Visie en Trends in information security & risk management NGI - Mei 2008

Transcriptie

1 Visie en Trends in information security & risk management NGI - Mei 2008 Trends: wat gaat er mis; wat gebeurt er in organisaties Visie: nieuwe doelen voor de beroepsgroep Dr. ir. Paul Overbeek RE Ois-NL.EU Keek op de week dinsdag 20 mei 11:42 Banken: illegale software helpt misbruik internetbankieren 10:42 PDoS-aanval beschadigt hardware permanent 09:59 Meeste spamsites geregistreerd via paar registrars 09:32 I Love You maakt rentree dankzij Storm worm maandag 19 mei 16:49 GovCERT: Debian OpenSSL-lek treft ook niet-debian gebruikers 11:47 Kabinet schaft stemmen met computer voorlopig af 11:31 Risico draadloos veelal onbekend 09:40 Thuiswerkcentrales mogen krantenwijk gaan nemen zaterdag 17 mei 11:59 Redmond Magazine infecteert bezoekers met malware 11:39 Nederlandse politie hackt verdachten met Trojaans paard vrijdag 16 mei 15:27 Hacker verwijdert accounts van ambtenaren 12:49 VS willen volledige controle over alle computers 11:19 Hacker versleutelt klantendatabase van bank 10:58 NSA offline door DNS problemen 10:40 Schneier: Lieg tegen laptop leegzuigende douane 10:10Internet in alarmfase geel wegens Debian OpenSSL-lek20 1

2 Storing ISP Landelijke storing treft xxx Trend: Gepubliceerd: gisteren 15:11 Veel klanten van xxx kunnen dinsdag geen gebruik Toename makencontinuiteitsbehoefte van internet. Door eenversus storing sinds het begin Storing gebrek xxx van nog aan de nacht niet echte opgelost ondervinden beheersing ook andere diensten en Door Dimitri providers Reijerman, die gebruik woensdag maken 14 mei van 2008 het centrale 09:18, Beheersing views: transportnetwerk door trial and van error xxx is hinder. tot De problemen zijn in Ondanks acceptable heel de uitgesproken Nederland practice verheven. merkbaar, verwachting Zelfherstellende meldt dat de xxx. Het bedrijf werkt storing op aan heteen transportnetwerk oplossing componenten maar van horen hoe xxx first-line lang het of euvel nog gaat dinsdagavond defense durente zou is zijn, onbekend. zijn maar opgelost, daarna krijgen moet veel de Oorzaak rootcause Het nog adslabonnees storing xxx nog raadsel toch zakelijke steeds boven geen helpdesknummer water verbinding. te halen zijn. van (Novum) xxx is onbereikbaar - Door een storing bij xxx kunnen xxx is nog door steeds de drukte. naarstig Storingen op zoekkunnen naar de veel daardoor mensen momenteel geen gebruikmaken van oorzaak van niet worden problemen doorgegeven. die zich op het internet atmtransportnetwerk voordoen. Op Radio 1 liet diensten een en providers die gebruikmaken en andere diensten. Ook andere woordvoerder van het telecombedrijf wetenvan dathet er centrale transportnetwerk van xxx na het bekijken van de loggegevens nieuwe ondervinden hinder. De problemen zijn in software geïnstalleerd zal worden. Onduidelijk heel is Nederland merkbaar, zegt een echter nog wanneer de problemen definitief woordvoerder zullen van xxx. zijn verholpen. Paspoort Lek in RFID-chip handig voor paspoortdieven Dat de RFID-chip in het Nederlandse paspoort gekraakt is, is al twee jaar bekend. Dit Trend: Kabinet Risico bestaatmanagement uit is echter stelletjegeen digibeten probleem in business voor de perspectief veiligheid van het paspoort Inzicht in echte risico s is noodzakelijk. Risico is Volgens perceptiebijleveld en is het echter Eerst het drama met de OV-chipkaart en nu is management ook algemeen bekend van Hetrisico s probleem geworden is wordt dat daarom veroorzaakt onmogelijk om persoonsgegevens het afhankelijk door van de de RFID-chip stemming het van de Nederlandse dag. paspoort paspoort. een eenvoudig Die geeft doelwit bij juiste vragen, bijvoorbeeld op afstand uit door teeen lezen en werken van paspoortdieven leesapparaat is, volgens GroenLinks- bij de douane, de juisteeuropese antwoorden. landen inmiddels samen Beter Kamerlid de Wijnand top risico s Duyvendak identificeren schort het en die actief managen, om de veiligheid en met van paspoorten regelmaat binnen de politiek deze"maar aan top actualiseren men benodigde vergeten dat ook te regelen verder voor teantwoorden vergroten. op Het probleem technische kennis. verkeerde "Het kabinet vragen. lijkt te In de praktijk blijkt dat elk land een eigen bestaan uit een stelletje digibeten," zo riep hij met de huidige paspoorten wordt manier heeft bedacht om met foute codes om te gaan. Analyseer tijdens het debat met staatssecretaris Ank Focus op echtede risico s foutmelding voor de die bedrijfsvoering, je terugkrijgt na het en veroorzaakt bewust niet op versturen fear, doordat doubt, van er een geen Bijleveld van Binnenlandse Zaken. uncertainty. afspraken zijn gemaakt over de GroenLinks wil nu verkeerde dat een veiliger code en paspoort je weet uit welk land het paspoort komt," zegt komt. Poll tegenover Trouw. foutmeldingen die het paspoort geeft. Hierdoor heeft elk land eigen Wat doen we met Risicomanagement: risico s: wegnemen, kans accepteren, van maken codes mitigeren, geïmplementeerd verleggen en kunnen of kans van maken Paspoortbom paspoortdieven hierdoor de nationaliteit van een paspoorthouder Vorig jaar waarschuwde de Londenseachterhalen. Royal Academy of Engineering al dat dit probleem gebruikt kan worden door terroristen, om bommen af te laten gaan als er iemand van een bepaalde nationaliteit in de buurt komt. 2

3 Misbruik LinkedIn, Hyves, Plaxo Informatie uit sociale netwerk app s zoals LinkedIn, Hyves en Plaxo worden steeds vaker misbruikt voor reclame doeleinden en gericht Spam. Ook acquisitie en werving maakt gebruik van deze nieuwe media. Opvallen is dat veel deelnemers zeer openhartig zijn over allerlei prive zaken, en sommige maken zich daardoor ronduit kwetsbaar. Voorbeelden zijn: politieagenten, AIVD-medewerkers en militairen Onderzoek naar anti-ind-website Internet opportunisten, boefjes en echte Naturalisatiedienst. criminelen 1/4 Sloop de deportatiemachine! Dat is het motto van een website die zich keert tegen de IND, de Immigratie- en Vier criminelen die via een Trojaans paard de online bankrekeningen van internetgebruikers plunderden, zijn veroordeeld tot zware gevangenisstraffen en boetes. Drie van de vier kregen celstraffen tussen de zes en acht jaar, de vierde die alleen het geld opnam, kreeg 2,5 jaar. 3

4 Onrust op financiele markten na DOS-attack 2/4 Een Amerikaanse zakenbank is het doelwit geweest van een DoS-aanval. Volgens de bank is het de eerste keer dat aanvallers erin slagen de servers van een financiële dienstverlener te crashen. De aanval zorgde voor onrust in de toch al gespannen financiele wereld omdat de bank voor klanten via het internet niet bereikbaar of zelfs zichtbaar was. Klanten konden de bank niet bezoeken of aandelen konden verhandelen. Kwaadaardige software 3/4 Vijf miljoen consumenten opgelicht door anti-virusbedrijf 6 april :4905 GMT april :13 29A virus-writing gang shuts down A notorious virus-writing De voormalige gang has directrice announced van that een it Zuid-Koreaans has anti-virusbedrijf is ceased its operations. aangeklaagd wegens het oplichten van Marek consumenten Strihavka Benny door middel Chech. In a posting on 29A s van nepsoftware. website, group De member nepscanner VirusBuster van Schrijver de 41-jarige van virussen Lee Shin-ja en andere werd kwaadaardige software "Benny" is announced the end sinds of a 2005 gang door that meer was responsible dan 5 miljoen for consumenten gebruikt voor het opgepakt. Tevens zijn de computers van writing malware such beschermen as Cabir van (which huninfected computers. Symbian Om virusschrijversgroep consumenten zover 29A te in krijgen beslag mobile phones), Duts dat ze (the de first software ever Pocket kochten, PC toonde virus, het genomen. bedrijfhij allerlei werd een popups aantal op weken het bizarrely inspired scherm by a science dat de fiction machine novel), met Haiku malware (which geleden besmetdoor was. een Tsjechisch antivirusbedrijf in dienst genomen. generated Japanese-style poetry), Stream (which was the first virus to take advantage Gebruikersof konden NTFS dan Alternate kiezendata of ze de gratis of de betaalde versie Streams), Lindose wilden (which gebruiken. infected both EenWindows kleine vier and miljoen Linux mensen kozen voor de computers), Welcome and to 29A Donut gratis Labs optie, (a.net maar aware die Windows was voorzien file van spyware waarmee het infector). ### Warning ### surfgedrag werd gemonitord. 1,26 miljoen mensen betaalden 30 This site contains euroviruses, per jaartrojans om de and nietother bestaande dreigingen te verwijderen. software that may damage computer systems. If you don't like Media the stuff Port on verdiende this site feel hiermee free to in drie jaar tijd ruim 6 miljoen euro. LEAVE at any moment. =[ Enter ]= Просмотр профиля EugeneSuchkov - Rus 4

5 Professionalisering computercriminaliteit 4/4 In Amerika is een professioneel opererende bende internetcriminelen opgerold die mogelijk al tien jaar lang via internet gehackte creditcards goederen kocht. De uit zo'n 40 personen bestaande bende, gebruikte vervalste rijbewijzen en creditcards om voor zeker 100 miljoen dollar per jaar aan goederen te kopen, die dan weer via het internet werden verkocht. Dankzij Chinese hackers die de databases van grote winkelketens hackten, wist de bende aan de creditcardgegevens te komen. Niet alleen de creditcardgegevens, ook ontvingen de bendeleden elke maand uit China 3000 Opportunisten, boefjes en echte criminelen zijn overal lege creditcards, waarmee verwoed werd gewinkeld. Trend: De aangeschafte Internet wordt goederen steeds werden meer aangeboden een afspiegeling op de van de gewone website Eastrades.com. maatschappij. Internet, midden in de samenleving. Logisch natuurlijk, maar ons beeld (perceptie dus) is nog steeds: Internet, het nieuwe paradijs. Helaas, de appel is al lang gegeten en de slang is los. We hebben nog geen idee van de lengte van de slang, of wat Pandora s Internetdoos nog voor ons in petto heeft. Tunnels A73 problemen met tunnel software Tunnel A73 weer afgesloten door storing DEN HAAG - De A73 is dinsdagochtend omstreeks uur tussen Roermond en Venlo in beide richtingen afgesloten door een storing in de Roertunnel. Dat heeft de ANWB gemeld. Sinds de opening van de snelweg ruim een week geleden, treden er geregeld storingen op in de ICTdetectiesystemen van de tunnels bij Swalmen en Roermond. Hierdoor moet de weg steeds worden afgesloten. Kettingbotsing na storing A73-tunnel Publicatie: Strenge 25/02/08 eisen07:17 Laatst Rijkswaterstaat gewijzigd: 25/02/08 wijt 07:20 de voortdurende afsluitingen aan de strenge eisen van de nieuwe tunnelwet. Bij elke Door storing een storing de in software het veiligheidssysteen van de veiligheidssystemen van de Roertunnel gaan de van tunnels de A73 onverbiddelijk zijn zondagavonddicht. vier auto's op elkaar De gebotst. tunnels van de A73 zijn de eerste die aan de Volgens nieuwe Rijkswaterstaat richtlijnen sprongen voldoen. de De verkeerslichten andere in Nederland voor de ingang volgenvan de de komende tunnel plotseling jaren. op rood. Enkele auto's konden nog op tijd remmen, maar achteropkomend verkeer zag het te laat en botste op de stilstaande voertuigen. Eén persoon werd ter controle naar de eerste hulp gebracht. Ook vorige week waren er problemen in de tunnel, toen ontstonden er kilometers lange files na een storing bij de tunnel in Swalmen. Tunnelvisie software ontwikkelaars Camiel Eurlings Trend: IT is everywhere Geen trend maar van alle tijden: OTAP blijft moeilijk 5

6 "Ik kan u beloven dat het de komende jaren Zorgen over ICT bij Belastingdienst beter wordt." Excuses na nieuwe problemen bij Belastingdienst 'Parlementair 28 februari 2008 onderzoek 08:26 naar Belastingdienst nodig' De oorzaak van de fout kwam aan het licht bij een test 'AOW-heffing die half DEN HAAG en februari - Staatssecretaris kilometerheffing is uitgevoerd. Jan te veel Deze Keesvoor kon niet de Jager fiscus' eerder gehouden worden omdat nog onderdelen van het (Financiën) heeft woensdag excuses aangeboden voor verwerkingsproces ontbraken. een nieuwe fout bij de Belastingdienst, waardoor De Jager kondigde woensdag aan dat zo'n test in de mensen hun belastingaangifte opnieuw toekomst eerder gehouden moet worden. moeten insturen. Jan Kees de Jager De getroffen belastingplichtigen hadden De Jager voor grijpt afgelopen in na fout met honderdduizenden weekeinde hun aangifte digitaal aangeleverd. aangiftes Omdat dit jaar voor het eerst volledig gebruik27 wordt februari gemaakt 2008 van 07:39 DigiD, de digitale inlogcode voor overheidsinstanties, is de software aangepast. Door een foutden in het HAAG systeem - De bleek digitale afgelopen vrijdag dat alle ingestuurde belastingaangiftes aangiftes die inmiddels zijn onbruikbaar zijn ingediend zijn door een fout in het Belastingdienst Trend?: De checkt verantwoordingshorizon online profielen computersysteem wordt steeds onbruikbaar geworden. De Belastingdienst korter. Quality gebruikt bargaining: vriendensites veel willen/moeten als Hyves, Facebook doen en LinkedIn om aangiftesmet controleren. te weinig resources Keten-afhankelijkheid in vitale infrastructuur Stroomstoring Florida was menselijke blunder De stroomstoringen in Florida zijn veroorzaakt door één medewerker. Dat heeft het elektriciteitsbedrijf Florida Power&Light bekendgemaakt. Elektriciteitspanne Zuid-Florida treft 4,4 miljoen mensen Het zuiden van Florida is vandaag getroffen door een gigantische elektriciteitspanne, veroorzaakt doordat vijf reactoren van de kerncentrale van Turkey Point in het zuidoosten van de deelstaat het Een monteur veroorzaakte in een onderstation ten zuiden van Miami een hadden begeven. storing bij de inspectie Trend: van aandacht een voor vitale infrastructuren haperende schakelaar. Het automatische beveiligingssysteem Veerkracht schakelde en de-vitalisering De stroompanne trof 4,4 miljoen vervolgens een kerncentrale en een kolencentrale uit. Ook twee andere mensen en zorgde voor chaotische centrales ondervonden hinder van de taferelen op de weg doordat alle In storing. het zuiden (novum/adv) van de Amerikaanse staat Florida verkeerssignalisatie is was uitgevallen. dinsdag op veel plaatsen de stroom uitgevallen Volgens nadat de nieuwszender CNN trof het elektriciteitsbedrijf een kerncentrale wegens de een panne grote delen van de regio storing had uitgeschakeld. Daardoor ontstond van tijdelijk Daytona Beach tot Palm Beach, een tekort aan stroom, waar ongeveer drie miljoen ten noorden van Miami. (belga/bdr) mensen last van hadden. 6

7 xxx: OV chip wel veilig genoeg voorlopig : Het is voor mij van groot belang helderheid te krijgen over de consequenties die partijen verbinden aan het rapport van de RHUL. Tineke Zoals Huizinga: ik al eerder OV-chipkaart schreef, schaf is veilig ik het NVB pas af Aanvalsplan OV-chip moet voor 'rust' zorgen als ik ervan overtuigd ben dat de reiziger op de OVchipkaart kan vertrouwen. Ik vraag mij in alle ernst af de ov-chipkaart kan doorwerken met gekraakte chip, maar of de moet datum uiteindelijk van 1 januari wel een 2009 andere TLS, chip OV-bedrijven kiezen. Ook en worden decentrale er meer overheden 'geheime gelet maatregelen' op de uitkomsten van genomen. de rapportages van TNO en RHUL nog haalbaar is. belangen Ook deze gebruikers vraag heb veilig: ik aan "Het de is betrokken belangrijkpartijen dat de klant voorgelegd. de kaarttrend: accepteert", informatiebeveiliging, risicomanagement, introductiedatum compliance, 1 januaritechniek 2009 niet en heilig privacy op de politieke hackers Hoogachtend, nooitagenda op OV-chipkaart gericht, maar juist op de RFID-tag zelf. Nog Zij eendenkt trend: dat kennis de meerdere en ervaring lagendun van gezaaid op beveiliging met vooral de fraudecontroles in het backoffice DE STAATSSECRETARIS voldoende de plekken zal waar zijn. VAN dat nodig VERKEER is EN TLS.. WATERSTAAT, noodplan in werking verwacht ze dat de kaart veilig is. "IkJ.C. haalhuizinga-heringa de strippenkaart uitsluitend uit de markt als ik er van overtuigd ben dat er een goede OV-chipkaart ligt." Trend: Afhankelijkheid en verwevenheid in ketens/parternships neemt toe Hoe te beheersen? 7

8 Think local act local Think global act local Think global act global Globalisering IT service provision zet door Standaardisatie, prijsdruk, professionalisering processen aan de onderkant (networks, housing, hosting, call centers, standaard app s) Divers beeld, ruimere marges, professionals aan de bovenkant Vaste versus variabele relaties in rap tempo Keuze: local player, local clients Horizontale of verticale integratie binnen en tussen de ketens Wereldwijd compliance Information risk & security Now becoming Mandatory for most companies due to new legislation PROVE to ME Differentiator: Selection criterion for the public/market: reputation is everything TELL ME Enabler for some new products but accidents happen Can I trust you? Aantoonbaarheid compliance Trust me Tell me Show me Prove to me 8

9 Visie: op weg naar verdere professionalisering De drie speerpunten van Paul 1. Kwaliteit van de professional moet transparant zijn Erkenning opleidingsniveau Praktijkervaring Persoonlijke integriteit, ook van de organisatie Professionele houding Permanente educatie Leren van fouten 2. Leren van fouten Cultuurverandering tav delen van (bijna) fouten Van incident tot leermoment Iedere fout is al een keer gemaakt Wegnemen laksheid ten aanzien van leren van ervaringen elders Persoonlijke verantwoordelijkheid Aanspreekbaar 9

10 Onafhankelijk toezicht 3. Inspectie bij ICT / Informatie ongevallen Van Vollenhoven Doet aanbevelingen met uitstralen effect voor de hele sector Conclusie 1/2 DOELEN De sector moet zich serieuzer nemen Om erger te voorkomen. Beveiliging is geen bijproduct Zorgvuldiger werken Lifecycle denken: tussentijdse verantwoording en evaluaties Echte acceptatie Durven leren van elkaar Best & bad practice sharing Learning from incidents Kaf en koren Zelfreinigend vermogen van de sector versterken 10

11 HOE Conclusie 2/2 Mechanismen voor structurele verbetering Governance / oversight / gildestructuur Hier ligt een verantwoordelijkheid voor de beroepsverenigingen Contact details Dr. ir. Paul L. Overbeek RE OIS Information Risk & Security Management Rivierpad 20 NL 2614 XB Delft Paul.Overbeek@Ois-NL.EU 11