Utredning Cybersikkerhet - trusler, trender og tiltak

Transkript

1 Utredning Cybersikkerhet - trusler, trender og tiltak Vedlegg til Regional plan for samfunnsikkerhet og beredskap

2

3 Cybersikkerhet Oppland fylke Dette dokumentet gir en innføring i trusler, trender og tiltak på cybersikkerhetsområdet. Det er brukt den norske betegnelse cybersikkerhet på det som internasjonalt omtales som Cybersecurity. Videre er det definert hva som legges i cybersikkerhet videre i dokumentet. 1. Innledning Sammendrag cybersikkerhet Avhengigheter Globale og nasjonale trusler Regionale trusler Viktige tiltak Kybertrusler med eksempler på tiltak Avhengigheter Sektorfordeling Kaskadeeffekter Energi og kraftforsyning Telekommunikasjon Leverandører generelt Globale og nasjonale trusler Trusselaktørene Tilsiktede handlinger Utilsiktede handlinger Regionale trusler Utilsiktede hendelser Naturhendelser Tilsiktede hendelser Viktige tiltak Verdivurdering/klassifisering Risikovurdering Vurdering av risiko Tiltak og prioriteringer Gjeldende lover og forskrifter Sikkerhetsgjennomganger/evaluering av tiltak Tiltak som følge av risikovurdering og verdivurdering/klassifisering Tiltak som ivaretar lover og regler Opplæring av ansatte og innbyggere Ledelsens ansvar De ansattes ansvar Bestillerkompetanse... 28

4 4.6 Beredskap Katastrofe-/beredskapsplan Testing og øving Leverandører-/samarbeidspartnere Litteratur og kilder:

5 1. Innledning Cybersikkerhet er et område med stadig sterkere fokus, å ha god cybersikkerhet er en forutsetning for å levere gode og sikre tjenester til befolkningen. Tillitt til at elektroniske tjenester er tilgjengelige, at de ivaretar hemmeligheter og ikke kan manipuleres er nødvendig for å nå målene om digitaliseringen i offentlig sektor 1. Regjeringen har som mål at innbyggeren skal kunne betjene seg selv på nett. Kommuner og fylkeskommuner skal gjennom egne risikovurderinger finne trusler, avdekke sårbarheter og iverksette nødvendige tiltak for å redusere risiko til et akseptabelt nivå. Dette gjelder også området cybersikkerhet. Oppland fylke består av 26 kommuner, 6 regioner, 4 byer og har innbyggere 2. I de forskjellige kommunene er det store forskjeller i forhold til risiko. Dette dokumentet gir en oversikt over mulige sikkerhetshendelser innen kyberdomenet 3. Dokumentet gir en oversikt over trusler og sårbarheter, forslag til tiltak, en oversikt over trusselaktører samt en beskrivelse av den økende avhengigheten mellom infrastruktur, IKTsystemer, funksjoner og tjenester. I dette dokumentet er det de sikkerhetsmessige utfordringer i selve kyberdomenet som er adressert. God informasjonssikkerhet er en forutsetning for å kunne levere stabile og sikre tjenester til sine kunder, enten det er innbyggeren eller offentlig forvaltning. Tillit til og kontinuitet i IKT-systemer er en forutsetning for oppnå gode digitale tjenester. Informasjonssikkerhet er i henhold til de fleste internasjonale standarder 4 alle tiltak som sikrer: Tilgjengelighet, som er å sikre at IKT-systemer og informasjon er tilgengelig ved behov Integritet, som er å sikre at informasjon og IKT-systemer er korrekt og pålitelig Konfidensialitet, som er å sikre at kun de som skal ha tilgang til informasjon og IKTsystemer har det og ingen andre. Cybersikkerhet er i henhold til Koordineringsgruppen for IKT- risikobildet 5 : Tiltak for beskyttelse mot reelle og potensielle trusler som kanaliseres via IKTinfrastruktur. Cybersikkerhet er en underkategori til IKT-sikkerhet. IKT-sikkerhet favner et mer generelt og bredere spekter av farer og trusler, inkludert naturkatastrofer, uhell og fysisk ødeleggelse. Dokumentet understøtter behovet for en systematisk og god oversikt over risiko og sårbarheter og vil utgjøre et felles planleggingsgrunnlag for forebyggende og skadereduserende tiltak innen kyberdomenet. 1 Digital Agenda for Norge Stmeld 23 ( ) Kyberdomenet er et globalt domene realisert gjennom fysiske eller logiske sammenkoblinger av informasjonssystemer. Dette inkluderer fysiske og virtuelle nettverksenheter, kommunikasjonsinfrastruktur, media og data. 4 Ref: ISO Koordineringsgruppen for IKT-risikobilde ledet av NSM med E-tjenesten og PST 3

6 I kyberdomenet er det større sannsynlighet for tilsiktede hendelser der aktører med vitende og vilje initierer hendelsene, det er derfor tatt inn eksempler på slike hendelser i dette dokumentet. Aktørene kan være interne eller eksterne. Cybersikkerhet er pr. definisjon en underkategori til IKT-sikkerhet. Imidlertid er det stor grad av gjensidig avhengighet og ofte er tiltakene sammenfallende. Cybersikkerhet dreier seg om sikring av ting som er sårbare via IKT 6. Dokumentet vil derfor i noe grad ta for seg flere aspekter av generell IKT-sikkerhet for å sikre forståelsen av at cybersikkerhet og IKTsikkerhet ikke er to separate tema. Eksempelvis kan fysiske ting som et damanlegg være sårbart via IKT, fordi kontrollsystemet som regulerer vannmengde styres via IKT-systemer. Figur 1 Sammenheng cybersikkerhet, informasjonssikkerhet, IT-sikkerhet 6 6 Blogg Morgen Irgens, Høgskolen i Gjøvik, 4

7 2. Sammendrag cybersikkerhet Cybersikkerhet er et fagområde som berører alle deler av forvaltningen og virksomhetene i Oppland fylke. Cybersikkerhet favner på tvers av sektorer og kommunegrenser. Cybersikkerhet berører alt fra tjenester hos en liten underleverandør til et kritisk IKT-system på et sykehus. 2.1 Avhengigheter En stadig større avhengighet til IKT gjør samfunnet sårbart ved hendelser som berører integriteten, konfidensialiteten eller tilgjengeligheten til IKT-systemene. Konsekvensene ved hendelser vil også bli større på grunn av økt avhengighet. De fleste samfunnsfunksjoner er i dag avhengige av IKTsystemer og digital informasjon, som igjen er avhengig av fungerende telesystemer og strøm. Fysiske ødeleggelser som følge av ekstremvær og naturkatastrofer er ikke et element av cybersikkerhet, men avhengigheter til systemene kan medføre at kybertruslene øker når andre katastrofer inntreffer. Disse avhengighetene blir stadig økende, og det er essensielt for kommunene og virksomhetene som leverer samfunnskritiske funksjoner å avdekke disse, og å sørge for å ha en god beredskap for å kunne levere tjenestene ved eventuelle hendelser. Felles for alle samfunnskritiske funksjoner er deres avhengighet av teleinfrastruktur og kraftforsyning Globale og nasjonale trusler Et stadig større gap mellom trusler og tiltak 8 gjør at det er større sannsynlighet for at en hendelse vil inntreffe og berøre et IKT-system og dets egenskaper. Sårbarheter betyr manglende evne til å motstå en uønsket hendelse, eller å opprette en ny stabil tilstand. Stadig flere målrettede angrep gjennomføres mot nasjonale interesser, særlig gjelder dette innen forsvar, kritisk infrastruktur, olje gass og finans. Klimaendringer med ekstremvær vil også øke sannsynligheten for bortfall av kritiske samfunnsfunksjoner fordi IKT systemer er satt ut av drift. Politiets sikkerhetstjeneste og Nasjonal Et forsvar for vår tid - Prop. 73 S ( ) fremhever angrep i det digitale rom som en av de raskest voksende truslene mot privatpersoner, næringsvirksomhet og offentlige institusjoner. Det dreier seg om angrep som går fort, metoder og virkemidler som endres raskt og vanskelig identifiserbare trusselaktører. Det har vært en endring i angrepsmetoder og hvilke sårbarheter som utnyttes i det digitale rom i løpet av de siste ti årene. Norske selskaper har trolig mistet kontrakter på grunn av kinesisk dataspionasje, hevder Nasjonal Sikkerhetsmyndighet. Forsvarsprodusenten Nammo på Raufoss er et av selskapene som er forsøkt hacket fra Kina. Aktuell sikkerhet sikkerhetsmyndighet vurderer at Norge og norske interesser daglig utsettes for uønsket og ulovlig etterretning fra andre stater. Kriminelle aktører med økonomiske motiver er en økende trussel mot private og offentlige aktører. Utstrakt bruk av sosial manipulering i forbindelse med inntrengning i informasjonssystemer er en vanlig kombinasjon. Flere velger å ta i bruk 7 NSM Rapport om sikkerhetstilstand Møketallsundersøkelsen

8 nettskyløsninger til behandling og lagring av informasjon. I slike løsninger må sikkerhetsaspektet ivaretas i takt med teknologisk utvikling og i henhold til hvilke verdier som behandles i nettskytjenesten. Big Data med sammenstilling av store datamengder gir store utfordringer, det er viktig å ta inn over seg de sikkerhesmessige konsekvenser dette kan gi. En bekymring er at store deler av det digitale universet er ubeskyttet 9. Stadig økende behov for mobilitet gir et økt behov fra de ansatte for å kunne koble seg til virksomheten med forskjellig utstyr med varierende sikkerhet. Bring Your Own Device (BYOD) må adresseres slik at sikkerheten ivaretas. 2.3 Regionale trusler Oppland fylke er ikke forskånet fra cybersikkerhetshendelser. I fylket befinner det seg leverandører til kritisk infrastruktur, virksomheter med verdensledende teknologi på flere områder. Virksomheter med ansvar for liv og helse, samt et mangfold av små og mellomstore virksomheter som alle på en eller annen måte har bedriftshemmeligheter, personopplysninger, eller tjenester og funksjoner som i et større perspektiv sørger for at brukere får tilgang til tjenester og sin informasjon. Sikkerhetshendelser kan medføre store konsekvenser, i verste fall fare for for liv og helse. Angrep over nett vil kunne lamme eller påvirke strømforsyning, industriprosesser og andre kritiske samfunnsfunksjoner. Tilsiktede hendelser som datainnbrudd, tjenestenektangrep, industrispionasje og internettkriminalitet har vi stadig flere konkrete saker på i Oppland fylke. Utilsiktede hendelser som brukerfeil, strømbrudd eller flom og ras er det også stadig flere eksempler på. I begge kategorier har det ført til økonomiske tap, tap av tillit og at kritiske samfunnsfunksjoner har hatt nedetid. 2.4 Viktige tiltak Forebyggende sikkerhetsarbeid med risikoreduserende tiltak vil gjøre oss mindre utsatt om katastrofen skulle inntreffe. Et godt beredskapsarbeid er også en forutsetning for å kunne ivareta liv og helse samt samfunnskritiske funksjoner i en krisesituasjon. Arbeidet med Cybersikkerhet er et kontinuerlig arbeid og må forankres hos ledelsen. Det må avsettes ressurser for å jobbe forebyggende, håndtere hendelser og ha en beredskap slik at konsekvenser ved hendelser minimeres. Risikoerkjennelse og evne til gjennomføring hos ledelsen er en forutsetning for å få gjennomført et godt cybersikkerhetsarbeid. 9 Analyseselskapet IDC 6

9 Samfunnets avhengigheten til IKT er betydelig og bortfall av en en eller flere tjenester kan få store konsekvenser. Risikoreduserende tiltak er nødvendig for å ivareta cybersikkerhet og begrense mulige konsekvenser som følge av avhengigheter mellom IKT systemer. Det listes opp følgende viktige tiltak: Verdivurdering/klassifisering Å kartlegge og verdivurdere (klassifisere) IT-systemer og infrastruktur med kritikalitet, systemeierskap og avhengigheter, slik at man har en oversikt over virksomhetens eiendeler med en forståelse av konsekvensen hvis IT-systemet går ned. Ut fra verdivurderingen kan man vurdere hvordan informasjonen kan og må beskyttes. Alle virksomheter som eier en verdi, vil også eie eventuelle sårbarheter knyttet til denne verdien 10 Risikovurdering Gjennomføre risikovurderinger av elementer som fastsettes som kritisk i verdivurderingen, for å få kunnskap om trusler og sårbarheter, samt bedømme konsekvens ved en hendelse. Ut fra aksptansekriterier vet man hvilke trusler man ikke kan akseptere og derved iverksette nødvendige tiltak. Tiltak i lover Gjennomføring av tiltak pålagt i lover og forskrifter knyttet til informasjonssikkerhet. Sikkerhetsgjennomganger/evaluering av tiltak Jevnlige sikkerhetsgjennomganger/evalueringer for å sikre at alle tekniske sikringstiltak er implementert og følges opp i egen organisasjon eller av tredjepart/ leverandør. Opplæring av ansatte og innbyggere Opplæring og kompetanseheving for å gi ansatte og leder nødvendig forståelse og kompetanse for å kunne detektere, avverge og rapportere sikkerhetshendelser. Beredskap Beredskapsplanlegging med fokus på å ha en oppdatert og funksjonell beredskapsplan, samt ha gjennomført jevnlige øvelser der forskjellige cybersikkerhetsscenarioer er blitt prøvd. Det er sannsynlig at noe usannsynlig vil skje. Aristoteles Mark Twain 10 NSM Rapport om sikkerhetstilstand

10 3. Kybertrusler med eksempler på tiltak En virksomhets verdi i form av eiendeler og/eller informasjon må beskyttes mot trusler. Tjenester som skal leveres må sikres. Befolkningen har grunnleggende behov som skal dekkes og ansvaret for dette ligger hos tjenesteleverandøren. Samfunnssikkerheten i Norge er basert på ansvarsprinsippet; den som har ansvaret for en tjeneste har ansvar også for leveransesikkerhet, beredskap osv 11. En infrastruktur er kritisk hvis dens bortfall truer kritiske samfunnsfunksjoner En samfunnsfunksjon er kritisk hvis dens bortfall truer befolkningens grunnleggende behov Befolkningens grunnleggende behov defineres som vann, varme, mat, trygghet og liknende 12. En trussel defineres som en mulig uønsket handling som kan gi negativ konsekvens for sikkerheten til personer eller virksomheter. 13 Trusselaktøren har intensjon (motivasjon) og kapasitet (vilje) til å utføre en slik handling mot gitte verdier. Sårbarhet defineres som manglende evne til å motstå en uønsket hendelse eller å opprette en ny stabil tilstand dersom en verdi er utsatt for uønsket påvirkning. 14 Virksomheter som har eller er avhengig av en verdi, vil også ha hovedansvar for å håndtere eventuelle sårbarheter knyttet til verdien og dennes funksjoner, i tråd med ansvarsprinsippet. 3.1 Avhengigheter Oppland fylke med tilhørende kommuner er ansvarlig for en rekke tjenester til egen befolkning. Bortfall av kritisk infrastruktur slik som strøm og telekommunikasjon vil raskt kunne få konsekvenser for opprettholdelse av viktige samfunnsfunksjoner og tjenesteleveranser. 11 DSB, Innspill til et overordnet risikostyringssystem for kritisk infrastruktur og kritiske samfunnsfunksjoner, Erik Thomassen NOU 2006:6 13 Jf NS 5830: Ibid. Norsk standard 5830:2012 8

11 Viktige samfunnsfunksjoner, også omtalt som bærebjelkene i samfunnet, kan deles opp i følgende 15 : Energi- og kraftforsyning Informasjons og kommunikasjonsteknologi (IKT) Ledelse og informasjon Tilgang til rent vann og ernæring Helsetjenester Transport I dagens samfunn innebærere disse tjenestene bruk av IKT-systemer. Både til styring og til informasjonsbehandling. IKT-systemene har mange avhengigheter. I det følgende er en kort beskrivelse av noen av avhengighetene nevnt. Truslene og tiltak for disse er beskrevet i andre deler av dokumentet. Utdrag fra NOU 2013:2, Hindre for digital verdiskapning Enhver virksomhet kan bli rammet av en informasjonssikkerhetshendelse. Skulle en slik hendelse inntreffe gjelder det å ha beredskap som sikrer at man kan håndtere den. Rutiner for å håndtere hendelser er kritisk for å kunne stå i mot et målrettet eller tilfeldig angrep. Målrettede angrep mot en eller flere digitale infrastrukturtjenester som helse, kraftsektoren, kommunikasjonsnettene, vann og avløp eller finanssektoren kan sette samfunnet ut av spill 3.2 Sektorfordeling Samfunnssikkerhet med tilhørende beredskapsarbeid er fragmentert på myndighetsnivå i Norge. De enkelte departement er ansvarlige for sine sektorer, og retningslinjene vil kunne variere fra sektor til sektor. Tjenester til befolkningen er basert på teknologiske løsninger som er sektorovergripende. Det er derfor viktig for en tjenestetilbyder å vite hvilke trusler og krav til tiltak som gjelder for de enkelte sektorer. I de fleste sektorer vil samfunnskritiske funksjoner bryte sammen uten tilgang til IKT-tjenester. Utfordringer med denne situasjonen er at norske virksomheter både mangler forståelse for risikobildet og i noe grad mangler intern kompetanse til å løse sikkerhetsutfordringene. Derfor tvinger det seg frem et økt behov for sterkere offentlig innsats og koordinering av de offentlige sikkerhetsaktørene. 3.3 Kaskadeeffekter Ofte vil svikt i en funksjon eller struktur få følger for andre, dvs. det oppstår kaskadeeffekter. Dette kan bety at manglende trøm medfører svikt i datakommunikasjon, som igjen medfører manglende tilgang til data. Manglende tilgang til data kan bety at tjenesten ikke leveres, feilbehandlinge forekommer eller at man ikke får fullført saksbehandling. Det kan være brudd i telekommunikasjonslinjer som medfører at viktige funksjoner som alarmsentraler settes ut av spill, varslingssystemer som sådan ikke fungerer, eller at andre viktige funksjoner ikke kommuniserer med hverandre. Saksbehandlingssystemer som innhenter opplysninger eller kommuniserer med andre systemer får ikke tilgang til informasjon og behandlingen stopper opp. Gjelder dette helseområdet kan det stå om liv og helse. Det samme gjelder f.eks. kommunikasjon til signalsystemer i jernbanen og trafikken. 15 NOU 2006:6 9

12 3.4 Energi og kraftforsyning Energi og kraftleverandører må ha evne til å forsyne virksomheter med kritiske samfunnsfunksjoner med nødvendig kraft for å kunne tilby basisleveranser. Naturhendelser kan påvirke tilgjengeligheten til kritisk infrastruktur. Vind, snø/ising, flom, ras, tordenvær er alle trusler som kan bidra til svikt i strømtilførsel, som igjen fører til kaskadeeffekter. I tillegg til andre tilsiktede og utilsiktede handlinger som omtales i kapittel Telekommunikasjon Viktig for virksomheter å få elektroniske data til/fra egen virksomhet. Det er også viktig at leverandøren kan opprettholde konfidensialitet og integritet ved overføring av data. Mer ekstremvær vil påvirke trusselbildet med tanke på følgeskader av flom, trær som velter, ras ol. Telefonnettet og datakommunikasjon er utsatt for naturskader, det er også IKTsentraler og fysiske komponenter. 3.6 Leverandører generelt De fleste norske virksomheter er små. De vil i all hovedsak være avhengige av leverandører av IKT-tjenester. Virksomhetene har i mange tilfeller lav bestillerkompetanse og krav til informasjonssikkerhet ved innkjøp og løpende drift kan bli nedprioritert. Dersom virksomheten ikke stiller krav til sikring av ikt-systemer fra leverandøren, kan dette bli nedprioritert, og virksomheten kan få store problemer med hendelser. Det er virksomhetens leder som er ansvarlig for informasjonssikkerhet, selv om drift eller andre tjenester er satt ut. Det er også viktig å avtalefeste og kontrollere at leverandører ivaretar lovkrav i henhold til drift, lagring og kommunikasjon. 3.7 Globale og nasjonale trusler De generelle kybertruslene som er beskrevet i dette dokumentet vil ha innvirkning på alle tjenester som leveres hvis en hendelse inntreffer. En Utdrag fra NOU 2013:2, Hindre for digital verdiskapning; Norske virksomheter har ikke en helhetlig trusselvurdering å forholde seg til. Det nasjonale trusselbilde som presenteres er tilpasset sikkerhetslovens virkeområde og lite egnet for vanlige norske virksomheter i både offentlig og privat sektor. utvikling i dagens samfunn er at de utenkelige konsekvensen kommer nærmere, det må derfor tas høyde for hendelser med store konsekvenser der tilgjengeligheten til kritiske IKT-systemer er borte i lengre perioder. Utviklingen i samfunnet viser en større avhengighet mellom systemer, det er derfor også viktig å kartlegge disse avhengighetene slik at sikringstiltak kan iverksettes der det er størst behov. Det er også større gap mellom trusler og tiltak enn tidligere 16. Trusselbildet er i stadig endring og teknologien utvikles raskt. Nordmenn er generelt raske til å ta i bruk ny teknologi, og da er det viktig å ha kompetanse og ressurser til å iverksette nødvendige sikkerhetstiltak slik at man ivaretar sikkerheten på et tilfredsstillende nivå. Målrettede angrep er blitt en del av hverdagen for mange bedrifter og sikkerhetsselskapet Norman ASA går så langt i beskrivelsen at man «må forvente» å bli angrepet, snarere enn «hvis man» blir angrepet. Målgruppene for 16 Mørketallsundersøkelsen

13 kyberangrep vil også variere utfra motivasjon og mulighet hos angriper. Uansett er trenden blitt at ingen må føle at de er forskånet fra kyberangrep. Mannen i gata kan laste ned gratis angrepsverktøy for å hevne en opplevd negativ saksbehandling i kommunen, som et ekspempel. Ny teknologi skaper også sikkerhetsmessige utfordringer. Bring your own device (BYOD). Hva skal den ansatte få lov til å bruke i arbeidssammenheng av mobiltelefoner, nettbrett, minnepinner og PCer. BYOD er en trend som er stadig økende. Har man jobbmobil har man gjerne også privatmailen på denne i tillegg til jobbmail, og vice versa. Hvor setter man grensen, og hva skal man innføre av sikkerhetstiltak. Skytjenester. Hva lagres og kommuniseres i skyen er viktig å ha oversikt over. Hvilke sikkerhetsutfordringer er det man står ovenfor; kontrollspørsmålet må være om det er greit at informasjonen som lagres og/eller kommuniseres kommer på avveier? Hvis ikke, må man vurdere om man kan bruke skytjenester. Big Data. All informasjonen som florerer på internett, kan sammenstilles og brukes enten i forretningsøyemed, eller som informasjon til målrettede angrep. BIG DATA er begrepet på all informasjonen som legges igjen på nettet daglig og sammenstilles i mønstre og resultater av forskjellige slag. Søk på nett, bompassering, bruk av bankkort, alle digitale spor utgjør informasjonen i BIG DATA. Utfordringer knyttet til sammenstilling av informasjon er blant annet ivaretakelse av personvernet til den enkelte. Følgende sikkerhetsutfordringer fremheves og må følges nøye med fremover 17 : Spionasje og kriminalitet gjennom bruk av IKT Nettbankkriminalitet, informasjonstyveri og hærverk på nett Manglende sikkerhetsoppdateringer på systemer Store datamengder og nye lagringsløsninger Økt bruk av private enheter i arbeidssammenheng Industrisikkerhet Psykisk helse, økonomiske forhold og tilknytning til fremmede stater i forbindelse med sikkerhetsklareringer 3.8 Trusselaktørene Trusselaktørene er globale og omtales ofte som; Hactivister - som ønsker å spre et politisk budskap Kriminelle - som har økonomiske motiver Terrorister - som ønsker å spre frykt Fremmede stater - som ønsker tilgang til informasjon, kan ha ønske om å desinformere og manipulere. 17 Kilde: Trusler og sårbarheter Samordnet vurdering fra E-tjenesten, NSM og PST. 11

14 I tillegg er det alltid en risiko for at egne ansatte med forskjellig motivasjon vil være ute etter å skade arbeidsgiver, tilegne seg informasjon eller på annen måte utnytte sin kompetanse på en måte som kan gjøre stor skade for arbeidsgiver. Alle disse truslene er tilsiktede handlinger. Et trusselbilde vil også inneholde fare for utilsiktede hendelser. Dette er hendelser som skader virksomheten, men som ikke er utført ut fra kriminelle eller onde hensikter. De utilsiktede hendelsene må vurderes på lik linje med de tilsiktede truslene. Eksempler på dette er naturkatastrofer, menneskelige feil (ansatte og eksterne), feil i tekniske komponenter eller telekommunikasjonskabler som graves over i forbindelse med bygging, veiutbedring etc. Det kan også være at man begår lovbrudd pga manglende oversikt over hvilke lover som gjelder for egen virksomhet, om hvordan f.eks. behandle informasjon utfra personvernet. Figur 2Trusselbildet 3.9 Tilsiktede handlinger Tilsiktede handlinger er ofte økonomisk motiverte handlinger, men det kan gjerne være på bakgrunn av poltiske eller idealistiske holdninger. Nedenfor følger en oversikt over noen av de aktuelle truslene som kan ramme en virksomhet. Oversikten kan benyttes som en liste ved gjennomgang av virksomhetens trusselbilde. 12

15 Tilsiktede handlinger Logiske trusler Fysiske trusler Hacking Alle er et mål. Flere målrettede angrep enn tidligere. Sosial manipulering er ofte en kombinasjon som brukes sammen med datainntrengning for å nå mål, enten det er virksomhet eller enkeltperson. Spionasje viktig å tenke industrisikkerhet. Norge har mye industri basert på høyteknologiske løsninger Kriminalitet nettbankkriminalitet, stjeling av informasjon på digitale løsninger. Økonomiske motiver. Krigshandlinger/terrorisme nye metoder for krigføringer. Angrep på nett kan også være politisk motiverte handlinger, såkalt hacktivisme. Sabotasje kan være hevnaksjoner mot tidligere arbeidsgiver, tilfeldigheter, eller annen form for uvilje mot enkeltpersoner eller virksomheter som medfører en trang til å ødelegge/endre data eller kommunikasjonen. Hærverk kan gjøres ved å slette/endre filer, fjerne programvare ol. Direkte angrep på datamaskiner, utstyr, kommunikasjons-linjer/kabler, programvare, kontrollmekanismer, telesentraler og strømforsyning/trafostasjoner. Utføres manuelt med eller uten hjelpemidler. EMP-angrep mot datasentraler, kontrollstasjoner. Fysiske angrep på digitale komponenter som lagringsmedier, CD, DVD, mobile enheter som nettbrett, telefon eller minnepinner. Angrep på støttefunksjoner som styringssystemer til ventilasjonsanlegg, strømforsyning, vannkjøling etc. Angrep på mennesker. Nøkkelpersoner settes ut av spill. Tabell 1Tilsiktede handlinger - logiske og fysiske 13

16 Eksempler på tiltak som reduserer risiko for tilsiktede handlinger. Trussel Manglende bruk av unike identer/passord og roller til brukere øker fare for informasjon på avveier. Tiltak Tilgangskontroller; Etabler gode rutiner for passord. Alle brukere skal ha egne identer. Roller i systemene styres av brukernes arbeidsoppgaver; «need to do- need to know»-prinsippet. Fjern brukere som ikke lenger skal ha tilgang til systemer. Manglende installert og oppdatert antivirus medfører risiko for dataangrep og informasjon på avveier. Manglende kontroll på tilgang og informasjonsflyt eksternt kan medføre informasjon på avveier, og at man ikke oppdager uvedkommende i sine systemer. Manglende kontroll over hvor informasjon lagres og hvilken informasjon som lagres, kan medføre brudd på lover og regler og informasjon på avveier. Antivirus; Etabler gode rutiner for oppdatering av antivirus. Brannmur; Ivareta kontroll og gjennomgang av logger over datatrafikk gjennom brannmur. Mobile enheter; Ha kontroll over mobile enheter som smart-telefoner og nettbrett. Lag klare regler for hva de kan brukes til og hva som kan lagres på dem. Etabler rutiner for passord, fjernsletting og sporing. Manglende rutiner for å ivareta hendelser medfører risiko for at de ikke oppdages og/eller rapporteres. Hendelseshåndtering; Etabler godt rutiner for å ivareta hendelser. Gjør de ansatte kjent med hva som er sikkerhetshendelser, hvem de skal rapportere til og hva. Ha også rutiner for evt. lovbrudd og anmeldelse slik at man vet hva slags informasjon man må beholde og hvordan denne skal behandles. Manglende rutiner for bruk av virksomhetens e- post og internett kan føre til privat bruk som ikke er forenelig med virksomhetens regler og instrukser. Manglende innføring i oppførsel og informasjonsdeling på sosiale medier kan medføre at de ansatte deler informasjon som er taushetsbelagt eller innehar feil. E-post, internett og sosiale medier; Etabler retningslinjer for hva og hvordan de ansatte skal bruke virksomhetens e-post, internett og sosiale medier. Iverksett datadisiplinerklæringer som de ansatte må undertegne, gjerne med konsekvenser ved brudd. Tabell 2 Eksempel tiltak - tilsiktede handlinger 14

17 3.10 Utilsiktede handlinger Nedenfor følger en oversikt over enkelte utilsiktede handlinger som kan ramme en virksomhet. Disse handlingene er ikke utført med overlegg, og skyldes ofte mangel på kompetanse eller manglende forståelse for systemene. De fleste av disse truslene er interne, slik at en god oversikt og forståelse over egen virksomhet vil kunne bidra til at man avdekker sårbarhetene og iverksetter tiltak. Oversikten kan benyttes som en liste ved gjennomgang av virksomhetens trusselbilde. Logiske trusler Fysiske trusler Utilsiktede handlinger Menneskelige feil kan medføre; feil data i systemer endring av data får tilgang til informasjon man ikke har tjenstlig behov for Informasjon på avveier. Menneskelig feil kan også være årsak til; systemsvikt manglende oppdatering av programvare overbelastning av nett leverandørsvikt styringssvikt. Komponenter som svikter, har gått ut av produksjon eller supporteres ikke lenger. Manglende kunnskap eller oversikt over lover og regler som gjelder behandling og lagring av informasjon, kan medføre lovbrudd. Svikt i leveranse fra underleverandører, f.eks. manglende tilgang til server. Naturhendelser som flom, ras kan medføre svikt i strømtilførsel og/eller datakommunikasjon. Brann, oversvømmelse av datarom, tekniske komponenter, harddisker. Manglende kunnskap og/eller oversikt over lover og regler som omhandler beskyttelse av utstyr og komponenter, kan medføre lovbrudd. Kabler kan graves over i forbindelse med bygging, veiutbedringer ol. Sprengningsarbeid kan medføre brudd i kabler, fysiske ødeleggelser av komponenter og utstyr. Bortfall av nøkkelpersoner. Sykdom, influensaepidemier og lignende kan medføre høyt sykefravær, som påvirker driftssituasjonen. Svikt i leveranser av tekniske komponenter. Lang leveringstid. Tabell 3 Utilsiktede handlinger - logiske og fysiske 15

18 Eksempler på tiltak som reduserer risiko for utilsiktede handlinger. Trussel Avvikende IT-utstyr og arkitektur i henhold til tjenester som skal leveres Manglende gjennomgang av trusselbildet og de tiltak som allerede finnes i organisasjonen, kan medføre at man ikke har tilstrekkelige tiltak til å ivareta hendelser, eller at et område har for kostbare/ressurskrevende tiltak i forhold til risiko. Manglende ressurser og tildeling av ansvar medfører usikkerhet og sårbarhet i forhold til kontinuitet i drift. Tiltak Etabler og vedlikehold en IT-strategi som ivaretar kobling mellom IKT og forretningsdrift Gjennomfør risikovurdering og analyser hendelser som kan inntreffe. Bruk statistikk og involver alle nivåer i organisasjonen for å gjøre hendelsene mest mulig realistiske. Gjennomfør ny analyse ved endrede forutsetninger eller minimum en gang årlig. Ledelsen bør godkjenne akseptabelt risikonivå. Tenk også det utenkelige! Ha planer for kontinuitet som sikrer stabil drift i forhold til ferieavvikling og sykdom. Fordeling av ansvar gjenspeiles i organisasjonskart og instrukser. Manglende avtaler med leverandørene kan medføre at de ikke leverer ønsket utstyr eller tjeneste, dette gjelder både ved ordinær drift og i en beredskapssituasjon Manglende overordnet policy på sikkerhet kan medføre at sikkerhet i systemer og tjenester ikke blir overholdt i henhold til lover, regler og interne instrukser. Etabler SLA med leverandører. Etabler egne avtaler for beredskap der det er nødvendig. Vedlikehold og ha jevnlig gjennomgang av leverandøravtaler. Ha register som viser når avtaler er inngått hvem som er ansvarlig og hva de gjelder. Etabler en sikkerhetspolicy og gjør denne kjent i organisasjonen. Denne skal ha et overordnet nivå, være retningsgivende for instrukser og produkter/tjenester med hensyn til sikkerhet. Etabler også en håndbok for informasjonssikkerhet som er kjent for alle ansatte. Manglende planverk ved katastrofer og andre uforutsette hendelser bidrar til økt usikkerhet, lenger ute- av drift situasjon og manglende ansvarsforhold. Manglende rutiner og prosedyrer for lagring av informasjon, medfører risiko for at informasjon blir gjort tilgjengelig for uvedkommende, eller at man ikke finner informasjonen når man trenger den. Det kan også være risiko for at man ikke lagrer informasjon i henhold til lovpålagte krav. Manglende informasjon om hvilken informasjon som skal eller bør slettes kan medføre brudd på lover, som f.eks. Personopplysningsloven. Manglende kunnskap om hvilke dokumenter og informasjon som kan kastes i vanlig papiravfall, hva som må makuleres og hva som behandles etter Etabler og iverksett planer for beredskap-/katastrofer. Planverket holdes oppdatert ved endringer i personell, utstyr og lokasjoner. Øvelse gjøres jevnlig og minimum en gang pr. år. Ha kjente og oppdaterte rutiner for lagring av dokumenter. Iverksett og oppdater roller og ansvar i systemene, slik at tilgang styres ut fra tjenstlig behov. Gjennomfør opplæring slik at lagring skjer i henhold til lovpålagte krav og interne instrukser. Innfør instrukser for sletting av dokumenter. Innfør instrukser for makulering og avfallshåndtering. Gjør instruksene kjent i organisasjonen og påse at instruksene er i henhold til gjeldende lovverk og interne retningslinjer. Utnevn ansvarlige slik at ved usikkerhet, vet man hvem man skal kontakte. 16

19 særlige regler kan medføre informasjon på avveier, brudd på lover og regler og uheldig publisitet. Manglende kunnskap om behandling av informasjon kan medføre brudd på lover og at man ikke har tilstrekkelig rutiner for å ivareta visse typer dokumenter. Eller at man bruker for mye ressurser på informasjon som ikke er viktig. Manglende instrukser når det skjer uforutsette hendelser kan bidra til utilgjengelige systemer. Manglende back-up eller back-up som ikke fungerer (restore) kan medføre at informasjon går tapt. Lokasjoner kan blir skadet som følge av naturkatastrofer eller uhell (brann, flom etc). Hardware kan feile eller bli ødelagt som følge av hærverk eller uhell/naturkatastrofer. Bortfall av kommunikasjon medfører at tjenester ikke kan utføres/leveres. Manglende strømtilførsel kan medføre bortfalle av tjenester og manglende tilgang til systemer. Manglende kontroll med strøm, vannskade, brann og temperatur kan medføre bortfall av tjenester. Manglende kontroll med versjoner og lisenser kan medføre brudd på avtaler. Oppdatering av programvare uten at man kjenner konsekvenser og hvilke systemer som snakker sammen kan bidra til unødvendig «nedetid» og feilhåndtering. Etabler prosedyrer for verdivurdering/klassifisering av informasjon. Gjør dette kjent i organisasjonen. Etabler planer som sikrer kontinuitet. Etabler rutiner for lagring av back-up medier på sikkert sted utenfor datarom, og kontroller jevnlig at de fungerer. Vurder om det er nødvendig med avtaler om reserveløsninger med leverandører og om man har behov for reservelokasjoner. Inngå beredskapsplaner med leverandør av kommunikasjonslinjer. Ha god oversikt over hvem som har ansvar for hva, internt i bygge og eksternt mellom lokasjoner/leverandør. Iverksett tiltak som sikrer tilstrekkelig strømtilførsel, f.eks. USP og aggregat. Iverksett planer og oppfølging av fysiske lokasjoner, slik at man reduserer risiko for vannskader, brann og liknende hendelser. Etabler og vedlikehold register for versjoner og lisenser. Oppdatering av versjoner skal skje i henhold interne prosedyrer og leverandørers anbefalinger. Oppdatert programvare reduserer risiko for dataangrep. Programvare som er utdatert øker risiko for dataangrep via sårbarheter. Manglende ivaretakelse av ønskede endringer fra brukere kan medføre feil ressursbruk og økt risiko for svakheter og feil funksjonalitet. Manglende oppdatering av endringer som gjøres i avtaleverk, systemer, programvare og lokasjoner- /kommunikasjon medfører at planer og instrukser ikke gjenspeiler virkeligheten, bidrar til økt risiko for «nedetid». Manglende ressurser eller avhengighet av nøkkelpersoner gjør en virksomhet sårbar. Etabler planer for endringsønsker og hvordan disse ivaretas. Ha instrukser for oppdatering av gjeldende planverk ved gjennomføring av endringer. Ha planer for stedfortredere ved evt. bortfall av nøkkelpersonell. Rutiner for oppdaterte instrukser og planer 17

20 bidrar til at andre kan overta på kort varsel. Manglende kompetanse øker risikoen for at utilsiktede feil gjøres. Iverksett opplæring slik at man sikrer at arbeidsoppgaver gjøres ensartet og at ansatte vet hvordan de skal opptre ved hendelser. Rett person på rett plass. Tabell 4 Eksempler på tiltak - utilsiktede handlinger 3.11 Regionale trusler Det er store forskjeller i hvordan en cybersikkerhetshendelse vil påvirke virksomhetene. Hvilke tiltak som skal iverksettes påvirkes også av hvor utsatt kommunen er for ras, flom og andre naturkatastrofer. Andre forhold som påvirker hvordan kommunen skal jobbe med cybersikkerhet kan være om kommunen huser private eller offentlige virksomheter som er en del av kritisk infrastruktur, eller som har produkter og tjenester som er attraktive for kriminelle eller fremmede nasjoner. Flere kommuner i Oppland har deler eller alle disse nevnte kategorier. For å redusere risiko for at hendelser skal bli katastrofale er det nødvendig å gjennomføre risikovurderinger, slik at man setter inn tiltak der det er nødvendig. Hendelser som kan påvirke digital kritisk infrastruktur og digitale samfunnskritiske funksjoner kan være tilsiktede handlinger eller utilsiktede handlinger, logiske eller fysiske, interne eller eksterne, ref. figur 1. DSB har i sitt risikobilde fra 2012 beskrevet flere tilsiktede og utilsiktede hendelser som omfatter Oppland fylke og som kan påvirke digitale linjer, komponenter og systemer som er virksomhetskritiske når det gjelder kritisk infrastruktur og samfunnskritiske funksjoner; Figur 3 Fra flommen juni 2013 Røyislimoen Utilsiktede hendelser Internt i en virksomhet kan det oppstå hendelser som er forårsaket av menneskelig feil. Det er ikke onde hensikter bak slike handlinger, det kan være mangel på kompetanse og kunnskap om systemer, manglende oppdateringer som gjør systemer sårbare for angrep og lignende. Bevisstgjøring i virksomheten er også viktig, slik at man ikke omgår interne retningslinjer fordi «ingen andre gjør det». Det er ikke onde hensikter bak slike handlinger, men skyldes mangel på opplæring, gode ledere som forbilder og bevisstgjøring om konsekvenser. Fysiske utilsiktede hendelser kan være feilkobling av kabler internt, det kan være naturkatastrofer hvor flom ødelegger datautstyr/datarom eller ødelegger kommunikasjonskabler. Naturhendelser Store nedbørsmengder og flom har blitt vanlig de senere årene, og særlig Gudbrandsdalen har blitt utsatt for dette. I 2011 og i 2013 har flom medført store materielle ødeleggelser i disse områdene. Særlig telekommunikasjon er utsatt for slike naturhendelser. Stormen Dagmar viste at kraftige vindkast kan påvirke IKT da strømførselen ble brutt. Mange trær som veltet over høyspentledninger, og oppryddingsarbeidet tok flere dager. 18