CYBERDREIGINGSBEELD 2015

Transcriptie

1 CYBERDREIGINGSBEELD 2015 SECTOR ONDERWIJS EN ONDERZOEK Bart Bosma, SURFnet

2 CYBERDREIGINGSBEELD 2015 Vrijdag 4 december gepubliceerd op de SURF website: Belangrijkste dreigingen die worden onderkend: Datalekken

3 CYBERDREIGINGSBEELD 2015 Afgelopen vrijdag 4 december gepubliceerd op de SURF website: Belangrijkste dreigingen die worden onderkend: Datalekken Identiteitsfraude

4 CYBERDREIGINGSBEELD 2015 Afgelopen vrijdag 4 december gepubliceerd op de SURF website: Belangrijkste dreigingen die worden onderkend: Datalekken Identiteitsfraude Verstoring van ICT

5 CYBERDREIGINGSBEELD 2015 Op 4 december gepubliceerd: als boekje Belangrijkste dreigingen die worden onderkend: Datalekken Identiteitsfraude Verstoring van ICT Spionage

6 CYBERDREIGINGSBEELD 2015

7 CYBERDREIGINGSBEELD 2015 Werkwijze input en feedback: Cyberdreigingsbeeld 2014 (SURF) en Cybersecuritybeeld Nederland 2015 (NCSC) Statistieken SURFcert en recente incidenten Interviews met medewerkers van universiteiten, hogescholen en mbo instellingen Interview met medewerkers van ministerie BZK Interview met medewerker NCSC Werkwijze uitkomsten interviews: Cyberdreigingsbeeld 2014 beschrijft onze realiteit, maar Wij ervaren andere dreigingen als ernstig Cyberdreigingsbeeld 2014 was niet geschikt voor de boardroom Cyberdreigingsbeeld 2014 was niet geschikt voor security professionals Dit is een geweldig initiatief, meer sectoren zouden dit moeten doen

8 CYBERDREIGINGSBEELD 2015 Opzet: Managementsamenvatting en Hoofdstuk 1 gericht op boardroom - Dreigingslandschap kort beschreven Hoofdstuk 2 en 3 gericht op security professionals - Maatregelen per dreiging uitgewerkt - 3 casussen/lessons learned

9 Uit de managementsamenvatting Maatregelen Om deze dreigingen tegen te gaan zijn allereerst maatregelen op strategisch niveau nodig. Bestuur en directie bepalen welke processen belangrijk zijn voor de instelling, welke risico s aanvaardbaar zijn en welke mate van bescherming nodig is. Idealiter gebeurt dat op basis van een risicoanalyse die regelmatig herhaald wordt. Deze risicomanagementcyclus geeft bestuur en directie voortdurend inzicht in de status van de risico s voor de hele instelling en biedt de verantwoordelijken de mogelijkheid de juiste maatregelen op tactisch en operationeel niveau in te regelen. Daarbij speelt de security officer als coo rdinator met voldoende mandaat en middelen van het bestuur een belangrijke rol in het afstemmen van het informatiebeveiligingsbeleid tussen de verschillende geledingen, het aanreiken van ideee n en het vergroten van bewustzijn.

10 Uit hoofdstuk 3 Dreigingen en maatregelen Maatregelen De aanpak van deze dreiging omvat in ieder geval de volgende maatregelen, die vooral betrekking hebben op het beveiligingsaspectintegriteit: - Identiteitscontrole Er moet een systeem zijn om de identiteit van gebruikers vast te stellen. Daarbij wordt onderscheid gemaakt tussen de initiële identificatie en het controleren van de identiteit op momenten dat die vastgesteld moet worden om toegang te verlenen (dit kan digitale toegang zijn, maar ook fysieke toegang). - Toegangscontrole Er is een systeem om aan de hand van de identiteit te bepalen of, en welke, toegang verleend wordt. - Bewustzijn Gebruikers moeten zich bewust zijn van aanvalstechnieken om identiteiten te achterhalen als (spear-)phishing en social engineering, zodat zij daarvan niet het slachtoffer worden.

11 Uit hoofdstuk 4 Incidenten met Lessons Learned 4.2 Ransomware Het incident Begin 2015 werd de Vrije Universiteit Amsterdam getro en door CryptoLocker, een vorm van ransomware (zie kader op pagina 29). In eerste instantie leek de malware binnengekomen te zijn via van buiten, maar al snel bleek dat de malware muteerde en zichkennelijk ook aan berichten van interne gebruikers wist te koppelen. Uiteindelijk zijn zo n 200 computers besmet geraakt.

12 CYBERDREIGINGSBEELD 2015 Vragen?

13 De eerste ervaringen.

14 SURFaudit

15 Peer auditting reviewers opgeleid CCPR (commissie): Rob van Nie (audit VU) Andre de Groot (audit UU) Hans van der Wal (SO) Ronald Sarelse (audit RU) Bart van den Heuvel (SO) Alf Moens (SO) Charlie van Genuchten (secretaris) 7 instellingen in review Vaststellen toetsonderwerpen aanmelden Reviewers toewijzen Voortgang monitoren Analyse resultaten Opdracht accepteren Documentatie doornemen Site visit gesprekken Rapportage opstellen Training en bijspijkeren Selfassessment Verbeterplan opstellen Documentatie verzamelen Site visit voorbereiden Site visit gesprekken Evaluatie CCPR Reviewers Instelling

16 Benchmark 2015: 18 deelnemers Radboud Universiteit Universiteit Leiden Universiteit Maastricht Universiteit Twente Universiteit van Amsterdam Universiteit van Tilburg Wageningen Universiteit Vrije Universiteit KNAW Avans Fontys HKU Hanze Hogeschool Utrecht Hogeschool Windesheim Hogeschool van Amsterdam NHL Stenden Peer audit 2015/2016: Wageningen, Radboud, Twente, KNAW, Hanze, Windesheim, Ede 2013: 25 deelnemers: 12 universiteiten + 12 hogescholen + KNAW 2011: 16 deelnemers: 6 universiteiten + 9 hogescholen + KNAW 2015 MBO benchmark: 19 deelnemers: 3 AOC s, 14 ROCs, 2 vakscholen

17 Normenkader HO Getoetst aan dreigingsbeeld enkele controls toegevoegd - Clusterindeling gebalanceerd - Rest controls geevalueerd Normenkader is in gebruik bij Hogescholen Universiteiten Wetenschappelijke instellingen MBO Wordt ook als basis gebruitk voor PO en VO Q evalueren: toetsen aan dreigingsbeeld en nieuwe wetgeving Voorstel om normenkader onder te brengen bij EDUstandaard Alleen normenkader, niet het toetsingskader

18 Benchmark 2015: de resultaten = =

19 Benchmark 2015 MBO clus ter MBO 2015 HO 2015 HO 2013 HO 2011 Totaal Beleid en organisatie Personeel, gasten, studenten Ruimtes en apparatuur Continuiteit Toegangsbeveiliging en integriteit Controle en logging

20 Cluster 2: Wat is er aan de hand? * = -- = =

21 De Benchmark 2015 Voortzetting verbetering Grote zelfstandigheid Baseline in rapportage Lagere deelname Weer uitstel nodig Nog lang niet op Baseline Awareness Awareness Awareness Awareness Awareness

22 Bart Bosma Alf Moens