Categorie op Security

Alles over de verschillende encryptie-soorten

Wat is encryptie en hoe werkt het in grote lijnen? In dit artikel kijken we naar de verschillende encryptie-soorten die mogelijk zijn.Belangrijke basiskennis voor elke computergebruiker die zijn communicatie graag privé houdt.

Bij encryptie of versleuteling wordt een boodschap (de ‘plaintext’) op zo’n manier gecodeerd dat alleen iemand met de juiste sleutel de oorspronkelijke boodschap kan decoderen. De versleutelde versie van de boodschap wordt ook wel ‘ciphertext’ genoemd. Wie de ciphertext dus weer in de oorspronkelijke boodschap wil omzetten (dat proces heet ‘decryptie’), heeft de sleutel nodig. De sleutel is in principe een willekeurig getal. In de praktijk maken we gebruik van een wachtwoord en dus wordt het wachtwoord via een ‘key derivation function’ eerst omgezet naar een willekeurig getal dat dan als sleutel dient.

Er bestaan diverse manieren om die versleuteling uit te voeren. Zo’n manier heet een encryptie-algoritme of ‘cipher’. De Nederlandse taalkundige en cryptograaf Auguste Kerckhoffs stelde al in de 19de eeuw een belangrijk ontwerpprincipe op: een encryptie-algoritme moet zelfs veilig zijn als alle details van het systeem publiek bekend zijn, behalve de sleutel. Dit principe van Kerckhoffs is anno 2020 nog altijd even belangrijk voor de veiligheid van een encryptie-algoritme.

Als iemand je dus wil overtuigen om een propriëtair, topgeheim encryptiesysteem te gebruiken, loop er dan maar in een wijde boog omheen. De enige verantwoorde keuzes voor encryptiesystemen zijn algoritmes waarvan de specificatie openbaar is, waarvan de ontwikkeling in open commissies gebeurt en waarvan opensource implementaties bestaan.

Lees hier verder. © PCMWeb

Trend Micro: 63% van de Nederlandse thuiswerkers is zich tijdens lockdown meer bewust geworden van cybersecurity

Onderzoek toont aan dat gebruikers security-trainingen serieus nemen, maar nog steeds gevaarlijk gedrag vertonen.

Trend Micro, wereldwijd leider in cybersecurity-oplossingen, presenteert vandaag zijn onderzoeksrapport dat laat zien hoe thuiswerkers in 27 landen omgaan met cybersecurity. Meer dan de helft (63%) van de Nederlandse thuiswerkers zegt zich meer bewust te zijn van het cybersecurity-beleid van hun organisatie sinds het begin van de lockdown, maar velen lappen deze regels toch aan hun laars door beperkte kennis of middelen.

Het Trend Micro Head in the Clouds-rapport is gebaseerd op interviews met 13.200 thuiswerkers in 27 landen, waaronder Nederland. De vragen gingen over hun houding ten opzichte van corporate cybersecurity- en IT-beleid. Het laat zien dat er nooit eerder zoveel bewustwording is geweest over cybersecurity onder werknemers. Het onderzoek onderstreept tevens dat de aanpak die bedrijven hebben op het gebied van training erg belangrijk is om ervoor te zorgen dat security-beleid ook wordt uitgevoerd.

De resultaten laten zien dat de zogenaamde ‘security awareness’ is toegenomen, waarbij 83% procent van de Nederlandse respondenten aangeeft instructies van hun IT-team serieus te nemen en 76% geeft aan dat cybersecurity binnen een organisatie deels hun verantwoordelijkheid is. Zeker 60% snapt ook dat het gebruik van niet-werkgerelateerde applicaties op het corporate netwerk security-risico’s met zich meebrengt.

Ondanks dat de meeste mensen zich bewust zijn van de risico’s, betekent dat niet automatisch dat ze zich ook aan de regels houden:

  • 57% van de werknemers geeft toe dat ze niet-werkgerelateerde applicaties gebruiken op een corporate device en 70% heeft zelfs corporate data verstuurd via dergelijke applicaties.
  • 78% van de respondenten geeft toe dat ze hun werklaptop gebruiken voor persoonlijke (online) doeleinden en slechts 28% van hen legt zichzelf beperkingen op als het gaat om websitebezoeken.
  • 44% van de respondenten zegt vaak tot altijd corporate data te openen op hun persoonlijke device, wat eigenlijk altijd een schending is van het corporate security-beleid.
  • 8% van de respondenten geeft toe porno te downloaden op hun werklaptop en 11% bezoek daarmee wel eens het dark web.

Productiviteit wint het voor veel gebruikers nog steeds van beveiliging. Een derde van de Nederlandse respondenten (36%) geeft toe dat ze zich niet vaak afvragen of de apps die ze gebruiken onder beheer staan van IT of niet. Dat komt vooral omdat ze met die apps gewoon hun werk willen doen. Zeker 27% denkt dat ze wegkomen met het gebruik van niet-werkgerelateerde applicaties omdat de oplossingen die hun werkgever biedt “nergens op slaan”.

Lees hier verder. © Persberichten

Zo houdt u het IoT-netwerk veilig

Internet of Things biedt organisaties ongekende mogelijkheden. De security van deze technologie vraagt echter nog de nodige aandacht. Wat kunt u zelf doen om te voorkomen dat hackers via uw slimme apparaten bij uw gegevens kunnen?

Het voorbeeld van de slimme auto die ten prooi viel aan hackers kennen de meesten wel. Ze konden het voertuig op afstand bedienen. Het spreekt voor zich dat zo’n hack rampzalige gevolgen kan hebben.

De securityrisico’s van IoT-hacks voor bedrijven staan nog minder op het netvlies. Terwijl ook de gevolgen hiervan weinig goeds beloven. Grootschalige DDoS-aanvallen hebben de vernietigende kracht van miljoenen gekoppelde slimme apparaten blootgelegd. Samen kan zo’n ‘botnet’ van gehackte IoT-devices als een digitale Godzilla organisaties omverwerpen. Als speelgoedhuisjes. De stormachtige opkomst van de Mirai-, Torii- en Qbot-botnets doen het ergste vrezen.

Waardevolle data
IoT-devices zijn meer dan eens een rijke bron van waardevolle data. Denk aan locatiegegevens of de (gesproken) informatie die je uitwisselt met een digitale assistent. In de handen van kwaadwillenden kan dat veel narigheid opleveren. Hoewel het feitelijke misbruik niet is aangetoond, ligt het kindersmartwatch-lek nog vers in het geheugen. Vervang de kindersmartwatch door een trackingsysteem voor waardevol transport. Met een beetje fantasie is het risico meteen zichtbaar.
Ten slotte kan een IoT-device als achterdeur ‒ onbedoeld en ongewenst ‒ toegang bieden tot een bedrijfsnetwerk. Wie deze op een kier laat staan, rolt de rode loper voor hackers uit richting de rest van de systemen en data.

Gerichte maatregelen
Het risico op een inbraak op het IoT-netwerk tot nul reduceren is een utopie. Maar met de volgende doelgerichte securitymaatregelen wordt de kans op een geslaagde hack een stuk kleiner.

Lees hier verder. © Beveiligingswereld

Mkb vertrouwt te veel op IT-leverancier voor cybersecurity

Vier op de vijf mkb’ers vertrouwt voor zijn cybersecurity grotendeels op zijn IT-leverancier, zo blijkt uit onderzoek door SIDN. Dit staat in schril contrast met de 58 procent van IT-leveranciers die aangeeft dat hun mkb-klanten onvoldoende beschermd zijn. Een zorgelijke situatie, aangezien het aantal mkb-slachtoffers van cybercriminaliteit de afgelopen twaalf maanden steeg naar 22 procent.

Uit het onderzoek dat SIDN door GfK liet uitvoeren onder bijna 600 mkb-ondernemers, komt naar voren dat de meeste mkb’ers ervan uitgaan dat hun IT-beheerder een zekere zorgplicht heeft en daardoor ook bescherming biedt tegen cyberrisico’s. Dit sluit aan bij de recente uitspraak van de rechtbank Amsterdam dat van een IT-leverancier verwacht mag worden dat de beveiliging van de geleverde dienst onderdeel van de afspraak is.
De praktijk blijkt vooralsnog echter weerbarstiger. Zo laat eerder onderzoek door Centraal Beheer zien dat in slechts 22 procent van de gevallen hier daadwerkelijk afspraken over zijn gemaakt tussen mkb-ondernemingen en IT-leverancier. Het lijkt er dus op dat mkb’ers te hoge verwachtingen hebben wanneer het gaat om de bescherming tegen cybercrime door hun IT-leverancier. Tegelijkertijd moeten IT-leveranciers de beveiliging van hun product op orde hebben, ook wanneer een klant daar niet expliciet naar vraagt.

“Verwachtingen en werkelijkheid lopen langs elkaar heen, zo toont het onderzoek aan,” licht Alex van Wijhe, Business developer CyberSterk bij SIDN, toe. “Het is beter om juridisch getouwtrek te voorkomen en duidelijke afspraken te maken over wie (mede-)verantwoordelijk is voor de cybersecurity van bepaalde IT-diensten. Voorkomen is nog altijd beter dan genezen.”
Maar er speelt meer, zo blijkt uit het onderzoek door SIDN. Van Wijhe: “Het gevoel van urgentie om digitaal beschermd te zijn, ontbreekt nog bij een te grote groep mkb-ondernemers. Slechts 30 procent van de ondervraagde directieleden maakt zich druk over cybercriminaliteit. Over personeelsbezetting en het voldoen aan wet- en regelgeving maakt men zich meer zorgen. Opvallend is verder dat 72 procent van de ondernemers cybercriminaliteit maar in beperkte mate als bedreigend beschouwt voor zijn bedrijf.”

Lees hier verder. © BriskMagazine

NCTV: digitale weerbaarheid Nederlandse samenleving nog niet overal op orde

De digitale weerbaarheid van de Nederlandse samenleving is nog niet overal op orde, mede omdat organisaties updates niet tijdig installeren en personeel niet over phishing voorlichten. Daardoor kunnen cyberincidenten grote schade aanrichten en in uiterste gevallen zelfs maatschappelijke ontwrichting veroorzaken, zo meldt de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in het jaarlijkse Cybersecuritybeeld Nederland (CSBN).

Het CSBN geeft een overzicht van de digitale dreigingen waar organisaties in Nederland mee te maken hebben en gaat in op de weerbaarheid om dergelijke risico’s tegen te gaan. Volgens het rapport blijken organisaties dagelijks in staat cyberincidenten te voorkomen of de impact daarvan te verkleinen. De digitale weerbaarheid is echter nog niet overal op orde. Daardoor zijn organisaties extra kwetsbaar voor cyberincidenten.

“Dat geldt zeker wanneer er onvoldoende basismaatregelen zijn getroffen, om eerste barrières op te werpen tegen cyberaanvallen, schade te beperken en herstel eenvoudiger te maken wanneer incidenten zich toch voordoen”, aldus het CSBN. Daarin valt te lezen dat bij veruit de meeste cyberaanvallen nog steeds gebruik wordt gemaakt van eenvoudige methoden. “Deze blijven effectief doordat basismaatregelen onvoldoende zijn geïmplementeerd.” Het gaat dan bijvoorbeeld om het tijdig installeren van updates en het onderwijzen van personeel over phishing.

Het rapport stelt dat het vergroten van de digitale weerbaarheid een lastige opgave is omdat zowel systemen, onderdelen en processen met elkaar verweven zijn. Als voorbeeld wordt er gewezen naar hard- en software die met allerlei andere systemen zijn verbonden, de aanwezigheid van onveilige producten en diensten en gebruikers die zich al dan niet onbewust onveilig op internet gedragen. “Dit alles introduceert potentiële kwetsbaarheden die niet alleen de gelegenheid bieden voor cyberaanvallen, maar ook kunnen leiden tot uitval”, waarschuwt het CSBN.

Lees hier verder. © Security.nl