1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen. - belangen, - risico s, - maatregelen

Transcriptie

1 Masterclass NCD - 9 maart 2016 Cyber Security Erik Hoorweg Inhoud 1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen - belangen, - risico s, - maatregelen 4. Actualiteit Meldplicht Datalekken & GDPR 5. Handvatten & Leesvoer 1

2 Quotes uit WEF Davos 2016 over digitalisering & veiligheid Technologie heeft altijd gezorgd voor veranderingen waar mensen zowel bang als hoopvol van werden. Tot nu toe is technologische vooruitgang voornamelijk goed geweest voor het welzijn. Maar verandering gaat nu veel sneller, ook sneller dan veel leiders lijken aan te kunnen - Erik Brynjolfsson, Hoogleraar Digitale Economie MIT We zitten in een wereldwijde leiderschapscrisis, en dat moeten we ons allemaal aantrekken - Marc Benioff, bestuursvoorzitter Salesforce Er is nog nooit een grotere belofte geweest dan nu. Maar ook nog nooit een groter gevaar - Claus Schwab, oprichter World Economic Forum Drie dimensies van Cyber Security Cyber Security is het vrij zijn van gevaar of schade veroorzaakt door verstoring of uitval van ICT of door misbruik van ICT. Belangen Risico s VERTROUWEN Weerbaarheid/ Maatregelen 2

3 Perspectief van de spreker Wat weten jullie al van Cyber Security? 3

4 Vraag 1: WAAR of NIET WAAR? Bedrijven met een ResponsibleDisclosureBeleid belonen hackers indien deze hiervan melding maken bij het betreffende bedrijf. WAAR Vraag 2: WAAR of NIET WAAR? De afgelopen twee jaar is het aantal meldingen van cyberaanvallen bij de overheid verdubbeld. WAAR Het Nationaal Cyber Security Centrum (NCSC) ontving het afgelopen jaar 293 meldingen over een incident bij de overheid. 4

5 Vraag 3: HOGER of LAGER? Binnen MKB verwacht 50% van het management een toename van het bedrijfsrisico m.b.t. Cyber Security LAGER 32% verwacht een stijging* * Bron: Cyber Security in het MBK (Capgemini, TNS NIPO) N = 529 Vraag 4: JA of NEE? Sinds 1 januari 2016 moet u alle datalekken melden bij de Autoriteit Persoonsgegevens NEE U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of dat er een aanzienlijke kans bestaat dat dit gebeurt. 5

6 Vraag 5: WAAR of NIET WAAR? De nieuwe Europese Privacy Verordening (GDPR) verplicht organisaties om aandacht te besteden aan bewustwording en training van medewerkers WAAR Bij overtredingen van de verordening kunnen hoge boetes worden opgelegd tot wel 4% van de jaarlijkse omzet Vraag 6: Bij benadering Hoeveel procent van de Nederlandse managers en bestuurders raken geïrriteerd door de beveiligingsmaatregelen die het eigen bedrijf oplegt? 28% Dit is hoog ten opzichte van andere Europese landen (gemiddeld 17%). 27% handelt in strijd met de eigen veiligheidsvoorschriften 50% daarvan doet dit bewust 6

7 Inhoud 1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen - belangen, - risico s, - maatregelen 4. Actualiteit Meldplicht Datalekken & GDPR 5. Handvatten & Leesvoer Joshua Samuel Aaron (alias Mike Shields) Leeftijd Woonplaats : 31 jaar : Maryland, Tel Aviv, Kiev, Moskou Leider criminele organisatie Hack organisaties om miljoenen klantgegevens te bemachtigen Verkoop van de gegevens aan derden via Online marktplaatsen Manipuleren van aandelenkoersen via misleidende campagnes en beïnvloeden brokers (opstuwen koers) Geregisseerd verkopen van de aandelen Motivatie : Geld 7

8 Alexandra Elbakyan Leeftijd Woonplaats : 27 jaar : Kazachstan Oprichtster van Sci-Hub (2011). Platform voor gratis verstrekken van wetenschappelijke artikelen. 20 miljoen bezoekers (downloads) Doelgroep: alle universiteiten en wetenschappelijke uitgevers. Motivatie : Ideologie. Ik vind het onethisch dat het delen van wetenschappelijke informatie verboden kan worden. Vijf Nederlands pubers Leeftijd Woonplaats : 14 tot 17 jaar : Berkelland, Lochem, Den Helder en Vinkeveen DDoS-aanval op Ziggo Ziggo-klanten twee dagen niet internetten (zakelijk en privé) 2 miljoen internetaansluitingen Motivatie : Script-kiddies laten zien wat we kunnen 8

9 Sun Kailiang (alias Jack Sun) Leeftijd Woonplaats : onbekend : China Officier in People s Liberation Army (PLA) Chinese Leger Binnendringen in netwerken van (Amerikaanse) bedrijven Economische spionage Ontvreemden van intellectueel eigendom en bedrijfsplannen Motivatie : Overheidsbeleid Bevriende inlichtingendiensten NSA en GCHQ Amerika en Engeland Inlichtingendiensten We help people to trust one another in an increasingly connected digital world Edward Snowden documenten Slachtoffer: Gemalto. Nederlandse producent van simkaarten Ontvreemden 7 miljoen encryptiesleutels Eenvoudig aftappen van mobiele communicatie Motivatie : (economische) spionage / contraterrorisme 9

10 Uw medewerkers! De meeste datalekken ontstaan door eigen personeel (25 tot 35%) Voorbeeld: Medewerker van VGZ. Declaratiegegevens van verzekerden op privé computer Hij wilde nieuwe software testen en was vergeten de gegevens er weer af te halen Onduidelijk of gegevens zijn ingezien door derden VGZ moest alle verzekerden inlichten Reputatieschade Motivatie : Gebrek aan bewustzijn en/of discipline Inhoud 1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen - belangen - risico s - maatregelen 4. Actualiteit Meldplicht Datalekken & GDPR 5. Handvatten & Leesvoer 10

11 Cyber Security draait om de samenhang tussen belangen, risico s en maatregelen Belangen Risico s VERTROUWEN Weerbaarheid/ Maatregelen Inhoud 1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen - belangen - risico s - maatregelen 4. Actualiteit Meldplicht Datalekken & GDPR 5. Handvatten & Leesvoer 11

12 Belangen zijn van alle tijden Bedrijfscontinuïteit Geld Vertrouwelijke info (intellectueel eigendom) Belangen Risico s Persoonsgegevens Reputatie Weerbaarheid/ Maatregelen Maar deze belangen worden steeds meer beïnvloed door digitalisering PROFITABILITY REVENUE GENERATION EFFICIENCY Digital Capability FASHIONISTAS BEGINNERS DIGITAL MASTERS CONSERVATIVES Digital Capability +6% +9% -4% - 10% Digital Capability -11% % +26% Leadership Capability Leadership Capability -24% +9% Leadership Capability 12

13 Digital Masters investeren met de klant als belangrijkste drijfveer De klant en medewerkers krijgen steeds meer toegang tot processen die voorheen afgesloten waren voor de buitenwereld (denk aan self service) Interne systemen worden aangesloten op het internet CUSTOMER-FACING PROCESSES OPERATIONAL PROCESSES Social Media Analytics Process Digitalization Internal Collaboration Customer Experience Data Integration Mobile Channel Sensors BUSINESS MODEL De kroonjuwelen veranderen Onderzoek Capgemini Consulting / TNS NIPO (2015) 13

14 En deze ontwikkeling zal zich in razend tempo doorzetten 3D Printing Robotics Artificial Intelligence Sharing Economies Wearables Augmented Reality Digital Technology Will Remain The Endless Agitator Of The Business World Tegelijkertijd lijken de investeringen tussen IT en IT Security verder uiteen te lopen Gemiddelde percentage IT security (t.o.v. total IT spend) ligt in 2015 rond de 6% (NA en EMEA) Spiceworks 2016 State of IT" report, gaat uit van 0% stijging in IT security budgetten(n=839) Nationale IT-Security Monitor 2015 (N=150) 14

15 Korte opdracht Wat zijn de belangrijkste assets (kroonjuwelen) van de organisatie waar u nu commissaris of directeur van bent? In hoeverre zijn deze assets gedigitaliseerd? Overleg 5 minuten met uw buurman/vrouw Report out Inhoud 1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen - belangen - risico s - maatregelen 4. Actualiteit Meldplicht Datalekken & GDPR 5. Handvatten & Leesvoer 15

16 Digitalisering van organisaties brengt nieuwe risico s met zich mee Risico s The Davos Global risk report 2015 highlights three technological risks among the 50 most important macro risks: Belangen Risico s Cyber attacks Data fraud/theft Critical infrastructure breakdowns Weerbaarheid/ Maatregelen Wet & Regelgeving Meldplicht datalekken General Data Protection Regulation Een overzicht van s werelds grootste informatielekken 16

17 Risico s Risico = Kans X Impact Kwetsbaar heden Dreiging Kwetsbaar heden Ondernemers zien de risico s vaak niet Gebrek aan bewustzijn is een belangrijke kwetsbaarheid 17

18 Kwetsbaar heden Digitalisering maakt de belangen/assets kwetsbaarder Een kwetsbaarheid is een eigenschap van ICT, een organisatie of gebruiker die actoren kunnen misbruiken Oude (legacy) systemen worden gekoppeld aan het internet (PCS en SCADA). Veel software is vaak slecht gecodeerd als gevolg van marktwerking (snel en goedkoop leveren de klant vraagt er niet naar). Updates worden vaak beperkt geïnstalleerd. Steeds meer verbindingen worden gelegd tussen systemen (binnen en buiten de organisatie). Wederzijdse afhankelijkheid tussen organisaties neemt toe en is vaak onbekend. Analoge alternatieven verdwijnen. De gebruiker blijft de achilleshiel. Bewustzijn is in NL relatief hoog (67% tegen 47% EU) maar één moment van onachtzaamheid kan de deur openzetten. Kwetsbaar heden De kwetsbaarheid is mede afhankelijk van de veiligheid-volwassenheid van de organisatie (weerbaarheid en veerkracht) 1. Functionele veiligheid 2. Procesmatige veiligheid 3.Systematische veiligheid 4. Beheerste veiligheid 5. Integrale veiligheid Niet gedocumenteerd of vaag beleid Geen formele processen Reactief Individuele helden Informele en inconsistente rapportage Duidelijk beschreven proces Gezamenlijke taal Rollen en verantwoordelijkheden vastgelegd Regelmatige rapportages Lange termijn focus Beleid opgesteld en organisatie breed toegepast Functionele samenwerking in de organisatie Training van het proces Rapportage van activiteiten en verbetering Betrouwbare data voor management Herziening van beleid op basis van ervaring Lijnmanagement is bewust verantwoordelijk voor veiligheid Duidelijke normen voor veiligheid gesteld Rapportage over incidenten Prestatie indicatoren voor functionele veiligheid Organisatie zet integrale veiligheid in als competitief voordeel Continue verbetering van veiligheid Sturing op integrale risico s Afgifte van bestuursverklaring Benchmark met vergelijkbare organisaties Integrale veiligheid behoort tot het takenpakket van het lijn management 18

19 Dreiging Cyber Security Beeld Nederland 2015 Dreiging Belangrijkste trends 1. Cryptoware en andere ransomware is het cybercriminele businessmodel bij uitstek 19

20 Dreiging Belangrijkste trends 1. Cryptoware en andere ransomware is het cybercriminele businessmodel bij uitstek 2. Geopolitieke spanningen manifesteren zich steeds vaker in (dreigende) inbreuken op digitale veiligheid Dreiging Belangrijkste trends 1. Cryptoware en andere ransomware is het cybercriminele businessmodel bij uitstek 2. Geopolitieke spanningen manifesteren zich steeds vaker in (dreigende) inbreuken op digitale veiligheid 3. Phishing wordt veel gebruikt in gerichte aanvallen en is dan voor gebruikers nauwelijks te herkennen 20

21 21

22 Dreiging Belangrijkste trends 1. Cryptoware en andere ransomware is het cybercriminele businessmodel bij uitstek 2. Geopolitieke spanningen manifesteren zich steeds vaker in (dreigende) inbreuken op digitale veiligheid 3. Phishing wordt veel gebruikt in gerichte aanvallen en is dan voor gebruikers nauwelijks te herkennen 4. Je hoeft als crimineel geen digitale vaardigheden te bezitten. Kant-en-klare hulpmiddelen zijn beschikbaar op internet. Dreiging 22

23 Impact De schade bij ondernemingen is aanzienlijk 90% van de onderzochte bedrijven meldden een beveiligingsincident Herstel van een inbreuk op de databeveiliging kost grote ondernemingen gemiddeld euro. Kleine en middelgrote bedrijven zijn gemiddeld euro kwijt Bron: Kaspersky Lab, N =

24 Impact De impact van verstoringen in kaart 1. Kosten van (gevolg)schade? 2. Verstoring van de (bedrijfs)continuiteit? 3. Wet & Regelgeving (boetes)? 4. Reputatie (onrust bij klanten en burgers)? 5. Gezondheid en veiligheid (gewonden / doden)? Korte opdracht: Impact Assessment Hoe groot is de impact van een Cyber Security incident op het bedrijfsbelang / kroonjuweel dat u eerder heeft geïnventariseerd? Overleg 10 minuten met uw buurman/vrouw Report out 24

25 Uiteindelijk bepaalt de Risk Appetite de mate van (extra) maatregelen De risicobereidheid wordt bepaald door vier factoren: 1. Debat in de bestuurskamer: er moet een afweging vanuit verschillende perspectieven plaatsvinden 2. Overleg met verschillende stakeholders 3. Risico commités (IT auditor): bevindingen uit risicoanalyse en monitoring 4. Flexibiliteit: veranderende omstandigheden zullen een aanpassing van de risk appetite nodig maken. Inhoud 1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen - belangen - risico s - maatregelen 4. Actualiteit Meldplicht Datalekken & GDPR 5. Handvatten & Leesvoer 25

26 Belangen Risico s Weerbaarheid/ Maatregelen Het versterken van digitale weerbaarheid en veerkracht kent 5 uitdagingen Van: Kasteelmuren Naar: Vliegveld Zero risk dream IT probleem (afdeling) Focus op de buitenkant (netwerk) Protectie Reactief defensie Risk & data management People & Management Protection strategy End-to-end security Technology Assets en Risico s centraal Mens, Organisatie & Technologie (management issue) Data, End points, IAM, Ecosysteem Preventie, Preparatie, Protectie, Detectie en Reactie Proactieve (scenario) defensie 26

27 Maatregelen hebben betrekkking op de gehele veiligheidsketen The cycle of cybersecurity operations Vulnerability assessment Anticipation Threat monitoring People awareness Application security testing, system penetration testing Security/privacy by design Prevention Reaction Security incident remediation actions Security architecture Computer Security Incident Response Team (CSIRT) Data leak prevention Protection Detection Security Operation Center (SOC) Security processes Data leak monitoring Maar vanuit technisch perspectief: zorg dat de basis op orde is! Up to date anti-virus en firewalls Patching& updating Wachtwoorden Back-up, back-up, back-up (en testen) Versleutelde opslag kritische gegevens 27

28 Bent u in control? Enkele vragen om aan het bestuur te stellen: Is Cyber Security als portefeuille belegd op bestuursniveau (CISO, CIO, CRO of CFO)? Vormt Cyber Security onderdeel van het (reguliere) Risk Control Framework? Wordt periodiek gerapporteerd op cyber security indicatoren? Doen we periodieke assessments en/of audits om onze weerbaarheid te toetsen? Is er een Plan, Do, Check, Act proces (inclusief dreigingsanalyse en monitoring) met heldere governance ingeregeld? Is er een responsible disclosure beleid? Zijn we voldoende in staat om een incident het hoofd te bieden? Crisisorganisatie & Communicatie Is er een proces ingericht voor Meldplicht Datalekken? En als je denkt dat alles op orde is. Oefen, Oefen en Oefen Scenario based crisis oefening: Dilemma sessies Table top Operationeel 28

29 Inhoud 1. Introductie en doel 2. Meet & Greet 3. De samenhang der dingen - belangen - risico s - maatregelen 4. Actualiteit Meldplicht Datalekken & GDPR 5. Handvatten & Leesvoer Wie is de boef? 29

30 Hoe bewust zijn we eigenlijk als het gaat om persoonsgegevens? Om het vertrouwen in maatschappij en economie te beschermen neemt ook de overheid maatregelen Per 1 januari is de Meldplicht Datalekken van kracht (onderdeel van Wbp) 30

31 Op EU niveau is jarenlang gewerkt aan een nieuwe Privacy Verordening Deze GDPR wordt medio 2016 van kracht voor alle lidstaten. Doel: de klant/burger de controle over haar gegevens geven Ondernemingen moeten in staat zijn om actief te bewijzen dat je compliant bent met de verordening Interne documentatie moet op orde zijn, overzichten van systemen moeten aanwezig zijn, de juiste procedures moeten zijn ingericht, policies moeten zijn opgesteld, Strengere bepalingen rondom toestemming ( consent ) gebruik persoonsgegevens Privacy Impact Assessments zijn verplicht voor nieuwe technologieën Datalekken moeten binnen 72 uur worden gemeld bij AP (conform Meldplicht Datalekken) Right to be Forgotten Training en bewustzijn Boetes gaan omhoog naar 4% van jaarlijkse omzet (AP tot 810K) Inhoud 1. Introductie en doel 2. Voorbeelden 3. De samenhang der dingen - belangen - risico s - maatregelen 4. Actualiteit Meldplicht Datalekken & GDPR 5. Handvatten & leesvoer 31

32 Enkele handvatten en leesvoer Handreikingen Raamwerken Handreiking Cyber Security voor de bestuurder ISF Threat Horizon (op aanvraag) Beleidsregels Meldplicht Datalekken ( ECP / MKB ( Dank U! Drs. E.P. Hoorweg MCM Vice President Head Security & Privacy Capgemini Consulting Reykjavikplein 1 PO Box GN Utrecht M-Phone: +31 (0) erik.hoorweg@capgemini.com 32