Publiek-private partnerships voor een sterke cybersecurity Eelco Stofbergen (CGI) Han Schutte (NCSC) 1
Samen naar een veilige digitale overheid Publiek-private partnerships voor een sterke cybersecurity Eelco Stofbergen (eelco.stofbergen@cgi.com) ibestuur congres, 20 januari 2016 CGI Group Inc. CONFIDENTIAL
CGI: wereldwijde partner in cyber security High-end business, IT en Security consulting 68,000 professionals >10,000 clienten wereldwijd Security, IT en Bedrijfsprocessen, Systeem integratie, outsourcing 400 kantoren in 40 landen Klanttevredenheid: 8.7/10 100+ missie-kritische eigen oplossingen >$10 Miljard jaaromzet wereldwijd Top 5 grootste onafhankelijke security, IT and BPS leverancier 3
Onze digitale wereld innoveert razendsnel Networked Industries >2020 Networked Everything Networked Consumer Electronics 2015 Securing Networked Society 4
Innovatie beinvloedt cyber risico s Internet of Things Next-gen mobiliteit Robotica Digitale fabricage Geopolitiek Privacy Big data Cloud computing 5
Toenemende dreiging Concurrenten Onderzoekers Medewerkers Hacktivisten Criminelen Terroristen Vandalen & scriptkiddies Statelijke actoren 6
Toenemende regeldruk Meldplicht Cyber security WOB WBP en Meldplicht datalekken EU privacy richtlijnen BIR, BIG, BIWA,
Cybersecurity houdt de veranderingen niet bij Spanningsveld = Risico t.a.v. Budget Resources Capaciteiten Innovatie Cybersecurity Dreigingen Regelgeving Verleden Heden Traditionele security modellen hebben de grenzen van hun effectiviteit bereikt 8
Groot datalek van overheidsdata Diepgaande digitale spionage Verstoring vitale infrastructuur 9
Volwassenheidsniveaus in cyber security 1 Reageren op incidenten Auditbevindingen repareren Reageren op grote incidenten 2 Voldoen aan regelgeving Wet- en regelgeving implementeren Organisatiebeleid opstellen en implementeren 3 Risico s proactief managen Risicoanalyse uitvoeren en kwetsbaarheden adresseren Proactief security maatregelen implementeren 4 Vertrouwensrelatie bouwen Regelmatig rapporteren obv BI, trends en analyse Stel security service catalogus op voor projecten Werk met peers samen en wissel informatie uit obv vertrouwen 5 Cyber security als enabler Gebruik security om het verschil te maken bij het ontwikkelen en aanbieden van innovatieve oplossingen en services Afhankelijk Onafhankelijk Wederzijds afhankelijk 12
Publiek-Private Samenwerking in cyber security Wetenschap Publieke sector Private sector Tijd om naar de volgende versnelling te schakelen! 13
Preventie, detectie en respons Sneller delen van detectie- en incidentinformatie Inzicht verschaffen in weerbaarheid 14 Minimum eisen aan digitale veiligheid
Naar Digitaal Verantwoord Ondernemen Organisatie Onze digitale maatschappij vereist van overheden en bedrijven dat zij digitaal verantwoord ondernemen. Partners Maatschappij Individu Dat betekent dat zij hun verantwoordelijkheid nemen en passende cyber security maatregelen treffen om de belangen van de eigen organisatie, partners, individuen (medewerkers, klanten, burgers) en de maatschappij te beschermen. 15
Our commitment to you We approach every engagement with one objective in mind: to help clients succeed
Nationaal Cyber Security Centrum Han Schutte Hoofd Marktontwikkeling & Partnerschappen 20 januari 2016
Resilience denken ( denken in weerbaarheid ) Resilience is het vermogen om te reageren op alle mogelijke verstoringen die op je af komen. Dit vermogen kan worden uitgedrukt in eigenschappen van het systeem die ervoor zorgen dat de consequenties van de verstoring worden opgevangen tegenhouden van de verstoring: weerstand herstellen van schade en repareren van functionaliteiten: veerkracht aanpassen aan de veranderde situatie: adaptiviteit Het resultaat is dat het functioneren van het systeem zo snel mogelijk kan worden hervat (korte termijn) Én dat het systeem steeds beter wordt door aanpassingen (lange termijn) 19
Weerstand Het vermogen van een systeem om door te kunnen gaan met zijn functie indien een verstoring optreedt, zonder dat het systeem daardoor een significante verandering ondervindt. Weerstand verwijst naar de tijd die het systeem in staat is om haar evenwicht te bewaren voordat disfunctioneren optreedt Capaciteiten: Redundantie Bescherming Compartimentering 20
Veerkracht Het vermogen van een systeem om essentiële functies te herstellen na een verstoring Veerkracht verwijst naar de tijd die het systeem nodig heeft om terug te komen in het oorspronkelijke evenwicht Capaciteiten: Flexibiliteit Diversiteit Vindingrijkheid 21
Adaptiviteit Het vermogen van een systeem om op veranderingen in de omgeving te reageren, zich aan te passen en te leren van ervaringen Adaptiviteit verwijst naar de tijd die een systeem nodig heeft om terug te komen in een nieuw evenwicht Capaciteiten: Geheugen Innovatief leren Connectiviteit 22
Individuele krachten bundelen Elke organisatie beschikt over een unieke set van capaciteiten die in meer of mindere mate het individuele vermogen voor weerstand, veerkracht en adaptiviteit verzorgen. Een kleine organisatie is bijvoorbeeld vaak veel flexibeler ingericht en beter in staat zich aan te passen aan een veranderende omgeving. Grotere organisaties hebben meer resources om specifieke security maatregelen te treffen. Vanuit de kracht van de individuele partijen is er op collectief niveau een groot potentieel om een divers palet aan resilience capaciteiten te organiseren. 23 28 oktober 2014
Samenwerken cybersecurity noodzakelijk, want: Digitale dreigingen nemen toe Impact neemt toe Cyber is overal én het is van iedereen Niemand heeft meer een kennismonopolie Ontwikkelingen in cyberdomein gaan razendsnel 24
Waarom pubiek-privaat, publiek-publiek, privaat-privaat samenwerken? gemist resilience potentieel slimmer, innovatiever gemist resilience potentieel collectieve resilience capaciteit individuele resilience capaciteit individuele resilience capaciteit 25 28 oktober 2014
Weerbaarheid van organisaties en ultimo Nederland wordt verhoogt Organisaties Ketens van organisaties Sectoren Regio s Algemeen: samenwerken daar waar er een gemeenschappelijk belang is 26 28 oktober 2014
Verschillende belangen Micro individuele organsitiebelangen: voortbestaan, winst, concurrentiepositie Meso (sector, regio,...) lokale economie (werkgelegenheid), openbare orde & veiligheid, kwaliteit leefomgeving, imago/aantrekkelijke vestigingsplaats Macro NL economie (mainport), veiligheid, gezondheid en milieu en stabiliteit 27
Succesfactoren Afhankelijk van de soort samenwerken: Gelijkwaardigheid Gedeelde belangen Vertrouwen... 28
NCSC AIVD OM Politie MIVD... De overheid ondersteunt Nederland met capaciteiten Nederland 29
Bouwen aan samenwerking Bouwstenen zijn samenwerkingsconcepten om resilience capaciteiten te vergroten Een bouwsteen is een (innovatieve) combinatie van proces, informatie, techniek en mens Hoe meer bouwstenen er worden gerealiseerd hoe meer de resilience capaciteiten worden vergroot Bouwstenen op het gebied van: notificatie distributie van kennis informatie delen detectie respons inkoop producten en diensten preventie hulp bij installeren configuren en beveiligen ETC. 30
Voorbeeld van bestaande bouwstenen Publiek-privaat Cyber Security Raad ICT Response Board Information Sharing and Analysis Centers (ISACs) Private and publieke liaisons NCSC Adviesberaad/Council Publiek-publiek Nationaal Respons Netwerk Nationaal Detectie Netwerk (nu uitrol naar privaat) Departementale Security Contacten 31
Goed is niet goed genoeg Een volgende versnelling is noodzakelijk! Samenwerken met een gemeenschappelijk belang - is één van de oplossingen om te komen tot een hogere weerbaarheid 32