© 2012 Sebyde BV

Bij ons valt niets te halen? (Dan komen ze wel wat brengen!)

Cyber Crime

Beveiliging valt niet onder mijn verantwoordelijkheid - Beveiliging? ICT beheer regelt dat - Ik werk niet met computers, dus loop ik geen gevaar - Ik werk niet met vertrouwelijke informatie - Mijn bedrijf is geen doelwit - Ik ben geen doelwit - De risico’s zijn verwaarloosbaar klein - We hebben een pasjessysteem - Wij hebben goede veiligheidsprocedures ingesteld - Onze organisatie is goed beveiligd want we hebben een firewall - Onze organisatie is goed beveiligd want we zijn op cursus geweest - Wij hebben ICT ge-out-sourced

© 2012 Sebyde BV

Cybercrime ?

– Anonymous in action

– Tetris building lights (China?)

© 2012 Sebyde BV

Wie zijn wij ?

SEBYDE (se-bie-de)

– Secure by Design

Derk Yntema

– 25+ jaar ervaring in ICT en IT Security

– IT management architect

– Portfoliomanager security

Rob Koch

– 25+ jaar ervaring account management bij software bedrijven en in de telecom industrie

IBM business partner

Gartner: 75% of all attacks on web sites and web applications target the application level and not the infrastructure.

© 2012 Sebyde BV

Activiteiten Sebyde BV?

Applicatie Security

– Webapplicatie Security scans mbv IBM Security AppScan

Security Awareness

– Security Awareness Training (End-users of Developers)

– Workshop Security Awareness programma

– Informatie-sessies Security en Privacy

Security Assessments

– Quick Security assessment

– Security assessments van netwerken en systemen

– Privacy impact onderzoek

© 2012 Sebyde BV

Agenda

Het gebruik van Internet

Waarom is Security Awareness belangrijk?

Cybercrime / verschillende soorten dreigingen

Privacy wetgeving in beweging!

Wat kun je doen ?

© 2012 Sebyde BV

Internet heeft de wereld veranderd

© 2012 Sebyde BV

Invloed van Internet

De wereld ziet er anders uit

– We werken anders

– We werken met meer data in meerdere applicaties

Internet

– We hebben “op afstand” toegang tot systemen en data

– Wireless Networks / Mobiele applicaties

– Populaire apps, email, Whatsapp, LinkedIn, Facebook, etc.

Hackers veranderen hun tactieken

– Van infrastructuur -> applicaties

– Risico op digitale inbraak wordt groter en groter …

© 2012 Sebyde BV

Penetratie Internet per regio

© 2012 Sebyde BV

Aantal Internet gebruikers wereldwijd

© 2012 Sebyde BV

Wat doen we op Internet?

© 2012 Sebyde BV

Social Media

Facebook

LinkedIn

Twitter

Hyves

Skype

Blogger

… ?????

© 2012 Sebyde BV

Social Media

© 2012 Sebyde BV

© 2012 Sebyde BV

© 2012 Sebyde BV

Hoeveelheid / soort data

© 2012 Sebyde BV

Waar komt de informatie vandaan?

© 2012 Sebyde BV

© 2012 Sebyde BV

Ik ben geen doelwit?

Febelfin

– Belgische federatie van de financiële sector.

http://www.youtube.com/watch?v=F7pYHN9iC9I

© 2012 Sebyde BV

Big Brother?

Informatie op Social Media wordt bekeken

– Koppeling CRM systemen met “Social CRM” systemen

– Ongestructureerde data over personen van Internet te halen

– Geavanceerde analyse-software maakt daar informatie van

“De premie voor uw ziektekostenverzekering gaat met 15% omhoog aangezien u lid bent geworden van een voetbalclub”.

Realiteit?

© 2012 Sebyde BV

Telegraaf, 10 April 2013

© 2012 Sebyde BV

Internet / Web-based applicaties

Internet is een belangrijk business platform geworden

Business gebruikt Internet voor Marketing, Communicatie, Customer Services, etc.

Internet gebruik:

– 2,4 miljard Internet gebruikers;

– 85% van de gebruikers kopen online;

– 200 miljard USD omzet.

Applicaties zijn “Web-gebaseerd” of minimaal “Web-gericht” met een connectie naar het Internet.

© 2012 Sebyde BV

Wat heb je te beschermen?

Klantgegevens

Beursgevoelige jaarcijfers, de winstprognose

(Re)organisatieplannen

Personeelsbestand

Offertes en contracten

Reputatie!

Boekhouding

Telefoon- / e-mailadres lijsten

Smoelenboek

Adding security during coding costs 6.5 times more than architecting it during software design process.

© 2012 Sebyde BV

Wie zijn het doelwit?

Financiële instellingen

– Internet bankieren

– Financiële transacties

Productie industrie

– Procesbeheersing netwerken

Ondernemingen

– Intellectueel eigendom

– Fusies en overnames

Overheden

– Staatsgeheimen

– Identiteitsfraude

Hosting providers

– Reputatie

– Systeemuitval

Applicatie bouwers

– Aansprakelijkheid

– Hoge ontwikkelkosten

Gezondheidszorg

– Privacy (WBP)

Wij allemaal

IBM’s X-Force Report 2013: 41% van alle security incidenten worden veroorzaakt door Web applicaties.

© 2012 Sebyde BV

Big Business …

© 2012 Sebyde BV

En toch ….

Beveiliging is toch niet mijn verantwoordelijkheid?

Beveiliging? “Dat regelen de jongens van ICT beheer toch?”

Ik werk niet met computers, dus loop ik geen gevaar!

Ik werk niet met vertrouwelijke informatie

Ons bedrijf is echt geen doelwit hoor!

Ik ben geen doelwit!

Wat moeten / kunnen ze hier nou stelen?

We hebben toch een goede firewall?

Onze organisatie is goed beveiligd want we hebben procedures

Wij hebben alle ICT ge-outsourced, dus “zij” regelen dat

Ze komen hier echt niet binnen! Wij hebben alles goed geregeld!

On average, every 1,000 lines of code has at least 5 to 15 defects (United States Department of Defense)

© 2012 Sebyde BV

Security in de praktijk

Omdat het moet

– Overheid

– Beursgenoteerd (NYSE)

– Wet- en regelgeving

Incidenten

– Reactief

Angst

– Paniek

Testen gebeurt op

– Functionaliteit

– Performance

Google : meer dan 2 miljoen zoekopdrachten per maand over “Hoe te hacken” en gerelateerde informatie.

© 2012 Sebyde BV

Dreigingen

Cybercrime wat is het?

Wie doet het?

Voorbeelden van cybercrime:

Digitale inbraak

Social Engineering

Malware; virusinfecties

Via mail: Spam, Phishing

Watering hole

Social media

© 2012 Sebyde BV

Digitale inbraak: Via websites!

Van Infrastructuur

Naar Applicaties

© 2012 Sebyde BV

Social Engineering Tactieken

Van persoon tot persoon

Wil aardig gevonden worden

Voor wat hoort wat

Netwerkborrel

Bellen namens support afdeling

Proberen angst aan te jagen

Eens een vriend altijd een vriend

Wil onderdeel worden van sociaal netwerk

Refereren naar een belangrijk persoon

© 2012 Sebyde BV

Social Engineering: Phishing

© 2012 Sebyde BV

… “koeriersdienst”

© 2012 Sebyde BV

… Kamer van Koophandel

© 2012 Sebyde BV

Domein naam registratie …

© 2012 Sebyde BV

Persoonlijk gericht …

© 2012 Sebyde BV

© 2012 Sebyde BV

Malware, virusinfecties

Basis van DDOS aanvallen

© 2012 Sebyde BV

© 2012 Sebyde BV

© 2012 Sebyde BV

Watering hole

© 2012 Sebyde BV

Gedrag van de mens: Gebruik van Passwords

© 2012 Sebyde BV

Password feiten (Mark Burnett)

4.7% of users have the password password;

8.5% have the passwords password or 123456;

9.8% have the passwords password, 123456 or 12345678;

14% have a password from the top 10 passwords

40% have a password from the top 100 passwords

79% have a password from the top 500 passwords

91% have a password from the top 1000 passwords

While many people have improved the security and strength of their passwords, there are still a huge number of people who pick from a very small list of common passwords. In fact, 91% of all user passwords sampled all appear on the list of just the top 1,000 passwords.

source: http://xato.net/passwords/more-top-worst-passwords/

© 2012 Sebyde BV

Ook op mobiele telefoons:

204.000 passcodes Top 10 = 29.530 (14,4%)

© 2012 Sebyde BV

© 2012 Sebyde BV

“Internet Password Minder”

http://www.youtube.com/watch?v=_u8Rss3W4Wg

Ellen Degeneres show

© 2012 Sebyde BV

De realiteit …

Cybercrime geen tijdelijk fenomeen

Twee “Leagues”: Junior en Major

If you think safety is expensive … try an incident

Criminelen kijken anders tegen de waarde van bezittingen aan

Effectieve beveiliging vraagt om korte- én lange termijn visie

100% beveiliging is een illusie … voorkomen is dus key !

De “Tone at the top” is belangrijk

Bron : Samenvatting van KPMG Advisory NV rapport “Een genuanceerde visie op cybercrime. Nieuwe perspectieven vragen om actie”

© 2012 Sebyde BV

Nog meer realiteit …

60-80% van de Web applicaties / Websites hebben minimaal één zwak security punt (kwetsbaarheid, vulnerability).

75% van alle hacks gebeuren op Web applicaties / Websites

IDC Research: 25% van alle bedrijven worden “exploited” via een zwakke plek in de Web Application security.

Onwetende gebruikers worden besmet door websites waarop “Malware” staat.

Google : >2 Miljoen zoekopdrachten per maand over “Hoe te hacken”, “Download hacking tools” en gerelateerde informatie.

© 2012 Sebyde BV

Hoeveel kwetsbaarheden in een applicatie?

Gemiddelde aantal kwetsbaarheden per industriesector

Whitehat security statistics report june 2012

© 2012 Sebyde BV

Maar toch …

Network Server Infrastructuur

Web Applicaties

% aanvallen % van Budget

75%

10%

25%

90%

Security Uitgaven

75%

10%

© 2012 Sebyde BV

Schade

Reputatie

– Vandalisme

– Kosten: ????

– Indirect (ISP)

Aansprakelijkheid claims

Informatie verminking

Diefstal

– Informatie

– Privacy gevoelige info

– Identiteit

Systeemuitval

– Applicatie niet beschikbaar

81% van de Web applicaties voldoen niet aan de PCI DSS regulering (Payment Card Industry Digital Security Standard).

© 2012 Sebyde BV

TNO: Schade Cybercrime: jaarlijks € 10 miljard

© 2012 Sebyde BV

Resultaat van alle voorgaande informatie:

Kranten staan vol

Informatie komt op straat terecht

Reputaties worden geschaad

Privacy wordt geschonden

Verlies aan klantvertrouwen

Informatiebeveiliging staat hoog op de agenda in de bestuurkamers

© 2012 Sebyde BV

Wat kunnen we doen ?

© 2012 Sebyde BV

Het begint bij Awareness (bewustwording)

Voorkomen is beter dan genezen

Informatie heeft (hoge) waarde

Mensen zijn vaak “onbewust onveilig”

© 2012 Sebyde BV

OK ... Laten we alles goed beveiligen

© 2012 Sebyde BV

Security is meer dan alleen maar sloten, kettingen en muren ...

Mensen

Technologie Organisatie/

Processen

Security Awareness

Software, Systemen & Netwerken

Beleid & Management

© 2012 Sebyde BV

Security Awareness (Mensen)

Niet de juiste handelingen doen maar de handelingen juist doen

Houding

Gedrag

Onbewust Onveilig

Bewust Onveilig

Bewust Veilig

Onbewust Veilig

Training

Educatie

Instructie

Herhaling

Management

Medewerkers

Ontwikkelaars

© 2012 Sebyde BV

Bewust veilig gedrag?

Kjeragbolten boven de Lysefjord, Noorwegen

© 2012 Sebyde BV

Of onbewust onveilig? …

© 2012 Sebyde BV

© 2012 Sebyde BV

Veilig gedrag? Niet overdrijven …

© 2012 Sebyde BV

Beleid & Management (Organisatie / Processen)

Wet- & Regel-geving

– Privacy

Beleid, Standaarden & Richtlijnen

Risk management

Kwetsbaarheid analyse

Hiring & Firing

Incident management

Change management

Ontwikkelprocessen

© 2012 Sebyde BV

Wet- en regelgeving … ?

© 2012 Sebyde BV

Kwetsbaarheid analyse … ?

© 2012 Sebyde BV

Software, systemen & netwerken (Technologie)

Desktop

Netwerken

Systemen

BYOD

Applicaties

© 2012 Sebyde BV

Technologie … Doordenkertje …

© 2012 Sebyde BV

Security en Privacy komen samen …

© 2012 Sebyde BV

© 2012 Sebyde BV

© 2012 Sebyde BV

Privacy: Ziggo (Oktober 2013)

© 2012 Sebyde BV

Nieuwe Ontwikkeling: EPV (Europese Privacy Verordening)

Zware aanscherping van huidige privacy wetgeving (WBP)

– Algemene documentatieverplichting over verwerkingen (art. 28)

– Informatieplicht (Art. 14)

– Rechten van betrokkenen

• Toegang, rectificatie, wissen, overdraagbaarheid, bezwaar

• Het recht om vergeten te worden

– Profilering

• Ras, etnische afkomst, politieke opvatting, religie, gezondheid, seksueel gedrag

– Meldplicht datalekken (aan CBP én alle betrokkenen)

– Dedicated FG aanstellen

– “Privacy by Design” en “Privacy by Default”

© 2012 Sebyde BV

EU Privacy verordening; de Consequenties

Privacy beleid opstellen en jaarlijks laten controleren

PIA (Privacy Impact Assessment) afgetekend door RE-Auditor

Het al of niet naleven van de privacy-verordening is bepalend voor het vaststellen van “goed bestuur”.

Hoge sancties: 5% van wereldwijde jaaromzet, tot 100.000.000 Euro!

Het CBP krijgt een tool in handen

© 2012 Sebyde BV

Wat kan je doen?

Beleid

Risico analyse

– Maak de balans op

– Assessment / nulmeting

Security awareness

– Management

– Training

– Werkoverleg

Techniek testen

– Applicaties

– Systemen

– Netwerken

© 2012 Sebyde BV

Praktische handvatten / punten van aandacht

1. Waar staat uw digitale informatie?

2. Welke waarde heeft de digitale informatie binnen uw bedrijf?

3. Welke dreigingen zijn er?

4. Wie heeft toegang tot de informatie?

5. Welke schade kan uw bedrijf oplopen door misbruik?

6. Hoe wilt u die schade voorkomen?

7. Heeft u securitybeleid?

8. Hoe bewust zijn U en uw medewerkers van ICT beveiliging?

9. Controleer uw ICT provider

10.Onderhoud uw applicaties, systemen en netwerk

© 2012 Sebyde BV

Overzicht Sebyde diensten

Mensen

•Awareness

•Algemeen

•Developers

Processen

•Security assessment

•Secure Development

Sebyde

Secure by Design

Techniek

•Scan Cycle

•Software services

© 2012 Sebyde BV

Tips ter afsluiting

Zet beveiliging op de agenda

– Krijg endorsement vanaf C-level en communiceer door gehele organisatie

– Maak een Security Awareness plan (A3)

Maak mensen bewust van Security aspecten

– Security Awareness training; wijs mensen op onveilig gedrag

– Registratie van incidenten

– Duidelijke communicatie

over incident management

Test applicaties op security

– Regelmatig

– Geautomatiseerd

Software ontwikkelen? Test vroeg in de SDLC

– Niet alleen op functionaliteit en performance testen!

© 2012 Sebyde BV

Tips ter afsluiting (2)

Installeer zo weinig mogelijk applicaties

– (met andere woorden: de-installeer niet gebruikte applicaties!)

© 2012 Sebyde BV

Contact us

E-mail info@sebyde.nl

Web www.sebyde.nl

Twitter http://www.twitter.com/SebydeBV

LinkedIn http://www.linkedin.com/company/sebyde-bv

Facebook http://facebook.com/SebydeBV

Prezi http://t.co/eKr7VzE8

© 2012 Sebyde BV

Rob Koch (rob.koch@sebyde.nl) Derk Yntema (derk.yntema@sebyde.nl)

Hartelijk dank