INFO SECURITY MAGAZINE SERIOUS GAME ALCATRAZ MANAGED SECURITY SERVICES SPECIAAL KATERN CONGRES DIGITAAL ZAKENDOEN EN EID

Transcriptie

1 JAARGANG 14 - MEI INFO SECURITY MAGAZINE AANDACHT VOOR MANAGED SECURITY SERVICES INFOSECURITY MAGAZINE EN INSITE SECURITY ORGANISEREN SERIOUS GAME ALCATRAZ SPECIAAL KATERN CONGRES DIGITAAL ZAKENDOEN EN EID ESET ZIET GROEIMARKT IN MANAGED SECURITY SERVICES - GOEDE IT-BEVEILIGING VAN ESSENTIEEL BELANG VOOR ONDERNEMERS - VOLDOEN AAN EUROPESE DATALEK-WETGEVING NU AL MOGELIJK - SECURITY MONITORING ONMISBAAR IN DE STRIJD TEGEN CYBERDREIGINGEN - ORGANISATIES MOETEN NIET ALTIJD ALLES ZELF WILLEN DOEN - SLECHTE BEVEILIGING VAN MEDISCHE APPARATUUR ZORGT VOOR GROTE PRIVACYRISICO S - MET INZICHT WIN JE DE OORLOG - DE CATCH-22 VAN CLOUDAPPLICATIES - PROBEER MENSELIJKE FACTOR BIJ ICT TE VERMINDEREN

2 SPEEL MEE! g Colofon - Editorial SERIOUS GAME MAAKT DEELNEMERS SPELENDERWIJS BEWUST VAN BELANG VAN VEILIG WERKEN Hoe gaan we in ons dagelijks werk om met gevoelige informatie? Keer op keer blijkt dat de mens een van de zwakste schakels is als het om informatiebeveiliging gaat. Naast alle technische maatregelen om cybercriminelen buiten de deur te houden, is het dus ook van cruciaal belang om binnen het management en onder de medewerkers awareness te creëren over het belang van security. Daarom organiseren Infosecurity Magazine en Insite Security op 25 juni de serious game Alcatraz DE GAME: maakt deelnemers bewust wat informatieveilig werken is - als individu, als management maar ook als organisatie als geheel brengt het onderwerp informatieveiligheid tot leven brengt het verbeterpotentieel in kaart legt de basis voor een actieplan met verbeterpunten en concrete maatregelen HET RESULTAAT: meer (gedeelde) kennis over informatieveiligheid hoger niveau van veiligheidsbewustzijn inzicht in concrete verbeterpunten basis voor een actieplan met verbeterpunten en concrete maatregelen Aanmelden: Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via abonnementen@fenceworks.nl. Uitgever Jos Raaphorst jos@fenceworks.nl twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel robbert@fenceworks.nl twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel Advertentie-exploitatie Will Manusiwa will@fenceworks.nl Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat CK Zoetermeer info@fenceworks.nl 2015 Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: Digitaal zakendoen In deze editie van Infosecurity Magazine besteden we aandacht aan twee belangrijke ontwikkelingen: de opkomst van het langs digitale weg zakendoen en de mogelijkheden die managed security services bieden. Beide trends hebben veel met elkaar te maken. Op 10 en 11 juni vindt in Bunnik het congres Digitaal Zakendoen en eid plaats. Als we digitaal zaken met elkaar willen doen, is het van cruciaal belang dat u en ik precies weten wie ik en u nu precies zijn. Identiteit speelt sowieso een hoofdrol in het zakendoen, maar natuurlijk helemaal als we elkaar niet kunnen zien. Doen we een transactie in een winkel of op de markt, dan weten u en ik wellicht ook niet elkaars naam en adres, maar wordt direct afgerekend en geleverd. Bij digitale vormen van zakendoen loopt zo n transactie anders. Maar willen we als koper toch graag onze goederen ontvangen en als verkoper natuurlijk ons geld. Dat kan fout gaan doordat iemand zich tussen u en mij heeft weten te manoeuvreren en uw of mijn identiteit probeert te misbruiken. Identiteitsfraude heeft alles te maken met een security-aanpak die niet op orde is. Natuurlijk weten we allemaal dat ieder bedrijf is geïnfecteerd met malware, maar dat wil natuurlijk nog niet zeggen dat we cybercriminelen vrij spel moeten geven. Ook in een IT-infrastructuur waarin malicious code aanwezig is, kunnen we nog altijd voorkomen dat een crimineel er met geld of intellectual property vandoor gaat. Hoe? Voor veel organisaties zou de beste aanpak weleens het uitbesteden van hun security-aanpak kunnen zijn. Zeker als het om kleinere bedrijven gaat. Weet uw systeembeheerder precies hoe een firewall moet worden afgesteld? Kan hij uit de logbestanden snel zinvolle informatie halen die een indicatie vormen dat er wellicht ongenode digitale gasten binnen de organisatie aanwezig zijn? En kan die systeembeheerder inderdaad een rol spelen als het gaat om het opleiden van de medewerkers van de organisatie en het vergroten van hun awareness? Het Voor veel organisaties zou de beste aanpak weleens het uitbesteden van hun security-aanpak kunnen zijn antwoord zal vaak luiden: neen, dat kunnen wij zelf niet meer aan. Hoe lossen we dit probleem dan op? Precies: door security geheel of gedeeltelijk uit te besteden aan partijen die hiervan hun specialiteit hebben gemaakt. Beide thema s komen in deze editie van Infosecurity Magazine bij elkaar. En als u dan toch dit magazine in handen heeft, leest u dan ook het artikel over de serious game die wij als Infosecurity Magazine samen met Insite Security lanceren. Via een bordspel (jawel geheel analoog) helpen wij u om intern de discussie over IT-security op gang te brengen. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine 2 INFOSECURITY MAGAZINE - NR. 2 - MEI

3 DATA SECURITY CONGRES 18 JUNI 2015 INHOUD DATA SECURITY CONGRES, 18 JUNI MIS HET NIET! MELDPLICHT DATALEKKEN, CLOUD, PRIVACY EN SECURITY ZIJN ALLEMAAL HOT TOPICS. MAAR WAT BETEKENT DAT VOOR DE IT-AFDELING? Kom op 18 juni 2015 naar het security congres en wij brengen u op één dag op de hoogte van de laatste ontwikkelingen op het gebied van de Meldplicht Datalekken, Cloud, Privacy en Security voor onmisbare kennis rondom deze zeer actuele onderwerpen. Op dit congres komen deskundigen aan het woord vanuit verschillende invalshoeken: juridisch, eindgebruiker, leverancier en wetenschap. Datum: 18 juni 2015 Tijd: van uur tot uur Toegang: gratis voor eindgebruikers Locatie: Endemol Studio s, MediaArena 2, 1114 BC Amsterdam-Duivendrecht SPREKERS ZIJN ONDER ANDERE: Jan Brölmann Jan is een ervaren advocaat op het gebied van IE/ICT, die met regelmaat adviseert en procedeert over de volgende juridische onderwerpen: Cloud computing, Cookies en Privacy Statements en Privacy. Jaap-Henk Hoepman Jaap-Henk is Universitair Hoofddocent privacy enhancing technologies en identity management aan de Digital Security groep van de Radboud Universiteit Nijmegen. Jaap-Henk is tevens wetenschappelijk directeur en mede oprichter van het Privacy & Identity Lab, lid van The Internet of People, voormalig lid van de Executive Board van Trust in Digital Life, voormalig voorzitter van IFIP werkgroep Pervasive Systems Security. Jamie Barnett Jamie is CMO binnen Netskope en heeft een indrukwekkende achtergrond: VP Marketing voor Zenprise, een enterpise mobility software bedrijf geacquireerd door Citrix, Senior Director Marketing voor McAfee s mobile security business unit, Vice President, Product Management en Marketing voor het distributed processing software bedrijf Blue Vector. Daarnaast heeft hij meerdere management posities mogen bekleden binnen EMC, inclusief het co-founden van een data management afdeling binnen EMC en verantwoordelijk voor de acquisitie van RSA Security. MEER INFORMATIE EN AANMELDEN: WESECURE.NL/EVENTS/INSCHRIJVEN-SECURITY-EVENT/ITEM202 Infosecurity Magazine en Insite Security organiseren Alcatraz 8 Hoe gaan we in ons dagelijks werk om met gevoelige informatie? Keer op keer blijkt dat de mens de zwakste schakel is als het om informatiebeveiliging gaat. Naast alle technische maatregelen om cybercriminelen buiten de deur te houden, is het dus van cruciaal belang om binnen het management en onder de medewerkers awareness te creëren over het belang van security. Daarom organiseren Infosecurity Magazine en Insite Security op 25 juni de serious game Alcatraz. 12 Goede IT-beveiliging van essentieel belang voor ondernemers 14 Voldoen aan Europese datalek-wetgeving nu al mogelijk 16 Security monitoring onmisbaar in de strijd tegen cyberdreigingen Organisaties moeten niet altijd alles zelf willen doen 18 Het is slecht gesteld met cybersecurity, aldus Raimund Genes, CTO van Trend Micro. Hij geeft als voornaamste oorzaak hiervan aan dat veel directies te vaak hun prioriteit leggen bij de gebruikerservaring van hun diensten en producten in plaats van de beveiliging. Security is nu eenmaal niet de core business van veel organisaties. Het hoge tempo waarin cybercriminalitieit zich ontwikkelt, vereist echter een aanpak waarin alleen volledige toewijding kans van slagen heeft, zo stelt Patrick de Goede van Eijk, Solutions Expert Security bij T-Systems Nederland. Slechte beveiliging van medische apparatuur zorgt voor grote privacyrisico s 20 Medische apparatuur is in toenemende mate verbonden met een netwerk, waardoor data eenvoudig kan worden uitgewisseld. De kans op cyberincidenten neemt hierdoor echter ook toe. Het is dan ook zorgelijk dat de IT-beveiliging van medische apparaten in Nederlandse ziekenhuizen slecht op orde blijkt te zijn. Door de medische gegevens waarmee op de apparaten wordt gewerkt, zijn de privacyrisico s groot. 39 Cloud-beveiliger CipherCloud breidt uit naar Nederland Met inzicht win je de oorlog 40 De meest succesvolle generaals zijn vaak degenen die de meeste kennis verzamelen vóór en tijdens de strijd. Zij beseffen dat het noodzakelijk is om zoveel mogelijk te weten over hun tegenstander, het slagveld en hun eigen troepen. Met die kennis verfijnen ze hun militaire tactieken en strategieën. Zonder deze kennis gaan ze de strijd onvoorbereid aan en is de kans op verlies groot. 44 Exportvergunningen zijn vaak vergeten gat in informatiebeveiliging 48 Nieuwe EU-privacywet vraagt om integrale aanpak databescherming 50 Nationale IT-Security Monitor Nog weinig consistentie in cybersecuritywetgeving 54 Online bankieren met het veiligste endpointdevice 57 Veel cybercriminelen beginnen met digitale diefstallen in games 58 Legal Look DIGITAAL ZAKENDOEN ELEKTRONISCHE IDENTITEIT: EEN NATIONALE AMBITIE 6 Op 10 en 11 juni vindt er in het Postillion Hotel in Bunnik een groot congres plaats waarin de meeste spelers in het domein van elektronische dienstverlening aanwezig zullen zijn. Aanbieders van diensten, leveranciers van middelen en vertegenwoordigers van de overheid zullen op informele wijze twee informatieve dagen met elkaar doorbrengen. Het congres Digitaal Zakendoen en eid beoogt met 700 bezoekers dan ook een moment in de ontwikkeling van de Nederlandse eid-industrie te markeren, waarbij we niet alleen kijken naar waar de toekomst ons zal brengen, maar vooral ook waar we op dit moment al goed in zijn. ESET ZIET GROEIMARKT IN MANAGED SECURITY SERVICES DE CATCH-22 VAN CLOUDAPPLICATIES 42 Cloudapplicaties zijn niet meer weg te denken uit ons dagelijks leven, en dus ook zakelijke omgevingen. De complexiteit van beheer wordt daarmee steeds groter. Want wie gebruikt nu welke cloudapplicatie en wat doet die gebruiker daar precies mee? Vragen waar IT-afdelingen vaak geen antwoord op kunnen geven, omdat ze geen grip hebben. Met als gevolg dat ze uit angst maar alle cloudapplicaties blokkeren. Of juist de kop in het zand steken. Eduard Meelhuysen, VP Sales EMEA van Netskope, ziet het dagelijks. Een gesprek over hinken op twee benen: flexibel werken mogelijk maken en veiligheid bieden. PROBEER MENSELIJKE FACTOR BIJ ICT TE VERMINDEREN Waarom zaken zelf doen als een specialist het beter en goedkoper kan? Onder dat motto hebben bedrijven in de afgelopen decennia steeds meer niet-kernactiviteiten uitbesteed aan derden. Van schoonmaak tot catering tot IT-beheer. Een relatieve nieuwkomer is security. De Managed Security Services zijn duidelijk in opkomst en security-specialist ESET speelt daarop in. Mens en machine liggen elkaar niet altijd even goed. Dat zien we bij de beveiliging van industriële omgevingen, maar ook nog steeds bij - wat heet - de kantoorautomatisering. De menselijke factor is een geducht aspect bij het waardebehoud van gegevens. Op technisch vlak is hier veel te bereiken, maar altijd in samenhang met bewustwordingsprogramma s, want iets werkt pas als mensen snappen waarom het nodig is. SPECIAAL KATERN CONGRES DIGITAAL ZAKENDOEN EN EID INFOSECURITY MAGAZINE - NR. 2 - MEI

4 EVENT Op 10 en 11 juni vindt er in het Postillion Hotel in Bunnik een groot congres plaats waarin de meeste spelers in het domein van elektronische dienstverlening aanwezig zullen zijn. Aanbieders van diensten, leveranciers van middelen en vertegenwoordigers van de overheid zullen op informele wijze twee informatieve dagen met elkaar doorbrengen. Het congres Digitaal Zakendoen en eid beoogt met 700 bezoekers dan ook een moment in de ontwikkeling van de Nederlandse eid-industrie te markeren, waarbij we niet alleen kijken naar waar de toekomst ons zal brengen, maar vooral ook waar we op dit moment al goed in zijn. Congres 10 en 11 juni in Bunnik DIGITAAL ZAKENDOEN EN ELEKTRONISCHE IDENTITEIT: EEN NATIONALE AMBITIE Accent komt te liggen op wat er op dit moment al mogelijk is, geïllustreerd aan een aantal veelzeggende praktijkvoorbeelden. Een gemeente die zijn gemeentehuis opheft, elektronische vrachtbrieven, paspoorten die aan huis geleverd worden, artsenbezoek via de webcam; allemaal voorbeelden van dienstverlening waar één of andere vorm van elektronische identiteit en authenticatie op de achtergrond een onmisbare rol speelt. Jaap Kuipers, de organisator van het congres en initiatiefnemer van Platform Identiteitsmanagament Nederland: Wie het programma bekijkt, ziet daarin weerspiegeld dat het elektronisch zakendoen in Nederland in veel branches en ketens eigenlijk al tot de standaard behoort. Maar niet het hele veld is homogeen bezig. Soms is dat vanwege de te maken investeringen, maar ook weet men niet altijd wat er te krijgen is op het gebied van diensten, producten en standaardisatie. Digitaal Zakendoen en eid, georganiseerd door Platform Identiteitsmanagement Nederland (PIMN) en ECP, levert een bijdrage om gezamenlijk hier een aantal stappen in verder te komen. STAPSGEWIJZE INNOVATIES Niet dat er de afgelopen tien jaar niets is gebeurd, integendeel. De laatste jaren is er sprake geweest van diverse stapsgewijze innovaties. Stap voor stap werden verbeteringen aangebracht in diverse sectoren door digitalisering. Soms ging dat gepaard met veel vuurwerk en tromgeroffel, maar vaak zijn elektronische toepassingen geruisloos in de mainstream terechtgekomen, gewoon omdat ze efficiënt en gebruikersvriendelijk zijn. Daarnaast lijken we ons ook steeds meer te realiseren dat Nederland in de wereld van digitale dienstverlening het bepaald niet slecht doet in vergelijking met andere landen binnen en buiten Europa. Een goede digitale infrastructuur komt onze positie en imago van internationaal handelsland ten goede, zeker als je daar onze sterke logistieke sector bij optelt. En Europa wordt steeds belangrijker. De afgelopen jaren heeft de Europese Commissie, onder de bezielende en krachtige leiding van voormalig Eurocommissaris Kroes, het digitaal één worden van de Europese markt gestimuleerd. Dat is goed voor Nederland als handelsland. Maar om deze ontwikkeling in klinkende munt om te zetten hebben we behoefte aan elektronische vertrouwensdiensten voor rechtszekerheid op internet. Hiervoor heeft de EU op 3 april 2014 de Verordening voor Elektronische Identificatie en Vertrouwensdiensten voor Elektronische Transacties in de Interne Markt vastgesteld. De verordening is al van kracht in 2016 en vervangt de huidige regels voor elektronische handtekeningen. Jaap Kuipers hierover: Nederland kan tijdens haar EU voorzitterschap in 2016 de Europese digitale handschoen oppakken en een nieuwe impuls geven. We hebben al eerder laten zien dat we als klein land belangrijke invloed in Europa kunnen hebben. Dit is een grote kans voor Nederland-Transactieland. NEDERLAND ONDERKENT BELANG Nederland onderkent het belang van digitale dienstverlening en regelt het recht op elektronisch zakendoen met de overheid per Dat is al over 2 jaar. In voorbereiding daarop stimuleert het Ministerie van Economische Zaken doorbraakprojecten met ICT, waaronder het project Massaal Digitaal. Dit project stimuleert meer digitale dienstverlening voor burgers en bedrijven. Bovenstaande ontwikkelingen komen niet uit de lucht vallen, aan veel bouwstenen wordt al jaren gewerkt. Meer dan ooit begrijpen we dat vertrouwen randvoorwaarde is voor digitaal zakendoen, partijen moeten voldoende zekerheid hebben over de (nieuwe) klant aan de andere kant. Nu het fysieke aspect bij zakendoen losser wordt (onder andere door de smart phone en plaatsonafhankelijke dienstverlening), wordt het voldoende betrouwbaar en verifieerbaar kunnen vaststellen van de online identiteiten van de transactiepartners een randvoorwaarde. Technische middelen daarvoor komen als paddenstoelen uit de grond. Jaap Kuipers Digitaal Zakendoen & eid gaat spelers helpen om hierin hun weg te vinden, zodat oplossingen gevonden worden die passen bij een bepaalde dienstverlening. CONFERENTIES, WORKSHOPS EN SEMINARS Het congres Digitaal Zakendoen & eid bestaat uit twee conferenties en een 11-tal workshops en seminars. Onderwerpen lopen uiteen van strategie en beleid, tot uitvoering en standaardisatie. Brede overzichten zullen gegeven worden door onder andere Digicommissaris Bas Eenhoorn en Elly Plooij (voorzitter van e-stelselraad, het Strategisch Beraad voor eherkenning). Naast grote trends en ontwikkelingen wordt er ook ingegaan op stand van zaken en dagelijkse praktijk van vertrouwensdiensten en eid in Nederland, zoals elektronische identiteiten in de praktijk, het stelsel, standaardisatie, best practices en de rol van de overheid. Een meer praktijkgerichte invalshoek wordt behandeld door middel van onderwerpen zoals vertrouwen en veiligheid, fraudepreventie en -detectie, privacy, Max Snijder wetgeving, sociale adoptie bij digitaal zakendoen en plaatsonafhankelijk werken. Behalve luisteren kunnen deelnemers ook actief meepraten in de 11 workshops en seminars, die verspreid plaatsvinden over de twee dagen. Wie graag van dichtbij wil zien hoe bepaalde producten en diensten werken is er de Mini Expo, een laagdrempelige expositie van bedrijven en dienstverleners. Dat Nederland toe is 'Nederland kan tijdens haar EU-voorzitterschap in 2016 de Europese digitale handschoen oppakken en een nieuwe impuls geven' aan een dergelijk verbindend evenement is duidelijk: de respons is groot en daarmee ook de verwachte opkomst. Kaarten zijn beperkt beschikbaar, dus reserveer snel. Max Snijder is medeorganisator van Digitaal Zakendoen en eid MEER INFORMATIE EN KAARTEN: zie het speciale katern in het hart van Infosecurity Magazine. 6 INFOSECURITY MAGAZINE - NR. 2 - MEI

5 SERIOUS GAME ALCATRAZ Deelnemers spelenderwijs bewust maken van belang veilig werken INFOSECURITY MAGAZINE EN INSITE SECURITY ORGANISEREN ALCATRAZ Ik ben zeer blij dat we deze game hebben kunnen spelen. De game daagt je uit om aan de slag te gaan met informatieveiligheid. Het werd precies duidelijk wat een medewerker echt nodig heeft om verder te kunnen met het thema informatieveiligheid - Michel Wekema, Security Officer provincie Groningen Hoe gaan we in ons dagelijkse werk om met gevoelige informatie? Keer op keer blijkt dat de mens de zwakste schakel is als het om informatiebeveiliging gaat. Naast alle technische maatregelen om cybercriminelen buiten de deur te houden, is het dus van cruciaal belang om binnen het management en onder de medewerkers awareness te creëren over het belang van security. Daarom organiseren Infosecurity Magazine en Insite Security op 25 juni de serious game Alcatraz. Informatiebeveiliging lijkt vaak een technische zaak. Toch ontstaan 70 procent van alle informatie-incidenten door menselijk handelen. Soms is men simpelweg niet op de hoogte van de procedures, in andere gevallen kent men die wel maar geeft het management niet altijd het juiste voorbeeld. Het kan ook zijn dat men zich niet bewust is van het feit dat social engineering wordt toegepast of maakt men elementaire fouten door te eenvoudige wachtwoorden te gebruiken of deze niet regelmatig te wijzigen. UITDAGEN EN STIMULEREN Daarom organiseren Infosecurity Magazine en Insite Security de serious game Alcatraz. De game is een effectief instrument om deze zwakke schakel in de informatiebeveiliging te versterken. Deelnemers worden uitgedaagd om zich OVER INSITE SECURITY Insite Security wil de IT security-dienstverlening fundamenteel veranderen. We willen ervoor zorgen dat privacy vanzelfsprekend is, onze klanten veilig zaken doen via internet en zich kunnen richten op waar ze goed in zijn. We doen dit door mens, organisatie en techniek met elkaar te verbinden. uit te spreken over de staat van informatieveiligheid binnen hun organisatie. De game stimuleert om na te denken over kwetsbaarheden en de manier waarop deze kunnen worden aangepakt. Alcatraz betrekt de deelnemers bij informatieveiligheid en creëert zo draagvlak voor beleid en maatregelen. De game helpt van de mens als zwakke schakel juist de sterkste schakel te maken. Zeg maar: the human firewall. INFORMATIEVEILIGHEID VERGROTEN Een puur technische of een uitsluitend organisatorische benadering van informatieveiligheid is niet voldoende. Het beveiligingsbewustzijn van de mens (de awareness ) zou juist het startpunt moeten zijn. Informatiebeveiliging is pas echt veilig als de mensen op de juiste manier omgaan met zowel de technische als de organisatorische maatregelen. Het gedrag van mensen bepaalt uiteindelijk hoe veilig informatie is. brengt het onderwerp informatieveiligheid tot leven brengt het verbeterpotentieel in kaart legt de basis voor een actieplan met verbeterpunten en concrete maatregelen VOOR WIE? Alcatraz is een serious game voor iedereen: het management, een afdeling, een projectgroep of nieuwe medewerkers. Op 25 juni spelen we de game met individuele spelers. Iedereen die werkzaam is bij middelgrote en grote organisaties kan aan de game deelnemen. De deelnemers komen op een leuke en innovatieve manier meer te weten over informatieveiligheid. Door het spelen van de game wordt duidelijk welke kritische succesfactoren en aandachtspunten er in uw organisatie zijn, om de informatieveiligheid succesvol te vergroten. DE GAME Alcatraz is een bordspel. Tijdens het spelen gaan de deelnemers aan de hand van stellingen over informatieveilig gedrag met elkaar in gesprek. De stellingen zijn onderverdeeld in drie niveaus: organisatie, management en medewerker. Per stelling wordt een oordeel gevraagd over de huidige én de gewenste staat. Deze scores worden genoteerd en vervolgens besproken. De deelnemers ontdekken in korte tijd hoe andere personen naar de verschillende aspecten van informatieveiligheid kijken. Zo wordt het verbeterpotentieel in de organisatie zichtbaar en ontstaat er draagvlak voor verbeteringen. HET RESULTAAT Het resultaat van de game: Meer (gedeelde) kennis over informatieveiligheid Hoger niveau van veiligheidsbewustzijn Inzicht in concrete verbeterpunten Basis voor een actieplan met verbeterpunten en concrete maatregelen 'Op 25 juni spelen we de serious game Alcatraz met individuele spelers. Iedereen die werkzaam is bij middelgrote en grote organisaties kan deelnemen' WAT IS ALCATRAZ? In de game Alcatraz - een bordspel met vragen en stellingen - wordt besproken wat er nodig is om informatieveilig gedrag blijvend te stimuleren. De game: maakt deelnemers bewust wat informatieveilig werken is - als individu, als management maar ook als organisatie als geheel MEER WETEN OF AANMELDEN? We spelen Alcatraz op 25 juni in Amsterdam Aantal deelnemers: maximaal 42 Tijdsduur: 2 tot 4 uur Spelvorm: interactief bordspel Meer weten? Vraag het aan Robbert Hoeffnagel: robbert@fenceworks.nl of Aanmelden: 8 INFOSECURITY MAGAZINE - NR. 2 - MEI

6 MANAGED SECURITY SERVICES ESET ZIET GROEIMARKT IN MANAGED SECURITY SERVICES Bij managed services gaat het uiteindelijk om ontzorging, zegt Dave Maasland, managing director van ESET Nederland. Met name technologie is de afgelopen jaren steeds complexer geworden. Dat Dave Maasland Waarom zaken zelf doen als een specialist het beter en goedkoper kan? Onder dat motto hebben bedrijven in de afgelopen decennia steeds meer niet-kernactiviteiten uitbesteed aan derden. Van schoonmaak tot catering tot IT-beheer. Een relatieve nieuwkomer is security. De Managed Security Services zijn duidelijk in opkomst en security-specialist ESET speelt daarop in. maakt het voor bedrijven zeker in het mkb moeilijk om bij te blijven qua kennis en techniek. De managed-serviceproviders zijn in die markt gesprongen en spelen in op de behoefte aan kennis en expertise. Dat geldt nu ook voor security-services, waarbij het op dit moment vooral gaat om bepaalde security-software die je als managed service afneemt. AWARENESS Maasland waarschuwt er wel voor dat uitbesteding van security kan leiden tot minder interne aandacht voor security. Dat is uiteraard niet de bedoeling. Ook als je je security uitbesteedt, moet je je medewerkers scherp blijven houden. Zij moeten altijd attent zijn op verdachte s of andere aanvalsmiddelen. Er mag niet het beeld ontstaan, dat de verantwoordelijkheid voor de beveiliging uitsluitend bij de serviceprovider ligt. Iedere medewerker in de organisatie moet zich dagelijks bewust zijn van mogelijke gevaren. Onlangs nog bleek dat maar liefst 23 procent van de medewerkers op een dubieuze link in een phishingmail klikt. Daarnaast is het volgens Maasland belangrijk dat klant en MSP regelmatig met elkaar overleggen. Uitbesteding betekent afstand. Dat mag niet leiden tot out of sight, out of mind. Beleg regelmatig een sessie om te kijken hoe het gaat en hoe de beveiliging nog weer een trapje hoger kan. Die advieskant is goed door de MSP op te pakken. MSP s hebben de potentie om zich meer te profileren als een echte sparringpartner, waarbij ze hun klanten helpen de bedrijfsdoelstellingen en ambities te realiseren. HEILIGE GRAAL? Managed security services hebben beslist grote voordelen, zeker voor kleine en middelgrote bedrijven. Dat is ook een van de redenen waarom ESET als een van de eerste security-leveranciers een speciaal programma in het leven riep voor managed security services. Maar beschouw ze ook weer niet als de heilige graal, benadrukt Maasland. Op het gebied van security is er geen one size fits all. Kijk dus goed wat bij je past. Er zijn veel mkb-bedrijven met een heel beperkte complexiteit als het om IT gaat. Zij zijn in de regel in staat om hun beveiliging met lokale oplossingen zelf op orde te houden. Aan de andere kant zijn er mkb-bedrijven, die al snel in de categorie vallen waarin de complianceregels binnenkort strikter worden. Als je meer dan vijfduizend klantrecords beheert, moet je in de toekomst bijvoorbeeld een datalek officieel melden. Voor deze bedrijven kan een managed service wel een goede keus zijn om de continuïteit te waarborgen. Voor grote bedrijven kunnen managed services ook interessant zijn, ondanks dat deze organisaties in de regel geneigd zijn veel zelf te doen. Maasland: Zij kunnen bijvoorbeeld een specifieke deeltaak zoals toezicht op data uitbesteden aan MSP. VOORDELEN Volgens Maasland hebben managed security services voordelen op de korte en de lange termijn. Op de korte termijn heb je de quick wins van up-to-date software, doordat de MSP je patches en dergelijke uit handen kan nemen. Up-to-date software is de basis van ieder beveiligingsbeleid, omdat het de kwetsbaarheid van systemen vermindert. Daarnaast creëer je op de langere termijn meer inzicht in je omgeving. Een MSP monitort je systemen 24x7, wat veel informatie oplevert en rust creëert. Daarnaast bouwt een MSP zijn dienstverlening continu uit met nieuwe oplossingen die inspelen op opkomende bedreigingen. Cybercriminelen blijven zoeken naar nieuwe aanvalsmiddelen. Zo zie je steeds meer malware die zich eerst lang verstopt op een systeem om pas later toe te slaan. Dat vereist andere opsporingstechnieken. Daar kan een MSP goed in voorzien. SELECTIE Hoe weet je of een MSP betrouwbaar is? Maasland: Het is uiteraard verstandig om niet met de eerste de beste MSP in zee te gaan. Om te beginnen is het raadzaam om te kijken welke tools hij inzet. Zijn het tools van de bekende en gerenommeerde security-vendors? Kijk vervolgens of de MSP volledig gecertificeerd is door zijn vendor. Elke MSP kan een beveiligingsdienst verkopen, maar implementeren en onderhouden is een ander verhaal. ESET gaat bijvoorbeeld alleen in zee met MSP s met tenminste twee gecertificeerde mensen voor onze producten. Zo weet een eindklant dat hij de kwaliteit krijgt die hij verwacht. TRENDS 2015 VOLGENS ESET Volgens ESET zijn dit belangrijkste security-trends voor 2015: Een toename van de Advanced Persistent Threats (APT). Deze zijn doelgericht en bijna niet te traceren. Dat vereist continue aandacht voor onregelmatige of afwijkende gedragingen in het netwerk en applicaties. Social engineering als belangrijkste aanvalsvector. Continue bewustwording binnen de organisatie blijft daarom cruciaal. Social engineering wordt steeds geavanceerder en vraagt om awareness op alle niveaus binnen de organisatie. Betalingssystemen in de retail blijven kwetsbaar voor zero day-aanvallen. Er zijn diverse voorbeelden van grote, bekende winkelketens waar betaalpasinformatie werd gestolen door het vervangen van betaalterminals of het skimmen van betaalpassen. Toename van ransom-ware. Cybercriminelen infecteren een systeem en versleutelen alle bestanden. Na betaling van losgeld krijgt de gebruiker de bestanden volgens de cybercriminelen terug, maar in veel gevallen gebeurt dat niet. Het Internet of Things biedt een heel nieuw perspectief voor kwaadwillenden. De eerste voorbeelden zijn al bekend: de elektrische sportwagen van Tesla werd gehackt en smart-tv s blijken backdoors te hebben die ook voor hackers interessant kunnen zijn. MSP-AANPAK VAN ESET ESET beschouwt de managed services-markt als een groeimarkt. Daarom ontwikkelde het als een van de eerste security-vendors een speciaal programma voor MSP s. Het programma voorziet in een flexibel maandelijks abonnement waarbij licenties heel gemakkelijk te upen downgraden zijn. Alle beheer is gebruiksvriendelijk uit te voeren op basis van ESET Remote Administrator. Maasland: Daarnaast kan een MSP terugvallen op onze support, vanuit Nederland en in het Nederlands. Dat zorgt voor korte lijnen en dat is zeker in geval van een grootschalig incident een prettig idee. 10 INFOSECURITY MAGAZINE - NR. 2 - MEI

7 MANAGED SECURITY SERVICES Thijs van Puijenbroek, TvP Automatisering: GOEDE IT-BEVEILIGING VAN ESSENTIEEL BELANG VOOR ONDERNEMERS Ondernemers zijn goed in hun vak. En succesvolle ondernemers zijn daarnaast ook nog goed in ondernemen. Maar ondernemers kunnen niet overal goed in zijn. Evenmin kunnen zij overal verstand van hebben. Een psycholoog met een psychologiepraktijk is geen IT-specialist. Toch is zijn praktijk afhankelijk van een goed werkende IT. Bovendien beschikt hij over een archief met dossiers waarin de meest persoonlijke informatie staat over zijn cliënten. Een goede IT-beveiliging is dan ook van essentieel belang voor hem. Maar hij heeft helemaal geen verstand van computers, laat staan over de nieuwste manieren waarop cybercriminelen malware en phishing inzetten om zijn bankgegevens te achterhalen en de social engineering die zij gebruiken om via zijn Facebook-gebruik zijn zakelijke server binnen te komen. En dus moet hij vertrouwen op een partij die dit voor hem in orde brengt en houdt. De hier beschreven psychologiepraktijk is één van de klanten van Thijs van Puijenbroek, eigenaar van TvP Automatisering. Tot voor kort hielp hij deze klant door beveiligingssoftware op de pc s van de praktijk te installeren en op gezette tijden via de management server, waar hij vanuit zijn eigen kantoor toegang toe had, te controleren of alle instellingen nog klopten, alle patches en updates waren geïnstalleerd en, niet onbelangrijk, of er virusmeldingen waren. Maar de psychologenpraktijk was niet de enige klant van TvP. Zo was er ook het advieskantoor dat gemeenten bijstaat. Deze organisatie stuurt werknemers met hun laptop naar gemeenten toe om daar enkele weken te werken en daar tot een advies te komen. Het zou voor deze ondernemer een flinke flater zijn als één van zijn werknemers door een slechte IT-beveiliging het gehele netwerk van de betreffende gemeente zou infecteren. Ook deze klant had dus groot belang bij een goede beveiliging. En het bleek nogal eens mis te gaan met het uitrollen van patches en het installeren van updates op de laptops van het bedrijf. Bij TvP constateerde men dat telkens pas op het moment dat ze kans en tijd hadden om in te loggen op de management server van deze klant. G DATA MANAGED SERVICES Van Puijenbroek kaartte dit probleem aan bij zijn vaste IT Security-partner, G DATA. Gelukkig was G DATA al aan de ontwikkeling begonnen van een oplossing die deze problematiek in één klap zou verhelpen. Hij besloot dan ook om direct in de beta-fase van het project in te stappen en werd TvP Automatisering zo de eerste automatiseerder in Nederland die G DATA Managed Services aanbood. Inmiddels werkt TvP een jaar met G DATA Managed Services en Van Puijenbroek kan de voordelen bondig samenvatten: Met G DATA Managed Services hebben wij in één oogopslag het overzicht van de beveiligingsstatus bij al onze klanten. En daarmee raakt hij aan de kern van de waarde van Managed Services. De eindgebruiker, die geen IT-expert is en misschien zelfs een lichte afkeer heeft van IT, hoeft helemaal niets meer te doen nadat de software op zijn pc s is geïnstalleerd. Zelfs als de gebruiker per ongeluk op een verkeerde knop drukt en zo bijvoorbeeld de firewall uitschakelt, is dat geen groot probleem. Een dergelijke veranderde instelling wordt namelijk onmiddellijk gemeld in de centrale management server, waarin de systemen van alle klanten van TvP in één overzicht worden weergegeven. Van Puijenbroek kan dan direct ingrijpen en levert zo in plaats van een reactieve een proactieve service. Voorheen moesten we echt inloggen op de management server van een bepaalde klant als we wilden kijken of alles in orde was. Dat doe je niet meerdere keren op een dag als je tientallen klanten hebt, dat is eenvoudigweg onmogelijk. Dat heeft in het verleden wel eens vervelende gevolgen gehad. Eén van mijn klanten had per ongeluk bepaalde instellingen van de beveiligingssoftware aangepast. Hierdoor was het beveiligingsniveau onbedoeld sterk naar beneden bijgesteld. Na deze aanpassing opende een van de medewerkers van de klant een met bijlage en kon een virus het systeem besmetten. Ik heb de besmetting pas de volgende dag opgemerkt, toen het tijd was voor mijn dagelijkse controle van hun systemen. Het virus had toen al uren vrij spel gehad. De klant was hier niet blij mee. En ik kon de eindgebruiker ook niet de schuld geven, zijn kennisniveau was te laag om te begrijpen dat hij zelf een fout maakte. Het gevolg was echter dat we een tijd bezig waren om het systeem te ontsmetten. Mijn klant kon in die tijd zijn klanten niet bedienen. Kortom: economische schade voor ons beide. RAMPEN VOORKOMEN Hij vervolgt: Uiteindelijk heeft deze klant nog geluk gehad: in plaats van een irritant, maar niet al te schadelijk virus, had ook een hacker op het systeem kunnen binnendringen en daar alle gegevens over en van zijn klanten kunnen stelen. Een dergelijk datalek levert een bijna permanente reputatieschade op. Met Managed Services behoren dat soort problemen tot het verleden. Onze medewerkers hebben de centrale management server altijd als we achter de pc zitten open staan en zo zien we dus in real-time wanneer er iets mis gaat bij Met G DATA Managed Services hebben wij in één oogopslag het overzicht van de beveiligingsstatus bij al onze klanten één van onze klanten. Ik kan dit overzicht zelfs op mijn mobiel zien, dus ook als ik onderweg ben, kan ik alles in de gaten houden. Als het nodig is, kan ik dus direct, proactief inspringen en een rampscenario afwenden. Van de redactie 12 INFOSECURITY MAGAZINE - NR. 2 - MEI

8 MANAGED SECURITY SERVICES Nieuwe technologie van Nederlandse bodem VOLDOEN AAN EUROPESE DATALEK-WETGEVING NU AL MOGELIJK Op Europees niveau is nieuwe regelgeving in de maak over de meldplicht bij het lekken van data. Er wordt momenteel hard gewerkt aan de General Data Protection Regulation. In het Nederlands: de Algemene verordening gegevensbescherming. In de verordening staat een algemene verplichting tot het melden van datalekken. Deze nieuwe Europese verordening zou boven onze wet gaan. Dus ook boven de nieuwe Nederlandse wet die in de maak is. Technologie van Nederlandse bodem biedt nu al de bescherming welke organisaties nodig hebben om zich te wapenen tegen datalekken. Het niet melden kan behoorlijk worden bestraft op grond van de nieuwe verordening: A fine with a minimum of EUR or up to 5% of the annual worldwide turnover in case of an enterprise, whichever is greater. De nieuwe regelgeving is in de maak. Dit betekent echter niet dat de verordening ook morgen van toepassing is in Nederland. Een Europese verordening heeft rechtstreekse werking, wat zoveel betekent als dat de regelgeving niet eerst omgezet hoeft te worden in een Nederlandse wet. Wel krijgen de lidstaten na vaststelling van de verordening eerst twee jaar de tijd om de eigen wetgeving in lijn te brengen met een nieuwe Europese verordening. Naar verwachting praten we dan over Wanneer gaan die twee jaar dan in? Op 12 maart 2014 heeft het Europese Parlement vóór de hervorming van de gegevensbescherming gestemd. Wat gebeurt er nu verder? To become law the proposed Regulation has to be adopted by the Council of Ministers using the ordinary legislative procedure (co-decision). Hoe deze medebeslissingsprocedure (codecisie) er precies uitziet, is vrij complex. Als alles heel voorspoedig verloopt, kan de verordening in 2016 aangenomen worden. De vraag is nu: heeft het zin om onze (afwijkende) meldplicht op te tuigen en in te voeren om de tijd te overbruggen tussen nu en de inwerkingtreding van de meldplicht? Zowel de huidige richtlijn (95/46/ EC) als de toekomstige verordening maken namelijk geen onderscheid tussen lekken met of zonder ernstige nadelige gevolgen. Dit onderscheid is wel opgenomen in het wetsvoorstel. NEDERLANDSE TECHNOLOGIE Met technologie van KeyTalk zijn organisaties in staat om zich te wapenen tegen een aantal hardnekkige digitale aanvallen die de grondslag kunnen zijn voor deze zogenaamde datalekken. Het in Nederland gevestigde bedrijf is actief met geautomatiseerde distributiesystemen van zogeheten short lived digital certificates. Deze technologie geeft een significante verbetering van de online security, met name op het gebied van bescherming tegen phishing, sniffing, anonieme brute force-aanvallen en man-in-the-middle bedreigingen. Bovendien biedt KeyTalk hiermee mogelijkheden om de kosten van authenticatie te verlagen, terwijl het gebruik voor zowel de enduser als de administrator veel eenvoudiger wordt. Certificaat-technologie met sterke cryptografische sleutels zoals te vinden op smartcards is nog steeds de meest veilige manier om data-in-motion en toegang tot netwerken te beschermen tegen niet geautoriseerde personen, aldus Michael van der Sman, CIO bij KeyTalk. Het grote nadeel was altijd het beheer: aanmaken, (her)uitgifte en revocatie. Vooral het tijdig melden van verloren Michael van der Sman certificaten met bijbehorende private key om misbruik en daarmee datalekken tijdig te voorkomen, blijft voor beheerders een heikel punt. Door gebruik te maken van kortlevende certificaten met sterke asymmetrische sleutels, hoef je je als bedrijf geen zorgen te maken over tijdige melding van verlies. Het certificaat verloopt immers al voordat interne procedures vereisen dat je dit meldt, of voordat Certificate Revocation Lists worden geupdate. Het kostte KeyTalk tien jaar om deze technologie tot het huidige niveau te ontwikkelen. Oorspronkelijk was deze technologie slechts beschikbaar voor banken Door gebruik te maken van kortlevende certificaten met sterke asymmetrische sleutels, hoef je je als bedrijf geen zorgen te maken over tijdige melding van verlies die hun online omgeving optimaal wilden beveiligen. Vandaag de dag is KeyTalk beschikbaar voor alle organisaties die hun IT-security goed op orde willen hebben. Met de door het bedrijf ontwikkelde app transformeert een organisatie alle servers, smartphones, tablets, desktops, laptops en Internet of things devices in wat het noemt trusted devices. KeyTalk wordt gebruikt bij klanten zoals ForFarmers, Canon Oce en Marel. Bij deze organisaties is het essentieel dat de online security optimaal is. Deze organisaties zijn mede hierdoor compliant als het gaat om maatregelen met betrekking tot deze nieuwe Europese wetgeving. Carmen Portocarero, CEO van KeyTalk: Als jurist en in mijn rol van general councel weet ik wat er binnen een organisatie komt kijken als het gaat om privacy, data security en dergelijke. Na mijn functie als directeur bij AT&T vind ik het als CEO van KeyTalk een uitdaging om organisaties te ondersteunen op het raakvlak van technologie & wetgeving. De technologie van KeyTalk gaat naar mijn mening een heel grote rol spelen in het kader van de EU-regelgeving. Meer informatie vindt u op keytalk.com Van de redactie 14 INFOSECURITY MAGAZINE - NR. 2 - MEI

9 MANAGED SECURITY SERVICES SECURITY MONITORING ONMISBAAR IN DE STRIJD TEGEN CYBERDREIGINGEN een kwaadwillende niet meer maanden de tijd om een kwetsbaarheid uit te nutten. Bovendien gebruiken we bij security monitoring de meest actuele dreigingsinformatie en intelligentie afkomstig uit een veelvoud van bronnen om te voorkomen dat organisaties slachtoffer worden van een nieuw type aanval of malware. Organisaties hebben constant te maken met digitale dreigingen die onder andere kunnen leiden tot dataverlies, privacy-schending en grote financiële schade. Om deze dreigingen tegen te gaan, maken de meeste organisaties gebruik van preventieve maatregelen, zoals firewalls en IDS. De hoeveelheid eventgegevens die hieruit voortkomt is echter zo ontzettend groot geworden, dat bedrijven er niet aan toe komen om alle data zelf handmatig te analyseren. Het is daardoor vaak niet duidelijk of de preventieve maatregel die is getroffen, ook daadwerkelijk werkt. Daarnaast is het voor organisaties moeilijk om gekwalificeerd personeel te werven en om kennis bij te blijven spijkeren over informatiebeveiliging, omdat deze snel veroudert. Het uitbesteden van technische informatiebeveiliging kan hiervoor een oplossing zijn. Sincerus, consultancybedrijf op het gebied van informatiebeveiliging, is daarom CyberMonitor gestart. CyberMonitor bewaakt continu de inen externe cyberdreigingen waarmee bedrijven te maken hebben. Hiervoor worden specialistische software en getrainde analisten ingezet. Kritieke systemen en bedrijfsapplicaties worden 24 uur per dag geanalyseerd. Aanvallen en malware-infecties worden gesignaleerd en (ongeautoriseerde) wijzigingen in de infrastructuur worden gecontroleerd. Hierdoor kan er snel actie worden ondernomen en wordt de kans op financiële en imagoschade sterk gereduceerd. Daarnaast bewaakt CyberMonitor toegekende autorisaties en het gebruik ervan, zodat hierover kan worden gerapporteerd in het kader van wet- en regelgeving. Vaak had digitale schade voorkomen kunnen worden, door gebruik te maken van real-time security monitoring, zegt Peter Westerveld, directeur bij Sincerus. Maar er wordt meestal pas veel te laat naar security gekeken. Veel bedrijven denken dat ze niks te verbergen hebben, maar je hebt wel altijd wat te beschermen. CyberMonitor werkt niet reactief, zoals firewalls en virusscanners, maar juist proactief. Continu monitoren is belangrijk omdat het gemiddeld 229 dagen duurt voordat een securitylek wordt ontdekt, aldus Westerveld. Door gebruik te maken van security monitoring, heeft FINANCIEEL HAALBAAR Sincerus heeft jarenlange ervaring met SOC- en SIEM-projecten voor grote multinationals. Hieruit bleek dat middelgrote bedrijven ook behoefte hebben aan Security Information and Event Monitoring (SIEM). Hoewel deze organisaties zich steeds meer bewust zijn van digitale gevaren, is security niet de core business. Deze bedrijven zijn vaak ook financieel niet in staat om te voorzien in de benodigde middelen en getrainde analisten om security monitoring zelf in te richten. SIEM software installeren op een server is nog niet het meest ingewikkelde. Het gaat er uiteindelijk om wat je ermee doet, aldus Westerveld. Door gebruik te maken van een shared service center als CyberMonitor, hoeven bedrijven niet te investeren in hardware, software en personeel. Wel kan er geprofiteerd worden van goed opgeleide security analisten met een schat aan ervaring. Sincerus is al ruim tien jaar werkzaam binnen de informatiebeveiliging en heeft vele specialisten in dienst. Wij beschikken dus over alle benodigde middelen en expertise, zegt Westerveld. Al deze kennis wordt ingezet in het Security Operations Center (SOC). Hierdoor is real-time security monitoring niet langer alleen voor grote ondernemingen financieel haalbaar, maar ook voor het midden- en kleinbedrijf, decentrale overheden en de publieke sector. DATA VALT ONDER NEDERLANDSE WETGEVING In tegenstelling tot veel grote aanbieders van security monitoring, opereert Sincerus met CyberMonitor vanuit een in Nederland gevestigd SOC. Vanuit dit SOC worden continu kritieke systemen en bedrijfsapplicaties geanalyseerd. Veel grote aanbieders van cyber monitoring werken vanuit centra die gevestigd zijn in Aziatische landen, maar wie hebben er allemaal toegang tot de data die daar wordt gemonitord? Dit is een angst die tegenwoordig bij veel bedrijven heerst. Het Door gebruik te maken van een shared service center als CyberMonitor, hoeven bedrijven niet te investeren in hardware, software en personeel is voor organisaties erg belangrijk dat alle data in Nederland blijft. Doordat CyberMonitor gebruikmaakt van een Nederlands SOC, worden alle handelingen, zoals de datalogging van bedrijven, door Nederlandse professionals uitgevoerd. Data wordt in Nederland gemonitord en bestudeerd en valt onder de Nederlandse wetgeving. BEHOUD VAN REGIONAAL TALENT Sincerus verplaats haar CyberMonitor-activiteiten van Zwolle naar Enschede. Op 3 juni wordt het SOC in Enschede officieel geopend. De keuze voor een SOC in Enschede is niet bepaald toevallig. We zoeken aansluiting bij de Universiteit Twente en Saxion Hogescholen, zegt Westerveld. Beide opleidingsinstituten hebben een opleiding op het gebied van informatica en informatiebeveiliging. Wij hebben continu goed opgeleide mensen nodig die ons SOC kunnen versterken. Door het SOC in Enschede te openen, kunnen we de aanwas van goed personeel van opleidingen in Nederland garanderen, aldus Westerveld. Tevens creëren we werkgelegenheid die aansluit bij deze opleidingen, waardoor we mensen in de regio behouden. Al met al kan het uitbesteden van informatiebeveiliging en het gebruikmaken van real-time monitoring de schade door digitale dreigingen tot een minimum beperken. Tot op heden werd in 67 procent van de gevallen dat er een lek werd ontdekt het betreffende bedrijf hiervan op de hoogte gesteld door een extern beveiligingsbedrijf. Westerveld: Met de introductie van CyberMonitor creëren wij een volledig sluitend portfolio op het gebied van beveiliging. Hier hebben klanten veel profijt van. Mocht CyberMonitor een dreiging ontdekken, dan kan het betreffende bedrijf zich ook verder beroepen op de specialisten van Sincerus. 16 Peter Westerveld INFOSECURITY MAGAZINE - NR. 2 - MEI

10 MANAGED SECURITY SERVICES Het goed beveiligen van IT is geen eenvoudige opgave. Het tempo waarin cybercriminelen innoveren met nieuwe aanvalstechnieken ligt hoog. Een set-and-forget-strategie gaat voor security dan ook niet op. Het installeren van voorzieningen als een firewall, monitoringsysteem en intrusion detection system (IDS) alleen is niet genoeg. Security vereist continue aandacht. Daarbij doel ik niet alleen op de security-voorzieningen. IT ers moeten hun kennis ook voortdurend bijspijkeren. ZWARE WISSEL Dat legt een zware wissel op de IT-verantwoordelijken van een organisatie. Allereerst moeten zij op operationeel vlak Managed security services essentieel in bestrijding cybercriminaliteit ORGANISATIES MOETEN NIET ALTIJD ALLES ZELF WILLEN DOEN Het is slecht gesteld met cybersecurity, aldus Raimund Genes, CTO van Trend Micro. Hij geeft als voornaamste oorzaak hiervan aan dat veel directies te vaak hun prioriteit leggen bij de gebruikerservaring van hun diensten en producten in plaats van de beveiliging. Security is nu eenmaal niet de core business van veel organisaties. Het hoge tempo waarin cybercriminalitieit zich ontwikkelt, vereist echter een aanpak waarin alleen volledige toewijding kans van slagen heeft, zo stelt Patrick de Goede van Eijk, Solutions Expert Security bij T-Systems Nederland. de nodige maatregelen nemen om de IT-beveiliging op orde te houden. Iedere dag weer. Denk aan het monitoren van de gehele IT-infrastructuur en het updaten van software. Daarnaast moeten IT ers doorlopend aan de strategie sleutelen. Beveiligingsstrategieën verouderen immers snel. Wat vandaag goed werkt, is morgen alweer achterhaald of zelfs ronduit gevaarlijk. De IT-afdeling voert altijd een ratrace met een onzichtbare vijand die vaak sterker, slimmer en sneller is dan zij. Die continue aandacht vereist veel en gespecialiseerde kennis. Niet alle bedrijven hebben dat in huis. Of willen het niet in huis halen. Want goed geschoold, gekwalificeerd personeel is duur. Goede IT ers zijn schaars, laat staan goede IT ers met de nodige kwalificaties en diploma s om zich een volwaardig security-expert te noemen. Toch is dat hoge kennisniveau tegenwoordig hoognodig. Firewalls, intrusion detection systemen en monitoring-tools zijn pas waardevol in de handen van ervaren experts. Ook zien we dat bedrijven er moeite mee hebben om gecertificeerde security-experts te behouden. Zij zijn zeer gewild. Zie ze dan maar eens vast te houden. In die zin is het outsourcen van security een logische stap. De kosten ervan liggen doorgaans lager dan het aannemen, scholen en behouden van eigen personeel. UIT ONVERWACHTE HOEK Toch is die voor de hand liggende kostenbesparing volgens De Goede van Eijk niet de enige factor die een bedrijf in overweging moet nemen bij een mogelijke outsourcing van de beveiliging. Natuurlijk zijn personeelskosten een grote, voorspelbare factor die outsourcing kan wegnemen. Maar vergeet niet wat de ware kosten zijn als bijvoorbeeld je inhouse security-monitoring het begeeft, waardoor een cyberhack plaatsvindt. Terwijl de hack met een 24/7-montoringdienst voorkomen had kunnen worden. Security is nooit een kwestie van alleen preventieve kosten. Bovendien levert outsourcing in veel situaties productiviteitswinst op. Medewerkers worden ontlast van taken, waardoor zij tijd kunnen vrijmaken voor productie, innovatie of al wat op lange of korte termijn geld oplevert. De winst komt vaak juist uit onverwachte hoek. Security is voor een managed security provider de kerntaak. Dankzij een breed klantenportfolio opereren deze providers in veel verschillende branches, waardoor zij ervaring hebben met allerlei scenario s. Ze hebben dus zowel in theorie als in de praktijk een brede blik op cybersecurity. Die combinatie van focus en brede ervaring is erg waardevol in de strijd tegen cybercrime. Daar is het als organisatie lastig tegen opboksen, want security is nu eenmaal vrijwel nooit core business. Bedrijven moeten dat durven toegeven, zij moeten vooral doen waar ze goed in zijn. We kennen voldoende praktijkvoorbeelden van bedrijven die zelf hun security regelen en waarbij het behoorlijk is misgegaan. Een goed voorbeeld daarvan is Sony Pictures Entertainment. De beveiligde werkomgeving, zie zij in eigen beheer hebben, werd begin december vorig jaar slachtoffer van een hack. Het resultaat was dat de medewerkers dagenlang geen toegang hadden tot applicaties. De security-experts van FireEye hebben vervolgens het netwerk doorgelicht op lekken en de schade uiteindelijk hersteld. Dat was voor Sony dus een harde en dure les. FRISSE BLIK Een managed security provider is niet alleen op uitvoerend niveau van waarde. Zij kunnen ook op strategisch gebied ondersteuning bieden door met een objectieve blik naar de aanwezige voorzieningen te kijken. We zien vaak dat organisaties in de loop der tijd beschikken over meerdere hardware- en softwareoplossingen die allemaal hetzelfde probleem oplossen. Door hierin te snijden, kunnen organisaties aanzienlijke kostenbesparingen realiseren. Of ze hanteren bepaalde procedures die niet echt of zelfs helemaal niet meer effectief zijn. Daardoor loopt een organisatie onnodige risico s. Een provider kan helpen bij het bouwen van een meer samenhangende, geïntegreerde omgeving. Die frisse blik is bij organisaties dikwijls erg welkom. Bovendien levert een managed security provider sommige diensten op een niveau dat in-house niet of nauwelijks haalbaar is. Neem logging en monitoring. Doet een bedrijf dat zelf, dan zijn ze afhankelijk van de aanwezigheid van die specifieke verantwoordelijke. Op werkdagen is dat geen probleem, maar s nachts en in het weekend kom je voor problemen te staan. Een security provider kan zo n dienst 24/7 leveren. Die paraatheid en alertheid voorkomt veel ellende. Ook de redundancy en het niveau van beveiligingsvoorzieningen waarover een security provider beschikt, is voor Patrick de Goede van Eijk veel organisaties simpelweg een veel te hoge investering. Terwijl dat niveau wel nodig is om een kans te maken in de strijd tegen cybercriminaliteit. NIET ZALIGMAKEND Is managed security dan altijd en in iedere situatie een goede oplossing? Zeker niet. Voor sommige bedrijven is het veel verstandiger de fysieke beveiligingsapparatuur in-house te beheren en alleen additionele diensten als FireEye in de vorm van een managed service af te nemen. Bedenk ook dat het inschakelen van managed security services een zeer ingrijpende operatie kan zijn. Verantwoordelijkheden en rollen worden omgegooid, bestaande infrastructuren gaan op de schop. Het kan een lastige overgang zijn van mensen, rollen, processen, hardware en software. Een bedrijf moet daar wel klaar voor zijn, legt De Goede van Eijk uit. Bepaal met de security provider een strikt implementatieplan, gekoppeld aan een tijdspad. Zo weet je als organisatie waar je aan toe bent. Daarnaast vraagt een managed security provider veel vertrouwen. Zij krijgen niet alleen een enorm verantwoordelijke taak, maar ook belangrijke of zelfs vertrouwelijke informatie in handen. Maak ook goede afspraken: wat gebeurt er bijvoorbeeld als zij failliet gaan? Wat zijn de (on)mogelijkheden bij een eventuele overstap naar een andere managed security provider? Dat zijn zeker vragen waarbij organisaties stil moeten staan. VAN BINNENUIT Het beschikken over alleen security-voorzieningen is sowieso vrijwel nooit zaligmakend. Veel cyberdreigingen komen van binnenuit, vanuit het eigen personeel. Daar is soms zelfs het zwaarste geschut niet tegen bestand. Hoe goed je beveiliging ook is ingericht en wordt beheerd, tegen kwaadwillende of nietsvermoedende medewerkers is techniek niet altijd opgewassen. Als iemand zich aan de telefoon voordoet als een geloofwaardige instantie die vraagt om bepaalde klantgegevens, dan kan een nietsvermoedende medewerker al snel zijn mond voorbijpraten. Dat zijn potentiële lekken die geen enkele penetratietest in kaart brengt. Awareness-trainingen zijn daarom enorm belangrijk en vrijwel altijd een goede aanvulling op managed security-oplossingen. Raymond Luijbregts is journalist 18 INFOSECURITY MAGAZINE - NR. 2 - MEI

11 ONDERZOEK DELOITTE SLECHTE BEVEILIGING VAN MEDISCHE APPARATUUR ZORGT VOOR GROTE PRIVACYRISICO S Medische apparatuur is in toenemende mate verbonden met een netwerk, waardoor data eenvoudig kan worden uitgewisseld. De kans op cyberincidenten neemt hierdoor echter ook toe. Het is dan ook zorgelijk dat de IT-beveiliging van medische apparaten in Nederlandse ziekenhuizen slecht op orde blijkt te zijn. Door de medische gegevens waarmee op de apparaten wordt gewerkt, zijn de privacyrisico s groot. De Amerikaanse Government Accountability Office kwam in 2012 met een rapport naar buiten. Sindsdien is de aandacht voor de beveiliging van medische apparatuur flink toegenomen. Dit onderzoek was voornamelijk gericht op Amerikaanse apparatuur en ziekenhuizen. Deloitte heeft naar aanleiding hiervan het initiatief genomen een onderzoek uit te voeren naar de IT-beveiliging van medische apparatuur in Nederlandse ziekenhuizen. Het bedrijf heeft tussen eind 2013 en begin van de 82 Nederlandse ziekenhuizen geïnterviewd over het onderwerp. VIRUSUITBRAKEN Het onderzoek laat zien dat medische apparatuur ook in ons land niet gevrijwaard blijft van cyberincidenten en de beveiliging lang niet altijd op orde is. Tien van de zeventien ondervraagde ziekenhuizen geeft aan te maken te hebben gehad met een virusbesmetting van medische apparatuur. De risico s die dit soort besmettingen opleveren zijn groot. Zowel de integriteit als werking van medische apparatuur kan niet meer worden gegarandeerd en performanceproblemen kunnen de beschikbaarheid van het apparaat in gevaar brengen. Ook processen die steunen op de getroffen apparaten kunnen door virusbesmettingen worden beïnvloed, waardoor ook medische behandelingen in gevaar kunnen komen. Het is overigens in veel gevallen niet mogelijk simpelweg een virusscanner op de medische apparatuur te installeren. Niet alleen ondersteunen virusscanners niet alle apparatuur, ook zijn ziekenhuizen niet altijd bevoegd software te installeren op de apparatuur die zij in eigendom hebben. Intrusion Detection Systemen (ISD) en Security Information and Event Management (SIEM) systemen kunnen uitkomst bieden. Deze systemen vergroten de weerbaarheid tegen virusbesmettingen, zonder de werking van de apparatuur te beïnvloeden. USB-POORTEN Naast virussen leveren ook USB-poorten gevaar op. Steeds vaker worden devices via een USB-poort aan medische apparatuur verbonden. Denk hierbij aan randapparatuur als printers, maar ook aan USB-sticks. Zo kunnen ziekenhuizen patiënten op USB-sticks afbeeldingen of gegevens meegeven. Deze USB-sticks blijken echter een beveiligingsrisico op te leveren, aangezien deze besmet kunnen zijn met malware en op hun beurt de medische apparatuur kunnen infecteren. Ruim driekwart van de ziekenhuizen geeft aan dat het (meestal) niet mogelijk is om gegevens van medische apparatuur direct versleuteld op een USB-stick op te slaan. Hier is dan ook ruimte voor verbetering. Deloitte adviseert ziekenhuizen voor het verstrekken van gegevens of afbeeldingen aan patiënten uitsluitend gebruik te maken van USB-sticks die door het ziekenhuis zelf verstrekt worden. Hierdoor wordt uitgesloten dat een onbekende USB-stick die mogelijk besmet is met malware met de apparatuur verbinding maakt. Wie toch onbekende USB-sticks wil kunnen gebruiken, kan een losstaand systeem inzetten dat USB-sticks op virussen controleert voordat deze gebruikt kunnen worden. PRIVACY Privacy van patiënten is voor de zorgsector van groot belang. Het merendeel van de ziekenhuizen besteedt hier dan ook veel aandacht aan. Zo blijkt iets minder dan driekwart van de ziekenhuizen een adequate procedure te hebben opgesteld voor het verwijderen van gegevens van medische apparatuur voordat deze wordt afgevoerd. Ziekenhuizen die niet over zo n beleid beschikken laten apparatuur ophalen door de leverancier, leveren deze in bij een professionele afvalverwerker of laten de apparatuur vernietigen door een gecertificeerde partij. Deze ziekenhuizen gaan er vanuit dat deze partijen zelf op een adequate manier de data verwijderen en geven deze 'Tien van de zeventien ondervraagde ziekenhuizen geeft aan te maken te hebben gehad met een virusbesmetting van medische apparatuur' belangrijke taak dus uit handen, met alle risico s van dien. Medische apparatuur verstuurt echter ook data via netwerken naar andere apparaten. Met het oog op de privacy is het van belang deze verbindingen te beveiligen om te voorkomen dat data onderschept kan worden. Deze verbinding blijkt echter lang niet altijd versleuteld te zijn. Twee ziekenhuizen stellen dat medische apparatuur over het algemeen communiceert over een versleutelde verbin- 20 INFOSECURITY MAGAZINE - NR. 2 - MEI

12 ONDERZOEK DELOITTE ding, terwijl zes ziekenhuizen stellen dat dit niet het geval is. Zeven ziekenhuizen stellen geen zicht te hebben op de versleuteling van communicatie. EXPLICIET BEVEILIGINGSBELEID Ziekenhuizen blijken daarnaast lang niet altijd een expliciet beveiligingsbeleid voor medische apparatuur te hebben. Bij dertien van de zeventien onderzochte ziekenhuizen bleek zo n beleid te ontbreken. Deloitte merkt op dat in veel ziekenhuizen de afdeling Medische Technologie en de IT-afdeling volledig gescheiden van elkaar opereren. Hierdoor is niet altijd duidelijk waar verantwoordelijkheden met betrekking tot de beveiliging van medische apparatuur liggen. CONGRES DIGITAAL ZAKENDOEN & EID MODERN ONDERNEMEN IN EEN DIGITALE WERELD Op basis van deze resultaten geeft Deloitte een aantal Good Practices en tips: Eén verantwoordelijke voor ICT en Medische Technologie Door één verantwoordelijke aan te stellen voor zowel ICT als Medische Technologie, kunnen beide afdelingen sneller schakelen en zijn zowel taken als verantwoordelijkheden duidelijk. Netwerksegregatie Het administratieve netwerk zou van het medische netwerk gescheiden moeten zijn. Ook kunnen apparaten in subnetwerken worden ingedeeld om extra beveiliging te bieden tegen massale virusbesmettingen. Virussen kunnen zich hierdoor minder eenvoudig verspreiden over de apparatuur in het ziekenhuis. Beveiligingsbeleid Een beveiligingsbeleid voor medische apparatuur zet alle taken en verantwoordelijkheden duidelijk uiteen. Het beleid zorgt daarnaast dat tijdens het inkoopproces de juiste informatie wordt verkregen over medische technologie. Awareness Bewustzijn onder medische technici en IT ers over de cyberrisico s die netwerk verbonden medische apparatuur met zich mee brengt, is van groot belang. Potentiële dreigingen worden hierdoor eerder gesignaleerd en er kan sneller adequate actie worden ondernomen. Apparatuur, connectiviteit en risico s inventariseren Medische apparatuur kan alleen goed worden beschermd tegen cyberdreigingen als een complete en up-to-date inventaris van netwerk verbonden medische apparatuur beschikbaar is. Deze inventaris zou ook inzicht moeten geven in de eigenschappen en het cyberrisicoprofiel van apparaten. SOMMIGE KWETSBAARHEDEN ZIJN EENVOUDIG TE MITIGEREN Deloitte benadrukt dat het niet gebruiken van medische apparatuur vooralsnog een groter risico oplevert voor de gezondheid van een patiënt dan het gebruiken van kwetsbare apparatuur. Wel merkt het bedrijf op dat een aantal kwetsbaarheden eenvoudig te mitigeren zijn. Ziekenhuizen zouden op deze punten dan ook actie moeten ondernemen om de privacy van patiënten te waarborgen. Wouter Hoeffnagel is journalist Dit congres is georganiseerd door 22 Datum: woensdag 10 en donderdag 11 juni 2015 / Locatie: Postillion Hotel Bunnik

13 CONGRES DIGITAAL ZAKENDOEN & EID DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK PROGRAMMA modern ondernemen in een digitale wereld DIGITAAL ZAKENDOEN & EID IS EEN NIEUW TWEEDAAGS EVENEMENT DAT EEN BREED PUBLIEK WIL ONDERSTEUNEN BIJ DE VELE MOGELIJKHEDEN EN KANSEN DIE HET DIGITAAL ZAKENDOEN TE BIEDEN HEEFT. DIGITAAL ZAKENDOEN & EID GAAT IN OP INVLOEDRIJKE TRENDS EN DE WIJZE WAAROP WIJ IN NEDERLAND DAAROP KUNNEN EN MOETEN INSPE- LEN. DAARBIJ ZAL ER OOK GEKEKEN WORDEN NAAR KANSEN VOOR NEDERLAND ALS TRANSACTIELAND, WAARBIJ HOGE INTERNATIONALE AMBITIES EN STRATEGISCHE VER- GEZICHTEN NIET UIT DE WEG WORDEN GEGAAN. DIGITAAL ZAKENDOEN & EID IS EEN SAMENWERKING VAN PIMN EN ECP. RDA Chip op het rijbewijs (tbc) Onderwijs-ID/Kennisnet, SURFnet (tbc) LOCATIE Postillion Hotel Bunnik Kosterijland AJ Bunnik Tel: (Kennis-) Partners: ICTRecht/ Thuiswinkel.org / Vereniging voor Biometrie en Identiteit (VVBI) / Disceru / Nictiz Gold Sponsors: 1U / AMP Logistics / BKR / CDDN / Connectis / Cosign / Digidentity / Dynalogic / KPN / Ondertekenen.nl / Quo Vadis Media partners: CloudWorks, Infosecurity Magazine, FenceWorks en Vip Doc HET CONGRES Voor u ligt het uitgebreide programma van Digitaal Zakendoen en eid, mede georganiseerd als feestelijke bevestiging dat het in 2004 gestarte jaarlijks ECP seminar over elektronische identiteiten na 10 jaar uit zijn jasje is gegroeid. Ook eherkenning en DigiD vieren dit jaar een 5 en 10 jarig jubileum. Voor de Nederlandse samenleving is digitaal het nieuwe normaal en een stelsel van elektronische identificatie een randvoorwaarde. Zakendoen is digitaal en eids zijn de sleutels. Digitaal zakendoen in brede zin heeft een enorme vlucht genomen. Mobiele transacties, sociale netwerken en cloud services zijn daarbij niet meer weg te denken. De groei is enorm en de verwachting is dat deze alleen nog maar zal toenemen. Digitaal Zakendoen & eld richt zich op de nationale markt voor elektronisch zakendoen en zal daarbij ook Europese en internationale marktontwikkelingen in beschouwing nemen, zoals de nieuwe EU verordening voor elektronische identiteiten en vertrouwensdiensten (eidas). Het evenement brengt de belangrijkste actoren bij elkaar gericht op het benutten van kansen en het presenteren van oplossingen die werken. Omdat Nederland de ambitie heeft Massaal Digitaal te gaan en de ontwikkeling van eid s serieus vorm heeft gekregen is het nu de tijd om vruchten te plukken van bewezen oplossingen en om op strategische wijze de toekomst verder vorm te geven. Digitaal Zakendoen & eid is voor organisaties die hun processen willen stroomlijnen en kosten verlagen, maar nog zoeken naar de passende elektronische bouwstenen, en aanbieders van identiteits- en vertrouwensdiensten. Mogelijkheden zijn er voor goedkoper elektronisch documentverkeer (polissen, contracten), gebruik van standaard elektronische sleutels voor gebruiksvriendelijke klanttoegang tot uw portalen, fraudebestrijding door datakwaliteit en externe validatie van nieuwe klanten. Digitaal Zakendoen & eid zoomt in op beleids- en implementatieaspecten en zal schetsen welke beschikbare technologische mogelijkheden voordeel bieden. VERTROUWEN ALS DE SLEUTEL Meer dan ooit begrijpen we dat vertrouwen randvoorwaarde is voor digitaal zakendoen, partijen moeten voldoende zekerheid hebben over de (nieuwe) klant aan de andere kant. Nu het fysieke aspect bij zakendoen losser wordt, wordt het voldoende betrouwbaar en verifieerbaar kunnen vaststellen van de online identiteiten van de transactiepartners een randvoorwaarde. Technische middelen daarvoor komen als paddenstoelen uit de grond. Maar hoe vindt u oplossingen die passen bij uw dienstverlening? Digitaal Zakendoen & eid gaat u daarbij helpen. HET PROGRAMMA Tijdens het 2-daags congres vinden er twee plenaire bijeenkomsten plaats en 11 workshops. De conferenties gaan in op strategie en beleid, en zullen de huidige stand en dagelijkse praktijk van vertrouwensdiensten en eid in Nederland belichten. De workshops gaan in op specifieke aspecten van digitaal zakendoen: hoe organiseren we documentenstromen bij verdergaande digitalisering, welke mogelijkheden bieden diverse biometrische vernieuwingen in de consumentenelektronica? Lees het programma voor meer details, of ga naar MINI EXPO Gedurende het gehele congres zijn er diverse organisaties en bedrijven met een stand op de Mini Expo. Daar wordt informatie verspreid en worden demonstraties van producten en oplossingen gedemonstreerd. De volgende bedrijven en organisaties zullen op de Mini Expo aanwezig zijn: 1U, AMP Logistics, BKR, CDDN, CM, Connectis, Cosign, Digidentity, Dynalogic, Forum Standaardisatie, KPN, Ondertekenen.nl, Qiy en QuoVadis KAARTEN BESTELLEN Om deel te nemen aan het congres kunt u kaarten bestellen via Eventbrite Prijzen: juni: 595, 10 juni: 325,- 11 juni: 325,- De prijzen (ex. BTW) zijn inclusief workshop (naar keuze), lunch en borrel. ECP-LEDEN ECP-leden die op 10 juni aan een workshop en het congres willen deelnemen kunnen zich met een gereduceerd tarief aanmelden via Eventbrite: eventbrite.nl/e/tickets-digitaal-zakendoen-en-eid Voor ECP-leden zijn gratis kaarten beschikbaar voor de conferentie op 10 juni s middags (max. 2 per ECP lid). Dat is inclusief lunch en borrel, maar exclusief workshop. CONTACT Jaap Kuipers (programma): / jaap.kuipers@pimn.nl Max Snijder (pr/communicatie): / max.snijder@digitaal-zakendoen.nl BESCHRIJVING WORKSHOPS Aan het begin van Dag 1 en aan het eind van Dag 2 vinden in totaal 11 workshops en seminars plaats. Hiervoor moet een ieder zich van tevoren aanmelden. Op Dag 1 is er een workshop Digitaal Zakendoen in de praktijk, waarbij informatie en consultatie over Digitaal Zakendoen plaatsvindt. Parallel aan deze workshop, waar branches voor zullen worden uitgenodigd, zijn er drie inhoudelijke workshops. Daarin worden concrete technisch georiënteerde vraagstukken behandeld: biometrie, e-documenten en datakwaliteit/fraudepreventie. Aan het einde van Dag 2 vinden diverse workshops plaats die meer branche-/keten georiënteerd zijn en is er een workshop over juridische aspecten. Om voldoende ruimte te geven voor discussie zijn er bij voorkeur niet meer dan drie sprekers voor elke workshop. Na afloop van de workshops op dag 2 komt iedereen nog eenmaal samen voor een plenaire discussie en afsluiting. WORKSHOPS DAG 1 / WORKSHOP 1 - DIGITAAL ZAKEN- DOEN IN DE PRAKTIJK Voorzitter: Roy Tomeij i.o.v. ministerie van Economische Zaken Interactieve sessie met medewerking van het ministerie van Economische Zaken en enkele brancheorganisaties. Het informeren en consulteren van brancheorganisaties over Digitaal zakendoen staat centraal. De deelnemers gaan telkens aan hand van een korte informatieve inleiding aan de slag en geven hun reacties op specifieke vragen. Aan het eind van deze sessie hebben deelnemers (scherper) in beeld wat er al mogelijk is in digitaal zakendoen tussen bedrijven onderling en met de overheid. En hoe zij daar als brancheorganisatie op kunnen inspelen. De onderwerpen hebben betrekking op: Digitaal zakendoen in een specifieke branche. Voorbeeld van digitalisering binnen de eigen sector (B2B) als tussen bedrijven en de overheid (G2B). Beschikbare digitale (overheids)diensten én de wensen van ondernemers. Samenhang tussen de benodigde II 24 INFOSECURITY MAGAZINE - NR. 2 - MEI III

14 CONGRES DIGITAAL ZAKENDOEN & EID DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK Woensdag 10 Juni Workshops Workshop 1 Digitaal Zakendoen in de praktijk olv. Roy Tomeij (Min.EZ) Workshop 2 edocumenten olv. Oscar Dubbeldam, Disceru Workshop 3 Biometrie olv. Raymond Veldhuis (UT) Workshop 4 Datakwaliteit en fraude preventie olv. Holger Wandt (DDMA) PROGRAMMA Lunch (Binnentuin) Conferentie 1 eid Strategie en Beleid Welkom en Introductie namens ECP Arie van Bellen, ECP Digicommissaris Digitaal zakendoen en eid Bas Eenhoorn, Digicommissaris Nederland Transactieland: succes door samenwerking, organisatie en innovatie Donderdag 11 juni Conferentie 2 eid in de praktijk Welkom en Introductie door dagvoorzitter PIMN-ECP eid Pilots: een overzicht en stand-van-zaken Bob van Os, Logius BZK Toegang tot patiëntendata (PGD) en eids Marcel Heldoorn, NPCF Koffie/thee/networking/demo s (Binnentuin) eid in praktijk van mobiele toepassingen Marcel Wendt, Digidentity Plaatsonafhankelijke dienstverlening: het cyber- gemeentehuis Burgemeester Dirk van der Borg Gemeente Molenwaard Aankondiging workshops 5-11 Max Snijder, EBG/EAB Lunch (Binnentuin) Workshops Workshop 5 e-health olv. André Beerten, Octopus Workshop 6 Werk en inkomen digitaal geregeld olv. Voorzitter: Jelle Attema, ECP Workshop 7 Juridische aspecten olv. Steven Ras, ICTRecht Workshop 8 efactureren / XML olv. Gerard Bottemanne, GBNed Workshop 9 eid: wat is hot? Vraagbundeling: waar wachten we op? olv. Arnold Roosendaal / Maarten Wegdam Bijeenkomst 10 Onderwijs en elektronische identiteiten olv. René van den Assem, Advies in Vertrouwen Seminar 11 Thuiswinkels, consumenten en eid olv. Elaine Oldhoff, Thuiswinkel.org Panel discussie / statement richting EU voorzitterschap 2016 / plenaire afsluiting Rene Bruijne, TransFollow Rapportage: inventarisatie eid in Nederland Arnold Roosendaal, TNO Koffie/thee/networking/demo s (Binnentuin) Recht op digitaal zakendoen, van beleid naar uitvoering Anja Lelieveld, Digitale Overheid Europees digitaal zakendoen en eidas Prof. Jos Dumortier, KU Leuven Keynote: Samenwerking in het eid Landschap Elly Plooij, voorzitter estrategisch beraad Samenvatting / afsluiting dagvoorzitter Jaap Kuipers, PIMN-ECP Borrel en networking Moderator ECP voorzieningen voor digitaal zakendoen, zoals eherkenning en Ondernemingsdossier (Combipakket). Gebruikersgemak bij aanvragen en gebruiken van digitale diensten en voorzieningen. WORKSHOP 2 - E-DOCUMENTEN Voorzitter: Oscar Dubbeldam, Disceru Deze workshop behandelt de mogelijkheden, richtlijnen, wettelijke vereisten en onmogelijkheden van het digitaal verzenden van documenten aan klanten. Vanuit kostenperspectief is het digitaal verzenden van documenten veel goedkoper dan fysieke post. Beveiligingsvraagstukken maken betrouwbare digitale verzending van documenten wel erg lastig. Zeker wanneer het documenten betreft zoals ziektekostenpolissen, Uniforme Pensioen Overzichten, facturen of declaratieoverzichten. Het is geen optie dat in de SPAM folder terechtkomt, niet gelezen wordt of direct verwijderd wordt omdat de bijlage niet vertrouwd wordt. De workshop zal via een presentatie, klantencases en discussie komen tot een aanbeveling over de meest praktische, betrouwbare en wettelijke verantwoorde manier is om digitaal met de klant te corresponderen. Sprekers/onderwerpen: 1. Ontwikkeling en business case edocumenten, Oscar Dubbeldam 2. Casus digitale documenten uit financiële sector of logistiek, John Lageman (Cosign) 3. Wettelijke vereisten en regelgeving, Oscar Dubbeldam WORKSHOP 3 - BIOMETRIE Voorzitter: Raymond Veldhuis, Universiteit Twente Biometrie lijkt nu zijn intrede te hebben gedaan voor massale toepassingen. De introductie van de vingerafdruk op de iphone 5S is daarvoor een belangrijke katalysator geweest. De consumententoepassing volgt op een jarenlang introductieproces van biometrie in het paspoort en biometriegebruik bij toegangscontrole en surveillance. Aan de orde komen: algemene introductie, business drivers, basiswerking, huidige stand van de techniek, veiligheid, mobiele toepassingen, standaardisatie en andere actuele ontwikkelingen. Er wordt speciaal aandacht besteed aan de standaarden die onder de FIDO Aliance worden ontwikkeld en hoe deze het gebruik van biometrie op brede schaal kunnen ondersteunen. Ook wordt er een life demo gegeven van een volledige functionele biometrische authenticatie op de smartphone. Sprekers/onderwerpen: 1. Update biometrie, Raymond Veldhuis (Universiteit Twente) 2. Stemherkenning en vingerafdrukken bij mobiel betalen, Max Mouwen (Directeur Internet & Mobiel ING) 3. Biometrie, consumenten elektronica en FIDO Alliance, Reinier van der Drift (Authasas) 4. Multi biometric authenticatie op de smartphone: Case Study Gezondheidszorg en Demo (Rob Goijen, 1U) WORKSHOP 4 - DATA KWALITEIT EN FRAUDE PREVENTIE Voorzitter: Holger Wandt (specialist datakwaliteit, voorzitter DDMA Klantdata & Dialoog) Het kunnen beschikken over veel (big) klantendata lijkt mooi, maar onbetrouwbare en vervuilde klantendata brengen juist kosten met zich mee. Veel bedrijven en de overheid investeren nog in de kwaliteit van gegevens over klanten en burgers. Voor online zaken doen is het snel kunnen kennen van nieuwe klanten (Know Your Customer proces) van belang. Hoe zorg je ervoor dat frauderisico s beperkt blijven, conversie niet belemmerd wordt en voldaan wordt aan wettelijke KYC eisen? Klantendata wordt belangrijk gevonden, het wordt wel de nieuwe olie genoemd. Wie klantendata intelligent op orde brengt en houdt heeft een voorsprong in het digitale kanaal. Voor het voorkomen van fraude en het oplossen identiteitsfouten zoekt de overheid nu samenwerking met de private sector. Experts op het gebied van datakwaliteit en identity management bespreken de nieuwste ontwikkelingen. Sprekers/onderwerpen: 1. Inleiding Datakwaliteit, Holger Wandt (Human Inference) 2. Nieuwe aanpak voor verhogen gegevenskwaliteit, Martijn de Boer (CDDN) 3. Preventie identiteitsfraude, Erik van de Borrel en networking IV 26 INFOSECURITY MAGAZINE - NR. 2 - MEI V

15 CONGRES DIGITAAL ZAKENDOEN & EID DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK PROGRAMMA Poel (BKR) Vanuit de overheid zijn identiteitsfraude deskundigen aanwezig om kennis in te brengen over fraudepreventie, het herstellen van schade en de publiek private samenwerking. De workshop is bedoeld voor wie werken aan de kwaliteit van klantendata en geinformeerd willen worden over recente ontwikkelingen waaronder elektronische identiteiten, attribuutverstrekking, identiteitsfraude en samenwerkingsverbanden. WORKSHOPS DAG 2 / WORKSHOP 5 - E-HEALTH Voorzitter: André Beerten, Octopus-IB e-health moet leiden tot zorgverbetering, waarbij één van de doelstellingen is om 40% van de Nederlanders direct toegang te geven tot de eigen medische gegevens. Hierbij is elektronische identiteit verificatie van patiënten en zorgverleners een randvoorwaarde. Hiervoor zijn verschillende oplossingen beschikbaar. Lastig is het regelen van toegang voor wisselende groepen zorgverleners, mantelzorgers, gemeenten en derden wanneer in ketens wordt samengewerkt en medische gegevens op verschillende plaatsen worden bijgehouden. In 2014 bleek een norm voor Toegang tot patiëntengegevens in commissie NEN7521 een taai vraagstuk te zijn, er is een meerjarig groeipad voorzien. Door tablet- en smartphone-toepassingen stijgt de vraag naar authenticatie, wat vraagt om nieuwe oplossingen naast en met DigiD en de UZI-pas. Groeiende e-health vraagt zowel om gebruikersvriendelijke als veilige toegang tot patiënten data. Om de weg te vinden in de vele mogelijkheden is voorlichting nodig; het vraagstuk is aanzienlijk complexer dan het populaire internetbankieren en inloggen bij de belastingdienst. Sprekers/onderwerpen: Samenvatting onderzoek toegang tot patiëntportalen, Antoon van Luxemburg (M&I/Partners) De zorg ontzorgd: regel de eids, Dik Hermans (aanjager Zorg ontzorgd met ICT) eid Pilots in de Zorg, Hedde van der Lugt (Nictiz) Case Study: eid bij de zorgverzekeraars, Henk-Jan Jansen (Connectis) WORKSHOP 6 - WERK EN INKOMEN DIGITAAL GEREGELD Voorzitter: Jelle Attema, ECP Veel overeenkomsten kunnen digitaal worden geregeld, salarisstroken en salarisbetaling worden elektronisch afgehandeld. Voor de uitzendbranche met uitzendkrachten kan een digitaal werkproces zorgen voor kostenverlaging. Enkele uitzendbureaus hebben hun proces vrijwel helemaal gedigitaliseerd. Wat is er voor nodig om processen voor werk en inkomen verder te digitaliseren en welke rol speelt de overheid hierbij? Bij het digitaal contracteren speelt de vraag naar de identiteitsverificatie. Hoe zorgt de werkgever voor de controle van de identiteitsdocumenten en wordt een verklaring omtrent het gedrag digitaal aangevraagd? Diverse voorzieningen voor het verder stroomlijnen van de processen voor werk en inkomen komen aan de orde. Sprekers/onderwerpen: 1. Digitaal zakendoen in de uitzendbranche Piet Meij (NBBU)/Jurrian Meeter (ABU) 2. Case Study: digitalisering van het uitzendproces, Kick Willemse (Ondertekenen.nl) 3. e-identiteit op orde, een nieuwe fase, Michael Hagen (ID checker) WORKSHOP 7 - JURIDISCHE ASPECTEN Voorzitter: Steven Ras, ICTRecht Juridische aspecten zijn een belangrijk grondslag voor het betrouwbaar inkaderen van afspraken. Het elektronisch zakendoen introduceert situaties waarbij de juridische kaders soms nog relatief onbekend zijn. Digitale handtekeningen zijn dermate nieuw, dat daarover weinig tot geen jurisprudentie is. Onbekendheid leidt tot koudwatervrees voor het digitaliseren van bedrijfsprocessen. Hoe met juridische aspecten moet worden rekeningen gehouden en welke dat in het elektronisch zakendoen zoal zijn wordt in deze workshop uitgebreid besproken. Sprekers/onderwerpen: 1. De voordelen van digitaal contracteren, Steven Ras (ICTRecht) 2. Casus en business case van massaal digitaal werken 3. Digitale handtekening: soorten en gebruikersacceptatie, Lex Samuel (QuoVadis) WORKSHOP 8 - EFACTUREREN / XML Voorzitter: Gerard Bottemanne, GBNed Workshop van het Platform efactureren (simpeler invoicing, XML audit files) 60 software leveranciers hebben hun systemen geschikt gemaakt voor elektronisch factureren. Digitaal 2017 is een goede reden voor softwareleveranciers en branchevertegenwoordigers om elkaar te informeren over de voordelen van elektronisch factureren, zoals lagere kosten en versnelling in het factureringsproces. Er wordt aandacht besteed aan XML Audit Files, een belangrijk platform voor het standaardiseren van communicatie bij digitaal zakendoen. XML biedt een familie van standaarden die de gegevensuitwisseling vereenvoudigt. Enkele aansprekende voorbeelden zullen worden besproken, waarbij implementatie van techniek en organisatie aan de orde zullen komen. CreAim bespreekt de eherkenning ontwikkelingen. Sprekers/onderwerpen: 1. eherkenning voor bedrijven, Frank Jonker (CreAim) 2. efactureren, Gerard Bottemanne (GB- Ned) 3. Audit files, Fred van Ipenburg (Belastingdienst) en Roos Timmermans (Unit4) WORKSHOP 9 - EID IN GEBRUIK: WAT IS HOT? Voorzitter: Arnold Roosendaal, TNO en Maarten Wegdam, InnoValor DigiD viert het 10 jarig bestaan. In 10 jaar is de kostprijs van een authenticatie gedaald van meer dan 3,50 naar 0,11. De prijs van een postzegel is in die tijd gestegen naar 0,69. In deze workshop dagen we het publiek uit te bepalen wat serieus hot is en waar we nog op wachten met het gebruik van elektronische identiteiten. Aanbieders van elektronische identiteiten worden uitgedaagd hun oplossing te pitchen en aanbieders van elektronische diensten worden gevraagd wat zij verwachten van de aangeboden oplossingen en waarop zij wachten. De aanbiedende partijen: Digidentity, Connectis, SURFnet/Onderwijs-ID, Mobi-ID, NotarisID, Chip op het rijbewijs, BankID Vragende partijen: Bovag Mobi-ID, Verzekeraars, Gezondheidszorg, Onderwijs, Webwinkels, VNO-NCW, MKB-Nederland (zelf aanwezig of vanuit publiek beschikbare uitspraken) WORKSHOP 10 - ONDERWIJS EN ELEKTRONISCHE IDENTITEITEN Voorzitter: René van den Assem, Advies in Vertrouwen Het onderwijs digitaliseert fors. De discussie over het regelen van identiteiten, een onderwijs-id en het delen van attributen staat hoog op de agenda van organisaties die samenwerken in het onderwijs en zeker ook in de politieke aandacht. De bijeenkomst biedt een uitstekende gelegenheid om de status met elkaar te delen en van andere sectoren te leren wat speelt. De invulling van de bijeenkomst vindt plaats in overleg met direct betrokken organisaties Kennisnet, eherkenning, René van den Assem en Digiloket. Onderwerpen: 1. Onderwijs nummervoorziening en pseudoniemen, H-P Köhler (Kennisnet) 2. Digitale dienstverlening en eherkenning in het onderwijs, Jeroen Schutz (Schoolpoort/Digiloket), ZetSolutions 3. Dienstverlening en eid/attributen in ketens WORKSHOP 11 - THUISWINKELS, CONSUMENTEN EN EID Voorzitter: Elaine Oldhoff, Thuiswinkel.org Als er één branche is waar de digitale ontwikkelingen een grote vlucht nemen dan is dat de Thuiswinkel branche. Consumenten omarmen webwinkelen massaal, in toenemende mate op mobiele apparaten. Voor webwinkels is one-click buy het ijkpunt. Bij elektronische identificatie zijn gemak en risicobeheersing belangrijke parameters, vooral als het gaat om mobiel shoppen en betalen. De Qiy Foundation heeft samen met een groot aantal publieke en private partijen afgelopen jaren gewerkt aan een nieuwe Europese standaard om consumenten de regie over hun eigen gegevens op internet terug te geven. Inmiddels is op basis van de standaard een schaalbare en veilige infrastructuur beschikbaar, waar zowel consumenten als marktpartijen, zoals banken, verzekeraars en webshops zich op kunnen aansluiten. De consument bepaalt zelf welke gegevens hij of zij met andere partijen wil delen op het moment dat er persoonlijke gegevens worden gevraagd, van bezorgadres tot betaalgegevens en van favoriete reisbestemming tot schoenmaat. Daarbij kunnen bedrijven zich abonneren op klantgegevens, die rechtstreeks van een betrouwbare bron afkomen. Dit verlaagt kosten, verhoogt de kwaliteit van de relatie en biedt hele nieuwe mogelijkheden voor product/marktcombinaties. Tijdens deze sessie worden de mogelijkheden van het Qiy Trust Framework getoond. Sprekers/onderwerpen: 1. Consumenten aan het stuur, Marcel van Galen (Qiy) 2. eid pilots bij Thuiswinkel, Elaine Oldhoff (Thuiswinkel.org) VI 28 INFOSECURITY MAGAZINE - NR. 2 - MEI 2015 VII 29

16 CONGRES DIGITAAL ZAKENDOEN & EID DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK OVERZICHT SPREKERS Digitaal Zakendoen en eid JELLE ATTEMA Na een uitgebreide periode als researcher bij de TU Delft is Jelle Attema sinds 2009 bij ECP werkzaam op het gebied van e-factureren (zie: en interoperabiliteit. Hij opereert binnen de cluster Verbinding en is betrokken bij onder andere Open Standaarden, Elektronisch Factureren, Stelsel voor eid, de Digitale Agenda, Cloud Computing en Betrouwbaar Administreren. RENÉ VAN DEN ASSEM René van den Assem bedient klanten als strategisch adviseur of project manager in een range van ICT-gerelateerde activiteiten. Hij helpt klanten hun inzichten te vergroten in een doelgerichte benadering. Zijn specialiteiten zijn onder andere business-it strategy, information security, identity management, esignatures en enterprise architecture. René is betrokken bij elektronische identiteiten in het onderwijs en heeft ervaring met eherkenning. ANDRÉ BEERTEN André Beerten is een ervaren adviseur informatieveiligheid en privacy. Sinds 2003 is hij in diverse technische, commerciële en adviserende rollen actief in de informatiebeveiliging, onder andere bij KPN, Getronics en Glidepath. André s ervaring als systeem- en netwerkbeheerder ( ) helpen dagelijks bij de vertaling van beheersingsdoelen vanuit normen en wetgeving naar praktische en werkende oplossingen in proces en techniek. André is regelmatig moderator op security bijeenkomsten. ARIE VAN BELLEN Arie van Bellen leidt als directeur van ECP een staf van 20 personen die samen met de inmiddels 160 aangesloten partijen (bedrijven, overheden, kenniscentra, koepels, wetenschappers en digiraden) op een professionele en daadkrachtige wijze een bijdrage leveren aan thema s als digivaardigheid, vertrouwen en veiligheid en standaarden. Daarmee faciliteert het ECP in belangrijke mate de digitale agenda Nederland. Van Bellen heeft de leiding over het Platform voor de Informatie Samenleving sinds de start in Hij presenteert verklaringen, leidt debatten en geeft visie op de informatiemaatschappij en gerelateerde onderwerpen. Van Bellen is lid van verschillende commissies en neemt deel aan vergaderingen van zowel overheid als bedrijfsleven in Nederland. Daarnaast is hij betrokken bij het EU-beleid ten aanzien van de Digitale Agenda en is hij hoofd van de delegatie namens Nederland in de VN. DIRK VAN DER BORG Dirk van der Borg is Burgemeester Gemeente Molenwaard en lid van de Raad van Advies van de NVVB. Hij is gepassioneerd lokaal bestuurder met de kernwoorden visie, verbinden en daadkracht. Hij heeft ruime ervaring met innovatieve dienstverleningsconcepten, zoals fusies, gemeentelijke herindelingen en intergemeentelijke samenwerkingsvormen. GERARD BOTTEMANNE Gerard Bottemanne is sinds 1999 eigenaar van onderzoeksbureau GBNed. Daar houdt hij zich bezig met elektronisch factureren en met de daaraan ten grondslag liggende standaardisatie en compatibiliteit van boekhoudpakketten en andere registratiemiddelen. Gerard Bottemanne is gespecialiseerd in het raakvlak tussen accountancy en ICT. Hij volgt de ontwikkeling op gebied van accountancy, accounting en ICT op de voet. Bottemanne is de initiatiefnemer van de efactureren UBL Ketentest. RENE BRUIJNE Rene Bruijne, Managing Director bij TransFollow en directeur bij Beurtvaartadres BV, heeft als belangrijke drijfveer het digitaal voorzetten van de eerste vormen van ketenefficiency: van het Beurtvaartadres (sinds 1685) naar Beurtvaartadres 2.0. Rene Bruijne is gespecialiseerd in digitale (inter-)nationale vrachtdocumenten (operationeel, technisch en juridisch) voor het vervoer van alle soorten goederen (gevaarlijke stoffen, distributie, afval, fytosanitair), maar ook voor tankcleaning en douane. VIII 30 INFOSECURITY MAGAZINE - NR. 2 - MEI IX

17 CONGRES DIGITAAL ZAKENDOEN & EID DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK OVERZICHT SPREKERS Digitaal Zakendoen en eid OSCAR DUBBELDAM Oscar Dubbeldam (MBA, MIT, M-EDP) heeft meer dan 25 jaar ervaring in de ICT als adviseur en manager. Een groot deel van daarvan heeft hij opgedaan in workflow en document en output management. Heeft gedurende deze jaren Enterprise Document Management Solutions en High Volume Output Management oplossingen ontwikkeld en geïmplementeerd binnen de financiële dienstverlenings- en verzekeringsbranche, de lokale overheden en de farmaceutische industrie. JOS DUMORTIER Jos Dumortier is Honorary Professor ICT Law aan de Katholieke Universiteit Leuven. Hij is oprichter en eerste directeur van het Interdisciplinary Center for Law and ICT (www. icri.be). Hij is gespecialiseerd in juridisch advies op het gebied van ICT met betrekking to intellectueel eigendom, privacy, electronic business, e-government, information security, telecommunications. Jos Dumortier adviseert de EU over eidas en digitale handtekeningen. BAS EENHOORN Bas Eenhoorn is bestuurder en voormalig ambtenaar. Op zijn 29ste was Bas Eenhoorn burgemeester van Schiermonnikoog en later waarnemend burgemeester van onder andere Alphen aan den Rijn. Hij had adviesfuncties bij Moret, Ernst & Young en Capgemini. Op 28 mei 2014, midden in zijn burgemeesterschap van Vlaardingen, is hij door het kabinet benoemd tot Nationaal Commissaris Digitale Overheid, de zgn. Digicommissaris. Daarmee kreeg hij de opdracht om samen met alle betrokken partijen een nationaal programma Digitale Overheid op te stellen en die actueel te houden en de uitvoering en realisatie daarvan te regisseren. Identificatie & Authenticatie is een belangrijk dossier van de Digicommissaris. MARCEL HELDOORN Marcel Heldoorn (NPCFM- BA, MIT, M-EDP) is senior beleidsadviseur digitale zorg bij patiëntenfederatie NPCF. Zijn werkterrein bestaat onder andere uit gezondheid 2.0, health 2.0, e-health, nexthealth en telemedicine. Hij is thuis in onderwerpen als het persoonlijk gezondheidsdossier (PGD), privacy, wetgeving en de ontwikkeling van richtlijnen. NPCF dossierhouder eid en authenticatie. JAAP KUIPERS Jaap Kuipers is initiatiefnemer van Platform Identity Management Nederland, platform voor het delen van kennis en verbinden van belanghebbenden en deskundigen op het gebied van electronische identiteit en digitaal zakendoen. Hij was betrokken bij diverse initiatieven en projecten op het gebeid van eid en IT-security, zoals SURFfederatie, DigiD, eherkenning, eid Stelsel, Consumenten-ID, OpenId+, NEN 7521 Toegang tot patiëntendata, digitale kluisjes, ECP platform authenticatie, TTP dienstverlening, SSEDIC project, Studiereis naar Silicon Valley, OA- SIS Trust Elevation, Vereniging voor Biometrie en Identiteit. ANJA LELIEVELD Anja Lelieveld is Programmamanager Digitale Overheid en programmamanager identiteit bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Zij is gericht op ontwikkeling van organisatie en personeel, hetgeen zij combineert met strategisch inzicht en de vertaling daarvan naar de werkvloer en praktische werkwijzen. ELAINE OLDHOFF Elaine Oldhoff is beleidsadviseur bij thuiswinkel.org. Zij is gespecialiseerd in het analyseren van/adviseren in (beleids-)ontwikkelingen in de e-commerce sector, met een focus op cookiewetgeving/ Telecommunicatiewet, e-identity, Richtlijn Consumentenrechten, Privacy/Algemene Verordening Gegevensbescherming en Online & Alternatieve Geschillenbeslechting. Zij maakt deel uit van verschillende commissies, waaronder de Commissie Consumentenrecht & Privacy Thuiswinkel.org (secretaris), de Commissie Consumentenvraagstukken VNO NCW (lid) en de e-regulations Committee, Ecommerce Europe (lid). BOB VAN OS Bob van Os is projectmanager eid pilots bij het Ministerie van BZK. Bij Logius coordineert hij het programma eid Pilots. Hij heeft jarenlange ervaring in de ICT bij de overheid vanuit diverse affiliaties. ELLY PLOOIJ Elly Plooij is een ervaren bestuurder en sparringpartner van directies in de semipublieke en private sector. Zij is toezichthouder bij verschillende organisaties en onafhankelijk voorzitter van adviescolleges voor regering en Parlement over ICT, authenticatie, identificatie en standaarden. Voorzitter van Stelselraad eherkenning en eid Platform. Voormalig lid en vice-voorzitter Europees Parlement. STEVEN RAS Steven Ras is partner en medeoprichter van het bedrijf ICTRecht, waar zich bezighoudt met ICT, overheid en recht, de digitale handtekening, hosters, hosting en diverse overeenkomsten. Na zijn rechtenstudie aan de VU te Amsterdam heeft hij zich gespecialiseerd in ICT en recht. Mede vanwege zijn achtergrond als internetondernemer heeft hij veel belangstelling voor het internetrecht en de daarmee samenhangende juridische vraagstuk- ken. Steven is daarnaast redactiesecretaris van het Tijdschrift voor Internetrecht en vice-voorzitter van ISPConnect. ARNOLD ROOSENDAAL Arnold Roosendaal (PhD, LLM) is a research scientist specialist at TNO with a specific expertise in the field of privacy and identity. Within the department of Strategy and Policy for the Information Society, he works on several national and international research projects. MAX SNIJDER Max Snijder is onafhankelijk adviseur op het gebied van identiteit en biometrie. Hij heeft zich gespecialiseerd in de strategische en operationele aspecten van grootschalige invoering van biometrie. Buiten Nederland werkt hij veel op Europees en internationaal niveau op gebieden als paspoorten, identiteitskaarten en nationale identiteitssystemen. Hij deed studies voor de WRR, Rathenau Instituut en het Europese Parlement. Daarnaast is hij secretaris en medeoprichter van de European Association for Biometrics ( ROY TOMEIJ Roy Tomeij heeft een uitgebreide achtergrond als programmamanager en ondernemer. Op dit ogenblik werkt hij voor verschillende overheidsprojecten. Zo is hij voorzitter van de Kerngroep Informatieberaad in de Zorg en is hij bij het Minister voor Economische Zaken een belangrijke aanjager van digitaal zakendoen en de implementatie van digitale voorzieningen voor bedrijven. RAYMOND VELDHUIS Raymond Veldhuis is professor aan de Universiteit Twente, waar hij mede leiding geeft aan de groep Services, Cybersecurity and Safety Research. Biometrie neemt daarbij een belangrijk plaats in met aandachtsgebieden variërend van forensics tot mobiele toepassingen. Raymond Veldhuis geeft leiding aan een van de grootste academische researcch groepen in Europa. Hij is voorzitter van de Academia Special Interest Group van de European Association for Biometrics. HOLGER WANDT Holger Wandt is als principal advisor bij Human Inference, Europees marktleider op het gebied van datakwaliteitsoplossingen, verantwoordelijk voor alle kennisgerelateerde datakwaliteitsvragen. Daarnaast is hij bestuurslid van de commissie datakwaliteit van de DDMA, lid van de International Association for Information and Data Quality (IAIDQ) en docent op de Universiteit Utrecht (Moderne Naamkunde) en op Nyenrode Business Universiteit (Masterclass Data Quality Management). MAARTEN WEGDAM Als adviseur beweegt Maarten Wegdam zich op het grensvlak van ICT/technologie, business en gebruikers. Hij adviseert organisaties over innovaties die gerelateerd zijn aan digitalisering. De laatste jaren ligt het accent vooral op digitale identiteit, privacy en vertrouwen. Maarten Wegdam s specialiteiten zijn informatiebeveiliging in ketens, privacy, business modelling, digitale identiteiten, identity federation, autorisatie, authenticatie, mobile applications, context awareness, trust, middleware, NFC, identity verification, Internet of Things en personalization. MARCEL WENDT Marcel Wendt is CTO en mede-oprichter van Digidentity, een gecertificeerde Trusted Third Party (TTP), een onpartijdige organisatie die zakelijke betrouwbaarheid levert bij digitale transacties door middel van commerciële en technische beveiligingsdiensten. Onder zijn technische leiding heeft Digidentity een indrukwekkend portfolio van TTP producten ontwikkeld en op de markt gezet. X32 INFOSECURITY MAGAZINE - NR. 2 - MEI XI

18 CONGRES DIGITAAL ZAKENDOEN & EID DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK Bedrijfsprocessen stroomlijnen met digitale handtekeningen Wij maken digitaal zakendoen mogelijk, eenvoudig en rechtsgeldig! CoSign, de meest gebruikte oplossing voor digitale handtekeningen, biedt een breed scala aan configuraties die passen bij uw bedrijfsbehoeften, of deze nu zijn gebaseerd op de grootte of het type van uw organisatie, op het bestandsformaat/de apps die u momenteel gebruikt, of uw eisen voor techniek, beveiliging en regelgeving. Miljoenen ondertekenaars bij bedrijven, overheidinstanties en cloudleveranciers wereldwijd maken al gebruik van CoSign, de enige cross-enterprise oplossing voor digitale handtekeningen die betrouwbaarheid, integriteit, controle en beveiliging waarborgt voor papiervrije processen voor de bedrijfsomgeving. ONDERTEKENEN.NL IS EEN DIENST VAN EVIDOS, EXPERT IN DIGITALE HANDTEKENING OPLOSSINGEN Aan de basis van een betrouwbaar eid Al sinds 2007 stelt AMP voor diverse banken de identiteit van klanten vast. Via een bezoek aan de klant, thuis of op het werk, wordt de klant gezien en wordt zijn legitimatiebewijs gecontroleerd. Vanuit deze ervaring is AMP vanaf 2013 paspoorten aan burgers gaan bezorgen. Inmiddels verzorgt AMP ook binnen het eherkenning stelsel voor erkende partijen de face-to-face identificatie en staat daarmee aan de basis van een betrouwbare identiteit om online zaken te doen info@amp-logistics.nl twitter.com/amp_logistics facebook.com/amplogistics KPN is een toonaangevende leverancier van ICT-diensten. Onze producten en diensten helpen onze klanten én Nederland verder. Met slimme oplossingen richten we ons op maatschappelijke thema s die in de toekomst een steeds grotere rol gaan spelen, waaronder identity, security & privacy. KPN Trusted Services is bijna 20 jaar pionier op het gebied van elektronische identiteits-oplossingen voor zakelijke gebruikers en overheden. KPN levert identiteitsmiddelen en bijbehorende voorzieningen om veilig en betrouwbaar online te kunnen communiceren met zakenpartners en overheidsdienstverleners, en beheert als gecertificeerde, vertrouwde partij reeds miljoenen identiteitsmiddelen voor veilige communicatie. Met de toenemende digitalisering van onze samenleving nemen wij onze verantwoordelijkheid om een veilige en betrouwbare digitale samenleving te creëren. Wij investeren en ontwikkelen actief in het tot stand komen van nieuwe afsprakenstelsels en standaarden zoals eherkenning, eidas en eid/idensys. XII 34 INFOSECURITY MAGAZINE - NR. 2 - MEI 2015 XIII 35

19 CONGRES DIGITAAL ZAKENDOEN & EID DATUM: WOENSDAG 10 EN DONDERDAG 11 JUNI 2015 / LOCATIE: POSTILLION HOTEL BUNNIK 10 miljoen gebruikers, veilig verbonden Connectis helpt bedrijven en overheidsorganisaties. Dankzij onze software en diensten kunnen gebruikers veilig inloggen. Zo wordt betrouwbaar online zakendoen mogelijk. Dankzij de software van Connectis loggen meer dan 10 miljoen gebruikers veilig in op honderden websites. Meer weten? Kijk op Met wie doet u geen zaken? 47% van de consumenten liegt tijdens online registraties. Identificeer en valideer uw klanten. Snel, legaal en klantvriendelijk. Leer meer over online identificatie en validatie op cddn.nl of bel ons op VEILIG, EENVOUDIG EN VERBONDEN Digidentity is jouw digitale identiteit, één online profiel waarmee je toegang hebt tot overheden, zakelijke en private partijen. Bij ons ligt de controle over de gegevens volledig bij jezelf. Erkend aanbieder eherkenning Een zakelijke registratie om bijvoorbeeld online subsidie aanvragen te doen voor het bedrijf waar je werkzaam bent. Identificeren via je smartphone Veilig identiteitsbewijzen uploaden door een foto te maken met de Digidentity app op je smartphone. Nederlandse en Britse overheid Wij zijn bouwers van de Nederlandse DigiD en voor de Britse overheid zijn wij een van de identity providers. BKR is een onafhankelijke stichting, zonder winstoogmerk, die tot doel heeft om overkreditering en problematische schuldsituaties te voorkomen. De doelstelling van BKR is om overkreditering en problematische schuldsituaties bij consumenten te voorkomen en financiële risico s voor zakelijke klanten te beperken. Zo levert BKR een bijdrage aan een gezonde financiële dienstverlening en het bestrijden van misbruik en fraude. info@digidentity.eu Veilig en betrouwbaar thuisbezorgd! SAFE AND SECURE SAFE AND SECURE Dynalogic is dé specialist in personalized logistics: het aan de deur uitvoeren van face-to-face controles, ID verificaties en/of authenticaties in combinatie met flexibele same-day en next-day opdrachten op het moment dat de eindgebruiker dit uitkomt en met gepersonaliseerde positie- en statusupdates. SAFEANDSECURE XIV 36 INFOSECURITY MAGAZINE - NR. 2 - MEI 2015 XV 37

20 CLOUD-BEVEILIGING CLOUD-BEVEILIGER CIPHERCLOUD BREIDT UIT NAAR NEDERLAND Nu de opmars van de cloud niet meer te stuiten is, worden securityvraagstukken steeds ingewikkelder. De zakelijke cloudmarkt in Nederland zal naar verwachting in 2016 groeien naar 1,2 miljard euro, maar Europese en landspecifieke regelgeving op het gebied van gegevensbescherming dreigen een spaak in het wiel te steken. Cloud-enabler CipherCloud, nu ook in Nederland actief, doet daar wat aan. Het helpt organisaties over te stappen op cloudapplicaties zonder dat zij zich zorgen hoeven te maken over problemen met beveiliging. Dit congres is georganiseerd door: Het congres wordt mede mogelijk gemaakt door onze partners: Jeroen Blaas CipherCloud is een jong bedrijf dat groeit als kool. Pravin Kothari, oprichter en CEO van CipherCloud, en eerder co-founder van het securityplatform ArcSight dat in 2010 voor 1,5 miljard dollar door HP werd ingelijfd, zag 4,5 jaar geleden een gat in de cloudmarkt ontstaan dat gedicht moest worden. De voordelen van cloud zijn ondertussen wel duidelijk, vertelt Jeroen Blaas, general manager Europe bij CipherCloud. Er is echter één factor die bedrijven sterk heeft afgeremd in hun adoptie van de cloud, en dat is security. Traditionele securityleveranciers hadden allemaal hele mooie oplossingen om alles binnen het eigen bedrijfsnetwerk te beschermen. Maar toen steeds meer bedrijven de cloud opzochten, moesten ze het antwoord schuldig blijven. Dat is het gat dat Kothari zag ontstaan. Je had een oplossing voor data die onderweg is, kijk naar SSL. Je had encryptieoplossingen voor data at rest in het datacenter. Maar voor data in use waren er nog geen goede oplossingen. CipherCloud heeft daar iets voor ontwikkeld. Wij encrypten de data voordat die naar de cloud gaat. We zetten een gateway bij de klant neer in de vorm van een software appliance en al het verkeer gaat daar langs. Binnen één jaar stond er een product dat goed genoeg was om door een van de grootste Amerikaanse banken te worden aangeschaft. Op dat moment wist Kothari dat hij goed zat, vervolgt Blaas. De voordelen van de cloud gaan allang niet meer over kostenreductie, maar vooral over de snelheid en flexibiliteit waarmee je nieuwe bedrijfsprocessen kunt implementeren of reeds bestaande kunt aanpassen. ENCRYPTIE ON THE FLY Afhankelijk van de wet- en regelgeving waaraan een bedrijf onderhevig is, wordt de data door CipherCloud versleuteld of getokenized. Vaak is alleen versleuteling voldoende. Belangrijk punt hierbij is de vraag of versleutelde data wel of niet nog als informatie wordt aangemerkt. Dit in verband met de meldingsplicht waaraan bedrijven zich steeds vaker hebben te houden als er onverhoopt data van klanten onderweg verloren is gegaan. In bepaalde landen geldt die plicht niet als het slechts om versleutelde data gaat. Dat is geen informatie meer, is dan de redenering. Geen meldingsplicht betekent beperking van reputatieschade. Andere landen beschouwen ook versleutelde data nog gewoon als data. In dat geval is tokenizen een oplossing. Bepaalde kritische informatie blijft dan gewoon binnen de muren van het bedrijf en wordt naar buiten toe vervangen door tokens, waaruit de oorspronkelijke data alleen via een eigen tokendatabase binnen de bedrijfsmuren is te reconstrueren. Beide methoden kunnen zo nodig ook worden gecombineerd. VERSLEUTELDE DATA BLIJFT DOORZOEKBAAR Het bijzondere van CipherCloud s gepatenteerde encryptiemethode is onder meer dat versleutelde data gewoon doorzoekbaar blijft. Je kunt dus nog steeds gaan filteren. Dus zoek je bijvoorbeeld alle Jansens in een database, dan kunnen we nog steeds zien waar die zich bevinden, en dat vrijwel zonder vertraging, legt Blaas uit. Dat betekent bijvoorbeeld dat dashboards en e-maps, allerlei functionaliteit zoals die bijvoorbeeld in een cloud als die van Salesforce.com zit ingebakken, door CipherCloud overeind gehouden wordt, zonder de security aan te tasten. Dat is ons marktpotentieel. Alle bedrijven die in een gereguleerde industrie zitten, bijvoorbeeld banken die PCI compliant moeten zijn, kunnen nu als ze ons product installeren, met een gerust hart gebruikmaken van cloudapplicaties als Salesforce, Box, Office 365 en ServiceNow. Dick Schievels is journalist 38 INFOSECURITY MAGAZINE - NR. 2 - MEI