infosecurity
JAARGANG 13 - DECEMBER 2014 - WWW.INFOSECURITYMAGAZINE.NL
MAGAZINE
ONVEILIGHEID NEEMT TOE
CYBERCRIME VOOR IT-SECURITY
BELANGRIJKSTE THEMA VOOR 2015
RONDE TAFEL CYBER SECURITY
‘NIEUW MINISTERIE VAN DIGITALISERING MOET
NEDERLAND DIGITAAL VEILIG MAKEN’
TRENDS IN SECURITY 2015
TWINTIG SECURITY-SPECIALISTEN AAN HET WOORD
‘SECURITY IS (OOK) EEN KWESTIE VAN GEWOON BEGINNEN’ - SECURITY AWARENESS IN VIJF STAPPEN ‘LANDSGRENZEN ZIJN PLOTSELING WEER VAN GROOT BELANG IN IT-SECURITY’ - BIG DATA-TECHNIEKEN
VERSTERKEN SECURITY-AANPAK AANZIENLIJK - ‘LOS ZAND BIEDT GEEN BESCHERMING’ - EUROPESE
DATABESCHERMINGSREGELS STELLEN BEDRIJFSLEVEN VOOR NIEUWE UITDAGING - MEER DIEPGANG
IN SECURITY-TRAININGEN GEWENST - DATA-ENCRYPTIE: HET NIEUWE WAPEN TEGEN CYBERCRIME
As Network Growth
Explodes
Will Your Security
Solution Keep Up?
Watchguard Firebox® M400 and M500 appliances are up
to 61% percent faster than competing solutions – with all
layers of security turned on. And when chewing through
capacity-intensive HTTPS traffic – up to 149% faster.
g
Colofon - Editorial
Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich
expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het
hekwerk tot in de boardroom. Toezending
van Infosecurity Magazine vindt plaats op
basis van abonnementen en controlled
circulation. Vraag uw abonnement aan via
[email protected].
Uitgever
Jos Raaphorst
06 - 34 73 54 24
[email protected]
twitter.com/raaphorstjos
nl.linkedin.com/pub/dir/jos/raaphorst
Hoofdredacteur
Robbert Hoeffnagel
06 - 51 28 20 40
[email protected]
twitter.com/rhoeffnagel
nl.linkedin.com/in/robberthoeffnagel
www.facebook.com/robbert.hoeffnagel
Advertentie-exploitatie
Will Manusiwa
06 - 38 06 57 75
[email protected]
Eindredactie/traffic
Ab Muilwijk
Vormgeving
Media Service Uitgeest
Druk
Control Media
Don’t compromise security
for performance.
www.WatchGuard.com/SecurityAccelerated
Infosecurity magazine
is een uitgave van
FenceWorks BV
Beatrixstraat 2
2712 CK Zoetermeer
079 - 500 05 59
[email protected]
© 2014
Niets uit deze uitgave mag op
enigerlei wijze worden overgenomen
zonder uitdrukkelijke toestemming
van de uitgever.
Meer informatie:
www.infosecuritymagazine.nl
2
Contact
us today at: [email protected] or call +31(0)70 711 20 85
OneName
Het is weer die tijd van het jaar. De periode waarin we
allemaal lijstjes maken of lijstjes lezen. De meest schadelijke
malware, de grootste cyber crimes uitgedrukt in geld,
welke CEO’s of IT-managers moesten het veld ruimen
vanwege verlies aan klantgegevens?
De mooiste vond ik overigens een lijstje
met meest ingrijpende (‘disruptive’ heet
dat tegenwoordig in goed Nederlands)
nieuwe ontwikkelingen. Interessant genoeg stond bitcoin op de eerste plaats.
Voor veel mensen staan bitcoins gelijk
aan een licht onbegrijpelijke nieuwe manier van betalen. Maar - helaas - denken
veel mensen ook direct aan ‘underground
marketplaces’ waar wapens, drugs en illegaal verkregen persoonsgegevens verhandeld worden.
Ik denk dat in dat lijstje ‘disruptive technologies’ een foutje is gemaakt. Niet
bitcoin had op plaats één moeten staan,
maar ‘blockchain’. We hebben niet de
ruimte om hier precies uit te leggen wat
titeiten behoeft te worden vastgelegd.
Het onderliggende protocol regelt dat
we allemaal een unieke identiteit kunnen
aanmaken en kunnen gebruiken zonder
dat een bedrijf of overheidsinstelling hier
een register van bijhoudt.
Sommige venture capitalists zijn er van
overtuigd dat we aan de vooravond
staan van een totaal nieuwe manier van
applicaties bouwen. Zij spreken in dit
opzicht van een Blockchain Application
Stack. De eerste apps zijn er al. Denk aan
Lazooz, een op blockchain-technologie
gebaseerde Android-app die carpoolen
mogelijk maakt. En alweer: zonder dat er
een centrale server is waar iedereen op
inlogt of gebruik van maakt. OpenBazaar
Niet bitcoin had op plaats
één moeten staan,
maar ‘blockchain’
de blockchain precies is, maar laten we
volstaan met te zeggen dat dit het onderliggende mechanisme (zeg maar: de
wiskundige formule) is waar ook bij bitcoins gebruik van wordt gemaakt. Maar
wie venture capitalists als Andreessen
Horowitz of Union Square Ventures volgt,
ontdekt al snel dat zij razend enthousiast
zijn over de mogelijkheden die blockchains te bieden hebben. Opmerkelijk
genoeg ook voor security-toepassingen.
Een mooi voorbeeld daarvan is
OneName. Dit is een startup die identity en access management op basis van
blockchain-technologie ontwikkelt. Met
deze technologie kunnen gebruikers een
unieke identiteit aanmaken. Dat is op zich
niet zo bijzonder. Wat deze technologie en blockchains in het algemeen - zo innovatief maakt, is het feit dat er nergens
een centrale lijst met al die unieke iden-
is een ander voorbeeld. Hier worden
open marktplaatsen ontwikkeld die volgens dit peer-to-peer principe werken.
Opmerkelijk - en voor veel mensen ongetwijfeld eng - is het feit dat Lazooz of
OpenBazaar eigenlijk helemaal geen
bedrijven zijn. Het zijn een soort extreme varianten op open source. De technologie is inmiddels al heel ver. Maar de
acceptatie nog niet. Toch is dit razend interessante technologie. Misschien weten
we over tien jaar niet beter dan dat dit de
nieuwe manier van applicaties bouwen
of transacties doen is. Wellicht is het iets
voor een goed voornemen voor het nieuwe jaar: ga eens naar onename.io en duik
in deze nieuwe wereld. Geloof me, het is
zeer fascinerend.
Robbert Hoeffnagel
Hoofdredacteur Infosecurity Magazine
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
3
INHOUD
kahuna
managing security
12 Normcommissie voor alle security-normen en
uniforme certificatie voor veiligheidsproducten
14 ‘Nieuw Ministerie van Digitalisering moet
Nederland digitaal veilig maken’
Hoewel de samenleving en vrijwel alle beroepen
direct of indirect afhankelijk zijn van ITsystemen, is die nadrukkelijke aanwezigheid van
IT en bijbehorende digitale veiligheid niet terug
te vinden in het Nederlandse onderwijs. Sterker
nog, het blinkt uit in afwezigheid. Dat signaleren
de deelnemers aan de Ronde Tafel Cyber
Security. Zij willen dat dit gaat veranderen in het
belang van de BV Nederland.
16 ‘Security is (ook) een kwestie van gewoon
beginnen’
18 Betrouwbare netwerken dankzij proprietary
software
22 Cloud & Security
24 Virtualisatie van FortiGate geeft ROC van
Twente veiligheid en vrijheid
26 ‘Landsgrenzen zijn plotseling weer van groot
belang in IT-security’
managing security
CYBERCRIME VOOR IT-SECURITY
BELANGRIJKSTE THEMA VOOR 2015
7
De wereld wil er maar niet veiliger op worden. Sinds de Tweede Wereldoorlog werd er niet zoveel
gevochten als nu. Volgens de website
warsintheworld.com werd er in november 2014 in 64 landen gevochten
door 592 opstandige groepen. De
Arabische lente is inmiddels omgeslagen tot een gruwelijk conflict van de
halve wereld met IS, waarbij terugkerende jihadisten voor een nieuwe dreiging zorgen. Tegelijk zijn de conflicten
heel dichtbij gekomen door de spanningen in de Oekraïne en met Rusland, wat
tot een triest dieptepunt kwam met het neerhalen van vlucht MH-17. Ook in de
digitale wereld laaien de conflicten op.
SECURITY AWARENESS IN VIJF STAPPEN
20
Stelt u zich eens voor: een voor u onbekend persoon staat voor de deur. In
haar ene hand een zware tas, in de andere hand
een telefoon waarmee ze druk aan het bellen is.
“Bedankt, ik weet de weg hoor”, mompelt ze
terwijl u de deur open doet en ze u voorbij loopt
de gang op. Wat doet u?
30 ‘MKB en corporate databeveiliging anno
2015 vraagt om de inzet van professionals’
32 Vijf cybercrimeverwachtingen voor 2015
34 IT-managers zijn niet voorbereid op Europese
privacyregels voor datawissen
81 procent van de IT-managers in Europa is nog
niet op de hoogte van de nieuwe EU-verordening
op het gebied van gegevensbescherming, de EU
General Data Protection Regulation (GDPR). Dit
blijkt uit onderzoek van Kroll Ontrack.
36 ‘Los zand biedt geen bescherming’
38 Nieuwe NEN NPR 5313 normering dwingt tot
datacenter-beveiliging op lager niveau
Next
Generation
Firewalls
Security Information &
Event Management
Policy Compliance & Vulnerability Management
Virtual & Cloud Security
Managed Security Services
Kahuna
Henry Dunantstraat 36a
3822 XE Amersfoort
T : +31 (0) 33 4500370
F : +31 (0) 33 4500371
E : [email protected]
www.kahuna.nl
4
40 New Channel
42 Beheer, creëer en monitor endpoint
protection in de cloud
44 Sogeti
46 Europese databeschermingsregels stellen
bedrijfsleven voor nieuwe uitdaging
Europa is flink gevorderd met zijn voorstellen
voor nieuwe databeschermingsregels die
Europawijd geïmplementeerd zullen gaan
worden. Het zijn maatregelen die ook voor het
bedrijfsleven de nodige gevolgen hebben. Wat is
er precies in de maak en hoe kunnen bedrijven
zich daar nu al op voorbereiden?
48 ‘Hyperconnectiviteit leidt tot grotere
kwetsbaarheid’
Binnen de cybersecurity-branche is dit jaar veel
gebeurd. Veel nieuwe ontwikkelingen - zowel in
tools als in hacktechnieken en van individuele
strategieën tot internationale samenwerkingen
om cybercrime tegen te gaan. Patrick de Goede
van Eijk, Solution Expert Security & Enterprise
Architect bij T-Systems Nederland, bespreekt
welke van zijn eerdere voorspellingen over 2014
uit zijn gekomen en kijkt vervolgens vooruit naar
het komende jaar. Wat kunnen we verwachten
en hoe beïnvloedt dit onze verdediging in 2015?
50 Cybercrime in 2015: dit kan uw organisatie
volgend jaar verwachten
aangesloten bij
THE SIEM ALLIANCE
FOUNDER MEMBER
52 ‘Meer diepgang in security-trainingen
gewenst’
56 Script met hash codes maakt gerommel in
software herkenbaar
58 Legal Look
BIG DATA-TECHNIEKEN
VERSTERKEN SECURITY-AANPAK AANZIENLIJK
28
Het aantal Distributed
Denial of Service (DDoS)
aanvallen groeit niet alleen, maar
ook de intensiteit en de lengte
van de aanvallen neemt sterk toe.
Dat vereist security-maatregelen
waarin veel intelligentie is opgenomen. Huawei heeft daarom een
Anti-DDoS oplossing ontwikkeld
die nadrukkelijk gebruikmaakt van
technieken op het gebied van Big
Data.
DATA-ENCRYPTIE:
HET NIEUWE WAPEN TEGEN CYBERCRIME
54
De veiligheid van bedrijfsnetwerken
staat onder grotere druk dan ooit.
Hackers zijn gewiekste criminelen uit op geld
(lees: data) en met hun zeer geavanceerde
breekijzers lopen zij altijd een stap voor op de
reguliere security-oplossingen. Bovendien zijn
niet alleen de enterprise-organisaties, maar
ook mid-sized bedrijven steeds vaker het
slachtoffer. Data-encryptie is vrijwel de enige
duurzame manier om diefstal van bedrijfsgegevens tegen te gaan. Maar dan moet de infrastructuur daar wel op berekend zijn.
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
5
TRENDS IN SECURITY 2015
ONVEILIGHEID NEEMT TOE
NIEUWSGIERIG NAAR DE LAATSTE
DIGITALE INNOVATIES VOOR DE ZORG?
t
n
e
m
e
n
n
o
b
a
)
s
ti
ra
(g
n
e
e
u
n
n
a
Neem d
l
.n
rg
zo
le
a
it
ig
D
n
a
v
e
n
zi
a
g
a
m
t
e
h
p
o
De zorgsector ontwikkelt zich in razend tempo. Nieuwe digitale werkprocessen, nieuwe applicaties, het gebruik van de cloud, de opkomst van mobiele
apparaten, Big Data, privacy-issues, de almaar voortgaande integratie van
informatie - het is maar een greep uit de vele digitale ontwikkelingen waar
zorgprofessionals, bestuurders en innovaties dagelijks mee te maken hebben. Hoe houdt u overzicht? En hoe krijgt u inzicht in de gevolgen voor uw
organisatie?
Het internetplatform Digitalezorg.nl helpt al jaren om bij te blijven rond alle
relevante ontwikkelingen. Om de zorgsector hierbij nog beter te kunnen
helpen, hebben de stichting Digitalezorg.nl en uitgeverij FenceWorks het
Digitalezorg.nl Magazine gelanceerd. Hierin vindt u visies, achtergronden,
productbesprekingen, columns, interviews en nog veel meer.
Cybercrime
voor IT-security
belangrijkste thema voor 2015
De wereld wil er maar niet veiliger op worden. Sinds de
Tweede Wereldoorlog werd er niet zoveel gevochten als nu.
Volgens de website warsintheworld.com werd er in november 2014 in 64 landen gevochten door 592 opstandige groepen. De Arabische lente is inmiddels omgeslagen tot een
gruwelijk conflict van de halve wereld met IS, waarbij terugkerende jihadisten voor een nieuwe dreiging zorgen. Tegelijk
zijn de conflicten heel dichtbij gekomen door de spanningen
in de Oekraïne en met Rusland, wat tot een triest dieptepunt
kwam met het neerhalen van vlucht MH-17.
Ook in de digitale wereld laaien de conflicten op. IS schijnt zich voor te bereiden op grote cyberaanvallen en kaapt
intussen grote aantallen websites om
hun propaganda te verspreiden. Maar
ook gevestigde staten laten hun digitale
spierballen rollen: de complexiteit van
de Regin-malware, die recent ontdekt
is, laat zien dat de Verenigde Staten en
Magazine
Groot-Brittannië niet stil hebben gezeten
en hun digitale spionageactiviteiten, ook
in West-Europa eerder opvoeren dan dat
ze ineens rekening houden met de privacy gevoeligheid van veel West-Europese
burgers. De ‘tegenstanders’ van de VS,
zoals Iran en Noord-Korea, zitten ook niet
stil en slaan digitaal steeds sterker terug.
Intussen nemen op het vlak van ‘parti-
eHealth-monitor 2014:
Nederland scoort goed
Nieuwe jeugdhulp
vraagt om
innovatieve
oplossingen
en actie
Magazine over innovatie en ICT in de zorg
Proefproject levert
snel uitslagen en
gevalideerde data
Flexibele capaciteit
voor Erasmus MC
Jaargang 1 • Nr. 3 • www.digitalezorg.nl
Interesse in een gratis abonnement? Ga naar
www.digitalezorg.nl/digitale/magazine/
6
Figuur: IT-security thema’s voor Nederlandse organisaties in 2015
Q14: Welke van de volgende thema’s zijn voor u de komende 12 maanden het belangrijkst op het gebied van IT-security?
culiere’ cybercriminaliteit de dreigingen
en de complexiteit daarvan alleen maar
toe. Het blijft een aantrekkelijke, snel
groeiende markt met zeer hoge marges
en beperkte risico’s. Voor een criminele
organisatie met winstoogmerk is de business case dan wel heel erg snel gemaakt,
zelfs in Nederland, waar we volgens
Kaspersky Lab tenslotte de beste cybercops uit de hele wereld zouden hebben.
Het is dan ook niet zo vreemd dat cybercrime voor IT-security binnen Nederlandse bedrijven het belangrijkste thema
voor 2015 is.
PRIORITEIT 1: CYBERCRIME
Cybercrime staat nooit stil. Aan het eind
van ieder jaar, ook nu, wordt door menig securityprofeet de cyberapocalyps
voorspeld. De manier waarop bedrijven
security inrichten moet radicaal anders
om het grote onheil nog af te kunnen
wenden. Hoewel het wat zwaar wordt
aangezet, weten we allemaal dat we de
strijd allerminst aan het winnen zijn. Net
zoals retailers een bepaalde mate van
winkeldiefstal bereid zijn te accepteren,
zijn er steeds meer bedrijven die zich
neerleggen bij een bepaalde mate van
datadiefstal of andere digitale criminele
schadeposten. Maar nu aanvallen steeds
complexer worden en zich bijvoorbeeld
op zero-day exploits richten, neemt de
kans dat de firewall gepenetreerd wordt
aanzienlijk toe, alsook de bijbehorende
schade.
Niet iedere organisatie is even goed voorbereid op complexe aanvallen. Van de
organisaties (50 of meer medewerkers)
die we ondervroegen in de Nationale ITSecurity Monitor, gaf meer dan de helft
aan gebruik te maken van detectie-oplossingen waarbij verdachte gebeurtenissen worden gemeld. Maar zowel op
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
7
TRENDS IN SECURITY 2015
bruiken. Een datagoudzoeker is, wat de
overheid betreft, niet te vertrouwen.
De regelgeving die voor de meeste aandacht zorgt, komt uit Europa in de vorm
van de Algemene Data Protectie Verordening, waar iedere organisatie met 250
of meer medewerkers aan dient te gaan
voldoen. Als we naar de gereedheid van
Nederlandse organisaties kijken, is vrijwel niemand geheel voorbereid. In 2015
zal er nog flink aan getrokken moeten
worden om op tijd klaar te zijn.
Figuur: Advanced Threat Protection maatregelen
Q26: Welke van de volgende beveiligingsmaatregelen heeft uw organisatie ingericht,
specifiek met het oog op het beschermen van uw organisatie tegen complexe aanvallen?
Figuur: Klaar voor de Data Protectie Verordening?
Q20: In welke mate is uw organisatie voorbereid op de volgende eisen van de Data Protectie Verordening? [Alleen organisaties met 250 of meer medewerkers]
proactief als reactief vlak, ontbreekt het
vaak aan afdoende maatregelen. Ook
het permanente monitoren wordt door
een beperkt aantal organisaties gedaan
en dan met name binnen de financiële
dienstverlening, terwijl vooral de zorg
achterblijft.
PRIORITEIT 2: PRIVACY
Met stip op de tweede plaats staat het
thema privacy. Er zijn nogal wat redenen waarom dit zo hoog op de agenda is komen te staan. Het onderwerp is
vooral ‘populair’ geworden door de onthullingen van Edward Snowden, die alle
8
geruststellingen van Amerikaanse cloud
leveranciers met betrekking tot de Patriot
Act van tafel veegden. Waar de impact in
de publieke sector groot was - de politiek
zit immers om de hoek, zagen de meeste
bedrijven de risico’s aanzienlijk genuanceerder. Dat privacy toch zo hoog op
de agenda staat, komt door de regelgeving vanuit de overheid. De regelgeving
is deels een reactie op vooral het Amerikaanse ‘datagraaien’, maar in essentie
vooral een reactie op de digitalisering
van privacygevoelige gegevens en de
wens van organisaties om die data op allerlei manieren te combineren en te ge-
PRIORITEIT 3: WEB SECURITY
En dan was er ook nog het nieuws dat
veiligheidscertificaten van websites het
hackers vooral makkelijk maken: dan weten ze meteen hoe ze niet binnen moeten
komen en waar de mogelijke gaten dus
wel zitten. Web security en cybercrime
hebben natuurlijk veel met elkaar te maken. De grote uitdaging is dat werknemers steeds meer en vooral op steeds
meer apparaten zich toegang tot het Internet verschaffen en zo ook nog eens
toegang tot bedrijfsapplicaties en data
willen verschaffen.
Momenteel valt op dat er veel moeite is
om enige grip te krijgen op het gebruik
van mobiele apparaten. Meer dan de
helft van de respondenten in de Nationale IT-Security Monitor bevestigde dat
men onvoldoende kennis in huis heeft om
te garanderen dat mobiele toegang (via
bijvoorbeeld smartphones of tablets) veilig plaatsvindt. De belangrijkste maatregelen om het in goede banen leiden, zijn
dan ook vooral gericht op het beperken
van de toegang tot bedrijfsapplicaties en
data. Het bewustzijn dat dit geen duurzame strategie is, is echter sterk, waardoor
ook dit punt hoog op de security-agenda
staat.
PRIORITEIT 4: TRAINING
IT is een zeer veranderlijk vak, waarbij
het noodzakelijk is om vaardigheden met
grote regelmaat aan te scherpen en uit te
breiden. Voor IT-beveiliging is een cursus
op zijn tijd onvoldoende. De uitdaging om
bij te blijven bij alles wat echt noodzakelijk is om te weten, is enorm. Sterker nog,
het is onmogelijk. Niet voor niets zijn er
geen organisaties die hun IT-beveiliging
geheel runnen zonder hulp van buitenaf.
Vrijwel iedere organisatie maakt daarom
van enige vorm van managed security
gebruik. Desalniettemin staat security
training in 2015 hoog op de agenda van
de Nederlandse CISO.
Nederlandse organisaties denken vooral
in training op het gebied van DLP te gaan
investeren, op de voet gevolgd door netwerkbeveiliging. De trainingen zijn vooral
van technische aard, maar er is ook veel
aandacht voor awareness training onder
gebruikers. Opvallend is dat de aandacht
voor privacy en cloud security onderaan
bungelen, terwijl beide onderwerpen
wel top-5 security thema’s zijn voor 2015.
Met de nadruk op vooral technische training is het niet zo vreemd dat 64% van de
onderzochte organisaties aangeeft, dat er
te weinig in security training wordt geïnvesteerd.
PRIORITEIT 5: CLOUD SECURITY
Hoewel er weinig in cloud security training wordt geïnvesteerd, geeft 49% van
de onderzochte bedrijven aan onvol-
Figuur: IT-security training in 2015
Q20: In welke mate is uw organisatie voorbereid op de volgende eisen van de Data Protectie Verordening? [Alleen organisaties met 250 of meer medewerkers]
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
9
TRENDS IN SECURITY 2015
doende kennis in huis te hebben om te
garanderen dat cloudoplossingen veilig
gebruikt worden. Organisaties maken
zich vooral zorgen over het gebrek aan
controle over de beveiliging van data.
Welke leveranciers zijn te vertrouwen en
hoe kunnen we nagaan of ze de beveiliging van onze data wel op orde hebben?
Opslag kan immers wel uitbesteed worden, maar de verantwoordelijkheid voor
data niet.
Ook maken veel organisaties zich zorgen
over de opkomst van schaduw-IT. Cloudoplossingen komen niet via de traditionele IT-kanalen de organisatie binnen,
maar worden vaak al gebruikt voordat IT
ervan op de hoogte is. Als het mis gaat,
kan je de business of medewerker wel de
schuld geven, maar weet je ook wie de
rommel mag opruimen. Ook voor cloud
geldt dat de afgelopen jaren de nadruk
vaak op beperken en verbieden lag,
maar dat deze zal moeten verschuiven
naar faciliteren. Hoe zorg je ervoor dat je
op tijd aan tafel zit om veilig gebruik te
garanderen?
Eén van de interessantere mogelijkheden die nu nog beperkt benut wordt,
maar in 2015 verder zal opkomen, is die
van het sleutelbeheer. Amazon biedt bijvoorbeeld de mogelijkheid om sterke
encryptie te combineren met het zelf beheren van de sleutels. Amazon heeft dan
simpelweg de sleutel niet en is dus ook
niet in staat om data op verzoek van Amerikaanse diensten te ontsleutelen.
SECURITY IS
PROACTIEF IN 2015
Bedrijven en instellingen zijn in een snel
tempo verder aan het digitaliseren. Het
succes van een organisatie wordt daardoor steeds meer afhankelijk van een
succesvolle beveiliging. Teveel innovatieve producten en diensten worden nooit
in de markt gezet, omdat men er niet in
slaagt om de beveiliging rond te krijgen.
Meer weten over business,
innovatie & IT?
Figuur: Cloud security uitdagingen
Q28: Wat zijn wat u betreft de belangrijkste uitdagingen op het gebied van cloud security?
Lees www.BusinessEnIT.nl
Door proactief vroegtijdig aan te schuiven bij de ontwikkeling van deze producten en diensten, versterkt security het
concurrerend vermogen. Dat geldt zeker
ook voor mobiele werkoplossingen, bijvoorbeeld uit de cloud.
Ook in de manier waarop IT-security
werkt, staat proactief in 2015 voorop.
Dreigingen worden steeds complexer
en uitdagender. Zo houdt een virusscanner misschien veel malware tegen, maar
meestal niet de gevaarlijkste. Het wordt
steeds belangrijker om op zoek te gaan
naar afwijkend gedrag en eventuele dreigingen te neutraliseren voordat ze geïdentificeerd zijn. Hoewel veel security
professionals zich daar prima van bewust
zijn, loopt de praktijk meestal daar een
heel eind achteraan.
Tenslotte willen we graag afsluiten met
een voorspelling voor 2015: de kans dat
IT-security saaier wordt in 2015 is kleiner
dan 10%.
Peter Vermeulen is directeur van
Pb7 Research
De Nationale IT-Security Monitor is mogelijk dankzij de medewerking van:
Business & IT publiceert artikelen en blog posts over de relatie
tussen IT, business en innovatie.
Ook publiceren? Kijk op http://businessenit.nl/over-business-en-it/
10
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
11
SECURITY
Normcommissie
voor alle security-normen
en uniforme certificatie
voor veiligheidsproducten
Jolien van Zetten is consultant Milieu & Maatschappij bij
NEN en verantwoordelijk voor alles dat met security te maken heeft. “Op dit moment speelt er veel”, vertelt ze. “Zo
zijn we bezig met het opstarten van een normcommissie Security en coördineren we als NEN het FP7-project CRISP
dat moet zorgen dat er Europees gezien uniformiteit komt in
de certificatie van veiligheidsproducten.”
De Technical Management Board van ISO
(ISO/TMB) heeft besloten om per 1 januari 2015 een aantal commissies op het gebied van security samen te voegen. Hierdoor moet een beter overzicht en een
betere structuur ontstaan. Voor NEN was
dit aanleiding om ook één normcommissie voor security op te richten. NEN voert
al enige tijd een CEN/TC-secretariaat en
een ISO-werkgroep op het gebied van
maatschappelijke veiligheid, maar nationaal is dit nooit goed van de grond gekomen. In september was er een eerste
informatiebijeenkomst. Zo’n 80 belangstellenden woonden de bijeenkomst bij.
Op 27 november is de normcommissie
met ruim 20 leden opgericht.
12
VEEL ONDERWERPEN
De normcommissie moet een aantal besluiten gaan nemen. Onder security vallen veel onderwerpen, zoals ‘Business
Continuity Management’, ‘Bescherming
Vitale Infrastructuur’; ‘Security Management en Security Dienstverlening’, ‘Crisis
Management’ en ‘Emergency Management’. Gaat de normcommissie al deze
onderwerpen behandelen of worden er
subcommissies en werkgroepen opgericht? Niet alle onderwerpen zijn voor
alle normcommissieleden even relevant.
Zo hebben retailers veel interesse in supply chain management, maar minder in
crisis management.
In de ISO Technische Commissie (ISO/
TC) 292 Security worden normen opgesteld, beheerd en verbeterd om de veiligheid van organisaties, infrastructuur en
samenleving te borgen. De NEN-normcommissie Security zal op Europees en
internationaal niveau voor de Nederlandse belangen in dit vakgebied opkomen
door bij te dragen aan concept-normproducten, deel te nemen aan nationale,
Europese of internationale projecten en
werkgroepen, zelf voorstellen te doen
voor nieuwe normen en feedback te geven op bestaande normen.
Recent is bij NEN de Normcommissie
Business Continuity Management opgericht. Hoe deze commissie zich tot de
Normcommissie Security zal verhouden,
wordt nog besproken.
Van Zetten: “Het belang van een Nederlandse normcommissie Security is groot.
ISO-richtlijnen zijn niet verplicht, maar
veel van deze richtlijnen worden Europees als EN-ISO overgenomen. In dat
geval gaan ze ook voor Nederland gelden. Het is belangrijk dat we weten wat er
speelt én dat we onze belangen kunnen
inbrengen. Maatschappelijke veiligheid,
sinds kort noemen we dit ook security
omdat dit zowel internationaal als in Nederland makkelijker communiceert, omvat veel. Om een voorbeeld te noemen.
Stel dat er een ontploffing plaatsvindt bij
een bedrijf dat met gevaarlijke stoffen
werkt, zoals Chemie-Pack of Shell, dan
spelen er direct een aantal zaken: ‘Welke
impact heeft het op de omgeving?; Wat
wordt er verwacht van de verschillende hulpverleningsdiensten zoals politie,
brandweer en ambulances?; Hoe communiceren ze met elkaar en wie heeft de
leiding?’ Hoewel de normcommissie nu
formeel is opgericht, kan iedereen met
een belang nog aansluiten. Zo zijn de
lagere overheden, de veiligheidsregio’s,
nog ondervertegenwoordigd terwijl zij
juist bij incidenten een coördinerende rol
hebben.”
UNIFORME CERTIFICATIE
VEILIGHEIDSPRODUCTEN
De Europese Commissie wil komen
tot een uniforme certificatie van veiligheidsproducten in heel Europa. Hierdoor moet het voor de fabrikant van een
product of een leverancier van diensten
makkelijker worden van het vrije verkeer
van goederen en diensten gebruik te
maken. Voor de eindgebruiker worden
de producten goedkoper en is er meer
keus. Om dit te onderzoeken, aanbevelingen te doen en een tool of product te
leveren, is het FP7-project CRISP in het leven geroepen. NEN leidt dit project. Voor
dit FP7-project staat een periode van drie
jaar; in april 2014 is het project gestart.
VEILIGHEIDSPRODUCTEN
Van Zetten: ”Het terrein veiligheidsproducten is heel breed. Het betreft namelijk
niet alleen producten, maar ook systemen
én diensten. Voorbeelden van producten
zijn de CCTV-camera’s bij bedrijven of in
de binnenstad en bewegingssensoren.
Bij systemen kun je denken aan bijvoorbeeld alarmcentrales en onder diensten
valt bijvoorbeeld het personeel. Eigenlijk
alles wat met veiligheid te maken heeft.
Een systeem klinkt misschien nog het
vaagst, maar denk aan een sensor. Een
enkele sensor kan gecertificeerd zijn,
maar het gaat ook om hoe meerdere sensoren - een systeem - geïnstalleerd worden. Hangen ze voldoende ver van elkaar
af en wat voor range hebben de sensoren? Een sensor met of zonder camera
kun je certificeren op zijn bereik van bijvoorbeeld 10 meter, maar het werkt pas
als je ze maximaal 20 meter uit elkaar
hangt. Dat is het systeem. De mensen, de
diensten, horen hier ook bij. Als bedrijf
of overheid huur je vaak een dienst in en
daar hoort een product automatisch bij.
Je huurt het volledige veiligheidssysteem
met diensten en apparaten in.”
VAN NATIONAAL
NAAR EUROPEES
Op dit moment heeft elk land zijn eigen
nationale certificaten voor een product.
Als je als producent bijvoorbeeld je
alarmsysteem op de markt brengt, dan
heb je het in Nederland laten certificeren.
Maar als je het in Frankrijk wilt verkopen,
dan moet je het daar weer opnieuw laten
certificeren. En dat geldt voor alle systemen en diensten. Erg onhandig. De vraag
is of je het wel Europees kunt certificeren.
Of dat het beter is een basis-set te maken. Ieder land kan dan nog aanvullingen
hebben. Of misschien een Europees systeem waar elk land zijn eigen eisen in kan
schuiven, maar waar er in ieder geval wel
op dezelfde manier wordt gecertificeerd.
Dat zou ook al winst zijn. Studies moeten
uitwijzen wat het gewenste eindresultaat
moet zijn.
EERSTE STAPPEN GEZET
De eerste stap voor de projectgroep was
duidelijk in beeld krijgen wat er nu al
bestaat aan normen en certificatiesystemen. Er zijn namelijk heel veel normen
voor veiligheidsproducten en ook veel
certificatiemogelijkheden, maar die zijn
erg versnipperd. Er zijn veel bedrijven en
instituten die hun eigen certificatieschema hebben geschreven en dat maakt het
geheel erg ondoorzichtig. Om die security-normalisatiewereld in beeld te krijgen,
zijn interviews afgenomen met een groot
aantal voorzitters en secretarissen van
technische commissies (TC’s). Eerst op
Europees niveau (CEN en CENELEC) en
nu op internationaal niveau (ISO en IEC).
Dat levert al een lijst van 40 commissies
op die iets doen op het gebied van veiligheid. Sommige onderwerpen zijn heel
duidelijk, zoals alarmsystemen. Maar de
commissie die zich bezighoudt met zeetransport en supply chain security wordt
al een stuk lastiger. Het totale veld is gigantisch veelomvattend.
Binnen CRISP is een consortium met
vooral sociologen en juristen, bijna geen
techneuten. Er wordt sterk gekeken naar
Jolien van Zetten, consultant Milieu & Maatschappij bij NEN
de sociologische en de ethische kant van
de veiligheidsproducten, bijvoorbeeld
de privacy van de mensen die gefilmd
worden en hoe die data wordt bewaard.
Een lastige discussie. Zelfs binnen Europa heb je namelijk te maken met verschillende culturen en gewoontes.
MEER INFORMATIE
OF MEEDOEN?
U kunt op de hoogte blijven door de
nieuwsbrief CRISP te ontvangen, maar u
kunt ook actief meedoen aan workshops.
Bent u fabrikant, leverancier, een certificerende instelling, gebruiker of consumentenorganisatie? Neem dan een gratis
abonnement op de nieuwsbrief of meld
u aan voor een workshop: nen.nl/security
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
13
RONDE TAFEL CYBER SECURITY
‘Nieuw Ministerie
van Digitalisering moet
Nederland digitaal veilig maken’
Hoewel de samenleving en vrijwel alle beroepen direct of
indirect afhankelijk zijn van IT-systemen, is die nadrukkelijke
aanwezigheid van IT en bijbehorende digitale veiligheid niet
terug te vinden in het Nederlandse onderwijs. Sterker nog,
het blinkt uit in afwezigheid. Dat signaleren de deelnemers
aan de Ronde Tafel Cyber Security. Zij willen dat dit gaat
veranderen in het belang van de BV Nederland. Cyber security moet volgens hen verweven worden in alle opleidingen,
op alle niveaus. En een Ministerie van Digitalisering moet er
voor zorgen dat dit thema door de hele samenleving verweven raakt.
De Ronde Tafel Cyber Security is een
initiatief van de Cyber Security Raad.
Dit adviesorgaan van de regering signaleert een nijpend gebrek aan bewustzijn
rondom digitale veiligheid in de samenleving en de noodzaak die er is om via
onderwijs dit tij te keren. Ook baart het
de Raad zorgen dat er te weinig professionals worden opgeleid op het gebied
van cyber security en dat het Nederlandse onderwijs op dit vlak dreigt stil te
vallen. Daarom heeft de Cyber Security
Raad onderwijsorganisaties, ondernemers, brancheverenigingen en -platformen, wetenschappelijke instellingen,
politici en beleidsambtenaren bij elkaar
gebracht om gezamenlijk het probleem
te definiëren en een oplossingsrichting te
formuleren. De Cyber Security Raad zal
zijn advies aan het kabinet over dit thema
mede baseren op de resultaten van deze
Ronde Tafel Cyber Security.
VERANDERINGEN NODIG
De manier van denken over digitale veiligheid in Nederland moet veranderen,
stellen de deelnemers. Het ligt nu vaak op
het bordje van specialisten. Meestal gaat
het dan om informatiebeveiliging. Maar
dat is niet langer voldoende. Vrijwel alle
producten en diensten in de samenleving
zijn afhankelijk van IT. We hebben als samenleving een vijfde domein gecreëerd
– cyberspace, naast lucht, land, water en
ruimte – waar we grip op moeten zien te
krijgen. Alle systemen zijn in cyberspace
met elkaar verbonden, met alle risico’s
van dien.
Daarom is het belangrijk niet te focussen
op IT, maar er boven te hangen en vast
te stellen waar IT de business en de samenleving raakt. Want uiteindelijk gaat
het om de continuering daarvan. De start
van het nieuwe denken zou daarom social tech risk management moeten zijn.
In dit denken gaat het om de risico’s die
veroorzaakt worden doordat technologie
mensen, maatschappij en business raakt.
Als die in beeld zijn, kan een discussie
plaatsvinden over wat we als samenleving acceptabele risico’s vinden en wat
niet. Daar kunnen overheden, bedrijven
en burgers dan hun maatregelen op nemen. Dit gaat veel verder dan de klassieke informatiebeveiliging door specialisten. In dit nieuwe denken heeft iedereen
een rol. Het richt zich op het grotere geheel van een genetwerkte samenleving.
COLLECTIEVE
VERANTWOORDELIJKHEID
In die genetwerkte samenleving is het
een collectieve verantwoordelijkheid om
digitaal veilig te zijn. Net zoals we afspraken hebben gemaakt over het deelnemen aan het verkeer, zouden we ook
14
afspraken kunnen maken over deelname
aan cyberspace. Waarom wel een rijbewijs, maar geen cyber-rijbewijs? Waarom
wel verkeersregels om ieders veiligheid
te waarborgen en geen cyberregels? Net
als in het verkeer hebben deelnemers
aan cyberspace invloed op elkaars veiligheid. Mensen moeten zich daar meer
bewust van zijn en daarin worden opgevoed en opgeleid.
Ook bedrijven zouden een actievere rol
moeten vervullen in het cyber secure
aanbieden van producten en diensten.
Vaak staan nu de processen centraal. Proces engineers ontwerpen een fabriek en
voegen processen kosteneffectief samen.
Maar is dat ook veilig? De deelnemers
aan de Ronde Tafel Cyber Security vinden dat bedrijven hun procesontwerp,
maar ook hun producten en diensten,
verplicht moeten laten toetsen op digitale
veiligheid. Vanaf het begin moet veiligheid mee-ontworpen worden. De overheid zou hierin een sturende rol kunnen
vervullen, via regelgeving en aanbestedingsregels. Ook zien de deelnemers
een rol weggelegd voor verzekeraars.
Als zij eisen stellen voor deelname aan
een cyber-verzekering, gaan bedrijven
nadenken over de risico’s van hun producten en diensten. De overheid zou zo’n
verzekering vervolgens verplicht kunnen
stellen voor al haar leveranciers.
IN ONDERWIJS INTEGREREN
De deelnemers aan de Ronde Tafel Cyber Security stellen dat Nederland nog
niet digitaal veilig is. Dat is ons als samenleving overkomen. Iedereen ziet de
voordelen in van de digitale wereld en
maakt er dankbaar gebruik van. De risico’s zijn lange tijd niet onderkend. Het
is nu tijd om daar aandacht aan te geven
en de samenleving in te richten op cyber
secure handelen.
Het onderwijs speelt daarin een belangrijke rol. Van basisschool tot universiteit
moet basiskennis over cyber security
worden aangeleerd. Dat kan als module ingericht worden, maar zeker bij
beroepsopleidingen moet het een geïntegreerd onderdeel gaan vormen van
het curriculum. Net als statistiek moet
cyber security een vast onderdeel zijn
van iedere opleiding. Want iedereen
heeft in zijn beroep direct of indirect te
maken met IT-systemen of producten en
diensten die gebruik maken van IT. Die
koppeling tussen de beroepspraktijk, IT
en cyber security wordt door de deelnemers node gemist.
Probleem daarbij is dat het onderwijssysteem in Nederland lastig te veranderen
is. Het Ministerie van Onderwijs, Cultuur
en Wetenschappen laat het aan scholen
en de beroepspraktijk over wat de inhoud van het onderwijsaanbod moet zijn.
Daarom adviseren de deelnemers om als
overheid te gaan sturen op kern- en leerdoelen op het gebied van cyber security, waar alle scholen op alle niveaus aan
moeten voldoen.
SEXY MAKEN
Cyber security maakt het mogelijk IT
weer sexy te maken. Als het gaat om hacken en het tegengaan van cyberaanvallen, reageren studenten enthousiast: een
dergelijke opleidingsrichting is cool. Dat
wordt nog eens versterkt als bedrijven en
onderwijsinstellingen samen een curriculum ontwikkelen en bedrijven gastlessen verzorgen. De praktijk trekt studenten over de streep.
De onderwijsrichting ‘cyber security’
moet dan wel aansluiten op de nog gezamenlijk te ontwikkelen competentieprofielen voor cyber security-specialisten.
Door in publiek-private samenwerking
onderwijs te ontwikkelen, sluit de inhoud
aan op de beroepspraktijk en is het mogelijk toekomstgericht onderwijs te geven. Door het huidige gebrek aan kennis
over dit thema in het onderwijs, lopen onderwijsinstellingen het risico dat zij gaan
opleiden voor problemen van gisteren of
vandaag, terwijl er behoefte is aan opleidingen die de problemen van morgen
aanpakken.
Dat kan volgens de deelnemers gerealiseerd worden door als onderwijsinstellingen en bedrijfsleven nauw op te
trekken en samen inhoud te geven aan
opleidingen. Daarnaast zou de overheid
een overkoepelende visie voor cyber security onderwijs moeten formuleren. Dit
biedt de mogelijkheid om als overheid
ondersteunende maatregelen te nemen
ten behoeve van partijen die actie ondernemen om die nationale visie te verwezenlijken. De herinrichting van de Nederlandse samenleving en het Nederlandse
onderwijs biedt grote kansen voor de BV
Nederland. Een Ministerie van Digitalisering zou hierin een stimulerende functie
kunnen vervullen en ervoor kunnen zorgdragen dat dit thema in de hele samenleving verweven raakt.
Martin Bobeldijk is communicatieadviseur
bij de Cyber Security Raad
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
15
RONDETAFEL-DISCUSSIE
‘Security
is (ook) een kwestie van
gewoon beginnen’
IT-beveiliging is voor veel organisaties een onderwerp dat
steeds vaker op de agenda van de directie staat. Maar, zo
bleek tijdens een rondetafel-discussie die Sogeti onlangs
organiseerde, in de traditionele manier van software ontwikkelen zit onveiligheid als het ware ingebakken. Er is dus een
andere manier van werken nodig. Die is er, meent Sogeti,
en die levert bovendien een betere kwaliteit IT-projecten op.
Security is nog veel te vaak een set van
maatregelen die achteraf aan een IT-project wordt toegevoegd. Fout, meent
Marinus Kuivenhoven, senior security
specialist bij Sogeti. Beveiliging - of beter gezegd: een veilig product opleveren
- dient volledig in de manier van werken
van de IT-afdeling te zijn verweven.
NATIONALE IT-SECURITY
MONITOR
Kuivenhoven was een van de sprekers
tijdens een rondetafelsessie die Sogeti
onlangs voor een aantal klanten organiseerde. Andere sprekers waren Bernard
Barbier, voormalig topambtenaar bij het
Franse Ministerie van Defensie en verantwoordelijk voor alle security-activiteiten
van Sogeti en Peter Vermeulen, directeur van Pb7 Research. Dit onderzoeksbureau heeft onlangs in samenwerking
met onder andere Sogeti en Infosecurity
Magazine de eerste editie van de Nationale IT-Security Monitor uitgevoerd. Waar
Barbier een high-level overzicht gaf van
de schade die security-incidenten voor
maatschappij en bedrijfsleven opleveren,
gaf Vermeulen een duidelijk inzicht in de
houding van Nederlandse organisaties
ten aanzien van IT-security, de maatregelen die zij tot nu toe genomen hebben en
de acties die zij voor de komende jaren
op de planning hebben staan.
‘ENABLER’
Natuurlijk heeft security met technologie
te maken, maar het is eerst en vooral een
houding en een mentaliteit. Kuivenhoven
gaf in zijn presentatie aan dat een IT-afdeling die bij een project veilig werkt,
al snel zal ontdekken dat de voordelen
daarvan veel verder gaan dan - zeg maar
- ‘enkel en alleen’ een betere beveiliging.
Security is namelijk ook een ‘enabler’ om
16
tot een betere kwaliteit programmatuur te
komen en dus tot een betere IT-aanpak.
SNELLER LEREN
Kuivenhoven is een van de auteurs van
het boek ‘Staying Ahead in the Cyber Security Game’. Hierin wordt uitgelegd dat
onveiligheid bij applicaties in de meeste
gevallen onvermijdelijk is. Althans, als we
software blijven ontwikkelen zoals we dat
tot nu toe vaak doen. Voor een adequate
security zorgen is namelijk niet een taak
die we bij IT moeten neerleggen. Bovendien moeten we af van het idee dat we
cybercriminelen kunnen tegenhouden
door almaar meer technische maatregelen te nemen. Natuurlijk moeten we
maatregelen blijven nemen als firewalls
en intrusion detection-systemen implementeren, maar de auteurs stellen in hun
boek fijntjes vast dat cybercriminelen
sneller blijken te leren dan de IT’ers die
de beveiligingsmaatregelen nemen. Er is
dus meer nodig.
VERLOREN STRIJD
Security wordt gewonnen of verloren
in de ontwerpfase. Dat is op zich geen
nieuw gegeven, maar hoe brengen we dit
idee nu in de praktijk? Daarover handelt
het boek waarvan Kuivenhoven een van
de auteurs is. Hij gaf aan dat we al een
goede stap zetten door alles wat we bij
een IT-project doen in twijfel te trekken,
waarbij we zowel naar het te automatiseren proces moeten kijken als naar de
techniek waarmee we dat doen. Iedere
individuele stap in het te automatiseren
proces dient onderzocht te worden op
doelmatigheid, efficiëntie en dergelijke
en dus ook op de mate waarin met deze
processtap wellicht ook andere dingen
tot stand gebracht kunnen worden dan
de opdrachtgever bedoelde. Anders gezegd: security als integraal onderdeel
van het ontwerp van proces én applicatie.
BETERE SOFTWARE
Een hier logisch uit voortvloeiend advies is dan uiteraard om IT-projecten in
veel kleinere deelprojecten op te delen.
Daarmee blijft het project overzichtelijk
en zien we veel sneller de effecten van
onze acties - ook die op het gebied van
veiligheid. Dat leidt ook direct tot een
'Security wordt
gewonnen of verloren
in de ontwerpfase'
betere kwaliteit software. We worden immers direct geconfronteerd met de consequenties van de aanpak die we hebben
gekozen. Met andere woorden: met onze
eigen acties en handelingen nog vers in
het geheugen zien we de resultaten daarvan. Herstellen of verbeteren is dan veel
makkelijker en leidt tot veel betere resultaten. Een dergelijke aanpak levert dus
niet alleen veilig(er) software op, maar
ook software van een betere kwaliteit.
Robbert Hoeffnagel is hoofdredacteur van
Infosecurity Magazine
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
17
IBEACONS EN WIFI IN EEN VEILIGE RETAILOMGEVING
Betrouwbare
netwerken dankzij
proprietary software
Gebeurtenissen als de onthullingen van Snowden in de
NSA-affaire leiden ertoe dat ondernemingen en organisaties
zich meer dan ooit bewust zijn van de kwetsbaarheid van
hun data. De Duitse netwerkleverancier Lancom Systems
profiteert daarvan, vanwege haar producten zonder backdoor. “Met open source-producten blijf je kwetsbaar.”
Het gaat Stefan Herrlich, Managing Partner bij Lancom Systems, te ver om te stellen dat zijn onderneming garen spint bij
de NSA-affaire, daarvoor is de schade die
de onthullingen wereldwijd aanrichtten te
groot. Maar hij kan niet ontkennen dat de
aandacht voor de praktijken van de NSA
ervoor hebben gezorgd dat organisaties
zich bewuster zijn van de gevolgen van
een datalek of een inbraak door autoriteiten.
Lancom bouwt netwerkproducten die – in
tegenstelling tot de apparatuur die Amerikaanse en Aziatische leveranciers maken – niet over een ‘backdoor’ beschikken. Die kennis wordt in toenemende
mate opgepakt in de markt. “We zien dat
terug in de omzet, die met twintig procent
groeide, maar meer nog in de aandacht
voor ons beleid. Grote kwaliteitsmedia,
van de Frankfurter Allgemeine tot The
Times, schrijven over onze visie op security”, legt Herrlich uit.
Het helpt daarbij dat Lancom als enige
fabrikant in Europa de hoogst mogelijke
certificering kreeg voor de beveiliging
van kritische infrastructuren tegen cyberaanvallen. Het Duitse Federale Kantoor
voor Informatiebeveiliging (BSI) verleende die certificering. Steeds vaker kiezen
overheden voor producten van Lancom.
“Wij adviseren onze gebruikers te zorgen voor een aantal ‘save boxes’ in het
netwerk. Leg over de echt kritische systemen een veilige laag met gecertificeerde
apparatuur.”
De Duitse regering heeft security-aspecten geadresseerd met een eigen digitale agenda, die aansluit op de strengere
IT-securitywetten. De regering betaalt
voor mkb-bedrijven mee aan hun beveiliging, met als argument dat de echt grote
bedrijven, zoals Volkswagen of Bayer, het
zelf kunnen regelen met hun grote IT-afdelingen. Mkb-bedrijven hebben vaak te
weinig kennis om hun apparatuur goed te
beveiligen. Het is niet zo dat de staat de
aanschaf van apparatuur vergoedt, maar
wel security assessments én de helft van
de kosten voor services. “Duitsland ziet
het mkb als de ruggengraat van de economie en wil het beveiligingsniveau bij
die bedrijven verhogen.”
De sleutel naar optimaal veilige netwerkapparatuur is volgens Herrlich proprietary software. “Lancom heeft altijd
haar eigen OS ontwikkeld. We kennen
elke regel code, er is niets in het product
dat door derden is samengesteld. Dat lukt
je bij open source-omgevingen nooit.”
Of de aandacht voor security-problemen
zoals Heardbleed en NSA ertoe leidt dat
open source een terugval zal krijgen durft
Stefan Herrlich niet te zeggen. Er zijn volgens de managing partner zeker omgevingen waarin je open source redelijk
probleemloos kunt inzetten, maar voor
die onderdelen van het netwerk waar je
optimale veiligheid wenst, bijvoorbeeld
de routers die de connectie vormen tussen het private en het publieke domein,
geldt dat beslist niet. “Vaak wordt proprietary software als iets onwenselijks
beschreven. Wij delen die opvatting niet
en werken al sinds de oprichting van
Lancom aan en met ons eigen OS.”
VEILIGE EPAPER-DISPLAYS
Lancom concentreert zich in haar aanbod op zes verticalen, waarvan hospitality, healthcare en retail de belangrijkste
zijn. In dat laatste domein kondigde de
fabrikant onlangs een samenwerking aan
met het Oostenrijkse imagotag. Gezamenlijk brengen de leveranciers draadloze ePaper-displays op de markt die in
retailomgevingen met een specifieke
radio aangestuurd worden. Deze radio is
toegevoegd aan een wlan Access Point.
Tegelijkertijd is iBeacon als derde radio
technology toegevoegd.
Herrlich: “Retailers hebben belang bij zo
veel mogelijk informatie over hun klanten. Online shops krijgen die haast automatisch binnen, fysieke winkels hebben
het lastiger. Door naast wlan-tracking
ook iBeacon-tracking (Bluetooth 4.0) in
te zetten kunnen we op tien centimeter
nauwkeurig registreren waar een bezoeker zich in een winkel bevindt, hoe zijn
routing door het pand is en waar hij blijft
staan kijken naar een product.”
Een onderneming als Mediamarkt monitort continu op internet hoe prijzen
van verschillende producten zich ontwikkelen. Door elektronische displays
te gebruiken kunnen ze hun prijzen op
elk moment van de dag bijstellen. Deze
innovatie maakt retailers flexibeler. Ook
hier is het echter zaak alle data veilig in
het netwerk te houden. “Wij denken dat
het inzetten van iBeacon-technologie zowel voor consumenten als voor retailers
voordelen biedt, maar je zult in elk geval
security en privacy goed moeten regelen”, legt Herrlich uit. “Daarnaast zullen
consumenten niet ongevraagd aanbiedingen krijgen, maar is de communicatie
geïntegreerd in een app die ze, bijvoorbeeld als vaste klant van een warenhuis,
hebben geïnstalleerd.”
Dankzij wlan en iBeacons weet een retailer dus waar de klanten zijn in een warenhuis, of zien reizigers op hun smartphone
hoe ze op een vliegveld het snelst naar
een andere gate kunnen lopen. Volgens
Herrlich kan de technologie nieuwe winkelervaringen mogelijk maken, met gepersonaliseerde aanbiedingen. En het
geeft de retailer inzicht. Mercedes Daimler in Duitsland gebruikt bijvoorbeeld
bewegingsdata om klantbewegingen te
volgen in een showroom. “Ze adverteren
op vrijdag in de grote kranten en kijken in
het weekend of mensen inderdaad naar
dat specifieke model lopen.” Herrlich is
echter realistisch: “Het werkt alleen als
het veilig en zeker kan. Data van de retailer moet binnen zijn omgeving blijven,
gegevens van klanten mogen niet op
straat liggen.” En niet alleen dat, het zijn
de partners van Lancom Systems die toepassingen moeten ontwikkelen die aansluiten op de wensen van de markt. “In
zekere zin laten wij het product los en nodigen developers uit om de technologie
door te ontwikkelen.”
Stefan Herrlich, Managing Partner bij Lancom Systems
18
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
19
EXPERTVISIE CENTRIC
TRENDS IN SECURITY 2015
SECURITY
•
AWARENESS
IN VIJF STAPPEN
Stelt u zich eens voor: een voor u onbekend persoon staat voor
de deur. In haar ene hand een zware tas, in de andere hand een
telefoon waarmee ze druk aan het bellen is. “Bedankt, ik weet de
weg hoor”, mompelt ze terwijl u de deur open doet en ze u voorbij
loopt de gang op. Wat doet u?
Dat het beveiligingsbewustzijn van medewerkers een belangrijke rol speelt bij
het beheersen van risico’s zal niemand
betwisten. Het is een belangrijke verdedigingslinie op gebieden waar techniek
ons niet kan helpen. Als wapen tegen social engineering, bijvoorbeeld, maar ook
in de naleving van beleid en procedures.
Toch blijkt het verhogen van het bewustzijn rondom informatiebeveiliging een
van de grootste uitdagingen voor organisaties. Hoe realiseert u een verhoogde
security awareness? We zetten de vijf
stappen naar een passend bewustzijnsniveau op een rij.
EEN TWEEDE NATUUR
Diverse aspecten spelen een rol bij het
verhogen van het beveiligingsbewustzijn. De cultuur binnen uw organisatie,
bijvoorbeeld. Maar ook sociologische
aspecten zoals normen en waarden en
de kennis en het inzicht van uw medewerkers. Tegelijkertijd biedt de menselijke natuur een tegenkracht. Wij zijn van
nature bijvoorbeeld hulpvaardig en doen
dus gemakkelijk de deur open voor een
vreemde. En omdat we confrontaties
graag mijden, zijn we niet snel geneigd
deze bezoeker naar zijn of haar bedoelingen te vragen. Toch zou u willen dat
medewerkers beter helpen bij het beveiligen van uw organisatie. Hoe groeien zij
uit van de zwakste schakel in de beveiligingsketen tot een betrouwbare verbinding die de keten juist versterkt?
STAP 1 - DOELSTELLING
Het begint allemaal met een goede doelstelling. Wat is het gewenste niveau van
beveiligingsbewustzijn? Dataclassificatie en een risicoanalyse geven inzicht in
aandachtsgebieden ten aanzien van het
gewenste bewustzijnsniveau. Vaak zijn
er bijvoorbeeld afdelingen die een verhoogd bewustzijn vragen ten opzichte
van de rest van de organisatie.
• Cultuurverandering: Uiteindelijk
wilt u een cultuurverandering teweeg brengen. Veilig omgaan met
informatie moet voor al uw medewerkers een tweede natuur worden.
Het hoogste doel is het stimuleren
van een intrinsiek bewustzijn, een
“security-onderbewustzijn.”
• Management: Bestuurlijke betrokkenheid en draagvlak bij het
management zijn onmisbaar om
blijvende security awareness te realiseren. De mensen aan het hoofd
van uw organisatie vervullen een
voorbeeldfunctie en moeten initiatieven ondersteunen.
STAP 2 - INVENTARISATIE
Nu u een doel voor ogen heeft, is het de
vraag hoe ver u van dat doel verwijderd
bent. Dit meet u bijvoorbeeld in interviews met medewerkers of door informatiebeveiliging mee te nemen in de jaarlijkse audit(s). Met behulp van speciale
tooling (e-learning) kunt u het actuele
kennis- en inzichtniveau vaststellen.
• Meldingen: Een interessante indicator is het aantal gemelde beveiligingsincidenten. Hou er echter
rekening mee dat deze indicator
aanvullende inzichten vraagt, bijvoorbeeld over de aard van de inci-
20
denten. Want betekent een toename
van het aantal gemelde incidenten
een verhoogd of juist een verlaagd
beveiligingsbewustzijn?
Proef op de som: Net als uw netwerk- en applicatiebeveiliging, kunt
u de menselijke barrière aan een
ethical penetration test onderwerpen. Meet hoelang het duurt tot die
onbekende bezoeker wordt aangesproken. En hoeveel medewerkers
steken een gevonden USB-stick achteloos in hun laptop?
STAP 3 - STRATEGIE
Als u een beeld heeft van het verschil tussen het gewenste en het huidige beveiligingsbewustzijn, kunt u de strategie ontwikkelen waarmee u dit ‘awareness gap’
gaat overbruggen. Richt u op het doorlopen van het leerproces van Maslow:
uw medewerkers verhogen hun awareness-niveau van onbewust onbekwaam,
via bewust onbekwaam en bewust bekwaam, naar onbewust bekwaam. Besef
daarbij dat verschillende (groepen) personen op verschillende manieren benaderd moeten worden.
• Kennis, houding, gedrag: Richt u
in de basis op deze drie gebieden.
Goede kennis en een juiste houding
zijn de basis voor aanpassingen in
het gedrag van medewerkers.
• Gebruik momentum: Kies slimme momenten om beveiliging bij
medewerkers onder de aandacht te
brengen. Een logisch startmoment is
uiteraard de introductie voor nieuwe
medewerkers. Maar haak bijvoorbeeld ook aan op actualiteiten of
besteed kort na een migratie, verhuizing of fusie extra aandacht aan
informatiebeveiliging.
• Leg regels uit: Leg regels niet alleen op, leg ze ook uit. Geef inzicht in
het waarom van uw securitybeleid.
Zo maakt u uw medewerkers deelgenoot van uw uitdaging en geeft u
hen het gevoel dat u ze vertrouwt.
STAP 4 - ACTIVITEITEN
Een goede strategie vertaalt zich gemakkelijk naar de juiste activiteiten. Voer
deze niet ad-hoc uit, maar maak een plan
van aanpak of een planning en hou daaraan vast. Zo zet u een volwaardig awareness-programma neer.
• Duidelijke communicatie: Communicatie is uw belangrijkste middel
om awareness te vergroten. Goede
communicatie over security is con-
•
•
creet, praktisch en relevant. Stem de
berichtgeving daarbij af op de doelgroep.
Varieer met de vorm: Laat medewerkers bijvoorbeeld eens deelnemen aan een “awareness game”, organiseer informele bijeenkomsten,
geef medewerkers een praktische
reminder voor op de werkplek of
verzin iets geheel nieuws.
Niet vrijblijvend: Bewustwording
is een persoonlijk proces, maar dat
maakt het niet vrijblijvend. Zorg dat
bijeenkomsten of e-learning door
iedereen worden bijgewoond. Hierin speelt het management opnieuw
een grote rol. Overweeg eventueel
beloningen voor positief gedrag of
maak het beveiligingsbewustzijn onderdeel van beoordelingen.
STAP 5 - EVALUATIE
Om te weten of uw activiteiten effect hebben, meet u periodiek de status van het
beveiligingsbewustzijn. Hiervoor maakt u
onder andere gebruik van de methoden
die in de inventarisatiefase (stap 2) al aan
bod kwamen. Een belangrijke aanvullende graadmeter is de terugkoppeling die
u van diverse afdelingshoofden krijgt.
•
Herhalen, herhalen: Helaas is
beveiligingsbewustzijn vluchtig en
hebben de effecten van uw inspanningen vaak slechts een tijdelijk
effect. Zolang er nog geen sprake
is van “security-onderbewustzijn”,
maar ook als dat er wel is, moet u
blijven herhalen.
• Vangnet: Neem de hier genoemde
stappen op in een bewustwordingsproces ten aanzien van informatiebeveiliging. Daarmee geeft u continu
aandacht aan het onderwerp. Zo ontstaat een natuurlijk vangnet waarop
uw organisatie kan terugvallen.
Terug naar het gedachte-experiment
uit mijn inleiding: de voor u onbekende
dame is u al bellend voorbij gelopen. Wat
doet u? Gaat u haar achterna om te weten
wat haar werkelijke bestemming is?
Gerard Stroeve is manager Security &
Continuity Services bij Centric
CENTRIC
ANTWERPSEWEG 8
2803 PB GOUDA
T 0182 - 64 80 00
E [email protected]
I WWW.CENTRIC.EU/SECURITY
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
21
EXPERTVISIE EQUINIX
TRENDS IN SECURITY 2015
bijvoorbeeld om een lagere latency van
applicaties te bereiken, of om back-up en
uitwijkvoorzieningen (disaster recovery)
te creëren. Dit waarborgt de beschikbaarheid van uw data, ook bij calamiteiten, zodat het hart van uw organisatie
blijft functioneren.
CLOUD
& SECURITY
Innovaties volgen elkaar bij de overheid snel op. Veel van deze
innovaties zijn ICT-gedreven. Ze creëren datastromen die in toenemende mate in een cloud-omgeving worden opgeslagen. En dat
brengt forse beveiligingsuitdagingen met zich mee. De vaak privacygevoelige gegevens hebben een waterdichte security nodig
– een feit waarop toezichthouders en juristen telkens weer hameren. In dit artikel laten we zien hoe Equinix, wereldmarktleider in
datacenters, deze uitdagingen pareert.
Datacenters van Equinix vormen perfect
beveiligde omgevingen voor uw data.
In Nederland staan deze datacenters in
Amsterdam, Zwolle en Enschede. Het
zijn gebouwen waarin bedrijfskritische
ICT-apparatuur veilig is gehuisvest. Elk
datacenter heeft uitgebreide fysieke
beveiligingsmaatregelen, geavanceerde systemen voor klimaatbeheersing
en brandbestrijding plus diverse noodstroomvoorzieningen. Al deze systemen
zorgen ervoor dat de ICT-apparatuur in
het datacenter ook tijdens calamiteiten
goed blijft functioneren. Bedrijfskritische
en gevoelige data zijn dus volledig veilig
opgeslagen.
FYSIEKE SECURITY
Alle Nederlandse datacentra van Equinix
bieden de hoogst mogelijke fysieke beveiliging. De toegang tot de serverruimten zélf verloopt uitsluitend via sluizen
met dubbele deuren. Deze deuren hebben badge readers om bevoegde personen te identificeren. Bezoekers mogen
uitsluitend onder begeleiding van een
Equinix-medewerker naar binnen. Elk
datacenter wordt bovendien via camera’s
bewaakt.
Voor klanten die extra gevoelige informatie verwerken, zoals overheidsdiensten
of betalingsproviders, bieden we extra
afgeschermde en geblindeerde serverruimten. Deze hebben onder meer een
kooi-in-kooi-opzet, extra hekken, beveiliging met infraroodstralen en camera’s,
extra toegangscontrole en een stofdeeltjesalarm.
22
EQUINIX MANAGED SERVICES
In Nederland heeft Equinix een bedrijfin-het-bedrijf: Equinix Managed Services. Het levert een groot aantal aanvullende ICT-infrastructuurdiensten in de
Equinix-datacenters, zoals secure cloud,
storage en netwerken. Equinix Managed
Services biedt vrijwel altijd maatwerkoplossingen. Het zijn oplossingen op
basis van actuele industriestandaards en
bouwstenen uit de praktijk met een zeer
hoge kwaliteit. Deze diensten omvatten
twee abstracte infrastructuurlagen op de
Equinix Datacenter Services (zie figuur
1). De diensten bevatten zowel hardwa-
re voor co-locatie en hosting als diensten
voor bijvoorbeeld beheer, security, configuratie, monitoring en onderhoud.
CLOUD-DIENSTEN EN MAATWERK
Managed cloud-diensten. Voor velen is
het een vaag begrip. Toch is het dat niet.
Een ‘cloud’ is niets anders dan computercapaciteit die u via internet, een vaste
verbinding of een digitale marktplaats
benadert. Het betekent dat u data en rekenkracht elders onderbrengt. Bijvoorbeeld in een datacenter van Equinix.
Equinix Managed Services is secure
cloud integrator. Het wil zeggen dat we
op veilige wijze uw eigen computercapaciteit kunnen integreren met data en rekenkracht die u bij Equinix onderbrengt
én met de data die u eventueel onder eigen beheer of bij een andere aanbieder
afneemt.
U kunt als klant van Equinix ervoor kiezen
om uw data in Enschede, Zwolle, of Amsterdam onder te brengen. Ook een verdeling over meer datacenters is mogelijk,
SECURITY EN
INFORMATIEBEVEILIGING
Bedrijven in Nederland verliezen miljoenen door cybercrime, ofwel het illegaal verkrijgen van data of het verstoren van ICT-systemen, bijvoorbeeld
met DDoS-aanvallen. Cybercrime vormt
samen met digitale spionage (ook door
overheden) een grote bedreiging voor
organisaties. Equinix Managed Services
heeft een breed palet aan diensten en
middelen om deze bedreiging te minimaliseren.
DATASECURITY: TRENDANALYSE
ALS LEIDRAAD
Equinix Managed Services investeert onder andere in anti-DDoS-infrastructuur.
Het is een systeem dat trends in dataverkeer analyseert en DDoS-aanvallen
kan onderscheiden van legitieme pieken
in het dataverkeer. De technologie voor
trendanalyse biedt meer mogelijkheden
om de security-slagkracht te verhogen.
Investeringen in dit werkveld nemen de
komende jaren verder toe.
Trendanalyse-beveiliging (SIEM – Security Information & Event Management)
vult onze bestaande preventieve securitytechnologie aan. Maar daartoe behoren ook Next Generation Firewalls en
trafficfilters.
SECURITY IN ONZE ORGANISATIE:
CERTIFICERINGEN
Security is meer dan techniek alleen. Het
vergt robuuste processen in de organisatie en een volledige integriteitsgarantie van medewerkers, bijvoorbeeld via
screening, een VOG en geheimhoudingsclausules. Op alle punten voldoet Equinix
hierbij aan internationale normen. Het is
zelfs ons beleid. We investeren continu
om te blijven voldoen aan de meest recente ISO-certificeringen. We voeren de
volgende certificeringen:
•
Van goud naar de cloud: het datacenter van Equinix in Enschede is gevestigd in het voormalige Nederlandsche Bankgebouw. Waar vroeger het goud veilig lag opgeslagen ligt
nu het goud van nu en de toekomst: (big) data
•
ISO 9001:2008 (beheer en borging
van kwaliteit in de organisatie)
OHSAS 18001:2007 (Britse norm
voor de gezondheid en veiligheid
van medewerkers op de werkvloer)
Figuur 1. Opbouw Equinix Managed Services infrastructuur
•
•
•
•
•
ISO/IEC 27001:2013 (de internationale standaard voor informatiebeveiliging)
ISO 50001:2011 (de internationale standaard voor de omgang met
energie en voor het terugdringen
van energieverbruik)
ISO 14001 (milieubeheer en het
in kaart brengen van het risico op
schade aan het milieu)
PCI-DSS (de norm voor databeveiliging in het betalingsverkeer via creditcards en pinpassen).
SSAE16/ISAE3402 (de norm voor
serviceorganisaties die aanvullende
informatie rapporteren aan accountants over hun interne controle)
PATRIOT ACT
De Patriot Act geeft de Amerikaanse
overheid vergaande juridische bevoegdheden om de gegevens die in datacenters liggen opgeslagen, in te zien. Voor
veel Europese klanten is dit een bron
van zorg. Equinix Managed Services garandeert dat uw data binnen de Nederlandse landsgrenzen blijft en uitsluitend
in Equinix-datacenters in Amsterdam,
Zwolle en Enschede is ondergebracht.
Een eventueel verzoek tot gegevensvordering uit de USA is juridisch volledig
geblokkeerd, aangezien de Nederlandse
activiteiten van Equinix buiten deze invloedsfeer vallen.
MEER INFORMATIE
Cloud & Security vormen de hoofdthema’s in het dienstenpakket van Equinix
Managed Services. In dit artikel hebben
we ons beperkt tot deze thema’s. Equinix
is al jaren partner van diverse Nederlandse overheidsorganisaties en bedrijven, maar gaat wereldwijd veel verder:
Equinix heeft ruim 100 grootschalige
datacenters die de hoogste niveaus aan
gegevensbeveiliging, beschikbaarheid
en kwaliteit bieden. Deze datacenters
staan in 32 markten, verspreid over 15
landen in Amerika, EMEA en Azië-Oceanië. De vijf Nederlandse vestigingen zijn
verspreid over Amsterdam, Enschede en
Zwolle. Wilt u meer weten over Equinix
Managed Services? We staan u graag te
woord.
EQUINIX
AUKE VLEERSTRAAT 1
7521 PE ENSCHEDE
T 053 - 750 30 51
E [email protected]
I WWW.EQUINIX-MANAGED-SERVICES.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
23
EXPERTVISIE FORTINET
TRENDS IN SECURITY 2015
VIRTUALISATIE
VAN FORTIGATE
GEEFT ROC VAN TWENTE
VEILIGHEID EN VRIJHEID
De infrastructuur van het ROC van Twente is bijna volledig gevirtualiseerd. Hiertoe is besloten omdat virtualisatie minder stroom
en hardware nodig heeft, maar ook vanuit het oogpunt van kostenen ruimtebesparing. Het was daarom logisch om ook de firewalls
te virtualiseren. Voor het ROC was de FortiGate-VM08 een geweldige uitkomst. Rick Ruumpol, Hoofd ICT van ROC van Twente:
“De FortiGate biedt ons een secure gateway voor internet en
helpt ons bij het beveiligen en bekrachtigen van ons BYOD-beleid.
Dankzij virtualisatie kunnen we totale protectie bieden met hoge
prestaties, binnen ons streven naar maatschappelijk verantwoord
ondernemen.”
Bij het ROC van Twente verzorgen ruim
1.800 medewerkers beroepsopleidingen, trainingen en cursussen voor ongeveer 25.000 studenten en cursisten. Dit
gebeurt op circa 20 locaties in de regio’s
Almelo, Hengelo en Enschede. Met zoveel gebruikers die voor hun dagelijkse
werk en studie afhankelijk zijn van de
ICT-netwerkinfrastructuur, is het belangrijk dat deze optimaal presteert. De prestaties worden echter continu bedreigd
door onder andere virussen en andere
malware.
In 2008 introduceerde een externe adviseur Fortinet bij ROC van Twente. “Zijn
enthousiasme overtuigde ons dat Fortinet de juiste partij was om het netwerk
te beveiligen”, zegt Ruumpol. “De keuze viel op een FortiGate 3810A voor de
bescherming van de infrastructuur. De
belangrijkste overweging daarbij was
dat de FortiGate veel meer is dan alleen een firewall. Het voorziet in unified
threat management (UTM) en integreert
dus allerlei beveiligingsmaatregelen, zoals intrusion prevention en detection (IPS/
IDS), antivirusbescherming en URL-filtering. Dat is allemaal geïntegreerd in één
appliance, wat het beheer en onderhoud
aanzienlijk vereenvoudigt.”
Zes jaar geleden ging men er nog vanuit dat een capaciteit van 350 Mbps voldoende was voor de FortiGate. “De nieuwe smartphones en tablets veranderden
dat snel”, aldus Ruumpol. “Daarmee
kwamen namelijk ook nieuwe toepassingen, zoals webgebaseerde applicaties,
cloudopslagdiensten en digitale leermiddelen. Dat legde een groot beslag op de
capaciteit van ons netwerk, vooral van het
draadloze netwerk.”
Het aantal simultane gebruikerssessies
verdriedubbelde in korte tijd. “We probeerden dat binnen de perken te houden, bijvoorbeeld door studenten en
medewerkers maar met één apparaat
tegelijk gebruik te laten maken van het
netwerk”, zegt Ruumpol. “We beperkten ook de up- en downloadsnelheid tot
5 Mbps om te voorkomen dat iedereen
grote databestanden binnenhaalt. Maar
al deze begrenzing houdt natuurlijk niet
lang stand.”
Nagenoeg alle studenten, cursisten en
medewerkers krijgen tegenwoordig met
smartphones en tablets toegang tot het
internetnetwerk van ROC van Twente.
Zij willen daarbij bovendien zelf kunnen
kiezen welke apparaten zij gebruiken.
ROC van Twente komt aan die wens tegemoet met het Bring-Your-Own-Device
(BYOD)-beleid. In feite stimuleert de onderwijsinstelling daarmee dat nog meer
mensen draadloze apparaten gebruiken.
“Het is belangrijk dat de FortiGate al
deze simultane sessies kan verwerken”,
zegt Ruumpol. “De oplossing lag in dezelfde benadering die ROC van Twente
hanteert voor andere delen van het netwerk: virtualisatie. “Onze infrastructuur is
nagenoeg volledig gevirtualiseerd”, zegt
Ruumpol. “Uit het oogpunt van kostenen ruimtebesparing, maar ook omdat
virtualisatie minder stroom en hardware
nodig heeft. Dat is dus ook beter voor
het milieu. Het was daarom een logische
keuze om ook een virtuele FortiGate te
installeren. We hebben die mogelijkheid
zorgvuldig overwogen en dit bleek voor
ons de beste keuze. Al het netwerkverkeer naar buiten verloopt via de FortiGate, dus als je deze kunt schalen naar
behoefte, maakt dit het beheer een stuk
eenvoudiger. Het was daarom logisch
om ook de firewalls te virtualiseren. Dat
is mogelijk met de FortiGate-VM. Na een
test met een FortiGate-VM08 bleek dat
deze in combinatie met onze eigen hardware ruim voldoende capaciteit bood.”
DE OPLOSSING
ROC van Twente koos voor een virtuele
FortiGate op basis van de zwaarste processors in de onderliggende hardware.
Ruumpol: “We hebben deze bovendien
ROC van Twente locatie Hengelo (Fotografie Monique Kerkhof)
binnen ons streven naar maatschappelijk
verantwoord ondernemen.”
Virtualisatie geeft de ICT-afdeling van
ROC van Twente bovendien veel meer
vrijheid om zelf het beheer en onderhoud uit te voeren. Ruumpol: “De FortiGate-appliance presteerde goed, maar
het was hardware, waardoor er limieten
waren aan de mogelijkheden om de ca-
“We kunnen de virtuele
FortiGate schalen naar
behoefte, dat maakt het
beheer een stuk eenvoudiger”
meteen dubbel uitgevoerd, zodat er een
terugval beschikbaar is bij calamiteiten
of storingen. Zo viel de keuze op een
cluster van twee FortiGate-VM08 virtuele
appliances, aangevuld met FortiAnalyser-VM64 voor analyses en rapportages.
FortiAnalyzer analyseert de gegevens uit
de virtuele FortiGate en maakt rapportages voor de ICT-afdeling. Zo hebben we
snel inzicht in netwerkverkeer en eventuele afwijkingen of aanvallen. Dat is een
verplichting voor Surfnet, maar het loont
ook voor onze eigen doeleinden. De
combinatie van FortiGate en FortiAnalyzer biedt ons een secure gateway voor
internet en helpt ons bij het beveiligen
en bekrachtigen van ons BYOD-beleid.
Dankzij virtualisatie kunnen we totale
protectie bieden met hoge prestaties,
paciteit op te schalen. Nu we een virtuele appliance gebruiken, kunnen we de
onderliggende server zelf kiezen, installeren, onderhouden en, indien nodig,
vervangen. Het is een groot voordeel dat
we de servers daarbij zelf kunnen kiezen.
We werken al jaren met servers van HP,
dus we hebben daar veel ervaring mee.
We installeerden VMware en daarbovenop de virtuele FortiGate. Deze bedient
alle lagen daaronder.”
De FortiGate-appliances zijn weer ingedeeld in meerdere aparte firewalls, zodat
er gescheiden paden zijn voor bijvoorbeeld beheerde en onbeheerde systemen. Er zijn bovendien afzonderlijke firewall-functies, zoals voor het draadloze
netwerk. “Als we dat allemaal moesten
regelen met fysieke appliances, waren
er behoorlijk omvangrijke en dure dozen
nodig geweest”, weet Ruumpol.
“Dankzij de virtuele versies van de
FortiGate blijven we gebruikmaken van
het grootste voordeel van Fortinet: we
hebben alle belangrijke beveiligingsfuncties in één device. De FortiGate-VM08 is erg efficiënt voor een omgeving zoals die van ROC van Twente. We
hoeven geen losse oplossingen te kopen
en te beheren. De FortiGate doet dat allemaal uitstekend.”
Voor
capaciteitsproblemen
vreest
Ruumpol niet meer. “Het hoge aantal sessies is geen probleem voor de virtuele
FortiGate, we hoeven ons geen zorgen
meer te maken over piekuren. We kunnen de servers waar de FortiGate-VM
op draait eventueel voorzien van zwaardere cpu’s, zonder dat we iets hoeven te
veranderen aan de FortiGate. Zo kunnen
we snel opschalen terwijl de gebruikers
daar niets van merken.”
“De FortiGate-VM08 heeft een doorvoersnelheid van 4.0 Gbps, dat is ruim
voldoende voor onze 1 Gbps-internetverbinding. Dankzij de licentiestructuur
van Fortinet kunnen we bovendien relatief goedkoop capaciteit bijschalen als
dat nodig is, want we hoeven daarvoor
geen nieuwe apparaten of licenties aan te
schaffen.”
FORTINET NEDERLAND
HARDWAREWEG 4
AMERSFOORT 3821 BM
[email protected]
WWW.FORTINET.COM
Rick Ruumpol, Hoofd ICT van ROC van Twente
24
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
25
EXPERTVISIE G DATA
TRENDS IN SECURITY 2015
‘LANDSGRENZEN
ZIJN PLOTSELING WEER VAN
GROOT BELANG IN IT-SECURITY’
Afgelopen september stelde G DATA een nieuwe sales- en marketingdirecteur aan: Walter Schumann. In deze rol is Schumann
niet alleen verantwoordelijk voor de internationale sales en marketing, maar maakt hij ook deel uit van de driekoppige Raad van
Bestuur van de Duitse securityleverancier. Wat opvalt, is het internationale CV van Schumann. Met Schumann aan het roer lijkt
G DATA een nieuwe weg in te slaan.
“G DATA is een fantastisch bedrijf, dat
vooral in Duitsland een grote naamsbekendheid geniet. Dat is ook niet zo
vreemd, want volgend jaar bestaat
G DATA alweer dertig jaar. In IT-land, en
in IT-securityland in het bijzonder, is dat
een unicum”, begint Schumann. “Maar
G DATA is, net als de meeste andere
Duitse bedrijven in de grote-thuismarkt-
val gelopen. We hebben een beetje de
‘New York, New York’- illusie in Duitsland:
‘If we make it there, we can make it anywhere’. Dus pakweg de eerste twintig jaar
van het bestaan van G DATA, is de volledige focus uitgegaan naar de eigen thuismarkt.” En dat ging goed: G DATA veroverde een gunstige marktpositie en was
winstgevend. “In de afgelopen tien jaar
is er gewerkt aan het uitbouwen van het
succes in andere landen, maar in die landen heb je niet het thuismarktvoordeel.
Het vraagt dus om andere tactieken dan
degene die zijn toegepast in Duitsland.
Eigenlijk is dat vreemd, omdat in de laatste tien jaar grenzen zijn vervaagd. Zowel
in de zakelijke wereld als met name ook
op internet. Het internet kent nauwelijks
grenzen en het maakt cybercriminelen
al helemaal weinig uit op welk stukje van
de wereld zijn slachtoffer toevallig woont.
Tegen die achtergrond zou je denken dat
het niet uitmaakt waar de IT-security die
je gebruikt vervaardigd is, als die maar
de beste is.
Maar aan die logica is zeer abrupt een
eind gekomen met het opstaan van
Edward Snowden”, gaat Schumann verder. Hij doelt hierbij op de onthullingen
die Snowden in 2013 deed over het spionagegedrag van de Amerikaanse inlichtingendiensten ten aanzien van niet
alleen de eigen burgers en ondernemingen, maar ook die uit andere landen.
“Het waren vooral de onthullingen over
het PRISM-programma die ondernemers over de hele wereld hebben doen
schrikken”, licht Schumann toe. “Laten
we eerlijk zijn: de grootste leveranciers
op het gebied van software en online services zijn van Amerikaanse origine. Het
is nagenoeg onmogelijk om een onderneming te laten draaien zonder Amerikaanse IT. En toen we, dankzij Snowden,
ontdekten dat alle Amerikaanse bedrijven door overheidsinstellingen gedwongen kunnen worden om gegevens van en
over klanten te delen en dat ze daarover
moeten zwijgen als het graf, werd duidelijk hoeveel Amerikaanse inlichtingendiensten over ons en onze ondernemingen kunnen achterhalen.”
NEDERLANDSE
ONVERSCHILLIGHEID
Schumann kent de Nederlandse onverschilligheid als het aankomt op privacyvraagstukken. “De meeste Nederlandse
burgers en een groot deel van de ondernemers in Nederland hebben de instelling ‘ik doe niets fout, dus het maakt mij
niet uit als ik in de gaten word gehouden’
of ‘wat zou de Amerikaanse overheid
nou met mijn gegevens moeten? Dat interesseert ze toch niets?’. Dit raakt aan
een fundamentele discussie waar we
in ons gesprek vandaag niet uitkomen.
Maar laten we, ook heel Nederlands,
puur pragmatisch naar de implicaties
van die Amerikaanse Patriot Act kijken.
Versleuteling mag alleen sterk zijn, als
die door middel van een achterdeur kan
worden ontlopen. Bestanden in de cloud
moeten toegankelijk zijn voor de Amerikaanse overheid. Amerikaanse securitybedrijven kunnen worden gevraagd om
staatsspyware niet te detecteren. De kennis over achterdeuren en staatsmalware
kunnen in verkeerde handen terechtkomen. Een cybercrimineel die weet hoe
Walter Schumann, sales- en marketingdirecteur G DATA
hij in de cloud aan bedrijfsgegevens kan
komen, zal het niet nalaten om iets met
die kennis te doen”, legt Schumann uit.
“En daarmee is het plotseling zeer relevant geworden uit welk land je software
komt.” En welke rol kan G DATA hier dan
in spelen? “Wij merken dat, zelfs in het
nuchtere Nederland, steeds meer bedrijven doordrongen raken van het gevaar
van onveilige beveiliging. Het is aan ons
om organisaties ervan te overtuigen dat
zij het beste kunnen kiezen van securitysoftware uit Duitsland. Duitsland kent de
strengste privacywetgeving van de wereld en staat het niet toe dat onnodige gegevens van klanten worden verzameld.
‘German Sicherheit op
de kaart zetten bij alle
bedrijven ter wereld’
26
Bovendien kan een Duits bedrijf er nooit
toe verplicht worden om klantgegevens
prijs te geven aan de overheid en worden
IT-bedrijven juist geprezen als zij zich
publiekelijk uitspreken tegen het inbouwen van achterdeuren. Als bedrijven zich
gaan verdiepen in Duitse IT-securityaanbieders, zullen zij al snel tot de conclusie
komen dat de oplossingen van G DATA
al jarenlang tot de allerbeste ter wereld
behoren.” En welke rol ziet Schumann
zichzelf vervullen hierin? “De doelstelling van mijn teams, nationaal en internationaal, is om dit besef in alle landen door
te laten dringen en zo German Sicherheit
op de kaart te zetten bij alle bedrijven ter
wereld.”
G DATA SOFTWARE BENELUX
SLOTERWEG 303A
1171 VC BADHOEVEDORP
T +31 (0)20 80 80 834
E [email protected]
I WWW.GDATA.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
27
EXPERTVISIE HUAWEI
TRENDS IN SECURITY 2015
BIG DATA-TECHNIEKEN
VERSTERKEN SECURITYAANPAK AANZIENLIJK
Het aantal Distributed Denial of Service (DDoS) aanvallen groeit
niet alleen, maar ook de intensiteit en de lengte van de aanvallen
neemt sterk toe. Dat vereist security-maatregelen waarin veel intelligentie is opgenomen. Huawei heeft daarom een Anti-DDoS
oplossing ontwikkeld die nadrukkelijk gebruikmaakt van technieken op het gebied van Big Data.
De tijden dat DDoS-aanvallen vooral werden toegepast om de websites van bedrijven tijdelijk onbereikbaar te maken,
ligt inmiddels ver achter ons. Cybercriminelen zijn tot de ontdekking gekomen
dat DDoS-attacks voor veel meer doeleinden ‘nuttig’ kunnen zijn.
MILJOENEN
Eerder dit jaar werd dit fenomeen bijvoorbeeld toegepast om een middelgrote firma tijdelijk los te koppelen van de
site voor internetbankieren van zijn bank.
Daarbij combineerden de aanvallers
een aantal hulpmiddelen. Zo had men
DDOS IN CIJFERS
• 29 procent van de DDoS-aanvallen
veroorzaakt netwerkcongestie
• 35 procent veroorzaakt fouten in
legacy-maatregelen op het gebied
van security
• 36 procent van de Denial of Service-aanvallen veroorzaakt storingen op het gebied van IT-services
en gegevensverwerking aan de
client-kant
• 29,81 procent meer DDoS-aanvallen in 2013 ten opzichte van 2012
• 87,74 procent meer aanvallen tegen http applicatieprotocollen
• 72,91 procent van de aanvallen gebruikt meer dan 1 Gbps aan data
• 349 uur, 36 minuten en 42 seconden is de duur van de langst gemeten DDoS-aanval tot nu toe
Bron: Huawei 2013 Security
Research Report
28
de webpagina’s die deze onderneming
gebruikt voor het doen van betalingen
nagebouwd. Op die manier had men
ook inloggegevens te pakken gekregen.
Door via een denial of service-aanval de
echte pagina’s voor internetbankieren
onbereikbaar te maken, terwijl de nagebouwde pagina’s wel beschikbaar waren,
hadden de cybercriminelen een slimme
aanpak bedacht. De administratie van het
bedrijf dacht normale betalingen te doen,
maar had in werkelijkheid te maken met
de fake-site. Op dat moment konden de
criminelen op de reguliere pagina’s voor
internetbankieren inloggen en betalingen verrichten.
De DDoS-aanval was hierbij in feite een
voorzorgsmaatregel. Mocht een medewerker van het bedrijf onraad ruiken en
ontdekken dat de betaalsite nagebouwd
was, dan was er nog geen man overboord. Want het bedrijf kon niet bij de
echte betaalsite en kon daarmee dus ook
deze illegale betalingen niet terugdraaien. Op deze manier werd het bedrijf voor
enkele miljoenen benadeeld.
SESSIES EN APPLICATIES
DDoS-aanvallen veranderen daarmee
van karakter. Dat blijkt ook uit onderzoek
dat Huawei naar dit fenomeen heeft ge-
daan. Het concern heeft ontdekt dat met
name eCommerce- en gaming-sites gevoelig zijn voor dit soort aanvallen. Datzelfde geldt voor de webpagina’s van
financiële instellingen. Daarnaast staan
overheidsorganisaties steeds meer in de
belangstelling van cybercriminelen.
Interessant is ook om te zien welke technische componenten bij een DDoS-aanval worden aangepakt. In 31 procent van
de gevallen worden servers aangevallen, in 29 procent gaat het juist om het
netwerk zelf. Maar ook load balancers
(20 procent), firewalls en systemen voor
intrusion prevention (15 procent) worden
op de korrel genomen.
Het is ook niet meer zo dat bij iedere aanval massale hoeveelheden datapakketjes
worden verstuurd. De attacks richten zich
steeds vaker op de sessie- en applicatie-lagen, waardoor bepaalde IT-services
met een relatief beperkte hoeveelheid
data lam gelegd kunnen worden. In andere gevallen wordt echter juist weer
wel voor een massale aanval gekozen.
Zo kreeg Spamhaus, een Europese anti-spam organisatie, in 2013 bijvoorbeeld
een aanval te verduren waarbij 300 Gbps
werd verzonden. Dat was de grootste
aanval ooit.
HIGH-PERFORMANCE HARDWARE
Er zijn vier componenten die samen een
goede verdediging tegen DDoS-aanvallen opleveren. Deze dienen permanent in
gebruik te zijn.
Dat is allereerst het gebruik van high-performance hardware. Wanneer bij een
aanval de hoeveelheid inkomend dataverkeer plotsklaps enorm toeneemt, is
het belangrijk dat de verdedigingsmechanismen gebaseerd zijn op krachtige
hardware, zodat zeer snel data die gebruikt wordt voor de aanval gescheiden
kan worden van regulier dataverkeer.
Daarnaast is behoefte aan een goed
IP-reputatiesysteem. Hiermee kan worden vastgesteld wat de reputatie is van
de verzender(s) van de grote hoeveelheid data die plotsklaps binnenkomt.
Aanvallers maken echter ook gebruik
van zogeheten ‘slow attacks’. Dan lijkt
de DDoS-aanval in eerste instantie helemaal niet op een denial of service attack.
Dan is het van cruciaal belang dat kan
worden vastgesteld wat de bron van de
binnenkomende data is. Zijn de karakteristieken van de bronsystemen waarmee
normaal dataverkeer plaatsvindt in kaart
gebracht, dan kunnen ook afwijkingen
hierop worden geconstateerd. Dit is van
cruciaal belang, zoals het voorbeeld
hiervoor wel laat zien. Een DDoS-aanval
kan immers ook bedoeld zijn om gebruikers naar een andere site te dwingen.
Tenslotte is behoefte aan een mechanisme om het gedrag van applicaties goed
te volgen. Normaal gebruik van applicaties kent hele andere patronen dan softwaretoepassingen die worden misbruikt
voor een aanval.
MEER NODIG
Wat direct zal opvallen, is dat het bij anti-DDoS om veel meer gaat dan enkel en
alleen het tegenhouden van niet-gewenst
dataverkeer. Het is heel goed mogelijk
om ook massale DDoS-aanvallen te neutraliseren. Daarvoor is het echter wel van
belang dat we kunnen vaststellen welke
binnenkomende data afkomstig is van
gecompromitteerde IP-adressen en wat
legitiem dataverkeer is. Dit vereist een
grote mate van intelligentie die bovendien razendsnel toegepast moet kunnen
worden.
Zeker nu DDoS-aanvallen steeds vaker
onderdeel uitmaken van een breder aanvalsplan van cybercriminelen, is het van
groot belang dat het normale dataverkeer ook tijdens een aanval normaal het
netwerk in en uit kan. Dan had het bedrijf
in het eerder genoemde voorbeeld wellicht toch toegang tot de betaalsite van
zijn bank kunnen verkrijgen.
Maar zoals datzelfde voorbeeld ook aangeeft, dient een goede security-aanpak
uit een goed op elkaar afgestemde reeks
van maatregelen te bestaan. Dan was
wellicht ook in een vroegtijdig stadium
ontdekt dat de site voor internetbankieren niet in orde was. Op die manier had
het betrokken bedrijf zichzelf veel (financiële) problemen kunnen besparen.
Hans Vandam is journalist
HUAWEI
KRIJGSMAN 12-14
1186 DM AMSTELVEEN
T +31 (0)20 430 09 19
E [email protected]
I HTTP://ENTERPRISE.HUAWEI.COM/WEU/
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
29
EXPERTVISIE ITB2 DATACENTERS
TRENDS IN SECURITY 2015
‘MKB EN
CORPORATE DATABEVEILIGING
ANNO 2015 VRAAGT OM DE
INZET VAN PROFESSIONALS’
De laatste tijd worden we in toenemende mate geconfronteerd
met nieuwsberichten over data die is ontvreemd of stiekem wordt
ingekeken, zoals creditcard data, bedrijfsdata of persoonlijke data.
Volgens ITB2 Datacenters, een Nederlandse aanbieder van datacenter services in de regio, zouden MKB en corporate bedrijven
hieruit de conclusie kunnen trekken dat echte professionals nodig
zijn voor bescherming van hun bedrijfskritische organisatiegegevens.
Een groep hackers heeft een jaar lang
zakelijke e-mailaccounts aangevallen,
op zoek naar vertrouwelijke aandeleninformatie en marktgegevens. Zeker
100 bedrijven zijn doelwit geworden van
Sandd en Reesink Support (facilitaire
dienstverlener binnen het beursgenoteerde Koninklijke Reesink NV) zijn voorbeelden van corporate organisaties die hun IT
huisvesting hebben ondergebracht in het
nieuwste, Tier III/IV gekwalificeerde datacenter van ITB2 in Apeldoorn.
30
de hackers, aldus een nieuwsbericht in
december op Infosecuritymagazine.nl.
En allerlei persoonlijke gegevens van
Nederlandse kinderen zijn wekenlang
beschikbaar geweest voor kwaadwillenden, omdat de server van Basispoort, een
stichting van vier educatieve uitgevers en
drie leveranciers van schoolartikelen,
een lek bevatte. Zo meldt een nieuwsbericht een dag eerder, eveneens op Infosecuritymagazine.nl.
BEVEILIGINGSMODEL, SECURITY
SCANS, RISICOANALYSES
“Databeveiliging en het huisvesten van
data is inmiddels topsport geworden”
zegt Niels Hensen, directeur en eigenaar van ITB2 Datacenters, die het bedrijf
oorspronkelijk oprichtte als dienstverlenende ICT specialist op het gebied van
informatiebeveiliging en ICT beheer.
Gaandeweg is de focus van ITB2 verschoven en is het aanbieden van professionele datacenter diensten in de regio
de hoofdfocus van de organisatie geworden. Informatiebeveiliging wordt echter
nog steeds in verschillende vormen als
value-added datacenter service aangeboden.
“Om organisatiedata tegenwoordig goed
te beveiligen, is een gedegen beveiligingsarchitectuur noodzakelijk”, zegt
Hensen. “Dat vraagt om het beschrijven
en evalueren van een informatiebeveiligingsbeleid, om het ontwerpen en beoordelen van een informatiebeveiligingsmodel, om het uitvoeren van security
scans en risicoanalyses, om kennis rond
het inrichten van firewalls, noem maar
op. Ook moet je gedegen kennis en ervaring meebrengen met betrekking tot
virtualisering, technologie die de meeste
MKB en corporate organisaties inmiddels
in hun IT infrastructuren hebben geïntegreerd. Een dergelijke diepgaande
kennisbehoefte op het gebied van informatiebeveiliging vraagt om de expertise
van professionals. Veel corporate organisaties en zeker MKB bedrijven hebben
die expertise vaak niet zelf in huis.”
Het professioneel beveiligen van data begint bij de basis, het veilig huisvesten van
apparatuur, software en data in een professionele datacenteromgeving. “Enkele
corporate organisaties richten om specifieke redenen nog wel eens een serverruimte in binnen de eigen kantoorruimte”, zegt Hensen. “Steeds vaker kiezen
organisaties er evenwel voor om dit aan
professionals over te laten en te profiteren van kennis, beveiliging, connectiviteit,
schaalgrootte en daarmee ook kostenvoordelen bij colocatie aanbieders.”
Dat het gebruik van colocatie, oftewel
outsourcing naar carrier-neutrale datacenters inmiddels voor veel gebruikers
een absolute noodzaak is geworden,
blijkt ook uit recente colocatie groeicijfers van Synergy Research Group. De
Europese colocatie markt blijkt in Q1 van
2014 maar liefst 11 procent te zijn gegroeid, waarbij UK, Duitsland, Frankrijk
en Nederland de koplopers zijn en 65
procent van de Europese colocatie omzet
voor hun rekening nemen.
“Professionele databeveiliging vraagt ook om value-added services die colocatie klanten
op het gebied van informatiebeveiliging kunnen ontzorgen”, aldus Niels Hensen, directeur en eigenaar van ITB2 Datacenters
SANDD, REESINK SUPPORT,
TIMING UITZENDTEAM
Postbedrijf Sandd, Reesink Support (facilitaire dienstverlener binnen het beursgenoteerde Koninklijke Reesink NV) en
uitzendbureau Timing Uitzendteam, zijn
voorbeelden van corporate organisaties
die hebben gekozen voor outsourcing
Support heeft er echter voor gekozen om
alleen de IT huisvesting bij ITB2 onder
te brengen. Hensen: “Het geeft aan dat
bedrijven de noodzaak van een professionele datacenter inrichting en beheer
onderkennen. Afhankelijk van de aanwezigheid van IT specialismen binnen de
eigen organisatie, kiezen klanten ervoor
‘Corporate organisaties
profiteren van kennis, beveiliging,
connectiviteit, schaalgrootte
en kostenvoordelen bij de
colocatie aanbieders’
van hun IT-huisvesting naar een professionele colocatie dienstverlener, zoals
in dit geval ITB2 Datacenters. Timing Uitzendteam heeft gekozen voor het datacenter van ITB2 in Deventer, terwijl Sandd
en Koninklijke Reesink hun IT huisvesting
bij het datacenter van ITB2 in Apeldoorn
hebben ondergebracht.
Afhankelijk van de aanwezige eigen kennis en ervaring met informatiebeveiliging, vragen dergelijke klanten om puur
de colocatie dienst of eventueel aanvullende value-added services op het gebied van informatiebeveiliging. Voor
Sandd heeft ITB2 bijvoorbeeld de firewall
technologie geleverd en ingericht en ook
een netwerkplan ontworpen. Reesink
in welke mate zij al dan niet gebruik willen maken van die value-added services
op het gebied van informatiebeveiliging.”
Om aan de groeiende value-added services behoeften van verschillende klanten met betrekking tot dataopslag en
-beveiliging tegemoet te komen, heeft
ITB2 Datacenters het afgelopen jaar
verschillende nieuwe datacenter services met enterprise level technologie en
beveiliging geïntroduceerd. Waaronder
een high-end managed datasecurity
oplossing voor veeleisende gebruikers,
zoals financials en defensie gerelateerde
organisaties. Ook heeft ITB2 een partnership gesloten met AnylinQ (tevens de
grootse Huawei partner op het gebied
DE COLOCATIE
DATACENTERS VAN ITB2
• Datacenter Apeldoorn - Het
nieuwste, Tier III/IV gekwalificeerde datacenter van ITB2 in
Apeldoorn, heeft in 2013 de deuren geopend. Het datacenter is
ontworpen door architect Mike
Klerks, maakt voor 100% gebruik
van windenergie en is voorzien
van de meest innovatieve en energie-efficiënte technologieën. Dit
datacenter heeft in de eerste ontwikkelingsfase een netto vloeroppervlakte van 1.500 (3x500) m2
beschikbaar. De colocatie faciliteit
heeft momenteel een energiezuinige Power Usage Effectiveness
(PUE) waarde van 1,25, en een
gecalculeerde PUE eindwaarde
van 1,07, wat ultra-energiezuinig
is. Sandd en Reesink Support zijn
voorbeelden van corporate organisaties die hier hun IT huisvesting
hebben ondergebracht.
• Datacenter Deventer - Het eerste, Tier II datacenter van ITB2 staat
in Deventer en is in 2007 gestart.
Timing Uitzendteam is een voorbeeld van een corporate organisatie die hier zijn IT infrastructuur
heeft ondergebracht.
van storage dienstverlening) om aanvullende storage diensten aan klanten te
leveren. Daarnaast heeft ITB2 in 2014 op
basis van SuperMicro hardware en IASO
cloud technologie het product ITB2 Backup gelanceerd, een cloud gebaseerde
back-up dienst die een beveiligd en kostenefficiënt, shared alternatief biedt voor
het inrichten van een eigen individuele
back-up omgeving.
“Professionele databeveiliging bij corporate en MKB organisaties is anno 2015
meer dan alleen het outsourcen naar
colocatie dienstverleners”, zegt Hensen.
“Dat vraagt ook om value-added services die colocatie klanten op het gebied
van informatiebeveiliging kunnen ontzorgen. ITB2 wil hen daar graag bij helpen.”
ITB2 DATACENTERS
GROTE WOUDHUIS 5
7325 WM APELDOORN
T 088 - 48 22 000
I WWW.ITB-KWADRAAT.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
31
EXPERTVISIE KASPERSKY LAB
TRENDS IN SECURITY 2015
VIJF
CYBERCRIMEVERWACHTINGEN
VOOR 2015
Wat een nieuw jaar gaat brengen, valt vaak op te maken uit
tekenen van het afgelopen jaar. Zo ook voor security. Jornt van
der Wiel, beveiligingsonderzoeker van Kaspersky Labs Global
Research & Analysis Team (GReAT), schotelt vijf verwachtingen
voor.
PINKRAKEN MET
‘ANALOGE’ COMPONENT
“In 2014 zagen we al een ‘nieuw’ soort
aanval op pinautomaten opduiken”, vertelt Van der Wiel. “Niet skimmen maar
fysiek openbreken van pinautomaten,
om zo direct op de machine malware te
plaatsen. Dat openbreken gebeurt door
het slot te kraken of door simpelweg
op een online-forum een pinautomaatsleutel te kopen”, legt de security-expert
uit. Veel pinautomaten draaien nog op
Windows XP. Dat is wel de embeddedvariant die officieel nog updates krijgt,
maar vaak ontbreekt het aan geïnstalleerde patches. De geplaatste malware
kan dus zó zijn slag slaan. In Nederland
zijn er overigens niet zo veel pinautomaten met XP, nuanceert de security-onderzoeker.
Het fysieke element van deze cybercrime
wordt verder doorgezet doordat de gekraakte pinautomaat van zijn geld wordt
ontdaan. “Een katvanger in dienst van
de bende gaat midden in de nacht langs,
toetst een bepaalde code in en krijgt van
de automaat een challenge-code te zien.
Die belt hij of zij door naar de cybercriminelen die dan de response-code
doorgeven waarna de katvanger kan kiezen welke geldlade er nu geopend moet
worden.” Alleen dan niet voor navullen
waar deze voorziening voor is bedoeld,
maar voor leeghalen. “Het is wat analoog,
ja. Maar het geeft de daders een grotere zekerheid van hun buit.” Inmiddels is
deze vorm van pinkraken meer opgedoken. Een voorbode voor 2015.
‘BANKKLUIZEN’ DIRECT
OP DE KORREL NEMEN
De tweede securityverwachting voor
2015 is dat geldrovers hun misdadige
inspanningen verschuiven van individuele bankrekeningen bij consumenten
en (kleine) bedrijven naar de financiële
instellingen zelf. Banken hebben in de
regel hun security beter op orde dan de
gewone burger of klant, maar daar valt in
de praktijk toch wel wat aan te morrelen.
Cybercriminelen mikken ook meer op
de ‘bankkluizen’ zelf doordat de transacties voor en door bankklanten steeds
beter gemonitord worden door die instanties.
32
Terwijl financiële instellingen wel goede beveiliging in huis hebben, blijft de
mens de zwakke schakel. De mens die
in phishingmails trapt, die attachments
blind opent en daarmee de security kan
schaden. Van der Wiel noemt het recente incident van een grote Westerse bank
die enkele dagen na een interne awareness-training als test een phishingmail
had gestuurd. Maar liefst 85 procent van
de bankmedewerkers klikte op de payload van die testmail. Eenmaal binnen bij
een financiële instantie hebben cybercriminelen vele lucratieve mogelijkheden.
MINDER MALWARE
VOOR DE MASSA
De verschuiving naar ‘bankkluizen’ betekent niet dat individuen en bedrijven
opgelucht adem kunnen halen. Er speelt
namelijk nog een andere, in 2015 doorzettende verschuiving in het cybercrimelandschap. “Minder massieve malware”,
waarmee Van der Wiel doelt op de generieke malware die op een breed massapubliek is gericht. In plaats daarvan
komen er meer en meer gerichte aanvallen: malware die op maat is gemaakt
voor een bepaald soort slachtoffer. Ja,
ook cybercriminelen doen steeds meer
aan doelgroepdenken.
Zo worden bijvoorbeeld Macs populairder bij malwaregebruikende dieven,
weet Van der Wiel. “De aanvallen daarop
stijgen gestaag. Hoewel het overigens
niks is vergeleken met de Windows-malware.” Daarnaast wijst hij op het gebruik
van tablets voor internetbankieren, waarmee die apparaten een aantrekkelijk
doelwit zijn voor cybercriminelen. Deze
malwarespecialisatie voor specifieke
platformen en groepen slachtoffers is niet
alleen vanwege de ‘marktmogelijkheden’ maar ook vanwege de benodigde
inspanning. Het maken van massamalware die op vele verschillende systemen
werkt, is veel werk, weet Van der Wiel.
Lichtpuntje is dat de malwaredreiging
voor consumenten relatief afneemt, omdat het voor organisaties juist toeneemt.
APT-VERSPLINTERING
EN VERVEELVOUDIGING
De afgelopen tijd hebben diverse
autoriteiten enkele grote groepen achter
APT’s (advanced persistent threats) ontmaskerd, vertelt de expert van Kaspersky Lab. Het uitvoeren van geavanceerde
aanvallen die lange tijd onopgemerkt
blijven, wordt hierdoor bemoeilijkt. De
Jornt van der Wiel
verwachting is dat in 2015 APT-groepen
uit elkaar vallen. Hetzij door arrestaties,
hetzij om minder goed op te sporen te
zijn. Hierdoor ontstaan er wel meer kleinere groepen die APT’s uitvoeren. Dit
leidt dan ook tot meerdere aanvallen,
waarschuwt Van der Wiel.
MEER FOUTEN IN OPEN SOURCE
Zowel geavanceerde cyberinbraken en
spionagecampagnes als relatief gewone malware maakt gebruik van menselijke én softwarefouten. De verwachting
voor 2015 is dat er meer fouten in open
source-software worden ontdekt, vertelt
de onderzoeker. Niet dat die vorm van
software nou meer fouten bevat, maar
er wordt tegenwoordig kritisch naar die
veelgebruikte software gekeken. Enerzijds door ethische hackers die gaten
zoeken om ze te (laten) dichten, anderzijds door cybercriminelen die er hun
slag mee willen slaan.
Naast de aanwezigheid van fouten in software - of dat nou open of closed source
is - speelt er nog de kwestie van fouten in
software die in gebruik is. Het ontbreekt
in de praktijk nog altijd vaak aan goed
patchbeleid, waardoor bekende beveiligingsgaten gewoon open staan. “Sommige APT’s gebruiken zero-day gaten [waar
nog geen patches voor beschikbaar zijn
- red.], maar veel APT’s niet; die gebruiken oude gaten.” Van der Wiel noemt de
in 2014 onthulde Crouching Yeti-malware
die industriële systemen op de korrel
neemt en daarvoor exploits uit 2012 en
2013 benut.
“Cybercriminelen hebben open deuren
nodig. Update dus je software”, luidt het
advies van Kaspersky Labs onderzoeker
Van der Wiel. Hij erkent dat updates ook
voor problemen kunnen zorgen, maar
dat moet patchen niet in de weg staan.
“Je moet het omdraaien: de kans dat je
wordt aangevallen, is veel groter dan dat
een patch je schade berokkent.”
Auteur: Jasper Bakker
KASPERSKY LAB
PAPENDORPSEWEG 79
3528 BJ UTRECHT
T 030 752 9500
I WWW.KASPERSKY.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
33
EXPERTVISIE KROLL ONTRACK
TRENDS IN SECURITY 2015
HOE GAAT U OM MET GEVOELIGE DATA?
IT-MANAGERS
ZIJN NIET VOORBEREID
OP EUROPESE PRIVACYREGELS
VOOR DATAWISSEN
81 procent van de IT-managers in Europa is nog niet op de hoogte van de nieuwe EU-verordening op het gebied van gegevensbescherming, de EU General Data Protection Regulation (GDPR).
Dit blijkt uit onderzoek van Kroll Ontrack, specialist op het gebied
van respectievelijk gegevensherstel en gegevensverwijdering. Op
grond van de verordening kunnen bedrijven en instellingen worden verplicht om opgeslagen data in laptops, flash media, mobiele
apparaten, servers en in de cloud, permanent te wissen. Maar
hoe doe je dat op een veilige en gecontroleerde manier?
De GDPR heeft tot doel de wetgeving op
het gebied van gegevensbescherming
samen te voegen. Niet alleen om de uitdagingen van het digitale tijdperk het
hoofd te kunnen bieden, maar ook om online opgeslagen persoonlijke gegevens
beter te kunnen beschermen. Zo worden
Europese bedrijven verplicht persoonlijke data op verzoek, of als deze niet meer
wordt gebruikt, te wissen. De GDPR is
een verordening en geen richtlijn, zoals
de Richtlijn bescherming persoonsgegevens van 1995. De nieuwe Europese wet
heeft extraterritoriale werking, waardoor
Amerikaanse ondernemingen die naar
Europa exporteren ook aan de regels
moeten voldoen. Verder maakt in de grotere bedrijven de Data Protection Officer
zijn opwachting. Hij of zij moet zorgen dat
de onderneming of instelling compliant
blijft.
In de pers kreeg het omstreden ‘right to
be forgotten’ tot nog toe de meeste aandacht. Terecht, maar in het kader van de
totale levenscyclus van bedrijfsgegevens
zijn er meer aspecten die om aandacht
vragen. Uit het bovengenoemde onderzoek blijkt namelijk dat 61 procent
van de IT-managers geen maatregelen
heeft getroffen voor het naleven van de
op handen zijnde verordening. Daarvan
heeft meer dan de helft (55 procent) het
nagelaten het beleid voor gegevensvernietiging te herzien en aan te passen – en
daarvan heeft weer een kwart toegegeven geen operationeel proces te hebben
voor gegevensvernietiging. Opmerkelijk,
omdat uit hetzelfde onderzoek blijkt dat
57 procent van de 660 ondervraagde ITmanagers wel verwacht dat de nieuwe
wetgeving gevolgen voor hen zal hebben. Wellicht dat de aangekondigde
sancties, 250.000 tot 100 miljoen euro
boete, of een boete van respectievelijk
0,5 en 5 procent van de jaarlijkse wereldwijde omzet, managers alsnog aan het
denken zet.
SPOOKDATA
Iedereen kent ze wel: verhalen over
mensen die hun afgedankte computer
bij het grof vuil zetten, maar die later geconfronteerd worden met gevoelige informatie die nog op de harde schijf van
het apparaat stond. Het mag ondertussen
ook bekend worden verondersteld dat
DEL en SHIFT+DEL of het verwijderen
uit de prullenbak niet afdoende is. Het
DEL-commando haalt alleen een referentie weg uit de tabel. Hierdoor denkt
het operating system dat het document
verdwenen is, maar alle data staat nog op
de harde schijf, totdat het bestand wordt
overschreven. Het format-commando
wijzigt slechts de tabel, zodat het lijkt dat
alle bestanden en bibliotheken zijn gewist. Maar de onderliggende data staat
nog steeds op de disk. Er zijn manieren
om data écht voorgoed te wissen.
OVERSCHRIJVEN
Overschrijven van data is een goede
methode om data te vernietigen. Het is
daarbij belangrijk om zeker te weten dat
alle gegevens daadwerkelijk zijn overschreven. Gebruikers zijn vaak niet op
de hoogte waar en hoe op de harde schijf
de data wordt opgeslagen. Zo worden
er door verschillende programma’s veel
reservekopieën aangehouden op ‘temporary sites’, maar staan ook veel gegevens in allerlei log files. Maar ook zijn er
gebieden waar je normaal niet bij komt,
zoals bij SSD’s. Het is met name van belang dat een onafhankelijke instantie de
software heeft getest op werking.
SHREDDING EN FYSIEKE
VERNIETIGING
Fysiek beschadigen of harde schijf shredden, ook wel de sledgehammer-methode
genoemd. Kan effectief zijn, zeker omdat
de kosten voor het terughalen van zwaar
beschadigde schijven heel erg hoog zijn
en in sommige gevallen onmogelijk. Op
een klein stukje van 5 bij 5 millimeter
kunnen nog meer dan 750.000 A4’tjes
met data staan, een stapel van wel 75
meter hoog. De European Association for
Data Media Security publiceert de DMS
2008 Standaard voor fysieke HDD-vernietiging.
DEGAUSSEN OF
DEMAGNETISEREN
Een degausser vernietigt alle magnetisch geregistreerde gegevens, zoals op
tape drives of harde schijven, met behulp
van een sterk magnetisch veld. Degaussen is snel, effectief en milieuvriendelijk.
Belangrijk is wel om na te gaan of het
gebruikte magnetisch veld sterk genoeg
is en hoe lang een specifieke hard disk
daaraan moet worden blootgesteld. De
hoeveelheid energie die nodig is om een
opgenomen signaal volledig te wissen
noemen we coërciviteit. Met de huidige
schijven bedraagt deze ≥ 10K Gauss.
SOFTWAREMATIG
Uit onderzoek blijkt dat 54 procent van de
tweedehands mobiele telefoons nog persoonlijke gegevens bevat, denk aan vertrouwelijke rapporten, e-mails en bankdetails. Zogenoemde ‘wipe-standaarden’
zijn er in overvloed. Wat te denken van
Air Force System Security Instructions
5020, Bruce Schneier’s algorithm, The
National Computer Security Centre
(NCSC-TG-025), de German Standard
BSI enzovoorts. Meestal wordt echter
gebruikgemaakt van gecertificeerde
software die de hele schijf overschrijft
volgens de zogenoemde Amerikaanse
DoD5220.22-M-standaard. Volgens deze
norm wordt de harde schijf drie maal
overschreven en geverifieerd. Momenteel is speciale verwijderingssoftware
beschikbaar voor servers, laptops en
pc’s. Daarnaast is er voor smartphones
en tablets een aparte oplossing en komen specifieke bestanden en LUN’s voor
selectieve dataverwijdering in aanmerking.
AUDIT
Dataverwijdering is moeilijk aan te tonen, zeker als er geen bewijs kan worden
overlegd, zoals wel vereist is volgens de
EU-regelgeving. Verwijdering van data is
belangrijk, maar het bewijs van de verwijdering is nóg belangrijker. Idealiter kan
het proces centraal worden beheerd via
een management console. Hierdoor ontstaat een compleet, controleerbaar gegevensverwijderingsproces (data erasure).
Gecertificeerde dienstverleners op het
terrein van verwijderingssoftware verstrekken gedetailleerde rapporten aan
het einde van elk verwijderingsproces.
Daarmee kunnen managers met het volste vertrouwen een volledige audit tegemoet zien. Digitaal ondertekende rapportages geven cruciale informatie over
wanneer, hoe en door wie de gegevens
zijn verwijderd, evenals het serienummer
van het apparaat en de conditie van de
hardware.
CONCLUSIE
Datawissen is een vak apart. Het is een
klus voor specialisten. Schakel daarom
een aanbieder in met gecertificeerde
methodes voor gegevensvernietiging.
Deze specialisten bieden de benodigde
tools, diensten en certificaten om data
veilig te verwijderen van bedrijfsservers
en andere apparaten, zoals mobiele telefoons en tablets. Hiermee voorkomt u dat
data in verkeerde handen valt en uw bedrijf reputatie- en financiële schade lijdt
door torenhoge boetes.
Jaap-Jan Visser is country manager van
Kroll Ontrack Nederland
KROLL ONTRACK NEDERLAND
KRUISWEG 825C
2132 NG HOOFDDORP
T 023 - 56 73 030
E [email protected]
I WWW.ONTRACKDATARECOVERY.NL
Jaap-Jan Visser, country manager Kroll Ontrack Nederland
34
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
35
EXPERTVISIE MCAFEE
TRENDS IN SECURITY 2015
‘LOS ZAND BIEDT GEEN BESCHERMING’
LAPPENDEKEN
VAN SECURITYOPLOSSINGEN
ZORGT VOOR RISICO’S
Een Russische bende gaf onlangs een lesje hacken. In totaal wist
de rücksichtslose hackersgroepering ‘Cybervor’ zo’n 1,2 miljard
gebruiksgegevens te verdonkeremanen van zo’n – schrik niet –
5600 websites. Hostingproviders stonden erbij en keken ernaar.
Het Nationaal Cyber Security Center (NCSC) spreekt van de
grootste hack uit de Nederlandse geschiedenis.
Niet alleen hostingproviders krijgen het
steeds moeilijker. Organisaties over de
gehele breedte krijgen maar met moeite
de beveiliging aan elkaar geknoopt. Dat
is niet zozeer een kwestie van onkunde
of desinteresse: het gevaar uit de digitale hoek neemt hand over hand toe. Het
is lastig wapenen tegen hackers die wat
professionalisering en organisatie betreft
inmiddels niet meer onderdoen voor de
Italiaanse maffia.
Hun methoden worden steeds uitgekiender. Ze zijn heer en meester in het
opsporen van lekken, het misbruiken
aan beveiligingsoplossingen. De firewall,
spamfilter, VPN-tunnel, MDM-oplossing
en encryptiesoftware; voor ieder soort
bedreiging zoeken organisaties naar een
passend antwoord. Uit onderzoek van
Pb7 blijkt dat 70 procent van de organisaties 4 of meer security-oplossingen naast
elkaar gebruikt. Maar slechts 26 procent
'Voor het afslaan van geavanceerde aanvallen
moeten de beveiligingscomponenten naadloos
informatie kunnen uitwisselen'
van zwakke plekken in beveiligingssystemen en het handig manipuleren van
nietsvermoedende werknemers. Het bedrijfsleven probeert zich kranig stand te
houden tegen dat groeiende en steeds
uitgebreidere wapenarsenaal. Het resultaat is steeds vaker een lappendeken
geeft aan dat deze oplossingen vanuit
een centrale plek te beheren zijn.
“Nederlandse organisaties hebben in de
loop van de tijd een lappendeken aan security-oplossingen gecreëerd om zich zo
goed mogelijk tegen het toenemende aantal dreigingen te wapenen. Het is echter
vaak lastig een dergelijke omgeving integraal te beheren”, zegt Peter Vermeulen,
directeur van Pb7..
ONMOGELIJK
Die lappendeken maakt een sluitende,
adequate beveiliging zo goed als onmogelijk, zo blijkt uit hetzelfde onderzoek.
De functionaliteit van al die oplossingen
is doorgaans niet of nauwelijks op elkaar
afgestemd. Het doen van regelmatige updates - een absoluut noodzakelijke voorwaarde voor veiligheidsoplossingen – is
met tig oplossingen een haast onoverzienbare klus. Sowieso is het beheer van
meerdere oplossingen tegelijkertijd tijdrovend en foutgevoelig.
AFWIJKINGEN
Organisaties ervaren dat dan ook als dusdanig. Maar liefst 44 procent geeft aan
36
dat door de matig met elkaar communicerende en lastig beheersbare security-oplossingen dreigingen daardoor over
het hoofd worden gezien. En nog eens 43
procent zegt dat die warboel de oorzaak
is dat ze die dreigingen niet altijd onschadelijk kunnen maken.
STEEDS COMPLEXER
Die dreigingen nemen niet alleen in aantal, maar ook in complexiteit toe. Steeds
vaker gebruiken hackers stealth-technieken om ongezien langs de firewall te
glippen. Ook zijn DDoS-aanvallen een
steeds populairdere methode. Die complexe aanvallen zijn niet of nauwelijks te
ondervangen als alle gebruikte security-middelen als los zand in het netwerk
hangen en wanneer deze niet centraal te
managen zijn. Oplossingen die niet integraal kunnen samenwerken kunnen nooit
Dat beaamt ook
Vermeulen. “Aanvallen worden steeds
geavanceerder en
raken ook steeds
meer organisaties.
Om deze aanvallen
te weerstaan moet
enerzijds het reactievermogen geoptimaliseerd worden
en moeten anderzijds
pro-actiever
anomalieën
realtime
opgespoord
kunnen
worden”,
licht hij toe. “Hiervoor moet alle security-informatie op een
integrale manier bij elkaar kunnen komen. Maar weinig organisaties blijken op
dit moment hiertoe in staat.”
'Het inzetten van allerlei losse
beveiligingsproducten is kansloos tegen de
real-time dreigingen waar organisaties nu mee
te maken kunnen krijgen'
hun beveiliging op elkaar afstemmen. En
dat is hard nodig, wil het dit soort aanvallen buiten de deur houden. Bovendien
mist de security-verantwoordelijke het
benodigde overzicht en kunnen afwijkende zaken daardoor gemakkelijker buiten
de radar blijven. Dat heeft ook een menselijke oorzaak: wanneer iemand tien
verschillende logs moet controleren, dan
is een foutje eerder gemaakt. Bovendien
zijn verbanden en afwijkingen lastiger
op te sporen. Dreigingen worden zo niet
altijd doorgegeven naar daar waar ze onschadelijk gemaakt kunnen worden.
Volgens Pb7 is het vertrouwen in de eigen security weinig hoog. Dat is helaas
nauwelijks een verrassing, maar desalniettemin baart dat zorgen. Meer dan
een kwart van de ondervraagden (26%)
is niet geheel zeker dat het hang- en
sluitwerk een geavanceerde aanval kan
weerstaan. Voor 18% hangt de vlag daadwerkelijk halfstok: zij hebben niet de illusie dat hun systemen zo’n aanval de baas
kunnen. Dat 42% een ‘redelijk vertrouwen’ heeft stelt daarbij niet erg gerust,
echt zeker van zijn zaak is slechts 10%.
Er is eigenlijk maar één manier om de
cybermaffia te voorzien van duchtige
repliek: een beveiligingsoplossing die
verschillende disciplines combineert en
centraal beheersbaar maakt. Alleen dan
kan een organisatie een aanval tijdig lokaliseren en neutraliseren. In een IT-landschap dat alleen maar complexer wordt,
is het gebruik van onsamenhangende
beveiligingsoplossingen nauwelijks een
optie. Een solide verdediging is noodzakelijk en dat vereist een integraal beheer,
duidelijke samenhang en fijnmazige afstemming van de verschillende componenten.
Mischa Deden, Sales Systems Engineer
voor Noord- en Oost-Europa, McAfee onderdeel van Intel Security
MCAFEE INTERNATIONAL B.V.
BOEINGAVENUE 30
1119 PE SCHIPHOL-RIJK
T +31 (0)20 586 38 00
I WWW.MCAFEE.COM/NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
37
EXPERTVISIE MINKELS
TRENDS IN SECURITY 2015
NIEUWE NEN NPR 5313
NORMERING DWINGT TOT DATACENTERBEVEILIGING OP LAGER NIVEAU
Datacenter fabrikant Minkels heeft in 2014 een enorme toename
geconstateerd in de vraag naar beveiligingsoplossingen binnen datacenters, zowel in de Nederlandse thuismarkt als Europa-breed.
Volgens Minkels is dit te verklaren door het soort klanten dat in
toenemende mate IT-infrastructuren onderbrengt bij carrier-neutrale datacenters, maar ook door nieuwe wet- en regelgeving op
zowel Nederlands als Europees niveau.
Bij de gevraagde security oplossingen
gaat het niet alleen om cilindersloten
op de racks, maar bijvoorbeeld ook om
elektronische beveiliging met passystemen. En om intelligente systemen met
RFID-technologie voor het autoriseren,
registreren en loggen van handelingen,
zodat een gebruiker achteraf kan controleren wie op welk moment bij een
specifiek rack is geweest. Er is ook veel
vraag naar beveiligingssensoren (om te
checken of zijpanelen worden weggenomen), zijpaneelvergrendeling van binnen
af, deurcontacten (om te controleren of
een deur dicht is) en noodstroomvoeding
voor sloten.
“De groeiende belangstelling voor security oplossingen op rackniveau is voor
een belangrijk deel te verklaren door het
soort klanten dat nu hun IT-infrastructuur
bij carrier-neutrale datacenters onderbrengt”, zegt Vincent Liebe, Marketing
Manager van Minkels. “Vooral overheidsorganisaties en financials, organisaties
dus met hoge eisen ten aanzien van beveiliging, nemen nu massaal de beslissing om hun infrastructuren extern in carrier-neutrale datacenters te huisvesten.”
SECURITY EISEN EN
RISK ASSESSMENT
Een andere ontwikkeling die volgens
Minkels bijdraagt aan de vraaggroei op
het gebied van security oplossingen,
is de recent vastgestelde Nederlandse
Praktijk Richtlijn Computerruimtes en
Datacenters (NPR 5313). Deze nieuwe
normering - waar datacenter beveiliging
en een zogenoemd schillenmodel voor
beveiliging een belangrijk onderdeel
van is - zal binnenkort tevens de basis
vormen voor de nieuwe richtlijn NEN
EN50600, de nieuwe Europese standaard
voor inrichting van datacenters en computerruimtes.
Niek van der Pas, Strategic Product Designer Data Centres bij Minkels, is als
lid van de NEN-commisssie medeverantwoordelijk voor de totstandkoming
van de Nederlandse Praktijk Richtlijn
Computerruimtes en Datacenters (NPR
5313). “Beveiliging heeft veel aandacht
gekregen in de nieuwe NPR 5313 normering”, zegt datacenternormering expert
Van der Pas. “In de nieuwe standaard zijn
fysieke security eisen opgenomen en bijvoorbeeld ook een risk assessment. Dit
OVER MINKELS
Minkels (www.minkels.com) is een
wereldwijde leverancier van hoogwaardige totaaloplossingen voor datacenter
infrastructuur, onderdeel van de beursgenoteerde organisatie Legrand (aanwezig in 180 landen; 4,5 miljard euro
omzet).
Kernprincipes: modulariteit en energie-efficiëntie
Productportfolio: datacenter racks
(Varicon); datacenter koeling, waaronder DX-koeling voor kleine serverruimtes en Cold Corridor aisle containment
oplossingen (VariCondition); datacenter stroomverdeling (VariconPower);
datacenter monitoring (VariControl); en
een breed assortiment aan datacenter
accessoires.
38
“Vooral overheidsorganisaties en financials stellen op dit moment steeds hogere eisen
aan de beveiliging van hun IT-infrastructuren”, aldus Vincent Liebe, marketing manager
van Minkels.
De Minkels Free Standing Cold Corridor is een ultramodulair aisle containment ontwerp
met enkel wandpanelen, dakpanelen en deuren, wat een flexibele ‘pay-as-you-grow’ oplossing biedt, inclusief een modulaire beveiligingsmodule om aan de nieuwe NEN NPR
5313 normering te kunnen voldoen.
“Op rackniveau praat je over een ander
soort beveiliging als bij de toegang tot een
datacenter”, aldus Niek van der Pas, datacenter normering expert Minkels.
De Minkels Free Standing Cold Corridor,
een product dat Minkels in 2014 op de
markt bracht, heeft eveneens de mogelijkheid om een beveiligingsmodule
op aisle containment niveau toe te voegen. Dit ultramodulaire ontwerp is nog
flexibeler dan de Next Generation Cold
Corridor. Met enkel wandpanelen, dakpanelen en deuren, biedt de oplossing
corporate en commerciële datacenters
een kostenefficiënt ‘pay-as-you-grow’
model om luchtstroomoptimalisatie en
dus energie-efficiëntie te creëren tegen
lage opstartkosten (CAPEX). Op een later tijdstip kunnen alsnog beveiligingsmodules worden toegevoegd of aangepast.
HET SCHILLENMODEL
“In het schillenmodel binnen de nieuwe
NEN NPR 5313 normering is vastgelegd
dat de beveiliging in verschillende lagen
- oftewel schillen - van het datacenter aan
specifieke eisen moet voldoen”, zegt Van
der Pas. “Op rackniveau praat je over een
ander soort beveiliging als bij de buitenkant van het terrein of bij de toegang tot
het gebouw. Op dat niveau moet je bijvoorbeeld denken aan het monitoren of
iemand, en zo ja wie, toegang heeft gehad tot een rack. Ook wil je misschien
voorkomen dat iemand een zijpaneel kan
wegnemen om zich onopgemerkt toegang tot een rack te verschaffen.”
biedt de garantie dat het beveiligingsniveau van een datacenter aansluit bij het
businessmodel van de gebruikers en dat
de dataveiligheid tot op het laagst gewenste niveau is gegarandeerd, op het
niveau van aisle containment en racks.”
MODULAIRE
BEVEILIGINGSOPLOSSINGEN
Minkels is de ontwikkeling van de nieuwe standaarden een stap voor geweest
en heeft begin 2013 zijn Next Generation
Cold Corridor op de markt gebracht, een
‘aisle containment’ oplossing met verschillende optionele modules waaronder
ook een module met uitgebreide functionaliteit voor toegang en beveiliging. Een
modulair en dus flexibel uit te breiden en
te wijzigen beveiligingsoplossing, op een
lager beveiligingsniveau in het datacenter zoals vastgelegd in de nieuwe NEN
NPR 5313 normering.
Het oorspronkelijke Cold Corridor aisle
containment concept werd door Minkels
- als eerste fabrikant in Europa - overigens al in 2006 commercieel op de markt
bracht, tijdens de CeBIT in dat jaar. De
Next Generation Cold Corridor is een
flexibele aisle containment oplossing die
dynamisch kan meebewegen met evoluerende gebruikersbehoeften en waar
beveiliging dus ook een belangrijk rol in
speelt.
De toegang- en beveiligingsmodule die
Minkels bij de twee Cold Corridor oplossingen aanbiedt, naast bijvoorbeeld
keuzemodules zoals brandbeveiliging,
airtightness en monitoring, geeft onder
andere de mogelijkheid om een Cold
Corridor af te sluiten middels automatische schuifdeuren, of door een mechanische zelfsluitmodule, al is een handmatige deurafsluiting ook nog steeds een
optie - al dan niet synchroon. Dergelijke
oplossingen kunnen gecombineerd worden met bijvoorbeeld een module voor
een pincodesysteem of een kaartleessysteem.
“Als datacenter fabrikant willen wij graag
vooroplopen als het gaat om invulling van
evoluerende klantbehoeften in het datacenter”, zegt marketing manager Vincent
Liebe. “Beveiliging is daarin een belangrijk onderdeel. Ook in de toekomst zullen we onze oplossingen vroegtijdig op
nieuwe marktontwikkelingen blijven afstemmen.”
MINKELS
EISENHOWERWEG 12
5466 AC VEGHEL
T +31 (0)413 - 31 1 1 00
E [email protected]
I WWW.MINKELS.COM
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
39
EXPERTVISIE NEWCHANNEL
TRENDS IN SECURITY 2015
ZIJN INTERNET,
CLOUD EN SECURITY
EIGENLIJK WEL TE COMBINEREN?
Internet en ‘de cloud’; is er een
grens en waar ligt die grens?
Waar eindigt de cloud, binnen
of buiten je eigen netwerk?
Traditioneel staat de ICT-sector bol van
dure terminologie die door velen verschillend wordt geïnterpreteerd. Dat
leidt niet alleen tot onduidelijkheden,
maar ook tot onveilige situaties waar
belangrijke bedrijfsdata kwetsbaar zijn,
het gebruik ervan onbeheersbaar of
oncontroleerbaar en onaanvaardbare
risico’s worden genomen. Niet altijd ligt
de basis hiervan binnen een niet sluitende ICT-beveiliging of het ontbreken van
een goed security beleid. Tegenwoordig
speelt ook de gebruiker, de werknemer,
de externe partner of de klant hierbij
een belangrijke rol. Deze is mondiger,
veeleisender en weet vaak goed wat er
mogelijk is en kent de weg tot die andere mogelijkheden. De populariteit van
Dropbox, OneDrive, GoogleDrive en
WeTransfer om informatie vooral snel en
makkelijk te delen buiten de beveiligde
kantooromgeving is niet alleen afkomstig
van grote marketinginspanningen, maar
vooral door de toegankelijkheid en het
gemak van deze vaak gratis online dien-
40
sten gericht op consumenten en van de
creativiteit van gebruikers.
IEDEREEN MAG MEEKIJKEN
Niet iedere organisatie zal zich even
druk maken of de Nederlandse overheid
meekijkt in uw internetgebruik, maar wij
willen toch liever niet dat buitenlandse
instanties dat wel doen en hier hun eigen voordeel mee doen. Dus waarom
dan toch je kostbare bedrijfsdata delen
met anderen via een veelal Amerikaanse aanbieder, terwijl bekend is dat de
NSA overal toegang toe heeft? Google en
anderen bepalen tevens dat zij de informatie die zij verwerken via hun zoekmachines maar ook via hun andere online
toepassingen, zullen benutten voor ‘de
optimalisering van hun diensten’. En zo
zijn er meer en dit gaat verder dan een
foto die ongewenst publiek wordt.
Het management van organisaties en hun
ICT-afdelingen hebben hier lang geen
antwoord op gehad of waren zich niet
bewust van het gebruik van deze diensten en de bedrijfsrisico’s die hierdoor
ontstaan. Vaak maken zij zelf ook gebruik
van deze diensten, tegen beter weten in.
Inmiddels zijn er producten op de markt
die wel een bedrijfszekere en veilige uitwisseling van data mogelijk maken, zon-
der de onaanvaardbare of zelfs wettelijk
verboden risico’s. Het is niet alleen beter
om de bestaande eigen infrastructuur
hiervoor te benutten en data-duplicatie
te voorkomen, men heeft zo ook een hogere ROI van reeds gedane investeringen en kostbare bedrijfsdata zijn altijd
volledig onder controle. Een voorbeeld
hiervan is onder meer de Nederlandse
softwareontwikkelaar Storgrid die een
volledige Enterprise File Sync & Share (EFSS) toepassing heeft ontwikkeld,
waarmee bedrijven een eigen persoonlijke en volledig veilige cloud-omgeving
creëren voor het gebruiken en delen van
bedrijfskritische data.
CLOUD SECURITY CONTRADICTIO IN TERMINIS?
Welke rol speelt de cloud binnen security? Waar lossen internet en de cloud de
problemen op die zij vaak zelf veroorzaken? Hoe kunnen we de schaalbaarheid
en verzamelde intelligentie in de cloud
benutten voor onszelf en onze organisatie? Cloud-gebaseerde security is niet
nieuw; al jaren bieden bedrijven de mogelijkheid om via de cloud internetverkeer te filteren en e-mailcommunicatie te
schonen van ongewenste invloeden. Het
herleiden van het volledige e-mailverkeer van een organisatie via een externe
security aanbieder levert een goede bescherming op, zonder spam of malware,
maar wie is die beveiliger die onze data
uitpakt, analyseert en weer inpakt? Ook
hier spelen de eerdergenoemde zaken
een rol; wilt u dat anderen weten wat uw
organisatie doet of wilt u een NSA-proof,
Prism-free oplossing? Bedrijven als
Panda Security bieden die zekerheid
door hun systemen binnen Europa te
gebruiken voor het beveiligen van het internet- en e-mailverkeer van hun klanten.
Panda Security biedt sowieso een uitgebreid palet aan volledig cloud-gebaseer-
de security en management toepassingen. Deze zorgen er niet alleen voor dat
systemen optimaal zijn beveiligd tegen
de meest creatieve en steeds vernieuwende internet-bedreigingen, maar Panda laat hen ook meedelen in Panda Collective Intelligence, een uiterst efficiënte
manier om de wereldwijd verzamelde
actuele kennis en ervaring op het gebied
van internet-security direct te benutten.
DOET EEN
ICT-RESELLER NOG IETS?
Ondanks dat de belangen van cloud, internet, webshops, online apps en online
opslag nog steeds groeien, is de centrale rol van een goede ICT-reseller nog
steeds cruciaal. Zij combineren de kennis
en technische mogelijkheden vanuit de
verschillende aanbieders tot een compleet, veilig en optimaal functionerend
geheel, afgestemd op de wensen van hun
klant. Zij gebruiken daarvoor de meest
effectieve en efficiënte oplossingen en
die maken tegenwoordig veelal gebruik
van cloud-gebaseerde toepassingen. De
flexibiliteit, beschikbaarheid en beheersbaarheid nemen hierdoor toe, waardoor
organisaties hun ICT weer zien waarvoor
het is bedoeld; als bedrijfsmiddel en niet
als doel.
Security-leveranciers als Cyberoam
bieden resellers de mogelijkheid om
gebruikmakend van de Cyberoam onCloud Management Systems (CCMS) de
UTM-firewalls op locatie bij hun klanten
centraal te beheren, inclusief het onderhoud aan firmware, security-policies,
licentiebeheer en rapportages. Het resultaat voor organisaties is een verhoogde
continuïteit en optimale beschikbaarheid
door beter beheer en controle op afstand
door hun reseller.
OVER NEWCHANNEL
Als value-add importeur en distributeur
van ICT-security oplossingen werkt NewChannel nauw samen met haar resellers
in de Benelux. NewChannel is gespecialiseerd in security, mobile data management en cloud-gebaseerde oplossingen
en levert producten en diensten die een
daadwerkelijke oplossing op actuele problemen en toegevoegde waarde bieden.
Van het voorkomen van malware infecties
tot het beheren van een grote aantallen
mobiele devices, van virtuele next-generation UTM-firwalls tot sterke twee-factor
authenticatie toepassingen, van projectbegeleiding tot Proof-of-Concept; NewChannel biedt samen met haar getrainde
resellers een passend antwoord op vele
ICT-problemen van moderne organisaties. Ook weten wat onze security en
cloud-toepassingen van onder meer
Storgrid, Panda Security en Cyberoam
voor uw organisatie kunnen betekenen?
Kijk dan op www.newchannel.nl en neem
contact met ons op voor een vrijblijvend
gesprek met een van onze specialisten of
een van onze resellers in uw omgeving.
NEWCHANNEL
KORAALROOD 153
2718 SB ZOETERMEER
T+31 (0)79 - 3030 144
E [email protected]
I WWW.NEWCHANNEL.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
41
EXPERTVISIE NORMAN
TRENDS IN SECURITY 2015
NORMAN SECURITY PORTAL
CREËER
EN BEHEER
ENDPOINT PROTECTION
IN DE CLOUD
Norman biedt de Norman Security Portal met antivirus. Een Norman cloud portal speciaal gebouwd voor MKB en IT-resellers,
waardoor u gemakkelijk security, beheer en onderhoud via één
enkel dashboard heeft. Ontworpen om IT-resellers meer overzicht
te geven.
Toen wij de Norman Security Portal planden, realiseerden we ons dat dit een goede gelegenheid was om een instrument
te creëren dat het gemakkelijk maakt
voor partners om de veiligheid op endpoints te beheren. Eveneens wilden wij
een tool voor de partners om eenvoudig
de beveiliging te beheren van hun klanten, zoals de toegang tot de beveiligingsinstellingen, het oplossen van veiligheidsproblemen en rapporten automatisch te
laten afleveren.
De gemeenschappelijke factor voor de
klanten van onze partner is de behoefte
aan krachtige endpoint security. Op andere gebieden kunnen zij totaal verschillend zijn, zoals bijvoorbeeld de organisatieomvang, competentie en branche.
NIET-BEHEERDE KLANTEN
Een klant kan de voorkeur hebben de
endpoint security intern (lokaal) te beheren. In dit geval is er geen noodzaak voor
de klant om de infrastructuur van het netwerk te tonen aan de partner. De partner
krijgt alleen informatie over de licenties
en hij kan de administratie van aangekochte licenties en het aantal gebruikte
licenties beheren.
Als er een plotselinge verandering optreedt en de klant een probleem ondervindt waar hij hulp bij nodig heeft van zijn
partner, dan kan dit gemakkelijk worden
gerealiseerd door de Norman Security
Portal. De klant activeert de checkbox
‘Beheer’/ ‘Manage’ in de Norman Securi-
ty Portal. De partner is dan direct in staat
om zijn klanten online te helpen.
BEHEERDE KLANTEN
Andere klanten zouden een meer permanente behoefte aan security management
kunnen hebben omdat zij niet de interne
middelen willen inzetten aan IT of omdat
ze geen speciaal technisch personeel
hiervoor beschikbaar hebben. Voor deze
klanten zou de partner het beheer van
de IT-beveiligingsbehoeften kunnen aanbieden. Om het werk van de partner namens zijn klant te documenteren, kunnen
er automatisch rapporten worden gegenereerd. Deze kunnen op dagelijkse,
wekelijkse of maandelijkse basis worden
gepland. De rapporten kunnen optioneel
worden aangepast met de naam van de
partner en het logo van de partner.
De IT-industrie verandert sneller dan
ooit tevoren en de concurrentie is hevig.
Norman wil IT-resellers helpen om meer
business te genereren door aantrekkelijke beveiligingsoplossingen te leveren
zodat partners hun klanten beter kunnen
bedienen.
“Norman Security Portal met antivirus
stelt IT-resellers en hun klanten in staat
om endpoints te beheren vanaf één centraal webportaal (cloud) en om het beleid
te controleren als hulp bij het beveiligen
van de endpoints. Met toonaangevende
antivirustechnologie maakt de Norman
Security Portal antivirus-client bescherming en het beheer van de netwerkbeveiliging gemakkelijk en veilig”, zegt
Kristian Bognæs, Director of Development bij Norman in Noorwegen.
“De Security Portal is uitermate geschikt
voor bedrijven van elke omvang en beschermt computers zowel op locatie
als in de cloud met continue antivirusupdates”, vervolgt Bognæs.
BELANGRIJKE FUNCTIES IN
NORMAN SECURITY PORTAL
• Eenvoudig bestellen & snelle implementatie - bestel licenties in het
portal en ze zijn direct klaar voor
gebruik
• Bescherming van uw netwerk - toonaangevende
antivirustechnologie
zorgt ervoor dat uw netwerk beveiligd is tegen malware
• Intuïtief beheer - beveiligingsstatus
van de endpoints in één oogopslag
• Gesegmenteerd beheer - finetunen
van de beveiligingsinstellingen op
elk niveau: klant, groep of individuele endpoint
• Flexibele aanpassingen - pas uw
eigen veiligheidsbeleid en klantrapportage toe
• Intelligent licentiebeheer - overzicht
van aantallen en soorten actieve licenties. Deze zijn direct uit te breiden en men kan het aantal licenties
eenvoudig aanpassen in de Norman
Security Portal
• Uitstekende lokale ondersteuning lokale technische ondersteuning en
klantenservice waar u altijd op kunt
rekenen
HELP DE PARTNER BIJ DE GROEI
VAN ZIJN BUSINESS
De Norman Security Portal (NSP) is een
geweldig hulpmiddel voor het beheer
van de netwerkbeveiliging voor elke
klant. Vanuit het portaal kan een beheerder alle endpoints van het bedrijf
implementeren, beheren en bewaken,
ongeacht waar ze zich bevinden. De NSP
is gebouwd in samenwerking met zowel
partners als klanten met hierbij de focus
op de wijze waarop partners de databeveiliging beheren voor hun klanten.
DE ‘PARTNER NORMAN SECURITY
PORTAL SIGN-UP KIT’
De Norman Security Portal (NSP) kan
partners ook helpen bij de groei van hun
business. Wij bieden nu onze NSP part-
ners de ‘Partner Norman Security Portal
sign-up kit’. Deze kit zal klanten helpen
om in te schrijven (sign-up) op de NSP
webpagina van de partners. Klanten die
zich daar aanmelden zullen dan behoren
tot die specifieke partner.
Als NSP Partner kunt u beginnen met het
implementeren van uw ‘Partner Norman
Security Portal sign-up kit’. Wij zullen u
voorzien van een HTML-code die u kunt
integreren in uw eigen website. Deze
HTML-code zal worden voorzien van uw
unieke partner-id. Dit zal ervoor zorgen
dat nieuwe klanten die zich aanmelden
bij de Norman Security Portal worden
gekoppeld aan u als partner.
U wordt elke keer op de hoogte gebracht
zodra nieuwe klanten zich inschrijven via
deze pagina. Tijdens de 30 dagen trial
hebben klanten de tijd om het portal te
proberen en kunt u, als partner, contact
opnemen met de klant.
Als NSP Partner kunt u zich aanmelden bij
de Norman Security Portal met uw eigen
inloggegevens en controleren of de klant
is begonnen met het implementeren van
de endpoints. Dit geeft u de gelegenheid
om in contact te komen met de klant en
te informeren of ze nog vragen hebben,
of dat ze klaar zijn om zich aan te melden
voor een standaard licentieperiode.
Mocht u hulp nodig hebben bij de opvolging van uw nieuwe klant dan heeft u
altijd de Norman deskundigheid als hulp.
Ondersteuning nodig; het is slechts een
telefoontje verwijderd.
KORTE NEDERLANDSTALIGE
INTRODUCTIEVIDEO (1M 38S)
http://bit.ly/1zkHIJH
AAN DE SLAG MET DE NORMAN
SECURITY PORTAL?
Schrijf u hier in voor een gratis proefaccount: http://bit.ly/1tePcKC
Maarten Prins is Marketing Communicatie Manager bij Norman Data Defense
Systems Benelux
NORMAN
DIAMANTLAAN 4
2132 WV HOOFDDORP
T 023 - 78 901 222
E [email protected]
I WWW.NORMAN.NL
Maarten Prins
42
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
43
EXPERTVISIE SOGETI
TRENDS IN SECURITY 2015
VEILIGHEID
ALS COMPUTERS
NIET MEER BESTAAN
In 2014 werd de ene na de andere smartwatch gelanceerd. Vele
gaan nog volgen. Het lijkt een hype maar eigenlijk is er weinig
nieuws onder de zon. Toch is dit het begin van de ontwikkeling
waarbij er straks geen computers meer zijn. Alles en iedereen is
straks een computer. Ik zeg niet dat dit het geval is in 2015 maar
komend jaar worden daarvoor wel grote stappen gemaakt. En hoe
borg je security als alles en iedereen een computer is?
Zoals zoveel zaken in de IT wordt veel
als nieuw, innovatief of zelfs revolutionair
aangekondigd. Dat was in 2014 ook het
geval met de smartwatches. Maar ga terug naar 1984. In dat jaar lanceerde Casio
de AT550. Een horloge dat via capacitief
touchscreen bediend kon worden. Je kon
berekeningen maken via schriftherkenning van vingerbewegingen. Zoek maar
44
eens op YouTube. En als je dan toch bezig
bent, kijk dan gelijk naar de LG-GD910
uit 2009. Een waterdichte 3G smartwatch
waarmee het mogelijk is te bellen en
zelfs te videoconferencen. Uitgerust met
stemherkenning, media- en internetfunctionaliteit en een gebogen scherm. Los
van het ontbreken van een appstore kon
deze LG-GD910 smartwatch exact het-
zelfde als wat vandaag de dag als technologische doorbraak wordt gelanceerd.
Kijken we nu over echte innovaties heen?
En wat heeft dit met security te maken?
De ontwikkelingen op het gebied van
smartwatches, en eigenlijk alle innovaties, leert ons dat er sprake is van drie
fasen in de omarming van een bepaalde
technologie. Allereerst onderscheiden
we de fase ‘Technologie werkt’. In deze
fase zijn we blij dat techniek iets mogelijk
maakt. Denk bijvoorbeeld aan de homecomputers van eind jaren zeventig. Een
unieke ervaring voor de gebruikers van
toen maar het was ook flink behelpen. En
wat dichterbij in de tijd, de huidige generatie 3D printers. Hiervoor geldt hetzelfde. We zijn zo enthousiast dat deze functionaliteit mogelijk is, dat aspecten zoals
trage printtijd minder belangrijk lijken te
zijn. Maar er komt een moment dat we de
ongemakken niet langer accepteren. Zeker wanneer de hele samenleving ermee
aan de slag moet. Dan moet technologie
gewoon zorgeloos werken. De introductie van de iPhone is daar natuurlijk een
sprekend voorbeeld van. Dat is ook gelijk de tweede fase; ‘Technologie werkt
goed’.
Maar hoe kek en intuïtief technologische
snufjes ook zijn, hoe goed ze ook werken,
als dezelfde functionaliteit alleen verspreid wordt over meerdere oplossingen,
voegt het niets toe. Denk aan het kunnen
bekijken van sociale media, het navigeren en het bellen op de slimme varianten
van horloge, telefoon of bril. Helemaal als
het elkaar juist in de weg gaat zitten. Zo
heeft het Nederlandse gezin inmiddels
gemiddeld vier afstandsbedieningen op
tafel liggen. Voor elk medium één. Het
maakt alles overbodig complex en het
voegt niets toe. Daarom is de laatste fase
‘Technologie werkt goed en verhoogt
de waarde van andere technologie’. Een
goed voorbeeld van deze laatste fase is
de integratie van een mobiele telefoon en
een auto. De beller stapt in de auto die
de volledige interface via bluetooth overneemt. Als gebruiker merk je dat niet. De
informatie blijft toegankelijk in de nieuwe
context.
Het wederzijds toevoegen van waarde
en als symbiose met andere devices is
het paradigma wat in 2015 gemeengoed
wordt. Commercieel interessant vanuit
bedrijven en afgedwongen door de samenleving. Waarom is dit dan juist van
belang voor security ofwel zekerheid? Informatie en de interactie met informatie is
voor vele facetten nog steeds afstandelijk
omdat er een duidelijke ‘computer’ tussen zit. Maar op het moment dat dit transparant wordt, gaan we echt richting het
lang beloofde ‘ubiquitous computing’,
ook wel Everyware genoemd. Computers zijn er dan niet meer. Tegelijkertijd is
alles een computer geworden waarmee
je op basis van context en intelligentie interactie hebt. Dat punt wordt niet bereikt
in 2015. Echter, de fundering voor dit
scenario wordt komend jaar wel gelegd.
En de eerste vormen worden op grote
schaal operationeel. Als er dan sprake
is van onzekerheid of onveiligheid, raakt
dit niet de informatie op een schermpje,
maar direct de belevingswereld van de
gebruiker. Dat zal de maatschappij niet
accepteren. Met het risico dat we juist
weer twee treden terug zijn op de innovatieladder.
Kijk wat er op dit moment met wearables
gebeurt. Veel mensen met een Google
Glass weigeren de slimme bril buitenshuis te dragen. Niet vanwege de beperkte accu. Maar vooral door de hoeveelheid
mensen die de brildragers erop aanspreken dat zoiets niet wenselijk is. De maatschappij accepteert de inbreuk op privacy niet van iets wat letterlijk ‘in your face’
is. Iedereen wil uniek zijn. Tegelijkertijd
bepaalt meer dan ooit de gebruiker zelf
op welke manier dat is. Privacy-first ofwel
Privacy-by-Design zal daarom in 2015
meer dan ooit onderdeel worden van
producten. Daarmee wordt eveneens het
onderscheidend vermogen bepaald.
Het kan ook de andere kant opgaan.
Daarvoor moeten we naar andere aspecten van ‘ubiquitous computing’ kijken. Zo
krijgen we volgend jaar te maken met
Fabric (via snelle verbindingen geconsolideerde maar van elkaar gescheiden
high-performance systemen) en natuurlijk ‘internet of things’. Bij die laatste zien
we dat vanwege de beperkte kracht of
juist de push om als eerste op de markt
te zijn met deze functionaliteit, security
achterwege wordt gelaten. Begin dit jaar
was er een bericht over spamversturende koelkasten. Achteraf bleek dat niet
waar te zijn. Maar zo raar zou het niet zijn
geweest want technisch is dat mogelijk.
Daarom gaat dat ongetwijfeld nog wel gebeuren. Als de symbiose door onbedoelde mogelijkheden wordt omgebogen tot
digitaal parasitisme, zullen we volgend
jaar te maken krijgen met zaken als de
‘botnet of things’. Afzonderlijke systemen
met weinig of geen impact. Tegelijkertijd
introduceren ze gezamenlijk nieuwe vormen van onwenselijke interactie met gegevens en gebruikers. Zo zullen aanvallers zelf ‘fabric computing’ construeren
over bestaande resources.
Om dergelijke scenario’s te voorkomen,
pleit ik voor de introductie van ‘Secure
by Desire’. Bij de ontwikkeling van objecten moeten we nadenken over ‘security
of things’ om tot een ‘internet of secure
things’ te komen. Bedenk vooraf welke
problemen kunnen ontstaan en los ze op
waar ze geïntroduceerd worden. Een onderdeel van het borgen van security in de
levenscyclus van een object is het erkennen dat niet alle risico’s vooraf verholpen
kunnen worden. Wel dat een informatiesysteem weerbaar en flexibel moet zijn,
zelfs na oplevering. Met heartbleed en
shellshock zagen we in 2014 oude fouten
opduiken die miljoenen systemen in één
klap onveilig maakten. Door het ‘succes’
en de marketing (verzin een hippe naam,
laat een logo voor de zwakheid maken
en registreer een website waarmee te
testen valt of je kwetsbaar bent) zullen
dergelijke zwakheden volgend jaar toenemen. Aandachtspunten voor 2015 zijn
dan ook het snel inzicht krijgen in potentiële zwakheden, het kunnen detecteren
van misbruik ervan, en juist ook in staat
zijn onderliggende componenten snel in
te wisselen of te patchen. Voorwaarde is
het modulair opbouwen van systemen.
Alleen zo realiseer je ‘resilience’. Ofwel
de technologie kan dan wel wat klappen
opvangen. Tijd heelt namelijk niet alle
wonden maar er op tijd bij zijn wel.
Marinus Kuivenhoven, senior security specialist bij IT-dienstverlener Sogeti
SOGETI
LANGE DREEF 17
4131 NJ VIANEN
T 088 - 660 66 00
E [email protected]
I WWW.SOGETI.NL/SECURITY
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
45
EXPERTVISIE SOPHOS
TRENDS IN SECURITY 2015
DE EUROPESE GENERAL DATA PROTECTION REGULATION IS IN AANTOCHT!
EUROPESE
DATABESCHERMINGSREGELS
STELLEN BEDRIJFSLEVEN VOOR
NIEUWE UITDAGING
Europa is flink gevorderd met
zijn voorstellen voor nieuwe
databeschermingsregels
die
Europawijd geïmplementeerd
zullen gaan worden. Het zijn
maatregelen die ook voor het
bedrijfsleven de nodige gevolgen hebben. Wat is er precies
in de maak en hoe kunnen bedrijven zich daar nu al op voorbereiden?
Waar gaat het om? 25 januari 2012 werd
het startsein gegeven. Het was de dag
waarop de Europese Commissie haar
voorstellen publiceerde voor een nieuw
stelsel van databeschermingsregels,
de zogeheten General Data Protection
Regulation (GDPR). Doel: een ingrijpende herziening van de bestaande Europese Data Protection Directive uit 1995.
In klare taal gesteld: Brussel is bezig met
het formuleren en implementeren van
een EU-privacywet die zijn weerga niet
kent en grote gevolgen gaat hebben voor
hoe bedrijven straks hun IT-voorzieningen moeten inrichten.
KERNELEMENTEN GDPR
De regels van 1995 stammen uit een tijd
waarin het internet nog in de kinderschoenen stond. De snelheid van de technologische ontwikkelingen, in een wereld
die meer en meer een dorp wordt, stellen
nieuwe eisen op elk vlak. Overheden willen grip houden op destructieve krachten
die het stelsel ondermijnen. Bedrijven
willen alles weten van hun klanten. Tegelijkertijd willen burgers (wij!) heer en
meester blijven over onze eigen data, de
data die onlosmakelijk verbonden is aan
onze identiteit. In dat krachtenveld is het
zonder goede regelgeving voor alle partijen kwaad kersen eten.
Maar waar gaat het nu heen met die
nieuwe regels, wat betekenen ze voor
de burger en waar moeten bedrijven
zich op voorbereiden? Voorop staat dat
elk individu weer baas wordt over zijn
eigen data. Burgers moeten op verzoek
volledig inzage kunnen krijgen in alle informatie die door een bedrijf of instelling
over hen is vastgelegd, en ook het doel
dat er mee is gediend, moet kraakhelder
zijn. Ze krijgen het recht ‘to be forgotten’.
Dat wil zeggen: indien zij niet meer willen dat hun gegevens worden bewaard
en verwerkt, en er geen wettelijke gronden zijn die dat tegenhouden, dienen
die gegevens op verzoek direct verwijderd te kunnen worden. Bij overstap van
de ene naar de andere serviceprovider
moeten ze ook zonder problemen hun
persoonlijke gegevens mee kunnen nemen. En gebruiksvoorwaarden moeten
in jip-en-janneketaal worden opgesteld
en gestandaardiseerd. Maar er is meer.
Personen, bedrijven of instellingen die
persoonlijke data van klanten in beheer
hebben – in GDPR-termen ‘data controllers’ genoemd – of zij die dat soort data
verwerken (‘data processors’) zijn verplicht tot implementatie van dusdanige
technische en organisatorische maatregelen, dat de beveiliging in het licht
van de te voorziene risico’s zo optimaal
mogelijk is gegarandeerd. Dat betreft
zaken als handhaving van integriteit, betrouwbaarheid en beschikbaarheid van
persoonsgegevens. En mocht zich een
incident voordoen, dan moeten de beschikbaarheid van, en de toegang tot die
data binnen redelijke termijn weer worden hersteld. Het zijn enigszins vage termen hier en daar, maar de boodschap is
duidelijk: zorg dat je ‘state of the art’-technologie implementeert, want zo niet dan
word je daar keihard op afgerekend. Niet
alleen worden er fikse boetes in het vooruitzicht gesteld (250.000 tot 100 miljoen
euro, of een omzet gerelateerde boete
van tussen de 0,5 en 5 procent!), maar
ook komt er een meldingsplicht indien je
persoonsgevoelige data ‘verspeelt’, terwijl je die niet afdoende hebt beschermd.
MAATREGELEN
Wat kunnen bedrijven nu al doen, om
zich voor te bereiden op deze nieuwe
regelgeving die boven hun hoofden in
Europa wordt uitgerold? Het zal duidelijk zijn dat ieder bedrijf, groot of klein, in
het licht van de aanstormende Europese
General Data Protection Regulation zijn
datamanagement opnieuw aan een zorgvuldige inspectie moet onderwerpen.
Verzoeken van klanten omtrent inzage,
wijziging en verwijdering van data dient
men te honoreren. Daar moeten faciliteiten voor komen. Daarnaast moeten bedrijven en instellingen ervoor zorgen dat
ze te allen tijde verantwoording kunnen
afleggen over hoe ze met de data van
hun klanten zijn omgesprongen. Dat betekent het constant monitoren, evalueren
en waar nodig herinrichten van dataverwerkingsprocedures, maar het betekent
bovenal het implementeren van ‘state of
the art’-technologie ter protectie van de
data die je als persoon, bedrijf of overheidsinstelling onder je hoede krijgt. Een
van de beste en meest efficiënte wapens
die wij daarvoor nu al in handen hebben,
is encryptie.
Encryptie heeft zijn diensten reeds bewezen in diverse andere standaard beveiligingsimplementaties, zoals HIPAA
(Health Insurance Portability & Acountability Act), PCI DSS (Payment Card Industry Data Security Standard) en SOX (Sarbanes-Oxley). Toch zijn veel bedrijven
vaak nog terughoudend met de adoptie van encryptietechnologie. Dat komt
omdat het voorheen de IT-performance
nogal negatief kon beïnvloeden. Oudere
encryptietechnieken deden de IT-processen soms dusdanig vertragen dat het
vaak irritaties opwekte bij de gebruiker.
Met moderne encryptieproducten, zoals SafeGuard Enterprise van Sophos,
is die tijd voorbij. Het biedt protectie én
performance. Het volgt de data en biedt
bescherming waar die data ook wordt
opgeslagen: op de devices van gebruikers, hun shared folders, een USB-stick of
in de cloud. Bovendien is deze moderne
encryptietechnologie nog heel eenvoudig te managen ook. Doe er uw voordeel
mee, zou ik zeggen, als straks de General
Data Protection Regulation ook bij u voor
de deur staat.
Pieter Lacroix is managing director van
Sophos Nederland
SOPHOS NEDERLAND
HOEVESTEIN 11B
4903 SE OOSTERHOUT NB
+31 (0) 162 480 240
[email protected]
WWW.SOPHOS.COM
Peter Lacroix
46
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
47
EXPERTVISIE T-SYSTEMS
TRENDS IN SECURITY 2015
‘HYPERCONNECTIVITEIT LEIDT TOT GROTERE KWETSBAARHEID’
SECURITY
IN 2015 WORDT GEVORMD
DOOR HET INTERNET OF THINGS
Binnen de cybersecurity-branche is dit jaar veel gebeurd. Veel
nieuwe ontwikkelingen - zowel in tools als in hacktechnieken en
van individuele strategieën tot internationale samenwerkingen om
cybercrime tegen te gaan. Patrick de Goede van Eijk, Solution
Expert Security & Enterprise Architect bij T-Systems Nederland,
bespreekt welke van zijn eerdere voorspellingen over 2014 uit zijn
gekomen en kijkt vervolgens vooruit naar het komende jaar. Wat
kunnen we verwachten en hoe beïnvloedt dit onze verdediging in
2015?
DATA, DATA EN NOG EENS DATA
“In 2013 merkten we al dat trends als big
data, cloud computing en mobile, steeds
meer mainstream werden en dat organisaties de technologieën in toenemende
mate omarmden. Dit jaar was dat niet
anders. Sterker nog, de diverse trends
kwamen bijeen in het Internet of Things,
waarin alles online gebeurt en applica-
ties, netwerken, apparaten, bedrijven en
mensen aan elkaar gekoppeld worden.
De digitale wereld is overgegaan in een
‘hyperconnected’ wereldwijde samenleving. Dit betekent een totale omslag
op het gebied van security. Er ontstaat
meer data, bedrijven verzamelen meer
informatie, datacenters slaan meer op in
de cloud, en de waarde van small en big
data neemt dus alleen maar toe”, vertelt
De Goede van Eijk.
“Bedrijven worden ook in toenemende mate data-driven. Dit betekende tevens de opkomst van diverse analytics
tools. Hiermee kunnen organisaties orde
scheppen in de datachaos. Het helpt managers bij het leggen van verbanden, het
verkrijgen van real-time inzicht in bedrijfsprocessen of voorraden en bij het
doen van gerichte voorspellingen voor
de toekomst. Met die kennis kunnen zij
klanten of consumenten persoonlijke
aanbiedingen doen, hun sales en marketing optimaliseren, bedrijfsprocessen
verbeteren en op innovatieve wijze groei
realiseren.”
Mobility draagt daarnaast bij aan het altijd toegankelijk maken van belangrijke
informatie: op ieder moment en op elk
device. Dit brengt een grote uitdaging
mee voor security-specialisten, aangezien de toegang tot data vooral in dit
digitale tijdperk extra aandacht vereist.
Cybercriminelen ontwikkelen zich immers ook in een rap tempo, waardoor
hun hacks met de dag gevaarlijker worden. “Om die bedrijfsdata - bestaande uit
financiële, bedrijfskritische, gevoelige,
politieke informatie en klantgegevens - is
het de hackers precies te doen. Willen we
aanvallen of diefstal tegengaan, dan moeten we de beveiliging dusdanig indekken, dat we de criminelen net een stap
voor zijn. Dit is niet zo eenvoudig.”
MONITOREN
In 2014 hebben we daarom vooral de
aandacht gevestigd op het inzichtelijk
maken van cyber attacks door middel
48
van gevisualiseerde real-time monitoring.
De website www.sicherheitstacho.de
is hier een voorbeeld van. De website toont een dynamische wereldkaart
waar actuele cyberaanvallen op worden
getoond. De Goede van Eijk: “We leren
hierdoor niet alleen welke landen vaak
het doelwit zijn van deze georganiseerde
online misdaad, maar ook vanuit welk gebied de aanval afkomstig is en het aantal
aanvallen dat er op dat moment plaatsvindt. Met deze kennis kunnen bedrijven
vervolgens bepalen of er een dreiging is,
waar de hackers zich op richten en die
systemen en netwerken dus gerichter
beveiligen.”
“Monitoren kan echter op diverse manieren. Alleen een ‘actueel cyberaanval-overzicht’ is namelijk niet voldoende.
Je moet ook achterhalen wat er momenteel in de hackerswereld aan de gang is.
Hackersnetwerken, Darknets, groeien
enorm en dat zal in 2015 alleen maar
toenemen. Inmiddels zijn dit hele marktplaatsen geworden, waardoor een op het
eerste oog amateuristische hacker toch
zeer schadelijke hacks kan uitvoeren. Via
Darknets komt men met elkaar in contact,
wisselt men tactieken uit en verhandelt
men cyberwapens. Dit wordt een serieus
gevaar, waar bedrijven meer rekening
mee moeten houden bij het implementeren van security-strategieën.”
SIMULEREN EN
AWARENESS CREËREN
Daar ligt volgens De Goede van Eijk direct een heikel punt. Een organisatie, en
dan met name het hogere management,
is onvoldoende op de hoogte van de dreigingen, risico’s, gevaren en potentiele
schade van cybercriminaliteit. Hier moet
volgens hem dan ook vrij snel verandering in komen: “Om een bedrijf volledig
te beschermen, is het besef en deelname van c+-level managers essentieel. In
samenwerking met het Cybercrime Research Institute worden al maandenlang
aanvallen gesimuleerd. Leidinggevenden
en directieleden wordt tijdens een dergelijke simulatie gevraagd on-the-spot te
reageren. Stel je bent de CEO van een internationaal mediabedrijf en je ontvangt
een mail van een anonieme hackergroep
met het verzoek bepaalde informatie
niet openbaar te maken of juist andere
informatie wel te publiceren. Volg je het
verzoek niet op, dan zal dit vervelende
consequenties hebben, zo verzekert de
groep. Dan staat de CEO voor de keuze:
Wat ga je doen? Welke partijen betrek
je hierbij? Geef je gehoor aan de chantage? Zo niet, welke schade lijdt het bedrijf daardoor? Welke systemen haal je
offline? Kunnen bedrijfsprocessen dan
nog uitgevoerd worden? Wat te doen met
social media? Enzovoorts. Meer dan eens
heeft het management geen idee welke
stappen te ondernemen in het geval er
een cyberaanval plaatsvindt op hun specifieke organisatie.”
Deze ‘cyber incident simulations’ dienen
daarom in de eerste plaats de awareness
onder de directieleden te vergroten. Te
vaak nog ligt de verantwoordelijkheid
voor zulke kwesties bij de IT-afdeling en
de securitymanagers, maar zij hebben
vervolgens niet de rechten om beslissingen te nemen die de totale organisatie
aangaan. Dat kan alleen de CEO. Het bewustzijn moet dus omhoog, willen zij die
kennis kunnen toepassen op hun security-strategie en daadwerkelijk hun beveiliging verbeteren.
SECURITY IN 2015
“De toenemende hyperconnectiviteit
maakt bedrijven kwetsbaarder. Security in 2015 wordt daarmee alleen maar
complexer. Het afgelopen jaar zagen
we al dat de manier waarop aanvallen
plaatsvonden zich evolueerde. Aanvallen
worden aan de ene kant grootschaliger,
zoals op financiële instituties, op open
source netwerken en applicaties (denk
aan Heartbleed) of op hele retailketens
waar veel credit card en NAW-gegevens
gestolen werden. Aan de andere kant
neemt ook het aantal aanvallen op individuele personen en hun mobiele apparaten toe (phishing via smartphone, tablet
en laptop bijvoorbeeld).”
“Deze complexiteit is alleen gezamenlijk
en grootschalig aan te pakken. Meerdere samenwerkingsverbanden zijn hier
inmiddels al door ontstaan, zoals de
Cyber Security Alliance. Naast strategische partnerships is het inzetten van verschillende security-middelen essentieel:
constante monitoring, continu systemen,
netwerken en toepassingen updaten, het
bewustzijn vergoten, kennis opdoen over
de werkwijzen van hackers, een strenge
authenticatie inrichten voor de toegang
tot data (identity & access management),
richt je op governance en compliance,
en weet waar je data opslaat. Dit laatste
punt is wellicht het belangrijkste. Sta erbij stil wat de data kan aanrichten als het
in verkeerde handen valt. Maar ga ook
kritisch na hoe zorgvuldig je cloud provider omgaat met jouw gegevens, in welke datacenters dit terechtkomt en welke
security-voorzieningen daarbij getroffen
worden. Alleen het grootschalig aanpakken van de security helpt bij het kunnen
bieden van weerstand tegen de cybercriminelen van vandaag de dag”, besluit De
Goede van Eijk.
T-SYSTEMS
LAGE BIEZENWEG 3
4131 LV VIANEN
T 088 447 7777
I WWW.T-SYSTEMS.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
49
EXPERTVISIE TREND MICRO
TRENDS IN SECURITY 2015
CYBERCRIME IN 2015:
TIPS EN CYBERCRIMEACHTERGRONDEN:
BLOG.TRENDMICRO.NL
Wilt u weten hoe u zich op de nieuwe
databeschermingswet kunt voorbereiden? Of wilt u meer weten over cybercrime, beveiliging van de cloud en
mobile security in 2015? Bezoek dan
de blog van Trend Micro, speciaal voor
Nederlandse IT-specialisten en andere geïnteresseerden in cybercrime en
security. Blog.trendmicro.nl geeft tips,
handvatten en achtergronden rondom
security-nieuws.
DIT KAN UW
ORGANISATIE
VOLGEND JAAR VERWACHTEN
Toen we eind vorig jaar voorspelden dat er elke maand een grote
data breach zou gaan plaatsvinden waardoor er op grote schaal
gegevens zouden lekken, kregen we van velen te horen dat deze
voorspelling voor 2014 wel erg pessimistisch was. En hoewel ik
hierin graag was meegegaan, bleek niets minder waar. Recentelijk
nog stonden kranten vol met het nieuws dat persoonlijke foto’s
van verschillende beroemdheden naar buiten zijn gekomen. Sommige volledig gekleed middels een ‘spiegel selfie’ tot meer expliciete afbeeldingen. Dit riep bij velen de vraag op of cloud-opslag
wel veilig is.
Maar ook in het bedrijfsleven was het
raak. We zagen dit jaar een groot aantal
instellingen slachtoffer worden van datalekken. In veel gevallen ging het om een
lek als gevolg van een aanval van Pointof-Sale malware of drongen cybercriminelen het netwerk van organisaties binnen en kregen hiermee direct toegang
tot informatie van hun klanten en gebruikers. Ook de overheid was wereldwijd
een belangrijk doelwit van cybercriminelen. In het tweede kwartaal van dit jaar
richtte ruim 81 procent van de gerichte
aanvallen zich op overheidsinstanties.
Zo vond onlangs Operation Pawn Storm
plaats, een langdurige economische en
politieke cyberspionage operatie, gericht op het leger, defensiebedrijven, ambassades maar ook overheden uit zowel
Europa als de Verenigde Staten.
CYBERCRIME BOVENAAN
DE AGENDA
Doordat bedrijven in Nederland miljoenen verliezen door cybercrime, komt het
onderwerp gelukkig steeds vaker bovenaan de agenda te staan. En dat is niet voor
niets, want onder meer Nationaal Coördinator Terrorismebestrijding en Veiligheid
Dick Schoof geeft aan dat digitale spionage en cybercriminaliteit op dit moment
de grootste bedreigingen zijn voor het
bedrijfsleven en de overheid. Hij stelt dat
cybersecurity op korte termijn op orde
moet worden gebracht wanneer Nederland economisch een topspeler wil blijven. Voor het bedrijfsleven is het daarom
belangrijker dan ooit om de beveiliging
van hun organisatie op orde te hebben.
GERICHTE AANVALLEN
ZULLEN TOENEMEN
Onlangs presenteerden we onze security-voorspellingen voor de toekomst, te
beginnen met 2015. Eén van de verwachtingen voor volgend jaar is dat het aantal
gerichte aanvallen, de Advanced Persistent Threat (APT), verder zullen toenemen
en zich zullen verspreiden over meer landen. Hackers uit landen als Vietnam, het
50
Verenigd Koninkrijk en India gaan gerichte aanvallen inzetten. Een verhoogde cyberactiviteit zal zich vertalen naar betere,
grotere en succesvollere hacking tools en
pogingen tot hacken. Met name financiële organisaties gaan in toenemende mate
de dreiging van cybercriminelen voelen
en bedreigingen met betrekking tot bankieren zullen ernstiger worden. Nieuwe
mobiele betaalmethodes gaan leiden tot
nieuwe dreigingen. Het implementeren
van ‘two-factor’- authenticatie voor online
diensten wordt voor financiële instellingen en banken wereldwijd daarom nog
belangrijker.
INTERNET OF EVERYTHING
Voor velen is het ‘Internet of Everything’
(IoE) nog toekomstmuziek waarbij verschillende connected devices ons leven
veilig, gemakkelijker en bovenal productiever maken. Niet voor niets hebben
veel CIO’s deze signalen opgepakt en
bekijken zij op dit moment de mogelijkheden voor hun bedrijf. Want hoe lang
duurt het nog voordat uw medewerkers
met de eerste smartwatches het kantoor binnenlopen? Niet zo lang is onze
inschatting. U kunt en wilt immers niet al
uw medewerkers controleren op deze
gadgets voordat ze het bedrijf binnenlopen en waarschijnlijk verbinding gaan
maken met het bedrijfsnetwerk. De gebruiker van IT is tenslotte veranderd. Hij
stelt zich niet langer afhankelijk op van
wat bijvoorbeeld een werkgever hem
aanbiedt. Zowel zakelijk als privé willen
mensen de nieuwste gadgets en applicaties gebruikers. Komend jaar verwachten
we daarom een verdere toename van bedreigingen gericht op deze smart devices. Denk daarbij aan slimme camera’s,
huishoudelijke apparaten, TV’s maar ook
smartwatches. Cybercriminelen worden
steeds agressiever richting deze platformen, maar ook richting de organisaties die de bijbehorende data beheren.
Naarmate de populariteit van het Internet
of Everything door gebruikers ervan toeneemt, zal dat ook gelden voor het aantal
mogelijkheden voor een aanval richting
deze apparaten. Hoewel de technologi-
sche diversiteit van de aantal apparaten
massale aanvallen lastiger maakt, geldt
dit niet voor de data die zij verwerken.
Producenten van dergelijke slimme apparaten moeten daarom ook kijken hoe
ze de data die op deze apparaten staan,
beveiligen en niet alleen kijken naar de
beveiliging van de apparaten zelf. Het
is belangrijk dat een weloverwogen en
goed uitgedacht plan wordt gemaakt als
het gaat om deze nieuwe apparaten in uw
organisatie.
NIEUWE EU-WETGEVING
VOOR DATABESCHERMING
Maar dat geldt niet alleen voor nieuwe
apparaten, ook door de komst van de EU
General Data Protection Regulation die
wordt opgesteld om één lijn te trekken
in de wetgeving over databescherming.
Eerder dit jaar deden we onderzoek naar
de implementatie van de wettelijke verplichtingen waaraan organisaties moeten
voldoen volgens de nieuwe EU-wetgeving voor databescherming. De resultaten zijn verontrustend. Slechts 15 procent
van de organisaties weet welke concrete
stappen er moeten worden genomen om
te voldoen aan deze wet en de helft van
de organisaties in de Benelux geeft aan
dat ze niet weten of, of niet denken dat,
het realistisch is zich te conformeren aan
deze nieuwe wet. En dat is verontrustend,
zeker gezien het feit dat er forse boetes
tot wel vijf procent van de omzet tegenover staan.
Tonny Roelofs is Country Manager van
Trend Micro Nederland
TREND MICRO
LANGE DREEF 13 H
4131 NJ VIANEN
T 0347 - 35 84 30
E [email protected]
I WWW.TRENDMIKRO.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
51
EXPERTVISIE TSTC
TRENDS IN SECURITY 2015
EMILE KOK:
‘MEER DIEPGANG
IN SECURITYTRAININGEN GEWENST’
Informatiebeveiliging wordt volwassener, heeft daardoor steeds
meer behoefte aan specialisten en zal door de groeiende focus
op privacy nog meer aandacht gaan krijgen. Het in security trainingen gespecialiseerde opleidingsinstituut TSTC zit dicht bij het
vuur als het gaat om trends in de informatiebeveiliging. “Dagelijks
leggen bedrijven en cursisten hun kennisbehoefte bij ons neer
waardoor verschuivingen in het vakgebied snel zichtbaar zijn. Ons
opleidingsprogramma wordt gevormd door die vraag en geeft dan
ook een goed beeld van de diversiteit die informatiebeveiliging
tegenwoordig kenmerkt.” Aldus Emile Kok, algemeen directeur
van TSTC, die voor het Infosecurity Magazine vooruitblikt op het
komende jaar.
VERANDERDE BEHOEFTE
Tussen 2006 en 2012 was de vraag naar
security trainingen volgens Kok redelijk
homogeen. Om hun betrokkenheid bij
beveiliging aan te tonen, streefden organisaties vooral naar security awareness
en medewerkers met bekende titels als
CISSP, CISM en CEH achter hun naam.
Omdat vacatures hetzelfde beeld gaven,
gingen professionals op zoek naar dergelijke trainingen om hun kansen op de
arbeidsmarkt te vergroten. Deze behoefte is volgens TSTC niet verdwenen maar
is de afgelopen jaren steeds meer uitgebreid met de wens naar verdere specialistische kennis. Waar een netwerkbeheerder eerder bij veel bedrijven nog
kon worden aangewezen als ‘de collega
die alles weet over beveiliging’ is hij tegenwoordig nog slechts de firewallspecialist of één van de netwerkbeveiligers.
“Met het volwassener worden van informatiebeveiliging, zijn er meer specifieke
rollen ontstaan met daarin afgebakende
verantwoordelijkheden. Een security
professional wordt nog wel geacht over
veel zaken iets te weten, maar is bij veel
organisaties niet langer meer generalist.
Dit verklaart ook het succes van meer
gerichte verdiepingstrainingen in penetratietesten, risk management, incident
response en cloud security. Deze ontwikkeling wordt verder gestimuleerd door
nieuwe eisen van de overheid zoals de
jaarlijks verplichte DigiD audit waar bijvoorbeeld gemeenten mee te maken
hebben en die dwingen te investeren in
verdere ex- of interne security kennis.”
PRIVACY
In dat kader zal de nieuwe Europese
Verordening Bescherming Persoonsgegevens, die de WBP moet gaan vervangen, weer consequenties hebben voor
de opleidingsvraag in 2015. Ondanks dat
er nog enkele knopen doorgehakt moeten worden, is al wel duidelijk dat er een
grote verantwoordelijkheid bij bedrijven
komt te liggen op het gebied van bijvoorbeeld privacy management. Waar deze
kennis voorheen beperkt bleef tot de
juridische afdeling, wordt privacy steeds
meer (mede) het domein van informatiebeveiligers en compliance officers.
“Omdat de nieuwe privacy verordening
vergaande gevolgen heeft voor de informatiebeveiliging en we hier steeds
meer vragen over kregen, is TSTC eerder dit jaar een exclusieve samenwerking aangegaan met IAPP, de grootste
52
internationale vakvereniging voor privacy professionals. We zijn afgelopen mei
gestart met hun bekendste CIPP/E titel
die cursisten certificeert in globale- en
Europese privacy wet- en regelgeving.
Volgend jaar zullen we het programma
verder uitbreiden met CIPM en CIPT die
gaan over hoe deze kennis toe te passen
in een privacy management of technische functie. CIPP/E en CIPM sluiten in
combinatie het beste aan op de eisen uit
de Europese verordening waarmee veel
bedrijven verplicht worden een privacy
functionaris aan te stellen.”
CERTIFIED CHIEF INFORMATION
SECURITY OFFICER (CCISO)
Een andere nieuwe titel die TSTC in 2015
zal introduceren is CCISO. De laatste jaren is de eindverantwoordelijkheid voor
informatiebeveiliging steeds hoger in de
organisatie komen te liggen met de CISO
functie tot gevolg. De CISO opereert op
het grensvlak tussen beleid en techniek,
tracht deze werelden in zijn functie te
verenigen en heeft een organisatie brede kijk op informatiebeveiliging. Bij veel
potentiële kandidaten schiet de vereiste
management- of technische kennis volgens TSTC nog tekort om voldoende
draagvlak te kunnen krijgen binnen alle
lagen van de organisatie. De CCISO
training behandelt al deze aspecten en
met name de samenhang ertussen zodat
de functie beter kan worden ingevuld.
CCISO is een internationaal erkende
certificering van EC-Council en fungeert
tevens als aanvulling op een eventuele
behaalde CISSP en/of CISM certificering
in verband met de specifieke focus op de
CISO-rol en de daarbij behorende werkzaamheden.
OPLEIDEN ANNO 2015
Volgens TSTC’s directeur is het werk van
de opleider langzaam aan het verschuiven. “Bedrijven schakelen ons naast hun
reguliere trainingen vaker in voor maatwerktrajecten waarbij certificering nietof van ondergeschikt belang is. We hebben de beschikking tot een uitgebreid
netwerk van internationale professionals
die naast hun praktijkervaring ook didactisch in staat zijn om hun kennis over
te brengen. Om niet voor elke klant een
nieuwe training samen te hoeven stellen, zullen we in 2015 ook meer specialistische titels brengen die door kleine
groepen te boeken en op punten aan te
passen zijn.” Kok noemt voorbeelden als
SAP security, Malware Analysis en Exploit
Development maar geeft aan dat klanten TSTC met al hun security en privacy
vragen kunnen blijven benaderen. “Want
één ding verandert er niet, de kennisbehoefte van onze klanten bepaalt uiteindelijk de trainingen op onze agenda.”
TSHUKUDU TECHNOLOGY
COLLEGE BV
PLESMANSTRAAT 62
3905 KZ VEENENDAAL
T +(31) 318 58 14 80
E [email protected]
I WWW.TSTC.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
53
EXPERTVISIE WATCHGUARD
TRENDS IN SECURITY 2015
REAL-TIME VERCIJFERING VEREIST DAAROP TOEGERUSTE FIREWALL
DATA-ENCRYPTIE:
HET NIEUWE WAPEN
TEGEN CYBERCRIME
De veiligheid van bedrijfsnetwerken staat onder grotere druk dan
ooit. Hackers zijn gewiekste criminelen uit op geld (lees: data) en
met hun zeer geavanceerde breekijzers lopen zij altijd een stap
voor op de reguliere security-oplossingen. Bovendien zijn niet
alleen de enterprise-organisaties, maar ook mid-sized bedrijven
steeds vaker het slachtoffer. Data-encryptie is vrijwel de enige
duurzame manier om diefstal van bedrijfsgegevens tegen te gaan.
Maar dan moet de infrastructuur daar wel op berekend zijn.
Software en hardware hebben een hardnekkige gemene deler: ze vertonen
regelmatig lekken. Bedoelde of onbedoelde onvolkomenheden kunnen, mits
‘slim’ misbruikt toegang verschaffen tot
waardevolle bedrijfsdata. Lekken kunnen lange tijd onopgemerkt blijven, zoals
bijvoorbeeld de Shellshock-affaire recentelijk aantoonde. Hackers ontdekten
een hele familie van lekken in de Unix
Bash-shell, software die al 25 jaar tot de
DARKNET
Darknets zijn private netwerken, vaak
p2p-gebaseerd, waarbinnen cybercriminelen zich verenigen. Ze wisselen informatie over beveiligingsstructuren bij
bedrijven uit, maar verkopen daar ook
buitgemaakte data. Vanwege hun decentrale karakter zijn deze vaak criminele uithoeken van het web nauwelijks
traceerbaar. Daarom worden ze ook
vaak gebruikt door hacktivisten, die op
die manier onder de radar van geheime
diensten proberen te blijven.
Niet alle darknets hebben illegale motieven, maar de laatste tijd gaat vanuit
deze netwerken steeds meer criminele
dreiging uit.
54
kern behoort van OS X, Linux en andere Unix-derivaten. Lekken die ze wisten
te misbruiken om botnets te creëren en
daarmee DDoS-aanvallen uit te voeren.
Dat terwijl de code van deze software
nota bene al even lange tijd voor iedereen openbaar is.
MENS ALS ZWAKKE SCHAKEL
Maar niet alleen IT, ook mensen zijn
kwetsbare toegangspoorten. Mensen zijn
immers te manipuleren. Cybercriminelen
kunnen zich voordoen als iemand anders
en via trucs als phishing of social engineering alsnog de sleutels van de bedrijfsschatkamer in handen krijgen. Bovendien zijn mensen van nature slordig.
Slordig met wachtwoorden, met updates,
met best practices, met veiligheidsvoorschriften. En daar is geen virusscanner of
firewall tegen opgewassen.
Kortom: bedrijfsnetwerken zijn van nature kwetsbaar. Dat terwijl de uitdagingen
steeds groter worden. Daar staan cybercriminelen tegenover die via Darknets
(zie kader) listig gestolen data en hacking-gereedschap uitwisselen. De vraag
is dus niet zozeer of zij kunnen binnendringen in het netwerk, maar wanneer.
NIEUWE STRATEGIE
Met dat gegeven in het achterhoofd is
een nieuwe defensiestrategie een absolute must. De enige manier om te zorgen
dat criminelen niets met de aangetroffen
data kunnen, is continue, real-time versleuteling van het gehele dataverkeer.
Niet alleen de opgeslagen data, maar
ook alle pakketjes die over en weer over
het netwerk bewegen moeten continu
versleuteld zijn en pas bij een rechtmatige ontvanger weer leesbaar worden.
Niet alleen binnen de firewall, maar ook
daarbuiten. Plaats- en tijdonafhankelijk
werken vraagt immers om de nodige mobiliteit, ook van data en applicaties.
Real-time dataversleuteling vereist een
infrastructuur die daarop berekend is.
Continu moeten pakketjes data immers
vercijferd en weer leesbaar gemaakt
worden, zonder dat dat ten koste gaat van
de performance. Een onwerkbaar traag
netwerk is geen optie, productiviteit is
geen dankbare ‘trade-off’ voor een goede beveiligingsstrategie. Een uitdaging,
want dataverkeer neemt in volume alleen
maar toe, en dus ook het rekenwerk dat
nodig is voor versleuteling en inspectie
van al die gegevens. Toepassingen als
voip en zeker videoconferencing komen
met een behoorlijke digitale voetafdruk,
maar ook moderne bedrijfssoftware en
steeds snellere internetverbindingen zor-
CONCLUSIE
Digitale veiligheid is aan het verschuiven.
Uitdagingen die enterprise-organisaties
enkele jaren geleden hadden, zijn inmiddels het probleem van de mid-sized
bedrijven. Data-encryptie is de enige
manier om de steeds gevaarlijkere hackers en cybercriminelen te ontmaskeren
'In 2017 komt meer dan de
helft van de aanvallen via
versleutelde kanalen'
gen voor flinke hoeveelheden data. Een
ontwikkeling die bovendien geen rechtsomkeert zal maken.
SLEUTELROL VOOR DE FIREWALL
De grote verkeersregelaar in dit geheel
is de firewall. Die moet voldoende toegerust zijn om de benodigde performance
te leveren. Zijn taak is niet mals: de firewall moet niet alleen alle datapakketjes
continue checken op verdachte zaken
als malware en spam, maar daarbij ook
deze data real-time vercijferen en weer
decoderen.
Maar er is meer aan de hand. Volgens het
Gartner-rapport ‘Security Leaders Must
Address Threats from Rising SSL Traffic’
komen verdachte zaken ook steeds vaker
via de versleutelde pijplijnen binnen. Via
een SSL-verbinding bijvoorbeeld. En met
steeds meer versleuteld netwerkverkeer
gaat die trend alleen maar toenemen. De
Gartner-analisten geloven dat in 2017
meer dan de helft van de netwerkaanvallen via de versleutelde kanalen binnenkomen en zo de digitale detectiepoortjes
proberen te omzeilen. Ook daarop moet
de firewall berekend zijn, een regulier
exemplaar voldoet niet meer.
en te voorkomen dat grote hoeveelheden
waardevolle gegevens op straat - of erger
- in verkeerde handen terechtkomen. Een
aantal ontwikkelingen zorgt daarbij voor
technische uitdagingen. Denk aan de
groei van dataverkeer, toegenomen internetsnelheden en veeleisende toepassingen, zowel in de cloud als on-premise.
Real-time versleuteling en beveiliging
van die dikke datapijpen vereist hardware die daarop is voorbereid. Alleen specialistische firewalls die zijn toegesneden
op die taak kunnen daarbij zorgen voor
een prettige balans tussen veiligheid en
performance.
Etienne van der Woude is Regional
Sales Manager Benelux van Watchguard
Technologies
WATCHGUARD
PARKSTRAAT 83
2514 JG DEN HAAG
T 070 - 711 20 80
E [email protected]
I WWW.WATCHGUARD.NL
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
55
EXPERTVISIE WIBU-SYSTEMS
TRENDS IN SECURITY 2015
DIGITALE BEVEILIGING MOET TERUG NAAR DE BRON
SCRIPT
MET HASH CODES
MAAKT GEROMMEL IN
SOFTWARE HERKENBAAR
Nadat vele jaren cyber security voornamelijk was gericht op het beveiligen van de poorten van computersystemen is nu een terugkeer naar de basis waarneembaar. Het gaat weer om het afschermen
van de software tegen ongeoorloofd gebruik. Door het opnemen van een script met hash codes
tussen de instructieregels is met zekerheid vast te stellen of bepaalde programma’s nog dezelfde
kenmerken hebben als toen ze voor het eerst werden geactiveerd.
Wibu-Systems AG is in 1989 opgericht in het Duitse Karlsruhe als producent van beveiligingstechnologie voor
mondiaal softwarelicentiebeheer. De
brede reeks oplossingen van het bedrijf bieden een oplossing voor het afschermen van alle vormen van digitale
content, inclusief intellectueel kapitaal
en software applicaties voor computer
systemen, mobiele toepassingen, industriële automatiseringsoplossingen en
cloud-diensten.
Marcel Hartgerink is directeur van
Wibu-Systems Nederland
Met authenticode biedt Microsoft ontwikkelaars de mogelijkheid om informatie
over zichzelf en de door hen ontwikkelde
code aan hun programma’s te linken. Dat
is een goede stap in de richting van een
beveiliging aan de bron. Het niveau is alleen te beperkt. We moeten veel verder
gaan wanneer we willen voorkomen dat
processen van buitenaf het verloop van
software gaan verstoren. Cross-checks
lenen zich hiervoor; de eerste ’executable’ test de tweede en vice versa.
Met uitzondering van Windows bieden
de meeste moderne besturingssystemen voor ’embedded’ applicaties de
mogelijkheid om op het niveau van de
’boot loader’ de integriteit van het OS te
laten checken alvorens deze te activeren.
Op deze wijze inspecteert elke volgende
laag (applicatie runtime, applicatie configuratie data ) het verloop in de vorige
laag.
In de industriële wereld is het heel gebruikelijk om door middel van encryptie
via hash codes en handtekeningcertificaten de verschillende lagen te controleren.
Wanneer producten, voortgekomen uit
de ontwikkelingen rond Internet of Things
volop gaan communiceren met standaard
softwarepakketten, lijkt een dergelijke
integriteitcontrole de aangewezen oplossing om kwaadwillige code buiten de
deur te houden. Op een nog hoger niveau ligt een controle waarbij niet alleen
in voorwaartse richting de processen
in de diverse lagen elkaar inspecteren,
maar waarbij ook de applicatie achterwaarts, dus richting het OS kan nagaan
of de status daarvan correspondeert met
de zijne. Een reeds langer geleden uitgegeven certificaat kan bijvoorbeeld verlopen zijn. Omdat doorgaans een laag in
het systeem maar een geringe toegangsmogelijkheid naar de vorige laag heeft, is
er dus een vertrouwde referentie buiten
de lagen nodig, bijvoorbeeld in de vorm
van een in hardware uitgevoerde token
(dongle).
TRUSTED PLATFORM MODULE
Wie geen externe dongle wil, omdat bijvoorbeeld op het aangesloten apparaat
geen USB poort voorhanden is, kan ook
gebruik maken van een Trusted Platform
Module (TPM). Meer en meer systemen
en apparaten worden standaard uitgerust
met dit stukje extra elektronica met een
eigen processor en geheugen waarin de
correcte status van de diverse registers
in diverse lagen vanaf de ’boat loader’ tot
en met de applicatie wordt bijgehouden.
Maar een TPM is niet voldoende. Zo kan
het ook voor de beveiliging wenselijk zijn
om het gebruik van de software alleen
toe te staan aan houders van licentierechten. Het is dan zinvol om die rechten op
een centraal punt aan te maken, te distribueren en te beheren. Daarnaast heb je
ook nog gereedschap nodig om de integriteitcontrole en authenticatie in de software in te bouwen. In de ontwikkelfase
doe je dat door met API’s een test ’shell’
rondom je C-Sharp, Delphi of Java code
heen te bouwen. Maar het is ook mogelijk
die tests achteraf aan bestaande ’executables’ en DLL’s te verbinden.
NEMEN VAN VINGERAFDRUK
Ook zonder extra security-hardware
zijn er volop mogelijkheden. Daartoe
nemen we eerst een vingerafdruk van
het systeem, waarop de software moet
draaien. Voor praktisch elk OS en hardwareplatform zijn tools beschikbaar om
sluitende ’checks’ op basis van gangbare
encryptietechnieken in de softwarecode
in te bouwen. Het moeilijkste deel van
het traject zit aan het begin wanneer je
als ontwikkelaar samen met vertegenwoordigers van de gebruikers het beveiligingsniveau en het bijbehorende beleid
moet uitstippelen. Op welke manier gaan
we een vingerafdruk nemen? Soms denken mensen dat met een simpele controle op een MAC-adres, applicaties al voldoende beveiligd zijn. De praktijk leert
dat dat niet genoeg is. De uitdaging is om
eerst alle mogelijke variabelen in OS’en
in kaart te brengen en de verschillen in
eigenschappen van de gebruikte hardware. Zo kennen AMD processoren geen
CPU-ID, maar die van Intel wel. Laptops
werken vaak met meer dan één MACadres, terwijl ook Raid opslagsystemen
zich kenmerken door een aantal hardware id’s .
Cross Check voor Executable / Library
SmartBind voor een optimale binding
'Digitale Certificaten en
private ’keys’ maken het
beveiligingsproces een
stuk veiliger en de inrichting
een stuk simpeler'
Het doel moet zijn om een maximale
beveiliging voor elk binnen het project
toegepast apparaat of systeem te krijgen. Daarvoor is het nodig om vooraf
vast te stellen of er sprak kan zijn van
een ’tight’, ‘medium’ of ‘loose’ binding
van de beveiliging met de hardware. In
het eerste geval is geen enkele verandering toegestaan. Komt een kenmerk in
de check niet overeen, dan vervalt direct
het gebruiksrecht. Het tweede en derde
scenario biedt meer tolerantie. Zo kan
het bijvoorbeeld toegestaan zijn om geheugen in ’devices’ bij te steken of zelfs
complete cpu’s te vervangen zonder dat
die wijziging consequenties heeft voor
de licentierechten.
Licenties zijn sterk verbonden aan een
vergoedingregeling voor het gebruik van
software. In een wereld vol open source
code en cloud toepassingen rekenen we
met andere financiële modellen. Maar in
dezelfde wereld, waar straks alles met
alles elektronisch verbonden is, lijkt het
licentiemodel met de certificeringmethodiek de meest adequate oplossing om
individuele personen en hun persoonlijke IT-hulpmiddelen te identificeren en de
integriteit van de door hen ingevoerde
of ontsloten data te controleren. Digitale
Certificaten en private ’keys’ maken het
beveiligingsproces een stuk veiliger en
de inrichting een stuk simpeler dan een
stelsel van wachtwoorden en het misplaatste vertrouwen dat de individuele
mens daar prudent mee omgaat.
WIBU-SYSTEMS
ADAM SMITHSTRAAT 33
7559 SW HENGELO
T 074 - 750 14 95
E [email protected]
I WWW.WIBU.COM/NL
Self Check in Executable / Library
56
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
57
TSTC – de Security Opleider van Nederland
DOOR MR. V.A. DE POUS
LEGAL LOOK
- Botnets, DDoS, Malware ... Gehackt!
Bent u de volgende?
- En wat is dan uw reputatie- en/of financiële schade?
- Vormt uw Blackberry of iPhone een security risico?
Herkent u bovenstaande vragen?
Deze tijd vraagt om oplossingen en kennis van zaken.
JURIDISCHE BEVEILIGINGSTRENDS VOOR 2015
ICT wordt al jaren in hoog tempo juridisch genormeerd. Wetgevers - nationaal
en uit Europa - hebben zich vanaf de jaren negentig met verve op de elektronische snelweg gestort. Ieder facet van de
wondere wereld van de digitale technologie, elektronische gegevensverwerking
en informatiemaatschappij verdient kennelijk een eigen, speciaal rechtskader; afwijkend van de regels voor de ouderwetse ‘stenen’ samenleving. Chips, software,
databanken, persoonsgegevens, elektronische marketing, handel en identiteit,
telecommunicatie in soorten en maten,
en nog veel meer, zoals nieuwe strafbare
feiten, uitgebreide bevoegdheden voor
politie en justitie en regels voor eGovernment. Zoals ICT-ers veelal beweren dat je
nooit genoeg softwarecode kunt hebben,
zo stillen politici hun honger met telkens
nieuwe wet- en regelgeving voor het digitale domein. Vet cool.
Inmiddels zijn we op een moment in de
geschiedenis aangekomen waar alles
op de schop moet, althans zo lijkt het, en
bovendien rap. Veel legislatieve ontwikkelingen raken informatiebeveiliging. Zo
gaat Europa volgend jaar de Algemene
Verordening Gegevensbescherming eindelijk vaststellen, waardoor onze Wet bescherming persoonsgegevens ingetrokken wordt en er in de interne markt een
uniform regime komt voor de verwerking
van persoonsgegevens. Met rechtstreekse werking en dwingend van karakter.
Geen nationale afwijking mogelijk, inclusief de beoogde beveiligingsvoorschriften, meldplichten en zware sancties bij
overtreding.
Toch lanceerde de PvdA - die eerdere
tekende voor de omstreden uitbreiding
58
van het spamverbod tot de zakelijke
markt - recent ineens het plan voor een
‘allesomvattende datawet’. De socialisten
pleiten goed beschouwd voor een multidisciplinair wondermiddel. Moderne en
transparante wetgeving, welke Nederland als vestigingsland voor internationaal opererende ondernemingen op de
kaart moet zetten en burgers inzicht geeft
in de spelregels voor het opsporen en
bestrijden van cybercrime. Dat voorstel
heeft eerder wat weg van een meerkoppige draak.
Bij nader inzien is de aanjager hiervan de
geconsolideerde ICT-infrastructuursector; zichzelf positionerend als de derde
mainport te lande. Modernisering moet
wetgeving ‘werkbaar’ maken, zo blijkt uit
een geschrift van de kersverse opgerichte Stichting Digitale Infrastructuur Nederland. Volgens deze organisatie worstelen
bedrijven met een Babylonische spraakverwarring over in wetgeving gecodificeerde ICT-gerelateerde termen en begrippen, zoals ‘Internet service provider’,
‘diensten van de informatiemaatschappij’
en meer. Verder gaat de aandacht uit
naar netneutraliteit, en een heus keurmerk voor het MKB. Ondertussen past de
regering de bevoegdheden van veiligheidsdiensten aan. Zowel AIVD en MIVD
mogen straks ook het kabelverkeer aftappen, zelfs onder voorwaarden in bulk.
Hiertoe wordt de Wet op de inlichtingenen veiligheidsdiensten aanpast.
In samenhang met al dat wetgevingsgeweld constateren we tenminste twee
majeure problemen. Uno. Een algemeen
vergezicht voor onze informatiesamenleving, gefundeerd op stevige uitgangspunten en kernwaarden, ontbreekt bij
wetgever, politiek en openbaar bestuur.
Dos. Een aanzienlijke hoeveelheid en
snel in omvang toenemende, uiteenlopende speciale wetgeving (nieuw of telkens wijzigend, zoals de ‘cookie’-regels)
en allerlei andere juridische veranderingen die zich parallel voltrekken (alles
gebeurt nu) doen natuurlijk alarmbellen
rinkelen. Wie durft er nog naleving te
rekenen? En dat terwijl compliance in
de informatiemaatschappij toch al onder druk staat. En niet alleen door burgers die maar illegaal downloaden (uit
illegale bron). Ook marktpartijen lappen
(e-commerce) regels aan hun laars. Denk
bij e-retailing aan het niet voldoen aan allerlei wettelijke informatieverplichtingen,
onvoldoende beveiliging van persoonsgegevens, inclusief financiële transacties,
onjuiste prijsstelling en geen of te late
terugbetaling van retourzendingen van
op Internet gekochte producten. Of app
developers die grootschalig privacy- en
beveiligingsregels schenden.
Maar meest spannende juridische trend
betreft waarschijnlijk de algemene onvrede bij gebruikersorganisatie en individuele gebruiker, zoals de consument.
Keer op keer lekken informatiesystemen informatie door zowel menselijk en
technologisch falen als criminaliteit. Dat
gaat ongetwijfeld tot meer aansprakelijkheidsclaims leiden. Terecht. ICT betreft
geen sinecure, maar vormt een cruciale geconsolideerde technologie voor
het ‘levensbloed’ van iedere organisatie,
maatschappij als geheel en natuurlijk de
burger. Verbeter de digitale kwaliteit,
borg deze normen in een juridisch raamwerk en handhaaf strikt. Anders gaat de
wereld aan ICT ten onder.
Zorg dat u goed getraind bent,
kijk snel op www.tstc.nl/training/security
Een greep uit onze security certificeringen:
Certified Ethical Hacker (CEH)
Computer Hacking Forensic Investigator (CHFI)
Certified Security Analyst (ECSA)
Licensed Penetration Tester (LPT)
Certified Information Systems Security Professional (CISSP)
Certified Information Security Manager (CISM)
Certified Information Systems Auditor (CISA)
Cloud Security Audit and Compliance (CSAC)
Certified Risk Manager ISO 27005/31000
NIEUW
CIPP/E Certified Privacy Professional Europe
of the Year
ATC
of the Year
ATC
TSTC - 8e jaar op rij de beste EC-Council Security Opleider!
Want security start bij mensen!!
INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014
W W W.T S T C . N L
59
THE POWER OF
PEOPLECENTRICITY
IN INFORMATIEBEVEILIGING
‘Informatiebeveiligingsbewustzijn bij
medewerkers is essentieel’
GERARD STROEVE I MANAGER SECURITY & CONTINUITY SERVICES
Informatiebeveiliging gaat verder dan IT alleen
Centric kan u ondersteunen bij het succesvol opstellen, implementeren en uitvoeren
van een informatiebeveiligingsbeleid conform de ISO 27001-norm, ISO 27002, Baseline
Informatiebeveiliging voor Nederlandse Gemeenten en de NEN 7510. Het team van
Security & Continuity Services is onder meer gespecialiseerd in het uitvoeren van
Gap-analyses en risicoanalyses, het opstellen van beveiligingsplannen en het
formuleren van passende beveiligingsmaatregelen. Kenmerkend voor onze aanpak
is dat we breder kijken dan de ICT-component alleen. We nemen ook onderwerpen
mee als fysieke beveiliging, security awareness en continuïteitsmanagement.
Kunt u hulp gebruiken bij de informatiebeveiliging binnen uw organisatie? Ga naar
www.centric.eu/informatiebeveiliging of mail ons via [email protected].
SOFTWARE SOLUTIONS | IT OUTSOURCING | BPO | STAFFING SERVICES
www.centric.eu

Tomorrowland vertrouwt op DNCS en Panasonic Winkelcentrum in

Onderwijs en Cyber Security in de regio Den Haag Een regionale

SBIR14C018 Cyber II fase 1 Delta Pi, BVS Afwegingskader

Beveiligingsbewustzijn in de nutssector

Flyer uitnodiging paasdienst 05.04.2015( 21×9.8)

Productsheet CMSaaS

Stichting Human Security Collective Lia van Broekhoven Lutherse

Zomer 2014 - dejong

Nieuwsbrief - Amsterdam IT Circle