Sikkerhetsutfordringer ved informasjonsbehandling - uninett.no · Datatilsynets «Ja» Datatilsynet...
Transcript of Sikkerhetsutfordringer ved informasjonsbehandling - uninett.no · Datatilsynets «Ja» Datatilsynet...
Sikkerhetsutfordringer ved
informasjonsbehandling
UNINETT-konferansen 2013
Øivind Høiem, CISA CRISC
Seniorrådgiver informasjonssikkerhet
Om Øivind
Seniorrådgiver ved UH-sektorens
sekretariat for
informasjonssikkerhet hos
UNINETT
Har jobbet 20 år i Statoil med
informasjonssikkerhet,
sikkerhetskultur og
risikovurderinger
Sertifisert IT-revisor og innen
risikostyring
Medlem av ISACA Norges
standard og forskningskomité
4. november 2013 SLIDE 2
UH-sektorens sekretariat for
informasjonssikkerhet
Opprettet på oppdrag av KD
På bakgrunnen er riksrevisjonens kritikk av sektorens
ivaretagelse av informasjonssikkerhet
Vi skal støtte UH-sektoren i informasjonssikkerhetsspørsmål
De nasjonale retningslinjene for informasjonssikkerhet legges til
grunn for vårt arbeid
4. november 2013 SLIDE 3
I sekretariatet, er vi ikke late…
Policyer, rammeverk og metodikk
Maler og informasjonsmateriell
Risiko og sårbarhetsvurderinger
Kontinuitet og beredskapsplaner
Revisjoner
Ledelsens gjennomgang
Informasjon om trusselbildet
Sikkerhetskulturbygging
Arrangør av sikkerhetskonferanser
Sikkerhetsportal
Internasjonalt samarbeid
4. november 2013 SLIDE 4
Den digitale utfordring
4. november 2013 SLIDE 7
I 2010 viste Eric Schmitt, tidligere CEO i Google denne statistikk: “Every 2 days we create as much information as we did from the dawn of civilization up until 2003″
Nå produserer vi samme informasjonsmengde i løpet av 10 minutter
Utviklingen har gjort oss sårbare
4. november 2013 SLIDE 8
Offentlig transport, matdistribusjon, dialysemaskiner, matproduksjon, energiproduksjon, banksystemer, flytransport, sykehus, værvarslingen, forsvaret, politiet, vannforsyning, oljeproduksjon, telefoni, nødnummer 112, lønnsutbetalinger, radio og TV, energidistribusjon, brannmannskap, hjemmetjenesten…
er basert på IKT
Nasjonal sikkerhetsmåned i oktober
Norsk senter for
informasjonssikkerhet – NorSIS står
bak den nasjonale sikkerhets-
måneden i oktober
Info. på sikkert.no
4. november 2013 SLIDE 9
4. november 2013 SLIDE 14
Trusselbilder fra PST
«Offentlig og privat ansatte
med tilgang til sensitiv
informasjon smigres,
bestikkes og presses til å gi
fra seg informasjon eller til
å bidra til å påvirke
beslutningsprosesser»
4. november 2013 SLIDE 15
Trusselbilder fra PST
«Et nyere trekk i etterretningen
mot høyteknologi er enkelte
etterretningstjenesters
utilbørlige press mot studenter
og forskere for å utlevere
forskningsresultater til
hjemlandet, nettopp for å styrke
egen forskning og utvikling»
4. november 2013 SLIDE 16
Trusselbilder fra NSM
«Fremmede staters
etterretningsaktivitet er
hovedsakelig rettet mot forsvars-
og sikkerhetspolitikk, olje- og
gassektoren, høyteknologi-/
forsknings-/undervisningsmiljøer
og eksilmiljøer»
4. november 2013 SLIDE 17
Nye bruksmønstre og
brukerforventninger
Smarttelefoner og nettbrett
Mobile arbeidsplasser
«Bring your own device» BYOD
Skytjenester (Cloud computing)
f.eks. Dropbox, box.com, Google translate,
Prosjektplassen, browser plug-ins
Sosiale media
Mindre skille mellom jobb og fritid
4. november 2013 SLIDE 18
Trusselaktører
4. november 2013 SLIDE 19
Nasjonalstater
Virksomheter
(industrispionasje)
«Vanlige» kriminelle
(økonomisk vinning)
Aktivister (Hactivists)
(har kortsiktig fokus)
Sporadiske hackere
(nysgjerrighet, «ære og berømmelse)
«Nasjonalstater har
både vilje og midler til
å jobbe langsiktig for å
oppnå sine mål» - Generalmajor Roar Sundseth.
Leder av Cyberforsvaret
Hvor kommer angrepene fra?
4. november 2013 SLIDE 20
Kilde: Verizon, 2013 Data breach investigations report
Hvem står bak angrepene?
4. november 2013 SLIDE 21
Kilde: Verizon, 2013 Data breach investigations report
Hvilke angrepsformer benyttes?
4. november 2013 SLIDE 22
Kilde: Verizon, 2013 Data breach investigations report
Virkemidler for sosial manipulering
4. november 2013 SLIDE 23
Kilde: Verizon, 2013 Data breach investigations report
Eksempel på phishing-epost
4. november 2013 SLIDE 24
http://corparkus.com/calendar/install/sql/k2354ajsd.php
Sosial manipulering
4. november 2013 SLIDE 25
Virtuell
kontaktetablering
Virtuell
kommunikasjon
Målrettet
dataangrep
Utnytter tillit
og pålitelighet
Melder seg inn i samme nettverksgrupper
Tar kontakt med personen, deler samme
interesse, blir «nettvenner». Oppgir ikke
nødvendigvis sin rette identitet
Kommuniserer med personen, blir bedre
kjent, finner ytterligere svakheter, mottar
Informasjon som hjelper videre i
manipulering av offeret.
Har skaffet seg personens tillit og senket
vedkommendes sikkerhetsbevissthet.
Sender en epost med ondsinnet kode.
Trojaner installert. Sender ut informasjon til
trusselaktøren. Informasjon kan utnyttes
direkte eller til nye forsøk på å skaffe mer.
Storebror ser deg!
NSA samarbeider angivelig tett med den britiske etterretningsorganisasjonen Government Communications Headquarters (GCHQ) for å få tilgang til ulike typer kommunikasjon på nettet.
GCHQ skal blant annet ha jobbet med å komme seg forbi kryptert trafikk til Hotmail, Google, Yahoo og Facebook.
NSA skal ha klart å få IT-selskaper til å legge inn hemmelige sikkerhetshull i tjenestene og produktene sine.
Det betyr også at kriminelle og hackere kan finne disse bakdørene!
4. november 2013 SLIDE 27
NSAs marina for informasjonsjakt
4. november 2013 SLIDE 29
Teknisk ukeblad 1. okt. 2013
Enorme mengder
såkalte metadata
havner i en
database med
kodenavn Marina.
Dataene omfatter
informasjon om
surfing og besøkte
nettsider, epost-
aktivitet og
enkelte passord.
FRA-loven i Sverige
FRA-loven gir Försvarets radioanstalt (FRA) rett til å bedrive
signalspaning på kabelbåren trafikk som passerer Sveriges grenser
FRA er NSAs hemmelige partner i EU hevder journalisten Duncan
Campbell
Datatilsynet er bekymret over at FRA kan overvåke mye av den
norske datatrafikken
80 prosent av data- og teletrafikken ut og inn av Norge går via
Sverige
4. november 2013 SLIDE 30
Trusselpyramiden
«etter Snowden»
4. november 2013 SLIDE 32
Nasjonal-staters overvåking
Nasjonal-staters spionasjeaktivitet
Virksomheter
«Vanlige» kriminelle
Aktivister (Hactivists)
Sporadiske hackere
4. november 2013 SLIDE 34
Men den viktigste
sikkerhetsrisikoen
er nok oss selv ...
Finansavisen 26.09.2013
Sikkerhetsbevissthet er viktig - Tenk igjennom «Hva kan bli vår neste sikkerhetshendelse?»
4. november 2013 SLIDE 35
Lunch av Børge Lund
Sensitiv informasjon
Personopplysninger f.eks. spesialtilrettelegging pga. sykdom
Eksamensoppgaver før eksamen
Forskningsresultater f.eks.: olje og gass, nano-, bio-, mobil-
og forsvarsteknologi
4. november 2013 SLIDE 37
Virksomhetskritisk informasjon
Samordna opptak
Forskningsrelatert informasjon
Hvem oppholder seg i
bygg/laboratorier i tilfelle brann
eller ulykke?
Har vi ansatte eller studenter i
utlandet der det skjer en alvorlig
hendelse?
Epost og telefoni
4. november 2013 SLIDE 38
UNINETT har en fagspesifikasjon som
Beskriver hvordan man kan klassifisere informasjon i
forhold til bla. sensitivitet, kritikalitet,
oppbevaringsperiode og avhending.
Er et verktøy for informasjonseiere til å bidra til at
sensitivt og virksomhetskritisk informasjon blir behandlet
og avhendet i samsvar med interne og eksterne krav og
beste praksis.
4. november 2013 SLIDE 40
Innhold
Anbefaling om hvordan vi
skal klassifisere informasjon
Eksempler på hvordan
informasjonsobjekter som
er hyppig brukt i UH-
sektoren kan klassifiseres
Referanser til relevante
standarder, lover og
forskrifter
4. november 2013 SLIDE 41
Lover, forskrifter og standarder som
regulerer vår bruk av informasjon
4. november 2013 SLIDE 42
Noark 5 - Norsk arkivstandard
Arkiv og kassasjonsplan for de
statlige høgskolene
Arkivloven
Arkivforskriften
Forvaltningsloven
Offentleglova
Pliktavleveringslova
Personopplysningsloven
Personopplysningsforskriften
eForvaltningsforskriften
Sikkerhetsloven
Forskrift om informasjonssikkerhet
Beskyttelsesinstruksen
Metadata
Metadata er «merkelapper» knyttet til informasjon som
Type (dokument, presentasjon, regneark m.fl)
Forfatter
Tittel
Opprettelsesdato
Sist modifisert osv.
Vi har også metadatatyper som er relatert til informasjonssikkerhet, og det er de som beskrives i fagspesifikasjonen.
4. november 2013 SLIDE 43
Eksempel på metadatatyper som bør
klassifiseres
4. november 2013 SLIDE 44
Informasjonseier
(f.eks. organisasjonsenhet, rolle
eller prosess)
Innhold
(f.eks. forskningsdata)
Lovhjemmel
(f.eks. Offentlegslova §24.6.)
Lagringssted eller datasystem
Sikkerhetsklassifisering
(Åpen, Intern, Konfidensiell)
Sikkerhetsbehov
(Konfidensialitet, Integritet,
Tilgjengelighet)
Maks. nedetid
Hvorfor har informasjonen
bevaringsverdi ?
Personopplysninger ?
Åpne data i offentlig sektor ?
Arkivnøkkel
Oppbevaringsperiode
Avhendingsmetode
Lenke til fagspesifikasjonen
UFS 136 – Retningslinjer for klassifisering av informasjon
4. november 2013 SLIDE 46
«Vi bruker ikke skyen»
4. november 2013 SLIDE 48
I en dansk undersøkelse
svarte et flertall av
virksomhetene at det ikke
bruker skytjenester
Det ble så sjekket om de
ansatte virkelig brukte slike
tjenester
De brukte i virkeligheten i
gjennomsnitt 30 skytjenester
4. november 2013 SLIDE 49
«PRISM-garanti» har
gitt en tidobling av
trafikken til
datasenteret på Joffa
Skysikkerhet
4. november 2013 SLIDE 51
Sikkerhet og personvern
Databeskyttelse
Identitetshåndtering
Fysisk sikkerhet
Tilgjengelighet
Sikker sletting av data
Risiko og sårbarhet
Kontinuitet og katastrofeplaner
Logging, sporbarhet og revisjon
Juridiske og avtalemessige forhold
Plassere ansvar for
informasjonssikkerheten
Sikre overholdelse av regulatoriske krav
Sikre intellektuell eiendom
Sikre dataportabilitet
End-of-service support
Datatilsynets «Ja»
Datatilsynet har sagt ja til nettskytjenester i norske kommune, blant annet Google
Apps i Narvik og Office 365 i Alta. Datatilsynets «ja» er betinget av følgende
forutsetninger:
Det må gjennomføres grundige risikovurderinger i forkant
Tjenesteleverandøren må ha en tilfredsstillende databehandleravtale i tråd
med norsk regelverk. Det er kommunen (den behandlingsansvarlige) som har
ansvar for at lovens krav følges
Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart
gjennomfører en sikkerhetsrevisjon og sikrer at databehandleravtalen følges.
4. november 2013 SLIDE 52
Personopplysninger i skyen
Sikkerhetskopiering/Speiling - Overføres personopplysningene til et annet land
for redundans?
Segmentering – Personopplysninger ikke skal sammenblandes med
personopplysninger fra en annen behandlingsansvarlig
Tilgangsstyring – Hvem hos leverandøren har tilgang til personopplysningene
som behandles?
Autorisert og uautorisert bruk – Tar løsningen høyde for registrering av
autorisert og uautorisert bruk i henhold til personopplysningsforskriften?
Dokumentasjon – Er løsningen tilstrekkelig dokumentert med hensyn til
kontroll fra offentlige myndigheter?
4. november 2013 SLIDE 53
Den Norske Akademiske
NettSkyen - NANSen
Felles skysatsing i regi av UNINETT
… som skal utvikle og forvalte felles
(sky)tjenester for sektoren…
vha. ressurser og kompetanse i sektoren
(dugnadsinnsats)
Initiativ fra IT-direktører fra de fire store
universitetene samt ledelsen i UNINETT
Viktig med UH-sky pga sikkerhetsaspekter
Starter med IaaS og PaaS
4. november 2013 SLIDE 54
Lenke til mere informasjon
Trusted Cloud Drive Facility - TCD
4. november 2013 SLIDE 56
TCD maintain trust and privacy of the end-
user domain by separating metadata and
encryption keys from the storage data at
the domains’ boundary.
http://www.terena.org/publications/files/
TERENA Trusted Cloud Drive Facility.pdf
Hvem er Facebooks kunder?
4. november 2013 SLIDE 58
Er det du og jeg som
er Facebooks kunder?
Nei. Kundene er
annonsørene
Vi er produktet!
Hva er Big Data?
Big Data er en trend der gigantiske
mengder digitale data gjøres til
gjenstand for omfattende analyse
Big Data kan brukes til mange gode
og samfunnsnyttige formål
Teknologien benyttes i stor grad til
å analysere anonymiserte data for
å identifisere og forutsi trender og
sammenhenger
Bruken av Big Data utfordrer
sentrale personvernprinsipper
4. november 2013 SLIDE 59
Bruk av Big Data reiser flere
personvernutfordringer
Bruk av data til nye formål: Big Data handler i stor grad om gjenbruk av data.
Dette utfordrer personvernprinsippet om at innsamlede data ikke kan brukes til
formål som er uforenlige med innsamlingsformålet.
Datamaksimalisering: Dataene i følge prinsippet for dataminimalisering slettes
når de ikke lenger er nødvendige for formålet. Big data innebærer et nytt syn
på data, der data får en verdi i seg selv. Verdien ligger i dataenes fremtidige
bruksmuligheter.
Farvel anonymitet: Gjennom sammenstilling av data fra flere kilder kan det
oppstå risiko for at enkeltindivider kan identifiseres fra i utgangspunktet
anonyme datasett.
4. november 2013 SLIDE 60
Datatilsynets anbefalinger for bruk av
Big Data Behandling av personopplysninger skal som hovedregel baseres på samtykke.
Hvis det ikke er mulig eller ønskelig å benytte samtykke, bør opplysningene
anonymiseres.
Gode rutiner for anonymisering og avidentifisering av opplysningene er av stor
betydning. Dette vil bidra til å redusere faren for reidentifisering.
Big Data bør brukes etter prinsippene for innebygd personvern.
Virksomheter som benytter Big Data må være åpne om hvordan de behandler
personopplysningene de samler inn. Dette innebærer blant annet å gi den
enkelte innsyn i hvilke beslutningskriterier som ligger til grunn for utvikling av
profiler, og fra hvilke kilder opplysningene er hentet.
Den enkelte bør gis mulighet til å få utlevert alle data virksomheten besitter
om én i et brukervennlig format. Dataportabilitet vil hindre at kunder låses til
tjenester som har uakseptable vilkår.
4. november 2013 SLIDE 62
Ny rapport fra Datatilsynet
4. november 2013 SLIDE 63
Last ned rapporten Big Data –
personvernprinsippene under
press
Åpne data i offentlig forvaltning
FAD og Difi ønsker å legge forholdene til rette for at offentlige virksomheter
skal dele sine data slik at de kan brukes i nye sammenhenger og til nye
tjenester.
Tilgjengeliggjøring og viderebruk av offentlige data handler om å la næringsliv,
forskere og sivilsamfunn få tilgang til og gjøre nytte av informasjon
forvaltningen har.
Med begrepet offentlige data menes alle typer informasjon som er produsert
eller samlet inn av offentlige virksomheter.
Offentlige data kan for eksempel være næringslivsregistre, kartdata,
organisasjonsmodeller, budsjett, årsregnskap og lignende.
Når data blir gjort tilgjengelige i et maskinlesbart format, blir det mulig for
andre å finne nye måter å bruke dataene på.
På denne måten kan nytteverdien av data produsert av det offentlige
mangedobles.
Veileder fra Difi
Veilederen gir en innføring i hvordan offentlige
data kan gjøres tilgjengelig for videre bruk, og
inneholder blant annet:
Eksempler på hva åpne data kan brukes til
Argumenter for hvorfor offentlige
virksomheter bør dele sine data
Praktiske råd til hvordan det kan gjøres
http://data.norge.no/veiledning
4. november 2013 SLIDE 66
Takk for meg
Øivind Høiem, CISA CRISC
Seniorrådgiver informasjonssikkerhet
4. november 2013 SLIDE 68