Grab ‘n Go: Session 13 Fagre nye IT-verden: Risikoappetit ......Tailored & Integrated Business P...
Transcript of Grab ‘n Go: Session 13 Fagre nye IT-verden: Risikoappetit ......Tailored & Integrated Business P...
Grab ‘n Go: Session 13Fagre nye IT-verden: Risikoappetit, cyber risks og cyber resilience29. september 2016 #deloittegng
Jesper Helbrandt Partner, [email protected]. september 2016 #deloittegng
3© Deloitte 2016
Fagre nye IT-verden: Risikoappetit, cyber risks og cyber resilience
4© Deloitte 2016
Ny teknologi, nye trusler
Den digitale revolution fremdriver forretningsmæssig innovation og vækst – men eksponerer os samtidig for nye trusler.
• Den eksisterende teknologiske innovation medfører enestående muligheder:
• Reducerer omkostninger
• Øger integration
• Højner effektivitet
• Opbygger nye omsætningsmuligheder
• Overvinder geografiske begrænsninger
• Men muligheder medfører risici:
• Det er i dag normalen altid at være koblet på. Et så højt niveau af forbundethed giver virksomhederne en unik mulighed, men det eksponerer dem samtidig også for betydelige risici.
• Varierende risikoprofil:
• Når vi tager det naturlige link mellem business performance, innovation og cyberrisici i betragtning, burde enhver organisation realistisk set vurdere sin varierende risikoprofil og klarlægge det rette risikoniveau samt de acceptable risici.
5© Deloitte 2016
Cyber Risk is a Business Issue, NOT an IT Issue
- det handler kun i mindre grad teknik, men i væsentlig grad om mennesker, adfærd og ansvarlighed
6© Deloitte 2016
7© Deloitte 2016
The attack surface is larger and easier (look in your pocket)
Attacks are exponential in frequency, complexity and outcome
Platform-based attacks (web, app,
mobile)Attacks on clients (out of perimeter)
Sensitive information leakage
Attacks on intangible assets
FraudAttacks on physical
assets or critical infrastructures
Credential theft
Malware
Phishing
Executives’
reputation
Brand’s reputation
Employee / manager
Branch store /
ATM
Video surveillance
system
VoIP/ Videoconferenc
e
Third-party or employee
fraud
Supply chain or credit card
fraud
Social network abuse
Information theft
Information disclosure
Device loss/theft
Hacking
DoSDDoS HW and SW
vulnerabilities
8© Deloitte 2016
A modern car involves typical 50 computers
Computers everywhere!
9© Deloitte 2016
10© Deloitte 2016
0
5
10
15
20
25
2013 2014 2015 2020
Billions
Køretøjer Forbruger Generiske produkter Vertikale produkter Samlet
Expected # of ”Internet of Things” units[Gartner Nov 2014]
…and more to follow
Today we produce more data every two days than all humans did up until year 2000..
..But more data and information is needed!
(2012 FBI)There are two types of companies: those that have been hacked, and those that will be.
(2014 FBI)There are two kinds of companies: those that know they've been hacked, and those that have been hacked and don't yet know it.
Politiets Efterretningstjeneste (PET) vurderer i dag at cyber kriminalitet til at udgøre en større trussel end terror
14© Deloitte 2016
15© Deloitte 2016© 2015 Deloitte
War stories
16© Deloitte 2016
5 Minutters Goog’ling
Welcome to the Dark side…
18© Deloitte 2016
Service Price (USD)
DDos Service 10 (hours) or 1200 (months)
e-mail Spamming 10 - 150 (1,000,000 mails)
SMS Spamming 50-200 (100,000 sms’)
Call flooding 3 (hours) or 100 (week)
Botnet (full control) 200 (2000 bots/day - 40% online)
Fake website + deployment 5 - 20
Traffic redirection 10(US) - 60(EU) (50,000 user/day)
Dedicated Server 1 (basic) - 2000 (bulletproof 1Gbps)
Ransomware (winlocker) 10 (executable) - 100 (source code)
Trojan (Banking) 1,000 (executable) – 10,000 (sourcecode)
Pay-per-Install 100(RU) - 250(UK) (1000 infected)
Which currency should we use?
19© Deloitte 2016
RISK
20© Deloitte 2016
?
Risikoprofil
Konsekvens Sandsynlighed
Hvor stor er din risikoappetit
Informationssikkerhed
21© Deloitte 2016
378 MILLION VICTIMS PER YEAR
1 MILLION+ VICTIMS PER DAY
12 VICTIMS PER SECONDAND ACCELERATING
MORE THAN THE POPULATION OF THE US & UK COMBINED
22© Deloitte 2016
Can you resist these clicks?
23© Deloitte 2016
Facebook information you give away..
public_profile user_friends email user_about_me user_actions.books user_actions.fitness user_actions.music user_actions.news user_actions.video user_birthday user_education_history user_events user_games_activity user_hometown user_likes
user_likes user_location user_managed_groups user_photos user_posts user_relationships user_relationship_details user_religion_politics user_tagged_places user_videos user_website user_work_history ads_read pages_messaging pages_messaging_phone_number
Datalækintet nyt – bare større end før…
Woops
Open Source Intelligence (OSINT) Jeres virksomheders passwords ligger også på nettet.
Eksempler:
28© Deloitte 2016
Deloitte har absolut INTET med lækagen af data fra LinkedIn at gøre!Deloitte benytter udelukkende åbne og frit tilgængelige kilder, til at opnå disse informationer!
Deloitte opsamler, gemmer og/eller behandler ikke disse data efter denne præsentation.Alt bliver slettet for forsvarlig vis, og arbejdsmateriale er ikke gemt på disk.
Hvad går man ellers efter?
Penge, Kreditkort
Intellectual property
Personligeoplysninger
Afpresning
Revenge (DDoS osv)
Creepware…
31© Deloitte 2016
32© Deloitte 2016
Hvad kan det bruges til?
”Send flere penge, Tak!/Direktøren”
Jesper Helbrandt, 2016-08-14
Direktør-svindel.
Ret let…
Selvforsvar, CEO fraud
• Awareness
• Awareness
• Awareness
• Politikker og procedurer.
• Signerede emails (Digital signatur)
37© Deloitte 2016
Målrettede angreb
forbløffende let
38© Deloitte 2016
Online angreb
• Phishing / Spoofing
• Web-server hacking
• Netværk hacking
• Falske telefonopkald
• Brug af fundne passwords
38
Deloitte Phishing test
40© Deloitte 2016
Alt kan hackes og det bliver det!
41© Deloitte 2016
42© Deloitte 2016
Virksomhedernes svære valg
43© Deloitte 2016
Modenhedskurve
Trusselsforsvar
Sikkerhed opfattes som ”Guards, Guns and Gates” En omkostning Et nødvendigt onde Manglende koordinering og prioritering Reaktiv og taktisk sikkerhed
Compliance og sikkerhed i dybden
Tjekliste-tilgang Compliancevigtigste drivere: Lovgivning, forsikring og ansvar Sikkerhed i dybden
Risikobaseret sikkerhed
Sikkerhed som resultat af en strategi Mere proaktivtFormaliserede processerForretningsmæssig tilgang – hindring af tab
Forretningsorienteret
Sikkerhed indgår strategiskRisk Management som ledelses værktøjForebyggelse –proaktiv frem for reaktivFormaliseret incident respons plan
44© Deloitte 2016
IT Cyber Attack
Simulations
Business-Wide
Cyber Attack Exercises
Sector-Wide & Supply Chain
Cyber Attack Exercises
Enterprise-Wide Infrastructure
& Application Protection
Global Cross-Sector Threat
Intelligence Sharing
Identity-Aware
Information Protection
IT BC & DR
Exercises
Ad Hoc Infrastructure &
Application Protection
Adaptive & Automated
Security Control Updates
IT Service Desk
& Whistleblowing
Security Log Collection
& Ad Hoc Reporting
External & Internal Threat
Intelligence Correlation
Cross-Channel Malicious
Activity Detection
24x7 Technology Centric
Security Event Reporting
Automated IT Asset
Vulnerability Monitoring
Targeted Cross-Platform
User Activity Monitoring
Tailored & Integrated
Business Process Monitoring
Traditional Signature-Based
Security Controls
Periodic IT Asset
Vulnerability Assessments
Pro
ac
tiv
e T
hre
at
Ma
na
ge
me
nt
Level 1 Level 2 Level 3 Level 4 Level 5
Automated Electronic
Discovery & Forensics
Situational Awareness of
Cyber Threats
Basic Online
Brand Monitoring
Automated Malware
Forensics & Manual
Electronic Discovery
Government / Sector Threat
Intelligence Collaboration
Ad-hoc Threat
Intelligence Sharing
with Peers
Baiting & Counter-Threat
Intelligence
Criminal / Hacker
Surveillance
Commercial & Open Source
Threat Intelligence Feeds
Real-time Business Risk
Analytics & Decision Support
Workforce / Customer
Behaviour Profiling
Network & System Centric
Activity Profiling
Business Partner Cyber
Security Awareness
Targeted Intelligence-Based
Cyber Security Awareness
General Information Security
Training & Awareness
Internal Threat
Intelligence
Security Event
Monitoring
Asset
Protection
Cyber Attack
Preparation
Training &
Awareness
Behavioural
Analytics
External Threat
Intelligence
Intelligence
Collaboration
E-Discovery &
Forensics
Brand
Monitoring
Cyber Security Maturity Levels
Basic Network Protection
Acceptable
Usage Policy
Transf
ormat
ion
Operational Excellence
Blissful Ignorance
Online Brand &
Social Media Policing
Ad Hoc System /
Malware Forensics
Media & SMEs
Consumer Business &Life Sciences
Retail Banks & Energy Providers
Investment Banks
& Telecom
Military & Defence
Grundlæggende informations-
sikkerhedsarbejde og som regel, begrænsede budgetter og
bevidsthed. Lav forståelse for vigtigheden af
sikkerhed
Større forståelse for vigtigheden af
cyber, tilsyneladende i
større sikkerhedstransformationsprojekter,
der bygger på eksisterende kapaciteter.
Absolut forståelse for betydningen, men har allerede
meget moden informationssikkerhed modenhed. Leder
efter førende, innovative tilgange.
"Lille verden"
Cyber trusler kræver en transformation - evner er ikke tilstrækkelig
45© Deloitte 2016
Understand the business, know your business risk – and risk appetite
46© Deloitte 2016
… against various cyber threats ….
Not all cyber threats are equally threatening your business
Competition
Criminals
Customers
Hackers
Insiders
Threat Actors
Making a statement
Gain competitive advantage
Espionage
Disruption
Financial Gain
Motives
• Financial Data
• Intellectual
Property
• Sensitive
Operational
Information
• Services
• Brand image
Targeted Assets
• Financial loss
• Reputation harm
• Lawsuit
• Regulatory sanctions
• Loss of trust
• Continuity of service
Possible Impacts
Organized Crime
Press
Protest Groups
State Agencies
Terrorists
47© Deloitte 2016
Time is critical – resilience is key
The difference is being able to react in minutes - not in hours and days
Day 0Customized malware overlook
your company's anti-virus solution
Malware starts to send sensitive
documents over the Internet
Sensitive information continues to
be broadcast over several days Day 7
Security monitoring
report on abnormal
patterns
+10min
Affected machines isolated
and replaced, and data
breach are limited
+2 hours
Attack method is identified, the
evidence collected and handed to
the police for pursuing the
hackers
+6 hours
Day 1
Normal operation
continues
PR is familiar with instances of
media coverage and
intelligence shared with peers
Day 2The rumor spread through social media
about a major security breach. The
security team will be notified and are
investigating the matter
CEO informed that sensitive
information is being leaked to
unknown recipients and that this
information cannot be replaced
Reputation is damaged,
and heads roll
PR can neither deny or confirm
the extent of a security breach
when the media sees the storyDay 8
Day 9
Day 10
48© Deloitte 2016
29-09-2016
Stigning i antallet af angreb: Vi har siden
2010 set en stigning i cyberangreb på verdensplan. Påtrods af virksomhedernes indsats fortsætter disseangreb. Kunderne er enige i, at de er nødt til at ændretaktik i forhold til den måde, de forsvarer sig på modangrebene og i forhold til den måde, de genopbyggerefter et cyberangreb.
Mere avancerede angreb: Angrebene er i
dag langt mere avancerede end blot den letteløsning, hvor kreditkort bliver stjålet. Angrebeneforekommer aoftere og udføres på mere avanceredemåder i form af uetisk aktiehandel (trade frontrunning) samt tyveri af immaterielle rettigheder,M&A og andre data.
Markedstrends inden for cybersikkerhed
Stigende omkostninger: Tidligere var det
sådan, at et brud på cybersikkerheden kun havdeomkostninger for virksomheden i form afomkostninger til udbedring og afhjælpning afangrebene. Nu er omkostningerne stigende ogbeløber sig i gennemsnit til 6,75 mio.USD.
Bedre forbindelse mellem systemog enhed: Virksomhedernes it-
infrastruktur strækker sig fortsat længereend datacentrets fire vægge. Dataeksponeres i højere grad for større risici ikraft af ”Bring Your Own Device”,tværgående forretningssamarbejder og enbredere mobil- og skybaseret anvendelse.
Utilstrækkelig sikkerhedsstab: Grundet de
mere avancerede angreb og den større forbindelsemellem enhederne bliver det sværere at finde ogfastholde de kompetente medarbejdere inden forcybersikkerhed, og derved skabes der løninflation. Formange virksomheder er det mere hensigtsmæssigt atoutsource cyberydelser til firmaer, som kan anvendederes medarbejderressourcer hos mange forskelligekunder. På denne måde mindskes omkostningerne,samtidig med at cyberområdet og kvaliteten bevares.
De cyberkriminelle forandrer sig: De
kriminelle udnytter udskiftningen i medarbejderstabog forretningsledere og er meget kreative i måden,de angriber virksomhederne på. Derudover gårdisse kriminelle ikke længere udelukkende efterkreditkort-oplysninger. Måden, de stjælerinformation vedr. immaterielle rettigheder og M&A-data på, er blevet mere sofistikeret, og det kanbetale sig.
Ændring i regulering og retningslinjer: Verdens
regeringer er utilfredse med virksomhedernes manglende evne til atimplementere kontroller. Derfor implementerer regeringerne nustrammere regulering. Investeringssamfundet har på samme mådepresset på for at få mere gennemsigtighed fra virksomhederne irelation til kunder og investorer, når data går tabt. Holdningen er, athvis et brud på sikkerheden forekommer hos en virksomhed, erkontrollerne nok ikke tilstrækkeligt effektive, hvilket resulterer i, atinvesteringen pålægges en risikoværdi.
Six essential truths about Cyber Risk
4
65
1No industry is immune
Authorities and governments are key stakeholders with ever-increasing focus
Everything cannot be protected equally
2 Cyber damage is not only financial
3 Asymmetrical attacks
Traditional controls are necessary, but not sufficient
50© Deloitte 2016
Store konsekvenser
Sikkerhedsbrud
Nedetid / Operationel Stop
Bøder
Finansielle tab
Nedsat / tabte salg
Tabt tillid
Manglende overholdelse af compliance krav
Legal
Tab of IP
Omdømmeskade
Going concern – kan virksomheden fortsætte driften?
51© Deloitte 2016
Cybersecurity is a ‘board-level’ issue
52© Deloitte 2016
Corporate security and cybersecurity are no longer an IT problem.
A recent Gartner survey of nearly 1,000 people found that cybersecurity have been elevated and now typically are governed by the Board of Directors. In fact, Gartner’s results showed 71 percent of respondents saying IT risk management data influences decisions at the board level and reflectsan increasing need to deal with IT as part of corporate governance
53© Deloitte 2016
Corporate security and cybersecurity are no longer an IT problem.
So how do board members educate themselves on the key points of securing a company’s corporateassets?
They must understand security drivers and risks.
They must develop principals to oversee cybersecurity.
They must assess the risks for ensuring the organization’s safety.
54© Deloitte 2016
Five principles all boards should consider to enhance their oversight of cybersecurity
1. Directors need to understand and approach cybersecurity as an enterprise-wide riskmanagement issue, not just an IT issue.
2. Directors should understand the legal implications of cyber risks as they relate to theircompany’s specific circumstances.
3. Boards should have adequate access to cybersecurity expertise, and discussions about cyber-riskmanagement should be given regular and adequate time on the board meeting agenda.
4. Directors should set the expectation that management will establish an enterprise-wide riskmanagement framework with adequate staffing and budget.
5. Board-management discussion of cyber risk should include identification of which risks to avoid, accept, mitigate, or transfer through insurance, as well as specific plans associated with eachapproach.
55© Deloitte 2016
Deloitte har Danmarks største cyber team og er globalt førende inden for IT RiskConsulting. Vi er den højst rangerede rådgivningsvirksomhed inden for informationssikkerheds og it-risikostyring, og vi er førende inden for Risk Management Consulting (jf Gartner, Forrester og Kennedy
Information).
56© Deloitte 2016
The Nordic practice already consists of more than 100 dedicated professionals.
Deloitte Cyber Risk Services has an enormous global network of
Security & Privacy Professionals
RegionCyber security
professionals
North America > 4,500
EMEA > 1,600
Asia Pacific > 2,500
Rest of the
World> 1,300
The Nordics > 100
United Kingdom > 225
Deloitte has approximately 10,000 cyber
security, IT risk management, and privacy
professionals globally. Many of them are
certified ISO, CISA, CISSP, CISM, CEH
or by SAP or Oracle.
“Deloitte continually develops, tests, and launches methodologies that
reflect a deep understanding of clients’ cyber security and help the firm
stay ahead of the curve and set the bar in terms of addressing cyber
security consulting needs.”* In order to stay ahead of the game, the
practice puts greats emphasis on developing talent and certifying its
professionals.
Accreditation Nordic cyber security practice
ISC2 Over 85 CISSP’s
EC-Council Over 50 CEH’s
ISACA Over 80 CISA’s, over 70 CISM’s
NOREA Over 15 Registered IT Auditors
IAPP 10 CIPP’s
ISO 20 ISO-27001 Lead Auditors
* Source: Kennedy Consulting Research & Advisory; Cyber Security Consulting; Kennedy Consulting Research & Advisory estimates © 2013 Kennedy Information, LLC. Reproduced under license.
57© Deloitte 2016
Cyber Risk Services
Overblik over Deloittes Cyber Risk ServicesVi guider og supporterer vores kunders transformation inden for it sikkerhedsområder mod en mere robust og proaktiv håndtering med højere visibilitet via styrkelse af virksomhedens it sikkerhedsledelse, modeller, processer og initiativer.Ydelserne kan leveres som midlertidige projekter eller som CISOaaS eller DPOaaS
Cybertests scanner alle aktiver i kundens organisation og tilbagerapporterer på kritiske sårbarheder inden for kundens specifikke område. Ved brug af simuleringer og hackertests viser Cyber check-løsningen regelmæssigt graden af systemets tilstrækkelighed.
Ved brug af avancerede trusselovervågnings-systemer, information og teknologi overvåger Cyber Watch online-kanaler, herunder dark web, for at identificere aktive og voksende trusler mod kundens organisation. Trusler, som kan føre til skade på virksomhedens omdømme, økonomiske tab eller tab af følsomme kunde-/forretningsoplysninger.
En avanceret løsning inden for sikkerheds-oplysninger og event management (SIEM), som anvender tredjepartssoftware, der overvåges 24 i døgnet, 7 dage om ugen, 365 dage om året. Løsningen overvåger logs, potentielle trusler og forsøger at imødegå fortsat compliance med selskabets politikker og derved identificerer trusler mod cyber-sikkerhed.
En forsvarsløsning, som forhindrer tab af data, og som overvåger følsomme oplysninger, der enten er i bero, i bevægelse eller i brug i hele netværket. Denne løsning genererer regelmæssige hændelsesrapporter på samt real time-overvågning af informations-flowet, som sikrer, at følsomme oplysninger ikke lækkes, hvilket er angivet i virksomhedens sikkerhedspolitikker.
IAGaaS giver virksomheder muligheden for på en effektiv måde at leve op til og styre adgangskrav samt automatisere vitale identitetsbaserede kontroller.
Cyber Incident Response er en udrykningstjeneste, der er tilgængelig 24/7 til igangsætning af hensigtsmæssige handlinger i tilfælde af brud på sikkerheden eller andre sikkerhedshændelser. Denne udrykningstjeneste tilbyder sikkerhedstjek efter en hændelse, forensic undersøgelser samt en fremtidig beredskabsstrategi.
De konkrete ydelser
• Begrebsramme for en cyberstrategi
• Cybertrussel- og risikoplanlægning• Forretningssammenhæng og
beredskabsplan for datagendannelse
• Cyberuddannelsesforløb, awareness-kampagner og medarbejder-planlægning
• Privacy-rådgivning og -vurdering
• Hackertests• Håndtering af sårbarhed• Analyser af modstandsevne ved
trussel• Brugerbevidsthedsanalyse• Red Team, cybersimulering og
War Gaming• Livscyklus for softwareudvikling
• Håndtering af logs og compliance• Assistance vedr. Malware og
overvågning af potentielle trusler• Sammenhængende episoder og
hændelsesmeddelelser• Overvågning af episoder og
analytics• Trusselhåndtering
• Brand-overvågning• Overvågning af falske apps• Sporing af fortrolige
forretningsoplysninger uden for kontoret
• Afsløring af web-svindel• Efterretningsarbejde ved cybertrusler• Early warning ved cyberangreb• Avanceret efterretningsarbejde ved
trusler• Analyser af sociale medier
• Netværkshåndtering / sporing og inddæmning af læk af e-maildata
• Endpoint Breach-beskyttelsesforanstaltninger
• Avanceret trusselhåndtering, Malware og Malcode trusselbegrænsning
• Information og modstandsevne ved trusler
• Support og beredskabsplan ved hændelser
• Hændelses- og krisehåndtering• Forensics og avancerede
trusselanalyser• Udrykningsteam samt assistance til
gendannelse• Support ved sagsanlæg• Udrykningsteam, assistance til
eliminering, skærpelse og modstandsevne ved trusler
RådgivningSikkerhedstest af netværk og
applikationerUddannelse
58© Deloitte 2016
Innovations that drive growth also create potential cyber risk
59© Deloitte 2016
Afslutning
Tak for i dag!
Deloitte i DanmarkDeloitte leverer ydelser inden for revision, consulting, financial advisory, risikostyring, skat og dertil knyttede ydelser til både offentlige og private kunder i en lang række brancher. Deloitte betjener fire ud af fem virksomheder på listen over verdens største selskaber, Fortune Global 500®, gennem et globalt forbundet netværk af medlemsfirmaer i over 150 lande, som leverer kompetencer og viden i verdensklasse samt service af høj kvalitet til at håndtere kundernes most komplekse forretningsmæssige udfordringer. Vil du vide mere om, hvordan Deloittes omkring 225.000 medarbejdere gør en forskel, der betyder noget, så besøg os på Facebook, LinkedIn eller Twitter.
Deloitte Touche Tohmatsu LimitedDeloitte er en betegnelse for en eller flere af Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar (”DTTL”), dets netværk af medlemsfirmaer og deres tilknyttede virksomheder. DTTL og alle dets medlemsfirmaer udgør separate og uafhængige juridiske enheder. DTTL (der også betegnes “Deloitte Global”) leverer ikke selv ydelser til kunderne. Vi henviser til www.deloitte.dk/OmDeloitte for en udførlig beskrivelse af DTTL og dets medlemsfirmaer.
Denne meddelelse er udelukkende tiltænkt intern distribution og anvendelse blandt medarbejdere i Deloitte Touche Tohmatsu Limited, dettes medlemsfirmaer samt disses tilknyttede virksomheder (samlet benævnt Deloitte-netværket). Ingen i Deloitte-netværket skal holdes ansvarlig for nogen form for skader eller tab, som personer, der gør brug af denne meddelelse, måtte pådrage sig.
© 2016 Deloitte Statsautoriseret Revisionspartnerselskab. Medlem af Deloitte Touche Tohmatsu Limited