Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Helsedirektoratet / Direktoratet for e-helse

Størrelse: px

Begynne med side:

Download "Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Helsedirektoratet / Direktoratet for e-helse"

Silje Carlsen
8 år siden
Visninger:

1 Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Helsedirektoratet / Direktoratet for e-helse Buypass, BAS-brukerforum Oslo,

3 3

4 Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Helsedirektoratet / Direktoratet for e-helse Buypass, BAS-brukerforum Oslo,

5 Veien til et velfungerende sikkerhetsregime...er det så mye annerledes nå? John Arild A. Johansen, Sjef for De mørke krefter & tjenester, Helsedirektoratet

7 Overhørt fra ansatt tirsdag morgen, kl. 8:50 : «Jeg er allerede 20. min forsinket til møtet grunnet den jævla Windows Update n!» «Men nå ser jeg den er på 26 av 29 så da går det vel bra»

9 Zzzzzzz

11 Litt om meg selv (Facebook 1988 ) Utdannet Dataingeniør Jobbet i Post- og teletilsynet Wilhelmsen Lines Wilh. Wilhelmsen ASA Wallenius Wilhelmsen Buypass AS Helsedirektoratet Direktoratet for e-helse Tidl. styreleder i ISF ( CISA / CISM Drift Drift IT- og informasjonssikkerhet Kontinuitet og kriseplanlegging Sikkerhetssjef Sikkerhets- og kvalitetssjef / PVO Informasjonssikkerhetsleder/PVO Informasjonssikkerhetsleder

12 Agenda 3 områder innen sikkerhet: Hva er likt i dag? Hva har forandret seg? Tips til forbedring og håndtering 1. Sikkerhetsrollen 2. Trusselbildet 3. Forankring & holdningsskapende arbeid

13 Sikkerhetsrollen X X

15 Hvordan oppfattes sikkerhet i din virksomhet?

16 Sikkerhet skal aldri ødelegge for business!

17 Sikkerhetssjef

18 Sikkerhetsfolk må være endringsvillige

19 Sikkerhetsfolk må være endringsvillige

20 Hva er en sikkerhetssjef? Overordnet ansvar for sikkerhet Ansvar for fysisk sikkerhet Ansvar for informasjonssikkerhet Ansvar for compliance (overensstemmelse) Gode kommunikative evner Må ha god menneskelig innsikt Må ha høy grad av forretningsforståelse Bør ha et godt internt og eksternt nettverk Må ha god teknisk innsikt Må ha god systemmessig innsikt Må være godt likt, respektert og flinkest i klassen.

for compliance (overensstemmelse) Gode kommunikative evner Må ha god menneskelig innsikt Må ha høy

21 Tema for presentasjonen

23 Trusselbildet den menneskelige faktor

24 Trusselbildet den menneskelige faktor Svindlere spiller fremdeles på tre faktorer: Frykt Tillit Fristelser Og vi er fremdeles dumme vi trykker i vei & biter på agnet

26 Vi har ledd av disse

27 Spearphising Sofistikert phising Del av et målrettet angrep mot en virksomhet Informasjon om virksomheten brukes i en e-post for å få deg til å klikke på en lenke - gjerne mot ledere («CEO-Fraud») Malware installeres 27

28 28

29 Angriperne blir flinkere selv om det ikke ser slik ut Sendt:

31 31

32 Anbefalinger Tiltak innen BÅDE sikkerhetskultur OG teknologi: Opplæring, holdningsskapende arbeid -> god sikkerhetskultur Vekk med lokal administrator Whitelisting / forhåndsgodkjenning av applikasjoner

33 Tema for presentasjonen

34 Trusselbildet tekniske aspekter ABC80 fra Luxor Z80 16Kb Minne Luxor Basic OS Nettverk: kommuniserte mot felles diskettstasjon og kassettspiller

35 1956 5MB / 1 tonn

36 1986 Sårbarhetsutvalget (!)

37 The Morris Worm

38 Hva har forandret seg? Avhengighet til IT-systemer! Et samfunnsproblem

39 Større avhengighet enn noen gang Forretningsprosser Samfunnstjenester Kommersielle tjenester Mer og mer handel Privatlivet Alt er knyttet sammen OG DET FINNES FÅ MANUELLE BACKUPLØSNINGER

41 Et samfunnsproblem? Tja

42 Et samfunnsproblem?

43 Smelter sammen med privatlivet

44 Internet Of Things (IOT)

45 Internet Of Things (IOT)

46 Før

48 APT - Hvor avansert er det egentlig..?

49 Aftenposten, 6. mars: Dagbladet & DinSide, 7. mars:

50 Mørketallsundersøkelsen Gapet mellom trusselbildet og tiltak øker Informasjonssikkerhet i norske bedrifter er rett og slett digitalt rot Helt grunnleggende sikkerhet gjennomføres ikke Risikoforståelsen er for lav, også blant ledere DET MÅ SMELLE FØRST

51 APT hvor avansert er det egentlig? John Arild A Johansen, Sikkerhetsleder / Personvernombud ISF Høstkonferansen Strömstad, 2. september 2015

52 APT - Definisjon APT - Hvor avansert er det egentlig..?

53 APaTi? Dette blir så avansert at vi ikke kan stå i mot Kinesiske myndigheter (People s Liberation Army) har egne sektorvise grupperinger (les: vi er sjanseløse ): IT, olje, maritim, helse, finans, kraft, etc Massevis av motiver: økonomiske, nysgjerrig, hevn, berømmelse, politisk, spionasje, etc., etc. (fyll inn ) Vi trenger masse ny (dyr) programvare, bokser og tjenester APT - Hvor avansert er det egentlig..?

54 APT - Hvor avansert er det egentlig..?

55 APT Lifecycle (sukk ) APT - Hvor avansert er det egentlig..?

56 Sony Pictures 2014 DigiNotar 2011 Target 2015 APT - Hvor avansert er det egentlig..?

57 Fellesnevnere Ingen to-faktor autentisering Manglende segmentering av nett og kritiske komponenter Svak eller manglende nettverksmonitorering og logging Lite holdningsskapende arbeid ovenfor ansatte Manglende tilgangsstyring Dårlig handtering av brukernavn (fellesbrukere) og passord (statiske) Enkelt å kjøre brute-force angrep på pwd Manglende (!!!) eller utdatert anti-malware Manglende patching og oppgradering Ingen DLP (Hallo! Sony Pictures!!) Operasjonell IDS, men ble ikke sett eller blokkert (IPS slått av..) Manglende oppfølging av underleverandører og samarbeidspartnere APT - Hvor avansert er det egentlig..?

58 Hva kan virksomheten gjøre?

59 Hva kan virksomheten gjøre? Tenk helhetlig sikkerhet i alle ledd Plukk det beste fra sikkerhetsstandarder

60 Aftenposten, 1988 Forankring, opplæring & holdningsskapende arbeid

61 Først noen kjepphester DET ER MULIG å lære opp våre ansatte i informasjonssikkerhet. Mange mener det motsatte og alle policies må tvinges igjennom via tekniske sikkerhetsmekanismer. MAN KAN bygge en god sikkerhetskultur. Mange mener slaget er tapt og at det kun er «forretningskulturen» som gjelder og det er flaks hvis den støtter oppunder sikkerhet. THE HUMAN FIREWALL er viktigere enn teknologien. 20% teknologi - 80% mennesker, kunnskap og gode prosesser.

62 Side 187 (av 197!): Ledelsen har det overordede ansvaret for datasikkerhet De EDB-ansvarlige for det utøvende ansvaret Dataforlaget 1991

63 Side 191 (av 197!): Opplæring av alle i datasikkerhet er nødvendig Det viktigste sikringstiltak er den enkeltes kunnskap Dataforlaget 1991

64 All honnør til virksomheter som åpner seg!!

65 Normalfordeling i enhver virksomhet

66 Hva virker? Hvordan spre det gode budskap? HorrorShow (men ikke hele tiden) Budskap tilpasset målgruppen Vise hvor lett det er! Vise hvor ille det kan gå (med andre ) Vise til konsekvenser av hendelser Eksterne foredragsholdere Rapportere faktisk hendelser og statistikk - hva vi er utsatt for Skape forståelse for hva vi er pålagt Fange opp sitater fra toppledelsen Betydning for forretningsprosessene Sikkerhet som markedsføring Money Talks!

67 Populærkulturens hackere

68 Virkelighetens hackere Captain Crunch (1971) Kevin Mitnick (1988) Phiber Optik (1984) Kevin Poulsen (1991)

69 The Art of War (500 år f.kr.) To know your Enemy, you must become your Enemy. Sun Tzu Know yourself and you will win all battles Sun Tzu

70 INFORMATION GATHERING TO PLAN THE ATTACK Footprinting OPEN SOURCE SEARCH WHOIS DNS ZONE TRANSFER SCAN FOR SERVICES TO IDENTIFY THE MOST PROMISING WAY TO ATTACK MORE INTRUSIVE PROBING TO IDENTIFY POORLY PROTECTED SHARES OR USERACC. INFORMED ATTEMPT TO ACCESS THE TARGET IF ONLY USER ACCESS ATTEMPT FULL ACCESS/CONTROL INFORMATION GATHERING TO GAIN TRUSTED ACCESS HIDE THE FACT OF TOTAL OWNERSHIP TRAP DOORS TO ENSURE FUTURE PRIVILGED ACCESS IF UNSUCCESSFULL ACCESS BRING THE SYSTEMS DOWN Scanning Enumeration Gaining Access Escalating Privilege Pilfering Covering Tracks Creating back doors Denial of Service PING SWEEP TCP/UDP PORT SCAN OS DETECTION LIST USER ACCOUNTS LIST FILE SHARES IDENTIFY APPLICATIONS PASSWORD EAVEDROPPING FILESHARE BRUTE FORCE PASSWORD FILEGRAB BUFFER OVERFLOWS PASSWORD CRACKING KNOWN EXPLOITS EVALUATE TRUSTS SEARCH FOR PWD IN CLEARTEXT CLEAR LOGS HIDE TOOLS CREATE ACCOUNTS CREATE BATCH JOBS EDIT STARTUP FILES INSTALL SOFTWARE ++ SOFTWARE BOTNET

72 Konsekvenser av sikkerhetshendelser Negativ medieomtale Tap av troverdighet / varemerke svekkes Tap av marked og muligheter Brudd på lover & regler Finansielle tap / bøter Straffesak Tap av sertifiseringer og utmerkelser Ekstraarbeid og mye mer

73 Hva virker ikke? Gjentatte HorrorShow = ulv-ulv Engangsopplæring Budskap gjennom en kanal alene Det Interne Sikkerhetspolitiet

74 Annet Fra mantraet Konfidensialitet Integritet Tilgjengelighet Sikkerhet = Håndtering av risiko Sikkerhet = Hvordan gjøre det! Fra ødeleggende moro til kriminell vinning Vi er fremdeles naive

Konklusjoner Mange bra og enkle løsninger få «baseline» på plass Tilgangsstyring, sikkerhetskultur, IT-Drift, arkitektur, hendelsehåndtering,.

75 Konklusjoner Mange bra og enkle løsninger få «baseline» på plass Tilgangsstyring, sikkerhetskultur, IT-Drift, arkitektur, hendelsehåndtering,.. Masse med erfaringer å hente fra sikkerhetsog sertifiseringsstandarder (Normen, ISO, ) Mer fokus fra media hjelper Er fremdeles dyrt budsjetter avgjørende Mer viktig og større avhengighet enn noen gang Det går fremdeles for sakte Det må fremdeles smelle først For fremdeles mange rigide sikkerhetssjefer Smelter sammen med privatlivet For fremdeles lite forståelse (også privat) De kriminelle ligger fremdeles foran Mer viktig enn noen gang / stor avhengighet

76 Insecurity bores me - Francis Underwood, House Of Cards Kontakt: john.johansen@helsedir.no / tlf

Like dokumenter

Informasjonssikkerhet like vanskelig etter 25 år??

Informasjonssikkerhet like vanskelig etter 25 år?? DIFI Sikkerhetsseminar 29.11.2013 John Arild A. Johansen Sikkerhets- og kvalitetssjef / CSO, Buypass AS Styreleder, Norsk Informasjonssikkerhetsforum