Infosecurity beurs 2010

Op 3 en 4 november 2010 werd in de Jaarbeurs in Utrecht weer de jaarlijkse Infosecurity beurs gehouden. De beurs is zoals altijd gecombineerd met de Storage-expo en het Tooling event. En zoals altijd was ik erg geïnteresseerd in de lezingen, en niet zozeer in de beursvloer.

De eerste lezing die ik bijwoonde was van Andrew Yeomans van de Commerzbank AG. Andrew is verbonden aan het Jericho forum. In een volle zaal (ongeveer 200 man) vertelde hij over hoe data in de cloud veilig kan worden opgeslagen en uitgewisseld. Volgens Andrew zijn er eigenlijk maar twee methoden om dit te doen: encryptie en access control. Een laagdrempelige mogelijkheid om data in de cloud op te slaan en uit te wisselen kan zijn om gebruik te maken van encrypte ZIP files. Door de toegang met XACML (eXtensible Access Control Markup Language) te beveiligen kan data op een veilige manier worden uitgewisseld. Het grote voordeel van ZIP files is dat het een reeds lang bestaande standaard is en dat ondersteuning ingebouwd is in vrijwel alle besturingssystemen. ZIP files worden min of meer als bestandsmappen behandeld, waardoor ze eenvoudig te begrijpen zijn voor eindgebruikers. Verder pleitte Andrew voor het opzetten van interne IT in bedrijven zoals dat bij ISP's gebeurt. Het gebruik van transparante proxy servers zorgt bijvoorbeeld dat laptops precies gelijk werken, of ze in het bedrijfsnetwerk zitten of dat ze thuis of onderweg gebruikt worden. Er zou voor eindgebruikers eigenlijk geen verschil moeten zijn of iemand thuis werkt, onderweg werkt of binnen de muren van het kantoor werkt. Nu is dat nog wel vaak het geval. Veel functionaliteiten werken niet of anders als men zich buiten de kantooromgeving begeeft. Dat is eigenlijk vreemd en werkt weerstand op voor Het Nieuwe Werken.

De volgende sessie was van Stephan Hendriks en Eric IJpelaar van DSM. De titel van de presentatie was "Identity and access management in the cloud". Hoewel men sprak voor een zaal met zeker 400 man, vond ik de presentatie teleurstellend. Bijna de helft van de presentatie ging het over DSM, welke producten men maakte, welke business transformatie men doormaakte, enzovoort. Daar kwamen we natuurlijk niet voor. In de tweede helft van het verhaal werden onder andere de IT design principes van DSM uitgelegd, waaronder het Internet Centric principe dat DSM heeft omarmd. De sprekers legde uit dat Identity en Access Management (IAM) in een separaat systeem is ondergebracht en geen deel is van het HR systeem. Reden hiervoor is dat HR systemen een langzamer proces moeten ondersteunen dan bij IAM gewenst is, en dat HR systemen over het algemeen geen externe identiteiten bevatten (zoals business partners). Bij DSM heeft men daarom het HR systeem volgend gemaakt van het IAM systeem. Voor de beveiliging is gekozen voor SAML en WS-Federation.

's Middags bezocht ik een presentatie van David Burg van PWC over trends in cybercrime. Dit was een enorm goede sessie, waarin onder andere in detail werd uitgelegd hoe twee cybercrime aanvallen zijn uitgevoerd (waaronder een aanval op een financiële instelling waarbij voor 10 miljoen euro geld uit geldautomaten werd ontvreemd). Cybercriminelen blijken niet alleen zeer professioneel te werken, ze hebben ook veel geduld en werken ronduit projectmatig.  

De sessie van het NICC, genaamd "Samen tegen Cybercrime" werd gepresenteerd door Auke Huistra. Hij legde de rol uit van het NICC - samenwerken met marktpartijen en (semi) overheid op het gebied van vitale infrastructuur, om gezamenlijk cybercrime het hoofd te bieden. Zo is er een groep met alle partijen op het gebied van energie, een groep met financiële instellingen, telecom, water, vliegvelden, enzovoort. Deze partijen overleggen openlijk over cybercrime, delen ervaringen en zoeken naar oplossingen. 

Op de tweede dag zag ik eerst een presentatie van Oracle over hun nieuwe Exadata systeem. Exadata is eigenlijk een database machine, gebouwd op basis van Sun hardware en Oracle software. De machine bevat storage, meerdere database servers en zeer snelle Infiniband netwerk verbindingen. Het systeem zorgt voor intelligente compressie (op kolom niveau), query optimalisatie en encryptie van data. De hardware bevat 100 TB disk opslag, 5TB flash memory met sub-millisecond response times, 40Gb/s Infiniband en 16 CPU cores. Een behoorlijk stoere machine dus. Als je dit kant en klaar kunt kopen, waarom zou je het dan nog zelf opbouwen?

Jeroen de Boer van Shell gaf een presentatie over kaartfraude en skimming. Een erg leuk (maar wat langzaam) verhaal met een groot aantal foto's van geskimde kaartlezers. Hij vertelde hoe er een constante rat-race bezig is tussen skimmers en de "good guys", waarbij skim-aanvallen na detectie meestal leiden tot het aanpassen van kaartlezers zodat een bepaald type aanval niet meer kan worden uitgevoerd. Maar omdat criminele organisaties steeds geld nodig hebben (voor drugs, oorlogen of andere narigheid), zoeken ze steeds naar andere aanvalstechnieken. Veel hoop is nu gevestigd op het nieuwe pinnen, waarbij de magneetstrip op PIN passen niet langer wordt gebruikt, ten faveure van een chip.

In een sessie van BT werd door Evert-Jan Westera uitgelegd dat Het Nieuwe Werken veel meer is dan techniek alleen. Niet alleen moet het management overgaan tot het sturen op output, maar er moet ook aandacht zijn voor het effect op de mensen. Sommige mensen willen helemaal niet thuis werken, kunnen het niet, of missen de sociale contacten zo erg dat ze in de problemen komen. Ook moet, als een bedrijf thuiswerken aanbiedt, aan ARBO wetgeving worden voldaan. In de praktijk wordt binnen BT gekeken naar welke mensen op welke manier kunnen en willen werken. Als men primair thuis wil werken, dan krijgen de medewerkers ook een complete thuiswerkplek aangeboden (inclusief meubilair en inclusief officiële audits van de ARBO). De mogelijkheid om primair thuis te werken zorgt er bij BT bijvoorbeeld voor dat vrouwen nadat ze kinderen hebben gekregen in 99% van de gevallen weer gaan werken, terwijl dit percentage normaal gesproken veel lager is (ik heb het niet opgeschreven, maar ik geloof dat het 60% was). Dit levert in ieder geval een forse besparing op recruitment kosten op!

In een sessie van PayPal vertelde Dennis van Allemeersch over cybercrime ervaringen binnen PayPal. Hij noemde risk management en risk analysis een van de belangrijkste onderdelen van zijn bedrijf, omdat hiermee veel cybercrime kan worden voorkomen. Als er toch criminaliteit optreedt, kan men heel snel schakelen. Binnen enkele minuten zijn bijvoorbeeld frauduleuze creditcard transacties geblokkeerd. PayPal garandeert betalingen voor klanten. Ze reserveert ongeveer 0,25% van haar omzet hiervoor. Alleen door goed riskmanagement kan dit percentage worden gehaald en blijven de kosten binnen de perken.

De laatste sessie die ik bijwoonde was van Generaal-majoor Koen Gijsbers van (u raadt het al) het ministerie van defensie. De generaal vertelde over de intiatieven die de rijksoverheid en defensie ontplooien om cyberaanvallen het hoofd te bieden. Ook wordt onderzoek gedaan naar cyber warfare. Een zeer interessante sessie van een zeer indrukwekkende spreker (je wordt niet zomaar generaal tenslotte). 

Al met al was Infosecurity dit jaar voor mij weer zeer de moeite waard. Ik heb er veel gezien, veel opgestoken en nieuwe inspiratie opgedaan.


This entry was posted on Maandag 08 November 2010

Earlier articles

Quantum computing

My Book

Security bij cloudproviders wordt niet beter door overheidsregulering

Passend Europees cloudinitiatief nog ver weg

Data Nederlandse studenten in cloud niet grootschalig toegankelijk voor bedrijven VS

VS kan nog steeds Europese data Microsoft opeisen ondanks nieuwe regels

The cloud is as insecure as its configuration

Infrastructure as code

DevOps for infrastructure

Infrastructure as a Service (IaaS)

(Hyper) Converged Infrastructure

Object storage

Software Defined Networking (SDN) and Network Function Virtualization (NFV)

Software Defined Storage (SDS)

What's the point of using Docker containers?

Identity and Access Management

Using user profiles to determine infrastructure load

Public wireless networks

Supercomputer architecture

Desktop virtualization

Stakeholder management

x86 platform architecture

Midrange systems architecture

Mainframe Architecture

Software Defined Data Center - SDDC

The Virtualization Model

What are concurrent users?

Performance and availability monitoring in levels

UX/UI has no business rules

Technical debt: a time related issue

Solution shaping workshops

Architecture life cycle

Project managers and architects

Using ArchiMate for describing infrastructures

Kruchten’s 4+1 views for solution architecture

The SEI stack of solution architecture frameworks

TOGAF and infrastructure architecture

The Zachman framework

An introduction to architecture frameworks

How to handle a Distributed Denial of Service (DDoS) attack

Architecture Principles

Views and viewpoints explained

Stakeholders and their concerns

Skills of a solution architect architect

Solution architects versus enterprise architects

Definition of IT Architecture

What is Big Data?

How to make your IT "Greener"

What is Cloud computing and IaaS?

Purchasing of IT infrastructure technologies and services

IDS/IPS systems

IP Protocol (IPv4) classes and subnets

Introduction to Bring Your Own Device (BYOD)

IT Infrastructure Architecture model

Fire prevention in the datacenter

Where to build your datacenter

Availability - Fall-back, hot site, warm site

Reliabilty of infrastructure components

Human factors in availability of systems

Business Continuity Management (BCM) and Disaster Recovery Plan (DRP)

Performance - Design for use

Performance concepts - Load balancing

Performance concepts - Scaling

Performance concept - Caching

Perceived performance

Ethical hacking

Computer crime

Introduction to Cryptography

Introduction to Risk management

The history of UNIX and Linux

The history of Microsoft Windows

Engelse woorden in het Nederlands

Infosecurity beurs 2010

The history of Storage

The history of Networking

The first computers

Cloud: waar staat mijn data?

Tips voor het behalen van uw ITAC / Open CA certificaat

Ervaringen met het bestuderen van TOGAF

De beveiliging van uw data in de cloud

Proof of concept

Een consistente back-up? Nergens voor nodig.

Measuring Enterprise Architecture Maturity

The Long Tail

Open group ITAC /Open CA Certification

Human factors in security

Google outage

SAS 70

De Mythe van de Man-Maand

TOGAF 9 - wat is veranderd?

Landelijk Architectuur Congres LAC 2008

InfoSecurity beurs 2008

Spam is big business

De zeven eigenschappen van effectief leiderschap

Een ontmoeting met John Zachman

Persoonlijk Informatie Eigendom

Archivering data - more than backup

Sjaak Laan


Recommended links

Genootschap voor Informatie Architecten
Ruth Malan
Gaudi site
XR Magazine
Esther Barthel's site on virtualization
Eltjo Poort's site on architecture


Feeds

 
XML: RSS Feed 
XML: Atom Feed 


Disclaimer

The postings on this site are my opinions and do not necessarily represent CGI’s strategies, views or opinions.

 

Copyright Sjaak Laan