download infosecurity magazine

CLOUDSECURITY: LICHT TOT HALF BEWOLKT - PLAXIS BESCHERMT GEOTECHNISCHE SOFTWARE MET INNOVATIEVE SECURITY TOOLS - BIJNA 20 PROCENT VAN DE ONLINE BEDRIJFSINFORMATIE IS ONJUIST - SECURITY VERGROTEN KAN ALLEEN DOOR ECHT PAPIERLOOS TE GAAN WERKEN - DIGITAL ONBOARDING VAN NIEUWE KLANTEN: COMPLIANCE IS NIET LANGER EEN PROBLEEM - OVERHEDEN WILLEN INZICHT IN DATA, MAAR ONDERMIJNEN ONLINE VERTROUWEN - VEILIG EN SNEL BETALEN

NATIONALE IT-SECURITY MONITOR 2016:

BELANGRIJKSTE TRENDS ENINVESTERINGEN IN KAART GEBRACHT

BEHAVIORAL ENGINES:DIRECT INGRIJPEN BIJ VERDACHT GEDRAG

‘GOEDE SECURITY VEREIST BETERINZICHT IN NETWERK’

INFOSECURITYM A G A Z I N E

JAARGANG 15 - JULI 2016 - WWW.INFOSECURITYMAGAZINE.NL

2 | JULI 2016 | NR. 3 | INFOSECURITY MAGAZINE

COLOFONInfosecurity Magazine is het enige on-afhankelijke vakblad in de Benelux dat zich expliciet bezighoudt met informa-tiebeveiliging. Het blad beweegt zich op het snijvlak van technologie en beleid. Vanaf het hekwerk tot in de boardroom. Toezending van Infosecurity Magazine vindt plaats op basis van abonnemen-ten en controlled circulation. Vraag uw abonnement aan via [email protected].

UitgeverJos Raaphorst06 - 34 73 54 [email protected]/raaphorstjosnl.linkedin.com/pub/dir/jos/raaphorst

HoofdredacteurRobbert Hoeffnagel06 - 51 28 20 [email protected]/rhoeffnagelnl.linkedin.com/in/robberthoeffnagelwww.facebook.com/robbert.hoeffnagel

Advertentie-exploitatieMike de Jong06 - 10 82 59 [email protected]

Eindredactie/trafficAb Muilwijk

VormgevingMedia Service Uitgeest

DrukProFeeling

Infosecurity magazine is een uitgave vanFenceWorks BVBeatrixstraat 22712 CK Zoetermeer079 - 500 05 [email protected]© 2016

Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uit-drukkelijke toestemming van de uitge-ver.

Meer informatie:www.infosecuritymagazine.nl

EDITORIAL: ROBBERT HOEFFNAGEL

To VPNor not to VPN?Zelf gebruik ik altijd een VPN-verbinding - op notebook, smartphone, noem maar op. Niet alleen als ik in een hotel of op een lo-catie ben die ik niet ken. Maar gewoon al-tijd. Zal wel beroepsdeformatie zijn, maar wie in de wereld van IT-security rondloopt en hoort wat er allemaal gebeurt, vertrouwt natuurlijk niets en niemand meer.

Maar niet iedereen loopt 24/7 in de wereld van security rond. Helaas, zou ik er direct aan toe willen voegen. Want nog altijd gaan er zeer veel dingen fout.

De laatste tijd ben ik er weer eens speciaal op gaan letten. Soms vraag ik aan mensen of zij speciale maatregelen nemen om vei-lig te werken. En in andere gevallen kijk ik toe hoe zij werken. Ik kan u adviseren: doe het zelf ook eens. Maar weet vooraf wel: de schrik slaat je om het hart als vervolgens duidelijk wordt hoe sommige mensen onli-ne werken. Is het slordigheid? Geen inte-resse? Onwetendheid? Misschien wel al deze punten. En meer.

Zo zie ik mensen stokoude browsers ge-bruiken. Vaak Internet Explorer in combina-tie met een oud en niet meer ondersteund besturingssysteem. En als er al antivirus op de computer staat, dan heeft men geen idee of deze up-to-date is. Kijkt men nooit naar. Of neem die zakenrelatie laatst die

even iets op zijn iPhone aan mij wilde laten zien waardoor ik zag dat hij nog enkele tien-tallen apps moest updaten. Zijn verbaasde reactie: oh moet ik daar iets mee dan? En als ik mensen naar two-factor authentica-tion vraag, hebben ze meestal geen idee waar ik het over heb.

In hotels kom ik veel mensen tegen die sim-pelweg online gaan via de wifiverbinding die het hotel aanbiedt. Men gebruikt geen VPN, maar kijkt via die onveilige omgeving zonder aarzelen in het ERP-systeem of in klantgegevens in Salesforce. Of men gaat via de eigen smartphone online, maar heeft daar geen wachtwoord op staan waardoor ik zelf ook via hun telefoon online kan - en meer kan doen natuurlijk. En dan zwijg ik nog maar over al die phishing-mailtjes. Die ook nog eens steeds geraffineerder wor-den. De onderzoeken naar het aantal men-sen dat de bijlages van die mails of de links in de tekst simpelweg openen liegen er niet om.

Soms bekruipt mij het gevoel dat we deze strijd niet alleen onmogelijk nog kunnen winnen, maar in feite allang verloren heb-ben.

ROBBERT HOEFFNAGELis hoofdredacteur van InfosecurityMagazine (NL/BE)

Wie regelmatig reist voor werk, zal het probleem onmiddellijk herkennen: ik wil online, maar is op deze locatie wel een veilige in-ternetverbinding beschikbaar? Ge-lukkig is zo langzamerhand overal wel wifi voorhanden, maar daar-mee is het probleem natuurlijk nog niet volledig opgelost. Want is die verbinding wel veilig?

INFOSECURITY MAGAZINE | NR. 3 | JULI 2016 | 3

IT SECURITY

KEYNOTES | SEMINARS | CASE STUDIES | RUIM 150 EXPOSANTEN

2 & 3 NOV 2016 JAARBEURS UTRECHTVAKBEURZEN, SEMINARS EN ONLINE MATCHMAKING VOOR IT-MANAGERS EN IT-PROFESSIONALS

Hoofdmediapartner:

STORAGE IT MANAGEMENTSOLUTIONS

THEMA 2016: DATA CENTRIC WORLD

Cloud Computing Cyber Security Data Center & Infrastructure Optimisation

Data Growth &Storage Capacity

Enterprise Mobility ITSM & Control Privacy Governance &

Risk Management

Mede mogelĳ k gemaakt door:

KĲ K VOOR ALLE INFORMATIE OP:

WWW.INFOSECURITY.NL | WWW.STORAGE-EXPO.NL

WWW.THETOOLINGEVENT.NL

SAVETHE DATEGratis inschrĳ venvanaf 1 september2016

INFOSECURITY MAGAZINE | NR. 3 | JULI 2016 | 54 | JULI 2016 | NR. 3 | INFOSECURITY MAGAZINE

InhoudINFOSECURITY NUMMER 03 - JULI 2016 - JAARGANG 14

NATIONALE IT-SECURITY MONITOR 2016:BELANGRIJKSTE TRENDS EN INVESTERINGEN IN KAART GEBRACHT De Nationale IT-Security Monitor komt er weer aan. Net als in de vorige edities werkt Infosecurity Magazine samen met Pb7 Re-search om te onderzoeken wat de belang-rijkste trends en investeringen zijn op het gebied van IT-beveiliging in de zakelijke markt. Het onderzoek wordt dit jaar mede mogelijk gemaakt dankzij de steun van Pla-tinum sponsors Sogeti en IBM en Gold spon-sors TSTC en Sophos.

BEHAVIORAL ENGINES: DIRECT INGRIJPEN BIJ VERDACHT GEDRAGBehavioural engines zijn al jaren een be-langrijk wapen in de strijd tegen malware, maar om de een of andere reden is de tech-nologie nog met veel mystiek omgeven. Hoe werkt deze ‘gedragsmonitoring’ precies en wat zijn de voordelen?

10 Cloudsecurity: licht tot half bewolkt Cloud en security zijn twee onderwerpen die momenteel

volop in de aandacht staan. De eerste is tegenwoordig

wel geaccepteerd, maar in combinatie met de tweede

heerst er nog angst, onzekerheid en twijfel. Niet geheel

ongegrond, overigens. Werk aan de winkel!

12 Plaxis beschermt geotechnische software met innovatieve security tools

14 Bijna 20 procent van de online bedrijfsinformatie is onjuist

Een op de vijf Nederlandse ondernemers (19 procent)

stelt dat de informatie op internet over henzelf of hun

bedrijf niet klopt. Dat is een groeiend probleem, omdat

de meeste consumenten online naar informatie zoeken

over bedrijven en specialisten en hun keuze daarop

baseren. Zeven op de tien ondernemers willen daarom

meer controle krijgen over de online beeldvorming van

hun bedrijf.

16 ‘Goede security vereist beter inzicht in netwerk’

18 Security vergroten kan alleen door echt papierloos te gaan werken

In het kader van duurzaamheid is het al jaren een trend

om te verkondigen dat je organisatie papierloos gaat

werken. Maar vaak komt van die ambities weinig terecht

en blijft de printer overuren draaien om zowel mede-

werkers als klanten van fysieke printjes te voorzien. Dat

moet toch anders kunnen?

20 Digital onboarding van nieuwe klanten: Comliance is niet langer een probleem

24 Het Onsight SOC doet wat uw eigen SOC nooit zal kunnen

26 Thales en De Haagse Hogeschool tekenen overeenkomst voor lectoraat cyber security

28 Overheden willen inzicht in data, maar ondermijnen online vertrouwen

30 Open Source video surveillance software32 it-sa 2016 Internationaal trefpunt voor

IT-beveiligingsprofessionals38 Veilig en snel betalen40 Black Hat Sessions XIV: Mobile (In)security42 Legal Look

6

12

14

20

24

3818

36


In het onderzoek proberen we veel vraagpunten over een aantal jaren heen ter herhalen, zodat we goed inzicht krijgen in de ontwikkelingen. Maar we borduren ook voort op de laatste bevindingen en houden onze ogen open voor nieuwe thema’s. Zo gaan we dit jaar weer goed kijken naar de impact van de cloud, hoe ‘compliant’ Nederlandse organi-saties zijn op het gebied van databeveiliging en hoe de dreigingskaart voor organisaties er daadwerke-lijk uitziet.

CloudVorig jaar constateerden we een belangrijke ver-schuiving in de aandacht van de Nederlandse secu-rity-beslisser. Voor 38% van de Nederlandse organi-saties met meer dan 50 werknemers bleek cloud het belangrijkste security thema. Daarmee kwam cloud met stip op nummer één. Waar organisaties eerder aangaven vooral de aandacht te richten op cyber-crime (in algemene zin), web security en privacy, stond cloud een jaar eerder slechts op de vijfde plek. Het toenemend gebruik van de cloud bezorgt IT-beveiligers veel hoofdbrekens. Aan de ene kant is er een sterke toename van het gebruik van clou-doplossingen binnen Nederlandse organisaties. Dat het volume toeneemt, is één ding. Maar ook de complexiteit van het cloudgebruik neemt alsmaar

toe. Niet alleen neemt het aantal applicaties in de cloud toe, maar ook op het gebied van de infrastruc-tuur (IaaS) omarmen organisaties in snel tempo een multi-cloud aanpak. En dan hebben we het nog niet eens over het gebruik van cloudoplossingen buiten IT op alle mogelijke niveaus: van de medewerker die Dropbox gebruikt, de manager die Salesforce bin-nenhaalt, tot aan de software ontwikkelaar die geen zin heeft om te wachten op een server. Als we naar de uitkomsten van het onderzoek van

vorig jaar kijken, is het sterk de vraag of Nederlandse organisaties wel opgewas-sen zijn tegen de security uitdagingen die de cloud met zich meebrengt. Hoe prijzenswaardig het ook is dat organi-saties het cloudgebruik vooral proberen te kanaliseren, zul je als organisatie ook moeten accepteren dat (cloud-)gebrui-kers op enig moment data kwijtraken die in verkeerde handen terecht komt. En

hoe je het ook wendt of keert, kwaadwil-lenden zullen een weg vinden om op je netwerk te komen, al is je netwerkbeveili-ging nog zo goed. Vaak, maar zeker niet altijd, speelt de menselijke factor daarin een grote rol. Er is maar één werknemer met een verkeerde inschatting nodig om een inbreuk mogelijk te maken. Alle training in de wereld kan de frequentie verlagen, maar gaat het niet voorkomen.

Het is dus zaak om data onbruikbaar te maken voor onbevoegden. In de nieu-we Nationale IT-Security Monitor zullen we dus opnieuw goed kijken naar hoe IT-beveiligers omgaan met de uitdagin-gen die de cloud met zich meebrengt en of het zwaartepunt in investeringen meer gaat verschuiven van netwerk- naar databeveiliging.

Belangrijkstetrends eninvesteringen in kaart gebrachtDe Nationale IT-Security Monitor komt er weer aan. Net als in de vorige edities werkt Infosecurity Magazine samen met Pb7 Research om te onderzoeken wat de belangrijkste trends en investeringen zijn op het gebied van IT-bevei-liging in de zakelijke markt. Het onderzoek wordt dit jaar mede mogelijk gemaakt dankzij de steun van Platinum sponsors Sogeti en IBM en Gold sponsors TSTC en Sophos.

NATIONALE IT-SECURITY MONITOR 2016


Wet- en regelgeving2016 is ook het jaar van de Meldplicht Datalekken. En natuurlijk van de data protectie verordening waar deze meld-plicht een onderdeel van is. Vorig jaar

was bij 1 op de 4 directies deze veror-dening niet eens bekend en 37% zei dat het wel bekend was, maar dat er geen prioriteit aan werd gegeven. Dat werd gereflecteerd in de mate van voorberei-

ding op bijvoorbeeld de Meldplicht Da-talekken. Een jaar geleden gaf slechts 15% van de IT-beveiligers aan klaar te zijn voor de Meldplicht. We zijn erg be-nieuwd of alle Nederlandse organisaties inmiddels alles op orde hebben en waar ze nog mee worstelen.

Nieuwe bedreigingenWe zullen dit jaar in de vragenlijst ook ruimte maken voor veranderende drei-gingen. Wat we vooral willen weten, is met welke incidenten organisaties de afgelopen tijd te maken hebben gehad en of men schade heeft weten te voor-komen. Is 2016 bijvoorbeeld het jaar van de ransomware, of valt de impact eigen-lijk wel mee? Nog even, en we hopen het u te kunnen vertellen.

TenslotteEr is één ding wat maar heel langzaam verandert aan IT-security. IT-security wordt nog altijd als een noodzakelijk kwaad beschouwd en daarmee als een kostenpost. Hoewel dat op zich niet on-juist is, wordt het alsmaar belangrijker dat IT-security op de radar is en blijft van de directie. De mogelijke impact van incidenten neemt ieder jaar sterk toe. Allereerst omdat cybercrime steeds beter georganiseerd is en in complexi-teit toeneemt, vervolgens omdat weten regelgeving hele grote, hele scherpe tanden heeft gekregen en tenslotte om-dat bedrijfsprocessen in snel tempo di-gitaliseren, waardoor inbreuken en ver-storingen organisaties tot in het hart zijn gaan raken. Hoewel velen er de mond vol van hebben, hebben we in de moni-tor tot nog toe geen cultuurverschuiving waargenomen die hier recht aan doet. Zien we dit jaar het kantelpunt? Hou ons in de gaten!

PETER VERMEULENis directeur van Pb7 Research

Over de Nationale IT-Security Monitor 2016De Nationale IT-Security Monitor is een jaarlijks terugkerend onderzoek op initiatief van Pb7 Research en Infosecurity Maga-zine. Het is een onafhankelijk onderzoek, dit jaar financieel mogelijk gemaakt door sponsors IBM, Sogeti, Sophos en TSTC. In het onderzoek kijken we naar de stand van zaken in de Nederlandse IT-security markt. Hoe zit de security organisatie in elkaar? Hoe past het beleid zich aan aan de veranderende eisen van de markt? Waar liggen de prioriteiten op het gebied van investeringen? Ook kijken we ieder jaar naar een aantal specifieke onderwerpen.

NATIONALE IT-SECURITY MONITOR 2016

Want security start bij mensen!!

TSTC is een gerenommeerd IT opleidings-instituut en erkend specialist in informatie-beveiliging- en cybersecurity trainingen.

Security professionals kunnen bij TSTC terecht voor bijna vijftig security trainingen op zowel technisch als tactisch- strategisch gebied. Naast alle bekende internationaal erkende titels is het ook mogelijk diepgang te zoeken in actuele security thema’s.

Overzicht trainingen:

• Certifi ed Ethical Hacker (CEH)• CyberSec First Responder (CFR)• Certifi ed Chief Information Security Offi cer (C|CISO)

• Certifi ed Information Security Manager (CISM)• Certifi ed Information Systems Auditor (CISA)• Certifi ed in Risk and Information Systems Control (CRISC)

www.tstc.nl/security

ICT en Security Trainingen

• Certifi ed Information Systems Security Professional (CISSP)• Certifi ed Cloud Security Professional (CCSP)• Certifi ed Cyber Forensics Professional (CCFP)

• ISO 27001 Lead Implementer• ISO 27001 Lead Auditor


eindverantwoordelijkheid voor de be-veiliging van informatie altijd bij hen ligt, niet bij de cloudprovider. En afhankelijk van het soort clouddienst, verschillen de beveiligingsmaatregelen die een bedrijf zelf moet nemen. Bij Infrastruc-ture-as-a-Service moet je natuurlijk veel meer zelf regelen dan bij Software-as-a-Service, hoewel je ook bij deze laatste effectieve beveiligingsmaatregelen kan afdwingen, zoals tweefactor authentica-tie.”

Kwestie van afhankelijkheidSecurity is altijd al een heikel punt ge-weest voor ICT. Dit geldt zowel voor de eigen automatisering als voor afname elders. Immers, organisaties zijn voor hun ICT-beveiliging afhankelijk van wat hardware- en softwareleveranciers, dienstverleners, outsourcers en ook cloudproviders bieden.E-commerce gigant Amazon, pionier met het aanbieden van cloud compu-ting, acht de tijd rijp om af te rekenen met verhalen over de vermeende on-veiligheid van de cloud. Volgens Ama-zon-CTO Werner Vogels biedt de cloud zelfs betere security dan wat bedrijven op eigen houtje voor elkaar kunnen krij-gen. Dit hield hij zijn publiek voor op de grote cloudbijeenkomst AWS Summit, die in mei dit jaar plaatsvond in Ne-derland. De schaalgrootte en expertise die geldt voor het AWS-cloudportfolio (Amazon Cloud Services) overtreft dat van individuele organisaties, luidt de ar-gumentatie.

Duivel zit in de detailsEr geldt wel een belangrijke nuance bij de voorgehouden betere security. “De cloud kan goede security bieden, mits goed geïmplementeerd”, volgens Van Campen. “De duivel zit - zoals wel vaker bij complexe zaken - in de details. In-dien een cloudprovider bepaalde secu-rityfuncties biedt, is het aan de afnemer om die mogelijkheden ook daadwerke-lijk te benutten en zo nodig af te dwin-gen bij de eindgebruikers.” Er zijn ook beveiligingsmaatregelen waar de eindklant actief aan moet bij-dragen. Neem een mogelijkheid om log-ins te monitoren op verdachte toe-gangspogingen of datadownloads. Voor effectieve toepassing daarvan is het no-dig dat er per klant, per accountsoort en misschien zelfs wel per account wordt gedefinieerd wat ‘normaal’ is. Zodat afwijkingen van die norm zijn te detec-teren en volgens bepaalde criteria als

verdacht of kwaadaardig zijn te bestem-pelen.

Afnemer blijft verantwoordelijkNaast het kennen en benutten van de beveiligingsmiddelen die cloudprovi-ders bieden, is er nog een security- vereiste voor cloudklanten: eigen moni-toring. De cloud is immers geen totale overdracht van ICT-taken en zeker niet een afwenteling van verantwoordelijkhe-den. Dit lijkt een open deur, maar in de praktijk blijken veel organisaties cloud-gebruik te interpreteren als een volle-dige ontzorging. Volgens Van Campen is dat een misvatting: “Organisaties blij-ven zelf verantwoordelijk voor goede beveiligingsmaatregelen, ook al worden die uiteindelijk geleverd door een cloud-provider. Dat betekent dat bedrijven moeten weten welke beveiligingsmaat-regelen er door de cloudprovider zijn genomen en hoe die zijn ingericht. Aan de hand van SLA’s kan je dit soort zaken precies vastleggen.”Microsoft acht het bijvoorbeeld nood-zakelijk om hier expliciet op te wijzen. Klanten worden gewezen op de gren-zen - en waar die exact liggen - van IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) en SaaS (Soft-ware-as-a-Service).

Grenzen, behoeften en zorgenIaaS is een basale ICT-infrastructuur waarop de gebruiker zelf platform-software, applicaties en services kan draaien. PaaS biedt al een functionele basis: een framework waar applicaties op draaien. SaaS is de meest bekende cloudvorm, met de functionaliteit van traditionele applicaties maar dan als flexibele internetdienst. Alle drie deze cloudsoorten, plus andere varianten van online en on-demand ICT, kennen ver-schillende grenzen van de verantwoor-delijkheden.Daarnaast kent iedere cloudsoort weer andere gebruiksscenario’s, beheer- vereisten en securityuitdagingen. Denk aan kritieke zaken zoals client- en end-pointbescherming, identity en access management, securitycontrols op appli-catieniveau, netwerktoegang en meer. Cloudaanbieders en gebruikers kunnen daar ieder apart voorzieningen voor hebben. Vaak zijn dat echter geschei-den werelden, waarbij de eigen securi-tymiddelen niet aansluiten op die van de cloudaanbieder. Voor meer vertrouwen en betere beveiliging zijn inzichtelijkheid en betere koppelingen nodig. Koppelin-

gen van bestaande security- en contro-lemiddelen met de wereld van de cloud.

Van Campen heeft nog enkele tips voor bedrijven die de beveiliging van hun cloud willen versterken: “Een van de belangrijkste voorwaarden voor goede cloudsecurity is inzicht in de toegepaste beveiliging en de actuele status. Om dat voor elkaar te krijgen is een geïntegreer-de beveiligingsaanpak nodig, waarbij servers in de cloud worden gekoppeld met de bestaande beveiligingsmid-delen. Zo ontstaat één overkoepelend beeld. Een andere effectieve maatregel is de implementatie van Single Sign-On in combinatie met 2-factor authentica-tie. Daarmee voorkom je dat gebrui-kers voor verschillende clouddiensten en -applicaties verschillende wacht-woorden moeten onthouden, wat vaak resulteert in makkelijke en dus onveili-ge wachtwoorden. Met alle risico’s van dien.”

JASPER BAKKER is freelance tech- en internetjournalist

Organisaties vertrouwen voor hun zakelijke toepas-singen meer en meer op de cloud, geleverd door diverse partijen die flexibele onlinediensten aanbie-den. Uit onderzoek van Intel Security blijkt dat het merendeel van zakelijke IT-budgetten de komende twaalf tot achttien maanden zal worden besteed aan publieke clouddiensten. Beveiliging moet een inte-graal onderdeel zijn van dit soort plannen, want het vertrouwen in de cloud moet meegroeien met onze groeiende afhankelijkheid van de cloud.

De cloud is al dagelijkse realiteit voor veel toepas-singen, maar de omslag naar kritieke applicaties en diensten is nabij, volgens Intel Security. Het bedrijf biedt inzicht in de zakelijke adoptie van de cloud in het rapport ‘Blue Skies Ahead? The state of cloud

adoption’ en werpt daarbij ook een blik vooruit. Er gloort een tijdperk waarin de cloud standaard de eerste stap is voor ICT, als het datacenter van de toekomst.

Maar is de cloud wel ‘veilig’? Wim van Campen, vice president Noord- en Oost Europa van Intel Security: “Over het algemeen kunnen we wel stellen dat de cloud redelijk veilig is, zeker voor wat betreft de fy-sieke beveiliging van de datacenters en de bevei-liging van het netwerk. De grotere aanbieders van clouddiensten schenken veel aandacht aan securi-tymaatregelen. En dat is ook nodig, want ‘de cloud’ is een aantrekkelijk doelwit, die cybercriminelen veel kan opleveren.”

Meer vertrouwen nodigBedrijven worstelen nog met het vertrouwen in de beveiliging van de cloud, zo wijst het onderzoek van Intel Security onder 1200 IT-beslissers uit. Zorgen om security zijn zelfs de voornaamste barrière voor cloudadoptie. Dat was in 2010 al zo, volgens on-derzoek van IDC. En dat is het nu dus nog steeds. Deels blijkt security ook een imagoprobleem. Want uit de bevraging van IT-beslissers komt naar voren dat hun zorg weliswaar security is, maar dat hun problemen daar niet mee van doen hebben. De uit-dagingen waar zij voor staan bij het gebruik van de cloud, betreffen vooral het migreren van diensten of data. Zijn securityzorgen rond de cloud dan een ge-val van FUD (‘Fear, Uncertainty and Doubt’)? Nee, het is een zaak van vertrouwen. En vertrouwen komt neer op transparantie.Sommige critici bestempelen de cloud wel eens als een nieuwe vorm van ‘vendor lock-in’. Gebruik van open standaarden plus eventueel van open sour-ce kan dat risico verminderen of zelfs wegnemen. Wederom: een kwestie van vertrouwen, gebaseerd op inzichtelijkheid. Eenzelfde aanpak van openheid kan ook helpen om securityzorgen weg te nemen. De uitdaging is om inzicht te krijgen in wat cloudpro-viders zelf doen aan security en wat ze aan klanten bieden qua beveiligingsmogelijkheden.Volgens Van Campen is er een aantal valkuilen voor wat betreft cloudsecurity: “Sommige organisaties plaatsen teveel vertrouwen in de cloudprovider. Je mag er als bedrijf niet spoorslags vanuit gaan dat die provider alles voor je regelt op securitygebied. Bedrijven moeten zich ervan bewust zijn dat de

Cloud en security zijn twee onderwerpen die momenteel volop in de aandacht staan. De eerste is tegenwoordig wel geaccepteerd, maar in combinatie met de tweede heerst er nog angst, onzekerheid en twijfel. Niet geheel ongegrond, overigens. Werk aan de winkel!

CLOUDSECURITY

HET ONTBREEKT AAN KOPPELINGENMET BESTAANDE BEVEILIGING

Wim van Campen

Cloudsecurity: licht tot half bewolkt

As sensitive data is going to the cloud, there are new security considerations.

40%already process or store sensitive data in the cloud.*

point to cloud compliance as their greatest concern.*

cite lack of visibility as their greatest operations issue.*

72%

58%

Enterprises are wasting little time moving to the cloud.

80%of IT budgets

will go to cloud computing

services within 16 months.

43different

cloud services are used

on average.

79%of companies

plan to invest in Security-as-a-Service.

As cloud adoption intensifies, security and compliance are more important than ever.

We asked 1,200 cloud security decision-makers in 8 countries about their biggest challenges and priorities. This is what they had to share.


bodem, harde rotsgrond of op de bodem van het water, met de Plaxis-modules la-ten projecten zich vormgeven en onder-bouwen met de juiste calculaties. Tallo-ze mijngangen, tunnels, dijklichamen, wegen, kademuren, brugoverspannin-gen, funderingen voor gebouwen en offshore-constructies voor de olie en gaswinning, alsmede energieopwek-king zagen dankzij de Delftse software het levenslicht.Die software vertegenwoordigt een unieke kennis van materiaalmodellen en grondmechanische karakteristie-ken. Plaxis doet weliswaar wereldwijd veel aan kennisoverdracht, maar wil wel als commerciële organisatie het in-tellectuele kapitaal te gelde maken. ”Nadat we zijn overgestapt naar bevei-liging van de software met technologie van Wibu-Systems, merken we weinig meer van softwarepiraterij”, vertelt Erwin Beernink, Manager Marketing & Sales bij Plaxis. ”Bovendien zijn onze marketing-activiteiten sterk gericht op het creëren van een community-gevoel door het organiseren van gebruikersbijeenkom-sten in de verschillende regio’s. In som-mige landen circuleren nog illegale, oudere versies van ons systeem. We

proberen de gebruikers over te halen betaalde licenties af te nemen, zodat zij kunnen profiteren van de nieuwste functionaliteit.”Binnen een paar jaar laat de investe-ring in de Plaxis-software zich volgens Beernink terugverdienen. ”Onze soft-ware-oplossingen lenen zich voor zo-wel 2D- als 3D-projecties. Op de soft-ware-modules voor 3D verdienen wij meer. Maar we stimuleren onze klan-ten om heel efficiënt zoveel mogelijk in 2D te werken en alleen wanneer het niet anders kan op 3D over te gaan. Op die manier kunnen zij geld verdienen met het bouwen van applicaties voor uiteen-lopende projecten van simpel tot heel complex met robuuste constructies en verschillende materiaalmodellen.”

ConstructeursMet de Nederlandse achtergrond vond Plaxis aanvankelijk voornamelijk klan-dizie in gebieden met zachte grond zoals zand en klei. In dat segment zijn ze de onbetwiste marktleider. Door de uitbreiding met materiaalmodellen voor harde rotsgronden en de zeebodem is het marktpotentieel flink toegenomen. Beernink weet te vertellen dat het be-drijf met name in Azië concurrentie ervaart van lokale spelers met goed-kopere oplossingen met minder func-tionaliteit. Maar zelfs in China, waar de prijs nog wel eens belangrijker is dan de kwaliteit, kiezen de sterk internationaal georiënteerde civiele constructiebedrij-ven steeds vaker voor Plaxis. De Azi-atische klanten kunnen terugvallen op ondersteuning die wordt geleverd vanuit de Plaxis-vestiging in Singapore. Ook de geo-ingenieurs in de Verenigde Staten hebben de weg naar Delft gevon-den, hoewel ze worden bediend vanuit het Plaxis-kantoor in Houston en door en-kele gespecialiseerde wederverkopers. Omdat de eindige-elementen calculatie-methode in Amerika minder gangbaar is dan in Europa, lag de focus voor Plaxis vooral op kennisoverdracht. Beernink: “We hebben meer dynamica-functiona-liteit toegevoegd. Aan de westkust moe-ten klanten immers rekening houden met aardbevingen. Maar inmiddels komt die uitbreiding ook goed van pas voor onze afnemers in Noord-Nederland, waar de gaswinning heeft geleid tot een onstabiele bodem.”

Gebruiksrechten verankerenPlaxis heeft zijn productlijn opgesplitst in een basispakket met daaromheen een

reeks van functionele uitbreidingen. Be-drijven die Plaxis VIP afnemen, hebben recht op het gebruik van de meest re-cente versies. Van het overgrote deel van de programmacode weet men in Delft wat klanten ermee doen. Partijen die in hun toepassingen de grenzen van de mogelijkheden van de licentie-voorwaarden overschrijden, krijgen te maken met een beveiligingssysteem dat is aangebracht met behulp van techno-logie van het Duitse Wibu-Systems. Het gaat dan om de producten Protection Suite, CodeMeter API en CodeMeter dongle.Met Protection Suite laat een complete set van programmacode zich in zijn ge-heel versleutelen en integreren met een licentieregistratie (CodeMeter License Central). Gecombineerd met de Code-Meter API is daaraan specifieke functi-onaliteit toegevoegd. De encryptie gaat tot op het niveau van de executable code, waardoor reverse engineering (herleiden van code naar functiestap-pen) onmogelijk is. De Plaxis-software start alleen op wanneer de gebruiker daartoe is geautoriseerd via de sleutel, oftewel de CodeMeter dongel. Deze dient te worden aangebracht in één van de usb-poorten van de Windows-com-puter waarop Plaxis draait. Klanten die meer GEO-specialisten gelijktijdig de software willen laten gebruiken, be-schikken over een sleutel die ’concur-rent users’ via een netwerk of een gevir-tualiseerde server toestaat.Alle dongels ondergaan een met de licentierechten gerelateerd active-ringsproces in het Plaxis-kantoor in Delft. Michael Andriessen is verantwoor-delijk voor de verkoopadministratie en vertelt dat CodeMeter License Central via een API-connectie nauw is verbon-den met Salesforce, het CRM systeem waarin alle Plaxis-klanten zijn onderge-bracht. ”Bestaande klanten die meer functionaliteit willen en dus hun rech-ten willen uitbreiden, specificeren hun aanvraag per mail en ontvangen een daarop afgestemde offerte. Na betaling wordt een ticket aangemaakt die de afnemer via Plaxis Connect software-matig ophaalt. Daarin zit een bestand-je met de update informatie voor zijn Wibu-Systems dongel(s). Vanaf dat mo-ment zal die dus het gebruik toestaan van de extra functionaliteit die de klant heeft aangeschaft.”

FRANS VAN DER GEEST is journalist

De meeste kinderen zien zand als het ideale ma-teriaal voor het creëren van hun eigen speelland-schap. Slechts beperkt door de omvang van de zandbak of de speelruimte op het strand bouwen zij bruggen, wegen en tunnels. Hun creativiteit on-dergaat extra stimulans bij het mengen van zand en water. In de rijkelijk uit die combinatie samengestel-de bodemstructuur raken veel Nederlanders spe-lenderwijs bekend met de eigenschappen van de grond waarop ze leven. Daarmee is het funda-

ment voor vele carrières gelegd. Weg- en waterbouwkundigen, baggeraars en ande-re specialisten in civiele constructies bezorgen Ne-derland mondiaal faam als het gaat om het droog-leggen van watergebieden, bouwen van dijken en bruggen en het aanleggen van havens, water- en rij-wegen. Kortom het scheppen van een infrastructuur op maat. Die zou echter nooit tot stand zijn gekomen als de elementaire kennis van de geofysische om-standigheden (gedrag van grond op land en onder water) niet goed waren verankerd in wetenschappe-lijk getoetste modellen.

Bestuderen en modelleren Als spin-off van de Technische Universiteit van Delft ontstond ruim 20 jaar geleden het bedrijf Plaxis, dat de theoretische kennis van geofysica, gecombi-neerd met eindige elementen rekenformules wist te vatten in software. Daarmee kregen geotechnische professionals de gereedschappen aangereikt om het gedrag van grondlagen te bestuderen, bereke-ningen uit te voeren en modellen te ontwikkelen. Voor deze software bestaat een wereldwijde afzet-markt. Ongeacht of men veilig wil bouwen op zachte

Geld verdienen met digitaal vastgelegde kennis kan alleen als de distributie van de content in een economisch exploi-tabel model is gegoten. Digitaal beveiligen is één ding, het appelleren aan de verantwoordelijkheidszin van de con-tent-gebruikers is nog iets heel anders. Het Nederlandse softwarebedrijf Plaxis zocht de oplossing met succes in een combinatie van beide maatregelen. Veilig verborgen achter de klantvriendelijke oplossing voor licentiebeheer realiseert de complexe geotechnische analyse software van Plaxis wereldwijd aansprekende infrastructurele projecten.

SECURITY TOOLS

Plaxis beschermtgeotechnische softwaremet innovatieve security tools


Dat blijkt uit een onderzoek onder 1.532 responden-ten door platform Mijn Online IDentiteit in het kader van de lancering van de nieuwe website ‘Reputatie.Management’. Ongeveer een derde van de deelne-mers is ondernemer. Als mensen informatie zoeken over een bedrijf, zoeken ze tegenwoordig eerst op internet via Google of andere zoekmachines, op ver-gelijkingswebsites, reviewsites, nieuwssites, blogs of andere fora. Naast productinformatie kijken ze naar oordelen en ervaringen van anderen over pro-ducten en diensten.

Veel informatie is verouderd, incompleet of foutiefIn het onderzoek geven zeven van de tien consu-menten aan online hun informatie over bedrijven te zoeken. Negen van de tien laten die gevonden in-formatie op het internet meewegen bij hun keuze. “Maar vaak is de informatie die consumenten vin-den verouderd, incompleet of foutief. Dat kan grote gevolgen hebben als die informatie wordt meege-

wogen in de keuze”, vertelt oprichter van Mijn Onli-ne IDentiteit Martijn Barten.Ondernemers worden zich steeds bewuster van die gevolgen, maar kunnen de online beeldvorming nauwelijks controleren. Terwijl bedrijven vroeger vooral zelf informatie verspreidden, kan nu iedereen op elke willekeurige website of platform iets over een bedrijf zeggen en een review geven. “Vroeger vond je vijf online reviews over je bedrijf, tegenwoor-dig honderden verspreid over diverse websites”, stelt Barten.

Geen goed beeld van de werkelijkheidUit hetzelfde onderzoek bleek dat een kwart van alle online informatie over personen geen goed beeld van de werkelijkheid geeft. Eén op de vijf onderne-mers geeft aan dat dit bij hen ook het geval is. Dat terwijl 97 procent een juist beeld op internet belang-rijk vindt. Van de ondervraagde ondernemers wil 98 procent een positieve indruk maken op potentiële klanten, 97 procent op zakelijke relaties zoals op-drachtgevers, klanten en leveranciers, 77 procent op collega’s en 72 procent op sollicitanten.Reputatie.Management wil ondernemers meer con-trole geven over online beeldvorming, bijvoorbeeld door alle informatie over hun bedrijf, product of merk realtime te monitoren. Dit helpt hen adequaat rea-geren op vragen, klachten of opmerkingen. Barten: “Grote bedrijven zijn hier al actief mee bezig, maar voor het MKB valt op dit vlak nog veel voordeel te halen.”

Een op de vijf Nederlandse ondernemers (19 procent) stelt dat de informatie op internet over henzelf of hun bedrijf niet klopt. Dat is een groeiend probleem, omdat de meeste consumenten online naar informatie zoeken over bedrijven en specialisten en hun keuze daarop baseren. Zeven op de tien ondernemers willen daarom meer controle krijgen over de online beeldvorming van hun bedrijf.

ONDERZOEK

HET ONTBREEKT AAN KOPPELINGENMET BESTAANDE BEVEILIGING

Bijna 20 procent van de online bedrijfsinformatie is onjuist

Fox-it prevents, solves and

mitigates the most serious cyber

threats with smart solutions

for government, defense, law

enforcement, critical infrastructure,

banking, and multinational

corporations worldwide.

fox-it

Olof Palmestraat 6, Delft

po box 638, 2600 ap Delft

The Netherlands

t +31 (0) 15 284 79 99

f +31 (0) 15 284 79 90

e [email protected]

www.fox-it.com

Making technical andinnovative contributionsfor a more secure society


Network discovery lost dit pro-bleem op. Deze service brengt het volledige netwerk in kaart en stelt daarbij vast welke appara-ten geautoriseerd zijn en welke niet. Ook brengt deze service in kaart welke netwerkpoorten open staan en welke protocollen in gebruik zijn. Daarmee krijgt een netwerkbeheerder en secu-rity-specialist weer grip op zijn netwerk.

Botnets tegenhoudenDaarnaast heeft WatchGuard een reeds bestaande service genaamd ‘reputation enabled defense’ uitgebreid. De nieuwe feature luistert naar de naam ‘botnet detection’. Hiermee krij-gen beheerders een realtime antwoord op de vraag welke ap-paraten in het netwerk besmet zijn. Hierdoor kan de communi-catie van en naar deze appara-ten geblokkeerd worden, waar-door deze systemen het contact verliezen met het command & control-systeem dat het botnet aanstuurt.Een derde uitbreiding van Fire-ware heeft betrekking op mobile security. Het gaat hier in feite om een extra security-laag die over het netwerk heen kan worden gelegd. Deze laag maakt het beheerders mogelijk om ieder apparaat dat contact met het netwerk probeert te maken te identificeren en te controleren voordat toegang tot het netwerk daadwerkelijk wordt toegestaan.

Zichtbaar makenDimension is de tool waarmee netwerkbeheerders en securi-ty-specialisten de vaak com-plexe structuur van een net-werk en alle verkeer dat daarin plaatsvindt zichtbaar kunnen maken. Met versie 2.1 beschikt Dimension nu over een zogehe-ten ‘subscription services dash-board’. Dit dashboard geeft een overzicht van alle data die Fireware verzamelt. Bijvoorbeeld over het aantal aanvallen, via welke apparaten deze werden uitgevoerd, welke typen aan-vallen werden tegengehouden en dergelijke. Hiermee kunnen

beheerders en security-mede-werkers rapportages maken die business managers een goed inzicht geven in de security- situatie rond de voor hen be-langrijke applicaties en werk-processen.

Nieuw is ook een functionaliteit die ‘policy usage report’ heet. In ieder netwerk zijn policies in gebruik die tal van regelingen ondersteunen of afdwingen. Tot nu toe was het erg lastig om antwoord te krijgen op de vraag welke policies daadwerkelijk toegepast zijn. Deze nieuwe feature vult dit nu in. Het biedt inzicht in de meest toegepaste policies, maar maakt natuurlijk ook zichtbaar welke policies nauwelijks of zelfs helemaal niet worden toegepast. Op die ma-nier kunnen security-afdelingen en netwerkbeheerders policies beheren, niet toegepaste poli-cies identificeren en deze even-tueel afschaffen of aanpassen.

Gebruikers anoniem makenTenslotte biedt Dimension nog een opmerkelijke nieuwe func-tie: ‘user anonymization’. De combinatie van Fireware en Dimension maakt het mogelijk om een zeer gedetailleerd beeld te krijgen van het netwerk en het verkeer dat daarin plaatsvindt. Daarbij is ook direct duidelijk wat iedere individuele gebrui-ker doet. Er zijn tal van situaties denkbaar waarin het rapporte-ren van dit soort gegevens een bedrijf in problemen zou kunnen brengen als het gaat om priva-cyregels. Daarom biedt Dimen-sion nu de optie om rapportages op te stellen waarbij gegevens die individuele gebruikers her-kenbaar kunnen maken eerst verwijderd worden. Hierdoor is de rapportage uiteraard statis-tisch nog altijd correct en klopt alle trendmatige informatie nog volledig, maar kunnen geen ge-gevens over individuele gebrui-kers uit een rapportage worden gehaald.

ROBBERT HOEFFNAGEL

Onlangs introduceerde security-specialist Watch-Guard een nieuwe versie van zowel zijn Fireware operating system als Dimension visualisatie-omge-ving. “De versienummers - respectievelijk 11.11 en 2.1 - wekken wellicht de indruk dat het hier gaat om tussenversies of onderhoudsreleases, maar wie kijkt naar de nieuwe functionaliteit die hiermee beschik-baar is gekomen, ontdekt al snel dat het hier om belangrijke functionele uitbreidingen gaat”, aldus Nachreiner.

Netwerk in kaart brengenFireware 11.11 biedt drie belangrijke uitbreidingen. Dat is allereerst ‘network discovery’. Steeds meer bedrijven bieden werknemers en bezoekers de ge-legenheid om met hun eigen apparatuur en hun ei-gen applicaties van het bedrijfsnetwerk gebruik te maken. Dat is op zich natuurlijk erg handig, maar het stelt security-specialisten wel voor nieuwe uit-dagingen. Het aantal apparaten en applicaties dat in het netwerk actief is, verandert hierdoor voortdu-rend. Het wordt dus steeds lastiger om goed in kaart te brengen hoe het netwerk er op een bepaald mo-ment daadwerkelijk uitziet.

In deze tijd waarin Shadow-IT en Bring Your Own Device de complexiteit van veel bedrijfsnetwerken sterk hebben vergroot, is het van groot belang om weer goed inzicht te krijgen in de apparaten, protocollen en services die binnen een netwerk actief zijn. Daarom lanceerde WatchGuard on-langs een nieuwe versie van zijn operating system, evenals een nieuwe release van zijn visualisatie-omgeving Dimen-sion, vertelt Corey Nachreiner, Chief Technology Officer van WatchGuard.

VISIE

COREY NACHREINER VAN WATCHGUARD:

‘Goede security vereist beter inzicht in netwerk’

Who detected the breach?

In 2013, the average amount of time it took to detect a threat was 80 days

2

of these organizations say they review their logs regularly1

Security Breaches are Becoming Harder to Detect

As malware becomes increasingly more sophisticated and

stealthy, it’s taking longer than ever to spot a breach.

44%

14%

of organizations do collect logs197%

By 2014, the average had grown to 6 months3

By 2015, the average stretched to an even more perilous 8.5 months4

67%

A Third Party Law Enforcement Internal Personnel

16% 1%

8.5 months

Having visibility into your network is the first step to defending it.

WatchGuard provides a host of best-in-class network visibility and

security solutions to illuminate your company’s network .

Visit us at www.watchguard.com to learn more.

1. SANS Institute, “Ninth Log Management Survey Report”, October 2014

2. Ponemon Institute, “The Post Breach Boom”

3. Ponemon Institute, “2014: A Year of Mega Breaches

4. Ponemon Institute, “2015 Cost of Data Breach Study: Global Analysis”

5. Verizon, “2014 Data Breach Investigations Report”

2013

2014

2015

Only this percentage feel confident in their ability to analyze large data sets for security trends1

© 2016 WatchGuard Technologies, Inc. All rights reserved. WGCE66915_051916


Europe, ziet de omslag desondanks snel komen. Hij stelt zich een scenario voor waarbij papierloos werken zich langzaam maar gestaag als een olievlek over de commerciële sector verspreidt: “In sommige sectoren zie je juist dat het heel snel opkomt.” Hij wijst daarbij op bijvoorbeeld banken en telecom, waar volgens Kaeb een echte transitie heeft plaatsgevonden. “Veel banken en te-lecom providers zien al langer dat aan werken met papier voor hen meer nade-len dan voordelen kleven. Papier wordt in deze sectoren inmiddels als traag en fraudegevoelig beschouwd. Technolo-gie heeft voor flinke veranderingen ge-zorgd”, zegt hij.Kaeb verwijst naar organisaties als het Duitse Sparkasse en het Franse Orange, die de producten van de Ja-panse leverancier hebben omarmd om veiliger zaken te doen. “Mensen kennen ons vooral van de teken tablets, maar de afgelopen tien jaar zijn we in de za-kenwereld flink gegroeid wat betreft za-kelijke pen tablets. De bank Sparkasse reikte ons daarvoor het idee aan, waar-op ook vanuit het Franse Orange en de rest van de sector veel vraag naar zulke tablets ontstond.”

Veiliger transacties dankzijdigitaal ondertekenenBegin juni lanceerde Wacom met de DTK-1651 een 15,6 inch pentablet waarmee documenten in kleur en op volle grootte niet alleen weergegeven, maar ook ondertekend kunnen worden. Inmiddels zijn de ontwikkelingen van de digitale handtekening zo ver gevorderd, dat het een ideaal middel vormt om do-cumenten biometrisch te beveiligen. “Iets ondertekenen met een stylus lijkt op het scherm weliswaar een schets, maar onderliggend is er sprake van complexe wiskunde”, vertelt Kaeb. Door informatie op te slaan over de volgorde van strepen, snelheid, druk en de hoek waarin de pen gehouden wordt, ontstaat van iedere ondertekenaar een uniek profiel en lopen fraudeurs sneller tegen de lamp, omdat het bijkans onmogelijk wordt een handtekening te vervalsen.

“Door de snelheid en het gemak waar-mee je op pen tablets met digitale do-cumenten kan werken, opereren vele bedrijven in Europa nu volledig digitaal”, zegt Kaeb. Documentloos werken kan dus wél. Dat geldt ook voor overheden, die de laatste jaren de vele richtlijnen

voor papierloos werken hebben opge-steld. Zij moeten hierin zelf het goede voorbeeld geven. Waar Nederland de ambitie heeft om ambtenaren in 2017 van het papier af te krijgen, werken over-heden in Estland al jaren elektronisch. En dat lukt ze meer dan aardig; overal in Europa geven vertegenwoordigers van de kleine Baltische republiek presenta-ties waarin zij het succes benadrukken.

Maar werkt het wel echt zo goed als beloofd?Dat bedrijven achteraan blijven hob-belen, heeft vooral te maken met hard-nekkige vooroordelen, denkt Kaeb. On-danks dat professionals in onderzoeken aangeven de noodzaak van papierloos werken te erkennen en de voordelen te zien, passen zij het vanwege twij-fels aan de technologie niet of nauwe-lijks toe. “Ook speelt mee dat geprinte documenten productief aanvoelen en het overhandigen van een rapport wat meer indruk lijkt te maken.”

Mocht er nog sprake zijn van enige twij-fel, dan is security een niet te weerleg-gen argument dat maakt dat het onbe-kende vaker bemind mag worden. Met data enkel in het digitale domein, kan IT de volledige controle nemen over documenten, met daarin alle gevoelige informatie van dien. Bovendien maken mogelijkheden van encryptie en exter-ne opslag de apparaten waarmee met documenten gewerkt wordt veel veiliger dan een gemiddelde ladekast. “Daarbij kun je ook denken aan handtekeningen die je koppelt aan een certificaat, bij-voorbeeld een Public Key Infrastructure (PKI) sleutel. Documenten beveiligen verloopt hiermee op een wijze verge-lijkbaar met SSL-certificaatversleuteling voor websites”, merkt Kaeb op. In zo’n beveiligd document kunnen achteraf geen veranderingen worden gemaakt.

‘Ieder bedrijf wil een eigen Google’Trends binnen papierloos werken zijn opslag in de cloud en het werken met steeds kleiner wordende apparaten. “Meer en meer bedrijven vragen om mobiele oplossingen, omdat ze bijvoor-beeld aan de deur bij een klant of onder-weg in trein of vliegtuig met documenten willen blijven werken”, geeft Kaeb aan. “Dit ondersteunt complete papierloze workflows. Vanuit bedrijven groeit de behoefte om documenten steeds sneller te kunnen zoeken en raadplegen. On-middellijke toegang tot informatie wordt de norm, op dezelfde wijze als je iets met Google opzoekt, wil je dat ook voor documenten kunnen doen, zowel in de front- als backoffice.” Na bijna 2000 jaar op papier te hebben vertrouwd, neemt technologie hier het stokje over.

VAN DE REDACTIE

Hoewel we de laatste jaren veel meer zijn gaan wer-ken met mobiele apparaten, wordt in Nederland en België nog altijd ontzettend veel geprint. Je zou ver-wachten dat we met meer technologie minder pa-pier nodig hebben, maar dat blijkt tegen te vallen. Uit onderzoek blijkt namelijk dat er van de ambities die tal van bedrijven uitspreken om hun papiersta-

pel te verminderen, of zelfs helemaal zonder ‘dode bomen’ te werken, weinig tot niets terecht komt.

Nog steeds vindt een grote meerderheid (71 pro-cent) het nodig om te printen, zo zeggen de respon-denten in de laatste editie het tweejaarlijkse onder-zoek van Viadesk. En dat is vrij opmerkelijk, gezien er de laatste jaren volop technische mogelijkheden zijn gekomen om afscheid te nemen van papier en printer. Aan de haalbaarheid en de wenselijkheid hoeft niet getwijfeld te worden. Maar waarom ge-beurt het dan toch zo weinig?

‘Banking en telecom zijn wel allangoverstag’Thomas Kaeb, Senior Sales Manager bij Wacom

In het kader van duurzaamheid is het al jaren een trend om te verkondigen dat je organisatie papierloos gaat werken. Maar vaak komt van die ambities weinig terecht en blijft de printer overuren draaien om zowel medewerkers als klan-ten van fysieke printjes te voorzien. Dat moet toch anders kunnen?

ONDERZOEK

COMPROMISSEN MAKEN IS NIET LANGER NOODZAKELIJK

Thomas Kaeb

Security vergrotenkan alleen door echtpapierloos te gaan werken


Financiële bedrijven zijn zeker niet de enige die met dit probleem worstelen. Ook leveranciers van ande-re essentiële diensten - denk aan nutsbedrijven en telecom-aanbieders - starten nog altijd de zakelijke relatie met een klant door deze uit te nodigen fysiek naar een winkel of vestiging te komen. Om concur-rerend te blijven, is het echter nodig om alternatie-ven te onderzoeken die minder kostbare tijd vergen van de klant. Alles moet immers sneller en goedko-per. Daarnaast heeft de klant in toenemende mate moeite met een proces waarbij hij of zij persoonlijk bij een leverancier op bezoek moet gaan.

Een digitale variant op dit proces van wat we ook wel ‘onboarding’ noemen, kan dit probleem oplos-sen. Maar daarbij mogen we niet vergeten dat ‘di-gital onboarding’ wel vraagt om betrouwbare systemen, al was het maar omdat aanmeldingen van nieuwe klanten in veel gevallen ook door of bij lokale overheden en toezichthouders geverifieerd dienen te worden.

Waarom digital onboarding?Het inschrijven van nieuwe klanten is van cruciaal belang voor elk bedrijf en voor iedere service pro-vider met groei-ambities. Om dit proces zo soepel mogelijk te laten verlopen, dient een provider zo-veel mogelijk hobbels uit de te volgen procedures

te verwijderen. Traditiegetrouw is een van de meest lastige stappen in dit soort procedures de noodzaak dat een nieuwe klant fysiek aanwezig dient te zijn, zodat een medewerker van het bedrijf persoonlijk aan deze persoon een aantal documenten kan over-handigen.

Tot voor kort beschouwden zowel klan-ten als de organisaties met wie zij sa-menwerken de noodzaak om fysiek aanwezig te zijn als een noodzakelijk kwaad en de prijs van zakendoen. Nu echter ook andere zakelijke categorieën online commerce hebben omarmd, zijn consumenten steeds meer gewend ge-raakt aan het idee dat zij transacties kunnen doen zonder dat zij hiervoor hun huis behoeven te verlaten. Met andere woorden: klanten weten dat er hiervoor geen technische belemmeringen meer bestaan en hebben verder weinig bood-schap aan eventuele juridische redenen waarom zij zich alsnog fysiek zouden moeten melden op het kantoor van een leverancier.Ook steeds meer financiële dienstverle-ners hebben moeite met deze traditio-nele gang van zaken. Zo hebben con-

sultants van McKinsey vastgesteld dat fysieke ‘verkopen’ voor bankkantoren goed zijn voor ongeveer 85% van de conversie van prospects naar klanten, terwijl deze conversie-ratio bij online verkoop op slechts 15% staat. Dat lijkt een belangrijk voordeel voor fysieke verkoop, maar dat klopt niet. We mogen immers niet vergeten dat veel klanten pas op een bankkantoor verschijnen nadat zij online reeds een product of dienst hebben gekozen, alle vragenfor-mulieren die hiervoor nodig zijn online hebben ingevuld en pas dan voor een formele afronding fysiek naar het bank-kantoor komen.

Hoge kostenBovendien, zo ontdekte het financiële adviesbureau Javelin al in 2015, heeft 70% van de prospects van een bank

een duidelijke voorkeur voor digitale aanmeldingsprocedures bij het aan-schaffen van een product of dienst in plaats van face-to-face contact.

Consumenten verwachten steeds meer zaken online te kunnen afhandelen. Voor sterk gereguleerde sectoren zoals de financiële sector is dit echter nog een hele uitdaging. Banken kiezen er nog vaak voor om nieuwe klanten via een vrij klassiek ingericht proces te accepteren. Dat heeft enerzijds te maken met compliancy-eisen, maar ook met de behoefte om fraude te voorkomen. Klanten wordt daar-om nog altijd gevraagd naar één van hun vestigingen te komen. De klant heeft hier echter steeds vaker weinig be-hoefte meer aan en wil liever geheel online - bijvoorbeeld - een bankrekening kunnen openen. Deze ook wel ‘digital onboarding’ genoemde manier van werken is dankzij tech-nieken als ‘identifity proofing’ geen enkel probleem meer.

ONBOARDING

DIGITAL ONBOARDING VAN NIEUWE KLANTEN:

Complianceis niet langer een probleem

'Om concurrerend te blijven, is het nodig om alternatieven te onderzoeken die minder kostbare tijd vergen van de klant'


Daarnaast geldt dat fysieke onboarding ook veel tijd en aandacht vraagt van de medewerkers van de bank. De handma-tige procedures die hierbij komen kijken zijn in de praktijk bovendien gevoelig gebleken voor fouten, terwijl de kosten dus relatief hoog zijn. Veel traditionele banken worden bovendien geconfron-teerd met toenemende concurrentie van online only-instellingen die digital on-boarding reeds onder de knie hebben. Dus ook vanuit oogpunt van concurren-tie willen financiële instellingen graag met digital onboarding aan de slag.

Identiteit vaststellenDe belangrijkste reden voor bedrijven om vast te houden aan traditionele fa-ce-to-face onboarding is veelal dat een

toezichthouder eist dat de identiteit van de klant wordt vastgesteld. De werkne-mer kan hierbij de klant visueel identifi-ceren en een controle van zijn of haar documenten uitvoeren. In de meeste gevallen is het hierbij voldoende om een identiteitspapier - een paspoort of rijbe-wijs - te tonen om tot een succesvolle verificatie te komen. Daarnaast dient de klant veelal ten overstaan van een me-dewerker van het bedrijf ter plekke een aantal documenten te ondertekenen. Daarmee wordt nog een extra laag van authenticatie toegevoegd. Dit proces wordt gezien als een belangrijk hulp-middel om identiteitsfraude te voorko-men. Het maakt het voor een bank daar-naast mogelijk een belangrijke bijdrage te leveren aan een eventueel gerechte-

lijk onderzoek, mocht daarbij een van haar rekeningen zijn betrokken.

In het ideale geval zou digital onboar-ding dan ook bestaan uit een methode om de nieuwe klant visueel te identifice-ren. Dat verklaart waarom de afgelopen jaren banken in Duitsland, Oostenrijk en Zwitserland zijn begonnen om video-ge-sprekken toe te passen als een manier om nieuwe prospects te verifiëren. Ook een aantal startups heeft gekozen voor online-bankieren waarbij video als on-boarding-methode wordt toegepast. Deze oplossing kan echter zeker niet altijd worden toegepast. Zo moest wet-geving die betrekking heeft op de finan-ciële sector in de hiervoor genoemde landen opnieuw geïnterpreteerd wor-den. En in andere landen is deze me-thode zelfs helemaal niet toegestaan in het kader van de bestaande wetgeving.

Digital brokerageEr bestaan echter nog meer moge-lijkheden om tot een digitale vorm van klantacceptatie inclusief succesvolle identificatie van de klant te komen. Eén daarvan is een aanpak die ook wel ‘iden-tity brokerage’ of ‘i-brokerage’ wordt genoemd. Hierbij maken beide partijen (aanbieder en klant) gebruik van een tussenpersoon die de identiteit van de klant bevestigt. Deze broker opereert hierbij geheel conform de lokale regel-geving en maakt het voor klanten mo-gelijk om zichzelf online te identificeren voor diensten die een hoge mate van veiligheid en risicomanagement verei-sen. De meeste i-brokers maken gebruik van een techniek die ‘identity proofing’

wordt genoemd. Deze techniek biedt een sterke authenticatie. Bovendien wordt een grondige en geautomatiseerde contro-le uitgevoerd van de identiteit van een persoon met behulp van informatie uit openbare en eigen gegevensbronnen, veelal aangevuld met andere geavanceerde analysemethoden.

Een goed voorbeeld hiervan is LuxTrust in Luxemburg. LuxTrust biedt Signing Server-oplossingen die tokens gebruiken om verbinding met een server te maken. Deze tokens worden ge-bruikt om handelingen te verrichten die een krachtige vorm van ‘identity authentication’ vereisen. Is zijn of haar identiteit eenmaal onomstotelijk vast komen te staan, dan ontvangt de klant een digitale sleutel waarmee hij of zij de eigen identiteit online kan bevestigen. Dit betekent dus dat hij of zij niet iedere keer alle stappen hoeft te herhalen om de eigen identiteit te bewijzen. Daarmee wordt een zeer belangrijke barrière verwij-derd in het langs digitale weg zakendoen.

Ook overheden willen digital onboardingZelfs wanneer er goede redenen zijn voor het toepassen van digital onboarding, lijken overheden nog wel eens obstakels te creëren die het lastig maken om digital onboarding toe te oppassen. Dat gebeurt dan veelal door het afdwingen van strenge regels en procedures. In een groeiend aantal lan-den lijken lokale en nationale overheden echter toch ook zelf te kiezen voor de identity proofing-technologie om hun eigen diensten online beschikbaar te maken. In sommige gevallen leidt dit zelfs tot het ontstaan van een nationale standaard voor het identificeren van online-gebruikers zonder dat hiervoor fa-ce-to-face-contact nodig is.

Zo hebben overheden, onderwijsinstellingen en banken in Noorwegen en Zweden al in 2003 hiervoor eigen systemen ontwikkeld. Hoewel het om twee verschillende systemen gaat, worden de systemen in beide landen ‘BankID’ genoemd. Ze zijn bovendien vergelijkbaar in functionaliteit. BankID-certifica-ten kunnen hierbij worden geladen op smartcards, smartpho-nes en andere apparaten, waarna de consument in staat is om een verscheidenheid aan handelingen te verrichten. Denk aan het openen van een bankrekening en zelfs het indienen van belastingaangiften. BankID maakt ook elektronische handteke-ningen mogelijk. Mede als gevolg van de Zweedse en Noorse succesverhalen zijn ook andere landen op zoek naar mogelijk-heden om soortgelijke systemen op te zetten.

Consumenten hebben steeds meer moeite met het feit dat het voor hen onmogelijk is om online tal van handelingen te verrichten. Dat hier juridische redenen voor kunnen bestaan is hiervoor in hun ogen niet langer voldoende reden. Een groei-end aantal mensen is dan ook niet langer bereid om voor een simpele handeling als het openen van een bankrekening naar een kantoor van de bank te komen. Bedrijven erkennen dit en zien bovendien in digital onboarding een goede mogelijkheid om de kosten terug te dringen en een foutgevoelige handma-tige procedure te vervangen door snelle, efficiënte en boven-dien veilige digitale werkmethode. Nieuwe methoden om tot digital onboarding te komen maken het bovendien mogelijk om te voldoen aan alle wettelijke regels.

JAN VALCKE is President & COO van VASCO Data Security

67% van de bedrijven heeft mobiele data niet beveiligt, hoort u daar

ook bij?

Krijg de controle over gebruikers, devices en toegangen.

Voorkom identiteitsfraude, ongewenste toegang tot data en applicaties, inefficiëntie en hoge

kosten.

Begin goed bij de basis met hybride Identity & Access Management.

IonIT adviseert, ondersteunt en begeleidt u graag!

WWW.IONIT.NL

ONBOARDING

'Ook vanuit oogpunt van concurrentiewillen financiële instellingen graagmet digital onboarding aan de slag'


“Het doel is dus niet om op alles te willen reageren, want dat is onnodig duur. Doel is om security af te stemmen op de risico’s die uw bedrijf loopt. Het is

voor bedrijven al een hele uitdaging om verdacht netwerkverkeer van het reguliere verkeer te schei-den, laat staan dat te projecteren op bedrijfsrisi-co’s en hun impact. Daar wil je een oplossing zoals Onsight IntelliGuard bij gebruiken”, legt Jeffrey de Graaf, Commercieel Directeur van Onsight, uit.

‘Ik wist het niet…..’ wordt niet meer geaccepteerd“Daarnaast is het niet eenvoudig om rond de klok te bepalen welke maatregelen moeten worden ge-nomen op basis van events. Een SIEM vertelt je bij-voorbeeld wel dat er inbrekers bij jou in de straat rij-den maar laat niet zien voor welk huis zij staan en of zij via de voor- of achterdeur proberen binnen te ko-men. Dit in kaart brengen kost veel tijd en vereist ex-pertise. Aangezien security doorgaans geen kern- activiteit is van bedrijven beschikken zij vaak niet

over de benodigde mensen, middelen en processen om dit inzicht te verkrij-gen.”

Dit inzicht is echter wel noodzakelijk want u en uw bedrijf worden er zelfs wettelijk op afgerekend. Een voorbeeld is de meldplicht datalekken, die op 1 januari 2016 is ingevoerd. “Deze wet verplicht bedrijven bij de Autoriteit Per-soonsgegevens tijdig melding te maken van datalekken. Dit is alleen mogelijk in-dien een bedrijf zich bewust is van een datalek. Wie zijn security niet op orde heeft kan maanden nodig hebben een datalek te ontdekken, waardoor men niet in staat is hiervan tijdig melding te maken. Dit kan uw bedrijf forse boetes opleveren. Daarnaast kunt u als bestuur-der persoonlijk aansprakelijk worden gesteld voor een datalek indien deze door nalatigheid heeft kunnen ontstaan. Het is dus van groot belang dat bedrij-ven goed en vooral tijdig inzicht hebben in cyberincidenten, wat alleen mogelijk is door het netwerkverkeer nauwlettend te monitoren.”

Onsight identificeert relevante alerts“Wij helpen klanten hierbij met Intelli-Guard, een Security Operations Center (SOC) dat als een volledig beheerde dienst wordt aangeboden. In ons SOC worden voor vele klanten miljoenen se-curity en netwerk events per dag volle-dig geautomatiseerd geïnterpreteerd. Daar bovenop zijn security experts actief die voor onze klanten daaruit re-sulterende security alerts 24x7 opvol-gen door middel van nadere analyse, rapportage en advies. Alleen alerts die daadwerkelijk de onmiddellijke aan-dacht vereisen worden direct kenbaar gemaakt aan de klant, waarmee hen veel werk uit handen wordt genomen. Zij kunnen zich hierdoor volledig rich-ten op hun eigen kernactiviteiten”, aldus De Graaf. “IntelliGuard is overigens een eigen ontwikkeling van Onsight, waarin de afgelopen jaren al vele miljoenen zijn geïnvesteerd. Daarnaast is Onsight een 100% Nederlands bedrijf waardoor wij kunnen garanderen dat het netwerkver-keer dat wij monitoren altijd binnen de Nederlandse landsgrenzen blijft, wat met het oog op compliancy van belang kan zijn.”

Nieuwe klanten die kiezen voor Intelli-Guard leveren wij in eerste instantie een

‘TurboStart’. Tijdens deze fase monito-ren wij drie maanden lang nauwlettend het netwerkverkeer en wordt al 80% van het verdachte verkeer qua relevantie in kaart gebracht. Gedurende deze pe-riode werken we intensief samen met de klant om hem volledig bij te praten over onze bevindingen en om de rele-vantie daarvan voor de klant af te stem-men”, aldus De Graaf. “Zo kunnen extra maatregelen van een prioriteit worden voorzien zodat u niet onnodig hoeft te investeren in mensen, processen en middelen. Onsight investeert in Intelli-Guard zodat u alleen hoeft te investeren op basis van aangetoonde relevantie.”

Maximale meerwaarde uit voor-bereiding halen“Opvolging van security alerts wor-den vastgelegd in ’runbooks’. Dit zijn draaiboeken waarin per alert exact wordt vastgelegd welke maatregelen

en acties vereist zijn. Deze runbooks zijn doorgaans toepasbaar op meerde-re organisaties, waardoor wij de reeds opgebouwde verzameling draaiboeken kunnen hergebruiken voor al onze klan-ten. Hierdoor hebben we een groeien-de voorsprong ten opzichte van wie nu een eigen SIEM of SOC wil opbouwen en kunnen we onze reactie op alerts stroomlijnen.” “Runbooks bieden overigens ook inte-ressante proactieve inzichten waar onze klanten veel profijt van kunnen hebben. Zo hebben we bijvoorbeeld enige tijd geleden de beruchte Locky ransomwa-re geanalyseerd en hiervoor runbooks ontwikkeld. We zagen dat deze agres-sieve vorm van malware in de Verenig-de Staten een aantal ziekenhuizen had getroffen, terwijl in Nederland nog geen incidenten hadden plaatsgevonden. Dit inzicht stelde ons in staat om onze klan-ten in de zorgsector alvast te alarmeren over deze dreiging en hen alvast run-books aan te reiken om deze dreiging snel en effectief te kunnen mitigeren. Dergelijk inzicht kan veel ellende voor-komen”, legt De Graaf uit.

“Veel bedrijven moeten daarnaast vol-doen aan allerlei normen en richtlijnen, zoals COBIT en Logius. Het is door onze investeringen in IntelliGuard ook moge-lijk deze runbooks naast een normen-kader te leggen, waardoor in een maat-werkrapportage voor u inzichtelijk wordt gemaakt welke acties, maatregelen en oplossingen zijn geïmplementeerd om hieraan te voldoen.”

Het Onsight SOC doet wat uw eigen SOC nooit zal kunnenVeel bedrijven maken gebruik van security information and event management (SIEM) producten om security alerts te verzamelen. Gezien de enorme hoeveelheid meldingen die per dag in een SIEM oplossing worden verzameld kan het echter een flinke uitdaging zijn te bepalen welke meldin-gen om welke maatregelen vragen. Als u de opvolging van die alerts niet goed geregeld heeft, dan is de investering in uw SIEM weggegooid geld. IntelliGuard, de Security Mo-nitoring dienst van Onsight automatiseert de selectie van aandacht behoevende alerts. En dat op basis van criteria die voor uw business relevant zijn.

MONITORING

WEET U WEL WAT GOED OF FOUT IS?

Jeffrey de Graaf

'Het is van groot belang dat bedrijvengoed en vooral tijdig inzicht hebbenin cyberincidenten'


De praktijk volgens Darwin: aanpassen of sterven“Na de eerste drie maanden gaan we aan de slag met reduceren van de ove-rige 20% van het verdachte verkeer”, aldus De Graaf. “Deze fase heeft geen einddatum, aangezien dit traject nooit afgerond kan worden. Er komen immers continu nieuwe dreigingen bij, die voor nieuw verdacht netwerkverkeer zorgen. Het is dan ook noodzakelijk het netwerk-verkeer continu te blijven monitoren om de klant zo goed mogelijk te bewapenen tegen cybercriminelen.”

Veel beveiligingsoplossingen zoeken uitsluitend naar externe dreigingen. IntelliGuard doet echter meer en richt zich ook op interne dreigingen, die ook wel ‘insider threats’ worden genoemd. “Naast externe dreigingen kan ook het gedrag van eigen werknemers cyber-dreigingen opleveren. Denk hierbij aan shadow IT, waarbij werknemers zonder toestemming of medeweten van de IT-afdeling gebruik maken van oplossin-gen, software of cloud diensten. Lang niet alle beschikbare oplossingen zijn geschikt voor zakelijk gebruik. Derge-lijke keuzen van werknemers kunnen dan ook flinke beveiligingsrisico’s met zich meebrengen. Onsight blijft daarom fors investeren in tooling, processen en mensen om het veranderende security dreigingsbeeld het hoofd te blijven bie-den.”

Wraak nemen: gedrag leren onderkennen“Daarnaast kunnen bedrijven worden geconfronteerd met kwaadwillende medewerkers. Zo kan een werknemer die ontslagen dreigt te worden wraak proberen te nemen door bedrijfsdata te stelen, data doelbewust te lekken of zelfs data en/of systemen te beschadi-gen. Organisaties kunnen zich hier maar moeilijk tegen wapenen. Niet alleen val-len dergelijke acties van medewerkers lang niet altijd direct op, ook wordt het eigen personeel al snel vertrouwd.” In-telliGuard scant het netwerkverkeer op interne dreigingen door te zoeken naar bepaald netwerkverkeer. Denk hierbij aan uploads naar een cloud opslag-dienst als Dropbox die zonder toestem-ming wordt gebruikt maar ook aan een opvallende hoeveelheid versleuteld verkeer die onverwachts naar buiten wordt gestuurd of massale hoeveelhe-

den data die zonder aanleiding worden gekopieerd. Bepaald schadelijk mede-werkersgedrag kan zo vroeg worden onderkend.”

IntelliGuard levert advies over maatre-gelen die de klant kan nemen. Klanten blijven zelf verantwoordelijk voor het uitvoeren van maatregelen. Wie ook dit proces wil uitbesteden kan IntelliGuard combineren met IntelliDefense. “Intelli-Defense stelt onze experts in staat op afstand onder andere de firewall van een bedrijf te beheren. Komen er alerts binnen die maatregelen vereisen? Dan kunnen onze professionals deze maat-regelen doorvoeren en bijvoorbeeld een werkplek isoleren, poorten afsluiten of IP-adressen blokkeren. Beide oplossin-gen zijn geschikt voor iedere omgeving, ongeacht het type firewall en andere ap-paratuur die hierin aanwezig is.”

Artificiële Intelligentie: nut en noodzaak voor security al aange-toond “Cybercriminelen worden steeds slim-mer, waardoor wij ons continu blijven ontwikkelen. We investeren daarom al jaren in een combinatie van Big Data, artificiële intelligentie en marktoplossin-gen. “Wij laden alle relevante log en cy-ber threat data die wij ontvangen in onze Big Data omgeving. Hier passen wij geavanceerde technieken op toe zoals Deep Learning, Machine Learning en neurale netwerken. Hierdoor ontdekken wij gedragspatronen en inzichten die traditionele beveiligingsoplossingen niet zien. Deze worden geanalyseerd en de bevindingen worden teruggegeven aan het platform om de interpretatie van se-

curity alerts en (runbook)opvolging con-tinu intelligenter, effectiever en sneller te maken. Dit is iets waar onze klanten di-rect van profiteren”, legt een enthousias-te De Graaf uit. “Security expertise was nog nooit zo in beweging als vandaag!”

Onsight kan klanten dus ontzorgen op het gebied van security risico’s op een niveau wat veel bedrijven zelfstandig nooit zullen bereiken. Het bedrijf helpt klanten cyberincidenten te voorkomen en cyberdreigingen tijdig inzichtelijk te maken. Alleen zo kan een bedrijf effec-tief haar business gerelateerde cyber-risico’s managen en tegelijkertijd zich ervan verzekeren dat wordt voldaan aan compliance- en wetgevingseisen. Dit geeft Onsight een geheel eigen positie in de markt.

WOUTER HOEFFNAGELis freelance journalist

MONITORING

'Alleen alerts die daadwerkelijk de onmiddellijke aandachtvereisen worden direct kenbaar gemaaktaan de klant'

René van Buuren, Director Cyber Security Thales Ne-derland: “Thales is het grootste cybersecurityhuis van Europa en wil ook in Nederland haar positie versterken. Dat past goed bij de ambities en het ondernemerschap van De Haagse Hogeschool die ook haar expertise en kennis rond cyber security nog verder wil ontwikkelen. We zien in Nederland een groot tekort aan experts op het gebied van cyber en dat terwijl we nog maar aan het begin staan van de impact en ontwikkelingen in dit vakgebied. Met de oprichting van dit lectoraat hopen wij vanuit Thales een maatschappelijke bijdrage te kunnen leveren aan een veiliger Nederland door het onderwijs te ondersteunen.”

Leonard Geluk, voorzitter College van Bestuur De Haagse Hogeschool: “De Haagse Hogeschool heeft inmiddels veel expertise op het gebied van security en specifiek cyber security opgebouwd. Het nieuw op te richten lectoraat sluit naadloos aan bij ons Centre of Expertise Cyber Security, maar zal ook een nieuwe impuls geven aan al het cyber security gerelateerde onderzoek dat nu al binnen diverse opleidingen en het lectoraat Cyber Security and Safety plaatsvindt. Wij zijn er trots op om Thales als partner te hebben.”

Het research planHet research plan zal in drie programma’s opgesplitst worden, die voortkomen uit de huidige interesses en competenties van de beide samenwerkingspartners. Deze programma’s zijn ‘Identify and Access Manage-ment’, over wie wanneer voor hoe lang welke toegang tot systemen kan verkrijgen; ‘Security of Systems and the Internet of Things’ over de toenemende mate waar-in apparaten met elkaar in verbinding staan, en de rol van veiligheid daarin; en ‘Usable Security’, over de ogenschijnlijke tegenstelling tussen gebruiksgemak en beveiliging.

Begeleiding vanuit ThalesJimmy Troost, Director van het Thales Research Center in Delft: “We kijken enorm uit naar de invulling van het cyber lectoraat, de studenten die ik tot zover al heb gesproken waren enthousiast, leergierig en stelden verrassende vragen. Het vakgebied cyber staat te po-pelen om HBO-ers, voornamelijk door de praktische wijze waarop de studenten vraagstukken aanvliegen.”

Thales en De Haagse Hogeschool hebben een samen-werkingsovereenkomst ondertekend voor een lectoraat over cyber security. Beide partijen willen gezamen-lijk onderzoek doen naar de cyber security van fysieke systemen en hebben daarvoor drie programma’s gedefini-eerd. De overeenkomst werd op de hogeschool onderte-kend door Lukas Roffel, CTO Thales Nederland en Leonard Geluk, voorzitter College van Bestuur van De Haagse Hogeschool.

NIEUWS

Thales enDe Haagse Hogeschooltekenen overeenkomst voor lectoraat cyber security



Intellectuele eigendommen en vertrouwen van klantenTerwijl iemand overheidsorganisaties misschien wel toegang wil geven tot vertrouwelijke informatie, wil die abso-luut niet het risico lopen dat anderen dezelfde privileges krijgen. Intellectu-ele eigendommen (IP) en het vertrou-wen van klanten zijn tegenwoordig ook gebaseerd op data en moeten worden beschermd. Het is niet alleen mogelijk misbruik van de master-key door over-heden waar we ons zorgen over moe-ten maken, maar ook hun incompeten-ties. Zodra een overheid de gevraagde macht krijgt, wordt ze mede verantwoor-delijk voor de beveiliging van bedrijven. Met zo’n zelfde master-key kunnen hac-kers ook onze bankrekeningen roven (zoals recent in Bangladesh en Qatar is gebeurd). Als consument voel ik me daar misschien oncomfortabel bij, maar

als aandeelhouder zou ik waarschijnlijk direct mijn aandelen verkopen als de overheid een master-key krijgt. Door bedrijven te dwingen achterdeuren in hun oplossingen te bouwen, ontstaan er ingangen die ook door anderen te mis-bruiken zijn. Zoals de Stuxnet-methode, die cybercriminelen inmiddels graag als blauwdruk gebruiken.

Master-keys zijn gevaarlijke wapensGeheimen blijven niet altijd geheim, zeker niet in de duistere wereld van de nationale securitydiensten. Master-key’s zijn destructief te misbruiken, omdat complete infrastructuren, online com-merce, machines en medische appa-ratuur ervan afhankelijk zijn. Als iemand de macht verwerft alles over te nemen is een toekomstscenario denkbaar waarbij we decennia terug in de tijd belanden.

De maatschappij is er namelijk volledig mee te ontwrichten en door het ver-binden van steeds meer apparaten en machines met het IoT worden de risi-co’s alsmaar groter. Erger nog, hackers zitten hier bovenop en verhandelen via het dark web al volop sleutels en cer-tificaten onder elkaar. Stel je eens voor wat er kan gebeuren als zij master-keys weten te bemachtigen of namaken. Dan krijgen we gegarandeerd te maken met meer IoT-gijzelingen. In de Oekraïne is begin dit jaar al tijdelijk de stroomvoor-ziening lamgelegd. Als iemand de tem-peratuur in een kerncentrale kan veran-deren, wordt die instabiel. Kortom, in verkeerde handen zijn master-keys niet te onderschatten gevaarlijke wapens. Daarom is het voor onze toekomstige wereld van cruciaal belang dat overhe-den ze niet krijgen.

KEVIN BOCEK,Venafi Chief Security Strategist

De hele online wereld is al zo’n twintig jaar gefun-deerd op een systeem van encryptiesleutels en digitale certificaten voor veilige communicatie. Daardoor worden deze blindelings vertrouwd voor privacy en autorisatie, door servers, software, secu-rityoplossingen en steeds meer andere IP-appara-ten. Waaronder telefoons en alle apparaten die het Internet of Things (IoT) aan het vormen zijn. Samen-gevat maken die sleutels en certificaten het mo-gelijk dat apparaten volledig autonoom met elkaar communiceren, omdat ze weten wat wel en niet te vertrouwen is. Wie een master-key of digitale loper in handen heeft, kan de datacommunicatie van alle apparaten die hiervan gebruik maken zowel con-troleren als beïnvloeden. Daarom is het begrijpelijk dat overheden graag master-keys in handen willen krijgen, alleen kunnen wij er wel op vertrouwen dat ze daar alleen voor uitzonderlijke situaties gebruik van maken? Data is namelijk macht en macht kan tot corruptie leiden. Het is natuurlijk een illusie te den-ken dat overheden daar immuun voor zijn.

Hoe ver reikt overheidsinvloed?Er zijn helaas genoeg voorbeelden bekend dat overheden hun boekje al te buiten zijn gegaan. Zo-

als Snowden’s onthullingen van de NSA-praktijken en recenter het bespioneren van miljoenen inwoners door de Engelse overheid. Overheden verzamelen nu al meer informatie dan nodig is over burgers die niets fout hebben gedaan, zonder dat zij het weten of hebben goedgekeurd. Die verzameldrang raakt echter niet alleen burgers en grote technologiebe-drijven als Apple, maar elke organisatie die informa-tie gebruikt en beheert. Daarom is het belangrijk te weten hoe ver de overheidsinvloed reikt. Willen ze straks zelfs banktransacties realtime kunnen moni-toren, of toegang tot track & trace systemen in de logistiek? Tot nu toe weerhoudt encryptie overhe-den ervan alles te kunnen zien en lezen en daar zijn ze natuurlijk niet blij mee. Ze willen liever zelf het recht en de mogelijkheid hebben data te bekijken, in plaats van afhankelijk te zijn van mensen die mo-gelijk iets te verbergen hebben. Toch zijn er genoeg redenen waarom mensen en bedrijven hun priva-cy-rechten willen beschermen, zonder verkeerde bedoelingen.

Er is al jaren een encryptiedebat gaande dat de laatste tijd heftiger wordt en kan leiden tot onomkeerbare beschadi-ging van online vertrouwen. In de Verenigde Staten heeft de FBI onlangs nog geprobeerd Apple te dwingen software beschikbaar te stellen om de eigen beveiliging te kraken. In het Verenigd Koninkrijk hebben veiligheidsdiensten meer bevoegdheden gekregen om de computers en telefoons van mensen te hacken en hun communicatie te doorzoe-ken. De kernboodschap hierachter is duidelijk: overheden willen met master-keys inzicht krijgen in alle data, ondanks daaraan verbonden risico’s. Vergelijkbaar met de sleutel die de Canadese politie een tijdlang voor alle BlackBerry be-richten in handen had.

ENCRYPTIEDEBAT

‘Master-key’s zijn destructief te misbruiken, omdat complete infrastructuren, online commerce, machines en medische apparatuur ervan afhankelijk zijn’

Overhedenwillen inzicht in data,maar ondermijnen online vertrouwen


Zoneminder kan worden gebruikt in om-gevingen waar meerdere camera’s ge-wenst zijn. Het is schaalbaar en dus ge-schikt voor thuisgebruik en klein zakelijk gebruik maar ook voor multi-server en-terprise toepassingen is het bruikbaar. De software is compatibel met alles van de Raspberry Pi, tot aan meest moderne server-hardware. Groot gebruiksvoor-deel is dat door het gebruik van Open Source software een vendor lock-in wordt voorkomen en men niet gebonden is aan dure licenties of apparatuur.Naast de elementaire video surveillance systeemfuncties ondersteunt Zonemin-der veel aanvullende functionaliteiten. Zo zijn er bovenop elementaire func-ties als capture, analyse, recording en monitoring van videobeelden handige functies waarmee u kunt pauzeren, te-rugspoelen en zelfs functies als digitale zoom zowel live en historische video zijn aanwezig. Ook ondersteunt Zoneminder camera-besturing zodat gebruikers camera’s kunnen draaien en bewegen. Hiervoor worden de verschillende protocollen voor de Pan / Tilt / Zoom camera’s on-dersteund.Een ander probleem bij ‘normale’ video surveillance systemen is ondersteuning van camera drivers. Door Zoneminder wordt een breed spectrum van camera’s van de verschillende merken en techno-logieën ondersteund. Net als in de commerciële systemen heeft Zoneminder de functie om events te registeren en schijfruimte te bespa-ren. De Zoneminder geeks noemen deze functie ‘Modect’ hetgeen staat voor MOtion DeteCTtion en als volgt werkt; wanneer de camera beweging detecteert, worden de bijbehorende beelden opgenomen. Wat betreft communicatiemogelijkheden ondersteunt Zoneminder naast IP tech-nologie zelfs de X10 netwerken. X10 is een open standaard voor een commu-nicatieprotocol dat gebruik maakt van het bestaande stroomnet. Een populaire naam voor X10 is ‘Powerline’. Camera’s zijn vrij eenvoudig via Powerline aan te sluiten en doordat er gebruik wordt ge-maakt van het lichtnet scheelt dit een hoop aan bekabeling.Zoneminder is Open Source video sur-veillance software, met een grote groep enthousiaste ontwikkelaars en gebrui-kers. Op internet zijn verschillende Zo-neminder Forums te vinden. Vanaf de website www.zoneminder.com kan men

voor de verschillende operating syste-men de software downloaden. Zo zijn er software bundels voor Ubuntu, RedHat, Debian en Gentoo. Kortom met Zone-minder is relatief eenvoudig een leuk en veilig video surveillance systeem in elkaar te zetten.

RONALD EYGENDAAL schrijft sinds 1990 over informatiebeveiliging, elek-tronische & technische beveiliging, frau-dedetectie & -bestrijding, en bewaking & beveiliging voor de toonaangevende vakbladen in Nederland en België.

Open Source betekent letterlijk eigenlijk ‘open bron-code’, wat inhoudt dat de broncode van de software vrij mag worden gebruikt, ingezien en aangepast, het is dus door ieder in te zien en te gebruiken. Veel Open Source producten hebben een groot netwerk van ontwikkelaars en gebruikers om zich heen. Le-den van deze netwerken kunnen voorstellen doen om de bestaande code te veranderen of te verbe-teren. Hierdoor worden fouten in de beveiliging snel ontdekt en gedicht en worden de beveiligingsup-dates snel gedistribueerd. Het resultaat is een veilig

stuk software, zowel nu als in de toekomst.Zoneminder is gebaseerd op Open Source software en het Linux operating systeem. Het kan worden in-gezet als video surveillance systeem. Naast de Zo-neminder software is ook MySQL en PHP software benodigd en ook deze zijn Open Source. Tenslotte dient de Linux server voorzien te zijn van een web-server, zoals bijvoorbeeld Apache en dienen tools zoals C++ en Perl aanwezig te zijn. Zoneminder is opgebouwd uit verschillende bouwstenen. Een van die bouwstenen is het populaire Video4Linux (V4L) framework. Video4Linux is een verzameling van device drivers en API’s voor het ondersteunen van realtime video opslag op Linux systemen. Video4Li-nux ondersteunt veel soorten camera’s op zowel IP als USB technologie. De output van Video4Linux is gestandaardiseerd en is daardoor eenvoudig door programmeurs en applicatiebouwers te gebruiken. Zoneminder heeft een zeer complete web-based interface en ondersteunt zelfs Android en iOS-apps en is daardoor via internet toegankelijk en van over-al in de wereld. De web-interface is hierdoor ook geschikt voor ‘headless’ systemen. Er is ook een eenvoudige xHTML interface beschikbaar waarmee elementaire besturing mogelijk is, vanuit de wat ou-dere mobiel telefoons, op basis van deze xHTML.

In het lage segment van de beveiligingsmarkt is de prijzen-slag begonnen. Voor een paar honderd euro heb je tegen-woordig een camerasysteem. Uit recente meldingen blijkt dat er toch vaak dubieuze software in dit soort systemen zit. Zo werd eind 2015 een achterdeur ontdekt in de firmware van een heel goedkoop video surveillance systeem van het merk MVPower. Via deze achterdeur werden screenshots gemaakt en doorgestuurd naar een e-mailadres in China. Als u op zoek bent naar een ‘lowcost’ video surveillance systeem en toch grip wilt krijgen op de veiligheid van de software, kan een Open Source systeem een flexibel alter-natief bieden.

VIDEOBEVEILIGING

Open Sourcevideo surveillance software


Thematisch dekt de it-sa het hele spectrum van de IT-beveiliging met inbegrip van de industriële IT-beveiliging en fysieke beschermingsmaatrege-len, bijvoorbeeld voor rekencentra. Met het speciale gedeelte Data Center Plus, wijdt de it-sa een eigen gebied aan de bescherming van IT-infrastructuren. Verdere speciale gebieden bundelen het aanbod rond vragen betreffende het identiteits- en toe-gangsbeheer, of fungeren voor startups als eigen

platform. In drie open forums informeren ondernemingen en organisaties midden in het beursgebeuren over manage-ment, techniek en trends.

Unieke EuropawijdeIT-beveiligingscompetentieTalrijke grotere stands weerspiegelen de positieve dynamiek van de IT-be-veiligingsmarkt en de betekenis van de it-sa als brancheplatform, evenzeer als de deelname van Frankrijk en Israël met een eigen gemeenschappelijke be-drijfsstand. De it-sa biedt daarmee een in Europa ongekend marktoverzicht en

nodigt uit tot uitwisseling over de lands-grenzen heen, om met succes tegen in-ternationaal optredende cybercrimine-len op te treden. Uit Nederland hebben zich tot nog toe Fox-IT, MAXXeGUARD Data Safety en Profitap aangemeld.

Op groeikoers: nog groter en internationalerNadat de it-sa in het afgelopen jaar met nieuwe records kon overtuigen - 428 ex-posanten en meer dan 9.000 bezoekers - worden van 18 tot 20 oktober nog eens meer exposanten en bezoekers in het beurscentrum Neurenberg verwacht.

“Vooral uit het buitenland kunnen we dit jaar veel nieuwe aanmeldingen en ver-grotingen qua standoppervlak opteke-nen”, meldt Frank Venjakob, Executive Director it-sa. “De beschikbare standop-pervlakken zijn nu al, een kwartaal vóór de beurs, volgeboekt.”

Congress@it-sa: gerenom-meerde EICAR-Conferentie vindt plaats in NeurenbergDe ‘European Expert Group for IT-Se-curity’ organiseert de 24e editie van de internationaal gerenommeerde EICAR-Conferentie op 17 en 18 oktober

Van 18 tot 20 oktober 2016 tonen fabrikanten van IT-bevei-ligingsproducten en dienstverleners op de vakbeurs it-sa in Neurenberg, hoe ondernemingen en organisaties zich kunnen beschermen tegen cyber-aanvallen. Grotere stands en meer aanmeldingen van internationale ondernemingen dragen bij aan de verdere groei van de, gerekend naar expo-santen, grootste IT-beveiligingsbeurs van Europa. Frankrijk en Israël doen voor het eerst mee met gemeenschappelijk stands. Het begeleidende congresprogramma Congress@it-sa is het platform voor de internationaal georganiseerde EICAR-Conferentie.

it-sa 2016

Internationaaltrefpunt voorIT-beveiligingsprofessionals


voor het eerst in Neurenberg onder het dak van het Congress@it-sa. Deels pa-rallel aan de it-sa discussiëren in het kader van de EICAR-Conferentie des-kundigen uit industrie, regering, over-heden en wetenschap, evenals gebrui-kers over de actuele ontwikkelingen en onderzoeksresultaten op academisch niveau. Naast het beschouwen van de

wettelijke randvoorwaarden, staat bij de editie van dit jaar de vraag centraal in hoeverre de IT-beveiligingsoplossingen het vertrouwen verdienen.

Van de ‘IT-Security Area’ tot dè toonaangevende vakbeursDe it-sa vindt sinds 2009 in Neurenberg plaats als zelfstandige vakbeurs voor

IT-beveiligingsproducten en dienstver-leningen. De it-sa was voortgekomen uit de in het voormalige Münchense systeem geïntegreerde beveiligings-hal ‘IT-Security Area’, kortweg ‘it-sa’. In 2011 verwierf de huidige organisator NürnbergMesse de organisatie van de Duitse uitgever van vakliteratuur Se-cuMedia, en bracht deze onder bij de brede portfolio aan B2B-evenementen op technologiegebied. Kenmerkend voor de it-sa zijn de drie open forums met de laatste keer zo’n 250 lezingen. Sinds 2012 vindt parallel aan de it-sa, het congresprogramma Congress@it-sa plaats. Organisaties en ondernemingen informeren hier op veelvuldige wijze naar IT-beveiligingsvragen en -techno-logieën. De exposanten en bezoekers-aantallen van de it-sa zijn voortdurend gegroeid: vonden in 2011 304 exposan-ten en circa 6.300 bezoekers hun weg naar Neurenberg, de it-sa vestigde in het afgelopen jaar twee nieuwe records: 428 exposanten en meer dan 9.000 be-zoekers uit 34 landen.

Edward Snowden als hoofdsprekerEen hoogtepunt van de it-sa 2015 was de live-weergave van de lezing van de hoofdspreker Edward Snowden. Zijn onderwerp: de gemeenschappelijke verantwoordelijkheid van aanbieders en gebruikers voor meer IT-veiligheid en gegevensbescherming.

Verdere informatie over de it-sa vindt u op www.it-sa.de/enDe totale lezing van de hoofdspreker is op te vragen via www.it-sa.de/keynote-snowden

it-sa 2016

it-sa 2016• 18 - 20 oktober: Europa’s

toonaangevende vakbeurs in Neurenberg

• Gemeenschappelijke stands tonen IT-beveiliging uit Frankrijk en Israël

• Internationaal bezette EICAR-Conferentie vindt parallel met beurs plaats

GDBA

NZ

NL

06-2

016

Mod

erne

A4

#589

97 •

5609

2106

16

Effectieve bescherming tegen digitale afpersingRansomware, zoals Petya en Locky, vormt een bedreiging voor ondernemingen en kan een hoge financiële schade veroorzaken.

De oplossingen van G DATA beschermen tegen dit soort en andere bedreigingen door effectieve gedragsherkenningstechnieken.

Ontdek onze beveiligingsoplossingen nu viawww.gdata.nl/bedrijven/g-data-liveview

Modernebedreigingenvragen omsterkeantwoorden

GDBANZ NL 06-2016 Moderne A4 #58997.indd 1 21.06.16 09:56


duidelijkt het verschil tussen de twee methoden met een vergelijking. “Denk aan de beveiliging van een gebouw. De bewakers houden de beveiligings-beelden in de gaten en patrouilleren. De hele dag lopen er medewerkers in en uit. De meesten dragen een ID-bad-ge en de beveiligers kennen sommigen zelfs. Zij staan zeg maar op de whitelist. Er komen ook bezoekers langs. Zij moe-ten wachten bij de receptie en mogen alleen onder begeleiding naar binnen, met een tijdelijk ID. Dit proces kun je vergelijken met het scannen van een bestand.”“Stel: er komt een onbekende man binnen die zich niet aan de procedure houdt”, vervolgt de security-expert. “Omdat niet iedere werknemer zijn ID-badge draagt, zou dit er een kunnen zijn, maar de be-wakers herkennen hem niet. De persoon snelt voorbij de receptie en loopt achter iemand aan het hoofdgebouw in. De be-veiligers zien dit meteen en volgen hem op beeld. Een patrouillerende beveiliger krijgt de instructie achter de man aan te gaan. Even later haalt de verdachte een breekijzer tevoorschijn en probeert hij in te breken in een serverruimte. Op dat moment grijpt de bewaker in. Dit is gedragsmonitoring.”

ProcessenTerug naar behavioral engines. Deze beschermen niet alleen tegen schade-lijke uitvoerbare bestanden. Door appli-caties als browsers en tekstverwerkers te monitoren, biedt de technologie ook bescherming tegen besmettingen via bijvoorbeeld kwaadwillende websites, Office-macro’s en PDF-bestanden. Als je een gevaarlijke site bezoekt, ziet de scanner dat direct aan de processen van de browser zelf en wordt het schadelij-ke proces gekild. Dit werkt bijvoorbeeld goed tegen zero-day exploits, aanvallen die misbruik maken van kwetsbaarhe-den waarvan de ontwikkelaars nog niet op de hoogte zijn.Maar wat maakt behavioral engines dan zo effectief? “Het overgrote deel van de malware gebruikt dezelfde beproef-de trucjes om systemen te besmetten”, vertelt Patel. “Als een Excel-file een uit-voerbaar bestand opent of op de harde schijf schrijft, weet je bijna zeker dat er iets niet in de haak is. Een normaal, on-gevaarlijk bestand zou dit namelijk nooit doen. Omdat je naar het gedrag kijkt, maakt het niet uit hoe het bestand er zelf ‘uitziet’. Regelmatig verschijnt er een

nieuwe malwarevariant met een andere handtekening, maar al die versies voe-ren alsnog dezelfde reeks acties uit.”

Hetzelfde gedrag“Als je één versie kunt detecteren, geldt dat dus voor alle varianten”, legt de ex-pert uit. “Malwareontwikkelaars kunnen behavioral engines alleen omzeilen door

met een nieuwe reeks acties te komen die tot de infectie leiden. Het gebeurt niet al te vaak dat er zo’n nieuwe be-smettingsmethode wordt ontdekt. Dit betekent dat onze behavioral engine de meeste nieuwe malware er meteen al tussenuit vist.” Een gunstige situatie, en Patel verwacht ook niet dat deze op korte termijn verandert. “Waarschijnlijk blijven cybercriminelen terugvallen op diezelfde trucs.”Behavioral engines zijn overigens niet waterdicht. “Het bestrijden van malwa-re blijft natuurlijk een kat- en muisspel”, weet Patel. “Zo moet je het uitvoerende deel van een proces wel kunnen volgen. Er zijn zoveel verschillende scripttalen, waardoor het gedrag niet altijd goed te monitoren is. En het scannen zorgt er-voor dat processen iets trager verlopen. Een gebruiker kan ervoor kiezen om na een tijdje te stoppen met monitoren. Sommige malware activeert zichzelf daarom pas een dag later of alleen op een bepaalde datum. Dus behavioral engines werken prima, maar ze zijn niet feilloos.”

Geen zekerheidPatel adviseert organisaties dan ook om een goede mix van beveiligingsoplos-singen te kiezen, waar gedragsmoni-toring er een van is. “Net als netwerk-beveiliging, e-mailscanning, firewalls, noem maar op”, zegt hij. “De meeste technologie is inmiddels aardig volwas-

sen. Maar zelfs als alles goed geregeld is, weet je met het huidige dreigings-landschap niet 100 procent zeker dat je systemen en data veilig zijn. Al is het al-leen al omdat bedrijfssystemen en -data tegenwoordig vaak in de cloud draaien of worden opgeslagen. Je kunt nou een-maal geen groot ijzeren hek om de di-gitale infrastructuur van je bedrijf heen bouwen.”De realiteit is bovendien dat er heel veel geld omgaat in de wereld van de cyber-crime. De beste hackers kunnen een fortuin verdienen als ze een manier vin-den om bijvoorbeeld computers te gijze-len of concurrentiegevoelige informatie te stelen. “De daders zijn vaak zeer in-telligent en hebben veel financiële mid-delen tot hun beschikking”, weet Patel. “Daar valt met alleen technologie bijna niet tegenop te boksen. Om cybercrimi-nelen structureel een stap voor te blij-ven, heb je mensen nodig die minstens even sluw te werk gaan. Een combinatie van mens en machine dus.”

Machine learningToch mogen we ook behavioral engines niet onderschatten. Ze zijn bij sommige typen malware echt ‘goud waard’, aldus Patel. “Het is zo’n beetje de enige ma-nier om ransomware gegarandeerd bui-ten de deur te houden.”Recente varianten als Locky en Tesla-Crypt waren dan ook geen probleem voor DeepGuard, de behavorial engi-ne van F-Secure. “Deze wordt steeds slimmer door in sandbox-omgevingen in het backend duizenden processen te analyseren. Al die metadata worden automatisch omgezet in nieuwe regels, zodat de software meeverandert met het dreigingslandschap.”Patel is verrassend open over de tech-nologie van F-Secure. Is hij niet bang dat cybercriminelen of concurrenten met zijn kennis aan de haal gaan? “Nee. Volgens mij is het goed als mensen meer te weten komen over behavioral engines. Securitybedrijven zijn vaak erg gesloten over hun technologie. Nergens voor nodig. Die criminelen weten toch al wat ze doen, want zij zijn zoals gezegd niet dom. En de concurrenten zullen zo’n systeem toch zelf moeten ontwikke-len. Dat kost veel tijd en moeite. Daarom zullen we er niemand kwaad mee doen als we uitleggen hoe onze technologie werkt.”

VAN DE REDACTIE

Anti-malwareproducten waren in de jaren 80 een stuk primitiever dan nu. Simpel gezegd werden bestanden gescand en vervolgens vergeleken met een door het securitybedrijf opgestelde viruslijst. Bij een hit greep de software in door het bestand te ver-wijderen of in quarantaine te zetten om verspreiding te voorkomen. Lang voldeed deze ‘signature-based scanning’ prima, maar door de opkomst van nieu-we, geavanceerde malwarevormen ontstond gaan-deweg de noodzaak tot meer verfijnde scanmetho-

den. En die kwamen er: zo’n tien jaar geleden werd het arsenaal uitgebreid met behavioral engines. Deze scanners, ook wel host-based intrusion de-tection systems (HIPS) genoemd, richten zich niet op de bestanden of URL’s zelf. In plaats daarvan monitoren ze de processen, ofwel het ‘gedrag’. Als zo’n gedragsscanner een of meerdere schadelijke acties detecteert, wordt het bewuste proces met-een stopgezet. Het resultaat is dat de malware nooit zijn einddoel bereikt. Behavioral engines behoren vandaag de dag tot de meest effectieve beveili-gingstools, al zijn geëvolueerde vormen van de ‘op handtekening gebaseerde’ aanpak nog steeds de basis van veel antivirussoftware.

BeveiligersAndy Patel van beveiligingsspecialist F-Secure ver-

Behavioural engines zijn al jaren een belangrijk wapen in de strijd tegen malware, maar om de een of andere reden is de technologie nog met veel mystiek omgeven. Hoe werkt deze ‘gedragsmonitoring’ precies en wat zijn de voordelen?

TECHNOLOGIE

‘Behavorial engines zijn zo’n beetje de enige manier om ransomware gegarandeerd buiten de deur te houden’

Behavioral engines:direct ingrijpen bij verdacht gedrag


SamenwerkingDe 40.000 bezoekers hebben tijdens Amsterdam Open Air in vergelijking met andere festivals geprofiteerd van aan-zienlijk kortere rijen. PayPal-gebruikers hebben de rij zelfs over kunnen slaan. “Door de samenwerking met PayPal kunnen wij onze bezoekers nog meer gebruiksgemak bieden. Daarnaast zien wij PayPal als een relevante partner on-der onze jongeren doelgroep”, zegt Tom de Louw van Apenkooi Events, de orga-nisator van Amsterdam Open Air.

Het cashless betaalsysteem met PayPal wordt deze zomer op meerdere festivals van Apenkooi Events ingezet, namelijk op Amsterdam Open Air, Straf_Werk festival en Pleinvrees.

Het principe van contactloos betalen is eerder bij festivals door Apenkooi Events ingezet, omdat het bedrijf des-

tijds al verschuivingen zag op het ge-bied van online betalen en de aankoop van tickets. Dit is de eerste keer dat de PayPal-oplossing geïmplementeerd is, wat nieuwe voordelen voor de bezoe-kers oplevert, zoals de automatische terugstorting.

RFID-chipDe Belgische partner PlayPass verzorgt de technische koppelingen achter het betaalsysteem. Samen met PayPal zor-gen zij ervoor dat het mogelijk is om een account aan de RFID-chip in de armband te koppelen. De RFID-chips van PlayPass zijn beveiligd. Zo is alle dataverkeer van en naar de chip bij-voorbeeld versleuteld. Het principe van de chip is te vergelijken met een OV-chipkaart, maar dan met een betere beveiliging aangezien bij deze chips de 3DES-encryptiestandaard wordt toege-past.

In 2014 is in Spanje voor het eerst een pilot van de PayPal-koppeling met de RFID-chips uitgevoerd en in 2015 is de samenwerking met PayPal tijdens vijf festivals ingezet, waaronder Frankrijk. Het bedrijf is inmiddels actief in tien ver-schillende landen.

De eerste reacties van de festivalbezoekers waren positief. De cashless armbanden zorgen niet alleen voor kortere wachttijden bij de ingang, maar ook aan de bar en bij andere festival-stands. Daarnaast kunnen bezoekers profiteren van een automatische terugstorting van het resterende tegoed, waardoor zij niet meer met ongebruikte munten blijven zitten.

“De manier waarop we betalen, is aan het verande-ren. Mobiel en cashless zijn de toekomst. Consu-menten willen gemak en snelheid. Deze oplossing biedt een snelle en veilige manier om op festivals te betalen. Dat zorgt ervoor dat festivalgangers niets in de weg staat om een mooie tijd met vrienden te beleven. We zijn zeer enthousiast dat we het fes-

tivalseizoen met PayPal op Amsterdam Open Air kunnen openen”, vertelt Jan-Willem Roest, General Manager PayPal Benelux.

Hoe het werkt• Bezoekers koppelen voorafgaand aan het eve-

nement hun ticket aan hun PayPal-rekening. Ook tijdens het festival kan de armband met de PayPal-rekening worden verbonden

• Tijdens het festival zijn er bovendien klassieke oplaadpunten om geld op de armband te zet-ten

• Automatische opwaardering met een bedrag naar keuze is een optie

• Tegoed opwaarderen is ook aan de bar moge-lijk

• Afschrijvingen vinden realtime plaats Reste-rend tegoed wordt automatisch binnen 48 uur teruggestort, zonder daarvoor iets hoeven te doen of extra kosten te betalen. Dit geldt alleen voor PayPal-gebruikers. Bij andere betaalme-thoden wordt een verzoek voor terugbetaling ingediend

PayPal heeft onlangs succesvol cashless betalen in ons land geïntroduceerd. Dat gebeurde tijdens het Amsterdam Open Air-festival. Gebruikers konden vooraf, maar ook tijdens het evenement hun PayPal-rekening aan hun festivalaccount koppelen om vervolgens met een RFID-chip cashless te be-talen. Het voordeel? Geen lange wachtrijen meer en - voor-al - veilig en snel betalen.

NIEUWS

AMSTERDAM OPEN AIR PAST PAYPAL CASHLESS BETAALSYSTEEM TOE

Geen langewachtrijen meeren - vooral - veiligen snel betalen.

Veiligen snel betalen


standaard methode in het ontwikkelen van software, apps en websites, werd al snel duidelijk. ‘De cloud en de bijbe-horende centralisatie is het probleem’, aldus Aral. ‘We geven machtige bedrij-ven zoals Google en Facebook al onze gegevens onder het mom van gemak’.Direct na deze inspirerende sessie volg-de keynotespreker Daniel J. Bernstein met een vermakelijk verhaal over cryp-to. Bernstein is hoogleraar wiskunde en informatica aan de Technische Univer-siteit Eindhoven en research hoogleraar aan de Universiteit van Illinois in Chica-go. Hij is onder andere bekend vanwe-ge de door hem ontwikkelde software qmail dat gebruikt wordt door Yahoo.com en tinydns dat Facebook gebruikt om serveradressen te publiceren. Om het publiek lering te laten trekken uit de ‘lessons learned’, presenteerde hij op een informatieve en begrijpelijke manier zijn drie ‘Crypto horror stories’. En wat blijkt: ‘Most crypto isn’t designed to re-sist serious attackers’.

Binnen het thema Mobile (In)security werd verder een gevarieerd programma met technische en minder technische lezingen gepresenteerd. Onderwerpen als ernstige kwetsbaarheden in Android, de huidige stand van zaken met betrek-king tot IMSI-catching, juridische aspec-ten rondom BYOD met het oog op de meldplicht datalekken, protocollen voor draadloze communicatie tot aan moge-lijke maatregelen om in de toekomst aan de behoefte van veilige IoT-devices te kunnen voldoen, kwamen aan bod. ‘We mogen terugkijken op een zeer geslaag-de editie met veel interessante lezingen, een leuke informele sfeer en veel inter-actie tussen deelnemers, sponsoren en sprekers’, aldus Madison Gurkha, orga-nisator van de Black Hat Sessions.

Naast de lezingen werd er bovendien een hands-on hacking workshop geor-

ganiseerd waarbij enkele deelnemers zelf als hacker aan de slag zijn gegaan. Tijdens deze interactieve ruim twee uur durende sessie: Secure messaging on your mobile, fact or fiction? werden de deelnemers onder begeleiding van drie security consultants van Madison Gurkha meegenomen in een onderzoek naar een messaging-app voor Android. Om-dat er ruimte was voor maximaal twintig deelnemers per workshop en veel geïn-teresseerde deelnemers op de wacht-lijst zijn geplaatst, zal de workshop op een later moment nogmaals worden aangeboden. Houd de website www.madison-gurkha.com in de gaten voor actuele informatie.

Op naar 2017Black Hat Sessions Part XV wordt een jubileumeditie. Om deze bijzondere editie groots en goed te vieren, wordt binnenkort al gestart met de voorberei-dingen. De 15e editie staat gepland op 29 juni 2017. Graag tot dan!

Nog even nagenieten van de afgelopen editie of zien wat u gemist heeft? Op www.blackhatsessions.com vindt u de aftermovie en een fotoselectie voor een sfeerimpressie van de dag. Later wor-den hier ook de filmopnames van alle lezingen beschikbaar gesteld.

MAAYKE VAN REMMEN,Madison Gurkha

Afgelopen 23 juni kwamen meer dan 300 deelne-mers bijeen om zich op een informele manier door nationale en internationale experts te laten informe-ren over de kansen en risico’s die mobiele techno-logie met zich meebrengt en met vakgenoten van gedachten te wisselen over dit onderwerp. Keynotespreker Aral Balkan trapte af met een goed

en levendig verhaal over de fundamenten van het respecteren van human rights in relatie tot techno-logie. Dat ethical design nog ver afstaat van een

Op 23 juni 2016 vond de ‘Black Hat Sessions Part XIV’ plaats in de ReeHorst in Ede. Deze veertiende editie van het jaar-lijkse congres van Madison Gurkha stond in het teken van Mobile (In)security. Een digitale wereld biedt volop ontwik-kelingsmogelijkheden en vooruitgang op het gebied van technologie. Helaas geldt hetzelfde voor cybercriminelen, die continu innovatieve methodes gebruiken om slachtof-fers te maken.

Fotografie: Martin Hols

EVENT

Terugblik Black Hat Sessions Part XIV:

Mobile (In)security

Volle zaal met meer dan 300 deelnemers

Keynote Aral Balkan, Ethisch ontwerper, professio-neel spreker en digitale rechten activist

Keynote Daniel J. Bernstein, wiskundi-ge, cryptoanalist en programmeur.

Hands-on aan de slag tijdens workshop: Secure messaging on your mobile, fact or fiction?

Ruim gelegenheid tot netwerken tijdens de informatiemarkt

Programma Black Hat Sessions Part XIV

Raul Siles, oprichter en senior security analist bij DinoSec en gecertificeerd SANS-instructeur, verrast de technische bezoekers met een diepgaande lezing over iOS

Interview met AVROTROS

‘Mobile (In)security and the law’ door Marianne Korpershoek, partner en advocaat bij Louwers IP|Technology Advocaten


Briefkaartuit Washington DC

Zijn belangrijkste taak is echter het terugdringen van het aan-tal cyberincidenten - inclusief digitale inbraken van enorme omvang en met langlopende en verstrekkende gevolgen - het-geen wordt beschouwd als het enige middel om het geschon-den vertrouwen van de burger in regering en overheidsorga-nisaties te herstellen. Klare taal.

Vervolgens speelt cloud computing op basis van het in 2009 geïntroduceerde Cloud First-beleid een belangrijke rol. Maar ook in dit perspectief toont de praktijk zich op uiteenlopende gronden weerbarstig. Zo kan de inspecteur-generaal van het Pentagon in zijn jaarlijkse rapportage nauwelijks iets zinnigs over de financiële kant van dit leveringsmodel voor technolo-gie en informatie zeggen. De kritiek van de financiële auditors legt pijnlijk de negatieve gevolgen bloot.

Zonder een nauwkeurige status van bestaande cloud-dienst-verlenings-overeenkomsten, kan de defensie CIO geen be-sparingen of winsten bepalen. Het ontbreken van cijfers over financiële efficiency betekent vervolgens dat de effectiviteit van het vigerende departementale cloudbeleid niet meetbaar is. Tenminste zo belangrijk is het tweede gevolg. Ook ontbreekt de informatie over welke afdelingen van het ministerie precies welke gegevens in de cloud verwerken. Daardoor kunnen de beveiligingsrisico’s van cloud computing niet-effectief worden geïdentificeerd en gevolgd. Zowel het gebruik van een strikte nomenclatuur voor cloud computing als een geconsolideerd contractmanagement-systeem zijn dus essentieel voor het beoordelen van de uitgaven voor overheidsautomatisering en netwerken informatiebeveiliging.

De opvatting van het Witte Huis dat netwerken informatie-beveiliging in het perspectief van nationale veiligheid een gemeenschappelijke, (mede) publiek-private samenwerking behoort te zijn - Obama: ‘wij kunnen het niet alleen’ - heeft juridisch beslag gekregen in de Cybersecurity Information Sharing Act van 2015 (CISA).

Vervolgens kent de Verenigde Staten de Cybersecurity Infor-mation Sharing Act. Die zet Amerikaanse ondernemers on-der druk om snel informatie te scheiden (wat wel, wat niet) wanneer ze willen aanleveren. Daarnaast lopen multinationals aanvullende juridische risico’s omdat ze mede gehouden zijn aan onder meer de verplichtingen van het privacyrecht in Ne-derland en andere EU-lidstaten - nu en in de toekomst (de aankomende Europese Algemene Verordening Gegevens-bescherming). Je kunt zeggen dat CISA op gespannen voet staat met het Europese privacyrecht. Mogelijk geven nog door de Amerikaanse minister van Justitie op te stellen CISA-richt-snoeren meer duidelijkheid over de rechtspositie van trans-At-lantisch opererende bedrijven. Toch zullen ondernemers in beginsel juridische risico’s willen mijden en dat feit staat haaks op de strekking van de wet.

Tot de verbeelding spreekt de massale hack bij het US Office of Personnel Management (zie ook ISM 2016, nummer 1). In-teressant is dat de federale overheid de betrokkenen een om-vangrijk anti-fraudepakket ter beschikking geeft gesteld (en er voor betaalt). Iedere betrokkene ontvangt namelijk een gratis abonnement op CSID Protector Plus voor de periode van 18 maanden. Het pakket van maatregelen bevat onder meer het recht op een identiteitsdiefstalverzekering met een verzekerde som van USD 1.000.000 en toegang tot een identiteitherstel-dienst door CSID tot 12 juli 2016.

Maar let op. Uit deze maatregelen mag niet worden afgeleid dat de regering aansprakelijkheid voor het datalek aanvaardt. Dat bevreemdt. Onder de Nederlandse Wet meldplicht da-talekken, die op 1 januari 2016 in werking is getreden, ligt dit in beginsel anders. Maak een zaak staat als een paal boven water. Overheidsorganisaties en bedrijven moeten beleid ter zake maken alsook budget reserveren, nu de gangbare op-vatting luidt, dat het niet de vraag is of, maar wanneer er een (omvangrijke) digitale inbraak in een overheidssysteem zal plaatsvinden.

Wie denkt dat de federale overheid in de VS haar ICT-zaakjes voor elkaar heeft, heeft het mis. Net zo als in andere landen worstelt de publieke sector met overheidsautomatisering en recht en be-leid moeten helpen. Het betreft een aanzienlijke som. Ongeveer 75% van het automatiseringsbudget van 80 miljard dollar per jaar gaat naar het operationeel houden van de verouderde, zoge-noemde ‘legacy systems’. Anno 2016 stevent de VS volgens US Chief Information Officer Tony Scott af op een grotere crisis dan de millenniumbug, mede omdat oudgediende Cobol-programmeurs afzwaaien.

LEGAL LOOK DOOR MR. V.A. DE POUS

42 | JULI 2016 | NR. 3 | INFOSECURITY MAGAZINE

Remove Network Blind Spots Illuminate your network with total visibility.

If you can’t see what’s happening in every corner of your network, you’re suffering

from blind spots that pose a massive security risk. WatchGuard gives IT professionals

complete visibility across the entire network by integrating world class visualization

services into all Firebox appliances.

© 2016 WatchGuard Technologies, Inc. All rights reserved.

For complete network visibility contact us at +31 (0) 70 711 2085 www.watchguard.com/visibility.

© 2016 WatchGuard Technologies, Inc. All rights reserved. 052316

Mr. B.M. Teldersstraat 5, NL-6842 CT Arnhem, the Netherlands P.O. box 225, NL-6800 AE Arnhem T +31 26 35 20 100 www.onsight.nl

securing your business

Onsight IntelliGuard

• gain control of operational risks in the area of IT security• detect internal fraud and threats at an early stage• proactively identify external vulnerabilities and threats• comply with laws, regulations and standards, such as Logius, PCI, COBIT and ISO 27001• respond swiftly and appropriately to incidents

SOC as a Service

For a safe, smooth and orderly conduct of your IT traffic

download infosecurity magazine

Documents