Cybersikkerhet og sikkerhetskritiske kontrollsystemer
|
|
- Benedicte Andersson
- 7 år siden
- Visninger:
Transkript
1 Cybersikkerhet og sikkerhetskritiske kontrollsystemer Maintech-konferansen 2016 Working together for a safer world
2 Oversikt Hvorfor cybersikkerhet? Risikostyring og cybersikkerhet Risikoanalyse Noen gode råd
3 Hvem er Håkon? Bakgrunn som siv.ing prosessregulering (NTNU, 2006) Forsket på optimalregulering Jobbet med risikoanalyser, pålitelighet og industriell cybersikkerhet hos LR Consulting fra 2010 Sertifisert Global Industrial Cyber Security Professional fra GIAC Erfaring fra olje og gass, jernbane og landbasert industri
4 Hvorfor informasjonssikkerhet? 1998 shit just got (almost) real. Media: En 12-åring fikk full tilgang til HMI-en til Roosevelt Dam gjennom en nettleser. (I realiteten, han var 27 år og hadde kun lesetilgang, men historien er nok til å gi folk gåsehud) War Games (1983) Roosevelt Dam 1.8 x m 3 vann
5 Slammer Worm lammet kontrollsystemene på Davis-Besse kjernekraftverk (2003) Leverandør-PC infisert T1-linje omgikk brannmurregler, spredning til kontornett Spredning til sårbar Windowsserver på industrisiden Kontrollsystemet krasjet i løpet av kort tid, HMI og alarmstyring Recovery: 6 TIMER
6 IEC ny utgave kommer i 2016 Standard for pålitelighet av sikkerhetskritiske kontrollsystemer, brukes i prosessindustrien (og olje- og gassektoren) Nytt fra ny utgave: Klausul 8.2.4: «A security risk assessment shall be carried out to identifiy the security vulnerabilities of the SIS». Innholder krav om vurdering av villede handlinger og tilfeldige feil. Inneholder krav om tiltaksplanlegging Mange selskaper har allerede interne krav for sine kontrollsystemer, mens dette vil være nytt for mange
7 Tradisjonell IT vs produksjonssytemer Kontor Hvert 3. år? Patches «kontinuerlig» Avanserte overvåkningsteknologier Konfidensialitet prioritert hva med tilgjengelighet og integritet? Produksjon Hvert år? Patches ved revisjonsstans? Eller ikke? Andre rammebetingelser (latency, robusthet på utstyr, etc.) Konfidensialitet, tilgjengelighet og integritet hva er viktig?
8 Hvor passer informasjonssikkerhet inn i risikostyringen? Risiko må ses ut fra bedriftens kontekst Konsekvensklasser av betydning: Fysiske konsekvenser (personsikkerhet, miljø, utstyrsverdi) Operasjonelle konsekvenser (nedetid) Omdømmemessige konsekvenser Juridiske konsekvenser (erstatningsrettslig, strafferettslig i spesielle tilfeller) Sikring bør være en integrert del av virksomhetens risikostyring
9 Risikoanalyse konsekvens og troverdighet Hva er den mulige konsekvensen av et dataangrep? Hvor troverdig er angrepsscenarioet? Er risikoen akseptabel for vår virksomhet, eller må tiltak treffes?
10 Produksjonssystemer krever nye verktøy Konsekvens avhenger av fysisk utstyr, ikke bare logisk utstyr IT-leverandører som tilbyr «threat intelligence» gjør oftest dette på en generisk basis Troverdigheten avhenger av flere faktorer enn «kompleksitet», som ofte er brukt som proxy for usikkerhetsmål i risikoen Hva kan vi gjøre med dette?
11 Hvem er aktørene i spillet Arnes Turmat AS som eksempel Hele verdikjeden påvirker riskoen for virksomheten gjennom angrepsflater, konsekvenser og motivasjon for angripere Ola Soldat? Leverandører Råstoff Service IT Finansiering Arnes turmat AS Grossister FLO? Arnes polarmat AS REMA 1000? Sluttbrukere Ola Nordmann? Røde kors? Greenpeace? UDI?
12 Typiske trusselaktører i industrisammenheng Cyberkriminelle Hacktivister Statlige aktører Innsideaktører
13 Har hackere noen egenskaper som påvirker troverdighet? Motivasjon Relasjon angriper-offer Hensikt Kapasitet og ressurser Tilgangspunkt? Finansielle ressurser Profilering i etterforsking: vet hva forbrytelsen er, hva slags trekk vil forbryteren sannsynligvis ha? Profilering i risikoanalyse: vet hva forbrytelsen kan være og hvem forbryteren kan være (stereotypi), hvor troverdig er gjennomføring av forbrytelsen? Kost-nytte-avveining Står kostnad i forhold til nytteverdi? Avskrekking? Kunnskap Er angrepet teknisk gjennomførbart?
14 Strukturen i en risikogjennomgang Systembeskrivelse organisasjon, verdikjede, IT-system Kritikalitetsvurdering CIA Risikoidentifikasjon: Cyber-HAZID Troverdighetsvurdering basert på aktørprofiler og systembeskrivelse Tiltaksplanlegging
15 Eksempel server for oppdateringer i kontrollnettverk ASSET: Engineering Workstation for Production Control System No real damage to company or operations Potentially serious damage to company or operations Potentially catastrophic damage to company or operations CONFIDENTIALITY Breach of confidentiality has no real impact. INTEGRITY May cause misconfiguration, leading to significant downtime and broken equipment. AVAILABILITY Unavailability of the WSUS service is not critical to operations
16 Risikogjennomgang basert på ledeord Organisasjon og ledelse Programvare og data Maskinvare Nettverk Utmatning Stress Tydelighet Kompetanse Rolleforståelse Overforbruk Tyveri Støttesystemer Tilgangseskalering Konfigurasjonsendring Sletting Sperring Degradering Man-in-the-middle Båndbredde Kryptering Spoofing DNS Protokoller VPN
17 Eksempel på Cyber-HAZID System: Engineering Workstation for driftskontrollsystem. Kritikalitet: Høy. Kategori: Programvare og data. Ledeord Trussel Konsekvens C I A Anbefaling Uautorisert tilgang Lokal bruker eskalerer privilegier på engineering workstation vha sårbarhet i Adobe Acrobat Reader Leverandør for admintilgang, kan lese alle data, endre alle innstillinger, stenge ned produksjon. x x x Oppdater Adobe Acrobat Reader Continuous. Innfør patch management for alle engineering-stasjoner. Vurder organisatoriske tiltak om nødvendig.
18 Er standardprogrammer som en PDF-leser mulige veier inn? Kilde: NIST National vulnerability database
19 Troverdighet hvordan vurdere? Scoring-system for hver hacker-kategori innenfor: Motivasjon Ressurs og kapasitet Kost-nytte Kunnskap Må kalibreres til risikokontekst (verdikjede, aktører, hva som er viktig for bedriften, kjente konflikter, etc.) Vårt case: Arnes turmat. Vi ser på trusselen mot engineering-stasjonen for produksjonslinjen. Vi kjenner til at store sluttkunder er Forsvaret og sportskjeden Enormt Extra Stor. Bedriften har et lavt lønnsnivå og hyppig bruk av vikarbyråer, og har vært i media for konflikter rundt tariffavtaler i flere år. Matkjeden RIMILIG 1234 har droppet samarbeid pga dette tidligere.
20 Hva kan hackeren oppnå (i vår lille Turmat-case) Sikkerhet: eksplosjon og brann er lite sannsynlig Miljø: utslipp til ytre miljø ikke mulig. Ødelagt utstyr / produksjonsstans: kan enkelt gjennomføres både av målrettet angrep og ved feilinnstilling. Nedetid over en uke kan medføre tapte kontrakter. Omdømme: blir det kjent at produksjonstilgjengeligheten kan lammes, kan fremtidige muligheter begrenses. Kan bidra til økonomisk tap. Juridisk risiko: regnet for liten, force majeure.
21 Hvem kan stå bak? Cyberkriminelle? Ransomware? Proxy for andre? Hacktivister? Har bedriften kunder som er mål for aktivisme? Er bedriften selv et mål for slik grunnet miljø, politikk, e.l.? Fremmede stater? Er bedriften en kritisk leverandør til for eksempel Forsvaret? Interne? Ansatte på oppsigelsestid / i alvorlig konflikt? Ubevisste feilhandlinger? Ofre for «social engineering»?
22 Profilbasert vurdering av troverdighet Arnes Turmat Kategori Motivasjon Ressursbehov Kost-nytteforhold Kriminelle Hacktivister Pengeutbetaling/utpressing. Høy sannsynlighet for å lykkes. Begrenset verdi. MIDDELS Skaffe oppmerksomhet rundt sak. Andre kanaler mer effektive. LAV Krever lokal tilgang, enten ved infiltrasjon eller social engineering. Krever antakelig menneskelig kontakt. HØYT. Krever lokal tilgang, enten ved infiltrasjon eller social engineering. Krever antakelig menneskelig kontakt. HØYT. Høy kostnad, begrenset nytte. LAVT. Høy kostnad, begrenset nytte. LAVT. Kunnskap Har gode tekniske kunnskaper, kan mangle kunnskap om organisasjonen. MIDDELS. Har middels tekniske kunnskaper, kan mangle kunnskap om organisasjonen. MIDDELS. Trussel troverdig? Nøytral. Nei. Stater Hindre leveranser av ressurser til viktig aktør, eller skaffe informasjon om leveransekjeder. LAV i nåværende kontekst. Krever lokal tilgang, enten ved infiltrasjon eller social engineering. Krever antakelig menneskelig kontakt. Gode ressurser for dette. MIDDELS. Middels kostnad, begrenset nytte i nåværende kontekst. LAVT. Har svært gode tekniske kunnskaper, evne til å skaffe informasjon om organisasjon uten å vekke oppsikt. HØY. Nøytral. Insidere Ramme arbeidsgiver i konflikt, hevn. HØY. Kan ha tilgang fra før, ikke noe spesielt ressursbehov. LAVT. Risiko for «å bli tatt». Kan alvorlig ramme arbeidsgiver. MIDDELS. Har spesifikke kunnskaper om systemet, kjenner organisasjonen. HØY. Ja.
23 Vi har en risikobeskrivelse hva nå? Vi er her! Planlegg tiltak som: Reduserer sannsynligheten for et angrep Reduserer konsekvensen av et angrep Mulige tiltak: a) Innfør patch management system b) Har vi mulighet til å detektere at noe har skjedd? (Logging, etc) c) Hvordan redusere troverdigheten av et insider-angrep? (Følg arbeidsmiljøloven ) d) Hvordan reduserer vi konsekvensen? Har vi trent på å håndtere dataangrep?
24 Standarder som kan hjelpe ISO Information Security Management IEC Industrial communication networks network and system security Norsk olje og gass Retningslinje 104
25 Minstemål for god sikkerhet Sikkerhetspolicy Oppdatering av programvare og hardware Kompetanse Ikke admin-tilgang for brukere Blokker ikke-godkjent programvare Tenk risikostyring og beredskap!
26 Kort oppsummert Cybersikkerhet er av økende betydning for produksjonsprosesser IEC setter fra utgave 2 krav om sikkerhetsanalyser for systemer med SIL-krav Risikovurderinger for cybersikkerhet kan og bør bakes inn i virksomhetens risikostyring Troverdighetsdimensjonen er viktig og verktøyene finnes!
27 Ta kontakt for en prat om cybersikkerhet for din verdikjede! Håkon Olsen Overingeniør II / Leder for forretningsutvikling industri og elkraft Trondheim T E hakon.olsen@lr.org Lloyd s Register Consulting Working together for a safer world Lloyd s Register and variants of it are trading names of Lloyd s Register Group Limited, its subsidiaries and affiliates. Copyright Lloyd s Register Consulting A member of the Lloyd s Register group.
Håkon Olsen Overingeniør Lloyd s Register Consulting
Håkon Olsen Overingeniør Lloyd s Register Consulting Hvordan skal jeg forholde meg til trusler fra cyberspace? Working together for a safer world Cybersikkerhet blåser det opp til storm? Cybersikkerhet
DetaljerRisikokonturer - bakgrunn og anvendelser
Risikokonturer - bakgrunn og anvendelser Håkon Olsen Overingeniør Working together for a safer world Hvor skal vi i dag? Risikohåndtering Barrierer Hensynssoner og annen bruk av risikokonturer QRA Konsekvenser
DetaljerESRA skinnegående sikkerhetsforum
ESRA skinnegående sikkerhetsforum Liv Bjørnå National Business Development Manager Oslo 14. april 2015 Working together for a safer world Lloyd s Register Consulting Energy AS Er consulting-delen i Lloyd
DetaljerLloyd s Register kjøpte Scandpower. Positive og negative erfaringer
Lloyd s Register kjøpte Scandpower. Positive og negative erfaringer Inge Alme, Group Account Director, Lloyd s Register Group 22. Oktober 2014 Working together for a safer world Min bakgrunn Begynte som
DetaljerCyberspace og implikasjoner for sikkerhet
Cyberspace og implikasjoner for sikkerhet Bjørnar Solhaug Seminar: Cyberspace Hva er utfordringene fra et risikoperspektiv? SINTEF, 22. januar, 2016 1 Oversikt Bakgrunn Hva er cyberspace, og hva snakker
DetaljerFølger sikkerhet med i digitaliseringen?
Følger sikkerhet med i digitaliseringen? RUNE MYHRE JONASSEN 1 EVRY PUBLIC Rune Myhre Jonassen EVRY Business Consulting Konsulent og rådgiver Risk Management Information Security Bakgrunn Ingeniør Over
DetaljerIKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget
IKT-sårbarhet i norsk kraftforsyning Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget Innhold Verdikjeden og akkumulerte digitale sårbarheter Sårbarhet i driftskontrollsystemer Sårbarhet i smarte
DetaljerMainTech Konferansen. Big data hva betyr dette i forhold til gjennomføring av olje og gass prosjekter. Working together for a safer world
MainTech Konferansen Big data hva betyr dette i forhold til gjennomføring av olje og gass prosjekter Working together for a safer world Olje og gass en titt i glasskulen Mer prosessutstyr under vann The
DetaljerTrusler, trender og tiltak 2009
Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring Hvordan kan vi være til nytte? Internett har endret oss Trusselaktører / fienden Trusselaktører Mål Evne
DetaljerHVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?
HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og
DetaljerRisiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess
Risiko og Sårbarhetsanalyse på NTNU Presentasjons av prosess 2 (Info)Sikkerhetsrisiko formål Utfører risikovurderinger for å: Redusere usikkerhet og kompleksitet for systemet Kartlegge uakseptabel risiko
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerINFORMASJONSSIKKERHET
INFORMASJONSSIKKERHET 20170912 Folke Haugland Instituttleder IKT, Fakultet for teknologi og realfag Introduction University of Agder: 2 Campuses Campus Kristiansand Campus Grimstad Faculty of Engineering
DetaljerFremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder
Standard Norge, Oslo 2018-06-05 Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder Eldar Lillevik Director Cyber Security
DetaljerHMS og IKT-sikkerhet i integrerte operasjoner
HMS og IKT-sikkerhet i integrerte operasjoner Uønskede hendelser, oppfølging mot indikatorer og planer videre Randi Røisli CISO (Statoil) Leder arbeidsgruppe informasjonssikkerhet (OLF IO) 2 Eller historien
DetaljerCybersikkerhet hva er det og hva er utfordringene? Karsten Friis
Cybersikkerhet hva er det og hva er utfordringene? Karsten Friis Hva er det digitale rom? Tre nivåer Semantisk nivå: Sosiale medier, websider, informasjon Syntetisk nivå: koder, programvare Fysisk nivå:
DetaljerAgenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.
Agenda Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede 3 Hva er Cybersikkerhet? Cybersikkerhet er beskyttelse av fysiske enheter eller informasjonsaktiva
DetaljerRisikovurdering for folk og ledere Normkonferansen 2018
Risikovurdering for folk og ledere Normkonferansen 2018 Åsmund Ahlmann Nyre Informasjonssikkerhetsrådgiver Helse Midt-Norge IT Risiko «Effekten av usikkerhet knyttet til mål» (ISO 27001) «Antatt sannsynlighet
DetaljerModelldrevet risikoanalyse med CORAS
Modelldrevet risikoanalyse med CORAS Bjørnar Solhaug Seminar om risikostyring SINTEF, 27. januar 2011 1 Oversikt Hva er CORAS? Sentrale begreper Risikoanalyseprosessen Risikomodellering Oversettelse av
DetaljerAlt-i-ett-dekning for bedriften din
Alt-i-ett-dekning for bedriften din PROTECTION SERVICE FOR BUSINESS IT-sikkerhet er helt nødvendig IT-sikkerhet er fundamentalt viktig for alle bedrifter. Konsekvensene av et angrep fra skadeprogrammer
DetaljerHelhetlig risikostyring i praksis
Helhetlig risikostyring i praksis Fra strategi til meieri - kvalitativ risikotilnærming i TINE SA Rune M. Moen Konsern Risk Manager TINE Gruppa Flytende produkter Faste produkter Spesialprodukter Sentrallagre/terminaler
DetaljerIT-sikkerhet en praktisk tilnærming. Gardemoen
IT-sikkerhet en praktisk tilnærming Gardemoen 29.03.2017 Dagens agenda Kort om Rejlers Embriq Trender og dagens trusselbilde Organisering av sikkerhetsarbeidet Tekniske løsninger Oppsummering: 10 tips
DetaljerGÅRSDAGENS TEKNOLOGI
VI PRØVER Å STOPPE MORGENDAGENS ANGREP MED GÅRSDAGENS TEKNOLOGI Energidagene 2016 Even Sverdrup Augdal Head of Network Security Analysis Phone: (+47) 991 59 607 Email: even@mnemonic.no Vi prøver å stoppe
Detaljer2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG
2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG 1 SAMMENDRAG INNLEDNING: GLOBAL THREAT INTELLIGENCE REPORT 2015 De siste årene har sikkerhetsbransjen med rette fokusert mye på Advanced Persistent Threats
DetaljerSpamfree. Security Services Tjenestebeskrivelse. Eier: Sissel Joramo Agent: Atle Rønning Tekniker: Designer:
Spamfree Security Services Tjenestebeskrivelse Versjon: 1.0 Dato: 10.02.1 Skrevet av: Agent Eier: Sissel Joramo Agent: Atle Rønning Tekniker: Designer: Innholdsfortegnelse DETTE DOKUMENTETS REVISJONSLISTE...
DetaljerInformasjonssikkerhet En tilnærming
10 JUNE, 2016 INFORMASJONSSIKKERHET 2016 Informasjonssikkerhet En tilnærming EVRY Agenda Hvorfor informasjonssikkerhet Hva kan vi hjelpe deg med? Våre tjenester Prosessen vi tilbyr Krav Informasjonssikkerhet
DetaljerDatasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?
Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss? Christian Meyer Norsk senter for informasjonssikring Bevisstgjør om trusler Opplyser om tiltak Påvirker
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerFIRE EFFEKTIVE TILTAK MOT DATAANGREP
FIRE EFFEKTIVE TILTAK MOT DATAANGREP Olav Ligaarden Nasjonal sikkerhetsmyndighet Offentlig seminar SINTEF, Oslo 2016-01-22 SLIDE 1 Innhold Motivasjon Fire effektive, enkle og viktige tiltak Tre andre enkle
DetaljerSikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019
Sikkerhetshendelse hos Kartverket i 2017 Oppfølging på kort og lang sikt Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019 Status IT infrastruktur 2017 10000 9000 8000 7000 6000 Lagringskapasitet
DetaljerIKT-revisjon som del av internrevisjonen
IKT-revisjon som del av internrevisjonen 26. oktober 2010 Kent M. E. Kvalvik, kent.kvalvik@bdo.no INNHOLD Litt bakgrunnsinformasjon Personalia 3 NIRFs nettverksgruppe for IT-revisjon 4 Hvorfor? Informasjonsteknologi
Detaljer10.03.2011. Vår digitale hverdag Et risikobilde i endring
Nasjonal sikkerhetsmyndighet Vår digitale hverdag Et risikobilde i endring Etablert 1. januar 2003 Historikk fra 1953 Et sivilt direktorat JD KOORD FD En sektorovergripende myndighet FD er styrende departement.
DetaljerRISIKO OG CYBERSIKKERHET
RISIKO OG CYBERSIKKERHET Verdens kvalitetsdag 2018 Oslo, 8 november 2018 Fagdirektør Roar Thon TILFELDIG MÅLRETTET FORDI DET ER MULIG Klipp: NSM IKT RISIKO 2018/Bilde: Colourbox Fra NSMs IKT Risikobilde
DetaljerErfaringer med klyngedannelse «Fra olje og gass til havbruk»
Erfaringer med klyngedannelse «Fra olje og gass til havbruk» Helge Ege, Statsautorisert revisor Deloitte avdeling Lyngdal 2 Vår rolle i tilsvarende klynger: Deloitte Bergen, sitter på spesialkompetanse,
DetaljerGjennomføring av sikringsrisikoanalyser og iverksetting av tiltak
Sikring en naturlig del av virksomhetens risikostyring? Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak Anne Egeli, Sikkerhetsrådgiver 17/11/2016 Hvem er vi? Safetec er en ledende tilbyder
DetaljerMEDISINSK UTSTYR OG DIGITALE SÅRBARHETER
MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER Bergen, september 2017 ved HelseCERT HELSECERT ER HELSE- OG OMSORGSSEKTORENS NASJONALE SENTER FOR INFORMASJONSSIKKERHET HELSECERTS OPPGAVE ER Å ØKE SEKTORENS EVNE
DetaljerHva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1
Hva er cyberrisiko? Bjørnar Solhaug Seminar om cyberrisk, SINTEF, 2014-06-18 1 Oversikt Bakgrunn Eksisterende definisjoner Cyberspace og cybersecurity Cybersystem Cybersikkerhet Cyberrisk Oppsummering
DetaljerDet digitale trusselbildet Sårbarheter og tiltak
H a f s l u n d M u l i g h e t s W o r k s h o p TORE LARSEN ORDERLØKKEN Det digitale trusselbildet Sårbarheter og tiltak Agenda Sikkerhetsparadokset Trusler og trender Tall og hendelser Hvordan sikrer
DetaljerNTNU Retningslinje for fysisk sikring av IKTinfrastruktur
Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018
DetaljerTrafikklys i PO3. Konsekvenser av et rødt lys. Anders Milde Gjendemsjø, Leder for sjømat i Deloitte 14. mars 2019
Trafikklys i PO3 Konsekvenser av et rødt lys Anders Milde Gjendemsjø, Leder for sjømat i Deloitte 14. mars 2019 Produksjonsområde 3 Fra Karmøy til Sotra 160 000 Tonn slaktet i 2018 122 Tillatelser* pr
DetaljerNasjonal sikkerhetsmyndighet Sikre samfunnsverdier IKT-risikobildet. Dataangrep mot kritisk infrastruktur og informasjon
IKT-risikobildet Dataangrep mot kritisk infrastruktur og informasjon NSR Sikkerhetskonferanse 2010 Dr.ing. Christophe Birkeland Avdelingsdirektør NorCERT Nasjonal sikkerhetsmyndighet INTRODUKSJON Cybercrime
DetaljerNettbutikkenes trusler i det digitale rom. Thor M Bjerke, sikkerhetsrådgiver Virke.
Nettbutikkenes trusler i det digitale rom Thor M Bjerke, sikkerhetsrådgiver Virke. Trusler Agenda Informasjonstyveri Vanvare Sabotasje ID-tyveri Utro ansatte Angrep via underleverandører Falske nettsteder/konkurranser
DetaljerDet handler om å vite Christopher Kiønig KAM (ISO27001 LI)
Det handler om å vite 06.03.2014 Christopher Kiønig KAM (ISO27001 LI) Intro Watchcom Aktuelt trusselbilde Finger på pulsen Samarbeidet Watchcom og Cegal Q & A Watchcom Vi hjelper våre kunder med å forvalte
DetaljerKan cyber-risiko forsikres?
Kan cyber-risiko forsikres? Hva er kost-nytte av å overføre sikkerhetsrisiko til en tredjepart? Aida Omerovic SINTEF IKT Sikkerhet og Sårbarhet Mai 2015 Teknologi for et bedre samfunn Informasjonssikkerhet
DetaljerNorCERT IKT-risikobildet
5/2/13 NorCERT IKT-risikobildet Aktuelle dataangrep som rammer norske virksomheter Torgeir Vidnes NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Torgeir.Vidnes@nsm.stat.no 1 Faksimile: www.aftenposten.no
DetaljerRisikoanalysemetodikk
Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering
DetaljerMenneskelige og organisatoriske risikofaktorer i en IO-kontekst
Menneskelige og organisatoriske risikofaktorer i en IO-kontekst The interplay between integrated operations and operative risk assessments and judgements in offshore oil and gas Doktoravhandling Siri Andersen
DetaljerTeknologi og digitalisering i transportsektoren
Teknologi og digitalisering i transportsektoren Anders R. Hovdum fagdirektør sikkerhet og beredskap Strategiske mål 2030 Tilrettelegge for framtidens transportsystem Utvikle og ta vare på vegnettet på
DetaljerNovember Internkontroll og styringssystem i praksis - Aleksander Hausmann
November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen
DetaljerForvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter
Forvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter Mai 2017 «Forvaltningsrevisjon av effektivitet og kvalitet i internkontrollen» Mai 2017 Prosjektplan
DetaljerVI BYGGER NORGE MED IT.
VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet
DetaljerStyrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro
Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20 Innhold Hydros organisasjon Målene for informasjonssikkerhet
DetaljerRISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET
RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling
DetaljerSikkerhet, risikoanalyse og testing: Begrepsmessig avklaring
Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring Seminar om risikoanalyse og testing innen sikkerhet Bjørnar Solhaug SINTEF, 11. juni, 2013 Technology for a better society 1 Oversikt Risikoanalyse
DetaljerStandarder for risikostyring av informasjonssikkerhet
Standarder for risikostyring av informasjonssikkerhet Standardiseringsrådsmøte 13.mars 2012 Beslutningssak Mehran Raja Bakgrunn for utredningen Difi har ferdigstilt 2 rapporter som anbefaler å se nærmere
DetaljerTilsyn med IKT-sikkerhet i boreprosesskontroll, støttesystemer innen petroleumsnæringen
Tilsyn med IKT-sikkerhet i boreprosesskontroll, sikkerhets- og støttesystemer innen petroleumsnæringen Presentasjon av resultater fra tilsynet Asbjørn Ueland, sjefsingeniør Bakgrunn for tilsynet Arbeid
DetaljerFra ROS analyse til beredskap
Fra ROS analyse til beredskap perspektiv fra offshoreindustrien ESRA seminar, 21.mai 2014 PREPARED. Eldbjørg Holmaas NTH - 94 Ind. øk. Arb.miljø og sikkerhet OD (nå Ptil) 1 år - Elektro og sikringssystemer.
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerRISIKOSTYRING SETT FRA NFKR s SYNSVINKEL
RISIKO, NIRF 19-05-2011 Side 1 RISIKOSTYRING SETT FRA NFKR s SYNSVINKEL Det er sannsynlig at noe usannsynlig vil skje (Aristoteles) Tradisjonelt var betraktning av risiko basert på en analyse av en mulig
DetaljerVeileder til forskrift om sikring på jernbane Utvalgte tema, bransjemøte 12. juni Side 1
Veileder til forskrift om sikring på jernbane Utvalgte tema, bransjemøte 12. juni 2019 12.06.2019 Side 1 Utvalgte tema tilsynserfaring Styringssystem o Informasjonssikring Identifisere informasjon Nødvendig
DetaljerApril 2014. Kampen mot korrupsjon og misligheter Granskning og Forensic Services
April 2014 Kampen mot korrupsjon og misligheter Granskning og Forensic Services Er du forberedt? Påtalemyndigheter og lovgivere over hele verden blir stadig mer aktive når det kommer til å håndheve korrupsjonslovgivningen.
DetaljerVEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE
ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2
DetaljerRISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01
RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar, 2015-09-01 CV: Tor E. Bjørstad Sjefskonsulent og gruppeleder for applikasjonssikkerhet i mnemonic Ph.d. i kryptografi fra UiB Sivilingeniør fra
DetaljerIEC Utvalg av endringer i ny versjon
1 IEC 61508 - Utvalg av endringer i ny versjon Mary Ann Lundteigen Professor, NTNU (www.ntnu.edu/ross/rams/maryann ) Sikkerhetssystemkonferansen 2010 18-19. November. 2 Bakgrunn og målsetning IEC 61508
DetaljerEffektiv gjennomføring med OPS. Næringslivets forum for offentlige anskaffelser 4. Mars 2014
Effektiv gjennomføring med OPS Næringslivets forum for offentlige anskaffelser 4. Mars 2014 OPS alternativt verktøy for å løse viktige samfunnsoppgaver Publikasjonen revitalisert etter fornyet interesse
DetaljerAggregering av risiko - behov og utfordringer i risikostyringen
Aggregering av risiko - behov og utfordringer i risikostyringen SINTEF-seminar 4.4.2017 Jan Sørgård, Seniorrådgiver i Difi Seksjon for informasjonssikkerhet og datadeling Avdeling for digital forvaltning
DetaljerNASJONAL SIKKERHETSMYNDIGHET
SLIDE 1 FORVENTNINGER TIL SIKKERHET I DEN DIGITALE VERDEN Oslo, 27. mai 2015 Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet 2 NSM NØKKELINFORMASJON 3 SIKRE SAMFUNNSVERDIER NSMS SAMFUNNSOPPDRAG Sikre samfunnsverdier
DetaljerStyremøte Helse Midt-Norge Presentasjon rapport evaluering internrevisjonen
Styremøte Helse Midt-Norge Presentasjon rapport evaluering internrevisjonen 4. Februar 2016 Overordnet oppsummering Godt tilpasset organisasjonens øvrige styringsstruktur Oppfattes som nyttig og tilfører
DetaljerDET DIGITALE TRUSSELBILDET INNAN VA FYSISK SIKRING, DIGITALSIKRING OG MENNESKELEG PÅVERKNAD. Jon Røstum, sjefstrateg Powel
DET DIGITALE TRUSSELBILDET INNAN VA FYSISK SIKRING, DIGITALSIKRING OG MENNESKELEG PÅVERKNAD Jon Røstum, sjefstrateg Powel Hvem av dere er det som jobber med informasjonssikkerhet til daglig? HAR DERE HØRT
DetaljerIT Operations Cisco Partner Day, Fornebu
IT Operations Cisco Partner Day, Fornebu 09.05.2014 Do it once, do it right. Elisabeth Larsen, IT Operations Manager Innhold Oversikt Utfordringer Fremtiden Valget Sammendrag Om Get Get er Norges mest
DetaljerRisiko og sårbarhetsanalyser
Risiko og sårbarhetsanalyser Et strategisk verktøy i sertifiseringsprosessen ISO 14001 Nasjonal miljøfaggruppe 30.05.13 Miljørådgiver Birte Helland Gjennomgang Teoretisk gjennomgang av hva risiko er Hvorfor
DetaljerCyber Risk Mapping Kartlegging av cyberrisiko
Cyber Risk Mapping Kartlegging av cyberrisiko v/andreas Vabø 26.10.2016 Utfordring Malicious attacks Interne trusler Ikkefysisk skade Avbrudd Fysisk skade Non malicious failures Konstant endring Cyberrisiko
DetaljerIKT- sikkerhet. Prosjektportefølje 2019
IKT- sikkerhet Prosjektportefølje 2019 Fagdag sikring 15.05.2019 Ptil Espen Seljemo Petroleumstilsynet espen.seljemo@ptil.no Robustgjøring av IKT-sikkerhet for de industrielle IKT-systemer for å kunne
DetaljerRisikovurdering av elektriske anlegg
Risikovurdering av elektriske anlegg NEK Elsikkerhetskonferanse : 9 november 2011 NK 64 AG risiko Fel 16 Hvordan gjør de det? Definisjon av fare Handling eller forhold som kan føre til en uønsket hendelse
DetaljerKJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?
KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL? 5. mai 2015, Ivar Aasgaard LITT BAKGRUNNSINFORMASJON Steria ble i 2014 en del av Sopra Steria-konsernet 35.000 medarbeidere i 20 land Proforma omsetning
DetaljerInformasjonsdilemmaet ved vanskelig beslutninger
Informasjonsdilemmaet ved vanskelig beslutninger -hvordan forholde seg til den informasjonen som ikke er tilgjengelig 12 september 2017 Innhold Hva menes med informasjonsdilemmaet? Noen eksempler Hvordan
DetaljerRoller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder
Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder Temaer: Hvorfor er roller og ansvar viktig? Behandlingsansvarlig Databehandler og forholdet
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerSSL DEKRYPTERING PERSONVERN VS SIKKERHET? STURLA GRELLAND
SSL DEKRYPTERING PERSONVERN VS SIKKERHET? STURLA GRELLAND Copyright 2015 Blue Coat Systems Inc. All Rights Reserved. 1 ADVANCED THREAT DEFENSE LIVSSYKLUS Security Analytics Advanced Web/Mail Gateway Security
DetaljerIntegrerte operasjoner Noen utfordringer i et myndighetsperspektiv
Integrerte operasjoner Noen utfordringer i et myndighetsperspektiv Innhold Integrerte operasjoner Perspektivet IKT sikkerhet Hvordan ta høyde for det usannsynlige HMS i et IO perspektiv Hvordan kan IO
DetaljerEt spørsmål om tid! Lars Hopland Nestås Software Security Architect
Et spørsmål om tid! Lars Hopland Nestås Software Security Architect Lars Hopland Nestås 2010: Master i informatikk, sikker og trådløs kommunikasjon, spesialisering i datasikkerhet. Universitet i Bergen
DetaljerIntroduksjon til risikovurdering
Introduksjon til risikovurdering Fylkesmannen Hordaland samling Voss Hilde Weir og Kirsten Strømsnes 1 SAFER, SMARTER, GREENER Introduksjon til Risikovurdering Prosessen Fareidentifikasjon Risikoberegning
DetaljerTilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017
Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll
DetaljerNIRF. Hvitvaskingsregelverket og internrevisorer. Advokat Roar Østby
NIRF Hvitvaskingsregelverket og internrevisorer Advokat Roar Østby Oslo 4. mars 2014 Agenda Endringer i regelverket ( 4. direktiv) «Kjenn-din-kunde» (lovens krav) 2 Noen tall Antall MT-rapporter til EFE
DetaljerGjermund Vidhammer Avdelingsleder Governance, risk & compliance
VEIEN TIL GDPR: PLANLEGG DINE NESTE 12 MÅNEDER Gjermund Vidhammer Avdelingsleder Governance, risk & compliance Agenda Hvordan påvirker GDPR arbeid med informasjonssikkerhet Etterlevelse: plan for de neste
DetaljerNSM NorCERT og IKT risikobildet
NSM NorCERT og IKT risikobildet NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Agenda! Om NSM og NorCERT! Om samarbeidet mellom EOS-tjenestene! Om IKT-truslene!
DetaljerSPISSKOMPETANSE GIR BEDRE INTERNREVISJON
30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.
DetaljerJarle Langeland. Mellom IT-sikkerhet og personvern 2
Mellom IT-sikkerhet og personvern Jarle Langeland Mellom IT-sikkerhet og personvern 2 Mellom IT-sikkerhet og personvern IT-sikkerhet en forutsetning for godt personvern Mellom IT-sikkerhet og personvern
DetaljerInternkontroll i praksis (styringssystem/isms)
Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi 2010-2011 - Tilstanden er ikke
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerBESKYTT FORRETNINGENE UANSETT HVOR DE ER. Protection Service for Business
BESKYTT FORRETNINGENE UANSETT HVOR DE ER Protection Service for Business DET ER EN MOBIL VERDEN I dag bruker vi flere enheter over flere nettforbindelser enn noensinne. Å kunne velge når, hvor og hvordan
DetaljerFremtidsstudien: Hva mener millennials i Norge at næringslivet bør bidra med i samfunnet? Sammendrag av norske resultater, februar 2016
Fremtidsstudien: Hva mener millennials i Norge at næringslivet bør bidra med i samfunnet? Sammendrag av norske resultater, februar 2016 Hva bør næringslivet bidra med i samfunnet? Fremtidsstudien Hvordan
DetaljerForskning på cybersikkerhet ved UiO. Audun Jøsang Universitetet i Oslo
Forskning på cybersikkerhet ved UiO Audun Jøsang Universitetet i Oslo God og dårlig oversettelse Engelsk Norsk Security Safety Certainty Sikkerhet Trygghet Visshet God Security Safety Certainty Sikkerhet
DetaljerIKT-sikkerhet som suksessfaktor
IKT-sikkerhet som suksessfaktor - med fokus på teknologi og kultur Jan Tobiassen Strategi og policy Nasjonal sikkerhetsmyndighet Agenda Nasjonal sikkerhetsmyndighet KIS og Nasjonal strategi for IT-sikkerhet
DetaljerCyberforsikring for alle penga?
Cyberforsikring for alle penga? Per Håkon Meland SINTEF IKT NHOs pensjons- og forsikringskonferanse November 2014 Teknologi for et bedre samfunn Informasjonssikkerhet i SINTEF Fagområder Programvaresikkerhet
DetaljerPersonvern i skyen Medlemsmøte i Cloud Security Alliance
Personvern i skyen Medlemsmøte i Cloud Security Alliance 31. oktober 2018 Trond Ericson Agenda Personvern i skyen Kort om Devoteam Kort om GDPR GDPR i skyen Oppsummering Devoteam Fornebu Consulting Devoteam
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
DetaljerHendelser skjer - hvordan håndterer vi dem?
Hendelser skjer - hvordan håndterer vi dem? En hendelsesleders perspektiv NSRKONF 2017 Mona Elisabeth Østvang mona@mnemonic.no Om meg Mona Elisabeth Østvang Sivilingeniør fra NTNU (2004) Konsulent i mnemonic
DetaljerPålitelighet og Tilgjengelighet i Programvaresystemer. Tor Stålhane IDI / NTNU
Pålitelighet og Tilgjengelighet i Programvaresystemer Tor Stålhane IDI / NTNU Mål og midler Husk: Det er safety som er målet. Pålitelighet og tilgjengelighet er bare midler til å nå målet. Hva er pålitelighet
DetaljerVeien til ISO 20000 sertifisering
Mål: 41 40 39 38 37 36 Veien til ISO 20000 sertifisering Forretningsidé Forbedringer 29 Definere kunder/pros. i verktøy 30 30 31 Mister ansatte Branding 32 Satsningsområde 33 Syneligjøre KPI er 34 ITIL
Detaljer