Cyber Security & Privacy 1. Juni 2016 Christian La Fontaine Financial Lines Underwriting Global Corporate Switzerland
Cyber Risikolandschaft Fakten wo liegt das eigentliche Problem? 243 Tage ist der Median bis eine fortgeschrittene Attacke auf ein Netzwerk entdeckt wird Mandiant 90% der Phishing Kampagnen sind erfolgreich. 10 versendete Emails an das betroffene Unternehmen sind bereits ausreichend. 2014 Verizon DBIR > 95% der Vorfälle berücksichtigen menschliches Versagen als Faktor IBM 2014 Cyber Security Intelligence 23% der Nutzer teilen ihre Netwerk-passwörter mit Kollegen. IS Decisions - FROM Brutus to Snowden 80% der Cyber Attacken können durch einfache Computer und Netzwerk Hygiene, wie sichere Passwörter, sichere Konfigurationen, Patch Management und Zugriffs-Rezertifizierung vermieden werden. 85% der Cyber-Spionage Vorfälle werden von Dritten entdeckt. 2014 Verizon DBIR HÄUFIGSTEN PASSWÖRTER 96% der kritischen Sicherheitslücken bei Windows- Betriebssystemen könnten durch Entfernen von Administrations-Benutzerrechten vermieden werden. 123456, password, 12345, 12345678, qwerty, 123456789, 1234, baseball, dragon, football, 1234567, monkey, letmein, abc123, 111111, mustang, access, shadow, master, michael Splashdata 100% der Verstösse beinhalten gestohlene Zugangsdaten. National Audit Office - The UK cyber security strategy: Landscape review Avecto 2013 Microsoft Vulnerabilities Study Mandiant 2
Low Medium High Grossunternehmen vs. KMU Die Bedrohung der Netz- und Informationssicherheit (Cyber Security) zu unterschätzen birgt grosse Risiken. Wo würden Sie einbrechen? Wahrnehmung von Cyber Risiken Grossunternehmen vs. KMU Bedrohungsbewusstsein «Reife» Strategische Wichtigkeit Quelle: tourist-online.de, wonderopolis.org, aktiv-online.de Quelle: Deloitte 2015, Cyber Security in Switzerland. Finding the balance between hype and complacency 3
Cyber Risikolandschaft Finanzielle Folgen entstehen nicht nur in der IT Auswirkungen auf Betriebskosten Produktivitätsverlust 21% 19% Umsatzeinbussen 8% Compliance Kosten Reputationsschaden 30% 12% Forensische Kosten 10% Kosten für technischen Support Auswirkungen auf IT Kosten Quelle: IBM Global Study on the Economic Impact of IT Risk 4
Potenzielle Auswirkungen eines Cyber Vorfalls 1% 1% Schadenzahlungen nach Kosten 3% Krisenmanagement Durchschnittliche Schadenzahlung 9% Rechtskosten $3.6mio 8% Schadenersatz $2.4mio 78% Regulatorische Abwehrkosten Regulatorische Bussen PCI Bussen $1.0mio $0.7mio $0.7mio 2011 2012 2013 2014 2015 Schadenzahlungen nach Umsatz Schadenzahlungen nach Umsatz 1% 3% < $50mio 12% $50mio - 300mio 28% $300mio - 2bn Umsatzgrösse # Min. Ø Max. < $50mio 36 540 65 906 809 788 $50mio-300mio 25 0 150 018 764 225 1% $2bn - 10bn $300mio-2bn 26 2 598 578 233 4 900 000 $2bn-10bn 12 31 000 910 801 6 700 142 $10bn - 100bn $10bn-100bn 7 31 847 4 790 166 15 000 000 25% 18% > $100bn Unbekannt > $100bn 1 201 233 201 233 201 233 Unbekannt 5 8 510 1 928 544 8 959 000 Quelle: NetDiligence : 2015 Cyber Claims Study 5
Cyber Risiken bestehen industrieübergreifend Wer «online» ist, wird zu einem potenziellen Ziel Schadenzahlungen nach Industrie 1% 13% 13% 2% 10% 1% 11% 4% 9% 5% 5% 3% 2% Industrie # Min. Ø Max. Unterhaltung 1 73 968 73 968 73 968 Finanzen 15 0 141 249 809 788 Glücksspiel 2 80 000 87 275 94 550 Gesundheit 25 2 598 1 325 777 15 000 000 Tourismus 6 30 000 195 447 706 000 Produktion 2 750 65 967 131 184 Medien 3 6 000 68 596 144 490 gemeinnützige Organisation 5 5 900 50 112 101 127 Prof. Diensleistungen 10 6 704 329 845 2 989 966 Restaurants 5 4 000 75 744 250 000 Retail 12 91 359 1 795 266 8 916 432 Technologie 11 0 206 532 641 635 Andere 15 708 713 133 6 700 142 Quelle: NetDiligence : 2015 Cyber Claims Study 6
Quelle: informationisbeautiful.net 7
Individuelle Kundenbedürfnisse Modulare Deckungsstruktur Eigenschaden (1st Party) I Haftpflicht (3 rd Party) Cyber Security & Privacy Haftpflicht II Privacy Breach Costs Betriebsunterbruch III Cyber S&P Kombination Eigen- und Drittschäden Datenschutz/Cyber Kern des Produktes Spezialisiertes Krisenmanagement Spezifische Deckungen wie Coupon Payments, PCI Fines etc. Mitarbeiter als potenzieller Kläger (HR Daten) IV Cyber Erpressung Datenwiederherstellung V Zugang zu Dienstleistungen im Bereich Prävention 8
Eigenschaden 1 st Party Haftpflicht 3 rd Party Cyber Security & Privacy HA = Hacking Angriff PV = Pflichtverletzung eines MA Module Ursache Deckung Kosten Haftpflichtansprüche im Allgemeinen Internet Medien- Haftpflicht HA PV PV Gesetzl. Haftpflicht auf Grund einer Datenschutzverletzung Gesetzl. Haftpflicht auf Grund einer Urheberrechtsverletzung oder irreführender Werbung Prozesskosten (inkl. Regulatorische Verfahren) Verteidigungskosten Schadenersatzkosten I Privacy Breach Costs HA PV Krisenmanagement Meldekosten Rechtsberatung Forensik PR Berater Credit Monitoring II Betriebsunterbruch HA Nettogewinnausfall auf Grund eines Betriebsunterbruchs Netto Gewinnausfall Systemwiederherstellung III Cyber Erpressung HA Einführung eines schädlichen Codes, D.-o.-S. Attacke und Veröffentlichung von vertraulichen Informationen Zahlung von Erpressungsgeldern Belohnungsgeldzahlungen IV Datenwiederherstellung HA Beschädigung und Zerstörung von digitalen Daten Forensik Wiederherstellungskosten V 9
Fallbeispiele Szenario Versicherte Kosten I Eine gewöhnliche E-Mail wird von einem Mitarbeiter/in an einen externen Lieferanten gesendet. Innerhalb weniger Tage erfährt der Lieferant eine signifikante Beeinträchtigung des Computersystems. Untersuchungen führen zu dem Entschluss, dass ein Schadprogramm («Zero-Day Malware») von einer E-Mail Adresse des Versicherten den Schaden verursacht hat. Als Folge stellt der Lieferant Schadenersatzansprüche gegen den Versicherten. Abwehrkosten (auch unbe-gründete Ansprüche) Schadenersatzleistungen II Die Website des Versicherten wurde gehackt und es erscheint die Meldung «You ve been hacked by the Syrian Electronic Army (SEA)!». Das SEA-Logo und eine Version der syrischen Flagge erscheinen auf der Website.¹ Die Website wird zwar wiederhergestellt, jedoch berichten Online-Nachrichten und Blogs über diesen Vorfall und veröffentlichen Screenshots der kompromittierten Website. Als Folge entstehen auf Online-Plattformen Diskussionen inwiefern der Versicherte Sicherheitsvorkehrungen getroffen hat und womöglich auch Sicherheitsmängel bei den angebotenen Produkten bestehen könnten. Forensiche Analyse PR Beratungskosten III Eine gezielte Malware-Kampagne richtet sich gegen den Versicherten. Mittels «Social Engineering» und «Spear- Phishing» infizieren die Hacker mehrere Teile des Netzwerks mit einem Wurm. Der vorhandene Anti-Virus Schutz erkennt sich als nicht zuverlässig und kann die Attacke nicht bewältigen. Die einzige Möglichkeit besteht darin das System «offline» zu nehmen, mit der Folge eines mehrere Tage andauernden Netzwerkunterbruches. Forensiche Analyse Systemwiederherstellung Nettogewinn-ausfall IV Der Versicherte erhält ein Erpressungsschreiben von einem Hacker. Dieser behauptet sensible Daten gestohlen und Daten auf dem Server verschlüsselt zu haben («Ransomware»). Der Hacker droht mit der Veröffentlichung der sensiblen Daten und fordert eine Erpressungsgeldzahlung.² Forensiche Analyse Erpressungsgeldzahlung V Ein Mitarbeiter/in, welcher als Systemadministrator privilegierte Zugriffsrechte hat, erfährt von Plänen einer Restrukturierung. Aus Rache löscht dieser Quellen-Codes von mehreren Applikationen sowie Daten auf einer Backup-Festplatte. Anschliessend erscheint der Mitarbeiter/in nicht mehr zur Arbeit. Der Versicherte stellt fest, dass neben dem gelöschten Daten-Backup keine weiteren Datensicherungen existieren. Forensiche Analyse Datenwiederherstellungskosten ¹ http://www.cnbc.com/2014/11/27/ ² http://www.bbc.com/news/technology-27909096 10
Cyber Attacke Beispiel Hacking Angriff Hacker erbeuten Kundendaten Erste Klage Betroffener reicht Klage ein, mit dem Vorwurf, dass das Unternehmen keine ausreichenden Sicherheitsmassnahmen ergriffen habe. Ursache bekannt Gezielte Attacke von profesionellen Hackern aus Russland. Forensik Zugriff zu Netzwerk durch Zulieferer Zugang Rückritt CEO tritt zurück Mitteilung Unternehmen räumt Fehler bei der Reaktion zur Attacke ein Jan Dez Feb Mrz 2014 2014 Medienaufmerksamkeit Blogger berichtet über den Vorfall und Medien berichten über laufende Untersuchungen der Behörden Umsatzeinbussen Signifikanter Rückgang von Aufträgen Forensik Genaue Aussmass ist weiterhin unbekannt. Auch das Firmennetzwerk ist weiterhin beeinträchtigt. Werbekampagne Unternehmen unternimmt Massnahmen zur Wiederherstellung der Reputation Stellungnahme Mitteilung Unternehmen bestätigt Diebstahl von Informationen Unternehmen informiert über weitere gestohlene Datensätze 11
Kontaktdaten Christian La Fontaine Underwriting Cyber Security & Privacy Zurich Insurance Company Ltd Center of Competence - Financial Lines Switzerland Austrasse 46 CH-8045 Zürich +41 44 628 86 65 christian.la.fontaine@zurich.com www.zurich.ch/financiallines 12