Transcript Infosecurity Magazine

INFO
SECURITY
MAGAZINE
JAARGANG 16 - MAART 2017 - WWW.INFOSECURITYMAGAZINE.NL
VEILIG
GEDRAG VAN
WERKNEMERS IS
NOG VER WEG
DE TOP 5 IAM
FUNCTIONALITEITEN DIE U NIET
MAG MISSEN
SPAM
WEER HELEMAAL
TERUG VAN WEGGEWEEST
ONDERSCHAT
VEILIGHEIDSRISICO: DE
BEDREIGING
VAN BINNENUIT
EDITORIAL: ROBBERT HOEFFNAGEL
COLOFON
UTRECHT 20 & 21 MAART 2017
SECURITY FORUM
Infosecurity Magazine is het enige onafhankelijke vakblad in de Benelux
dat zich expliciet bezighoudt met informatiebeveiliging. Het blad beweegt
zich op het snijvlak van technologie
en beleid. Vanaf het hekwerk tot in de
boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van
abonnementen en controlled circulation. Vraag uw abonnement aan via
[email protected].
Uitgever
Jos Raaphorst
06 - 34 73 54 24
[email protected]
twitter.com/raaphorstjos
nl.linkedin.com/pub/dir/jos/raaphorst
Hoofdredacteur
Robbert Hoeffnagel
06 - 51 28 20 40
[email protected]
twitter.com/rhoeffnagel
nl.linkedin.com/in/robberthoeffnagel
www.facebook.com/robbert.hoeffnagel
Build your
defence now
Advertentie-exploitatie
Mike de Jong
06 - 10 82 59 93
[email protected]
Eindredactie/traffic
Ab Muilwijk
Vormgeving
Media Service Uitgeest
Druk
CHAPO nv
Infosecurity magazine
is een uitgave van
FenceWorks BV
Beatrixstraat 2
2712 CK Zoetermeer
079 - 500 05 59
[email protected]
© 2017
Niets uit deze uitgave mag op enigerlei
wijze worden overgenomen zonder uitdrukkelijke toestemming van de uitge-
LOCATIE:
INVESTERING:
PRAKTISCH:
Fort Voordorp,
Groenekan bij Utrecht
2 dagen en € 995
parkeren en vervoer OV
voorzien
Info en inschrijving:
www.globalknowledge.nl/cybercrime
2 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
ver.
Meer informatie:
www.infosecuritymagazine.nl
Het kan beter!
Bent u wel eens op een event van zogeheten webscale datacenters geweest? Dat zijn dus de datacenters van Facebook, Google, Apple, Microsoft en dergelijke. Wat mij fascineert bij de medewerkers van
dat soort bedrijven is dat hun functie vaak zo - zeg
maar - ‘onduidelijk’ is. Zo stond ik eens te praten met
een medewerker van zo’n datacenter wiens officiële
functie ‘network engineer’ was. Maar het gesprek
ging helemaal niet over switches of connectiviteit.
Het ging over koeling. De man hield een vlammend
betoog over het feit dat de productie van warmte in
veel datacenters drastisch verminderd kan worden,
als we maar de juiste keuzes zouden maken.
Een IT-er die over de fysieke infrastructuur
praat. Toen ik hem naar die toch vaak klassieke tegenstelling vroeg, gaf hij een duidelijk antwoord: als we die twee werelden
niet volledig met elkaar integreren, kunnen
we nooit tot maximale prestaties in het datacenter komen. En met prestaties bedoelde
hij niet alleen beschikbaarheid en performance, maar ook milieu-impact en kosten.
Om een of andere reden moest ik aan deze
ontmoeting denken toen ik een gesprek
had met Scott Clemens, de president van
Vasco. Een belangrijke boodschap die hij
mij mee wilde meegeven was dat we soms
heel anders naar IT-security moeten kijken.
Security moet volledig geïntegreerd zijn in
de applicaties die we gebruiken. Terwijl we
nu vaak een gelaagde aanpak volgen.
Een voorbeeld. Neem iemand die in de
trein of op een vliegveld zit te gamen op
een smartphone. Bij veel games is het business model gebaseerd op in-app aankopen. Geen probleem natuurlijk als je thuis
wifi gebruikt. Maar openbaar wifi op een
vliegveld of een mobiele verbinding in een
trein is wel zo’n beetje de meest onveilige
omgeving die er bestaat. Desondanks zal
die gamer de neiging hebben om toch zo’n
in-app aankoop te doen. Met alle risico’s
van dien op een rogue netwerk en het stelen van inloggegevens.
Maar waarom kijken we bij mobiele apps
vooral naar een al of niet veilige verbinding,
terwijl we eigenlijk de app zelf veel nadrukkelijker dienen te beschermen? Dat kan
met RASP-technologie. De app kan dan
niet gecompromitteerd worden en dus kunnen we veilig werken in een onveilige netwerkomgeving.
Er is echter meer mogelijk. Neem het
Israëlische Covertix. Dat versleutelt alle
data waar een gebruiker mee werkt of die
hij verstuurt. Maar het legt ook vast wie een
bestand of record mag openen, versturen,
wanneer, op welk systeem en dergelijke.
Pogingen om buiten die rules om toch het
bestand of record te gebruiken, wordt geregistreerd, zodat we precies weten wat er
gebeurt.
Wie bedenkt dat 90 procent van de gebruikers van een smartphone geen idee heeft
hoe hij of zij moet vastleggen dat zijn of
haar smartphone is besmet, zal zich realiseren dat de klassieke aanpak van IT-security (firewalls, antivirus en andere ‘sloten
op de deur’) volstrekt onvoldoende is. Wie
die aanpak kiest, zit op de verkeerde weg.
Want het moet beter. Maar het mooie is: het
kan ook beter!
ROBBERT HOEFFNAGEL
is hoofdredacteur van Infosecurity
Magazine (NL/BE)
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 3
Inhoud
INFOSECURITY NUMMER 01 - MAART 2017 - JAARGANG 15
6
Technische storingen en menselijke fouten
vormen risico voor kritische IT-infrastructuur
12 Veilig gedrag van werknemers is nog ver
weg
15 Boek geeft IT-professionals uitleg over digitaal recht
16 90% mobiele gebruikers herkent besmetting
eigen smartphone niet
Dat veel mensen nauwelijks op de hoogte zijn van de
risico’s die zij lopen als zij een mobiel apparaat gebruiken, is door tal van onderzoeken reeds aangetoond. Dat
maar liefst 89 procent van de gebruikers aangeeft dat
zij geen idee hebben hoe zij moeten constateren of hun
mobiele apparaat al of niet besmet is, noemen researchers van Promon ronduit schokkend. “Dit levert dus een
heel gevaarlijke situatie op. We kunnen dit alleen maar
oplossen als we authenticatie volledig in mobiele apps
integreren”, meent Scott Clements, president en chief
operating officer van VASCO, een van de belangrijkste
aandeelhouders van Promon.
20 KPN Security Services signaleert toename
in uitwijktesten
22 Is antivirussoftware gevaarlijk?
24 Meer prioriteit voor certificaat- en sleutelmanagement
26 De top 5 IAM functionaliteiten die u niet mag
missen
28 Onderschat veiligheidsrisico: de bedreiging
van binnenuit
30 Elektronische handtekening ondersteunt
organisaties bij hun klantvriendelijke benadering
16
De wereld vertrouwt al duizenden jaren op de ouderwetse handtekening. Maar met de wens om papierloos
te werken, komt dit oeroude gebruik in het geding.
Wacom ontwikkelt daarom hardware om elektronische
handtekeningen te zetten die ook nog eens veiliger zijn.
Over de hele wereld worden de diensten van het van
oorsprong Japanse bedrijf gebruikt. In Frankrijk is het
notariaat bijvoorbeeld heel ver, en ook de honderden
vestigingen van Norauto slagen er in om hun customer
satisfaction naar een hoger plan te tillen.
32 ‘Cybersecurity moet weg van IT’
35 LegalLook
4 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
8
SPAM WEER
HELEMAAL TERUG
VAN WEGGEWEEST
Meer dan een derde van de organisaties die
in 2016 te maken had met een securitydoorbraak, heeft aanzienlijke schade geleden.
Dit blijkt uit het Cisco 2017 Annual Cybersecurity Report (ACR). Het rapport maakt deze
schade ook concreet: het gaat niet alleen
om omzetverlies, maar ook om klanten die
weglopen en zakelijke kansen die verdampen. Ook brengt het rapport securitytrends
in kaart evenals de barrières die bedrijven
ondervinden als zij zich tegen aanvallen willen wapenen. Opmerkelijk is dat spam weer
helemaal terug is van weggeweest en dat
Cisco er in is geslaagd de ‘time to detection’
meer dan te halveren: van 14 tot 6 uur.
6
15
12
20
22
11
NEDERLANDSE
BEDRIJVEN BESTEDEN
IT-BEVEILIGING
MASSAAL UIT
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 5
ONDERZOEK
sche en geopolitieke landschap en de
marktomgeving over de gehele wereld.
Buiten de traditionele risico’s van brand
en natuurrampen is een reeks van nieuwe risico’s in opkomst. Dit vereist een
nieuwe kijk op de huidige controle- en
risicomanagementinstrumenten.
Marktontwikkelingen
en volatiliteit
Marktontwikkelingen en volatiliteit (31%
van de respondenten) is op BI na het
belangrijkste bedrijfsmatige risico. In
Nederland wordt naast BI alleen cyber
als een nog grotere bedreiging gezien.
Het is de voornaamste reden tot zorg in
de luchtvaartindustrie, financiële dienstverlening, marine en transport en in
Afrika en het Midden-Oosten zelfs sector breed.Om te kunnen anticiperen op
plotselinge veranderingen van regels
die van invloed kunnen zijn op de markt,
moeten bedrijven meer kapitaal investeren om de politiek en het opstellen van
beleid in 2017 goed te monitoren. Volgens kredietverzekeraar Euler Hermes,
een dochteronderneming van Allianz
SE, worden er sinds 2014 wereldwijd
jaarlijks zo’n 600 tot 700 nieuwe handelsbelemmeringen opgesteld.
Digitalisering zorgt voor nieuwe
risico’s
Technische storingen
en menselijke fouten vormen
risico voor kritische IT-infrastructuur
Toenemende onderlinge verbondenheid en complexiteit en
doeltreffendheid van cyberaanvallen zijn niet alleen een
groot direct risico voor bedrijven, maar vormen ook een
indirect risico via risicogevoelige en kritische infrastructuren
zoals IT-, water- en stroomvoorzieningen. Het gevaar wordt
gevormd door technische storingen en menselijke fouten.
Beide kunnen leiden tot langdurige en wereldwijde verstoring van zowel de bedrijfsvoering als de supply chain.
Dit blijkt uit de zesde jaarlijkse Allianz Risk Barometer waarin bedrijfsrisico’s wereldwijd worden geanalyseerd en ook per regio, land, industriesector en
bedrijfsomvang uiteen worden gezet. Het bedrijfsle6 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
ven zou data moeten gaan beschouwen als een activa, stelt verzekeraar Allianz. Daarnaast moet men
de risico’s in kaart brengen rondom de beschikbaarheid van die data en het mogelijk verloren gaan dan
wel ontoegankelijk worden van data. Resultaten tonen aan dat het midden- en kleinbedrijf cyberrisico’s
zwaar onderschat: in deze categorie (omzet < € 250
miljoen) staat cyber pas op de 66ste plaats. Hoewel
een serieus incident wel degelijk aanzienlijke schade kan aanrichten.
Business Interruption blijft grootste zorg
Business Interruption (BI) blijft de lijst aanvoeren
voor het vijfde jaar op rij (37% van de respondenten). In eerste instantie omdat het kan leiden tot aan-
zienlijk omzetverlies, maar ook doordat
meerdere nieuwe triggers in opkomst
zijn en dan met name immateriële schades en risico’s, zoals cyberincidenten
en disruptieve schades door politiek
geweld, stakingen en terroristische
aanslagen. Deze trend wordt gedeeltelijk gedreven door de opkomst van ‘the
Internet of Things’ en de steeds grotere
wordende mate van onderlinge verbondenheid van machines, bedrijven en
hun supply chain, waarbij schades zich
eenvoudig kunnen verveelvoudigen in
geval van een incident. Bedrijven worden tevens geconfronteerd met potentiële financiële schades door het veranderende politieke landschap (Brexit,
Trump, aankomende EU verkiezingen
enz.) wat leidt tot angst voor toenemend
protectionisme en anti-globalisering.
“Wereldwijd bereiden bedrijven zich
voor op een jaar van onzekerheid”, vertelt Chris Fischer Hirs, CEO van AGCS
SE. “Ze zijn bezorgd over de onvoorspelbare veranderingen in het juridi-
Tegelijkertijd groeit en evolueert het gebruik van technologieën en automatisering. Dit ontwricht bedrijven in alle industriële sectoren. Hoewel digitalisering
nieuwe kansen met zich meebrengt,
verandert het de aard van de bedrijfsmiddelen van een voornamelijk fysieke
aard naar een meer immateriële. Ook
‘Het midden- en
kleinbedrijf onderschat
cyberrisico’s zwaar,
hoewel een serieus
incident wel degelijk
aanzienlijke schade
kan aanrichten’
kan in een gedigitaliseerde productieomgeving van Industry 4.0 een fout bij
het invoeren van data of het verkeerd
interpreteren van gegevens de productie stilleggen. Daarnaast zorgt de toenemende digitalisering en automatisering
voor cyberrisico’s (30% van de respondenten). Globaal gezien zetten bedrijven cyberrisico’s op de derde plek in de
lijst met voornaamste risico’s, waar het
in Amerika en Europa is gestegen naar
een tweede plaats en in Nederland,
Duitsland, het Verenigd Koninkrijk en
Zuid-Afrika zelfs als grootste bedreiging
wordt gezien. Tegelijkertijd is het voor
bedrijven in de informatie- en telecommunicatietechnologie en in de retail en
groothandel het grootste risico vanuit
wereldwijd perspectief.
European General Data
Protection Regulation
Het risico van nu gaat verder dan alleen
hacken, privacy en databreuk, alhoewel
nieuwe voorschriften op het gebied van
gegevensbescherming de negatieve
effecten voor het bedrijfsleven wel verergeren. Voor veel bedrijven is het vijf
voor twaalf als het gaat om de voorbereiding van de implementatie van de
European General Data Protection Regulation in 2018. Hoewel de kosten voor
het naleven van deze regels hoog zijn,
kunnen de boetes voor niet-naleving
zelfs vele malen hoger uitvallen. Natuurrampen (#4) en klimaatveranderingen/
toenemende weerschommelingen (respectievelijk 24% en 6% van de respondenten) staan dit jaar ook hoog op de
agenda van het bedrijfsleven, met name
in Azië waar vanuit kostenperspectief
de grootste ramp ter wereld van 2016
zich voltrok - de Kumamoto aardbeving
(Japan). Natuurrampen zijn een topprioriteit in Japan en Hongkong. In de
engineering & constructiesector en bij
energie- en nutsbedrijven is dit zelfs het
grootste risico over de hele linie.
Klimaatschades worden groter
“Natuurrampen en klimaatverandering
zorgen voor een grote mate van ongerustheid bij onze klanten en de samenleving”, vertelt Axel Theis, Board
Member van Allianz SE. “We moeten er
van uitgaan dat globale opwarming van
meer dan 1,5° Celsius klimaatschades
zal versterken, zoals hittegolven en een
significante stijging van de zeespiegel.
Het is onze taak als verzekeraar om voor
deze scenario’s oplossingen te ontwikkelen en samen met onze klanten en
publieke partners bescherming samen
te stellen door preventiemaatregelen en
verzekeringen voor diezelfde partijen.
VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 7
ONDERZOEK
CISCO PEILT WERKELIJKE SCHADE NA EEN SECURITYDOORBRAAK
Barrières
Daarnaast gaat het rapport in op de
mogelijkheden die securityteams hebben om zich te verdedigen tegen de
aanhoudende evolutie van cybercrime
en de steeds veranderende aanvalsmethoden. Voor de CSO’s die hun security
willen verbeteren zijn te weinig budget
(35 procent), gebrek aan productcompatibiliteit (28 procent), certificeringsproblemen (25 procent) en een tekort
aan getrainde securitymedewerkers (25
procent) de belangrijkste hindernissen.
Spam weer helemaal
terug van weggeweest
Meer dan een derde van de organisaties die in 2016 te
maken had met een securitydoorbraak, heeft aanzienlijke
schade geleden. Dit blijkt uit het Cisco 2017 Annual Cybersecurity Report (ACR). Het rapport maakt deze schade ook
concreet: het gaat niet alleen om omzetverlies, maar ook
om klanten die weglopen en zakelijke kansen die verdampen. Ook brengt het rapport securitytrends in kaart evenals
de barrières die bedrijven ondervinden als zij zich tegen
aanvallen willen wapenen. Opmerkelijk is dat spam weer
helemaal terug is van weggeweest en dat Cisco er in is
geslaagd de ‘time to detection’ meer dan te halveren: van
14 tot 6 uur.
8 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
Securitydoorbraak?
Een op de vijf klanten weg
Het Cisco-rapport laat de concrete impact zien van
aanvallen op bedrijven, van MKB tot enterprise. Bij
meer dan de helft van de bedrijven die met een securitydoorbraak te maken kregen, kwam deze doorbraak in de openbaarheid. De gevolgen:
• 22 procent van de getroffen organisaties verloor klanten - 40 procent verloor zelfs meer dan
20 procent.
• 29 procent verloor omzet - bij twee op de vijf
bedrijven was dat meer dan 20 procent.
• 23 procent zag zakelijke kansen verdampen na
een geslaagde aanval, 42 procent van hen verloor meer dan 20 procent.
•
Operationele en financiële systemen werden het meest getroffen,
verder werd de merkreputatie aangetast.
Als het kalf verdronken is…
Het rapport bevestigt wat we eigenlijk
wel weten: er moet eerst iets misgaan
voordat er actie wordt ondernomen.
De schade die een cyberaanval oplevert zet organisaties tot actie aan. Maar
liefst negentig procent van de getroffen
organisaties heeft na de aanval hun verdediging tegen dreigingen verbeterd.
De belangrijkste maatregelen waren
het scheiden van IT- en securityfuncties
(38 procent), het aanbieden van meer
bewustzijnstrainingen aan werknemers
(38 procent) en het implementeren van
technologie om de risico’s te verkleinen
(37 procent).
van derden - bedoeld om nieuwe zakelijke kansen te benutten en om de efficiency te verbeteren - vallen in de categorie ‘hoog risico’.
Verder hebben securityafdelingen te
maken met een toenemende complexiteit van hun omgeving. Twee derde van
de organisaties gebruikt meer dan vijf
securityproducten - 6 procent heeft meer
dan 50 securityproducten geïmplementeerd - wat de kans op gaten in de security sterk vergroot. En zoveel producten
zoveel leveranciers: 55 procent van de
respondenten werkt met meer dan vijf
leveranciers, 3 procent zelfs met meer
dan 50 securityleveranciers.
De explosieve groei van het aantal applicaties zorgt voor een forse toename van
het securityrisico. Als bedrijven naar de
cloud gaan, wordt ook de ‘security perimeter’ - het hek rond de infrastructuur
sterk uitgebreid. Elke cloudapplicatie
die wordt toegevoegd rekt dat hek verder op. Zeker als werknemers dat zelf
(mogen) doen. Vaak wordt het oogluikend toegestaan omdat het de productiviteit ten goede komt. Maar het raakt
de security van de bedrijfsinfrastructuur
omdat ze met de eigen (private) cloud
en SaaS-platforms kunnen communiceren, zodra de toegang wordt gegeven via open authentication (OAuth).
Applicaties die hier gebruik van maken
hebben zeer uitgebreide en soms zelfs
buitensporige toegangsmogelijkheden.
Aan te raden is dus dat deze applicaties
zorgvuldig beheerd moeten worden.
Steeds korter onder de radar
‘Klassiek’ weer in de mode
Gezien deze aanvallen is het belangrijk
om te kunnen vaststellen of de securityaanpak effectief is. Cisco houdt bij hoe
snel dreigingen ontdekt worden (‘time to
detection’) nadat ze zijn binnengedrongen. Snelle ontdekking van een dreiging
is belangrijk om de bewegingsruimte
van de aanvallers zoveel mogelijk te
beperken en de schade te minimaliseren. Cisco is er in geslaagd om in het
afgelopen half jaar deze ‘time to detection’ ruim te halveren: van 14 uur naar 6
uur. Dit cijfer is gebaseerd op gegevens
afkomstig van Cisco-securityproducten
wereldwijd en zijn verzameld met toestemming van de gebruiker.
Cybercriminelen proberen gaten in de
beveiliging weer te benutten met ‘klassieke’ aanvalsmethoden, zoals adware
en e-mail spam. Het spamvolume is, na
enkele jaren van daling, weer terug op
het recordpeil van 2010. Vooral de tweede helft van 2016 heeft een sterke groei
laten zien. In de daaraan voorgaande
periode hebben betere antispam-technologieën en een succesaanpak van
enkele grote spamverspreiders geholpen om spam terug te dringen.
In 2016 werd hacken steeds meer een
‘zakelijke activiteit’. Snelle technologische veranderingen, aangejaagd door
digitalisering, bieden ook cybercriminelen nieuwe kansen. Zoals gezegd blijven aanvallers gebruik maken van vertrouwde technieken, maar zij maken ook
gebruik van nieuwe methoden, bijvoorbeeld gericht op de middleware-laag
waar organisaties lang niet altijd zicht
op hebben.
Meer risico in de cloud
Cloudmogelijkheden kunnen een risico
vormen: 27 procent van door werknemers geïntroduceerde cloudapplicaties
De Cisco-onderzoekers schrijven de
stijging van het spamvolume in 2016 toe
aan een nieuw botnet (Necurs). Bijna
twee derde van het e-mailvolume bestaat uit spam en 8 tot 10 procent daarvan is kwaadaardig.
Ook ouderwetse adware, software die
zonder toestemming van de gebruiker
advertenties downloadt, blijft succesvol.
Driekwart van de onderzochte organisaties heeft hier mee te maken gehad.
Een lichtpuntje is dat het gebruik van
grote exploit kits zoals Angler, Nuclear
en Neutrino is afgenomen doordat de
eigenaren werden aangepakt. Kleinere
spelers vullen echter het gat snel op.
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 9
ONDERZOEK
ONDERZOEK
voudigen van hun verzameling securitytools door over te stappen op
een geïntegreerde architectuur die
naadloze uitwisseling van informatie tussen de verschillende securitycomponenten mogelijk maakt.
Ook verdergaande automatisering
en stroomlijning van de detectie- en
responsprocessen wordt veel eenvoudiger.
Overbelast: helft van meldingen
niet gecheckt
Volgens het rapport wordt per dag
slechts 56 procent van alle securitymeldingen onderzocht. Van de meldingen
die wel worden onderzocht is van 28
procent vastgesteld dat ze geen vals
alarm zijn. Van de legitieme meldingen
wordt vervolgens minder dan de helft
daadwerkelijk aangepakt. In cijfers ziet
dit probleem er als volgt uit:
Als een organisatie per dag 5.000 meldingen krijgt, betekent dat:
• 2.800 meldingen (56 procent) worden onderzocht en 2.200 niet (44
procent)
• Van de onderzochte meldingen zijn
er 784 alerts (28 procent) legitiem,
terwijl 2016 meldingen (72 procent)
vals alarm zijn.
• Van deze legitieme meldingen worden er 360 (46 procent) aangepakt,
terwijl met 424 van deze legitieme
meldingen (54 procent) niets wordt
gedaan.
Zorgwekkende cijfers, die de vraag
oproepen wat voor soort meldingen
er zo doorheen glipt. Zijn dat low-level
dreigingen die niet veel meer doen dan
spam verspreiden, of zijn het meldingen
van dreigingen die de voorbode zijn van
een ransomware-aanval of die het netwerk platleggen? De enige manier om
meer meldingen te kunnen onderzoeken
is securityautomatisering en werkelijk
geïntegreerde securityoplossingen. Automatisering van detectie en onderzoek
zorgt voor aanzienlijke verlichting van
het werk, waardoor ook het tekort aan
securityprofessionals minder voelbaar
wordt.
Risico blijft
Dat er zoveel securityincidenten niet
onderzocht kunnen worden betekent
natuurlijk dat de organisatie risico blijft
lopen. Zullen de dreigingen uiteindelijk
een impact hebben op de productiviteit,
de klanttevredenheid en het vertrouwen
in de onderneming? Volgens de respondenten kunnen zelfs kleine securitydoorbraken op de lange termijn vervelende
gevolgen hebben.
Zelfs als de financiële schade relatief
beperkt was en de besmette systemen
gemakkelijk op te sporen waren, worden
ook deze kleinere doorbraken als een
significant probleem gezien vanwege
de stress voor de organisatie.
Volgende stappen
Verdedigers zeggen weliswaar vertrouwen te hebben in hun tools, maar
moeten vechten tegen complexiteit en
gebrek aan mankracht. Het kan niet
missen dat aanvallers dit uitbuiten. Het
rapport raadt aan de volgende stappen
te zetten om risico’s te minimaliseren en
dreigingen te voorkomen, te detecteren
en weg te nemen:
• Zorg dat security een zakelijke prioriteit is. De top van het bedrijf moet
het belang van security uitdragen
en als een prioriteit financieren.
• Breng operationele effectiviteit in
kaart: evalueer securityaanpak,
patchprocessen, toegang tot het
netwerk, applicaties, functionaliteiten en data.
• Test de effectiviteit van security: stel
duidelijke meetcriteria op. Gebruik
deze om de securityaanpak te valideren en te verbeteren.
• Een belangrijke stap die organisaties kunnen nemen is het vereen-
10 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
Kortom, kies voor een geïntegreerde
benadering van de verdediging: zet integratie en automatisering hoog op de
lijst om de zichtbaarheid te verbeteren,
de onderlinge samenwerking te stroomlijnen, de tijd tot ontdekking te verkorten
en aanvallen te stoppen. Securityteams
kunnen zich vervolgens richten op het
onderzoeken en tegengaan van werkelijke dreigingen.
MICHEL SCHAALJE,
technisch directeur Cisco Nederland
Stand van zaken rond
de security
Het Cisco Annual Cybersecurity
Report onderzoekt de meest recente
dreigingsinformatie, verzameld door
security-experts van Cisco, om
inzicht te krijgen in securitytrends
bij klanten. Voor het rapport zijn ook
bijna 3.000 chief security officers
(CSO’s) en security operations-teamleiders uit dertien landen ondervraagd. Het wereldwijde rapport,
dat dit jaar voor de tiende maal is
verschenen, geeft aan wat momenteel de belangrijkste securityuitdagingen zijn.
Nederlandse bedrijven
besteden IT-beveiliging massaal uit
85% van de Nederlandse bedrijven met tenminste 10
werknemers geeft aan in 2015 werkzaamheden te hebben uitgevoerd op het gebied van ICT-beveiliging. Denk
hierbij aan de bescherming van data, het uitvoeren van
beveiligingstests en het maken of onderhouden van beveiligingssoftware. Driekwart van de bedrijven kiest ervoor dit soort werkzaamheden uit te besteden aan een
derde partij.
Dit blijkt uit de Cybersecuritymonitor van het Centraal
Bureau voor de Statistiek (CBS). Het aandeel bedrijven
dat ICT-beveiligingswerk uitbesteedt varieert aanzienlijk en is onder andere afhankelijk van de omvang van
een bedrijf. Zo besteedt 79% van de kleinste bedrijven
deze werkzaamheden uit, terwijl dit percentage onder
de grootste bedrijven op 43% ligt. Dit verschil is volgens het CBS in belangrijke mate te verklaren door
het ontbreken van voldoende kennis en kunde bij veel
kleinere bedrijven om ICT-beveiligingswerk zelf uit te
voeren.
ICT-sector is een uitzondering
De ICT-sector is hierop een duidelijke uitzondering.
Alleen in deze sector kiest het overgrote merendeel
(70%) van de bedrijven ervoor ICT-beveiligingswerk
in eigen beheer uit te voeren. CBS merkt op dat dit
beeld enigszins wordt vertekend door het feit dat ook
ICT-beveiligingsbedrijven onderdeel uitmaken van
deze sector. Deze bedrijven zijn gespecialiseerd in
ICT-beveiliging, wat het voor de hand liggend maakt
dat zij ICT-beveiligingswerk zelf uitvoeren.
In andere sectoren kiest het merendeel van de bedrijven dus ervoor ICT-beveiliging uit te besteden. Zo
voert 47% van de financiële instellingen ICT-beveiligingswerk zelf uit. In de bouwnijverheid, de horeca
en de gezondheidszorg besteden bedrijven dit werk
praktisch allemaal uit. Ook dit is volgens het CBS te
verklaren door een gebrek een de benodigde kennis
en kunde om dit werk zelf uit te voeren. Daarnaast
hebben deze partijen niet altijd de middelen om hier
iemand voor aan te nemen en is het ook niet altijd
nodig een voltijds ICT-beveiligingswerker in dienst te
nemen.
Het 2017-rapport bevat ook de
belangrijkste bevindingen van de
derde jaarlijkse Cisco Security Capabilities Benchmark Study (SCBS)
die onderzoekt wat het beeld is dat
securityprofessionals hebben van de
stand van zaken rond de security in
hun organisatie. Er wordt gekeken
naar geopolitieke trends, wereldwijde ontwikkelingen rond datalokalisatie en het belang van cybersecurity
als onderwerp voor de raad van
bestuur.
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 11
ONDERZOEK
als gevolg van de ondoordachte manier
waarop mensen in hun werk met informatie omgaan.
ZWERFINFORMATIE GROTE
BEDREIGING VOOR
INFORMATIEVEILIGHEID
Veilig gedrag
van werknemers is nog ver weg
Elke organisatie, zowel de kleinere als de grotere, staat voor
de uitdaging om de informatieveiligheid te waarborgen.
Investeren in security-technologie ligt dan voor de hand.
Maar als medewerkers ‘onbewust onbekwaam’ met de risico’s omgaan, helpt zelfs de meest geavanceerde technologie niet. Uit onderzoek van Veenman blijkt dat organisaties
zich dat onvoldoende realiseren: zij denken dat de grootste
bedreiging voor de informatieveiligheid van buiten komt.
De belangrijkste conclusie van het onderzoek is echter dat
de grootste bedreiging van binnenuit komt: onveilig gedrag
van medewerkers en het ontstaan van zwerfinformatie.
Over cybercriminaliteit en het lekken van gegevens
staan de kranten vol. En dat de manier waarop
mensen met informatie omgaan risico’s oplevert is
bekend. Maar in welke mate zijn medewerkers zich
12 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
bewust van de impact van hun gedrag op de veiligheid? En wat doen organisaties om hun informatieveiligheid te verbeteren? Leggen zij de focus op
de techniek of de gedragskant, of zijn beide net zo
belangrijk? Veenman, specialist op het gebied van
documentmanagement- en informatievraagstukken
en visual solutions, heeft dit onlangs laten onderzoeken.
Zwerfinformatie
Gezien alle aandacht voor zaken zoals ransomware,
hackers en digitale bedrijfsspionage en pogingen
van bepaalde mogendheden om in andere landen
verkiezingen te manipuleren, is het niet vreemd
dat veel ondervraagden denken dat het gevaar
van buiten komt. Toch blijkt uit het onderzoek van
Veenman dat de dreiging ‘van binnenuit’ veel groter is. Volgens het onderzoek is het grootste risico
dat informatie fysiek of digitaal gaat rondslingeren
Deze rondslingerende informatie wordt
in het onderzoek ‘zwerfinformatie’ genoemd. Dat kan bijvoorbeeld gaan om
prints of USB-sticks die achterblijven op
de werkplek. Maar denk ook aan werknemers die hun laptop in de auto laten
liggen. Als die laptop gestolen wordt,
kan alle bedrijfsinformatie in verkeerde
handen komen. Als het dan ook nog privacygevoelige informatie betreft, moet
de diefstal in het kader van de meldplicht
datalekken officieel worden gemeld bij
de Autoriteit Persoonsgegevens. Onveilig gedrag is bijvoorbeeld het klikken
op een schadelijke link in een e-mail of
het gebruik van publieke diensten, zoals Dropbox en WeTransfer, om zakelijke
informatie uit te wisselen. Of een e-mail
met een bijlage met salarisgegevens die
per ongeluk aan de verkeerde personen
wordt gestuurd. Wat ook voorkomt is
dat documenten worden rondgestuurd,
zonder dat de verzender controleert of
iedereen op de verzendlijst wel gerechtigd is die informatie te ontvangen.
Het probleem voor de security is dat
medewerkers zich niet of nauwelijks bewust zijn van de waarde van privacy- en
concurrentiegevoelige informatie. Daarbij komt dat werknemers ook niet weten
wat zij precies moeten doen om zwerfinformatie te voorkomen.
Onbewust onbekwaam
Door de voortschrijdende digitalisering is informatieveiligheid een steeds
complexer domein geworden. Voor het
onderzoek is de borging van informatieveiligheid daarom benaderd vanuit een
overzichtelijke driehoek met als hoekpunten:
•
•
•
Bewustzijn van mensen (kennen zij
de waarde van informatie en van
mogelijke gevaren?)
De techniek (adequate beveiligingssoftware en –hardware)
Het gedrag van mensen (vertonen
zij het juiste gedrag als het om veiligheid gaat?)
Voor optimale veiligheid moeten de drie
punten een solide geïntegreerd geheel
vormen. Bij informatieveiligheid van
organisaties is ICT - de techniekhoek traditioneel in de lead, terwijl het meren-
deel van de respondenten van mening
is dat met alleen technische oplossingen de informatieveiligheid niet gegarandeerd kan worden. Zij vinden dat de
menskant minstens zo belangrijk is. Nu
weet iedereen eigenlijk wel dat als het
om security gaat de mens uiteindelijk de
zwakke schakel is. Het onderzoek kijkt
daarom dieper naar de bewustzijns- en
gedragsaspecten en de oorzaken daarvan.
Onbewust bekwaam
Als bewustzijn en gedrag nader worden
bekeken, dan blijkt dat veel mensen als
het ware ‘onbewust onbekwaam’ met
informatie omgaan. Mensen blijken zich
gewoon niet of onvoldoende bewust van
de waarde van de informatie waar ze
mee werken. Zij kunnen zich soms ook
niet eens voorstellen dat bedrijfsinformatie voor andere partijen waarde heeft.
Daarnaast zijn zij zich ook vaak onbewust van wat de gevolgen kunnen zijn
van de manier waarop zij met informatie
omgaan. Tot slot speelt ook het gedrag
een belangrijke rol. Een berucht voorbeeld: ondanks talloze waarschuwingen
om niet op links in mails van onbekenden te klikken, gebeurt dat desondanks
maar al te vaak. Het streven moet dus
zijn dit alles zodanig te veranderen dat
mensen ‘onbewust bekwaam’ worden in
veilig omgaan met informatie. Dit wordt
in de weg gestaan door:
•
Consumentisme. Medewerkers nemen hun gedrag als privé informatieconsument mee naar hun werk.
Dat creëert grote veiligheidsrisico’s
als zij zich niet bewust zijn dat de
bedrijfsinformatie die ze prijsgeven, een heel andere impact kan
hebben dan het prijsgeven van privé-informatie.
•
Bestanden zijn net water: ze volgen de weg van de minste weerstand. Mensen willen gemakkelijk
hun werk kunnen doen en zonder
drempels of beperkingen informatie uitwisselen. Net als in hun privésituatie. Ze zijn zich echter niet
bewust van het informatiespoor dat
ze achterlaten en hoe anderen hier
misbruik van kunnen maken.
Daarnaast blijkt uit het onderzoek dat
het gros van de medewerkers niet weet
wat binnen hun organisatie wordt verstaan onder informatieveilig werken.
Men kent het beleid hiervoor gewoonweg niet. Waar nog bijkomt dat uit het
onderzoek naar voren komt dat in veel
organisaties nog geen strak informatieveiligheidsbeleid is vastgesteld. Solide
securityprocedures ontbreken soms en
als ze er zijn laat de communicatie erover vaak te wensen over. Ook blijkt dat
niet of nauwelijks is doorgedrongen dat
informatieveiligheid een gemeenschappelijke verantwoordelijkheid is van de
organisatie én van alle medewerkers.
Het wordt te veel gezien als een verantwoordelijkheid van de organisatie.
Groot vliegwiel
Positiever is dat driekwart van de organisaties op een of andere manier bezig is
met bewustzijnsontwikkeling, een kwart
besteedt daar helemaal geen aandacht
aan. Dat het groeitempo van het veiligheidsbewustzijn niet synchroon loopt
met de technologische ontwikkelingen
vormt een behoorlijke uitdaging. Informatieveiligheid is als het ware een groot
vliegwiel dat langzaam op gang komt.
Veel organisaties blijken zich nog in de
beginfase van de weg naar bewustzijnsverandering te bevinden.
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 13
ONDERZOEK
PUBLICATIE
Geen zwerfinformatie meer
Het onderzoeksrapport komt ook met
een aantal aanbevelingen om zwerfinformatie tegen te gaan:
• Bepaal of er nieuwe en/of additionele technologische oplossingen nodig zijn, bijvoorbeeld oplossingen
die gebruikersvriendelijker werken
en beter voldoen aan de behoeften
van de medewerkers .
• Communiceer over het beleid en de
risico’s van zwerfinformatie, en blijf
dat regelmatig doen.
Je kunt zwerfinformatie alleen bestrijden
als goed in kaart is gebracht welke informatie geen duidelijke plek heeft binnen
de primaire processen en daardoor op
allerlei plekken bewaard wordt, zoals
laptops, USB-sticks, bureaus en de voor
iedereen toegankelijke ‘public cloud
storage’ platformen zoals Dropbox, WeTransfer en Google Drive.
Begin daarom bij de technologische
kant van de informatieveiligheidsdriehoek. Wat zijn de reeds aanwezige softwarepakketten of -applicaties en welke
mogelijkheden worden daarbinnen geboden voor optimalisatie van werkprocessen en het ondersteunen van specifieke behoeften van medewerkers? Dit
kan voorkomen dat medewerkers zogenaamde ‘workarounds’ rondom de bestaande applicaties bedenken. Achterhaal ook welke eventuele workarounds
mogelijk zijn, waarom medewerkers
daar gebruik van maken en welke risico’s dit met zich meebrengt.
Als blijkt dat de mogelijkheden van
bestaande softwarepakketten niet volstaan, of als aanpassingen niet efficiënt
toegepast kunnen worden om te voldoen aan de behoefte van de medewerkers, is het interessant om te gaan kijken
welke alternatieven wél kunnen voorzien
in deze behoefte. Dat kan de kans op
onveilig omgaan met informatie drastisch verkleinen.
Zwerfinformatie hoeft niet in alle gevallen een veiligheidsprobleem op te leveren. Dat gebeurt pas als de veiligheid
in het geding komt en dat hangt dus af
van de aard van de informatie. Privacygevoelige of concurrentiegevoelige informatie levert voor de organisaties een
veel groter risico op dan andersoortige
informatie.
Boek geeft
Wie initieert het informatieveiligheidsbeleid?
Informatiebeveiliging is niet alleen
ICT-security, daar komt veel meer bij
kijken. Het is een verantwoordelijkheid
van de gehele onderneming, van hoog
tot laag. Een speciale functionaris gegevensbescherming (FG) oftewel data
protection officer (DPO) kan een spin in
het web zijn om iedereen in de organisatie, van hoog tot laag, bewust te maken,
te trainen en te auditen.
Wie is waar verantwoordelijk voor als er
iets mis gaat? Naast helder communiceren wat wel en niet mag, zijn er ook
vele trainingen of seminars beschikbaar
waarin medewerkers bewust worden
gemaakt van de risico’s van zwerfinformatie. Zwerfinformatie als symptoom
bevindt zich ook aan de outputkant, het
‘einddocument’,
zoals de print, de factuur of aantekeningen op flipovers. Dit laatste is op te
lossen door bijvoorbeeld een digitaal
bord waar aantekeningen op gemaakt
kunnen worden. De notities kunnen direct na een meeting digitaal met de aanwezigen worden gedeeld en vervolgens
van het bord worden verwijderd.
Bepaal op welk niveau de verschillende informatie beschermd moet worden.
Kroonjuwelen verdienen natuurlijk een
ander informatiebeleid en daarmee een
ander beschermingsniveau dan gegevens die openbaar beschikbaar mogen
zijn. Kijk tot slot goed naar de kosten en
baten. Het heeft immers weinig zin geld
uit te geven aan bescherming van informatie die geen schade oplevert als het
in verkeerde handen komt.
EVELIEN ROOS, Business Solutions
Manager bij Veenman
Het rapport ‘Zwerfinformatie - Zonder omwegen goed en
veilig werken met informatie’ is in opdracht van Veenman
uitgevoerd in het najaar van 2016. Het is een benchmark
over informatieveiligheid waaraan bijna 170 personen
hebben deelgenomen. De hoogste respons kwam van
zakelijke dienstverleners (26%). Ook financiële dienstverleners (13%) en overheden (17%) zijn ruim vertegenwoordigd. Het zwaartepunt van de deelnemers ligt bij
ICT-managers (25%). Information security officers en leden van de algemene directie zijn beide goed voor 16%
van de respons. Daarnaast is de financiële directie met
5% vertegenwoordigd. In dit onderzoek heeft 33% van de organisaties tussen
de 20 en 100 medewerkers, 19% tussen de 100 en 1.000 medewerkers en 17%
meer dan 1.000. Ook de fysieke structuur van een organisatie is van invloed
op de informatieveiligheid. Wanneer de werkzaamheden op meerdere locaties
worden uitgevoerd, stijgen de veiligheidsrisico’s. Ruim de helft van de responderende bedrijven heeft 1 tot 10 vestigingen; 40% heeft 11 tot 20 vestigingen.
De overige 10% heeft tussen de 20 en 300 vestigingen of meer. Het volledige
rapport is te downloaden via www.zwerfinformatie.nl.
14 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
IT-professionals uitleg
over digitaal recht
Het gebruik van een door een andere partij ontwikkelde
Application Programmering Interface is wellicht technisch
gezien heel handig, maar mag dat eigenlijk wel? Is bij die
API bijvoorbeeld wel afdoende rekening gehouden met
Nederlandse en Europese wet- en regelgeving? En mag u
zelf ‘zomaar’ een API ontwikkelen en aan andere partijen
ter beschikking stellen? Een nieuw boek probeert IT-professionals met dit soort onderwerpen op weg te helpen.
Van API tot algoritme
Met alle ontwikkelingen op het gebied van privacy, algoritmes, API’s, machine learning en IT-security krijgen
IT-managers en -professionals meer en meer te maken
met wet- en regelgeving. Het boek ‘Digitaal recht voor
IT professionals’ is tot stand gekomen onder redactie
van mr Victor de Pous, columnist van onder andere
CloudWorks en Infosecurity Magazine. Hij heeft een
aantal juristen gevraagd om een groot aantal belangrijke technische ontwikkelingen te behandelen. Daarbij leggen zij uit wat IT-specialisten moeten weten van
de wet- en regelgeving die voor deze thema’s belangrijk zijn.
Gewone mensentaal
Dat heeft geleid tot een ruim 170 pagina’s en dertig
hoofdstukken dik boek waarin in ‘gewone mensentaal’
wordt uitgelegd wat de juridische kant van deze ITtrends is. Interessant genoeg levert dit artikelen op die
niet alleen tot doel hebben om uit te leggen wat wel of
niet mag. Minstens zo interessant is het feit dat kennis
hebben van - wat juristen noemen - ‘het rechtskader’
juist veel meer inzicht geeft in hoe bepaalde technologische ontwikkelingen optimaal kunnen worden benut.
De wet geldt daarbij als - zeg maar - de ondergrens
die aangeeft wat wel mag of wat niet. Maar inzicht
hebben in dit rechtskader biedt natuurlijk ook de mogelijkheid om - bijvoorbeeld - op basis van de juridische kant van technologie onderscheidend vermogen
tot stand te brengen. In een tijd van digitale transformatie kan dat wel eens een erg belangrijk wapen in de
concurrentiestrijd blijken.
Privacy en social media
De onderwerpen die in dit boek aan bod komen zijn
zeer divers. Ze variëren van het eigendom van software en licenties tot privacy en social media. En van
encryptie tot API’s en smart cities. Het boek is tot stand
gekomen via een samenwerking van juridische uitgeverij deLex en de Special Interest Group IT en Recht
van Ngi-NGN. Dit is de Nederlandse beroepsvereniging van en voor ICT-professionals en -managers.
VAN DE REDACTIE
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 15
AUTHENTICATIE
SCOTT CLEMENTS (VASCO)
BREEKT LANS VOOR INTEGRATIE
VAN AUTHENTICATIE IN APPS
hardware security-tokens voor de bancaire wereld. In Nederland is bijvoorbeeld Rabobank een grote klant. Waar
veel klanten van Rabobank jarenlang
deze toestellen hebben gebruikt bij
online bankieren, zien we inmiddels de
aandacht meer en meer verschuiven
naar softwaretokens voor authenticatie.
“Door onze focus op de bancaire sector
hebben we enorm veel ervaring opgedaan met het beschermen van (privacy)
gevoelige transacties. De software die
wij hiervoor hebben ontwikkeld, hebben
we in eerste instantie geïmplementeerd
in een hardware token. De hardware
token zoals wij die aan onder andere
Rabobank leveren is daarbij in feite niet
meer dan de drager van de software. De
security-aanpak van VASCO zit in die
software. Diezelfde software breiden we
continu verder uit en stellen we ook op
andere manieren aan onze klanten ter
beschikking.”
Van hardware tot API
90%
mobiele
gebruikers herkent besmetting
eigen smartphone niet
Dat veel mensen nauwelijks op de hoogte zijn van de risico’s die zij lopen als zij een mobiel apparaat gebruiken,
is door tal van onderzoeken reeds aangetoond. Dat maar
liefst 89 procent van de gebruikers aangeeft dat zij geen
idee hebben hoe zij moeten constateren of hun mobiele apparaat al of niet besmet is, noemen researchers van
Promon ronduit schokkend. “Dit levert dus een heel gevaarlijke situatie op. We kunnen dit alleen maar oplossen
als we authenticatie volledig in mobiele apps integreren”,
meent Scott Clements, president en chief operating officer
van VASCO, een van de belangrijkste aandeelhouders van
Promon.
16 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
Promon levert een technologie die Runtime Application Self-Protection of RASP wordt genoemd. “RASP
is een aanpak waarbij de app als het ware zichzelf
beschermt”, vertelt Clements. “Bij traditionele methoden voor het beveiligen van apps wordt een security-laag over de functionaliteit van de software
gelegd. Dat werkte lange tijd best aardig, maar
naarmate cybercriminelen technologisch geavanceerdere tools inzetten, is dit model niet meer houdbaar. Want is de cybercrimineel eenmaal door die
security-laag heen gebroken, dan is de functionaliteit van de app verder geheel onbeschermd en kan
de crimineel doen wat hij wil. Bij gebruik van Runtime Application Self-Protection is de beveiliging
niet iets dat achteraf aan de app wordt toegevoegd,
maar is security volledig in de functionaliteit van de applicatie geïntegreerd.”
Shield
De RASP-technologie van het Noorse
Promon heet Shield en maakt al enige
tijd deel uit van het DIGIPASS for Apps
geheten security-platform van VASCO.
DIGIPASS for Apps is in feite een zogeheten ‘software development kit’ (SDK).
Daarmee kunnen developers security
features volledig in een mobiele app integreren.
Authenticatie
De deelname van VASCO in Promon
speelt een belangrijke rol in de strategie die Clements in zijn nieuwe rol als
president en Chief Operating Officer
heeft uitgestippeld. VASCO is al jaren
een belangrijke speler in de wereld van
Clements: “Het is aan onze klanten om
te bepalen hoe zij authenticatie precies
willen toepassen. Dat kan per transactie of inlogpoging, maar we kunnen
het ook volledig integreren in een app.
In dat geval kan de developer authenticatie rechtstreeks in de code van de
app opnemen. Daarnaast zien wij ook
de opkomst van API’s ofwel Application
Programming Interfaces. Voor authenticatie betekent dit dat de developer niet
zelf securityfuncties in de app hoeft in te
bouwen, maar dat hij dit als het ware uitbesteedt aan een andere partij. Op zijn
beurt stelt die andere partij deze security-functionaliteit in de vorm van een API
beschikbaar aan anderen.”
Clements benadrukt dat al deze vormen
van authenticatie deel uitmaken van de
strategie van VASCO. Vandaar dat het
bedrijf nog altijd hardwarematig ondersteunde authenticatie levert, maar ook
DIGIPASS for Apps heeft ontwikkeld en
onlangs dus heeft uitgebreid met Promons RASP-technologie. Daarnaast investeert het concern ook in API’s.
‘Bij gebruik van
Runtime Application
Self-Protection is
security volledig in
de functionaliteit
van de applicatie
geïntegreerd’
goed weten hoe zo’n API voor authenticatie in elkaar zit. Wat doet de API nu
precies? Is dat gedocumenteerd? Voldoet het aan alle relevante compliance-eisen en standaarden? Bij puur op
technische functionaliteit gerichte API’s
zien we dat er al veel werk is verzet om
deze ‘mutual reliance’ op een goede
manier vorm te geven. In de wereld van
(privacy)gevoelige transacties moeten
op dit punt nog een paar stappen worden gezet. Maar dat we over enige tijd
op authenticatie gerichte API’s gaan krijgen, daar ben ik van overtuigd. En met
zijn enorme ervaring rond het opbouwen
en onderhouden van trust in de bancaire sector zal VASCO daar zonder twijfel
een belangrijke rol in spelen.”
Onveilige publieke wifi
Terwijl aan de ene kant dus aan op authenticatie gerichte API’s wordt gewerkt,
is Clements tegelijkertijd erg enthousiast over RASP als security-methode.
“Het is een belangrijke pijler onder het
proces van ‘digital transformation’ dat
veel organisaties momenteel doorlopen.
Daarbij digitaliseren bedrijven zoveel
mogelijk werkprocessen. Tegelijkertijd zien we dat wij als privépersonen
ons leven ook steeds meer digitalise-
Trust is cruciaal
Het is echter nog erg vroeg als het gaat
om API’s op het gebied van authenticatie, meent Clements. “We kijken er zeker
naar en we doen ook al heel wat R&D op
dit gebied. ‘Trust’ is in de wereld waarin
wij actief zijn echter een zeer belangrijk
thema. Een business-organisatie maar
ook een developer wil natuurlijk wel heel
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 17
AUTHENTICATIE
ren. Als ik in een trein of metro zit, zie
ik veel mensen een spelletje spelen op
hun smartphone. Veel van die games
bieden de mogelijkheid om binnen het
spel aankopen te doen. Geen gamer wil
dan wachten tot hij of zij thuis is om in
een veilige wifi-omgeving die aankoop
te doen. Maar een publieke wifiverbinding is per definitie onveilig. Niet iedereen weet dat, maar we zien mensen die
het wel beseffen, toch in een game iets
willen kopen en dus de neiging hebben
om de gok te wagen en die transactie te
doen, ook bij gebruik van een onveilig
netwerk. Gezien hun fascinatie voor die
game is dat misschien nog wel te begrijpen ook, maar het is levensgevaarlijk
om een financiële transactie te doen via
een onveilige publieke verbinding.”
Juist voor dit soort situaties is RASP een
uitkomst. “Doordat security helemaal
in de app verweven zit, kun je dit soort
aankopen altijd doen, ook als je van
een onbekende wifiverbinding gebruik
maakt. Een cybercrimineel kan nu eenmaal de macht over een met RASP beschermde app niet overnemen.”
Niet verantwoordelijk
Clements noemt het ‘zorgwekkend’ dat
4 op de 10 respondenten in het eerder
genoemde onderzoek van Promon aangeven dat zij zichzelf in een publieke
omgeving voldoende beschermd voelen zolang zij maar geen belangrijke
informatie raadplegen. En dat terwijl zij
ICT en Security Trainingen
verbonden zijn met een mogelijk onveilig wifinetwerk. “Zij realiseren zich kennelijk niet dat zij ook dan grote risico’s
lopen. Een gevaarlijke misvatting van
veel gebruikers is bovendien dat zij denken dat banken zorgen voor een volledig veilige betaalapp. Banken kunnen
de toegang tot de app beveiligen, maar
dat de gebruiker zelf verantwoordelijk is
voor een veilige verbinding wordt daarbij vaak over het hoofd gezien.”
“Als veel gebruikers zich niet verantwoordelijk voelen voor de security rond
betaalapps, dan is het met name aan
banken om te zorgen dat online bankieren toch veilig kan gebeuren. Daarbij
is voorlichting uiteraard erg belangrijk.
Maar we ontkomen er niet aan om ook
nieuwe technische stappen te zetten.
Betaalapps - maar hetzelfde geldt voor
games en andere apps - kunnen met
RASP-technologie uitstekend beveiligd
worden. Hierdoor kunnen deze apps
ook in onveilige omgevingen toch op
een veilige en verantwoorde manier
worden gebruikt.”
VAN DE REDACTIE
TSTC is een gerenommeerd IT opleidingsinstituut en erkend specialist in informatiebeveiliging- en cybersecurity trainingen.
Security professionals kunnen bij TSTC
terecht voor bijna vijftig security trainingen
op zowel technisch als tactisch- strategisch
gebied. Naast alle bekende internationaal
erkende titels is het ook mogelijk diepgang
te zoeken in actuele security thema’s.
18 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
www.tstc.nl
Top 10 Security trainingen
CEH • OSCP • CCSP • CCFP • CISSP • CJCISO • CRISC
Privacy CIPP/E-CIPM • CISM • ISO 27001/27005/3100
Recognition for Best
ATC’s and CEI’s
of t h e Ye a
ATC
r
Instructor
ident’s Achievemen
Pres
Award
t
2016
2016
2016
TSTC
Accredited Training
Center of the Year 2016
Circle of Excellence
Instructor 2016
Want security start bij mensen!!
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 19
ONDERZOEK
MEEST GEMAAKTE FOUTEN MET BACK-UP
EN DISASTER RECOVERY IN 2016
waterleiding zorgt voor een ICT-verstoring. Als dit rampscenario zich voltrekt,
lopen de kosten echter al snel in de papieren. Delta Airlines meldde vorig jaar
een kostenpost van 150 miljoen euro na
een brand in een switch. Hierdoor kwam
een groot aantal servers zonder stroom
te zitten. Een zeer grote brand op bedrijventerrein De Hoef in Amersfoort zorgde
ervoor dat meerdere bedrijven niet bereikbaar waren voor de werknemers.
“Een van de belangrijkste oorzaak van
downtime - menselijke fouten - is helaas
niet geheel uit te sluiten”, reageert Erik
Ploegmakers, directeur van KPN Security Services. “Toch is het essentieel om
medewerkers bewust te maken van de
risico’s van bepaalde handelingen. Ook
is het belangrijk om actie te ondernemen en te inventariseren welke dataherstel- en back-upmogelijkheden de gevolgen van menselijk handelen kunnen
beperken.”
KPN Security Services
signaleert toename in uitwijktesten
Diverse onderzoeksbureaus claimen dat downtime inmiddels het belangrijkste aandachtspunt is voor IT-afdelingen.
Hiermee heeft downtime security ingehaald. Ook KPN
Security Services zag in 2016 een toename in het aantal
uitwijktesten. Daarnaast ziet de securityafdeling van het
bedrijf dat bedrijven vaak in dezelfde valkuilen trappen.
Diverse onderzoekers wezen in 2016 op de toenemende zorgen rondom downtime. Zo zijn IT-storingen volgens analistenbureau Quocirca de grootste
zorg van ICT-afdelingen binnen Europese bedrijven.
Een jaar eerder voerde security het lijstje nog aan.
Belangrijkste oorzaken downtime
KPN Security Services voerde in 2016 een groot
aantal uitwijktesten uit. Deze test geeft bedrijven in20 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
zicht in de haalbaarheid van de uitwijkprocedures
die zijn bedoeld om na calamiteiten zoals stroomstoringen, brand of ransomware IT-productieomgevingen weer volledig operationeel te brengen. Naar
aanleiding van deze testen concludeert KPN Security Services dat dit de top-5 oorzaken van dataverlies en downtime zijn in 2016:
1. Fouten in hard- en software (44 procent)
Denk hierbij aan een gecrashte harde schijf, een
switch die omvalt door een mislukte softwareupdate of een server die door oververhitting de
geest geeft.
2. Menselijke fouten (32 procent)
In de meeste gevallen gaat het om ‘onopzettelijke
handelingen’ zoals het per ongeluk wissen van een
virtuele machine of een set ongestructureerde data,
het verkeerd terugzetten van een backup of de stekker van die belangrijke
switch die per abuis uit het stopcontact
wordt gehaald. Uiteraard is opzettelijke
sabotage ook niet uit te sluiten.
3. Cybercriminaliteit (17 procent)
Computercriminaliteit is een steeds groter probleem. Zo werden in 2016 veel
bedrijven het slachtoffer van ransomware, waardoor data niet meer beschikbaar waren. Het beschikbaar hebben
van een goede back-up is dan de enige
remedie.
nen een hybride omgeving, waarin
on-premise en cloud door elkaar heen
worden gebruikt. Dat maakt het landschap complex en aan veranderingen
onderhevig. Controleer daarom alle processen regelmatig op actualiteit.
4. Vervangende hardware is niet op
voorraad
Hardware gaat vroeg of laat een keer
stuk, ook op de uitwijklocatie. Het is een
goed idee om enkele cruciale en kwetsbare onderdelen zoals harddisks in reserve te hebben.
Veelgemaakte disaster
recovery-fouten
5. Te weinig aandacht voor vervangende werkplekken
Bij diverse rampscenario’s kunnen werkplekken tijdelijk verloren gaan. Thuiswerken is lang niet voor ieder beroep
een optie, en sowieso vaak maar een
tijdelijke oplossing. Een goed disaster
recovery-plan zorgt voor snelle beschikbaarheid van alternatieve fysieke werkplekken, die zijn uitgerust met alle voor
het beoogde werk essentiële voorzieningen.
De uitwijktesten die in 2016 zijn uitgevoerd in het continuïteitscentrum van
KPN in Almere - de opvolger van het
Computer Uitwijk Centrum - bieden ook
zicht op de pijnpunten als het gaat om
back-up en disaster recovery (DR). Tijdens de uitwijktesten komen geregeld
deze punten naar boven:
6. Wachtwoorden zijn niet beschikbaar
Inloggegevens zijn nodig om systemen
op een uitwijklocatie op te kunnen starten. Wie daar niet op bedacht is, zal mogelijk niet al zijn systemen tijdig kunnen
opstarten.
1. Back-ups zijn niet gecontroleerd
De beschikbaarheid van een bestand in
een reservekopie betekent niet automatisch dat na herstel van dat bestand ook
alle bijbehorende functionaliteit weer
werkt. Zo kan het gebeuren dat tijdens
een back-up niet alle ‘subsets’ van de
data worden gekopieerd. Het is verstandig regelmatig te checken of een restore
het gewenste resultaat heeft.
4. Stroomstoringen (12 procent)
Hoewel de stroomvoorziening in Nederland van hoge kwaliteit is, komen
stroomstoringen helaas nog altijd voor.
Zo werden de Tilburg University, het
KNMI en ook het Media Park in Hilversum in 2016 getroffen door downtime
als gevolg van stroomstoringen.
2. Back-ups bevatten niet alle data
Een goede back-up bestaat niet alleen
uit de gegevens die aanwezig zijn op de
centrale bestands- en applicatieserver.
Een deel van de cruciale bedrijfsinformatie is immers veelal opgeslagen op
desktop-pc’s, laptops en steeds vaker
op smartphones en tablets die bijvoorbeeld bij een brand verloren kunnen
gaan.
5. Brand en (blus)water (6 procent)
Het gebeurt gelukkig niet zo vaak dat
bijvoorbeeld een brand of een geknapte
3. Procedures zijn niet up-to-date
Disaster recovery is geen kwestie van
set-and-forget. Veel organisaties ken-
Bouw veerkracht in
“Disaster recovery is geen passieve
exercitie die je alleen uitvoert op het
moment dat het misgaat. Security en
veerkracht na een incident moeten zijn
ingebouwd in de applicaties en het
IT-landschap. Betrek DR-experts daarom altijd bij de ontwerpfasen en softwarekeuzes”, adviseert Ploegmakers.
“De experts van KPN Security Services
beschikken over de kennis die nodig is
voor een effectieve disaster recovery
binnen zowel traditionele, cloud- als hybride IT-omgevingen.”
KPN levert al ruim 35 jaar diensten op
het gebied van businesscontinuïteit en
opereert platform- en leveranciersonafhankelijk of het nu gaat om de besturingssystemen Unix, Linux of Windows,
de hardware van bijvoorbeeld HPE, IBM
of Dell of de software van leveranciers
als VMware, Commvault, Veeam Software of Zerto.
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 21
VISIE
doen met antivirus-technologie. Als de
technologieën van die ‘alternatieve’
beveiligingsproducten dan zeer nauw
onder de loep worden genomen, blijkt
dat deze gebruik maken van identieke
proactieve detectiemethoden die de traditionele (maar uiteraard geëvolueerde)
merken ook gebruiken. Het grote verschil zit hem in de naam en de marketing, niet in de oplossingen zelf.
'Voor bedrijven geldt
dat beveiliging van
het IT-netwerk een
lasagne moet zijn
met verschillende
verdedigingslagen'
En nu
Is
antivirussoftware
gevaarlijk?
Sinds eind de jaren negentig duikt hij regelmatig op: de
stelling dat antivirus dood is. Of: antivirus werkt niet. In
extremere gevallen wordt zelfs gezegd dat antivirussoftware eerder een extra gevaar oplevert voor de pc die juist
beschermd moet worden. Het thema blijkt nog steeds ‘hot’.
We bespreken de geschiedenis van deze trend en twee
recente voorbeelden.
De geschiedenis
Het begon allemaal meer dan 18 jaar geleden toen
Dr. Alan Solomon, een gerespecteerd security expert van het gelijknamige bedrijf proclameerde dat
antivirussoftware dood was, tijdens een EICAR-conferentie. Het was opmerkelijk en het haalde de
media. De nuance die Solomon bij zijn uitspraak
aanbracht, ging in de pers echter verloren. In feite wilde hij het punt maken dat het ‘ouderwetse’
antivirus-pakket, dat zich uitsluitend verlaat op het
scannen van codes tegen een database met geken22 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
de schadelijke codes (virushandtekeningen) uitgegroeid was tot een volwaardig beveiligingspakket
en dat de oude benaming niet meer goed aangaf
wat er beveiligd werd.
Recenter, in 2014, werd de gewraakte uitspraak
herhaald door Brian Dye, toen Senior Vice President
of Information Security bij Symantec, maar daarna
‘snel’ verdwenen uit de security industrie, tijdens
een interview met The Wall Street Journal (1). Verschillende consumenten en ook bedrijven lieten
zich overtuigen door de argumenten – die steevast
gingen over de ouderwetse, reactieve antivirussoftware en geen rekening hielden met het feit dat antivirussoftware al decennialang óók is uitgerust met
allerlei gedragsherkenningstechnieken en andere
proactieve detectiemethoden – en kozen voor een
andere manier om hun IT te beveiligen. In het geval
van consumenten is dat vaak de methode ‘goed updaten en goed opletten’, een tactiek die lang goed
kan gaan, totdat de juiste zero-day voorbij komt.
Bedrijven, zoals Netflix (2), laten zich verleiden
door ‘alternatieve’ beveiligingsbedrijven, die ‘niets’
En dan nu, hoe staat men er anno 2017
tegenover? Behoorlijk negatief, bleek al
in de eerste twee maanden van het jaar.
In januari schreef Robert O’Callahan,
een voormalig ontwikkelaar van Firefox,
een blogpost met de titel ‘Schakel je
antivirussoftware uit’. In het bericht (3)
doet hij de verschillende problemen uit
de doeken waarmee ontwikkelaars van
browsers te maken krijgen door programmeerfouten in antivirussoftware en
legt hij uit dat de software je computer
zelfs onveiliger kan maken.
Enkele punten die O’Callahan maakt,
zijn absoluut valide. Immers: beveiligingssoftware moet - om zijn werk te
kunnen doen - toegang hebben tot alle
delen van de pc en het beschikt over
veel rechten. Wanneer die rechten kunnen worden overgenomen door een
hacker door een programmeerfout in
de beveiligingssoftware, ben je ver van
huis. Dit levert een dilemma op.
Voor consumenten is het eigenlijk een
vals dilemma. Het hacken van een computer door het gericht aanvallen van het
beveiligingspakket is een tijdsintensieve
klus. Er moet eerst worden geïnventariseerd welk pakket het slachtoffer heeft
draaien (er zijn er honderden en op
Windows Defender na heeft geen enkel product van een bepaald merk een
groot marktaandeel) en bovendien is het
belangrijk om te weten welke versie van
Windows wordt gebruikt. Zelfs al kan
een hacker de aanval automatiseren,
dan nog zal hij mazzel moeten hebben
dat zijn code, die gemaakt is voor een
bepaald product van een specifiek merk
antivirussoftware in combinatie met een
specifieke Windows-versie, belandt op
de pc van iemand die precies die combinatie gebruikt. De kans dat dat lukt
is duizenden, zo niet miljoenen malen
kleiner dan de kans dat een consument
tijdens het surfen in aanraking komt met
een gevaarlijk stuk malware. Vanuit een
kansberekeningsoogpunt is het uitschakelen van de antivirussoftware dan ook
heel onverstandig. Vergelijkbaar met het
verwijderen van de sloten op je deuren
voor het geval een inbreker over een
speciale nepsleutel zal beschikken die
uitgerekend op jouw slot past. Nu zegt
O’Callahan niet dat je de sloten helemaal moet afschaffen. Maar hij raadt je
aan om te kiezen voor een gratis slot Windows Defender - en verder geen
moeite te doen om een goed ander slot
te kopen. Dat advies is niet erg verstandig. Juist wat zo’n hacker-aanval
op antivirussoftware zo onwaarschijnlijk
maakt: de grote diversiteit aan systemen
met verschillende beveiligings-pakketten, gaat hiermee verloren. Als iedere
Windows-gebruiker kiest voor Windows
Defender, zullen er binnen de kortste keren nieuwe zero-days zijn die Windows
Defender succesvol kunnen aanvallen
of omzeilen. Alle malwareschrijvers zullen dan namelijk al hun tijd daarin steken: altijd prijs.
Voor bedrijven geldt dat beveiliging van
het IT-netwerk een lasagne moet zijn
met verschillende verdedigingslagen.
Met een solide firewall worden de meeste hacker-aanvallen tegengehouden en
met een goede network monitoring tool
kunnen onregelmatigheden snel worden
ontdekt en tegengehouden, om maar
even twee willekeurige aanvullende verdedigingslagen te noemen.
Dan het meest recente voorbeeld van
antivirussoftware kwaadsprekerij. In februari verscheen een wetenschappelijk
artikel (4) van Zakir Durumeric en anderen waarin het ‘breken’ van https door
antivirussoftware voor scandoeleinden
gehekeld wordt. Uiteraard is het erg onverstandig om versleutelde gegevens
te ontsleutelen, daarmee wordt het hele
idee van https ondermijnd. Maar doen al
die merken die Durumeric daarvan beschuldigt dat ook werkelijk? In elk geval
beweert hij ten onrechte dat de software
van G DATA zich ook schuldig maakt
aan deze zonde. Dat is pertinent onwaar
(5). Inmiddels heeft de onderzoeker op
Twitter zijn fout erkend en zijn excuses
aangeboden. Het is niet uitgesloten dat
de onderzoeker een dergelijke fout ook
heeft gemaakt bij andere merken.
Noodzakelijk kwaad
Het is nu eenmaal een feit dat iedereen liever zijn geld uitgeeft aan leuke
producten. Beveiligingssoftware is een
noodzakelijk kwaad, net als je ziektekosten- en inboedelverzekeringen. Niet
alleen kost het geld, het zorgt er ook
nog eens voor dat er vertragingen in
je pc kunnen optreden en het is vaak
compleet onduidelijk wat het product
nu precies voor je doet. Het feit dat je
geen malware-infectie hebt, kan immers
aan twee zaken liggen: je software heeft
alle malware tegengehouden, of je bent
nooit malware tegengekomen. Vanuit
dat oogpunt is het negatieve imago
van beveiligingssoftware best goed te
begrijpen. Maar zolang er elke seconde nieuwe malware de wereld in wordt
gestuurd, is het wel degelijk een goed
idee om te investeren in een solide beveiligingspakket.
EDDY WILLEMS,
Security Evangelist bij G DATA
Meer lezen:
1) https://www.wsj.com/news/articles/SB1000142
4052702303417104579542140235850578
2)http://www.forbes.com/sites/thomasbrewster/2015/08/26/netflix-and-death-of-anti-virus/#1dd626c93256
3) http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html
4) https://jhalderm.com/pub/papers/interception-ndss17.pdf
5) https://blog.gdatasoftware.com/2017/
02/29496-g-data-does-not-touch-https
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 23
TECHNOLOGIE
gen veel mensen het gevoel: waar rook
is, is vuur. “Vanwege het grote aantal gebruikers is de kans op misbruik van een
kwetsbaarheid in Whatsapp’s encryptie
enorm”, zegt Bocek. “Gezien verschillende reacties hierover lijkt het slecht
managen van alle encryptiesleutels een
risico te zijn. Dit potentiële beveiligingslek in een app die meer dan een miljard
mensen dagelijks gebruikt, moet voor
bedrijven een duidelijke waarschuwing
zijn voor de mogelijke businessimpact.
Daar kan men zich alleen tegen beschermen met een systeem dat encryptiesleutels effectief beschermt of snel
geautomatiseerd vervangt bij een incident.”
Het snelgroeiend gebruik van digitale certificaten en encryptie biedt
kansen en bedreigingen. Kansen
voor bedrijven en consumenten
om zich beter te beschermen tegen cybercriminaliteit. Bedreigingen omdat criminelen dezelfde technologie kunnen benutten
om onzichtbaar aan te vallen.
Venafi’s Chief Security Strategist
Kevin Bocek pleit ervoor certificaten en encryptiesleutels meer prioriteit te geven op de agenda van
ICT- en securityverantwoordelijken,
onder andere voor DevOps-ontwikkelingen.
Kortere ontwikkel- en implementatiecycli
Meer prioriteit
voor certificaat- en sleutelmanagement
Verkeerde, verlopen en nepcertificaten
De laatste jaren worden steeds meer securityincidenten veroorzaakt door verkeerde, verlopen of
nagemaakte certificaten. Zo is Symantec onlangs
nog op de vingers getikt vanwege het uitgeven van
ruim 100 verkeerde certificaten van juli 2016 tot januari 2017. Daarmee hebben ze de integriteit van
versleuteld en geauthentiseerd Internetverkeer in
diskrediet gebracht. “Meerdere CA’s, waaronder
GlobalSign, Symantec en WoSign, hebben de afgelopen jaren kostbare fouten veroorzaakt met het uitgeven van certificaten”, licht Bocek toe. “Een trend
die de komende jaren gaat toenemen door de groei
van het Internet of Things, omdat fabrikanten voor
hele series apparaten dezelfde certificaten gebruiken. Tegelijkertijd groeit op het dark web tevens de
handel in nagemaakte certificaten.”
Voor zowel commerciële als non-profit organisaties
is het belangrijk zichzelf en alle (klant)relaties beter
te gaan beschermen tegen securityincidenten veroorzaakt door digitale certificaten en sleutels. Dat
kan alleen als men in staat is ongeautoriseerde certificaten snel te ontdekken en te vervangen, of indien nodig van CA te veranderen. “Als organisaties
van één CA afhankelijk zijn kunnen de gevolgen van
een securityincident groot zijn, zoals onder andere
bij het Nederlandse Diginotar is gebleken”, vervolgt
Securityverantwoordelijken staan dagelijks voor de uitdaging om zowel hun
beveiligingsfundering te versterken als
zo snel mogelijk te reageren op een
toenemend aantal cyberincidenten. Tegelijkertijd verandert het ontwikkellandschap voor IT-toepassingen sterk, waardoor nieuwe risico’s ontstaan. Bedrijven
hebben anno 2017 behoefte aan IT-services en -omgevingen die schaalbaar
en snel zijn. Oftewel Amazon AWS-achtige functionaliteit en snelheid, voor de
Bocek. “Een ander voorbeeld is het vervangen van
9000 certificaten door GoDaddy omdat die door
een softwarebug niet goed waren gevalideerd. Al
deze incidenten ondermijnen het vertrouwen in digitale certificaten, waarop de Internet-security voor
alle organisaties en mensen is gefundeerd.”
'Dit potentiële
beveiligingslek in een
app die meer dan
een miljard mensen
dagelijks gebruikt,
moet voor bedrijven
een duidelijke
waarschuwing zijn
voor de mogelijke
businessimpact'
interne en externe IT-toepassingen. Om
die behoefte in te vullen implementeren
steeds meer bedrijven processen en
tools voor tijdelijk te gebruiken virtuele
machines, containers en micro-services, in plaats van oplossingen met een
lange levenscyclus. Die ‘snelle’ toepassingen moeten echter wel de centrale
security ondersteunen.
“Voor het snel kunnen implementeren
van nieuwe ICT-toepassingen is een nauwe samenwerking tussen ontwikkeling
en beheer nodig, afgekort als DevOps”,
vervolgt Bocek. “Op DevOps-projecten
worden aparte teams gezet, die zoveel
mogelijk gebruik maken van bestaande
automatiseringstools. Dezelfde aanpak
is voor de security te gebruiken, namelijk een apart team voor het versterken
en beheren van de aanwezige beveiligingsoplossingen en een SWAT-team
dat direct kan reageren op incidenten.
Daarbij is het noodzakelijk dat alle digitale sleutels en certificaten geautomatiseerd worden beheerd in een oplossing
zoals het Venafi Trust Protection Platform. Dan kunnen securityverantwoordelijken namelijk alle policies centraal
definiëren voor het gebruik ervan door
de DevOps-teams.”
Snelle security voor
snelle IT
Venafi’s Trust Protection platform
biedt organisaties de mogelijkheid
alle voordelen van snelle IT te benutten, zonder de beveiliging ervan in
gevaar te brengen. Securityverantwoordelijken kunnen daarin centraal
alle benodigde policies definiëren
via de Venafi API, om DevOps te
helpen correct gebruik te maken van
securitypolicies en ‘best practices’.
Oftewel voor DevOps faciliteren
vanaf het begin ingebouwde security
toe te passen. Daarvoor biedt het
platform als voordelen:
•
Achterdeurtjes, malware en ransomware
•
Andere grote veroorzakers van cybersecurityincidenten zijn alle achterdeurtjes in mobiele apps,
desktopapplicaties, webservices en beveiligingsoplossingen en natuurlijk malware en ransomware.
Wanneer de ontwikkelaar van soft- en hardware
via een achterdeurtje toegang creëert tot de eigen
producten, is het slechts een kwestie van tijd voordat cybercriminelen, ethische hackers en nationale
veiligheidsdiensten dat ook kunnen. Achterdeurtjes
leiden dus vrijwel altijd tot securityincidenten. De
meeste organisaties hebben al decennialang securityoplossingen in gebruik die ze daartegen zouden
moeten beschermen. Inderdaad ‘zouden moeten’,
want als ICT-systemen en securityoplossingen zelf
zwakheden bevatten, wordt elke gebruiker daarvan
onbewust en ongewild kwetsbaar.
Een actueel achterdeurtje is de toegang van Facebook tot alle versleutelde Whatsapp-communicatie.
Hoewel Facebook het bestaan daarvan ontkent, krij-
•
•
•
•
Unieke sleutels en certificaten
zijn binnen seconden uit te
geven
Hetzelfde centrale platform
is zowel te gebruiken door
DevOps-teams als securityverantwoordelijken en systeembeheerders
Eenduidig inzicht in de securitypositie en -compliance via integratie met helpdesksystemen en
SIM/SIEM-omgevingen
Geautomatiseerde sanering en
nieuwe uitrol bij veranderende
policies en standaarden
Automatische meldingen over
gedetecteerde afwijkingen binnen of buiten de organisatie
Vrijwel ongelimiteerde schaalbaarheid zonder extra administratieve overhead
Kevin Bocek
24 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 25
IAM ALS SPIN IN HET WEB
een IT-afdeling of applicatiebeheer om
de benodigde accounts te beheren. Het
IAM systeem kan gekoppeld worden
aan uw HR systeem. Deze koppeling
zorgt ervoor dat alle wijzigingen die HR
maakt automatisch worden doorgevoerd. Een nieuwe medewerker komt
binnen en krijgt direct een account met
de juiste rechten. Een medewerker verandert van functie en zijn rechten worden direct aangepast. Een medewerker
verlaat het bedrijf en zijn account wordt
direct inactief gezet.
Het inregelen van provisioning op deze
manier zorgt ervoor dat handmatige
acties niet meer nodig zijn. Menselijke
fouten van het verkeerd kopiëren van
bijvoorbeeld de naam zijn uitgesloten.
Naast veel tijd maakt het uw omgeving
ook een stuk veiliger. De rechten van
een medewerker worden direct goed
gezet en bij het verlaten van het bedrijf
zijn deze ook niet langer actief. Voor u
geen verhalen meer zoals de ex-politieman die nog toegang had tot gevoelige
informatie.
De top 5 IAM functionaliteiten
die u niet mag missen
Identity & Access Management (IAM). Voor velen een onbekende term en een ver van je bed show. Voor anderen
een dagelijkse bezigheid. Hoe dan ook een onderwerp binnen de IT waar u dagelijks mee te maken hebt en welke
steeds belangrijker wordt. Belangrijker omdat bedrijfsdata
steeds vaker open staat voor hackers. Maar ook omdat u
vanuit de (nieuwe Europese) wetgeving allerlei verplichtingen hieromtrent hebt. In mei 2018 wordt de Europese
wetgeving (de General Data Protection Regulation) doorgevoerd, vanaf dan bent u verplicht uw organisatie afdoende
te beveiligen. Een ontoereikend beveiligingsbeleid kan u
zomaar 4% van de totale internationale jaaromzet kosten.
IAM helpt organisaties om in controle te komen en
blijven zodat gebruikers vanaf het juiste device, de
juiste en veilige toegang krijgen tot beveiligde applicaties. Naast het tijdig en gestandaardiseerde beheer van gebruikersaccounts en toegangsrechten
26 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
biedt het met bijvoorbeeld rapportage mogelijkheden ook ondersteuning bij het naleven van wet- en
regelgeving.
Identity & Access Management is bedrijfsbreed.
Elke medewerker en administrator heeft er mee te
maken. Maar wat zijn nou de onderdelen die u absoluut zou moeten hebben als u aan de slag gaat met
Identity & Access Management? Wij hebben een
top vijf voor u opgesteld:
1. Provisioning
2. Data Access Governance
3. Single Sign On
4. Self Service
5. Privileged Access Management
1. Provisioning
Hier wordt het HR proces gedigitaliseerd. Het proces van in-, door- en uitstroming van medewerkers
wordt op basis van business regels geautomatiseerd. Er is dus geen tussenkomst meer nodig van
De voordelen op een rij:
• Snellere doorlooptijd
• Tijdsbesparing
• Minder foutgevoelig
• Betere beveiliging van data
2. Data Access Governance
Data Access Governance is het beheren
en onderhouden van toegangsrechten
tot applicaties en van gebruikersrechten
binnen applicaties. Gebruikerstoegang
en -rechten van medewerkers worden
via een uniform beheermodel uitgegeven, gewijzigd en ingetrokken. Medewerkers krijgen de juiste autorisaties zoals deze bij hun rol horen. Dit wordt ook
wel Role Based Access Control (RBAC)
genoemd. Op basis van de rol die de
medewerker heeft wordt met een autorisatiematrix bepaald tot welke systemen
en applicaties de medewerker toegang
krijgt. Een andere variant hiervan is Attribute Based Access Control (ABAC).
Het systeem registreert alle acties van
gebruikers automatisch, net als de tijdstippen, hierdoor kunt u de benodigde
rapporten maken voor de audit.
De voordelen op een rij:
• Betere beveiliging van data
• Tijdsbesparing
• Meer inzicht door rapportagemogelijkheden
3. Single Sign On
Een term die u ongetwijfeld kent. Met
slechts één keer inloggen direct toegang tot meerdere applicaties op een
veilige manier. Een veelgehoorde wens
vanuit de medewerkers, eenvoudig in te
regelen via een IAM systeem.
U koppelt applicaties aan het IAM systeem welke alle accounts en wachtwoorden beheert. Met bijvoorbeeld het
Active Directory account welke ook gekoppeld is aan het IAM systeem kunnen
gebruikers na eenmalig inloggen (bijvoorbeeld op de PC) vrij toegang krijgen
tot alle gekoppelde applicaties.
Een koppeling met applicaties van externe organisaties of cloud applicaties is
mogelijk met federatie service. Hierdoor
kunnen gebruikers met hun eigen gegevens inloggen in applicaties van andere
organisaties. Ook is het mogelijk om dan
bijvoorbeeld MultiFactor Authentication
(MFA) te implementeren. DigiD is hiervan een voorbeeld voor verschillende
overheidsapplicaties.
De voordelen op een rij:
• Gebruikersgemak
• Tijdsbesparing
• Meer veiligheid
drijfskritische data inclusief persoonsgegevens wilt u tenslotte niet op straat
hebben. Privileged Access Management (PAM) beschermt de privileged
logingegevens en verdient een prioriteit. Geïntegreerd met het IAM systeem
biedt het een solide uitgangspunt voor
uw beveiliging. Het helpt u bevoorrechte toegangen binnen uw bestaande Active Directory Domain Server (ADDS) te
beperken. Dit kunnen zowel interne als
externe gebruikers zijn, denk maar eens
aan de remote IT-support die uw organisatie wellicht inschakelt (zoals 92% van
alle organisaties doet).
PAM monitort en logt het gebruik van
privileged logingegevens en levert
gedetailleerd inzicht in wie van uw beheerders wat en wanneer doet. Er wordt
dus meer controle door monitoring en
logging toegevoegd en u krijgt gedetailleerde
rapportagemogelijkheden.
Aanvallen zijn hierdoor vele malen sneller op te sporen. Bovendien kunt u zo
ook beter aan de meldplicht datalekken
voldoen.
De voordelen op een rij:
• Voldoe aan compliance eisen en
wetgeving
• Meer inzicht door rapportages
• Beter beveiliging van data
4. Self Service
Een helpdesk die een groot deel van zijn
tijd kwijt is aan het resetten van wachtwoorden herkenbaar? Selfservice voor
gebruikers maakt het mogelijk dat gebruikers zelf hun wachtwoord kunnen
resetten op een beveiligde manier en
hun persoonlijke informatie zelf kunnen
onderhouden zonder tussenkomst van
anderen. Maar ook kan er bijvoorbeeld
Self service ingericht worden voor het
aanvragen van toegang tot een applicatie, facilitaire services of het inzien van
rapportages. Het goedkeuringsproces
wordt vastgelegd in gestructureerde
workflows. De manager kan de aanvraag direct goed- of afkeuren en laten
doorvoeren via het IAM systeem. Tussenkomst van de IT-afdeling is dan niet
meer nodig.
De voordelen op een rij:
• Gebruikersgemak
• Tijdsbesparing
5. Privileged Access
Management
Diefstal van privileged logingegevens,
zoals van uw beheerders, is een groot
gevaar voor elke organisatie. Uw be-
Naast deze vijf functionaliteiten is er nog
veel meer mogelijk. Denk aan het beheren van mobiele devices. IAM wordt de
spin in het web van uw IT-organisatie.
Of u nu de keuze maakt voor IAM on
premise of in de cloud: met een goed
ingericht IAM systeem bent u klaar voor
de toekomst.
GEORG GRABNER is Managing Partner van IonIT. IonIT is gespecialiseerd
in Identity & Access Management, Cloud
Enablement en Enterprise Mobility. Als
technologie onafhankelijke dienstverlener automatiseert
IonIT
IT-processen
zodat gebruikers op tijd de
juiste en veilige toegang
krijgen tot de
toepassingen
en
diensten
die zij nodig
hebben en bedrijven het inzicht en controle hierover krijgen.
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 27
INTERVIEW
tot de IT-systemen van een organisatie
kunnen een groot risico vormen, zeker
wanneer die gebruikers ook ITadmin-rechten hebben. Als ze zelf kwade bedoelingen hebben, of als hun
inloggegevens gestolen zijn, kunnen
gebruikers met dergelijke rechten behoorlijk wat schade aanrichten.”
Catastrofaal voor alle partijen
Onderschat veiligheidsrisico:
de bedreiging
van binnenuit
Opgelet, iemand probeert gevoelige bedrijfsgegevens via
het IT-netwerk te stelen! Wie bij die zin meteen denkt aan
een hacker met een Guy Fawkes-masker in een Russische
bunker kan er nog wel eens lelijk naast zitten. De grootste
bedreiging komt namelijk van binnenuit, waarschuwt Tim
Hoefsloot van Forcepoint. “Datalekken kunnen het gevolg
zijn van kwade opzet, maar vaker nog van onwetendheid.”
Dat IT-bedreigingen van binnenuit een groot risico
vormen, blijkt wel uit onderzoek dat Forcepoint on28 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
langs uitvoerde in samenwerking met Team Vier.
Daaruit komt naar voren dat in 2016 alleen al 67
procent van de Nederlandse organisaties de dupe
werd van een aanval met een interne oorzaak. Doordat een werknemer gevoelige informatie deelde met
de buitenwereld bijvoorbeeld, of een laptop met vertrouwelijke gegevens kwijtraakte.
“Natuurlijk is het belangrijk om de IT-infrastructuur
en data te beschermen tegen bedreigingen van
buitenaf”, zegt Hoefsloot. “Maar bedrijven moeten
niet denken dat ze er daarmee zijn. Werknemers,
freelancers of andere zakelijke relaties met toegang
Uit het eerder genoemde onderzoek
komt ook naar voren dat slechts 61 procent van de organisaties denkt vatbaar
te zijn voor IT-bedreigingen van binnenuit, volgens Hoefsloot een teken dat veel
ondernemingen de risico’s onderschatten. “Iedere organisatie kan het slachtoffer worden van een IT-bedreiging van
binnenuit, IT-managers doen er daarom
verstandig aan hun beleid daarop in te
richten.”
Een van de grootste bedreigingen van
binnenuit de organisatie is het risico op
datalekken, stelt Hoefsloot. “Zeker als
het gaat om persoonsgegevens hebben bedrijven de wettelijke verplichting
daar zorgvuldig mee om te gaan. De
daaraan gestelde eisen worden bovendien alleen nog maar strenger als de EU
General Data Protection Regulation in
2018 ingaat.” Overigens vindt Hoefsloot
dat er daarnaast nog een zeer belangrijke reden is om gegevens goed te
beveiligen. “Als Intellectual property,
juridische documenten of vertrouwelijke
informatie van klanten in verkeerde handen komen, is dat catastrofaal voor alle
betrokken partijen.”
Gebruikersrechten beperken
Organisaties moeten daarom beginnen
met het opstellen en communiceren van
duidelijke richtlijnen, vindt Hoefsloot.
“Datalekken komen vaak voort uit onwetendheid. Doordat iemand bijvoorbeeld niet wist dat hij een klantenlijst
niet mocht delen, of dat hij thuis verder
aan een juridisch document wil werken
en het naar zijn onbeveiligde Gmailaccount stuurt. Duidelijke richtlijnen
over wat wel en niet mag, helpen dat
soort lekken te voorkomen.”
Een andere, relatief eenvoudige ingreep
is het beperken van gebruikersrechten
tot het minimum van wat werknemers
nodig hebben om hun werk te kunnen
doen. Hoefsloot: “Dat klinkt logisch, toch
gebeurt het nog vaak dat werknemers
te veel IT-rechten hebben. Dat iemand
van marketing bijvoorbeeld bij de gegevens van finance kan, of dat iemand van
HR toegang heeft tot het CRM-systeem.
Niet altijd nodig.”
Nooit helemaal voorkomen, dus
goed monitoren
Want zelfs in een wereld waar werknemers voor 100 procent te vertrouwen
zijn, kan hun account gebruikt worden
om data te stelen, legt Hoefsloot uit. In
het geval dat iemands inloggegevens
worden gestolen bijvoorbeeld. “Dat kun
‘In 2016 werd
67 procent van
de Nederlandse
organisaties de dupe
van een aanval met
een interne oorzaak’
je nog deels ondervangen door de toegang tot bedrijfsgevoelige informatie
van buiten de fysieke muren van het
bedrijfspand af te schermen, en door
werknemers vaak hun wachtwoord te laten aanpassen. Maar daarmee voorkom
je dan weer niet dat iemand zonder het
te weten een e-mail met malware-bijlage opent, van waaruit de datadiefstal
begint.”
Hoeveel veiligheidsmaatregelen een
organisatie ook neemt, IT-bedreigingen
zijn nooit helemaal te voorkomen, is wat
Hoefsloot wil zeggen. “Organisaties
moeten actief en op geautomatiseerde
wijze monitoren op verdacht gedrag.
Bepaal door te monitoren een baseline
van normaal gedag van een persoon,
een afdeling en het bedrijf. Als de IT-afdeling automatisch een waarschuwing
ontvangt op het moment dat iemand
vertrouwelijke gegevens opvraagt, kan
die tijdig ingrijpen en voorkomen dat ze
op straat komen te liggen.”
keer direct op zo’n melding te reageren.
Het is daarom beter om verschillende
niveaus van verdachte handelingen in
te bouwen, om te voorkomen dat het
waarschuwingssysteem teveel false positives geeft.”
Ter illustratie noemt Hoefsloot het voorbeeld van een developer die op kantoor
werkt aan een stuk code. “Strikt gezien
vraagt hij dan een document met vertrouwelijke informatie op, maar hier is
het duidelijk dat hij gewoon z’n werk
doet. Dit zou dus een melding met lage
urgentie moeten opleveren.”
Informatie naar nieuwe
werkgever
Anders wordt het als die developer
het stuk code waar hij aan werkte aan
het einde van de dag naar z’n Gmailaccount uploadt. “Dat levert natuurlijk
een risico op, en de organisatie moet
dit blokkeren en de medewerker hierop
aanspreken”, stelt Hoefsloot.
Een voorbeeld van een scenario dat zou
moeten leiden tot een melding van kritieke urgentie heeft Hoefsloot ook. “Als
diezelfde developer recentelijk het bestand cv.docx uploadde naar z’n Gmail,
en nu enorme hoeveelheden bestanden
met broncode naar een usb-stick kopieert, dan is het duidelijk dat er iets niet
pluis is. Alles wijst er dan op dat die
persoon bedrijfsgevoelige informatie wil
meenemen naar een nieuwe werkgever.
Dan moet de organisatie meteen ingrijpen en voorkomen dat de vertrouwelijke
gegevens het gebouw verlaten.”
TIM HOEFSLOOT, Regional Director
Sales, Benelux Forcepoint
Urgentieniveaus
Daarbij adviseert hij wel bepaalde urgentieniveaus in te bouwen, gebaseerd
op de functie van een persoon binnen
het bedrijf. “Er kan een legitieme reden
voor het opvragen van gevoelige gegevens zijn, omdat iemand ze nou eenmaal nodig heeft voor z’n werk. Als de
IT-afdeling elke keer voor een dergelijk
voorval wordt gestoord, verwatert na
verloop van tijd ook de urgentie om elke
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 29
ELEKTRONISCHE HANDTEKENING
WACOM HELPT ORGANISATIES
MET HET PAPIERLOOS TEKENEN
VAN DOCUMENTEN
Elektronische
handtekening
ondersteunt organisaties bij hun klantvriendelijke benadering
De wereld vertrouwt al duizenden jaren op de ouderwetse
handtekening. Maar met de wens om papierloos te werken,
komt dit oeroude gebruik in het geding. Wacom ontwikkelt
daarom hardware om elektronische handtekeningen te zetten die ook nog eens veiliger zijn. Over de hele wereld
worden de diensten van het van oorsprong Japanse bedrijf
gebruikt. In Frankrijk is het notariaat bijvoorbeeld heel ver,
en ook de honderden vestigingen van Norauto slagen er in
om hun customer satisfaction naar een hoger plan te tillen.
Oorspronkelijk komt Wacom uit Japan, en de naam
is niet zomaar verzonnen: ‘Wa’ betekent ‘harmonie’,
en ‘com’ staat voor ‘computer’. Volgens Thomas
Kaeb, Senior Salesmanager van het bedrijf, staat
Wacom voor de verbinding tussen mens en machine. Het bedrijf richt zich op de creatieve sector
en op oplossingen zoals de elektronische handtekening en het beveiligen van medische dossiers.
“Wacom is ontstaan in 1983. Computers werden
toen ook al bestuurd met een muis en dat is voor
bijvoorbeeld kunstenaars heel lastig. Ons doel was
het ontwikkelen van een digitale pen, voorzien van
ergonomie vergelijkbaar met een pen die op papier
tekent.”
Hoewel het bedrijf vanwege haar verfijnde producten een goede naam heeft onder kunstenaars
en creatievelingen, zorgde de Duitse Sparkasse in
2007 voor een revolutie binnen het bedrijf. De bank
zocht naar een manier om documenten digitaal te
ondertekenen en vroeg Wacom om een oplossing.
Zo moest ook het gebruik van papier worden teruggedrongen.
Thomas Kaeb: “Nu steeds meer ondernemingen
kantoren sluiten, neemt de vraag naar elektronische
handtekeningen toe. Banken en telecombedrijven
hebben veel meer digitaal contact met hun klanten
dan tien jaar geleden. Op afstand een contract kunnen tekenen, wordt steeds belangrijker.”
mogelijkheden om haar klanten beter te
bedienen, ook op digitaal gebied.
Sinds 2011 helpt Wacom het bedrijf met
de digitalisering van haar verkooppunten, in het bijzonder met de ontwikkeling
en implementatie van de tablets, zodat
klanten papierloos en elektronisch kunnen tekenen na een aankoop of reparatie. “We zagen zeker de voordelen van
elektronisch ondertekenen”, zegt Marc
Desrosiers, hoofd digitale diensten bij
Norauto. “We streven voortdurend naar
verbetering in onze diensten en het gebruik van de elektronische handtekening is een stap verder in ons digitale
proces. In zee gaan met Wacom was
een logische stap, gezien hun expertise op dit gebied.” Daarbij helpt Wacom
met het inrichten en bereikbaar maken
van online catalogi en het verstrekken
van online offertes. Bovendien helpen
de oplossingen Norauto ook met het
bereiken van haar milieudoelstellingen;
papiergebruik in de vestigingen van het
bedrijf is drastisch gedaald.
Naast de technische implementatie,
richten Wacom en Norauto zich gezamenlijk op het juridische aspect van de
oplossing, zodat Norauto voldoet aan
de Europese regelgeving. Daarbij is het
onder meer belangrijk dat de elektronische handtekening wordt gecodeerd en
niet herbruikbaar is. Inmiddels werkt het
bedrijf met ruim 3500 tablets.
Al sinds 2008 begeleidt Wacom het
Franse notariaat naar een papierloze toekomst waarin de elektronische
handtekening centraal staat. Het land
kent ruim 4500 notarissen, die elk duizenden documenten en aktes in de kast
hebben staan. Samen met Real.not, de
digitale tak van de overkoepelende notarisvereniging, helpt Wacom de notarissen flink te snijden in de papierberg.
Wacom schat dat tegen het einde van
2018 meer dan 90 procent van de kan-
toren met tablets zal werken. Voor het
einde van 2020 zal tussen de 85 en 90
procent van de officiële aktes elektronisch worden verwerkt; dat zijn meer
dan 3 miljoen aktes.
Aanzienlijke winst in tijd en
ruimte
De grootste voordelen voor de notaris
komen met name op de lange termijn.
Papieren documenten brengen veel risico’s met zich mee, zoals bijvoorbeeld
brandgevaar en verlies van documenten. De veiligheid wordt versterkt door
de digitale opslag.
De fysieke opslag van aktes en documenten wordt sterk vereenvoudigd.
Door de enorme papierreductie bespaart de notaris niet alleen ruimte, hij
zorgt ook voor een beter milieu. Voor de
klanten van de notaris is tijdwinst het belangrijkste voordeel. Betrokken partijen
hoeven niet per se op dezelfde locatie te
zijn. De handeling lijkt nog steeds veel
op de ouderwetse handtekening, maar
verloopt veel vloeiender en sneller.
“Het veiligheidsaspect is het belangrijkst voor de onderneming”, vertelt
Thomas Kaeb. De hardware bestaat uit
een tablet en een pen. “Er zitten geen
batterijen in de tablet en de pen. De
twee werken samen dankzij een elektromagnetisch veld; de pen werkt zodra
hij in de buurt komt van de tablet.” Op
de tablet verschijnt de context van de
handtekening of het complete document dat getekend dient te worden en
de gebruiker tekent op de aangegeven
plek in het document. De tablet wordt
aangesloten op een computer via een
exclusief encrypted usb protocol zoals
RSE 2048-bit en kan dus op allerlei apparaten worden aangesloten, zonder
dat er gebruik hoeft te worden gemaakt
van draadloze verbindingen. De gegevens van de context van de ondertekening maken het mogelijk dat de gegevens van de geplaatste handtekening
op efficiënte wijze wordt gekoppeld aan
de identiteit van de ondertekenaar, het
ondertekende document en aan de organisatorische en technische omgeving
waar de handtekening werd geplaatst.
Nieuwe standaard
Elektronische offerte
Waar een winkelier meewarig kijkt of de
handtekening op het bonnetje enigszins
overeen komt met die op de creditcard,
heeft de gebruiker van een elektronische handtekening meer wapens in
handen om te scannen op misbruik.
Dat geldt ook voor het Franse Norauto, opgericht
in 1970. Het merk voor auto-onderhoud heeft bijna
600 winkels, is marktleider in Frankrijk als het gaat
om autoreparatie en is inmiddels actief in negen
landen. Het klantgerichte bedrijf zoekt telkens naar
Voor de computer is de handtekening
namelijk veel meer dan een krabbel.
“Tijdens het tekenen op een scherm verandert een handtekening in een algoritme”, vertelt Kaeb. “Iedere handtekening
is uniek en de computer kan dat feilloos
vastleggen. De volgorde van schrijven,
de snelheid en de druk op het scherm
worden vastgelegd. Een handtekening
ziet er bij veel mensen niet iedere keer
als er getekend wordt hetzelfde uit,
maar deze onderliggende informatie is
altijd identiek. Die kan niet zomaar vervalst worden. Bij digitale geschreven
handtekeningen kunnen we naast de
statische afbeelding ook biometrische
data vangen. Deze biometrische data
is te herleiden tot slechts één persoon.”
De markt is er klaar voor
De markt voor dergelijke, veilige handtekeningen staat aan de vooravond van
een flinke groei, denkt Kaeb. “De markt
is booming. Tien jaar geleden was dit
echt iets nieuws, nu begint de belofte
ervan te landen. Organisaties, zoals het
Franse notariaat, zien in dat hun efficiency omhoog gaat en dat ze kans krijgen
om echt papierloos te werken.”
Wacom op Infosecurity.be stand 03.A106
Theater 6 tussen 12:45-13:15, 22 en
23 maart
De elektronische handtekening
en beveiliging:
een Europese realiteit
In een maatschappij die steeds
digitaler wordt, is het belangrijk om
slimme en veilige oplossingen te
omarmen. Organisaties in de hele
wereld werken graag met digitale
tools zoals de elektronische handtekening, onder meer om papiergebruik te reduceren. EU-regelgeving
is geïmplementeerd om de veiligheid van persoonlijke gegevens
te waarborgen. De elektronische
handtekening heeft al sinds 2000
dezelfde juridische waarde als een
handgeschreven handtekening.
Wacom laat op dit gebied de laatste
ontwikkelingen voor vast en mobiel
gebruik zien, en helpt organisaties
om volledig papierloos en beveiligd
te werken.
Thomas Kaeb
30 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 31
DEBAT
CYBERSECURITY EXPERTS IN DEBAT
‘Cybersecurity
moet weg van IT’
Cybersecurity krijgt veel aandacht in de IT-branche, maar
het grote publiek wordt nauwelijks warm van online inbraken, ransomware en identiteitsdiefstallen. Het onderwerp
is niet sexy, terwijl de dreiging met de dag groter wordt.
Bewustzijn kweken bij zowel publiek als bedrijfsleven lijkt
dé remedie om cybersecurity een boost te geven. Of moet
er gewoon een ministerie van ICT komen?
Tijdens ExpertsOn Cybersecurity, een event bij
Yellow Communications in Hoofddorp, kwamen verschillende security-experts eind februari bij elkaar
om de uitdagingen rond dit onderwerp te bespreken. Waarom is er buiten de IT-branche schijnbaar
32 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
weinig aandacht voor cybersecurity en hoe kunnen we bijvoorbeeld het groeiende aantal ransomware-aanvallen afweren? Cybersecurity in vijf stellingen.
Dataverlies interesseert jongeren
nauwelijks
Vooral jongeren lijken weinig waarde te hechten
aan data, en daarmee aan databeveiliging, meent
Jeroen van der Meer, CTO Solvinity: “Data en foto’s
hebben weinig zeggingskracht voor hen. Dat ze
duizenden foto’s en bestanden kwijt kunnen raken
door op het verkeerde mailtje te klikken, interesseert
ze niets.” Voor een deel wijdt Van der Meer dat aan
gebrek aan gevoel voor de onderliggende techniek.
Harde schijven, clouds en andere technologie waarover data zich beweegt,
hebben voor de jeugd een hoog abstractieniveau. “Wij, de experts, spreken
over IT, maar de meeste mensen voelen
de connectie met technologie niet meer.
Of je een app aanschaft of een wasmachine maakt voor hen geen verschil.”
Dat leidt wellicht ook tot een gevoel van
defaitisme: het idee dat er toch niets aan
te doen is. Deels wordt dat gevoed door
de securitybranche zelf. De realiteit dat
er ‘vroeg of laat bij je wordt ingebroken,
welke beveiliging je ook hebt’, en dat
geen enkele beveiliging honderd procent veiligheid garandeert, helpt niet om
gebruikers alerter te maken.
René van Buuren, directeur Cybersecurity bij Thales Nederland, erkent dat,
maar gelooft niet dat de kous daarmee
af is: “Hetzelfde geldt voor onze huizen,
en toch heeft iedereen een slot op de
voordeur om een drempel voor inbrekers op te werpen. Ik geloof ook dat
inbraken blijven komen, maar je kunt er
wel degelijk iets tegen doen.” Wat Van
Buuren betreft hebben we zelfs een
morele verplichting om ons te verzetten
tegen cybercrime: “Als je je niet verdedigt, ben je mede verantwoordelijk voor
de ellende om je heen.”
Voor Peter Duin, van de Zeehavenpolitie Rotterdam-Rijnmond, is dat gegeven
uitgangspunt in de discussie over cyber
resilience: de weerbaarheid moet omhoog, en dat begint wat hem betreft bij
onderwijs. “Educatie is belangrijk en dat
moet goedkoper worden dan die dure
opleidingen die er nu zijn. In het reguliere onderwijs moeten we veel meer mensen opleiden in dit veld.”
Andreas van Wingerden, Regional Manager Systems Engineering bij Citrix,
ziet daarin zelfs een taak voor het bedrijfsleven: “Ik geef zelf om die reden
gastcolleges op scholen, om kinderen
voor te bereiden op wat er speelt.”
Om cybersecurity op de kaart te
zetten, moet er eerst een ramp
gebeuren
Het verbaast de experts dat een hack
tegenwoordig meer als vermaak dan als
probleem wordt gezien. Recent kreeg
het filmpje van Patricia Paay veel aandacht, maar er komen al jaren blootfoto’s van beroemdheden in het nieuws.
Van der Meer vreest dat ook hier de pijn
te ver afstaat van het publiek. “Ik ben
bang dat er eerst een flinke ramp moet
gebeuren, voordat er fundamenteel iets
verandert.” Van Wingerden: “Maar zijn
we niet al zover? Er zijn al zelfmoordgevallen omdat mensen via cyberaanvallen werden gechanteerd. Nu is het
Patricia Paay, maar daarachter zit een
grote groep slachtoffers.”
Van Buuren verbaast zich ook over de
vervlakking in ons beeld van wat een
dreiging is: “Het feit dat we nu miljoenen
moeten uitgeven om de boel beheersbaar te houden is ook een ramp.” Van
der Meer: “Een paar jaar geleden zagen
we die DDoS-aanvallen op de banken
en op DigiD. Dat was iets om je zorgen
over te maken. En het was zo simpel: op
het darkweb bestellen jongens voor een
paar euro zo’n aanval. Men vond dat dit
moest stoppen. Maar toen het geld ging
kosten, haakten velen af.”
Heeft de security-industrie zelf bijgedragen aan de lethargische en sceptische
houding richting security? Niemand in
het gezelschap ontkent dat de security-industrie zijn geld verdient aan deze
dreiging. Maar andersom is het ook
goed dat de maatschappij zich realiseert dat commerciële partijen, meer
nog dan de overheid die vaak noodgedwongen trager werkt, onze belangrijkste verdedigingslinie vormen.
De meeste kennis en expertise wordt
noodgedwongen opgedaan in de praktijk, waardoor de beste specialisten die
we nu hebben over het algemeen bij
commerciële partijen werken. “We realiseren ons niet dat de IT-industrie nog
maar vijftig, zestig jaar oud is”, meent
Van der Meer. We zitten nog maar in de
beginfase. Huizen en bruggen bouwen
doen we al duizenden jaren, maar in de
ICT weten we nog nauwelijks waar we
mee bezig zijn.” Wellicht dat inderdaad
een virtuele dijkdoorbraak nodig is voor
gebruikers, overheid en commercie bereid zijn tot een gezamenlijke aanpak.
Datalekken en criminaliteit moet
van de schaamte af
Een andere mogelijke oorzaak voor de
dubbelzinnige houding rond cybersecurity is de schaamtecultuur die is ontstaan.
Bedrijven, maar ook individuele slachtof-
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 33
DEBAT
LEGAL LOOK DOOR MR. V.A. DE POUS
Wetgeving, wetgeving
en nog eens wetgeving
Jeroen van der Meer, CTO bij Solvinity
René van Buuren, Directeur Cybersecurity bij Thales Nederland
fers, worden door de maatschappij vaak
als schuldigen afgeschilderd. Gevolg is
dat, de meldplicht datalekken ten spijt,
vanuit het bedrijfsleven nauwelijks wordt
gecommuniceerd over cyberaanvallen
of datalekken. Dat is jammer, want op
die manier maken we elkaar niets wijzer.
Van Buuren: “Er is zoveel schaamte.
LinkedIn wordt gehackt, en dat horen
we vijf jaar later pas. Waarom is dat?
Waarom mogen we de lessen van zo’n
hack niet horen?” Duin: “In Rotterdam,
in de haven, bouwen we met publieke en private partijen een netwerk. We
communiceren veel om iedereen op de
hoogte te houden en organiseren ook
meetings. Het gaat over bewustzijn en
educatie. Als er een poging tot inbraak
is, dan zitten daar zo vijf lessons learned
in.” Dergelijke initiatieven, die erop gericht zijn informatie te delen en cybersecurity veel meer gezamenlijk tegemoet
te treden, zijn volgens alle experts cruciaal voor een succesvolle aanpak.
de baas mag zijn. De shared services
en datacenters van de overheid die er
nu zijn, worden ook niet verzorgd door
politici. Het Rijk heeft al een CTO en een
CIO. Het organigram ligt er wel, daar ligt
het niet aan.”
De experts wijzen erop dat het populaire
beeld vaak gaat over de kennis van IT in
de Tweede Kamer, “maar die Kamer is
een ander instrument dan de Rijksoverheid”, zegt Van Wingerden. Overigens
menen de experts dat in de Tweede
Kamer wel degelijk mensen met kennis rondlopen. “Maar dit gaat om zaken
die ons niet direct raken”, meent Van
Wingerden. “Mensen aan de onderkant
van de samenleving krijgen niet méér te
eten als cybersecurity wordt aangepakt.
Cybersecurity is niet populistisch genoeg om te agenderen, blijkbaar.”
Het MKB loopt ernstig achter
Volgens de experts moet een onderneming realistisch gezien tussen de acht
In het volgende kabinet moet
een ministerie van ICT komen
Nederland heeft al decennia een ministerie van Landbouw. Zou een ministerie
van ICT niet veel relevanter zijn? De
IT-kennis binnen de politiek, laat staan
de kennis van cybersecurity, lijkt bedroevend laag. Zou een apart ministerie
dat veranderen, of onderschatten we de
aanwezige kennis en overschatten we
de slagkracht van de overheid?
Van Wingerden: “Vergis je niet: bij de
overheid gebeurt al veel. Datastromen worden daar steeds beter gestroomlijnd. Ook de politie werkt steeds
efficiënter. Maar als we voor ICT een
apart ministerie gaan maken, dan voorspel ik jarenlang gekonkel over wie daar
Andreas van Wingerden, Regional
Manager Systems Engineering bij Citrix
34 | MAART 2017 | NR. 1 | INFOSECURITY MAGAZINE
en de twaalf procent van de omzet inzetten om de eigen systemen te beveiligen.
Een bedrag waar de meeste ondernemingen niet in de buurt komen, zeker
het MKB niet. Uit het Nationaal Ondernemers Onderzoek (Synpact, 2016)
blijkt dat de helft van de MKB’ers nog
steeds niet zit te wachten op de cloud.
Velen hobbyen nog altijd zelf met IT en
onderhoud, terwijl veel ondernemers in
die groep geld zijn kwijtgeraakt door
ransomware.
Van der Meer: “Bij MKB’ers ligt de
vraagprijs bij ransomware rond de 8000
euro; genoeg om er iets aan te verdienen, en te weinig voor de ondernemer
om dure specialisten in te huren. Het is
een bewuste psychologische drempel.”
Volgens Van Wingerden maken we alleen kans als mensen op jonge leeftijd
bewust worden gemaakt van de risico’s.
“Fabrikanten hebben daar een rol in.
Trainingen moeten betaalbaar worden,
ook voor kleine ondernemers.” Bovendien, meent Van Wingerden: “Security
moet weg bij de IT-afdeling. Daar heeft
het te lang stil gezeten. IT heeft geprobeerd te controleren wat mensen wel en
niet mogen.”
Van Buuren beaamt dat de discussie
over geld moeilijk blijft. “Maar niemand
is erbij geholpen als we wachten tot het
fout gaat. Ook daarom is het belangrijk
dat er meer openheid komt, dat er samenwerking wordt gezocht en dat we
meer informatie delen.” Laten zien waar
de risico’s liggen, maar ook wat de oplossingen zijn: als dat ook buiten de IT
bij een organisatie tussen de oren komt,
volgen de budgetten vanzelf. Voorlichting helpt wel degelijk.
ROB ROELOFS is journalist
Gedurende de laatste 25 jaar kwam een breed wetgevingsoffensief voor digitale techniek, gegevensverwerking en de informatiemaatschappij op gang,
waarvan omvang en intensiteit nu toenemen. Deze huidige periode getuigt
namelijk eens te meer van een brede, niet-aflatende stroom digitale wet- en
regelgeving. Vanuit de Europese Unie en door Nederland als autonome wetgever. Hieruit blijkt eens te meer dat de tijd van juridische Spielerei in de informatiemaatschappij definitief achter ons ligt. Velen krijgen met (grote) delen van
dit omvangrijke legislatieve raamwerk te maken. Voor openbaar bestuurder
en ondernemer zijn deze spelregels echter van strategisch belang geworden;
ongeacht de staat van digitale transitie waarin de organisatie zich bevindt, én
ongeacht de sector. We benoemen een aantal wetgevingstrends in het cruciale
domein privacy en digitale veiligheid.
Laten we bij de basis beginnen. Gebaseerd op een stevig verankerd mensenrecht wordt het net rond de bescherming van
de persoonlijke levenssfeer aangetrokken. Daardoor versterkt
de rechtspositie van de burger. Vice versa zien bedrijf en overheidsorganisatie op grond van de Wet meldplicht datalekken
(opgenomen in de Wet bescherming persoonsgegevens), de
aankomende Algemene Verordening Gegevensbescherming
en de aankomende e-Privacy verordening (‘de Europese Telecomwet’) zich geconfronteerd met nieuwe juridische verplichtingen.
Om het algemene probleem van een gebrek aan vertrouwelijkheid van gegevensverwerking het hoofd te bieden, kent het
recht uiteenlopende netwerk- en informatiebeveiligingswetgeving. Deze categorie regelgeving schrijft onder andere passende technische en organisatorische maatregelen voor om
gegevens te beschermen tegen verlies of tegen enige vorm
van onrechtmatige verwerking.
Daarnaast gaat het om de opkomst en uitbreiding van wettelijke meldplichten bij incidenten in relatie tot digitale techniek
en dataverwerking, waaronder het lekken van persoonsgegevens, een veiligheidsinbreuk of verlies van integriteit.
Verder noteren wij de uitbreiding van de juridische bevoegdheden van toezichthouders, waaronder Autoriteit Persoonsgegevens en Autoriteit Consument en Markt, inclusief een forse
verhoging van sancties bij overtreding van onder andere wettelijke beveiligingsvoorschriften en meldplichten.
In het strafrechtdomein gaat het om hogere straffen voor cybercriminaliteit (Wet voor de implementatie van een Europese
richtlijn over aanvallen op informatiesystemen) en de verbreding en versterking van de juridische bevoegdheden van het
opsporingsapparaat, inclusief inlichtingen- en veiligheidsdiensten. Op 20 december 2016 heeft de Tweede Kamer het
wetsontwerp bestrijding cybercrime (Computercriminaliteit III)
aangenomen, terwijl de regering het voorstel van wet inzake
wijziging Wet op de inlichtingen- en veiligheidsdiensten op 28
oktober 2016 bij de Tweede Kamer indiende. Op 14 februari 2017 nam de Tweede Kamer dit voorstel aan. Daardoor
wordt ongerichte, digitale massasurveillance voor het eerst in
Nederland mogelijk, tenzij de Senaat andersluidend besluit.
Onze oosterburen de modus operandi Sleppnetzfahndung.
Daarmee keert de overheid een fundamentaal strafrechtbeginsel om. Geen enkele burger is immers ‘zo maar’ een verdachte. Daarvoor is tot nu toe een gerede grond nodig. Een
reële verdenking. Dat verandert dus. Enerzijds biedt de wetgever de burger meer privacyrechten, anderzijds wordt dit
grondrecht uit veiligheidsoverwegingen juist weer beperkt.
Nog een trend. Een gevolg van al het wetgevingsgeweld - en
onder druk van de boetedreiging bij niet-naleving - is dat organisaties zich met verve op regulatory compliance richten.
Daarbij lijken ze de ratio van het rechtskader te passeren. Dat
behoort niet zo te zijn. Niet alleen is bijvoorbeeld het recht op
privacy een grondrecht, waarin dus de belangen van het individu het uitgangspunt vormen (en niet die van de organisatie
die persoonsgegevens verwerken). Ook vormen de wettelijke voorschriften voor netwerk- en informatiebescherming een
belangrijk onderdeel van maatschappelijk verantwoord handelen, onafhankelijk van het privacyrecht.
Tenslotte loopt een organisatie door een (te) sterke focus op
regulatory compliance het risico dat contractual compliance het voldoen aan overeenkomst en beleid - in de vergetelheid
raakt. Denk aan licenties voor computerprogramma’s, afspraken met ketenpartners, of interne regels voor de bescherming
van technische en commerciële knowhow. Val niet in deze kuil.
MR. V.A. DE POUS is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).
INFOSECURITY MAGAZINE | NR. 1 | MAART 2017 | 35