College bescherming persoonsgegevens

Transcriptie

1 JAARGANG 12 - APRIL/MEI e 12,00 magazine College bescherming persoonsgegevens focust op toezichthouden 007 in hackersland - Security dashboard voor preventieve beveiliging - Event Overheid & ICT - Privacy nieuw betaalmiddel - Crimeware kits - De Waarde van Data

2 Aan: Jan Systeembeheerder Onderwerp: Wat moet ik doen?? Jan, ik heb een vergadering en kan de link niet op de tablet openen, wat een waardeloos apparaat is dit! Hoeveel tijd besteedt u per dag aan het oplossen van gebruiker incidenten? Neem de controle en blijf problemen voor! De nieuwe manier om IT systemen te beheren, monitoren en supporten. SYSTEEM INVENTARISATIE COMPUTER- EN SYSTEEMBEHEER REMOTE SUPPORT EN ASSISTENTIE Panda Cloud Systems Management zorgt ervoor dat u controle heeft over uw netwerk, eenvoudig en proactief, terwijl de kosten verminderen en de efficienty verbeterd. MONITORING EN CONTROLE UITGEBREIDE RAPPORTAGES Bezoek ons voor een demo op Overheid & ICT stand 01.B087 PANDA CLOUD SYSTEMS MANAGEMENT BIEDT U EEN TOTAALOPLOSSING VOOR ÉÉN VASTE PRIJS. g Colofon - Editorial Infosecurity.nl magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Infosecurity.nl magazine verschijnt viermaal per jaar, toezending geschiedt op abonnementbasis Uitgever Jos Raaphorst jos@fenceworks.nl Hoofdredacteur Hans Lamboo hans.lamboo@fenceworks.nl Advertentie-expolitatie Will Manusiwa will@fenceworks.nl Abonnementen Wilt u zich abonneren op Infosecurity.nl magazine of heeft u een vraag over uw abonnement? Stuur een naar abonnementen@fenceworks.nl Vormgeving Media Service Uitgeest Drukwerk Control Media Infosecurity.nl magazine is een uitgave van FenceWorks B.V. Maredijk VR Leiden magazine Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: Privacy by Design Door toeval is privacy een onderwerp dat in deze editie veel aandacht krijgt. Privacy is een grondrecht, dat vastgelegd is in de grondwet. Het schenden van dit grondrecht is derhalve een ernstige wetsovertreding. Tot op dit moment is de enige straf die daarop staat reputatieschade. Komt het vergrijp de toezichthouder het CBP ter ore, dan kan deze een verplicht verbetertraject opleggen met een dwangsom. Een veel te zwak machtsmiddel, vinden politici. De bevoegdheden van het CBP gaan dan ook binnenkort veranderen. Er komen boetes en een meldplicht. De wetgeving op het gebied van bescherming van persoonsgegevens is tamelijk vaag. Het feit dat zich de afgelopen jaren een revolutie heeft voltrokken op het gebied van digitale informatie, maakt het er allemaal niet eenvoudiger op. Een wetgever heeft altijd moeite nieuwe ontwikkelingen bij te houden en loopt vaak achter de feiten aan. Maar op dit moment volgen de nieuwe ontwikkelingen elkaar in zo n hoog tempo op, dat het voor de handhavers het meest wegheeft van dweilen met de kraan open. Simpel gesteld zijn persoonsgegevens data die herleidbaar zijn tot een natuurlijk persoon. De bezitter van die data beschikt over informatie die in feite niet van hem is maar van de persoon die achter de data schuilgaat. In veel gevallen is het noodzakelijk persoonsgegevens te registreren, omdat het anders vrij lastig wordt om bijvoorbeeld zakelijke transacties te doen. De wetgever heeft daar begrip voor, maar verlangt wel dat er zorgvuldig met de gegevens wordt omgegaan. Verzamel niet meer data dan nodig voor de transactie. Gebruik de data niet voor andere doeleinden. Gooi de data weg als het irrelevant geworden is of anonimiseer en aggregeer de gegevens voor statistisch doeleinden. Kortom: het bezitten van persoonlijke data brengt grote verantwoordelijkheid met zich mee. Ondernemers brengen elk zakelijk risico in kaart en proberen ze zo beheersbaar te maken. Maar het zit nog niet in hun systeem om te beseffen dat het bezitten van persoonsgegevens óók een zakelijk risico is. Security beperkt zich nog te Het bezitten van persoonsgegevens is óók een zakelijk risico. vaak tot het digitaal dichttimmeren van netwerken en apparatuur. Daar is op zich weinig op aan te merken en zal datalekken helpen voorkomen, maar het heeft verder met privacybescherming weinig van doen. Het gaat erom wat de intenties van de bezitter van de data zijn, en wat hij er daadwerkelijk mee doet. Het is immers voor ondernemers en marketeers erg aantrekkelijk om databestanden te koppelen en te analyseren juist van persoonsgegevens. Maar in feite is dat dus strafbaar. Helaas blijkt dat veel organisaties zich pas zorgen gaan maken over privacy als zich een probleem voordoet. Waar we als samenleving naartoe willen is dat bescherming van persoonlijke informatie van meet af aan wordt ingebouwd in systemen. Privacy by Design dus. Maar zover zijn we nog lang niet. Hans Lamboo is hoofdredacteur van Infosecurity.nl magazine ONTDEK DE VOORDELEN & VRAAG EEN DEMO AAN OP: it-systemsmanagement.pandasecurity.com Infosecurity.nl magazine - nr. 2 - april 2013

3 Informatie als sleutel voor een slimme overheid 23 t/m 25 april 2013 Jaarbeurs Utrecht Overheid & ICT is hét platform voor ICT-toepassingen en -diensten voor de overheid g INHOUD 9 Recht & informatiebeveiliging In elk nummer onderzoekt Mr. Victor A. de Pous de juridische aspecten van security. 10 Eerste editie Security BootCamp een groot succes Dit security evenement, georganiseerd door SecureLink, stond in het teken van hot items op het gebied van security en networking. Het thema van de dag was daarom ook Heel Nederland Veilig. 16 Securitymanagers weer in control met msafe Waar publieke filetransfer- en opslagdiensten een zegen zijn voor de gebruiker, vormen ze een ware nachtmerrie voor de securitymanager. Gelukkig zijn er inmiddels verschillende veilige alternatieven op de markt. Een voorbeeld hiervan is Motiv msafe, een puur Nederlands product dat wordt gehost in datacenters in Nederland. Spanningsveld tussen technologie en privacy 6 Privacy is een grondrecht, vastgelegd in onze grondwet. Met de groei van de hoeveelheid persoonsgegevens heeft de wetgever bezitters daarvan opgelegd om passende maatregelen ter bescherming van de privacy te nemen. Het College bescherming persoonsgegevens (CBP) publiceerde recent richtsnoeren die aangeven wat in de praktijk kan worden verstaan onder passende beveiligingsmaatregelen. Wilbert Tomesen is lid van het College. We gaan niet elke norm invullen, wij geven het kader. MEDE MOGELIJK GEMAAKT DOOR Weet wat er speelt in de Cloud. Volg de Cloud Tour op Overheid & ICT BRANCHEORGANISATIES HOOFDMEDIAPARTNERS #oict13 Vraag nu gratis uw toegangsbadge aan via overheid-en-ict.nl 18 Security dashboard biedt preventieve cyberbeveiliging Digitale aanvallen op websites, netwerken, IT-systemen en zelfs smartphones zijn inmiddels aan de orde van de dag. De nieuwe online portal van Deutsche Telekom en dochteronderneming T-Systems biedt openheid en transparantie over huidige risicosituaties. 21 Vakbeurs Overheid & ICT CloudWorks en Infosecurity.nl magazine hebben tijdens de beurs een CloudTour en de SecurityTour uitgestippeld. 24 Nieuws 30 Crimeware kits Cybercriminelen maken steeds vaker gebruik van zogenaamde crimeware kits, een doe-het-zelf pakket waarmee ook minder handige criminelen websites kunnen infecteren IT-bedrijven presenteren hun visie op de waarde van data Op initiatief van drie communicatiebureaus vond in Hoofddorp het evenement De Waarde van Data plaats. Een interessante middag was het resultaat. 37 Roep om meer security speelt MariaDB in de kaart Terwijl grote web-bedrijven roepen om almaar snellere technologie om de enorme aantallen klanten en transacties aan te kunnen, neemt de roep om meer security zo mogelijk nog sneller toe. Dat speelt een open source database als MariaDB flink in de kaart. 38 Gewone bedrijfsapplicaties meest gebruikt voor aanvallen Palo Alto analyseerde het netwerkverkeer van meer dan drieduizend organisaties wereldwijd tussen mei en december Dat leverde een goed beeld op van applicatiegebruik en bedreigingen in Cloud security: houd de touwtjes in handen Uit onderzoek van Telindus-ISIT onder 214 IT-professionals blijkt dat vijftig procent nog altijd geen vertrouwen heeft in de beveiliging van public clouds. Een duidelijk signaal dus. 007 in hackersland 12 Er komt steeds meer informatie beschikbaar over virussen, malware, hacktivists en cybercrime. Anti-cybercrime organisaties speuren op internet naar activiteiten, IPadressen en verdachte sites. Sommige van deze organisaties gaan zover analisten in verdachte landen naar informatie te laten zoeken. Dat is het klassieke spionnenwerk zoals we dat kennen uit boeken en films, zegt Rhett Oudkerk Pool van Kahuna. Big Data en privacy kop en munt van nieuw betaalmiddel 26 Steeds meer menselijke activiteiten laten digitale sporen achter. De almaar groeiende databerg bevat dus steeds meer tot personen herleidbare informatie. De mate waarin hangt af van wat een persoon over zichzelf kwijt wil. Een nieuw betaalmiddel is geboren: persoonsgegevens. VINT-onderzoeker Menno van Doorn over het rapport Big Data: privacy, technologie en de wet. KENNISPARTNER MEDIAPARTNERS 42 Hoe dynamisch gaat uw organisatie om met data? Gastcolumn van Dirk Raeymaekers van Acronis. Infosecurity.nl magazine - nr. 2 - april 2013

4 g College bescherming persoonsgegevens (CBP) legt nadruk op toezichthouden DOOR Hans Lamboo Spanningsveld tussen technologie en privacy Privacy is een grondrecht, vastgelegd in onze grondwet. Met de groei van de hoeveelheid persoonsgegevens heeft de wetgever bezitters daarvan opgelegd om passende maatregelen ter bescherming van de privacy te nemen. Het beveiligen van de verwerkte persoonsgegevens is daarvan een essentieel onderdeel. Het College bescherming persoonsgegevens (CBP) publiceerde recent richtsnoeren die aangeven wat in de praktijk kan worden verstaan onder passende beveiligingsmaatregelen en ziet toe op de naleving. Wilbert Tomesen is lid van het College. We gaan niet elke norm invullen, wij geven het kader. In het kort gezegd is het CBP er voor het toezicht op de naleving van de Wetgeving bescherming persoonsgegevens. In artikel 13 van die wet staat dat organisaties en mensen die persoonsgegevens verwerken, gehouden zijn om passende maatregelen te treffen ter beveiliging van persoonsgegevens, zowel technisch alsorganisatorisch. Daarmee valt of staat de privacybescherming, zegt Wilbert Tomesen. Bedrijven moeten er voor waken te veel gegevens te verzamelen en moeten voorkomen dat de persoonsgegevens worden gebruikt voor andere doelen dan waarvoor ze verzameld zijn. Onze richtsnoeren beveiliging van persoonsgegevens geven invulling aan de term passende maatregelen. Elke bezitter van persoonsgegevens moet zijn eigen passende maatregelen nemen. Het CBP kan bij niet- naleving een verbetertraject af te dwingen op straffe van een dwangsom. Er ligt op dit moment een wetsvoorstel in de Tweede Kamer dat het CBP boetebevoegdheid moet geven, vertelt Tomesen. We kunnen dan direct een boete opleggen als wij een overtreding van de wet constateren. Dat is een passender sanctie in geval van gebleken opzettelijke nalatigheid. Toezicht Het CBP bestaat uit een college van drie leden en een ondersteunende dienst van ongeveer 75 mensen. De leden van het college worden op voordracht van de minister van Veiligheid en Justitie, tevens de beheerverantwoordelijke - benoemd door de Koningin. Maar inhoudelijk zijn wij onafhankelijk. Ook het ministerie heeft geen zeggenschap, bijvoorbeeld omdat onze adviezen hun wellicht niet aan zouden kunnen staan, zegt Tomesen. Het CBP houdt toezicht op de naleving van de privacywetgeving door zowel bedrijven als de overheid zelf. Wij onderzoeken bijvoorbeeld ook bij politie, justitie, ministeries of de Belastingdienst. Daarvoor moet je onafhankelijk kunnen opereren. Daarnaast geeft het College ook wetgevingsadviezen op het gebied van persoonsgegevens en dataverzamelen. Nog een reden om onafhankelijk te zijn. Aan de Raad van Advies van het CBP neemt ook het bedrijfsleven deel. Ook heeft het College zo nodig contact met belangen- en brancheorganisaties. Tomesen benadrukt echter dat het CBP focust op toezicht en handhaving en geen informatiebureau is voor bescherming van persoonsgegevens. Daar zijn gespecialiseerde adviesbureaus en advocatenkantoren voor, stelt hij. De markt behoort te weten wat er van ze verwacht wordt op het gebied van bescherming van persoonsgegevens. Het CBP houdt afstand om onafhankelijk teblijven. Door middel van het publiceren van richtsnoeren laten we de markt zien wat onze visie is. We publiceren onderzoeksrapporten, richtsnoeren en zienswijzen op verzoek, we communiceren met burgers via onze frontoffice, maar wij geven geen advies over concrete situaties aan bedrijven en organisaties die persoonsgegevens verwerken. De nieuwe beveiligingsrichtsnoeren zijn verschenen in februari Gezien alle veranderingen die zich momenteel in de maatschappij en op technologisch gebied voltrekken vond het CBP het nodig de kaders rond beveiliging en privacy te actualiseren. In een aantal concrete situaties hebben we het afgelopen jaar onze conclusies gepubliceerd. Ik denk aan ons onderzoeksrapport over de gegevensverwerking ten behoeve van de bonuskaart door AH, ons onderzoek naar Elke bezitter van persoonsgegevens moet zijn eigen passende maatregelen nemen. de inzet van camera s op de eerste hulp van een ziekenhuis, en de verwerking van medische persoonsgegevens door (commerciële) arbodiensten. We hebben de gedragingen van WhatsApp onderzocht. We hebben eigenlijk ontzettend veel gedaan, blikt Tomesen terug. Privacy is bij de meeste landgenoten niet top of mind. Pas in geval van een incident winden ze zich er over op. Ook het begrip privacy en de bijborende grenzen interpreteert elk mens op zijn eigen manier. Ook mensen die zeggen niets te verbergen te hebben, willen misschien toch bepaalde zaken geheim houden of vinden dat het een ander niet aangaat. Het is dus niet zo gek dat mensen zich zorgen maken over privacybescherming. Het is ook wel een taak voor de overheid, om een zeker niveau van bescherming te bieden, vindt Tomesen. Mensen weten immers nauwelijks wat er allemaal speelt. Wat weten de gebruikers nu meer van WhatsApp dan dat je er gratis een berichtje mee kunt sturen? We krijgen daarover veel vragen, net als over privacyproblemen in de zorg. Vergis u niet, wij krijgen over dit soort zaken veel telefoontjes binnen bij onze afdeling publieksvoorlichting. Dan zijn het er misschien maar 10 op een dag, maar achter die 10 mensen zitten nog 1000 andere mensen. Encryptie Het nemen van passende maatregelen op het gebied van bescherming van persoonsgegevens is dus een cruciale bepaling. Ondanks een aantal incidenten heeft dit niet tot rechtszaken geleid, bijvoorbeeld over schadevergoeding. Tomesen: Wij kunnen alleen maar naar onszelf kijken. Het CBP onderzoekt niet ieder datalek, niet ieder incident. We stappen niet naar de rechter. Ons enige wapen is op dit moment een gedwongen verbetertraject met een dwangsom. Bovendien kan het College nooit alle datalekken onderzoeken. Maar er komt binnen korte tijd een meldplicht, naast een boetebevoegdheid. We rekenen op ongeveer incidenten per jaar.het CBP zal zich bij elk lek de vraag stellen of het gaat om grote, vermoedelijk structurele overtredingen van de Wbp, die veel mensen raken. Dat betekent dat we in beginsel datalekken of misstanden zullen aanpakken die erg in het oog springen, waar een grote groep mensen wordt geraakt en waar een voorbeeldfunctie vanuit gaat, zoals een ziekenhuis of een supermarkt. We zullen altijd keuzes moeten maken. Niet elk gegeven kan worden gekwalificeerd als persoonsgegeven, omdat het niet altijd herleidbaar is naar een individueel persoon. In Europees verband vindt daarover al enige tijd een discussie plaats. Het gaat bijvoorbeeld om de vraag of een IP-adres nu een persoonsgegeven is, zegt Tomesen. Een IP-adres is voldoende om te individualiseren, to single out a person. En daarmee is een IP-adres, ook zonder dat de bezitter de naam van de eigenaar kent, een persoonsgegeven. De kern is, dat je met behulp van een IP-adres de eigenaar ervan ook kunt beïnvloeden met gerichte reclame, gerichte boodschappen, het geven van informatie. Een van de manieren die in de markt wordt gebruikt om persoonsgegevens te beschermen is encryptie. Dat kan in veel gevallen een passende maatregel zijn. Het CBP stelt zich met de Europese dataprotectieautoriteit op het standpunt, dat gegevens geen persoongegevens meer zijn als ze niet meer te ontsleutelen zijn. Maar het is van encryptie zelden de bedoeling om dat definitief te doen en de sleutel weg te gooien. Er is een tussenvorm, pseudonymous genoemd waarbij individuele gegevens geaggregeerd worden gebruikt, waarbij ook het indi- Infosecurity.nl magazine - nr. 2 - april 2013

5 g College bescherming persoonsgegevens (CBP) vidu zelf van geen belang is. Daar kijken wij heel feitelijk naar. Ik benadruk wel dat wij als CBP niet snel genoegen nemen met pseudonimisering. Als er een weg terug is uit de encryptie als de als de mogelijkheid bestaat de geaggregeerde of encrypte data in de oorspronkelijke staat te herstellen, blijven we bijzonder kritisch. Cloud De zogenaamde Patriot Act die Amerikaanse politie- en veiligheidsdiensten het recht zou kunnen geven tot het vorderen van data van Nederlandse organisaties op Amerikaans of Amerikaanse organisaties op Nederlands grondgebied, houdt de gemoederen in Europa al enige tijd flink bezig. Ook Nederlandse veiligheidsdiensten hebben echter op dat gebied vergaande bevoegdheden. Het is inderdaad vanwege justitie mogelijk om bestanden te benaderen en de Amerikaanse wet heeft daarbij een zeer lange arm, beaamt Tomesen. Daar voelen wij ons in Europa tamelijk onmachtig. In het kader van cloud computing hebben we wel nadrukkelijk gewezen op de risico s daarvan. Deze moeten een rol spelen bij de afweging of je persoonsgegevens in de cloud zet. Het plaatsen van Nederlandse persoonsgegevens in databases buiten Europa is een risicovolle zaak. Het is in de cloud nu eenmaal lang niet altijd bekend waar de server met de database zich fysiek bevindt, zegt Tomesen. De persoonsgegevens bevinden zich in elk geval buiten de invloedssfeer van het land van herkomst en dat brengt extra risico s met zich mee. De bezitter van de data is en blijft verantwoordelijk voor de gegevens en moet zich wellicht afvragen of hij zo n risico wel wil lopen. We zien dan ook een toename van Europese clouds, juist voor dit soort situaties. Enige tijd geleden werd het CBP gevraagd naar zijn visie op cloud computing door een onderwijsinstelling, die zijn gegevens wilde onderbrengen in een Amerikaanse cloud. Tomasen: In onze zienswijze hebben we gewezen op de verantwoordelijkheid en de risico s. Als je als instelling overweegt om gegevens in de cloud op te slaan, moet je je afvragen of je een dergelijk risico wel wilt nemen. Verantwoordelijkheid kun je niet verkopen, niet uitbesteden, niet cederen. Het gaat uiteindelijk om de persoonlijke gegevens van mensen. Een organisatie die dergelijke gegevens goedkoop in een Zuid-Amerikaans land laat beheren en waar ze vervolgens verdwijnen, kan zich er niet achter verschuilen dat ze hadden afgesproken dat de provider er goed op zou letten. Bewustwording Tomesen constateert dat het uitbesteden van IT-diensten in verre landen op zijn retour is. Bedrijven schijnen hun callcenters al weer uit India terug te halen.. Hun klanten accepteren het simpelweg niet meer. Mensen laten blijken dat ze het helemaal niet op prijs stellen dat hun gemeente alle persoonsgegevens gaat plaatsen op een server waarvan ze niet weten waar deze zich bevindt. Het gaat dus in dit hele verhaal vooral om bewustwording, zowel bij de eigenaar als de bezitter van persoonlijke gegevens. Een meldingsplicht van datalekken met persoonlijke gegevens, het krijgen van boetebevoegdheid, de op stapel staande nieuwe Europese privacyverordening die rechtsstreeks zal gelden in de lidstaten van Europa: er breken drukke tijden aan voor het CBP. Mijn grootste wens is dat we fors kunnen bijdragen aan de bewustwording. Dat een artikel zoals dit even onder ogen komt van een CEO en een beleidsmedewerker. Bewustwording op het gebied van verantwoordelijkheid en van risico, maar vooral van het feit dat het om persoonlijke gegevens van individuele mensen gaat. Dat we dat vooral niet uit het oog verliezen. Hans Lamboo is hoofdredacteur van Infosecurity.nl magazine. Privacy Impact Assessment Wat wezenlijk is voor ons, of het nu gaat om private bedrijven en instellingen of de overheid, is dat organisaties zich bewust zijn van het feit dat ze activiteiten ontplooien die aan persoonsgegevens raken. Kortom, wees je bewust van het feit dat je met persoonlijke data gaat werken. In dat verband gebruik ik graag de term privacy impact assessment. In het huidige regeerakkoord staat vermeld dat ook overheden met een privacy impact assessment gaan werken. Als een initiatiefnemer zijn businessmodel bedenkt, moet hij direct nadenken over de consequenties voor de privacy. Wat betekent het feitelijk in het kader van de bescherming van persoonsgegevens? Hoe worden de persoonsgegevens verkregen, hoe worden ze opgeslagen, wat zijn de criteria, wie mogen erbij en hoe lang bewaren we ze? Die vragen zouden structureel gesteld moeten worden, vindt Wilbert Tomesen, lid van het CBP. Het feit dat informatie digitaal is maakt dat het gemakkelijk en goedkoop te bewaren is. De bewaartermijnen lijken dan ook steeds langer te worden. Ten tweede maakt de beschikbare technologie het gemakkelijk om bestanden te koppelen. Dat maakt het verzamelen van gegevens lucratief, wat ervoor zorgt dat er snel in die hoek naar een oplossing van een probleem wordt gezocht. Ten derde is het van het grootste belang dat de mensen die verantwoordelijkheid dragen op bestuursniveau doordrongen zijn van het feit dat de privacyaspecten en mogelijke risico s op dat gebied altijd onderzocht moeten worden. Het moet een integraal onderdeel worden van alles wat je doet. Privacy by Design, waarbij privacyvoorzieningen van meet af aan worden ingebouwd in elk systeem. En als laatste punt: zorg dat u als verantwoordelijke op de hoogte blijft van nieuwe ontwikkelingen. Volg onze publicaties, lees onze richtsnoeren, wees u bewust van uw verantwoordelijkheid en onderken tijdig uw risico s. Het gaat om bewustwording, zowel bij de eigenaar als de bezitter van persoonlijke gegevens. g Recht & Informatiebeveiliging De bijt van toezichthouders 77 miljoen accounts van het Sony Playstation Network gehackt? Een privacy-inbreuk van jewelste. Naam, , rekeningadres, password, telefoonnummer, geslacht en geboortedatum. Nee, geen creditkaartgegevens, zegt Sony. Gamers uit de hele wereld werden in 2011 slachtoffer van belabberde beveiligingsmaatregelen voor een geavanceerd digitaal netwerk dat spelen in de wolken grenzeloos mogelijk maakt. Voer voor juristen. In het claimgrage Amerika daagde een advocaat de Japanse elektronicagigant op grond van het Californische consumentenrecht in een groepsgeding. De zittende magistraat zag daar geen heil in: there is no such thing as perfect security, en verwierp de zaak. De procedure noemen we uitzonderlijk. Zelden wordt een bedrijf of overheidsorganisatie voor de rechter ter verantwoording geroepen op grond van onzorgvuldige omgang met persoonsgegevens in relatie tot een beveiligingsverplichting. In Nederland kreeg zo n voorschrift een wettelijke basis toen onze eerste privacywet in werking trad. Dat was Een kwart eeuw later kunnen we niet terugvallen op een hoeveelheid verklarendeof richtinggevende jurisprudentie. Wat zijn dan die passende technische en organisatorische maatregelen tot beveiliging van persoonsgegevens om verlies of diefstal te voorkomen? Wanneer kunnen we een datalek aan wie toerekenen? En welke bedragen voor vergoeding van directe en immateriële schade zijn opportuun? Het College Bescherming Persoonsgegevens heeft geen verklaring waarom burgers, consumenten en bijvoorbeeld patiënten op grond van het beveiligingsartikel nauwelijks de gang naar de rechter maken. Wij wel, maar het is een hypothese. Los van de vraag of iedere rechter nogal oppervlakkig zal redeneren dat 100 procent beveiliging niet bestaat, dringt een vergelijking met softwarebugs op. De tweede helft van de jaren tachtig betrof de periode waarin standaardpakketten in allerlei soorten en maten voor de PC breed werden gebruikt. Dat vergrootte tevens de reikwijdte en gevolgen van programmeerfouten. Opmerkelijk: ook hierover is er de afgelopen 25 jaar in binnen- en buitenland niet of nauwelijks geprocedeerd door al die gebruikers die schade hebben geleden. De grond? Men de markt, de wereld accepteert domweg fouten in computerprogramma s. Het is niet anders. Ook datalekken schitteren kennelijk als voldongen feit. In de praktijk zien wetgevers en geen rechters die het onderwerp adresseren. Exclusief? Nee. In toenemende mate blazen toezichthouders een flinke partij mee. Zo moest Sony in de zaak van de geruchtmakende mega-hack aan de Engelse toezichthouder een boete betalen ter grootte van pond, omdat zij de privacywet had overtreden. Nog een voorbeeld. Google kreeg het in Verenigde Staten aan de stok met de Federal Trade Commission wegens het stiekem volgen van Safari-gebruikers. Bingo. Een schikking van 22,5 miljoen dollar. Behalve als sanctionerende instantie treden toezichthouders nadrukkelijk beleidsmatig op de voorgrond. Opinies, zienswijzen, richtsnoeren over allerhande privacy-gerelateerde issues zien vandaag de dag in hoog tempo het licht. Daar is niet iedereen blij mee. Waakhonden kapen privacybeleid, aldus Thuiswinkel.org. De brancheorganisatie ziet dat toezichthouders zich nu eens als rechter, dan weer als wetgever manifesteren. Een gang van zaken die volledig indruist tegen de basisprincipes van democratisch bestuur. Dat het College Bescherming Persoonsgegevens zich hierin niet herkend, mag niemand verbazen. Hij repliceert met de verwijzing dat zowel de huidige als aankomende wetgeving een technologieneutraal karakter heeft. Zonder interpretatie van de privacyregels kom je in de dynamische informatiemaatschappij niet ver. Wat is wijsheid? We zien allereerst een sterk grondwettelijk recht. Dat grondrecht staat onder druk door de modus operandi van allerlei gratis clouddiensten die fors marktaandeel verwerven. Europese Commissie en toezichthouders staan heldhaftig zij en zij voor stevige privacyrechten, terwijl Europese ministerraad en parlement de kant van het bedrijfsleven kiezen. Ondertussen verkrijgen overheden uit oogpunt van criminaliteit- en terrorismebestrijding telkens meer en zwaardere bevoegdheden. Gemeenschappelijke belangen zijn er nauwelijks. Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Infosecurity.nl magazine - nr. 2 - april 2013

6 g Security is geen product maar een proces van de redactie Eerste editie Security BootCamp een groot succes In miniatuurstad Madurodam heeft op 6 maart 2013 de eerste editie van Security BootCamp plaatsgevonden. Het security event, geheel georganiseerd door SecureLink, werd op gepaste wijze geopend door misdaadverslaggever en host Peter R. de Vries. De gehele dag stond in het teken van hot items op het gebied van security en networking. Het thema van de dag was daarom ook Heel Nederland Veilig. David Koretz, CEO van Mykonos, welk bedrijf recentelijk is overgenomen door Juniper Networks, beet het spits af met de eerste plenaire sessie. Het innovatieve Mykonos is het eerste Web Intrusion Deception systeem dat hackers detecteert, volgt, profileert en real-time blokkeert. Koretz inspirerende verhaal over de Bertillon-methode en de vergelijking met de IP-adressen van nu, maakten duidelijk dat de Mykonos- technologie er een is om te onthouden. Het bleef namelijk angstig stil in de zaal toen David vroeg: Wie weet er zeker, dat er op dit moment geen hacker actief is op uw corporate website? Hiermee haalde David exact de problematiek naar boven die nu speelt en werd duidelijk hoe de nieuwe Juniper Networks Mykonos-oplossing hiermee omgaat, het inzichtelijk maakt en ook daadwerkelijk voorkomt. The biggest challenge to your dynamic environment is security Lee Klarich, VP Product Management bij Palo Alto Networks, haakte in op de trend security en virtualisatie. Met de komst van virtuele datacenters en private en public cloud is de juiste security- inrichting een van de grootste uitdagingen anno Lee gaf aan, dat er een duidelijke verschuiving plaatsvindt in de ontwikkeling van het datacenter zoals dat vroeger bestond en de huidige infrastructuren van de datacenters die nu worden gebouwd. De presentatie ging dieper in op het aspect virtualisatie en security. Virtualisatie is een feit, echter de security tussen de verschillende virtuele lagen laat te wensen over en dient mee te worden genomen in de totale IT-securityinfrastructuur waarbij eenvoud van beheer key is. De oplossing van Palo Alto Networks biedt een compleet portfolio aan verschillende security gateways die ook deze virtuele laag aanpakken. Palo Alto Networks heeft medio november vijf nieuwe producten gelanceerd: de VM-series, WildFire subscription, PAN- DB, de PA-3000 series en de M-100 management appliance. Al deze producten geven de veelomvattende aanpak van Palo Alto Networks weer op het gebied van virtualisatie, next generation firewallplatformen en managementhardware. Parallelsessies In de parallelle sessies, die een ieder van tevoren kon selecteren, kwamen onder andere journalist Brenno de Winter, ethisch hacker Jeroen van Beek, security-consultants van SecureLink, customer cases en leveranciers aan bod die hun (kritische) visie op security deelden met de meer dan 240 aanwezigen. De sessies met onderwerpen als Modern Malware, Wireless Security en Designing a Zero Trust Network werden goed bezocht door het overwegend technische publiek. Ook de hands-on firewall workshop van Palo Alto Networks is goed bezocht. In deze workshop, ook wel de Ultimate Test Drive genoemd, konden de aanwezigen zelf aan de slag met allerlei configuraties van deze next generation security gateway. Back to the Future In de een na laatste sessie werd door technisch directeur van SecureLink, Peter Mesker, verbinding gemaakt met In een fictief gesprek met zichzelf in de toekomst werd de ontwikkeling van security intelligentie, IPv6, virtualisatie en cloud bursting besproken. Ook de term AHIRI, afkorting voor Artificial Human Interaction Recognition & Interception, werd onder de loep genomen. Aan de hand van deze visionaire sessie is onder de aanwezigen gevraagd te antwoorden op de volgende stelling: In de toekomst is een belangrijk aspect van IT security gericht op de vereenvoudiging van het beheer en het verkrijgen van inzicht door goed leesbare rapportages. Een duidelijke meerderheid van 92 procent was het eens met deze stelling. Het cliché meten is weten is hiervoor een veel voorkomend argument. Daarnaast wordt ook het management steeds meer betrokken bij de vaak complexe materie en zorgen goed leesbare rapportages voor een duidelijke motivatie bottom-up. Door de vele veranderingen in het IT-securitylandschap en de toename van de hoeveelheid data lopen ook de kosten voor het beheer steeds meer op. De vereenvoudiging van dit beheer maakt het proces eenvoudiger en tevens kwalitatiever. Ofwel: zonder inzicht ben bent u niet in control. Hier werd wederom duidelijk dat security geen product is maar een proces. 35 jaar misdaadverslaggever Peter R. de Vries eindigde de dag met een presentatie over zijn 35 jaar ervaring als misdaadverslaggever. Daar waar vele mensen Peter R. de Vries kennen van zijn televisieoptredens, ging Peter ditmaal dieper in op hoe hij als klein jongetje al gefascineerd was door krantenartikelen over onopgeloste moorden. Vervolgens heeft hij het publiek meegenomen tijdens zijn loopbaan, waarbij bekende zaken zoals de ontvoering van Heineken, de moord op Marianne Vaatstra en de Puttense moordzaak maar ook minder bekende zaken aan bod kwamen. Vervolgens kreeg het publiek de kans alles te vragen wat zij maar wilden, wat resulteerde in een boeiende interactie met de Vries. Security BootCamp De volgende editie van Security Boot- Camp zal plaatsvinden op 12 maart Op de website van SecureLink, www. securelink.nl, zullen de locatie, sprekers en andere zaken in de maanden voor het event bekend gemaakt worden. Vele bezoekers stelden vooral de technische inhoud van de dag in combinatie met de visie die gegeven is op ons vakgebied op prijs. Zij hebben aangegeven, dat er absoluut ruimte is voor een dag als Security BootCamp op een toch volle evenementen kalender. Het delen van kennis en ervaring ziet SecureLink als haar verplichting in de ontwikkeling en zichtbaarheid van IT security. 10 Infosecurity.nl magazine - nr. 2 - april

7 g ThreatScapes van isight Partners wapen in strijd tegen 007 in hackersland Er komt steeds meer informatie beschikbaar over virussen, malware, hacktivists en cybercrime. Anti-cybercrime organisaties speuren op internet naar activiteiten, IP-adressen en verdachte sites. Sommige van deze organisaties gaan zover analisten in verdachte landen naar informatie te laten zoeken. isight Partners is zo n organisatie. Uit alle informatie stellen ze ThreatScapes samen, en bieden die op de securitymarkt aan. ThreatScapes bevatten informatie niet alleen ter detectie en preventie, maar beantwoorden ook de hoe en wie. Informatiebeveiliger Kahuna vertegenwoordigt het bedrijf in Nederland. De firewall vormt het verbindingspunt tussen de binnen- en buitenkant van een netwerk. De laatste jaren is een verschuiving opgetreden van activiteiten die zich achter de firewall voltrokken naar daar buiten. Begrip van wat er zich in die buitenwereld allemaal afspeelt, is dus van het allergrootste belang. Hoe werken virussen en malware? En hoe werken cybercriminelen? De Amerikaanse organisatie isight Partners verzamelt en analyseert informatie en deelt die met zijn partners. Het bedrijf opereert vanuit diverse kantoren in de VS, dichtbij probleemgebieden zoals China en Oekraïne en heeft sinds kort een technologievestiging in Amsterdam. Occasion visability Met het beschikbaar komen van alle informatie rijst de vraag op welke manier deze cyber intelligence, harde informatie en IP-adressen, toegepast kan worden. Een lijst van foute IP-adressen kan worden gebruikt in een firewall om ze direct te blokkeren, of eerst te checken in hoeverre een adres tot last is en indien nodig te blokkeren. Die keuze kan alleen gemaakt worden op basis van feitelijke waarneming. Bij het samenstellen van een IP-reputatiedatabase maakt Kahuna overigens niet alleen gebruik van informatie van isight Partners, maar van meer dan 27 bronnen. Een deel van de informatie is publiek te verkrijgen uit bijvoorbeeld honeypot-projecten, voor een deel moet worden betaald, zoals isight Partners en bijvoorbeeld HP tippingpoint. Partner Norman levert elke dag url s en IP-adressen aan, waar foute dingen gebeuren. Niet in lijstvorm, maar alleen de nieuwe. De kwaliteit van de informatie en snelheid waarmee het ons bereikt is van het grootste belang; daarnaast weegt de relevantie van de informatie voor onze klantenkring mee, zegt Rhett Oudkerk Pool, oprichter/eigenaar van informatiebeveiliger Kahuna. Een van onze leveranciers, Palo Alto, brengt een Global Friend - rapport uit, een occasion visability rapport. Van alle proven concepts die zij in de wereld doen, brengen zij een deel rapport in. We gebruiken dus intelligence vanuit de hele wereld, om onszelf bij te scholen, om configuraties in het veld te verbeteren en om de harde, feitelijke informatie te verzamelen. Url s, IP-adressen, protocollen, methodieken en tools. Al deze informatie is verzameld door de bewegingen op internet gade te slaan, door gebeurtenissen in kaart te brengen, door de honeypots te legen. Deze informatie is echter vrij reactief, het brengt immers slechts in kaart wat er gebeurt. Het liefst zou je willen weten wat er staat te gebeuren, zegt hij. Dergelijke informatie zul je moeten zoeken en halen. Daarin voorziet isight Partners. Zodra een bedrijf een subscriptie sluit met isight Partners, begint het rapporten te ontvangen. Die rapporten zijn veelomvattend en moeilijk leesbaar, bovendien kan het zijn dat het bedrijf maar interesse heeft in een heel klein stukje van de informatie. isight Partners werkt daarom met zogenaamde ThreatScapes, die per domein informatie geven en aanduiden welke technologie een relatie heeft met welke andere technologie(en). isight Partners produceert een Threat- Scape over advanced persistent threats, een over e-crime, over DDos, een scala aan onderwerpen, licht Oudkerk Pool toe. isight Partners helpt de gebruiker die zich aan het inlezen is in een dossier, door het gehele ecosysteem waar de ThreatScape deel van uitmaakt visueel te maken. Vindt de gebruiker iets dat hem cybercrime interesseert, dan ziet hij op de afbeelding de plaats daarvan in het grotere geheel en daardoor ook de relaties met andere onderwerpen. ThreatScapes vormen in feite een visuele representatie, een index, een hoofdstukindeling over het onderwerp. Klassieke analyse isight Partners vergaart deze informatie op een aantal manieren, ook via mensen die werken in de landen waar veel cybercriminaliteit is. Deze mensen moeten meerdere talen spreken en bovendien de slang van de onderwereld begrijpen. Ze beschikken over een relatienetwerk en de benodigde technische kennis. Deze mensen werken op een manier die veel wegheeft van klassieke analyse ten behoeve van spionage. De agenten worden op pad gestuurd op basis van een hypothese en gaan op zoek naar bewijzen welk element van de stelling waar is. Dat brokje informatie sturen ze naar het hoofdkwartier terug, beschrijft hij de werkwijze. Stel, de hypothese is dat bedrijf A ergens volgende week met een bepaalde technologie zal worden aangevallen. De ene analist zal ontdekken dat het niet volgende week, maar volgende maand zal plaatsvinden. Een ander vindt uit dat het niet om bedrijf A maar om de buurman bedrijf X gaat. Een derde analist constateert dat de veronderstelde technologie helemaal niet populair is DOOR Hans Lamboo RSA gehackt Enige tijd geleden werd het securitybedrijf RSA gehackt. Bij het beschouwen van elke fase in het hackingproces blijkt elke stap (weer binnen de context) een trigger. Het werkstation van een HRmedewerker is aangesloten op het High secure-level netwerk van RSA, dat ook toegang geeft tot de meest kritische informatie, de kroonjuwelen. De betreffende medewerker haalt uit zijn quarantainebox een mailtje en klikt op de attachment. De antivirussoftware had dus al geconstateerd dat er iets mis mee was, maar de titel van het document is blijkbaar zo aantrekkelijk dat de medewerker er toch op klikt. Alleen al het feit dat iemand aangesloten is op het meest kritische netwerk, zou al aanleiding moeten zijn om hele krachtige monitoring te organiseren: alles wat er binnen die infrastructuur gebeurt, moet bekeken en geanalyseerd worden. Bovendien is het openen van een attachment in een quarantaine directory een actie die gemakkelijk kan worden geblokkeerd. Het onheil is echter geschied: het attachment installeert software op de pc van de HR-medewerker. Het werkstation gaat sniffen over de infrastructuur en begint vervolgens data naar buiten te pompen naar een server waarvan bekend is dat die in handen is van de Russische maffia. Er zijn serverproviders, waarvan de hele range het best direct in de firewall geblokkeerd kan worden. Want als de betrokken organisatie geen vestiging heeft in Sint-Petersburg en het netwerk is daar druk mee aan het communiceren, dan betekent dat niet veel goeds. bij de verdachte groepering, en meldt dat het hoogstwaarschijnlijk om andere technologie gaat. isight Partners asembleert als het ware alle losse informatie tot één stuk intelligence. Dat is het klassieke spionnenwerk zoals we dat kennen uit boeken en films. Er zijn ook ontelbaar vele ondergrondse marktplaatsen waar isight Partners de Dat is het klassieke spionnenwerk zoals we dat kennen uit boeken en films. 12 Infosecurity.nl magazine - nr. 2 - april

8 MIGRATIE PUBLIC CLOUDCOMPUTING CLOUDSHOPPINGAPPSlaatste exploits tegenkomt. Een illustratief voorbeeld: stel, Microsoft komt met VIRTUALISATIE SECURITY een nieuw device. Dan zullen cybercriminelen direct gaan proberen de kwetsbaarheden ervan te zoeken en te misbruiken, er een exploit voor te maken. Dan is het heel interessant om de tijdlijn LAAS AAS te volgen: wie werkt er aan, wanneer MIGRATIE komt wat in de media, of in de community, welke groeperingen doen wat. Wie gaat verder met het materiaal dat is ontdekt? Wie werkt samen met wie? Welke forumdiscussies leven er, welke niet? Er wordt IGRATIE dus ook veel informatie van het web zelf PRIVATEAPPS gehaald, zowel van publieke als gesloten gedeelten, als onderdeel van de hypothesetechniek. HYBRIDE CONVERSION LOUDCOMPUTING Context is cruciaal Wat doet Kahuna met al die informatie? Aan de ene kant gebruiken wij die informatie om onze mensen up to date te PRIVATE SECURITY houden, een aantal mensen binnen ons LAAS PRIVATE bedrijf hebben daar vrij toegang toe via LAAS REEN IT een een soort portal, zegt Oudkerk Pool. Meer organisaties in Nederland zouden de informatie van isight Partners moe- CONVERSION ten gebruiken, vindt hij. Maar Nederland HYBRIDE is een klein landje, met andere budgetten IT MANAGEMENT dan bijvoorbeeld in de VS. Daarnaast is er het probleem van de technische inter- GREEN IT gratie van onze en hun intelligence. Een IP-adres is heel concreet en simpel, maar we willen ook accessable intelligence maken. Kahuna doet eigenlijk de inside out, zij doen de outside in. Dat komt allemaal samen op de perimetergrens, de firewall. cloudworks.nu De next generation firewall. Daar zijn dus detectiemethodieken voor nodig en een ecosysteem om te kunnen monitoren. Het gaat daarbij om de hele keten: hoe gaat de informatie van buiten naar binnen en andersom. Al die componenten spelen daar een rol in en kunnen ook misbruikt worden. Daar moet dus een monitoringlaag over gezet worden, die in de gaten houdt wat er nu vandaag gebeurt en die gegevens vergelijkt met een archief. Stel, een firewall houdt continu verkeer tegen van een specifiek Chinees IP-adres. Een week later is er plotseling uitgaand verkeer naar datzelfde IP-adres. Dat moet je DAT MANAGEMENT AS GREEN VIRTUALISATIE STORAGE SOLUTIONS SOLUTIONS PUBLIC STORAGE PAAS g ThreatScapes van isight Partners kunnen voorkomen met een next generation firewall. Bij alle security-incidenten in de wereld is de vraag: had dit kunnen worden gezien of niet? En zo ja, waarom is het dan niet gezien? Een van de redenen daarvoor is dat het meestal om normaal netwerkverkeer gaat, of een gebruikelijke actie. Het gaat om de context: iemand doet een printjob op een printer waar hij normaal gesproken nooit op print, of op een tijdstip waarop dat normaal gesproken niet gedaan wordt; of het gaat om een document wat normaal gesproken alleen door de directiesecretaresse mag worden geprint. Uit al die extra gegevens blijkt dat die normale printactie dus helemaal niet zo normaal is. Context is van cruciaal belang, stelt Oudkerk Pool. Reputatieschade Het is onmogelijk een IT-omgeving voor de volle 100 procent te beveiligen. Het gaat dan ook altijd wel ergens mis, dat is een gegeven, zegt hij. Dat betekent niet dat een organisatie dan maar geen maatregelen hoeft te nemen. Wat belangrijk is, is dat de investeringen in de bescherming van de IT-omgeving evenwichtig gedaan worden. Het is opvallend dat er in dat verband vaak gesproken wordt over reputatieschade, terwijl uit diverse onderzoeken blijkt dat die schade in de praktijk relatief gering is. Een incident kost altijd wel wat klanten, maar vroeger werd gedacht dat klanten massaal hun geld bij hun bank zouden gaan opnemen na een hackingincident - maar dat gebeurt niet. Nederlands internetbankieren werkt heel vaak niet, maar het is niet zo, dat die banken daardoor duizenden klanten verliezen. Mensen hebben er begrip voor, zolang de bank maar uitlegt wat er aan de hand is. Dat sommige acties die het internetbankieren stilleggen preventief zijn. Als een bedrijf niet goed communiceert of gaat liegen, ja dán is het raak. Hans Lamboo is hoofdredacteur van Infosecurity.nl magazine Over Kahuna Directeur/eigenaar Rhett Oudkerk Pool richtte in 1998 informatiebeveiligingsbedrijf Kahuna op. Kahuna levert (Managed) Security-oplossingen aan talrijke organisaties in het bedrijfsleven, de financiële sector en de overheid. Door de sterk opkomende cybercriminaliteit nemen het strategisch belang van Security en Compliance Management alleen maar toe. Tegelijkertijd worden netwerkinfrastructuren almaar complexer en wordt het risicoveld breder en gevarieerder, waardoor informatiebeveiliging meer en meer verschuift van detectie naar preventie. Dat komt tot uiting in het Kahuna Security Management Framework dat een afgewogen aanpak van preventieve en detectieve maatregelen omvat. Big Data Analytics, het analyseren van grote hoeveelheden gegevens, is een trend die sterk in opkomst is, zeker op het gebied van security. Kahuna s verrijkte Security Information & Event-oplossing (SIEM) wordt al jaren ingezet als het gaat om het verzamelen, analyseren en rapporteren van grote hoeveelheden gegevens ten behoeve van Security en Compliance Management. Sinds kort is Kahuna de Nederlandse vertegenwoordiger van isight Partners, een Amerikaans bedrijf dat gespecialiseerd is in informatievoorziening omtrent cybercrime. Het is onmogelijk een IT-omgeving voor de volle 100 procent te beveiligen. 14 Infosecurity.nl magazine - nr. 2 - april

9 g Veilig bestanden uitwisselen over internet DOOR Ferry Waterkamp Securitymanagers Zelfs de criticasters zijn het erover eens: voor privégebruik is een dienst als Dropbox een geweldig idee. Bestanden die in de cloud worden opgeslagen, zijn direct beschikbaar op laptop, tablet en smartphone en kunnen eenvoudig worden gedeeld met vrienden en familie. Voor de kosten hoef je het ook niet te laten. Zo wordt bij Google Drive 5 GB aan opslagcapaciteit gratis weggegeven. Wie bijvoorbeeld een HTC One-smartphone aanschaft, krijgt er zelfs twee jaar lang een 25 GB Dropbox-account bij. De problemen beginnen als diezelfde smartphone met geautomatiseerde Dropbox-applicatie toegang krijgt tot het bedrijfsnetwerk, en Dropbox wordt gebruikt voor het opslaan en delen van bestanden. Op dat moment verliest de securitymanager de controle over zijn data en komt de compliancy in gevaar. weer in control met msafe Waar publieke filetransfer- en opslagdiensten zoals Dropbox, WeTransfer en Google Drive een zegen zijn voor de gebruiker, vormen ze een ware nachtmerrie voor de securitymanager die de controle over zijn data dreigt te verliezen. Gelukkig zijn er inmiddels verschillende veilige alternatieven op de markt. Een voorbeeld hiervan is Motiv msafe, een puur Nederlands product dat wordt gehost in datacenters in Nederland. Persoonlijke cloudcontainer Bedrijven die het zakelijk gebruik van publieke filetransfer- en opslagdiensten niet aan banden leggen, lopen op de eerste plaats het risico het intellectueel eigendom over hun eigen documenten te verliezen. Bestanden die in Dropbox worden opgeslagen, komen terecht in een persoonlijke cloudcontainer. Een werknemer die de onderneming verlaat, neemt zijn of haar persoonlijke cloudcontainer inclusief documenten met zich mee. De onderneming heeft vervolgens het nakijken. Een ander probleem is dat compliancy in gevaar komt als er geen overzicht meer is van waar bestanden zich bevinden, en wie allemaal toegang hebben tot die rondzwervende bestanden. De betrouwbaarheid van data komt bovendien in gevaar als niet meer is vast te stellen waar zich de laatste versie van een document bevindt. Ook kunnen documenten eenvoudig in verkeerde handen vallen of worden onderschept. Het invullen van het verkeerde adres bij het delen van een document of het verlies van smartphone of tablet is daarvoor al voldoende. Ook is het voor een bedrijf moeilijk om na te gaan hoe de aanbieders van publieke filetransfer- en opslagdiensten hun security hebben geregeld en of er mogelijk sprake is geweest van een incident. Veilige alternatieven Gelukkig zijn er diverse oplossingen op de markt die veel van deze problemen wegnemen. Een voorbeeld daarvan is Accellion dat onder andere wordt geleverd door mite, een specialist op het gebied van enterprise mobility. Het in 1999 opgerichte Accellion is al enkele jaren een marktleider als het gaat om filesharingen managed filesharing-oplossing. Sinds 2010 richt het bedrijf zich nadrukkelijker op het mobiele domein. Accellions Secure Mobile File Sharing-oplossing is onpremise en in de public of private cloud te gebruiken. Een ander voorbeeld is Cryptshare dat in Nederland wordt geleverd door onder andere ICT Security-specialist Motiv. Bij Cryptshare ligt de focus op het uitwisselen van grote bestanden via . Hierbij worden de bestanden niet op de mailserver opgeslagen maar op de Cryptshareserver. Deze server staat binnen het netwerk van de gebruiker achter de firewall in de DMZ. De bestanden worden daar met een AES-versleuteling opgeslagen terwijl zowel de upload als de download Motiv heeft met msafe een puur Nederlands, veilig alternatief voor diensten als Dropbox en WeTransfer op de markt. via SSL-verbindingen verlopen. Daarmee is Cryptshare een high-end security-oplossing die organisaties in staat stelt om grote bestanden veilig te versturen. Sinds februari van dit jaar heeft Motiv met msafe ook een puur Nederlands, veilig alternatief voor diensten als Dropbox en WeTransfer op de markt. msafe is een eigen ontwikkeling van Motiv en wordt gehost in datacenters in Nederland. Hierdoor hebben gebruikers de garantie dat bestanden binnen Nederland worden opgeslagen. Werking msafe msafe is speciaal ontwikkeld voor de zakelijke markt, voor het veilig en betrouwbaar uitwisselen van bijvoorbeeld personeelsdossiers, medische dossiers of financiële informatie. Een ander concreet voorbeeld is het aangetekend versturen van digitale post. msafe levert in de transactielog en in de rapportage het bewijs voor verzending en ontvangst. Op die manier weet de verzender uiterst zeker dat de ontvanger het document heeft ontvangen. Motiv draagt zorg voor de beveiliging van de uitgewisselde bestanden en voorkomt oneigenlijk gebruik van het platform door de dienst continu te bewaken. De basis van msafe is een werkruimte die een organisatie bijvoorbeeld per project, klant of contactpersoon aanmaakt. Aan deze virtuele folder koppelt de beheerder of eigenaar gebruikers die op de werkruimte inloggen met behulp van een gebruikersnaam ( adres), wachtwoord en een eenmalige code. Deze code wordt per sms verstuurd naar het mobiele nummer van de gebruiker. Gebruikers kunnen vervolgens bestanden met een omvang van maximaal 10 GB uploaden naar de werkruimte. Deze bestanden komen eerst in een quarantaineomgeving waar Motiv ze scant op malware. Daarna krijgen de gebruikers automatisch per een melding van de upload waarna een bestand kan worden gedownload en nieuwe bestanden weer worden geüpload. De dienst is volledig webgebaseerd en vereist geen installatie van software; alleen bestanden groter dan 100 MB vereisen een plug-in van Microsoft Silverlight. Door de combinatie van gebruikersnaam, wachtwoord en sms-code werkt msafe standaard met sterke authenticatie. Ook standaard is de versleuteling van zowel de uitwisseling als de opslag van digitale bestanden. Motiv maakt voor encryptie, handtekeningen en integriteitscontrole gebruik van de 256-bits AES-, de bits RSA- en SHA-512-algoritmen. Per werkruimte kan een bewaartijd worden ingesteld waarna een werkruimte automatisch wordt verwijderd. De tijdsduur tussen het aanmaken van een werkruimte en het verwijderen, bedraagt maximaal dertig dagen. Ook is het mogelijk om een bestand automatisch te laten verwijderen direct nadat deze door de ontvanger is gedownload. Twee varianten Motiv levert msafe in twee varianten. De Business-variant is een 100 procent cloudoplossing waarbij Motiv zorgt voor secure hosting in de twee eigen datacenterlocaties, die worden ingehuurd bij een datacenterexploitant in Nederland. Business+ is de maatwerkvariant, waarmee Motiv msafe als klantinterne oplossing wordt gepositioneerd. Hiermee is het bijvoorbeeld mogelijk om Motiv msafe Business+ te integreren met de Active Directory en met bestaande systemen en applicaties. Een ander voorbeeld van maatwerk is de mogelijke integratie met authenticatietechnieken zoals RSA SecurID, DigiD en SecurEnvoy. Motiv msafe Business+ kan als private clouddienst worden afgenomen, maar ook binnen de eigen infrastructuur worden geïnstalleerd. Ferry Waterkamp is freelance journalist. I-FourC I-FourC is een van de eerste bedrijven die gebruikmaakt van Motiv msafe voor het veilig uitwisselen van documenten over internet. Door al in een vroeg stadium te sparren met Motiv hebben wij zelfs een beetje bijgedragen aan de ontwikkeling van het product, vertelt Information Security Officer Maurice Sanders van I-FourC, een specialist in het archiveren en digitaliseren van dossiers. Het bedrijf uit het Limburgse Reuver was al geruime tijd op zoek naar een oplossing om bijvoorbeeld referentiebestanden veilig naar de klant te sturen. Een dergelijke oplossing was in Nederland eigenlijk nog niet voorhanden. Er zijn wel buitenlandse aanbieders maar daar heb je als klant vaak geen gevoel bij en je weet ook niet waar je bestanden komen te staan. Als I-FourC, waar we veiligheid hoog in het vaandel hebben staan, willen we ook geen gebruikmaken van bijvoorbeeld Dropbox of WeTransfer. Zo bestaat bij WeTransfer het risico dat je per ongeluk het verkeerde adres invoert waardoor vertrouwelijke informatie naar de verkeerde persoon wordt gestuurd. Toen de zoektocht naar een geschikte oplossing niets opleverde, besloot I- FourC bij Motiv aan te kloppen. Sanders: Daarna is het snel gegaan. msafe wordt nu binnen I-FourC standaard ingezet voor het veilig uitwisselen van documenten, zoals projectplannen tussen collega s onderling en met klanten en businesspartners. 16 Infosecurity.nl magazine - nr. 2 - april

10 g Website toont real-time aanvallen op honeypot-systemen en zendt waarschuwingen uit DOOR Hans Vandam Patrick de Goede van Eijk, security expert bij T-Systems Nederland, legt uit: We willen een beter zicht krijgen op de dreigende situaties en antwoord krijgen op belangrijke security-vragen. Welke systemen vallen hackers het meest aan? Op wat soort momenten gebeurt dit? En in welke regio s lopen bedrijven het grootste risico? Op basis van de antwoorden kunnen we immers gericht actie ondernemen en cybercrime zo goed als mogelijk binnen de perken houden. Een beveiligingsradar en een platform Security dashboard biedt preventieve cyberbeveiliging Digitale aanvallen op websites, netwerken, IT-systemen en zelfs smartphones zijn inmiddels aan de orde van de dag. Bovendien verschijnen er dagelijks ruim nieuwe versies van trojans, wormen en virussen. De dreiging van het internet wordt daarmee groter en groter en een preventieve cyberbeveiliging is cruciaal om als organisatie, overheid of individu de hackers buiten de deur te houden. De nieuwe online portal van Deutsche Telekom en dochteronderneming T-Systems biedt openheid en transparantie over huidige risicosituaties. Wereldwijd. Met dit security dashboard zet de telecomorganisatie alvast een eerste stap om digitale aanvallen te analyseren en daar lering uit te trekken voor de toekomst. als leveren ons deze nuttige en hulpvolle informatie. De website is gratis toegankelijk voor beveiligingsexperts en voor overige geïnteresseerde groepen en individuen die willen controleren of hun organisatie gevaar loopt. Kennis over wereldwijde cyberaanvallen Het security dashboard beschikt over een digitale wereldkaart en toont de oorsprong van iedere aanval, plus de plaats en het tijdstip waarop de aanval plaatsvindt. Daarnaast voorziet de portal in diverse grafieken en diagrammen om de gegevens zo volledig mogelijk weer te geven. Real-time statistieken geven bijvoorbeeld de meest actuele aanvallen door. Hierop is te zien welke aanvalsvorm de hackers het meest gebruiken en het toont tevens het land waarin de targetserver staat. De cybercriminelen bevinden zich bijna altijd op een compleet andere plaats dan de plek van hun doelwit. Eerst gaan de hackers namelijk op zoek naar gaten in online systemen. Zodra zij een dergelijk gat of zwak punt ontdekken, dan kunnen zij het systeem binnentreden, verklaart de Goede van Eijk. Het gehackte systeem of de beheerder erachter verliest dan direct al zijn controle en moet met lede ogen aanzien hoe anderen zijn systeem besturen. In veel gevallen gebruiken zij de servers voor het verspreiden van spam en malware. Dit kan voor de gehackte organisaties zeer negatieve gevolgen hebben. toont daarom in real-time de doelen waar de hackers zich op dat moment op richten. Dit zijn veelal de netwerken en servers die de meeste zwakke punten laten zien. Toch is één zwak punt al voldoende. Het is mogelijk dat de beheerder of organisatie van deze systemen net de gaten wilde dichten door middel van een update, maar toch te laat was. Het is dan ook aan te raden updates direct te installeren om het ontstaan van zwakke punten zoveel mogelijk te vermijden en zo de kans op een aanval te beperken. Honeypot-systemen lokken aanvallers uit T-Systems beschikt wereldwijd over meer dan negentig sensoren die als honeypot dienen een zogenaamd afleidingssysteem. Door bewust zwakheden op bijvoorbeeld een netwerk aan te brengen en deze via internet te tonen, probeert de telecomorganisatie aanvallen uit te lokken. Indien een hacker zo n honeypot-systeem aanvalt, registreert deze de dreiging en stuurt vervolgens een waarschuwing van een cyberaanval uit. Wij registreren alleen dagelijks al aanvallen op de afleidingssystemen en we merken dat dit aantal nog steeds enorm toeneemt. Dat bevestigt wel de noodzaak voor een wereldwijd aanvalsoverzicht en het maakt gegevensanalyse mogelijk. Dit is namelijk de enige manier om de verspreiding van virussen, wormen en trojans tegen te gaan en om de gerelateerde kosten bij klanten te drukken, gaat de Goede van Eijk verder. De sensoren registreren alle aanvalsgegevens 24 uur per dag. Vroegtijdige preventie van cybercrime Samen met het genootschap voor cyberbeveiliging ontwikkelde T-Systems het initiatief om digitale aanvallen inzichtelijk te maken. Het bureau voor informatiebeveiliging (BSI) en de Duitse branchevereniging voor informatietechnologie, telecommunicatie en nieuwe media (BIT- KOM) brachten diverse grote ondernemingen bij elkaar. Zij bieden gezamenlijk ondersteuning om cybercrime een halt toe te roepen. Wij willen de website de komende jaren nog flink uitbreiden zodat we de gegevens steeds beter kunnen analyseren. Met onze partnerorganisaties hopen we daarnaast het aantal sensoren en afleidingssystemen aanzienlijk te ver- toont in real-time de doelen waar hackers zich op richten 18 Infosecurity.nl magazine - nr. 2 - april

11 g Website toont real-time aanvallen op honeypot-systemen Overheid & ICTl g hogen. Op deze manier proberen we het zicht op en onze kennis over risicovolle situaties verder te verbeteren, zegt de security expert van T-Systems. Via de website kunnen we een relatief eenduidig beeld schetsen van de aanvallen die wereldwijd plaatsvinden. Door organisaties die in dreigende regio s staan te waarschuwen, kan direct actie ondernomen worden. Zij kunnen daarmee inspelen op risico s en meteen hun virusbescherming aanpassen en waar nodig updates installeren. Inzicht delen en gebruiken voor de toekomst De bevindingen en resultaten die T-Systems door gegevensanalyse opdoet, delen zij met autoriteiten, leveranciers en ontwikkelaars van beveiligingssoftware. Zelf gebruikt de telecomonderneming deze informatie ook. Patrick de Goede van Eijk noemt het belang van actualisatie en controle: Onze eigen systemen moeten wij uiteraard eveneens continu up-to-date houden en veiligstellen. Daarnaast willen wij onze klanten voor specifieke dreigingen waarschuwen en daarom controleren wij hun systemen. Als er sprake is van dreiging dan registreert de website dit. Naar aanleiding van deze dreigingen versturen wij maandelijks inmiddels tienduizenden nieuwsbrieven waarin wij klanten informeren over hun specifieke situatie en of hun systemen worden gebruikt voor het versturen van schadelijke data. T-Systems kan op deze manier in de toekomst cybercrime een stap voor zijn en uiteindelijk het aantal aanvallen beperken. Overige functionaliteiten is een volledig security dashboard dat niet alleen een overzicht verschaft van huidige en dreigende digitale aanvallen, maar ook het aantal aanvallen en het aantal aanvallers per dag toont. Bovendien biedt de website een lijst met landen waar de meeste aanvallen plaatsvinden. Via zowel een beschrijving als een diagram levert de website tevens informatie over het type systeem dat cybercriminelen op dat moment aanvallen. Vaak zijn dat netwerkdiensten, maar het kunnen ook websites, consoles of smartphones zijn. De portal is zowel in het Engels als in het Duits te raadplegen APRIL 2013 JAARBEURS UTRECHT Bezoekers aan Overheid & ICT krijgen het wel erg gemakkelijk CloudTour / SecurityTour THEATER ROOD 1F016 1F020 1F032 1F040 1F044 1F046 1F048 1F078 THEATER GROEN 1F023 1F025 1F033 1F041 1F047 1F055 1F061 1F071 1F075 1F079 GEMEENTE 1F021 PLEIN Het wordt de bezoekers aan de vakbeurs Overheid & ICT erg gemakkelijk gemaakt. CloudWorks en het vakblad Infosecurity.nl magazine 1E022 1E020 hebben 1E024namelijk 1E032 de 1E036 CloudTour en 1E048 de SecurityTour 1E054 samengesteld. 1E070 1E074 Op die 1E078 manier krijgen de deelnemers binnen het uur een (welhaast) compleet OPLEIDINGEN beeld van wat de exposanten aan cloud- en security-oplossingen te 1E033 bieden hebben. 1E025 PLEIN 1E047 1E055 1E083 1E087 1E023 Tijdens de drie beursdagen van Overheid GEO & ICT worden er op twee 1E031 momenten 1E035 (om E051 uur en om uur) rondleidingen verzorgd door CloudWorks én door Infosecurity.nl INFO 1E021 magazine. Bezoekers - die zich bij de online registratie op kunnen geven - worden in vijf minuten bijgepraat door elke van de PLEIN tien vooraf geselecteerde exposanten 1D032 met een duidelijke cloud- of security-propositie. Het startpunt is de Mediacorner waar alle deelnemers 1D020 1D024 1D036 1D082 een headset krijgen om 1D044 zo de elevatorpitch 1D054 1D070 van de exposanten goed te kunnen beluisteren. Dit zijn de geselecteerde exposanten: 1C002 1D011 1D045 CloudTour Enable-U Geodan Grontmij Solviteers ORGANISATIE KANTOOR Fenestrae Panda Unisys ENTREE 1C004 Genetics ENTREE OOST Brainforce 1E014 1D007 1C006 1C011 1B010 1E016 1E018 1C015 1C010 1A017 1C020 1B020 1A020 1C032 1C037 1A038 securitytour WatchGuard Brainforce madison Gurkha panda 1B031 1B037 1A031 enable-u centric odinfo 1A037 tstc 1E042 1C044 1C045 1B032 1B044 1B048 1B045 1A044 1A041 symantec 1A045 1C047 1B051 1B052 1A048 1A047 1C055 1B054 1A054 1A058 1A061 1B060 1B055 1B061 1A067 TERRAS 1B069 1A068 1C071 1B070 1B076 1B082 1B088 1B DEELNEMERS GEO INFOPLEIN STARTPUNT TOURS groupe Secure Er worden dagelijks Tours georganiseerd waarin u in één uur over de beursvloer langs een aantal exposanten wordt geleid. Deelnemers aan De Tours de worden CloudTour georganiseerd en/of in de de volgende SecurityTour categorieën: kunnen zich melden bij de Mediacorner Deze vindt u in hal1, standnummer B121, direct naast Geo Tour, het Security Congres Tour, Cloud Theater. Tour en de NUP Tour. Meer informatie vindt u op beursplattegrond op de volgende pagina s HALPLATTEGRON EXPOSANT HAL-STANDNR. EXPOSANT HAL-STANDNR. EXPOSANT HAL-STANDNR. EXPOSANT HAL-STAN 06-GPS 01.E018 BlackBerry 01.E083 COOLProfs B.V. 01.E042 Exxellence Group 01.D A Blancco Oy Ltd 01.A037 Crotec 01.C011 F Aenova Software 01.B055 BRAIN FORCE B.V. 01.C045 CycloMedia Technology B.V. 01.C037 Facto Geo Meetdienst 01. Hans Vandam is freelance journalist. AlterNET Internet B.V. 01.B092 C D Fenestrae 01.A Arcadis 01.C010 C-CONTENT B.V. 01.A031 Decos Information Solutions 01.B010 Fortes Solutions B.V AT Computing 01.D032 Cascadis 01.OP03 Dimpact 01.OP04 FSFE 01.O Infosecurity.nl magazine - nr. 2 - april Axway 01.E074 Centric 01.C082 diz Informatiezuilen 01.E054 Fugro GeoServices B.V. 01.D Azimuth Geodetic 01.C004 Certsecurity 01.A071 E G 1A071 1A072 1A073 1A077 1A079 1B081 1A078 1C083 1B085 1C082 1A089 1B09 1B08 1A09 1A093 1C0

12 g Beursplattegrond APRIL 2013 JAARBEURS UTRECHT ORGANISATIE KANTOOR ENTREE ENTREE OOST 1C002 1C004 THEATER GROEN 1E014 1E016 GEO INFO PLEIN 1D011 1D007 1C006 1C011 1B010 1E018 1C015 1C010 1F016 1F023 1F021 1F020 1F025 1F032 1F040 1F044 1F046 1F048 1F033 1E022 1E020 1E024 1E032 1E036 OPLEIDINGEN 1E033 1E025 PLEIN 1E023 1E031 1E035 1E021 1A017 1D020 1B020 1A020 1D024 DEELNEMERS GEO INFOPLEIN STARTPUNT TOURS Er worden dagelijks Tours georganiseerd waarin u in één uur over de beursvloer langs een aantal exposanten wordt geleid. De Tours worden georganiseerd in de volgende categorieën: Geo Tour, Security Tour, Cloud Tour en de NUP Tour. Meer informatie vindt u op 06-GPS 01.E018 A Aenova Software 01.B055 AlterNET Internet B.V. 01.B092 Arcadis 01.C010 AT Computing 01.D032 Axway 01.E074 Azimuth Geodetic 01.C004 B BCT 01.D070 BGT Rotonde 01.C116 Biblionet ID 01.B052 1C020 1D032 1C032 1C037 1B031 1B037 1A038 1A031 1D036 1A037 BlackBerry 01.E083 Blancco Oy Ltd 01.A037 BRAIN FORCE B.V. 01.C045 C C-CONTENT B.V. 01.A031 Cascadis 01.OP03 Centric 01.C082 Certsecurity 01.A071 CiEP Personal Quality & Results 01.E047 Circle Software Group B.V. 01.C020 CompLions B.V. 01.F061 1F041 1E042 1E047 1D044 1D045 1C044 1C045 1B045 1A044 1A041 1A045 1F047 1E048 1E051 1C047 1B032 1B044 1B048 1B051 1B052 1A048 1A047 1F055 1E055 1D054 1C055 1B054 1A054 1A061 1F061 1E054 1B060 1B055 1B061 1A058 THEATER ROOD 1A067 1F071 1E070 1D070 TERRAS 1A068 1A071 1A073 1F075 1E074 1A072 1A077 1F078 1F079 1E078 1A079 1A078 1E083 1D082 1E087 1A089 1E095 1D092 1D096 1B087 1A106 1A094 1A098 1A093 1A095 1E102 1A103 1D101 1E101 1D100 1D107 1B070 1B076 1B082 1B088 1B092 1B100 1B108 1B069 COOLProfs B.V. 01.E042 Crotec 01.C011 CycloMedia Technology B.V. 01.C037 D Decos Information Solutions 01.B010 Dimpact 01.OP04 diz Informatiezuilen 01.E054 E Enable-U BV 01.C106 Equinix 01.E101 Estreme B.V. 01.A103 ETTU 01.D100 HALPLATTEGROND 1C071 1B081 1C083 GEMEENTE PLEIN 1B085 1C082 1C100 1C106 1C089 1B095 1B099 Exxellence Group 01.D044 F Facto Geo Meetdienst 01.F025 Fenestrae 01.A106 Fortes Solutions B.V. 01.F079 FSFE 01.OP06 Fugro GeoServices B.V. 01.D020 G Gemeente Zoetermeer Wijkmanagement & CCoverheid 01.E084 Gemnet B.V. 01.D054 1C110 1C105 THEATER BLAUW HAL 12 HAL 11 HAL 10 OP01 OP02 OP03 OP04 OP05 OP06 OP07 1B121 OP08 OP09 OP10 1D117 1C116 OP11 1C119 GIN CONGRES ZAAL 2 GIN CONGRES ZAAL 1 NETWERK PLEIN 1C120 1C124 VIP LOUNGE/ MEDIA CORNER EXPOSANT HAL-STANDNR. EXPOSANT HAL-STANDNR. EXPOSANT HAL-STANDNR. EXPOSANT HAL-STANDNR. EXPOSANT HAL-STANDNR. HAL 7 HAL 8 HAL 9 ENTREE OOST ENTREE WEST HAL 3 HAL 4 HAL 1 HAL 2 Genetics B.V. 01.E021 Geo-Informatie Nederland (GIN) 01.OP02 Geo2D 01.E024 GeoBusiness Nederland GEOCART GmbH 01.F033 GeoCensus B.V. Geodesie en GIS 01.F032 Geodan B.V. 01.D020 Geodirect B.V. 01.F041 Geometius bv 01.B031 Geonovum 01.C116 WORKSHOP ZALEN OVERHEID & ICT CONGRES THEATER OVERHEID & ICT HAL 1 (SITUATIE PER WIJZIGINGEN VOORBEHOUDEN) De standnummers zijn als volgt opgebouwd: halnummer.pad.standnummer dus 1A067 = hal 1, pad A, standnr. 067 EXPOSANT HAL-STANDNR. GISkit B.V. 01.F023 GO Opleidingen 01.E023 Go4Mobility bv 01.A073 Gouw Informatie Technologie 01.C044 GovUnited 01.OP05 Grey Hippo B.V. 01.A047 Grontmij Nederland B.V. 01.D011 GroupSecure 01.B051 GX Public 01.B045 H Handheld Benelux 01.A041 EXPOSANT HAL-STANDNR. Het Waterschapshuis 01.D117 Hoffmann bedrijfsrecherche BV 01.D092 Huawei 01.B088 I I-Real BV 01.B099 IBM Nederland B.V. 01.E095 ICTU 01.C124 Inter Access B.V. 01.D101 Interaction next BV 01.D024 Intergraph Benelux B.V. / Security, Government & Infrastructure (SG&I) 01.E055 Inventive Designers 01.B054 IOSense BV 01.E024 iwriter 01.C055 J Jalema B.V. 01.C083 K Kadaster 01.C116 KING 01.C120 Kluwer/Infofit 01.A017 Koac NPC 01.E022 Kodision B.V. 01.B054 KPN 01.D054 Kragten 01.F020 L Lantech BV 01.A061 Leica Geosystems B.V. - LNR Globalcom 01.E055 Lifecycle Technology LTD 01.E070 Logius 01.C119 LPI Nederland 01.OP06 Lucom Benelux BV 01.A045 M Madison Gurkha 01.B095 ManualMaster 01.A054 Master it Training 01.D036 METEN IN BEELDEN 01.E016 Ministerie van Infrastructuur en Milieu, Programma BGT 01.C116 N Nagios Nederland 01.A067 Nautikaris B.V. 01.F048 Nazca it Solutions BV / Nazca-i 01.E048 NedGraphics B.V. 01.B032 NEO B.V. 01.D107 Neopost B.V. 01.B076 Netcreators 01.E078 Nieuwland Automatisering BV 01.E020 NotuBiz B.V. 01.A048 O Odinfo 01.B082 Office Specialist 01.E033 OGD ict-diensten 01.B044 Omnitrans International 01.F075 Onegov 01.C071 Optelec Nederland B.V. 01.F047 Orbit Geospatial Technologies 01.C015 P Panda Security 01.B087 Perceptive Software 01.F078 EXPOSANT HAL-STANDNR. PerfectView 01.C071 Planviewer BV 01.F021 Plusine ICT B.V. 01.A089 Postcode.nl B.V. 01.E087 PQR B.V. 01.B069 Principal Toolbox 01.F079 Q Qmatic Holland B.V. 01.B081 QNH Consulting B.V. 01.C071 QSM Europe 01.A079 R Roxit 01.B020 S Samenwerkingsverband van Bronhouders BGT 01.C116 Scholten Awater 01.B100 Seneca BV 01.C071 Serious Gaming KPN 01.E035 SIMgroep 01.B020 Sincerus Consultancy B.V. 01.C110 Slagboom en Peeters Luchtfotografie 01.F016 SmallToGo 01.F040 SOD Opleidingen 01.E031 Solviteers 01.C032 Spigraph Netherlands BV 01.D045 Split~Vision 01.D082 Stichting De Hollandse Cirkel 01.OP08 Stichting Gemgids 01.OP09 01.OP10 Stratech 01.A038 Survey Software & Supplies B.V. 01.E014 SWIS BV 01.E025 Symantec B.V. 01.A077 Synaxion Urbidata 01.C047 Synocom 01.D096 T Tablin Technisch Adviesburo BV 01.F033 Telecats B.V. 01.C089 TimeTell B.V. 01.B037 TOPdesk 01.A044 TSTC B.V. 01.E032 U Unisys Netherlands N.V. 01.E102 V VASCO Data Security 01.B061 Veeam Software 01.E036 VIAG 01.B121 ViCo Virtual Coaching BV 01.E051 Vicrea Solutions B.V. 01.A020 W Wacom Europe GmbH 01.A095 Watchguard Technologies B.V. 01.B108 X Xential (van Interaction next) 01.D024 Y Ynformus 01.A093 Geobedrijven op Overheid & ICT Overheid&ICT 13-Plattegr GIS wt-9.indd :20 22 Infosecurity.nl magazine - nr. 2 - april

13 g Nieuws DOOR Ferry Waterkamp Webwinkels Schneider Versand doelwit DDoS-aanval Akamai Technologies helpt het Duitse postorderbedrijf Schneider Versand bij het beschermen van zijn online winkels tegen webaanvallen. Schneider heeft voor Akamai s beveiligingsoplossing Kona Site Defender gekozen vanwege de optimale combinatie van bescherming en prestaties. Dit vertaalt zich in een uitstekende online beleving voor bezoekers, ook bij piekbelasting, zonder extra investeringen in hardware of software. Zo wordt voorkomen dat webaanvallen een negatieve impact hebben op het merk. Schneider Versand is de grootste specialist in Europa op het gebied van promotieartikelen. Vorig jaar werd het bedrijf het doelwit van een DDoS-aanval (Distributed Denial of Service). Door de schaal en de geavanceerde aard van de aanval, was de op open source gebaseerde webserver die het bedrijf op dat moment gebruikte, niet in staat om het aanvalsverkeer te verwerken. Tijdens het hoogtepunt van de aanval werden er verzoeken per seconde naar de website verzonden. Hierdoor waren de webwinkels van Schneider drie dagen lang offline. Om in de toekomst beter voorbereid te zijn op dit soort aanvallen, heeft het bedrijf gekozen voor Akamai s Kona Site Defender. Deze oplossing voorkomt dat kwaadaardig webverkeer het datacenter bereikt. Specialisten van Akamai Professional Services hebben Schneider ondersteund bij de implementatie van Kona Site Defender. Verdere samenwerking met het Akamai service team zorgt ervoor dat er snel een adequaat en efficiënt defensiescenario tegen online dreigingen gevonden kan worden. Kona Site Defender maakt gebruik van de gedistribueerde infrastructuur van het Akamai Intelligent Platform, dat bestaat uit ruim servers over de hele wereld en dat diverse opties biedt om te reageren bij aanvallen. App moet mobiele devices veel beter beveiligen Aanbieders van mobiele applicaties en besturingssystemen moeten veel meer doen om gebruikers te verzekeren dat data privé blijft en met zorg wordt behandeld. Op basis van de Mobile Threat and Security Roundup 2012, voorspelt Trend Micro een aanzienlijke stijging in kwaadaardige malware in Adware en applicaties die data stelen zullen in 2013 respectievelijk de tweede en derde vorm van kwaadaardige apps zijn. Trend Micro voorspelt dat het aantal kwaadaardigeen risicovolle Android-apps in 2013 zal toenemen met 185 procent. Omdat het aantal mobiele bedreigingen sterk toeneemt, wil Trend Micro gebruikers meer mogelijkheden geven om hun privacy te beschermen. Daarom introduceert Trend Micro de app Mobile Security 3.0. Hiermee biedt Trend Micro klanten die gebruikmaken van Android-smartphones en -tablets zeer effectieve beveiliging tegen virussen, datadiefstal, phishing en privacy scanning. Daarnaast is de beveiliging van Facebook-informatie verder uitgebreid. Trend Micro Mobile Security 3.0 beschikt over de Trend Micro Privacy Scanner, speciaal ontwikkeld voor het gebruik van Facebook en biedt een extra beschermingslaag voor persoonlijke informatie. De Trend Micro Privacy Scanner analyseert de Facebook-instellingen van de gebruiker en adviseert op basis daarvan over wijzigingen om de persoonlijke informatie van de gebruiker te beschermen. Daarnaast beschikt de nieuwe versie over een snellere malware-scanner en is het dankzij Trend Micro Mobile Backup and Restore mogelijk om van alle data een back-up te maken in de beveiligde cloud van Trend Micro. Orange Business Services verbetert Security as a Service-portfolio Orange Business Services heeft de Security as a Service-portfolio verbeterd door het aan te vullen met een cloud gebaseerde en veilige authenticatiedienst van SafeNet, een wereldwijde leider in databescherming. Door Orange Business Services s veilige authenticatiedienst aan te vullen met Safe- Net s authenticatiedienst, kan Orange zakelijke klanten een extra beveiligingslaag aanbieden bij toegang tot bedrijfsdata of cloud services. Klanten kunnen dezelfde verenigde en beveiligde multifactor verificatiegegevens gebruiken om toegang te krijgen tot virtuele private netwerken of cloud-diensten zoals Google Apps, Salesforce.com en andere cloud gebaseerde bedrijfsapplicaties en infrastructuren. Bedrijven doen hun voordeel met Secure Authentication, deze veilige authenticatiedienst, door gebruik te maken van Orange s marktleidende multifactor authenticatie die in een cloud-model wordt aangeleverd. Naast de inherente cloud computing-attributen zoals eenvoud, flexibiliteit en hoge prestaties, profiteren klanten ook van het maandelijke betalingsysteem per gebruiker in plaats van vooraf belangrijke investeringen in hardware of software te moeten doen. Nederland paradijs voor internetcriminelen? Begin februari 2013 publiceerde de NOS het nieuws dat Nederland een paradijs voor internetcriminelen is. Na de Verenigde Staten en de Maagdeneilanden staat Nederland op plek drie van favoriete vestigingsplaatsen voor spam versturende en bankgegevens stelende criminelen. Dit blijkt uit een onderzoek van beveiligingsbedrijf McAfee. De Tweede Kamer maakt zich zorgen hierover en vindt dat de privacy bescherming bij providers zodanig is doorgeschoten dat de handhaving en opsporing worden gehinderd. De Dutch Hosting Provider Assocation (DHPA), de belangenbehartiger van de Nederlandse hostingbranche, plaatst echter eerst graag een viertal kanttekeningen bij dit nieuws. Ten eerste vindt de DHPA het onverstandig om de bescherming van privacy ter discussie te stellen. In Nederland zijn juist de Wet bescherming persoonsgegevens (WBP) en de netneutraliteit een groot goed. Het vertrouwen in die wetgeving is één van de redenen dat Nederland een populair hostingland is voor zakelijke gebruikers. De sector is leidend in Europa en het is verstandig om die belangen voor ogen te houden. Ten tweede noemt de NOS dat het vanwege strikt briefgeheim vrijwel niet mogelijk is om gegevens van cybercriminelen op te vragen bij onder meer serviceproviders en hosters. DHPA stelt dat dit onjuist is. Er zijn voldoende middelen om in geval van cybercrime of onrechtmatige inhoud (content) in te grijpen. Dat kan bijvoorbeeld met een gerechtelijk bevel. Voor het verwijderen van ongewenste content is speciaal in overleg met betrokken partijen een gedragscode ontwikkeld die door vrijwel alle hosters wordt nageleefd. Een vraag die de berichtgeving oproept is de vraag of justitie voldoende is uitgerust voor de opsporing van servers die voor cybercrime worden ingezet. De getallen zijn gepubliceerd door McAfee, die dit zonder inbreuk op de privacy kon achterhalen. Dat kan de overheid dus ook. Het is dus niet nodig om hiervoor de wet op opsporingsbevoegdheden open te breken. Dan wijst de DHPA op de proporties. In het bericht maakt McAfee melding dat cybercriminelen 154 servers in Nederland inzetten om dagelijks honderdduizenden computers over de hele wereld te besturen. Wat het bericht echter niet meldt, is enige relativering bij dit aantal. In Nederland huizen namelijk honderdduizenden servers, dus relatief is een aantal van 154 erg klein. Te meer omdat bijvoorbeeld een klein land als de Maagdeneilanden plaats twee inneemt. Daar is het percentage servers dat gebruikt wordt door cybercriminelen dus relatief vele malen hoger. Dat komt doordat in Nederland actief wordt gewerkt aan de bestrijding van cybercrime. Dit door instanties als het National Cyber Security System (NCSC), vereniging Abuse-IX en vele anderen. De DHPA heeft de bereidheid om mee te werken aan een oplossing en roept betrokkenen op om vaker met de sector in overleg te treden. Het is in ieders belang om een positief imago te behouden. De hostingsector is een relatief jonge industrie, die graag meer betrokken wil worden bij de gang van zaken omtrent internetveiligheid. Chinese en Amerikaanse leger beschuldigen elkaar van cyberaanvallen Het Amerikaanse securitybedrijf Mandiant heeft een bron van cyberaanvallen uit China kunnen terugvoeren tot een legereenheid in Shanghai, zo bericht Guy Kindermans op de website van Datanews.be. Volgens een eigen rapport APT1, Exposing one of China s Cyber Espionage Units heeft Mandiant - in de voorbije jaren de spionageactiviteiten van een Chinese legereenheid bestudeerd. Volgens Mandiant zou de PLA unit (People s Liberation Army unit) uit Shanghai sinds 2006 in 141 bedrijven uit een 20- tal industrieën zoals ICT en lucht- en ruimtevaart, (minstens) honderden Terabytes aan data hebben gestolen en dat gedurende langere perioden (tot vier jaar en 10 maanden in een enkel bedrijf). Die beschuldiging is inmiddels weerlegd door onder meer het Chinese ministerie van buitenlandse zaken. Een woordvoerder stelt dat China zelf het slachtoffer is van aanvallen, vooral vanuit de VS. In 2012 zouden meer dan 14 miljoen computers zijn gecontroleerd vanaf ca buitenlandse IPadressen, naast websites. Het ministerie van defensie stelt dat zijn websites en deze van China Military Online meer dan keer werden aangevallen. Het Chinese leger ondersteunt geen hackers en onthoudt zich van cybersabotage, aldus een woordvoerder. Tevens vindt men de Chinese IP-adressen een te zwak bewijs, omdat aanvallen daarvan misbruik kunnen maken, terwijl er wereldwijd zelfs geen eensgezindheid bestaat over wat cyberaanvallen inhouden. Een en ander stond onder meer te lezen in een mededeling van het officiële Chinese persbureau Xinhua Infosecurity.nl magazine - nr. 2 - april

14 g VINT-onderzoeker Menno van Doorn over privacy: You Big Data en privacy kop en munt van nieuw betaalmiddel Steeds meer menselijke activiteiten laten digitale sporen achter. De almaar groeiende databerg bevat dus steeds meer tot personen herleidbare informatie. Er is zelfs al een industrie ontstaan die dergelijke informatie gebruikt - voor velen een bedreigende gedachte. Maar Big Data is er en zal dus onvermijdelijk zijn toepassing vinden, vooral in de marketing. De mate waarin hangt af van wat een persoon over zichzelf kwijt wil. Een nieuw betaalmiddel is geboren: persoonsgegevens. Het Verkenningsinstituut voor Nieuwe Technologie (VINT) van IT-dienstverlener Sogeti presenteerde onlangs het onderzoeksrapport Big Data: privacy, technologie en de wet. Dit is het derde deel in een vierluik over de verschillende aspecten van Big Data. Volgens de auteurs moeten datagedreven organisaties van meet af aan adequate privacymaatregelen nemen en consumenten proactief en eenvoudig inzicht hierin geven. Privacy by Design dus. De drie v s Sinds de wet op het briefgeheim en de komst van de fotografie laait de discussie over privacy telkens opnieuw op, op zoek naar nieuwe grenzen en interpretaties als gevolg van nieuwe fenomenen en innoverende technologie. Met de komst van Big Data spitst de privacy-discussie in Europa zich momenteel toe op het woord pseudonymous. Daar zit de lobby van de reclame- en marketingindustrie achter, weet VINT-onderzoeker Menno van Doorn. Die stelt zich op het standpunt dat ze weten welke data anoniem is en welke data persoonlijke gegevens bevat. Ook voor Eurocommissaris Viviane Reding is pseudonymous data aantrekkelijk: de nieuwe Europese wetgeving is immers bedoeld om te zorgen voor de privacy van de burger - en de commerciële belangen van de industrie. In één adem. Zo ontvouwt zich een heel nieuw krachtenspel, met aan de ene kant Big Data als de olie waarop een heel nieuwe economie gaat drijven. Privacy is daar de keerzijde van. We zullen daarmee allemaal moeten leren omgaan. Bij gebrek aan een algemeen geaccepteerde definitie van Big Data, hanteert VINT een standaardomschrijving. Bij Big Data gaat het om de combinatie van Volume, Variety en Velocity. Het hele concept van Big komt uit Big Science, van de deeltjesversnellers. Volume is maar één aspect. Een oliemaatschappij zal graag zo groot mogelijke hoeveelheden seismische data willen kunnen analyseren om de plaats waar de boor de zeebodem in moet zo nauwkeurig mogelijk te kunnen bepalen. Dat geldt ook voor het weer: hoe meer data, hoe nauwkeuriger de voorspelling. Variety duidt op verschillende formats, zoals pdf s, Office-documenten, mail, internetcontent, jpg s en video, legt Van Doorn uit. Maar ook Velocity kent verschillende vormen: de snelheid waarmee data wordt gegenereerd, waarmee het zich verplaatst en de snelheid waarmee grote bestanden kunnen worden geanalyseerd. DNA s kunnen vandaag de dag binnen een paar dagen worden geanalyseerd. En het Nederlands Forensisch Instituut krijgt van de recherche het verzoek om enkele honderden terabytes ain t seen nothing yet aan data te analyseren omdat ze binnen 72 uur moeten weten of een bepaald persoon langer kan worden vastgehouden de benodigde informatie kan zitten in een Wordfeud-chat, in data op een harde schijf of in een Tor-netwerk. Het NFI heeft daartoe zelf een Big Data-cruncher gebouwd. Velocity kan ook betrekking hebben op het realtime leveren van marketing- of strategische stuurinformatie die snelle beslissingen of korte time-tomarket als resultaat heeft. Hoe dan ook: Big Data is in feite een volkomen andere manier om naar data te kijken. Datadeskundigen zullen dat niet beamen, maar vanuit bedrijfsperspectief vind ik dat het allerbelangrijkste. De technologie is verder dan het voorstellingsvermogen van de meeste managers. Privacy by Design De huidige privacydiscussie is nog maar het topje van de ijsberg, voorspelt Van Doorn. You ain t seen nothing yet. Iedereen maakt zich er zorgen over, maar als je kijkt welke technologie er nu al beschikbaar is en welke nieuwe technologie de komende twee jaar nog op de markt zal komen, dan kan er maar één conclusie zijn: er gaan nog veel gekkere dingen gebeuren rondom privacy. De noodzaak om goed met privacy bezig te zijn zal enorm in belang toenemen. Maar het privacy-probleem oplossen, dat is een complete illusie. De radicalen kunnen het willen tegenhouden, maar de technologieën die er nog aankomen hebben vele malen grotere gevolgen voor privacy dan de relatief onschuldige cookies waar we ons nu druk over maken. Naarmate de komende jaren steeds meer mensen met Google-brillen over straat lopen, zullen de kranten vaker bol staan van de vreemde dingen die gebeuren, zaken waar we nog helemaal niet over nagedacht hebben. En de wetgeving hobbelt per definitie een heel eind achter de realiteit aan. Het onderzoeksteam van VINT is nu al een jaar lang bezig de implicaties en impact van Big Data te onderzoeken en in kaart te brengen. De afgelopen 6 maanden lag de focus daarbij op privacy. Privacy is in feite een onderdeel van security. Het gaat er vooral om of de data herleidbaar is naar een persoon, zegt onderzoeker Van Doorn. VINT en met ons vele anderen streeft naar Privacy by Design: zorg er als organisatie voor dat alles dat raakt aan privacy vanaf het begin zit ingebouwd in de systemen. Een voorbeeld. Een verzekeringsmaatschappij wil pay-as-you-go verzekeringen gaan aanbieden, de klant betaalt alleen als hij daadwerkelijk rijdt. DOOR Hans Lamboo Big Data vierluik De onderzoeksnotitie Big Data: Privacy, technologie en de wet van VINT is het derde deel van een vierluik over Big Data. De auteurs Jaap Bloem, Menno van Doorn, Sander Duivestein, Thomas van Manen en Erik van Ommeren hebben dit rapport tot stand gebracht. Met de reeks van vier onderzoeksrapporten schept VINT helderheid over het nut van Big Data door ervaringen en visies in perspectief te presenteren. Onafhankelijk en voorzien van concrete voorbeelden. Een overzicht van de vier rapporten: Rapport 1 Helderheid creëren met Big Data. Dit rapport geeft een definitie van Big Data en vertelt wat de verschillen zijn met andere dataclassificaties. Verder gaat het rapport in op de mogelijkheden van Big Data. Publicatie heeft plaatsgevonden in juni Rapport 2 Big Social. Deze tweede onderzoeksnotitie geeft antwoord op de vraag hoe organisaties het gedrag van mensen voorspellen met behulp van Big Data en social analytics. Dit rapport is eind november 2012 gepubliceerd. Rapport 3 Big Data & Privacy. Deze onderzoeksnotitie biedt organisaties een handvat voor de spelregels van privacy rondom het gebruik van Big Data. Dit rapport is in maart 2013 verschenen. Rapport 4 Big Data Business Roadmap. In dit laatste rapport staan de praktische toepassingen van Big Data centraal. Publicatie naar verwachting in mei Het Big Data rapport Privacy, technologie en de wet is gratis te downloaden via Er kan maar één conclusie zijn: er gaan nog veel gekkere dingen gebeuren rondom privacy. 26 Infosecurity.nl magazine - nr. 2 - april

15 SECURE DATA TRANSFER / NETWORK DIAGNOSTIC WAN ACCELERATION / REDUNDANCY WS_FTP Server with SSH Simple. Secure. Managed. SSL / SSH support PCI DSS Compliance FIPS ValidatedCryptography Secure Copy (SCP2) SSH Key Management NEW: Wireshark Training Analyzing TCP/IP Networks Troubleshooting and Securing TCP/IP Networks Book: Wireshark Network Analysis The Ultimate Guide The Official Wireshark Certified Network Analyst Study Guide Authorized Training Partner MOVEit: Secure Managed File Transfer Built-in end-to-end encrypted transfer and storage Encrypted transfer over SSL (FTPS/ HTTPS), SSH(SFTP) and EDIINT ASx Non-repudiation and guaranteed delivery FIPS validated cryptography (NIST and CSE) Hardened platform and OS security independence AirPcap a/b/g/n Wi-Fi Capture Adapters CSI CYBER SECURITY INVESTIGATIONS TRAINING This course is designed for Network Security and Law Enforcement Personnel: Forensics Analysis fundamentals Data Recorder technology and data-mining Network security principles Security threat recognition CSI Cyber Security Investigations and Network Forensic Analysis Practical Techniques for Analyzing Suspicious Network Traffic Cascade Pilot Network Communication, Analysis and Forensic investigation FOR EXTREME UP TIME... ALL THE TIME The highest level of WAN Redundancy SmartDNS for automatic inbound/ outbound line failover and dynamic load balancing Automatic VPN, VoIP, Thin Client load balancing and auto failover of sessions Understand Network Forensics Analysis Utilize tools to recognize traffic patterns associated with suspicious network behavior Reconstruct suspicious activities such as s, file transfer or Web-Browsing for detailed analysis and evidentiary purposes Understand and recognize potential network security infrastructure misconfigurations Firewall, VPN, IPSec and DHCP Server MultiPath Security (MPSec) for the highest possible secure transmission and redundancy for VPN tunnels Multi-line QoS, WAN Optimization, acceleration and compression CSI Courses CSI-trainers are Certified Wireshark University Trainers, member of FBI InfraGard, Computer Security Institute, the IEEE and Cyber Warfare Forum Initiative. W W W. S C O S. N L Distribution: SCOS Benelux info@scos.nl tel. +31 (0) tel. +32 (0) g VINT-onderzoeker Menno van Doorn over privacy Hij krijgt daarvoor een kastje in zijn auto. Hoewel de verzekeraar helemaal geen interesse heeft in waar de klant rijdt en hoe hard, komt die informatie wél via het kastje bij ze binnen. Privacy by Design zorgt er vervolgens voor dat die overtollige gegevens direct geanonimiseerd worden. De verzekeraar wil immers alleen maar zijn business doen en zit niet te wachten op gezeur over privacy of publicaties in de media daaromtrent. Organisaties moeten zich van meet af aan dus afvragen met welk doel welke informatie wordt verzameld. Moet de Smartmeter van een energiebedrijf elke seconde of elke 15 seconde data verzamelen? Dat maakt veel uit, zegt Van Doorn. De universiteit van München heeft zo n meter gehackt om te zien welke informatie je eruit kan destilleren. Door de fluctuering van energieverbruik werd duidelijk welke tv in gebruik was, en zelfs welk tv-programma werd bekeken. Een voorbeeld waarbij het energiebedrijf zelf bepaalt dergelijke data al dan niet te verzamelen. Ook een bedrijf als Equens bijvoorbeeld, beschikt over heel interessante informatie: omdat ze alle pintransacties registreren kan worden vastgesteld waar mensen geld aan uitgeven en op welke locaties ze dat doen tot op postcodeniveau, desnoods per uur. Ze aggregeren en anonimiseren die gegevens by Design. Vervolgens bieden ze die te koop aan. Op zich niets om je zorgen over te maken maar dat doen de mensen die dit horen wél. Vroeger gebeurde overigens precies hetzelfde door een team interviewers op pad te sturen die in een winkelcentrum vragen stelden aan voorbijgangers. Online is het al veel langer aan de gang. We weten dat Google al gegevens verzamelt sinds het begin. Over VINT Het Verkenningsinstituut Nieuwe Technologie (VINT) van IT-dienstverlener Sogeti doet elk jaar onderzoek naar belangrijke technologische ontwikkelingen. Afgelopen jaren heeft VINT onderzoek gedaan naar Open-Source innovatie en Crowdsourcing (2006), social media (2008), de crisis en paradigmaverschuiving (2010) en het App Effect (2012). VINT is opgericht in 1994 en heeft inmiddels meer dan 10 boeken en een groot aantal videoproducties gepubliceerd. RSA gehackt Privacy beschermen in een tijdperk waarin persoonlijke informatie de nieuwe olie is van onze economie, vraagt om adequate wetgeving. Echter, voorlopig schiet wetgeving te kort omdat geavanceerde technologie ver vooruitloopt. Ook de veelal juridische verschillen in de regio s en landen overal ter wereld, zal harmonisatie en uniformiteit van wet- en regelgeving niet versnellen. VINT zet zeven aanbevelingen op een rij die organisaties en individuen vandaag al helpen bij verantwoord gebruik van persoonlijke informatie: Privacy by Design; proactief en preventief te werk gaan. Van meet af aan bepalen aan welke voorwaarden verzameling en inzet van persoonlijke informatie moet voldoen. Wacht niet tot een privacy-inbreuk zich voordoet. Maak privacygarantie tot standaard (default) instelling; individuen hoeven zich niet te bekommeren om de bescherming van privacy. Zorg ervoor, dat maximale privacy wordt gegarandeerd. Integreren van privacy in het ontwerp van IT-systemen; bij het ontwerpen van bedrijfsapplicaties moeten privacy-eisen van meet af onderdeel zijn van het ontwerp en de architectuur van IT-systemen. Privacy is een essentiële component van de functionaliteit van applicaties. Volledige functionaliteit in relatie tot privacy: legitieme privacybelangen volledig inbedden in de functionaliteit van systemen. Vermijden van valse tegenstellingen als privacy versus security. Organisaties moeten aantonen dat allebei mogelijk is. End-to-end security door de tijd heen; aan het einde van een proces of levenscyclus alle gegevens veilig opslaan of op gewenst tijdstip vernietigen. Organisaties moeten ervoor zorgen, dat oplossingen op deze manier volledig dichtgetimmerd zijn. Openheid is het leidmotief: voor alle betrokkenen moet duidelijk zijn wat er precies gebeurt met persoonlijke informatie. Wie dat wil controleren, is in staat dit op een eenvoudige manier altijd en overal te doen. Respectvol omgaan met de privacy van het individu: Organisaties moeten zorgen voor een goede interactie met hun stakeholders. Op het juiste moment op een eenvoudige manier duidelijk maken wat er gebeurt. Dat zorgt voor de opbouw van een vertrouwensrelatie. Deze aanbevelingen borduren voort op het werk van Ann Cavoukian. Zij is de Canadese Information en Privacy Commissioner en wereldwijd oprichter van het Privacy by Design concept. De vraag die me al een hele tijd bezighoudt is: waar gaat die informatie voor gebruikt worden? Smart Cities, bijvoorbeeld. Daar zijn al voorbeelden van gerealiseerd in de Verenigde Emiraten en Zuid-Korea. Dichter bij huis zijn Amsterdam en Almere ermee bezig. De bouw van systemen tot meerder nut van de samenleving, die moet leiden tot veiliger en CO2-neutrale steden, aldus Van Doorn. Daarvoor moet alles efficiënter en effectiever worden. Dat kan je bereiken door alles te gaan meten en overal track & trace toe te passen. Als ik vuilnis in de stortkoker werp wordt hoeveelheid en aard gedetecteerd en geregistreerd. Dan zegt de Socioloog Richard Sennett in The Guardian: who wants to live in a city that s too smart? Wat lever je daarvoor in, vraagt hij zich af. Zo zijn we weer terug bij privacy. Hans Lamboo is hoofdredacteur van Infosecurity.nl magazine Infosecurity.nl magazine - nr. 2 - april

16 g De nieuwe generatie malware boezemt angst in Van de redactie Crimeware kits Afgaande op de gebeurtenissen aan het begin van het jaar, belooft 2013 een naargeestig jaar te worden vol door malware geplaagde bedrijven. Eerst was daar een nog onbekende kwetsbaarheid in Java, die miljoenen Java-gebruikers in gevaar bracht. Een mooi voorbeeld van waarom malware-aanvallers vandaag de dag zo succesvol zijn: ze maken gebruik van fouten in populaire consumentenapplicaties om hun malware ongezien naar binnen te loodsen. Maar er staat ons nog veel meer te wachten. De nieuwe generatie malware is gevaarlijker dan ooit, schrijft Ericka Chickowski op de website van Dark Reading. In het voorbeeld ging het om een Java plug-in, maar de cybercriminelen richten hun pijlen ook op andere populaire plug-ins zoals Flash en Adobe Reader. De aanval op de Java plug-in maakte gebruik van het fenomeen zero-day, waarin voorheen onbekende kwetsbaarheden worden aangevallen. Zero-day aanvallen zijn effectief, omdat de nieuwe malware nog niet wordt herkend door antivirusen antimalware-software. Zoals zoveel malware-aanvallen werd deze gepleegd met zogenaamde crimeware kits, een doe-het-zelf pakket waarmee ook minder handige criminelen websites kunnen infecteren. Packer programs Criminelen kunnen tegenwoordig gewoon SaaS-diensten kopen op een volwassen zwarte markt. Voor een paar duizend dollar kopen ze crimeware kits waarmee ze geautomatiseerde aanvallen kunnen uitvoeren, dus zonder menselijke tussenkomst. Vervolgens lanceren ze dagelijks duizenden van dergelijke aanvallen op enterprise-infrastructuren. Die aanvallen zijn zo massaal dat de traditionele firewalls en antivirus-tools ze echt niet kunnen tegenhouden. Daarnaast is de nieuwe generatie malware in staat om detectiesystemen die werken met signatures te omzeilen. Is een endpoint eenmaal in het bezit genomen, dan wordt het een bruggenhoofd in het netwerk voor aanvallen op andere bronnen daarmee de firewall geheel buiten spel zettend. De schrijvers van malware weten alles af van firewalls en antivirus-tools. Ze hebben manieren gevonden om hun kwaadaardige programma s te verbergen en in stilte hun werk te laten doen zonder betrapt te worden. De aanvallers zijn zo behendig geworden, dat het soms maanden of zelfs jaren kan duren voor ze worden ontdekt. Malware kan heel eenvoudig worden verborgen door de payload op de machine van de gebruiker te versleutelen, of door het verkeer naar de botnets te encrypten, soms met door de crimineel zelf gemaakte software. Deze encryptie kan worden gecombineerd met zogenaamde packer programs die het uiterlijk van de binaire code van de malware veranderen met compressie-algoritmen, vergelijkbaar met wat in zip-files gebeurt. Niet alleen verkleinen packer programs de omvang en de footprint van de malware op de machine, de gebruikte compressie verandert zelfs coderegels in de applicatie, waardoor de malware makkelijker langs de verdediging van de antimalware-scanners glipt, die immers malware detecteren op basis van hoe executable code eruit ziet. Veel antivirus-technologie heeft problemen met het detecteren van packed malware omdat deze veranderingen aanbrengt in de manier waarop de malwarearchitectuur binnen het pakket wordt gepresenteerd. Deze packing schemes zijn bovendien zo ontworpen dat ze zichzelf alleen maar uitpakken om een machine te infecteren als er in het systeem van die machine bepaalde variabelen voorkomen die als trigger werken. Ook kan het zo zijn dat de malware alleen maar werkt als een bepaalde applicatie wordt geopend tot dan houdt het zich verborgen. Encryptie en packing-technologie zijn niet de enige manier waarmee malware-ontwikkelaars antivirus-technologie De eredivisie van malware zou IT-managers grote zorgen moeten baren. buitenspel zetten. Ze hebben polymorfe malwarecode ontwikkeld die het internet ieder jaar overstroomt met miljoenen stammen van malware. De malware die op een website wacht op het moment om op de machine van de bezoeker over te stappen, verandert elke 30 tot 60 seconden de code om detectie te ontwijken. Die voortdurende verandering van code overbelast de signaturegebaseerde systemen. Het is moeilijk om signatures te ontwikkelen voor elke nieuwe variant die opduikt, en omdat elke signature wordt toegevoegd aan het antivirus-programma, verhoogt dat de benodigde resources om op te draaien. Op sommige dagen worden nieuwe malware-exemplaren gedetecteerd, vooral door de polymorfie. Het zijn dus geen nieuwe virussen maar nieuwe varianten van een virus. Polymorfie zal vooral toegepast worden in mobiele malware, een waar schrikbeeld voor bedrijven met een BYOD-beleid. En dan is er de dreiging van cross-platform malware, geconsolideerde malware die kan draaien op elk soort device. Dat betekent dat een geïnfecteerde smartphone die binnen bereik van een Blue- Tooth-verbinding komt van een netwerk of ander device al voor besmetting kan zorgen. Drinkplaats-methode Terwijl de meest kwaadaardige malware groeit in termen van effectiviteit en geraffineerdheid, ziet het leeuwendeel van de malware er nog precies zo uit als 5 jaar geleden. Dat komt omdat de gebruikers de aanvallers weinig reden geven om hun software te verbeteren. Uiterst geraffineerde malware zoals Stuxnet en Flame staan bovenaan in de rangorde. Hun aanvallen zijn in opdracht van geheime diensten ontworpen voor spionage en cyberoorlog. Stuxnet wordt bijvoorbeeld toegeschreven aan de Amerikaanse overheid, bedoeld om de Iraanse nucleaire installaties aan te vallen. Dit soort malware heeft misschien overeenkomsten in termen van code, maar is niet beschikbaar in development kits, en wordt niet op grote schaal toegepast. Het is juist deze eredivisie van malware die IT-managers grote zorgen zou moeten baren. Cybercriminelen infecteren al heel lang websites. Maar steeds vaker passen ze een methode toe die de drinkplaats-methode wordt genoemd, een heel indirecte methode analoog aan de in het wild levende roofdieren die wachten op hun kans bij de drinkplaats. Het roofdier weet dat zijn slachtoffer ooit een keer naar de drinkplaats moet komen. In plaats van actief op jacht te gaan, verschuilt hij zich bij de drinkplaats en wacht af tot zijn slachtoffer naar hem komt. Dat toont aan dat criminelen meer nadenken en onderzoek doen naar wie ze hoe zullen aanvallen. Zo is malware te koop speciaal bedoeld voor SAP-systemen. Daarmee valt de cybercrimineel niet rechtstreeks zijn target aan, maar probeert de website van een grote accountantsfirma te infecteren met de bedoeling bezoekers te besmetten. Die besmette machines onderzoekt de crimineel vervolgens op verbindingen met het SAP-systeem van het bedrijf dat hij wil aanvallen. Gedragsdetectie Omdat de aanvalstechnieken zich steeds verder ontwikkelen, hebben organisaties meer nodig dan de oude vertrouwde beschermingsmethoden die ze al jaren gebruiken. Het werken met signatures van malware heeft anno 2013 nog het meeste weg van het proberen op te bouwen van een database met foto s en vingerafdrukken van elk persoon ter wereld. Theoretisch kan dat misschien, maar we hebben ook nog te maken met voortdurend veranderende portretten en afdrukken. Security-tools die het gedrag van applicaties analyseren, rekenen af met dit probleem. Gedragsdetectie biedt bovendien ook nog enige bescherming tegen zero-day aanvallen: het brengt immers verschillende soorten gedrag met elkaar in verband. Daarvoor is het wel noodzakelijk de tactiek die de aanvallers gebruiken te begrijpen. Te veel securitytools vertrouwen nog op een vorm van voorkennis, of het nu gaat om signatures, tactiek of te vermijden url s. Voorkennis is statisch en moet voortdurend worden geactualiseerd. Beter is het op algoritmen gebaseerde tools te gebruiken die weten hoe een virus werkt dat is beter dan te kijken hoe de code er uitziet. We weten al 10 jaar dat het beveiligen van netwerken met alleen firewalls niet voldoende is. Toch laten veel bedrijven hun netwerken achter de firewalls onbeveiligd, terwijl dat nu juist meer en meer nodig is. Beveiliging achter de firewall Organisaties moeten hun assests segmenteren en de hoogwaardige weghouden uit drukke gedeelten van het netwerk. Daarnaast moet een veiliger authenticatie- en passwordmanagement worden ingevoerd op endpoints en network assets. Deze stappen creëren blokkades om te voorkomen dat één interne machine het gehele netwerk, inclusief machines en systemen kan besmetten. Segmentatie van assets hoeft zich overigens niet te beperken tot het netwerk: veel organisaties gebruiken virtualisatie en sandboxing als extra bescherming. Sandboxing is echter niet onaantastbaar. Aanvallers kunnen kwetsbaarheden vinden in het basisproces van de sandbox of in het operating system zelf, waarmee ze de afscherming kunnen neutraliseren en hun malware uit de sandbox kan ontsnappen. Malware is een groeiende bedreiging en er is geen verdedigingsmechanisme dat alle malware kan neutraliseren en de volledige bedrijfsomgeving kan beschermen. Alleen een gelaagde, geïntegreerde aanpak is effectief, één die een scala aan verschillende verdedigingsmethodes gebruikt. Dat zal betere bescherming bieden tegen toekomstige malware, welke kant de cybercriminelen ook opgaan. Dat is een belangrijk voordeel, in de wetenschap dat de meeste angstaanjagende aanvallen degene zijn waar we nog geen weet van hebben, aldus Ericka Chickowski op darkreading.com. 30 Infosecurity.nl magazine - nr. 2 - april

17 g 21 IT-bedrijven discussiëren over Big Data DOOR Hans Lamboo Als inleiding op de discussie presenteerden marktonderzoekers Ruud Alaerds (Keala Consultancy) en Marcel Warmerdam (themetisfiles) de belangrijkste resultaten uit hun recente onderzoek. Omdat de waarde van data natuurlijk een breed onderwerp is, hebben we getracht de essentie van die data nu eens uit te leggen aan de hand van hoe we in organisaties met die data omgaan en in welke mate we daarbij vanuit de technologie geholpen worden. Daarbij staan drie belangrijke trends centraal. De trends die we hier bedoelen zijn in willekeurige volgorde Mobiliteit, Cloud en Social, aldus Ruud Alaerds. Achter of ten grondslag aan deze trends liggen meer structurele ontwikkelingen in technologie. Alles wordt op alles aangesloten waarmee the Internet of everything steeds maar verder in ontwikkeling is. De hoeveelheid gegevens neemt in sneltreinvaart toe en deze gegevens worden ook steeds meer inzetbaar voor onze uiteenlopende behoeften als gebruiker. De data, het goud, ligt op straat is de bevinding die algemeen gedeeld werd in de sessie. De uitdaging in de voor ons liggende jaren, ligt in het oogsten van De waarde van data De hoeveelheid digitale data die organisaties bezitten groeit met een enorme snelheid. Vooral de data in andere formats dan die uit de ERP-systemen en databases neemt snel toe. Welke waarde vertegenwoordigen al die data? Dat hangt ervan af of de informatiepotentie ervan wordt gebruikt of niet. Want dat er belangrijke informatie schuilgaat in die data, daar is iedereen het wel over eens. Wat kan een organisatie doen om van data een asset te maken? In Hoofddorp kwamen 21 IT-bedrijven bij elkaar om daarover te discussiëren. relevante informatie en deze kennis dan toepassen met een bepaald doel. Dit zal de vraag naar en de ontwikkeling van analytische skills en gespecialiseerde dienstverleners op het gebied van analyse en intelligence alleen maar groter maken. Informatietechnologie heeft onze levens al ingrijpend veranderd en dit zal in de komende jaren alleen maar nog maar meer ingrijpend worden, voorspelt Alaerds. Relatief nieuw daarin is dat de informatie die beschikbaar en bruikbaar is het mogelijk maakt om ons als individu het naar de zin te maken. Dus het is niet meer een kwestie van one to many maar veel meer van many to one. Eigenlijk is dus niet Big Data de revolutie, maar de individualisering die erdoor mogelijk gemaakt wordt. Matty Bakkeren (Intel) in gesprek met Peter Franken (Beeldtekst.nl) Data en infrastructuur De oude vertrouwde infrastructuur veroudert door alle nieuwe ontwikkelingen steeds sneller, zowel binnen als buiten de datacenters. Steeds meer organisaties onderzoeken de mogelijkheden van cloud computing. Meer dan de helft van de Nederlandse organisaties gebruikt al een of meer clouddiensten, zoals Salesforce, en een scala aan SaaS-toepassingen. Volgens Hein Brat van Bitbrains is het niet zo dat traditionele IT daarmee volledig uit de gratie aan het raken is en dat alles alleen nog om cloud computing draait. Juist de hybride cloud vormt een mooie oplossing. Veel organisaties kiezen ervoor om bepaalde oplossingen intern te houden en die aan te vullen met diensten uit de cloud. De beveiliging van data en netwerken speelt daarbij een belangrijke rol. Hoewel dat nog niet met feiten onderbouwd kan worden hebben veel topmanagers een onprettig gevoel bij het feit dat data buiten de muren van de organisatie komt. Het gaat daarbij ook vooral om data met een vertrouwelijk karakter, die bedrijven niet willen kopiëren naar de cloud, maar op locatie willen houden, vult Michel Steffen van Novell aan. Bovendien zijn er vaak al jarenlang investeringen gedaan in de beveiliging van hun netwerk en data. Jan Willem van den Bos van IT-dienstverlener Cegeka ziet nog andere trends, vooral op het gebied van ontsluiting en integratie. Er is steeds meer vraag naar informatie op smartphones, tablets en laptops. Dat betekent dat er data en informatie uit vaak al wat oudere ERP-systemen moeten worden ontsloten en naar mobiele devices gestuurd. Dat heeft grote gevolgen voor de infrastructuur en de beveiliging. En dan is er nog het integreren van clouddiensten in de bestaande traditionele omgevingen. Om de hoeveelheid data te kunnen verwerken en verplaatsen is er een toenemende vraag naar bandbreedte van het netwerk. Mobiele telefoons zijn steeds vaker smartphones, er zijn tablets en laptops waarvan de gebruiker verwacht dat die snel de opgevraagde informatie tonen. Mobiele devices zijn maar één voorbeeld, zegt Clementine Witkamp van Eurofiber. Ook van de vaste netwerken wordt steeds meer capaciteit verlangd. Er zijn ook zorginstellingen die digitale röntgenfoto s naar hun datacenter of een andere locatie willen versturen. Dat kan eigenlijk alleen maar met een infrastructuur op basis van glasvezel. Tjerk Bijlsma van Cisco beaamt dat. De vraag naar bandbreedte stijgt ook doordat we meer losse componenten met elkaar verbinden. We noemen dat ook wel het internet of everything. En elk van die componenten genereert data. Denk hierbij aan sensoren die informatie via internet naar centrales sturen, en naar machines die onderling met elkaar communiceren. De mate waarin dat gebeurt neemt explosief toe, maar het volstrekt zich min of meer buiten het gezichtsveld van de meeste internetgebruikers. De infrastructuur staat echt onder druk. We bevinden ons op een kruispunt van verschillende technologieën, voegt Matty Bakkeren van Intel daaraan toe. Neem alleen al de ontwikkelingen op het gebied van high performance computing, cloud en in de software-industrie. Niet Big Data is de revolutie, maar de individualisering die erdoor mogelijk gemaakt wordt. Data en beveiliging Het werd al eerder aangeroerd: beveiliging van data en netwerken is een hot item in de IT-wereld. Dagelijks verschijnen in de media berichten over gehackte servers, gestolen data en datalekken. De IT-afdelingen doen hun uiterste best de digitale infrastructuur zo goed mogelijk te beveiligen. De technologie die IT-security heet ontwikkelt zich zó snel, dat bijna elke discussie erover al weer achterhaald is, zegt Abdeluheb Choho van TSS. Er zijn voorbeelden genoeg waar het misgaat. Maar laten we toch accepteren dat 100 procent beveiligen onmogelijk is. We bouwen ook snelwegen in de wetenschap dat er ongelukken gebeuren, en dat er mensen onder invloed achter het stuur gaan zitten mensen die dus opzettelijk verkeerd omgaan met de aangeboden infrastructuur. Maar dat wil niet zeggen dat we dan maar met paard en wagen van A naar B moeten omdat dat veiliger zou zijn. Natuurlijk niet. Er wordt op heel verschillende manieren naar veiligheid in de cloud gekeken, constateert Hein Brat van Bitbrains. Vaak vraagt het management zich af of het nou wel zo handig is om zaken buiten de deur te brengen en of het niet veel veiliger is alles op locatie te houden. In die discussies hanteer ik de driehoek van feiten, regelgeving en perceptie. Aan de hand daarvan is heel goed te bepalen hoe je met security in de cloud moet omgaan. Je kunt niet alles domweg blijven blokkeren, vult Pieter Lacroix van Sophos aan. Dat is een heel traditionele manier van denken, die anno 2013 echt niet meer staande te houden is. Wij zien dat bij cloudstorage. Reinier van Houten van NetIQ wijst op het belang van een goed identificatie- en accessmanagement. De afstand tussen de gebruiker aan de ene kant en de IT-toepassing aan de andere kant is letterlijk en figuurlijk steeds groter aan het worden. Het is steeds belangrijker om met grote mate van betrouwbaarheid te kunnen vaststellen dat degene aan de andere kant van de lijn inderdaad de persoon is die hij of zij beweert te zijn. Ook de ontwikkelingen op dat gebied voltrekken zich in een hoog tempo. Martijn van Lom van Kaspersky Lab snijdt weer een ander aspect van databeveiliging aan. Wat ook belangrijk is om te beseffen waar de data zich fysiek bevinden. Wie is eigenaar van de data, hoe worden er back-ups gemaakt. Als de cloud in een ander land draait, welke wet- en regelgeving spelen daarbij. Bedenk wat er gebeurt als die data niet meer beschikbaar zou zijn, bijvoorbeeld bij een switch van provider. Als er data achterblijven, hoe worden die vernietigd? Inderdaad, security heeft vele gezichten. Mensen beseffen gelukkig wel dat het zowel zakelijk als privé essentieel is om back-ups te maken, vult Marieke van der Hart namens WD aan. Tot zover als het gaat om de gevaren die loeren in het netwerk. Maar de meeste bedreigingen komen helemaal niet van 32 Infosecurity.nl magazine - nr. 2 - april

18 g 21 IT-bedrijven discussiëren over Big Data buiten, zegt Tim Leenders van OKI Systems. Ze komen van binnen de organisatie. Heel vaak blijkt dat werknemers zelf verantwoordelijk zijn voor securitylekken of het onbedoeld verspreiden van informatie. Jaap Jan Visser van Kroll Ontrack is het daarmee eens. De mens speelt ook een centrale rol bij dataverlies. Wij zien die rol alleen maar groter worden: bij single disk systemen is in ongeveer 26 procent van de gevallen de mens de oorzaak, maar bij complexere systemen en bedrijfssystemen is dat zelfs 65 procent! Dat geldt ook voor het laten slingeren van papieren, usb-sticks en het even naar een gmail-account of Dropbox sturen van vertrouwelijke informatie. Een intern awareness-programma moet zeker vast onderdeel uitmaken van bedrijfsbeveiliging. De toekomst is moeilijk te voorspellen, zegt Pieter Lacroix van Sophos. Niemand kon voorzien dat er een dag zou komen waarop de CEO zijn iphone op tafel legde bij de IT-afdeling en aangaf dat hij daarop bedrijfsinformatie wenste te ontvangen. En hoewel de security-specialist dat in eerste instantie weigerde, zijn smartphones en tablets niet meer weg te denken uit de boardroom. De markt volgt wat de business wil. Informatiestromen van data In een recent onderzoek wordt informatie de olie van de nieuwe economie genoemd. Zonder de juiste informatie op het juiste ogenblik bij de juiste persoon staat alles stil. Zonder informatie ben je helemaal niets, stelt Abdeluheb Choho van TSS. De behoefte aan informatie is groot en er is enorm veel data beschikbaar. De vraag is: hoe ga je daar nu echt intelligent mee om? Een organisatie kan immers niet álle data bestuderen en niet alle beschikbare data zijn relevant. Het maken van gerichte keuzes daarin is dan ook de eerste stap om een slimme organisatie te worden. Dan rijst de vraag hoe de informatie binnen een organisatie toegepast gaat worden. De resultaten van analyses kunnen immers leiden tot nieuwe of aangepaste producten en diensten, tot nieuwe businessmodellen en businessprocessen. Processen zonder data zijn waardeloos, stelt Jan Jaap Kanis van Vanenburg Software. Net als data zonder processen overigens. Hij vergelijkt een bedrijf met een persoon in een winkelcentrum. Het Marieke van der Hart in gesprek met Barber Brinkman en Juliet Lawal van WD is toch fantastisch om dan direct te weten waar de producten van je gading de komende 3 uur het goedkoopst zijn? Zijn vergelijking laat zich makkelijk vertalen naar het bedrijfsleven. Bedrijven hebben meer informatie dan ze denken, maar niet alles ligt voor het grijpen. Bij veel van onze klanten zit informatie verstopt in verschillende systemen. Dat noemen wij ook wel applicatiesilo s, merkt Hans de Visser van Cordys op. Het is vaak lastig die data te ontsluiten. De distributie van informatie kent steeds meer verschillende verschijningsvormen, die allemaal effect hebben op de samenleving. Berend Bouwmeester van hybris constateert dat mensen vaak al zeer goed geïnformeerd een winkel binnenstappen. Ze weten meer van een product dan de medewerkers in die winkel. Het is wel heel belangrijk dat de informatie die online is ingewonnen ook in de winkel aanwezig is. Dat creëert eenzelfde beleving. Matty Bakkeren van Intel blijft even bij de retail. Door het gebruik van digitale reclameborden en anonieme video-analyse kunnen retailers afwegingen maken op basis van feiten. En niet op aannames of de projectie daarvan. Toch blijft het zo dat de compleetheid en correctheid van data bij onze klanten voorop staat, zegt Casper Haspels van Visma Software. Ze willen graag direct kunnen rapporteren aan alle stakeholders binnen de organisatie. De kwaliteit van de data is voor hen cruciaal. De toekomst iphone heeft de maatschappij laten wennen aan het werken met touch screens. De muis en het toetsenbord zullen uit de omgeving verdwijnen, voorspelt Hugo Leijtens van Nexocial. De touch screen technologie zal de wereld enorm veranderen de komende twee jaar. Je ziet ze straks overal: op de muur, op de vloer, op telefoons, maar ook op draagbare technologie, zoals de Google- bril. Marc Bauchant van VoXX ziet een voortschrijdende consumerization. Ik zie de komende twee jaar vooral een verdere migratie van consumententoepassingen naar het bedrijfsleven toe. Fenomenen Meer achtergrondinformatie en video-interviews over het event De Waarde van Data zijn te vinden op Is less more of is bigger better? als Skype en MSN zullen daar ook hun intrede doen. Veel klanten zijn op dit moment bezig te onderzoeken wat hun kansen nu precies zijn, wat voor opties ze hebben, aldus Matty Bakkeren van Intel. Wat kunnen ze met data en hoe kunnen ze daar nieuwe inzichten, een betere concurrentiepositie of andere voordelen uit halen? Tjerk Bijlsma van Cisco voegt daaraan toe: We zijn de fase voorbij dat het alleen maar gaat om bedrijven zoals Google en Yahoo. Het gaat om alledaagse bedrijven in Nederland die met de huidige stand van de technologie informatie en waarde kunnen halen uit de data die ze bezitten. In de laatste 20 jaar hebben organisaties vooral geïnvesteerd in transactionele systemen. Denk aan een goed ERP-systeem, een polisadministratie of een core banking system, zegt Hans de Visser van Cordys. Nu komt een nieuwe golf van investeringen op gang waarbij het er vooral om gaat de klanten en partners meer te betrekken bij de bedrijfsvoering. Ook de komende twee jaar zal de Wet van Moore nog wel regeren, besluit Hein Brat van Bitbrains. En de mensen verwachten ook steeds maar meer voor minder geld. Ik zie steeds meer building blocks beschikbaar komen, onder meer van cloudpartijen. Bedrijven zullen daardoor meer een regisseursfunctie krijgen over de eigen informatievoorziening. Discussie Alaerds en Warmerdam gingen de discussie aan met de deelnemers in de zaal op basis van een vijftal stellingen. Een zeer interessante discussie ontwikkelde zich over het dilemma: Is less more of is bigger better. Het idee dat almaar grotere en meer diverse databestanden steeds vaker worden geanalyseerd zal niet leiden tot betere inzichten, omdat de signaal tot ruis verhouding binnen data almaar verder toeneemt. Het zal leiden tot een afnemende meeropbrengst van data. Een ander inzicht is dat door naar meer data en meer soorten data te kijken we in staat zullen zijn nieuwe onvoorziene Aan het event De Waarde van Data werd deelgenomen door Bitbrains Cegeka Cisco Comparex Cordys Eurofiber Hybris Intel Kaspersky Lab Kroll Ontrack NetIQ Nexocial Novell OKI Systems Sophos TSS Vanenburg Software Visma Software VoXX WD Winvision Het onderzoek De Waarde van Data stond onder leiding van Ruud Alaerds van Keala Consultancy en Marcel Warmerdam van themetisfiles. inzichten te verkrijgen wat zal leiden tot versnelling van innovatie. De bijzondere vaststelling die we bij het bespreken bij dit type dilemma hebben kunnen doen, is dat een duidelijke meerderheid van de mensen bij voorkeur de beschikking wil hebben over zoveel mogelijk data, aldus Alaerds. De verklaring hierbij is de angst om zaken over het hoofd te zien. Tegelijkertijd wenst men vanuit een zo volledig mogelijk aanbod aan data een goede selectie te kunnen doen om alleen de relevante gegevens ten grondslag te laten liggen aan de keuzes die men daarna maakt. Men lost het dilemma daarmee in feite niet op maar houdt het in stand. De boodschap die we hier mee willen geven is dat bij het niet tijdig maken van keuzes in data die men wenst te gebruiken men in de toekomst simpelweg een volgende probleem heeft gecreëerd. En dat is het probleem van de relevantie van data. Waarmee dus de besluitvorming alleen maar moeilijker is gemaakt. Hans Lamboo is hoofdredacteur van Infosecurity.nl magazine 34 Infosecurity.nl magazine - nr. 2 - april

19 GEORGANISEERD DOOR MADISON GURKHA 14 mei 2013 De Reehorst in Ede Black Hat Sessions XI Dit jaar organiseert Madison Gurkha alweer de 11e editie van de inmiddels befaamde Black Hat Sessions. Het thema dit jaar is: Cyber...Security. Het woord cyber kent nogal wat achtervoegsels, waarmee zaken uit het echte leven te verplaatsen zijn naar de digitale wereld. Denk bijvoorbeeld aan cyberpesten, cybersex, cyberpunk en meer on-topic voor de Black Hat Sessions vooral ook aan cyberwarfare, cyberterrorisme en cybercrime. SPREKERS INFORMATIE De Black Hat Sessions Part XI: Cyber Security vindt plaats op dinsdag 14 mei 2013 bij Hotel en Congrescentrum De Reehorst te Ede. Het programma start om uur en duurt tot uur. Aansluitend wordt nog een borrel georganiseerd. Registratie is mogelijk vanaf uur. Meer informatie over het congres is te vinden op: REGISTREER NU! Via het inschrijfformulier op kunt u zich direct aanmelden voor het congres. De kosten voor deelname bedragen 265 excl. BTW per persoon. Documentatie, lunch en koffie zijn inbegrepen. Voor studenten hebben wij een speciaal tarief van 55 mogelijk weten te maken. Als u zich voor 16 maart 2013 aanmeldt, ontvangt u bovendien 10% vroegboekkorting! SPONSORS MEDIA PARTNERS cyber... SECURITY Met trots presenteert Madison Gurkha voor de Black Hat Sessions Part XI prominente sprekers die zeer goed aansluiten bij het thema Cyber Security. Cyberkolonel Hans Folmer Commandant Taskforce Cyber bij de Defensiestaf Gerben Klein Baltink Secretaris Cyber Security Raad Wim Verloop Managing Partner & Senior Forensic Analist, Digital Investigation B.V. Eileen Monsma Advisor, Politie Team High Tech Crime Rickey Gevers veroordeeld hacker en tegenwoordig werkzaam bij Digital Investigation B.V. ORGANISATIE Alex de Joode Senior Regulatory Counsel and Liaison Officer, LeaseWeb Your Security is Our Business g MOBILE Patrik Sallner van SkySQL: Roep om meer security speelt MariaDB in de kaart Terwijl grote web-bedrijven roepen om almaar snellere technologie om de enorme aantallen klanten en transacties aan te kunnen, neemt de roep om meer security zo mogelijk nog sneller toe. Volgens Patrik Sallner spelen deze trends een open source database als MariaDB flink in de kaart. Het gebruik van MySQL als hét platform voor grote websites lijkt over zijn top heen. De open access en de veel efficiëntere code van MariaDB lijkt ook vanuit security-oogpunt aan te slaan. Patrik Sallner is chief executive officer van SkySQL. Deze Finse onderneming levert diensten en aanvullende tools voor gebruikers van MySQL en MariaDB, twee populaire open source-databases. MariaDB is het geesteskind van Monty Program, waar de Fin Michael Monty Widenius achter schuil gaat. En Widenius was weer een van de belangrijkste ontwikkelaars van MySQL. Tot Oracle Sun Microsystems en daarmee ook MySQL overnam. Jongste dochter Tijdens een presentatie in Amsterdam gaf Widenius aan dat deze overname een belangrijke reden voor hem is geweest om met MariaDB te beginnen (de naam Maria verwijst naar zijn jongste dochter). Het viel mij op dat Oracle na de overname bepaalde features uit MySQL is gaan halen en deze nu alleen nog als closed source en dus tegen betaling beschikbaar maakt. Bovendien is de development cycle van Oracle rond MySQL behoorlijk traag, veel trager dan de oorspronkelijke community wil. Ook heeft Oracle besloten om testcases niet langer te publiceren. Voldoende reden om MariaDB te beginnen. MariaDB is gebaseerd op de code base van MySQL, maar dan inclusief nagenoeg alle features die Oracle verwijderd heeft. Denk aan thread pools, storage-engines en bijvoorbeeld Safemalloc. Bovendien voegt de rond MariaDB ontstane community in rap tempo nieuwe functionaliteit toe. Als voorbeelden noemde Widenius in Amsterdam onder andere microseconds, multisource en support voor dynamic columns. Veranderingen Ook Sallner van SkySQL ziet veranderingen optreden rond MySQL, nu Oracle het voor het zeggen heeft. Wat we al heel snel merkten, was dat de prijzen voor licenties en services omhoog gingen. Een van de grootste MySQL-gebruikers ter wereld - Deutsche Telekom - reageerde hierop met een nogal drastische beslissing door over te stappen op MariaDB. Van deze database was in februari 2010 als eerste versie 5.1 als stabiele release vrijgegeven en de overstap van het Duitse telecomconcern was een van de ontwikkelingen die MariaDB definitief op de kaart heeft gezet, zegt Sallner. Daarbij speelt dat MariaDB binary compatible is met MySQL. De claim van Monty dat overstappen van MySQL naar MariaDB een kwestie van minuten is, blijkt in de praktijk dan ook te kloppen. Versie 5.1 van MariaDB was de eerste release van deze database, die wat nummering betreft in eerste instantie in de buurt werd gehouden van MySQL. In door Hans Vandam volgende versies heeft men een aantal door Oracle uit MySQL verwijderde functies herschreven en weer toegevoegd. Hetzelfde geldt, zegt Sallner, voor een aantal nieuwe features die Oracle inmiddels wel heeft toegevoegd. De mensen in de MariaDB-community blijken veel efficiënter te programmeren, waardoor zij meer functionaliteit in minder regels voor elkaar krijgen. De code is veelal van beduidend betere kwaliteit. High availability Met high profile gebruikers als Facebook en Google is security voor MariaDB een zeer belangrijk issue geworden. Sallner: Niet iedereen is het er mee eens, maar het open source-model levert in onze visie per definitie een veiliger product op. Er kijken veel meer mensen naar de code, waarbij het bovendien veelal gaat om mensen die een echte passie voor hun community en hun project voelen. Sallner durft met gerust hart de stelling aan dat open source simpelweg een betere kwaliteit code oplevert, met veel minder fouten, waardoor in principe ook minder misbruik mogelijk is. SkySQL levert ook een aantal extra tools bovenop MariaDB die bijvoorbeeld gericht zijn op high availability. Een hiervan is Galera Cluster, een clustertechnologie die door middel van nodes zorgt voor permanente fail-over. Deze technologie is ontwikkeld door het eveneens van oorsprong Finse Codership en zorgt bij gebruik van minimaal drie nodes voor een zeer efficiënte vorm van clustering en fouttolerantie. Clustering kan hierbij plaatsvinden binnen een LAN- of WANomgeving, maar kan ook via de cloud worden gerealiseerd. Hierbij kan tevens gekozen worden voor een mix van Galera-clustering en MySQL s eigen voorzieningen voor replicatie. Wat de beste aanpak is, hangt af van de situatie, stelde Seppo Jaakola van Codership in Amsterdam. Ons staat maar één doel voor ogen: zorgen dat de data altijd beschikbaar en veilig is. Kijk voor meer informatie op of Hans Vandam is freelance journalist. Infosecurity.nl magazine - nr. 2 - april

20 g Sociale netwerken minder bedreigd dan gedacht Van de redactie Gewone bedrijfsapplicaties In tegenstelling tot wat vaak wordt gedacht, vormen sociale netwerken, videouitwisselingsdiensten en bestandsdelingsdiensten geen grote bedreigingen. Palo Alto Networks telde 339 van dit type toepassingen. Zij namen twintig procent van de gebruikte bandbreedte in beslag, maar waren goed voor slechts 0,4 procent van alle bedreiging-logs. Dat betekent onder meer dat het blokkeren van deze websites weliswaar effect heeft op de beveiliging, maar dat dit niet de impact heeft, die een organisatie hoopt of denkt. Daarnaast betekent het blokkeren dat medewerkers en klanten een communicatiekanaal minder tot hun beschikking hebben. Palo Alto Networks ontdekte dat Facebook nog steeds het dominante sociale netwerk is. Het rapport identificeerde in totaal 75 verschillende sociale-netwerkapplicaties die gezamenlijk één procent van de totale bandbreedte gebruikten. Op 92 procent van de onderzochte netwerken werden zeventien varianten van sociale meest gebruikt voor aanvallen Gewone bedrijfsapplicaties scoren het hoogst als middel om computersystemen en netwerken aan te vallen. Sociale netwerken en video- en bestandsuitwisselingsdiensten scoren veel minder hoog. Die zijn weliswaar goed voor twintig procent van het netwerkverkeer, maar beslaan slechts één procent van alle bedreiging-logs. Dat blijkt uit de tiende editie van het Application Usage and Threat Report van beveiligingsbedrijf Palo Alto Networks. De security-leverancier van onder andere WildFireTM, een firewalldienst voor het bestrijden van moderne malware, analyseerde het netwerkverkeer van meer dan drieduizend organisaties wereldwijd tussen mei en december Dat leverde een goed beeld op van applicatiegebruik en bedreigingen in netwerken gevonden. Het rapport stelt in totaal individuele bedreigingen vast, waarvan elf binnen sociale-netwerkapplicaties. Van de 75 applicaties zijn vier Facebookfuncties apart geïdentificeerd: basisversie, apps, posting en social-plugins. Deze zijn door bedrijven deels in en uit te schakelen. Deze vier Facebook-functies gebruiken 75 procent van de socialenetwerkbandbreedte. Dit betekent dat er voor de andere 71 applicaties nog een kwart overblijft. Facebook domineert nog steeds, maar het rapport ziet nieuwe spelers die of hun eigen [curs]niche[\curs] creëren, of zich terugvechten in deze markt. Rol van gewone bedrijfsapplicaties Exploits richten hun pijlen op waardevolle bedrijfsmiddelen via gewone bedrijfsapplicaties. Van de onderzochte applicaties waren negen bedrijfskritische applicaties verantwoordelijk voor 82 procent van alle exploit-logs. Uit het onderzoek van Palo Alto Networks wordt duidelijk dat interne beveiliging een stuk minder krachtig is dan externe. 97 procent van de kwetsbaarheid-exploits was afkomstig uit slechts tien applicaties (van de in totaal gevonden applicaties). Negen toepassingen werden beoordeeld als hoogwaardig. Het ging om interne toepassingen of infrastructuurgerelateerde applicaties die een integraal onderdeel uitmaken van verschillende bedrijfsfuncties. Deze data wijzen erop dat de strategie om kritische resources van binnenuit Interne beveiliging is een stuk minder krachtig dan externe aan te vallen, de regel is en dus niet langer de uitzondering vormt. Dit betekent dat bedrijven hun interne verkeer zullen moeten monitoren naast het verkeer dat van buiten komt. Een nadere beschouwing van de exploit-logs laat zien dat er unieke kritische exploits waren (op de zwaarteniveaus hoog en midden) in circa zestig miljoen logs. Niet verwonderlijk was de uitkomst dat de meeste unieke exploits te vinden waren bij web-browsing. De meeste bekeken logs waren afkomstig van MSSQL en MSRPC, wat duidt op een hogere volumeactiviteit binnen deze specifieke exploits. Malware en custom/onbekende applicaties Het rapport wijst verder uit dat malware zich verstopt in maatwerkapplicaties. Deze applicaties worden het meest in verband gebracht met malware. Ze zijn goed voor 55 procent van de malwarelogs, hoewel ze maar twee procent van de totale bandbreedte in gebruik nemen. Het correleren van bedreigingen aan specifieke applicaties (of applicatiekenmerken) stelt beveiligingsteams in staat om risico s in hun netwerk direct te detecteren. Dit classificeren van verkeer heeft daarnaast het onvoorziene voordeel dat custom of onbekend applicatieverkeer dat op het netwerk aanwezig is, te zien is. Dit verkeer is onder te verdelen in custom/onbekend TCP en custom/onbekend UDP. Zo is een snelle analyse te maken en is verkeer systematisch te beheren, evenals de bijbehorende risico s. Onbekend en custom-verkeer kwam op elk onderzocht netwerk voor, meestal tussen de acht en tien procent. Het ging om intern maatwerk, om een bedrijfsoplossing die nog niet geïdentificeerd was, of om een bedreiging (maatwerkapplicatie). Hoewel klein in volume zorgt onbekend/custom-verkeer voor hoge risico s. Het vaststellen en vervolgens beheren van dit verkeer is vooral van belang, omdat hackers vaak bestaande applicaties en protocollen aanpassen, zodat die doen wat een hacker voor ogen heeft. SSL en proxy s Het Application Usage and Threat Report heeft in de afgelopen jaren regelmatig het gebruik van applicaties onderzocht, die in staat zijn om de beveiliging te omzeilen. Deze brede categorie omvat applicaties zoals SSL en andere tunnelversleutelingstoepassingen, externe proxy s en tools voor remote desktoptoegang. Deze applicaties zijn onmisbaar voor organisaties, maar vormen ook een bedreiging. Vanuit het perspectief van de hacker bieden deze toepassingen de mogelijkheden om een aanval te verbeteren doordat ze makkelijk opgenomen worden in een netwerk. Daardoor is het controleren van deze applicaties van groot belang. Dit blijkt ook uit het rapport. HTTP-proxy werd aangetroffen bij 97 procent van de organisaties en zorgde voor op drie na het hoogste volume van malware-logs. HTTPproxy werd voor verschillende bedreigingen gebruikt, waaronder TDL-4, Rustock, Gozi en Citadel. Veel van deze malwarefamilies hebben hun eigen proxyservers voor het afschermen van hun werkelijke bron en het tunnelen van verkeer via een netwerk van geïnfecteerde gebruikers. Het is duidelijk dat encryptie en proxies onmisbaar zijn voor bedrijven, maar de onderzoeksgegevens geven ook duidelijk aan dat dit zeer kritische toepassingen zijn voor aanvallers. Organisaties zullen meer controle moeten uitoefenen op persoonlijke applicaties SSL bleek de op een na grootste bron te zijn in malware-logs. Dat is een belangrijke uitkomst, gezien het feit dat veel onderzochte organisaties de SSL-decryptiefunctionaliteit niet hebben ingeschakeld. Dit betekent dat de werkelijke situatie vrijwel zeker ernstiger is en malware binnen SSL groter is dan in het rapport vermeld staat. SSL is vooral gebruikt door het Ramnit-botnet en door varianten van Poison Ivy RAT. Kijkend naar SSL, is de aanname vaak dat het primair relateert aan HTTP (en TCP/443). In de praktijk kan een applicatie SSL echter gebruiken via elke poort. De analyse toont aan dat 356 applicaties in staat zijn om SSL te gebruiken (via verschillende poorten). Samen zijn ze goed voor zeven procent van de bandbreedte. Verrassend De uitkomsten van de analyse zijn in die zin verrassend, dat ze licht werpen op de actuele risiconiveaus en op het type applicatie dat voor bedreigingen zorgt. Vooral opvallend is de rol van de sociale netwerken en video- en bestandsuitwisselingsdiensten die maar voor heel weinig bedreiging-logs zorgden in verhouding tot hun gebruik. Daarnaast was het opmerkelijk dat hackers hun malware onder meer verstoppen in UDP-verkeer dat meestal als goedaardig wordt bestempeld. Een en ander betekent dat organisaties meer controle zullen moeten uitoefenen op persoonlijke applicaties die voor meer risico s zorgen, zoals Facebook-apps. Daarnaast moeten zij aanmerkelijk meer energie steken in het voorkomen van kwetsbaarheden in hun interne infrastructuurapplicaties. Tot slot is het raadzaam om alle verkeer te blokkeren, dat lijkt op onbekend of custom UDP. 38 Infosecurity.nl magazine - nr. 2 - april