vrijdag 19 mei 2017

One Conference 2017

Traditiegetrouw is hier het verslag van de jaarlijkse One Conference van het NCSC. De conferentie, die afgelopen dinsdag en woensdag plaatsvond in het Haagse World Forum, kende een record aantal van zo’n twaalfhonderd bezoekers uit binnen- en buitenland. Zoals gebruikelijk is mijn verslag in Twitter-style maar wel met toelichting. De tweets zijn van mij, tenzij anders vermeld. De sprekers spraken Engels, vandaar dat de meeste tweets in die taal zijn.

@dijkhoff: Zojuist int. cyberconferentie One geopend met @MinisterieEZ Kamp: nog eens benadrukt hoe belangrijk digitale veiligheid is.
De minister van Economische Zaken en de staatssecretaris van Veiligheid en Justitie werden door de dagvoorzitter geïnterviewd. De quote van de dag kwam van minister Kamp: “Digitalization is cool, cybersecurity is hot.”

This kid is live hacking his toy. And all the important people in this room too. Go for it @RAPst4r!
De elfjarige Reuben Paul uit Austin, Texas verzorgde de opening keynote van de conferentie. Hij deed onder andere een live hack op zijn teddybeer. En hij had ook nog Bluetooth-signalen van een paar bobo’s opgepikt.

@RAPst4r discovered a quite elaborate way to make his bear's LED blink (-; #IoT
Reuben liet niet alleen het ledje knipperen. Hij kon de beer via zijn laptop ook opdracht geven om geluid op te nemen. En daarmee is zo'n beer een bedreiging voor de privacy van iedereen in zijn directe omgeving.

Dreigingen vlgns Rob Bertholee (AIVD): econ. spionage, polit. beïnvloeding, sabotage kritieke infra, terrorist. aanval mbv cyber.
Dit zijn de belangrijkste bedreigingen volgens de baas van de AIVD. Overigens kreeg Bertholee na zijn verhaal nog een vraag van dagvoorzitter en BBC-journalist Nicholas Witchell. Na Bertholees uitvoerige reactie merkte Witchell droogjes op: “You didn’t answer the question.”

"KPN will not use those domains anymore and we make sure other criminals won't use them as well." (-: (Michel Zoetebier, KPN)
Weinigen hebben dit opgemerkt, maar deze KPN'er zei toch echt dat KPN crimineel is.

Definition of #IoT: stuff that was not connected before.(@twitjeb)
Een eenvoudige definitie die meer en meer werkelijkheid lijkt te worden.

Wat je ook doet (werk én thuis), je zou 10% van je ICT-budget moeten besteden aan security. (Herna Verhagen, CEO PostNL)
Het maakt niet uit wat voor soort bedrijf je bent, zegt Verhagen, maar bij het gebruik van ICT hoort onlosmakelijk een substantieel deel security. En dat geldt dus ook voor je privé-ICT.

Grote bedrijven moeten het MKB helpen met beveiliging. (Herna Verhagen)
Want de kleinere bedrijven hebben veel minder mogelijkheden (tijd en andere resources) om het speelveld te overzien. De grote bedrijven hebben er op hun beurt belang bij dat ook het MKB goed beveiligd is.

"On the internet, fear starts to trump trust." (@Milkshake)
Achter de Twitter-handle @Milkshake gaat prof. dr. Erik Huizer schuil, onder andere CTO van SURFnet en opgenomen in de Internet Hall of Fame. Huizer had het erover dat mensen hun vertrouwen in het internet verliezen omdat je tegenwoordig bang moet zijn dat overal iets achter zit.

IRL, you can see if there's a silent majority. On the internet, you don't see them. That's a social behaviour issue.(@Milkshake)
Als je met een stel mensen in een ruimte zit en er wordt over een controversieel onderwerp gesproken, dan kun je zien of er een zwijgende meerderheid is (met een andere mening of met een onprettig gevoel bij wat er wordt gezegd). Op internet zie je dat niet. En daardoor, impliceerde Huizer, hoor en zie je alleen het geluid van de mensen die de controversiële mening ventileren.

"We are not only all connected, we are also all collected." (@Milkshake)
Een mooie woordspeling die precies aangeeft wat de prijs voor onze connectivity is: privacy.

On mass surveillance: "If govt looses trust in its people, the people will loose trust in their govt". (@Milkshake)
Sommige regeringen bespioneren de bevolking omdat zij haar wantrouwen. Maar dat keert zich tegen de regering omdat de bevolking op haar beurt de regering niet meer vertrouwt.

The military needs to share intelligence with @ncsc_nl and the industry.  (Melissa Hathaway)
Hathaway heeft voor het Potomac Institute for Policy Studies de Cyber Readiness Index van acht landen – waaronder Nederland – bepaald. De strijdkrachten worden hier opgeroepen om informatie te delen met het NCSC en security-bedrijven.

If we really want to go for awareness among our citizens, we should probably hire Disney. (Melissa Hathaway)
Want Disney is zo goed in staat om dingen op een toegankelijke manier uit te leggen, ook aan kinderen. Hathaway werd op haar wenken bediend: op de conferentie was het boekje DigiDuck – safer online verkrijgbaar. Maar ik heb ook nog een boekje liggen getiteld De zwakke schakel – Veilig omgaan met informatie op het werk waarin oom Donald en de zijnen ons beveiliging leren. Dat boekje is overigens uit 2006…

In US healthcare, Windows XP is often a best case scenario. (@joshcorman) 
En Windows XP is, zoals we allemaal weten, al een tijdje niet meer veilig omdat er geen updates meer verschijnen. Dit is dus best wel een ernstige situatie.

Inconvenient truth. (@joshcorman) 
Hierbij hoort een slide met de tekst: if you can’t afford to protect it then you can’t afford to connect it.

There's no 9/11 video of how much damage a hack does to users. (@SaketModi)
We kennen allemaal de beelden van de vliegtuigen die het World Trade Center binnenvliegen en van de enorme schade die dat tot gevolg had. De schade die een hack aanricht is echter grotendeels onzichtbaar. Overigens is daar verandering in gekomen door de wereldwijde WannaCry-aanval van afgelopen weekend. In Nederland zagen we parkeergarages die geen geld konden innen, maar in Engeland was de situatie veel ernstiger omdat diverse ziekenhuizen slachtoffer werden. Daar zijn mogelijk mensen overleden omdat ze niet op tijd de medische zorg konden krijgen die ze nodig hadden.

Hackers don't make holes. Hackers find holes. (Edwin van Andel/@Yafsec)
Dit is één van de meest geretweete tweets. Ik kan alleen vermoeden dat dat vooral werd gedaan door hackers die hierin een erkenning van hun werk zagen. Bedenk daarbij dat ‘hacker’ bepaald niet per definitie een negatieve aanduiding is. Talloze whitehat hackers doen goed werk met het opsporen en netjes rapporteren van lekken.

You should run a bug bounty programme because hackers like to earn money. @Yafsec
Hierbij toonde de spreker een taartdiagram dat aangaf dat 40% van de gepleegde hacks geldgedreven zijn. Dus als een fabrikant hackers geld geeft wanneer die fouten in zijn producten vindt, dan heeft hij de hackers aan zijn kant. Hetzelfde taartdiagram liet overigens zien dat 30% van de hacks met spionage te maken heeft.

Voordat je mensen van kennis voorziet, moet je ze eerst voor het onderwerp interesseren. (@MaartenTimmeman)  #awareness
Het heeft geen zin om mensen vol te pompen met allerlei kennis op het gebied van informatiebeveiliging als het hele onderwerp ze geen snars interesseert.

Criminals don't have a clue what a reasonal pricetag for a ransomware attack is. GDPR changes that: < 4% of revenues. @mikko
De ene keer vragen ze een paar honderd dollar, de andere keer vragen ze een fortuin. De invoering van de Algemene Verordening Gegevensbescherming (de nieuwe privacywetgeving van de EU) brengt daar verandering in omdat vanuit de AVG een boete kan worden opgelegd ter hoogte van maximaal vier procent van de wereldwijde omzet van het bedrijf dat gegevens heeft laten lekken. Mikko Hypponen schat dat cybercriminelen dit als richtsnoer gaan gebruiken en een procent of twee gaan vragen.

"Your job is not to secure computers. Your job is to secure society." (@mikko)  #IoT
Omdat in het tijdperk van het internet der dingen álles aan het internet wordt gehangen (Hypponen noemde als voorbeeld een vaatwasser met een webserver en een oven die niet kon worden uitgeschakeld omdat de cloud niet bereikbaar was), is de taak van de informatiebeveiliger dramatisch groter en belangrijker geworden.

Kids play with community hero toys like policemen and firefighters. But there are no cyberhero toys, Michael Waksman complains.
De spreker klaagde erover dat er wel poppetjes van politieagenten, brandweerlieden en bouwvakkers zijn, maar niet van informatiebeveiligers. Kinderen moet je spelenderwijs leren wat belangrijk is in het leven en de speelgoedindustrie zou daar een rol in moeten spelen.

In verband met de korte werkweek komt er volgende week geen Security (b)log.

En in de grote boze buitenwereld …


… gebeurde in de afgelopen week alles wat hierboven staat. Omdat het bezoeken van een conferentie betekent dat je niet aan je normale werk toekomt, zijn er deze week geen links naar nieuwsartikelen.


Geen opmerkingen:

Een reactie posten