Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Transkript

1 Sikkerhetshendelse hos Kartverket i 2017 Oppfølging på kort og lang sikt Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

2 Status IT infrastruktur Lagringskapasitet i TB Antall servere Linux Windows 10 PB = TB = GB

3 Kort om hendelsen oktober 2017 Sikkerhetstruende hendelse En alvorlig sikkerhetstruende hendelse varslet 13. oktober 2017 Antatt (99%) angrepsvektor via hull i standard programvare Godt samarbeid med NorCert gjennom VDI PST og andre deler av NSM også involvert Strakstiltak som ble gjennomført: Analyse av angrepet server foretatt hos NorCert Kartverket analyserte datainnhold på angrepet server (integritet) Ingen kompromitterte data Bytte av passord på alle servere i DMZ Infiserte servere slettet og tjenestene produksjonssatt på nye VMer Tiltaksliste for videre oppfølging ble etablert Er fulgt opp av driftsledere og IT-sjef utvikling hver uke i hele 2018 Forsøk på cryptomining i januar ble stoppet som følge av gjennomførte tiltak

4 Tiltaksliste etter hendelse hovedområder med totalt 40 større og mindre tiltak 15 tiltak med prioritet 1 hvorav 10 tiltak ble lukket før påske 2018 På de resterende 5 tiltak er det utført kortsiktige tiltak og det jobbes med tiltak i et lengre perspektiv. Eksempel på prioritet 1 tiltak: Mikrosegmentering av miljøene Soneoppdeling av DMZ Strammere rutiner og automatikk for patching av applikasjoner Sårbarhetsskanning, Nessus er anskaffet og benyttes jevnlig F-secure på alle servere Tiltakslisten ble lukket i Større tiltak som medfører løpende arbeid følges opp ukentlig av lederteam på drift

5 Tiltaksliste etter hendelse - 2 I tillegg innholdt tiltakslisten en del allerede planlagte oppgaver for å få fokus på disse 18 mindre tiltak fra en tidligere PEN-test 4 tiltak relatert til utvikling Eksempel på andre tiltak på listen Teknisk sikkerhetsteam ledet av systemsikkerhetsansvarlig, møte hver uke 2-faktor pålogging; VPN, HorizonView og applikasjoner Soneinndeling på infrastrukturen internt Strengere regime for administrative passord på servere (LAPS) Automatisk sikkerhetstesting av programvare, OWASP Ny gjennomgang og oppdatering av prosedyrer, rutiner og ROS-analyse

6 Wake-up call for Kartverkets ledelse!!! Hva var status på vår operasjonelle digitale sikring muligheter for flere sårbarheter? Hadde vi tilstrekkelig strukturell, systematisk og operasjonell digital sikring i tråd med etablerte standarder og anbefalinger? Hvor bør vi være komme? Og hvordan? Hva gjorde vi? Hva har skjedd videre?

7 Sikkerhetsmål Kartverket skal etablere et IT sikkerhetsnivå som vil håndtere angrep fra statlige trussel aktører For å sikre informasjonsverdiene mot denne typen trussel aktører er det nødvendig med en systematisk, helhetlig og risikobasert tilnærming til sikkerhetsarbeidet. Det innebærer videre å etablere tiltak for å kunne forhindre hendelser, men også oppdage og respondere på hendelser som inntreffer.

8 Veien videre 3- årig program Programmet setter Kartverket i førersetet for vårt videre arbeid med cybersikkerhet Etablering av et treårig helhetlig program for planmessig å nå dette høye ambisjonsnivået (NIST nivå 4) Sikre at også andre parallelle aktiviteter samordnes godt med dette programmet

9 9 Sikkerhetsevaluering av Kartverket 2018 Steg 1: Forretningsprofilering Steg 2: Trusselvurdering Steg 3: Måle nåværende modenhetsnivå for cyber sikkerhet Steg 4: Definere ønsket modenhetsnivå, utvikle strategisk plan med aktiviteter, og RFP Definere ønsket modenhetsnivå Utvikle strategisk plan med aktiviteter for å lukke gap mellom foreløpig og ønskelig modenhetsnivå Forslag til sikkerhetsorganisasjon Liste opp forslag til RFP (Requirements for proposal) Erfaringstall tilsier at vi må bruke % av årlig IT-budsjett de neste tre årene for å møte denne sikkerhetsambisjonen NIST National Institute for Standards and Technology

10 Handlingsplan Oversikt over del-prosjekter Handlingsplanen og dens del-prosjekter bygger på eksisterende planer og tiltak. Som tidligere beskrevet er forbedringsbehovet stort og vil kreve tilgang på vesentlige midler. Basert på tilsvarende forhold i andre virksomheter ser vi at nødvendige tiltak kan komme til å beløpe seg på flere titalls millioner og innsatsen må gjennomføres over flere år. Del-prosjekt Formål Påvirker i hovedsak DP0: Etablering og koordinering Formålet med delprosjektet er å sørge for en effektiv oppstart av håndtering av handlingsplanen, samt god kontroll på gjennomføringen av de ulike del-prosjektene. Dette omfatter kostnadsestimering og utarbeidelse av mandater for del-prosjektene, samt sørge for at del-prosjektene er i stand til å designe, detaljplanlegge og forbedre opprinnelige estimater. Del-prosjektet vil følge opp og rapportere til ledelsen på tid, kost, kvalitet, risiko og måloppnåelse. DP1: Styringsmodell og sikkerhetspolicy DP2: Risikostyring Formålet med delprosjektet er å integrere sikkerhetsarbeidet i den daglige driften. Dette inkluderer å definere og etablere roller og ansvar, samt nødvendige retningslinjer og kontrollmekanismer. Del-prosjektet vil også bidra med å gi ytterligere innsikt i hvilke områder innen sikkerhet som Kartverket må fokusere på. Formålet med delprosjektet er å forbedre eksisterende prosess for å gi risikoeiere og andre beslutningstakere nødvendig informasjonsgrunnlag for å kunne ta beslutninger relatert til Cyber-sikkerhet på et operativt og strategisk nivå. Del-prosjektet vil således sørge for å gi kontinuerlig innsikt på hvilke områder innen sikkerhet som Kartverket må fokusere på ved å måle og rapportere på den faktiske situasjonen i organisasjonen. Del-prosjektet innebefatter også å gjennomføre utestående risikovurderinger og ROS-analyser. DP3: Sikkerhetskultur og opplæring Formålet med delprosjektet er å bygge nødvendig kompetanse og en sikkerhetskultur som sørger for ønsket adferd blant ledere, ansatte og tredjepartsleverandører. Dette vil redusere sannsynligheten for vellykkede angrep, samt forbedre responstiden på faktiske hendelser. DP4: System- og applikasjonssikkerhet Formålet med delprosjektet er å sørge for at systemer og nettverkskomponenter er sikret i tråd med definert krav. DP5: Nettverkssikkerhet Formålet med delprosjektet er å sikre nettverkene ved å implementere referanserammeverket for infrastruktursikkerhet. Del-prosjektet er en videreføring av eksisterende arbeid. DP6: Tilgangsstyring Formålet med delprosjektet er å sørge for at prinsippet om least privilege oppfylles, samt redusere sannsynligheten for uautorisert tilgang. Del-prosjektet er en videreføring av eksisterende arbeid. DP7: Oppdage og respondere Formålet med delprosjektet er å få på plass prosesser, teknologi og kompetanse for innsamling og analyse av informasjon med hensikt å få oversikt over trusselbilde, proaktivt oppdage og korrigere sårbarheter samt oppdage og håndtere konkrete angrep. Organisasjonen og ansatte Prosesser og prosedyrer Verktøy og teknologi

11 Hovedpunkter Kartverkets data er viktige for samfunnet og høy grad av sikkerhet er viktig IT-sikkerheten i Kartverket er IKKE dårlig Ut fra riktig sikkerhetsnivå er det pekt på til dels store avvik som må lukkes Kartverket sitter nå i førersetet og har definert sikkerhetsnivået ut i fra eget ambisjonsnivå