© 2013 Sebyde BV

Bij ons valt niets te halen

Dan komen ze wel wat brengen

Cyber Crime

Beveiliging valt niet onder mijn verantwoordelijkheid - Beveiliging? ICT beheer regelt dat - Ik werk niet met computers, dus loop ik geen gevaar - Ik werk niet met vertrouwelijke informatie - Mijn bedrijf is geen doelwit - Ik ben geen doelwit - De risico’s zijn verwaarloosbaar klein - We hebben een pasjessysteem - Wij hebben goede veiligheidsprocedures ingesteld - Onze organisatie is goed beveiligd want we hebben een firewall - Onze organisatie is goed beveiligd want we zijn op cursus geweest - Wij hebben ICT ge-out-sourced

© 2013 Sebyde BV

© 2013 Sebyde BV

Welkom

© 2013 Sebyde BV

Agenda

Wat heb je te beschermen?

Dreigingen

Risico’s

Informatiebeveiliging

Maatregelen

© 2013 Sebyde BV

Wat heb je te beschermen?

Klantgegevens

Beursgevoelige jaarcijfers, de winstprognose

(Re)organisatieplannen

Personeelsbestand

Offertes en contracten

Reputatie!

Boekhouding

Telefoon- / e-mailadres lijsten

Smoelenboek

Adding security during coding costs 6.5 times more than architecting it during software design process.

© 2013 Sebyde BV

Dreigingen

Cybercrime wat is het?

Wie doet het?

Voorbeelden van cybercrime:

Digitale inbraak

Social Engineering

Malware; virusinfecties

Via mail: Spam, Phishing

Watering hole

Social media

© 2013 Sebyde BV

Digitale inbraak

© 2013 Sebyde BV

Focus shift

VanInfrastructuur

NaarApplicaties

© 2013 Sebyde BV

Hoeveel kwetsbaarheden in een applicatie?

Gemiddelde aantal kwetsbaarheden per industriesector

Whitehat security statistics report june 2012

© 2013 Sebyde BV

Social engineering Tactieken

Van persoon tot persoon

Wil aardig gevonden worden

Voor wat hoort wat

Netwerkborrel

Bellen namens support afdeling

Proberen angst aan te jagen

Eens een vriend altijd een vriend

Wil onderdeel worden van sociaal netwerk

Refereren naar een belangrijk persoon

© 2013 Sebyde BV

Social Engineering: Phishing

© 2013 Sebyde BV

Malware, virusinfecties

Basis van DDOS aanvallen

© 2013 Sebyde BV

Watering hole

© 2013 Sebyde BV

Watering hole

© 2013 Sebyde BV

Mens: Gebruik van Passwords

© 2013 Sebyde BV

Password feiten (Mark Burnett)

4.7% of users have the password password;

8.5% have the passwords password or 123456;

9.8% have the passwords password, 123456 or 12345678;

14% have a password from the top 10 passwords

40% have a password from the top 100 passwords

79% have a password from the top 500 passwords

91% have a password from the top 1000 passwords

While many people have improved the security and strength of their passwords, there are still a huge number of people who pick from a very small list of common passwords. In fact, 91% of all user passwords sampled all appear on the list of just the top 1,000 passwords.

source: http://xato.net/passwords/more-top-worst-passwords/

© 2013 Sebyde BV

Ook op mobiele telefoons:

204.000 passcodesTop 10 = 29.530 (14,4%)

© 2013 Sebyde BV

Social Media

Facebook

LinkedIn

Twitter

Hyves

Skype

Blogger

… ?????

© 2013 Sebyde BV

Social Media

© 2013 Sebyde BV

© 2013 Sebyde BV

Social Media

© 2013 Sebyde BV

Video

Febelfin Waarzegger: http://www.youtube.com/watch?v=F7pYHN9iC9I

© 2013 Sebyde BV

Schade

Diefstal

I.P.

Systeemuitval

Herstelkosten

REPUTATIE

Boetes

© 2013 Sebyde BV

Schade Cybercrime: jaarlijks 10 miljard euro

© 2013 Sebyde BV

© 2013 Sebyde BV

Wie zijn het Doelwit

Financiële instellingen– Internet bankieren

– Financiële transacties

Productie industrie– Procesbeheersing netwerken

Ondernemingen– Intellectueel eigendom

– Fusies en overnames

Overheden– Staatsgeheimen

– Identiteitsfraude

Hosting providers

– Reputatie

– Systeemuitval

Applicatie bouwers– Aansprakelijkheid

– Hoge ontwikkelkosten

Gezondheidszorg– Privacy (WBP)

Wij allemaal

IBM’s X-Force Report 2013: 41% van alle security incidenten worden veroorzaakt door Web applicaties.

© 2013 Sebyde BV

Resultaat van voorgaande informatie:

Kranten staan vol

Informatie komt op straat terecht

Reputaties worden geschaad

Privacy wordt geschonden

Verlies aan klantvertrouwen

Informatiebeveiliging staat hoog op de agenda in de bestuurkamers

© 2013 Sebyde BV

Wat is informatiebeveiliging?

Vertrouwe-lijkheid

Integriteit

Security

Beschik-baarheid

CorrectiefRepressiefDetectiefPreventief

Continuiteit waarborgen

Schade beperken

© 2013 Sebyde BV

Informatie beveiliging

“Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.”

Bron: http://nl.wikipedia.org/wiki/Informatiebeveiliging

© 2013 Sebyde BV

OK ... Laten we alles goed beveiligen

© 2013 Sebyde BV

Security is meer dan alleen maar sloten, kettingen en muren ...

Mensen

TechnologieOrganisatie/Processen

Security Awareness

Software,Systemen &Netwerken

Beleid &Management

© 2013 Sebyde BV

Security Awareness

Niet de juiste handelingen doen maar de handelingen juist doen

Houding

Gedrag

Onbewust Onveilig

Bewust Onveilig

Bewust Veilig

Onbewust Veilig

Training

Educatie

Instructie

Herhaling

Management

Medewerkers

Ontwikkelaars

© 2013 Sebyde BV

Organisatie / Processen

Wet- & Regel-geving– Privacy

Beleid, Standaarden & Richtlijnen

Risk management

Kwetsbaarheid analyse

Hiring & Firing

Incident management

Change management

Ontwikkelprocessen

© 2013 Sebyde BV

Technologie

Desktop

Netwerken

Systemen

BYOD

Applicaties

© 2013 Sebyde BV

Nieuwe Ontwikkeling: EU Privacy verordening

Zware aanscherping van huidige privacy wetgeving (WBP)– Algemene documentatieverplichting over verwerkingen

(art. 28)

– Informatieplicht (Art. 14)

– Rechten van betrokkenen • Toegang, rectificatie, wissen, overdraagbaarheid, bezwaar• Het recht om vergeten te worden

– Profilering• Ras, etnische afkomst, politieke opvatting, religie, gezondheid,

seksueel gedrag

– Meldplicht datalekken (aan CBP én alle betrokkenen)

– >250 werknemers: Dedicated FG aanstellen

– “Privacy by Design” en “Privacy by Default”

© 2013 Sebyde BV

EU Privacy verordening; de Consequenties

Hoge sancties: 2% van wereldwijde jaaromzet, tot 1.000.000 Euro!

Privacy beleid opstellen en jaarlijks laten controleren

PIA (Privacy Impact Assessment) afgetekend door RE-Auditor

Het al of niet naleven van de privacy-verordening is bepalend voor het vaststellen van “goed bestuur”.

Het CBP krijgt een tool in handen

© 2013 Sebyde BV

Wat kan je doen

Beleid

Risico analyse– Maak de balans op

– Assessment / nulmeting

Security awareness– Management

– Training

– Werkoverleg

Techniek testen– Applicaties

– Systemen

– Netwerken

© 2013 Sebyde BV

Praktische handvatten

1. Waar staat uw digitale informatie?

2. Welke waarde heeft de digitale informatie binnen uw bedrijf?

3. Welke dreigingen zijn er?

4. Wie heeft toegang tot de informatie?

5. Welke schade kan uw bedrijf oplopen door misbruik?

6. Hoe wilt u die schade voorkomen?

7. Heeft u securitybeleid?

8. Hoe bewust zijn U en uw medewerkers van ICT beveiliging?

9. Controleer uw ICT provider

10.Onderhoud uw applicaties, systemen en netwerk

© 2013 Sebyde BV

Overzicht Sebyde diensten

Mensen•Awareness•Algemeen•Developers

Processen•Security assessment

•Secure Development

SebydeSecure by

Design

Techniek•Scan Cycle•Software services

© 2013 Sebyde BV

Febelfin Malware: http://www.youtube.com/watch?v=QR5lsjjBDbA

Consumentenbond Malware: http://www.youtube.com/watch?v=zdJ4qNFrhRs

© 2013 Sebyde BV

Rob Koch (rob.koch@sebyde.nl)Derk Yntema (derk.yntema@sebyde.nl)

Hartelijk dank

www.sebyde.nl/ZON