Is er een standaard oplossing voor Cyber Security? Jaarcongres ECP 15 november 2012 Douwe Leguit Nationaal Cyber Security Centrum Wednesday, November 14, 12
Wat staat u te wachten?
Deagenda
Trends
Casuïstiek
Uitdagingen
Nationaal cyber security centrum, ministerie van veiligheid & Justitie
Wednesday, November 14, 12
CyberSecurityTrends
Wednesday, November 14, 12
Ice Breaker
THEODDONEOUT SMART PHONE
BOEING 787
NOORD KOREA
KERNCENTRALE
Nationaal cyber security centrum, ministerie van veiligheid & Justitie
Wednesday, November 14, 12
Ice Breaker
THEODDONEOUT rijksoverheid
bavaria
linkedin
de kerstman
Nationaal cyber security centrum, ministerie van veiligheid & Justitie
Wednesday, November 14, 12
Ice Breaker
THEODDONEOUT Miljoenennota 2011
Vodafone
Lektober
Gemeente Veere
Nationaal cyber security centrum, ministerie van veiligheid & Justitie
Wednesday, November 14, 12
CyberSecurityBeeld Wat zijn de risico’s, voor wie moeten we bang zijn en is het echt zo erg?
Wednesday, November 14, 12
Wat is het probleem?
allesisict
Wednesday, November 14, 12
afhankelijkheid
kwetsbaarheid
We worden steeds afhankelijker van ICt en daarmee is de veiligheid van ict van cruciaal belang geworden voor onze economie en maatschappij.
Maar ict is kwetsbaar door technische en organisatorische tekortkomingen, waardoor het een interessant doelwit is geworden voor kwaadwillenden.
ICT
Wednesday, November 14, 12
“Een aantal incidenten uit 2011 had voorkomen kunnen worden door het treffen van bekende basismaatregelen”
NATIONAAL CYBER SECURITY CENTRUM, MINISTERIE VAN VEILIGHEID & JUSTITIE
Wednesday, November 14, 12
“Toch is navolging van de verbeteradviezen bij deze incidenten achterwege gebleven door onbekendheid met de kwetsbaarheden en maatregelen of door onvoldoende gevoel van urgentie” NATIONAAL CYBER SECURITY CENTRUM, MINISTERIE VAN VEILIGHEID & JUSTITIE
Wednesday, November 14, 12
4
Deel incidenten nog steeds te wijten aan simpele kwetsbaarheden die eenvoudig te voorkomen zijn.
5
Een belangrijke oorzaak van incidenten blijft het niet tijdig repareren van kwetsbaarheden in software en websites.
6
Kwaadwillenden zijn steeds sneller in staat om zwakheden te misbruiken.
7
Toename van online apparaten en diensten resulteert in een sterke toename in complexiteit van beheersvraagstukken.
8
Veel organisaties en internetgebruikers hebben onvoldoende kennis om zich goed te beschermen tegen digitale risico’s.
NATIONAAL CYBER SECURITY CENTRUM, MINISTERIE VAN VEILIGHEID & JUSTITIE
Wednesday, November 14, 12
CyberSecurity Casuïstiek Wat zijn de risico’s, voor wie moeten we bang zijn en is het echt zo erg?
Wednesday, November 14, 12
Bediening van pompen via internet toegankelijk
Gemeenteveere • De risico’s waren onvoldoende bekend en werden onderschat
• inzicht in systemen was beperkt (asset management)
• Onvoldoende afspraken over
beveiligingseisen met de externe beheerder
NATIONAAL CYBER SECURITY CENTRUM, MINISTERIE VAN VEILIGHEID & JUSTITIE
Wednesday, November 14, 12
Veel websites slecht beveiligd
Lektober • Geen inzicht in de risico’s van webapps.
• Beveiligingseisen niet gespecificeerd bij outsourcing.
• Veelvuldig betrof het oude kwetsbaarheden
• organisaties niet ingericht op incident response
• geen cultuur van ICT-veiligheid
Nationaal cyber security centrum, ministerie van veiligheid & Justitie
Wednesday, November 14, 12
CyberSecurity Uitdagingen Wat zijn de uitdagingen voor onze digitale samenleving?
Wednesday, November 14, 12
We zijn er nog lang niet
watontbreekt Inzicht en informatiedeling • Onvoldoende inzicht in omvang en ernst van de problematiek • Informatie over dreigingen en incidenten wordt nog onvoldoende gedeeld • Onvoldoende expertise aanwezig bij overheid en bedrijven
Nationaal cyber security centrum, ministerie van veiligheid & Justitie
Wednesday, November 14, 12
We zijn er nog lang niet
watontbreekt Cyber security governance • inrichting en controle van Beveiligingseisen niet goed ingebed in uitbestedingsrelaties. • Security management en security operations sluiten niet goed op elkaar aan. • Security Patching is bij veel organisaties nog steeds onvoldoende. • Nog geen goed antwoord op nieuwe ontwikkelingen zoals cloud computing en ‘BYOD’.
Nationaal cyber security centrum, ministerie van veiligheid & Justitie
Wednesday, November 14, 12
We zijn er nog lang niet
watontbreekt Eisen en regels t.a.v. cybersecurity • Een dekkend wettelijk kader voor cyber security ontbreekt nog • Geen breed ingevoerde standaarden voor technische beveiliging • Geen formele eisen aan beveiliging van hard- en software
Nationaal cyber security centrum, ministerie van veiligheid & Justitie
Wednesday, November 14, 12
Nu is het moment voor actie
WANTcyberishot Een veilig internet is cruciaal voor onze maatschappij en economie Nationaal cyber security centrum, ministerie van veiligheid & Justitie
Wednesday, November 14, 12
Dankvooruwaandacht Douwe Leguit
[email protected] Nationaal Cyber Security Centrum
Wednesday, November 14, 12