Waarom iedereen in deze 2 weken zijn conferentie/event aan het organiseren is mij een raadsel. Naast SuperNova, had je ook nog BrightonSEO, dit weekend Measurecamp Brussels (waarvoor ik ga passen maar hierover later meer waarom),…
Zelf was ik dinsdag terug te vinden in Den Haag in het grootste auditorium van Nederland (net naast het gebouw van Europol) voor een invite-only conferentie rond cybersecurity: One Conference.
Deze conferentie wordt door de Nederlandse overheid (Ministerie van Economische Zaken, Ministerie van Justitie en het National Cyber Security Centre) georganiseerd en brengt alle kennis rond cybersecurity bij elkaar in het mooie decor van het World Forum in Den Haag (net naast het gebouw van Europol).
Cybersecurity draait rond awareness en communicatie
Voor ik over de conferentie begin, even een lofrede naar onze Noorderburen (maar ook onze andere buurlanden).
Cybersecurity draait voor mij ook zeer hard rond duidelijke en snelle communicatie en awareness brengen. Een mooi voorbeeld is de mooie communicatie van de Data Protection Authority’s in onze buurlanden (zie mijn blogpost rond GDPR/privacy boetes).
Maar evengoed hoe de High Tech Crime Unit van de Nederlandse politie nadrukkelijk aanwezig was op TNW Europe in Amsterdam eind mei. Ze stonden er met een grote stand en deden 1 van de beste talks/workshops door een daadwerkelijke onopgeloste cybercrime case voor te stellen en input te vragen van het publiek.
Ook One Conference is een mooi voorbeeld van een conferentie zonder sponsors, zonder salespraatjes maar wel met veel inside info (en een super catering voor een gratis event 😉 ).
Het afwenden van cyberdreigingen draait niet alleen om het afweren en opsporen. Preventie speelt een grote rol. Hier moet je ook zelf verantwoordelijkheid nemen. Kijk wat je nu kunt doen om digitaal veiliger te zijn: https://t.co/UFKEvahWDz #NLCyber https://t.co/SCdUw4rsi4
— Ferd Grapperhaus (@ferdgrapperhaus) October 2, 2018
Wat doe jij daar dan?
Mensen die me gewoon als online marketeer kennen, kennen mijn achtergrond en passies niet goed. Door me de afgelopen jaren zo in GDPR te gooien, ben ik ook veel meer terug bezig met security en de technische kant hiervan (in 2004 was ik al bezig met wardriving als studentje).
Vorig jaar ging ik naar nog naar de Belgian Cyber Security Convention, maar daar bleef ik toch echt op mijn honger zitten (commerciële conferentie met sponsors 😉 ). Wat rondzoeken bracht me dan ook op deze One Conference, waar je niet zomaar tickets voor kan kopen en je aanvraag tot deelname eerst goedgekeurd dient te worden.
Wat ik terug meeneem van One Conference 2018?
Zoals je kan lezen waren er verschillende No publicity talks, waar niets over online mag verschijnen (wat ik dus ook ga respecteren). De informatie uit de meest interessante talks zijn dus enkel mondeling van me te vernemen. 😉
Van de andere talks breng ik enkele belangrijke puntjes hieronder bij elkaar.
1. The connected world
Dat alles geconnecteerd wordt met het internet is iets dat we wel weten, maar verschillende sprekers lieten nog eens de vele risico’s en gevaren zien hiervan.
Zo bracht Ross Janderson de stellingen rond connected cars en bijvoorbeeld het gebruik van computers in ziekenhuizen. In onderstaande foto’s zie je hoeveel computers in een typische ziekenhuiskamer staan en daarna de interfaces van 1 pomp van alle soorten verschillende makers.
Dit zijn dus dezelfde toestellen, maar gewoon van een andere fabrikant. Je mag er dus zeker van zijn dat er jaarlijks doden vallen door foutieve bediening van deze toestellen. Software updates aan dit soort toestellen geeft dan ook direct problemen met de broodnodige certificering.
Focus op security lifecycle. Voorbeeld: Om certificering te behouden moesten apparaten onveilige software gebruiken #NLcyber pic.twitter.com/Ux4R2zq8Kb
— M Dell (@mndell) October 2, 2018
Wat met updates van dergelijke toestellen? Dit zijn geen toestellen, die je zoals een smartphone na 2-3 jaar gaat vervangen, maar die 10-30 jaar gaan meegaan.
Uitdaging: Hoe ontwerp je iets dat in 2038 nog steeds goed moet werken? Qua software? #NLcyber
— M Dell (@mndell) October 2, 2018
Smartphones should have a 5-6 years lifetime – that is, with security updates from their manufacturer.@hansdezwart #NLCyber
— Patrick Borsoi (@PatrickBorsoi) October 2, 2018
Lovely political challenge: climate change demands we keep using products, but older devices bring security risks – how do we square that circle? #NLcyber pic.twitter.com/QrDoxyk7xT
— L⭕️usewies vd Laan (@LousewiesvdLaan) October 2, 2018
The device is smart, but its manufacturer isn't. @hansdezwart #NLCyber
— Patrick Borsoi (@PatrickBorsoi) October 2, 2018
Elisa Costante on smart buildings: 60% of buildings have systems that are 20 years old. #NLCyber
— Patrick Borsoi (@PatrickBorsoi) October 2, 2018
Voor auto’s zien we dus een totaal ander maintenance verhaal opduiken, waar men over 10 jaar nog steeds zal moeten zorgen dat bvb. de eerste generatie Tesla’s nog steeds security updates ontvangen.
https://twitter.com/derk3621/status/1047041303765225473
Dit zal echter moeten afgedwongen worden, daar security voor vele IoT makers 1 van hun laagste prioriteiten is. Als ik wat rondkijk naar mijn eigen IoT apparaten in huis, vraag ik me af wanneer ik die slimme weegschaal, robotmaaier of weerstation nog eens een firmware update heb gegeven… 🤔
We need government involvement to make these patching rules come true.@hansdezwart #NLCyber pic.twitter.com/Sy093ijKkJ
— Patrick Borsoi (@PatrickBorsoi) October 2, 2018
2. Nation state actors
Super interessant om de verschillende partijen te horen, die bezig zijn met nation state attacks (denk Rusland, Noord-Korea,…).
Enja in België weten we ondertussen, dat ook “friendly” nations dergelijke zaken bij ons uitspoken…
‘Nationstate actors are not just Russia, China and North Korea. Every nation is doing this.’ Some are better then others, but those that haven’t got the knowledge, can just buy the tools. #cyberwar #nlcyber
— Frank Breedijk RCX (@seccubus) October 2, 2018
Bijvoorbeeld de techniek om een valse MDM (Mobile Device Management) server te gaan configureren op de smartphone van een slachtoffer, waarna ze bestaande apps door fake apps kunnen vervangen.
Hoe zonder exploit een iPhone volledig overnemen door een fake update server te configureren in de iPhone… https://t.co/cO6sUWVf7c
— Herman Maes (@Dailybits) October 2, 2018
PS: In iOS kan je maar 1 MDM configureren (een company MDM gaat deze aanval dus reeds tegenhouden), in Android kan je meerdere MDM’s configureren.
Belangrijk is ook om te zien hoe de privésector de nodige defensive datanalyse doen om alles te doorgronden. Zo bracht McAfee hun inzichten over hoe ze malwarefamilies kunnen terugbrengen naar Unit 110 en Unit 180 van Noord-Korea (Unit 180 zou zo achter Wannacry zitten bijvoorbeeld, welke rechts in het schema hangt).
Criminals/Nationstate actors reuse code too and not just for espionage says @ChristiaanBeek of McAfee #nlcyber pic.twitter.com/y3SwrthDdj
— Frank Breedijk RCX (@seccubus) October 2, 2018
Opmerkelijk is dat ze bijvoorbeeld onlangs een nieuwe hackingtechniek reeds 7 dagen nadien zagen terugkomen in een nation state attack. Er was dus een nieuwe malwarecampagne bedacht, geschreven, getest en gelanceerd binnen 7 dagen. Van agile software development gesproken…
https://twitter.com/dcypher_nl/status/1047052256372240389
De afsluitende keynote door Jeanette Manfra van US Homeland Security gaf ook mee dat niets totaal verdedigbaar is en vooral de risico’s van incidenten op onze samenleving moeten worden afgewogen. Zij bracht ook de oproep naar nog meer omscholen van werknemers richting Cyber security rollen, daar dit een job gaat zijn, die niet snel gaat verdwijnen.
.@nppd_manfra from @DHSgov: “We don’t need to think about the threat, we need to talk about the risk for society. What is our country actually dependant on?” #NLCyber #CyberMonth2018 pic.twitter.com/YlojRT5aDZ
— NCSC-NL (@ncsc_nl) October 2, 2018
Enja soms gaat wetgeving juist tegenwerken, dan meewerken… 🙈
Brutal honesty from @Raj_Samani: as an industry we knew #GDPR would mean #WHOIS going dark & a law enforcement nightmare, but we are only now starting to work on solutions #NLcyber pic.twitter.com/KDbydoq1E8
— L⭕️usewies vd Laan (@LousewiesvdLaan) October 2, 2018
3. Tokio 2020
Grote events zoals de Olympische spelen lopen natuurlijk extra risico’s. De aanvallen op de winterspelen in Zuid-Korea kwamen voorbij en lead Cybersecurity persoon voor de Tokio 2020 Olympics bracht dan ook een inkijk in hoe zij zich aan het voorbereiden zijn.
Keynote/reading about how Japan is now preparing cybersecurity defence for the #tokio2020 #olympics #NLcyber pic.twitter.com/n4N9kwXjEu
— Herman Maes (@Dailybits) October 2, 2018
Part of the cybersecurity approach for the 2020 Olympic Games in Tokyo: Raise senior executives' awareness – from "expense" to "investment".
(Yoshiaki Takeuchi) #NLCyber— Patrick Borsoi (@PatrickBorsoi) October 2, 2018
In Japan the PM is in charge of the national cybersecurity. #NLcyber pic.twitter.com/QQty0Nwnpc
— Eric Nieuwland (@e_r_nie) October 2, 2018
Japanse Cyber Security approach towards Tokio 2020 Olympics #NLcyber mooie afsluitende statement pic.twitter.com/56mmozY8ve
— Douwe Leguit (@DouweLeguit) October 2, 2018
Belangrijk hierbij is ook de menselijke factor met het verhogen van de awareness, training (voor alle niveau’s) en grootschalige oefeningen op alle soorten mogelijke Cybersecurity incidenten.
Een aanrader van conferentie?
Ik had mezelf maar voor 1 dag ingeschreven, daar ik soms toch ook eens moet werken en op kantoor langsgaan.
Volgend jaar ga ik zeker de berichtgeving hierover terug opvolgen om opnieuw te gaan, daar de informatieoverload op 1 dag me veel extra zaken heeft gegeven, die ik nog eens zelf ga uitzoeken. Een grote aanrader dus!
Als afsluiter nog een foto van de #Hackershandshake foto expositie, die werd gelanceerd tijdens de conferentie. Deze expositie brengt foto’s van whitehat hackers (the good ones), die bezig zijn met responsible disclosures. Leuk om de begeleidende teksten eens te lezen bij de foto’s.