Meer dan AI en awareness – Infosecurity en Data & Cloud Expo

Infosecurity en Data & Cloud Expo 2019

Een groot deel van de professionals in Nederland die iets doen met informatie beveiliging, trok eind oktober naar de Jaarbeurs voor de jaarlijkse Infosecurity en de Data & Cloud Expo. ChannelConnect was er uiteraard bij.

 

 

Op de eerste dag gingen de deuren van de beurs later open dan verwacht, omdat er geen badges konden worden geprint. Na enige vertraging werd de beurs toch geopend, maar de storing met het badge-systeem duurde uiteindelijk de hele morgen van de eerste beursdag waardoor veel bezoekers zonder badge rondliepen. Een tegenvaller voor de Jaarbeurs die bij dit event ook al werd geconfronteerd met een datalek (zie kader).

De beurs is uiteraard een etalage voor veel bekende leveranciers van netwerk- en endpointbeveiliging. Naar verluidt staan sommige partijen vooral op de beurs ‘omdat de concurrent er ook staat’. De beurs is echter ook altijd goed om nieuwe bedrijven te leren kennen, zoals bijvoorbeeld Cloudland, een relatief nieuw bedrijf op de distributiemarkt. Sinds april 2018 verkoopt het bedrijf allerlei diensten variërend van back-up, communicatie tot security. We spreken daar met Ron Wicklert, accountmanager bij Cloudland. Er wordt teveel geconcurreerd op prijs, meent Wicklert: “Een lage prijs is niet het belangrijkste voor de klant. Resellers zouden zich meer op kwaliteit moeten richten.” Cloudland doet het anders, zo stelt Wicklert. Doordat het bedrijf de backoffice heeft geautomatiseerd, kan het naar eigen zeggen lagere prijzen vragen en ‘toch nog een boter ham verdienen’. In het portfolio van Cloudland zitten ook veel securitypartijen waaronder Avast, Fudo Security, Hornet Security, Kaspersky, Eset, McAfee, Norton, ThreatStone en Trend Micro.

Voldoende awareness

Veel van de standhouders op de beurs hebben dit jaar aandacht voor awareness-trainingen. Het is een belangrijk onderwerp, zo blijkt uit enkele gesprekken. Ook G Data zet vol in op awareness-trainingen. Dat is hard nodig, vindt G Data’s security-evangelist Eddy Willems. “Er zijn veel bedrijven die (nog) niet de noodzaak inzien van bewustwording bij medewerkers.” Maar het geven van een eenmalige cursus of training aan medewerkers over securitybewustwording is ook niet zinvol. Beter is het volgens Willems om doorlopend medewerkers te trainen. G Data biedt daarvoor allerlei trainingen aan die klanten voor hun personeel kunnen aanvragen. Bewustwording van IT-risico’s speelt uiteraard in alle sectoren een belangrijke rol, maar toch zeker bij personeel van financiële instellingen. Daar weet Richard Verbrugge alles van. Hij is Information Security Awareness Manager bij ABN Amro en onderwerpt de bank medewerkers regelmatig aan phishingtests, zo vertelt hij in gesprek met ChannelConnect. Die tests leveren data op die de bank probeert te analyseren. “Via data-analyse proberen we erachter te komen wat mensen ‘triggert’ om op bepaalde links te klikken”, zo legt hij uit. “Dat is nog best lastig want het verschilt namelijk per afdeling en functie waar medewerkers op klikken.”

‘We willen niet dat medewerkers zeven maatregelen kunnen opdreunen, we willen dat ze risico’s herkennen’

Mini-learnings

Hoewel die phishingtests in het verleden niet altijd door het personeel werden gewaardeerd, zijn ze wel broodnodig, zegt Verbrugge. Nog altijd klikt een aantal medewerkers op ‘foute links’. “Maar het alternatief, dat criminelen op die manier medewerkers in de val lokken, is veel ernstiger dan onze tests.”

Ooit werkte de bank nog met online trainingen (e-learnings), maar ‘die zijn al achterhaald als ze online worden gezet’, aldus Verbrugge. “In cybersecurity gebeurt zoveel dat cursussen al snel achter de feiten aan lopen. ABN Amro maakt nu gebruik van een continu leerprogramma dat op de desktop of via een app is te doen.” Daarvoor wordt elke maand nieuwe content aangeleverd. “Zo blijf je bij qua kwaliteit en de inhoud relevant. De content wordt in willekeurige volgorde aan de deelnemers voorgeschoteld”, vertelt Verbrugge.
ABN Amro biedt medewerkers die ten onrechte op links klikken zogeheten mini-learnings aan. Dat is een korte uitleg van een paar minuten waarbij wordt uitgelegd waar medewerkers op moeten letten bij het gebruik van een applicatie of bepaalde handelingen. Met de mini- learnings probeert de bank in te schatten in hoeverre medewerkers risico’s kunnen herkennen. “We willen niet dat ze zeven maatregelen kunnen opdreunen, we willen dat ze risico’s kunnen herkennen. Niet alleen op het werk, maar ook thuis of in gesprek met een collega.” De bank kan zien welke medewerkers welke vragen fout hebben beantwoord.

Op die punten krijgen ze mini-learnings aangeboden. Ook worden teams soms getest met een soort wedstrijd, bijvoorbeeld in de IT-escaperoom. Daarbij wordt getest hoe medewerkers omgaan met incidenten en de draaiboeken die voor diverse scenario’s klaarliggen.

Er is meer dan awareness Een van de zaken die ABN Amro in ieder geval op orde heeft,
zijn de DMARC-regels. DMARC (Domain- based Message Authentication, Reporting & Conformance) is een op DNS gebaseerde techniek, net als SPF en DKIM. Een DMARC-record beschermt je domein tegen phishing en spoofing van e-mail. Het is een manier om aan te geven wat ontvangers moeten doen met e-mails die volgens SPF of DKIM ongeldig zijn. Een bedrijf dat hierin gespecialiseerd is, is Flowmailer. Richard van Looijen, managing director van Flowmailer, vindt dat er op de beurs te weinig aandacht is voor veilige e-mailinstellingen. “Er is zoveel aandacht voor awareness, maar intussen hebben veel bedrijven hun DMARC-regels niet goed op orde.” Zelfs enkele grote webshops uit de top vijf van de jaarlijkse lijst met webshops met de grootste omzet, de Twinkle top100, hebben DMARC niet goed ingesteld, aldus Van Looijen.

Certificering

Het gebrek aan beveiliging via e-mailinstellingen, komt wellicht door een tekort aan IT-security- experts. De vraag naar IT-opleidingen is groot, vertelt Jason Cope, Head of Sales Strategy EMEA bij het gerenommeerde (ISC)². Dit opleidingsinstituut was op de beurs om de Nederlandse channelpartners te ondersteunen, maar ook om de Nederlandse (ISC)²-leden bij elkaar te krijgen voor een netwerkbijeenkomst. De Nederlandse chapter van (ISC)² telt ongeveer 3.000 leden en enkele gecertificeerde trainingsresellers zoals Firebrand en Cibit. Hoewel er meer opleidingsinstituten zijn die IT-securitycertificeringen hebben, is (ISC)² niet bang voor concurrentie, vertelt Lucy Martin, Recognition Manager EMEA bij (ISC)². Het mooie van een certificering is volgens Martin dat iedereen weet wat een persoon met een bepaalde certificering zoals CISSP weet en kan. “We zien die andere certificeringen daarom juist als complementair in plaats van concurrentie”, vertelt ze. “We proberen duidelijk te maken waar bepaalde certificeringen voor staan en we proberen mensen te helpen die willen groeien in hun IT-carrière.”

Voor veel werkgevers in de IT is het behalen van certificeringen overigens een manier om talenten aan te trekken of juist te behouden, want de vraag naar nieuw talent is in de IT-security nog altijd heel groot. Wat dat betreft is Infosecurity en de Data & Cloud Expo een goede gelegenheid om te netwerken met conculega en potentiële werk gevers of klanten. Bijvoorbeeld bij de opvallende stand ‘Arrow Smart City’ die distributeur
Arrow ECS op de beurs had opgebouwd.

‘In cybersecurity gebeurt zoveel dat awareness-cursussen al snel achter de feiten aan lopen’

De bezoekers en standhouders op de beurs hadden in ieder geval één ding met elkaar gemeen en dat is een passie voor beveiliging. ‘Bad guys’ zijn er al genoeg op internet.

Vervelend datalek
Voor Infosecurity en Data & Cloud Expo maakte Jaarbeurs gebruik van een webapplicatie van een externe leverancier voor de registratie van éénop-één-afspraken rondom het event. Binnen deze applicatie bleken zakelijke e-mailadressen en telefoonnummers te achterhalen na een bepaalde, niet nader genoemde handeling. Een van de exposanten maakte hier melding van, waarna het lek vervolgens binnen drie uren werd gedicht. Jaarbeurs maakte melding bij de Autoriteit Persoonsgegevens en bracht betrokkenen op de hoogte.
Opmerkelijk was dat Jaarbeurs tijdens het event een plenaire sessie organiseerde over hoe een datalek kan ontstaan en voorkomen kan worden. “Vanzelfsprekend hadden we daarbij liever niet een voorbeeld uit eigen praktijk gehad, maar het laat zien dat het iedereen kan overkomen”, aldus Jaarbeurs in een reactie.

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine 8-2019]

Lees het artikel hier in PDF