Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Diginotar-hack is relevant voor elke organisatie

08 september 2011 - 15:233 minuten leestijdOpinieSecurity & Awareness

Er zijn veel lessen te trekken uit het gebeuren rondom Diginotar. En met iedere nieuwe onthulling komen er nieuwe lessen bij, dus voor de definitieve conclusie is het nog veel te vroeg. Maar is de meest voor de hand liggende les inderdaad de belangrijkste?

Les één lijkt te zijn dat grootschalige onderschatting van security risico’s nog steeds (te) veel voorkomt en uiteindelijk niet zonder consequenties blijft. Basale zaken zoals antivirus, defense in depth, zoning, een monitoring capability en de juiste cultuur/mindset zijn randvoorwaarden voor een adequate beveiliging. En als die ontbreken, resulteert dat onvermijdelijk in een inbraak die veel te gemakkelijk is te plegen en die vroeg of laat gesignaleerd wordt.

Maar dat is, hoe waar en relevant ook, geen nieuwe les. Het grootste leerpunt van wat er momenteel gebeurt, is misschien wel gelegen in het feit dat Diginotar waarschijnlijk niet het echte mikpunt van de inbreker(s) was. Via Diginotar konden beveiligingsmiddelen van andere organisaties gecompromitteerd worden, zodat daar ingebroken, afgeluisterd of gefraudeerd kan worden. En dat lijkt een nieuwe tactiek. Want gebeurde enkele maanden geleden niet hetzelfde met RSA? Via gecompromitteerde Secure ID tokens van RSA werden organisaties aangevallen die op die tokens vertrouwden voor hun toegangsbeveiliging.

Dat betekent dat iedere organisatie zich af moet vragen of de risico’s in de keten bekend zijn. Je kunt allerlei beveiligingszaken prima regelen, maar voor veel activiteiten zal vertrouwd worden op de diensten en producten van derden. En die blijken niet altijd zonder meer te vertrouwen. Daar zal dus zekerheid over verkregen moeten worden. Maar zelfs dan zullen we moeten accepteren dat niet alle risico’s voorkomen kunnen worden (als we tenminste ons huidige niveau van connectivity willen handhaven) en dat er dus nog meer nadruk zal moeten komen op detectie van mogelijk misbruik. En dat hoeft niet alleen achteraf, door middel van security monitoring, maar kan ook vooraf door het onderkennen van patronen en trends in de markt en de waardeketen. Daarmee krijg je als onderneming ‘situational awareness’; je kunt duiden wat er in de nabije (cyber)omgeving van de organisatie gebeurt , wat je in staat stelt te anticiperen op het juiste risiconiveau.

Laten we daarom niet te snel denken dat wat er nu bij Diginotar gebeurt , zich beperkt tot de direct betrokkenen en alleen kan gebeuren als basale beveiligingsmaatregelen niet getroffen zijn. Iedere organisatie dient zich af te vragen welke risico’s zich bevinden in de waardeketen en of er voldoende informatie is om de risico’s real time te monitoren, te analyseren en risico’s te signaleren.

(met dank aan Michael Teichmann, collega Security Partner bij Accenture)

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Meer lezen

    Security
    ActueelCloud & Infrastructuur

    Na Diginotar-hack heeft Nederland weer CA

    Cybbos-directeur Tony de Bos
    AchtergrondCloud & Infrastructuur

    ‘Ondergang Diginotar blijft doodzonde’

    Computable.nl
    ActueelCloud & Infrastructuur

    ‘Overheid moet digitale veiligheid verbeteren’

    Computable.nl
    ActueelOverheid

    Rijk eist 8,7 miljoen euro van failliet Diginotar

    Computable.nl
    ActueelCloud & Infrastructuur

    Onderzoeksraad gaat overheids-ICT analyseren

    Computable.nl
    ActueelCloud & Infrastructuur

    Vasco verliest bijna vijf miljoen door Diginotar

    3 reacties op “Diginotar-hack is relevant voor elke organisatie”

    1. Q schreef:
      9 september 2011 om 08:12

      De Diginotar-hack is relevant voor bijna elke organisatie maar niet voor elke. Zoals in het artikel terecht opgemerkt dien je vooraf na te denken over security risico’s en niet achteraf. Gegeven het feit dat de problemen met TTP authenticatie reeds langer bekend waren en ook niet op korte termijn opgelost zullen zijn is het Freemove Quantum Exchange ontworpen dat sinds 2007 operationeel is en tot minimaal 2030 operationeel zal blijven. Dit systeem is in tegenstelling tot de huidige op TTP gebaseerde systemen gebaseerd op P2P security en authentication. Verder heeft het onafhankelijke bron- en kanaalcodering, is het gebaseerd op true en niet op pseudo randomness, heet het gescheiden security en authentication en ondersteund het information-theoretische en rekenkundige symmetische private key en asymmetrische public key schema’s. Voor dit systeem is de Diginotar hack niet relevant. Meer informatie over dit systeem is bijvoorbeeld te vinden op http://bit.ly/fqxch en http://bit.ly/fqxwuala

      Login om te reageren
    2. annette munter schreef:
      9 september 2011 om 10:22

      Het woord waardeketen zegt het al: een keten van samenwerkende partners, die ieder hun ding doen en eigen info beveiliging regelen. Info beveiliging is volgens mij meer dan eigen data eerst. Het moet meer een gedeelde verantwoordelijkheid worden! Volgens mij is het dan ook hoofdzakelijk een organisatorisch probleem.

      Login om te reageren
    3. Peter schreef:
      9 september 2011 om 15:25

      Durft u uw organisatie te laten hacken door een white hat hacker?

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs