PRIVACY VAN DE OVERHEID NATIONALE IT-SECURITY MONITOR

BURGER WANTROUWT BEDRIJVEN - ‘HET INTERNET ZAL TOCH NOOIT VEILIG WORDEN’ - NIEUWE EUROPESE DATABESCHERMINGSWETGEVING - TIEN TIPS VOOR EFFECTIEVE WEBFILTERING - IAM VOOR DE CLOUD EN UIT DE CLOUD - IT GEMEENTE VEERE FLEXIBELER EN VEILIGER - PLATFORM INDUSTRIAL CYBER SECURITY - STOPPING ZERO-DAY EXPLOITS FOR DUMMIES - VUUR MET VUUR BESTRIJDEN VIA ETHICAL HACKING - LEGAL LOOK

MAGAZINEinfosecurity

JAARGANG 13 - JUNI 2014 - WWW.INFOSECURITYMAGAZINE.NL

NEDERLANDERS VERWACHTEN PRIVACY VAN DE OVERHEID

EERSTE OPVALLENDE UITKOMSTEN NATIONALE IT-SECURITY MONITOR

INFOSECURITY MAGAZINE - NR. 3 - JUNI 2014 32

Drie punten vallen met name op. Dat is al-lereerst dat security in ons land bijzonder serieus wordt genomen. De meeste orga-nisaties lichten minstens eenmaal per jaar hun IT-beveiligingsplan helemaal door en maken aanpassingen waar nodig. Securi-ty - en dat is het tweede punt dat duidelijk opvalt - is echter een ‘moving target’. De ontwikkelingen aan de kant van de cy-bercriminelen gaan razendsnel en veel organisaties hebben dan ook grote moei-te om dit tempo bij te houden. Bovendien zijn overheden zich - terecht - veel meer met cybersecurity gaan bemoeien. Dat heeft bijvoorbeeld geleid tot de Europe-se Data Protectie Verordening. Voldoen

aan de eisen die hierin worden gesteld is voor veel bedrijven echter vooralsnog een brug te ver.Het is echter maar de vraag of we vol-doende doen - zelfs als we alle con-ventionele maatregelen nemen en alle beschikbare technische voorzieningen toepassen. De komende maanden gaan we verder met het analyseren van de grote hoeveelheid gegevens die het veldwerk heeft opgeleverd en zullen we nog menig artikel en blog post aan dit thema wijden. Misschien moeten we daarnaast ook gaan kijken naar radicaal andere maatregelen. Marc Andreessen - u kent hem vast nog wel van de Netscape browser, maar tegenwoordig is hij voor-al bekend van de venture capital-firma Andreessen Horowitz - heeft wat dat be-treft een aardig proefballonnetje opgela-ten.

Hij koppelt daarbij bitcoins aan security. Dat is natuurlijk een opmerkelijke combi-natie, aangezien in veel ‘analyses’ bitcoins vooral worden gezien als betaalmiddel voor criminelen. Andreessen - die al veel geld heeft geïnvesteerd in bitcoin-start- ups - ziet het vooral als een mooi hulp-middel voor micro-payments. Hij ziet het als oplossing voor (tegen) spam. Stel dat we vanaf nu voor ieder mailtje dat we ver-sturen een zeer klein bedrag in bitcoins moeten betalen. Vergelijkbaar met - zeg - een honderdduizendste eurocent. Voor gewone gebruikers van e-mail levert dat nauwelijks kosten op. Maar kijk eens wat zo’n maatregel voor een spammer zou

betekenen. Die organisaties versturen per dag miljoenen mails. Als voor ieder mailtje betaald moet worden, gaan de kosten zeer sterk oplopen.

Het is een onverwacht idee - over bitcoins maar ook als antispam-maatregel. Toch zijn het dit soort radicaal andere ideeën die ons op het gebied van security zul-len moeten helpen. Want hoe goed we ook alle klassieke security-maatregelen nemen, het gevoel bekruipt toch steeds meer mensen dat we de strijd met de cy-bercriminelen eerder aan het verliezen dan aan het winnen zijn. Het lijkt tijd te worden voor radicaal nieuwe ideeën.

Robbert HoeffnagelHoofdredacteur Infosecurity Magazine

Radicaal bezigg Colofon - Editorial

Het veldwerk van de Nationale IT-Security Monitor is afge-rond en de eerste analyses zijn gemaakt. In de woorden van Peter Vermeulen, directeur van Pb7 Research, het onder-zoeksbureau dat het veldwerk voor de Nationale IT-Security Monitor heeft uitgevoerd, zijn we als Nederland goed bezig op het gebied van IT-security.

Het zijn dit soort radicaal andere ideeëndie ons op het gebied van security

zullen moeten helpen.

Infosecurity Magazine is het enige onaf-hankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informatiebevei-liging. Het blad beweegt zich op het snij-vlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via [email protected].

UitgeverJos Raaphorst06 - 34 73 54 [email protected]/raaphorstjosnl.linkedin.com/pub/dir/jos/raaphorst

HoofdredacteurRobbert Hoeffnagel06 - 51 28 20 [email protected]/rhoeffnagelnl.linkedin.com/in/robberthoeffnagelwww.facebook.com/robbert.hoeffnagel

Advertentie-exploitatieWill Manusiwa06 - 38 06 57 [email protected]

Eindredactie/trafficAb Muilwijk

VormgevingMedia Service Uitgeest

DrukControl Media

Infosecurity magazine is een uitgave vanFenceWorks BVBeatrixstraat 22712 CK Zoetermeer079 - 500 05 [email protected]

© 2014Niets uit deze uitgave mag op enigerlei wijze worden overgenomenzonder uitdrukkelijke toestemmingvan de uitgever.

Meer informatie:www.infosecuritymagazine.nl

C

M

Y

CM

MY

CY

CMY

K

AdOxygen_holland_Vector.pdf 1 6/17/14 9:00 AM


10 Nieuwe stap tegen cybercrimeDe strijd tegen cybercrime gaat een volgend hoofdstuk in met de lancering van een nieuwe standaard voor veilige software. De standaard van de onlangs opgerichte Secure Software Foundation helpt ontwikkelaars veilige software te ontwikkelen. Daarnaast biedt de standaard de mogelijkheid de veiligheid van bestaande softwareoplossingen te toetsen.

16 Vuur met vuur bestrijden via ethical hackingSteeds meer bedrijven ervaren ernstige gevolgen vanwege gerichte cyberaanvallen. Uit recent onderzoek van McAfee blijkt dat Nederland jaarlijks maar liefst 8,8 miljard euro schade lijdt door cybercrime. Op een paar miljoen na, waarbij consumenten het slachtoffer zijn, gaat het vooral om schade bij bedrijven. Het grote probleem van cybercrime bij bedrijven is dat managers het vaak helemaal niet in de gaten hebben - of pas als het te laat is. Het is dus belangrijk om continu te controleren of er geen rare dingen in de IT-systemen, netwerken en toepassingen gebeuren. Ethical hacking is een eerste oplossing om orde op zaken te stellen.

18 Windows Cluster is geen garantie voor verlies van data

22 Tien tips voor effectieve webfilteringOrganisaties hebben dagelijks te maken met medewerkers die vanaf hun pc’s allerlei websites bezoeken. Dit levert niet alleen een potentieel beveiligingsrisico op, maar kan ook nadelig zijn voor de productiviteit. Denk aan het bezoeken van Facebook, online gamingwebsites, pornosites, videosites, et cetera. URL-filtering is een contentfilteringtechniek die voorkomt dat gebruikers bepaalde websites bezoeken, door de toegang te blokkeren. Intussen is dit uitgegroeid tot een van de belangrijkste beveiligingstools bij organisaties.

26 Platform 'Industrial Cyber Security'Steeds meer technische industriële installaties worden op afstand aangestuurd. We kennen ze allemaal, maar staan er niet altijd bij stil. Denk bijvoorbeeld aan de vele bruggen die op afstand worden geopend. De brugwachters van weleer zijn verleden tijd. De internettechniek heeft voor een groot deel hun rol overgenomen. Is dat erg? Nee, het romantische is er misschien een beetje af, maar de processen verlopen wel efficiënter en vaak ook veiliger. Het brengt echter ook potentiële gevaren met zich mee.

32 IT gemeente Veere flexibeler en veiligerDe gemeente Veere breidde de afgelopen jaren haar IT uit met nieuwe mogelijkheden. Ze wilde het thuiswerken voor medewerkers faciliteren. Daarnaast wilde ze structuur creëren in de koppelingen naar buiten, die in het kader van de digitale dienstverlening waren aangelegd. Als service aan de bezoekers van het gemeentehuis was het ook gewenst om een draadloos wifi-netwerk beschikbaar te stellen, net zoals het gebruik van internet en social media beheersbaar moest blijven voor de IT’ers.

38 IAM voor de cloud en uit de cloudDe ingebruikname van cloud-technologie verandert niet alleen de kijk op IT-afdelingen, maar heeft ook sterke invloed op hoe organisaties kijken naar identity en access management (IAM). Cloud verandert op twee manieren de IAM-strategie: welke cloud resources moeten worden beheerd en welke mogelijkheden zijn er om een identiteitsoplossing toe te passen?

40 Troubleshooting TCP/IP networks

42 Burger wantrouwt bedrijven

44 Wereldwijd consumentenonderzoek legt meningen en gevoeligheden privacy bloot Uit wereldwijd onderzoek dat IT-bedrijf EMC heeft gedaan onder 15.000 consumenten, blijkt dat vrijwel iedereen graag wil profiteren van nieuwe, digitale technologieën, maar daarvoor geen privacy wil inleveren. In dit onderzoek is ook een groot aantal Nederlandse consumenten ondervraagd naar hun zienswijze op online privacy, verdeeld naar activiteiten, communicatie en gedrag. Opmerkelijke uitkomsten daarvan zijn dat Nederlanders meer bemoeienis verwachten van de overheid door bijvoorbeeld het invoeren van opt-in-wetgeving en dat hun privacy-niveau mede dankzij sociale media moeilijk in stand te houden is de komende vijf jaar.

46 Legal Look

NEDERLANDSE IT-BEVEILIGERSZIJN GOED BEZIG

‘HET INTERNETZAL TOCH NOOIT VEILIG WORDEN’

NIEUWE EUROPESE DATABESCHERMINGSWETGEVING

STATEFUL APPLICATION CONTROL MAAKT MALWAREDETECTIE OVERBODIG

6 Het veldwerk van de Nationale IT-Security Monitor is afgerond.

Meer dan 200 beslissers op het ge-bied van IT-security bij organisaties met 50 of meer medewerkers hebben de moeite genomen om zich door een lange lijst te worstelen met vragen omtrent het gebruik en de uitdagingen van IT-security in Nederland. De sur-vey biedt een schat aan materiaal, die we het komende jaar op alle mogelijke manieren gaan analyseren en waarbij een groot aantal thema’s de revue zullen passeren. Voordat we de diepte ingaan, zetten we hier graag een aantal van de meest opvallende uitkomsten op een rij.

28 De resultaten van de jaarlijkse Unisys Security Index 2014 laten zien dat

Nederlanders weliswaar bezorgd zijn over de veiligheid van data online, maar dat we ook geloven dat de strijd om een veilig internet al verloren is. Vraag je ons bijvoorbeeld of we een eigen Europees datanetwerk willen om ons te beschermen tegen spionage van buitenlandse overheidsinstellingen, dan rea-geren we maar lauwtjes: 51% van de Nederlanders staat hier neutraal tegen-over omdat het internet volgens hen hoe dan ook niet veilig zal zijn en slechts 30% vindt dit een goed idee. Waar komt dat wantrouwen vandaan en kunnen we er nog iets aan doen?

34 Uit onderzoek van Trend Micro, specialist op het gebied van be-

veiligingssoftware, blijkt dat 4 op de 10 bedrijven in de Benelux zich niet bewust zijn van het feit dat er een nieuwe Euro-pese wet van kracht gaat worden voor databescherming. De nieuwe EU Gene-ral Data Protection Regulation is opge-steld om één lijn te trekken in de wetge-ving over databescherming. Slechts 15 procent van de organisaties in de Bene-

lux weet goed wat deze wetgeving voor hun organisatie gaat betekenen.

12 Malware is ‘bad’, zo bad zelfs dat alle traditionele middelen om malware te

bestrijden praktisch nutteloos zijn gebleken. “Maar nog niet alle hoop is verloren”, zo stelt Peter H. Gregory, een gevierd security-expert en auteur van het boek ‘Stopping Zero-Day Ex-ploits for Dummies’. Volgens Gregory krijgen malwarebestrijders een nieuwe kans met ‘Sta-teful Application Control’. “Het is een van de

meest veelbelovende ontwikkelingen in lange tijd.”

INHOUD


“De resultaten van dit onderzoek bevestigen onze ervaringen met klanten dat orga-nisaties alom een verschuiving maken van een reactieve naar een pro-actieve aan-pak voor IT-security. Dat is een goede ontwikkeling. Tegelijkertijd krijgen we met deze Nationale IT-Security Monitor ook een goed inzicht in de uitdagingen. We zullen ons meer moeten voorbereiden op de toekomst. Zo ook aan ons de taak om organi-saties beter wegwijs te maken naar een veilige cloud-omgeving.” Aldus Rogier van Agt, verantwoordelijk voor IT-security dienstverlening bij Sogeti.

1. SECURITY WORDT BIJZON-DER SERIEUS GENOMENDe belangrijkste aanleiding om het secu-ritybeleid te wijzigen, is ook in 2014 nog altijd het plaatsvinden van een incident. Toch lijken de onderzoeksresultaten erop te wijzen dat Nederlandse orga-nisaties het securitybeleid structureler aanpakken dan ooit tevoren. Voor bijna evenveel organisaties vormen analy-ses op het gebied van risicobeheersing met betrekking tot bedrijfsprocessen en het ontstaan van nieuwe dreigingen een belangrijke aanleiding. Daarmee lijkt de Nederlandse IT-security strategie pro-ac-tiever dan ooit.Nederlands organisaties investeren ook steeds meer in IT-beveiliging. In 2014 verwacht men dat de uitgaven aan IT-beveiliging gemiddeld met 11% toene-men en volgend jaar zelfs met 14%. De topprioriteiten liggen op het vlak van netwerkbeveiliging en identiteits- en toegangsbeheer. Op dit laatste gebied neemt de groei, ondanks de topprioriteit, het komend jaar sterk af. Het hoogtepunt lijkt daar dus nu wel bereikt te worden. Investeringen in netwerkbeveiliging blij-ven sterk groeien, maar de sterkste groei komt uit een hele andere hoek: mobiele security.De meeste organisaties lichten minimaal eens per jaar het hele IT-beveiligingsplan grondig door. Er wordt beleid geformu-leerd op het gebied van databeveiliging, op het gebied van user awareness, op het gebied van privacy, enzovoorts. Toch kent het beleid ook wat zwakke plekken, waaruit blijkt dat de pro-actieve houding nog niet helemaal op het ideale niveau is. Het beleid is er vooral op gericht om de huidige IT-omgeving te beveiligen. Zo zegt maar 18% van de organisaties dat software ontwerpregels een onderdeel zijn van het securitybeleid en niet meer dan 27% van de organisaties heeft een securitybeleid voor het testen van nieu-we oplossingen. Ook is het beleid ter voorbereiding op de Europese Data Pro-tectie Verordening verre van algemeen.

2. SECURITY IS MEER DAN OOIT EEN MOVING TARGET Toch is het belangrijk dat IT beveiligers in staat zijn om de aandacht meer te ver-leggen naar opkomende en toekomstige uitdagingen. Meer dan ooit is IT-secu-rity een moving target. Natuurlijk wor-den aanvallen steeds ingenieuzer en/of

grootschaliger. Veel van de inspanningen van IT-security zijn erop gericht om de organisatie hier zo goed mogelijk tegen

te beschermen. Maar er liggen ook hele grote uitdagingen in het veranderende gebruik van informatietechnologie. Juist

NederlandseIT-beveiligers

zijn goed bezigHet veldwerk van de Nationale IT-Security Monitor is afgerond. Meer dan 200 beslissers op het gebied van IT-security bij organisaties met 50 of meer medewerkers hebben de moeite genomen om zich door een lange lijst te worstelen met vragen omtrent het gebruik en de uitdagingen van IT-security in Nederland. De survey biedt een schat aan materiaal, die we het komende jaar op alle mogelijke manieren gaan analyseren en waarbij een groot aantal thema’s de revue zullen passeren. Voordat we de diepte ingaan, zetten we hier graag een aantal van de meest opvallende uitkomsten op een rij.

Figuur 1: Reikwijdte IT-Security strategieVraag: Op welke gebieden heeft uw organisatie beleid geformuleerd op het

gebied van IT-beveiliging?

Figuur 2: Hoe wordt de IT-Security strategie geëvalueerd?Vraag: Op basis waarvan evalueert u het beveiligingsbeleid?

ONDERZOEKDOOR PETER VERMEULEN

Eerste opvallende uitkomsten Nationale IT-Security Monitor 2014


met 250 of meer medewerkers - bezig zijn om zich voor te bereiden. Het min-der goede nieuws is dat er nog heel veel moet gebeuren. Zo heeft niet meer dan 6% een (verplichte) Data Protection Of-ficer aangewezen. Alleen op het gebied van de meldplicht datalekken loopt het percentage wat op, maar dat komt voor-al omdat de wetgeving op dat gebied al vooruitloopt.

We zouden hier graag alle bedrijven die zich in de diverse trajecten bevinden aanmoedigen om het tempo erin te hou-den. Maar vooral willen we de organisa-ties wakker schudden die nog altijd niet door hebben dat ze aan de bak moeten en wat ze dan moeten doen.

DE ONDERKANT VAN DE IJSBERGDe eerste analyse van de Nationale IT-Security Monitor laat zien dat Neder-landse IT-beveiligers goed bezig zijn. Ze zijn steeds pro-actiever en kijken steeds beter naar alle veranderingen die in de markt plaatsvinden. Toch zullen ze de ruimte moeten zien te vinden om niet alleen bij te blijven, maar ook meer te anticiperen op komende ontwikkelingen. Met elke technologische verandering ontstaan er nieuwe gaten in de beveili-gingsmuur en het duurt vaak nog te lang voordat deze gaten gedicht worden. Wie in staat is om deze gaten sneller te dich-ten of zelfs te voorkomen, helpt zijn orga-nisatie om nieuwe technologische mo-gelijkheden sneller te omarmen en een voorsprong op de concurrentie te nemen. Met disruptie op de loer in vrijwel iedere

sector, is het belang hiervan niet te on-derschatten.In de komende maanden gaat Pb7 Re-search verder met het analyseren van de onderzoeksgegevens, zodat we ook de onderkant van de ijsberg inzichtelijk voor u kunnen maken. Wilt u meer weten over hoe andere organisaties omgaan

met security beleid, cloud beveiliging, consumerization, IT-security training, da-tabeveiliging, advanced threat protection of bijvoorbeeld risicobeheersing, houdt ons dan vooral in de gaten!

Peter Vermeulen is directeur van Pb7 Research

daar lijkt IT-security moeite te hebben om grip te krijgen:De helft (49%) van de respondenten geeft aan dat er onvoldoende kennis aanwezig is om cloudoplossingen veilig te kun-nen gebruiken. Tel daarbij op dat bin-nen bijna de helft van de organisaties de IT-beveiligers niet zeker weten of ze alle cloudtoepassingen in het vizier hebben en je begrijpt waarom veel beveiligers

liever geen cloudoplossingen binnen hun organisatie zien.Ook geeft de helft (51%) aan dat er on-voldoende kennis aanwezig is om smart-phones en tablets veilig te kunnen ge-bruiken. Om het toch in goede banen te leiden, wordt veelal maar beperkt toegang gegeven tot bedrijfsapplicaties en zet men encryptie in. Maar een een-voudige virusscanner ontbreekt bijvoor-

beeld in de meeste gevallen.Wel zien we een zeer positieve ontwik-keling op het gebied van het ontwerpen van nieuwe software. Binnen driekwart van de Nederlandse organisaties worden zowel de regels ‘secure by design’ als ‘private by design’ gehanteerd. Dat financiële dienstverleners hierin voorop blijken te lopen zal niemand ver-bazen. Dat men op dit gebied juist in de zorg achterloopt, is zorgelijk. Helaas lijkt het erop dat deze ontwerpregels maar matig geborgd zijn in de beleidsvorming van IT-security (zie vorige paragraaf). Bij veel organisaties, vooral in de zorg, geeft men dan ook toe dat bij de ontwikkeling van nieuwe applicaties security pas op het laatst wordt ‘toegevoegd’.

3. NEDERLAND IS NOG LANG NIET KLAAR VOOR DE EUROPE-SE DATA PROTECTIE VERORDE-NINGOok op een ander gebied mag IT-bevei-liging wel iets meer op de ontwikkelin-gen vooruitlopen, hoewel je de vraag zou kunnen stellen of IT-beveiliging hier lei-dend zou moeten zijn. De meeste organi-saties zijn zich er terdege van bewust dat er vanuit Europa een data protectie ver-ordening aankomt, waarbij overtreders tegen niet misselijke boetes aanlopen.Het goede nieuws is dat de meeste or-ganisaties die het aangaat - organisaties

ONDERZOEK

NATIONALE IT-SECURITY MONITOR De Nationale IT-Security Monitor is een initiatief van FenceWorks - uitgever van onder andere AppWorks, CloudWorks, Digitalezorg.nl magazine en Infosecu-rity Magazine - en Pb7 Research en is mogelijk dankzij de medewerking van:

• Sogeti

• Fortinet• Sophos• TecHarbor• Trend Micro• TSTC • Vest

Figuur 4: Hoe vaak wordt security pas op het laatst toegevoegd?Vraag: Bij het ontwikkelen van nieuwe software komt security pas bij het eind van het proces in

beeld - Ben u het eerder eens of oneens met deze stelling? Percentage ‘eens’ wordt weergegeven

in de figuur.

Figuur 5: Wie is er klaar voor de Algemene Data Protectie Verordening?Vraag: In welke mate is uw organisatie voorbereid op de volgende eisen van de Dataprotectie Ver-

ordening?[Organisaties >249 medewerkers]

Figuur 3: Hoe wordt de IT-Security strategie geëvalueerd?Vraag: Bent u het eerder eens of oneens met de volgende stellingen?

“Het is verheugend om te constateren dat steeds meer Nederlandse bedrijven serieus nadenken over het opzetten van een structureler security-beleid. Met het oog op de enorme risico’s die mobiele werknemers lopen, raden wij bedrijven en instellingen aan een formeel BYOD -beleid (bring your own device) op te stellen. Wij kunnen ons levendig voor-stellen dat managers zich desondanks zorgen maken of ze wel voldoende ken-nis in huis hebben. Voldoen we wel aan de nieuwste weten regelgeving? is in dit verband een terechte en relevante vraag. Sophos heeft goed nieuws. Sophos Mo-bile Control en SafeGuard Encryption zijn getoetst en voldoen aan de nieuw-ste eisen van de aankomende Europe-se Data Protectie Verordening. Hiermee voorkomt u dat BYOD een nachtmerrie wordt.” Aldus Pieter Lacroix, managing director Sophos.

Alhoewel security steeds vaker bovenaan de agenda komt te staan, blijkt uit dit onderzoek dat bedrijven vaak pas actie ondernemen na een incident. Het is een inkopper, maar het credo ‘voorkomen is beter dan genezen’ geldt zeker ook bij cy-bercrime. Maar weinig organisaties kunnen zich de imagoschade en kosten permit-teren die cyberaanvallen met zich mee brengen. Daarnaast blijkt ook dat de helft van de it-specialisten vindt dat ze onvoldoende kennis in huis hebben om optimale security-garanties te kunnen bieden aan medewerkers in hun organisatie. We vinden het belangrijk om krachten en kennis te bundelen om zo van elkaar te kunnen leren en echt goede oplossingen te vinden in de strijd tegen cybercrime, vandaar dat Trend Micro sinds kort gratis kennissessies organiseert (www.letstalkabout-it.nl).” Aldus Tonny Roelofs, country manager Trend Micro.

De Nationale IT-security monitor laat een aantal interessante uitkomsten en ontwik-kelingen zien. Belangrijke ontwikkelingen welke ook in deze uitgave terugkomen zijn de principes ‘by design’ en ‘by default’. De adoptie ervan volgt daarbij ook de ontwikkelingen binnen de hernieuwde ISO27002 standaard, waarbij meer aandacht is voor onder andere eisen aan het software ontwikkelproces. Ook vermeldt de ISO standaard dat er binnen elk willekeurig project aandacht dient te worden gegeven aan informatiebeveiliging. In een privacy context is ‘by default’ een van de speerpun-ten van de aanstaande dataprotectie verordening.Door vooraf na te denken over beveiligingsaspecten kan belangrijke winst worden behaald in het verminde-ren van incidenten en, prettige bijkomstigheid, uw orga-nisatie is meer in control.” Aldus Kees Mastwijk, senior Security Consultant Vest informatiebeveiliging.

BUSINESS INFORMATION GOVERNANCE


“Een standaard gaat zeker helpen in de strijd tegen hackers”, zegt interim be-stuurslid Wim Goes van de foundation. “Hoe meer er eenduidig wordt gewerkt, hoe meer kennis we opdoen voor de beveiliging.” Goes, behalve bestuurslid ook quality director bij softwaretestbe-

drijf SQS, denkt dat het goed is dat de vrijheid van ontwikkelaars wat wordt te-ruggedrongen. “Dat is in het belang van de veiligheid. Je kunt je als bedrijf geen software incidenten veroorloven.” Steeds meer bedrijfswaarde bevindt zich in soft-ware en de komende jaren neemt dit al-

leen maar toe. “Hackers zijn er op uit om software te laten crashen. Op die manier krijgen ze informatie om te kunnen inbre-ken in systemen. Door volgens de stan-daard te werken, geef je ze gewoon min-der kans. Of kun je bij een digitale aanval bepaalde delen van je systeem met ge-voelige informatie beter beschermen.”

BETROUWBARE SOFTWAREAantoonbaar betrouwbare software speelt een steeds belangrijkere rol. Zo-wel in de Digitale Agenda als de Nati-onale Cyber Security Strategie van de overheid is de ontwikkeling van veilige

software ter bestrijding van cybercrimi-naliteit één van de belangrijkste onder-werpen. De nieuwe standaard is bedoeld als leidraad voor de hele softwareketen, waaronder opdrachtgevers.Onveilige software is echter moeilijk te herkennen. Je kunt als gebruiker dan ook niet weten of je veilige of onveilige software gebruikt. “Bovendien kan het vaak helemaal geen kwaad om onveilige software te gebruiken, totdat er natuurlijk een moment komt dat het misgaat. Maar daar kan best een hele tijd overheen gaan”, aldus Koen Sandbrink van het Na-tional Cyber Security Centre.Sandbrink trekt de vergelijking met het bouwen van een kantoor. “Daar weet je van tevoren hoeveel vierkante meter je nodig hebt, wat de architectonische ken-merken moeten zijn, hoe vluchtwegen lopen, noem maar op. Voor software se-curity bestaan zulke eisen niet.”Fred Hendriks van iComply, initiatiefne-mer van de Secure Software Foundation, noemt het probleem een witte vlek in ICT-land. “Ontwikkelde software wordt pas bij oplevering getest op zwakke plekken en lekken.”

STRIJD IS NOG LANG NIET GESTREDENDe Secure Software Foundation bena-drukt dat de strijd tegen cybercrime nog lang niet is gestreden. Een wereldwijde standaard is namelijk nog niet beschik-baar. “We willen wel voorop lopen. Daar-om hebben we het kader in het Engels ontwikkeld.”Volgens Goes is het belangrijk om nu snel door te pakken. “SQS is nauw bij de ontwikkeling van de standaard be-trokken. Medewerkers zijn opgeleid om bij bedrijven te helpen het framework te implementeren en om de certificerings

audits te doen. We lopen voorop en zijn een grote, internationale speler op het gebied van software quality en testen. Wij kunnen zorgen voor de afstemming tus-sen bedrijven.”De afgelopen periode is het ‘Framework Secure Software’ als pilot met succes ge-test bij diverse software-ontwikkelorga-nisaties. De standaard is bijna volledig gericht op het veilig produceren van het product. De applicatie, inclusief code, is daarom aanvullend op bestaande (pro-ces)normen zoals de ISO normen. De Se-cure Software Foundation neemt de uitgif-te, verdere ontwikkeling en bewaking van de open standaard voor haar rekening.

ALLE BELANGHEBBENDEN IN DE KETENHet framework richt zich op alle belang-hebbenden in de softwareketen. Op-drachtgevers krijgen met dit framework de mogelijkheid aangereikt criteria voor veilige software in hun lijst van vereisten op te nemen, zonder dat ze zelf inhoude-lijke experts hoeven te zijn. Zij kunnen hiermee de softwareleverancier vragen om aan te tonen dat hun software veilig is, eventueel door de software te laten cer-tificeren. Het moeten toepassen van het framework kan ook worden benoemd in het aanbestedingtraject.Software-ontwikkelorganisaties kunnen de criteria van het framework gebruiken bij het bouwen van applicaties. Project-managers, testers en externe partijen kunnen de kwaliteit met betrekking tot de veiligheid gedurende het ontwikkeltra-ject meten. Reviewers en auditoren kunnen de cri-teria uit het Framework Secure Software gebruiken om de veiligheid van de ge-produceerde software te beoordelen en hierover aan de opdrachtgevers te rap-

porteren op begrijpelijke wijze. De audit voor het uitreiken van het Secure Soft-ware Certificaat kan enkel door een door de stichting gecertificeerde auditpartij worden uitgevoerd. Fred Hendriks: “100% veiligheid is on-mogelijk, maar met het framework is het mogelijk om te controleren of er voldoen-de security is geïmplementeerd.”

De strijd tegen cybercrime gaat een volgend hoofdstuk in met de lancering van een nieuwe standaard voor veilige soft-ware. De standaard van de onlangs opgerichte Secure Soft-ware Foundation helpt ontwikkelaars veilige software te ont-wikkelen. Daarnaast biedt de standaard de mogelijkheid de veiligheid van bestaande softwareoplossingen te toetsen.

STANDAARD VEILIGE SOFTWARE

NIEUWE STAP TEGEN CYBERCRIME

Oprichting van Secure Software Foundation SECURE SOFTWARE FOUNDATION De onlangs opgerichte Secure Software Foundation heeft tot doel de ontwikke-ling van veilige software te bevorde-ren. Dit doet de stichting onder andere door het beheren en ontwikkelen van het Framework Secure Software. Daar-naast is de Secure Software Foundation uitgever en kwaliteitsbewaker van het Secure Software Certificate. Met dit certificaat kunnen software-ontwikkel-organisaties aan gebruikers en klanten aantonen dat hun software betrouw-baar ontwikkeld is.Het Secure Software Certificate kan worden verkregen wanneer bij de ont-wikkeling van de software aan alle as-pecten van het Framework Secure Soft-ware is voldaan.Voor het aanvragen van het Secure Soft-ware Certificaat moet de software wor-den beoordeeld door een van de door de Secure Software Foundation aange-wezen officiële inspectie/audit-instel-lingen. Hierbij moet het audit-rapport worden afgetekend door een Registe-red Secure Software Auditor (RSSA™).Gedurende het certificeringsproces worden zowel de ontwikkelde applica-tie (ontwerp en code) als de borging in de organisatie onderzocht. Wanneer de auditor de invulling van alle aspec-ten uit het Framework als voldoende beoordeelt, zal hij de Secure Software Foundation verzoeken een Secure Soft-ware Certificate af te geven voor de on-derzochte applicatie(s).Met de nieuwe standaard voor veili-ge software hoopt de Software Secu-re Foundation een belangrijke stap te zetten in de strijd tegen cyber-crime. Hierbij wordt gekozen voor een vorm van preventie, die volgens de stichting beter is als genezing. https://www.securesoftwarefoundation.org/


Steeds vaker zijn het juist de leveranciers van antimalwareproducten die verkondi-gen dat we de strijd tegen de toenemen-de cybercriminaliteit verliezen. In mei van dit jaar riep Symantec nog de nodige verontwaardiging over zich af toen Brian Dye, bij het beveiligingsconcern chef in-formatiebeveiliging, tegenover The Wall Street Journal verkondigde dat antivirus ‘dood’ is. Het leveren van antivirusoplos-singen zou geen geld meer opleveren.Het is een boodschap waarin Peter H. Gregory, die zich onder andere Certified Information Systems Auditor en Certified Information Systems Security Professio-nal mag noemen, zich ongetwijfeld kan vinden. In ‘Stopping Zero-Day Exploits for Dummies’ stelt Gregory dan ook dat het detecteren van dreigingen niet langer voldoende is om datadiefstal te voorko-men. “De effectiviteit van de traditionele detectiesystemen neemt af. Antimalware-programma’s detecteren nog maar een klein deel van de malware.”

GERAFFINEERDE CYBERCRIMI-NELENVolgens Gregory heeft de afnemende effectiviteit van de traditionele beveili-gingsmaatregelen alles te maken met de steeds geraffineerdere werkwijze van de cybercriminelen. Zo maken crimi-nele organisaties steeds vaker gebruik van ‘zero-day exploits’ waarbij misbruik wordt gemaakt van een nog onbekend gat in de beveiliging om de machine van de gebruiker te besmetten met malware. Omdat er voor deze onbekende gaten – de zogenaamde ‘zero-day vulnerabilities – nog geen bescherming beschikbaar is, vormen ze een populair doelwit voor aanvallers.Met een succesvolle exploit kunnen aan-vallers iedere willekeurige vorm van malware op de machine van het slachtof-fer plaatsen. Waar de exploit is bedoeld om de malware op het systeem van het slachtoffer te krijgen, is de malware zelf een stukje code die wordt gebruikt om een systeem onder controle te krijgen en informatie te stelen. De auteur merkt daarbij op dat moderne vormen van mal-ware inmiddels veel meer doen dan het loggen van toetsaanslagen, kopiëren van gebruikersschermen en het ontvreem-den van informatie die staat opgeslagen op de besmette machine. Als voorbeel-den noemt Gregory de Remote access Trojans om een systeem onder controle te krijgen, botnets voor het uitvoeren van grootschalige aanvallen en malware die

specifiek is ontworpen voor het stelen van uiterst gevoelige informatie zoals in-loggegevens en creditcardinformatie.Aanvallers maken niet alleen gebruik van geavanceerdere technieken, maar gaan ook hardnekkiger te werk (respectievelijk de ‘A’ en de ‘P’ in APT, oftewel Advanced Persistent Threat). Een aanval kan weken tot zelfs een jaar of langer in beslag ne-men. Tijdens die periode doorloopt de aanvaller globaal zes stappen. De eer-ste stap is het verzamelen van informa-tie over het slachtoffer waarna in stap twee de aanval kan worden gepland en de tools voor het uitvoeren van de aanval kunnen worden ontwikkeld. In stap drie vindt de eerste aanval plaats, door mede-werkers te verleiden om een kwaadaar-dig document te openen of een besmette website te bezoeken. De malware die op die manier wordt geïnstalleerd, is meest-al bedoeld om de aanvaller toegang te verschaffen tot het interne netwerk. Een-maal binnen kan de aanvaller in stap vier verder op onderzoek uit door het e-mail-verkeer te monitoren, het netwerkver-keer te observeren of het interne netwerk in kaart te brengen en indien nodig nieu-we tools ontwikkelen waarmee de aanval kan worden voortgezet. Uitgerust met de juiste kennis en tools kan de aanvaller in stap vijf eindelijk doen waarvoor hij ge-komen was, zoals het stelen van data en

intellectueel eigendom of het saboteren van systemen.

VERLOREN GEVECHTENAanvallers kunnen uiteenlopende rede-nen hebben om een organisatie aan te vallen, variërend van het uiten van onge-noegen over de sociale of ideologische koers van een organisatie (‘hacktivisme’) tot industriële of politieke sabotage. De meeste cybercriminelen is het echter om geld te doen, en dat doen ze niet onver-dienstelijk. Volgens het Amerikaanse mi-nisterie van Financiën gaat in de wereld-wijde cybercriminaliteit inmiddels meer geld om dan in de handel in drugs.Volgens Gregory zijn er dan ook ‘ver-loren gevechten’ gevoerd tegen cyber-criminaliteit. “Organisaties hebben vele tools, technieken en processen ontwik-keld en geadopteerd om malware en cy-beraanvallen af te kunnen slaan. Sommi-ge technieken zijn min of meer succesvol geweest, maar deze successen hebben er alleen maar toe geleid dat de aanval-lers werden aangemoedigd om nog be-tere technieken te ontwikkelen om onze verbeterde defensiemaatregelen te om-zeilen.”Volgens de auteur hebben we de ‘slag’ met de cybercriminelen op meerdere fronten verloren. De opvoeding van de gebruikers, middels security aware-

Malware is ‘bad’, zo bad zelfs dat alle traditionele middelen om malware te bestrijden praktisch nutte-loos zijn gebleken. “Maar nog niet alle hoop is verloren”, zo stelt Peter H. Gregory, een gevierd secu-rity-expert en auteur van het boek ‘Stopping Zero-Day Exploits for Dummies’. Volgens Gregory krijgen malwarebestrijders een nieuwe kans met ‘Stateful Application Control’. “Het is een van de meest veelbelovende ontwikkelingen in lange tijd.”

MALWAREDOOR FERRY WATERKAMP

STATEFULAPPLICATION CONTROL MAAKT MALWAREDETECTIE OVERBODIG

Stopping Zero-Day Exploits For Dummies

U kunt Stopping Zero-Day Exploits

op de website van Infosecurity

Magazine downloaden:

http://infosecuritymagazine.nl/

2014/06/12/ibm-maakt-het-u-

gemakkelijk/


ness-trainingen, is een van die fronten. Dergelijke trainingen zijn bedoeld om medewerkers bewust te maken van de gevaren, in de hoop dat ze niet meer op een verdachte link of document klikken. “Je hebt echter maar een paar mensen nodig die uit haast, onwetendheid, ver-geetachtigheid of door een inschattings-fout of gewoon nieuwsgierigheid toch een phishing- of spear-phishing openen met als resultaat dat het werkstation van de gebruiker wordt gecompromitteerd.” Even zinloos zijn de pop-upberichten waarin gebruikers wordt gevraagd of be-paalde acties moeten worden toegestaan of geblokkeerd. “De meeste gebruikers hebben geen idee en het kan ze ook niet schelen. Ze willen gewoon hun werk doen.”Ook zijn we volgens Gregory weinig succesvol geweest in het voorkomen van kwetsbaarheden door effectief te patchen. In de praktijk is het bijna niet te doen om alle security-patches die beschikbaar worden gesteld uit te rol-len, zeker nu er door de Bring Your Own Computer-trend steeds meer onbeheer-de computers inpluggen op het netwerk. Jezelf beschermen tegen een zero-day vulnerability is bovendien onmogelijk. En ook op het gebied van malwaredetectie hebben we de slag met de cybercrimi-nelen verloren. “Door de opkomst van geavanceerdere malware en ontwijkings-technieken zijn de traditionele beveili-gingsmaatregelen een stuk minder effec-tief geworden.”

STATEFUL APPLICATION CON-TROLAls lezer van ‘Stopping Zero-Day Ex-ploits For Dummies’ zou je bijna denken dat we volstrekt kansloos zijn in de strijd tegen cybercriminaliteit. De eerste drie hoofdstukken – en daarmee ruim de helft van het boek – staan dan ook volledig in het teken van de ongelijke strijd tussen aanval en verdediging. Pas in hoofdstuk

vier blijkt dat deze uitgebreide schets van het dreigingslandschap de opmaat vormt naar de introductie van ‘Stateful Application Control’, een nieuwe bena-dering die moet voorkomen dat malware ook daadwerkelijk wordt uitgevoerd en schade toebrengt aan de endpoints van de gebruiker. In dit hoofdstuk blijkt ook waarom ‘Stopping Zero-Day Exploits For Dummies’ is geschreven ‘met en voor Trusteer, an IBM Company’, zoals al in de inleiding wordt opgemerkt. Stateful Application Control wordt namelijk toe-gepast in Trusteer Apex.Stateful Application Control maakt ge-bruik van het gegeven dat een ge-compromitteerde applicatie afwijkend gedrag zal vertonen. Trusteer Apex mo-nitort daarom de ‘status’ van een applica-tie op het moment dat er een gevoelige handeling wordt verricht, zoals het schrij-ven naar het filesysteem of het openen van een communicatiekanaal. Op het moment dat de applicatie een applica-tie-interface gebruikt, wordt Stateful Ap-plication Control getriggerd om de actu-ele status van de applicatie te vergelijken met alle bekende applicatiestatussen. Als er geen ‘match’ is, duidt dat erop dat er sprake is van een exploit. Trusteer Apex zal dan ook voorkomen dat de gedown-loade file wordt uitgevoerd en er schade wordt toegebracht aan de machine. Dief-stal van data wordt voorkomen door het Command & Control (C&C)-communica-tieverkeer te blokkeren.Dit gedachtengoed wordt in het boek verder verduidelijkt aan de hand van en-kele voorbeelden. Als bijvoorbeeld een gebruiker een browser gebruikt om een website te bezoeken en een file te down-loaden, is dat een legitieme actie waar een bekende applicatiestatus bij hoort. Als de bezochte website echter een ver-borgen exploitcode bevat die misbruik maakt van een ongepatchte kwetsbaar-heid in een browser om vervolgens een drive-by download uit te voeren, is er

sprake van een onbekende, niet gevali-deerde applicatiestatus die niet kan wor-den gematcht met een bekende status. Er is kortom afwijkend gedrag wat erop duidt dat er een exploit heeft plaatsge-vonden.

ADVANCED THREATPROTECTIONStateful Application Control biedt een effectieve bescherming tegen zero-day exploits en andere Advanced Persistent Threats die normaliter onder de radar blijven, zo concludeert de auteur. “Door-dat het geen poging doet om een drei-ging te detecteren, maar in plaats daar-van de status van de applicatie valideert, is Stateful Application Control in staat om dreigingen accuraat te blokkeren, of die nu bekend of onbekend zijn.” Daardoor is de nieuwe benadering ook niet afhan-kelijk van een bijgewerkte signature-da-tabase of van informatie die op voorhand beschikbaar is over een dreiging.‘Stopping Zero-Day Exploits For Dum-mies’ gaat nog dieper in op Stateful Ap-plication Control door onder andere te laten zien hoe Trusteer Apex kan worden geïmplementeerd en beheerd en hoe met ‘Real-Time Threat Intelligence’ de beveiliging nog verder kan worden aan-gescherpt. Het boek wordt afgesloten met een ‘top tien overwegingen’ voor een effectieve ‘Advanced Threat Protection’. Want zoals de auteur het zelf stelt: “Een For Dummies-boek is niet compleet zon-der een top tien-hoofdstuk.”

Ferry Waterkamp is freelance journalist

MALWARE

Titel: Stopping Zero-Day Exploits For Dummies, Trusteer Special EditionAuteur: Peter H. Gregory, met bij-dragen van Dana Tamir, Director of Enterprise Securi-ty bij Trusteer, an IBM CompanyPagina’s: 53ISBN: 978-1-118-75850-2

Over de auteur:Peter H. Gregory (CISA, CISSP, CRISC) is security- en riskmanager, universitair docent en auteur van ruim dertig boe-ken over security en opkomende tech-nologieën.

Steeds meer bedrijven ervaren ernstige gevolgen vanwege gerichte cyberaanvallen. Uit recent onder-zoek van McAfee blijkt dat Nederland jaarlijks maar liefst 8,8 miljard euro schade lijdt door cybercrime. Op een paar miljoen na, waarbij consumenten het slachtoffer zijn, gaat het vooral om schade bij bedrij-ven. Het grote probleem van cybercrime bij bedrijven is dat managers het vaak helemaal niet in de gaten hebben - of pas als het te laat is. Het is dus belangrijk om continu te controleren of er geen rare dingen in de IT-systemen, netwerken en toepassingen gebeuren. Ethical hacking is een eerste oplossing om orde op zaken te stellen.

INTERVIEW

VUUR MET VUUR BESTRIJDEN

VIA ETHICAL HACKING

CEO Comsec: ‘Simulatie is de beste manierom dreigingen en risico’s te overzien’

DOOR ESTHER SIEVERDING


STAPPENPLAN“Het draait bij ethical hacking dus alle-maal om het simuleren van de acties van de tegenstander. Of dit er nu 5, 10, 500 of 10.000 zijn. Hiervoor is eerst veel infor-matie nodig: niet alleen welke systemen het bedrijf gebruikt, maar ook de functie van die systemen en hun effect op overi-ge bedrijfsprocessen”, vertelt Ishai. “De hele interne infrastructuur wordt onder-zocht, omdat we moeten weten welke systemen, netwerken of toepassingen met elkaar in verbinding staan. In het ge-val van een aanval kunnen IT-onderdelen met een bredere verantwoordelijkheid namelijk ook meer schade aanrichten. Wij krijgen door deze methode toe te passen veel bedrijfsgevoelige informa-tie onder ogen, waarover we vervolgens rapporteren. Hierbij letten we op priva-cy issues en focussen we ons enkel en alleen op security-aspecten. We houden ons bovendien aan zeer strenge ethische codes.”

1) Maak een overzicht van de totale IT-omgeving “We moeten ten eerste achterhalen hoe de IT-omgeving van de klant is opgesteld, hoe deze werkt en welke onderdelen er verbonden zijn tot het internet, de cloud, of waar data is opgeslagen. Alle aparte onderdelen kunnen immers een risico vormen als de beveiliging ervan niet op-timaal is.”

2) Bekijk de functionaliteit“Vervolgens is het zaak om van ieder on-derdeel te bepalen wat de functionaliteit ervan is en hoe dit doorwerkt in de totale IT-omgeving. Op basis van dit onderzoek is daarna in te schatten welke effecten een mogelijke aanval kan hebben op de bedrijfsprocessen. Wordt een systeem gehackt dat met meerdere bedrijfskriti-sche systemen en netwerken in verbin-ding staat, dan is de impact van de aanval op de bedrijfsvoering logischerwijs vaak groter.”

3) Vul het ‘Threat Model’ aan“In veel gevallen bestaat er al een alge-meen ‘threat model’, maar deze is dan nog niet aangepast aan de daadwerkelij-ke soft- en hardware binnen het bedrijf. We moeten dit model daarom aanvullen met informatie die we in stap 1 en 2 heb-ben vergaard. Dit is dan specifiek gericht op de systemen en netwerken van die organisatie. Hiervoor zitten we lang met klanten aan tafel en interviewen we de

executives en business managers, zodat we precies weten welke componenten het huidige model bevat. Daarbij is het van belang om de juiste vragen te stellen, maar ook hoe je deze stelt. Zo krijgen we een volledig beeld van alle technologie en wat de functionaliteit betekent voor het gehele business model, waaruit we een business impact analyse (BIA) kunnen opstellen.”

4) Welke dreigingen zijn in dit geval van belangIshai vervolgt: “De volgende stap is om – op basis van de business analyse en het threat model – te bepalen welk soort dreigingen in deze organisatie een rol kunnen gaan spelen. Zijn dit interne of externe dreigingen? Ook definiëren de beveiligingsexperts het doel van de aan-valler: waar richten hackers zich momen-teel op? Willen ze geld of data stelen? Of informatie openbaar maken? Enzovoorts. We moeten weten waarom aanvallen wor-den uitgevoerd.

5) Definieer de aanval“De vijfde stap houdt in dat we de service gaan definiëren: dus bepalen we hoe de aanval eruit ziet die we gaan simuleren. Welke componenten zijn erbij betrokken (dit kom ook voort uit het threat model), is het een fysieke aanvaller? Komt deze van het internet, is het een interne of ex-terne dreiging? Bij een interne dreiging bijvoorbeeld, leveren de managers de gebruikersnamen en wachtwoorden zo-dat wij toegang krijgen tot de systemen. Maar bij een externe aanval – door een buitenstaander – waarbij de black- of greybox wordt aangevallen, dan ontvan-gen we geen extra informatie. Daar heeft een echte hacker immers ook geen be-schikking over.”

6) Specifieke aanpak uitvoerenDan volgt de daadwerkelijke uitvoering van de simulatie. Comsec heeft speciale methoden ontwikkeld op het gebied van cyber attack simulatie, dat is haar unieke selling point. Het bedrijf heeft verschil-lende sets van simulaties, die relevant zijn aan specifieke IT-omgevingen en die zij in de loop der jaren ontwikkeld heeft. De simulaties hangen daarmee ook af van de eerder geschetste scenario’s bin-nen het bedrijf van de klant. Hierbij zet Comsec speciale actuele tools in.

7) AnalyseNa de simulatie vindt de analyse plaats:

van de gevonden resultaten, de com-plexiteit van de problemen en van de sta-biliteit van de manipulatie.

8) Rapportage“Tot slot stellen we een totaalrapport op over de resultaten van ethical hacking, welke problemen er zijn, welke proble-men kunnen ontstaan, inclusief aanbeve-lingen om deze uitdagingen direct aan te pakken. Daarnaast krijgt de klant advies in hoe te handelen bij soortgelijke situ-aties. Elke manipulatie of simulatie heeft namelijk andere variaties. We stellen klanten van die variaties op de hoogte zodat ze daar rekening mee houden op het moment ze hun systemen gaan be-schermen.”

VALKUILENMoshe Ishai sluit af met de mogelijke struikelpunten: “Zoals bij elke strategie, zijn er bepaalde punten waar je niet on-deruit kan. Dit is bij ethical hacking niet anders. Ethical hacking dekt niet alle aanvalsscenario’s. Dat is vanuit praktisch oogpunt ook bijna onmogelijk. De scena-rio’s worden opgesteld op basis van de structuur en de IT-omgeving van klanten. Zij moeten zich dan ook realiseren dat zij hacking en cybercrime niet volledig kunnen voorkomen als ze zich qua be-scherming alleen focussen op de geteste scenario’s. En als we via ethical hacking niets vinden in de systemen, dan bete-kent dit niet gelijk dat het systeem veilig is. Aanvallen en systeemonderdelen ver-anderen dagelijks vanwege updates. Wat op het ene moment geen risico vormt, kan dat op het andere moment wel zijn. Dit is een wezenlijk verschil met risk ma-nagement, waarbij alle risico’s binnen het bedrijf gecontroleerd worden en elke dreiging apart wordt aangepakt. Bij ethi-cal hacking zou je kunnen denken dat als er niets uit de analyse komt, dat er dan ook geen gevaar dreigt. Maar het kan tevens zo zijn dat er al kwetsbare com-ponenten binnen het systeem aanwezig zijn. Deze componenten vormen dan op het moment van de simulatie wellicht nog geen probleem, maar kunnen dit wel worden door continue wijzigen en updates. Het is dus essentieel om heel de IT-omgeving te blijven controleren op apartheden en afwijkingen. Alleen dan kun je de echte hackers voor zijn en het bedrijf in zijn geheel van een optimale bescherming voorzien.”

Esther Sieverding is freelance journalist

INTERVIEW

We spraken hierover met Moshe Ishai, CEO bij Comsec Cyber & Information Security Group. Dit Israëlische bedrijf levert volledige dienstverlening en con-sulting op het gebied van cyber- en in-formatiebeveiliging. Het richt zich met name op het maken van risicoanalyses door middel van ethical hacking. In Ne-derland wordt deze strategie nog niet in grote mate toegepast, terwijl het wel de kritieke punten blootlegt en schade kan voorkomen. Tijd dus om wat dieper in het onderwerp te duiken.

BEELDVORMINGIshai: ”Veel bedrijven krijgen nog een negatief gevoel bij ‘ethical hacking’. Dit komt door een contradictie in de term. Bestaat er wel zoiets als ethisch hac-ken? Ben je, als je iemands eigendom infiltreert, niet sowieso een crimineel? Bij ethical hacking gaat het erom dat IT- systemen, netwerken en applicaties bin-nen een organisatie getest worden door professionele beveiligingsexperts. Op verzoek van het management uiteraard. Hierbij is het belangrijk dat de experts op dezelfde manier denken als een echte hacker. Pas als zij dezelfde tools en han-delswijze gebruiken, zoals die binnen de aanvallerswereld voorhanden zijn, is de beveiliging optimaal te onderzoeken. Hacking is dan misschien niet het beste woord ervoor, want dat gebeurt alleen als het slachtoffer er niet van op de hoogte is. Bij ethical hacking worden actuele aan-valstechnieken met de directie bespro-ken en vervolgens gesimuleerd, zodat de organisatie haar eigen weerbaarheid kan testen en gericht actie kan ondernemen om zichzelf te beschermen tegen daad-werkelijke cyber attacks. Dat lijkt mij juist iets heel positiefs.”

VOORDELEN“Het grootste voordeel is dat bij ethical hacking voornamelijk gekeken wordt naar reële dreigingen en dat we zorg-vuldig nagaan wat het effect is van zulke aanvallen op de bedrijfsprocessen en de bedrijfsvoering. Iedere component van de IT-omgeving is hierbij van belang, om-dat ze allemaal onderdeel zijn van de or-ganisatie en een mogelijk risico vormen.Een ander voordeel is dat ethical hacking uitgaat van specifieke scenario’s die bij de klant een rol spelen. Vanwege vooraf-gaande uitgebreide analyses kunnen we daarmee tot de kern van het probleem komen, dreigingen blootleggen en de

klanten adviseren in wat de vervolgstap-pen moeten zijn.”

TRENDS EN ONTWIKKELINGEN“Wat we vaak merken, is dat de imple-mentatie van security-maatregelen of zelfs het bestaan van een strenge bevei-ligingsstrategie, nog te wensen overlaat. Ook bij grote internationale bedrijven. Het is daarom cruciaal om hen de ogen te openen door juist de effecten van de aanvallen aan te kaarten. Dit kan variëren van gestolen data dat openbaar wordt gemaakt tot het overnemen van alle kern-taken van de organisatie”, aldus Ishai.“Tegenwoordig hebben de aanvallers daarnaast een voordeel op de bescher-

mers. Ze hebben beschikking over heel goede wapens (tools), over de laatste technieken en platforms. Inmiddels be-staan er gigantische netwerken waar hackers van over de hele wereld bij el-kaar komen om informatie uit te wisse-len, technieken te bespreken of cyber weapons te verhandelen. Platforms als Darknet zorgen ervoor dat iedereen kan leren hacken – je kunt betalen voor je kennis en voor de middelen. Dit is een serieuze ontwikkeling die wij te allen tij-de in de gaten moeten houden. Op die manier kunnen wij altijd de meest actuele technieken testen op de omgevingen van onze klanten.”


ceerd zijn: Windows system volume, volu-me(s) met Windows page file, niet-NTFS volumes, non-fixed drive types (cd-roms en dergelijke) en target volumes die kleiner zijn dan de source volumes. Er is geen limiet voor wat betreft de grootte van het gerepliceerde volume.

De ingebouwde WAN-optimalisatie maakt optimaal gebruik van de bestaan-de netwerkverbinding zonder dat een WAN accelerator nodig is. Door een ef-ficiënt gebruik van compressie algorit-men wordt optimaal gebruikgemaakt van de beschikbare netwerkbandbreedte. DataKeeper is in staat om bij een 1 GbE netwerk een snelheid van 520 Mbps te halen.

REPLICATIE TYPENReplicatie met DataKeeper kan op ver-schillende manieren en configuraties worden toegepast. Ten eerste, door een tweede fysieke copy van de data te ma-ken. Ten tweede, een bestaande MSCS/WSFC cluster uit te breiden met een re-mote disaster recovery side en door de spof van de storage van de traditionele MSCS/WSFC cluster weg te nemen.DataKeeper is te configureren in een eenvoudige disk replicatiefunctie van disk-to-disk; one-to-one, one-to-many en many-to-one. Disk-to-disk repliceert data tussen twee volumes op dezelfde server, one-to-one, one-to-many en many-to-one tussen een of meer volumes tussen ser-ver(s). De MSCS of WSFC cluster is uit te breiden met replicatie van een sha-red volume naar een remote system via N-shared-disk to one; N-shared-disk to N-shared-disk of N-shared-disk to multi-ple N-shared-disk.

TESTCONFIGURATIE DATAKEEPEROnze test baseren we op een basis 2-node Windows Server 2012 R2 cluster. De cluster draait in een Active Directory Domain die op een aparte DC server ge-installeerd moet worden. Beide cluster-nodes zijn verbonden via twee netwer-ken, een 100Mb LAN en een 10GbE voor replicatie. De Remote Disaster Recovery Site ‘Remoteback-up’ is ook een Windows 2012 R2 server die deel uitmaakt van de-zelfde Domain. Op de primaire, secon-daire en back-up Windows Servers wordt de DKCE software geïnstalleerd. Voor de replicatie tussen de twee clusternodes

en de Remote Site Server worden Solid State Disks gebruikt. Op de cluster wordt SQL Server failover cluster software ge-installeerd. Om de failover en disaster recovery functies van de cluster te tes-ten maken we gebruik van de standaard database TPC-C test van de Benchmark Factory Databases test suite versie 7 van de firma Quest Software; zie http://www.quest.com/benchmark-factory/

INSTALLATIE WINDOWS 2012 CLUSTER Voor de cluster installatie volgen we de standaard installatieprocedure. Omdat

we een SANless cluster configureren en geen gebruik van shared storage ma-ken, vinken we niet ‘add all eligble sto-rage to the cluster’ aan. Want, we maken geen gebruik van een ‘Node and Majo-rity’ quorum; dit is wel de default keuze bij een cluster installatie. In plaats daar-van maken we gebruik van SMB 3.0 van Node en selecteren ‘File Share Majority quorum’.

Een File Share Witness moet op een ser-ver, in ons geval de ‘Domain Controller’, worden geconfigureerd die geen deel van de cluster mag uitmaken. De eerste

Figuur 2: Installatie Failover Cluster op basis van File Share Witness

Door een of meer kopieën van de SQL databestanden te maken, kan het risico van verlies van kritische databaseda-ta sterk worden verkleind. Dit biedt een zogenaamde Disaster-Recovery (DR) oplossing. Microsoft biedt daarvoor het concept ‘SQL Server AlwaysOn’. De firma SIOS biedt met het product

DataKeeper Cluster Editon (DKCE) een alternatief voor een dergelijke replica-tie-oplossing. DKCE is een in hoge mate geoptimaliseerde host-gebaseerde repli-catie-oplossing die naadloos aansluit op Microsoft Windows Server 2008 Failover Clustering (WSFC) en Microsoft Cluster Server (MSCS).

DE SANLESS CLUSTERVoor de SQL Server Always on in combi-natie met WSFC is shared storage nodig, voor WSFC in combinatie met DKCE niet. De komst van SQL Server 2012 bracht de mogelijkheid om op basis van Server Message Block (SMB) 3.0 shares (in feite netwerk-gebaseerde storage) te creë-ren. Daardoor is voor shared storage niet langer meer een dure, op iSCSI of Fibre Channel gebaseerde, SAN nodig.

WERKING DATAKEEPER CLUS-TER EDITIONEen van DataKeeper’s sleutelcomponen-ten is de kernel mode driver die verant-woordelijk is voor alle mirroringactivi-teiten tussen de source en target mirror endpoints. De synchrone of asynchrone replicatie vindt plaats op volume block level niveau. Bij de creatie van een mir-ror wordt eerst alle data gerepliceerd van het source naar het target volume. Na de initiële replicatie (ook wel ‘full re-sync’ genaamd) zijn beide volumes exact gelijk. Daarna onderschept DataKeeper alle writes naar het source volume en re-pliceert de datablocken via het netwerk naar het target volume.

DataKeeper maakt van een intent log file (ook wel aangeduid als een ‘bitmap file’) gebruik waarin de in het source volume aangebrachte wijzigingen worden bijge-houden. De log file geeft DataKeeper de mogelijkheid om een fout in het source systeem te herstellen zonder een volledi-ge mirror resync te moeten uitvoeren na herstel van de uitgevallen source server. Het bijhouden van de log file gaat wel ten koste van de prestaties, reden waarom wordt aanbevolen om deze file op een SSD te plaatsen.Volumes die niet kunnen worden gerepli-

Windows Cluster is geen garantie voorverlies van data

Windows Failover Clustering (WSFC) beschermt de Win-dowsomgeving en applicaties tegen uitval van een serverno-de. Het biedt weliswaar een High Availability (HA) oplossing maar geen garantie tegen het verlies van data bij bedrijfkri-tische Windowsapplicaties als SQL Server. Want in een zo-genaamde shared-nothing clusterconfiguratie vormt de sha-red storage een single-point of failure (spof). Wanneer de shared storage uitvalt, dan heeft geen enkele clusternode meer toegang tot de applicatiedata. De enige beschermde bestanden binnen een Windows cluster zijn de binary files van de SQL engine die zich lokaal op elke servernode be-vinden.

Figuur 3: Mirror details

DATAKEEPER REPLICATIE VOOR WINDOWS CLUSTERSDOOR BRAM DONS

REVIEW

Figuur 1: Testopstelling DataKeeper Cluster Edition


FAILOVER TESTHet idee achter de failover test is om aan te tonen dat bij uitval van een clusterno-de de SQL applicatie blijft functioneren en er geen applicatiedata verloren gaat. De SQL data blijft via de remoteback-up replicatie mirror behouden en beschermt de data bij uitval van een clusternode. Om de DR-functie te testen maken we gebruik van een trial Quest Database Benchmark gestandaardiseerde TPC-C test. De tri-al licentie is slechts voor tien gebruikers waarvan het geringe aantal voor ons doel niet uitmaakt. Na de configuratie van de TPC-C benchmarktest starten we deze TPC-C test op.

UITSCHAKELING PRIMAIRE NODEWe trekken nu ‘rücksichtslos’ de 220V stekker uit de primaire server. Het WSFC systeem detecteert de uitval van de pri-maire node en schakelt over naar de pas-sieve node die nu de actieve clusternode wordt. De mirror tussen de primaire en secondaire node is nu verbroken en krijgt de status ‘Resync pending’. De data van de SQL applicatie op de secondaire node wordt nu beschermd door de mirror tus-sen de secondaire en remote back-up node. We zien dat geen enkele data verlo-ren gaat en de gebruiker zal zo goed als niets merken dat een van de nodes ver-loren is gegaan. De Benchmark test laat geen enkele foutmelding zien. Na inscha-keling van de primaire clusternode zien we dat WSFC service de uitgevallen node weer oppikt. Zodra de primaire node weer deel uitmaakt van de cluster wordt de status gemeld aan de DataKeeper. Daarna wordt de mirror tussen de primai-re en secondaire node gesynchroniseerd en is de oude situatie weer hersteld.

UITSCHAKELING SECONDAIRE NODEWe herhalen de test maar nu met uitscha-keling van de secondaire node. De mirror naar de remote-back-up node wordt over-genomen door de primaire node. Ook hier blijft de SQL data beschermd door de mirror. We schakelen de secondaire

node weer in en wachten tot de cluster volledig is hersteld. Automatisch wordt de mirror tussen de primaire en secondaire clusternode weer hersteld.Ook constateren we dat er voor de ge-bruiker geen merkbare gevolgen waar-neembaar zijn. Alleen geeft de bench-mark een OCBC-error aan met als oorzaak een ‘SQL Server Native Client Communication Link failure’. Er gaat ech-ter geen data verloren en de test verloopt verder zonder foutmeldingen.

CONCLUSIEHet product DataKeeper Cluster Edition van de firma SIOS biedt in combinatie met Windows Cluster een volledige HA/DR-oplossing voor de Windows omge-

ving. DataKeeper is in verschillende om-gevingen toepasbaar: op basis van een traditioneel SAN-gebaseerde shared sto-rage of via de nieuwe SMB 3.0 Node en File Share Majority quorum van Windows Server 2012 R2. De laatste maakt een ‘SANless’ cluster mogelijk, de omgeving waarop onze test is gebaseerd. De instal-latie van de DataKeeper software op elke cluster is betrekkelijk eenvoudig en ver-loopt zonder problemen. De creatie van de cluster mirrors en de remoteback-up mirror is vanuit de GUI snel geregeld.Als applicatie draaiden we een database TCP-C test. De failover naar beide kanten van de cluster verloopt zonder proble-men. Na herstel van de afgeschakelde clusternode wordt de mirror snel hersteld en er treedt geen verlies van data op tij-dens de SQL TPC-C database test. Voor meer informatie over DataKeeper Cluster Edition: FT Systems, http://www.ftsystems.nl/

Bram Dons is consultant bij IT trendwatch

stap is om een file share te creëren en onze ‘mycluster’ cluster daartoe read/write access op zowel share als NTFS le-vel te geven. We geven de share de naam ‘FSW’.Nu we een file share op de DC hebben gecreëerd, keren we terug naar de Pri-mary node en maken we van ‘Failover Cluster Manager’ gebruik om het quo-rum type te veranderen. We selecteren ‘Configure a file share wittness’ en selec-teren de aangemaakte \\w2kr2green\fsw share. We hebben nu een basis 2-node cluster en gaan verder met de volgende stap: de creatie van de cluster resources. Daarbij maken we gebruik van een re-plicated disk resource op basis van de third-party software ‘DataKeeper Cluster Edition’, in plaats van een shared disk re-source.

INSTALLATIE DATAKEEPER CLUSTER EDITIONWe hebben nu een basis 2-node ‘SAN-loos’ cluster gecreëerd en kunnen be-ginnen met de installatie van de DKCE software op beide clusternodes. Hierbij wordt een mirror gecreëerd tussen twee Solid State Devices; de Kingston SSD-NOW 50 SSDs met een capaciteit van 240GB; 130/160 MB/s read/write-snelhe-den en 3000 IOPs. Beide SSDs zijn SATA disk drives die direct verbonden zijn met de clusternodes.

Als eerste installeren we DataKeeper op de primaire node. In de achtereenvol-gende menu’s wordt de Domain of Server account gespecificeerd en de license file. Na een reboot van de server wordt het DataKeeper User Interface gestart. Na

het intypen van de primaire en secondai-re servernaam wordt een verbinding met beide gemaakt. Na klikken van de ‘Crea-te Job’ volgen we de menu’s om een mir-ror op de ‘r’ drive te creëren. In het ‘New Mirror’ menu typen we de naam van het source volume, het IP adres op de server en het ‘r’ volume. Dezelfde input geldt voor de Target Server. In het ‘Details’ menu zijn de instellingen van de mirror te specificeren, waaronder: asynchroon of synchroon, de hoeveelheid te compri-meren data en de maximale bandbreed-te (meestal gebruikt bij WAN replicatie). Wij kiezen voor synchroon. Na de creatie kan de mirror als volume aan WSFC wor-den geregistreerd.

INSTALLATIE SQL SERVER 2012We vervolgen met de installatie van SQL Server 2012 op de primaire clusterno-de. In het SQL Server Installation Center menu selecteren we ‘New SQL failover cluster installation’. In het ‘Instance Con-figuration’ menu geven we een naam aan het SQL Server Network. Als ‘Cluster Disk Selection’ tabblad selecteren we als sha-red disk het geregistreerde DataKeeper Volume ‘r’ en in het Network Configurati-on’ tabblad een IP-adres van de primaire server. Na het aanklikken van de ‘Add node to a Server failover cluster’ starten we op dezelfde wijze de installatie op de secondaire clusternode.

REMOTE DISASTER RECOVERYVoor het geval de primaire site uitvalt, kan de MSCS of WSFC cluster worden uitge-breid met een shared volume die via een LAN/WAN verbinding naar een remote target wordt gerepliceerd. Op de remo-teback-up server creëren we een 400GB volume op een Intel SSD S3700 Series. Na installatie van DataKeeper software op de remoteback-up server creëren we vanuit de bestaande ‘SQL Replication’ job op de primaire server ook een synchro-ne mirror naar de remote server.

Een alternatief is om een remote back-up in de cloud te plaatsen. In samenwerking met Amazon heeft SIOS een replicatie-op-lossing ontworpen die data en applicatie in de cloud repliceert. De SANless soft-ware synchroniseert real-time kopieën van data over meerdere nodes. Failover binnen en tussen EC2 Availability Zones (AZs) wordt ondersteund availability en disaster protectie in een Amazon cloud.

In samenwerking met Amazon heeft SIOS een replicatie-oplossing ontworpen die data en applicatie in

de cloud repliceert

DATAKEEPER REPLICATIE VOOR WINDOWS CLUSTERS

Figuur 4: Overzicht beide mirrors

Figuur 6: Uitgevallen mirror na afschakeling primaire node

Figuur 7: Uitgevallen mirror bij afschakeling secondaire node

Figuur 5: Benchmark Factory TPC-C test


Het implementeren van URL-filtering is op zich niet al te moeilijk. Maar om deze techniek echt optimaal en effectief in te zetten, zijn hier tien handige tips.

1. ZORG ERVOOR DAT FILTERING DEEL UITMAAKT VAN EEN BRE-DERE BEVEILIGINGSOPLOSSINGDiverse leveranciers bieden URL-filtering

aan als een aparte, losstaande oplossing die binnen het netwerk geïmplemen-teerd moet worden. Maar effectiever en voordeliger is een bredere beveiligings-oplossing die standaard al de mogelijk-heid tot URL-filtering biedt. High-end Next Generation Firewalls en complete, geïntegreerde oplossingen voor be-veiligingsbeheer beschikken vaak al

standaard over URL-filtering en andere mogelijkheden om internetverkeer te blokkeren.

2. EEN FILTERINGOPLOSSING MOET MAKKELIJK TE CONFIGU-REREN EN TE BEHEREN ZIJNHet instellen van URL-filteringoplossing zou makkelijk moeten zijn. Bij goede be-

veiligingsoplossingen is dit een kwestie van het doorlopen van enkele eenvoudi-ge stappen. Een van de eerste stappen is ervoor te zorgen dat de firewall en de IPS (Intrusion Prevention System) oplossing in staat zijn om lijsten met gewenste en ongewenste URL’s automatisch te down-loaden van de leverancier. Daarna hoeft de configuratie alleen maar te worden afgestemd om specifieke URL’s te blok-keren of juist toe te staan.

Het monitoren van de activiteiten van een URL-filteringoplossing zou net zo een-voudig moeten zijn. En ook hier geldt: als de filteringfunctie deel uitmaakt van een bredere beveiligingsoplossing, kan deze makkelijk worden beheerd en gemoni-tord via een centrale beheerconsole.

3. FILTEREN OP BASIS VAN WEB-CATEGORIEËNHet filteren van websites op basis van al-gemeen door de industrie gehanteerde categorieën is een van de makkelijkste en snelste manieren om in een keer een breed scala aan ongewenste URL’s te blokkeren. Bij categorieën valt bijvoor-beeld te denken aan ‘Violence’, ‘Adver-tising’ of ‘Adult/Mature Content’. Deze aanpak is over het algemeen de basis voor alle web filteringactiviteiten, maar de effectiviteit ervan is sterk afhankelijk van de beveiligingsleverancier, die regel-matig de lijsten met URL’s en categorieën moet bijwerken. Het zou niet de taak van de IT-afdeling moeten zijn om deze lijsten zelf te updaten - de beveiligingsleveran-cier zou dit moeten doen. Daarbij zou er niet alleen een seintje gegeven moeten worden dat categorieën zijn bijgewerkt, maar moeten deze updates bij voorkeur ook automatisch worden uitgerold zodra ze beschikbaar zijn.

De meest geavanceerde filteringoplos-singen komen ook met een uitgebreide, kant-en-klare verzameling van catego-rieën en URL’s, die direct toegepast kan worden. Sommige high-end oplossingen ondersteunen 80 of meer verschillende categorieën en bijna 300 miljoen top-le-vel domeinen en sub-pagina’s. Het zijn daarmee kant-en-klare oplossingen die direct miljoenen websites kunnen blok-keren.

4. HANDMATIGE FILTERSWebfiltering op basis van een van tevoren gedefinieerde lijst is een prima manier om te starten, maar voor echt effectieve

filtering is meer nodig. De kant-en-klare lijsten maken gebruik van categorieën, waarmee in een keer complete catego-rieën van ongewenste sites geblokkeerd kunnen worden. Dit is natuurlijk makke-lijk, maar de meeste organisaties zullen de filtering toch willen afstemmen op hun specifieke situatie en wensen. Bij-voorbeeld het blokkeren van extra sites die niet onder de van tevoren gedefini-eerde categorieën vallen. Aan de andere kant zijn er misschien sites die juist niet geblokkeerd moeten worden, zelfs als ze onder een van de te blokkeren catego-rieën vallen of in een van de van tevoren gedefinieerde lijsten staan. Met een goe-de webfliteringoplossing is het mogelijk om zowel filtering op basis van catego-rieën te doen als handmatig sites aan de white- en blacklists toe te voegen.

5. OPTIES VOOR DE INSPECTIE-REGELSMet behulp van zogenaamde inspectie-regels is het mogelijk om de webfiltering verder te optimaliseren. Hiermee kunnen bijvoorbeeld bepaalde onderdelen van online applicaties geblokkeerd worden, maar blijft de applicatie toch gewoon toegankelijk voor gebruikers. Dit is een nuttig hulpmiddel waarmee bepaalde onderdelen van een site die potentieel de productiviteit van werknemers kunnen beïnvloeden - zoals chatfunctionaliteit of de mogelijkheid om content te delen - kunnen worden geblokkeerd.

Via de inspectieregels kan het dataver-keer tot op diep niveau geïnspecteerd worden. De krachtigste oplossingen controleren het webverkeer op URL-ni-veau. Daarbij wordt het webverkeer ont-

sleuteld, geïnspecteerd en opnieuw ver-sleuteld, om ongewenst of mogelijk zelfs kwaadaardig verkeer tegen te houden.

6. INTERACTIE MET GEBRUIKERSHoewel het informeren van gebruikers over geblokkeerde URL’s misschien een detail lijkt, is dit in feite een belangrijk as-pect van webfiltering. Door gebruikers te laten weten dat een bepaalde URL is ge-blokkeerd, wordt verwarring voorkomen en wordt de IT-afdeling niet lastiggevallen met onnodige verzoeken. Maatwerkmel-dingen geven gebruikers waarschuwin-gen of laten weten waarom de site die zij willen bezoeken, is geblokkeerd. Het creëren van dit soort meldingen voor gebruikers moet echter wel eenvoudig en snel gaan. Meestal gebeurt dit via een configuratiemenu, waar een nieuwe melding wordt aangemaakt. Daarbij kan ook vaak gekozen worden uit een van te voren gedefinieerde lijst van meldingen.

7. EFFECTIEVE POLICIESHet instellen van de beleidsregels (po-licies) voor webfiltering is absoluut een taak voor de IT-afdeling. Kies geen op-lossing die deze taak onnodig complex maakt, bijvoorbeeld omdat er aparte po-licies gedefinieerd moeten worden voor HTTPS en HTTP proxies. Dat betekent namelijk niet alleen dat het meer tijd kost om die policies bij te houden, maar ver-groot ook de kans op menselijke fouten.

In een goede oplossing is URL-filtering geïntegreerd met andere technieken die een overlappende of vergelijkbare be-schermingsfunctionaliteit bieden. Wan-neer er een enkele policy kan worden ingesteld die zowel voor webfiltering

Organisaties hebben dagelijks te maken met medewerkers die vanaf hun pc’s allerlei websites be-zoeken. Dit levert niet alleen een potentieel beveiligingsrisico op, maar kan ook nadelig zijn voor de productiviteit. Denk aan het bezoeken van Facebook, online gamingwebsites, pornosites, videosites, et cetera. URL-filtering is een contentfilteringtechniek die voorkomt dat gebruikers bepaalde websites bezoeken, door de toegang te blokkeren. Intussen is dit uitgegroeid tot een van de belangrijkste bevei-ligingstools bij organisaties.

URL-FILTERINGDOOR HANS VANDAM

TIEN TIPS VOOR EFFECTIEVEWEBFILTERING

Optimaliseer de bescherming van uw netwerk


als voor applicatiefiltering geldt, worden twee tools gecombineerd tot één efficiën-te en effectieve oplossing.

8. COMBINEER FILTERTECHNIEKENZelfs als het niet mogelijk is om verschil-lende policies te combineren, zou het nog steeds wenselijk zijn om meerdere be-veiligingstechnieken met elkaar te com-bineren. Als bijvoorbeeld de toegang tot externe webmail servers geblokkeerd moet worden, kan dit gerealiseerd wor-den met een beveiligingsoplossing die zowel applicatiefiltering als URL-filtering tegelijkertijd toepast. Met de eerste filter-techniek worden privé webmail servers geblokkeerd, terwijl de tweede de toe-gang tot publieke webmail servers blok-keert. Zo zijn beide ontoegankelijk vanaf het bedrijfsnetwerk. De mogelijkheid om meerdere technieken te combineren re-sulteert in een betere oplossing die er voor zorgt dat geen ongewenst verkeer wordt doorgelaten.

9. COMBINEER ANDERE BEVEILI-GINGSTECHNIEKENBij sommige oplossingen is het niet mo-gelijk om op hetzelfde webverkeer zo-wel webfiltering als virusscanning toe te passen. Het is in dat geval dan ook erg belangrijk om een goede antivirus-op-lossing te gebruiken. Hetzelfde geldt voor webfiltering en Content Inspection Server (CIS) Redirection, waarbij het ver-keer wordt omgeleid naar een server die de content eerst inspecteert. Dit vereist echter wel een externe oplossing voor het inspecteren van content.

Wanneer webfiltering echter deel uit-maakt van een Next Generation Firewall of een andere complete beveilingsoplos-sing, zijn antivirusbescherming en CIS naadloos met elkaar geïntegreerd. Er hoeven dan alleen de juiste instellingen te worden geconfigureerd voor antivirus-scanning en CIS Redirection, om ervoor te zorgen dat alle dataverkeer grondig wordt geïnspecteerd. Let er daarbij op

dat de gebruikte antivirusoplossing ge-schikt is voor een brede verscheidenheid aan applicaties, verschillende soorten da-taverkeer en verschillende protocollen.

10. VOORKOM EEN TE STRIKTE BLOKKERINGMeer is lang niet altijd beter als het gaat om URL-filtering. Een te brede blokke-ring kan onbedoeld voor problemen zor-gen. Sommige commerciële applicaties maken bijvoorbeeld gebruik van functies die vergelijkbaar zijn met die van som-mige spyware. Bijvoorbeeld om de acti-viteiten van gebruikers te monitoren. Dit soort gedrag is vergelijkbaar met wat schadelijke spyware of malware kan pro-beren te doen. Deze legitieme ‘spyware’ kan daarbij contact zoeken met een web- adres. Het blokkeren van alle spyware kan er dan ook toe leiden dat zulke ap-plicaties niet gebruikt kunnen worden, terwijl ze in bepaalde gevallen misschien wel nodig zijn.

Een ander gevaar van te strikte blokke-ringsregels is dat de IT-afdeling meer verzoeken krijgt om de filtering van be-paalde sites of applicaties op te heffen. Dat kost zowel de IT-afdeling als de ge-bruiker onnodig veel tijd. Door de web-filtering policies voortdurend te herzien en bij te werken, en regelmatig updates te installeren, kan de webfiltering opti-maal worden ingesteld, zonder dat dit ten koste gaat van de bescherming van het netwerk of van de productiviteit.

Hans Vandam is journalist

URL-FILTERING


Zo zou het internetsysteem kunnen wor-den gehackt. Onbevoegde personen kunnen de brug dan op afstand open of dicht doen. Wat is de zin van zo’n actie? Misschien vergezocht, maar bij een over-val zou een open brug een interventie van de politie kunnen verhinderen. Ook sluizen en gemalen worden tegenwoor-dig op afstand bediend. Bij hoog water-peil gaan de sluizen automatisch open of wordt een signaal geven aan de contro-lekamer waar vervolgens wordt besloten om wel of geen actie te ondernemen.

KLANKBORDGROEP VOOR DE NORMCOMMISSIE INDUSTRIEEL METEN, REGELEN EN AUTOMA-TISERENOmdat op veel gebieden deze kwets-baarheid toeneemt, is er behoefte aan een klankbordgroep. Er is besloten het Platform Industrial Cyber Security op te richten. Deelnemers aan dit platform kun-nen ervaringen met elkaar uitwisselen en methodes bespreken om een installatie robuust te maken en zo ongewenste en of kwaadaardige interacties te voorkomen

of te reduceren naar een niveau waarbij de veiligheid niet in het geding komt. Het platform valt onder de normcommissie NEC 65 ‘Industrieel meten, regelen en automatiseren’. Deze normcommissie is binnen Nederland verantwoordelijk voor normen op het gebied van systemen en apparatuur voor besturing en bewaking van productieprocessen en industriële installaties. Deze vinden hun toepassing vooral in de professionele sfeer, waaron-der (proces)industrie, energieopwekking en -distributie en weg- en waterbouw-kundige infrastructuur. De normcommis-sie vertegenwoordigt de Nederlandse belangen op Europees (EN) en mondi-aal (IEC) niveau. Daarnaast is NEC 65 verantwoordelijk voor het onder de aan-dacht brengen van het belang van de normen bij de Nederlandse achterban. Hoe pas je de normen toe en hoe is de samenhang met andere normen.

Willem van der Bijl, voorzitter NEC 65 en Directeur Produca (activitei-ten namens koepel WIB): “Met de oprichting van het platform beogen wij een aantal doelstellingen. Zo willen wij de bewustwording versterken van de kwetsbaarheid met bijbehorende vei-ligheidsrisico’s binnen de Nederlandse industrie en overige gebruikers. Uitwis-seling van kennis en het volgen van re-levante ontwikkeling is uitermate belang-rijk. Hiervoor willen wij specialisten in de technische beveiliging en veiligheid, marktpartijen, organisaties en de over-heid bij elkaar brengen. Het platform kan de normen in ontwikkeling volgen en de normcommissie NEC 65 en an-dere werkgroepen die betrokken zijn bij normalisatie voeden met informatie en commentaar op de inhoud van de nor-men. Hierdoor kunnen we goed blijven anticiperen op wat gaat komen en blijven innoveren als het op security aankomt.”

BREED AANDACHTSGEBIEDHet platform heeft een breed aandachts-gebied. Het werk van de technische commissies TC 44 ‘Elektrische uitrus-ting van machines’ en TC 57 ‘Bediening op afstand van energievoorzieningssy-stemen’ komen dan ook zeker aan de orde. Het betreft namelijk niet alleen de waterbouwkundige infrastructuur zoals hierboven beschreven, maar ook de pro-cesindustrie, energieopwekking en -dis-tributie, wegbouwkundige infrastructuur, de petrochemische industrie en je kunt zelfs denken aan de besturing van kern-centrales. Alle digitale netwerken zijn na-melijk te saboteren als je echt kwaad wilt. Ook als je dit zo goed mogelijk beveiligt door bijvoorbeeld alle data te encrypten. Door er bijvoorbeeld voor te zorgen dat systemen tijdelijk stil komen te liggen als er afwijkingen in het reguliere proces worden geconstateerd. Zo kun je voorko-men dat cyberterroristen de energietoe-voer voor langere tijd gaan beheersen.

Eric van Aken, commissielid NEC 65 namens koepel Netbeheer Neder-land B.V. en Consultant Telecommu-nicatie en Security / Liandon Ener-gie Consulting: “Het platform kan een grote bijdrage leveren op het gebied van cybersecurity. Voor netbeheerders zijn standaarden heel belangrijk. Netbeheer-ders nemen namelijk componenten af van verschillende leveranciers. Alleen als er sprake is van interoperabiliteit kunnen we het goed functioneren van ons netwerk garanderen. Op het gebied van cyber-security verandert er op dit moment veel en in een snel tempo. Als netbeheerder is het belangrijk om deze ontwikkelingen op de voet te volgen. We willen met meer data uit onze in toenemende mate gedi-gitaliseerde netten kunnen anticiperen op behoeften van en veranderingen door onze klanten. Maar dit moet wel veilig gebeuren. Dat maakt het met normering soms wel heel complex. De ontwikkelin-gen gaan snel en het normalisatiepro-

ces kan dat soms niet bijbenen. Voordat een internationale standaard de formele status krijgt, moet iedereen het er mee eens zijn en alle open aanmerkingen op de conceptversie zijn verwerkt. Het is daarom ook belangrijk dat er tussen de experts veel kennis en ervaring wordt uitgewisseld binnen het platform zodat we - als gebruiker en normcommissie - goed op de hoogte zijn en blijven en weten hoe we nu al toekomstbestendige maatregelen kunnen gaan treffen. Met dit platform willen we de afstand tussen nor-men aan de ene kant en de praktijk aan de andere kant klein houden.”

WILT U OOK DEELNEMEN?Bent u beroepsmatig betrokken bij indu-striële installaties geïntegreerd in com-municatienetwerken? Of draagt u verant-woordelijkheid betreffende de security van industriële installaties? Dan kunt ook u deelnemen aan het platform. U kunt uw kennis uitwisselen met collega’s en deskundigen en de ontwikkelingen op dit vlak volgen om klaar te staan voor de toekomst.De kick off-bijeenkomst van het platform heeft inmiddels plaatsgevonden. Het is de bedoeling dat het platform minimaal twee keer per jaar bijeenkomt.Wilt u meer informatie over het platform of deelnemen? Dan kunt u contact opne-men met Rianne Boek NEN Consultant telefoon (015) 2 690 194 of [email protected]

Voor deelname aan het platform wordt een jaarlijkse bijdrage gevraagd van € 350,- ex. BTW (2014).

Steeds meer technische industriële installaties worden op afstand aangestuurd. We kennen ze allemaal, maar staan er niet altijd bij stil. Denk bijvoorbeeld aan de vele bruggen die op afstand worden geopend. De brugwachters van weleer zijn verleden tijd. De internettechniek heeft voor een groot deel hun rol overgenomen. Is dat erg? Nee, het romantische is er misschien een beetje af, maar de processen verlopen wel efficiënter en vaak ook veiliger. Het brengt echter ook potentiële gevaren met zich mee.

KLANKBORDGROEPDOOR ROBBERT HOEFFNAGEL

PLATFORM ‘INDUSTRIAL CYBER SECURITY’


De Unisys Security Index is een jaarlijks wereldwijd onderzoek dat inzicht biedt in de houding van consumenten in een bre-de reeks veiligheidsgerelateerde onder-werpen. Het onderzoek van 2014 laat een

aantal verrassende trends zien: zo zien Nederlanders bankpasfraude en identi-teitsdiefstal als een van de grootste vei-ligheidsproblemen waar we voor staan. Maar liefst 26 procent van de onder-

vraagde Nederlanders maakt zich ernsti-ge zorgen over diefstal van de gegevens van hun betaalpassen, terwijl 30 procent zich zorgen maakt over identiteitsdiefstal en ongeautoriseerde toegang tot per-soonlijke informatie. Deze bevindingen zijn natuurlijk niet zo vreemd in het licht van het feit dat de meerderheid van de Nederlandse bevolking het per definitie onveilig vindt online.

OFFLINE IS ALLES IN ORDEVan onze offline veiligheid en de drei-ging van epidemieën liggen we daaren-tegen nauwelijks wakker: niet meer dan respectievelijk 13% en 7% van de bevol-king geeft aan dat dit iets is waar zij zich

zorgen over maken. Opvallend is ook dat het algehele gevoel van veiligheid is toegenomen ten opzichte van 2013: de indexwaarde van dit jaar is 66, een rela-tief laag niveau van bezorgdheid verge-leken met de 71 punten van vorig jaar. Hoe komt het dat de online wereld ach-terblijft als het gaat om deze toename van ons gevoel van veiligheid? Heeft dit met een verschuivende focus van de bericht-geving in de media te maken? Verschuift de criminaliteit naar de digitale wereld? Is het een gevolg van gebrekkige kennis over nieuwe technologieën? Of zijn onze angsten onverhoopt gebaseerd op een juist beeld van de werkelijkheid en zal data online nooit echt veilig zijn?

DE TOEGENOMEN DREIGINGDe beveiligingsrisico’s van grote bedrij-ven zijn de afgelopen jaren exponentieel gegroeid, zowel in omvang als in bereik en complexiteit. Cloud computing, BYOD en social media zorgen voor een ver-schuiving van de dreigingen en een enor-me toename van de uitdagingen voor CIO’s en CSO’s. Onze traditionele fysieke beveiligingsmethoden zijn niet effectief tegen de geavanceerde en volhardende aanvallen op digitale bedrijfsnetwerken en informatiebeveiliging in een dergelij-ke vijandige omgeving heeft een geïnte-greerde beveiligingsstrategie nodig, met een integrale proactieve benadering om ook de gevaren van morgen het hoofd te kunnen bieden. Beveiliging staat dan ook hoog op de agenda van de meeste Ne-derlandse bedrijven. Echter, in veel ge-vallen ligt de verantwoordelijkheid voor de digitale veiligheid bij de Directeur Informatisering en ligt de verantwoor-delijkheid voor de fysieke veiligheid bij de Directeur Facilitymanagement. Vaak is er niemand integraal verantwoordelijk voor de gehele veiligheid. Veel Neder-landers zijn dan ook sceptisch over het vermogen van die bedrijven om afdoen-de beveiliging te bieden om hun data te beschermen.De recente spionagepraktijken van de NSA zullen niet hebben bijgedragen aan een positief beeld van de online veiligheid. Korte tijd geleden deed de Amerikaanse rechter een verrassende uitspraak in een zaak die Microsoft had aangespannen tegen de Amerikaanse overheid: Amerikaanse overheidsinstel-lingen hebben altijd en overal toegang tot data die bij Amerikaanse bedrijven staat opgeslagen, zelfs wanneer die data in het buitenland staat. In het licht van deze ont-

wikkelingen stelde Unisys de vraag wat de Nederlander vond van het voorstel van Angela Merkel om een eigen, veilig Europees datanetwerk te bouwen waar data veilig is voor internationale surveil-lance. In plaats van dat we stonden te juichen, lijken we de moed al te hebben opgegeven. Een slechte zaak, aangezien een steeds groter deel van ons leven en onze business zich online afspeelt. Valt dit tij nog te keren?

BEDRIJVEN MOETEN HUN VER-ANTWOORDELIJKHEID NEMENLaten we eerst vaststellen dat online vei-ligheid – naast een consequente imple-mentatie van bewezen beveiligingstech-nologieën – staat of valt bij een veilige en betrouwbare vaststelling van de identiteit van de consument. De hoeveelheid uit-gegeven wachtwoorden en/of PIN-codes is voor veel consumenten niet meer te onthouden, met alle gevolgen van dien.

De resultaten van de jaarlijkse Unisys Security Index 2014 laten zien dat Nederlanders weliswaar bezorgd zijn over de veiligheid van data online, maar dat we ook geloven dat de strijd om een veilig internet al verloren is. Vraag je ons bijvoorbeeld of we een eigen Europees datanetwerk willen om ons te beschermen tegen spionage van buitenlandse overheidsinstellingen, dan reageren we maar lauwtjes: 51% van de Nederlanders staat hier neutraal tegenover omdat het internet volgens hen hoe dan ook niet veilig zal zijn en slechts 30% vindt dit een goed idee. Waar komt dat wantrouwen vandaan en kunnen we er nog iets aan doen?

SECURITYDOOR ROBBERT HOEFFNAGEL

‘HET INTERNET ZAL TOCH NOOIT

VEILIG WORDEN’

Waarom hebben Nederlanders zo weinig vertrouwen in on-line veiligheid en valt hier nog iets aan te doen?


Bedrijven doen er goed aan hun bevei-ligingsmaatregelen voortdurend up-to-date te houden en aandacht te besteden aan veilige, eenvoudige en betrouwbare identiteitstoetsing van hun consumenten en dit ook inzichtelijk te maken voor hun klanten. Dit vergroot niet alleen de daad-werkelijke veiligheid, maar helpt ook het klantvertrouwen en de perceptie van online veiligheid te verbeteren. Digita-le veiligheid is een bijzonder complexe aangelegenheid, die veel specialistische kennis vereist. Je kunt van de gemiddelde burger niet verwachten dat hij of zij volle-dig op de hoogte is van wat er allemaal speelt op beveiligingsgebied, dus die burger is afhankelijk van de informatie die hij voorgeschoteld krijgt door de me-dia en door bedrijven. Het goede nieuws is dat hoe gebruiksvriendelijker onze technologie wordt, hoe makkelijker het zal zijn voor de consument om zich veilig en betrouwbaar te identificeren.“Deze uitkomsten kunnen dienen als een kattebelletje voor Nederlandse bedrij-ven, dat ze alles op alles moeten zetten om hun klantendata te beschermen te-gen cyberaanvallen en fysieke dreigin-gen,” zegt Jim Vlaming, Account Execu-tive Public Safety and Justice bij Unisys. “Blijkbaar maken mensen zich zorgen over de veiligheid van hun persoonlijke gegevens en kunnen bedrijven hun klan-ten van dienst zijn door het zichtbaar im-plementeren van veiligheidsmaatregelen over de gehele linie van hun bedrijfsvoe-

ring. Hiermee kunnen ze het vertrouwen van klanten in het bedrijf veiligstellen en het draagt tegelijkertijd aanzienlijk bij aan de reputatie als betrouwbare onder-neming.”

BRAVE NEW WORLDWe bevinden ons midden in een digita-

le revolutie en het is niet zo vreemd dat veel mensen argwanend tegenover die complexe, nieuwe wereld staan. Maar wellicht is dat van voorbijgaande aard en worden mensen minder argwanend naarmate ze vertrouwder worden met digitale technologie. Opvallend in deze context is bijvoorbeeld dat met name ouderen voorstander zijn van een eigen, gesloten Europees datanetwerk: 88% van de 65+ers met een mening (dus met uit-sluiting van de groep die aangeeft geen mening te hebben) is voorstander, terwijl dat bij de groep 18- tot 24-jarigen slechts 34% is. Deze laatste groep is opgegroeid met digitale technologie en heeft duide-lijk een andere inschatting van de risico’s dan de oudere groep. Hier kan natuurlijk een mentaliteitsverschil ten opzichte van privacy en veiligheid aan ten grondslag liggen, maar waarschijnlijker is dat de digital natives beter in staat zijn om be-veiligingsrisico’s realistisch in te schatten en beter in staat zijn zelf hun veiligheid te controleren. Hoe het ook zij, er kan veel gewonnen worden met een goede informatievoorziening. Zodra bedrijven beseffen dat hun verantwoordelijkheid niet stopt bij de beveiliging van hun sy-stemen, maar ook een goede voorlich-ting van consumenten omvat, kunnen we stukje bij beetje aan de perceptie van een veilige online wereld bouwen.

SECURITY

Business & IT publiceert artikelen en blog posts over de relatie tussen IT, business en innovatie.

Ook publiceren? Kijk op http://businessenit.nl/over-business-en-it/

Meer weten over business, innovatie & IT?

Lees www.BusinessEnIT.nl


De nieuwe wensen van de gemeente Veere vergden met name op het terrein van IT-security een nieuwe aanpak, want “je kan de deur niet zomaar open zetten”, aldus Hans van Dam die als netwerkspe-cialist verantwoordelijk is voor de IT bin-nen het gemeentehuis. “Het is prima als mensen naar Facebook gaan, maar te-gelijkertijd willen we allerlei schimmige sites buiten de deur houden.”Veere heeft 22 duizend inwoners. In het

gemeentehuis werken ruim tweehon-derd medewerkers, waarvoor tweehon-derd IT-werkplekken beschikbaar zijn. Hoewel het door de standaardisatie geen hogere wiskunde vergt om die werkplek-ken netjes en bovenal veilig in de richten, is het wel handig als de techniek een groot deel van de gewenste functionaliteit in zich heeft, stelt Hans van Dam. En daar wrong de schoen de afgelopen jaren steeds meer. De IT-beveiliging van Vee-

re was opgebouwd uit een aantal losse elementen waaronder een Cisco-firewall, Microsoft Proxy en beveiligingssoftware zoals Mail- en Webmarshall. Volgens Van Dam was er met de producten niets mis, maar was de keten als geheel te weinig flexibel voor de wensen van Veere.

STANDAARD FUNCTIONALITEITSpil in de aanpassing van de IT-securi-ty was de vervanging van de Cisco PIX 515E-firewall door een XTM 800 series NextGeneration firewall van WatchGuard. Dat was het begin van een modernise-ringsslag, waar de gemeente veel ge-mak van blijkt te hebben. De keuze voor WatchGuard motiveert Van Dam door erop te wijzen dat deze leverancier zich met zijn XTM-serie richt op het midden-segment waar Veere zich toe rekent. “Dat betekent dat zijn oplossingen heel dicht in de buurt komen van wat wij zochten.

Want wat vraagt een organisatie als de onze doorgaans? Een firewall met daar-in een aantal standaardfunctionaliteiten geïntegreerd. Denk hierbij aan URL-fil-tering, antivirusoplossingen en intrusion prevention. Wij hechten daarbovenop sterk aan application control, zowel filte-ring als monitoring”, aldus Van Dam.

MONITORING BELANGRIJKMet name de monitoringtool levert ach-teraf bezien heel wat gemak op. “Ik kan bij problemen in m’n netwerk precies zien waar het probleem zit en wat de oor-zaak is. Dat voorkomt in mijn contacten met toeleveranciers veel getouwtrek over de vraag wie verantwoordelijk is voor be-paalde problemen.”Veere blijkt ook veel baat te hebben bij de mogelijkheid om achter de firewall ver-schillende virtuele netwerken te kunnen creëren. “We hebben nu allerlei aparte netwerken die ik middels een interface kan beheren. Ik kan desgewenst zo een nieuw VLAN inrichten, als ik gecontro-leerde toegang voor bepaalde systemen

wil inrichten. Dat is vanuit beheeroogpunt heel eenvoudig te realiseren.” Uitzonde-ring daarop vormt de toepassing voor het thuiswerken, die met behulp van de WatchGuard SSL-VPN-oplossing is ge-realiseerd. “We hebben daar een portal van gemaakt, waarbij gebruikers zich middels een toegezonden SMS-code authentiseren. “Dat was functioneel iets makkelijker te realiseren dan ook dat achter de firewall te zetten.”

WEET WAT JE WILTInmiddels heeft de configuratie in Veere zich ruimschoots kunnen bewijzen en geeft Van Dam aan dat hij zeer tevreden is. Zowel over de hardware als over de le-verancier, WeSecure uit Amsterdam. “Ze-ker als je de prijs in ogenschouw neemt.” Bedragen wil hij vervolgens niet noemen, maar aanbieders stunten fors met prijzen, stelt hij. Om meteen te waarschuwen voor “kortingen die je vaak bij de implemen-tatie weer terugbetaalt.” Zijn advies is daarom om eerst kritisch te inventarise-ren wat je wilt, voordat je de demo van

de leverancier bezoekt. “Door met een heldere vraagstelling het gesprek met de leverancier aan te gaan, krijg je ook pre-cies wat je vraagt.”

STRIPPENKAARTSYSTEEM“We kunnen voor support terecht bij WatchGuard waarvan de website over-zichtelijk en toegankelijk is, maar we los-sen het liever op via de leverancier die onze situatie kent. Daarom ligt het be-heer van de beveiligingsoplossing deels in handen van WeSecure. We hebben de afspraak dat we aan de bel kunnen trek-ken als we ze nodig denken te hebben.” Voor die support maakt de gemeente gebruik van het strippenkaartsysteem bij WeSecure. Van Dam: “Je betaalt een be-drag in één keer vooruit, maar je bent dan van veel administratieve rompslomp af. Je krijgt direct ondersteuning bij elk moge-lijk probleem. Over de service hebben we niets te klagen. WeSecure reageert altijd heel snel op vragen en informeert ons over updates. De leverancier voert ongeveer twee keer per jaar een check uit op onze systemen, waarbij hij updates plaatst en de configuratie doorlicht.”Terugkijkend naar de migratie conclu-deert Van Dam dat het beheer van de systemen nu aanzienlijk eenvoudiger is dan in de oude situatie. De gemeente is flexibeler, kan vlotter inspelen op nieuwe ontwikkelingen en troubleshooting gaat sneller. Daarbij zijn ook de kosten omlaag gegaan en hoewel dat geen doelstelling was, is het wel mooi meegenomen.

Jos Raaphorst is uitgever vanInfosecurity Magazine

De gemeente Veere breidde de afgelopen jaren haar IT uit met nieuwe mogelijkheden. Ze wilde het thuiswerken voor medewerkers faciliteren. Daarnaast wilde ze structuur creëren in de koppelingen naar buiten, die in het kader van de digitale dienstverlening waren aangelegd. Als service aan de bezoekers van het gemeentehuis was het ook gewenst om een draadloos wifi-netwerk beschikbaar te stellen, net zoals het gebruik van internet en social media beheersbaar moest blijven voor de IT’ers.

CASEDOOR JOS RAAPHORST

IT GEMEENTE VEERE

FLEXIBELER EN VEILIGER


Uit het onderzoek blijkt dat slechts 15 pro-cent van de Benelux-organisaties weet welke concrete stappen er moeten worden genomen om te voldoen aan de wetgeving. Slechts de helft van de organisaties denkt dat het realistisch is om te voldoen aan deze nieuwe wetgeving. De responden-ten gaven daarnaast aan dat ze verwach-ten gemiddeld 2 jaar nodig te hebben om überhaupt compliant te kunnen zijn.

70 PROCENT GEEN VERTROUWEN IN EFFECT WETGEVINGMeer dan twee derde van de Benelux-res-pondenten denkt niet (40 procent) of weet niet (31 procent) dat de regulering organi-saties gaat beschermen tegen het illegaal verkrijgen van data door cybercriminelen. Minder dan de helft van de respondenten (47 procent) denkt dat de nieuwe wetge-ving inderdaad nodig is om de gegevens van de Europese burgers beter te be-schermen.

NIET VOLDOENDE OP DE HOOGTE VAN SANCTIES24 procent van de Benelux-respondenten geeft aan niet op de hoogte te zijn dat er boetes betaald moeten worden als men niet voldoet aan de wettelijk opgestelde ei-sen. Dit terwijl sancties kunnen oplopen tot 5 procent van de totale omzet van een or-ganisatie. Bijna 60 procent van de respon-

denten geeft aan dat een boete van 2 pro-cent van de omzet significante gevolgen gaat hebben voor hun business. Bij een boete van 5 procent van de gehele omzet is dit percentage nog hoger (80 procent).

VERANTWOORDELIJKHEIDBIJ OVERHEIDBijna 40 procent van de respondenten geeft aan van mening te zijn dat de verant-woordelijkheid om bedrijven op de hoog-te te brengen van deze nieuwe wetgeving bij de overheid ligt. Is uw organisatie klaar voor de Europese databeschermingswet? Trend Micro nodigt u graag uit voor een gratis kennissessie van Let’s talk about it, een initiatief van Trend Micro en gespecia-liseerde partners, dat kennissessies orga-niseert om kennis te delen over security. Inschrijven is gratis (zie kader).

Uit onderzoek van Trend Micro, specialist op het gebied van beveiligingssoftware, blijkt dat 4 op de 10 bedrijven in de Benelux zich niet bewust zijn van het feit dat er een nieuwe Europese wet van kracht gaat worden voor databescher-ming. De nieuwe EU General Data Protection Regulation is opgesteld om één lijn te trekken in de wetgeving over data-bescherming. Slechts 15 procent van de organisaties in de Benelux weet goed wat deze wetgeving voor hun organisa-tie gaat betekenen.

LET’S TALK ABOUT IT

NIEUWE EUROPESE

DATABESCHERMINGSWETGEVING

CYBERCRIME UPDATE: RETAILERS EN OVERHEID OPGELET!

De eerste helft van 2014 zit er op. Een mooi moment om te-rug te kijken op de afgelopen maanden van dit jaar. Want wat gebeurde er de afgelopen tijd op het gebied van cybercrime en waar hebben cybercriminelen zich het eerste kwartaal op gericht? Trend Micro publiceerde de resultaten van het rapport ‘Cybercrime hits the unexpected’ met daarin de belangrijkste cybercrime-highlights, zo worden retailers en de overheid extra gewaarschuwd voor gerichte aanvallen.

ZEVEN KEER ZOVEEL MALWARE GERICHT OP POSDe belangrijkste verschuiving op het gebied van cybercrime was het afgelopen kwartaal te zien in de aanvallen op Point of Sales. Retailers waren vaak doelwit van een gerichte aanval en er bleek het eerste kwartaal zeven keer meer malware actief ge-richt op PoS dan in heel 2013. Het doel van cybercriminelen was

om persoonlijke en financiële gegevens van online shoppers te achterhalen en hen geld afhandig te maken. Recent voorbeeld van een gerichte aanval op een retailketen is retailketen Target. Uit het onderzoek van TrendLabs blijkt dat een PoS verschillen-de kwetsbaarheden bevat.

OVERHEID BELANGRIJKSTE DOELWIT GERICHTE AANVALLENDe overheid blijft het belangrijkste doelwit voor gerichte aan-vallen door cybercriminelen. 76 procent van de gerichte aan-vallen die plaatsvonden in het eerste kwartaal van 2014, waren gericht op overheidsinstanties. Verder waren gerichte aanvallen wereldwijd vooral gericht op de industrie (7 procent), telecom-municatie (5 procent), IT (5 procent) en zorg (2 procent).

40% bedrijven in de Benelux is onwetend LET’S TALK ABOUT IT Alhoewel security steeds vaker boven-aan de agenda komt te staan, blijkt uit dit onderzoek dat bedrijven vaak pas actie ondernemen na een incident. Het is een inkopper, maar het credo ‘voor-komen is beter dan genezen’ geldt zeker ook bij cybercrime. Maar wei-nig organisaties kunnen zich de ima-goschade en kosten permitteren die cyberaanvallen met zich mee brengen. Daarnaast blijkt ook dat de helft van de IT-specialisten vindt dat ze onvoldoen-de kennis in huis hebben om optimale security-garanties te kunnen bieden aan medewerkers in hun organisatie. We vinden het belangrijk om krach-ten en kennis te bundelen om zo van elkaar te kunnen leren en echt goede oplossingen te vinden in de strijd tegen cybercrime, vandaar dat Trend Micro sinds kort gratis kennissessies organi-seert (www.letstalkabout-it.nl).


Het nieuws dat Microsoft stopt met de ondersteuning van Windows XP is inmid-dels breed uitgemeten in de media. De één spreekt van een Xpocalyps, de ander geeft aan dat het een kwestie is van de deur open laten staan en niet weten of er een inbreker binnenkomt. Inmiddels we-

ten we al wel dat de overheid 3 miljoen heeft betaald aan Microsoft om de onder-steuning te verlengen.

TIJD VOOR ACTIE!De gebeurtenissen rondom het eerdere end of support van Java 6 door Oracle ge-

ven ons een prima indicatie van wat ons te wachten staat: een toenemend aantal cyberaanvallen die de kwetsbaarheden van Java gebruiken om binnen te komen. Het is dan ook van groot belang over te stappen naar een nieuw Windows-bestu-ringssysteem, omdat nieuwe versies een betere beveiligingsarchitectuur hebben en belangrijker nog, steeds up-to-date worden gehouden. Toch is het overstap-pen op een nieuwere versie voor sommi-ge organisaties een enorme uitdaging. Switchen is namelijk lastig vanwege hun legacy-systeem en applicaties, met name in complexe omgevingen.

TREND MICRO BESCHERMING TOT 30 JANUARI 2017Om er toch voor te zorgen dat ook de organisaties die nog niet zijn overge-stapt beschermd blijven, blijft Trend Micro Windows XP ondersteunen tot 30 januari 2017. Dat doen ze bijvoorbeeld door Deep Security, dat modules bevat die constant beschermen tegen diverse kwetsbaarheden. Als er nieuwe kwets-baarheden worden ontdekt, dan voegt Trend Micro die hier automatisch aan toe. Daarnaast kunnen XP-gebruikers scan engine-, signature- en product-updates verwachten.

Tonny Roelofs, country manager van Trend Micro: “Dat Microsoft stopt bete-kent niet dat cybercriminelen ook stop-pen. Zij zullen zich blijven richten op XP en wij vinden het dan ook onze plicht om XP te blijven ondersteunen en ook die klanten te beschermen tegen malware en kwetsbaarheden. Zelfs als Microsoft dat zelf niet meer doet.”

LET’S TALK ABOUT IT

WINDOWS XPEN CYBERCRIME:

HET EIND ISSLECHTS

HET BEGIN

TIPS EN CYBERCRIME-ACHTERGRONDEN: BLOG.TRENDMICRO.NL Meer weten over cybercrime, beveili-ging van de cloud en mobile security? Bezoek dan de blog van Trend Micro, speciaal voor Nederlandse IT-specia-listen en andere geïnteresseerden in cybercrime en security. Op de blog geeft het lezers tips, handvatten en achtergronden, bijvoorbeeld over hoe om te gaan met het einde van de ondersteuning van Windows XP. Blog.trendmicro.nl publiceert wekelijks interessante blogs en houd je op de hoogte van al het security-nieuws.

CLOUD INTEGRATION

OWASP

PCI CompliantCloud File Sharing

Data Hosted in Europe’s largest Cloud Services platform

Cloud Mobile WorkflowCloud-based AutomationCloud collaboration

Transfer Business files Reliably and Securely

OpenPGP

Transport Encryption (“Data-in-Transit”)

Cryptographic Tamper-Evident Logging

Non-Repudiation /Guaranteed Delivery

EDIINT AS1, AS2 and AS3 protocols

FIPS 140-2 Validated CryptographyEnd-to-End Encryption

Person-to-Person file sharing

First Enterprise-class Cloud MFT Service

Easy and Reliable File-BasedAutomation

Enable employees to sendfiles easily and securely

Meet SLA’s andCompliance requirements

MFT: more than File Sharing

VIACLOUD BV • BEECH AVENUE 54 • 1119 PW SCHIPHOL-RIJK • THE NETHERLANDS+31 (0)20-6586421 • WWW.VIACLOUD.NL • [email protected]

FIPS 140-2 Validated CryptographyEnd-to-End Encryption


Ten eerste heeft de cloud gezorgd voor nieuwe beheeruitdagingen omdat be-drijven hun IAM-strategie moeten uit-breiden van on-premise toepassingen naar cloud-applicaties. Daarnaast heeft de sterke opkomst van SaaS-manage-menttools voor bijvoorbeeld HR en ser-vices de weg vrijgemaakt voor IDaaS, een nieuwe leveringsmanier die agility

kan vergroten en operationele kosten kan verlagen. Als eerste wil ik kijken naar IAM voor de cloud, daarna naar IAM uit de cloud. SAAS-BEHEER ALS ONDERDEEL VAN IAMSteeds meer bedrijven zullen bedrijfs-breed SaaS-toepassingen aanschaffen, en afdelingen stappen over op cloud-toe-passingen, zelfs voor kritische processen, zonder tussenkomst van IT. Het gemak en snelheid van ingebruikname is hier-bij het belangrijkste criterium. Maar als IT er niet meer tussen zit, wordt het uiter-aard wel steeds lastiger om beveiliging en compliancy te waarborgen. Wanneer toegang tot applicaties met gevoelige in-formatie niet meer gecontroleerd wordt, loopt het hele bedrijf risico op fraude, da-taverlies, privacy-issues en negatieve au-dit-resultaten. Kortom, iemand binnen de organisatie moet zorgen voor beheerde toegang tot bedrijfskritische applicaties, ongeacht hun locaties. Dat is de rol van IAM.De juiste IAM-oplossing helpt bedrijven bij het beheren van een hedendaagse hybride IT-omgeving. Een overkoepelen-de aanpak is beter dan een niche-oplos-sing die de twee los van elkaar beheert. Alleen dan houdt u bedrijfsbreed zicht en controle op wie wat gebruikt. IAM ALS EEN SERVICENu het belang van IAM voor de cloud helder is, wil ik kijken naar de mogelijk-heden van IAM uit de cloud. IAM heeft andere softwaresectoren vertraagd in de vraag naar SaaS vanwege vraagtekens bij de beveiliging en de complexiteit van het beheer van on-premise software vanuit de cloud. De voor- en nadelen van on-premise tegenover IDaaS moeten worden afgewogen, maar nu er steeds vollediger oplossingen beschikbaar ko-men, met beveiliging, beschikbaarheid, prestaties en schaalbaarheid die aan de eisen voldoen, is het een plausibel alter-natief geworden. BENT U TOE AAN IDAAS?Er zijn drie criteria om te bepalen of een organisatie toe is aan IDaaS. Ten eerste, is het gebruik van SaaS al gemeengoed binnen het bedrijf? Als meerdere online toepassingen worden gebruikt in plaats van de on-premise alternatieven is IDaaS een optie. Er zijn echter uitzonderin-gen, bijvoorbeeld in streng gereguleer-de industrieën. Als een bedrijf aan het

startpunt staat qua SaaS lijkt IDaaS geen goede optie: aangezien IAM een sleutel-rol speelt binnen de infrastructuur, wil je daar geen experiment mee aangaan. Ten tweede, wat is belangrijker: het redu-ceren van toekomstige deployment- en onderhoudskosten of de mogelijkheid om een oplossing aan te laten sluiten bij de bestaande bedrijfsprocessen? Veel bedrijven hebben complexe infrastruc-turen die het best profiteren van IAM op basis van maatwerk, aansluitend op de specifieke behoeftes. IDaaS kan wel-iswaar worden aangepast, maar biedt meestal niet de maatwerkmogelijkheden van traditionele IAM-projecten. Men moet dus afwegen wat zwaarder weegt (en meer oplevert) op de langere termijn: besparen op kosten, of een toepassing naadloos aansluitend op de specifieke situatie. Als het mogelijk is om bestaan-de identiteitsprocessen aan te passen, is IDaaS een optie. Ten slotte, wordt SaaS van bovenaf op-gelegd? De voordelen van SaaS worden

steeds duidelijker voor mensen in het (top-)management, zoals snellere terug-verdientijd, gebruiksgemak en lagere operationele kosten. Deze voordelen zorgen ervoor dat IT-teams steeds vaker worden opgedragen SaaS te overwegen bij elke aankoop van nieuwe software of de evaluatie van bestaande. Let dan wel op de verschillen tussen een daadwer-kelijk SaaS-aanbod en een hosted versie van een on-premise IAM-toepassing die niet dezelfde voordelen biedt. IAM speelt een cruciale rol in cloud-se-curity en compliancy-issues dankzij een centrale, alomvattende benadering van toegangsbeheer voor elke bedrijfstoe-passing. Of het nu on-premise of as-a-service wordt toegepast, de juiste aanpak van IAM stelt bedrijven in staat controle te houden over gegevens en risico’s te be-heren. Kevin Cunningham, co-founder en presi-dent Sailpoint

De ingebruikname van cloud-technologie verandert niet al-leen de kijk op IT-afdelingen, maar heeft ook sterke invloed op hoe organisaties kijken naar identity en access manage-ment (IAM). Cloud verandert op twee manieren de IAM-stra-tegie: welke cloud resources moeten worden beheerd en welke mogelijkheden zijn er om een identiteitsoplossing toe te passen?

STRATEGIEDOOR KEVIN CUNNINGHAM

IAM VOOR DE CLOUD

EN UIT DE CLOUD

INFOSECURITY MAGAZINE - NR. 2 - MEI 2014 4140

In deze training wordt ingegaan op het efficiënt gebruiken van Wireshark en de packet-level TCP/IP communicatie door het bestuderen van zowel het correct als verkeerd gedragen van netwerken. Een groot gedeelte van de training wordt diepgaand gekeken naar de mogelijkhe-den van Wireshark. Verder wordt het be-oordelen van zowel normale als abnor-male communicatiepatronen van de TCP/IP toepassing en de meest gangbare ap-plicaties bestudeerd, zoals DHCP, DNS, FTP, Telnet, HTTP, POP en SMTP. De na-druk gedurende de training ligt sterk op hands-on laboefeningen en case studies.

Hiermee wordt kennis opgedaan die di-rect na de training kan worden gebruikt.

CSI TRAINING: CYBER SECURI-TY INVESTIGATION AND NET-WORK FORENSIC ANALYSIS

De CSI Training is door SCOS speciaal ontwikkeld voor netwerkbeveiligings- en wetshandhavingspersoneel met basis- tot gemiddelde kennis van algemene bevei-liging en netwerken. Deze cursus maakt forensische netwerkanalyse (Network Forensic Analysis) toegankelijk voor de deelnemers. Indien men reeds beschikt

over goede kennis van hostbased foren-sische analyse leert men toepassingen met betrekking tot het ‘end-to-end’ digi-tale forensische proces.Forensische netwerkanalyse omvat het registreren van verdachte gegevens en het ontdekken van ongebruikelijke pa-tronen die schuilgaan achter schijnbaar normaal netwerkverkeer. Deze cursus voorziet de deelnemer van een set on-derzoekstechnieken en richt zich op het gebruik van leveranciersonafhankelijke, opensourcetools om inzicht te verschaf-fen in de volgende gebieden:• de grondbeginselen van forensische

analyse• datarecorder technologie en data

mining• netwerkbeveiligingsprincipes, waar-

onder encryptietechnologieën en defensieve configuraties van appa-raten voor de netwerkinfrastructuur

• herkenning van beveiligingsrisico’s voor verschillende algemene net-werkaanval- en exploitscenario’s, waaronder netwerkverkennings-technieken, gevaarherkenning van botnetwerken en ‘man-in-the-mid-dle’-aanvallen evenals algemene kwetsbaarheden in het gebruikers- protocol, inclusief IP-gerelateer-de protocollen (IP/TCP, DNS, ARP, ICMP), e-mailprotocollen (POP/SMTP/IMAP) en andere, algemene webbased gebruikersprotocollen

• opensourcetools op het gebied van forensische netwerkanalyse

• gespecialiseerde forensische net-werkanalysetechnieken, inclusief re-constructie van verdachte gegevens en inspectietechnieken

Gedurende de cursus worden praktijk-voorbeelden gebruikt, in combinatie met verschillende praktijkoefeningen, zodat in de praktijk bewezen, praktische fo-rensische analysevaardigheden worden verkregen. Meer informatie: www.scos.nl

TROUBLESHOOTING TCP/IP NETWORKS

WIRESHARK UNIVERSITY

Als officiële Wireshark Trainings Center van de Wireshark University van Laura Chappell organiseert SCOS Software de Wireshark Troubleshooting TCP/IP networks training. Wireshark is een populaire netwerk analyse tool met meer dan 500.000 downloads per maand. SCOS is de enige in Europa die door de Wireshark University geautoriseerd is om deze training te geven. SCOS-trainers zijn Certified Wireshark University Trainers, lid van FBI InfraGard, het Computer Security Institute, het IEEE en het Cyber Warfare Forum Initiative. Ze spreken regelmatig op regio-nale, nationale en internationale evenementen op het gebied van netwerken en beveiliging.

CLOUDCOMPUTING

MIG

RATI

E

STO

RAG

E

SECURITY

GREEN IT

MIGRATIE

PRIVATE

HYBRIDE

PUBL

IC

VIRTUALISATIE

SAAS LAAS

SOLU

TIO

NS

IT MANAGEMENT

SLA

CLOUDCOMPUTING

STO

RAG

E

SECURITY

GRE

EN IT

DATA

CEN

TERS

MIGRATIE

CLOUDSHOPPING

PRIVATEVIRT

UALI

SATI

E

APPSPAAS LAAS

SOLU

TIO

NS

IT MANAGEMENT

CONVERSION

GREEN ITPRIVATE

APPS

PAAS

HYBRIDE

PUBL

IC

CONVERSION

SECURITYLAAS

GREEN ITIT MANAGEMENT

CONVERSION

cloudworks.nu geheel vernieuwd!

Feiten en fi ctie in kaart gebracht


“Bijna alles wat we doen, creëert een spoor van informatie die kan worden verzameld,

verwerkt en zelfs gedeeld. De voorgestelde Europese hervormingen voor

gegevensbescherming zijn een goede eerste stap naar betere bescherming van

consumenten", zegt Jeroen Strik van Iron Mountain. "Toch blijkt uit ons onderzoek dat

de consument er anders in staat. Ook al delen zij bijna hun hele zakelijke en sociale

leven online, zij wantrouwen organisaties op het naleven van verzoeken om

persoonlijke gegevens te verwijderen. Of persoonlijke informatie zich op papier, online

of in een elektronische databank bevindt, je moet weten welke informatie je hebt,

waar die bewaard wordt, en hoe gegevens veilig gewist of vernietigd kunnen worden

als daar om gevraagd wordt - en dit op een transparante en verantwoordelijke manier

uit te voeren.”

Iron Mountain hield het onderzoek onder volwassenen in Nederland, Duitsland, Frankrijk, Spanje en het Verenigd Koninkrijk

1 De Europese Commissie is van plan de bescherming van gegevens in de Europese Unie (EU) onder één enkele richtlijn te brengen, de General Data Protection Regulations (GDPR). Goedkeuring door de Europese Raad moet er zijn voor eind 2014. De effecten worden merkbaar na een overgangsperiode van 2 jaar.

Artikel 17: Persoonsgegevens moeten worden geschrapt als het individu zijn gegevens terugtrekt of wanneer de gegevens niet meer nodig zijn en er geen legitieme reden is dat een organisatie deze behoudt.

Iron Mountain´s onderzoek suggereert dat zelfgenoegzaamheid en wantrouwen bij de consument de door EU voorgestelde hervormingen voor privacy en gegevensbescherming kunnen ondermijnen

CONSUMENTEN BETWIJFELEN OF HET

'RECHT OM VERGETEN TE WORDEN’

RE

CH

T O

M V

ER

GE

TE

N

TE

W

OR

DE

N

I N D E P R A K T I J K W E R K T

Het uitgangspunt van de voorgestelde EU-hervormingen over

gegevensbescherming is dat bescherming van persoonlijke gegevens een

fundamenteel recht is van alle Europeanen. Organisaties die dit recht schenden, kunnen een boete krijgen van maximaal 2% van hun gehele omzet

48%

Nieuw onderzoek van informatiemanager Iron Mountain suggereert dat consumenten er aan twijfelen of het 'recht om vergeten te worden ' in de praktijk zal werken

is er niet van overtuigd dat het de moeite waard is te vragen om persoonlijke informatie te laten verwijderen

72%

zegt te maken te hebben met zo veel organisaties, online en offline, dat niet meer duidelijk is wie welke

informatie over hen bezit

Het is niet duidelijk van welke informatie iemand kan vragen die te verwijderen

88%

gelooft niet dat een bedrijf persoonlijke informatie over hen zal verwijderen, zelfs als het bedrijf bevestigt de gegevens verwijderd te hebben

83%

89%

64%

59%

41%

vindt dat dit geldt voor persoonlijke informatie

financiële gegevens

e-mailcorrespondentie

opgenomen telefoongesprekken

sociale mediaberichten

2/3aanvoelt dat informatie op papier over hen gemakkelijker te vernietigen is dan online informatie

1/3gelooft dat informatie op papier - zoals brieven of ingevulde formulieren – valt onder de wetgeving gegevensbescherming

ondanks het feit dat

Slechts

Deze onduidelijkheid geldt zowel voor informatie die op papier als digitaal opgeslagen is

“Bijna alles wat we doen, creëert een spoor van informatie die kan worden verzameld,

verwerkt en zelfs gedeeld. De voorgestelde Europese hervormingen voor

gegevensbescherming zijn een goede eerste stap naar betere bescherming van

consumenten", zegt Jeroen Strik van Iron Mountain. "Toch blijkt uit ons onderzoek dat

de consument er anders in staat. Ook al delen zij bijna hun hele zakelijke en sociale

leven online, zij wantrouwen organisaties op het naleven van verzoeken om

persoonlijke gegevens te verwijderen. Of persoonlijke informatie zich op papier, online

of in een elektronische databank bevindt, je moet weten welke informatie je hebt,

waar die bewaard wordt, en hoe gegevens veilig gewist of vernietigd kunnen worden

als daar om gevraagd wordt - en dit op een transparante en verantwoordelijke manier

uit te voeren.”

Iron Mountain hield het onderzoek onder volwassenen in Nederland, Duitsland, Frankrijk, Spanje en het Verenigd Koninkrijk

1 De Europese Commissie is van plan de bescherming van gegevens in de Europese Unie (EU) onder één enkele richtlijn te brengen, de General Data Protection Regulations (GDPR). Goedkeuring door de Europese Raad moet er zijn voor eind 2014. De effecten worden merkbaar na een overgangsperiode van 2 jaar.

Artikel 17: Persoonsgegevens moeten worden geschrapt als het individu zijn gegevens terugtrekt of wanneer de gegevens niet meer nodig zijn en er geen legitieme reden is dat een organisatie deze behoudt.

Iron Mountain´s onderzoek suggereert dat zelfgenoegzaamheid en wantrouwen bij de consument de door EU voorgestelde hervormingen voor privacy en gegevensbescherming kunnen ondermijnen

CONSUMENTEN BETWIJFELEN OF HET

'RECHT OM VERGETEN TE WORDEN’

RE

CH

T O

M V

ER

GE

TE

N

TE

W

OR

DE

N

I N D E P R A K T I J K W E R K T

Het uitgangspunt van de voorgestelde EU-hervormingen over

gegevensbescherming is dat bescherming van persoonlijke gegevens een

fundamenteel recht is van alle Europeanen. Organisaties die dit recht schenden, kunnen een boete krijgen van maximaal 2% van hun gehele omzet

48%

Nieuw onderzoek van informatiemanager Iron Mountain suggereert dat consumenten er aan twijfelen of het 'recht om vergeten te worden ' in de praktijk zal werken

is er niet van overtuigd dat het de moeite waard is te vragen om persoonlijke informatie te laten verwijderen

72%

zegt te maken te hebben met zo veel organisaties, online en offline, dat niet meer duidelijk is wie welke

informatie over hen bezit

Het is niet duidelijk van welke informatie iemand kan vragen die te verwijderen

88%

gelooft niet dat een bedrijf persoonlijke informatie over hen zal verwijderen, zelfs als het bedrijf bevestigt de gegevens verwijderd te hebben

83%

89%

64%

59%

41%

vindt dat dit geldt voor persoonlijke informatie

financiële gegevens

e-mailcorrespondentie

opgenomen telefoongesprekken

sociale mediaberichten

2/3aanvoelt dat informatie op papier over hen gemakkelijker te vernietigen is dan online informatie

1/3gelooft dat informatie op papier - zoals brieven of ingevulde formulieren – valt onder de wetgeving gegevensbescherming

ondanks het feit dat

Slechts

Deze onduidelijkheid geldt zowel voor informatie die op papier als digitaal opgeslagen is

De hervorming van de Europese richtlijn voor privacybescher-ming komt voort uit de gedachte dat bescherming van persoon-lijke gegevens een fundamenteel recht is voor alle Europeanen. Organisaties die dit recht schenden, kunnen volgens de huidige voorstellen een boete van maximaal 2 procent van de wereldwijde omzet verwachten.

RECHT OM VERGETEN TE WORDENConsumenten geven aan dat ze in deze tijd met veel verschillen-de organisaties contact hebben, zowel online als offline, en zich afvragen wat er met hun gegevens en privacygevoelige informatie gebeurt. De voorgestelde wijziging in het Europees recht stelt de consument in staat bedrijven die informatie over hen bezitten, te verzoeken deze te verwijderen. Bijna drie van de vier consumen-ten (72 procent) is er echter niet van overtuigd dat het de moeite waard is te vragen om persoonlijke informatie te laten verwijde-ren. 83 Procent gelooft er zelfs niet in dat bedrijven persoonlijke informatie zullen verwijderen, zelfs als het bedrijf bevestigt dat de gegevens gewist zijn.

VERWARRINGEr heerst verwarring over ́het recht om vergeten te worden. Voor-namelijk van welke informatie gevraagd kan worden deze te laten verwijderen. Het merendeel van de ondervraagden meent dat dit geldt voor persoonlijke informatie (89 procent), financiële gege-vens (64 procent) en e-mail correspondentie (59 procent). Minder dan de helft meent bovendien dat ze ook opgenomen telefoonge-

sprekken (48 procent) of sociale mediaberichten (41 pro-cent) kunnen laten verwijderen.

“Bijna alles wat we doen, creëert een spoor van informatie die kan worden verzameld, verwerkt en zelfs verspreid. Organisaties die deze informatie verzamelen, moeten hier zorgvuldig mee omgaan en de gegevens goed beheren en beschermen. De voorgestelde Europese hervorming voor de richtlijn over gegevensbescherming is een eerste stap naar betere bescherming van consumenten”, zegt Jeroen Strik van Iron Mountain. “Toch blijkt uit ons onder-zoek dat consumenten er anders in staan. Ook al delen zij bijna hun hele zakelijke en sociale leven online, zij wan-trouwen organisaties op het naleven van verzoeken om persoonlijke gegevens te verwijderen. Organisaties kun-nen deze negatieve houding wegnemen door consumen-ten te informeren over hun beleid en procedures.”

“Of informatie zich op papier, online of in een digitale da-tabank bevindt, bedrijven moeten weten welke informatie ze bezitten, waar deze bewaard wordt, en hoe gegevens veilig gewist of vernietigd kunnen worden als daar om ge-vraagd wordt - en dit op een transparante en verantwoor-delijke manier uitvoeren”, vervolgt Strik. “Het digitalise-ren van belangrijke papieren documenten zou een goede eerste stap zijn voor veel bedrijven. Hierdoor kunnen ge-gevens worden samengevoegd in een centrale database. Bedrijven hebben veel te winnen bij het opbouwen van vertrouwen en het voldoen aan weten regelgeving. Ver-trouwen leidt tot loyaliteit en trouw drijft de verkoop op.”

De overgrote meerderheid van de mensen (88 pro-cent) heeft er geen idee van wie welke informatie over hem of haar bezit. De voorgestelde Europese richtlijn voor privacybescherming heeft tot doel om bij de verwerking van persoonsgegevens de funda-mentele rechten en vrijheden van consumenten te beschermen. Desondanks betwijfelen consumen-ten of deze richtlijn hen beschermt en of het ́recht om vergeten te worden ́ in de praktijk wel werkt. Burgers vertrouwen er niet op dat bedrijven hun gegevens wissen, zelfs niet als dit gevraagd wordt, blijkt uit nieuw onderzoek van Iron Mountain.

ONDERZOEKDOOR ROBBERT HOEFFNAGEL

BURGER ZIET BEDRIJVEN ALS

VERGEET-MIJ-NIETJES

Consument wantrouwt denaleving van het recht om

vergeten te worden


Het rapport geeft inzage in hoe consu-menten kijken naar het recht op online privacy en geeft aan in hoeverre zij be-reid zijn (een deel van) hun privacy in te leveren om gebruik te kunnen maken van moderne technologie. Het volledi-ge rapport, met de scores per land, is te vinden op http://netherlands.emc.com/ campaign/privacy-index/index.htm.

BELANGRIJKE CONCLUSIESConsumenten willen profiteren van nieu-we technologie zonder daarvoor hun privacy in moeten te leveren. Op basis van de duizenden antwoorden heeft EMC geconcludeerd dat er drie verschillende paradoxen zijn:1. De ‘We Willen Alles!’-paradox - Consumenten geven aan te willen pro-fiteren van alle voordelen van digitale technologie, maar ze zijn niet bereid daarvoor privacy in te leveren.

2. De ‘Onderneem Geen Actie’-pa-radox - Ondanks dat veel consumenten te maken hebben met allerlei privacy- risico’s, geeft het merendeel aan eigen-lijk geen actie te ondernemen om die privacy te beschermen. Ze vinden dat de taak van de instanties die hun informatie vragen, opslaan en verwerken zoals de overheid en het bedrijfsleven.3. De ‘Social Sharing’-paradox - Gebruikers van sociale media claimen dat ze erg gesteld zijn op (hun) privacy, maar geven tevens aan dat ze vrijelijk grote hoeveelheden persoonlijke infor-matie delen. Dit terwijl ze ook aangeven dat ze er geen vertrouwen in hebben dat deze media hun informatie goed be-schermen. Daarnaast gaat de EMC Pri-vacy Index ervan uit dat mensen zich in elke situatie anders gedragen. Daarom zijn zes verschillende persona gebruikt die allemaal een verschillende houding ten opzichte van privacy hebben.

OPVALLENDE RESULTATEN De ‘We Willen Alles’-paradoxOngeacht de persona of het type voor-deel, hebben mensen weinig bereidheid privacy te ruilen voor de voordelen van digitale technologie:• 91 procent van de respondenten

wereldwijd waardeert het voordeel van ‘betere toegang tot informatie en kennis’ dat digitale technologie mo-gelijk maakt, maar 27 procent zegt dat ze ook privacy wil inleveren om te kunnen profiteren van het internet. In Nederland ligt dit percentage op 23 procent.

• 85 procent stelt het gebruik van digi-tale technologie voor bescherming tegen terroristen en criminelen op prijs, maar 54 procent zegt daarvoor (een deel van) zijn privacy te willen opgeven.

• Respondenten die ouder zijn dan 55 jaar, verdeeld over diverse landen, zijn duidelijk minder geneigd hun privacy in te wisselen voor gemak. Zij willen meer controle over hun persoonlijke gegevens.

De ‘Onderneem Geen Actie’-para-doxMeer dan de helft van alle respondenten geeft aan dat ze te maken hebben gehad met een ‘datalek’. Te denken valt aan een gehackt e-mail- of social media-account of een mobiele telefoon die kwijt of ge-stolen is. In Nederland ligt dit percentage op 38 procent. Maar veel respondenten nemen verder geen maatregelen om zich daar beter tegen te beschermen.• 62 procent wijzigt zijn wachtwoor-

den niet regelmatig. Dat percentage is in Nederland hetzelfde.

• 4 van de 10 respondenten verandert de standaardinstellingen op zijn so-cial media-account nooit. In Neder-land is dat bijna de helft.

• 39 procent maakt geen gebruik van wachtwoordbeveiliging (of een equi-valent) op zijn mobiele apparaat. In Nederland is dit bij 23 procent van de mensen het geval.

• De respondenten in dit onderzoek gaven aan dat ze bedrijven die hun gegevens gebruiken en/of verko-pen of ruilen voor financieel gewin (51 procent) en het gebrek aan overheidsbemoeienis daarbij (31 procent) als grootste risico’s erva-ren voor de toekomst van privacy. Nederland scoort bij de vraag of de overheid wetten moet invoeren, die bedrijven verbiedt persoonlijke ge-gevens zonder ‘opt-in’ te verkopen, het allerhoogst van alle landen. 94 procent van de Nederlander ziet hier wel wat in.

• Ook hier geldt dat mensen van 55 jaar of ouder niet snel een wacht-

woord op hun mobiele apparaat zul-len gebruiken, noch de privacy-in-stellingen van hun sociale netwerken veranderen.

De ‘Social Sharing’-paradoxHet gebruik van sociale media neemt nog steeds toe, ondanks dat:• 89 van de respondenten in Neder-

land verwacht dat hun privacy op en dankzij sociale media moeilijk in stand te houden is de komende vijf jaar.

• Men niet gelooft dat de betrokken sociale media in staat of bereid zijn de privacy van hun gebruikers en hun persoonlijke gegevens goed te beschermen.

• 47 procent van de Nederlanders ge-looft dat deze media in staat zijn hun persoonlijke gegevens te bescher-men en maar 40 procent denkt dat dat onderdeel is van het ethische DNA van de sociale media die zij gebruiken.

• Het overgrote merendeel van de consumenten (84 procent) geeft aan dat ze niet willen dat iemand anders iets van hen weet, zonder dat ze zelf hebben besloten informatie met die persoon te delen.

• Mensen van 65 jaar of ouder zijn significant meer bezorgd over hun privacy daar zij het minst bereid zijn anderen iets te laten weten over hun online gebruik.

Privacy in de toekomstHet vertrouwen dat mensen hebben over hun privacy neemt steeds verder af:• Vergeleken met een jaar geleden

geeft 59 procent van de wereldwijde respondenten aan dat ze tegenwoor-dig minder privacy hebben. Het hoogste percentage van mensen die dat vinden, bevindt zich in Brazilië (71 procent) en de Verenigde Staten

(70 procent). In Nederland ligt dat percentage op 59 procent.

• Een grote meerderheid van respon-denten (81 procent) verwacht dat het ‘privacyniveau’ de komende vijf jaar zal afnemen.

Deze bevindingen suggereren dat con-sumenten waarschijnlijk eerder zaken zullen doen met organisaties die het be-waken van privacy hoog in het vaandel hebben staan. Dit schept mogelijkheden en verantwoordelijkheden die zowel be-drijven als overheden niet naast zich neer kunnen leggen.

Hans Timmerman, CTO van EMC Ne-derland: “Het enorme potentieel van de cloud en Big Data om commercieel en sociaal succesvol te kunnen zijn, staat of valt met vertrouwen. Mensen moeten niet alleen weten dat hun gegevens veilig zijn, maar ook dat hun privacy gegarandeerd is. Deze Privacy Index laat de wereldwij-de meningen en afwijkingen zien over deze onderwerpen. Het is tevens een waarschuwing voor transparantie, eer-lijkheid, veilig online gedrag en degelijk gebruik van persoonlijke gegevens die gedeeld ‘moeten’ worden met bedrijven, overheden en mensen onderling.”

Hans Vandam is journalist

Uit wereldwijd onderzoek dat IT-bedrijf EMC heeft gedaan onder 15.000 consumenten, blijkt dat vrijwel iedereen graag wil profiteren van nieuwe, digitale technologieën, maar daar-voor geen privacy wil inleveren. In dit onderzoek is ook een groot aantal Nederlandse consumenten ondervraagd naar hun zienswijze op online privacy, verdeeld naar activiteiten, communicatie en gedrag. Opmerkelijke uitkomsten daarvan zijn dat Nederlanders meer bemoeienis verwachten van de overheid door bijvoorbeeld het invoeren van opt-in-wetge-ving en dat hun privacy-niveau mede dankzij sociale media moeilijk in stand te houden is de komende vijf jaar.

PRIVACYDOOR HANS VANDAM

‘NEDERLANDERS VERWACHTEN PRIVACY

VAN OVERHEID’

Wereldwijd consumentenonderzoeklegt meningen en gevoeligheden privacy bloot


Zelden bedacht iemand zo’n treffende naam voor een technische omissie, als die al überhaupt worden bedacht. Heart-bleed: een softwarefout van jewelste. De beveiligingssoftware OpenSSL bevatte twee jaar lang een zeer ernstige bug, waardoor zelfs versleutelde data, zoals wachtwoorden, creditkaartnummers en account-gegevens, door hackers konden worden verkregen. En zonder een spoor na te laten. De cruciale ‘kwetsbaarheid’ maakte twee derde van het immense World Wide Web kwetsbaar en toont op-nieuw aan dat Internet met digitale touw-tjes aan elkaar hangt. Maar en passant ook dat programmeren bij voorkeur als een strak-geleid en hiërarchisch proces moet plaatsvinden. Vertrouwen op vrij-willigers met hun peer review is geen structurele aanpak. Laat dat voor eens en altijd duidelijk zijn.

Het was de Delftse promovendus Ruben van Wendel de Joode die in september 2005 stelde dat - het gebrek aan - maak-baarheid van een open source-software-gemeenschap een probleem vormt. Vrijwilligers die samen aan een project werken, leunen in theorie sterk op peer review: de programmeurs beoordelen el-kaars werk. Een vorm van zelfregulering. Voorstanders van open source software roemen de modus operandi. De kwali-teit zou er door stijgen. Maar criticasters wijzen telkens op het feit dat computer-programma’s van enige omvang altijd onderhoud nodig hebben en vaak ook een routekaart voor de toekomst. Deze processen vereisen sturing en beheer (en natuurlijk voldoende handjes die pro-grammeren en onverkort zorgvuldig tes-ten). De vraag luidt: wie doet wat? Every-

body’s job is not anybody’s job, zo blijkt overduidelijk uit de OpenSSL-bug.

Het oorspronkelijke open source-ge-dachtegoed (free software) gaat uit van tweerichtingsverkeer: leveranciers wor-den klant en klanten leverancier. Daar is in de praktijk weinig van terechtgeko-men. Nu klinkt de roep luider dat bedrij-ven die het meest van open source, zoals OpenSSL, hebben geprofiteerd (Google, Facebook, c.s.) meer moeten bijdragen. Dat gebeurt sinds kort in ieder geval fi-nancieel.

Indien organisaties de software niet bij-werken en de getroffen beveiligings-certificaten niet intrekken, kunnen zij in overtreding van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) zijn, aldus waarschuwt onze toezicht-houder, het College bescherming per-soonsgegevens. Voor wie het na al die jaren - om precies te zijn: sinds 1 sep-tember 2001 - nog niet weet, dit centra-le wetsartikel ziet toe op de verplichting tot het nemen van ‘passende technische en organisatorische maatregelen’ om persoonsgegevens te beveiligen tegen ‘verlies of tegen enige vorm van onrecht-matige verwerking’. Ook het wijzigen van inloggegevens kan hiertoe behoren.

Dat brengt ons automatisch naar de re-latie tussen datalek en wettelijke meld-plicht, waaraan de regering werkt. Na forse kritiek van de Raad van State op het wetsontwerp, wordt nu voorgesteld om de omschrijving van de reikwijdte van de meldplicht in het eerste lid van het nieu-we artikel 34a Wbp aan te passen en om vervolgens door aanpassing van het zes-

de lid van dit artikel de reikwijdte van de meldplicht sterk in te perken.

Wat betekent dit? Kort gezegd, alleen in-breuken waarvan de ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens volstrekt evident zijn, moeten straks worden ge-meld aan de toezichthouder. Daarbij blijven dus andersoortige datalekken in beginsel onder de radar. Een inbreuk met ernstige nadelige gevolgen voor de bescherming van de verwerkte per-soonsgegevens, moet daarnaast ook aan de betrokkene (u en ik) worden gemeld, indien de inbreuk waarschijnlijk ongun-stige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Zijn we verheugd over deze geclausu-leerde - afgezwakte - meldplicht? Het betekent in ieder geval dat de verant-woordelijke (de partij die de persoons-gegevens verwerkt, zoals bank of cloud service provider) in voorkomende ge-vallen twee criteria moet beoordelen. Zijn de ernstige gevolgen van een data-lek volstrekt evident en heeft de inbreuk waarschijnlijk ongunstige gevolgen voor het individu.

Volgens de regering beogen de wijzi-gingen een beter evenwicht tussen ener-zijds de belangen die zijn gediend met een goede bescherming van persoons-gegevens en anderzijds de administratie-ve lasten en nalevingskosten die met de introductie van wettelijke meldingsver-plichtingen gepaard gaan. Wij stellen dat de wijzigingen tot veel discussie zullen leiden.

LEGAL LOOKDOOR MR. V.A. DE POUS

HOEMIJN HART BLOED

- Botnets, DDoS, Malware ... Gehackt!

Bent u de volgende?

- En wat is dan uw reputatie- en/of financiële schade?

- Vormt uw Blackberry of iPhone een security risico?

Herkent u bovenstaande vragen?

Deze tijd vraagt om oplossingen en kennis van zaken.

Zorg dat u goed getraind bent, kijk gauw op www.tstc.nl/training/security

Een greep uit onze security certificeringen:

Certified Ethical Hacker (CEH)

Computer Hacking Forensic Investigator (CHFI)

Certified Security Analyst (ECSA)

Licensed Penetration Tester (LPT)

Certified Information Systems Security Professional (CISSP)

Certified Information Security Manager (CISM)

Certified Information Systems Auditor (CISA)

Cloud Security Audit and Compliance (CSAC)

Certified Risk Manager ISO 27005/31000

TSTC – de Security Opleider van Nederland

W W W.T S TC .NL

Want security start bij mensen!!

TSTC - 7e jaar op rij de beste EC-Council Security Opleider Europa!

ATC of the Year ATC of the Year

2013

NIEUW!!! Certified Information Privacy Professional/ Europe (CIPP/E)

From the C-level office to network administration, business decisions need to be made at light speed – decisions that enhance productivity and profitability.

WatchGuard Dimension instantly turns raw network data into actionable security intelligence. It gives you the ability to see and understand how to protect your business, set tight security policy, and meet compliance mandates.

Go beyond reporting to the decision-making power of WatchGuard Dimension.

Pure visibility from any angle.Call us today at +31(0)70 - 711 20 80 or email: [email protected]

VisibilityThe only way to make smart decisions in the 21st Century

You have to SEE IT to believe it

PRIVACY VAN DE OVERHEID NATIONALE IT-SECURITY MONITOR

Documents

Transcript of PRIVACY VAN DE OVERHEID NATIONALE IT-SECURITY MONITOR