Kennisplatform

Met onafhankelijke artikelen, interviews en video's van professionals voor professionals

RM en BCM: Wat is het verschil?

Risk Management (RM) of Risicobeheer c.q. de ingeburgerde vertaling Risicomanagement, wordt op vele manieren gedefinieerd, maar is in dit verband het best te omschrijven als ‘Activiteiten en methoden die worden gebruikt om risico's te beheersen die het vermogen om doelstellingen te bereiken kunnen beïnvloeden’. Een risico is vervolgens in dit kader ‘Het effect van onzekerheid op het behalen van doelstellingen’. Business Continuity Management (BCM) of in goed Nederlands Bedrijfscontinuïteitsbeheer, gaat over het beschermen van uw organisatie tegen de gevolgen van omvangrijke verstoringen en (on)bekende risico’s op uw vermogen om producten en diensten te kunnen leveren aan uw afnemers. Op dit ‘Platform voor organisatieontwikkeling’ is hier al meerdere malen uitgebreid aandacht aan besteed. Wat is het verschil tussen beiden en wat is de samenhang?

A confusing mix of digital incident notification laws

We note divergent digital law trends of statutory nature – many of which have been going on for some time, starting-out two or even three decades ago. Just to give an idea in an at random sequence: modernizing and extending intellectual property laws, updating penal legislation with new crimes like hacking and computer sabotage, amending the Criminal Procedure Code with extensive powers for the police and public prosecution, strengthening the legal position of the online consumer, introducing and tightening data privacy laws, adjusting evidence laws, and implementing security regulations.

Jouw bijdrage op het kennisplatform?

DeTT&CT: Mapping your Blue Team to MITRE ATT&CK™

A month ago we, Ruben and Marcus, released the first version of DeTT&CT. It was created at the Cyber Defence Centre of Rabobank, and built atop of MITRE ATT&CK. DeTT&CT stands for: DEtect Tactics, Techniques & Combat Threats. Today we released version 1.1, which contains multiple improvements: changelog. Most changes are related to additional functionality to allow more detailed administration of your visibility and detection.

By creating DeTT&CT we aim to assist blue teams using ATT&CK to score and compare data log source quality, visibility coverage, detection coverage and threat actor behaviours. All of which can help, in different ways, to get more resilient against attacks targeting your organisation.

In this blog we start off with an introduction on ATT&CK and continue with how DeTT&CT can be used within your organisation. Detailed information about DeTT&CT and how it can be used, is documented on the GitHub Wiki pages. Therefore, the explanation we give in this blog will be high-level.

Big Brown Data

Sjef kon het nog steeds niet geloven. Het was begonnen als een grap. Een melig idee. Analyse van rioolwater, om de gezondheid van de wijk te verbeteren, maar ook op individueel niveau tot inzicht en interventies te komen. Gebaseerd op het oeroude principe dat de drol de gezondheid van de mens weerspiegelt. Precies zo had hij het opgeschreven. En de stuurgroep Brainport Smart District van de gemeente Helmond had het letterlijk overgenomen in de nota van ‘Publiekrechtelijke uitgangspunten’. Inclusief de titel van zijn idee: ‘Big Brown Data’. Sterker nog, ze vonden het een fantastisch plan. Zo kregen ze Big Pharma zeker aan boord, en zou de ‘slimste wijk te wereld’ Helmond en haar bewoners veel geld opleveren. Hij had er met z’n maten in de kroeg bij een pintje nog smakelijk om gelachen.

AP verkondigt FUD over TLS

Gisteren (red. 23-04-2019) publiceerde het NCSC een nieuwe richtlijn ten aanzien het gebruik van het TLS protocol. Sommige oude protocollen worden niet meer als veilig beschouwd en de best practice is dan ook om webservers te voorzien van veilige versies van de protocollen. Vandaag meldde de Autoriteit Persoonsgegevens dat het updaten van protocollen niet zomaar een vrijblijvend advies is, nee, meldt de AP, als je niet updatet, zou je in beginsel non-compliant kunnen zijn met de #AVG.

Cyberschaap met 5 poten gezocht

Vanuit mijn werk zie ik veel van de cybersecurity-markt en haar behoefte met betrekking tot securitymensen en -diensten. Bedrijven zijn erg hard op zoek naar werknemers en consultants die ‘iets met security’ kunnen. Reden hiervoor is de wens om meer grip te krijgen op dit onderwerp wat zonder dat zij erom hebben gevraagd, een enorme rol is gaan spelen in hun business. Het issue echter met deze cybermensen, deze helden in nood, is dat zij zich over het algemeen in een aantal onderwerpen hebben gespecialiseerd en vaak niet alles kunnen. Net als ieder ander mens, zeg maar. Toch zien we vaak in aanvragen en vacatures een hele rits aan vereisten voor securitymanagement rollen die eigenlijk alle kanten op gaan qua inhoud.

De AVG: kleine ondernemers, grote problemen?

De Algemene Verordening Gegevensbescherming: we raken er maar niet over uitgepraat. Deze wet is ondertussen alweer bijna een jaar in werking en er is al veel – heel veel – over gezegd. Gelukkig is er ook al veel gedáán. Gaat dit al helemaal goed? Nee. Maar zijn er ondertussen al heel wat organisaties op weg naar het voldoen aan de AVG? Ik denk van wel, al zullen hier de meningen wellicht over verschillen. Er is in ieder geval een behoorlijke ontwikkeling gaande. Wie achter lijken te blijven in deze ontwikkeling zijn de kleine ondernemers: zelfstandigen die alleen werken of in een los netwerk samenwerken, of kleine organisaties met slechts een aantal medewerkers in dienst.

‘IBM biedt zonder toestemming fotodatabase gezichtsherkenning aan’

Het Amerikaanse technologiebedrijf IBM heeft zonder toestemming van de gefotografeerden een miljoen foto’s van fotosite Flickr gebruikt om kunstmatige intelligentie op gezichtsherkenning te trainen. Dat meldde Nu.nl op gezag van nieuwszender NBC. De dataset met foto’s en toegevoegde metadata werd eerder al door Yahoo (de eigenaar van Flickr) aangeboden, waarbij men zich beriep op de Creative Commons licentie die op de foto’s zit. IBM zag daar een mooie bron in voor een machine learning dataset, met name omdat de fotocollectie een diverser beeld van de mensheid geeft dan de typische wittemannendatasets voor dergelijke toepassingen.

Jouw bijdrage op het kennisplatform?

Rekeningrijden? Doen! Met privacy by design.

Langzaam lijkt het taboe op rekeningrijden te verdwijnen. Dat is goed nieuws, voor het klimaat (minder CO2), voor de begroting (minder asfalt), en voor de automobilist (minder files). Het wordt helemaal goed nieuws als het systeem voor rekeningrijden ook rekening houdt met de privacy. Rekeningrijden is een schoolvoorbeeld van de kracht van privacy by design. Een rechttoe rechtaan systeem van rekeningrijden waarbij de overheid alle gemaakte ritten van alle automobilisten centraal registreert en vervolgens een rekening stuurt (zeg maar een soort OV chipkaart systeem, maar dan voor auto’s) is extreem privacy onvriendelijk. Maar een zijn veel privacy-vriendelijker alternatieven ontwikkeld, door het principe van privacy by design toe te passen.

Mag je iemand er publiekelijk op wijzen dat hij heel dom privéinformatie publiceert?

“Zet nooit, maar dan ook helemaal nooit, je boardingpass op Twitter @peterverhaar. En roep al helemaal niet mensen op om het te doen.” Aldus techjournalist Daniël Verlaan op Twitter vorige week. Aanleiding was een actie van bankier Verhaar tegen de ‘klimaatterroristen’ waarbij je door een Tweet met je boardingpass laat zien dat je tegen klimaatverandering bent. Of zoiets. Bepaald handig is die oproep niet: zoals journalist Verlaan liet zien, kun je met de informatie op een boardingpass erg veel doen: “Ik weet nu naast jouw privégegevens ook de namen, e-mailadressen en telefoonnummers van je vrouw en dochter.” Maar mag je dat wel achterhalen, met die informatie?

IT testlabs for everybody!

Not too long ago I was in a SANS course, about the Critical Security Controls. More than once our teacher Russell nudged us, suggesting that “you could be applying these to your home network as well!” which brought us to the subject of testlabs. “What would make a good testlab for us?” was something asked along the way.

To sum things up: it really doesn't have to be glamorous! As long as your lab helps you experiment and learn, it's a good lab for your! So here's a few quick reminders for IT folks who would like to get their feet wet in setting up their own labs.

De functionaris voor gegevensbescherming: What’s in a name?

Organisaties hadden altijd al de mogelijkheid om een interne toezichthouder op de bescherming van persoonsgegevens aan te stellen. Zo iemand werd een functionaris voor de gegevensbescherming (FG) genoemd. De FG hield binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp). Met de komst van de Algemene verordening gegevensbescherming (AVG) zijn de taken en de positie van de FG niet wezenlijk veranderd maar meer expliciet in de wet verankerd. Wel is de naam van de toezichthouder gewijzigd in Functionaris voor gegevensbescherming. De verplichting om bij sommige organisaties een FG aan te stellen is wel nieuw. Dat verklaart de explosie aan FG’s rondom de invoeringsdatum van de AVG.

Two Factor Authentication Cross Site Request Forgery (CSRF) vulnerability (CVE-2018-20231)

At BitnessWise we recently did a review of a few Two Factor Authentication (2FA) plugins for WordPress. First we selected some candidates based on usability and free-version features and after that performed a technical review of the plugin. This revealed a vulnerability we’d like to discuss in this post for future reference and to better understand the issue.

Wat zegt de AVG over wifi-tracking?

De Autoriteit Persoonsgegevens heeft in december 2018 verduidelijkt dat het tellen van het aantal bezoekers in (semi) openbare ruimtes met behulp van trackingtechnologieën slechts onder zeer strikte voorwaarden is toegestaan. Naar aanleiding van dit bericht hebben een aantal gemeenten wifi-tracking in de binnenstad tijdelijk op stop gezet. Een trackingsbedrijf heeft ook bekend gemaakt te stoppen met het bieden van wifi-tracking als dienstverlening. Begin januari heeft een gemeente het volgen van bezoekers via wifi-tracking weer opgepakt.

Jouw bijdrage op het kennisplatform?