Agenda. Even voorstellen. Visie, trends en andere zorgen over information security & risk management NGI Jan 2009

Visie, trends en andere zorgen over information security & risk management NGI – Jan 2009 Trends: ontwikkelingen in risico’s Visie: doelen voor de beroepsgroep De praktijk als toetssteen en kristallen bal Dr. ir. Paul Overbeek RE Paul.Overbeek @ Ois-NL.EU 06-53786475

Agenda • Wie bent U en wie ben ik • Trends • Toekomst van onze beroepsgroep

Even voorstellen… Identiteit Wie bent U?

Informatie- infrastructuur

IB & RM vandaag

IB&RM in 2012

Paspoort Identiteit Rijbewijs 12 Identitycards 3 telefoons 6 personeels-IDs 10 clubkaarten Digid SoFi 06-53786475 3883582 P044921 6 pin-codes

Wachtwoorden 15 zakelijke 40 prive en internet Identiteit: - 1 persoon - 40 rollen Identiteit: wie is wie wanneer Identiteit = hoe iemand wordt (h)erkend door de ander
basis voor erkenning rechten/plichten

Waar is informatie toegankelijk? • • • •

Thuis (bijvoorbeeld windows) Op het web (Hyves, Google) Onderweg (Microsoft, Google) Via devices zoals Blackberry, smartphone, game-box, mp3-speler, digitale camera • Via applicaties op het web • Bij de data service provider in India of Polen (afhankelijk van de koers van de Euro) Alle informatie is straks tegelijkertijd overal toegankelijk: er is geen –eigen- informatieinfrastructuur meer • Een voorbeeld: de desktop

Toekomst en impact op effectieve beveiligingsmogelijkheden

De moderne informatie-infrastructuur is: - Niet van u of uw klant maar van velen - Niet statisch • Integratie online-offline • Weg met de webbrowser, webapplicaties rechtstreeks op de desktop • Integratie devices met infrastructuur.... • Toegang tot alle informatie via willekeurige kanalen

Synthese Karakteristieken van de moderne informatieinfrastructuur • De ICT-infrastructuur is grotendeels niet van “U” of “Uw klant” , – Netwerk – Platforms – Generieke Applicaties

• De ICT-infrastructuur is dynamisch • Wisselende sourcing, partners en ketens

Maar ook • Beperkingen aan fysieke beveiliging • Standaardisatie over partners en ketens nodig (vergelijk ‘Borg’) Waar kan of moet de informatiebeveiliger / risico manager toegevoegde waarde bieden? Laten we’s kijken naar een paar cases…

Agenda  Wie bent U en wie ben ik • Trends – Duivelskwadrant – Vraagzijde: • Mens & Maatschappij • Organisatie & Processen

– Aanbodzijde • Applicaties, ICT en andere techniek • Processen er om heen: ontwikkeling, beheer

– Matching • Risico-management,, assurance, compliance

• Wat betekent dat voor de beroepsgroep – Speerpunten 2009 en visie

Keek op de week 1/3 Weekoverzicht van 19 januari 2009 t/m 25 januari 2009 • Persoonlijke inlogcode voor elektronisch patiëntendossier • Twammers nieuwe generatie spammers • Boze IT'er delete 10.000 ambtenaren • Hackers plunderen weer database Monsterboard • Tweederde banken gebruikt geen encryptie • 11.000 euro beloning voor aanhouding DDoS-aanvallers • Schneier: Wetgeving dataverlies helpt niet • Celstraf voor hacker elektronisch patiëntendossier • Microsoft verwijdert digitale bankrover van 250.000 PC's • Advies aan overheid: Veiligheid gaat voor privacy

• Obama onthult plan voor beveiliging cyberspace • Conficker besmet 6% van alle Windows computers • Belgische hackers wilden 245 miljoen euro van bank stelen • WiFi-verf beschermt netwerk tegen hackers • 65% managers deelt encryptiesleutel • Trojaans paard plundert rekening Nokia gebruikers • Werknemer vaccinatiecentrum misbruikt patiëntgegevens • Kraken wachtwoord 10 karakters duurt 3000 jaar • Hackers stelen miljoenen creditcardgegevens bij betalingsverwerker

• Dinsdag, 16:03 Banken aangespoord tot meer openheid over fraude • Conficker botnet wacht op bevel van meesterbrein • Russische hackers maken internetbankieren onveilig • Elektronisch patiëntendossier onhaalbaar in 2009 • Dinsdag, 10:21 "Wachtwoorden opschrijven is wel verstandig" • Maandag, 17:19 GOVCERT biedt Microsoft antivirustool aan • Gratis virusscanner voor Nokia telefoons • China verbiedt gebruik van nickname • HDTV beveiligingscamera's scherper en slimmer • Nigeriaanse internetoplichters maken overuren

Hoezo, ‘de organisatie’ • • • • •

Ketens ‘de organisatie’ is steeds minder afgebakend Ad Hoc samenwerkingsverbanden Maatschappij Ketens Maatsc happij Infrastructuur Infrastructuur Personeel Personeel MAPGOOD Partners zijn tevens concurrent MAPGOOD

• We werken en leven in een organische samenwerkingsverbanden

Mamaloe:

EMD Techniek ECD

EPD

Leerlingvolgsysteem Petra de Clown EKD

Klukluk: vreemdelingenregister

24-jan: Scholen knoeien met leerlingdossier

Ontsluiting burgerregistraties EPD als voorbeeld: - Verwijzingensysteem - Eigenaarschap / zeggenschap - Beheers Autorisaties/structuur neemt lokale zeggenschap weg - Nagedacht over authenticatie en logging maar… - Func.specs verschuiven: inzage door burger - Mijn zorg: wat zijn de lange termijn effecten: - Nieuwe functionele wensen (‘pot met goud’) - Goedkopere architectuur mogelijk door meer centralisatie (en zonder ophaalbruggen)

- Als iemand kon zeggen: dit zijn de functionele specificaties en we zullen er NOOIT meer wat aan veranderen…

Schep nou geen verwarring: • Begin 2008: Elektronische dossiers makkelijk te hacken • Midden 2008 Klink: geen zorgen over veiligheid EPD • Q3 2008: Ziekenhuizen blijken laks met patiëntengegevens en het systeem is mogelijk te hacken. • Hacker van EPD wordt streng gestraft • Q1 2009 Misbruik EPD: schrappen BIG-register • Q1 2009 Regering wil hoge straffen tegen misbruik EPD • Communicatiedrama bedreigt invoering EPD

Plannen Obama "Op dit moment worden innovaties op het gebied van software, engineering, • Aandacht voor demetbeveiliging van cyberspace. farmacie en andere gebieden een alarmerende snelheid via het internet van Amerikaanse bedrijven gestolen • “Nationale cyberadviseur" rapporteert aan Obama Obama wil "ontraceerbare internet betalingssystemen" sluiten • Geld voor volgende generatie veilige meer tools en training geven om computercriminelen te vervolgen computers, netwerken en hardware om de infrastructuur mee te beveiligen. en het waarschuwen in standaarden voor het beveiligen van persoonsgegevens het geval van datalekkage • Nieuwe standaarden voor cyber security • Voorkoming digitale bedrijfsspionage

…. zo stelt de kersverse regering.

‘Privacy’-discussie komt weer op T-Mobile MD Steps Down After Data Theft Scandal Advies aan overheid: Veiligheid gaat voor -T-Mobile Germany's Managing Director, Philipp Humm privacy has resigned from the job, in the face of a data theft 19 jan scandal which has hit the company in the past month. … Ministers Hirsch Ballin (Justitie) en Ter Horst Last month, T-Mobile Germany admitted to losing the (Binnenlandse Zaken) kregen gisteren het personal data belonging to its 17 million customers. The advies dat de privacy van de burger theft, which had only just been revealed occurred back in ondergeschikt is aan diens veiligheid. De early 2006, and involved telephone numbers, dates of conclusie volgt uit het rapport "Gewoon Doen, birth, addresses and email addresses. beschermen van veiligheid en persoonlijke In a statement, the company said that irrespective of the levenssfeer" van de commissie Veiligheid en legal assessment, Philipp Humm as the former Managing levenssfeer – Veiligheid gaatpersoonlijke voor Privacy? Director assumes responsibility for the data incidents and 16 december 2008 their handling at T-Mobile Deutschland. Staat hoort niet achter de – Zeggenschap en autonomie The Managing Director will also consolidate the data voordeur privacy, security and legal affairs functions in his or her department using the resources of Deutsche Telekom

• Voorheen: focus op overheid • Opkomend: bedrijven nemen zelf verantwoordelijkheid • De echte vragen worden maar ten dele gesteld:

Meisje van Nulde DNA profielen

New frontiers for Risk Management Examples of risk management in practice • Building & construction

19

Examples of risk management in practice: Krediet crisis • Financial institutions

20

Examples of risk management in practice • Crime prevention

21

Risk management is management and not mathematics • Perception of risks vary per day

Transforming from risk management to risk & opportunity management

22

Towards a demand/supply relationship in Risk management Business Risk Management Process

Reporting con SLA

Control objectives controls

Internal or external Service Provider

Business leading

Business Risk Management Process

Business Risk Management Process

Additional services

Control objectives controls

Common risk management Risk management process Service Provider

Risk management process Service Provider

ISP leading

Common best

Professionalisering computercriminaliteit In Amerika is een professioneel opererende bende internetcriminelen opgerold die mogelijk al tien jaar lang via internet gehackte creditcards goederen kocht. De uit zo'n 40 personen bestaande bende, gebruikte vervalste rijbewijzen en creditcards om voor zeker 100 miljoen dollar per jaar aan goederen te kopen, die dan weer via het internet werden verkocht. Dankzij Chinese hackers die de databases van grote winkelketens hackten, wist de bende aan de creditcardgegevens te komen. Niet alleen de creditcardgegevens, ook ontvingen de bendeleden elke maand uit China 3000 Opportunisten, boefjes en echte criminelen zijn overal lege creditcards, waarmee verwoed werd gewinkeld. De aangeschafte goederen werden aangeboden op de van de Trend: Internet wordt steeds meer een afspiegeling website Eastrades.com. ‘gewone’ maatschappij. Internet, midden in de samenleving.

Logisch natuurlijk, maar ons beeld (perceptie dus) is nog steeds: Internet, het nieuwe paradijs. Helaas, de ‘appel’ is al lang gegeten en de slang is los. We hebben nog geen idee van de lengte van de slang, of wat Pandora’s Internetdoos nog voor ons in petto heeft.

23

Hacking ex werkgever

Trend: Identities ..en authenticatie, access, authorisatie ..en logging, monitoring In de normale situaties van 2008

Een netwerk engineer die zijn voormalige werkgever hackte is veroordeeld tot een gevangenisstraf van 10 maanden, eerder moest hij al een schadevergoeding betalen. De 44-jarige Harold B. werkte voor MTC, maar besloot een eigen beveiligingsbedrijf op te richten. Net voor hij bij MTC vertrok maakte hij een administrator account aan waarmee hij toegang tot het netwerk behield. Hierdoor kon hij alle e-mails van het bedrijf lezen en toegang tot klantgegevens krijgen. Ook bekende hij hacking software op de systemen van MTC te hebben geïnstalleerd.

Harold Brooks

Informatiebeveiliging op de politieke agenda "Ik kan u beloven dat het de komende jaren beter wordt." Tunnelvisie software ontwikkelaars Trend: informatiebeveiliging, risicomanagement, deop Jager compliance, techniekJan en Kees privacy de politieke Camiel agenda Eurlings Nog een trend: kennis en ervaring dun gezaaid Trend: IT is op everywhere de plekken waar dat nodig is Geen trend maar van alle tijden: OTAP blijft moeilijk

Keten-afhankelijkheid in vitale infrastructuur Elektriciteitspanne Zuid-Florida treft 4,4 miljoen mensen Stroomstoring Florida was menselijke blunder

Het zuiden van Florida is vandaag getroffen door een gigantische elektriciteitspanne, veroorzaakt doordat vijf reactoren van de kerncentrale van Turkey Point in het zuidoosten van de deelstaat het Een monteur veroorzaakte in een onderstation ten zuiden van Miami een hadden begeven. storing bij de inspectie een Trend: van aandacht voor vitale infrastructuren De stroomstoringen in Florida zijn veroorzaakt door één medewerker. Dat heeft het elektriciteitsbedrijf Florida Power&Light bekendgemaakt.

haperende schakelaar. Het automatische beveiligingssysteem schakelde Veerkracht en de-vitalisering De stroompanne trof 4,4 miljoen vervolgens een kerncentrale en een mensen en zorgde voor chaotische kolencentrale uit. Ook twee andere taferelen op de weg doordat alle centrales ondervonden hinder van de In storing. het zuiden van de Amerikaanse staat Floridaverkeerssignalisatie is (novum/adv) was uitgevallen.

dinsdag op veel plaatsen de stroom uitgevallenVolgens nadat de nieuwszender CNN trof het elektriciteitsbedrijf een kerncentrale wegens deeen panne grote delen van de regio storing had uitgeschakeld. Daardoor ontstond van tijdelijk Daytona Beach tot Palm Beach, een tekort aan stroom, waar ongeveer drie miljoen ten noorden van Miami. (belga/bdr) mensen last van hadden.

Sponsors voor Information Risk & Security Management: IT is facilitair, de macht verschuift CEO

CIO

CFO

Customer-driven Making Information and IT investment decisions Deciding where IR&SM can add most value Knowing the risks

“It It’s It s an enabler” enabler

– – – –

–

Balancing cost and risk Central versus local investment decision Managing risk and compliance Able to judge IT-enabled projects against other projects

“It It’s It s value for money” money

– –

Can influence the business strategy Enables us to prioritise demands Able to secure assets

“It It’s It s central to business strategy” strategy

< 2000: CEO and CFO: IR & SM is in the ITIT-domain; CIO: ok… ok… hmmm… … < 2005: CEO and CFO: IR & SM is in the CFO domain; CIO: hmmm

Organisatie & management • •

Risicomanagement & Informatiebeveiliging is lijnverantwoordelijkheid Information risk & security manager – – – –

Beleidsvormend Faciliterend, ondersteunend Monitoren, controleren Rapporteert direct aan…

•

Lid van of dotted-line met:

•

Techniek: IT security manager

•

Invulling in de lijn

•

Afhankelijkheden in de keten wordt niet of nauwelijks echt gemanaged

– Corporate compliance of (algemeen) risk management board

– Binnen IT-organisatie – Veelal beperkt eigenaarschap

– Service providers, ketenpartners – Veelal niet in beeld

Informatiebeveiliging, risk management en processen •

Bedrijfsprocessen en IB&RM – Moeizame relatie, kost tijd, kost geld, negatieve beeldvorming – Succesfactoren: • • • •

duidelijk meetcriteria vooraf opstellen ‘Echt ondersteunen: je moet het brengen Echte hulpmiddelen (die heel simpel en goedkoop moeten zijn Opnemen in targets en vinger aan de pols houden (audits)

– Probleem vandaag: overeind houden huidige beheersing

•

Soms gedelegeerd binnen proces – Lokale Information Security Manager, Operational Security Manager – Bij beperkt mandaat ook beperkte impact – Afzonderlijke security audits

•

IB&RM in IT-beheer – Professionalisering zet door – Link met de business risks moet sterker worden – ITIL v3 Information Risk Management

•

IB&RM proces – ITIL v3 – Echt risico management – Risk management tussen partners, of SP/Klant, in de keten

IB&RM en mensen • Menselijke factor is dominant – Maar we kunnen er steeds minder van op aan

• Valkuil: – Eenzijdige aandacht voor technische aspecten – Inconsistentie ‘over’ omgevingen en toepassingen (b.v. omgaan met passwords)

• Losse “security awareness” projecten – Nodig, maar effect is vaak niet meetbaar

• Succes factor: cultuur en betrokkenheid

IB&RM en mens Organisatie – – – –

Er is straks geen vaste ruggegraat meer Processen belangrijker dan individuele professionaliteit We managen processen, geen losse personen Goed organisatie en procesborging nog belangrijker

Professionals

– – – –

Netwerken van personen Beter opgeleid Mobiel The world is the playing game

IB&RM en ICT-infrastructuur • Integratiecyclus – – – –

Geen security Security los verkrijgbaar (add on) Security als optie bij product (bolt on) Security geïntegreerd in product (build in)

• Infrastructuur is complex en dynamisch – Integratiecyclus in verschillende fasen … – … en op verschillende niveaus – … eigenaarschap niet beheerst

• Traditionele situatie – Informatiebeveiliging is “bolted on”

IB&RM en ICT • Onderkant’ van de ICT-infrastructuur standaardiseert – Netwerk, Housing, Hosting – Enkele standaard applications

• Beveiliging is bezig daar te integreren – Standaard normenkaders, hardening, etc – Standaard normen/werkwijze tussen klanten/SPs nodig

• Bovenkant: nog veel wildgroei – Secure design en architectuurvisie gewenst – Link met business risks moet worden gemaakt

Samenvatting –practices •

Management

•

Processen

– COSO, risicomanagement, ERM – SOX, EuroSOX(?!), toetsing/audit; certificering, governance naar 3rd parties

•

Mensen

•

ICT-beheer

– “ik heb al genoeg gezeur aan mijn hoofd” – Code voor Informatiebeveiliging/ITIL Security Management, Prince II – SPRINT/IRAM, FIRM – COBIT

•

ICT-Infrastructuur: divers beeld – Mobiel, backups, internet, biometrie, Windows XP, USB-sticks … – Producten in verschillende maturity levels – maar zijn wel van elkaar afhankelijk

•

Business & IT-allignment is key

Agenda  Wie bent U en wie ben ik  Trends • Wat betekent dat voor de beroepsgroep, voor U dus… – Speerpunten 2009 en visie

Speerpunten 2009 • Risk & Opportunity management – Oplijnen met business risks

• Controls ‘redden’ – Kijk naar de toekomst – Huidige crisis bedreigt het control framework • Kort gaat voor lang: Tactisch en strategisch niveau sneuvelen eerst • Maak zelf een plan om ‘efficientie te verhogen’

• Simplificatie compliance / toezicht • Professionalisering

Visie: op weg naar verdere professionalisering De drie speerpunten van Paul 1. Kwaliteit van de professional moet transparant zijn – Erkenning opleidingsniveau – Praktijkervaring – Persoonlijke integriteit, ook van de organisatie – Professionele houding •

Permanente educatie

Leren van fouten 2. Leren van fouten – Cultuurverandering tav delen van (bijna) fouten – Van incident tot leermoment – Iedere fout is al een keer gemaakt – Wegnemen ‘laksheid’ ten aanzien van leren van ervaringen elders – Persoonlijke verantwoordelijkheid – Aanspreekbaar

Onafhankelijk toezicht 3. ‘Inspectie’ bij ICT / Informatie ongevallen • •

‘Van Vollenhoven’ Doet aanbevelingen met uitstralen effect voor de hele sector

Conclusie 1/2 DOELEN • De sector moet zich serieuzer nemen – Om erger te voorkomen. – Beveiliging is allang geen bijproduct meer

• Zorgvuldiger werken – Lifecycle denken: tussentijdse verantwoording en evaluaties – Echte acceptatie

• Durven leren van elkaar – Best & bad practice sharing – Learning from incidents

• Kaf en koren – Zelfreinigend vermogen van de sector versterken

Conclusie 2/2 HOE • Mechanismen voor structurele verbetering – Governance / oversight / gildestructuur

Hier ligt een verantwoordelijkheid voor de beroepsverenigingen

Samenvattend