http://www.pwc.nl/veiligheid
Virtuele veiligheid De cyberbewuste bestuurder: omgaan met toenemende cyberdreigingen
Veilige informatie voor de publieke en private sector november 2011
Bij PwC in Nederland werken ruim 4.600 mensen met elkaar samen vanuit 12 vestigingen en drie verschillende invalshoeken: Assurance, Tax & HRS en Advisory. We leveren sectorspecifieke diensten en zoeken verrassende oplossingen, niet alleen voor nationale en internationale ondernemingen, maar ook voor overheden en maatschappelijke organisaties.
Inhoud
2
Hoogste tijd om de dreigingen van het internet te onderkennen
4
Waar liggen de knelpunten?
10
Zes stappen naar de cyberbewuste organisatie
13
De uitdaging aangaan: een agenda voor zakenleven en overheid
15
Veiligheid Alles onder controle?
Virtuele veiligheid
1
Hoogste tijd om de dreigingen van het internet te onderkennen In juni 2011 maakte Nintendo bekend dat er, net als eerder bij Sony en Lockheed Martin, een cyberaanval op het bedrijf was gepleegd. De aankondiging volgde slechts enkele dagen op een toespraak die George Osborne, de Britse Minister van Financiën, had gegeven op een internationale conferentie. Hij beschreef hoe de Britse overheid maandelijks zo’n 20.000 e-mails ontvangt met daarin malware of spyware1. De boodschap is helder: geen enkele organisatie, in wat voor sector dan ook, is veilig – en de dreiging neemt alleen maar toe.
Veiligheid als randvoorwaarde om in de cyberomgeving te kunnen opereren Veilig opereren in de cyberomgeving is een van de meest urgente onderwerpen waarmee leiders in zowel bedrijfsleven als bij overheden vandaag de dag geconfronteerd worden. Om die veiligheid te bereiken staan twee vragen centraal. Ten eerste: hoe werken online businessmodellen; hoeveel mensen weten bijvoorbeeld hoe Google geld verdient? Ten tweede: hoe moeten deze modellen beschermd en ondersteund worden? Effectieve veiligheid is en mag geen barrière zijn voor deelname aan de cyberwereld. In tegendeel, het is een cruciale voorwaarde voor het optimaliseren van de online bedrijfsvoering.
De wereld heeft al eerder kennisgemaakt met deze cyberaanvallen. Op het World Economic Forum (WEF) van januari 2011 werden cyberaanvallen als één van de vijf grootste bedreigingen voor de wereldvrede bestempeld – naast risico’s gevormd door demografische ontwikkelingen, schaarste, globalisering en massavernietigingswapens. Het WEF benadrukte dat de dreiging die uitgaat van cyberaanvallen niet onderschat mag worden. Dat besef klinkt ook door in de Nederlandse Defensieverkenningen uit 2010, waarin aangenomen wordt dat toekomstige confrontaties zich ook in de cyberdimensie zullen voltrekken, naast de dimensies land, zee en lucht2. Overigens is het aanvallen van systemen van opponenten niet voorbehouden aan militaire organisaties, zo blijkt uit de wereldwijde actie van cybersecurity hackers tegen bedrijven die hun diensten niet langer beschikbaar stelden aan WikiLeaks, waaronder Mastercard, Paypal en Visa. Tegen deze achtergrond schetst deze publicatie waarom toegang tot de cyberomgeving een aardverschuiving veroorzaakt in het veiligheidslandschap van zowel publieke als private organisaties. We zullen ook enkele structuren, handelingsperspectieven en mogelijkheden toelichten die organisaties kunnen benutten om duurzaam succes te boeken in het cybertijdperk.
1 http://nakedsecurity.sophos.com/2011/05/16/uk-government-under-cyber-attack-sayschancellorgeorge-osborne/ 2 http://www.defensie.nl/organisatie/defensie/verkenningen/eindrapport_verkenningen, p.83
2
PwC
Ongekende mogelijkheden De toenemende dreiging loopt in de pas met de explosieve toename in online diensten in alle sectoren. Over de gehele wereld maken zowel de private als publieke sector optimaal gebruik van de mogelijkheden van het internet, telefonie en sociale media om hun prestaties te verbeteren en klanten effectiever van dienst te zijn. Online interactie heeft vier cruciale voordelen: lagere kosten, hogere snelheid, hogere klantloyaliteit en – in het geval van de private sector – snellere winstgroei. Deze voordelen nemen exponentieel toe met de toenemende vaart van de cyberrevolutie. In 2010 is het aantal online shoppers in Nederland in één jaar voor het eerst uitgekomen boven de 9 miljoen3 consumenten en in 2015 zullen 115 miljoen Europeanen gebruik maken van mobiel internetbankieren4. De publieke sector wereldwijd plukt ook de vruchten van de cyberrevolutie. In 2009 haalde 65% van de Europese ondernemingen officiële formulieren van overheidswebsites5. Meer dan de helft van deze bedrijven stuurde de ingevulde formulieren terug, wat tijd en geld bespaarde aan zowel publieke als private zijde. En in 2010 deden bijna 100 miljoen Amerikanen hun belastingaangifte online6.
“The cyber world continues to represent a powerful and effective way for HMRC to engage with and support its customers. It does however also present a series of new challenges and risks which need to be fully understood.” — Jeff Brooker, Director Security and Information, HMRC, de grootste belastingautoriteit van Groot-Brittannië.
De keerzijde Met de toename in het gebruik van online diensten, nemen ook de schaal en finesse waarmee cyberaanvallen worden uitgevoerd toe. Deze aanvallen zijn gericht op meerdere doelen, variërend van vitale nationale infrastructuren en het mondiale financiële systeem, tot minder voor de hand liggende doelen zoals mijnbouwbedrijven. Een van de meest verontrustende aanvallen was het Stuxnet virus dat medio 2010 werd ontdekt. Dit virus had tot doel het nucleaire programma van Iran te saboteren door de uraniumcentrifuges te versnellen waardoor ze het vanzelf zouden begeven. Tegelijkertijd was het virus gericht op het afsluiten van de veiligheidsmechanismen. Commerciële cybercriminelen lanceren eveneens geraffineerde aanvallen. Deze voorbeelden geven aan hoe de mogelijkheden en risico’s van de cyberwereld steeds geavanceerder worden. We zullen nu op de kenmerken van het cyberdomein ingaan die voor een trendbreuk zorgen: Ook kijken we naar de grootste dreigingen.
Onze PwC/ISF QuickPoll: verhalen van de frontlinie PwC heeft in samenwerking met het Information Security Forum (ISF) – de wereldwijde marktleider op het gebied van informatiebeveiliging – een online QuickPoll uitgevoerd onder klanten van PwC en leden van ISF. Op verschillende plekken in deze publicatie wordt naar de relevante onderzoeksresultaten verwezen. Alle respondenten zijn senior besluitvormers in de informatiebeveiliging, uit zowel de publieke als de private sector. De resultaten vormen een momentopname van de huidige aandachtspunten en inzichten onder professionals die dagelijks het gevecht aangaan met de cyberaanvallers.
3 http://www.blauw.com/nl/nieuws/item/online-consumentenbestedingen-stijgen-naar-euro-8-2-miljard/ 4 http://www.pwc.co.uk/eng/services/digitaltransformation.html 5 http://epp.eurostat.ec.europa.eu/statistics_explained/index.php/E-government_statistics 6 http://www.irs.gov/efile/index.html Virtuele veiligheid
3
Waar liggen de knelpunten? Onze PwC/ISF QuickPoll: Financiële cybercrime staat op 1 Van alle geïnterviewde PwC-klanten en ISF-leden, gaf 85% aan slachtoffer te zijn geweest van een cyberaanval in de afgelopen zes maanden. De helft van deze aanvallen was financieel van aard; activisme en spionage kwamen ook relatief veel voor. Is uw organisatie slachtoffer geweest van één van de volgende cyberaanvallen in de afgelopen zes maanden (kruis aan indien van toepassing)?
Terrorisme
Er zijn twee belangrijke redenen waarom het opereren in de cyberomgeving zo fundamenteel anders is dan in de traditionele, fysieke wereld. Ten eerste kent de cyberomgeving geen grenzen. Door de opkomst van internet zijn juist alle grenzen die we kennen vervaagd of verdwenen. Ten tweede is er sprake van een asymmetrie ten opzichte van de traditionele criminaliteit: de kosten van het ontwikkelen van bijvoorbeeld malware liggen veel lager dan de kosten van het ontwikkelen van een fysiek wapen, terwijl de schaal en omvang van het effect van beide vergelijkbaar zijn.
Oorlogsvoering Activisme Spionage Financiële criminaliteit
Deze factoren samen maken cyberaanvallen enorm onvoorspelbaar: ze kunnen overal vandaan komen – denk aan bijvoorbeeld duizenden computers die wereldwijd betrokken worden in één aanval. Zoals duidelijk blijkt uit onze QuickPoll, zijn de meeste organisaties als gevolg hiervan regelmatig slachtoffer van een aanval.
Cybersecurity: de blik naar buiten… Cybersecurity laat een duidelijke breuk zien met het verleden. Traditionele ITsecurity kent zijn technische oorsprong in de jaren ‘80 van de vorige eeuw en ontwikkelde zich tot informatiebeveiliging in de eerste jaren van het nieuwe millennium. Maar de nadruk lag hierbij te vaak op interne processen en gedrag met als doel het verdedigen van de eigen buitengrenzen die organisaties tot dan toe van hun omgeving afbakenden. Het cyberdomein kent geen grenzen. Als organisaties deelnemen aan de cyberwereld koppelen zij daarmee hun interne systemen, informatie en processen aan de cyberwereld. Hoewel de interne omgeving nog steeds wordt beschermd door maatregelen zoals firewalls, zijn de grenzen doordringbaar geworden. Cybersecurity moet het mogelijk maken dat alle harde grenzen op organisatorisch, fysiek en technologisch gebied worden opgeheven, maar daarnaast moeten de gevoelige gegevens en processen voortdurend worden beschermd. Cybersecurity moet dus een focus naar buiten hebben, waarbij grenzen op organisatorisch, nationaal, fysiek en technologisch gebied worden opgeheven, terwijl tegelijkertijd de gevoelige data van de organisatie voortdurend worden beschermd.
4
PwC
…en samenwerking De blik naar buiten richten vraagt tegelijkertijd een sterkere samenwerking tussen organisaties, zowel in de publieke als private sector. In onze optiek is het geen toeval dat de 14e Annual Global CEO Survey van PwC, gepubliceerd in januari 2010, een toenemende nadruk laat zien op samenwerking via nieuwe technologische toepassingen. Van de 1201 business leaders die we wereldwijd hebben gesproken, investeert 54% in technologie die samenwerking ondersteunt, waaronder mobiele apparatuur en social media. Verder verwacht 77% van de respondenten hun strategie in de komende drie jaar aan te passen in antwoord op het groeiende gebruik van deze communicatiemiddelen door consumenten. Het meervoudige karakter van cyberaanvallen betekent dat cybersecurity vooral om samenwerking vraagt, niet in de laatste plaats tussen zakenwereld en overheden. Het is belangrijk dat publiek-private organisaties, industrieën, toezichthouders en thirdparty leveranciers allemaal verantwoordelijkheid nemen bij het delen van informatie en ervaringen. Het organiseren van workshops waarin de dreigingen uiteen worden gezet, kan plaatsvinden op organisatie-, industrie-, keten-, of publiek-privaat niveau. Daarnaast kunnen simulaties een nuttige aanvulling vormen om de bewustwording verder aan te scherpen, de besluitvorming te versnellen en het begrip van de eigen rol in het proces te vergroten. De ervaring leert dat samenwerking op het gebied van cyberrisico’s in de private sector en tussen de private en publieke sector een uitdaging vormt op het gebied van wederzijds vertrouwen en vertrouwelijkheid van concurrentiegevoelige gegevens. Informatiebeveiligingsprofessionals zijn van mening dat de publiek-private samenwerking op dit gebied nog niet optimaal is (zie de figuur hieronder). Toch bestaat er geen twijfel over dat samenwerking om cyberrisico’s het hoofd te bieden uiteindelijk alle organisaties voordelen zal opleveren.
“Business in the cyber world means a disruption of traditional perimeter thinking. Users go mobile with new technology while attribution to a geographical location disappears. At the same time collaboration, communication and cooperation across logical company borders increases. The task of cyber security is to enable users doing their business securely, everywhere, on every device, with everyone.” — Dr. Gunter Bitz, MBA, CISSP, CPSSE Hoofd Product Security Governance bij SAP AG, een wereldwijde leider in business management software.
Onze PwC/ISF QuickPoll: Samenwerking tussen publieke en private sectoren met als doel het tegengaan van cyberdreigingen is nog niet effectief Toen we de steekproef van PwC-klanten en ISF-leden vroegen hoe effectief de samenwerking tussen publieke en private organisaties verloopt, bleek dat er nog een lange weg is te gaan. Slechts één respondent waardeerde de effectiviteit van PPS met vier uit vijf; geen enkele respondent waardeerde de samenwerking met vijf uit vijf.
5 = Meerdere mate 4 3 2 1 = Mindere mate
Virtuele veiligheid
5
Wie zijn de aanvallers – en wat drijft ze? Verschillende organisaties hanteren veelal hun eigen specifieke methodes om cyberaanvallen te categoriseren. In onze optiek zijn er vijf verschillende vormen van cyberaanvallen, elk met eigen – hoewel soms overlappende – methodes en doelen. De vijf vormen zijn:
inlichtingendiensten maken zich om uiteenlopende redenen schuldig aan diefstal van intellectueel eigendom. Cyberwarfare – Dit kan plaatsvinden tussen staten of tussen staten en spelers in de private sector, met name op het gebied van vitale nationale infrastructuren zoals elektriciteit, telecom en financiële systemen. De Stuxnet aanval op het nucleaire programma van Iran is hiervan het ultieme voorbeeld. In mei 2010 wees de VS de eerste generaal aan die in het bijzonder verantwoordelijk is voor cyberwarfare.
Financiële misdaad en fraude – Hier zijn criminelen bij betrokken – veelal goed georganiseerd en gefinancierd – die technologie als een middel gebruiken om zowel geld als andere middelen te ontvreemden. De gestolen informatie is in het verleden soms gebruikt om losgeld te eisen van de getroffen organisatie. Spionage – Vandaag de dag omvat het intellectuele eigendom van een organisatie zowel elektronische communicatie en bestanden als traditioneel eigendom zoals R&D output. Diefstal van intellectueel eigendom is een aanhoudende dreiging, waarbij de slachtoffers vaak niet eens weten dat ze zijn beroofd – totdat gelijkende producten opeens op de markt verschijnen of een patent gebaseerd op hun eigen R&D wordt geregistreerd door een ander bedrijf. Deze misdaden kunnen worden gepleegd door commerciële tegenstanders die het intellectueel eigendom willen gebruiken ten behoeve van hun eigen R&D of om de kennis binnen hun eigen bedrijf te vergroten. Ook buitenlandse
Terrorisme – Deze dreiging overlapt met warfare. Aanvallen worden uitgevoerd door terroristische groeperingen die mogelijk door staten worden gesteund. Deze groeperingen bedreigen zowel overheidsdoelen als private doelen, waaronder vaak vitale nationale infrastructuren. Activisme – Hier is opnieuw een overlap met andere categorieën, maar de motivatie voor de aanvallen is ideologisch gegrond. Voorbeeld hiervan zijn de supporters van WikiLeaks. Organisaties dienen te anticiperen op deze dreigingen door zich bewust te zijn van het beeld dat activisten kunnen hebben van bepaalde handelingen of van producten die deze organisaties in de markt zetten.
Veilige informatie is macht Deze achtergrondschets benadrukt het axioma ‘kennis is macht’. Met de enorme hoeveelheid beschikbare data die moet worden opgeslagen en die bovendien toegankelijk en bruikbaar moet zijn, realiseren bedrijven zich dat informatie een nog veel grotere bron van macht is dan het altijd al was – maar alleen wanneer deze informatie veilig is. De aanhoudende escalatie van cyberdreigingen is zichtbaar in de tijdlijn op de volgende pagina. Deze tijdlijn benadrukt hoe zowel de zakenwereld als de politieke gemeenschappen zich in een voortdurende wapenwedloop met de cyberaanvallers bevinden.
6
PwC
Tijdlijn cyberrisico’s en kansen
Kansen
Risico’s 2000 ‘I love you’ virus besmet wereldwijd miljoenen computers
2001 Het geschatte aantal wereldwijde internetgebruikers passeert de 500 miljoen
2001 De ‘Code Rood’ worm infecteert miljoenen computers en veroorzaakt miljarden dollars aan schade in termen van productiviteitsverlies en opruimkosten 2002
2005 YouTube wordt opgericht, waarbij gebruikers video’s kunnen plaatsen en delen met andere gebruikers 2006 De sociale netwerksite Twitter wordt opgericht, waarbij gebruikers korte berichten kunnen plaatsen en lezen
Chris Paget in troduceert de term ‘shatter attack’ en beschrijft hoe de veiligheid van Windows-systemen kan worden omzeild Paget werpt vragen op over de vraag hoe veilig Windows eigenlijk kan zijn 2007 Bekendmaking van de diefstal van tenminste 45 miljoen creditcardgegevens van detailhandelaren
2008 Met de introductie van de iPhone 3G wordt de trend van mobiel internetgebruik voortgezet
Cyberaanval op Estland: al het internetverkeer en de internetcommunicatie wordt afgesloten
2009 65% van de Europese ondernemingen downloadt officiële formulieren van overheidswebsites, waarmee de trend van de e-overheid wordt voortgezet
2010 Ontdekking van het Stuxnet virus, gericht op het nucleaire programma van Iran WikiLeaks publiceert duizenden geheime documenten, met name over de oorlogen in Irak en Afghanistan, diplomatieke ambtsberichten en het Amerikaanse ministerie van Buitenlandse Zaken
2011 De waarde van de sociale netwerksite Facebook wordt geschat op $50 miljard, voorafgaand aan de IPO in 2012
2011 Sony is slachtoffer van een cyberaanval op de databank. Miljoenen klantgegevens worden gestolen
Bron: Analyse PwC
Deze escalatie maakt duidelijk dat cybersecurity nu prominent op de agenda van bestuursleden staat en het belang van cybersecurity in toenemende mate wordt erkend door investeerders en toezichthouders. In februari 2010 had het bedrijf Intel de primeur toen zij bekendmaakten slachtoffer te zijn geweest van een “geraffineerd geval” van een cyberaanval. Terwijl overheden en bedrijven zich klaarmaken voor aanvallen op hun gegevens, weten ze dat ze strijden tegen een mondiale, geraffineerde en goed gefinancierde cybercrime-industrie. Enkele jaren geleden waren de aanvallen voornamelijk afkomstig van hackers die weinig doelgerichte massa-aanvallen uitvoerden. Vandaag de dag zijn aanvallen specifiek gericht op overheden, bepaalde bedrijven of typen informatie en worden deze aanvallen uitgevoerd door specialisten zoals hoogopgeleide IT-experts, internet- en crypto-experts.
Virtuele veiligheid
7
Obstakels bij het effectief aanpakken van cyberaanvallen Om zichzelf effectief te kunnen verdedigen tegen cyberaanvallen, moeten organisaties een aantal specifieke diepgewortelde barrières overwinnen. We noemen de vier belangrijkste:
• Behoefte aan nieuwe vaardigheden en inzichten: de overgang van
een fysieke naar een cyberomgeving is net zo ontwrichtend als bijvoorbeeld de militaire overgang van paarden naar tanks. In de huidige wereld kan het voorkomen dat een 15-jarige hacker meer verstand heeft van veiligheidsrisico’s dan de bestuurder van een bedrijf. De kennis van bedrijven en overheden over cyberdreigingen kan niet achterlopen bij de kennis die bij hackers aanwezig is.
• Maak veiligheid onderdeel van de bedrijfsstrategie: cybersecurity werd
eerst afgebakend tot een IT-issue, en creëerde als zodanig een afstand tussen managers en IT-veiligheidsprofessionals. Langzaamaan groeit het bewustzijn dat cybersecurity niet alleen een technische kwestie is, maar een onderwerp dat het hele bedrijf aangaat. De Global State of Information Security Survey 2011 van PwC bevestigde dat erkenning van de waarde van veiligheid op strategisch niveau sterker is geïntegreerd in de strategie van het bedrijf en niet alleen meer wordt gezien als IT-issue. Chief Information Security Officers rapporteren tegenwoordig vaker aan de bestuurder dan aan de CIO. Sinds 2007 is het aantal rapportages van CISO’s aan de CIO gedaald met 39 procent.
Onze PwC/ISF QuickPoll: Er is weinig besef van de cyberrisico’s op het niveau onder het middenmanagement Ons onderzoek wijst op de noodzaak van bewustwording van veiligheidsrisico’s onder het niveau van het middenmanagement. Van de PwC-klanten en ISFleden die werden geïnterviewd, gaf slechts 29% aan dat alle niveaus binnen hun bedrijf zich bewust zijn van cyberrisico’s. Nog verontrustender is dat 14% van de respondenten aangaf dat niemand, op geen enkel niveau, zich bewust was van deze risico’s.
Weet niet / Niet van toepassing Alle niveaus Senior and midden management Allen senior management Geen besef
8
PwC
Onze PwC/ISF QuickPoll: Organisaties weten niet wat online over hen wordt gezegd – en hun werknemers weten niet wat ze wel en niet mogen delen Toen we onze klanten en de ISF-leden vroegen of hun organisaties op de hoogte waren van wat hun klanten en werknemers over hen zeiden op sociale netwerken, varieerden hun antwoorden van ‘geen besef’ tot ‘volledig besef’. Hetzelfde gebrek aan duidelijkheid is zichtbaar in de kennis van werknemers over wat ze wel en niet online mogen communiceren. Slechts 9,5% van de respondenten vertrouwt erop dat hun werknemers hier voldoende kennis over hebben – hetzelfde percentage geeft aan geen vertrouwen hierin te hebben.
5 = Gedetailleerde kennis 4 3 2 1 = Geen kennis
• Consistente, afgestemde en geïntegreerde reacties op elk niveau binnen de organisatie: traditionele organisatiestructuren zijn vaak te traag en rigide om een antwoord op cyberaanvallen te kunnen bieden dat zowel snel als flexibel is. Binnen de organisatie moet in het geval van een aanval de informatie verplaatst kunnen worden en moeten beslissingen snel kunnen worden gecommuniceerd. Tenzij de ISO/IEC 27001 information security standard zodanig wordt toegepast dat nieuwe en opkomende dreigingen worden meegenomen in de toetsing, is zelfs deze standaard niet afdoende meer om de noodzakelijke hoeveelheid flexibiliteit en alertheid van een organisatie aan te tonen.
• Het creëren van bewustwording: een cyberaanval kan een organisatie
binnenkomen op elke mogelijke manier – bijvoorbeeld door derde partijen, klanten of zakenpartners. Dit betekent dat iedere werknemer verantwoordelijk is voor de cybersecurity van het bedrijf, en dat cyberrisico’s onderdeel moeten zijn van elke beslissing en handeling. Dit proces wordt gecompliceerd door de deelname van veel, met name jongere werknemers, aan sociale netwerken, die zij ook op de werkplek benaderen. Daarnaast veranderen organisatieculturen bijzonder snel. Opmerkelijk is dat onze QuickPoll aangeeft dat er een zorgelijk gebrek aan kennis is over wat klanten en werknemers zeggen over hun organisaties op sociale netwerken. De vraag wat werknemers daadwerkelijk mogen zeggen over hun bedrijf blijft vaak onbeantwoord. Deze bevindingen onderstrepen de noodzaak van een veiligheidsbewuste cultuur, grotere bewustwording van risico’s en een helder beleid dat consequent wordt uitgedragen.
Virtuele veiligheid
9
Zes stappen naar de cyberbewuste organisatie
Om de dreigingen die we hebben beschreven het hoofd te bieden, moeten vele publieke en private organisaties hun opstelling ten aanzien van de cyberwereld en hun capaciteiten daaromtrent veranderen. Er zijn zes stappen die organisaties kunnen zetten om zichzelf te modelleren naar de snel veranderende cyberwereld van vandaag.
“Making your firm cyber-ready is not easy, and requires an organisation-wide initiative which only comes with a shift in top management attitude. Introducing the role of ‘Cyber Savvy CEO’ is a signal to that effect. That, however, is only the beginning not the end of a synchronized firm-wide initiative to position it better in a fast changing market.” — Ajay Bhalla, Professor van Global Innovation Management, Cass Business School, London.
1.Verduidelijk de rollen en verantwoordelijkheden van boven af Zoals we al eerder hebben benadrukt, moeten bestuurders zich bewust worden van de dreigingen die uitgaan van het internet – daarom hebben we het concept van de cyberbewuste bestuurder geïntroduceerd. In de toekomst zal het leiderschap van een bestuurder die daadwerkelijk de risico’s en mogelijkheden van de cyberwereld begrijpt, een bepalende eigenschap zijn van die organisaties, publiek en privaat, die de kosten en baten van de cyberwereld het meest effectief weten te managen. Hoewel veel organisaties in het verleden hun cybersecurity hebben verbeterd als reactie op kritiek van toezichthouders, ligt de ware winst van de cyberwereld in de capaciteit van de organisatie om de mogelijkheden die het internet biedt volop te benutten – of dit nu gaat om de verkoop van producten via internet of het leveren van publieke diensten van een hogere kwaliteit en tegen lagere kosten. Leiderschap op dit vlak door een cyberbewuste bestuurder leidt tot een organisatie die deze kansen begrijpt en ze op een veilige en duurzame wijze weet te realiseren door middel van een effectief veiligheidsbeleid.
Onze PwC/ISF QuickPoll: cyberverantwoordelijkheden zijn onderverdeeld in risico’s (CRO) en kansen (CIO) – terwijl de bestuurder geen eigenaarschap claimt over deze gebieden Volgens ons onderzoek worden op bestuurdersniveau de verantwoordelijkheid voor cyberrisico’s en de mogelijkheden die de cyberwereld biedt nog steeds verschillend belegd. Cybermogelijkheden worden beheerd door een grote verscheidenheid aan C-level executives in verschillende organisaties, waarbij de CIO de meest voorkomende eigenaar is (bij zes van de 21 respondenten). Cyberrisico’s daarentegen, worden meestal geschaard onder de CRO of de CISO. Opmerkelijk is dat de bestuurder nog steeds relatief weinig betrokken is bij deze twee gebieden, waarbij de ‘opportunities’ in slechts 2 van de 21 organisaties door hem of haar worden beheerd, en de risico’s in slechts één.
10
PwC
2. Stel opnieuw vast in hoeverre uw veiligheidsfunctie is toegerust op de cyberwereld Organisaties hebben al IT-beveiligingsfuncties die wellicht een goede bescherming bieden tegen traditionele bedreigingen. Omdat voortdurend nieuwe risico’s opkomen, moet de focus zich verplaatsen naar het upgraden of hervormen van de bestaande kennis en capaciteiten op het gebied van veiligheid. In plaats van iets nieuws te creëren, moet gebouwd worden vanaf een bestaande basis om zeker te stellen dat het antwoord van de organisatie op de veiligheidsbehoefte ook de volledige cybersecurity omvat.
3. Streef naar een 360-graden “situational awareness” Om de veiligheidsfuncties en prioriteiten zo nauw mogelijk aan te laten sluiten bij de realiteit van de cyberwereld, moet een organisatie ook een helder begrip hebben van haar huidige en toekomstige cyberomgeving. Dit vraagt om “situational awareness” (zie het informatiepanel). Dit is een vereiste voor goed geïnformeerde en geprioriteerde beslissingen over cybersecurity, zowel in termen van handelingen als in termen van processen. Het bereiken van “situational awareness” kan een bijzondere uitdaging vormen voor grote organisaties in de publieke sector die het economische landschap in de volle breedte moeten analyseren en voor multinationals die de mogelijkheden van een globaliserende economie benutten en tegelijkertijd blootgesteld worden aan de gevaren daarvan. Ons onderzoek lijkt er op te wijzen dat “situational awareness” momenteel wordt ondermijnd door een gebrek aan maatregelen en KPI’s om het effectief managen van cyberrisico’s en kansen te ondersteunen.
“Situational awareness”: noodzakelijke kennis van de omgeving en het gedrag “Situational awareness” – een term afkomstig uit de militaire strategie – houdt in dat u het landschap rondom uw eigen organisatie kent, inclusief bestaande en potentiële dreigingen. Grondig onderzoek naar cyberincidenten kan bijdragen aan de ontwikkeling van “situational awareness”. Inzicht krijgen in wat er exact gebeurd is, wanneer en op welke manier, helpt organisaties om kernoorzaken en oplossingen te identificeren. Dit levert waardevolle informatie op over de motivaties, psychologie en gedragskenmerken van hackers. Wellicht overweegt een organisatie een acquisitie of project dat de interesse van ‘hacktivisten’ trekt. “Situational awareness” signaleert dergelijke risico’s.
Onze PwC/ISF QuickPoll: KPI’s om cyberrisico’s en opbrengsten te managen zijn er nog niet Geen van de respondenten waardeerde de inspanningen en KPI’s van hun organisaties op het gebied van cybersecurity als vijf uit vijf. De meeste respondenten waardeerden deze als gemiddeld. Bestuurders dienen zichzelf af te vragen in hoeverre hun organisatie maatstaven hanteert die op een effectieve wijze de risico’s en voordelen van de cyberwereld weergeven.
5 = Meerdere mate 4 3 2 1 = Mindere mate
Virtuele veiligheid
11
4. Richt een Cyber Incident Response Team (CIRT) op Zoals al eerder opgemerkt, hebben traditionele organisatiestructuren vaak als onbedoelde bijwerking dat ze een noodzakelijke snelle en besluitvaardige reactie op de cyberomgeving verhinderen. Veel organisaties hebben al een incident response team, maar de snelheid en onvoorspelbaarheid van cyberaanvallen vraagt om een aanpassing en stroomlijning van dit team, zodat informatie, intelligence en beslissingen sneller door alle lagen van de organisatie kunnen gaan – van board level tot IT en business operations en wanneer de situatie daarom vraagt, tussen organisaties onderling. Een goed functionerend CIRT houdt in dat een cyberincident op elke plek in de organisatie kan worden geïdentificeerd, ingeschat en waar nodig geëscaleerd. Snelle besluiten en acties kunnen dan volgen en waar nodig kunnen forensische cyberonderzoeken en/of externe specialisten worden ingezet. In plaats van onnodig lang stil te staan bij de vraag of een dreiging ook een daadwerkelijk probleem vormt, kan het CIRT de juist technische en zakelijke inzichten snel overbrengen op de besluitvormers.
5. Creëer een voedingsbodem voor de ontwikkeling van vaardigheden en deel deze Om de “situational awareness” en informatiehoeveelheid optimaal te benutten, moet een organisatie ook investeren in cybervaardigheden. Deze vaardigheden zijn echter niet in ruime mate voorhanden. Een recent onderzoek van het SANS-instituut liet zien dat 90% van de bedrijven het lastig vond om mensen te werven met de cybersecurity vaardigheden die ze nodig hebben. Zestig procent van deze werkgevers gaf aan dat ze van plan zijn meer banen op het gebied van cybersecurity te creëren in de komende jaren. Gegeven de beperkte toevoer van cybertalent, is het een taak voor werkgevers om nieuwe manieren te vinden om degenen met de juiste vaardigheden te inspireren om een bijdrage te leveren aan het veilig houden van bedrijven. Het zou goed kunnen dat de meest waardevolle technische expertise en inzichten gevonden kunnen worden bij de jongere werknemers binnen het bedrijf. Sommige organisaties kunnen ook een meer radicale benadering overwegen, zoals het plaatsen van jongere cyberbewuste werknemers samen met leden van de raad van bestuur in een speciaal orgaan dat gericht is op cybersecurity.
6. Neem een proactieve en transparante houding aan ten opzichte van dreigingen
De onvoorspelbare en ‘high-profile’ aard van cyberdreigingen roept vaak een defensieve houding op. Een aantal cyberbewuste organisaties heeft zichzelf echter recentelijk aan de frontlinie gepositioneerd door een meer actieve houding aan te nemen tegenover hackers, door gebruik te maken van juridische middelen en door openlijk te communiceren over hun cyberdreigingen, cyberincidenten en de reacties daarop. Het is duidelijk dat deze reacties zich binnen de grenzen van de wet moeten afspelen. Het is dus van belang om zeker te stellen dat goedbedoelende werknemers niet deze grenzen overschrijden door zelf te hacken. De bestuurder en de board moeten daarbij een duidelijke positie innemen over het vervolgen van hackers en zij moeten eventueel bewijs veiligstellen om juridische stappen mogelijk te maken. Door een proactieve houding aan te nemen tegen aanvallen op commerciële of nationale belangen kan de organisatie aantonen cyberaanvallen serieus te nemen en te streven naar een juridische aanpak van hackers.
12
PwC
De uitdaging aangaan: een agenda voor zakenleven en overheid
De dreigingen die uitgaan van het internet vormen een enorme uitdaging voor organisaties in zowel de publieke als de private sector wereldwijd. Het is ook een uitdaging die geen van beide sectoren zelfstandig kunnen aanpakken. In de hedendaagse gecompliceerde wereld is het vermogen van de overheid om efficiënte, betrouwbare en veilige diensten te leveren cruciaal voor het vertrouwen van het bedrijfsleven. Overheden willen op hun beurt een robuuste en vitale publieke sector die groei en werkgelegenheid genereert. Geen van deze doelen kan worden bereikt zonder de cyberomgeving te gebruiken – en dit vraagt om cybersecurity. Om aan de eisen van het cybertijdperk te voldoen, geloven wij dat de meeste publieke en private organisaties nieuwe structuren, rollen en governancestructuren moeten ontwikkelen, terwijl ze ook een nauwe samenwerking met andere organisaties moeten aangaan in het kader van de cyberagenda.
De moed hebben om los te laten… Dit vraagt om een nieuwe mentaliteit die niet is gericht op bescherming van de eigen organisatie maar op de bescherming van de bredere omgeving, terwijl tegelijkertijd de veiligheid van de kritieke informatie van het bedrijf niet in het geding mag zijn. Deelnemen aan de cyberwereld betekent dat systemen en processen open moeten worden gesteld voor externe leveranciers, klanten, partners en werknemers en dat we zowel cultureel als psychologisch moeten accepteren dat de oude grenzen niet meer gelden in de huidige cyberwereld. Dit is een enorme verandering. Van oudsher hebben organisaties controle uitgeoefend op hun buitengrenzen door gedrag te sturen en macht te monopoliseren in de kern van hun organisatie. Deze benaderingen werkten goed in de oude wereld van fysieke aanvoer. Maar de snelheid en flexibiliteit die wordt geëist door de cyberwereld is hier niet op toegesneden.
“We are promoting an initiative for an organisation-wide cultural shift towards greater cyber security awareness. We have identified a step up in dispersed attacks and are preparing ourselves accordingly. It is anticipated that this threat will become more severe and impact more industries, and we certainly put much importance on an organisation approach to cyber security.” —Itzik Kochav, Hoofd Data Protection bij Clalit Healthcare, een van de leidende zorgleveranciers van Israel.
Virtuele veiligheid
13
Onze PwC/ISF QuickPoll: organisaties bewegen zich van ‘beperken en controleren’ naar ‘gestuurd vertrouwen’ Ons onderzoek wijst uit dat de meeste organisaties een beweging maken van het beperken van gedrag van hun werknemers naar sturing op basis van vertrouwen en monitoring. Dit lijkt een zinnig antwoord te zijn op de cyberomgeving. Aan de andere kant bestaan er twijfels of organisaties werkelijk zijn toegerust voor een dergelijke benadering – met name als het gaat om gebrekkige bewustwording op de lagere niveaus van de organisatie. Is de aansturing van uw werknemers gebaseerd op het inperken van hun handelingsvrijheid of op vertrouwen en toezicht?
Restrictieve regelgeving Gestuurd vertrouwen
…en beweeg van restrictieve regelgeving naar gestuurd vertrouwen Dit betekent dat bedrijven af moeten stappen van de traditionele machtsstructuren. De bescherming tegen cyberaanvallen is sterk afhankelijk van de verbindingen tussen de leveranciers en de kennis van de mensen die met die leveranciers werken. Organisaties moeten dus afstappen van het op regels gebaseerde beperken en controleren van hun werknemers en overstappen op gestuurd vertrouwen op alle niveaus: van de individuele werknemer tot de zakenpartner of de overheid.
Overheden: het bereiken van win-win situaties door middel van samenwerking Op hun beurt kunnen overheden een cruciale rol spelen in het versterken van de cybersecurity door verschillende stakeholders bij elkaar te brengen en daarmee win-win situaties te creëren door middel van sectorale en nationale samenwerking. De meest efficiënte en effectieve manier om een gedeelde dreiging te trotseren is door informatie te delen. Dit kan bewustwording verhogen en kan voorkomen dat individuele organisaties het wiel opnieuw moeten uitvinden. Overheden zijn ideaal gepositioneerd om een dergelijke samenwerking tot stand te brengen.
Het is tijd dat de cyberbewuste bestuurder van zich laat horen Vandaag de dag grijpen meer en meer organisaties de mogelijkheden die het internet biedt met beide handen aan. De enige manier om dit op een veilige en duurzame manier te doen in onze optiek, is ervoor te zorgen dat bewustwording en alertheid worden verweven in de mindset van elke werknemer en dat dit onderdeel uitmaakt van elke beslissing en elke interactie. Het is tijd dat de bestuurders hiervoor zorg gaan dragen.
14
PwC
Veiligheid Alles onder controle? Het bevorderen van veiligheid vergt kennis van de mogelijke dreigingen, kennis van risico’s en kennis over het verhogen van de weerstand. Onze veiligheidsspecialisten werken met een doordachte visie en strategie. Zij hebben hun sporen verdiend binnen organisaties die zich dagelijks bezighouden met veiligheid en hebben ruime ervaring met zowel het formuleren van veiligheidsbeleid als met daadwerkelijke veiligheidshandhaving en opsporing. Bovendien is voor onze adviseurs de vertrouwelijkheid van het onderwerp vanzelfsprekend. Zij begrijpen de vereisten van uw onderneming en weten wanneer en hoe zij experts moeten betrekken bij juridische, IT en zakelijke issues of bij crisismanagement, fraude, forensisch onderzoek en HR. Dit brede spectrum aan kennis - zoals hieronder afgebeeld - betekent dat we uw organisatie kunnen helpen bij het ontwikkelen van een dynamische en vooruitstrevende veiligheidsstrategie die uw risico’s in kaart brengt en praktische en effectieve oplossingen oplevert om deze het hoofd te bieden.
Verhoog uw weerstand: business continuity management, disaster recovery, crisismanagement
Beheersen van incidenten: valuatie incident response; forensisch onderzoek; crisis response
Security Strategy Business Continuity Management
Incident Response and Forensic Investigation
Bouwen van veilige systemen en infrastructuren: veiligheidsarchitectuur, netwerkbeveiliging, cloud computing, identiteits- en toegangsmanagement, ERPbeveiliging
People Process Technology
Architecture, Network security and Identity
Koers uitzetten: Ontwikkeling beveiligingsstrategie, organisatieontwerp, managementrapportages
Security Governance and Control
Threat and Vulnerability Management
Ontwikkel een gedegen controlekader: risico, beleid en privacyevaluaties, bewustwordingscampagnes, compliance met regelgeving, databeveiliging
Beheers kwetsbaarheid: penetratietesten, kwetsbaarheidtoetsen, voortdurende en mondiale dreigingsanalyse
Virtuele veiligheid
15
Mocht u de onderwerpen die in deze publicatie aan de orde zijn gekomen verder willen bespreken, dan kunt u contact opnemen met één van de volgende personen:
Otto Vermeulen PwC Nederland
[email protected] +31 88 792 6374 William Beer PwC UK
[email protected] +44 7841 563 890 Wim Wensink PwC Nederland
[email protected] +31 88 792 3315
Met dank aan Nick C. Jones, David Moloney, Clare Geldart, Sarah Nolton, Andrew D. Miller (allen van PwC UK), Ariel Litvin (PwC Israel) en Ronald Prins (Fox-IT).
16
PwC
© 2011 PricewaterhouseCoopers Advisory N.V. (KvK 34180287). Alle rechten voorbehouden. 2011.11.01.01.359. In dit document wordt met ‘PwC’ bedoeld PricewaterhouseCoopers Advisory N.V., die een member firm is van PricewaterhouseCoopers International Limited. ‘PwC’ is het merk waaronder member firms van PricewaterhouseCoopers International Limited (PwCIL) handelen en diensten verlenen. Samen vormen deze member firms het wereldwijde PwC-netwerk. Elke member firm in het netwerk is een afzonderlijke juridische entiteit en handelt voor eigen rekening en verantwoording en niet als vertegenwoordiger van PwCIL of enige andere member firm. PwCIL verricht zelf geen diensten voor klanten. PwCIL is niet verantwoordelijk of aansprakelijk voor het handelen of nalaten van welke van haar member firms dan ook, kan geen zeggenschap uitoefenen over hun professionele oordeel en kan hen op geen enkele manier binden.
www.pwc.nl