Security: balans tussen preventie, detectie en respons

Berichten over datalekken, hacking incidenten en inbreuken op de privacy zijn aan de orde van de dag.

Cybersecurity is een zich snel professionaliserende markt, zowel aan de zijde van kwaadwillenden als aan de kant van partijen die producten en diensten leveren om ons hiertegen te beschermen.

Marc Rolsma, binnen KPN Internedservices verantwoordelijk voor Professional Services, ervaart dagelijks het toenemende belang van beveiliging van IT-omgevingen en data: “Focus op cybersecurity is heel belangrijk, je kunt het je niet veroorloven er niets aan te doen”.

marc-rolsma-internedservices

Rolsma ontwerpt met zijn team technische oplossingen voor de klant waarbij security in een zo vroeg mogelijk stadium aan de orde komt: ‘security by design’.

“We werken al langere tijd met multi-tier design waarbij je gelaagdheid aanbrengt in het ontwerp”, zegt Rolsma. “Vroeger was het een kwestie van ‘een poortje dicht zetten’, tegenwoordig zijn kwaadwillenden in staat om over iedere poort binnen te komen met ander soort verkeer dan wat daar eigenlijk thuishoort.”

“Het is een voortdurende rat race tussen maatregelen die je neemt en wat er in de praktijk gebeurt. Wij kunnen aan de server-kant maatregelen nemen, maar problemen als cross-site scripting (XSS, fouten in de beveiliging van een webapplicatie) zijn eigenlijk problemen in de code van de applicatie van de klant.”

“Er zullen altijd fouten in de code zitten, gemiddeld 8 fouten op 1000 regels, de vraag is wie die fouten als eerste ontdekt. Wij leveren diensten die dat tijdig detecteren en/of voorkomen. Zo is onze dienstverlening steeds breder geworden en dat proces zet zich voort.”

Assurance: Toegenomen vraag naar certificering

“Onze klanten willen zeker weten dat niet zomaar iedereen bij hun gehoste data kan”, aldus Rolsma.

“Steeds vaker wordt gevraagd naar onze certificering˚. Bij Europese aanbestedingen en RfP’s (Request for Proposal) is ISO 27001 het minimum. ISO 27001 controleert of je je processen goed beschreven hebt en of deze logisch in elkaar zitten, maar wij gaan een stap verder en hebben ook een ISAE 3402 type II certificering.”

“ISAE 3402 controleert of je die processen ook werkelijk volgt, een wezenlijk verschil. Instellingen die gebruik maken van persoonsgegevens en financiële gegevens, zoals de pensioenfondsen die wij tot onze klanten mogen rekenen, vragen behalve naar ISO 27001 ook om ISAE 3402.”

'Onze klanten willen zeker weten dat niet zomaar iedereen bij hun gehoste data kan', aldus Rolsma.Click To Tweet

DDoS-aanvallen en andere bedreigingen

Eén van de meest zichtbare online bedreigingen is een DDoS-aanval, ‘Distributed Denial of Service’. Hierbij wordt een website of online dienst overspoeld met grote hoeveelheden dataverkeer uit verschillende bronnen waardoor deze onbereikbaar wordt of offline gaat.

Dat het aantal DDoS-aanvallen blijft stijgen is volgens Rolsma verklaarbaar. “Het vereist weinig computerkennis, alleen een grote hoeveelheid verkeer die vaak door botnets, geïnfecteerde pc’s of slecht beveiligde routers wordt gegenereerd. Een DDoS-aanval kun je gewoon op bestelling krijgen voor weinig geld. Soms is zo’n aanval alleen maar vervelend omdat je site even niet bereikbaar is, maar de website van de ING bank lag er ooit een hele dag uit wat natuurlijk veel meer impact heeft.”

Webshops lopen al gauw inkomsten mis en de reputatie van (overheids)instellingen wordt er niet beter op wanneer zo’n aanval de media haalt. Voorkomen is daarom beter dan genezen. Internedservices heeft DDoS-mitigation oplossingen beschikbaar. Deze filteren schadelijk verkeer van legitiem verkeer, zodat gebruikers geen last hebben van een aanval.”

“Het vereist weinig computerkennis, alleen een grote hoeveelheid verkeer die vaak door botnets, geïnfecteerde pc’s of slecht beveiligde routers wordt gegenereerd.'Click To Tweet

Dedicated Magazine downloaden

Dit artikel is onderdeel van een groter artikel over cybersecurity dat in onze Dedicated verscheen. Wilt u de laatste Dedicated in uw mailbox ontvangen? Vraag de Dedicated hier aan.