Security & Privacy in 2015 Alf Moens SURFnet relatiedagen 2012 - 4 oktober Kansen en Bedreigingen in het begin van de 21e eeuw
May 24, 2015
Security & Privacy in 2015
Alf MoensSURFnet relatiedagen 2012 - 4 oktober
Kansen en Bedreigingen in het begin van de 21e eeuw
2
IB&P@SURF: SAFE
2
33
FEAR
55
UNCERTAINTY
7
0-day...
7
DOUBT
99
FUD
11
Vanochtend in de Krant
11
Gisteren
12
Gisteren in de Krant
12
1313
14
Kansen
14
15
Kansen
15
Compliance &
Control
1616
Kansen- BYOD- First Class Services- Kennis- Schaalgrootte- Samenwerkende Communities
Zwakheden- BYOD- Niet of beperkt “in Control”- Passwords- “Reach” van beveiliginsgbeleid- Afhankelijkheid van derden
Opportunities- Sandboxing- IRMA- Krachtenbundeling, samenwerking- Compliance Frameworks- Gebruiker wil wel maar weet niet hoe
Threats- every-day 0-day- verscherpte regelgeving en toezicht- ongelijkheid in technische adoptie- onwetendheid- onverschilligheid
17
Recente akkefietjes
• Drive-by besmettingen– malware op nu.nl
• 0-day exploits– gebruik Internet Explorer
• Dorifel-virus• Een-tweetje’s
– een hack en direct publicatie buitgemaakte gegevens– en het wordt opgepakt door de media
17
18
Compliance & Control
• CBP heeft onderzoek gedaan bij 2 Hogescholen
• Eisen van leveranciers worden scherper–Referentie naar Normenkader HO in voorwaarden
SURFconext
• Toenemend aantal CvB’s bewust bezig met Compliance– Hogescholen bezig met een inhaalslag– Ook kleine hogescholen en MBO’s
18
19
BYOD
• Ipad is veiliger dan meeste PC werkstations en laptops!–Sandboxing, remote beheer
• PC-werkstations zijn inherent onveilig– als ze het internet hangen, ook al hebben ze
virusscanners, firewalls etc etc etc. Windows, Mac, Linux
• Controle over de communicatie is essentieel–Bluetooth, NFC, WiFi vormen risico
19
20
In het Hoger Onderwijs
20
21
Hoe doen anderen het?
21
22
Vergelijking
22
Wetgeving EU gebaseerd EU gebaseerd federal en state
Privacy EU niveau zwaarder dan EU soms lokaal
Studentgegevens uhhhhh.. Afgeleid van privacy wetten
Hipaa, FERPA & PCI
Controle via de krant? general auditor & Datainspectorate Killing!
Wie de instelling grote instellingen zelf, kleine door Uninett de instelling
Waarom mixopgelegd, “universiteiten zijn van het ministerie”
state universities opgelegd door state, private zijn vrijer.
23
Wachtwoorden
• Passwords are broken• Gebruikers vinden het te moeilijk om
voor verschillende toepassingen verschillende wachtwoorden te gebruiken
• 2012: advies aan BiZa: gebruik van Facebook ipv Digid
23
24
Wachtwoorden...
• When every Web site requires a password, people resort to simple solutions for managing the many login details they need to track. These easy answers are hardly the secure, unique, and complex passwords security and IT teams hope for. As the top 3 passwords in recent account breaches illustrates:
• The top 3 passwords from 32M leaked RockYou.com accounts were: 123456, 12345, and 123456789. (source)
• The top 3 passwords from 58k leaked Twitter accounts were: 123456, 123456789, and 102030. (source)
• The top 3 passwords from 188k leaked Gawker Media accounts were: 123456, password, and 12345678. (source)
• The top 3 passwords from 40k leaked MySpace accounts were: password1, abc123, and myspace1. (source)
• The top 3 passwords from 450k leaked Yahoo! accounts were: 123456, password, and welcome. (source)
• The top 3 passwords from 4.6M leaked LinkedIn accounts were: link, 1234, and work. (source)
• The top 3 passwords from 20k leaked Billabong accounts were: billabong, 123456, and 12345. (source)
• 2/3 of people with leaked accounts at both Sony and Gawker reused their passwords on both sites. (source)
• bron: http://www.lukew.com/ff/entry.asp?1590
24
25
Wachtwoorden
• Federatief Identity Management• 3 IDs waar je zuinig op bent
– Prive - overheid: DIGID, eID– Persoonlijk - zakelijk: tokens, certificaten– Persoonlijk - Prive:
• Pass-word-less logon• Sterke authenticatie, telefoon• Autorisatie!
– fine-grain autorisation– step-up authentication
25
26
IRMA, I Reveal My Attributes
26
Wat wil je van me weten?
Zeg ik niet!
Zeg ik niet!
JA!
Ja, met mijn IRMA-card
Wat is je geboortedatum?
Hoe oud ben je?
Ben je ouder dan 16?
Kun je dat bewijzen?
27
Bottom Line
• Organisatorisch– Get in Control! Het HO framework en normenkader is gebaseerd op
Best Practices en gaat uit van wat tenminste nodig is.
• Technisch– Segmenteren! Stel vast wat de belangrijkste assets zijn en bewaak en
bescherm deze.– Klaar staan voor grote en kleine incidenten– Controleren, scannen, testen
• Naar bewust en bekwaam• Samenwerking
– Expertise delen, incident-respons
27
28
SURF Crowd-based Incident Respons Team
28
29
Framework Information Security
29
30
Framework Information Security
30
Richtlijn
Veilig
Toetsen
Het nieuwe werken?
3232