Met dagelijks meer dan 1 miljoen reizigers is veiligheid een belangrijk onderwerp bij en voor de NS. Met diverse maatregelen worden zowel de systemen als de passagiers beschermt tegen cyberaanvallen. Echter, cybersecurity is geen statisch vakgebied en er moeten voortdurend aanpassingen worden gedaan aan het steeds veranderende veld. Daarbij is cybersecurity niet alleen een technisch probleem, maar ook een menselijk probleem. En dit alles om een trein vol met passagiers veilig met hoge snelheid over het Nederlandse spoorwegnet te laten rijden.
Jasper Hammink vertelt over hoe de NS de spoorwegen veiliger en weerbaarder maken in het huidige digitale tijdperk.
De wereld van cybersecurity & ethisch hackenSijmen Ruwhof
Security awareness presentatie om medewerkers in een bedrijf meer bewust te maken over de gevaren van hacking, en wat zij zelf kunnen doen om het bedrijf hiertegen te beschermen.
Cyber Security - Wordt het veiliger of onveiliger? Sijmen Ruwhof
Hoorden we vroeger de term cyber security alleen als hackers een groot netwerk plat legden, tegenwoordig is het regelmatig in het nieuws. Cyber security is belangrijk en gaat ons in de ICT-branche en daarbuiten allemaal aan.
Maar wat is het nou eigenlijk? Waar staan we met cyber security? Wat gebeurt er allemaal? En: wat gaat er mis? Wat kunnen hackers?
Ethical hacker en security specialist Sijmen neemt ons mee in de wereld achter de krantenkoppen. Hij laat ons zien welke trends er in cyber security zijn en geeft een antwoord op de vraag of het veiliger of onveiliger wordt.
Meer over Sijmen Ruwhof: https://sijmen.ruwhof.net/weblog/
Bewust in een digitale wereld
In toenemende mate wordt informatie een factor van doorslaggevende betekenis voor uw onderneming. U kunt niet meer zonder ICT of het internet functioneren. Hierdoor is de kwetsbaarheid van uw onderneming toegenomen. Een gezamenlijke inspanning is nodig om het MKB hierin te begeleiden en te ondersteunen. MKB Cyber Advies Nederland doet dat.
Cyber terrorisme vormt in toenemende mate een steeds belangrijkere dreiging voor Nederlandse bedrijven en overheidsinstellingen. Wat is cyber terrorisme precies? Hebben we hier al mee te maken in de praktijk? Hoe zou dit Nederland kunnen treffen? Hoe moeten we ons erop voorbereiden en wat te doen als dit gebeurt?
De wereld van cybersecurity & ethisch hackenSijmen Ruwhof
Security awareness presentatie om medewerkers in een bedrijf meer bewust te maken over de gevaren van hacking, en wat zij zelf kunnen doen om het bedrijf hiertegen te beschermen.
Cyber Security - Wordt het veiliger of onveiliger? Sijmen Ruwhof
Hoorden we vroeger de term cyber security alleen als hackers een groot netwerk plat legden, tegenwoordig is het regelmatig in het nieuws. Cyber security is belangrijk en gaat ons in de ICT-branche en daarbuiten allemaal aan.
Maar wat is het nou eigenlijk? Waar staan we met cyber security? Wat gebeurt er allemaal? En: wat gaat er mis? Wat kunnen hackers?
Ethical hacker en security specialist Sijmen neemt ons mee in de wereld achter de krantenkoppen. Hij laat ons zien welke trends er in cyber security zijn en geeft een antwoord op de vraag of het veiliger of onveiliger wordt.
Meer over Sijmen Ruwhof: https://sijmen.ruwhof.net/weblog/
Bewust in een digitale wereld
In toenemende mate wordt informatie een factor van doorslaggevende betekenis voor uw onderneming. U kunt niet meer zonder ICT of het internet functioneren. Hierdoor is de kwetsbaarheid van uw onderneming toegenomen. Een gezamenlijke inspanning is nodig om het MKB hierin te begeleiden en te ondersteunen. MKB Cyber Advies Nederland doet dat.
Cyber terrorisme vormt in toenemende mate een steeds belangrijkere dreiging voor Nederlandse bedrijven en overheidsinstellingen. Wat is cyber terrorisme precies? Hebben we hier al mee te maken in de praktijk? Hoe zou dit Nederland kunnen treffen? Hoe moeten we ons erop voorbereiden en wat te doen als dit gebeurt?
Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...Kennisnet
Hoe denkt en werkt een hacker? Op welke manier bedreigt cybercrime de scholen? Hoe werkt ransomware en hoe gaat social engineering in zijn werk? Kan ik mijn organisatie nog wel beschermen tegen al deze zaken of zijn hackers ons altijd te slim af? Wouter Parent, ethisch hacker en cybersecurity analist, laat zien waar de kwetsbaarheden zitten en komt met tips en trucs zodat u uw organisatie beter kunt beschermen.
In een zeer praktische en laagdrempelige sessie laat Parent zien dat cybercrime dichter bij is dan u denkt. WiFi is handig, maar is het ook verstandig? En wat gebeurt er allemaal op de online zwarte markt? En natuurlijk gaat hij ook in op phishing, vishing en privacy. U heeft misschien niks te verbergen, maar u heeft altijd iets te beschermen.
Speciaal aan te raden voor beslissers. Hoe beheerst u het cyberrisico op een pragmatische en doeltreffende manier?
Over het werkworod security, de geschiedenis van werkplekbeheer en waar we nu staan met de cloud en apps.
Hoe je om gaat met IT beheer anno 2019 en de werkplek en mensen die daarbij horen.
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenB.A.
Op basis van 22 jaar praktijk-ervaring op het vlak van informatieveiligheid en privacy bij lokale besturen, maakt Jan Guldentops de rekening. Doorspekt met praktijkvoorbeelden lijst hij ongezouten op wat hij ziet goed (the good) en totaal fout (the bad) gaan en waar het volledig misgroeid is op beveiligingsvlak bij gemeentes, OCMWS en politiezones. Daarna legt hij in een paar basisstappen hoe u als openbaar bestuur dit zelf kan verbeteren en uw burgers de privacy en veiligheid geven die ze verdienen
V-ict-or Shopt-IT, Gent 26 april 2019.
Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13SURF Events
Sessieronde 1
Zaal: Veder
Titel: Gegevensbescherming voor scholen van de 21e eeuw
Sprekers: Roel Gloudemans (De Haagse Hogeschool), Ruoting Sun (Barracuda Networks)
Als er een onderwerp continu aandacht nodig heeft, dan is het wel cybersecuritybewustzijn bij gebruikers. Wachtwoorden op post-its zijn misschien verleden tijd, maar meekijkers op openbare wifi-netwerken zeker niet. Met Cybersave Yourself (CSY) kunnen onderwijs- en onderzoeksinstellingen zelf awareness-campagnes opzetten. Diverse onderwerpen op het gebied van cybersecurity en privacy zijn beschikbaar en kunnen ingezet worden. Kom naar onze sessie en we helpen u graag op weg om met CSY aan de slag te gaan!
Flexibele Organisatie | Masterclass Cloud ICT Flexibiliseer uw ICT en innoveer uw business
Sprekers: Marianne Korpershoek, Ernst-Jan Louwers, Hub Martinussen
Cloud ICT is een van de belangrijkste ICT trends. Cloud ICT biedt mooie kansen om uw organisatie meer flexibiliteit te bieden en innovatie te stimuleren. Cloud ICT is ook een containerbegrip waarover op vele manieren wordt gesproken en geschreven. In de Masterclass bieden wij u op een heldere wijze inzicht in deze ontwikkeling, maken we de vertaling naar toegevoegde waarde voor uw bedrijfsvoering en besteden we aandacht aan de juridische aspecten van Cloud ICT.
De masterclass is niet direct bedoeld voor ICT’ers maar voor beslissers die hun ICT organisatie graag willen challengen op deze trend. Vragen die aan de orde komen zijn:
Cloud ICT:
Wat is het?
Wat heb ik er aan?
Welke kans biedt Cloud ICT voor het flexibiliseren van mijn organisatie?
Cloud ICT in juridisch perspectief:
Waar zijn mijn data?
Wie is aansprakelijk voor datalekken?
What about privacy?
Hoe waarborg ik continuïteit?
Sessie Cybercrime en hackers, dat overkomt ons toch niet?_Handout tips en tri...Kennisnet
Hoe denkt en werkt een hacker? Op welke manier bedreigt cybercrime de scholen? Hoe werkt ransomware en hoe gaat social engineering in zijn werk? Kan ik mijn organisatie nog wel beschermen tegen al deze zaken of zijn hackers ons altijd te slim af? Wouter Parent, ethisch hacker en cybersecurity analist, laat zien waar de kwetsbaarheden zitten en komt met tips en trucs zodat u uw organisatie beter kunt beschermen.
In een zeer praktische en laagdrempelige sessie laat Parent zien dat cybercrime dichter bij is dan u denkt. WiFi is handig, maar is het ook verstandig? En wat gebeurt er allemaal op de online zwarte markt? En natuurlijk gaat hij ook in op phishing, vishing en privacy. U heeft misschien niks te verbergen, maar u heeft altijd iets te beschermen.
Speciaal aan te raden voor beslissers. Hoe beheerst u het cyberrisico op een pragmatische en doeltreffende manier?
Over het werkworod security, de geschiedenis van werkplekbeheer en waar we nu staan met de cloud en apps.
Hoe je om gaat met IT beheer anno 2019 en de werkplek en mensen die daarbij horen.
The good, the Bad & the Ugly : ICT-beveiliging en privacy bij lokale besturenB.A.
Op basis van 22 jaar praktijk-ervaring op het vlak van informatieveiligheid en privacy bij lokale besturen, maakt Jan Guldentops de rekening. Doorspekt met praktijkvoorbeelden lijst hij ongezouten op wat hij ziet goed (the good) en totaal fout (the bad) gaan en waar het volledig misgroeid is op beveiligingsvlak bij gemeentes, OCMWS en politiezones. Daarna legt hij in een paar basisstappen hoe u als openbaar bestuur dit zelf kan verbeteren en uw burgers de privacy en veiligheid geven die ze verdienen
V-ict-or Shopt-IT, Gent 26 april 2019.
Gegevensbescherming voor scholen van de 21e eeuw - Roel Gloudemans - OWD13SURF Events
Sessieronde 1
Zaal: Veder
Titel: Gegevensbescherming voor scholen van de 21e eeuw
Sprekers: Roel Gloudemans (De Haagse Hogeschool), Ruoting Sun (Barracuda Networks)
Als er een onderwerp continu aandacht nodig heeft, dan is het wel cybersecuritybewustzijn bij gebruikers. Wachtwoorden op post-its zijn misschien verleden tijd, maar meekijkers op openbare wifi-netwerken zeker niet. Met Cybersave Yourself (CSY) kunnen onderwijs- en onderzoeksinstellingen zelf awareness-campagnes opzetten. Diverse onderwerpen op het gebied van cybersecurity en privacy zijn beschikbaar en kunnen ingezet worden. Kom naar onze sessie en we helpen u graag op weg om met CSY aan de slag te gaan!
Flexibele Organisatie | Masterclass Cloud ICT Flexibiliseer uw ICT en innoveer uw business
Sprekers: Marianne Korpershoek, Ernst-Jan Louwers, Hub Martinussen
Cloud ICT is een van de belangrijkste ICT trends. Cloud ICT biedt mooie kansen om uw organisatie meer flexibiliteit te bieden en innovatie te stimuleren. Cloud ICT is ook een containerbegrip waarover op vele manieren wordt gesproken en geschreven. In de Masterclass bieden wij u op een heldere wijze inzicht in deze ontwikkeling, maken we de vertaling naar toegevoegde waarde voor uw bedrijfsvoering en besteden we aandacht aan de juridische aspecten van Cloud ICT.
De masterclass is niet direct bedoeld voor ICT’ers maar voor beslissers die hun ICT organisatie graag willen challengen op deze trend. Vragen die aan de orde komen zijn:
Cloud ICT:
Wat is het?
Wat heb ik er aan?
Welke kans biedt Cloud ICT voor het flexibiliseren van mijn organisatie?
Cloud ICT in juridisch perspectief:
Waar zijn mijn data?
Wie is aansprakelijk voor datalekken?
What about privacy?
Hoe waarborg ik continuïteit?
AI zal je baan niet vervangen, maar iemand die AI gebruikt wel - Marco van de...SURFevents
Door AI te omarmen kun je je eigen efficiëntie, innovatie en creativiteit verbeteren. In deze sessie laat Marco van de Werf zien hoe je met een proactieve benadering de kracht van AI kan benutten om niet alleen je carrière te beschermen, maar ook te gedijen in een wereld die steeds meer wordt aangedreven door geavanceerde technologie.
De dagelijkse puzzel van netwerkbeheer en monitoring - Jan Martijn Metselaar ...SURFevents
De dagelijkse puzzel van het borgen van netwerkdienstverlening zodat deze end-to-end werken is, een prachtige uitdaging. Hoe doen we dat in zo'n groot netwerk als dat van SURF? Wat komt erbij kijken om overzicht te bewaren? Hoe managen we al die relaties van fysieke en virtuele omgevingen?
Tijdens deze sessie vertelt Jan Martijn Metselaar over hoe tooling wordt gebruikt, wat het belang is van consistente data en welke impact nieuwe ontwikkelingen zoals netwerk functie virtualisatie hebben.
Jan Martijn Metselaar, Directeur technology bij Quanza
Endpoint Security- Dwars doormidden - Thijs van Tilborg- NWD23SURFevents
Endpoint security is meer dan alleen een virusscanner. Thijs van Tilborg, IT Architect bij Hogeschool Utrecht, onthult zijn ervaring over de overstap naar een moderne holistische aanpak. Hij legt uit hoe de Hogeschool verschillende endpoints onderkent en hoe deze aanpak de beveiliging aanzienlijk heeft verbeterd. Maar pas op, deze nieuwe benadering brengt ook uitdagingen met zich mee!
Thijs van Tilborg, IT Architect bij Hogeschool Utrecht
Forum Groningen - een ontmoetingsplaats voor iedereen - Richard de Vries- NWD23SURFevents
Het Forum in Groningen moet de nieuwe ontmoetingsplek worden van stadjers, omwonenden, studenten en toeristen. Super mooi natuurlijk, maar hoe doe je het met de ict-voorzieningen? Wifi voor studenten en portaaltoegang voor de toeristen, om maar eens twee dingen te noemen. Richard de Vries neemt je mee in de uitdagingen van zijn ict-afdeling.
Richard de Vries, ICT projectmanager bij Forum Groningen
De audiostudio's in verschillende locaties van ArtEZ zijn permanent virtueel verbonden, zodat er zonder vertraging op het netwerk onbeperkt kan worden gejamd. Bert Kremer deelt zijn ervaring met de virtuele muziekstudio van dit conservatorium.
Bert Kremer, Hoofd ICT bij Hogeschool ArtEZ University of the Arts
Topspeed wifi bij de F1 Dutch GP - Raymond Hendrix - NWD23SURFevents
Tijdens de F1 Dutch GP worden bijzonder hoge snelheden gehaald! Niet alleen op de weg maar ook op het netwerk. Raymond Hendrix neemt je mee in de wondere wereld van evenementenwifi tijdens de grand prix in Zandvoort.
Raymond Hendrix, CWNP Instructeur bij WiFi Wise International
Ontwikkelingen in internationale research en education-infrastructuur - Bram ...SURFevents
Onderwijs en onderzoek zijn internationaal georiënteerd. Het netwerk van GÉANT verbindt alle research en education-netwerken van Europa met elkaar en met de wereld. De voorbije jaren heeft GÉANT fors geïnvesteerd in samenwerking met de nationale netwerken, zoals SURF. In deze sessie krijg je een blik op hoe het nieuwe netwerk eruit ziet, waarom dat belangrijk is en wat eraan zit te komen.
Bram Peeters, Chief Network Operations Officer bij GÉANT
SURF Lego - Architecture - Peter Boers- NWD23SURFevents
Automation en orchestration hebben enorme verbeteringen gebracht in de laatste generatie van het SURF-netwerk (SURFnet8). In deze sessie praten de architecten en ontwikkelaars van het netwerk je bij over de laatste ontwikkelingen op het gebied van onze netwerkarchitectuur. Hier hoor je alles over orchestration, virtualisatie, het netwerkdashboard en automation van het campus-netwerk.
Peter Boers, Technisch Product Manager Network Orchestration bij SURF
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23SURFevents
Het campus-portfolio van SURF ontwikkelt zich tot een samenhangend geheel onder de term CNaaS (campus network as a service). In deze sessie praten onze (technisch) productmanagers je bij over de laatste ontwikkelingen van SURFwireless en SURFwired, eduroam en iotroam, de campusversie van SURFfirewall en nog veel meer.
Maurice van den Akker, Thomas Esman en Edwin Verheul, Netwerkexperts bij SURF
De (technisch) productmanagers van SURF praten je bij over de nieuwste ontwikkelingen in het portfolio van onze netwerkdiensten. Van internet en ethernet naar SURFfirewall op de border en L3VPN-oplossingen voor multicloud.
Sander Klemann, Elleke Arnold en Max Mudde, Netwerkexperts bij SURF
SURF, Hoe laat is het - Sander Klemann - NWD23SURFevents
Hey SURF, hoe laat is het? Op de nanoseconden nauwkeurig ten opzichte van UTC(NL) graag. Deze vraag kunnen we binnenkort beantwoorden met de uitkomsten van de SURFtime & frequency pilot en het White Rabbit protocol.
Onze sprekers praten je bij over de SURFtime & frequency pilot, hoe het White Rabbit protocol is ontstaan en hoe het Nikhef bijdraagt aan de internationale doorontwikkeling met onder andere de CERN. Daarnaast laten we zien hoe Astron het TFT in de praktijk gebruikt voor het synchroniseren van hun radiotelescopen.
Sander Klemann, SURF | Peter Jansweijer, Nikhef | André Gunst, Astron
TruSSD - Trust in Sharing Sensitive Data | Lucas van der Meer - SRD23SURFevents
"SURF and ODISSEI are work package leaders in a proposal that was submitted in March as part of the Horizon 2023 Work Programme. The proposal aims at streamlining the European landscape of Trusted Research Environments. It focuses on three aspects: technology, trust, and data governance. Deliverables include a TRE Interoperability Framework, TRE Building Blocks, TRE Reference Architecture, and Pre-made TRE Configurations. The proposal builds on SANE, a SURF-ODISSEI-CLARIAH project. The ultimate goal is to open-up sensitive data for transnational and transdiscipline analysis.
We want to show which challenges arise when aligning TREs on the European levels, discuss several building blocks (e.g. AAI), and show the architecture."
Quantum cryptography for researchers - Teodor Strömberg - SRD23SURFevents
The second quantum revolution is expected to bring about a plethora of new technologies, as increased control and understanding of quantum systems become possible. Quantum communication technologies offer new ways to securely exchange information, which is increasingly crucial in today's world. In this talk, we introduce emerging quantum communication technologies and explain their relevance and differences to existing communication technologies. SURF is currently evaluating the usefulness of quantum technologies for the Dutch research community, and researchers are invited to discuss potential benefits in their research and respond to an open call for proposals on quantum communication for research.
Bridging the gap: hosting Linked Open Data for researchers - Driek Heesakkers...SURFevents
The UvA/HvA Library started publishing its collection metadata as Linked Open Data (LOD) in 2021, using a data transformation pipeline and Triply SAAS instance. A pilot project investigated whether this infrastructure could host other LOD datasets. Three research datasets from CREATE initiative were published as LOD, which turned out to have significant added value for combining various data sources in SPARQL queries. The project recommends continuing this as a permanent service for UvA/HvA datasets. The presentation could also provide more context on the library's infrastructure, the three datasets, and a live demo of SPARQL queries if time allows.
Interactive and collaborative AI for biodiversity monitoring and beyond - JWK...SURFevents
ARISE is a platform for biodiversity research and AI evolution, built on open science principles to foster collaboration across institutes. We're developing an AI system to recognize all 8.7 million species on Earth, and envision our platform as a national infrastructure for open AI development. Our interactive AI training enables humans to annotate data while algorithms learn and select more meaningful data, optimizing time and improving performance.
The CAFE community: a local, inclusive programming community for researchers ...SURFevents
Learn how to start, grow, and sustain a local programming community with the CAFE (Code Along, Feel Empowered) method from programming community organizers at TU Delft, Utrecht University, and VU Amsterdam. In this interactive session, they will share their success stories and effective strategies, including the CAFE Playbook, to empower and connect researchers with coding skills, and how support staff can benefit from their research community. The session is part of the Future track, exploring tech, process, and support, and is suitable for both researchers and research support professionals. Join the discussion to learn how to create a welcoming and inclusive space for programming learning communities.
Responsible AI: the epistemology of using machine learning as a research meth...SURFevents
During a panel conversation we will dive into the impact the increased use of machine learning and AI has on doing research and the scientific method. What role do explainability and reproducibility play in doing 'good' research? In discussion with a diverse panel consisting of scientists, engineers and philosophers (hopefully, if we get all our guests to agree) we will discover what is necessary for research using AI/ML to mature into a professional and responsible practice.
Biking on the edge - Jerome Mies - SRD23SURFevents
Join the Smart Bikes project, a collaboration between HvA, Velotech Solutions and SURF, to explore the future of smart cities. By attaching small edge devices to bikes, this project is improving safety and wellbeing in cities through autonomous analysis of surroundings. The edge devices consist of an edge-computing unit with a camera and additional sensors, running complex algorithms to detect problems in real-time. The project also incorporates cloud computing and machine learning models to manage and improve the system. Join the movement towards smart-city solutions of the future and explore the possibilities of modern cloud infrastructures.
2. NS Intern
NS Intern
Even voorstellen
SURF netwerkdag: Cybersecurity met hoge snelheid
2
NS Cybersecurity
• Senior information security officer
• Teamlead Governance, Risk, Compliance
3. NS Intern
NS Intern
Agenda
■ Wat is cybersecurity?
■ Ontwikkelingen:
• Dreigingsbeeld: wat gebeurt er in de wereld?
• Wet- en regelgeving
• Digitalisering
■ Wat kunnen we doen?
• Techniek: Zero Trust
• Menselijke kant
SURF netwerkdag: Cybersecurity met hoge snelheid
3
4. NS Intern
NS Intern
Cybersecurity
■ Informatiebeveiliging (Beschikbaarheid, Integriteit, Vertrouwelijkheid)
■ Beveiliging operationele technologie
■ Governance, Risk en Compliance
■ Zorgen dat je niet gehackt wordt
SURF netwerkdag: Cybersecurity met hoge snelheid
4
9. NS Intern
NS Intern
MOVEit ransomware aanval
■ BBC
■ British Airways
■ Boots
■ EY
■ Aer Lingus
■ Shell
■ Transport for Londen
SURF netwerkdag: Cybersecurity met hoge snelheid
9
■ Landal greenparks
■ First National Bankers Bank
■ Putnam Investments
■ Johns Hopkins University
■ Government of Nova Scotia
■ US Department of Energy
13. NS Intern
NS Intern
Data Center?
SURF netwerkdag: Cybersecurity met hoge snelheid
13
Ja, en:
• Public cloud (USA!)
• SaaS diensten
• Thuis/onderweg werken
• BYOD/externen
• Business Process Outsourcing
• Data van/naar ketenpartners
• Werkplaatsen
• Treinen
14. NS Intern
NS Intern
Het datacenter op wielen
SURF netwerkdag: Cybersecurity met hoge snelheid
14
15. NS Intern
NS Intern
Agenda
■ Wat is cybersecurity?
■ Ontwikkelingen:
• Dreigingsbeeld: wat gebeurt er in de wereld?
• Wet- en regelgeving
• Digitalisering
■ Wat kunnen we doen?
• Techniek: Zero Trust
• Menselijke kant
SURF netwerkdag: Cybersecurity met hoge snelheid
15
16. NS Intern
NS Intern
Zero trust
■ Principes:
• Never trust, always verify
• Assume breached
• Least privilege
■ Gebaseerd op het ontbreken van een “intern netwerk”
SURF netwerkdag: Cybersecurity met hoge snelheid
16
17. NS Intern
NS Intern
Zero trust: verandering van insteek
SURF netwerkdag: Cybersecurity met hoge snelheid
17
internet
• Wie ben jij?
• Wat kom je doen?
• Mag je dat wel?
• Is je laptop wel up-to-
date en zonder malware?
• Waarom log je in vanuit
Rusland?
• Ben jij dat, Maksim?
internet
Bewaken van de
buitenkant
Beschermen van
belangrijkste assets
18. NS Intern
NS Intern
5 pijlers en fundering van zero trust
SURF netwerkdag: Cybersecurity met hoge snelheid
18
Bron: NIST Zero trust maturity model 2.0
19. NS Intern
NS Intern
Voorbeeld: goedkeuring inkooporder in SAP
SURF netwerkdag: Cybersecurity met hoge snelheid
19
SAP
• Users/accounts
• Rollen
• Autorisaties
Netwerk
• VPN
• Allow 10.3.54.7:443
SAP beheer Netwerk beheer
Device
• Updates
• Software
• Monitoring?
Werkplek beheer
20. NS Intern
NS Intern
Zero trust ideaal
SURF netwerkdag: Cybersecurity met hoge snelheid
20
Identity
Devices
Network
Applications
Data
Policy rule:
• Financieel medewerkers B
• Die ingelogd zijn met 2FA
• Mogen voor hun afdeling
• Vanaf een veilig device
• In SAP
• Inkooporders goedkeuren
• Tot 50.000 euro
• Die zij niet zelf hebben ingelegd
Gebruiker
Policy
decision
SAP
21. NS Intern
NS Intern
Zero trust: de gouden bergen
■ Alle data beschermd, waar die ook staat
■ Impact aanval beperkt tot die ene omgeving
■ Beter zicht op aanval
■ Dynamische toegang o.b.v. actuele situatie
• Voorbeeld: alleen beheertoegang indien open ticket
• Sneller in te grijpen bij aanval
■ Beter inzicht/overzicht
SURF netwerkdag: Cybersecurity met hoge snelheid
21
22. NS Intern
NS Intern
Wie gaat waar over en waar komt de data vandaan?
Voorbeeld: goedkeuring inkooporder in SAP
SURF netwerkdag: Cybersecurity met hoge snelheid
22
Integrale policy:
• Financieel medewerkers B
• Die ingelogd zijn met 2FA
• Mogen voor hun afdeling
• Vanaf een veilig device
• In SAP
• Inkooporders goedkeuren
• Tot 50.000 euro
• Die zij niet zelf hebben ingelegd
Rollenbeheer
IAM
HR
Werkplekbeheer
Systeemeigenaar
Manager Finance
CFO
SAP Developer
• Wie overziet deze
regel?
• Wie heeft
toegang tot
ruleset?
• Wie bewaakt de
ruleset?
23. NS Intern
NS Intern
Zero trust: gaat dat werken?
■ Policy wordt een bottleneck qua beheer
■ Toename complexiteit
■ Past de werkelijkheid wel in nette regels?
■ Vraagt samenwerking en beeld over kolommen/afdelingen heen
■ Machtsverschuiving over afdelingen
■ De oorzaken van de huidige problemen blijven spelen
■ Techniek is er nog niet
SURF netwerkdag: Cybersecurity met hoge snelheid
23
24. NS Intern
NS Intern
De menselijke factor
■ Gedrag:
• Capaciteit: gedrag kunnen vertonen
• Motivatie: gedrag willen vertonen
• Gelegenheid: omstandigheden die het gedrag mogelijk maken
■ De mens blijft een cruciale factor in onze bescherming
SURF netwerkdag: Cybersecurity met hoge snelheid
24
26. NS Intern
NS Intern
Conclusie
■ Cyberdreiging: het wordt alleen maar erger en meer
■ Hopelijk kan techniek ons helpen
■ Cybersecurity is en blijft mensenwerk
SURF netwerkdag: Cybersecurity met hoge snelheid
26