Cyber Crime & Data Privacy: Denk aan het ondenkbare!

sitting_ducksRGP organiseerde dit voorjaar vier dialoogsessies met het thema Lef! Lef is niet alleen nodig om de economische crisis te lijf te gaan, maar ook om actief de onderwerpen waar we het met u over hadden bij de kop te pakken. Dit betreft een uitweiding van het artikel in Dialogue III die begin oktober uitgekomen is. Ook zullen wij op het HOFAM Jubileum congres van 8 november aanstaande een workshop faciliteren over dit onderwerp.

Voorbeelden zoals Diginotar, maar zeker ook Stuxnet, Playstation, KPN en Wikileaks drukken ondernemingen hard op de feiten. Cybercrime moet serieus worden genomen. Maar menig bedrijf heeft allerminst een pasklaar antwoord. De dialoogsessie van RGP over cybercontrol goot de bescherming van data in modellen. “Daarmee ontstaat grip op iets wat u in eerste instantie niet in de hand lijkt te hebben.”

  • Cybercrime, actueler dan ooit! Het waarborgen van de privacy van klanten en het beschermen van data staan hoog in het vaandel. Daarnaast wilt u natuurlijk eventuele reputatieschade voorkomen. Als het gaat om beveiliging van bedrijfsgegevens moet u ook aan steeds meer wet- en regelgeving voldoen; de EU Data Protection Directive, het College Bescherming Persoonsgegevens en Solvency II. Naast een overzicht van wat Cyber Crime nu eigenlijk is, zoeken we met elkaar naar de sleutel tot beheersbaarheid ervan. 

 “Een certified ethical hacker hackt op uitnodiging
 CFO’s, auditors, security officers en consultants van grote ondernemingen kwamen bijeen om van elkaar te leren en handvatten voor de aanpak van cybercrime te ontvangen. Bijzonder daarbij was de aanwezigheid van ethical hacker Guno Pocorni. Wat is zo ethical aan hacken, wilde gespreksleider Arthur Izeboud, practice leader governance, risk & compliance, weten.Een certified ethical hacker hackt op uitnodiging, dus nooit ongevraagd”, was het duidelijke antwoord. Pocorni liet weten dat ongevraagd op de deur kloppen bij IT-systemen van een organisatie al strafbaar is. “Andere hackers hebben bijvoorbeeld als drijfveer persoonlijke gewin, ongenoegen over een onderwerp of pure opwinding.” Het rondje voorstellen vorderde met een schets van de uitdagingen van verschillende bedrijven op het gebied van cybercontrol. “Hoe krijg je centraal vat op dit onderwerp, in een steeds meer gecentraliseerde wereld”, vertelde een verzekeraar. Een CFO met IT onder zich wilde vooral inzicht hebben in de risico’s en hoe deze de bedrijfscontinuïteit kunnen raken. Een industrieel concern vertelde al last te hebben gehad van aanvallen. “Deze waren het gevolg van het sluiten van enkele fabrieken in Europa. Activisme dus. Daarmee is onze IT-security nog hoger op de agenda komen te staan.” 

Never ending
Hij constateerde gelijk dat het onderwerp nu nog ad hoc wordt opgepakt. “Eerst moet er een incident zijn, voordat de focus komt op de oplossing. Het is ook geen integrale eis bij het bouwen van systemen, terwijl het dat wat mij betreft wel moet zijn.” Daarbij komt de behoefte van de business om open te zijn met data en informatie naar de klant toe, maar deze openheid verhoogt tegelijkertijd de risico’s. Datzelfde kan gezegd worden van het nieuwe werken. “Het is een trade off. Optimale prestaties gaan niet samen met een optimale beveiliging.” Ook bezuinigingen hebben hun impact. “We hebben minder mensen om de systemen te runnen”, aldus een andere onderneming. “Hoe blijven we up to date ten opzichte van alle beveiligingsaanvallen? Dat is een never ending battle.” Die constatering leidde meteen al tot een vervolgvraag: hoe zet ik mijn IT-beveiligingseuro zo in dat deze het beste rendeert? Die vraag kwam verderop in de sessie terug. Simon Collin, managing director van governance, risk en compliance services van Resources in Europa, was uit Groot-Brittannië overgekomen. Hij scheen onder meer zijn licht op de dataprotectie richtlijn van de Europese Unie. “Die richtlijn gaat ver. Dat komt omdat de wetgevende macht ook hier vertrouwen wil herstellen.

De richtlijn stelt de verplichting inbreuken op de data-integriteit te melden. Dat moet binnen 24 uur gebeuren, bij het Centraal bureau Bescherming Persoonsgegevens en bij de individuen waar het om gaat. “Deze melding is ook verplicht als er uit de schending geen schade volgt”, zegt Collins. De tweede regel is dat een onderneming met meer dan 250 employees een information security officer moet hebben. “Dat is een rol die iemand kan aannemen. Het hoeft dus geen specifieke functie te zijn.” Als derde komt er de mogelijkheid voor autoriteiten te beboeten, mochten ondernemingen een loopje nemen met deze regels. “Tot een miljoen euro of twee procent van de sales.” De vierde regel is wellicht de meest ingrijpende, stelde Collins. “Deze geeft inwoners van de Europese Unie het recht om vergeten te worden. Individuen hebben meer controle over hun data en kunnen eisen van een organisatie dat ze hun data verwijderen of vernietigen.” De richtlijn wordt gezien als een te grote hamer om een noot te kraken, zo kwalificeerde Collins. “Bij het voldoen aan de richtlijn is het de uitdaging de diversiteit van landen en systemen in een organisatie onder controle te krijgen.”

Eerste stap in bewustwording
Ethical hacker Pocorni begon zijn bijdrage met een felicitatie. “U bent hier omdat u vindt dat dit een belangrijk onderwerp is. Dat is een eerste stap in de bewustwording.” Hij gaf vervolgens uitleg over de bronnen van cybercrime. Als eerste noemde hij bot network operators. “Dat zijn hackers die niet rechtstreeks in uw systeem inbreken, maar meerdere systemen overnemen om een aanval te coördineren.” De denial of service attack op verschillende financiële instellingen is er een recent voorbeeld van. De tweede groep bestaat uit criminelen op zoek naar geldelijk gewin. “Zij zetten spam, phishing, spyware en malware in voor bijvoorbeeld identiteitsdiefstal of online fraude.” Drie zijn buitenlandse mogendheden en veiligheidsdiensten. “Zij gebruiken het internet om informatie te vergaren of te spioneren. Meer en meer ontwikkelen zij ook strategieën om cyberoorlogen aan te gaan.” Vier: de onethische hacker die in IT-systemen inbreekt, puur voor de opwinding of het kunnen opscheppen tegenover andere hackers. Een onderschatte groep, nummer vijf, zijn insiders. “Uw collega’s weten exact hoe uw IT-systeem eruit ziet en hoe ze gebruik kunnen maken van eventuele gaten om bijvoorbeeld informatie mee te nemen. Dat kan uit wrok zijn, bijvoorbeeld over een promotie die ze niet gehad hebben of omdat ze ontslagen worden.” Phishing (zes) bestaat uit het oplichten van mensen door ze te lokken naar een valse website. “Zo stelen ze uw identiteit of achterhalen ze informatie voor geldelijk gewin.”

Spammers (zeven) distribueren e-mail met valse of verborgen informatie om een product te verkopen, om een frauduleus plan uit te voeren, om spyware of malware te distribueren of om organisaties aan te vallen. De auteurs van spyware en malware (acht) maken en distribueren oneigenlijke computerprogramma’s, soms gratis en soms voor de hoogste bieder. Als laatste noemt Pocorni terroristen die het voorzien hebben op vitale infrastructuur. “Bijvoorbeeld om de nationale veiligheid te raken of om veel slachtoffers te maken.” Pocorni kwam voor elk van deze groepen met sprekende voorbeelden. Eén daarvan: “Om informatie bij een bedrijf te achterhalen, infiltreerde een bende in de tijdelijke staf van schoonmakers. Ze konden zo gemakkelijk bij allerlei bedrijfsinformatie komen, omdat iedereen die op het bureau liet liggen.” De manier om dergelijke risico’s inzichtelijk te maken is een insider risk assessment. Welke insiders hebben toegang tot welke informatie? Hoe lopen de dataflows? Pocorni riep ook op niet alleen naar de achtergrond van werknemers te kijken, maar ook naar plotselinge veranderingen van gedrag. Het tegengaan van cybercrime, begint bij bewustwording, sloot Izeboud daarop aan. “De laagste vorm daarvan is onwetendheid, gevolgd door een fragmentarisch besef van het gevaar. Daarna volgt een topdown besef. De CEO is zich bewust van het gevaar en formuleert een benadering om te reageren op cyberaanvallen. Weer een stap verder neemt de organisatie volle verantwoording over cyberrisk-management. Dreigingen, kwetsbaarheden en afhankelijkheden zijn bekend en worden opgevangen met controlemechanismen, rapportages, raamwerken en verantwoordelijkheden. De ultieme vorm van bewustzijn is een netwerkorganisatie die met peers en partners zijn informatie deelt. Ze mitigeren gezamenlijk cyber risico’s en zijn koplopers in het managen van de risico’s.”

10 miljoen euro
De aanwezigen kregen de opdracht mee een financiële instelling te beoordelen. Welk volwassenheidsniveau heeft de desbetreffende bank? Daarnaast moesten ze 10 miljoen euro toebedelen aan vier gebieden om de organisatie klaar te maken voor cybercontrol. De eerste was educatie. Izeboud: “Dat is het bewustmaken van de organisatie van de gevaren.” Twee was economics. “Management kan bijvoorbeeld medewerkers belonen die ideeën hebben om cyberaanvallen tegen te gaan. Of een bonus geven aan de IT’ers die een systeem bedenken om cyberaanvallen tegen te gaan.” Met engineering bedoelde Izeboud het neerzetten van daadwerkelijke IT-infrastructuur tegen cybercrime. Enforcement is het handhaven van regelgeving binnen het concern. De aanwezigen constateerden in elk geval dat de bank wat betreft bewustzijn op het hoogste niveau zou moeten zitten. Maar er werden vraagtekens gezet. “Of dat daadwerkelijk ook zo is…” Het merendeel van het budget ging naar daadwerkelijke infrastructuur, gevolgd in veel minder mate door de andere drie. Izeboud: “Wat u ook kiest, dit model kan in elk geval helpen bij het alloceren van financiën. Waar krijg ik de meeste veiligheid voor mijn euro? Dergelijke modellen worden ook voor instanties zoals de Voedsel en Warenautoriteit gebruikt voor tegengaan van incidenten.” Hij benadrukte vervolgens ook het identificeren en inventariseren van de belangrijkste IT-beveiligingsvraagstukken. “Daarbij gelden de basisvragen van risicomanagement. Wat kan misgaan? Wat is de kans dat het misgaat? Wat is impact als het misgaat? En welke barrières kan de organisatie opwerpen om het gevaar te mitigeren.”

Daarop aansluitend is het een zaak van voorbereiding, benadrukte Izeboud. “Training, training en nog eens training. Alleen zo weten medewerkers in een organisatie wie ze moeten benaderen, wie de beslissingen op welke terreinen neemt, wie rapporteert aan wie en hoe het script verloopt bij een cyberaanval.” In die zin is een cyberaanval niet veel anders dan andere calamiteiten, beschouwde één van de aanwezigen. “Ik wil dan ook cybercrime invoegen in de bestaande crisisorganisatie, maar dan hebben we wel specialisten op dit onderwerp nodig.”  Het afdekken van risico’s van cybercrime is nadrukkelijk ook een afweging tussen beschikbaar kapitaal, de mogelijkheid dat het betreffende risico zich voordoet en de impact van een incident. “Die afweging, in feite incidentmanagement, is een continu proces, waaraan een governance structuur is gekoppeld. Denk daarbij ook aan het ondenkbare. Wat moet er gebeuren als de ultieme consequentie van een cyberaanval zich voordoet?” Zo ver in volwassenheid zijn veel ondernemingen nog niet, constateerde Izeboud tot slot. Hij gaf vervolgens een wrap up.

Betrek een multidisciplinair team bij dit onderwerp, van compliance en IT tot aan beveiliging en communicatie. Maak stakeholderanalyses. Wat is de impact? Praat erover zoals wij tijdens deze sessie hebben gedaan. Alleen zo komt uw organisatie dichterbij op maat gesneden antwoorden.”

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s