presentatie ehoorweg ncd (versie 1)ncd.nl/wp-content/uploads/2016/03/presentatie-erik...quotes uit...

3/10/2016

1

Masterclass NCD - 9 maart 2016

Cyber SecurityCyber Security

Erik HoorwegErik Hoorweg

Copyright © 2016 Capgemini Consulting. All rights reserved.

Inhoud

1. Introductie en doel

2. Meet & Greet

3. De samenhang der dingen

- belangen,

- risico’s,

- maatregelen

4. Actualiteit – Meldplicht Datalekken & GDPR

5. Handvatten & Leesvoer

3/10/2016

2


Quotes uit WEF Davos 2016 over digitalisering & veiligheid

“Technologie heeft altijd gezorgd voor veranderingen waar mensen zowel bang als hoopvol van werden. Tot

nu toe is technologische vooruitgang voornamelijk goed geweest voor het welzijn. Maar verandering gaat nu

veel sneller, ook sneller dan veel leiders lijken aan te kunnen”

- Erik Brynjolfsson, Hoogleraar Digitale Economie MIT

“We zitten in een wereldwijde leiderschapscrisis, en dat moeten we ons allemaal aantrekken”

- Marc Benioff, bestuursvoorzitter Salesforce

“Er is nog nooit een grotere belofte geweest dan nu. Maar ook nog nooit een groter gevaar”

- Claus Schwab, oprichter World Economic Forum


Drie dimensies van Cyber Security

Cyber Security is het vrij zijn van gevaar

of schade veroorzaakt door verstoring of

uitval van ICT of door misbruik van ICT.

VERTROUWEN

Belangen Risico’s

Weerbaarheid/Maatregelen

3/10/2016

3


Perspectief van de spreker…


Wat weten jullie al van Cyber Security?

3/10/2016

4


Vraag 1: WAAR of NIET WAAR?

� Bedrijven met een Responsible Disclosure Beleid belonen hackers indien deze hiervan

melding maken bij het betreffende bedrijf.

� WAAR



� De afgelopen twee jaar is het aantal meldingen van cyberaanvallen bij de overheid

verdubbeld.

� WAAR

Het Nationaal Cyber Security Centrum (NCSC) ontving het afgelopen jaar 293 meldingen over

een incident bij de overheid.

3/10/2016

5


Vraag 3: HOGER of LAGER?

� Binnen MKB verwacht 50% van het management een toename van het bedrijfsrisico m.b.t.

Cyber Security

� LAGER

32% verwacht een stijging*

* Bron: Cyber Security in het MBK (Capgemini, TNS NIPO) N = 529


Vraag 4: JA of NEE?

� Sinds 1 januari 2016 moet u alle datalekken melden bij de Autoriteit Persoonsgegevens

� NEE

U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de

bescherming van persoonsgegevens. Of dat er een aanzienlijke kans bestaat dat dit gebeurt.

3/10/2016

6



� De nieuwe Europese Privacy Verordening (GDPR) verplicht organisaties om aandacht te

besteden aan bewustwording en training van medewerkers

� WAAR

Bij overtredingen van de verordening kunnen hoge boetes worden opgelegd tot wel 4% van de

jaarlijkse omzet


Vraag 6: Bij benadering…

� Hoeveel procent van de Nederlandse managers en bestuurders raken geïrriteerd door de beveiligingsmaatregelen die het eigen bedrijf oplegt?

� 28%

Dit is hoog ten opzichte van andere Europese landen (gemiddeld 17%).

27% handelt in strijd met de eigen veiligheidsvoorschriften

50% daarvan doet dit bewust

3/10/2016

7



2. Meet & Greet


- belangen,

- risico’s,

- maatregelen



Inhoud


Joshua Samuel Aaron (alias Mike Shields)

� Leeftijd : 31 jaar

� Woonplaats : Maryland, Tel Aviv, Kiev,

Moskou

� Leider criminele organisatie

– Hack organisaties om miljoenen klantgegevens te

bemachtigen

– Verkoop van de gegevens aan derden via Online

marktplaatsen

– Manipuleren van aandelenkoersen via misleidende

emailcampagnes en beïnvloeden brokers (opstuwen

koers)

– Geregisseerd verkopen van de aandelen

� Motivatie : Geld

3/10/2016

8


Alexandra Elbakyan

� Leeftijd : 27 jaar

� Woonplaats : Kazachstan

� Oprichtster van Sci-Hub (2011).

– Platform voor gratis verstrekken van wetenschappelijke

artikelen.

– 20 miljoen bezoekers (downloads)

– Doelgroep: alle universiteiten en wetenschappelijke

uitgevers.

� Motivatie : Ideologie.

“Ik vind het onethisch dat het delen

van wetenschappelijke informatie

verboden kan worden”.


Vijf Nederlands pubers

� Leeftijd : 14 tot 17 jaar

� Woonplaats : Berkelland, Lochem, Den

Helder en Vinkeveen

� DDoS-aanval op Ziggo

– Ziggo-klanten twee dagen niet internetten (zakelijk en

privé)

– 2 miljoen internetaansluitingen

� Motivatie : Script-kiddies

“laten zien wat we kunnen”

3/10/2016

9


Sun Kailiang (alias Jack Sun)

� Leeftijd : onbekend

� Woonplaats : China

� Officier in People’s Liberation Army (PLA) – Chinese

Leger

– Binnendringen in netwerken van (Amerikaanse)

bedrijven

– Economische spionage

– Ontvreemden van intellectueel eigendom en

bedrijfsplannen

� Motivatie : Overheidsbeleid


‘Bevriende’ inlichtingendiensten

� NSA en GCHQ

� Amerika en Engeland

� Inlichtingendiensten

– Edward Snowden documenten

– Slachtoffer: Gemalto. Nederlandse producent van

simkaarten

– Ontvreemden 7 miljoen encryptiesleutels

– Eenvoudig aftappen van mobiele communicatie

� Motivatie : (economische) spionage

/ contraterrorisme

We help people to trust one another in an increasingly connected digital world

3/10/2016

10


Uw medewerkers!

� De meeste datalekken ontstaan door eigen personeel

(25 tot 35%)

� Voorbeeld: Medewerker van VGZ.

– Declaratiegegevens van 27.000 verzekerden op privé

computer

– Hij wilde nieuwe software testen en was vergeten de

gegevens er weer af te halen

– Onduidelijk of gegevens zijn ingezien door derden

– VGZ moest alle verzekerden inlichten

– Reputatieschade

� Motivatie : Gebrek aan bewustzijn en/of

discipline


Inhoud


2. Meet & Greet


- belangen

- risico’s

- maatregelen



3/10/2016

11


Cyber Security draait om de samenhang tussen belangen, risico’s en maatregelen

VERTROUWEN

Belangen Risico’s




2. Meet & Greet


- belangen

- risico’s

- maatregelen



Inhoud

3/10/2016

12


Belangen zijn van alle tijden

Belangen Risico’s


Bedrijfscontinuïteit

Geld

Vertrouwelijke info

(intellectueel eigendom)

Persoonsgegevens

Reputatie


Dig

ital C

apab

ility

Leadership Capability

FASHIONISTASDIGITAL

MASTERS

CONSERVATIVESBEGINNERS Dig

ital C

apab

ility


REVENUE GENERATION EFFICIENCY

+6% +9%

-10%-4%

Dig

ital C

apab

ility


PROFITABILITY

% +26%

+9%-24%

-11%

Maar deze belangen worden steeds meer beïnvloed door digitalisering

3/10/2016

13


• De klant en medewerkers krijgen steeds meer toegang tot processen die voorheen

afgesloten waren voor de buitenwereld (denk aan self service)

• Interne systemen worden aangesloten op het internet

Digital Masters investeren met de klant als belangrijkste drijfveer

BUSINESS MODEL

CUSTOMER-FACING PROCESSES OPERATIONAL PROCESSES

Social MediaInternal

Collaboration

Mobile Channel

CustomerExperience

Process Digitalization

Data Integration

Sensors

Analytics


De kroonjuwelen veranderen

Onderzoek Capgemini Consulting / TNS NIPO (2015)

3/10/2016

14


Digital Technology Will Remain The Endless Agitator Of The Business World

Augmented Reality

Robotics Artificial Intelligence

Sharing Economies Wearables

3D Printing

En deze ontwikkeling zal zich in razend tempo doorzetten


Tegelijkertijd lijken de investeringen tussen IT en IT Security verder uiteen te lopen

� Gemiddelde percentage IT security (t.o.v. total

IT spend) ligt in 2015 rond de 6% (NA en EMEA)

� Spiceworks “2016 State of IT" report, gaat uit

van 0% stijging in IT security budgetten(N=839)

Nationale IT-Security Monitor 2015 (N=150)

3/10/2016

15


Korte opdracht

Wat zijn de belangrijkste assets (kroonjuwelen) van de

organisatie waar u nu commissaris of directeur van bent?

In hoeverre zijn deze assets gedigitaliseerd?

Overleg 5 minuten met uw buurman/vrouw

Report out



2. Meet & Greet


- belangen

- risico’s

- maatregelen



Inhoud

3/10/2016

16


Digitalisering van organisaties brengt nieuwe risico’s met zich mee

Belangen Risico’s


Risico’s

The Davos “Global risk report 2015” highlights three technological risks among the 50 most important macro risks:

� Cyber attacks� Data

fraud/theft� Critical

infrastructure breakdowns

Wet & Regelgeving

Meldplicht datalekken

General Data Protection Regulation

Meldplicht datalekken

General Data Protection Regulation


Een overzicht van ‘s werelds grootste informatielekken

www.informationisbeautiful.net

3/10/2016

17


Risico’s

Kans ImpactRisico X=

DreigingKwetsbaar

heden


Ondernemers zien de risico’s vaak niet

Gebrek aan bewustzijn is een belangrijke kwetsbaarheid

Kwetsbaar

heden

3/10/2016

18


Digitalisering maakt de belangen/assets kwetsbaarder

� Oude (legacy) systemen worden gekoppeld aan het internet (PCS en SCADA).

� Veel software is vaak slecht gecodeerd als gevolg van marktwerking (snel en goedkoop

leveren – de klant vraagt er niet naar). Updates worden vaak beperkt geïnstalleerd.

� Steeds meer verbindingen worden gelegd tussen systemen (binnen en buiten de

organisatie). Wederzijdse afhankelijkheid tussen organisaties neemt toe en is vaak

onbekend.

� Analoge alternatieven verdwijnen.

� De gebruiker blijft de achilleshiel. Bewustzijn is in NL relatief hoog (67% tegen 47% EU) maar

één moment van onachtzaamheid kan de deur openzetten.

Een kwetsbaarheid is een eigenschap van ICT, een organisatie of gebruiker die actoren kunnen misbruiken

Kwetsbaar

heden


De kwetsbaarheid is mede afhankelijk van de veiligheid-volwassenheid van de

organisatie (weerbaarheid en veerkracht)

1. Functionele veiligheid1. Functionele veiligheid

2. Procesmatige veiligheid2. Procesmatige veiligheid

3.Systematische veiligheid 3.Systematische veiligheid

4. Beheerste veiligheid4. Beheerste veiligheid

5. Integrale veiligheid5. Integrale veiligheid

� Niet gedocumenteerd of vaag beleid

� Geen formele processen

� Reactief

� Individuele helden

� Informele en inconsistente rapportage



� Reactief



� Duidelijk beschreven proces

� Gezamenlijke taal

� Rollen en verantwoordelijkheden vastgelegd

� Regelmatige rapportages

� Lange termijn focus






� Beleid opgesteld en organisatie breed toegepast

� Functionele samenwerking in de organisatie

� Training van het proces

� Rapportage van activiteiten en verbetering

� Betrouwbare data voor management






� Herziening van beleid op basis van ervaring

� Lijnmanagement is bewust verantwoordelijk voor veiligheid

� Duidelijke normen voor veiligheid gesteld

� Rapportage over incidenten

� Prestatie indicatoren voor functionele veiligheid






� Organisatie zet integrale veiligheid in als competitief voordeel

� Continue verbetering van veiligheid

� Sturing op integrale risico’s

� Afgifte van bestuursverklaring

� Benchmark met vergelijkbare organisaties

� Integrale veiligheid behoort tot het takenpakket van het lijn management







1. Functionele veiligheid

2. Procesmatige veiligheid

3.Systematische veiligheid

4. Beheerste veiligheid

5. Integrale veiligheid



� Reactief
























Kwetsbaar

heden

3/10/2016

19


Cyber Security Beeld Nederland 2015Dreiging


Belangrijkste trends

1. Cryptoware en andere ransomware is het cybercriminele businessmodel bij uitstek

Dreiging

3/10/2016

20




2. Geopolitieke spanningen manifesteren zich steeds vaker in (dreigende) inbreuken op

digitale veiligheid

Dreiging





digitale veiligheid

3. Phishing wordt veel gebruikt in gerichte aanvallen en is dan voor gebruikers nauwelijks te

herkennen

Dreiging

3/10/2016

21



3/10/2016

22





digitale veiligheid

3. Phishing wordt veel gebruikt in gerichte aanvallen en is dan voor gebruikers nauwelijks te

herkennen

4. Je hoeft als crimineel geen digitale vaardigheden te bezitten. Kant-en-klare hulpmiddelen

zijn beschikbaar op internet.

Dreiging


Dreiging

3/10/2016

23



De schade bij ondernemingen is aanzienlijk

� 90% van de onderzochte bedrijven meldden een

beveiligingsincident

� Herstel van een inbreuk op de databeveiliging kost

grote ondernemingen gemiddeld 504.000 euro.

� Kleine en middelgrote bedrijven zijn gemiddeld 34.750

euro kwijt

Impact

Bron: Kaspersky Lab , 2015. N = 5500.

3/10/2016

24


De impact van verstoringen in kaart

1. Kosten van (gevolg)schade?

2. Verstoring van de (bedrijfs)continuiteit?

3. Wet & Regelgeving (boetes)?

4. Reputatie (onrust bij klanten en burgers)?

5. Gezondheid en veiligheid (gewonden / doden)?

Impact


Korte opdracht: Impact Assessment

Hoe groot is de impact van een Cyber Security incident op het

bedrijfsbelang / kroonjuweel dat u eerder heeft

geïnventariseerd?

Overleg 10 minuten met uw buurman/vrouw

Report out

3/10/2016

25


Uiteindelijk bepaalt de Risk Appetite de mate van (extra) maatregelen

De risicobereidheid wordt bepaald door vier factoren:

1. Debat in de bestuurskamer: er moet een afweging

vanuit verschillende perspectieven plaatsvinden

2. Overleg met verschillende stakeholders

3. Risico commités (IT auditor): bevindingen

uit risicoanalyse en monitoring

4. Flexibiliteit: veranderende omstandigheden zullen

een aanpassing van de risk appetite nodig maken.



2. Meet & Greet


- belangen

- risico’s

- maatregelen



Inhoud

3/10/2016

26


Belangen Risico’s



Het versterken van digitale weerbaarheid en veerkracht kent 5 uitdagingen

Data, End points, IAM, EcosysteemProtection strategy

Focus op de buitenkant (netwerk)

Mens, Organisatie & Technologie

(management issue)People & Management

IT probleem (afdeling)

Preventie, Preparatie, Protectie, Detectie en

ReactieEnd-to-end securityProtectie

Proactieve (scenario) defensieTechnology

Reactief defensie

Assets en Risico’s centraalRisk & data managementZero risk dream

Van: Kasteelmuren Naar: Vliegveld

3/10/2016

27


Maatregelen hebben betrekkking op de gehele veiligheidsketen

The cycle of cybersecurity operations

Prevention

Protection Detection

Reaction

AnticipationThreat

monitoring

Data leakmonitoring

Data leakprevention

Computer SecurityIncident Response

Team (CSIRT)

Security/privacyby design

Peopleawareness

Vulnerabilityassessment

Securityprocesses

Application securitytesting, system

penetration testing

Security incident remediation actions

Security OperationCenter (SOC)

Securityarchitecture


Maar vanuit technisch perspectief: zorg dat de basis op orde is!

Up to date anti-virus en firewalls

Wachtwoorden

Back-up, back-up, back-up (en testen)

Versleutelde opslag kritische gegevens

Patching & updating

3/10/2016

28


Bent u ‘in control’?

� Is Cyber Security als portefeuille belegd op bestuursniveau (CISO, CIO, CRO of CFO)?

� Vormt Cyber Security onderdeel van het (reguliere) Risk Control Framework?

� Wordt periodiek gerapporteerd op cyber security indicatoren?

� Doen we periodieke assessments en/of audits om onze weerbaarheid te toetsen?

� Is er een Plan, Do, Check, Act proces (inclusief dreigingsanalyse en monitoring) met

heldere governance ingeregeld?

� Is er een responsible disclosure beleid?

� Zijn we voldoende in staat om een incident het hoofd te bieden?

� Crisisorganisatie & Communicatie

� Is er een proces ingericht voor Meldplicht Datalekken?

Enkele vragen om aan het bestuur te stellen:


En als je denkt dat alles op orde is….

Scenario based crisis oefening:

� Dilemma sessies

� Table top

� Operationeel

Oefen, Oefen en Oefen

3/10/2016

29



2. Meet & Greet


- belangen

- risico’s

- maatregelen



Inhoud


Wie is de boef?

3/10/2016

30


Hoe bewust zijn we eigenlijk als het gaat om persoonsgegevens?

https://youtu.be/AYXM56YJWSo


Om het vertrouwen in maatschappij en economie te beschermen neemt ook de overheid

maatregelen

Per 1 januari is de Meldplicht Datalekken van kracht (onderdeel van Wbp)

3/10/2016

31


Op EU niveau is jarenlang gewerkt aan een nieuwe Privacy Verordening…

� Ondernemingen moeten in staat zijn om actief te bewijzen dat je compliant bent met de

verordening

– Interne documentatie moet op orde zijn,

– overzichten van systemen moeten aanwezig zijn,

– de juiste procedures moeten zijn ingericht,

– policies moeten zijn opgesteld,

� Strengere bepalingen rondom toestemming (‘consent’) gebruik persoonsgegevens

� Privacy Impact Assessments zijn verplicht voor nieuwe technologieën

� Datalekken moeten binnen 72 uur worden gemeld bij AP (conform Meldplicht Datalekken)

� Right to be Forgotten

� Training en bewustzijn

� Boetes gaan omhoog naar 4% van jaarlijkse omzet (AP tot 810K)

Deze GDPR wordt medio 2016 van kracht voor alle lidstaten.

Doel: de klant/burger de controle over haar gegevens geven



2. Voorbeelden


- belangen

- risico’s

- maatregelen


5. Handvatten & leesvoer

Inhoud

3/10/2016

32


Enkele handvatten en leesvoer

Handreikingen

Handreiking Cyber Security voor

de bestuurder

Raamwerken

ECP / MKB

(https://veiliginternetten.nl)

Beleidsregels Meldplicht Datalekken

(https://autoriteitpersoonsgegevens.nl)

ISF Threat Horizon

(op aanvraag)

Dank U!

Drs. E.P. Hoorweg MCMVice President Head Security & Privacy

Capgemini Consulting

Reykjavikplein 1

PO Box 2575 – 3500 GN Utrecht

M-Phone: +31 (0)6 15030869E-Mail: [email protected]

presentatie ehoorweg ncd (versie 1)ncd.nl/wp-content/uploads/2016/03/presentatie-erik...quotes uit...

Documents