1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen. - belangen, - risico s, - maatregelen

3/10/2016

Masterclass NCD - 9 maart 2016

Cyber Security Erik Hoorweg

Inhoud

1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen - belangen, - risico’s, - maatregelen

4. Actualiteit – Meldplicht Datalekken & GDPR 5. Handvatten & Leesvoer

Copyright © 2016 Capgemini Consulting. All rights reserved.

1

3/10/2016

Quotes uit WEF Davos 2016 over digitalisering & veiligheid

“Technologie heeft altijd gezorgd voor veranderingen waar mensen zowel bang als hoopvol van werden. Tot nu toe is technologische vooruitgang voornamelijk goed geweest voor het welzijn. Maar verandering gaat nu veel sneller, ook sneller dan veel leiders lijken aan te kunnen” - Erik Brynjolfsson, Hoogleraar Digitale Economie MIT “We zitten in een wereldwijde leiderschapscrisis, en dat moeten we ons allemaal aantrekken” - Marc Benioff, bestuursvoorzitter Salesforce “Er is nog nooit een grotere belofte geweest dan nu. Maar ook nog nooit een groter gevaar” - Claus Schwab, oprichter World Economic Forum


Drie dimensies van Cyber Security

Cyber Security is het vrij zijn van gevaar of schade veroorzaakt door verstoring of uitval van ICT of door misbruik van ICT.

Risico’s

Belangen VERTROUWEN

Weerbaarheid/ Maatregelen


2

3/10/2016

Perspectief van de spreker…


Wat weten jullie al van Cyber Security?


3

3/10/2016

Vraag 1: WAAR of NIET WAAR?

Bedrijven met een Responsible Disclosure Beleid belonen hackers indien deze hiervan melding maken bij het betreffende bedrijf. WAAR



De afgelopen twee jaar is het aantal meldingen van cyberaanvallen bij de overheid verdubbeld. WAAR Het Nationaal Cyber Security Centrum (NCSC) ontving het afgelopen jaar 293 meldingen over een incident bij de overheid.


4

3/10/2016

Vraag 3: HOGER of LAGER?

Binnen MKB verwacht 50% van het management een toename van het bedrijfsrisico m.b.t. Cyber Security LAGER 32% verwacht een stijging*

* Bron: Cyber Security in het MBK (Capgemini, TNS NIPO) N = 529


Vraag 4: JA of NEE?

Sinds 1 januari 2016 moet u alle datalekken melden bij de Autoriteit Persoonsgegevens NEE U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of dat er een aanzienlijke kans bestaat dat dit gebeurt.


5

3/10/2016


De nieuwe Europese Privacy Verordening (GDPR) verplicht organisaties om aandacht te besteden aan bewustwording en training van medewerkers WAAR Bij overtredingen van de verordening kunnen hoge boetes worden opgelegd tot wel 4% van de jaarlijkse omzet


Vraag 6: Bij benadering…

Hoeveel procent van de Nederlandse managers en bestuurders raken geïrriteerd door de beveiligingsmaatregelen die het eigen bedrijf oplegt? 28% Dit is hoog ten opzichte van andere Europese landen (gemiddeld 17%). 27% handelt in strijd met de eigen veiligheidsvoorschriften 50% daarvan doet dit bewust


6

3/10/2016

Inhoud

1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen - belangen, - risico’s, - maatregelen



Joshua Samuel Aaron (alias Mike Shields)

Leeftijd

: 31 jaar

Woonplaats

: Maryland, Tel Aviv, Kiev, Moskou

Leider criminele organisatie – Hack organisaties om miljoenen klantgegevens te bemachtigen – Verkoop van de gegevens aan derden via Online marktplaatsen – Manipuleren van aandelenkoersen via misleidende emailcampagnes en beïnvloeden brokers (opstuwen koers) – Geregisseerd verkopen van de aandelen

Motivatie

: Geld Copyright © 2016 Capgemini Consulting. All rights reserved.

7

3/10/2016

Alexandra Elbakyan

Leeftijd

: 27 jaar

Woonplaats

: Kazachstan

Oprichtster van Sci-Hub (2011). – Platform voor gratis verstrekken van wetenschappelijke artikelen. – 20 miljoen bezoekers (downloads) – Doelgroep: alle universiteiten en wetenschappelijke uitgevers.

Motivatie

: Ideologie. “Ik vind het onethisch dat het delen van wetenschappelijke informatie verboden kan worden”.


Vijf Nederlands pubers

Leeftijd

: 14 tot 17 jaar

Woonplaats

: Berkelland, Lochem, Den Helder en Vinkeveen

DDoS-aanval op Ziggo – Ziggo-klanten twee dagen niet internetten (zakelijk en privé) – 2 miljoen internetaansluitingen

Motivatie

: Script-kiddies “laten zien wat we kunnen”


8

3/10/2016

Sun Kailiang (alias Jack Sun)

Leeftijd

: onbekend

Woonplaats

: China

Officier in People’s Liberation Army (PLA) – Chinese Leger – Binnendringen in netwerken van (Amerikaanse) bedrijven – Economische spionage – Ontvreemden van intellectueel eigendom en bedrijfsplannen

Motivatie

: Overheidsbeleid


‘Bevriende’ inlichtingendiensten

NSA en GCHQ Amerika en Engeland Inlichtingendiensten – Edward Snowden documenten – Slachtoffer: Gemalto. Nederlandse producent van simkaarten – Ontvreemden 7 miljoen encryptiesleutels – Eenvoudig aftappen van mobiele communicatie

We help people to trust one another in an increasingly connected digital world

Motivatie

: (economische) spionage / contraterrorisme Copyright © 2016 Capgemini Consulting. All rights reserved.

9

3/10/2016

Uw medewerkers!

De meeste datalekken ontstaan door eigen personeel (25 tot 35%) Voorbeeld: Medewerker van VGZ. – Declaratiegegevens van 27.000 verzekerden op privé computer – Hij wilde nieuwe software testen en was vergeten de gegevens er weer af te halen – Onduidelijk of gegevens zijn ingezien door derden – VGZ moest alle verzekerden inlichten – Reputatieschade

Motivatie

: Gebrek aan bewustzijn en/of discipline


Inhoud

1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen - belangen - risico’s - maatregelen



10

3/10/2016

Cyber Security draait om de samenhang tussen belangen, risico’s en maatregelen

Risico’s

Belangen VERTROUWEN



Inhoud




11

3/10/2016

Belangen zijn van alle tijden

Bedrijfscontinuïteit

Geld Risico’s

Belangen Vertrouwelijke info (intellectueel eigendom) Persoonsgegevens


Reputatie


Maar deze belangen worden steeds meer beïnvloed door digitalisering

PROFITABILITY

BEGINNERS

CONSERVATIVES

Leadership Capability

Digital Capability

Digital Capability

FASHIONISTAS

+6%

+9%

-4%

10%


Digital Capability

REVENUE GENERATION EFFICIENCY

DIGITAL MASTERS

-11% %

+26%

-24%

+9%



12

3/10/2016

Digital Masters investeren met de klant als belangrijkste drijfveer

• De klant en medewerkers krijgen steeds meer toegang tot processen die voorheen afgesloten waren voor de buitenwereld (denk aan self service)

• Interne systemen worden aangesloten op het internet

CUSTOMER-FACING PROCESSES

Social Media

Customer Experience

Mobile Channel

OPERATIONAL PROCESSES

Analytics

Process Digitalization

Internal Collaboration

Data Integration

Sensors

BUSINESS MODEL


De kroonjuwelen veranderen

Onderzoek Capgemini Consulting / TNS NIPO (2015)


13

3/10/2016

En deze ontwikkeling zal zich in razend tempo doorzetten

3D Printing

Robotics

Artificial Intelligence

Sharing Economies

Wearables

Augmented Reality

Digital Technology Will Remain The Endless Agitator Of The Business World


Tegelijkertijd lijken de investeringen tussen IT en IT Security verder uiteen te lopen

Gemiddelde percentage IT security (t.o.v. total IT spend) ligt in 2015 rond de 6% (NA en EMEA) Spiceworks “2016 State of IT" report, gaat uit van 0% stijging in IT security budgetten(N=839)

Nationale IT-Security Monitor 2015 (N=150)


14

3/10/2016

Korte opdracht

Wat zijn de belangrijkste assets (kroonjuwelen) van de organisatie waar u nu commissaris of directeur van bent? In hoeverre zijn deze assets gedigitaliseerd?

Overleg 5 minuten met uw buurman/vrouw

Report out


Inhoud




15

3/10/2016

Digitalisering van organisaties brengt nieuwe risico’s met zich mee

Risico’s The Davos “Global risk report 2015” highlights three technological risks among the 50 most important macro risks:

Risico’s

Belangen


Cyber attacks Data fraud/theft Critical infrastructure breakdowns

Wet & Regelgeving Meldplicht datalekken General Data Protection Regulation


Een overzicht van ‘s werelds grootste informatielekken www.informationisbeautiful.net


16

3/10/2016

Risico’s

Risico

=

Kans

Kwetsbaar heden

X

Impact

Dreiging


Kwetsbaar heden

Ondernemers zien de risico’s vaak niet Gebrek aan bewustzijn is een belangrijke kwetsbaarheid


17

3/10/2016

Kwetsbaar heden

Digitalisering maakt de belangen/assets kwetsbaarder

Een kwetsbaarheid is een eigenschap van ICT, een organisatie of gebruiker die actoren kunnen misbruiken

Oude (legacy) systemen worden gekoppeld aan het internet (PCS en SCADA). Veel software is vaak slecht gecodeerd als gevolg van marktwerking (snel en goedkoop leveren – de klant vraagt er niet naar). Updates worden vaak beperkt geïnstalleerd. Steeds meer verbindingen worden gelegd tussen systemen (binnen en buiten de organisatie). Wederzijdse afhankelijkheid tussen organisaties neemt toe en is vaak onbekend. Analoge alternatieven verdwijnen. De gebruiker blijft de achilleshiel. Bewustzijn is in NL relatief hoog (67% tegen 47% EU) maar één moment van onachtzaamheid kan de deur openzetten.


Kwetsbaar heden

De kwetsbaarheid is mede afhankelijk van de veiligheid-volwassenheid van de organisatie (weerbaarheid en veerkracht)

1. Functionele veiligheid

Niet gedocumenteerd of vaag beleid Geen formele processen Reactief Individuele helden Informele en inconsistente rapportage

2. Procesmatige veiligheid

Duidelijk beschreven proces Gezamenlijke taal

3.Systematische veiligheid

Beleid opgesteld en organisatie breed toegepast Functionele samenwerking in de organisatie

Rollen en verantwoordelijkheden vastgelegd

Training van het proces

Regelmatige rapportages

Betrouwbare data voor management

Lange termijn focus

Rapportage van activiteiten en verbetering

4. Beheerste veiligheid

Herziening van beleid op basis van ervaring Lijnmanagement is bewust verantwoordelijk voor veiligheid Duidelijke normen voor veiligheid gesteld Rapportage over incidenten Prestatie indicatoren voor functionele veiligheid

5. Integrale veiligheid

Organisatie zet integrale veiligheid in als competitief voordeel Continue verbetering van veiligheid Sturing op integrale risico’s Afgifte van bestuursverklaring Benchmark met vergelijkbare organisaties Integrale veiligheid behoort tot het takenpakket van het lijn management


18

3/10/2016

Cyber Security Beeld Nederland 2015 Dreiging


Belangrijkste trends Dreiging

1. Cryptoware en andere ransomware is het cybercriminele businessmodel bij uitstek


19

3/10/2016


1. Cryptoware en andere ransomware is het cybercriminele businessmodel bij uitstek 2. Geopolitieke spanningen manifesteren zich steeds vaker in (dreigende) inbreuken op digitale veiligheid




3. Phishing wordt veel gebruikt in gerichte aanvallen en is dan voor gebruikers nauwelijks te herkennen


20

3/10/2016



21

3/10/2016



3. Phishing wordt veel gebruikt in gerichte aanvallen en is dan voor gebruikers nauwelijks te herkennen

4. Je hoeft als crimineel geen digitale vaardigheden te bezitten. Kant-en-klare hulpmiddelen zijn beschikbaar op internet.


Dreiging


22

3/10/2016


De schade bij ondernemingen is aanzienlijk Impact

90% van de onderzochte bedrijven meldden een beveiligingsincident Herstel van een inbreuk op de databeveiliging kost grote ondernemingen gemiddeld 504.000 euro. Kleine en middelgrote bedrijven zijn gemiddeld 34.750 euro kwijt

Bron: Kaspersky Lab , 2015. N = 5500.


23

3/10/2016

De impact van verstoringen in kaart Impact

1. Kosten van (gevolg)schade? 2. Verstoring van de (bedrijfs)continuiteit? 3. Wet & Regelgeving (boetes)? 4. Reputatie (onrust bij klanten en burgers)? 5. Gezondheid en veiligheid (gewonden / doden)?


Korte opdracht: Impact Assessment

Hoe groot is de impact van een Cyber Security incident op het bedrijfsbelang / kroonjuweel dat u eerder heeft geïnventariseerd?

Overleg 10 minuten met uw buurman/vrouw

Report out


24

3/10/2016

Uiteindelijk bepaalt de Risk Appetite de mate van (extra) maatregelen

De risicobereidheid wordt bepaald door vier factoren:

1. Debat in de bestuurskamer: er moet een afweging vanuit verschillende perspectieven plaatsvinden

2. Overleg met verschillende stakeholders 3. Risico commités (IT auditor): bevindingen uit risicoanalyse en monitoring

4. Flexibiliteit: veranderende omstandigheden zullen een aanpassing van de risk appetite nodig maken.


Inhoud




25

3/10/2016

Risico’s

Belangen



Het versterken van digitale weerbaarheid en veerkracht kent 5 uitdagingen

Van: Kasteelmuren

Naar: Vliegveld

Zero risk dream

Risk & data management

Assets en Risico’s centraal

IT probleem (afdeling)

People & Management

Mens, Organisatie & Technologie (management issue)

Focus op de buitenkant (netwerk)

Protection strategy

Protectie

End-to-end security

Reactief defensie

Technology

Data, End points, IAM, Ecosysteem Preventie, Preparatie, Protectie, Detectie en Reactie Proactieve (scenario) defensie


26

3/10/2016

Maatregelen hebben betrekkking op de gehele veiligheidsketen

The cycle of cybersecurity operations

Vulnerability assessment

Threat monitoring

Anticipation

Application security testing, system penetration testing

People awareness Security/privacy by design

Prevention

Reaction

Computer Security Incident Response Team (CSIRT)

Security architecture Data leak prevention

Security incident remediation actions

Protection

Detection

Security processes

Security Operation Center (SOC) Data leak monitoring


Maar vanuit technisch perspectief: zorg dat de basis op orde is!

Up to date anti-virus en firewalls

Patching & updating

Wachtwoorden

Back-up, back-up, back-up (en testen)

Versleutelde opslag kritische gegevens


27

3/10/2016

Bent u ‘in control’? Enkele vragen om aan het bestuur te stellen:

Is Cyber Security als portefeuille belegd op bestuursniveau (CISO, CIO, CRO of CFO)? Vormt Cyber Security onderdeel van het (reguliere) Risk Control Framework? Wordt periodiek gerapporteerd op cyber security indicatoren? Doen we periodieke assessments en/of audits om onze weerbaarheid te toetsen? Is er een Plan, Do, Check, Act proces (inclusief dreigingsanalyse en monitoring) met heldere governance ingeregeld? Is er een responsible disclosure beleid? Zijn we voldoende in staat om een incident het hoofd te bieden? Crisisorganisatie & Communicatie

Is er een proces ingericht voor Meldplicht Datalekken? Copyright © 2016 Capgemini Consulting. All rights reserved.

En als je denkt dat alles op orde is….

Oefen, Oefen en Oefen

Scenario based crisis oefening: Dilemma sessies Table top Operationeel


28

3/10/2016

Inhoud




Wie is de boef?


29

3/10/2016

Hoe bewust zijn we eigenlijk als het gaat om persoonsgegevens?

https://youtu.be/AYXM56YJWSo


Om het vertrouwen in maatschappij en economie te beschermen neemt ook de overheid maatregelen Per 1 januari is de Meldplicht Datalekken van kracht (onderdeel van Wbp)


30

3/10/2016

Op EU niveau is jarenlang gewerkt aan een nieuwe Privacy Verordening… Deze GDPR wordt medio 2016 van kracht voor alle lidstaten. Doel: de klant/burger de controle over haar gegevens geven Ondernemingen moeten in staat zijn om actief te bewijzen dat je compliant bent met de verordening – – – –

Interne documentatie moet op orde zijn, overzichten van systemen moeten aanwezig zijn, de juiste procedures moeten zijn ingericht, policies moeten zijn opgesteld,

Strengere bepalingen rondom toestemming (‘consent’) gebruik persoonsgegevens Privacy Impact Assessments zijn verplicht voor nieuwe technologieën Datalekken moeten binnen 72 uur worden gemeld bij AP (conform Meldplicht Datalekken) Right to be Forgotten Training en bewustzijn Boetes gaan omhoog naar 4% van jaarlijkse omzet (AP tot 810K)


Inhoud

1. Introductie en doel 2. Voorbeelden 3. De samenhang der dingen - belangen - risico’s - maatregelen

4. Actualiteit – Meldplicht Datalekken & GDPR 5. Handvatten & leesvoer


31

3/10/2016

Enkele handvatten en leesvoer Raamwerken

Handreikingen Handreiking Cyber Security voor de bestuurder

ISF Threat Horizon (op aanvraag)

Beleidsregels Meldplicht Datalekken (https://autoriteitpersoonsgegevens.nl) ECP / MKB (https://veiliginternetten.nl)


Dank U!

Drs. E.P. Hoorweg MCM Vice President Head Security & Privacy

Capgemini Consulting Reykjavikplein 1 PO Box 2575 – 3500 GN Utrecht M-Phone: E-Mail:

+31 (0)6 15030869 [email protected]

32

1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen. - belangen, - risico s, - maatregelen

Recommend Documents