Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tweakers Partners

Achmea deelt praktijkverhalen over security in webinar op 2 juni

14-05-2020 • 08:00

22 Linkedin

Aanvallen op financiële dienstverleners vinden de klok rond plaats. Bij AchmeaAchmea zitten securityspecialisten daarom geen moment stil. Op 2 juni delen zij hun ervaringen in een webinar. Meld je nu aan voor dit event vol tips, tricks en verhalen over waargebeurde hacks!

Security is een hot topic bij financiële dienstverleners. Als klant wil je op elk moment je verzekeringszaken online kunnen regelen, dus applicaties en infrastructuur moeten altijd veilig blijven. Wil je ook weten hoe dit achter de schermen gebeurt? Schrijf je dan in voor het webinar van Achmea op 2 juni. In een drietal talks geeft het bedrijf een kijkje in de keuken. Daarbij komen ook analisten, pentesters en andere securityspecialisten aan bod die laten zien hoe ze garanderen dat jij veilig je schademelding kunt doen of je polis online kunt regelen.

Veel expertise in huis

Programma *

18:55 - 19:00 | Online inloop
19:00 - 19:30 | Even Apeldoorn Hacken - Talk Daniël Gorter en Magali Kouwen
19:30 - 19:40 | Vragen
19:40 - 19:50 | Pauze
19:50 - 20:20 | Hacken binnen en buiten Achmea! - Praktijkcase 1 door Peter Stegeman
20:20 - 20:30 | Vragen
20:30 - 20:40 | Pauze
20:40 - 21:10 | Déjà vu - Praktijkcase 2 door Enriko Groen en Kadir Kalayci
21:10 - 21:20 | Vragen
21:20 | Einde

*tijden onder voorbehoud

Dat bij een financiële dienstverlener als Achmea niet alleen kennis over verzekeren, maar ook over security aanwezig is, zal in het webinar duidelijk worden. Het event start met de talk van Daniël Gorter en Magali Kouwen van Achmea’s IT Security. Zij laten zien hoe security is ingeregeld binnen Achmea, welke teams actief zijn en op welke manier zij de zaken aanpakken. Het bedrijf heeft cybersecurityspecialisten met uiteenlopende expertisegebieden in dienst. Zij richten zich onder meer op malware, netwerken, forensisch onderzoek, inlichtingen, threat hunting en scripting.

Achmea test de eigen applicaties en infrastructuur voortdurend op risico’s en kwetsbaarheden. Peter Stegeman van Achmea’s Security Assessment Team (SAT) laat zien hoe dit pentesten werkt. Hij voert aanvallen uit op verschillende systemen, waarbij hij naar zwakheden zoekt die mogelijk toegang geven tot gevoelige functies en gegevens. Doet het systeem (onbewust) dingen die het niet mag doen? Stegeman neemt je mee in een hack die hij heeft uitgevoerd. Hoe kun je als hacker misbruik maken van goedbedoelde functionaliteiten en daarmee diep in een organisatie binnendringen? In een talk zal hij een aantal van zijn geheimen prijsgeven.

Proactief richting dreigingen

De financiële dienstverlener verwerkt voortdurend grote aantallen security-events. Diverse systemen zijn in staat om veel aanvalspogingen een halt toe te roepen, maar tegelijkertijd blijft ook mensenwerk onmisbaar. Experts onderzoeken incidenten en reageren proactief richting aanvallers. Threat hunting en cyber threat intelligence zijn bij Achmea dagelijkse kost. Een praktijkvoorbeeld van een hack en hoe hiermee wordt omgegaan krijg je van Achmea’s security-analisten Enriko Groen en Kadir Kalayci. Zij laten zien welke dilemma’s ze in een werkdag kunnen tegenkomen en welke beslissingen ze nemen om Achmea zo veilig mogelijk te houden, zowel voor alle klanten als voor de werknemers.

Meld je aan

Natuurlijk wil jij worden uitgekozen om hierbij aanwezig te zijn. Meld je daarom meteen aan via onderstaande poll. Treuzel er niet mee, want dit webinar zit binnen de kortste keren vol. Het aantal beschikbare plaatsen is beperkt!

Wil jij deelnemen aan het Security-webinar van Achmea en Tweakers op 2 juni?

Poll

De opties zijn uitgeschakeld omdat de deelname gesloten is

Actievoorwaarden

  • Meedoen kan tot 27 mei 2020 23:59 uur, alleen via de poll.
  • Alleen ingelogde bezoekers kunnen deelnemen.
  • Je kunt één keer aan de poll deelnemen.
  • Aanwezigen krijgen uiterlijk 28 mei 2020 bericht per mail in de vorm van een officiële uitnodiging. Niet-aanwezigen ontvangen geen bericht.
  • Aanwezigen worden at random geselecteerd. Over de uitslag wordt niet gecorrespondeerd.
  • Deelnemers zijn op dinsdag 2 juni 2020 beschikbaar om het gehele programma te volgen.
  • De uitnodiging voor het evenement is strikt persoonlijk en kan niet worden overgedragen.
  • Er is plek voor 160 personen.
  • Klachten kunnen via klachten@tweakers.net ingediend worden.
  • Medewerkers van Tweakers zijn uitgesloten van deelname.

Dit artikel is geen redactioneel artikel, maar gesponsord en deels tot stand gekomen dankzij onze partner(s). Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen], daar zullen collega's aanwezig zijn om jouw vragen en/of opmerkingen te bespreken/beantwoorden.

Reacties (22)

Wijzig sortering
Ik heb even genoeg van de technische cybersecurity webinars, het is leuk om te zien hoe een firewall met UTM een malware file tegen kan houden, of hoe een next-gen antivirus ransomware kan ontdekken en de versleutelingen terugdraaien, maar er zijn 10.000 producten en fabrikanten die allemaal hetzelfde beloven en het komt er op neer dat je weer maar een deel van je IT-omgeving hebt beveiligd. Het lijkt me boeiender om iets over de security lifecycle te horen, welke frameworks worden er gebruikt, zijn dit bestaande zoals ISO, NIST, CIS of zijn er bedrijven die zelf frameworks uitwerken? Hoe wordt er omgegaan met die frameworks in de praktijk? Hoe worden budgetten onder controle gehouden? Is er een security core team en wat zijn hun functies? Welke user awereness is er in place? M.a.w. veel overkoepelender. Uiteraard wel succes gewenst voor deze webinar, er zullen zeker een hoop geïntresseerden zijn die zo'n hacks in de praktijk wel eens willen zien en hoe ze aangepakt worden.
Een interessante insteek. Het is een beetje een dooddoener als term, maar in pricipe bestaat het uit een mix van people, processes en technology.

Tooling is natuurlijk wel veel spannender om te laten zien dan een management framework. Als je daar meer interesse in hebt zou je een kunnen kijken bij het PvIB (https://www.pvib.nl/). Er zijn ook andere clubs zoals ISACA of ISC2 natuurlijk. Vaak moet je hier wel lid voor zijn overigens.
Tooling is interessanter om te laten zien omdat er makkelijker (en meer) geld mee verdiend wordt. Maar puntje bij paaltje is tooling vaak maar 20% van de oplossing. Je wilt niet weten hoeveel tooling er bij bedrijven draait en niet (goed) gebruikt wordt.

In de reacties hier zie ik ook vaak terugkomen dat dit onderwerp breder is dan ICT, in mijn ogen ook vaak onderbelicht. En als er wat breder wordt gekeken, dan gaat het over awareness. Maar dat is ook al zo'n achterhaald containerbegrip. Heel NL is nu 'aware' dat we 1,5 meter afstand moeten houden, maar een groot deel doet het niet. Het gaat dus veel meer over 'behaviour'. Hoe stimuleer je je personeel om gewenst gedrag te vertonen? Hoe zorg je dat ze voor al hun wachtwoorden een password manager gebruiken? Dat ze niet zomaar alle excel-files met macro's openen, etc. Dat doe je niet met een 'awareness'-cursus of e-learning in de onboarding...

De oplossing die vaak gebruikt wordt is om harde controls in te richten die de organisatie vaak weer afremmen. Op sommige plekken absoluut noodzakelijk (encrpytie, user access, etc.), maar op veel plekken heeft het veel meer zin om mensen echt bewust te maken van de risico's en continu met ze in gesprek te gaan om hun gedrag te veranderen.

Ik ben het met @Tha Render_2 eens en zou ook hier graag wat meer over horen hoe de 'grotere' bedrijven de meer 'people & process' gerichte vraagstukken aanvliegen. De huidige 'technology' webinars zijn of verkooppraatjes of 'kijk-eens-hoe-goed-wij-het-doen'-seminars...

[Reactie gewijzigd door RobbieB op 14 mei 2020 10:09]

De oplossing die vaak gebruikt wordt is om harde controls in te richten die de organisatie vaak weer afremmen. Op sommige plekken absoluut noodzakelijk (encrpytie, user access, etc.), maar op veel plekken heeft het veel meer zin om mensen echt bewust te maken van de risico's en continu met ze in gesprek te gaan om hun gedrag te veranderen.
Het probleem is idd vaak niet het technische vlak van beveiliging. Maar het bewustzijn bij de gebruikers.
Bij ons was jaren lang de gedachte dat "het netwerk" wel voor beveiliging zou zorgen. Maar later vond er gelukkig een kentering plaats naar bewustwording van beveiliging op servers etc.

Helaas is alleen de standaard gebruiker nog steeds in de veronderstelling dat dat voldoende is en de techniek hen voldoende beschermd. Ondanks diverse awareness trainingen en campagnes.
En ook al is er steeds meer en meer awareness, dan nog is en blijft dit een continue proces waar je als bedrijf aan moet blijven werken.

Social enginering is nog steeds het grootste gevaar.

[Reactie gewijzigd door Thasaidon op 14 mei 2020 19:19]

Bij mijn grote bedrijf gaat zo: er is erg veel dat verbeterd kan worden. Kleine teams zetten zich in om te zorgen dat bijvoorbeeld alle Linux instances worden getest t.o.v. CISCAT criteria en dat bepaalde risico's niet voorkomen op de images. Ze zorgen dat dit geautomatiseerd verloopt omdat er uiteraard duizenden verschillende instances draaien binnen het bedrijf.

Daarnaast zijn er teams die risico mitigatie van buiten af op een modernere manier mitigeren dan de traditionele security vendor, waardoor er eigenlijk veel minder rotzooi de DMZ binnenkomt.

Een ander team zorgt er voor dat van alles wordt gelogd en dat de logs op andere plekken worden opgeslagen dan waar de servers toegang toe hebben. Met dan weer real time analyse en directe acties naar mensen en systemen indien een "buiten afgesproken criteria" optreed.

Verder gaan we er vanuit dat internet even 'onveilig' is als het interne netwerk, dát besef heeft veel tijd gekost om te bereiken.

Een ding weten we zeker: niets is helemaal dicht zolang er mensen mee werken of mensen het opzetten.
Uiteraard voldoen de moderne systemen aan alle ISO en NIST voorwaarden, hoewel we soms voor wat modernere encryptie kiezen dan NIST voorschrijft, vaak kijken we ook naar PCI-DSS en HIPAA ook voor "normale" data, zodat je zeker weet dat je het proces goed inricht voor het geval er later tóch gevoeligere data moet worden verwerkt.

Uiteraard hebben bedrijven als Achmea ook systemen die al heel lang mee gaan en waarvan de functionaliteit lastig of niet (ook niet voor meerdere miljoenen) is over te zetten naar nieuwe systemen. Dit soort systemen zijn opgezet in een tijd dat SSL nog niet bestond en data opslag duur was, een deel van die systemen hebben nog steeds eigenschappen die ontworpen zijn in die context.
Daarom worden continue processen verbeterd rondom het werken met die systemen en wordt het gebruik van de systemen steeds meer beperkt. Denk bijvoorbeeld aan het niet meer toevoegen van nieuwe functionaliteit, leesacties verplaatsen naar modern systemen etc.

Bij ons worden mensen meerdere keren per jaar getraind op diverse manieren m.b.t. data veiligheid, insluipen, rare vragen herkennen etc. - op vaste momenten én wanneer er een incident in onze sector of binnen de muren heeft plaats gevonden. We hebben spelvormen, beloningssystemen, online trainingen, sprekers, artiesten, bekende mensen, etc. die daarbij helpen om het niet saai te maken. Ook doen we intern onaangekondigde proeven om te toetsen of het gedrag van mensen verbeterd. En uiteraard nemen we dat weer mee in het verbeteren van de bewustwordingscampagne. En helaas zoals bij de rest van Nederland is ons bedrijf niet perfect.

[Reactie gewijzigd door djwice op 14 mei 2020 09:29]

Ook hier zie je weer dat security wordt gezien als een centraal ICT issue want alleen maar techtalks en technies. Security is een veel breder begrip en ict beveiliging is slechts een onderdeel ervan. In het verhaaltje van Achmea zie ik bijv. helemaal niets terug over social hacking, strakke procedures (hoe zit het met BYOD van buitenaf en het meenemen van werkbestanden naar huis etc) enz. Een kluis kan nog zo veilig op slot zitten als de sleutel een beetje rondslingert binnen het bedrijf, tja.

Ter onderbouwing van mijn betoog:
Datalek bij Achmea: gegevens duizenden verzekerden op straat (2018)
De gegevens van duizenden klanten van Achmea liggen na een hack op straat. Het datalek bij de grootste verzekeraar van Nederland is vermoedelijk ontstaan via een medewerker op een kantoor in Apeldoorn, of via iemand uit de omgeving van deze werknemer.

,We hebben gesproken met de medewerker in Apeldoorn, via wie het lek lijkt te zijn ontstaan.’’
Bron: https://www.ad.nl/binnenl...erden-op-straat~a542695e/

Gerucht gaat dat Achmea het ook eerst onder de pet wilde houden volgens DataLek Claim: https://datalek-claim.nl

En als je als personeel iets aan de kaak wilt stellen binnen het bedrijf wat betreft naleven van de AVG wordt spontaan je contract niet verlengd volgens: https://www.lc.nl/friesla...er-eindigde-24163454.html
Twee uitzendkrachten van Randstad waarschuwden voor een datalek bij verzekeraar Achmea in Leeuwarden. Prompt werd hun contract niet verlengd.
[...]
Volgens de twee dissidenten was die werkwijze in strijd met de Algemene verordening gegevensbescherming (AVG), die in het voorjaar van 2018 van kracht was geworden. Ze trokken bij hun leidinggevenden aan de bel, maar die reageerden helemaal niet op hun meldingen.
Wat er wel gebeurde was dat de ‘klokkenluiders’ op straat belandden.
Maar goed een ieder moet z'n eigen mening vormen. De pers vertelt vaak ook niet alles of verdraait zaken voor sensatie, dus dat mag je ook niet altijd zo maar voor waar aannemen.

[Reactie gewijzigd door CyberMania op 14 mei 2020 08:34]

mmm, tendentieuze berichten, uit hun verband gerukt en hier samen gebracht.
Ik ben deels eens met wat je schrijft, maar je "onderbouwing" ontkracht het eerder dan dat het versterkt.
Werk je bij Achmea? In dat geval ontkracht je eerder je eigen onderbouwing dan het versterkt denk ik. Iets met wij van wc-eend. Want als medewerker van Achmea zou ik het ook niet snel durven bekritiseren: 'Dont bite the hand that feeds you'. Tenzij je natuurlijk niet voor Achmea werkt, dan heb ik niks gezegd.

[Reactie gewijzigd door CyberMania op 21 mei 2020 11:52]

Interesting lijkt me
Vanwaar de harde cap van 160 personen op dit webinar?
Is dat om het aantal vragen te beperken?
Waarom niet ook gelijk 'uitzenden' op YouTube, voor alle anonieme belangstellenden?
@Davey400 thanks voor je vraag! Dit is wat de stream aankan. Maar ik kan wel eens uitzoeken hoe en wat er allemaal mogelijk is al we het gelijk uitzenden op YouTube. Thanks voor de tip en ik duik erin!
Cisco WebEx kan 10 duizenden deelnemers aan en kan je via RTSP stream ook koppelen aan Youtube.
Naast wat @Bl@ckbird al zegt, zijn er meer Streaming diensten voor een live event die met gemak meer mensen aankunnen, kijk bijvoorbeeld eens naar Live events in Microsoft Teams: https://docs.microsoft.co...lan-for-teams-live-events
Doe dan gewoon YouTube, Twitch of zelfs facebook, maar alsjebieft geen microsoft teams. Wat een onoverzichtelijke schijt applicatie is dat zeg...
Ik zou graag meer willen horen over wat er beveiligd wordt. In hoeverre werkt Achmea samen met databrokers? In hoeverre doen ze aan profiling van de klant? In hoeverre gebruiken ze machine learning om allerlei voorspellingen (inferences) over de klant te doen?

Ik heb met partijen gesproken die deze diensten aan Nederlandse verzekeraars leveren. En er zijn genoeg praktijkvoorbeelden te vinden op Kaggle en zelfs Github (zoals het voorspellen van je verwachtte levensduur).

Met andere woorden: beveilig je bij Achmea praktijken die (op dit moment nog) legaal zijn, maar ook behoorlijk onethisch?
Misschien ben ik nog niet helemaal wakker, maar wat is het verband tussen statistische inferentie en IT security precies?
Interessant, ik ben benieuwd!

Altijd goed om te leren van de (andere/meer) experts in andere en meer complexe omgevingen. Mogelijk kunnen we dat het bewustzijn en de verbeteringen in meerdere aspecten langzamerhand ook laten doorsijpelen in de MKB's van NL.
Te context. Achmea is met ~30% de grootste zorgverzekeraar, welke gebruik maakt van meerdere merken om zo beter te richten op bepaalde doelgroepen:
https://www.studentenverz...gverzekeraars-blijft.html

Wordt tegenwoordig voornamelijk gerund door ex politici:
https://www.verenigingach...-ons/organisatie/bestuur/
Als aanvulling op die context: Achmea is breder dan alleen zorg en biedt als grootste verzekeraar van Nederland bijv. ook schade en inkomensverzekeringen aan. Zie hun factsheet.

Het bestuur waar je naar linkt slaat op de Vereniging Achmea, dat is niet het bestuur van het bedrijf Achmea. Achmea is een coöperatieve verzekeraar waarbij de Vereniging Achmea 65% van de aandelen heeft. Vereniging Achmea behartigt de collectieve belangen van alle klanten (linkje waarin het verschil uitgelegd wordt tussen de Vereniging en het bedrijf Achmea)

edit: linkje gefixt

[Reactie gewijzigd door bribrab op 14 mei 2020 12:18]

Wordt tegenwoordig voornamelijk gerund door ex politici:
https://www.verenigingach...-ons/organisatie/bestuur/
Die link wijst naar de Vereniging Achmea en niet het bedrijf. De vereniging is de grootste aandeelhouder in het bedrijf.

[Reactie gewijzigd door downtime op 14 mei 2020 13:23]

Het is jammer dat het op dinsdag is. Als het nou op woensdag was had ik het graag willen zien. Hopelijk komt nog de mogelijkheid om het na te bekijken is.
Tja, Achmea doet niet aan security op woensdag :+ :+


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True