Kennisplatform

Why every company should get hacked

Did you know that, in traditional western movies, the heroic cowboy wears a white hat, while his enemy wears a black one? That’s where the expression ‘white hat hacking’ comes from. White hat hackers are the good guys. They specialise in penetration testing with the intention of alerting companies to vulnerabilities in their systems, software and networks, to pre-empt hacking attempts by an ill-intentioned individual.

Encrypted email and archiving requirements

Even though we believe that email encryption at the gateway level is the easiest way to encrypt your email, in certain situations, desktop to desktop encryption (using Outlook for example) might still be preferred. For example the email infrastructure might be completely outsourced and regulatory requirements demand that the external company should have no access to the contents of sensitive emails.

Sijmen Ruwhof vertelt over pentest (non) scoping

In deze video vertelt Sijmen Ruwhof over (non) scoping bij pentests.


Het blijft altijd weer een uitdaging, een goede scope definiëren voor een pentest. Hoe ver moet je gaan bij een pentest? Een pentest is immers toch een time-boxed exercitie. En wat neem je wel mee en wat neem je niet mee? Omdat geen omgeving hetzelfde is, wordt het moeilijk om daar standaarden voor te ontwikkelen. 

Hoe zorg je er nu écht voor dat hackers jouw software, databases, middleware, OS en verdere infra infra niet kunnen binnendringen of compromitteren? 


Sijmen vertelt in deze video dat veel pentesten in Nederland van een zeer goed niveau zijn maar dat het verschil juist zit in een goede scoping, of een "non scoping" zoals Sijmen zelf noemt. 


Kijk direct de video en ontdek hoe je echt veiliger kan worden door een goede scope te beschrijven.   

How to hack the upcoming Dutch elections and how hackers could’ve hacked Dutch elections since 2009

As everybody has read in the newspapers, the recent American elections involved multiple and severe hacking attacks. Tens of thousands of confidential and private emails from Hillary Clinton and the Democratic National Committee (DNC) were leaked via WikiLeaks. It is thought by many that this helped Trump to win the election.

Journalists from Dutch TV station RTL contacted me last week and wanted to know whether the Dutch elections could be hacked. They had been tipped off that the current Dutch electoral software used weak cryptography in certain parts of its system (SHA1).

I was stunned and couldn’t believe what I had just heard. Are we still relying on computers for our voting process?

Mark Bergman vertelt over red teaming

Mark Bergman beantwoordt in deze korte video vragen over red teaming.

Ga je bij red teaming recht op de kroonjuwelen af of komt er meer bij kijken? Wil je aan het bedrijf waar je ingehuurd bent laten zien dat je naar binnen kunt of is het van belang dat de organisatie hier van kan leren? Hoe pak je dit aan, door middel van bestaande malware of gebruik je de zwakke punten binnen de organisatie zelf? En hoe koppel je achteraf terug naar de klant hoe zij hier van kunnen leren en hier in de toekomst anders en beter mee om kunnen gaan, zodat bij een echte dreiging zaken zo goed mogelijk worden opgepakt.

Bekijk snel de video om meer te weten te komen. Veel kijkplezier!

Information Security in Project Governance: Incidents and Preventions

Worldwide there are several reasons for project start-ups, but what are the real reasons behind it. Another question to be asked here is “is there enough attention for Information Security in projects”?

The drawbacks of information security are both project and business risks. Referring to the investigation of Price Water House Cooper we may notice a 48% increasing rate of incidents, there are 117,339 Information Security incidents a day summing up to a yearly cost of 42,8 million. Additionally, the estimated damages world-wide peak to 2,7 million dollars for each incident. These figures mark a decrease of as much as 34% since last year! Thus, the urgency of companies comes down to how they can strengthen Information Security in the daily business and projects, by also eliminating ‘security leaks’ in the scope of Project Governance. Commonly Businesses do not become aware of such issues related to the Project Governance. In other words, the management becomes so occupied protecting the house and forgets the barn or even the new building in progress.

Jouw bijdrage op het kennisplatform?

Informeer de redactie

Being an agile security officer

Whenever I give a presentation, training, or just talk to security teams, it becomes clear that over the years a gap has been created between application security and development. A gap we created consciously and with intent and that became painfully visible with the introduction of Agile and DevOps. Suddenly exhaustive information security policies with checklists and penetration tests became serious impediments. The challenge we are facing now is how to bridge this gap again.

Fortunately this challenge is easier to solve as it appears to be. The key to success is to split the security officer function more Agile minded roles with different responsibilities and duties. In the coming blogs I will dive deeper into the different aspects of these roles and the differences in the responsibilities and duties. But first we need to take a little trip down to memory lane to understand how we ended up in this situation.

Cqure interview: Rickey Gevers over loopbaanontwikkeling in IT-security

Hoe kun je je loopbaan binnen information security inrichten? Van develloper tot ethical hacker naar de grote incident response klussen. Hoe ziet de weg naar een CISO eruit? Ethical hacker Rickey Gevers van RedSocks vertelt in deze video over loopbaanontwikkeling in IT-security. 

Wanneer je op jonge leeftijd al veel met de computer bezig bent, zoals gamen, website- of applicatie ontwikkeling, of nieuwsgierigheid naar hacken, is het niet gek om grote interesse te hebben in een loopbaan binnen de information security. Hoe ziet een gergelijke loopbaan ontwikkeling er uit? Rickey vertelt welke routes je kunt doorlopen, welke opleidingen je nodig hebt en hoe je nieuwe uitdagingen kunt uitgaan. 

Veel kijkplezier!

How blockchains could change the world

Ignore Bitcoin’s challenges. In this interview, Don Tapscott explains why blockchains, the technology underpinning the cryptocurrency, have the potential to revolutionize the world economy.

What impact could the technology behind Bitcoin have? According to Tapscott Group CEO Don Tapscott, blockchains, the technology underpinning the cryptocurrency, could revolutionize the world economy. In this interview with McKinsey’s Rik Kirkland, Tapscott explains how blockchains—an open-source distributed database using state-of-the-art cryptography—may facilitate collaboration and tracking of all kinds of transactions and interactions. Tapscott, coauthor of the new book Blockchain Revolution: How the Technology Behind Bitcoin is Changing Money, Business, and the World, also believes the technology could offer genuine privacy protection and “a platform for truth and trust.” An edited and extended transcript of Tapscott’s comments follows.

Business Continuity Management en het veranderende risicoprofiel

Een belangrijk onderdeel binnen het Business Continuity Management Systeem (BCMS) van een organisatie is de bedreigingenanalyse en als resultaat hiervan inzicht in de risico’s. Voorwaarde van een effectief en actueel BCMS is toch wel het minimaal één maal per jaar beoordelen van de bedreigingenanalyse. Is de kans of de impact van een bedreiging gewijzigd ten opzichte van vorig jaar of niet?

Thuiswerken met de deur op slot?

Zembla legde met haar nieuwsuitzending over het datalek bij Europol (nov 2016) de vinger op de zere plek: Een medewerker/-ster die vertrouwelijke informatie mee naar huis neemt. Als je de uitzending niet gezien hebt, dan is dat zeker de moeite waard, want het is leerzaam omdat het iedere organisatie een keer gaat overkomen.

Wil van Gemert - adjunct-directeur bij Europol - moest publieke verantwoording afleggen over wat een medewerkster in zijn organisatie had gedaan. Zij had tegen de bedrijfsregels in, zeer vertrouwelijke informatie mee naar huis genomen om verder te werken. Die bestanden kwamen thuis vervolgens op een back up apparaat terecht die via het internet bereikbaar was met credentials van de fabrieksinstelling (in de handleiding staat gebruikersnaam 'admin', wachtwoord 'admin').

Drie mogelijke privacy benaderingen waarbij encryptie een rol kan spelen

In een recent big data rapport van de WRR genaamd ‘Exploring the boundaries of big data’ wordt, in het onderdeel over encryptie, drie privacy benaderingen onderscheiden: geheimhouding en privacy, controle en privacy en praktische privacy (transparantie en feedback). Gezien de actuele onderwerpen van de afgelopen tijd van de standpunten van Trump met betrekking tot encryptie tot Google die jaren achterloopt op Apple wat betreft encryptie op Android, behandel ik in dit blog geheimhouding en privacy in het kader van privacy by design.

In deze benadering wordt het (publiekelijk) beschikbaar komen van persoonlijke informatie gezien als een ‘verlies’ van privacy en geheimhouding als een wijze om privacy te behouden of te verbeteren. Om te voorkomen dat persoonlijke informatie beschikbaar wordt voor mensen die er geen kennis van zouden mogen nemen moeten er (technische) maatregelen worden genomen. Een veelgebruikte maatregel is het gebruik van cryptografische technieken. Vanuit het individu gezien gaat privacy tegenwoordig echter minder over geheimhouding. Daarnaast moet ook verder worden gekeken dan alleen encryptie.

Digitaal recht voor IT professionals: een recensie

Ter gelegenheid van het dertigjarig jubileum van Ngi-NGN Special Interest Group IT en Recht, is recent (november 2016) de bundel 'Digitaal Recht voor IT professionals' uitgegeven waar ik graag je aandacht op wil vestigen. In een handzaam boek zijn dertig artikelen opgenomen die speciaal geschreven zijn voor de ontwikkeling van IT professionals. De rechtsontwikkelingen zijn natuurlijk niet alleen voor juristen, in ons vakgebied krijgen we er steeds meer mee te maken. Er wordt van ons verwacht dat we hier ‘ook al’ van op de hoogte zijn. 

Cyber Security: fact and fiction

When is security successful? A CIO Forum workshop with 25 CIOs, CISOs and security officers pondered the question in technology education center Technopolis in Mechelen. What are the key success factors to ensure Business Information Security? On October 25, Twenty-five security officers followed the strict academic procedure in trying to answer these questions.

Het Privacy by Design Framework: om zeker te weten dat jouw organisatie compliant is en blijft

In de Algemene Verordening Gegevensbescherming (AVG) wordt Privacy by Design (PbD) expliciet vereist bij het verwerken van persoonsgegevens. PbD betekent dat organisaties bij de ontwikkeling van (nieuwe) producten en diensten zo vroeg mogelijk aandacht besteden aan het beschermen van persoonsgegevens. Het is echter onduidelijk wanneer is voldaan aan het vereiste van PbD. Er is grote behoefte aan een praktisch hulpmiddel waarmee organisaties PbD kunnen vormgeven in nieuwe processen en diensten, en waarmee tevens de basisinformatie verkregen kan worden om te laten zien op welke wijze een organisatie compliant is.