Alarmtransmissie over publiek internet, de zwakste schakel in uw beveiliging? Bart Postelmans Sr. Business Consultant Alarmtransmissie SSA 2015 23 september 2015 RAI

De keten is zo sterk als de zwakste schakel

•  Beveiligingsbranche in Nederland

•  Klantlocatie migreert naar Alarm over IP

•  Alarmtransmissienetwerk (end-to-end)

•  Ontvangst aan PAC-zijde

•  VRKI, Verbeterde Risico Klasse indeling

•  Cybercrime zoals DDoS aanval

Beveiligingsbranche

•  Ongeveer 500.00 aansluitingen op +/- 25 PAC’s •  Door uitzetten KPN DigiAccess Alarm begin dit jaar, van

2012 - 2015 ca. 25.000 hoog risico aansluitingen DP3/DP4 (AL2/AL3) naar IP gemigreerd

•  Veel van die locaties van besloten en beheerd netwerk nu op publiek onbeheerd internet, primair als ook de back-up

•  DDoS aanval op telecomprovider Ziggo jl. augustus: 48 uur geen of verstoorde internet alarmtransmissie!

•  DDoS aanval op PAC, ook dan internet alarmtransmissie onderuit!

Klantlocatie migreert naar Alarm over IP

•  Alarminstallatie: voorkeursschakeling nog actief? •  Router vaak buiten beveiligd gebied •  Infrastructuur, publiek internet bijna altijd aanwezig •  Maar hoe betrouwbaar is dat internet (VPN-tunnel?) •  Back-up, vaak ook internet, 2-weg internet naar PAC •  Installateur, kennis van, ervaring met IP en toegepaste

alarmtransmissie? •  Klant gaat af op voorstel en advies van installateur

Alarmtransmssienetwerk end to end

•  Alarm over IP, IP in niet vanzelfsprekend publiek internet •  Internet, beschikbaarheid, voldoende bandbreedte? •  Wie zit in en aan de router? •  Bij problemen geen speciale service-ingang bij provider! •  VPN over internet is m.b.t. DDoS aanval onbetrouwbaar •  Primair en back-up pad, open/besloten, dezelfde provider? •  Bij stroomuitval nog verbinding tussen object en PAC?

Ontvangst aan PAC-zijde

•  Voldoende capaciteit infrastructuur, voor-achterdeur •  Ontvanger hardware, back-up apparatuur •  Primair en back-up alarmtransmissiepad op gescheiden

ontvangers? •  Beheer Internet infrastructuur, risico van DDoS aanval •  PAC’s zouden voor de hogere risico’s alarmdoormelding

over internet moeten afwijzen!

•  Bij robuuste en veilige alarmtransmissie zijn er alleen winnaars: klant, alarminstallateur, verzekeraar en PAC

Verbeterde Risico Klasse Indeling (VRKI) niet actueel vwb cybercrime!

•  Wordt door Het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) beheerd

•  Beschrijft o.a. de bouwkundige, organisatorische, elektronische maatregelen en actie/opvolging

•  Alarmtransmissiekaart met verschillende Alarm over IP scenario’s

•  Helaas weinig aandacht voor advies NPR 8136 (NEN AoIP richtlijn juli 2012) en niets over risico’s alarmdoormelding over internet zoals cybercrime en/of DDoS gevoeligheid internet

•  Verzekeraars zien deze risico’s ook niet!

Cybercrime, DDoS: alleen “topje van de ijsberg” komt in de media

•  ING, EuroCard, VisaCard, Paypal •  DigiD •  Verschillende sites overheid •  Ziggo, 2 mio internetaansluitingen voor ca. 2 dagen er uit

•  Virtuele inbraken bij Gemalto (SIMkaarten), ASML

•  Apple’s App Store, tientallen app’s gehackt

Beveiligingsbranche: investeer in robuuste, veilige alarmtransmissie!

•  Lage risico’s altijd 1 besloten alarmtransmissiepad -> PAC •  Hogere risico’s beide transmissiepaden besloten (NPR 8136) •  Installateur: meer kennis, ervaring met IP en alarmtransmissie •  VRKI: update (cybercrime, NPR 8136 en NEN 8131) •  Permanente werkgroep cybercrime en niet incident gedreven •  PAC: investeer in het beheer van je vitale infrastructuur •  Verzekeraars, wordt wakker!

Hartelijk dank voor uw aandacht

• Vragen?