Cyber Security & Privacy. 1. Juni 2016 Christian La Fontaine Financial Lines Underwriting Global Corporate Switzerland

Transkript

1 Cyber Security & Privacy 1. Juni 2016 Christian La Fontaine Financial Lines Underwriting Global Corporate Switzerland

2 Cyber Risikolandschaft Fakten wo liegt das eigentliche Problem? 243 Tage ist der Median bis eine fortgeschrittene Attacke auf ein Netzwerk entdeckt wird Mandiant 90% der Phishing Kampagnen sind erfolgreich. 10 versendete s an das betroffene Unternehmen sind bereits ausreichend Verizon DBIR > 95% der Vorfälle berücksichtigen menschliches Versagen als Faktor IBM 2014 Cyber Security Intelligence 23% der Nutzer teilen ihre Netwerk-passwörter mit Kollegen. IS Decisions - FROM Brutus to Snowden 80% der Cyber Attacken können durch einfache Computer und Netzwerk Hygiene, wie sichere Passwörter, sichere Konfigurationen, Patch Management und Zugriffs-Rezertifizierung vermieden werden. 85% der Cyber-Spionage Vorfälle werden von Dritten entdeckt Verizon DBIR HÄUFIGSTEN PASSWÖRTER 96% der kritischen Sicherheitslücken bei Windows- Betriebssystemen könnten durch Entfernen von Administrations-Benutzerrechten vermieden werden , password, 12345, , qwerty, , 1234, baseball, dragon, football, , monkey, letmein, abc123, , mustang, access, shadow, master, michael Splashdata 100% der Verstösse beinhalten gestohlene Zugangsdaten. National Audit Office - The UK cyber security strategy: Landscape review Avecto 2013 Microsoft Vulnerabilities Study Mandiant 2

3 Low Medium High Grossunternehmen vs. KMU Die Bedrohung der Netz- und Informationssicherheit (Cyber Security) zu unterschätzen birgt grosse Risiken. Wo würden Sie einbrechen? Wahrnehmung von Cyber Risiken Grossunternehmen vs. KMU Bedrohungsbewusstsein «Reife» Strategische Wichtigkeit Quelle: tourist-online.de, wonderopolis.org, aktiv-online.de Quelle: Deloitte 2015, Cyber Security in Switzerland. Finding the balance between hype and complacency 3

4 Cyber Risikolandschaft Finanzielle Folgen entstehen nicht nur in der IT Auswirkungen auf Betriebskosten Produktivitätsverlust 21% 19% Umsatzeinbussen 8% Compliance Kosten Reputationsschaden 30% 12% Forensische Kosten 10% Kosten für technischen Support Auswirkungen auf IT Kosten Quelle: IBM Global Study on the Economic Impact of IT Risk 4

5 Potenzielle Auswirkungen eines Cyber Vorfalls 1% 1% Schadenzahlungen nach Kosten 3% Krisenmanagement Durchschnittliche Schadenzahlung 9% Rechtskosten $3.6mio 8% Schadenersatz $2.4mio 78% Regulatorische Abwehrkosten Regulatorische Bussen PCI Bussen $1.0mio $0.7mio $0.7mio Schadenzahlungen nach Umsatz Schadenzahlungen nach Umsatz 1% 3% < $50mio 12% $50mio - 300mio 28% $300mio - 2bn Umsatzgrösse # Min. Ø Max. < $50mio $50mio-300mio % $2bn - 10bn $300mio-2bn $2bn-10bn $10bn - 100bn $10bn-100bn % 18% > $100bn Unbekannt > $100bn Unbekannt Quelle: NetDiligence : 2015 Cyber Claims Study 5

6 Cyber Risiken bestehen industrieübergreifend Wer «online» ist, wird zu einem potenziellen Ziel Schadenzahlungen nach Industrie 1% 13% 13% 2% 10% 1% 11% 4% 9% 5% 5% 3% 2% Industrie # Min. Ø Max. Unterhaltung Finanzen Glücksspiel Gesundheit Tourismus Produktion Medien gemeinnützige Organisation Prof. Diensleistungen Restaurants Retail Technologie Andere Quelle: NetDiligence : 2015 Cyber Claims Study 6

7 Quelle: informationisbeautiful.net 7

8 Individuelle Kundenbedürfnisse Modulare Deckungsstruktur Eigenschaden (1st Party) I Haftpflicht (3 rd Party) Cyber Security & Privacy Haftpflicht II Privacy Breach Costs Betriebsunterbruch III Cyber S&P Kombination Eigen- und Drittschäden Datenschutz/Cyber Kern des Produktes Spezialisiertes Krisenmanagement Spezifische Deckungen wie Coupon Payments, PCI Fines etc. Mitarbeiter als potenzieller Kläger (HR Daten) IV Cyber Erpressung Datenwiederherstellung V Zugang zu Dienstleistungen im Bereich Prävention 8

9 Eigenschaden 1 st Party Haftpflicht 3 rd Party Cyber Security & Privacy HA = Hacking Angriff PV = Pflichtverletzung eines MA Module Ursache Deckung Kosten Haftpflichtansprüche im Allgemeinen Internet Medien- Haftpflicht HA PV PV Gesetzl. Haftpflicht auf Grund einer Datenschutzverletzung Gesetzl. Haftpflicht auf Grund einer Urheberrechtsverletzung oder irreführender Werbung Prozesskosten (inkl. Regulatorische Verfahren) Verteidigungskosten Schadenersatzkosten I Privacy Breach Costs HA PV Krisenmanagement Meldekosten Rechtsberatung Forensik PR Berater Credit Monitoring II Betriebsunterbruch HA Nettogewinnausfall auf Grund eines Betriebsunterbruchs Netto Gewinnausfall Systemwiederherstellung III Cyber Erpressung HA Einführung eines schädlichen Codes, D.-o.-S. Attacke und Veröffentlichung von vertraulichen Informationen Zahlung von Erpressungsgeldern Belohnungsgeldzahlungen IV Datenwiederherstellung HA Beschädigung und Zerstörung von digitalen Daten Forensik Wiederherstellungskosten V 9

10 Fallbeispiele Szenario Versicherte Kosten I Eine gewöhnliche wird von einem Mitarbeiter/in an einen externen Lieferanten gesendet. Innerhalb weniger Tage erfährt der Lieferant eine signifikante Beeinträchtigung des Computersystems. Untersuchungen führen zu dem Entschluss, dass ein Schadprogramm («Zero-Day Malware») von einer Adresse des Versicherten den Schaden verursacht hat. Als Folge stellt der Lieferant Schadenersatzansprüche gegen den Versicherten. Abwehrkosten (auch unbe-gründete Ansprüche) Schadenersatzleistungen II Die Website des Versicherten wurde gehackt und es erscheint die Meldung «You ve been hacked by the Syrian Electronic Army (SEA)!». Das SEA-Logo und eine Version der syrischen Flagge erscheinen auf der Website.¹ Die Website wird zwar wiederhergestellt, jedoch berichten Online-Nachrichten und Blogs über diesen Vorfall und veröffentlichen Screenshots der kompromittierten Website. Als Folge entstehen auf Online-Plattformen Diskussionen inwiefern der Versicherte Sicherheitsvorkehrungen getroffen hat und womöglich auch Sicherheitsmängel bei den angebotenen Produkten bestehen könnten. Forensiche Analyse PR Beratungskosten III Eine gezielte Malware-Kampagne richtet sich gegen den Versicherten. Mittels «Social Engineering» und «Spear- Phishing» infizieren die Hacker mehrere Teile des Netzwerks mit einem Wurm. Der vorhandene Anti-Virus Schutz erkennt sich als nicht zuverlässig und kann die Attacke nicht bewältigen. Die einzige Möglichkeit besteht darin das System «offline» zu nehmen, mit der Folge eines mehrere Tage andauernden Netzwerkunterbruches. Forensiche Analyse Systemwiederherstellung Nettogewinn-ausfall IV Der Versicherte erhält ein Erpressungsschreiben von einem Hacker. Dieser behauptet sensible Daten gestohlen und Daten auf dem Server verschlüsselt zu haben («Ransomware»). Der Hacker droht mit der Veröffentlichung der sensiblen Daten und fordert eine Erpressungsgeldzahlung.² Forensiche Analyse Erpressungsgeldzahlung V Ein Mitarbeiter/in, welcher als Systemadministrator privilegierte Zugriffsrechte hat, erfährt von Plänen einer Restrukturierung. Aus Rache löscht dieser Quellen-Codes von mehreren Applikationen sowie Daten auf einer Backup-Festplatte. Anschliessend erscheint der Mitarbeiter/in nicht mehr zur Arbeit. Der Versicherte stellt fest, dass neben dem gelöschten Daten-Backup keine weiteren Datensicherungen existieren. Forensiche Analyse Datenwiederherstellungskosten ¹ ² 10

11 Cyber Attacke Beispiel Hacking Angriff Hacker erbeuten Kundendaten Erste Klage Betroffener reicht Klage ein, mit dem Vorwurf, dass das Unternehmen keine ausreichenden Sicherheitsmassnahmen ergriffen habe. Ursache bekannt Gezielte Attacke von profesionellen Hackern aus Russland. Forensik Zugriff zu Netzwerk durch Zulieferer Zugang Rückritt CEO tritt zurück Mitteilung Unternehmen räumt Fehler bei der Reaktion zur Attacke ein Jan Dez Feb Mrz Medienaufmerksamkeit Blogger berichtet über den Vorfall und Medien berichten über laufende Untersuchungen der Behörden Umsatzeinbussen Signifikanter Rückgang von Aufträgen Forensik Genaue Aussmass ist weiterhin unbekannt. Auch das Firmennetzwerk ist weiterhin beeinträchtigt. Werbekampagne Unternehmen unternimmt Massnahmen zur Wiederherstellung der Reputation Stellungnahme Mitteilung Unternehmen bestätigt Diebstahl von Informationen Unternehmen informiert über weitere gestohlene Datensätze 11

12 Kontaktdaten Christian La Fontaine Underwriting Cyber Security & Privacy Zurich Insurance Company Ltd Center of Competence - Financial Lines Switzerland Austrasse 46 CH-8045 Zürich christian.la.fontaine@zurich.com 12