Op 8 Oktober 2013 organiseerde de ZON (Zaans Ondernemers Netwerk) een presentatie over Cybercrime en security awareness. Omdat het die week “de week van de veiligheid” was, had de ZON een bijzondere locatie voor de presentatie georganiseerd. We waren die avond te gast op het politiebureau van Zaandijk, alwaar wij in een zeer professionele presentatieruimte onze presentatie konden geven. We hebben die avond voor een groep van 45 ondernemers een mooi verhaal verteld over de verschillende vormen van Cybercrime en wat je als ondernemer kunt doen om de risico’s te verlagen. Het was een interactieve sessie, er kwamen regelmatig vragen uit de groep. Na de presentatie was er onder het genot van een drankje nog gelegenheid om na te praten. De terugkoppeling die we kregen was dat de gepresenteerde informatie erg veel stof tot nadenken opleverde. Veel mensen gaven aan dat ze dit onderwerp binnen hun organisatie bespreekbaar zouden gaan maken.

1. Cyber Crime
Bij ons valt niets te halen
Dan komen ze wel wat brengen
© 2013 Sebyde BV

2. © 2013 Sebyde BV

3. Welkom
© 2013 Sebyde BV

4. Agenda
Wat heb je te beschermen?
Dreigingen
Risico’s
Informatiebeveiliging
Maatregelen
© 2013 Sebyde BV

5. Wat heb je te beschermen?
Klantgegevens
Beursgevoelige jaarcijfers, de
winstprognose
(Re)organisatieplannen
Personeelsbestand
Offertes en contracten
Reputatie!
Boekhouding
Telefoon- / e-mailadres lijsten
Smoelenboek
Adding security during coding costs 6.5 times more than
architecting it during software design process.
© 2013 Sebyde BV

6. Dreigingen
Cybercrime wat is het?
Wie doet het?
Voorbeelden van cybercrime:
Digitale inbraak
Social Engineering
Malware; virusinfecties
Via mail: Spam, Phishing
Watering hole
Social media
© 2013 Sebyde BV

7. Digitale inbraak
© 2013 Sebyde BV

8. Focus shift
Naar
Applicaties
Van
Infrastructuur
© 2013 Sebyde BV

9. Hoeveel kwetsbaarheden in een applicatie?
Gemiddelde aantal
kwetsbaarheden per
industriesector
Whitehat security statistics report
june 2012
© 2013 Sebyde BV

10. Social engineering Tactieken
Van persoon tot persoon
Wil aardig gevonden worden
Voor wat hoort wat
Netwerkborrel
Bellen namens support afdeling
Proberen angst aan te jagen
Eens een vriend altijd een vriend
Wil onderdeel worden van sociaal netwerk
Refereren naar een belangrijk persoon
© 2013 Sebyde BV

11. Social Engineering: Phishing
© 2013 Sebyde BV

12. Malware, virusinfecties
Basis van DDOS aanvallen
© 2013 Sebyde BV

13. Watering hole
© 2013 Sebyde BV

14. Watering hole
© 2013 Sebyde BV

15. Mens: Gebruik van Passwords
© 2013 Sebyde BV

16. Password feiten (Mark Burnett)
4.7% of users have the password password;
8.5% have the passwords password or 123456;
9.8% have the passwords password, 123456 or 12345678;
14% have a password from the top 10 passwords
40% have a password from the top 100 passwords
79% have a password from the top 500 passwords
91% have a password from the top 1000 passwords
While many people have improved the security and strength of their passwords, there are still a
huge number of people who pick from a very small list of common passwords. In fact, 91% of all
user passwords sampled all appear on the list of just the top 1,000 passwords.
source: http://xato.net/passwords/more-top-worst-passwords/
© 2013 Sebyde BV

17. Ook op mobiele telefoons:
204.000 passcodes
Top 10 = 29.530 (14,4%)
© 2013 Sebyde BV

18. Social Media
Facebook
LinkedIn
Twitter
Hyves
Skype
Blogger
… ?????
© 2013 Sebyde BV

19. Social Media
© 2013 Sebyde BV

20. © 2013 Sebyde BV

21. Social Media
© 2013 Sebyde BV

22. Video
Febelfin Waarzegger:
http://www.youtube.com/watch?v=F7pYHN9iC9I
© 2013 Sebyde BV

23. Schade
Diefstal
I.P.
Systeemuitval
Herstelkosten
REPUTATIE
Boetes
© 2013 Sebyde BV

24. Schade Cybercrime: jaarlijks 10 miljard euro
© 2013 Sebyde BV

25. © 2013 Sebyde BV

26. Wie zijn het Doelwit
Financiële instellingen
Hosting providers
– Internet bankieren
– Reputatie
– Financiële transacties
– Systeemuitval
Productie industrie
Applicatie bouwers
– Procesbeheersing netwerken
– Aansprakelijkheid
Ondernemingen
– Hoge ontwikkelkosten
– Intellectueel eigendom
Gezondheidszorg
– Fusies en overnames
– Privacy (WBP)
Overheden
– Staatsgeheimen
– Identiteitsfraude
Wij allemaal
IBM’s X-Force Report 2013: 41% van alle security incidenten worden
veroorzaakt door Web applicaties.
© 2013 Sebyde BV

27. Resultaat van voorgaande informatie:
Kranten staan vol
Informatie komt op straat terecht
Reputaties worden geschaad
Privacy wordt geschonden
Verlies aan klantvertrouwen
Informatiebeveiliging staat hoog op de agenda in de
bestuurkamers
© 2013 Sebyde BV

28. Wat is informatiebeveiliging?
Correctief
Repressief
Detectief
Preventief
Vertrouwelijkheid
Continuiteit
waarborgen
Schade
beperken
Security
Integriteit
Beschikbaarheid
© 2013 Sebyde BV

29. Informatie beveiliging
“Informatiebeveiliging is het geheel van preventieve,
detectieve, repressieve en correctieve maatregelen alsmede
procedures en processen die de beschikbaarheid, exclusiviteit en
integriteit van alle vormen van informatie binnen een organisatie
of een maatschappij garanderen, met als doel de continuïteit van
de informatie en de informatievoorziening te waarborgen en de
eventuele gevolgen van beveiligingsincidenten tot een acceptabel,
vooraf bepaald niveau te beperken.”
Bron: http://nl.wikipedia.org/wiki/Informatiebeveiliging
© 2013 Sebyde BV

30. OK ... Laten we alles goed beveiligen
© 2013 Sebyde BV

31. Security is meer dan alleen maar sloten,
kettingen en muren ...
Security
Awareness
Organisatie/
Processen
Mensen
Technologie
Software,
Systemen &
Netwerken
Beleid &
Management
© 2013 Sebyde BV

32. Security Awareness
Niet de juiste handelingen
doen maar de handelingen
juist doen
Houding
Gedrag
Bewust
Veilig
Management
Medewerkers
Onbewust
Veilig
Ontwikkelaars
Bewust
Onveilig
Training
Onbewust
Onveilig
Educatie
Instructie
Herhaling
© 2013 Sebyde BV

33. Organisatie / Processen
Wet- & Regel-geving
– Privacy
Beleid, Standaarden & Richtlijnen
Risk management
Kwetsbaarheid analyse
Hiring & Firing
Incident management
Change management
Ontwikkelprocessen
© 2013 Sebyde BV

34. Technologie
Desktop
Netwerken
Systemen
BYOD
Applicaties
© 2013 Sebyde BV

35. Nieuwe Ontwikkeling:
EU Privacy verordening
Zware aanscherping van huidige privacy wetgeving
(WBP)
– Algemene documentatieverplichting over verwerkingen
(art. 28)
– Informatieplicht (Art. 14)
– Rechten van betrokkenen
• Toegang, rectificatie, wissen, overdraagbaarheid, bezwaar
• Het recht om vergeten te worden
– Profilering
• Ras, etnische afkomst, politieke
opvatting, religie, gezondheid, seksueel gedrag
– Meldplicht datalekken (aan CBP én alle betrokkenen)
– >250 werknemers: Dedicated FG aanstellen
– “Privacy by Design” en “Privacy by Default”
© 2013 Sebyde BV

36. EU Privacy verordening; de Consequenties
Hoge sancties: 2% van wereldwijde jaaromzet, tot 1.000.000 Euro!
Privacy beleid opstellen en jaarlijks laten controleren
PIA (Privacy Impact Assessment) afgetekend door RE-Auditor
Het al of niet naleven van de privacy-verordening is bepalend voor het
vaststellen van “goed bestuur”.
Het CBP krijgt een tool in handen
© 2013 Sebyde BV

37. Wat kan je doen
Beleid
Risico analyse
– Maak de balans op
– Assessment / nulmeting
Security awareness
– Management
– Training
– Werkoverleg
Techniek testen
– Applicaties
– Systemen
– Netwerken
© 2013 Sebyde BV

38. Praktische handvatten
1. Waar staat uw digitale informatie?
2. Welke waarde heeft de digitale informatie binnen uw bedrijf?
3. Welke dreigingen zijn er?
4. Wie heeft toegang tot de informatie?
5. Welke schade kan uw bedrijf oplopen door misbruik?
6. Hoe wilt u die schade voorkomen?
7. Heeft u securitybeleid?
8. Hoe bewust zijn U en uw medewerkers van ICT beveiliging?
9. Controleer uw ICT provider
10.Onderhoud uw applicaties, systemen en netwerk
© 2013 Sebyde BV

39. Overzicht Sebyde diensten
Mensen
•Awareness
•Algemeen
•Developers
Sebyde
Secure by
Design
Processen
•Security
assessment
•Secure
Development
Techniek
•Scan Cycle
•Software
services
© 2013 Sebyde BV

40. Febelfin Malware:
http://www.youtube.com/watch?v=QR5lsjjBDbA
Consumentenbond Malware:
http://www.youtube.com/watch?v=zdJ4qNFrhRs
© 2013 Sebyde BV

41. Hartelijk dank
Rob Koch (rob.koch@sebyde.nl)
Derk Yntema (derk.yntema@sebyde.nl)
www.sebyde.nl/ZON
© 2013 Sebyde BV