Cybersecurity Aktuelle Gefahren und Massnahmen zur Reduktion der Risiken Cyberfraud Seminar der Treuhandkammer Bern, 1. Juli 2014 Tom Schmidt, EY, Partner
Agenda Cybersecurity Überblick, aktuelle Gefahren und Bedrohungen Gegenwärtiger Stand der Massnahmen zum Schutz vor Cyberrisken Zusätzliche erforderliche Massnahmen zum Schutz vor Cyberrisken Initiierung eines Cybersecurity Programms Rolle und Aktivitäten Interne (IT-)Revision Zusammenfassung Folie 1
Cybersecurity Überblick, aktuelle Gefahren und Bedrohungen
Cybersecurity Überblick Definition Cybersecurity ist die Kombination von Technologien, Prozessen und Methoden für den Schutz von Netzwerken, Computern, Programmen und Daten gegenüber Attacken, Beschädigung und unerlaubtem Zugriff durch Externe. Folglich umfasst Cybersecurity die ganzheitliche Betrachtung von Massnahmen zur Identifikation von zum Schutz vor zur Entdeckung von zur Reaktion gegen und zur Wiederherstellung nach Cyberattacken. Folie 3
Cybersecurity Überblick Cybersecurity vs. Information Security Cybersecurity umfasst die Bereiche «Identify», «Protect», «Detect», «Respond» und «Recover» und berücksichtigt somit auch stark detektive und reaktive Kontrollen in Ergänzung zu den präventiven Kontrollen. Quelle: NIST Framework for Improving Critical Infrastructure Cyber Security; 2014 Quelle: SANS Critical Controls for Effective Cyber Defense; 2013 Folie 4
Cybersecurity Überblick Regulatorische Anforderungen & Standards mit Cybersecurity-Bezug Organisation Anforderung / Standard Rundschreiben 2008/21 Operationelle Risiken Banken Anhang 3 Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken - Umsetzungsplan Data Leakage Protection 10 Steps to Cyber Security UK Cyber Security Strategy Framework for Improving Critical Infrastructure Cyber Security TECHNOLOGY RISK MANAGEMENT GUIDELINES Partnering for Cyber Resilience Transforming Cyber Security using COBIT 5 ENISA National Cyber Security Strategies - Practical Guide on Development and Execution Folie 5
Cybersecurity Überblick Evolution und Risiken Info. Sec. erfüllt die Anforderung nicht Starker Fokus auf Cybersecurity Erhöhte Wahrnehmung in den Medien Unsophisticated attackers (script kiddies) Sophisticated attackers (hackers) Corporate espionage (insiders) State sponsored attacks Advanced Persistent Threat Sie werden attackiert, weil Sie im Internet sind und eine Schwachstelle haben. Sie werden attackiert, weil Sie im Internet sind und wertvolle Informationen Increased haben. threat landscape Ihre aktuellen oder früheren Mitarbeiter versuchen Firmengeheimnisse zu verkaufen. Corporate espionage State sponsored espionage Risk Monetization 68% Experimentation 1980s/1990s BrainBoot/Morris Worm Concept Macro Virus Anna Kournikoiva polymorphic viruses Michelangelo Melissa "I Love You" Sircam Code Red & Nimda Attacker resources/sophistication SQL Slammer MyDoom Storm botnet Aurora Stuxnet, Flame Blaster Sobig NetSky Sasser Koobface Conflicker Mariposa W32 Duqu Sie werden zum Ziel wegen Ihrer Person, dem, was Sie tun oder dem Wert Ihrer vertraulichen Daten. Eurograbber/ Zitmo 2013 Quelle: EY Global Information Security Survey 2013 Folie 6
Cybersecurity Überblick Cyberattacken sind ein Milliardengeschäft Quelle: ISF Threat Horizon 2016; 2014 Quelle: Digitale Informationen als Kapital Eine Lawine an Onlinebanking-Malware und Ransomware; Trend Micro, Incorporated.; 2014 Folie 7
Cybersecurity Überblick Top 10 der grössten Internet-Gefahren 2013 Bedrohung Gefährdung 1 Drive-by-Downloads von Schadsoftware 2 Trojaner / Würmer 3 Attacken auf Datenbanken und Websites 4 Viren-Baukästen 5 Botnetze 6 Denial-of-Service-Attacken 7 Phishing 8 Datenverluste 9 Rogueware / Scareware 10 Spam Quelle: ENISA, BITKOM Quelle: Symantec Internet Security Threat Report 2013 Folie 8
Cybersecurity Überblick Bedrohungen und Schwachstellen Die nachfolgenden Bedrohungen und Schwachstellen haben sich über die letzten zwölf Monate am stärksten verändert: Quelle: EY Global Information Security Survey 2013 Folie 9
Cybersecurity Überblick Ereignisse und Herausforderungen Neben den allgemeinen Risiken können zusätzlich gewisse Ereignisse einen Einfluss auf die Sicherheit von Daten haben: Fusionen und Übernahmen Schlagzeilen auf der Titelseite von Zeitungen Eintritt in neue Märkte Wesentliche organisatorische Veränderungen Lancierung neuer Produkte Herausforderungen, welche in der Organisation verbleiben: Quelle: EY Global Information Security Survey 2013 Folie 10
Cybersecurity Überblick Heutige Cyberbedrohungen Neue, komplexere Cyberrisiken, welche den Ruf und das Fortbestehen einer Unternehmung schädigen respektive gefährden könnten, entstehen tagtäglich Sich schnell verändernde Technologien führen zu Lücken in der Informationssicherheit und der entsprechenden Massnahmen Zunehmende Anzahl von Cyber-Kriminellen, welche diese Lücken ausnutzen wollen Die Frage ist nicht «ob», sondern «wann» das Unternehmen attackiert wird Unternehmen begegnen diesen Risiken, indem die Fähigkeiten verbessert und die Investitionen erhöht werden Wechsel vom Betrieb und Unterhalt zur Verbesserung und Innovation Die Investitionen und technischen Fähigkeiten können jedoch nicht mit den Hackern und Angreifern mithalten Folie 11
Gegenwärtiger Stand der Massnahmen zum Schutz vor Cyberrisken
Stand der Massnahmen zum Schutz vor Cyberrisken Verhalten und Bewusstsein Bewusstsein Wissen Unwissenheit Reaktiv Verhalten Proaktiv Folie 13
Stand der Massnahmen zum Schutz vor Cyberrisken Wo haben sich Unternehmen verbessert und was ist noch zu tun? Erzielte Verbesserungen gegenüber den Vorjahren Organisationen fokussieren sich mehr auf die richtigen Prioritäten Zusätzlich anzustrebende Verbesserungen Information Security Abteilungen bekunden immer noch Mühe mit der Knappheit an erfahrenen Mitarbeitern, Awareness und Support vom Management CH 46% CH 43% Folie 14
Stand der Massnahmen zum Schutz vor Cyberrisken Wo haben sich Unternehmen verbessert und was ist noch zu tun? Erzielte Verbesserungen gegenüber den Vorjahren Organisationen ändern ihren Fokus von Betrieb und Unterhalt zu Verbesserung und Innovation Zusätzlich anzustrebende Verbesserungen Trotz den Verbesserungen in der Sicherheit der Organisationen bleiben viele davon verwundbar CH 47% CH 47% Folie 15
Stand der Massnahmen zum Schutz vor Cyberrisken Wo haben sich Unternehmen verbessert und was ist noch zu tun? Erzielte Verbesserungen gegenüber den Vorjahren Organisationen sind abgestimmt mit den Strategien und Treibern für die Informationssicherheit Zusätzlich anzustrebende Verbesserungen Ein Mangel in der Abstimmung mit anderen kritischen Gebieten ist immer noch häufig vorhanden CH 51% CH 49% Folie 16
Stand der Massnahmen zum Schutz vor Cyberrisken Wo haben sich Unternehmen verbessert und was ist noch zu tun? Erzielte Verbesserungen gegenüber den Vorjahren Aufwände nehmen zu, um die Cybersecurity Programme zu verbessern Zusätzlich anzustrebende Verbesserungen Die Bedrohungen nehmen ebenfalls zu, häufig sogar noch schneller CH 76% CH 78% Folie 17
Zusätzliche erforderliche Massnahmen zum Schutz vor Cyberrisken
Zusätzliche Massnahmen zum Schutz vor Cyberrisken Führende Praxis zur Bekämpfung von Cyberbedrohungen Führende Praxis, welche Verbesserungen ermöglicht: Unterstützung von oben Unterstützung der Geschäftsleitung und des Verwaltungsrats Organisatorische Ausrichtung Strategie Investitionen Mitarbeiter, Prozesse und Technologie Betriebliche Befähigung Mitarbeiter Prozesse Technologie Kontinuierliche Verbesserung Analyse und Berichterstattung Umfeld Folie 19
Zusätzliche Massnahmen zum Schutz vor Cyberrisken Führende Praxis zur Bekämpfung von Cyberbedrohungen Unterstützung von oben Unterstützung der Geschäftsleitung und des Verwaltungsrats Erstellen von klaren Vorgaben Anerkennung bei zeitnaher Beseitigung von Sicherheitsproblemen Messen der IS Leistung und der Erfolgskriterien Aufbau einer IS Kultur Verständnis über die Auswirkungen von Sicherheitsvorfällen auf das Geschäft, die Dienstleistungen und die Produkte Integration von IS Erkenntnissen in den Mgmt-Entscheidungsprozess Aufzeigen der Auswirkungen von Bedrohungen auf die Erfolgsrechnung und die Bilanz des Unternehmens Folie 20
Zusätzliche Massnahmen zum Schutz vor Cyberrisken Führende Praxis zur Bekämpfung von Cyberbedrohungen Mitarbeiter, Prozesse und Technologie Mitarbeiter Fördern des Mitarbeiter-Bewusstseins bezüglich ihrer eigenen Sicherheitsverantwortung Einstellen von Mitarbeitern mit den richtigen Fähigkeiten und Kompetenzen Etablieren der IS als Teil der Mitarbeiter-Leistungsbeurteilung Kenntnis und Überwachung von Mitarbeitern, welche erhöhte Privilegien haben Ausbildung von «Security Champions» im Unternehmen Folie 21
Zusätzliche Massnahmen zum Schutz vor Cyberrisken Führende Praxis zur Bekämpfung von Cyberbedrohungen Betriebliche Befähigung Kontinuierliche Verbesserung Profitieren von Erkenntnissen aus der Industrie und professionellen Organisationen Kontinuierliche Neu- und Wiederbeurteilung neuer Technologien und Bedrohungen Aufbau einer «Security Simulation»-Sandbox Verständnis über neue Trends und Bedrohungen inklusive der Anpassung der Risikobeurteilung Befähigung zur Innovation innerhalb der IS Funktion Folie 22
Initiierung eines Cybersecurity Programms
Initiierung eines Cybersecurity Programms Spektrum der Cyber-Bedrohungen Tiefer Qualität der Angriffe Höher Bedrohungs- Quelle Hobby-Hacker & Gelegenheits- Attacken Anonym, ideologischer Hacktivismus Organisierte Kriminelle, Malware Advanced Persistent Threat (APT) Cyber- Attacken von Staaten Primäre Motivation Neugier, Mutwille, Bosheit Unterbruch, Reputations- Schaden Finanzieller Nutzen, Betrug Diebstahl von geistigem Eigentum Diebstahl von geistig. Eigentum, kritische Infrastrukturen Manifestiert sich in... Defacement oder zufälliger System- Einbruch DDoS, Blossstellung, Datenpanne Malware: Trojaner und Ransomware Spear- Phishing, Malware und Hacking Spionage, Cyber- Sabotage Bedrohung, vor welcher sich die meisten Unternehmen mit präventiven, detektiven und reaktiven Kontrollen schützen wollen Fokus auf detektive und reaktive Kontrollen Folie 24
Initiierung eines Cybersecurity Programms Herausforderung mit der anwachsenden Diskrepanz - Finanzbranche Verschiede Unternehmen kommen zunehmend in Druck, elektronische Vertriebskanäle noch konsequenter anzubieten und zu nutzen: Anhaltend schwieriges ökonomisches Umfeld, welches zu Kostenreduktions-Programmen führt Verstärkter Wettbewerbsdruck durch neue Marktteilnehmer, welche den Kunden umfassende Dienstleistungen anbieten können: Telekommunikationsfirmen Technologiefirmen wie Google und Apple Dienstleister von elektronischem Zahlungsverkehr Herausforderung Unterbreitung eines differenzierenden Kundenangebots unter gleichzeitiger Berücksichtigung von Cyber-Kriminalitätsund Reputations-Risiken Folie 25
Initiierung eines Cybersecurity Programms Cybersecurity Dimension und Aktivitäten Die Cybersecurity-Aktivitäten sollten mehrere Bereiche abdecken wie Assess, Protect, Monitor und Respond. Mit Assess wird eruiert, wie stark das Unternehmen Cyberbedrohungen ausgesetzt ist, mit Protect sollen die wichtigsten Vermögenswerte geschützt werden, Monitor hat zum Ziel Schwachstellen als auch mögliche Cyberattacken zu erkennen und mit Respond soll angemessen auf Zwischenfälle reagiert werden können, welche zwangsläufig auftreten. Attack & penetration testing Cybersecurity health-check or diagnostic Data loss risk assessment Malware activity assess Cyber simulation / war games Managed data loss prevention Cyber incident response Cyber forensics Governance Cybercrime / Cyberfraud Data loss prevention Information / digital rights management Vulnerability watch SIEM / SOC Threat intelligence and cyber analytics Cyber reputation monitor Folie 26
Rolle und Aktivitäten Internal Audit
Rolle und Aktivitäten Internal Audit Rolle Internal Audit Internal Audit kann auf verschiedene Weise zur Verbesserung der Cybersecurity in einem Unternehmen beitragen. Dazu gehören beispielsweise: Ganzheitliche Adressierung des Themas (nicht nur aus IT-Sicht, sondern auch unter Einbezug von rechtlichen und regulatorischen Anforderungen, Mitarbeiter Awareness usw.) Durchführen von Assessments / Audits mit Fokus auf Cybersecurity- Themen Sensibilisierung des VR und der GL zu diesem Thema (z.b. in Sitzungen, Besprechungen von Prüfungsresultaten usw.) Adressierung des Themas in den bestehenden IT-Gremien Durchführen von Projektreviews Teilnahme an STCs bei Projekten Folie 28
Rolle und Aktivitäten Internal Audit Mögliche Cybersecurity-Prüfgebiete für Internal Audit Das Thema Cybersecurity ist sehr umfassend und vielfältig, so auch die möglichen Prüfgebiete und Prüfthemen: Cyber Security allgemein Threat Intelligence Threat Investigation und Forensics Vulnerability Management Intrusion Detection & Prevention Mechanismen Data Leakage Prevention Distributed Denial of Service Abwehr Security Information und Event Monitoring & Logging Definition und Sammlung von Messwerten Security Vorkommnis Re-engineering Security Incident Response Drittpartei Risiko-Management Malware Abwehr Folie 29
Rolle und Aktivitäten Internal Audit Mögliche Cybersecurity-Prüfgebiete für Internal Audit Organisation und Mitarbeiter Weisungen, Standards und Vorgaben Trennung von Verantwortlichkeiten Threat Management Governance Ausbildung und Sensibilisierung von Mitarbeitern Review regulatorischer Anforderungen Überprüfung der Compliance Netzwerk- und Internet-Sicherheit Engineering sicherer Netzwerke Netzwerk Perimeter Sicherheit Sicherheit von Netzwerk- Konfigurationen Inventar von Hard- und Software Einschränkung von Netzwerk-Ports, -Protokollen und -Diensten Sicherheit von Remote-Verbindungen Sicherheit interner Netzwerke Sicherheit von Wireless Geräten Folie 30
Rolle und Aktivitäten Internal Audit Mögliche Cybersecurity-Prüfgebiete für Internal Audit Schutz von Infrastrukturen Engineering sicherer Systeme Sicherheit von System- Konfigurationen Browser- und E-Mail-Sicherheit Inventar von Hard- und Software Kontrollierter Zugriff basierend auf dem Need-to-Know Prinzip Verschlüsselung und Schlüsselmanagement Server- und Datenbank-Sicherheit Sicherheitsprozesse Patch Management Datenwiederherstellung Change und Release Management Business Continuity Management Incident und Problem Management Verwaltung privilegierter Benutzer Krisen Management Physische Sicherheitskontrollen Folie 31
Rolle und Aktivitäten Internal Audit Mögliche Cybersecurity-Prüfgebiete für Internal Audit Schutz von Applikationen Sichere Entwicklung von Software Penetration Testing von Applikationen Integration mit dem Threat Management Sicherheit von Internet Applikationen Source Code Review Patch Management Klassifikation der Informationen Quelle: ISO 27032 Folie 32
Zusammenfassung
Cybersecurity Zusammenfassung Ganzheitliche Betrachtungsweise Erstellen Sie eine Strategie, wie auf Cyber- Bedrohung zu reagieren ist Interdisziplinäres Team für die Strategie und das Cybersecurity Programm einsetzen Nicht nur alter Wein in neuen Schläuchen Erstellen und dokumentieren Sie eine firmenspezifische Definition für Cybersecurity Führen Sie für das gemeinsame Verständnis ein Assessment der Bedrohungslage durch Cyber-Kriminalität ist vielfältig Berücksichtigen Sie alle Kanäle, welche für Cyber-Kriminalität missbraucht werden könnten Berücksichtigen Sie Produktrisiken und Fraud sowie mögliche Lösungen im Cybersecurity Programm Scope Es gibt keine Musterlösung Eignen Sie sich Know-how über die vorhandenen Frameworks und deren Stärken an Erstellen Sie Ihr eigenes Framework basierend auf den bereits vorhandenen Frameworks Es geht nicht nur um Sie Beteiligen Sie sich an Cybersecurity Initiativen der Regierung und der Industrie / Branche Besprechen Sie Cybersecurity Risiken mit relevanten Kollegen (auch anderer Firmen) Involvierung des Managements ist zentral Awareness auf Stufe Geschäftsleitung ist für die Finanzierung des Vorhabens elementar Initiativen sollen in konkreten Handlungen und Inputs für das Programm enden Etablieren Sie eine gemeinsame Sprache zwischen der GL und den Geschäftsbereichen Folie 34
Bekämpfen von Cyberattacken erfordert Leadership und Zuständigkeit Unternehmen erzielen gute Fortschritte in der Adressierung von Risiken, welche sie bereits kennen, aber sie müssen mehr Gewicht legen auf: Verbesserung der Mitarbeiter-Sensibilisierung Erhöhen von Informationssicherheits-Budgets Zurverfügungstellung von mehr Ressourcen für innovative Sicherheitslösungen Dafür muss sich das Top-Management in den Unternehmen einsetzen, welches sich bewusst sein sollte, dass 80% der Lösungen nicht technischer Natur sind es ist eine Frage der «good governance». Folie 35
EY Thought Leadership
EY Thought Leadership Global Information Security Survey 2013 Besuchen Sie unsere Cybersecurity Website: www.ey.com/giss Der Global Information Security Survey (GISS) Bericht kann unter folgender Adresse bezogen werden: Under cyber attack: EY s Global Information Security Survey 2013: www.ey.com/giss2013 Folie 37
EY Thought Leadership Profitieren Sie von unseren Erkenntnissen in den Bereichen Governance, Risk und Compliance und laden Sie unsere Publikationen herunter: www.ey.com/grcinsights Security Operations Centers against cybercrime: Tope 10 considerations for success www.ey.com/soc Beating cybercrime: Security Program Management from the Board s perspective www.ey.com/spm Privacy trends 2013: the uphill climb continues www.ey.com/privacy2013 Mobile device security: understanding vulnerabilities and managing risk www.ey.com/mobiledevicesecurity Protecting and strengthening your brand: social media governance and strategy www.ey.com/protectingbrand Information security in a borderless world: time for a rethink www.ey.com/infosec_borderless Identity and access management (IAM): beyond compliance www.ey.com/iam Bring your own device: security and risk considerations for your mobile device program www.ey.com/byod Key considerations for your internal audit plan: enhancing the risk assessment and addressing emerging risks www.ey.com/iaplan Folie 38
Kontaktangaben des Präsentators [ ] Hintergrund Kontakt: Tom Schmidt, Partner EY +41 58 286 64 77 +41 58 289 64 77 tom.schmidt@ch.ey.com und Erfahrung Tom Schmidt ist Partner bei EY im EMEIA Financial Services Advisory Team mit Fokus auf IT Risk und Information Security. Er hat mehr als 20 Jahre Erfahrung im Bereich Information Technology und mehr als 14 Jahre praktische Information Security Erfahrung Tom Schmidt ist der Leiter IT Risk und Information Security im Bereich Financial Services EY Schweiz und der Leiter des EY EMEIA Avaloq Banking System Competence Center Er ist verantwortlich für die und hat grosse Erfahrung in der Leitung und Durchführung von IT- Security Assessment, IT Risk Management Projekte sowie generischen IT-Audit- und IT-Advisory- Dienstleistungen für nationale und internationale Finanzdienstleistungs- und Industriekunden Tom Schmidt ist Betriebsökonom HWV/FH und Master of Advanced Studies (MAS) Information Security Er ist Certified Information Systems Auditor (CISA), Certified Information Systems Security Professional (CISSP), Certified in Risk and Information Systems Control (CRISC) und Certified ISO 27001 Lead Implementer Des weiteren ist Tom Schmidt Fachrat und Dozent am MAS Information Security, Hochschule Luzern Folgen Sie oder nehmen Sie Kontakt auf mit Tom Schmidt über: XING LinkedIn Twitter Folie 39
EY Assurance Tax Transactions Advisory About the global EY organization The global EY organization is a leader in assurance, tax, transaction and advisory services. We leverage our experience, knowledge and services to help build trust and confidence in the capital markets and in economies all over the world. We are ideally equipped for this task with well trained employees, strong teams, excellent services and outstanding client relations. Our global purpose is to drive progress and make a difference by building a better working world for our people, for our clients and for our communities. The global EY organization refers to all member firms of Ernst & Young Global Limited (EYG). Each EYG member firm is a separate legal entity and has no liability for another such entity s acts or omissions. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients. For more information, please visit www.ey.com. EY s organization is represented in Switzerland by Ernst & Young Ltd, Basel, with ten offices across Switzerland, and in Liechtenstein by Ernst & Young AG, Vaduz. «EY» and «we» refer to Ernst & Young Ltd, Basel, a member firm of Ernst & Young Global Limited. 2014 Ernst & Young Ltd All Rights Reserved. www.ey.com/ch