audio_only (mp3cut.net)1.mp3: this mp3 audio file was automatically transcribed by Sonix with the best speech-to-text algorithms. This transcript may contain errors.
Een storm op een halve nog.
Zo de
Eenvoudige. Nicolas. Dus nou ja, ja,
Zal ik me heel even voorstellen.
Ja, echt wordt direct Zeegelaar.
Ik kom uit de infrastructuur en netwerk hoek, dus behoorlijk technisch. Ik heb een lange carrière achter de rug. Ik ben nu 54, ben begonnen toen ik dertien was en toen ik begon was het met het bouwen van euh, van een jaar oud zijn. Vandaag zou je dat pc's noemen. Dan waren computers destijds. En waarom ben ik gegroeid en in in de computing wereld? Ik ben een echte man, een ouwe rauwe techneut zeg maar. Ik heb geen opleiding, dus geen enkel diploma. Ja, ik heb wel een paar duikt diploma's, maar dat is niet relevant. Bekkers van Uhm dus een autodidact, zoals dat heet in het Nederlands en wel een mooie carrière kan opbouwen. Ik geef op dit moment NIJB. Sorry, ik ben sinds 2005 security officer en sinds een jaar of zes inmiddels. En euh. De laatste tijd ben ik heel veel les aan het geven. Uhm, aan vooral mensen die afgestudeerd zijn in rechten en of criminologie. Om Information Security Officer te worden. Er zat een beetje mijn mijn achtergrond in een Nasji, elke bes van een vrij internationale carrière. Ik heb onder andere software wel op de centra gebouwd in Oekraïne en daarna datzelfde kunstje gedaan in Spanje. In Barcelona en sinds een jaar of tien heb ik eigenlijk geen zin meer om te gaan reizen. Dus ben in Nederland gebleven
Waar ik in
Zaandam woon met mijn vrouw. Euh, lekker aan het water. Helaas vaarwater dus als het vriest dan komen de ijsbrekers langs. Maar goed, dat is een een beetje minpuntje.
Voor de rest
Heb ik echter een hele luxe Lucs bestaan.
Ook in. Dus nu geweest met een zelf vergaarde kennis die u op uw meerden project heeft gehad, dus uiteindelijk genoeg kennis had om dan ook te gaan lesgeven voor cyberbeveiliging.
Ja, nogmaals laten. Laten we alsjeblieft je zeggen ik voel me zo oud als u. Als jullie mij, u. En met uw betichtten, zeg maar. Dat vind ik niet zo heel erg prettig. Dat vak ben ik wel heel erg Nederlands geworden.
Uhm. Is het Nederlands geworden, bent dat dan? Er komt dan van buiten Nederland of.
Ja, ik
Ben sinds 2000 in Nederland, daarvoor was ik een beetje over de prijs. Ik ben in het Frans opgevoed, in Brussel na. Heb lang in Engeland gewoond. Twee keer in Engeland gewerkt ook. Nou ja, nogal een internationaal verleden zeg maar. Maar sinds 2000 in Nederland. En dan heb ik nog wel her en der viermaanden. Vijf maanden, zes maanden, zeven maanden in het buitenland gewerkt. Maar significant is dat ik toch wel in Nederland gebaseerd ben gebleven in die hele periode en dus nu ook een relatief normaal Nederlands praten in plaats van een een een. Hoe moet ik het zeggen? Een Vlaamse versie van de taal. Want ik was natuurlijk in Brussel en grotendeels grootgebracht.
Ok, dus vandaar International Verleden.
Dat heel wat voor bedrijf. Heeft u dan bijvoorbeeld gewerkt aan de. Maar een en ander vist gewoon grotendeels persoonlijk werk zelf op gezet
Na, waardoor
Beide. Het voornaamste is dat ik bij hem nog ga ik het hebben over de laatste 25 jaar, want als ik daarvoor moet beginnen, dan wordt het veel te lang verhaal. Ik heb gewerkt voor Digital Equipment Corporation, wat destijds een hele grote firma was. Nummer 2 in de wereld na IBM. En die is opgeslorpt, opgekocht door Compaq en Compaq. Is opgekocht door HP. En euh, ik ben euh gaan, heb ik een jaar of vijf gewerkt in Ierland en toen ben ik het Hunts, zoals dat heet tussen recruitment of een recruiter had mij gevonden. En heeft mij een job aangeboden in Nederland. Vandaar dat ik hier oud ben. En daar ben ik gaan werken voor een firma. Die heet CMG. Inmiddels is dat euh, logica. Uhm en uhm. Het was wel een tak die vrij speciaal was. Het was de tak die heette Wiles Data Solutions en Wireless d'Etat Solutions fabriceerde hardware en software voor de telecom industrie. Dus jullie zijn natuurlijk van de generatie van de WhatsApp en de Singel. En het moet allemaal. Rob en euh. Maar ik. Euh ja uhm. Wij maakten onder andere SEEMED centrales. Dus de eerste SMS ooit is volgens mij in 96 ofzo gestuurd. Uhm door een directe baas van mij van toen en die werkte voor CMG. Dus we hadden een hele grote sms centrales die we door de nieuwe doorstuurden. En we hebben gevochten en we hebben in die tijd heel veel. Euh, nou ja, apparatuur gemaakt, zeg maar voor de telecomindustrie. Dat waren we zat op een bepaald moment en toen waren zijn wij een factory gamma aan gaan bouwen. Dus ik ben met een aantal andere managers uit die periode gewoon begonnen. En we hebben een een bedrijf een nieuw bedrijf
Gesticht dat
Meteoservices, Myria, die bestaat ook allang niet meer helaas. Maar wij waren een van de eersten in de markt om apps te gaan bouwen. En dat was nog voor de iPhone en Android, dus voor de Play Store en voor de appstore van van Apple.
Als ons een heel
Erg ingewikkelde wereld. Ik laat jullie. Ik bespaar jullie de details, de details op één na. Als wij een test cyclus moesten doen op onze software, dan moesten we dat gaan verifiëren op meer dan duizend verschillende telefoons. Dat is niet meer dan toen we echt anders. Uhm, goed. Daarna ben ik voor één van mijn klanten begonnen verwelkomen. Dat was een identity en access management partij.
Sorry is een
Identity en access management partij. Je bestaat nog. En ik was daar. CISO hebt al heel veel leuke dingen gedaan. Het kan best nog problemen met m'n gezondheid gehad. Helaas op met wat een beetje een domper in mijn carrière betekent. En maar goed, ik heb me herpakt. En daarna ben ik voor het Talpa netwerk gaan werken, het bedrijf van John de Mol.
En ook als
Ciso heb ik een jaar gewerkt en dan met de corona. Ja, was ik thuis en toen heb ik besloten om om wat? Wat? Pro Bono werk te doen. Weten jullie wat Prabowo betekent?
Kan je als zelfstandige werkt voor gedoe in winkels?
Ja, het is meer gratis.
En Robonaut wordt heel vaak gebruikt in de. Uhm ja, in de non-profit wereld, in de wereld waarin geen winstoogmerk. Er zit. Dus ik doe er veel werk voor Amnesty International en voor een boeddhistische organisatie. Ben al meer dan 30 jaar boeddhist en uhm. En nou ja, goed en ik heb nog wat. Wat? Wat vrienden geholpen zeg maar. En dan laatst nog niet die die cursussen gegeven. Ik ben nieuw begonnen met een met een nieuw
Project en die
Zal een paar maanden duren. Als ik het goed heb, ik wil het nog niet helemaal zeker maximaal zes jaar, denk ik. Ik heb het in het contract gemaximeerd tot einde van het jaar. En daar ga ik een IZOO 27 duizend en één implementatie voor zorgen. En ISO 27 en één is een norm. Over haar raamwerk, zeg maar, waren allerlei beheersmaatregelen worden voorgeschreven voor een Mondays. Maar dan komen we straks even op als ik een van jullie vragen ga beantwoorden en uhm, tussen euh norm. Waar ik ook mijn advies aan. Uhm, het bedrijf van je vader Sep heb gegeven. Dat was allemaal gebaseerd op op die norm. En het bijzondere van deze norm is toch dat het de meest geaccepteerde en raamwerk is. In de industrie, zeker in Europa. En uhm,
Way
Up. Het is ook een norm waar je een certificaat voor kunt krijgen. En als je dit certificaat hebt, dan kan je die ook doorgeven aan klanten en leveranciers om ze gerust te stellen. In elk geval een bewijs leveren dat je behoorlijk veel maatregelen hebt genomen om de informatiebeveiliging in je firma te bevorderen.
Ook bij.
Dus dat is om in een Losail is wel heel kort door een MCW en ze is al heel erg lang als jij alleen maar de positie zet. Mijn carrière geschiedenis zes pagina's lang. Dus Herman kreeg ik ben 54. Dat heb je aan
Aventure
Muzisch Lekker.
Bree. Na een. Wat is nou precies wat is zo'n CISO doet eigenlijk maken? Er dan zo'n certificaat?
Of het nou de SUV gaat krijg je door een auto te laten doen als een soort examen Mandan voor je bedrijf. En die wordt dan uitgereikt door een organisatie die jou goed genoeg vindt en in jouw beheersmaatregelen. En wat een CISO doet is eigenlijk twee dingen aan de eerste kant. En dat is een hele droge, moeilijke maar materie. Uhm, en dat is dat je de beleid en het beleid gaat neerschrijven dat je een organisatie gaat neerzetten en binnen het bedrijf waar je werkt die het mogelijk maakt om beleid te schrijven. Uhm, uit dat beleid. En ik ga zo'n voorbeeld geven voor jullie. Het zal wel makkelijker zijn om op dat beleid wordt er een en vaak een of meer processen uit gedistilleerd en uit die processen eventueel procedures. Met andere woorden je gaat een soort papierwinkel, schrijver of mee schrijven die bepaalde beheersmaatregelen voorschrijft aan het bedrijfs. Om een voorbeeld te geven van beleid als het gaat over euh. Ik zal een mobiele apparaten nemen als ze als onderwerp. Als je er mobiele apparaten toestaat in een bedrijf, dan hebben we toch op mobiele telefoons tablets
In het algemeen.
En nu weet ik dat het verschil tussen een tablet en een computer ook steeds aan het vervagen is. Maar goed, we zien het nog steeds als aparte USB apparaten. Als je ergens gaat werken, dan krijg je meestal een computer. Uhm, en die is dan beveiligd volgens de normen van het bedrijf. Dat is ook iets wat ik voorschrijft dan en of samen met andere voorschrijft. En die mobiele apparaten. Dan kan je dan een een soort beslissing mogen nemen en het beleid dat we meestal toepassen. Of dat ik meestal toepassen toepast is een beleid die heet Bring Your Own Device. Met andere woorden in plaats
Van telefoons en
Tablets te gaan uitgeven vanuit een bedrijf, geef ik toestemming aan iedereen die bij mij komt werken om zijn eigen apparaat mee
Te nemen. Alleen ik ga nog
Wel een tegenstander voorschrijven en ik ga bijvoorbeeld zeggen van je bent vrij om een apparaat mee te nemen. Maar als je dat apparaat gaat gebruiken om informatie
Van
Onze firma te gaan lezen, bijvoorbeeld
E-mail, dan
Gaat jouw apparaat wel moeten voldoen aan mijn
Eisen. Met andere woorden
Een hele simpele eis hoor is. Ik wil dat die met een
Wachtwoord beschermd is. Of het nu een
Pincode is of een wachtwoord of faysel recognition. Of een fingerprint dat ze allemaal niet belangrijk. Maar ik eis dat je toestel daarmee beschermt. Dus met andere woorden als je me ergens laat liggen dan is die na 30 seconden gelokt en kan niemand de informatie die erin is lezen anders. Stukbeleid is als ik een bericht krijg met telefoon.
Dan zie je dat er uhm, wacht even
Even zo doen. Nu kan het anders niet lezen. Daar staat modification in plaats
Van de tekst Zagen jullie dat? Ja, ja, en je
Ziet pas een tekst als die mij
Herkend heeft. OK, ja, dus op die manier kan er
Ook geen
Informatie op tafel liggen.
Maar het zou wel een beetje een lollige lullig zijn, al wordt er iets belangrijks zo doorgeklikt omdat iemand per ongeluk de verkeerde telefoon vastpakte van het scherm kijkt.
Precies.
Dus dat was een voorbeeld. Een andere maatregel die ik meestal neem en dat is beleid is dat ik zeg van als je informatie van het beleid van het bedrijf leest op je toestel, dan is het
Toestel vanuit een
Technisch perspectief
Van mij. Dus ik kan een remote wipe.
Ook 1 1. En hoe zit het in elkaar zitten?
Klik ik op een knop en dan is de als er dus een melding is van diefstal. Euh, dan druk ik op een knop of laat ik iemand op een knop drukken en dan is het toestel gewipt. Met andere woorden is alles
Werd eraf gehaald.
Hinckley je persoonlijke toestel, je je bestolen persoonlijke informatie nu. Er zijn andere technische maatregelen die wat zachter zijn, maar eigenlijk komt het erop neer
En dat is mijn beleid.
Vervolgens moet ik samen dan met meestal iets processen
Gaan
Schrijven om ervoor te zorgen dat dit ook dat dit beleid wordt gevolgd.
Ja.
Dus dat is het verschil dat ik maak tussen beleid en proces met beleid zeg ik schrijf ik eindelijk voor wat er moet gebeuren. En in het proces? Dat gaat meer over
De hoe, vraag je in een antwoord
Daarop. Als we het hebben over procedures, dan is het meestal meer een checklist.
Ook aan ASO heb je een drietrapsraket met dewelke
Je een voor kunt zorgen in een bedrijf dat iedereen zijn werk doet en dat de informatie in het bedrijf relatief.
En ik zeg echt
Relatief veilig
Is en blijft. Maar er zit veel meer achter onder
Andere een informatie classificatie tabel waar ik alle informatie die wij hebben gaan classificeren.
Zo heb ik
Een type informatie en aan dat type informatie ga ik dan
Regels opstellen of
Samen opstellen met iemand anders
Of met een
Groep. En dat zijn dan mitigatie maatregelen. Dan zeg ik gewoon van OK. Dus voor het transmissie van informatie heb ik minimaal dit in dit en dit aan maatregelen. Al voor de verwerking van die informatie zijn dit de spelregels. Voor het opslaan van die informatie zijn er weer andere. En de regels die je dat typisch in ziet, is dat na voor een log in informatie wil ik altijd een tweede authenticatie factor. Dus je hebt een museumlijn. Je hebt een wachtwoord en je hebt een ringetje op je telefoon. Een code wordt gestuurd met de code overtypen of je moet op een OK. Druk op je telefoon via een app, of het maakt allemaal niet uit wat hem.
Maar dat schrijf ik naar voor.
Als het gaat over BSM bijvoorbeeld, dan wil ik dat die versleuteld juwelen van de Bilzense
Burgerservicenummer Yemenia ook
Niet meer zijn is een heel gevoelig. Iets van je kunt door identiteitsfraude mee plegen. Dus ik eis dat wij. En bovendien zijn behoorlijk wat regels vanuit het rijk en vanuit de overheid om met BSN om te gaan. In principe mag je dat alleen maar in. In de normale firma's dus niet de overheid instanties. En zo mag je alleen maar brsinds bijhouden voor arbeidscontracten. Hij niks anders. Je mag dus niet een website maken van. In plaats van je account nummer weken BSN hebben.
Dat mag niet in Nederland.
En het is maar goed ook, want als die op straat komen dan heb je echt een catastrofe. Kortom, als gaat om BSM naar zijn werk van triage transmissie. De regel
Is niet. Als je
Dat wel doet in het kader van een Haya contract,
Dan mag dat wel, maar dan alleen maar versleuteld. En als je het versleutelt, dan moet je de
Informatie via één
Kanaal doen en het wachtwoord of de sleutel via een ander
Kanaal. Met andere woorden je maakt een zit fout met een wachtwoord. Die stuur je e-mail. En het wachtwoord, stuur dan via WhatsApp of een sms
Of Cingel nog beter
Zo veel mogelijk gesplit, zodat de kans het kleinst is dat alle sleutels in de hand van de Greenlight die ergens mee wil doen.
Precies.
En want is een single precies?
Single is gewoon een applicatie die verblijdt. Dielen Die lijkt een beetje op WhatsApp, maar die is veel beter.
Niemand van gehoord,
Maar ja,
In de as. Als het aan mij ligt zou ik iedereen in Nederland forceren om een single te gaan gebruiken, zodat je data niet verkocht wordt via Almere kanalen door Facebook. Facebook is niet echt vriendelijk, zeg maar met betrekking tot je persoonlijke informatie en maak dus een persoonlijke mening. Dus ik kan het nergens aan niemand opleggen. Ik heb die bevoegdheid niet.
Nu, wanneer? Maar nu al twee keer ook al hoger dan de reeks Red knop, waarmee je dan kan zorgen dat alles van een apparaatje afgaat. In het geval dat er ingebroken is. Maar u zei ook nog iets over mildere vormen daarvan kan u daar misschien een voorbeeld zal geven?
Ja, een goeie vraag. Dat heet Mobile Application Management en is een soort schil rond een bepaalde applicatie. Kortom, je hebt controle over het toestel en jij
Laat
Bepaalde applicaties toe en andere applicaties
Niet toe.
En op het moment dat een apparaat. Sorry, ik zeg het skid op het moment dat iemand het bedrijf verlaat. Dan wordt er op een knop gedrukt en dan worden alleen de applicaties weggehaald die noodzakelijk waren voor
Zijn werk en
Of warder informatie van ons van onze firma
Opzit. Met andere woorden
Je doet niet een volledige toestel Whyte, maar je gaat alleen maar een aantal
Dingen weghalen. Dus dat is een wildere.
In principe van het bedrijf is dus
Precies, maar
De definitie hangt af van de informatie die je op je toestel hebt.
Ok, en
Jij hebt nog steeds als gebruiker de keuze om dan niet aan mee te doen, maar dan krijgt de informatie ook die niet op je telefoon zien.
Ja, dus dan wel zelf kiezen wat je dan liefst al hebt, of je dan iets van de zaak neemt of dat je in
Al je eigen
Gebruiks precies weet.
En is het dan ook grotendeels met de veiligheid tegen hacken? Al een reactie, want er worden veel voor het geval dat er ingebroken is, maar wordt er natuurlijk ook wat gedaan. Aan de voorzijde wordt er ook gekeken of er niets binnenkomt,
Ofwel na het
Gros van mijn werk zit aan de voorkant en niet aan de achterkant. En euh, en dat schouwarts staat ook heel erg mooi beschreven in artikel 32 van de aangeef De Geest, de algemene verordening ter bescherming van PSO schrijvers. Uhm en euh. De dat ik al 32 schrijft voor dat een firma verplicht is om technische
En
Organisatorische maatregelen
Te nemen na de
Organisatorische maatregelen waar ik het over had. Dat was dat stukbeleid proces en eventueel zelfs procedure. Ja, maar dat gaat veel verder dan alleen maar die mobile devices natuurlijk. Daar staat vanalles en nog wat over. Informatie, classificatie, asset management, risicomanagement, het dat Setra en een van de belangrijkste business continuity en daarmee jullie heel vaak gaan zien als jullie verder zouden gaan in de ether en business continuity gaat gewoon over de continue. Het komt mogelijk maken van het continueren van de de
Zaak
Herre. Als je er energie verkoopt, dan moet je er alles aan doen om om de voor te voorkomen dat de energie niet wordt platgelegd door een of ander incident.
Ja ja.
En dan hebben we het ook heel vaak over beschikbaarheid, beschikbaarheid van data, beschikbaarheid van diensten, dienstverleningen en of producten. En om de. Jaja, goed, dat is een. Dat is een hele belangrijke tak in mijn vak. Laatst is het natuurlijk zo dat wij allerlei maatregelen nemen. Technische maatregelen deze keer om te voorkomen dat mensen binnenkomen en dat de mensen onze data stelen of andere dingen gaan doen. En de informatiebeveiliging is eigenlijk rond drie belangrijke pijlers gevormd. Het eerste uur en dat heeft de CIA Jean Oud-Engels confidentiële, die een in vele minuten het eerste is dus vertrouwelijkheid, dus wij moeten ervoor zorgen dat de informatie die wij hebben vertrouwelijk blijft.
En dat is even los.
Of het nu wel persoonsgegevens zijn of niet.
Dit is gewoon
Een algemene regel in de informatiebeveiliging. Het gaat over vertrouwelijkheid in de eerste graad en daarna gaat het over de integriteit van de data. Maar je moet het even heel simpel zien als. Als jij mij een bankrekeningnummer geeft om jouw salaris uit te keren, maar iemand is in staat geweest om een bankrekeningnummer te veranderen in een ander bankrekeningnummer, dan krijgt jij je salaris niets. Een ander wel. En hebben we een heel groot probleem. En het laatste aangeklikte klinkt er soms een beetje tegenstrijdig, maar dat is de beschikbaarheid van vele Belletti en de beschikbaarheid van de data van de dienstverlening van Van Van. Nou ja, goed, je bestaansrecht als bedrijf of als instituut. Die is ontzettend belangrijk. Er is een andere wereld en die heet het niet iets.
Maar die heet autw en dan is
De operationele technologie en. En dat is een tak van sport waar Uhm, Witteveen en Bossen, het bedrijf van vader Sepp, een heel belangrijke rol speelt. En dat zijn. Dat is dus een technologie die vergelijkbaar is met ideen, maar die een ander doel
Heeft en daar.
En nou gaan. Dan hebben het over bruggen en sluizen en de automatisering van al dat soort. Dat soort de eventueel chemische processen of in een atoom centrale. De koeling van de reactoren, een noordam. Maar. Dat is vaak wat simpelere technologie, maar die heel sterk moet zijn omdat mensenlevens daar vaak mee bedreigd zijn als dat fout gaat.
Ja, en
Daar zie je juist een omkering van die drie pijlers. En dan zie je dat beschikbaarheid veel belangrijker is dan integriteit en integriteit weer belangrijker is dan de vertrouwelijkheid.
Het zijn twee
Werelden die samen
Zouden moeten gaan.
En wat je vaak ziet is dat de IT wereld en de oude wereld liggen vaak in de clinch om. Juist omdat zij andere een manier van denken hebben.
Maar daarbij moet ik
Zeggen dat de belangrijkste inval sector of aanval sector voor de oud
Wereld is. Juist de
It wereld. Ook is de IS vaak een virus binnengekomen via de ideeënwereld via bijvoorbeeld een mail en die virus heeft zich vermenigvuldigd in het bedrijf en die is uiteindelijk in de autowereld gekomen en heeft de autowereld platgelegd. En zelfs zijn de zelfs de zijn zelfs een aantal voorbeelden waar ransomware. Kennen jullie
Concept?
Raadzamer binnengekomen is via i-D en auto apparaten is terechtgekomen.
Ok.
En naja, dat is. Dat is wel echt verschrikkelijk als dat gebeurt. En zeker als het gaat over essentiële diensten. Misschien kennen jullie de term aanbieder essentiële diensten. Dat gaat over de energiesector onder andere, maar ook ook nog wat. Wat? Wat? Wat andere dingen. Dat zijn diensten in Nederland die vallen onder een heel speciale wet. Het Heen en weer jny naar de Wet bescherming en infrastructuur. Sorry BBN Netwerken en informatiesystemen. En daar vallen de al de de deze ondersteunde aanbieders van essentiële diensten. En dan gaat het dus over politie, brandweer, aanvoer van energie. Ach, we zijn heel veel en die hebben we. Die hebben toch wel wat nauwere regels zichtbaar, maar daar zit vaak die wereld in.
Moeder Event.
Even terug naar je vraag. Euh. Euh. En dan gaat het dus over een mansi. Een CISO doet twee dingen. Hij kijkt naar de door de grondslag op organisatorisch vlak.
Ha, dat is
Dat stukbeleid processen, procedures, beheersmaatregelen, etcetera etcetera. En dan het operationele en het operationele staa heeft ook weer twee pijlers. En dat is het voorkomen dat er mensen binnenkomen, maar ook het monitoren van hun infrastructuur. Dus wat je doet is jullie hebben waarschijnlijk de term firewall eens gehoord.
Zeker na haar aan de
Periferie van een netwerk heb je een aantal een of meer firewalls. En die zorgen ervoor dat Arquettes van de buitenkant worden geblokkeerd en niet ergens binnenkomen. En uhm en maar als ze binnen zijn dan wil ik het wel weten natuurlijk. En dan wil ik ook een organisatie hebben en dat is een andere vraagt nu weer gesteld. Dan wil ik ook wel processen en procedures en plaatshebben om zo'n aanval tegen te gaan. Dus niet alleen is de signalering sorry in goede volgorde. Ik wil een volkomen. Maar als die door toch doorheen is, dan wil ik het weten.
En als ik het
Weet, dan wil ik hem ook wel handelen. Managen zoals dat heet. De eerste. Dat is ook weer iets dat heel erg goed is beschreven en wat ik heel vaak in een heel erg ordentelijke manier organiseer. De eerste allereerste stap is om te begrijpen wat er gebeurt. Dus als jij geen informatie uit je infrastructuur krijgt over het voorval, dan kan je het niet identificeren. En als je het niet kunt interesseren, dan weet je ook niet wat je moet doen.
Maar als je
Weet bijvoorbeeld dat er een aanval is op een bepaalde persoon
Via e-mail, dan kan ik
Het incident en dat is meestal de tweede stap
Container.
Een container betekent gewoon dat ik hem in een in een. Ik probeert te voorkomen dat die verder gaat en in dat geval het geval van mijn voorbeeld als het één persoon is en dan kan ik zijn account gewoon geblokkeerd blokkeren. Komt er niks binnen, gaat er ook niks uit.
Afzondert genoemde die bepaalde mogelijkheden die je dan hebt om te zorgen dat het vandaag terecht blijft en dat stavast gira precies?
Ja ja, maar
Het gaat verder dan dat hij. Want de ene keer dat de containment er is. Dan moeten we proberen om het om de de deur te sluiten. Dus we proberen om het probleem een technisch probleem op te lossen. En daarna komt er ook nog een een proces van recovery. Dus we proberen om de situatie van voor de aanval terug te zetten. Als als het een virus is geweest of die die heel veel data heeft weggepoetst op heel veel verschillende computers, dan proberen we dus uit backups en zo om die data terug te zetten daar waar die hoort te zijn, zodat wij weer in die. Zodat we weer een normale dienstverlening kunnen geven en een allerlaatste. En dat is het belangrijkste van het hele proces is Lessons Lermoos. Met andere woorden we gaan aan het einde van het verhaal. Als alles weer gefikst is. Dan ga je even kijken van goh, wat hadden we beter kunnen doen? En hoe hadden wij? Hoe kunnen we dit in het in de toekomst gaan voorkomen? En heb ik een hele mooie term voor? Die gebruik ik heel vaak, zowel bij mijn leerlingen, maar ook bij de mensen die voor mij werken. En dat is never weest a good incident. Dus die incidenten die je. Die zijn hier erg waardevol. Je wil ze niet, maar als je ze zet gehad zijn ze heel erg waardevol. Gebruik ze dan ook om je bedrijf te gaan verbeteren op allerlei vlakken.
De jammers zou zijn als je op een bepaalde manier wordt ingevallen, er dan niets meer doet en dan constant via diezelfde manier ingebruik wordt.
Wanneer?
Ja dan maar dat is. Dat is bijna strafbaar gezet. Nu als je er niks aan doet dan. En zeker als het gaat over persoonsgegevens dan dan kan ik je garanderen dat je een hele hoge boete krijgt en of voor de rechter je moet gaan verantwoorden.
Dus dat is wel zo. Op die manier geforceerd dat er in ieder geval wat aan gedaan wordt.
En ja,
Dat is wat ik zei met die artikel 32 van de ADG. Je moet.
Sonix has many features that you'd love including collaboration tools, automated transcription, world-class support, automated subtitles, and easily transcribe your Zoom meetings. Try Sonix for free today.
audio_only (mp3cut.net)2.mp3: this mp3 audio file was automatically transcribed by Sonix with the best speech-to-text algorithms. This transcript may contain errors.
Dat er in ieder geval wat aan gedaan wordt uit.
Ja, dat is wat ik zei met die artikel 32 van de ATG. Je moet technische en organisatorische maatregelen aantreffen binnen je bedrijf om te voorkomen dat mensen of ze om die drie pijlers van vertrouwelijkheid, integriteit en beschikbaarheid gaan beschermen. Sterker nog, artikel 32 schrijft voor en in tengels is de term Braziliaans in Nederlandse taal. Ik trad meestal als veerkracht en weerbaarheid. En je moet ervoor zorgen dat je bedrijf sterk genoeg is om niet meteen om te vallen bij een aanval.
En dan
Gebruik ik heel vaak de analogie van een
Ai en een ui.
Maar een ei heb je eigenlijk maar twee laagjes voordat je binnen de. De eerste is heel
Harde en de
Tweede is een hele soepel soort membraan die net onder de schil ligt, zeg maar. En bij een ui ja, dan moet je heel lang door allerlei laagjes gaan vooraleer dat je beide interessante informatie in het binnen komt. Na de houten al de de analogie al op, want een bui is interessant vanaf het begin en en het is niet zo dat alleen maar er een heel interessant ding in het midden is. Maar ik wil wel het principe neerzetten van einde. Ik weet niet of jullie die Russische Populus kennen. Die Matroesjka's. Dat zijn die poppetjes die je opendoet en je alleen maar verder gaat tot er een relevante is. Maar stel je voor dat het allerlaatste niet een piepkleine is. Mediaman? Ja, zo dat. Dat soort. En wij noemen dat ze die een lauwerde. Die Fets dus een een een en een. Een verdediging in lagen, aldus Je bouwt verschillende lagen op om te voorkomen dat je snel en makkelijk ergens binnenkomt kunt komen. Dus in plaats van honderdduizend euro te investeren in een mega firewall. Ja besteden dan misschien tienduizenden euro aan en de andere negentig en andere maatregelen die het ook voorkomen
Liet al liplezen al je Vredeling op één plek te zetten. Want al zijn ze er dan omheen. Dan ben je alles kwijt. Precies dan. En dan ook nog over over de aanvallen dan. Want het zijn natuurlijk maar heel weinig die rechten herkauwen. Maar hoeveel Carden eigenlijk wel misschien op maandelijkse basis verwachten dat er een proberen in te komen, komt er op afgestuurd allemaal.
Dat hangt af van
Bedrijf tot bedrijf. En laten we daarmee beginnen. Dus sommige bedrijven zijn zeer interessant en andere bedrijven helemaal niet. Maar ik ga euh, ik ga een aantal dingen vertellen hierover en dat gaat een aantal van jullie vragen beantwoorden. Het eerste is dat als jij geen firewall
Zet en
Je zet een nieuwe Windows
Laptop online.
Dan is die binnen 30 seconden gekraakt.
Luke.
Dus ga nooit ergens een een en een computer aanzetten, voor het eerst zonder dat je beschermd is. Euh, zonder de vaarwel ondertussen te hebben.
Het gaat echt
Heel erg snel.
Toekennen aan
Waar de meeste bedrijven waar ik gewerkt heb komende zo'n tien aanvallen per minuut
Binnen.
Ook in de zaal is er al heel wat waaiervorming. Vraag aan Ardenner zijn.
Ja ok.
Maar als ik dan toch heb over over dit soort getallen, dan wil ik het over iets anders hebben. Dat is de kwetsbaarheden. Dat is ook een vraag die we gesteld hebben. En van waarom moet beveiliging zo vaak geüpdatet worden naar huis? Het is heel simpel er is heel veel software geschreven in de wereld. Echter haar miljarden lijnen code uitschreven en in elke Leine code is het potentieel een kwetsbaarheid. Dus iets dat je verkeerd hebt geschreven. Euh. En dan?
Als jij aan de buitenkant
Iets doet, dan kan het zomaar zijn dat je daar doorheen komt. En uhm, die stukje software, die worden door verschillende processen soms geautomatiseerd, soms niet bekeken. En op het moment dat er een kwetsbaarheid aan het licht
Komt, dan wordt er een patch daarvoor geschreven en dat is de reden waarom je heel vaak je software moet gaan patches.
Maar als je heel weinig software gebruikt, dan krijg je ook
Weinig patches binnen. Als je heel veel
Software gebruiken, moet je dat
Heel erg vaak doen. En sommige merken zijn mede door succes,
Mede door onkunde en heel
Erg kwetsbaar. Er komen met heel veel updates.
Als ze, als ze als het kan, ga ik nooit meer een Windows computer gebruiken.
Ok.
Ja. Iedereen heeft er natuurlijk. Dus al weet je een gat te prikken in het Windows systeem. Dan loop je overal binnen.
Precies. Maar ik gebruik
Mac doe ik al
Jaren, maar
Mijn man, mijn belangrijkste computers. En dan heb ik er veel van. Die draaien allemaal
Linux en dan verschillende versies.
En daar zijn ook heel veel patches en updates voor, maar dat is een besturingssysteem die op dat vlak vele malen sterker is. En bovendien. Ik denk dat als je nu gaat kijken naar de distributie van besturingssystemen op het internet en dus ik heb er niet meer over laptops nu, maar dan over servers. Dan denk ik wel dat je rond de 90 procent. We draaien allemaal Linux lekker.
Uhm maar kwetsbaarheden. Uhm, ik heb
Vandaag een voorbereiding voor dit gesprek. Even wat statistieken bekijken. Dit jaar zijn er 3400 nieuwe kwetsbaarheden gevonden. Dat is dus een een slordige 92
Nieuwe kwetsbaarheden per dag. Via hakken.
Maar dit gaat wel over alle softer heen, dus alle besturingssystemen en alle software die iedereen dubbel draait dus.
Anders zou het wel een hele berg zijn.
Nou ja, goed. En je ziet op sommige dagen dat er wel drie of vier patches doorkomen bij het besturingssysteem. En euh. En dat was één van de grootste kwetsbaarheden van Android. Vroeger en op dat moment hebben ze het Android gewoon programma gelanceerd. Waar? Uhm. Euh euh. Je een garantie kreeg dat een telefoon minstens drie jaren
Updates zal blijven. Ook een.
Ik weet nog de de laatste Nokia E7 plus die ik heb gekocht, dat draaide Android op. Daar kreeg ik in het begin één keer per week, zo ongeveer nabij het bedje. En later werd dat wat minder en weer meer gekoesterd. Hebben ze een grotere Bettes, maar minder vaak Uhu.
Maar en ja, dan moet je naar kijken.
Ja, en dan. Over die kwetsbaarheden zelf
En
Het ontdekken daarvan. Daar zijn in de softer industrie wanneer ze niet meer van hebben gehoord. Maar in de sossen industrie zijn er eigenlijk twee type Softworks. Je hebt open source
En je hebt rest.
En wat betekent open source? En dat betekent echter iedereen. De source code van het programma kan naast de broncode.
Ja, de programmatuur. Het is gewoon opgesteld. Dus iedereen mag het lezen.
Mag het gebruiken. Er zijn soms wel wat regels aan verbonden, maar dat zijn meer licentie technische dingen. Met andere woorden als jij software van iemand anders gaat gebruiken, dan vinden ze het meestal fijn dat je hun bedankt door het te benoemen. En dan zie je gewoon een soort. Maar als je bousson heet dat een tengels en een een soort dankwoordje. Of. Soms zie je nog van powered by. Weet je wel dat soort?
Dat soort dingen.
En euh. En dan heb je de andere wereld. En dat is wat wel wat ik met de closed source wereld. En dat is een wereld waar ik geen fan van ben. Dat is een wereld waar een bedrijf uhm, die misschien heel erg goed is, maar misschien ook niet software heeft gebouwd waar jij gebruik van maakt. En waar je niet in mag
Kijken en je
Mag dus ook geen mening vormen over de kwaliteit van dat ding. Maar je bent ook niet omdat je er niet in kunt kijken. Kan kijken. Ben je ook niet in staat om euh, om om te zien of er eventueel kwetsbaarheden in zien? En jij gaat n heel belangrijk
Proces tegen en dat heet peer review.
Peer review is eigenlijk een heel simpel proces. Dat gebeurt ook in de wetenschap. En dan gaan je concullega's
Gewoon kijken naar je werk en daar
Een mening over vormen. Ook en daar komen de meeste kwetsbaarheden uit.
En u worden dan gefixt. Alleen om dit
Verhaal op kwetsbaarheden even af
Te tikken.
Aan het DUR is ook een concept dat wij noemen zero day. En dat zijn nieuwe kwetsbaarheden gevonden die nog niet zijn gepubliceerd.
Maar heel
Vaak worden die zero day kwetsbaarheden
Verhandeld.
Die worden verhandeld op het onder andere in het dark web. Eigenlijk zijn het gewoon hackers die je dan andere hackers verkopen of
Soms zelfs verhuren. OK, maar mag ze dus een dienst van je mag
Gebruik maken van mijn dienst dan kom een keer en dan kom jij gegarandeerd binnen bij diegene die de kwetsbaarheid niet hebben gekend. En omdat het nu zero day is, is de kans dat ze gefikst hebben heel klein. En uhm. En ik vraag je daarvoor op ruwere of ze duizenden euro creditkaart of weet ik veel.
Er wordt verhandeld en
Dat zijn de gevaren. Dus een deel van onze technische maatregelen zijn er ook op bedoeld om patronen te herkennen of
Liever
Onbekende patronen te
Signaleren,
Zodat we daarna kunnen
Gaan kijken.
En wat zijn patronen? Dat zijn gedragspatronen. Dat zijn dingen die. Als jij kijkt naar iemand die mail leest, dan zie je heel vaak van al die leest mail tussen acht en tien. En daarna gaat hij aan het werk. En dan om drie uur, euh. Tot vijf uur is ie weer met mail bezig. En dan om 5 uur, rond 5 uur stopt ie. En uhm. Euh. Als er dan ineens om 10 uur s avonds heel veel mail van die persoon komt. Dat is een. Want dat is wat wij noemen een anomalie. En euh, en dat is dus een een patroon die wij niet herkennen. En het zou een reden kunnen zijn om dieper te gaan kijken naar wat gebeurde met die persoon of met z'n mailaccount, of met zijn computer of wat dan ook. En ruim dus een antwoord op Manderen van jullie vraag. Uhm, de software die we daarvoor gebruiken. Vroeger heette dat antivirus. En dat was gewoon een stukje software dat draaide op je computer en die
Bleef maar scannen.
Het was ook heel duur. Het kostte jou heel veel processing power, dus je processor was heel veel bezig met dat antivirus. Met die taak om virussen te gaan detecteren. En vandaag doen we dat heel erg anders. En dat het ook anders. Dat heet Enea en Idées staat voor endpoint en de endpoint detection en respons. En dat wordt centraal geregeld. En dat kan veel meer dan de normale antivirus software van vroeger. En via CDR is hij dus in staat om die patronen te herkennen. En dan zien we ook bijvoorbeeld dat er een een proberen vanuit een mailprogramma een programma aan een ander programma te starten.
Dat vinden wij abnormaal.
Tenminste als het geen PDF reader is. Dan vinden wij dat normaal, abnormaal en uhm en kunnen we blokkeren. Signaleren, blokkeren en soms zijn we zo kwaad dat wij de hele computer blokkeren en met een dikke vette melding van een. Het is iets heel ergs, allemaal gebeurd op jouw computer. Wij gaan op onderzoek. Euh. Als wij het onderzoek hebben afgerond zodat we iets meer weten, komen we
Bij jou terug.
En dan gaan wij of jouw computer ontgrendelen. Maar het kan ook zijn dat we jouw computer gewoon volledig. Remaut euh
Gawain, met alles wat erop
Zit bij. Dat soort dingen gebeuren.
Gewoon om te zien aan hoe iemand zich daarmee gedraagt om ook zelfs daar van tevoren te kunnen kijken of er misschien al iets aan de hand kan zijn.
Na. Malaya ook.
Mccrae. Dat hij er en dan vaker gebeurt, is dan ook meestal vaak via de mail, want daar hoor je heel veel anders, altijd daarbinnen weer. Het kan of is een andere bron. Of waar komt dat meestal vandaan?
Nou ja,
De allergrootste is toch
Wel phishing
En dat is jammer. Dat zijn gewoon mails, maar dat hoeft niet per se via mail te komen. Kan ook via WhatsApp komen of jaarwisselingen via sms. Iedereen heeft al ooit gehoord van Neij. De Rabobank probeert je te bereiken via sms. Er is iets met je account, je moet inloggen.
Klik hier
Nadat dan. Dan weet je of tenminste iedereen weet tegenwoordig dat je dat een bank dat nooit zou doen. En toch zijn er op op een miljoenen semesters zijn altijd wel een paar pipo's die nog wel op plekken. En na goed afhangende van de van de banken de maatregelen die zij hebben genomen kan het best zijn dat er in die. Dat heet dan Credentials Hardest Thing. Dat betekent dus dat de the user en wachtwoord van iemand wordt
Opgenomen en
Ergens in een DDB is gestopt. En vaak wordt dat ook weer verkocht. Ja, ja, euh, en dat is weer een andere van jullie vragen van wat. Wat is de waarde? Wat is de beste? De motivatie, zeg maar van hackers. En uhm, ik laat even opzij. Het verhaal. Roem hé. Er zijn heel veel mensen die doen voor en voor hun. Euh nou ja, om hun carrièrekansen te verbeteren. Euh, voor roem. En soms is het gewoon wat we noemen street credibility. Dat zijn gewone kinderen die heel trots zijn als ze, als ze als ze denken dat ze de Pentagon hebben gehackt. En dat gebeurde allang niet meer. Maar ze proberen het toch. En meestal worden ze gepakt. Nee. De belangrijkste reden is geld.
Dus ze zijn op zoek naar geld.
Uh, cadeaukaarten. Geens is een heel erg goed voorbeeld. Als je goeie creditcardgegevens het actuele kerkpad geeft, dan kan je die gebruiken om geld Rafa van af te halen. En maar je kunt ook proberen om informatie te downloaden of dingen te blokkeren met als doel om aan geld te
Komen en
Een fameuze voor. Voorbeeld daarvoor is ransomware. De laatste was de één of andere universiteit, volgens mij een in een in Limburg die die een mega ransomware aanval had. En nadat wordt dat we duizend euro of of 2 bitcoins. Weet ik veel. Per computer gevraagd om hem te lokken en informatie te gaan terughalen. Als het al zover is gekomen, dan zijn er heel veel dingen fout gegaan.
N. Er is geen
Backup, want anders hadden ze de wekker kunnen herstellen, een andere computer de back up op een andere computer neerzetten en er was de ruis onderweg. Tweede is heel veel gebeurd vooraleer dat ransomware op een computer wordt geïnstalleerd. Dat gebeurt niet zomaar. Dan zijn er heel veel maatregelen niet gevolgd. Of is het echt een hele euh, vernuftige hacker die nu doet? Toch is geslaagd om een zero day te vinden in honderdduizend computers tegelijk
Na het gebeurd reinigde?
Niet echt aannemelijk.
Nee, maar goed dus. Het gaat om geld. En soms is het een vorm van ransomware. Soms is het in de vorm van euh, informatie die je kunt verhandelen. En de circuleren of de worden databases verkocht, soms voor heel veel geld. Uhm, met de e-mail adres, telefoonnummer, Birsen nummers, NAW gegevens. Noem het allang een ROB. En hoe completer de database, hoe duurder dat is. En hoe meer records erin zitten, hoe duurder dat ze zijn en wat ook heel erg populair was. Dus dat neemt wat in populariteit af op dit moment. En dat zijn honderden wezens met wachtwoorden. Waarom neemt het af? Omdat er steeds. De wachtwoorden worden steeds complexer. Steeds meer mensen gebruiken goeien password managers, waardoor elk wachtwoord specifiek is voor een website en niet één
Wachtwoord voor alle accounts. H. Euh. Noteer dit en als je dit doet haar heel snel.
Bur account een ander wachtwoord instellen en gebruikt
Daar een goede password
Manager voor. En als jullie familie dat zou doen, ga ook heel snel en bij die familieleden van jullie zeggen van niet meedoen met het veelste gevaarlijk.
Als n wachtwoord
Gekend is, dan kunnen ze overal hetzelfde wachtwoord waarschijnlijk in.
Ja, ja, inderdaad,
Vader is een hele goede website. Die heet Privacy Tools Punt I&O. En ik zal hem in het Jetse. En daar heb je heel veel goed advies niet altijd even goed. Euh, maar heel veel goed advies om um. Nou ja, goed en zorgt het installeren die traplopen.
Bij dit proces is
Onder andere password managers, aanbevelingen voor browsers, voor mail, programmatuur et cetera zitten. Kijk maar wat er in je gaat zien dat er niks van euh of bijna niks van Apple is en bijna niks van Gulo en bijna niks van Facebook en of Amazon. En dat heeft puur te maken met het feit dat dat de grootste giganten zijn die Naya zich misdragen op de markt.
Lucke. Want waar ik steeds het meeste mee dacht met die programma's die dan een wachtwoord zou maken of zou opslaan was, dan is het eigenlijk gewoon weer een andere plek is waar binnengebroken kan worden. Maar in principe is daar dan eigenlijk veel beter verdedigd dan dat je het ergens anders kan hebben.
Ik gebruik een
Password manager die hit bit
Woorden in kunstgalerij Rood
Wit worden. Het voordeel van Binh woorden is dat ik m op al mijn apparaten kan draaien.
Ik kan hem zelfs
Op een wildvreemde computer installeren, kortstondig, en dan kan ik met mijn heel sterk
Wachtwoord binnen.
En als ik klaar ben en ik ben uitgelogd, dan is alles gehypet, alles is weg.
Juncker en niemand
Anders. Als je het wachtwoord niet hebt, dan kom je niet binnen.
Bauke Mollema is het snelst aan het stuur in handen om zelf precies
En als die derde door is een en een mogelijk uit met bit woorden om je eigen
Wachtwoord
Te genereren. En wat ik meestal doe, zit genereren en wachtwoord, maar er zijn meerdere trucjes voor. Maar ik genereert meestal een wachtwoord die 14 karakters lang
Eens
Even kijken. Met die. Om jullie even laten zien, maar dan moest je wel zo voorzichtig zijn dat het geen geheimen ga laten zien.
Gewoonweg.
De. H kijkers belde Para. Hier kunnen jullie niks, maar.
Ja en kunnen laadvolume, Lauranne. Zien jullie dat?
Ja, ja,
Maar boven midden is een raar wachtwoord. Die is gegenereerd. Siri, Siri, die dat
Wachtwoord
Met CQJ nam hij kan er een nieuwe gaan creëren, maar kan nog wat opties opgeven
Waardoor ik de lengte is,
De lengte en de complexiteit van mijn wachtwoord kan verhogen, zeg maar. En maar goed. Dit is een. Dit is een handige methode, dus elke keer dat ik een account aanmaakt ergens hem wordt gevraagd om een wachtwoord in te toetsen. Een nieuw wachtwoord? Dan ga ik m genereren en dan weet ik m zelf niet. Moet ik naar antwoorden gaan om mijn wachtwoord te gaan ophalen? Maar wil worden is beschermd met een heel sterk wachtwoord. Dus de enige of een van de
Dingen die ik dan weet
Is bittervoorn. Opensource? Ja. Dank u al dat jaar, want daar zat toch ook nog doordenken tussen dan het verschil met opensource en closed source. Want in principe met open source heb je dus wel wat je van elkaar kunt checken of het goed werkt. Maar daarentegen is het ook dan logisch, dus makkelijker om bij die code te komen, terwijl piccolo's zorgt dat het moeilijk is? Maakt dat specifiek verschil aan beveiliging?
Of nou ja, kijk.
Een van de belangrijkste aankondigingen het concept van een Liberé.
De in principe wel Rainmaker reven niet welke,
Voor de zekerheid ga ik het nog even noemen. Als jij een stukje programmatuur schrijft, dan ga je heel vaak het werk van iemand anders maar gebruiken. En dat wordt vaak gepubliceerd en gepubliceerd in de vorm van Liberius. Dat is herbruikbare code die op zichzelf niks doet. Het moet geïntegreerd worden met iets anders en een van de belangrijke daarvan heet op een CSL en op een hersencel is een gigantische livery met allerlei cryptografische functies. En die maakt dus een heleboel versleuteling mogelijk op het internet. En ik bespaar jullie de technische details. Dan kan ik wel een hele cursus over hebben. Doe ik ook vaak als ik het heb over de The Public Key Infrastructure. Dat is niet de deur door de de naam, de structuur op het internet of de infrastructuur op het internet die zorgt voor digitale certificaten
Aan de S en HTTPS.
Misschien herkennen jullie dat als ik dat zeg. Ach, het maakt niet uit of met Google is daar een hele belangrijke speler in. Een van de belangrijkste library's in de wereld. Die is volledig opensource en is het al meer dan twintig jaar.
Indruk na.
En wat daar belangrijk is, is die peer review. Het feit dat er heel veel research wordt gedaan op die livery om te kijken of er geen problemen zijn, dan wordt door studenten gedaan. Mensen die een computer sciences aan computer science doen, maar ook een wij. Bij een aantal universiteiten, onder andere de TU Delft, zijn er heel veel, is er heel veel onderzoek op cryptografisch gebied en die ga dan dan heel vaak valideren of implementeren. In die open is dezelfde library. En dus de enige of één van de enige library's die ik niet blindelings vertrouw, maar waar ik in elk geval fan weet van als echt probleem hebt. Dan heeft de rest van de wereld het ook. Dan ben ik misschien niet beter dan de rest van de wereld, maar dat kan bijna niet. Op de cryptografisch vlak was een heel ander onderwerp dan dat. Dat cryptografie is, is echter beterschap. Het is dus heel erg lastig. Is alleen maar wiskunde. Uhm en de wiskunde is vaak perfect.
En dan bedoel ik echt perfect bewezen perfect.
Alleen de implementatie daarvan is tricky.
Van Uhm
De IS. Euh, ik zal jullie een voorbeeld kunnen geven.
Uhm, er
Is een mogelijkheid om een hele sterke versleuteling
Te gaan doen.
Uhm, maar door een bug in de implementatie kan ik wel herkennen wat er inzit. En dan heb ik niet
Exact wat erin zit, maar herken ik het wel ok.
Uhm, als ik het nog even
Had naar voren
Halen is één plaatje hoor in een lange presentatie, maar dan kan ik dit wel even
Illustreren. Hij kijkt waar
Dat is, euh, presentatie die ik heb gegeven. Laatst nog. Ja. Ik geef het voor een firma die heet Working Talents, waar dat is, waar ik hier lessen heb gegeven. Een halve meter naar voor. Cryptografie is heel erg complex tussen waar jullie echt heel veel
Details
Aan. Maar ik wil jullie wel even aan dat ene voorbeeld laten zien. Die is de illustreert heel erg goed wat ik nu vertel en dus dat de dat de wiskunde vaak perfect is, maar de implementatie zeker niet altijd. Hm. Uh. Soleert is een hele lange presentatie muziek montagnes. Ik heb hem ergens daartussen. Bladzijde 66.
Comté. OK. Uhm. Het is
De slide. Uhm, wat jullie hierin zien is gewoon een soort schema.
Het is nog niet de
Wiskunde zelf, dus gewoon een schema. En aan wat je hier zit is dat de encryptie gaat in blocker. Dus één blok wordt versleuteld en dan wordt de volgende blok versleuteld. En dan de volgende. Maar omdat die blokken vrij klein
Zijn, heb je een methode
Nodig om die blokken aan elkaar te
Knopen. En hier zit de fout ook. Dit is een plaatje die deze
Sleutel, deze plaatje, dit plaatje rechts is versleuteld.
Maar ik herkennen wel.
Wanneer?
Ja, en het zou echt een miljoenen jaren duren voordat je deze versleuteling beet.
En toch zie je wat erin zit. Wanneer is maar een voorbeeld hoor.
En nogmaals, ik bespaar jullie de complexiteit van crypto alleen crypto is wel heel erg belangrijk. En onthou één ding AC is de wiskunde erachter perfect. De uitvoering daarvan de implementatie daarvan.
Daar zitten de problemen in.
Dus als je kijkt naar opensource, dan is het ook vaak in die hoek dat je moet gaan zoeken. Niet zozeer aan de wiskundige grondslag of systematiek die erachter zit, maar
Wel in de implementatie. Heel belangrijk. Onthou dat
Wanneer je. En ja, voor de rest is met OpenSolaris zoveel peer reviewed en gecheckt en getest dat je wel redelijk aan kan nemen dat dat goed werkt en goed veilig is.
Wel ja, met de kanttekening dat er 32 nieuwe kwetsbaarheden bedrag aan kan en Herna. Sommige van die dingen zitten op het Soors en anderen Klosters. En het gaat mij daarom van wat vertrouw je meer closed source of opensource?
En in het in het algemeen zou ik voor open source kiezen.
Want dat is mijn mening als euh ja, information security expert. Sinds de laatste jaren is het 30+ jaar.
Ook. Dan denk ik dat we zowel de vraag beantwoord hebben.
Nou, ik had
Nog een paar kleine dingetjes die Ginue aan mij. Uhm. En dat is dat. Euh, die kwetsbaarheden. O ja, welke methodes worden het vaakst gehanteerd door hackers?
Jammer.
Kijk even naar een website die heet Aztec und mittlere Punt. Org.
Sonix has many features that you'd love including collaboration tools, secure transcription and file storage, automated translation, automated transcription, and easily transcribe your Zoom meetings. Try Sonix for free today.
audio_only (mp3cut.net)3.mp3: this mp3 audio file was automatically transcribed by Sonix with the best speech-to-text algorithms. This transcript may contain errors.
En dat is dat die kwetsbaarheden heide. Ja, welke methodes worden het vaakst gehanteerd door hackers? Maar kijk even naar een website die heet Aztec und Limiter punt. Org. Ik zette met de chat. Je hebt een hele goeie o. Die eerste moet een punt zijn. Excuus. Op Em. Dat is een website die heel erg goed uitlegt, weliswaar in Engels en de trouwens das een das een beetje lastiger, maar de. De informatie beveiligings wereld op dit moment is vooral op het Engels gericht. Wie geen Engels kan lezen of schrijven, dan wordt de beul in het algemeen vrij moeilijk. Niet onmogelijk, want de Russen doen het ook, maar toch. Euh. Kijk naar deze website. Daar hebben ze heel veel. Uhm en ik ga nog heel even jullie lijstje door. Uhm. Jullie vroegen Is er een procedure voor wanneer een hacker gelukt is bij een bedrijf in te breken, heb ik heel kort over gaat. Je moet een incidents respons euh. Proces um in Lay's hebben. Maar als het echt een groot incident wordt, dan hebben we het echt over crisismanagement en crisismanagement. Daar gewoon een crisisteam voor. En vaak gaat dat tot aan. De hoogste personen in de directie worden op de hoogte gehouden. En er is dan iemand een crisismanager die de crisis probeert te beslechten en te managen. En vaak wat je dan ziet is dat het een multidisciplinaire team is geworden waar je zowel applicatie beheerders in hebt.
Je hebt securitymensen, je risico mensen. Je hebt vaak juristen van een legal team bij. Wat heel erg belangrijk is, is ook een communicatie team. En dan wordt de communicatie op twee verschillende manieren bekijken. Eén is intern. In je schermer wordt anders gecommuniceerd, intern aan extern en een extern USB communicatie. Die euh euh. Die praat dan met de pers. Meestal ook. Dat zijn hele rare wikkelden processen, die crisissen, dingetjes. Het is euh. Het klinkt heel erg leuk om te doen. Maar als je je derde crisis in de maand hebt gehad, dan ben je heel snel kwamen. Ja, ja. Malaya Onkuise uh. Ik had al gezegd. Ransomware is de meest schadelijke vorm van Hecke na je. Umm. Wordt er ook een bespiedt doelwit ingespeeld? Jake kaarten en euh, persoonsgegevens. Dat is het meest interessant op dit moment, maar dat kan heel erg gevarieerd zijn. Elk bedrijf heeft een concert van Kringwinkels en Graun, zoals refereert aan de juwelen op de kroon van de van de van de koningin in Engeland. En euh, en grandioos is gewoon jouw meest kostbare informatie in het bedrijf. Daar gaat het om. Uhm. Hoe wordt de beveiliging bedacht? Wordt er gevraagd, is het enkel? Als reactie wordt er geprobeerd de hackers voor te zijn? Uhm dan? Euh. Euh, heb ik gezegd dat laatste uhm. Er worden heel erg ingewikkelde en geavanceerde risico inschattingen gemaakt. En dat is wel wat ik jullie wou meegeven, omdat dat heel erg belangrijk is in binnen de informatie beveiligings wereld.
Wat wij proberen te doen is het proberen te identificeren wat wij als aan aan aan informatie hebben aan Essarts. Want wat is wat? Wat is nou? Wat hebben we in het bedrijf? Welke computers hebben we? Welke informatie zit erop? En dan gaan we per onderwerp, per machine, maar ook bij informatie deel? Gaan we kijken naar specifieke risico's? En als je het hebt over het de website floren hadden we allerlei websites waarop http beschikbaar Zoller is. Eikrem Dus dat ik als hacker kan gewoon in middag gaan zitten of in het netwerk gaan zitten en bekijk ik gewoon allemaal mee wat er aan het. Wat er aan verkeer daar naartoe gaat. Dus daar kon ik ook wachtwoorden meer meepikken. Rukwinden na. Dus dan zie je een trol, een website. En dan kijk je op op het onderdeel transmissie en zie je http houdt het bezig risico. Dus dat risico gaan we proberen te kwalificeren of te kwantificeren. En als we dat hebben gedaan, dan kijken we of wij de de de kans op exploitatie van dit risico kunnen verminderen. En hoe doen wij dat? Door mitigatie maatregelen te bedenken. En niemand die die maatregelen. Dat doe je in een team. Dat is ook weer zo'n multidisciplinaire trial team, maar dat is heel erg belangrijk. Dan ga je met meerdere mensen in het bedrijf spreken over wat is nou de beste mogelijkheid? Wat is nou de beste oplossing om dit risico weg te nemen? Zoveel mogelijk na een risico bestaat uit inpakt en kans? Ha dat we het proberen te doen, de Einbeck kan je niet veranderen.
Dat zal altijd hetzelfde zijn. Hij kan Sauveur jaren fris zuur, als het maar wat. Wat je kunt doen is je kunt proberen om de kans op vuur kan je proberen te verminderen. Dus je zegt bijvoorbeeld van ja, we hebben een kamer waar de petroleum in zit. Nou, we gaan naar een andere deur zetten en er gaan zorgen dat er geen mensen binnen kunnen komen. Die Nardi die ook nog een aansteker heb. Ik moet wat. Simpel, een beetje simpel mitigatie maatregelen. Maar zo gaan wij door het hele bedrijf door. En aan het einde van de rit hebben we dus zowel beleid, proces en en procedures gedaan. Maar we hebben eventueel ook wat technische maatregelen genomen om te voorkomen dat de kans dat een bepaald risico aan het licht komt en zijn impact volledig gaat innemen om die kans te gaan motiveren en en en te laten Naya reduceren tot bijna niks. Dat is wat we doen en dat is ook meteen weer de antwoord. Antwoord op de vraag helemaal in het begin. Wat doet een CISO? Wat doet een security expert eigenlijk niet lukken? We zorgen dat het hele bedrijf een risico mijden is geworden op allerlei vlakken. Er is nog een uh uhm, er zijn nog twee dingen die jullie daarover wilt vertellen.
Het eerste belangrijke is dat wij een gebruik maken van een een na een methode van decompositie. Dus we kijken naar een systeem en wij proberen om alle fundamentele elementen uit het systeem te identificeren. En man per element. Gaan we kijken naar specifieke risico's? Dus effe heel stomme website. Login pagina een draadje van die login pagina naar een backend server die de identiteit gaat verifiëren. Die heeft dan contact met een URL met een database. Dan heb je hier vier belangrijke elementen die douches te pakken. Nagai Per element ga je kijken van wat zijn nou de specifieke risico's en kunnen we goede mitigatie maatregelen gaan bedenken? En uhm ja, en dat heeft een naam. En dat heet Fred Modeling. Gaat hij weer opschrijven? Gaan hier punten meer scoren rond het skelet? Er was de bedoeling van dit gesprek toch zeker Chia goed zat? Uhm. En dat brengt mij tot juli laatste vraag wordt de Bellinck software ook eerst getest en zo ja, hoe? Het is natuurlijk gaan we dat testen. En wat wij normaal doen is wij organiseren een soort van competitie. Dat heet niet zo, maar er is wel wat te doen bij schrijven. Een request for proposal uit er FPP. En in Aggregation Proposal gaan wij dus uiteenzetten van wat willen we nou? Wat hebben we nodig? En wij gaan dus vrij strakke wat wij noemen requirements euh.
Euh neerzetten. En in het Nederlands werd dat vroeger in een lastenboek opgenomen. Het zijn eigenlijk technische dingen van ik wil dat jullie software dat en dat ik dat in dat en dat doet. En uhm. Maar in plaats van te gaan mikken op een stukje software, ga gewoon naar een firma die eventueel oplossingen heeft. En we vragen om een oplossing op basis van ons verhaaltje en op basis van die meetbare dingen die we hebben neergeschreven in het concept van Meetbaar is heel erg belangrijk. Want wat betekent meetbaar? Dat betekent gewoon dat je op een objectieve manier ook kunt gaan vergelijken met de rest. Dus n rfp. Je stuurt m na tien firma's en aan de kwaliteit van de antwoorden antwoorden maak je een shortlist. Dus dan nodig in de drie of vier om uiteindelijk hun product of oplossing te komen presenteren. En die gaan we in de vorm van een ook een proof of concept gamera weekdier na. En diegene die het goedkoopste is en het beste resultaten geeft, die krijgt de man. Daarnaast is er heel veel test activiteit in de security wereld en dat vormt, en dat is denk ik, het laatste wat ik wil zeggen. En zijn er nog vragen zijn? We hebben te maken met audit, intern en extern en audit is gewoon een verificatie van het bestaan en het werk of de werking van bepaalde beleid. Processtukken en procedures dus.
Als we kijken naar een procedure om een telefoon te beveiligen tegen misbruik. Dan gaan we gewoon testen. Eerst intern en extern extern. Denkt dat iemand anders het doet, maar duwt die mensen daarvoor naar. Soms worden rekeningen betaald door één van ons klanten leveranciers. En last but not least we doen heel veel en testen penetratie testen. En het klinkt heel erg oneerbiedig en matig. Absoluut als je mist en flauwe grapjes. Van Assche Dames in de buurt zijn, maar een Perthes houdt in dat jij alle euh euh gaatjes probeert te vinden in een bepaald stukje software en infrastructuur. Euh, wat dan ook. En als je dan een euh een gaatje hebt gevonden of de chip een poortje open of een raam open, dan ga je wil kijken, dan kan ik kannetje wat mij en euh. En specialisten dus wat wij noemen. Efico hackers. Dat zijn hackers die euh niet crimineel zijn. Die gaan dan Nanna kijken en die komen dan met conclusies en aanbevelingen die wij dan moeten gaan implementeren. Zo hebben jullie denk ik een heel mooi rond verhaal gekregen over informatiebeveiliging en ontwikkeling. Ik weet dat het heel veel was, dus vandaar dat het goed is dat dat we het hebben opgenomen. Trouwens. Hebben jullie nog vragen? Nee, dit heet het eigenlijk best wel goed Mooiland. Wordt mooi. Nou ga ik de opname stoppen en dan stuur ik. Ik heb alleen maar Seppe Imana.
Sonix has many features that you'd love including powerful integrations and APIs, share transcripts, transcribe multiple languages, automated subtitles, and easily transcribe your Zoom meetings. Try Sonix for free today.