SlideShare a Scribd company logo

SURF Cybersecurity met hoge snelheid - Jasper Hammink - NWD23

S
SURFevents

Met dagelijks meer dan 1 miljoen reizigers is veiligheid een belangrijk onderwerp bij en voor de NS. Met diverse maatregelen worden zowel de systemen als de passagiers beschermt tegen cyberaanvallen. Echter, cybersecurity is geen statisch vakgebied en er moeten voortdurend aanpassingen worden gedaan aan het steeds veranderende veld. Daarbij is cybersecurity niet alleen een technisch probleem, maar ook een menselijk probleem. En dit alles om een trein vol met passagiers veilig met hoge snelheid over het Nederlandse spoorwegnet te laten rijden. Jasper Hammink vertelt over hoe de NS de spoorwegen veiliger en weerbaarder maken in het huidige digitale tijdperk.

Technology
1 of 27
Download to read offline
Cybersecurity met hoge snelheid SURF netwerkdag
NS Intern NS Intern Even voorstellen SURF netwerkdag: Cybersecurity met hoge snelheid 2 NS Cybersecurity • Senior information security officer • Teamlead Governance, Risk, Compliance
NS Intern NS Intern Agenda ■ Wat is cybersecurity? ■ Ontwikkelingen: • Dreigingsbeeld: wat gebeurt er in de wereld? • Wet- en regelgeving • Digitalisering ■ Wat kunnen we doen? • Techniek: Zero Trust • Menselijke kant SURF netwerkdag: Cybersecurity met hoge snelheid 3
NS Intern NS Intern Cybersecurity ■ Informatiebeveiliging (Beschikbaarheid, Integriteit, Vertrouwelijkheid) ■ Beveiliging operationele technologie ■ Governance, Risk en Compliance ■ Zorgen dat je niet gehackt wordt SURF netwerkdag: Cybersecurity met hoge snelheid 4
NS Intern NS Intern 5 SURF netwerkdag: Cybersecurity met hoge snelheid
NS Intern NS Intern Dreigingsbeeld ■ Statelijke actoren ■ Hacktivisten ■ Cybercriminelen SURF netwerkdag: Cybersecurity met hoge snelheid 6
NS Intern NS Intern
NS Intern NS Intern SURF netwerkdag: Cybersecurity met hoge snelheid 8
NS Intern NS Intern MOVEit ransomware aanval ■ BBC ■ British Airways ■ Boots ■ EY ■ Aer Lingus ■ Shell ■ Transport for Londen SURF netwerkdag: Cybersecurity met hoge snelheid 9 ■ Landal greenparks ■ First National Bankers Bank ■ Putnam Investments ■ Johns Hopkins University ■ Government of Nova Scotia ■ US Department of Energy
NS Intern NS Intern Dreigingsbeeld ■ Statelijke actoren ■ Hacktivisten ■ Cybercriminelen ■ Spionage ■ Sabotage ■ Beïnvloeding ■ Geld SURF netwerkdag: Cybersecurity met hoge snelheid 10
NS Intern NS Intern Explosie wetgeving en normen ■ NIS/WBNI: Wet Beveiliging Netwerk- en informatiesystemen ■ NIS2: evt. ook voor onderwijs- en onderzoeksinstellingen (eind 2024) ■ Cyber Resilience Act: cyber certificering digitale producten. Self- assessment tot 3rd party audit ■ EUCS (cloud services scheme): souvereiniteit data ■ CER (Critical Entities Resilience Directive, fysieke veiligheid) ■ Cyber Security Act (Cyber certificering) ■ Daarnaast: ISO27001 (management systeem) en IEC 62443 (OT) SURF netwerkdag: Cybersecurity met hoge snelheid 11
NS Intern NS Intern SURF netwerkdag: Cybersecurity met hoge snelheid 12
NS Intern NS Intern Data Center? SURF netwerkdag: Cybersecurity met hoge snelheid 13 Ja, en: • Public cloud (USA!) • SaaS diensten • Thuis/onderweg werken • BYOD/externen • Business Process Outsourcing • Data van/naar ketenpartners • Werkplaatsen • Treinen
NS Intern NS Intern Het datacenter op wielen SURF netwerkdag: Cybersecurity met hoge snelheid 14
NS Intern NS Intern Agenda ■ Wat is cybersecurity? ■ Ontwikkelingen: • Dreigingsbeeld: wat gebeurt er in de wereld? • Wet- en regelgeving • Digitalisering ■ Wat kunnen we doen? • Techniek: Zero Trust • Menselijke kant SURF netwerkdag: Cybersecurity met hoge snelheid 15
NS Intern NS Intern Zero trust ■ Principes: • Never trust, always verify • Assume breached • Least privilege ■ Gebaseerd op het ontbreken van een “intern netwerk” SURF netwerkdag: Cybersecurity met hoge snelheid 16
NS Intern NS Intern Zero trust: verandering van insteek SURF netwerkdag: Cybersecurity met hoge snelheid 17 internet • Wie ben jij? • Wat kom je doen? • Mag je dat wel? • Is je laptop wel up-to- date en zonder malware? • Waarom log je in vanuit Rusland? • Ben jij dat, Maksim? internet Bewaken van de buitenkant Beschermen van belangrijkste assets
NS Intern NS Intern 5 pijlers en fundering van zero trust SURF netwerkdag: Cybersecurity met hoge snelheid 18 Bron: NIST Zero trust maturity model 2.0
NS Intern NS Intern Voorbeeld: goedkeuring inkooporder in SAP SURF netwerkdag: Cybersecurity met hoge snelheid 19 SAP • Users/accounts • Rollen • Autorisaties Netwerk • VPN • Allow 10.3.54.7:443 SAP beheer Netwerk beheer Device • Updates • Software • Monitoring? Werkplek beheer
NS Intern NS Intern Zero trust ideaal SURF netwerkdag: Cybersecurity met hoge snelheid 20 Identity Devices Network Applications Data Policy rule: • Financieel medewerkers B • Die ingelogd zijn met 2FA • Mogen voor hun afdeling • Vanaf een veilig device • In SAP • Inkooporders goedkeuren • Tot 50.000 euro • Die zij niet zelf hebben ingelegd Gebruiker Policy decision SAP
NS Intern NS Intern Zero trust: de gouden bergen ■ Alle data beschermd, waar die ook staat ■ Impact aanval beperkt tot die ene omgeving ■ Beter zicht op aanval ■ Dynamische toegang o.b.v. actuele situatie • Voorbeeld: alleen beheertoegang indien open ticket • Sneller in te grijpen bij aanval ■ Beter inzicht/overzicht SURF netwerkdag: Cybersecurity met hoge snelheid 21
NS Intern NS Intern Wie gaat waar over en waar komt de data vandaan? Voorbeeld: goedkeuring inkooporder in SAP SURF netwerkdag: Cybersecurity met hoge snelheid 22 Integrale policy: • Financieel medewerkers B • Die ingelogd zijn met 2FA • Mogen voor hun afdeling • Vanaf een veilig device • In SAP • Inkooporders goedkeuren • Tot 50.000 euro • Die zij niet zelf hebben ingelegd Rollenbeheer IAM HR Werkplekbeheer Systeemeigenaar Manager Finance CFO SAP Developer • Wie overziet deze regel? • Wie heeft toegang tot ruleset? • Wie bewaakt de ruleset?
NS Intern NS Intern Zero trust: gaat dat werken? ■ Policy wordt een bottleneck qua beheer ■ Toename complexiteit ■ Past de werkelijkheid wel in nette regels? ■ Vraagt samenwerking en beeld over kolommen/afdelingen heen ■ Machtsverschuiving over afdelingen ■ De oorzaken van de huidige problemen blijven spelen ■ Techniek is er nog niet SURF netwerkdag: Cybersecurity met hoge snelheid 23
NS Intern NS Intern De menselijke factor ■ Gedrag: • Capaciteit: gedrag kunnen vertonen • Motivatie: gedrag willen vertonen • Gelegenheid: omstandigheden die het gedrag mogelijk maken ■ De mens blijft een cruciale factor in onze bescherming SURF netwerkdag: Cybersecurity met hoge snelheid 24
NS Intern NS Intern SURF netwerkdag: Cybersecurity met hoge snelheid 25
NS Intern NS Intern Conclusie ■ Cyberdreiging: het wordt alleen maar erger en meer ■ Hopelijk kan techniek ons helpen ■ Cybersecurity is en blijft mensenwerk SURF netwerkdag: Cybersecurity met hoge snelheid 26
27 Vragen?

Recommended

De wereld van cybersecurity & ethisch hacken
De wereld van cybersecurity & ethisch hackenDe wereld van cybersecurity & ethisch hacken
De wereld van cybersecurity & ethisch hackenSijmen Ruwhof
 
Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger? Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger? Sijmen Ruwhof
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductieAgentschap Innoveren & Ondernemen
 
Presentatie Menno Weij op Nationale Accountancydag 2012
Presentatie Menno Weij op Nationale Accountancydag 2012Presentatie Menno Weij op Nationale Accountancydag 2012
Presentatie Menno Weij op Nationale Accountancydag 2012Twinfield International, a Wolters Kluwer business
 
0240 Spin P Resentatie Jun 2002
0240 Spin P Resentatie Jun 20020240 Spin P Resentatie Jun 2002
0240 Spin P Resentatie Jun 2002wilmar_de_lange
 
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandB.A.
 
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)MKBcyberadvies Nederland
 
Cyber terrorisme in Nederland
Cyber terrorisme in NederlandCyber terrorisme in Nederland
Cyber terrorisme in NederlandSijmen Ruwhof
 

Recommended

De wereld van cybersecurity & ethisch hacken
De wereld van cybersecurity & ethisch hackenDe wereld van cybersecurity & ethisch hacken
De wereld van cybersecurity & ethisch hackenSijmen Ruwhof
 
Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger? Cyber Security - Wordt het veiliger of onveiliger?
Cyber Security - Wordt het veiliger of onveiliger? Sijmen Ruwhof
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductieAgentschap Innoveren & Ondernemen
 
Presentatie Menno Weij op Nationale Accountancydag 2012
Presentatie Menno Weij op Nationale Accountancydag 2012Presentatie Menno Weij op Nationale Accountancydag 2012
Presentatie Menno Weij op Nationale Accountancydag 2012Twinfield International, a Wolters Kluwer business
 
0240 Spin P Resentatie Jun 2002
0240 Spin P Resentatie Jun 20020240 Spin P Resentatie Jun 2002
0240 Spin P Resentatie Jun 2002wilmar_de_lange
 
Het begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandHet begint allemaal bij gezond verstand
Het begint allemaal bij gezond verstandB.A.
 
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)
Mkb cyber advies nederland / Presentatie Tineke Netelenbos (ECP)MKBcyberadvies Nederland
 
Cyber terrorisme in Nederland
Cyber terrorisme in NederlandCyber terrorisme in Nederland
Cyber terrorisme in NederlandSijmen Ruwhof
 
Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...
Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...
Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...Kennisnet
 
Data in de cloud door Jaap Wesselius
Data in de cloud door Jaap WesseliusData in de cloud door Jaap Wesselius
Data in de cloud door Jaap WesseliusNgi-NGN Online
 
Kansen bedreigingen in beveiliging
Kansen bedreigingen in beveiligingKansen bedreigingen in beveiliging
Kansen bedreigingen in beveiligingSURFnet
 
Nice to have, need to know computrain
Nice to have, need to know computrainNice to have, need to know computrain
Nice to have, need to know computrainComputrain
 
Security voor realisten
Security voor realistenSecurity voor realisten
Security voor realistenMark Vletter
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenB.A.
 
Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerSogeti Nederland B.V.
 
Zó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofZó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofvalantic NL
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceB.A.
 
6. Sander Speek - Scalys
6. Sander Speek - Scalys6. Sander Speek - Scalys
6. Sander Speek - ScalysDutch Power
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVJurgen van der Vlugt
 
Forensics in information security
Forensics in information securityForensics in information security
Forensics in information securityRoel Palmaers
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurB.A.
 
Werken in de cloud
Werken in de cloudWerken in de cloud
Werken in de cloudFriso van den Berg
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenB.A.
 
Digitaal veilig hv h nov 12
Digitaal veilig hv h nov 12Digitaal veilig hv h nov 12
Digitaal veilig hv h nov 12Henk van Heerde
 
Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13
Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13
Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13SURF Events
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awarenessSURFnet
 
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...Flevum
 
Hacken en datalekken, wat kun je eraan doen?
Hacken en datalekken, wat kun je eraan doen? Hacken en datalekken, wat kun je eraan doen?
Hacken en datalekken, wat kun je eraan doen? B-Mature
 
SURF Lego - SURFwired - Edwin Verheul - NWD23
SURF Lego - SURFwired - Edwin Verheul - NWD23SURF Lego - SURFwired - Edwin Verheul - NWD23
SURF Lego - SURFwired - Edwin Verheul - NWD23SURFevents
 
SURF lego- campusdiensten - iotroam - Thomas Esman - NWD23
SURF lego- campusdiensten - iotroam - Thomas Esman - NWD23SURF lego- campusdiensten - iotroam - Thomas Esman - NWD23
SURF lego- campusdiensten - iotroam - Thomas Esman - NWD23SURFevents
 

More Related Content

Similar to SURF Cybersecurity met hoge snelheid - Jasper Hammink - NWD23

Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...
Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...
Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...Kennisnet
 
Data in de cloud door Jaap Wesselius
Data in de cloud door Jaap WesseliusData in de cloud door Jaap Wesselius
Data in de cloud door Jaap WesseliusNgi-NGN Online
 
Kansen bedreigingen in beveiliging
Kansen bedreigingen in beveiligingKansen bedreigingen in beveiliging
Kansen bedreigingen in beveiligingSURFnet
 
Nice to have, need to know computrain
Nice to have, need to know computrainNice to have, need to know computrain
Nice to have, need to know computrainComputrain
 
Security voor realisten
Security voor realistenSecurity voor realisten
Security voor realistenMark Vletter
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenB.A.
 
Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerSogeti Nederland B.V.
 
Zó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofZó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofvalantic NL
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceB.A.
 
6. Sander Speek - Scalys
6. Sander Speek - Scalys6. Sander Speek - Scalys
6. Sander Speek - ScalysDutch Power
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVJurgen van der Vlugt
 
Forensics in information security
Forensics in information securityForensics in information security
Forensics in information securityRoel Palmaers
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurB.A.
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenB.A.
 
Digitaal veilig hv h nov 12
Digitaal veilig hv h nov 12Digitaal veilig hv h nov 12
Digitaal veilig hv h nov 12Henk van Heerde
 
Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13
Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13
Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13SURF Events
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awarenessSURFnet
 
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...Flevum
 
Hacken en datalekken, wat kun je eraan doen?
Hacken en datalekken, wat kun je eraan doen? Hacken en datalekken, wat kun je eraan doen?
Hacken en datalekken, wat kun je eraan doen? B-Mature
 

Similar to SURF Cybersecurity met hoge snelheid - Jasper Hammink - NWD23 (20)

Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...
Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...
Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...
 
Data in de cloud door Jaap Wesselius
Data in de cloud door Jaap WesseliusData in de cloud door Jaap Wesselius
Data in de cloud door Jaap Wesselius
 
Kansen bedreigingen in beveiliging
Kansen bedreigingen in beveiligingKansen bedreigingen in beveiliging
Kansen bedreigingen in beveiliging
 
Nice to have, need to know computrain
Nice to have, need to know computrainNice to have, need to know computrain
Nice to have, need to know computrain
 
Security voor realisten
Security voor realistenSecurity voor realisten
Security voor realisten
 
Cyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgravenCyberincidenten - Verhalen uit de loopgraven
Cyberincidenten - Verhalen uit de loopgraven
 
Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de Heer
 
Zó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proofZó maakt u uw webshop boete-proof
Zó maakt u uw webshop boete-proof
 
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/CommerceSafeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
 
6. Sander Speek - Scalys
6. Sander Speek - Scalys6. Sander Speek - Scalys
6. Sander Speek - Scalys
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdV
 
Forensics in information security
Forensics in information securityForensics in information security
Forensics in information security
 
Van brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseurVan brandweerman tot brandpreventieadviseur
Van brandweerman tot brandpreventieadviseur
 
Werken in de cloud
Werken in de cloudWerken in de cloud
Werken in de cloud
 
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenThe good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturen
 
Digitaal veilig hv h nov 12
Digitaal veilig hv h nov 12Digitaal veilig hv h nov 12
Digitaal veilig hv h nov 12
 
Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13
Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13
Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13
 
Parallelsessie awareness
Parallelsessie awarenessParallelsessie awareness
Parallelsessie awareness
 
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
 
Hacken en datalekken, wat kun je eraan doen?
Hacken en datalekken, wat kun je eraan doen? Hacken en datalekken, wat kun je eraan doen?
Hacken en datalekken, wat kun je eraan doen?
 

More from SURFevents

SURF Lego - SURFwired - Edwin Verheul - NWD23
SURF Lego - SURFwired - Edwin Verheul - NWD23SURF Lego - SURFwired - Edwin Verheul - NWD23
SURF Lego - SURFwired - Edwin Verheul - NWD23SURFevents
 
SURF lego- campusdiensten - iotroam - Thomas Esman - NWD23
SURF lego- campusdiensten - iotroam - Thomas Esman - NWD23SURF lego- campusdiensten - iotroam - Thomas Esman - NWD23
SURF lego- campusdiensten - iotroam - Thomas Esman - NWD23SURFevents
 
AI zal je baan niet vervangen, maar iemand die AI gebruikt wel - Marco van de...
AI zal je baan niet vervangen, maar iemand die AI gebruikt wel - Marco van de...AI zal je baan niet vervangen, maar iemand die AI gebruikt wel - Marco van de...
AI zal je baan niet vervangen, maar iemand die AI gebruikt wel - Marco van de...SURFevents
 
De dagelijkse puzzel van netwerkbeheer en monitoring - Jan Martijn Metselaar ...
De dagelijkse puzzel van netwerkbeheer en monitoring - Jan Martijn Metselaar ...De dagelijkse puzzel van netwerkbeheer en monitoring - Jan Martijn Metselaar ...
De dagelijkse puzzel van netwerkbeheer en monitoring - Jan Martijn Metselaar ...SURFevents
 
Endpoint Security- Dwars doormidden - Thijs van Tilborg- NWD23
Endpoint Security- Dwars doormidden - Thijs van Tilborg- NWD23Endpoint Security- Dwars doormidden - Thijs van Tilborg- NWD23
Endpoint Security- Dwars doormidden - Thijs van Tilborg- NWD23SURFevents
 
Forum Groningen - een ontmoetingsplaats voor iedereen - Richard de Vries- NWD23
Forum Groningen - een ontmoetingsplaats voor iedereen - Richard de Vries- NWD23Forum Groningen - een ontmoetingsplaats voor iedereen - Richard de Vries- NWD23
Forum Groningen - een ontmoetingsplaats voor iedereen - Richard de Vries- NWD23SURFevents
 
Grenzeloos musiceren - Bert Kremer - NWD23
Grenzeloos musiceren - Bert Kremer - NWD23Grenzeloos musiceren - Bert Kremer - NWD23
Grenzeloos musiceren - Bert Kremer - NWD23SURFevents
 
Topspeed wifi bij de F1 Dutch GP - Raymond Hendrix - NWD23
Topspeed wifi bij de F1 Dutch GP - Raymond Hendrix - NWD23Topspeed wifi bij de F1 Dutch GP - Raymond Hendrix - NWD23
Topspeed wifi bij de F1 Dutch GP - Raymond Hendrix - NWD23SURFevents
 
Ontwikkelingen in internationale research en education-infrastructuur - Bram ...
Ontwikkelingen in internationale research en education-infrastructuur - Bram ...Ontwikkelingen in internationale research en education-infrastructuur - Bram ...
Ontwikkelingen in internationale research en education-infrastructuur - Bram ...SURFevents
 
SURF Lego - Architecture - Peter Boers- NWD23
SURF Lego - Architecture - Peter Boers- NWD23SURF Lego - Architecture - Peter Boers- NWD23
SURF Lego - Architecture - Peter Boers- NWD23SURFevents
 
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23SURF Lego - Campusdiensten - Maurice van den Akker- NWD23
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23SURFevents
 
SURF Lego - Netwerkdiensten - Sander Klemann - NWD23
SURF Lego - Netwerkdiensten - Sander Klemann - NWD23SURF Lego - Netwerkdiensten - Sander Klemann - NWD23
SURF Lego - Netwerkdiensten - Sander Klemann - NWD23SURFevents
 
SURF, Hoe laat is het - Sander Klemann - NWD23
SURF, Hoe laat is het - Sander Klemann - NWD23SURF, Hoe laat is het - Sander Klemann - NWD23
SURF, Hoe laat is het - Sander Klemann - NWD23SURFevents
 
TruSSD - Trust in Sharing Sensitive Data | Lucas van der Meer - SRD23
TruSSD - Trust in Sharing Sensitive Data | Lucas van der Meer - SRD23TruSSD - Trust in Sharing Sensitive Data | Lucas van der Meer - SRD23
TruSSD - Trust in Sharing Sensitive Data | Lucas van der Meer - SRD23SURFevents
 
Quantum cryptography for researchers - Teodor Strömberg - SRD23
Quantum cryptography for researchers - Teodor Strömberg - SRD23Quantum cryptography for researchers - Teodor Strömberg - SRD23
Quantum cryptography for researchers - Teodor Strömberg - SRD23SURFevents
 
Bridging the gap: hosting Linked Open Data for researchers - Driek Heesakkers...
Bridging the gap: hosting Linked Open Data for researchers - Driek Heesakkers...Bridging the gap: hosting Linked Open Data for researchers - Driek Heesakkers...
Bridging the gap: hosting Linked Open Data for researchers - Driek Heesakkers...SURFevents
 
Interactive and collaborative AI for biodiversity monitoring and beyond - JWK...
Interactive and collaborative AI for biodiversity monitoring and beyond - JWK...Interactive and collaborative AI for biodiversity monitoring and beyond - JWK...
Interactive and collaborative AI for biodiversity monitoring and beyond - JWK...SURFevents
 
The CAFE community: a local, inclusive programming community for researchers ...
The CAFE community: a local, inclusive programming community for researchers ...The CAFE community: a local, inclusive programming community for researchers ...
The CAFE community: a local, inclusive programming community for researchers ...SURFevents
 
Responsible AI: the epistemology of using machine learning as a research meth...
Responsible AI: the epistemology of using machine learning as a research meth...Responsible AI: the epistemology of using machine learning as a research meth...
Responsible AI: the epistemology of using machine learning as a research meth...SURFevents
 
Biking on the edge - Jerome Mies - SRD23
Biking on the edge - Jerome Mies - SRD23Biking on the edge - Jerome Mies - SRD23
Biking on the edge - Jerome Mies - SRD23SURFevents
 

More from SURFevents (20)

SURF Lego - SURFwired - Edwin Verheul - NWD23
SURF Lego - SURFwired - Edwin Verheul - NWD23SURF Lego - SURFwired - Edwin Verheul - NWD23
SURF Lego - SURFwired - Edwin Verheul - NWD23
 
SURF lego- campusdiensten - iotroam - Thomas Esman - NWD23
SURF lego- campusdiensten - iotroam - Thomas Esman - NWD23SURF lego- campusdiensten - iotroam - Thomas Esman - NWD23
SURF lego- campusdiensten - iotroam - Thomas Esman - NWD23
 
AI zal je baan niet vervangen, maar iemand die AI gebruikt wel - Marco van de...
AI zal je baan niet vervangen, maar iemand die AI gebruikt wel - Marco van de...AI zal je baan niet vervangen, maar iemand die AI gebruikt wel - Marco van de...
AI zal je baan niet vervangen, maar iemand die AI gebruikt wel - Marco van de...
 
De dagelijkse puzzel van netwerkbeheer en monitoring - Jan Martijn Metselaar ...
De dagelijkse puzzel van netwerkbeheer en monitoring - Jan Martijn Metselaar ...De dagelijkse puzzel van netwerkbeheer en monitoring - Jan Martijn Metselaar ...
De dagelijkse puzzel van netwerkbeheer en monitoring - Jan Martijn Metselaar ...
 
Endpoint Security- Dwars doormidden - Thijs van Tilborg- NWD23
Endpoint Security- Dwars doormidden - Thijs van Tilborg- NWD23Endpoint Security- Dwars doormidden - Thijs van Tilborg- NWD23
Endpoint Security- Dwars doormidden - Thijs van Tilborg- NWD23
 
Forum Groningen - een ontmoetingsplaats voor iedereen - Richard de Vries- NWD23
Forum Groningen - een ontmoetingsplaats voor iedereen - Richard de Vries- NWD23Forum Groningen - een ontmoetingsplaats voor iedereen - Richard de Vries- NWD23
Forum Groningen - een ontmoetingsplaats voor iedereen - Richard de Vries- NWD23
 
Grenzeloos musiceren - Bert Kremer - NWD23
Grenzeloos musiceren - Bert Kremer - NWD23Grenzeloos musiceren - Bert Kremer - NWD23
Grenzeloos musiceren - Bert Kremer - NWD23
 
Topspeed wifi bij de F1 Dutch GP - Raymond Hendrix - NWD23
Topspeed wifi bij de F1 Dutch GP - Raymond Hendrix - NWD23Topspeed wifi bij de F1 Dutch GP - Raymond Hendrix - NWD23
Topspeed wifi bij de F1 Dutch GP - Raymond Hendrix - NWD23
 
Ontwikkelingen in internationale research en education-infrastructuur - Bram ...
Ontwikkelingen in internationale research en education-infrastructuur - Bram ...Ontwikkelingen in internationale research en education-infrastructuur - Bram ...
Ontwikkelingen in internationale research en education-infrastructuur - Bram ...
 
SURF Lego - Architecture - Peter Boers- NWD23
SURF Lego - Architecture - Peter Boers- NWD23SURF Lego - Architecture - Peter Boers- NWD23
SURF Lego - Architecture - Peter Boers- NWD23
 
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23SURF Lego - Campusdiensten - Maurice van den Akker- NWD23
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23
 
SURF Lego - Netwerkdiensten - Sander Klemann - NWD23
SURF Lego - Netwerkdiensten - Sander Klemann - NWD23SURF Lego - Netwerkdiensten - Sander Klemann - NWD23
SURF Lego - Netwerkdiensten - Sander Klemann - NWD23
 
SURF, Hoe laat is het - Sander Klemann - NWD23
SURF, Hoe laat is het - Sander Klemann - NWD23SURF, Hoe laat is het - Sander Klemann - NWD23
SURF, Hoe laat is het - Sander Klemann - NWD23
 
TruSSD - Trust in Sharing Sensitive Data | Lucas van der Meer - SRD23
TruSSD - Trust in Sharing Sensitive Data | Lucas van der Meer - SRD23TruSSD - Trust in Sharing Sensitive Data | Lucas van der Meer - SRD23
TruSSD - Trust in Sharing Sensitive Data | Lucas van der Meer - SRD23
 
Quantum cryptography for researchers - Teodor Strömberg - SRD23
Quantum cryptography for researchers - Teodor Strömberg - SRD23Quantum cryptography for researchers - Teodor Strömberg - SRD23
Quantum cryptography for researchers - Teodor Strömberg - SRD23
 
Bridging the gap: hosting Linked Open Data for researchers - Driek Heesakkers...
Bridging the gap: hosting Linked Open Data for researchers - Driek Heesakkers...Bridging the gap: hosting Linked Open Data for researchers - Driek Heesakkers...
Bridging the gap: hosting Linked Open Data for researchers - Driek Heesakkers...
 
Interactive and collaborative AI for biodiversity monitoring and beyond - JWK...
Interactive and collaborative AI for biodiversity monitoring and beyond - JWK...Interactive and collaborative AI for biodiversity monitoring and beyond - JWK...
Interactive and collaborative AI for biodiversity monitoring and beyond - JWK...
 
The CAFE community: a local, inclusive programming community for researchers ...
The CAFE community: a local, inclusive programming community for researchers ...The CAFE community: a local, inclusive programming community for researchers ...
The CAFE community: a local, inclusive programming community for researchers ...
 
Responsible AI: the epistemology of using machine learning as a research meth...
Responsible AI: the epistemology of using machine learning as a research meth...Responsible AI: the epistemology of using machine learning as a research meth...
Responsible AI: the epistemology of using machine learning as a research meth...
 
Biking on the edge - Jerome Mies - SRD23
Biking on the edge - Jerome Mies - SRD23Biking on the edge - Jerome Mies - SRD23
Biking on the edge - Jerome Mies - SRD23
 

SURF Cybersecurity met hoge snelheid - Jasper Hammink - NWD23

  • 1. Cybersecurity met hoge snelheid SURF netwerkdag
  • 2. NS Intern NS Intern Even voorstellen SURF netwerkdag: Cybersecurity met hoge snelheid 2 NS Cybersecurity • Senior information security officer • Teamlead Governance, Risk, Compliance
  • 3. NS Intern NS Intern Agenda ■ Wat is cybersecurity? ■ Ontwikkelingen: • Dreigingsbeeld: wat gebeurt er in de wereld? • Wet- en regelgeving • Digitalisering ■ Wat kunnen we doen? • Techniek: Zero Trust • Menselijke kant SURF netwerkdag: Cybersecurity met hoge snelheid 3
  • 4. NS Intern NS Intern Cybersecurity ■ Informatiebeveiliging (Beschikbaarheid, Integriteit, Vertrouwelijkheid) ■ Beveiliging operationele technologie ■ Governance, Risk en Compliance ■ Zorgen dat je niet gehackt wordt SURF netwerkdag: Cybersecurity met hoge snelheid 4
  • 5. NS Intern NS Intern 5 SURF netwerkdag: Cybersecurity met hoge snelheid
  • 6. NS Intern NS Intern Dreigingsbeeld ■ Statelijke actoren ■ Hacktivisten ■ Cybercriminelen SURF netwerkdag: Cybersecurity met hoge snelheid 6
  • 8. NS Intern NS Intern SURF netwerkdag: Cybersecurity met hoge snelheid 8
  • 9. NS Intern NS Intern MOVEit ransomware aanval ■ BBC ■ British Airways ■ Boots ■ EY ■ Aer Lingus ■ Shell ■ Transport for Londen SURF netwerkdag: Cybersecurity met hoge snelheid 9 ■ Landal greenparks ■ First National Bankers Bank ■ Putnam Investments ■ Johns Hopkins University ■ Government of Nova Scotia ■ US Department of Energy
  • 10. NS Intern NS Intern Dreigingsbeeld ■ Statelijke actoren ■ Hacktivisten ■ Cybercriminelen ■ Spionage ■ Sabotage ■ Beïnvloeding ■ Geld SURF netwerkdag: Cybersecurity met hoge snelheid 10
  • 11. NS Intern NS Intern Explosie wetgeving en normen ■ NIS/WBNI: Wet Beveiliging Netwerk- en informatiesystemen ■ NIS2: evt. ook voor onderwijs- en onderzoeksinstellingen (eind 2024) ■ Cyber Resilience Act: cyber certificering digitale producten. Self- assessment tot 3rd party audit ■ EUCS (cloud services scheme): souvereiniteit data ■ CER (Critical Entities Resilience Directive, fysieke veiligheid) ■ Cyber Security Act (Cyber certificering) ■ Daarnaast: ISO27001 (management systeem) en IEC 62443 (OT) SURF netwerkdag: Cybersecurity met hoge snelheid 11
  • 12. NS Intern NS Intern SURF netwerkdag: Cybersecurity met hoge snelheid 12
  • 13. NS Intern NS Intern Data Center? SURF netwerkdag: Cybersecurity met hoge snelheid 13 Ja, en: • Public cloud (USA!) • SaaS diensten • Thuis/onderweg werken • BYOD/externen • Business Process Outsourcing • Data van/naar ketenpartners • Werkplaatsen • Treinen
  • 14. NS Intern NS Intern Het datacenter op wielen SURF netwerkdag: Cybersecurity met hoge snelheid 14
  • 15. NS Intern NS Intern Agenda ■ Wat is cybersecurity? ■ Ontwikkelingen: • Dreigingsbeeld: wat gebeurt er in de wereld? • Wet- en regelgeving • Digitalisering ■ Wat kunnen we doen? • Techniek: Zero Trust • Menselijke kant SURF netwerkdag: Cybersecurity met hoge snelheid 15
  • 16. NS Intern NS Intern Zero trust ■ Principes: • Never trust, always verify • Assume breached • Least privilege ■ Gebaseerd op het ontbreken van een “intern netwerk” SURF netwerkdag: Cybersecurity met hoge snelheid 16
  • 17. NS Intern NS Intern Zero trust: verandering van insteek SURF netwerkdag: Cybersecurity met hoge snelheid 17 internet • Wie ben jij? • Wat kom je doen? • Mag je dat wel? • Is je laptop wel up-to- date en zonder malware? • Waarom log je in vanuit Rusland? • Ben jij dat, Maksim? internet Bewaken van de buitenkant Beschermen van belangrijkste assets
  • 18. NS Intern NS Intern 5 pijlers en fundering van zero trust SURF netwerkdag: Cybersecurity met hoge snelheid 18 Bron: NIST Zero trust maturity model 2.0
  • 19. NS Intern NS Intern Voorbeeld: goedkeuring inkooporder in SAP SURF netwerkdag: Cybersecurity met hoge snelheid 19 SAP • Users/accounts • Rollen • Autorisaties Netwerk • VPN • Allow 10.3.54.7:443 SAP beheer Netwerk beheer Device • Updates • Software • Monitoring? Werkplek beheer
  • 20. NS Intern NS Intern Zero trust ideaal SURF netwerkdag: Cybersecurity met hoge snelheid 20 Identity Devices Network Applications Data Policy rule: • Financieel medewerkers B • Die ingelogd zijn met 2FA • Mogen voor hun afdeling • Vanaf een veilig device • In SAP • Inkooporders goedkeuren • Tot 50.000 euro • Die zij niet zelf hebben ingelegd Gebruiker Policy decision SAP
  • 21. NS Intern NS Intern Zero trust: de gouden bergen ■ Alle data beschermd, waar die ook staat ■ Impact aanval beperkt tot die ene omgeving ■ Beter zicht op aanval ■ Dynamische toegang o.b.v. actuele situatie • Voorbeeld: alleen beheertoegang indien open ticket • Sneller in te grijpen bij aanval ■ Beter inzicht/overzicht SURF netwerkdag: Cybersecurity met hoge snelheid 21
  • 22. NS Intern NS Intern Wie gaat waar over en waar komt de data vandaan? Voorbeeld: goedkeuring inkooporder in SAP SURF netwerkdag: Cybersecurity met hoge snelheid 22 Integrale policy: • Financieel medewerkers B • Die ingelogd zijn met 2FA • Mogen voor hun afdeling • Vanaf een veilig device • In SAP • Inkooporders goedkeuren • Tot 50.000 euro • Die zij niet zelf hebben ingelegd Rollenbeheer IAM HR Werkplekbeheer Systeemeigenaar Manager Finance CFO SAP Developer • Wie overziet deze regel? • Wie heeft toegang tot ruleset? • Wie bewaakt de ruleset?
  • 23. NS Intern NS Intern Zero trust: gaat dat werken? ■ Policy wordt een bottleneck qua beheer ■ Toename complexiteit ■ Past de werkelijkheid wel in nette regels? ■ Vraagt samenwerking en beeld over kolommen/afdelingen heen ■ Machtsverschuiving over afdelingen ■ De oorzaken van de huidige problemen blijven spelen ■ Techniek is er nog niet SURF netwerkdag: Cybersecurity met hoge snelheid 23
  • 24. NS Intern NS Intern De menselijke factor ■ Gedrag: • Capaciteit: gedrag kunnen vertonen • Motivatie: gedrag willen vertonen • Gelegenheid: omstandigheden die het gedrag mogelijk maken ■ De mens blijft een cruciale factor in onze bescherming SURF netwerkdag: Cybersecurity met hoge snelheid 24
  • 25. NS Intern NS Intern SURF netwerkdag: Cybersecurity met hoge snelheid 25
  • 26. NS Intern NS Intern Conclusie ■ Cyberdreiging: het wordt alleen maar erger en meer ■ Hopelijk kan techniek ons helpen ■ Cybersecurity is en blijft mensenwerk SURF netwerkdag: Cybersecurity met hoge snelheid 26