Informatiebeveiliging binnen de financiële sector: Wat kunnen we hiervan leren?
Introductie Marcel Baveco: Toezichthouder Specialist ICT Risico s Toezicht Expertise Centra De Nederlandsche Bank (DNB) NOREA Werkgroep Cybercrime 1
Inhoud DNB & Informatiebeveiliging Aanpak & resultaten IB thema-onderzoeken Wat kunnen we hiervan leren? Vragen? 2
Mission DNB De Nederlandsche Bank: Safeguarding the stability of the financial system and the institutions that are part of it, by 1. Contributing to the monetary policy of the Eurosystem 2. Promoting the smooth functioning of the payment system 3. Supervising the financial soundness and integrity of financial institutions Two organisations: 1. Central Bank 2. Prudential Supervisor 3
Afhankelijkheid van Internet 5
Afhankelijkheid van Internet Keyloggers Identity fraud Social engineering Trojan horses Spear phishing Intrusions 6 Botnets Man-in-themiddle/browser attacks Phishing Hacking Databreaches Distributed Denial of Service attacks
Toename financiële schade Gevolgen cyber/ib risico s Grote financiële schade Einde efficiënte kanalen - Cybercrime neemt sterk toe - Ernstige incidenten/aanvallen - Toenemende financiële verliezen = Grote financiële schade - Toename cybercrime aanvallen - Beperkte financiële schade - Geen verlies Vertrouwen Huidige stabiele situatie - Cybercrime neemt sterk toe - Ernstige incidenten/aanvallen - Toenemend vertrouwensverlies = Grote schok van het vertrouwen Vertrouwensschok Toename vertrouwensverlies 8
DNB Onderzoeken - IB Gestart in 2010, doorlopend onderzoeksthema Doelstelling: Informatiebeveiliging naar hoger niveau Selectie instellingen financiële sector Periodieke metingen (iedere 1 a 2 jaar) nulmeting / eenmeting /x-meting, Standaard toetsingskader Self-assessment Resultaten worden teruggekoppeld (individueel & sector) 9
Integraal toetsingskader 10
A good control framework is key (II). The devil is in the details. For Information Security DNB made a framework based on CobiT and ISO/IEC 27002 incorporating a maturity model. Risk Operational Maturity Level: Strategy & Policies 0 Non-existent Risk Monitoring Processes Organization Information Security Management Facility Technology Risk Policy 1 Initial/ad hoc 2 Repeatable but intuitive People 3 Defined Internal Control 4 Managed and measurable 11 5 Optimized
Toetsingskader afgestemd met sector 12 http://www.toezicht.dnb.nl/3/51-203304.jsp
Resultaten: vervolgmetingen effectief % maatregelen op/onder niveau: 100% 90% 80% 70% 60% # controls op niveau Toename bewustzijn en actiegerichtheid op bestuursen directieniveau door blijvende aandacht voor IB. Zware onvoldoendes weggewerkt. 50% 40% 30% 20% 10% # controls op niveau 2 # controls op niveau 1 Integrale aanpak IB voorkomt suboptimale oplossingen. Ook externe partijen hanteren DNB-kader: boodschap wordt beter in de markt gezet. 0% Nulmeting Eenmeting Aandacht DNB op voortgang actieplannen van sector is stok achter de deur. 13
Fraud Internet banking NL 40 35 30 25 20 15 10 5 0 2008 2009 2010 2011 2012 2013 Whole year 2nd half year 1st half year
Financiële sector - Resultaten Best scorend: 1. Physical security (slot op de deur) 2. Information Security Organization 3. Manage malware attacks (anti-virus) 4. Change Management (OTAP) 5. Incident Management (registratie & afhandeling incidenten) Aandachtspunten: 1. Define the Information Architecture (Security Architectuur) 2. Configuration Management (CMDB) 3. Secure Infrastructure (netwerkbeveiliging) 4. User Account Management (LTB) 5. Manage third parties (SLA s, SAS70, ISAE3402, SOC2, ) 16
Meer aandacht voor: 1. Define the Information Architecture (Security Architectuur): Security expliciet opnemen in architectuur 2. Configuration Management: Proces voor schonen & aanvullen CMDB 3. Secure Infrastructure (netwerkbeveiliging): Inzet van SIEM & IDS/IPS, encryptie, logging & monitoring 4. User Account Management (LTB): Inrichten proces voor definieren & onderhouden van autorisaties/rollen/profielen, inzet tooling 5. Manage third parties (SLA s, ISAE3402, SOC2, ): Vertrouw niet (alleen) op de blauwe ogen, vraag om assurance in de vorm van SOC2 rapportage of eigen onderzoeken 17
Ervaringen financiële sector (1) Malware geavanceerder: 2Factor authentication onvoldoende: naast preventie dus aandacht voor detectie, logging / monitoring en reactie Basis IB vaak niet 100% aantoonbaar op orde: Aandachtspunten: user account management, third party management, configuration management Focus op techniek alleen werkt niet: Noodzaak voor risicogebaseerde & holistische aanpak Herhaal metingen periodiek: Houd momentum 18
Ervaringen financiële sector (2) Realiseren veranderingen vergt lange doorlooptijd: Manage verwachting stakeholders Cyberdreigingen zijn reëel: Verhogen weerbaarheid door investeren in IB belangrijk Communicatie met interne & externe stakeholders essentieel: Hanteer transparent toetsingskader: spreek dezelfde taal met duidelijke norm Rapporteer resultaten & benchmarking info Board commitment essentieel / Tone at the top is bepalend voor draagvlak: betrek de board Financiële sector: FI-ISAC (Information Sharing and Analysis Center) / IN-ISAC, NCSC: effectieve informatie-uitwisseling 19
Info DNB Website Informatiebeveiliging: http://www.toezicht.dnb.nl/3/50-203304.jsp Pentesten: http://www.toezicht.dnb.nl/2/50-229818.jsp Cloud computing: http://www.toezicht.dnb.nl/2/5/50-230433.jsp 20
Vragen? 21
Contact details De Nederlandsche Bank Marcel Baveco Toezichthouder E: m.p.p.baveco@dnb.nl T: +31 (0)20 524 3914 22