Safeshops ? Nadenken over veiligheidsaspecten van E-shops/Commerce
1. Safeshops?
Nadenken over veiligheidsaspecten van E-shops/Commerce
Safeshops – 5 december 2014
Jan Guldentops ( j@ba.be )
BA N.V. ( http://www.ba.be )
2. Wie ben ik ?
Jan Guldentops (°1973)
Dit jaar bouw ik 19 jaar server en netwerk
infrastructuren
Oprichter Better Access (°1996) en BA (°2003)
Open Source Fundamentalist (na mijn uren)
Sterke praktische achtergrond op het vlak van ICT
beveiliging
➢ Ben toevalling terechtgekomen in de securitywereld
➢ Documenteerde in 1996 de securityproblemen in de eerste
Belgische internetbank ( Beroepskrediet / Belgium Offline)
➢ Plotseling ben je security expert
R&D (vooral security)
7. Veel blabla, weinig
boemboem
➢ Als het gaat over (ICT) beveiliging is er vaak
een groot verschil tussen de theorie, de
praktijk, de marketing en de sales.
➢ Security is vaak passe partout om je een “doosje” te
verkopen dat al je problemen oplost. #not
➢ Fear, uncertainty, doubt als een business model
8. Politici...
● Het wordt pas helemaal erg als je het aan
politici overlaat...
● Elio Dirupo
● Rik Daems
● En het meest recente uitwas :
– Jacky Zwam ( FOD economie)
– https://www.youtube.com/watch?v=1X4HDOjY41Q
9. Abstract begrip
➢ Veiligheid is een heel abstract begrip
➢ There is no such thing as absolute security
➢ Hoe kan je weten of iets veilig is ?
➢ Kan enkel negatief testen
➢ Het is niet omdat ik er niet voorbij geraak, dat
iemand anders dat niet kan.
➢ heeft iets magisch / mythologisch
10. Eigen Taalgebruik
➢ Eigen Lingua Franca
➢ Veel terminologie
➢ Veel afkortingen
➢ Vaak inhoudsloze hypetermen
11. Complex
➢ Heel veel hoeken en kanten
➢ Heel veel technologie
➢ Probleem van de zwakste schakel
➢ Het kleinste security probleem kan in sommige
gevallen alles, als een kaartenhuisje in elkaar laten
vallen.
12. Overlaten aan ICTdienst of
je technologie provider?
➢ Gevaarlijk
➢ Big picture
➢ ICT weet vaak te weinig over business, wat belangrijk is
➢ Engineersziekte van tegen elk probleem technologie aan te
gooien
➢ Daarom :
➢ Belangrijk dat de directie zelf de krijtlijnen uittekent
➢ Bepaald wat er beveiligd moet worden
➢ Bepaald hoe belangrijk dit is en dus wat het mag kosten
➢ Alle concepten snapt
➢ Deze concepten ook ten allen tijde kan controleren.
13. Death, taxes, security ?
➢ Security verdwijnt niet meer...
➢ Het is geen modehype !
➢ Permanent proces !
➢ U zal er altijd mee geconfronteerd worden.
➢ Wat nu veilig is, is het morgen niet meer.
➢ Moet permanent aan gewerkt worden
➢ Nog altijd in volle ontwikkeling
➢ Bv. belang dat nu meer en meer aan privacy
gekoppeld wordt
14. Klanten
● Bij E-commerce draait alles om vertrouwen
● Vertrouwen van de klant wordt ondermijnd door
● Phising
– Vaak worden er hiervoor brands gebruikt
– Soms heel moeilijk om te onderscheiden van de
werkelijkheid
– Heel vaak zijn legitieme mails ook moeilijk te
onderscheiden van phisingmails
● Privacy
● https://www.youtube.com/watch?v=F7pYHN9iC9I
15. Privacy
● Komt een nieuwe Europese privacy richtlijn uit.
● Bouwt verder op wat er nu is...
● Wat moet je onthouden :
– Als je meer dan 2000 klantengegevens verwerkt zal je
een Digital Privacy Officer moeten hebben ( DPO )
– Neem de essentiële stappen om je data te beschermen :
● Bedrijfsdata in kaart brengen en classificieren
● Toegangen en afschermingen in kaart brengen
● Procedures voorzien bij datalek ( o.a. Meldingsplicht)
● Juiste security-infrastructuur voorzien
● Awareness creëren bij je mensen
16. Wat kan er misgaan? (1)
● Diefstal van klantengegevens
●
– Gegevens van 700.000 klanten ( geboortedatum,
●
– Konden zelfs niet vertellen wat er aan de hand was!
– Gegevens van 70.000.000 klanten
– Exit security officer, CIO & CEO
17. Wat kan er misgaan? (2)
● Diefstal van confidentiële, interne documenten
● Gebruik van uw infrastructuur voor illegale of
andere doeleinden
● Onbeschikbaarheid
● Dataverlies
● Reputatieverlies
● Fraude
● Verspreiden van malware via uw shop
● Langdurig verstopte hackers die jaren meeluisteren
18. Gezond verstand
➢ Belangrijkste securityproduct is niet firewalls,
encryptie, vpn, mobile device management of
een ander product maar gezond verstand.
➢ Denk na !
➢ Zorg dat je alle concepten snapt !
➢ Als een ICT'er het niet aan een CEO uitgelegd
krijgt, is de kans groot dat hij het zelf niet
snapt !
19. Hoe wordt u gehacked ?
● Domheid, luiheid en onkunde
20. Hoe wordt u gehackt?
Triviale wachtwoorden voor toegang of lijstjes die overal te
vinden zijn
● Bv Sony pictures
● Top 10 wachtwoorden :
– 123456
– 12345678
– 1234
– qwerty
– 12345
– dragon
– pussy
– baseball
– football
– Letmein
21. Hoe wordt u gehackt?
● Slechte opgezette infrastructuur
● Fouten in de webshop software
● Slecht geschreven eigen software
● Laten rondslingeren van data ( usbdisks, backups,
leveranciers, etc. )
● Verouderde software die niet geupdate wordt
● e.g. Heartbleed
● Poodle
● (Ex)-werknemers
● Fysieke toegang tot systemen
23. Plan (1)
➢ Vat alles samen in een policy
➢ Wat je wil / moet bereiken o.a.
➢ Risico analyse
➢ Inventaris
➢ Business Continuity Plan
➢ Recovery Time Objective ( RTO )
➢ Recovery Point Objective ( RPO)
➢ Hou ook rekening met de wettelijke / legal vereisten !
➢ Wettelijke vereisten ( privacy, persoonsgegevens, etc.)
➢ Privacy
➢ PCI DSS
➢ Classificieer je data en applicaties
➢ Hoe je dit gaat doen en volgens welke procedures
24. Plan(2)
➢ Creëer een bewustzijn/kennis dat security belangrijk is bij :
➢ Op directieniveau
➢ Op ICT-niveau
➢ Bij het gehele personeel
➢ Maak goeie afspraken met iedereen :
➢ Leveranciers
➢ Duidelijk leesbare contracten met NDA, SLA, etc.
➢ Personeel
➢ Acceptable Use Policy ( maar zorg dat iedereen die begrijpt !)
25. Plan(3)
➢ Het is niet de vraag of je een securityprobleem
gaat hebben maar wanneer...
➢ Plan for the worst
➢ Zorg dat je al weet wat je gaat doen als er iets
misgaat
➢ Zorg voor een overleg / communicatiestructuur
➢ Security comité met overleg op vaste tijdstippen
➢ Hou cijfers, gegevens bij voor latere analyse
26. DO
➢ De eigenlijke implementatie van de security-infrastructuur
➢ Verschillende elementen en componenten
➢ Neem security altijd mee in elk stuk van je plan
➢ Geen bolt-on nadien
➢ Zorg altijd voor documentatie en kennisoverdracht
➢ Geen lockin van een leverancier !
➢ To outsource or not to outsource ?
➢ Selecteer een goede partij en maak degelijke afspraken!
27. Voorzie de juiste security-infrastructuur
➢ Scherm data af
➢ Eigen segmenten los van het internet voor bepaalde confidentiele data
➢ Bouw de juiste infrastructuur
➢ Firewalling
➢ Web Application Firewalls
➢ Degelijk systeembeheer
➢ Hostbased IDS
➢ Systeembeheer
➢ Etc.
➢ Gestructureerde updates !
28. Cloud
➢ Hype du jour
➢ IAAS cloud is de motor van de e-commerce en app revolutie
➢ Elasticiteit
➢ Capex / Opex
➢ Gemak waarmee een global infrastructuur uitgerold kan worden.
➢ Maar is uw cloudprovider wel zo goed als hij beweert dat hij is ?
➢ Licht hem financieel door
➢ Heeft je provider / datacenter de juiste isonormen ?
➢ Referenties
➢ If you pay peanuts you get monkeys !
➢ Technologie die de gebruiker meer controle geeft.
➢ Hou altijd je opties open !
➢ Geen lockins
29. Authenticatie / rechten
➢ Password of token
➢ Als je passwoorden gebruikt, zet een stevige wachtwoordpolicy!
➢ Geen triviale wachtwoorden
➢ Alle 3 maanden veranderen
➢ Leer desnoods de mensen werken met een kluisje als
Keeppass
➢ Tokens : EID, digipass/onetime, Biometrie
➢ Maar grotere complexiteit / kost
➢ Inventariseer alle userids / wachtwoorden
30. Encryptie
➢ Gebruik zoveel mogelijk encryptie !
➢ Versleutelen van gevoelige bestanden
➢ Alle verbindingen moeten versleuteld zijn (https ipv
http b.v.)
➢ Liefst ook de opslag van mobiele devices
( smartphone, laptops, tablets, usb)
➢ Gebruik encryptie ook op de juiste manier
➢ Geen Self-signed certificates!
31. Backups
➢ Gebruik je gezond verstand!
➢ Offline / online / cloud ?
➢ Hoe lang hou je backups bij ? ( retentie )
➢ Hoe en hoe lang duurt het om te restoren ?
➢ Is mijn backup-medium wel betrouwbaar ?
➢ Past dit alles in mijn RTO / RPO ?
32. Open Source
➢ Kijk misschien eens naar Open Source als je
een oplossing zoekt
➢ Flexibel, best-of-breed, goedkoop of zelfs gratis
➢ Veel eenvoudiger geworden door de komst van
virtuele appliances
➢ Ongeloofelijke schatkist aan tools: firewalls,
antivirus, etc.
33. CHECK (1)
➢ Controleer / Audit op vaste tijdstippen je security
➢ Met een extern consultant
➢ Automatische vulnerability Assessment tools
➢ Zelf ( er zijn tientallen tools beschikbaar )
➢ Bv Kali Linux
➢ Controleer je Business Continuity Plan
➢ Op vaste tijdstippen een volledige test ( restore of failover)
➢ Check ook de logs van je backups
34. CHECK (2)
➢ Monitor
➢ Zorg ervoor dat je een proactief monitoringsysteem
hebt met historische cijfers
➢ Noodzakelijk om je SLA te monitoren
➢ Helpt om snel problemen op te lossen
➢ Log alle interventies in een ticketing systeem
➢ Voorzie de nodige procedures om alles op te
volgen
35. ACT
➢ Los de problemen die je hebt op
➢ Structureel
➢ Geen brandjes blussen met tijdelijke oplossingen
➢ Change Management
➢ Doe het gestructureerd
➢ Stuur bij
➢ Documenteer
➢ Zorg dat alles gedocumenteerd wordt !
➢ Communiceer!
Belangrijk om te onthouden :
2 manieren waarop wij werken met lokale besturen :
Leveren van volledige oplossingen
Leveren van huurlingen : consultants die tijdelijk de kennis van de ict-manager aanvullen
Leveren van technische ondersteuning en troubleshooting
Leveren oplossingen aan lokale besturen sinds 1996