infosecurity JAARGANG 13 - DECEMBER 2014 - WWW.INFOSECURITYMAGAZINE.NL MAGAZINE ONVEILIGHEID NEEMT TOE CYBERCRIME VOOR IT-SECURITY BELANGRIJKSTE THEMA VOOR 2015 RONDE TAFEL CYBER SECURITY ‘NIEUW MINISTERIE VAN DIGITALISERING MOET NEDERLAND DIGITAAL VEILIG MAKEN’ TRENDS IN SECURITY 2015 TWINTIG SECURITY-SPECIALISTEN AAN HET WOORD ‘SECURITY IS (OOK) EEN KWESTIE VAN GEWOON BEGINNEN’ - SECURITY AWARENESS IN VIJF STAPPEN ‘LANDSGRENZEN ZIJN PLOTSELING WEER VAN GROOT BELANG IN IT-SECURITY’ - BIG DATA-TECHNIEKEN VERSTERKEN SECURITY-AANPAK AANZIENLIJK - ‘LOS ZAND BIEDT GEEN BESCHERMING’ - EUROPESE DATABESCHERMINGSREGELS STELLEN BEDRIJFSLEVEN VOOR NIEUWE UITDAGING - MEER DIEPGANG IN SECURITY-TRAININGEN GEWENST - DATA-ENCRYPTIE: HET NIEUWE WAPEN TEGEN CYBERCRIME As Network Growth Explodes Will Your Security Solution Keep Up? Watchguard Firebox® M400 and M500 appliances are up to 61% percent faster than competing solutions – with all layers of security turned on. And when chewing through capacity-intensive HTTPS traffic – up to 149% faster. g Colofon - Editorial Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via [email protected]. Uitgever Jos Raaphorst 06 - 34 73 54 24 [email protected] twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel 06 - 51 28 20 40 [email protected] twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel www.facebook.com/robbert.hoeffnagel Advertentie-exploitatie Will Manusiwa 06 - 38 06 57 75 [email protected] Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Don’t compromise security for performance. www.WatchGuard.com/SecurityAccelerated Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat 2 2712 CK Zoetermeer 079 - 500 05 59 [email protected] © 2014 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: www.infosecuritymagazine.nl 2 Contact us today at: [email protected] or call +31(0)70 711 20 85 OneName Het is weer die tijd van het jaar. De periode waarin we allemaal lijstjes maken of lijstjes lezen. De meest schadelijke malware, de grootste cyber crimes uitgedrukt in geld, welke CEO’s of IT-managers moesten het veld ruimen vanwege verlies aan klantgegevens? De mooiste vond ik overigens een lijstje met meest ingrijpende (‘disruptive’ heet dat tegenwoordig in goed Nederlands) nieuwe ontwikkelingen. Interessant genoeg stond bitcoin op de eerste plaats. Voor veel mensen staan bitcoins gelijk aan een licht onbegrijpelijke nieuwe manier van betalen. Maar - helaas - denken veel mensen ook direct aan ‘underground marketplaces’ waar wapens, drugs en illegaal verkregen persoonsgegevens verhandeld worden. Ik denk dat in dat lijstje ‘disruptive technologies’ een foutje is gemaakt. Niet bitcoin had op plaats één moeten staan, maar ‘blockchain’. We hebben niet de ruimte om hier precies uit te leggen wat titeiten behoeft te worden vastgelegd. Het onderliggende protocol regelt dat we allemaal een unieke identiteit kunnen aanmaken en kunnen gebruiken zonder dat een bedrijf of overheidsinstelling hier een register van bijhoudt. Sommige venture capitalists zijn er van overtuigd dat we aan de vooravond staan van een totaal nieuwe manier van applicaties bouwen. Zij spreken in dit opzicht van een Blockchain Application Stack. De eerste apps zijn er al. Denk aan Lazooz, een op blockchain-technologie gebaseerde Android-app die carpoolen mogelijk maakt. En alweer: zonder dat er een centrale server is waar iedereen op inlogt of gebruik van maakt. OpenBazaar Niet bitcoin had op plaats één moeten staan, maar ‘blockchain’ de blockchain precies is, maar laten we volstaan met te zeggen dat dit het onderliggende mechanisme (zeg maar: de wiskundige formule) is waar ook bij bitcoins gebruik van wordt gemaakt. Maar wie venture capitalists als Andreessen Horowitz of Union Square Ventures volgt, ontdekt al snel dat zij razend enthousiast zijn over de mogelijkheden die blockchains te bieden hebben. Opmerkelijk genoeg ook voor security-toepassingen. Een mooi voorbeeld daarvan is OneName. Dit is een startup die identity en access management op basis van blockchain-technologie ontwikkelt. Met deze technologie kunnen gebruikers een unieke identiteit aanmaken. Dat is op zich niet zo bijzonder. Wat deze technologie en blockchains in het algemeen - zo innovatief maakt, is het feit dat er nergens een centrale lijst met al die unieke iden- is een ander voorbeeld. Hier worden open marktplaatsen ontwikkeld die volgens dit peer-to-peer principe werken. Opmerkelijk - en voor veel mensen ongetwijfeld eng - is het feit dat Lazooz of OpenBazaar eigenlijk helemaal geen bedrijven zijn. Het zijn een soort extreme varianten op open source. De technologie is inmiddels al heel ver. Maar de acceptatie nog niet. Toch is dit razend interessante technologie. Misschien weten we over tien jaar niet beter dan dat dit de nieuwe manier van applicaties bouwen of transacties doen is. Wellicht is het iets voor een goed voornemen voor het nieuwe jaar: ga eens naar onename.io en duik in deze nieuwe wereld. Geloof me, het is zeer fascinerend. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 3 INHOUD kahuna managing security 12 Normcommissie voor alle security-normen en uniforme certificatie voor veiligheidsproducten 14 ‘Nieuw Ministerie van Digitalisering moet Nederland digitaal veilig maken’ Hoewel de samenleving en vrijwel alle beroepen direct of indirect afhankelijk zijn van ITsystemen, is die nadrukkelijke aanwezigheid van IT en bijbehorende digitale veiligheid niet terug te vinden in het Nederlandse onderwijs. Sterker nog, het blinkt uit in afwezigheid. Dat signaleren de deelnemers aan de Ronde Tafel Cyber Security. Zij willen dat dit gaat veranderen in het belang van de BV Nederland. 16 ‘Security is (ook) een kwestie van gewoon beginnen’ 18 Betrouwbare netwerken dankzij proprietary software 22 Cloud & Security 24 Virtualisatie van FortiGate geeft ROC van Twente veiligheid en vrijheid 26 ‘Landsgrenzen zijn plotseling weer van groot belang in IT-security’ managing security CYBERCRIME VOOR IT-SECURITY BELANGRIJKSTE THEMA VOOR 2015 7 De wereld wil er maar niet veiliger op worden. Sinds de Tweede Wereldoorlog werd er niet zoveel gevochten als nu. Volgens de website warsintheworld.com werd er in november 2014 in 64 landen gevochten door 592 opstandige groepen. De Arabische lente is inmiddels omgeslagen tot een gruwelijk conflict van de halve wereld met IS, waarbij terugkerende jihadisten voor een nieuwe dreiging zorgen. Tegelijk zijn de conflicten heel dichtbij gekomen door de spanningen in de Oekraïne en met Rusland, wat tot een triest dieptepunt kwam met het neerhalen van vlucht MH-17. Ook in de digitale wereld laaien de conflicten op. SECURITY AWARENESS IN VIJF STAPPEN 20 Stelt u zich eens voor: een voor u onbekend persoon staat voor de deur. In haar ene hand een zware tas, in de andere hand een telefoon waarmee ze druk aan het bellen is. “Bedankt, ik weet de weg hoor”, mompelt ze terwijl u de deur open doet en ze u voorbij loopt de gang op. Wat doet u? 30 ‘MKB en corporate databeveiliging anno 2015 vraagt om de inzet van professionals’ 32 Vijf cybercrimeverwachtingen voor 2015 34 IT-managers zijn niet voorbereid op Europese privacyregels voor datawissen 81 procent van de IT-managers in Europa is nog niet op de hoogte van de nieuwe EU-verordening op het gebied van gegevensbescherming, de EU General Data Protection Regulation (GDPR). Dit blijkt uit onderzoek van Kroll Ontrack. 36 ‘Los zand biedt geen bescherming’ 38 Nieuwe NEN NPR 5313 normering dwingt tot datacenter-beveiliging op lager niveau Next Generation Firewalls Security Information & Event Management Policy Compliance & Vulnerability Management Virtual & Cloud Security Managed Security Services Kahuna Henry Dunantstraat 36a 3822 XE Amersfoort T : +31 (0) 33 4500370 F : +31 (0) 33 4500371 E : [email protected] www.kahuna.nl 4 40 New Channel 42 Beheer, creëer en monitor endpoint protection in de cloud 44 Sogeti 46 Europese databeschermingsregels stellen bedrijfsleven voor nieuwe uitdaging Europa is flink gevorderd met zijn voorstellen voor nieuwe databeschermingsregels die Europawijd geïmplementeerd zullen gaan worden. Het zijn maatregelen die ook voor het bedrijfsleven de nodige gevolgen hebben. Wat is er precies in de maak en hoe kunnen bedrijven zich daar nu al op voorbereiden? 48 ‘Hyperconnectiviteit leidt tot grotere kwetsbaarheid’ Binnen de cybersecurity-branche is dit jaar veel gebeurd. Veel nieuwe ontwikkelingen - zowel in tools als in hacktechnieken en van individuele strategieën tot internationale samenwerkingen om cybercrime tegen te gaan. Patrick de Goede van Eijk, Solution Expert Security & Enterprise Architect bij T-Systems Nederland, bespreekt welke van zijn eerdere voorspellingen over 2014 uit zijn gekomen en kijkt vervolgens vooruit naar het komende jaar. Wat kunnen we verwachten en hoe beïnvloedt dit onze verdediging in 2015? 50 Cybercrime in 2015: dit kan uw organisatie volgend jaar verwachten aangesloten bij THE SIEM ALLIANCE FOUNDER MEMBER 52 ‘Meer diepgang in security-trainingen gewenst’ 56 Script met hash codes maakt gerommel in software herkenbaar 58 Legal Look BIG DATA-TECHNIEKEN VERSTERKEN SECURITY-AANPAK AANZIENLIJK 28 Het aantal Distributed Denial of Service (DDoS) aanvallen groeit niet alleen, maar ook de intensiteit en de lengte van de aanvallen neemt sterk toe. Dat vereist security-maatregelen waarin veel intelligentie is opgenomen. Huawei heeft daarom een Anti-DDoS oplossing ontwikkeld die nadrukkelijk gebruikmaakt van technieken op het gebied van Big Data. DATA-ENCRYPTIE: HET NIEUWE WAPEN TEGEN CYBERCRIME 54 De veiligheid van bedrijfsnetwerken staat onder grotere druk dan ooit. Hackers zijn gewiekste criminelen uit op geld (lees: data) en met hun zeer geavanceerde breekijzers lopen zij altijd een stap voor op de reguliere security-oplossingen. Bovendien zijn niet alleen de enterprise-organisaties, maar ook mid-sized bedrijven steeds vaker het slachtoffer. Data-encryptie is vrijwel de enige duurzame manier om diefstal van bedrijfsgegevens tegen te gaan. Maar dan moet de infrastructuur daar wel op berekend zijn. INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 5 TRENDS IN SECURITY 2015 ONVEILIGHEID NEEMT TOE NIEUWSGIERIG NAAR DE LAATSTE DIGITALE INNOVATIES VOOR DE ZORG? t n e m e n n o b a ) s ti ra (g n e e u n n a Neem d l .n rg zo le a it ig D n a v e n zi a g a m t e h p o De zorgsector ontwikkelt zich in razend tempo. Nieuwe digitale werkprocessen, nieuwe applicaties, het gebruik van de cloud, de opkomst van mobiele apparaten, Big Data, privacy-issues, de almaar voortgaande integratie van informatie - het is maar een greep uit de vele digitale ontwikkelingen waar zorgprofessionals, bestuurders en innovaties dagelijks mee te maken hebben. Hoe houdt u overzicht? En hoe krijgt u inzicht in de gevolgen voor uw organisatie? Het internetplatform Digitalezorg.nl helpt al jaren om bij te blijven rond alle relevante ontwikkelingen. Om de zorgsector hierbij nog beter te kunnen helpen, hebben de stichting Digitalezorg.nl en uitgeverij FenceWorks het Digitalezorg.nl Magazine gelanceerd. Hierin vindt u visies, achtergronden, productbesprekingen, columns, interviews en nog veel meer. Cybercrime voor IT-security belangrijkste thema voor 2015 De wereld wil er maar niet veiliger op worden. Sinds de Tweede Wereldoorlog werd er niet zoveel gevochten als nu. Volgens de website warsintheworld.com werd er in november 2014 in 64 landen gevochten door 592 opstandige groepen. De Arabische lente is inmiddels omgeslagen tot een gruwelijk conflict van de halve wereld met IS, waarbij terugkerende jihadisten voor een nieuwe dreiging zorgen. Tegelijk zijn de conflicten heel dichtbij gekomen door de spanningen in de Oekraïne en met Rusland, wat tot een triest dieptepunt kwam met het neerhalen van vlucht MH-17. Ook in de digitale wereld laaien de conflicten op. IS schijnt zich voor te bereiden op grote cyberaanvallen en kaapt intussen grote aantallen websites om hun propaganda te verspreiden. Maar ook gevestigde staten laten hun digitale spierballen rollen: de complexiteit van de Regin-malware, die recent ontdekt is, laat zien dat de Verenigde Staten en Magazine Groot-Brittannië niet stil hebben gezeten en hun digitale spionageactiviteiten, ook in West-Europa eerder opvoeren dan dat ze ineens rekening houden met de privacy gevoeligheid van veel West-Europese burgers. De ‘tegenstanders’ van de VS, zoals Iran en Noord-Korea, zitten ook niet stil en slaan digitaal steeds sterker terug. Intussen nemen op het vlak van ‘parti- eHealth-monitor 2014: Nederland scoort goed Nieuwe jeugdhulp vraagt om innovatieve oplossingen en actie Magazine over innovatie en ICT in de zorg Proefproject levert snel uitslagen en gevalideerde data Flexibele capaciteit voor Erasmus MC Jaargang 1 • Nr. 3 • www.digitalezorg.nl Interesse in een gratis abonnement? Ga naar www.digitalezorg.nl/digitale/magazine/ 6 Figuur: IT-security thema’s voor Nederlandse organisaties in 2015 Q14: Welke van de volgende thema’s zijn voor u de komende 12 maanden het belangrijkst op het gebied van IT-security? culiere’ cybercriminaliteit de dreigingen en de complexiteit daarvan alleen maar toe. Het blijft een aantrekkelijke, snel groeiende markt met zeer hoge marges en beperkte risico’s. Voor een criminele organisatie met winstoogmerk is de business case dan wel heel erg snel gemaakt, zelfs in Nederland, waar we volgens Kaspersky Lab tenslotte de beste cybercops uit de hele wereld zouden hebben. Het is dan ook niet zo vreemd dat cybercrime voor IT-security binnen Nederlandse bedrijven het belangrijkste thema voor 2015 is. PRIORITEIT 1: CYBERCRIME Cybercrime staat nooit stil. Aan het eind van ieder jaar, ook nu, wordt door menig securityprofeet de cyberapocalyps voorspeld. De manier waarop bedrijven security inrichten moet radicaal anders om het grote onheil nog af te kunnen wenden. Hoewel het wat zwaar wordt aangezet, weten we allemaal dat we de strijd allerminst aan het winnen zijn. Net zoals retailers een bepaalde mate van winkeldiefstal bereid zijn te accepteren, zijn er steeds meer bedrijven die zich neerleggen bij een bepaalde mate van datadiefstal of andere digitale criminele schadeposten. Maar nu aanvallen steeds complexer worden en zich bijvoorbeeld op zero-day exploits richten, neemt de kans dat de firewall gepenetreerd wordt aanzienlijk toe, alsook de bijbehorende schade. Niet iedere organisatie is even goed voorbereid op complexe aanvallen. Van de organisaties (50 of meer medewerkers) die we ondervroegen in de Nationale ITSecurity Monitor, gaf meer dan de helft aan gebruik te maken van detectie-oplossingen waarbij verdachte gebeurtenissen worden gemeld. Maar zowel op INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 7 TRENDS IN SECURITY 2015 bruiken. Een datagoudzoeker is, wat de overheid betreft, niet te vertrouwen. De regelgeving die voor de meeste aandacht zorgt, komt uit Europa in de vorm van de Algemene Data Protectie Verordening, waar iedere organisatie met 250 of meer medewerkers aan dient te gaan voldoen. Als we naar de gereedheid van Nederlandse organisaties kijken, is vrijwel niemand geheel voorbereid. In 2015 zal er nog flink aan getrokken moeten worden om op tijd klaar te zijn. Figuur: Advanced Threat Protection maatregelen Q26: Welke van de volgende beveiligingsmaatregelen heeft uw organisatie ingericht, specifiek met het oog op het beschermen van uw organisatie tegen complexe aanvallen? Figuur: Klaar voor de Data Protectie Verordening? Q20: In welke mate is uw organisatie voorbereid op de volgende eisen van de Data Protectie Verordening? [Alleen organisaties met 250 of meer medewerkers] proactief als reactief vlak, ontbreekt het vaak aan afdoende maatregelen. Ook het permanente monitoren wordt door een beperkt aantal organisaties gedaan en dan met name binnen de financiële dienstverlening, terwijl vooral de zorg achterblijft. PRIORITEIT 2: PRIVACY Met stip op de tweede plaats staat het thema privacy. Er zijn nogal wat redenen waarom dit zo hoog op de agenda is komen te staan. Het onderwerp is vooral ‘populair’ geworden door de onthullingen van Edward Snowden, die alle 8 geruststellingen van Amerikaanse cloud leveranciers met betrekking tot de Patriot Act van tafel veegden. Waar de impact in de publieke sector groot was - de politiek zit immers om de hoek, zagen de meeste bedrijven de risico’s aanzienlijk genuanceerder. Dat privacy toch zo hoog op de agenda staat, komt door de regelgeving vanuit de overheid. De regelgeving is deels een reactie op vooral het Amerikaanse ‘datagraaien’, maar in essentie vooral een reactie op de digitalisering van privacygevoelige gegevens en de wens van organisaties om die data op allerlei manieren te combineren en te ge- PRIORITEIT 3: WEB SECURITY En dan was er ook nog het nieuws dat veiligheidscertificaten van websites het hackers vooral makkelijk maken: dan weten ze meteen hoe ze niet binnen moeten komen en waar de mogelijke gaten dus wel zitten. Web security en cybercrime hebben natuurlijk veel met elkaar te maken. De grote uitdaging is dat werknemers steeds meer en vooral op steeds meer apparaten zich toegang tot het Internet verschaffen en zo ook nog eens toegang tot bedrijfsapplicaties en data willen verschaffen. Momenteel valt op dat er veel moeite is om enige grip te krijgen op het gebruik van mobiele apparaten. Meer dan de helft van de respondenten in de Nationale IT-Security Monitor bevestigde dat men onvoldoende kennis in huis heeft om te garanderen dat mobiele toegang (via bijvoorbeeld smartphones of tablets) veilig plaatsvindt. De belangrijkste maatregelen om het in goede banen leiden, zijn dan ook vooral gericht op het beperken van de toegang tot bedrijfsapplicaties en data. Het bewustzijn dat dit geen duurzame strategie is, is echter sterk, waardoor ook dit punt hoog op de security-agenda staat. PRIORITEIT 4: TRAINING IT is een zeer veranderlijk vak, waarbij het noodzakelijk is om vaardigheden met grote regelmaat aan te scherpen en uit te breiden. Voor IT-beveiliging is een cursus op zijn tijd onvoldoende. De uitdaging om bij te blijven bij alles wat echt noodzakelijk is om te weten, is enorm. Sterker nog, het is onmogelijk. Niet voor niets zijn er geen organisaties die hun IT-beveiliging geheel runnen zonder hulp van buitenaf. Vrijwel iedere organisatie maakt daarom van enige vorm van managed security gebruik. Desalniettemin staat security training in 2015 hoog op de agenda van de Nederlandse CISO. Nederlandse organisaties denken vooral in training op het gebied van DLP te gaan investeren, op de voet gevolgd door netwerkbeveiliging. De trainingen zijn vooral van technische aard, maar er is ook veel aandacht voor awareness training onder gebruikers. Opvallend is dat de aandacht voor privacy en cloud security onderaan bungelen, terwijl beide onderwerpen wel top-5 security thema’s zijn voor 2015. Met de nadruk op vooral technische training is het niet zo vreemd dat 64% van de onderzochte organisaties aangeeft, dat er te weinig in security training wordt geïnvesteerd. PRIORITEIT 5: CLOUD SECURITY Hoewel er weinig in cloud security training wordt geïnvesteerd, geeft 49% van de onderzochte bedrijven aan onvol- Figuur: IT-security training in 2015 Q20: In welke mate is uw organisatie voorbereid op de volgende eisen van de Data Protectie Verordening? [Alleen organisaties met 250 of meer medewerkers] INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 9 TRENDS IN SECURITY 2015 doende kennis in huis te hebben om te garanderen dat cloudoplossingen veilig gebruikt worden. Organisaties maken zich vooral zorgen over het gebrek aan controle over de beveiliging van data. Welke leveranciers zijn te vertrouwen en hoe kunnen we nagaan of ze de beveiliging van onze data wel op orde hebben? Opslag kan immers wel uitbesteed worden, maar de verantwoordelijkheid voor data niet. Ook maken veel organisaties zich zorgen over de opkomst van schaduw-IT. Cloudoplossingen komen niet via de traditionele IT-kanalen de organisatie binnen, maar worden vaak al gebruikt voordat IT ervan op de hoogte is. Als het mis gaat, kan je de business of medewerker wel de schuld geven, maar weet je ook wie de rommel mag opruimen. Ook voor cloud geldt dat de afgelopen jaren de nadruk vaak op beperken en verbieden lag, maar dat deze zal moeten verschuiven naar faciliteren. Hoe zorg je ervoor dat je op tijd aan tafel zit om veilig gebruik te garanderen? Eén van de interessantere mogelijkheden die nu nog beperkt benut wordt, maar in 2015 verder zal opkomen, is die van het sleutelbeheer. Amazon biedt bijvoorbeeld de mogelijkheid om sterke encryptie te combineren met het zelf beheren van de sleutels. Amazon heeft dan simpelweg de sleutel niet en is dus ook niet in staat om data op verzoek van Amerikaanse diensten te ontsleutelen. SECURITY IS PROACTIEF IN 2015 Bedrijven en instellingen zijn in een snel tempo verder aan het digitaliseren. Het succes van een organisatie wordt daardoor steeds meer afhankelijk van een succesvolle beveiliging. Teveel innovatieve producten en diensten worden nooit in de markt gezet, omdat men er niet in slaagt om de beveiliging rond te krijgen. Meer weten over business, innovatie & IT? Figuur: Cloud security uitdagingen Q28: Wat zijn wat u betreft de belangrijkste uitdagingen op het gebied van cloud security? Lees www.BusinessEnIT.nl Door proactief vroegtijdig aan te schuiven bij de ontwikkeling van deze producten en diensten, versterkt security het concurrerend vermogen. Dat geldt zeker ook voor mobiele werkoplossingen, bijvoorbeeld uit de cloud. Ook in de manier waarop IT-security werkt, staat proactief in 2015 voorop. Dreigingen worden steeds complexer en uitdagender. Zo houdt een virusscanner misschien veel malware tegen, maar meestal niet de gevaarlijkste. Het wordt steeds belangrijker om op zoek te gaan naar afwijkend gedrag en eventuele dreigingen te neutraliseren voordat ze geïdentificeerd zijn. Hoewel veel security professionals zich daar prima van bewust zijn, loopt de praktijk meestal daar een heel eind achteraan. Tenslotte willen we graag afsluiten met een voorspelling voor 2015: de kans dat IT-security saaier wordt in 2015 is kleiner dan 10%. Peter Vermeulen is directeur van Pb7 Research De Nationale IT-Security Monitor is mogelijk dankzij de medewerking van: Business & IT publiceert artikelen en blog posts over de relatie tussen IT, business en innovatie. Ook publiceren? Kijk op http://businessenit.nl/over-business-en-it/ 10 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 11 SECURITY Normcommissie voor alle security-normen en uniforme certificatie voor veiligheidsproducten Jolien van Zetten is consultant Milieu & Maatschappij bij NEN en verantwoordelijk voor alles dat met security te maken heeft. “Op dit moment speelt er veel”, vertelt ze. “Zo zijn we bezig met het opstarten van een normcommissie Security en coördineren we als NEN het FP7-project CRISP dat moet zorgen dat er Europees gezien uniformiteit komt in de certificatie van veiligheidsproducten.” De Technical Management Board van ISO (ISO/TMB) heeft besloten om per 1 januari 2015 een aantal commissies op het gebied van security samen te voegen. Hierdoor moet een beter overzicht en een betere structuur ontstaan. Voor NEN was dit aanleiding om ook één normcommissie voor security op te richten. NEN voert al enige tijd een CEN/TC-secretariaat en een ISO-werkgroep op het gebied van maatschappelijke veiligheid, maar nationaal is dit nooit goed van de grond gekomen. In september was er een eerste informatiebijeenkomst. Zo’n 80 belangstellenden woonden de bijeenkomst bij. Op 27 november is de normcommissie met ruim 20 leden opgericht. 12 VEEL ONDERWERPEN De normcommissie moet een aantal besluiten gaan nemen. Onder security vallen veel onderwerpen, zoals ‘Business Continuity Management’, ‘Bescherming Vitale Infrastructuur’; ‘Security Management en Security Dienstverlening’, ‘Crisis Management’ en ‘Emergency Management’. Gaat de normcommissie al deze onderwerpen behandelen of worden er subcommissies en werkgroepen opgericht? Niet alle onderwerpen zijn voor alle normcommissieleden even relevant. Zo hebben retailers veel interesse in supply chain management, maar minder in crisis management. In de ISO Technische Commissie (ISO/ TC) 292 Security worden normen opgesteld, beheerd en verbeterd om de veiligheid van organisaties, infrastructuur en samenleving te borgen. De NEN-normcommissie Security zal op Europees en internationaal niveau voor de Nederlandse belangen in dit vakgebied opkomen door bij te dragen aan concept-normproducten, deel te nemen aan nationale, Europese of internationale projecten en werkgroepen, zelf voorstellen te doen voor nieuwe normen en feedback te geven op bestaande normen. Recent is bij NEN de Normcommissie Business Continuity Management opgericht. Hoe deze commissie zich tot de Normcommissie Security zal verhouden, wordt nog besproken. Van Zetten: “Het belang van een Nederlandse normcommissie Security is groot. ISO-richtlijnen zijn niet verplicht, maar veel van deze richtlijnen worden Europees als EN-ISO overgenomen. In dat geval gaan ze ook voor Nederland gelden. Het is belangrijk dat we weten wat er speelt én dat we onze belangen kunnen inbrengen. Maatschappelijke veiligheid, sinds kort noemen we dit ook security omdat dit zowel internationaal als in Nederland makkelijker communiceert, omvat veel. Om een voorbeeld te noemen. Stel dat er een ontploffing plaatsvindt bij een bedrijf dat met gevaarlijke stoffen werkt, zoals Chemie-Pack of Shell, dan spelen er direct een aantal zaken: ‘Welke impact heeft het op de omgeving?; Wat wordt er verwacht van de verschillende hulpverleningsdiensten zoals politie, brandweer en ambulances?; Hoe communiceren ze met elkaar en wie heeft de leiding?’ Hoewel de normcommissie nu formeel is opgericht, kan iedereen met een belang nog aansluiten. Zo zijn de lagere overheden, de veiligheidsregio’s, nog ondervertegenwoordigd terwijl zij juist bij incidenten een coördinerende rol hebben.” UNIFORME CERTIFICATIE VEILIGHEIDSPRODUCTEN De Europese Commissie wil komen tot een uniforme certificatie van veiligheidsproducten in heel Europa. Hierdoor moet het voor de fabrikant van een product of een leverancier van diensten makkelijker worden van het vrije verkeer van goederen en diensten gebruik te maken. Voor de eindgebruiker worden de producten goedkoper en is er meer keus. Om dit te onderzoeken, aanbevelingen te doen en een tool of product te leveren, is het FP7-project CRISP in het leven geroepen. NEN leidt dit project. Voor dit FP7-project staat een periode van drie jaar; in april 2014 is het project gestart. VEILIGHEIDSPRODUCTEN Van Zetten: ”Het terrein veiligheidsproducten is heel breed. Het betreft namelijk niet alleen producten, maar ook systemen én diensten. Voorbeelden van producten zijn de CCTV-camera’s bij bedrijven of in de binnenstad en bewegingssensoren. Bij systemen kun je denken aan bijvoorbeeld alarmcentrales en onder diensten valt bijvoorbeeld het personeel. Eigenlijk alles wat met veiligheid te maken heeft. Een systeem klinkt misschien nog het vaagst, maar denk aan een sensor. Een enkele sensor kan gecertificeerd zijn, maar het gaat ook om hoe meerdere sensoren - een systeem - geïnstalleerd worden. Hangen ze voldoende ver van elkaar af en wat voor range hebben de sensoren? Een sensor met of zonder camera kun je certificeren op zijn bereik van bijvoorbeeld 10 meter, maar het werkt pas als je ze maximaal 20 meter uit elkaar hangt. Dat is het systeem. De mensen, de diensten, horen hier ook bij. Als bedrijf of overheid huur je vaak een dienst in en daar hoort een product automatisch bij. Je huurt het volledige veiligheidssysteem met diensten en apparaten in.” VAN NATIONAAL NAAR EUROPEES Op dit moment heeft elk land zijn eigen nationale certificaten voor een product. Als je als producent bijvoorbeeld je alarmsysteem op de markt brengt, dan heb je het in Nederland laten certificeren. Maar als je het in Frankrijk wilt verkopen, dan moet je het daar weer opnieuw laten certificeren. En dat geldt voor alle systemen en diensten. Erg onhandig. De vraag is of je het wel Europees kunt certificeren. Of dat het beter is een basis-set te maken. Ieder land kan dan nog aanvullingen hebben. Of misschien een Europees systeem waar elk land zijn eigen eisen in kan schuiven, maar waar er in ieder geval wel op dezelfde manier wordt gecertificeerd. Dat zou ook al winst zijn. Studies moeten uitwijzen wat het gewenste eindresultaat moet zijn. EERSTE STAPPEN GEZET De eerste stap voor de projectgroep was duidelijk in beeld krijgen wat er nu al bestaat aan normen en certificatiesystemen. Er zijn namelijk heel veel normen voor veiligheidsproducten en ook veel certificatiemogelijkheden, maar die zijn erg versnipperd. Er zijn veel bedrijven en instituten die hun eigen certificatieschema hebben geschreven en dat maakt het geheel erg ondoorzichtig. Om die security-normalisatiewereld in beeld te krijgen, zijn interviews afgenomen met een groot aantal voorzitters en secretarissen van technische commissies (TC’s). Eerst op Europees niveau (CEN en CENELEC) en nu op internationaal niveau (ISO en IEC). Dat levert al een lijst van 40 commissies op die iets doen op het gebied van veiligheid. Sommige onderwerpen zijn heel duidelijk, zoals alarmsystemen. Maar de commissie die zich bezighoudt met zeetransport en supply chain security wordt al een stuk lastiger. Het totale veld is gigantisch veelomvattend. Binnen CRISP is een consortium met vooral sociologen en juristen, bijna geen techneuten. Er wordt sterk gekeken naar Jolien van Zetten, consultant Milieu & Maatschappij bij NEN de sociologische en de ethische kant van de veiligheidsproducten, bijvoorbeeld de privacy van de mensen die gefilmd worden en hoe die data wordt bewaard. Een lastige discussie. Zelfs binnen Europa heb je namelijk te maken met verschillende culturen en gewoontes. MEER INFORMATIE OF MEEDOEN? U kunt op de hoogte blijven door de nieuwsbrief CRISP te ontvangen, maar u kunt ook actief meedoen aan workshops. Bent u fabrikant, leverancier, een certificerende instelling, gebruiker of consumentenorganisatie? Neem dan een gratis abonnement op de nieuwsbrief of meld u aan voor een workshop: nen.nl/security INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 13 RONDE TAFEL CYBER SECURITY ‘Nieuw Ministerie van Digitalisering moet Nederland digitaal veilig maken’ Hoewel de samenleving en vrijwel alle beroepen direct of indirect afhankelijk zijn van IT-systemen, is die nadrukkelijke aanwezigheid van IT en bijbehorende digitale veiligheid niet terug te vinden in het Nederlandse onderwijs. Sterker nog, het blinkt uit in afwezigheid. Dat signaleren de deelnemers aan de Ronde Tafel Cyber Security. Zij willen dat dit gaat veranderen in het belang van de BV Nederland. Cyber security moet volgens hen verweven worden in alle opleidingen, op alle niveaus. En een Ministerie van Digitalisering moet er voor zorgen dat dit thema door de hele samenleving verweven raakt. De Ronde Tafel Cyber Security is een initiatief van de Cyber Security Raad. Dit adviesorgaan van de regering signaleert een nijpend gebrek aan bewustzijn rondom digitale veiligheid in de samenleving en de noodzaak die er is om via onderwijs dit tij te keren. Ook baart het de Raad zorgen dat er te weinig professionals worden opgeleid op het gebied van cyber security en dat het Nederlandse onderwijs op dit vlak dreigt stil te vallen. Daarom heeft de Cyber Security Raad onderwijsorganisaties, ondernemers, brancheverenigingen en -platformen, wetenschappelijke instellingen, politici en beleidsambtenaren bij elkaar gebracht om gezamenlijk het probleem te definiëren en een oplossingsrichting te formuleren. De Cyber Security Raad zal zijn advies aan het kabinet over dit thema mede baseren op de resultaten van deze Ronde Tafel Cyber Security. VERANDERINGEN NODIG De manier van denken over digitale veiligheid in Nederland moet veranderen, stellen de deelnemers. Het ligt nu vaak op het bordje van specialisten. Meestal gaat het dan om informatiebeveiliging. Maar dat is niet langer voldoende. Vrijwel alle producten en diensten in de samenleving zijn afhankelijk van IT. We hebben als samenleving een vijfde domein gecreëerd – cyberspace, naast lucht, land, water en ruimte – waar we grip op moeten zien te krijgen. Alle systemen zijn in cyberspace met elkaar verbonden, met alle risico’s van dien. Daarom is het belangrijk niet te focussen op IT, maar er boven te hangen en vast te stellen waar IT de business en de samenleving raakt. Want uiteindelijk gaat het om de continuering daarvan. De start van het nieuwe denken zou daarom social tech risk management moeten zijn. In dit denken gaat het om de risico’s die veroorzaakt worden doordat technologie mensen, maatschappij en business raakt. Als die in beeld zijn, kan een discussie plaatsvinden over wat we als samenleving acceptabele risico’s vinden en wat niet. Daar kunnen overheden, bedrijven en burgers dan hun maatregelen op nemen. Dit gaat veel verder dan de klassieke informatiebeveiliging door specialisten. In dit nieuwe denken heeft iedereen een rol. Het richt zich op het grotere geheel van een genetwerkte samenleving. COLLECTIEVE VERANTWOORDELIJKHEID In die genetwerkte samenleving is het een collectieve verantwoordelijkheid om digitaal veilig te zijn. Net zoals we afspraken hebben gemaakt over het deelnemen aan het verkeer, zouden we ook 14 afspraken kunnen maken over deelname aan cyberspace. Waarom wel een rijbewijs, maar geen cyber-rijbewijs? Waarom wel verkeersregels om ieders veiligheid te waarborgen en geen cyberregels? Net als in het verkeer hebben deelnemers aan cyberspace invloed op elkaars veiligheid. Mensen moeten zich daar meer bewust van zijn en daarin worden opgevoed en opgeleid. Ook bedrijven zouden een actievere rol moeten vervullen in het cyber secure aanbieden van producten en diensten. Vaak staan nu de processen centraal. Proces engineers ontwerpen een fabriek en voegen processen kosteneffectief samen. Maar is dat ook veilig? De deelnemers aan de Ronde Tafel Cyber Security vinden dat bedrijven hun procesontwerp, maar ook hun producten en diensten, verplicht moeten laten toetsen op digitale veiligheid. Vanaf het begin moet veiligheid mee-ontworpen worden. De overheid zou hierin een sturende rol kunnen vervullen, via regelgeving en aanbestedingsregels. Ook zien de deelnemers een rol weggelegd voor verzekeraars. Als zij eisen stellen voor deelname aan een cyber-verzekering, gaan bedrijven nadenken over de risico’s van hun producten en diensten. De overheid zou zo’n verzekering vervolgens verplicht kunnen stellen voor al haar leveranciers. IN ONDERWIJS INTEGREREN De deelnemers aan de Ronde Tafel Cyber Security stellen dat Nederland nog niet digitaal veilig is. Dat is ons als samenleving overkomen. Iedereen ziet de voordelen in van de digitale wereld en maakt er dankbaar gebruik van. De risico’s zijn lange tijd niet onderkend. Het is nu tijd om daar aandacht aan te geven en de samenleving in te richten op cyber secure handelen. Het onderwijs speelt daarin een belangrijke rol. Van basisschool tot universiteit moet basiskennis over cyber security worden aangeleerd. Dat kan als module ingericht worden, maar zeker bij beroepsopleidingen moet het een geïntegreerd onderdeel gaan vormen van het curriculum. Net als statistiek moet cyber security een vast onderdeel zijn van iedere opleiding. Want iedereen heeft in zijn beroep direct of indirect te maken met IT-systemen of producten en diensten die gebruik maken van IT. Die koppeling tussen de beroepspraktijk, IT en cyber security wordt door de deelnemers node gemist. Probleem daarbij is dat het onderwijssysteem in Nederland lastig te veranderen is. Het Ministerie van Onderwijs, Cultuur en Wetenschappen laat het aan scholen en de beroepspraktijk over wat de inhoud van het onderwijsaanbod moet zijn. Daarom adviseren de deelnemers om als overheid te gaan sturen op kern- en leerdoelen op het gebied van cyber security, waar alle scholen op alle niveaus aan moeten voldoen. SEXY MAKEN Cyber security maakt het mogelijk IT weer sexy te maken. Als het gaat om hacken en het tegengaan van cyberaanvallen, reageren studenten enthousiast: een dergelijke opleidingsrichting is cool. Dat wordt nog eens versterkt als bedrijven en onderwijsinstellingen samen een curriculum ontwikkelen en bedrijven gastlessen verzorgen. De praktijk trekt studenten over de streep. De onderwijsrichting ‘cyber security’ moet dan wel aansluiten op de nog gezamenlijk te ontwikkelen competentieprofielen voor cyber security-specialisten. Door in publiek-private samenwerking onderwijs te ontwikkelen, sluit de inhoud aan op de beroepspraktijk en is het mogelijk toekomstgericht onderwijs te geven. Door het huidige gebrek aan kennis over dit thema in het onderwijs, lopen onderwijsinstellingen het risico dat zij gaan opleiden voor problemen van gisteren of vandaag, terwijl er behoefte is aan opleidingen die de problemen van morgen aanpakken. Dat kan volgens de deelnemers gerealiseerd worden door als onderwijsinstellingen en bedrijfsleven nauw op te trekken en samen inhoud te geven aan opleidingen. Daarnaast zou de overheid een overkoepelende visie voor cyber security onderwijs moeten formuleren. Dit biedt de mogelijkheid om als overheid ondersteunende maatregelen te nemen ten behoeve van partijen die actie ondernemen om die nationale visie te verwezenlijken. De herinrichting van de Nederlandse samenleving en het Nederlandse onderwijs biedt grote kansen voor de BV Nederland. Een Ministerie van Digitalisering zou hierin een stimulerende functie kunnen vervullen en ervoor kunnen zorgdragen dat dit thema in de hele samenleving verweven raakt. Martin Bobeldijk is communicatieadviseur bij de Cyber Security Raad INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 15 RONDETAFEL-DISCUSSIE ‘Security is (ook) een kwestie van gewoon beginnen’ IT-beveiliging is voor veel organisaties een onderwerp dat steeds vaker op de agenda van de directie staat. Maar, zo bleek tijdens een rondetafel-discussie die Sogeti onlangs organiseerde, in de traditionele manier van software ontwikkelen zit onveiligheid als het ware ingebakken. Er is dus een andere manier van werken nodig. Die is er, meent Sogeti, en die levert bovendien een betere kwaliteit IT-projecten op. Security is nog veel te vaak een set van maatregelen die achteraf aan een IT-project wordt toegevoegd. Fout, meent Marinus Kuivenhoven, senior security specialist bij Sogeti. Beveiliging - of beter gezegd: een veilig product opleveren - dient volledig in de manier van werken van de IT-afdeling te zijn verweven. NATIONALE IT-SECURITY MONITOR Kuivenhoven was een van de sprekers tijdens een rondetafelsessie die Sogeti onlangs voor een aantal klanten organiseerde. Andere sprekers waren Bernard Barbier, voormalig topambtenaar bij het Franse Ministerie van Defensie en verantwoordelijk voor alle security-activiteiten van Sogeti en Peter Vermeulen, directeur van Pb7 Research. Dit onderzoeksbureau heeft onlangs in samenwerking met onder andere Sogeti en Infosecurity Magazine de eerste editie van de Nationale IT-Security Monitor uitgevoerd. Waar Barbier een high-level overzicht gaf van de schade die security-incidenten voor maatschappij en bedrijfsleven opleveren, gaf Vermeulen een duidelijk inzicht in de houding van Nederlandse organisaties ten aanzien van IT-security, de maatregelen die zij tot nu toe genomen hebben en de acties die zij voor de komende jaren op de planning hebben staan. ‘ENABLER’ Natuurlijk heeft security met technologie te maken, maar het is eerst en vooral een houding en een mentaliteit. Kuivenhoven gaf in zijn presentatie aan dat een IT-afdeling die bij een project veilig werkt, al snel zal ontdekken dat de voordelen daarvan veel verder gaan dan - zeg maar - ‘enkel en alleen’ een betere beveiliging. Security is namelijk ook een ‘enabler’ om 16 tot een betere kwaliteit programmatuur te komen en dus tot een betere IT-aanpak. SNELLER LEREN Kuivenhoven is een van de auteurs van het boek ‘Staying Ahead in the Cyber Security Game’. Hierin wordt uitgelegd dat onveiligheid bij applicaties in de meeste gevallen onvermijdelijk is. Althans, als we software blijven ontwikkelen zoals we dat tot nu toe vaak doen. Voor een adequate security zorgen is namelijk niet een taak die we bij IT moeten neerleggen. Bovendien moeten we af van het idee dat we cybercriminelen kunnen tegenhouden door almaar meer technische maatregelen te nemen. Natuurlijk moeten we maatregelen blijven nemen als firewalls en intrusion detection-systemen implementeren, maar de auteurs stellen in hun boek fijntjes vast dat cybercriminelen sneller blijken te leren dan de IT’ers die de beveiligingsmaatregelen nemen. Er is dus meer nodig. VERLOREN STRIJD Security wordt gewonnen of verloren in de ontwerpfase. Dat is op zich geen nieuw gegeven, maar hoe brengen we dit idee nu in de praktijk? Daarover handelt het boek waarvan Kuivenhoven een van de auteurs is. Hij gaf aan dat we al een goede stap zetten door alles wat we bij een IT-project doen in twijfel te trekken, waarbij we zowel naar het te automatiseren proces moeten kijken als naar de techniek waarmee we dat doen. Iedere individuele stap in het te automatiseren proces dient onderzocht te worden op doelmatigheid, efficiëntie en dergelijke en dus ook op de mate waarin met deze processtap wellicht ook andere dingen tot stand gebracht kunnen worden dan de opdrachtgever bedoelde. Anders gezegd: security als integraal onderdeel van het ontwerp van proces én applicatie. BETERE SOFTWARE Een hier logisch uit voortvloeiend advies is dan uiteraard om IT-projecten in veel kleinere deelprojecten op te delen. Daarmee blijft het project overzichtelijk en zien we veel sneller de effecten van onze acties - ook die op het gebied van veiligheid. Dat leidt ook direct tot een 'Security wordt gewonnen of verloren in de ontwerpfase' betere kwaliteit software. We worden immers direct geconfronteerd met de consequenties van de aanpak die we hebben gekozen. Met andere woorden: met onze eigen acties en handelingen nog vers in het geheugen zien we de resultaten daarvan. Herstellen of verbeteren is dan veel makkelijker en leidt tot veel betere resultaten. Een dergelijke aanpak levert dus niet alleen veilig(er) software op, maar ook software van een betere kwaliteit. Robbert Hoeffnagel is hoofdredacteur van Infosecurity Magazine INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 17 IBEACONS EN WIFI IN EEN VEILIGE RETAILOMGEVING Betrouwbare netwerken dankzij proprietary software Gebeurtenissen als de onthullingen van Snowden in de NSA-affaire leiden ertoe dat ondernemingen en organisaties zich meer dan ooit bewust zijn van de kwetsbaarheid van hun data. De Duitse netwerkleverancier Lancom Systems profiteert daarvan, vanwege haar producten zonder backdoor. “Met open source-producten blijf je kwetsbaar.” Het gaat Stefan Herrlich, Managing Partner bij Lancom Systems, te ver om te stellen dat zijn onderneming garen spint bij de NSA-affaire, daarvoor is de schade die de onthullingen wereldwijd aanrichtten te groot. Maar hij kan niet ontkennen dat de aandacht voor de praktijken van de NSA ervoor hebben gezorgd dat organisaties zich bewuster zijn van de gevolgen van een datalek of een inbraak door autoriteiten. Lancom bouwt netwerkproducten die – in tegenstelling tot de apparatuur die Amerikaanse en Aziatische leveranciers maken – niet over een ‘backdoor’ beschikken. Die kennis wordt in toenemende mate opgepakt in de markt. “We zien dat terug in de omzet, die met twintig procent groeide, maar meer nog in de aandacht voor ons beleid. Grote kwaliteitsmedia, van de Frankfurter Allgemeine tot The Times, schrijven over onze visie op security”, legt Herrlich uit. Het helpt daarbij dat Lancom als enige fabrikant in Europa de hoogst mogelijke certificering kreeg voor de beveiliging van kritische infrastructuren tegen cyberaanvallen. Het Duitse Federale Kantoor voor Informatiebeveiliging (BSI) verleende die certificering. Steeds vaker kiezen overheden voor producten van Lancom. “Wij adviseren onze gebruikers te zorgen voor een aantal ‘save boxes’ in het netwerk. Leg over de echt kritische systemen een veilige laag met gecertificeerde apparatuur.” De Duitse regering heeft security-aspecten geadresseerd met een eigen digitale agenda, die aansluit op de strengere IT-securitywetten. De regering betaalt voor mkb-bedrijven mee aan hun beveiliging, met als argument dat de echt grote bedrijven, zoals Volkswagen of Bayer, het zelf kunnen regelen met hun grote IT-afdelingen. Mkb-bedrijven hebben vaak te weinig kennis om hun apparatuur goed te beveiligen. Het is niet zo dat de staat de aanschaf van apparatuur vergoedt, maar wel security assessments én de helft van de kosten voor services. “Duitsland ziet het mkb als de ruggengraat van de economie en wil het beveiligingsniveau bij die bedrijven verhogen.” De sleutel naar optimaal veilige netwerkapparatuur is volgens Herrlich proprietary software. “Lancom heeft altijd haar eigen OS ontwikkeld. We kennen elke regel code, er is niets in het product dat door derden is samengesteld. Dat lukt je bij open source-omgevingen nooit.” Of de aandacht voor security-problemen zoals Heardbleed en NSA ertoe leidt dat open source een terugval zal krijgen durft Stefan Herrlich niet te zeggen. Er zijn volgens de managing partner zeker omgevingen waarin je open source redelijk probleemloos kunt inzetten, maar voor die onderdelen van het netwerk waar je optimale veiligheid wenst, bijvoorbeeld de routers die de connectie vormen tussen het private en het publieke domein, geldt dat beslist niet. “Vaak wordt proprietary software als iets onwenselijks beschreven. Wij delen die opvatting niet en werken al sinds de oprichting van Lancom aan en met ons eigen OS.” VEILIGE EPAPER-DISPLAYS Lancom concentreert zich in haar aanbod op zes verticalen, waarvan hospitality, healthcare en retail de belangrijkste zijn. In dat laatste domein kondigde de fabrikant onlangs een samenwerking aan met het Oostenrijkse imagotag. Gezamenlijk brengen de leveranciers draadloze ePaper-displays op de markt die in retailomgevingen met een specifieke radio aangestuurd worden. Deze radio is toegevoegd aan een wlan Access Point. Tegelijkertijd is iBeacon als derde radio technology toegevoegd. Herrlich: “Retailers hebben belang bij zo veel mogelijk informatie over hun klanten. Online shops krijgen die haast automatisch binnen, fysieke winkels hebben het lastiger. Door naast wlan-tracking ook iBeacon-tracking (Bluetooth 4.0) in te zetten kunnen we op tien centimeter nauwkeurig registreren waar een bezoeker zich in een winkel bevindt, hoe zijn routing door het pand is en waar hij blijft staan kijken naar een product.” Een onderneming als Mediamarkt monitort continu op internet hoe prijzen van verschillende producten zich ontwikkelen. Door elektronische displays te gebruiken kunnen ze hun prijzen op elk moment van de dag bijstellen. Deze innovatie maakt retailers flexibeler. Ook hier is het echter zaak alle data veilig in het netwerk te houden. “Wij denken dat het inzetten van iBeacon-technologie zowel voor consumenten als voor retailers voordelen biedt, maar je zult in elk geval security en privacy goed moeten regelen”, legt Herrlich uit. “Daarnaast zullen consumenten niet ongevraagd aanbiedingen krijgen, maar is de communicatie geïntegreerd in een app die ze, bijvoorbeeld als vaste klant van een warenhuis, hebben geïnstalleerd.” Dankzij wlan en iBeacons weet een retailer dus waar de klanten zijn in een warenhuis, of zien reizigers op hun smartphone hoe ze op een vliegveld het snelst naar een andere gate kunnen lopen. Volgens Herrlich kan de technologie nieuwe winkelervaringen mogelijk maken, met gepersonaliseerde aanbiedingen. En het geeft de retailer inzicht. Mercedes Daimler in Duitsland gebruikt bijvoorbeeld bewegingsdata om klantbewegingen te volgen in een showroom. “Ze adverteren op vrijdag in de grote kranten en kijken in het weekend of mensen inderdaad naar dat specifieke model lopen.” Herrlich is echter realistisch: “Het werkt alleen als het veilig en zeker kan. Data van de retailer moet binnen zijn omgeving blijven, gegevens van klanten mogen niet op straat liggen.” En niet alleen dat, het zijn de partners van Lancom Systems die toepassingen moeten ontwikkelen die aansluiten op de wensen van de markt. “In zekere zin laten wij het product los en nodigen developers uit om de technologie door te ontwikkelen.” Stefan Herrlich, Managing Partner bij Lancom Systems 18 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 19 EXPERTVISIE CENTRIC TRENDS IN SECURITY 2015 SECURITY • AWARENESS IN VIJF STAPPEN Stelt u zich eens voor: een voor u onbekend persoon staat voor de deur. In haar ene hand een zware tas, in de andere hand een telefoon waarmee ze druk aan het bellen is. “Bedankt, ik weet de weg hoor”, mompelt ze terwijl u de deur open doet en ze u voorbij loopt de gang op. Wat doet u? Dat het beveiligingsbewustzijn van medewerkers een belangrijke rol speelt bij het beheersen van risico’s zal niemand betwisten. Het is een belangrijke verdedigingslinie op gebieden waar techniek ons niet kan helpen. Als wapen tegen social engineering, bijvoorbeeld, maar ook in de naleving van beleid en procedures. Toch blijkt het verhogen van het bewustzijn rondom informatiebeveiliging een van de grootste uitdagingen voor organisaties. Hoe realiseert u een verhoogde security awareness? We zetten de vijf stappen naar een passend bewustzijnsniveau op een rij. EEN TWEEDE NATUUR Diverse aspecten spelen een rol bij het verhogen van het beveiligingsbewustzijn. De cultuur binnen uw organisatie, bijvoorbeeld. Maar ook sociologische aspecten zoals normen en waarden en de kennis en het inzicht van uw medewerkers. Tegelijkertijd biedt de menselijke natuur een tegenkracht. Wij zijn van nature bijvoorbeeld hulpvaardig en doen dus gemakkelijk de deur open voor een vreemde. En omdat we confrontaties graag mijden, zijn we niet snel geneigd deze bezoeker naar zijn of haar bedoelingen te vragen. Toch zou u willen dat medewerkers beter helpen bij het beveiligen van uw organisatie. Hoe groeien zij uit van de zwakste schakel in de beveiligingsketen tot een betrouwbare verbinding die de keten juist versterkt? STAP 1 - DOELSTELLING Het begint allemaal met een goede doelstelling. Wat is het gewenste niveau van beveiligingsbewustzijn? Dataclassificatie en een risicoanalyse geven inzicht in aandachtsgebieden ten aanzien van het gewenste bewustzijnsniveau. Vaak zijn er bijvoorbeeld afdelingen die een verhoogd bewustzijn vragen ten opzichte van de rest van de organisatie. • Cultuurverandering: Uiteindelijk wilt u een cultuurverandering teweeg brengen. Veilig omgaan met informatie moet voor al uw medewerkers een tweede natuur worden. Het hoogste doel is het stimuleren van een intrinsiek bewustzijn, een “security-onderbewustzijn.” • Management: Bestuurlijke betrokkenheid en draagvlak bij het management zijn onmisbaar om blijvende security awareness te realiseren. De mensen aan het hoofd van uw organisatie vervullen een voorbeeldfunctie en moeten initiatieven ondersteunen. STAP 2 - INVENTARISATIE Nu u een doel voor ogen heeft, is het de vraag hoe ver u van dat doel verwijderd bent. Dit meet u bijvoorbeeld in interviews met medewerkers of door informatiebeveiliging mee te nemen in de jaarlijkse audit(s). Met behulp van speciale tooling (e-learning) kunt u het actuele kennis- en inzichtniveau vaststellen. • Meldingen: Een interessante indicator is het aantal gemelde beveiligingsincidenten. Hou er echter rekening mee dat deze indicator aanvullende inzichten vraagt, bijvoorbeeld over de aard van de inci- 20 denten. Want betekent een toename van het aantal gemelde incidenten een verhoogd of juist een verlaagd beveiligingsbewustzijn? Proef op de som: Net als uw netwerk- en applicatiebeveiliging, kunt u de menselijke barrière aan een ethical penetration test onderwerpen. Meet hoelang het duurt tot die onbekende bezoeker wordt aangesproken. En hoeveel medewerkers steken een gevonden USB-stick achteloos in hun laptop? STAP 3 - STRATEGIE Als u een beeld heeft van het verschil tussen het gewenste en het huidige beveiligingsbewustzijn, kunt u de strategie ontwikkelen waarmee u dit ‘awareness gap’ gaat overbruggen. Richt u op het doorlopen van het leerproces van Maslow: uw medewerkers verhogen hun awareness-niveau van onbewust onbekwaam, via bewust onbekwaam en bewust bekwaam, naar onbewust bekwaam. Besef daarbij dat verschillende (groepen) personen op verschillende manieren benaderd moeten worden. • Kennis, houding, gedrag: Richt u in de basis op deze drie gebieden. Goede kennis en een juiste houding zijn de basis voor aanpassingen in het gedrag van medewerkers. • Gebruik momentum: Kies slimme momenten om beveiliging bij medewerkers onder de aandacht te brengen. Een logisch startmoment is uiteraard de introductie voor nieuwe medewerkers. Maar haak bijvoorbeeld ook aan op actualiteiten of besteed kort na een migratie, verhuizing of fusie extra aandacht aan informatiebeveiliging. • Leg regels uit: Leg regels niet alleen op, leg ze ook uit. Geef inzicht in het waarom van uw securitybeleid. Zo maakt u uw medewerkers deelgenoot van uw uitdaging en geeft u hen het gevoel dat u ze vertrouwt. STAP 4 - ACTIVITEITEN Een goede strategie vertaalt zich gemakkelijk naar de juiste activiteiten. Voer deze niet ad-hoc uit, maar maak een plan van aanpak of een planning en hou daaraan vast. Zo zet u een volwaardig awareness-programma neer. • Duidelijke communicatie: Communicatie is uw belangrijkste middel om awareness te vergroten. Goede communicatie over security is con- • • creet, praktisch en relevant. Stem de berichtgeving daarbij af op de doelgroep. Varieer met de vorm: Laat medewerkers bijvoorbeeld eens deelnemen aan een “awareness game”, organiseer informele bijeenkomsten, geef medewerkers een praktische reminder voor op de werkplek of verzin iets geheel nieuws. Niet vrijblijvend: Bewustwording is een persoonlijk proces, maar dat maakt het niet vrijblijvend. Zorg dat bijeenkomsten of e-learning door iedereen worden bijgewoond. Hierin speelt het management opnieuw een grote rol. Overweeg eventueel beloningen voor positief gedrag of maak het beveiligingsbewustzijn onderdeel van beoordelingen. STAP 5 - EVALUATIE Om te weten of uw activiteiten effect hebben, meet u periodiek de status van het beveiligingsbewustzijn. Hiervoor maakt u onder andere gebruik van de methoden die in de inventarisatiefase (stap 2) al aan bod kwamen. Een belangrijke aanvullende graadmeter is de terugkoppeling die u van diverse afdelingshoofden krijgt. • Herhalen, herhalen: Helaas is beveiligingsbewustzijn vluchtig en hebben de effecten van uw inspanningen vaak slechts een tijdelijk effect. Zolang er nog geen sprake is van “security-onderbewustzijn”, maar ook als dat er wel is, moet u blijven herhalen. • Vangnet: Neem de hier genoemde stappen op in een bewustwordingsproces ten aanzien van informatiebeveiliging. Daarmee geeft u continu aandacht aan het onderwerp. Zo ontstaat een natuurlijk vangnet waarop uw organisatie kan terugvallen. Terug naar het gedachte-experiment uit mijn inleiding: de voor u onbekende dame is u al bellend voorbij gelopen. Wat doet u? Gaat u haar achterna om te weten wat haar werkelijke bestemming is? Gerard Stroeve is manager Security & Continuity Services bij Centric CENTRIC ANTWERPSEWEG 8 2803 PB GOUDA T 0182 - 64 80 00 E [email protected] I WWW.CENTRIC.EU/SECURITY INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 21 EXPERTVISIE EQUINIX TRENDS IN SECURITY 2015 bijvoorbeeld om een lagere latency van applicaties te bereiken, of om back-up en uitwijkvoorzieningen (disaster recovery) te creëren. Dit waarborgt de beschikbaarheid van uw data, ook bij calamiteiten, zodat het hart van uw organisatie blijft functioneren. CLOUD & SECURITY Innovaties volgen elkaar bij de overheid snel op. Veel van deze innovaties zijn ICT-gedreven. Ze creëren datastromen die in toenemende mate in een cloud-omgeving worden opgeslagen. En dat brengt forse beveiligingsuitdagingen met zich mee. De vaak privacygevoelige gegevens hebben een waterdichte security nodig – een feit waarop toezichthouders en juristen telkens weer hameren. In dit artikel laten we zien hoe Equinix, wereldmarktleider in datacenters, deze uitdagingen pareert. Datacenters van Equinix vormen perfect beveiligde omgevingen voor uw data. In Nederland staan deze datacenters in Amsterdam, Zwolle en Enschede. Het zijn gebouwen waarin bedrijfskritische ICT-apparatuur veilig is gehuisvest. Elk datacenter heeft uitgebreide fysieke beveiligingsmaatregelen, geavanceerde systemen voor klimaatbeheersing en brandbestrijding plus diverse noodstroomvoorzieningen. Al deze systemen zorgen ervoor dat de ICT-apparatuur in het datacenter ook tijdens calamiteiten goed blijft functioneren. Bedrijfskritische en gevoelige data zijn dus volledig veilig opgeslagen. FYSIEKE SECURITY Alle Nederlandse datacentra van Equinix bieden de hoogst mogelijke fysieke beveiliging. De toegang tot de serverruimten zélf verloopt uitsluitend via sluizen met dubbele deuren. Deze deuren hebben badge readers om bevoegde personen te identificeren. Bezoekers mogen uitsluitend onder begeleiding van een Equinix-medewerker naar binnen. Elk datacenter wordt bovendien via camera’s bewaakt. Voor klanten die extra gevoelige informatie verwerken, zoals overheidsdiensten of betalingsproviders, bieden we extra afgeschermde en geblindeerde serverruimten. Deze hebben onder meer een kooi-in-kooi-opzet, extra hekken, beveiliging met infraroodstralen en camera’s, extra toegangscontrole en een stofdeeltjesalarm. 22 EQUINIX MANAGED SERVICES In Nederland heeft Equinix een bedrijfin-het-bedrijf: Equinix Managed Services. Het levert een groot aantal aanvullende ICT-infrastructuurdiensten in de Equinix-datacenters, zoals secure cloud, storage en netwerken. Equinix Managed Services biedt vrijwel altijd maatwerkoplossingen. Het zijn oplossingen op basis van actuele industriestandaards en bouwstenen uit de praktijk met een zeer hoge kwaliteit. Deze diensten omvatten twee abstracte infrastructuurlagen op de Equinix Datacenter Services (zie figuur 1). De diensten bevatten zowel hardwa- re voor co-locatie en hosting als diensten voor bijvoorbeeld beheer, security, configuratie, monitoring en onderhoud. CLOUD-DIENSTEN EN MAATWERK Managed cloud-diensten. Voor velen is het een vaag begrip. Toch is het dat niet. Een ‘cloud’ is niets anders dan computercapaciteit die u via internet, een vaste verbinding of een digitale marktplaats benadert. Het betekent dat u data en rekenkracht elders onderbrengt. Bijvoorbeeld in een datacenter van Equinix. Equinix Managed Services is secure cloud integrator. Het wil zeggen dat we op veilige wijze uw eigen computercapaciteit kunnen integreren met data en rekenkracht die u bij Equinix onderbrengt én met de data die u eventueel onder eigen beheer of bij een andere aanbieder afneemt. U kunt als klant van Equinix ervoor kiezen om uw data in Enschede, Zwolle, of Amsterdam onder te brengen. Ook een verdeling over meer datacenters is mogelijk, SECURITY EN INFORMATIEBEVEILIGING Bedrijven in Nederland verliezen miljoenen door cybercrime, ofwel het illegaal verkrijgen van data of het verstoren van ICT-systemen, bijvoorbeeld met DDoS-aanvallen. Cybercrime vormt samen met digitale spionage (ook door overheden) een grote bedreiging voor organisaties. Equinix Managed Services heeft een breed palet aan diensten en middelen om deze bedreiging te minimaliseren. DATASECURITY: TRENDANALYSE ALS LEIDRAAD Equinix Managed Services investeert onder andere in anti-DDoS-infrastructuur. Het is een systeem dat trends in dataverkeer analyseert en DDoS-aanvallen kan onderscheiden van legitieme pieken in het dataverkeer. De technologie voor trendanalyse biedt meer mogelijkheden om de security-slagkracht te verhogen. Investeringen in dit werkveld nemen de komende jaren verder toe. Trendanalyse-beveiliging (SIEM – Security Information & Event Management) vult onze bestaande preventieve securitytechnologie aan. Maar daartoe behoren ook Next Generation Firewalls en trafficfilters. SECURITY IN ONZE ORGANISATIE: CERTIFICERINGEN Security is meer dan techniek alleen. Het vergt robuuste processen in de organisatie en een volledige integriteitsgarantie van medewerkers, bijvoorbeeld via screening, een VOG en geheimhoudingsclausules. Op alle punten voldoet Equinix hierbij aan internationale normen. Het is zelfs ons beleid. We investeren continu om te blijven voldoen aan de meest recente ISO-certificeringen. We voeren de volgende certificeringen: • Van goud naar de cloud: het datacenter van Equinix in Enschede is gevestigd in het voormalige Nederlandsche Bankgebouw. Waar vroeger het goud veilig lag opgeslagen ligt nu het goud van nu en de toekomst: (big) data • ISO 9001:2008 (beheer en borging van kwaliteit in de organisatie) OHSAS 18001:2007 (Britse norm voor de gezondheid en veiligheid van medewerkers op de werkvloer) Figuur 1. Opbouw Equinix Managed Services infrastructuur • • • • • ISO/IEC 27001:2013 (de internationale standaard voor informatiebeveiliging) ISO 50001:2011 (de internationale standaard voor de omgang met energie en voor het terugdringen van energieverbruik) ISO 14001 (milieubeheer en het in kaart brengen van het risico op schade aan het milieu) PCI-DSS (de norm voor databeveiliging in het betalingsverkeer via creditcards en pinpassen). SSAE16/ISAE3402 (de norm voor serviceorganisaties die aanvullende informatie rapporteren aan accountants over hun interne controle) PATRIOT ACT De Patriot Act geeft de Amerikaanse overheid vergaande juridische bevoegdheden om de gegevens die in datacenters liggen opgeslagen, in te zien. Voor veel Europese klanten is dit een bron van zorg. Equinix Managed Services garandeert dat uw data binnen de Nederlandse landsgrenzen blijft en uitsluitend in Equinix-datacenters in Amsterdam, Zwolle en Enschede is ondergebracht. Een eventueel verzoek tot gegevensvordering uit de USA is juridisch volledig geblokkeerd, aangezien de Nederlandse activiteiten van Equinix buiten deze invloedsfeer vallen. MEER INFORMATIE Cloud & Security vormen de hoofdthema’s in het dienstenpakket van Equinix Managed Services. In dit artikel hebben we ons beperkt tot deze thema’s. Equinix is al jaren partner van diverse Nederlandse overheidsorganisaties en bedrijven, maar gaat wereldwijd veel verder: Equinix heeft ruim 100 grootschalige datacenters die de hoogste niveaus aan gegevensbeveiliging, beschikbaarheid en kwaliteit bieden. Deze datacenters staan in 32 markten, verspreid over 15 landen in Amerika, EMEA en Azië-Oceanië. De vijf Nederlandse vestigingen zijn verspreid over Amsterdam, Enschede en Zwolle. Wilt u meer weten over Equinix Managed Services? We staan u graag te woord. EQUINIX AUKE VLEERSTRAAT 1 7521 PE ENSCHEDE T 053 - 750 30 51 E [email protected] I WWW.EQUINIX-MANAGED-SERVICES.NL INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 23 EXPERTVISIE FORTINET TRENDS IN SECURITY 2015 VIRTUALISATIE VAN FORTIGATE GEEFT ROC VAN TWENTE VEILIGHEID EN VRIJHEID De infrastructuur van het ROC van Twente is bijna volledig gevirtualiseerd. Hiertoe is besloten omdat virtualisatie minder stroom en hardware nodig heeft, maar ook vanuit het oogpunt van kostenen ruimtebesparing. Het was daarom logisch om ook de firewalls te virtualiseren. Voor het ROC was de FortiGate-VM08 een geweldige uitkomst. Rick Ruumpol, Hoofd ICT van ROC van Twente: “De FortiGate biedt ons een secure gateway voor internet en helpt ons bij het beveiligen en bekrachtigen van ons BYOD-beleid. Dankzij virtualisatie kunnen we totale protectie bieden met hoge prestaties, binnen ons streven naar maatschappelijk verantwoord ondernemen.” Bij het ROC van Twente verzorgen ruim 1.800 medewerkers beroepsopleidingen, trainingen en cursussen voor ongeveer 25.000 studenten en cursisten. Dit gebeurt op circa 20 locaties in de regio’s Almelo, Hengelo en Enschede. Met zoveel gebruikers die voor hun dagelijkse werk en studie afhankelijk zijn van de ICT-netwerkinfrastructuur, is het belangrijk dat deze optimaal presteert. De prestaties worden echter continu bedreigd door onder andere virussen en andere malware. In 2008 introduceerde een externe adviseur Fortinet bij ROC van Twente. “Zijn enthousiasme overtuigde ons dat Fortinet de juiste partij was om het netwerk te beveiligen”, zegt Ruumpol. “De keuze viel op een FortiGate 3810A voor de bescherming van de infrastructuur. De belangrijkste overweging daarbij was dat de FortiGate veel meer is dan alleen een firewall. Het voorziet in unified threat management (UTM) en integreert dus allerlei beveiligingsmaatregelen, zoals intrusion prevention en detection (IPS/ IDS), antivirusbescherming en URL-filtering. Dat is allemaal geïntegreerd in één appliance, wat het beheer en onderhoud aanzienlijk vereenvoudigt.” Zes jaar geleden ging men er nog vanuit dat een capaciteit van 350 Mbps voldoende was voor de FortiGate. “De nieuwe smartphones en tablets veranderden dat snel”, aldus Ruumpol. “Daarmee kwamen namelijk ook nieuwe toepassingen, zoals webgebaseerde applicaties, cloudopslagdiensten en digitale leermiddelen. Dat legde een groot beslag op de capaciteit van ons netwerk, vooral van het draadloze netwerk.” Het aantal simultane gebruikerssessies verdriedubbelde in korte tijd. “We probeerden dat binnen de perken te houden, bijvoorbeeld door studenten en medewerkers maar met één apparaat tegelijk gebruik te laten maken van het netwerk”, zegt Ruumpol. “We beperkten ook de up- en downloadsnelheid tot 5 Mbps om te voorkomen dat iedereen grote databestanden binnenhaalt. Maar al deze begrenzing houdt natuurlijk niet lang stand.” Nagenoeg alle studenten, cursisten en medewerkers krijgen tegenwoordig met smartphones en tablets toegang tot het internetnetwerk van ROC van Twente. Zij willen daarbij bovendien zelf kunnen kiezen welke apparaten zij gebruiken. ROC van Twente komt aan die wens tegemoet met het Bring-Your-Own-Device (BYOD)-beleid. In feite stimuleert de onderwijsinstelling daarmee dat nog meer mensen draadloze apparaten gebruiken. “Het is belangrijk dat de FortiGate al deze simultane sessies kan verwerken”, zegt Ruumpol. “De oplossing lag in dezelfde benadering die ROC van Twente hanteert voor andere delen van het netwerk: virtualisatie. “Onze infrastructuur is nagenoeg volledig gevirtualiseerd”, zegt Ruumpol. “Uit het oogpunt van kostenen ruimtebesparing, maar ook omdat virtualisatie minder stroom en hardware nodig heeft. Dat is dus ook beter voor het milieu. Het was daarom een logische keuze om ook een virtuele FortiGate te installeren. We hebben die mogelijkheid zorgvuldig overwogen en dit bleek voor ons de beste keuze. Al het netwerkverkeer naar buiten verloopt via de FortiGate, dus als je deze kunt schalen naar behoefte, maakt dit het beheer een stuk eenvoudiger. Het was daarom logisch om ook de firewalls te virtualiseren. Dat is mogelijk met de FortiGate-VM. Na een test met een FortiGate-VM08 bleek dat deze in combinatie met onze eigen hardware ruim voldoende capaciteit bood.” DE OPLOSSING ROC van Twente koos voor een virtuele FortiGate op basis van de zwaarste processors in de onderliggende hardware. Ruumpol: “We hebben deze bovendien ROC van Twente locatie Hengelo (Fotografie Monique Kerkhof) binnen ons streven naar maatschappelijk verantwoord ondernemen.” Virtualisatie geeft de ICT-afdeling van ROC van Twente bovendien veel meer vrijheid om zelf het beheer en onderhoud uit te voeren. Ruumpol: “De FortiGate-appliance presteerde goed, maar het was hardware, waardoor er limieten waren aan de mogelijkheden om de ca- “We kunnen de virtuele FortiGate schalen naar behoefte, dat maakt het beheer een stuk eenvoudiger” meteen dubbel uitgevoerd, zodat er een terugval beschikbaar is bij calamiteiten of storingen. Zo viel de keuze op een cluster van twee FortiGate-VM08 virtuele appliances, aangevuld met FortiAnalyser-VM64 voor analyses en rapportages. FortiAnalyzer analyseert de gegevens uit de virtuele FortiGate en maakt rapportages voor de ICT-afdeling. Zo hebben we snel inzicht in netwerkverkeer en eventuele afwijkingen of aanvallen. Dat is een verplichting voor Surfnet, maar het loont ook voor onze eigen doeleinden. De combinatie van FortiGate en FortiAnalyzer biedt ons een secure gateway voor internet en helpt ons bij het beveiligen en bekrachtigen van ons BYOD-beleid. Dankzij virtualisatie kunnen we totale protectie bieden met hoge prestaties, paciteit op te schalen. Nu we een virtuele appliance gebruiken, kunnen we de onderliggende server zelf kiezen, installeren, onderhouden en, indien nodig, vervangen. Het is een groot voordeel dat we de servers daarbij zelf kunnen kiezen. We werken al jaren met servers van HP, dus we hebben daar veel ervaring mee. We installeerden VMware en daarbovenop de virtuele FortiGate. Deze bedient alle lagen daaronder.” De FortiGate-appliances zijn weer ingedeeld in meerdere aparte firewalls, zodat er gescheiden paden zijn voor bijvoorbeeld beheerde en onbeheerde systemen. Er zijn bovendien afzonderlijke firewall-functies, zoals voor het draadloze netwerk. “Als we dat allemaal moesten regelen met fysieke appliances, waren er behoorlijk omvangrijke en dure dozen nodig geweest”, weet Ruumpol. “Dankzij de virtuele versies van de FortiGate blijven we gebruikmaken van het grootste voordeel van Fortinet: we hebben alle belangrijke beveiligingsfuncties in één device. De FortiGate-VM08 is erg efficiënt voor een omgeving zoals die van ROC van Twente. We hoeven geen losse oplossingen te kopen en te beheren. De FortiGate doet dat allemaal uitstekend.” Voor capaciteitsproblemen vreest Ruumpol niet meer. “Het hoge aantal sessies is geen probleem voor de virtuele FortiGate, we hoeven ons geen zorgen meer te maken over piekuren. We kunnen de servers waar de FortiGate-VM op draait eventueel voorzien van zwaardere cpu’s, zonder dat we iets hoeven te veranderen aan de FortiGate. Zo kunnen we snel opschalen terwijl de gebruikers daar niets van merken.” “De FortiGate-VM08 heeft een doorvoersnelheid van 4.0 Gbps, dat is ruim voldoende voor onze 1 Gbps-internetverbinding. Dankzij de licentiestructuur van Fortinet kunnen we bovendien relatief goedkoop capaciteit bijschalen als dat nodig is, want we hoeven daarvoor geen nieuwe apparaten of licenties aan te schaffen.” FORTINET NEDERLAND HARDWAREWEG 4 AMERSFOORT 3821 BM [email protected] WWW.FORTINET.COM Rick Ruumpol, Hoofd ICT van ROC van Twente 24 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 25 EXPERTVISIE G DATA TRENDS IN SECURITY 2015 ‘LANDSGRENZEN ZIJN PLOTSELING WEER VAN GROOT BELANG IN IT-SECURITY’ Afgelopen september stelde G DATA een nieuwe sales- en marketingdirecteur aan: Walter Schumann. In deze rol is Schumann niet alleen verantwoordelijk voor de internationale sales en marketing, maar maakt hij ook deel uit van de driekoppige Raad van Bestuur van de Duitse securityleverancier. Wat opvalt, is het internationale CV van Schumann. Met Schumann aan het roer lijkt G DATA een nieuwe weg in te slaan. “G DATA is een fantastisch bedrijf, dat vooral in Duitsland een grote naamsbekendheid geniet. Dat is ook niet zo vreemd, want volgend jaar bestaat G DATA alweer dertig jaar. In IT-land, en in IT-securityland in het bijzonder, is dat een unicum”, begint Schumann. “Maar G DATA is, net als de meeste andere Duitse bedrijven in de grote-thuismarkt- val gelopen. We hebben een beetje de ‘New York, New York’- illusie in Duitsland: ‘If we make it there, we can make it anywhere’. Dus pakweg de eerste twintig jaar van het bestaan van G DATA, is de volledige focus uitgegaan naar de eigen thuismarkt.” En dat ging goed: G DATA veroverde een gunstige marktpositie en was winstgevend. “In de afgelopen tien jaar is er gewerkt aan het uitbouwen van het succes in andere landen, maar in die landen heb je niet het thuismarktvoordeel. Het vraagt dus om andere tactieken dan degene die zijn toegepast in Duitsland. Eigenlijk is dat vreemd, omdat in de laatste tien jaar grenzen zijn vervaagd. Zowel in de zakelijke wereld als met name ook op internet. Het internet kent nauwelijks grenzen en het maakt cybercriminelen al helemaal weinig uit op welk stukje van de wereld zijn slachtoffer toevallig woont. Tegen die achtergrond zou je denken dat het niet uitmaakt waar de IT-security die je gebruikt vervaardigd is, als die maar de beste is. Maar aan die logica is zeer abrupt een eind gekomen met het opstaan van Edward Snowden”, gaat Schumann verder. Hij doelt hierbij op de onthullingen die Snowden in 2013 deed over het spionagegedrag van de Amerikaanse inlichtingendiensten ten aanzien van niet alleen de eigen burgers en ondernemingen, maar ook die uit andere landen. “Het waren vooral de onthullingen over het PRISM-programma die ondernemers over de hele wereld hebben doen schrikken”, licht Schumann toe. “Laten we eerlijk zijn: de grootste leveranciers op het gebied van software en online services zijn van Amerikaanse origine. Het is nagenoeg onmogelijk om een onderneming te laten draaien zonder Amerikaanse IT. En toen we, dankzij Snowden, ontdekten dat alle Amerikaanse bedrijven door overheidsinstellingen gedwongen kunnen worden om gegevens van en over klanten te delen en dat ze daarover moeten zwijgen als het graf, werd duidelijk hoeveel Amerikaanse inlichtingendiensten over ons en onze ondernemingen kunnen achterhalen.” NEDERLANDSE ONVERSCHILLIGHEID Schumann kent de Nederlandse onverschilligheid als het aankomt op privacyvraagstukken. “De meeste Nederlandse burgers en een groot deel van de ondernemers in Nederland hebben de instelling ‘ik doe niets fout, dus het maakt mij niet uit als ik in de gaten word gehouden’ of ‘wat zou de Amerikaanse overheid nou met mijn gegevens moeten? Dat interesseert ze toch niets?’. Dit raakt aan een fundamentele discussie waar we in ons gesprek vandaag niet uitkomen. Maar laten we, ook heel Nederlands, puur pragmatisch naar de implicaties van die Amerikaanse Patriot Act kijken. Versleuteling mag alleen sterk zijn, als die door middel van een achterdeur kan worden ontlopen. Bestanden in de cloud moeten toegankelijk zijn voor de Amerikaanse overheid. Amerikaanse securitybedrijven kunnen worden gevraagd om staatsspyware niet te detecteren. De kennis over achterdeuren en staatsmalware kunnen in verkeerde handen terechtkomen. Een cybercrimineel die weet hoe Walter Schumann, sales- en marketingdirecteur G DATA hij in de cloud aan bedrijfsgegevens kan komen, zal het niet nalaten om iets met die kennis te doen”, legt Schumann uit. “En daarmee is het plotseling zeer relevant geworden uit welk land je software komt.” En welke rol kan G DATA hier dan in spelen? “Wij merken dat, zelfs in het nuchtere Nederland, steeds meer bedrijven doordrongen raken van het gevaar van onveilige beveiliging. Het is aan ons om organisaties ervan te overtuigen dat zij het beste kunnen kiezen van securitysoftware uit Duitsland. Duitsland kent de strengste privacywetgeving van de wereld en staat het niet toe dat onnodige gegevens van klanten worden verzameld. ‘German Sicherheit op de kaart zetten bij alle bedrijven ter wereld’ 26 Bovendien kan een Duits bedrijf er nooit toe verplicht worden om klantgegevens prijs te geven aan de overheid en worden IT-bedrijven juist geprezen als zij zich publiekelijk uitspreken tegen het inbouwen van achterdeuren. Als bedrijven zich gaan verdiepen in Duitse IT-securityaanbieders, zullen zij al snel tot de conclusie komen dat de oplossingen van G DATA al jarenlang tot de allerbeste ter wereld behoren.” En welke rol ziet Schumann zichzelf vervullen hierin? “De doelstelling van mijn teams, nationaal en internationaal, is om dit besef in alle landen door te laten dringen en zo German Sicherheit op de kaart te zetten bij alle bedrijven ter wereld.” G DATA SOFTWARE BENELUX SLOTERWEG 303A 1171 VC BADHOEVEDORP T +31 (0)20 80 80 834 E [email protected] I WWW.GDATA.NL INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 27 EXPERTVISIE HUAWEI TRENDS IN SECURITY 2015 BIG DATA-TECHNIEKEN VERSTERKEN SECURITYAANPAK AANZIENLIJK Het aantal Distributed Denial of Service (DDoS) aanvallen groeit niet alleen, maar ook de intensiteit en de lengte van de aanvallen neemt sterk toe. Dat vereist security-maatregelen waarin veel intelligentie is opgenomen. Huawei heeft daarom een Anti-DDoS oplossing ontwikkeld die nadrukkelijk gebruikmaakt van technieken op het gebied van Big Data. De tijden dat DDoS-aanvallen vooral werden toegepast om de websites van bedrijven tijdelijk onbereikbaar te maken, ligt inmiddels ver achter ons. Cybercriminelen zijn tot de ontdekking gekomen dat DDoS-attacks voor veel meer doeleinden ‘nuttig’ kunnen zijn. MILJOENEN Eerder dit jaar werd dit fenomeen bijvoorbeeld toegepast om een middelgrote firma tijdelijk los te koppelen van de site voor internetbankieren van zijn bank. Daarbij combineerden de aanvallers een aantal hulpmiddelen. Zo had men DDOS IN CIJFERS • 29 procent van de DDoS-aanvallen veroorzaakt netwerkcongestie • 35 procent veroorzaakt fouten in legacy-maatregelen op het gebied van security • 36 procent van de Denial of Service-aanvallen veroorzaakt storingen op het gebied van IT-services en gegevensverwerking aan de client-kant • 29,81 procent meer DDoS-aanvallen in 2013 ten opzichte van 2012 • 87,74 procent meer aanvallen tegen http applicatieprotocollen • 72,91 procent van de aanvallen gebruikt meer dan 1 Gbps aan data • 349 uur, 36 minuten en 42 seconden is de duur van de langst gemeten DDoS-aanval tot nu toe Bron: Huawei 2013 Security Research Report 28 de webpagina’s die deze onderneming gebruikt voor het doen van betalingen nagebouwd. Op die manier had men ook inloggegevens te pakken gekregen. Door via een denial of service-aanval de echte pagina’s voor internetbankieren onbereikbaar te maken, terwijl de nagebouwde pagina’s wel beschikbaar waren, hadden de cybercriminelen een slimme aanpak bedacht. De administratie van het bedrijf dacht normale betalingen te doen, maar had in werkelijkheid te maken met de fake-site. Op dat moment konden de criminelen op de reguliere pagina’s voor internetbankieren inloggen en betalingen verrichten. De DDoS-aanval was hierbij in feite een voorzorgsmaatregel. Mocht een medewerker van het bedrijf onraad ruiken en ontdekken dat de betaalsite nagebouwd was, dan was er nog geen man overboord. Want het bedrijf kon niet bij de echte betaalsite en kon daarmee dus ook deze illegale betalingen niet terugdraaien. Op deze manier werd het bedrijf voor enkele miljoenen benadeeld. SESSIES EN APPLICATIES DDoS-aanvallen veranderen daarmee van karakter. Dat blijkt ook uit onderzoek dat Huawei naar dit fenomeen heeft ge- daan. Het concern heeft ontdekt dat met name eCommerce- en gaming-sites gevoelig zijn voor dit soort aanvallen. Datzelfde geldt voor de webpagina’s van financiële instellingen. Daarnaast staan overheidsorganisaties steeds meer in de belangstelling van cybercriminelen. Interessant is ook om te zien welke technische componenten bij een DDoS-aanval worden aangepakt. In 31 procent van de gevallen worden servers aangevallen, in 29 procent gaat het juist om het netwerk zelf. Maar ook load balancers (20 procent), firewalls en systemen voor intrusion prevention (15 procent) worden op de korrel genomen. Het is ook niet meer zo dat bij iedere aanval massale hoeveelheden datapakketjes worden verstuurd. De attacks richten zich steeds vaker op de sessie- en applicatie-lagen, waardoor bepaalde IT-services met een relatief beperkte hoeveelheid data lam gelegd kunnen worden. In andere gevallen wordt echter juist weer wel voor een massale aanval gekozen. Zo kreeg Spamhaus, een Europese anti-spam organisatie, in 2013 bijvoorbeeld een aanval te verduren waarbij 300 Gbps werd verzonden. Dat was de grootste aanval ooit. HIGH-PERFORMANCE HARDWARE Er zijn vier componenten die samen een goede verdediging tegen DDoS-aanvallen opleveren. Deze dienen permanent in gebruik te zijn. Dat is allereerst het gebruik van high-performance hardware. Wanneer bij een aanval de hoeveelheid inkomend dataverkeer plotsklaps enorm toeneemt, is het belangrijk dat de verdedigingsmechanismen gebaseerd zijn op krachtige hardware, zodat zeer snel data die gebruikt wordt voor de aanval gescheiden kan worden van regulier dataverkeer. Daarnaast is behoefte aan een goed IP-reputatiesysteem. Hiermee kan worden vastgesteld wat de reputatie is van de verzender(s) van de grote hoeveelheid data die plotsklaps binnenkomt. Aanvallers maken echter ook gebruik van zogeheten ‘slow attacks’. Dan lijkt de DDoS-aanval in eerste instantie helemaal niet op een denial of service attack. Dan is het van cruciaal belang dat kan worden vastgesteld wat de bron van de binnenkomende data is. Zijn de karakteristieken van de bronsystemen waarmee normaal dataverkeer plaatsvindt in kaart gebracht, dan kunnen ook afwijkingen hierop worden geconstateerd. Dit is van cruciaal belang, zoals het voorbeeld hiervoor wel laat zien. Een DDoS-aanval kan immers ook bedoeld zijn om gebruikers naar een andere site te dwingen. Tenslotte is behoefte aan een mechanisme om het gedrag van applicaties goed te volgen. Normaal gebruik van applicaties kent hele andere patronen dan softwaretoepassingen die worden misbruikt voor een aanval. MEER NODIG Wat direct zal opvallen, is dat het bij anti-DDoS om veel meer gaat dan enkel en alleen het tegenhouden van niet-gewenst dataverkeer. Het is heel goed mogelijk om ook massale DDoS-aanvallen te neutraliseren. Daarvoor is het echter wel van belang dat we kunnen vaststellen welke binnenkomende data afkomstig is van gecompromitteerde IP-adressen en wat legitiem dataverkeer is. Dit vereist een grote mate van intelligentie die bovendien razendsnel toegepast moet kunnen worden. Zeker nu DDoS-aanvallen steeds vaker onderdeel uitmaken van een breder aanvalsplan van cybercriminelen, is het van groot belang dat het normale dataverkeer ook tijdens een aanval normaal het netwerk in en uit kan. Dan had het bedrijf in het eerder genoemde voorbeeld wellicht toch toegang tot de betaalsite van zijn bank kunnen verkrijgen. Maar zoals datzelfde voorbeeld ook aangeeft, dient een goede security-aanpak uit een goed op elkaar afgestemde reeks van maatregelen te bestaan. Dan was wellicht ook in een vroegtijdig stadium ontdekt dat de site voor internetbankieren niet in orde was. Op die manier had het betrokken bedrijf zichzelf veel (financiële) problemen kunnen besparen. Hans Vandam is journalist HUAWEI KRIJGSMAN 12-14 1186 DM AMSTELVEEN T +31 (0)20 430 09 19 E [email protected] I HTTP://ENTERPRISE.HUAWEI.COM/WEU/ INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 29 EXPERTVISIE ITB2 DATACENTERS TRENDS IN SECURITY 2015 ‘MKB EN CORPORATE DATABEVEILIGING ANNO 2015 VRAAGT OM DE INZET VAN PROFESSIONALS’ De laatste tijd worden we in toenemende mate geconfronteerd met nieuwsberichten over data die is ontvreemd of stiekem wordt ingekeken, zoals creditcard data, bedrijfsdata of persoonlijke data. Volgens ITB2 Datacenters, een Nederlandse aanbieder van datacenter services in de regio, zouden MKB en corporate bedrijven hieruit de conclusie kunnen trekken dat echte professionals nodig zijn voor bescherming van hun bedrijfskritische organisatiegegevens. Een groep hackers heeft een jaar lang zakelijke e-mailaccounts aangevallen, op zoek naar vertrouwelijke aandeleninformatie en marktgegevens. Zeker 100 bedrijven zijn doelwit geworden van Sandd en Reesink Support (facilitaire dienstverlener binnen het beursgenoteerde Koninklijke Reesink NV) zijn voorbeelden van corporate organisaties die hun IT huisvesting hebben ondergebracht in het nieuwste, Tier III/IV gekwalificeerde datacenter van ITB2 in Apeldoorn. 30 de hackers, aldus een nieuwsbericht in december op Infosecuritymagazine.nl. En allerlei persoonlijke gegevens van Nederlandse kinderen zijn wekenlang beschikbaar geweest voor kwaadwillenden, omdat de server van Basispoort, een stichting van vier educatieve uitgevers en drie leveranciers van schoolartikelen, een lek bevatte. Zo meldt een nieuwsbericht een dag eerder, eveneens op Infosecuritymagazine.nl. BEVEILIGINGSMODEL, SECURITY SCANS, RISICOANALYSES “Databeveiliging en het huisvesten van data is inmiddels topsport geworden” zegt Niels Hensen, directeur en eigenaar van ITB2 Datacenters, die het bedrijf oorspronkelijk oprichtte als dienstverlenende ICT specialist op het gebied van informatiebeveiliging en ICT beheer. Gaandeweg is de focus van ITB2 verschoven en is het aanbieden van professionele datacenter diensten in de regio de hoofdfocus van de organisatie geworden. Informatiebeveiliging wordt echter nog steeds in verschillende vormen als value-added datacenter service aangeboden. “Om organisatiedata tegenwoordig goed te beveiligen, is een gedegen beveiligingsarchitectuur noodzakelijk”, zegt Hensen. “Dat vraagt om het beschrijven en evalueren van een informatiebeveiligingsbeleid, om het ontwerpen en beoordelen van een informatiebeveiligingsmodel, om het uitvoeren van security scans en risicoanalyses, om kennis rond het inrichten van firewalls, noem maar op. Ook moet je gedegen kennis en ervaring meebrengen met betrekking tot virtualisering, technologie die de meeste MKB en corporate organisaties inmiddels in hun IT infrastructuren hebben geïntegreerd. Een dergelijke diepgaande kennisbehoefte op het gebied van informatiebeveiliging vraagt om de expertise van professionals. Veel corporate organisaties en zeker MKB bedrijven hebben die expertise vaak niet zelf in huis.” Het professioneel beveiligen van data begint bij de basis, het veilig huisvesten van apparatuur, software en data in een professionele datacenteromgeving. “Enkele corporate organisaties richten om specifieke redenen nog wel eens een serverruimte in binnen de eigen kantoorruimte”, zegt Hensen. “Steeds vaker kiezen organisaties er evenwel voor om dit aan professionals over te laten en te profiteren van kennis, beveiliging, connectiviteit, schaalgrootte en daarmee ook kostenvoordelen bij colocatie aanbieders.” Dat het gebruik van colocatie, oftewel outsourcing naar carrier-neutrale datacenters inmiddels voor veel gebruikers een absolute noodzaak is geworden, blijkt ook uit recente colocatie groeicijfers van Synergy Research Group. De Europese colocatie markt blijkt in Q1 van 2014 maar liefst 11 procent te zijn gegroeid, waarbij UK, Duitsland, Frankrijk en Nederland de koplopers zijn en 65 procent van de Europese colocatie omzet voor hun rekening nemen. “Professionele databeveiliging vraagt ook om value-added services die colocatie klanten op het gebied van informatiebeveiliging kunnen ontzorgen”, aldus Niels Hensen, directeur en eigenaar van ITB2 Datacenters SANDD, REESINK SUPPORT, TIMING UITZENDTEAM Postbedrijf Sandd, Reesink Support (facilitaire dienstverlener binnen het beursgenoteerde Koninklijke Reesink NV) en uitzendbureau Timing Uitzendteam, zijn voorbeelden van corporate organisaties die hebben gekozen voor outsourcing Support heeft er echter voor gekozen om alleen de IT huisvesting bij ITB2 onder te brengen. Hensen: “Het geeft aan dat bedrijven de noodzaak van een professionele datacenter inrichting en beheer onderkennen. Afhankelijk van de aanwezigheid van IT specialismen binnen de eigen organisatie, kiezen klanten ervoor ‘Corporate organisaties profiteren van kennis, beveiliging, connectiviteit, schaalgrootte en kostenvoordelen bij de colocatie aanbieders’ van hun IT-huisvesting naar een professionele colocatie dienstverlener, zoals in dit geval ITB2 Datacenters. Timing Uitzendteam heeft gekozen voor het datacenter van ITB2 in Deventer, terwijl Sandd en Koninklijke Reesink hun IT huisvesting bij het datacenter van ITB2 in Apeldoorn hebben ondergebracht. Afhankelijk van de aanwezige eigen kennis en ervaring met informatiebeveiliging, vragen dergelijke klanten om puur de colocatie dienst of eventueel aanvullende value-added services op het gebied van informatiebeveiliging. Voor Sandd heeft ITB2 bijvoorbeeld de firewall technologie geleverd en ingericht en ook een netwerkplan ontworpen. Reesink in welke mate zij al dan niet gebruik willen maken van die value-added services op het gebied van informatiebeveiliging.” Om aan de groeiende value-added services behoeften van verschillende klanten met betrekking tot dataopslag en -beveiliging tegemoet te komen, heeft ITB2 Datacenters het afgelopen jaar verschillende nieuwe datacenter services met enterprise level technologie en beveiliging geïntroduceerd. Waaronder een high-end managed datasecurity oplossing voor veeleisende gebruikers, zoals financials en defensie gerelateerde organisaties. Ook heeft ITB2 een partnership gesloten met AnylinQ (tevens de grootse Huawei partner op het gebied DE COLOCATIE DATACENTERS VAN ITB2 • Datacenter Apeldoorn - Het nieuwste, Tier III/IV gekwalificeerde datacenter van ITB2 in Apeldoorn, heeft in 2013 de deuren geopend. Het datacenter is ontworpen door architect Mike Klerks, maakt voor 100% gebruik van windenergie en is voorzien van de meest innovatieve en energie-efficiënte technologieën. Dit datacenter heeft in de eerste ontwikkelingsfase een netto vloeroppervlakte van 1.500 (3x500) m2 beschikbaar. De colocatie faciliteit heeft momenteel een energiezuinige Power Usage Effectiveness (PUE) waarde van 1,25, en een gecalculeerde PUE eindwaarde van 1,07, wat ultra-energiezuinig is. Sandd en Reesink Support zijn voorbeelden van corporate organisaties die hier hun IT huisvesting hebben ondergebracht. • Datacenter Deventer - Het eerste, Tier II datacenter van ITB2 staat in Deventer en is in 2007 gestart. Timing Uitzendteam is een voorbeeld van een corporate organisatie die hier zijn IT infrastructuur heeft ondergebracht. van storage dienstverlening) om aanvullende storage diensten aan klanten te leveren. Daarnaast heeft ITB2 in 2014 op basis van SuperMicro hardware en IASO cloud technologie het product ITB2 Backup gelanceerd, een cloud gebaseerde back-up dienst die een beveiligd en kostenefficiënt, shared alternatief biedt voor het inrichten van een eigen individuele back-up omgeving. “Professionele databeveiliging bij corporate en MKB organisaties is anno 2015 meer dan alleen het outsourcen naar colocatie dienstverleners”, zegt Hensen. “Dat vraagt ook om value-added services die colocatie klanten op het gebied van informatiebeveiliging kunnen ontzorgen. ITB2 wil hen daar graag bij helpen.” ITB2 DATACENTERS GROTE WOUDHUIS 5 7325 WM APELDOORN T 088 - 48 22 000 I WWW.ITB-KWADRAAT.NL INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 31 EXPERTVISIE KASPERSKY LAB TRENDS IN SECURITY 2015 VIJF CYBERCRIMEVERWACHTINGEN VOOR 2015 Wat een nieuw jaar gaat brengen, valt vaak op te maken uit tekenen van het afgelopen jaar. Zo ook voor security. Jornt van der Wiel, beveiligingsonderzoeker van Kaspersky Labs Global Research & Analysis Team (GReAT), schotelt vijf verwachtingen voor. PINKRAKEN MET ‘ANALOGE’ COMPONENT “In 2014 zagen we al een ‘nieuw’ soort aanval op pinautomaten opduiken”, vertelt Van der Wiel. “Niet skimmen maar fysiek openbreken van pinautomaten, om zo direct op de machine malware te plaatsen. Dat openbreken gebeurt door het slot te kraken of door simpelweg op een online-forum een pinautomaatsleutel te kopen”, legt de security-expert uit. Veel pinautomaten draaien nog op Windows XP. Dat is wel de embeddedvariant die officieel nog updates krijgt, maar vaak ontbreekt het aan geïnstalleerde patches. De geplaatste malware kan dus zó zijn slag slaan. In Nederland zijn er overigens niet zo veel pinautomaten met XP, nuanceert de security-onderzoeker. Het fysieke element van deze cybercrime wordt verder doorgezet doordat de gekraakte pinautomaat van zijn geld wordt ontdaan. “Een katvanger in dienst van de bende gaat midden in de nacht langs, toetst een bepaalde code in en krijgt van de automaat een challenge-code te zien. Die belt hij of zij door naar de cybercriminelen die dan de response-code doorgeven waarna de katvanger kan kiezen welke geldlade er nu geopend moet worden.” Alleen dan niet voor navullen waar deze voorziening voor is bedoeld, maar voor leeghalen. “Het is wat analoog, ja. Maar het geeft de daders een grotere zekerheid van hun buit.” Inmiddels is deze vorm van pinkraken meer opgedoken. Een voorbode voor 2015. ‘BANKKLUIZEN’ DIRECT OP DE KORREL NEMEN De tweede securityverwachting voor 2015 is dat geldrovers hun misdadige inspanningen verschuiven van individuele bankrekeningen bij consumenten en (kleine) bedrijven naar de financiële instellingen zelf. Banken hebben in de regel hun security beter op orde dan de gewone burger of klant, maar daar valt in de praktijk toch wel wat aan te morrelen. Cybercriminelen mikken ook meer op de ‘bankkluizen’ zelf doordat de transacties voor en door bankklanten steeds beter gemonitord worden door die instanties. 32 Terwijl financiële instellingen wel goede beveiliging in huis hebben, blijft de mens de zwakke schakel. De mens die in phishingmails trapt, die attachments blind opent en daarmee de security kan schaden. Van der Wiel noemt het recente incident van een grote Westerse bank die enkele dagen na een interne awareness-training als test een phishingmail had gestuurd. Maar liefst 85 procent van de bankmedewerkers klikte op de payload van die testmail. Eenmaal binnen bij een financiële instantie hebben cybercriminelen vele lucratieve mogelijkheden. MINDER MALWARE VOOR DE MASSA De verschuiving naar ‘bankkluizen’ betekent niet dat individuen en bedrijven opgelucht adem kunnen halen. Er speelt namelijk nog een andere, in 2015 doorzettende verschuiving in het cybercrimelandschap. “Minder massieve malware”, waarmee Van der Wiel doelt op de generieke malware die op een breed massapubliek is gericht. In plaats daarvan komen er meer en meer gerichte aanvallen: malware die op maat is gemaakt voor een bepaald soort slachtoffer. Ja, ook cybercriminelen doen steeds meer aan doelgroepdenken. Zo worden bijvoorbeeld Macs populairder bij malwaregebruikende dieven, weet Van der Wiel. “De aanvallen daarop stijgen gestaag. Hoewel het overigens niks is vergeleken met de Windows-malware.” Daarnaast wijst hij op het gebruik van tablets voor internetbankieren, waarmee die apparaten een aantrekkelijk doelwit zijn voor cybercriminelen. Deze malwarespecialisatie voor specifieke platformen en groepen slachtoffers is niet alleen vanwege de ‘marktmogelijkheden’ maar ook vanwege de benodigde inspanning. Het maken van massamalware die op vele verschillende systemen werkt, is veel werk, weet Van der Wiel. Lichtpuntje is dat de malwaredreiging voor consumenten relatief afneemt, omdat het voor organisaties juist toeneemt. APT-VERSPLINTERING EN VERVEELVOUDIGING De afgelopen tijd hebben diverse autoriteiten enkele grote groepen achter APT’s (advanced persistent threats) ontmaskerd, vertelt de expert van Kaspersky Lab. Het uitvoeren van geavanceerde aanvallen die lange tijd onopgemerkt blijven, wordt hierdoor bemoeilijkt. De Jornt van der Wiel verwachting is dat in 2015 APT-groepen uit elkaar vallen. Hetzij door arrestaties, hetzij om minder goed op te sporen te zijn. Hierdoor ontstaan er wel meer kleinere groepen die APT’s uitvoeren. Dit leidt dan ook tot meerdere aanvallen, waarschuwt Van der Wiel. MEER FOUTEN IN OPEN SOURCE Zowel geavanceerde cyberinbraken en spionagecampagnes als relatief gewone malware maakt gebruik van menselijke én softwarefouten. De verwachting voor 2015 is dat er meer fouten in open source-software worden ontdekt, vertelt de onderzoeker. Niet dat die vorm van software nou meer fouten bevat, maar er wordt tegenwoordig kritisch naar die veelgebruikte software gekeken. Enerzijds door ethische hackers die gaten zoeken om ze te (laten) dichten, anderzijds door cybercriminelen die er hun slag mee willen slaan. Naast de aanwezigheid van fouten in software - of dat nou open of closed source is - speelt er nog de kwestie van fouten in software die in gebruik is. Het ontbreekt in de praktijk nog altijd vaak aan goed patchbeleid, waardoor bekende beveiligingsgaten gewoon open staan. “Sommige APT’s gebruiken zero-day gaten [waar nog geen patches voor beschikbaar zijn - red.], maar veel APT’s niet; die gebruiken oude gaten.” Van der Wiel noemt de in 2014 onthulde Crouching Yeti-malware die industriële systemen op de korrel neemt en daarvoor exploits uit 2012 en 2013 benut. “Cybercriminelen hebben open deuren nodig. Update dus je software”, luidt het advies van Kaspersky Labs onderzoeker Van der Wiel. Hij erkent dat updates ook voor problemen kunnen zorgen, maar dat moet patchen niet in de weg staan. “Je moet het omdraaien: de kans dat je wordt aangevallen, is veel groter dan dat een patch je schade berokkent.” Auteur: Jasper Bakker KASPERSKY LAB PAPENDORPSEWEG 79 3528 BJ UTRECHT T 030 752 9500 I WWW.KASPERSKY.NL INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 33 EXPERTVISIE KROLL ONTRACK TRENDS IN SECURITY 2015 HOE GAAT U OM MET GEVOELIGE DATA? IT-MANAGERS ZIJN NIET VOORBEREID OP EUROPESE PRIVACYREGELS VOOR DATAWISSEN 81 procent van de IT-managers in Europa is nog niet op de hoogte van de nieuwe EU-verordening op het gebied van gegevensbescherming, de EU General Data Protection Regulation (GDPR). Dit blijkt uit onderzoek van Kroll Ontrack, specialist op het gebied van respectievelijk gegevensherstel en gegevensverwijdering. Op grond van de verordening kunnen bedrijven en instellingen worden verplicht om opgeslagen data in laptops, flash media, mobiele apparaten, servers en in de cloud, permanent te wissen. Maar hoe doe je dat op een veilige en gecontroleerde manier? De GDPR heeft tot doel de wetgeving op het gebied van gegevensbescherming samen te voegen. Niet alleen om de uitdagingen van het digitale tijdperk het hoofd te kunnen bieden, maar ook om online opgeslagen persoonlijke gegevens beter te kunnen beschermen. Zo worden Europese bedrijven verplicht persoonlijke data op verzoek, of als deze niet meer wordt gebruikt, te wissen. De GDPR is een verordening en geen richtlijn, zoals de Richtlijn bescherming persoonsgegevens van 1995. De nieuwe Europese wet heeft extraterritoriale werking, waardoor Amerikaanse ondernemingen die naar Europa exporteren ook aan de regels moeten voldoen. Verder maakt in de grotere bedrijven de Data Protection Officer zijn opwachting. Hij of zij moet zorgen dat de onderneming of instelling compliant blijft. In de pers kreeg het omstreden ‘right to be forgotten’ tot nog toe de meeste aandacht. Terecht, maar in het kader van de totale levenscyclus van bedrijfsgegevens zijn er meer aspecten die om aandacht vragen. Uit het bovengenoemde onderzoek blijkt namelijk dat 61 procent van de IT-managers geen maatregelen heeft getroffen voor het naleven van de op handen zijnde verordening. Daarvan heeft meer dan de helft (55 procent) het nagelaten het beleid voor gegevensvernietiging te herzien en aan te passen – en daarvan heeft weer een kwart toegegeven geen operationeel proces te hebben voor gegevensvernietiging. Opmerkelijk, omdat uit hetzelfde onderzoek blijkt dat 57 procent van de 660 ondervraagde ITmanagers wel verwacht dat de nieuwe wetgeving gevolgen voor hen zal hebben. Wellicht dat de aangekondigde sancties, 250.000 tot 100 miljoen euro boete, of een boete van respectievelijk 0,5 en 5 procent van de jaarlijkse wereldwijde omzet, managers alsnog aan het denken zet. SPOOKDATA Iedereen kent ze wel: verhalen over mensen die hun afgedankte computer bij het grof vuil zetten, maar die later geconfronteerd worden met gevoelige informatie die nog op de harde schijf van het apparaat stond. Het mag ondertussen ook bekend worden verondersteld dat DEL en SHIFT+DEL of het verwijderen uit de prullenbak niet afdoende is. Het DEL-commando haalt alleen een referentie weg uit de tabel. Hierdoor denkt het operating system dat het document verdwenen is, maar alle data staat nog op de harde schijf, totdat het bestand wordt overschreven. Het format-commando wijzigt slechts de tabel, zodat het lijkt dat alle bestanden en bibliotheken zijn gewist. Maar de onderliggende data staat nog steeds op de disk. Er zijn manieren om data écht voorgoed te wissen. OVERSCHRIJVEN Overschrijven van data is een goede methode om data te vernietigen. Het is daarbij belangrijk om zeker te weten dat alle gegevens daadwerkelijk zijn overschreven. Gebruikers zijn vaak niet op de hoogte waar en hoe op de harde schijf de data wordt opgeslagen. Zo worden er door verschillende programma’s veel reservekopieën aangehouden op ‘temporary sites’, maar staan ook veel gegevens in allerlei log files. Maar ook zijn er gebieden waar je normaal niet bij komt, zoals bij SSD’s. Het is met name van belang dat een onafhankelijke instantie de software heeft getest op werking. SHREDDING EN FYSIEKE VERNIETIGING Fysiek beschadigen of harde schijf shredden, ook wel de sledgehammer-methode genoemd. Kan effectief zijn, zeker omdat de kosten voor het terughalen van zwaar beschadigde schijven heel erg hoog zijn en in sommige gevallen onmogelijk. Op een klein stukje van 5 bij 5 millimeter kunnen nog meer dan 750.000 A4’tjes met data staan, een stapel van wel 75 meter hoog. De European Association for Data Media Security publiceert de DMS 2008 Standaard voor fysieke HDD-vernietiging. DEGAUSSEN OF DEMAGNETISEREN Een degausser vernietigt alle magnetisch geregistreerde gegevens, zoals op tape drives of harde schijven, met behulp van een sterk magnetisch veld. Degaussen is snel, effectief en milieuvriendelijk. Belangrijk is wel om na te gaan of het gebruikte magnetisch veld sterk genoeg is en hoe lang een specifieke hard disk daaraan moet worden blootgesteld. De hoeveelheid energie die nodig is om een opgenomen signaal volledig te wissen noemen we coërciviteit. Met de huidige schijven bedraagt deze ≥ 10K Gauss. SOFTWAREMATIG Uit onderzoek blijkt dat 54 procent van de tweedehands mobiele telefoons nog persoonlijke gegevens bevat, denk aan vertrouwelijke rapporten, e-mails en bankdetails. Zogenoemde ‘wipe-standaarden’ zijn er in overvloed. Wat te denken van Air Force System Security Instructions 5020, Bruce Schneier’s algorithm, The National Computer Security Centre (NCSC-TG-025), de German Standard BSI enzovoorts. Meestal wordt echter gebruikgemaakt van gecertificeerde software die de hele schijf overschrijft volgens de zogenoemde Amerikaanse DoD5220.22-M-standaard. Volgens deze norm wordt de harde schijf drie maal overschreven en geverifieerd. Momenteel is speciale verwijderingssoftware beschikbaar voor servers, laptops en pc’s. Daarnaast is er voor smartphones en tablets een aparte oplossing en komen specifieke bestanden en LUN’s voor selectieve dataverwijdering in aanmerking. AUDIT Dataverwijdering is moeilijk aan te tonen, zeker als er geen bewijs kan worden overlegd, zoals wel vereist is volgens de EU-regelgeving. Verwijdering van data is belangrijk, maar het bewijs van de verwijdering is nóg belangrijker. Idealiter kan het proces centraal worden beheerd via een management console. Hierdoor ontstaat een compleet, controleerbaar gegevensverwijderingsproces (data erasure). Gecertificeerde dienstverleners op het terrein van verwijderingssoftware verstrekken gedetailleerde rapporten aan het einde van elk verwijderingsproces. Daarmee kunnen managers met het volste vertrouwen een volledige audit tegemoet zien. Digitaal ondertekende rapportages geven cruciale informatie over wanneer, hoe en door wie de gegevens zijn verwijderd, evenals het serienummer van het apparaat en de conditie van de hardware. CONCLUSIE Datawissen is een vak apart. Het is een klus voor specialisten. Schakel daarom een aanbieder in met gecertificeerde methodes voor gegevensvernietiging. Deze specialisten bieden de benodigde tools, diensten en certificaten om data veilig te verwijderen van bedrijfsservers en andere apparaten, zoals mobiele telefoons en tablets. Hiermee voorkomt u dat data in verkeerde handen valt en uw bedrijf reputatie- en financiële schade lijdt door torenhoge boetes. Jaap-Jan Visser is country manager van Kroll Ontrack Nederland KROLL ONTRACK NEDERLAND KRUISWEG 825C 2132 NG HOOFDDORP T 023 - 56 73 030 E [email protected] I WWW.ONTRACKDATARECOVERY.NL Jaap-Jan Visser, country manager Kroll Ontrack Nederland 34 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 35 EXPERTVISIE MCAFEE TRENDS IN SECURITY 2015 ‘LOS ZAND BIEDT GEEN BESCHERMING’ LAPPENDEKEN VAN SECURITYOPLOSSINGEN ZORGT VOOR RISICO’S Een Russische bende gaf onlangs een lesje hacken. In totaal wist de rücksichtslose hackersgroepering ‘Cybervor’ zo’n 1,2 miljard gebruiksgegevens te verdonkeremanen van zo’n – schrik niet – 5600 websites. Hostingproviders stonden erbij en keken ernaar. Het Nationaal Cyber Security Center (NCSC) spreekt van de grootste hack uit de Nederlandse geschiedenis. Niet alleen hostingproviders krijgen het steeds moeilijker. Organisaties over de gehele breedte krijgen maar met moeite de beveiliging aan elkaar geknoopt. Dat is niet zozeer een kwestie van onkunde of desinteresse: het gevaar uit de digitale hoek neemt hand over hand toe. Het is lastig wapenen tegen hackers die wat professionalisering en organisatie betreft inmiddels niet meer onderdoen voor de Italiaanse maffia. Hun methoden worden steeds uitgekiender. Ze zijn heer en meester in het opsporen van lekken, het misbruiken aan beveiligingsoplossingen. De firewall, spamfilter, VPN-tunnel, MDM-oplossing en encryptiesoftware; voor ieder soort bedreiging zoeken organisaties naar een passend antwoord. Uit onderzoek van Pb7 blijkt dat 70 procent van de organisaties 4 of meer security-oplossingen naast elkaar gebruikt. Maar slechts 26 procent 'Voor het afslaan van geavanceerde aanvallen moeten de beveiligingscomponenten naadloos informatie kunnen uitwisselen' van zwakke plekken in beveiligingssystemen en het handig manipuleren van nietsvermoedende werknemers. Het bedrijfsleven probeert zich kranig stand te houden tegen dat groeiende en steeds uitgebreidere wapenarsenaal. Het resultaat is steeds vaker een lappendeken geeft aan dat deze oplossingen vanuit een centrale plek te beheren zijn. “Nederlandse organisaties hebben in de loop van de tijd een lappendeken aan security-oplossingen gecreëerd om zich zo goed mogelijk tegen het toenemende aantal dreigingen te wapenen. Het is echter vaak lastig een dergelijke omgeving integraal te beheren”, zegt Peter Vermeulen, directeur van Pb7.. ONMOGELIJK Die lappendeken maakt een sluitende, adequate beveiliging zo goed als onmogelijk, zo blijkt uit hetzelfde onderzoek. De functionaliteit van al die oplossingen is doorgaans niet of nauwelijks op elkaar afgestemd. Het doen van regelmatige updates - een absoluut noodzakelijke voorwaarde voor veiligheidsoplossingen – is met tig oplossingen een haast onoverzienbare klus. Sowieso is het beheer van meerdere oplossingen tegelijkertijd tijdrovend en foutgevoelig. AFWIJKINGEN Organisaties ervaren dat dan ook als dusdanig. Maar liefst 44 procent geeft aan 36 dat door de matig met elkaar communicerende en lastig beheersbare security-oplossingen dreigingen daardoor over het hoofd worden gezien. En nog eens 43 procent zegt dat die warboel de oorzaak is dat ze die dreigingen niet altijd onschadelijk kunnen maken. STEEDS COMPLEXER Die dreigingen nemen niet alleen in aantal, maar ook in complexiteit toe. Steeds vaker gebruiken hackers stealth-technieken om ongezien langs de firewall te glippen. Ook zijn DDoS-aanvallen een steeds populairdere methode. Die complexe aanvallen zijn niet of nauwelijks te ondervangen als alle gebruikte security-middelen als los zand in het netwerk hangen en wanneer deze niet centraal te managen zijn. Oplossingen die niet integraal kunnen samenwerken kunnen nooit Dat beaamt ook Vermeulen. “Aanvallen worden steeds geavanceerder en raken ook steeds meer organisaties. Om deze aanvallen te weerstaan moet enerzijds het reactievermogen geoptimaliseerd worden en moeten anderzijds pro-actiever anomalieën realtime opgespoord kunnen worden”, licht hij toe. “Hiervoor moet alle security-informatie op een integrale manier bij elkaar kunnen komen. Maar weinig organisaties blijken op dit moment hiertoe in staat.” 'Het inzetten van allerlei losse beveiligingsproducten is kansloos tegen de real-time dreigingen waar organisaties nu mee te maken kunnen krijgen' hun beveiliging op elkaar afstemmen. En dat is hard nodig, wil het dit soort aanvallen buiten de deur houden. Bovendien mist de security-verantwoordelijke het benodigde overzicht en kunnen afwijkende zaken daardoor gemakkelijker buiten de radar blijven. Dat heeft ook een menselijke oorzaak: wanneer iemand tien verschillende logs moet controleren, dan is een foutje eerder gemaakt. Bovendien zijn verbanden en afwijkingen lastiger op te sporen. Dreigingen worden zo niet altijd doorgegeven naar daar waar ze onschadelijk gemaakt kunnen worden. Volgens Pb7 is het vertrouwen in de eigen security weinig hoog. Dat is helaas nauwelijks een verrassing, maar desalniettemin baart dat zorgen. Meer dan een kwart van de ondervraagden (26%) is niet geheel zeker dat het hang- en sluitwerk een geavanceerde aanval kan weerstaan. Voor 18% hangt de vlag daadwerkelijk halfstok: zij hebben niet de illusie dat hun systemen zo’n aanval de baas kunnen. Dat 42% een ‘redelijk vertrouwen’ heeft stelt daarbij niet erg gerust, echt zeker van zijn zaak is slechts 10%. Er is eigenlijk maar één manier om de cybermaffia te voorzien van duchtige repliek: een beveiligingsoplossing die verschillende disciplines combineert en centraal beheersbaar maakt. Alleen dan kan een organisatie een aanval tijdig lokaliseren en neutraliseren. In een IT-landschap dat alleen maar complexer wordt, is het gebruik van onsamenhangende beveiligingsoplossingen nauwelijks een optie. Een solide verdediging is noodzakelijk en dat vereist een integraal beheer, duidelijke samenhang en fijnmazige afstemming van de verschillende componenten. Mischa Deden, Sales Systems Engineer voor Noord- en Oost-Europa, McAfee onderdeel van Intel Security MCAFEE INTERNATIONAL B.V. BOEINGAVENUE 30 1119 PE SCHIPHOL-RIJK T +31 (0)20 586 38 00 I WWW.MCAFEE.COM/NL INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 37 EXPERTVISIE MINKELS TRENDS IN SECURITY 2015 NIEUWE NEN NPR 5313 NORMERING DWINGT TOT DATACENTERBEVEILIGING OP LAGER NIVEAU Datacenter fabrikant Minkels heeft in 2014 een enorme toename geconstateerd in de vraag naar beveiligingsoplossingen binnen datacenters, zowel in de Nederlandse thuismarkt als Europa-breed. Volgens Minkels is dit te verklaren door het soort klanten dat in toenemende mate IT-infrastructuren onderbrengt bij carrier-neutrale datacenters, maar ook door nieuwe wet- en regelgeving op zowel Nederlands als Europees niveau. Bij de gevraagde security oplossingen gaat het niet alleen om cilindersloten op de racks, maar bijvoorbeeld ook om elektronische beveiliging met passystemen. En om intelligente systemen met RFID-technologie voor het autoriseren, registreren en loggen van handelingen, zodat een gebruiker achteraf kan controleren wie op welk moment bij een specifiek rack is geweest. Er is ook veel vraag naar beveiligingssensoren (om te checken of zijpanelen worden weggenomen), zijpaneelvergrendeling van binnen af, deurcontacten (om te controleren of een deur dicht is) en noodstroomvoeding voor sloten. “De groeiende belangstelling voor security oplossingen op rackniveau is voor een belangrijk deel te verklaren door het soort klanten dat nu hun IT-infrastructuur bij carrier-neutrale datacenters onderbrengt”, zegt Vincent Liebe, Marketing Manager van Minkels. “Vooral overheidsorganisaties en financials, organisaties dus met hoge eisen ten aanzien van beveiliging, nemen nu massaal de beslissing om hun infrastructuren extern in carrier-neutrale datacenters te huisvesten.” SECURITY EISEN EN RISK ASSESSMENT Een andere ontwikkeling die volgens Minkels bijdraagt aan de vraaggroei op het gebied van security oplossingen, is de recent vastgestelde Nederlandse Praktijk Richtlijn Computerruimtes en Datacenters (NPR 5313). Deze nieuwe normering - waar datacenter beveiliging en een zogenoemd schillenmodel voor beveiliging een belangrijk onderdeel van is - zal binnenkort tevens de basis vormen voor de nieuwe richtlijn NEN EN50600, de nieuwe Europese standaard voor inrichting van datacenters en computerruimtes. Niek van der Pas, Strategic Product Designer Data Centres bij Minkels, is als lid van de NEN-commisssie medeverantwoordelijk voor de totstandkoming van de Nederlandse Praktijk Richtlijn Computerruimtes en Datacenters (NPR 5313). “Beveiliging heeft veel aandacht gekregen in de nieuwe NPR 5313 normering”, zegt datacenternormering expert Van der Pas. “In de nieuwe standaard zijn fysieke security eisen opgenomen en bijvoorbeeld ook een risk assessment. Dit OVER MINKELS Minkels (www.minkels.com) is een wereldwijde leverancier van hoogwaardige totaaloplossingen voor datacenter infrastructuur, onderdeel van de beursgenoteerde organisatie Legrand (aanwezig in 180 landen; 4,5 miljard euro omzet). Kernprincipes: modulariteit en energie-efficiëntie Productportfolio: datacenter racks (Varicon); datacenter koeling, waaronder DX-koeling voor kleine serverruimtes en Cold Corridor aisle containment oplossingen (VariCondition); datacenter stroomverdeling (VariconPower); datacenter monitoring (VariControl); en een breed assortiment aan datacenter accessoires. 38 “Vooral overheidsorganisaties en financials stellen op dit moment steeds hogere eisen aan de beveiliging van hun IT-infrastructuren”, aldus Vincent Liebe, marketing manager van Minkels. De Minkels Free Standing Cold Corridor is een ultramodulair aisle containment ontwerp met enkel wandpanelen, dakpanelen en deuren, wat een flexibele ‘pay-as-you-grow’ oplossing biedt, inclusief een modulaire beveiligingsmodule om aan de nieuwe NEN NPR 5313 normering te kunnen voldoen. “Op rackniveau praat je over een ander soort beveiliging als bij de toegang tot een datacenter”, aldus Niek van der Pas, datacenter normering expert Minkels. De Minkels Free Standing Cold Corridor, een product dat Minkels in 2014 op de markt bracht, heeft eveneens de mogelijkheid om een beveiligingsmodule op aisle containment niveau toe te voegen. Dit ultramodulaire ontwerp is nog flexibeler dan de Next Generation Cold Corridor. Met enkel wandpanelen, dakpanelen en deuren, biedt de oplossing corporate en commerciële datacenters een kostenefficiënt ‘pay-as-you-grow’ model om luchtstroomoptimalisatie en dus energie-efficiëntie te creëren tegen lage opstartkosten (CAPEX). Op een later tijdstip kunnen alsnog beveiligingsmodules worden toegevoegd of aangepast. HET SCHILLENMODEL “In het schillenmodel binnen de nieuwe NEN NPR 5313 normering is vastgelegd dat de beveiliging in verschillende lagen - oftewel schillen - van het datacenter aan specifieke eisen moet voldoen”, zegt Van der Pas. “Op rackniveau praat je over een ander soort beveiliging als bij de buitenkant van het terrein of bij de toegang tot het gebouw. Op dat niveau moet je bijvoorbeeld denken aan het monitoren of iemand, en zo ja wie, toegang heeft gehad tot een rack. Ook wil je misschien voorkomen dat iemand een zijpaneel kan wegnemen om zich onopgemerkt toegang tot een rack te verschaffen.” biedt de garantie dat het beveiligingsniveau van een datacenter aansluit bij het businessmodel van de gebruikers en dat de dataveiligheid tot op het laagst gewenste niveau is gegarandeerd, op het niveau van aisle containment en racks.” MODULAIRE BEVEILIGINGSOPLOSSINGEN Minkels is de ontwikkeling van de nieuwe standaarden een stap voor geweest en heeft begin 2013 zijn Next Generation Cold Corridor op de markt gebracht, een ‘aisle containment’ oplossing met verschillende optionele modules waaronder ook een module met uitgebreide functionaliteit voor toegang en beveiliging. Een modulair en dus flexibel uit te breiden en te wijzigen beveiligingsoplossing, op een lager beveiligingsniveau in het datacenter zoals vastgelegd in de nieuwe NEN NPR 5313 normering. Het oorspronkelijke Cold Corridor aisle containment concept werd door Minkels - als eerste fabrikant in Europa - overigens al in 2006 commercieel op de markt bracht, tijdens de CeBIT in dat jaar. De Next Generation Cold Corridor is een flexibele aisle containment oplossing die dynamisch kan meebewegen met evoluerende gebruikersbehoeften en waar beveiliging dus ook een belangrijk rol in speelt. De toegang- en beveiligingsmodule die Minkels bij de twee Cold Corridor oplossingen aanbiedt, naast bijvoorbeeld keuzemodules zoals brandbeveiliging, airtightness en monitoring, geeft onder andere de mogelijkheid om een Cold Corridor af te sluiten middels automatische schuifdeuren, of door een mechanische zelfsluitmodule, al is een handmatige deurafsluiting ook nog steeds een optie - al dan niet synchroon. Dergelijke oplossingen kunnen gecombineerd worden met bijvoorbeeld een module voor een pincodesysteem of een kaartleessysteem. “Als datacenter fabrikant willen wij graag vooroplopen als het gaat om invulling van evoluerende klantbehoeften in het datacenter”, zegt marketing manager Vincent Liebe. “Beveiliging is daarin een belangrijk onderdeel. Ook in de toekomst zullen we onze oplossingen vroegtijdig op nieuwe marktontwikkelingen blijven afstemmen.” MINKELS EISENHOWERWEG 12 5466 AC VEGHEL T +31 (0)413 - 31 1 1 00 E [email protected] I WWW.MINKELS.COM INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 39 EXPERTVISIE NEWCHANNEL TRENDS IN SECURITY 2015 ZIJN INTERNET, CLOUD EN SECURITY EIGENLIJK WEL TE COMBINEREN? Internet en ‘de cloud’; is er een grens en waar ligt die grens? Waar eindigt de cloud, binnen of buiten je eigen netwerk? Traditioneel staat de ICT-sector bol van dure terminologie die door velen verschillend wordt geïnterpreteerd. Dat leidt niet alleen tot onduidelijkheden, maar ook tot onveilige situaties waar belangrijke bedrijfsdata kwetsbaar zijn, het gebruik ervan onbeheersbaar of oncontroleerbaar en onaanvaardbare risico’s worden genomen. Niet altijd ligt de basis hiervan binnen een niet sluitende ICT-beveiliging of het ontbreken van een goed security beleid. Tegenwoordig speelt ook de gebruiker, de werknemer, de externe partner of de klant hierbij een belangrijke rol. Deze is mondiger, veeleisender en weet vaak goed wat er mogelijk is en kent de weg tot die andere mogelijkheden. De populariteit van Dropbox, OneDrive, GoogleDrive en WeTransfer om informatie vooral snel en makkelijk te delen buiten de beveiligde kantooromgeving is niet alleen afkomstig van grote marketinginspanningen, maar vooral door de toegankelijkheid en het gemak van deze vaak gratis online dien- 40 sten gericht op consumenten en van de creativiteit van gebruikers. IEDEREEN MAG MEEKIJKEN Niet iedere organisatie zal zich even druk maken of de Nederlandse overheid meekijkt in uw internetgebruik, maar wij willen toch liever niet dat buitenlandse instanties dat wel doen en hier hun eigen voordeel mee doen. Dus waarom dan toch je kostbare bedrijfsdata delen met anderen via een veelal Amerikaanse aanbieder, terwijl bekend is dat de NSA overal toegang toe heeft? Google en anderen bepalen tevens dat zij de informatie die zij verwerken via hun zoekmachines maar ook via hun andere online toepassingen, zullen benutten voor ‘de optimalisering van hun diensten’. En zo zijn er meer en dit gaat verder dan een foto die ongewenst publiek wordt. Het management van organisaties en hun ICT-afdelingen hebben hier lang geen antwoord op gehad of waren zich niet bewust van het gebruik van deze diensten en de bedrijfsrisico’s die hierdoor ontstaan. Vaak maken zij zelf ook gebruik van deze diensten, tegen beter weten in. Inmiddels zijn er producten op de markt die wel een bedrijfszekere en veilige uitwisseling van data mogelijk maken, zon- der de onaanvaardbare of zelfs wettelijk verboden risico’s. Het is niet alleen beter om de bestaande eigen infrastructuur hiervoor te benutten en data-duplicatie te voorkomen, men heeft zo ook een hogere ROI van reeds gedane investeringen en kostbare bedrijfsdata zijn altijd volledig onder controle. Een voorbeeld hiervan is onder meer de Nederlandse softwareontwikkelaar Storgrid die een volledige Enterprise File Sync & Share (EFSS) toepassing heeft ontwikkeld, waarmee bedrijven een eigen persoonlijke en volledig veilige cloud-omgeving creëren voor het gebruiken en delen van bedrijfskritische data. CLOUD SECURITY CONTRADICTIO IN TERMINIS? Welke rol speelt de cloud binnen security? Waar lossen internet en de cloud de problemen op die zij vaak zelf veroorzaken? Hoe kunnen we de schaalbaarheid en verzamelde intelligentie in de cloud benutten voor onszelf en onze organisatie? Cloud-gebaseerde security is niet nieuw; al jaren bieden bedrijven de mogelijkheid om via de cloud internetverkeer te filteren en e-mailcommunicatie te schonen van ongewenste invloeden. Het herleiden van het volledige e-mailverkeer van een organisatie via een externe security aanbieder levert een goede bescherming op, zonder spam of malware, maar wie is die beveiliger die onze data uitpakt, analyseert en weer inpakt? Ook hier spelen de eerdergenoemde zaken een rol; wilt u dat anderen weten wat uw organisatie doet of wilt u een NSA-proof, Prism-free oplossing? Bedrijven als Panda Security bieden die zekerheid door hun systemen binnen Europa te gebruiken voor het beveiligen van het internet- en e-mailverkeer van hun klanten. Panda Security biedt sowieso een uitgebreid palet aan volledig cloud-gebaseer- de security en management toepassingen. Deze zorgen er niet alleen voor dat systemen optimaal zijn beveiligd tegen de meest creatieve en steeds vernieuwende internet-bedreigingen, maar Panda laat hen ook meedelen in Panda Collective Intelligence, een uiterst efficiënte manier om de wereldwijd verzamelde actuele kennis en ervaring op het gebied van internet-security direct te benutten. DOET EEN ICT-RESELLER NOG IETS? Ondanks dat de belangen van cloud, internet, webshops, online apps en online opslag nog steeds groeien, is de centrale rol van een goede ICT-reseller nog steeds cruciaal. Zij combineren de kennis en technische mogelijkheden vanuit de verschillende aanbieders tot een compleet, veilig en optimaal functionerend geheel, afgestemd op de wensen van hun klant. Zij gebruiken daarvoor de meest effectieve en efficiënte oplossingen en die maken tegenwoordig veelal gebruik van cloud-gebaseerde toepassingen. De flexibiliteit, beschikbaarheid en beheersbaarheid nemen hierdoor toe, waardoor organisaties hun ICT weer zien waarvoor het is bedoeld; als bedrijfsmiddel en niet als doel. Security-leveranciers als Cyberoam bieden resellers de mogelijkheid om gebruikmakend van de Cyberoam onCloud Management Systems (CCMS) de UTM-firewalls op locatie bij hun klanten centraal te beheren, inclusief het onderhoud aan firmware, security-policies, licentiebeheer en rapportages. Het resultaat voor organisaties is een verhoogde continuïteit en optimale beschikbaarheid door beter beheer en controle op afstand door hun reseller. OVER NEWCHANNEL Als value-add importeur en distributeur van ICT-security oplossingen werkt NewChannel nauw samen met haar resellers in de Benelux. NewChannel is gespecialiseerd in security, mobile data management en cloud-gebaseerde oplossingen en levert producten en diensten die een daadwerkelijke oplossing op actuele problemen en toegevoegde waarde bieden. Van het voorkomen van malware infecties tot het beheren van een grote aantallen mobiele devices, van virtuele next-generation UTM-firwalls tot sterke twee-factor authenticatie toepassingen, van projectbegeleiding tot Proof-of-Concept; NewChannel biedt samen met haar getrainde resellers een passend antwoord op vele ICT-problemen van moderne organisaties. Ook weten wat onze security en cloud-toepassingen van onder meer Storgrid, Panda Security en Cyberoam voor uw organisatie kunnen betekenen? Kijk dan op www.newchannel.nl en neem contact met ons op voor een vrijblijvend gesprek met een van onze specialisten of een van onze resellers in uw omgeving. NEWCHANNEL KORAALROOD 153 2718 SB ZOETERMEER T+31 (0)79 - 3030 144 E [email protected] I WWW.NEWCHANNEL.NL INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 41 EXPERTVISIE NORMAN TRENDS IN SECURITY 2015 NORMAN SECURITY PORTAL CREËER EN BEHEER ENDPOINT PROTECTION IN DE CLOUD Norman biedt de Norman Security Portal met antivirus. Een Norman cloud portal speciaal gebouwd voor MKB en IT-resellers, waardoor u gemakkelijk security, beheer en onderhoud via één enkel dashboard heeft. Ontworpen om IT-resellers meer overzicht te geven. Toen wij de Norman Security Portal planden, realiseerden we ons dat dit een goede gelegenheid was om een instrument te creëren dat het gemakkelijk maakt voor partners om de veiligheid op endpoints te beheren. Eveneens wilden wij een tool voor de partners om eenvoudig de beveiliging te beheren van hun klanten, zoals de toegang tot de beveiligingsinstellingen, het oplossen van veiligheidsproblemen en rapporten automatisch te laten afleveren. De gemeenschappelijke factor voor de klanten van onze partner is de behoefte aan krachtige endpoint security. Op andere gebieden kunnen zij totaal verschillend zijn, zoals bijvoorbeeld de organisatieomvang, competentie en branche. NIET-BEHEERDE KLANTEN Een klant kan de voorkeur hebben de endpoint security intern (lokaal) te beheren. In dit geval is er geen noodzaak voor de klant om de infrastructuur van het netwerk te tonen aan de partner. De partner krijgt alleen informatie over de licenties en hij kan de administratie van aangekochte licenties en het aantal gebruikte licenties beheren. Als er een plotselinge verandering optreedt en de klant een probleem ondervindt waar hij hulp bij nodig heeft van zijn partner, dan kan dit gemakkelijk worden gerealiseerd door de Norman Security Portal. De klant activeert de checkbox ‘Beheer’/ ‘Manage’ in de Norman Securi- ty Portal. De partner is dan direct in staat om zijn klanten online te helpen. BEHEERDE KLANTEN Andere klanten zouden een meer permanente behoefte aan security management kunnen hebben omdat zij niet de interne middelen willen inzetten aan IT of omdat ze geen speciaal technisch personeel hiervoor beschikbaar hebben. Voor deze klanten zou de partner het beheer van de IT-beveiligingsbehoeften kunnen aanbieden. Om het werk van de partner namens zijn klant te documenteren, kunnen er automatisch rapporten worden gegenereerd. Deze kunnen op dagelijkse, wekelijkse of maandelijkse basis worden gepland. De rapporten kunnen optioneel worden aangepast met de naam van de partner en het logo van de partner. De IT-industrie verandert sneller dan ooit tevoren en de concurrentie is hevig. Norman wil IT-resellers helpen om meer business te genereren door aantrekkelijke beveiligingsoplossingen te leveren zodat partners hun klanten beter kunnen bedienen. “Norman Security Portal met antivirus stelt IT-resellers en hun klanten in staat om endpoints te beheren vanaf één centraal webportaal (cloud) en om het beleid te controleren als hulp bij het beveiligen van de endpoints. Met toonaangevende antivirustechnologie maakt de Norman Security Portal antivirus-client bescherming en het beheer van de netwerkbeveiliging gemakkelijk en veilig”, zegt Kristian Bognæs, Director of Development bij Norman in Noorwegen. “De Security Portal is uitermate geschikt voor bedrijven van elke omvang en beschermt computers zowel op locatie als in de cloud met continue antivirusupdates”, vervolgt Bognæs. BELANGRIJKE FUNCTIES IN NORMAN SECURITY PORTAL • Eenvoudig bestellen & snelle implementatie - bestel licenties in het portal en ze zijn direct klaar voor gebruik • Bescherming van uw netwerk - toonaangevende antivirustechnologie zorgt ervoor dat uw netwerk beveiligd is tegen malware • Intuïtief beheer - beveiligingsstatus van de endpoints in één oogopslag • Gesegmenteerd beheer - finetunen van de beveiligingsinstellingen op elk niveau: klant, groep of individuele endpoint • Flexibele aanpassingen - pas uw eigen veiligheidsbeleid en klantrapportage toe • Intelligent licentiebeheer - overzicht van aantallen en soorten actieve licenties. Deze zijn direct uit te breiden en men kan het aantal licenties eenvoudig aanpassen in de Norman Security Portal • Uitstekende lokale ondersteuning lokale technische ondersteuning en klantenservice waar u altijd op kunt rekenen HELP DE PARTNER BIJ DE GROEI VAN ZIJN BUSINESS De Norman Security Portal (NSP) is een geweldig hulpmiddel voor het beheer van de netwerkbeveiliging voor elke klant. Vanuit het portaal kan een beheerder alle endpoints van het bedrijf implementeren, beheren en bewaken, ongeacht waar ze zich bevinden. De NSP is gebouwd in samenwerking met zowel partners als klanten met hierbij de focus op de wijze waarop partners de databeveiliging beheren voor hun klanten. DE ‘PARTNER NORMAN SECURITY PORTAL SIGN-UP KIT’ De Norman Security Portal (NSP) kan partners ook helpen bij de groei van hun business. Wij bieden nu onze NSP part- ners de ‘Partner Norman Security Portal sign-up kit’. Deze kit zal klanten helpen om in te schrijven (sign-up) op de NSP webpagina van de partners. Klanten die zich daar aanmelden zullen dan behoren tot die specifieke partner. Als NSP Partner kunt u beginnen met het implementeren van uw ‘Partner Norman Security Portal sign-up kit’. Wij zullen u voorzien van een HTML-code die u kunt integreren in uw eigen website. Deze HTML-code zal worden voorzien van uw unieke partner-id. Dit zal ervoor zorgen dat nieuwe klanten die zich aanmelden bij de Norman Security Portal worden gekoppeld aan u als partner. U wordt elke keer op de hoogte gebracht zodra nieuwe klanten zich inschrijven via deze pagina. Tijdens de 30 dagen trial hebben klanten de tijd om het portal te proberen en kunt u, als partner, contact opnemen met de klant. Als NSP Partner kunt u zich aanmelden bij de Norman Security Portal met uw eigen inloggegevens en controleren of de klant is begonnen met het implementeren van de endpoints. Dit geeft u de gelegenheid om in contact te komen met de klant en te informeren of ze nog vragen hebben, of dat ze klaar zijn om zich aan te melden voor een standaard licentieperiode. Mocht u hulp nodig hebben bij de opvolging van uw nieuwe klant dan heeft u altijd de Norman deskundigheid als hulp. Ondersteuning nodig; het is slechts een telefoontje verwijderd. KORTE NEDERLANDSTALIGE INTRODUCTIEVIDEO (1M 38S) http://bit.ly/1zkHIJH AAN DE SLAG MET DE NORMAN SECURITY PORTAL? Schrijf u hier in voor een gratis proefaccount: http://bit.ly/1tePcKC Maarten Prins is Marketing Communicatie Manager bij Norman Data Defense Systems Benelux NORMAN DIAMANTLAAN 4 2132 WV HOOFDDORP T 023 - 78 901 222 E [email protected] I WWW.NORMAN.NL Maarten Prins 42 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 43 EXPERTVISIE SOGETI TRENDS IN SECURITY 2015 VEILIGHEID ALS COMPUTERS NIET MEER BESTAAN In 2014 werd de ene na de andere smartwatch gelanceerd. Vele gaan nog volgen. Het lijkt een hype maar eigenlijk is er weinig nieuws onder de zon. Toch is dit het begin van de ontwikkeling waarbij er straks geen computers meer zijn. Alles en iedereen is straks een computer. Ik zeg niet dat dit het geval is in 2015 maar komend jaar worden daarvoor wel grote stappen gemaakt. En hoe borg je security als alles en iedereen een computer is? Zoals zoveel zaken in de IT wordt veel als nieuw, innovatief of zelfs revolutionair aangekondigd. Dat was in 2014 ook het geval met de smartwatches. Maar ga terug naar 1984. In dat jaar lanceerde Casio de AT550. Een horloge dat via capacitief touchscreen bediend kon worden. Je kon berekeningen maken via schriftherkenning van vingerbewegingen. Zoek maar 44 eens op YouTube. En als je dan toch bezig bent, kijk dan gelijk naar de LG-GD910 uit 2009. Een waterdichte 3G smartwatch waarmee het mogelijk is te bellen en zelfs te videoconferencen. Uitgerust met stemherkenning, media- en internetfunctionaliteit en een gebogen scherm. Los van het ontbreken van een appstore kon deze LG-GD910 smartwatch exact het- zelfde als wat vandaag de dag als technologische doorbraak wordt gelanceerd. Kijken we nu over echte innovaties heen? En wat heeft dit met security te maken? De ontwikkelingen op het gebied van smartwatches, en eigenlijk alle innovaties, leert ons dat er sprake is van drie fasen in de omarming van een bepaalde technologie. Allereerst onderscheiden we de fase ‘Technologie werkt’. In deze fase zijn we blij dat techniek iets mogelijk maakt. Denk bijvoorbeeld aan de homecomputers van eind jaren zeventig. Een unieke ervaring voor de gebruikers van toen maar het was ook flink behelpen. En wat dichterbij in de tijd, de huidige generatie 3D printers. Hiervoor geldt hetzelfde. We zijn zo enthousiast dat deze functionaliteit mogelijk is, dat aspecten zoals trage printtijd minder belangrijk lijken te zijn. Maar er komt een moment dat we de ongemakken niet langer accepteren. Zeker wanneer de hele samenleving ermee aan de slag moet. Dan moet technologie gewoon zorgeloos werken. De introductie van de iPhone is daar natuurlijk een sprekend voorbeeld van. Dat is ook gelijk de tweede fase; ‘Technologie werkt goed’. Maar hoe kek en intuïtief technologische snufjes ook zijn, hoe goed ze ook werken, als dezelfde functionaliteit alleen verspreid wordt over meerdere oplossingen, voegt het niets toe. Denk aan het kunnen bekijken van sociale media, het navigeren en het bellen op de slimme varianten van horloge, telefoon of bril. Helemaal als het elkaar juist in de weg gaat zitten. Zo heeft het Nederlandse gezin inmiddels gemiddeld vier afstandsbedieningen op tafel liggen. Voor elk medium één. Het maakt alles overbodig complex en het voegt niets toe. Daarom is de laatste fase ‘Technologie werkt goed en verhoogt de waarde van andere technologie’. Een goed voorbeeld van deze laatste fase is de integratie van een mobiele telefoon en een auto. De beller stapt in de auto die de volledige interface via bluetooth overneemt. Als gebruiker merk je dat niet. De informatie blijft toegankelijk in de nieuwe context. Het wederzijds toevoegen van waarde en als symbiose met andere devices is het paradigma wat in 2015 gemeengoed wordt. Commercieel interessant vanuit bedrijven en afgedwongen door de samenleving. Waarom is dit dan juist van belang voor security ofwel zekerheid? Informatie en de interactie met informatie is voor vele facetten nog steeds afstandelijk omdat er een duidelijke ‘computer’ tussen zit. Maar op het moment dat dit transparant wordt, gaan we echt richting het lang beloofde ‘ubiquitous computing’, ook wel Everyware genoemd. Computers zijn er dan niet meer. Tegelijkertijd is alles een computer geworden waarmee je op basis van context en intelligentie interactie hebt. Dat punt wordt niet bereikt in 2015. Echter, de fundering voor dit scenario wordt komend jaar wel gelegd. En de eerste vormen worden op grote schaal operationeel. Als er dan sprake is van onzekerheid of onveiligheid, raakt dit niet de informatie op een schermpje, maar direct de belevingswereld van de gebruiker. Dat zal de maatschappij niet accepteren. Met het risico dat we juist weer twee treden terug zijn op de innovatieladder. Kijk wat er op dit moment met wearables gebeurt. Veel mensen met een Google Glass weigeren de slimme bril buitenshuis te dragen. Niet vanwege de beperkte accu. Maar vooral door de hoeveelheid mensen die de brildragers erop aanspreken dat zoiets niet wenselijk is. De maatschappij accepteert de inbreuk op privacy niet van iets wat letterlijk ‘in your face’ is. Iedereen wil uniek zijn. Tegelijkertijd bepaalt meer dan ooit de gebruiker zelf op welke manier dat is. Privacy-first ofwel Privacy-by-Design zal daarom in 2015 meer dan ooit onderdeel worden van producten. Daarmee wordt eveneens het onderscheidend vermogen bepaald. Het kan ook de andere kant opgaan. Daarvoor moeten we naar andere aspecten van ‘ubiquitous computing’ kijken. Zo krijgen we volgend jaar te maken met Fabric (via snelle verbindingen geconsolideerde maar van elkaar gescheiden high-performance systemen) en natuurlijk ‘internet of things’. Bij die laatste zien we dat vanwege de beperkte kracht of juist de push om als eerste op de markt te zijn met deze functionaliteit, security achterwege wordt gelaten. Begin dit jaar was er een bericht over spamversturende koelkasten. Achteraf bleek dat niet waar te zijn. Maar zo raar zou het niet zijn geweest want technisch is dat mogelijk. Daarom gaat dat ongetwijfeld nog wel gebeuren. Als de symbiose door onbedoelde mogelijkheden wordt omgebogen tot digitaal parasitisme, zullen we volgend jaar te maken krijgen met zaken als de ‘botnet of things’. Afzonderlijke systemen met weinig of geen impact. Tegelijkertijd introduceren ze gezamenlijk nieuwe vormen van onwenselijke interactie met gegevens en gebruikers. Zo zullen aanvallers zelf ‘fabric computing’ construeren over bestaande resources. Om dergelijke scenario’s te voorkomen, pleit ik voor de introductie van ‘Secure by Desire’. Bij de ontwikkeling van objecten moeten we nadenken over ‘security of things’ om tot een ‘internet of secure things’ te komen. Bedenk vooraf welke problemen kunnen ontstaan en los ze op waar ze geïntroduceerd worden. Een onderdeel van het borgen van security in de levenscyclus van een object is het erkennen dat niet alle risico’s vooraf verholpen kunnen worden. Wel dat een informatiesysteem weerbaar en flexibel moet zijn, zelfs na oplevering. Met heartbleed en shellshock zagen we in 2014 oude fouten opduiken die miljoenen systemen in één klap onveilig maakten. Door het ‘succes’ en de marketing (verzin een hippe naam, laat een logo voor de zwakheid maken en registreer een website waarmee te testen valt of je kwetsbaar bent) zullen dergelijke zwakheden volgend jaar toenemen. Aandachtspunten voor 2015 zijn dan ook het snel inzicht krijgen in potentiële zwakheden, het kunnen detecteren van misbruik ervan, en juist ook in staat zijn onderliggende componenten snel in te wisselen of te patchen. Voorwaarde is het modulair opbouwen van systemen. Alleen zo realiseer je ‘resilience’. Ofwel de technologie kan dan wel wat klappen opvangen. Tijd heelt namelijk niet alle wonden maar er op tijd bij zijn wel. Marinus Kuivenhoven, senior security specialist bij IT-dienstverlener Sogeti SOGETI LANGE DREEF 17 4131 NJ VIANEN T 088 - 660 66 00 E [email protected] I WWW.SOGETI.NL/SECURITY INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 45 EXPERTVISIE SOPHOS TRENDS IN SECURITY 2015 DE EUROPESE GENERAL DATA PROTECTION REGULATION IS IN AANTOCHT! EUROPESE DATABESCHERMINGSREGELS STELLEN BEDRIJFSLEVEN VOOR NIEUWE UITDAGING Europa is flink gevorderd met zijn voorstellen voor nieuwe databeschermingsregels die Europawijd geïmplementeerd zullen gaan worden. Het zijn maatregelen die ook voor het bedrijfsleven de nodige gevolgen hebben. Wat is er precies in de maak en hoe kunnen bedrijven zich daar nu al op voorbereiden? Waar gaat het om? 25 januari 2012 werd het startsein gegeven. Het was de dag waarop de Europese Commissie haar voorstellen publiceerde voor een nieuw stelsel van databeschermingsregels, de zogeheten General Data Protection Regulation (GDPR). Doel: een ingrijpende herziening van de bestaande Europese Data Protection Directive uit 1995. In klare taal gesteld: Brussel is bezig met het formuleren en implementeren van een EU-privacywet die zijn weerga niet kent en grote gevolgen gaat hebben voor hoe bedrijven straks hun IT-voorzieningen moeten inrichten. KERNELEMENTEN GDPR De regels van 1995 stammen uit een tijd waarin het internet nog in de kinderschoenen stond. De snelheid van de technologische ontwikkelingen, in een wereld die meer en meer een dorp wordt, stellen nieuwe eisen op elk vlak. Overheden willen grip houden op destructieve krachten die het stelsel ondermijnen. Bedrijven willen alles weten van hun klanten. Tegelijkertijd willen burgers (wij!) heer en meester blijven over onze eigen data, de data die onlosmakelijk verbonden is aan onze identiteit. In dat krachtenveld is het zonder goede regelgeving voor alle partijen kwaad kersen eten. Maar waar gaat het nu heen met die nieuwe regels, wat betekenen ze voor de burger en waar moeten bedrijven zich op voorbereiden? Voorop staat dat elk individu weer baas wordt over zijn eigen data. Burgers moeten op verzoek volledig inzage kunnen krijgen in alle informatie die door een bedrijf of instelling over hen is vastgelegd, en ook het doel dat er mee is gediend, moet kraakhelder zijn. Ze krijgen het recht ‘to be forgotten’. Dat wil zeggen: indien zij niet meer willen dat hun gegevens worden bewaard en verwerkt, en er geen wettelijke gronden zijn die dat tegenhouden, dienen die gegevens op verzoek direct verwijderd te kunnen worden. Bij overstap van de ene naar de andere serviceprovider moeten ze ook zonder problemen hun persoonlijke gegevens mee kunnen nemen. En gebruiksvoorwaarden moeten in jip-en-janneketaal worden opgesteld en gestandaardiseerd. Maar er is meer. Personen, bedrijven of instellingen die persoonlijke data van klanten in beheer hebben – in GDPR-termen ‘data controllers’ genoemd – of zij die dat soort data verwerken (‘data processors’) zijn verplicht tot implementatie van dusdanige technische en organisatorische maatregelen, dat de beveiliging in het licht van de te voorziene risico’s zo optimaal mogelijk is gegarandeerd. Dat betreft zaken als handhaving van integriteit, betrouwbaarheid en beschikbaarheid van persoonsgegevens. En mocht zich een incident voordoen, dan moeten de beschikbaarheid van, en de toegang tot die data binnen redelijke termijn weer worden hersteld. Het zijn enigszins vage termen hier en daar, maar de boodschap is duidelijk: zorg dat je ‘state of the art’-technologie implementeert, want zo niet dan word je daar keihard op afgerekend. Niet alleen worden er fikse boetes in het vooruitzicht gesteld (250.000 tot 100 miljoen euro, of een omzet gerelateerde boete van tussen de 0,5 en 5 procent!), maar ook komt er een meldingsplicht indien je persoonsgevoelige data ‘verspeelt’, terwijl je die niet afdoende hebt beschermd. MAATREGELEN Wat kunnen bedrijven nu al doen, om zich voor te bereiden op deze nieuwe regelgeving die boven hun hoofden in Europa wordt uitgerold? Het zal duidelijk zijn dat ieder bedrijf, groot of klein, in het licht van de aanstormende Europese General Data Protection Regulation zijn datamanagement opnieuw aan een zorgvuldige inspectie moet onderwerpen. Verzoeken van klanten omtrent inzage, wijziging en verwijdering van data dient men te honoreren. Daar moeten faciliteiten voor komen. Daarnaast moeten bedrijven en instellingen ervoor zorgen dat ze te allen tijde verantwoording kunnen afleggen over hoe ze met de data van hun klanten zijn omgesprongen. Dat betekent het constant monitoren, evalueren en waar nodig herinrichten van dataverwerkingsprocedures, maar het betekent bovenal het implementeren van ‘state of the art’-technologie ter protectie van de data die je als persoon, bedrijf of overheidsinstelling onder je hoede krijgt. Een van de beste en meest efficiënte wapens die wij daarvoor nu al in handen hebben, is encryptie. Encryptie heeft zijn diensten reeds bewezen in diverse andere standaard beveiligingsimplementaties, zoals HIPAA (Health Insurance Portability & Acountability Act), PCI DSS (Payment Card Industry Data Security Standard) en SOX (Sarbanes-Oxley). Toch zijn veel bedrijven vaak nog terughoudend met de adoptie van encryptietechnologie. Dat komt omdat het voorheen de IT-performance nogal negatief kon beïnvloeden. Oudere encryptietechnieken deden de IT-processen soms dusdanig vertragen dat het vaak irritaties opwekte bij de gebruiker. Met moderne encryptieproducten, zoals SafeGuard Enterprise van Sophos, is die tijd voorbij. Het biedt protectie én performance. Het volgt de data en biedt bescherming waar die data ook wordt opgeslagen: op de devices van gebruikers, hun shared folders, een USB-stick of in de cloud. Bovendien is deze moderne encryptietechnologie nog heel eenvoudig te managen ook. Doe er uw voordeel mee, zou ik zeggen, als straks de General Data Protection Regulation ook bij u voor de deur staat. Pieter Lacroix is managing director van Sophos Nederland SOPHOS NEDERLAND HOEVESTEIN 11B 4903 SE OOSTERHOUT NB +31 (0) 162 480 240 [email protected] WWW.SOPHOS.COM Peter Lacroix 46 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 47 EXPERTVISIE T-SYSTEMS TRENDS IN SECURITY 2015 ‘HYPERCONNECTIVITEIT LEIDT TOT GROTERE KWETSBAARHEID’ SECURITY IN 2015 WORDT GEVORMD DOOR HET INTERNET OF THINGS Binnen de cybersecurity-branche is dit jaar veel gebeurd. Veel nieuwe ontwikkelingen - zowel in tools als in hacktechnieken en van individuele strategieën tot internationale samenwerkingen om cybercrime tegen te gaan. Patrick de Goede van Eijk, Solution Expert Security & Enterprise Architect bij T-Systems Nederland, bespreekt welke van zijn eerdere voorspellingen over 2014 uit zijn gekomen en kijkt vervolgens vooruit naar het komende jaar. Wat kunnen we verwachten en hoe beïnvloedt dit onze verdediging in 2015? DATA, DATA EN NOG EENS DATA “In 2013 merkten we al dat trends als big data, cloud computing en mobile, steeds meer mainstream werden en dat organisaties de technologieën in toenemende mate omarmden. Dit jaar was dat niet anders. Sterker nog, de diverse trends kwamen bijeen in het Internet of Things, waarin alles online gebeurt en applica- ties, netwerken, apparaten, bedrijven en mensen aan elkaar gekoppeld worden. De digitale wereld is overgegaan in een ‘hyperconnected’ wereldwijde samenleving. Dit betekent een totale omslag op het gebied van security. Er ontstaat meer data, bedrijven verzamelen meer informatie, datacenters slaan meer op in de cloud, en de waarde van small en big data neemt dus alleen maar toe”, vertelt De Goede van Eijk. “Bedrijven worden ook in toenemende mate data-driven. Dit betekende tevens de opkomst van diverse analytics tools. Hiermee kunnen organisaties orde scheppen in de datachaos. Het helpt managers bij het leggen van verbanden, het verkrijgen van real-time inzicht in bedrijfsprocessen of voorraden en bij het doen van gerichte voorspellingen voor de toekomst. Met die kennis kunnen zij klanten of consumenten persoonlijke aanbiedingen doen, hun sales en marketing optimaliseren, bedrijfsprocessen verbeteren en op innovatieve wijze groei realiseren.” Mobility draagt daarnaast bij aan het altijd toegankelijk maken van belangrijke informatie: op ieder moment en op elk device. Dit brengt een grote uitdaging mee voor security-specialisten, aangezien de toegang tot data vooral in dit digitale tijdperk extra aandacht vereist. Cybercriminelen ontwikkelen zich immers ook in een rap tempo, waardoor hun hacks met de dag gevaarlijker worden. “Om die bedrijfsdata - bestaande uit financiële, bedrijfskritische, gevoelige, politieke informatie en klantgegevens - is het de hackers precies te doen. Willen we aanvallen of diefstal tegengaan, dan moeten we de beveiliging dusdanig indekken, dat we de criminelen net een stap voor zijn. Dit is niet zo eenvoudig.” MONITOREN In 2014 hebben we daarom vooral de aandacht gevestigd op het inzichtelijk maken van cyber attacks door middel 48 van gevisualiseerde real-time monitoring. De website www.sicherheitstacho.de is hier een voorbeeld van. De website toont een dynamische wereldkaart waar actuele cyberaanvallen op worden getoond. De Goede van Eijk: “We leren hierdoor niet alleen welke landen vaak het doelwit zijn van deze georganiseerde online misdaad, maar ook vanuit welk gebied de aanval afkomstig is en het aantal aanvallen dat er op dat moment plaatsvindt. Met deze kennis kunnen bedrijven vervolgens bepalen of er een dreiging is, waar de hackers zich op richten en die systemen en netwerken dus gerichter beveiligen.” “Monitoren kan echter op diverse manieren. Alleen een ‘actueel cyberaanval-overzicht’ is namelijk niet voldoende. Je moet ook achterhalen wat er momenteel in de hackerswereld aan de gang is. Hackersnetwerken, Darknets, groeien enorm en dat zal in 2015 alleen maar toenemen. Inmiddels zijn dit hele marktplaatsen geworden, waardoor een op het eerste oog amateuristische hacker toch zeer schadelijke hacks kan uitvoeren. Via Darknets komt men met elkaar in contact, wisselt men tactieken uit en verhandelt men cyberwapens. Dit wordt een serieus gevaar, waar bedrijven meer rekening mee moeten houden bij het implementeren van security-strategieën.” SIMULEREN EN AWARENESS CREËREN Daar ligt volgens De Goede van Eijk direct een heikel punt. Een organisatie, en dan met name het hogere management, is onvoldoende op de hoogte van de dreigingen, risico’s, gevaren en potentiele schade van cybercriminaliteit. Hier moet volgens hem dan ook vrij snel verandering in komen: “Om een bedrijf volledig te beschermen, is het besef en deelname van c+-level managers essentieel. In samenwerking met het Cybercrime Research Institute worden al maandenlang aanvallen gesimuleerd. Leidinggevenden en directieleden wordt tijdens een dergelijke simulatie gevraagd on-the-spot te reageren. Stel je bent de CEO van een internationaal mediabedrijf en je ontvangt een mail van een anonieme hackergroep met het verzoek bepaalde informatie niet openbaar te maken of juist andere informatie wel te publiceren. Volg je het verzoek niet op, dan zal dit vervelende consequenties hebben, zo verzekert de groep. Dan staat de CEO voor de keuze: Wat ga je doen? Welke partijen betrek je hierbij? Geef je gehoor aan de chantage? Zo niet, welke schade lijdt het bedrijf daardoor? Welke systemen haal je offline? Kunnen bedrijfsprocessen dan nog uitgevoerd worden? Wat te doen met social media? Enzovoorts. Meer dan eens heeft het management geen idee welke stappen te ondernemen in het geval er een cyberaanval plaatsvindt op hun specifieke organisatie.” Deze ‘cyber incident simulations’ dienen daarom in de eerste plaats de awareness onder de directieleden te vergroten. Te vaak nog ligt de verantwoordelijkheid voor zulke kwesties bij de IT-afdeling en de securitymanagers, maar zij hebben vervolgens niet de rechten om beslissingen te nemen die de totale organisatie aangaan. Dat kan alleen de CEO. Het bewustzijn moet dus omhoog, willen zij die kennis kunnen toepassen op hun security-strategie en daadwerkelijk hun beveiliging verbeteren. SECURITY IN 2015 “De toenemende hyperconnectiviteit maakt bedrijven kwetsbaarder. Security in 2015 wordt daarmee alleen maar complexer. Het afgelopen jaar zagen we al dat de manier waarop aanvallen plaatsvonden zich evolueerde. Aanvallen worden aan de ene kant grootschaliger, zoals op financiële instituties, op open source netwerken en applicaties (denk aan Heartbleed) of op hele retailketens waar veel credit card en NAW-gegevens gestolen werden. Aan de andere kant neemt ook het aantal aanvallen op individuele personen en hun mobiele apparaten toe (phishing via smartphone, tablet en laptop bijvoorbeeld).” “Deze complexiteit is alleen gezamenlijk en grootschalig aan te pakken. Meerdere samenwerkingsverbanden zijn hier inmiddels al door ontstaan, zoals de Cyber Security Alliance. Naast strategische partnerships is het inzetten van verschillende security-middelen essentieel: constante monitoring, continu systemen, netwerken en toepassingen updaten, het bewustzijn vergoten, kennis opdoen over de werkwijzen van hackers, een strenge authenticatie inrichten voor de toegang tot data (identity & access management), richt je op governance en compliance, en weet waar je data opslaat. Dit laatste punt is wellicht het belangrijkste. Sta erbij stil wat de data kan aanrichten als het in verkeerde handen valt. Maar ga ook kritisch na hoe zorgvuldig je cloud provider omgaat met jouw gegevens, in welke datacenters dit terechtkomt en welke security-voorzieningen daarbij getroffen worden. Alleen het grootschalig aanpakken van de security helpt bij het kunnen bieden van weerstand tegen de cybercriminelen van vandaag de dag”, besluit De Goede van Eijk. T-SYSTEMS LAGE BIEZENWEG 3 4131 LV VIANEN T 088 447 7777 I WWW.T-SYSTEMS.NL INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 49 EXPERTVISIE TREND MICRO TRENDS IN SECURITY 2015 CYBERCRIME IN 2015: TIPS EN CYBERCRIMEACHTERGRONDEN: BLOG.TRENDMICRO.NL Wilt u weten hoe u zich op de nieuwe databeschermingswet kunt voorbereiden? Of wilt u meer weten over cybercrime, beveiliging van de cloud en mobile security in 2015? Bezoek dan de blog van Trend Micro, speciaal voor Nederlandse IT-specialisten en andere geïnteresseerden in cybercrime en security. Blog.trendmicro.nl geeft tips, handvatten en achtergronden rondom security-nieuws. DIT KAN UW ORGANISATIE VOLGEND JAAR VERWACHTEN Toen we eind vorig jaar voorspelden dat er elke maand een grote data breach zou gaan plaatsvinden waardoor er op grote schaal gegevens zouden lekken, kregen we van velen te horen dat deze voorspelling voor 2014 wel erg pessimistisch was. En hoewel ik hierin graag was meegegaan, bleek niets minder waar. Recentelijk nog stonden kranten vol met het nieuws dat persoonlijke foto’s van verschillende beroemdheden naar buiten zijn gekomen. Sommige volledig gekleed middels een ‘spiegel selfie’ tot meer expliciete afbeeldingen. Dit riep bij velen de vraag op of cloud-opslag wel veilig is. Maar ook in het bedrijfsleven was het raak. We zagen dit jaar een groot aantal instellingen slachtoffer worden van datalekken. In veel gevallen ging het om een lek als gevolg van een aanval van Pointof-Sale malware of drongen cybercriminelen het netwerk van organisaties binnen en kregen hiermee direct toegang tot informatie van hun klanten en gebruikers. Ook de overheid was wereldwijd een belangrijk doelwit van cybercriminelen. In het tweede kwartaal van dit jaar richtte ruim 81 procent van de gerichte aanvallen zich op overheidsinstanties. Zo vond onlangs Operation Pawn Storm plaats, een langdurige economische en politieke cyberspionage operatie, gericht op het leger, defensiebedrijven, ambassades maar ook overheden uit zowel Europa als de Verenigde Staten. CYBERCRIME BOVENAAN DE AGENDA Doordat bedrijven in Nederland miljoenen verliezen door cybercrime, komt het onderwerp gelukkig steeds vaker bovenaan de agenda te staan. En dat is niet voor niets, want onder meer Nationaal Coördinator Terrorismebestrijding en Veiligheid Dick Schoof geeft aan dat digitale spionage en cybercriminaliteit op dit moment de grootste bedreigingen zijn voor het bedrijfsleven en de overheid. Hij stelt dat cybersecurity op korte termijn op orde moet worden gebracht wanneer Nederland economisch een topspeler wil blijven. Voor het bedrijfsleven is het daarom belangrijker dan ooit om de beveiliging van hun organisatie op orde te hebben. GERICHTE AANVALLEN ZULLEN TOENEMEN Onlangs presenteerden we onze security-voorspellingen voor de toekomst, te beginnen met 2015. Eén van de verwachtingen voor volgend jaar is dat het aantal gerichte aanvallen, de Advanced Persistent Threat (APT), verder zullen toenemen en zich zullen verspreiden over meer landen. Hackers uit landen als Vietnam, het 50 Verenigd Koninkrijk en India gaan gerichte aanvallen inzetten. Een verhoogde cyberactiviteit zal zich vertalen naar betere, grotere en succesvollere hacking tools en pogingen tot hacken. Met name financiële organisaties gaan in toenemende mate de dreiging van cybercriminelen voelen en bedreigingen met betrekking tot bankieren zullen ernstiger worden. Nieuwe mobiele betaalmethodes gaan leiden tot nieuwe dreigingen. Het implementeren van ‘two-factor’- authenticatie voor online diensten wordt voor financiële instellingen en banken wereldwijd daarom nog belangrijker. INTERNET OF EVERYTHING Voor velen is het ‘Internet of Everything’ (IoE) nog toekomstmuziek waarbij verschillende connected devices ons leven veilig, gemakkelijker en bovenal productiever maken. Niet voor niets hebben veel CIO’s deze signalen opgepakt en bekijken zij op dit moment de mogelijkheden voor hun bedrijf. Want hoe lang duurt het nog voordat uw medewerkers met de eerste smartwatches het kantoor binnenlopen? Niet zo lang is onze inschatting. U kunt en wilt immers niet al uw medewerkers controleren op deze gadgets voordat ze het bedrijf binnenlopen en waarschijnlijk verbinding gaan maken met het bedrijfsnetwerk. De gebruiker van IT is tenslotte veranderd. Hij stelt zich niet langer afhankelijk op van wat bijvoorbeeld een werkgever hem aanbiedt. Zowel zakelijk als privé willen mensen de nieuwste gadgets en applicaties gebruikers. Komend jaar verwachten we daarom een verdere toename van bedreigingen gericht op deze smart devices. Denk daarbij aan slimme camera’s, huishoudelijke apparaten, TV’s maar ook smartwatches. Cybercriminelen worden steeds agressiever richting deze platformen, maar ook richting de organisaties die de bijbehorende data beheren. Naarmate de populariteit van het Internet of Everything door gebruikers ervan toeneemt, zal dat ook gelden voor het aantal mogelijkheden voor een aanval richting deze apparaten. Hoewel de technologi- sche diversiteit van de aantal apparaten massale aanvallen lastiger maakt, geldt dit niet voor de data die zij verwerken. Producenten van dergelijke slimme apparaten moeten daarom ook kijken hoe ze de data die op deze apparaten staan, beveiligen en niet alleen kijken naar de beveiliging van de apparaten zelf. Het is belangrijk dat een weloverwogen en goed uitgedacht plan wordt gemaakt als het gaat om deze nieuwe apparaten in uw organisatie. NIEUWE EU-WETGEVING VOOR DATABESCHERMING Maar dat geldt niet alleen voor nieuwe apparaten, ook door de komst van de EU General Data Protection Regulation die wordt opgesteld om één lijn te trekken in de wetgeving over databescherming. Eerder dit jaar deden we onderzoek naar de implementatie van de wettelijke verplichtingen waaraan organisaties moeten voldoen volgens de nieuwe EU-wetgeving voor databescherming. De resultaten zijn verontrustend. Slechts 15 procent van de organisaties weet welke concrete stappen er moeten worden genomen om te voldoen aan deze wet en de helft van de organisaties in de Benelux geeft aan dat ze niet weten of, of niet denken dat, het realistisch is zich te conformeren aan deze nieuwe wet. En dat is verontrustend, zeker gezien het feit dat er forse boetes tot wel vijf procent van de omzet tegenover staan. Tonny Roelofs is Country Manager van Trend Micro Nederland TREND MICRO LANGE DREEF 13 H 4131 NJ VIANEN T 0347 - 35 84 30 E [email protected] I WWW.TRENDMIKRO.NL INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 51 EXPERTVISIE TSTC TRENDS IN SECURITY 2015 EMILE KOK: ‘MEER DIEPGANG IN SECURITYTRAININGEN GEWENST’ Informatiebeveiliging wordt volwassener, heeft daardoor steeds meer behoefte aan specialisten en zal door de groeiende focus op privacy nog meer aandacht gaan krijgen. Het in security trainingen gespecialiseerde opleidingsinstituut TSTC zit dicht bij het vuur als het gaat om trends in de informatiebeveiliging. “Dagelijks leggen bedrijven en cursisten hun kennisbehoefte bij ons neer waardoor verschuivingen in het vakgebied snel zichtbaar zijn. Ons opleidingsprogramma wordt gevormd door die vraag en geeft dan ook een goed beeld van de diversiteit die informatiebeveiliging tegenwoordig kenmerkt.” Aldus Emile Kok, algemeen directeur van TSTC, die voor het Infosecurity Magazine vooruitblikt op het komende jaar. VERANDERDE BEHOEFTE Tussen 2006 en 2012 was de vraag naar security trainingen volgens Kok redelijk homogeen. Om hun betrokkenheid bij beveiliging aan te tonen, streefden organisaties vooral naar security awareness en medewerkers met bekende titels als CISSP, CISM en CEH achter hun naam. Omdat vacatures hetzelfde beeld gaven, gingen professionals op zoek naar dergelijke trainingen om hun kansen op de arbeidsmarkt te vergroten. Deze behoefte is volgens TSTC niet verdwenen maar is de afgelopen jaren steeds meer uitgebreid met de wens naar verdere specialistische kennis. Waar een netwerkbeheerder eerder bij veel bedrijven nog kon worden aangewezen als ‘de collega die alles weet over beveiliging’ is hij tegenwoordig nog slechts de firewallspecialist of één van de netwerkbeveiligers. “Met het volwassener worden van informatiebeveiliging, zijn er meer specifieke rollen ontstaan met daarin afgebakende verantwoordelijkheden. Een security professional wordt nog wel geacht over veel zaken iets te weten, maar is bij veel organisaties niet langer meer generalist. Dit verklaart ook het succes van meer gerichte verdiepingstrainingen in penetratietesten, risk management, incident response en cloud security. Deze ontwikkeling wordt verder gestimuleerd door nieuwe eisen van de overheid zoals de jaarlijks verplichte DigiD audit waar bijvoorbeeld gemeenten mee te maken hebben en die dwingen te investeren in verdere ex- of interne security kennis.” PRIVACY In dat kader zal de nieuwe Europese Verordening Bescherming Persoonsgegevens, die de WBP moet gaan vervangen, weer consequenties hebben voor de opleidingsvraag in 2015. Ondanks dat er nog enkele knopen doorgehakt moeten worden, is al wel duidelijk dat er een grote verantwoordelijkheid bij bedrijven komt te liggen op het gebied van bijvoorbeeld privacy management. Waar deze kennis voorheen beperkt bleef tot de juridische afdeling, wordt privacy steeds meer (mede) het domein van informatiebeveiligers en compliance officers. “Omdat de nieuwe privacy verordening vergaande gevolgen heeft voor de informatiebeveiliging en we hier steeds meer vragen over kregen, is TSTC eerder dit jaar een exclusieve samenwerking aangegaan met IAPP, de grootste 52 internationale vakvereniging voor privacy professionals. We zijn afgelopen mei gestart met hun bekendste CIPP/E titel die cursisten certificeert in globale- en Europese privacy wet- en regelgeving. Volgend jaar zullen we het programma verder uitbreiden met CIPM en CIPT die gaan over hoe deze kennis toe te passen in een privacy management of technische functie. CIPP/E en CIPM sluiten in combinatie het beste aan op de eisen uit de Europese verordening waarmee veel bedrijven verplicht worden een privacy functionaris aan te stellen.” CERTIFIED CHIEF INFORMATION SECURITY OFFICER (CCISO) Een andere nieuwe titel die TSTC in 2015 zal introduceren is CCISO. De laatste jaren is de eindverantwoordelijkheid voor informatiebeveiliging steeds hoger in de organisatie komen te liggen met de CISO functie tot gevolg. De CISO opereert op het grensvlak tussen beleid en techniek, tracht deze werelden in zijn functie te verenigen en heeft een organisatie brede kijk op informatiebeveiliging. Bij veel potentiële kandidaten schiet de vereiste management- of technische kennis volgens TSTC nog tekort om voldoende draagvlak te kunnen krijgen binnen alle lagen van de organisatie. De CCISO training behandelt al deze aspecten en met name de samenhang ertussen zodat de functie beter kan worden ingevuld. CCISO is een internationaal erkende certificering van EC-Council en fungeert tevens als aanvulling op een eventuele behaalde CISSP en/of CISM certificering in verband met de specifieke focus op de CISO-rol en de daarbij behorende werkzaamheden. OPLEIDEN ANNO 2015 Volgens TSTC’s directeur is het werk van de opleider langzaam aan het verschuiven. “Bedrijven schakelen ons naast hun reguliere trainingen vaker in voor maatwerktrajecten waarbij certificering nietof van ondergeschikt belang is. We hebben de beschikking tot een uitgebreid netwerk van internationale professionals die naast hun praktijkervaring ook didactisch in staat zijn om hun kennis over te brengen. Om niet voor elke klant een nieuwe training samen te hoeven stellen, zullen we in 2015 ook meer specialistische titels brengen die door kleine groepen te boeken en op punten aan te passen zijn.” Kok noemt voorbeelden als SAP security, Malware Analysis en Exploit Development maar geeft aan dat klanten TSTC met al hun security en privacy vragen kunnen blijven benaderen. “Want één ding verandert er niet, de kennisbehoefte van onze klanten bepaalt uiteindelijk de trainingen op onze agenda.” TSHUKUDU TECHNOLOGY COLLEGE BV PLESMANSTRAAT 62 3905 KZ VEENENDAAL T +(31) 318 58 14 80 E [email protected] I WWW.TSTC.NL INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 53 EXPERTVISIE WATCHGUARD TRENDS IN SECURITY 2015 REAL-TIME VERCIJFERING VEREIST DAAROP TOEGERUSTE FIREWALL DATA-ENCRYPTIE: HET NIEUWE WAPEN TEGEN CYBERCRIME De veiligheid van bedrijfsnetwerken staat onder grotere druk dan ooit. Hackers zijn gewiekste criminelen uit op geld (lees: data) en met hun zeer geavanceerde breekijzers lopen zij altijd een stap voor op de reguliere security-oplossingen. Bovendien zijn niet alleen de enterprise-organisaties, maar ook mid-sized bedrijven steeds vaker het slachtoffer. Data-encryptie is vrijwel de enige duurzame manier om diefstal van bedrijfsgegevens tegen te gaan. Maar dan moet de infrastructuur daar wel op berekend zijn. Software en hardware hebben een hardnekkige gemene deler: ze vertonen regelmatig lekken. Bedoelde of onbedoelde onvolkomenheden kunnen, mits ‘slim’ misbruikt toegang verschaffen tot waardevolle bedrijfsdata. Lekken kunnen lange tijd onopgemerkt blijven, zoals bijvoorbeeld de Shellshock-affaire recentelijk aantoonde. Hackers ontdekten een hele familie van lekken in de Unix Bash-shell, software die al 25 jaar tot de DARKNET Darknets zijn private netwerken, vaak p2p-gebaseerd, waarbinnen cybercriminelen zich verenigen. Ze wisselen informatie over beveiligingsstructuren bij bedrijven uit, maar verkopen daar ook buitgemaakte data. Vanwege hun decentrale karakter zijn deze vaak criminele uithoeken van het web nauwelijks traceerbaar. Daarom worden ze ook vaak gebruikt door hacktivisten, die op die manier onder de radar van geheime diensten proberen te blijven. Niet alle darknets hebben illegale motieven, maar de laatste tijd gaat vanuit deze netwerken steeds meer criminele dreiging uit. 54 kern behoort van OS X, Linux en andere Unix-derivaten. Lekken die ze wisten te misbruiken om botnets te creëren en daarmee DDoS-aanvallen uit te voeren. Dat terwijl de code van deze software nota bene al even lange tijd voor iedereen openbaar is. MENS ALS ZWAKKE SCHAKEL Maar niet alleen IT, ook mensen zijn kwetsbare toegangspoorten. Mensen zijn immers te manipuleren. Cybercriminelen kunnen zich voordoen als iemand anders en via trucs als phishing of social engineering alsnog de sleutels van de bedrijfsschatkamer in handen krijgen. Bovendien zijn mensen van nature slordig. Slordig met wachtwoorden, met updates, met best practices, met veiligheidsvoorschriften. En daar is geen virusscanner of firewall tegen opgewassen. Kortom: bedrijfsnetwerken zijn van nature kwetsbaar. Dat terwijl de uitdagingen steeds groter worden. Daar staan cybercriminelen tegenover die via Darknets (zie kader) listig gestolen data en hacking-gereedschap uitwisselen. De vraag is dus niet zozeer of zij kunnen binnendringen in het netwerk, maar wanneer. NIEUWE STRATEGIE Met dat gegeven in het achterhoofd is een nieuwe defensiestrategie een absolute must. De enige manier om te zorgen dat criminelen niets met de aangetroffen data kunnen, is continue, real-time versleuteling van het gehele dataverkeer. Niet alleen de opgeslagen data, maar ook alle pakketjes die over en weer over het netwerk bewegen moeten continu versleuteld zijn en pas bij een rechtmatige ontvanger weer leesbaar worden. Niet alleen binnen de firewall, maar ook daarbuiten. Plaats- en tijdonafhankelijk werken vraagt immers om de nodige mobiliteit, ook van data en applicaties. Real-time dataversleuteling vereist een infrastructuur die daarop berekend is. Continu moeten pakketjes data immers vercijferd en weer leesbaar gemaakt worden, zonder dat dat ten koste gaat van de performance. Een onwerkbaar traag netwerk is geen optie, productiviteit is geen dankbare ‘trade-off’ voor een goede beveiligingsstrategie. Een uitdaging, want dataverkeer neemt in volume alleen maar toe, en dus ook het rekenwerk dat nodig is voor versleuteling en inspectie van al die gegevens. Toepassingen als voip en zeker videoconferencing komen met een behoorlijke digitale voetafdruk, maar ook moderne bedrijfssoftware en steeds snellere internetverbindingen zor- CONCLUSIE Digitale veiligheid is aan het verschuiven. Uitdagingen die enterprise-organisaties enkele jaren geleden hadden, zijn inmiddels het probleem van de mid-sized bedrijven. Data-encryptie is de enige manier om de steeds gevaarlijkere hackers en cybercriminelen te ontmaskeren 'In 2017 komt meer dan de helft van de aanvallen via versleutelde kanalen' gen voor flinke hoeveelheden data. Een ontwikkeling die bovendien geen rechtsomkeert zal maken. SLEUTELROL VOOR DE FIREWALL De grote verkeersregelaar in dit geheel is de firewall. Die moet voldoende toegerust zijn om de benodigde performance te leveren. Zijn taak is niet mals: de firewall moet niet alleen alle datapakketjes continue checken op verdachte zaken als malware en spam, maar daarbij ook deze data real-time vercijferen en weer decoderen. Maar er is meer aan de hand. Volgens het Gartner-rapport ‘Security Leaders Must Address Threats from Rising SSL Traffic’ komen verdachte zaken ook steeds vaker via de versleutelde pijplijnen binnen. Via een SSL-verbinding bijvoorbeeld. En met steeds meer versleuteld netwerkverkeer gaat die trend alleen maar toenemen. De Gartner-analisten geloven dat in 2017 meer dan de helft van de netwerkaanvallen via de versleutelde kanalen binnenkomen en zo de digitale detectiepoortjes proberen te omzeilen. Ook daarop moet de firewall berekend zijn, een regulier exemplaar voldoet niet meer. en te voorkomen dat grote hoeveelheden waardevolle gegevens op straat - of erger - in verkeerde handen terechtkomen. Een aantal ontwikkelingen zorgt daarbij voor technische uitdagingen. Denk aan de groei van dataverkeer, toegenomen internetsnelheden en veeleisende toepassingen, zowel in de cloud als on-premise. Real-time versleuteling en beveiliging van die dikke datapijpen vereist hardware die daarop is voorbereid. Alleen specialistische firewalls die zijn toegesneden op die taak kunnen daarbij zorgen voor een prettige balans tussen veiligheid en performance. Etienne van der Woude is Regional Sales Manager Benelux van Watchguard Technologies WATCHGUARD PARKSTRAAT 83 2514 JG DEN HAAG T 070 - 711 20 80 E [email protected] I WWW.WATCHGUARD.NL INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 55 EXPERTVISIE WIBU-SYSTEMS TRENDS IN SECURITY 2015 DIGITALE BEVEILIGING MOET TERUG NAAR DE BRON SCRIPT MET HASH CODES MAAKT GEROMMEL IN SOFTWARE HERKENBAAR Nadat vele jaren cyber security voornamelijk was gericht op het beveiligen van de poorten van computersystemen is nu een terugkeer naar de basis waarneembaar. Het gaat weer om het afschermen van de software tegen ongeoorloofd gebruik. Door het opnemen van een script met hash codes tussen de instructieregels is met zekerheid vast te stellen of bepaalde programma’s nog dezelfde kenmerken hebben als toen ze voor het eerst werden geactiveerd. Wibu-Systems AG is in 1989 opgericht in het Duitse Karlsruhe als producent van beveiligingstechnologie voor mondiaal softwarelicentiebeheer. De brede reeks oplossingen van het bedrijf bieden een oplossing voor het afschermen van alle vormen van digitale content, inclusief intellectueel kapitaal en software applicaties voor computer systemen, mobiele toepassingen, industriële automatiseringsoplossingen en cloud-diensten. Marcel Hartgerink is directeur van Wibu-Systems Nederland Met authenticode biedt Microsoft ontwikkelaars de mogelijkheid om informatie over zichzelf en de door hen ontwikkelde code aan hun programma’s te linken. Dat is een goede stap in de richting van een beveiliging aan de bron. Het niveau is alleen te beperkt. We moeten veel verder gaan wanneer we willen voorkomen dat processen van buitenaf het verloop van software gaan verstoren. Cross-checks lenen zich hiervoor; de eerste ’executable’ test de tweede en vice versa. Met uitzondering van Windows bieden de meeste moderne besturingssystemen voor ’embedded’ applicaties de mogelijkheid om op het niveau van de ’boot loader’ de integriteit van het OS te laten checken alvorens deze te activeren. Op deze wijze inspecteert elke volgende laag (applicatie runtime, applicatie configuratie data ) het verloop in de vorige laag. In de industriële wereld is het heel gebruikelijk om door middel van encryptie via hash codes en handtekeningcertificaten de verschillende lagen te controleren. Wanneer producten, voortgekomen uit de ontwikkelingen rond Internet of Things volop gaan communiceren met standaard softwarepakketten, lijkt een dergelijke integriteitcontrole de aangewezen oplossing om kwaadwillige code buiten de deur te houden. Op een nog hoger niveau ligt een controle waarbij niet alleen in voorwaartse richting de processen in de diverse lagen elkaar inspecteren, maar waarbij ook de applicatie achterwaarts, dus richting het OS kan nagaan of de status daarvan correspondeert met de zijne. Een reeds langer geleden uitgegeven certificaat kan bijvoorbeeld verlopen zijn. Omdat doorgaans een laag in het systeem maar een geringe toegangsmogelijkheid naar de vorige laag heeft, is er dus een vertrouwde referentie buiten de lagen nodig, bijvoorbeeld in de vorm van een in hardware uitgevoerde token (dongle). TRUSTED PLATFORM MODULE Wie geen externe dongle wil, omdat bijvoorbeeld op het aangesloten apparaat geen USB poort voorhanden is, kan ook gebruik maken van een Trusted Platform Module (TPM). Meer en meer systemen en apparaten worden standaard uitgerust met dit stukje extra elektronica met een eigen processor en geheugen waarin de correcte status van de diverse registers in diverse lagen vanaf de ’boat loader’ tot en met de applicatie wordt bijgehouden. Maar een TPM is niet voldoende. Zo kan het ook voor de beveiliging wenselijk zijn om het gebruik van de software alleen toe te staan aan houders van licentierechten. Het is dan zinvol om die rechten op een centraal punt aan te maken, te distribueren en te beheren. Daarnaast heb je ook nog gereedschap nodig om de integriteitcontrole en authenticatie in de software in te bouwen. In de ontwikkelfase doe je dat door met API’s een test ’shell’ rondom je C-Sharp, Delphi of Java code heen te bouwen. Maar het is ook mogelijk die tests achteraf aan bestaande ’executables’ en DLL’s te verbinden. NEMEN VAN VINGERAFDRUK Ook zonder extra security-hardware zijn er volop mogelijkheden. Daartoe nemen we eerst een vingerafdruk van het systeem, waarop de software moet draaien. Voor praktisch elk OS en hardwareplatform zijn tools beschikbaar om sluitende ’checks’ op basis van gangbare encryptietechnieken in de softwarecode in te bouwen. Het moeilijkste deel van het traject zit aan het begin wanneer je als ontwikkelaar samen met vertegenwoordigers van de gebruikers het beveiligingsniveau en het bijbehorende beleid moet uitstippelen. Op welke manier gaan we een vingerafdruk nemen? Soms denken mensen dat met een simpele controle op een MAC-adres, applicaties al voldoende beveiligd zijn. De praktijk leert dat dat niet genoeg is. De uitdaging is om eerst alle mogelijke variabelen in OS’en in kaart te brengen en de verschillen in eigenschappen van de gebruikte hardware. Zo kennen AMD processoren geen CPU-ID, maar die van Intel wel. Laptops werken vaak met meer dan één MACadres, terwijl ook Raid opslagsystemen zich kenmerken door een aantal hardware id’s . Cross Check voor Executable / Library SmartBind voor een optimale binding 'Digitale Certificaten en private ’keys’ maken het beveiligingsproces een stuk veiliger en de inrichting een stuk simpeler' Het doel moet zijn om een maximale beveiliging voor elk binnen het project toegepast apparaat of systeem te krijgen. Daarvoor is het nodig om vooraf vast te stellen of er sprak kan zijn van een ’tight’, ‘medium’ of ‘loose’ binding van de beveiliging met de hardware. In het eerste geval is geen enkele verandering toegestaan. Komt een kenmerk in de check niet overeen, dan vervalt direct het gebruiksrecht. Het tweede en derde scenario biedt meer tolerantie. Zo kan het bijvoorbeeld toegestaan zijn om geheugen in ’devices’ bij te steken of zelfs complete cpu’s te vervangen zonder dat die wijziging consequenties heeft voor de licentierechten. Licenties zijn sterk verbonden aan een vergoedingregeling voor het gebruik van software. In een wereld vol open source code en cloud toepassingen rekenen we met andere financiële modellen. Maar in dezelfde wereld, waar straks alles met alles elektronisch verbonden is, lijkt het licentiemodel met de certificeringmethodiek de meest adequate oplossing om individuele personen en hun persoonlijke IT-hulpmiddelen te identificeren en de integriteit van de door hen ingevoerde of ontsloten data te controleren. Digitale Certificaten en private ’keys’ maken het beveiligingsproces een stuk veiliger en de inrichting een stuk simpeler dan een stelsel van wachtwoorden en het misplaatste vertrouwen dat de individuele mens daar prudent mee omgaat. WIBU-SYSTEMS ADAM SMITHSTRAAT 33 7559 SW HENGELO T 074 - 750 14 95 E [email protected] I WWW.WIBU.COM/NL Self Check in Executable / Library 56 INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 57 TSTC – de Security Opleider van Nederland DOOR MR. V.A. DE POUS LEGAL LOOK - Botnets, DDoS, Malware ... Gehackt! Bent u de volgende? - En wat is dan uw reputatie- en/of financiële schade? - Vormt uw Blackberry of iPhone een security risico? Herkent u bovenstaande vragen? Deze tijd vraagt om oplossingen en kennis van zaken. JURIDISCHE BEVEILIGINGSTRENDS VOOR 2015 ICT wordt al jaren in hoog tempo juridisch genormeerd. Wetgevers - nationaal en uit Europa - hebben zich vanaf de jaren negentig met verve op de elektronische snelweg gestort. Ieder facet van de wondere wereld van de digitale technologie, elektronische gegevensverwerking en informatiemaatschappij verdient kennelijk een eigen, speciaal rechtskader; afwijkend van de regels voor de ouderwetse ‘stenen’ samenleving. Chips, software, databanken, persoonsgegevens, elektronische marketing, handel en identiteit, telecommunicatie in soorten en maten, en nog veel meer, zoals nieuwe strafbare feiten, uitgebreide bevoegdheden voor politie en justitie en regels voor eGovernment. Zoals ICT-ers veelal beweren dat je nooit genoeg softwarecode kunt hebben, zo stillen politici hun honger met telkens nieuwe wet- en regelgeving voor het digitale domein. Vet cool. Inmiddels zijn we op een moment in de geschiedenis aangekomen waar alles op de schop moet, althans zo lijkt het, en bovendien rap. Veel legislatieve ontwikkelingen raken informatiebeveiliging. Zo gaat Europa volgend jaar de Algemene Verordening Gegevensbescherming eindelijk vaststellen, waardoor onze Wet bescherming persoonsgegevens ingetrokken wordt en er in de interne markt een uniform regime komt voor de verwerking van persoonsgegevens. Met rechtstreekse werking en dwingend van karakter. Geen nationale afwijking mogelijk, inclusief de beoogde beveiligingsvoorschriften, meldplichten en zware sancties bij overtreding. Toch lanceerde de PvdA - die eerdere tekende voor de omstreden uitbreiding 58 van het spamverbod tot de zakelijke markt - recent ineens het plan voor een ‘allesomvattende datawet’. De socialisten pleiten goed beschouwd voor een multidisciplinair wondermiddel. Moderne en transparante wetgeving, welke Nederland als vestigingsland voor internationaal opererende ondernemingen op de kaart moet zetten en burgers inzicht geeft in de spelregels voor het opsporen en bestrijden van cybercrime. Dat voorstel heeft eerder wat weg van een meerkoppige draak. Bij nader inzien is de aanjager hiervan de geconsolideerde ICT-infrastructuursector; zichzelf positionerend als de derde mainport te lande. Modernisering moet wetgeving ‘werkbaar’ maken, zo blijkt uit een geschrift van de kersverse opgerichte Stichting Digitale Infrastructuur Nederland. Volgens deze organisatie worstelen bedrijven met een Babylonische spraakverwarring over in wetgeving gecodificeerde ICT-gerelateerde termen en begrippen, zoals ‘Internet service provider’, ‘diensten van de informatiemaatschappij’ en meer. Verder gaat de aandacht uit naar netneutraliteit, en een heus keurmerk voor het MKB. Ondertussen past de regering de bevoegdheden van veiligheidsdiensten aan. Zowel AIVD en MIVD mogen straks ook het kabelverkeer aftappen, zelfs onder voorwaarden in bulk. Hiertoe wordt de Wet op de inlichtingenen veiligheidsdiensten aanpast. In samenhang met al dat wetgevingsgeweld constateren we tenminste twee majeure problemen. Uno. Een algemeen vergezicht voor onze informatiesamenleving, gefundeerd op stevige uitgangspunten en kernwaarden, ontbreekt bij wetgever, politiek en openbaar bestuur. Dos. Een aanzienlijke hoeveelheid en snel in omvang toenemende, uiteenlopende speciale wetgeving (nieuw of telkens wijzigend, zoals de ‘cookie’-regels) en allerlei andere juridische veranderingen die zich parallel voltrekken (alles gebeurt nu) doen natuurlijk alarmbellen rinkelen. Wie durft er nog naleving te rekenen? En dat terwijl compliance in de informatiemaatschappij toch al onder druk staat. En niet alleen door burgers die maar illegaal downloaden (uit illegale bron). Ook marktpartijen lappen (e-commerce) regels aan hun laars. Denk bij e-retailing aan het niet voldoen aan allerlei wettelijke informatieverplichtingen, onvoldoende beveiliging van persoonsgegevens, inclusief financiële transacties, onjuiste prijsstelling en geen of te late terugbetaling van retourzendingen van op Internet gekochte producten. Of app developers die grootschalig privacy- en beveiligingsregels schenden. Maar meest spannende juridische trend betreft waarschijnlijk de algemene onvrede bij gebruikersorganisatie en individuele gebruiker, zoals de consument. Keer op keer lekken informatiesystemen informatie door zowel menselijk en technologisch falen als criminaliteit. Dat gaat ongetwijfeld tot meer aansprakelijkheidsclaims leiden. Terecht. ICT betreft geen sinecure, maar vormt een cruciale geconsolideerde technologie voor het ‘levensbloed’ van iedere organisatie, maatschappij als geheel en natuurlijk de burger. Verbeter de digitale kwaliteit, borg deze normen in een juridisch raamwerk en handhaaf strikt. Anders gaat de wereld aan ICT ten onder. Zorg dat u goed getraind bent, kijk snel op www.tstc.nl/training/security Een greep uit onze security certificeringen: Certified Ethical Hacker (CEH) Computer Hacking Forensic Investigator (CHFI) Certified Security Analyst (ECSA) Licensed Penetration Tester (LPT) Certified Information Systems Security Professional (CISSP) Certified Information Security Manager (CISM) Certified Information Systems Auditor (CISA) Cloud Security Audit and Compliance (CSAC) Certified Risk Manager ISO 27005/31000 NIEUW CIPP/E Certified Privacy Professional Europe of the Year ATC of the Year ATC TSTC - 8e jaar op rij de beste EC-Council Security Opleider! Want security start bij mensen!! INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 W W W.T S T C . N L 59 THE POWER OF PEOPLECENTRICITY IN INFORMATIEBEVEILIGING ‘Informatiebeveiligingsbewustzijn bij medewerkers is essentieel’ GERARD STROEVE I MANAGER SECURITY & CONTINUITY SERVICES Informatiebeveiliging gaat verder dan IT alleen Centric kan u ondersteunen bij het succesvol opstellen, implementeren en uitvoeren van een informatiebeveiligingsbeleid conform de ISO 27001-norm, ISO 27002, Baseline Informatiebeveiliging voor Nederlandse Gemeenten en de NEN 7510. Het team van Security & Continuity Services is onder meer gespecialiseerd in het uitvoeren van Gap-analyses en risicoanalyses, het opstellen van beveiligingsplannen en het formuleren van passende beveiligingsmaatregelen. Kenmerkend voor onze aanpak is dat we breder kijken dan de ICT-component alleen. We nemen ook onderwerpen mee als fysieke beveiliging, security awareness en continuïteitsmanagement. Kunt u hulp gebruiken bij de informatiebeveiliging binnen uw organisatie? Ga naar www.centric.eu/informatiebeveiliging of mail ons via [email protected]. SOFTWARE SOLUTIONS | IT OUTSOURCING | BPO | STAFFING SERVICES www.centric.eu
© Copyright 2025 ExpyDoc