Information Managing Day 2017 De rol van information management in een smart Curaçao. 12 mei Drs. ing. Elgeline Martis Hoofd CARICERT

Maat: px

Weergave met pagina beginnen:

Download "Information Managing Day 2017 De rol van information management in een smart Curaçao. 12 mei Drs. ing. Elgeline Martis Hoofd CARICERT"

Leona van Veen
6 jaren geleden
Aantal bezoeken:

1 Information Managing Day 2017 De rol van information management in een smart Curaçao 12 mei 2017 Drs. ing. Elgeline Martis Hoofd CARICERT

2 Topics o Introductie CARICERT o Digitale Ontwikkelingen o Beveiligingsrisico s o Beveiligingsmaatregelen o Cryptografie: Encryptie en digitale handtekening o Toepassing van encryptie en digitale handtekening o Wet- en regelgeving Curaçao o Vragen

3 Introductie CARICERT

4 5/22/2017 CARICERT is een nationale CERT Opgericht in 2012 door Bureau Telecommunicatie en Post

5 5/22/2017 Wat is een CERT? CERT = Cyber Emergency Response Team Digitale brandweer Wacht op aanmeldingen van incidenten, reageert hierop en behandel de effecten van de aanval.

6 Organisatie CARICERT o Directeur CARICERT - Mr. F. Sluis o Chief Operation Officer Mr. G. King o Hoofd CARICERT - Mw. E. Martis o Security Officer - Mw. S. Calmes o Security Officer - Mr. C. Donker

7 Introductie CARICERT Caribbean Cyber Emergency Response Team Accredited by FIRST Full member Recognized by CERT/CC (Carnegie Mellon USA) Accredited by Trusted Introducer (Europe)

11 Interactiemodel van CERTs

12 5/22/2017 Waarom is er behoefte aan een CERT? o Internationale punt voor contact; o Snelle reactie o Bewustwording (Training & Educatie); o Detecteert; o Analyseert; o Waarschuwt; o Preventie (repetition); o Herstellen; o Expert opinions; o Kennisoverdracht;

13 Digitale Ontwikkelingen 5/22/2017

14 Digitale ontwikkelingen o Kritieke infrastructuren Internet Netwerken Client / Server Diensten o Kritieke infrastructuren Internet of Things Internet of Everything Smart cities Cloud

15 5/22/2017

16 5/22/2017

17 5/22/2017

18 5/22/2017

19 Beveiligingsrisico s 5/22/2017

20 Drs. ing. Elgeline Martis Are you Aware?

21 Cyber Security dreigingen Hackers Hacktivist Phishers Spammers Spyware/malware auteurs Interne dreigingen Foreign intelligence services terrorists

22 Cyber Security dreigingen o o Toename aantal aanvallen Aanval karakteristieken: Complexe aanvallen toegenomen; Veranderde modus operandi van de aanvallers; Langdurig aanhoudende aanvallen Herhalende aanvallen; Langzaam aanvallen; Internationaal georiënteerd en internationaal effect; Oplossen hangt af van alle eindgebruikers; Incident handling is tijdsintensief en complex. Duur van aanval twee/drie jaar voordat ontdekt

23 5/22/2017 Cybercrime trends 2016 o Cyber extortion o Cyber espionage o Theft of intellectual property o Ransomware o Mobileware o Phishing and Spear phishing o Security of Internet of Things o Hacktivism o Account Take Over (ATO)

24 Statistieken m.b.t. kwetsbaarheden Cyber security Curaçao Top 10 Bots # Bot Amount Aug-15 Sep-15 Oct-15 Nov-15 Dec-15 Jan-16 Feb-16 1 dorkbot 5, worm_dorkbot 1, zeroaccess 1, gameover-zeus-proxy 1, gameover-zeus-dga gameover-zeus-peer ponmocup virut securityscorecard-bamital conficker Total 11,

25 Statistieken m.b.t. kwetsbaarheden Cyber security Curaçao

26 Karakteristieken van SMART CITIES

27 Smart Cities o Informatie Big data o Infrastructuur Energie (Smart buildings, gas distributie Mgt) Publieke veiligheid (video surveillance, smart straatlichten) Vervoer (smart parking, mobiele betalingen Utiliteiten (water management)

28 Smart cities dreigingen

29 Smart Cities dreigingen o Hoge mate van kwetsbaarheid Hoge mate van connectiviteit Hoge mate van complexiteit Grote hoeveelheid data

30 Beveiligingsmaatregelen 5/22/2017

31 Beleidsaaandachtspunten Definieer Kritieke infrastructuren Cyber security strategie Cyber security beleid Cyber security toezicht Multi-disciplinaire werkgroep Incident Response Teams (CSIRTs) Capability building Wet- en Regelgeving

32 Cyber security beleid o Specifiek beleid met eisen en randvoorwaarden m.b.t. een specifiek onderwerp: o Netwerkbeleid o beleid o Applicatiebeleid o VPN-beleid o Mobiele security beleid o Cloud security beleid

33 Betrouwbaarheid In het Voorschrijft informatiebeveiliging rijkdsdienst wordt onder betrouwbaarheid verstaan de mate waarin de organisatie zich kan verlaten op een informatiesysteem voor zijn informatievoorziening. De hieraan te stellen eisen betrouwbaarheidseisen kunnen worden onderverdeeld in eisen ten aanzien van de: o Exclusiviteit (Vertrouwelijkheid) o Integriteit o Beschikbaarheid

34 Informatie rubriceren Informatie rubriceren o Geclassificeerd Vertrouwelijk (medisch, personeel) Staatsgeheim Zeer Staatsgeheim o Ongeclassificeerd Gevoelig maar ongeclassificeerd

35 5/22/2017 Cryptografie Encryptie en digitale handtekeningen

36 Waarom cryptografie? 1. Defense in depth - Als alle andere fysieke beveiliging falen, dan is de data vercijferd 2. Encryptie beschermd de data tijdens transport en opslag

37 Cryptografie Uitgangspunt is dat communicatie over welk medium dan ook risico loopt voor afluisteren. Cryptografie is vitaal voor het beveiligen van informatie Doel is Bescherming tegen afluisteren

38 Cryptografie Cryptografie is het vervormen van tekst zodanig dat het niet begrijpbaar/leesbaar is als het onderschept wordt. Cryptografie werkt met algoritmes die elk twee operaties uitvoeren: 1. Encryptie (vercijferen) 2. Decryptie (ontcijferen)

39 Encryptie Het vercijferen van tekst (platte tekst) zodat de tekst onleesbaar wordt (vercijferd tekst). Het vercijferen vindt plaats met een wiskundige formule, een algoritme (cipher) Het vercijferde tekst is het ciphertext

40 Decryptie Het ontcijferen van tekst (encrypted tekst) zodat de tekst weer leesbaar wordt in zijn originele staat (platte tekst). Het ontcijferen vindt op dezelfde manier plaats met een wiskundige formule, een algoritme (cipher) Het ontcijferde tekst is het platte tekst

41 Cryptosystemen - Symmetrisch systeem - Gebruikt symmetrische sleutels - Asymmetrisch systeem - Gebruikt asymmetrische sleutels - Hashing - Gebruikt beide systemen

42 Symmetrisch encryptie Geheime sleutel (Secret key) Er wordt gebruik gemaakt van een enkel sleutel om te vercijferen en te ontcijferen Vercijferen van data tijdens transport Snel, goede performance DES, Triple-DES, RC4, IDEA

43 Asymmetrische encryptie Geheime sleutel (Secret key) en publieke sleutel (public key) Publieke sleutel wordt gepubliceerd Digitale certificaten Langzaam RSA, El Gamal, ECC

44 Hashing Geheime sleutel Hash Message Authentication Code (HMAC) SHA-1, SHA-256 Integriteit, authenticiteit

45 Digitale handtekening Geheime sleutel en publieke sleutel Hash Message Authentication Code (HMAC) SHA-1, SHA-256 Integriteit, authenticiteit

46 5/22/2017 Toepassing van Encryptie en digitale handtekeningen

47 Toepassing 1. Vertrouwelijkheid / privacy Encryptie symmetrisch of asymmetrisch 2. Integriteit Hashing 3. Authenticatie Asymmetrisch encryptie Encrypte passwords en gehashte passwords 4. Non-repudiation Digitale handtekening

48 Nadelen cryptografie 1. Sleutels kunnen gecompromiteerd raken. 2. Sleutelbeheer is complex 3. Beide partijen moeten het systeem gebruiken om informatie met elkaar uit te kunnen wisselen

49 Tools cryptografie 1. PGP voor beveiliging!! PGP van Symantec OpenPGP 2. VPN (Virtual Private Networks) SSL Encryptie op TCP/IP transport laag Privacy, integriteit, authenticatie 3. IPSEC (IP-Security, IPv6) 4. PKI (Public Key infrastructure)

50 5/22/2017

51 5/22/2017 Wet- en regelgeving Digitale Handtekening Curaçao

52 Wet- en regelgeving Curaçao Landsverordening overeenkomsten langs elektronische weg, 29ste december 2000 o a%c3%a7ao/144145/144145_1.html Landsbesluit elektronische handtekeningen, certificaten en certificatiedienstverleners, 19de juni 2001 o a%c3%a7ao/144146/144146_1.html

53 Empower Medewerkers o Er is een toenemende behoefte aan getraind personeel op het gebied van Cyber Security o Training van medewerkers voor Cyber Security kost veel tijd o Het is niet verstandig om al het werk te blijven outsourcen of om op permanente basis consultants in te blijven huren (uit het buitenland) o Caribbische eilanden moeten beginnen met te investeren in kennis van hun eigen medewerkers. Het trainen van eigen personeel is net zo duur als het inhuren van externe krachten

54 Last but not least! Zorg voor Disaster Recovery Plan (DRP) / Business Continuity Plan (BCP) BACKUPs (encrypted)

55 5/22/2017 Awareness Service Drs. ing. Elgeline Martis

56 5/22/ Drs. Ing. Elgeline Martis Head of CARICERT T: +(599) A: Beatrixlaan 9, Curaçao PGP: 0x C2A7 37E E7 53A1 8B8C CDC0 58EE

Vergelijkbare documenten

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting Telematica Hoofdstuk 20 4Passief: n Afluisteren Bedreigingen n Alleen gegevens (inclusief passwords) opgenomen n Geen gegevens gewijzigd of vernietigd n Op LAN kan elk station alle boodschappen ontvangen