Information Managing Day 2017 De rol van information management in een smart Curaçao. 12 mei Drs. ing. Elgeline Martis Hoofd CARICERT

Vergelijkbare documenten
4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

we secure YOUR network Veilige verbindingen Ries van Son

ICT en de digitale handtekening. Door Peter Stolk

Digitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, April 2006 Ruud Goudriaan

Transport Layer Security. Presentatie Security Tom Rijnbeek

Datacommunicatie Cryptografie en netwerkbeveiliging

Gebruikersdag Vialis Digitale Veiligheid

informatica. cryptografie. overzicht. hoe & wat methodes belang & toepassingen moderne cryptografie

Op zoek naar gemoedsrust?

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

we secure YOUR network Versleuteling voice en data verkeer voor optimale beveiliging verbindingen

NLT Gecertificeerde Module. Cybersecurity. Petra van den Bos Marko van Eekelen Erik Poll Radboud Universiteit Nijmegen

A-PDF Split DEMO. Samoera Jacobs, Delphine Duprez, Peter Maes, Peter Strickx V-ICT-OR - 24 januari 2006

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Agenda SSN Week 3. Gastcollege Stemcomputers Gastcollege PKI Secret key Public Key Hashes DES AES Praktikum: Cryptool en RSAFAQ

slides10.pdf December 5,

Simac Kennissessie Security HENRI VAN DEN HEUVEL

Netwerken. Beveiliging Cryptografie

Door Niko Visser. Bewijsmomenten met waarborgen voor zekerstelling met ISO 27001

Wireshark. Open Source Vroeger Ethereal Wireless kan lastig zijn

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Hoe fysiek is informatiebeveiliging?

Digitale geldtransacties. Stefanie Romme Wiskunde, Bachelor Begeleider: Wieb Bosma

Veilig samenwerken met de supply-chain

De IT en infrastructuur direct weer up-and-running na een incident

Wat te doen tegen ransomware

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015

Simac Master Class WiFi & Security HENRI VAN DEN HEUVEL

Encryptie deel III; Windows 2000 EFS

De digitale handtekening

Disaster Recovery uit de Cloud

Labo-sessie: Gegevensbeveiliging

ESET NEDERLAND SECURITY SERVICES PREDICTION

Over Vest Pioniers in informatiebeveiliging

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

Cryptografische beveiliging op het Internet

MSSL Dienstbeschrijving

Aandachtspunten PKIoverheid

Security web services

HET RECHT ROND ELEKTRONISCHE HANDTEKENINGEN: RICHTLIJN 1999/93/EG EN DE OMZETTING IN BELGIÈ EN NEDERLAND

Dennis Reumer 9 Oktober

Agenda Next Level in Control. 15:00 16:00 Next Plenair - Control Productivity - Control Security - Control Flexibility

Security Starts With Awareness

Onderzoeksverslag Beveiliging

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Simac Master Class Wifi & Security HENRI VAN DEN HEUVEL

Informatiebeveiliging & Privacy - by Design

Brazilië: Leren van veilige mobiele interactie met eid oplossingen

Security: Laat je inspireren en neem actie! 1. Brecht Schamp Network & Security Specialist Phoenix Contact

Beveiliging en bescherming privacy

ICT-Risico s bij Pensioenuitvo ering

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Project 4 - Centrale Bank. Rick van Vonderen TI1C

Rekenen met vercijferde data

Definities en afkortingen (bijlage bij CP DigiNotar gekwalificeerd )

F5 NETWORKS Good, Better & Best. Nick Stokmans Account Manager

Privacy Compliance in een Cloud Omgeving

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Gemeente Alphen aan den Rijn

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see

INTRODUCTIE

Aan: Forum Standaardisatie Van: Bureau Forum Standaardisatie Datum: 3 april 2018 Versie 1.0 Betreft:

Organisatie, beheer en lifecycle management. Vergroot de grip op uw cyber security domein.

Hoe overleven in een wereld van cyberspionage, hackers en internetoplichters? Jan Verhulst

Concept. Inleiding. Advies. Agendapunt: 04 Bijlagen: - College Standaardisatie

Security by Design. Security Event AMIS. 4 december 2014

Internettechnlogie, systteem- en netwerkbeheer MODULECODE STUDIEPUNTEN 10 VRIJSTELLING MOGELIJK ja

Building Automation Security The Cyber security landscape, current trends and developments

3 Criteria bij de selectie van encryptietoepassingen

Vertrouwelijkheid in het irn

Cryptografie: ontwikkelingen en valkuilen bij gebruik. Eric Verheul Bart Jacobs 5 oktober 2011

Een toekomst in de cloud? Stefan van der Wal - Security Consultant ON2IT

Bestuurlijke Netwerkkaarten Crisisbeheersing

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Taak Versleutelen en dan weer terug... 1

CompuDiode. Technical whitepaper ICS / SCADA Security. Nederlands

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Werkdocument interpretatie keuzedeel Security in systemen en netwerken

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC


CLOUDCOMPUTING (G)EEN W LKJE AAN DE LUCHT!

Security paper - TLS en HTTPS

Doel van de opleiding informatieveiligheid

IT Security in de industrie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Solution Dag refresh-it. Printing. Frits de Boer Frenk Tames

Microsoft; applicaties; ontwikkelaar; developer; apps; cloud; app; azure; cloud computing; DevOps; microsoft azure

Wat is de Cyberdreiging in Nederland?

De keten uitgedaagd. Beveiliging van informatieketens. College 8 van 11 door Iris Koetsenruijter Jacques Urlus Nitesh Bharosa

Virtuele Gebouwentechniek 27 en 28 september 2016

PKI, geen mysterie en zeker geen magie

Publiek-private partnerships voor een sterke cybersecurity

Eerste Deeltoets Security 22 mei 2015, , Beatrix 7e.

Informatiebeveiliging gemeenten

Infrastructuele beveiliging, de basis voor al uw applicaties

De digitale wereld: vol opportuniteiten, maar ook vol risico's

Transcriptie:

Information Managing Day 2017 De rol van information management in een smart Curaçao 12 mei 2017 Drs. ing. Elgeline Martis Hoofd CARICERT

Topics o Introductie CARICERT o Digitale Ontwikkelingen o Beveiligingsrisico s o Beveiligingsmaatregelen o Cryptografie: Encryptie en digitale handtekening o Toepassing van encryptie en digitale handtekening o Wet- en regelgeving Curaçao o Vragen

Introductie CARICERT

5/22/2017 CARICERT is een nationale CERT Opgericht in 2012 door Bureau Telecommunicatie en Post

5/22/2017 Wat is een CERT? CERT = Cyber Emergency Response Team Digitale brandweer Wacht op aanmeldingen van incidenten, reageert hierop en behandel de effecten van de aanval.

Organisatie CARICERT o Directeur CARICERT - Mr. F. Sluis o Chief Operation Officer Mr. G. King o Hoofd CARICERT - Mw. E. Martis o Security Officer - Mw. S. Calmes o Security Officer - Mr. C. Donker

Introductie CARICERT Caribbean Cyber Emergency Response Team Accredited by FIRST Full member Recognized by CERT/CC (Carnegie Mellon USA) Accredited by Trusted Introducer (Europe) www.caricert.cw

http://www.cert.org/incident-management/national-csirts/national-csirts.cfm

Interactiemodel van CERTs

5/22/2017 Waarom is er behoefte aan een CERT? o Internationale punt voor contact; o Snelle reactie o Bewustwording (Training & Educatie); o Detecteert; o Analyseert; o Waarschuwt; o Preventie (repetition); o Herstellen; o Expert opinions; o Kennisoverdracht;

Digitale Ontwikkelingen 5/22/2017

Digitale ontwikkelingen o Kritieke infrastructuren Internet Netwerken Client / Server Diensten o Kritieke infrastructuren Internet of Things Internet of Everything Smart cities Cloud

5/22/2017

5/22/2017

5/22/2017

5/22/2017

Beveiligingsrisico s 5/22/2017

Drs. ing. Elgeline Martis Are you Aware?

Cyber Security dreigingen Hackers Hacktivist Phishers Spammers Spyware/malware auteurs Interne dreigingen Foreign intelligence services terrorists

Cyber Security dreigingen o o Toename aantal aanvallen Aanval karakteristieken: Complexe aanvallen toegenomen; Veranderde modus operandi van de aanvallers; Langdurig aanhoudende aanvallen Herhalende aanvallen; Langzaam aanvallen; Internationaal georiënteerd en internationaal effect; Oplossen hangt af van alle eindgebruikers; Incident handling is tijdsintensief en complex. Duur van aanval twee/drie jaar voordat ontdekt

5/22/2017 Cybercrime trends 2016 o Cyber extortion o Cyber espionage o Theft of intellectual property o Ransomware o Mobileware o Phishing and Spear phishing o Security of Internet of Things o Hacktivism o Account Take Over (ATO)

Statistieken m.b.t. kwetsbaarheden Cyber security Curaçao Top 10 Bots # Bot Amount Aug-15 Sep-15 Oct-15 Nov-15 Dec-15 Jan-16 Feb-16 1 dorkbot 5,151 0 0 0 0 387 312 469 2 worm_dorkbot 1,785 72 0 295 474 46 87 210 3 zeroaccess 1,669 0 387 221 331 421 49 56 4 gameover-zeus-proxy 1,165 129 85 117 140 141 100 72 5 gameover-zeus-dga 713 75 69 123 20 135 122 34 6 gameover-zeus-peer 342 64 1 0 3 566 0 0 7 ponmocup 326 150 108 45 9 29 1 0 8 virut 282 0 0 0 8 37 18 76 9 securityscorecard-bamital 216 4 47 41 11 27 50 71 10 conficker 208 0 3 14 40 75 29 19 Total 11,857 494 700 856 1036 1864 768 1007

Statistieken m.b.t. kwetsbaarheden Cyber security Curaçao

Karakteristieken van SMART CITIES

Smart Cities o Informatie Big data o Infrastructuur Energie (Smart buildings, gas distributie Mgt) Publieke veiligheid (video surveillance, smart straatlichten) Vervoer (smart parking, mobiele betalingen Utiliteiten (water management)

Smart cities dreigingen

Smart Cities dreigingen o Hoge mate van kwetsbaarheid Hoge mate van connectiviteit Hoge mate van complexiteit Grote hoeveelheid data

Beveiligingsmaatregelen 5/22/2017

Beleidsaaandachtspunten Definieer Kritieke infrastructuren Cyber security strategie Cyber security beleid Cyber security toezicht Multi-disciplinaire werkgroep Incident Response Teams (CSIRTs) Capability building Wet- en Regelgeving

Cyber security beleid o Specifiek beleid met eisen en randvoorwaarden m.b.t. een specifiek onderwerp: o Netwerkbeleid o E-mail beleid o Applicatiebeleid o VPN-beleid o Mobiele security beleid o Cloud security beleid

Betrouwbaarheid In het Voorschrijft informatiebeveiliging rijkdsdienst wordt onder betrouwbaarheid verstaan de mate waarin de organisatie zich kan verlaten op een informatiesysteem voor zijn informatievoorziening. De hieraan te stellen eisen betrouwbaarheidseisen kunnen worden onderverdeeld in eisen ten aanzien van de: o Exclusiviteit (Vertrouwelijkheid) o Integriteit o Beschikbaarheid

Informatie rubriceren Informatie rubriceren o Geclassificeerd Vertrouwelijk (medisch, personeel) Staatsgeheim Zeer Staatsgeheim o Ongeclassificeerd Gevoelig maar ongeclassificeerd

5/22/2017 Cryptografie Encryptie en digitale handtekeningen

Waarom cryptografie? 1. Defense in depth - Als alle andere fysieke beveiliging falen, dan is de data vercijferd 2. Encryptie beschermd de data tijdens transport en opslag

Cryptografie Uitgangspunt is dat communicatie over welk medium dan ook risico loopt voor afluisteren. Cryptografie is vitaal voor het beveiligen van informatie Doel is Bescherming tegen afluisteren

Cryptografie Cryptografie is het vervormen van tekst zodanig dat het niet begrijpbaar/leesbaar is als het onderschept wordt. Cryptografie werkt met algoritmes die elk twee operaties uitvoeren: 1. Encryptie (vercijferen) 2. Decryptie (ontcijferen)

Encryptie Het vercijferen van tekst (platte tekst) zodat de tekst onleesbaar wordt (vercijferd tekst). Het vercijferen vindt plaats met een wiskundige formule, een algoritme (cipher) Het vercijferde tekst is het ciphertext

Decryptie Het ontcijferen van tekst (encrypted tekst) zodat de tekst weer leesbaar wordt in zijn originele staat (platte tekst). Het ontcijferen vindt op dezelfde manier plaats met een wiskundige formule, een algoritme (cipher) Het ontcijferde tekst is het platte tekst

Cryptosystemen - Symmetrisch systeem - Gebruikt symmetrische sleutels - Asymmetrisch systeem - Gebruikt asymmetrische sleutels - Hashing - Gebruikt beide systemen

Symmetrisch encryptie Geheime sleutel (Secret key) Er wordt gebruik gemaakt van een enkel sleutel om te vercijferen en te ontcijferen Vercijferen van data tijdens transport Snel, goede performance DES, Triple-DES, RC4, IDEA

Asymmetrische encryptie Geheime sleutel (Secret key) en publieke sleutel (public key) Publieke sleutel wordt gepubliceerd Digitale certificaten Langzaam RSA, El Gamal, ECC

Hashing Geheime sleutel Hash Message Authentication Code (HMAC) SHA-1, SHA-256 Integriteit, authenticiteit

Digitale handtekening Geheime sleutel en publieke sleutel Hash Message Authentication Code (HMAC) SHA-1, SHA-256 Integriteit, authenticiteit

5/22/2017 Toepassing van Encryptie en digitale handtekeningen

Toepassing 1. Vertrouwelijkheid / privacy Encryptie symmetrisch of asymmetrisch 2. Integriteit Hashing 3. Authenticatie Asymmetrisch encryptie Encrypte passwords en gehashte passwords 4. Non-repudiation Digitale handtekening

Nadelen cryptografie 1. Sleutels kunnen gecompromiteerd raken. 2. Sleutelbeheer is complex 3. Beide partijen moeten het systeem gebruiken om informatie met elkaar uit te kunnen wisselen

Tools cryptografie 1. PGP voor emailbeveiliging!! PGP van Symantec OpenPGP 2. VPN (Virtual Private Networks) SSL Encryptie op TCP/IP transport laag Privacy, integriteit, authenticatie 3. IPSEC (IP-Security, IPv6) 4. PKI (Public Key infrastructure)

5/22/2017

5/22/2017 Wet- en regelgeving Digitale Handtekening Curaçao

Wet- en regelgeving Curaçao Landsverordening overeenkomsten langs elektronische weg, 29ste december 2000 o http://decentrale.regelgeving.overheid.nl/cvdr/xhtmloutput/historie/cur a%c3%a7ao/144145/144145_1.html Landsbesluit elektronische handtekeningen, certificaten en certificatiedienstverleners, 19de juni 2001 o http://decentrale.regelgeving.overheid.nl/cvdr/xhtmloutput/historie/cur a%c3%a7ao/144146/144146_1.html

Empower Medewerkers o Er is een toenemende behoefte aan getraind personeel op het gebied van Cyber Security o Training van medewerkers voor Cyber Security kost veel tijd o Het is niet verstandig om al het werk te blijven outsourcen of om op permanente basis consultants in te blijven huren (uit het buitenland) o Caribbische eilanden moeten beginnen met te investeren in kennis van hun eigen medewerkers. Het trainen van eigen personeel is net zo duur als het inhuren van externe krachten

Last but not least! Zorg voor Disaster Recovery Plan (DRP) / Business Continuity Plan (BCP) BACKUPs (encrypted)

5/22/2017 Awareness Service Drs. ing. Elgeline Martis

5/22/2017 Info@caricert.cw elgeline.martis@caricert.cw www.caricert.cw Drs. Ing. Elgeline Martis Head of CARICERT T: +(599) 9 463 1717 A: Beatrixlaan 9, Curaçao PGP: 0x57034565 C2A7 37E8 5734 25E7 53A1 8B8C CDC0 58EE 5703 4565

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback