16. Kansen Zwakheden
- BYOD - BYOD
- First Class Services - Niet of beperkt “in Control”
- Kennis - Passwords
- Schaalgrootte - “Reach” van beveiliginsgbeleid
- Samenwerkende Communities - Afhankelijkheid van derden
Opportunities Threats
- Sandboxing - every-day 0-day
- IRMA - verscherpte regelgeving en toezicht
- Krachtenbundeling, samenwerking - ongelijkheid in technische adoptie
- Compliance Frameworks - onwetendheid
- Gebruiker wil wel maar weet niet hoe - onverschilligheid
16
17. Recente akkefietjes
• Drive-by besmettingen
– malware op nu.nl
• 0-day exploits
– gebruik Internet Explorer
• Dorifel-virus
• Een-tweetje’s
– een hack en direct publicatie buitgemaakte gegevens
– en het wordt opgepakt door de media
17
18. Compliance & Control
• CBP heeft onderzoek gedaan bij 2 Hogescholen
• Eisen van leveranciers worden scherper
– Referentie naar Normenkader HO in voorwaarden
SURFconext
• Toenemend aantal CvB’s bewust bezig met
Compliance
– Hogescholen bezig met een inhaalslag
– Ook kleine hogescholen en MBO’s
18
19. BYOD
• Ipad is veiliger dan meeste PC werkstations en
laptops!
– Sandboxing, remote beheer
• PC-werkstations zijn inherent onveilig
– als ze het internet hangen, ook al hebben ze
virusscanners, firewalls etc etc etc. Windows, Mac,
Linux
• Controle over de communicatie is essentieel
– Bluetooth, NFC, WiFi vormen risico
19
22. Vergelijking
Wetgeving EU gebaseerd EU gebaseerd federal en state
Privacy EU niveau zwaarder dan EU soms lokaal
Afgeleid van privacy
Studentgegevens uhhhhh.. Hipaa, FERPA & PCI
wetten
general auditor &
Controle via de krant? Killing!
Datainspectorate
grote instellingen zelf,
Wie de instelling de instelling
kleine door Uninett
opgelegd, state universities
Waarom mix “universiteiten zijn van opgelegd door state,
het ministerie” private zijn vrijer.
22
23. Wachtwoorden
• Passwords are broken
• Gebruikers vinden het te moeilijk om
voor verschillende toepassingen
verschillende wachtwoorden te
gebruiken
• 2012: advies aan BiZa: gebruik van
Facebook ipv Digid
23
24. Wachtwoorden...
• When every Web site requires a password, people resort to simple solutions for managing
the many login details they need to track. These easy answers are hardly the secure,
unique, and complex passwords security and IT teams hope for. As the top 3 passwords in
recent account breaches illustrates:
• The top 3 passwords from 32M leaked RockYou.com accounts were: 123456, 12345, and
123456789. (source)
• The top 3 passwords from 58k leaked Twitter accounts were: 123456, 123456789, and 102030. (
source)
• The top 3 passwords from 188k leaked Gawker Media accounts were: 123456, password, and
12345678. (source)
• The top 3 passwords from 40k leaked MySpace accounts were: password1, abc123, and
myspace1. (source)
• The top 3 passwords from 450k leaked Yahoo! accounts were: 123456, password, and welcome.
(source)
• The top 3 passwords from 4.6M leaked LinkedIn accounts were: link, 1234, and work. (source)
• The top 3 passwords from 20k leaked Billabong accounts were: billabong, 123456, and 12345. (
source)
• 2/3 of people with leaked accounts at both Sony and Gawker reused their passwords on both
sites. (source)
• bron: http://www.lukew.com/ff/entry.asp?1590 24
26. IRMA, I Reveal My Attributes
Wat wil je van me weten?
Wat is je geboortedatum?
Zeg ik niet!
Hoe oud ben je?
Zeg ik niet!
Ben je ouder dan 16?
JA!
Kun je dat bewijzen?
Ja, met mijn IRMA-card
26
27. Bottom Line
• Organisatorisch
– Get in Control! Het HO framework en normenkader is gebaseerd op
Best Practices en gaat uit van wat tenminste nodig is.
• Technisch
– Segmenteren! Stel vast wat de belangrijkste assets zijn en bewaak en
bescherm deze.
– Klaar staan voor grote en kleine incidenten
– Controleren, scannen, testen
• Naar bewust en bekwaam
• Samenwerking
– Expertise delen, incident-respons
27
Afhankelijkheid van derden: voorbeeld: veel Internet aanvallen (DOS, spam) maken gebruik van vervalste IP-afzender adressen. De meeste IP’s filteren hier niet op.
logo’s TNO, PIlab, Radboud, SURFnet toevoegen
SURF gaat zelf dit framework ook gebruiken Surf Crowd Incident Respons Team