Posts Tagged "beveiliging"

De 3 meest gemaakte beveiligingsfouten door cloudleveranciers

Posted in Auto branche, Beveiliging, Cloud computing strategie, De Cloud, Dutch, Outsourcing (nl)

De 3 meest gemaakte beveiligingsfouten door cloudleveranciers

Veel beveiligingslekken binnen de cloud ontstaan doordat cloudleveranciers voor al hun klanten gebruik maken van dezelfde infrastructuur. Dat staat in het boek Vijf valkuilen voor bedrijven bij het afsluiten van cloudcontracten. (Subtitel: En negen adviezen om ze te vermijden)  ‘Het hoeft geen probleem te zijn wanneer de data van veertig bedrijven samen op één server staat, als de klantscheiding maar goed is uitgevoerd,’ zegt beveiligingsexpert Maarten Hartsuijker van Classity in iTraction’s boek. ‘Helaas is dat lang niet altijd het geval.’ De 3 meeste gemaakte fouten zijn:   Beveiligingsfout 1: adminrechten geven aan klanten ‘Het algemene probleem is dat veel leveranciers hun Windows-omgevingen inrichten met dezelfde mindset als vroeger: alsof ze nog een eigen netwerkomgeving hebben van eigen machines die met kabels verbonden zijn binnen hun eigen bedrijfspand, aan de rand beveiligd met een dikke firewall,’ zegt Hartsuijker. ‘Terwijl dat in cloud helemaal anders ligt. Klanten kopen daar toegang tot een eigen omgeving, die voorbij de firewall ligt.’ Vaak geven cloudleveranciers aan grote klanten beheerrechten binnen de gevirtualiseerde Windows-omgeving. Hartsuijker: ‘Zo kunnen die klanten zelf de instellingen wijzigen van applicaties die binnen de Cloud draaien. Wanneer een beheerder echter ‘admin’-rechten krijgt op een server binnen een Windows-domein dat wordt gedeeld met andere klanten, kan hij of zij via die server vaak eenvoudig de “super admin” rechten van de domeinbeheerder stelen.Met die rechten verwerft hij zich toegang tot de centrale infrastructuur en tot de data en applicaties van andere klanten op andere servers binnen hetzelfde Windows-domein.’ Beveiligingsfout 2: slecht beveiligde webserver Bij onvoldoende ‘klantscheiding’ kan de ene klant bovendien hinder ondervinden van beveiligingsfouten van de andere klant. ‘Stel een bedrijf heeft een website laten ontwerpen door een security-minded bedrijf en de beveiliging ook nog eens laten testen door een externe partij,’ zegt manager Christian Prickaerts van het ‘Forensic Services’ team van Fox-IT in dezelfde whitepaper. ‘ Maar vervolgens wordt die website ondergebracht op een webserver bij een hosting-partij. Op die webserver kunnen ook websites zijn gehost van andere bedrijven. Als daar één slecht beveiligde website tussen zit, kan een hacker inbreken op de webserver en vervolgens alsnog jouw website kraken.’ Volgens Prickaerts zijn er manieren om dit probleem te voorkomen. ‘Bijvoorbeeld door in je contract te bedingen dat de webserver alleen jouw website host.’ Beveiligingsfout 3: geen recente beveiligingsupdate van Java en Adobe Acrobat Bij werkplekbeheer ziet Prickaerts vaak het volgende probleem: ‘Online werkplekken moeten net als normale werkplekken regelmatig van recente beveiligingsupdates worden voorzien. Bij Windows gaat dat meestal goed. Dat wordt automatisch ge-update. De leverancier heeft er dus geen omkijken naar. Maar dat geldt niet voor applicaties als Adobe Acrobat of Java-updates. Daar moet de aanbieder regelmatig actief ingrijpen om nieuwe lekken te dichten. Dat gebeurt lang niet altijd, terwijl het om de software-onderdelen gaat waar gevaarlijke kwetsbaarheden in zitten. Ze zijn onder aanvallers zeer populair om ongeautoriseerde toegang te krijgen tot systemen.’   Meer weten over andere risico’s van de cloud? Lees er meer over in het boek “Vijf valkuilen voor bedrijven bij het afsluiten van...

Read More

Video Interview met Fox-IT’s Christian Prickaerts

Posted in Auto branche, Beveiliging, Dutch

Video Interview met Fox-IT’s Christian Prickaerts

In deze video wordt Fox -IT’s Christian Prickaerts op video ge-interviewd door John Duynhouwer, directeur van iTRACTION. Christian is manager forensics & audits bij Fox-IT. Fox-IT is een vooraanstaand cyber-security firm gevestigd in Delft met klanten over de hele wereld. Dit artikel belicht 3 hoogtepunten uit het interview. Johns nieuwe boek ‘5 valkuilen in de cloud bij het afsluiten van cloudcontracten‘, ISBN nr. 978-94-92125-00-2 vormde de basis voor het interview.     Het interview met Christian gaat nader in op de volgende onderwerpen (meer in het interview): Wat zijn de beveiligings-nadelen van traditionele gedeelde (web) servers? De meeste bedrijven huren geen dedicated webservers maar gedeelde. Bij een gedeelde webserver zijn er vaak honderden websites van verschillende bedrijven op dezelfde server. Dat kan grote consequenties hebben voor de beveiliging. Aan de andere kant is het de meest voordelige oplossing. Wat is wijsheid? Meer over dit onderwerp in de video met Christian en mij hier. Hoe kun je bepalen of je online werkplek leverancier de beveiliging echt wel serieus neemt? Stel dat je bedrijf besloten heeft om haar ICT systemen te outsourcen naar een leverancier van online werkplekken. Jullie krijgen offertes van 3 verschillende leveranciers. In het video-interview laat Christian zien hoe je kunt bepalen of de provider de beveiliging wel serieus neemt. Noemen ze überhaupt de beveiliging in hun offerte? En zoja, wat noemen ze daar specifiek van? En wat niet? Meer over dit onderwerp in de video met Christian en mij hier. Hoe is de aansprakelijkheid van je bedrijf geregeld bij een data-lek of hack? Wie is er verantwoordelijk voor de data bij outsourcing van de ICT systemen? IS het de outsourcing-leverancier, de outsourcee, de provider, het datacenter, Microsoft of de eindgebruiker? Wat kun je doen om schade wat optreedt na een data-lek te minimaliseren? Meer over dit onderwerp in de video met Christian en mij hier. Laat ons svp weten hoe je denkt over beveiliging. Denk je dat beveiliging echt belangrijk is en meer aandacht verdient? Hoe zorgt jouw bedrijf ervoor dat data van klanten en persoonsgegevens te alle tijde veilig is? Deel je casus of opinie met ons. Wij stellen erg prijs op feedback, ga dus je gang en laat het ons en onze lezers weten in het commentaarveld hier...

Read More

14-7-2015: Einde verhaal voor Windows 2003 Server

Posted in Applicatie en desktop virtualisatie, Auto branche, Beveiliging, Citrix (nl), Cloud computing strategie, De Cloud, Dutch, Outsourcing (nl)

14-7-2015: Einde verhaal voor Windows 2003 Server

Op 14 juli 2015 is het einde verhaal voor Windows 2003 Server. Vanaf die datum ondersteund Microsoft niet langer dit populaire product. Beveiligingsupdates stoppen waardoor bedrijven die dan nog Windows 2003 gebruiken blootgesteld worden aan de ernstige beveiligingslekken die er in ruime getale in Windows 2003 zitten. Als je bedrijf nog werkt met 2003 is het sterk verouderde product een paradijs voor cybercriminelen.   Bedreigingen in een niet bijgewerkt besturingssysteem Management is vaak terughoudend om geld uit te geven aan wat zij zien als onnodige kosten. En waarom zouden ze eigenlijk, “de servers doen het toch, waarom zouden we ze dan vervangen?” Het is een veelgehoorde vraag. Behalve zaken als snelheid – het is goed om te weten dat Windows 2008 R2 en Windows 2012 R2 veel sneller zijn dan Windows 2003 – zijn er natuurlijk de problemen met beveiliging. Met een oud kwetsbaar product als Windows 2003 Server, net zoals met Windows XP (waarvan de support op 8 april 2014 werd beëindigd) is up-to-date, bijgewerkte beveiliging essentieel. Maar zodra de security updates van Microsoft stoppen op 14 juli 2015 wordt het besturingssysteem een dankbaar doelwit voor hackers en criminelen. Anti-virus software en firewalls kunnen helpen, maar wat je echt nodig hebt is dat Microsoft zelf maatregelen treft door continu bugs en lekken te repareren. Al eerder genoemd is de snelheidswinst. Die is enorm. Neem bijvoorbeeld Exchange 2003, Microsoft’s oude mailserver. Destijds ontworpen op mailboxen van hooguit 100 MB kan hij niet overweg met de vele honderden en duizenden mails wat een gemiddelde mailbox tegenwoordig bevat. Onder Exchange 2010 en Windows 2008 R2 Server werkt het echter voortreffelijk en snel. Je krijgt veel meer performance uit dezelfde hardware en kunt Exchange 2010 zelfs draaien van SATA disks, iets wat ondenkbaar is onder Exchange 2003. Dus nu zijn er 2 redenen om te upgraden: beveiliging, wat onmisbaar is voor elk bedrijf en snelheid wat essentieel is voor de productiviteit van je bedrijf en wat de gebruikers gegarandeerd blijer zal maken. Upgraden naar een nieuwe versie of meteen naar de cloud? Wanneer moet je overwegen om je hardware te upgraden naar een nieuwe versie en wanneer om je ICT uit te besteden naar de cloud? Er kunnen omstandigheden zijn waarbij je nog steeds een besturingssysteem op lokale hardware moet draaien zoals bijvoorbeeld in een fabriek dat machines gebruikt die door gesloten oude interfaces zoals bijvoorbeeld RS485 worden aangestuurd. Of wanneer je snelle video werkstations nodig hebt voor DTP. Vergeet niet dat de cloud veel meer is dan online opslag. Los van bovenstaande voorbeelden is er weinig te bedenken wat u zou kunnen weerhouden om naar de cloud te gaan. Met de juiste technologie kunt u ook met een relatief trage 4/1 Mbit ADSl verbinding toch profiteren van de nieuwste cloud diensten. De ICT systemen outsourcen naar de cloud vermindert uw CapEx en OpEx kosten aanzienlijk. Geen driejaarlijkse nieuw investeringen in hardware, geen kosten meer voor upgrades vertaalt zich naar lagere kosten en minder verspilde tijd.   Laat ons svp weten hoe u denkt over Windows 2003 en het stoppen op 14 juli 2015. Gebruikt uw bedrijf nog steeds Windows 2003 Server? Welk plan heeft u om weg te migreren van dit oude platform? We stellen erg prijs op uw opinie en commentaar, ga gerust uw gang en laat het onze lezers weten in het commentaarveld hier...

Read More

Video Interview met Arjan van Dijk ICT Manager Stadgenoot

Posted in Automotive, Beveiliging, Dutch

Video Interview met Arjan van Dijk ICT Manager Stadgenoot

In deze video wordt Arjan van Dijk, ICT Manager bij woningcorporatie Stadgenoot in Amsterdam, geïnterviewd door John Duynhouwer, directeur van iTRACTION. Vanwege privacy richtlijnen zijn bedrijven en corporaties als Stadgenoot huiverig om teveel persoonlijke gegevens op te slaan. Maar hoe minimaliseer je opslag van persoonlijke data in en buiten de cloud? Lees verder en ontdek hoe en waarom van Dijk contact opnam met toenmalige minister Donner over dit onderwerp. In deze blog drie hoogtepunten uit het interview. Het interview is gebaseerd op John’s nieuwe boek  : ‘5 valkuilen in de cloud bij het afsluiten van cloudcontracten‘, ISBN nr. 978-94-92125-00-2.     Het video interview met Arjan gaat dieper in op de volgende onderwerpen: Hoe minimaliseer je opslag van persoonsgegevens in en buiten de cloud? De cloud is echt een uitkomst maar als er niet zorgvuldig mee wordt omgegaan zullen privacy problemen alras ontstaan. In de video bespreekt Arjan dit probleem en legt uit hoe hij en en woningcorporatie Stadgenoot hiermee zijn omgegaan. Natuurlijk is encryptie een goede optie maar er is een eenvoudiger efficiënter manier. Meer over dit onderwerp in de video met Arjan en mij hier. Minister Donner en de EUR 43.000 limiet? Dankzij nieuwe wetten zijn woningcorporaties in Nederland verplicht om o.a. inkomensgegevens van hun huurders te verzamelen. Nieuw huurders die meer dan 43.000 euro per jaar aan inkomen hebben mogen geen sociale woning betrekken van een corporatie. In 2011 vroeg van Dijk aan toenmalige minister Donner of woningcorporaties konden volstaan met een ‘ja / nee’ check op die inkomensgrens in plaats van allerlei extra gegevens zoals hoogte en samenstelling van het inkomen te verzamelen. Meer over dit onderwerp in de video met Arjan en mij hier. Wat is CORA en wat is de rol van Arjan van Dijk? Arjan van Dijk is voorzitter en oprichter van CORA, Corporatie Referentie Architectuur. Het video-interview gaat dieper in op het ‘hoe en waarom’ van CORA en op haar zusje VERA. Ontdek hoe CORA software bedrijven en ontwikkelaars helpt een standaard architectuur voor corporaties neer te zetten. CORA helpt eenduidige ‘business rules’ definiëren en standaardiseert de wijze waarop  bedrijfsmatige regels, beleid en workflow die eigen zijn aan alle corporaties, in software applicaties worden toegepast. Meer over dit onderwerp in de video met Arjan en mij hier. Laat ons svp uw gedachten weten over beveiliging en privacy. Denkt u dat privacy belangrijk is en een eigen plek verdient? Hoe zorgt uw bedrijf ervoor dat zijn data en die van haar klanten te allen tijden veilig is opgeslagen?Wilt u een casus of mening met ons delen? We stellen erg prijs op uw feedback, ga gerust uw gang en laat het onze lezers weten in het commentaarveld...

Read More

Plaatjes als snel en makkelijk alternatief voor wachtwoorden

Posted in Automotive, Dutch, Security

Plaatjes als snel en makkelijk alternatief voor wachtwoorden

Onlangs bedacht een 18 jarig tiener uit Australië een mooi alternatief voor wachtwoorden. We kennen allemaal het dilemma van het vergeten wachtwoord of het bedenken van complexe en veilige wachtwoorden. Wat zou je zeggen van een plaatje in plaats van een wachtwoord? Zou dat niet handig en veel makkelijker zijn? En aan het einde van het artikel krijg je 10 tips voor veiliger wachtwoorden en veiliger werken.   De Australische tiener Sam Crowther  denkt dat hij een oplossing gevonden heeft voor de wachtwoord problemen waar iedereen regelmatig mee kampt door plaatjes te gebruiken in plaats van cijfers, letters en andere leestekens. De meeste mensen gebruiken simpele wachtwoorden en ze gebruiken dat eenvoudige wachtwoord ook nog eens voor verschillende diensten en op verschillende apparaten. Dat is allesbehalve veilig maar het alternatief is het onthouden van tientallen complexe wachtwoorden.  Op de Cybersecurity bijeenkomst PasswordsCon in Las Vegas liet Sam Crowther onlangs een andere optie zien. Hij heeft een app gemaakt waarmee je een foto als wachtwoord kunt kiezen voor een webdienst. Die wordt vervolgens omgezet en als een hele lange wachtwoord van maar liefst 512 tekens lang verzonden. Foto’s of plaatjes zijn veel veiliger omdat je nooit weet welke foto’s iemand heeft. Er zijn geen foto generatoren zoals er wel wachtwoord (tekst) generatoren zijn. Foto’s zijn een goede beveiliging tegen zogenaamde ‘key logging’ malware dat je bespiedt. Websites kunnen met deze methode zelf regelmatig je wachtwoord veranderen zonder dat je zelf iets hoeft te doen. Je kiest gewoon steeds dezelfde foto maar door de positie op het scherm ontstaat steeds een ander wachtwoord. Sam’s idee is heel slim maar zal zeker enige tijd vergen voordat het alom geaccepteerd en gangbaar wordt. Tot dan is de grote vraag:   Wat kun je in de tussentijd doen om veilig te blijven? Hier zijn 10 tips. Geef nooit je wachtwoord aan iemand Gebruik nooit slechts 1 wachtwoord Bedenk wachtwoorden die voor jou makkelijk zijn om te onthouden maar moeilijk voor anderen zijn om te raden. Als voorbeeld gebruik een zin als “Ik ben geboren in Amsterdam, Nederland op 2 September 1975” en gebruik de eerste letter van elk woord. Het wachtwoord wordt dan: “IbgiA,No2S1975” Maar het wachtwoord tenminste 8 tekens lang, hoe langer hoe beter. Gebruik nummers, hoofdletters en symbolen. MvP$7iehAP (Mijn vriend Piet is een heel Aardig Persoon) is een uitstekend wachtwoord. Gebruik geen woorden uit het woordenboek. Als het in het woordenboek staat is de kans groot dat iemand het zal kunnen raden. Er is software die dat automatisch kan doen (zogeheten dictionary attacks). Plak je wachtwoord niet in het zicht zoals op een briefje op je scherm Overweeg een wachtwoord manager. Programma’s als RoboForm of LastPass (Windows / Mac) laten je een heel sterk wachtwoord creëren voor elk van je cloud diensten, programma’s en websites, beveiligd met maar één hoofd wachtwoord. Wees heel voorzichtig en trap niet in een ‘phishing’ val. Wees erg voorzichtig voordat je op een link klikt dat je vraagt om in te loggen, je wachtwoord te veranderen of ander persoonlijke informatie te geven, zelfs als die link zich voordoet als zijnde van een legitieme site. Als regel kun je aanhouden dat je nooit op dergelijke links moet klikken tenzij je net een paar minuten geleden zelf hebt gevraagd om een wachtwoord of andersoortige wijziging. Wees zeker dat je computer goed beveiligd is. Het beste wachtwoord in de wereld is nog niet veilig als iemand over je schouder aan het meekijken is terwijl je typt. Kwaadaardige software, zoals ‘keyboard loggers’ die al je toetsaanslagen registreren wordt veel gebruikt om wachtwoorden en ander informatie te stelen. Om beveiliging te verhogen zorg ervoor dat je de laatste anti-virus en anti-malware software gebruikt en zorg dat je besturingssysteem up-to-date...

Read More