Categorie Archief: BCM

Davos 2015

Door | BCM, Security | Geen reacites

De samenstelling van uw Risk Panel bepaalt uw blik op dreigingen

Vandaag is het congres 2015 van het World Economic Forum van start gegaan. Zoals ieder jaar een bijeenkomst met veel captains of industry, politici, royals en een enkel staatshoofd in de sneeuw van Davos. Vorige week publiceerde het Forum een update van haar Global Risk Report. Dit rapport is op een aantal punten interessant, ook al omdat je het nu heel eenvoudig op je eigen site kunt embedden. Bij dezen:

Er worden geen nieuwe risico’s geïdentificeerd ten opzichte van vorig jaar, wat toch een soort van geruststellend is. De Business Continuity en Security relevante risico’s *) worden echter wel vrijwel zonder uitzondering met een hogere impact, een hogere kans of beide ingeschat. Het totale risicobeeld wordt dus volgens deze knappe koppen wel zorgwekkender. Veel organisaties voeren traditioneel in het eerste kwartaal Business Impact Analyses en Risk Assessments uit om hun security en continuity programma’s te eiken. Er is dus nog tijd om dit gratis advies te integreren.

Nog interessanter vind ik de filter mogelijkheden die in bovenstaand profiel geboden worden en wat daar uit af te leiden valt:

  • Over de hele linie schatten vrouwen kans en impact hoger in dan mannen;
  • Over de hele linie schatten jongeren kans en impact hoger in dan ouderen;
  • Experts en niet-experts zijn het niet met elkaar eens, maar als de verschillen groot zijn zien de experts een grotere impact en hogere kans dan niet-experts;
  • Over de hele linie schatten commerciële partijen kans en impact lager in dan overige sectoren als overheid en non profit organisaties.

Ik heb geen mening over welke inschatting van de geïdentificeerde risico’s de juiste is. Maar dit is natuurlijk wel een boodschap voor alle organisatoren van impact en risico analyse workshops: zorg er voor dat er diversiteit bestaat in de groep deelnemers. Dat zorgt voor een brede kijk op het impact- en risicolandschap van de organisatie en voorkomt tunnelvisie. En daarmee zorgt u ervoor dat budgetten worden gealloceerd voor de juiste dingen.

Een laatste opvallend punt is wat mij betreft het feit dat er tegenover de vele continuïteits gerelateerde dreigingen eigenlijk maar twee security / cyber gerelateerde dreigingen in de lijst staan. Ik wil dit laatste niet bagatelliseren, maar de praktijk bij veel Nederlandse organisaties is toch dat er een grote nadruk op security ligt, en veel minder aandacht naar BCM gaat. Is hier sprake van een tunnelvisie?

Het hele rapport (pdf) kan van de site van het WEF gedownload worden, een interactieve variant vindt u hier.

*) De BCM gerelateerde dreigingen zijn:

  • extreem weer
  • (verdroging?)
  • infectieziekten (pandemie)
  • kritieke infrastructuur breakdown (impact heel hoog) & failure (impact veel lager)
  • terroristische aanslagen
  • natuurlijke catastrophe
  • man made natural catastrophe

Security en cyber gerelateerd:

  • data fraud/theft
  • cyber attack

Digicommissaris Bas Eenhoorn heeft het mis

Door | BCM | Geen reacites

DigiD is onmisbaar bij het zaken doen met de overheid.

Digicommissaris Bas Eenhoorn beschouwd de beschikbaargeid van DigiD in zijn eindejaarsblog.
Bas Eenhoorn is per 1 augustus 2014 door het kabinet aangesteld als Nationaal Commissaris Digitale Overheid (“Digicommissaris”) met als opdracht om een nationaal programma voor de digitale overheid op te stellen, die te actualiseren, en de regie te voeren over de uitvoering en de realisatie daarvan door alle overheden en uitvoeringsorganisaties.

In zijn einde jaars blog kijkt Eenhoorn naar de kwetsbaarheid van de overheid voor een verstoring van DigiD, de identificatievoorziening waarmee burgers digitaal zaken kunnen doen met overheidspartijen. In deze blog stelt hij dat bij een uitval van DigiD de overheid 1 miljard euro per dag aan inkomsten derft. Dit bedrag gebruikt hij vervolgens om voor extra budget te pleiten om de continuïteit van DigiD te verbeteren. De media namen het bericht gretig over.

Nu kan ik een goede beschikbaarheid van DigiD van harte ondersteunen, maar er is wel wat mis met het gebruikte argument, of liever de hoogte van dat argument.

Ik heb geen twijfel dat er dagelijks 1 miljard euro ‘omgaat’ aan transacties van burgers met de overheid waarbij DigiD als authenticatie en
autorisatiemiddel wordt gebruikt. Maar er is hier sprake van gedwongen winkelnering. Een alternatief is er niet: je kunt geen belastingaangifte doen bij de Duitse belastingdienst, je kunt geen uitkering aanvragen bij de Vlaamse Dienst voor Arbeidsbemiddeling en Beroepsopleiding, etc., etc.. Dus alle transacties die door een storing niet zijn doorgegaan zullen een of twee dagen later alsnog passeren. Iedere Nederlander heeft er tenslotte baat bij om zijn ‘zaken’ geregeld te hebben.

Het ergste dat de staat kan overkomen is dat eventuele inkomsten 1 of meer dagen later binnenkomen. De schade blijft dus beperkt tot maximaal het renteverlies van die 1 miljard over de storingsduur, bij 5% rente ca. € 150.000 per dag. Nog steeds significant geld, maar wel aanzienlijk minder. Voor de burger kan het echter sneller oplopen. Als hij/zij een deadline overschrijdt kunnen boetes worden opgelegd of toeslagen niet worden toegekend. En dat schadebedrag is verhoudingsgewijs vele malen groter dan de schade voor de overheid. En alleen daarom al zou de beschikbaarheid van DigiD en zijn opvolger eID tot de allerhoogste prioriteit van de overheid moeten behoren!

Het is te hopen dat Eenhoorn in de toekomst de burger beter in het zicht houdt.

Cyber meets BCM

Door | BCM, Security, uit het nieuws | Geen reacites

The Hack of the Decade,

Sony Pictures starring in a new motion picture directed by #GOP

Sony Pictures is gehacked.

Privégegevens van sterren en personeelsleden, waaronder salarissen en kopieën van paspoorten, kwamen op straat te liggen. Films die nog niet eens in de bioscoop zijn geweest, waren opeens volop te downloaden. Personeel kon dagen achtereen niet werken. De FBI is ingeroepen om te achterhalen wie er achter de groep ‘Guardians of Peace’ (#GOP) zit (Noord Korea? Boze oud-werknemers?). De gevolgen zijn enorm en Sony had zijn antwoord op de ellende niet onmiddellijk klaar.
 

Sony

Sony

Alle media zijn er bovenop gesprongen, waarbij er vooral aandacht was voor de security en imago aspecten van deze cyberaanval. Het is duidelijk, goede security is nodig om te voorkomen dat er ingebroken wordt en er ongelukken gebeuren. De vraag is of je dat punt ooit met 100% zekerheid kunt halen, en of je het resterende risico kunt en moet afdekken met een goed Business Continuity Plan. Ik focus me daarbij op de werkplek, e-mail omgeving, etc., omdat ik zeer werd getroffen door de foto hiernaast (bron), op de deur van het Sony Pictures filiaal in Londen. Personeel is welkom op kantoor maar zal volledig onproductief zijn, want waar heb je je werkplek nou niet voor nodig?
 
Vanuit BCM perspectief is de vraag dus of er een antwoord is op een situatie waarop de volledige werkplekomgeving onbruikbaar is. En of een cyberaanval fundamenteel anders is dan andere, meer traditionele dreigingen.

Helpt een goede voorbereiding?

Als we aannemen dat Sony een goed draaiend Security en Continuity Management systeem heeft (ISMS / BCMS), dan mogen we ook aannemen dat de delen van de werkplek / kantooromgeving die voor kritieke diensten vitaal zijn, naar voren zijn gekomen in de Business Impact Analyse (BIA). Evenzo kunnen we aannemen dat onderzocht is wat tot uitval van deze omgevingen zou kunnen leiden in de Risk Assessment (RA). Traditioneel zullen daar zaken als brand, overstroming of stroomuitval uit zijn gekomen. Heel avontuurlijke organisaties hebben wellicht ook ‘virussen’ of andere elektronische dreigingen als een mogelijke oorzaak gezien.
Eenmaal op dit punt aangekomen zal er, als het risico groot genoeg is ingeschat, naar alternatieven zijn gezocht. Vroeger vertrouwden veel organisaties voor dit soort gevallen op werkplekuitwijk, of intern in de organisatie (tijdelijk werken vanuit een andere locatie), of extern bij specialistische leveranciers (link1, link2). Steeds meer organisaties gaan er echter vanuit dat de techniek die gebruikt wordt om mensen vanuit huis te laten werken ook gebruikt kan worden als hele locaties uitvallen.
De organisatie verwacht nu dat alle risico’s onder controle zijn.

Waarom ging het in dit geval dan toch mis?

Daarvoor moeten we naar een analyse van de FBI. Die heeft naar aanleiding van deze aanval een groot aantal organisaties gewaarschuwd voor deze zeer kwaadaardige aanval. Uit een openbaar rapport komen de volgende zaken naar voren:

  • De aanval vindt plaats door gebruik te maken van de beheeromgeving van corporate Windows installaties (Active Directory, Windows Management Interface, de update service, etc.). Het centrale zenuwstelsel van de desktopomgeving is dus niet meer te vertrouwen.
  • Op alle werkstations en servers is kwaadaardige software gedraaid die het systeem volledig onbruikbaar maakt. Het start ook niet meer op.
  • By implication is ook de e-mail, als ook de VPN omgeving, niet meer beschikbaar en niet meer te vertrouwen.

Sony sluit zijn VPN af. Hiermee vervalt meteen de ‘uitwijk’mogelijkheid om medewerkers vanuit huis te laten werken.
 
Blijft optie 2, externe werkplekuitwijk, over. Een andere locatie gebruiken binnen het bedrijf zelf zal niet werken, alle werkplekken zijn getroffen tenslotte. En of het inroepen van externe uitwijkfaciliteiten in dit geval succesvol kan zijn, hangt van een aantal factoren af. De werkstations zelf zullen wel opgetuigd kunnen worden. Als het werkstation image waarmee dit gebeurt niet al te oud is, zullen de werkstations zonder problemen ingespoeld kunnen worden. Maar daarmee heb je de gebruikersdata ‘nog niet terug’. Die moeten uit de centrale omgeving komen.
 
Maar deze centrale omgeving is mogelijk een ander verhaal. Een centrale omgeving in de uitwijklocatie mag in ieder geval niet online zijn geweest na een eventuele besmetting, anders is ook deze niet meer betrouwbaar. Veel uitwijkoplossingen zullen echter uitgaan van een schaduwomgeving op de uitwijklocatie, die gewoon online is en ‘meedraait’ in het normale managementproces en replicatieschema’s om maar zo min mogelijk dataverlies op te lopen.
Je moet dus in ieder geval beschikken over een offline backup van vóór de aanval. En deze periode kan behoorlijk lang zijn, afhankelijk van hoelang geleden de eerste inbraak heeft plaatsgevonden. Of een werkplek uitwijk nog zinvol is als je bijvoorbeeld één of meerdere maanden ‘terug in de tijd moet’, is dus de vraag. Een goede BIA zal het antwoord geven . . .

Cyber meets BCM

Een cyberaanval is dus iets anders dan een brand, overstroming, o.i.d.. Dan kun je er zonder meer van uitgaan dat de integriteit van je uitwijkomgeving in orde is, wat bij een cyberincident dus niet kan. Een cyberaanval hoort dus als een apart punt in risico- en dreigingsanalyses terug te komen. Het vereist een andere aanpak, en zal ook zeker geoefend moeten worden.
Cyber meets BCM, en dan niet in een film.