Information Managing Day 2017 De rol van information management in een smart Curaçao 12 mei 2017 Drs. ing. Elgeline Martis Hoofd CARICERT
Topics o Introductie CARICERT o Digitale Ontwikkelingen o Beveiligingsrisico s o Beveiligingsmaatregelen o Cryptografie: Encryptie en digitale handtekening o Toepassing van encryptie en digitale handtekening o Wet- en regelgeving Curaçao o Vragen
Introductie CARICERT
5/22/2017 CARICERT is een nationale CERT Opgericht in 2012 door Bureau Telecommunicatie en Post
5/22/2017 Wat is een CERT? CERT = Cyber Emergency Response Team Digitale brandweer Wacht op aanmeldingen van incidenten, reageert hierop en behandel de effecten van de aanval.
Organisatie CARICERT o Directeur CARICERT - Mr. F. Sluis o Chief Operation Officer Mr. G. King o Hoofd CARICERT - Mw. E. Martis o Security Officer - Mw. S. Calmes o Security Officer - Mr. C. Donker
Introductie CARICERT Caribbean Cyber Emergency Response Team Accredited by FIRST Full member Recognized by CERT/CC (Carnegie Mellon USA) Accredited by Trusted Introducer (Europe) www.caricert.cw
http://www.cert.org/incident-management/national-csirts/national-csirts.cfm
Interactiemodel van CERTs
5/22/2017 Waarom is er behoefte aan een CERT? o Internationale punt voor contact; o Snelle reactie o Bewustwording (Training & Educatie); o Detecteert; o Analyseert; o Waarschuwt; o Preventie (repetition); o Herstellen; o Expert opinions; o Kennisoverdracht;
Digitale Ontwikkelingen 5/22/2017
Digitale ontwikkelingen o Kritieke infrastructuren Internet Netwerken Client / Server Diensten o Kritieke infrastructuren Internet of Things Internet of Everything Smart cities Cloud
5/22/2017
5/22/2017
5/22/2017
5/22/2017
Beveiligingsrisico s 5/22/2017
Drs. ing. Elgeline Martis Are you Aware?
Cyber Security dreigingen Hackers Hacktivist Phishers Spammers Spyware/malware auteurs Interne dreigingen Foreign intelligence services terrorists
Cyber Security dreigingen o o Toename aantal aanvallen Aanval karakteristieken: Complexe aanvallen toegenomen; Veranderde modus operandi van de aanvallers; Langdurig aanhoudende aanvallen Herhalende aanvallen; Langzaam aanvallen; Internationaal georiënteerd en internationaal effect; Oplossen hangt af van alle eindgebruikers; Incident handling is tijdsintensief en complex. Duur van aanval twee/drie jaar voordat ontdekt
5/22/2017 Cybercrime trends 2016 o Cyber extortion o Cyber espionage o Theft of intellectual property o Ransomware o Mobileware o Phishing and Spear phishing o Security of Internet of Things o Hacktivism o Account Take Over (ATO)
Statistieken m.b.t. kwetsbaarheden Cyber security Curaçao Top 10 Bots # Bot Amount Aug-15 Sep-15 Oct-15 Nov-15 Dec-15 Jan-16 Feb-16 1 dorkbot 5,151 0 0 0 0 387 312 469 2 worm_dorkbot 1,785 72 0 295 474 46 87 210 3 zeroaccess 1,669 0 387 221 331 421 49 56 4 gameover-zeus-proxy 1,165 129 85 117 140 141 100 72 5 gameover-zeus-dga 713 75 69 123 20 135 122 34 6 gameover-zeus-peer 342 64 1 0 3 566 0 0 7 ponmocup 326 150 108 45 9 29 1 0 8 virut 282 0 0 0 8 37 18 76 9 securityscorecard-bamital 216 4 47 41 11 27 50 71 10 conficker 208 0 3 14 40 75 29 19 Total 11,857 494 700 856 1036 1864 768 1007
Statistieken m.b.t. kwetsbaarheden Cyber security Curaçao
Karakteristieken van SMART CITIES
Smart Cities o Informatie Big data o Infrastructuur Energie (Smart buildings, gas distributie Mgt) Publieke veiligheid (video surveillance, smart straatlichten) Vervoer (smart parking, mobiele betalingen Utiliteiten (water management)
Smart cities dreigingen
Smart Cities dreigingen o Hoge mate van kwetsbaarheid Hoge mate van connectiviteit Hoge mate van complexiteit Grote hoeveelheid data
Beveiligingsmaatregelen 5/22/2017
Beleidsaaandachtspunten Definieer Kritieke infrastructuren Cyber security strategie Cyber security beleid Cyber security toezicht Multi-disciplinaire werkgroep Incident Response Teams (CSIRTs) Capability building Wet- en Regelgeving
Cyber security beleid o Specifiek beleid met eisen en randvoorwaarden m.b.t. een specifiek onderwerp: o Netwerkbeleid o E-mail beleid o Applicatiebeleid o VPN-beleid o Mobiele security beleid o Cloud security beleid
Betrouwbaarheid In het Voorschrijft informatiebeveiliging rijkdsdienst wordt onder betrouwbaarheid verstaan de mate waarin de organisatie zich kan verlaten op een informatiesysteem voor zijn informatievoorziening. De hieraan te stellen eisen betrouwbaarheidseisen kunnen worden onderverdeeld in eisen ten aanzien van de: o Exclusiviteit (Vertrouwelijkheid) o Integriteit o Beschikbaarheid
Informatie rubriceren Informatie rubriceren o Geclassificeerd Vertrouwelijk (medisch, personeel) Staatsgeheim Zeer Staatsgeheim o Ongeclassificeerd Gevoelig maar ongeclassificeerd
5/22/2017 Cryptografie Encryptie en digitale handtekeningen
Waarom cryptografie? 1. Defense in depth - Als alle andere fysieke beveiliging falen, dan is de data vercijferd 2. Encryptie beschermd de data tijdens transport en opslag
Cryptografie Uitgangspunt is dat communicatie over welk medium dan ook risico loopt voor afluisteren. Cryptografie is vitaal voor het beveiligen van informatie Doel is Bescherming tegen afluisteren
Cryptografie Cryptografie is het vervormen van tekst zodanig dat het niet begrijpbaar/leesbaar is als het onderschept wordt. Cryptografie werkt met algoritmes die elk twee operaties uitvoeren: 1. Encryptie (vercijferen) 2. Decryptie (ontcijferen)
Encryptie Het vercijferen van tekst (platte tekst) zodat de tekst onleesbaar wordt (vercijferd tekst). Het vercijferen vindt plaats met een wiskundige formule, een algoritme (cipher) Het vercijferde tekst is het ciphertext
Decryptie Het ontcijferen van tekst (encrypted tekst) zodat de tekst weer leesbaar wordt in zijn originele staat (platte tekst). Het ontcijferen vindt op dezelfde manier plaats met een wiskundige formule, een algoritme (cipher) Het ontcijferde tekst is het platte tekst
Cryptosystemen - Symmetrisch systeem - Gebruikt symmetrische sleutels - Asymmetrisch systeem - Gebruikt asymmetrische sleutels - Hashing - Gebruikt beide systemen
Symmetrisch encryptie Geheime sleutel (Secret key) Er wordt gebruik gemaakt van een enkel sleutel om te vercijferen en te ontcijferen Vercijferen van data tijdens transport Snel, goede performance DES, Triple-DES, RC4, IDEA
Asymmetrische encryptie Geheime sleutel (Secret key) en publieke sleutel (public key) Publieke sleutel wordt gepubliceerd Digitale certificaten Langzaam RSA, El Gamal, ECC
Hashing Geheime sleutel Hash Message Authentication Code (HMAC) SHA-1, SHA-256 Integriteit, authenticiteit
Digitale handtekening Geheime sleutel en publieke sleutel Hash Message Authentication Code (HMAC) SHA-1, SHA-256 Integriteit, authenticiteit
5/22/2017 Toepassing van Encryptie en digitale handtekeningen
Toepassing 1. Vertrouwelijkheid / privacy Encryptie symmetrisch of asymmetrisch 2. Integriteit Hashing 3. Authenticatie Asymmetrisch encryptie Encrypte passwords en gehashte passwords 4. Non-repudiation Digitale handtekening
Nadelen cryptografie 1. Sleutels kunnen gecompromiteerd raken. 2. Sleutelbeheer is complex 3. Beide partijen moeten het systeem gebruiken om informatie met elkaar uit te kunnen wisselen
Tools cryptografie 1. PGP voor emailbeveiliging!! PGP van Symantec OpenPGP 2. VPN (Virtual Private Networks) SSL Encryptie op TCP/IP transport laag Privacy, integriteit, authenticatie 3. IPSEC (IP-Security, IPv6) 4. PKI (Public Key infrastructure)
5/22/2017
5/22/2017 Wet- en regelgeving Digitale Handtekening Curaçao
Wet- en regelgeving Curaçao Landsverordening overeenkomsten langs elektronische weg, 29ste december 2000 o http://decentrale.regelgeving.overheid.nl/cvdr/xhtmloutput/historie/cur a%c3%a7ao/144145/144145_1.html Landsbesluit elektronische handtekeningen, certificaten en certificatiedienstverleners, 19de juni 2001 o http://decentrale.regelgeving.overheid.nl/cvdr/xhtmloutput/historie/cur a%c3%a7ao/144146/144146_1.html
Empower Medewerkers o Er is een toenemende behoefte aan getraind personeel op het gebied van Cyber Security o Training van medewerkers voor Cyber Security kost veel tijd o Het is niet verstandig om al het werk te blijven outsourcen of om op permanente basis consultants in te blijven huren (uit het buitenland) o Caribbische eilanden moeten beginnen met te investeren in kennis van hun eigen medewerkers. Het trainen van eigen personeel is net zo duur als het inhuren van externe krachten
Last but not least! Zorg voor Disaster Recovery Plan (DRP) / Business Continuity Plan (BCP) BACKUPs (encrypted)
5/22/2017 Awareness Service Drs. ing. Elgeline Martis
5/22/2017 Info@caricert.cw elgeline.martis@caricert.cw www.caricert.cw Drs. Ing. Elgeline Martis Head of CARICERT T: +(599) 9 463 1717 A: Beatrixlaan 9, Curaçao PGP: 0x57034565 C2A7 37E8 5734 25E7 53A1 8B8C CDC0 58EE 5703 4565