Security Café – Mobile App Security

Auteur: Gerco Kanbier is directeur van Trust in People – the information protection company. Hij is te bereiken via gerco.kanbier@trustinpeople.com

Vier maal per jaar organiseert Trust in People het Security Café. De editie van 26 februari 2013, werd bij Koetjes & Kalfjes te Zoetermeer georganiseerd. Op LinkedIn hadden de inmiddels 700 leden van de groep wederom voor het onderwerp “Mobile App Security” gestemd. Met de feedback van vorig jaar dat het wat hoogover was, heb ik Security Officer Derk Tegeler van Service2Media uitgenodigd om te vertellen over technische details bij de ontwikkeling van o.a. banking Apps . Hier volgt een impressie van de discussie:

Bedrijven experimenteren flink met mobile applicaties op zoek naar een toegevoegde waarde. Banking applicaties zijn alom geadopteerd door het grote publiek. Social Media applicaties zijn populair om “any time, any where,any place” een foto of een gebeurtenis te kunnen delen. De media brengt graag het laatste nieuws op uw mobiel en voor ontspanning zijn vele games beschikbaar. Maar er zijn ook bedrijven die via een App bv contact gegevens van alle vestigingen op een rijtje zet voor de medewerkers en/of klanten. Maar waar laat je zo’n applicatie ontwikkelen en waar moet het aan voldoen?

Bij het bedrijf waar Derk werkt, worden platform-onafhankelijke Apps ontwikkeld. Ontwikkelkosten voor professionele Apps kosten al snel enkele tonnen euro’s. Dat staat in schril contrast met een hobby App met statische content, die je in de cloud kan laten ontwikkelen door ‘2 kids in garage’ voor ongeveer 3000 euro of $20/uur. Voor applicaties op iOs en Android-platform is specifieke programmeur kennis nodig. Apps in HTML5 zijn relatief goedkoper cq gemakkelijker omdat er meer programmeurs met HTML5-kennis wereldwijd zijn.  Professionele ontwikkeling gebeurt daarom niet in de cloud door zomaar een goede programmeur tegen een laag tarief. Professionele Apps worden in een ontwikkel omgeving vervaardigd waar een uniek design geïmplementeerd wordt in één taal om vervolgens apps te genereren voor de verschillende mobiele platformen. Dit contrasteert met de zogenaamde ‘native’ ontwikkelingen waar elk OS een eigen design nodig heeft, waar de implementatie in zoveel verschillende programeertalen moet gebeuren, wat duur is en moeilijk te onderhouden blijft. Apps worden door identificeerbare ontwikkelaars gesigneerd en aangeboden aan de online stores. Deze apps worden door deze stores getoetst op intellectual property, merkenrecht, wapens, drugs en sex etc. Je bent hier afhankelijk van een extern beoordelings proces, wat erg onhandig is als je een belangrijk updates wil uitsturen en je op goedkeuring moet wachten van de store. Wat in het beoordelingsproces onderbelicht is, is of de autorisaties in verhouding staan tot de functionaliteit van de App en welke privacy wetgeving van toepassing is . Onder valse voorwendselen kunnen gebruikers nu een App accepteren, maar op de achtergrond wordt andere informatie gelekt.

Volgens Derk kan de gewone gebruiker dit niet controleren, anders dan je gezond verstand gebruiken bij een overzicht van actieve processen. Omdat Apps vaak een beveiligde verbinding opzetten, is het nog niet zo eenvoudig om te zien welke data wordt verstuurd. Je kunt een apparaat aan een draadloos netwerk koppelen om vervolgens via man-in-the-middle techniek een netwerk analyse uit te voeren. Dit is wel erg duur en niet schaalbaar als je dit per apparaat moet controleren. Wees daarom voorzichtig welke voorwaarden je accepteert, daar het daarna eenvoudig is voor een geaccepteerde applicatie om bedrijfs- & prive data zoals keylogs, foto’s, contacten, email en geluid over het internet versleuteld te versturen, zonder dat je erachter komt. Ik zie daarom wel markt voor de beoordeling van apps op security-gronden, waarbij de app wordt beoordeeld of de autorisaties in verhouding zijn tot de functionaliteit van de app, een analyse van de data-stromen en een onafhankelijke klachten registratie. Awareness bij (zakelijke) eindgebruikers moet omhoog als het gaat om BYOD in een gecombineerde omgeving van zakelijk en privé.

Terug naar de beveiliging van professionele banking Apps. Derk vertelt hoe pen-testen zijn uitgevoerd door een onafhankelijk partij. Allereerst is het belangrijk te weten dat Apps vaak een thinclient-fatserver structuur kennen en de standaard tools/aanpak voor pentesten van een website niet bruikbaar zijn. Het testen van mobile Apps is nog vrij rudimentair en het begint ook gewoon bij input validatie via de user interface. Het gedrag van de applicatie wordt beoordeeld als het naar de achtergrond gaat. Er wordt namelijk een plaatje van je App gemaakt, net voor dat deze in op de achtergrond gaat. Toestenborden kunnen leren en historie wordt bewaard. Dit is gemakkelijk voor de gebruiker, maar niet altijd wenselijk vanuit de optiek van veiligheid. Copy-paste is ook handig, maar hoe wis ik mijn prikbord als ik een wachtwoord heb gekopieerd? Misschien is het veiliger om dit uit te zetten in een bepaalde context. Een bestaande security-netwerk pentest applicatie wordt ingezet om een grondige netwerk analyse te doen. Natuurlijk is het gebruik van encryptie belangrijk voor de netwerkcommunicatie en opslag, maar controleer ook een memorydump van de App en kijk of je iets vindt van credentials, sleutels, etc.Sommige Apps zijn namelijk ‘gewoon’ archiefjes met javascript, configuratie bestanden, plaatjes, etc. Deze zijn ‘in-situ’ -op het apparaat zelf- te wijzigen. Je kan bv de originale URL
https://secure-webservice.com
 vervangt door
https://chaos-club.org
. Als je dit op een mobieltje doet, dan kan je de nieuwe App ook publiceren met een andere naam: “mijnbank” wordt dan “mijnbank!”. Daarna ga ik duizend click hulpjes in India betalen om de ranking in de store te beinvloeden…de rest kun je zelf bedenken. Belangrijkste is daarom dat de opdrachtgever een goede risico analyse doet en om de schade te besperken als er misbruik plaatsvindt.

Er zijn nog weinig voorbeelden van mobiele security incidenten in de zakelijke omgeving. Er zijn daarentegen wel veel rapporten
over een explosie in malware in mobile space, vooral op Android. Banken hebben wel een bedrag in gedachte na risico analyse. Fraude is een feit, geen mythe. Malware kan namelijk eenvoudig in de keten komen, soms zelfs door de fabrikanten zelf geïnstalleerd. Het Carrier-IQ schandaal begon vast met de beste intenties, met name om statistieken over gebruik te vergaren. Iedereen schrok wel toen zelfs onze toetsaanslagen geregistreerd werden. Niemand weet wat er met deze data is gebeurd…

Vanuit het publiek werden we geattendeerd op “appril”, een festival over apps in de maand april waarbij in Amsterdam allerlei evenementen en bijeenkomsten worden georganiseerd rondom apps. Ontwikkeling, ontwerp, distributie, gebruik: alle aspecten komen aan bod. Voor meer informatie, zie www.appril.nl. Tevens werden we getipt dat zelfstandige security professionals en security bedrijven zich kunnen vestigen in de nieuwe Innovatiefabriek te Zoetermeer, waar cyber security een belangrijk thema krijgt i.s.m. met o.a. de Haagse Hoge School, TNO, Fox IT en gemeente Zoetermeer. Wellicht dat ons Security Cafe daar ook een rol in gaat spelen.

Links:

Security Cafe: informatie beveiliging community in Nederland 
https://sites.google.com/a/trustinpeople.com/trust-in-people—the-information-protection-company/security-cafe

Festival of Games:jaarlijks festival voor game ontwikkeling www.festivalofgames.nl / www.appril.nl

Security Cafe – Cloud Security (sept 2011)

Het Security Café van 20 september 2011 werd dit keer in samenwerking met Everett  georganiseerd. Op LinkedIn hadden de inmiddels 520 leden van de groep massaal op het onderwerp CloudSecurity gestemd. Ook deze keer was er een panel met met experts, bestaande uit: Mike Chung van KPMG: Senior Manager KPMG met cloudsourcing-security als specialisatie; Erwin van der Zwan van Ordina; Partner Security en Risk Management en Michiel Steltman: directeur van BHDH branchevereniging van hostingpartijen. Na afloop van de panelsessie werden de deelnemers getrakteerd op een optreden een stand-up comedian, aangeboden door NGI, de beroepsvereniging voor IT-professionals.

Gerco: Om maar meteen met de deur in huis te vallen: Is de cloud wel veilig als je de beveiliging van diensten in de cloud vergelijkt met eigen IT Beheer?

Michiel: Hoe veilig is de cloud? Als je me dat nu vraagt, na wat afgelopen week is gebeurd (red: DigiNotar-hack) dan is de cloud totaal niet veilig en kun je een en ander nog beter onder je eigen keukentafel schuiven, bij wijze van spreken.

Vertrouwen heeft een zachte kant en een harde kant. De harde kant is het borgen van maatregelen. Dus in zijn algemeenheid vind ik dat het in de cloud beter is geregeld dan bij eigen IT beheer. De bedrijven die dit aanbieden hebben door concurrentie een enorme economische drive. Als zij dat niet op de juiste wijze doen zijn ze binnen no-time van de kaart verdwenen. Die drijfveer is heel belangrijk en bepalend voor het succes in de cloud.

Erwin: Ik sluit me daarbij aan, met de kanttekening dat ik denk dat beveiliging in de cloud absoluut beter zou kunnen. Maar ik denk dat bedrijven die zich daar mee bezig houden gemiddeld meer aandacht besteden aan security dan als organisaties dit zelf regelen. Ik constateer zelf nog vaak dat zelfs hele elementaire zaken binnen organisaties simpelweg worden vergeten of niet de juiste aandacht krijgen. Als dat het geval is kun je als organisatie maar beter naar de cloud gaan.

Mike: Als je kijkt naar het aantal incidenten in de (publieke) cloud geven de beschikbare cijfers aan dat het aantal relatief laag is. Maar de  incidenten die plaatsvinden hebben direct grote gevolgen. Bij de outage van een deel van de DC-capaciteit van Amazon.com konden 3 a 4 % van hun klanten, dan heb je het over duizenden klanten, een aantal dagen niet bij hun data komen. De impact is dus vaak enorm.

Gerco:  De cloud is dus vrij veilig maar als er incidenten ontstaan heeft dat direct grote gevolgen en zijn ze niet te overzien. Zijn er bedrijven die hun eigen IT beheer hebben en helemaal niks uitbesteed hebben?

Mike: Daar is een onderzoek naar gedaan, waarbij IT managers werden gevraagd hoeveel van de IT in de cloud staat. Hun antwoord was 0 procent.  Maar toen dezelfde vraag werd gesteld aan de CEO en CFO zeiden zij dat er wel degelijk gebruik werd gemaakt van clouddiensten. Zij gebruiken zelf diensten als bijvoorbeeld salesforce en dropbox. IT-afdelingen zijn niet altijd op de hoogte en betrokken bij belangrijke besluiten over externe automatisering.

Ik ken bijna geen grote bedrijven meer die niets in de cloud hebben. Heel anders dan 2 jaar geleden, want toen was dat nog andersom. Toen was het nog 10-20 % van de bedrijven die gebruik maakten van clouddiensten, nu haalt het echt de 90-95 %. Vaak gaat het om een klein deel van de IT, maar dat aandeel groeit gestaag.

Gerco: Wat is het verschil tussen cloud en outsourcing?

Mike: Cloud is een vorm van outsourcing, cloud is de volgende stap in outsourcing. Er is wel een verschil met de traditionele vorm van outsourcing, richting India of richting Oost Europa. Wat we nu zien is een veel efficiëntere vorm, standaard services, gevirtualiseerde omgevingen, standaard diensten. Deze vorm zorgt voor een enorme schaalvergroting met de schaalvoordelen daarbij. Een zeer belangrijk element is ‘multi-tenancy’ of resource sharing waarbij IT-middelen zoveel mogelijk worden gedeeld met anderen. In plaats van een traditionele 1 op 1 relatie is er bij cloud computing sprake van een 1 op N relatie, dat is wel het unieke aan cloudcomputing.

Gerco: Hoe staat het met de mogelijkheden om security, spamfilters, malware, monitoring enzovoort als clouddienst af te nemen? Is daar een markt voor? Zijn deze diensten en producten al volwassen genoeg?

Michiel: Of ze volwassen genoeg zijn, weet ik niet want het is allemaal net een beetje begonnen. Maar ze zijn er wel. Deze diensten zullen langzaam volwassen worden en net als de andere diensten in de catalogus van cloudproviders komen.

Erwin: De business zal bepalen wat wel of niet acceptabele risico’s zijn. Voor deze diensten geldt hetzelfde. Bepaalde delen van standaard security services lenen zich hier uitstekend voor. Wordt het maatwerk, dan past het helaas niet in het model van de cloud.

Mike: Ik zie een vreemde tegengestelde beweging. Ik zie grote bedrijven die steeds meer diensten uitbesteden, maar ik zie ook bedrijven die een aantal securitydiensten juist weer insourcen, als controle instrument, om de cloud te controleren. Om de regiefunctie in huis te houden door beheer over wie waar toegang toe heeft (bv Active Directory) en/of heeft gehad (SIEM).

Gerco: Daarmee sla je de spijker op zijn kop: Het outsourcen betekent niet dat je de verantwoordelijkheid ook uitbesteed. Je blijft daar zelf verantwoordelijk voor. Maar hoe kun je de regie, de controle behouden en vorm geven?

Erwin: Als je incidenten hebt, dan wil je als organisatie graag een onderzoek naar deze incidenten. Hebben de cloudproviders voldoende capaciteiten om bijvoorbeeld forensisch sporenonderzoek uit te voeren? Dat is in de eigen IT omgeving al vaak een uitdaging, laat staan als je een deel, of alles in de cloud hebt staan.

De tegengestelde beweging waar Mike het over had, het insourcen van bijvoorbeeld toegangsbeheer (bv Active Directory) is een poging tot controle houden maar of dat genoeg is, is de vraag.

Michiel: Het is een beetje IT eigen: de wet van behoudt van ellende, noem ik het. We creëren een prachtig mooie oplossing maar daar creëren weer andere problemen mee. Gebrek aan toezicht is wel een heel groot probleem op dit moment. We weten wel hoe het niet moet, maar hoe het dan wel moet, is een andere vraag. Daar hebben we niks voor geregeld, ook in de ISO-standaard niet.

Mike: We moeten opzoek naar een methode om controles beter te maken over de grenzen van organisaties heen. Dat is de uitdaging.

Uit de zaal: Security Information Event Management (SIEM) is gericht op de oude IT omgeving. Hoe kunnen we dit soort diensten specifiek enten op de cloud?

Michiel: Er zijn door de enorme populariteit van de cloud tegenstrijdige commerciële belangen ontstaan. Deze specialistische diensten worden straks al bijproduct verkocht bij cloud services.

Mike:  Ik heb een weddenschap met iemand van een grote cloudprovider. Die zegt dat over 5 jaar het grootste deel van de IT in de cloud zal draaien en dat alles anders is, en ik zeg dat dat nog minstens 15 jaar duurt, door de invloed van deze oude IT wereld.

Op dit moment staat het grootste deel van alle IT nog steeds lokaal. Wat wel zien is dat het aandeel van cloudcomputing enorm hard groeit. Maar niet zo snel als gehoopt. Er zijn nog veel issues die opgelost moeten worden zoals integratie tussen verschillende clouddiensten, security, privacy, vendor lock-in en performance. Bovendien heeft de ‘oude’ IT-wereld weinig belang in deze ontwikkeling, dus die zullen het proces waar zij kunnen proberen te vertragen.

Erwin: Nog even over het SIEM gebeuren. Een van de dingen die we willen weten is wat er misgaat. En die behoefte blijft. Of je het nu zelf doet of uitbesteed, of in een cloudjasje gooit; die behoefte blijft.

Gerco: Het is duidelijk dat dit een lastig thema is; de regiefunctie en de controle houden over dingen die je uitbesteed. Hoe zit dat eigenlijk met toegangscontrole? Hoe kunnen voor allerlei verschillende clouddiensten bijhouden en beheersen wie waar toegang voor heeft?

Mike: Dat is een grote uitdaging. Er zijn wel producten op de markt, maar die zijn vrij beperkt in hun scope. Aan de andere kant spelen veel bedrijven in op de ‘integratievraag’. IBM heeft bijvoorbeeld Cast Iron, een cloud integratieoplossing overgenomen en zijn op dit moment bezig die verder te ontwikkelen. Ik vind het zeer interessant allemaal. Maar hoe Identity and Acces Management technisch gezien geregeld moet worden bijvoorbeeld tussen een lokale Active Directory en een proprietary directory in de cloud, is nog niet uitgekristalliseerd. We zullen wellicht nog een tijdje moeten wachten op deze antwoorden vrees ik.

Erwin: Logische toegangsbeveiling is een ander probleem dan fysieke. Elke beheerder die ergens bij die cloudprovider werkt, heeft ook weer een deel daarvan uitbesteed. Die kunnen overal bij. Wie heeft toegang tot jouw data op die server in het buitenland?

Michiel: Identity and Acces Management over meerdere diensten en organisaties blijft lastig. Wat ik dus merk bij onze deelnemers; zij zijn zeer gecharmeerd van bepaalde oplossingen, maar zetten dat graag buiten de deur; laat een ander dat maar regelen. Dat federeren heeft een grote toekomst.

Security Cafe – Identity Access Management (juni 2011)

Identity & Acces Management

Informatie alleen toegankelijk voor de juiste personen

Dat lijkt makkelijk!

Trust in People biedt een unieke detectieve IAM-oplossing. Periodiek wordt inzichtelijk gemaakt wie toegang heeft tot uw kritische bedrijfsapplicaties in het fysieke-, IT en internet domein zonder aanpassingen in uw infrastructuur. Dit integrale toegangsprofiel wordt procesmatig afgestemd met de business (lijn manager) & functionele applicatie beheerders, waarbij controles zijn ingebouwd voor de security officer.

De 11e editie van het Trust in People Security Café vond op 21 juni plaats in de sfeervolle ambiance van restaurant Koetjes en Kalfjes in Zoetermeer. Het thema was Identity & Acces Management(IAM), door de leden van het Security Cafe gezamenlijk gekozen. In het panel schoven aan: Harm Roelofs, voormalig projectmanager implementatie IAM-oplossing Trust in People bij T-Mobile; Michiel Steltman, voormalig CTO SAASPlaza; Remco Bakker van Cqure en Jaap Kuipers, oprichter van het Platform Identity & Access Management Nederland (PIMN) en trendwatcher IAM. De schatting is dat in ruim 60 % van de gevallen van spionage of informatielekken binnen de organisaties zelf wordt geïnitieerd. Bijvoorbeeld door boze werknemers of tijdelijk krachten. Er wordt nog steeds veel geld besteed aan IAM. Maar wat levert dat nu eigenlijk op?

Remco: “Mijn ervaring is dat de kosten goed zichtbaar zijn omdat IAM vaak een efficiency verbetering oplevert.”

Jaap: “De meeste organisatie voldoen aan de wettelijke gestelde eisen, en dat is al een gedoe. Een bedrijf kan doorgaans constateren wat de kosten bedragen, maar het is moeilijker precies na te gaan welke toegenomen opbrengst het resultaat is van deze vernieuwing. In de niet zeldzame gevallen dat er aanloopproblemen of tegenvallende prestaties moeten worden gemeld, is de berekening nog lastiger.” Als ik het goed begrijp,  wordt het efficienter en voldoet het aan de wettelijke eisen. Maar wordt het ook veiliger, heb ik jullie nig niet horen zeggen.

Op dit moment is het Role Based Acces Control(RBAC) wat de klok slaat. Kenmerk van RBAC is dat individuen niet rechtstreeks worden geautoriseerd in informatiesystemen, maar dat ze uitsluitend rechten krijgen op basis van een vorm van groepslidmaatschap, op basis van de rol die ze hebben binnen een organisatie of bedrijfsproces. Door het koppelen van de rol van de gebruiker in de organisatie aan een rol in een informatiesysteem, is het eenvoudig om de effectieve rechten van een gebruiker te bepalen. Wat zijn de lessons learnt van het panel met projecten zoals RBAC?

Harm: “Mijn advies is, begin zo klein mogelijk hiermee, met overzichtelijke projecten. Beperk het aantal systemen en het aantal gebruikers. Dan is de kans op een succesvol project groter.”

Jaap: ”Het gebeurt nog wel eens dat projecten veel te lang duren en uiteindelijk niet succesvol zijn en in het ergste geval zelfs opnieuw moeten worden uitgevoerd. De manager moet altijd kunnen toetsen of de autorisaties van zijn eigen medewerkers nog steeds van kracht zijn. Daarnaast kost het beheer van de rollen mankracht en is het weer een extra administratieve last.”

Wie draagt er eigenlijk de verantwoordelijk of toegangsrechten up-to-date zijn? Is dat IT, HR, Audit, Risk Management, Compliance, Directie of de Business?

Remco: ” Dat is een goede vraag. In de praktijk is het vaak zo dat deze verantwoordelijkheid bij iedereen en tegelijkertijd bij niemand ligt. Het is een een mistig gebied. Via RBAC zou IT wellicht wat sturing geven, maar autorisaties in de praktijk laten zich niet altijd even makkelijk vangen in een rol. Het beheer over uitzonderingen is vaak lastiger dan het probleem.”

Harm: “De enige juiste plek is volgens mij bij de direct leidinggevende. En hij zou dan periodiek moeten controleren of autorisaties nog steeds valide zijn getriggered door de verkregen informatie uit de IAM-oplossing.”

Integrale informatie wie waar toegang toe heeft is tot op heden in bijna geen enkele organisatie voorhanden. Deze data is er wel, maar dient omgevormd te worden tot informatie die overzichtelijk, eenvoudig en makkelijk te controleren valt door de leidinggevende.”

Zijn er ook trends aan te wijzen in IAM?

Jaap: “Ik zou zeggen, het samengaan van fysieke en logische toegang en integratie van Enterprise Single Sign-On met SAAS-diensten is zeker een trend.”

Remco: ”Ik hoop dat de samenwerking tussen overheid en bedrijfsleven steeds meer verbeterd wordt; je ziet dat het steeds beter gaat zoals met eHerkenning (www.eherkenning.nl). Dat is ook een trend: het overerven van identiteit van andere online diensten. Denk aan login met Facebook, Linkedin of Google.”

Een andere trend zou kunnen zijn dat steeds meer organisaties hun IT afdeling outsourcen, via de cloud aan leveranciers. Dit geeft als complicatie dat de leveranciers niet weten wie wel en wie niet geautoriseerd is met alle gevolgen van dien. Hoe werkt dat precies, in de cloud?

Michiel: “In de cloud is het wat IAM betreft, eigenlijk tegen de stroom inzwemmen. Security in de cloud moet ook integreren met fysieke- en logische toegang Het is het belangrijk de leverancier ook bij het proces te betrekken als onderdeel van de keten. Wat ook steeds vaker gebeurd is “federation”; het identiteitbeheer wordt overgedragen aan derden. Dit neemt veel authenticatie en gebruikersaccount management overhead weg. Ik zie dit ook als een trend. “Federation” kan een leverancier ook helpen dwingen mee te werken het proces op orde te krijgen.”

Tot nog toe werden identiteiten beheerd door de organisaties die zelf bepalen wie toegang mag hebben tot de applicaties van die organisaties. Daarbij registreert elke organisatie zijn eigen gebruikers. Op internet is dat niet langer een realistisch uitgangspunt. Niet alleen is het aantal potentiële gebruikers ongekend groot; gebruikers, individuen, willen ook zelf hun identiteit beheren en willen zelf de zeggenschap hebben over het verstrekken van identiteitgegevens. Een mens heeft dus meerdere rollen. De sleutel tot beheer ligt in dat geval bij de persoon zelf. Hoe beheers je dat, als organisatie?

Jaap: “We zien al een kanteling bij RBAC; Van Role Based is er een verschuiving naar Attribute Based. De volgende stap zou kunnen zijn, Policy Based Access Control.”

Alle technieken en applicaties ten spijt, uiteindelijk gaat het erom dat IAM ook gebruikersvriendelijk en efficient is. Wordt een stagiaire in vaste dienst genomen? Dat moet dus direct geregeld kunnen worden, en niet dubbel geregistreerd en pas na een paar dagen. IT Ticket systeem voor aanvragen/intrekken van toegang is vaak sluitend, echter het komt voor dat mensen toegang behouden ook al hebben ze dat niet meer nodig. Vertrekt de manager? Dan is het belangrijk dat de nieuwe manager ook begrijpt wat de bedoeling is. De meeste producten spelen daar nog steeds niet op in.

Remco:”Wat we ons moeten realiseren is dat het nooit helemaal foutloos zal verlopen. Waar gehakt wordt vallen nou eenmaal spaanders. Dus zorg ervoor dat er af en toe geschoond wordt op de ouderwetse manier.”

Veel producten bieden meerdere aspecten van IAM. Afhankelijk welk probleem je wil oplossen, zijn er preventieve en detectieve IAM-oplossingen. Denk bij preventieve IAM producten aan: Sailpoint, Novell, IBM, BHOLD, Microsoft, Centrify, BOKS. Detectieve oplossingen zijn schaars, maar zijn de perfecte aanvullingen op de bestaande IAM-systemen (Trust in People, Sailpoint). 

Security Cafe – Cyberspionage (februari 2011)

Cyberspionage

De 10e editie van het Trust in People Security Café werd voor het eerst op 15 februari 2011 georganiseerd in samenwerking met Schuberg Philis. Dit bedrijf is gespecialiseerd in outsourcing van mission critical systemen voor bijvoorbeeld Rabobank, ABN, KLM en Nuon en ademt niks anders dan security. Op deze sfeervolle locatie werd onder het genot van een uitstekend gecaterde walking diner het onderwerp Cyber Spionage besproken.

“Voorheen zwaaiden criminelen met wapens, en waren ze makkelijker te herkennen; tegenwoordig zijn criminelen ‘slechts’ gewapend met een laptop…”

Tijdens het vorige Security Café  is het Nationale Trendrapport Cybercrime en Digitale Veiligheid besproken. Er is toen het belangrijke onderscheid gemaakt tussen Cyberwar, Cybercrime en Cyberspionage activiteiten. In dit Security Café Event lag de nadruk op Cyberspionage, waarbij we dan moeten denken aan intellectueel eigendom en commerciële informatie die onrechtmatig verkregen en misbruikt wordt. Dit heeft vaak onzichtbare, grote economische schade tot gevolg. Voor dit onderwerp schoven Dereck Haye van Custodian en Johan ten Houten van Deloitte aan in het panel. Dereck is gespecialiseerd in netwerk forensics en heeft voorheen bij Unisys gewerkt. Johan heeft een achtergrond bij het Nederlands Forensisch Instituut en is inmiddels gespecialiseerd in IT forensics & E-discovery.Waarom zijn organisaties en bedrijven zo kwetsbaar voor bedrijfsspionage?

Johan: “Dat ligt voor de hand; veel bedrijven en organisaties zijn een geliefd doelwit voor georganiseerde misdaad omdat er informatie maar ook geld te halen is en de pakkans klein is. Voor deze criminelen is het relatief makkelijk om aanvallen te organiseren; de enige investering in een computer, een internetverbinding en heel veel tijd, bij wijze van spreken. Maar voor bedrijven en organisaties is het aan de andere kant heel lastig, bijna onmogelijk, om zich daar tegen te wapenen, en duurt het relatief lang voordat een en ander is dichtgetimmerd. Daarbij kost het bakken met geld. Tegen de tijd dat ze het voor elkaar hebben, is er al een nieuwe ‘weg naar binnen’ uitgedokterd. Feitelijk rennen veel organisaties constant achter de feiten aan. Het is een ongelijke strijd. En omdat bedrijven een ongelijke strijd leveren, moeten ze slimmer worden in de bestrijding ervan. Dus ‘outsmart’ versus ‘outnumber’.
Derreck: “Met name kennis en innovatie is iets waar men op zoek gaat. Je kunt je voorstellen als een bedrijf een innovatie op het gebied van bijvoorbeeld auto’s heeft ontwikkeld, zoals bijvoorbeeld de rel rond de nieuwe hybride auto van Renault, waar bestuurders van Renault informatie doorverkochten aan de Chinezen. Waardevolle informatie is feitelijk op elk niveau in een organisatie aanwezig. Denk aan intellectual property, commerciële data, kennis over beveiligingsorganisatie en/of klantgegevens.”

De waarde van deze informatie is groot. In China worden cybersoldaten getraind op universiteiten, in Rusland is georganiseerde misdaad gericht op het elektronisch beroven van banken en zijn er fora waarop bedrijfsdata wordt verhandeld. Infiltratie op zo’n marktplaats is de meest effectieve manier om te achterhalen of bedrijfsgeheimen gestolen zijn. Echter, je moet undercover om die weg te vinden. Onze Nederlandse overheid en het bedrijfsleven zijn daartoe niet bevoegd. In andere landen zoals UK, Frankrijk, Amerika, Israel, China, Rusland en Iran kan de overheid dit wel, zelfs als het gaat om economische belangen. Weten hoeveel anderen jouw informatie waard vinden, is een goede input voor je interne risico analyse. Het geeft ook aan dat bedrijfsspionage een reële bedreiging is, welke vaak niet onderkend wordt door het management door gebrek aan overtuigend “bewijs”. Ook in Nederland weten veel bedrijven niet of en hoe vaak ze worden aangevallen. Tijdens het Security Café kwam dit uiteraard ter sprake.

Worden Nederlandse organisaties ook bespioneerd?

Johan: ”Ik vermoed van wel, multi-nationals van deze wereld hebben zulke grote economische belangen, dat moet haast wel. En als je bijvoorbeeld het dataverkeer naar landen als China analyseert, zie je dat het af neemt tijdens de lunchpauze. Dat zijn kenmerkende activiteiten. Het probleem is echter dat het een tijd duurt voordat de gevolgen van het weglekken van informatie zichtbaar worden. Veel organisaties zijn zich daar niet bewust van. Daarnaast vertrouwen bedrijven vaak nog op hun firewalls en antivirussystemen. Bij ons is het niet mogelijk, want wij hebben een firewall. Dat is heel naïef want veel malware blijft onder de radar.”

In een rapport uit 2011 van McAfee met als titel Night Dragon, wordt  beschreven hoe de olie, energie en petrochemische markt bespioneerd worden door de Chinezen. We weten dat o.a. Nederlandse banken in de afgelopen jaren slachtoffer geweest van organiseerde misdaad uit Rusland. Het Nationale Trendrapport Cybercrime en Digitale Veiligheid kondigt het aan. Cybercrime is goed georganiseerd en de aanpak staat nog in de kinderschoenen. In 2010 is in Nederland al 1,3 euro miljard schade aangericht door cybercrime (bron: security.nl).

Natuurlijk is er het Nationale Trend Cybercrime & Digitale Veiligheid waarin vermeld staat welke informatie vergaard wordt door buitenlandse instanties. Voor een deel gebeurt dit door fysieke “agenten” die zich voordoen als medewerker, leverancier, klant of bezoeker. Maar ook digitale “agenten” bestaan. Netwerken en computers zijn besmet en lekken data. Vergeet ook de thuiscomputers niet, waarvan de beveiliging makkelijk te kraken is en waar soms behoorlijk veel vertrouwelijke data te vinden is.

Dereck: “Vaak weten mensen inderdaad niet eens dat hun eigen computer besmet is, zowel thuis maar ook op kantoor. Als je dan kijkt naar de activiteiten en wat een normaal patroon zou zijn, zie je rare ontwikkelingen. Je kunt maar een aantal sites per dag bezoeken, en waarom zou een medewerker constant data naar de Oekraïne sturen? Afwijkend gedrag, en dus niet normaal. Een botnet (een netwerk van besmette computers) wordt wellicht enkele keren door de firewall geblokkeerd, maar vindt uiteindelijk altijd een weg naar buiten.”

Hoe kunnen we dit in een juridische context plaatsen? Wanneer ga je bijvoorbeeld naar de politie?

Johan: ”Het probleem is dat internet over alle grenzen gaat, de hele wereld over. En de wetgeving in de Oekraïne en China, is heel anders dan in Nederland. Tevens is het een keten organisatie die de nationale grenzen overstijgt; een slimme crimineel opereert vanuit een ander land dan waar de slachtoffers zich bevinden en koopt een botnet uit weer een ander land. Wat het ook lastig maakt is dat organisaties het vaak intern oplossen, ook omdat ze bang zijn voor imagoschade. Bij banken bijvoorbeeld, zij hebben zich goed georganiseerd en gezamenlijk een strategie ontwikkeld en halen direct een aanvalsysteem uit de lucht.”

Johan: “Voorheen zwaaiden criminelen met wapens, en waren ze makkelijker te herkennen; tegenwoordig zijn criminelen ‘slechts’ gewapend met een laptop, dat is het grote verschil. Ook is het aantal aangiftes van digitale spionage lastig bij gebrek aan kennis bij het slachtoffer alsmede bij de “toezichthouder”. Het meest effectieve is jezelf met branchegenoten in contact brengen en een gezamenlijke strategie te formulieren.”

Kijk voor meer informatie op www.trustinpeople.com.