Sikkerhetsutfordringer ved informasjonsbehandling - uninett.no · Datatilsynets «Ja» Datatilsynet...

Sikkerhetsutfordringer ved

informasjonsbehandling

UNINETT-konferansen 2013

Øivind Høiem, CISA CRISC

Seniorrådgiver informasjonssikkerhet

Om Øivind

Seniorrådgiver ved UH-sektorens

sekretariat for

informasjonssikkerhet hos

UNINETT

Har jobbet 20 år i Statoil med

informasjonssikkerhet,

sikkerhetskultur og

risikovurderinger

Sertifisert IT-revisor og innen

risikostyring

Medlem av ISACA Norges

standard og forskningskomité

4. november 2013 SLIDE 2

UH-sektorens sekretariat for

informasjonssikkerhet

Opprettet på oppdrag av KD

På bakgrunnen er riksrevisjonens kritikk av sektorens

ivaretagelse av informasjonssikkerhet

Vi skal støtte UH-sektoren i informasjonssikkerhetsspørsmål

De nasjonale retningslinjene for informasjonssikkerhet legges til

grunn for vårt arbeid


I sekretariatet, er vi ikke late…

Policyer, rammeverk og metodikk

Maler og informasjonsmateriell

Risiko og sårbarhetsvurderinger

Kontinuitet og beredskapsplaner

Revisjoner

Ledelsens gjennomgang

Informasjon om trusselbildet

Sikkerhetskulturbygging

Arrangør av sikkerhetskonferanser

Sikkerhetsportal

Internasjonalt samarbeid


Hvor mange av dere jobber

med informasjonssikkerhet?


Hva skjer på ett minutt på internett?


Qmee 2013

Den digitale utfordring


I 2010 viste Eric Schmitt, tidligere CEO i Google denne statistikk: “Every 2 days we create as much information as we did from the dawn of civilization up until 2003″

Nå produserer vi samme informasjonsmengde i løpet av 10 minutter

Utviklingen har gjort oss sårbare


Offentlig transport, matdistribusjon, dialysemaskiner, matproduksjon, energiproduksjon, banksystemer, flytransport, sykehus, værvarslingen, forsvaret, politiet, vannforsyning, oljeproduksjon, telefoni, nødnummer 112, lønnsutbetalinger, radio og TV, energidistribusjon, brannmannskap, hjemmetjenesten…

er basert på IKT

Nasjonal sikkerhetsmåned i oktober

Norsk senter for

informasjonssikkerhet – NorSIS står

bak den nasjonale sikkerhets-

måneden i oktober

Info. på sikkert.no


http://www.sikkert.no/

Trusselbildet


http://www.dagbladet.no/2009/10/01/nyheter/innbrudd/olje/gass/sjtokman/8375046/

Trusselbilder fra PST

«Offentlig og privat ansatte

med tilgang til sensitiv

informasjon smigres,

bestikkes og presses til å gi

fra seg informasjon eller til

å bidra til å påvirke

beslutningsprosesser»


Trusselbilder fra PST

«Et nyere trekk i etterretningen

mot høyteknologi er enkelte

etterretningstjenesters

utilbørlige press mot studenter

og forskere for å utlevere

forskningsresultater til

hjemlandet, nettopp for å styrke

egen forskning og utvikling»


Trusselbilder fra NSM

«Fremmede staters

etterretningsaktivitet er

hovedsakelig rettet mot forsvars-

og sikkerhetspolitikk, olje- og

gassektoren, høyteknologi-/

forsknings-/undervisningsmiljøer

og eksilmiljøer»


Nye bruksmønstre og

brukerforventninger

Smarttelefoner og nettbrett

Mobile arbeidsplasser

«Bring your own device» BYOD

Skytjenester (Cloud computing)

f.eks. Dropbox, box.com, Google translate,

Prosjektplassen, browser plug-ins

Sosiale media

Mindre skille mellom jobb og fritid


Trusselaktører


Nasjonalstater

Virksomheter

(industrispionasje)

«Vanlige» kriminelle

(økonomisk vinning)

Aktivister (Hactivists)

(har kortsiktig fokus)

Sporadiske hackere

(nysgjerrighet, «ære og berømmelse)

«Nasjonalstater har

både vilje og midler til

å jobbe langsiktig for å

oppnå sine mål» - Generalmajor Roar Sundseth.

Leder av Cyberforsvaret

Hvor kommer angrepene fra?


Kilde: Verizon, 2013 Data breach investigations report

Hvem står bak angrepene?



Hvilke angrepsformer benyttes?



Virkemidler for sosial manipulering



Eksempel på phishing-epost


http://corparkus.com/calendar/install/sql/k2354ajsd.php

Sosial manipulering


Virtuell

kontaktetablering

Virtuell

kommunikasjon

Målrettet

dataangrep

Utnytter tillit

og pålitelighet

Melder seg inn i samme nettverksgrupper

Tar kontakt med personen, deler samme

interesse, blir «nettvenner». Oppgir ikke

nødvendigvis sin rette identitet

Kommuniserer med personen, blir bedre

kjent, finner ytterligere svakheter, mottar

Informasjon som hjelper videre i

manipulering av offeret.

Har skaffet seg personens tillit og senket

vedkommendes sikkerhetsbevissthet.

Sender en epost med ondsinnet kode.

Trojaner installert. Sender ut informasjon til

trusselaktøren. Informasjon kan utnyttes

direkte eller til nye forsøk på å skaffe mer.


Aftenposten 6. sept 2013

27. Juni 2013

detonerte

«Snowden

bomben»

Storebror ser deg!

NSA samarbeider angivelig tett med den britiske etterretningsorganisasjonen Government Communications Headquarters (GCHQ) for å få tilgang til ulike typer kommunikasjon på nettet.

GCHQ skal blant annet ha jobbet med å komme seg forbi kryptert trafikk til Hotmail, Google, Yahoo og Facebook.

NSA skal ha klart å få IT-selskaper til å legge inn hemmelige sikkerhetshull i tjenestene og produktene sine.

Det betyr også at kriminelle og hackere kan finne disse bakdørene!


NSAs marina for informasjonsjakt


Teknisk ukeblad 1. okt. 2013

Enorme mengder

såkalte metadata

havner i en

database med

kodenavn Marina.

Dataene omfatter

informasjon om

surfing og besøkte

nettsider, epost-

aktivitet og

enkelte passord.

FRA-loven i Sverige

FRA-loven gir Försvarets radioanstalt (FRA) rett til å bedrive

signalspaning på kabelbåren trafikk som passerer Sveriges grenser

FRA er NSAs hemmelige partner i EU hevder journalisten Duncan

Campbell

Datatilsynet er bekymret over at FRA kan overvåke mye av den

norske datatrafikken

80 prosent av data- og teletrafikken ut og inn av Norge går via

Sverige



Og i Norge trer datalagringsdirektivet

i kraft 1.1.2015 ….

Trusselpyramiden

«etter Snowden»


Nasjonal-staters overvåking

Nasjonal-staters spionasjeaktivitet

Virksomheter

«Vanlige» kriminelle

Aktivister (Hactivists)

Sporadiske hackere


Rocky av Martin Kellerman


Men den viktigste

sikkerhetsrisikoen

er nok oss selv ...

Finansavisen 26.09.2013

Sikkerhetsbevissthet er viktig - Tenk igjennom «Hva kan bli vår neste sikkerhetshendelse?»


Lunch av Børge Lund

Sensitiv eller kritisk

informasjon?

Nei ikke hos oss!

Sensitiv informasjon

Personopplysninger f.eks. spesialtilrettelegging pga. sykdom

Eksamensoppgaver før eksamen

Forskningsresultater f.eks.: olje og gass, nano-, bio-, mobil-

og forsvarsteknologi


Virksomhetskritisk informasjon

Samordna opptak

Forskningsrelatert informasjon

Hvem oppholder seg i

bygg/laboratorier i tilfelle brann

eller ulykke?

Har vi ansatte eller studenter i

utlandet der det skjer en alvorlig

hendelse?

Epost og telefoni


Har vi ikke det?

Man må vite hva

man skal beskytte


UNINETT har en fagspesifikasjon som

Beskriver hvordan man kan klassifisere informasjon i

forhold til bla. sensitivitet, kritikalitet,

oppbevaringsperiode og avhending.

Er et verktøy for informasjonseiere til å bidra til at

sensitivt og virksomhetskritisk informasjon blir behandlet

og avhendet i samsvar med interne og eksterne krav og

beste praksis.


Innhold

Anbefaling om hvordan vi

skal klassifisere informasjon

Eksempler på hvordan

informasjonsobjekter som

er hyppig brukt i UH-

sektoren kan klassifiseres

Referanser til relevante

standarder, lover og

forskrifter


Lover, forskrifter og standarder som

regulerer vår bruk av informasjon


Noark 5 - Norsk arkivstandard

Arkiv og kassasjonsplan for de

statlige høgskolene

Arkivloven

Arkivforskriften

Forvaltningsloven

Offentleglova

Pliktavleveringslova

Personopplysningsloven

Personopplysningsforskriften

eForvaltningsforskriften

Sikkerhetsloven

Forskrift om informasjonssikkerhet

Beskyttelsesinstruksen

Metadata

Metadata er «merkelapper» knyttet til informasjon som

Type (dokument, presentasjon, regneark m.fl)

Forfatter

Tittel

Opprettelsesdato

Sist modifisert osv.

Vi har også metadatatyper som er relatert til informasjonssikkerhet, og det er de som beskrives i fagspesifikasjonen.


Eksempel på metadatatyper som bør

klassifiseres


Informasjonseier

(f.eks. organisasjonsenhet, rolle

eller prosess)

Innhold

(f.eks. forskningsdata)

Lovhjemmel

(f.eks. Offentlegslova §24.6.)

Lagringssted eller datasystem

Sikkerhetsklassifisering

(Åpen, Intern, Konfidensiell)

Sikkerhetsbehov

(Konfidensialitet, Integritet,

Tilgjengelighet)

Maks. nedetid

Hvorfor har informasjonen

bevaringsverdi ?

Personopplysninger ?

Åpne data i offentlig sektor ?

Arkivnøkkel

Oppbevaringsperiode

Avhendingsmetode

Eksempler basert på input fra

UH-sektoren


Lenke til fagspesifikasjonen

UFS 136 – Retningslinjer for klassifisering av informasjon


https://www.uninett.no/ferdige-ufs




Skytjenester

«Vi bruker ikke skyen»


I en dansk undersøkelse

svarte et flertall av

virksomhetene at det ikke

bruker skytjenester

Det ble så sjekket om de

ansatte virkelig brukte slike

tjenester

De brukte i virkeligheten i

gjennomsnitt 30 skytjenester


«PRISM-garanti» har

gitt en tidobling av

trafikken til

datasenteret på Joffa

Servicemodeller og ansvar


Skysikkerhet


Sikkerhet og personvern

Databeskyttelse

Identitetshåndtering

Fysisk sikkerhet

Tilgjengelighet

Sikker sletting av data

Risiko og sårbarhet

Kontinuitet og katastrofeplaner

Logging, sporbarhet og revisjon

Juridiske og avtalemessige forhold

Plassere ansvar for

informasjonssikkerheten

Sikre overholdelse av regulatoriske krav

Sikre intellektuell eiendom

Sikre dataportabilitet

End-of-service support

Datatilsynets «Ja»

Datatilsynet har sagt ja til nettskytjenester i norske kommune, blant annet Google

Apps i Narvik og Office 365 i Alta. Datatilsynets «ja» er betinget av følgende

forutsetninger:

Det må gjennomføres grundige risikovurderinger i forkant

Tjenesteleverandøren må ha en tilfredsstillende databehandleravtale i tråd

med norsk regelverk. Det er kommunen (den behandlingsansvarlige) som har

ansvar for at lovens krav følges

Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart

gjennomfører en sikkerhetsrevisjon og sikrer at databehandleravtalen følges.


Personopplysninger i skyen

Sikkerhetskopiering/Speiling - Overføres personopplysningene til et annet land

for redundans?

Segmentering – Personopplysninger ikke skal sammenblandes med

personopplysninger fra en annen behandlingsansvarlig

Tilgangsstyring – Hvem hos leverandøren har tilgang til personopplysningene

som behandles?

Autorisert og uautorisert bruk – Tar løsningen høyde for registrering av

autorisert og uautorisert bruk i henhold til personopplysningsforskriften?

Dokumentasjon – Er løsningen tilstrekkelig dokumentert med hensyn til

kontroll fra offentlige myndigheter?


Den Norske Akademiske

NettSkyen - NANSen

Felles skysatsing i regi av UNINETT

… som skal utvikle og forvalte felles

(sky)tjenester for sektoren…

vha. ressurser og kompetanse i sektoren

(dugnadsinnsats)

Initiativ fra IT-direktører fra de fire store

universitetene samt ledelsen i UNINETT

Viktig med UH-sky pga sikkerhetsaspekter

Starter med IaaS og PaaS


Lenke til mere informasjon

https://www.uninett.no/skytjenester


Rammeverk og

sertifiserings-

program for

skytjenester

Trusted Cloud Drive Facility - TCD


TCD maintain trust and privacy of the end-

user domain by separating metadata and

encryption keys from the storage data at

the domains’ boundary.

http://www.terena.org/publications/files/

TERENA Trusted Cloud Drive Facility.pdf

http://www.terena.org/publications/files/TERENA Trusted Cloud Drive Facility.pdf










Big Data – personvern-

prinsipper under press


Hvem er Facebooks kunder?


Er det du og jeg som

er Facebooks kunder?

Nei. Kundene er

annonsørene

Vi er produktet!

Hva er Big Data?

Big Data er en trend der gigantiske

mengder digitale data gjøres til

gjenstand for omfattende analyse

Big Data kan brukes til mange gode

og samfunnsnyttige formål

Teknologien benyttes i stor grad til

å analysere anonymiserte data for

å identifisere og forutsi trender og

sammenhenger

Bruken av Big Data utfordrer

sentrale personvernprinsipper


Bruk av Big Data reiser flere

personvernutfordringer

Bruk av data til nye formål: Big Data handler i stor grad om gjenbruk av data.

Dette utfordrer personvernprinsippet om at innsamlede data ikke kan brukes til

formål som er uforenlige med innsamlingsformålet.

Datamaksimalisering: Dataene i følge prinsippet for dataminimalisering slettes

når de ikke lenger er nødvendige for formålet. Big data innebærer et nytt syn

på data, der data får en verdi i seg selv. Verdien ligger i dataenes fremtidige

bruksmuligheter.

Farvel anonymitet: Gjennom sammenstilling av data fra flere kilder kan det

oppstå risiko for at enkeltindivider kan identifiseres fra i utgangspunktet

anonyme datasett.


Big Data - verdikjede


Kilde: Datatilsynet

Datatilsynets anbefalinger for bruk av

Big Data Behandling av personopplysninger skal som hovedregel baseres på samtykke.

Hvis det ikke er mulig eller ønskelig å benytte samtykke, bør opplysningene

anonymiseres.

Gode rutiner for anonymisering og avidentifisering av opplysningene er av stor

betydning. Dette vil bidra til å redusere faren for reidentifisering.

Big Data bør brukes etter prinsippene for innebygd personvern.

Virksomheter som benytter Big Data må være åpne om hvordan de behandler

personopplysningene de samler inn. Dette innebærer blant annet å gi den

enkelte innsyn i hvilke beslutningskriterier som ligger til grunn for utvikling av

profiler, og fra hvilke kilder opplysningene er hentet.

Den enkelte bør gis mulighet til å få utlevert alle data virksomheten besitter

om én i et brukervennlig format. Dataportabilitet vil hindre at kunder låses til

tjenester som har uakseptable vilkår.


Ny rapport fra Datatilsynet


Last ned rapporten Big Data –

personvernprinsippene under

press

http://datatilsynet.no/Nyheter/2013/Big-Data-rapporten/





Åpne data i offentlig

forvaltning

Åpne data i offentlig forvaltning

FAD og Difi ønsker å legge forholdene til rette for at offentlige virksomheter

skal dele sine data slik at de kan brukes i nye sammenhenger og til nye

tjenester.

Tilgjengeliggjøring og viderebruk av offentlige data handler om å la næringsliv,

forskere og sivilsamfunn få tilgang til og gjøre nytte av informasjon

forvaltningen har.

Med begrepet offentlige data menes alle typer informasjon som er produsert

eller samlet inn av offentlige virksomheter.

Offentlige data kan for eksempel være næringslivsregistre, kartdata,

organisasjonsmodeller, budsjett, årsregnskap og lignende.

Når data blir gjort tilgjengelige i et maskinlesbart format, blir det mulig for

andre å finne nye måter å bruke dataene på.

På denne måten kan nytteverdien av data produsert av det offentlige

mangedobles.

Veileder fra Difi

Veilederen gir en innføring i hvordan offentlige

data kan gjøres tilgjengelig for videre bruk, og

inneholder blant annet:

Eksempler på hva åpne data kan brukes til

Argumenter for hvorfor offentlige

virksomheter bør dele sine data

Praktiske råd til hvordan det kan gjøres

http://data.norge.no/veiledning


http://data.norge.no/veiledning

Stopp - Tenk - Klikk


Takk for meg

Øivind Høiem, CISA CRISC

Seniorrådgiver informasjonssikkerhet

[email protected]


mailto:[email protected]

Sikkerhetsutfordringer ved informasjonsbehandling - uninett.no · Datatilsynets «Ja» Datatilsynet...

Documents

Transcript of Sikkerhetsutfordringer ved informasjonsbehandling - uninett.no · Datatilsynets «Ja» Datatilsynet...