Cybersikkerhed på vandværker · Hvad er vandværkets problem? • Essensen af forordningen er...

13-06-2017

1

Cybersikkerhed på vandværker

V./ Per Rhein Hansen

Sikkerhedsrådgiver

Solid IT

Klip fra Børsen d. 31. maj

13-06-2017

2

Hvad kommer det os ved?

Fx er Phishing angreb i vækst og dermed et af de mest aktuelle problemer

• Phishing er et internetfænomen, hvor svindler forsøger at franarre godtroende internetbrugere deres brugernavn, adgangskode, kreditkortoplysninger eller netbank oplysninger.

• Det sker typisk ved at brugeren får tilsendt en e-mail hvis indhold forsøger at få brugeren til at indsende sine oplysninger pr. e-mail eller logge ind på en falsk internetside, der ligner f.eks. Bankens. Mailen kan fremstå, som om den er afsendt fra et socialt medie, en auktionshjemmeside, en IT administrator eller en person fra modtagerens adressekartotek.

Også aktuelt er nye typer af ”ransomware”

13-06-2017

3

El-sektoren / Vand-sektoren ??

NB!

13-06-2017

4

Hvad gør man så i praksis??....

Cybersikkerhed på Vandværker

Hvordan kortlægges vandværkets IT-systemer og sårbarhederne heri?

• Her beskrives en metode til formulering af vandforsyningens politikker for området samt tilhørende retningslinjer

• Der omtales en række skabeloner til udarbejdelse af de nødvendige planlægnings- og analyse dokumenter, der skal danne grundlag for det praktiske arbejde med beskyttelse af persondata og opretholdelse af cybersikkerhed

• Det hele samles i en trin-for-trin guide, der viser hvordan I selv kan gennemarbejde stoffet og tilrette dokumenterne – og således beslutte hvordan sikkerhedsarbejdet skal udføres hos Jer

13-06-2017

5

Hvad er ”cybersikkerhed”?

Hvad siger persondataforordningen om cybersikkerhed? Den nævner faktisk ikke selve ordet, men bruger i stedet ordene ”Personoplysningssikkerhed” og ”Behandlingssikkerhed”, som ledsages af en kort bemærkning om, at der skal træffes ”passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau”, der passer til de foreliggende risici

Hvorfor anvender vi så begrebet ”Cybersikkerhed”?

Det kan vel siges at være en slags modeord, som medierne anvender til at skabe opmærksomhed om de åbenbare problemer der er i forbindelse med brug af internettet

13-06-2017

6

Definition

I den nye ISO/IEC 27032:2012(E) ”Informationsteknologi –Sikkerhedsteknikker – Vejledning i cybersikkerhed”, kan findes flg. definition [PRH oversættelse]:

• Cybersikkerhed drejer sig om sikring af fortrolighed, integritet og tilgængelighed af information i cyberspace, hvor cyberspace skal opfattes som det komplekse miljø, der er resultatet af interaktionen mellem mennesker, software og services via internettet samt de IT enheder og netværk det hænger sammen med, hvad enten disse eksisterer i fysisk form eller ej.

• Kort sagt: Begrebet Cybersikkerhed dækker det hele inkl. internet aktiviteter

Hvad er vandværkets problem?

• Essensen af forordningen er således at vandværket (og dermed vandværkets bestyrelse) er ansvarlig for at kun de nødvendige persondata indsamles og efterfølgende håndteres korrekt. Her er så underforstået, at den grundlæggende sikkerhed er på plads.

• For at undgå, at hvert eneste danske vandværk hver især skal gå i dybden med at etablere ”passende tekniske og organisatoriske foranstaltninger” har vandværkernes forening ladet fremstille en håndbog i hvordan man kan gribe processen an. Her er det så at både vandværkets bestyrelse og daglige ledelse må på banen, så indsatsen kan fokuseres på de lokale forhold.

13-06-2017

7

Afbalanceret sikkerhed for vandværket

• I hele processen skal der balanceres mellem det at tilgodese det ansvar der er pålagt bestyrelserne – og de vanskeligheder der ligger i den praktiske implementering. Da der ikke nødvendigvis findes tilstrækkelige kompetencer og ressourcer på det enkelte vandværk, vil der være en god grund til at samarbejde om opgaven mellem vandværker i samme område og med ens problemstillinger. Og måske yderligere gøre brug af konsulentassistance til opgaver, der skønnes at kræve specialistviden.

• Det I får leveret i dag er en håndbog med tilhørende skabeloner og bilag, der kan give praktisk vejledning i hvordan I skal etablere og vedligeholde den nødvendige databeskyttelse og cybersikkerhed. Skabelonerne kan i vidt omfang bruges som de er efter indsættelse af vandværkets navn på de markerede steder, men der kan dog yderligere være behov for stillingtagen til visse lokalt bestemte forhold

Hvad er persondata egentlig?

13-06-2017

8

Data ansvarlighed?

Hvem har ansvaret? Det har den juridiske enhed, dvs. vandværket – og dermed

bestyrelsen. I praksis udpeges en Persondataansvarlig, som til enhver tid skal kunne

påvise at vandværket overholder forordningen / retningslinjerne – med andre ord

udviser dataansvarlighed

Hvor opbevares personoplysningerne?

Som vandværk bør man gennemgå sine it-systemer, og vurdere den enkelte leverandør og system. F.eks. hvis man opbevarer personoplysninger i DropBox, så er det ikke særligt sandsynligt, at man kan få DropBox til at underskrive en Databehandler aftale med det enkelte vandværk. DropBox vil formentlig henvise til deres standardbetingelser.

Vandværket bør i en sådan situation overveje om man vil;• Fortsætte med at bruge DropBox, eller finde en anden leverandør.

• Opbevare personoplysninger i andre systemer end DropBox.

13-06-2017

9

Alternativ opbevaring af personoplysninger

Hvis man vælger at opbevare personoplysninger (f.eks. HR oplysninger) på en lokal filserver på vandværket, hvor der ikke er nogen ekstern it-leverandør involveret - bør de sikres på følgende måde:

• Begræns adgang til data til relevante medarbejdere.

• Krypter backup af filserver.

• Krypter de computere, som tilgår filerne.

• Logning af, hvem som har tilgået hvilke data hvornår.

• Begræns via politik, og instruer medarbejderne i, at HR oplysninger kun må ligge på filserveren.

Trin-for-trin guide for arbejdet med persondata og sikkerhed hos vandværket1. ”Målrettet arbejde med persondataforordningen for Danske Vandværker”

2. ”Eksempel Vandværk - Datastrømsanalyse dokumentation”

3. ”Eksempel risikovurdering for Danske Vandværker”

4. ”Eksempel beredskabsplan for Danske Vandværker”

5. ”Eksempel Persondatapolitik for Danske Vandværker”

6. ”Eksempel It-sikkerhedspolitik for Danske Vandværker”

7. ”Eksempel databehandler aftale for Danske Vandværker”

8. ”Eksempel Danske Vandværker - Retningslinier for it adfærd”

9. ”Eksempel Konsekvensanalyse for behandling af personoplysninger DPIA”

Kun de med blåt markerede punkter vil blive omtalt i dette indlæg

13-06-2017

10

Trin-for-trin guide for arbejdet med persondata og sikkerhed hos vandværket

3. ”Eksempel risikovurdering for større Danske Vandværker”

Indeholder en liste over potentielle trusler mod it-systemerne, som større vandværker skal forholde sig til i forhold til sandsynlighed og konsekvenser.

13-06-2017

11

Eksempel på trusler 1

Undlad at gøre brug af privat PC; brug dedikeret PC til firma formål

# Trussel Sandsynlighed Konsekvens Samlet risikobillede

11

Brug af privat pc, eller brug af firma pc til private

formål åbner for misbrug eller hacker / virus

angreb

HØJ HØJ KRITISK

Eksempel 2


6

Datamedier, diske eller dokumenter med

fortrolige data bliver stjålet / tabt / glemt, fx

under transport

HØJ HØJ KRITISK

Indfør værktøjer til at slette data på en PC, hvis den mistes. Krypter

harddisken.

Tag sikkerhedskopier. Efterlad aldrig fortrolige data i bil når den

forlades

13-06-2017

12

Eksempel 3


9Der er fejl på backup, så data ikke kan genskabes

ved datatab el. nedbrudLAV HØJ KRITISK

Test jævnligt om backup virker ved at udføre restore tests

Eksempel 4


4Vandværket rammes af et ransomware eller virus

angrebHØJ HØJ KRITISK

Implementer software der proaktivt blokerer disse trusler

13-06-2017

13

Eksempel 5


1 Uautoriseret adgang til IT systemer HØJ HØJ KRITISK

Undgå at bruge faste passwords, indfør personlige passwords

samt krav til kompleksitet og ændring af passwords

Eksempel 6


20

At fremmed eller uautoriseret udstyr tilsluttes det

interne netværk via såvel lokalnetværk som WiFi

og bluetooth etc.

LAV HØJ KRITISK

Etabler gæste WiFi netværk uden adgang til det interne

netværk. Bloker adgang til lokalnetværket på de netværksstik

der ikke er i anvendelse.

13-06-2017

14


4. ”Eksempel beredskabsplan for Danske Vandværker”

Indeholder en liste over it-systemer hos vandværket, og hvilke beredskabsmuligheder der findes for hvert system i tilfælde af længerevarende nedbrud.

Beredskabsplan for <Xyz Vandværk>

Introduktion

Det handler om ”informationssikkerhedskontinuitet”, dvs. at procedurer skal være klar til at håndtere enhver form for it-nedbrud,

der kan forhindre kontinuert drift af <Xyz Vandværk>.

Ifølge standarderne og IT-sikkerhedspolitikken skal ”Beredskabsstyring”:

•Modvirke afbrydelser i virksomhedens forretningsaktiviteter

•Beskytte kritiske informationsaktiver mod effekten af et større nedbrud eller en katastrofe

•Sikre hurtig retablering

Beredskabsplanens væsentligste formål kan illustreres i følgende figur

Nøddrift af kritiske IT funktioner Nøddrift af kritiske IT funktioner

Skade udbedresSkade udbedres

Retablering system/dataRetablering system/data

Normal drift genoptaget

Normal drift

genoptaget

Nøddrift etableresNøddrift etableres

?

•Software-fejl

•Hardware-fejl

•Virusangreb

•Netværksudfald

•Brand

•o.l.

Nødsituation

indtræffer

?

•Software-fejl

•Hardware-fejl

•Virusangreb

•Netværksudfald

•Brand

•o.l.

Nødsituation

indtræffer

•Software-fejl

•Hardware-fejl

•Virusangreb

•Netværksudfald

•Brand

•o.l.

Nødsituation

indtræffer

Normal driftNormal drift

Skade udbedresSkade udbedres

13-06-2017

15

Hvorfor skal vi have en IT-sikkerhedspolitik?

• Fordi bestyrelsen har ansvaret for at IT-sikkerheden er i orden, og at dette ansvar bedst løftes gennem klare anvisninger til medarbejderne

• Herudover skal det kunne dokumenteres over for omverdenen, at man har gjort hvad man kunne for at skabe den nødvendige sikkerhed, og hermed en tilstrækkelig beskyttelse af persondata

• Men det er ikke gjort med en éngangsindsats. Medarbejderne skal løbende motiveres for at udvise den rette adfærd i det daglige, og bestyrelsen skal følge op på at it-sikkerheden fungerer som ønsket og at risikoniveauet ikke er stigende (pga. nye forme for trusler?)

• IT-sikkerhed handler tillige om at undgå driftsforstyrrelser og nedbrud pga. it anvendelsen

IT-sikkerhedspolitik for <Xyz Vandværk>

Vejledning i anvendelsen af dette dokument

• Intentionen er at de fleste vandværker, med få indholdsjusteringer af dette dokument, kan udarbejde en IT-sikkerhedspolitik til overholdelse af de fundamentale krav i persondataforordningen. Vi har markeret de områder der kræver størst fokus med gult, men det er vigtigt at dokumentet gennemlæses kritisk i sin helhed og redigeres for at afspejle vandværkets individuelle behov for IT-sikkerhed.

Indledning

• Denne IT-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for opretholdelse af IT-sikkerheden hos <Xyz Vandværk>. Hermed ønsker vandværket at demonstrere sin seriøse holdning til at skabe sikkerhed for persondata, systemer og andre IT-aktiver

• Hensigten er således at lægge et fundament for at kritiske og fortrolige informationer og systemer kan bevare deres fortrolighed, integritet og tilgængelighed

• Der fokuseres på de allervigtigste krav i EU’s Generelle Persondataforordning samt på relevante krav i de Internationale it-sikkerhedsstandarder ISO 27001 og 27002.

•

13-06-2017

16

Opgave 6.5: Strakstiltag

Beskrivelse: Mens en it-sikkerhedspolitik færdiggøres og realiseres, kan det anbefales straks at indføre følgende it-sikkerhedsforanstaltninger:

1. Huskeregler for alle medarbejdere

2. Huskeregler for ledelsen og it-administratoren

Dette er tiltag der formentlig skal gøres, uanset hvordan den endelige version af it-sikkerhedspolitikken bliver udformet

Huskeregler for alle medarbejdere

• Undlad at koble privat it-udstyr op til vandværkets it-systemer; brug kun godkendt og udleveret it-udstyr fra vandværket

• Brug kun VPN forbindelser (eller andre krypterede forbindelser) når du kobler dig op til Vandværkets it-systemer

• Klik aldrig på vedhæftede filer eller links i e-mails fra ukendte afsendere

• Download aldrig ikke-arbejdsrelaterede datafiler; heller ikke fra USB sticks

• Indsæt ikke ukendte USB sticks i din arbejdscomputer

• Upload aldrig arbejdsrelaterede filer til web-baserede services

• Brug altid kryptering når mails indeholder fortroligt materiale. Hvis du er i tvivl, så benyt kryptering.

• Passwords er personlige og fortrolige, og må ikke overdrages til andre

• Ved mistanke om at computeren er inficeret med malware, skal forbindelse til nettet afbrydes øjeblikkeligt

• Tag sikkerhedskopi af data regelmæssigt og opbevar dem sikkert

• Rapporter observerede sikkerhedsbrister til nærmeste leder

• Installer sikkerhedsopdateringer når de foreligger, både Microsoft Windows opdateringer, men også opdateringer til andre programmer som f.eks. JAVA, Adobe Reader, Flash, Skype, Firefox m.fl.

13-06-2017

17

Huskeregler for ledelsen og it-administratoren[Nogle vandværker har muligvis ikke en it-administrator, men kan lade måske funktionen udføres af et eksternt it-firma]

• Stil it-udstyr ejet af vandværket til rådighed for medarbejderne til arbejdsbrug. Henstil til at medarbejdernes private udstyr ikke anvendes til at arbejdsbrug.

• Sæt systemer op med krav om en vis kompleksitet og længde af passwords, samt krav om regelmæssigt skift af samme.

• Sørg for at medarbejdernes computere har installeret fungerende antivirus og anti-ransomware software der løbende opdateres automatisk.

• Sørg for medarbejdernes computere automatisk er sat op til at installere sikkerheds-opdateringer til operativsystemet, samt til andre programmer som f.eks. JAVA, Adobe Reader, Flash, Skype, Firefox m.fl.

• Forlang generel brug af pauseskærm, der skal aktiveres efter 10 minutters inaktivitet, hvorefter password skal bruges igen.

• Ledelsen beslutter hvem der skal have adgang til hvilke systemer og data hvornår – og it-administratoren implementerer beslutningerne i praksis.

• Såfremt der benyttes hjemmearbejdspladser, skal sikkerhedsniveauet være på højde med vandværkets kontorarbejdsplads, dvs. fortroligt print skal opbevares i aflåst skab, trådløs kommunikation skal sikres, andres adgang til brug af computeren skal være begrænset, lokal lagring af fortrolige data skal beskyttes af kryptering, og overholdelse af reglerne skal kontrolleres af ledelsen i passende omfang.

• Medarbejderne skal tilbydes undervisning i / information om betydningen af it-sikkerhed hos vandværket, og der vil blive fulgt op på om regler og retningslinjer følges (dels vha. sikkerhedssoftware, dels på basis af log’s og overvågning). Benyt Power Point præsentationen i dokument pakken til undervisningen.

• Sørg for at medarbejderens computere og mobiltelefoner kan fjern-slettes, såfremt de tabes eller bliver stjålet.

• Sørg for at følgende regler anvendes på it-systemer der indeholder personoplysninger (f.eks. på en filserver);

• Begræns adgangen til så få brugere som muligt.

• Krypter backup’en af systemet.

• Logning af hvem der tilgår hvilke data hvornår.

• Hvis data kopieres ud på brugernes arbejdsenheder (laptop, mobiltelefon, tablet etc.) skal data (eller enheden) krypteres.

• Mindst én gang årligt gennemføres et it-sikkerhedsreview med efterfølgende opdatering af it-sikkerhedspolitikken, og de understøttende dokumenter (risikovurdering, beredskabsplan, datastrømsanalyse, leverandørforhold etc.). Dette punkt kan evt. gennemføres vha. en konsulent.

Disse regler er i overensstemmelse med it-sikkerhedspolitik dokumentet.


• Når trin-for-trin guiden er gennemført har vandværket således et velbeskrevet grundlag for arbejdet med persondata og it-sikkerhed, som kan bruges som dokumentation over for relevante myndigheder.

• Dokumenterne bør godkendes af vandværkets bestyrelse, og som minimum revideres én gang om året.

13-06-2017

18

WannaCry udnyttede sikkerhedshul i Windows.1. Åbner en bagdør på

computeren og lægger ransomwarenind.

2. Kører den.3. Krypterer dokumenter

og filer. 4. Forlanger løsesum for

at dekryptere.

Det hele baseret på software stjålet fra NSA

Ingeniøren d. 19. maj 2017

hacking

4 råd:

1. Sørg for

sikkerhedsopdateringer (lad

dem evt. ske automatisk)

2. Vær kritisk over for e-mails

3. Benyt antivirus software

4. Tag sikkerhedskopier

Politiken d. 20. maj 2017

13-06-2017

19

Berlingske Business 7. juni 2017

Velux er bekymret pga. GDPR:

”Vi skal have bedre styr på

processer, data og hvordan vi

sletter og flytter informationer”

Konklusion

• Persondataforordningen handler primært om jura og personers rettigheder vedr. brug og beskyttelse af egne data

• …men forudsætter et grundlæggende sikkerhedsniveau, dvs. at ”passende tekniske og organisatoriske foranstaltninger” er etableret

• Det betyder at I selv må i arbejdstøjet og specificere hvor langt I vil gå med hensyn til vandværkets it-sikkerhed og persondatabeskyttelse, principielt og i praksis

• Som hjælp hertil får I udleveret en håndbog i hvordan det gøres – ledsaget af en række skabeloner til udfyldelse

• Det kan anbefales at få assistance fra konsulenter til nogle af opgaverne, og for at begrænse omkostningerne herved, kunne det gøres i form af workshops sammen med kolleger i samme situation

13-06-2017

20

Små lyspunkter:

IBM statistik om cyberangreb:

• Er faldet fra 12.017 i 2014 til 1.157 i 2015

Ponemon Institute’s årlige rapport om hvad brud på sikkerheden koster:

• Stigningen er aftagende i Tyskland og USA

• I i Australien og Storbritannien er omkostningerne faldende

Symantec’s årlige rapport om ”Internet Security Threats” siger:

• Brud på sikkerheden i 2014 var en 23% stigning (i forh. til året før)

• Mens den var på blot 2% i 2015 (i forh. til året før)

Hvad skal vi så

gøre for at

forsvare os?

Hackerangreb kræver konstant opmærksomhed…….

Cybersikkerhed på vandværker · Hvad er vandværkets problem? • Essensen af forordningen er...

Documents

Transcript of Cybersikkerhed på vandværker · Hvad er vandværkets problem? • Essensen af forordningen er...