Mijlpaal: CWB vier jaar klant

🎉 We zijn trots om te mogen delen dat we een bijzondere mijlpaal hebben bereikt: Het Cyber Weerbaarheidscentrum Brainport (CWB) is al 4 jaar een gewaardeerde klant van ons! 🙏

In deze vier jaar heeft onze cybersecurityspecialist Matthijs Nelissen een portaal geperfectioneerd waarop dreigingsinformatie en cybersecurity artikelen met best practices geplaatst worden. Verder leverde Cyber4Z ondersteuning bij alle voorkomende technische vraagstukken. Ook hebben Arissa D'Fonseca, Yu-Mei Liebregt, Rob van den Heuvel, Thierry-Paul van der Vliet en Morrison Toussaint onze klant fantastisch mogen helpen met allerlei zaken. Hierdoor draagt Cyber4Z een steentje bij aan het verhogen van de weerbaarheid in de Brainport regio en daarbuiten omdat het CWB zich richt op de landelijke hightech maakindustrie!

We zijn ontzettend dankbaar voor het vertrouwen dat het CWB in ons heeft gesteld en we kijken uit naar de voortzetting van deze prettige samenwerking voor nog vele jaren.

Oktober: de Europese Cybersecurity (Awareness) Maand

Oktober staat in Europa bekend als de Cybersecurity maand. Deze maand staat in het teken van het vergroten van het bewustzijn rondom cybersecurity en hoe individuen, organisaties en overheden zichzelf kunnen beschermen tegen cyberdreigingen.

In een tijd waarin cyberaanvallen en datalekken aan de orde van de dag zijn, is bewustwording de eerste stap tegen deze dreigingen. Deze maand worden er onder de naam Alert Online allerlei activiteiten rondom het onderwerp cybersecurity georganiseerd. Zo kunt u bijvoorbeeld een tool gebruiken om een website of URL te controleren of kun je een workshop volgen over de volwassenheid van data protectie binnen uw organisatie.

Cyber4Z: Oog voor Cybersecurity

Ook Cyber4Z draagt actief bij aan het vergroten van het cybersecuritybewustzijn. Als toonaangevend bedrijf op het gebied van cybersecuritydiensten biedt Cyber4Z een breed scala aan oplossingen die organisaties helpen zich te beschermen tegen cyberaanvallen en datalekken. We bieden verschillende diensten aan, waaronder:

  1. Assesments
  2. Certificeringen
  3. Security Awareness Tranining
  4. CISO as a service
  5. AVG compliance in één dag

Meer informatie over bovenstaande diensten en aanvullende diensten is te vinden op onze website onder het kopje ‘Diensten’.

Laten we samen deze maand een veiligere online omgeving creëren voor iedereen!

Vandaag is het Wereld Normalisatiedag!

Deze dag werd opgericht door IEC (International Electrotechnical Commission), International Telecommunication Union en ISO (International Organization for Standardization).

Allemaal organisaties die zich bezig houden met normalisatie van bijvoorbeeld pentesten of het Information Security Management Systems (ISMS). We kunnen deze dag niet echt vieren maar het is wel een goed moment om na te denken over uw certificeringstraject en hoe wij u daarbij kunnen ondersteunen: Onze Diensten.

Internationale koffiedag

Op 'Internationale Koffiedag' combineren we onze passie voor cybersecurity met onze liefde voor duurzaamheid.

We trakteren onszelf graag op een kopje duurzame koffie in onze Cyber4Z mokken terwijl we nadenken over de digitale beveiliging van morgen. Als je geïnteresseerd bent in een boeiend gesprek over cybersecurity, nodigen we je graag uit om langs te komen voor een kopje koffie.

Emirhan Sarikaya presenteert op Tech Know Fest

We zijn trots om aan te kondigen dat onze security consultant Emirhan Sarikaya een presentatie gaat geven op de eerste editie van het Tech Know Fest op 28 september 2023, georganiseerd door The.NextGen.

Tijdens de presentatie vertelt hij hoe hij een beveiligingslek had ontdekt in de jira omgeving van het RIVM en hoe kwaadwillende dit ook kunnen doen en kunnen misbruiken. Daarnaast geeft hij ook trips en tricks om de beveiliging van organisaties te verhogen tegen soortgelijke aanvallen en worden de mitigerende factoren besproken. We kijken uit naar een inspirerende presentatie op Tech Know Fest!

De cyberaanval van Airbus laat zien hoe belangrijk veilig softwaregebruik en beveiliging van de toeleveringsketen zijn

Bij een recent cyberveiligheidsincident werd Airbus het slachtoffer van een cyberaanval afkomstig van het gecompromitteerde account van een medewerker van Turkish Airlines. Wat leidde tot de compromittering van het account? Het gebruik van illegale software door de werknemer. Dit evenement toont opnieuw het belang aan van het gebruik van veilige software en het handhaven van de veiligheid van de toeleveringsketen in de gekoppelde digitale omgeving van vandaag.

De cyberaanval op Airbus onderstreept de toenemende bezorgdheid over het gebruik van ongeoorloofd of illegaal gebruik van software. De medewerker van Turkish Airlines introduceerde onbedoeld zwakke plekken door gebruik te maken van de gehackte software, waardoor de zogenaamde hacker 'USDoD' een weg binnen Airbus kreeg.

De uitdaging van supply chain-beveiliging

Naast het gecompromitteerde softwareprobleem onthult de Airbus-hack ook de kwetsbaarheid van toeleveringsketens. Bedrijven vertrouwen op ingewikkelde netwerken van partners en leveranciers, waardoor ze vatbaar zijn voor aanvallen via deze onderling verbonden kanalen. Cybercriminelen maken steeds vaker misbruik van deze kwetsbaarheden om toegang te krijgen tot waardevolle doelen, zoals in dit geval te zien is.

Om dit aan te pakken moeten organisaties een alomvattende aanpak van cyberbeveiliging hanteren, inclusief beveiligingsmaatregelen voor de toeleveringsketen. Het is niet voldoende om alleen uw netwerk te beschermen; u moet er ook voor zorgen dat uw partners in de toeleveringsketen strikte veiligheidsrichtlijnen volgen. Als uw bedrijf hierbij hulp nodig heeft, neem dan gerust contact met ons op, want wij kunnen u helpen met zowel veilig softwaregebruik als beveiliging van de toeleveringsketen.

DEF CON-herinnering: Amerikaanse sprekers vroegen om Europese privacyregels

Op deze Throwback Thursday gaan we terug naar deze zomer toen we de hackersconferentie DEF CON in Las Vegas bezochten.

Onze privacyconsulent Andra-Elena Albisoru was dol op het privacydorp. "Ik vond het geweldig omdat je kon zien dat alle veranderingen waar de Amerikaanse sprekers om vroegen, regels zijn die al jaren in Europa gelden. Het geeft een beetje vertrouwen in het gegevensbeschermingsbeleid en de wetten die we hier hebben." Er is natuurlijk een reden dat de VS momenteel niet dezelfde privacyregels hebben. "Meestal wil de overheid nog steeds controle hebben over de gegevens 'omwille van de nationale veiligheid'. Maar ik denk dat het een beleidskwestie is waar de staten niet mee overweg kunnen als het gaat om het harmoniseren van de regels. Dat kan niet op federaal niveau', legt Andra uit. 'Californië heeft de beste regels op het gebied van gegevensbescherming, maar ik denk dat het veel tijd en middelen kost om vijftig andere staten zover te krijgen dat ze hetzelfde gaan doen."

DEF CON 2023

Met Cyber4Z en het team van Neoforce hebben we DEF CON 2023 bijgewoond in Las Vegas!

Het bijwonen van deze conferentie op zo'n speciale plek was een enorme ervaring. De dingen die we hebben gezien en gehoord hebben ons inspiratie en inzichten gegeven die we weer kunnen toepassen in ons werk. We sluiten niet uit dat we deze conferentie weer gaan bezoeken!

Cyber4Z doet mee aan de Gymforce Challenge

Bij Cyber4Z doen we geregeld aan teambuilding en het verbeteren van competenties buiten het werkveld. Afgelopen maand hebben we dit in extreme vormen gedaan door mee te doen aan The GymForce Challenge.

Tijdens deze uitdaging in de vorm van een soort ‘Kamp van Koningsbrugge’ zijn we uit onze comfortzone gestapt door samen over een hindernisbaan te gaan en met bepakking door de Biesbosch polder te lopen. Met deze challenge hebben we onze samenwerking binnen het team verbeterd en hebben we meer geleerd over wie we zijn en wat we allemaal kunnen. Het is zeker een event geweest waar we nog lang over gaan napraten.

Hieronder onze co-owner en strijder Matthijs Nelissen in de Biesbosch polder.

Het spannende leven van een bugbountyhunter: ‘Wees niet bang om je aan te melden bij een hackersplatform’

Hackers kunnen enorme schade aanrichten bij bedrijven, dus het is begrijpelijk dat bedrijven alles eraan doen om niet gehackt te worden. Daarom bestaan er verschillende bugbountyprogramma’s en online fora waarbij ethische hackers worden uitgenodigd om bugs in de beveiliging van bedrijven op te sporen. Een van deze ethische hackers is Emirhan Sarikaya van Cyber4Z: “Het is vooral veel achter de computer zitten.”

Het leven van een bugbountyhunter is misschien niet zo sensationeel als je zou verwachten. Emirhan is aangesloten bij verschillende hackersfora zoals HackerOne en Bugcrowd waarbij hackers door bedrijven worden uitgenodigd om kwetsbaarheden in hun beveiliging te vinden. “Het is vooral veel achter de computer zitten en speren naar mogelijke bugs of zwakke plekken,” legt Emirhan uit Hij geeft als voorbeeld het onderzoeken van een zoekbalk op een website. "Als ik een website open, kijk ik hoe er op die site gezocht kan worden. Wordt er bijvoorbeeld gebruikgemaakt van een database? Dan ga ik kijken hoe ik die database kan laten crashen om een bug op te sporen," voegt Emirhan toe. Zodra hij een bug heeft gevonden, meldt Emirhan dit op een hackersforum of maakt hij gebruik van een zogenaamde Coordinated Vulnerability Disclosure (CVD), waarbij afspraken worden gemaakt tussen de melder en de betreffende organisatie.

Emirhan besteedt zijn vrije tijd aan het onderzoeken van bugs. "Ik doe dit als hobby omdat ik cybersecurity interessant vind en het fascinerend vind hoe alles werkt. De beloningen die je krijgt, zijn ook een goede stimulans voor dit werk." Maar Emirhan blijkt niet alleen gepassioneerd te zijn, hij is ook buitengewoon bekwaam. "Een recent succesverhaal is dat ik een kwetsbaarheid heb ontdekt in een live chat van een online casino. Hierdoor konden kwaadwillenden de controle overnemen van iedereen die op dat moment aan het gokken was. Dit was natuurlijk een ernstige kwetsbaarheid, die ook beloond werd. Over het algemeen zijn bedrijven blij als we een bug melden, omdat ze deze kunnen verhelpen voordat kwaadwillenden er misbruik van maken. Daarom wil ik bedrijven het volgende meegeven: wees niet bang om je aan te melden bij een hackersplatform om je te laten controleren op bugs. Zo voorkom je veel leed voor je klanten."

Interview met verzekeraar Centraal Beheer

Onlangs werd onze mede-eigenaar Mathe Grippeling geïnterviewd door Centraal Beheer over onze verzuimverzekering bij de verzekeraar. Hij zegt hierover: "Een verzuimverzekering vind ik een belangrijke verzekering als je medewerkers hebt". Het volledige interview lees je hier.

Bescherm je social media op Social Media Dag!

Vandaag vieren we Social Media Dag. Op zulke dagen is het extra belangrijk om je online veiligheid prioriteit te geven en je bewust te zijn van beveiligingsmaatregelen die je kunt nemen om je sociale media beter te beveiligen. Hieronder enkele tips:

  1. 𝟭. 𝗚𝗲𝗯𝗿𝘂𝗶𝗸 𝘀𝘁𝗲𝗿𝗸𝗲 𝘄𝗮𝗰𝗵𝘁𝘄𝗼𝗼𝗿𝗱𝗲𝗻: Zoals altijd is het belangrijk om unieke en complexe wachtwoorden te gebruiken voor al je social mediaprofielen. Vermijd hergebruik en gebruik waar het kan two- factor authentication.
  2. 𝟮. 𝗪𝗲𝗲𝘀 𝗮𝗹𝗲𝗿𝘁 𝗼𝗽 𝗽𝗵𝗶𝘀𝗵𝗶𝗻𝗴: Wees voorzichtig met het openen van verdachte links of het delen van persoonlijke informatie via berichten.
  3. 𝟯. 𝗖𝗼𝗻𝘁𝗿𝗼𝗹𝗲𝗲𝗿 𝗽𝗿𝗶𝘃𝗮𝗰𝘆𝗶𝗻𝘀𝘁𝗲𝗹𝗹𝗶𝗻𝗴𝗲𝗻:Controleer regelmatig de privacyinstellingen van je sociale mediaprofielen en beperk hiermee de zichtbaarheid van je persoonlijke gegevens.
  4. 𝟰. 𝗨𝗽-𝘁𝗼-𝗱𝗮𝘁𝗲 𝗯𝗹𝗶𝗷𝘃𝗲𝗻: Zorg ervoor dat je apps up-to-date zijn, omdat updates vaak belangrijke beveiligingspatches bevatten die je beschermen tegen bekende kwetsbaarheden.

VIER DE KRACHT VAN CAPSLOCK OP CAPSLOCK DAG

DE CAPSLOCKS DAG IS IN HET LEVEN GEROEPEN DOOR SOFTWARE ONTWIKKELAAR DEREK ARNOLD OM MENSEN ERAAN TE HERINNEREN DAT NIET ALTIJD ALLES IN HOOFDLETTERS GETYPT HOEFT TE WORDEN!! MAAR GEBRUIK CAPSLOCK NIET BIJ HET INLOGGEN, WANT DAN WERKT JE WACHTWOORD NIET MEER..

Cyber4Z verwelkomt Emirhan Sarikaya als nieuwe collega

Op 1 juli treedt Emirhan Sarikaya bij ons in dienst. Hij wil zichzelf graag even voorstellen:

"Mijn naam is Emirhan Sarikaya, een 21-jarige cybersecurity specialist met een passie voor Webapplicatie pentests, API testing en het ontdekken van kwetsbaarheden in cloudoplossingen, zoals AWS, GCP en IBM Cloud. Daarnaast ben ik ook zeer geïnteresseerd in het verkennen van AD & AAD. Mijn expertise omvat een breed scala aan complexe technische vaardigheden en diepgaande kennis van beveiligingsmechanismen. Met een scherp oog voor detail en een ongeëvenaarde toewijding aan het opsporen van kwetsbaarheden, ben ik vastberaden om systemen en gegevens te beschermen tegen potentiële cyberdreigingen. Ik heb mezelf deze vaardigheden aangeleerd gedurende de afgelopen jaren, waardoor ik mezelf als een autodidact op dit gebied beschouw."

Nogmaals van harte welkom, Emirhan!

Cyber4Z verwelkomt nieuwe collega: Calvin Hendriks

Op 1 juli komt Calvin Hendriks bij ons in dienst. Hij stelt zichzelf graag even voor:

"Mijn naam is Calvin Hendriks en ik start binnenkort bij Cyber4Z als Security Consultant. De afgelopen 3 jaar heb ik verschillende rollen vervuld als consultant. Van SecDevOps tot aan Mystery Guest visits en Phishing campagnes. Gedurende deze tijd heb ik echter ook een passie ontwikkelt voor pentesten en ethical hacking. Bij cyber4Z krijg ik de kans om me hierin verder te ontwikkelen. Ik kijk er daarom erg naar uit om samen nieuwe uitdagingen aan te gaan om de IT omgeving van klanten zo een stukje veiliger te maken. "

Nogmaals welkom Calvin!

Waarom is supplier management belangrijk?

Supplier management begint bij het selecteren van leveranciers en met hen afspraken maken. Het is belangrijk om hiermee bezig te zijn omdat slechte afspraken grote gevolgen kunnen hebben, omdat er dan niet duidelijk is wie er verantwoordelijk voor is. Onze security consultant Yu-Mei Liebregt vertelt ons wat het precies inhoudt en welke risico’s er verbonden zijn aan dit onderwerp. “Hoe afhankelijk wil jij zijn van je leverancier?”

Zoals al gezegd begint supplier management bij het kiezen van leveranciers. “Je moet identificeren welke potentiële leveranciers binnen bereik zijn en voldoen aan bepaalde criteria. Denk hierbij aan kwaliteit, security, prijs, betrouwbaarheid,” volgens Yu-Mei. Maar na het kiezen van de leverancier(s) ben je er nog niet. “Je moet daarna duidelijk op papier zetten waar de leverancier verantwoordelijk voor is. Denk dan aan wat jij als klant aan responstijden of uptime wenst. Als dit niet duidelijk afgebakend en contractueel afgesloten is, kan dat gevolgen hebben wanneer zich een probleem tussen partijen voordoet waarbij het niet duidelijk is waar de verantwoordelijkheid ligt. Dat wil je dus op papier hebben staan.”

Monitoring en evaluatie

Vervolgens moeten leveranciers gemonitord en geëvalueerd worden om te waarborgen dat de verwachtingen van beide kanten hetzelfde zijn. “Je wilt grip houden op je leveranciers door de geleverde prestaties te monitoren. Stel hierbij vooraf bepaalde doelstellingen en criteria voor de leverancier en leg deze ook vast in het contract”, zegt Yu-Mei. “Zo kom je achteraf niet voor verrassingen te staan.” Daarnaast omvat het monitoren en evalueren ook het identificeren van nieuwe tekortkomingen, evalueren van mogelijke incidenten bij de leverancier en het nemen van maatregelen die negatieve effecten voorkomen of verminderen (mitigeren) wanneer nodig. “Je kunt niet elke situatie in theorie op papier hebben staan. Soms is het ook goed om te kijken wat er in de praktijk gebeurt, dit evalueert en daarmee de afspraken op papier aanpast of uitbreidt. Het is een continu proces, waarbij relatiebeheer met de leverancier ook een rol speelt,” geeft Yu-Mei aan.

Risico’s

Toch zijn er ook risico’s bij supplier management te noemen. “Je wilt graag secure werken en dat wil je ook graag doorvoeren naar jouw leveranciers. Dat is logisch. Jouw leverancier heeft waarschijnlijk gegevens van jouw bedrijf zoals persoonsgegevens of vertrouwelijke informatie, waarvan je graag wilt dat deze beschermd zijn.” Het is daarom belangrijk dat jouw leverancier ook beveiligingsmaatregelen neemt om ook jouw data te beschermen.

“Een ander risico wat hierbij komt kijken is: hoe afhankelijk wil je zijn van je leverancier? Mocht de leverancier een incident hebben waardoor ze niet kunnen leveren, welke gevolgen heeft dat dan voor het leveren van je eigen diensten? Denk hier vooraf over na, bij het aannemen van een nieuwe leverancier en maak ook op dit gebied goede afspraken,” adviseert Yu-Mei. De bedrijfscontinuïteit speelt hierbij een grote rol. Een andere maatregel om dit risico te beperken is het hebben van alternatieve leveranciers of met meerdere leveranciers te werken.

Daarnaast kan Cyber4Z helpen bij effectief en veilig supplier management door contracten te controleren en testen uit te voeren bij de leverancier indien gewenst. Neem voor meer informatie contact met ons op via de contactbutton rechtsboven op deze website.

April 23rd: The Day of the English Language and Birthday of Shakespeare

On April 23, we celebrate the Day of the English Language and the birthday of the greatest writer in English literature, William Shakespeare. It's a day to reflect on the power of language and communication in our lives and in our work.

As a cybersecurity company, we understand at Cyber4Z how important it is to communicate effectively and understand what's being said, especially when it comes to protecting sensitive information and preventing cyber attacks. A good command of the English language is therefore crucial in our field. Let's take a moment today to reflect on the influence of language in our daily lives and how we can use it to convey our message even more effectively. And let's not forget to raise a toast to the man who gave us and the world so many beautiful words: Happy Birthday, Shakespeare!

Effectief supplier management steeds belangrijker

Supplier management is het proces waarbij bedrijven hun relaties met leveranciers en andere externe partijen beheren om de efficiëntie, kwaliteit en veiligheid van hun producten en diensten te waarborgen. Helaas zien we nog vaak dat het proces tussen beide partijen niet goed verloopt: er is onduidelijkheid over wie welke verantwoordelijkheden heeft en wie ze moet uitvoeren. We gaan erover in gesprek met onze IT-auditor en security consultant Rob van den Heuvel. “Ga met leveranciers in gesprek over wat er beter kan.”

Effectief supplier management vereist een diepgaand inzicht in de relaties tussen bedrijven en hun leveranciers, evenals een grondige kennis van de risico’s en uitdagingen die gepaard gaan met het werken met externe partijen. “We zien dat klanten steeds meer leunen op hun leveranciers in bijvoorbeeld het beheren van servers, back-up en redundancy maatregelen. Maar ook een stukje office & netwerk management,“ zegt Rob. Dat betekent dat een leverancier een belangrijke rol heeft in het borgen van de (informatie)beveiliging voor de klant. Het betekent niet dat jij als klant niet verantwoordelijk meer bent voor het onderliggende risico en de daarvoor getroffen maatregelen (diensten afnemen bij een leverancier). “Maar we zien vaak dat er conflicten of tekortkomingen ontstaan omdat er onduidelijkheid is over wat de verantwoordelijkheden zijn van de klant zelf en wat de verantwoordelijkheid is van de leverancier. Tegenwoordig zie je dat het instrueren en monitoren van leveranciers steeds belangrijker wordt, vooral omdat je dit nu ook terug ziet in bijvoorbeeld normenkaders zoals ISO27001.”

Hoe instrueer en monitor ik IT-leveranciers?

Het is belangrijk om op de hoogte te zijn van afspraken en periodiek met leveranciers contact te houden. Deze gesprekken moeten gevoerd worden op basis van meetbare prestatie indicatoren. Het uitbesteden van IT brengt ook risico’s met zich mee. Het is belangrijk om deze risico’s te identificeren en vervolgens te bepalen welke risico’s verlaagd moeten worden met mitigerende maatregelen. Eén van deze maatregelen is het op de hoogte zijn van afspraken met leveranciers en periodiek met hen contact te onderhouden. Zo werd bijvoorbeeld de High Tech Campus slachtoffer van een hack bij de leverancier van toegangspassen.

SMART SLA

Daarnaast is het goed om een Service Level Agreement (SLA) te hebben met een leverancier waarin concrete meetbare (SMART) afspraken zijn gemaakt over de kwaliteit en beschikbaarheid van de dienstverlening en de wijze waarop informatiebeveiliging wordt geborgd.

Cyber4Z kan ondersteunen bij supplier management. “We kunnen ondersteunen bij supplier management door bijvoorbeeld naar leveranciers te gaan en daarbij te controleren of deze de afspraken uit de contracten nakomen . Daarnaast wordt supplier management ook expliciet meegenomen in de ISO 27001 implementatie en de daarbij behorende audits.” Dit betekent dat Cyber4Z ook kan helpen bij het beter inrichten van het supplier management proces. “Hierbij brengen we de meest kritieke leveranciers in kaart en richten we een proces in voor het periodiek beoordelen van de service en mate van informatiebeveiliging bij deze externe leveranciers.”

Kortom, supplier management is een essentieel proces voor bedrijven die hun producten en diensten willen optimaliseren en daarbij hebben gekozen voor het steunen op externe leveranciers. Supplier management heeft als doel de risico's van de uitbesteding aan externe relaties te verlagen. Door duidelijke verwachtingen en normen te stellen, prestaties te monitoren en proactief risicobeheer te implementeren, kunnen bedrijven hun relaties met leveranciers beter beheren en hun algehele efficiëntie en veiligheid verbeteren.

10 praktische tips voor een veiligere webapplicatie

In de moderne wereld zijn webapplicaties onmisbaar geworden voor het uitvoeren van verschillende taken. Of het nu gaat om online bankieren, online winkelen of sociale media, we vertrouwen op webapplicaties om ons dagelijks leven gemakkelijker te maken. Het is echter belangrijk om de beveiliging van onze webapplicaties serieus te nemen om onze gegevens en persoonlijke informatie te beschermen tegen cyberbedreigingen. Hier zijn 10 praktische tips om je webapplicatie veiliger te maken:

  1. Gebruik een sterk wachtwoordbeleid. Het gebruik van een sterk en uniek wachtwoord is een van de belangrijkste manieren om je webapplicatie te beschermen tegen ongeautoriseerde toegang. Zorg ervoor dat je regelmatig je wachtwoorden verandert en gebruik maakt van tweestapsverificatie.
  2. Maak gebruik van encryptie. Encryptie zorgt ervoor dat gegevens die worden uitgewisseld tussen de gebruiker en de server versleuteld zijn en niet kunnen worden gelezen door kwaadwillenden. Gebruik altijd sterke encryptieprotocollen zoals SSL of TLS om de communicatie tussen de gebruiker en de server te beveiligen.
  3. Valideer de invoer. Het valideren van de invoer van de gebruiker is belangrijk om ervoor te zorgen dat alleen geldige en veilige gegevens worden verwerkt door de webapplicatie. Dit voorkomt dat aanvallers kwaadaardige code kunnen injecteren in de webapplicatie.
  4. Beperk toegang. Het beperken van de toegang tot bepaalde delen van je webapplicatie op basis van de rollen en machtigingen van gebruikers is een effectieve manier om te voorkomen dat ongeautoriseerde gebruikers toegang krijgen tot gevoelige informatie.
  5. Beveilig je server. Zorg ervoor dat je server beveiligd is tegen aanvallen en ongeautoriseerde toegang. Installeer regelmatig updates en patches om beveiligingslekken te dichten.
  6. Gebruik beveiligde sessies. Gebruik beveiligde sessies om de identiteit van gebruikers te verifiëren en hun sessie-informatie te versleutelen. Dit voorkomt dat aanvallers sessies kunnen kapen en toegang krijgen tot de webapplicatie.
  7. Beperk het aantal foutmeldingen. Het beperken van het aantal foutmeldingen dat wordt weergegeven op je webapplicatie voorkomt dat aanvallers informatie kunnen verzamelen over de beveiliging van je webapplicatie.
  8. Houd je software up-to-date. Zorg ervoor dat je regelmatig updates installeert voor de software die wordt gebruikt in je webapplicatie om beveiligingsproblemen op te lossen.
  9. Voer regelmatig beveiligingsaudits uit. Voer regelmatig beveiligingsaudits uit om de beveiliging van je webapplicatie te testen en te verbeteren.

Het is dus belangrijk om de beveiliging van webapplicaties serieus te nemen. Heb je hier hulp bij nodig? Neem dan vrijblijvend contact met ons op via 4z4u@cyber4z.com.

Bemachtig een plek voor de #XPOSURE Virtual Summit!

Doe mee met CISO's, beveiligingsmanagers, beoefenaars en experts gedurende 3 uur vol met 10 praktijkgerichte, tot nadenken stemmende sessies om de volgende dingen te bemachtigen:

  • Kennis over het identificeren, beoordelen en beheren van blootstelling aan bedreigingen om beveiligingsrisico's te verminderen en cybergereedheid te maximaliseren
  • Laatste trends en best practices op het gebied van cyberbeveiliging van professionals die wereldwijd de norm bepalen
  • Praktische perspectieven op blootstellingsbeheer van hackers die onderzoekers zijn geworden, en beveiligingsleiders en analisten
  • CPE-tegoeden

Claim hier je plek!

Safer Internet Day: Een dag om de online veiligheid van kinderen te verbeteren

Op elke tweede dinsdag van februari viert de hele wereld Safer Internet Day. Dit is een jaarlijkse campagne om bewustzijn te creëren en educatie te bieden over hoe je online veiliger kunt zijn. Het doel is om kinderen, jongeren, ouders, leerkrachten, politie en de industrie samen te brengen om de online wereld een veiligere plek te maken voor iedereen.Op elke tweede dinsdag van februari viert de hele wereld Safer Internet Day. Dit is een jaarlijkse campagne om bewustzijn te creëren en educatie te bieden over hoe je online veiliger kunt zijn. Het doel is om kinderen, jongeren, ouders, leerkrachten, politie en de industrie samen te brengen om de online wereld een veiligere plek te maken voor iedereen.

In een wereld waarin steeds meer activiteiten online plaatsvinden, is het belangrijker dan ooit om je bewust te zijn van de gevaren van het internet. Kinderen en jongeren zijn bijzonder kwetsbaar en kunnen het slachtoffer worden van cyberpesten, seksuele uitbuiting, identiteitsdiefstal en andere online gevaren. Safer Internet Day wordt dan ook wereldwijd ondersteund door overheden, non-profitorganisaties, de industrie en de media. Cyber4Z gaf in het verleden op het Eckartcollege al een presentatie over cybersecurity en hoe belangrijk het is om daar al vroeg mee te beginnen.

Veilig online gedrag

Safer Internet Day is bedoeld om kinderen en jongeren te helpen begrijpen hoe ze zich online veiliger kunnen gedragen. Dit betekent onder andere het delen van persoonlijke informatie beperken, weigeren om onbekende personen te ontmoeten die je online hebt ontmoet en altijd alert te zijn op online bedreigingen.

Praat erover

Ouders, leerkrachten en andere volwassenen kunnen ook helpen door te praten over online veiligheid en door te zorgen dat kinderen en jongeren op de hoogte zijn van de gevaren van het internet. Dit betekent ook dat volwassenen zich bewust moeten zijn van de online activiteiten van kinderen en jongeren en altijd alert moeten zijn op enig teken van cyberpesten of andere online gevaren.

Samengevat is Safer Internet Day een belangrijke campagne om de online veiligheid van kinderen en jongeren te verbeteren. Door bewustzijn te creëren en educatie te bieden, hopen we een veiligere online wereld te creëren voor iedereen. Laten we samen werken aan een veiliger internet voor alle kinderen en jongeren.

𝗖𝗬𝗕𝗘𝗥𝟰𝗭 𝗚𝗔𝗔𝗧 𝗡𝗔𝗔𝗥 𝗗𝗘𝗙 𝗖𝗢𝗡 𝗜𝗡 𝗟𝗔𝗦 𝗩𝗘𝗚𝗔𝗦

In 2023 hebben we grootste plannen: we gaan naar de grootste en jaarlijkse hackerconventie DEF CON in Las Vegas, Nevada van 10 augustus tot en met 13 augustus. Hier hopen we nieuwe dingen te leren en nieuwe ervaringen op te doen binnen ons werkveld. We hebben er alvast veel zin in!

Privacyproblemen met Lensa AI-app

door Andra Albisoru

Als je de afgelopen week op een social media-platform bent geweest, ben je hoogstwaarschijnlijk foto's tegengekomen die zijn gemaakt door de nieuwe mobiele applicatie, Lensa AI. Dit is een app voor het bewerken van foto's die beschikbaar is voor IOS- en Android-gebruikers, waarbij geüploade selfies worden omgezet in avatars. Met de app kan de gebruiker zijn foto's retoucheren, de achtergrond wijzigen of de hele foto aanpassen om verschillende kunststromingen uit tijdsperiodes toe te passen.

Desalniettemin, hoe mooi het ook klinkt, komt deze app niet zonder zorgen over privacy die gemakkelijk over het hoofd kunnen worden gezien door de gewone smartphonegebruiker, die ook graag op deze trend wil inspringen. Daarom dachten we dat het een voordeel zou zijn om deze zorgen op een eenvoudige manier uit te leggen en potentiële gebruikers te waarschuwen voor de beveiligingsrisico's die ze lopen bij het gebruik van de mobiele applicatie.

Bij het lezen van de documentatie van de Lensa-app kunnen er verschillende rode vlaggen worden opgemerkt. In sectie 5 van hun privacybeleid wordt vermeld dat de foto's die van gebruikers zijn verzameld niet voor andere doeleinden worden gebruikt dan voor het toepassen van de relevante filters, maar in de gebruiksvoorwaarden staat dat je door het gebruik van de app een 'eeuwigdurende, onherroepelijke, niet-exclusieve, royaltyvrije, wereldwijde, volledig betaalde, overdraagbare, sublicentieerbare licentie voor het gebruiken, reproduceren, wijzigen, distribueren en creëren van afgeleide werken van je gebruikersinhoud' aangaat. Dit geldt voor reclame, commerciële doeleinden, evenals voor opleiding van de AI. Om deze app te gebruiken, moet je bovendien een gebruiksvergoeding betalen. In ruil daarvoor ontvang je 50 bewerkte beelden, gebaseerd op de foto's die je hebt geüpload. De tool die voor deze bewerkingen wordt gebruikt, is echter een tool die is ontwikkeld door Prisma Labs, die ook eigenaar is van de Lensa-app. In wezen bied je bij het gebruik van deze app een bedrijf gratis training voor hun AI aan, wat hen helpt hun product verder te ontwikkelen en te verbeteren en om gratis advertenties voor hen te maken. Dat alles in ruil voor 50 bewerkte avatars.

Ten slotte is er een maatschappelijke bezorgdheid die de betrokkenheid van kunstmatige intelligentie bij gezichtsherkenningspraktijken veroordeelt, omdat dit een hoog risico op IP-diefstal en identiteitsdiefstal met zich meebrengt. De eigendomsgrenzen voor het gebruik van deze applicatie zijn nog onduidelijk, waardoor er te veel ruimte is voor interpretatie met betrekking tot wie de afbeeldingen mag gebruiken nadat ze zijn gemaakt. Als je de applicatie al hebt gebruikt en je maakt zich zorgen dat je gegevens niet op een ethische manier worden gebruikt, stuur dan een e-mail naar privacy@lensa-ai.com en vraag om je verzamelde gegevens te verwijderen. Als je foto's worden gebruikt in advertenties kun je bovendien kun je een e-mail sturen naar contact@lensa-ai.com en kun je die toestemming intrekken. Het is belangrijk om een veilige en ethische omgeving op internet te creëren en te behouden, vooral als het gaat om onze gezichtsgegevens.

Hoe veilig is jouw wachtwoord? #veranderjewachtwoorddag

3 op de 5 Nederlanders gebruiken hetzelfde wachtwoord voor meerdere online diensten. Ook bij organisaties in Nederland is het wachtwoordbeleid niet altijd op orde en word er nog vaak een variatie op Welkom met een speciaal teken en een jaargetal gebruikt.

Op 'Verander je Wachtwoord Dag' is het extra belangrijk om bewust bezig te zijn met je wachtwoord. Hier kunnen we bij helpen door een wachtwoordbeleid in te voeren als deel van de ISO 27002 implementatie. Meer weten? Neem contact met ons op via 4z4u@cyber4z.com.

Nieuwe ISO 27001 norm: we zitten er boven op

Begin oktober is de nieuwe ISO 27001 norm geïntroduceerd. Dit betekent dat bedrijven compliant moeten zijn aan verbeterde en nieuwe normen, maar wat betekent dit precies voor hen? Bij Cyber4Z zijn we druk bezig met het proces om onze huidige en nieuwe klanten te voorzien van een passend advies.

Voor veel organisaties is het nieuw dat de ISO-normering 27001 een update krijgt, waardoor het onduidelijk is wat zij precies moeten doen. Bij Cyber4Z kunnen we deze onduidelijkheid weghalen door een GAP-analyse te maken tussen de huidige staat van het ISMS 2013 en ISO-norm 27001 2022. Hieruit komt dan een duidelijke lijst van taken die gedaan moeten worden, zodat het gat gedicht kan worden. Voor onze nieuwe klanten implementeren we direct volgens de nieuwe ISO 27001 2022 norm, om ervoor te zorgen dat zij ook snel compliant zijn.

Zo geven we onze klanten een prettig en zeker gevoel. Ook interesse in ISO 27001 compliant worden? Neem dan contact met ons op via 4z4u@cyber4z.com.

Security.txt wordt ook gebruikt door het DTC

Naast internet.nl maakt het Digital Trust Center (DTC) ook gebruik van het security.txt bestand om contactgegevens te vinden naar aanleiding van kwetsbaarheden die zij binnen krijgen.

Het toevoegen van dit record zorgt ervoor dat gevonden kwetsbaarheden bij je terecht kunnen komen. Hoe je het security.txt record toevoegt aan je externe servers staat hier beschreven: https://www.digitaltrustcenter.nl/securitytxt. Je vind er ook een filmpje dat in anderhalve minuut security.txt uitlegt.

Ransomware Ready webinar

Gisteren hebben we ons Ransomware Ready webinar gehost, met Matthijs Nelissen, Anders Larsson en Hardeep Singh. Met behulp van het geautomatiseerde valdidatieplatform van Pentera nam Hardeep ons stap voor stap door een ransomeware-aanval en hoe deze te valideren.

Met dank aan Anders voor de introductie en Hardeep voor de geweldige demo!

Geïnteresseerden kunnen de opname bekijken op Youtube.

‘Informatiebeveiliging is en blijft een hot topic’

Informatiebeveiliging tillen naar een hoger niveau: daar gaat het om tijdens het certificeringstraject voor ISO 27001. Cyber4Z kan helpen bij het proces door bepaalde activiteiten uit te voeren (denk aan een risico assessment of een stakeholdersanalyse). Onze security consultant Morrison Toussaint vertelt ons er meer over.

Wanneer een bedrijf zich wil certificeren voor ISO 27001, dan is het belangrijk dat de processen en procedures die in de norm staan te implementeren. “Het gaat dan bijvoorbeeld om risico assessments, een stakeholdersanalyse of een directiebeoordeling. Dat zijn allemaal activiteiten die moeten bijdragen aan een hoger niveau van informatiebeveiliging. Deze maak ik zelf bij bedrijven, dus ik ben niet alleen bezig met ondersteuning tijdens de audit voor ISO 27001,” zegt Morrison. Maar hoe begint zo’n proces precies? “Ik begin met een gap-analyse. Dit is in de basis een vragenlijst waarbij het doel is om te achterhalen wat een bedrijf nog moet doen om te voldoen aan de eisen zoals die gesteld zijn in ISO 27001. Daar komen dan actiepunten uit, die ik samen met de organisatie ga oppakken en implementeren.”

Naast de werkzaamheden voor ISO 27001 houdt hij zich ook nog bezig met andere ISO-normen. “Er zijn ook nog andere normen zoals ISO 9001 over kwaliteitsmanagement, ISO 22301 over business continuity management en 31000 over risicomanagement. Dat zijn ook frameworks die wij ook weer implementeren.”

Goed kennismaken

Om te beginnen met een ISO 27001 is het belangrijk om goed kennis te maken met een bedrijf. “Ik begin altijd met een gesprek over het bedrijf. Ik vraag dan bijvoorbeeld naar de organisatiestructuur, of IT uitbesteed is en hoeveel mensen er werken, zodat ik een beeld krijg van de organisatie. Met alle informatie kan ik een gap-analyse maken en dat is de eerste stap om tot certificering te komen.”

Daarna volgt een stakeholdersanalyse, waarbij alle belanghebbenden in kaart worden gebracht. “Zo wordt dan bijvoorbeeld duidelijk dat een bedrijf haar IT-activiteiten uitbesteedt aan een IT-beheerder. Ik kan in gesprek gaan met de IT-beheerder, want soms moet een contract aangepast worden om te kunnen voldoen aan de ISO-norm.” Door deze gesprekken kan het soms langer duren voordat een ISO-traject helemaal is doorlopen. “Maar het komt ook doordat we niet alleen maar documenten leveren aan organisaties, maar we helpen ook daadwerkelijk met het implementeren van zaken. Dit kan bijvoorbeeld het implementeren van mitigerende maatregelen zijn, welke zijn geïdentificeerd tijdens de risico analyse.”

Een positieve trend

De afgelopen jaren is informatiebeveiliging een steeds belangrijker onderwerp geworden door onder meer cyberincidenten die de media bereiken. “De afgelopen jaren zag je dat een bedrijf ISO 27001 gecertifieerd wil zijn omdat één van hun klanten dat vraagt. Nu zie je juist dat deze bedrijven ook van hun leveranciers verwachten dat zij een ISO 27001 certificaat hebben. Het is eigenlijk een sneeuwbaleffect waarbij een implementatie leidt tot meerdere implementaties bij andere bedrijven. Dat is een positieve trend, want zo zorg je ervoor dat de hele keten veiliger wordt.” Om die reden krijgt Cyber4Z steeds meer aanvragen om te helpen bij ISO-trajecten.

Kortom: Cyber4Z ondersteunt niet alleen tijdens de ISO-audits, maar helpt ook met het hele proces eromheen. Meer weten? Stuur ons een mailtje via 4z4u@cyber4z.com.

Over losgeld onderhandelen met hackers: 'Zij doen aardig, ik dus ook'

Onlangs was Cyber4Z in het nieuws bij Omroep Brabant met betrekking tot de cyberaanval op een tandartsenorganisatie. Dit artikel is geschreven doorSven de Laet.Verder is het ook besproken in een uitzending van Brabant Nieuws op donderdag 11 augustus (fragment start op 4:10).

Tandartsenorganisatie Colosseum Dental betaalde zo'n 2 miljoen euro losgeld om een eind te maken aan een cyberaanval. Klinkt heftig, maar het komt steeds vaker voor dat bedrijven overstag gaan. Ziet ook Rob Mellegers van het Eindhovense bedrijf Cyber4Z. Hij onderhandelt regelmatig met hackers. "Het is helaas een groeimarkt."

Met wie hij precies praat, dát weet Mellegers niet. Maar hij voert dus regelmatig gesprekken met hackers, die losgeld willen. "Bedrijven benaderen ons als ze aangevallen worden. Hoe ze weten dat ze gehackt zijn? Je merkt al gauw dat je geen programma's meer kunt gebruiken."

Op zo'n moment komen Mellegers en zijn collega's in actie. Die communicatie verloopt vaak soepel. "Je krijgt een linkje toegestuurd, waarmee je in een beveiligde portal komt. Soms kun je dan gewoon met elkaar praten, als door een soort cryptotelefoon."

De taak van Mellegers is helder. "In opdracht van het gehackte bedrijf afspraken maken met de hackers. Soms is er ruimte voor onderhandeling. Daar zijn ze heel open in. Die criminelen weten ook precies wat ze van je kunnen vragen. Ze hebben al lang opgezocht wat je omzet is, dus kunnen ze ook inschatten of afdingen nou echt nodig is."

Maar is het dan niet vreemd om te kletsen met zo'n hacker? "Ergens wel, omdat je weet dat ze iets hebben gedaan wat niet deugt. Maar ik ben vooral bezig de schade te beperken voor mijn opdrachtgever. Vaak verlopen die gesprekken heel vriendelijk. Zij doen aardig tegen mij, ik tegen hen. En er vallen ook best afspraken te maken. Over betalen in termijnen bijvoorbeeld, zodat je weet dat ze ook daadwerkelijk data teruggeven."

Want dat is het risico: geven de hackers die gegevens wel terug? "Het kan natuurlijk dat ze de data doorverkopen of toch publiek maken. Maar over het algemeen hebben ze er veel meer aan om betrouwbaar te zijn. Als ze één keer niet leveren, weet meteen iedereen dat. Dan heeft het voor het volgende gehackte bedrijf ook geen zin om te betalen."

Dat betalen gebeurt steeds vaker. "Ook omdat de maatregelen bij bedrijven steeds beter worden. Hackers weten daardoor minder data te stelen, waardoor het ook om kleinere bedragen gaat." En hoewel het overmaken van losgeld sterk wordt afgeraden, kan Mellegers het zich wel voorstellen. "Zo'n bedrijf kan als enige de impact, schade en gevolgen beoordelen, wanneer die data op straat belandt."

Overigens is het niet zo dat bedrijven het losgeld snel overmaken om negatieve publiciteit te vermijden. "Op het moment dat je gehackt wordt, ben je simpelweg verplicht om het te melden bij de Autoriteit Persoonsgegevens."

Het lijkt er niet op dat de agenda van Mellegers snel leger wordt. "Hacken is helaas een groeimarkt. Of ik dan mijn werk niet goed doe? Nou, helemaal veilig ben je nooit. Het is en blijft de schuld van de hackers zelf."

Nieuwe collega!

Op 18 juli heeft Harrie van den Boomen zich aangesloten bij Cyber4Z als account manager. Hij zal zich voornamelijk gaan bezig houden met het werven van klanten voor onze dochteronderneming Neoforce. Welkom Harrie!

Cyber4Z is verhuisd!

Vandaag was de grote dag aangebroken: onze verhuizing naar High Tech Campus 41.

Hier hebben we een groter kantoor met meer werkplekken en we hebben een eigen vergaderruimte waar we klanten kunnen ontmoeten. We kunnen niet wachten om op onze nieuwe plek aan de slag te gaan!

Ondernemen met een maatschappelijk tintje

Als Cyber4Z ondernemen we met een maatschappelijk tintje. Dit betekent dat we bij onze bedrijfsactiviteiten rekening houden met mens, milieu en met maatschappij. Zo dragen we ons steentje bij door geld te doneren en ons wagenpark in te zetten.

Elk personeelslid mag per jaar €100 schenken aan een maatschappelijk doel in naam van Cyber4Z. Denk hierbij aan een sportvereniging, een goed doel of iemand zich inzet voor een goed doel. Zo hebben de volgende doelen de afgelopen jaren een bijdrage gekregen: Justdiggit, giro 555 voor Oekraïne, Trees for all, Ronald McDonald Huis, Leev in samenwerking met stichting Pay it Forward, Veldhoven Zoo, Stichting Zevenhoek, stichting Sterk voor Dieren en Goodwill.

Auto's inzetten

We zijn ook bezig met het milieu en hoe we onze uitstoot kunnen verminderen. Zo is de helft van ons wagenpark elektrisch met merken zoals Kia, Jaguar, MG en Tesla. Daar stoppen we echter niet. We zetten onze auto’s ook in voor verschillende goede doelen. In 2018 zijn mensen opgehaald en thuisgebracht na een kerstdiner speciaal voor eenzame mensen, in 2021 is een van onze Tesla’s gebruikt om IC-verpleegkundigen gratis te vervoeren naar en van hun werk en in 2022 zijn mensen in een Tesla naar huis gebracht waarbij een bijdrage van €1.000 is gerealiseerd voor Oekraïne.

Wat is een disaster recovery plan?

Stel: er is een ransomware aanval geweest bij je organisatie. Wat doe je dan precies om zo efficiënt mogelijk te reageren en daarmee de impact zo klein mogelijk te houden? Een disaster recovery plan (DRP) kan hierbij helpen. Onze security consultant en interne security officer Yu-Mei Liebregt vertelt over de toegevoegde waarde van een DRP voor elke organisatie. “Je hebt van te voren nagedacht over hoe je een crisis kunt aanpakken.”

Wat is een DRP precies?

“In een DRP zet je de stappen die je wil en moet doorlopen in het geval van een calamiteit. Afhankelijk van de dienstverlening kan een DRP inhoudelijk verschillen. In principe gaat een DRP over hoe te reageren en de impact van een calamiteit te verkleinen. Dit gaat dan vaak over de infrastructuur van je organisatie, dus de servers en laptops die gehackt kunnen zijn.”

Wat staat er zoal in een DRP?

“Ik maak gebruik van een template waar onderdelen in staan die voor elk DRP gelden, zoals de samenstelling van een crisisteam, kritieke onderdelen, concrete herstelstappen, de crisiscommunicatie en contactgegevens van betrokken personen. De rest van de inhoud hangt af van de soort dienstverlening en de grootte van het bedrijf. Een bedrijf dat software aanbiedt moet andere maatregelen treffen dan een bedrijf dat machines maakt bijvoorbeeld.”

Wat is de toevoegde waarde van een DRP?

“De toegevoegde waarde is dat je bent voorbereid op een calamiteit. Je hebt namelijk van tevoren nagedacht over kritieke onderdelen en te nemen stappen. Met zo’n plan kun je eigenlijk zo efficiënt mogelijk reageren op een calamiteit en kan je de schade zoveel mogelijk beperken. Denk aan financiële schade of imagoschade. Daarbij is het wel belangrijk dat je het plan elk jaar test en aanpast waar nodig, zodat je altijd goed voorbereid bent.”

Ook toe aan een DRP? Neem dan contact met ons op voor de mogelijkheden.

AVG viert vierde verjaardag!

De AVG-wet is ingegaan op 25 mei 2018, wat betekent dat de algemene verordening gegevensbescherming zijn vierde verjaardag viert. Ter ere hiervan interviewen we onze cybersecurity consultant Andra Albisoru over haar mening over de AVG en haar toekomstvisie. “Ik hoop dat mensen snel zullen beseffen dat dingen op het internet nooit weggaan.”

Heb je in je dagelijkse werk vaak te maken met de AVG?

“Eigenlijk denk ik dat we allemaal te maken hebben met de AVG in onze dagelijkse online activiteiten. Vooral tijdens de pandemie verhuisden we ons sociale leven online. We brengen dus steeds meer tijd door op verschillende websites en online applicaties. We zien bijvoorbeeld de pop-up cookies op ons scherm verschijnen waar we mee akkoord moeten gaan of toestemming voor moeten geven. Het is heel breed, maar de AVG is altijd aanwezig.”

Wat vind je van de AVG?

“Ik denk dat de AVG eigenlijk het besef is dat het internet steeds belangrijker wordt in ons leven. Ik heb het gevoel dat men heeft begrepen dat we heel voorzichtig moeten zijn met wat we online delen. Ik denk dat mensen de waarde beginnen te beseffen, vooral als je het slachtoffer bent geweest van online oplichting. Dan besef je pas hoeveel je op internet zet en hoe belangrijk het is om te beschermen.”

Denk je dat de AVG de cyberbeveiliging de afgelopen vier jaar heeft verbeterd?

“Ja, dat denk ik wel omdat de AVG het voor steeds meer bedrijven verplicht stelt om te respecteren. Vóór de AVG hadden we een richtlijn (Richtlijn 95/46/EC) maar die richtlijn was niet zo duidelijk en werd niet zo belangrijk geacht als de AVG nu. Met de AVG zijn de regels niet nieuw, maar de noodzaak om compliant te zijn is dat wel.”

Wat is je toekomstvisie met betrekking tot de AVG?

“Ik hoop in ieder geval dat meer bedrijven compliant zullen zijn. Hoewel de AVG al vier jaar bestaat, moeten we ook begrijpen dat het een zeer grote verandering van bedrijven vraagt en dat het ook tijd kost om dat door te voeren. Op dit moment vind ik het belangrijk om die bedrijven te helpen veranderen en dan te kijken of er nieuwe regels nodig zijn. En ik hoop dat mensen snel zullen beseffen dat dingen op het internet nooit weggaan en we dat we daar net zo voorzichtig mee moeten zijn als met belangrijke fysieke zaken zoals een paspoort of ID-kaart.”

Rob Mellegers geeft presentatie op beroepenavond van het Eckartcollege

Afgelopen week heeft Rob Mellegers een presentatie en demonstratie gegeven op Eckartcollege Eindhoven vanwege de Beroepenavond. “Met een druk op de knop heb je al inzicht in de beveiliging,” zegt Rob.

Met zijn telefoon in zijn hand en een scherm op de muur liet Rob zien hoe vanuit de klas een paar kwetsbare plekjes in het netwerk zichtbaar worden die je zou kunnen proberen te hacken (natuurlijk mag dat nooit zonder toestemming). Het belangrijkste is volgens Rob om te laten zien dat cybersecurity helemaal niet ingewikkeld hoeft te zijn: “Met een druk op de knop heb je al inzicht in de beveiliging.” Verschillende leerlingen hingen aan zijn lippen. “Ik vond het mooi om te zien dat er een grote groep geïnteresseerd is in de vakgebieden van ethisch hacker en cybersecurity consultant. En dat de leerlingen die een beroepskeuze moeten maken het heel interessant vonden om te zien wat ik doe en hoe ik het doe.” Volgens Rob is het belangrijk om al vroeg met cybersecurity te beginnen. “Hoe eerder je begint, hoe eerder kinderen gevaren kunnen herkennen in hun eigen gedrag en dat van anderen. Dat kan later heel goed van pas komen.”

Vrijdagen zijn voor knowledge sessions

Bij Cyber4Z vinden we het belangrijk om onze kennis op peil te houden en uit te breiden. Daarom organiseren we elke 3 weken op vrijdagmiddag een knowledge session. Tijdens zulke sessies deelt een bedrijf of persoon zijn/haar expertise over een bepaald onderwerp. Deze week volgden we een presentatie over Corelight en haar product.

De ontwikkelingen op het gebied van cybersecurity gaan razendsnel: bijna dagelijks zijn er wel nieuwe toepassingen beschikbaar of komen nieuwe kwetsbaarheden aan het licht. Het is als een trein die doorrijdt, waar je wel in wil zitten. Door met regelmaat knowledge sessions te organiseren zorgen we ervoor dat we up-to-date blijven en nieuwe dingen leren.

Wilt u ons ook iets nieuws leren? Neem dan contact op via 4z4u@cyber4z.com.

Cyber4Z verwelkomt nieuwe collega: Bart van der Wilt

Per 1 juni versterkt Bart van der Wilt ons team als Junior Consultant. Hij stelt zichzelf kort voor:

'Hallo! Mijn naam is Bart en ik ben een leergierige starter op het gebied van cybersecurity. Ik woon in 's-Hertogenbosch met mijn vriendin. Als ik niet aan het werk ben, houd ik ervan om buiten te sporten in de vorm van hardlopen of fietsen. Ik heb met betrekking tot veiligheid ervaring opgedaan tijdens mijn opleiding aan de koninklijke militaire academie. Mijn doel is om deze ervaring uit te breiden met kennis op het gebied van cybersecurity, zodat ik de klant kan gaan helpen met het oplossen van hun vraagstukken. ' Welkom Bart! We wensen je veel plezier!

Cyber4Z verwelkomt nieuwe collega: Ben Willems

Vandaag begint Ben Willems aan zijn eerste werkdag bij Cyber4z. Hij stelt zichzelf graag even voor:

'Ik ben een pragmatische security consultant met een sterke technische achtergrond. Mijn ervaring omvat diverse projecten op het gebied van hardware-software co-design, zoals veiligheidskritieke automotive software en veilige embedded systemen. Uiteindelijk is het mijn doel om mijn ervaring te gebruiken om de technische uitdagingen van onze klanten aan te pakken met op maat gemaakte beveiligingsoplossingen.' Welkom Ben!

Cyber4Z houdt jaarlijkse (verplichte) externe audit

Vorige week hadden we bij Cyber4Z onze jaarlijkse (verplichte) externe audit voor de ISO-norm 27001. Deze keer ging het om een surveillance audit inclusief ISO9001 (kwaliteitsmanagementsysteem). Onze security consultant en interne security officer Yu-Mei Liebregt vertelt alles over deze audit en wat het inhoudt. “Een audit is eigenlijk een controle op de naleving van de norm en controle op het feit of wij als organisatie continu verbetering doorvoeren aan het ISMS en dus aan informatiebeveiliging.”

Wat houdt de ISO-norm 27001 precies in?

“De ISO27001 norm is een standaard voor informatiebeveiliging. Je kunt hiermee een certificaat behalen wat aantoont dat je de informatiebeveiliging in jouw organisatie op orde hebt, dat je er continu aan werkt en verbeteringen doorvoert. Met de ISO27001 heb je een informatiebeveiligingsmanagementsysteem (ISMS). Als organisatie zijnde dien je er continu mee bezig te zijn en de organisatie hierin door te ontwikkelen. Elk jaar heb je hiervoor verplicht een interne en externe audit om te kijken of je nog voldoet aan de norm.”

Waar ging de audit van vorige week precies over?

“Dit jaar hadden wij een surveillance audit incl. ISO9001 (kwaliteitsmanagementsysteem). Een surveillance audit is beperkter dan een hercertificeringsaudit die 1x in de drie jaar voorkomt. Tijdens de audit neemt de auditor verschillende interviews af met verschillende functies waarin de auditor ons als organisatie gaat ‘controleren’. Het aantal interviews en duur van de audit hangt af van de organisatiegrootte en scope. Verschillende collega’s zijn betrokken bij de interviews, zoals ik als interne security officer voor ons ISMS/KMS, het management en developers. Bij ons ging het dit jaar bijvoorbeeld over ICT-security management, development, security development, management dynamics, de fysieke omgeving, customer delivery en sales. In elk interview/onderwerp wordt hierop ingegaan met betrekking tot de bijbehorende controls. De auditor kan hierin vragen naar beleidsstukken en voorbeelden uit de praktijk hoe wij ons beleid daadwerkelijk uitvoeren waarmee hij kan vergelijken of dit overeenkomt met hetgeen wat op papier staat.”

Wat vind jij van een audit?

“Een audit is zeker nodig om compliant te blijven en ook zeker interessant. Je moet er wel tijd in steken maar het heeft dan ook een goede toegevoegde waarde voor de organisatie. Je leert elke audit wat meer en gedetailleerder waardoor je het bij klanten ook steeds beter kan doorvoeren.”

Cyber4Z biedt ondersteuning bij interne audits en externe audits

Een organisatie moet voor ISO27001 (maar ook voor vergelijkbare normen) regelmatig interne audits uitvoeren. Tijdens zulke audits wordt bekeken hoe aan de controls invulling is gegeven door onder andere het houden van interviews, het beoordelen van records (bijv. informatiebeveiligingsincident register), het beoordelen van beleidsstukken, procedures en/of handleidingen en het meekijken in systemen en applicaties die draaien bij de klant. Bij Cyber4Z helpen we klanten bij dit proces door ondersteuning bij het opstellen van beleidsstukken, procedures en records. En ook het praktisch toetsen van de huidige getroffen maatregelen en controls en hoe deze passen binnen de norm en door de norm vereiste controls. Onze consultant Rob van den Heuvel vertelt er graag meer over. “Ik kan er wel de hele dag over praten!”

Rob is vanwege zijn verleden als IT-auditor de aangewezen persoon om klanten te helpen met het uitvoeren van de interne audits en het voorbereiden op de externe audit. Hij weet als geen ander waar een accountant naar op zoek is. “Hierdoor kan ik klanten goed ondersteunen,” zegt Rob. “Tijdens zulke audits valt vaak op dat veel controlemaatregelen al zijn getroffen en ook volgens een vast stramien worden uitgevoerd. We zien alleen vaak ook dat voor veel van deze al uitgevoerde controls de vastlegging om de aantoonbaarheid te borgen nog ontbreekt. Vastlegging wordt vaak gezien als een extra werklast. Maar dat hoeft niet: je kunt op een hele efficiënte manier de aantoonbaarheid borgen door screenshots te maken en wat context erbij op te nemen. Hiermee kun je dus de daadwerkelijke uitvoering aantoonbaar gemaakt worden tijdens het uitvoeren van interne en externe audits.”

Informatiebeveiliging wordt belangrijker

Onze klantorganisaties krijgen vanuit hun eigen klanten steeds vaker de vraag hoe zij omgaan met informatiebeveiliging. Dit valt Rob ook op. “Het vastleggen van de stappen die je neemt bij het uitvoeren van een control speelt hier dan ook een grote rol in”, aldus Rob. De ISO27001 certificering en het daarbij behorende inrichten van het information security managementsysteem geeft onze klanten de mogelijkheid om aan te tonen dat ze bewust bezig zijn met informatiebeveiliging en de noodzakelijke processen en maatregelen zijn ingericht.

Blijven ontwikkelen

Daarnaast blijft Rob zich ook ontwikkelen als consultant. Zo heeft hij in februari de opleiding Certified ISO27001 Lead auditor gehaald. “De opleiding heeft me meer kennisgegeven over waar een ISO-auditor naar op zoek is en hoe ik dit binnen de beleidsstukken en procedures die ik in samenwerking met de organisatie opstel kan borgen.” Maar het belangrijkste is volgens Rob om samen met de klant te komen tot invulling aan de norm en bijbehorende controls welke past bij de organisatie, praktisch en efficiënt uitvoerbaar is en leidt tot zowel interne als externe tevredenheid.

Pentesten bij Cyber4Z

Bij Cyber4Z doen we ook zogeheten penetratietesten (ook wel pentesten genoemd). Deze testen helpen bedrijven bij het vinden van kwetsbaarheden op hun systemen. Een van onze testers is Raf Martino, die gespecialiseerd is als cybersecurity architect. Ongeveer 3 á 4 keer per maand doet hij een pentest voor een bedrijf samen met zijn collega Martijn Claes. Raf vertelt er ons graag meer over.

Wat houden pentesten in?

“Tijdens pentesten kijken we op verschillende manieren naar de beveiliging van een systeem. Dat kan een test zijn van een intern netwerk, waarbij we ook alle apparaten zoals laptops en printers testen. Daarnaast hebben we ook webapplicaties die we testen. Soms gebeurt dat extern waarbij we soms alleen de naam van het bedrijf krijgen en moeten kijken wat we kunnen vinden. Soms kijken we alleen naar een specifieke webapplicatie en hoe we daarbinnen kunnen komen.”

Ongeveer 4 keer per maand wordt een pentest afgenomen. Is dit veel?

“Ja, op dit moment is het wel veel. Iedere pentest duurt minimaal 2 dagen. Bij een pentest voor een webapplicatie hebben we twee dagen nodig, maar voor een test op locatie hebben we drie dagen nodig en dan maken we ook nog een rapport op. We bereiden onze pentesten ook goed voor door gesprekken met het technisch personeel en met het bedrijf. Zo weten we waar ze bang voor zijn en naar welke kwetsbaarheden we moeten kijken.”

Waar doe je zoal pentesten op?

“Op interne netwerken doen we vooral pentesten op Windows domeinen. De typische aanpak hiervoor is dat we gaan zoeken naar wachtwoorden van medewerkers en naar misconfiguraties van dat Windows domein. Als daar kwetsbaarheden of misconfiguraties in zitten, dan kunnen wij meestal zo ver komen dat we de inloggegevens van een administrator kunnen achterhalen. Als voorbeeld: we hebben laatst een pentest gehad op zo’n intern netwerk en toen hebben we het hele systeem kunnen overnemen binnen een halve dag.”

Hoe is het gesteld met de beveiliging van de bedrijven die worden getest?

“Het verschilt heel erg per bedrijf. We hebben dit jaar al klanten gehad die alles goed op orde hadden met sterke wachtwoorden en een goede awareness-campagne. Het varieert en dat maakt het leuk en uitdagend. We zien wel dat bedrijven bij een tweede test flinke verbetering hebben aangebracht in de cybersecurity. Natuurlijk checken we bij Cyber4Z ook geregeld hoe het met onze eigen cybersecurity gesteld is. Een tijdje terug hebben we nog een phishingtest intern gedaan. En we vragen aan onze eigen medewerkers om kwetsbaarheden op ons domein te melden, zodat deze verbeterd kunnen worden.”

Interesse gekregen in een penetratietest voor uw bedrijf? Neem dan contact met ons op via 4z4u@cyber4z.com.

Cyber4Z verwelkomt nieuwe collega: Rob van den Heuvel!

Cyber4Z is verheugd een nieuwe collega voor te stellen: Rob van den Heuvel! Hij start per 1 november als Security Consultant bij ons team en gaat zich onder meer richten op de implementatie van verschillende standaarden en frameworks.

Rob stelt zich graag voor: "De afgelopen vier jaar heb ik ervaring opgedaan bij BDO als IT-auditor. Hier heb ik bij verschillende klanten in diverse industrieën een groot aantal opdrachten uitgevoerd, waaronder ISO27001 internal audits, ISAE 3402 Type II , SOC 2 & 3 en security gerelateerde advies opdrachten. Bij Cyber4z wil ik me verder ontwikkelen en samen met de klant aan de slag gaan om verandering teweeg te brengen en resultaten te behalen.

Cyber4Z en Cyber4Z Solutions verwelkomen nieuwe collega: Jeffrey Dierckx!

"Eigenlijk hoor ik al bij het meubilair" riep Jeffrey Dierckx bij de aankondiging dat hij in dienst komt. Dat klopt, want na 2 succesvolle stages begint Jeffrey op 1 september als ontwikkelaar voor ons prachtige product Neo4Z

Jeffrey stelt zich voor: Mijn naam is Jeffrey Dierckx. Ik heb kort geleden de opleiding Applicatie- en mediaontwikkelaar afgerond en tijdens deze opleiding ben ik bij Cyber4Z terechtgekomen als stagiair. Nu kijk ik er naar uit om bij Cyber4Z verder te werken in het solution development team! Hier zal hij zich onder meer richten op de ontwikkeling van Neo4Z en toekomstige producten!

Eerste landelijke advertentie voor Neo4Z is een feit!

Leuk nieuws: Neo4Z is te vinden op de frontpage van een bijlage van het Financieel Dagblad over Business, IT Security en e-Health! Neo4Z is goed bezig om steeds meer naamsbekendheid te krijgen. Daarnaast zorgen de ontwikkelaars bij Cyber4Z Solutions dat er elke week mooie updates komen en staan ze graag in contact met de klant om te zorgen dat alles naar wens is!

De gehele uitgave is hier te vinden. Interesse in Neo4Z? Klik hier om naar de Neo4z-website te gaan!

Cyber4Z Solutions is opgenomen bij de Cloud Security Alliance!

Neo4Z, het product dat wordt ontwikkeld door Cyber4Z Solutions, is sinds juli 2021 officieel opgenomen bij het internationale Cloud Security Alliance (CSA)! Het CSA is het bekend programma dat bijdraagt aan security assurance in de cloud. Cyber4Z en Cyber4Z Solutions zijn er trots op dat ons nieuwe product is geaccepteerd door CSA.

Neo4Z biedt SAAS-oplossingen voor assetregistratie, applicatiebeheer, datasets en heeft een eigen ticketingsysteem. Neo4Z is gebouwd voor kleine en grote bedrijven, heeft maandelijkse functie-updates en standaardintegraties met andere beveiligingsproducten. Neo4Z is gebouwd met beveiliging in het achterhoofd en gebouwd door beveiligingsexperts.

De registratie is hier te vinden, samen met het uitgevoerde assessment met toegelicht hoe ruim 300 controls aanwezig zijn.

Rob Mellegers aanwezig in webinar Centric!

Centric heeft onlangs een webinar uitgebracht waarin Rob Mellegers, eén van de oprichters van Cyber4Z, mocht vertellen over zijn werkzaamheden als CISO bij de gemeente Heerlen! Al onze collega's praten graag over hun werkzaamheden en ervaringen, dus we zijn trots dat Rob zijn verhaal mocht doen bij Centric.

Vanuit zijn functie heeft hij onder meer te maken met het gebruik van veilige wachtwoorden en oplossingen hiervoor. Eén van tooling die gebruikt wordt, is MindYourPass, een partner van Cyber4Z welke een revolutionaire wijze heeft ontwikkeld om op een veilige manier met wachtwoorden om te gaan.

Het webinar is hier te vinden. Veel plezier met kijken!

Cyber4Z verwelkomt een nieuwe collega: Andra-Elena Albisoru!

Op 1 mei sluit Andra-Elena Albisoru zich aan bij Cyber4Z en helpt ze bij het overbruggen van wetgeving en privacy met veiligheid bij onze klanten. We willen Andra van harte welkom heten!! Hieronder stelt ze zichzelf voor.

Na in 2017 van Roemenië naar Nederland te zijn verhuisd om mijn droom na te jagen en een diploma rechten te behalen, heb ik mijn bachelor Europees recht aan de Universiteit Maastricht afgerond. Verderop besloot ik om ook de master Ondernemings- en Handelsrecht aan de Universiteit Maastricht te gaan volgen.

Als resultaat van deze 2 graden ben ik nu afgestudeerd in Privacy en Data Protection. Om mezelf ook vertrouwd te maken met de technologische wereld, heb ik in 2020 ook een stage gelopen bij een webontwikkelingsbedrijf, waar ik de taak kreeg om cookie-wall-inhoud, privacybeleid en strategische IT-plannen te maken. Ik heb zin om deel uit te maken van de Cyber4Z-community en ben benieuwd wat de toekomst voor mij in petto heeft!

Cyber4Z verwelkomt een nieuwe collega: Rick van Leeuwen!

Op 1 april start Rick van Leeuwen als security consultant bij Cyber4Z. Rick zal met zijn technische achtergrond onze klanten gaan helpen met het verbeteren van hun beveiliging. Alvast welkom Rick en top dat je ons komt versterken! Rick stelt zich hieronder voor:

Mijn naam is Rick van Leeuwen en ik heb een achtergrond in ethisch hacken en securityconsulting. Na mijn studie software engineering & cyber security heb ik vijf jaar gewerkt als securityconsultant en ethisch hacker. Ik kijk er naar uit om bij Cyber4Z aan de slag te gaan met technische opdrachten en om klanten te ondersteunen bij hun security vraagstukken.

In mijn vrije tijd knutsel ik aan mijn hobby-servertjes en ontwerp en bouw ik allerlei nuttige maar zeker ook minder nuttige objecten met mijn 3D-printers. Daarnaast ben ik lid van scouting wat een mooie uitlaatklep is na een week op (thuis)kantoor.

Cyber4Z en FERM gaan samenwerken!

FERM helpt bedrijven rondom de Rotterdamse haven om digitaal weerbaarder te worden. Cyber4Z is blij om aan te kondigen dat wij met FERM mogen gaan samenwerken. Cyber4Z zal helpen met het opzetten en beheren van een communicatieplatform voor participanten en zal helpen met het verkrijgen van dreigingsinformatie van diverse bronnen.

Samen staan we sterk!

Cyber4Z bestaat vijf jaar!

In 2015 is Cyber4Z opgericht door Rob Mellegers en Mathé Grippeling. Intussen is Matthijs Nelissen ook toegetreden als co-owner. In de tussentijd hebben wij mooie dingen weten te bereiken! Hierbij een overzicht van de laatste vijf jaar.

We zijn in vijf jaar behoorlijk gegroeid en hebben dat met eigen middelen kunnen realiseren. Daarbij zijn we actief op internationaal gebied, waarbij we een aantal succesvolle samenwerkingsverbanden hebben kunnen creëren die voor alle partijen succesvol bleken. En dat is belangrijk, want in deze roerige tijden hebben we elkaar harder nodig dan anders en het is belangrijk dat we daarbij succes niet alleen bij onszelf houden, maar delen met onze strategische partners. We hebben een groot aantal certificeringen succesvol weten af te ronden en niet alleen ISO27001, maar ook TISAX en BIO inrichtingen. Zo hebben we de eerste gemeentelijke organisatie helpen voorzien in de eerste officiële verklaring dat ze in opzet en bestaan voldoen aan de BIO. Daarnaast zijn we een nieuw avontuur aangegaan door ons te storten in de ontwikkeling van een IT Service Management oplossing dat zich echt onderscheid van andere producten doordat security ingebed is in de oplossing. Grote namen als SSH en KPN hebben hun producten gekoppeld aan de oplossing, omdat ook zij het belangrijk vinden om beveiliging hoog in het vaandel te hebben.

We zijn blij met deze ontwikkelingen maar blijven scherp op de eisen en wensen van onze klanten. Daarvoor hebben we continu input nodig en versterken we ons team met 'continuous learning' zodat we onze klanten kunnen blijven voorzien van gedegen advies op basis van kennis en kunde. We kijken vol vertrouwen uit naar de volgende vijf jaar met nieuwe uitdagingen, ontwikkelingen, kleine en grote successen en vooral een hecht en sterk team dat passie heeft voor hun vak en vooral vol overgave en plezier werkt aan hun opdrachten.

Cyber4Z stelt onze nieuwe collega voor: Yu-Mei Liebregt!

Cyber4z is wederom verheugd om een nieuwe collega voor te stellen. Yu-Mei is tijdens haar studie in aanraking gekomen met cybersecurity en start bij Cyber4Z met haar carrière. Wij willen haar van harte welkom heten bij het team! Hieronder stelt zij zichzelf voor.

Mijn naam is Yu-Mei Liebregt. Sinds kort ben ik afgestudeerd vanuit de opleiding Integrale Veiligheidskunde. Tijdens deze opleiding ben ik meer te weten gekomen over cybersecurity en cybercrime. In Utrecht heb ik de minor Privacy- en Informatieveiligheid gevolgd, wat mijn interesse richting de cybersecurity vergrootte. Voor mijn scriptie heb ik een bedrijfscontinuïteitsplan gemaakt, waarna ik in aanraking gekomen ben met Cyber4Z. Cyber4Z biedt een mooie combinatie tussen het beleidsmatige/ISO gedeelte en de technische kant, wat mij enorm interesseert. Ik heb dan ook heel veel zin om aan de slag te gaan en veel te leren!

Cyber4Z stelt onze nieuwe collega voor: Don Mulders

Cyber4z is wederom verheugd om een nieuwe collega voor te stellen. Don heeft ervaring als software engineer, pentester en security analyst en zal deze mooie skillset bij onze klanten gaan inzetten. Welkom bij het team! Hieronder stelt hij zichzelf voor.

Mijn naam is Don Mulders en ik heb een achtergrond in IT en IT Security. Specifiek heb ik een bachelor in Game Technology, waarna ik een master in Information Security Technology heb behaald. Daarnaast heb ik vele jaren ervaring in verschillende programmeertalen. Ik hou ervan om 'out-of-the-box' te denken en een brug te slaan tussen techniek en mens. Cyber4Z bied mij een breed aantal kansen, om zowel mijn technische achtergrond in te zetten en om mijzelf verder te ontwikkelen in de beleidsmatige kant van informatiebeveiliging. In mijn vrije tijd speel ik van allerlei spellen; borspellen, Pathfinder, en ook online games.

Cyber4Z werkt samen met het Cyber Weerbaarheids Centrum aan de ontwikkeling van een threat intelligence platform

Cyber4Z is een vaste partner van het Cyber Weerbaarheidscentrum Brainport (CWB). Samen met het CWB heeft Cyber4Z een Malware Information Sharing Platform (MISP) opgezet. Middels dit platform ontvangen de participanten van het CWB, veelal bedrijven in de hightech- en maakindustrie, zogenaamde events vanuit het Nationaal Cyber Security Center. Hiermee worden participanten actief geïnformeerd over eventuele kwetsbaarheden en dreigingen. Daarvoor leveren participanten hun ip-adressen en een lijst van gebruikte hard- en software bij het NCSC aan, deze participanten krijgen nu actuele en voor hen relevante informatie.. Inmiddels is dit nieuws opgepikt door verschillende media. Cyber4Z is trots dat zij deze dienst hebben mogen opzetten voor het CWB en de vele participanten!

Bezoek hier de website van het CWB en bezoek hier het artikel van Computable.

Cyber4Z stelt onze nieuwe collega voor: Martijn Claes!

Cyber4Z is verheugd een nieuwe collega voor te stellen: Martijn Claes zal eind augustus beginnen en gaat zich focussen op de technische aspecten binnen cyber security en penetratietesten. Welkom bij het team, Martijn! Hieronder stelt hij zich voor.

Tijdens het behalen van mijn Master of Electronics and ICT engineering ontdekte ik het cybersecurity-domein. Ik werk al 5 jaar in de IT met een specialisatie in beveiliging, meer specifiek binnen de infrastructuurbeveiliging. Vanuit mijn pentesting-achtergrond heb ik met succes de penetratietests voor beveiliging beheerd en uitgevoerd en heb ik klanten duidelijk advies en ondersteuning gegeven over het toepassen van fixes. Mijn grootste tevredenheidsfactor is het helpen van organisaties bij het vinden van de zwakke punten die hen kwetsbaar maakt en het geven van aanbevelingen voor het oplossen hiervan.

Cyber4Z verwelkomt onze nieuwe collega Brandon!

Cyber4Z is verheugd aan te kondigen dat per 1 juli onze nieuwe collega Brandon deel uitmaakt van ons team! Hij zal zich gaan focussen op software development. Hieronder stelt hij zich voor.

Mijn naam is Brandon Kleijnen en ik heb vorig jaar mijn HBO ICT studie afgerond met specialisatie in Software Development. Tijdens mijn HBO studie heb ik een aantal jaren gewerkt bij een computer service dienstverlener. Ik sta aan de start van mijn carrière en wil hierdoor zoveel mogelijk kennis op doen. Klant- en oplossingsgericht werken is voor mij een belangrijke kracht en dit wil ik graag inzetten bij Cyber4Z. Op het moment dat ik mensen help met hun vraagstukken en deze succesvol beantwoord, dan krijg ik hier voldoening van.

Interview met Arissa d'Fonseca - Consultant bij Cyber4Z

Arissa is sinds 1 oktober 2019 werkzaam bij Cyber4Z waarbij ze leren en werken combineert. Wij waren benieuwd naar haar ervaringen en tips als startende security consultant.

Wat doe je bij Cyber4Z?

Ik word op dit moment ingezet bij een grote klant als Risk Manager, waar ik me voornamelijk bezighoud met het beheer van het risico register. Hierbij zit ik maandelijks met de verschillende Risk Managers samen om de voortgang te bespreken en hier rapporteer ik op. Daarnaast doe ik applicatie intakes waarbij we meer inzicht krijgen in de risico's bij het gebruik van deze applicaties en welke informatie er op welk systeem staat.

Dan spreek je best wel veel mensen!

Jazeker, ik sta ervan versteld hoeveel collega's er rondlopen en hoe veel verschillende mensen er in dienst zijn. Ik vind het heel belangrijk en voel me ook beter bij de sfeer van een groot bedrijf.

Wat vind je het leukste aan je werk?

Het werken met collega's en mensen vind ik het allerleukst. Ik kan goed levellen met iedereen waardoor het gesprek altijd prettig wordt.

Is er iets over werken als consultant dat je van tevoren had verwacht maar heel anders blijkt?

Het klinkt misschien heel raar maar dan ben ik wel eerlijk, ik had verwacht dat er in het eerste jaar wat minder vertrouwen was, ik krijg heel veel vrijheid en vertrouwen om mijn werk te kunnen doen en dat helpt enorm.

Heb je een gouden tip aan mensen die nu studeren voor het werk later?

Ik zou echt zeggen, knal dat eerste jaar erdoor, haal je propedeuse en ga solliciteren. Als je de opleiding start, is het heel belangrijk om de ervaring in het werkveld op te gaan doen. Verdiep je alvast in het werkveld, want school is een heel ander gebied.

Heb je dan nog een tip voor opleidingen over hoe ze lessen aanbieden?

Dat een opleiding zich in eerste instantie meer in het werkveld moet verdiepen, ik zie bij opleidingen als voorbeeld 5 vakken die eigenlijk allemaal om hetzelfde draaien maar net een andere beschrijving. Ik zou meer ingaan op specifieke onderwerpen en de verschillende kanten en mogelijkheden. De opleidingen zouden nu te generiek zijn. We trainen te veel globalisten. Als je iets met het werkveld doet, heb je er al meteen meer aspecten van.

Artikel: wat is ransomware en hoe werkt het?

Wat is ransomware?

Ransomware, ook wel gijzelsoftware genoemd, is een type malware dat gegevens, maar ook systemen en een heel netwerk versleutelt, waarbij het slachtoffer geld moet betalen om weer toegang te krijgen. Dit wordt meestal door criminele organisaties gedaan om geld te verdienen. Ransomware is de afgelopen jaren flink in populariteit toegenomen onder kwaadwillenden. Zo is het aantal bij toonaangevende verzekeraar Chubb geregistreerde ransomware-aanvallen de afgelopen jaren gemiddeld 12% per jaar gestegen ten opzichte van het voorgaande jaar, waarbij het aantal aanvallen in 2019 met zelfs 18% is gestegen. Eén van de bekendste ransomware is WannaCry, waarbij internationaal verschillende organisaties werden getroffen.

Wijzen en methodes

Er zijn meerdere manieren waarop een ransomware een computer of netwerk kan infecteren. De meest voorkomende manier is via spam: e-mails die worden verstuurd om de ontvanger te verleiden op een link te klikken of een bestand te openen. Een andere manier is door het bezoeken van geïnfecteerde websites, waarbij bezoekers automatisch malware downloaden. Dit kunnen websites zijn die speciaal zijn ontworpen om ransomware te verspreiden, maar ook websites die zelf geïnfecteerd zijn zonder dit te weten.

Aanbeveling

Wanneer uw organisatie te maken heeft met ransomware, wordt altijd aanbevolen om geen bedrag te betalen om uw bestanden, systemen en netwerken te ontgrendelen. De reden hiervoor is dat de kwaadwillende vaker bij je terug zal komen en bovendien is deze persoon niet te vertrouwen, waardoor geen zekerheid wordt geboden dat je bestanden worden vrijgegeven. Cyber4Z ondersteunt u en uw organisatie bij het helpen voorkomen van ransomware aanvallen. Hierbij gebruiken wij onder meer bewezen technologieën en organisatorische maatregelen om uw organisatie beter voor te bereiden op eventuele ransomware aanvallen. Neem vrijblijvend contact met ons op voor meer informatie, wij helpen u graag verder!

Cyber4Z & Cyber4Z-GCC succesvol in de Golfregio tijdens de Cyber Security Conference in Koeweit-stad

Cyber4Z-GCC was succesvol aanwezig tijdens de 2e Cyber Security Conference in Koeweit-stad. Prof. Dr. Safaa Zaman, hoogleraar aan de Universiteit van Koeweit en algemeen directeur van Cyber4Z-GCC, organiseerde dit tweede evenement met steun van zijne Hoogheid, de premier Sheikh Jaber Almubarak Alhamad Alsabah. Rob Mellegers werd uitgenodigd om te praten over de risico's van open bronnen. Hij had 4 bedrijven in Koeweit beoordeeld uit open bronnen, zonder een scan of penetratietest uit te voeren. De resultaten zijn naderhand gepresenteerd en besproken. Mede dankzij de oplossing van Cyber4Z partner SecurityScoreCard konden we veel interessante resultaten vinden. Deze oplossing zal verder worden toegepast voor Third party Management. Sommige andere Nederlandse producten zijn ook gepresenteerd, zoals de Ubikey. Een uitvinding van NXP om authenticatie zonder wachtwoorden te verwerken.

.

Cyber4Z gaat het Cyber Weerbaarheidscentrum Brainport ondersteunen met het uitvoeren van security healthchecks bij een deel van de aangesloten organisaties

Cyber Weerbaarheidscentrum Brainport heeft als eerste in Nederland een Cyber Weerbaarheidscentrum om bedrijven binnen de kennisintensieve industrie te helpen met weerbaarheid tegen digitale spionage en sabotage. Daarmee is de hightech regio de koploper in Nederland die – naast de door het Rijk aangewezen vitale sectoren (zoals gezondheidszorg, energie, haven, etc.) – serieus werk maakt van cyberweerbaarheid.

Voor meer informatie over CWC Brainport, kijk op LinkedIn of op de website van Brainport.

Cyber4z verwelkomt nieuwe collega: Arissa!

Cyber4Z is blij met de komst van een nieuwe consultants die ons team per 1 oktober komt versterken, hieronder stelt ze zich voor. Welkom Arissa en en heel veel succes en plezier!

Ik ben Arissa D’Fonseca en op dit moment zit ik in het 3e jaar van de opleiding HBO ICT en specialiseer ik mezelf in Cyber Security. Ik ben erg nieuwsgierig naar het werkveld in de Cyber Security branche. Cyber4Z geeft mij de kans om studeren, werken en ervaring opdoen, te combineren. Er is nog veel dat ik wil leren en ik verwacht stukje bij beetje mijn kennis en expertises uit te breiden en dit uiteindelijk zorgvuldig toe te passen bij Cyber4Z en haar klanten.

Cyber4Z positief beoordeeld op ISO 27001 en 9001 surveillance audit

Cyber4Z is inmiddels al een aantal jaren gecertificeerd tegen de ISO27001 en ISO9001. Certificatie is een manier om formeel te bewijzen dat we op een verantwoordelijke manier omgaan met vertrouwelijke informatie doordat we op een gestructureerde wijze een informatiebeveiligingsmanagementsysteem hebben opgezet. In de eerste drie jaar worden we jaarlijks getoetst door middel van een surveillance audit. Als er zich wijzigingen in het managementsysteem hebben voorgedaan, wordt onafhankelijk getoetst of we deze wijzigingen op een verantwoorde wijze hebben ingericht. Omdat we onze klanten helpen met verschillende certificeringstrajecten, vinden we dat we zelf ook moeten voldoen aan de security richtlijnen en standaarden uit de norm. Daarom zijn we verheugd dat DEKRA wederom heeft erkend dat wij ons certificaat mogen blijven handhaven. Complimenten voor het gehele team dat in een continu verbetertraject de activiteiten heeft geborgd en ons management systeem en de daarbij ingerichte maatregelen beheersen, en dus de risico’s adequaat managen!

Strategisch partnership tussen Foreach-IT & Cyber4Z

Cyber4Z is trots om te mogen aankondigen dat Foreach-IT en Cyber4Z een contract hebben getekend voor een strategisch partnership. Daarin worden we in staat om naast consultancy ook security software te kunnen leveren. De focus van deze software is gericht op risk en compliance en dan met name technische compliance conform de BIO (Baseline Informatiebeveiliging voor de Overheid), welke is afgeleid van ISO 27001:2017 en ISO 27002:2017. Daarnaast worden in de software, in een partnership met SSH, toegangsmechanismen verwerkt zodat beheerders gecontroleerd toegang krijgen tot de door hen beheerde systemen waarbij de sleutelwoorden beheersbaarheid, controleerbaarheid en onweerlegbaarheid worden toegepast.

Mooie samenwerking tussen Brunel en Cyber4Z!

Brunel organiseert het exclusieve 'Meet & Inspire event: Ethical Hacking' op donderdag 6 juni '19 in Van der Valk Hotel Brussels Airport voor professionals binnen cybersecurity en informationsecurity. Vanuit Cyber4Z zullen Rob Mellegers en Raf Martino die avond met u hun expertise delen met ethicalhacking. Wil u aanwezig zijn als onze gast? Meldt u dan aan via EventsBE@brunel.net. Wees er snel bij, want de plaatsen zijn beperkt. .

Frank van Hooft, onze nieuwe collega in de rol van Senior Security Consultant

Mijn naam is Frank van Hooft, per 1 maart treed ik in dienst bij Cyber4Z als Senior Security Consultant. Met een achtergrond in proces en project management ben ik twaalf jaar geleden in aanraking gekomen met informatiebeveiliging. De breedte en diepte van de informatiebeveiliging heeft mij gegrepen. De veelheid van onderwerpen zoals risico's en mitigerende maatregelen, de lastige communicatie tussen "de business" en "IT" zijn enkele voorbeelden van de wereld waarin ik me thuis voel. Mijn energie krijg ik door "business" te ondersteunen hierin.

Ik woon in Almkerk, samen met mijn vrouw en zoon van 22. Mijn hobbies zijn muziek, lezen, Schotland verkennen en erop uit gaan op m'n motor.

Cyber4Z wenst u een succesvol 2019 toe!