Nieuwe cyberrisico’s vereisen een innovatieve aanpak Door de steeds verdergaande digitalisering begeeft de beheersing van cyberrisico’s zich steeds verder buiten de grenzen van een organisatie. Cybersecurity is niet langer een uitdaging voor de IT-afdeling, maar vormt een strategisch speerpunt en zou gericht moeten zijn op de kroonjuwelen van elke organisatie. Erwin de Horde - IT Technology and Security, Risk Assurance Bram van Tiel - IT Technology and Security, Risk Assurance Jim Krezmien - IT Technology and Security, Risk Assurance
1. Inschatten van cyberrisico’s blijft een uitdaging Door diverse incidenten groeit de aandacht voor de beveiliging van bedrijfsmiddelen gestaag. Organisaties erkennen het belang van een solide aanpak, maar hebben moeite om de omvang van cyberdreigingen te overzien. Hierdoor blijft het lastig om de juiste investeringen te doen om cyberrisico’s te mitigeren. Marktanalisten trekken analogieën tussen de huidige situatie en het sentiment voor de financiële crisis. Complexiteit ligt ten grondslag aan het feit dat risico’s destijds niet accuraat geïdentificeerd en beoordeeld zijn. Gaat dit nu weer gebeuren?
2. Organisaties moeten zich bewust zijn van kansen en risico’s in hun ecosysteem In de afgelopen twee decennia heeft de digitalisering de manier waarop organisaties met elkaar zaken doen drastisch veranderd. Traditionele grenzen bestaan niet meer, fysieke
46
Spotlight Special Jaargang 21 - 2014 uitgave 2
afscherming is vervangen door online toegang. Organisaties opereren in dynamische omgevingen, die steeds verder geïntegreerd raken. De omgeving waarin een organisatie opereert, het ecosysteem, omvat niet alleen werknemers, partners en klanten, maar ook andere partijen, zoals advocatenkantoren, investeringsbanken, dienstverleners, overheidsinstellingen, toezichthouders en zelfs concurrenten. In de praktijk werken organisaties vaak met elkaar samen op basis van vertrouwen. In toenemende mate buiten kwaadwillenden juist de zwakheden in een ecosysteem uit om hun doel te bereiken.
Risico’s in het ecosysteem zijn de risico’s voor een organisatie Succesvolle samenwerking binnen het ecosysteem van een organisatie valt of staat met een goede uitwisseling van informatie. Organisaties delen gegevens actief, waarbij het moeilijk te overzien is of alle betrokken partijen de veiligheid van de informatie op dezelfde manier waarborgen. De integriteit en stabiliteit van een organisatie is daardoor afhankelijk van de partijen in haar ecosysteem. Tegenstanders richten zich actief op de zwakke plekken in het hele ecosysteem. Uiteindelijk is de beveiliging van een
Voorbeeld: digitale diefstal van 33 miljoen euro start bij een leverancier van een bank In het voorjaar van 2013 bleek dat een bank uit het Midden-Oosten beroofd was van 33 miljoen euro. De diefstal is veroorzaakt door verwijderde limieten op debet-kaarten. Deze kaarten zijn door een wereldwijd opererend netwerk van fraudeurs gebruikt om het geld binnen 12 uur op verschillende locaties op te nemen. Uiteindelijk bleek dat een georganiseerde bende een beveiligingslek bij een Indiase leverancier uitbuitte om de diefstal mogelijk te maken.
Figuur 1. Een typisch ecosysteem van een organisatie
Samenvatting
Economisch
s
d en
e
Re
tr
ge
ijd
lg
dw
ev
l
e er W
in
g
Concurrentie
Leverancier
Wetgeving
Milieu
Klanten
Organisatie
Service Providers
Partners
el
re
tu
ol
-P
eo
G
Joint ventures
C
iti
o-
ek
ci
ul
So
Technologie
organisatie dus zo sterk als de zwakste schakel in het ecosysteem. Oude securitymodellen zijn niet toereikend in het huidige ecosysteem Terwijl de cyberdreigingen drastisch geëvolueerd zijn, lijkt de door veel organisaties gebruikte aanpak om de risico’s te beheersen geen gelijke tred te kunnen houden. Het traditionele informatiebeveiligingsmodel is gebaseerd op compliance, het beschermen van de fysieke en logische grenzen van de organisatie en het veiligstellen van informatiestromen in de eigen backoffice. Deze aanpak past echter niet meer in deze tijd. Om voldoende inzicht te verkrijgen in de belangrijkste risico’s in het ecosysteem, moet een organisatie haar prioriteiten met betrekking tot cybersecurity opnieuw evalueren, inzicht krijgen in de belangrijkste dreigingen en op basis daarvan gerichte investeringen doen.
Het beheersen van cybersecurityrisico’s in het ecosysteem van een onderneming is een complexe uitdaging. Belangrijkste randvoorwaarden om deze complexiteit te blijven doorgronden zijn de betrokkenheid van het management in combinatie met toegang tot geavanceerde technologische kennis. Effectief anticiperen op bedreigingen in een ecosysteem Aangezien cyberdreigingen in een razend tempo ontstaan en zich ontwikkelen, moeten organisaties een continue informatiestroom inrichten om goed inzicht te houden in de relevante dreigingen voor hun ecosysteem. Gewapend met dit inzicht kan het management anticiperen op veranderingen in het risicoprofiel. De constante dreiging van cyberaanvallen en de groeiende complexiteit van het ecosysteem leiden tot nieuwe beeldvorming binnen organisaties. Ze realiseren zich
Terwijl de digitale wereld in een rap tempo verandert, blijven veel organisaties vasthouden aan een traditionele beveiligingsaanpak. De vraag is in hoeverre deze organisaties daarmee hun belangrijkste bedrijfsmiddelen kunnen blijven veiligstellen. Het delen van gevoelige informatie binnen het ecosysteem van een organisatie introduceert nieuwe risico’s, terwijl organisaties niet altijd een volledig beeld van hun meest waardevolle bedrijfsmiddelen hebben. De beweegredenen van kwaadwillenden variëren sterk en hun methodes worden steeds geraffineerder, waardoor een beveiligingsaanpak alleen effectief is als deze zich continu door ontwikkelt. De traditionele aanpak is niet langer toereikend om strategische bedrijfsmiddelen blijvend te beschermen. Een nieuwe benadering is nodig om continu de belangrijkste cyberrisico’s te adresseren.
steeds meer dat beperking van de kans op schade als gevolg van aanvallen het echte doel is in plaats van volledige eliminatie van het risico. Door nieuwe bedreigingen tijdig in kaart te brengen, kunnen de organisaties negatieve effecten beperken. Voorbeelden van deze negatieve effecten zijn derving van inkomsten, concurrentienadeel, reputatieschade en het eroderen van de goodwill van klanten.
3. Cyberdreigingen zijn reële ondernemingsrisico’s Organisaties die risk management geborgd hebben binnen de dagelijkse processen, voeren regelmatig analyses uit op de meest actuele dreigingen vanuit een operationeel, financieel en reputatie perspectief. Hierbij worden cyberdreigingen echter niet altijd als kritisch ingeschat. Is deze houding nog wel terecht? In vergelijking met een aantal jaren terug zijn er twee oorzaken aan te wijzen die bijdragen aan een sterk
Spotlight Special Jaargang 21 - 2014 uitgave 2 47
vergrote kans op cyberaanvallen. In de eerste plaats is de omvang van beschikbare en waardevolle gegevens aanzienlijk toegenomen. Daarnaast zijn deze gegevens aanwezig bij diverse partijen verspreid over de gehele wereld (het ecosysteem van een organisatie). Gezien de waarde van deze gegevens is de beloning van een succesvolle aanval groot, terwijl de investering en de pakkans laag zijn. Motieven, doelen en impact van tegenstanders Georganiseerde misdaad, hacktivisten en terroristen, maar ook nationale overheden en zelfs medewerkers zijn sprekende voorbeelden van kwaadwillende partijen. Deze tegenstanders zijn vastberaden en geduldig en hun aanpak is vaak verfijnd. Zij zullen zich richten op individuen, organisaties of zelfs hele industrieën. Hun motieven variëren van economische spionage en het snel te gelde maken van informatie tot het bevorderen van politieke agenda’s. Geografische, culturele
Voorbeeld: Stuxnet bedreigt de infrastructuur van nutsbedrijven Stuxnet is een worm die is gericht op industriële controlesystemen (zogenaamde SCADAsystemen). Deze systemen zijn gebouwd om industriële processen te beheersen. Het is een publiek geheim dat deze worm ontwikkeld is in een samenwerking tussen de overheden van de Verenigde Staten en Israël om de Iraanse nucleaire ontwikkelingen te vertragen. Sinds de ontdekking van deze worm in de zomer van 2010 heeft Stuxnet inmiddels ook schade aangebracht in Azië, de Verenigde Staten en Europa. Recent werd nog gemeld dat de worm is doorgedrongen tot een Russische nucleaire faciliteit en het Internationale Space Station.
en juridische grenzen bemoeilijken een eenduidige aanpak. Kwaadwillende organisaties ontvangen vaak financiën en informatie om hun aanvallen te ondersteunen. Wereldwijd zijn we bij verschillende organisaties getuige geweest van een enorme variëteit aan ingenieuze methoden en technieken waarmee onopgemerkt toegang is verschaft tot kritische informatie. Denk bijvoorbeeld aan een medewerker die op een onschuldig ogende link in een e-mail klikt, met als uiteindelijk gevolg dat hackers de systemen
van een organisatie konden binnendringen en overnemen. Een nieuwe aanpak in een nieuwe wereld Het management van een organisatie kan zich niet langer veroorloven om cybersecurity uitsluitend te zien als een technologische uitdaging. De waarschijnlijkheid van een cyberaanval is geëvolueerd naar een volwaardig risico voor een organisatie. De vraag is niet óf je gehackt wordt, maar wannéér. Bestuurders die cybersecurity als een
Figuur 2. Classificatie van potentiële tegenstanders
Tegenstander
48
Doelen
Impact
Economisch, politiek en/of militair voordeel
Handelsgeheimen Economisch, politiek en/of militair voordeel Gevoelige strategische informatie Opkomende technologieën Kritische infrastructuur
Verlies van strategisch business voordeel Ontwrichting van kritische infrastructuur
Georganiseerde misdaad
Direct financieel gewin Verzamelen van informatie voor toekomstig financieel gewin
Financiële Direct financieel / betalingsystemen gewin Verzamelen van informatie Persoonsgegevens voor toekomstig Betalingskaart informatie financieel gewin Medische gegevens
Rechtzaken door aandeelhouders en consumenten Verlies van consumentenvertrouwen
Hacktivisten
De invloed van politiek en/of sociale veranderingen Onderneming onder druk zetten om hun handelswijze te veranderen
Strategische De invloed van documenten politiek en/of sociale veranderingen Gevoelige informatie Onderneming gerelateerd aan onder druk zetten om hun handelswijze leidinggevenden, werknemers, te veranderen klanten en partners
Ontwrichting van ondernemingsactiviteiten Reputatieschade Verlies van consumentenvertrouwen
Cyber Terroristen
Politieke en ideologische veranderingen Creëeren van angst, onzekerheid en twijfel
Kritische infrastructuur Operationele technologieën Zichtbare, publieke locaties
Destabiliseren, onderbreken en vernietigen van fysieke en logische assets
Nationale overheden
$
Motieven
Spotlight Special Jaargang 21 - 2014 uitgave 2
integraal onderdeel van hun strategie en risicobeheersing zien, kunnen hun organisatie beter laten profiteren van de kansen die hun ecosysteem daadwerkelijk te bieden heeft. Inzicht verkrijgen in de kwetsbaarheden van en bedreigingen binnen een ecosysteem helpt om te anticiperen op de belangrijkste risico’s.
4. Een effectieve beheersing op basis van de waarde van bedrijfsmiddelen Organisaties genereren steeds grotere hoeveelheden data. Een gedeelte van deze data heeft beperkte waarde. Er is echter veel kritische en waardevolle data voorhanden en het uitlekken van deze informatie kan de organisatie schade toebrengen. Het stellen van dezelfde eisen aan beheersing en bescherming van alle typen data is onpraktisch, onnodig en niet kosteneffectief. Wat zijn de kroonjuwelen van de organisatie? Organisaties moeten hun meest waardevolle bedrijfsmiddelen identificeren. Deze kroonjuwelen zijn de meest vitale informatiebronnen of -processen van een organisatie. Aanvallers proberen organisaties juist significante schade toe te brengen door zich op deze kroonjuwelen te richten. Voorbeelden zijn het stelen en gebruiken van klantgegevens of productontwerpen. Voor deze kroonjuwelen is het noodzakelijk om vast te stellen waar de informatie zich op welk moment bevindt en wie toegang heeft tot deze informatie. In de praktijk is het voor veel organisaties lastig om onderscheid te maken tussen de verschillende informatiebronnen en -processen op basis van hun belang en waarde. Het gevolg is dat alle bedrijfsmiddelen gelijkwaardig worden behandeld. Om deze benodigde prioritering op gang te brengen is het van belang dat leidinggevenden het initiatief nemen bij het identificeren en beschermen van de kroonjuwelen.
Figuur 3. Potentiële kroonjuwelen van een organisatie
Informatie- en communicatietechnologieën
‘Groene’ technologieën
Militaire technologieën
Geavanceerde materiaalen fabricage technieken
Gezondheidszorg, compositie van geneesmiddelen en aanverwante technologieën
Informatie over business deals
Agriculturele technologieën
$
Macro-economische informatie
Informatie over energie en andere natuurlijke bronnen
Het effect van gelekte informatie is vaak later pas merkbaar Na het uitlekken van intellectuele eigendommen, klantgegevens of andere waardevolle informatie is de impact op de organisatie vaak pas later merkbaar. Het kan maanden of zelfs jaren duren voordat een organisatie het volledige negatieve effect ondervindt. In enkele gevallen heeft de diefstal van kritische informatie geleid tot het faillissement van organisaties. Na het faillissement werd pas duidelijk dat
deze organisaties slachtoffer waren van langdurige aanvallen van hackers. Tegenstanders ontwikkelen zich continu, dus organisaties mogen niet achterblijven Het hoofddoel van cyberaanvallen is vaak het behalen van een (economisch) voordeel. Aanvallers ontwikkelen zich voortdurend om kwetsbaarheden binnen wereldwijde zakelijke ecosystemen te benutten. Organisaties investeren nog steeds miljarden in beveiligingsproducten
Voorbeeld: Gestolen blauwdrukken leiden tot faillissement van energiebedrijf Een Britse organisatie bewees recentelijk dat slechte netwerkbeveiliging kan leiden tot een faillissement. Het bedrijf richtte zich op het ontwikkelen van innovatieve technologieën voor hernieuwbare energie. Eind 2011 heeft de organisatie haar deuren gesloten, omdat hun meest waardevolle intellectuele eigendom in handen kwam van hackers. Het betrof een ontwerp voor een nieuwe windturbine. Deze blauwdrukken zijn gebruikt om de nieuwe turbines tegen een significant lagere kostprijs te vervaardigen in China.
Spotlight Special Jaargang 21 - 2014 uitgave 2 49
en -diensten gebaseerd op verouderde beveiligingsmodellen die onvoldoende gericht zijn op de echte kroonjuwelen. Het cybersecurity vraagstuk moet beantwoord worden op basis van een nieuwe benadering: begin met het identificeren van je kroonjuwelen om deze nu en in de toekomst optimaal te kunnen beschermen. Het in kaart hebben van je kroonjuwelen is een randvoorwaarde om gericht te kunnen investeren.
5. Conclusie Digitalisering heeft de manier van zaken doen veranderd. Veel organisaties weten steeds beter gebruik te maken van de kansen die hun ecosysteem biedt. Toch blijft de vraag hoe de meest waardevolle bedrijfsmiddelen beschermd kunnen worden, een lastige om te beantwoorden. Veel organisaties
Cybersecurity en de rol van de (IT-)auditor Bij veel organisaties is cybersecurity integraal onderdeel (of zou dit moeten zijn) van het risicomanagementsysteem en de interne beheersing. Vanuit zijn natuurlijke adviesrol is het logisch dat de (IT-)auditor zijn klanten wijst op de kansen en risico’s in de digitale en verbonden wereld. We verwachten dat de (IT-)auditor bij organisaties aandacht besteedt aan de wijze waarop deze organisaties omgaan met cybersecurity. Bijvoorbeeld: • Wat zijn de primaire dienstverlening en operatie van de organisatie en in welke mate zijn deze afhankelijk van technologie en beveiliging (bijvoorbeeld webshops, banken, ziekenhuizen)? • Wat zijn de kroonjuwelen van de organisatie, op welke wijze zouden deze beveiligd moeten zijn en hoe is dit in de praktijk geregeld? • Wie is verantwoordelijk voor cybersecurity binnen de organisatie en wie maakt de afweging welke maatregelen getroffen moeten worden? • Welke maatregelen zijn aanwezig rondom het beheersen van cybersecurity en het handelen bij een cyberaanval/-crisis? • Hoe wordt omgegaan met zaken die zijn uitbesteed aan bijvoorbeeld ITserviceproviders, softwareleveranciers, cloudleveranciers en netwerkleveranciers? • Op welke wijze worden medewerkers (ook die van leveranciers) bewust gemaakt van het feit dat zij een belangrijk onderdeel zijn van de beveiliging van de kroonjuwelen van de organisatie?
Figuur 4. In één oogopslag: het traditionele securityperspectief versus actuele cybersecurity-inzichten
Cyberaanvallen versnellen in een ongekend tempo en de benadering van een organisatie met betrekking tot cybersecurity moet een gelijke tred houden. Organisaties moeten zich op basis van de nieuwe, leidende cybersecurity inzichten aanpassen aan de nieuwe realiteit:
Historisch IT-securityperspectief Gelimiteerd tot het beveiligen van de fysieke en logische grenzen van de organisatie
Reikt tot het wereldwijde ecosysteem van een organisatie
Geleid en beheerd door de IT-afdeling
In lijn met doelstelling van de organisatie en onder verantwoordelijkheid van het management van een organisatie
Eenmalig en opportunistisch. Gemotiveerd door het verkrijgen van bekendheid, de technische uitdaging en individueel gewin
Georganiseerd, gefinancierd en gericht. Gemotiveerd door economisch, monetair en politiek gewin
Bescherming van informatie
Gelijkwaardige behandeling van verschillende informatiebronnen en -processen
Identificeren en prioriteren van de ‘kroonjuwelen’ van de organisatie
Karakter van verdediging
Reactieve handelswijze wanneer er een aanval heeft plaatsgevonden
Proactieve planning van respons op diverse aanvalscenario’s, actieve monitoring van incidenten en snelle reactie
Binnen de organisatie
Publieke en private partnerships. Samenwerking met werkgroepen binnen een industrie
Omvang van de uitdaging
Verantwoordelijkheid
Kenmerken van tegenstanders
(Delen van) veiligheidsinformatie
50
Nieuwe, leidende cybersecurity-inzichten
Spotlight Special Jaargang 21 - 2014 uitgave 2
zien het neerzetten van een effectieve cybersecuritystrategie als een uitdaging. Voor het aanpakken van deze uitdaging is het van belang dat cybersecurity als een integraal onderdeel van strategie en risicobeheersing wordt meegenomen en dat organisaties zich bewust zijn van de wijzigende afhankelijkheden in hun ecosysteem. Daarnaast moet een organisatie de strategische waarde van waardevolle informatie onderkennen en de verantwoordelijkheid daarvoor in eerste instantie beleggen bij het management. Het is hierbij mede aan de (IT-)auditor om organisaties te wijzen op de impact van het ondernemen in de cyberwereld en wat dit betekent voor beheersing en beveiliging.
Spotlight Special Jaargang 21 - 2014 uitgave 2 51
