Cyber Security: hoe verder? Pensioenbestuurders Rotterdam, 11 maart 2014 Generaal (bd.) Dick Berlijn
2
Wat is Cyber, wat is Cyber Security? Cyber is: Overal Raakt alles Energie, transport, infrastructuur, banken, gezondheidzorg, pensioenen, overheid, openbare orde & veiligheid, media, onderwijs, defensie etc. Cyber Security gaat over: Kwetsbaarheid van en bedreigingen voor netwerken en data Onze economische veiligheid Onze nationale veiligheid 3
4
5
Waar praten wij over? Melissa Hathaway: G-20 economies have lost 2.5 million jobs to counterfeiting and piracy while governments and consumers lose $125 billion annually to cyber-attacks Cybercrime is The Greatest Transfer of Wealth in History - General Keith Alexander the director of the National Security Agency (NSA). TNO: cybercrime costs at least 10 billion euros annually or 1.5 to 2 percent of our GDP, the cost is more in the region of 20 to 30 billion euros (PwC, McAfee, Symantec, Eurostat, KLPD and Govcert.nl) http://www.informationisbeautiful.net/visualizations/worldsbiggest-data-breaches-hacks/ 7
Ponemon Institute 90% van de bedrijven in de VS hebben de afgelopen 12 maanden te maken gehad met cyberaanvallen Bij 60% van de bedrijven ging het om twee of meerdere incidenten Meer dan 50% van die bedrijven had er weinig vertrouwen in dat men in staat was het komende jaar volgende aanvallen te kunnen pareren De DDoS aanval op Spamhouse (Duits Internet beveiligingsbedrijf), 8 maart 2013 wordt gezien als the biggest cyber attack in history 9
Maar ook 86% websites hebben minstens één zwakke plek die het hackers mogelijk maakt om in te breken WhiteHat rapport mei 2013 87% web applicaties voldoen niet aan de OWASP Top 10 (breed toegepaste beveiligingsprotocollen) en 30% onderzochte web apps waren SQL injection gevoelig Veracode CTO Chris Wysopal Application vulnerabilities zijn de No.1 dreiging (ISC)2 studie mei 16 2013 Nederlandse banken worden voortdurend aangevallen Infosecurity Magazine 8 april 2013 Per dag komt er 73,000 nieuwe vormen van malware bij! 11
Een hacker heeft maar één gaatje in de beveiliging nodig, terwijl IT beveiligers ze allemaal moet kunnen vinden (en dichten) 13
14
15
Global Regional National Organizational Individual Actors 16
Global Cyber Maturity Curve: Collective action and milestones 17
De rol van de bestuurder 18
Cyber Threat Risk Management: vragen voor het management (1) 1. Wat zijn in onze organisatie de belangrijkste bedreigingen en kwetsbaarheden? 2. Wie is er ultiem verantwoordelijk is voor het wegnemen van de kwetsbaarheden? 3. Hebben we voldoende preventieve maatregelen genomen en kunnen we afwijkend verkeer waarnemen? 4. Zijn we voorbereid op het worst cyber incident en hoe ziet dat er voor onze organisatie uit?
Cyber Threat Risk Management: vragen voor het management (2) 5. Zien we welke digitale informatie onze organisatie verlaat en waar die informatie naartoe gaat? 6. Weten we wie er op onze netwerken inlogt en waar vandaan? 7. Hoe stellen we zeker dat alleen gevalideerde software op onze systemen draait? 8. Hoe beperken we de informatie die onze werknemers vrijwillig aan kwaadwillenden beschikbaar stellen? 20
21
22
Pro-actief Dynamic Open & connected Detect and respond Reactief Static Perimeter Keep out 23
Level of security Digital Dilemma Closed and secure Cyber Resilience Compromise Open and vulnerable Level of connectivity & consumerization 24
The vision of Deloitte Respond adequately to incidents Recover Assess Understand the threats and the current capabilities Recover to businessas-usual and limit damage Respond Prepare Implement security measures to prepare the organization Alert Monitor Monitor the organization for anomalies and abnormal behavior Provide alerts and notify the appropriate people 25
Waar het om gaat U wordt gehackt: niet of maar wanneer Men vraagt u: Was u zich bewust van de risico s? Welke maatregelen had u genomen om het probleem te voorkomen/ mitigeren? Het gewenste antwoord is: Ja, ik was me van de risico s bewust. Ja, ik heb alle maatregelen genomen die mogelijk waren om het probleem te voorkomen Ja, monitor en alerting is op orde. Ja, incident response is getrainded en competent 26
Hack.ERS member - Global CyberLympics 27 D