ICT$security$uitdagingen$o2ewel$$ Informa(on)Security)for)human)beings)
Burgers’Zoo$–$Arnhem,$8$juni$2016$ $
Orange$Oaks$Audit$&$Advisory$ Marcel$Woltjes$
IntroducSe$Orange$Oaks$ Orange$Oaks$is$een$adviesbureau$dat$diensten$levert$op$het$gebied$van$ audit,$consultancy$en$(interim)$management.$Dienstverlening$op$het$vlak$ van$risico$management,$ICT$gebied,$Cyber$Security$en$IT$Audit$ $ Business$partner$van$InRisk/InAudit$$ $ Marcel$Woltjes,$Partner$IT$Risk$&$Security$
2"
Agenda$ Intro$ De$jager$ De$prooi$ De$verzekeraar$ Techniek,$proces$of$mens?$ PrakSsche$Sps$ VervolginformaSe$
3"
ICT$Security:$Jager$en$prooi$perspecSef$
4"
ICT$Security:$Jager$en$prooi$perspecSef$
5"
Jagers$zijn$snel,$sneller,$snelst…$
Gepubliceerd: 06 juni 2016 12:25
Gepubliceerd: 07 juni 2016 15:37
6"
Prooi$`$kandekeningen$bij$de$Cybercrime$golf$ ArSkelen$in$het$nieuws,$maar$ik$hoor$niets$in$mijn$relaSe/kennissen$kring?$ Wij$gebruiken$Apple$apparatuur$ Onze$data$staat$veilig$in$het$KPN$Cybercenter$incl.$ISAE3402$Type$2$cerSf.$ Onze$accountant$gee2$aan$dat$alles$prima$in$orde$is$ Beveiliging$is$ook$een$investering$ Wij$maken$vaak$back`ups$van$onze$belangrijke$data$ Een$abonnement$afgesloten$voor$anSvirus$so2ware$en$firewalls$ Geld$steken$in$dure$cyber$security$producten$zorgt$niet$voor$extra$omzet$
7"
Kandekeningen$bij$de$Cybercrime$golf$`$vervolg$ De$omzet$van$de$beveiligingssector$groeit$exponenSeel.$ – Forbes:$Worldwide$spending$on$informaSon$security$will$reach$$75$Billion$for$ 2015$$ – met$nieuwe$marketen$als$auto’s$en$Internet$of$Things$apparatuur$ – Maar$ook$Cyber$Security$Verzekeringen$!,$volgens$PWC$in$2016,$$2.5$billion$ – President$Obama:$I$hereby$declare$a$naSonal$emergency$to$deal$with$this$ threat.”$gaf$orders$om$$14$Billion$extra$uit$te$geven$aan$Cyber$security$ investeringen$in$het$2016$budget!$ – Snelst$groeiende$Cyber$Security$investeringen$sector,$na$de$USA$overheid,$is$ de$financiële$sector!$
Fasten your seat belts. 2016 promises to be a big year for the cybersecurity industry. 8"
PerspecSef$van$een$verzekeraar$ Growing"awareness"of"broader"cyber"risks,"such"as"impact"of"business"interrup@on,"as" well"as"regulatory"change,"will"propel"future"rapid"growth"of"cyber"insurance." Meanwhile,"as"technology"becomes"even"more"engrained"in"everyday"life"and" business,"new"risks"will"emerge." US/EU$wet`$en$regelgeving$versnellen$groei$van$de$Cyber$Security$markt$(verplichte$ melding$hacking/datalekken,$binnenkort$normstellend$ Groei$van$Cyber$Security$verzekeringen$in$de$gezondheidszorg,$retail,$logisSek$en$ telecomsector.$Financiële$sector$komt$steeds$meer$in$beeld$vanwege$ interconnecSviteit$met$andere$dienstverleners.$ Meer$focus$op$business$interrupSe$risico,$waar$nu$de$aandacht$nog$vooral$uitgaat$naar$ betrouwbaarheid$en$data$beveiliging$ Supply$chain$impact$via$business$partners,$dienstverleners$en$elektronische$ connecSviteit$ Risico$op$een$catastrofaal$dataverlies$bij$een$aanprekend$of$wereldberoemd$bedrijf$ neemt$toe$ IniSateven$tot$privaat`publieke$samenwerking$op$bijvoorbeeld$kriSsche$infrastructuren$
9"
Hacks$afgelopen$periode!$
Mens$
Proces$
ICT$
10"
Onderzoek$Orange$Oaks$2014`2016$ Bronnen:$Hacks$in$het$nieuws$(kranten,$televisie,$websites)$$ Data:$>100$hacks$geanalyseerd$ Aanpak:$Oorzaak$onderverdeeld$in$categorieën$
Mens$
Proces$
ICT$ 11"
Resultaat$eigen$onderzoek$
1.$Mens$ $80%$ 2.$Proces $11%$ 3.$ICT $$$9%$
12"
Waarom$de$mens?$
$ $ “You$can’t$download$a$patch$for$human$stupidity”$ $ $
$
$
$
$
$
$Kevin$Mitnick$ 13"
Wat$zeggen$de$Security$guru’s$
14"
Waarom$de$mens$–$Onze$analyse$ $ $ $
Je$bent$wie$je$bent,$dus$waarom$verwachten$wij$ander$ gedrag$in$de$Social$Media$wereld$vs.$kantoor;$Intrede$ Smartphone$Social$Media$apps.$Training,$coaching$en$ ondersteuning$stopt$niet$bij$de$kantoordeur$(?!)$ Iets$niet$mogen$vanwege$security$eisen$is$prima,$maar$ dan$wel$een$werkbaar$(lees$laagdrempelig)$alternaSef$ aanbieden$als$dit$proces$verstorend$kan$werken.$ Fouten$maken$is$inherent$aan$ons$leerproces;$Als$een$ fout$mogelijk$kan$leiden$tot$een$hack,$datalek$of$ verstoring$moet$het$melden$daarvan$zonder$ consequenSes$van$de$betrokken$persoon$zijn,$anders…$ 15"
Inzoomen$op$een$actuele$&$snelst$groeiende$dreiging$ Ransomware$ Computerprogramma$(malware)$die$alle$bedrijfsgegevens$probeert$te$ versleutelen$met$als$doel$de$ontsleuteling$via$betaling$af$te$dwingen$ Komt$(vaak)$binnen$via$relaSes/eigen$personeel$(url/adachment)$ Werkt$op$sluimerende$wijze$ Na$versleuteling$is$de$controle$weg$ Verspreid$als$een$snelwerkend$virus$ Betalen$of?$ ConSnuïteit$ Meldplicht?$ Voorkomen$en$genezen$
16"
PrakSsche$Sps:$Ransomware$ Back`up$zeer$frequent$en$sla$op$op$2$fysiek$gescheiden$locaSes$(b.v.$Een$in$ private$cloud,$een$fysiek)$ Stap$2,$regelmaSg$laten$testen$of$een$back`up$teruggezet$kan$worden,$neem$ je$eigen$data$eens$als$voorbeeld$ Spreek$met$je$klanten/relaSes$af$hoe$je$wel/niet$omgaat$met$mail$ adachments.$Overweeg$alternaSeven,$leg$dit$ook$vast$als$beleid.$(voorkoming$ impact$door$Phishing):$ – Check$alSjd$even$de$website$link$waarop$geklikt$moet$worden,$spellingsfouten,$ url’s$die$niet$te$maken$hebben$met$de$afzender?$ – Naam$en$Password$ingeven,$minimaal$een$beveiligde$verbinding$(slotje$/$hdps),$bij$ twijfel$gebruik$een$smartphone$zonder$wifi$verbinding.$ – Als$je$een$bericht$ontvangt$van$je$beste$vriend/businesspartner$blijf$dan$ook$alert$ als$het$gaat$om$websites$bezoeken$of$adachment$openen$(sms$of$whatsapp$check)$ – Uiteraard$is$dit$ook$het$advies$voor$communicaSe$van$officiële$organisaSes,$ banken,$belasSngkantoren,$maar$ook$zakelijk$email$met$factuur$gerelateerde$ vragen.$
17"
Ransomware$`$vervolg$ Wees$(ook)$voorzichSg$met$alle$elektronische$berichten,$ook$van$vrienden$en$ collega’s$ Stel$in$dat$file$extensies$(weer)$zichtbaar$worden$op$je$computer$(is$het$wel$ een$pdf?)$ Auto$update$van$computer,$office$en$anS$virusmaatregelen$is$een$must$(zie$de$ snelheid$van$de$jager)$ Het$AnS`Virus$programma$van$5$jaar$geleden$weet$niet$wat$hij$moet$doen$ met$Malware$(ransomware)$of$geïnfecteerde$websites,$helaas$een$blijvende$ investering$ Zie$je$iets$verdachts$op$je$computer,$ontkoppel$dan$zo$snel$mogelijk$de$ netwerkkabel$en$laat$het$systeem$precies$zo$achter$als$bij$de$ontdekking$voor$ experts$ Bij$een$ransomware$aanval$is$het$belangrijk$om$namen,$logo’s$en$andere$ teksten$te$bewaren$(maak$een$foto$met$je$smartphone$van$het$scherm),$deze$ geven$vaak$experts$een$idee$welk$type$gebruikt$is,$bij$oudere$versies$kan$soms$ relaSef$simpel$de$oude$situaSe$hersteld$worden.$
18"
Vervolg?$ • CSA$(Cyber$Security$Assessment)$ hdp://orangeoaks.nl/nieuws/cyber`security`assessment` norea`csa`gepubliceerd/$ • NOREA,$IT$Auditor$ hdp://Allesoverdatalekken.nl$ • Publieke$managementleder$NBA$`$Accountant$moet$ bestuur$bevragen$over$cybersecurity$ hdps://www.nba.nl/Documents/PublicaSes`downloads/ 2016/NBA_PML_Cyber_Security_(Mrt16).pdf$ $ $ $ 19"
Tips,$feedback$&$afsluiSng$
20"