Point of View
Dealing with data Betrouwbaar en inzichtelijk
Jacques Buith, managing partner Deloitte Risk Services “Wees bewust hyperconnected” Dick Berlijn, senior board advisor Deloitte “Veiligheid en vertrouwen cruciaal” Eugene Cernan, de laatste man op de maan “Dromen realiseren door data”
We leven in een ‘hyperconnected’ wereld met eindeloze hoeveelheden data en een razendsnelle ontwikkeling van technologie. Voor bedrijven is het belangrijk om deze grote hoeveelheid data tastbaar te maken, te analyseren, te duiden en bovenal te beveiligen. Willemijn Zwiep, campagnemanager Deloitte: ‘Wij willen duidelijk maken dat Deloitte bedrijven hierin kan ondersteunen. Elk bedrijf beschikt over ongelofelijk veel data. In het nieuws is duidelijk te volgen hoe belangrijk het is om hier zorgvuldig mee om te gaan. Wij hebben security- en privacy-professionals in dienst die kunnen wijzen op de kwetsbare punten. Daarnaast voeren we analyses uit die inzicht geven in trends binnen de markten van onze klanten.’
2
3
voorwoord
Deloitte en data: de lessen van een astronaut De meesten van u zullen wel weten hoe de eerste mens op de maan heette. Juist: Neil Armstrong. Het was 21 juli 1969 toen hij als commandant van Apollo 11 op de maan landde en vanuit zijn astronautenhelm bij zijn eerste stappen op die stoffige bodem de wereld toesprak: ‘That’s one small step for men, one giant leap for mankind.’ Maar weet u ook wie de laatste mens was die op de maan wandelde? Die man was onlangs bij ons op bezoek en bekeek Rotterdam vanuit de 44e etage van Deloitte’s hoofdkantoor aan de Maas. Zijn naam is Eugene Cernan. Deze inmiddels 78-jarige Amerikaan stond in 1972 als voorlopig laatste mens op de maan en hij speelt nu de hoofdrol in onze nieuwe advertentiecampagne. Wat doet een astronaut in een campagne van een accountants- en consultingfirma, zult u zich nu afvragen? Dat zal ik u uitleggen. Het heeft alles te maken met data en betrouwbaarheid. Deloitte heeft als accountant de beschikking over een enorme hoeveelheid gegevens. Met die data van onszelf en van onze klanten moeten we heel zorgvuldig omgaan. Dat hoort bij ons vak. We willen boven alles een betrouwbare partner zijn. Voor Eugene Cernan en zijn bemanning van Apollo 17 waren data en betrouwbaarheid ook twee cruciale waarden bij hun reis naar de maan. De data die Apollo 17 doorkreeg van het Amerikaanse ruimtevaartagentschap NASA voor de landing op de maan moesten volledig betrouwbaar zijn, anders zou de missie mislukken. Of om Cernan te citeren: ‘Als je data niet kloppen, zou het zo maar kunnen gebeuren dat je na een reis van ruim 400.000 kilometer de maan op een paar kilometer mist.’
Colofon Point of View: Dealing with data, is een magazine over dataveiligheid en -analyse Redactieadres Deloitte t.a.v. Walter Wijnhoven Postbus 2031
De datatechnologie van 1972 is niet meer te vergelijken met die van nu. Cernan wees er fijntjes op dat in mijn mobiele telefoon meer data zitten dan in de cockpit van zijn Apollo-raket destijds. Bij Deloitte kunnen en doen we dus ook steeds meer met de data die we ter beschikking hebben. De mogelijkheden zijn inspirerend groot. Voor ons en voor onze klanten. Op basis van hun data kunnen wij beter en sneller dan ooit tevoren analyses maken van hun speelveld. We kunnen scherper dan ooit aangeven waar de kansen liggen en waar de uitdagingen, om zo meer zekerheid te verschaffen aan mensen en bedrijven.
wwijnhoven@deloitte.nl Tekst Max Christern, Paul Groothengel, Mirjam Streefkerk, Paul van Wijngaarden, Walter Wijnhoven Fotografie Lenny Oosterwijk, Hollandse Hoogte Aan dit nummer werkten mee Dick Berlijn, Jacques Buith, Monique Levels, Leonie van der Meer, Jacobine Roozendaal, Roel van Rijsewijk, Marwin Stenekes,
Cruciaal bij al die mogelijkheden die data ons bieden, is dat de analyse tot in detail klopt – dat het verhaal aan alle kanten betrouwbaar is. En dat de data veilig beheerd worden. Cyber security heeft bij Deloitte de hoogste prioriteit: onze security- en privacy-professionals - we noemen ze hier: de ethische hackers - behoren tot de besten van de wereld en maken onze klanten daardoor minder kwetsbaar.
Marco Veen, Derk Wieringa, Marko van Zwam, Willemijn Zwiep Vormgeving Deloitte Brand, Communications & Corporate Social Responsibility Druk HENK Grafimedia Center, Tegelen
Anno 2012 zou je data-analyse in feite kunnen zien als spreekwoordelijke reizen naar de maan. Als wij de betrouwbaarheid en veiligheid van de data garanderen, kan het toch niet lang meer duren totdat Eugene Cernan zijn eretitel als laatste man op de maan kwijtraakt.
© 2012 Deloitte Niets uit deze uitgave mag worden overgenomen en/ of gereproduceerd zonder schriftelijke toestemming van de uitgever. www.deloitteoverdata.nl www.nu.nl/deloitteoverdata
Peter Bommel, CEO Deloitte Nederland
4
3000 CA Rotterdam
PoINT oF vIEw
Inhoud COVERSTORY
6 Eugene Cernan De laatste man op de maan over data
22 Dick Berlijn Vertrouwen in internet van levensbelang
INTERVIEWS
16
18
Jacques Buith Minder kwetsbaar in een ‘hyperconnected’ wereld
26
Marco Veen Meer blauw online
29
Roel van Rijsewijk Geld verdienen door zorgvuldig met data om te gaan
Marko van Zwam Hackwedstrijden voor een veiligere wereld
ACHTERGROND
SERVICEPAGINA
14. Miljoenen verslindende cybercrimes
30. Diensten, whitepapers en video’s
20. Het ABC van cybercrime en cybersecurity 24. Facts & figures over cybercrime 28. Cyberrisico’s: do’s en don’ts voor werknemers en werkgevers
5
6
Eugene Cernan, de laatste man op de maan
COVERSTORY
“Zonder data had ik mijn droom nooit kunnen realiseren� Als kind droomde Eugene Cernan dat hij voet op de maan zou zetten. Jaren later maakte hij zijn droom waar en schreef hij zijn initialen in het maanzand. Veertig jaar na dato is hij nog steeds de laatste man op de maan. Een gesprek met de 78-jarige Amerikaanse astronaut over leiderschaplessen uit de ruimte, het geloof in een schepper en de noodzaak om dromen na te jagen. 7
Hij was de laatste die vertrok. De laatste mens die zijn voetafdruk op de grijze, stoffige bodem van de maan achterliet. Vlak voordat Eugene Cernan als commandant van Apollo 17 zijn hand aan de trapleuning van zijn ruimteschip zette om de maan te verlaten, besefte hij de historische waarde van het moment en sprak hij vanuit zijn astronautenpak de wereld nog even toe. ‘Terwijl ik deze voorlopig laatste stappen zet op het maanoppervlak, wil ik nog opmerken dat Amerika’s uitdaging van vandaag het lot van de mensheid van morgen heeft gesmeed. Moge God de bemanning snelheid geven.”
“De landing was het spannendste en meest uitdagende kwartier uit mijn leven” Bijna veertig jaar later is diezelfde Cernan neergestreken in Rotterdam. Eugene – call me Gene – Cernan, 78 jaar oud inmiddels maar nog zeer kwiek ogend en stralend van warme hartelijkheid, bezoekt de Maasstad een paar dagen om opnames te maken voor de nieuwe mediacampagne van Deloitte waarin hij de hoofdrol speelt. Hij kan het nut van data uit eigen ervaring onderstrepen: zonder data was hij nooit op de maan geland en veilig teruggekeerd. Of om in zijn eigen woorden te spreken: “Zonder data had ik mijn droom nooit kunnen realiseren.” Die droom had Eugene Cernan al als kleine jongen. Hij wilde naar de maan vliegen. Hij wilde het onmogelijke. En het lukte. Sindsdien vertelt hij met verve zijn ervaringen van die drie magische dagen in de Taurus-Littrow-vallei, het berglandschap op de maan waar hij vier dagen, veertien uur, tweeëntwintig minuten en elf seconden na de lancering in Houston op 11 december 1972 aankwam. “De landing was het spannendste en meest uitdagende kwartier uit mijn leven. Maar toen we de motoren uitzetten, was er stilte. Totale stilte. Je hoorde niets; geen gepiep van vogels, geen blaffende hond in de verte, zelfs geen wind. Helemaal niets. Het was overweldigend.”
8
Het was Cernans derde ruimtevlucht. In 1966 was hij als co-piloot van de Gemini 9A voor het eerst de ruimte in gegaan. Drie jaar later, in mei 1969, ging hij mee als een van de piloten in de Apollo 10. De driekoppige bemanning van deze vlucht kwam dicht in de buurt van de maan, maar landde er bewust niet. Daarmee werd de Apollo 17 de eerste keer dat Cernan daadwerkelijk voet zette op de bodem van de maan. Tijdens uw vlucht met Apollo 10 waren er technische problemen. En tijdens de vlucht met Apollo 13 moest vanwege een ongeluk aan boord de maanlanding worden afgelast. Bent u ooit bang geweest dat het mis zou gaan tijdens Apollo 17? “Ik wil het risico niet onderschatten, maar bang ben ik nooit geweest. Als dat wel zo was geweest, had ik moeten besluiten om niet te gaan. Ik wist door de vorige vluchten wat er fout kan gaan. We wisten dat er altijd onverwachte problemen konden opduiken. In de voorbereiding probeer je alle risico’s op een rij te zetten en train je hoe je moet reageren. We voelden ons goed voorbereid en zelfverzekerd genoeg om elk probleem aan te pakken. En als dat niet zo was geweest, dan waren we gewoon thuisgebleven. We realiseerden ons steeds weer dat we ook maar gewone mensen zijn. Natuurlijk, door die ruimtevluchten denken mensen dat ik een hele bijzondere, slimme jongen ben, the greatest aviator in the world. Maar net als jij doe ik ’s morgens gewoon mijn kleren aan, steek in mijn benen één voor één in de pijpen van mijn broek. En als ik me met een mes in de vingers snij, gaat het bij mij ook bloeden. Zolang we maar niet gingen denken dat we onoverwinnelijk en geniaal waren, bleven we scherp. Ik ben gewoon een jongen die de kans kreeg om iets speciaals te doen in zijn leven. En ik heb geprobeerd om dat, met mijn capaciteiten en commitment zo goed mogelijk te doen. Sommigen zullen zo’n project gevaarlijk vinden. Voor mij was het een unieke kans en een uitdaging.”
COVERSTORY
9
“Dat is voor mij leiderschap: het zijn niet alleen je woorden, maar ook je acties” U was de kapitein op het ruimteschip, de leider van de missie. Welke leiderschapslessen heeft u uit die reis meegenomen naar huis? “Het grootste compliment dat ik ooit kreeg, was van iemand die naar mijn verhaal had geluisterd en na afloop tegen me zei: ‘Captain Cernan, ik hoef het niet allemaal met u eens te zijn, maar ik heb respect voor u, want u gelooft in wat u zegt.’ Dat is voor mij leiderschap: het zijn niet alleen je woorden, maar ook je acties, de manier waarop je met jezelf en met anderen omgaat. Durf je verantwoordelijkheid op je schouders te nemen? Voor mij persoonlijk was het belangrijk om de leider, de commandant te zijn op een ruimtevlucht. Ik had eerder de uitnodiging gekregen om mee te gaan met Apollo 16. Dat leek een unieke kans om na de ervaringen met Apollo 10 toch echt op de maan te landen. Maar ik werd gevraagd voor de rechterstoel in de cockpit, niet voor de stoel van de commandant. Ik heb vriendelijk bedankt voor de uitnodiging.
10
Mijn baas dacht dat ik gek geworden was, en misschien had hij wel gelijk. Want het was op dat moment helemaal niet zeker dat er na die reis nog een kans zou komen om naar de maan te gaan. Dus waarom wilde ik niet? Ik denk dat ik voor mezelf wilde bewijzen dat ik met de verantwoordelijkheid kon omgaan om een ruimteschip naar de maan te brengen en daarna weer veilig terug naar huis te komen. Ik heb me in het NASA-programma altijd een underdog gevoeld. Dat komt waarschijnlijk omdat ik heel jong geselecteerd ben en nooit door de officiële pilotenselectie hoefde te gaan. Ik werd uit de Marine gehaald en kreeg de kans om het ruimtevaartprogramma te gaan volgen. Maar ik had niet de ervaring die de andere jongens hadden. Dat heeft er denk ik voor gezorgd dat ik altijd wilde bewijzen dat ik het kon, aan mezelf en aan die collega’s. Ik wilde dat die missie een succes werd, in alle opzichten. Dat was mijn vurige wens. En ik kan hier nu zeggen dat dat allemaal gelukt is. Apollo 17 is de meest succesvolle vlucht geweest van het hele Apollo-programma. Dat moest ook wel met alles wat we van de vluchten voor ons geleerd hadden. We hadden wel de meest uitdagende en risicovolle landingsplek. We kwamen in een vallei terecht met bergen die net zo hoog waren als de kloven in de Grand Canyon diep zijn. Maar nooit eerder verliep de landing zo goed en we hadden meer brandstof over dan gepland. In de drie dagen dat we op de maan waren, verzamelden we meer materiaal dan tijdens de vorige missies. En het was de meest menselijke missie: je hoorde alles wat we zeiden, we probeerden al onze ervaringen te delen met de mensen thuis. We wilden laten zien dat hier geen robots op de maan liepen, maar echte mensen. Van die missie wilde ik heel graag de leider zijn. Ik wilde van die missie een ongekend succes maken en terugkomen zonder dat ik me ergens voor zou hoeven excuseren.”
COVERSTORY
Op de beelden van de drie dagen op de maan is die menselijkheid die Cernan in zijn missie wilde stoppen, duidelijk te zien. Samen met zijn co-piloot Harrison ‘Jack’ Schmitt maakt Cernan urenlange wandelingen die vooral bijblijven door het vele springen, huppelen en zelfs zingen. Op YouTube zijn de filmpjes nog steeds te zien en vooral de versie waarin Cernan zingend een heuvel af huppelt, is historisch: ‘I was strolling on the moon one day…’ “We geven onszelf als mensen vaak te weinig krediet voor de wijze waarop we ons weten aan te passen aan nieuwe omstandigheden. In het ruimteschip en ook op de maan, weeg je nog maar een zesde van wat je op aarde weegt. Dus je hersenen schakelen over op huppelen en springen als je normaal gesproken zou gaan lopen. En dan ga je vanzelf lopen zingen als je als een kangoeroe over de maan huppelt!” Als je, zoals u, huppelend en zingend over de maan beweegt, en je ziet in de verte de aarde liggen, kun je dan nog bevatten wat zich hier allemaal afspeelt? In uw laatste woorden voordat u de maan verlaat, riep u God aan voor zijn hulp op de terugreis. Geloofde u na drie dagen op de maan nog steeds op dezelfde manier in God als daarvoor? “Ik heb altijd in God geloofd, al ben ik nooit fanatiek gelovig geweest. Dat schietgebedje dat ik uitsprak voordat ik weer aan boord ging, was een tekst die op een bordje stond dat aan de ladder vastzat. Dat had iemand die dat toestel had gemaakt er blijkbaar opgezet. Toen ik het las, dacht ik: dat is mooi om hardop voor te lezen. Tijdens mijn reis met Apollo 10 had ik al een kans gehad om mijn gedachten over God tegen het licht te houden. Vanuit de ruimte zie je eerst de maan liggen, nog steeds ver weg en in een ander licht dan je gewend bent. Het is driedimensionaal en omgeven door iets dat donkerder is dan de donkerste luchten die je kent. Ik noem het ‘zwartheid’ [blackness], de oneindigheid van alles, van ruimte, van tijd. En ik weet dat het bestaat want ik heb het met mijn eigen ogen gezien. Vanuit het ruimteschip zie je in die zwarte oneindigheid de aarde liggen. Het lijkt soms zo dichtbij te zijn dat je er bij kunt met je handen, dat je de aarde kunt pakken en meenemen naar huis om ‘m daar te laten zien.
Tijdens Apollo 10 kwam ik tot de conclusie dat dit alles niet zo maar kan zijn ontstaan. Er moet ergens een schepper zijn van het universum. En dat beschouw ik niet als iets religieus, ik zie dat meer als een spiritueel statement. Het maakt mij niet uit welke naam je geeft aan je god, of welke kleren je hem aantrekt of op welke manier je hem aanbidt: voor mij is het duidelijk dat er een schepper is die boven alle religies uitstijgt. Een schepper van het universum en ik noem hem toevallig God en ik heb mijn eigen manier om hem te aanbidden. Maar er is er maar eentje daarboven. Die overtuiging groeide alleen maar verder toen ik met Apollo 17 naar de maan ging. Toen stond ik met beide benen op een andere planeet en zag ik achter de bergen, in het zuidwesten de aarde liggen: de plek die we ons thuis noemen. Ik zag heel helder Noord- en Zuid-Amerika langskomen en de diepblauwe kleuren van de oceanen; Azië en Afrika gleden voorbij, ik zag hoe de zon opkomt en ondergaat en de verschillende delen van de aarde beschijnt. Onbeschrijfelijk mooi was het allemaal. Ben ik er religieuzer door geworden? Nee. Maar toen we vertrokken en ik op een knop moest drukken om alle motoren weer aan te zetten, heb ik wel even mijn schietgebedje gedaan. Want op dat moment kun je alle extra hulp gebruiken om alles goed te laten verlopen. En het werkte!”
“Droom het onmogelijke, ga dan de wereld in en doe het in het echt”
11
U bent al veertig jaar lang de laatste man op de maan. Verbaast u dat? Wat dacht u zelf toen u destijds uw voet voor het laatst optilde en weer aan boord ging? “Destijds dacht ik dat we binnen tien jaar weer zouden terugkeren. En dat we rond de eeuwwisseling de eerste mens op Mars zouden hebben. Ja, het is leuk dat ik nog steeds de laatste man op de maan ben. Maar ik ben echt teleurgesteld over de Amerikaanse ruimtevaart. Vijftig jaar geleden hebben we het leiderschap in de ruimte geclaimd en de Russen verslagen op dat vlak nadat president Kennedy ons had uitgedaagd om de eerste mens op de maan te zetten. En kijk waar we nu zijn, vijftig jaar later: JFK zou zich omdraaien in zijn graf. Er is geen agenda, NASA heeft geen doel. We zijn de dupe van de politieke agenda. Obama heeft alle plannen stopgezet. Samen met Neil Armstrong en een aantal andere oud-astronauten hebben we ons nog fel verzet tegen zijn plannen. Het is echt de doodsteek voor de Amerikaanse ruimtevaart. Maar het heeft nog niet mogen baten. Er zijn wel plannen voor een nieuwe raket, die astronauten in een baan om de aarde moet brengen, maar dat programma heeft geen duidelijk doel. Het is een mission to nowhere. Ik denk dat de Chinezen straks eerder op de maan staan dan wij weer.
“In een iPhone zit meer techniek dan in de hele Saturn 5-raket van Apollo 17” Voor iemand die drie keer de ruimte in is geweest en die met zijn vingers zijn eigen initialen en die van zijn dochter in het maanzand heeft geschreven, is het niet te accepteren dat we nu thuis blijven. Dit jaar is het veertig jaar geleden dat de laatste mens op de maan was. Dat moet iedereen toch teleurstellen?”
12
Het geeft u in ieder geval al veertig jaar de kans om uw verhaal te vertellen. Wat beschouwt u nu, terugkijkend op die periode, als de belangrijkste lessen van uw reis naar de maan? “Het hele programma gaf een enorme stimulans aan de technologie in het algemeen. Er bestond destijds geen computertechnologie om naar de maan te gaan. In een iPhone zit meer techniek dan in de hele Saturn 5-raket van Apollo 17. Dat kun je je nu nauwelijks meer voorstellen. Maar daar, met die reizen naar de maan, begon een technologische revolutie. We brachten hoop voor het Amerikaanse volk. Jaren later hoorde ik dat krijgsgevangenen in Vietnam soms suikerzakjes onder ogen kregen waarop ze een astronaut een Amerikaanse vlag op de maan zagen planten. Dat gaf ze de kracht om door te zetten. Verder hebben we veel mensen geïnspireerd om hun dromen na te jagen. Ik geloof zelf heel erg in dromen najagen: iets doen dat je heel graag wil maar waarvan je denkt dat je het nooit kunt. Er zijn in de loop der jaren veel mensen naar me toe gekomen die me vertelden: omdat het u lukte, durfde ik ook mijn droom na te jagen. Dat is de unieke legacy van Apollo. Mijn grootouders hadden ooit ook een droom die uitkwam: ze wilden weg uit hun geboorteland, het toenmalige Tsjechoslowakije om in de Nieuwe Wereld van de Verenigde Staten hun kinderen en de generaties daarna een betere toekomst te kunnen geven. Ook die droom kwam uit. En mijn vaders droom ook: om mij het onderwijs te laten krijgen dat hij zelf nooit had gekregen.” Droomt u nu nog wel eens? “Ja, ik heb nog steeds dromen, al droom ik nooit over de maan. Ik droom van dingen waarvan ik dacht dat ik ze nooit zou kunnen. Ik wil nog steeds dingen voor elkaar krijgen die ik belangrijk vind. Ik praat graag met kinderen, want zij zijn de dromers, zij durven nog te dromen. Ik vertel ze altijd: droom het onmogelijke, ga dan de wereld in en doe het in het echt. Dat heb ik ook gedaan, vertel ik ze dan: ik liep op de maan toen jouw vader en moeder nog in de luiers lagen. Dus niet thuis op de bank gaan zitten en zeggen dat het niet kan. Hup, gewoon geloven in jezelf en doen. En er zijn al kinderen die een paar jaar later bij me terugkwamen om te vertellen: het is me gelukt. Ik heb het onmogelijke mogelijk gemaakt. Als ik dat hoor, is er weer een droom voor mij uitgekomen.”
ŠDeloitte The Netherlands
13
Miljoenen verslindende cybercrimes Het zijn nu al klassiekers voor elk Handboek CyberCrime Cases: de hacks op Sony’s PlayStation Network en het Beverwijkse DigiNotar. In beide gevallen werden miljoenen klanten gedupeerd en werd er voor miljoenen schade geleden. Sony PlayStation Network maand plat na hackaanval Accountgegevens van 77 miljoen klanten op straat. Niet alleen hun e-mailadressen en wachtwoorden, ook nog eens 10 miljoen creditcardnummers. Dat overkwam Sony vorig jaar op 19 april. Hackers hadden met speels gemak een complete database gekraakt, met persoonlijke gegevens van tientallen miljoenen klanten die gebruikmaakten van Sony’s PlayStation Network en online computerspelletjes. In een eerste reactie duikelde het - toch al geplaagde - aandeel Sony met zes procent; de concurrenten van Nintendo en de Xbox van Microsoft wreven zich verlekkerd in de handen. Door de hack was het PlayStation Network ruim een maand offline, wat Sony naar eigen zeggen een slordige 120 miljoen euro kostte. Een van de redenen waarom de cybercriminelen hun slag konden slaan was dat Sony de wachtwoorden van
14
gebruikers onversleuteld in de database zou hebben laten staan. En dat is toch wel les 1 onder programmeurs: versleutel altijd je wachtwoorden. Volgens een beveiligingstopman van concurrent Microsoft, John Howie, draaiden Sony’s servers ongepatchte software en waren er programmeerfouten gemaakt die hij fijntjes typeerde als ‘beginnersfouten’. Nadat het drama bekend was geworden, en Sony koortsachtig op zoek ging naar afdoende beveiliging, struikelden bloggers, nieuwswebsites en andere media over elkaar heen: hoe had Sony zó stom kunnen zijn? De reactie van Sony was ook niet bepaald adequaat: de Japanse elektronicagigant kreeg het niet voor elkaar de gedupeerde klanten tijdig te informeren. Sony dacht aanvankelijk zijn gezicht nog enigszins te redden door gratis spelletjes uit te delen aan gedupeerde klanten, maar dat baatte niet: de imagoschade dijde in rap tempo verder uit. Zeker toen andere hackers binnen
interview
enkele weken doodleuk aantoonden dat ook andere entertainmentsystemen van Sony (video´s, films, muziek) makkelijk te hacken waren. Na een maand of drie had Sony de beveiliging naar eigen zeggen goed op orde. De klanten bleken vergevingsgezind: ze keerden massaal terug. Sterker nog, Sony kon opgelucht melden ‘dat er drie miljoen nieuwe gebruikers bij waren gekomen.’ Omdat de naam PlayStation Network niet meer van de associatie ‘rammelende beveiliging & miscommunicatie’ leek af te komen, deed Sony begin dit jaar afstand van deze merknaam. Het spelletjesnetwerk luistert nu officieel naar de naam Sony Entertainment Network. Drama DigiNotar: meer dan 500 beveiligingscertificaten gekraakt De schrik was groot toen vorig jaar september bleek dat de veiligheidscertificaten die DigiNotar had uitgegeven voor (overheids)websites, helemaal niet veilig bleken. Het Beverwijkse bedrijf, onderdeel van het Amerikaanse beveiligingsbedrijf Vasco Data Security, was zeer slordig omgegaan met een aantal basale beveiligingsmaatregelen. Zo werden geen virusscanners gebruikt, waren de wachtwoorden makkelijk te kraken, en werkte het bedrijf met verouderde software, waardoor hackers doodeenvoudig hun slag konden slaan. Daarnaast functioneerden alle systemen van DigiNotar binnen één domein, waardoor hackers die daarin weten in te breken, direct door kunnen naar alle systemen. DigiNotar wist bovendien een externe systeem-auditor te misleiden. Al in juni 2011 lukte het een Iraanse hacker in te breken bij het Beverwijkse DigiNotar, onderdeel van het Amerikaanse beveiligingsbedrijf Vasco Data Security.
Het ging om een ‘man-in-the-middle-aanval’, waarbij een aanvallende hacker zich met zijn computer tussen twee communicerende partijen nestelt en, zonder dat die dat weten, ongemerkt berichten kan lezen en veranderen. In dit geval ging de hacker nog verder, waardoor DigiNotar op 10 juli een certificaat uitgaf voor het Google-domein *.google.com, dat bleek toe te behoren aan onbekende personen in Iran. Gevolg: terwijl de gebruiker van de Google-website in zijn internetbrowser de aanduiding ‘veilig’ ziet, en dus de garantie denkt te hebben op de authentieke website te zijn, kan ondertussen doodleuk informatie worden afgetapt door een andere partij. Verbijsterend was dat DigiNotar in juli al wist van de uitgifte van dit nepcertificaat, maar daar geen melding van maakte. Pas nadat eind augustus een blogger de noodklok luidde, volgde een bevestiging door DigiNotar. Toen het bedrijf eindelijk aangifte deed van de inbraak, gelastte het Openbaar Ministerie direct een onderzoek. Uiteindelijk bleken er door de hack bij DigiNotar meer dan 500 valse certificaten te zijn uitgegeven. Heel Nederland was in rep en roer, zeker toen minister Donner van Binnenlandse Zaken in een nachtelijke persconferentie verklaarde ‘dat de betrouwbaarheid van honderden overheidssites momenteel niet valt te garanderen.’ Extra beveiliging was niet meer nodig, DigiNotar overleefde de aanval van de hacker niet. Nadat de Onafhankelijke Post en Telecommunicatie Autoriteit alle certificaten van DigiNotar als ongeldig bestempelde en de overheid aangaf dat het bedrijf geen nieuwe certificaten meer mocht verstrekken, werd DigiNotar eind september failliet verklaard. Ongeveer vijftig mensen verloren hun baan. De Nederlandse staat eist nu een schadevergoeding van € 8,7 miljoen van DigiNotar.
15
Minder kwetsbaar in een ‘hyperconnected’ wereld We zijn ‘hyperconnected’. Mensen zijn de hele dag online, maar ook auto’s, ziekenhuisapparatuur en andere machines maken gebruik van de mogelijkheden die het wereldwijde web ons biedt. Dat heeft ons gelukkig veel goeds gebracht. Maar het maakt ons ook kwetsbaar. En daar moeten we iets aan doen.
Een telecombedrijf dat een paar dagen geen netwerk beschikbaar heeft, kan bedrijven en ziekenhuizen lamleggen en maakt essentiële zaken onbestuurbaar. Juist bedrijven in de telecom- en techologiesector zouden dus de handschoen op moeten pakken om iets aan die onzekerheid te doen, zo vindt Deloitte. “Dit zijn de bedrijven die het internet hebben gemaakt, het is dus ook hun verantwoordelijkheid dat dit op een veilige manier in de samenleving functioneert “, zegt Jacques Buith, managing partner bij Deloitte. “Sommigen zeggen dat je dit alleen met wet- en regelgeving kunt aanpakken. Maar wij denken dat je dan niet de best mogelijke situatie krijgt. Bedrijven zullen voldoen aan de regels, maar ook niet meer dan dat. Dan kom je dus op een 6 uit. Terwijl veiligheid en betrouwbaarheid van dit soort bedrijven essentieel is. Een 10 moet het streven zijn.”
16
Risicomanagement Al een paar jaar reist Buith de hele wereld over om met grote spelers als Microsoft, British Telecom, Visa, Fujitsu tot afspraken te komen over cyber risk management. Voor het World Economic Forum leidt hij namens Deloitte de projectgroep Risk en responsibility in a hyperconnected world.
interview
De gemaakte afspraken werden in een intentieverklaring vastgelegd in januari 2012, bij het World Economic Forum in het Zwitserse Davos, waar wereldleiders en directieleden van de grootste bedrijven ter wereld jaarlijks samenkomen om te praten over de economische en maatschappelijke uitdagingen in de wereld. Vier principes Die intentieverklaring, opgesteld onder leiding van Deloitte, bestaat uit vier principes, Buith: “Het eerste principe is dat we moeten erkennen dat we allemaal met elkaar verbonden en dus ook van elkaar afhankelijk zijn. Als je dat als bedrijf erkent moet je dat ook duidelijk maken aan alle partijen in je keten: van je leveranciers tot je klanten.” Het tweede principe is dat de leider van een bedrijf of van een land altijd de verantwoordelijke is voor cyber risk management. “Je ziet vaak dat ergens weggestopt bij de it-afdeling een security officer zit, die het risicomanagement misschien zelfs heeft uitbesteed. Als je als leider altijd verantwoordelijk neemt, laat je zien dat je de risico’s serieus neemt.”
Op tientallen zo niet honderden vlakken loopt een bedrijf risico. “Al die risico’s moet je niet los van elkaar gaan managen”, zegt Buith. “Ze stáán namelijk niet los van elkaar. De cyberrisico’s zijn een integraal onderdeel van de totale bedrijfsrisico’s. Ons derde principe is dan ook integrated risk management. Alle verschillende risico’s worden misschien in eerste instantie besproken op verschillende afdelingen, maar uiteindelijk moeten ze ook in de Raad van Bestuur aan de orde komen.”
“Al die risico’s moet je niet los van elkaar gaan managen” Het vierde principe is Promote uptake. Organisaties moeten ervoor zorgen dat de eerder genoemde principes worden overgenomen door de hele keten waarmee zij werken. “Als je dus zaken doet met een leverancier ga je eisen dat hij ook volgens deze principes gaat werken. Wanneer hij dat niet doet, kun je ervoor kiezen met iemand anders in zee te gaan.” Verschillende bedrijven ondertekenden de intentieverklaring al, maar daarmee is het werk van Buith nog niet gedaan: de principes moeten worden omgezet in richtlijnen. Hij blijft voorlopig dus nog wel de wereld rondreizen om de boodschap van Deloitte te verspreiden. Buith: “Uiteindelijk moeten we komen tot concrete afspraken over hoe we in de dagelijkse praktijk invulling gaan geven aan die principes. Als je als bedrijf die richtlijnen dan omarmt, weet je dat je een bijdrage levert aan een veiliger en minder kwetsbare wereld.” Meer informatie over Jacques Buith en cyber risk management? www.linkedin/com/in/buith
17
Meer blauw Ook verdachten en criminelen maken gebruik van Twitter, Facebook en hun mailbox. Logisch dus dat rechercheurs erin worden getraind digitale aanwijzingen te gebruiken in hun opsporingsactiviteiten. Natuurlijk: bij de politie werken veel specialisten op it-gebied. Er is landelijk een team dat zich bezighoudt met high tech crime, zoals bijvoorbeeld kinderporno. En ook binnen de korpsen zijn er digiteams, die zich bezighouden met het opsporen van digitale criminaliteit. “Dat zijn de echte kenners”, zegt Marco Veen, werkzaam bij de afdeling Forensic & Dispute Services van Deloitte. “Maar bij de tactisch rechercheurs, de politieagenten die zich met de gewone opsporing bezighouden, ontbreekt het vaak nog aan voldoende kennis over de digitale mogelijkheden op het gebied van opsporing. Het is dus nodig dat zij een bewustwordingstraining krijgen.” De afdeling van Veen is samen met het Programma Aanpak Cybercrime van de Nederlandse politie en het bedrijf ForensicPlaza verantwoordelijk voor het trainingsprogramma opsporing en digitalisering dat nu al door ruim 900 tactisch rechercheurs werd gevolgd.
18
interview
online Twitter en LinkedIn “Sommige rechercheurs hebben op een verjaardag weleens over Twitter gehoord. Ze denken dat het iets is waar mensen vertellen dat ze in de bus zitten, dat ze gaan eten of gaan slapen. Maar ze hebben zich wellicht niet eerder gerealiseerd dat het ook weleens een opsporingsmethode kan zijn. Daar proberen wij ze van bewust te maken”, zegt Veen.
De rechercheurs worden tijdens de training ook bewustgemaakt van hun eigen internetgedrag. “Iedereen die op het web surft, laat sporen achter. Als jij als agent je gaat mengen in een hackersforum en je gebruikt als webbrowser Internet Explorer, ben je eigenlijk meteen al verdacht. Er is geen hacker die dat gebruikt. Wij laten zien hoe je door het gebruik van servers in andere landen ook anoniem kunt surfen.”
“Voor LinkedIn geldt hetzelfde. Wie gebruikt dat nou, denken sommigen. Maar vaak kun je daar informatie over een bedrijf vinden die meer accuraat is dan de gegevens die je van de Kamer van Koophandel krijgt. Dat is handig als je doorzoeking hebt bij een bedrijf.” Veen en zijn collega’s laten de rechercheurs zien hoe ze aan bepaalde informatie kunnen komen. “Elke e-mail bevat bijvoorbeeld een header, die de gewone internetgebruiker niet ziet omdat er voor hem totaal oninteressante gegevens instaan, zoals via welk ip-adres een mail is verstuurd of vanaf welke provider. Politie en justitie kunnen vervolgens met die informatie aan naam- en adresgegevens komen.”
In de kroeg Ook het privégebruik van internet komt aan de orde. “Een politieagent laat ‘s nachts zijn achterdeur niet openstaan, maar kan net als een gewone internetgebruiker wel een slecht beveiligde router hebben. Wij wijzen hen erop dat het juist voor mensen in hun functie belangrijk is ook het eigen internet goed af te schermen.”
Opsporing versnellen Alleen al weten wat er allemaal mogelijk is met digitale opsporing, kan de opsporing versnellen, zegt Veen. Zelfs als een rechercheur vervolgens niet weet hoe hij aan die informatie komt. “Hij kan dan met een gerichte vraag naar de digitale afdeling van het korps. Als je niet weet dat die informatie er is, zul je die vraag natuurlijk nooit stellen.”
Nog niet zo lang geleden kreeg Veen een mailtje van een rechercheur die zijn cursus had gevolgd. “Hij had om tien uur ‘s avonds in de kroeg een verdachte kunnen oppakken, omdat hij via sociale media een foto van hem had gevonden, gezien had welke kroeg hij vaak bezocht en dat hij daar die avond een afspraak had staan. Hij bedankte ons voor de training. Dat de opgedane kennis meteen al in de praktijk wordt gebracht is natuurlijk een hartstikke groot compliment.”
Datzelfde geldt als een rechercheur op een plaats delict terechtkomt. Veen: “Hij ziet daar een neergeschoten slachtoffer en moet dus op zoek naar sporen. Het is natuurlijk heel goed mogelijk dat er in de smartphone van het slachtoffer heel veel relevante informatie staat: over de locaties waar die persoon is geweest, met wie hij op de verschillende locaties contact heeft gehad. Als een rechercheur dat weet, zal hij die telefoon zo snel mogelijk laten uitlezen door de digitale afdeling.” 19
20
COVERSTORY
21
‘Vertrouwen in internet van levensbelang’ Zonder veiligheid en vertrouwen kan een samenleving niet functioneren. Dat heeft Dick Berlijn in zijn vorige baan als Commandant der Strijdkrachten (CDS) met eigen ogen vaak genoeg gezien. Nu wil hij bedrijven, overheden en burgers bewust maken van het belang van cyber security. “Als je online gegevens niet meer kunt vertrouwen, begint een samenleving te haperen.”
Hij zag het toen hij als CDS vaak in Afghanistan kwam: een maatschappij waarin veiligheid en vertrouwen ontbraken. “Het bestuur functioneerde er niet, verkeer over wegen was moeizaam, scholing ontbrak: allemaal zaken die wij doodnormaal vinden, werkten daar niet, simpelweg omdat het er niet veilig was.” Inmiddels is Dick Berlijn werkzaam bij Deloitte, waar hij naast de raad van bestuur ook cliënten van het bedrijf adviseert, onder meer op het gebied van cyber security. “Internet heeft ons prachtige dingen gebracht: we hebben onze kennis kunnen verdiepen en staan met de hele wereld in contact. We plegen handel met een klik op de muis. Alles is verbonden met internet.”
Kwetsbaar “Maar dat alles maakt ons ook kwetsbaar. En het misbruik ervan neemt toe. Soms is er sprake van ordinaire diefstal, als hackers erin slagen rekeningen van particulieren leeg te roven. Een andere keer wordt het internet gebruikt om te chanteren. Dan krijgt een organisatie te horen: als jij niet doet wat ik zeg, leg ik je servers plat.” Vorige maand nog werd door hackersgroepering Anonymous de website van de NAVO platgelegd. Bijna elke dag staat er in de krant wel een bericht van soortgelijke strekking. “Klanten lopen schade op doordat hun gegevens op straat komen te liggen, en bedrijven en overheid lopen hierdoor imagoschade op”, zegt Berlijn. Het aantal incidenten neemt toe, maar ook de consequenties ervan worden groter, helemaal als incidenten ook gelijktijdig plaatsvinden. Berlijn: “Als we morgen in de krant lezen dat de stoplichten te hacken zijn en tegelijkertijd liggen alle pinautomaten plat en worden er overheidssites gehackt dan heeft dat samenlevingsontwrichtende effecten.”
22
interview
Niet doemdenken Berlijn benadrukt dat hij niet wil doemdenken. “Maar we moeten onze ogen niet sluiten voor de risico’s.” En dat is waarvoor hij nu veel rondreist en in opiniestukken en interviews van zich laat horen. Hij wil overheden, organisaties, bedrijven en individuen wijzen op de verantwoordelijkheden die zij hebben als het gaat om cyber security. Volgens Deloitte is het creëren van digitale veiligheid niet alleen een taak van de overheid, integendeel. “We moeten duidelijk maken wat ieders verantwoordelijkheid is en elkaar daarop gaan aanspreken”, zegt Berlijn. Als werknemer moet je niet zomaar een usb-stick waarvan je de herkomst niet kent in je computer stoppen of zonder nadenken alle mail die je ontvangt openen. Van het bedrijfsleven mogen we verwachten dat ze standaarden gaan hanteren die bijvoorbeeld het verkopen van onveilige hardware onmogelijk maakt. En overheden hebben een taak burgers bewust te maken en ook de wet- en regelgeving mondiaal op elkaar af te stemmen: anders kunnen we hier wel proberen om spam te verbieden, maar als die regel in Kazachstan niet geldt kunnen we er weinig tegen doen als het daar op het net wordt gezet.”
“We moeten onze ogen niet sluiten voor de risico’s” Berlijn vergelijkt het met een kind dat naar zwemles wordt gestuurd zodra het kan lopen. “We leven in een waterland en dat is een inherent gevaarlijke omgeving. We leren ze dus omgaan met water, maar bouwen niet om elke sloot of rivier een hek: dat is ondoenlijk en betekent schijnveiligheid. Als mensen, organisaties en overheden weten hoe ze zich veilig in die andere inherent gevaarlijke omgeving – het internet – moeten gedragen, hoeven we ook geen beperkingen aan het gebruik ervan te verbinden.” Meer informatie over Dick Berlijn en cyber security? www.linkedin.com/in/dickberlijn www.twitter.com/dickberlijn
Vertrouwen Bedrijven als Deloitte analyseren op verzoek de cyberrisico’s van bedrijven en overheid. “Wij houden alles wat op de één of andere manier met het internet is verbonden tegen het licht en zorgen daarmee dat onze kwetsbaarheid op het gebied van cyber wordt verkleind.” “Zo nemen we ook onzekerheid weg over de juistheid van onze data en zorgen we ervoor dat het vertrouwen in het maatschappelijk verkeer toeneemt. Organisaties doen dat niet alleen voor zichzelf, maar maken ook onze gemeenschappelijke omgeving een stukje veiliger. Die verantwoordelijkheid zouden meer bedrijven moeten nemen. CEO’s spelen daarin natuurlijk een cruciale rol.” Awareness, of bewustwording over hoe je in de digitale wereld minder kwetsbaar bent, neemt daarbij een bijzondere plaats in. “We moeten niet zomaar veronderstellen dat iedereen dat intuïtief wel weet en we moeten er ook voor zorgen dat we niet de verkeerde maatregelen gaan nemen.”
23
Facts & figures Bedrijfsleven, overheid, grote en kleine organisaties, particulieren: iedereen kan te maken krijgen met cybercrime. Deze facts & figures geven inzicht in belangrijke oorzaken en gevolgen. Bronnen: Ponemon Institute en Verizon, 2011
Role of organization size on variety of data compromise
Who is behind data breaches? 98% 4% <1% 58%
Trade secrets Sensitive organizational data System information Personal information
How do breaches occur? 81% 69% 10% 7% 5%
Bank account numbers/data Classified information Medical records Copyrighted/Trademarked material
utilized some form of hacking incorporated malware involved physical attacks employed social tactics resulted from privilege misuse
What commonalities exist?
Authentication credentials Payment card numbers/data 0%
20%
40%
60%
80%
100%
Percent of breaches
Smaller Orgs
stemmed from external agents implicated internal employees committed by business partners of all data theft tied to activist groups
Larger Orgs
79% of victims were targets of opportunity 96% of attacks were not highly difficult 94% of all data compromised involved servers 85% of breaches took weeks or more to discover 92% of incidents were discovered by a third party 97% of breaches were avoidable through simple or intermediate controls 96% of victims subject to PCI DSS had not achieved compliance
Per capita cost for five industries Converted into $US dollars 249
207
209
269
Please note that these industries are fully represented in all 2010 country studies.
Financial
Communications
24
Technology
Consumer
Retail
192
131 124
159 133 US
79 69 75 UK
165
187 95 127
188 165
138
131
171
112 119
96 63
132
FR
DE
130 123
67
94
AU
Avg
Top 10 Threat Action Types by number of breaches and records - Larger Orgs Rank Variety 1 Use of stolen login credentials 2 Backdoor (allows remote access/control) 3 Exploitation of backdoor or command and control channel 4 Tampering 5 Keylogger/Form-grabber/Spyware (capture data from user activity) 6 Pretexting (classic social engineering) 7 Brute force and dictionary attacks 8 SQL injection 9 Phishing (or any type of ’ishing’) 10 Command and control (listens for and executes commands)
Category Hacking Malware Hacking Physical Malware Social Hacking Hacking Social Malware
Breaches 30% 18% 17% 17% 13% 12% 8% 8% 8% 8%
Records 84% 51% 51% <1% 36% <1% <1% 1% 38% 36%
Time between initial attack and initial compromise – Larger Orgs Seconds
Minutes
Hours
Days
Weeks
Months
Years%
43%
25%
4%
11%
7%
7%
0%
Initial Attack to Initial Compromise
Time between initial compromise and discovery – Lager Orgs Seconds
Minutes
Hours
Days
Weeks
Months
Years%
0%
0%
0%
27%
24%
39%
9%
Initial Compromise to Discovery
Percent of breaches that remains undiscovered for months and more 70%
67% 55%
60% 50%
55% 44%
41%
40% 30% <2008
2008
2009
2010
2011
25
Geld verdienen door zorgvuldig met data om te gaan Een bedrijf dat erom bekend staat onzorgvuldig met vertrouwelijke gegevens om te gaan, kan wel opdoeken. Niemand die daar klant wil worden. Als bedrijf kun je je dus onderscheiden door de beveiliging van je gegevens op orde te hebben en transparant te zijn over wat je ermee doet. “Dat levert je een enorm concurrentievoordeel op.”
26
roel van rijsewijk, director risk Services bij deloitte, constateert dat er sprake is van een belangrijk omslagpunt. “voor bedrijven die andere bedrijven als klant hebben, geldt al langer dat zij zich op het gebied van cyber security kunnen onderscheiden. Nu zien we langzamerhand dat het ook voor consumenten een steeds belangrijker thema lijkt te worden.”
Phishing Bijna dagelijks berichten de media over bedrijven waar hackers konden binnendringen in de servers of dat er ergens klantgegevens op straat zijn komen te liggen, van rijsewijk. “ook de overheid levert een bijdrage aan het toenemende bewustzijn over dit onderwerp, bijvoorbeeld met de campagnes over phishing en internetbankieren.”
die kijken namelijk niet langer alleen maar waar ze het goedkoopst een dienst of product kunnen aanschaffen, maar steeds vaker ook naar hoe een bedrijf zijn data heeft beveiligd. dat komt volgens van rijsewijk doordat er steeds meer aandacht is voor cyber security.
Nog niet zo lang geleden zagen bedrijven het risicomanagement vooral als een unrewarded risk. “Als je het niet goed regelt, heb je schade, maar als je het wel goed doet, creëer je niet per se een meerwaarde. vooral in de online wereld moet je er anders naar kijken: als je heel goed bent in het beveiligen van gegevens van klanten en andere waardevolle data, kun je er veel meer gebruik van maken en er geld mee verdienen.”
S Cyber
INTErvIEw
Betrouwbare partners Maar hoe zorg je er als bedrijf dan voor dat je je onderscheidt? “Ga veel verder dan wat volgens weten regelgeving de minimumstandaard is”, adviseert van rijsewijk, die dagelijks bij klanten met dit soort vraagstukken over de vloer komt. “Zorg dat je de risico’s van je klantgegevens goed managet en dat je zeker weet dat je met een betrouwbare partner in zee gaat als je gebruikmaakt van andere online diensten. En laat hackers proberen je servers aan te vallen om te zien waar er misschien nog gaten zitten.” Een andere tip: laat aan klanten zien wat er bij jou met hun gegevens gebeurt. “XS4ALL meldt in zijn privacy jaarverslag bijvoorbeeld expliciet dingen over de privacy van klanten, daarmee presenteren ze zich als transparante partij en onderscheiden ze zich dus.”
Facebook voorbeelden waar Nederlandse bedrijven naar kunnen kijken zijn volgens van rijsewijk internetgiganten zoals Google en Facebook. “Zij leveren gratis diensten. In ruil daarvoor gebruiken ze de data van hun miljoenen gebruikers om geld mee te verdienen en nemen dus bewust veel risico.” “Ze zijn daarbij enorm innovatief en natuurlijk proberen ze daarom weleens iets nieuws wat op veel weerstand stuit. Maar ze luisteren dan wel naar het commentaar van hun gebruikers. Facebook heeft om die reden al een paar keer een nieuwe functionaliteit weer ingetrokken.” “deze bedrijven zijn zich heel goed bewust van de risico’s van de vele data die zij tot hun beschikking hebben en proberen daar enorm zorgvuldig mee om te gaan. Niet voor niets zijn zij zo groot geworden. Hun business bestaat uit het verzamelen en gebruiken van enorme hoeveelheden data. Blijkbaar zijn zij verschrikkelijk goed in security, want van geslaagde inbraken en grote datalekken is nog geen sprake geweest. Zij zijn dus een voorbeeld voor andere bedrijven.”
Security
27
Cyberrisico’s: do’s & don’ts Wat kunnen werkgevers en werknemers doen en laten? De meeste werknemers en zelfs veel risicomanagers binnen organisaties hebben lang niet altijd zicht op de cyberrisico’s die zij lopen. In een oogwenk kan vertrouwelijke informatie van de organisatie of van klanten op straat komen te liggen. En als de IT niet meer naar behoren werkt, kan zelfs de
businesscontinuïteit in het geding komen. Hoewel het onmogelijk is om risico’s helemaal uit te sluiten, neemt de kans dat er daadwerkelijk iets gebeurt af als de hoeveelheid en kwaliteit van veiligheidsmaatregelen toeneemt. Twaalf do’s en don’ts op een rij voor werknemers en werkgevers.
Werknemer? Niet doen: 6 Een vreemde usb-stick in uw computer stoppen. Dat kan een virus op het bedrijfsnetwerk achterlaten en zo alle machines platleggen. 6 Klikken op een link in een e-mail van een onbekende afzender. Dat kan ertoe leiden dat de computer onderdeel wordt van een botnet, waarmee kwaadwillenden de pc op afstand kunnen besturen. 6 Belangrijke documenten vanaf uw werk naar uw privémailadres sturen. Die opent u misschien op de computer waarop uw kinderen ook spelletjes spelen via onveilige websites. 6 Onbekenden op uw computer laten werken. 6 Weglopen van uw computer zonder deze te ‘locken’. 6 Onbekenden toelaten op de werkvloer.
Werkgever? Wel doen: 3 Goede antivirussoftware en veiligheidsprogramma’s installeren en continu updaten. Dwing als organisatie software-updates af, en laat het initiatief niet aan de gebruiker. Een oude versie waarin bugs niet zijn opgelost, kan gevaar opleveren. 3 Handel als organisatie proactief, en niet pas als het te laat is. Stel uzelf de vraag: hoe kunnen we alles in het werk stellen om ons te weren tegen de cyberrisico’s? 3 Geef niet meer mensen dan noodzakelijk toegang tot bepaalde beveiligde gegevens. Zo verkleint u de kans dat cybercriminelen met persoonlijke data van uw klanten aan de haal gaan. 3 Creëer als leiding bij alle medewerkers meer bewustzijn over de cyberrisico’s en blijf de gevaren én veiligheidsinstructies onder de aandacht brengen. 3 Schakel de hulp van professionals in bij (beschuldiging van) digitale fraude of wangedrag. Ondanks de enorme data-explosie – van bedrijfsnetwerken, e-mail, smartphones tot social media – kan alle relevante data naar boven worden gehaald om tot op de bodem uitzoeken wat er precies is gebeurd. Daarmee kunt u alle interne en externe betrokkenen juist informeren. 3 Maak als CEO van cyberveiligheid een topprioriteit en pak zelf het cyberrisicomanagement op.
64
28
INTERVIEW
Hackwedstrijden voor een veiligere wereld De Olympische Spelen voor hackers: ze bestaan, en ze zijn nog legaal ook. Want wie denkt dat hacken iets strafbaars is dat alleen maar op schimmige zolderkamertjes wordt gedaan, zit er al een paar jaar flink naast. “Je hebt heel veel hackers nodig om de wereld veiliger te krijgen”, zegt Marko van Zwam, die bij Deloitte leiding geeft aan de afdeling Security & Privacy, waar zestig mensen werken. “Er komen steeds meer ethical hackers, die op basis van een contract worden gevraagd een informatiesysteem te hacken. Van dit soort hackers moeten er veel meer komen, want zij ontdekken op een legale manier gaten in informatiesystemen die vervolgens kunnen worden gedicht.” Volgens Van Zwam zijn hackwedstrijden ideale gelegenheden om ethical hacking op de kaart te zetten. “Natuurlijk zijn er ook hackers die hun kennis voor eigen gewin gebruiken. Maar dat soort mensen heb je in elk vakgebied.” Global CyberLympics Zes collega’s van Van Zwam hebben onlangs de Global CyberLympics gewonnen, een hackwedstrijd georganiseerd door de Verenigde Naties. Eind 2011 had hetzelfde team ook al de Europese voorronde gewonnen. “De opdracht hield in dat ze systemen van tegenstanders moesten aanvallen en tegelijkertijd hun eigen systemen moesten verdedigen. De drie aanvallers vertelden steeds wat ze tegenkwamen bij de andere systemen, zodat de verdedigers dat bij hun eigen systeem konden dichtzetten.” Bij de meeste hackinggames gaat het er iets anders aan toe. “Je krijgt dan een goed beveiligde computer met twee gaatjes in het systeem die je moet vinden”, legt Van Zwam uit. “Er zijn duizend manieren waarop een computer onveilig kan zijn, dus je hebt flink wat behendigheid nodig. Hackers kijken naar het type computer,
het besturingssysteem, de geïnstalleerde applicaties en of gegevens zijn versleuteld: zo kunnen ze dingen wegstrepen en komen ze tot een educated guess.” Is die gok goed, dan gaat de hacker in de wedstrijd door naar het volgende niveau. Tot hij uiteindelijk de laatste vlag en daarmee de overwinning te pakken heeft. Schimmig hoekje Hackwedstrijden zijn erg belangrijk, zegt Van Zwam. “In de eerste plaats omdat de jongens die dit soort kwaliteiten hebben, hun energie en talent erin kwijt kunnen. Ze gaan zich hier op richten in plaats van op andere systemen waarvoor ze geen toestemming hebben. Hackers zijn normaal niet georganiseerd en juist erg individualistisch, maar bij deze wedstrijden creëer je een soort ecosysteem waarin je ze bij elkaar brengt.” Daarnaast zijn hackwedstrijden goede promotie voor het vakgebied. En dat is belangrijk, want hackers zijn er om de wereld veiliger te maken. Van Zwam: “Met hackwedstrijden wordt hacking uit het schimmige hoekje gehaald en naar de hedendaagse wereld getrokken. Het zou mooi zijn als jongens van dertien die vroeger zeiden dat ze dj of brandweerman wilden worden, nu zeggen: ik wil hacker worden. Maar dan wel een ethische.” Meer informatie over Marko van Zwam en ethisch hacken? www.linkedin.com/in/markovanzwam www.twitter.com/markovanzwam
29
www.deloitteoverdata.nl Een greep uit onze diensten, interessante whitepapers voor meer achtergrond en verdieping en beklijvende video’s op het gebied van datasecurity. Meer weten? Kijk op www.deloitteoverdata.nl. Of lees verder op www.nu.nl/deloitteoverdata.
Diensten Assuring the cloud Deloitte heeft als eerste partij een innovatieve methode ontwikkeld om zekerheid te bieden over de locatie van data in de cloud. Wij doen dit door continu de cloud infrastructuur te monitoren en te rapporteren indien data naar een ongewenste locatie kan worden verplaatst. Hacking as a Service ‘Hacking as a Service’ zorgt ervoor dat u met een gerust hart online zaken kunt doen. Op basis van een abonnement checken wij continu de beveiliging van uw online assets. Zo kunt u optimaal gebruikmaken van de mogelijkheden van het internet, terwijl uw online assets goed beveiligd zijn. Forensic & Dispute Services Deloitte biedt een integrale aanpak om risico’s van financiële criminaliteit, en daarmee uw reputatie, te controleren. Centraal staat de levenscyclus van een financial crime: van het onderzoeken en managen van een incident, naar de (juridische) afwikkeling daarvan, communicatie met toezichthouders, tot het verbeteren van controls en anticiperen op nieuwe risico’s. Bij elke fraude of incident is tegenwoordig IT niet meer weg te denken. Nieuwe IT-oplossingen vragen ook om een nieuwe onderzoek-aanpak. Deloitte is in staat om digitaal forensisch onderzoek in alle denkbare ITomgevingen uit te voeren. Tablets, cloud-oplossingen en andere nieuwe systemen zijn onmisbaar om te kunnen achterhalen wat zich heeft afgespeeld bij een incident, of dit nu een (gerichte) malware aanval is geweest, data lek, of financiële fraude. 30
Data Analytics Net als andere bedrijven kunnen we u helpen met het ontsluiten, beheren en analyseren van uw data. Maar alleen Deloitte heeft de diepe sectorkennis, het vermogen om geavanceerde analyses uit te voeren en begrip van de rol van beslissers om er de maximale waarde uit te halen – uw dagelijkse informatie omzetten in bruikbare en actiegerichte inzichten. Cursus HackLAB Deloitte heeft haar interne hackingcursus opengesteld voor klanten en relaties. Het 5-daagse HackLAB, van 19 tot en met 23 november 2012, biedt een introductie in de praktijk van het hacken. Een praktische cursus waarbij deelnemers leren de verschillende stappen van een ‘vulnerability assessment’ te doorlopen.
Whitepapers
Video’s Data leakage prevention Alleen technische oplossingen voor het voorkomen van datalekken is onvoldoende. Om succesvol te zijn moet ook het gedrag van medewerkers veranderen. Hoe bewerkstellig je zo’n gedragsverandering?
Risk Intelligent governance in the age of cyber threats What you don’t know could hurt you
Risk Intelligence Series Issue No. 23
Risk intelligent governance in the age of cyber threats Dit document geeft aan hoe raden van commissarissen inzicht kunnen krijgen in de sterkte en zwakte in cyber risk management van een bedrijf.
Risk and responsibility in a hyperconnected world Hoe kunnen de wereldwijde systeemrisico’s worden geïdentificeerd en aangepakt die samenhangen met de toenemende connectiviteit tussen mensen, processen en voorwerpen? Dit rapport van het World Economic Forum en Deloitte verkent wegen naar een veiligere online omgeving.
Dealing with data Eugene Cernan, de laatste man op de maan, vertelt hoe hij zijn dromen heeft verwezenlijkt en welke rol data daarbij hebben gespeeld.
Companies like yours Een realistische mini-thriller over de impact die een cyberaanval op een organisatie kan hebben.
Hacking als eervol beroep Een reportage in het de NOS Journaal over ethical hackers.
31
ŠDeloitte The Netherlands
Dealing with data. Check nu.nl/deloitteoverdata