Bastiaan Bakker
Gepost op: 14-3-2017 13:02:55 door Bastiaan Bakker
Tags: AVG, GDPR, privacy, WbP

Burgers, consumenten en medewerkers moeten kunnen vertrouwen dat overheid en private partijen hun privacy waarborgen. Een webwinkel moet dus als goed huisvader omgaan met de privacygevoelige gegevens van zijn klanten. Wat daar voor nodig is? Een grote voorjaarsschoonmaak!

Jeroen Veraart
Gepost op: 3-2-2017 13:57:01 door Jeroen Veraart
Tags: internet, monitoring

Op dinsdag 7 februari is het weer ‘Safer Internet Day’, een jaarlijks terugkerende dag die aandacht vraagt voor een veilig en verantwoord gebruik van online technologieën door met name kinderen en jongeren. Maar eigenlijk zou het iedere dag ‘Safer Internet Day’ moeten zijn, want op het moment dat de gevaren van het internet onze kinderen en jongeren raken, hebben we de verplichting om ons daar druk over te maken.
 

Gerard Klop
Gepost op: 3-2-2017 10:59:01 door Gerard Klop
Tags: security, SOC

Wat doet u als u bij het autorijden plotseling heel hard moet remmen terwijl uw 9-jarige zoon of dochter op de passagiersstoel zit? In een reflex schiet uw hand naar rechts om uw kind tegen te houden terwijl de linkerhand het stuur extra stevig vasthoudt. Dit gaat meestal vanzelf, zonder dat u er erg in heeft. Alsof de armspieren autonoom reageren. Bij cyberaanvallen op bedrijfsnetwerken blijft die automatische reactie vaak uit. We rusten het netwerk uit met firewalls, detectiesystemen en sensoren, maar weten vaak niet wat we moeten doen als een botsing met een hacker dreigt. Een ‘draaiboek’ voor wat te doen na bijvoorbeeld een DDoS-aanval of een besmetting met ransomware ontbreekt vaak.

Simon van den Bos
Gepost op: 24-1-2017 14:29:57 door Simon van den Bos
Tags: Application, Firewalls, WAF, Web

De hack van een website of webapplicatie kan verstrekkende gevolgen hebben. Als een aanvaller data steelt of manipuleert, moet u hier mogelijk melding van maken bij de Autoriteit Persoonsgegevens. Ook bestaat het risico dat hackers via uw gehackte website klanten besmetten. De reputatieschade is dan al snel niet te overzien. Met een Web Application Firewall is heel veel ellende te voorkomen.

Maarten Albregts
Gepost op: 12-1-2017 14:51:59 door Maarten Albregts
Tags: encryptie, phishing, spam

Hoe afhankelijk is een organisatie van e-mail? Dat is een retorische vraag… De afhankelijkheid van een in 1982 opgesteld protocol benadert bijna het bedrijfskritische. In 1982 is RFC876 opgesteld voor het 'Simple Mail Transfer Protocol' om efficiënt en betrouwbaar transport van e-mail berichten mogelijk te maken. Encryptie en beveiliging maakten destijds geen onderdeel uit van de RFC, laat staan dat er was nagedacht over risico’s als spam en phishing.

Jeroen Veraart
Gepost op: 19-12-2016 17:11:58 door Jeroen Veraart
Tags: hackers, hardware, kwetsbaarheden, zembla

De recente Zembla-uitzending 'Hacken voor dummies' schokte Nederland. Wachtwoorden, paspoorten, vertrouwelijke informatie van beursgenoteerde bedrijven, geheime Europoldossiers... Het ligt allemaal voor het oprapen. Maar welke lessen kunnen we hier nu uit trekken?

Bastiaan Bakker
Gepost op: 26-10-2016 13:11:25 door Bastiaan Bakker
Tags: GDPR, privacy, SSL

Cryptografische beveiliging is evident voor het veilig werken via internet. Zonder deze beveiliging geen internetbankieren of lezen van persoonlijke e-mail via bijvoorbeeld Gmail. En niet alleen voor internetbankieren en e-mail is versleuteling essentieel; voor steeds meer webapplicaties is SSL-versleuteling de standaard. Om het gebruik van versleuteling verder kracht bij te zetten, geeft zoekmachine Google sinds augustus 2014 een hogere ranking aan websites die standaard gebruikmaken van deze vorm van versleuteling. Een goede stap voorwaarts voor het respecteren van privacy. Tegelijkertijd wordt het aanzienlijk lastiger om binnen versleuteld verkeer te controleren op virussen. Dit leidt tot een enorme groei van uiterst gevaarlijke, geavanceerde vormen van virussen zoals ransomware en spionagesoftware.

Ramses Sloeserwij
Gepost op: 20-10-2016 11:58:36 door Ramses Sloeserwij
Tags: botnet, IoT

Internet of Things domein is het mekka voor botnets. Dit wordt veroorzaakt door het gebrek aan onderhoud door de leveranciers. De componenten zijn voorzien van een besturingssysteem, in de meeste gevallen Linux, maar deze zullen niet of nauwelijks meer een update krijgen welke noodzakelijk zijn om kwetsbaarheden (vulnerabilities) te verwijderen. De botnetbouwers zullen bekende kwetsbaarheden (vulnerabilities) voor het Linux besturingssysteem zodanig redesignen dat zij de IoT-component kunnen besmetten met hun bot-virus.

Jeroen Veraart
Gepost op: 19-10-2016 09:13:22 door Jeroen Veraart
Tags: Cyber Security Raad, GDPR, meldplicht datalekken, NCSC, security management

In mijn column ‘Zijn we klaar voor big data?’ had ik een voorschot genomen op het Security-Congres 2016 getiteld ‘Data in the future’. Daarin had ik onder andere geschreven over de bizarre vlucht die de hoeveelheid data de komende jaren neemt. Die vlucht kwam tijdens het genoemde congres op 12 oktober in de Amsterdam ArenA mooi ter sprake tijdens de afsluitende sessie van Aart van der Vlist, trendwatcher en CTO/CIO van het UWV. Maar ook de sprekers die hem voor gingen, boden voldoende voer voor discussie.

Gerard Klop
Gepost op: 14-10-2016 12:07:48 door Gerard Klop
Tags: cybercrime, zerodayattack

Hoewel 0-day kwetsbaarheden op de meeste aandacht kunnen rekenen, vormen de ‘bekende kwetsbaarheden’ nog altijd een groter probleem voor bedrijven. Hoe zorgen we ervoor dat deze kwetsbaarheden u niet onnodig aan het werk houden? Het onderwerp ‘0-days’ heeft alle elementen van een spannende misdaadthriller in zich. Een aanslag op een belangrijk overheidsgebouw hangt in de lucht, dat is wel duidelijk. Maar de dader, zijn motieven en van welke zwakke plek in de beveiliging hij misbruik gaat maken? Daarover tasten de knappe rechercheurs nog volledig in het duister. Dat plaatje wordt pas duidelijk als alle lijntjes op het whiteboard met elkaar in verband zijn gebracht, waarna de rechercheurs met een blauw zwaailicht op het dak wegscheuren...

Jeroen Veraart
Gepost op: 12-10-2016 09:41:02 door Jeroen Veraart
Tags: DHCP, security management

Niet zo lang geleden wees iemand mij op het feit dat het voor kinderen in deze tijd bijna onmogelijk is om een schoolkeuze te maken. Dat kan ik beamen omdat een van mijn kinderen precies daar is aangekomen in haar schoolloopbaan. De wereld zoals die er nu uitziet, is natuurlijk maar van tijdelijke aard. Wat doen we over tien, twintig of dertig jaar? Ik probeer mijn dochter daar uiteraard in te begeleiden. Probeer uit te leggen hoe ik dat vroeger heb gedaan, wat er nu speelt op de opleidings- en arbeidsmarkt maar probeer ook naar de toekomst te kijken. En juist dat kijken naar de toekomst, en het durven en kunnen analyseren van de wereld om je heen, is echt een leuke uitdaging.

Maarten Albregts
Gepost op: 4-10-2016 13:29:09 door Maarten Albregts
Tags: datalekken, DNS, meldplicht, NCSC, privacy, regelgeving, SMTP

Hoe afhankelijk is een organisatie van e-mail? Dat is een retorische vraag… De afhankelijkheid van een ruim dertig jaar oud protocol benadert bijna het bedrijfskritische. In 1983 is RFC 876 gepubliceerd voor het Simple Mail Transfer Protocol om efficiënt en betrouwbaar transport van e-mailberichten mogelijk te maken. Encryptie en beveiliging maakten destijds geen deel uit van de RFC, laat staan dat er was nagedacht over risico’s als spam en phishing. Inmiddels zijn we 35 jaar verder en is de hele digitale wereld alleen maar afhankelijker geworden van e-mail en zijn de genoemde risico’s alleen maar toegenomen. Dat geldt trouwens voor alle internetprotocollen (TCP/IP, DNS, SMTP, et cetera)

Jeroen Veraart
Gepost op: 29-9-2016 13:44:58 door Jeroen Veraart
Tags: meldplicht datalekken, privacy, regelgeving, Wbp

Echt dagelijks lezen we in het nieuws dat we ons druk moeten maken over onze ‘dataprivacy’. Als ik in mijn vrienden- en familiekring vraag of ze zich daar nu ook zo druk over maken, dan is het antwoord direct ‘ja’. Maar als ik dan vervolgens doorvraag wat er precies aan de hand is, of waar ze nu bang voor zijn, dan wordt het toch een lastig gesprek. Neem bijvoorbeeld het medisch dossier. Als ik eerlijk ben, dan weet ik zelf ook niet zo goed hoe dat eruit ziet. Stel dat je het uitprint, is het dan een ordner vol met papieren? Gaat het drie of vijf jaar terug? Of zit alles vanaf mijn geboorte erin? Ik weet wel zeker dat ik dat heel erg ‘privé’ vind en dat je het als 'data' mag bestempelen.

Bart Verhaar
Gepost op: 25-8-2016 11:24:58 door Bart Verhaar
Tags: datalekken, DLP

Tegenwoordig zijn er meer manieren dan ooit waarop bedrijfs- of privacygevoelige data kunnen lekken. Imagoschade en verstoring van de bedrijfsvoering liggen daarbij op de loer. Policy’s voor data leakage prevention (dlp) kunnen veel ellende voorkomen, maar de implementatie daarvan vereist zorgvuldigheid en geduld. Acer kwam onlangs weinig positief in het nieuws. De laptopfabrikant kon niet voorkomen dat door een data breach 35 miljoen creditcardgegevens op straat belandden. Een flinke deuk voor het imago van de Taiwanese fabrikant, en een zorgelijke situatie voor de betrokken klanten.

Gerard Klop
Gepost op: 21-8-2016 11:43:12 door Gerard Klop
Tags: NCSC, security

Jaarlijks investeren Nederlandse bedrijven honderden miljoenen euro’s in IT-beveiliging. Pierre Audoin Consultants schatte het bedrag voor 2015 in op 520 miljoen euro, iets minder dan 1 procent van het Bruto Binnenlands Product. Die euro’s gaan vooral zitten in allerlei losse oplossingen die waardevolle data en systemen moeten afschermen van cybercriminelen. Waar het echter nog aan ontbreekt, is voldoende intelligentie.

Bart Verhaar
Gepost op: 20-8-2016 11:36:00 door Bart Verhaar
Tags: IT, security

Wat houdt directeuren en aandeelhouders wakker? Een tegenvallende winst? Opkomende concurrentie vanuit andere landen? Verlies van marktaandeel? Ongetwijfeld. Maar steeds vaker is het een gebrekkige informatiebeveiliging die de nachtrust verstoort. ​Volgens het ‘2016 Risk:Value’-rapport dat Vanson Bourne opstelde in opdracht van NTT Communications wordt een gebrekkige infomatiebeveiliging gezien als een steeds groter bedrijfsrisico. In 2014 gaf negen procent van de ondervraagden aan hier wakker van te liggen. Een jaar later was dit percentage verdubbeld naar achttien procent. Ter vergelijking: evenveel respondenten noemden het verlies van marktaandeel als belangrijkste bedrijfsrisico.

Simon van den Bos
Gepost op: 29-7-2016 17:28:33 door Simon van den Bos
Tags: certificaten, cybercrime, firewall, SSL

Geen vakantieplannen voor de komende weken? Geen tijdrovende projecten op de planning? En uw collega’s liggen op een Zuid-Europees strand te bakken of hiken door Scandinavië? Klinkt als het uitgelezen moment om alle securityknoppen weer eens aan te draaien. Securitymanagement is al snel een tijdrovende en complexe klus. En de netwerkgebruikers zitten er meestal niet op te wachten dat u onder werktijd met firewallinstellingen, SSL-certificaten en netwerksegmenten rommelt. De rustige periode tijdens de zomervakantie is dan ook ideaal om de geïmplementeerde security-oplossingen eens goed tegen het licht te houden. Lees hier drie stappen om na de zomer weer helemaal bij te zijn.

Gerard Klop
Gepost op: 27-6-2016 17:33:11 door Gerard Klop
Tags: security, SIEM, software

SIEM is als tool niet meer weg te denken uit de gereedschapskist van de securityprofessional. De markt voor Security Incident and Event Management groeit dan ook al enkele jaren met dubbele cijfers en zal volgens Markets and Markets in 2019 een omvang hebben van ruim 4,5 miljard dollar. Tussen nu en 2020 zal met name het mkb verantwoordelijk zijn voor de groei van de markt, zo is de algemene verwachting.

Gerard Klop
Gepost op: 14-6-2016 17:35:27 door Gerard Klop
Tags: 7510, Access, IAM, Identity, informatiebeveiliging, Management, NEN

De NEN 7510 is al enkele jaren een belangrijke norm voor informatiebeveiliging voor de Nederlandse zorgsector. Helaas leert de praktijk dat de norm vooralsnog een papieren tijger is. Een groot deel van de zorginstellingen is nog altijd niet NEN7510-compliant. Het andere deel dat wel compliant is, heeft met het plaatsen van ‘het vinkje’ de risico’s duidelijk nog niet onder controle. Dit blijkt bijvoorbeeld uit het grote aantal security-incidenten binnen de zorg.

Simon van den Bos
Gepost op: 5-4-2016 11:13:22 door Simon van den Bos
Tags: Autoriteit, Persoonsgegevens, security

Databases vormen nog altijd één van de meest gewilde doelwitten van hackers. Volgens een recente editie van het Verizon Breach Report zijn databases zelfs een van de meest besmette activa. Dat databases zo’n gewild doelwit zijn, is eenvoudig te verklaren: ze vormen het hart van iedere organisatie en herbergen een schat aan klantdata en bedrijfsgevoelige gegevens. Een aanval op een database kan verstrekkende gevolgen hebben. Door een ‘breach’ verlies je mogelijk niet alleen je gevoelige data, maar ook je reputatie en het vertrouwen van klanten of medewerkers. Sinds 1 januari van dit jaar kan de Autoriteit Persoonsgegevens (AP) bovendien een flinke boete opleggen als blijkt dat je onvoldoende maatregelen hebt genomen om persoonsgegevens te beschermen en eerdere waarschuwingen van de AP in de wind hebt geslagen.

Bart Verhaar
Gepost op: 24-3-2016 11:20:08 door Bart Verhaar
Tags: DEC, phishing, spam

Digital Equipment Corporation (DEC), dat via allerlei omzwervingen uiteindelijk onderdeel werd van HP, is een van de roemruchte namen uit de it-geschiedenis. Het bedrijf zette als eerste succesvol een ‘minicomputer’ op de markt, was een van de pioniers op het gebied van Ethernet, bedacht de internetzoekmachine AltaVista en ontwierp met de ‘Unibus’ het eerste bussysteem. Minder bekend is dat DEC ook verantwoordelijk is voor het allereerste spambericht dat de wereld in werd gestuurd. Op 3 mei 1978 verstuurde een marketingmedewerker van het bedrijf een aankondiging van een ‘open huis’ naar iedereen op het toenmalige Arpanet aan de westkust van de Verenigde Staten.

Gerard Klop
Gepost op: 10-3-2016 14:03:58 door Gerard Klop
Tags: datalekken, phishing, security

Liet nota bene een bank zich in de luren leggen door een nepmailtje, dat zogenaamd afkomstig was van ‘de baas’? Deze vraag zoemde rond in de Belgische media nadat de Belgische bank Crelan bekend had gemaakt dat het slachtoffer was geworden van een omvangrijke fraude waarbij het 70 miljoen euro verloor. Oplichters zouden zich in een e-mail hebben voorgedaan als de CEO van Crelan en personeel de opdracht hebben gegeven om het geldbedrag naar een rekening in het buitenland over te maken.

Bart Verhaar
Gepost op: 2-3-2016 13:57:25 door Bart Verhaar
Tags: cybercrime, zerodayattack

Je kent ze vast wel: de presentaties, rapporten en nieuwsartikelen waarin het ‘cyberdreigingslandschap’ wordt geschetst, en waarin geavanceerde aanvallen en 0-day malware steevast de hoofdrol spelen. De boodschap is meestal dat de aanvallers en verdedigers een kat-en-muisspel spelen, waarbij de kat (de aanvaller) steeds dikker wordt en de muis steeds angstiger uit zijn ogen kijkt. De aanvallers worden daarbij geholpen door marktplaatsen waar de kant-en-klare 0-days en exploits worden verhandeld alsof het om een tweedehands fiets op Marktplaats gaat.

Meldplicht datalekken: Informatiebeveiliging hoger op agenda
Gepost op: 5-1-2016 09:21:12 door Thomas van Donk
Tags: cbp, crisismanagement, meldplicht, security

Een boete van maximaal €820.000 of 10% van de jaaromzet. De Autoriteit Persoonsgegevens - de opvolger van het College bescherming persoonsgegevens (CBP) - kan deze vanaf 1 januari opleggen. Op die datum is de meldplicht datalekken ingegaan. Dit is een aanvulling op de Wet bescherming persoonsgegevens (Wbp) en nu al berucht. Thomas van Donk is gespecialiseerd in risicomanagement op gebied van informatiebeveiliging en licht de essentie van deze wijziging op de Wbp toe en wat dit voor u en uw organisatie betekent.

Bescherm tegen aanvallen op webapplicaties
Gepost op: 5-1-2016 09:07:03 door Simon van den Bos
Tags: CDN, DDoS, logging, WAF

Dagelijks horen we over websites die gehackt zijn en dat hierdoor persoonsgegevens op straat zijn komen te liggen. Een geslaagde hack gebeurt vrijwel nooit als een donderslag bij heldere hemel, maar heeft zich in de meeste gevallen al aangekondigd door licht gerommel in de lucht. Als men voldoende waakzaam was geweest, hadden signalen opgevangen kunnen worden. Met een aantal eenvoudige stappen wordt de kans op een geslaagde hack aanzienlijk verlaagd.

Mobiele dreiging valt niet te bagatelliseren
Gepost op: 18-8-2015 14:57:40 door Bart Verhaar

“Mobiele malware neemt wereldwijd aanzienlijk toe, maar tot op heden zijn grootschalige besmettingen in Nederland nog niet vastgesteld”, zo meldde het Nationaal Cyber Security Centrum (NCSC) vorig jaar in zijn Cybersecuritybeeld Nederland. Een vergelijkbaar geluid dook in april van dit jaar ook op in het 2015 Data Breach Investigations Report van Verizon. Het aantal kwetsbaarheden in de beveiliging van mobiele platforms waar cybercriminelen misbruik van maken, zou verwaarloosbaar zijn. In een begeleidend persbericht werd de berichtgeving over mobiele dreigingen zelfs als ‘grotendeels overdreven’ afgedaan.

Staar je niet blind op de heilige graal
Gepost op: 11-6-2015 14:44:28 door Bart Verhaar

“Als in 2015 de implementatie van een Next-Generation Firewall je belangrijkste project is, dan ben je twee jaar te laat.” Een even opvallende als verrassende uitspraak die ik eind april in de Amsterdamse RAI opving tijdens de Check Point Experience. Opvallend en verrassend omdat de organisator van dit groots opgezette evenement toch vooral bekend staat om zijn geavanceerde firewalloplossingen. Toch denk ik dat hier de spijker op de kop wordt geslagen.

Bart Verhaar, Product Manager
Gepost op: 22-4-2015 09:19:39 door Bart Verhaar, Product Manager
Tags: DLP

Data Loss/Leakage Prevention (DLP) is hot anno 2015 en staat op de agenda van menig CISO. Kort gezegd zijn hier twee redenen voor aan te wijzen. Ten eerste zijn organisaties zich steeds meer bewust van de mogelijke gevolgen van het lekken van bedrijfsgevoelige data of klantgegevens. Ten tweede dwingt zowel bestaande als nieuwe wet- en regelgeving maatregelen af ter voorkoming van datalekken en het tijdig melden ervan.

Stoere, uitdagende job
Gepost op: 13-4-2015 10:43:02 door Purdey Holleman

Er is bij bedrijven steeds meer aandacht voor informatiebeveiliging. Aan securityprofessionals de taak om de ‘BV Nederland’ te beschermen tegen de digitale vijand. Ondanks gunstige ontwikkelingen op het gebied van onderwijs merken we iedere dag dat specialistische securityprofessionals bijna niet te vinden zijn, alleen als je goed zoekt. Bij Motiv zetten we verschillende middelen in om in contact te komen met security-talenten.

Simon van den Bos
Gepost op: 11-11-2014 13:06:05 door Simon van den Bos
Tags: botnets, ddos

Cybercriminaliteit is aan de orde van de dag en kan op allerlei manieren worden uitgevoerd. Een DDoS-aanval is één van de bekendste daarvan. Hiermee zorgt een aanvaller voor een overbelasting van de internetverbinding, het netwerk, de server of de applicatie zodat (web-)applicaties niet meer beschikbaar zijn. Schakel daarom Motiv in voor een professionele bescherming van uw DDoS.

Simon van den Bos
Gepost op: 4-6-2013 10:39:33 door Simon van den Bos
Tags: antivirus, inbraakdetectie, NCSC, patch, websecurityfilters

Cyber Security krijgt veel aandacht, en terecht. Cybercriminelen hackten eerder deze maand de mailserver van de Amerikaanse televisiezender Fox21 en eisten 5.000 dollar losgeld van het bedrijf als dat weer toegang tot alle e-mails wilde. Hackers hebben drie jaar lang toegang tot de systemen van QinetiQ gehad, een Amerikaans defensiebedrijf dat geavanceerde wapenapparatuur ontwikkelt.