Grab ‘n Go: Session 13 Fagre nye IT-verden: Risikoappetit ......Tailored & Integrated Business P...

Grab ‘n Go: Session 13Fagre nye IT-verden: Risikoappetit, cyber risks og cyber resilience29. september 2016 #deloittegng

Jesper Helbrandt Partner, [email protected]. september 2016 #deloittegng

3© Deloitte 2016

Fagre nye IT-verden: Risikoappetit, cyber risks og cyber resilience

4© Deloitte 2016

Ny teknologi, nye trusler

Den digitale revolution fremdriver forretningsmæssig innovation og vækst – men eksponerer os samtidig for nye trusler.

• Den eksisterende teknologiske innovation medfører enestående muligheder:

• Reducerer omkostninger

• Øger integration

• Højner effektivitet

• Opbygger nye omsætningsmuligheder

• Overvinder geografiske begrænsninger

• Men muligheder medfører risici:

• Det er i dag normalen altid at være koblet på. Et så højt niveau af forbundethed giver virksomhederne en unik mulighed, men det eksponerer dem samtidig også for betydelige risici.

• Varierende risikoprofil:

• Når vi tager det naturlige link mellem business performance, innovation og cyberrisici i betragtning, burde enhver organisation realistisk set vurdere sin varierende risikoprofil og klarlægge det rette risikoniveau samt de acceptable risici.

5© Deloitte 2016

Cyber Risk is a Business Issue, NOT an IT Issue

- det handler kun i mindre grad teknik, men i væsentlig grad om mennesker, adfærd og ansvarlighed

6© Deloitte 2016

7© Deloitte 2016

The attack surface is larger and easier (look in your pocket)

Attacks are exponential in frequency, complexity and outcome

Platform-based attacks (web, app,

mobile)Attacks on clients (out of perimeter)

Sensitive information leakage

Attacks on intangible assets

FraudAttacks on physical

assets or critical infrastructures

Credential theft

Malware

Phishing

Executives’

reputation

Brand’s reputation

Employee / manager

Branch store /

ATM

Video surveillance

system

VoIP/ Videoconferenc

e

Third-party or employee

fraud

Supply chain or credit card

fraud

Social network abuse

Information theft

Information disclosure

Device loss/theft

Hacking

DoSDDoS HW and SW

vulnerabilities

8© Deloitte 2016

A modern car involves typical 50 computers

Computers everywhere!

9© Deloitte 2016

10© Deloitte 2016

0

5

10

15

20

25

2013 2014 2015 2020

Billions

Køretøjer Forbruger Generiske produkter Vertikale produkter Samlet

Expected # of ”Internet of Things” units[Gartner Nov 2014]

…and more to follow

Today we produce more data every two days than all humans did up until year 2000..

..But more data and information is needed!

(2012 FBI)There are two types of companies: those that have been hacked, and those that will be.

(2014 FBI)There are two kinds of companies: those that know they've been hacked, and those that have been hacked and don't yet know it.

Politiets Efterretningstjeneste (PET) vurderer i dag at cyber kriminalitet til at udgøre en større trussel end terror

14© Deloitte 2016

15© Deloitte 2016© 2015 Deloitte

War stories

16© Deloitte 2016

5 Minutters Goog’ling

Welcome to the Dark side…

18© Deloitte 2016

Service Price (USD)

DDos Service 10 (hours) or 1200 (months)

e-mail Spamming 10 - 150 (1,000,000 mails)

SMS Spamming 50-200 (100,000 sms’)

Call flooding 3 (hours) or 100 (week)

Botnet (full control) 200 (2000 bots/day - 40% online)

Fake website + deployment 5 - 20

Traffic redirection 10(US) - 60(EU) (50,000 user/day)

Dedicated Server 1 (basic) - 2000 (bulletproof 1Gbps)

Ransomware (winlocker) 10 (executable) - 100 (source code)

Trojan (Banking) 1,000 (executable) – 10,000 (sourcecode)

Pay-per-Install 100(RU) - 250(UK) (1000 infected)

Which currency should we use?

19© Deloitte 2016

RISK

20© Deloitte 2016

?

Risikoprofil

Konsekvens Sandsynlighed

Hvor stor er din risikoappetit

Informationssikkerhed

21© Deloitte 2016

378 MILLION VICTIMS PER YEAR

1 MILLION+ VICTIMS PER DAY

12 VICTIMS PER SECONDAND ACCELERATING

MORE THAN THE POPULATION OF THE US & UK COMBINED

22© Deloitte 2016

Can you resist these clicks?

23© Deloitte 2016

Facebook information you give away..

public_profile user_friends email user_about_me user_actions.books user_actions.fitness user_actions.music user_actions.news user_actions.video user_birthday user_education_history user_events user_games_activity user_hometown user_likes

user_likes user_location user_managed_groups user_photos user_posts user_relationships user_relationship_details user_religion_politics user_tagged_places user_videos user_website user_work_history ads_read pages_messaging pages_messaging_phone_number

Datalækintet nyt – bare større end før…

Open Source Intelligence (OSINT) Jeres virksomheders passwords ligger også på nettet.

Eksempler:

28© Deloitte 2016

Deloitte har absolut INTET med lækagen af data fra LinkedIn at gøre!Deloitte benytter udelukkende åbne og frit tilgængelige kilder, til at opnå disse informationer!

Deloitte opsamler, gemmer og/eller behandler ikke disse data efter denne præsentation.Alt bliver slettet for forsvarlig vis, og arbejdsmateriale er ikke gemt på disk.

Hvad går man ellers efter?

Penge, Kreditkort

Intellectual property

Personligeoplysninger

Afpresning

Revenge (DDoS osv)

Creepware…

31© Deloitte 2016

32© Deloitte 2016

Hvad kan det bruges til?

”Send flere penge, Tak!/Direktøren”

Jesper Helbrandt, 2016-08-14

Direktør-svindel.

Ret let…

Selvforsvar, CEO fraud

• Awareness

• Awareness

• Awareness

• Politikker og procedurer.

• Signerede emails (Digital signatur)

37© Deloitte 2016

Målrettede angreb

forbløffende let

38© Deloitte 2016

Online angreb

• Phishing / Spoofing

• Web-server hacking

• Netværk hacking

• Falske telefonopkald

• Brug af fundne passwords

38

Deloitte Phishing test

40© Deloitte 2016

Alt kan hackes og det bliver det!

41© Deloitte 2016

42© Deloitte 2016

Virksomhedernes svære valg

43© Deloitte 2016

Modenhedskurve

Trusselsforsvar

Sikkerhed opfattes som ”Guards, Guns and Gates” En omkostning Et nødvendigt onde Manglende koordinering og prioritering Reaktiv og taktisk sikkerhed

Compliance og sikkerhed i dybden

Tjekliste-tilgang Compliancevigtigste drivere: Lovgivning, forsikring og ansvar Sikkerhed i dybden

Risikobaseret sikkerhed

Sikkerhed som resultat af en strategi Mere proaktivtFormaliserede processerForretningsmæssig tilgang – hindring af tab

Forretningsorienteret

Sikkerhed indgår strategiskRisk Management som ledelses værktøjForebyggelse –proaktiv frem for reaktivFormaliseret incident respons plan

44© Deloitte 2016

IT Cyber Attack

Simulations

Business-Wide

Cyber Attack Exercises

Sector-Wide & Supply Chain

Cyber Attack Exercises

Enterprise-Wide Infrastructure

& Application Protection

Global Cross-Sector Threat

Intelligence Sharing

Identity-Aware

Information Protection

IT BC & DR

Exercises

Ad Hoc Infrastructure &

Application Protection

Adaptive & Automated

Security Control Updates

IT Service Desk

& Whistleblowing

Security Log Collection

& Ad Hoc Reporting

External & Internal Threat

Intelligence Correlation

Cross-Channel Malicious

Activity Detection

24x7 Technology Centric

Security Event Reporting

Automated IT Asset

Vulnerability Monitoring

Targeted Cross-Platform

User Activity Monitoring

Tailored & Integrated

Business Process Monitoring

Traditional Signature-Based

Security Controls

Periodic IT Asset

Vulnerability Assessments

Pro

ac

tiv

e T

hre

at

Ma

na

ge

me

nt

Level 1 Level 2 Level 3 Level 4 Level 5

Automated Electronic

Discovery & Forensics

Situational Awareness of

Cyber Threats

Basic Online

Brand Monitoring

Automated Malware

Forensics & Manual

Electronic Discovery

Government / Sector Threat

Intelligence Collaboration

Ad-hoc Threat

Intelligence Sharing

with Peers

Baiting & Counter-Threat

Intelligence

Criminal / Hacker

Surveillance

Commercial & Open Source

Threat Intelligence Feeds

Real-time Business Risk

Analytics & Decision Support

Workforce / Customer

Behaviour Profiling

Network & System Centric

Activity Profiling

Business Partner Cyber

Security Awareness

Targeted Intelligence-Based

Cyber Security Awareness

General Information Security

Training & Awareness

Internal Threat

Intelligence

Security Event

Monitoring

Asset

Protection

Cyber Attack

Preparation

Training &

Awareness

Behavioural

Analytics

External Threat

Intelligence

Intelligence

Collaboration

E-Discovery &

Forensics

Brand

Monitoring

Cyber Security Maturity Levels

Basic Network Protection

Acceptable

Usage Policy

Transf

ormat

ion

Operational Excellence

Blissful Ignorance

Online Brand &

Social Media Policing

Ad Hoc System /

Malware Forensics

Media & SMEs

Consumer Business &Life Sciences

Retail Banks & Energy Providers

Investment Banks

& Telecom

Military & Defence

Grundlæggende informations-

sikkerhedsarbejde og som regel, begrænsede budgetter og

bevidsthed. Lav forståelse for vigtigheden af

sikkerhed

Større forståelse for vigtigheden af

cyber, tilsyneladende i

større sikkerhedstransformationsprojekter,

der bygger på eksisterende kapaciteter.

Absolut forståelse for betydningen, men har allerede

meget moden informationssikkerhed modenhed. Leder

efter førende, innovative tilgange.

"Lille verden"

Cyber trusler kræver en transformation - evner er ikke tilstrækkelig

46© Deloitte 2016

… against various cyber threats ….

Not all cyber threats are equally threatening your business

Competition

Criminals

Customers

Hackers

Insiders

Threat Actors

Making a statement

Gain competitive advantage

Espionage

Disruption

Financial Gain

Motives

• Financial Data

• Intellectual

Property

• Sensitive

Operational

Information

• Services

• Brand image

Targeted Assets

• Financial loss

• Reputation harm

• Lawsuit

• Regulatory sanctions

• Loss of trust

• Continuity of service

Possible Impacts

Organized Crime

Press

Protest Groups

State Agencies

Terrorists

47© Deloitte 2016

Time is critical – resilience is key

The difference is being able to react in minutes - not in hours and days

Day 0Customized malware overlook

your company's anti-virus solution

Malware starts to send sensitive

documents over the Internet

Sensitive information continues to

be broadcast over several days Day 7

Security monitoring

report on abnormal

patterns

+10min

Affected machines isolated

and replaced, and data

breach are limited

+2 hours

Attack method is identified, the

evidence collected and handed to

the police for pursuing the

hackers

+6 hours

Day 1

Normal operation

continues

PR is familiar with instances of

media coverage and

intelligence shared with peers

Day 2The rumor spread through social media

about a major security breach. The

security team will be notified and are

investigating the matter

CEO informed that sensitive

information is being leaked to

unknown recipients and that this

information cannot be replaced

Reputation is damaged,

and heads roll

PR can neither deny or confirm

the extent of a security breach

when the media sees the storyDay 8

Day 9

Day 10

48© Deloitte 2016

29-09-2016

Stigning i antallet af angreb: Vi har siden

2010 set en stigning i cyberangreb på verdensplan. Påtrods af virksomhedernes indsats fortsætter disseangreb. Kunderne er enige i, at de er nødt til at ændretaktik i forhold til den måde, de forsvarer sig på modangrebene og i forhold til den måde, de genopbyggerefter et cyberangreb.

Mere avancerede angreb: Angrebene er i

dag langt mere avancerede end blot den letteløsning, hvor kreditkort bliver stjålet. Angrebeneforekommer aoftere og udføres på mere avanceredemåder i form af uetisk aktiehandel (trade frontrunning) samt tyveri af immaterielle rettigheder,M&A og andre data.

Markedstrends inden for cybersikkerhed

Stigende omkostninger: Tidligere var det

sådan, at et brud på cybersikkerheden kun havdeomkostninger for virksomheden i form afomkostninger til udbedring og afhjælpning afangrebene. Nu er omkostningerne stigende ogbeløber sig i gennemsnit til 6,75 mio.USD.

Bedre forbindelse mellem systemog enhed: Virksomhedernes it-

infrastruktur strækker sig fortsat længereend datacentrets fire vægge. Dataeksponeres i højere grad for større risici ikraft af ”Bring Your Own Device”,tværgående forretningssamarbejder og enbredere mobil- og skybaseret anvendelse.

Utilstrækkelig sikkerhedsstab: Grundet de

mere avancerede angreb og den større forbindelsemellem enhederne bliver det sværere at finde ogfastholde de kompetente medarbejdere inden forcybersikkerhed, og derved skabes der løninflation. Formange virksomheder er det mere hensigtsmæssigt atoutsource cyberydelser til firmaer, som kan anvendederes medarbejderressourcer hos mange forskelligekunder. På denne måde mindskes omkostningerne,samtidig med at cyberområdet og kvaliteten bevares.

De cyberkriminelle forandrer sig: De

kriminelle udnytter udskiftningen i medarbejderstabog forretningsledere og er meget kreative i måden,de angriber virksomhederne på. Derudover gårdisse kriminelle ikke længere udelukkende efterkreditkort-oplysninger. Måden, de stjælerinformation vedr. immaterielle rettigheder og M&A-data på, er blevet mere sofistikeret, og det kanbetale sig.

Ændring i regulering og retningslinjer: Verdens

regeringer er utilfredse med virksomhedernes manglende evne til atimplementere kontroller. Derfor implementerer regeringerne nustrammere regulering. Investeringssamfundet har på samme mådepresset på for at få mere gennemsigtighed fra virksomhederne irelation til kunder og investorer, når data går tabt. Holdningen er, athvis et brud på sikkerheden forekommer hos en virksomhed, erkontrollerne nok ikke tilstrækkeligt effektive, hvilket resulterer i, atinvesteringen pålægges en risikoværdi.

Six essential truths about Cyber Risk

4

65

1No industry is immune

Authorities and governments are key stakeholders with ever-increasing focus

Everything cannot be protected equally

2 Cyber damage is not only financial

3 Asymmetrical attacks

Traditional controls are necessary, but not sufficient

50© Deloitte 2016

Store konsekvenser

Sikkerhedsbrud

Nedetid / Operationel Stop

Bøder

Finansielle tab

Nedsat / tabte salg

Tabt tillid

Manglende overholdelse af compliance krav

Legal

Tab of IP

Omdømmeskade

Going concern – kan virksomheden fortsætte driften?

52© Deloitte 2016

Corporate security and cybersecurity are no longer an IT problem.

A recent Gartner survey of nearly 1,000 people found that cybersecurity have been elevated and now typically are governed by the Board of Directors. In fact, Gartner’s results showed 71 percent of respondents saying IT risk management data influences decisions at the board level and reflectsan increasing need to deal with IT as part of corporate governance

53© Deloitte 2016

Corporate security and cybersecurity are no longer an IT problem.

So how do board members educate themselves on the key points of securing a company’s corporateassets?

They must understand security drivers and risks.

They must develop principals to oversee cybersecurity.

They must assess the risks for ensuring the organization’s safety.

54© Deloitte 2016

Five principles all boards should consider to enhance their oversight of cybersecurity

1. Directors need to understand and approach cybersecurity as an enterprise-wide riskmanagement issue, not just an IT issue.

2. Directors should understand the legal implications of cyber risks as they relate to theircompany’s specific circumstances.

3. Boards should have adequate access to cybersecurity expertise, and discussions about cyber-riskmanagement should be given regular and adequate time on the board meeting agenda.

4. Directors should set the expectation that management will establish an enterprise-wide riskmanagement framework with adequate staffing and budget.

5. Board-management discussion of cyber risk should include identification of which risks to avoid, accept, mitigate, or transfer through insurance, as well as specific plans associated with eachapproach.

55© Deloitte 2016

Deloitte har Danmarks største cyber team og er globalt førende inden for IT RiskConsulting. Vi er den højst rangerede rådgivningsvirksomhed inden for informationssikkerheds og it-risikostyring, og vi er førende inden for Risk Management Consulting (jf Gartner, Forrester og Kennedy

Information).

56© Deloitte 2016

The Nordic practice already consists of more than 100 dedicated professionals.

Deloitte Cyber Risk Services has an enormous global network of

Security & Privacy Professionals

RegionCyber security

professionals

North America > 4,500

EMEA > 1,600

Asia Pacific > 2,500

Rest of the

World> 1,300

The Nordics > 100

United Kingdom > 225

Deloitte has approximately 10,000 cyber

security, IT risk management, and privacy

professionals globally. Many of them are

certified ISO, CISA, CISSP, CISM, CEH

or by SAP or Oracle.

“Deloitte continually develops, tests, and launches methodologies that

reflect a deep understanding of clients’ cyber security and help the firm

stay ahead of the curve and set the bar in terms of addressing cyber

security consulting needs.”* In order to stay ahead of the game, the

practice puts greats emphasis on developing talent and certifying its

professionals.

Accreditation Nordic cyber security practice

ISC2 Over 85 CISSP’s

EC-Council Over 50 CEH’s

ISACA Over 80 CISA’s, over 70 CISM’s

NOREA Over 15 Registered IT Auditors

IAPP 10 CIPP’s

ISO 20 ISO-27001 Lead Auditors

* Source: Kennedy Consulting Research & Advisory; Cyber Security Consulting; Kennedy Consulting Research & Advisory estimates © 2013 Kennedy Information, LLC. Reproduced under license.

57© Deloitte 2016

Cyber Risk Services

Overblik over Deloittes Cyber Risk ServicesVi guider og supporterer vores kunders transformation inden for it sikkerhedsområder mod en mere robust og proaktiv håndtering med højere visibilitet via styrkelse af virksomhedens it sikkerhedsledelse, modeller, processer og initiativer.Ydelserne kan leveres som midlertidige projekter eller som CISOaaS eller DPOaaS

Cybertests scanner alle aktiver i kundens organisation og tilbagerapporterer på kritiske sårbarheder inden for kundens specifikke område. Ved brug af simuleringer og hackertests viser Cyber check-løsningen regelmæssigt graden af systemets tilstrækkelighed.

Ved brug af avancerede trusselovervågnings-systemer, information og teknologi overvåger Cyber Watch online-kanaler, herunder dark web, for at identificere aktive og voksende trusler mod kundens organisation. Trusler, som kan føre til skade på virksomhedens omdømme, økonomiske tab eller tab af følsomme kunde-/forretningsoplysninger.

En avanceret løsning inden for sikkerheds-oplysninger og event management (SIEM), som anvender tredjepartssoftware, der overvåges 24 i døgnet, 7 dage om ugen, 365 dage om året. Løsningen overvåger logs, potentielle trusler og forsøger at imødegå fortsat compliance med selskabets politikker og derved identificerer trusler mod cyber-sikkerhed.

En forsvarsløsning, som forhindrer tab af data, og som overvåger følsomme oplysninger, der enten er i bero, i bevægelse eller i brug i hele netværket. Denne løsning genererer regelmæssige hændelsesrapporter på samt real time-overvågning af informations-flowet, som sikrer, at følsomme oplysninger ikke lækkes, hvilket er angivet i virksomhedens sikkerhedspolitikker.

IAGaaS giver virksomheder muligheden for på en effektiv måde at leve op til og styre adgangskrav samt automatisere vitale identitetsbaserede kontroller.

Cyber Incident Response er en udrykningstjeneste, der er tilgængelig 24/7 til igangsætning af hensigtsmæssige handlinger i tilfælde af brud på sikkerheden eller andre sikkerhedshændelser. Denne udrykningstjeneste tilbyder sikkerhedstjek efter en hændelse, forensic undersøgelser samt en fremtidig beredskabsstrategi.

De konkrete ydelser

• Begrebsramme for en cyberstrategi

• Cybertrussel- og risikoplanlægning• Forretningssammenhæng og

beredskabsplan for datagendannelse

• Cyberuddannelsesforløb, awareness-kampagner og medarbejder-planlægning

• Privacy-rådgivning og -vurdering

• Hackertests• Håndtering af sårbarhed• Analyser af modstandsevne ved

trussel• Brugerbevidsthedsanalyse• Red Team, cybersimulering og

War Gaming• Livscyklus for softwareudvikling

• Håndtering af logs og compliance• Assistance vedr. Malware og

overvågning af potentielle trusler• Sammenhængende episoder og

hændelsesmeddelelser• Overvågning af episoder og

analytics• Trusselhåndtering

• Brand-overvågning• Overvågning af falske apps• Sporing af fortrolige

forretningsoplysninger uden for kontoret

• Afsløring af web-svindel• Efterretningsarbejde ved cybertrusler• Early warning ved cyberangreb• Avanceret efterretningsarbejde ved

trusler• Analyser af sociale medier

• Netværkshåndtering / sporing og inddæmning af læk af e-maildata

• Endpoint Breach-beskyttelsesforanstaltninger

• Avanceret trusselhåndtering, Malware og Malcode trusselbegrænsning

• Information og modstandsevne ved trusler

• Support og beredskabsplan ved hændelser

• Hændelses- og krisehåndtering• Forensics og avancerede

trusselanalyser• Udrykningsteam samt assistance til

gendannelse• Support ved sagsanlæg• Udrykningsteam, assistance til

eliminering, skærpelse og modstandsevne ved trusler

RådgivningSikkerhedstest af netværk og

applikationerUddannelse

Deloitte i DanmarkDeloitte leverer ydelser inden for revision, consulting, financial advisory, risikostyring, skat og dertil knyttede ydelser til både offentlige og private kunder i en lang række brancher. Deloitte betjener fire ud af fem virksomheder på listen over verdens største selskaber, Fortune Global 500®, gennem et globalt forbundet netværk af medlemsfirmaer i over 150 lande, som leverer kompetencer og viden i verdensklasse samt service af høj kvalitet til at håndtere kundernes most komplekse forretningsmæssige udfordringer. Vil du vide mere om, hvordan Deloittes omkring 225.000 medarbejdere gør en forskel, der betyder noget, så besøg os på Facebook, LinkedIn eller Twitter.

Deloitte Touche Tohmatsu LimitedDeloitte er en betegnelse for en eller flere af Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar (”DTTL”), dets netværk af medlemsfirmaer og deres tilknyttede virksomheder. DTTL og alle dets medlemsfirmaer udgør separate og uafhængige juridiske enheder. DTTL (der også betegnes “Deloitte Global”) leverer ikke selv ydelser til kunderne. Vi henviser til www.deloitte.dk/OmDeloitte for en udførlig beskrivelse af DTTL og dets medlemsfirmaer.

Denne meddelelse er udelukkende tiltænkt intern distribution og anvendelse blandt medarbejdere i Deloitte Touche Tohmatsu Limited, dettes medlemsfirmaer samt disses tilknyttede virksomheder (samlet benævnt Deloitte-netværket). Ingen i Deloitte-netværket skal holdes ansvarlig for nogen form for skader eller tab, som personer, der gør brug af denne meddelelse, måtte pådrage sig.

© 2016 Deloitte Statsautoriseret Revisionspartnerselskab. Medlem af Deloitte Touche Tohmatsu Limited

Grab ‘n Go: Session 13 Fagre nye IT-verden: Risikoappetit ......Tailored & Integrated Business P...

Documents

Transcript of Grab ‘n Go: Session 13 Fagre nye IT-verden: Risikoappetit ......Tailored & Integrated Business P...