Zelf uw cybersecurity-dienstverlening configureren; toekomstwens of realiteit?

By | Blog

U heeft de afgelopen tijd het Internet afgestruind op zoek naar een puntoplossing die precies in uw laatste restje IT- of security-budget past. Het sales-traject is doorlopen en de gekochte oplossing ligt nu bij u op de plank, in afwachting van implementatie. Ondertussen bent u benieuwd naar de prestaties van uw aankoop binnen uw bedrijfsomgeving. Een bekend verhaal?

Bovenstaande laat direct verschillende uitdagingen van het gebruik van puntoplossingen zien. Aan het begin van het sales-traject heeft u zich uitvoerig verdiept in de materie en wellicht zelfs wel een proof-of-concept-traject (PoC) doorlopen. U zult niet de eerste zijn die na aanschaf van een oplossing pas merkt dat bepaalde functionaliteit niet of minder dan voorgespiegeld voorhanden is. Of u bent tijdens de looptijd van het product een concurrerend product tegen het lijf gelopen dat u wellicht liever had ingezet binnen uw organisatie.

Een andere uitdaging is de implementatie van de oplossing binnen uw organisatie. Dit betreft natuurlijk niet alleen de technische implementatie (fysieke installatie, netwerkconfiguratie, etc.), maar ook de integratie in uw processen, het beheer van de oplossing, alsmede de opvolging van, bijvoorbeeld, gerapporteerde incidenten. We zien bij onze klanten helaas nog geregeld aangekochte IT-/cybersecurity-oplossingen die in het verleden zijn aangeschaft, maar nog niet zijn geïmplementeerd. Dat is natuurlijk jammer!

Om de juiste oplossingen te vinden die nodig zijn om uw bedrijfscontinuiteit te waarborgen, is het noodzakelijk dat u een goed beeld heeft van de ‘assets’ van uw organisatie. Met dit intergrale cybersecurity-beeld, zoals beschreven in mijn vorige blog-post (#LINK#), kunt u vervolgens op zoek gaan naar de juiste producten en diensten. Hierbij is het belangrijk dat u rekening houdt met het volgende:

  • Vergelijken van oplossingen — Elke cybersecurity-oplossing heeft zijn eigen achtergrond en belicht de werkwijze en resultaten op een andere wijze. Middels een PoC kunnen dit soort verschillen binnen uw bedrijfsomgeving worden onderzocht, maar het vergelijken van oplossingen is een tijdrovende bezigheid, om verschillende redenen. Ten eerste dienen alle te vergelijken oplossingen (deels) te worden geïmplementeerd in uw bedrijfsomgeving om een representatief beeld van de waarde van de oplossing te geven. Ten tweede dienen de oplossingen tegelijkertijd te worden ingezet zodat ze opereren op hetzelfde tijdstip, op dezelfde data. Het beheer van zo’n testopstelling brengt veel complexiteit en kosten met zich mee.
  • Complementair inzetten van componenten — Naast het vergelijken van oplossingen die op elkaar lijken, kan het heel waardevol zijn om oplossingen complementair in te zetten. Detectie op basis van ‘signatures’ en ‘anomalies’ is daar een voorbeeld van; waar detectie op basis van ’signatures’ inhoudt dat malafide gedrag wordt gedefinieerd (veelal in de vorm van ‘blacklists’), wordt bij detectie op basis van ‘anomalies’ juist het legitieme gedrag gedefinieerd/geleerd, en worden afwijkingen als mogelijk kwaadaardig gezien. Beide aanpakken hebben voor- en nadelen, en juist het inzetten van beide, naast elkaar, is erg interessant voor het detecteren van veel soorten cyberaanvallen.

Het all•in Platform van Tesorion biedt u — naast een integraal cybersecurity-beeld van uw organisatie — de mogelijkheid om zelf de cybersecurity-oplossingen te kiezen die nodig zijn om de digitale continuïteit van uw organisatie te waarborgen. Deze dienstverlening van Tesorion biedt u het voordeel dat u modulair kunt schakelen met componenten. Klanten die gebruik maken van ons all•in Platform kunnen snel en makkelijk componenten modulair in- en uitschakelen, vanuit de eigen all•in Portal. Dus geen gedoe meer met fysieke implementaties; ons all•in Platform regelt het voor u.

Als klant van Tesorion heeft u de touwtjes in handen voor wat betreft de inrichting van cybersecurity binnen uw organisatie. Moet u dat dan helemaal zelf doen? Natuurlijk niet. Als onderdeel van onze dienstverlening staat uw ‘trusted advisor’ u bij en denkt hij/zij met u mee over de digitale continuïteit van uw bedrijfsvoering. Samen bepaalt u de strategie voor het verbeteren van de cyberweerbaarheid van uw organisatie.

Bent u nieuwsgierig geworden naar de dienstverlening van Tesorion? Neemt u gerust contact met ons op via platform@tesorion.nl

Facebook
Twitter
LinkedIn

Blockchain; Methodes om versleutelde informatie in te zien of te vervalsen.

By | Blog

Cryptografie speelt al heel lang een belangrijke rol in de uitwisseling van informatie. Ook het breken van de code heeft een belangrijke rol gespeeld. In de tweede wereldoorlog zijn cruciale slagen gewonnen door de geallieerden doordat ze versleuteling van informatie door de Japanners en de Duitsers gebroken hadden. Hoe veilig is moderne cryptografie? Wanneer goed toegepast veilig, maar ook in deze tijd zijn er nog vele aandachtspunten die in het oog gehouden moeten worden.

Er zijn diverse methoden om in te breken in een uitwisseling van versleutelde informatie, een aantal voorbeelden, die vaak in combinatie worden gebruikt:

  1. Brute Force; botweg alle mogelijke sleutels proberen. Een zeer langdurig proces, maar als bijvoorbeeld de sleutels slecht gekozen zijn dan is het met moderne middelen zomaar haalbaar. Voor asymmetische algoritmes kan zowel de versleutelde informatie onderworpen worden aan een Brute Force, maar het is wellicht sneller om te zien welke private key er bij de public key, die berekend is op basis van de private key, zou passen;
  2. Zoeken naar “defecten” de algoritmes. Bij goede versleuteling ziet de versleutelde data er altijd uit als een volledig willekeurige (random) set van bits. Echter het kan zijn dat onder bepaalde omstandigheden, bijvoorbeeld met een bepaalde opeenvolging van letters het resultaat van de versleuteling niet helemaal willekeurig is. Deze patronen kunnen dan doelgericht ingezet worden om een klein stukje data te ontsleutelen. Dit levert vervolgens weer kennis over het algoritme en gebruikte sleutels op, wat weer gebruikt kan worden om de rest van de informatie te ontsleutelen. Een terugkerende zorg hier is dat defecten ook doelbewust ingebouwd kunnen zijn. Zo zijn er beschuldigingen geweest aan het adres van de NSA dat zij algoritmes met een achterdeur verspreid hebben.
  3. Statistische analyse op de versleutelde data en die correleren met een statistische analyse op de gebruikte taal. Hoewel dit niet direct leidt tot het ontsleutelen van data, kan het aanknopingspunten bieden, zowel over de inhoud van het versleutelde bericht als andere manieren om de informatie te ontsleutelen.
  4. De belangrijkste en in punt 1 al aangehaald; gebruik maken van fouten tijdens het versleutelproces. De fouten die gemaakt kunnen worden zijn divers.

“Electronic Codebook”

Cryptografie goed toepassen is moeilijker dan het lijkt. Stel, ik wil het Tesorion logo versleuteld verzenden. Om dat te doen gebruik ik AES met een blokgrootte van 256 bits. Deze sleutel kies ik volledig willekeurig. Ik deel het plaatje op in een aantal blokken met data en versleutel deze met AES. Vervolgens verstuur ik het plaatje. Klinkt goed en veilig toch? Dit is wat er met het plaatje gebeurde door de encryptie:

Na het versleutelen is het plaatje nog herkenbaar! Dit komt doordat het plaatje structuur bevat. Deze structuur heeft herhalende elementen. Als dit element versleuteld wordt, komt er steeds hetzelfde resultaat uit. Het maakt niet uit waar het blokje blauwe of witte pixels staat, de versleuteling van het blokje geeft iedere keer hetzelfde resultaat.

Deze manier van versleutelen heet overigens “Electronic Codebook” (ECB). Als we het plaatje goed willen versleutelen, zullen we het algoritme dus op een andere manier moeten toepassen.

Schematisch gezien gebeurde er net het volgende:

Dit is eenvoudig te veranderen in:

Waarbij we voor de encryptie van ieder blok eerst een berekening maken waarbij we het te versleutelen blok gebruiken en het versleutelde resultaat van het vorige blok. Deze manier van versleutelen heet “Cipher Block Chaining” (CBC). Naast deze methode bestaan er ook nog een aantal anderen als “Cipher Feedback” (CFB) en “Output Feedback” (OFB). In ons geval ziet het resultaat er nu zo uit:

Bij het versturen van versleutelde berichten kan een derde partij niet zien wat de inhoud van het bericht is, maar hij kan wel de activiteiten observeren die bij beide partijen plaatsvinden. Bijvoorbeeld, een partij kan een versleuteld berichtje versturen om een bepaalde vlag te hijsen. Een derde partij ziet het versleutelde bericht en ziet dat de vlag gehesen wordt.

Als de volgende keer dat dit bericht verstuurd wordt de vlag weer gehesen wordt, dan kan de derde partij wel raden wat er in het bericht stond en daar de volgende keer op anticiperen, of zelf het versleutelde bericht sturen om de actie uit te lokken. Dit laatste noemen we een “Replay Attack”. Het “opnieuw afspelen” van een versleuteld bericht om een bepaalde reactie te bewerkstelligen. Bij deze aanval is het dus niet nodig om te weten hoe het bericht ontsleuteld moet worden!

Het is dus belangrijk dat bij het versleutelen van een tekst er een maatregel wordt genomen die ervoor zorgt dat het versleutelen iedere keer een ander resultaat heeft.

Rekenkundig is dit eenvoudig te regelen. In de CBC-methode wordt iedere keer de waarde van het vorige blok gebruikt. Voor het eerste blok is er geen vorige waarde. Deze kunnen we dus zelf kiezen. Deze waarde heet dan de “Initialisatie Vector” (IV). De IV wordt meestal willekeurig gekozen. Wanneer beide partijen afspreken een IV maar één keer te gebruiken, wordt er ook wel gesproken van een “nonce” (number used once). De IV of nonce kan onderling gecommuniceerd worden, maar kunnen ook afspraken gemaakt worden over hoe de IV of nonce te bepalen, bijvoorbeeld op basis van het berichtnummer of de tijd.

Het is belangrijk om de IV onvoorspelbaar/willekeurig te bepalen. Er zijn in het verleden aanvallen geweest die de voorspelbaarheid van de IV gebruikten om aannames over de versleutelde data te testen. Een voorbeeld hiervan is de BEAST-aanval tegen het TLS protocol dat gebruikt wordt in https. Een vraag aan een webserver, het eerste blok in de CBC keten, begint bijna altijd op dezelfde manier. De gebruiker zal wel om een bepaalde pagina vragen. Neem hierbij een voorspelbare IV en de aanvaller heeft een aantal gegevens die hij kan gebruiken bij het kraken van de verbinding.

“Willekeurige getallen”

Willekeurige getallen worden nogal eens gebruikt bij versleuteling, voor het bepalen van de sleutels, voor het bepalen van de IV of nonce en als salt voor een hash.
Als computers iets slecht kunnen, is het het noemen van een willekeurig getal. Zelfs een mens kan dat niet goed. Als een aanvaller kan voorzien hoe een computer een willekeurig getal kiest, dan kan hij een heleboel sleutels/IV/nonce/Salt uitsluiten in zijn poging om de communicatie te kraken.

Maar hoe kiest een computer een willekeurig nummer? Simpel, met een formule in combinatie met iets dat hij kan meten. Dat kan de tijd zijn, een stukje data op een bepaalde plaats van de harddisk, of de laatste beweging van de computermuis. Een veelgebruikte formule is:

Xn+1= ( a* Xn+ b ) mod m

Waarbij aben mgrote gehele getallen zijn en Xeen reeks van getallen, waarbij het volgende getal bepaald wordt aan de hand van het laatst berekende getal.

De eerste keer dat we de formule gebruiken hebben we nog niets voor Xn=0is onbekend. Het eerste getal in de reeks wordt vaak gekozen op iets dat de computer kan meten en heet de seed (het zaadje).

Het resultaat is natuurlijk alleen maar ogenschijnlijk willekeurig daarom spreken we bij een computer meestal van een Pseudo Random Number Generator (PRNG) in plaats van een Random Number Generator (RNG). We gebruiken de formule met een aantal waardes voor a, b, m en de seed om het probleem met de PRNG aan te tonen.

De tabel laat het probleem duidelijk zien. Kiezen we a, b en mte klein dan is er geen sprake van een willekeurig getal. Zelfs wanneer we de getallen groter kiezen zien we nog een herhalende reeks getallen. Pas in de laatste kolom is er geen herhaling zichtbaar in de eerste 10 getallen.knip

De formule in combinatie met de in het voorbeeld gekozen getallen levert geen goede PRNG op. Omdat de getallen niet mooi verdeeld zijn spreken we van een slechte entropie. Een goede PRNG heeft geen makkelijk observeerbare periode en heeft een homogene verdeling van willekeurige nummers, ofwel een goede entropie.

Wanneer een PRNG een slechte entropie heeft, kan een aanvaller aannames gaan doen over de getallen die gebruikt worden in bijvoorbeeld een sleutel. Dan kan het zomaar haalbaar worden om binnen een niet al te lange tijd een sleutel te raden!

De zwakste schakel

In de voorbeelden die top op heden in deze blog genoemd worden lijken misschien zorgelijk, maar meestal gaat het op een nog veel eenvoudigere manier mis.

Bijvoorbeeld; een website moet voorzien worden van een certificaat. Die kun je bij een TTP op het Internet aanschaffen. De TTP heeft een goede dienstverlening en bied met een druk op de knop de private key en het certificaat ter download aan. Hoe heeft de TTP die private key gegenereerd, waar heeft hij deze allemaal opgeslagen? Heeft de TTP voldoende maatregelen genomen om een cyber inbraak te detecteren?

Private keys moeten altijd door de persoon of organisatie zelf gegenereerd worden. De TTP hoeft alleen de certificaat aanvraag met de publieke sleutel te zien. Onder andere banken nemen dit zo serieus dat ze speciale apparaten hebben voor het afhandelen van de versleuteling van de gevoeligste informatie, ook wel Hardware Security Module (HSM) genoemd, zodat de (private) keys altijd veilig gegenereerd kunnen worden en opgesloten zitten.

Een ander simpel voorbeeld; hoe langer een sleutel in gebruik is, hoe meer versleutelde data beschikbaar is voor een aanvaller om statistische analyses op te doen. Des te langer je dezelfde sleutel gebruikt, des te groter de kans dat hij uitlekt door zo’n analyse. Daarom moeten sleutels, regelmatig gewisseld worden. Dit is iets dat nogal eens vergeten wordt. Net zoals het opstellen van procedures wat er moet gebeuren als het vermoeden bestaat dat een sleutel is uitgelekt.

Weet u waar u allemaal gebruik maakt van encryptie en waar de sleutels bewaard worden?

“Stay tuned”voor het volgende deel van deze blog waarin eindelijk de blockchain aan bod komt!

Behandelde begrippen:

  • BEAST-aanval: Aanval op TLS waarbij gebruik gemaakt wordt van een slecht gekozen IV.
  • Cipher Block Chaining: Manier van versleutelen waarbij bij de versleuteling van ieder blok het resultaat van de versleuteling van het blok ervoor gebruikt wordt. Dit voorkomt dat patronen die aanwezig zijn in de brondata ook in de versleutelde data te zien zijn.
  • Electronic Codebook (ECB): Manier van versleutelen waarbij ieder blok data individueel versleuteld wordt.
  • Entropie: Mate van willekeurigheid van een set getallen of gegevens. Als iets volledig willekeurig is, dan heeft het een goede Entropie. Als iets niet volledig willekeurig is, heeft het een slechte Entropie.
  • Initialisatie Vector (IV): Getal of gegevens die gebruikt worden voor de versleuteling van het eerste blok data in een conversatie.
  • Nonce:  Een IV die maar éénmaal gebruikt wordt.
  • PRNG: Pseudo RNG. Een stukje programmatuur dat een RNG nabootst.
  • Replay Attack: Aanval waarbij de aanvaller een stuk (versleutelde) data opnieuw verstuurd om zo een bepaalde reactie te bewerkstelligen. De aanvaller hoeft hierbij niet perse te weten wat de inhoud van de data is.
  • RNG: Generator voor willekeurige getallen
  • Seed: Getal of input waarmee een PRNG geïnitialiseerd wordt.
Facebook
Twitter
LinkedIn

Van puntoplossingen naar all-in security

By | Blog

2018. Het jaar van één van de grootste datalekken ooit, namelijk bij hotelketen Marriott, waarbij de persoonsgegevens van een half miljard hotelgasten werden buitgemaakt [1]. Het jaar waarin het aantal DDoS-aanvallen op banken, overheid en bedrijven groter was dan ooit [2]. Maar ook het jaar waarin er nadrukkelijk aandacht werd besteed aan het weerbaarder maken van de Nederlandse maakindustrie (OT), bijv. in de vorm van het Cyber Security Centrum Maakindustrie in Twente [3].

Cybersecurity-incidenten kunnen een grote impact hebben op de continuïteit van uw bedrijfsvoering. Het is dan ook zaak om preventieve maatregelen te hebben genomen om het risico op incidenten, evenals de gevolgschade, zo klein mogelijk te houden. In het specifieke geval van cybersecurity zal elke onderneming vroeg of laat — zonder uitzondering — te maken krijgen met incidenten. Het is dan dus zaak deze problemen zo vroeg mogelijk te detecteren om schade zo veel mogelijk te voorkomen.

Welke puntoplossingen zijn er? De markt van cybersecurity wordt nog steeds sterk gedomineerd door puntoplossingen; oplossingen voor één of enkele aspecten van cybersecurity. Zo hebben anno 2019 praktisch alle ondernemingen ‘end-point security’ (bijv. een virusscanner) ingericht, en de beschikking over een firewall. Is de ‘BV Nederland’ daarmee voldoende voorbereid op een incident? In hoeverre hebben virusscanner en firewall overlap in functionaliteit, en belangrijker: waar zitten de gaten? In welke (andere) aspecten van cybersecurity dient te worden geïnvesteerd? Om antwoord te krijgen op deze vragen dient er een integraal beeld van het security-landschap te worden gevormd dat voortdurend wordt gemonitord en bijgewerkt.

Wat we regelmatig onderschatten is de noodzaak van zo’n integraal security-beeld van een onderneming. Waar elke puntoplossing zich richt op monitoring binnen de door de ontwikkelaar gestelde kaders, ontbreekt het aan samenhang over kaders heen. En dat is gek in een tijd waarin organisaties als het Nationaal Cyber Security Centrum (NCSC) [4] en de Europese politieorganisatie Europol [5] waarschuwen voor het snel toenemende aantal gerichte en Multi-vector aanvallen; aanvallen die vaak lastig te herkennen zijn wanneer slechts één vector wordt waargenomen door een puntoplossing, en juist een bredere, integrale aanpak vereisen. Een voorbeeld:

  1. Door een groot datalek bijeen partij voor ‘social media’ worden uw inloggegevens gelekt. Deze inloggegevens worden vervolgens publiek beschikbaar.
  2. De gelekte inloggegevens worden gebruikt om toegang te verkrijgen tot de Webmail-omgeving van uw organisatie. Er is een aantal pogingen benodigd om achter de juiste gebruikersnaam te komen, maar uw wachtwoord blijkt identiek aan het gelekte wachtwoord (uit stap 1).
  3. Nu er toegang is verkregen tot uw mailbox kan een cybercrimineel in alle rust meekijken met wat er gaande is in het bedrijf. Er wordt kennis vergaard over uw klanten, de orders die in en uitgaan, en over hoe uw netwerkinfrastructuur er uit ziet.
  4. Uit uw naam stuurt de aanvaller een e-mail aan de afdeling van uw organisatie die orders van klanten afhandelt, met het verzoek om toegang te krijgen tot hun dataopslag in de Cloud, waar alle documenten zijn opgeslagen. Dit wekt bij uw collega’s geen argwaan, aangezien de e-mail uit uw naam is verstuurd.
  5. Niet lang daarna wordt er via e-mail een order naar uw bedrijf gestuurd door een klant, waarna de order in de dataopslag wordt geadministreerd.
  6. De cybercrimineel ziet zijn kans schoon en stuurt, in uw naam, een nepfactuur naar uw klant met daarin het bankrekeningnummer van de cybercrimineel, in de hoop dat dit niet opvalt. Het gevolg: uw klant is zijn geld kwijt en u loopt de betaling mis.’

In bovenstaande schets herkent u meerdere vectoren: (a) threat intelligence, bestaande uit informatie over gelekte inloggegevens (stap 1), (b) e-mail (stap 2, 3 en 6), en (c) dataopslag in de Cloud (stap 4 en 5). Dit laat mooi het belang van kaderoversteigend monitoren zien omdat het geavanceerde aanvallen kan detecteren op basis van verrijking en correlatie.

SIEM

Het verkrijgen van een integraal beeld van uw onderneming op het vlak van cybersecurity wordt veelal bewerkstelligd door Security Information & Event Management (SIEM) in te richten. In een SIEM kunnen allerlei gegevensstromen worden ontsloten, geanalyseerd en gecorreleerd. Bij deze gegevensstromen kunt u denken aan het volgende:

  • Actieve gegevensstromen: het scannen van uw netwerk, bijv. in het kader van vulnerabilities.
  • Passieve gegevensstromen: het opvangen van informatiestromen in en uit uw netwerk d.m.v. een sensor die log-stromen opvangt en netwerkverkeer analyseert.

Het mag voor zich spreken dat zo’n systeem de nodige kosten en investeringen met zich meebrengt. In algemene zin wordt er steeds meer data gegenereerd en vergaard om security te monitoren; denk aan kantoorautomatisering en andere IT-infrastructuur, productiesystemen (OT) en natuurlijk de Cloud. Naast de configuratie en het beheer van het SIEM-systeem zelf dient er natuurlijk ook opvolging van meldingen en incidenten te worden ingericht. Voor al deze werkzaamheden zijn specialisten nodig. De vraag naar (échte) specialisten is groot, terwijl het aanbod klein is. Het kan dus lastig zijn specialisten aan uw onderneming te binden, bijv. vanwege de (beperkte) omvang van uw onderneming of de schaarste van specialisten op de arbeidsmarkt. Het uitbesteden van SIEM in de vorm van een ‘managed (security) service’ is dan ook een logische stap, óók voor het MKB.

Tesorion

De dienstverlening van Tesorion bestaat uit een ‘managed (security) service’, waarbij u het inrichten en beheer van uw security-landschap uit handen wordt genomen. Uw ‘trusted advisor’ is bekend met uw bedrijfsvoering en inventariseert uw huidige en gewenste maturiteit op het gebied van cybersecurity. Samen met u stelt hij/zij een plan op voor het uitbouwen van uw cybersecurity-landschap en eventueel het integreren van uw bestaande infrastructuur en componenten. Dit alles op basis van een hypermodern platform waarop uw infrastructuur wordt aangesloten en data wordt geanalyseerd. Dit platform, ontwikkeld door Tesorion, biedt u allerlei voordelen, zoals ‘privacy-by-design’, integrale ondersteuning voor IT, OT en Cloud, automatische mitigatie, etc. In een toekomstige blog-post vertel ik u er graag meer over

2019. Als het aan ons ligt wordt dit het jaar waarin de Nederland een stukje weerbaarder wordt tegen cyber-criminaliteit. Het jaar waarin u niet zelf het Internet hoeft af te struinen op zoek naar een puntoplossing die precies in uw laatste restje IT-budget past, maar kunt profiteren van de all-in dienstverlening van Tesorion. Het wordt tijd om all-in te denken; is mijn onderneming wel veilig? Welke risico’s accepteer ik en welke wil ik afdekken? Wij helpen u graag.

Bronnen

[1] https://www.computable.nl/artikel/achtergrond/security/6524811/1444691/datalek-bij-marriott-is-op-een-na-grootste-ooit.html

[2]https://www.agconnect.nl/artikel/nbip-ddos-aanvallen-blijven-evolueren

[3]https://novelt.com/nl/services/cybersecurity-centrum-maakindustrie/

[4]https://www.ncsc.nl/actueel/Cybersecuritybeeld+Nederland/cybersecuritybeeld-nederland-2018.html

[5]https://www.europol.europa.eu/internet-organised-crime-threat-assessment-2018

Facebook
Twitter
LinkedIn

Sleutels en encryptie

By | Blog

In de vorige blogs uit deze reeks zijn de hash en de checksum behandeld. In deze blog gaan we verder met de volgende onderliggende technologie voor de Blockchain; encryptie. Encryptie is het versleutelen van data met als doel dat derde partijen niet mee kunnen kijken.

De hash is een goede methode om te bepalen of de data die je zojuist ontvangen hebt integer is, of dat je net het juiste authenticatie token (wachtwoord, pincode, etc) hebt ontvangen.

In veel gevallen wil je echter dat vreemden niet in je data kunnen kijken, maar dat je dat zelf wel kan. We komen dan uit bij het wiskundige neefje van hashing, namelijk versleuteling, ook wel encryptie genoemd.

Encryptie is een omkeerbare bewerking op de data, met als gevolg dat de data na deze bewerking niet leesbaar is. Bij een goed encryptie algoritme is encryptie makkelijk en snel en is de versleutelde data heel moeilijk terug te herleiden.

Daarnaast is het een goed idee, als deze bewerking berust op een algemene standaard. Dat is met name handig als de informatie gecommuniceerd moet worden. De ontvangende partij moet namelijk op de hoogte zijn van hoe de encryptie werkt en dit ook verwerkt hebben in zijn software.

We willen dus niet dit:

Maar dit:

Met de ontvangende partij is een afspraak gemaakt over hoe de encryptie machines te gebruiken. Deze afspraak wordt ook wel de sleutel genoemd.

SYMMETRISCHE ENCRYPTIE

Een rekenvoorbeeld:
We gaan data versleutelen met het volgende (standaard) algoritme:
versleuteld = onversleuteld * sleutel(1) + sleutel(2)

En het tegenovergestelde:
onversleuteld = ( versleuteld – sleutel(2) ) / sleutel(1)

Met de ontvangende partij maken we de afspraak dat sleutel(1) gelijk is aan 5 en sleutel(2) gelijk is aan 2

In het hoofdstuk over hashing hadden we het woord Nederland al omgezet in een reeks getallen.

n=14 → 14 * 5 + 2 = 72

Het getal 72 is dus de versleutelde waarde van “n”. Op deze manier kunnen we het hele woord doen:

En de ontvanger kan dit woord weer terugvertalen door:

( 72 – 2 ) / 5 = 14 → 14 = n

Overigens is dit encryptie algoritme bijzonder slecht. Een wiskundige zal er niet heel lang over doen om de sleutels te achterhalen (het algoritme was immers niet geheim). De tijd die hij ervoor nodig heeft kan enigszins verlengd worden door hele grote getallen te nemen voor de sleutels.

In een opzet waarin zender en ontvanger dezelfde sleutel gebruiken noemen we de encryptie symmetrisch. Deze manier van werken heeft een nadeel, ook voor algoritmes van kwaliteit. Ik moet een afspraak maken met de ontvangende partij over de sleutels. Die kunnen niet op dezelfde manier verstuurd worden als de rest van de data, aangezien de sleutel dan misschien onderschept wordt.

De veiligste manier zou zijn om eerst naar de ontvanger te gaan en hem de sleutels in te fluisteren. Dat is nogal wat werk de eerste keer. En dat moet iedere keer opnieuw als er van sleutel gewisseld wordt.

ASYMMETRISCHE ENCRYPTIE

Stel dat we een algoritme zouden kunnen vinden waarvoor je een sleutel hebt voor het versleutelen van de data en een andere sleutel moet gebruiken voor het ontsleutelen. Dan zou je de ene sleutel kunnen opsturen naar de partij die jou geheime informatie moet sturen. De sleutel die gebruikt wordt voor het versleutelen van de gegevens kan niet gebruikt worden voor het ontsleutelen. Die hoeft dus niet geheim te blijven, die kan bijvoorbeeld gewoon per mail opgestuurd worden. Daarom noemen we die ook wel de “Public Key”. De sleutel die je houdt is de “Private Key”.

In een opzet waarin zender en ontvanger verschillende sleutels gebruiken noemen we de encryptie asymmetrisch.

Een voorbeeld hiervan en een van de oudste algoritmes op dit vlak, is het RSA (Rivest–Shamir–Adleman) algoritme.

Het nu volgende stuk leunt zwaar op een artikel van Burt Kaliski.

Bij RSA bestaan de Public en de Private Key ieder uit een set van twee getallen.

Voorbeeld; in alle berekeningen werken we alleen met gehele getallen (niets achter de komma):

  1. We beginnen met twee grote priemgetallen p en q. Voor ons voorbeeld nemen we twee kleine getallen. p=5 en q=11
  2. Via deze getallen bepalen we de getallen w, v en x (zie artikel). In ons geval
    1. x = 55
    1. w= 7
    1. v=3.
  3. Mijn public key is nu (x,v) = (55,3) en mijn private key is nu (x,w) = (55,7)

Nu ga ik “nederland” versleutelen met mijn public key en het RSA-algoritme:
versleuteld = onversleuteldv mod x

Voor de letter n die vertegenwoordigd werd door de waarde 14:
143 mod 55 = 2744 mod 55 = 49

49 is dus de versleutelde waarde van de letter n in ons voorbeeld. Om hem te ontsleutelen:
onversleuteld = versleuteldw mod x

497 mod 55 = 678223072849 mod 55 = 14

Als ik nu veilig heen en weer wil communiceren met een andere partij, dan bepalen we beiden onze eigen private key en berekenen daaruit onze public keys die we vervolgens uitwisselen.

Dan krijgen we dus dit:

SIGNEREN EN VERIFIEREN

Het leuke van dit algoritme is dat het ook omgekeerd gebruikt kan gebruiken. Als ik 14 versleutel met mijn private key kan ik hem weer ontsleutelen met mijn public key.

Probeer maar:

147 mod 55 = 9 en 93 mod 55 = 14

Zo op het eerste gezicht heeft het versleutelen met de private key geen nut, aangezien iedereen het kan ontsleutelen met de public key die openbaar is.

Maar bedenk dat de combinatie private/public key uniek is en dat de public key berekend wordt uit de private key. Het feit dat het bericht ontsleuteld kan worden bewijst dat het door de houder van de private key gestuurd is (aangenomen dat de private key niet gestolen is).

Het versleutelen van data met de private key wordt dan ook anders genoemd. Je versleutelt iets met de public key en de ondertekent iets met je private key. Maar in feite zijn het dus dezelfde algoritmes, alleen anders toegepast.

Overigens zijn niet alle encryptie algoritmes die in gebruik zijn geschikt voor het ondertekenen. RSA is dat wel, maar Diffie-Hellman bijvoorbeeld niet.

Als we afspreken elkaar fysiek te ontmoeten voor het uitwisselen van de sleutels, dan kunnen we daarna niet alleen veilig communiceren, we weten ook nog eens zeker dat we met elkaar praten.

Gezien het aantal partijen waarmee we veilig willen communiceren en waarvan we zeker willen zijn dat we met de juiste persoon praten is het niet handig als we bij al die partijen eerst op bezoek moeten.

Daarom zijn er bedrijven die zichzelf aanbieden als vertrouwde derde partij (Trusted Third Party; TTP). Zij verifiëren op aanvraag van b.v. jouw bank dat een publieke sleutel ook daadwerkelijk van die bank is. Na verificatie ondertekenen zij de publieke sleutel inclusief wat informatie over de partij met hun private key. Het resultaat noemen we een certificaat. Certificaten worden onder andere gebruikt voor https-websites.

Jij kunt altijd de ondertekening van het certificaat bevestigen en de geldigheid van het certificaat toetsen bij de TTP. Je haalt hiervoor eerst het ondertekende certificaat op bij de bank. De ondertekening ervan ontsleutel je met de publieke sleutel van de vertrouwde derde partij (zit standaard in je Internetbrowser). Hiermee wordt aangetoond dat het certificaat ook echt ondertekend is door de derde partij en dat deze derde partij heeft geverifieerd dat de publieke sleutel ook daadwerkelijk van de bank is. Nu beschik je over de publieke sleutel en wat gegevens van de bank en kun je je transacties versleutelen met de publieke sleutel van de bank en opsturen (en alleen de bank kan het weer ontsleutelen met hun private key).

“STAY TUNED”VOOR HET VOLGENDE DEEL VAN DEZE BLOGREEKS: “HET BREKEN VAN DE CODE”

BEHANDELDE BEGRIPPEN:

  • Asymmetrische Encryptie: Versleuteling waarbij de versleuteling met een key plaatsvindt en ontsleuteling met een andere key, die wel gerelateerd is aan de key die voor versleuteling gebruikt is. Voorbeelden zijn RSA en DSA.
  • Certificaat: Public key in combinatie met gegevens die de identiteit van de houder van de public key aangeven plus een door de TTP ondertekende hash van sleutel en identiteitsgegevens.
  • Encryptie: Het omzetten van een blok data in iets dat zonder kennis te hebben van de sleutel of het algoritme niet is terug te herleiden.
  • Key: Getal of blok data dat in combinatie met het encryptie algoritme gebruikt kan worden om iets te versleutelen.
  • Machtsverheffen: B.v. 43 is gelijk aan 4x4x4.
  • Modulo: Delen met rest. De Modulo is de rest uit de deling.
  • Private Key: Encryptiesleutel die gebruikt wordt in asymmetrische encryptie en geheimgehouden moet worden dor de eigenaar.
  • Public Key: Encryptiesleutel die gebruikt wordt in asymmetrische encryptie en openbaar is.
  • Signing: Versleutelen met de private key.
  • Sleutel: Zie key
  • Symmetrische Encryptie: Versleuteling waarbij beide partijen gebruik maken van dezelfde geheime sleutel. Voorbeelden zijn: Triple-DES (3DES; is niet meer veilig), Blowfish, Two-fish en AES.
  • Trusted Third Party (TTP): Partij die je vertrouwt om de identiteit van andere partijen te controleren.
  • Verifying: Ontsleutelen met de public key.

Vragen over dit artikel?
Neem dan contact op met onze specialist Roel Gloudemans. 

Facebook
Twitter
LinkedIn

Checksums en hashes

By | Blog

Checksums en hashes zijn aan elkaar gerelateerd en worden zeer veel gebruikt in de IT en op allerlei plaatsen; van databases, tot bestandssystemen en wachtwoord databases.

Hashing algoritmes, die een speciale vorm zijn van een checksum, worden ook gebruikt voor het maken van een Blockchain. Om te kunnen begrijpen hoe een Blockchain werkt komt de kennis over hashing algoritmes goed van pas.

Maar om te begrijpen wat een hash is beginnen we met een checksum.

Stel je voor, je hebt een trage en onbetrouwbare netwerkverbinding en je wilt iemand een plaatje sturen. Naarmate het plaatje groter wordt, wordt de kans groter dat er iets fout gaat in de transmissie. Een oplossing is om het plaatje twee of meerdere keren te verzenden. Als de ontvanger twee dezelfde plaatjes heeft, dan is de kans groot dat dat het juiste plaatje is.

Dit is echter wel een heel bewerkelijk en langdurig proces. Stel dat er een wiskundige bewerking is die het plaatje kan omzetten in iets veel korters. Dan zou dat na het plaatje verzonden kunnen worden om vast te stellen of het plaatje goed aangekomen is.

Deze wiskundige bewerking, ook wel een checksum algoritme genoemd, moet voor dit doel wel voldoen aan een aantal eisen:

1) HIJ MOET MAKKELIJK, SNEL EN BETROUWBAAR TE BEREKENEN ZIJN

Het hele punt in het voorbeeld was om tijd en resources te besparen. Daarnaast is het natuurlijk prettig als de checksum altijd dezelfde waarde geeft voor dezelfde data.

2) DE CHECKSUM MOET VERANDEREN ALS ER OOK MAAR ÉÉN BIT VAN HET PLAATJE ANDERS IS

Aangezien de checksum in dit geval minder data bevat dan het plaatje, is het niet te voorkomen dat er een ander plaatje is dat dezelfde checksum heeft. We spreken in zo’n geval van een collision (botsing). Er kunnen echter wel eisen gesteld worden aan het algoritme, om ervoor te zorgen dat de kans dat een collision ons tot een onjuiste conclusie leidt zo klein mogelijk is en zo toevallig mogelijk is.

  • Alle mogelijke checksums van alle mogelijke plaatjes zijn homogeen verdeeld, iedere checksum komt even vaak voor. Dit maakt de statistische kans dat we met een collision te maken krijgen zo klein mogelijk;
  • Theoretisch gezien zouden we een heel klein plaatje kunnen versturen dat zelfs nog kleiner is dan de checksum, in zo’n geval zou een collision nooit voor mogen komen ten opzichte van een andere plaatjes met gelijke grootte;
  • Een minieme wijziging aan het plaatje moet altijd tot een andere checksum leiden, anders zouden we nooit vast kunnen stellen dat het plaatje niet helemaal goed is overgekomen;

3) VOORSPELBARE OF VASTE LENGTE

De checksum moet een voorspelbare/vaste lengte hebben. Zo kan de ontvanger constateren dat het de hele checksum binnen heeft. Verder is het technisch gezien makkelijker om met iets van een vaste lengte te werken dan met iets van een variabele lengte.

Zie de afbeelding hierboven voor een voorbeeld van een simpel Checksum algoritme.

Als 77 over de lijn wordt gestuurd na het woord “nederland”, kan de ontvanger constateren of de ontvangst goed is. Maar is dit een goed checksum algoritme?

  • Makkelijk en snel is het wel;
  • Als er één letter veranderd, komt er een ander getal uit het algoritme, maar als er een tweede letter veranderd wordt, zou het kunnen dat het resultaat weer 77 is, bijvoorbeeld “neaerlandg” heeft in dit geval ook een hash van 77. Sterker nog, de hashes zijn ook niet homogeen verdeeld, 0 zal nooit voorkomen en 1000 ook niet. Veel hashes zullen tussen de 50 en 100 zijn;
  • Een vaste lengte heeft deze methode zeker niet. Als we ons beperken tot landnamen zal de lengte variëren tussen twee en drie cijfers, voor hele stukken tekst kan het van alles zijn;

Het getoonde checksum algoritme is dus niet heel goed, maar het illustreert wel wat een checksum in essentie is.

Waar een checksum prima werkt als maatregel tegen onopzettelijke transmissie en opslagfouten, werkt het niet noodzakelijk goed als middel tegen opzettelijke veranderingen in de data.

Dit is bijvoorbeeld relevant als het plaatje dat verstuurd wordt bijvoorbeeld op een paspoort geplaatst moet worden. Het moet namelijk wel jouw foto zijn en niet die van een ander die met jouw paspoort op reis wil.

Om dit te bereiken is er een speciale klasse van checksum algoritmes, de hash. Ons voorbeeld is een hele slechte hash functie; uit 77 kan het aantal letters ongeveer bepaald worden. Dat maakt het maken van een woord dat hetzelfde aantal letters heeft en dezelfde hash een peuleschil.

Daarom moeten we nog een extra eis toevoegen voor een hashing algoritme:

4) MOEILIJK TERUG TE HERLEIDEN

Op basis van de hash waarde moet zo min mogelijk informatie vrijgegeven worden over de oorspronkelijke data. Het moet zo goed als onmogelijk zijn om op een korte tijdschaal vanuit een gegeven hash waarde alternatieven (collisions) voor de oorspronkelijke data te berekenen.

Stel dat je een setje overschrijvingen klaar hebt voor de bank. Deze beveilig je dan door de hash te berekenen en die mee te sturen met de overschrijvingen. Zo kan de bank constateren dat ze de informatie in goede orde hebben ontvangen en dat niemand de gegevens heeft aangepast.

Normaal gesproken zijn hash algoritmes openbaar. Een aanvaller zou dus kunnen proberen om een combinatie van overschrijvingen te vinden dat tot dezelfde hash leidt (een collision). Als hij daarna de betreffende rekeningnummers aanvraagt zou hij je kunnen beroven.

Hash waardes hebben typisch een lengte van 128 of 256 bits. Bij een goed algoritme moet een aanvaller het gemiddeld een 1 met 39 nullen keer proberen, totdat hij een combinatie heeft met dezelfde hash waarde. Met 1000 pogingen per seconde is dat nog altijd meer dan een 1 met 27 nullen in jaren. Ter vergelijking, de leeftijd van het Heelal is iets met 10 nullen in jaren.

Bij het hashen kan een extra voorziening getroffen worden om het breken van de hash te bemoeilijken. De hash kan “gesalt” worden. Aan de te hashen data, wordt extra data toegevoegd in de vorm van een al dan niet geheim wachtwoord. We spreken dan van een “salted hash”. In de volgende Blog zal uitgelegd worden hoe het “Salt” helpt bij de bescherming van de gegevens.

Een ander toepassingsgebied voor hashes is de opslag van wachtwoorden en pincodes. Door de hash van een wachtwoord of pincode op te slaan kan een applicatie verifiëren dat de gebruiker het goede wachtwoord heeft ingevoerd zonder het wachtwoord zelf op te slaan (door de invoer opnieuw te “hashen”).

Als de database met hashes om de een of andere reden per ongeluk uitlekt, dan liggen de wachtwoorden niet direct op straat. Hopelijk heeft de eigenaar van de site wel lange en salted hashes gebruikt.


“STAY TUNED” VOOR HET VOLGENDE DEEL VAN DEZE BLOGREEKS: “CRACKING THE HASH”

BEHANDELDE BEGRIPPEN

  • Algoritme: Manier van berekenen.
  • Checksum: Controlegetal, berekend over een blok data met als doel het vaststellen van een foutloze overdracht van gegevens. Een voorbeeld van een checksum algoritme is de Cyclic Redundancy Check (CRC).
  • Collision: Wanneer twee verschillende blokken data dezelfde hash of checksum opleveren.
  • Hash: Controlegetal, berekend over een blok data, met als doel het op een veilige manier kunnen vaststellen van de integriteit van de data. Voorbeelden van veilige hash Algoritmes: SHA-2en SHA-3. hash algoritmes die vermeden moeten worden: MD5, SHA-0 en SHA-1.
  • Salted Hash: Het toevoegen van extra data aan het datablok waarover de hash berekend wordt, met als doel het terug herleiden van de hash naar de oorspronkelijke data moeilijker te maken.

Vragen over dit artikel?
Neem dan contact op met onze specialist Roel Gloudemans. 

Facebook
Twitter
LinkedIn

5 stappen om de security awareness binnen de organisatie te vergroten

By | Blog

Cybersecurity is een samenspel van techniek, mens en organisatie. De menselijke factor is essentieel om de digitale dreigingen die op organisaties afkomen het hoofd te kunnen bieden. De techniek schept de voorwaarden, de organisatie maakt de processen inzichtelijk en de mensen zijn verantwoordelijk. Mensen bewust maken van het belang van cybersecurity is cruciaal voor het succes van de organisatie. Welke stappen moet je als organisatie zetten om de security awareness binnen je organisatie te vergroten?

Stap 1: Wat is de aanleiding om de security awareness binnen de organisatie te vergroten?

Voordat het traject start om de security awareness binnen een organisatie te vergroten is het belangrijk om goed te weten wat de aanleiding eigenlijk is. De meest effectieve manier om dit te realiseren is door de persoon die verantwoordelijk is voor het securitybeleid binnen de organisatie (vaak is dit de CISO) uitgebreid te interviewen. Hierdoor ontstaat inzicht in events die de directe aanleiding vormen om de organisatie meer security aware te maken. Spelen veranderingen in wet- of regelgeving een rol? Is de organisatie het slachtoffer geweest van een hack? Of heeft recent een andere security breach plaatsgevonden?

Dit is ook het moment om eerdere maatregelen die zijn genomen en campagnes die al zijn uitgerold om medewerkers te beïnvloeden te evalueren, om te weten welke initiatieven succesvol zijn geweest en passen bij de beoogde doelgroep.

Stap 2: Voer een nulmeting uit

Voor de start van de uitvoering van een security awareness programma vindt een nulmeting plaats. Bepalen wat de status is van kennis, houding en gedrag ten aanzien van security binnen de organisatie is onmisbaar. Een nulmeting wordt vaak uitgevoerd door middel van een enquête. Deze enquête kan organisatiebreed of juist bij een selecte groep medewerkers worden uitgezet. Tijdens de enquête komen typische kennisvragen aan bod (Weet je wat het wachtwoordbeleid is? Wat mag je lokaal opslaan en wat in de cloud?) en worden afwijkingen van de gewenste houding ten opzichte van het beleid in kaart gebracht door te vragen wat medewerkers binnen het bedrijf ‘zien gebeuren’. Ook vragen we naar het gedrag van de geënquêteerde persoon zelf (sluit je ’s avonds je computer af?). Op basis van de uitkomsten van de enquête kan een uitspraak worden gedaan over de mate waarin ongewenst gedrag voorkomt en bepalen we op welke van de drie eerdergenoemde topics (kennis, houding en gedrag) de focus ligt. Door de enquête op later datum te herhalen kun je meten of het doel is bereikt.

Stap 3: Stel de prioriteiten vast

Bepaal samen met de verantwoordelijke van het awareness traject welke zaken het eerst moeten worden opgepakt. Deze prioritering vindt op basis van het belang voor de organisatie plaats. Hierbij kan gekeken worden naar de directe financiële gevolgen van een mogelijk incident. Wat is de impact van het uitvallen van systemen door een hack (Welke inkomsten loopt de organisatie mis als producten niet geleverd kunnen worden of welke invloed heeft een datalek op de aandelenkoers van het bedrijf?) Maar ook indirecte kosten (bijvoorbeeld reputatieschade) of negatieve langetermijneffecten (bijvoorbeeld doordat niet wordt voldaan aan wet- en regelgeving) spelen bij het maken van afwegingen een rol.

Stap 4: Maak een tailor-made actieplan

Zoals eerder gesteld: de techniek schept de voorwaarden, organisaties de processen en de mensen zijn verantwoordelijk. Mensen opleiden is cruciaal voor het succes van de organisatie. Een awareness traject richt zich op het overbrengen van kennis en/of het veranderen van de houding en het gedrag van medewerkers. In deze fase wordt bepaald welke middelen het beste aansluiten bij de boodschap die de organisatie wil overbrengen. De mogelijkheden zijn zeer divers. In sommige gevallen is het organiseren van enkele workshops afdoende om de beoogde verandering te realiseren, maar vaak is meer nodig. Met name in kennis-gerichte trajecten wordt steeds meer gebruik gemaakt van online trainingen. Betrokkenheid van het management van de organisatie is essentieel; het trainen van het middenkader helpt bij het verspreiden van de boodschap binnen de organisatie. Om medewerkers de gevolgen van security breaches te laten ervaren en zodoende een blijvende indruk te maken, wordt steeds meer gebruik gemaakt van gamification. Ook het inzetten van mystery guests die kwetsbaarheden binnen de organisatie blootleggen zorgen voor extra aandacht voor het onderwerp en soms zelfs voor een schokeffect. Daarnaast kunnen medewerkers en management in relatief weinig tijd op de hoogte worden gebracht door aan te sluiten bij werkoverleggen. Koffiebekers, flyers, posters en artikelen in de nieuwsbrief van de organisatie zorgen ervoor dat de boodschap voortdurend onder de aandacht blijft.

Stap 5: Monitor & optimaliseer

Om ervoor te zorgen dat mensen binnen een organisatie security aware blijven is een regelmatige ‘refresher’ vereist. De boodschap moet steeds opnieuw onder de aandacht van de medewerkers worden gebracht, zodat security awareness onderdeel wordt van het DNA van de organisatie. Regelmatige metingen zijn nodig om vast te stellen of het gewenste effect (nog) bereikt wordt. Het security awareness programma richt zich vervolgens op basis van de uitkomsten van deze checks (plan – do – check – act) op nieuwe doelen.

Tesorion heeft veel ervaring met het uitvoeren van security awareness programma’s. Neem voor meer informatie of vragen contact op met salessupport@tesorion.nl.

Facebook
Twitter
LinkedIn

​Datagovernance: de sleutel voor data gedreven ondernemen

By | Blog

Iedereen wil tegenwoordig ‘data-driven’ worden. Hoe dit het best moet worden aangepakt is de grootste vraag. Een top-down benadering en daarmee de status van data als een vast directieonderwerp vaststellen is cruciaal. Alleen wanneer op directieniveau helderheid is wat data voor het bedrijf kan betekenen en wat de voordelen kan iedereen er mee aan de slag gaan.

Om de data-governance binnen uw bedrijf te organiseren zijn een aantal stappen te onderkennen. Dit zijn de belangrijkste basisaspecten:

  1. Eigendom en beheer: Van wie is de data? Wie beheert de data? Door goed beheer en eigenaarschap af te spreken en vast te leggen kunnen datastandaarden en datatoegang beter worden geregeld. Wijzigingen op datasets (door andere operationele (ICT) processen) worden altijd voorgelegd aan de beheerder. Uiteraard werkt dit alleen als de data dit ondersteund. Een datamanagement policy zoals dit kan niet zonder de steun van de dataeigenaren. Alleen wanneer het hoger management achter de principes en ideeën van datamanagement staat en dit vertaalt in beleid, wordt de waarde van de data voor de bedrijfsvoering echt bekrachtigd. 
  2. Kwaliteit: Hebben we alles wat we willen weten? Zitten er geen gaten in? Is de data correct, consistent, (tijdig) beschikbaar, zonder dubbelingen? Dat zijn bij elkaar de assen waarlangs datakwaliteit te meten is. Door in eerste instantie te richten op volledigheid, correctheid en tijdigheid kan relatief snel en eenvoudig de datakwaliteit worden verhoogd. 
  3. Privacy: Privacy draait om gegevens die over personen gaan: een onderwerp dat veel aandacht heeft rondom de compliancy regels die gelden bij het voldoen aan de privacywet (Algemene Verordening Gegevensbescherming/AVG). 
  4. Security: Security speelt bij alle data: wie zijn de gebruikers en wat is er voor nodig om de data toegankelijk te maken voor hen die de data nodig hebben en daartoe gemachtigd zijn? 
  5. Interfaces: De verbinding tussen systemen waar data doorheen wordt gepompt is een interface. Die interfaces worden belangrijker als er steeds meer over de grenzen van afdelingen wordt samengewerkt. Een gemeenschappelijk platform waarin data terechtkomt en terug te vinden is, een data lake, is een belangrijke randvoorwaarde voor het succesvol kunnen uitvoeren van datamanagement.
  6. Masterdata: Masterdata betreft de data die in verschillende bedrijfsprocessen wordt gebruikt. De kwaliteit en samenhang van deze data wordt belangrijk gevonden en moet overkoepelend worden beheerd. 
  7. Metadata: Gegevens óver je gegevens. Wat betekent deze kolomnaam? Wat is de kwaliteit van deze tabel? Met welke andere gegevens is die gekoppeld? Metadata moet goed en centraal vastgelegd worden. 

Wanneer bovenstaande basisprincipes worden ingesteld binnen uw bedrijf kan de waarde en effectiviteit zeer snel toenemen. De consultants van Tesorion hebben veel ervaring met het implementeren van data-governance. 

Vragen over dit artikel?
Neem dan contact op met onze specialist Edwin van den Heijkant. 

Facebook
Twitter
LinkedIn

Blockchain, bitcoin, cryptovaluta, bent u ook een beetje de draad kwijt?

By | Blog

Blockchain en cryptovaluta zijn twee termen die je tegenwoordig wel een aantal maal per week tegenkomt in de media. De ene keer gaat het over de koersen, de andere keer over de beroving van een ‘Exchange’.  Iedereen heeft het erover en iedereen kan wel een aantal kenmerken noemen van blockchain en cryptovaluta.

Maar hoe zit de onderliggende technologie nu in elkaar? Waarom is het blijkbaar toch mogelijk om geld te roven, terwijl blockchain wordt beschouwd als veilig? Waarom zijn er enorme hopen hardware nodig voor het minen en wat is dat überhaupt?

Dieper begrip

Velen weten een deel van de vragen te beantwoorden, bij weinigen lukt dat allemaal. Om daadwerkelijk te kunnen bepalen wat deze verschijnselen voor ons dagelijks leven kunnen betekenen en om nieuwe toepassingsgebieden te kunnen ontwikkelen is een dieper begrip nodig.

Deze blog is de eerste uit een reeks waarin dieper wordt ingegaan op de achterliggende techniek, die sterk leunt op cryptografie. De blogreeks zal dan ook starten met het belichten van de cryptografische achtergrond en zal, omdat we op een zeker moment toch alle ingrediënten voorhanden hebben, een klein uitstapje maken naar certificaten, zoals die gebruikt worden op bijvoorbeeld veilige (https) websites.

Naast de blogs waarin de concepten worden uitgelegd komen er ook blogs over de problemen, zwaktes en veelgemaakte vergissingen met betrekking tot deze concepten, om zo een compleet beeld te geven over de inzet van technologie en waar op te letten wanneer van deze technologie gebruik gemaakt wordt.

Risico voor veiligheid

Veel van de vergissingen liggen voor de hand, maar toch worden ze keer op keer gemaakt en vormen ze uiteindelijk een groot risico voor de veiligheid en privacy. Als voorbeeld kan hier genoemd worden dat er nog steeds enorm veel websites zijn die wachtwoorden niet of onvoldoende versleuteld opslaan. Dit terwijl het op de juiste manier omgaan met wachtwoorden weinig extra werk is.

De gehele blogreeks:

  • Checksums en hashes​; checksums en hashes zijn controlegetallen. Hiermee kun je controleren of een stukje informatie waarover het getal berekend is, onveranderd is sinds het getal berekend was.
  • Sleutels & encryptie; encryptie of versleuteling is het omzetten van informatie in “geheimtaal” die alleen door gebruik van de sleutel terug te herleiden is tot de oorspronkelijke data.
  • Blockchain; dit is de gebruikte basistechniek voor toepassing in de cryptovaluta die gebruik maakt van hashes, sleutels en encryptie.
  • Bitcoin; de bekendste cryptovaluta gebruiken we als voorbeeld in deze blogreeks.
  • Andere blockchain toepassingen; andere mogelijke en nuttige toepassingen van blockchain technologie.

Voor ieder onderwerp, met uitzondering van de laatste, komen er twee blogs. Eén met de uitleg en één over de donkere kant van de besproken technologie.

Vragen over dit artikel?
Neem dan contact op met onze specialist Roel Gloudemans. 

Facebook
Twitter
LinkedIn