Cyber Security: hoe verder?

Cyber Security: hoe verder?

Pensioenbestuurders Rotterdam, 11 maart 2014 Generaal (bd.) Dick Berlijn © 2014 Deloitte Touche Tohmatsu

2

Wat is Cyber, wat is Cyber Security? Cyber is: • Overal • Raakt alles • Energie, transport, infrastructuur, banken, gezondheidzorg, pensioenen, overheid, openbare orde & veiligheid, media, onderwijs, defensie etc.

Cyber Security gaat over: • Kwetsbaarheid van en bedreigingen voor netwerken en data • Onze economische veiligheid • Onze nationale veiligheid 3

© 2014 Deloitte Touche Tohmatsu

4

5

Waar praten wij over? • Melissa Hathaway: “G-20 economies have lost 2.5 million jobs

to counterfeiting and piracy while governments and consumers lose $125 billion annually to cyber-attacks” • “Cybercrime is The Greatest Transfer of Wealth in History“General Keith Alexander – the director of the National Security Agency (NSA). • TNO: “cybercrime costs at least 10 billion euros annually” or 1.5 to 2 percent of our GDP, the cost is more in the region of 20 to 30 billion euros (PwC, McAfee, Symantec, Eurostat, KLPD and Govcert.nl) • http://www.informationisbeautiful.net/visualizations/worldsbiggest-data-breaches-hacks/

7


Ponemon Institute • 90% van de bedrijven in de VS hebben de afgelopen 12 maanden te maken gehad met cyberaanvallen • Bij 60% van de bedrijven ging het om twee of meerdere incidenten • Meer dan 50% van die bedrijven had er weinig vertrouwen in dat men in

staat was het komende jaar volgende aanvallen te kunnen pareren • De DDoS aanval op Spamhouse (Duits Internet beveiligingsbedrijf), 8 maart 2013 wordt gezien als “the biggest cyber attack in history”

9


Maar ook • 86% websites hebben minstens één zwakke plek die het hackers mogelijk maakt om in te breken – WhiteHat rapport mei 2013 • 87% web applicaties voldoen niet aan de OWASP Top 10 (breed toegepaste beveiligingsprotocollen) en 30% onderzochte web apps waren SQL injection gevoelig – Veracode CTO Chris Wysopal • “Application vulnerabilities” zijn de No.1 dreiging – (ISC)2 studie mei 16 2013 • “Nederlandse banken worden voortdurend aangevallen” – Infosecurity Magazine 8 april 2013 • Per dag komt er 73,000 nieuwe vormen van malware bij!

11


“Een hacker heeft maar één gaatje in de beveiliging nodig, terwijl IT beveiligers ze allemaal moet kunnen vinden (en dichten)”

13


14

15

Global Regional

National

Organizational

Individual Actors 16


Global Cyber Maturity Curve: Collective action and milestones

17


De rol van de bestuurder 18


Cyber Threat Risk Management: vragen voor het management (1) 1. Wat zijn in onze organisatie de belangrijkste bedreigingen en kwetsbaarheden? 2. Wie is er ultiem verantwoordelijk is voor het wegnemen van de kwetsbaarheden? 3. Hebben we voldoende preventieve maatregelen genomen en kunnen we afwijkend verkeer waarnemen? 4. Zijn we voorbereid op het “worst cyber incident” en hoe ziet dat er voor onze organisatie uit? © 2014 Deloitte Touche Tohmatsu

Cyber Threat Risk Management: vragen voor het management (2) 5. Zien we welke digitale informatie onze organisatie verlaat en waar die informatie naartoe gaat? 6. Weten we wie er op onze netwerken inlogt en waar vandaan?

7. Hoe stellen we zeker dat alleen gevalideerde software op onze systemen draait? 8. Hoe beperken we de informatie die onze werknemers vrijwillig aan kwaadwillenden beschikbaar stellen? 20


21


22


Reactief • Static • Perimeter • Keep out Pro-actief • Dynamic • Open & connected • Detect and respond 23


Digital Dilemma Closed and secure

Cyber Resilience

Level of security

Compromise

Open and vulnerable

Level of connectivity & consumerization 24


The vision of Deloitte

Respond adequately to incidents Recover to businessas-usual and limit damage

Recover

Respond

Alert

Assess

Prepare

Understand the threats and the current capabilities Implement security measures to prepare the organization

Monitor

Monitor the organization for anomalies and abnormal behavior Provide alerts and notify the appropriate people 25


Waar het om gaat • U wordt gehackt: niet of maar wanneer • Men vraagt u: • Was u zich bewust van de risico’s? • Welke maatregelen had u genomen om het probleem te voorkomen/ mitigeren?

Het gewenste antwoord is: • Ja, ik was me van de risico’s bewust. • Ja, ik heb alle maatregelen genomen die mogelijk waren om het probleem te voorkomen • Ja, monitor en alerting is op orde. • Ja, incident response is getrainded en competent 26


Hack.ERS member - Global CyberLympics

27

D


Cyber Security: hoe verder?

Recommend Documents