Cyber Security: hoe verder?
Pensioenbestuurders Rotterdam, 11 maart 2014 Generaal (bd.) Dick Berlijn © 2014 Deloitte Touche Tohmatsu
2
Wat is Cyber, wat is Cyber Security? Cyber is: • Overal • Raakt alles • Energie, transport, infrastructuur, banken, gezondheidzorg, pensioenen, overheid, openbare orde & veiligheid, media, onderwijs, defensie etc.
Cyber Security gaat over: • Kwetsbaarheid van en bedreigingen voor netwerken en data • Onze economische veiligheid • Onze nationale veiligheid 3
© 2014 Deloitte Touche Tohmatsu
4
5
Waar praten wij over? • Melissa Hathaway: “G-20 economies have lost 2.5 million jobs
to counterfeiting and piracy while governments and consumers lose $125 billion annually to cyber-attacks” • “Cybercrime is The Greatest Transfer of Wealth in History“General Keith Alexander – the director of the National Security Agency (NSA). • TNO: “cybercrime costs at least 10 billion euros annually” or 1.5 to 2 percent of our GDP, the cost is more in the region of 20 to 30 billion euros (PwC, McAfee, Symantec, Eurostat, KLPD and Govcert.nl) • http://www.informationisbeautiful.net/visualizations/worldsbiggest-data-breaches-hacks/
7
© 2014 Deloitte Touche Tohmatsu
Ponemon Institute • 90% van de bedrijven in de VS hebben de afgelopen 12 maanden te maken gehad met cyberaanvallen • Bij 60% van de bedrijven ging het om twee of meerdere incidenten • Meer dan 50% van die bedrijven had er weinig vertrouwen in dat men in
staat was het komende jaar volgende aanvallen te kunnen pareren • De DDoS aanval op Spamhouse (Duits Internet beveiligingsbedrijf), 8 maart 2013 wordt gezien als “the biggest cyber attack in history”
9
© 2014 Deloitte Touche Tohmatsu
Maar ook • 86% websites hebben minstens één zwakke plek die het hackers mogelijk maakt om in te breken – WhiteHat rapport mei 2013 • 87% web applicaties voldoen niet aan de OWASP Top 10 (breed toegepaste beveiligingsprotocollen) en 30% onderzochte web apps waren SQL injection gevoelig – Veracode CTO Chris Wysopal • “Application vulnerabilities” zijn de No.1 dreiging – (ISC)2 studie mei 16 2013 • “Nederlandse banken worden voortdurend aangevallen” – Infosecurity Magazine 8 april 2013 • Per dag komt er 73,000 nieuwe vormen van malware bij!
11
© 2014 Deloitte Touche Tohmatsu
“Een hacker heeft maar één gaatje in de beveiliging nodig, terwijl IT beveiligers ze allemaal moet kunnen vinden (en dichten)”
13
© 2014 Deloitte Touche Tohmatsu
14
15
Global Regional
National
Organizational
Individual Actors 16
© 2014 Deloitte Touche Tohmatsu
Global Cyber Maturity Curve: Collective action and milestones
17
© 2014 Deloitte Touche Tohmatsu
De rol van de bestuurder 18
© 2014 Deloitte Touche Tohmatsu
Cyber Threat Risk Management: vragen voor het management (1) 1. Wat zijn in onze organisatie de belangrijkste bedreigingen en kwetsbaarheden? 2. Wie is er ultiem verantwoordelijk is voor het wegnemen van de kwetsbaarheden? 3. Hebben we voldoende preventieve maatregelen genomen en kunnen we afwijkend verkeer waarnemen? 4. Zijn we voorbereid op het “worst cyber incident” en hoe ziet dat er voor onze organisatie uit? © 2014 Deloitte Touche Tohmatsu
Cyber Threat Risk Management: vragen voor het management (2) 5. Zien we welke digitale informatie onze organisatie verlaat en waar die informatie naartoe gaat? 6. Weten we wie er op onze netwerken inlogt en waar vandaan?
7. Hoe stellen we zeker dat alleen gevalideerde software op onze systemen draait? 8. Hoe beperken we de informatie die onze werknemers vrijwillig aan kwaadwillenden beschikbaar stellen? 20
© 2014 Deloitte Touche Tohmatsu
21
© 2014 Deloitte Touche Tohmatsu
22
© 2014 Deloitte Touche Tohmatsu
Reactief • Static • Perimeter • Keep out Pro-actief • Dynamic • Open & connected • Detect and respond 23
© 2014 Deloitte Touche Tohmatsu
Digital Dilemma Closed and secure
Cyber Resilience
Level of security
Compromise
Open and vulnerable
Level of connectivity & consumerization 24
© 2014 Deloitte Touche Tohmatsu
The vision of Deloitte
Respond adequately to incidents Recover to businessas-usual and limit damage
Recover
Respond
Alert
Assess
Prepare
Understand the threats and the current capabilities Implement security measures to prepare the organization
Monitor
Monitor the organization for anomalies and abnormal behavior Provide alerts and notify the appropriate people 25
© 2014 Deloitte Touche Tohmatsu
Waar het om gaat • U wordt gehackt: niet of maar wanneer • Men vraagt u: • Was u zich bewust van de risico’s? • Welke maatregelen had u genomen om het probleem te voorkomen/ mitigeren?
Het gewenste antwoord is: • Ja, ik was me van de risico’s bewust. • Ja, ik heb alle maatregelen genomen die mogelijk waren om het probleem te voorkomen • Ja, monitor en alerting is op orde. • Ja, incident response is getrainded en competent 26
© 2014 Deloitte Touche Tohmatsu
Hack.ERS member - Global CyberLympics
27
D
© 2014 Deloitte Touche Tohmatsu