Advertorial

Door Tweakers Partners

Feedback • 20-05-2020 08:00 28

Securityspecialisten bij Achmea: “Geef het ons en we proberen het te hacken”

20-05-2020 • 08:00

28

Bij Achmea werken securityspecialisten met uiteenlopende expertisegebieden zij aan zij omAchmea indringers buiten de deur te houden. Maar soms is een ‘indringer’ een directe collega: Pentester Peter test met zijn team regelmatig de maatregelen van het team van IT Security Analist Daniël. “We maken elkaar echt sterker.”

Op 2 juni delen securityspecialisten van Achmea verhalen uit hun praktijk in een webinar. Wat kun je verwachten? Het beeld van de incidenten die zij tegenkomen verandert voortdurend, horen wij van Daniël Gorter (24), IT Security Analist bij Achmea. Integriteit van het dataverkeer is belangrijk voor Achmea, een groot bedrijf dat veel meer doet dan verzekeren alleen. Dit geldt evenzeer voor het beschermen van vertrouwelijke informatie. “Medische dossiers zijn op de zwarte markt veel geld waard. Dat is een voorbeeld van één van onze kroonjuwelen en die moeten wij met hand en tand verdedigen. Het doel is om klantdata te allen tijde veilig te houden.”

Het team van Daniël, het Cyber Defense Center (CDC), draagt binnen Achmea een brede "Ik denk dat we hier veel kunnen met het samenbrengen van data"verantwoordelijkheid. Detectie en monitoring zijn belangrijke taken, maar ook Cyber Threat Intelligence, Threat Hunting en digitaal sporenonderzoek zijn onderdelen van het werk. Zijn collega Peter Stegeman (56) is pentester in het Security Assessment Team (SAT). “We zijn de hele dag aan het hacken”, aldus Peter. Wat precies, dat maakt ons niet uit: het kan een koffieautomaat zijn, een server, een switch of een website. Geef het ons en we proberen het te hacken.”

Bewustzijn rondom security

Het verschil met veel andere bedrijven, zo merkt de ervaren ethical hacker op, is dat pentesten bij Achmea niet worden uitgevoerd voor het beruchte ‘audit-vinkje’. “Dat is zeker niet vanzelfsprekend, als ik verhalen van vakgenoten hoor en afga op mijn eigen ervaringen. Mensen nemen security hier serieus, onze rapporten verdwijnen niet in een la en als wij ontdekken dat een door ons onderzocht object onveilig is, is er altijd een manier om dat aan te geven. Ook als dat naar iemand toe is die in een hogere organisatielaag zit.”

Dat security zeker geen ondergeschoven kindje is bij Achmea, vindt ook Daniël. “Ik ben iets jonger dan Peter, maar ik merk ook wel dat hier steeds een goede afweging wordt gemaakt tussen continuïteit en veiligheid. En als securityspecialist krijg je veel ondersteuning, bijvoorbeeld in de vorm van opleidingen en de mogelijkheid om te leren on the job. Dat is hard nodig in ons vakgebied. Als je even twee weken op vakantie bent geweest loop je eigenlijk alweer achter, zo snel gaan ontwikkelingen.”

Hackermindset

“Ik denk dat we hier veel kunnen met het samenbrengen van data”, zegt Daniël. Veel bedrijven hebben wel een antiviruspakket, endpoint security en dat soort oplossingen, maar wij gebruiken verschillende tools om data bij elkaar te brengen en te verwerken. Doordat veel geautomatiseerd is kunnen wij snel ingrijpen waar nodig.” In het geval van Peter heeft het weinig zin om naar specifieke tooling te vragen. “Wij gebruiken gewoon alles wat we nodig hebben”, zegt hij. “Net als een kwaadwillende hacker die ook de beschikking heeft over een wereld aan software.”

“Jullie dagen ons ook uit, zodat we nieuwe dingen leren”, zegt Daniël tegen Peter. “Als jullie nieuwe aanvallen uitvoeren, kunnen wij daar onze detectie op inrichten. Wij steken veel op over hoe een aanval werkt. Maar andersom helpen we elkaar ook. Als Peter bijvoorbeeld een stukje malware wil schrijven om een antivirusprogramma te omzeilen dan vraagt hij ons om advies. We maken elkaar echt sterker.” Het SAT gaat proactief met een hackermindset op zoek naar zwakke plekken en krijgt soms ook de opdracht vanuit de business om de veiligheid van nieuwe functionaliteiten te testen. Peter: “Het komt geregeld voor dat ik aan het hacken ben en ik dan vervolgens Daniël of een van zijn collega’s hoor vragen: ‘Peter, wat ben je aan het doen?’”Uiteindelijk is het de bedoeling dat alle collega's beseffen dat security van iedereen is.

Peter kan zich voorstellen dat zijn inbraakpogingen hem niet per se de meest populaire collega maken binnen de organisatie, maar naar eigen zeggen ”valt dit reuze mee”. “Het begrip voor ons werk is de laatste jaren enorm toegenomen. Van bovenaf wordt hier constant gestuurd op het vergroten van de security awareness binnen heel Achmea. Door presentaties te geven aan de businesskant van ons bedrijf, waarbij we ook uitleggen wat we doen en waarom we het doen, dragen wij daaraan bij. Uiteindelijk is het de bedoeling dat alle collega’s beseffen dat security van iedereen is.”

Mooie momenten

Wat zijn nu leuke momenten in het leven van een IT Security professional bij Achmea? Peter: “Wij kregen eens vrijwaring om een Italiaanse leverancier te testen. Binnen een uur hadden wij hun hele omgeving gehackt. Zoals afgesproken meldden we dit direct bij de leverancier, die aanvankelijk behoorlijk boos was, omdat we hun productieomgeving hadden getest. Gelukkig bleek het om een misverstand te gaan en konden wij meteen een vrijwaring overleggen. Maar toch vroeg ik me even af: zit ik nu verkeerd?. Achteraf hebben ze ons heel erg bedankt, want juist door ons werk konden ze hun productieomgeving beter beveiligen.”

Daniël: “Wij deden een tijdje geleden een Red Team-oefening. Daarbij worden onze systemen door het SAT of externe collega’s getest. Zo hadden we een keer een test waarbij een apparaat in ons netwerk werd geplaatst, die wij al na 33 minuten in handen hadden, waarna we konden starten met ons forensische onderzoek. Een recordtijd, echt gaaf. Je ziet dan dat de maatregelen die wij nemen goed zijn en dat je met de juiste dingen bezig bent.”

Meld je aan!

Ben je benieuwd geworden naar het Achmea en Tweakers Webinar Security? Meld je dan snel aan middels onderstaande poll en maak kans om op dinsdag 2 juni bij het webinar te zijn. We selecteren slechts een aantal mensen, dus meld je snel aan!

Wil jij deelnemen aan het Security-webinar van Achmea en Tweakers op 2 juni?

Poll

De opties zijn uitgeschakeld omdat de deelname gesloten is

Programma *

18:55 - 19:00 | Online inloop
19:00 - 19:30 | Even Apeldoorn Hacken - Talk Daniël Gorter en Magali Kouwen
19:30 - 19:40 | Vragen
19:40 - 19:50 | Pauze
19:50 - 20:20 | Hacken binnen en buiten Achmea! - Praktijkcase 1 door Peter Stegeman
20:20 - 20:30 | Vragen
20:30 - 20:40 | Pauze
20:40 - 21:10 | Déjà vu - Praktijkcase 2 door Enriko Groen en Kadir Kalayci
21:10 - 21:20 | Vragen
21:20 | Einde

*tijden nog onder voorbehoud

Actievoorwaarden

  • Meedoen kan tot 27 mei 2020 23:59 uur, alleen via de poll.
  • Alleen ingelogde bezoekers kunnen deelnemen.
  • Je kunt één keer aan de poll deelnemen.
  • Aanwezigen krijgen uiterlijk 28 mei 2020 bericht per mail in de vorm van een officiële uitnodiging. Niet-aanwezigen ontvangen geen bericht.
  • Aanwezigen worden at random geselecteerd. Over de uitslag wordt niet gecorrespondeerd.
  • Deelnemers zijn op dinsdag 2 juni 2020 beschikbaar om het gehele programma te volgen.
  • De uitnodiging voor het evenement is strikt persoonlijk en kan niet worden overgedragen.
  • Er is plek voor 160 personen.
  • Klachten kunnen via klachten@tweakers.net ingediend worden.
  • Medewerkers van Tweakers zijn uitgesloten van deelname.

​​​​​​

Dit artikel is geen redactioneel artikel, maar een advertorial. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen, daar zullen collega's aanwezig zijn om jouw vragen en/of opmerkingen te bespreken/beantwoorden.

Lees meer

Achmea deelt praktijkverhalen over security in webinar op 2 juni
Achmea deelt praktijkverhalen over security in webinar op 2 juni .Plan van 14 mei 2020
Bedrijfsnieuws Marktontwikkelingen

Reacties (28)

-Moderatie-faq
28
24
16
4
0
5
Wijzig sortering

Sorteer op:

Weergave:
Crypto_Exfil 20 mei 2020 09:24
Ik ben in het verleden bij meerdere presentaties geweest van Achmea en Interpolis. Ik kan jullie zeggen dat er echt veel onzin werd uitgesproken.

De normale zakenlui zonder enige kennis van zaken waren helemaal overtuigt van deze bedrijven, echter wanneer er kritische vragen werden gesteld, werden deze vragen ontweken of afgedaan met marketing PR.
Zebby @Crypto_Exfil20 mei 2020 10:07
Ik werk voor een bedrijf met een oplossing waar Achmea gebruik van maakt. Los van de presentaties zijn zij met afstand de meest strenge klant op vlak van IT security. Waar onze overige klanten genoegen nemen met geautomatiseerde pentests zetten zij er ook echt een tester op die 1-2 dagen probeert zaken te vinden.
Dat is toch een forse investering vanuit eigen bedrijf die niemand op papier verplicht stelt. Dat kan zeker slechter.
BLACKfm @Zebby20 mei 2020 14:10
'een vorse investering'? Het is goed dat ze het doen, maar met 200-400 euro aan loonkosten ben je voor die paar dagen toch wel klaar lijkt mij.

Vertrouwen is goed, testen is beter.... maar het proberen te vinden van zaken zou je eigenlijk als leverancier al moeten doen.
Zebby @BLACKfm20 mei 2020 15:25
Ze zeggen meestal een week te plannen, maar dat zal de totale span zijn van de testen inclusief geautomatiseerde. In de praktijk zie ik meestal 2 dagen. Je mag gerust rekenen op zo'n 50 euro per uur als kosten voor het bedrijf voor zo'n tester, dus dan zit je al op 800 euro over 2 dagen, nog even los van alle documentatie (waar ze veel van hebben, groot bedrijf = procesmatig werk) en nazorg.

Dan hebben ze 1 test op 1 omgeving. Wij draaien er meerdere, we doen soms RFC's (n.a.v. bevindingen), dus je bent daar nog lang niet mee klaar. En wij zijn niet de enige IT dienstverlener die ze gebruiken. Ik denk dat de gehele tak zomaar een paar miljoen per jaar "kost".

En ja, security zit in de core van onze applicatie, maar er bestaat geen applicatie zonder bugs. Wij pentesten zelf ook, en laten het geheel testen, maar tot nu toe komen de bevindingen toch meestal bij Achmea vandaan. En ja, dit zijn soms kleine dingen, maar daaruit blijkt wel dat ze er aandacht aan besteden. Vind het niet altijd even leuk, ben het er niet altijd mee eens, maar dat maakt het niet minder correct.
RobbieB @Crypto_Exfil20 mei 2020 10:00
Dat wil niet zeggen dat deze partijen niet weten wat ze doen, alleen dat ze een slechte marketingclub/strategie hebben.

Het zou netjes zijn geweest als ze een technisch persoon aangehaakt hadden om inhoudelijke en kritische vragen te beantwoorden.

Maar ik vind het te makkelijk om de mensen die bij deze clubs hard werken slecht weg te zetten omdat ze een slecht PR/marketing team hebben.
Crypto_Exfil @RobbieB20 mei 2020 10:12
Er waren juist technische mensen aanwezig... Ik wil geen mensen aanvallen maar ik schrok gewoon van het niveau.

[Reactie gewijzigd door Crypto_Exfil op 23 juli 2024 21:32]

GameNympho @Crypto_Exfil20 mei 2020 12:14
:+ Loodgieters? Stratenmakers? Vuilnisophalers? Ministers? O-)
noostenb 20 mei 2020 08:44
Ehrm... ben ik de enige die aanslaat bij de term “medische dossiers”? Volgens mij mag een verzekeraar die niet eens opbouwen.

De beste security is nog altijd niet hebben wat men wil stelen.

Edit: ik was even vergeten dat Achmea meer is dan een zorgverzekering. Uiteraard is het voor de andere onderdelen soms wel nodig en toegestaan om medische dossiers bij te houden.

[Reactie gewijzigd door noostenb op 23 juli 2024 21:32]

Keypunchie
@noostenb20 mei 2020 08:52
Een verzekeraar zal op zijn minst een overzicht hebben van welke vergoedingen ze voor jou hebben betaald.

Als ze elke maand de medicijnen voor een specifieke chronische ziekte vergoeden, dan is daar wel wat over je gezondheid van af te leiden.

Dus het gaat vermoed ik niet zozeer om het traditionele medisch dossier, maar meer om dossiers met medische gegevens.
noostenb @Keypunchie20 mei 2020 11:58
Maar waarom moet dat aan mij gekoppeld zijn? Dat de apotheek graag wil weten welke rekeningen vergoed worden lijkt me evident. Dat ik wil weten voor welke declaraties ik betaal idem. Maar er hoeft helemaal niet te worden opgeslagen om welke medicijnen het gaat, of wat de behandeling is geweest.

Zelfs voor dingen als doelmatigheidscontroles mogen medici binnen de verzekeraars al in de dossiers van de behandeLaars kijken. Dat is dus nergens voor nodig om nogmaals bij de verzekeraar op te slaan, en al helemaal niet aan mij gekoppeld.
meestertje @noostenb20 mei 2020 15:46
De verzekeraar moet toch weten wat hij vergoedt.
Kecin @noostenb20 mei 2020 08:48
Een verzekering zal wel moeten om zaken als eigen risico uit te moeten splitsen.
ocrammarco @noostenb20 mei 2020 09:56
Ze hebben ook hun eigen medische specialisten in dienst om e.e.a. te kunnen beoordelen dus daar zal wel een dossier van opgebouwd kunnen worden. Voor de rest heb ik geen idee of dit een niveautje heeft in ieder gevalmeer dan ik heb op dit gebied ;)
Meekoh @noostenb20 mei 2020 17:41
Wanneer iemand voor een groot bedrag een levensverzekering (Achmea is niet enkel zorg verzekeringen ;) ) wilt afsluiten bijv.
Dan is vaak voowaarde dat er een medisch onderzoek plaatsvind, om te kijken of die persoon niet een grote kans heeft om binnen een korte tijd het loodje te leggen.
Dit zijn dus medische gegevens van een persoon, oftewel een medisch dossier. Het gaat niet om hetzelde dossier dat de huisarts heeft, wel om medische gegevens.

Banken hebben ook medische dossiers, bijv. bij oudere mensen die nog een hypotheek willen afsluiten kan er medisch onderzoek plaats vinden.
3x3 20 mei 2020 08:03
Verzekeraars betalen doorgaans beter dan banken. Maar valt er bij Achmea echt wat salaris te hacken? of is het vooral een bedrijf waar enthousiaste Juniors voor een appel en een ei hun ding mogen doen?
Li0nHeart @3x320 mei 2020 09:38
Voor juniors die voor een appel en een ei werken moet je bij detacheerders zijn...
steveman @Li0nHeart20 mei 2020 10:02
Echter, wanneer je ze inhuurt betaal je ook gelijk al die o zo belangrijke managers mee.
Blommie01 @3x320 mei 2020 08:31
Daar moest ik ook direct aan denken. Ben je een "super" hacker ga je bij een verzekeraar werken.
DJMaze @3x320 mei 2020 08:41
Dat Daniël pas 24 is zegt niks. Idem over peter van 58.
De truuk is een mix van verschillende kennis en ideeën.
Samenwerken is onmogelijk als men elkaars methodes niet goed vind, terwijl die juist elkaars zwakheden kunnen versterken.
Maar om te denken dat je met Nikto er wel bent, krijg je ook een loon op basis daarvan.

Ben je goed, verdien je vast prima €5.000+
Li0nHeart @GameNympho20 mei 2020 10:03
Waar zou je dan wel werken?
Zebby @GameNympho20 mei 2020 10:02
Het is een advertorial, dus marketing. Prima toch, kan Tweakers ook weer een dagje in de lucht blijven :)
Ryzen 20 mei 2020 16:10
Lijkt me best interessant! :Y) :9

[Reactie gewijzigd door Ryzen op 23 juli 2024 21:32]

M4rl3n 20 mei 2020 14:00
Ja, ik wil hierbij zijn! :)
thomasbaart @SuperDre20 mei 2020 14:11
Wanneer je je klachten neerlegt bij de juiste accountmanager/product owner/contactpersoon, heb je misschien kans dat er wat mee gedaan wordt. Op deze plek is de kans onwaarschijnlijk dat iemand er wat mee gaat doen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq