gevolgd, kan dat soort hulpmiddelen maken.”
Lektober De slechte kwaliteit van software kwam op pijnlijke wijze aan het licht toen uw auteur in oktober 2011 de maand omdoopte in Lektober en een publieke oproep deed aan ethische hackers om de lekken die bij hen bekend waren te melden. In totaal werden in die maand en de maanden erna bijna 700 lekken
gemeld, die uiteraard keurig aan de betrokken organisaties werden doorgegeven. In slechts achttien gevallen betrof het probleem een configuratiefout van de webserver en in twee gevallen was de software van de website fout geconfigureerd. In alle andere gevallen hadden privacygevoelige of bedrijfsgegevens op straat kunnen komen als gevolg van fouten in de gebruikte software. In maart 2015 kwam IBM in het X-Force kwartaalrapport tot de conclusie dat het melden van lekken niet meer voldoet. De grote hoeveelheden zwakheden kan aanmerkelijk worden verminderd, als er meer automatisch zou worden getest, waardoor fouten in een eerder stadium worden gevonden. Het bedrijf onderzocht de producten van 2.600 leveranciers en vond daarin maar liefst 9.600 lekken. Een andere beveiligingsonderzoeker vond met een tool in de apps in de Google Play store in 2014 eveneens duizenden lekken. Het aantal gemelde problemen bij de app-bouwers steeg daardoor van 7.000 in 2013 naar ruim 30.000.
Trefzekere route Uit onderzoek van Verizon, dat in april 2015 werd gepubliceerd in het Databreach Investigations Report, blijkt dat ruim 500 bekende lekken sinds 2013 meer dan 200 miljoen keer misbruikt zijn. Dat komt omdat enkele van deze lekken verscholen zitten in breed verspreide producten, wat bij misbruik direct een grote hoeveelheid slachtoffers treft. Van de bijna 80.000 onderzochte incidenten van misbruik van software blijkt dat in 99,9 procent van de gevallen het lek al langer dan een jaar bekend was. De onderzoekers trekken dan ook de conclusie dat we het aanvallers niet erg lastig maken. Ook dat blijkt uit de cijfers, want in 60 procent van alle gevallen duurt het inbreken slechts enkele minuten. Het heeft er dan ook alle schijn van dat het uitvoeren van aanvallen op basis van fouten in software een trefzekere route voor criminelen is.
Onderzoekers naar cybercrime concluderen dat we het de aanvallers niet erg lastig maken Er zijn genoeg problemen om uit te kiezen en veel organisaties zijn traag in het installeren van updates. Zo was de aanval bij Diginotar mogelijk, omdat de hacker via een webserver vol met fouten kon binnenkomen. Van sommige producten bleken er al zestien updates te zijn geweest, die niet waren uitgevoerd. Bij KPN kwam de hacker binnen via een bekend lek in de programmatuur en bleek het besturingssysteem op veel servers nog de versie uit 2006 te bevatten.
Updates Het sluimerende probleem van slechte software wordt op schrijnende wijze tastbaar in de consumentenelektronica. Door de opmars van de ‘internet of things’ komen steeds meer apparaten online. Naast de box voor digitale televisie en de routers, zijn ook de blu-ray-speler, de versterker, de televisie en de koelkast verbonden met het internet. De meeste van deze apparaten worden zelden of nooit bijgewerkt door de consument en slechts een enkel apparaat werkt zichzelf bij. Maar zelfs de bewuste burger zal niet lang kunnen genieten van de beveiliging via updates, omdat deze slechts gedurende korte tijd beschikbaar worden gesteld. Is de ontwikkeling van een product klaar, dan houdt het maken van de updates al snel op. Wie up-to-date software wil gebruiken moet maar nieuwe hardware kopen. Ook bij mobiele telefoons blijft verouderde software met bekende problemen nog lang in gebruik. Het Amerikaanse beveiligingsbedrijf Proofpoint stelde in 2014 de eerste aanvallen via
de internet of things vast. Spam vanaf de televisie en een DDoS-aanval uitgevoerd vanuit een gehackte koelkast.
Elektronica Software-expert Armijn Hemel van Tjaldur Governance Solutions doet veel onderzoek naar programmatuur in hardware. Hij is bedreven in het analyseren van deze software en ontwikkelde zelf een programma waarmee hij onder meer de exacte softwareversie kan vaststellen met een aan zekerheid grenzende waarschijnlijkheid. Op basis van die kennis weet hij welke beveiligingslekken er zeer waarschijnlijk in die programmatuur zit. In het kader van het programma ‘Veilig door Innovatie’ van de Nationaal Coördinator Terrorisme Bestrijding maakte Hemel zijn software geschikt voor informatiebeveiliging. Het resultaat is als opensource beschikbaar en moet bedrijven helpen betere regie te voeren over de versies van software op de meest verborgen plaatsen. “Dit helpt beveiligingsonderzoekers met het sneller aantonen van lekken,” legt Hemel uit. “Veel software, zowel voor de zakelijke als de consumentenmarkt, blijft doorgaans jaren in gebruik. Juist de programmatuur die verborgen zit in elektronica-hardware is spannend. Gebruikers realiseren zich zelden dat daar een kwetsbaarheid ligt. Bij het introduceren van nieuwe hardware is vaak het design bepalender dan het bijwerken van de software. Op een kastje van 40 euro bedraagt de investering in softwareontwikkeling vaak nog minder dan één cent per apparaat.”
www.ictmagazine.nl
4
SECURITY
12 mei 2015
Dit hangt volgens Hemel samen met de wetten in de elektronicamarkt, waar time-to-market alles is. “Daar geldt namelijk de stelregel: de winner takes it all. Wie een bepaald product een week eerder dan zijn concurrent introduceert, krijgt doorgaans de meeste media-aandacht en heeft de grootste kans overal in de schappen te komen.” Hemel wijst erop dat de aandacht in die media vooral uitgaat naar functionaliteit en uiterlijk en nagenoeg nooit naar de beveiliging. “Niet alleen time-to-market, maar ook zo goedkoop mogelijk produceren kan het succes maken. Eén euro prijsverschil bij consumentenelektronica kan het verschil maken om succesvol of kansloos te worden in de markt. In zo’n competitieve markt is er weinig ruimte om voor goede beveiliging te zorgen.”
Onderzoek naar aanbestedingen Bij het maken van consumentenelektronica wordt er zelden gekeken of een leverancier voldoet aan standaarden met betrekking tot beveiliging. Bij zakelijke oplossingen gebeurt dat gelukkig vaker. Hemel waarschuwt echter dat bij het schrijven van de software weliswaar op kwaliteit kan worden gelet, maar dat zwakheden doorgaans op een later moment aan het licht komen. Op het moment dat eventuele lekken worden ontdekt, ligt de focus van de organisatie alweer elders en krijgen deze problemen een lage prioriteit, als ze überhaupt al op de agenda komen. Dat bleek ook uit onderzoek van ICT/ Magazine, waarbij we de beschrijvingen van vijftig ict-aanbestedingen bestudeerden. Met betrekking tot het ontwikkelen van programmatuur of de inkoop ervan wordt beveiliging soms wel genoemd, maar lang niet in alle gevallen. Bij geen van de aanbestedingen was er aandacht voor het oplossen van problemen uit het verleden of het bijwerken van software die reeds in gebruik was. Nu mag aan dit onderzoek geen wetenschappelijk status worden ontleend, maar desalniettemin stelt het beeld dat eruit voortkomt niet gerust.
Continuous Delivery Toch geloven we dat er iets aan deze situatie van zwakke software en gebrek aan updates en aandacht voor beveiliging, gaat verbeteren. Veel van de hedendaagse softwareontwikkeling is gericht op websites en het aanbieden van apps. Die projecten zijn bij uitstek geschikt om de uitlevering van de software in kleine stappen te doen, volgens de methodiek van Agile Scrum of Continuous Delivery. Iedere verbetering is een kleine ontwikkelcyclus, waarbij ook wordt getest. Meer over deze methodiek kunt u lezen in de artikelen over DevOps op de pagina’s 6 en 7 in deze editie. Dat deze aanpak helpt bij het verbeteren van de softwarekwaliteit is ook de ervaring van Bernhard van Oranje. Hij is oprichter van Levi9, een bedrijf gespecialiseerd in het betaalbaar ontwikkelen van programmatuur met teams in diverse landen in Europa. “Continuous Bernhard van Oranje
Het uitvoeren van aanvallen op basis van fouten in software is een trefzekere route voor criminelen Delivery helpt zeker mee in het probleem rond security,” zegt hij tegenover ICT/Magazine. “Door securitytesten op te nemen in de keten weet je zeker dat deze volledig en eenduidig elke keer uitgevoerd worden.” Volgens Van Oranje is het grote voordeel dat er beter kan worden getest. Sommige van zijn klanten hebben daarvoor producten in hun keten opgenomen, zodat beveiliging standaard in de ontwikkelcyclus wordt mee genomen. Er vindt dan een test plaats bij iedere slag, waarbij dan wordt teruggekeken naar eerder ontwikkelde broncode. Iets wat anders zelden gebeurt. “Een ander groot voordeel van Continuous Delivery in combinatie met securitytesten is dat je in staat bent parallel diverse omgevingen te testen,” betoogt Van Oranje. Er is een veelvoud aan browsers en besturingssystemen die nu in alle combinaties volledig getest kunnen worden. Met andere woorden, bij iedere ontwikkelslag worden eventuele veranderingen in de omgeving of in besturingssystemen of browsers direct getest. Van Oranje: “Vroeger testte je op m inimale combinaties. Nu is het mogelijk, zeker als de infrastructuur in de cloud draait, deze allemaal volledig te testen.”
Niet te laat Ondanks de stortvloed aan bewijzen dat de meeste beveiligingsincidenten worden veroorzaakt door de slechte kwaliteit van software, lijkt het erop dat maar weinig organisaties dit voldoende beseffen. Een industrie die niet doordrongen is van de daadwerkelijk beveiligingsrisico’s die er spelen, is nog ver van volwassenheid verwijderd. Continuous Delivery, de diverse marktstandaarden en methoden als ‘Grip op SSD’ kunnen hier een belangrijke rol in spelen. De laatste brengt beveiligingsrisico‘s beter in kaart en met Continuous Delivery bouw je aan veiliger software van hogere kwaliteit. Bovendien helpt het om die kwaliteit over wisselende platformen te bewaken. Laten we dus, met de huidige ontwikkelmethodieken, beveiliging een centrale plaats geven in het hele software ontwikkeltraject. Het is nog niet te laat.
Foto: ©Reinier RVDA
Glasheldere verplichtingen Continu testen is een van de manieren om de beveiliging van software naar een hoger niveau te tillen. Daarnaast maakt het ook uit met welke softwareleverancier zaken worden gedaan. De een werkt beter gestructureerd dan de ander. De kwaliteit van software verschilt dan ook van partij tot partij. Voor beveiliging zijn er enkele standaarden die wat zeggen over de ontwikkeling van veilige software en de kwaliteit van de markt partij. Een van de voornaamste is ISO/IEC 27034:2011. Van een leverancier die voldoet aan een dergelijke standaard mag je hoge beveiligingsnormen verwachten. Maar goede certificeringen bieden geen harde, opeisbare garanties. Daarbij sluit niet iedere standaard even goed aan op specifieke wensen van klanten, omdat het een generiek raamwerk is. Voor
www.ictmagazine.nl
deze tekortkoming is er ‘Grip op Secure Software Development’, kortweg SSD. Deze methodiek wil stimuleren dat partijen afspraken met betrekking tot beveiliging in het contract opnemen. Grip op SSD omvat een set aan gratis toegankelijke documenten opgesteld door klanten en leveranciers, onder de vleugels van het Centrum voor Informatiebeveiliging en Privacybescherming, om de beveiliging in software die nog moet worden ontwikkeld beter te regelen. Er is een gemeenschap van practitioners en ondersteuning vanuit de markt om de methode goed in een organisatie te laten landen. Met harde afspraken is voor zowel de klant, de leverancier als de hoster meteen duidelijk wat er van iedere partij verwacht wordt. De uitgebreide methode is zodanig geschreven dat niet de techneut maar de software-afnemer centraal staat. Het maakt glashelder bij wie welke verplichtingen liggen qua beveiliging. Hoewel het een grote ondersteuning is voor de afnemer, biedt ook deze methodiek geen garanties. Nog altijd moet de eigen organisatie veel regelen om een project in goede banen te leiden. Daarbij speelt ook de volwassenheid van de organisatie een belangrijke rol.
TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiligingen cybersecuritytrainingen. Met praktijkervaren trainers en een unieke invulling van de trainingen vervult TSTC sinds 1999 de behoeften van organisaties en cursisten die belang hechten aan een kwaliteitstraining die verder gaat dan het boekje en aansluit op de praktijk. Technische Security Trainingen: CEH, ECSA-LPT, CHFI, ECSP Web Application Assessment, Pentesting with Metasploit
5
SECURITY
12 mei 2015
Hoe de bankensector cybercrime aanpakt
Lex Borger
Column
Dat een adequaat antwoord op digitale bedreigingen niet uitsluitend in hoog kwalitatieve software ligt, bewijst het verhaal over de banken, dat in het Fd van 1 mei werd gepubliceerd. Daarin wordt verhaald hoe de Nederlandse banken tot voor kort gevoelige verliezen leden als gevolg van oplichtingstrucs met betaalpassen, creditcards en internetbankieren. In 2012 moesten de banken in dit kader bijvoorbeeld een recordbedrag van e 82 mln afschrijven. Hun aanpak lijkt in zijn doeltreffendheid eenvoudig, maar schijn bedriegt. Door op het gebied van veiligheid elkaar niet langer te beconcurreren maar echt samen te werken, in de Betaalvereniging Nederland, heeft de financiële sector in Nederland het tij weten te keren. Vorig jaar bedroeg de totale schade nog ‘slechts’ € 17 mln, wat bijna een halvering betekende ten opzichte van 2013. Inmiddels is het verlies is tot nagenoeg nul gereduceerd, wat toch spectaculair mag worden genoemd. De daling is om nog een andere reden opmerkelijk. Wereldwijd blijven de schadeposten van digitale misdaad explosief stijgen. Volgens een commissaris van de Londense politie, Adrian Leppard, zijn we op een punt aanbeland waarop cybercrime de samenleving meer geld kost dan drugscriminaliteit.
Inmiddels is de schade als gevolg van cybercriminaliteit binnen de banken tot nagenoeg nul gereduceerd Betaalvereniging Nederland In deze samenwerking, de Betaalvereniging Nederland geheten, hebben banken veel geïnvesteerd in de bewustwording van de consument. Denk aan publieksacties als ‘Je mag alles van me weten, behalve mijn pincode’ van enige tijd terug en meer recent ‘Hang op, klik weg, bel uw bank.’ Daardoor trapt de consument steeds minder vaak in de digitale trucs van criminelen. Daarnaast wordt veel fraude en criminaliteit voorkomen dankzij geavanceerde data-analyse. Indicatoren van misstanden zijn onder meer: snel opeenvolgend gebruik van verschillende apparaten (pc, laptop, smartphone), gebruik van niet eerder gebruikte rekeningnummers en gebruik vanuit verschillende IP-adressen. Volgens de CIO van ABN Amro, Frans van der Horst, heeft de bank de fraudelast met deze beveiligingstechnieken tot bijna nul teruggebracht. Dat is 95% minder fraude dan tijdens het dieptepunt in 2012. Kortom, de financiële
sector in Nederland heeft een voorsprong genomen in de aanpak van cybercrime. De eerlijkheid gebiedt ons melding te maken van het feit dat ook de internationale afspraken met de grote creditcardbedrijven aan dit succes hebben bijgedragen.
Niet achterover leunen Naast de Betaalvereniging Nederland vindt een deel van de samenwerking plaats in de Electronic Crimes Taskforce (ECTF), in de volksmond ‘het Bankenteam’ genoemd. Naast de veiligheidsexperts van de grote Nederlandse banken, nemen hier het OM en de politie aan deel. Het hoofd van de landelijke recherche, Wilbert Paulissen, is zonder meer tevreden over de behaalde resultaten. Toch waarschuwt hij dat we nu niet achterover gaan leunen. “Het aantal doelwitten en potentiële bedreigingen neemt namelijk niet af.” Onder criminelen is de Nederlandse aanpak inmiddels ook bekend. Ronald Prins, directeur van beveiligingsbedrijf Fox-IT, meldt dat ze veel onderlinge communicatie van criminelen onderscheppen. “De boodschap is: laat Nederland links liggen, want daar valt nu even niets te halen.” Dat is natuurlijk prachtig, voegt Paulissen daaraan toe, “maar bij iedere aanhouding geven we prijs wat we weten en wat we doen. Criminelen doen daar weer hun voordeel mee.” De meeste criminelen houden zich schuil in het Oostblok en Azië. Volgens Paulissen is de volgende stap dan ook de landen in die gebieden te betrekken bij de opsporing.“Met Europol en INTERPOL zetten we steeds meer internationaal gecoördineerde acties op.” Het is onvermijdelijk dat deze wedloop tussen de ‘good guys’ en de ‘bad guys’ leidt tot hogere beveiligingskosten. Volgens Prins is het zaak om in die strijd nooit je verdediging te laten zakken. “Doe je dat wel dan keert een probleem terug of duikt ergens anders op. Natuurlijk kost het geld, maar elke investering betaalt zich tot nu toe terug.” Kennelijk zijn de Betaalvereniging Nederland en het Bankenteam in deze bereidheid om vertrouwelijke informatie over de aard van de misdaad met elkaar te delen uniek in de wereld. Er is dan ook groeiende belangstelling vanuit het buitenland om deze aanpak over te nemen.
Kansen nemen “I canceled all of our hotel reservations the night before. Brother Orange said he had everything planned. I’m going into this completely blind.” Deze uitspraak is wel een ultiem voorbeeld van risico nemen. Hij is gedaan door een journalist, Matt. Iedere doorgewinterde securityprofessional met vele risicoanalyses achter zijn of haar kiezen zal rillen bij een overgave als deze. Maar er zitten niet alleen risico’s aan verbonden. Door er volledig blind in te gaan, stelt Matt zich maximaal open voor de kansen die hierdoor ontstaan. Binnen de bedrijfstuinen waar we werken richten we ons op risico’s en het voorkomen en dichttimmeren hiervan. Bestuurders hebben het over risicobereidheid. Het is allemaal gefocust op het negatieve, de slechte uitkomst bij een ongewenst scenario. Te weinig vragen we ons af wat de positieve uitkomst zou zijn bij een gewenst scenario, iets wat Matt wél doet.
Onze securityaanpak is gefocust op het negatieve, de slechte uitkomst bij een ongewenst scenario Wat heeft hij gedaan? Het begon met een vreemd voorval. Hij kreeg foto’s van een ander binnen op zijn iOS photo stream. Er is duidelijk een Chinese connectie. Wat kan er gebeurd zijn? We denken in deze tijd al snel aan hackers, maar in dit geval was het eenvoudig: een eerder van Matt gestolen iPhone levert die foto’s af. Die telefoon heeft dus een nieuwe, Chinese eigenaar. Matt blokkeert hierop de iPhone in iCloud en schrijft er een verhaal over. Hij is journalist per slot van rekening. Maar dan slaat het om en neemt hij risico’s, omdat hij kansen ziet. Hij komt erachter wie zijn telefoon heeft en waar hij woont. Hij maakt kennis met deze persoon via social media en bouwt een band op. Vervolgens slaat hij alle conventionele wijsheid van zich af en stort zich volop in de risico’s. Hij gaat naar China en laat zich helemaal verrassen. En die verrassing is groots. Zijn verhaal is te lezen in een BuzzFeed blog entry – zie de link onderaan deze column. Een flinke long read, maar zeker de moeite van het lezen waard. Matt wist helemaal niet hoe groot de kansen waren, maar hij stond er maximaal voor open. Natuurlijk had hij wel wat risico’s ingedekt, zoals het reizen met een klein team inclusief tolk. Dit verhaal toont aan wat de plaats van risicomanagement hoort te zijn: het speelt een secundaire rol. Primair staat de wil tot uitgedaagd worden en activiteiten te ontplooien. Te vaak adviseren we als risicoanalisten om dit juist niet te doen.
ENJOY
1 MILLIMETER ATTRACTION
Wat ik heb geleerd van dit verhaal? Dat ik in het vervolg eerst bedenk welke kansen er liggen die ik absoluut niet wil missen. Link naar BuzzFeed blog ‘I Followed My Stolen iPhone Across The World, Became A Celebrity In China, And Found A Friend For Life’:
De EV2455 met sensationeel smalle randen voor grenzeloze beeldkwaliteit. Kies voor ons nieuwe 24 inch model en geniet van de smalste schermranden die EIZO ooit heeft ontwikkeld. Met maar 1 mm breedte is dat zelfs voor een vlo minuscuul. En biedt veel ruimte voor de beste beeldkwaliteit en innovatieve EcoView functies. www.eizo.nl/ultraslim
n Lex Borger is hoofdredacteur van het PvIB blad ‘Informatiebeveiliging’ en security consultant bij i-to-i. @LexBorger
140850 Adv_Vlooien_Circus 131x65.indd 1
04-11-14 15:28
www.ictmagazine.nl
6
TRENDS
12 mei 2015
Wetenschap haalt de Is de quantumcomputer binnen handbereik?
door: Peter Olsthoorn Regelmatig verbazen we ons over de snelheid waarmee de technologische ontwikkelingen gaan. Zet u schrap, want de volgende (r)evolutie staat alweer voor de deur: quantumcomputers. Elders in deze editie spreekt Jaya Baloo, Chief Information Security O fficer bij KPN, er al over in het kader van security. In dit interview is AnouschkaVersleijen, programma- en strategisch directeur van het QuTech Center van de TU Delft, aan het woord.
Om de onvoorstelbaar verstrekkende gevolgen die deze techniek in zich draagt te illustreren, refereren we aan een experiment binnen QuTech met teleportatie. Niet van mensen, maar van informatie. Onderzoekers publiceerden eerst in Science hoe ze als eersten informatie in een quantumbit trefzeker verplaatsten naar een qubit op drie meter afstand, zonder dat de informatie reisde op een verbinding. Dat is de aanzet tot het quantuminternet waarbinnen supersnelle quantumcomputers reken exercities, die nu nog jaren vergen, straks in een oogwenk uitvoeren. Tijd en ruimte spelen als het ware geen rol meer. Bovendien is onopgemerkt afluisteren in zo’n netwerk fundamenteel onmogelijk.
Verstrengeling De wetenschappers maken gebruik van een bijzonder fenomeen: verstrengeling. Dit is wellicht het meest intrigerende gevolg van de wetten van de quantummechanica volgens prof. Ronald Hanson. “Als twee deeltjes verstrengeld zijn, smelten hun identiteiten samen: hun gezamenlijke toestand is exact bepaald, maar de identiteit van elk afzonderlijk deeltje is verdwenen. De verstrengelde deeltjes gedragen zich als één, ook als ze ver van elkaar verwijderd zijn. In ons geval was dat drie meter, maar dat zou in theorie ook de andere kant van het universum kunnen zijn. Einstein geloofde deze voorspelling niet en noemde dit ‘spooky action at a distance’, maar talloze experimenten hebben laten zien dat de verstrengeling echt is.” Later herhaalden de onderzoekers het experiment met een afstand van 1,3 kilometer tussen de quantumbits, die zijn vervaardigd met behulp van elektronen in diamant. Dit experiment zou het eerste ter wereld worden dat voldoet aan de criteria van de loopholefree Bell test: het ultieme bewijs van Einsteins ongelijk over verstrengeling. Deze test geldt binnen
www.ictmagazine.nl
de quantummechanica als Heilige Graal. De spanning stijgt, want hoewel het experiment nog altijd loopt, valt er tot nu toe geen succes te melden.
Ongekende mogelijkheden Een quantumcomputer maakt gebruik van dit quantumeffect van verstrengeling. Een quantumdeeltje kan worden gebruikt voor binaire eenheden die tegelijkertijd waarden tussen 0 en 1 bit aannemen. In de gebruikelijke processors kunnen de binaire eenheden alleen de waarde 0 of 1 aannemen. In de quantumbinaire eenheden (qubits) van de quantumprocessor zijn waarden mogelijk die bijvoorbeeld 30 procent 0 en tegelijk 70 procent 1 zijn. Waar een klassieke computer 64 bits nodig heeft om 264 waardes uit te drukken, heeft een quantumcomputer hiervoor over het algemeen slechts 5 qubits nodig. Gerelateerd aan dit verschijnsel is de enorme snelheid waarmee een quantumprocessor berekeningen kan uitvoeren, die met conventionele computers onmogelijk zijn. Wanneer men erin slaagt een goed werkende quantumcomputer te maken, betekent dat ongekende nieuwe mogelijkheden in de wetenschap
Anouschka Versleijen Anouschka Versleijen (1971) publiceerde veel over wetenschapsfinanciering, ondermeer bij Rathenau Instituut en deed praktijkervaring op als technisch-wetenschappelijk attaché van Economische Zaken in Silicon Valley. Eerder was ze binnen TU Delft betrokken bij de ontwikkeling van een toilet dat zonder water en elektriciteit werkt, met geld van de Bill & Melinda Gates Foundation.
en de technologie. De TU Delft is met haar afdeling QuTech Center sinds 2013 bezig om een werkend prototype te ontwikkelen van zo’n quantumcomputer. Daarvoor heeft QuTech zes jaar de tijd gekregen. Maar misschien valt er, twee jaar onderweg, al nieuws te melden. Een quantumcomputer in Delft, wat enerverend! “Dit is eigenlijk onderzoek 2.0,” matigt Anouschka Versleijen de toon. “Het onderscheid tussen fundamenteel en toegepast onderzoek is een fijn theoretisch concept, maar zo werkt het niet in de praktijk. We wilden niet eerst tien, vijftien jaar wachten tot er majeure stappen in fundamenteel onderzoek waren gezet alvorens toepassingen te gaan bedenken. We moeten nu ook al concrete technologieontwikkeling gaan doen, en denken over zaken zoals schaalbaarheid, fabricagemak.” QuTech begon met een budget van 10 miljoen, het groeit naar 15 miljoen. Wie betalen er? “Een consortium van NWO, STW en FOM plus Economische Zaken, topsector high-tech systems en materialen en niet te vergeten TNO en TU Delft
zelf. En Europees geld, bedrijfsinvesteringen. Over de mogelijkheden voor groei ben ik optimistisch gestemd, met een stijgende lijn na de startfase. Het gaat ook niet om enorme bedragen.” Wat voor club is het? “We zijn nu bezig met ruwweg honderd onderzoekers die stap voor stap vooruitgang boeken. Dat zijn voor een groot deel mensen uit het opgebouwde netwerk van de TU Delft en TNO, rond een kerngroep van hoogleraren uit de natuurkunde, elektrotechniek en informatica met promovendi en andere jonge onderzoekers. TNO levert onderzoekers met fabri cage-ervaring in de halfgeleiderindustrie en analysecapaciteit. Dat zijn zo’n tien mensen dagelijks en op projectbasis nog zo’n vijftien tot twintig.” Hoe anders werkt dit? “In de wetenschap is men gewend om zeg maar tien chips te ontwikkelen, waarvan er dan één geschikt is voor gebruik. Er is dus veel verlies in de ontwikkeling. Dat neem je voor lief. Wanneer je echt toewerkt naar een toepassing, dan wil je dat 99 procent van wat je maakt goed is. Dat vereist een andere denkwijze en benadering in keuze van materialen, ontwerpmethoden en fabricagetechnieken. Wij denken dat innovatie sneller gaat als je dat meteen onderdeel maakt van je R&D.” Wetenschappers zijn gewend om in vrijheid te werken met een factor toeval die succes kan brengen. Neemt de druk op presteren toe met een keurslijf dat dwingt tot succes? “Nee, nee, dit is een keuze van de wetenschappers zelf. Anders zouden we dat niet doen. Het is wel een gedurfde stap, maar toch weloverwogen met een flinke periode van afwegingen. Als dit wordt ervaren als een keurslijf, dan doen we iets verkeerd. Het is
7
TRENDS
12 mei 2015
horizon naar zich toe brengen bijvoorbeeld bij het ict- of research departement. Mevrouw Kroes heeft de eerste aanzet gegeven, met contacten met de Franse Nobelprijswinnaar Serge Haroche en Tomasso.”
Station Q Station Q is een lab van Microsoft Research, gevestigd op de campus van de Universiteit van Californië, in Santa Barbara. Het lab focust zich op topologische quantum computing. Er worden theoretische en experimentele benaderingen onderzocht tot de creatie van de quantum analogie van de traditionele bit: de qubit.
QuTech werkt nauw samen met Microsofts onderzoeksgroep Station Q? Wat krijgt u? “We doen samen een programma voor fundamenteel onderzoek, ook ondersteund door de stichting FOM. Nee, dat voorstel is niet openbaar, gezien de concurrentiegevoeligheid, zoals doorgaans voorstellen inhoudelijk niet openbaar zijn. Onderzoek publiceer je achteraf, de ideeën niet. Bedragen maken we niet bekend. De uitkomsten straks wel. We zijn buitengewoon gelukkig met de erkenning van onze kwaliteit door Microsoft.” wel een missiegedreven onderzoeksinstituut. We willen doelen bereiken, zoals het kunnen neerzetten van een prototype quantumchip en -computer. Het is om die reden ook een multidisciplinair instituut.” Met een strakke planning? “Het is niet zo dat we over zes jaar met een persbericht en klaroengeschal moeten komen waarin dit wordt aangekondigd. We zetten steeds stapjes om hobbels te nemen, met onderwerpen met een eigen roadmap. De eerste jaren zijn wat scherper uitgewerkt en de jaren erna in houtskool geschetst. Het is een vooruitgezet pad, maar daarnaast hopen we op grote nieuwe ontdekkingen. Die kun je niet altijd plannen.” Welke ontdekkingen? “Er zit een aantal leuke uitdagingen in het controleren van de fysieke qubits. Kleine aantallen qubits vervaardigen lukt goed en er zijn wereldwijd veel onderzoeksgroepen die dat kunnen. Maar we willen naar grotere aantallen en dat is een leuke fabricageuitdaging. Ook het uitlezen van een qubit is een uitdaging, omdat als je kijkt naar een verstrengelde quantummechanische toestand, deze direct verdwijnen. Je hebt dus trucs nodig om via een omweg, door te kijken naar de buren, de activiteit en inhoud van een qubit af te lezen. Je moet qubits operaties kunnen laten uitvoeren, een voortdurende stroom rekenwerk laten doen. Dit zijn enorme wetenschappelijke uitdagingen, zowel fundamenteel als qua bouw van technologie.” Aan welke tijdspanne moeten we wel denken? “Het komt gefaseerd op de markt. Nu al zijn er quantum key distributiesystemen voor beveiliging van communicatie met een quantumbit als encryptiesleutel. In Europa maken start-ups die systemen.
Een andere snel vorderende technologie vormen de sensoren gebaseerd op qubit om magnetische velden te detecteren. Die kun je medisch of in de ruimtevaart inzetten. Die markt opent zich nu. Het volgende zijn de hele kleine prototypes van quantumchips voor het oplossen van chemievraagstukken wat met de huidige computers niet lukt. Dit zal tussen de zeven en tien jaar vergen.” Dat is nog niet dé quantumcomputer? “Nee, dat is een one trick pony, gericht op een specifiek probleem. Dat is wellicht al een geweldige doorbraak. Maar voordat we een quantumchip hebben die niet hardware geprogrammeerd is voor één type probleem, zijn we vijftien tot twintig jaar verder.” Dat maken we nog mee? “Dat is het hele leuke. Kort geleden nog dachten we aan de verre toekomst, maar die is nu binnen bereik van de huidige generatie onderzoekers. Vooral doorbraken in foutcorrectie hebben daaraan bijgedragen, waardoor de wetenschappelijk wereld de horizon naar zich toe haalt. Dat heeft een geweldige stimulans gegevens aan het vakgebied.” Wat is het leukste aan uw werk? “Een hele inspirerende omgeving met enthousiaste mensen met een enorme ambitie, inzet en energie, samen op weg naar die stip op de horizon: het prototype van de generieke quantumcomputer.” Is er urgentie, of zelfs haast? “Er is wel urgentie gezien de vraag en de competitie. Maar je kunt het geen haast noemen. Een paar terreinen, zoals genoemde beveiliging met de tweede generatie, wordt echt heel enerverend. Op die deelterreinen probeer je de eerste te zijn, zoals wij de
eerste waren met dat teleportatie-experiment. Maar geen haast om een weekend door te werken, omdat we anders een boot missen.” Het is ook concurrentiegevoelig? “Iedereen wil graag de eerste zijn met een nieuwe ontdekking. Er is zeker sprake van een gezonde competitie. Dit veld zit enerzijds echt in een vroeg ontwikkelingsstadium en veel kennis wordt gedeeld, maar we staan wel op een doorbraak- of keerpunt. Europa is echt heel erg goed in quantumonderzoek, dankzij vroege investeringen door landen en Brussel. Dat heeft geleid tot een bloeiende community op hoog niveau. De VS zijn niet alleen goed in wetenschap maar ook sterk in het koppelen aan snelheid in innovatie. We moeten dus in Europa tot een gezamenlijke inspanning komen om vanuit wetenschappelijke kracht in innovatie in technologie sterker te worden.” Hoe en met welke landen? “Er zijn quantum virtuele instituten met bijvoorbeeld Tomasso Calarco van de universiteit van Ulm, die enorm gedreven is in het bijeenbrengen van een Europese community. Max Planck en nog een paar Duitse universiteiten zoals RWTH Aachen. Engeland heeft net vier nieuwe instituten opgezet die hopelijk meedoen aan toekomstige Europese initiatieven, net als Imec en Leuven in België, Franse en Italiaanse instituten. Er liggen serieuze kansen in Europa. Er moet één groot Europees onderzoeksprogramma komen dat al deze groepen bijeenbrengt in gezamenlijke onderzoekslijnen.” Wat moet Brussel doen en welk prijskaartje hangt eraan? “Wij hopen dat Brussel eerst de versnippering van beleidsterreinen voor quantumonderzoek bijeen
Volgens Edward Snowden doet NSA voor Amerika aan Quantumcomputing gezien de enorme gevolgen. Heeft u met Microsoft ook een spion binnen? “Ha, ha. Nee, dat denk ik niet. We hebben die Snowden-documenten ook met belangstelling gelezen. De VS hebben een aantal openbare projecten, zoals van Darpa (Defensie) en Iarpa (Homeland Security) en we werken in consortia ook samen met Amerikaanse universiteiten, gefinancierd door deze agentschappen. Ongetwijfeld zijn er ook geheime projecten, maar daar zijn we niet bij betrokken. Wij publiceren en presenteren alles in de academische wereld, dus spionage is niet nodig.” Meer bedrijven? “Graag. Ook MKB als Leiden Cryogenics die afkoelingsapparatuur maken voor de chips. Met FEI doen we materiaalanalyse. Elektronicabedrijven willen met ons samenwerken, bijvoorbeeld in coaxkabels. Nu we dat pad van technologie opgegaan zijn komen we steeds nieuwe uitdagingen en enthousiaste bedrijven tegen die willen samenwerken.” Moet u ze als vliegen van u afslaan? “Dat niet, al zou dat niet erg zijn. Bedrijven moeten wel een hele lange adem hebben, want er is niet binnen een paar jaar een concreet resultaat. Samenwerken in Europese onderzoeksprojecten krijgt nu vorm.” De groten zoals Philips en ASML? “Op dit moment niet.” Wat baart u zorgen? “Soms toch het bijblijven bij de rest van de wereld. Blijft Europa meedoen, met investeren op wetenschappelijk niveau? Gaan we slagen in een gemeenschappelijke inspanning?”
www.ictmagazine.nl
8
TRENDS
12 mei 2015
Stoomcursus DevOps DevOps – een samenstelling van de termen ‘development’ en ‘operations’ – is de nieuwste trend in agile werken. Op de tegenoverliggende pagina kunt u lezen over de DevOps-praktijk bij financieel dienstverlener Stater. In dit artikel spreken we met twee experts over de struikelblokken die it-afdelingen en software-ontwikkelbedrijven zoal tegenkomen als zij de stap naar DevOps wagen?
Het samenvoegen van de traditioneel gescheiden afdelingen Ontwikkeling en Beheer – wat de crux is van DevOps – heeft nogal wat voeten in de aarde. Het verklaart grotendeels waarom DevOps nog nauwelijks in de praktijk wordt toegepast, zo blijkt uit een gesprek met Bert van der Zee en Roger Wouterse. Van der Zee doceert als LEAN-specialist aan de Universiteit van Amsterdam en werkt als zelfstandig consultant op het gebied van DevOps, big data en procesmanagement. Wouterse is productmanager bij SYSQA, een onafhankelijk bureau op het gebied van software testing en business IT alignment, ook wel quality assurance (QA) genoemd.
DevOps: de kern Het snelle ontwikkelen van software volgens Agile Scrum vraagt om een even snelle in productie name. Het vele handwerk in het proces van testen, accepteren en in productie nemen sluit niet langer aan op Agile Scrum, dus die drie elementen van de OTAP-straat moeten het liefst op volledig geautomatiseerde wijze verlopen. Alleen dan kan er snel worden gereleased. Dit vergt een technologische en procesmatige integratie van ontwikkeling en beheer. Dat is de kern van DevOps.
kwaliteit software door een betere samenwerking tussen IT en de business,” zegt Van der Zee. “Ik zie teveel organisaties die Agile Scrum alleen inzetten om sneller en daardoor goedkoper te ontwikkelen. Dat is zeker een voordeel, maar wie focust op kostenbesparing beknibbelt op kwaliteit.” Dat betekent dat een bedrijf moet veranderen, in alle geledingen. Wouterse: “Zoals je niet een beetje zwanger kunt zijn, kun je ook niet een beetje Scrum doen. Je hele organisatie moet veranderen. Als je alleen het software-ontwikkelteam op een nieuwe manier laat werken, dan leg je als het ware een V8-motor in een DAF-je: de auto is helemaal niet ontworpen voor de snelheid die een V8-motor ontwikkelt. Het gevolg: dramatisch rijgedrag waarbij je bij het minste of geringste uit de bocht vliegt. Als je in tweewekelijkse sprints software gaat opleveren, betekent dit bijvoorbeeld dat de business ook tweewekelijks die nieuw ontwikkelde functionaliteit moet beoordelen. Ook moet men bedenken aan welke nieuwe functies daarna de meeste behoefte bestaat. Je kunt niet meer werken met een traditionele backlog waarbij je de items stuk voor stuk afwerkt, je moet steeds opnieuw prioriteiten stellen. Ook dat is een continuproces geworden.”
Welke methode?
Beide experts zien dat Agile Scrum weliswaar populair is, maar dat het vaak ten onrechte een it-feestje blijft. “Het gaat juist om het leveren van een hogere
De indruk bestaat wellicht dat iedere organisatie op een Agile Scrum-manier ontwikkelt, maar de praktijk is anders. Bovendien, zo waarschuwt Van der Zee, is Agile Scrum helemaal niet voor ieder software-ontwikkelproject geschikt. “Als je specs duidelijk zijn, dan werkt de watervalmethode
Bert van der Zee
Roger Wouterse
De hele organisatie
sneller. En ook in organisaties met veel legacysystemen kun je vaak beter andere software-ontwikkelmethoden hanteren. IT-managers zouden hier veel meer oog voor moeten hebben en veel nadrukkelijker moeten stilstaan bij de vraag welke methode je in welke situatie inzet.” Agile Scrum werpt bijvoorbeeld wel zijn vruchten af bij de ontwikkeling van front-end applicaties. Omdat je op voorhand niet precies weet welke wensen klanten hebben en je dit vaak ook heel lastig goed kunt uitvragen, is het beter om via korte sprints steeds nieuwe functionaliteit te ontwikkelen en op te leveren, om vervolgens in een productie-omgeving te meten hoe goed deze wordt gebruikt (zie kader ‘Machine learning’).
You build it, you run it In de traditionele OTAP-straat staat de O vaak behoorlijk ver af van de TAP-processen. In een DevOps omgeving liggen ontwikkelen, testen, accepteren en in productienemen en het beheren van de software dicht bij elkaar. DevOps gaat namelijk uit van het principe: you build it, you run it. Ontwikkeling en beheer komen in één hand te liggen, waardoor de ontwikkelaar veel nauwer betrokken is bij de kwaliteit van de applicatie. Hierdoor moet hij bij de ontwikkeling al nadenken over aspecten als security en beheer van de applicatie. “Traditioneel gingen software-ontwikkelafdelingen vaak uit van het principe: de kwaliteit testen we er wel in,” weet Wouterse. “Met andere woorden: we herstellen de fouten wel achteraf. Maar iedereen weet: voorkomen is beter dan genezen. Mijn advies is daarom: hou bij de ontwikkeling al rekening met de kwaliteits aspecten. Bovendien leidt alleen slim testen zo vroeg mogelijk in het ontwikkelproces tot betere kwaliteit. Het testen in DevOps-projecten kan dan ook worden beperkt tot de meest kritische functionaliteit, mede dankzij het principe van Continuous Delivery: zeer kleine updates van software, vaak meerdere keren per dag. Doordat de updates klein zijn, is de impact van een fout vrijwel nihil.”
Ruimte voor fouten Binnen DevOps werken ontwikkelaars, testers en beheerders samen in één team dat nauwe aansluiting heeft met de business. Dit verandert het speelveld volkomen, weet Wouterse.“Je kunt niet simpelweg de traditionele functies vertalen naar een rol in een Agile DevOps-team. Je kunt veel beter kijken naar de vaardigheden en expertises van de mensen in je team en aan de hand daarvan de rollen bepalen.” Van der Zee gebruikt voetbal als metafoor: “Als je de taken goed hebt verdeeld en iedereen weet wat hij moet doen, dan loopt het gesmeerd. Je kunt echter niet te strak vasthouden aan de rollen. Een aanvaller moet immers ook wel eens verdedigen en soms heeft een verdediger kans om te scoren. Die ruimte moet er zijn en die ruimte moeten de spelers durven te nemen. Dit vereist goede onderlinge communicatie, anders loopt het mis. Zoals je van de F-jes geen hogeschool positiespel kunt verlangen, kun je ook van een beginnend Agile team niet verwachten dat ze dit vanaf de eerste dag meteen in de vingers hebben. Dit vergt maanden-, zo niet jarenlange training, waarbij je steeds opnieuw in een trainingssituatie de spelpatronen herhaalt, net zolang tot ze zodanig zijn ingesleten dat ze onder hoogspanning in een wedstrijd automatismen zijn geworden.” Met andere woorden: je brengt dit een team niet in drie maanden op niveau. “Het vergt minimaal twee jaar om tot een mager zesje te komen,” schat Wouterse in. “Neem die tijd en geef je DevOpsteams de ruimte om fouten te maken. Want fouten maken is de enige manier waarop je snel leert en waarbij datgene wat je leert ook écht beklijft. Dit is geen boekjeskennis, je moet het in de praktijk gewoon gaan doen. Dat betekent ook dat de teams moet worden aangestuurd op een manier die bij deze lerende ontwikkeling hoort. Manage je dit op traditionele wijze – met KPI’s gericht op voorspelbaarheid, stabiliteit en het voorkomen van fouten – dan wordt het nooit wat.”
Machine learning IT-organisaties meten en verbeteren de kwaliteit van de door hen ontwikkelde software door te testen. Je weet dan echter nog niet hoe de externe klant het systeem werkelijk ervaart. Binnen DevOps heb je die snelle feedback wel nodig. Bert van der Zee adviseert grote software-ontwikkelafdelingen om op basis van data te analyseren wat de kwaliteit is van de opgeleverde functionaliteit. Dit kan met ‘machine learning’: algoritmen die leren van data en daardoor steeds beter worden. “Met deze vorm van big data analytics vertaal je de beleving van de externe klant van de nieuwe software naar interne metingen. Op deze manier krijg je een veel realistischer beeld over zaken als gebruiksgemak en dus klant tevredenheid, dan wanneer je de klantbeleving uitvraagt via enquêtes.”
www.ictmagazine.nl
9
TRENDS
12 mei 2015
Eerste grote DevOps-implementatie
Business en IT trekken nu écht samen op
door: Mirjam Hulsebos DevOps omvat de integratie van het ontwikkelen en geautomatiseerd in productie nemen van software. Het staat de laatste tijd sterk in de belangstelling, maar succesvolle praktijkcases moet je nog met een lampje zoeken. Een van de grootste implementaties ervan in Nederland staat op naam van Stater, een partij die in opdracht van hypotheekverstrekkers ruim 1,3 miljoen hypotheekleningen beheert.
DevOps is de volgende stap na Agile Scrum. Agile Scrum is een populaire manier om het softwareontwikkelproces te versnellen. Nu dit veel sneller verloopt en in nauwere samenwerking met de business gebeurt, blijkt in veel gevallen dat de bottleneck zich heeft verplaatst naar het tweede deel van de OTAP-straat: testen, accepteren en in productie nemen van de software. Continuous Delivery is het antwoord op dat knelpunt. Het is een manier om het handwerk in het testproces te automatiseren en de foutkans te verlagen. Vooralsnog komen we Continuous Delivery echter voornamelijk tegen in pilots of deelprojecten. Stater is een uitzondering. Deze organisatie heeft DevOps op de gehele it-afdeling ingevoerd. Zij werken nu met bijna 35 multidisciplinaire Scrum-teams, verantwoordelijk voor alle processen die voorheen de OTAP-straat vormden. Het resultaat: kortere time-to-market door snellere releases, hogere klanttevredenheid door minder incidenten, meer focus op optimalisatie door het automatiseren van repeterende werkzaamheden en meer betrokken medewerkers.
instellingen besteden deze processen uit vanwege procesefficiëntie, kostenefficiëntie en snelle aanpassing aan veranderende wet- en regelgeving. Maar Stater wil meer betekenen voor klanten, aldus Manager IT Development Ton Kueter. “We willen in de toekomst onze klanten ook bedienen met innovaties. Denk bijvoorbeeld aan het digitaliseren van onze diensten.” Dat betekent dat Stater sneller nieuwe functionaliteiten wil kunnen ontwikkelen, zonder de it-afdeling fors uit te breiden. Deze functionaliteit willen ze vervolgens met één druk op de knop in enkele minuten uitrollen op foutloze omgevingen die automatisch worden opgebouwd. Want pas dan kun je echt snelheid maken. “Die snelheid is nodig omdat de bestaande operationele processen toe waren aan een verbeterslag,” vertelt Manager IT Operations Coen Stipdonk. Na een groot programma waarin vrijwel de gehele infrastructuur is vervangen of geüpgraded en de performance van de applicaties sterk is verbeterd, was er nog één belangrijke wens: het verbeteren van de OTAP-straat.
Snel, sneller, snelst
Kueter vertelt over de aanleiding van het project: “Wij hadden uitdagingen in de test- en acceptatie fase van projecten. Daarom hebben we ons verdiept in Continuous Delivery om het handwerk in het testproces te automatiseren en de kans op fouten te verlagen. Daarna zijn we ook gestart met Agile.” Hiermee voert Stater DevOps in de volle breedte in, in de gehele OTAP-straat, op de gehele it-afdeling. “Dat was best een spannende beslissing,” geeft Stipdonk toe. “We konden de kunst nauwelijks afkijken.” Het vinden een ict-dienstverlener die vaker met dit bijltje had gehakt, was dan ook niet een-
Stater is een belangrijke financiële dienstverlener die alle midoffice- en backoffice-processen rondom hypotheken kan overnemen van financiële instellingen. De consument klopt nog wel aan bij een bank of hypotheekverstrekker om de hypotheek af te sluiten, maar Stater ondersteunt alle achterliggende processen, van het maken van de offerte tot het passeren van de akte en vervolgens het beheer gedurende de volledige looptijd. De organisatie beheert ongeveer 1,3 miljoen hypotheek leningen; ruim 30 procent van de markt. Financiële
De volle breedte
voudig. “Veel ict-dienstverleners zeggen dat ze ervaring hebben met Continuous Delivery. Maar vraag je door dan blijkt dat ze alleen een consultant hebben geleverd in een deelproject of een pilot.” Uiteindelijk vonden ze een geschikte partij in Xebia.
en testers direct feedback op het geleverde werk, terwijl dit in de oude situatie soms pas weken later kwam. Dit is echt een grote omslag in de manier van denken en werken.”
Weerstand wegnemen
In één jaar tijd heeft Stater ruim 35 stabiele Agile Scrum-teams neergezet die niet alleen hun eigen software ontwikkelen, maar dat ook automatisch testen en in productie nemen. In deze teams zitten ook mensen uit de business, waardoor nieuwe functionaliteit veel beter aansluit bij behoeften. De product owner speelt in die afstemming met de business een cruciale rol. Door de transformatie op een Agile-manier aan te pakken is de organisatie volledig gecommitteerd en altijd op de hoogte van de planning, zodat de business deze kan aanpassen als het nodig is. Het automatiseren van het handwerk heeft besparingen opgeleverd, maar Stipdonk vindt het nog belangrijker dat Stater nu ineens veel meer vaart heeft gekregen in het softwareontwikkelproces. “Een jaar geleden was ons voornaamste doel het wegwerken van achterstallig onderhoud en nu praten we over innovatie. We kunnen veel sneller inspelen op de wensen van onze klanten.” 2014 is een intensief jaar geweest waarin Stater veel heeft geleerd. Het resultaat is positief, maar dat is niet zonder slag of stoot behaald, besluit Kueter. “We hebben periodes met meewind gehad, maar zeker ook met tegenwind. Het is logisch dat zo’n grootschalige verandering niet altijd van een leien dakje gaat. Maar ook tijdens lastige momenten was het partnership met onze ict-dienstverlener sterk. Het is een succes geworden omdat we voortdurend samen gericht zijn geweest op onze doelen. En die hebben we ruimschoots behaald.”
Gezien het innovatieve karakter keek de it-afdeling van Stater kritisch naar deze nieuwe werkwijze. De medewerkers hadden een natuurlijke weerstand tegen de veranderingen die horen bij de introductie van Continuous Delivery, zoals zero maintenance en test driven development. Kueter is tevreden over de rol die Xebia heeft gespeeld bij het wegnemen van die weerstand. “Hun mensen konden op alle niveaus met onze mensen levellen. Zij benadrukten dat het werk er veel leuker op wordt, doordat repetitieve handmatige taken komen te vervallen en er meer uitdagend werk voor in de plaats komt. Het duurde niet lang voordat de boodschap landde bij onze medewerkers. Het komt erop neer dat je in een dusdanig groot verandertraject niet alleen technische expertise nodig hebt, maar ook mensen die snappen wat er komt kijken bij verandertrajecten. Je hebt mensen nodig met een hoog EQ. Dat menselijke aspect is heel belangrijk geweest in dit traject.” Daar sluit Stipdonk zich bij aan: “De techniek is het probleem niet als je DevOps gaat introduceren. En je kunt ontwikkelaars ook vrij gemakkelijk overtuigen van de voordelen van Agile Scrum en het werken in multidisciplinaire teams die nauw aansluiten bij de business. Maar Continuous Delivery vraagt van ontwikkelaars en testers dat zij volledige verantwoordelijkheid nemen voor hun eigen werk. Een wijziging is pas goed als het in productie goed is. Door de nieuwe werkwijze krijgen ontwikkelaars
Veel meer vaart
www.ictmagazine.nl
11
ICT-BREED
12 mei 2015
Wordt Facebook het datacenter van de toekomst?
door: Jasper Bakker Facebook heeft flinke ambities. ’s Werelds grootste social network verricht serieus datacenterwerk en heeft daarvoor eigenlijk niet genoeg aan de huidige it-middelen. Dus herontwerpt en bouwt het veel zelf. Het deelt dat datacenterdesign met de rest van de wereld. De it-industrie en de bedrijfswereld die IT gebruikt, krijgen te maken met een omwenteling. Deze aankomende revolutie is deels te vergelijken met de stormachtige opkomst van Windows- en Linuxservers met Intel-processors. De impact van die zogeheten ‘industry standard servers’ omvatte niet alleen een verandering op servergebied. maar werd veel groter. Clustering, load-balancing, virtualisatie, storage, networking en andere it-gebieden zijn de afgelopen jaren ingrijpend veranderd. Dit heeft geleid tot ander beheerwerk, nieuwe specialisaties enzovoort.
Van monolithisch naar modulair Datacenters staan aan de vooravond van veel fundamentele veranderingen. Facebook voert deze nieuwe revolutie aan, gedreven door eigen noodzaak. De social network gigant is namelijk allang tegen de grenzen van de gewone ICT aangelopen. De grote gebruikersaantallen, de hoge beschikbaarheids eisen, de enorme datahoeveelheden, de lijvige analyse van die data drijven Facebook tot nieuwe terreinen en technieken. Natuurlijk is het kostenplaatje een belangrijke factor hierbij. Monolithische servers, storagesystemen en netwerkapparaten maken plaats voor modulaire middelen. Internetreus Google is jaren terug al overgegaan op ‘wegwerpservers’. Goedkope, energiezuinige moederbordjes in enorme aantallen vullen de datacenters van de zoekreus. Is er iets in de data corrupt of aan de hardware kapot? Dan wordt de betreffende servernode eerst vermeden voor verder gebruik, vervolgens uitgeschakeld en uiteindelijk in een reguliere opruimronde fysiek verwijderd uit de schappen van Googles serverracks. Natuurlijk draait niet heel Google op dergelijke ‘disposable’ hardware, maar de zoekmachine kan
voor een groot deel functioneren op deze manier. Voor meer kritieke toepassingen zijn nieuwe vormen van redundantie en datacontrole ontwikkeld, die ook buiten Google zijn gebracht en door de rest van de wereld worden benut. Evenals Google doet Facebook veel eigen ontwikkelwerk. Naast software betreft dat ook hardware. Facebook herziet de fundamentele bouwblokken die servers, storage, netwerken en datacenters vormen.
Software-defined Opvallend is dat het social network dit designwerk openlijk deelt. Al in 2011 heeft Facebook de non-profit
Open Computehardware bespaarde vorig jaar al ruim $ 1 miljard organisatie Open Compute Project (OCP) opgezet om zijn ontwerpen te delen en in samenwerking met ict-leveranciers breder in de markt te krijgen. Het doel is de verdere ontwikkeling en ook standaardisering van de technologie. Bovendien belooft het dat de vaak hechte banden tussen software, hardware en de functies daarvan worden verbroken. Hardware wordt ondergeschikt gemaakt aan software. Flexibiliteit, aanpasbaarheid en lagere kosten zijn de sleutelwoorden. Veel leveranciers van datacentersystemen spreken al van de voordelen die dit zogeheten softwaredefined computing brengt. Deze aanpak voorziet in
meer ‘macht’ voor software om te bepalen hoe en waarvoor hardware zijn vermogen inzet. Voor applicatieservers is dit al een bekende aanpak. De trend van software-defined valt op te splitsen in de diverse deelgebieden van datacenters en it-infrastructuren: software-defined networking, software-defined storage enzovoort.
De OCP-aanpak Afhankelijk van welke leverancier het pitcht, kan ‘software-defined X’ nog altijd deels gebonden zijn. Gebonden aan een bepaalde technologie, aan bepaalde hardware, aan bepaalde productlijnen van zo’n leverancier. De ontwikkelingen zijn immers nog in beweging en standaarden worden gedefinieerd, doorgedrukt en herzien. Het door Facebook opgezette Open Compute Project speelt hier ook in mee. Het telt onder de leden nagenoeg alle grote namen uit de it-wereld, inclusief partijen wiens huidige datacenteraanbod wordt ondermijnd of zelfs bedreigd door de OCP-aanpak. Tot op heden werden de vruchten van deze open source hardware voor datacentergebruik vooral geplukt door de grote, it-aanbiedende partijen op de markt. Bedrijven die opereren op zogeheten web-scale, zoals Facebook zelf. Het social network heeft vorig jaar al gesteld dat het meer dan 1 miljard dollar weet te besparen door het gebruik van Open Compute-hardware in zijn eigen datacenters. Verder hebben cloud-reuzen als Rackspace en IO hun diensten voor verschillende soorten clouds opgebouwd met de hardware-ontwerpen van het Open Compute Project. En Microsoft heeft de OCP-specificaties omarmd voor de infrastructuur waarop het al zijn cloud-diensten aanbiedt, inclusief het zakelijke gebruikte Azure. Analisten verwachten dat de aanpak en ontwerpen
van OCP geleidelijk aan ook doordringen bij nonweb-scale organisaties. Die grotere toekomstige gebruikersgroep omvat dan ook reguliere it-afnemers die nu nog eigen, traditionele datacenters hebben. Een nieuw soort systeemintegrator staat op om kleinere organisaties aan deze nieuwe soort IT te helpen. Voor een brede doorbraak moet er nog wel schaalgrootte worden bereikt. Zo is de open source hardware momenteel niet goedkoper in aanschaf dan traditionele datacenterapparatuur. De kostenvoordelen zitten nu nog in de grotere flexibiliteit en de lagere TCO (total cost of ownership).
Renaissance voor de it-afdeling? Wanneer open source hardware doordringt in de grotere bedrijfswereld heeft dat ook gevolgen voor it-mensen. Niet alleen kan er een nieuwe soort it’er ontstaan, zoals ooit de Windows-mensen als andere ‘stam’ zijn gekomen naast Unix-beheerders. Gebruik van open hardware die met software geheel flexibel valt in te zetten, vereist weer een ander kennis niveau én een andere werkwijze. Onderzoeksbureau Gartner waarschuwt al dat software-defined infrastructuren een flinke impact hebben op conven tionele structuren voor it-beheer, -verantwoordelijkheid en -support. Beheerders krijgen de taak om applicaties en data beschikbaar te stellen op basis van business- vereisten in plaats van op datacentermogelijkheden, zo voorspelt Gartner. De mogelijkheden van datacenters zijn soms beperkt, maar software- defined computing en open source hardware kunnen dat verhelpen. De it-strategie van een organisatie wordt meer en meer een bedrijfskwestie. De it’er levert steeds meer een actieve bijdrage in plaats van dat hij ‘slechts’ faciliteert.
www.ictmagazine.nl
12
BIG DATA
12 mei 2015
Hadoop weet raad met de zee aan data
door: Mirjam Hulsebos De technologie bestaat al een tijdje, maar erg volwassen was Hadoop nog niet. Jonge digitale bedrijven laten al enkele jaren zien welke waarde er verborgen ligt in data. Dit zijn bedrijven zonder legacy en met een uitstraling die dataengineers en datascientists aantrekt. Tot voor kort moest je in de enterprisemarkt de big data cases met een lampje zoeken. Dat verandert nu snel, zo ontdekten wij op de Hadoop Summit 2015 in Brussel. Het is de derde Europese Hadoop Summit. De eerste twee jaar – met respectievelijk 400 en 800 bezoekers – was Amsterdam de gaststad. Dit jaar was er een grotere locatie nodig. De meer dan 1300 bezoekers werden nu ontvangen in het congrescentrum in het hart van Brussel. Waar andere jaren de praktijkcases nog kwamen van bedrijven die nog geen tien jaar bestonden, waren het dit jaar juist de aloude brickand-mortar-bedrijven die voor de interessantste verhalen zorgen.
Nieuw paradigma De eerste traditionele organisaties investeren nu in big data technologie zoals Hadoop, omdat dat ze aanlopen tegen de beperkingen die bestaande applicaties met zich meebrengen. Die hebben allemaal hun eigen datasilo. Omdat die verschillende databases zich alleen met veel moeite laten integreren, wordt er veel te weinig meerwaarde gehaald uit het combineren van verschillende databronnen. Dat wordt een drempel nu we ‘the new paradigm of data’ betreden: het tijdperk van de datagedreven organisatie. Organisaties ontdekken dat er naast de data in ERP, CRM, HRM en wat dies meer zij veel meer data is die waarde kan leveren aan de business. Die data is grofweg onder te verdelen in twee groepen: • Sensordata gegenereerd door the Internet of Things. Denk aan data over slijtage van machineonderdelen,
De transformatie door big data analytics Retail: Van mass marketing naar gepersonaliseerde real-time experience Finance: Van dagelijkse risicoanalyses naar real-time trade surveillance, zodat fraude wordt opgespoord op het moment dat deze wordt gepleegd Healthcare: Van standaard behandelingen naar geperso naliseerde monitoring en behandeling Industrie: Van reactief onderhoud naar proactief onderhoud op basis van actuele data over slijtage Telco’s: Van losstaande klantsilo’s naar een gepersonaliseerde dienstverlening, rekening houdende met jouw bel- en internetgedrag en daar volledig op afgestemd
www.ictmagazine.nl
temperatuurmetingen, vochtigheidsmetingen, hartslag enzovoort. • Data over klantgedrag: doorclicks op artikelen in een e-mailnieuwbrief, opgevraagde webpagina’s, winkelmandjes die worden gevuld en vervolgens onbeheerd worden achtergelaten, productrecensies, telefoontjes naar het call center. De bestaande relationele databases kunnen niet omgaan met deze nieuwe bronnen. Een ERP-systeem legt wel een aankoop vast, maar kan niet een gevuld winkelmandje achterhalen. Bovendien hebben die databases vaak moeite met het real-time gedrag van de data, die als een continue stroom op je afkomen. En de licentiemodellen lenen zich er niet voor de databases op te schalen, dat is simpelweg te duur. Dit is precies het gat dat Hadoop vult. Het is technologie waarmee je op basis van gestandaardiseerde hardware op een heel goedkope manier opslag capaciteit realiseert. Hadoop maakt het bovendien mogelijk om allerlei soorten data op één platform op te slaan, zonder je vooraf druk te hoeven maken over metadata, data governance enzovoort. Natuurlijk, deze aspecten worden heel belangrijk als je de data wilt uitnutten, maar ze spelen bij de opslag nog geen rol. Gooi alles maar op één hoop – het zogenaamde datameer – dat is de gedachte achter Hadoop.
Rotterdamse haven verbetert inzicht Eén van de sessies op de Hadoop Summit werd verzorgd door Port of Rotterdam. Frank Cremer werkt als consultant voor het havenbedrijf en helpt hen bij de transformatie naar een meer datagedreven organisatie. De belangrijkste vraag die de Rotterdamse havenmeesters dagelijks bezighoudt is: waar bevinden zich de schepen die de komende uren gaan aanmeren? Wat is hun snelheid en wat is met die snelheid de verwachte aankomsttijd? Cremer schetst de uitdaging: “Het grootste containerschip bevat 18.000 containers. Die moeten allemaal verder worden getransporteerd naar hun eindbestemming. Via de weg, het spoor of het water. Hoe beter wij het vervolgtransport laten aansluiten op de aankomst van het schip, hoe sneller goederen door de supply chain gaan en hoe duurzamer wij als haven opereren.” Ieder schip is daarom voorzien van een transponder die belangrijke data doorstuurt naar het Radar and Control Station aan wal, vergelijkbaar met de luchtverkeerstoren op Schiphol. Vroeger was deze ‘verkeersregelaar’ afhankelijk van radarinformatie. Nu wordt de radar alleen nog gebruikt als back-up
voor het geval een transponder uitvalt. De transponderdata worden allemaal verzameld op een Hadoop cluster. “We hadden ook voor andere technologie kunnen kiezen, want het gaat om gestructureerde data. Ook gaat het niet eens om zo heel veel data. Het enige wat misschien afwijkt van andere datatypen waar wij mee werken is dat deze data iedere tien seconden binnenkomt en dat het ons natuurlijk gaat om het real-time karakter daarvan. We hadden voor ons doel ook kunnen kiezen voor een geospacial database. Maar omdat er geen standaardoplossing bestond waar wij mee uit de voeten konden, was er aanvullend maatwerk nodig. Bovendien was deze oplossing vrij duur omdat je dedicated hardware nodig hebt. Het grote voordeel van Hadoop is dat dit op gestandaardiseerde hardware draait en daardoor erg goedkoop is.” Je hebt specialistische kennis nodig om zo’n Hadoop cluster te bouwen en vervolgens analyses los te laten op de data. Om niet zelf het wiel uit te vinden, maakt Port of Rotterdam gebruik van de KPN cloud-dienst Hadoop-as-a-Service. Dit platform draait op zijn beurt weer op het Hortonworks Data Platform (HDP). Cremer had zelf de nodige kennis, maar riep toch de hulp in van een specialist, Mansour Raad, big data specialist bij ESRI. Samen hebben ze met een team van Port of Rotterdam in drie weken tijd de basisoplossing ontworpen. Naast het Hadoop-platform waarop alle data worden verzameld, bestaat dat uit een ESRI analyseplatform en ArcGIS tooling waarmee gebruikers zelf eenvoudig analyses kunnen maken. Ze kunnen met de muis op een kaart een gebied aftekenen en in dat gebied de verkeersstromen inzichtelijk maken. Dat is de belangrijkste toepassing op dit moment. “Het is nu vooral een oplossing om real-time te zien wat er gebeurt,” zegt Cremer. “De volgende stap is om predictive analytics toe te passen, dus voorspellende analyses zodat we kunnen ingrijpen voordat zich bijvoorbeeld een opstopping voordoet.”
Voorverpakken van Hadoop Port of Rotterdam koos voor Hadoop-as-a-Service,
waar Fred Heukels productmanager van is. “We leveren deze dienst intern aan KPN business units en extern aan klanten,” vertelt hij. “We werken intensief met partijen die het analytics-deel voor hun rekening nemen. Wij leveren het platform waarop bedrijven alle data kunnen verzamelen, maar verzamelen is natuurlijk slechts de eerste stap. Het gaat er uiteindelijk om dat je slimme beslissingen neemt en daarvoor heb je analytische tooling nodig. Door samen te werken met partijen uit dat veld kunnen we nog weer een stap verder gaan in het voorverpakken van diensten, zodat klanten minder technische kennis nodig hebben om ermee aan de slag te gaan.” Dat voorverpakken is precies waardoor de open source software Hadoop zo populair wordt bij traditionele bedrijven. De eerste stap in dat proces wordt geleverd door distributiepartijen zoals Hortonworks, Cloudera en MapR. Het Hortonworks Data Platform (HDP) is een voorbeeld van zo’n voorgeconfigureerde dienst. Het blijft echter een breed inzetbaar platform, zonder enige vorm van preconfiguratie. Daarom werken deze distributiepartijen samen met partners die de vertaalslag maken naar bepaalde branches of een bepaald type klantwensen. Zoals Dan Holle van SAP het verwoordt: “Hadoop is de motor in de auto die wij verkopen. De motor is generiek, onze auto is gestandaardiseerd maatwerk. Hadoop is een zeer kosteneffectieve manier om data op te slaan. Maar de echte meerwaarde zit natuurlijk in de diensten daar omheen.”
Data governance belangrijk Fred Heukels mag niet teveel vertellen over de toepassingen die KPN ontwikkelt voor klanten, maar kan wel zeggen hoe de organisatie zelf gebruikmaakt van Hadoop. “Wij meten enerzijds hoe onze netwerken presteren en anderzijds willen we de klant beter begrijpen. Als we dat begrip van de klant kunnen inzetten om bijvoorbeeld te bepalen in welke regio’s de grootste behoefte is aan upgrading van ons netwerk, dan kunnen we beter bepalen waar we investeringen het snelst terugverdienen.
13
BIG DATA
12 mei 2015
Lotte de Bruijn
Column
Digitale weerbaarheid
Bovendien kunnen we de klantentrouw in die gebieden meer verhogen, want een up-to-date netwerk verkleint de kans dat klanten overstappen naar de kabel.” Die overstapkans wordt ook verkleind door klanten een abonnement te bieden dat beter past bij hun belgedrag. Ook dat vereist het gebruik van netwerkdata gericht op continue verbetering van de klantervaring. Het is dus duidelijk dat er veel meerwaarde zit in het samenbrengen van deze beide vormen van data op één platform. Maar dat is makkelijker gezegd dan gedaan. “Wij zijn een meer dan 100 jaar oud bedrijf met veel legacy,” vertelt Heukels. “Bovendien is veel van onze data privacygevoelig. We willen klanten eerst toestemming vragen voordat we ze aanbiedingen toesturen of de data anderszins gebruiken. Als je alle klantdata in zo’n datameer op Hadoop-clusters opslaat, hoe zorg je dan voor die governance? Hoe beheer je dat de data alleen wordt gebruikt op de manier waarvoor klanten toestemming hebben gegeven? Die governance is echt een helse klus.” Daarom begint het bedrijf met het samenbrengen van data op het niveau van de business units. Iedere business unit legt vast wie welke data mag inzien, wie welke data mag gebruiken en welke policies van toepassing zijn. Bij veel handelingen wordt het vier-ogen-principe toegepast (degene die goedkeuring geeft, is een ander dan de persoon die de data gebruikt), maar bij zeer privacygevoelige data geldt het zes-ogen-principe. “We gaan met data om op een manier zoals een bank met geld omgaat. Althans, we zijn druk bezig dat in te voeren. Omdat we zorgvuldig met data willen omgaan, kunnen we niet altijd het tempo maken dat we graag zouden willen. Desondanks beginnen we met een goede datastrategie. Die vertalen we in policies en pas dan kunnen we de vertaalslag maken naar de operatie.” Het advies dat Heukels geeft aan andere organisaties die eerst hun data governance op orde willen maken is: zorg voor sponsorschap vanuit de Raad van Bestuur en stel een Chief Data Officer aan die als
een soort van datahoeder toeziet op de strategie en het beleid. “Wij hebben nog geen CDO, deze functie is nu nog in de business units belegd. Op het moment dat we echt één datameer voor de hele organisatie aanleggen, dan ontkomen we niet aan één centrale eindverantwoordelijke.”
Open Data Platform Het zijn stappen op weg naar volwassenheid qua omgang met data. Ook op technologisch gebied groeit de volwassenheid. Dit uit zich bijvoorbeeld in de oprichting van het Open Data Platform. Enkele bedrijven die een Hadoop-oplossing bieden, hebben afgesproken om allemaal met dezelfde versie te gaan werken: Hadoop 2.6. Aangezien deze partijen in projecten vaak met elkaar samenwerken, verlopen projecten voorspoediger omdat iedereen gebruikmaakt van dezelfde standaardversie. Dat standaardisatie kan helpen bij het versnellen van de transformatie van een industrie laat de transportsector zien. Door containers te standaardiseren naar een vaste afmeting kunnen schepen sneller worden geladen en gelost en passen meer containers op een schip. Bovendien kunnen vrachtwagens flexibeler worden ingezet, want ze zijn voorbereid op de standaardmaat container. ODP brengt hetzelfde effect teweeg. Het stelt de Hadoop community in staat om gezamenlijk producten sneller naar de markt te brengen. Het vergroot bovendien de flexibiliteit. In de community kan men sneller problemen oplossen en klanten kunnen profiteren van de oplossingen die voor andere organisaties zijn bedacht. Ze hoeven niet zelf het wiel uit te vinden. Initiatieven zoals ODP versnellen de transformatie die nu op gang komt naar een datagedreven economie. Want dat alle bedrijven vroeg of laat data gedreven gaan worden, daarvan zijn alle geïnterviewden overtuigd. Voorverpakte oplossingen en Hadoop-as-a-Service-diensten van diverse ictdienstverleners maken het steeds eenvoudiger om snel de vruchten te plukken. Kortom, oogsten is geen probleem meer. De grote vraag die overblijft is: weet u waar de vruchten voor uw organisatie hangen?
Cybersecurity krijgt steeds meer de aandacht die het verdient. Rondom de cyberconferenties in Den Haag belichtten de media het onderwerp werkelijk van alle kanten. En terecht. Dat er zoveel over gesproken en geschreven wordt, komt omdat het een lastig onderwerp is. Het gaat over de rolverdeling tussen overheid en gebruikers. Over de spanning tussen security en privacy. Over de spanning tussen gebruikersgemak en veiligheid. En over verantwoordelijkheden, want niet alleen de it-afdeling moet zich hiermee bezighouden, maar iedereen heeft zijn eigen rol in digitale weerbaarheid. Overheden worstelen daarnaast met de vraag in hoeverre te goede dataprotectie hen belemmert in het voorkomen en bestrijden van cybercriminaliteit en -terrorisme. Het zijn dilemma’s die de discussie volop waard zijn. Duidelijk is dat de snelle groei van de digitale economie ook een keerzijde heeft. Waar vroeger bankrovers met een thermische lans een kluis openbraken, verrichten ze nu hun criminele activiteiten van achter hun computer. De opbrengsten zijn groter en vingerafdrukken laten ze niet achter. Niet alleen banken, maar ook andere partijen zijn een potentiële prooi. Informatie, zoals intellectueel eigendom van bedrijven, is immers ook geld waard. Bedrijfsspionage door concurrenten of buitenlandse overheden komt veel vaker voor dan menigeen denkt. Digitale weerbaarheid is daarom net zo cruciaal voor landen als voor bedrijven. Nederland staat wederom op een mooie vierde plaats in de Networked Readiness Index van het World Economic Forum. We staan echter ook op de vierde plaats van landen met de meeste cyberaanvallen. Een relatie tussen beide posities ligt voor de hand. Nederland heeft de kans om de eerste echt digitale economie van Europa te worden. Dat lukt alleen als onze digitale weerbaarheid op orde is. Uit onderzoek is gebleken dat investeerders bedrijven die getroffen zijn door een cyberincident als een hack of phishing vaker links laten liggen. Reputatieschade heeft daarmee ook directe financiële consequenties, nog los van de reacties van klanten. Nederland is goed bezig op het gebied van cybersecurity. Nederland heeft een aantal toonaangevende bedrijven en er zijn volop kansen op het gebied van export van onze expertise. Nederland kan wereldwijd leidend worden op dit gebied. Het is daarvoor wel noodzakelijk dat zowel overheden als bedrijven security zien als integraal onderdeel van de digitalisering van diensten en bedrijfsvoering. Security zou een vast onderdeel moeten zijn van de functionele specificaties van ieder bestek. Dat betekent ook dat er meer geïnvesteerd zal moeten worden in digitale weerbaarheid. Tien procent van het ict-budget lijkt veel, maar de uiteindelijke opbrengst is veel hoger. Door een grotere concurrentiekracht van bedrijven en dus van ons land zullen we dat terugverdienen. Alleen door nauwe samenwerking tussen overheid, bedrijfs leven en wetenschap kunnen we de noodzakelijke stappen zetten. Dat geldt nationaal, maar vooral ook internationaal, want het internet is grenzeloos. Alleen daarom al was het goed dat vertegenwoordigers van overheden, bedrijven en wetenschap in Den Haag bij elkaar kwamen. Want de zaken op hun beloop laten, is geen optie. n Lotte de Bruijn is Directeur Nederland ICT @Nederland_ICT
www.ictmagazine.nl
14
ICT-BREED
12 mei 2015
De afdeling die vroeger IT heette… Deel 2: De strategische agenda door: Bart Stofberg en Menzo Meijer Bij het merendeel van de ondernemingen zijn informatie en de bijbehorende (informatie) technologie een kritieke succesfactor geworden. Informatie en IT moeten optimaal bijdragen aan het succes van de onderneming, maar hoe organiseren we dat? De traditionele manier was het opstellen van een informatieplan. Het informatieplan was een lijvig document, bevatte veel details en het duurde maanden voordat het tot stand kwam en daardoor was het bij verschijning al verouderd. En bovendien: de hoofdboodschap was onduidelijk en gaf mede daardoor weinig tot geen sturing aan projecten en de dagelijkse gang van zaken. Met de architectuur is het informatieplan in veel organisaties het meest verstofte document van de organisatie. Er is heel veel tijd in gestoken, maar het werd en wordt nooit gebruikt. Hoe moet het dan wel? Bedrijfsvoering, informatisering en (informatie) technologie raken steeds meer met elkaar verweven. Zelfs marktpositionering is innig met de vorige drie verbonden. Het is bijna onmogelijk geworden ze los van elkaar te beschouwen. Strategische discussies kunnen niet meer worden gevoerd zonder de componenten informatie en IT. Zo mochten we ooit tijdens een directeurenoverleg van een organisatie die een van de grootste it-afdelingen in Nederland heeft de uitspraak noteren: “Heren, (er waren geen dames aan de hardhouten tafel aangeschoven) het kan niet zo zijn dat er in dit gezelschap onvoldoende inhoudelijke kennis is over het it-landschap. De volgende vergadering wil ik een degelijk maar beknopt verslag en toekomstvisie”. Daar komt bij dat de omgeving van de onderneming sneller verandert dan ooit. De noodzaak om mee te kunnen veranderen is immens groot. Richting
Wendbaarheid Ondernemingen en andere organisaties moeten wendbaar zijn, niet alleen op tactisch en operationeel niveau, maar ook op strategisch niveau. Kodak was de uitvinder van de digitale camera, maar had geen antwoord op de gevolgen ervan. Grote winkelketens als V&D, HEMA, Blokker en Miss Etam hebben (nog) geen antwoord op de veranderingen in de wereld, de Bijenkorf, H&M en Zara wel. Philips stoot zijn verlichtingstak af, waar het ooit mee is begonnen en kiest daarmee voor fundamenteel nieuwe richting. Energiebedrijf Eon in Duitsland stoot alle fossiele energie af en richt zich alleen nog op schone energie.
moet continu kunnen worden bijgesteld, beleid moet snel kunnen worden opgesteld en veranderd en het verander(projecten)portfolio moet continu worden bestuurd en begeleid. Strategie is een continu proces geworden.
Drie vragen In de kern is strategie het antwoord op drie vragen: 1. Welke relevante externe ontwikkelingen zien we? 2. Wat betekent dat in onze visie voor onze organisatie? 3. Welke concrete acties zetten we daarop uit? Deze vragen moeten met betrekking tot markt positionering, bedrijfsvoering, informatie en IT in samenhang worden beantwoord. Met eigentijdse antwoorden, vandaag, morgen en volgende week. En dus regelmatig met verschillende antwoorden, want als de tijd verandert, veranderen de eigentijdse
www.ditp.nl
www.ictmagazine.nl
meling projecten – al dan niet in een programma dat snel resultaten boekt – die daarvoor nodig is en de manier waarop we zijn georganiseerd? Welke nieuwe ontwikkelingen in de wereld kunnen, of liever gezegd, moeten ons daarbij helpen? Want als we de strijd aangaan met ontwikkelingen staan we ver achter. We behandelen de onderwerpen één voor één in de klassieke volgorde (structure follows strategy), maar daarover later meer.
Beleid & architectuur Om succesvol te zijn moeten we ook structurele keuzes maken: we zijn bereid om deze nadelen te accepteren, als we daar deze voordelen voor terugkrijgen en daarom maken we deze afspraken met elkaar. Dat soort afspraken wordt door business beleid genoemd en door IT architectuur. Om verworvenheden te behouden, moeten we
een richting moeten afspreken, een doel, zeg maar gerust een bestemmingsplan. Ook dat is beleid, ook dat is (doel)architectuur. En dat beleid moet worden gehandhaafd, als we die verworvenheid tenminste ooit willen hebben. De wereld om ons heen verandert voortdurend en onze visie verandert mee. Het kan niet anders of beleid en architectuur veranderen ook mee. Of er is nieuw beleid nodig. Iedere organisatie heeft nog wel een rijtje vragen liggen, waar nog beleid over moet worden vastgesteld. Vroeger schreven we dan in een paar maanden een adviesrapport, tegenwoordig kunnen we beter Agile strategy doen: Architecten werken in twee of drie weken een aantal alternatieven uit, inclusief voor- en nadelen, inclusief consequenties. Het managent kiest en kiest daarmee voor beleid. De architecten werken de keuze in de weken daarna weer verder uit enzovoort. Op deze manier krijgt het management veel invloed en weinig bemoeienis. Dat is precies wat het management nodig heeft, maar het is ook precies wat slimme medewerkers nodig hebben… Al met al zijn beleid en architectuur onderwerpen waarover op strategisch niveau regelmatig moet worden gesproken.
Veranderportfolio antwoorden mee. De strategische agenda van iedere organisatie zou dus moeten beginnen met het benoemen en duiden van de relevante trends in de omgeving van de organisatie. Dan komt de tweede vraag: Wat is onze visie daarop? Hoe willen we die visie vormgeven? Wat zijn de belangrijkste ambities? Welke knelpunten ervaren we bij het najagen van die ambities? Welke kansen willen we benutten? Waar maken we ons zorgen over? Derde vraag: Welke acties zetten we uit met betrekking tot de richting die we kiezen, de verza-
De kracht van ditp ervaart u in de kwaliteit van onze werknemers en de wijze waarop u met ons zaken doet.
Bel: (023) 512 53 10 of mail: info@ditp.nl
Deze serie behandelt de nieuwe it-afdeling: I&T. In de nieuwe rol van de afdeling gaat I&T de business voor en stimuleert in veranderingen. Domeinen die in deze nieuwe serie worden onderzocht zijn onder meer hoe je de business, informatie en technologie in balans en goede samenhang kunt besturen; de strategische agenda, wat zijn de business-issues, de organisatie van verandering enzovoort; hoe de it-afdeling kan transformeren naar I&T; hoe een organisatie wendbaar en innovatief wordt. Kortom: hoe IT de IT van de toekomst kan worden.
De visie, ambities, knelpunten, zorgen en kansen: die onderwerpen samen, dat is de strategische agenda
ditp, een kennisgerichte organisatie
Maak kennis en ervaar het verschil.
IT van de toekomst
Oplossingen voor uw ICT-vraagstukken? Ditp levert!
onszelf zo nu en dan iets ontzeggen of opleggen, net als in het normale leven. Als we daar geen afspraken over maken en als we ons niet aan die afspraken houden, dan raken we die verworvenheden snel kwijt. Als we die verworvenheden willen houden, dan zullen we die afspraken een zekere status moeten geven: beleid dus. En dan zullen we dat beleid ook moeten handhaven. Soms hebben we bepaalde verworvenheden op het oog. Die verworvenheden zouden we graag willen hebben, maar we hebben ze nu nog niet. We zullen
We willen zoveel: beleid ontwikkelen en veranderprojecten uitvoeren, en we kunnen zo weinig. De schaarste aan beschikbare mensen en financiële middelen beperkt de mogelijkheden. Er moeten keuzes worden gemaakt, er moeten prioriteiten worden gesteld. Daarvoor is inzicht nodig. Wat is een goede business-case? Welke projecten zijn van elkaar afhankelijk en hoe zit die afhankelijkheid in elkaar? Waar moeten we een project inrichten en waar een programma? Veranderportfoliomanagement ondersteunt die keuzes door inzicht te verschaffen. Een plateau-
15
ICT-BREED
12 mei 2015
In onze praktijk is innovatie in de meeste gevallen het kind van de rekening planning maakt een en ander inzichtelijk, het rapporteert aan het management over de status van programma’s en projecten, opdat het management het veranderportfolio kan besturen. Een samenhangende set van projecten zou eigenlijk als een programma moeten worden bestuurd. Is dat dan niet hetzelfde? Nou, niet helemaal. Een strategische bestemming is in deze knetterende en veranderlijke tijden van tevoren niet helemaal te specificeren. Het wordt gedurende de uitvoering van projecten ontdekt. Dat betekent dat in een dergelijk programma kort-cyclisch moet worden meegekeken, geïnterpreteerd, geleerd en worden doorgezet of gewijzigd. Sturing van een programma richt zich op het halen van de missie of bestemming en niet zozeer op het opleveren van deliverables. Programmamanagement kan beter omgaan met veranderende prioriteit en bepalen waar de beste en slimste mensen voor moeten worden ingezet. Vooral dat laatste bepaalt in hoge mate het verandervermogen van de organisatie.
Organisatie Wetende wat onze business-ambities en -issues zijn, wat is dan de beste manier om onszelf te organiseren en, nog belangrijker, hoe organiseren we deze verandering? Wat is de rolverdeling tussen de CEO, de COO, de CTO en de CIO als het gaat om beleid en verandering? Wie heeft welke verantwoordelijk
heden en welk mandaat hoort daarbij? In welke overleggen worden welke beslissingen genomen? Wie zitten erbij als we de strategie doornemen en wellicht veranderen? En hoe beslissen we? Hoe leveren we stabiliteit, klantgerichtheid, wendbaarheid en innovatief vermogen, onafhankelijk van elkaar en toch in samenhang? Waar werken we volgens de watervalmethode en waar volgens agile? En hoe doen we dat dan precies? Dat zijn allemaal vragen die moeten worden beantwoord in het licht van de visie. En als de wereld verandert, verandert de visie mee, en wie weet de manier waarop we verandering vormgeven ook wel. Veel (it-)organisaties gaan de strijd aan met veel verschillende doelstellingen die ook nog eens haaks op elkaar staan; verandering én betrouwbaarheid, klantgerichtheid én efficiëntie, en.. innovatie! In onze praktijk is dat in de meeste gevallen het kind van de rekening. Druk, druk met het blijven begrijpen en in de lucht houden van het bestaande infrastructuur- en applicatielandschap, maar geen oog meer hebben voor het bijdragen aan het primaire proces en geen tijd meer hebben voor de zaken die er werkelijk toe doen. En als gevolg daarvan wordt het it-domein niet meer serieus genomen. Het is opvallend dat de meeste organisaties deze doelstellingen met hetzelfde team proberen te realiseren. Dat werkt meestal niet en het innovatief vermogen lijdt eronder, maar zou juist leidend
moeten zijn. Een splitsing in segmenten van de organisatie die zich meer richt op betrouwbaarheid en efficiëntie enerzijds en verandering en klant gerichtheid zou al enorm helpen. Maar we hadden toch al een splitsing tussen ontwikkeling en beheer? Dat lijkt hetzelfde, maar dat is het niet. Ontwikkeling én beheer van primaire toepassingen die zijn gericht op het verhogen van de betrouwbaarheid zouden juist bij elkaar moeten zitten. Concepten als DevOps kunnen daarbij helpen. Een (tamelijk) los deel van de organisatie zou zich moeten richten op daadwerkelijke innovaties en ingrijpende veranderingen. Want in de bestaande structuren wordt te weinig geïnnoveerd. Daar was de organisatie ook niet voor bedoeld. Het grootste deel van de aandacht gaat op aan het leveren van een betrouwbare en vooral efficiënte informatievoorziening. Dat zijn inderdaad de belangrijkste drijfveren voor die applicaties en informatie die weliswaar primair zijn maar meestal niet het onderscheid maken.
onderneming regelmatig op strategisch niveau wordt overlegd. Over de relevante ontwikkelingen in de buitenwereld. Over de visie. Over businessambities, -knelpunten, -zorgen en -kansen. En over de manier waarop we programma’s besturen en teams organiseren om al die ambities waar te maken. Welk beleid we definiëren en handhaven. Hoe ons veranderportfolio er uitziet en er voorstaat en welke keuzes we maken. En welke nieuwe ontwikkelingen we kunnen inzetten. Die onderwerpen samen, dat is de strategische agenda. Die bepaalt meer en meer het succes van de onderneming. Die strategische agenda kun je maar beter serieus nemen.
Nieuwe ontwikkelingen Al die veranderingen in de wereld leveren niet alleen bedreigingen op, maar ook kansen. In China zitten niet alleen concurrenten, maar ook klanten en partners. Maar vooral in relatie met IT zijn er grote veranderingen, denk maar aan de technology push, de information push en de social push. Hoe beter we weten wat de business-ambities, -knelpunten, -zorgen en -kansen zijn, hoe beter we kunnen onderzoeken en besluiten welke nieuwe ontwikkelingen we kunnen inzetten om de onderneming succesvol te maken.
Bart Stofberg
Menzo Meijer
Beiden zijn organisatieverbeteraar bij
De strategische agenda
Quint Wellington Redwood.
Het is in deze tijd noodzakelijk dat er binnen de
www.ictmagazine.nl
Meer dan 11.000 Managed Service Providers en IT-bedrijven over de hele wereld profiteren van onze remote management, back-up, e-mail security en servicedesk oplossingen. En dit aantal groeit snel. Sluit je nu ook aan bij ’s werelds grootste community van MSP’s. Kijk voor meer informatie op maxfocus.com
Probeer alle MAXFocus producten 30 dagen gratis Ga naar nl.maxfocus.com/gratis-trials
MAXFocus Benelux +31 88 522 22 85 | BeneluxSales@maxfocus.com
17
ICT-BREED
12 mei 2015
“Quantumencryptie over 5 jaar al nodig” door: Jasper Bakker Jaya Baloo, topvrouw voor security bij KPN, trekt aan de bel: “We hebben ‘post-quantum’ encryptie al tegen 2020 nodig.” Versleutelingstechnologie moet dan bestand zijn tegen de mogelijkheden die quantumcomputers gaan brengen.
“We leven in ideale tijden voor overheidssurveillance,” zo begon Jaya Baloo haar openingstoespraak op overheidsconferentie NCSC One. Ze haalt uitlatingen van politici en directeuren van inlichtingendiensten aan die pleiten voor een eigen ingang in beveiligde communicatie en versleutelde gegevens. Daarbij is de roep formeel niet om een stiekeme backdoor in encryptie, maar om een officiële voordeur voor de overheid.
komt veel technologie bij kijken en er is een foutloze uitvoering voor nodig.” Baloo waarschuwt dat we afstevenen op nieuwe Crypto Wars, vergeleken waarmee de eerste encryptie-oorlog uit de jaren negentig nog meeviel. Toen verbood de overheid van de Verenigde Staten de uitvoer van al te krachtige encryptie, zodat versleutelde verbindingen en gecodeerde data kraakbaar waren voor de VS.
Niet werkbaar en dus kraakbaar
De nadelige securitygevolgen van dat antieke exportverbod zijn nu nog voelbaar. In maart dit jaar is de FREAK-kwetsbaarheid onthuld die websites, browsers en client-besturingssystemen heeft geraakt. Een aanvaller kan dankzij die bug beveiligde verbindingen laten ‘terugschakelen’ naar de oudere en tegenwoordig makkelijk kraakbare export-crypto. De uitvoering van modernere en krachtigere encryptie blijkt dus niet bepaald foutloos te zijn gedaan. Baloo verwacht dat er tegen 2020 de eerste quantumcomputers zullen bestaan die huidige encryptie kunnen kraken. “Partijen die zich zo’n machine kunnen veroorloven, zijn de NSA,
De CISO (chief information security officer) van de Nederlandse telecomaanbieder – met wie ICT/ Magazine voor de maart-editie een uitvoerig interview had – hekelt de hoogmoed van functionarissen die denken dat zo’n zogeheten gouden sleutel alleen voorbehouden zou zijn aan officiële instanties met opsporingsbevoegdheden. Het risico is reëel dat kwaadwillenden op eigen houtje uitvogelen hoe zo’n ingang in beveiligde communicatie en versleutelde data valt te benutten voor hun doeleinden. Bovendien is de daarbij voorgestelde oplossing van een ‘split key’ volgens haar in de praktijk niet werkbaar. “Er
Lange termijngevolgen
Google en China.” Hieruit volgt dat de wereld over vijf jaar al quantumencryptie nodig heeft, als we ook tegen die tijd niet kraakbaar willen zijn.
‘Versleutel alles’ Baloo weerspreekt de overtuiging van inlichtingendiensten en sommige overheidsfunctionarissen dat goede encryptie lijnrecht tegenover veiligheid staat.
Er zijn namelijk ook andere opsporingsmethodes en echte ‘bad guys’ gebruiken al bewust andere communicatiemiddelen. “Crypto is juist nodig om ons veilig en beveiligd te houden. Dat geldt voor democratie en voor economie,” aldus Baloo. Haar oproep luidt dan ook: “Leef lang, lach veel en versleutel alles!”
Google dwingt websites tot mobielvriendelijkheid Google geeft websites die ‘mobielvriendelijk’ zijn voortaan voorrang in zijn zoekresultaten op smartphones. Websites die nog in het desktoptijdperk zitten, komen daarmee op achterstand te staan.
Google is met enorme voorsprong de meest gebruikte zoekmachine op internet. Voor veel gebruikers is het ook een startpunt om websites te bezoeken die ze al kennen of eerder bezocht hebben. Toch zoeken steeds meer mensen informatie over een bepaald onderwerp, in plaats van dat ze gericht websites bezoeken. De website die bovenaan komt in Googles zoekresultaten wint daardoor qua bezoekersaantallen.
Veel websites schieten nu al tekort wat betreft de nieuwe vereisten. De internetreus heeft beheerders van websites in november vorig jaar in een blogpost uitgelegd wát er ging veranderen en hoe webmasters hun sites hierop konden aanpassen. Google verwijst daarbij ook naar zijn ‘handleiding’ voor mobiele sites, naar een online-testtool https://www.google.nl/webmasters/tools/mobilefriendly/ - en naar de mogelijkheid om met Googles Webmaster Tools een rapportage voor eigen sites uit te draaien.
Leesbaar, touch-baar De sortering van zoekresultaten door Google is nu dus omgegooid ten gunste van mobiel gebruik. Websites die middels SEO (search engine optimization) hoog willen scoren bij Google moeten zorgen dat ze goed worden weergegeven en goed zijn te bedienen op mobile devices. Zoals het gebruik van niet al te kleine letters en voldoende ruimte tussen hyperlinks zodat die met vingers goed zijn te selecteren. Verder telt de breedte van een website mee, zodat er niet horizontaal hoeft te worden gescrold. Niet verplicht is het gebruik van het zogeheten responsive design. Daarbij past een website zich qua weergave en ook bediening aan op het schermformaat en de mogelijkheden van het apparaat dat een bezoeker gebruikt. Het hebben van een aparte mobiele site (bijvoorbeeld m.domeinnaam.nl) telt al in positieve zin mee
Uitzonderingen
voor Google. Een andere oplossing is het instellen van de metatag ‘viewport’ op webpagina’s.
Slechts één van de criteria Google spreekt de notie tegen dat deze SEO-wijziging mobielonvriendelijke sites de das om doet. Een Amerikaanse woordvoerder stelt in een officiële verklaring aan technieuwssite Re/Code dat de
nieuwe vereisten slechts één van de wegingscriteria zijn voor de positionering in de zoekresultaten. Het doel van zoekwoorden is nog altijd een zwaarwegend criterium, aldus Google. Dus als een webpagina met content van hoge kwaliteit niet mobielvriendelijk is maar wel van toepassing is op de zoekopdracht, kan die site nog wel hoog uitkomen in de lijst van zoekresultaten.
De in april doorgevoerde SEO-puntenbeloning voor mobielvriendelijkheid geldt wereldwijd en voor zoeken in alle talen. Toch zijn er uitzonderingen: zo geldt het nu alleen voor gebruik op smartphones. Tablets zijn vooralsnog uitgesloten van dit ‘voortrekken’ van mobielvriendelijke websites. Verder geldt de verandering alleen voor de zogeheten organische zoekresultaten; de lijst die Google gebruikers voorschotelt op basis van hun zoektermen. De gesponsorde zoekresultaten, gepresenteerd op basis van ingekochte keywords, worden niet onderworpen aan de opgelegde voorkeur voor mobiel.
www.ictmagazine.nl
18
KORT
12 mei 2015
Nederlanders twitteren minder Nederlanders zijn Twitter de laatste twee jaar fors minder gaan gebruiken. Uit onderzoek door Telecompaper blijkt dat zowel Android- als iOS- gebruikers de app van het sociale netwerk steeds minder vaak openen. Zo’n 16 procent van de ondervraagde Android-gebruikers opende de Twitter-app in de afgelopen twee jaar minstens één keer per maand. Twee jaar geleden was dat nog 26 procent. Bij iOS-gebruikers was een vergelijkbare daling te zien. Waar Twitter twee jaar terug nog door zeker 34 procent van de Apple-klanten bekeken werd, was dat in de afgelopen twee jaar ‘nog maar’ door 19 procent van de iOS-gebruikers.
Tamagotchi voor Apple Watch Weet u het nog, die hype rondom het digitale huisdier Tamagotchi? Nu heeft Bandai Namco de Tamagotchi naar de Apple Watch gebracht. De Tamagotchi Classic was al beschikbaar voor de iPhone en iPad, maar nu staat de game ook in verbinding met de smartwatch. Wanneer het beestje aandacht nodig heef, komt het vanzelf tevoorschijn op jouw horloge. Er zijn geen speciale animaties voor de Tamagotchi beschikbaar en ook kun je geen spelletjes met hem spelen. Daarvoor moet je de iOS-app openen. Maar het is wel handig om op de Apple Watch even snel te checken of de Tamagotchi nog blij is en eventueel eten nodig heeft. Wie weet zullen oude tijden herleven.
Windows 10: eerste indruk Windows 8 bracht Microsoft bepaald niet het beoogde succes, integendeel. Daarom vervangt de softwaregigant Windows 8 relatief snel door Windows 10. Het nieuwe besturingssysteem moet vooral een betere ervaring bieden op apparaten zonder touchscreen en voegt onder meer een nieuwe browser en spraakbesturing toe. Naar verwachting komt Windows 10 deze zomer definitief beschikbaar. Het ontwerp van Windows 10 is niet zo rigoureus gewijzigd als bij de overgang van Windows 7 naar Windows 8, maar het systeem ziet er wat frisser uit. De menu’s maken meer gebruik van wit en visuele elementen zoals balkjes en digitale knoppen hebben een make-over gekregen. Al met al komt het systeem wat gebruiksvriendelijker en minder rommelig over. Op het thuisscherm is het startmenu de belangrijkste verandering. Windows 8 had geen ouderwets startmenu, maar beschikte over twee omgevingen: Het oude bureaublad en de nieuwe tegelomgeving. Het startmenu in Windows 10 voegt deze twee omgevingen overzichtelijk samen. Standaard is het vertrouwde bureaublad te zien en door op de startknop te drukken komt het bekende menu omhoog met links een lijst van alle applicaties, die helaas nog wel handmatig open geklikt moet worden, en rechts de tegels uit Windows 8. Deze tegels zitten hier een stuk minder in de weg en zijn handige en visuele snelkoppelingen naar veelgebruikte programma’s. De indeling en grootte van tegels zijn zelf aan te passen. De taakbalk heeft ook een belangrijke toevoeging gekregen: Cortana, de digitale assistent van Microsoft die met spraak bestuurd kan worden. Helaas is Cortana alleen nog in het Engels beschikbaar. De potentie van Cortana wordt in de nieuwe browser Microsoft Edge, die wordt geleverd naast Internet Explorer, pas echt goed zichtbaar. Edge is in de testversie van Windows 10 nog erg instabiel, maar moet uiteindelijk juist betrouwbaarder en sneller worden dan IE. De digitale assistent kan als een pop-up over een pagina worden opgeroepen. Je kan dus blijven browsen terwijl je een term selecteert en Cortana om meer informatie vraagt. Later moet het mogelijk worden om direct een route te plannen naar een locatie die de assistent dan automatisch herkent. In de nieuwe browser is het ook mogelijk aantekeningen te maken op elke willekeurige pagina. Je kan snel iets omcirkelen, onderstrepen of ergens iets bijschrijven en dit als afbeelding of als webpagina naar iemand anders sturen. Later moet delen via sociale media ook mogelijk worden. Elke pc die Windows 8.1 kan draaien, kan gratis upgraden naar Windows 10. De minimale vereisten zijn een processor van 1 GHz, 1 GB (32-bit) of 2 GB (64-bit) RAM, een grafische kaart die DirectX 9 ondersteunt en 16 GB beschikbare opslag. De hier besproken previewversie was nog opvallend instabiel. Wel is al duidelijk dat de software fijner werkt dan Windows 8.
Sophos – Faster than Fortinet, Dell SonicWALL and WatchGuard. Sophos SG 210 3,000 Fortinet FG100D
Dell SonicWALL NSA2600
WatchGuard XTM525
1,884
1,886
1,322
Source: Firewall Throughput Test, Mieroom, June 2014. Results in Mbps. Test conducted with three 1Gbps ports giving theoretical max of 3Gbps/3,000Mbps.
sophos.com/firewall
www.ictmagazine.nl
senior IT professionals
ORACLE en SAP www.redblue.nl
Muziekdienst Groove shark stopt Muziekstreamingdienst Grooveshark stopt ermee. Dit is het gevolg van een schikking die de dienst trof met grote platenmaatschappijen. Grooveshark, opgericht in 2006, was al jarenlang verwikkeld in een juridische strijd met de grote platenlabels om zijn controversiële werkwijze. De dienst maakte het mogelijk om muziek te uploaden zonder toestemming van de houder van auteursrechten. Het bedrijf verwijderde wel muziek als platenlabels daarom vroegen en betaalde wel royalties, maar alleen wanneer daarom werd gevraagd. Voor deze werkwijze heeft Grooveshark zijn excuses aangeboden. Volgens de belangenorganisatie voor de Amerikaanse muziekindustrie RIAA maakt deze schikking een einde aan een grote bron van copyrightschending.
Wie koopt Salesforce.com? Wereldwijd 22,3 miljoen PS4’s verkocht De geruchten zwellen aan dat Salesforce.com innenkort in handen komt van een grote zakelijke b it-leverancier. Anonieme bronnen melden dat het bedrijf, gespecialiseerd in SaaS voor marketing- en salesafdelingen, financieel adviseurs in dienst heeft genomen om een eventuele verkoop te onderzoeken. Salesforce.com is nu 47 miljard dollar waard. Er is veel interesse om de toko van CEO Marc Benioff over te nemen. Zo zouden Apple, Microsoft, Oracle, IBM, SAP en HP in de race zijn. Daarvan hebben IBM en Oracle vooralsnog de grootste interesse getoond. IBM zou genoeg in kas hebben voor een dergelijke deal en zonder twijfel zouden aandeelhouders zeer gelukkig worden van deze acquisitie.
Sony heeft sinds de lancering in november 2013 wereldwijd meer dan 22,3 miljoen exemplaren verkocht van de PlayStation 4. Het afgelopen financiële jaar gingen er 14,8 miljoen consoles over de toonbank en de Japanse elektronicagigant verwacht er dit jaar nog eens 16 miljoen te verkopen. Met de draagbare spelcomputers gaat het een stuk minder goed. De gezamenlijke verkoopcijfers van de PlayStation Portable en de PS Vita tonen aan dat er dit financiële jaar ‘slechts’ 3,3 miljoen exemplaren verkocht zijn. Vorig jaar waren dit nog 4,1 miljoen handhelds.
Politie mag smartphone Tesla introduceert accu niet zomaar doorzoeken op zonne-energie De Nederlandse politie mag de smartphone van een verdachte na inbeslagname niet meer zomaar doorzoeken. Dat is in strijd met het Europese Verdrag voor de Rechten van de Mens. Dat heeft het Hof Arnhem-Leeuwarden op 22 april geoordeeld. De politie mag volgens de Nederlandse wet een smartphone doorzoeken op basis van de algemene bevoegdheid voor inbeslagname. Deze bevoegdheid is heel breed en geldt voor allerlei objecten die een verdachte bij zich heeft. De smartphone is volgens het Hof echter een speciaal privéobject dat niet zomaar mag worden doorzocht. De bevoegdheid om een smartphone te doorzoeken is volgens het Hof achterhaald, omdat de wet is opgesteld in een tijd dat de smartphone nog niet bestond.
Tesla, vooral bekend om zijn auto’s, brengt de Powerball op de markt. Met deze grote accu moet het makkelijker worden voor huishoudens om helemaal op zonne-energie te draaien. De accu van Tesla slaat zonne-energie op, zodat er ook energie beschikbaar is op momenten dat er minder wordt gegenereerd. Er bestaan al wel accu’s die dat doen, maar volgens CEO Elon Musk zijn de accu’s van concurrenten duur en onbetrouwbaar. Tesla denkt dat beter te kunnen. Naast de accu’s voor huishoudens zal Tesla ook met grotere versies komen voor zakelijk gebruik: Powerpacks. De accu laadt in principe op met zonne-energie, maar kan ook worden aangesloten op het energienetwerk om op die manier op te laden wanneer dat nodig is.
KORT
19 12 mei 2015
Slechte beveiliging van Nederlandse webwinkels
Twee derde van de honderd grootste Nederlandse webwinkels heeft de beveiliging van zijn website niet op orde. In 38 procent van de gevallen betreft het een ernstig beveiligingslek. Dit blijkt uit onderzoek van de Consumentenbond in samenwerking met beveiligingsbedrijf Onvio. De webwinkels werden gecheckt op de meest voorkomende beveiligingslekken. Bij één website, 123tijdschrift.nl, was het mogelijk om via een sql-injectie de gehele klantendatabase in te kijken. Bij een sql-injectie wordt een kwetsbaarheid in de verbinding tussen de website en database misbruikt. De eigenaar van de webwinkel, Sanoma, heeft het lek inmiddels gedicht. Het ernstige beveiligingslek dat bij 38 procent van de webwinkels werd aangetroffen, is een zogeheten cross-site-scripting-lek (XSS). Bij dit probleem verwerkt de website specifieke data, zoals cookies, niet op de juiste manier, waardoor iemand kwaadaardige code binnen de website kan uitvoeren. Op deze manier kunnen klantgegevens worden buitgemaakt. Ook kan een hacker via het XSS-lek een malafide betaalpagina in de website van een webwinkel integreren. De bezoeker ziet niet dat het om een malafide pagina gaat, omdat de echte url van de website wordt gebruikt. Enkele webwinkels dichtten het XSS-lek binnen een dag, maar meer dan de helft reageerde niet op de bevindingen van de Consumentenbond. De Bond raadt consumenten aan om voor iedere website een andere wachtwoord te gebruiken. Mocht een webwinkel doelwit zijn van een hack, dan is het gebruikte wachtwoord niet voor andere diensten, zoals e-mail en internetbankieren, te gebruiken.
Soepelere regels voor minidrones
Facebook hekelt onderzoek
Gebruikers van zogeheten minidrones voor commerciëlere activiteiten hoeven vanaf 1 oktober niet langer een vergunning en ontheffing aan te vragen. Hiermee worden de regels voor commerciële en particuliere gebruikers van die lichte categorie drones gelijkgetrokken. Dat meldt het ministerie van Infrastructuur en Milieu donderdag. De veiligheidseisen worden daarentegen wel strenger. Op dit moment kunnen particulieren zonder vergunning met een minidrone vliegen, terwijl commerciële gebruikers – mensen die een drone inzetten voor hun werk – een ontheffing aan moeten vragen. Een minidrone weegt maximaal 4 kilo. Door de nieuwe regels kunnen commerciële gebruikers de minidrome doelgerichter en flexibeler inzetten.
Facebook hekelt de afzonderlijke onderzoeken die meerdere Europese landen, waaronder Nederland, hebben ingesteld naar vermeende privacyschending van het bedrijf. Volgens de Europese vicepresident beleidsvoering, Richard Allan is het niet de taak van afzonderlijke Europese landen om vraagtekens te zetten bij het privacybeleid van Facebook, maar van de Europese Unie. Facebook zou anders per land zijn diensten moeten aanpassen om zo te voldoen aan de wetgeving van het desbetreffende land. Allan suggereert dat nieuwe functionaliteiten van Facebook hierdoor later naar Europa zullen worden uitgerold. Als gevolg hiervan maken beginnende Europese internetbedrijven minder kans om tot grote spelers uit te groeien.
Mozilla bant onbeveiligde Recherche wil verbindingen bewaarplicht Mozilla, het bedrijf achter browser Firefox, wil op termijn af van onbeveiligde http-verbindingen. De beveiligde https-variant moet de nieuwe standaard worden. Nieuwe functies die worden toegevoegd aan Firefox zullen daarom alleen beschikbaar zijn op beveiligde https-verbindingen. De datum vanaf wanneer dit gaat gebeuren moet nog worden vastgesteld. Tegelijkertijd zal Mozilla ook geleidelijk het aantal functies dat werkt op ‘normale’, onbeveiligde http-verbindingen laten afnemen. Het bedrijf begrijpt dat er daardoor sommige sites niet meer zullen werken op de browser, en zegt de balans daardoor continu te zullen blijven monitoren.
Het OM en de Amsterdamse recherche trekken alles uit de kast in de aanloop naar een nieuw wetsvoorstel voor de bewaarplicht. Dankzij die bewaarplicht lukt het oplossen van liquidatiezaken, verkrachting, mensenhandel, afpersing en kinderporno volgens hen beter. De bewaarplicht werd in maart juist afgeschaft omdat opsporingsdiensten volgens de rechter te gemakkelijk bij bewaarplichtdata kunnen. Het OM en de recherche geven aan dat definitieve afschaffing van de bewaarplicht hen ernstig in de opsporing zal hinderen. Volgens hen moeten we in het vervolg dan maar accepteren dat liquidatiezaken niet meer worden opgelost.
Adriaan Meij
Column
Programmeerbare mensen Veiligheid is mijn specialisme niet. Bij dit onderwerp ga ik altijd nadenken over het monsterverbond tussen commercie en inhoud en over de teloorgang van privacy. De meiden en jongens van de marketing en reclame brengen steeds beter mijn handel en wandel in kaart, dankzij de geraffineerde algoritmen van Google, Yahoo, Microsoft, Facebook en Twitter. Zodra ik een weekendtrip naar Londen of Brugge boek, vliegen de aanbiedingen mij om de oren. Maar zij schieten er niet veel mee op, want ook al weten ze waar ik was, ze weten niet waar ik heenga. Niemand kent de toekomst. Vaak realiseer ik mij niet dat ik naar “branded content” kijk, een film of magazine waarin reclame geraffineerd verpakt zit in de inhoud. De combinatie van business en content, van reclame en inhoud is diep gegrift in de Nederlandse ziel. De reclameblokken op de ‘staatszender’ NPO zijn daar het beste voorbeeld van. Alle populaire media zijn doordesemd van die mengvorm van reclame en inhoud. Zo analyseert Joris Luyendijk in een interview in Trouw: “Voorheen luidde de opdracht aan een programmamaker: volg wat er gaande is in de wereld en maak daarover een uur goede televisie. Nu moet je 17 procent binnenhalen van de mensen in de leeftijdscategorie 25 tot 40 in het tijdslot van 21.05 tot 22.00 uur. En dat is de publieke omroep.” Deze opdracht hangt samen met de vette reclameblokken die rondom een programma moeten draaien. Het compromis tussen vrije inhoud en reclame is een perverse prikkel. Hoe meer een medium afhankelijk is van inkomen uit reclame hoe slechter de kwaliteit van de inhoud wordt. Daarom is het zo interessant het web af te speuren naar media die doorgaans een vaak armoedig bestaan leiden omdat ze exclusief kiezen voor het aanbieden van inhoud. Dan hoor je nog eens een authentiek geluid. Het ergste vind ik dat de Staat vrijwel alles van iedereen weet. Via het sofinummer kan de Staat een persoon volledig doorlichten. Onlangs zag ik twee rechercheurs van de Sociale Dienst in de slaapkamer van een bijstandsmoeder staan om te controleren of er in haar kasten ook herenkleding te vinden was. Ik vind dat schaamteloos, wat aangeeft dat er in Nederland geen privacy meer bestaat. Het mag wettelijk, dus gebeurt het. Op geldstromen gebaseerde wetten verwoesten moraliteit. Nederlanders weten niet meer wat privacy is. De kledingcheck is een opdringerige, ongepaste, door de Staat gesanctioneerde vorm van binnendringen in iemands privéleven. De komst van een programmeerbare wereld binnen tien jaar, waar de fusie van Nokia en Alcatel-Lucent op is gebaseerd, leidt onverbiddelijk tot standaardisatie en de beheersing van vrijwel alle processen van de mens zelf. Het leidt ‘tot een zelfstandig organisme van hogere orde, een macht, die alle vormen van zedelijk en verstandelijk leven van de mens samenvat en in zich verenigt. Deze staat is totalitair in de zin dat hij de wil en het verstand van ieder individu omvat.’ Dat is de definitie van fascisme. Soms verstandig om over na te denken als je in de ict-sector werkt. n De auteur is directeur van AME Research en uitgever van www.hightechanalysis.nl @AdriaanMeij
www.ictmagazine.nl
20
SECURITY
12 mei 2015
Dossier Security Een managementsummary Beveiliging van de analoge en digitale wereld is iets van alle tijd. Van de slotgrachten en de metersdikke kasteelmuren uit de Middeleeuwen, tot de firewalls en de ethische hackers vandaag de dag. De enige constante is dat we ons zullen blijven verdedigen tegen kwade intenties van buitenaf. Anno 2015 zijn er legio leveranciers die hun expertise op dit gebied in de digitale wereld aanbieden. In dit Dossier Security komen er zeven aan het woord. Uit de diverse artikelen in deze en vorige edities van ICT/Magazine komt een tweedeling naar voren in de perceptie omtrent ict-beveiliging. Enerzijds laat het sentiment dat doemscenario’s schetst zich luid horen: cybercrime neemt hand over hand toe; we moeten ons nu bewapenen, voordat het internet een ‘no-go’-zone wordt. Aan de andere kant is er optimisme, zoals in het geval van de bankensector, die door de handen ineen te slaan de schade van digitale criminaliteit tot nagenoeg nul wist te reduceren. Aan beide vindt er veel innovatie plaats op securitygebied. En ergens in het midden van deze twee zienswijzen bevinden zich de realisten, die begrijpen dat 100 procent veiligheid een illusie is. Zij benaderen security vanuit dit standpunt. De zeven specialisten in deze special vormen een mooie dwarsdoorsnede van deze visies. Hun constante: een niet aflatende drive om de digitale security naar een hoger plan te tillen.
1. “Handel als soldaat” De aftrap voor dit Dossier Security is voor Al Kinney, hoofd van de afdeling publieke sector (overheid en NGO’s) bij HP Enterprise Security Services in de Verenigde Staten. Als cybercrimedeskundige adviseert hij grote bedrijven en overheidsinstellingen. Toch verloochenen de 24 jaren dat hij marineofficier was zich niet. Tijdens de presentaties die hij gaf tijdens de afgelopen cybersecurity-week, spreekt hij over ‘een aanvalsplan’, ‘de vijand’ en ‘doelwitten’. Zijn advies aan bedrijven die veel te verliezen hebben bij cyberaanvallen is even eenvoudig als doeltreffend: denk als de cybercrimineel en handel als een soldaat, 24/7. Wie zijn zaakjes niet op orde heeft, geeft miljoenen uit per jaar aan het opruimen van de puinhopen die hackers veroorzaken. Niet alleen de itafdeling heeft er last van. De hele business komt in gevaar. Kinney: “Wanneer de kapitein van een groot vliegdekschip vermoedt dat een vijand in de buurt is, zal hij niet op een plek blijven liggen, maar steeds van positie veranderen. De hele bemanning houdt oren en ogen open en reageert meteen op een dreiging of een aanval. Precies zo moeten bedrijven omgaan met cybercrime.” De ex-militair wil dus heldere strategie en samenwerking, van de thuiswerker met een deelcontract
tot de hoogste baas. Iedereen moet zich bewust zijn van de gevaren van cybercrime.
2. Trending topics Als consultancy en audit specialist op het gebied van informatiebeveiliging wordt Vest Informatiebeveiliging betrokken bij een diversiteit aan vraagstukken. Die hangen in belangrijke mate samen met het volwassenheidsniveau van de organisatie ten aanzien van informatiebeveiliging en risicomanagement. In deze bijdrage gaat de leverancier in op enkele actuele informatiebeveiligingsonderwerpen die zij in onze dagelijkse praktijk tegenkomen. Daarbij spelen elkaar snel opvolgende technologische en maatschappelijke ontwikkelingen zoals de cloud, Software/Platform/Infrastructure-as-a-Service, mobiele apps, virtuele omgevingen, het nieuwe werken, samensmelting van privé en zakelijk en ‘always on’, een belangrijke rol. Bij organisaties groeit de bewustwording ten aanzien van de mogelijkheden tot hacken van de eigen ict-omgeving. Zij kiezen ervoor om inzicht te krijgen in het ‘aanvalsoppervlak’ voordat echte hackers dit doen. De experts van Vest voeren jaarlijks enkele tientallen technische beveiligingsonderzoeken uit. Een andere trending topic is de regelmatig veranderende privacy wet- en regelgeving. Hierdoor groeit de behoefte aan begeleiding bij het opmaken van een nulmeting ten aanzien van privacy wet- en regelgeving. Hoewel veel van de nieuwe privacyregels thans nog niet officieel van kracht zijn, is het raadzaam om nu al bekend te zijn met de veranderingen en te inventariseren welke aanpassingen dat vraagt van de organisatie. Verdieping in de meldplicht datalekken, inrichting van privacy by design en privacy by default zijn enkele goede startpunten.
3. Gedegen riskmanagement Veel bedrijven bezwijken bijna onder de enorme ‘securitylappendeken’. Toch zijn de meeste aanvallen nog altijd succesvol. Een trieste constatering, waar volgens de auteurs van dit artikel van Websense en Motiv alleen iets aan te doen is door riskmanagement naar een hoger niveau te tillen. “Er is teveel aandacht voor de techniek onder de motorkap,” menen zij. In het verleden konden de aanvallen
WIRESHARK NETWORK TRAINING / SECURITY
“ Dat is uiteindelijk wat wij doen, wij bieden iemand vrijheid” nog bij de voordeur worden gestopt. Tegenwoordig hebben we te maken met complexe, geavanceerde aanvallen die zich over een langere periode voltrekken. Daar komt bij dat de hedendaagse hacker niet meer uit is op ‘verstoring’ of persoonlijke roem, maar op financieel gewin. Om meer inzicht te krijgen in de geavanceerde en volhardende bedreigingen hanteert Websense het ‘Kill chain’-model. Hierin worden geavanceerde aanvallen opgedeeld in (maximaal) zeven stadia, lopend van het opsporen van het slachtoffer tot aan het besmetten van het systeem van het slachtoffer en het daadwerkelijk stelen van de data. Het artikel beschrijft deze stadia en betoogt vervolgens dat de beste aanpak begint bij gedegen riskmanagement, dat antwoord geeft
op de vraag ‘wat zijn mijn gevoelige data, en waar zitten die belangrijke assets?’ Daarmee kan in kaart worden gebracht hoe de onderneming ervoor staat als het gaat om het beschermen van de belangrijke assets en kunnen de zwakke plekken worden ingevuld met technische oplossingen.
4. Databeveiliging De explosie aan data, die in toenemende mate in een cloud-omgeving worden opgeslagen, brengt forse beveiligingsuitdagingen met zich mee. In hun artikel laat wereldmarktleider in datacenters, Equinix, zien hoe zij deze uitdagingen oppakt. Al hun datacenters beschikken over uitgebreide fysieke beveiligingsmaatregelen, geavanceerde systemen
SECURE DROPBOX / MANAGED FILE TRANSFER
Wireshark University Training, Hoofddorp 1-5 Juni 2015 Cyber Security / Digital Forensics Training
File Based Business Processes Ad Hoc Managed File Transfer SaaS / Local
www.wireshark.training
www.scos.nl
www.ictmagazine.nl
SCOS
21
SECURITY
12 mei 2015
voor klimaatbeheersing en brandbestrijding plus diverse noodstroomvoorzieningen. Ook tijdens calamiteiten zal de ict-apparatuur in deze datacenters goed blijft functioneren. Klanten die extra gevoelige informatie verwerken, zoals overheidsdiensten of betalingsproviders, kunnen extra afgeschermde en geblindeerde serverruimten afnemen. Deze hebben onder meer een kooi-in-kooi-opzet, extra hekken, beveiliging met infraroodstralen en camera’s, extra toegangscontrole en een stofdeeltjesalarm. Met Equinix Managed Services – een zogeheten secure cloud integrator – kunt u op veilige wijze uw eigen computercapaciteit integreren met data en rekenkracht die u bij hen onderbrengt én met de data die u eventueel onder eigen beheer heeft of bij een andere aanbieder afneemt. Daarnaast bieden deze managed services een breed palet aan diensten en middelen om de bedreiging van cybercrime te minimaliseren. Goede security bestaat niet alleen uit eigentijdse techniek, maar ook uit robuuste processen in de organisatie en een volledige integriteitsgarantie van medewerkers, bijvoorbeeld via screening, een VOG en geheimhoudingsclausules. Equinix hanteert het beleid dat de organisatie op alle punten voldoet aan de internationale normen.
5. Examens in security De schade voor de wereldeconomie veroorzaakt door cybercrime bedraagt $ 375 tot $ 575 miljard per jaar (bron: McAfee). Daarom moeten bedrijven constant hun securitymaatregelen blijven aanscherpen. Maar hoe? En hebben ze hiervoor wel de juiste mensen in huis die van security hun vak hebben gemaakt? En hebben hun ict-professionals in dit kader wel de juiste competenties? Als antwoord op deze vragen ontwikkelt exameninstituut EXIN dit jaar een ICT Security Portfolio. Dit bestaat uit diverse certificeringen op het gebied van ict-security. CEO Bernd Taselaar ziet een grote vraag naar kwalitatieve securitycertificeringen in de ict-markt. “Met Ethical Hacking Foundation, onze meest recente certificering binnen het Security Portfolio, leren de studenten zoeken naar zwakke plekken in software en systemen. Hierbij maken ze gebruik van dezelfde methoden als een criminele hacker. Op die manier kunnen kwetsbaarheden worden vastgesteld en gerepareerd voorafgaand aan de release.” In hun portfolio zit ook het examen Information Security gebaseerd op het certificeringsprogramma ISO/IEC 27002. Dat richt zich op het managen van security. Het portfolio bestaat uit nog veel meer certificeringen onder meer op het gebied van governance, risk management, data privacy of de Business Continuity Management certificering, gebaseerd op de ISO 22301. Alles om ervoor te zorgen dat je als organisatie niet langer een ‘sitting duck’ bent voor cybercriminelen.
6. Awareness van security De mens is en blijft de zwakste schakel in de bestrijding van cybercrime en afluisterpraktijken. Je
kunt de technische tools tot in de puntjes hebben geregeld, maar zolang de gebruiker het belang daarvan niet ziet, of wil zien, blijft het onbegonnen werk. Daarom besteedt Sectra Communications, expert op het gebied van beveiligd communiceren, veel aandacht aan ‘awareness’ onder hun klanten en het eigen personeel. In een interview vertelt Managing Director, Jeroen de Muijnck, over hun interne en exterme bewustzijnsprogramma’s. “Daarbij zetten we de zaken weer op scherp. Doen we allemaal nog wel de goede dingen? Gedragen we ons in het pand en daarbuiten nog altijd op de juiste manier? Welke incidenten zijn er langs gekomen? Wat hebben we daarvan geleerd, of wat kunnen we daar nog van leren?” Wanneer veiligheid absolute prioriteit heeft, ontkom je er niet aan in te leveren op gebruiksgemak. Een van hun producten is een sterk beveiligd toestel, waarmee je alleen contact kunt leggen met mensen die eenzelfde toestel hebben. Deze end-to-end en cryptie wordt gebruikt door mensen op sleutel posities zoals regeringsleiders of generaals. “Juist omdat er drempels zijn, geven we awareness-sessies bij klanten. Vaak begrijpt men aan het einde van zo’n sessie pas, dat ze nu eindelijk vrijuit met elkaar praten, zonder die constante dreiging van dat je mogelijk wordt afgeluisterd.’ Dat is uiteindelijk wat wij doen, wij bieden iemand vrijheid.”
7. Continue beveiliging Qualys pakt de beveiliging aan vanuit haar cloudplatform. Traditionele beveiligingsmethoden werken in hun optiek niet langer tegen de dynamiek van cyberbedreigingen. En bovendien beperken deze methoden bedrijven vaak in hun schaalbaarheid. Iets wat met de toenemende internationalisering en mobiliteit van medewerkers een vereiste is. In onze behoefte aan plaats- en tijdonafhankelijk werken, doen we steeds meer in de cloud. Deze 24/7-omgeving vraagt om continue beveiliging. Met een cloud-georiënteerde beveiligingsarchitectuur is continue monitoring mogelijk en kan informatie vanuit elk type omgeving worden verzameld. In hun bijdrage zetten de experts van Qualys uiteen welke beveiligingsuitdagingen een organisatie tegenkomt, wanneer die de overstap wil maken naar continue beveiliging. Dat begint bij een accurate inventarisatie van je it-assets, die je vervolgens up-to-date houdt door geautomatiseerde asset discovery en management. Zo wordt het veel eenvoudiger om een veilige omgeving te behouden. Datzelfde geldt voor de vele en diverse vormen van data die over het bedrijfsnetwerk stromen. Een andere uitdaging zijn de kwetsbaarheden in webapplicaties. Niet iedere organisatie patcht en installeert updates even gedisciplineerd. De zwakke plekken die hierdoor ontstaan, vormen op dit moment ruim 55 procent van alle server beveiligingsproblemen. Een cloud-georiënteerde beveiligingsarchitectuur stelt organisaties het best in staat om hun meest waardevolle assets continu te beveiligen.
TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiligingen cybersecuritytrainingen. Met praktijkervaren trainers en een unieke invulling van de trainingen vervult TSTC sinds 1999 de behoeften van organisaties en cursisten die belang hechten aan een kwaliteitstraining die verder gaat dan het boekje en aansluit op de praktijk. Tactische en Strategische Security Trainingen: CISSP, CCISO, ISO 27001/27005/31000 CISM, CISA, CRISC, CGEIT
Brenno de Winter
Column
Het tekort van de GCCS-top Nederland was het toneel van de grote cyberconferentie, de Global Conference on Cyber Space (GCCS). Deze conferentie moet ons land als leider van de digitale wereld op de kaart zetten. De bijeenkomst was vooral een parade van goede initiatieven en stoere mannentaal of beter, snoeiharde oorlogsretoriek. Nog voordat de conferentie was geopend was de toon van de conferentie gezet door de kersverse minister van Veiligheid en Justitie, Ard van der Steur (VVD). We moeten om de vrijheid te bewaken, de veiligheid te garanderen en de economie te laten groeien een ‘international rule of law’ hebben. Zijn collega Buitenlandse Zaken, Bert Koenders (PvdA), stelt in een column dat hij vitale onderdelen van onze maatschappij ‘off limits’ wil laten verklaren voor aanvallen. De vraag waarom gevoelige diensten dan op een kwetsbare infrastructuur als het internet worden geplaatst, beantwoordt hij niet. Een belangrijke oproep in de slotverklaring van de top, luidt dat het veel zwaarder zal moeten worden voor criminelen om misdaden te plegen. Op het eerste gezicht is dat lekker trappen tegen een open deur. Tegelijkertijd zit er een erkenning in dat beveiliging het op dit moment dus laat afweten. Ook volgt er een oproep tot intensievere samenwerking tussen maatschappelijke organisaties, overheden en het bedrijfsleven om de ‘rule of law’ te bewaken. Daarom wordt ook een centrale rol voor INTERPOL gezien, die in dezelfde week als de conferentie een centrum tegen cybercrime in Singapore opende. Ook was er veel aandacht voor de rol van de Verenigde Naties als bewaker van de vrede. Vooral het misbruik van internet door criminelen én staten moet worden gestopt. Met name bezoekers uit Azië en Afrika uitten kritiek op het gebrek aan aandacht voor de acties van staten. Vooral spionage, het verzwakken van protocollen, software en hardware door de NSA had volgens hen prominent op de agenda moeten staan. Het bedreigt de vrede en veiligheid op internet en raakt het vertrouwen in een digitale samenleving in de kern. Als er wordt gesproken over governance dan moeten dit soort thema’s worden besproken en juist de GCCS zou daar het platform voor moeten zijn. Een van de architecten van internet, Vint Cerf, was ook van mening dat er teveel aandacht uitging naar verkeerde onderwerpen. Hij was bezorgd over het misbruik door overheden en wees erop dat de overdadige aandacht voor reguliere beveiliging de conferentie heeft belemmerd. “Veel mensen op de GCCS zijn bang,” stelde hij kritisch. Herkenbare kritiek voor de bezoekers die de overdreven indringende en beklemmende controles meerdere malen per dag moesten ondergaan. Volgens Cerf wordt er te weinig gekeken naar de kansen die er online zijn en de problemen in de wereld die erom schreeuwen die kansen te grijpen. Als voorbeeld wees hij op het belang om te experimenteren en het lef te hebben om te durven falen. Dat er in de Verenigde Staten durfkapitaal wordt gestoken in projecten die soms mislukken, maakt dat land perfect voor investeringen. Europa grijpt die kansen onvoldoende in zijn optiek. Zijn oproep luidt dan ook: focus meer op de kern van het woord cyber: een internet zonder patenten, maar met open standaarden dat durft te experimenteren. Niet leven in angst, maar leven in vrijheid. Een wijze les van een oude, wijze internetpionier die pijnlijk eerlijk het tekort van de GCCS duidt. n Brenno de Winter is onderzoeksjournalist met expertise in beveiliging en privacy. @Brenno
www.ictmagazine.nl
22
SECURITY
12 mei 2015
“ Denk als cybercrimineel en handel als soldaat” door: Lisa Mooijman In het dagelijks leven is Al Kinney hoofd van de afdeling publieke sector (overheid en NGO’s) bij HP Enterprise Security Services in de Verenigde Staten. Als cybercrime deskundige adviseert hij grote bedrijven en overheidsinstellingen. In die rol denkt hij nog steeds als de marineofficier die hij 24 jaar lang was. Tijdens de presentaties die hij tijdens de cybersecurity-week – van 13 tot en met 17 april – heeft gegeven, spreekt hij over ‘een aanvalsplan’, ‘de vijand’ en ‘doelwitten’. Zijn advies aan bedrijven die veel te verliezen hebben bij cyberaanvallen is even eenvoudig als doeltreffend: denk als de cybercrimineel en handel als een soldaat, 24/7.
“Waarom moet je dezer dagen goed investeren in bestrijding van cybercrime?” vroeg hij zijn toehoorders. “Omdat de kosten van bestrijding achteraf nu eenmaal veel hoger zijn. Om nog maar niet te spreken van de reputatieschade.” Kinney bracht zijn boodschap helder voor het voetlicht: Wie zijn zaakjes niet op orde heeft, geeft miljoenen uit per jaar aan het opruimen van de puinhopen die hackers veroorzaken. Niet alleen de it-afdeling heeft er last van. De hele business komt in gevaar. “Wanneer de kapitein van een groot vliegdekschip vermoedt dat een vijand in de buurt is, zal hij niet op een plek blijven liggen, maar steeds van positie veranderen. De hele bemanning houdt oren en ogen open en reageert meteen op een dreiging of een aanval. Precies zo moeten bedrijven omgaan met cybercrime.”
We zijn lui De ex-militair wil dus heldere strategie en samenwerking, van de thuiswerker met een deelcontract tot de hoogste baas. Iedereen moet zich bewust zijn van de gevaren van cybercrime. Waarom dit vaak niet gebeurt? Kinney laat daarover geen misverstand bestaan: “Gewoon omdat we lui zijn. Zowel consumenten als bedrijven willen wel de lusten maar niet de lasten van ICT. We vinden het wel makkelijk om het hele leven aan elkaar te knopen via internet, terwijl datzelfde internet verre van veilig is. Cybercriminelen zijn al zover dat ze de halve wereld economie kunnen platleggen als ze zouden willen. Dat wetende moet je als bedrijf of overheidsinstelling niet alleen de ontstane problemen stuk voor stuk als losstaande incidenten oplossen. Je moet een structurele oplossing hebben en die 24/7 in de gaten houden en bijstellen. Begrijp wat je doet op en met internet.”
Ontruimingsplan Kinney noemt zijn aanpak ‘Executive breach response’. Een draaiboek voor de belangrijkste risico’s dat elk bedrijf uit de kast kan trekken in geval van cybernood. Het moet werken als een ontruimingsplan: je stelt het samen, test het en houdt regelmatig oefeningen, waarna je op basis van de uitkomsten het plan bijstelt.
www.ictmagazine.nl
Waakzaamheid, spreiding, denken als de cybercriminelen en ethisch hacken met responsible disclosure, leiden tot een goede ‘netwerkhygiëne’. Gebeurt er iets dan stel je dat plan meteen in werking. Niet iedereen heeft zoiets in de kast liggen. Waar begin je? “Met je grootste zwakheid. Los dat op, update vervolgens je hele netwerk en alle applicaties. Herhaal dit met alle zwakheden in applicaties in de hele organisatie tot je alles hebt gehad. Denk vervolgens anders dan vroeger, bij al het nieuwe dat je inbrengt. Toen was het: eerst de functionaliteit en daarna de veiligheid: nu moet het tegelijkertijd.” Op de vraag of dat geen rem zet op de ontwikkeling van mooie software, schudt Kinney resoluut het hoofd. “Als je een auto bouwt, bouw je toch ook remmen in? Dankzij die remmen kun je veilig rijden. Zo moet de beveiliging van software en applicaties ook werken.” Volgens Kinney zijn, naast het regelmatig tweaken en het standaard inbouwen van veiligheid, waak zaamheid en camouflage de beste bestrijding tegen cyberaanvallen. Wat dat betreft gebruikt hij de kennis en ervaring van zijn militaire achtergrond. “Denk als een soldaat. Bouw dynamische netwerken in plaats van statische. Zoveel mogelijk in de cloud. Bewaar niks op slechts één plaats. Zie je een probleem aankomen? Verplaats die applicaties dan en zorg dat cybercriminelen er geen zicht meer op hebben. Hoe beter zij hun doelwit kunnen bestuderen immers, hoe beter hun aanval zal zijn.” De hele it-sector moet volgens Kinney dus minder voorspelbaar zijn. Het automatisme van alles statisch onderbrengen bij één cloud-hoster op één datacenter moet passé zijn.“Spreid en rouleer, niet eenmalig maar voortdurend. Gebruik vervolgens de cloud om het netwerk makkelijk up to date houden, applicaties verversen, updaten en verplaatsen. Stukjes die risico lopen moet je snel kunnen uitschakelen en ergens
anders herstarten. Net zo makkelijk als een telefoongesprek via VoIP. Vermoed je dat je gehackt wordt? Hang op, ga lunchen en probeer het dan nog eens.”
Ethisch hacken
Kinney is een uitgesproken voorstander van ethisch hacken. Alleen door te leren denken als de cybercrimineel kun je ze verslaan. Tegelijk moet je discreet zijn met welke lekken en patches je van wie bekendmaakt om grotere schade te voorkomen, het zogeheten ‘responsible disclosure’. Een netwerk van ethische hackers test continu allerlei hardware op kwetsbaarheden. Is er iets gevonden, dan wordt dat eerst binnen de eigen organisatie bekendgemaakt. Hierop worden niet snelle patches gemaakt, maar wordt het kwetsbare deel afgesloten, alsof je het inpakt. De kwetsbaarheid is op die manier verborgen. “Pas als de kwetsbaarheid is veiliggesteld,” legt Kinney verder uit, “informeren we de fabrikant en krijgen ze de gelegenheid het in orde te maken. Als het probleem netjes wordt opgelost, zwijgen wij erover tot de patch is geïnstalleerd en goed werkt. Dan pas komt het naar buiten, met dank aan degene die het probleem aan het licht bracht en dank voor het snelle oplossen door de fabrikant. Alleen als de betreffende producent zegt het niet te kunnen of willen oplossen, komt de botte bijl van publieke bekendmaking eraan te pas. Er niets over zeggen betekent immers dat criminelen het lek kunnen vinden en uitbuiten.” Volgens Kinney leiden alle maatregelen bij elkaar: waakzaamheid, spreiding, denken als de cyber criminelen en ethisch hacken met responsible disclosure, tot een goede ‘netwerkhygiëne’: “Leren van
je fouten hoort daar eigenlijk ook bij. Soms kloppen bedrijven radeloos bij ons aan. Ze weten niet waar ze moeten beginnen. Meestal beginnen we dan bij het belangrijkste kwetsbare punt en lossen dat op. We kijken welke lessen je uit het voorval kunt leren en dat leidt tot het volgende punt. Voor elk bedrijf is de oplossing dus weer anders.”
IoT
Volgens Kinney moeten bedrijven zich niet het hoofd op hol laten brengen door de razendsnelle opvolging van nieuwe ontwikkelingen. “Het hele bedrijf moet op de hoogte zijn van het nieuwe dat je wilt omarmen, zodat iedereen er veilig mee leert werken. Iets structureels en groots als het Internet of Things (IoT), is niet alleen het nieuwste speeltje van de it-afdeling. Onderzoek eerst of het voor jouw bedrijf zou kunnen werken, wat de risico’s kunnen zijn en beslis dan pas of daar geld in gestoken gaat worden. Tot in de directiekamer moet iedereen zich bewust zijn van wat een dergelijke beslissing met zich meebrengt. De directie moet immers de verantwoordelijkheid zelf dragen, al was het alleen maar omdat ze verantwoording af te leggen hebben aan de aandeelhouders als het misgaat.” De HP-topman heeft bij de huidige stand van zaken rond de invoering van IoT ernstige twijfels. “Begin er niet aan tot je goede beveiliging hebt,” waarschuwt hij. “Het lijkt zo makkelijk: je koelkast en het hele elektriciteitsnet samen online zetten. Maar wat denk je dat er gebeurt als hackers kwetsbaarheden ontdekken? Dan loop je het risico dat je via die slecht beveiligde koelkast de halve stad lam kunt leggen. Willen we dat?” Als het aan Kinney ligt wordt een aanpak ontwikkeld waarbij de koelkast, de snoepautomaat en het elektriciteitsnet los van elkaar IoT-functies hebben, terwijl ze toch in staat zijn samen te werken. “We behandelen het internet nu als een grote vergaarbak. Als je daar ‘waterdichte schotten’ in aanbrengt, die zowel samen als apart kunnen werken, heeft de cybercrimineel een stuk minder kans.”
23
SECURITY
12 mei 2015
dossier Security 24
SECURITY
Trending topics omtrent cybercriminaliteit
door: Kees Mastwijk Als consultancy en audit specialist op het gebied van informatiebeveiliging word je betrokken bij een diversiteit aan vraagstukken bij klanten. Deze vraagstukken hangen in belangrijke mate samen met het volwassenheidsniveau van de organisatie ten aanzien van informatiebeveiliging en risicomanagement. In hoeverre staat informatieveiligheid echt op de kaart? Belangrijke business-drivers voor informatiebeveiliging zijn compliancy, gerichte klantvragen en het risico op reputatie/imagoschade. Dit artikel gaat in op een aantal actuele informatiebeveiligingsonderwerpen die wij in onze dagelijkse praktijk tegenkomen.
Cybercriminaliteit is bepaald geen nieuw fenomeen. Fraude, aanvallen, verstoring, onregelmatigheden ten aanzien van de ict-omgeving, al deze issues bestaan al jaren. Toch lijkt het erop alsof cybercriminaliteit iets is van de laatste twee tot drie jaar. Iedereen heeft het erover. Op zich niet verkeerd, want de risico’s bestaan wel degelijk. Elkaar snel opvolgende technologische en maatschappelijke ontwikkelingen zoals de cloud, Software/Platform/Infrastructureas-a-Service, mobiele apps, virtuele omgevingen, het nieuwe werken, samensmelting van privé en zakelijk en ‘always on’, introduceren razendsnel nieuwe risico’s. Vrijwel iedere organisatie heeft ermee te maken.
Inzicht in het aanvalsoppervlak De term cybercriminaliteit roept al snel de associatie op met hacken: het ‘opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan’, aldus het Wetboek van Strafrecht, waarbij ‘toegang tot het werk wordt verworven a) door het doorbreken van een beveiliging, b) door een technische ingreep, c) met behulp van valse signalen of een valse sleutel, of, d) door het aannemen van een valse hoedanigheid’. Bij organisaties groeit de bewustwording ten aanzien van de mogelijkheden tot hacken van de eigen ict-omgeving. Zij kiezen ervoor om inzicht te krijgen in het ‘aanvalsoppervlak’ voordat echte hackers dit doen. In opdracht van onze opdrachtgevers voeren wij jaarlijks enkele tientallen technische beveiligingsonderzoeken uit. Een groot deel van deze opdrachten concentreert zich op de via internet benaderbare systemen, zoals webapplicaties, weben databaseservers, maar ook de onderliggende infrastructuur. Daarnaast kan ook het interne netwerk kwetsbaarheden bevatten, waarmee ‘insider threat’ scenario’s reëler worden. Tijdens een penetratietest onderzoeken securitytesters de omgeving op beveilingingslekken en kwetsbaarheden. Het (laten) uitvoeren van zo’n
zogenoemde ‘pentest’ vraagt om gespecialiseerde kennis, ervaring en de nodige waarborgen ten aanzien van de uitvoering. Als u overweegt een pentest uit te laten voeren, laat u dan uitgebreid informeren over de werkwijze van de leverancier, het pentestproces, de toepassing van (non-)destructieve testmethodes, referenties, wijze van rapporteren enzovoort.
ISO certificering In toenemende mate worden bedrijven en instellingen gevraagd aan te tonen dat zij de informatieveiligheid op orde hebben. Dit gebeurt met een zekere regelmaat, dus in feite wordt er elke keer weer een ‘examen’ afgelegd voor die nieuwe relatie die zekerheid wil hebben. Werken volgens een algemeen geaccepteerde norm kan hierin bijdragen in de vorm van certificering. Een certificering kan door
toename in het aantal ISO27001 certificeringen in 2012 en 2013 (zie figuur 1). De toenemende vraag naar een ISO27001 certificaat zien we in de markt terug. Zo merken wij dat er met name onder technologiebedrijven een behoefte bestaat aan certificering. Klanten zijn geïnteresseerd in een product of dienst, maar weten inmiddels ook dat de beveiliging ervan evenzo belangrijk is. Niet zelden wordt er kritische klantdata via deze (cloud-)oplossingen ontsloten. De beweegredenen om te certificeren zijn derhalve dan ook vaak van commerciële aard: het voorziet in business en nieuwe klanten. Ook onder onze klanten is er een groeiende behoefte aan ISO27001 certificering of er is tenminste sprake van ISO27001/2 readiness. Varianten hierop zijn bijvoorbeeld de NEN7510, relevant voor zorginstellingen, of de Baseline Informatiebeveiliging Gemeenten (BIG).
Figuur 1. Bron: International Organization for Standardization
de organisatie worden gebruikt als een diploma dat bij klantverzoeken kan worden getoond. De organisatie die verantwoordelijk is voor het wereldwijd centrale certificeringsregister, ISO (International Organization for Standardization), heeft recent interessante kerncijfers gepubliceerd over de in 2013 uitgegeven ISO27001 certificeringen. Als we inzoomen op Nederland en daarbij de historische gegevens opvragen, dan zien we een stevige
Over Vest Informatiebeveiliging Sinds de start in 2002 heeft Vest Informatiebeveiliging zich bewezen als een deskundige en betrouwbare informatiebeveiligingsspecialist en partner voor overheden, multinationals en midden en kleinbedrijf. Vest levert informatiebeveiligingsdiensten in zowel projectvorm als op detacheringsbasis, waarbij de specialisten worden ingehuurd voor langere tijd. De vraagstukken worden door de specialisten uitgevoerd binnen de volgende business area’s: security management, audit & forensics, architected infrastructures, business continuity en education & awareness.
Privacy Veranderende privacy wet- en regelgeving bezorgt veel organisaties kopzorgen. Er staat veel te veranderen met de aangekondigde Europese dataprotectie verordening en ook in Nederland veranderen er voor die tijd al zaken. Het College Bescherming Persoonsgegevens heeft in haar toezichtsagenda voor 2015 onder andere opgenomen onderzoek te zullen gaan doen naar profiling, de verwerking van medische gegevens, de verwerking van persoonsgegevens bij lokale overheden in het kader van de decentralisatie van het Sociaal Domein en de verwerking van persoonsgegevens in de arbeidsrelatie. Wij signaleren een behoefte aan begeleiding bij het opmaken van een nulmeting ten aanzien van privacy wet- en regelgeving. Hoewel de nieuwe dataprotectie, datalekken en privacyregels thans nog niet officieel van kracht zijn, is het aan te bevelen om nu al bekend te zijn
met de veranderingen en te inventariseren welke aanpassingen dat vraagt van de organisatie. Verdieping in de meldplicht datalekken, inrichting van privacy by design en privacy by default zijn enkele goede startpunten.
Awareness Technische maatregelen kunnen ervoor zorgen dat potentieel verdacht netwerkverkeer wordt tegengehouden door een firewall en dat bestanden op het netwerk worden afgeschermd tegen ongeautoriseerde inzage. Processen kunnen ervoor zorgen dat er periodiek wordt gecontroleerd op toegangsrechten en dat er screening plaatsvindt. Maar als een medewerker diezelfde informatie, waarvoor de it-afdeling zo zijn best doet om deze met technische maatregelen af te schermen, in geprinte vorm achterlaat op zijn bureau, dan zijn voorgaande maatregelen van geen waarde. Het belang van ‘awareness’ zullen de meesten van u onderkennen. In de praktijk blijkt het echter lastig om awareness te realiseren onder medewerkers. Het vraagt in feite om een verandering in gedrag van medewerkers, waarbij zij risicosituaties leren herkennen en daarnaar te handelen. De kunst is om de medewerkers mee te krijgen in de boodschap die u wilt overbrengen: zorg goed voor de informatie waarmee je werkt. Verlies, diefstal of ongeautoriseerde inzage ervan kan grote gevolgen hebben voor onze reputatie, ons imago, of kan leiden tot financiële schade in de vorm van een boete. Door middel van op maat gemaakte awareness-activiteiten brengt u de boodschap over op de medewerkers. Met behulp van de inzet van verschillende middelen worden medewerkers betrokken bij informatieveiligheid.
Keest Mastwijk is Security Consultant bij Vest Informatiebeveiliging: office@vest.nl
www.ictmagazine.nl DNU205 ICT Magazine nr. 36 2.indd 24
04-05-15 15:07
25
SECURITY
12 mei 2015
Waarom blijven de aanvallers succesvol?
Geavanceerde aanvallen vragen om een gedegen riskmanagement door: Koemar Dharamsingh en Rémon Verkerk Ondanks de enorme ‘securitylappendeken’ waar de meeste bedrijven tegenwoordig onder schuilgaan, zijn de meeste aanvallen nog altijd succesvol. Een trieste constatering, waar volgens Koemar Dharamsingh van Websense en Rémon Verkerk van Motiv alleen iets aan te doen is door riskmanagement naar een hoger niveau te tillen. “Er is teveel aandacht voor de techniek onder de motorkap.”
Geavanceerde aanvallen zijn de norm geworden. Waar we voorheen te maken hadden met aanvallen die we aan de voordeur konden stoppen, hebben we nu te maken met complexe, geavanceerde aanvallen die zich over een langere periode voltrekken. Daar komt bij dat de hedendaagse hacker niet meer uit is op ‘verstoring’ of persoonlijke roem, maar op financieel gewin. DDoS-aanvallen, phishing e-mails en exploit kits zijn slechts de tools die hij (of zij) gebruikt om het slachtoffer financiële schade toe te brengen door er met waardevolle data vandoor te gaan.
om aanvallen en datalekken tijdig af te slaan. Maar daar blijft het helaas niet bij; in moderne itomgevingen moeten de beveiligingsmaatregelen op meerdere fronten worden ingezet. Voor de hacker vormt namelijk niet alleen de desktop die is verbonden met het bedrijfsnetwerk een toegangspunt tot de data, maar ook de mobiele devices die onderweg en op de werkvloer worden gebruikt. En als gebruik wordt gemaakt van cloud-diensten, vormt ook de cloud een mogelijke route voor een aanval.
Een MSP is in staat om de mogelijkheden van geavanceerde beveiligingsoplossingen efficiënt te benutten Zeven stadia
Aanvallers blijven succesvol
Om meer inzicht te krijgen in ‘Advanced Persistent Threats’ hanteert Websense het ‘Kill chain’-model. Hierin worden geavanceerde aanvallen opgedeeld in (maximaal) zeven stadia, lopend van het opsporen van het slachtoffer tot aan het besmetten van het systeem van het slachtoffer en het daadwerkelijk stelen van de data (zie ook het kader). Dat een aanval meerdere stadia doorloopt, bleek bijvoorbeeld uit de hack bij de in Nederland gevestigde simkaartenfabrikant Gemalto die in februari aan het licht kwam. Volgens documenten van klokkenluider Edward Snowden zouden de Britse en Amerikaanse veiligheidsdiensten GCHQ en NSA zeven miljoen encryptiesleutels buit hebben gemaakt. De activiteiten die nu in verband worden gebracht met deze hack vonden plaats in 2010 en 2011 en strekten zich uit over meerdere stadia. Zo werd in 2010 het Franse interne netwerk van Gemalto aangevallen en later dat jaar werden er e-mails naar medewerkers onderschept met malware. Tegelijkertijd werden verschillende pogingen gedaan om de pc’s van Gemalto-medewerkers te kraken.
De meeste bedrijven die bewust omgaan met security hebben inmiddels wel geavanceerde beveiligingsmiddelen geïmplementeerd en sensoren en triggers die kunnen ingrijpen als de hacker de defensie toch heeft weten te passeren. Desondanks moeten we – op basis van de dagelijkse praktijk en berichtgeving in de media – constateren dat de meeste aanvallen nog altijd succesvol zijn. Een verklaring hiervoor is dat de noodzaak om op meerdere lagen beveiligingsmaatregelen te nemen bij veel bedrijven heeft geleid tot een wildgroei aan stand-alone beveiligingsoplossingen. Doordat deze puntoplossingen niet met elkaar communiceren, is het ook lastig om vast te stellen of meerdere incidenten met elkaar verband houden en zijn te herleiden tot één aanval. Door het ontbreken van een gezamenlijk dashboard is het voor de beheerder eveneens ondoenlijk om het overzicht te behouden en te ontdekken of er in de lijsten met logdata afwijkingen voorkomen die duiden op een aanval. Door de complexiteit van security – en het ontbreken van het overzicht – zien we ook steeds vaker dat de security policy’s niet meer goed op elkaar aansluiten. Als de geldende policy’s functioneel plat worden geslagen, blijkt dikwijls dat de securitymaatregelen niet zo adequaat zijn als men had verwacht. Gebruikmaken van de standaard policy’s die worden geleverd door de leverancier van de securityoplossing kan al een grote stap voorwaarts zijn.
Pakket aan beveiligingsmaatregelen De geavanceerde aanvalstechnieken die worden ingezet door professionele cybercriminelen zijn niet te stoppen met een firewall bij de voordeur en een antiviruspakket op de desktop. Er is een pakket aan maatregelen nodig waarmee al in ‘Stadium 1’ van de aanval, als het slachtoffer op de korrel wordt genomen, kan worden ingegrepen. Maatregelen waardoor alarm wordt geslagen als een systeem is besmet en waarmee kan worden voorkomen dat een besmet systeem contact opneemt met het vijandige kamp. Naast defensieve maatregelen zijn er dus overal in het netwerk sensoren en triggers nodig
Begin bij riskmanagement Een nog belangrijkere verklaring voor het huidige succes van de aanvallers is misschien wel de focus die veel bedrijven leggen als het gaat om security. In onze visie is er teveel aandacht voor de techniek ‘onder de motorkap’, waarbij uit het oog wordt ver-
loren waar het om draait: het beschermen van de data die voor de organisatie waardevol zijn. Een succesvolle bescherming tegen geavanceerde aanvallen begint dan ook bij een gedegen riskmanagement dat antwoord geeft op de vraag ‘wat zijn mijn gevoelige data, en waar zitten die belangrijke assets?’ Daarna kan in kaart worden gebracht hoe de onderneming ervoor staat als het gaat om het beschermen van de belangrijke assets en kunnen de zwakke plekken worden ingevuld met technische oplossingen. Daarbij is het aan te bevelen om te kijken naar geïntegreerde oplossingen waarmee kan worden vastgesteld of incidenten met elkaar verband houden en die zorgen voor een uniform beheer door de beheerder zo min mogelijk dashboards te presenteren. Het inzicht kan nog verder worden verbeterd door gebruik te maken van Security Information and Event Management (SIEM)-tooling.
Managed Security Het traject van riskmanagement tot aan het acteren op basis van de data die worden verzameld met behulp van SIEM-tooling zal voor de meeste bedrijven best nog ingewikkeld zijn. Hier betaalt zich dan ook de meerwaarde uit van een Managed Security Provider die in staat is om de mogelijkheden die worden geboden door geavanceerde beveiligingsoplossingen efficiënt te benutten en de klant de bescherming biedt die hij verlangt.
Koemar Dharamsingh is Regional Sales Manager bij Websense Benelux en Rémon Verkerk Product Manager bij Motiv ICT Security.
THE SEVEN STAGES OF ADVANCED THREATS
STAGE ONE
RECON
STOP STAGE TWO
STAGE THREE
REDIRECT
ACROSS
LURE
STAGE FIVE
DROPPER FILE
THE
KILL CHAIN
LAST YEAR WE PROTECTED TRITON CUSTOMERS FROM OVER 4000 MILLION REAL-TIME SECURITY EVENTS
BRAVE THE NEW WORLD.
www.websense.com/sevenstages
STAGE FOUR
EXPLOIT KIT
STAGE SEVEN
DATA THEFT STAGE SIX
CALL HOME
© 2015 Websense, Inc. All rights reserved. Websense, TRITON and the Websense logo are registered trademarks of Websense, Inc. in the United States and various countries. All other trademarks are the properties of their respective owners.
Kill chain In de visie van Websense is een geavanceerde aanval opgebouwd uit zeven ‘stadia’: Stadium 1: Het vergaren van informatie over het slachtoffer (Recon). Stadium 2: Het verleiden (Lure) van het slachtoffer, bijvoorbeeld met een gemanipuleerde webpagina. Stadium 3: Het ‘redirecten’ van slachtoffers naar een site die exploit kits, exploit code of andere kwaadaardige content bevat. Stadium 4: Een ‘exploit kit’ scant het systeem van een gebruiker. Stadium 5: Met behulp van een ‘dropper file’ wordt de controle over het besmette systeem overgenomen. Stadium 6: Het besmette systeem neemt contact op met een Command & Control-server voor het downloaden van additionele programma’s, tools en instructies. Stadium 7: De data worden naar buiten gestuurd.
www.ictmagazine.nl DNU205 ICT Magazine nr. 36 2.indd 25
26
04-05-15 15:09
Trending topics omtrent cybercriminaliteit
24
Waarom blijven de aanvallers succesvol?
Geavanceerde aanvallen vragen om een gedegen riskmanagement
25
12 mei 2015
Equinix Managed Services
Cloud & security
Innovaties volgen elkaar bij de overheid snel op. Veel van deze innovaties zijn ictgedreven. Ze creëren datastromen die in toenemende mate in een cloud-omgeving worden opgeslagen. Dat brengt forse beveiligingsuitdagingen met zich mee. De vaak privacygevoelige gegevens hebben een waterdichte security nodig – een feit waar toezichthouders en juristen telkens weer op hameren. In dit artikel laten we zien hoe Equinix, wereldmarktleider in datacenters, deze uitdagingen oppakt.
Datacenters van Equinix vormen perfect beveiligde omgevingen voor uw data. In Nederland staan deze datacenters in Amsterdam, Zwolle en Enschede in gebouwen waarin bedrijfskritische ict-apparatuur veilig is gehuisvest. Elk datacenter heeft uitgebreide fysieke beveiligingsmaatregelen, geavanceerde systemen voor klimaatbeheersing en brandbestrijding plus diverse noodstroomvoorzieningen. Al deze systemen zorgen ervoor dat de ict-apparatuur in het datacenter ook tijdens calamiteiten goed blijft functioneren. Bedrijfskritische en gevoelige data zijn dus volledig veilig opgeslagen.
Security Services (Next Generation Firewall, Anti DDoS, SIEM)
Equinix Managed Services Dedicated Hardware (Servers, Routers, Switches, VPN)
Datacenter Services (Cabinets, Power, Cross Connects, etc)
Cloud-diensten en maatwerk
Alle Nederlandse datacentra van Equinix bieden de hoogst mogelijke fysieke beveiliging. De toegang tot de serverruimten zélf verloopt uitsluitend via sluizen met dubbele deuren. Deze deuren hebben badge readers om bevoegde personen te identificeren. Bezoekers mogen uitsluitend onder begeleiding van een Equinix-medewerker naar binnen. Elk datacenter wordt bovendien via camera’s bewaakt. Voor klanten die extra gevoelige informatie verwerken, zoals overheidsdiensten of betalingsproviders, bieden we extra afgeschermde en geblindeerde serverruimten. Deze hebben onder meer een kooi-in-kooi-opzet, extra hekken, beveiliging met infraroodstralen en camera’s, extra toegangscontrole en een stofdeeltjesalarm.
Voor velen is managed cloud-diensten een vaag begrip. Toch is het dat niet. Een ‘cloud’ is niets anders dan computercapaciteit die u via internet, een vaste verbinding of een digitale marktplaats benadert. Het betekent dat u data en rekenkracht elders onderbrengt. Bijvoorbeeld in een datacenter van Equinix. Equinix Managed Services is secure cloud integrator. Dat wil zeggen dat we op veilige wijze uw eigen computercapaciteit kunnen integreren met data en rekenkracht die u bij Equinix onderbrengt én met de data die u eventueel onder eigen beheer of bij een andere aanbieder afneemt. U kunt als klant van Equinix ervoor kiezen om uw data in Enschede, Zwolle, Amsterdam onder te brengen. Ook een verdeling over meer datacenters is mogelijk, bijvoorbeeld om een lagere latency van applicaties te bereiken, of om backup- en uitwijkvoorzieningen (disaster recovery) te creëren. Dit waarborgt de beschikbaarheid van uw data, ook bij calamiteiten, zodat het hart van uw organisatie blijft functioneren.
In Nederland heeft Equinix een bedrijf-in-hetbedrijf: Equinix Managed Services. Het levert een groot aantal aanvullende ict-infrastructuurdiensten in de Equinix-datacenters, zoals secure cloud, storage en netwerken. Equinix Managed Services biedt vrijwel altijd maatwerkoplossingen. Het zijn oplossingen op basis van actuele industriestandaards en bouwstenen uit de praktijk met een zeer hoge kwaliteit. Deze diensten omvatten twee abstracte infrastructuurlagen op de Equinix Datacenter Services. Zie figuur 1. De diensten bevatten zowel hardware voor co-locatie en hosting als diensten voor bijvoorbeeld beheer, security, configuratie, monitoring en onderhoud.
Equinix Datacenter Services
Security en informatiebeveiliging Bedrijven in Nederland verliezen miljoenen door cybercrime, ofwel het illegaal verkrijgen van data of het verstoren van ict-systemen, bijvoorbeeld met DDoS-aanvallen. Cybercrime vormt samen met digitale spionage (ook door overheden) een grote bedreiging voor organisaties. Equinix Managed Services heeft een breed palet aan diensten en
• ISO 50001:2011 (de internationale standaard voor de omgang met energie en voor het terugdringen van energieverbruik) • ISO 14001 (milieubeheer en het in kaart brengen van het risico op schade aan het milieu) • PCI-DSS (de norm voor databeveiliging in het betalingsverkeer via creditcards en pinpassen). • SSAE16/ISAE3402 (de norm voor serviceorganisaties die aanvullende informatie rapporteren aan accountants over hun interne controle)
Patriot Act
Figuur 1. Opbouw Equinix Managed Services infrastructuur
Fysieke security
Equinix Managed Services
Equinix Security Services
Networks / Operating System / Virtual layer / Configuration / Monitoring & Maintenance (NOC 24 x 7)
middelen om deze bedreiging te minimaliseren. Equinix Managed Services investeert onder andere in anti-DDoS-infrastructuur. Het is een systeem dat trends in dataverkeer analyseert en DDoSaanvallen kan onderscheiden van legitieme pieken in het dataverkeer. De technologie voor trendanalyse biedt meer mogelijkheden om de security-slagkracht te verhogen. Investeringen in dit werkveld nemen de komende jaren verder toe. Trendanalyse-beveiliging (SIEM – Security Information & Event Management) vult onze bestaande preventieve securitytechnologie aan. Daar horen ook Next Generation Firewalls en traffic-filters bij.
Certificeringen Security is meer dan techniek alleen. Het vergt robuuste processen in de organisatie en een volledige integriteitsgarantie van medewerkers, bijvoorbeeld via screening, een VOG en geheimhoudingsclausules. Op alle punten voldoet Equinix hierbij aan internationale normen. Sterker nog: het is ons beleid. We investeren continu om te blijven voldoen aan de meest recente ISO-certificeringen. Zo beschikken wij over de volgende certificeringen: • ISO 9001:2008 (beheer en borging van kwaliteit in de organisatie) • OHSAS 18001:2007 (Britse norm voor de gezondheid en veiligheid van medewerkers op de werkvloer) • ISO/IEC 27001:2013 (de internationale standaard voor informatiebeveiliging)
De Patriot Act geeft de Amerikaanse overheid verregaande juridische bevoegdheden om de gegevens die in datacenters liggen opgeslagen, in te zien. Voor veel Europese klanten is dit een bron van zorg. Equinix Managed Services garandeert dat uw data binnen de Nederlandse landsgrenzen blijft en uitsluitend in Equinix-datacenters in Amsterdam, Zwolle en Enschede is ondergebracht. Een eventueel verzoek tot gegevensvordering uit de USA is juridisch volledig geblokkeerd, aangezien de Nederlandse activiteiten van Equinix buiten deze invloedsfeer vallen.
Meer informatie Cloud & security vormen de hoofdthema’s in het dienstenpakket van Equinix Managed Services. In dit artikel hebben we ons beperkt tot deze thema’s. Equinix is al jaren partner van diverse Nederlandse overheidsorganisaties en bedrijven, maar gaat wereldwijd veel verder: Equinix heeft ruim 100 grootschalige datacenters die de hoogste niveaus aan gegevensbeveiliging, beschikbaarheid en kwaliteit bieden. Deze datacenters staan in 32 markten, verspreid over vijftien landen in Amerika, EMEA en Azië-Oceanië. De vijf Nederlandse vestigingen zijn verspreid over Amsterdam, Enschede en Zwolle. Wilt u meer weten over Equinix Managed Services? Neem contact op met Equinix Managed Services via inhousesales.nl@eu.equinix.com of via +31 (0)53 750 30 51. We staan u graag te woord.
www.ictmagazine.nl DNU205 ICT Magazine nr. 36 2.indd 27
28
04-05-15 15:07
Equinix Managed Services
Cloud & security
27
SECURITY
12 mei 2015
Voorkomen is beter dan genezen
Voorkomen is beter dan genezen Continuous Security Monitoring vanuit de cloud
door: Wolfgang Kandek Bedrijven realiseren zich steeds vaker dat traditionele beveiligingsmethoden niet langer werken tegen de dynamiek van cyberbedreigingen. Daar komt bij dat deze methoden bedrijven vaak beperken in hun schaalbaarheid. Door het groeiende aantal apparaten en de toename van het gebruik van de cloud, worden infrastructuren van bedrijven steeds heterogener. Security managers moeten tegenwoordig zowel de fysieke datacentra als ook de virtuele en remote datacentra van de organisatie beschermen. Dit vormt een nieuwe, gecompliceerde beveiligingslaag tegen cyberaanvallen.
De internationalisering en hogere mobiliteit van medewerkers zijn eveneens van invloed op de complexiteit van de bedrijfsbeveiliging. Werknemers en apparatuur bevinden zich niet langer op één plek, maar in verschillende kantoren (vaak in verschillende landen), onderweg en bij klanten. Inzicht in de informatie die bij een organisatie binnenkomt en uitgaat is daardoor moeilijk te controleren. Hoe meer kantoren hoe meer hardware en endpoints binnen een organisatie.
Het risico van endpoints Mobiele endpoints waren zelfs voor de opkomst van de cloud en BYOD al lastig te beveiligen vanwege hun mobiele karakter. Nu krijgen endpoints overal toegang tot het bedrijfsnetwerk; direct, via een netwerk van een provider of via een draadloos (openbaar of beveiligd) Wi-Fi-netwerk. Het aantal endpoints is enorm toegenomen en zal nog meer toenemen: naast de desktop zijn er nu ook laptops, tablets, smartphones, printers en smartwatches. Wanneer de beveiligingsoplossing van een organisatie deze endpoints niet continu in de gaten houdt, kunnen beveiligingsproblemen over het hoofd worden gezien. Door de toenemende mobiliteit hebben apparaten die worden gebruikt om op afstand te werken soms dagen of weken geen verbinding met het bedrijfsnetwerk. Veelal zijn de huidige beveiligingstools die organisaties gebruiken niet ingericht of niet in staat om de activiteit van deze apparaten te monitoren
wanneer zij zich buiten het bedrijfsnetwerk bevinden. Daardoor is het niet mogelijk om te bepalen of het apparaat of de applicatie beschikt over de laatste beveiligingsupdate of kwetsbaar is voor cyberaanvallen.
De gevolgen van de cloud Omdat we steeds meer werken in de cloud, is het voor bedrijven belangrijk om snel te reageren op beveiligingsbedreigingen. Het belang van continue beveiliging neemt toe door de nieuwe methoden van cyberaanvallen, zoals via lekken in cloud-applicaties. De enige manier om een bedrijf effectief te beveiligen tegen cyberaanvallen, is met een cloud-georiënteerde beveiligingsarchitectuur die continu kan monitoren en informatie kan verzamelen in elk type omgeving. Maar voordat de overstap gemaakt wordt naar continue beveiliging, dienen de grootste beveiligingsuitdagingen voor de organisatie in kaart worden gebracht.
Asset Tagging Een van de grootste zakelijke beveiligingsuitdagingen is asset discovery. Hoe kun je systemen beveiligen als je niet weet dat het bestaat? Helaas is er op dit moment nog geen hulpmiddel te koop waarmee je één compleet overzicht van je assets krijgt. Met een accurate en up-to-date inventarisatie van je it-assets door asset tagging kom je echter al een heel eind. Met geautomatiseerde asset discovery en manage-
De ethiek van cyberbeveiliging De discussie over het wel of niet bekend maken van zwakke plekken in computersystemen, werd recent weer aangewakkerd door het besluit van Microsoft om te stoppen met zijn publieke notificatiesysteem. Tegelijkertijd besloot Google om details te publiceren over een beveiligingsprobleem in Windows, de dag voordat Microsoft de oplossing bekend maakte. Moeten we beveiligingsproblemen nu wel of niet vrijgeven? En zo ja, binnen welke termijn? Dienen we als security community misschien het proces van bekendmaken van vulnerabilities te heroverwegen? In het geval van full disclosure maakt een beveiligingsonderzoeker een probleem zo snel mogelijk publiekelijk, omdat mogelijke slachtoffers van een cyberaanval ethisch gezien net zoveel recht hebben op deze informatie als hun hackers. Bij responsible disclosure wordt het beveiligingsprobleem pas bekend wordt gemaakt als er een oplossing is, omdat cybercriminelen vaak sneller een aanval uitvoeren, dan dat er een oplossing voor het probleem beschikbaar is. Hierbij moet de beveiligingsonderzoeker het probleem op vertrouwelijke wijze rapporteren aan het desbetreffende bedrijf. Daarnaast moeten hij en het bedrijf in goed vertrouwen een periode bepalen waarin een oplossing wordt ontwikkeld. En tot slot maakt de onderzoeker, wanneer de oplossing beschikbaar is, het probleem dan publiekelijk bekend. Aangezien er dagelijks belangrijke beveiligingsproblemen worden in veelgebruikte software, is het duidelijk: deze discussie dient opnieuw gevoerd te worden.
ment monitor je voortdurend welke assets je organisatie binnenkomen en uitgaan. Zo wordt het veel eenvoudiger om een veilige omgeving te behouden.
Wel zijn veelvoorkomende zwakke plekken te detecteren met een automatische scanner, waarmee bedrijven beveiligingsproblemen kunnen inschatten, volgen en herstellen.
Vulnerability Management Solution
Continue beveiliging
Inzicht krijgen in het bedrijfsnetwerk is nog niet zo eenvoudig, vooral met de huidige virtuele netwerken en kantoren op afstand. De meeste systemen binnen een bedrijf maken gebruik van een internetverbinding, maar vaak blijft verborgen welke informatie het netwerk binnenkomt of verlaat. Met continue monitoring beoordeel je niet alleen accuraat je netwerkomgeving, maar krijg je ook het broodnodige inzicht in de data die zich via het netwerk verspreiden, door automatisch te scannen op kwetsbaarheden.
We zeiden reeds dat endpoints door hun grotere bereik altijd een uitdaging zijn geweest voor bedrijven. Met de mobiliteit van de huidige endpoints is het moeilijk om te zien wat er wordt gedownload, welk proces er loopt via deze endpoints en welke poorten zij misschien hebben geopend. Feit is dat, wanneer een endpoint geïnfecteerd is, het dagen of zelfs maanden kan duren om dit ontdekken, tenzij er continue monitoring plaatsvindt. Een hulpmiddel dat de overweging waard is, is een analysetool die alle verkeer controleert van en naar een webserver op het openbare internet. Uiteindelijk moet een organisatie zichzelf kunnen beschermen tegen verschillende soorten aanvallen, of er nu sprake is van een wereldwijde hack waarbij de hackers geen speciaal doel hebben, of een doelgerichte aanval om specifieke informatie of data te onderscheppen. Met een succesvol beveiligingsprogramma richt een organisatie zich op het beheer van beveiligingspatches, continue monitoring en het verzamelen van intelligentie door te kijken naar alle veranderingen die plaatsvinden binnen de infrastructuur van een bedrijf. Een cloud-georiënteerde beveiligingsarchitectuur kan al deze mogelijkheden bieden en stelt organisaties in staat om hun meest waardevolle assets continu te beveiligen.
Kwetsbare webapplicaties Kwetsbaarheden in webapplicaties vormen, als ze niet worden gepatcht of opgelost, een belangrijk risico voor de applicaties en data van een bedrijf. Sterker nog, zwakke plekken in webapplicaties zijn op dit moment de belangrijkste oorzaak van ruim 55 procent van alle serverbeveiligingsproblemen. Webapplicaties hebben verschillende zwakke plekken. Bij veel cyberaanvallen worden zogeheten ‘fault injections’ gebruikt, die profiteren van de kwetsbaarheden in de syntax en semantiek van een applicatie. Ook SQL injection en cross-site scripting worden vaak gebruikt. Gevolg van dit soort aanvallen is dat hackers controle krijgen over een applicatie en eenvoudig toegang hebben tot de server, database en andere back-end it-bronnen. Veel netwerkmanagers zijn niet op de hoogte van de zwakke plekken van webapplicaties die bij cyberaanvallen misbruikt worden door hackers om de traditionele netwerkbeveiligingen te omzeilen, tenzij een bedrijf bewust tegenmaatregelen neemt. Helaas is daar nog geen wondermiddel voor verkrijgbaar.
Wolfgang Kandek is Chief Technical Officer, Qualys
www.ictmagazine.nl DNU205 ICT Magazine nr. 36 2.indd 28
04-05-15 15:08
SECURITY
SECURITY
12 mei 2015
29
Continuous Security Monitoring vanuit de cloud
28
12 mei 2015
“Awareness omtrent security is alles” De missie van Sectra Communications door: Ed Lute De mens is en blijft de zwakste schakel in de bestrijding van cybercrime en afluisterpraktijken. Je kunt de technische tools tot in de puntjes hebben geregeld, maar zolang de gebruiker het belang daarvan niet ziet, of wil zien, blijft het onbegonnen werk.
Daarom besteedt Sectra Communications, expert op het gebied van beveiligd communiceren, veel aandacht aan ‘awareness’ onder hun klanten en het eigen personeel.“We houden ieder half jaar intern een security awareness sessie,” vertelt Jeroen de Muijnck, Managing Director bij Sectra Communications. “Daarbij zetten we de zaken weer op scherp. Doen we allemaal nog wel de goede dingen? Gedragen we ons in het pand en daarbuiten nog altijd op de juiste manier? Welke incidenten zijn er langs gekomen? Wat hebben we daarvan geleerd, of wat kunnen we daar nog van leren? Ook onze klanten drukken we altijd op het hart: ‘Awareness omtrent security is alles’. Uiteindelijk maakt de klant zelf de keuze of hij de security wel aanzet of niet, en bij onze producten in het bijzonder ligt die keuze bij de eindgebruiker.”
“Die wilde gewoon dat al zijn gesprekken en stukken binnenkwamen op zijn iPhone en iPad. Hij weigerde om te werken met de beveiligde apparaten die hij van het ministerie kreeg. Tja, als iemand op zo’n positie zo’n houding aanneemt, is dat een verloren zaak. Dit voorbeeld mag ik nu noemen, omdat het destijds in de publiciteit kwam en omdat Verhagen niet meer op die positie zit. Maar veel van wat ik nu meemaak, kan ik uiteraard niet vertellen. Ook Angela Merkel zelf gaat niet helemaal vrijuit, want die is te lang verknocht geweest aan haar oude partijtelefoon, zo’n oude Nokia. Kijk, die security officer hoeven wij niet te overtuigen. Het gaat om de eindgebruiker, vanaf de CEO tot en met de persvoorlichter. Zolang er onvoldoende awareness is loop je grote risico’s dat er laconiek mee wordt omgegaan. En dat zie je op elk niveau.”
Weigering
Awareness-proces
Bij een grote partij als een ministerie heeft de security officer een belangrijke stem in de keuze van leverancier van communicatiemiddelen. Secure telefoons worden aangekocht, de mensen worden getraind, maar uiteindelijk bepaalt de eindgebruiker zelf of hij dat beveiligde toestel gebruikt of een consumentenexemplaar. De Muijnck vertelt over Maxime Verhagen tijdens diens ministerschap.
De juiste balans tussen veiligheid en gebruiksgemak blijft hierin van doorslaggevende betekenis. Wanneer veiligheid absolute prioriteit heeft, ontkom je er niet aan in te leveren op gebruiksgemak. “Een van onze producten is een sterk beveiligd toestel,” vertelt De Muijnck. “Daarmee kun je alleen contact leggen met mensen die eenzelfde toestel hebben. Deze end-to-end encryptie wordt gebruikt door mensen
Strenge eisen Het topsegment van security, end-to-end encryptie, vereist dat beide kanten van de communicatie met de Tiger-producten van Sectra werkt. Wel worden bestaande commerciële netwerken gebruikt. Deze telefoons, die Sectra Communications levert aan het topsegment, voldoen aan de strenge eisen van accreditatieorganisaties zoals NBV (Nationaal Bureau voor Verbindingsbeveiliging), diverse Europese instanties en de NAVO. Niet alleen de producten maar ook Sectra als bedrijf wordt hierbij gescreend op onderdelen als fysieke beveiliging en mensen. Hiernaast levert Sectra een product dat eveneens voldoet aan een bijzonder hoog niveau qua security, maar dat via bestaande smartphones kan worden aangeboden. Daar wordt dan een klein stukje hardware en software aan toegevoegd, waarmee de telefoon voor Departementaal Vertrouwelijk niveau gebruikt kan worden. Met hooguit twee extra authenticatiestappen beschikt iemand over een veel veiliger communicatiemiddel – met end-to-end encryptie – en over de volledige functionaliteit van een normale smartphone.
op sleutelposities zoals regeringsleiders of generaals. Juist omdat er drempels zijn, geven we awarenesssessies bij klanten. In een awareness-proces gaat iedereen drie fases door. Tijdens de eerste fase worden vooral de drempels ervaren, zoals het intoetsen van een pincode, of dat de ontvangende partij het veilige systeem moet aanzetten. In de tweede fase spreken mensen elkaar erop aan als ze contact zoeken over een open lijn. ‘Nu kunnen we niet over die ene case praten.’ De fase daarna bestaat voornamelijk uit een gevoel van vrijheid ‘We kunnen nu eindelijk vrijuit met elkaar praten, zonder die constante dreiging van dat je mogelijk wordt afgeluisterd.’ Dat is uiteindelijk wat wij doen, wij bieden iemand vrijheid.”
weer een crisis toeslaat, zijn wij beter dan ooit voorbereid op alle mogelijke klantvragen, zodat wij direct de juiste cryptomiddelen kunnen leveren, inclusief een awareness-sessie.” Jeroen de Muijnck, Managing Director bij Sectra Communications
“Dat is uiteindelijk wat wij doen, wij bieden iemand vrijheid” Mission pack
Check-up
Sectra Communication levert een awareness-sessie als onderdeel van een pakket om security naar een hoger niveau te liften. Helaas is er zelden ruimte voor een halfjaarlijkse herhaalsessie, vertelt De Muijnck. “Hierdoor komt de continuïteit van awareness in het gedrang. Met de MH17-ramp van afgelopen zomer kwam dat allemaal ineens in een stroomversnelling. Die mensen die in Oekraïne moesten werken, kwamen toen met een concrete klantvraag. Die wilden er toen zeker van zijn dat niemand met hen kon meeluisteren. In zo’n situatie hoeven we niet meer het waarom van security op dit niveau uit te leggen. Van die periode hebben wij geleerd dat we ad hoc moeten kunnen opschalen. Diverse partijen vanuit de overheid kwamen toen gelijktijdig bij ons met een acute vraag. Het is ons uiteindelijk gelukt om iedereen van dienst te zijn, maar dat was voor ons behoorlijk druk. Daarom hebben we er nu voor gezorgd dat er een mission pack klaarligt. In het onverhoopte geval dat er
Het bewustzijn van de noodzaak van security moet continu worden wakker gehouden. De Muijnck: “De MH17-ramp, afluisterschandalen, de openbaringen van Edward Snowden en redelijk recent nog de hack met de Gemalto simkaart. Dit alles is nog niet uit het nieuws verdwenen of we zien alweer dat de awareness aan het inzakken is. Ik zie het dan ook als mijn taak om het belang van security te blijven onderstrepen en dat doe ik graag. Lage awareness willen wij graag verhogen met vervolgsessies of trainingen. In de huidige praktijk reikt de continuïteit van security tot een reguliere check-up van de ingezette cryptomiddelen. Dat is vooral een technische aangelegenheid. Hoe mooi zou het zijn als we zo’n check-up ook konden invoeren met betrekking tot de awareness van security? Idealiter worden onze spullen gebruikt vanuit die awareness en niet omdat er een crisis gaande is. Wij hebben liever geen crises meer die ons punt bewijzen.”
www.ictmagazine.nl DNU205 ICT Magazine nr. 36 2.indd 26
27
SECURITY
12 mei 2015
04-05-15 15:16
“ Awareness omtrent security is alles”
26
De missie van Sectra Communications
“Zorg dat organisaties geen ‘sitting duck’ zijn voor cybercriminelen” EXIN richt zich op ict-security
Wie denkt aan bankroof ziet mannen met maskers voor zich die met geweld de bankkluis leeghalen. Toch pleegden computerhackers eerder dit jaar de grootste bankroof aller tijden: in de loop van enkele maanden werd meer dan driehonderd miljoen dollar buitgemaakt bij honderden banken in verschillende landen. De schade voor de wereldeconomie veroorzaakt door cybercrime bedraagt $375 tot $575 miljard per jaar (bron: McAfee). In Nederland alleen al bedragen de kosten zo’n 8,8 miljard. Bedrijven zullen constant hun securitymaatregelen moeten blijven aanscherpen om hackers zo min mogelijk kans te geven. Maar hoe? En hebben ze hiervoor wel de juiste mensen in huis die van security hun vak hebben gemaakt? En hebben hun ict-professionals de juiste competenties?
ICT Security Portfolio Exameninstituut EXIN ontwikkelt dit jaar een ICT Security Portfolio, bestaande uit diverse certificeringen op het gebied van ict-security, zodat bedrijven op verschillende gebieden en niveaus security kunnen inrichten en onderhouden. “Cybersecurity incidenten zijn aan de orde van de dag,” weet Bernd Taselaar, CEO van EXIN.“Het gebeurt elk uur, elke seconde. De jaarlijkse kosten lopen in de miljarden en dat zal alleen maar stijgen. EXIN ziet een grote vraag naar kwalitatieve securitycertificeringen in de ict-markt.” De nieuwste certificering binnen het Security Portfolio is de Ethical Hacking Foundation. Dit gaat over het zoeken naar zwakke plekken in software en systemen, gebruikmakend van dezelfde methoden als een criminele hacker. Op die manier kunnen kwetsbaarheden worden vastgesteld en gerepareerd voorafgaand aan de release. Taselaar: “Ethical Hacking Foundation bewijst dat EXIN in staat is om de juiste ict-certificeringen op het juiste moment te leveren. Cybersecurity zal een hot topic blijven in 2015 en daarna. We hadden al het Information Security based on ISO/IEC 27002 certificeringsprogramma, dat zich richt op het managen van security. Nu breiden we ons Security Portfolio uit om ook rekening te houden met de groeiende behoefte aan securitycertificering die zich richt op programmeurs en testers. De e-CF principes die onderdeel zijn van de EXIN examens zorgen ervoor dat de certificaten voldoen aan de marktverwachtingen.”
Governance EXINs Portfolio manager Suzanne Galletly licht het Security Portfolio verder toe. “Bedrijven kunnen verschillende middelen inzetten om zich weerbaar te maken tegen cybercrime. Maar het zal hier altijd gaan om het inzetten van de juiste mensen voor de juiste taken.” EXINs Security Portfolio biedt certificeringen voor de verschillende rollen en gebieden binnen een bedrijf. Bijvoorbeeld op het gebied van governance: interne en externe risico’s van de organisatie moeten in kaart worden gebracht. Vervolgens moeten er maatregelen worden genomen om te zorgen dat de continuïteit van het bedrijf gewaarborgd is in geval van een onvoorziene gebeurtenis. Hiervoor wordt de EXIN Business Continuity Management certificering ontwikkeld, gebaseerd op de ISO 22301 standaard voor Business Continuity Management.
procent van alle data de laatste twee jaar geproduceerd – is het belangrijk dat organisaties weten hoe gegevens voldoende te beschermen. Dit is vooral relevant in sectoren waar het om gevoelige gegevens gaat, zoals Finance en Gezondheidszorg. Het bedrijfsleven wordt hard gestraft als ze zich niet aan de privacy wet- en regelgeving houden, zoals bleek in 2014 toen het Nederlandse College Bescherming Persoonsgegevens sancties tegen Google uitvaardigde die kunnen leiden tot een boete van maximaal 15 miljoen euro. Galletly: “Met gecertificeerde professionals kunnen zakelijke risico’s van organisaties wat het schenden van privacywetgeving betreft verminderd worden. EXINs Data Privacy programma omvat de vereiste kennis van de strenge Europese wet- en regelgeving betreffende de bescherming van persoonsgegevens. Maar ook hoe data privacy risico’s binnen een organisatie in kaart te brengen, zodat de nodige corrigerende maatregelen kunnen worden genomen.” EXIN verwacht de eerste examens van dit programma al in juli af te nemen.
Veel aanvallers azen op de menselijke zwakheid binnen organisaties Voor Risk Management, het minimaliseren van risico’s en het uitbuiten van kansen, biedt EXIN het Management of Risk (MoR) certificeringsprogramma aan. Ook ICT Asset Management is een belangrijk onderdeel van het Governance. Dit geeft een organisatie controle over alle soorten activa, zoals infrastructuur, menselijk kapitaal, informatie en diensten. EXIN introduceert later dit jaar een compleet certificeringsprogramma voor ICT Asset Management.
Data privacy Een bijzonder onderwerp is data privacy. Met de recente explosie van data – naar schatting is 90
De menselijke factor Management kan dus veel doen om risico’s te beperken. En het personeel? Cyberaanvallen worden uitgevoerd door mensen, dus is ook de beveiliging afhankelijk van mensen. Een van de belangrijkste bevindingen van IBMs 2014 Cyber Security Intelligence Index is dat 95 procent van alle beveiligingsincidenten veroorzaakt worden door menselijke fouten. Veel aanvallers azen op de menselijke zwakheid binnen organisaties en proberen medewerkers te verleiden onbewust gevoelige informatie vrij te geven, of zelfs toegang tot die informatie te verschaffen. Het is dus essentieel dat medewerkers
van de organisatie, in allerlei functies en op alle niveaus, zich bewust zijn van de veiligheidsrisico’s en van hun rol bij het beschermen van waardevolle informatie van hun organisatie. Galletly licht toe: ”Het EXIN Information Security Management based on ISO/IEC 27002 programma bevat certificeringen die niet alleen gericht zijn op ict’ers, degenen die informatie beheren, maar op alle gebruikers van informatie. Door álle mensen in je bedrijf bewust te maken van risico’s en van hun eigen handelen, zet je als werkgever al een hele belangrijke stap in de richting van weerbaarheid tegen cybercrime en securityschendingen.”
Sitting Duck Wél specifiek voor ict’ers werd eind 2014 het examen Secure Programming Foundation gelanceerd. Dit examen heeft betrekking op de principes van het ontwerpen van veilige software. Het certificaat geeft programmeurs de bevestiging dat ze de juiste competenties hebben om software te ontwerpen die, ook al vroeg in de ontwerpfase, minder kwetsbaar is voor cyberaanvallen. Galletly: “Secure Programming sluit precies aan bij Ethical Hacking. De ontwikkelaar zal bij het programmeren al Security maatregelen inbouwen om op die wijze minder kwetsbare software af te leveren. Zijn collega, de ethical hacker gaat vervolgens testen of dat gelukt is, gebruikmakend van dezelfde methodes als een criminele hacker. Dit is de enige manier om te testen of het echt veilig is! Zo niet, dan kan het programma al gefixt worden voordat het live gaat. Deze aandacht voor de preventie van cyberaanvallen zal ervoor zorgen dat organisaties niet langer ‘a sitting duck’ zijn voor cybercriminelen.” Tevens zal EXIN dit jaar een Cyber Crime examen ontwikkelen: wat is cybercrime, hoe kan het worden voorkomen en hoe kan de schade na een aanval zoveel mogelijk beperkt worden? Kortom, het complete portfolio op het gebied van (cyber)security en governance kan ervoor zorgen dat binnen een organisatie beveiliging van data de volle aandacht heeft tijdens alle fasen van de ictlifecycle, op alle niveaus, bij alle medewerkers, ict’ers en niet-ict’ers.
www.ictmagazine.nl DNU205 ICT Magazine nr. 36 2.indd 29
04-05-15 15:08
“ Zorg dat organisaties geen ‘sitting duck’ zijn voor cybercriminelen”
29
EXIN richt zich op ict-security
www.ictmagazine.nl
24
SECURITY
12 mei 2015
Trending topics omtrent cybercriminaliteit
door: Kees Mastwijk Als consultancy en audit specialist op het gebied van informatiebeveiliging word je betrokken bij een diversiteit aan vraagstukken bij klanten. Deze vraagstukken hangen in belangrijke mate samen met het volwassenheidsniveau van de organisatie ten aanzien van informatiebeveiliging en risicomanagement. In hoeverre staat informatieveiligheid echt op de kaart? Belangrijke business-drivers voor informatiebeveiliging zijn compliancy, gerichte klantvragen en het risico op reputatie/imagoschade. Dit artikel gaat in op een aantal actuele informatiebeveiligingsonderwerpen die wij in onze dagelijkse praktijk tegenkomen.
Cybercriminaliteit is bepaald geen nieuw fenomeen. Fraude, aanvallen, verstoring, onregelmatigheden ten aanzien van de ict-omgeving, al deze issues bestaan al jaren. Toch lijkt het erop alsof cybercriminaliteit iets is van de laatste twee tot drie jaar. Iedereen heeft het erover. Op zich niet verkeerd, want de risico’s bestaan wel degelijk. Elkaar snel opvolgende technologische en maatschappelijke ontwikkelingen zoals de cloud, Software/Platform/Infrastructureas-a-Service, mobiele apps, virtuele omgevingen, het nieuwe werken, samensmelting van privé en zakelijk en ‘always on’, introduceren razendsnel nieuwe risico’s. Vrijwel iedere organisatie heeft ermee te maken.
Inzicht in het aanvalsoppervlak De term cybercriminaliteit roept al snel de associatie op met hacken: het ‘opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan’, aldus het Wetboek van Strafrecht, waarbij ‘toegang tot het werk wordt verworven a) door het doorbreken van een beveiliging, b) door een technische ingreep, c) met behulp van valse signalen of een valse sleutel, of, d) door het aannemen van een valse hoedanigheid’. Bij organisaties groeit de bewustwording ten aanzien van de mogelijkheden tot hacken van de eigen ict-omgeving. Zij kiezen ervoor om inzicht te krijgen in het ‘aanvalsoppervlak’ voordat echte hackers dit doen. In opdracht van onze opdrachtgevers voeren wij jaarlijks enkele tientallen technische beveiligingsonderzoeken uit. Een groot deel van deze opdrachten concentreert zich op de via internet benaderbare systemen, zoals webapplicaties, weben databaseservers, maar ook de onderliggende infrastructuur. Daarnaast kan ook het interne netwerk kwetsbaarheden bevatten, waarmee ‘insider threat’ scenario’s reëler worden. Tijdens een penetratietest onderzoeken securitytesters de omgeving op beveilingingslekken en kwetsbaarheden. Het (laten) uitvoeren van zo’n
zogenoemde ‘pentest’ vraagt om gespecialiseerde kennis, ervaring en de nodige waarborgen ten aanzien van de uitvoering. Als u overweegt een pentest uit te laten voeren, laat u dan uitgebreid informeren over de werkwijze van de leverancier, het pentestproces, de toepassing van (non-) destructieve testmethodes, referenties, wijze van rapporteren enzovoort.
ISO certificering In toenemende mate worden bedrijven en instellingen gevraagd aan te tonen dat zij de informatieveiligheid op orde hebben. Dit gebeurt met een zekere regelmaat, dus in feite wordt er elke keer weer een ‘examen’ afgelegd voor die nieuwe relatie die zekerheid wil hebben. Werken volgens een algemeen geaccepteerde norm kan hierin bijdragen in de vorm van certificering. Een certificering kan door
Figuur 1. Bron: International Organization for Standardization
de organisatie worden gebruikt als een diploma dat bij klantverzoeken kan worden getoond. De organisatie die verantwoordelijk is voor het wereldwijd centrale certificeringsregister, ISO (International Organization for Standardization), heeft recent interessante kerncijfers gepubliceerd over de in 2013 uitgegeven ISO27001 certificeringen. Als we inzoomen op Nederland en daarbij de historische gegevens opvragen, dan zien we een stevige
Over Vest Informatiebeveiliging Sinds de start in 2002 heeft Vest Informatiebeveiliging zich bewezen als een deskundige en betrouwbare informatiebeveiligingsspecialist en partner voor overheden, multinationals en midden en kleinbedrijf. Vest levert informatiebeveiligingsdiensten in zowel projectvorm als op detacheringsbasis, waarbij de specialisten worden ingehuurd voor langere tijd. De vraagstukken worden door de specialisten uitgevoerd binnen de volgende business area’s: security management, audit & forensics, architected infrastructures, business continuity en education & a wareness.
www.ictmagazine.nl
toename in het aantal ISO27001 certificeringen in 2012 en 2013 (zie figuur 1). De toenemende vraag naar een ISO27001 certificaat zien we in de markt terug. Zo merken wij dat er met name onder technologiebedrijven een behoefte bestaat aan certificering. Klanten zijn geïnteresseerd in een product of dienst, maar weten inmiddels ook dat de beveiliging ervan evenzo belangrijk is. Niet zelden wordt er kritische klantdata via deze (cloud-)oplossingen ontsloten. De beweegredenen om te certificeren zijn derhalve dan ook vaak van commerciële aard: het voorziet in business en nieuwe klanten. Ook onder onze klanten is er een groeiende behoefte aan ISO27001 certificering of er is tenminste sprake van ISO27001/2 readiness. Varianten hierop zijn bijvoorbeeld de NEN7510, relevant voor zorginstellingen, of de Baseline Informatiebeveiliging Gemeenten (BIG).
Privacy Veranderende privacy wet- en regelgeving bezorgt veel organisaties kopzorgen. Er staat veel te veranderen met de aangekondigde Europese data protectie verordening en ook in Nederland veranderen er voor die tijd al zaken. Het College Bescherming Persoonsgegevens heeft in haar toezichtsagenda voor 2015 onder andere opgenomen onderzoek te zullen gaan doen naar profiling, de verwerking van medische gegevens, de verwerking van persoonsgegevens bij lokale overheden in het kader van de decentralisatie van het Sociaal Domein en de verwerking van persoonsgegevens in de arbeidsrelatie. Wij signaleren een behoefte aan begeleiding bij het opmaken van een nulmeting ten aanzien van privacy wet- en regelgeving. Hoewel de nieuwe dataprotectie, datalekken en privacyregels thans nog niet officieel van kracht zijn, is het aan te bevelen om nu al bekend te zijn
met de veranderingen en te inventariseren welke aanpassingen dat vraagt van de organisatie. Verdieping in de meldplicht datalekken, inrichting van privacy by design en privacy by default zijn enkele goede startpunten.
Awareness Technische maatregelen kunnen ervoor zorgen dat potentieel verdacht netwerkverkeer wordt tegengehouden door een firewall en dat bestanden op het netwerk worden afgeschermd tegen ongeautoriseerde inzage. Processen kunnen ervoor zorgen dat er periodiek wordt gecontroleerd op toegangsrechten en dat er screening plaatsvindt. Maar als een medewerker diezelfde informatie, waarvoor de it-afdeling zo zijn best doet om deze met technische maatregelen af te schermen, in geprinte vorm achterlaat op zijn bureau, dan zijn voorgaande maatregelen van geen waarde. Het belang van ‘awareness’ zullen de meesten van u onderkennen. In de praktijk blijkt het echter lastig om awareness te realiseren onder medewerkers. Het vraagt in feite om een verandering in gedrag van medewerkers, waarbij zij risicosituaties leren herkennen en daarnaar te handelen. De kunst is om de medewerkers mee te krijgen in de boodschap die u wilt overbrengen: zorg goed voor de informatie waarmee je werkt. Verlies, diefstal of ongeautoriseerde inzage ervan kan grote gevolgen hebben voor onze reputatie, ons imago, of kan leiden tot financiële schade in de vorm van een boete. Door middel van op maat gemaakte awareness-activiteiten brengt u de boodschap over op de medewerkers. Met behulp van de inzet van verschillende middelen worden medewerkers betrokken bij informatieveiligheid.
Keest Mastwijk is Security Consultant bij Vest Informatiebeveiliging: office@vest.nl
25
SECURITY
12 mei 2015
Waarom blijven de aanvallers succesvol?
Geavanceerde aanvallen vragen om een gedegen riskmanagement door: Koemar Dharamsingh en Rémon Verkerk Ondanks de enorme ‘securitylappendeken’ waar de meeste bedrijven tegenwoordig onder schuilgaan, zijn de meeste aanvallen nog altijd succesvol. Een trieste constatering, waar volgens Koemar Dharamsingh van Websense en Rémon Verkerk van Motiv alleen iets aan te doen is door riskmanagement naar een hoger niveau te tillen. “Er is teveel aandacht voor de techniek onder de motorkap.”
Geavanceerde aanvallen zijn de norm geworden. Waar we voorheen te maken hadden met aanvallen die we aan de voordeur konden stoppen, hebben we nu te maken met complexe, geavanceerde aanvallen die zich over een langere periode voltrekken. Daar komt bij dat de hedendaagse hacker niet meer uit is op ‘verstoring’ of persoonlijke roem, maar op financieel gewin. DDoS-aanvallen, phishing e-mails en exploit kits zijn slechts de tools die hij (of zij) gebruikt om het slachtoffer financiële schade toe te brengen door er met waardevolle data vandoor te gaan.
om aanvallen en datalekken tijdig af te slaan. Maar daar blijft het helaas niet bij; in moderne itomgevingen moeten de beveiligingsmaatregelen op meerdere fronten worden ingezet. Voor de hacker vormt namelijk niet alleen de desktop die is verbonden met het bedrijfsnetwerk een toegangspunt tot de data, maar ook de mobiele devices die onderweg en op de werkvloer worden gebruikt. En als gebruik wordt gemaakt van cloud-diensten, vormt ook de cloud een mogelijke route voor een aanval.
Een MSP is in staat om de mogelijk heden van geavanceerde beveiligingsoplossingen efficiënt te benutten Zeven stadia
Aanvallers blijven succesvol
Om meer inzicht te krijgen in ‘Advanced Persistent Threats’ hanteert Websense het ‘Kill chain’-model. Hierin worden geavanceerde aanvallen opgedeeld in (maximaal) zeven stadia, lopend van het opsporen van het slachtoffer tot aan het besmetten van het systeem van het slachtoffer en het daadwerkelijk stelen van de data (zie ook het kader). Dat een aanval meerdere stadia doorloopt, bleek bijvoorbeeld uit de hack bij de in Nederland gevestigde simkaartenfabrikant Gemalto die in februari aan het licht kwam. Volgens documenten van klokkenluider Edward Snowden zouden de Britse en Amerikaanse veiligheidsdiensten GCHQ en NSA zeven miljoen encryptiesleutels buit hebben gemaakt. De activiteiten die nu in verband worden gebracht met deze hack vonden plaats in 2010 en 2011 en strekten zich uit over meerdere stadia. Zo werd in 2010 het Franse interne netwerk van Gemalto aangevallen en later dat jaar werden er e-mails naar medewerkers onderschept met malware. Tegelijkertijd werden verschillende pogingen gedaan om de pc’s van Gemalto-medewerkers te kraken.
De meeste bedrijven die bewust omgaan met security hebben inmiddels wel geavanceerde beveiligingsmiddelen geïmplementeerd en sensoren en triggers die kunnen ingrijpen als de hacker de defensie toch heeft weten te passeren. Desondanks moeten we – op basis van de dagelijkse praktijk en berichtgeving in de media – constateren dat de meeste aanvallen nog altijd succesvol zijn. Een verklaring hiervoor is dat de noodzaak om op meerdere lagen beveiligingsmaatregelen te nemen bij veel bedrijven heeft geleid tot een wildgroei aan stand-alone beveiligingsoplossingen. Doordat deze puntoplossingen niet met elkaar communiceren, is het ook lastig om vast te stellen of meerdere incidenten met elkaar verband houden en zijn te herleiden tot één aanval. Door het ontbreken van een gezamenlijk dashboard is het voor de beheerder eveneens ondoenlijk om het overzicht te behouden en te ontdekken of er in de lijsten met logdata afwijkingen voorkomen die duiden op een aanval. Door de complexiteit van security – en het ontbreken van het overzicht – zien we ook steeds vaker dat de security policy’s niet meer goed op elkaar aansluiten. Als de geldende policy’s functioneel plat worden geslagen, blijkt dikwijls dat de securitymaatregelen niet zo adequaat zijn als men had verwacht. Gebruikmaken van de standaard policy’s die worden geleverd door de leverancier van de security- oplossing kan al een grote stap voorwaarts zijn.
Pakket aan beveiligingsmaatregelen De geavanceerde aanvalstechnieken die worden ingezet door professionele cybercriminelen zijn niet te stoppen met een firewall bij de voordeur en een antiviruspakket op de desktop. Er is een pakket aan maatregelen nodig waarmee al in ‘Stadium 1’ van de aanval, als het slachtoffer op de korrel wordt genomen, kan worden ingegrepen. Maatregelen waardoor alarm wordt geslagen als een systeem is besmet en waarmee kan worden voorkomen dat een besmet systeem contact opneemt met het vijandige kamp. Naast defensieve maatregelen zijn er dus overal in het netwerk sensoren en triggers nodig
Begin bij riskmanagement Een nog belangrijkere verklaring voor het huidige succes van de aanvallers is misschien wel de focus die veel bedrijven leggen als het gaat om security. In onze visie is er teveel aandacht voor de techniek ‘onder de motorkap’, waarbij uit het oog wordt ver-
loren waar het om draait: het beschermen van de data die voor de organisatie waardevol zijn. Een succesvolle bescherming tegen geavanceerde aanvallen begint dan ook bij een gedegen riskmanagement dat antwoord geeft op de vraag ‘wat zijn mijn gevoelige data, en waar zitten die belangrijke assets?’ Daarna kan in kaart worden gebracht hoe de onderneming ervoor staat als het gaat om het beschermen van de belangrijke assets en kunnen de zwakke plekken worden ingevuld met technische oplossingen. Daarbij is het aan te bevelen om te kijken naar geïntegreerde oplossingen waarmee kan worden vastgesteld of incidenten met elkaar verband houden en die zorgen voor een uniform beheer door de beheerder zo min mogelijk dashboards te presenteren. Het inzicht kan nog verder worden verbeterd door gebruik te maken van Security Information and Event Management (SIEM)-tooling.
Managed Security Het traject van riskmanagement tot aan het acteren op basis van de data die worden verzameld met behulp van SIEM-tooling zal voor de meeste bedrijven best nog ingewikkeld zijn. Hier betaalt zich dan ook de meerwaarde uit van een Managed Security Provider die in staat is om de mogelijkheden die worden geboden door geavanceerde beveiligingsoplossingen efficiënt te benutten en de klant de bescherming biedt die hij verlangt.
Koemar Dharamsingh is Regional Sales Manager bij Websense Benelux en Rémon Verkerk Product Manager bij Motiv ICT Security.
THE SEVEN STAGES OF ADVANCED THREATS
STAGE ONE
RECON
STOP STAGE TWO
STAGE THREE
REDIRECT
ACROSS
LURE
STAGE FIVE
DROPPER FILE
THE
KILL CHAIN
LAST YEAR WE PROTECTED TRITON CUSTOMERS FROM OVER 4000 MILLION REAL-TIME SECURITY EVENTS
BRAVE THE NEW WORLD.
www.websense.com/sevenstages
STAGE FOUR
EXPLOIT KIT
STAGE SEVEN
DATA THEFT STAGE SIX
CALL HOME
© 2015 Websense, Inc. All rights reserved. Websense, TRITON and the Websense logo are registered trademarks of Websense, Inc. in the United States and various countries. All other trademarks are the properties of their respective owners.
Kill chain In de visie van Websense is een geavanceerde aanval opgebouwd uit zeven ‘stadia’: Stadium 1: Het vergaren van informatie over het slachtoffer (Recon). Stadium 2: Het verleiden (Lure) van het slachtoffer, bijvoorbeeld met een gemanipuleerde webpagina. Stadium 3: Het ‘redirecten’ van slachtoffers naar een site die exploit kits, exploit code of andere kwaadaardige content bevat. Stadium 4: Een ‘exploit kit’ scant het systeem van een gebruiker. Stadium 5: Met behulp van een ‘dropper file’ wordt de controle over het besmette systeem overgenomen. Stadium 6: Het besmette systeem neemt contact op met een Command & Control-server voor het downloaden van additionele programma’s, tools en instructies. Stadium 7: De data worden naar buiten gestuurd.
www.ictmagazine.nl
26
SECURITY
12 mei 2015
“Awareness omtrent security is alles” De missie van Sectra Communications door: Ed Lute De mens is en blijft de zwakste schakel in de bestrijding van cybercrime en afluisterpraktijken. Je kunt de technische tools tot in de puntjes hebben geregeld, maar zolang de gebruiker het belang daarvan niet ziet, of wil zien, blijft het onbegonnen werk.
Daarom besteedt Sectra Communications, expert op het gebied van beveiligd communiceren, veel aandacht aan ‘awareness’ onder hun klanten en het eigen personeel.“We houden ieder half jaar intern een security awareness sessie,” vertelt Jeroen de Muijnck, Managing Director bij Sectra Communications. “Daarbij zetten we de zaken weer op scherp. Doen we allemaal nog wel de goede dingen? Gedragen we ons in het pand en daarbuiten nog altijd op de juiste manier? Welke incidenten zijn er langs gekomen? Wat hebben we daarvan geleerd, of wat kunnen we daar nog van leren? Ook onze klanten drukken we altijd op het hart: ‘Awareness omtrent security is alles’. Uiteindelijk maakt de klant zelf de keuze of hij de security wel aanzet of niet, en bij onze producten in het bijzonder ligt die keuze bij de eindgebruiker.”
“Die wilde gewoon dat al zijn gesprekken en stukken binnenkwamen op zijn iPhone en iPad. Hij weigerde om te werken met de beveiligde apparaten die hij van het ministerie kreeg. Tja, als iemand op zo’n positie zo’n houding aanneemt, is dat een verloren zaak. Dit voorbeeld mag ik nu noemen, omdat het destijds in de publiciteit kwam en omdat Verhagen niet meer op die positie zit. Maar veel van wat ik nu meemaak, kan ik uiteraard niet vertellen. Ook Angela Merkel zelf gaat niet helemaal vrijuit, want die is te lang verknocht geweest aan haar oude partijtelefoon, zo’n oude Nokia. Kijk, die security officer hoeven wij niet te overtuigen. Het gaat om de eindgebruiker, vanaf de CEO tot en met de persvoorlichter. Zolang er onvoldoende awareness is loop je grote risico’s dat er laconiek mee wordt omgegaan. En dat zie je op elk niveau.”
Weigering
Awareness-proces
Bij een grote partij als een ministerie heeft de security officer een belangrijke stem in de keuze van leverancier van communicatiemiddelen. Secure telefoons worden aangekocht, de mensen worden getraind, maar uiteindelijk bepaalt de eindgebruiker zelf of hij dat beveiligde toestel gebruikt of een consumentenexemplaar. De Muijnck vertelt over Maxime Verhagen tijdens diens ministerschap.
De juiste balans tussen veiligheid en gebruiksgemak blijft hierin van doorslaggevende betekenis. Wanneer veiligheid absolute prioriteit heeft, ontkom je er niet aan in te leveren op gebruiksgemak. “Een van onze producten is een sterk beveiligd toestel,” vertelt De Muijnck. “Daarmee kun je alleen contact leggen met mensen die eenzelfde toestel hebben. Deze end-to-end encryptie wordt gebruikt door mensen
Strenge eisen Het topsegment van security, end-to-end encryptie, vereist dat beide kanten van de communicatie met de Tiger-producten van Sectra werkt. Wel worden bestaande commerciële netwerken gebruikt. Deze telefoons, die Sectra Communications levert aan het topsegment, voldoen aan de strenge eisen van accreditatieorganisaties zoals NBV (Nationaal Bureau voor Verbindingsbeveiliging), diverse Europese instanties en de NAVO. Niet alleen de producten maar ook Sectra als bedrijf wordt hierbij gescreend op onderdelen als fysieke beveiliging en mensen. Hiernaast levert Sectra een product dat eveneens voldoet aan een bijzonder hoog niveau qua security, maar dat via bestaande smartphones kan worden aangeboden. Daar wordt dan een klein stukje hardware en software aan toegevoegd, waarmee de telefoon voor Departementaal Vertrouwelijk niveau gebruikt kan worden. Met hooguit twee extra authenticatiestappen beschikt iemand over een veel veiliger communicatiemiddel – met end-to-end encryptie – en over de volledige functionaliteit van een normale smartphone.
www.ictmagazine.nl
op sleutelposities zoals regeringsleiders of generaals. Juist omdat er drempels zijn, geven we awarenesssessies bij klanten. In een awareness-proces gaat iedereen drie fases door. Tijdens de eerste fase worden vooral de drempels ervaren, zoals het intoetsen van een pincode, of dat de ontvangende partij het veilige systeem moet aanzetten. In de tweede fase spreken mensen elkaar erop aan als ze contact zoeken over een open lijn. ‘Nu kunnen we niet over die ene case praten.’ De fase daarna bestaat voornamelijk uit een gevoel van vrijheid ‘We kunnen nu eindelijk vrijuit met elkaar praten, zonder die constante dreiging van dat je mogelijk wordt afgeluisterd.’ Dat is uiteindelijk wat wij doen, wij bieden iemand vrijheid.”
weer een crisis toeslaat, zijn wij beter dan ooit voorbereid op alle mogelijke klantvragen, zodat wij direct de juiste cryptomiddelen kunnen leveren, inclusief een awareness-sessie.” Jeroen de Muijnck, Managing Director bij Sectra Communications
“Dat is uiteindelijk wat wij doen, wij bieden iemand vrijheid” Mission pack
Check-up
Sectra Communication levert een awareness-sessie als onderdeel van een pakket om security naar een hoger niveau te liften. Helaas is er zelden ruimte voor een halfjaarlijkse herhaalsessie, vertelt De Muijnck. “Hierdoor komt de continuïteit van awareness in het gedrang. Met de MH17-ramp van afgelopen zomer kwam dat allemaal ineens in een stroomversnelling. Die mensen die in Oekraïne moesten werken, kwamen toen met een concrete klantvraag. Die wilden er toen zeker van zijn dat niemand met hen kon meeluisteren. In zo’n situatie hoeven we niet meer het waarom van security op dit niveau uit te leggen. Van die periode hebben wij geleerd dat we ad hoc moeten kunnen opschalen. Diverse partijen vanuit de overheid kwamen toen gelijktijdig bij ons met een acute vraag. Het is ons uiteindelijk gelukt om iedereen van dienst te zijn, maar dat was voor ons behoorlijk druk. Daarom hebben we er nu voor gezorgd dat er een mission pack klaarligt. In het onverhoopte geval dat er
Het bewustzijn van de noodzaak van security moet continu worden wakker gehouden. De Muijnck: “De MH17-ramp, afluisterschandalen, de openbaringen van Edward Snowden en redelijk recent nog de hack met de Gemalto simkaart. Dit alles is nog niet uit het nieuws verdwenen of we zien alweer dat de awareness aan het inzakken is. Ik zie het dan ook als mijn taak om het belang van security te blijven onderstrepen en dat doe ik graag. Lage awareness willen wij graag verhogen met vervolgsessies of trainingen. In de huidige praktijk reikt de continuïteit van security tot een reguliere check-up van de ingezette cryptomiddelen. Dat is vooral een technische aangelegenheid. Hoe mooi zou het zijn als we zo’n check-up ook konden invoeren met betrekking tot de awareness van security? Idealiter worden onze spullen gebruikt vanuit die awareness en niet omdat er een crisis gaande is. Wij hebben liever geen crises meer die ons punt bewijzen.”
SECURITY
27 12 mei 2015
Equinix Managed Services
Cloud & security
Innovaties volgen elkaar bij de overheid snel op. Veel van deze innovaties zijn ictgedreven. Ze creëren datastromen die in toenemende mate in een cloud-omgeving worden opgeslagen. Dat brengt forse beveiligingsuitdagingen met zich mee. De vaak privacygevoelige gegevens hebben een waterdichte security nodig – een feit waar toezichthouders en juristen telkens weer op hameren. In dit artikel laten we zien hoe Equinix, wereldmarktleider in datacenters, deze uitdagingen oppakt.
Datacenters van Equinix vormen perfect beveiligde omgevingen voor uw data. In Nederland staan deze datacenters in Amsterdam, Zwolle en Enschede in gebouwen waarin bedrijfskritische ict-apparatuur veilig is gehuisvest. Elk datacenter heeft uitgebreide fysieke beveiligingsmaatregelen, geavanceerde systemen voor klimaatbeheersing en brandbestrijding plus diverse noodstroomvoorzieningen. Al deze systemen zorgen ervoor dat de ict-apparatuur in het datacenter ook tijdens calamiteiten goed blijft functioneren. Bedrijfskritische en gevoelige data zijn dus volledig veilig opgeslagen.
Security Services (Next Generation Firewall, Anti DDoS, SIEM)
Networks / Operating System / Virtual layer / Configuration / Monitoring & Maintenance (NOC 24 x 7) Equinix Managed Services Dedicated Hardware (Servers, Routers, Switches, VPN)
Datacenter Services (Cabinets, Power, Cross Connects, etc)
Cloud-diensten en maatwerk
Alle Nederlandse datacentra van Equinix bieden de hoogst mogelijke fysieke beveiliging. De toegang tot de serverruimten zélf verloopt uitsluitend via sluizen met dubbele deuren. Deze deuren hebben badge readers om bevoegde personen te identificeren. Bezoekers mogen uitsluitend onder begeleiding van een Equinix-medewerker naar binnen. Elk datacenter wordt bovendien via camera’s bewaakt. Voor klanten die extra gevoelige informatie verwerken, zoals overheidsdiensten of betalingsproviders, bieden we extra afgeschermde en geblindeerde serverruimten. Deze hebben onder meer een kooi-in-kooi-opzet, extra hekken, beveiliging met infraroodstralen en camera’s, extra toegangscontrole en een stofdeeltjesalarm.
Voor velen is managed cloud-diensten een vaag begrip. Toch is het dat niet. Een ‘cloud’ is niets anders dan computercapaciteit die u via internet, een vaste verbinding of een digitale marktplaats benadert. Het betekent dat u data en rekenkracht elders onderbrengt. Bijvoorbeeld in een datacenter van Equinix. Equinix Managed Services is secure cloud integrator. Dat wil zeggen dat we op veilige wijze uw eigen computercapaciteit kunnen integreren met data en rekenkracht die u bij Equinix onderbrengt én met de data die u eventueel onder eigen beheer of bij een andere aanbieder afneemt. U kunt als klant van Equinix ervoor kiezen om uw data in Enschede, Zwolle, Amsterdam onder te brengen. Ook een verdeling over meer datacenters is mogelijk, bijvoorbeeld om een lagere latency van applicaties te bereiken, of om backup- en uitwijkvoorzieningen (disaster recovery) te creëren. Dit waarborgt de beschikbaarheid van uw data, ook bij calamiteiten, zodat het hart van uw organisatie blijft functioneren.
In Nederland heeft Equinix een bedrijf-in-het- bedrijf: Equinix Managed Services. Het levert een groot aantal aanvullende ict-infrastructuurdiensten in de Equinix-datacenters, zoals secure cloud, storage en netwerken. Equinix Managed Services biedt vrijwel altijd maatwerkoplossingen. Het zijn oplossingen op basis van actuele industriestandaards en bouwstenen uit de praktijk met een zeer hoge kwaliteit. Deze diensten omvatten twee abstracte infrastructuurlagen op de Equinix Datacenter Services. Zie figuur 1. De diensten bevatten zowel hardware voor co-locatie en hosting als diensten voor bijvoorbeeld beheer, security, configuratie, monitoring en onderhoud.
Equinix Datacenter Services
Figuur 1. Opbouw Equinix Managed Services infrastructuur
Fysieke security
Equinix Managed Services
Equinix Security Services
Security en informatiebeveiliging Bedrijven in Nederland verliezen miljoenen door cybercrime, ofwel het illegaal verkrijgen van data of het verstoren van ict-systemen, bijvoorbeeld met DDoS-aanvallen. Cybercrime vormt samen met digitale spionage (ook door overheden) een grote bedreiging voor organisaties. Equinix Managed Services heeft een breed palet aan diensten en
middelen om deze bedreiging te minimaliseren. Equinix Managed Services investeert onder andere in anti-DDoS-infrastructuur. Het is een systeem dat trends in dataverkeer analyseert en DDoSaanvallen kan onderscheiden van legitieme pieken in het dataverkeer. De technologie voor trendanalyse biedt meer mogelijkheden om de security-slagkracht te verhogen. Investeringen in dit werkveld nemen de komende jaren verder toe. Trendanalyse-beveiliging (SIEM – Security Information & Event Management) vult onze bestaande preventieve securitytechnologie aan. Daar horen ook Next Generation Firewalls en traffic-filters bij.
Certificeringen Security is meer dan techniek alleen. Het vergt robuuste processen in de organisatie en een volledige integriteitsgarantie van medewerkers, bijvoorbeeld via screening, een VOG en geheimhoudings clausules. Op alle punten voldoet Equinix hierbij aan internationale normen. Sterker nog: het is ons beleid. We investeren continu om te blijven voldoen aan de meest recente ISO-certificeringen. Zo beschikken wij over de volgende certificeringen: • ISO 9001:2008 (beheer en borging van kwaliteit in de organisatie) • OHSAS 18001:2007 (Britse norm voor de gezondheid en veiligheid van medewerkers op de werkvloer) • ISO/IEC 27001:2013 (de internationale standaard voor informatiebeveiliging)
• ISO 50001:2011 (de internationale standaard voor de omgang met energie en voor het terugdringen van energieverbruik) • ISO 14001 (milieubeheer en het in kaart brengen van het risico op schade aan het milieu) • PCI-DSS (de norm voor databeveiliging in het betalingsverkeer via creditcards en pinpassen). • SSAE16/ISAE3402 (de norm voor serviceorganisaties die aanvullende informatie rapporteren aan accountants over hun interne controle)
Patriot Act De Patriot Act geeft de Amerikaanse overheid verregaande juridische bevoegdheden om de gegevens die in datacenters liggen opgeslagen, in te zien. Voor veel Europese klanten is dit een bron van zorg. Equinix Managed Services garandeert dat uw data binnen de Nederlandse landsgrenzen blijft en uitsluitend in Equinix-datacenters in Amsterdam, Zwolle en Enschede is ondergebracht. Een eventueel verzoek tot gegevensvordering uit de USA is juridisch volledig geblokkeerd, aangezien de Nederlandse activiteiten van Equinix buiten deze invloedsfeer vallen.
Meer informatie Cloud & security vormen de hoofdthema’s in het dienstenpakket van Equinix Managed Services. In dit artikel hebben we ons beperkt tot deze thema’s. Equinix is al jaren partner van diverse Nederlandse overheidsorganisaties en bedrijven, maar gaat wereldwijd veel verder: Equinix heeft ruim 100 grootschalige datacenters die de hoogste niveaus aan gegevensbeveiliging, beschikbaarheid en kwaliteit bieden. Deze datacenters staan in 32 markten, verspreid over vijftien landen in Amerika, EMEA en Azië-Oceanië. De vijf Nederlandse vestigingen zijn verspreid over Amsterdam, Enschede en Zwolle. Wilt u meer weten over Equinix Managed Services? Neem contact op met Equinix Managed Services via inhousesales.nl@eu.equinix.com of via +31 (0)53 750 30 51. We staan u graag te woord.
www.ictmagazine.nl
28
SECURITY
12 mei 2015
Voorkomen is beter dan genezen Continuous Security Monitoring vanuit de cloud
door: Wolfgang Kandek Bedrijven realiseren zich steeds vaker dat traditionele beveiligingsmethoden niet langer werken tegen de dynamiek van cyberbedreigingen. Daar komt bij dat deze methoden bedrijven vaak beperken in hun schaalbaarheid. Door het groeiende aantal apparaten en de toename van het gebruik van de cloud, worden infrastructuren van bedrijven steeds heterogener. Security managers moeten tegenwoordig zowel de fysieke datacentra als ook de virtuele en remote datacentra van de organisatie beschermen. Dit vormt een nieuwe, gecompliceerde beveiligingslaag tegen cyberaanvallen.
De internationalisering en hogere mobiliteit van medewerkers zijn eveneens van invloed op de complexiteit van de bedrijfsbeveiliging. Werknemers en apparatuur bevinden zich niet langer op één plek, maar in verschillende kantoren (vaak in verschillende landen), onderweg en bij klanten. Inzicht in de informatie die bij een organisatie binnenkomt en uitgaat is daardoor moeilijk te controleren. Hoe meer kantoren hoe meer hardware en endpoints binnen een organisatie.
Het risico van endpoints Mobiele endpoints waren zelfs voor de opkomst van de cloud en BYOD al lastig te beveiligen vanwege hun mobiele karakter. Nu krijgen endpoints overal toegang tot het bedrijfsnetwerk; direct, via een netwerk van een provider of via een draadloos (openbaar of beveiligd) Wi-Fi-netwerk. Het aantal endpoints is enorm toegenomen en zal nog meer toenemen: naast de desktop zijn er nu ook laptops, tablets, smartphones, printers en smartwatches. Wanneer de beveiligingsoplossing van een organisatie deze endpoints niet continu in de gaten houdt, kunnen beveiligingsproblemen over het hoofd worden gezien. Door de toenemende mobiliteit hebben apparaten die worden gebruikt om op afstand te werken soms dagen of weken geen verbinding met het bedrijfsnetwerk. Veelal zijn de huidige beveiligingstools die organisaties gebruiken niet ingericht of niet in staat om de activiteit van deze apparaten te monitoren
wanneer zij zich buiten het bedrijfsnetwerk bevinden. Daardoor is het niet mogelijk om te bepalen of het apparaat of de applicatie beschikt over de laatste beveiligingsupdate of kwetsbaar is voor cyberaanvallen.
De gevolgen van de cloud Omdat we steeds meer werken in de cloud, is het voor bedrijven belangrijk om snel te reageren op beveiligingsbedreigingen. Het belang van continue beveiliging neemt toe door de nieuwe methoden van cyberaanvallen, zoals via lekken in cloud-applicaties. De enige manier om een bedrijf effectief te beveiligen tegen cyberaanvallen, is met een cloud-georiënteerde beveiligingsarchitectuur die continu kan monitoren en informatie kan verzamelen in elk type omgeving. Maar voordat de overstap gemaakt wordt naar continue beveiliging, dienen de grootste beveiligingsuitdagingen voor de organisatie in kaart worden gebracht.
Asset Tagging Een van de grootste zakelijke beveiligingsuitdagingen is asset discovery. Hoe kun je systemen beveiligen als je niet weet dat het bestaat? Helaas is er op dit moment nog geen hulpmiddel te koop waarmee je één compleet overzicht van je assets krijgt. Met een accurate en up-to-date inventarisatie van je it-assets door asset tagging kom je echter al een heel eind. Met geautomatiseerde asset discovery en manage-
De ethiek van cyberbeveiliging De discussie over het wel of niet bekend maken van zwakke plekken in computersystemen, werd recent weer aangewakkerd door het besluit van Microsoft om te stoppen met zijn publieke notificatiesysteem. Tegelijkertijd besloot Google om details te publiceren over een beveiligingsprobleem in Windows, de dag voordat Microsoft de oplossing bekend maakte. Moeten we beveiligingsproblemen nu wel of niet vrijgeven? En zo ja, binnen welke termijn? Dienen we als security community misschien het proces van bekendmaken van vulnerabilities te heroverwegen? In het geval van full disclosure maakt een beveiligingsonderzoeker een probleem zo snel mogelijk publiekelijk, omdat mogelijke slachtoffers van een cyberaanval ethisch gezien net zoveel recht hebben op deze informatie als hun hackers. Bij responsible disclosure wordt het beveiligingsprobleem pas bekend wordt gemaakt als er een oplossing is, omdat cybercriminelen vaak sneller een aanval uitvoeren, dan dat er een oplossing voor het probleem beschikbaar is. Hierbij moet de beveiligingsonderzoeker het probleem op vertrouwelijke wijze rapporteren aan het desbetreffende bedrijf. Daarnaast moeten hij en het bedrijf in goed vertrouwen een periode bepalen waarin een oplossing wordt ontwikkeld. En tot slot maakt de onderzoeker, wanneer de oplossing beschikbaar is, het probleem dan publiekelijk bekend. Aangezien er dagelijks belangrijke beveiligingsproblemen worden in veelgebruikte software, is het duidelijk: deze discussie dient opnieuw gevoerd te worden.
www.ictmagazine.nl
ment monitor je voortdurend welke assets je organisatie binnenkomen en uitgaan. Zo wordt het veel eenvoudiger om een veilige omgeving te behouden.
Wel zijn veelvoorkomende zwakke plekken te detecteren met een automatische scanner, waarmee bedrijven beveiligingsproblemen kunnen inschatten, volgen en herstellen.
Vulnerability Management Solution
Continue beveiliging
Inzicht krijgen in het bedrijfsnetwerk is nog niet zo eenvoudig, vooral met de huidige virtuele netwerken en kantoren op afstand. De meeste systemen binnen een bedrijf maken gebruik van een internetverbinding, maar vaak blijft verborgen welke informatie het netwerk binnenkomt of verlaat. Met continue monitoring beoordeel je niet alleen accuraat je netwerkomgeving, maar krijg je ook het broodnodige inzicht in de data die zich via het netwerk verspreiden, door automatisch te scannen op kwetsbaarheden.
We zeiden reeds dat endpoints door hun grotere bereik altijd een uitdaging zijn geweest voor bedrijven. Met de mobiliteit van de huidige endpoints is het moeilijk om te zien wat er wordt gedownload, welk proces er loopt via deze endpoints en welke poorten zij misschien hebben geopend. Feit is dat, wanneer een endpoint geïnfecteerd is, het dagen of zelfs maanden kan duren om dit ontdekken, tenzij er continue monitoring plaatsvindt. Een hulpmiddel dat de overweging waard is, is een analysetool die alle verkeer controleert van en naar een webserver op het openbare internet. Uiteindelijk moet een organisatie zichzelf kunnen beschermen tegen verschillende soorten aanvallen, of er nu sprake is van een wereldwijde hack waarbij de hackers geen speciaal doel hebben, of een doelgerichte aanval om specifieke informatie of data te onderscheppen. Met een succesvol beveiligingsprogramma richt een organisatie zich op het beheer van beveiligings patches, continue monitoring en het verzamelen van intelligentie door te kijken naar alle veranderingen die plaatsvinden binnen de infrastructuur van een bedrijf. Een cloud-georiënteerde beveiligings architectuur kan al deze mogelijkheden bieden en stelt organisaties in staat om hun meest waardevolle assets continu te beveiligen.
Kwetsbare webapplicaties Kwetsbaarheden in webapplicaties vormen, als ze niet worden gepatcht of opgelost, een belangrijk risico voor de applicaties en data van een bedrijf. Sterker nog, zwakke plekken in webapplicaties zijn op dit moment de belangrijkste oorzaak van ruim 55 procent van alle serverbeveiligingsproblemen. Webapplicaties hebben verschillende zwakke plekken. Bij veel cyberaanvallen worden zogeheten ‘fault injections’ gebruikt, die profiteren van de kwetsbaarheden in de syntax en semantiek van een applicatie. Ook SQL injection en cross-site scripting worden vaak gebruikt. Gevolg van dit soort aanvallen is dat hackers controle krijgen over een applicatie en eenvoudig toegang hebben tot de server, database en andere back-end it-bronnen. Veel netwerkmanagers zijn niet op de hoogte van de zwakke plekken van webapplicaties die bij cyber aanvallen misbruikt worden door hackers om de traditionele netwerkbeveiligingen te omzeilen, tenzij een bedrijf bewust tegenmaatregelen neemt. Helaas is daar nog geen wondermiddel voor verkrijgbaar.
Wolfgang Kandek is Chief Technical Officer, Qualys
SECURITY
29 12 mei 2015
“Zorg dat organisaties geen ‘sitting duck’ zijn voor cybercriminelen” EXIN richt zich op ict-security
Wie denkt aan bankroof ziet mannen met maskers voor zich die met geweld de bankkluis leeghalen. Toch pleegden computerhackers eerder dit jaar de grootste bankroof aller tijden: in de loop van enkele maanden werd meer dan driehonderd miljoen dollar buitgemaakt bij honderden banken in verschillende landen. De schade voor de wereldeconomie veroorzaakt door cybercrime bedraagt $375 tot $575 miljard per jaar (bron: McAfee). In Nederland alleen al bedragen de kosten zo’n 8,8 miljard. Bedrijven zullen constant hun securitymaatregelen moeten blijven aanscherpen om hackers zo min mogelijk kans te geven. Maar hoe? En hebben ze hiervoor wel de juiste mensen in huis die van security hun vak hebben gemaakt? En hebben hun ict-professionals de juiste competenties?
ICT Security Portfolio Exameninstituut EXIN ontwikkelt dit jaar een ICT Security Portfolio, bestaande uit diverse certificeringen op het gebied van ict-security, zodat bedrijven op verschillende gebieden en niveaus security kunnen inrichten en onderhouden. “Cybersecurity incidenten zijn aan de orde van de dag,” weet Bernd Taselaar, CEO van EXIN.“Het gebeurt elk uur, elke seconde. De jaarlijkse kosten lopen in de miljarden en dat zal alleen maar stijgen. EXIN ziet een grote vraag naar kwalitatieve securitycertificeringen in de ict-markt.” De nieuwste certificering binnen het Security Portfolio is de Ethical Hacking Foundation. Dit gaat over het zoeken naar zwakke plekken in software en systemen, gebruikmakend van dezelfde methoden als een criminele hacker. Op die manier kunnen kwetsbaarheden worden vastgesteld en gerepareerd voorafgaand aan de release. Taselaar: “Ethical Hacking Foundation bewijst dat EXIN in staat is om de juiste ict-certificeringen op het juiste moment te leveren. Cybersecurity zal een hot topic blijven in 2015 en daarna. We hadden al het Information Security based on ISO/IEC 27002 certificeringsprogramma, dat zich richt op het managen van security. Nu breiden we ons Security Portfolio uit om ook rekening te houden met de groeiende behoefte aan securitycertificering die zich richt op programmeurs en testers. De e-CF principes die onderdeel zijn van de EXIN examens zorgen ervoor dat de certificaten voldoen aan de marktverwachtingen.”
Governance EXINs Portfolio manager Suzanne Galletly licht het Security Portfolio verder toe. “Bedrijven kunnen verschillende middelen inzetten om zich weerbaar te maken tegen cybercrime. Maar het zal hier altijd gaan om het inzetten van de juiste mensen voor de juiste taken.” EXINs Security Portfolio biedt certificeringen voor de verschillende rollen en gebieden binnen een bedrijf. Bijvoorbeeld op het gebied van governance: interne en externe risico’s van de organisatie moeten in kaart worden gebracht. Vervolgens moeten er maatregelen worden genomen om te zorgen dat de continuïteit van het bedrijf gewaarborgd is in geval van een onvoorziene gebeurtenis. Hiervoor wordt de EXIN Business Continuity Management certificering ontwikkeld, gebaseerd op de ISO 22301 standaard voor Business Continuity Management.
procent van alle data de laatste twee jaar geproduceerd – is het belangrijk dat organisaties weten hoe gegevens voldoende te beschermen. Dit is vooral relevant in sectoren waar het om gevoelige gegevens gaat, zoals Finance en Gezondheidszorg. Het bedrijfsleven wordt hard gestraft als ze zich niet aan de privacy wet- en regelgeving houden, zoals bleek in 2014 toen het Nederlandse College Bescherming Persoonsgegevens sancties tegen Google uitvaardigde die kunnen leiden tot een boete van maximaal 15 miljoen euro. Galletly: “Met gecertificeerde professionals kunnen zakelijke risico’s van organisaties wat het schenden van privacywetgeving betreft verminderd worden. EXINs Data Privacy programma omvat de vereiste kennis van de strenge Europese wet- en regelgeving betreffende de bescherming van persoonsgegevens. Maar ook hoe data privacy risico’s binnen een organisatie in kaart te brengen, zodat de nodige corrigerende maatregelen kunnen worden genomen.” EXIN verwacht de eerste examens van dit programma al in juli af te nemen.
Veel aanvallers azen op de menselijke zwakheid binnen organisaties Voor Risk Management, het minimaliseren van risico’s en het uitbuiten van kansen, biedt EXIN het Management of Risk (MoR) certificeringsprogramma aan. Ook ICT Asset Management is een belangrijk onderdeel van het Governance. Dit geeft een organisatie controle over alle soorten activa, zoals infrastructuur, menselijk kapitaal, informatie en diensten. EXIN introduceert later dit jaar een compleet certificeringsprogramma voor ICT Asset Management.
Data privacy Een bijzonder onderwerp is data privacy. Met de recente explosie van data – naar schatting is 90
De menselijke factor Management kan dus veel doen om risico’s te beperken. En het personeel? Cyberaanvallen worden uitgevoerd door mensen, dus is ook de beveiliging afhankelijk van mensen. Een van de belangrijkste bevindingen van IBMs 2014 Cyber Security Intelligence Index is dat 95 procent van alle beveiligingsincidenten veroorzaakt worden door menselijke fouten. Veel aanvallers azen op de menselijke zwakheid binnen organisaties en proberen medewerkers te verleiden onbewust gevoelige informatie vrij te geven, of zelfs toegang tot die informatie te verschaffen. Het is dus essentieel dat medewerkers
van de organisatie, in allerlei functies en op alle niveaus, zich bewust zijn van de veiligheidsrisico’s en van hun rol bij het beschermen van waardevolle informatie van hun organisatie. Galletly licht toe: ”Het EXIN Information Security Management based on ISO/IEC 27002 programma bevat certificeringen die niet alleen gericht zijn op ict’ers, degenen die informatie beheren, maar op alle gebruikers van informatie. Door álle mensen in je bedrijf bewust te maken van risico’s en van hun eigen handelen, zet je als werkgever al een hele belangrijke stap in de richting van weerbaarheid tegen cybercrime en securityschendingen.”
Sitting Duck Wél specifiek voor ict’ers werd eind 2014 het examen Secure Programming Foundation gelanceerd. Dit examen heeft betrekking op de principes van het ontwerpen van veilige software. Het certificaat geeft programmeurs de bevestiging dat ze de juiste competenties hebben om software te ontwerpen die, ook al vroeg in de ontwerpfase, minder kwetsbaar is voor cyberaanvallen. Galletly: “Secure Programming sluit precies aan bij Ethical Hacking. De ontwikkelaar zal bij het programmeren al Security maatregelen inbouwen om op die wijze minder kwetsbare software af te leveren. Zijn collega, de ethical hacker gaat vervolgens testen of dat gelukt is, gebruikmakend van dezelfde methodes als een criminele hacker. Dit is de enige manier om te testen of het echt veilig is! Zo niet, dan kan het programma al gefixt worden voordat het live gaat. Deze aandacht voor de preventie van cyberaanvallen zal ervoor zorgen dat organisaties niet langer ‘a sitting duck’ zijn voor cybercriminelen.” Tevens zal EXIN dit jaar een Cyber Crime examen ontwikkelen: wat is cybercrime, hoe kan het worden voorkomen en hoe kan de schade na een aanval zoveel mogelijk beperkt worden? Kortom, het complete portfolio op het gebied van (cyber) security en governance kan ervoor zorgen dat binnen een organisatie beveiliging van data de volle aandacht heeft tijdens alle fasen van de ictlifecycle, op alle niveaus, bij alle medewerkers, ict’ers en niet-ict’ers.
www.ictmagazine.nl
30
BEDRIJFSNIEUWS
12 mei 2015
Equinix opent 5 nieuwe datacenters Onlangs opende Equinix Inc. een nieuw datacenter in Slough, nabij Londen. LD6 is het zesde datacenter van Equinix in Groot Brittannië en maakt deel uit van de mondiale expansie van Equinix in belangrijke financiële en economische markten. De afgelopen weken zijn vijf nieuwe datacenters geopend, waaronder New York, Singapore, Melbourne en Rio de Janeiro. Dit vergroot de beschikbare dataopslag capaciteit van Equinix op strategische internetknooppunten met meer dan één miljoen vierkante meter; een uitbreiding van meer dan 10 procent. De totale investering wereldwijd bedraagt $227 miljoen. LD6 is het vlaggenschip van Equinix in Groot Brittannië. De realisatie van het datacenter komt tegemoet aan de explosieve vraag naar interconnectie-capaciteit in de regio. LD6 is het derde datacenter op de Equinix Slough Campus, het onder-
komen van de London Internet Exchange (LINX). Met name voor de financiële sector is de Slough campus van groot belang. In totaal maken meer dan 170 financiële instellingen gebruik van het datacenter, een kwart van alle Europese aandelentransacties vindt daarmee plaats binnen de datacenters van Equinix. LD6 heeft de status van ‘Gold Leadership in Energy & Environmental Design’ (LEED) – de op één na hoogste status voor duurzame gebouwen. Lees meer op www.ictmagazine.nl
govroam sluit meer Rijk, provincies en gemeenten aan
Het ministerie van OCW, het ministerie van EZ, de Belastingdienst, Rijkswaterstaat, de provincie Gelderland, stichting ICTU en stichting Geonovum hebben besloten deel te nemen aan govroam. De gemeenten Den Haag, Arnhem, Deventer, Heerlen, Rheden en Tilburg deden al mee aan het project. govroam geeft ambtenaren veilig en eenvoudig toegang tot Wi-Fi-netwerken bij overheidsorganisaties. De keuze van zowel Rijk, provincies als gemeenten voor govroam betekent een doorbraak van dit initiatief. Zo maakt slimme ICT het
binnen de hele overheid gemakkelijker om samen te werken. govroam biedt medewerkers veilige toe gang tot internet bij de eigen organisatie én bij andere overheidsorganisaties die deelnemen aan govroam. Dit gebeurt door toegangsauthenticatie voor Wi-Finetwerken onderling te koppelen. De standaard is gebaseerd op eduroam uit het onderwijs dat inmiddels wereldwijd al meer dan tien jaar in gebruik is en dagelijks door twintig miljoen mensen gebruikt wordt. SURFnet, de initiatiefnemer van eduroam, is nauw betrokken bij de ontwikkeling van govroam. De stichting govroam, die het gebruik van de dienst onder overheden wil stimuleren, hoopt dat de komst van de nieuwe deelnemers bijdraagt aan een snelle groei van het aantal instellingen dat govroam gebruikt.
Sophos lanceert nieuwe databeveiliging per gebruiker Sophos maakt bekend dat Sophos Mobile Control 5 (SMC 5) nu beschikbaar is. SMC 5 maakt het mogelijk om per gebruiker het veiligheids- en databeleid in te stellen op alle drie de grote mobiele platforms en vereenvoudigt daarmee het beheer van mobiele apparaten aanzienlijk. Dankzij nieuwe beheeropties kan een beheerder gemakkelijk de persoonlijke en zakelijke informatie scheiden en versleutelen. Bovendien is het eenvoudig om toegang en beveiliging via geautomatiseerde taken in te stellen en dat scheelt tijd en geld. Normaal gesproken moet elk apparaat (laptop, tablet, iPad en smartphone) afzonderlijk geconfigureerd, geüpdatet en beheerd worden. Nu dankzij Sophos
www.ictmagazine.nl
Mobile Control 5 de regels per gebruiker beheerd kunnen worden, hoeven itmanagers maar één keer het beleid in te stellen, vanaf welke locatie dan ook. Daarmee is de beveiliging van de totale zakelijke content op het apparaat, of in de persoonlijke cloud, geregeld. SMC 5 heeft een nieuw ontworpen selfservice portaal en zorgt ervoor dat compliance met het corporate beveiligingsbeleid geen enkele moeite kost voor beheerder en eindgebruiker, op zowel iOS8-, Windows Phone- als Android-platforms.
Gemeenten krijgen grip op beveiliging met slimme software De digitalisering van de overheid gaat verder. En dus groeit het aantal mogelijkheden er misbruik van te maken. Zo werd Gemeente Lochem onlangs getroffen door ransomware, een virus dat computers digitaal kaapt om vervolgens losgeld te vragen. Eind vorig jaar overkwam Gemeente Den Haag hetzelfde. Op 10 februari jongstleden is het wetsvoorstel Meldplicht Datalekken door de Tweede Kamer goedgekeurd. Inbreuken op de informatiebeveiliging die leiden tot diefstal, verlies of misbruik moeten worden gerapporteerd aan het CBP en betrokkenen. Als een gemeente hier niet aan voldoet riskeert ze een boete tot maximaal 450.000 euro. Door dit soort maatregelen komt het onderwerp steeds hoger op de bestuurlijke agenda. Bovendien pushen organisaties als de VNG, de Informatie Beveiligings Dienst (IBD) en het CBP het thema met een overvloed aan informatie, regelgeving en richtlijnen, waaronder de Baseline Informatiebevei-
liging Gemeenten (BIG). Het ontbreekt veel gemeenten aan daadkracht. Naast de ruim driehonderd beveiligingseisen van de BIG zijn er namelijk nog afzonderlijke richtlijnen en normenkaders voor onder meer de BRP, Reisdocumenten, DigiD en Suwinet. Voldoen aan die eisen brengt nieuw en extra werk met zich mee. Vragenlijsten moeten worden ingevuld en zelfevaluaties uitgevoerd. Veel vragenlijsten overlappen echter, waardoor verantwoordelijken eigenlijk dubbel werk doen. Bedrijven springen in
op dit probleem en helpen gemeenten inzicht en overzicht te krijgen. Zo ontwikkelde Pepperflow (softwareontwikkelaar op het gebied van planning en control) de Module Informatieveiligheid met als uitgangspunt de ENSIA (Eenduidige Normatiek Single Information Audit) grondslag. In één oogopslag is te zien welke maatregelen moeten worden getroffen binnen welk domein én welke maatregelen uit de verschillende domeinen corresponderen. Daarmee blijven de voor informatiebeveiliging verantwoordelijken in control.
OKI breidt portfolio MFP’s uit met MC800-serie OKI Systems introduceert een nieuwe serie multifunctionele A3-kleurenprinters: de MC800. Beide modellen uit deze MFP-serie, de MC853 en de MC873, beschikken over een ingebouwd smart Extendable Platform (sXP). Dit is een platform met een open architectuur die het mogelijk maakt de devices naadloos te integreren in de documentstroom binnen kleine en middelgrote organisaties en het beheer van documenten te stroomlijnen. Hoewel de multifunctionals uit de MC800serie echte alleskunners zijn die zich prima lenen voor dagelijkse afdruktaken – in kleur of zwart-wit, op A3 of A4 – zijn ze bij uitstek geschikt voor document-intensieve taken. De specificaties van de hardware zijn daar volledig op afgestemd. De MC853 en MC873 combineren de betrouwbaarheid van OKI’s baanbrekende digitale LED-printtechnologie met de extra functionaliteit van duurdere copiers. Hierdoor vormen ze een kostenefficiënt alternatief, zeker voor kleinere bedrijven. De LED-technologie staat garant voor
afdruksnelheden tot 35 ppm en scansnelheden tot 50 apm. Het 17,5 cm LCD-kleuren touchscreen op de ergonomisch ontworpen devices heeft een gebruiksvriendelijk bedieningspaneel dat gepersonaliseerde gebruikersinstellingen toestaat. Een handig kantelmechanisme verhoogt de leesbaarheid van het scherm. Softwarematig zijn de MC853 en MC873 toegerust voor optimaal documentbeheer. Zo kunnen kopers van deze multifunctionals gratis geavanceerde applicaties downloaden als ABBYY FineReader Sprint en SENDYS Explorer Lite. AB-
BYY FineReader Sprint is een krachtig tekstherkenningsprogramma dat gebruikers in staat stelt papieren documenten, PDF-files en digitale foto’s snel en simpel om te zetten in gemakkelijk bewerkbare en doorzoekbare (tekst)bestanden in 190 verschillende talen. SENDYS Explorer Lite is een servergebaseerde oplossing voor documentbeheer die gebruikers de mogelijkheid biedt documenten uit allerhande bronnen te importeren en te converteren, en deze vervolgens te distribueren of naar een bepaalde locatie te uploaden.
Quint in 2015 wederom Worlds Best Outsourcing Advisor IAOP®, The International Association of Outsourcing Professionals, heeft dit jaar opnieuw de ranglijst bepaald van ’s werelds beste twintig outsourcingadviseurs. De onafhankelijke internationale vakjury van IAOP heeft Quint Wellington Redwood gewaardeerd met de hoogste score in twee van de drie categorieën: ‘Delivery Excellence’ en ‘Programs for Innovation’. Hiermee laat Quint, een van origine Nederlands adviesbureau, alle grote internationale adviesbureaus achter zich. Alle adviesbureaus zijn beoordeeld op vier essentiële kenmerken. Op deze kenmerken heeft Quint de hoogste score behaald: Customer References (19% boven marktgemiddelde), Company
Recognition (36% hoger), Company Certification (74% hoger) en Programs for Innovation (122% hoger).
ontvangt Quint de Full Star – Highest Rated en is daarmee het best beoordeeld van alle adviesbureaus.
Nieuw dit jaar is het geven van extra waardering op de elementen Delivery Excellence (waardecreatie voor klanten en de ontvangen erkenning binnen de bedrijfstak en relevante professionele certificaten op organisatie- en individueel niveau) en Programs for Innovation (innovatieprogramma’s die nieuwe vormen van waarde creëren voor de klant en de markt). Op beide onderdelen
The World’s Best Outsourcing Advisors maakt deel uit van The 2015 Global Outsourcing 100 ® dat tevens een ranking van serviceproviders bevat. De volledige uitkomsten van de jurybevindingen zijn te vinden op www.iaop.org. De uitkomsten worden begin juni 2015 gepubliceerd in een speciale editie van FORTUNE® Magazine.
Lees meer bedrijfsnieuws op www.ictmagazine.nl
31
KALENDER
12 mei 2015
Colofon iM - ICT/Magazine Hét vakblad voor bestuurders, managers en it-professionals Editie 5 - 12 mei 2015 Jaargang 5 ICT/Magazine verschijnt 1 x per 4 weken Online: www.ictmagazine.nl Abonnementen en adreswijzigingen abonnementen@dnu.nl
ICT/Magazine is een uitgave van: De Nederlandse Uitgeefgroep BV Postbus 151 7400 AD Deventer Staverenstraat 13 7418 CJ Deventer T (0570) 61 11 00 F (0570) 61 11 52 E info@dnu.nl W www.dnu.nl facebook.com/ICTmagzineNL Uitgever Geerhard Ellens Eindredacteur Ed Lute e.lute@dnu.nl Productie coördinatie Elise van Zuylen productie@dnu.nl Redactie en medewerkers Jasper Bakker, Lex Borger, Lotte de Bruijn, Mirjam Hulsebos, Adriaan Meij, Menzo Meijer, Lisa Mooijman, Peter Olsthoorn, Bart Stofberg, Fred Teunissen, Brenno de Winter redactie@dnu.nl Redactie uitgelicht (ingezonden bijdragen vallen buiten verantwoordelijkheid van de redactie) Uitgelicht: ictmedia@dnu.nl Bedrijfsnieuws: bedrijfsnieuws@dnu.nl Fotografie Harm ten Brink, Ron Hendriks, Photo Patrick, Sjansjee Deventer, Johan Wouters, Nicolien Sijtsema, Rutger Oosterhoff. Commercieel advies Sjoerd Springer, John van Pelt. ictmedia@dnu.nl +Ontwerp en vormgeving Rutger Oosterhoff, LONCC BV www.loncc.com Druk Senefelder Misset www.senefelder.nl Afwerking Sikkens grafische afwerkers www.sikkensdeventer.nl Verspreiding ICT/Magazine richt zich op het hoger management en senior it-management bij Nederlandse bedrijven (MKB en grootzakelijke markt) en non profit organisaties (gemeenten, provincies, ministeries, mbo/hbo/universiteiten, zorg/welzijn/ziekenhuizen, woning corporaties). ICT/Magazine bereikt ruim 30.000 beslissers bij organisaties met 100 of meer werknemers. De uitgave wordt verzonden aan managers IT/ICT/ automatisering, informatievoorziening, CIO’s, CFO’s, CTO’s en CEO’s. Daarnaast bereikt de uitgave ruim 3000 beslissers bij de belangrijkste ict-bedrijven op de Nederlandse markt. ©DNU 2015
CONGRESSEN Meer informatie en aanmeldingsformulier: WWW.ICTMAGAZINE.NL/KALENDER
Cloud Vision 28 mei, Apeldoorn De cloud: waar gaat dat allemaal naartoe en wat moeten we ermee? Vragen die iedere dag weer spelen rondom ict-omgevingen die steeds efficiënter, flexibeler en robuuster dienen te zijn. Tijdens het congres ‘Cloud Vision’ laten onze partners (Microsoft, Citrix, AppSense, Nutanix en anderen) zien wat de ontwikkelingen rondom de cloud zijn richting 2020. Welke nieuwe technologieën kunt u verwachten en welke (on)begaanbare wegen dient u te volgen om uw ICT te laten voldoen aan de hedendaagse eisen vanuit de eindgebruiker. TechDays 2015 28 mei, Den Haag
devices en applicaties vormt een belangrijke succesfactor en kan zelfs een showstopper worden. Daarnaast wordt het steeds belangrijker om optimaal beveiligd te zijn in een wereld waar cyberattacks aan de orde van de dag zijn. Hoe zorg je ervoor dat jouw organisatie klaar is voor deze ontwikkelingen? En dat het niet alleen bij praten blijft? Hoe borg je dat de enterprise mobility strategie ook echt geïmplementeerd wordt in jouw organisatie? Het Enterprise Mobility congres geeft u stapsgewijs inzichten in hoe u uw organisatie op deze ontwikkelingen kunt voorbereiden.
ICT Zonder Kopzorgen Cloud & Security 2 juni, Almere Tijdens de speciale themamiddag Cloud & Security, uit de ICT zonder Kopzorgen reeks van Unica Schutte ICT, presenteren verschillende specialisten de huidige en toekomstige kwesties met betrekking tot de veiligheid van de cloud. Daarmee krijgt u in één middag talrijke praktische inzichten die u kunt gebruiken in uw overwegingen om naar de cloud te gaan, of uw cloud-strategie verder te versterken. SHIFT15 3 juni, Den Haag Het is niet meer de vraag of u als organisatie met de cloud te maken krijgt, maar eerder in welke vorm en wanneer. Hoe pakt u dit concreet aan? Wat betekent het voor uw organisatie? Hoe gaat u om met de kansen en uitdagingen die de cloud voor uw organisatie introduceert? Het congres SHIFT is gericht op architecten en it-managers en helpt hen bij de beweging naar en het managen van de cloud. Het ochtendprogramma gaat over hoe u de beweging naar de cloud maakt. Tijdens het middagprogramma staat het managen van de cloud centraal. Belangrijke onderwerpen die tijdens het congres besproken worden, gaan onder andere over: juridische aspecten, privacy, inkoop van cloud-services, governance, veiligheid en continuïteit. Enterprise Mobility congres 2015 Making mobility work 11 juni, Den Haag Over vijf jaar zal het overgrote deel van de medewerkers de eigen devices voor zakelijke doeleinden gebruiken (BYOD) en zullen organisaties nog diverser zijn samengesteld. Het gebruiksgemak van
Webshop.com: Vertrouwen in online business 21 mei, Almere Tijdens het voorjaarseminar staan we stil bij actuele trends en ontwikkelingen rondom e-business en de impact op de rol van de it-auditor in dat verband. Met presentaties, praktijktoepassingen en workshops. Cloud4Wi Seminar – MonitizingWi-Fi 22 mei, Houten
Privacy Trainingen: Certified Information Privacy Professional EU (CIPP/E)
Tijdens deze nieuwe editie van TechDays gaan we de diepte in op een vele aandachtsgebieden door middel van onder andere 150 sessies. Nieuw dit jaar is het Intel innovatie podium, waar korte interactieve en innovatieve sessies plaatsvinden. In het Ask me Anything gebied kunt u in discussie gaan met sprekers, Microsoft experts en bedrijven over diverse topics. In de Microsoft wereld laten wij zien wat er zich allemaal afspeelt bij Microsoft. Het Intel device eiland is ook zeker een bezoekje waard.
met onder andere Cisco/Composite Software, Denodo, IBM, Informatica, RedHat en Stone Bond.
Certified Information Privacy Manager (CIPM) Certified Information Privacy Technologist (CIPT)
In dit seminar behandelen wij de commerciële mogelijkheden die de Cloud4Wi hotspot software biedt. Aan de hand van verschillende voorbeelden uit de praktijk laten wij u zien hoe u de verschillende opties van Cloud4Wi kunt positioneren bij uw klanten. Hierbij zoomen wij verder in op de mogelijkheden die Wi-Fi biedt voor retail, hospitality, evenementen, recreatie en meer. Wi-Fi Seminar 05 juni, Houten
Data Modeling Zone 2015 28 september, Hamburg Data Modeling Zone (DMZ) is the conference where attendees can sharpen their data modeling skills and share experiences with other data modelers, analysts, architects and database experts.
SEMINARS Meer informatie en aanmeldingsformulier: WWW.ICTMAGAZINE.NL/KALENDER
Seminar ‘De werking en het belang van DNSSEC’ 21 mei, Ede Wij nodigen u van harte uit voor het seminar ‘De werking en het belang van DNSSEC’ op donderdag 21 mei. De crypto grafische beveiliging voegt een extra beschermingslaag toe aan het bestaande DNS-protocol. BIT is één van de weinige launching partners van DNSSEC binnen Nederland. Wat betekent deze vorm van beveiligen voor gebruikers? Datavirtualisatie voor flexibele BI-omgevingen 21 mei, Hilversum Dit seminar richt zich op het belang van een flexibele BI-omgeving. De snelheid waarmee bedrijfswensen veranderen vereist dat snel geïntegreerd wordt en dat de oplossing makkelijk aan te passen is. Een van de technologieën die zich op dit terrein bewezen heeft is datavirtualisatie. In één middag worden de voordelen van datavirtualisatie uitgelegd, producten vergeleken en toepassingsgebieden besproken. Ook wordt de relatie met gerelateerde onderwerpen, zoals datawarehousing, Master Data Management, Data Governance en SOA besproken. Aan bod komen onder andere Open versus Closed datavirtualisatie servers en een uitgebreid productoverzicht,
Wi-Fi wordt overal toegepast, het is veelzijdig en de rol van Wi-Fi zal in de toekomst alleen nog maar groter worden. Door de verschillende technieken die er zijn, biedt het vele mogelijkheden. Onze pre-sales engineers nemen u graag mee in dit interactieve seminar om alle ins en outs over Wi-Fi te leren. Er wordt tijdens dit seminar een koppeling gemaakt naar de praktijk. Waar u bijvoorbeeld op moet letten bij uw draadloze projecten. Alcadis heeft al veel projecten succesvol afgerond dankzij onze professional services. Daarnaast zullen er tijdens het seminar producten van onder andere EnGenius, Ruckus Wireless en Alcatel-Lucent aan bod komen en in welke situatie deze optimaal ingezet kunnen worden. Masterclass Google Analytics 25 juni, Veenendaal Meten is weten, maar weet je eigenlijk wel wat je meet? Niet alleen het rapporteren van data maar het kunnen interpreteren en hierop sturen, is waar het om draait. Leer het om statistieken te vertalen naar verbetering van je website en behaal meer conversies
CURSUSSEN/WORKSHOPS Meer informatie en aanmeldingsformulier: WWW.ICTMAGAZINE.NL/KALENDER
Mobile Security 26 mei, Woerden Met het volgen van deze opleiding Mobile Security krijgt u een (diepgaand) inzicht in alle aspecten die te maken hebben met de beveiliging van mobile devices. De opleiding haakt in op de actualiteit waardoor u in staat wordt gesteld de mobiele bedreigingen binnen uw organisatie te vertalen naar risico’s en daarop adequaat in te spelen. Deze opleiding is bedoeld voor cursisten die zich verder willen verdiepen in alle aspecten van mobile security, de dreigingen ervan en welke maatregelen/mogelijkheden ter beschikking staan.
Opleiding Big Data Fundamentals 22 mei, Amsterdam De verkorte opleiding Big Data Fundamentals geeft u een volledige en toepasbare introductie van de impact van big data binnen uw organisatie. Zowel praktisch als theoretisch komen alle aspecten van A tot Z aan bod. Benut deze opleiding als springplank om uw eigen big data team samen te stellen en uw project vorm te geven. Trends in Business en IT 2 juni, Amersfoort In deze actuele vijfdaagse training leert u welke it-ontwikkelingen waarde kunnen toevoegen aan uw (it-)organisatie. U doorloopt cases uit andere organisaties die laten zien hoe u met behulp van een slimme inzet van een it-trend meerwaarde realiseert voor uw business. Uw docenten zijn allen verbonden aan top it-adviesbureaus. Daarnaast wordt gebruikgemaakt van gastsprekers uit toonaangevende bedrijven en instellingen. Cyber Security 23 juni, Soesterberg Het gaat er tegenwoordig niet meer om of uw organisatie gehackt gaat worden, maar om hoe u zo snel mogelijk een aanval ontdekt. Het verkorten van de detectieperiode kan ook uw organisatie inhoudelijk en financieel gewin opleveren. Heeft u helder wat u wilt detecteren en welke detectiemethodes mogelijk zijn binnen uw it-omgeving? Deze tweedaagse training geeft u nieuwe en unieke inzichten in de alledaagse problematiek die u als cybersecurityprofessional tegenkomt.
Data Modeling Zone Europe Hamburg 28-29 september Bekijk de agenda op www.bi-podium.nl Workshop Cloud security 25 juni, Amsterdam Cloud is mooi en de toekomst, maar realiseert u zich dat u grip en controle kan verliezen als alles maar in de cloud verdwijnt? Middels deze workshop Cloud Security laten wij u zien dat het ook anders kan met Netskope. In samenwerking met onze partner Netskope verzorgen wij een Workshop Cloud Application & Security, waarbij wij u laten zien hoe u het ultieme inzicht en controle kan krijgen over al uw cloudapplicaties, gebruikers, content, threats en risico’s middels een live omgeving.
© Copyright 2015 / algemene voorwaarden Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, zonder voorafgaande schriftelijke toestemming van de uitgever of andere auteursrechthebbenden. Op alle aanbiedingen en overeenkomsten van DNU BV zijn van toepassing de voorwaarden welke zijn gedeponeerd bij de kamer van Koophandel te Apeldoorn. Uitgever en auteurs verklaren dat deze uitgave op zorgvuldige wijze en naar beste weten is samengesteld, evenwel staan zij op geen enkele wijze in voor de juistheid of volledigheid van de informatie. Uitgever en auteurs aanvaarden dan ook geen enkele aansprakelijkheid voor schade, van welke aard ook, die het gevolg is van handelingen en/of beslissingen die gebaseerd zijn op bedoelde informatie. Gebruikers van deze uitgave wordt met nadruk aangeraden deze informatie niet op zich zelf staand te gebruiken, maar af te gaan op hun professionele kennis en ervaring en de te gebruiken informatie te controleren.
www.ictmagazine.nl
www.ictmagazine.nl
De toekomst is nu Om succesvol Managed Services te kunnen leveren, heb je een partner nodig die niet alleen een sterke toekomstvisie heeft, maar die visie ook kan realiseren. Wij voorzien meer dan 11.000 Managed Service Providers en IT-bedrijven over de hele wereld van remote management, back-up, e-mail security en servicedesk oplossingen.
‘Het voelt fantastisch om verantwoordelijk te zijn voor de IT omgeving van onze klanten. We ontzorgen onze klanten, waardoor ze kunnen excelleren in hun business.’ Albert Smit ISSYS ICT
‘MAXFocus heeft alles wat wij nodig hebben om ons IT-bedrijf efficiënter te runnen en onze klanten de service te kunnen leveren die ze nodig hebben.’ Nicholas Ender Ender Computers
MAXFocus Benelux +31 88 522 22 85 | BeneluxSales@maxfocus.com
Probeer alle MAXFocus producten 30 dagen gratis Ga naar nl.maxfocus.com/gratis-trials