PRIVACY VAN DE OVERHEID

Maat: px
Weergave met pagina beginnen:

Download "PRIVACY VAN DE OVERHEID"

Transcriptie

1 JAARGANG 13 - JUNI infosecurity MAGAZINE NEDERLANDERS VERWACHTEN PRIVACY VAN DE OVERHEID EERSTE OPVALLENDE UITKOMSTEN NATIONALE IT-SECURITY MONITOR BURGER WANTROUWT BEDRIJVEN - HET INTERNET ZAL TOCH NOOIT VEILIG WORDEN - NIEUWE EUROPESE DATABESCHERMINGSWETGEVING - TIEN TIPS VOOR EFFECTIEVE WEBFILTERING - IAM VOOR DE CLOUD EN UIT DE CLOUD - IT GEMEENTE VEERE FLEXIBELER EN VEILIGER - PLATFORM INDUSTRIAL CYBER SECURITY - STOPPING ZERO-DAY EXPLOITS FOR DUMMIES - VUUR MET VUUR BESTRIJDEN VIA ETHICAL HACKING - LEGAL LOOK

2 g Colofon - Editorial Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via Uitgever Jos Raaphorst twitter.com/raaphorstjos nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel twitter.com/rhoeffnagel nl.linkedin.com/in/robberthoeffnagel Advertentie-exploitatie Will Manusiwa Eindredactie/traffic Ab Muilwijk Vormgeving Media Service Uitgeest Druk Control Media Infosecurity magazine is een uitgave van FenceWorks BV Beatrixstraat CK Zoetermeer Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitgever. Meer informatie: Radicaal bezig Het veldwerk van de Nationale IT-Security Monitor is afgerond en de eerste analyses zijn gemaakt. In de woorden van Peter Vermeulen, directeur van Pb7 Research, het onderzoeksbureau dat het veldwerk voor de Nationale IT-Security Monitor heeft uitgevoerd, zijn we als Nederland goed bezig op het gebied van IT-security. Drie punten vallen met name op. Dat is allereerst dat security in ons land bijzonder serieus wordt genomen. De meeste organisaties lichten minstens eenmaal per jaar hun IT-beveiligingsplan helemaal door en maken aanpassingen waar nodig. Security - en dat is het tweede punt dat duidelijk opvalt - is echter een moving target. De ontwikkelingen aan de kant van de cybercriminelen gaan razendsnel en veel organisaties hebben dan ook grote moeite om dit tempo bij te houden. Bovendien zijn overheden zich - terecht - veel meer met cybersecurity gaan bemoeien. Dat heeft bijvoorbeeld geleid tot de Europese Data Protectie Verordening. Voldoen aan de eisen die hierin worden gesteld is voor veel bedrijven echter vooralsnog een brug te ver. Het is echter maar de vraag of we voldoende doen - zelfs als we alle conventionele maatregelen nemen en alle beschikbare technische voorzieningen toepassen. De komende maanden gaan we verder met het analyseren van de grote hoeveelheid gegevens die het veldwerk heeft opgeleverd en zullen we nog menig artikel en blog post aan dit thema wijden. Misschien moeten we daarnaast ook gaan kijken naar radicaal andere maatregelen. Marc Andreessen - u kent hem vast nog wel van de Netscape browser, maar tegenwoordig is hij vooral bekend van de venture capital-firma Andreessen Horowitz - heeft wat dat betreft een aardig proefballonnetje opgelaten. Hij koppelt daarbij bitcoins aan security. Dat is natuurlijk een opmerkelijke combinatie, aangezien in veel analyses bitcoins vooral worden gezien als betaalmiddel voor criminelen. Andreessen - die al veel geld heeft geïnvesteerd in bitcoin-startups - ziet het vooral als een mooi hulpmiddel voor micro-payments. Hij ziet het als oplossing voor (tegen) spam. Stel dat we vanaf nu voor ieder mailtje dat we versturen een zeer klein bedrag in bitcoins moeten betalen. Vergelijkbaar met - zeg - een honderdduizendste eurocent. Voor gewone gebruikers van levert dat nauwelijks kosten op. Maar kijk eens wat zo n maatregel voor een spammer zou Het zijn dit soort radicaal andere ideeën die ons op het gebied van security zullen moeten helpen. betekenen. Die organisaties versturen per dag miljoenen mails. Als voor ieder mailtje betaald moet worden, gaan de kosten zeer sterk oplopen. Het is een onverwacht idee - over bitcoins maar ook als antispam-maatregel. Toch zijn het dit soort radicaal andere ideeën die ons op het gebied van security zullen moeten helpen. Want hoe goed we ook alle klassieke security-maatregelen nemen, het gevoel bekruipt toch steeds meer mensen dat we de strijd met de cybercriminelen eerder aan het verliezen dan aan het winnen zijn. Het lijkt tijd te worden voor radicaal nieuwe ideeën. Robbert Hoeffnagel Hoofdredacteur Infosecurity Magazine 2 INFOSECURITY MAGAZINE - NR. 3 - JUNI

3 INHOUD 10 Nieuwe stap tegen cybercrime De strijd tegen cybercrime gaat een volgend hoofdstuk in met de lancering van een nieuwe standaard voor veilige software. De standaard van de onlangs opgerichte Secure Software Foundation helpt ontwikkelaars veilige software te ontwikkelen. Daarnaast biedt de standaard de mogelijkheid de veiligheid van bestaande softwareoplossingen te toetsen. 16 Vuur met vuur bestrijden via ethical hacking Steeds meer bedrijven ervaren ernstige gevolgen vanwege gerichte cyberaanvallen. Uit recent onderzoek van McAfee blijkt dat Nederland jaarlijks maar liefst 8,8 miljard euro schade lijdt door cybercrime. Op een paar miljoen na, waarbij consumenten het slachtoffer zijn, gaat het vooral om schade bij bedrijven. Het grote probleem van cybercrime bij bedrijven is dat managers het vaak helemaal niet in de gaten hebben - of pas als het te laat is. Het is dus belangrijk om continu te controleren of er geen rare dingen in de IT-systemen, netwerken en toepassingen gebeuren. Ethical hacking is een eerste oplossing om orde op zaken te stellen. 18 Windows Cluster is geen garantie voor verlies van data 22 Tien tips voor effectieve webfiltering Organisaties hebben dagelijks te maken met medewerkers die vanaf hun pc s allerlei websites bezoeken. Dit levert niet alleen een potentieel beveiligingsrisico op, maar kan ook nadelig zijn voor de productiviteit. Denk aan het bezoeken van Facebook, online gamingwebsites, pornosites, videosites, et cetera. URL-filtering is een contentfilteringtechniek die voorkomt dat gebruikers bepaalde websites bezoeken, door de toegang te blokkeren. Intussen is dit uitgegroeid tot een van de belangrijkste beveiligingstools bij organisaties. 26 Platform 'Industrial Cyber Security' Steeds meer technische industriële installaties worden op afstand aangestuurd. We kennen ze allemaal, maar staan er niet altijd bij stil. Denk bijvoorbeeld aan de vele bruggen die op afstand worden geopend. De brugwachters van weleer zijn verleden tijd. De internettechniek heeft voor een groot deel hun rol overgenomen. Is dat erg? Nee, het romantische is er misschien een beetje af, maar de processen verlopen wel efficiënter en vaak ook veiliger. Het brengt echter ook potentiële gevaren met zich mee. 32 IT gemeente Veere flexibeler en veiliger De gemeente Veere breidde de afgelopen jaren haar IT uit met nieuwe mogelijkheden. Ze wilde het thuiswerken voor medewerkers faciliteren. Daarnaast wilde ze structuur creëren in de koppelingen naar buiten, die in het kader van de digitale dienstverlening waren aangelegd. Als service aan de bezoekers van het gemeentehuis was het ook gewenst om een draadloos wifi-netwerk beschikbaar te stellen, net zoals het gebruik van internet en social media beheersbaar moest blijven voor de IT ers. 38 IAM voor de cloud en uit de cloud De ingebruikname van cloud-technologie verandert niet alleen de kijk op IT-afdelingen, maar heeft ook sterke invloed op hoe organisaties kijken naar identity en access management (IAM). Cloud verandert op twee manieren de IAM-strategie: welke cloud resources moeten worden beheerd en welke mogelijkheden zijn er om een identiteitsoplossing toe te passen? 40 Troubleshooting TCP/IP networks 42 Burger wantrouwt bedrijven 44 Wereldwijd consumentenonderzoek legt meningen en gevoeligheden privacy bloot Uit wereldwijd onderzoek dat IT-bedrijf EMC heeft gedaan onder consumenten, blijkt dat vrijwel iedereen graag wil profiteren van nieuwe, digitale technologieën, maar daarvoor geen privacy wil inleveren. In dit onderzoek is ook een groot aantal Nederlandse consumenten ondervraagd naar hun zienswijze op online privacy, verdeeld naar activiteiten, communicatie en gedrag. Opmerkelijke uitkomsten daarvan zijn dat Nederlanders meer bemoeienis verwachten van de overheid door bijvoorbeeld het invoeren van opt-inwetgeving en dat hun privacy-niveau mede dankzij sociale media moeilijk in stand te houden is de komende vijf jaar. 46 Legal Look NEDERLANDSE IT-BEVEILIGERS ZIJN GOED BEZIG 6 Het veldwerk van de Nationale IT-Security Monitor is afgerond. Meer dan 200 beslissers op het gebied van IT-security bij organisaties met 50 of meer medewerkers hebben de moeite genomen om zich door een lange lijst te worstelen met vragen omtrent het gebruik en de uitdagingen van IT-security in Nederland. De survey biedt een schat aan materiaal, die we het komende jaar op alle mogelijke manieren gaan analyseren en waarbij een groot aantal thema s de revue zullen passeren. Voordat we de diepte ingaan, zetten we hier graag een aantal van de meest opvallende uitkomsten op een rij. STATEFUL APPLICATION CONTROL MAAKT MALWAREDETECTIE OVERBODIG HET INTERNET ZAL TOCH NOOIT VEILIG WORDEN De resultaten van de jaarlijkse Unisys Security Index 2014 laten zien dat Nederlanders weliswaar bezorgd zijn over de veiligheid van data online, maar dat we ook geloven dat de strijd om een veilig internet al verloren is. Vraag je ons bijvoorbeeld of we een eigen Europees datanetwerk willen om ons te beschermen tegen spionage van buitenlandse overheidsinstellingen, dan reageren we maar lauwtjes: 51% van de Nederlanders staat hier neutraal tegenover omdat het internet volgens hen hoe dan ook niet veilig zal zijn en slechts 30% vindt dit een goed idee. Waar komt dat wantrouwen vandaan en kunnen we er nog iets aan doen? NIEUWE EUROPESE DATABESCHERMINGSWETGEVING Malware is bad, zo bad zelfs dat alle traditionele middelen om malware te bestrijden praktisch nutteloos zijn gebleken. Maar nog niet alle hoop is verloren, zo stelt Peter H. Gregory, een gevierd security-expert en auteur van het boek Stopping Zero-Day Exploits for Dummies. Volgens Gregory krijgen malwarebestrijders een nieuwe kans met Stateful Application Control. Het is een van de meest veelbelovende ontwikkelingen in lange tijd. 34 Uit onderzoek van Trend Micro, specialist op het gebied van beveiligingssoftware, blijkt dat 4 op de 10 bedrijven in de Benelux zich niet bewust zijn van het feit dat er een nieuwe Europese wet van kracht gaat worden voor databescherming. De nieuwe EU General Data Protection Regulation is opgesteld om één lijn te trekken in de wetgeving over databescherming. Slechts 15 procent van de organisaties in de Benelux weet goed wat deze wetgeving voor hun organisatie gaat betekenen. 4 INFOSECURITY MAGAZINE - NR. 3 - JUNI

4 ONDERZOEK Eerste opvallende uitkomsten Nationale IT-Security Monitor 2014 Nederlandse IT-beveiligers zijn goed bezig Het veldwerk van de Nationale IT-Security Monitor is afgerond. Meer dan 200 beslissers op het gebied van IT-security bij organisaties met 50 of meer medewerkers hebben de moeite genomen om zich door een lange lijst te worstelen met vragen omtrent het gebruik en de uitdagingen van IT-security in Nederland. De survey biedt een schat aan materiaal, die we het komende jaar op alle mogelijke manieren gaan analyseren en waarbij een groot aantal thema s de revue zullen passeren. Voordat we de diepte ingaan, zetten we hier graag een aantal van de meest opvallende uitkomsten op een rij. 1. SECURITY WORDT BIJZON- DER SERIEUS GENOMEN De belangrijkste aanleiding om het securitybeleid te wijzigen, is ook in 2014 nog altijd het plaatsvinden van een incident. Toch lijken de onderzoeksresultaten erop te wijzen dat Nederlandse organisaties het securitybeleid structureler aanpakken dan ooit tevoren. Voor bijna evenveel organisaties vormen analyses op het gebied van risicobeheersing met betrekking tot bedrijfsprocessen en het ontstaan van nieuwe dreigingen een belangrijke aanleiding. Daarmee lijkt de Nederlandse IT-security strategie pro-actiever dan ooit. Nederlands organisaties investeren ook steeds meer in IT-beveiliging. In 2014 verwacht men dat de uitgaven aan ITbeveiliging gemiddeld met 11% toenemen en volgend jaar zelfs met 14%. De topprioriteiten liggen op het vlak van netwerkbeveiliging en identiteits- en toegangsbeheer. Op dit laatste gebied neemt de groei, ondanks de topprioriteit, het komend jaar sterk af. Het hoogtepunt lijkt daar dus nu wel bereikt te worden. Investeringen in netwerkbeveiliging blijven sterk groeien, maar de sterkste groei komt uit een hele andere hoek: mobiele security. De meeste organisaties lichten minimaal eens per jaar het hele IT-beveiligingsplan grondig door. Er wordt beleid geformuleerd op het gebied van databeveiliging, op het gebied van user awareness, op het gebied van privacy, enzovoorts. Toch kent het beleid ook wat zwakke plekken, waaruit blijkt dat de pro-actieve houding nog niet helemaal op het ideale niveau is. Het beleid is er vooral op gericht om de huidige IT-omgeving te beveiligen. Zo zegt maar 18% van de organisaties dat software ontwerpregels een onderdeel zijn van het securitybeleid en niet meer dan 27% van de organisaties heeft een securitybeleid voor het testen van nieuwe oplossingen. Ook is het beleid ter voorbereiding op de Europese Data Protectie Verordening verre van algemeen. 2. SECURITY IS MEER DAN OOIT EEN MOVING TARGET Toch is het belangrijk dat IT beveiligers in staat zijn om de aandacht meer te verleggen naar opkomende en toekomstige uitdagingen. Meer dan ooit is IT-security een moving target. Natuurlijk worden aanvallen steeds ingenieuzer en/of Figuur 1: Reikwijdte IT-Security strategie Vraag: Op welke gebieden heeft uw organisatie beleid geformuleerd op het gebied van IT-beveiliging? Figuur 2: Hoe wordt de IT-Security strategie geëvalueerd? Vraag: Op basis waarvan evalueert u het beveiligingsbeleid? grootschaliger. Veel van de inspanningen van IT-security zijn erop gericht om de organisatie hier zo goed mogelijk tegen DOOR PETER VERMEULEN te beschermen. Maar er liggen ook hele grote uitdagingen in het veranderende gebruik van informatietechnologie. Juist De resultaten van dit onderzoek bevestigen onze ervaringen met klanten dat organisaties alom een verschuiving maken van een reactieve naar een pro-actieve aanpak voor IT-security. Dat is een goede ontwikkeling. Tegelijkertijd krijgen we met deze Nationale IT-Security Monitor ook een goed inzicht in de uitdagingen. We zullen ons meer moeten voorbereiden op de toekomst. Zo ook aan ons de taak om organisaties beter wegwijs te maken naar een veilige cloud-omgeving. Aldus Rogier van Agt, verantwoordelijk voor IT-security dienstverlening bij Sogeti. 6 INFOSECURITY MAGAZINE - NR. 3 - JUNI

5 ONDERZOEK Figuur 3: Hoe wordt de IT-Security strategie geëvalueerd? Vraag: Bent u het eerder eens of oneens met de volgende stellingen? Figuur 4: Hoe vaak wordt security pas op het laatst toegevoegd? Vraag: Bij het ontwikkelen van nieuwe software komt security pas bij het eind van het proces in beeld - Ben u het eerder eens of oneens met deze stelling? Percentage eens wordt weergegeven in de figuur. daar lijkt IT-security moeite te hebben om grip te krijgen: De helft (49%) van de respondenten geeft aan dat er onvoldoende kennis aanwezig is om cloudoplossingen veilig te kunnen gebruiken. Tel daarbij op dat binnen bijna de helft van de organisaties de IT-beveiligers niet zeker weten of ze alle cloudtoepassingen in het vizier hebben en je begrijpt waarom veel beveiligers Alhoewel security steeds vaker bovenaan de agenda komt te staan, blijkt uit dit onderzoek dat bedrijven vaak pas actie ondernemen na een incident. Het is een inkopper, maar het credo voorkomen is beter dan genezen geldt zeker ook bij cybercrime. Maar weinig organisaties kunnen zich de imagoschade en kosten permitteren die cyberaanvallen met zich mee brengen. Daarnaast blijkt ook dat de helft van de it-specialisten vindt dat ze onvoldoende kennis in huis hebben om optimale security-garanties te kunnen bieden aan medewerkers in hun organisatie. We vinden het belangrijk om krachten en kennis te bundelen om zo van elkaar te kunnen leren en echt goede oplossingen te vinden in de strijd tegen cybercrime, vandaar dat Trend Micro sinds kort gratis kennissessies organiseert (www.letstalkabout-it.nl). Aldus Tonny Roelofs, country manager Trend Micro. Het is verheugend om te constateren dat steeds meer Nederlandse bedrijven serieus nadenken over het opzetten van een structureler security-beleid. Met het oog op de enorme risico s die mobiele werknemers lopen, raden wij bedrijven en instellingen aan een formeel BYOD -beleid (bring your own device) op te stellen. Wij kunnen ons levendig voorstellen dat managers zich desondanks zorgen maken of ze wel voldoende kennis in huis hebben. Voldoen we wel aan de nieuwste wet- en regelgeving? is in dit verband een terechte en relevante vraag. Sophos heeft goed nieuws. Sophos Mobile Control en SafeGuard Encryption zijn getoetst en voldoen aan de nieuwste eisen van de aankomende Europese Data Protectie Verordening. Hiermee voorkomt u dat BYOD een nachtmerrie wordt. Aldus Pieter Lacroix, managing director Sophos. liever geen cloudoplossingen binnen hun organisatie zien. Ook geeft de helft (51%) aan dat er onvoldoende kennis aanwezig is om smartphones en tablets veilig te kunnen gebruiken. Om het toch in goede banen te leiden, wordt veelal maar beperkt toegang gegeven tot bedrijfsapplicaties en zet men encryptie in. Maar een eenvoudige virusscanner ontbreekt bijvoorbeeld in de meeste gevallen. Wel zien we een zeer positieve ontwikkeling op het gebied van het ontwerpen van nieuwe software. Binnen driekwart van de Nederlandse organisaties worden zowel de regels secure by design als private by design gehanteerd. Dat financiële dienstverleners hierin voorop blijken te lopen zal niemand verbazen. Dat men op dit gebied juist in de zorg achterloopt, is zorgelijk. Helaas lijkt het erop dat deze ontwerpregels maar matig geborgd zijn in de beleidsvorming van IT-security (zie vorige paragraaf). Bij veel organisaties, vooral in de zorg, geeft men dan ook toe dat bij de ontwikkeling van nieuwe applicaties security pas op het laatst wordt toegevoegd. 3. NEDERLAND IS NOG LANG NIET KLAAR VOOR DE EUROPE- SE DATA PROTECTIE VERORDE- NING Ook op een ander gebied mag IT-beveiliging wel iets meer op de ontwikkelingen vooruitlopen, hoewel je de vraag zou kunnen stellen of IT-beveiliging hier leidend zou moeten zijn. De meeste organisaties zijn zich er terdege van bewust dat er vanuit Europa een data protectie verordening aankomt, waarbij overtreders tegen niet misselijke boetes aanlopen. Het goede nieuws is dat de meeste organisaties die het aangaat - organisaties Figuur 5: Wie is er klaar voor de Algemene Data Protectie Verordening? Vraag: In welke mate is uw organisatie voorbereid op de volgende eisen van de Dataprotectie Verordening?[Organisaties >249 medewerkers] met 250 of meer medewerkers - bezig zijn om zich voor te bereiden. Het minder goede nieuws is dat er nog heel veel moet gebeuren. Zo heeft niet meer dan 6% een (verplichte) Data Protection Officer aangewezen. Alleen op het gebied van de meldplicht datalekken loopt het percentage wat op, maar dat komt vooral omdat de wetgeving op dat gebied al vooruitloopt. We zouden hier graag alle bedrijven die zich in de diverse trajecten bevinden aanmoedigen om het tempo erin te houden. Maar vooral willen we de organisaties wakker schudden die nog altijd niet door hebben dat ze aan de bak moeten en wat ze dan moeten doen. DE ONDERKANT VAN DE IJSBERG De eerste analyse van de Nationale IT-Security Monitor laat zien dat Nederlandse IT-beveiligers goed bezig zijn. Ze zijn steeds pro-actiever en kijken steeds beter naar alle veranderingen die in de markt plaatsvinden. Toch zullen ze de ruimte moeten zien te vinden om niet alleen bij te blijven, maar ook meer te anticiperen op komende ontwikkelingen. Met elke technologische verandering ontstaan er nieuwe gaten in de beveiligingsmuur en het duurt vaak nog te lang voordat deze gaten gedicht worden. Wie in staat is om deze gaten sneller te dichten of zelfs te voorkomen, helpt zijn organisatie om nieuwe technologische mogelijkheden sneller te omarmen en een voorsprong op de concurrentie te nemen. Met disruptie op de loer in vrijwel iedere sector, is het belang hiervan niet te onderschatten. In de komende maanden gaat Pb7 Research verder met het analyseren van de onderzoeksgegevens, zodat we ook de onderkant van de ijsberg inzichtelijk voor u kunnen maken. Wilt u meer weten over hoe andere organisaties omgaan NATIONALE IT-SECURITY MONITOR De Nationale IT-Security Monitor is een initiatief van FenceWorks - uitgever van onder andere AppWorks, CloudWorks, Digitalezorg.nl magazine en Infosecurity Magazine - en Pb7 Research en is mogelijk dankzij de medewerking van: Sogeti Fortinet Sophos TecHarbor Trend Micro TSTC Vest met security beleid, cloud beveiliging, consumerization, IT-security training, databeveiliging, advanced threat protection of bijvoorbeeld risicobeheersing, houdt ons dan vooral in de gaten! Peter Vermeulen is directeur van Pb7 Research De Nationale IT-security monitor laat een aantal interessante uitkomsten en ontwikkelingen zien. Belangrijke ontwikkelingen welke ook in deze uitgave terugkomen zijn de principes by design en by default. De adoptie ervan volgt daarbij ook de ontwikkelingen binnen de hernieuwde ISO27002 standaard, waarbij meer aandacht is voor onder andere eisen aan het software ontwikkelproces. Ook vermeldt de ISO standaard dat er binnen elk willekeurig project aandacht dient te worden gegeven aan informatiebeveiliging. In een privacy context is by default een van de speerpunten van de aanstaande dataprotectie verordening. Door vooraf na te denken over beveiligingsaspecten kan belangrijke winst worden behaald in het verminderen van incidenten en, prettige bijkomstigheid, uw organisatie is meer in control. Aldus Kees Mastwijk, senior Security Consultant Vest informatiebeveiliging. BUSINESS INFORMATION GOVERNANCE 8 INFOSECURITY MAGAZINE - NR. 3 - JUNI

6 STANDAARD VEILIGE SOFTWARE Oprichting van Secure Software Foundation NIEUWE STAP TEGEN CYBERCRIME De strijd tegen cybercrime gaat een volgend hoofdstuk in met de lancering van een nieuwe standaard voor veilige software. De standaard van de onlangs opgerichte Secure Software Foundation helpt ontwikkelaars veilige software te ontwikkelen. Daarnaast biedt de standaard de mogelijkheid de veiligheid van bestaande softwareoplossingen te toetsen. Een standaard gaat zeker helpen in de strijd tegen hackers, zegt interim bestuurslid Wim Goes van de foundation. Hoe meer er eenduidig wordt gewerkt, hoe meer kennis we opdoen voor de beveiliging. Goes, behalve bestuurslid ook quality director bij softwaretestbedrijf SQS, denkt dat het goed is dat de vrijheid van ontwikkelaars wat wordt teruggedrongen. Dat is in het belang van de veiligheid. Je kunt je als bedrijf geen software incidenten veroorloven. Steeds meer bedrijfswaarde bevindt zich in software en de komende jaren neemt dit alleen maar toe. Hackers zijn er op uit om software te laten crashen. Op die manier krijgen ze informatie om te kunnen inbreken in systemen. Door volgens de standaard te werken, geef je ze gewoon minder kans. Of kun je bij een digitale aanval bepaalde delen van je systeem met gevoelige informatie beter beschermen. BETROUWBARE SOFTWARE Aantoonbaar betrouwbare software speelt een steeds belangrijkere rol. Zowel in de Digitale Agenda als de Nationale Cyber Security Strategie van de overheid is de ontwikkeling van veilige software ter bestrijding van cybercriminaliteit één van de belangrijkste onderwerpen. De nieuwe standaard is bedoeld als leidraad voor de hele softwareketen, waaronder opdrachtgevers. Onveilige software is echter moeilijk te herkennen. Je kunt als gebruiker dan ook niet weten of je veilige of onveilige software gebruikt. Bovendien kan het vaak helemaal geen kwaad om onveilige software te gebruiken, totdat er natuurlijk een moment komt dat het misgaat. Maar daar kan best een hele tijd overheen gaan, aldus Koen Sandbrink van het National Cyber Security Centre. Sandbrink trekt de vergelijking met het bouwen van een kantoor. Daar weet je van tevoren hoeveel vierkante meter je nodig hebt, wat de architectonische kenmerken moeten zijn, hoe vluchtwegen lopen, noem maar op. Voor software security bestaan zulke eisen niet. Fred Hendriks van icomply, initiatiefnemer van de Secure Software Foundation, noemt het probleem een witte vlek in ICTland. Ontwikkelde software wordt pas bij oplevering getest op zwakke plekken en lekken. STRIJD IS NOG LANG NIET GESTREDEN De Secure Software Foundation benadrukt dat de strijd tegen cybercrime nog lang niet is gestreden. Een wereldwijde standaard is namelijk nog niet beschikbaar. We willen wel voorop lopen. Daarom hebben we het kader in het Engels ontwikkeld. Volgens Goes is het belangrijk om nu snel door te pakken. SQS is nauw bij de ontwikkeling van de standaard betrokken. Medewerkers zijn opgeleid om bij bedrijven te helpen het framework te implementeren en om de certificerings audits te doen. We lopen voorop en zijn een grote, internationale speler op het gebied van software quality en testen. Wij kunnen zorgen voor de afstemming tussen bedrijven. De afgelopen periode is het Framework Secure Software als pilot met succes getest bij diverse software-ontwikkelorganisaties. De standaard is bijna volledig gericht op het veilig produceren van het product. De applicatie, inclusief code, is daarom aanvullend op bestaande (proces)normen zoals de ISO normen. De Secure Software Foundation neemt de uitgifte, verdere ontwikkeling en bewaking van de open standaard voor haar rekening. SECURE SOFTWARE FOUNDATION De onlangs opgerichte Secure Software Foundation heeft tot doel de ontwikkeling van veilige software te bevorderen. Dit doet de stichting onder andere door het beheren en ontwikkelen van het Framework Secure Software. Daarnaast is de Secure Software Foundation uitgever en kwaliteitsbewaker van het Secure Software Certificate. Met dit certificaat kunnen software-ontwikkelorganisaties aan gebruikers en klanten aantonen dat hun software betrouwbaar ontwikkeld is. Het Secure Software Certificate kan worden verkregen wanneer bij de ontwikkeling van de software aan alle aspecten van het Framework Secure Software is voldaan. Voor het aanvragen van het Secure Software Certificaat moet de software worden beoordeeld door een van de door de Secure Software Foundation aangewezen officiële inspectie/audit-instellingen. Hierbij moet het audit-rapport worden afgetekend door een Registered Secure Software Auditor (RSSA ). Gedurende het certificeringsproces worden zowel de ontwikkelde applicatie (ontwerp en code) als de borging in de organisatie onderzocht. Wanneer de auditor de invulling van alle aspecten uit het Framework als voldoende beoordeelt, zal hij de Secure Software Foundation verzoeken een Secure Software Certificate af te geven voor de onderzochte applicatie(s). Met de nieuwe standaard voor veilige software hoopt de Software Secure Foundation een belangrijke stap te zetten in de strijd tegen cybercrime. Hierbij wordt gekozen voor een vorm van preventie, die volgens de stichting beter is als genezing. https://www.securesoftwarefoundation.org/ ALLE BELANGHEBBENDEN IN DE KETEN Het framework richt zich op alle belanghebbenden in de softwareketen. Opdrachtgevers krijgen met dit framework de mogelijkheid aangereikt criteria voor veilige software in hun lijst van vereisten op te nemen, zonder dat ze zelf inhoudelijke experts hoeven te zijn. Zij kunnen hiermee de softwareleverancier vragen om aan te tonen dat hun software veilig is, eventueel door de software te laten certificeren. Het moeten toepassen van het framework kan ook worden benoemd in het aanbestedingtraject. Software-ontwikkelorganisaties kunnen de criteria van het framework gebruiken bij het bouwen van applicaties. Projectmanagers, testers en externe partijen kunnen de kwaliteit met betrekking tot de veiligheid gedurende het ontwikkeltraject meten. Reviewers en auditoren kunnen de criteria uit het Framework Secure Software gebruiken om de veiligheid van de geproduceerde software te beoordelen en hierover aan de opdrachtgevers te rapporteren op begrijpelijke wijze. De audit voor het uitreiken van het Secure Software Certificaat kan enkel door een door de stichting gecertificeerde auditpartij worden uitgevoerd. Fred Hendriks: 100% veiligheid is onmogelijk, maar met het framework is het mogelijk om te controleren of er voldoende security is geïmplementeerd. 10 INFOSECURITY MAGAZINE - NR. 3 - JUNI

7 MALWARE DOOR FERRY WATERKAMP Stopping Zero-Day Exploits For Dummies STATEFUL APPLICATION CONTROL MAAKT MALWAREDETECTIE OVERBODIG Malware is bad, zo bad zelfs dat alle traditionele middelen om malware te bestrijden praktisch nutteloos zijn gebleken. Maar nog niet alle hoop is verloren, zo stelt Peter H. Gregory, een gevierd security-expert en auteur van het boek Stopping Zero-Day Exploits for Dummies. Volgens Gregory krijgen malwarebestrijders een nieuwe kans met Stateful Application Control. Het is een van de meest veelbelovende ontwikkelingen in lange tijd. Steeds vaker zijn het juist de leveranciers van antimalwareproducten die verkondigen dat we de strijd tegen de toenemende cybercriminaliteit verliezen. In mei van dit jaar riep Symantec nog de nodige verontwaardiging over zich af toen Brian Dye, bij het beveiligingsconcern chef informatiebeveiliging, tegenover The Wall Street Journal verkondigde dat antivirus dood is. Het leveren van antivirusoplossingen zou geen geld meer opleveren. Het is een boodschap waarin Peter H. Gregory, die zich onder andere Certified Information Systems Auditor en Certified Information Systems Security Professional mag noemen, zich ongetwijfeld kan vinden. In Stopping Zero-Day Exploits for Dummies stelt Gregory dan ook dat het detecteren van dreigingen niet langer voldoende is om datadiefstal te voorkomen. De effectiviteit van de traditionele detectiesystemen neemt af. Antimalwareprogramma s detecteren nog maar een klein deel van de malware. U kunt Stopping Zero-Day Exploits op de website van Infosecurity Magazine downloaden: 2014/06/12/ibm-maakt-het-ugemakkelijk/ GERAFFINEERDE CYBERCRIMI- NELEN Volgens Gregory heeft de afnemende effectiviteit van de traditionele beveiligingsmaatregelen alles te maken met de steeds geraffineerdere werkwijze van de cybercriminelen. Zo maken criminele organisaties steeds vaker gebruik van zero-day exploits waarbij misbruik wordt gemaakt van een nog onbekend gat in de beveiliging om de machine van de gebruiker te besmetten met malware. Omdat er voor deze onbekende gaten de zogenaamde zero-day vulnerabilities nog geen bescherming beschikbaar is, vormen ze een populair doelwit voor aanvallers. Met een succesvolle exploit kunnen aanvallers iedere willekeurige vorm van malware op de machine van het slachtoffer plaatsen. Waar de exploit is bedoeld om de malware op het systeem van het slachtoffer te krijgen, is de malware zelf een stukje code die wordt gebruikt om een systeem onder controle te krijgen en informatie te stelen. De auteur merkt daarbij op dat moderne vormen van malware inmiddels veel meer doen dan het loggen van toetsaanslagen, kopiëren van gebruikersschermen en het ontvreemden van informatie die staat opgeslagen op de besmette machine. Als voorbeelden noemt Gregory de Remote access Trojans om een systeem onder controle te krijgen, botnets voor het uitvoeren van grootschalige aanvallen en malware die specifiek is ontworpen voor het stelen van uiterst gevoelige informatie zoals inloggegevens en creditcardinformatie. Aanvallers maken niet alleen gebruik van geavanceerdere technieken, maar gaan ook hardnekkiger te werk (respectievelijk de A en de P in APT, oftewel Advanced Persistent Threat). Een aanval kan weken tot zelfs een jaar of langer in beslag nemen. Tijdens die periode doorloopt de aanvaller globaal zes stappen. De eerste stap is het verzamelen van informatie over het slachtoffer waarna in stap twee de aanval kan worden gepland en de tools voor het uitvoeren van de aanval kunnen worden ontwikkeld. In stap drie vindt de eerste aanval plaats, door medewerkers te verleiden om een kwaadaardig document te openen of een besmette website te bezoeken. De malware die op die manier wordt geïnstalleerd, is meestal bedoeld om de aanvaller toegang te verschaffen tot het interne netwerk. Eenmaal binnen kan de aanvaller in stap vier verder op onderzoek uit door het verkeer te monitoren, het netwerkverkeer te observeren of het interne netwerk in kaart te brengen en indien nodig nieuwe tools ontwikkelen waarmee de aanval kan worden voortgezet. Uitgerust met de juiste kennis en tools kan de aanvaller in stap vijf eindelijk doen waarvoor hij gekomen was, zoals het stelen van data en intellectueel eigendom of het saboteren van systemen. VERLOREN GEVECHTEN Aanvallers kunnen uiteenlopende redenen hebben om een organisatie aan te vallen, variërend van het uiten van ongenoegen over de sociale of ideologische koers van een organisatie ( hacktivisme ) tot industriële of politieke sabotage. De meeste cybercriminelen is het echter om geld te doen, en dat doen ze niet onverdienstelijk. Volgens het Amerikaanse ministerie van Financiën gaat in de wereldwijde cybercriminaliteit inmiddels meer geld om dan in de handel in drugs. Volgens Gregory zijn er dan ook verloren gevechten gevoerd tegen cybercriminaliteit. Organisaties hebben vele tools, technieken en processen ontwikkeld en geadopteerd om malware en cyberaanvallen af te kunnen slaan. Sommige technieken zijn min of meer succesvol geweest, maar deze successen hebben er alleen maar toe geleid dat de aanvallers werden aangemoedigd om nog betere technieken te ontwikkelen om onze verbeterde defensiemaatregelen te omzeilen. Volgens de auteur hebben we de slag met de cybercriminelen op meerdere fronten verloren. De opvoeding van de gebruikers, middels security aware- 12 INFOSECURITY MAGAZINE - NR. 3 - JUNI

8 MALWARE INTERVIEW DOOR ESTHER SIEVERDING ness-trainingen, is een van die fronten. Dergelijke trainingen zijn bedoeld om medewerkers bewust te maken van de gevaren, in de hoop dat ze niet meer op een verdachte link of document klikken. Je hebt echter maar een paar mensen nodig die uit haast, onwetendheid, vergeetachtigheid of door een inschattingsfout of gewoon nieuwsgierigheid toch een phishing- of spear-phishing openen met als resultaat dat het werkstation van de gebruiker wordt gecompromitteerd. Even zinloos zijn de pop-upberichten waarin gebruikers wordt gevraagd of bepaalde acties moeten worden toegestaan of geblokkeerd. De meeste gebruikers hebben geen idee en het kan ze ook niet schelen. Ze willen gewoon hun werk doen. Ook zijn we volgens Gregory weinig succesvol geweest in het voorkomen van kwetsbaarheden door effectief te patchen. In de praktijk is het bijna niet te doen om alle security-patches die beschikbaar worden gesteld uit te rollen, zeker nu er door de Bring Your Own Computer-trend steeds meer onbeheerde computers inpluggen op het netwerk. Jezelf beschermen tegen een zero-day vulnerability is bovendien onmogelijk. En ook op het gebied van malwaredetectie hebben we de slag met de cybercriminelen verloren. Door de opkomst van geavanceerdere malware en ontwijkingstechnieken zijn de traditionele beveiligingsmaatregelen een stuk minder effectief geworden. STATEFUL APPLICATION CON- TROL Als lezer van Stopping Zero-Day Exploits For Dummies zou je bijna denken dat we volstrekt kansloos zijn in de strijd tegen cybercriminaliteit. De eerste drie hoofdstukken en daarmee ruim de helft van het boek staan dan ook volledig in het teken van de ongelijke strijd tussen aanval en verdediging. Pas in hoofdstuk vier blijkt dat deze uitgebreide schets van het dreigingslandschap de opmaat vormt naar de introductie van Stateful Application Control, een nieuwe benadering die moet voorkomen dat malware ook daadwerkelijk wordt uitgevoerd en schade toebrengt aan de endpoints van de gebruiker. In dit hoofdstuk blijkt ook waarom Stopping Zero-Day Exploits For Dummies is geschreven met en voor Trusteer, an IBM Company, zoals al in de inleiding wordt opgemerkt. Stateful Application Control wordt namelijk toegepast in Trusteer Apex. Stateful Application Control maakt gebruik van het gegeven dat een gecompromitteerde applicatie afwijkend gedrag zal vertonen. Trusteer Apex monitort daarom de status van een applicatie op het moment dat er een gevoelige handeling wordt verricht, zoals het schrijven naar het filesysteem of het openen van een communicatiekanaal. Op het moment dat de applicatie een applicatie-interface gebruikt, wordt Stateful Application Control getriggerd om de actuele status van de applicatie te vergelijken met alle bekende applicatiestatussen. Als er geen match is, duidt dat erop dat er sprake is van een exploit. Trusteer Apex zal dan ook voorkomen dat de gedownloade file wordt uitgevoerd en er schade wordt toegebracht aan de machine. Diefstal van data wordt voorkomen door het Command & Control (C&C)-communicatieverkeer te blokkeren. Dit gedachtengoed wordt in het boek verder verduidelijkt aan de hand van enkele voorbeelden. Als bijvoorbeeld een gebruiker een browser gebruikt om een website te bezoeken en een file te downloaden, is dat een legitieme actie waar een bekende applicatiestatus bij hoort. Als de bezochte website echter een verborgen exploitcode bevat die misbruik maakt van een ongepatchte kwetsbaarheid in een browser om vervolgens een drive-by download uit te voeren, is er Titel: Stopping Zero-Day Exploits For Dummies, Trusteer Special Edition Auteur: Peter H. Gregory, met bijdragen van Dana Tamir, Director of Enterprise Security bij Trusteer, an IBM Company Pagina s: 53 ISBN: Over de auteur: Peter H. Gregory (CISA, CISSP, CRISC) is security- en riskmanager, universitair docent en auteur van ruim dertig boeken over security en opkomende technologieën. sprake van een onbekende, niet gevalideerde applicatiestatus die niet kan worden gematcht met een bekende status. Er is kortom afwijkend gedrag wat erop duidt dat er een exploit heeft plaatsgevonden. ADVANCED THREAT PROTECTION Stateful Application Control biedt een effectieve bescherming tegen zero-day exploits en andere Advanced Persistent Threats die normaliter onder de radar blijven, zo concludeert de auteur. Doordat het geen poging doet om een dreiging te detecteren, maar in plaats daarvan de status van de applicatie valideert, is Stateful Application Control in staat om dreigingen accuraat te blokkeren, of die nu bekend of onbekend zijn. Daardoor is de nieuwe benadering ook niet afhankelijk van een bijgewerkte signature-database of van informatie die op voorhand beschikbaar is over een dreiging. Stopping Zero-Day Exploits For Dummies gaat nog dieper in op Stateful Application Control door onder andere te laten zien hoe Trusteer Apex kan worden geïmplementeerd en beheerd en hoe met Real-Time Threat Intelligence de beveiliging nog verder kan worden aangescherpt. Het boek wordt afgesloten met een top tien overwegingen voor een effectieve Advanced Threat Protection. Want zoals de auteur het zelf stelt: Een For Dummies-boek is niet compleet zonder een top tien-hoofdstuk. CEO Comsec: Simulatie is de beste manier om dreigingen en risico s te overzien VUUR MET VUUR BESTRIJDEN VIA ETHICAL HACKING Steeds meer bedrijven ervaren ernstige gevolgen vanwege gerichte cyberaanvallen. Uit recent onderzoek van McAfee blijkt dat Nederland jaarlijks maar liefst 8,8 miljard euro schade lijdt door cybercrime. Op een paar miljoen na, waarbij consumenten het slachtoffer zijn, gaat het vooral om schade bij bedrijven. Het grote probleem van cybercrime bij bedrijven is dat managers het vaak helemaal niet in de gaten hebben - of pas als het te laat is. Het is dus belangrijk om continu te controleren of er geen rare dingen in de IT-systemen, netwerken en toepassingen gebeuren. Ethical hacking is een eerste oplossing om orde op zaken te stellen. Ferry Waterkamp is freelance journalist 14 INFOSECURITY MAGAZINE - NR. 3 - JUNI

9 INTERVIEW We spraken hierover met Moshe Ishai, CEO bij Comsec Cyber & Information Security Group. Dit Israëlische bedrijf levert volledige dienstverlening en consulting op het gebied van cyber- en informatiebeveiliging. Het richt zich met name op het maken van risicoanalyses door middel van ethical hacking. In Nederland wordt deze strategie nog niet in grote mate toegepast, terwijl het wel de kritieke punten blootlegt en schade kan voorkomen. Tijd dus om wat dieper in het onderwerp te duiken. BEELDVORMING Ishai: Veel bedrijven krijgen nog een negatief gevoel bij ethical hacking. Dit komt door een contradictie in de term. Bestaat er wel zoiets als ethisch hacken? Ben je, als je iemands eigendom infiltreert, niet sowieso een crimineel? Bij ethical hacking gaat het erom dat ITsystemen, netwerken en applicaties binnen een organisatie getest worden door professionele beveiligingsexperts. Op verzoek van het management uiteraard. Hierbij is het belangrijk dat de experts op dezelfde manier denken als een echte hacker. Pas als zij dezelfde tools en handelswijze gebruiken, zoals die binnen de aanvallerswereld voorhanden zijn, is de beveiliging optimaal te onderzoeken. Hacking is dan misschien niet het beste woord ervoor, want dat gebeurt alleen als het slachtoffer er niet van op de hoogte is. Bij ethical hacking worden actuele aanvalstechnieken met de directie besproken en vervolgens gesimuleerd, zodat de organisatie haar eigen weerbaarheid kan testen en gericht actie kan ondernemen om zichzelf te beschermen tegen daadwerkelijke cyber attacks. Dat lijkt mij juist iets heel positiefs. VOORDELEN Het grootste voordeel is dat bij ethical hacking voornamelijk gekeken wordt naar reële dreigingen en dat we zorgvuldig nagaan wat het effect is van zulke aanvallen op de bedrijfsprocessen en de bedrijfsvoering. Iedere component van de IT-omgeving is hierbij van belang, omdat ze allemaal onderdeel zijn van de organisatie en een mogelijk risico vormen. Een ander voordeel is dat ethical hacking uitgaat van specifieke scenario s die bij de klant een rol spelen. Vanwege voorafgaande uitgebreide analyses kunnen we daarmee tot de kern van het probleem komen, dreigingen blootleggen en de klanten adviseren in wat de vervolgstappen moeten zijn. TRENDS EN ONTWIKKELINGEN Wat we vaak merken, is dat de implementatie van security-maatregelen of zelfs het bestaan van een strenge beveiligingsstrategie, nog te wensen overlaat. Ook bij grote internationale bedrijven. Het is daarom cruciaal om hen de ogen te openen door juist de effecten van de aanvallen aan te kaarten. Dit kan variëren van gestolen data dat openbaar wordt gemaakt tot het overnemen van alle kerntaken van de organisatie, aldus Ishai. Tegenwoordig hebben de aanvallers daarnaast een voordeel op de beschermers. Ze hebben beschikking over heel goede wapens (tools), over de laatste technieken en platforms. Inmiddels bestaan er gigantische netwerken waar hackers van over de hele wereld bij elkaar komen om informatie uit te wisselen, technieken te bespreken of cyber weapons te verhandelen. Platforms als Darknet zorgen ervoor dat iedereen kan leren hacken je kunt betalen voor je kennis en voor de middelen. Dit is een serieuze ontwikkeling die wij te allen tijde in de gaten moeten houden. Op die manier kunnen wij altijd de meest actuele technieken testen op de omgevingen van onze klanten. STAPPENPLAN Het draait bij ethical hacking dus allemaal om het simuleren van de acties van de tegenstander. Of dit er nu 5, 10, 500 of zijn. Hiervoor is eerst veel informatie nodig: niet alleen welke systemen het bedrijf gebruikt, maar ook de functie van die systemen en hun effect op overige bedrijfsprocessen, vertelt Ishai. De hele interne infrastructuur wordt onderzocht, omdat we moeten weten welke systemen, netwerken of toepassingen met elkaar in verbinding staan. In het geval van een aanval kunnen IT-onderdelen met een bredere verantwoordelijkheid namelijk ook meer schade aanrichten. Wij krijgen door deze methode toe te passen veel bedrijfsgevoelige informatie onder ogen, waarover we vervolgens rapporteren. Hierbij letten we op privacy issues en focussen we ons enkel en alleen op security-aspecten. We houden ons bovendien aan zeer strenge ethische codes. 1) Maak een overzicht van de totale IT-omgeving We moeten ten eerste achterhalen hoe de IT-omgeving van de klant is opgesteld, hoe deze werkt en welke onderdelen er verbonden zijn tot het internet, de cloud, of waar data is opgeslagen. Alle aparte onderdelen kunnen immers een risico vormen als de beveiliging ervan niet optimaal is. 2) Bekijk de functionaliteit Vervolgens is het zaak om van ieder onderdeel te bepalen wat de functionaliteit ervan is en hoe dit doorwerkt in de totale IT-omgeving. Op basis van dit onderzoek is daarna in te schatten welke effecten een mogelijke aanval kan hebben op de bedrijfsprocessen. Wordt een systeem gehackt dat met meerdere bedrijfskritische systemen en netwerken in verbinding staat, dan is de impact van de aanval op de bedrijfsvoering logischerwijs vaak groter. 3) Vul het Threat Model aan In veel gevallen bestaat er al een algemeen threat model, maar deze is dan nog niet aangepast aan de daadwerkelijke soft- en hardware binnen het bedrijf. We moeten dit model daarom aanvullen met informatie die we in stap 1 en 2 hebben vergaard. Dit is dan specifiek gericht op de systemen en netwerken van die organisatie. Hiervoor zitten we lang met klanten aan tafel en interviewen we de executives en business managers, zodat we precies weten welke componenten het huidige model bevat. Daarbij is het van belang om de juiste vragen te stellen, maar ook hoe je deze stelt. Zo krijgen we een volledig beeld van alle technologie en wat de functionaliteit betekent voor het gehele business model, waaruit we een business impact analyse (BIA) kunnen opstellen. 4) Welke dreigingen zijn in dit geval van belang Ishai vervolgt: De volgende stap is om op basis van de business analyse en het threat model te bepalen welk soort dreigingen in deze organisatie een rol kunnen gaan spelen. Zijn dit interne of externe dreigingen? Ook definiëren de beveiligingsexperts het doel van de aanvaller: waar richten hackers zich momenteel op? Willen ze geld of data stelen? Of informatie openbaar maken? Enzovoorts. We moeten weten waarom aanvallen worden uitgevoerd. 5) Definieer de aanval De vijfde stap houdt in dat we de service gaan definiëren: dus bepalen we hoe de aanval eruit ziet die we gaan simuleren. Welke componenten zijn erbij betrokken (dit kom ook voort uit het threat model), is het een fysieke aanvaller? Komt deze van het internet, is het een interne of externe dreiging? Bij een interne dreiging bijvoorbeeld, leveren de managers de gebruikersnamen en wachtwoorden zodat wij toegang krijgen tot de systemen. Maar bij een externe aanval door een buitenstaander waarbij de black- of greybox wordt aangevallen, dan ontvangen we geen extra informatie. Daar heeft een echte hacker immers ook geen beschikking over. 6) Specifieke aanpak uitvoeren Dan volgt de daadwerkelijke uitvoering van de simulatie. Comsec heeft speciale methoden ontwikkeld op het gebied van cyber attack simulatie, dat is haar unieke selling point. Het bedrijf heeft verschillende sets van simulaties, die relevant zijn aan specifieke IT-omgevingen en die zij in de loop der jaren ontwikkeld heeft. De simulaties hangen daarmee ook af van de eerder geschetste scenario s binnen het bedrijf van de klant. Hierbij zet Comsec speciale actuele tools in. 7) Analyse Na de simulatie vindt de analyse plaats: van de gevonden resultaten, de complexiteit van de problemen en van de stabiliteit van de manipulatie. 8) Rapportage Tot slot stellen we een totaalrapport op over de resultaten van ethical hacking, welke problemen er zijn, welke problemen kunnen ontstaan, inclusief aanbevelingen om deze uitdagingen direct aan te pakken. Daarnaast krijgt de klant advies in hoe te handelen bij soortgelijke situaties. Elke manipulatie of simulatie heeft namelijk andere variaties. We stellen klanten van die variaties op de hoogte zodat ze daar rekening mee houden op het moment ze hun systemen gaan beschermen. VALKUILEN Moshe Ishai sluit af met de mogelijke struikelpunten: Zoals bij elke strategie, zijn er bepaalde punten waar je niet onderuit kan. Dit is bij ethical hacking niet anders. Ethical hacking dekt niet alle aanvalsscenario s. Dat is vanuit praktisch oogpunt ook bijna onmogelijk. De scenario s worden opgesteld op basis van de structuur en de IT-omgeving van klanten. Zij moeten zich dan ook realiseren dat zij hacking en cybercrime niet volledig kunnen voorkomen als ze zich qua bescherming alleen focussen op de geteste scenario s. En als we via ethical hacking niets vinden in de systemen, dan betekent dit niet gelijk dat het systeem veilig is. Aanvallen en systeemonderdelen veranderen dagelijks vanwege updates. Wat op het ene moment geen risico vormt, kan dat op het andere moment wel zijn. Dit is een wezenlijk verschil met risk management, waarbij alle risico s binnen het bedrijf gecontroleerd worden en elke dreiging apart wordt aangepakt. Bij ethical hacking zou je kunnen denken dat als er niets uit de analyse komt, dat er dan ook geen gevaar dreigt. Maar het kan tevens zo zijn dat er al kwetsbare componenten binnen het systeem aanwezig zijn. Deze componenten vormen dan op het moment van de simulatie wellicht nog geen probleem, maar kunnen dit wel worden door continue wijzigen en updates. Het is dus essentieel om heel de IT-omgeving te blijven controleren op apartheden en afwijkingen. Alleen dan kun je de echte hackers voor zijn en het bedrijf in zijn geheel van een optimale bescherming voorzien. Esther Sieverding is freelance journalist 16 INFOSECURITY MAGAZINE - NR. 3 - JUNI

10 DATAKEEPER REPLICATIE VOOR WINDOWS CLUSTERS DOOR BRAM DONS Windows Cluster is geen garantie voor REVIEW Door een of meer kopieën van de SQL databestanden te maken, kan het risico van verlies van kritische databasedata sterk worden verkleind. Dit biedt een zogenaamde Disaster-Recovery (DR) oplossing. Microsoft biedt daarvoor het concept SQL Server AlwaysOn. De firma SIOS biedt met het product verlies van data Windows Failover Clustering (WSFC) beschermt de Windowsomgeving en applicaties tegen uitval van een servernode. Het biedt weliswaar een High Availability (HA) oplossing maar geen garantie tegen het verlies van data bij bedrijfkritische Windowsapplicaties als SQL Server. Want in een zogenaamde shared-nothing clusterconfiguratie vormt de shared storage een single-point of failure (spof). Wanneer de shared storage uitvalt, dan heeft geen enkele clusternode meer toegang tot de applicatiedata. De enige beschermde bestanden binnen een Windows cluster zijn de binary files van de SQL engine die zich lokaal op elke servernode bevinden. Figuur 1: Testopstelling DataKeeper Cluster Edition DataKeeper Cluster Editon (DKCE) een alternatief voor een dergelijke replicatie-oplossing. DKCE is een in hoge mate geoptimaliseerde host-gebaseerde replicatie-oplossing die naadloos aansluit op Microsoft Windows Server 2008 Failover Clustering (WSFC) en Microsoft Cluster Server (MSCS). DE SANLESS CLUSTER Voor de SQL Server Always on in combinatie met WSFC is shared storage nodig, voor WSFC in combinatie met DKCE niet. De komst van SQL Server 2012 bracht de mogelijkheid om op basis van Server Message Block (SMB) 3.0 shares (in feite netwerk-gebaseerde storage) te creëren. Daardoor is voor shared storage niet langer meer een dure, op iscsi of Fibre Channel gebaseerde, SAN nodig. WERKING DATAKEEPER CLUS- TER EDITION Een van DataKeeper s sleutelcomponenten is de kernel mode driver die verantwoordelijk is voor alle mirroringactiviteiten tussen de source en target mirror endpoints. De synchrone of asynchrone replicatie vindt plaats op volume block level niveau. Bij de creatie van een mirror wordt eerst alle data gerepliceerd van het source naar het target volume. Na de initiële replicatie (ook wel full resync genaamd) zijn beide volumes exact gelijk. Daarna onderschept DataKeeper alle writes naar het source volume en repliceert de datablocken via het netwerk naar het target volume. DataKeeper maakt van een intent log file (ook wel aangeduid als een bitmap file ) gebruik waarin de in het source volume aangebrachte wijzigingen worden bijgehouden. De log file geeft DataKeeper de mogelijkheid om een fout in het source systeem te herstellen zonder een volledige mirror resync te moeten uitvoeren na herstel van de uitgevallen source server. Het bijhouden van de log file gaat wel ten koste van de prestaties, reden waarom wordt aanbevolen om deze file op een SSD te plaatsen. Volumes die niet kunnen worden gerepli- ceerd zijn: Windows system volume, volume(s) met Windows page file, niet-ntfs volumes, non-fixed drive types (cd-roms en dergelijke) en target volumes die kleiner zijn dan de source volumes. Er is geen limiet voor wat betreft de grootte van het gerepliceerde volume. De ingebouwde WAN-optimalisatie maakt optimaal gebruik van de bestaande netwerkverbinding zonder dat een WAN accelerator nodig is. Door een efficiënt gebruik van compressie algoritmen wordt optimaal gebruikgemaakt van de beschikbare netwerkbandbreedte. DataKeeper is in staat om bij een 1 GbE netwerk een snelheid van 520 Mbps te halen. REPLICATIE TYPEN Replicatie met DataKeeper kan op verschillende manieren en configuraties worden toegepast. Ten eerste, door een tweede fysieke copy van de data te maken. Ten tweede, een bestaande MSCS/ WSFC cluster uit te breiden met een remote disaster recovery side en door de spof van de storage van de traditionele MSCS/WSFC cluster weg te nemen. DataKeeper is te configureren in een eenvoudige disk replicatiefunctie van disk-to-disk; one-to-one, one-to-many en many-to-one. Disk-to-disk repliceert data tussen twee volumes op dezelfde server, one-to-one, one-to-many en many-to-one tussen een of meer volumes tussen server(s). De MSCS of WSFC cluster is uit te breiden met replicatie van een shared volume naar een remote system via N-shared-disk to one; N-shared-disk to N-shared-disk of N-shared-disk to multiple N-shared-disk. TESTCONFIGURATIE DATAKEEPER Onze test baseren we op een basis 2-node Windows Server 2012 R2 cluster. De cluster draait in een Active Directory Domain die op een aparte DC server geïnstalleerd moet worden. Beide clusternodes zijn verbonden via twee netwerken, een 100Mb LAN en een 10GbE voor replicatie. De Remote Disaster Recovery Site Remoteback-up is ook een Windows 2012 R2 server die deel uitmaakt van dezelfde Domain. Op de primaire, secondaire en back-up Windows Servers wordt de DKCE software geïnstalleerd. Voor de replicatie tussen de twee clusternodes Figuur 2: Installatie Failover Cluster op basis van File Share Witness Figuur 3: Mirror details en de Remote Site Server worden Solid State Disks gebruikt. Op de cluster wordt SQL Server failover cluster software geïnstalleerd. Om de failover en disaster recovery functies van de cluster te testen maken we gebruik van de standaard database TPC-C test van de Benchmark Factory Databases test suite versie 7 van de firma Quest Software; zie quest.com/benchmark-factory/ INSTALLATIE WINDOWS 2012 CLUSTER Voor de cluster installatie volgen we de standaard installatieprocedure. Omdat we een SANless cluster configureren en geen gebruik van shared storage maken, vinken we niet add all eligble storage to the cluster aan. Want, we maken geen gebruik van een Node and Majority quorum; dit is wel de default keuze bij een cluster installatie. In plaats daarvan maken we gebruik van SMB 3.0 van Node en selecteren File Share Majority quorum. Een File Share Witness moet op een server, in ons geval de Domain Controller, worden geconfigureerd die geen deel van de cluster mag uitmaken. De eerste 18 INFOSECURITY MAGAZINE - NR. 3 - JUNI

11 DATAKEEPER REPLICATIE VOOR WINDOWS CLUSTERS Figuur 4: Overzicht beide mirrors het intypen van de primaire en secondaire servernaam wordt een verbinding met beide gemaakt. Na klikken van de Create Job volgen we de menu s om een mirror op de r drive te creëren. In het New Mirror menu typen we de naam van het source volume, het IP adres op de server en het r volume. Dezelfde input geldt voor de Target Server. In het Details menu zijn de instellingen van de mirror te specificeren, waaronder: asynchroon of synchroon, de hoeveelheid te comprimeren data en de maximale bandbreedte (meestal gebruikt bij WAN replicatie). Wij kiezen voor synchroon. Na de creatie kan de mirror als volume aan WSFC worden geregistreerd. FAILOVER TEST Het idee achter de failover test is om aan te tonen dat bij uitval van een clusternode de SQL applicatie blijft functioneren en er geen applicatiedata verloren gaat. De SQL data blijft via de remoteback-up replicatie mirror behouden en beschermt de data bij uitval van een clusternode. Om de DR-functie te testen maken we gebruik van een trial Quest Database Benchmark gestandaardiseerde TPC-C test. De trial licentie is slechts voor tien gebruikers waarvan het geringe aantal voor ons doel niet uitmaakt. Na de configuratie van de TPC-C benchmarktest starten we deze TPC-C test op. Figuur 5: Benchmark Factory TPC-C test stap is om een file share te creëren en onze mycluster cluster daartoe read/ write access op zowel share als NTFS level te geven. We geven de share de naam FSW. Nu we een file share op de DC hebben gecreëerd, keren we terug naar de Primary node en maken we van Failover Cluster Manager gebruik om het quorum type te veranderen. We selecteren Configure a file share wittness en selecteren de aangemaakte \\w2kr2green\fsw share. We hebben nu een basis 2-node cluster en gaan verder met de volgende stap: de creatie van de cluster resources. Daarbij maken we gebruik van een replicated disk resource op basis van de third-party software DataKeeper Cluster Edition, in plaats van een shared disk resource. INSTALLATIE DATAKEEPER CLUSTER EDITION We hebben nu een basis 2-node SANloos cluster gecreëerd en kunnen beginnen met de installatie van de DKCE software op beide clusternodes. Hierbij wordt een mirror gecreëerd tussen twee Solid State Devices; de Kingston SSD- NOW 50 SSDs met een capaciteit van 240GB; 130/160 MB/s read/write-snelheden en 3000 IOPs. Beide SSDs zijn SATA disk drives die direct verbonden zijn met de clusternodes. Als eerste installeren we DataKeeper op de primaire node. In de achtereenvolgende menu s wordt de Domain of Server account gespecificeerd en de license file. Na een reboot van de server wordt het DataKeeper User Interface gestart. Na INSTALLATIE SQL SERVER 2012 We vervolgen met de installatie van SQL Server 2012 op de primaire clusternode. In het SQL Server Installation Center menu selecteren we New SQL failover cluster installation. In het Instance Configuration menu geven we een naam aan het SQL Server Network. Als Cluster Disk Selection tabblad selecteren we als shared disk het geregistreerde DataKeeper Volume r en in het Network Configuration tabblad een IP-adres van de primaire server. Na het aanklikken van de Add node to a Server failover cluster starten we op dezelfde wijze de installatie op de secondaire clusternode. REMOTE DISASTER RECOVERY Voor het geval de primaire site uitvalt, kan de MSCS of WSFC cluster worden uitgebreid met een shared volume die via een LAN/WAN verbinding naar een remote target wordt gerepliceerd. Op de remoteback-up server creëren we een 400GB volume op een Intel SSD S3700 Series. Na installatie van DataKeeper software op de remoteback-up server creëren we vanuit de bestaande SQL Replication job op de primaire server ook een synchrone mirror naar de remote server. Een alternatief is om een remote back-up in de cloud te plaatsen. In samenwerking met Amazon heeft SIOS een replicatie-oplossing ontworpen die data en applicatie in de cloud repliceert. De SANless software synchroniseert real-time kopieën van data over meerdere nodes. Failover binnen en tussen EC2 Availability Zones (AZs) wordt ondersteund availability en disaster protectie in een Amazon cloud. UITSCHAKELING PRIMAIRE NODE We trekken nu rücksichtslos de 220V stekker uit de primaire server. Het WSFC systeem detecteert de uitval van de primaire node en schakelt over naar de passieve node die nu de actieve clusternode wordt. De mirror tussen de primaire en secondaire node is nu verbroken en krijgt de status Resync pending. De data van de SQL applicatie op de secondaire node wordt nu beschermd door de mirror tussen de secondaire en remote back-up node. We zien dat geen enkele data verloren gaat en de gebruiker zal zo goed als niets merken dat een van de nodes verloren is gegaan. De Benchmark test laat geen enkele foutmelding zien. Na inschakeling van de primaire clusternode zien we dat WSFC service de uitgevallen node weer oppikt. Zodra de primaire node weer deel uitmaakt van de cluster wordt de status gemeld aan de DataKeeper. Daarna wordt de mirror tussen de primaire en secondaire node gesynchroniseerd en is de oude situatie weer hersteld. UITSCHAKELING SECONDAIRE NODE We herhalen de test maar nu met uitschakeling van de secondaire node. De mirror naar de remote-back-up node wordt overgenomen door de primaire node. Ook hier blijft de SQL data beschermd door de mirror. We schakelen de secondaire Figuur 6: Uitgevallen mirror na afschakeling primaire node Figuur 7: Uitgevallen mirror bij afschakeling secondaire node node weer in en wachten tot de cluster volledig is hersteld. Automatisch wordt de mirror tussen de primaire en secondaire clusternode weer hersteld. Ook constateren we dat er voor de gebruiker geen merkbare gevolgen waarneembaar zijn. Alleen geeft de benchmark een OCBC-error aan met als oorzaak een SQL Server Native Client Communication Link failure. Er gaat echter geen data verloren en de test verloopt verder zonder foutmeldingen. In samenwerking met Amazon heeft SIOS een replicatie-oplossing ontworpen die data en applicatie in de cloud repliceert CONCLUSIE Het product DataKeeper Cluster Edition van de firma SIOS biedt in combinatie met Windows Cluster een volledige HA/ DR-oplossing voor de Windows omgeving. DataKeeper is in verschillende omgevingen toepasbaar: op basis van een traditioneel SAN-gebaseerde shared storage of via de nieuwe SMB 3.0 Node en File Share Majority quorum van Windows Server 2012 R2. De laatste maakt een SANless cluster mogelijk, de omgeving waarop onze test is gebaseerd. De installatie van de DataKeeper software op elke cluster is betrekkelijk eenvoudig en verloopt zonder problemen. De creatie van de cluster mirrors en de remoteback-up mirror is vanuit de GUI snel geregeld. Als applicatie draaiden we een database TCP-C test. De failover naar beide kanten van de cluster verloopt zonder problemen. Na herstel van de afgeschakelde clusternode wordt de mirror snel hersteld en er treedt geen verlies van data op tijdens de SQL TPC-C database test. Voor meer informatie over DataKeeper Cluster Edition: FT Systems, Bram Dons is consultant bij IT trendwatch 20 INFOSECURITY MAGAZINE - NR. 3 - JUNI

12 URL-FILTERING DOOR HANS VANDAM Het implementeren van URL-filtering is op zich niet al te moeilijk. Maar om deze techniek echt optimaal en effectief in te zetten, zijn hier tien handige tips. 1. ZORG ERVOOR DAT FILTERING DEEL UITMAAKT VAN EEN BRE- DERE BEVEILIGINGSOPLOSSING Diverse leveranciers bieden URL-filtering Optimaliseer de bescherming van uw netwerk TIEN TIPS VOOR EFFECTIEVE WEBFILTERING Organisaties hebben dagelijks te maken met medewerkers die vanaf hun pc s allerlei websites bezoeken. Dit levert niet alleen een potentieel beveiligingsrisico op, maar kan ook nadelig zijn voor de productiviteit. Denk aan het bezoeken van Facebook, online gamingwebsites, pornosites, videosites, et cetera. URL-filtering is een contentfilteringtechniek die voorkomt dat gebruikers bepaalde websites bezoeken, door de toegang te blokkeren. Intussen is dit uitgegroeid tot een van de belangrijkste beveiligingstools bij organisaties. aan als een aparte, losstaande oplossing die binnen het netwerk geïmplementeerd moet worden. Maar effectiever en voordeliger is een bredere beveiligingsoplossing die standaard al de mogelijkheid tot URL-filtering biedt. High-end Next Generation Firewalls en complete, geïntegreerde oplossingen voor beveiligingsbeheer beschikken vaak al standaard over URL-filtering en andere mogelijkheden om internetverkeer te blokkeren. 2. EEN FILTERINGOPLOSSING MOET MAKKELIJK TE CONFIGU- REREN EN TE BEHEREN ZIJN Het instellen van URL-filteringoplossing zou makkelijk moeten zijn. Bij goede beveiligingsoplossingen is dit een kwestie van het doorlopen van enkele eenvoudige stappen. Een van de eerste stappen is ervoor te zorgen dat de firewall en de IPS (Intrusion Prevention System) oplossing in staat zijn om lijsten met gewenste en ongewenste URL s automatisch te downloaden van de leverancier. Daarna hoeft de configuratie alleen maar te worden afgestemd om specifieke URL s te blokkeren of juist toe te staan. Het monitoren van de activiteiten van een URL-filteringoplossing zou net zo eenvoudig moeten zijn. En ook hier geldt: als de filteringfunctie deel uitmaakt van een bredere beveiligingsoplossing, kan deze makkelijk worden beheerd en gemonitord via een centrale beheerconsole. 3. FILTEREN OP BASIS VAN WEB-CATEGORIEËN Het filteren van websites op basis van algemeen door de industrie gehanteerde categorieën is een van de makkelijkste en snelste manieren om in een keer een breed scala aan ongewenste URL s te blokkeren. Bij categorieën valt bijvoorbeeld te denken aan Violence, Advertising of Adult/Mature Content. Deze aanpak is over het algemeen de basis voor alle web filteringactiviteiten, maar de effectiviteit ervan is sterk afhankelijk van de beveiligingsleverancier, die regelmatig de lijsten met URL s en categorieën moet bijwerken. Het zou niet de taak van de IT-afdeling moeten zijn om deze lijsten zelf te updaten - de beveiligingsleverancier zou dit moeten doen. Daarbij zou er niet alleen een seintje gegeven moeten worden dat categorieën zijn bijgewerkt, maar moeten deze updates bij voorkeur ook automatisch worden uitgerold zodra ze beschikbaar zijn. De meest geavanceerde filteringoplossingen komen ook met een uitgebreide, kant-en-klare verzameling van categorieën en URL s, die direct toegepast kan worden. Sommige high-end oplossingen ondersteunen 80 of meer verschillende categorieën en bijna 300 miljoen top-level domeinen en sub-pagina s. Het zijn daarmee kant-en-klare oplossingen die direct miljoenen websites kunnen blokkeren. 4. HANDMATIGE FILTERS Webfiltering op basis van een van tevoren gedefinieerde lijst is een prima manier om te starten, maar voor echt effectieve filtering is meer nodig. De kant-en-klare lijsten maken gebruik van categorieën, waarmee in een keer complete categorieën van ongewenste sites geblokkeerd kunnen worden. Dit is natuurlijk makkelijk, maar de meeste organisaties zullen de filtering toch willen afstemmen op hun specifieke situatie en wensen. Bijvoorbeeld het blokkeren van extra sites die niet onder de van tevoren gedefinieerde categorieën vallen. Aan de andere kant zijn er misschien sites die juist niet geblokkeerd moeten worden, zelfs als ze onder een van de te blokkeren categorieën vallen of in een van de van tevoren gedefinieerde lijsten staan. Met een goede webfliteringoplossing is het mogelijk om zowel filtering op basis van categorieën te doen als handmatig sites aan de white- en blacklists toe te voegen. 5. OPTIES VOOR DE INSPECTIE- REGELS Met behulp van zogenaamde inspectieregels is het mogelijk om de webfiltering verder te optimaliseren. Hiermee kunnen bijvoorbeeld bepaalde onderdelen van online applicaties geblokkeerd worden, maar blijft de applicatie toch gewoon toegankelijk voor gebruikers. Dit is een nuttig hulpmiddel waarmee bepaalde onderdelen van een site die potentieel de productiviteit van werknemers kunnen beïnvloeden - zoals chatfunctionaliteit of de mogelijkheid om content te delen - kunnen worden geblokkeerd. Via de inspectieregels kan het dataverkeer tot op diep niveau geïnspecteerd worden. De krachtigste oplossingen controleren het webverkeer op URL-niveau. Daarbij wordt het webverkeer ontsleuteld, geïnspecteerd en opnieuw versleuteld, om ongewenst of mogelijk zelfs kwaadaardig verkeer tegen te houden. 6. INTERACTIE MET GEBRUIKERS Hoewel het informeren van gebruikers over geblokkeerde URL s misschien een detail lijkt, is dit in feite een belangrijk aspect van webfiltering. Door gebruikers te laten weten dat een bepaalde URL is geblokkeerd, wordt verwarring voorkomen en wordt de IT-afdeling niet lastiggevallen met onnodige verzoeken. Maatwerkmeldingen geven gebruikers waarschuwingen of laten weten waarom de site die zij willen bezoeken, is geblokkeerd. Het creëren van dit soort meldingen voor gebruikers moet echter wel eenvoudig en snel gaan. Meestal gebeurt dit via een configuratiemenu, waar een nieuwe melding wordt aangemaakt. Daarbij kan ook vaak gekozen worden uit een van te voren gedefinieerde lijst van meldingen. 7. EFFECTIEVE POLICIES Het instellen van de beleidsregels (policies) voor webfiltering is absoluut een taak voor de IT-afdeling. Kies geen oplossing die deze taak onnodig complex maakt, bijvoorbeeld omdat er aparte policies gedefinieerd moeten worden voor HTTPS en HTTP proxies. Dat betekent namelijk niet alleen dat het meer tijd kost om die policies bij te houden, maar vergroot ook de kans op menselijke fouten. In een goede oplossing is URL-filtering geïntegreerd met andere technieken die een overlappende of vergelijkbare beschermingsfunctionaliteit bieden. Wanneer er een enkele policy kan worden ingesteld die zowel voor webfiltering 22 INFOSECURITY MAGAZINE - NR. 3 - JUNI

13 URL-FILTERING als voor applicatiefiltering geldt, worden twee tools gecombineerd tot één efficiënte en effectieve oplossing. 8. COMBINEER FILTERTECHNIEKEN Zelfs als het niet mogelijk is om verschillende policies te combineren, zou het nog steeds wenselijk zijn om meerdere beveiligingstechnieken met elkaar te combineren. Als bijvoorbeeld de toegang tot externe webmail servers geblokkeerd moet worden, kan dit gerealiseerd worden met een beveiligingsoplossing die zowel applicatiefiltering als URL-filtering tegelijkertijd toepast. Met de eerste filtertechniek worden privé webmail servers geblokkeerd, terwijl de tweede de toegang tot publieke webmail servers blokkeert. Zo zijn beide ontoegankelijk vanaf het bedrijfsnetwerk. De mogelijkheid om meerdere technieken te combineren resulteert in een betere oplossing die er voor zorgt dat geen ongewenst verkeer wordt doorgelaten. 9. COMBINEER ANDERE BEVEILI- GINGSTECHNIEKEN Bij sommige oplossingen is het niet mogelijk om op hetzelfde webverkeer zowel webfiltering als virusscanning toe te passen. Het is in dat geval dan ook erg belangrijk om een goede antivirus-oplossing te gebruiken. Hetzelfde geldt voor webfiltering en Content Inspection Server (CIS) Redirection, waarbij het verkeer wordt omgeleid naar een server die de content eerst inspecteert. Dit vereist echter wel een externe oplossing voor het inspecteren van content. Wanneer webfiltering echter deel uitmaakt van een Next Generation Firewall of een andere complete beveilingsoplossing, zijn antivirusbescherming en CIS naadloos met elkaar geïntegreerd. Er hoeven dan alleen de juiste instellingen te worden geconfigureerd voor antivirusscanning en CIS Redirection, om ervoor te zorgen dat alle dataverkeer grondig wordt geïnspecteerd. Let er daarbij op dat de gebruikte antivirusoplossing geschikt is voor een brede verscheidenheid aan applicaties, verschillende soorten dataverkeer en verschillende protocollen. 10. VOORKOM EEN TE STRIKTE BLOKKERING Meer is lang niet altijd beter als het gaat om URL-filtering. Een te brede blokkering kan onbedoeld voor problemen zorgen. Sommige commerciële applicaties maken bijvoorbeeld gebruik van functies die vergelijkbaar zijn met die van sommige spyware. Bijvoorbeeld om de activiteiten van gebruikers te monitoren. Dit soort gedrag is vergelijkbaar met wat schadelijke spyware of malware kan proberen te doen. Deze legitieme spyware kan daarbij contact zoeken met een webadres. Het blokkeren van alle spyware kan er dan ook toe leiden dat zulke applicaties niet gebruikt kunnen worden, terwijl ze in bepaalde gevallen misschien wel nodig zijn. Een ander gevaar van te strikte blokkeringsregels is dat de IT-afdeling meer verzoeken krijgt om de filtering van bepaalde sites of applicaties op te heffen. Dat kost zowel de IT-afdeling als de gebruiker onnodig veel tijd. Door de webfiltering policies voortdurend te herzien en bij te werken, en regelmatig updates te installeren, kan de webfiltering optimaal worden ingesteld, zonder dat dit ten koste gaat van de bescherming van het netwerk of van de productiviteit. Hans Vandam is journalist 24 INFOSECURITY MAGAZINE - NR. 3 - JUNI

14 KLANKBORDGROEP DOOR ROBBERT HOEFFNAGEL PLATFORM INDUSTRIAL CYBER SECURITY Steeds meer technische industriële installaties worden op afstand aangestuurd. We kennen ze allemaal, maar staan er niet altijd bij stil. Denk bijvoorbeeld aan de vele bruggen die op afstand worden geopend. De brugwachters van weleer zijn verleden tijd. De internettechniek heeft voor een groot deel hun rol overgenomen. Is dat erg? Nee, het romantische is er misschien een beetje af, maar de processen verlopen wel efficiënter en vaak ook veiliger. Het brengt echter ook potentiële gevaren met zich mee. Zo zou het internetsysteem kunnen worden gehackt. Onbevoegde personen kunnen de brug dan op afstand open of dicht doen. Wat is de zin van zo n actie? Misschien vergezocht, maar bij een overval zou een open brug een interventie van de politie kunnen verhinderen. Ook sluizen en gemalen worden tegenwoordig op afstand bediend. Bij hoog waterpeil gaan de sluizen automatisch open of wordt een signaal geven aan de controlekamer waar vervolgens wordt besloten om wel of geen actie te ondernemen. KLANKBORDGROEP VOOR DE NORMCOMMISSIE INDUSTRIEEL METEN, REGELEN EN AUTOMA- TISEREN Omdat op veel gebieden deze kwetsbaarheid toeneemt, is er behoefte aan een klankbordgroep. Er is besloten het Platform Industrial Cyber Security op te richten. Deelnemers aan dit platform kunnen ervaringen met elkaar uitwisselen en methodes bespreken om een installatie robuust te maken en zo ongewenste en of kwaadaardige interacties te voorkomen of te reduceren naar een niveau waarbij de veiligheid niet in het geding komt. Het platform valt onder de normcommissie NEC 65 Industrieel meten, regelen en automatiseren. Deze normcommissie is binnen Nederland verantwoordelijk voor normen op het gebied van systemen en apparatuur voor besturing en bewaking van productieprocessen en industriële installaties. Deze vinden hun toepassing vooral in de professionele sfeer, waaronder (proces)industrie, energieopwekking en -distributie en weg- en waterbouwkundige infrastructuur. De normcommissie vertegenwoordigt de Nederlandse belangen op Europees (EN) en mondiaal (IEC) niveau. Daarnaast is NEC 65 verantwoordelijk voor het onder de aandacht brengen van het belang van de normen bij de Nederlandse achterban. Hoe pas je de normen toe en hoe is de samenhang met andere normen. Willem van der Bijl, voorzitter NEC 65 en Directeur Produca (activiteiten namens koepel WIB): Met de oprichting van het platform beogen wij een aantal doelstellingen. Zo willen wij de bewustwording versterken van de kwetsbaarheid met bijbehorende veiligheidsrisico s binnen de Nederlandse industrie en overige gebruikers. Uitwisseling van kennis en het volgen van relevante ontwikkeling is uitermate belangrijk. Hiervoor willen wij specialisten in de technische beveiliging en veiligheid, marktpartijen, organisaties en de overheid bij elkaar brengen. Het platform kan de normen in ontwikkeling volgen en de normcommissie NEC 65 en andere werkgroepen die betrokken zijn bij normalisatie voeden met informatie en commentaar op de inhoud van de normen. Hierdoor kunnen we goed blijven anticiperen op wat gaat komen en blijven innoveren als het op security aankomt. BREED AANDACHTSGEBIED Het platform heeft een breed aandachtsgebied. Het werk van de technische commissies TC 44 Elektrische uitrusting van machines en TC 57 Bediening op afstand van energievoorzieningssystemen komen dan ook zeker aan de orde. Het betreft namelijk niet alleen de waterbouwkundige infrastructuur zoals hierboven beschreven, maar ook de procesindustrie, energieopwekking en -distributie, wegbouwkundige infrastructuur, de petrochemische industrie en je kunt zelfs denken aan de besturing van kerncentrales. Alle digitale netwerken zijn namelijk te saboteren als je echt kwaad wilt. Ook als je dit zo goed mogelijk beveiligt door bijvoorbeeld alle data te encrypten. Door er bijvoorbeeld voor te zorgen dat systemen tijdelijk stil komen te liggen als er afwijkingen in het reguliere proces worden geconstateerd. Zo kun je voorkomen dat cyberterroristen de energietoevoer voor langere tijd gaan beheersen. Eric van Aken, commissielid NEC 65 namens koepel Netbeheer Nederland B.V. en Consultant Telecommunicatie en Security / Liandon Energie Consulting: Het platform kan een grote bijdrage leveren op het gebied van cybersecurity. Voor netbeheerders zijn standaarden heel belangrijk. Netbeheerders nemen namelijk componenten af van verschillende leveranciers. Alleen als er sprake is van interoperabiliteit kunnen we het goed functioneren van ons netwerk garanderen. Op het gebied van cybersecurity verandert er op dit moment veel en in een snel tempo. Als netbeheerder is het belangrijk om deze ontwikkelingen op de voet te volgen. We willen met meer data uit onze in toenemende mate gedigitaliseerde netten kunnen anticiperen op behoeften van en veranderingen door onze klanten. Maar dit moet wel veilig gebeuren. Dat maakt het met normering soms wel heel complex. De ontwikkelingen gaan snel en het normalisatieproces kan dat soms niet bijbenen. Voordat een internationale standaard de formele status krijgt, moet iedereen het er mee eens zijn en alle op- en aanmerkingen op de conceptversie zijn verwerkt. Het is daarom ook belangrijk dat er tussen de experts veel kennis en ervaring wordt uitgewisseld binnen het platform zodat we - als gebruiker en normcommissie - goed op de hoogte zijn en blijven en weten hoe we nu al toekomstbestendige maatregelen kunnen gaan treffen. Met dit platform willen we de afstand tussen normen aan de ene kant en de praktijk aan de andere kant klein houden. WILT U OOK DEELNEMEN? Bent u beroepsmatig betrokken bij industriële installaties geïntegreerd in communicatienetwerken? Of draagt u verantwoordelijkheid betreffende de security van industriële installaties? Dan kunt ook u deelnemen aan het platform. U kunt uw kennis uitwisselen met collega s en deskundigen en de ontwikkelingen op dit vlak volgen om klaar te staan voor de toekomst. De kick off-bijeenkomst van het platform heeft inmiddels plaatsgevonden. Het is de bedoeling dat het platform minimaal twee keer per jaar bijeenkomt. Wilt u meer informatie over het platform of deelnemen? Dan kunt u contact opnemen met Rianne Boek NEN Consultant telefoon (015) of Voor deelname aan het platform wordt een jaarlijkse bijdrage gevraagd van 350,- ex. BTW (2014). 26 INFOSECURITY MAGAZINE - NR. 3 - JUNI

15 SECURITY DOOR ROBBERT HOEFFNAGEL Waarom hebben Nederlanders zo weinig vertrouwen in online veiligheid en valt hier nog iets aan te doen? HET INTERNET ZAL TOCH NOOIT VEILIG WORDEN De resultaten van de jaarlijkse Unisys Security Index 2014 laten zien dat Nederlanders weliswaar bezorgd zijn over de veiligheid van data online, maar dat we ook geloven dat de strijd om een veilig internet al verloren is. Vraag je ons bijvoorbeeld of we een eigen Europees datanetwerk willen om ons te beschermen tegen spionage van buitenlandse overheidsinstellingen, dan reageren we maar lauwtjes: 51% van de Nederlanders staat hier neutraal tegenover omdat het internet volgens hen hoe dan ook niet veilig zal zijn en slechts 30% vindt dit een goed idee. Waar komt dat wantrouwen vandaan en kunnen we er nog iets aan doen? De Unisys Security Index is een jaarlijks wereldwijd onderzoek dat inzicht biedt in de houding van consumenten in een brede reeks veiligheidsgerelateerde onderwerpen. Het onderzoek van 2014 laat een aantal verrassende trends zien: zo zien Nederlanders bankpasfraude en identiteitsdiefstal als een van de grootste veiligheidsproblemen waar we voor staan. Maar liefst 26 procent van de ondervraagde Nederlanders maakt zich ernstige zorgen over diefstal van de gegevens van hun betaalpassen, terwijl 30 procent zich zorgen maakt over identiteitsdiefstal en ongeautoriseerde toegang tot persoonlijke informatie. Deze bevindingen zijn natuurlijk niet zo vreemd in het licht van het feit dat de meerderheid van de Nederlandse bevolking het per definitie onveilig vindt online. OFFLINE IS ALLES IN ORDE Van onze offline veiligheid en de dreiging van epidemieën liggen we daarentegen nauwelijks wakker: niet meer dan respectievelijk 13% en 7% van de bevolking geeft aan dat dit iets is waar zij zich zorgen over maken. Opvallend is ook dat het algehele gevoel van veiligheid is toegenomen ten opzichte van 2013: de indexwaarde van dit jaar is 66, een relatief laag niveau van bezorgdheid vergeleken met de 71 punten van vorig jaar. Hoe komt het dat de online wereld achterblijft als het gaat om deze toename van ons gevoel van veiligheid? Heeft dit met een verschuivende focus van de berichtgeving in de media te maken? Verschuift de criminaliteit naar de digitale wereld? Is het een gevolg van gebrekkige kennis over nieuwe technologieën? Of zijn onze angsten onverhoopt gebaseerd op een juist beeld van de werkelijkheid en zal data online nooit echt veilig zijn? DE TOEGENOMEN DREIGING De beveiligingsrisico s van grote bedrijven zijn de afgelopen jaren exponentieel gegroeid, zowel in omvang als in bereik en complexiteit. Cloud computing, BYOD en social media zorgen voor een verschuiving van de dreigingen en een enorme toename van de uitdagingen voor CIO s en CSO s. Onze traditionele fysieke beveiligingsmethoden zijn niet effectief tegen de geavanceerde en volhardende aanvallen op digitale bedrijfsnetwerken en informatiebeveiliging in een dergelijke vijandige omgeving heeft een geïntegreerde beveiligingsstrategie nodig, met een integrale proactieve benadering om ook de gevaren van morgen het hoofd te kunnen bieden. Beveiliging staat dan ook hoog op de agenda van de meeste Nederlandse bedrijven. Echter, in veel gevallen ligt de verantwoordelijkheid voor de digitale veiligheid bij de Directeur Informatisering en ligt de verantwoordelijkheid voor de fysieke veiligheid bij de Directeur Facilitymanagement. Vaak is er niemand integraal verantwoordelijk voor de gehele veiligheid. Veel Nederlanders zijn dan ook sceptisch over het vermogen van die bedrijven om afdoende beveiliging te bieden om hun data te beschermen. De recente spionagepraktijken van de NSA zullen niet hebben bijgedragen aan een positief beeld van de online veiligheid. Korte tijd geleden deed de Amerikaanse rechter een verrassende uitspraak in een zaak die Microsoft had aangespannen tegen de Amerikaanse overheid: Amerikaanse overheidsinstellingen hebben altijd en overal toegang tot data die bij Amerikaanse bedrijven staat opgeslagen, zelfs wanneer die data in het buitenland staat. In het licht van deze ontwikkelingen stelde Unisys de vraag wat de Nederlander vond van het voorstel van Angela Merkel om een eigen, veilig Europees datanetwerk te bouwen waar data veilig is voor internationale surveillance. In plaats van dat we stonden te juichen, lijken we de moed al te hebben opgegeven. Een slechte zaak, aangezien een steeds groter deel van ons leven en onze business zich online afspeelt. Valt dit tij nog te keren? BEDRIJVEN MOETEN HUN VER- ANTWOORDELIJKHEID NEMEN Laten we eerst vaststellen dat online veiligheid naast een consequente implementatie van bewezen beveiligingstechnologieën staat of valt bij een veilige en betrouwbare vaststelling van de identiteit van de consument. De hoeveelheid uitgegeven wachtwoorden en/of PIN-codes is voor veel consumenten niet meer te onthouden, met alle gevolgen van dien. 28 INFOSECURITY MAGAZINE - NR. 3 - JUNI

16 SECURITY Bedrijven doen er goed aan hun beveiligingsmaatregelen voortdurend up-todate te houden en aandacht te besteden aan veilige, eenvoudige en betrouwbare identiteitstoetsing van hun consumenten en dit ook inzichtelijk te maken voor hun klanten. Dit vergroot niet alleen de daadwerkelijke veiligheid, maar helpt ook het klantvertrouwen en de perceptie van online veiligheid te verbeteren. Digitale veiligheid is een bijzonder complexe aangelegenheid, die veel specialistische kennis vereist. Je kunt van de gemiddelde burger niet verwachten dat hij of zij volledig op de hoogte is van wat er allemaal speelt op beveiligingsgebied, dus die burger is afhankelijk van de informatie die hij voorgeschoteld krijgt door de media en door bedrijven. Het goede nieuws is dat hoe gebruiksvriendelijker onze technologie wordt, hoe makkelijker het zal zijn voor de consument om zich veilig en betrouwbaar te identificeren. Deze uitkomsten kunnen dienen als een kattebelletje voor Nederlandse bedrijven, dat ze alles op alles moeten zetten om hun klantendata te beschermen tegen cyberaanvallen en fysieke dreigingen, zegt Jim Vlaming, Account Executive Public Safety and Justice bij Unisys. Blijkbaar maken mensen zich zorgen over de veiligheid van hun persoonlijke gegevens en kunnen bedrijven hun klanten van dienst zijn door het zichtbaar implementeren van veiligheidsmaatregelen over de gehele linie van hun bedrijfsvoering. Hiermee kunnen ze het vertrouwen van klanten in het bedrijf veiligstellen en het draagt tegelijkertijd aanzienlijk bij aan de reputatie als betrouwbare onderneming. BRAVE NEW WORLD We bevinden ons midden in een digitale revolutie en het is niet zo vreemd dat veel mensen argwanend tegenover die complexe, nieuwe wereld staan. Maar wellicht is dat van voorbijgaande aard en worden mensen minder argwanend naarmate ze vertrouwder worden met digitale technologie. Opvallend in deze context is bijvoorbeeld dat met name ouderen voorstander zijn van een eigen, gesloten Europees datanetwerk: 88% van de 65+ers met een mening (dus met uitsluiting van de groep die aangeeft geen mening te hebben) is voorstander, terwijl dat bij de groep 18- tot 24-jarigen slechts 34% is. Deze laatste groep is opgegroeid met digitale technologie en heeft duidelijk een andere inschatting van de risico s dan de oudere groep. Hier kan natuurlijk een mentaliteitsverschil ten opzichte van privacy en veiligheid aan ten grondslag liggen, maar waarschijnlijker is dat de digital natives beter in staat zijn om beveiligingsrisico s realistisch in te schatten en beter in staat zijn zelf hun veiligheid te controleren. Hoe het ook zij, er kan veel gewonnen worden met een goede informatievoorziening. Zodra bedrijven beseffen dat hun verantwoordelijkheid niet stopt bij de beveiliging van hun systemen, maar ook een goede voorlichting van consumenten omvat, kunnen we stukje bij beetje aan de perceptie van een veilige online wereld bouwen. Meer weten over business, innovatie & IT? Lees Business & IT publiceert artikelen en blog posts over de relatie tussen IT, business en innovatie. Ook publiceren? Kijk op 30 INFOSECURITY MAGAZINE - NR. 3 - JUNI

17 CASE DOOR JOS RAAPHORST IT GEMEENTE VEERE FLEXIBELER EN VEILIGER De gemeente Veere breidde de afgelopen jaren haar IT uit met nieuwe mogelijkheden. Ze wilde het thuiswerken voor medewerkers faciliteren. Daarnaast wilde ze structuur creëren in de koppelingen naar buiten, die in het kader van de digitale dienstverlening waren aangelegd. Als service aan de bezoekers van het gemeentehuis was het ook gewenst om een draadloos wifi-netwerk beschikbaar te stellen, net zoals het gebruik van internet en social media beheersbaar moest blijven voor de IT ers. De nieuwe wensen van de gemeente Veere vergden met name op het terrein van IT-security een nieuwe aanpak, want je kan de deur niet zomaar open zetten, aldus Hans van Dam die als netwerkspecialist verantwoordelijk is voor de IT binnen het gemeentehuis. Het is prima als mensen naar Facebook gaan, maar tegelijkertijd willen we allerlei schimmige sites buiten de deur houden. Veere heeft 22 duizend inwoners. In het gemeentehuis werken ruim tweehonderd medewerkers, waarvoor tweehonderd IT-werkplekken beschikbaar zijn. Hoewel het door de standaardisatie geen hogere wiskunde vergt om die werkplekken netjes en bovenal veilig in de richten, is het wel handig als de techniek een groot deel van de gewenste functionaliteit in zich heeft, stelt Hans van Dam. En daar wrong de schoen de afgelopen jaren steeds meer. De IT-beveiliging van Veere was opgebouwd uit een aantal losse elementen waaronder een Cisco-firewall, Microsoft Proxy en beveiligingssoftware zoals Mail- en Webmarshall. Volgens Van Dam was er met de producten niets mis, maar was de keten als geheel te weinig flexibel voor de wensen van Veere. STANDAARD FUNCTIONALITEIT Spil in de aanpassing van de IT-security was de vervanging van de Cisco PIX 515E-firewall door een XTM 800 series NextGeneration firewall van WatchGuard. Dat was het begin van een moderniseringsslag, waar de gemeente veel gemak van blijkt te hebben. De keuze voor WatchGuard motiveert Van Dam door erop te wijzen dat deze leverancier zich met zijn XTM-serie richt op het middensegment waar Veere zich toe rekent. Dat betekent dat zijn oplossingen heel dicht in de buurt komen van wat wij zochten. Want wat vraagt een organisatie als de onze doorgaans? Een firewall met daarin een aantal standaardfunctionaliteiten geïntegreerd. Denk hierbij aan URL-filtering, antivirusoplossingen en intrusion prevention. Wij hechten daarbovenop sterk aan application control, zowel filtering als monitoring, aldus Van Dam. MONITORING BELANGRIJK Met name de monitoringtool levert achteraf bezien heel wat gemak op. Ik kan bij problemen in m n netwerk precies zien waar het probleem zit en wat de oorzaak is. Dat voorkomt in mijn contacten met toeleveranciers veel getouwtrek over de vraag wie verantwoordelijk is voor bepaalde problemen. Veere blijkt ook veel baat te hebben bij de mogelijkheid om achter de firewall verschillende virtuele netwerken te kunnen creëren. We hebben nu allerlei aparte netwerken die ik middels een interface kan beheren. Ik kan desgewenst zo een nieuw VLAN inrichten, als ik gecontroleerde toegang voor bepaalde systemen wil inrichten. Dat is vanuit beheeroogpunt heel eenvoudig te realiseren. Uitzondering daarop vormt de toepassing voor het thuiswerken, die met behulp van de WatchGuard SSL-VPN-oplossing is gerealiseerd. We hebben daar een portal van gemaakt, waarbij gebruikers zich middels een toegezonden SMS-code authentiseren. Dat was functioneel iets makkelijker te realiseren dan ook dat achter de firewall te zetten. WEET WAT JE WILT Inmiddels heeft de configuratie in Veere zich ruimschoots kunnen bewijzen en geeft Van Dam aan dat hij zeer tevreden is. Zowel over de hardware als over de leverancier, WeSecure uit Amsterdam. Zeker als je de prijs in ogenschouw neemt. Bedragen wil hij vervolgens niet noemen, maar aanbieders stunten fors met prijzen, stelt hij. Om meteen te waarschuwen voor kortingen die je vaak bij de implementatie weer terugbetaalt. Zijn advies is daarom om eerst kritisch te inventariseren wat je wilt, voordat je de demo van de leverancier bezoekt. Door met een heldere vraagstelling het gesprek met de leverancier aan te gaan, krijg je ook precies wat je vraagt. STRIPPENKAARTSYSTEEM We kunnen voor support terecht bij WatchGuard waarvan de website overzichtelijk en toegankelijk is, maar we lossen het liever op via de leverancier die onze situatie kent. Daarom ligt het beheer van de beveiligingsoplossing deels in handen van WeSecure. We hebben de afspraak dat we aan de bel kunnen trekken als we ze nodig denken te hebben. Voor die support maakt de gemeente gebruik van het strippenkaartsysteem bij WeSecure. Van Dam: Je betaalt een bedrag in één keer vooruit, maar je bent dan van veel administratieve rompslomp af. Je krijgt direct ondersteuning bij elk mogelijk probleem. Over de service hebben we niets te klagen. WeSecure reageert altijd heel snel op vragen en informeert ons over updates. De leverancier voert ongeveer twee keer per jaar een check uit op onze systemen, waarbij hij updates plaatst en de configuratie doorlicht. Terugkijkend naar de migratie concludeert Van Dam dat het beheer van de systemen nu aanzienlijk eenvoudiger is dan in de oude situatie. De gemeente is flexibeler, kan vlotter inspelen op nieuwe ontwikkelingen en troubleshooting gaat sneller. Daarbij zijn ook de kosten omlaag gegaan en hoewel dat geen doelstelling was, is het wel mooi meegenomen. Jos Raaphorst is uitgever van Infosecurity Magazine 32 INFOSECURITY MAGAZINE - NR. 3 - JUNI

18 LET S TALK ABOUT IT 40% bedrijven in de Benelux is onwetend LET S TALK ABOUT IT Uit onderzoek van Trend Micro, specialist op het gebied van beveiligingssoftware, blijkt dat 4 op de 10 bedrijven in de Benelux zich niet bewust zijn van het feit dat er een nieuwe Europese wet van kracht gaat worden voor databescherming. De nieuwe EU General Data Protection Regulation is opgesteld om één lijn te trekken in de wetgeving over databescherming. Slechts 15 procent van de organisaties in de Benelux weet goed wat deze wetgeving voor hun organisatie gaat betekenen. NIEUWE EUROPESE DATABESCHERMINGSWETGEVING Uit het onderzoek blijkt dat slechts 15 procent van de Benelux-organisaties weet welke concrete stappen er moeten worden genomen om te voldoen aan de wetgeving. Slechts de helft van de organisaties denkt dat het realistisch is om te voldoen aan deze nieuwe wetgeving. De respondenten gaven daarnaast aan dat ze verwachten gemiddeld 2 jaar nodig te hebben om überhaupt compliant te kunnen zijn. 70 PROCENT GEEN VERTROUWEN IN EFFECT WETGEVING Meer dan twee derde van de Benelux-respondenten denkt niet (40 procent) of weet niet (31 procent) dat de regulering organisaties gaat beschermen tegen het illegaal verkrijgen van data door cybercriminelen. Minder dan de helft van de respondenten (47 procent) denkt dat de nieuwe wetgeving inderdaad nodig is om de gegevens van de Europese burgers beter te beschermen. NIET VOLDOENDE OP DE HOOGTE VAN SANCTIES 24 procent van de Benelux-respondenten geeft aan niet op de hoogte te zijn dat er boetes betaald moeten worden als men niet voldoet aan de wettelijk opgestelde eisen. Dit terwijl sancties kunnen oplopen tot 5 procent van de totale omzet van een organisatie. Bijna 60 procent van de respondenten geeft aan dat een boete van 2 procent van de omzet significante gevolgen gaat hebben voor hun business. Bij een boete van 5 procent van de gehele omzet is dit percentage nog hoger (80 procent). VERANTWOORDELIJKHEID BIJ OVERHEID Bijna 40 procent van de respondenten geeft aan van mening te zijn dat de verantwoordelijkheid om bedrijven op de hoogte te brengen van deze nieuwe wetgeving bij de overheid ligt. Is uw organisatie klaar voor de Europese databeschermingswet? Trend Micro nodigt u graag uit voor een gratis kennissessie van Let s talk about it, een initiatief van Trend Micro en gespecialiseerde partners, dat kennissessies organiseert om kennis te delen over security. Inschrijven is gratis (zie kader). CYBERCRIME UPDATE: RETAILERS EN OVERHEID OPGELET! De eerste helft van 2014 zit er op. Een mooi moment om terug te kijken op de afgelopen maanden van dit jaar. Want wat gebeurde er de afgelopen tijd op het gebied van cybercrime en waar hebben cybercriminelen zich het eerste kwartaal op gericht? Trend Micro publiceerde de resultaten van het rapport Cybercrime hits the unexpected met daarin de belangrijkste cybercrime-highlights, zo worden retailers en de overheid extra gewaarschuwd voor gerichte aanvallen. ZEVEN KEER ZOVEEL MALWARE GERICHT OP POS De belangrijkste verschuiving op het gebied van cybercrime was het afgelopen kwartaal te zien in de aanvallen op Point of Sales. Retailers waren vaak doelwit van een gerichte aanval en er bleek het eerste kwartaal zeven keer meer malware actief gericht op PoS dan in heel Het doel van cybercriminelen was Alhoewel security steeds vaker bovenaan de agenda komt te staan, blijkt uit dit onderzoek dat bedrijven vaak pas actie ondernemen na een incident. Het is een inkopper, maar het credo voorkomen is beter dan genezen geldt zeker ook bij cybercrime. Maar weinig organisaties kunnen zich de imagoschade en kosten permitteren die cyberaanvallen met zich mee brengen. Daarnaast blijkt ook dat de helft van de IT-specialisten vindt dat ze onvoldoende kennis in huis hebben om optimale security-garanties te kunnen bieden aan medewerkers in hun organisatie. We vinden het belangrijk om krachten en kennis te bundelen om zo van elkaar te kunnen leren en echt goede oplossingen te vinden in de strijd tegen cybercrime, vandaar dat Trend Micro sinds kort gratis kennissessies organiseert (www.letstalkabout-it.nl). om persoonlijke en financiële gegevens van online shoppers te achterhalen en hen geld afhandig te maken. Recent voorbeeld van een gerichte aanval op een retailketen is retailketen Target. Uit het onderzoek van TrendLabs blijkt dat een PoS verschillende kwetsbaarheden bevat. OVERHEID BELANGRIJKSTE DOELWIT GERICHTE AANVALLEN De overheid blijft het belangrijkste doelwit voor gerichte aanvallen door cybercriminelen. 76 procent van de gerichte aanvallen die plaatsvonden in het eerste kwartaal van 2014, waren gericht op overheidsinstanties. Verder waren gerichte aanvallen wereldwijd vooral gericht op de industrie (7 procent), telecommunicatie (5 procent), IT (5 procent) en zorg (2 procent). 34 INFOSECURITY MAGAZINE - NR. 3 - JUNI

19 LET S TALK ABOUT IT WINDOWS XP EN CYBERCRIME: HET EIND IS SLECHTS HET BEGIN TIPS EN CYBERCRIME- ACHTERGRONDEN: BLOG.TRENDMICRO.NL Meer weten over cybercrime, beveiliging van de cloud en mobile security? Bezoek dan de blog van Trend Micro, speciaal voor Nederlandse IT-specialisten en andere geïnteresseerden in cybercrime en security. Op de blog geeft het lezers tips, handvatten en achtergronden, bijvoorbeeld over hoe om te gaan met het einde van de ondersteuning van Windows XP. Blog.trendmicro.nl publiceert wekelijks interessante blogs en houd je op de hoogte van al het security-nieuws. Cloud collaboration Cloud-based Automation Cloud Mobile Workflow OWASP Cloud File Sharing PCI Compliant Het nieuws dat Microsoft stopt met de ondersteuning van Windows XP is inmiddels breed uitgemeten in de media. De één spreekt van een Xpocalyps, de ander geeft aan dat het een kwestie is van de deur open laten staan en niet weten of er een inbreker binnenkomt. Inmiddels weten we al wel dat de overheid 3 miljoen heeft betaald aan Microsoft om de ondersteuning te verlengen. TIJD VOOR ACTIE! De gebeurtenissen rondom het eerdere end of support van Java 6 door Oracle geven ons een prima indicatie van wat ons te wachten staat: een toenemend aantal cyberaanvallen die de kwetsbaarheden van Java gebruiken om binnen te komen. Het is dan ook van groot belang over te stappen naar een nieuw Windows-besturingssysteem, omdat nieuwe versies een betere beveiligingsarchitectuur hebben en belangrijker nog, steeds up-to-date worden gehouden. Toch is het overstappen op een nieuwere versie voor sommige organisaties een enorme uitdaging. Switchen is namelijk lastig vanwege hun legacy-systeem en applicaties, met name in complexe omgevingen. TREND MICRO BESCHERMING TOT 30 JANUARI 2017 Om er toch voor te zorgen dat ook de organisaties die nog niet zijn overgestapt beschermd blijven, blijft Trend Micro Windows XP ondersteunen tot 30 januari Dat doen ze bijvoorbeeld door Deep Security, dat modules bevat die constant beschermen tegen diverse kwetsbaarheden. Als er nieuwe kwetsbaarheden worden ontdekt, dan voegt Trend Micro die hier automatisch aan toe. Daarnaast kunnen XP-gebruikers scan engine-, signature- en product-updates verwachten. Tonny Roelofs, country manager van Trend Micro: Dat Microsoft stopt betekent niet dat cybercriminelen ook stoppen. Zij zullen zich blijven richten op XP en wij vinden het dan ook onze plicht om XP te blijven ondersteunen en ook die klanten te beschermen tegen malware en kwetsbaarheden. Zelfs als Microsoft dat zelf niet meer doet. MFT: more than File Sharing Meet SLA s and EDIINT AS1, AS2 and AS3 protocols Compliance requirements Cryptographic Tamper-Evident Logging Enable employees to send files easily and securely Transfer Business files Reliably and Securely Easy and Reliable File-Based Automation OpenPGP Non-Repudiation / Guaranteed Delivery Transport Encryption ( Data-in-Transit ) End-to-End Encryption First Enterprise-class Cloud MFT Service FIPS Validated Cryptography Person-to-Person file sharing Data Hosted in Europe s largest Cloud Services platform 36 VIACLOUD BV BEECH AVENUE PW SCHIPHOL-RIJK THE NETHERLANDS INFOSECURITY MAGAZINE - NR. 3 - JUNI (0)

20 STRATEGIE DOOR KEVIN CUNNINGHAM IAM VOOR DE CLOUD EN UIT DE CLOUD De ingebruikname van cloud-technologie verandert niet alleen de kijk op IT-afdelingen, maar heeft ook sterke invloed op hoe organisaties kijken naar identity en access management (IAM). Cloud verandert op twee manieren de IAM-strategie: welke cloud resources moeten worden beheerd en welke mogelijkheden zijn er om een identiteitsoplossing toe te passen? Ten eerste heeft de cloud gezorgd voor nieuwe beheeruitdagingen omdat bedrijven hun IAM-strategie moeten uitbreiden van on-premise toepassingen naar cloud-applicaties. Daarnaast heeft de sterke opkomst van SaaS-managementtools voor bijvoorbeeld HR en services de weg vrijgemaakt voor IDaaS, een nieuwe leveringsmanier die agility kan vergroten en operationele kosten kan verlagen. Als eerste wil ik kijken naar IAM voor de cloud, daarna naar IAM uit de cloud. SAAS-BEHEER ALS ONDERDEEL VAN IAM Steeds meer bedrijven zullen bedrijfsbreed SaaS-toepassingen aanschaffen, en afdelingen stappen over op cloud-toepassingen, zelfs voor kritische processen, zonder tussenkomst van IT. Het gemak en snelheid van ingebruikname is hierbij het belangrijkste criterium. Maar als IT er niet meer tussen zit, wordt het uiteraard wel steeds lastiger om beveiliging en compliancy te waarborgen. Wanneer toegang tot applicaties met gevoelige informatie niet meer gecontroleerd wordt, loopt het hele bedrijf risico op fraude, dataverlies, privacy-issues en negatieve audit-resultaten. Kortom, iemand binnen de organisatie moet zorgen voor beheerde toegang tot bedrijfskritische applicaties, ongeacht hun locaties. Dat is de rol van IAM. De juiste IAM-oplossing helpt bedrijven bij het beheren van een hedendaagse hybride IT-omgeving. Een overkoepelende aanpak is beter dan een niche-oplossing die de twee los van elkaar beheert. Alleen dan houdt u bedrijfsbreed zicht en controle op wie wat gebruikt. IAM ALS EEN SERVICE Nu het belang van IAM voor de cloud helder is, wil ik kijken naar de mogelijkheden van IAM uit de cloud. IAM heeft andere softwaresectoren vertraagd in de vraag naar SaaS vanwege vraagtekens bij de beveiliging en de complexiteit van het beheer van on-premise software vanuit de cloud. De voor- en nadelen van on-premise tegenover IDaaS moeten worden afgewogen, maar nu er steeds vollediger oplossingen beschikbaar komen, met beveiliging, beschikbaarheid, prestaties en schaalbaarheid die aan de eisen voldoen, is het een plausibel alternatief geworden. BENT U TOE AAN IDAAS? Er zijn drie criteria om te bepalen of een organisatie toe is aan IDaaS. Ten eerste, is het gebruik van SaaS al gemeengoed binnen het bedrijf? Als meerdere online toepassingen worden gebruikt in plaats van de on-premise alternatieven is IDaaS een optie. Er zijn echter uitzonderingen, bijvoorbeeld in streng gereguleerde industrieën. Als een bedrijf aan het startpunt staat qua SaaS lijkt IDaaS geen goede optie: aangezien IAM een sleutelrol speelt binnen de infrastructuur, wil je daar geen experiment mee aangaan. Ten tweede, wat is belangrijker: het reduceren van toekomstige deployment- en onderhoudskosten of de mogelijkheid om een oplossing aan te laten sluiten bij de bestaande bedrijfsprocessen? Veel bedrijven hebben complexe infrastructuren die het best profiteren van IAM op basis van maatwerk, aansluitend op de specifieke behoeftes. IDaaS kan weliswaar worden aangepast, maar biedt meestal niet de maatwerkmogelijkheden van traditionele IAM-projecten. Men moet dus afwegen wat zwaarder weegt (en meer oplevert) op de langere termijn: besparen op kosten, of een toepassing naadloos aansluitend op de specifieke situatie. Als het mogelijk is om bestaande identiteitsprocessen aan te passen, is IDaaS een optie. Ten slotte, wordt SaaS van bovenaf opgelegd? De voordelen van SaaS worden steeds duidelijker voor mensen in het (top-)management, zoals snellere terugverdientijd, gebruiksgemak en lagere operationele kosten. Deze voordelen zorgen ervoor dat IT-teams steeds vaker worden opgedragen SaaS te overwegen bij elke aankoop van nieuwe software of de evaluatie van bestaande. Let dan wel op de verschillen tussen een daadwerkelijk SaaS-aanbod en een hosted versie van een on-premise IAM-toepassing die niet dezelfde voordelen biedt. IAM speelt een cruciale rol in cloud-security en compliancy-issues dankzij een centrale, alomvattende benadering van toegangsbeheer voor elke bedrijfstoepassing. Of het nu on-premise of as-aservice wordt toegepast, de juiste aanpak van IAM stelt bedrijven in staat controle te houden over gegevens en risico s te beheren. Kevin Cunningham, co-founder en president Sailpoint 38 INFOSECURITY MAGAZINE - NR. 3 - JUNI

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015 Asset 1 van 17 Mobile Application Management en security Gepubliceerd op 18 april 2015 Veel organisaties hebben de afgelopen jaren hun eigen mobiele enterprise apps ontwikkeld. De data hierin is potentieel

Nadere informatie

IT-security bij kleine ondernemingen 10-2013

IT-security bij kleine ondernemingen 10-2013 IT-security bij kleine ondernemingen 10-2013 Analyse Peter Vermeulen, Directeur Pb7 Research: Het onderzoek laat zien dat kleinzakelijke ondernemingen zich vooral baseren op resultaten die in het verleden

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

We helpen u security-incidenten te voorkomen

We helpen u security-incidenten te voorkomen Managed Services Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal te voorkomen en behoeden we u voor imagoschade.

Nadere informatie

Gratis bescherming tegen zero-days exploits

Gratis bescherming tegen zero-days exploits Gratis tegen zero-days exploits We zien de laatste jaren een duidelijke toename van geavanceerde dreigingen op onze computersystemen. In plaats van het sturen van alleen e-mails met geïnfecteerde bijlagen

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

De Uitdagingen van Mobiele Apparaten Managen

De Uitdagingen van Mobiele Apparaten Managen Kaseya Onderzoek De Uitdagingen van Mobiele Apparaten Managen 2011 www.kaseya.nl Over dit rapport In dit rapport worden de resultaten gepresenteerd van een onderzoek dat door Kaseya is geïnitieerd en uitgevoerd

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

De Exact MKB Cloud Barometer: Kansen in de Cloud voor het MKB. Peter Vermeulen Pb7 Research i.o.v. Exact

De Exact MKB Cloud Barometer: Kansen in de Cloud voor het MKB. Peter Vermeulen Pb7 Research i.o.v. Exact De Exact MKB Cloud Barometer: Kansen in de Cloud voor het MKB Peter Vermeulen Pb7 Research i.o.v. Exact Veldwerk Doel van de Exact MKB Cloud Barometer Hoeveel waarde haalt het MKB uit de cloud? Hoe kunnen

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Garandeer de continuïteit van uw dienstverlening

Garandeer de continuïteit van uw dienstverlening Whitepaper Garandeer de continuïteit van uw dienstverlening Hoe voorkomt u downtime? Hoe vermindert u de impact als het toch optreedt? Hoe bent u zo snel mogelijk weer online? INHOUD» Technische mogelijkheden»

Nadere informatie

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput 14 2550 Kontich P R E V E N T I E Cybercontract biedt bedrijven toegang tot een unieke set gespecialiseerde diensten bij lokale professionals! Diensten van bewezen kwaliteit snel en centraal toegankelijk. Zo helpen we

Nadere informatie

Factsheet Enterprise Mobility

Factsheet Enterprise Mobility Factsheet Enterprise Mobility www.vxcompany.com Informatie willen we overal, altijd en op elk device beschikbaar hebben. Privé, maar zeker ook zakelijk. Met het gebruik van mobile devices zoals smartphones

Nadere informatie

Framework Secure Software Secure software in de strijd tegen cybercrime

Framework Secure Software Secure software in de strijd tegen cybercrime Framework Secure Software Secure software in de strijd tegen cybercrime Woensdag 8 oktober 2014 Postillion Hotel Utrecht Bunnik Fred Hendriks (directeur a.i. Secure Software Foundation) Tim Hemel (CTO

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

Datadiefstal: Gone in 60 Seconds!

Datadiefstal: Gone in 60 Seconds! Datadiefstal: Gone in 60 Seconds! Didacticum Solutions Datadiefstal en ontwikkelingen Het komt regelmatig voor: klantgegevens of intellectuele eigendommen van bedrijven worden door hackers gestolen. Denk

Nadere informatie

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Veilig mobiel werken. Workshop VIAG 7 oktober 2013 1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde

Nadere informatie

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers Je bent zichtbaarder dan je denkt Een programma over cyber security awareness Informatie voor managers Je bent zichtbaarder dan je denkt Informatie voor managers 2 Voorwoord Het cybersecuritybeeld van

Nadere informatie

Bring it Secure. Whitepaper

Bring it Secure. Whitepaper Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech.nl/cs Imtech Vandaag de dag moet security een standaard

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business

BESCHERM UW BEDRIJF, WAAR U OOK GAAT. Protection Service for Business BESCHERM UW BEDRIJF, WAAR U OOK GAAT Protection Service for Business WE LEVEN IN EEN MOBIELE WERELD WiFi Voetganger We maken tegenwoordig gebruik van meer apparaten via meer verbindingen dan ooit tevoren.

Nadere informatie

Uw bedrijf beschermd tegen cybercriminaliteit

Uw bedrijf beschermd tegen cybercriminaliteit Uw bedrijf beschermd tegen cybercriminaliteit MKB is gemakkelijke prooi voor cybercriminelen Welke ondernemer realiseert zich niet af en toe hoe vervelend het zou zijn als er bij zijn bedrijf wordt ingebroken?

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie Recht op uw doel af FenceWorks heeft dankzij de combinatie van haar printtitels, mediacontacten

Nadere informatie

1. Uw tablet beveiligen

1. Uw tablet beveiligen 11 1. Uw tablet beveiligen Het risico op virussen of andere schadelijke software (malware genoemd) is bekend van pc s. Minder bekend is dat u ook op een tablet met malware geconfronteerd kan worden als

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

Factsheet SECURITY DESIGN Managed Services

Factsheet SECURITY DESIGN Managed Services Factsheet SECURITY DESIGN Managed Services SECURITY DESIGN Managed Services We ontwerpen solide security-maatregelen voor de bouw en het gebruik van digitale platformen. Met onze Security Management diensten

Nadere informatie

MOBILE STRATEGY Mobile strategy, hoe pak je dat aan?

MOBILE STRATEGY Mobile strategy, hoe pak je dat aan? MOBILE STRATEGY Mobile strategy, hoe pak je dat aan? Hoe u bereikt dat mobile een strategisch onderdeel van uw bedrijfsvoering wordt INHOUD Wat is een mobile strategy? 3 Aanpak van een mobile strategy

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Business strategieën en de impact voor de IT FLEXIBILITEIT Snel handelen met wendbaarheid en flexibiliteit Voor 66% van de organisaties staat flexibiliteit

Nadere informatie

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen Kinderen van een jaar weten tegenwoordig al de weg op een tablet. De computer en het internet zijn niet

Nadere informatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie Recht op uw doel af FenceWorks heeft dankzij de combinatie van haar printtitels, mediacontacten

Nadere informatie

Management special. BYOD hulpmiddelen Door: Bram Semeijn

Management special. BYOD hulpmiddelen Door: Bram Semeijn Management special BYOD hulpmiddelen Door: Bram Semeijn BYOD hulpmiddelen IT-managers grijpen betrekkelijk makkelijk naar technische hulpmiddelen om BYOD-apparatuur onder controle te krijgen. Dat kan echter

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten

Nadere informatie

Zest Application Professionals Training &Workshops

Zest Application Professionals Training &Workshops Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on

Nadere informatie

HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG. Protection Service for Business

HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG. Protection Service for Business HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG Protection Service for Business WE LEVEN IN EEN MOBIELE WERELD WiFi Voetganger We maken gebruik van meer apparaten en verbindingen dan ooit tevoren. De mogelijkheid

Nadere informatie

Onze gedifferentieerde benadering tot de Intelligent Workload Management markt

Onze gedifferentieerde benadering tot de Intelligent Workload Management markt Onze gedifferentieerde benadering tot de Intelligent Workload Management markt de markt 1 het IT-landschap is aan het veranderen De risico's en uitdagingen van computerservices in meerdere omgevingen moeten

Nadere informatie

Symantec Protection Suite Small Business Edition Een eenvoudige, doelmatige en betaalbare oplossing, speciaal voor kleine bedrijven

Symantec Protection Suite Small Business Edition Een eenvoudige, doelmatige en betaalbare oplossing, speciaal voor kleine bedrijven Een eenvoudige, doelmatige en betaalbare oplossing, speciaal voor kleine bedrijven Overzicht Symantec Protection Suite Small Business Edition is een eenvoudige, betaalbare beveiligings- en back-upoplossing.

Nadere informatie

SpicyLemon Beveiligingsonderzoek

SpicyLemon Beveiligingsonderzoek SpicyLemon Beveiligingsonderzoek Summary + Rapport Specificaties Uitvoerder Webwereld in opdracht van SpicyLemon Periode veldwerk 14-12-2011 t/m 04-01-2012 Response aantal: 274 Beveiligingsonderzoek -

Nadere informatie

Banken en verzekeraars zijn niet onderscheidend genoeg

Banken en verzekeraars zijn niet onderscheidend genoeg Banken en verzekeraars zijn niet onderscheidend genoeg Werk aan de winkel wat betreft openheid, onderscheidingsvermogen en communicatiekanalen from Accenture and Microsoft 1 Werk aan de winkel wat betreft

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

12 voorspellingen met betrekking tot beveiliging in 2012

12 voorspellingen met betrekking tot beveiliging in 2012 12 voorspellingen met betrekking tot beveiliging in 2012 Elk jaar bespreek ik rond deze tijd met mijn onderzoeksteams wat wij denken dat het komende jaar gaat spelen op het gebied van bedreigingen. Dit

Nadere informatie

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer Optimale ICT-beveiliging Van advies en ontwikkeling tot implementatie en beheer 1 Inhoud Deze brochure geeft u meer uitleg over de manier waarop Telenet de ICT van uw bedrijf kan beveiligen. Ervaring,

Nadere informatie

Profiteer van veranderende technologieën

Profiteer van veranderende technologieën Profiteer van veranderende technologieën Lees hoe Managed Services Providers u kunnen helpen profiteren van de nieuwste ontwikkelingen Uitdagingen en kansen in veranderende technologieën Ontwikkelingen

Nadere informatie

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief Partners in Information Security Partners in Information Security Peter Rietveld DDoS in perspectief Peter Rietveld Security Adviseur Traxion Even voorstellen Domein Manager Situational Awareness Competence

Nadere informatie

Cyber Security: hoe verder?

Cyber Security: hoe verder? Cyber Security: hoe verder? Pensioenbestuurders Rotterdam, 11 maart 2014 Generaal (bd.) Dick Berlijn 2 Wat is Cyber, wat is Cyber Security? Cyber is: Overal Raakt alles Energie, transport, infrastructuur,

Nadere informatie

Simac Kennissessie Security HENRI VAN DEN HEUVEL

Simac Kennissessie Security HENRI VAN DEN HEUVEL Simac Kennissessie Security HENRI VAN DEN HEUVEL Ontvangst Introductie en Kennismaking Cyber Securitytrends Agenda De vijf grootste security risico s Simac s visie op security Q&A Lunch Cyber security

Nadere informatie

Training en workshops

Training en workshops Mirabeau Academy HACKING OWASP TOP 10 Training en workshops MIRABEAU ACADEMY AHEAD IN A DIGITAL WORLD Digitaal denken zit in onze code. We weten exact wat er online speelt. Sinds 2001 ontwikkelen we platformen

Nadere informatie

Geef uw onderneming vleugels. Met de soepele werkprocessen

Geef uw onderneming vleugels. Met de soepele werkprocessen Geef uw onderneming vleugels Met de soepele werkprocessen van Dutchict Cloud Online functionaliteiten Managed Cloud Online functio U wilt uw documenten overal kunnen beheren en delen. Maar applicaties

Nadere informatie

HOE EEN ACCOUNTANT ZIJN DNA VERANDERT

HOE EEN ACCOUNTANT ZIJN DNA VERANDERT Exact Online CASE STUDY HOE EEN ACCOUNTANT ZIJN DNA VERANDERT www.exactonline.nl 2 EXACT ONLINE CASE STUDY ACCOUNTANCY HOE EEN ACCOUNTANT ZIJN DNA VERANDERT En daarna dat van ondernemers Onze branche staat

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Microsoft Office 365 voor bedrijven. Remcoh legt uit

Microsoft Office 365 voor bedrijven. Remcoh legt uit Microsoft Office 365 voor bedrijven Remcoh legt uit Beter samenwerken, ook onderweg Starten met Office 365 is starten met het nieuwe werken. Met Office 365 heeft u namelijk de mogelijkheid om altijd en

Nadere informatie

Windows Server 2008 helpt museum met het veilig delen van informatie

Windows Server 2008 helpt museum met het veilig delen van informatie Windows Server 2008 helpt museum met het veilig delen van informatie Het Rijksmuseum Amsterdam beschikt over een collectie Nederlandse kunstwerken vanaf de Middeleeuwen tot en met de twintigste eeuw. Het

Nadere informatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie

vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie vakbladen - websites - e-mailnieuwsbrieven - congressen - PR - research - persberichten - marketingcommunicatie Recht op uw doel af FenceWorks heeft dankzij de combinatie van haar printtitels, contacten

Nadere informatie

Factsheet BEHEER CONSULTANCY Managed Services

Factsheet BEHEER CONSULTANCY Managed Services Factsheet BEHEER CONSULTANCY Managed Services BEHEER CONSULTANCY Managed Services We geven gedegen advies om de beschikbaarheid van uw platform en daarmee de user experience te verbeteren. Inclusief concrete

Nadere informatie

De Security System Integrator Het wapen tegen onbekende dreigingen

De Security System Integrator Het wapen tegen onbekende dreigingen De Security System Integrator Het wapen tegen onbekende dreigingen De Business Case 9/16/2015 2 De Cyberaanval Een tastbaar probleem Strategische Impact Merkwaarde Inkomstenderving Intellectueel eigendom

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

HOW WILL THE FUTURE AFFECT YOUR IT SECURITY?

HOW WILL THE FUTURE AFFECT YOUR IT SECURITY? HOW WILL THE FUTURE AFFECT YOUR IT SECURITY? INHOUD Let s talk about it 3 Beveiligen is vooruitzien Cybercrime 5 Intelligent beveiligen maakt uw 2 organisatie toekomstbestendig Mobility 8 uw organisatie

Nadere informatie

Parasoft toepassingen

Parasoft toepassingen Testen op basis van OSB en Digikoppeling Voor de bestaande Overheid Service Bus en de nieuwe standaard Digikoppeling zijn verschillende test- omgevingen opgezet. Hiermee kan het asynchrone berichtenverkeer

Nadere informatie

Cloud. BSA The Software Alliance

Cloud. BSA The Software Alliance Cloud Steeds meer bedrijven omarmen het werken in de cloud. Maar wat betekent dit voor bedrijven, hun werknemers en het managen van de softwarelicenties? Dit e-book behandelt dergelijke ontwikkelingen

Nadere informatie

Smartphones onder vuur

Smartphones onder vuur Smartphones onder vuur Dominick Bertens Account Manager NAVO & NL Agenda Sectra Communications Bedreigingen Bring Your Own Device Panthon 3 Samenvatting Security Masterclass Vragen Sectra Communications

Nadere informatie

Hoe kunt u profiteren van de cloud? Whitepaper

Hoe kunt u profiteren van de cloud? Whitepaper Hoe kunt u profiteren van de cloud? Whitepaper Auteur: Roy Scholten Datum: woensdag 16 september, 2015 Versie: 1.1 Hoe u kunt profiteren van de Cloud Met de komst van moderne technieken en de opmars van

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper Naar de cloud: drie praktische scenario s Zet een applicatiegerichte cloudinfrastructuur op whitepaper Naar de cloud: drie praktische scenario s Veel bedrijven maken of overwegen een transitie naar de

Nadere informatie

Beschermt tegen alle virussen en internetdreigingen

Beschermt tegen alle virussen en internetdreigingen Talen Français Nederlands Deutsch English Korte Activatiecode voor Kaspersky Internet Security voor 3 pc's voor 2 jaar. omschrijving Omschrijving Kaspersky Internet Security 2013 Met Kaspersky Internet

Nadere informatie

Partneren met een Cloud broker

Partneren met een Cloud broker Partneren met een Cloud broker Vijf redenen om als reseller te partneren met een Cloud broker Introductie Cloud broker, een term die je tegenwoordig vaak voorbij hoort komen. Maar wat is dat nu precies?

Nadere informatie

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging.

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging. Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging. Nick Pieters IT Security audits IT Security consulting & oplossingen IT Security trainer Human... nick@secure-it.be

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Customer Case CED. Feiten in het kort:

Customer Case CED. Feiten in het kort: Feiten in het kort: Bedrijf: European Claim Experts Branche: Verzekeringen Werknemers: 1.150 Activiteiten: Internationale Claims management en Expertise Oplossing: Opbouw Mendix-platform voor het flexibel

Nadere informatie

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011 Visie op cybercrime Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab Februari 2011 Rabobank Nederland Virtuele kanalen... Er zijn vele wegen Telefoon Voice & IVR (DTMF) TV WWW e-mail

Nadere informatie

Cloud wordt momenteel te versnipperd gebruikt

Cloud wordt momenteel te versnipperd gebruikt cloud innovation by Macaw Cloud wordt momenteel te versnipperd gebruikt Conclusie onderzoek Macaw naar integreren van cloud services Nederlandse cloud-gebruikers ontdekken dat zij dankzij het gebruik van

Nadere informatie

Professionele softwareontwikkeling PRODUCTIVITEIT EN KWALITEIT MET FOCUS OP DE GEHELE LEVENSDUUR VAN APPLICATIES

Professionele softwareontwikkeling PRODUCTIVITEIT EN KWALITEIT MET FOCUS OP DE GEHELE LEVENSDUUR VAN APPLICATIES Professionele softwareontwikkeling PRODUCTIVITEIT EN KWALITEIT MET FOCUS OP DE GEHELE LEVENSDUUR VAN APPLICATIES ONZE VISIE OP PROFESSIONEEL SOFTWARE ONTWIKKELEN Bij succesvolle softwareontwikkeling draait

Nadere informatie

Hoe u cybersecurity binnen uw organisatie de hoogste prioriteit geeft. Cyber Protection & Resilience Solutions van CGI

Hoe u cybersecurity binnen uw organisatie de hoogste prioriteit geeft. Cyber Protection & Resilience Solutions van CGI Hoe u cybersecurity binnen uw organisatie de hoogste prioriteit geeft. Cyber Protection & Resilience Solutions van CGI CGI Cyber Protection & Resilience Solutions Optimale risicobeheersing en bescherming

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

Microsoft; applicaties; ontwikkelaar; developer; apps; cloud; app; azure; cloud computing; DevOps; microsoft azure

Microsoft; applicaties; ontwikkelaar; developer; apps; cloud; app; azure; cloud computing; DevOps; microsoft azure Asset 1 van 7 Over het bouwen van cloudoplossingen Gepubliceerd op 24 february 2015 Praktische handleiding voor ontwikkelaars die aan de slag willen met het maken van applicaties voor de cloud. Zij vinden

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

HOE DE KANS OP EEN SUCCESVOLLE ERP- IMPLEMENTATIE TE VERGROTEN

HOE DE KANS OP EEN SUCCESVOLLE ERP- IMPLEMENTATIE TE VERGROTEN WHITEPAPER HOE DE KANS OP EEN SUCCESVOLLE ERP- IMPLEMENTATIE TE VERGROTEN..HET EFFECT VAN VREEMDE OGEN.. Copyright 2014 OPDIC W www.implementatie-erp.nl E info@implementatie-erp.nl Hoe de kans op een succesvolle

Nadere informatie