Archief

Betere beveiliging dankzij een integraal beleid

“Samen met de gemeente zijn we in staat geweest om het beveiligingsniveau te optimaliseren door het implementeren van een integraal beleid, zowel op het gebied van fysieke beveiliging als op het gebied van informatiebeveiliging.”

Een Nederlandse gemeente met ruim 20.000 inwoners had te maken met toenemende eisen en uitdagingen op het gebied van informatiebeveiliging. Binnen de organisatie was de CISO-rol een deeltijdfunctie; één medewerker mocht een beperkt deel van zijn tijd besteden aan informatiebeveiliging. Omdat dat onvoldoende was om hier goed invulling aan te kunnen geven, werd Sincerus om hulp gevraagd.

Leo Westra, security consultant bij Sincerus, is al sinds de eerste contacten met de gemeente (in 2008) bij dit project betrokken. Westra: “Om te kunnen bepalen wat de voornaamste uitdagingen waren op het gebied van beveiliging binnen de gemeente zijn we begonnen met het uitvoeren van een risicoanalyse. Dit gaf ons inzicht in de voornaamste risico’s waar de gemeente  mee te maken heeft. We hebben daarbij niet alleen gekeken naar ICT-risico’s, maar ook naar de fysieke risico’s. Kort voor aanvang van het traject was een gemeentehuis in een andere, nabijgelegen gemeente afgebrand. Zou dat hier ook kunnen gebeuren? Ook maakte de gemeente zich zorgen over haar relatie met bepaalde bevolkingsgroepen en wilde ze daar gepaste maatregelen op nemen. Daarnaast zouden industriële activiteiten in de omgeving van de gemeente risico’s met zich mee kunnen brengen.”

Sincerus heeft gecertificeerde medewerkers in dienst die in staat zijn analyses uit te voeren op het gebied van fysieke veiligheid. Westra: “Op basis van deze analyses hebben we een totaal risicobeeld voor de gemeente geschetst. Vervolgens hebben we een set van maatregelen opgesteld, die ook daadwerkelijk zijn geïmplementeerd. Het implementeren van deze maatregelen viel samen met een tijdelijke verhuizing van het gemeentehuis naar een nabijgelegen bejaardencentrum vanwege een grootschalige verbouwing. Hierdoor was het mogelijk om rekening te houden met de aanbevelingen die Sincerus had gedaan. De voorgestelde maatregelen konden direct bij de verbouwing worden meegenomen. Tegelijkertijd moest echter ook het tijdelijke onderkomen van de gemeente veilig worden gemaakt. Om dat te realiseren hebben we maatregelen getroffen om het bejaardencentrum tijdelijk aan te passen, zodat de fysieke veiligheid ook daar op het gewenste niveau was.“

Het integraal beveiligingsplan

Het uitvoeren van de risicoanalyse en het implementeren van de maatregelen vormde het begin van de relatie van Sincerus met de gemeente. Sincerus had inmiddels aangetoond een kundig en betrokken partner te zijn. Daarom werden Westra en zijn collega’s gevraagd een integraal beveiligingsplan op te stellen voor de gemeente. Zowel voor de fysieke beveiliging als de ICT-beveiliging. Westra: “We hebben een goed doordacht advies uitgebracht. De gemeente kon zich hierin vinden en vroeg ons te helpen om de mensen binnen de gemeentelijke organisatie te trainen en op te leiden, zodat zij het beveiligingsplan op de juiste manier konden uitdragen en uitvoeren.

Op advies van Sincerus was een jurist als privacy officer aangesteld; de controller moest toezicht houden op de invoering van de beveiligingsmaatregelen en informatie hierover opnemen in de jaarrekening; de CISO was verantwoordelijk voor de daadwerkelijke implementatie en uitwerking van de maatregelen. Ook medewerkers binnen het sociale domein speelden een belangrijke rol in het borgen van de informatieveiligheid. Dit vanwege de gevoelige informatie waarmee zij in aanraking komen. Binnen dit domein bestaat bovendien de noodzaak om toegang te hebben tot bijzondere persoonsgegevens, waardoor specifieke beveiligingsrichtlijnen en extra toezicht vereist is. Alle direct betrokken personen binnen de organisatie werden door Sincerus bij de hand genomen en getraind, zodat zij over de noodzakelijke kennis en kunde zouden beschikken.”

Bewustwordingscampagne voor medewerkers

Niet alleen de direct betrokkenen, maar ook de overige gemeentemedewerkers moeten het belang van informatiebeveiliging en fysieke beveiliging inzien. De gemeente vroeg Sincerus om een bewustwordingscampagne op te starten, zodat ook zij zich hiernaar zouden gedragen. Deze campagne zou moeten leiden tot een verandering in kennis, houding en vaardigheden. Westra: “Samen met de gemeente hebben we een programma opgesteld, welke bestond uit verschillende trajecten, waarbij we zeer gedifferentieerd te werk zijn gegaan. De taal die mensen spreken is namelijk niet voor iedereen gelijk. Het programma is daarom aangepast aan de rollen van de medewerkers. Om de resultaten meetbaar te maken, hebben we KPI’s opgesteld, op basis waarvan we veranderingen in bewustwording objectief zouden kunnen staven.

Het aantal incidenten op het gebied van informatiebeveiliging is een goede graadmeter. Denk hierbij aan incidenten met wachtwoorden, zoals het aantal keren dat medewerkers hun wachtwoord kwijt zijn. Maar we hebben ook fysieke penetratietesten uitgevoerd in de vorm van mystery guest-bezoeken. Worden mensen die niks in het gemeentehuis te zoeken hebben aangesproken door medewerkers of kunnen zij zich vrijelijk bewegen? Mystery guests werden in een eerder stadium geen strobreed in de weg gelegd. Soms konden zij zich zelfs toegang verschaffen tot gevoelige informatie. Na de invoering van het bewustwordingsprogramma werden zij al in een vroeg stadium aangesproken en tegengehouden. Op basis hiervan konden we concluderen dat de bewustwording sterk gegroeid was dankzij de invoering van het programma.”

Bedrijfscontinuïteitsplan als vervolg

Een interessant uitvloeisel van het door Sincerus opgestelde informatiebeveiligingsplan was het bedrijfscontinuïteitsplan. Westra: ”Op basis van de GBA-wetgeving is de gemeente verplicht om in staat te zijn de dienstverlening binnen 24 uur te herstellen, als zich een calamiteit heeft voorgedaan. Om aan deze eis te kunnen voldoen heeft Sincerus de gemeente geholpen een uitwijklocatie in te richten. Vervolgens is deze uitwijk uitgebreid getest.”

De samenwerking tussen de gemeente en Sincerus begon met een analyse en het implementeren van een set maatregelen. Deze is uitgegroeid naar een strategische samenwerking op het gebied van beveiliging. Westra: “Deze relatie is voor ons erg interessant. Samen met de gemeente zijn we in staat geweest om het beveiligingsniveau te optimaliseren door het implementeren van een integraal beleid. Zowel op het gebied van fysieke beveiliging als op het gebied van informatiebeveiliging.”

Verbeteren van de informatiebeveiliging voor gemeenten

“Op basis van de bevindingen hebben we de gemeente heel concrete adviezen kunnen geven voor het verbeteren van de informatiebeveiliging”

Alle Nederlandse gemeenten hebben toegezegd om (vanaf het begin van 2017) te voldoen aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De BIG is een zelfreguleringsinstrument en bestaat uit een set van beveiligingsmaatregelen, inclusief fysieke beveiliging, waarmee gemeenten een basis-beveiligingsniveau kunnen halen. Een Nederlandse gemeente met bijna 70.000 inwoners wilde advies voor het verbeteren van de informatiebeveiliging. Daarnaast hebben veel Nederlandse gemeenten te maken gehad met een datalek; iets wat de gemeente absoluut wilde voorkomen.

De gemeente besloot een gespecialiseerde partij om hulp te vragen bij het bepalen van het informatiebeveiligingsniveau. Op basis van de bevindingen van deze gespecialiseerde partij wilde de gemeente maatregelen nemen om op het vereiste niveau te komen en dit niveau vast te houden.

De gemeente schreef meerdere partijen aan. Na een uitgebreid selectieproces werd Sincerus vanwege haar uitgebreide aantoonbare ervaring binnen het informatiebeveiligingsdomein en de transparantie en volledigheid van het actieplan dat Sincerus presenteerde als leverancier/partner gekozen.

Interne en externe penetratietest

Sincerus consultant Gerben Visser was als ethical hacker/ pentester betrokken bij dit project. Visser: “Om gefundeerde uitspraken te kunnen doen over het informatiebeveiligingsniveau van de gemeente hebben we – in nauw overleg met de gemeente – drie acties uitgevoerd. Allereerst hebben we een interne en externe penetratietest uitgevoerd. Vervolgens hebben we door een mystery guest bezoek lekken in de fysieke beveiliging blootgelegd en inzicht geboden in de houding en het gedrag van medewerkers bij “visite” van ongenode gasten. En daarnaast is een phishing-actie uitgevoerd. Door deze verschillende acties in een korte periode uit te voeren konden we de kwetsbaarheden in de organisatie goed weergeven en konden we bovendien inzichtelijk maken hoe deze kwetsbaarheden in elkaar overlopen en elkaar beïnvloeden.”

Raadplegen van externe bronnen

Sincerus gaat hierbij zeer gestructureerd te werk. Visser: “We beginnen een dergelijk traject altijd met het vergaren van informatie. Voorafgaand aan de externe penetratietest raadplegen we publieke bronnen. We zoeken op LinkedIn en Google en bekijken vacatures om informatie te achterhalen over de infrastructuur van de klant en de IT-systemen die bij de organisatie in gebruik zijn. Ook doorzoeken we documenten die online staan op metadata; vaak kan hier gebruikersdata uit gefilterd worden. Vervolgens ordenen we alle verkregen informatie en identificeren we informatie die ons kan helpen de organisatie binnen te dringen. We kijken welke versies van services en applicaties gebruikt worden en gaan na welke bekende kwetsbaarheden we zouden kunnen gebruiken. Tenslotte gaan we in de applicaties zelf kijken of we kwetsbaarheden kunnen identificeren. We bootsen op die manier de werkwijze na van een kwaadwillende die het interne netwerk wil binnendringen.”

Ook voerde Sincerus een interne penetratietest uit. Visser: “Bij een interne test wordt bijvoorbeeld gekeken of het mogelijk is om toegang tot een primair informatiesysteem te krijgen. Dit wordt vanuit een door de klant bepaalde locatie uitgevoerd bijv. een algemene netwerkaansluiting. De onderzoeksvraag die dan beantwoord dient te worden, is bijvoorbeeld: “Kun je op het interne netwerk komen via het publieke wifi? En als het lukt om toegang te krijgen tot het netwerk dat door de medewerkers gebruikt wordt, welke informatie is dan toegankelijk?”

Mystery guest

Om een zo volledig mogelijk beeld te krijgen van het niveau van de informatiebeveiliging van de organisatie voerde Sincerus ook een mystery guest-bezoek uit. Ook hiervoor werden eerst publieke bronnen geraadpleegd. Visser: “We vonden online informatie over een aanbesteding die gewonnen was door een schoonmaakbedrijf. Om het niveau van het schoonmaakwerk te kunnen verifiëren, voert het schoonmaakbedrijf regelmatig controles uit.

Door ons voor te doen als controleurs van het desbetreffende schoonmaakbedrijf, kregen we direct een tag uitgereikt bij de receptie. Met deze tag van de gemeente hadden we toegang tot bijna het hele gebouw. Met een videocamera in een laptoptas en onze mobiele telefoons hebben we foto’s gemaakt van mogelijk vertrouwelijke informatie. Ook konden we de gemeente inzicht geven in beveiligingsrisico’s door toegang te realiseren tot archieven, het kunnen benaderen van individuele PC’s die niet gelocked waren en het interne netwerk door simpelweg een ethernet- kabel in een eigen laptop te prikken.”

Phishing-emails

Steeds meer malware en ransomware aanvallen vinden plaats middels phishing-aanvallen. De mate van succes van dergelijke aanvallen is afhankelijk van de “weerbaarheid” van medewerkers. Daarom is het van belang om regelmatig te testen hoe zij reageren op phishing-emails. Een dergelijke actie werd ook bij de gemeente uitgevoerd. Visser: “Van de gemeente ontvingen we een lijst met e-mailadressen. Naar deze adressen hebben we een e-mail gestuurd met een link naar een portal. Deze zag eruit als een website die door medewerkers van de gemeente veel gebruikt wordt. Zij kregen het verzoek om op deze site hun gebruikersnaam en wachtwoord in te vullen. Uiteraard kregen wij geen inzicht in deze informatie, maar we konden wel de lengtes van de verschillende wachtwoorden zien. Op die manier konden we inzichtelijk maken hoeveel mensen op de link hadden geklikt en hun gegevens hadden achtergelaten.”

Door het uitvoeren van deze verschillende acties kon Sincerus de gemeente een uitgebreid beeld geven van de kwetsbaarheden binnen de organisatie. Visser: “Op basis van de bevindingen hebben we de gemeente heel concrete adviezen kunnen geven voor het verbeteren van de informatiebeveiliging. Met daarbij de suggestie om op regelmatige basis een her-test te laten uitvoeren,. Het doel hiervan is om de organisatie aantoonbaar veiliger te maken en de security naar een hoger niveau te tillen.”

Verbeteren informatiebeveiligingsniveau Nederlands technologiebedrijf

“Dankzij de nieuwe norm zijn we in staat het informatiebeveiligingsniveau van alle locaties te verbeteren.”

Een Nederlands technologiebedrijf dat actief is in 34 landen wereldwijd had de wens om al haar fabrieken op een bepaald (minimaal) niveau van informatiebeveiliging te brengen. Deze fabrieken variëren sterk, in grootte en type, en bevinden zich in landen met grote verschillen in cultuur, geografie en klimaat. Het technologiebedrijf wilde een norm ontwikkelen. Met deze norm kunnen alle verschillende fabrieken vaststellen in hoeverre ze voldoen aan de informatiebeveiligingseisen en waar de “gaps” zitten.

Sincerus werd gevraagd om de ontwikkeling van de nieuwe norm vorm te geven. Doel hierbij was om te komen tot pragmatische maatstaven en criteria. Gerald Lijesen is vanuit Sincerus als consultant betrokken bij dit project. Lijesen: “We hebben de nieuwe norm ontwikkeld, op basis van onze uitgebreide ervaring op dit gebied en een stevige dosis gezond verstand. Verder zijn diverse normenkaders, waaronder ISO27002 als richtlijn gebruikt. Dergelijke normenkaders zijn uitstekende hulpmiddelen, maar sommige maatregelen zijn niet voor alle organisaties relevant.  Terwijl de implementatie ervan juist veel tijd en effort kan vergen. Een volledige implementatie van bijvoorbeeld ISO27002 binnen alle fabrieken zou voor het technologiebedrijf te ver voeren; een gecomprimeerd, meer toegespitst normenkader was gewenst. De organisatie wilde slechts zestig tot honderd controls invoeren! Aanvullende eis hierbij was, dat de verschillende fabrieken zichzelf zouden kunnen bevragen om het informatiebeveiligingsniveau te bepalen.”

Gap-analyse

Om fabrieken in staat te stellen snel en eenvoudig inzicht te krijgen in het verschil tussen de soll en de ist-situatie stelde Sincerus een questionnaire op. Lijesen: “Door gebruik te maken van de questionnaire kunnen de fabrieken snel een gap-analyse uitvoeren. Deze kan vervolgens worden omgezet in een informatiebeveiligingsplan, waarvoor we ook een template hebben aangeleverd.”

Om het basisniveau van informatiebeveiliging per locatie vast te kunnen stellen, te kunnen vergelijken en te kunnen verbeteren, stelde Sincerus beheersmaatregelen, doelstellingen en implementatierichtlijnen op. Lijesen: “Vóór de invoering van de nieuwe norm was de organisatie vooral reactief. Klanten stelden eisen en daaraan werd voldaan. De laatste jaren is echter het besef doorgedrongen dat informatiebeveiliging geen obstakel, maar juist een business enabler is. De combinatie van dit kwaliteitsbesef en de wens vanuit het management om compliance op het gebied van informatiebeveiliging aan te kunnen tonen richting accountants en auditors, heeft ervoor gezorgd dat dit hoge prioriteit heeft gekregen binnen de organisatie en inmiddels succesvol is geïmplementeerd op diverse locaties.”

Managed Services Provider vertrouwt op Sincerus voor security monitoring

“De kwaliteit van de dienstverlening wordt op een objectieve manier gestaafd, 24×7.”

Een vooraanstaande data center / cloud provider biedt connectivity aan meer dan 700 klanten in ruim 40 landen, verspreid over 5 continenten. In Nederland heeft de organisatie drie data centers, waaronder een colocatie-ruimte in Amsterdam. Deze locatie staat direct in verbinding met de Amsterdam Internet Exchange (AMS-IX) en de Neutral Internet Exchange (NL-ix).

Een van de klanten van de cloud provider is een overheidsorganisatie. De organisatie is verantwoordelijk voor het beheer, de doorontwikkeling en de overheidsbrede toepassingen van specifiek voor de overheid ontwikkelde diensten en standaarden. De overheidsorganisatie vroeg de cloud provider om haar systemen en platformen te hosten en te beheren. Deze platformen en systemen spelen vaak een cruciale rol in de bedrijfsvoering van bedrijven en organisaties. Om ervoor te zorgen dat de beschikbaarheid van deze business-kritische systemen, platforms en toepassingen gegarandeerd is en om veiligheidsrisico’s in een zeer vroeg stadium te kunnen detecteren, eiste de overheidsorganisatie dat de omgeving voortdurend gemonitord zou worden.

SIEM Softwareoplossing

De cloud provider vroeg Sincerus om hierbij te assisteren. Peter Westerveld is vanuit Sincerus als projectleider en consultant bij het project betrokken. Westerveld: “De cloud provider had al een keuze gemaakt voor een Security Information and Event Monitoring softwareoplossing. Zij hadden alleen niet de specialistische kennis in huis die vereist is om de informatie die door deze tooling gegenereerd wordt te analyseren, interpreteren en om te zetten in de juiste acties. Bovendien realiseerde de overheidsinstantie zich dat het verstandig zou zijn om het security monitoring deel uit te besteden aan een onafhankelijke partij. Op deze manier kan de organisatie op een objectieve manier van analyses en adviezen worden voorzien.”

Hoe is Sincerus hierbij te werk gegaan? Westerveld: “Een SIEM verzamelt logging-informatie van een grote diversiteit aan security componenten in de gemonitorde platforms. Vervolgens wordt gekeken naar de correlatie tussen de verschillende gebeurtenissen. Twee op zichzelf staande gebeurtenissen hoeven niet veel te betekenen, maar een combinatie van die gebeurtenissen kan wel aanleiding zijn tot zorg. Het systeem geeft een alert af als iets dergelijks plaatsvindt. Deze alerts worden in de gaten gehouden in ons Security Operations Center (SOC). Wij hebben specialisten in dienst die in staat zijn deze alerts door te analyseren: gebeurt hier iets geks?

Als dat het geval is wordt – op basis van een vooraf bepaalde prioritering – direct de juiste actie genomen. Het installeren van een SIEM-oplossing is niet zo spannend, maar het fine tunen, configureren en inleren vereist de nodige kennis en ervaring. De toegevoegde waarde van Sincerus zit hem in de kwaliteit van onze mensen. Wij hebben zeer ervaren analisten in dienst, die continue bijgeschoold en getraind worden. Zij weten op welke manier de informatie die het SIEM genereert geïnterpreteerd moet worden en kunnen de klant helpen de juiste maatregelen te nemen.”

Monitoren van informatiebeveiliging

Uitbesteding van het monitoren van de informatiebeveiliging gebeurt vaak uit kostenoverwegingen. Westerveld: “Het opzetten van een SOC of SIEM-dienst is zeer kostbaar. Als je dat 24×7 wilt uitvoeren, heb je zeven of acht goed gekwalificeerde mensen nodig. Aangezien informatiebeveiliging niet de core business is van onze klanten, is dat een enorme uitdaging voor ze. Het is vele malen efficiënter om een abonnement af te sluiten met een gespecialiseerde en onafhankelijke partij als Sincerus.”

Dankzij de samenwerking met Sincerus is de cloud provider in staat om proactiever te handelen op mogelijke security issues. Westerveld: “De organisatie kan aantonen dat haar omgeving rond de klok in de gaten wordt gehouden door een externe partij. Op deze manier kan de kwaliteit van de dienstverlening op een objectieve manier gestaafd worden.”

Pentest & code-inspectie voor verzekeraar

“Dankzij Sincerus kon de zorgverzekeraar aantonen dat werd voldaan aan het normenkader dat door DigiD was opgesteld.”

DigiD is de naam van een systeem waarmee Nederlandse overheden op internet iemands identiteit kunnen verifiëren; een soort digitaal paspoort voor overheidsinstanties. DigiD is in beheer bij de gemeenschappelijke beheerorganisatie van de overheid: Logius.

Een Nederlandse zorgverzekeraar met enkele miljoenen verzekerden gebruikt DigiD om klanten via haar website toegang te geven tot informatie. Om toestemming te krijgen en te houden voor het gebruik van DigiD als inlogmiddel, worden strenge eisen gesteld aan de veiligheid van de web-omgeving van de zorgverzekeraar. De zorgverzekeraar moet op regelmatige basis (en in ieder geval een keer per jaar) aangeven in hoeverre de omgeving voldoet aan verschillende criteria die gespecificeerd zijn in een norm. Een dergelijke audit dient te worden uitgevoerd door een externe partij. Vanwege haar uitgebreide kennis van informatiebeveiliging en ruime ervaring met penetratietesten werd Sincerus om hulp gevraagd.

Marco Schultewolter was als Technisch Security Consultant vanuit Sincerus bij het project betrokken. Schultewolter: “Om te bepalen in hoeverre de zorgverzekeraar voldeed aan de norm hebben we verschillende tests uitgevoerd en checks gedaan. Allereerst hebben we de architectuur tegen het licht gehouden en gekeken of hier vanuit informatiebeveiligingsperspectief kwetsbaarheden in te ontdekken waren. Daarnaast hebben we penetratietesten uitgevoerd, zowel op een white box als op een black box manier. Ook hebben we een “her-test” gedaan: we hebben geverifieerd of kwetsbaarheden die in voorgaande tests naar voren kwamen nu onder controle zijn.

Pentesten

Er kunnen diverse soorten penetratietests worden onderscheiden, de witte doos penetratietests (Engels: white box pentest) of de zwarte doos penetratietests (Engels: black box pentest). In het eerste geval krijgt de pentester voor het testen al informatie over het netwerk of de computer die getest wordt. In het laatste geval juist niet.
Tenslotte hebben we een code-inspectie uitgevoerd. We hebben gekeken hoe de code van de portal is opgebouwd en welke keuzes zijn gemaakt op het gebied van design. Uit de tests en scans die we hebben uitgevoerd, zijn verschillende verbeterpunten naar voren gekomen. Daarnaast hebben we risico’s inzichtelijk kunnen maken, zodat de benodigde maatregelen genomen konden worden. Op basis van de code-inspectie hebben we inzicht kunnen verschaffen in de mate waarin de gemaakte keuzes veilig zijn geweest. Interessant hierbij was dat we een kwetsbaarheid hebben kunnen identificeren die in een later stadium tot problemen had kunnen leiden. Op basis van deze bevinding is een belangrijke verandering doorgevoerd in de richtlijn voor de ontwikkelaars van de zorgverzekeraar.”