Wednesday, August 31, 2016

Swift-systeem weer getroffen door hack

Swift-systeem weer getroffen door hack

Bij het internationale betalingssysteem Swift, gevestigd in Brussel, zijn sinds juni dit jaar weer diverse hacks uitgevoerd. Bij diverse banken waren deze aanvallen succesvol en is geld buitgemaakt. Dat meldt persbureau Reuters op basis van een brief naar Swift-gebruikers.
In een brief naar Swift-klanten staat dat hackers zochten naar kwetsbaarheden in de netwerken van banken. Daarna stuurden de cybercriminelen frauduleuze mails voor neptransacties. Bij sommige banken is geld buitgemaakt, maar er worden geen bedragen bekend gemaakt.
Swift laat weten dat de banken met geslaagde aanvallen weinig gemeen hadden: ze variëren in grootte en geografische locatie. Wel zou het bij deze banken schorten op het gebied van de beveiliging bij Swift-overschrijvingen.
In februari vond een grote hack plaats bij Swift-klant Bangladesh Bank. Sindsdien probeert Swift zijn klanten te overtuigen om hun (cyber)beveiliging op orde te brengen. Bijvoorbeeld met authenticatie of het uitvoeren van software-updates. 

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5827132). © Jaarbeurs IT Media.

Monday, August 29, 2016

Verhoeven: afzwakken encryptie helpt terroristen en criminelen

Verhoeven: afzwakken encryptie helpt terroristen en criminelen

maandag 29 augustus 2016, 16:54 door Redactie, 6 reacties
Het afzwakken van encryptie zoals de Duitse en Franse autoriteiten willen en mogelijk ook minister Van der Steur speelt alleen terroristen en criminelen in de kaart, aldus D66-Kamerlid Kees Verhoeven. "Door het afzwakken van encryptie heeft namelijk niet alleen de overheid een achterdeur. Het zet de deur ook wagenwijd open voor cybercriminelen", schrijft Verhoeven in een column voor The Post Online.
Volgens het Kamerlid is encryptie juist zeer belangrijk om gegevens te beschermen. Daarnaast helpt het toevoegen van backdoors of het op andere manieren verzwakken van encryptie niet bij de bestrijding van terroristen. "Terroristen en cybercriminelen kunnen hun berichten gemakkelijk versleutelen via zelfgemaakte software of andere vrij beschikbare software. Het zal terroristen en criminelen er dus niet van weerhouden hun onderlinge communicatie te versleutelen", stelt Verhoeven. Het Kamerlid waarschuwt dat hierdoor wel de gevaarlijke situatie ontstaat dat de overheid berichten van criminelen en terroristen niet kan lezen, terwijl de overheid het voor deze partijen wel makkelijker maakt om gegevens van burgers en bedrijven te stelen.
Volgens Verhoeven staart het kabinet zich blind op maatregelen die voor de veiligheidsdiensten interessant lijken, maar voor miljoenen mensen gevaarlijk zijn. Vanwege alle kritiek hierop is in het wetsvoorstel Computercriminaliteit III het inbreken op versleutelde berichten geschrapt, maar nu lijkt het alsof minister Van der Steur dit soort backdoors via een politieke achterdeur toch weer probeert terug te brengen, gaat Verhoeven verder. "De oplossing is niet het afzwakken van versleuteling. Die versleuteling moeten we voor de veiligheid van miljoenen onschuldige gebruikers en in de strijd tegen cybercriminelen, juist intact laten", aldus het D66-Kamerlid.

https://www.security.nl/posting/483302/Verhoeven:+afzwakken+encryptie+helpt+terroristen+en+criminelen?channel=rss&utm_source=twitterfeed&utm_medium=twitter

Amidst of Apple vs. FBI debacle and successful attempt of a breach at NSA headquarters by a hacker group, a new torch has flamed internationally by France and Germany calling for a European Decryption Law.

Amidst of Apple vs. FBI debacle and successful attempt of a breach at NSA headquarters by a hacker group, a new torch has flamed internationally by France and Germany calling for a European Decryption Law.

Months after the FBI-Apple encryption case standoff in the U.S. and NSA headquarters breach by hackers has started a global debate on encryption between governments and pro-security supporters.
On Tuesday, a joint press conference “Franco-German initiative on internal security in Europe” in Paris was held by Germany’s Interior Minister Thomas de Maizière and France’s Interior Minister Bernard Cazeneuve, they called on the European Commission to think for possible new legislative act to force operators offering products or telecommunications services to decrypt messages or to remove illegal content for government investigators.
A directive, if issued by the European Commission, is a kind of EU decryption law that must pass through the interpretation stage of European Union’s member states to become a national law at European level. Meanwhile, at the international level, they also called for the signing and ratification of the Budapest Convention on Cybercrime.
These propositions by the two ministers were issued based on the incidents of terrorist attacks happened in their countries, and the attackers were said to be using the highly encrypted communications apps.
That being said, there is already a directive in practice for national security pointed out by Commission spokesperson Natasha Bertaud. In an email statement to the Fortune she said,
“The current data protection directive (which also applies to the so-called over-the-top service providers) allows member states to restrict the scope of certain data protection rights where necessary and proportionate to, for instance, safeguard national security, and the prevention, investigation, detection and prosecution of criminal offences,” she further added that “The new general data protection regulation (which will apply as from 25 May 2018) maintains these restrictions.”
In an opinion based statement on encryption, the German minister talked about “good practices” and “innovative ideas” to tackle encryption. Whereas, his fellow French minister stepped the press conference up by specifically naming the Telegram app and criticizing it.
Whatsapp and Telegram took their stance by stating that they cannot decrypt the data because of the encryption mechanism where only users have the access to their conversations. Even though a data protection directive is in practice, the explicit agenda upon access to encryption may be to have control over such apps internationally and EU-wide.
Decryption law Europe-426x188
Giving her opinion on the matter of encryption, in a French editorial Le Monde, Isabelle Falque-Pierrotin, President of the National Commission on Informatics and Liberties, France’s data protection authority.
“It is through encryption that we can make a bank transfer safely. It is through encryption that we can store our health data in a shared medical file (DMP) online. It is also thanks to this tool that investigations on “Panama Papers ” were possible. For companies, encryption is now the best protection against economic espionage,” she wrote.
Earlier this year in the U.S., over the debate in FBI-Apple encryption suit we saw telecommunication providers backing up Apple and the anti-encryption hardliners such as Senator Lindsey Graham, switching sides in favor of Apple after realizing the technical reality of the case.
“I was all with you until I actually started getting briefed by the people in the intel community,” Graham told Attorney General Loretta Lynch during Senate Judiciary Committee hearings. “I will say that I’m a person that’s been moved by the arguments about the precedent we set and the damage we might be doing to our own national security.”
The strong of the anti-backdoor and pro-encryption opinion came from European Commission Vice-President, Andrus Ansip who supported Apple’s decision for refusing to unblock the iPhone of the terrorist.
“Identification systems are based on encryption. I am strongly against having any kind of backdoor to these systems.
In Estonia, for example, we have an e-voting system. If people trust an e-banking system, they can also trust an e-voting system. This trust is based on a strong single digital identity guaranteed by the government, which is based on encryption. The question is who will trust this e-voting system if there are some back doors and someone has the keys to manipulate the results. The same goes for the e-banking system.”
European Parliament resolution on September 2015 on “human rights and technology” turns out to be in favor of strong encryption.
As the debate is heating up, the next step could be the revision of “e-privacy” directive of European Union. Refreshing the memory of may 2016, the EU executive body set out new e-privacy proposal, that would significantly change the telecommunication regulation, to create a “level playing field”  between traditional and online telecommunications services like Skype and Whatsapp.
According to the Financial Times quoted documents, the European Commission will further proceed the e-privacy revision and bring Microsoft’s Skype and Facebook’s WhatsApp to same regulatory fold as traditional telecommunication operators and may explicitly ask for decryption orders. That would affect Google, Netflix, Amazon and Apple as well in the EU.
There are also some news of possible opinion that French and German governments are running into elections next year, and are using this tactics to strong arm them. The press release has started a global tug of war but there is no easy answer to what’s come next.
About the Author
RebeccaJamesRebecca James is Chief Editor at Most Secure VPN. She has worked with diversified online businesses to help grow and voice their presence on Social Media. She is passionate about online security and privacy, blogging and living life in outskirts. You can reach Rebecca on Twitter (@rebecca_jeames) or directly at mostsecurevpn.com

http://securityaffairs.co/wordpress/50707/laws-and-regulations/france-germany-decryption-law.html

 

Tuesday, August 23, 2016

ISO 27001`: Op weg naar volwassenheid in informatiebeveiliging

ISO 27001`: Op weg naar volwassenheid in informatiebeveiliging


ISO 27001 kan prima dienen als leidraad om informatiebeveiliging te verbeteren.
© Pixabay CC0 Public Domain
De vraag naar verantwoording en transparantie over informatiebeveiliging, die voorheen vooral intern gericht was, groeit en zal naar verwachting blijven groeien, zowel intern als extern. In Duitsland moeten energiebedrijven inmiddels verplicht aantoonbaar in control zijn middels een certificering conform ISO 27001. Deze norm kan – voorafgaand aan en los van certificering – ook als leidraad fungeren om de informatiebeveiliging op hoger plan te brengen.
IT WORDT ALGEMEEN GEZIEN ALS GROTE ENABLER, maar informatiebeveiliging heeft het stempel van kostenpost en vervelende beperking. Terwijl informatiebeveiliging juist duidelijkheid kan bieden ten aanzien van de risico’s rondom de informatievoorziening. De sleutel ligt in de beleving van het onderwerp, men ziet informatiebeveiliging als:
Onduidelijk veelkoppig monster: Informatiebeveiliging omvat een veelheid van ongelijksoortige onderwerpen, zoals netwerken, datacenters, servers, werkplekken en toepassingen, en ook wetgeving, medewerkers en leveranciers. Dit kan ontmoedigend werken en na verloop van tijd de vraag oproepen of er niet al genoeg aan informatiebeveiliging wordt gedaan.
Hinderlijk: De meeste mensen ervaren informatiebeveiliging als hinderlijk, soms zelfs schadelijk voor een effectieve bedrijfsvoering. Het is moeilijk maatregelen te formuleren die zowel de bedrijfsbelangen dienen als aan de eisen van informatiebeveiliging voldoen.
Virtueel probleem: Dankzij goede informatiebeveiliging doen zich binnen de organisatie relatief weinig incidenten voor. Het beeld kan ontstaan dat men onkwetsbaar is. De noodzaak van  maatregelen en gedrag wordt dan niet ingezien.
Extra kosten: Informatiebeveiliging wordt als extra kostenpost gezien omdat het binnen IT-projecten vaak onvoldoende onderdeel is van de initiële eisenspecificaties. Bovendien zijn die eisen vaak in algemene termen geformuleerd, waardoor de consequenties ervan niet tijdig duidelijk zijn.
Technisch complex: Informatiebeveiliging vraagt om expertise. De gedachtewereld en taal van deze specialisten sluit niet aan bij die van het management. Dit bemoeilijkt de communicatie en besluitvorming aangaande de maatregelen.
Een bijzaak: De voor informatiebeveiliging verantwoordelijke information security manager heeft vaak geen eigen budget.
Buiten de comfort-zone: Verantwoording en transparantie. Dat betekent immers dat de organisatie onder een vergrootglas komt en extern geformuleerde eisen moeten worden geaccepteerd. Voor een certificering moeten waarschijnlijk additionele maatregelen doorgevoerd worden, hetgeen tijd en geld kost. Zeker als de voordelen van certificering voor de kwaliteit van de informatievoorziening niet duidelijk zijn, zullen veel organisaties van certificering afzien.
In dit artikel stellen wij een stappenplan voor die bovengenoemde belemmeringen zo veel mogelijk wegneemt.

1: RISICOANALYSE

Om niet lukraak beleid toe te passen is het nodig om risico’s in kaart te brengen en bewustwording op het niveau van management te realiseren. Voer een risicoanalyse uit en betrek hierbij alle personen die verantwoordelijk zijn voor de informatievoorziening.
In deze analyse moet aandacht zijn voor de manier waarop de bedrijfsprocessen met informatie omgaan, de door hen gebruikte toepassingen, de infrastructuur waarop ze draaien en de processen en procedures voor de informatievoorziening. Beschrijf voor elk van deze gebieden welke bedreigingen de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening in gevaar kunnen brengen.

Cyclus van continue verbetering

Cyclus van continue verbetering
Risicoanalyse informatiebeveiliging: Gebruik formele en door de organisatie gehanteerde methodes voor het uitvoeren van de risicoanalyse, het waarderen van risico’s en het accepteren van restrisico’s, het goedkeuren van de risicoanalyse door het management, en de opvolging van de risico’s.
Statement of Applicability: Toon aan welke normen van ISO 27002 van toepassing zijn en welke niet: in het laatste geval moet aangegeven worden waarom niet. Het Statement of Applicability moet door het management formeel goedgekeurd worden.
Interne audit informatiebeveiliging: De organisatie moet zich er formeel van vergewissen dat de cyclus voor informatiebeveiliging conform de eisen van ISO 27001 doorlopen wordt. De auditerende partij moet gecertificeerd zijn voor het uitvoeren van ISO 27001-audits.
Management review: Het management dient zich ervan te overtuigen dat het proces informatiebeveiliging goed doorlopen wordt.
Doorvoeren van verbeteringen: Uit alle hierboven genoemde onderdelen van de cyclus komen acties ter verbetering voort. De uitvoering van deze acties dient bewaakt te worden, over de voortgang ervan moet worden gerapporteerd.
De risicoanalyse vormt het uitgangspunt voor de beveiligingsmaatregelen. Geef voor elk in de risicoanalyse geïdentificeerde bedreiging aan welke maatregelen al zijn getroffen op de gebieden organisatie, mens en techniek. Maak hierbij onderscheid tussen vier soorten maatregelen:
  • Preventief: incidenten voorkomen,
  • Detectief: incidenten zo snel mogelijk te signaleren,
  • Repressief: schade zo snel en zoveel mogelijk beperken,
  • Correctief: de oorzaak wegnemen.
Geef voorts aan welke verdere maatregelen zullen volgen en beoordeel zowel inhoudelijk als financieel, op basis van het geschatte schade van de bedreigingen en de kosten van de maatregelen, of de risico’s adequaat worden gemitigeerd. Doordat het management van de organisatie de risicoanalyse beoordeelt en goedkeurt wordt een eerste stap gezet op het gebied van de bewustwording: het management krijgt zicht op zowel de belangrijke risico’s als de hiertegen noodzakelijk geachte maatregelen.

2: RICHTLIJNEN

Wanneer vaststaat welke maatregelen volgen, worden zij concreet gemaakt in het informatiebeveiligingsbeleid (information security policy). Maak hiertoe een lijst van alle maatregelen en stel concrete richtlijnen op die eisen stellen aan de verschillende aspecten van die maatregelen. Doel hiervan is het draagvlak, de aantoonbaarheid en de volledigheid te waarborgen.
Draagvlak betreft het creëren van bewustwording van en commitment aan informatiebeveiliging. Betrek hiertoe IT-professionals en eindgebruikers bij het vaststellen van het informatiebeveiligingsbeleid.
Aantoonbaarheid betreft het opstellen van beheersmaatregels die concreet en meetbaar zijn en in een richtlijn kunnen worden verwoord. Neem tevens in een vroegtijdig stadium kennis van de best-practice-richtlijnen en -maatregelen (ISO 27002), die als voorbeeld en inspiratie voor concrete richtlijnen kan worden gebruikt.
Volledigheid betreft de zekerheid dat de maatregelen de organisatie beschermen tegen alle relevante risico’s ten aanzien van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening.

CERTIFICERING IN FASEN

Veel organisaties zien op tegen de omvangrijke operatie waarin de organisatie audit-ready wordt gemaakt en geaudit. Voer het certificeringstraject daarom gefaseerd uit:
• Nulmeting: Een proefcertificering met als doel op basis van ISO 27001 de sterke en de zwakke punten boven water te krijgen. Een organisatie kan tijdens de nulmeting wennen aan certificering en de zwakke punten wegnemen.
• Eerste certificering: Een ISO 27001 certificering kan voor een beperkte scope van een organisatie uitgevoerd worden. Kies hiervoor een organisatiedeel dat de organisatie sterk in de greep heeft waardoor men snel afspraken kan maken en acties kan doorvoeren. De organisatie krijgt een beperkte periode om eventueel gevonden tekortkomingen weg te werken, waarna certificering volgt.
• Vervolgcertificeringen: Met de ervaring van de eerste certificering kan de certificering van andere processen beginnen. Aangezien bekend is welke eisen aan de certificering gesteld worden, kunnen deze in de aanloop van de vervolgcertificering met de betrokkenen besproken worden. Op basis hiervan kunnen verbeterende acties ondernomen worden.
Na iedere fase kan bezien worden of, en voor welke onderdelen een volgende fase nodig is.

3: CONTROLE EN RAPPORTAGE

Informatiebeveiliging is alleen dan effectief wanneer wordt getoetst dat conform de richtlijnen wordt gehandeld. Stel vast van welke richtlijnen naleving moet worden getoetst. Maak daarin onderscheid tussen:
• Cruciale richtlijnen: Richtlijnen die bij onvoldoende naleving een groot risico voor de organisatie betekenen. De rapportage hierover vormt de basis voor de KPI-rapportage over informatiebeveiliging aan het hogere management.
• IT-projecten: Een project dient aan te geven hoe het zich conformeert aan de richtlijnen en hoe het omgaat met afwijkingen. Controle en rapportage betreft het tijdig opleveren en goedkeuren van het conformiteitsdocument.
• Toepassingen en infrastructuur: De doorvoering van de richtlijnen voor beheer van toepassingen en infrastructuur kan in de loop van de tijd teruggelopen zijn. Controle en rapportage betreft de kwaliteit van de doorvoering van de richtlijnen.
• Tests: De twee belangrijkste tests zijn de disaster recovery test en de ethical hack. De disaster recovery test is bedoeld om na te gaan of de voorzieningen voor continuïteit daadwerkelijk functioneren. Bij een ethical hack worden de maatregelen voor informatiebeveiliging in de praktijk getest om vast te stellen of zij afdoende robuust zijn.
Ten aanzien van deze toetsing moeten afspraken worden gemaakt over de corre-
­sponderende controle- en rapportage­trajecten. Leg richtlijnen vast ten aanzien van onder meer de frequentie, de te hanteren norm en eventuele opvolging.

4: HANDLEIDING INFORMATIE-BEVEILIGING

Stel een handleiding op waarin de governance wordt vastgelegd. Deze governance moet waarborgen dat het informatiebeveiligingsbeleid adequaat is en effectief wordt toegepast. Neem hiertoe kennis van ISO 27001 en houd voor de handleiding de indeling van ISO 27001 aan. Dit bestaat uit twee componenten:
Een cyclus van continue verbetering
De verankering van informatiebeveiliging in de organisatie.
Organisaties, hun processen, de behoefte aan informatievoorziening en de technische mogelijkheden ten aanzien van informatiebeveiliging zijn constant in ontwikkeling. Monitor periodiek of het huidige informatiebeveiligingsbeleid goed functioneert. Maak hiervoor gebruik van een cyclus op basis van ISO 27001. Naast de cyclus dient ook de verankering van de organisatie van informatiebeveiliging in de handleiding vastgelegd te worden.
• Context en scope: de business- en IT-processen die onderhevig zijn aan informatiebeveiliging, en de interne en externe partijen die zijn.
• Commitment: de wijze waarop van de leiding goedkeuring verkregen wordt voor het informatiebeveiligingsbeleid en voor de activiteiten om maatregelen afdoende door te voeren.
• Rollen en verantwoordelijkheden: het organisatorische raamwerk van het proces en de wijze waarop hierover verantwoording wordt afgelegd.
• Competenties: de eisen op het gebied van opleiding en vaardigheden van personen en organisaties die delen van het proces informatiebeveiliging uitvoeren.
• Middelen: de wijze waarop financiële middelen beschikbaar gesteld worden om het beleid uit te voeren. De belangrijkste bron hiervoor zijn de  maatregelen die in de risicoanalyse informatiebeveiliging worden aangegeven. Vaak heeft het proces informatiebeveiliging geen eigen budget en moet gebruik gemaakt worden van de budgetten van de IT-processen.
• Bewustwording: de planmatige, continue inspanning om medewerkers, management en IT-specialisten kennis te geven over risico’s en gewenst gedrag aangaande informatiebeveiliging. Meet de resultaten van de inspanning, rapporteer hierover aan het management.

VERANTWOORDING EN TRANSPARANTIE

Als laatste stap naar volwassenheid kan een organisatie besluiten de informatiebeveiliging door een externe partij te laten toetsen, bijvoorbeeld met een certificering conform ISO 27001. ISO 27001 certificering wordt uitgevoerd door een formeel daartoe geaccrediteerde instantie. De certificering gebeurt in een drietal slagen: na de initiële certificering wordt na één en na twee jaar een verder verdiepend onderzoek uitgevoerd, waarbij bij goed gevolg het certificaat verlengd wordt.

CONCLUSIE

Door ISO 27002 te gebruiken om de risico’s van de organisatie te beheersen en aan ten sluiten bij de best practice uit ISO 27001, kan een organisatie efficiënt en effectief op aantoonbare wijze niet te weinig, maar ook niet te veel doen. Jaarlijks terugkerende evaluatie- en verbetermomenten zijn de stok achter de deur waardoor het bouwwerk in goede staat blijft.



http://agconnect.nl/artikel/iso-27001-op-weg-naar-volwassenheid-informatiebeveili