Wednesday, June 11, 2014

Terugblik op de Fox IT Cybercrime Symposium 2014 (Dutch)


Afgelopen dinsdag 10 juni ben ik naar het Cybercrime Symposium 2014, georganiseerd door Fox IT, in Den Haag (World Forum) geweest. De dag is als leuk, gezellig en vooral ook als leerzaam ervaren. Niet per se in feitelijke kennis, maar juist door een andere toepassing van diezelfde kennis. Met andere woorden, nieuwe inzichten en ook bevestiging van enkele bestaande inzichten.

Hieronder eerst een korte sfeerimpressie van het symposium.


De sprekers

De dagvoorzitter was Rens de Jong, ook wel bekend van BNR Nieuwsradio en RTL Z. De opening werd overigens gedaan door niemand minder dan Jozias van Aartsen, burgemeester van Den Haag. Hij onderstreepte het belang van cybersecurity (hoewel we zo onderhand van de term #cyber af moeten, maar dat valt buiten de scope van deze blog), en vooral ook het belang ervan voor Den Haag. Hij riep op om Nederland op internationaal niveau leider te laten zijn op het gebied van cybercrime en -defensie.

Of dat ooit gaat lukken weet ik niet, maar het past vanzelfsprekend wel bij onze kenniseconomie. We kunnen immers niet alleen leven van de verkoop van dijken en andere deltawerken. Aldus Jozias van Aartsen.

De dag werd gevuld door sprekers van CERT-EU (Freddy Dezeure), F-Secure (Mikko Hyppönen), ING (Jan Joris Vereijken) en enkele andere, maar natuurlijk ook mensen van Fox IT zelf, waaronder de founders Menno van der Marel en Ronald Prins.

Ruwweg allemaal met dezelfde boodschap waar ik in deze blog dieper op in zal gaan. Eerst wil ik nog even één bijzondere spreker toelichten, en dat is Mikko Hyppönen van F-Secure.

Bedreigingen van Staten en veiligheidsdiensten

Mikko kende ik niet, maar bleek tot mijn verassing toch een beetje een soort van legende te zijn. Hij werd geïntroduceerd als de persoon waar we eigenlijk allemaal op zaten te wachten op het symposium. Hij heeft onder andere de VS, EU, en Azië geholpen bij de grootste cybercrime uitbraken, maar is ook schrijver voor onder andere The New York Times. Daarnaast heeft hij ook nog gesproken bij het platform TED-talk en deze ervaring was absoluut te zien. Dit is vast de reden waarom VPRO opnames aan het maken was.

Maar wat maakte nu dan zo’n indruk? Zijn verhaal ging over malware. Malware dat wereldwijd op grote schaal werd en wordt ingezet. Malware dat geproduceerd is met nagenoeg ongelimiteerde budgetten en resources. Met andere woorden: malware gemaakt door overheden met als leidend voorbeeld de Stuxnet malware. Op een indrukwekkende wijze zet hij uiteen hoeveel de afgelopen 10 tot 20 jaar veranderd is op het gebied van spionage en malware. Overheden, zowel veiligheidsdiensten als de politiediensten, zetten malware in om doelbewust in te breken op machines en informatie te stelen. Dit is aldus Mikko niet per definitie fout (zeker niet met een gerechtelijk bevel), maar wel een punt waar je als individu en organisatie bewust van moet zijn.

Bijna vanzelfsprekend kwam het onderwerp Edward Snowden ook aan bod. De mening van de zaal werd duidelijk toen Mikko vertelde over een Amerikaanse politicus die zei: “Edward needs te man up”. Waarbij Mikko zei dat iemand die zijn comfortabele leven op Hawaï inclusief fotomodel-vriendin achter zich liet voor een principe de laatste persoon is die zich zou moeten “vermannen”. Na een seconde stilte volgde een daverend applaus.

Detectie, detectie, detectie…

Maar nu even naar de inhoud, de boodschap van het symposium. Het zou natuurlijk zonde zijn als zou blijken dat je een volledige dag (in mijn geval van kwart over 5 tot half 11) aan energie zou steken in een symposium, zonder hier wat van te leren.

Op het gebied van informatiebeveiliging zijn er tal van soort risico-beheersende maatregelen te definiëren. Zo zijn er preventieve, repressieve, correctieve en detective maatregelen. Al deze maatregelen verdienen aandacht, maar er is er één die in het bijzonder aandacht verdiend.

Uit een pol op het symposium zelf blijkt dat het overgrote deel van de aanwezige managers meer geld zou willen steken in preventieve maatregelen, tegenover de detective maatregelen waarin de ICT’ers en security-specialisten meer geld zouden willen pompen.

Een opmerkelijk verschil dat zich, aldus de sprekers en vervolg polls, ook vertaald in de dagelijkse praktijk. Naast de basis aan preventieve maatregelen (waaronder een goed security design, anti-malware, anti-DDoS, en meer van dat soort zaken), zijn er vooral detective maatregelen nodig. Waarom? Omdat de oorlog niet gewonnen kan worden met preventieve maatregelen, die per definitie al verouderd zijn en geen garantie voor een volledige dekking.

Zoals Jan Joris Vereijken van de ING ook al benadrukte, met detectie kun je ontzettend veel fraude en schade voorkomen. Dit omdat je verdacht en onverwacht gedrag kan herkennen en vervolgens hier passend op reageren. Bij de ING is men al zo ver dat hij verwacht dat inloggen in de nabije toekomst feitelijk niet meer nodig zou zijn (zeker niet om fraude te bestrijden). Een leuke en vooral ook gedurfde statement. Dat overigens wel past bij mijn gevoel dat inloggen met een account en wachtwoord een sterk verouderd concept is. Wie weet is er in de toekomst een goed alternatief.

Van intelligence naar response

Detectie staat natuurlijk niet op zichzelf. Want met detectie alleen win je de oorlog ook niet. Er zijn twee andere zaken erg belangrijk, namelijk intelligence en response.

Intelligence is het goed inzetten van de kennis die in de markt al aanwezig is. En dan betreft dit met name kennis over actuele dreigingen, mogelijke mitigerende maatregelen en ervaringen hierover bij andere bedrijven en instellingen. Goede intelligence leidt tot een goed inzicht wat je mogelijk staat te wachten op het gebied van cybercrime.

Vervolgens krijg je detectie. Monitoring op je omgeving is zodanig ingericht dat verdacht gedrag herkend kan worden. Wat is gedrag van een normale gebruiker, en wat zou weleens een hacker kunnen zijn? Op welke omgeving doet het zich voor en wil je gelijk ingrijpen of juist niet? Soms is het ook goed om even te wachten en te kijken wat er nog meer gebeurt. Dit vereist natuurlijk wel een robuust ingerichte monitoring met dito ICT-team.

Maar met detectie alleen kom je er niet. Er moet ook gereageerd worden. De toegang moet geneutraliseerd worden, er moet bewijslast verzameld worden en eventuele schade hersteld of beperkt worden. Dit valt in het stukje van response. Dit benadrukt het belang van een goede CERT (Computer Emergency Response Team) dat mandaat heeft om adequaat op signaleringen te reageren.

De boodschap is wat mij betreft dus: “Preventieve maatregelen zijn belangrijk en vormen de eerste lagen van je verdediging. Maar zonder detectie kun je aanvallen op je omgevingen niet herkennen en dit brengt extra risico’s met zich mee wanneer preventieve maatregelen niet afdoende blijken te zijn”.

Een geslaagde dag

Ik vond het al met al een zeer geslaagde en interactieve dag waarin ik nieuwe inzichten heb gedaan en waarin ik als vakspecialist mij uitzonderlijk heb vermaakt. Fox IT heeft een goed verzorgde symposium georganiseerd waarbij de opkomst overigens erg groot was. De zaal was vol, de aanwezigen deden actief mee met de pols en de dagvoorzitter heeft de dag op een leuke en respectvolle wijze geleid en was opvallend goed ingelezen in de materie.

Voor meer informatie over het symposium kan op de website van Fox-IT gekeken worden: https://www.fox-it.com/nl/bedankt-voor-uw-aanwezigheid-op-het-fox-cybercrime-symposium/