Sikkerhetssatsing frem mot startstreken

Transkript

1 Sikkerhetssatsing frem mot startstreken 14. Januar 2019

2 Dagens Khrono: 2

3 Statsråden i CW, 7 januar

4 Fra statsbudsjettet, 8 okt 2018: "Regjeringa foreslår 17,5 mill. kroner til eit program for informasjonstryggleik i universitets- og høgskolesektoren. Evalueringar har peikt på veikskapar ved tryggleiken i forskingsnettet og utfordringar med å få på plass tilstrekkeleg styring av informasjonstryggleiken i sektoren.» "For å styrke informasjonstryggleiken i universitets- og høgskolesektoren og betre evna til å førebygge og handtere truslar mot forskingsnettet, foreslår Kunnskapsdepartementet å løyve 17,5 mill. kroner til Direktoratet for IKT og fellestenester i høgre utdanning og forsking (UNIT) for å etablere eit program for informasjonstryggleik. Programmet vil i utgangspunktet gå over fire år og inneber ei rekke tiltak, mellom anna for betre kapasitet til å oppdage og handtere brot på informasjonstryggleiken, analyseverktøy og kompetanseheving. Sjå budsjettforslaget for kap. 281 post 01.» "Departementet foreslår at UNIT kan nytte løyvinga til å gi tilskott til UNINETT AS, jf. omtale under kap 280 post 72. 4

5 Fra tildelingsbrevet: Unit til Uninett

6 Viktige dokumenter ligger bak tildelingen Stortingsprop. 1 S Digitaliseringsstrategi (2017) Informasjonssikkerhetsstrategi (2016) Satsingsdokument (Uninett, 2017) I tillegg: NSMs rammeverk for hendelseshåndtering Units styringsoppdrag innen informasjonssikkerhet Evaluering av Uninetts sikkerhetsarbeid og tilstand i sektoren (Mnemonic) Ny sikkerhetslov fra januar 2019 Tildelingsbrev 2019 til Uninett fra Unit Ny sikkerhetsstrategi kommer (KD) 6

7 Sektorens infosikkstrategi anno 2016 (Tranvik og Schjelderup) peker på at sikkerhet er altomfattende: 7

8 Digitaliseringsstrategien kap «En målrettet styrking av informasjonssikkerheten» «Institusjonene må ha et aktivt forhold til styringen av informasjonssikkerheten, og ha en egen strategisk interesse i å løfte denne høyere enn de nasjonale minstekravene.» «Fortsatt behov for forbedringer hva angår innføring av ledelsessystemer på institusjonsnivå:» «KD vil styrke styringen av informasjonssikkerheten på sektornivå gjennom et tydeligere rammeverk for denne styringen.» «Fellestjenester» er gjennomgående i strategien 8

9 Fagutvalget for informasjonssikkerhet 9

10 Utkast til Fagutvalget, 22 nov 2018, Informasjonssikkerhet og personvern: Styring (Unit) # Initiativ Formål* Ansvar Målbilde (kode) Andre fagområder Lenke til beskrivelse IS1 Styrket styring av informasjonssikkerhet i UHsektoren Implement ering Løpende Løpende Løpende KD skal styrke styringen av informasjonssikkerhet og personvern i UH-sektoren gjennom et tydelig rammeverk. Rammeverket bygger på ISO/IEC27014:2013 KD/Unit MIS? Vis IS1.1 Utarbeide delstrategi og handlingsplan for informasjonssikkerhet og personvern Gjeldene fra Gjeldende til Gi retning til arbeidet med informasjonssikkerhet og personvern i sektoren, og understøtte digitaliseringsstrategien Unit/KD MIS? IS1.2 Gjennomføre kartlegginger av informasjonssikkerhets- og personverntilstand på sektor- og institusjonsnivå Løpende Løpende Løpende Løpende Forbedre KDs styring av informasjonssikkerhet og personvern i sektoren, styrke måloppnåelse innenfor området. Unit MIS? IS1.3 Evaluere måloppnåelse Løpende Løpende Løpende Løpende Vurdere hvorvidt målene i delstrategien og digitaliseringsstrategien er realisert. Unit/KD MIS? IS2 Etablere forum for personvernombud i UH-sektoren Etablering Løpende Løpende Løpende Utveksle personvernrelaterte muligheter og problemstillinger knyttet til rollen som personvernombud i en UH-institusjon. Øke kompetansen til personvernombud i UH-sektoren Unit IS3 Videreføre samarbeidsgruppen GDPR i UH-sektoren Løpende Løpende Løpende Løpende Gjøre institusjonene bedre i stand til å løse utfordringer innenfor GDPR. Utvikling av internkontroll for personvern i UH-sektoren. Bidra til å øke personvernet i sektoren. Unit/(NSD? ) 10

11 Utkast til Fagutvalget, 22 nov 2018, Informasjonssikkerhet og personvern `Program for styrket informasjonssikkerhet og etablering av sektorens analysesenter for cybersikkerhet # Initiativ Formål* Ansvar Målbilde (kode) Andre fagområde r Lenke til beskrivels e IS4 Hovedpunkt: Program for styrket informasjonssikkerhet og etablering av sektorens analysesenter for cybersikkerhet Utvikling Utviklin g Etablerin g Drift Programmet vil i utgangspunktet gå over fire år og innebærer en rekke tiltak, mellom anna for bedre kapasitet til å oppdage og håndtere brudd på informasjonssikkerheten, analyseverktøy og kompetanseheving. Uninett MIS2, MIS3, MIS4, MIS5, MIS6 IS4.1 Etablering av helhetlig og felles deteksjons- og analysekapasitet Forebygge, oppdage og håndtere sikkerhetshendelser i forskningsnettet. Kunnskapssektorens analysesenter for cybersikkerhet. Dette inkluderer også forebyggende tekniske sikringstiltak og strukturering av en tjenesteportefølje. Kan styrkes ytterligere ved etablering av virtuelle team. Uninett MIS1, MIS3, MIS6 IS4.2 Tilrettelegge og organisere sektoren til å være i tråd med NSMs rammeverk for hendelseshåndtering (sektorcert og institusjonsvise IRT) Styrke sektorens evne til å kunne håndtere hendelser som rammer hele eller deler av sektoren i tråd med NSMs rammeverk. Se Kan styrkes ytterligere ved etablering av virtuelle team. Uninett MIS2, MIS6 IS4.3 Etablering av rådgivingstjenester for implementering og helhetlig praktisering av etablerte ledelsessystem for informasjonssikkerhet. Rådgiving for å sikre at ledelsessystemet er integrert i virksomhetsstyringen på alle nivå hos institusjonene. Dette inkluderer å løfte digital beredskap, videreføre en risikobasert tilnærming til arbeidet med informasjonssikkerhet, praktisk støtte til etterlevelse av lover, forskrifter og vedtatt praksis til personvern, oppnå kontinuerlig forbedring gjennom denne aktiviteten. Uninett MIS1, MIS3 IS4.4 Etablering av et program for heving av kompetanse innenfor informasjonssikkerhet og personvern for lederen, forskeren, studenten og øvrige ansatte Øke fokuset på holdningsskapende arbeid og sikkerhetskultur. Øke kompetanse på informasjonssikkerhet generelt, yte veiledning innenfor informasjonssikkerhet i digitaliseringsprosesser. Etablering av program for kompetanseheving innenfor informasjonssikkerhet og personvern. Uninett MIS3, MIS4, MIS5 11

12 Prosjektet/programmets fire delområder IS4.1 Analysesenter IS4.2 SektorCERT IS4.3 Rådgiving informasjonssikkerhet IS4.4 Kunnskap, kompetanse, kultur 12

13 IS4.1 Analysesenter Det meste av cybersikkerhetstrusler og -hendelser går under radaren i dag. Analysesenteret skal: Oppdage sikkerhetstrusler og hendelser som berører institusjonene i sektoren Gi løpende sikkerhetsoversikt pr. institusjon og typisk også fellestjenester Være i prosess med og kommunisere med Uninett CERT og IRT-er, kunder (ledelse, teknisk personell, berørte brukere) Vil ventelig øke antall hendelser som må håndteres vesentlig Hjernen i analysemotoren; ELK++ eller Splunk eller begge? Uninett har i disse dager klar en pilot på en kraftig forbedret analyseplattform (ELK + mange flere tilleggsverktøy). Stort synergipotensiale gjennom at UiO og NTNU har igangsatt lignende prosjekter for egne behov, hver med sine hovedfokus. NTNU har bl.a. anskaffet en «Cisco-rigg» for klientsikkerhet. Kan Splunk kan komme til å sette ned prisene, og inngå i deler av analyseplattformen? Samlet opptreden mot leverandørene viktig! Risiko: Manglende logger, GDPR/jus, time-to-market, dobbeltarbeid, ressursutfordringer knyttet til oppfølging av funn 13

14 Analysesenter `in da making (KACS) 14

15 Eksempler på kundeverdi av et analysesenter Ny sårbarhet varslet på produkt. En sårbarhetsanalyse gir oss liste over sårbare maskiner I sektoren. Innrapportert anomali fra kunde. Analyserer ulike logger. Vi varsler og stopper angrep for andre kunder. Detektere unormale trafikkmønstre for kjente tjenester, herunder rekognosering, misbruk og saktegående angrep. Monitoreringstjeneste pr tjeneste Gitt økt grad av kryptering på trafikk, ivareta deteksjonskapabilitet gjennom å analysere mønstre ved hjelp av maskinlæring (AI). Være en «trygg og nyttig havn» for logger fra kunder og tjenester (GDPR-compliant, `Nextgen logganalysetjeneste ) Sektormonitorering: Kontinuerlig monitorering av sikkerhetssituasjon i sektoren. Rapporter pr institusjon og for sektoren. Kontinuerlig eller øyeblikkelig monitorering, varsling og mitigering av treff på IOC-er (trusselindikatorer) i sektoren Detektere angrepsforsøk ved å se bruk av ulike IOC-er i sammenheng Kundespesifikke sårbarhetsanalyser og fellestjenester på pentest. Løpende tilstandsrapporter; alt fra detaljer til overordnet score. Løpende faktaleveranser til myndigheter og institusjonene ved cyberhendelser/kriser. Avgjørende for effektiv håndtering. 15

16 IS4.2 Uninett CERT, IRT-er og sektorcert-rollen Krav fra omgivelser Samarbeid Tillit Kommunikasjon Teknologi Skalering på ressurser 16

17 Totalforsvaret 17

18 18

19 NSM -Rammeverk for hendelseshåndtering 19

20 Rammeverket for hendelseshåndtering omfatter: Planlegging og forberedelse Deteksjon og vurdering av omfang og alvorlighetsgrad Varsling av relevante parter Iverksetting av prosesser og tiltak for å håndtere hendelsen Situasjonsrapportering Tilbakeføring og læring av hendelsen Virksomheter forutsettes å... Sektorvise responsmiljøer skal... NSM skal... 20

21 Sektorvise responsmiljøer skal... (oppsummering av de viktigste): etablere og vedlikeholde sambandskatalog og aktørkart for sektoren. ha kunnskap om departementets oversikt over kritisk infrastruktur og kritiske samfunnsfunksjoner i sektor avklare rutiner for deling av hendelses- og risikoinfo i sektor, på tvers av sektorer og mot NSM arrangere møter for erfaringsutveksling og samhandling i sektoren ha beredskapsplaner for håndtering av større hendelser ha kompetanse om relevante systemer og kunne vurdere alvorlighetsgrad, omfang og konsekvenser på overordnet nivå kunne avgjøre om kritisk infrastruktur og/eller kritiske samfunnsfunksjoner i sektoren er eller står i fare for å bli berørt av hendelsen ha oversikt over omfang av hendelsen og se hendelser innenfor samme sektor i sammenheng Bidra med informasjon til NSMs nasjonale koordinering 21

22 CERT - Tillitsnettverk Cybersikkerhet er et globalt problem. Ingen har full oversikt alene, og kanskje heller ikke alle nødvendige kunnskaper/ressurser. Et nettverk av partnere du stoler på er helt nødvendig. Tett samarbeid med andre team er nødvendig. Uninett CERT er medlem av flere nasjonale og internasjonale nettverk hvor vi mottar informasjon, verktøy og metoder som kommer vår sektor tilgode.

23 2017: 35 IRT-er i sektoren er formalisert hittil Workshop 2 mai 2017: Handelshøyskolen BI (cert@bi.no) Universitetet i Oslo (cert@uio.no Høgskolen i Oslo og Akershus (csirt@hioa.no) Høgskulen på Vestlandet (csirt@hvl.no) NMBU (csirt@nmbu.no) Universitetet i Agder (csirt@uia.no) UiT Norges arktiske universitet (csirt@uit.no) Norges musikkhøgskole (hendelsesresponsteam@nmh.no) Nord universitet (irt.nord@nord.no) Arkitektur- og designhøgskolen i Oslo (irt@aho.no) Fagskolen Innlandet (irt@fagskolen-innlandet.no) Høgskolen i Molde (irt@himolde.no) Høgskolen i Østfold (irt@hiof.no) Høgskulen i Volda (irt@hivolda.no) Høgskolen I Innlandet (irt@inn.no) Kunsthøgskolen i Oslo (irt@khio.no) Norges Handelshøyskole (irt@nhh.no) Norges forskningsråd (irt@rcn.no) Sámi allaskuvla (irt@samiskhs.no) Universitetet i Bergen (irt@uib.no) Universitetet i Stavanger (irt@uis.no) UNIS (irt@unis.no) NTNU (soc@ntnu.no) Høgskolen i Sørøst-Norge (usn-irt@usn.no) Norges idrettshøgskole (irt@nih.no) Høgskolen i Innlandet (irt@inn.no) Workshop 9 november 2017: Utdanningsdirektoratet (irt@udir.no) Kompetanse Norge (csirt@kompetansenorge.no) Chr. Michelsen Institutt (irt@cmi.no) Fagskolen i Ålesund (fials_irt@fials.no) Nasjonalbiblioteket (irt@nb.no) UNINETT Sigma2 (csirt@sigma2.no) Det teknologiske menighetsfakultet (irt@mf.no) Norske regnesentral (irt@nr.no) Uninett CERT (cert@uninett.no)... et unikt og viktig fundament for fremtidens operative samhandling 23

24 Gratulerer til dagens nyformaliserte team! Norsk Institutt for Luftforskning o Thomas Espe te@nilu.no Norwegian Research Centre AS (NORCE AS) o Andreas Cittlau anci@norceresearch.no o Håvard Lygre haly@norceresearch.no Unit o Thomas Lund thomas.lund@unit.no o Asbjørn Thorsen asbjorn.reglund.thorsen@unit.no 24

25 IS4.3 Helhetlig rådgiving informasjonsikkerhet «Fortsette der sekretariatet slapp» - men med mer målrettet fokus på: Operasjonalisering av ledelsessystemene! Helhetlig rådgiving, fra det styrende til det operative «Coachende» med praktisk know-how - kunne peke på og hjelpe til med konkrete og praktiske løsninger for institusjonsledelse i samråd med deres faglige og operative ressurser Avklaring rundt innretning i Q1/Q2 (Unit+Uninett) Sekretariatet virksomhetsoverdratt til Unit, men avklare oppgavefordeling mellom styrings- og rådgivingsdelen. Synergier finnes i dette nye landskapet. «Peer reviews» har med suksess vært gjennomført i finsk UH. Noe for oss? Fremdeles (stort) behov for bl.a. ROS-er i sektoren (Unit får forespørsler). Betalingsvilje finnes, bør kunne være selvbærende. Men hva med risikohåndteringsplanen? Digitalisering og transformering av infosikkområdet. Store mengder word- og excel dokumenter skalerer dårlig. 25

26 IS4.4 Kunnskap, kompetanse og kultur Sluttbrukere og ledelse Sikkerhetskultur, Holdningsskapende arbeid, Opplæring, Kontinuitet- og beredskapsplaner, Øvelser Kurs/samlinger: Innleie av dyktige foredragsholdere på generelle områder Regi på det sektorspesifikke Utdanne lokalt instruktørkorps for skalering Vi hadde sikkerhetsforum I hvilken form bør det videreføres? Utrulling av tiltak? Avklaringer i Q1/Q2 2019

27 Mulige tjenester 2019: Forbedret sikkerhetsanalysetjeneste (basert på ny analyseplattform) Videreutvikles trinnvis DNS RPZ Sårbarhetsscanning Pentesting Sikker chat Sektorvern epost Annet?

28 Uninett+NTNU+UiO+Unit are teaming up UH-IT møtet 20 nov 2017 pekte særlig på NTNU og UiO som bidragsytere inn i en eventuell satsing. 3-4 mars 2018 faglig workshop Uninett, NTNU, UiO og Unit v/ CERES og Bibsys. Hovedkonklusjon: Samarbeid er viktig, nyttig og mulig! Tildelingsbrev fra Unit peker på bidrag fra NTNU og UiO. `Direktørmøte 7. januar 2019 (Uninett, UiO og NTNU): Sterk samarbeidsvilje, orientert mot sektorrettede felles tjenester Grunnmodell: Implisitt tillit mellom partene kan projiseres på resten av sektoren Bygge virtuellt team. Her er det også muligheter for flere å forplikte seg inn! Ambisjon: Første tjeneste innen 31. mars!