https://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.png00Jan Guldentopshttps://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.pngJan Guldentops2023-07-20 07:47:102023-07-20 07:49:26V-ICT-OR op de sofa ... een interview met Jan Guldentops over cybersecurity en weerbaarheid
Door een valse, #malicious mail te sturen ( die je zelfs niet moet openen, enkel ontvangen) kan een slimme aanvaller allerlei ongein uithalen o.a. onderscheppen van je hash ( lees: password uitlezen maar ook wijzigingen aanbrengen).
Dus: stop met Outlook Desktop gebruiken ( gebruik de webclient), verander je O365 of Exchange wachtwoord en zorg dat je Office up-to-date is tot de allerlaatste versie. Dit is geen theoretische oefening, Microsoft geeft zelf aan dat ze het al #inthewild gebruikt is tijdens aanvallen.
En neen MFA gaat je niet redden ( wachtwoord niet onderschept maar de privacy escalation blijft, dus ze kunnen het blijven misbruiken ).
Een praktisch stappenplan voor organisaties:
1. Zorg dat al je clients de laatste versie van de Outlook software hebben. Tot dit het geval is, zorg dat iedereen de webclient gebruikt. Er zijn veel manieren om dit op te volgen / te automatiseren (MDM’s, Ntune, etc.) maar da’s niet mijn expertise.
2. Dwing hen hun wachtwoord te veranderen bij de volgende login ( kan makkelijk in de AD / azureAD)
3. Hou je ogen ( en je logging, antivirus, SIEM, EDR en ander securityspeelgoed) open voor anomalieën andergezegd rare dingen.
#aandeslag#nietwachten
Ik heb trouwens nooit begrepen waarom mensen eigenlijk Outlook Desktop gebruiken ( wat een crappy onstabiele, software).
Dit voorval moet ons ook wederom eens vragen laten stellen bij de monocultuur en quasi-monopolies die we toelaten voor de essentiële software die we gebruiken als individu, bedrijven, overheid en samenleving in het algemeen.
Jan Guldentops is al 25 jaar met cybersecurity bezig. Maar ondanks de technologische vooruitgang blijft het soms sukkelen met digitale veiligheid. In zijn nieuwjaarsbrief geeft hij zes adviezen voor 2022.
(Dit stuk verscheen eerder al op de site van Datanews )
2021 is het 25ste jaar dat ik actief ben in cybersecurity. Als een accidental security expert, bracht ik in 1996 een aantal zware securityproblemen aan het licht in de eerste Belgische online internetbank Beroepskrediet. Van de ene dag op de andere word je dan security-expert, ethical hacker en denkt iedereen dat je alles weet over informatieveiligheid.
Een kwarteeuw is zeer lang en je zou verwachten dat al die problemen die we toen signaleerden, vandaag de dag grotendeels opgelost zouden zijn. Niks is minder waar: het jaar 2021 was weer een geweldig jaar voor de cybersecurity-industrie. De pandemie liet ons nog veel meer inzetten op de digitale economie met een obligaat thuiswerken. Dit werd nog versterkt door een triade aan zero day securityproblemen met een hoog-risico en een angstaanjagende naam van haffnium tot log4j. En ook IOT (je weet wel alle spullen met een draad die we tegenwoordig aan het netwerk hangen) kreeg een paar security-problemen te verwerken.
En ja 2021 was een goed jaar voor security exploits. NIST registeerde gemiddeld meer dan 50 CVE’s (Common Vulnerabilities and Exposures) of bugs elke dag. Opvallend:
Iets minder dan de helft daarvan kreeg de stempel “high” wat betekent dat ze relatief makkelijk bruikbaar zijn voor hackers.
61% van de bugs kan je gebruiken zonder dat je extra toegang of interactie van de gebruiker nodig hebt.
90% is niet heel technisch en kan door iemand met beperkte kennis en wat vrije tijd (een scriptkiddie bijvoorbeeld) makkelijk misbruikt worden.
Deze bugs (en oudere varianten van de jaren ervoor) werden uitvoerig gebruikt om binnen te dringen bij bedrijven en organisaties, data te stellen of met ransomware plat te leggen. Slachtoffers in ons land: Ziekenhuizen, Mediamarkt, Defensie…
En ja de cybersecurity-industrie profiteert hiervan. Volgens statista groeide de cybersecurity industrie in 2021 met 12%. Volgens de helderzienden van Gartner zal die markt volgend jaar 170 miljard waard zijn. De cybercriminelen, de entrepreneurs die kozen voor de dark side hebben er ook een goed jaar opzitten. Omdat niemand vertelt hoeveel ze betaald hebben aan de afpersers, is hier een cijfer opplakken nog meer voodoo dan Gartner-voorspellingen. Hierbij worden ze geholpen door cyberrisico-verzekering die tot voorkort losgeld terugstortten binnen hun verzekering en bedrijven die er prat op gaan voor u als dienstverlening met de afpersers te onderhandelen.
Hoewel deze industrie enorm gegroeid is, zijn er dingen die in 25 jaar niet veranderd zijn. De voornaamste verkoops- en marketingtechniek is angst of zoals we dat in de industrie FUD (Fear, Uncertainty, Danger) noemen. En die wordt gevoed met weinig constructieve apocalyptische slogans als “er is een cyberramp in de maak” of vage “in 2022 krijgen we nog meer cyberaanvallen” meestal ondersteund met een statistiek die naar de hemel wijst maar waar men makkelijkheidshalve de legende en soms zelfs de cijfers bij vergeten is. Je hebt leugens, grote leugens en statistieken. In de pers weet men ook dat angst en miserie verkoopt.
Wat ook altijd opvalt is hoe de stroom aan niks-zeggende terminologie en hippe oplossingen die al deze problemen moeten oplossen, wel geworden is. De hele bullshit-bingo aan termen en oplossingen die je zogezegd absoluut nodig hebt voor je veiligheid maar waar zelfs de industrie zelf niet 100% zeker van is wat ze betekenen. Het verkoopt blijkbaar lekker met vage termen als Artificial intelligence, Next Generation en Zero Trust.
Volgens mij is de toestand ernstig maar niet hopeloos. De afgelopen maand heb ik in mijn hoofd eens opgelijst waar niet over gepraat wordt maar wat belangrijke aspecten zijn om de digitale werking van je organisatie te garanderen.
Angst is een slechte raadgever -> nood aan een structureel securitybeleid
We moeten stoppen met paniekvoetbal te spelen telkens als er een nieuwe security-probleem bovenkomt. Als kiekens zonder kop proberen de uitslaande brand te blussen met moeite wetend wat er allemaal in het magazijn is opgeslagen dat kan ontploffen.
Wat bedoel ik hiermee?
Zie de werkelijkheid onder ogen: informatieveiligheid gaat voor uw organisatie even belangrijk zijn als fysieke veiligheid op de werkvloer, de boekhouding correct voeren, belastingen op tijd betalen en al die andere noodzakelijke aspecten om correct een bedrijf of vzw te runnen. Iemand zei ooit dat er 2 zekerheden in het leven zijn: Death and taxes. Misschien moet je mentaal daar ook maar cybersecurity bijzetten.
Net zoals er een goede kans bestaat dat uw gebouw in de fik vliegt of er fysiek ingebroken wordt, is er een zeer grote waarschijnlijkheid dat uw organisatie vroeg eerder dan laat te maken krijgt met een securityprobleem. De manier om dit aan te pakken is u voorbereiden: inventariseer wat belangrijk is qua digitale infrastructuur voor de organisatie en hoe die er fysiek uitziet, lijst de risico’s op en maak een plan om deze risico’s te vermijden. En maak hier een permanent proces van dat u regelmatig opnieuw bekijkt en aanpast aan wijzigingen, gebeurtenissen en de nieuwe werkelijkheid die deze meebrengen. Volg ook problemen op en leer eruit. Zet een soort security-organisatie op met een verantwoordelijke medewerker die op zijn beurt met regelmaat rapporteert aan de directie en de stakeholders van het bedrijf.
De Vlaamse regering heeft hier ook het belang van ingezien en samen met VLAIO een gesubsidieerd verbetertrajectop poten gezet met 9 bedrijven, waaronder het mijne BA N.V., die bedrijven helpen dit op te zetten met de nodige financiële hulp.
De vraag is echter niet of je een securityprobleem gaat hebben maar wanneer. Een goede security-organisatie en de nodige bijhorende maatregelen gaan niet voorkomen dat je een securityprobleem zoals een inbraak, een ransomware, phishingaanval of een niet gepatchte bug hebt met de nodige gevolgen van dien. Wat het wel gaat doen is het risico beperken en als zo’n probleem opduikt, de schade beperken zonder dat hiervoor extra security-producten of services gekocht moeten worden.
Samengevat: pak cybersecurity structureel aan, wees een brandpreventie-adviseur en geen pompier.
Voorbeeld 1: Cryptolockers
De afgelopen 2 jaar zijn er massaal veel berichten over bedrijven die wekenlang platliggen omdat een cryptolocker al hun gegevens heeft versleuteld. Heel vaak betalen deze bedrijven dan ook het losgeld om terug te kunnen opstarten en leggen ze hun lot in de handen van de criminelen.
De olifant in de kamer waar niemand over spreekt, is dat deze bedrijven geen of toch geen werkend Business continuity plan hebben. Wanneer je dit voorbereid hebt, goed opgezet en getest hebt, ga je nog altijd last hebben van een cryptolocker en misschien ga je 1 à 2 dagen en veel bloed, zweet en tranen van de IT-staff nodig hebben om alles terug de lucht in te krijgen maar je hebt iets om op terug te vallen.
Voorbeeld 2: Haffnium
Haffnium was begin van dit jaar een bug waarbij het voor buitenstaanders mogelijk werd om een exchange mailserver over te nemen. Een gevaarlijke bug die gelukkig wel op tijd gemeld werd aan Microsoft en waar updates voor waren voor hij publiek bekend gemaakt werd.
Als uw organisatie een structurele manier van updates heeft (bijvoorbeeld wekelijks een update) zou het risico relatief beperkt gebleven zijn. Bedrijven die maanden na het bekend worden van deze bug en de nodige patches nog niet geüpdatet zijn, roepen de problemen over zichzelf uit.
Voorbeeld 3: log4j
Dit is een ernstig probleem in log4j, de logsoftware die door meeste java-software wordt gebruikt. En helaas is een belangrijk deel van alle software die on premisse, op je pc of door allerlei cloud-oplossingen gebruikt wordt geschreven in JAVA.
Het probleem is eigenlijk dat, als je van buitenaf de juiste logboodschap naar het systeem kan sturen, dit systeem een connectie kan opzetten naar buiten, daar allerlei code kan downloaden en die uitvoeren met alle gevolgen van dien.
Alleen waarom moet een aan het internet verbonden server dns, ldap of andere connecties naar het hele internet kunnen opzetten? De beste firewall-strategie is een zogenaamde whitelist of deny all policy waarbij je enkel het inkomend en uitgaand verkeer toelaat dat expliciet noodzakelijk is. Verkeer dat niet noodzakelijk is, blokkeer je en sla je op in een logfile of beter nog je stuurt het door naar een SIEM-oplossing die je er attent op gaat maken dat er iets raars gebeurt.
Samengevat: De bug of breach kan je niet (altijd) vermijden, de schade die hij aanricht kan je wel beperken.
Zorg dat je begrijpt waar het over gaat en gebruik je gezond verstand
Vaak gehoord: “dit moet je met IT bespreken daar heb ik geen verstand van. “
Dit is mijns inziens heel sterk de kern van het probleem: als leidinggevende moet je de risico’s rond cyberveiligheid en de oplossingen zelf in grote lijnen begrijpen. Dit is de enige manier waarop je deze risico’s kan gaan beperken door o.a. de juiste organisationele en technische beslissingen te nemen. Dit wil niet zeggen dat je je niet mag door een interne medewerker of een externe partij laten adviseren maar je moet altijd voldoende begrip en de vinger aan de pols hebben om dit inhoudelijk te kunnen volgen. Tenslotte begrijp jij meestal beter dan hen wat belangrijk is voor de organisatie en… draag jij de eindverantwoordelijkheid als het mis gaat.
De gouden vuistregel die ik zelf altijd gebruik: Als een IT’er of consultant het mij niet kan uitleggen zodat ik de grote lijnen begrijp, dan begrijpt hij of zij het meestal zelf niet helemaal. Dure complexe termen zijn meestal een vorm van ofwel jobprotectie of een smoke and mirrors om onkunde en andere gaten in het verhaal te verbergen.
Gebruik ook de belangrijkste veiligheidsoplossing die er is: het gezond verstand. Denk na over wat belangrijk is en hoe het moet beveiligd worden. Vaak zijn oplossingen ook nodeloos complex.
Security en privacy is immers te belangrijk om aan IT’ers, advocaten of self-proclaimed experten en consultants over te laten.
Samengevat: wees als leidinggevende altijd nauw betrokken bij informatieveiligheid en zorg dat jij de grote lijnen uitzet.
Geen blind vertrouwen of supportersgedrag
Wat me opvalt is hoe tribaal IT eigenlijk is. Men zit in een kamp met één leverancier (bijvoorbeeld: Microsoft ) of gemeenschap (Open source, linux) en men vertrouwt deze blindelings en gaat alle potentiële problemen minimaliseren. Om een bijbelse vergelijking te maken: men ziet de splinter in het oog van de rest van de wereld maar de balk in het eigen oog niet.
Dit geldt zeker voor cloudoplossingen. We hebben altijd het gevoel dat een cloud-oplossingen op magische manier beter, sneller, goedkoper en veiliger is dan een andere oplossing. Maar cloud-oplossing zijn aan dezelfde problemen onderhevig dan oplossingen die bij u in de serverruimte staan. Alleen heeft u er minder controle over ( dus afspraken zijn nog belangrijker!).
Wees dus kritisch en geloof niet blind dat een oplossing veilig is. Als je iets aankoopt, vraag naar referenties en kijk ook eens de lijst van recente bugs bij NIST na. Zo zijn er een aantal vpn-oplossingen die de afgelopen 2 jaar al 4 zware bugs gehad hebben die bovendien heel traag op deze problemen reageren. Zo’n partij kan je dan beter links laten liggen.
Samengevat: Geen enkele oplossing is veilig en je gaat permanent moeten updaten en de veiligheidsnormen van dit product te volgen.
Basis goede beveiliging en operaties
Geen enkele structuur of organisatie is helemaal veilig dus Plan for the worst, zorg dat de basis beveiliging zo goed mogelijk in orde is en vooral dat de procedures klaar liggen als er problemen opduiken.
Hiervoor heb je een goede operationele beveiligings infrastructuur nodig :
Er is iemand aanspreekpunt en verantwoordelijk. Of je die de titel van DPO, informatieveiligheidconsulent, CSO of Security officer wil geven is een andere zaak. Maar zorg dat iemand bekwaam verantwoordelijk is, dat hij/zij de juiste middelen (o.a. ook tijd) heeft om de job naar behoren uit te voeren?
Plan for the worst. Zorg dat er zoveel mogelijk op punt staat als er een probleem opduikt: alles is gedocumenteerd, er is een inventaris, je hebt disaster recovery procedures (hoe bouw ik alles terug op?), je hebt contactgegevens waar je hulp kan zoeken, je kan dit melden, etc.
Deny all of zero trust policy. Bouw een network-structuur op die op de juiste wijzen belangrijke dingen van elkaar afschermt met segmentatie (bijvoorbeeld door vlans), firewalls of een zero trust netwerk oplossing. Zo zorg je er concreet bijvoorbeeld voor dat de medewerker achter de balie geen toegang heeft tot de beheersinterface van je Private Cloud oplossing en de high-tech IOT koffieautomaat ook niet.
Zorg ook voor minimale uitgaande rechten: het gebouwbeheersysteem dat de airco aanstuurt moet niet met de hele wereld kunnen verbinden en je webserver ook niet.
Sterke authenticatie, met rollenbeheer en need-to-know toegangen. Verbazingwekkend dat we in de 21ste eeuw nog altijd wachtwoorden gebruiken. Zorg dus voor een goede multifactor authenticatieoplossing waarmee iemand sterk kan bewijzen wie hij is. Geef ook toegang op basis van de rol de functie van de persoon en niet à la tête du clientèle (Role based Access Control) en geef ook de minimale toegang.
Log en monitor wat er allemaal gebeurt in real time en voor latere analyse. Op die manier weet je wanneer er iets down of misgaat en kan je snel een beeld krijgen van wat er aan de hand is. Dit is een minimum dat je idealiter nog laat analyseren door iets als een Security Incident and Event Management (SIEM) systeem om nog meer wijsheid uit de alarmen te halen.
Samengevat: security is hard, permanent werk in een verbeteringstraject waar je continue mee bezig moet zijn.
The proof of the pudding is in the eating: test!
Test de veiligheid van je omgeving op vaste tijdstippen. En dit testen kan op verschillende manieren die allemaal even belangrijk zijVLAIn.
Allereerst heb je de checklist, lijstjes van vragen waar je op kan beantwoorden. Pas hier op voor papieren tijgers: elk bedrijf wordt vandaag de dag platgeslagen met ISO27k-achtige vragenlijsten waarbij juridische en taalkundige kennis belangrijker is dan technische veiligheidskennis. Vaak is de vraag te weinig genuanceerd, snapt de invuller de vraag met moeite door het jargon en de juridische spitsvondigheid waarin hij is opgesteld of wordt er gewoon gelogen uit bestwil. “Everybody lies” zegt één van mijn favoriete TV-figuren in bijna elke aflevering van “House”.
Aan de andere kant heb je de uitgebreide audits die veel gespecialiseerde bedrijven o.a. het mijne aanbieden om je bedrijf binnenste buiten te keren. Probleem is dat dit mensenwerk is en een serieus prijskaartje. Dit betekent dat je dit niet elke maand gaat doen. En helaas is elke audit maar een momentopname en kan er 10 minuten later al een andere securitybug inzitten.
Daarom is het ons inziens ook belangrijk dat je regelmatig (bijvoorbeeld maandelijks) jezelf door middel van een aantal vulnerability tools (Nessus, qualsys of gewoon een open source KALI met alle tools die erinzitten) test en controleert of alles nog in orde is.
Wij bieden trouwens een gratis, passieve internetvulnerability test aan via deze link.
Samengevat: test op regelmatige basis zo vaak mogelijk de veiligheid van je omgeving.
Een goed getest Business Continuity Plan en praktijk
Eén van de dingen die mij nog altijd het meest verbazen als ik over alle cyberrampen van het afgelopen jaar lees, is hoe weinig bedrijven, sluitende backups laat staan een echt Business Continuity Plan hebben.
Hoe maak je een business continuity plan ?
Bepaal eerst wat je wil bereiken qua beschikbaarheid. Niet alles is even belangrijk en wat belangrijk is hangt af van de specfieke vereisten van uw bedrijf. Maak per dienst een worst case Recovery Time objective (RTO of hoe lang mag de dienst maximaal onbeschikbaar zijn in tijd) en Recovery Point Objective (RPO of hoeveel data in tijd mag de dienst maximaal kwijt zijn). Vaak wordt ook retentie vergeten: hoe lang wil je wenselijk en om juridsiche redenen kunnen terugkeren in je backups? Hoe vlot kan je de data recuperen ?
Bepaal ook wat je daar budgetair aan kan besteden. Het is een standaard verhaal dat een directie zegt dat een dienst niet mag platleggen maar dat er geen budget voor voorzien wordt en elke investering er één teveel is. If you pay peanuts, you get monkeys.
Bekijk het per concrete dienst, niet per technisch element zoals netwerk, server, internetconnectie of een ander IT-spul. Om een dienst beschikbaar te hebben, heb je immers meerdere dingen nodig – wat heb je eraan dat je je server in 10 minuten terug de lucht in kan krijgen als je geen netwerk er meer naartoe hebt ?
Maak een technische inventaris van alles wat je nodig hebt om die dienst te kunnen garanderen en probeer niks te vergeten. IT is een complex verhaal van netwerken, cloud, servers, authenticatie, enz geworden. Elke schakel die ontbreekt of foutgaat, kan de hele recovery-inspanning nutteloos maken. Een keten is maar zo sterk als zijn zwakste schakel.
Op basis van vereisten, budget en inventaris kan je dan een plan opmaken. Wees hier realistisch en hou vooral ook rekening met de dode hoeken in je plan waar je niet aan gedacht hebt. Zorg ook dat alle risico’s geëvolueerd worden en er deze aangepakt worden. Dingen die vaak vergeten worden: alles staat op één locatie (backups gaan het bedrijf niet uit of worden niet ergens anders naartoe gestuurd.) met alle gevolgen van dien, stroom, configuraties van infrastructuur als switches wordt niet gebackuped, backupservers zijn slecht beveiligd (en worden bv ook versleuteld door de cryptolocker), etc.
Last but not least: test! Volg je systemen en backups dagelijks op, pak het aan als er iets foutgaat. Test je business plan af en toe. Recover je backups af en toe. De wet van Shrödinger voor backups leert ons immers dat je pas weet dat een backup in orde is, als je hem volledig succesvol gerecovered hebt.
Samengevat: maak een realistisch Business Continuity Plan met duidelijke, realistische doelstellingen per dienst, een budget en dat je ook op vaste tijdstippen test op zijn werking.
Duidelijke afspraken maken goede vrienden
Vandaag las ik nog in een artikel hoe de universiteit van Kyoto 77TB aan onderzoeksdata is kwijtgeraakt bij een Hpe SAN update. Het lijkt onbegrijpelijk maar mijn ervaring in het werkterrein laat me al vermoeden hoe het is foutgegaan: Universiteit: we kopen bij een grote naam, dus de backups en Business Continuity zullen wel in orde zijn. Hpe: backups zijn verantwoordlijkheid voor de klant.
Het is een veelvoorkomende fout: “Assumption is the mother of all fuck ups”. Veel belangrijke elementen worden intrinsiek afgesproken en niet uitgesproken. Daarom is het belangrijk om goede afspraken te maken met je leverancier, partners, IT-dienst en medewerkers. Durf uit te spreken wat je verwacht en zet het ook op papier. En eerlijkgezegd ik vind het belangrijker dat iedereen snapt wat er in dat contract staat en aanvaardt wat er verwacht wordt dan dat het onleesbaar is maar juridisch klopt.
Er worden ook veel papieren tijgers opgesteld : contracten waar dingen in staan waar alle partijen op voorhand weten dat ze niet haalbaar zijn maar er voor de goeie vorm ingezet worden. Een goed voorbeeld zijn SLA’s waar met een percentage gegooid wordt dat niet voor iedereen duidelijk is. Bijvoorbeeld 99% beschikbaarheid op jaarbasis, betekent dat het systeem 3 dagen na elkaar mag platliggen. Er zitten vaak ook geen tanden aan: als een bedrijf de SLA niet haalt moet het dit voelen door middel van bijvoorbeeld een boete. Aan de andere kant heb je ook bedrijven die 10€ / maand betalen en een schadevergoeding van 10.000€ vragen bij elke onbeschikbaarheid.
Samengevat: Maak goeie duidelijke, realistische afspraken die alle partijen begrijpen. In tijden van nood zal je hier heel dankbaar voor zijn.
Conclusie
De toestand is ernstig maar niet hopeloos. In een digitale wereld kan je niet anders dan aandacht besteden aan de degelijkheid en de veiligheid van de infrastructuur en diensten die eronder zitten.
Dus pak de informatieveiligheid van je organisatie permanent structureel aan en probeer er een verbetertraject van te maken waar iedereen van de gewone werknemer tot de directie nauw betrokken is.
Gebruik vooral de superkracht gezond verstand om dit te doen: denk na, veronderstel niks maar spreek het af en wees realistisch. Iedereen zal vroeg of laat een securityprobleem hebben, het is vooral belangrijk hoe je dan reageert en of je voldoende in huis hebt om de schade te beperken.
De veiligheid van je organisatie op orde zetten en houden is hard werken net als de boekhouding van een bedrijf laten kloppen, een degelijk human resource beleid te voeren of duurzaam te ondernemen.
Wij kunnen je helpen
Bij BA en zijn partners hebben we een sterk team om uw organisatie te helpen met het verbeteren van zijn veiligheid.
In de eerste plaats kan je hier een gratis passieve audit van je omgeving aanvragen. Wij controleren dan de basis veiligheid van je organisatie en geven je een eerste analyse. Dit is een ideaal startpunt om te beginnen!
VLAIO selecteerde BA samen met 9 andere bedrijven als partij om Vlaamse KMO’s te begeleiden bij security-verbeteringstrajecten, waarbij we uw organisatie niet alleen auditeren maar met praktische raad en daad helpen om de IT veiligheid van uw KMO op punt te zetten. En als uw bedrijf aan de vereisten voldoet, subsidieert VLAIO 45% van het traject. Geïnteresseerd? Neem contact op met sales@ba.be of 016/29 80 45
https://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.png00Jan Guldentopshttps://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.pngJan Guldentops2022-01-06 17:02:592022-01-06 17:08:46Informatieveiligheid: De toestand is ernstig maar niet hopeloos
Samenvatting: Vmware waarschuwt dat er een zeer kritische bug zit in Vcenter, de centrale beheerssoftware voor zijn VMware Vsphere platform. Iedereen die de software op de https-poort kan bereiken kan ze zonder veel moeite overnemen met alle gevolgen van dien.
Door de doorgedreven wet van Moore die (server)systemen steeds meer CPU en geheugen geeft, zijn we beginnen virtualiseren: op dezelfde serverhardware een tussenlaagje leggen dat ons instaat stelt meerder virtuele servers te gaan draaien op één stukje hardware. Het ontstaan van virtualisatie is één van de grote doorbraken met veel extra mogelijkheden die mee de ict-explosie van dit millenium aangestuurd heeft. Van virtual appliances die je toelaat snel te installeren, tot het ontstaan van Infrastructure-as-a-service cloud providers waar je voor een paar Euro per maand Enterprise internet server infrastructuur kan huren.
Helaas heeft deze technologie ook een paar verborgen monsters in de kast die ons kwetsbaarder hebben gemaakt en de hypervisors en virtualisatieplatformen die de grondstof vormen, tot geweldige doelwitten voor hackers hebben gemaakt.
Nu meldt één van de dominante providers van dit soort virtualisatie-software VMWare dat hun core-products zijn beheerssoftware Vsphere een security probleem heeft dat iedere snoodaard die in staat is deze machine via het netwerk, meer bepaald de https-poort te bereiken en een file op te laden gewoon kan overnemen met alle veiligheidsgevolgen voor de onderliggende virtuele machines en hun data van dien. Het is best een pittige bug want Mitre geeft het een score van 9,8/10. De systemen die kwetsbaar zijn, zijn ook de VMWare platforms 6.7 en 7 die op dit moment het meest courant gebruikt worden.
Het is ook één van die gedroomde lekken voor criminelen die graag de data van hun slachtoffers versleutelen met zogenaamde cryptolockers en we kunnen er vanuit gaan dat we weldra hele infrastructuren zien die via deze bug open en toegankelijk zijn te gaan versleutelen en het nodige losgeld te eisen. Wees gerust dat we hierover nog horror-verhalen gaan horen. En wees gerust mensen met een slecht karakter zullen er nog veel ergere dingen mee kunnen doen.
Wat moet je doen ?
Op korter termijn is het essentiëel om je VMware Vcenter zo snel mogelijk te patchen. Is het moeilijk om te patchen dan heeft VMware ook nog een andere workaround ter beschikking waarbij je een paar configuratie-bestanden moet aanpassen en het probleem is ook tijdelijk opgelost.
Op lange termijn is het mijns inziens belangrijk om eindelijk dit soort belangrijke infrastructuur en zijn beheersinterface structureel op netwerk-niveau te gaan afschermen van de buitenwereld in een zogenaamd Management Netwerk dat je dan van onbevoegden afschermt en enkel beheerders toelaat om er naar te connecteren. Meer technisch gezegd: stop de beheersinterface van je virtualisatie in een eigen management vlan en zorg door middel van firewalls, een Awingu security gateway of andere technieken dat enkel een beheerders er toegang toe kunnen hebben. Dit maakt dit soort securitybugs al een stuk moeilijker om te misbruiken.
Als stukjesschrijver heb je vaak ook reactie op wat je schrijft. En gezien ik mijn brood al lang niet meer verdien met mijn pen is dat een goeie zaak: ik schrijf stukken om mijn verontwaardiging, bezorgdheid of mening kwijt te raken. En vooral, met de vaak dromerige hoop, om een klein steentje te kunnen verleggen en het allemaal beter te maken. Het is ook de rol van de journalistiek en media om alles voldoende scherp te stellen dus ik klaag ook niet als een journalist de scherpste passages uit mijn stukken haalt.
Zo ook het stukje over de Denial-of-service aanvallen op scholen en in mindere mate smart school. Ik vermeld in mijn stuk duidelijk dat er een aspect cover-your-ass inzit voor de leverancier van de smartschool toepassing. Telkens als je zoiets schrijft, mag je je aan reactie verwachten en eigenlijk is dit ook wat ik wil bereiken. Ik wil dat problemen opgelost worden en dat de algemene veiligheid een stapje beter wordt.
Onze vrienden van smartschool hebben net als de hele ICT-sector een tsunami over zich heen gekregen en, zo goed en zo kwaad als ze kunnen, met beperkte middelen alles drijvende gehouden. Maar naar mijn mening is er nog werk aan bepaalde aspecten van hun omgeving. Neem nu het punt waar je binnenkomt school.smartschool.be verwijst allemaal naar één collocatie in Nederland. Ik wil jullie niet vervelen met technische details maar hier is nog wat verbeterruimte: 1 host voor alle entrypoints (*.smartschool.be dus ook bv zweinstein.smartschool.be of notso.smartschool.be we mogen eens lachen), geen DNSSEC, wildcard SSL setup die nog End-of-life protocollen TLS 1.0 en 1.1 ondersteunt. Opvallend is ook dat de responstijd van infrastructuur van overal reageert op +- 10ms (best OK dus) maar vanop een telenet-lijn pas na +- 30ms. Soit, kan een momentopname zijn.
En ja misschien is cover-your-ass zeggen wel scherp gesteld maar ik zeg ook dat het een standaard reflex is van veel ICT-leveranciers en medewerkers is om eerst de klant in vraag te stellen en als een soort reflex er vanuit te gaan dat het probleem wel eens aan de andere kant kan liggen. Voorbeelden hiervan genoeg, hoe vaak heb je al gehoord “it’s not a bug, it’s a feature”. Al te vaak moet je als eindklant eerst bewijzen dat het probleem aan de andere kant ligt, een standaard blinde vlek in onze sector waar ik zelf ook af en toe aan lijdt.
Diensten aanbieden via Internet is een complexe business, het is moeilijk om end-to-end de werking van een dienst te garanderen als je maar een stukje van de keten in handen hebt en voor de rest moet vertrouwen op best effort van een partij die je niet kent. Het is traag of het werkt niet is niet altijd een antwoord waar je iets mee aankan. En het feit dat er een hoop digital natives eenzaam in hun kamertje teveel vrije tijd hebben om Denial-of-service-aanvallen op te zetten helpt ook niet.
Het is ook niet eenvoudig voor een ICT-coordinator om een (D)DoS-aanval of om het even welk netwerk-probleem op een correcte manier proberen vast te stellen. In omgevingen met een beperkt budget zoals het onderwijs is het onmogelijk om hier dure oplossingen of consultants tegen te gooien om de miserie uit de wereld te helpen. En daar zit de crux van dit verhaal: hoe kunnen we ervoor zorgen dat hier de veiligheidsinfrastructuur veiliger, beter wordt zonder dat er grote budgetten noodzakelijk zijn ?
Waarom bouwen we met een aantal vrijwilligers geen gestandardiseerde open source oplossing die overal uitgerold wordt ? Misschien kan de Vlaamse overheid hier zelfs een beperkt budget voor voorzien, subsidies moeten niet altijd naar dans, dressings of keukens gaan. Als je hiervoor de nodige training via afstandsonderwijs en ondersteuning door vrijwilligers of – waarom niet – door ICT-studenten op voorziet is dit een gedegen oplossing.
Ik denk dat dit, net als het auditten van de infrastructuur, een geweldige proefopdracht voor ICT-studenten kan zijn. Ik zou het volgend jaar in ieder geval al willen opnemen in de security labo’s.
Hoorde net op de radio de CEO van Smartschool als #cybersecurity onheilsprofeet voorspellen dat er steeds meer aanvallen komen op schoolinfrastructuur. En inderdaad het is mogelijk om zogenaamde Denial of service aanvallen uit te voeren waarbij je in feite zoveel verkeer stuurt naar een machine dat de lijn verzadigd geraakt of een service die erop draait zoveel request moet slikken dat die het niet meer aankan.
Nederlandse uberHacker Rop Gongrijp beschreef een Denial-of-service aanval als met een tankwagen de Kennedytunnel inrijden en hem dwars over de weg zetten en de fik insteken.
DoS-aanvallen zijn al geruime tijd gemeengoed om concurrenten, politieke partijen waar je het niet mee eens bent of als gamer je tegenstander op online spelletjes een extra handicap te geven. Zelf ben ik het jaren geleden het eerst tegengekomen toen dns.be geliberaliseerd werd en domeinnamen first-come, first-serve beschikbaar werden. Er was toen een serieuze rush op de koele, commerciële namen zoals ik zeg maar iets redbull.be en alle agenten wilden er op uur 0 zoveel mogelijk binnenhalen. Op een bepaald moment merkten we dat één van de agenten waarlangs de namen geregistreerd werden probeerden andere agenten hun internetlijn met nutteloos verkeer te vullen om zelf meer kans te maken op de juiste domeinnaam.
En dit is niet zo moeilijk vandaag de dag: iedere thuisgebruiker met een Telenetlijn kan makkelijk meer dan 10MBit aan verkeer genereren en ergens naartoe sturen. En op het dark web is er met wat bitcoin ook Denial-of-service-as-a-service ( DoSaaS ofzoiets?) te kopen. Veel scholen doen ook hun eigen Denial-of-service door zelf enorm veel, soms nutteloos verkeer te genereren: als de hele klas zijn laptop openstaan heeft en ook zijn persoonlijke camera streamt dan hoeft er geen snoodaard de boel plat te leggen dan doen jullie het onbewust het zelf wel. Scholieren en studenten hebben ook veel energie, stamina en de nodige tijd om dit soort dingen uit te zoeken. Tijd die de ICT-coordinator van de school niet heeft met alle gevolgen van dien. Ik heb zelf als scholier/student heel veel uren besteed aan het uitzoeken van allerlei toepassingen op basis van een toen nog obscuur besturingssysteem genaamd linux maar ik had ook de tijd en (vaak nachtelijke) energie om allerlei securityproblemen uit te zoeken. Het klinkt ook een beetje een cover-your-ass verhaal van Smartschool: ze hebben het duidelijk moeilijk gehad om te schalen, hebben ( logischerwijze) het afgelopen jaar heel veel problemen gehad en zijn als platform een nummer 1 doelwit voor zo’n Denial-of-service aanval. Het blijft een goeie verdediging als je alles aan het oplossen bent om te zeggen tegen de eindklant dat het zijn lijn is die platgelegd wordt natuurlijk. Ik neem hen dit als bedrijf niet kwalijk – ze hebben zeer snel moeten schalen in coronatijden. Maar technisch kunnen er wel een aantal slimme performantie-verbeteringen kunnen doen. Zo staat hun hele infrastructuur in een Nederlands datacenter met al de nodige vertragingen van dien en ook de connectiviteit er naartoe zou beter en redundanter kunnen. Maar ik vermoed dat het beschikbare budget hier ook een rol in speelt.
Maar wat kan je als school doen ? Hoe voorkom je dat je internetlijn zo zwaar belast is dat je niet meer deftig kan op afstand lesgeven?
5 tips :
Voorzie voldoende infrastructuur, internetbandbreedte of om een vergelijking te maken : zorg dat je digitale oprit breed genoeg is om makkelijk uit je school te geraken. Bereken de bandbreedte die je nodig hebt en neem wat reserve op de groei of situaties zoals een pandemie. Van zowel Telenet, Proximus als sinds kort Eurofiber zijn er goede, betaalbare abonnementen met veel bandbreedte te krijgen. Maak er gebruik van en voorzie eventueel 2 lijnen die je allebei kan gebruiken. Hier kan je zelf zo ver gaan als één van beide lijnen te reserveren voor de leerkrachten en/of lessen op afstand.
Zorg voor een goeie, voldoende performante router/firewall om deze bandbreedte aan te kunnen. We zien hier heel vaak op bespaard worden waardoor soms het verkeer niet optimaal gebruikt kan worden. Die firewall moet ook up-to-date zijn en het is ook een aanrader om een dashboard te hebben dat je kan zien wat er gebeurt, als die aangevallen wordt.
Zorg dat deze firewall goed geconfigureerd is met een deny-all policy, zeker van buitenuit. Dit betekent dat je geen verkeer van buitenaf en diensten bereikbaar van buitenaf staan hebt. Deze kunnen allemaal gebruikt worden om je aan te vallen en zijn vaak voor niks nodig : de meeste echte diensten zoals e-mail, smartschool of andere toepassingen staan zelf meestal al ergens in de cloud. Dus zet alles van buitenaf toe, ook ICMP ( ping ).
Bepaal welk verkeer voorrang heeft. Dit kan door gebruik te maken van zogenaamde Quality-of-service ( QoS) klassen ( hoe toepasselijk ) te gaan instellen. Zo kan je bepalen welk internetverkeer voorrang heeft en welk er pas door mag als er bandbreedte op overschot is. Je kan hier ook bijvoorbeeld een hoeveelheid bandbreedte reserveren voor leerkrachten, of voor één specifieke toepassing. Handig is ook dat leerkrachten en leerlingen intern gebruik maken van een eigen stuk van het netwerk, zo kan je dit al eenvoudiger oplossen.
Leer op eenvoudige manier vaststellen wat er aan de hand is en waar het probleem zit. Als ICT-coördinator maar eigenlijk als elke gebruiker moet je in staat zijn zelf je situatie te debuggen en al een eerste vaststelling te maken van waar het misgaat: je pc, je wifi, je firewall, je internetlijn. Een handig dom tooltje hiervoor is mtr of Matt’s traceroute (MTR). Het zit in quasi elke linux maar ook op windows kan je het installeren. Het pingt elke stap van de weg naar bijvoorbeeld smartschool permanent en toont je waar de vertraging zit.
Wij als BA vinden onderwijs maatschappelijk zeer belangrijk en willen hier ons steentje voor bijdragen. Bij BA hebben we een medewerker gereserveerd de rest van de paasvakantie om scholen te helpen om gratis een eerste status op te stellen en op gang te helpen naar oplossingen. Stuur een mailtje naar support@ba.be en iemand neemt contact met je op voor een snelle check en een paar eerste adviezen.
https://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.png00Jan Guldentopshttps://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.pngJan Guldentops2021-04-14 10:08:122021-04-17 19:32:35Denial of service aanvallen op (Smart)scho(o)len
De infosecurity.be / Data Cloud Expo beurs is dit jaar aan zijn 18de editie toe. Over de jaren heen is het een beurs die uitgegroeid is tot de place-to-be voor alles wat informatieveiligheid en privacy maar ook nieuwe innovatieve onderwerpen als Data Science , Cloud en Artificiële intelligentie aangaat.
Net zoals de aanslagen in Zaventem in 2016 voor uitstel van de beurs zorgde, hebben we vorige jaar 2 nieuwe data gekregen maar is door de hele COVID-pandemie de beurs zelf niet kunnen doorgaan.
Vandaar dat we het dit jaar online gaan doen. Minder leuk, minder persoonlijk, geen koffie of pintjes drinken maar beter dan niks. Infosecurity blijft een plek waar je op 2 dagen tijd ( 31 maart en 1 april) gratis op snelheid te komen met wat reilt en zeilt rond beveiliging, infrastructuur en innovatie die onder onze nieuwe digitale wereld zit.
Belangrijk om weten is dat er hier niet alleen plek is voor nerds, hackers Die-hard it’ers of andere uber-techies. Ook als bedrijfsleider van een gewoon bedrijf kan je er de nodige knowhow opdoen en de juiste partners vinden om jouw bedrijf of organisatie technologisch te versterken.
Praktisch gezien gaan het vooral om 2 dingen : kennis verwerven en de juiste mensen leren kennen.
Kennis verwerven
Kennis verwerven doe je in de seminars. Met een programma met een massa gratis webinars van een half uur kan je op 2 dagen gratis heel veel bijleren.
De sprekers van deze onafhankelijke sessies worden door een onafhankelijke adviesraad geselecteerd op hun relevantie en vooral wat ze u kunnen bijdragen. Alle sessies die op het Mainstage aan elkaar gebabbeld worden door Wim Devilder of als breakout-gedefinieerd zijn, zijn neutraal en vendor-onafhankelijk. U krijgt hier dus geen sales pitches maar duidelijke, neutrale overzichtspresentaties over de huidige staat van informatieveiligheid, privacy, cloud, Innovatie en data science.
Naast de dooddoeners Cloud en AI, ligt er veel nadruk op resilience.
Dus aarzel niet, de afwezigen hebben ongelijk en schrijf je alsnog in via https://www.ba.be/is21 !
Als ik de kans krijg, pik ik zeker de volgende seminars mee :
De openingssessie van Bart Preneel is zeker het eerste hoogtepunt van de beurs. Bart Preneel, prof van de KULeuven, medeoprichter van COSIC en één van de drijvende krachten achter de corona-App brengt er zijn “Trends in cybersecurity & privacy”. Als ik hem goed ken, dan is de titel veel te droog voor de vele, soms wat tegendraadse inzichten die Preneel gaat brengen.
Ik ga ook zeker naar Philip Griffiths van Netfoundry kijken die het gaat hebben over ZITI-tunnel. Een open source Software defined Wide Area Network ( SD-WAN-oplossing) die volgens mij in de toekomst de manier waarop we (inter)nationale connectiviteit aanpakken sterk gaat veranderen en echte Zero Trust brengen niet alleen tussen netwerken of telewerkers maar ook tussen applicaties.
Ook Joachim Ganseman ( Smals ) brengt volgens mij een interessant exposé over Natural Language Programming ( NLP ) in het Nederlands en hoe dit aan te pakken.
Eminence Grise Eddy Willems (bij G-DATA beter bekend als Doctor Wilhelm) en zijn Sidekick Righard Zwienenberg hebben het over hoe Covid 19 de securitywereld gewijzigd heeft.
Daarnaast is er een breed programma aan bedrijven die hun producten komen voorstellen in zogenaamde commerciële seminars. Hun uiteindelijke doel is natuurlijk u hun waar te verkopen maar ook hier kan je in 30 minuten kennis maken met hun product en of het iets voor uw organisatie kan betekenen. Waar de onafhankelijke seminars a priori niet commercieel mogen zijn, zijn deze seminars meer gefundeerde sales-pitches.
Computable kan helaas (net als de rest van de horeca )zijn café niet opendoen maar compenseert dit met een 5G-debat en de eerste Computable awards.
De juiste mensen leren kennen
In de tweede plaats is infosecurity.be de plek om nieuwe en vooral de juiste mensen te leren. Ook BA is online van de partij , vergeet dus niet virtueel langs te komen op https://lnkd.in/dRGrwU2 en een online afspraak te boeken om bv:
even te kijken of u in aanmerking komt voor een door de Vlaamse overheid gesteund verbetertraject informatieveiligheid
meer te weten te komen over onze nieuwe technische en juridische ICT, security en privacy helpdesk
of gewoon op een digitaal whiteboard een probleem – neen een uitdaging – te bespreken met Jan Guldentops, Roeland Lembrechts of één van de andere teamleden …
https://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.png00Jan Guldentopshttps://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.pngJan Guldentops2021-03-22 14:17:012021-03-23 08:54:07Wat moet je zeker zien op Infosecurity / Data Cloud Expo 2021
Dit weekend konden we bijvoorbeeld in dit artikel in het laatste nieuws lezen dat meer dan 1000 bedrijven, gemeentes en ziekenhuizen account gevaar lopen van hackers.
Dit artikel en de modus operandi ervan is typisch voor wat er allemaal mis is hoe wij informatieveiligheid aanpakken en vooral hoe de media er verslag van uitbrengt. Het is een giftig recept dat eigenlijk heel simpel is :
Schreeuw moord en brand als een echte getuige van Jehova ( het einde is nabij !) over een nieuw probleem ( zoals er elke dag tientallen uitkomen), liefst met veel Fear, uncertainty & doubt en doe alsof dit het einde van de wereld is. Ja dit is een probleem, ja zorg dat je exchange servers up-to-date zijn maar het is niet zo dat deze bug uniek is, er zijn er dagelijks nieuwe die ontdekt en gepubliceerd worden.
FUD is nog altijd een geweldige verkoopstrategie: als je mensen bang genoeg maakt kan je ze alle toiletpapier in de supermarkt laten omkopen of dit nu zin heeft of niet. En ook bij dit soort crisissen zal je altijd wel iemand vinden die er zijn winkel mee wil promoten, liefst met een oversimplistische oplossing gesteund door snelle statistiekjes op basis van een shodan-query of de gegevens van een honeypot. Genereer angst en mensen kopen en aanvaarden alles.
De druk wordt opgebouwd, mensen fixen één probleem, geven geld uit aan de oplossing voor dat ene probleem en hopen dan dat ze maanden gerust zijn.
Alleen is dit een illusie, snake oil en wordt meestal the elephant in the room, de echte waarheid altijd verzwegen. De waarheid dat security iets is waar je permanent mee bezig moet zijn, dat je permanent aangevallen wordt, permanent updates moet doen op een structurele manier ( niet alleen als Het Laatste Nieuws het zegt), zelf je security moet controleren en beheren en er permanent mee bezig zijn. Net zoals je crediteurenbeheer doet van al je openstaande facturen, je werknemers op vaste basis naar de bedrijfsmedische preventiedienst stuurt, je de veiligheid op de werkvloer permanent wil aanpakken of de overall kwaliteit in je organisatie wil verbeteren.
Informatieveiligheid en alles wat daar rond hangt moet een permanent proces zijn dat grotendeels gevolgd en voor een belangrijk stuk gedragen moet worden door de interne medewerkers van de organisatie. Het is moeilijk, hard gestructureerd werk waar veel aspecten en kanten aan zijn. Daarom was ik zelf zo blij toen VLAIO verbetertrajecten informatieveiligheid ging subsidiëren.
En neen, niet alleen omdat wij met BA, één van de 9 geselecteerde partijen zijn maar vooral dat zij een geheel verbetertraject subsidiëren : niet alleen de audit of het magische doosje dat de oplossing voor één of andere veiligheidsprobleem is maar het hele verbeterproces met een check van de problemen, een inventaris, risico-analyse, plan van aanpak en een gestructureerde aanpak van alle issues.
Je kan ook altijd een online bezoekje brengen aan Infosecurity 2021 ( Schrijf je in via: https://www.ba.be/is21 ) waar je de créme de la créme van de Belgische security-industrie kan ontmoeten en een hoop interessante mensen hun visie brengen in het seminarprogramma.
https://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.png00Jan Guldentopshttps://www.ba.be/wp-content/uploads/2018/02/BA-logo_halfdiamond.pngJan Guldentops2021-03-15 10:07:342021-03-15 10:13:36The elephant in the room : Waarom zijn er zoveel securityproblemen ?
Welke les moet je als online startup / digitaal ondernemer hier uit leren ?
versie 0.1 – 10 januari 2020 – Jan Guldentops ( j@ba.be )
Wie een beetje de naweeën rond de bestorming van het Capitool in Washington DC gevolgd heeft, weet ondertussen dat Amazon het alternatieve sociale media-netwerk Parler van hun servers heeft gehaald en op die manier ze de facto uit de lucht haalt. (Ik las het eerst op Slashdot)
Net als Google en Apple hun App van de ene dag op de andere uit de store halen, heeft de grote infrastructuur-speler Amazon nu ook de stekker uit hun cloud-infrastructuur gehaald en hen de facto uit de lucht gehaald. Of je het nu met deze actie van de #bigtech groten der aarde eens bent of niet, de almacht en hun quasi-monopoliesituatie kan ook voor jou digitale infrastructuur of impact de nodige gevolgen hebben. In dit stuk beschrijft de auteur de #bigtech groten als digital warlords waar je als gewone digitale sterveling bij terecht kunt voor infrastructuur en bescherming maar waar je compleet weerloos en canceled blijft als je feodale heer, je warlord zich tegen je keert en je in de steek laat. Of in het geval van Parler, als een groepje van de personeelsleden van Amazon besluiten dat je gecanceled moet worden.
We denken dan ook dat je de nodige lessen kan trekken uit dit verhaal als online ondernemer :
Bouw je infrastructuur open,cloud-onafhankelijk, zonder gebruik te maken van misschien makkelijke propriëtaire technologieën die de Amazon’s, Microsofts of andere Googles van deze wereld je aanbieden. En ja het is verleidelijk die propriëtaire API te gebruiken om snel een feature toe te voegen als voice-herkenning aan je software maar het bindt je sterker vast aan je leverancier.
Bouw alles op open platformen, technologieën en standaarden. Quasi alles wat je nodig hebt, is beschikbaar in open source en open standaarden dus maak er zoveel mogelijk gebruik van.
Gebruik automatisatie en infrastructure-as-code zodoende dat je ten allen tijde, snel en efficiënt van leverancier kan veranderen of het zelfs in je eigen datacenter kan draaien. Misschien is het zelfs beter een mix van oplossingen en providers te gebruiken in combinatie met een degelijk opgezette ansible omgeving.
Idealiter neem je dit ook op in je business continuity plan en test je het mee met alle andere disaster recovery en business infrastructuren. Vergeet ook niet kleine maar zeer belangrijke aspecten als bijvoorbeeld je domeinnaam en alle hostnames die je hebt. Denk na hoe jede dienstverlening ten allen tijden kan garanderen, maak goeie afspraken met je leverancier in combinatie met een zogenaamde service level agreement ( SLA). Het gaat tenslotte over het kunnen blijven leveren van de dienstverlening aan je klanten!
Zorg ook dat je je eieren niet in één mand legt. Het is basis gezond verstand maar zorg ervoor dat niet al je data en configuraties alleen bij één leverancier staat. Zorg voor regelmatige backups van al je data op meerdere locaties en providers.
Maar by all means, maak gebruik van de cloud-boeren die elastische, wereldklasse, global infrastructuur on-demand leveren. Gebruik ze om je bedrijf kosten-efficiënt en met beperkte investering (CAPEX) te laten groeien. Elasticiteit in de diensten die je afneemt en vooral het feit dat je pay-what-you-actually use kan doen, biedt veel mogelijkheden. Verkoop alleen je ziel niet aan hen door je vast te laten zetten. Gebruik hen maar laat de grote spelers geen mogelijkheid om jou te misbruiken of zelfs te cancellen.
Je wil de toekomst van je bedrijf niet in handen geven van gigantische spelers met monopolistische reflexen voor wie enkel de bottom line telt… Openheid is bij BA vanaf dag één de werkmethode geweest en door de jaren heen hebben we een strategie opgebouwd van best practices en infrastructuren-as-code om een echte lockin-situatie te voorkomen. Drop ons gerust een mailtje op info@ba.be of bel naar 016/298045 voor een brainstorm.
Als kind hadden we de goeie Vlaamse traditie van de nieuwjaarsbrief. Voor ouders, peters en meters lazen we voorgekauwde, wat zemelige boodschappen af die we zelf op speciaal papier geschreven hebben. Dus dacht ik bij het einde van dit, hoe zal ik het zeggen, a-typische horrorjaar ook een nieuwjaarsbrief te schrijven. Eéntje die alles wat ik het afgelopen jaar gezien heb samenvat in onvervalste the good, the bad & the ugly stijl. En ééntje waar ik met een nodige portie hoop vooruit probeer te kijken naar het nieuwe jaar.
The good
Ik geloof dat mensen pas echt hun volle potentieel kunnen halen en echt gelukkig zijn als ze op de toppen van hun tenen staan om hun doel te bereiken of tegenslagen aan te pakken. “May you live in interesting times” is een oude Chinese uitdrukking waarvan ik niet zeker ben of het een wens of een verwensing is. En interesting times zijn het afgelopen jaar zeker geweest maar een crisis als #covid19 brengt naast drama en verlies ook de beste, meest onverwachte talenten in mensen boven. We hebben ook de neiging om het negatieve te overschatten en het goede te minimaliseren. Daarom begin ik met the good, het goeie dat ik dit jaar gezien en ervaren heb.
De hele covid-crisis heeft heel wat bedrijven in moeilijkheden gebracht maar je ziet bij deze tegenslag het beste uit de ondernemers bovenkomen. Innovatieve ideeën oplossingen zoals het verzinnen van nieuwe producten of oplossingen voor dingen die niet meer door kunnen gaan : het gamma aan takeaway van kapsalon tot sterrenvoedsel is enorm gegroeid en congressen/beurzen doen we quasi succesvol vanuit ons thuisoffice.
Ook al is het niet hetzelfde en mis ik gesprekken aan de koffiemachine: we werken zoveel mogelijk thuis, meetings zijn vervangen door zoom-, jitsi- of andere team(s)calls. Het resultaat is dat het maanden geleden is dat ik nog in de file gestaan heb. Ik denk dat dit ook een blijvertje is omdat het ook een belangrijk deel van de kosteninfrastructuur van vooral de dienstenbedrijven en overheid verandert. Minder kantoorspace, parkings, kilometers met bedrijfswagens sparen bedrijven een serieuze slok op de borrel uit.
Zoals sommige wel weten ben ik het afgelopen jaar deeltijds lector security (ik gebruik liever niet het minder bescheiden hoogleraar) geworden op de AP hogeschool. Ik heb altijd graag begrijpelijk uitgelegd waar ik mee bezig ben. Wat ik hier geleerd heb is dat we niet te hard moeten neerkijken op de jeugd van tegenwoordig. Ik zie zoveel potentieel, grinta, goesting in die mannen en vrouwen: het leeuwendeel van mijn studenten werkt naast zijn opleiding. En ja er is hier en daar wat werk aan: hun achtergrond en basis skills die wij levensbelangrijk vonden zijn wat verwaterd, om het al niet over spelling en dt-regels te hebben en niemand die aan de opleiding begint, heeft ooit een command line of zelfs een BIOS van dichtbij gezien. Ze krijgen dan een rare lector security voorgeschoteld die probeert hen zelf op onderzoek uit te sturen en de geweldige dingen waar ze dan mee afkomen, wel die maken me oprecht happy. Net als een brede schare aan geniale en vooral ook prettig gestoorde collega’s waar je boven een tas koffie kan sparren over allerlei dingen waar ik geen kl**** verstand heb.
Dat betekende wel een herorganisatie van BA. Ik werk nog altijd het leeuwendeel van mijn tijd voor BA maar ben dus niet meer full-time beschikbaar. Op dat moment wordt het team ook een stuk belangrijker en we hebben ons sterk geheroriënteerd. In december kregen we het heuglijke nieuws dat VLAIO ons, samen met onze partner Sirius Legal, na een lange aanbestedingsprocedure geselecteerd heeft als één van de 9 leveranciers die Vlaamse KMO’s met Vlaamse overheidssteun gaan begeleiden bij een informatieveiligheids-verbeteringstraject. We zijn er best wel trots op dat we als kleine, hoog-gespecialiseerde speler hier geselecteerd werden.
En dat verbeteringstraject menen we heel serieus : we gaan verder dan een audit waarbij we aan alle virtuele deuren komen voelen en de organisatie een lijst krijgt van alles wat er fout is. We gaan binnen een echt plan-do-check-act verhaal de organisatie structureel helpen om naast de risico’s en pijnpunten op te lijsten, ook samen met ons met een nodige dosis gezond verstand te gaan aanpakken en op die manier een veiligheid op lange termijn te gaan opbouwen. Dit betekent dat, voor organisaties die aan de vereisten voldoen, VLAIO 45% van het traject financiert.
De focus van BA gaat ook sterker naar common sense as a service, het aanleveren van objectief praktisch advies op het vlak infrastructuur en veiligheid. We verkopen nuchter advies en niet het zoveelste magische doosje of product dat al uw problemen oplost. En heel vaak gaan we u ook open source-gebaseerde oplossingen aanbieden al dan niet verstopt in één of andere wolk. We blijven ook nieuwe technieken, concepten of oplossingen onderzoeken en evangeliseren. En helaas ga ik nu een paar van de typische technische termen uit mijn wereld moeten gebruiken, in de links worden ze verder uitgelegd. We hebben dit jaar de eerste SD-WAN oplossingen geïmplementeerd bij één van onze trouwe klanten en geloven dat dit een breed gamma aan mogelijkheden biedt, zowel qua betrouwbare, betaalbare (internationale) connectiviteit als voor het extra bouwen van beveiliging via het zero trust model. Ook een SIEM-oplossing die voor iedereen haalbaar is en niet enkel voor de grote jongens en multinationals van deze wereld draait proef in het testlab.
Er zijn dit jaar dus ook goeie dingen gebeurd, ook al zijn we psychologisch geprogrammeerd om enkel het slechte te zien en in doemdenken te vervallen.
The bad
Toch kunnen we niet voorbijkijken aan alles wat er fout gegaan is dit jaar. De economische gevolgen van deze crisis gaan zwaar zijn. Waar ik als observator vooral bang voor ben is een Amerikaans scenario. Daar is de bluecollar middenklasse die in de productie-industrie werkte de laatste 20 jaar verdwenen. Alle industriejobs verdwenen naar lage-loon-landen door globalisering en de middenklasse die het hart van de American dream vormde leverde bijna 15% in. Hier dreigt mijns inziens #covid hetzelfde effect te hebben. Wie wordt hier vooral getroffen ? De zelfstandige, kleine middenklasse in de vorm van Horeca-zaken en winkels. Horeca-zaken die dicht moesten en winkels die enkel online konden werken. We schakelden dan ook massaal over naar online shoppen. Stel uzelf eens de vraag: heeft u online gekocht bij een lokale Belgische handelaar of bent u, net als ik, verleid je pakjes te bestellen bij buitenlandse multinationale Amazon’s, Zalando’s en BOL’s?Allemaal bedrijven die geen winst hoeven draaien en met hun marktaandeel de kleine handelaar doodknijpen.
Ook jonge mensen hebben het moeilijk: deze crisis heeft een stuk van hun jeugd, opleiding, studententijd gestolen die ze nooit meer terugkrijgen. Het heeft ook diepgaande psychologische effecten. Iedereen denkt dat op afstand les volgen het leven zoveel makkelijker maakt, omdat je nog halfslapend vanuit je bed de les kan volgen. Alleen zijn dit jonge mensen die nog bezig zijn hun levensstructuur, aanpak en sociaal leven op poten te zetten en die moeten dat nu ineens vanuit hun slaapkamer doen. En ook praktisch gaat er veel fout: de meeste klussen bij als jobstudent, vaak in de horeca en zijn dus nu werkloos. Dan wordt het moeilijk om je kot te betalen. Bedrijven zijn ook met andere dingen bezig en het vinden van een stageplaats is een ander probleem.
Persoonlijk was 2020 een moeilijk jaar voor mij. Wanneer je als veertiger met je eigen sterfelijkheid en beperkingen wordt geconfronteerd, dan is dat een zware wake-up call die eigenlijk zwaarder op mij weegt dan 9 maanden quasi-huisarrest. Als doordrammer fysiek even niet meekunnen speelt ook sterk in het hoofd en is voor mij één van de moeilijke dingen van 2020.
2020 is het jaar dat veel van mijn helden het tijdelijke voor het eeuwige verruild hebben. We weten allemaal dat onze helden sterfelijk zijn maar willen het niet geloven.
Sean Connery aka James Bond, Ramirez, William of Baskerville, King Arthur, Captain Markus Ramius, Zardoz, bijna Mister Universe 1953 maar vooral een bescheiden melkboer uit Glasgow. Een voorvechter van dat Schotse nationalisme dat ik zelf in de jaren 90 heb leren kennen en dat niet rechts maar links is. Ontstaan in de shipyards en dokken van Glasgow, heeft het naast een enorme fierheid op de eigen afkomst en cultuur ook openheid naar de wereld. Connery droomde van a free Scotland in a free Europe en heeft het niet gekregen. De Schotten werden afgedreigd door een aantal Eurocratische fossielen in het Europees Parlement dat ze uit de EU gingen vliegen als ze voor hun onafhankelijkheid stemden. En nu vliegen ze uit de Unie door een Brexit waar ze niet voor gestemd hebben.
Connery viel me het zwaarst maar ook de dood van Chuck Yeager, eerste man door de geluidsmuur, enfant terrible gemaakt van de right stuff om mij als kind te laten dromen van de wolken en de stalen vogels die er in los worden gelaten. Of Carlos Ruiz Zafon die me Barcelona leerde kennen en kindersprookjes schreef waar ik koud van word. Van de Pythons zijn er na de dood van Terry Jones maar 4 meer over. Dat ik ook even denk aan Liesbeth List, Kenny Rogers Lutgard Simoens, Gerty Christoffels of de original crooner Roger Simons, zegt veel over mijn leeftijd. Na de dood van Morricone zal er nooit meer een nieuw Gabriels oboe komen en zonder Robert Fisk zullen we het Midden-Oosten nooit meer echt begrijpen.
Securitywise bleef de wereld op grote schaal persoonsgegevens lekken: in 2020 werden meer dan 44,3 miljard persoonsgegevens gelekt bij grote jongens die beter zouden moeten weten in binnen en buitenland. En de manier waarop er met dit soort lekken omgegaan wordt, is nog altijd beneden peil en niet conform de GDPR wetgeving. Dat heeft mijn mevrouw zelf aan de lijve ondervonden toen Plan International een hoop gegevens lekt. Ook de cryptolockers deden rijkelijk de ronde waarbij zelfs mijn hogeschool geïnfecteerd geraakte. (één van mijn studenten stuurde me dan maar een mail om te klagen dat ik nu echt wel aan het overdrijven was met mijn demo’s ;-)) Technisch heb ik me een aantal keer in mijn ochtendkoffie verslokken toen ik las over nieuwe levensgevaarlijke vulnerabilities als #sigred en rippl20. Of als een paar securityresearchers bewezen dat je de RAM-latjes in een machine kan gebruiken als low bandwidth wifizender.
De grote knal kwam echter in december. Monitoringbedrijf Solarwinds was geïnfiltreerd door een hackergroep die via updates zijn ransomware naar een triade aan grote klanten verspreide en zo een achterdeur creëerde in duizenden essentiële overheidsinstellingen en bedrijven. Ze zijn zelf op die manier bij Microsoft binnengeraakt die als een volleerde juridische struisvogel “Our investigations have found absolutely no indicaties that our systems were used to attack others.” Van dit verhaal hebben we het einde nog niet gezien.
Wat we vooral moeten leren is dat al deze Security-problemen in 2021 niet gaan verdwijnen of opgelost worden met een magisch stukje software of oplossing, wat sommige verkopers ook proberen te beweren. We gaan er mee moeten leren leven en vooral onze modellen gaan aanpassen door te streven naar een Zero Trust model waar de toegang en zichtbaarheid van elke omgeving tot het absoluut noodzakelijke minimum beperkt is en we in onze operaties er rekening mee houden dat er vroeg of laat een probleem opduikt.
The ugly
Het lelijkste wat we dit jaar gezien hebben is het gedrag van onze leiders in crisistijd. Ons politiek personeel en onze psyche voedt onze demonen die we allemaal in het achterhoofd zitten hebben. Ze zaaien angst om macht te verwerven en wij (inclusief mezelf) laten hen begaan. 2019 was het jaar van de kinderopstand, in 2020 sloten we onze kinderen allemaal thuis op. Ook al hadden ze geen risico van dit virus. We sloten de horeca en wellness sector en lieten een hele middenstand op de fles gaan terwijl een arrogante minister weken later vertelde dat het eigenlijk niet nodig was.
Het valt me op hoe middelmatig (en dan druk ik me nog positief uit) onze politieke leiders en hun experten zijn. Er is geen bedrijfsleider die het goed voorheeft met zijn bedrijf die onze politici een leidinggevende functie zou geven. Incompetentie is één ding, het wordt nog erger als de fascistoïde reflexen bovenkomen waarbij de grondwet als een vodje papier wordt gezien en privacy een luxe is die men niet wil toelaten. En ondertussen zitten we met een begrotingstekort ergens ten noorden van 6% BNP, maar moet elke regeringspartij voor zijn achterban om de zoveel tijd een cadeautje uitdelen.
De onkunde is één ding, het grootste probleem mijns inziens is het totale gebrek aan verantwoordelijkheidszin of consequenties voor deze lieden. Als de pandemie erger wordt, is het nooit de schuld van het wanbeleid maar wel van de burger die stout is. De minister van volksgezondheid zegt, terwijl hij een radio-interview in de studio van de VRT geeft, dat iedereen, zonder uitzondering, als het enigszins kan thuis moet werken. Wat zit hij dan in de studio te doen ? Do as I say, don’t do as I do ?
Welke fouten ze maken of welk wanbeleid ze ook voeren, er zijn geen consequenties voor deze mensen. Het ergste wat hen kan overkomen is dat ze ontslag moeten nemen en terugkeren naar het parlement. Is het geen hoog tijd dat we hen persoonlijk verantwoordelijk maken voor hun beleid ? Zou het niet getuigen van staatsman/-vrouwschap om de dotaties van koningshuis, politici of partijen te beperken in tijden van financiële crisis ?
Maar “What doesn’t kill you makes you stronger”. We nemen alle wijsheid die we met scha en schande geleerd hebben in het annus (mind de dubbele n) horribilus 2020 mee naar het nieuwe jaar. Het kan er alleen beter op worden.
Dus rest me nog iedereen veel liefde, geluk en succes te wensen in het nieuwe jaar.