home Pagina Producten & Diensten
Telefonische support
Training
Installatie bij de klant
Klant specifieke ontwikkeling
RMA
Waarom Compumatica?
Ervaring in de markt
Certificering
Persoonlijk contact
Speciale ontwikkeling
Support
Over ons
Bedrijfsprofiel
Bedrijfsfilosofie
Geschiedenis
Missie & Visie
Referenties
MVO
Vacatures
Cyber Security Keten
Nieuws
Beurzen
Pers publicaties
Blog

Blog

  • Beveiliging van e-mail is niet moeilijk

    toegevoegd op: 23-05-2016

    Regelmatig verschijnen er berichten in de krant over het lekken van data doordat een e-mail niet op een veilige manier is verzonden. Sinds 1 januari van dit jaar heeft de Autoriteit Persoonsgegevens (AP) de mogelijkheid om boetes op te leggen aan bedrijven (én overheden) die slordig omgaan met privacygevoelige data. Per dag worden er wereldwijd meer dan tweehonderd miljard e-mails verstuurd. Veel van deze e-mail kan onder ‘spam’ geschaard worden. Tegenwoordig zijn ook phishing e-mails erg populair. Bij phishing doet de verzender zich als een bedrijf voor en probeert u via een malafide link op te lichten. Tussen al deze e-mail vindt u dan ook nog de zakelijke mail met offertes, opdrachtbevestigingen, werktekeningen en andere bedrijfsgeheimen waarvan u als bedrijf of overheid liever niet hebt dat die op straat komen te liggen. Om te voorkomen dat iemand uw e-mail ongeoorloofd mee kan lezen, of veranderen, kunt u gebruik maken van de mogelijkheid om e-mail en bijlagen te versleutelen zodat alleen de ontvanger(s) met de juiste sleutel deze kunnen lezen. E-mail kan, vanaf het ‘enduser device’ (bijvoorbeeld een laptop), versleuteld worden met een certificaat (S/MIME, OpenPGP). Voor niet-zakelijk gebruik is dit een bruikbare oplossing, voor zakelijk gebruik kleven daar echter de nodige nadelen aan. Nadelen encryptie In zakelijke omgevingen wordt over het algemeen gebruik gemaakt van e-mail servers waar alle inkomende en uitgaande e-mail wordt ontvangen, verstuurd, opgeslagen en worden er back-ups gemaakt. Indien je vanaf het enduser device de e-mail gaat encrypten, zal deze encrypt op de mailserver komen te liggen. Als de betreffende medewerker de organisatie verlaat en het certificaat wordt meegenomen of ongeldig gemaakt (Revoke) dan is de mail op de server niet meer terug te lezen. Daarmee voldoet het bedrijf niet aan de wettelijke eis dat de mail gedurende een bepaalde periode (vijf jaar) bewaard en gereproduceerd moet kunnen worden. Het tweede nadeel is dat het bedrijf het toepassen van encryptie niet automatisch kan afdwingen omdat de medewerker dat zelf bepaalt. Meest eenvoudige oplossing De meest ideale oplossing voor bedrijven en (overheids)instellingen bestaat uit een oplossing die automatisch aan de hand van de bedrijfspolicies bepaalt of een e-mail wel of niet versleuteld moet worden. Dit kan bereikt worden met een e-mail gateway die achter de mailserver in het netwerk wordt geplaatst. De bedrijfspolicies worden omgezet naar regels(rules) en in de rulebase ingevoerd. Deze rulebase zorgt voor de juiste afhandeling zonder dat de verzender daar enige notie van heeft. Alle e-mail die op deze manier wordt verstuurd is nog altijd leesbaar (onversleuteld) aanwezig op de mailserver en in de back-ups. Ook in het geval van 'hosted e-mail' kan men een e-mail gateway inzetten, de mails van en naar de cloud worden dan omgeleid naar een zogenaamde ‘on premisse’ gateway die zorg draagt voor de versleuteling. De e-mails en bijlagen liggen onversleuteld op de mailservers (en back-ups) van de cloud dienstverlener. Kleinere ondernemingen met weinig medewerkers kunnen gebruik maken van de mail encryptie services van een Nederlands hostingbedrijf. De e-mail gateway die hier is beschreven is een product van een bekende Nederlandse cryptofabrikant die ook de ondersteuning vanuit Nederland levert. Er is directe toegang tot kennis, updates en upgrades en vooral: Geen achterdeurtjes! Wereldwijd maken al honderden klanten gebruik van deze oplossing, waarom u nog niet?
    >> Lees meer
  • Twaalf voorspellingen voor 2016

    toegevoegd op: 21-12-2015

      Onze collega Ad Koolen (Government Crypto Specialist) blikt Ad vooruit op het jaar 2016 en doet daarbij twaalf voorspellingen.  1. Groei cybersecurity-start-ups piepend tot stilstand De afgelopen jaren zagen we bedrijven hun focus verleggen van min of meer standaard it-security oplossingen naar de sexy omgeving van cybersecurity-oplossingen. Aangespoord door deze trend zagen we veel starters met nieuwe producten die in de basis eigenlijk allemaal hetzelfde doen, veel beloven, weinig oplossen. We kunnen hier welhaast spreken van een 'cybersecurity-bubbel', die op het punt staat om langzaam leeg te lopen in plaats van te knappen, zoals we de 'internet-bubbel' hebben zien knappen in 2001/2002. Gerenommeerde it-bedrijven plukken de kleinere start-ups, die een echt onderscheidend idee hebben uitgewerkt in een product of oplossing, van de markt en versterken daarmee hun positie. 2. Internet of things Het internet der dingen (IoT) zal een explosieve groei gaan doormaken in 2016 waaraan vooral de Chinese fabrikanten van goedkope sensoren en speelgoed veel zullen verdienen. Een waarschuwing is hier op zijn plaats. Doordat de concurrentie hevig zal zijn, wordt security een ondergeschoven kindje, waardoor de internetveiligheid in zijn geheel ernstig zal worden aangetast. 'Security by design' is iets waar deze (speelgoed)fabrikanten geen boodschap aan hebben.  3. Wet op Datalekken Per 1 januari wordt deze wet van kracht in Nederland en zal het College Bescherming Persoonsgegevens (CBP) onder een andere naam verdergaan, namelijk Autoriteit Persoonsgegevens. Hiermee is de naam in lijn met de andere toezichthouders van de overheid zoals ACM, AFM. De impact van deze wet is voor het merendeel van bedrijven niet duidelijk, ook doordat ze er zich nog niet in hebben verdiept. Voor zover ik het nu kan overzien zal dit gaan leiden tot een aantal zaken, die breed zullen worden uitgemeten in de pers en pas dan doordringen tot het bedrijfsleven.Vanaf deze plek wil ik bedrijven een handje helpen door te verwijzen naar de website van het CIP waar een goede uitleg is te vinden over wat je wel en niet kunt doen met persoonsgegevens en wat persoonsgegevens zijn. Wist je dat de combinatie van een naam en het merk en type van zijn auto, privacygevoelige informatie is? Kijk ook eens naar de contactenlijsten van je medewerkers in Outlook. Gebruik je een excelsheet met klantinformatie? Stuur je weleens een e-mail met bijlage van adresgegevens? Afijn, om een lang verhaal kort te maken, neem je data eens onder de loep en vraag jezelf af: 'Is het nodig dat ik al deze informatie op mijn pc of server heb staan'. 4. Vrouwen aan de leiding in IT-bedrijven De Nederlandse overheid wil meer vrouwen in de boardroom. Tot nu toe wordt dat op alle fronten aangemoedigd maar er worden ook geluiden gehoord uit de Tweede Kamer over het verplichten van een zeker quotum voor de grotere bedrijven. Vrouwen in it is nog steeds een schaars verschijnsel. We kennen in Nederland gelukkig een groep die zich daarvoor inzet, dat is de WiCS, Women in Cyber Security. In 2016 zullen zij zich nog meer gaan profileren, dat begint al op Nyenrode op 7 januari 2016 waar zij te gast zullen zijn op een speciale roundtable van DCWC, Dutch Cyber Warfare Community en Nyenrode op hun jaarlijkse Cyber roundtable. 5. Buitenlandse overnames van Nederlandse IT-bedrijven Nederland is nog steeds interessant voor buitenlandse investeerders en bedrijven. De belasting kan nog steeds op een 'prettige' manier worden geregeld. Afgelopen jaar zagen we al dat Microsoft en Google gigantische datacenters in ons land bouwen. Dit zal zich in 2016 voortzetten door de komst van nog meer buitenlandse bedrijven. We zagen ook dat een gerenommeerd Nederlands it-security bedrijf (Fox-IT) is overgenomen door een Engels bedrijf. Dit betekent dat de Nederlandse overheid nu nog maar gebruik kan maken van één 100 procent Nederlandse crypto-fabrikant (Compumatica) die de overheidsbelangen behartigt.  6. Nog grotere overnames en samensmeltingen Wereldleiders op het gebied van it-oplossingen slaan de handen ineen of nemen de hele zaak over. Dit zagen we gebeuren met EMC die door Dell van de markt wordt afgekocht. Naar verluidt heeft Apple een oogje laten vallen op Tesla (accu techniek) en Microsoft wil BlackBerry inlijven (vanwege de patenten). 7. Prestigieuze hacks In 2016 zullen we het gaan meemaken: een enorme hack op een groot it-bedrijf. Hackers willen laten zien dat ze er zijn en binnen hun community waardering zoeken. Het ultieme doel is de hack op een groot it-bedrijf zoals Cisco, Intel, EMC of Juniper. 8. Nederlands voorzitterschap EU De Nederlandse overheid moet zich voorbereiden op het voorzitterschap en zal veel data moeten delen met andere Europese landen en de Europese Unie (EU). De beveiliging van de it speelt hierbij een belangrijke rol. Doordat Nederland, en met name de gemeente Den Haag, uitdraagt dat Nederland een Cybersecurity kenniscentrum (HSD, The Hague Security Delta) is, dient dit te worden waargemaakt gedurende de zes maanden dat Nederland voorzitter is. Het voorzitterschap kan voor Nederlandse it-security-bedrijven een positieve ontwikkeling met zich meebrengen. 9. Groene IT en verkleining De trend om het verbruik van it-middelen terug te dringen, zal zich nog verder doorzetten en resulteren in krachtige en zeer kleine oplossingen. De micro-sd-kaart zal zich nog verder ontwikkelen en zal worden toegepast in allerlei apparatuur. De rol van de traditionele harddisk zal verder worden teruggedrongen door flashdisks die goedkoper zullen worden, minder verbruiken en supersnel zijn. RaspBerry PI-achtigen worden het hart van bijvoorbeeld laptops die, uitgerust met microbeeldscherm, superlicht kunnen worden. 10. Autonoom opererende vervoermiddelen op alternatieve energie Elektrische auto’s breken maar moeilijk door als de overheid daar geen subsidie op geeft. Het grootste nadeel voor de zakelijke rijder is hem gelegen in de actieradius, vaak niet meer dan enkele honderden kilometers. De ontwikkeling van accu’s zal kunnen bijdragen tot het verhogen van de actieradius, waar je moet denken aan zo’n achthonderd kilometer op één lading om het interessant genoeg te maken voor zakelijk gebruik. Voor de particuliere autobezitter is de prijs van deze auto’s veelal niet haalbaar. Zij zullen wel meer elektrische fietsen gaan aanschaffen. Autonomie in de auto (zelfrijdend) zal verder worden doorontwikkeld, waarbij we 'Kit'-achtige oplossingen zien verschijnen. Audi experimenteert bijvoorbeeld al met een auto die je aan de ingang van een parkeergarage kunt achterlaten, waarna hij zelf een geschikte parkeerplaats zoekt en zichzelf inparkeert. Bij terugkomst kun je bij de ingang je auto 'oproepen', die dan naar je toe komt zodat je verder kunt reizen. Alternatieve energievormen zullen er voor moeten zorgen dat er voldoende energie op het vaste net zit om al die voertuigen op te laden (vooral 's nachts) en er geen extra kolencentrales nodig zijn. 11. E-mail beveiliging Bedrijven die zich toeleggen op de beveiliging van je e-mail zullen garen spinnen in 2016. We kennen oplossingen die beschermen tegen spam en virus en dit ook al vanuit de cloud kunnen (bijvoorbeeld Barracuda). Zelfs Gmail- en Outlook-accounts kunnen zich hiermee beschermen. Voor het beveiligen van je e-mail en bijlagen kan gebruik worden gemaakt van e-mail-encryptie, waar een uitstekend Nederlands product voor te krijgen is (Compumail Gateway). Zo kan jouw e-mail onderweg niet meer worden mee-gelezen of veranderd. 12. Groeimarkt Ook in 2016 zal China de grootste groeimarkt blijven met naar schatting een groei van 6 tot 8 procent. Dit heeft een directe impact op de beschikbaarheid van grondstoffen. Deze zullen nodig zijn om China te kunnen laten groeien, waardoor er elders tekorten zullen ontstaan. Op het vlak van CO2 uitstoot zal China de grootste vervuiler zijn. Oliemaatschappijen zullen nog meer onrendabele oliewingebieden/-velden moeten sluiten omdat er verlies op wordt gedraaid. Ze zullen zich meer en meer gaan toeleggen op alternatieven om ervoor te zorgen dat ze een bepaalde footprint houden in de energiewereld. Volgens schattingen zullen de olieprijzen in 2016 weer stijgen met 20 procent tot 55 dollar per vat.
    >> Lees meer
  • Alléén zo weet u dat niemand met uw data meekijkt

    toegevoegd op: 10-09-2015

    Sinds de Snowden onthullingen laait de discussie over (on)gericht tappen van data elke keer weer op. Eerst waren het alleen de Amerikanen, toen kwamen de Britten erbij en vervolgens werd ook bekend dat de Duitsers zich schuldig hebben gemaakt (en maken?) aan breed aftappen van data. Wij kunnen wel raden dat andere landen zich ook schuldig maken aan (inter) nationale spionage en dat brengt ons des te meer bij de grote hamvraag:  ‘Wie kunnen we nog vertrouwen’ Via ontelbaar veel netwerkkabels is de wereld met elkaar verbonden, deze verbindingen lopen via zogenoemde hubs ofwel ‘Internet Exchange Points’. Dit zijn vaak zeer grote knooppunten die duizenden Gigabytes per seconde verwerken. De Amsterdam Internet Exchange is met bijna 2.300 Gbit/s het grootste knooppunt ter wereld dat wordt uitgevoerd in één land. Amsterdam is het af- en aanvoerpunt van Europa naar het Verenigd Koninkrijk en de Verenigde Staten. Als het aan minister Plasterk en Hennis-Plasschaert ligt, krijgen de AIVD en MIVD meer bevoegdheden om data af te tappen. Zij hebben daarvoor een wetsvoorstel ingediend, wat inhoud dat ze grootschalig het internet kunnen afluisteren, er is echter wel toestemming van een rechter nodig om dit te mogen doen. Een groot deel van deze kabels zijn eigendom van Amerikaanse bedrijven en moeten voldoen aan de Amerikaanse wetgeving. Met de nieuwe FREEDOM act, mag de Amerikaanse overheid de communicatie tussen Amerikaanse burgers onderling, zonder tussenkomst van de rechter, niet meer afluisteren. Voor communicatie tussen twee buitenlanders of één Amerikaan en een buitenlander, geldt deze restrictie niet. Bovendien hoeven de Amerikaanse veiligheidsdiensten geen toestemming van de rechter hiervoor te krijgen. In de beginjaren van het internet tijdperk kon men data alleen ‘fysiek’ aftappen. Tegenwoordig kan men al via zogenoemde lichtbundels de data ‘onzichtbaar’ tappen. Het bericht wordt niet gemodificeerd en bovendien merkt noch de ontvanger noch verzender er iets van. Een overheid zal de verkregen data gebruiken om risicoprofielen op te maken, maar een crimineel zal een ander doel hebben. Specialisten schatten dat de schade door economische spionage een kostenpost van €15 miljard Euro per jaar met zich brengt. De verwachting is ook dat dit bedrag in de komende jaren alleen maar gaat stijgen. Hier gaat het niet om geld verkregen uit ransomware of phishing berichten, maar om de schade die een bedrijf oploopt als vertrouwelijke informatie wordt gestolen. Om ervoor te zorgen dat zulke informatie geheim blijft en afgeschermd wordt voor criminelen en overheden is het verstandig om de data te versleutelen. Wij, van Compumatica, kunnen u daar uitstekend mee helpen. Met onze eigen CryptoGuard VPN familie weet u zeker dat niemand met uw data kan mee kijken. Wij staan voor u klaar!
    >> Lees meer
  • Privacy op het internet, wat is er over mij te vinden?

    toegevoegd op: 27-07-2015

    Gisteren tijdens de lunch kwam het gesprek op het delen van vakantie foto’s via social media. Bij een kennis van een collega was het hele huis leeggehaald, nadat hij een vakantie foto op Twitter had geplaatst. Criminelen hebben die foto waarschijnlijk op Twitter gevonden en zijn daarna gaan zoeken naar zijn gegevens. Dat was voor mij een trigger om op zoek te gaan naar publieke informatie over mij en kwam erachter dat allerlei gegevens voor het oprapen liggen. Dankzij de combinatie van mijn woonplaats en achternaam had ik binnen de minuut mijn volledige adres gegevens gevonden. Het ramp scenario met de vakantie foto’s zou mij dus ook kunnen overkomen, ten minste als ik dit deel op social media. Veel mensen zullen nu denken dat het natuurlijk ook oerdom is om zulke foto’s op het internet te plaatsen, maar wat ze niet beseffen is dat er al veel publieke informatie over een persoon op het internet te vinden is. Hoe onschuldig deze informatie zoals een geboortedatum, naam van de werkgever of adresgegeven ook zijn, organisaties gebruiken deze wel om te controleren of ze met de juiste persoon te maken hebben. Vaak zijn de gegevens op het internet te vinden en daarmee kan er bijvoorbeeld identiteitsfraude plaatsvinden. Wilt u testen wat er over u op het internet is te vinden? Pak een pen en papier en schrijf op welke informatie over u op het internet te vinden is. Vraag vervolgens een collega, vriend of kennis om vijf minuten te zoeken naar alle mogelijke informatie op het internet over u. Vraag na afloop zijn blaadje en ga het vergelijken met uw verwachtingen? Klopt het of is er toch meer over u bekend dan u vooraf had gedacht?
    >> Lees meer
  • Onveiligheid e-mail wordt praktijk ervaring

    toegevoegd op: 19-05-2015

    Regelmatig tonen wij aan geïnteresseerden de risico’s van e-mails in een demo omgeving. De inhoud is leesbaar, veranderbaar en censuureerbaar door iedereen die de e-mail kan onderscheppen. Tevens is het mogelijk om de naam van afzender aan te passen en deze te misbruiken. Veel IT managers zijn zich bewust van de theoretische mogelijkheid dat een e-mail onderweg onderschept kan worden, maar achten het risico dat dit binnen hun organisatie gebeurt gering. In de Britse media duiken de laatste tijd steeds meer berichten op dat fraudeurs dankbaar gebruik maken van de onveiligheid die e-mail biedt. Britse gevangene ontsnapt dankzij een e-mail Een Britse gedetineerde die een gevangenisstraf kreeg opgelegd vanwege fraude met e-mails, wist op originele wijze te ontsnappen uit de gevangenis. In plaats van de tralies door te zagen of een gat te graven, wist de man vrij te komen dankzij een e-mail. De gedetineerde stuurde via een, binnengesmokkelde, telefoon een e-mail die afkomstig leek te zijn van het openbaar ministerie naar de gevangenis directeur. In de e-mail werd verzocht tot onmiddellijke vrijlating van de gedetineerde. De directeur kreeg geen argwaan, omdat niet alleen het e-mail adres maar ook de lay-out er hetzelfde uitzag als dat van het openbaar ministerie.  Enkele uren later werd de gedetineerde vrij gelaten en pas drie dagen later werd de ontsnapping ontdekt, doordat de advocaat op bezoek ging bij zijn cliënt. Uiteindelijk toonde de gedetineerde berouw en meldde zichzelf weer bij de gevangenis.1 Bijna een ton verdwenen naar wisseltruc in e-mail Een Brits gezien had haar huis verkocht en het geld stond klaar om overgemaakt te worden. Een advocatenkantoor regelde de betaling en verzocht het Britse gezin in een e-mail om de juiste rekeninggegevens. Deze werden keurig per e-mail toegestuurd, maar kort erna ontving het advocatenkantoor een nieuwe e-mail. In deze e-mail stond het verzoek om de vorige mail als ‘niet verzonden te beschouwen’ en werd er een nieuw rekeningnummer gestuurd. Beide e-mails leken afkomstig te zijn van het gezin, maar in werkelijkheid is de 2e e-mail door een hacker gestuurd. Het advocatenkantoor voerde geen extra controle uit en maakte €460.000 euro over. Een aantal dagen later nam het gezin contact op met het advocatenkantoor over de betaling en kwam de fraude aan het licht. Zowel de bank als de politie werden direct ingeschakeld, maar beide konden niet voorkomen dat er al €85.000 van de rekening was afgehaald. Het gezin stelde het advocatenkantoor aansprakelijk en werden door de toezichthouder in het gelijk gesteld. Het advocatenkantoor deed een poging om het bedrag via de bank terug te krijgen, maar zij ontkennen elke aansprakelijkheid. Dankzij een slimme hacker en een onvoorzichtige medewerker is het advocatenkantoor nu €85.000 lichter.2 Top van de ijsberg Beide nieuwsberichten zijn schrijnende gevallen over de gevaren die e-mail met zich mee brengt. In het geval van het advocatenkantoor gaat het om financiële schade, maar dat een gedetineerde zijn vrijlating per e-mail kan ‘regelen’ is ontoelaatbaar. Uit eerdere nieuwsberichten en ervaringen blijkt dat dit nieuws niet op zich zelf staat en dat het slechts een topje van de ijsberg is. Toch lijken veel organisaties af te wachten, tot het te laat is. Beide nieuwsberichten laten andermaal zien dat de theoretische mogelijkheid om een e-mail te onderscheppen en te manipuleren steeds vaker in de praktijk wordt toegepast, met alle gevolgen van dien. Een gewaarschuwd man telt voor twee, zeggen ze dan… 1 http://www.nu.nl/opmerkelijk/4022343/britse-gevangene-ontsnapt-sturen-nep-mail.html  2 https://www.security.nl/posting/428884/Criminelen+stelen+460_000+euro+via+e-mailhack
    >> Lees meer
  • Mag de staat met advocaten meelezen en afluisteren?

    toegevoegd op: 24-04-2015

    Sinds de onthullingen van Edward Snowden heerst er veel onrust over de afluister- en meelees praktijken door nationale overheden. Wat zijn de rechten en plichten van de overheid en worden deze wel nageleefd? Het zijn enkele vragen waar het advocaten kantoor Prakken d’ Oliveira antwoord op hoopt te krijgen. Prakken d’ Oliveira is een advocaten kantoor dat onder andere cliënten bijstaat die verdacht worden van terrorisme. In december 2014 werd bekend dat het advocaten kantoor jarenlang stelselmatig was afgeluisterd door de AIVD. Daarop diende Prakken d’ Oliveira een klacht in bij Binnenlandse Zaken. Deze klacht werd gedeeltelijk gegrond verklaard, maar dat was voor het advocaten kantoor niet voldoende. Op 22 april jongstleden maakte Prakken d’ Oliveira en de Nederlandse Vereniging van Strafrecht Advocaten (NVSA) bekend dat ze een kort geding tegen de staat gaan aanspannen. In het kort geding willen ze bewerkstellingen dat de AIVD onmiddellijk stopt met het afluisteren en meelezen van advocaten. Wanneer mag de staat van iemand zijn e-mail meelezen of zijn telefoon gesprekken tappen?Op de website van de Nederlandse politie staat het volgende geschreven1: “Het Openbaar Ministerie en de inlichtingen- en veiligheidsdiensten mogen onder strikte voorwaarden openbare communicatienetwerken en diensten aftappen. Dit gebeurt om criminele of terroristische activiteiten te voorkomen en hiervan verdachte personen op te sporen. Bij het aftappen gaat het om de inhoud van telefoongesprekken, sms- en mms-berichten en internetverkeer.” Dat de Nederlandse staat een mogelijke terrorist afluistert, lijkt dus gerechtvaardigd te kunnen worden. Maar hoe zit het eigenlijk met de communicatie tussen advocaten en hun cliënten, hebben zij niet een speciaal recht? Advocaten hebben een aantal rechten en plichten waar zij aan moeten voldoen. Een advocaat heeft een geheimhoudingsplicht, wat in vertrouwen tegen een advocaat verteld wordt mag de advocaat met niemand delen óók niet met de politie of een rechter. Wanneer de communicatie tussen advocaat en cliënt wordt afgeluisterd door de staat vindt er dus een inbreuk plaats op de geheimhoudingsplicht van de advocaat, maar in dit geval is de advocaat daar niet verantwoordelijk voor (of wel?). Op legale telefoontaps heeft de tappende instantie nummerherkenning zodat ze kunnen onderkennen dat het getapte individu met een advocaat belt. Zodra dit wordt gematched wordt de tap stilgelegd. Bij datatransmissie is er geen soortgelijk instrument actief. Datacommunicatie (niet zijnde VoIP) kan worden opgeslagen en worden geanalyseerd en gelezen. Officieel kan de inhoud van taps tussen advocaat en cliënt niet als bewijslast worden aangedragen worden bij de rechter. Dit wordt beschouwd als onrechtmatig verkregen bewijs en wordt geweigerd door de rechter. Echter, de verkregen informatie kan er wel voor zorgen dat het opsporingsapparaat richting krijgt in een onderzoek en daardoor wel andere bewijzen zou kunnen verzamelen. Het verschoningsrecht, recht van zwijgen, van de advocaat en verdachte staat nu onder druk. Tot de uitspraak van de rechter geeft Minister Plasterk de advocaten geen zekerheid, encryptie kan dat wel doen. Met encryptie kunt u ervoor zorgen dat de Nederlandse staat U niet meer kan afluisteren en uw berichten kan meelezen. U weet ons te vinden. 1| https://www.politie.nl/themas/afluisteren-en-of-tappen.html
    >> Lees meer
  • Patch-management is kwestie van prioriteren

    toegevoegd op: 01-04-2015

    Op Computable is vandaag een zeer interessant artikel over patch-management verschijnen. Ad Koolen, Government Crypto Specialist van Compumatica, heeft daar zijn steentje aan bijgedragen. Het volledige artikel is hieronder te lezen en kunt u ook hier vinden.  Patch-management is kwestie van prioriteren  Patches zijn ontzettend belangrijk voor de beveiliging van systemen. Toch blijkt dat patches vaak te lang blijven liggen voordat deze daadwerkelijk kunnen worden toegepast. Binnen welke tijd zouden organisaties de patches moeten uitvoeren volgens Computable experts? De experts leggen uit waar het vaak fout gaat en geven tips om valkuilen te voorkomen. Volgens Government Crypto Specialist bij Compumatica secure networks, Ad Koolen, is het moeilijk te zeggen binnen welke tijd een patch moet worden geïnstalleerd. Dit is volgens hem namelijk afhankelijk van een aantal factoren. Zo is er een verschil tussen de typenpatches die worden uitgebracht, vult Albert Kramer, Technical Manager Continental Europe bij Trend Micro, aan.‘Een patch om bijvoorbeeld de stabiliteit van een applicatie of besturingssysteem te verbeteren of nieuwe features toe te voegen en patches om de bescherming tegen kwetsbaarheden naar een hoger niveau te tillen.’ Deze twee typen patches moeten dan ook verschillend van elkaar behandeld worden. Volgens Roy Samson, principal consultant bij Capgemini, moeten de zogenaamde functionele patches worden geïnstalleerd, wanneer nodig en na uitvoerig testen, maar moeten de security patches juist zo snel mogelijk worden toegepast. Rob van der Veer, principal consultant bij Software Improvement Group, noemt patchen een kwestie van prioriteren. ‘De tijd waarbinnen een patch het beste wordt geïnstalleerd is ten eerste niet voordat belangrijkere patches worden geïnstalleerd en ten tweede niet voordat de afhankelijke it eerst wordt getest met de nieuwe patch.’ Volgens Kramer is het vanzelfsprekend dat security patches een hogere prioriteit moeten hebben. ‘Het gat tussen het vinden van de kwetsbaarheid en de patch moet zo kort mogelijk zijn. Vaak zijn hackers en malware-schrijvers namelijk in staat om binnen een paar uur de eerste vulnerabilities al te misbruiken door middel van kwaadaardige code of tooling.’ Ook Eddy Willems, Global Security Evangelist bij G Data, wijst erop dat wanneer een patch beschikbaar komt, malware-schrijvers hiermee worden geattendeerd op een zwak punt in het systeem. ‘Met behulp van reverse engineering kunnen zij zo een exploit maken die deze nieuwe zwakke plek kan uitbuiten. Hoe langer een patch niet wordt geïnstalleerd, des te meer kans heeft de malwareschrijver om het netwerk te infecteren.’ De prioriteit kan volgens Vincent van Kooten, regional manager Benelux bij FireEye, worden bepaald door twee vragen te stellen. ‘Ten eerste: Hoe kritiek is deze vulnerability? En ten tweede: Welke systemen in het bedrijf zijn hierdoor vulnerable?’ Daarnaast is het volgens Koolen van Compumatica ook belangrijk om na te gaan hoe betrouwbaar de softwareleverancier is die de patch vrijgaf. ‘Bij AVG is het bijvoorbeeld gebeurd dat een patch voor hun antivirus software een Windows.DLL voor een virus aanzag en deze uitschakelde waardoor de gepatchte pc's niet meer konden opstarten.’ De risicobepaling kan je laten uitvoeren door vulnerability scanning tools, waarmee elke kwetsbaarheid een score krijgen op basis van CVSS, adviseert Erik Remmelzwaal, algemeen directeur bij DearBytes. ‘Tegenwoordig zijn dit soort tools eigenlijk onmisbaar om controle over dit probleem te krijgen.’ Dit is allemaal onderdeel van change management, waarbij wordt vastgesteld wat de impact en mogelijke risico's zijn van een bepaalde patch of update. Testen Over het algemeen kan je volgens Koolen stellen dat een patch, afhankelijk waarvoor hij geschreven is, zo snel mogelijk moet worden ingevoerd. Maar toch is het niet altijd verstandig om een patch klakkeloos over te nemen, zonder deze getest te hebben in een testomgeving, meent Peter Westerveld, directeur en security consultant bij Sincerus consultancy. Van Kooten legt uit dat de productie omgeving van de organisatie in de test omgeving moet worden gesimuleerd, om de impact van de patch goed te kunnen bepalen. Willems vindt het dan ook begrijpelijk dat it-afdelingen het netwerk niet willen beschadigen met patches die compatibiliteitsproblemen geven met de aanwezige hard- en software, maar tegelijkertijd hoeft het testen volgens hem in een goed opgezette testomgeving absoluut geen weken te duren. Uiteindelijk moet het uitrollen van een patch volgens de experts zeker binnen een week tijd plaatsvinden. Vertraging bij patch-management Ondanks dat het testen in principe niet heel lang hoeft te duren, is dit toch één van de oorzaken van vertraging bij patch-management, weet Westerveld. Zo is één van de belangrijkste drempels om een patch of update niet meteen uit te voeren volgens Koolen dat sommige organisaties geen testomgeving voorhanden hebben. Een vaak gehoord probleem is volgens Martijn van Lom, general manager Kaspersky, dan ook dat bedrijven in het verleden problemen hebben ondervonden bij het patchen van een kritieke applicatie. ‘Met als resultaat dat ze huiverig zijn om patchessnel uit te rollen en de patches vooraf uitvoerig willen testen.’ Koolen: ‘Men is dus minder angstig voor het risico van een securitybreach dan voor het uitvallen van systemen door verkeerde patches of updates.’ Daarnaast hebben organisaties niet altijd de juiste middelen beschikbaar om te zien welke patches er beschikbaar zijn, zegt Kramer. ‘Men ziet bijvoorbeeld wel dat er een patch voor Windows beschikbaar is, maar niet er ook patches uitgekomen zijn voor Adobe of andere applicaties.’ Willems bevestigt dit: ‘Veel (kleinere) bedrijven leggen zich bij het patchen uitsluitend toe op de patches van Microsoft. Dan vergeet men eenvoudigweg de patches van alle andere software, waaronder de kwetsbare Java en Adobe Flash.’ Ook zitten er vaak compatibiliteitsredenen achter om patches niet uit te voeren, vervolgt hij. ‘Op bepaalde machines of servers draait dan specifieke software of er zijn machines specifiek voor het aansturen van bepaalde hardware en die werken niet altijd met de laatste versies van het besturingssysteem en software.’ Overigens gebeurt het volgens Willems ook zeer regelmatig dat bepaalde servers of toestellen in de patch cycle vergeten worden. Bijvoorbeeld omdat ze ergens in een serverkast staan, uit het zicht, legt hij uit. ‘Ook gebeurt het dat er op apparaten van medewerkers handige programma’s staan, die de werknemers zelf hebben geïnstalleerd omdat zij hen helpen bij hun werkzaamheden, maar waar de it-afdeling geen goed overzicht van heeft, waardoor patches van die software gewoon gemist worden.’ Verder is er volgens Van Kooten vaak sprake van te weinig mensen die teveel werk moeten verrichten; het feit dat er meer aandacht vanuit het management is voor compliance dan voor it-security;  het feit dat patching nog steeds niet als belangrijk wordt ervaren, de zogenaamde ‘het komt wel’-mentaliteit. Maar de belangrijkste reden is het ontbreken van een deugdelijk patch management beleid en proces, meent security consultant Rick Den Breejen van Crypsys secure computing. Westerveld is het met hem eens. ‘In de meeste gevallen wordt onterecht door ict-management aangenomen  dat beheerders dit ‘er wel even bij doen’. Maar in de praktijk sneeuwen dit soort handelingen altijd onder door werkdruk, productie verstorende incidenten en andere beheersactiviteiten.’ Ook Raoul Vernede, security manager bij Wageningen UR, wijst erop dat patchen voor beheerders niet het leukste werk is. ‘Het aantal patches is best groot en dat is dus een hele klus om deze tijdig uit te rollen. Het is ook nooit klaar en regelmatig zorgen updates of patches voor nieuwe problemen, omdat ze niet goed genoeg getest zijn door de leverancier. Het is voor een beheerder makkelijker om niks te veranderen aan een goed draaiend systeem dan updates te doen.’  Geen garantie Uiteindelijk is het volgens Den Breejen belangrijk je te beseffen dat patch-management geen garantie is voor veilige systemen. ‘Het is hoogstens een onderdeel voor een beveiligd systeem. Naast patch management zijn maatregelen als multi-factor authentication, Intrusion Detection/Prevention System (IDS/IPS), gedegen UTM-filtering, encryptie en een goed ingericht antivirus systeem onmisbaar.’ Hoe je er toch voor kunt zorgen dat je het patch-management verbetert, is te lezen in het artikel 'Belangrijkste tips bij patch-management'. Gepubliceerd op Computable, geschreven door Birgit Bunt 
    >> Lees meer
  • Kosten per bericht is basis voor verkeerde policies

    toegevoegd op: 23-03-2015

    Afgelopen week maakte Deutsche Telekom bekend dat het binnenkort een versleutelde e-mail dienst voor zowel overheid, bedrijven en burger introduceert. Met De-Mail kunnen overheid instanties, bedrijven en burgers onderling veilig met elkaar communiceren. Een account op De-Mail met domeinnaam (@t-online.de-mail.de) is gratis. Gebruikers kunnen met een De-Mail adres e-mails ontvangen die end-to-end versleutelt zijn. Aan het ontvangen van e-mails zijn geen kosten verbonden. Om een e-mail te versturen vraagt Deutsche Telekom echter wel een bijdrage, naar verluidt €0,39 per verstuurde e-mail. Kosten besparing  Zoals Deutsche Telekom terecht meldt kan het voor organisaties een kosten besparing opleveren, aangezien poststukken nu per e-mail verstuurd kunnen worden. Het business model kent echter, naar mijn mening, een grote essentiële fout. De kassa van Deutsche Telekom gaat pas rinkelen op het moment dat er e-mails verstuurd worden en dat is ook direct de achilleshiel van De-Mail. Het ligt voor de hand dat er policies komen, waarin staat welke e-mail wel en niet versleuteld mag worden. In tijden dat er bezuinigd moet worden, kunnen de policies in negatieve zin veranderen. Hierdoor kan gevoelige informatie onversleuteld per e-mail worden verstuurd. Verkeerd business model Een goed business model zou het gebruik van encryptie juist moeten stimuleren, zodat er steeds meer e-mails versleuteld verstuurd worden. Het doel van elk IT security bedrijf is toch om de digitale wereld een stukje veiliger te maken, hoe klein die bijdrage ook is. Naar mijn mening is het beter om aan bedrijven een vast bedrag (per gebruiker) per maand/jaar te rekenen, in plaats van een kleine bijdrage per versleutelde e-mail. Een e-mail account voor burgers zou te allen tijde gratis moeten zijn, want zij mogen niet de dupe worden van de gebrekkige beveiliging die internet nu eenmaal biedt.
    >> Lees meer
  • End-to-end e-mail encryptie voor Duitse burgers

    toegevoegd op: 17-03-2015

    Deutsche Telekom nam in 2011 het initiatief om een veilig e-mail platform te ontwikkelen. Het digitale platform kreeg de naam De-Mail en moest tot een vermindering van kosten leiden, doordat officiële brieven digitaal verstuurd konden worden. Mede dankzij de Snowden onthullingen zijn de Duitsers bezorgder geworden over hun digitale identiteit. End-to-End encryptie plug-in In samenwerking met United Internet’s Web.de komt er in april een end-to-end encryptie plug-in voor De-Mail op de markt. Deze plug-in is te downloaden in de Chrome of Firefox browser en maakt gebruik van PGP (Pretty Good Privacy) encryptie. De plug-in wordt open source, waardoor ontwikkelaars en hackers naar mogelijke achterdeuren en fouten kunnen zoeken. De encryptie sleutels worden op het device van de gebruiker opgeslagen. Duitse staatsburgers en overheidsinstanties kunnen een De-Mail account aanmaken. Het account dient eerst geverifieerd worden door middel van een geldig identiteitsbewijs of bankpas. Het verifiëren van een account via een bankpas is nieuw, maar wel veilig volgens Deutsche Telekom. De eigenaar van de rekening is, zo stellen zij, al eens geverifieerd door de bank. Gebruikers kunnen het De-Mail account gratis gebruiken en e-mails ontvangen. Het versturen van een versleutelde e-mail kost echter wel geld (naar verluid €0,39 per verstuurde e-mail). Overheidsinstanties gaan De-Mail gebruiken Verschillende overheidsdepartementen gaan gebruik maken van De-Mail om veilig met haar burgers te kunnen communiceren. Hiermee lijkt het initiatief van Deutsche Telekom te kunnen rekenen op steun van de Duitse overheid. In tegenstelling tot de Amerikaanse en Britse overheid lijkt de Duitse overheid dus niet tegen het gebruik van encryptie door burgers te zijn. Mening van Ad Koolen De Duitse telecom providers hebben hiermee een nieuwe potentieel lucratieve bron van inkomsten aangeboord die de terugval in de “Bel tikken” kan gaan goedmaken. Voor zover ik uit het verhaal kan beoordelen werkt dit alleen met WebMail en alleen vanuit Chrome of Firefox en niet met Internet explorer? Ook niet met een e-Mail cliënt? Waarschijnlijk is de drempel voor de gemiddelde e-mail gebruiker te hoog als dit in de Outlook of Thunderbird geïmporteerd moet worden? Indien de Duitse overheid privacygevoelige informatie in zo een e-mail verstuurd, ligt de verantwoordelijkheid dan bij de provider ipv bij de Overheid? Al met al wil ik graag de details van de technische en juridische aanpak afwachten om een duidelijker beeld te krijgen.
    >> Lees meer
  • Gemeente ambtenaren lappen regels aan hun laars

    toegevoegd op: 09-03-2015

    door: Ad Koolen (Government Crypto Specialist)  Gemeente ambtenaren moeten zich houden aan de regelgeving zoals neergelegd in de TACTISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN**. Zo zijn ze gehouden aan de regel dat voor het uitwisselen van ambtelijke e-mail een door hun werkgever verstrekt e-mailadres gebruikt moet worden. De regel beveiligd het e-mail verkeer en zorgt ervoor dat er geen belangrijke mails verloren kunnen gaan doordat alles op de e-Mailserver van de gemeente wordt opgeslagen en ge-archiveerd. We hebben afgelopen dagen in de pers en op twitter al kunnen lezen dat Hillary Clinton zich niets van de regelgeving van het Witte Huis aantrok en een eigen e-mail adres gebruikte gedurende haar werkzaamheden voor de Amerikaanse overheid. In Nederland zien we bij gemeenten vele voorbeelden van hoe het niet moet. Ten bewijze hiervan nagelen we er hier enkele aan de schandpaal. De informatie is verkregen uit openbare bronnen en beschikbaar op internet omdat de personen in kwestie dit zelf (of de gemeente) hebben gepubliceerd. Overigens zijn ze ook niet erg gesteld op privacy, te zien aan huisadressen en telefoonnummers. Zomaar wat willekeurig gevonden e-mailadressen die niet passen bij de overheidsfunctie van de personen in kwestie. Uit privacy overweging publiceren wij deze gegevens niet, deze zijn echter via zoekmachines eenvoudig te vinden. Het merendeel van de NL gemeenten begrijpt blijkbaar niet dat ze bepaalde zaken kunnen en moeten afdwingen. De lijst is te lang om hier weer te geven. De bovengenoemde voorbeelden zijn zonder aanziens des persoons en volledig willekeurig van internet geplukt. Hoe zou onze centrale overheid het er van af brengen? Kijk zelf op Google met de combinatie zoekterm "ministerie gmail" of "ministerie hotmail en oordeelt u zelf. 
    >> Lees meer
  • Het beste van Social Media in Maart

    toegevoegd op: 05-03-2015

    #securitydoesmatter In deze rubriek delen wij de beste reactie op social-media over IT security van de afgelopen maand. Van de gebrekkige ICT kennis van 'onze' tweede kamer voorzitter tot aan de privé e-mail van Hillary Clinton. Elke maand kunt u hier de meest originele en humorvolle reacties van SocialMedia lezen. U kunt zelf ook reageren door de de hastag #whataboutsecurity te gebruiken en misschien ziet u zichzelf wel in de volgende rubriek terug. Hillary you have got mail Maart was nog niet begonnen of Hillary Clinton verscheen in het nieuws. Dit keer niet om een liefdadigheidsorganisatie te steunen, maar het gebruik van haar e-mail. Ten tijde van haar functie als Minister van Buitenlandse zaken gebruikte ze een Gmail account voor haar zakelijke e-mails. Binnen enkele uren stroomde Twitter vol met humoristische opmerkingen onder de hashtag #HillaryEmailAddresses Hieronder een overzicht van de leukste Tweets:   Al snel kwamen Twitteraars met suggesties voor het gebruikte e-mail adres: En ten slotte werden ook de cartoonisten wakker. Specialisme in België Tussen alle humoristische Tweets door kwam het Twitter account van de Belgische defensie met nieuws. Er is budget vrij gemaakt om 25 IT specialisten aan te nemen. Arnaud Reper had binnen de kortste keren zijn reactie klaar!    
    >> Lees meer