Home      Themenübersicht / Sitemap      Webmaster      
Newsletter Abo

 

121. Newsletter - sicherheitskultur.at - 30.12.2016

von Philipp Schaumann


Hier die aktuellen Meldungen: 

1. Reports
----------
Monatliche Sicherheitsreports, nicht nur aus der Schweiz:
  http://www.switch.ch/security/info/security-reports/
  https://securityblog.switch.ch/


IOCTA - Internet Organised Crime Threat Assessment 2016, 29.09.2016:
* https://www.europol.europa.eu/sites/default/files/publications/europol_iocta_web_2016.pdf

The 2016 Internet Organised Crime Threat Assessment (IOCTA) is a law enforcement-centric threat assessment intended to inform priority setting for the EMPACT Operational Action Plans in the three sub-priority areas of cybercrime (cyber attacks, child sexual exploitation online and payment fraud). The IOCTA also seeks to inform decision-makers at strategic, policy and tactical levels on how to fight cybercrime more effectively and to better protect online society against cyber threats.
The 2016 IOCTA provides a view from the trenches, drawing primarily on the experiences of law enforcement within the EU Member States to highlight the threats visibly impacting on industry and private citizens within the EU. The IOCTA is a forward-looking assessment presenting analyses of future risks and emerging threats, providing recommendations to align and strengthen the joint efforts of EU law enforcement and its partners in preventing and fighting cybercrime.

Die älteren Dokumente (bis ins Jahr 2004 zurück) über OCTA = Organised Crime Threat Assessment liegen hier:
* https://www.europol.europa.eu/latest_publications/31



2. Kosten bei IT-Sicherheitsverletzungen
------------------------------------------------
Bei diesem Publikum ist das eigentlich schon Ketzerei:

Eine Studie der RAND sagt, dass die Kosten für "gehackt werden" überraschend gering sind:

Romanosky analyzed 12,000 incident reports and found that typically they only account for 
0.4 per cent of a company's annual revenues. 
That compares to billing fraud, which averages at 5 per cent, 
or retail shrinkage (ie, shoplifting and insider theft), which accounts for 
1.3 per cent of revenues. 

What's being left out of these costs are the externalities. Yes, the costs to a company of a 
cyberattack are low to them, but there are often substantial additional costs borne by other 
people. The way to look at this is not to conclude that cybersecurity isn't really a problem, 
but instead that there is a significant market failure that governments need to address.

   https://www.schneier.com/blog/archives/2016/09/the_cost_of_cyb.html
   http://cybersecurity.oxfordjournals.org/content/early/2016/08/08/cybsec.tyw001

Das deckt sich mit früheren Berichten spektakulärer Vorfälle -  die Zeche zahlt leider 
nicht die Firma die es durch bessere Vorkehrungen hätte verhindern können:
Target: 40 Mio Kreditkarten, 70 Mio Kundendaten$225 Mio Schaden - minus $162 Mio 
Versicherung – minus tax deductions = $105 Mio = 0.1% of sales

Die US Community Banks und Credit Unions berichten, dass sie durch den Breach auf 
Schäden von $200 Mio hängen geblieben sind (Austausch von Kreditkarten, 
Schäden durch illegale Nutzung die nicht weiter verrechnet werden konnten)

Sony Pictures: $35 Mio for investigation and remediation
– for a movie that cost $44 Mio to make and that made $46 Mio in sales over Xmas
(wegen der tollen Bekanntheit des Films durch den Vorfall)

Home Depot: 56 Mio Kreditkarten + 53 Mio Email Adressen
Netto Schaden nach Versicherung: $28 Mio = 0.01% of sales
US Community Banks berichten, dass sie auf $90 Mio hängen geblieben sind

   http://www.techrepublic.com/article/data-breaches-may-cost-less-than-the-security-to-prevent-them/ 

Und wieder beim IoT, Mirai-Botnet: der Hersteller der angreifbaren Kameras putzt sich ab,
den Schaden haben die Firmen die von den dDoS-Angriffen betroffen sind.

Bruce Schneier sagt, dass wir es bei der Informationssicherheit mit einem kompletten 
Marktversagen zu tun hätten, Schäden treten fast immer bei "Unschuldigen" auf, oft auch bei den 
Konsumenten:
    http://www.dailydot.com/layer8/bruce-schneier-internet-of-things/

Ein Botnet aus 400 000 Geräten ist jetzt kostengünstig zu mieten.
   http://www.bleepingcomputer.com/news/security/you-can-now-rent-a-mirai-botnet-of-400-000-bots/


Im Gegensatz dazu die traditionelle Sichtweise der Kosten:
Eine Studie von Deloitte
   https://blogs.technet.microsoft.com/germany/2016/08/27/die-versteckten-kosten-einer-cyberattacke/
Hier auf 3 Seiten die englische Zusammenfassung von Deloitte 
   http://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-cfo-insights-seven-hidden-costs-cyberattack.pdf



3. Baldrige Cybersecurity Excellence Builder: Key questions for improving your organization's cybersecurity performance, 
-------------------------------------------------------------------------------------------------------------------------------------------------------
Disclaimer: Ich habe keine persönliche Erfahrung damit, aber es klingt wie etwas das für Firmen sinnvoll sein
könnte.

 What is the Baldrige Cybersecurity Excellence Builder?
The Baldrige Cybersecurity Excellence Builder is a voluntary self-assessment tool that enables organizations to better 
understand the effectiveness of their cybersecurity risk management efforts. It helps leaders of organizations identify 
opportunities for improvement based on their cybersecurity needs and objectives, as well as their larger organizational 
needs, objectives, and outcomes.

Using this self-assessment, you can
* determine cybersecurity-related activities that are important to your business strategy and critical service delivery;
* prioritize your investments in managing cybersecurity risk;
* determine how best to enable your workforce, customers, suppliers, partners, and collaborators to be risk conscious 
   and security aware, and to fulfill their cybersecurity roles and responsibilities;
* assess the effectiveness and efficiency of your use of cybersecurity standards, guidelines, and practices;
* assess the cybersecurity results you achieve; and
* identify priorities for improvement.

Like the Framework for Improving Critical Infrastructure Cybersecurity (NIST Cybersecurity Framework) and the 
Baldrige Excellence Framework, the Baldrige Cybersecurity Excellence Builder is not a one-size-fits-all approach. 
It is adaptable and scalable to your organization's needs, goals, capabilities, and environment. It does not prescribe 
how you should structure your organization's cybersecurity policies and operations. Through interrelated sets of 
open-ended questions, it encourages you to use the approaches that best fit your organization.
  https://www.nist.gov/sites/default/files/documents/2016/09/15/baldrige-cybersecurity-excellence-builder-draft-09.2016.pdf

  

 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.