Nieuwe perspectieven vragen om actie. kpmg.nl

Transcriptie

1 Een genuanceerde visie op cybercrime Nieuwe perspectieven vragen om actie kpmg.nl

2 2 Nieuwe perspectieven vragen om actie Contents Voorwoord 3 Samenvatting 4 Inleiding 7 De context: een verschuivend perspectief 8 Wat is cybercrime? 8 Een veranderend perspectief op de verdediging 8 tegen cybercriminelen Verschuivende redenen voor cyberaanval 10 Van scriptkiddie naar criminele groepering 10 Van aparte organisatie naar ketens 11 Onze visie op de belangrijkste bevindingen 13 Cybercrime is geen tijdelijk fenomeen 13 Bewustzijn vraagt om voortdurende inspanning 13 De sleutel: inzicht in motieven 13 Technische gebieden die risico lopen 14 Kunnen we de uitdaging aan? 14 Optimaal budget 15 Financiële dienstverlening uitgelicht 16 Overheid uitgelicht 16 Consumenten/industriële markten uitgelicht 16 Wat staat organisaties te doen: een analyse 18 Belangrijke maatregelen 18 Oproep tot actie 23 Wat kunt u doen? 23 Neem actie op korte termijn, 23 plan maatregelen op lange termijn Dankwoord 26

3 Nieuwe perspectieven vragen om actie 3 Voorwoord Tegenwoordig is cybercrime dagelijks in het nieuws. Meer en meer incidenten vinden plaats en het beeld tekent zich af dat cybercrime een prominente rol zal blijven spelen in onze maatschappij. Buitenlandse overheden proberen samenlevingen te ontregelen, te spioneren en gevoelige informatie te stelen, terwijl idealisten zich wagen aan cybercrime vanwege activistische ideeën. Weer anderen breken digitaal in om geld of intellectueel eigendom te verkrijgen. Wacht ons een ramp? Of ligt het werkelijke beeld genuanceerder? Hoe gaan we om met cybercrime? Hoe staan mensen en beleidsbepalers tegenover cybercrime, en wat kunt u op dit moment doen om cybercrime tegen te gaan? In dit whitepaper beantwoorden wij de meest prangende vragen en geven we een genuanceerd perspectief op het omgaan met cybercrime. Hiertoe hebben we een enquête uitgezet en interviews gehouden met verschillende invloedrijke personen uit het werkveld. Vanuit een strategisch oogpunt geven we adviezen over hoe cybercrime te voorkomen, vanuit de optiek van preventie, detectie en respons. KPMG assisteert bij het beveiligen van onze samenleving. Inzake cybercrime richten wij ons op het verklaren van de angst voor het onbekende en het geven van een duidelijk en genuanceerd overzicht op basis van feiten en aantallen. Niet omdat wij denken dat cybercrime een hype is,, want dat is het niet, maar om een achtergrond te geven bij de oorlogsverhalen in de nieuwsbladen en om te laten zien dat het ondernemen van gerichte acties om cybercrime te voorkomen, perspectief biedt. We hopen dat u dit whitepaper met plezier leest en zien er naar uit om met u uw vragen en issues te bespreken. Gerben Schreurs Partner John Hermans Partner Peter Kornelisse Director

4 4 Nieuwe perspectieven vragen om actie Samenvatting Data vertegenwoordigen een hoge waarde; iedereen kan voor minder dan 100 euro kwaadaardige software aanschaffen en aan de slag gaan als cybercrimineel. Publieke en particuliere organisaties zijn sterk van elkaar afhankelijk in een sterk genetwerkte samenleving die nieuwe kwetsbaarheden met zich meebrengt. Criminelen over de hele wereld weten elkaar via internettechnologie te vinden in ongrijpbare netwerken; en ze zijn niet alleen geïnteresseerd in geld, ze willen ook vitale processen verstoren. Deze giftige cocktail van ingrediënten maakt cybercrime tot een lastige uitdaging voor organisaties. Zij moeten zich wapenen tegen de risico s van cybercrime. Want er staat wat op het spel. Er is echter geen reden voor paniek. Op basis van de uitkomsten van een enquête en onze eigen ervaringen kunnen we een aantal belangrijke boodschappen formuleren: 1. Cybercrime is geen tijdelijk fenomeen. Van de geënquêteerden verwacht 80% dat het niet gaat om een hype maar om een permanente uitdaging. Cybercrime is al lang niet meer het terrein van amateurs: de aanvallen komen ook vanuit de georganiseerde misdaad. Daarbij gaat het niet alleen om geld, maar ook om spionage en verstoring van belangrijke processen (en daarmee van ondernemingen en/of publieke diensten). 2. Er is sprake van twee leagues in cybercrime. In de junior league gaat het om een vervelende dreiging maar richt deze zich niet op vitale functies van een organisatie. Het gaat criminelen hoofdzakelijk op het stelen van geld van kwetsbare organisaties en soms willen ze ook alleen maar laten zien wat ze allemaal kunnen. De major league omvat vooral grote ondernemingen en overheden, die zich geconfronteerd zien met digitale spionage of de onderbreking van vitale processen. De strijd in deze league vraagt om samenwerking en uitwisseling van kennis van organisaties in de publieke en particuliere sector. Ook het goed monitoren en analyseren van data(patronen) is hier extreem belangrijk. 3. If you think safety is expensive, try an accident. Dit bekende motto is zeker van toepassing op cybercrime. Wie op de verkeerde zaken bezuinigt in de informatie-

5 Nieuwe perspectieven vragen om actie 5 beveiliging, kan dan ook bedrogen uitkomen. De basis voor begrotingsbeslissingen moet liggen in een grondige analyse van bezittingen en waarden die de organisatie wil beschermen en daarnaast in een analyse van de aard van de cybercrimedreiging van buitenaf. 4. Een organisatie kan heel anders tegen de waarde van bezittingen aankijken dan een crimineel. Het is dus belangrijk de waarde van bezittingen te bekijken vanuit het perspectief van zowel de organisatie als dat van de crimineel. In dat opzicht moeten we ons ook realiseren dat het bedrijfsleven en de technologie zich in (informatie)- ketens hebben ontwikkeld en dat organisaties dus mede afhankelijk zijn van elkaars beveiliging. 5. Effectieve beveiliging tegen cybercrime vraagt om een combinatie van korte termijn maatregelen en een goede beheersing op lange termijn. Op de korte termijn gaat het om het analyseren van risico s vanuit het perspectief van de organisatie én de crimineel (preventie), het signaleren, analyseren en monitoren van de belangrijkste bezittingen (detectie) en het opzetten van een organisatie die incidenten direct oppakt (respons). Op de lange termijn gaat het om een kosteneffectieve beheersing van de cyberomgeving en de aanpak van drie samenhangende domeinen: mensen, processen en technologie. 6. Honderd procent beveiliging is een illusie. Dat geldt voor de zowel de junior als de major league. Uit de enquête komt naar voren dat 45% van de ondervraagden in 2011 te maken heeft gekregen met aanvallen van cybercriminelen. Van de respondenten was bovendien 55% er niet zeker van of ze wel effectief op zo n aanval konden reageren. De IT-omgeving in de moderne organisatie is tegenwoordig vaak te complex om dergelijke incidenten te voorkomen. Het doel is dan ook vooral te voorkomen dat een aanval uit de hand loopt. De focus ligt op het beschermen van de belangrijkste bezittingen en het zekerstellen dat er mechanismen zijn waarmee men goed en snel op incidenten kan reageren. 7. De tone at the top is zeer belangrijk. Wat de bedrijfstop zegt en doet is bepalend voor de manier waarop de organisatie met cybercrime omgaat, zo meldt 49% van de ondervraagde organisaties. Wanneer de leiding doet wat zij zegt (bijvoorbeeld door te staan op een goede beveiliging van de eigen mobiel en tablet) heeft dat een sterke invloed op de rest van de organisatie. Een bedrijfsleiding die niet het goede voorbeeld geeft, loopt het risico dat de rest van de organisatie zich ook minder aantrekt van beveiligingsstandaarden.

6 6 Nieuwe perspectieven vragen om actie

7 Nieuwe perspectieven vragen om actie 7 Inleiding Cybercrime is en blijft voor veel organisaties een lastige uitdaging. Onze dagelijkse praktijk laat zien dat de aanvallen toenemen in aantal en ernst. We zijn er dan ook van overtuigd geraakt dat we op een nieuwe manier naar informatiebeveiliging moeten kijken. De oude manier is om de zwakke plekken in de bescherming van kostbare activa op te sporen en deze vervolgens te repareren. Dit is echter een weinig effectieve manier om voorbereid te zijn op nieuwere vormen van cybercrime. We moeten dan ook vanuit een ander perspectief naar cybercrime gaan kijken. Het onderwerp verdient ook meer nuance. In veel gevallen worden inciden ten breed uitgemeten in de media. Hierdoor ontstaat een beeld van schier onverslaanbare cybercriminelen en onveilige systemen. De werkelijkheid is een stuk minder zwart-wit. Honderd procent veiligheid is een illusie, maar de risico s zijn wel degelijk beheers baar. Cybercriminelen zijn geen onoverwinnelijke genieën en het ontbreekt overheden en ondernemingen zeker niet aan kennis om cybercrime te bestrijden. De beeldvorming bij het grote publiek moet dan ook veranderen en de door ons gehouden interviews sterken ons in dit beeld. Dit is de achtergrond bij het white paper dat hier voor u ligt. We gaan in op de uitdagingen waar organisaties voor staan om aanvallen van cybercriminelen te voorkomen, op te sporen en daar snel op te reageren (preventie, detectie en respons). Dit vraagt om maatregelen in drie samenhangende domeinen: mensen, processen en technologie. Op de KPMG-enquête over cybercrime hebben we ruim 170 reacties gekregen van Chief Information Officers (CIO s), Chief Information Security Officers (CISO s) of professionals in verwante functies in Nederland. Van de deelnemende organisaties heeft ruim 75% meer dan 1000 medewerkers in dienst. De sector financiële dienstverlening wordt vertegenwoordigd door 37% van de ondervraagden, gevolgd door consumenten/industriële markten (13%), professionele dienstverlening (10%) en de overheid (9%). Fig. 1: Respons per sector Financiële dienstverlening % ,4 Consumenten/industriële markten Professionele dienstverlening Overheden Infrastructuur 20 Gezondheid Energie en grondstoffen ,9 9,9 8,8 5,3 4,7 3,5 2,9 0,6 14,0 Communicatie/entertainment Farmaceutische industrie Overig

8 8 Nieuwe perspectieven vragen om actie De context: een verschuivend perspectief Wat is cybercrime? Cybercrime is het geheel van illegale digitale activiteiten die zijn gericht op een organisatie. De term cybercrime omvat een ware wildgroei van doelen en aanvalsmethoden. Een goed begrip van de aard van deze aanvallen is essentieel voor effectief verweer tegen cybercrime. Er is sprake van twee leagues in cybercrime. In de junior league is de dreiging vervelend maar is er geen sprake van aanvallen op vitale functies. Criminelen richten zich hoofdzakelijk op het stelen van geld van kwetsbare organisaties en willen soms ook alleen maar laten zien wat ze allemaal kunnen. In de major league gaat het vooral om grote ondernemingen en overheden, die zich geconfronteerd zien met digitale spionage of de verstoring van vitale processen. In deze league is samenwerking en uitwisseling van kennis van organisaties in de publieke en particuliere sector van het allerhoogste belang. Elke organisatie kan het slachtoffer worden van cybercrime, groot of klein. Het leeuwendeel van de incidenten komt nooit in de media terecht en is dus niet bekend bij het grote publiek. Amerikaanse beursgenoteerde ondernemingen zijn echter wettelijk verplicht om incidenten aan de autoriteiten te melden. De verwachting is dat dit in de nabije toekomst in de Europese Unie eveneens het geval zal zijn. Aanvalsmethoden variëren van puur technologisch (bijvoorbeeld hacking) tot methoden die inspelen op menselijke zwakheden (phishing). De zogenoemde Advanced Persistent Threat (APT) is een combinatie van dit soort technieken in een aanval op grote, bekende organisaties. Bij een APT houdt de aanval niet op als de aanvaller de verdedigingsmechanismen heeft weten te doorbreken. Sterker nog, de aanvaller wacht het juiste moment af en dringt steeds dieper de systemen van de organisatie binnen. Overheden maken zich in toenemende mate zorgen over cybercrime. Dat heeft onder andere te maken met de ontwikkeling dat het bij cybercrime niet meer alleen gaat om geld maar ook om het verstoren van vitale processen of spionage. De Nederlandse overheid heeft onlangs gewezen op de ernstige risico s die met cybercrime gemoeid zijn en Fig. 2: Zaken die interessant zijn voor een aanvaller Zaken die interessant zijn voor een aanvaller Financiële dienstverlening Internetbankieren en brokerage Olie/energie en industrie Procesbeheersingsnetwerken Grote ondernemingen Waardevolle informatie, bv.: - Intellectueel eigendom - Fusies en overnames Overheden Staatsgeheimen Identiteitsfraude onderstreept het belang daarvan door platforms voor kennisuitwisseling in te richten. 1 Een veranderend perspectief op de verdediging tegen cybercriminelen De klassieke en meest gangbare aanpak van informatiebeveiliging kwam vaak neer op het signaleren van belangrijke informatiebezittingen, de zwakke plekken in de beveiligingsmaatregelen in kaart brengen en deze verhelpen. In deze benadering is amper ruimte voor een analyse van het perspectief en de doelstellingen van de aanvaller. In veel gevallen had men alleen maar abstracte ideeën over het perspectief van een aanvaller en diens vaardigheden, middelen en motivatie. Organisaties hebben dan ook vaak slechts een vaag idee van de potentiële waarde van de informatiebezittingen voor een cybercrimineel. 1 Boodschap Ministerie van Veiligheid en Justitie, Cybersecuritybeeld, december Te vinden op

9 Nieuwe perspectieven vragen om actie 9 Interview expert: Eelco Stofbergen Cybercrime: het spel is veranderd Eelco Stofbergen, Manager Expertise & Advies National Cyber Security Centrum ICT heeft zich ontwikkeld tot een zeer krachtig medium in de handen van velen en is van essentieel belang voor het dagelijks leven in de samenleving als geheel. Het gebruik van ICT is echter nog relatief nieuw en ook de bescherming van het gebruik van ICT is nog niet volledig tot wasdom gekomen. Het National Cyber Security Centrum (NCSC) wil daar verandering in brengen en vervult daar een belangrijke rol in. Het centrum zal halfjaarlijks een Cyber Security Assessment publiceren van de recente ontwikkelingen in cybercrime en de gevolgen daarvan voor overheid en bedrijfsleven. Iedere partij heeft een eigen puzzelstukje van de kennis en expertise in zijn bezit, het is aan het NCSC om de puzzelstukjes te verzamelen, de puzzel compleet te maken en op die manier inzicht te bieden in de gezamenlijke tactische en operationele expertise bij overheid en bedrijven. Op die manier draagt het National Cyber Security Centre bij aan een duidelijker begrip van de bedreigingen en ontwikkelingen van cybercrime. En dat is weer goed voor een effectieve beheersing van de risico s. De laatste jaren is sprake van een groeiende publieke belangstelling voor het onderwerp cybercrime. Dat heeft ongetwijfeld te maken met een aantal spraakmakende incidenten. De voortdurende proble matiek waarvoor financiële instellingen staan, is daar natuurlijk een van, maar ook Diginotar en de Stuxnetaanval op Iran springen in het oog. Op basis van de berichtgeving zou je bijna denken dat cybercrime ineens is losgebarsten en dat criminelen de overhand hebben. De werkelijkheid ligt echter iets genuanceerder. Cybercrime is er al jaren en wordt alleen maar steeds professioneler. Criminelen beschikken over de financiële middelen om intelligente methoden te ontwikkelen en hebben het geduld om te wachten op wat ze nodig hebben. Beveiligingsbeheerders ICT hebben ondertussen geïnvesteerd in de juiste verdedigingsen bewakingsstrategieën en zijn daardoor nu ook slimmer en beter toegerust. Cyberveiligheid is nooit volledig te garanderen: beveiliging draait vooral om het beheersen van de risico s en het invoeren van toereikende responsstrategieën. Het bijeenbrengen van de kennis en expertise van overheid, bedrijfsleven, de wetenschap en internationale contac ten leidt ertoe dat een steeds beter beeld ontstaat van de mogelijke dreigingen in het digitale domein. We kunnen een onderscheid maken tussen verschillende geledingen cybercrime, variërend van relatief eenvou dige digitale ongeregeldheden van scriptkiddies die graag willen laten zien wat ze kunnen tot complexe, langdurige activiteiten gericht op digitale spionage en sabotage, met veelal grote ondernemingen en overheid als doelwit. Aandacht op C-level is belangrijk. Ondernemingen moeten zich goed (laten) informeren over (de aard van) mogelijke bedreigingen en investeren in een goede bescherming. Dat moeten ze niet afzonderlijk doen, maar met gebruikmaking van de kennis en ervaring van collega s in zowel de particuliere als publieke sector. Een gezamenlijk antwoord is onontbeerlijk voor bescherming tegen cyberspionage, cyberterreur, cybercrime en de verstoring van ICT-systemen.

10 10 Nieuwe perspectieven vragen om actie Een modernere benadering van cyberveiligheid begint met het analyseren van risico s vanuit het perspectief van de crimineel. Nu de cybercrimineel zich ontwikkelt van scriptkiddie naar georganiseerde misdaad en spionage moet ook de focus van organisaties veranderen, omdat hierdoor andere bezittingen relevant kunnen worden. Weten wat de crimineel beweegt, is daarom extreem belangrijk voor een goede bescherming tegen, opsporing van en respons op cybercrime. Verschuivende redenen voor cyberaanval Bij de opkomst van cybercrime ging het aanvankelijk vaak om aanvallen die voor de lol werden gedaan, voor eenmalig financieel gewin of omdat iemand wilde laten zien wat hij allemaal kon. Bij de georganiseerde cybermisdaad van nu gaat het om zorgvuldig geplande aanvallen. De motivatie van deze nieuwe cybercriminelen schuilt vaak ook in activisme of digitale spionage. Deze nieuwe vormen van cybercrime hebben de volledige Fig. 3: Aanvalsmethode % ,7 23,3 28,7 16,7 5,3 aandacht van overheden in de hele wereld. Het effect van cybercrime mag niet worden onderschat. Organisaties richten zich van oudsher vaak op het risico van verstoring van de bedrijfsvoering en productieprocessen. Tegenwoordig worden ook andere soorten verlies steeds belangrijker: Geld Financiële verliezen variëren van het vervangen van een monitor tot miljoenen euro s. Informatie over intellectueel eigendom Toegang tot bedrijfsgeheimen kan de octrooirechten van een onderneming schaden of concurrenten een aanzienlijk voordeel geven bij onderhandelingen. De snellere lancering van een geneesmiddel dat nog door de European Medicines Agency moet worden goedgekeurd, kan miljoenen euro s aan gederfde inkomsten betekenen. 11,3 Gecompromitteerde webapplicaties Besmetting met malware Phishing Social engineering Onbekend Overig Klantgegevens Het lekken van persoonlijke informatie van consumenten kan leiden tot ernstige merk- en reputatieschade, claims, schendingen van de privacy van personen en andere aansprakelijkheidskwesties. Rol van partijen in de keten Een organisatie die wordt aangeval len hoeft niet zelf het doelwit te zijn, maar kan ook worden gebruikt als middel om een andere organisatie in de keten binnen te dringen. Identiteitsdiefstal Identiteitsfraude kan voor diverse oplichtingsdoeleinden worden gebruikt. Van scriptkiddie naar criminele groepering Vandaag de dag maken niet alleen individuele amateurs maar ook criminele organisaties (of vijandige naties) zich cyberaanvaltechnieken en digitale technologische middelen daarvoor eigen als belangrijk wapen. Criminelen over de hele wereld weten elkaar via internettechnologie te vinden in ongrijpbare netwerken. Aanvallers hebben zich meer gespecialiseerd en werken ook meer samen. Wie het netwerk van een onderneming is binnengedrongen, kan die toegangsinformatie verkopen aan een andere aanvaller met een speciale interesse in die organisatie. In het circuit zijn ook hackers te vinden die hun kennis verkopen aan een afnemer die een geavanceerde aanval voorbereidt. Bovendien is er een ondergrondse economie ontstaan voor de handel in wachtwoorden en (software)tools. Dit alles maakt het mogelijk om een organisatie binnen te dringen en dan zo lang mogelijk onder de radar te blijven om het netwerk goed te onderzoeken en te kijken welke informatie relevant zou kunnen zijn.

11 Nieuwe perspectieven vragen om actie 11 Voorbeelden van deze professionelere aanpak: Op het terrein van online bankieren richt de aanval zich regelmatig op de klanten van één specifieke bank. Door die specialisatie kan de indringer veel geavanceerdere technieken inzetten; deze hoeft maar binnen te dringen in de systemen van één bedrijf, via één klant. Veel bezittingen die voor een organisatie waardevol zijn, vallen eigenlijk niet onder het bestaande beleid voor informatiebeveiliging, terwijl ze door de technologische ontwikkelingen vaak wel op afstand kunnen worden benaderd. Zo zijn veel automatiseringssystemen in de industrie gekoppeld aan het internet. Via gespecialiseerde zoekmachines kan iedereen daar in principe bij. Een indringer die zo n systeem vindt, kan het industriële proces volledig lamleggen. Van aparte organisatie naar ketens Een andere opvallende trend in aanvalsmethoden is de aanval via de keten, de chained attack. Een organisatie wordt het mikpunt van zo n aanval als de crimineel via een vertrouwensrelatie bij een andere organisatie wil binnendringen. Fig. 4: Doel van aanval % ,6 14,6 30,0 16,1 12,1 Organisaties opereren in ketens en steeds vaker integreren ze ook hun systemen om gemakkelijk informatie te kunnen uitwisselen. Cybercriminelen zijn zich daar terdege van bewust. Een organisatie die wordt aangevallen, is mogelijk helemaal niet het eigenlijke doelwit. Die organisatie fungeert dan als middel om binnen te dringen bij het uiteindelijke doelwit. Aanvallers springen van de ene stepping stone naar de andere om steeds verder binnen te geraken, zowel in een organisatie als in een keten. Zo kunnen de administratieve rechten van een secretaresse toegang geven tot andere domeinen binnen de organisatie. Een ander voorbeeld is dat de uit een hack verkregen informatie bij 10,6 Toegang tot geld Toegang tot informatie of systemen van derden Verstoring van bedrijfs- en productieprocessen Informatie verkrijgen over intellectueel eigendom Informatie verkrijgen over fusies en overnames Overig een leverancier wordt gebruikt om het uiteindelijke doelwit te treffen, namelijk de fabrikant. Het oorspronkelijke slachtoffer van de aanval is zich waarschijnlijk niet bewust van zijn rol in het geheel. De risicoevaluatie bij organisaties is dus mogelijk onvolledig: niet alleen zouden ze zichzelf als interessant doelwit moeten beschouwen maar ook hun rol in de keten in ogenschouw moeten nemen. Bovendien doet een organisatie er goed aan zichzelf niet als één entiteit te zien die beschermd moet worden, maar als een verzameling processen, gebruikers en IT-infrastructuur.

12 12 Nieuwe perspectieven vragen om actie CASUS - BANK Informatie voor optimale bescherming tegen cybercrime Bedrijf B is een grote, internationaal actieve financiële instelling. Net als andere banken heeft ook bedrijf B te maken met een toename van cyberaanvallen op de klant. Het komt regelmatig voor dat cybercriminelen via phishing de klant zover krijgen dat deze zijn gegevens voor internetbankieren prijsgeeft. Aanvallen waarbij de computer van de klant is geïnfecteerd met kwaadaardige software (malware) vertegenwoordigen inmiddels het merendeel van de verliezen die bedrijf B door cybercrime lijdt. Bedrijf B investeert jaarlijks miljoenen euro s in het voorkomen en opsporen van cyberaanvallen. Zo heeft de bank mechanismen geïntroduceerd voor sterkere authenticatie. Bewakingssystemen sporen frauduleuze transacties en mogelijk met malware geïnfecteerde klantcomputers op. Een efficiënte en effectieve toepassing van deze defensiemechanismen vraagt om vergaand inzicht in de aanvalsbenadering van cybercriminelen. Informatie over cybercrimebedreigingen en -oplossingen is van essentieel belang. Bedrijf B zou idealiter de patronen en trends in cyberaanvallen vóór moeten zijn en zo op tijd de bescherming kunnen aanpassen. In samenwerking met twee andere prominente IT-organisaties in de verdedigingssector tegen cybercrime verzorgt KPMG voor de bank tweemaal per jaar een update over de trends in cybercrimebedreigingen, met mogelijke oplossingen. KPMG zet hiervoor haar netwerk van honderden informatiebeveiligingsspecialisten in, dat vrijwel alle belangrijke financiële instellingen in de wereld bestrijkt. Gesignaleerde aanvalspatronen en gekozen oplossingen bij andere banken vormen samen een beeld van te verwachten aanvallen en van de oplossingen waarbij bedrijf B gebaat zou kunnen zijn. Gewapend met deze kennis over de laatste trends in cyberaanvallen en verdedigingsmaatregelen kan bedrijf B de verdedigingsmechanismen tijdig actualiseren en zo adequaat op eventuele aanvallen reageren. Bedrijf B blijft op deze manier de ontwikkelingen in cybercriminaliteit een stapje voor en is hierdoor beter gepositioneerd dan de concurrentie.

13 Nieuwe perspectieven vragen om actie 13 Onze visie op de belangrijkste bevindingen Cybercrime is geen tijdelijk fenomeen Van de geënquêteerden verwacht 80% dat er wel altijd cybercrime zal zijn en dat dit een uitermate lastig probleem blijft. Uit de enquête blijkt dat 49% van de organisaties het afgelopen jaar slachtoffer is geweest van enige vorm van cybercrime. Dat wil overigens niet zeggen dat andere ondernemingen niet aangevallen zijn; het kan ook zijn dat ze niet de juiste detectiemaatregelen hebben genomen. Van de 49% die is aangevallen, geeft 10% aan dat er het afgelopen jaar sprake was van meer dan 100 aanvallen. Van de respondenten die waren aangevallen, meldt 90% dat ze vorig jaar tot vijf keer met succes zijn aangevallen. De werkelijke omvang van cybercrime is moeilijk te achterhalen omdat detectieprocedures mogelijk niet alles in kaart brengen. Op dit moment is slechts 50% van de geënquêteerden in staat om aanvallen op het spoor te komen. Slechts 44% van de organisaties heeft het vertrouwen adequaat te kunnen reageren op een cyberaanval. Bewustzijn vraagt om voortdurende inspanning Beveiligingsbewustzijn en inzicht in de risico s zijn van het grootste belang in de verdediging tegen cybercrime. Cybercriminelen doorgronden de zwaktes van mensen, processen en technologie en hoe ze daar het beste gebruik van kunnen maken; datzelfde zou ook voor organisaties moeten gelden. Organisaties moeten zich dus afvragen of ze een aanval van cybercrime zouden herkennen en of ze daar iets aan kunnen doen. Uit de enquêteresultaten maken we echter op dat 35% van de ondervraagden meent dat de organisatie zich on voldoende bewust is van cybercrime, al ligt dat percentage aanzienlijk lager bij respondenten in de financiële sector. Dit zou betekenen dat financiële instel lingen zich meer bewust zijn van cyber crime dan andere sectoren. Meer dan 67% van de respondenten uit overheidsinstellingen heeft geen mening en ruim de helft van de respondenten uit de consumenten/industriële markten weet het niet zeker. De volle omvang van de dreiging wordt vaak over het hoofd gezien. Ondernemingen zien onderbreking van bedrijfsprocessen vaak als het grootste risico. Is dat echt zo of is dit een gebrek aan bewustzijn? De sleutel: inzicht in motieven Cyberaanvallen vinden plaats op verschillende manieren en via verschillende methoden. Veel organisaties hebben wel eens te maken gehad met een vorm van social engineering zoals phishing of webapplicaties waarmee is geknoeid, aldus 33% van de ondervraagden. Het onderzoek laat zien wat men als de twee belangrijkste motieven ziet, namelijk handelen vanuit de drijfveren van de georganiseerde misdaad en de mogelijkheid om laaghangend fruit bij organisaties te oogsten. In tegenstelling tot eerdergenoemde trends is spionage geen relevant motief voor de cybercrimineel, meldt 63% van de geënquêteerden. Hierbij moet worden aangetekend dat veel organisaties nog niet beschikken over detectiemaatregelen en een toenemend gebruik daarvan zou kunnen

14 14 Nieuwe perspectieven vragen om actie leiden tot andere inzichten in de motieven van aanvallers. De financiële sector is goed voor 67% van de aanvallen die vanuit financiële motieven plaatsvinden. Kijken we naar alle sectoren, dan maken organisaties in de consumentenmarkt zich het meeste zorgen over verstoring van bedrijfs- en productieprocessen. Financiële winst, toegang tot intellectueel eigendom en andere gegevens wordt overall nog maar beperkt gezien als een motief. Fig. 5: Purpose of attack/sector % Technische gebieden die risico lopen De belangrijkste technische gebieden die hoge risico s lopen zijn onder andere servers, webapplicatieservers, ERP-systemen, desktops en nietgestructureerde gegevens in bestandssystemen (bestandsservers). Het meest genoemd werden webapplicatieservers (38%), gevolgd door bestandsservers (16%) en servers (17%). Minder frequent zijn aanvallen die zijn doorgedrongen tot ERP-systemen, desktops en procescontroledomeinen (<8%). Op basis van diverse evaluaties en beveiligingstesten van webapplicaties zijn wij van mening dat veel webapplicaties en daarmee dus ook websites nog altijd niet veilig zijn. Sterker nog, sommige webapplicaties hebben last van laaghangend fruit in de vorm van cross site scripting (XSS) etcetera. Bij veel websites was veilige programmering geen onderdeel van het ontwikkelingsproces of wordt er vooraf onvoldoende op veiligheid getest. Kunnen we de uitdaging aan? Van de geënquêteerden was 55% niet zeker of de organisatie een cyberaanval effectief zou kunnen afslaan. Over de hele linie bezien konden organisaties niet aangeven of een hacker succes zou hebben, al was het antwoord verschillend naar gelang de sector. Veel financiële dienstverleners dachten dat hackers geen kans van slagen hadden. Geënquêteerden in de sector energie en natuurlijke hulpbronnen gaven daarentegen aan dat hackers in deze sector makkelijker zouden kunnen binnendringen dan in andere sectoren. 0 Toegang tot geld Toegang tot informatie of systemen van derden Verstoring van bedrijfsen productieprocessen Informatie verkrijgen over intellectueel eigendom Informatie verkrijgen over fusies en overnames Financiële dienstverlening Professionele dienstverlening Publieke sector Consumenten/industriële markten

15 Nieuwe perspectieven vragen om actie 15 CASUS - energie en grondstoffen Beveiligingsbewaking en incidentenrespons Bedrijf Z is een bekend bedrijf in de sector voor olie, gas en natuurlijke hulpbronnen. De IT bij bedrijf Z bestrijkt meer dan 100 landen over de hele wereld en wordt door meer dan werknemers gebruikt. Het is makkelijk voor te stellen dat de beheersing van die IT-omgeving een complexe aangelegenheid is. De onderneming is bovendien een interessant doelwit voor spraakmakende cyberaanvallen zoals APT s met digitale spionage als motief. Bedrijf Z heeft de laatste jaren diverse malen te maken gehad met ernstige inbraakpogingen in de IT-systemen. Bedrijf Z wilde graag effectiever cyberaanvallen op het spoor komen en ook de respons op incidenten verbeteren. KPMG heeft samen met een technologiepartner bij bedrijf Z toezicht uitgevoerd op een van de grootste internationale implementaties van een security monitoring platform. Via dit platform wordt informatie naast elkaar gelegd over duizenden veiligheidsincidenten uit talloze systemen over de hele wereld. Het succes van monitoring wordt in hoge mate bepaald door de kwaliteit van de detectie. In nauwe samenwerking met de organisatie is daarom een lijst van de meest relevante cybercrimerisico s opgesteld. Voor elk risico is een verzameling detectieregels gedefinieerd. Natuurlijk is een systeem voor beveiligingsbewaking alleen maar een technologische oplossing. Een adequate respons wordt hoofdzakelijk bereikt door goede proces sen en governance. KPMG heeft daarom ook adviezen gegeven over de governancestructuur, nieuwe incidentenrespons processen ontworpen en trainingen voor beveiligings personeel georganiseerd. Al met al heeft de onderneming door de combinatie van een solide technologielaag en een adequate governance en processen beter grip gekregen op de bewaking van en de respons op cyberaanvallen. Organisaties in de overheidssector kiezen relatief wat vaker voor de optie geen mening of denken dat hackers uiteindelijk zullen winnen. De strijd tegen cybercrime is een typisch voorbeeld van een race die moeilijk voorgoed te winnen is. Het enige dat een organisatie kan doen, is zoveel mogelijk bijblijven. Dat kan door de organisatie door de ogen van de aanvaller te bekijken en na te gaan welke delen van de organisatie voor een aanvaller het interessantst zijn. Beveiligingsmaatregelen zouden zich vervolgens moeten richten op preventie, detectie en respons op het terrein van mensen, processen en technologie. Optimaal budget Bezuinigen op de verkeerde zaken is een belangrijke valkuil bij de beslissing over beveiligingsmaatregelen. De nadruk in afwegingen over beheersingsmaatregelen zou moeten liggen op de waarde van bezittingen voor de aanvaller. Een organisatie moet een afweging maken tussen de kosten van detectiemechanismen en die van incidenten, inclusief indirecte schade. If you think safety is expensive, try an accident. Dat bekende credo is ook hier van groot belang. Consumentenvertrouwen en reputatie zijn twee van de meest waardevolle bezittingen van een onderneming. Dat betekent ook dat beslissingen over het beveiligingsbudget tot op het hoogste niveau van een organisatie moeten worden toegelicht. De gekozen controlemechanismen hangen sterk samen met het beschikbare budget. Zowel de schade van cyberaanvallen als het budget voor de verdediging daartegen kan aanzienlijk zijn. De allocatie van het budget voor preventie-, detectie- en responsmaatregelen moet dan ook zorgvuldig worden afgewogen. Fig. 6: Schade 12% 64% 6% 6% 13% < EUR 100,000 EUR 100,00 - EUR 250,000 EUR 250,00 - EUR 750,000 EUR 750,00 - EUR 1,500,000 > EUR 1,500,000

16 16 Nieuwe perspectieven vragen om actie Circa 19% van de organisaties uit de enquête besteedt jaarlijks meer dan 1,5 miljoen euro aan preventie, detectie en respons op het gebied van cybercrime. Fig. 7: Beschikbaar budget Onderverdeling van respondenten naar grootte van budget: Financiële dienstverlening uitgelicht Uit het overzicht van de geleden schade blijkt dat bijna de helft van alle incidenten die tot schade leiden voor rekening komt van financiële instellingen. Die organisaties waren tevens het slachtoffer van de meeste incidenten waarmee de hoogste bedragen gemoeid waren. Uit onze enquêteresultaten blijkt dat 75% van de aanvallen met een totale omvang van meer dan euro in deze sector wordt gepleegd. Uit de enquête komt naar voren dat financiële dienstverleners zich meer bewust zijn van cybercrime dan andere organisaties (80%). Overige belangrijke bevindingen zijn onder andere meer aandacht van het senior management (92%) en een lage detectiecapaciteit (33%). Van deze groep heeft 34% een budget van euro of hoger. Ook deelt men hier eerdere ervaringen met afgeslagen aanvallen. Overheid uitgelicht Overheidsorganisaties zien zichzelf als een aantrekkelijk doel voor cybercriminelen. Uit onze enquete blijkt dat de ervaringen met cyberaanvallen en de daaruit geleden schade niet afwijken van het gemiddelde. Echter, de motieven van een aanvaller zijn een belangrijke afweging voor overheidsorganisaties in het omgaan met cybercrimethematiek. Een meederheid van respondenten uit de overheid geeft aan dat oorlogsvoering, spionage en politieke/ethische redenen relevante motieven zijn voor 38,7% 21,9% 20,7% het aanvallen van overheidsorganisaties. Cybercriminelen zijn bij het aanvallen van overheidsorganisaties niet gemotiveerd door geldelijk gewin: meer dan in andere sectoren (51% versus 39% gemiddeld) antwoorden respondenten dat het doel van cyberaanvallen is om privacy gevoelige informatie te verkrijgen, om toegang tot (overheids)geheimen te krijgen of om kritieke nationale infrastructuur te verstoren. Consumenten/industriële markten uitgelicht Respondenten uit deze sector geven aan dat het gevolg van cyberaanvallen zich met name uit in gemiste omzet omdat kernprocessen verstoord zijn door de cyberaanval. Ook antwoorden zij dat intellectueel eigendom wordt verkregen: 59% van de respondenten uit deze sector verwacht dat het verstoren van kernprocessen of het verkrijgen van 18,7% < EUR 100,000 EUR 100,00 - EUR 250,000 EUR 250,00 - EUR 1,500,000 > EUR 1,500,000 toegang tot intellectueel eigendom de belangrijkste doelen van cybercriminelen zijn, in tegenstelling tot geldelijk gewin of toegang tot systemen van derde partijen. Een kwart van de respondenten denkt dat spionage een belangrijk motief is voor cybercriminelen in deze sector, evenals dat een kwart aangeeft dat hun organisatie laaghangend fruit zou kunnen zijn voor cybercriminelen. Netwerken en computers zouden makkelijk toegankelijk zijn voor aanvallers. Er lijkt niet veel ervaring te zijn met cyberaanvallen: 14% van de aangegeven schades onder euro wordt gemeld door geënquêteerden uit deze sector.

17 Nieuwe perspectieven vragen om actie 17 Interview expert: Wim Hafkamp Cybercrime geen onbeheersbaar fenomeen Wim Hafkamp, hoofd Information Risk Management Rabobank De strijd tegen cybercrime is en blijft topprioriteit voor financiële instellingen. We moeten het probleem de baas blijven en door indringers gebruikte nieuwe technologieën en strategieën proactief benaderen. Een van de uitdagingen houdt verband met de groeiende populariteit van mobiel bankieren op diverse apparaten zoals tablets en smartphones. Het gebruik van die apparatuur kent een beveiligingsdilemma: enerzijds willen banken de eindgebruiker gebruiksvriendelijkheid bieden door bijvoorbeeld niet te verlangen dat ze altijd zo n bankpaslezer bij zich dragen; anderzijds willen we ook geen concessies doen aan de veiligheid. We moeten accepteren dat deze apparaten niet onder ons eigen controlebereik vallen. En we zullen ook moeten accepteren dat uniforme hardwarestandaarden een illusie zijn. Door ons vooral op onze eigen infrastructuur te richten en gegevens slim te combineren, kunnen we de risico s al aanzienlijk reduceren. Het gebruik van monitoringstechnieken wordt de komende jaren belangrijker: ik verwacht meer aanvallen op mobiele apparatuur via malware. Over het geheel genomen is het aantal aanvallen via mobiele apps beperkt, maar we zullen er allemaal (en dat geldt zeker voor de financiële sector) rekening mee moeten houden dat dit kan veranderen. We zullen vooralsnog vooral aan het bewustzijn van de gebruiker blijven werken door actief op de risico s te wijzen. Dat is een uitdaging, want een aantal gebruikers blijft gevoelig voor zogenoemde social engineering. Wel vind ik dat we er in de Nederlandse markt als financiële sector goed in slagen om dat bewustzijn te verhogen. De aard van cyberaanvallen is in de jaren veranderd. Schoot de crimineel vroeger met hagel, tegenwoordig is zo n aanval veel gerichter en slimmer. Cybercriminelen weten precies wat ze zoeken en combineren gegevens vanuit diverse bronnen, onder andere de sociale media. Op die manier komt er meer focus in de aanvallen. Berichten over een kat- en muisspel doen naar mijn mening overigens geen recht aan het succes dat we boeken in de systematische strijd tegen cybercrime. Het spel is nog niet uitgespeeld, maar ik durf te zeggen dat cybercrime geen onbeheersbaar fenomeen is in onze sector. Een belangrijke factor in dit opzicht is de samenwerking tussen financiële instellingen en de overheid. Op de Nederlandse markt wisselen we actief ervaringen uit. Op die manier kunnen we elkaar helpen onze inspanningen te richten. Op Europees niveau is ruimte voor verbetering betreffende die uitwisseling van ervaringen. Laten we echter vooral niet vergeten dat er tussen criminele organisaties veel haat en nijd is, dat ze vaak ook met elkaar overhoop liggen. Het is echt oorlog, maar als het erop aankomt zijn financiële instellingen uiteindelijk beter georganiseerd dan criminele groeperingen.

18 18 Nieuwe perspectieven vragen om actie Wat staat organisaties te doen: een analyse Het goede nieuws dat uit de enquête naar voren komt is dat organisaties de vereiste aandacht aan cybercrime beginnen te schenken. Van de geënquêteerden was ruim 75% van mening dat de aanpak van cybercrime verder gaat dan een focus op technologie. Maar liefst 90% is van mening dat cybercrime op bestuursniveau op de agenda moet voorkomen (55% is het daar zeer mee eens). Weinig organisaties zijn echter goed voorbereid. Slechts 20% geeft aan effectief een aanval te kunnen afslaan, maar ook zij hebben vaak geen reponsplan klaar liggen. Circa 30% beschikt over forensische capaciteit als responsmechanisme en slechts 55% beschikt over centrale bewaking van incidenten en gebeurtenissen. Door dit alles is het zeer onwaarschijnlijk dat organisaties incidenten afdoende kunnen afhandelen. En zelfs als een organisatie voldoende capaciteit in huis heeft om een aanval adequaat af te slaan, hoe zorgt men dat de juiste informatie bij het management terecht komt (dat de bevoegdheid heeft om deze maatregelen te activeren)? Een van de uitkomsten van de enquête is dat preventieve beheersingsmaatregelen in het algemeen populairder zijn dan detectieve maatregelen. En die detectieve maatregelen worden weer vaker genoemd dan responsieve mechanismen. Uit de resultaten blijkt ook dat de nadruk meer ligt op interne dan op externe maatregelen. Procedureanalyse is het populairst, gevolgd door (forensisch) feitenonderzoek en penetratietesten. Belangrijke maatregelen Drie aandachtsgebieden voor actie preventie, detectie en respons verdienen de aandacht. Preventie Preventie begint met governance en organisatie. Relevante vragen zijn onder andere: Is de verantwoordelijkheid voor Fig. 8: Geïmplementeerde beheersingsmaatregelen Preventie Detectie Respons Beheer en Organisatie Toewijzen van verantwoordelijkheden voor Cybercrime(63%) Borgen van 24 x 7 stand-by crisis organisatie (48%) Inzetten van forensische analyse vaardigheden (30%) Verzorgen van training beveiligingsbewustzijn (61%) Processen Uitvoeren cybercrime respons test (simulatie) (29%) Uitvoeren procedures voor opvolging van incidenten (73%) Uitvoeren cybercrime respons plan (25%) Uitvoeren periodieke scans en penetratietesten (74%) Technologie Realiseren van adequate desktopbeveiliging (69%) Implementeren logging van kritieke processen (68%) Stoppen of verbreken van aangevallen IT-diensten (41%) Realiseren van netwerksegmentatie (84%) Implementeren centraal monitoren van beveiligingsincidenten (41%)

19 Nieuwe perspectieven vragen om actie 19 cybercrime ergens in de organisatie neergelegd? Zijn er bewustwordingstrainingen voor belangrijke medewerkers op gebieden met een hoog risico? CASUS: FORENSIC Een forensisch perspectief In de tweede plaats kan aan de hand van responstesten (simulatie) en regelmatige scans en penetratietesten worden beoordeeld hoe de detectiegereedheid er bij de organisatie voor staat. Tot slot kunnen acties als de bescherming van werkstations en segmentatie van computernetwerken aanvallen voorkomen. Detectie Een organisatie kan door het monitoren van kritieke gebeurtenissen en centrale veiligheidsincidenten en -gebeurtenissen de technologische detectiemaatregelen versterken. Monitoring en data mining vormen samen een uitstekend instrument om vreemde patronen in het gegevensverkeer op het spoor te komen, te signaleren waar de aanvallen zich concentreren en de systeemprestaties te observeren. Op die manier wordt informatiebeveiliging een continu proces en kan een organisatie incidenten vóór zijn in plaats van achteraf te reageren. Respons De meeste organisaties zijn niet op een aanval voorbereid. Uit de enquête kwam naar voren dat slechts 25% zich adequaat via een cybercrime response plan heeft beveiligd en dat 29% de respons Multinational A werkt met een geslo ten online omgeving, waarin de organisatie kan samenwerken en communiceren met klanten, partners en andere belanghebbenden. Dage lijks gaan grote hoeveelheden vertrouwelijke gegevens van en naar de website. Bedrijf A is daarmee een interessant doelwit voor de cyber crimineel. Bedrijf A hoorde van een klokkenluider dat een indringer een ingang had gevonden in de website en/of gesloten omgeving van de multinational. De respons: bedrijf A haalde de website uit de lucht en vroeg KPMG om hulp. Om geen sporen of bewijzen kwijt te raken, heeft een groep ervaren medewerkers van Forensic Technology en IT Security samen forensisch solide beelden gemaakt van de meest kritische servers. Met behulp van gespecialiseerde forensische software zijn de beelden geanalyseerd op sporen in systeembestanden en de daarin vastgelegde eigenschappen. Ook de logbestanden van firewalls zijn veiliggesteld en geanalyseerd om te achterhalen of de indringer zich ook een weg had gebaand in het managementdeel van het netwerk. Dat deel was met een firewall afgeschermd van de webomgeving. Voor een overzicht van de systemen waar de indringer ook in zou kunnen zijn geweest heeft KPMG al het verkeer van en naar de aangetaste server(s) geana lyseerd. Dit leverde een lijst op van IP-adressen die met de dader te maken zouden kunnen hebben. Uit de analyse kwam naar voren dat de indringer had geprobeerd (en daar ook in was geslaagd) diverse bestanden met een kwaadaardige code naar de webserver te uploaden. Dankzij deze bestanden had de in drin ger op afstand opdrachten naar de server kunnen sturen. Die bestanden namen de vorm aan van reguliere bestanden met een extensie van de webserver en met namen die geen argwaan hadden gewekt. KPMG heeft de klant bijgestaan met corrigerende procedures en aanvullende beveiligingsmaatregelen, waar door het risico van verdere schade en negatieve publiciteit werd teruggedrongen.

20 20 Nieuwe perspectieven vragen om actie maatregelen ook afdoende heeft getest. Een organisatie kan de governance en risicomaatregelen aanscherpen met een crisisstrategie die 24 7 ingezet kan worden. Procedures voor opvolging na veiligheidsincidenten zijn verder ook nuttig in de aanpak van cybercrime. Responsmechanismen kunnen worden verfijnd en toegespitst op de directe inzetbaarheid van forensische capaciteiten bij een aanval. Het forensisch team moet kunnen terugvallen op een cybercrime response plan aan de hand waarvan het kan bepalen welke acties er moet worden ondernomen. Bij een aanval moet de organisatie alle getroffen technologie direct buiten werking kunnen stellen. Fig. 9: Maatregelen na een cybercrime aanval Interne maatregelen na cyberaanval Analyse gemaakt van zwakke plekken in techniek en procedures (74%) Bij de ontwikkeling van een responsen herstelplan doet een organisatie er goed aan (informatie)beveiliging te zien als een continu proces en niet als eenmalige oplossing. De organisatie kan incidenten niet altijd voor zijn; detectie en respons zijn allebei even belangrijk. Op dit terrein valt, zo blijkt uit onze enquête, vaak nog het meest te verbe teren bij organisaties. Feitenonderzoek (forensisch) onderzoek uitgevoerd (63%) Penetratietesten uitgevoerd (33%) Maatregelen voor detectie en respons zijn niet alleen belangrijk voor de organisatie zelf. Door proactief ketenpartners te waarschuwen over mogelijke indringers, informatie te delen over de aard van de aanval en de mogelijke motivatie van de aanvaller, kan de organisatie een eventuele ketenaanval helpen doorbreken voordat deze zijn uiteindelijke doel bereikt.