10 teser om sikkerhed i balanceRasmus Theede, formand, Rådet for Digital Sikkerhed

Indlæg på DANSK IT’s konference It-sikkerhed 2016Onsdag den 3. februar 2016

Cyber: Fast and furious

DANSK IT FEB 16

03-02-2016

RASMUS THEEDE

Twitter: @RtheedeWeb: www.digitalsikkerhed.dk

Chief Security Officer, Vice President (2013-)KMDGroup responsible for Identity & Access, Quality, Information Security, Internal Audit and Physical Security.

Chief Information Security Officer (2011-2013)NNITGroup responsible for Identity & Access, Quality, Information Security, Internal Audit and Physical Security.

General Manager (2001-2011)A.P.Moller-MaerskGlobal Responsible for information security infrastructure in the A.P.Moller-Maersk Group

Chief Security Officer, Vice President (1994-2000)Royal Danish NavyLeader in the Danish defense with specialty in "Electronic Warfare" and "Combat Information".

Chairman of the Board (2014-)Danish Council for Digital SecurityThe council is a independent member organization with highly specialized knowledge and experience within information security and data privacy.

The internet of

everything

SKAKMAT

Voksende

trussel

Offentlige og private

institutionerLeverandørerne

Mistillid

Det sker, men

Hvad?

Hvem?

Hvornår?

Hvad er cybertruslerne i 2016?

03-02-2016 7

0

5

10

15

20

25

30

Crimeware Cyberspionage

Insidermisbrug

Hacking Fejl Tab / tyveri DDOS

Årsager til datatab, gennemsnit

Hvem tuer os?

03-02-2016 8

Spionage Hacking Crimeware Denial of Service

POS Andet

Aktivister 5% 61% 3% 31%

Organiseret kriminalitet 20% 73% 6%

Statsstøttet 97% 3%

Opportunister 5% 15% 40% 3% 7% 30%

Rundt om

sikkerhed

Adfærd Strategi

Teknik Processer

03-02-2016 10

Interne krav

Eksterne krav

Brugerkrav

Deadlines

Regulativer

Burgervenlighed

Bemanding

Økonomi

Milestones

Driftsstabilitet

Sikkerhed

STRATEGI:

Sikkerhed skal

balancere!

STRATEGI: Angreb lykkedes hurtigere, vi opdager dem

langsommere

03-02-2016 11

Tid for angreb

Tid for opdagelse

STRATEGI: Cyberspionage, avancerede,

stædige, mange, hvem?

03-02-2016 12

03-02-2016 13

Eksterne angreb

Interne angreb

Partner angreb

STRATEGI: Intern vs. eksterne

TRE grunde til at organisationen ikke forstår SIKKERHED:

1. De sikkerhedsansvarlige taler et sprog som folk uden

for sikkerhedsorganisationen ikke forstår

2. Organisationen forstår ikke risikoappetit og

trusselsbillede

3. Sikkerhedsledere forsøger ofte at udvikle tekniske

strategier uden strategisk forretningsforankring

De vigtigste dele af sikkerhedsstrategien:

• Sikkerhedsstrategien skal støtte op om forretningsstrategien

• Den øverste ledelse skal tage ansvar for sikkerheden i

organisationen

• Organisationen skal kende sin risikoprofil. Hvad vil virksomheden

med informationssikkerhed og hvorfor?

• Medarbejderne skal forstå hvad organisationen vil med sikkerhed

Kommunikation: hvorfor fejler sikkerheden?

STRATEGI: Beskytter vi alt beskytter vi intet

03-02-2016 15

0-Tolerance

Det skal vi have styr på

Det acceptere vi

San

dsy

nlig

hed

Konsekvens

03-02-2016 16

0-Tolerance

Det skal vi have styr på

Accept

0-Tolerance

Det skal vi have styr på

Accept

0-Tolerance

Det skal vi have styr på

Accept

Forsvaret IT-Leverandør Shipping

Hvilken risici vil vi tage? Tre eksempler.

STRATEGI: Truslerne er branchespecifikke.

03-02-2016 17

Finans Sundhed Produktion Offentlig Detail Information

Crimeware 36 1 34 51 11 14

Cyber Spionage 0 4 60 5 0 37

DDOS 0 0 0 0 0 0

Tyveri / Tab 2 16 0 3 0 2

Fejl 7 32 0 23 0 5

Card Skimmers 14 0 0 0 10 0

POS 0 12 0 0 70 0

Insider 11 16 4 11 3 7

Hacker 31 9 1 6 5 35

PROCESS: Vi skal have styr på den basale IT hygiejne!

03-02-2016 18

Basal IT hygiene90%

Advancerede angreb

9%

Sucessfulde angreb1%

• Dårlig ændringsstyring• Manglende logning• Svag adgangskontrol• Almindelig vira• Sårbarheder• Svag arkitektur• Manglende overblik• Skygge IT

99.9% af alle sårbarheder bliver udnyttet mere end et år efter at de

er blevet kendt

03-02-2016 19

PROCESS: VI SKAL HELE VEJEN RUNDT…IGEN OG

IGEN

Data Leak

Legal TrafikPORTSCAN

IOC

Abnormality IOCData Leak

Vi skal have forståelse for teknikken

03-02-2016 21

Denial of Service Protection

State full inspection

Firewalls

VPN

Intrusion Detection

Anti Malware Anti Spam

Advance Persistent Threat

Detection

Log Management

Web Security Gateway

FEJL!

”Det gjorde jeg bare ikke” – Sender forkert data til forkerte modtagere – 30%

”Åh nej” – Publicerer fortrolige data på Internettet – 17%

”Ups!” – Usikker destruktion af fortrolige data – 12%

ADFÆRD

60% af alle fejl bliver begået af systemadministratorer

0 5 10 15 20 25 30 35

Fejllevering

Kapacitetsplanlægning

Publiceringsfejl

Fejldestruktion

Fejlkonfiguration

50% af brugere klikker på e-mail links inden for én time

ADFÆRD: Vi skal have medarbejderne med, hele vejen

03-02-2016 23

1. Sørg for at ledelsens holdning til sikkerhed er dokumenteret og kommunikeret klart til de ansatte.

2. Find og fasthold de rette sikkerhedsmedarbejdere. Eller få hjælp udefra.

3. Sørg før først og fremmest at uddanne medarbejdere i de mest basale sikkerhedskrav og sørg for løbende vedligeholdelse. Overvej om der skal der er grupper der har brug for særligt målrettet uddannelse

4. Mål på de ansattes sikkerhedskompetencer, og gør det til et målepunkt for virksomheden

5. Sørg for at sikkerhedsuddannelse er en del af det årlige budget

ADFÆRD: Uddan medarbejderne så det giver mening

Sikkerhedskompasset

03-02-2016 26

CodeX – trygiskolen.digital

03-02-2016 27