Grab ‘n Go: Session 13 Fagre nye IT-verden: Risikoappetit, cyber risks og cyber resilience 29. september 2016 #deloittegng Jesper Helbrandt Partner, Deloitte jhelbrandt@deloitte.dk 29. september 2016 #deloittegng Fagre nye IT-verden: Risikoappetit, cyber risks og cyber resilience © Deloitte 2016 3 Ny teknologi, nye trusler Den digitale revolution fremdriver forretningsmæssig innovation og vækst – men eksponerer os samtidig for nye trusler. • Den eksisterende teknologiske innovation medfører enestående muligheder: • Reducerer omkostninger • Øger integration • Højner effektivitet • Opbygger nye omsætningsmuligheder • Overvinder geografiske begrænsninger • Men muligheder medfører risici: • Det er i dag normalen altid at være koblet på. Et så højt niveau af forbundethed giver virksomhederne en unik mulighed, men det eksponerer dem samtidig også for betydelige risici. • Varierende risikoprofil: • Når vi tager det naturlige link mellem business performance, innovation og cyberrisici i betragtning, burde enhver organisation realistisk set vurdere sin varierende risikoprofil og klarlægge det rette risikoniveau samt de acceptable risici. © Deloitte 2016 4 Cyber Risk is a Business Issue, NOT an IT Issue - det handler kun i mindre grad teknik, men i væsentlig grad om mennesker, adfærd og ansvarlighed © Deloitte 2016 5 © Deloitte 2016 6 The attack surface is larger and easier (look in your pocket) Attacks are exponential in frequency, complexity and outcome DoS DDoS HW and SW vulnerabiliti es Hacking Device loss/theft Informati on disclosure Informati on theft Platform-based attacks (web, app, mobile) Sensitive information leakage Social Fraud network abuse Supply chain or credit card fraud Third-party or employee VoIP/ fraud Videoconferenc e © Deloitte 2016 Credential theft Malware Attacks on clients (out of perimeter) Attacks on intangible assets Phishing Executives ’ reputation Brand’s reputation Attacks on physical assets or critical infrastructures Video surveillance system Branch store / ATM Employee / manager 7 Computers everywhere! A modern car involves typical 50 computers © Deloitte 2016 8 © Deloitte 2016 9 …and more to follow 25 Billions 20 15 10 5 0 2013 Køretøjer © Deloitte 2016 Forbruger 2014 Generiske produkter 2015 Vertikale produkter 2020 Samlet Expected # of ”Internet of Things” units [Gartner Nov 2014] 10 Today we produce more data every two days than all humans did up until year 2000.. ..But more data and information is needed! (2012 FBI) There are two types of companies: those that have been hacked, and those that will be. (2014 FBI) There are two kinds of companies: those that know they've been hacked, and those that have been hacked and don't yet know it. Politiets Efterretningstjeneste (PET) vurderer i dag at cyber kriminalitet til at udgøre en større trussel end terror © Deloitte 2016 14 War stories © Deloitte 2016 15 © 2015 Deloitte 5 Minutters Goog’ling © Deloitte 2016 16 Welcome to the Dark side… Which currency should we use? Service Price (USD) DDos Service 10 (hours) or 1200 (months) e-mail Spamming 10 - 150 (1,000,000 mails) SMS Spamming 50-200 (100,000 sms’) Call flooding 3 (hours) or 100 (week) Botnet (full control) 200 (2000 bots/day - 40% online) Fake website + deployment 5 - 20 © Deloitte 2016 Traffic redirection 10(US) - 60(EU) (50,000 user/day) Dedicated Server 1 (basic) - 2000 (bulletproof 1Gbps) Ransomware (winlocker) 10 (executable) - 100 (source code) Trojan (Banking) 1,000 (executable) – 10,000 (source code) Pay-per-Install 100(RU) - 250(UK) (1000 infected) 18 RISK © Deloitte 2016 19 Informationssikkerhed Konsekvens ? Risikoprofil Sandsynlighed Hvor stor er din risikoappetit © Deloitte 2016 20 378 MILLION VICTIMS PER YEAR MORE THAN THE POPULATION OF THE US & UK COMBINED 1 MILLION+ VICTIMS PER DAY 12 VICTIMS PER SECOND AND ACCELERATING © Deloitte 2016 21 Can you resist these clicks? © Deloitte 2016 22 Facebook information you give away.. © Deloitte 2016 public_profile user_friends email user_about_me user_actions.books user_actions.fitness user_actions.music user_actions.news user_actions.video user_birthday user_education_history user_events user_games_activity user_hometown user_likes user_likes user_location user_managed_groups user_photos user_posts user_relationships user_relationship_details user_religion_politics user_tagged_places user_videos user_website user_work_history ads_read pages_messaging pages_messaging_phone_number 23 Datalæk intet nyt – bare større end før… Woops Open Source Intelligence (OSINT) Jeres virksomheders passwords ligger også på nettet. Eksempler: © Deloitte 2016 28 Deloitte har absolut INTET med lækagen af data fra LinkedIn at gøre! Deloitte benytter udelukkende åbne og frit tilgængelige kilder, til at opnå disse informationer! Deloitte opsamler, gemmer og/eller behandler ikke disse data efter denne præsentation. Alt bliver slettet for forsvarlig vis, og arbejdsmateriale er ikke gemt på disk. Hvad går man ellers efter? Penge, Kreditkort Intellectual property Personlige oplysninger Afpresning Revenge (DDoS osv) Creepware… © Deloitte 2016 31 © Deloitte 2016 32 Hvad kan det bruges til? ”Send flere penge, Tak! /Direktøren” Jesper Helbrandt, 2016-08-14 Direktør-svindel. Ret let… Selvforsvar, CEO fraud • Awareness • Awareness • Awareness • Politikker og procedurer. • Signerede emails (Digital signatur) Målrettede angreb forbløffende let © Deloitte 2016 37 Online angreb • • • • • © Deloitte 2016 Phishing / Spoofing Web-server hacking Netværk hacking Falske telefonopkald Brug af fundne passwords 38 38 Deloitte Phishing test Alt kan hackes og det bliver det! © Deloitte 2016 40 © Deloitte 2016 41 Virksomhedernes svære valg © Deloitte 2016 42 Modenhedskurve Forretningsorienteret Risikobaseret sikkerhed Compliance og sikkerhed i dybden Trusselsforsvar Sikkerhed opfattes som ”Guards, Guns and Gates” En omkostning Et nødvendigt onde Manglende koordinering og prioritering Reaktiv og taktisk sikkerhed © Deloitte 2016 Tjekliste-tilgang Compliance vigtigste drivere: Lovgivning, forsikring og ansvar Sikkerhed i dybden Sikkerhed som resultat af en strategi Mere proaktivt Formaliserede processer Forretningsmæssig tilgang – hindring af tab Sikkerhed indgår strategisk Risk Management som ledelses værktøj Forebyggelse – proaktiv frem for reaktiv Formaliseret incident respons plan 43 Cyber trusler kræver en transformation - evner er ikke tilstrækkelig nce ns fo rm Tr a Proactive Threat Management at io n xcelle Retail Banks & Energy nal EMilitary & Defence peratio O Providers Situational Awareness of Investment Banks Cyber Threats & Telecom Consumer Business & Basic Online Online Brand & Life Sciences Brand Monitoring Social Media Policing Media & SMEs Ad-hoc Threat Intelligence Sharing with Peers Commercial Source Større& Open forståelse Threat Intelligence Feeds Acceptable GrundlæggendeUsage Policy ce oran informationsl Ign u f s s Bli sikkerhedsarbejdeIT BC & DR Exercises og som regel, begrænsede Ad Hoc Infrastructure & Basic Network Protection Application Protection budgetter og bevidsthed. Lav IT Service Desk Security Log Collection forståelse for& Ad Hoc Reporting & Whistleblowing vigtigheden af Traditional Signature-Based sikkerhed Periodic IT Asset Security Controls Ad Hoc System / Malware Forensics Vulnerability Assessments Brand Monitoring Absolut forståelse Automated Malware Automated Electronic Forensics & Manual for betydningen, Discovery & Forensics Electronic Discovery E-Discovery & Forensics Cross-Sector Threat Government / Sector Threat megetGlobal moden Intelligence Sharing Intelligence Collaboration Intelligence Collaboration men har allerede informationssikkerh ed modenhed. Baiting &Leder Counter-Threat Criminal / Hacker Intelligence Surveillance efter førende, for vigtigheden af innovative tilgange. cyber, Real-time Business Risk Network & System Centric Workforce / Customer verden" & Decision Support Activity Profiling Behaviour Profiling"Lille Analytics tilsyneladende i større Business Partner Cyber General Information Security Targeted Intelligence-Based sikkerhedstransfor Security Awareness Training & Awareness Cyber Security Awareness mationsprojekter, IT Cyber Attack på Business-Wide Sector-Wide & Supply Chain der bygger Simulations Cyber Attack Exercises Cyber Attack Exercises eksisterende kapaciteter. Enterprise-Wide Infrastructure Identity-Aware Adaptive & Automated External Threat Intelligence Behavioural Analytics Training & Awareness Cyber Attack Preparation & Application Protection Information Protection Security Control Updates Asset Protection 24x7 Technology Centric Security Event Reporting External & Internal Threat Intelligence Correlation Cross-Channel Malicious Activity Detection Security Event Monitoring Automated IT Asset Vulnerability Monitoring Targeted Cross-Platform User Activity Monitoring Tailored & Integrated Business Process Monitoring Internal Threat Intelligence Cyber Security Maturity Levels Level 1 © Deloitte 2016 Level 2 Level 3 Level 4 Level 5 44 Understand the business, know your business risk – and risk appetite © Deloitte 2016 45 … against various cyber threats …. Not all cyber threats are equally threatening your business Threat Actors Motives Targeted Assets Possible Impacts Competition Criminals Customers Hackers Insiders Organized Crime Press Protest Groups Making a statement • Financial Data • Financial loss Gain competitive advantage • Intellectual Property • Reputation harm Espionage • Sensitive Operational Information Disruption • Services Financial Gain • Brand image • Lawsuit • Regulatory sanctions • Loss of trust • Continuity of service State Agencies Terrorists © Deloitte 2016 46 Time is critical – resilience is key The difference is being able to react in minutes - not in hours and days Sensitive information continues to be broadcast over several days PR can neither deny or confirm the extent of a security breach when the media sees the story CEO informed that sensitive information is being leaked to unknown recipients and that this information cannot be replaced The rumor spread through social media about a major security breach. The security team will be notified and are investigating the matter © Deloitte 2016 Day 0 Customized malware overlook your company's anti-virus solution Day 1 Malware starts to send sensitive documents over the Internet +10min Day 7 Security monitoring report on abnormal patterns +2 hours Day 8 Affected machines isolated and replaced, and data breach are limited +6 hours Day 9 Day 2 Day 10 Reputation is damaged, and heads roll Attack method is identified, the evidence collected and handed to the police for pursuing the hackers PR is familiar with instances of media coverage and intelligence shared with peers Normal operation continues 47 Markedstrends inden for cybersikkerhed Stigning i antallet af angreb: Vi har siden Mere avancerede angreb: Angrebene er i dag langt mere avancerede end blot den lette løsning, hvor kreditkort bliver stjålet. Angrebene forekommer aoftere og udføres på mere avancerede måder i form af uetisk aktiehandel (trade front running) samt tyveri af immaterielle rettigheder, M&A og andre data. 2010 set en stigning i cyberangreb på verdensplan. På trods af virksomhedernes indsats fortsætter disse angreb. Kunderne er enige i, at de er nødt til at ændre taktik i forhold til den måde, de forsvarer sig på mod angrebene og i forhold til den måde, de genopbygger efter et cyberangreb. Stigende omkostninger: Tidligere var det sådan, at et brud på cybersikkerheden kun havde omkostninger for virksomheden i form af omkostninger til udbedring og afhjælpning af angrebene. Nu er omkostningerne stigende og beløber sig i gennemsnit til 6,75 mio.USD. Bedre forbindelse mellem system og enhed: Virksomhedernes it- infrastruktur strækker sig fortsat længere end datacentrets fire vægge. Data eksponeres i højere grad for større risici i kraft af ”Bring Your Own Device”, tværgående forretningssamarbejder og en bredere mobil- og skybaseret anvendelse. De cyberkriminelle forandrer sig: De kriminelle udnytter udskiftningen i medarbejderstab og forretningsledere og er meget kreative i måden, de angriber virksomhederne på. Derudover går disse kriminelle ikke længere udelukkende efter kreditkort-oplysninger. Måden, de stjæler information vedr. immaterielle rettigheder og M&Adata på, er blevet mere sofistikeret, og det kan betale sig. Utilstrækkelig sikkerhedsstab: Grundet de mere avancerede angreb og den større forbindelse mellem enhederne bliver det sværere at finde og fastholde de kompetente medarbejdere inden for cybersikkerhed, og derved skabes der løninflation. For mange virksomheder er det mere hensigtsmæssigt at outsource cyberydelser til firmaer, som kan anvende deres medarbejderressourcer hos mange forskellige kunder. På denne måde mindskes omkostningerne, samtidig med at cyberområdet og kvaliteten bevares. Ændring i regulering og retningslinjer: Verdens regeringer er utilfredse med virksomhedernes manglende evne til at implementere kontroller. Derfor implementerer regeringerne nu strammere regulering. Investeringssamfundet har på samme måde presset på for at få mere gennemsigtighed fra virksomhederne i relation til kunder og investorer, når data går tabt. Holdningen er, at hvis et brud på sikkerheden forekommer hos en virksomhed, er kontrollerne nok ikke tilstrækkeligt effektive, hvilket resulterer i, at investeringen pålægges en risikoværdi. 29-09-2016 © Deloitte 2016 48 Six essential truths about Cyber Risk 1 2 No industry is immune Cyber damage is not only financial 3 Asymmetrical attacks 4 Traditional controls are necessary, but not sufficient 5 Authorities and governments are key stakeholders with ever-increasing focus 6 Everything cannot be protected equally Store konsekvenser Sikkerhedsbrud Nedetid / Operationel Stop Legal Bøder Manglende overholdelse af compliance krav Finansielle tab Tab of IP Nedsat / tabte salg Tabt tillid Omdømmeskade Going concern – kan virksomheden fortsætte driften? © Deloitte 2016 50 Cybersecurity is a ‘board-level’ issue © Deloitte 2016 51 Corporate security and cybersecurity are no longer an IT problem. A recent Gartner survey of nearly 1,000 people found that cybersecurity have been elevated and now typically are governed by the Board of Directors. In fact, Gartner’s results showed 71 percent of respondents saying IT risk management data influences decisions at the board level and reflects an increasing need to deal with IT as part of corporate governance © Deloitte 2016 52 Corporate security and cybersecurity are no longer an IT problem. So how do board members educate themselves on the key points of securing a company’s corporate assets? They must understand security drivers and risks. They must develop principals to oversee cybersecurity. They must assess the risks for ensuring the organization’s safety. © Deloitte 2016 53 Five principles all boards should consider to enhance their oversight of cybersecurity 1. Directors need to understand and approach cybersecurity as an enterprise-wide risk management issue, not just an IT issue. 2. Directors should understand the legal implications of cyber risks as they relate to their company’s specific circumstances. 3. Boards should have adequate access to cybersecurity expertise, and discussions about cyber-risk management should be given regular and adequate time on the board meeting agenda. 4. Directors should set the expectation that management will establish an enterprise-wide risk management framework with adequate staffing and budget. 5. Board-management discussion of cyber risk should include identification of which risks to avoid, accept, mitigate, or transfer through insurance, as well as specific plans associated with each approach. © Deloitte 2016 54 Deloitte har Danmarks største cyber team og er globalt førende inden for IT Risk Consulting. Vi er den højst rangerede rådgivningsvirksomhed inden for informationssikkerheds og it-risikostyring, og vi er førende inden for Risk Management Consulting (jf Gartner, Forrester og Kennedy Information). © Deloitte 2016 55 Deloitte Cyber Risk Services has an enormous global network of Security & Privacy Professionals The Nordic practice already consists of more than 100 dedicated professionals. Deloitte has approximately 10,000 cyber security, IT risk management, and privacy professionals globally. Many of them are certified ISO, CISA, CISSP, CISM, CEH or by SAP or Oracle. Region Cyber security professionals “Deloitte continually develops, tests, and launches methodologies that reflect a deep understanding of clients’ cyber security and help the firm stay ahead of the curve and set the bar in terms of addressing cyber security consulting needs.”* In order to stay ahead of the game, the practice puts greats emphasis on developing talent and certifying its professionals. Accreditation Nordic cyber security practice North America > 4,500 ISC2 Over 85 CISSP’s EMEA > 1,600 EC-Council Over 50 CEH’s Asia Pacific > 2,500 ISACA Over 80 CISA’s, over 70 CISM’s Rest of the World > 1,300 NOREA Over 15 Registered IT Auditors IAPP 10 CIPP’s ISO 20 ISO-27001 Lead Auditors The Nordics > 100 United Kingdom > 225 * Source: Kennedy Consulting Research & Advisory; Cyber Security Consulting; Kennedy Consulting Research & Advisory estimates © 2013 Kennedy Information, LLC. Reproduced under license. © Deloitte 2016 56 Overblik over Deloittes Cyber Risk Services Vi guider og supporterer vores kunders transformation inden for it sikkerhedsområder mod en mere robust og proaktiv håndtering med højere visibilitet via styrkelse af virksomhedens it sikkerhedsledelse, modeller, processer og initiativer. Ydelserne kan leveres som midlertidige projekter eller som CISOaaS eller DPOaaS Cybertests scanner alle aktiver i kundens organisation og tilbagerapporterer på kritiske sårbarheder inden for kundens specifikke område. Ved brug af simuleringer og hackertests viser Cyber check-løsningen regelmæssigt graden af systemets tilstrækkelighed. Ved brug af avancerede trusselovervågnings-systemer, information og teknologi overvåger Cyber Watch online-kanaler, herunder dark web, for at identificere aktive og voksende trusler mod kundens organisation. Trusler, som kan føre til skade på virksomhedens omdømme, økonomiske tab eller tab af følsomme kunde-/forretningsoplysninger. En avanceret løsning inden for sikkerheds-oplysninger og event management (SIEM), som anvender tredjepartssoftware, der overvåges 24 i døgnet, 7 dage om ugen, 365 dage om året. Løsningen overvåger logs, potentielle trusler og forsøger at imødegå fortsat compliance med selskabets politikker og derved identificerer trusler mod cybersikkerhed. En forsvarsløsning, som forhindrer tab af data, og som overvåger følsomme oplysninger, der enten er i bero, i bevægelse eller i brug i hele netværket. Denne løsning genererer regelmæssige hændelsesrapporter på samt real timeovervågning af informations-flowet, som sikrer, at følsomme oplysninger ikke lækkes, hvilket er angivet i virksomhedens sikkerhedspolitikker. IAGaaS giver virksomheder muligheden for på en effektiv måde at leve op til og styre adgangskrav samt automatisere vitale identitetsbaserede kontroller. Cyber Risk Services Cyber Incident Response er en udrykningstjeneste, der er tilgængelig 24/7 til igangsætning af hensigtsmæssige handlinger i tilfælde af brud på sikkerheden eller andre sikkerhedshændelser. Denne udrykningstjeneste tilbyder sikkerhedstjek efter en hændelse, forensic undersøgelser samt en fremtidig beredskabsstrategi. De konkrete ydelser • • • • • • • • • • • Begrebsramme for en cyberstrategi Cybertrussel- og risikoplanlægning Forretningssammenhæng og beredskabsplan for datagendannelse Cyberuddannelsesforløb, awareness-kampagner og medarbejder-planlægning Privacy-rådgivning og -vurdering Hackertests Håndtering af sårbarhed Analyser af modstandsevne ved trussel Brugerbevidsthedsanalyse Red Team, cybersimulering og War Gaming Livscyklus for softwareudvikling • • • • • • • • • • • • • • • • • • © Deloitte 2016 Håndtering af logs og compliance Assistance vedr. Malware og overvågning af potentielle trusler Sammenhængende episoder og hændelsesmeddelelser Overvågning af episoder og analytics Trusselhåndtering • • • • • Brand-overvågning Overvågning af falske apps Sporing af fortrolige forretningsoplysninger uden for kontoret Afsløring af web-svindel Efterretningsarbejde ved cybertrusler Early warning ved cyberangreb Avanceret efterretningsarbejde ved trusler Analyser af sociale medier Netværkshåndtering / sporing og inddæmning af læk af e-maildata Endpoint Breachbeskyttelsesforanstaltninger Avanceret trusselhåndtering, Malware og Malcode trusselbegrænsning Information og modstandsevne ved trusler Rådgivning Sikkerhedstest af netværk og applikationer Uddannelse Support og beredskabsplan ved hændelser Hændelses- og krisehåndtering Forensics og avancerede trusselanalyser Udrykningsteam samt assistance til gendannelse Support ved sagsanlæg Udrykningsteam, assistance til eliminering, skærpelse og modstandsevne ved trusler 57 Innovations that drive growth also create potential cyber risk © Deloitte 2016 58 Afslutning Tak for i dag! © Deloitte 2016 59 Deloitte i Danmark Deloitte leverer ydelser inden for revision, consulting, financial advisory, risikostyring, skat og dertil knyttede ydelser til både offentlige og private kunder i en lang række brancher. Deloitte betjener fire ud af fem virksomheder på listen over verdens største selskaber, Fortune Global 500®, gennem et globalt forbundet netværk af medlemsfirmaer i over 150 lande, som leverer kompetencer og viden i verdensklasse samt service af høj kvalitet til at håndtere kundernes most komplekse forretningsmæssige udfordringer. Vil du vide mere om, hvordan Deloittes omkring 225.000 medarbejdere gør en forskel, der betyder noget, så besøg os på Facebook, LinkedIn eller Twitter. Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for en eller flere af Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar (”DTTL”), dets netværk af medlemsfirmaer og deres tilknyttede virksomheder. DTTL og alle dets medlemsfirmaer udgør separate og uafhængige juridiske enheder. DTTL (der også betegnes “Deloitte Global”) leverer ikke selv ydelser til kunderne. Vi henviser til www.deloitte.dk/OmDeloitte for en udførlig beskrivelse af DTTL og dets medlemsfirmaer. Denne meddelelse er udelukkende tiltænkt intern distribution og anvendelse blandt medarbejdere i Deloitte Touche Tohmatsu Limited, dettes medlemsfirmaer samt disses tilknyttede virksomheder (samlet benævnt Deloitte-netværket). Ingen i Deloitte-netværket skal holdes ansvarlig for nogen form for skader eller tab, som personer, der gør brug af denne meddelelse, måtte pådrage sig. © 2016 Deloitte Statsautoriseret Revisionspartnerselskab. Medlem af Deloitte Touche Tohmatsu Limited
© Copyright 2024