Op uitnodiging van Computable mag ik een bezoek brengen aan de Black Hat Sessions, dus donderdag 18 juni 2015 gaat de reis naar Ede, de Reehorst. Het ontvangst is hartelijk, mijn badge ligt netjes klaar. De koffie met koek is heerlijk en de rest van de catering is ook prima geregeld, ik ben niets te kort gekomen deze dag.
Nu over de inhoud van de sessie die ik heb gevolgd. In de openingskeynote staat Erik Luiijf van TNO stil bij het feit dat er niets is geleerd van de security incidenten uit het verleden. Bij ontwikkeling van alle nieuwe software en apparaten wordt er altijd eerst gekeken naar de functionaliteit en zeker niet naar de veiligheid. Pas in een later stadium, wanneer het fout is gegaan, wordt er eens nagedacht over de beveiliging. De aanpak zal fundamenteel anders moeten, om het in de toekomst beter en veiliger te maken.
Na de openingskeynote kies ik voor de niet-technisch sessie van Teun van Dongen, zelfstandig auteur en analist, die stil staat bij de rol van it in terrorisme(bestrijding). De vraag die Teun stelt is, wat er zoal gebeurt met de verzamelde informatie in relatie met de bestrijding van terrorisme. En: is de vraag vanuit de politiek en samenleving naar het vergaren van meer informatie na een incident (aanslag) gerechtvaardigd? Een aantal voorbeelden zijn doorgesproken die het tegendeel bewijzen. Met de beschikbare informatie hadden de incidenten (aanslagen) kunnen worden voorkomen, mits er door de verschillende partijen beter was samengewerkt.
Uit deze sessies wordt gesuggereerd dat meer informatie vergaren alleen maar schijnveiligheid genereerd. De rol die ict hierin heeft, zal zich daarom moeten richten op het samenvoegen van de beschikbare informatie.
In gesprek blijven met de business
Vervolgens heb ik de sessie bijgewoond van ‘Cyber Security in de praktijk’ bij het NRG. In deze sessie bespreken Ed de Myttenaere en Paul van der Ploeg hun gedegen informatie beveiligingstraject. Zaken zoals BIV-classificatie, BIA, wet- en regelgeving en vooral commitment van het management. Zeg maar de standaard open deuren, maken onderdeel uit van het traject. Hun aanpak heeft onder andere geleid tot een strenge zonering van netwerk en infrastructuur.
Vanuit hun ervaring en leermomenten benadrukken ze om vooral in gesprek te blijven met de business, zorg voor security by design en zorg voor geregelde audits.
Virusscan is niet voldoende
De volgende sessie ‘Infiltreren in de vitale infrastructuur’ laat Daniël Dragicevic zien hoe eenvoudig het is om ergens in te breken. Aan de hand van een fictief bedrijf wordt een case besproken, middels een live demo. De demo begint met het opzetten van een nep access point in een openbare ruimte. Vervolgens komt een niets vermoedende klant de openbare ruimte binnen en wil gebruik gaan maken van het aangeboden Wi-Fi voor toegang tot internet. De rest is eigenlijk geschiedenis, want wanneer de gebruiker probeert een internet connectie op te zetten via het nep access point, dan wordt het systeem overgenomen (owned) door de hacker.
Conclusie is dat alleen een goede virusscan niet toereikend is en dat anti-malware software ook moet worden gebruikt voor systemen. Binnen de bedrijfsinfrastructuur moeten maatregelen worden genomen zoals het monitoren van het gebruik van accounts met administrator rechten.
Secure Smart Grids
In de laatste sessie voor de afsluitende keynote gaat Erwin Kooi van Alliander in op de `Secure Smart Grids` aanpak bij Alliander. Door de veranderde energie-wereld waarin de energietoevoer moet zijn gewaarborgd en doordat klanten ook energieleveranciers zijn, zoals met zonne- en wind-energie. De uitdaging is om alles ‘in control’ te houden, hiervoor wordt SCADA als procesbesturingsmethodiek gebruikt. De Smart Grids moeten veilig zijn en blijven. Het security operations center (SOC)-team analyseert en bewaakt deze, waarbij de aanpak is gericht op detectie en reactie. Systemen, verdeeld in zones, kunnen worden afgesloten, zolang de procesaansturing van energie maar functioneert.
Informatie delen voor nationale veiligheid
In de afsluitende keynote gaat Hans de Vries van het Nationaal Cyber Security Center (NCSC) in op de vraag waarom Cyber Security zo gevaarlijk is en daarom hoog op de agenda staat. Denk eens hoeveel mensen in Nederland er gebruikmaken van online bankieren en winkelen. Ons land loopt hierin voorop. Cybercriminaliteit is de nieuwe criminaliteit die veel schade aanricht. Data is het nieuwe goud voor de criminelen. Je merkt het niet als je data is gestolen, de data is nog aanwezig. Juist daarom is het zo gevaarlijk. Om dit te bestrijden is het NCSC een samenwerking verband (ISEC) gestart met 12 sectoren. De boodschap is dat we door het delen van informatie met elkaar, een hoger niveau van nationale beveiliging krijgen.
Ik heb genoten van een zeer leerzame dag, waarbij er genoeg ruimte en tijd aanwezig is om met elkaar van gedachte te wisselen en na te praten. Wel is mijn verwachting enigszins bijgesteld. Ik verwachtte namelijk een groot aantal nerds/hackers te treffen. Door de commercialisering van het event is de aandacht verschoven naar de business. Hierdoor is het zeker interessant geworden voor security-specialisten, echter is het alleen minder interessant voor de nerds/hackers.