Het kabinetsbesluit over Kaspersky Lab – een reconstructie en analyse

Op 14 mei 2018 draagt het Nederlandse kabinet de Rijksoverheid op de antivirussoftware van Kaspersky Lab niet langer te gebruiken en uit te faseren. Organisaties die vallen onder Algemene Beveiligingseisen Defensie Opdrachten (ABDO) of vallen onder vitale diensten en processen krijgen het advies hetzelfde te doen. Het advies geldt niet voor andere organisaties. Ook maakt het kabinet duidelijk dat het alleen gaat om de antivirussoftware,niet om de andere producten en diensten van Kaspersky Lab. Er zijn voor het kabinet drie redenen om deze keuze te maken.

Quick Question: Hoe kun je Blue Teams effectiever en slimmer inrichten?

Marcus Bakker, CEO en Founder van MB Secure, geeft zijn kijk op Blue Teams en beantwoord de vraag hoe Blue Teams slimmer en effectiever ingericht kunnen worden. Hij geeft daarbij zijn kijk op blue teams en hoe defenders advantage ingezet kan worden tijdens de inrichting hiervan.

Gehackt door de Russen met ouderwetse wardriving

Met de recente onthulling van een spionageoperatie in het centrum van Den Haag herleven oude tijden uit de koude oorlog en de ICT. De zaak maakt snoeihard duidelijk dat het met informatiebeveiliging maar droevig gesteld is.

Toen in de jaren 90 van de vorige eeuw draadloze netwerken in opkomst waren, was het onder hackers een sport om te gaan ‘wardriven’. Met een computer, insteekmodule voor wifi en een antenne reed je door stadscentra. Je kon meeliften op de netwerken van anderen, kijken naar bestanden op computers en bij bedrijven netwerken overnemen. Het was eigenlijk te simpel.

Wordt BIO, ISO? Bij de provincies wel!

Alle provincies willen eind 2023 het ISO 27001-certificaat gehaald hebben. Daarmee tonen ze aan dat ze hun informatiebeveiliging goed op orde en onder controle hebben.

Op 12 juni stond de ISO 27001-certificering op de agenda. ‘Informatiebeveiliging krijgt steeds meer prioriteit’, licht David van der Meer toe. ‘Het kabinet legt meer druk op overheidsinstanties om dit overal op dezelfde manier te regelen. Ook de AVG die in mei van kracht ging, laat zien hoe actueel het onderwerp is. Daarom hebben provincies eind 2017 met elkaar afgesproken dat ze over 5 jaar ISO-27001 gecertifieerd willen zijn.

Moet je van het AVG-vergeetrecht je backups opschonen van oude persoonsgegevens?

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem:

Af en toe komt het – hoewel uitzonderlijk – voor dat een bedrijf te maken heeft met dataverlies. Er wordt dan tijdelijk (onlangs github iirc) of permanent (verleden jaar gitlab iirc) een backup teruggezet. Nu ben ik benieuwd wat de wet hierover te zeggen heeft.Als klant denk ik: Ik wil ook niet meer in backups voorkomen. Dit is al dan niet een smoes die ik wel eens heb gehoord als reden waarom ik na verloop van tijd weer een nieuwsbrief ontvang nadat ik me heb uitgeschreven.

Voorbij de AVG-hype. Zes tips voor 2019

Frank Koppejan, directeur Privacy Company, schreef speciaal voor AWVN een gastblog. Hij heeft zes tips voor 2019 om, na de invoering van de AVG, het privacybeleid van uw organisatie verder te verbeteren en het privacybewustzijn onder medewerkers te vergroten.

Na hard gewerkt te hebben om op 25 mei 2018 (een deel van) de privacyzaken te hebben geregeld, zijn we nu een aantal maanden verder. Zoals verwacht, is de wereld niet vergaan. Toch is het belangrijk dat het onderwerp privacy een structurele plek op de agenda krijgt bij directie en medewerkers. Niet alleen omdat de AVG dit vraagt, maar ook omdat het onderwerp dit verdient. Klanten, burgers, leveranciers en andere belanghebbenden verwachten dat u goed met hun gegevens omgaat. En als het goed is, wilt u dit zelf ook.

Jouw bijdrage op het kennisplatform?

Informeer de redactie

OPSEC for Blue Teams part 3- Sandboxes & Secure Communications

This will be the last blog in this series on OPSEC for Blue Teams. I will share some of my thoughts on sandboxes, secure communications and sharing of info & data, when dealing with a targeted attack.

OPSEC for Blue Teams part 1 - Losing Defender's Advantage can be found here.
OPSEC for Blue Teams part 2 - Testing PassiveTotal & VirusTotal can be found here.

OPSEC for Blue Teams part 2 - Testing PassiveTotal & VirusTotal

This second blog in the series on OPSEC for Blue Teams is about testing tools used to get context and/or OSINT on domains and IPs. While performing these tests it also showed results that can be interesting for Red Teams.

OPSEC for Blue Teams part 1 - Losing Defender's Advantage can be found here.

​ OPSEC for Blue Teams part 1 - Losing Defender’s Advantage

This is a three-part blog about OPSEC for Blue Teams. This first part expresses some of my ideas about the risk of alerting the adversary and OPSEC for getting OSINT and context on domains and IPs. The second part is about testing tools (I performed tests on PassiveTotal and VirusTotal) which provide context and/or OSINT in relation to OPSEC. The last part will be on sandboxes, secure communications and sharing of info & data when dealing with a targeted attack.

When talking about adversaries in this series, I mean the ones which are targeting your company. So I do not discuss a threat actor executing a malware or phishing campaign against a large and diverse group of victims. You can be less strict on following certain OPSEC rules when you know you deal with a non-targeted attack. Still, following secure practices in both cases will make sure your default behaviour is in line with good OPSEC rules.

Lang leve de makkelijke wachtwoorden!

Nieuw jaar, goede voornemens. En daar worden we aan alle kanten bij geholpen: we moeten veilige wachtwoorden gebruiken.

Ook deze week weer volop media-aandacht voor het fenomeen van de makkelijke wachtwoorden. Het meest gebruikte wachtwoord is ‘123456’ en ook ‘qwerty’ en ‘secure’. Schandalig dat mensen zo laks omgaan met hun eigen veiligheid. Ook de consumentenbond is in het geweer gekomen. Websites moeten moeilijker wachtwoorden afdwingen. Maar ook weer niet te moeilijk, want anders gaan mensen wachtwoorden toch maar vergeten...

Een rondje met de cyberwijk-agent

De wijkagent surveilleert én is er voor vragen uit de buurt. Met een licht surveille-regime; de agent is maar in z’n eentje in een best grote wijk en wandelt wat. Waar z/hij in de buurt is, wordt net iets minder door rood gefietst; en waar h/zij niet is, moet worden vertrouwd op burgertoezicht [tsja] en melding bij 112, waarop de agent zo nodig poolshoogte gaat nemen. Of als er meer aan de hand is, wordt assistentie ingeroepen, op allerlei vlak; collega’s voor wat handjes, recherche voor de post-‘mortem’ na de hack inbraak. Als er iets groters aan de hand is, werkt de wijkagent samen met z’n collega(’s) in de volgende wijk, uiteraard. Ieder z’n specialisme, qua lokale kennis. En overstijgend zijn er voor de bestrijding van serieuzere criminaliteit natuurlijk aparte, speciale teams en task forces. Maar in het algemeen is de aanwezigheid, het er zijn, van een wijkagent al voldoende preventie en signalering voor het gros van de overtredinkjes. De wijkagent kan ter plekke wel een passende oplossing vinden. En wat de agent al ziet wat privacygevoelig zou zijn… dat is ter plekke opgelost door het vertrouwen dat de burger in de agent heeft. Hopelijk.

Cloud levels the playing field

I was at the AWS Benelux Summit in The Hague last week. I particularly enjoyed Werner Vogel’s keynote speech and want to use this column to highlight three aspects of his keynote that I felt stood out.

There is no reason anymore, not to encrypt your data.

Nationale DNA-databank is wensdenken

Na de aankondiging dat Jos B. hoofdverdachte in de verkrachting en moord op Nicky Verstappen is, kwam de politiek met de oplossing. Ieders DNA moet in een database. Los van de vraag of Europese mensenrechten-wetgeving de ruimte biedt voor een DNA-databank, toont het weer een verschrikkelijk wensdenken naar een alomvattende oplossing.

Crypto currency or ads.. Do we get to choose the lesser evil?

Since a few months now, we are confronted with a new phenomenon. Websites that are mining crypto currency using javascript and thus the processor of the person visiting the website.

As usual the vendors of security products quickly jump on this band wagon to sell their goods.

Since it is my job to keep our organisation informed of emerging security threats, I’ve also been trying to determine how much we should worry about this new trend.

To be honest. I’m not really sure…

Can a hacker be a builder instead of a breaker?

It’s one of the certainties in life: when summer approaches and the large hacking conferences such as Black Hat and DEF CON are upon us, the security media starts spinning its wheels. These are the moments when the ‘celebrities’ of our field have their red carpet premiere – what kind of fascinating new research will they show? This research is of course often about some form of hacking – and that’s exactly the point I want to address. What is the point of proving something is broken? Are we over-valuing these “stunt hacks"? And would the industry as a whole not be better off if we focused a bit less on breaking things, freeing up some of our time for building and improving?