Kennisplatform

Met onafhankelijke artikelen, interviews en video's van professionals voor professionals

Fighting security risks beyond the bug

Data leaks have become an all-too-common societal problem. Still, 99% of the problems do not involve scary zero-day bugs. So why is security still hard? We need to accept that technology isn’t going to save us. Rather, thinking it can, got us in this situation in the first place. We need a new way of teaching and implementing security across our organizations. I am introducing the AVA=Risk Security Model to help us get there.

Ook zonder smoking gun is twijfel over Huawei terecht

Volgens een artikel in de Volkskrant zou Huawei mogelijk betrokken zijn bij spionage op een Nederlandse telecomprovider. Het gepresenteerde bewijs en de interpretatie ervan zijn in mijn ogen mager. Er is overigens wel reden om aan Huawei te twijfelen.

Huawei zou betrokken zijn bij de hack op een in Nederland opererende telecomprovider. Via een achterdeur zijn klantgegevens gestolen en dat is volgens de definitie computervredebreuk of simpel gezegd: hacking. De AIVD zou onderzoek doen. De krant baseert zich op inlichtingenbronnen. Over het journalistieke proces is niets bekend gemaakt.

RM en BCM: Wat is het verschil?

Risk Management (RM) of Risicobeheer c.q. de ingeburgerde vertaling Risicomanagement, wordt op vele manieren gedefinieerd, maar is in dit verband het best te omschrijven als ‘Activiteiten en methoden die worden gebruikt om risico's te beheersen die het vermogen om doelstellingen te bereiken kunnen beïnvloeden’. Een risico is vervolgens in dit kader ‘Het effect van onzekerheid op het behalen van doelstellingen’. Business Continuity Management (BCM) of in goed Nederlands Bedrijfscontinuïteitsbeheer, gaat over het beschermen van uw organisatie tegen de gevolgen van omvangrijke verstoringen en (on)bekende risico’s op uw vermogen om producten en diensten te kunnen leveren aan uw afnemers. Op dit ‘Platform voor organisatieontwikkeling’ is hier al meerdere malen uitgebreid aandacht aan besteed. Wat is het verschil tussen beiden en wat is de samenhang?

Jouw bijdrage op het kennisplatform?

A confusing mix of digital incident notification laws

We note divergent digital law trends of statutory nature – many of which have been going on for some time, starting-out two or even three decades ago. Just to give an idea in an at random sequence: modernizing and extending intellectual property laws, updating penal legislation with new crimes like hacking and computer sabotage, amending the Criminal Procedure Code with extensive powers for the police and public prosecution, strengthening the legal position of the online consumer, introducing and tightening data privacy laws, adjusting evidence laws, and implementing security regulations.

DeTT&CT: Mapping your Blue Team to MITRE ATT&CK™

A month ago we, Ruben and Marcus, released the first version of DeTT&CT. It was created at the Cyber Defence Centre of Rabobank, and built atop of MITRE ATT&CK. DeTT&CT stands for: DEtect Tactics, Techniques & Combat Threats. Today we released version 1.1, which contains multiple improvements: changelog. Most changes are related to additional functionality to allow more detailed administration of your visibility and detection.

By creating DeTT&CT we aim to assist blue teams using ATT&CK to score and compare data log source quality, visibility coverage, detection coverage and threat actor behaviours. All of which can help, in different ways, to get more resilient against attacks targeting your organisation.

In this blog we start off with an introduction on ATT&CK and continue with how DeTT&CT can be used within your organisation. Detailed information about DeTT&CT and how it can be used, is documented on the GitHub Wiki pages. Therefore, the explanation we give in this blog will be high-level.

Big Brown Data

Sjef kon het nog steeds niet geloven. Het was begonnen als een grap. Een melig idee. Analyse van rioolwater, om de gezondheid van de wijk te verbeteren, maar ook op individueel niveau tot inzicht en interventies te komen. Gebaseerd op het oeroude principe dat de drol de gezondheid van de mens weerspiegelt. Precies zo had hij het opgeschreven. En de stuurgroep Brainport Smart District van de gemeente Helmond had het letterlijk overgenomen in de nota van ‘Publiekrechtelijke uitgangspunten’. Inclusief de titel van zijn idee: ‘Big Brown Data’. Sterker nog, ze vonden het een fantastisch plan. Zo kregen ze Big Pharma zeker aan boord, en zou de ‘slimste wijk te wereld’ Helmond en haar bewoners veel geld opleveren. Hij had er met z’n maten in de kroeg bij een pintje nog smakelijk om gelachen.

AP verkondigt FUD over TLS

Gisteren (red. 23-04-2019) publiceerde het NCSC een nieuwe richtlijn ten aanzien het gebruik van het TLS protocol. Sommige oude protocollen worden niet meer als veilig beschouwd en de best practice is dan ook om webservers te voorzien van veilige versies van de protocollen. Vandaag meldde de Autoriteit Persoonsgegevens dat het updaten van protocollen niet zomaar een vrijblijvend advies is, nee, meldt de AP, als je niet updatet, zou je in beginsel non-compliant kunnen zijn met de #AVG.

Cyberschaap met 5 poten gezocht

Vanuit mijn werk zie ik veel van de cybersecurity-markt en haar behoefte met betrekking tot securitymensen en -diensten. Bedrijven zijn erg hard op zoek naar werknemers en consultants die ‘iets met security’ kunnen. Reden hiervoor is de wens om meer grip te krijgen op dit onderwerp wat zonder dat zij erom hebben gevraagd, een enorme rol is gaan spelen in hun business. Het issue echter met deze cybermensen, deze helden in nood, is dat zij zich over het algemeen in een aantal onderwerpen hebben gespecialiseerd en vaak niet alles kunnen. Net als ieder ander mens, zeg maar. Toch zien we vaak in aanvragen en vacatures een hele rits aan vereisten voor securitymanagement rollen die eigenlijk alle kanten op gaan qua inhoud.

Jouw bijdrage op het kennisplatform?

De AVG: kleine ondernemers, grote problemen?

De Algemene Verordening Gegevensbescherming: we raken er maar niet over uitgepraat. Deze wet is ondertussen alweer bijna een jaar in werking en er is al veel – heel veel – over gezegd. Gelukkig is er ook al veel gedáán. Gaat dit al helemaal goed? Nee. Maar zijn er ondertussen al heel wat organisaties op weg naar het voldoen aan de AVG? Ik denk van wel, al zullen hier de meningen wellicht over verschillen. Er is in ieder geval een behoorlijke ontwikkeling gaande. Wie achter lijken te blijven in deze ontwikkeling zijn de kleine ondernemers: zelfstandigen die alleen werken of in een los netwerk samenwerken, of kleine organisaties met slechts een aantal medewerkers in dienst.

‘IBM biedt zonder toestemming fotodatabase gezichtsherkenning aan’

Het Amerikaanse technologiebedrijf IBM heeft zonder toestemming van de gefotografeerden een miljoen foto’s van fotosite Flickr gebruikt om kunstmatige intelligentie op gezichtsherkenning te trainen. Dat meldde Nu.nl op gezag van nieuwszender NBC. De dataset met foto’s en toegevoegde metadata werd eerder al door Yahoo (de eigenaar van Flickr) aangeboden, waarbij men zich beriep op de Creative Commons licentie die op de foto’s zit. IBM zag daar een mooie bron in voor een machine learning dataset, met name omdat de fotocollectie een diverser beeld van de mensheid geeft dan de typische wittemannendatasets voor dergelijke toepassingen.

Rekeningrijden? Doen! Met privacy by design.

Langzaam lijkt het taboe op rekeningrijden te verdwijnen. Dat is goed nieuws, voor het klimaat (minder CO2), voor de begroting (minder asfalt), en voor de automobilist (minder files). Het wordt helemaal goed nieuws als het systeem voor rekeningrijden ook rekening houdt met de privacy. Rekeningrijden is een schoolvoorbeeld van de kracht van privacy by design. Een rechttoe rechtaan systeem van rekeningrijden waarbij de overheid alle gemaakte ritten van alle automobilisten centraal registreert en vervolgens een rekening stuurt (zeg maar een soort OV chipkaart systeem, maar dan voor auto’s) is extreem privacy onvriendelijk. Maar een zijn veel privacy-vriendelijker alternatieven ontwikkeld, door het principe van privacy by design toe te passen.

Mag je iemand er publiekelijk op wijzen dat hij heel dom privéinformatie publiceert?

“Zet nooit, maar dan ook helemaal nooit, je boardingpass op Twitter @peterverhaar. En roep al helemaal niet mensen op om het te doen.” Aldus techjournalist Daniël Verlaan op Twitter vorige week. Aanleiding was een actie van bankier Verhaar tegen de ‘klimaatterroristen’ waarbij je door een Tweet met je boardingpass laat zien dat je tegen klimaatverandering bent. Of zoiets. Bepaald handig is die oproep niet: zoals journalist Verlaan liet zien, kun je met de informatie op een boardingpass erg veel doen: “Ik weet nu naast jouw privégegevens ook de namen, e-mailadressen en telefoonnummers van je vrouw en dochter.” Maar mag je dat wel achterhalen, met die informatie?

IT testlabs for everybody!

Not too long ago I was in a SANS course, about the Critical Security Controls. More than once our teacher Russell nudged us, suggesting that “you could be applying these to your home network as well!” which brought us to the subject of testlabs. “What would make a good testlab for us?” was something asked along the way.

To sum things up: it really doesn't have to be glamorous! As long as your lab helps you experiment and learn, it's a good lab for your! So here's a few quick reminders for IT folks who would like to get their feet wet in setting up their own labs.

De functionaris voor gegevensbescherming: What’s in a name?

Organisaties hadden altijd al de mogelijkheid om een interne toezichthouder op de bescherming van persoonsgegevens aan te stellen. Zo iemand werd een functionaris voor de gegevensbescherming (FG) genoemd. De FG hield binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp). Met de komst van de Algemene verordening gegevensbescherming (AVG) zijn de taken en de positie van de FG niet wezenlijk veranderd maar meer expliciet in de wet verankerd. Wel is de naam van de toezichthouder gewijzigd in Functionaris voor gegevensbescherming. De verplichting om bij sommige organisaties een FG aan te stellen is wel nieuw. Dat verklaart de explosie aan FG’s rondom de invoeringsdatum van de AVG.

Jouw bijdrage op het kennisplatform?