Security & Privacy in 2015

Alf MoensSURFnet relatiedagen 2012 - 4 oktober

Kansen en Bedreigingen in het begin van de 21e eeuw

2

IB&P@SURF: SAFE

2

33

FEAR

55

UNCERTAINTY

7

0-day...

7

DOUBT

99

FUD

11

Vanochtend in de Krant

11

Gisteren

12

Gisteren in de Krant

12

1313

14

Kansen

14

15

Kansen

15

Compliance &

Control

1616

Kansen- BYOD- First Class Services- Kennis- Schaalgrootte- Samenwerkende Communities

Zwakheden- BYOD- Niet of beperkt “in Control”- Passwords- “Reach” van beveiliginsgbeleid- Afhankelijkheid van derden

Opportunities- Sandboxing- IRMA- Krachtenbundeling, samenwerking- Compliance Frameworks- Gebruiker wil wel maar weet niet hoe

Threats- every-day 0-day- verscherpte regelgeving en toezicht- ongelijkheid in technische adoptie- onwetendheid- onverschilligheid

17

Recente akkefietjes

• Drive-by besmettingen– malware op nu.nl

• 0-day exploits– gebruik Internet Explorer

• Dorifel-virus• Een-tweetje’s

– een hack en direct publicatie buitgemaakte gegevens– en het wordt opgepakt door de media

17

18

Compliance & Control

• CBP heeft onderzoek gedaan bij 2 Hogescholen

• Eisen van leveranciers worden scherper–Referentie naar Normenkader HO in voorwaarden

SURFconext

• Toenemend aantal CvB’s bewust bezig met Compliance– Hogescholen bezig met een inhaalslag– Ook kleine hogescholen en MBO’s

18

19

BYOD

• Ipad is veiliger dan meeste PC werkstations en laptops!–Sandboxing, remote beheer

• PC-werkstations zijn inherent onveilig– als ze het internet hangen, ook al hebben ze

virusscanners, firewalls etc etc etc. Windows, Mac, Linux

• Controle over de communicatie is essentieel–Bluetooth, NFC, WiFi vormen risico

19

20

In het Hoger Onderwijs

20

21

Hoe doen anderen het?

21

22

Vergelijking

22

Wetgeving EU gebaseerd EU gebaseerd federal en state

Privacy EU niveau zwaarder dan EU soms lokaal

Studentgegevens uhhhhh.. Afgeleid van privacy wetten

Hipaa, FERPA & PCI

Controle via de krant? general auditor & Datainspectorate Killing!

Wie de instelling grote instellingen zelf, kleine door Uninett de instelling

Waarom mixopgelegd, “universiteiten zijn van het ministerie”

state universities opgelegd door state, private zijn vrijer.

23

Wachtwoorden

• Passwords are broken• Gebruikers vinden het te moeilijk om

voor verschillende toepassingen verschillende wachtwoorden te gebruiken

• 2012: advies aan BiZa: gebruik van Facebook ipv Digid

23

24

Wachtwoorden...

• When every Web site requires a password, people resort to simple solutions for managing the many login details they need to track. These easy answers are hardly the secure, unique, and complex passwords security and IT teams hope for. As the top 3 passwords in recent account breaches illustrates:

• The top 3 passwords from 32M leaked RockYou.com accounts were: 123456, 12345, and 123456789. (source)

• The top 3 passwords from 58k leaked Twitter accounts were: 123456, 123456789, and 102030. (source)

• The top 3 passwords from 188k leaked Gawker Media accounts were: 123456, password, and 12345678. (source)

• The top 3 passwords from 40k leaked MySpace accounts were: password1, abc123, and myspace1. (source)

• The top 3 passwords from 450k leaked Yahoo! accounts were: 123456, password, and welcome. (source)

• The top 3 passwords from 4.6M leaked LinkedIn accounts were: link, 1234, and work. (source)

• The top 3 passwords from 20k leaked Billabong accounts were: billabong, 123456, and 12345. (source)

• 2/3 of people with leaked accounts at both Sony and Gawker reused their passwords on both sites. (source)

• bron: http://www.lukew.com/ff/entry.asp?1590

24

25

Wachtwoorden

• Federatief Identity Management• 3 IDs waar je zuinig op bent

– Prive - overheid: DIGID, eID– Persoonlijk - zakelijk: tokens, certificaten– Persoonlijk - Prive:

• Pass-word-less logon• Sterke authenticatie, telefoon• Autorisatie!

– fine-grain autorisation– step-up authentication

25

26

IRMA, I Reveal My Attributes

26

Wat wil je van me weten?

Zeg ik niet!

Zeg ik niet!

JA!

Ja, met mijn IRMA-card

Wat is je geboortedatum?

Hoe oud ben je?

Ben je ouder dan 16?

Kun je dat bewijzen?

27

Bottom Line

• Organisatorisch– Get in Control! Het HO framework en normenkader is gebaseerd op

Best Practices en gaat uit van wat tenminste nodig is.

• Technisch– Segmenteren! Stel vast wat de belangrijkste assets zijn en bewaak en

bescherm deze.– Klaar staan voor grote en kleine incidenten– Controleren, scannen, testen

• Naar bewust en bekwaam• Samenwerking

– Expertise delen, incident-respons

27

28

SURF Crowd-based Incident Respons Team

28

29

Framework Information Security

29

30

Framework Information Security

30

Richtlijn

Veilig

Toetsen

Het nieuwe werken?

3232

Alf Moensmoens@surf.nl