Traditiegetrouw is hier het verslag van de jaarlijkse One Conference van het NCSC. De
conferentie, die afgelopen dinsdag en woensdag plaatsvond in het Haagse World
Forum, kende een record aantal van zo’n twaalfhonderd bezoekers uit binnen- en
buitenland. Zoals gebruikelijk is mijn verslag in Twitter-style maar wel met
toelichting. De tweets zijn van mij, tenzij anders vermeld. De sprekers spraken
Engels, vandaar dat de meeste tweets in die taal zijn.
@dijkhoff: Zojuist
int. cyberconferentie One geopend met @MinisterieEZ Kamp: nog eens benadrukt hoe belangrijk digitale
veiligheid is.
De minister van Economische Zaken en de staatssecretaris van Veiligheid en Justitie werden door de dagvoorzitter geïnterviewd. De quote van de dag kwam van minister Kamp: “Digitalization is cool, cybersecurity is hot.”
De minister van Economische Zaken en de staatssecretaris van Veiligheid en Justitie werden door de dagvoorzitter geïnterviewd. De quote van de dag kwam van minister Kamp: “Digitalization is cool, cybersecurity is hot.”
This kid is live hacking his toy. And all the
important people in this room too. Go for it @RAPst4r!
De elfjarige Reuben Paul uit Austin, Texas verzorgde de opening keynote van de conferentie. Hij deed onder andere een live hack op zijn teddybeer. En hij had ook nog Bluetooth-signalen van een paar bobo’s opgepikt.
De elfjarige Reuben Paul uit Austin, Texas verzorgde de opening keynote van de conferentie. Hij deed onder andere een live hack op zijn teddybeer. En hij had ook nog Bluetooth-signalen van een paar bobo’s opgepikt.
@RAPst4r discovered a quite elaborate way to make
his bear's LED blink (-; #IoT
Reuben liet niet alleen het ledje knipperen. Hij kon de beer via zijn laptop ook opdracht geven om geluid op te nemen. En daarmee is zo'n beer een bedreiging voor de privacy van iedereen in zijn directe omgeving.
Reuben liet niet alleen het ledje knipperen. Hij kon de beer via zijn laptop ook opdracht geven om geluid op te nemen. En daarmee is zo'n beer een bedreiging voor de privacy van iedereen in zijn directe omgeving.
Dreigingen vlgns Rob Bertholee (AIVD): econ.
spionage, polit. beïnvloeding, sabotage kritieke infra, terrorist. aanval mbv
cyber.
Dit zijn de belangrijkste bedreigingen volgens de baas van de AIVD. Overigens kreeg Bertholee na zijn verhaal nog een vraag van dagvoorzitter en BBC-journalist Nicholas Witchell. Na Bertholees uitvoerige reactie merkte Witchell droogjes op: “You didn’t answer the question.”
Dit zijn de belangrijkste bedreigingen volgens de baas van de AIVD. Overigens kreeg Bertholee na zijn verhaal nog een vraag van dagvoorzitter en BBC-journalist Nicholas Witchell. Na Bertholees uitvoerige reactie merkte Witchell droogjes op: “You didn’t answer the question.”
"KPN will not use those domains anymore and
we make sure other criminals won't use them as well." (-: (Michel
Zoetebier, KPN)
Weinigen hebben dit opgemerkt, maar deze KPN'er zei toch echt dat KPN crimineel is.
Weinigen hebben dit opgemerkt, maar deze KPN'er zei toch echt dat KPN crimineel is.
Definition of #IoT: stuff that was not connected
before.(@twitjeb)
Een eenvoudige definitie die meer en meer werkelijkheid lijkt te worden.
Een eenvoudige definitie die meer en meer werkelijkheid lijkt te worden.
Wat je ook doet (werk én thuis), je zou 10% van
je ICT-budget moeten besteden aan security. (Herna Verhagen, CEO PostNL)
Het maakt niet uit wat voor soort bedrijf je bent, zegt Verhagen, maar bij het gebruik van ICT hoort onlosmakelijk een substantieel deel security. En dat geldt dus ook voor je privé-ICT.
Het maakt niet uit wat voor soort bedrijf je bent, zegt Verhagen, maar bij het gebruik van ICT hoort onlosmakelijk een substantieel deel security. En dat geldt dus ook voor je privé-ICT.
Grote bedrijven moeten het MKB helpen met
beveiliging. (Herna Verhagen)
Want de kleinere bedrijven hebben veel minder mogelijkheden (tijd en andere resources) om het speelveld te overzien. De grote bedrijven hebben er op hun beurt belang bij dat ook het MKB goed beveiligd is.
Want de kleinere bedrijven hebben veel minder mogelijkheden (tijd en andere resources) om het speelveld te overzien. De grote bedrijven hebben er op hun beurt belang bij dat ook het MKB goed beveiligd is.
"On the internet, fear starts to trump
trust." (@Milkshake)
Achter de Twitter-handle @Milkshake gaat prof. dr. Erik Huizer schuil, onder andere CTO van SURFnet en opgenomen in de Internet Hall of Fame. Huizer had het erover dat mensen hun vertrouwen in het internet verliezen omdat je tegenwoordig bang moet zijn dat overal iets achter zit.
Achter de Twitter-handle @Milkshake gaat prof. dr. Erik Huizer schuil, onder andere CTO van SURFnet en opgenomen in de Internet Hall of Fame. Huizer had het erover dat mensen hun vertrouwen in het internet verliezen omdat je tegenwoordig bang moet zijn dat overal iets achter zit.
IRL, you can see if there's a silent majority. On
the internet, you don't see them. That's a social behaviour issue.(@Milkshake)
Als je met een stel mensen in een ruimte zit en er wordt over een controversieel onderwerp gesproken, dan kun je zien of er een zwijgende meerderheid is (met een andere mening of met een onprettig gevoel bij wat er wordt gezegd). Op internet zie je dat niet. En daardoor, impliceerde Huizer, hoor en zie je alleen het geluid van de mensen die de controversiële mening ventileren.
Als je met een stel mensen in een ruimte zit en er wordt over een controversieel onderwerp gesproken, dan kun je zien of er een zwijgende meerderheid is (met een andere mening of met een onprettig gevoel bij wat er wordt gezegd). Op internet zie je dat niet. En daardoor, impliceerde Huizer, hoor en zie je alleen het geluid van de mensen die de controversiële mening ventileren.
"We are not only all connected, we are also
all collected." (@Milkshake)
Een mooie woordspeling die precies aangeeft wat de prijs voor onze connectivity is: privacy.
Een mooie woordspeling die precies aangeeft wat de prijs voor onze connectivity is: privacy.
On mass surveillance: "If govt looses trust
in its people, the people will loose trust in their govt". (@Milkshake)
Sommige regeringen bespioneren de bevolking omdat zij haar wantrouwen. Maar dat keert zich tegen de regering omdat de bevolking op haar beurt de regering niet meer vertrouwt.
Sommige regeringen bespioneren de bevolking omdat zij haar wantrouwen. Maar dat keert zich tegen de regering omdat de bevolking op haar beurt de regering niet meer vertrouwt.
The military needs to share intelligence with
@ncsc_nl and the industry. (Melissa
Hathaway)
Hathaway heeft voor het Potomac Institute for Policy Studies de Cyber Readiness Index van acht landen – waaronder Nederland – bepaald. De strijdkrachten worden hier opgeroepen om informatie te delen met het NCSC en security-bedrijven.
Hathaway heeft voor het Potomac Institute for Policy Studies de Cyber Readiness Index van acht landen – waaronder Nederland – bepaald. De strijdkrachten worden hier opgeroepen om informatie te delen met het NCSC en security-bedrijven.
If we really want to go for awareness among our
citizens, we should probably hire Disney. (Melissa Hathaway)
Want Disney is zo goed in staat om dingen op een toegankelijke manier uit te leggen, ook aan kinderen. Hathaway werd op haar wenken bediend: op de conferentie was het boekje DigiDuck – safer online verkrijgbaar. Maar ik heb ook nog een boekje liggen getiteld De zwakke schakel – Veilig omgaan met informatie op het werk waarin oom Donald en de zijnen ons beveiliging leren. Dat boekje is overigens uit 2006…
Want Disney is zo goed in staat om dingen op een toegankelijke manier uit te leggen, ook aan kinderen. Hathaway werd op haar wenken bediend: op de conferentie was het boekje DigiDuck – safer online verkrijgbaar. Maar ik heb ook nog een boekje liggen getiteld De zwakke schakel – Veilig omgaan met informatie op het werk waarin oom Donald en de zijnen ons beveiliging leren. Dat boekje is overigens uit 2006…
In US healthcare, Windows XP is often a best case
scenario. (@joshcorman)
En Windows XP is, zoals we allemaal weten, al een tijdje niet meer veilig omdat
er geen updates meer verschijnen. Dit is dus best wel een ernstige situatie.
Inconvenient truth. (@joshcorman)
Hierbij hoort een slide met de tekst: if you can’t afford to protect it then you can’t afford to connect it.
Hierbij hoort een slide met de tekst: if you can’t afford to protect it then you can’t afford to connect it.
There's no 9/11 video of how much damage a hack
does to users. (@SaketModi)
We kennen allemaal de beelden van de vliegtuigen die het World Trade Center binnenvliegen en van de enorme schade die dat tot gevolg had. De schade die een hack aanricht is echter grotendeels onzichtbaar. Overigens is daar verandering in gekomen door de wereldwijde WannaCry-aanval van afgelopen weekend. In Nederland zagen we parkeergarages die geen geld konden innen, maar in Engeland was de situatie veel ernstiger omdat diverse ziekenhuizen slachtoffer werden. Daar zijn mogelijk mensen overleden omdat ze niet op tijd de medische zorg konden krijgen die ze nodig hadden.
We kennen allemaal de beelden van de vliegtuigen die het World Trade Center binnenvliegen en van de enorme schade die dat tot gevolg had. De schade die een hack aanricht is echter grotendeels onzichtbaar. Overigens is daar verandering in gekomen door de wereldwijde WannaCry-aanval van afgelopen weekend. In Nederland zagen we parkeergarages die geen geld konden innen, maar in Engeland was de situatie veel ernstiger omdat diverse ziekenhuizen slachtoffer werden. Daar zijn mogelijk mensen overleden omdat ze niet op tijd de medische zorg konden krijgen die ze nodig hadden.
Hackers don't make holes. Hackers find holes.
(Edwin van Andel/@Yafsec)
Dit is één van de meest geretweete tweets. Ik kan alleen vermoeden dat dat vooral werd gedaan door hackers die hierin een erkenning van hun werk zagen. Bedenk daarbij dat ‘hacker’ bepaald niet per definitie een negatieve aanduiding is. Talloze whitehat hackers doen goed werk met het opsporen en netjes rapporteren van lekken.
Dit is één van de meest geretweete tweets. Ik kan alleen vermoeden dat dat vooral werd gedaan door hackers die hierin een erkenning van hun werk zagen. Bedenk daarbij dat ‘hacker’ bepaald niet per definitie een negatieve aanduiding is. Talloze whitehat hackers doen goed werk met het opsporen en netjes rapporteren van lekken.
You should run a bug bounty programme because
hackers like to earn money. @Yafsec
Hierbij toonde de spreker een taartdiagram dat aangaf dat 40% van de gepleegde hacks geldgedreven zijn. Dus als een fabrikant hackers geld geeft wanneer die fouten in zijn producten vindt, dan heeft hij de hackers aan zijn kant. Hetzelfde taartdiagram liet overigens zien dat 30% van de hacks met spionage te maken heeft.
Hierbij toonde de spreker een taartdiagram dat aangaf dat 40% van de gepleegde hacks geldgedreven zijn. Dus als een fabrikant hackers geld geeft wanneer die fouten in zijn producten vindt, dan heeft hij de hackers aan zijn kant. Hetzelfde taartdiagram liet overigens zien dat 30% van de hacks met spionage te maken heeft.
Voordat je mensen van kennis voorziet, moet je ze
eerst voor het onderwerp interesseren. (@MaartenTimmeman) #awareness
Het heeft geen zin om mensen vol te pompen met allerlei kennis op het gebied van informatiebeveiliging als het hele onderwerp ze geen snars interesseert.
Het heeft geen zin om mensen vol te pompen met allerlei kennis op het gebied van informatiebeveiliging als het hele onderwerp ze geen snars interesseert.
Criminals don't have a clue what a reasonal
pricetag for a ransomware attack is. GDPR changes that: < 4% of revenues.
@mikko
De ene keer vragen ze een paar honderd dollar, de andere keer vragen ze een fortuin. De invoering van de Algemene Verordening Gegevensbescherming (de nieuwe privacywetgeving van de EU) brengt daar verandering in omdat vanuit de AVG een boete kan worden opgelegd ter hoogte van maximaal vier procent van de wereldwijde omzet van het bedrijf dat gegevens heeft laten lekken. Mikko Hypponen schat dat cybercriminelen dit als richtsnoer gaan gebruiken en een procent of twee gaan vragen.
De ene keer vragen ze een paar honderd dollar, de andere keer vragen ze een fortuin. De invoering van de Algemene Verordening Gegevensbescherming (de nieuwe privacywetgeving van de EU) brengt daar verandering in omdat vanuit de AVG een boete kan worden opgelegd ter hoogte van maximaal vier procent van de wereldwijde omzet van het bedrijf dat gegevens heeft laten lekken. Mikko Hypponen schat dat cybercriminelen dit als richtsnoer gaan gebruiken en een procent of twee gaan vragen.
"Your job is not to secure computers. Your
job is to secure society." (@mikko)
#IoT
Omdat in het tijdperk van het internet der dingen álles aan het internet wordt gehangen (Hypponen noemde als voorbeeld een vaatwasser met een webserver en een oven die niet kon worden uitgeschakeld omdat de cloud niet bereikbaar was), is de taak van de informatiebeveiliger dramatisch groter en belangrijker geworden.
Omdat in het tijdperk van het internet der dingen álles aan het internet wordt gehangen (Hypponen noemde als voorbeeld een vaatwasser met een webserver en een oven die niet kon worden uitgeschakeld omdat de cloud niet bereikbaar was), is de taak van de informatiebeveiliger dramatisch groter en belangrijker geworden.
Kids play with community hero toys like policemen
and firefighters. But there are no cyberhero toys, Michael Waksman complains.
De spreker klaagde erover dat er wel poppetjes van politieagenten, brandweerlieden en bouwvakkers zijn, maar niet van informatiebeveiligers. Kinderen moet je spelenderwijs leren wat belangrijk is in het leven en de speelgoedindustrie zou daar een rol in moeten spelen.
De spreker klaagde erover dat er wel poppetjes van politieagenten, brandweerlieden en bouwvakkers zijn, maar niet van informatiebeveiligers. Kinderen moet je spelenderwijs leren wat belangrijk is in het leven en de speelgoedindustrie zou daar een rol in moeten spelen.
In verband met de korte
werkweek komt er volgende week geen Security (b)log.
En in de grote boze buitenwereld …
… gebeurde in de afgelopen
week alles wat hierboven staat. Omdat het bezoeken van een conferentie betekent
dat je niet aan je normale werk toekomt, zijn er deze week geen links naar
nieuwsartikelen.
