Utredning Cybersikkerhet - trusler, trender og tiltak

Størrelse: px
Begynne med side:

Download "Utredning Cybersikkerhet - trusler, trender og tiltak"

Transkript

1 Utredning Cybersikkerhet - trusler, trender og tiltak Vedlegg til Regional plan for samfunnsikkerhet og beredskap

2

3 Cybersikkerhet Oppland fylke Dette dokumentet gir en innføring i trusler, trender og tiltak på cybersikkerhetsområdet. Det er brukt den norske betegnelse cybersikkerhet på det som internasjonalt omtales som Cybersecurity. Videre er det definert hva som legges i cybersikkerhet videre i dokumentet. 1. Innledning Sammendrag cybersikkerhet Avhengigheter Globale og nasjonale trusler Regionale trusler Viktige tiltak Kybertrusler med eksempler på tiltak Avhengigheter Sektorfordeling Kaskadeeffekter Energi og kraftforsyning Telekommunikasjon Leverandører generelt Globale og nasjonale trusler Trusselaktørene Tilsiktede handlinger Utilsiktede handlinger Regionale trusler Utilsiktede hendelser Naturhendelser Tilsiktede hendelser Viktige tiltak Verdivurdering/klassifisering Risikovurdering Vurdering av risiko Tiltak og prioriteringer Gjeldende lover og forskrifter Sikkerhetsgjennomganger/evaluering av tiltak Tiltak som følge av risikovurdering og verdivurdering/klassifisering Tiltak som ivaretar lover og regler Opplæring av ansatte og innbyggere Ledelsens ansvar De ansattes ansvar Bestillerkompetanse... 28

4 4.6 Beredskap Katastrofe-/beredskapsplan Testing og øving Leverandører-/samarbeidspartnere Litteratur og kilder:

5 1. Innledning Cybersikkerhet er et område med stadig sterkere fokus, å ha god cybersikkerhet er en forutsetning for å levere gode og sikre tjenester til befolkningen. Tillitt til at elektroniske tjenester er tilgjengelige, at de ivaretar hemmeligheter og ikke kan manipuleres er nødvendig for å nå målene om digitaliseringen i offentlig sektor 1. Regjeringen har som mål at innbyggeren skal kunne betjene seg selv på nett. Kommuner og fylkeskommuner skal gjennom egne risikovurderinger finne trusler, avdekke sårbarheter og iverksette nødvendige tiltak for å redusere risiko til et akseptabelt nivå. Dette gjelder også området cybersikkerhet. Oppland fylke består av 26 kommuner, 6 regioner, 4 byer og har innbyggere 2. I de forskjellige kommunene er det store forskjeller i forhold til risiko. Dette dokumentet gir en oversikt over mulige sikkerhetshendelser innen kyberdomenet 3. Dokumentet gir en oversikt over trusler og sårbarheter, forslag til tiltak, en oversikt over trusselaktører samt en beskrivelse av den økende avhengigheten mellom infrastruktur, IKTsystemer, funksjoner og tjenester. I dette dokumentet er det de sikkerhetsmessige utfordringer i selve kyberdomenet som er adressert. God informasjonssikkerhet er en forutsetning for å kunne levere stabile og sikre tjenester til sine kunder, enten det er innbyggeren eller offentlig forvaltning. Tillit til og kontinuitet i IKT-systemer er en forutsetning for oppnå gode digitale tjenester. Informasjonssikkerhet er i henhold til de fleste internasjonale standarder 4 alle tiltak som sikrer: Tilgjengelighet, som er å sikre at IKT-systemer og informasjon er tilgengelig ved behov Integritet, som er å sikre at informasjon og IKT-systemer er korrekt og pålitelig Konfidensialitet, som er å sikre at kun de som skal ha tilgang til informasjon og IKTsystemer har det og ingen andre. Cybersikkerhet er i henhold til Koordineringsgruppen for IKT- risikobildet 5 : Tiltak for beskyttelse mot reelle og potensielle trusler som kanaliseres via IKTinfrastruktur. Cybersikkerhet er en underkategori til IKT-sikkerhet. IKT-sikkerhet favner et mer generelt og bredere spekter av farer og trusler, inkludert naturkatastrofer, uhell og fysisk ødeleggelse. Dokumentet understøtter behovet for en systematisk og god oversikt over risiko og sårbarheter og vil utgjøre et felles planleggingsgrunnlag for forebyggende og skadereduserende tiltak innen kyberdomenet. 1 Digital Agenda for Norge Stmeld 23 ( ) Kyberdomenet er et globalt domene realisert gjennom fysiske eller logiske sammenkoblinger av informasjonssystemer. Dette inkluderer fysiske og virtuelle nettverksenheter, kommunikasjonsinfrastruktur, media og data. 4 Ref: ISO Koordineringsgruppen for IKT-risikobilde ledet av NSM med E-tjenesten og PST 3

6 I kyberdomenet er det større sannsynlighet for tilsiktede hendelser der aktører med vitende og vilje initierer hendelsene, det er derfor tatt inn eksempler på slike hendelser i dette dokumentet. Aktørene kan være interne eller eksterne. Cybersikkerhet er pr. definisjon en underkategori til IKT-sikkerhet. Imidlertid er det stor grad av gjensidig avhengighet og ofte er tiltakene sammenfallende. Cybersikkerhet dreier seg om sikring av ting som er sårbare via IKT 6. Dokumentet vil derfor i noe grad ta for seg flere aspekter av generell IKT-sikkerhet for å sikre forståelsen av at cybersikkerhet og IKTsikkerhet ikke er to separate tema. Eksempelvis kan fysiske ting som et damanlegg være sårbart via IKT, fordi kontrollsystemet som regulerer vannmengde styres via IKT-systemer. Figur 1 Sammenheng cybersikkerhet, informasjonssikkerhet, IT-sikkerhet 6 6 Blogg Morgen Irgens, Høgskolen i Gjøvik, 4

7 2. Sammendrag cybersikkerhet Cybersikkerhet er et fagområde som berører alle deler av forvaltningen og virksomhetene i Oppland fylke. Cybersikkerhet favner på tvers av sektorer og kommunegrenser. Cybersikkerhet berører alt fra tjenester hos en liten underleverandør til et kritisk IKT-system på et sykehus. 2.1 Avhengigheter En stadig større avhengighet til IKT gjør samfunnet sårbart ved hendelser som berører integriteten, konfidensialiteten eller tilgjengeligheten til IKT-systemene. Konsekvensene ved hendelser vil også bli større på grunn av økt avhengighet. De fleste samfunnsfunksjoner er i dag avhengige av IKTsystemer og digital informasjon, som igjen er avhengig av fungerende telesystemer og strøm. Fysiske ødeleggelser som følge av ekstremvær og naturkatastrofer er ikke et element av cybersikkerhet, men avhengigheter til systemene kan medføre at kybertruslene øker når andre katastrofer inntreffer. Disse avhengighetene blir stadig økende, og det er essensielt for kommunene og virksomhetene som leverer samfunnskritiske funksjoner å avdekke disse, og å sørge for å ha en god beredskap for å kunne levere tjenestene ved eventuelle hendelser. Felles for alle samfunnskritiske funksjoner er deres avhengighet av teleinfrastruktur og kraftforsyning Globale og nasjonale trusler Et stadig større gap mellom trusler og tiltak 8 gjør at det er større sannsynlighet for at en hendelse vil inntreffe og berøre et IKT-system og dets egenskaper. Sårbarheter betyr manglende evne til å motstå en uønsket hendelse, eller å opprette en ny stabil tilstand. Stadig flere målrettede angrep gjennomføres mot nasjonale interesser, særlig gjelder dette innen forsvar, kritisk infrastruktur, olje gass og finans. Klimaendringer med ekstremvær vil også øke sannsynligheten for bortfall av kritiske samfunnsfunksjoner fordi IKT systemer er satt ut av drift. Politiets sikkerhetstjeneste og Nasjonal Et forsvar for vår tid - Prop. 73 S ( ) fremhever angrep i det digitale rom som en av de raskest voksende truslene mot privatpersoner, næringsvirksomhet og offentlige institusjoner. Det dreier seg om angrep som går fort, metoder og virkemidler som endres raskt og vanskelig identifiserbare trusselaktører. Det har vært en endring i angrepsmetoder og hvilke sårbarheter som utnyttes i det digitale rom i løpet av de siste ti årene. Norske selskaper har trolig mistet kontrakter på grunn av kinesisk dataspionasje, hevder Nasjonal Sikkerhetsmyndighet. Forsvarsprodusenten Nammo på Raufoss er et av selskapene som er forsøkt hacket fra Kina. Aktuell sikkerhet sikkerhetsmyndighet vurderer at Norge og norske interesser daglig utsettes for uønsket og ulovlig etterretning fra andre stater. Kriminelle aktører med økonomiske motiver er en økende trussel mot private og offentlige aktører. Utstrakt bruk av sosial manipulering i forbindelse med inntrengning i informasjonssystemer er en vanlig kombinasjon. Flere velger å ta i bruk 7 NSM Rapport om sikkerhetstilstand Møketallsundersøkelsen

8 nettskyløsninger til behandling og lagring av informasjon. I slike løsninger må sikkerhetsaspektet ivaretas i takt med teknologisk utvikling og i henhold til hvilke verdier som behandles i nettskytjenesten. Big Data med sammenstilling av store datamengder gir store utfordringer, det er viktig å ta inn over seg de sikkerhesmessige konsekvenser dette kan gi. En bekymring er at store deler av det digitale universet er ubeskyttet 9. Stadig økende behov for mobilitet gir et økt behov fra de ansatte for å kunne koble seg til virksomheten med forskjellig utstyr med varierende sikkerhet. Bring Your Own Device (BYOD) må adresseres slik at sikkerheten ivaretas. 2.3 Regionale trusler Oppland fylke er ikke forskånet fra cybersikkerhetshendelser. I fylket befinner det seg leverandører til kritisk infrastruktur, virksomheter med verdensledende teknologi på flere områder. Virksomheter med ansvar for liv og helse, samt et mangfold av små og mellomstore virksomheter som alle på en eller annen måte har bedriftshemmeligheter, personopplysninger, eller tjenester og funksjoner som i et større perspektiv sørger for at brukere får tilgang til tjenester og sin informasjon. Sikkerhetshendelser kan medføre store konsekvenser, i verste fall fare for for liv og helse. Angrep over nett vil kunne lamme eller påvirke strømforsyning, industriprosesser og andre kritiske samfunnsfunksjoner. Tilsiktede hendelser som datainnbrudd, tjenestenektangrep, industrispionasje og internettkriminalitet har vi stadig flere konkrete saker på i Oppland fylke. Utilsiktede hendelser som brukerfeil, strømbrudd eller flom og ras er det også stadig flere eksempler på. I begge kategorier har det ført til økonomiske tap, tap av tillit og at kritiske samfunnsfunksjoner har hatt nedetid. 2.4 Viktige tiltak Forebyggende sikkerhetsarbeid med risikoreduserende tiltak vil gjøre oss mindre utsatt om katastrofen skulle inntreffe. Et godt beredskapsarbeid er også en forutsetning for å kunne ivareta liv og helse samt samfunnskritiske funksjoner i en krisesituasjon. Arbeidet med Cybersikkerhet er et kontinuerlig arbeid og må forankres hos ledelsen. Det må avsettes ressurser for å jobbe forebyggende, håndtere hendelser og ha en beredskap slik at konsekvenser ved hendelser minimeres. Risikoerkjennelse og evne til gjennomføring hos ledelsen er en forutsetning for å få gjennomført et godt cybersikkerhetsarbeid. 9 Analyseselskapet IDC 6

9 Samfunnets avhengigheten til IKT er betydelig og bortfall av en en eller flere tjenester kan få store konsekvenser. Risikoreduserende tiltak er nødvendig for å ivareta cybersikkerhet og begrense mulige konsekvenser som følge av avhengigheter mellom IKT systemer. Det listes opp følgende viktige tiltak: Verdivurdering/klassifisering Å kartlegge og verdivurdere (klassifisere) IT-systemer og infrastruktur med kritikalitet, systemeierskap og avhengigheter, slik at man har en oversikt over virksomhetens eiendeler med en forståelse av konsekvensen hvis IT-systemet går ned. Ut fra verdivurderingen kan man vurdere hvordan informasjonen kan og må beskyttes. Alle virksomheter som eier en verdi, vil også eie eventuelle sårbarheter knyttet til denne verdien 10 Risikovurdering Gjennomføre risikovurderinger av elementer som fastsettes som kritisk i verdivurderingen, for å få kunnskap om trusler og sårbarheter, samt bedømme konsekvens ved en hendelse. Ut fra aksptansekriterier vet man hvilke trusler man ikke kan akseptere og derved iverksette nødvendige tiltak. Tiltak i lover Gjennomføring av tiltak pålagt i lover og forskrifter knyttet til informasjonssikkerhet. Sikkerhetsgjennomganger/evaluering av tiltak Jevnlige sikkerhetsgjennomganger/evalueringer for å sikre at alle tekniske sikringstiltak er implementert og følges opp i egen organisasjon eller av tredjepart/ leverandør. Opplæring av ansatte og innbyggere Opplæring og kompetanseheving for å gi ansatte og leder nødvendig forståelse og kompetanse for å kunne detektere, avverge og rapportere sikkerhetshendelser. Beredskap Beredskapsplanlegging med fokus på å ha en oppdatert og funksjonell beredskapsplan, samt ha gjennomført jevnlige øvelser der forskjellige cybersikkerhetsscenarioer er blitt prøvd. Det er sannsynlig at noe usannsynlig vil skje. Aristoteles 10 NSM Rapport om sikkerhetstilstand

10 3. Kybertrusler med eksempler på tiltak En virksomhets verdi i form av eiendeler og/eller informasjon må beskyttes mot trusler. Tjenester som skal leveres må sikres. Befolkningen har grunnleggende behov som skal dekkes og ansvaret for dette ligger hos tjenesteleverandøren. Samfunnssikkerheten i Norge er basert på ansvarsprinsippet; den som har ansvaret for en tjeneste har ansvar også for leveransesikkerhet, beredskap osv 11. En infrastruktur er kritisk hvis dens bortfall truer kritiske samfunnsfunksjoner En samfunnsfunksjon er kritisk hvis dens bortfall truer befolkningens grunnleggende behov Befolkningens grunnleggende behov defineres som vann, varme, mat, trygghet og liknende 12. En trussel defineres som en mulig uønsket handling som kan gi negativ konsekvens for sikkerheten til personer eller virksomheter. 13 Trusselaktøren har intensjon (motivasjon) og kapasitet (vilje) til å utføre en slik handling mot gitte verdier. Sårbarhet defineres som manglende evne til å motstå en uønsket hendelse eller å opprette en ny stabil tilstand dersom en verdi er utsatt for uønsket påvirkning. 14 Virksomheter som har eller er avhengig av en verdi, vil også ha hovedansvar for å håndtere eventuelle sårbarheter knyttet til verdien og dennes funksjoner, i tråd med ansvarsprinsippet. 3.1 Avhengigheter Oppland fylke med tilhørende kommuner er ansvarlig for en rekke tjenester til egen befolkning. Bortfall av kritisk infrastruktur slik som strøm og telekommunikasjon vil raskt kunne få konsekvenser for opprettholdelse av viktige samfunnsfunksjoner og tjenesteleveranser. 11 DSB, Innspill til et overordnet risikostyringssystem for kritisk infrastruktur og kritiske samfunnsfunksjoner, Erik Thomassen NOU 2006:6 13 Jf NS 5830: Ibid. Norsk standard 5830:2012 8

11 Viktige samfunnsfunksjoner, også omtalt som bærebjelkene i samfunnet, kan deles opp i følgende 15 : Energi- og kraftforsyning Informasjons og kommunikasjonsteknologi (IKT) Ledelse og informasjon Tilgang til rent vann og ernæring Helsetjenester Transport I dagens samfunn innebærere disse tjenestene bruk av IKT-systemer. Både til styring og til informasjonsbehandling. IKT-systemene har mange avhengigheter. I det følgende er en kort beskrivelse av noen av avhengighetene nevnt. Truslene og tiltak for disse er beskrevet i andre deler av dokumentet. Utdrag fra NOU 2013:2, Hindre for digital verdiskapning Enhver virksomhet kan bli rammet av en informasjonssikkerhetshendelse. Skulle en slik hendelse inntreffe gjelder det å ha beredskap som sikrer at man kan håndtere den. Rutiner for å håndtere hendelser er kritisk for å kunne stå i mot et målrettet eller tilfeldig angrep. Målrettede angrep mot en eller flere digitale infrastrukturtjenester som helse, kraftsektoren, kommunikasjonsnettene, vann og avløp eller finanssektoren kan sette samfunnet ut av spill 3.2 Sektorfordeling Samfunnssikkerhet med tilhørende beredskapsarbeid er fragmentert på myndighetsnivå i Norge. De enkelte departement er ansvarlige for sine sektorer, og retningslinjene vil kunne variere fra sektor til sektor. Tjenester til befolkningen er basert på teknologiske løsninger som er sektorovergripende. Det er derfor viktig for en tjenestetilbyder å vite hvilke trusler og krav til tiltak som gjelder for de enkelte sektorer. I de fleste sektorer vil samfunnskritiske funksjoner bryte sammen uten tilgang til IKT-tjenester. Utfordringer med denne situasjonen er at norske virksomheter både mangler forståelse for risikobildet og i noe grad mangler intern kompetanse til å løse sikkerhetsutfordringene. Derfor tvinger det seg frem et økt behov for sterkere offentlig innsats og koordinering av de offentlige sikkerhetsaktørene. 3.3 Kaskadeeffekter Ofte vil svikt i en funksjon eller struktur få følger for andre, dvs. det oppstår kaskadeeffekter. Dette kan bety at manglende trøm medfører svikt i datakommunikasjon, som igjen medfører manglende tilgang til data. Manglende tilgang til data kan bety at tjenesten ikke leveres, feilbehandlinge forekommer eller at man ikke får fullført saksbehandling. Det kan være brudd i telekommunikasjonslinjer som medfører at viktige funksjoner som alarmsentraler settes ut av spill, varslingssystemer som sådan ikke fungerer, eller at andre viktige funksjoner ikke kommuniserer med hverandre. Saksbehandlingssystemer som innhenter opplysninger eller kommuniserer med andre systemer får ikke tilgang til informasjon og behandlingen stopper opp. Gjelder dette helseområdet kan det stå om liv og helse. Det samme gjelder f.eks. kommunikasjon til signalsystemer i jernbanen og trafikken. 15 NOU 2006:6 9

12 3.4 Energi og kraftforsyning Energi og kraftleverandører må ha evne til å forsyne virksomheter med kritiske samfunnsfunksjoner med nødvendig kraft for å kunne tilby basisleveranser. Naturhendelser kan påvirke tilgjengeligheten til kritisk infrastruktur. Vind, snø/ising, flom, ras, tordenvær er alle trusler som kan bidra til svikt i strømtilførsel, som igjen fører til kaskadeeffekter. I tillegg til andre tilsiktede og utilsiktede handlinger som omtales i kapittel Telekommunikasjon Viktig for virksomheter å få elektroniske data til/fra egen virksomhet. Det er også viktig at leverandøren kan opprettholde konfidensialitet og integritet ved overføring av data. Mer ekstremvær vil påvirke trusselbildet med tanke på følgeskader av flom, trær som velter, ras ol. Telefonnettet og datakommunikasjon er utsatt for naturskader, det er også IKTsentraler og fysiske komponenter. 3.6 Leverandører generelt De fleste norske virksomheter er små. De vil i all hovedsak være avhengige av leverandører av IKT-tjenester. Virksomhetene har i mange tilfeller lav bestillerkompetanse og krav til informasjonssikkerhet ved innkjøp og løpende drift kan bli nedprioritert. Dersom virksomheten ikke stiller krav til sikring av ikt-systemer fra leverandøren, kan dette bli nedprioritert, og virksomheten kan få store problemer med hendelser. Det er virksomhetens leder som er ansvarlig for informasjonssikkerhet, selv om drift eller andre tjenester er satt ut. Det er også viktig å avtalefeste og kontrollere at leverandører ivaretar lovkrav i henhold til drift, lagring og kommunikasjon. 3.7 Globale og nasjonale trusler De generelle kybertruslene som er beskrevet i dette dokumentet vil ha innvirkning på alle tjenester som leveres hvis en hendelse inntreffer. En Utdrag fra NOU 2013:2, Hindre for digital verdiskapning; Norske virksomheter har ikke en helhetlig trusselvurdering å forholde seg til. Det nasjonale trusselbilde som presenteres er tilpasset sikkerhetslovens virkeområde og lite egnet for vanlige norske virksomheter i både offentlig og privat sektor. utvikling i dagens samfunn er at de utenkelige konsekvensen kommer nærmere, det må derfor tas høyde for hendelser med store konsekvenser der tilgjengeligheten til kritiske IKT-systemer er borte i lengre perioder. Utviklingen i samfunnet viser en større avhengighet mellom systemer, det er derfor også viktig å kartlegge disse avhengighetene slik at sikringstiltak kan iverksettes der det er størst behov. Det er også større gap mellom trusler og tiltak enn tidligere 16. Trusselbildet er i stadig endring og teknologien utvikles raskt. Nordmenn er generelt raske til å ta i bruk ny teknologi, og da er det viktig å ha kompetanse og ressurser til å iverksette nødvendige sikkerhetstiltak slik at man ivaretar sikkerheten på et tilfredsstillende nivå. Målrettede angrep er blitt en del av hverdagen for mange bedrifter og sikkerhetsselskapet Norman ASA går så langt i beskrivelsen at man «må forvente» å bli angrepet, snarere enn «hvis man» blir angrepet. Målgruppene for 16 Mørketallsundersøkelsen

13 kyberangrep vil også variere utfra motivasjon og mulighet hos angriper. Uansett er trenden blitt at ingen må føle at de er forskånet fra kyberangrep. Mannen i gata kan laste ned gratis angrepsverktøy for å hevne en opplevd negativ saksbehandling i kommunen, som et ekspempel. Ny teknologi skaper også sikkerhetsmessige utfordringer. Bring your own device (BYOD). Hva skal den ansatte få lov til å bruke i arbeidssammenheng av mobiltelefoner, nettbrett, minnepinner og PCer. BYOD er en trend som er stadig økende. Har man jobbmobil har man gjerne også privatmailen på denne i tillegg til jobbmail, og vice versa. Hvor setter man grensen, og hva skal man innføre av sikkerhetstiltak. Skytjenester. Hva lagres og kommuniseres i skyen er viktig å ha oversikt over. Hvilke sikkerhetsutfordringer er det man står ovenfor; kontrollspørsmålet må være om det er greit at informasjonen som lagres og/eller kommuniseres kommer på avveier? Hvis ikke, må man vurdere om man kan bruke skytjenester. Big Data. All informasjonen som florerer på internett, kan sammenstilles og brukes enten i forretningsøyemed, eller som informasjon til målrettede angrep. BIG DATA er begrepet på all informasjonen som legges igjen på nettet daglig og sammenstilles i mønstre og resultater av forskjellige slag. Søk på nett, bompassering, bruk av bankkort, alle digitale spor utgjør informasjonen i BIG DATA. Utfordringer knyttet til sammenstilling av informasjon er blant annet ivaretakelse av personvernet til den enkelte. Følgende sikkerhetsutfordringer fremheves og må følges nøye med fremover 17 : Spionasje og kriminalitet gjennom bruk av IKT Nettbankkriminalitet, informasjonstyveri og hærverk på nett Manglende sikkerhetsoppdateringer på systemer Store datamengder og nye lagringsløsninger Økt bruk av private enheter i arbeidssammenheng Industrisikkerhet Psykisk helse, økonomiske forhold og tilknytning til fremmede stater i forbindelse med sikkerhetsklareringer 3.8 Trusselaktørene Trusselaktørene er globale og omtales ofte som; Hactivister - som ønsker å spre et politisk budskap Kriminelle - som har økonomiske motiver Terrorister - som ønsker å spre frykt Fremmede stater - som ønsker tilgang til informasjon, kan ha ønske om å desinformere og manipulere. 17 Kilde: Trusler og sårbarheter Samordnet vurdering fra E-tjenesten, NSM og PST. 11

14 I tillegg er det alltid en risiko for at egne ansatte med forskjellig motivasjon vil være ute etter å skade arbeidsgiver, tilegne seg informasjon eller på annen måte utnytte sin kompetanse på en måte som kan gjøre stor skade for arbeidsgiver. Alle disse truslene er tilsiktede handlinger. Et trusselbilde vil også inneholde fare for utilsiktede hendelser. Dette er hendelser som skader virksomheten, men som ikke er utført ut fra kriminelle eller onde hensikter. De utilsiktede hendelsene må vurderes på lik linje med de tilsiktede truslene. Eksempler på dette er naturkatastrofer, menneskelige feil (ansatte og eksterne), feil i tekniske komponenter eller telekommunikasjonskabler som graves over i forbindelse med bygging, veiutbedring etc. Det kan også være at man begår lovbrudd pga manglende oversikt over hvilke lover som gjelder for egen virksomhet, om hvordan f.eks. behandle informasjon utfra personvernet. Figur 2Trusselbildet 3.9 Tilsiktede handlinger Tilsiktede handlinger er ofte økonomisk motiverte handlinger, men det kan gjerne være på bakgrunn av poltiske eller idealistiske holdninger. Nedenfor følger en oversikt over noen av de aktuelle truslene som kan ramme en virksomhet. Oversikten kan benyttes som en liste ved gjennomgang av virksomhetens trusselbilde. 12

15 Tilsiktede handlinger Logiske trusler Fysiske trusler Hacking Alle er et mål. Flere målrettede angrep enn tidligere. Sosial manipulering er ofte en kombinasjon som brukes sammen med datainntrengning for å nå mål, enten det er virksomhet eller enkeltperson. Spionasje viktig å tenke industrisikkerhet. Norge har mye industri basert på høyteknologiske løsninger Kriminalitet nettbankkriminalitet, stjeling av informasjon på digitale løsninger. Økonomiske motiver. Krigshandlinger/terrorisme nye metoder for krigføringer. Angrep på nett kan også være politisk motiverte handlinger, såkalt hacktivisme. Sabotasje kan være hevnaksjoner mot tidligere arbeidsgiver, tilfeldigheter, eller annen form for uvilje mot enkeltpersoner eller virksomheter som medfører en trang til å ødelegge/endre data eller kommunikasjonen. Hærverk kan gjøres ved å slette/endre filer, fjerne programvare ol. Direkte angrep på datamaskiner, utstyr, kommunikasjons-linjer/kabler, programvare, kontrollmekanismer, telesentraler og strømforsyning/trafostasjoner. Utføres manuelt med eller uten hjelpemidler. EMP-angrep mot datasentraler, kontrollstasjoner. Fysiske angrep på digitale komponenter som lagringsmedier, CD, DVD, mobile enheter som nettbrett, telefon eller minnepinner. Angrep på støttefunksjoner som styringssystemer til ventilasjonsanlegg, strømforsyning, vannkjøling etc. Angrep på mennesker. Nøkkelpersoner settes ut av spill. Tabell 1Tilsiktede handlinger - logiske og fysiske 13

16 Eksempler på tiltak som reduserer risiko for tilsiktede handlinger. Trussel Manglende bruk av unike identer/passord og roller til brukere øker fare for informasjon på avveier. Tiltak Tilgangskontroller; Etabler gode rutiner for passord. Alle brukere skal ha egne identer. Roller i systemene styres av brukernes arbeidsoppgaver; «need to do- need to know»-prinsippet. Fjern brukere som ikke lenger skal ha tilgang til systemer. Manglende installert og oppdatert antivirus medfører risiko for dataangrep og informasjon på avveier. Manglende kontroll på tilgang og informasjonsflyt eksternt kan medføre informasjon på avveier, og at man ikke oppdager uvedkommende i sine systemer. Manglende kontroll over hvor informasjon lagres og hvilken informasjon som lagres, kan medføre brudd på lover og regler og informasjon på avveier. Antivirus; Etabler gode rutiner for oppdatering av antivirus. Brannmur; Ivareta kontroll og gjennomgang av logger over datatrafikk gjennom brannmur. Mobile enheter; Ha kontroll over mobile enheter som smart-telefoner og nettbrett. Lag klare regler for hva de kan brukes til og hva som kan lagres på dem. Etabler rutiner for passord, fjernsletting og sporing. Manglende rutiner for å ivareta hendelser medfører risiko for at de ikke oppdages og/eller rapporteres. Hendelseshåndtering; Etabler godt rutiner for å ivareta hendelser. Gjør de ansatte kjent med hva som er sikkerhetshendelser, hvem de skal rapportere til og hva. Ha også rutiner for evt. lovbrudd og anmeldelse slik at man vet hva slags informasjon man må beholde og hvordan denne skal behandles. Manglende rutiner for bruk av virksomhetens e- post og internett kan føre til privat bruk som ikke er forenelig med virksomhetens regler og instrukser. Manglende innføring i oppførsel og informasjonsdeling på sosiale medier kan medføre at de ansatte deler informasjon som er taushetsbelagt eller innehar feil. E-post, internett og sosiale medier; Etabler retningslinjer for hva og hvordan de ansatte skal bruke virksomhetens e-post, internett og sosiale medier. Iverksett datadisiplinerklæringer som de ansatte må undertegne, gjerne med konsekvenser ved brudd. Tabell 2 Eksempel tiltak - tilsiktede handlinger 14

17 3.10 Utilsiktede handlinger Nedenfor følger en oversikt over enkelte utilsiktede handlinger som kan ramme en virksomhet. Disse handlingene er ikke utført med overlegg, og skyldes ofte mangel på kompetanse eller manglende forståelse for systemene. De fleste av disse truslene er interne, slik at en god oversikt og forståelse over egen virksomhet vil kunne bidra til at man avdekker sårbarhetene og iverksetter tiltak. Oversikten kan benyttes som en liste ved gjennomgang av virksomhetens trusselbilde. Logiske trusler Fysiske trusler Utilsiktede handlinger Menneskelige feil kan medføre; feil data i systemer endring av data får tilgang til informasjon man ikke har tjenstlig behov for Informasjon på avveier. Menneskelig feil kan også være årsak til; systemsvikt manglende oppdatering av programvare overbelastning av nett leverandørsvikt styringssvikt. Komponenter som svikter, har gått ut av produksjon eller supporteres ikke lenger. Manglende kunnskap eller oversikt over lover og regler som gjelder behandling og lagring av informasjon, kan medføre lovbrudd. Svikt i leveranse fra underleverandører, f.eks. manglende tilgang til server. Naturhendelser som flom, ras kan medføre svikt i strømtilførsel og/eller datakommunikasjon. Brann, oversvømmelse av datarom, tekniske komponenter, harddisker. Manglende kunnskap og/eller oversikt over lover og regler som omhandler beskyttelse av utstyr og komponenter, kan medføre lovbrudd. Kabler kan graves over i forbindelse med bygging, veiutbedringer ol. Sprengningsarbeid kan medføre brudd i kabler, fysiske ødeleggelser av komponenter og utstyr. Bortfall av nøkkelpersoner. Sykdom, influensaepidemier og lignende kan medføre høyt sykefravær, som påvirker driftssituasjonen. Svikt i leveranser av tekniske komponenter. Lang leveringstid. Tabell 3 Utilsiktede handlinger - logiske og fysiske 15

18 Eksempler på tiltak som reduserer risiko for utilsiktede handlinger. Trussel Avvikende IT-utstyr og arkitektur i henhold til tjenester som skal leveres Manglende gjennomgang av trusselbildet og de tiltak som allerede finnes i organisasjonen, kan medføre at man ikke har tilstrekkelige tiltak til å ivareta hendelser, eller at et område har for kostbare/ressurskrevende tiltak i forhold til risiko. Manglende ressurser og tildeling av ansvar medfører usikkerhet og sårbarhet i forhold til kontinuitet i drift. Tiltak Etabler og vedlikehold en IT-strategi som ivaretar kobling mellom IKT og forretningsdrift Gjennomfør risikovurdering og analyser hendelser som kan inntreffe. Bruk statistikk og involver alle nivåer i organisasjonen for å gjøre hendelsene mest mulig realistiske. Gjennomfør ny analyse ved endrede forutsetninger eller minimum en gang årlig. Ledelsen bør godkjenne akseptabelt risikonivå. Tenk også det utenkelige! Ha planer for kontinuitet som sikrer stabil drift i forhold til ferieavvikling og sykdom. Fordeling av ansvar gjenspeiles i organisasjonskart og instrukser. Manglende avtaler med leverandørene kan medføre at de ikke leverer ønsket utstyr eller tjeneste, dette gjelder både ved ordinær drift og i en beredskapssituasjon Manglende overordnet policy på sikkerhet kan medføre at sikkerhet i systemer og tjenester ikke blir overholdt i henhold til lover, regler og interne instrukser. Etabler SLA med leverandører. Etabler egne avtaler for beredskap der det er nødvendig. Vedlikehold og ha jevnlig gjennomgang av leverandøravtaler. Ha register som viser når avtaler er inngått hvem som er ansvarlig og hva de gjelder. Etabler en sikkerhetspolicy og gjør denne kjent i organisasjonen. Denne skal ha et overordnet nivå, være retningsgivende for instrukser og produkter/tjenester med hensyn til sikkerhet. Etabler også en håndbok for informasjonssikkerhet som er kjent for alle ansatte. Manglende planverk ved katastrofer og andre uforutsette hendelser bidrar til økt usikkerhet, lenger ute- av drift situasjon og manglende ansvarsforhold. Manglende rutiner og prosedyrer for lagring av informasjon, medfører risiko for at informasjon blir gjort tilgjengelig for uvedkommende, eller at man ikke finner informasjonen når man trenger den. Det kan også være risiko for at man ikke lagrer informasjon i henhold til lovpålagte krav. Manglende informasjon om hvilken informasjon som skal eller bør slettes kan medføre brudd på lover, som f.eks. Personopplysningsloven. Manglende kunnskap om hvilke dokumenter og informasjon som kan kastes i vanlig papiravfall, hva som må makuleres og hva som behandles etter Etabler og iverksett planer for beredskap-/katastrofer. Planverket holdes oppdatert ved endringer i personell, utstyr og lokasjoner. Øvelse gjøres jevnlig og minimum en gang pr. år. Ha kjente og oppdaterte rutiner for lagring av dokumenter. Iverksett og oppdater roller og ansvar i systemene, slik at tilgang styres ut fra tjenstlig behov. Gjennomfør opplæring slik at lagring skjer i henhold til lovpålagte krav og interne instrukser. Innfør instrukser for sletting av dokumenter. Innfør instrukser for makulering og avfallshåndtering. Gjør instruksene kjent i organisasjonen og påse at instruksene er i henhold til gjeldende lovverk og interne retningslinjer. Utnevn ansvarlige slik at ved usikkerhet, vet man hvem man skal kontakte. 16

19 særlige regler kan medføre informasjon på avveier, brudd på lover og regler og uheldig publisitet. Manglende kunnskap om behandling av informasjon kan medføre brudd på lover og at man ikke har tilstrekkelig rutiner for å ivareta visse typer dokumenter. Eller at man bruker for mye ressurser på informasjon som ikke er viktig. Manglende instrukser når det skjer uforutsette hendelser kan bidra til utilgjengelige systemer. Manglende back-up eller back-up som ikke fungerer (restore) kan medføre at informasjon går tapt. Lokasjoner kan blir skadet som følge av naturkatastrofer eller uhell (brann, flom etc). Hardware kan feile eller bli ødelagt som følge av hærverk eller uhell/naturkatastrofer. Bortfall av kommunikasjon medfører at tjenester ikke kan utføres/leveres. Manglende strømtilførsel kan medføre bortfalle av tjenester og manglende tilgang til systemer. Manglende kontroll med strøm, vannskade, brann og temperatur kan medføre bortfall av tjenester. Manglende kontroll med versjoner og lisenser kan medføre brudd på avtaler. Oppdatering av programvare uten at man kjenner konsekvenser og hvilke systemer som snakker sammen kan bidra til unødvendig «nedetid» og feilhåndtering. Etabler prosedyrer for verdivurdering/klassifisering av informasjon. Gjør dette kjent i organisasjonen. Etabler planer som sikrer kontinuitet. Etabler rutiner for lagring av back-up medier på sikkert sted utenfor datarom, og kontroller jevnlig at de fungerer. Vurder om det er nødvendig med avtaler om reserveløsninger med leverandører og om man har behov for reservelokasjoner. Inngå beredskapsplaner med leverandør av kommunikasjonslinjer. Ha god oversikt over hvem som har ansvar for hva, internt i bygge og eksternt mellom lokasjoner/leverandør. Iverksett tiltak som sikrer tilstrekkelig strømtilførsel, f.eks. USP og aggregat. Iverksett planer og oppfølging av fysiske lokasjoner, slik at man reduserer risiko for vannskader, brann og liknende hendelser. Etabler og vedlikehold register for versjoner og lisenser. Oppdatering av versjoner skal skje i henhold interne prosedyrer og leverandørers anbefalinger. Oppdatert programvare reduserer risiko for dataangrep. Programvare som er utdatert øker risiko for dataangrep via sårbarheter. Manglende ivaretakelse av ønskede endringer fra brukere kan medføre feil ressursbruk og økt risiko for svakheter og feil funksjonalitet. Manglende oppdatering av endringer som gjøres i avtaleverk, systemer, programvare og lokasjoner- /kommunikasjon medfører at planer og instrukser ikke gjenspeiler virkeligheten, bidrar til økt risiko for «nedetid». Manglende ressurser eller avhengighet av nøkkelpersoner gjør en virksomhet sårbar. Etabler planer for endringsønsker og hvordan disse ivaretas. Ha instrukser for oppdatering av gjeldende planverk ved gjennomføring av endringer. Ha planer for stedfortredere ved evt. bortfall av nøkkelpersonell. Rutiner for oppdaterte instrukser og planer 17

20 bidrar til at andre kan overta på kort varsel. Manglende kompetanse øker risikoen for at utilsiktede feil gjøres. Iverksett opplæring slik at man sikrer at arbeidsoppgaver gjøres ensartet og at ansatte vet hvordan de skal opptre ved hendelser. Rett person på rett plass. Tabell 4 Eksempler på tiltak - utilsiktede handlinger 3.11 Regionale trusler Det er store forskjeller i hvordan en cybersikkerhetshendelse vil påvirke virksomhetene. Hvilke tiltak som skal iverksettes påvirkes også av hvor utsatt kommunen er for ras, flom og andre naturkatastrofer. Andre forhold som påvirker hvordan kommunen skal jobbe med cybersikkerhet kan være om kommunen huser private eller offentlige virksomheter som er en del av kritisk infrastruktur, eller som har produkter og tjenester som er attraktive for kriminelle eller fremmede nasjoner. Flere kommuner i Oppland har deler eller alle disse nevnte kategorier. For å redusere risiko for at hendelser skal bli katastrofale er det nødvendig å gjennomføre risikovurderinger, slik at man setter inn tiltak der det er nødvendig. Hendelser som kan påvirke digital kritisk infrastruktur og digitale samfunnskritiske funksjoner kan være tilsiktede handlinger eller utilsiktede handlinger, logiske eller fysiske, interne eller eksterne, ref. figur 1. DSB har i sitt risikobilde fra 2012 beskrevet flere tilsiktede og utilsiktede hendelser som omfatter Oppland fylke og som kan påvirke digitale linjer, komponenter og systemer som er virksomhetskritiske når det gjelder kritisk infrastruktur og samfunnskritiske funksjoner; Figur 3 Fra flommen juni 2013 Røyislimoen Utilsiktede hendelser Internt i en virksomhet kan det oppstå hendelser som er forårsaket av menneskelig feil. Det er ikke onde hensikter bak slike handlinger, det kan være mangel på kompetanse og kunnskap om systemer, manglende oppdateringer som gjør systemer sårbare for angrep og lignende. Bevisstgjøring i virksomheten er også viktig, slik at man ikke omgår interne retningslinjer fordi «ingen andre gjør det». Det er ikke onde hensikter bak slike handlinger, men skyldes mangel på opplæring, gode ledere som forbilder og bevisstgjøring om konsekvenser. Fysiske utilsiktede hendelser kan være feilkobling av kabler internt, det kan være naturkatastrofer hvor flom ødelegger datautstyr/datarom eller ødelegger kommunikasjonskabler. Naturhendelser Store nedbørsmengder og flom har blitt vanlig de senere årene, og særlig Gudbrandsdalen har blitt utsatt for dette. I 2011 og i 2013 har flom medført store materielle ødeleggelser i disse områdene. Særlig telekommunikasjon er utsatt for slike naturhendelser. Stormen Dagmar viste at kraftige vindkast kan påvirke IKT da strømførselen ble brutt. Mange trær som veltet over høyspentledninger, og oppryddingsarbeidet tok flere dager. 18

21 I følge DSBs risikobilde må man forvente mer nedbør, større risiko for flom og høyere temperaturer i årene som kommer. Særlig gjelder dette små, bratte elver og bekker i tettbygde strøk, hvor man vanligvis ikke ville tiltenkt flom kunne forekomme. Tilsiktede hendelser Terror kan skje også i de skandinaviske land. Dette viser blant annet handlingene 22. juli Kyberangrep kan også forekomme i Oppland. Industrimiljøet på Raufoss har de siste årene aktivt gått ut og fortalt at de har vært utsatt for kyberangrep. Det er ingenting som tilsier at virksomheter eller kritisk infrastruktur i Oppland ikke er mål for kyberangrep. De senere årene har prosess- og kontrollsystemer blitt mer utsatt for angrep da disse systemene nå er mer og mer integrert med internett og kommuniserer med andre systemer. Kyberangrep er alvorlige og kan påvirke alt fra strømtilførsel, vanntilførsel og trafikksignaler og helseinstallasjoner. Bransjer og samfunnsfunksjoner I Oppland er vi spesielt sårbare i forhold til følgende sektorer og samfunnsfunksjoner; Landbruk og matforsyning I landbruket er bruk av IKT sterkt økende. Med ny teknologi og nye IKT-systemer er det viktig at landbruket tar informasjonssikkerhet på alvor. Nye IKT-systemer kan feile, og feil og sårbarheter kan gå ut over korrektheten av informasjon og tilgjengeligheten til systemene. Dersom man blir avhengige av systemene gjelder det å sikre at manuelle systemer fortsatt vil fungere, og å teste disse. Feil og sårbarheter i IKTsystemene må meldes leverandøren og rettes. Det er viktig at kundene stiller krav til sikkerhet til leverandøren av systemene. Er systemene knytte til internett vil de være sårbare for hacking, manupulasjon og andre trusler som andre systemer er. Andre systemer innen matforsyningen som kan være mer sårbare ved bruk av IKT, kan være f eks kjølesystemer til matforsyning. Desom IKT-systemene svikter kan kjølesystemer svikte og mat kan gå tapt. Turisme Dagens turister bestiller aktiviteter og tjenester over Internett. For turistnæringen vil tilgjenglighetsaspektet være vesentlig. Sikkerhet på systemene som ivaretar robusthet og stabilitet er viktig. Systemer som behandler personopplysninger, som f eks kundedata må sørge for å sikre konfidensialitet og overholde kravene i personopplysningsloven. Det er også viktig å sikre seg mot tilsiktede handlinger som tjenestenektangrep og virusangrep. Nettsider som ikke er tilgjengelige kan medføre tap av kunder og/eller tillit. Viktig at leverandøravtaler sikrer tilgjengelighet og lav nedetid. Offentlig sektor I offentlig sektor er det svært mange IKT-systemer. De fleste av truslene listet over er aktuelle. Det samme er tiltakene. 19

22 Offentlig sektor er sårbare overfor manglende tilgjengelighet og integritet av data pga manglende integrasjon av systemer i de ulike etater og nivå i det offentlige. Om data må registreres i både kommunale systemer og i fylkeskommunale systemer vedrørende samme sak, er sannsynligheten for at data blir feil større enn dersom systemene hadde vært integrerte. Personopplysninger behandles i de fleste offentlige systemer, og krav til sikring i hht personopplysningsloven står sentralt. Manglende autorisasjon og tilgangsstyring er viktig i det offentlige. Det er også utfordringer og forskjeller i forhold til hvordan IT-driften er organisert. Drifter kommunen IT selv, er de en del av et interkommunalt samarbeid eller har de en privat driftsleverandør. Uansett er det ledelsen som er ansvarlig og må sørge for at informasjonssikkerheten ivaretas. Kommuneundersøkelsen Nordsec , viser at antall brukerrelaterte sikkerhetshendelser forekommer oftere jo mindre fokus på opplæring i informasjons-sikkerhet virksomhetene har. Flere virksomheter som tilby lite opplæring til ansatte opplever daglig hendelser som skyldes brukere, mens av de virksomheter som har fokus på opplæring i informasjonssikkerhet er det ingen som rapporterer at de opplever daglig hendelser som skyldes brukere. Tabell 5 Nordsec kommuneundersøkelse rapporterte hendelser Helse I helsevesenet kan svikt i informasjonssikkerheten i verste fall medføre tap av liv og helse. Det er viktig at tiltak i helseregisterloven og personopplsyningsloven overholdes. Disse omhandler i hovedsak sikring av konfidensialitet. Brudd på tilgjengelighet kan være svært skadelig i helsevesenet. Operasjoner har blitt utsatt pga manglende tilgang til IKT-systemer. 18 Undersøkelse gjennomført i Sverige, Norge og Danmark av NorSIS, KS og KINS i Norge 20

23 Tap av integritet kan også være livskritisk. Dersom IKT-systemer blir manipulert eller utilsiktet beregner data feil, kan dette i verste fall medføre tap av liv. Risikovurderinger og testing av systemer er viktige. SCADA- og styringssystemer Viktige samfunnsfunksjoner som strøm og vann styres av såkalte prosess- og kontrollsystemer; SCADA-systemer. Trusselbildet for slike systemer har endret seg drastisk de senere år. Økt integrasjon med andre interne systemer og oppkobling mot internett medfører et helt annet trusselbilde enn når systemene var helt «lukkede». I tillegg er mange tjenester blitt «digitale» slik at man er avhengig av IKT for at viktige samfunnsfunksjoner fungerer. Særlig gjelder dette digital kritisk infrastruktur. Sårbarheter i disse systemene kan gjelde både energiforsyningen med f eks styring av dammer og i industrien. 21

24 4. Viktige tiltak I det etterfølgende er noen tiltak for å bedre cybersikkerheten valgt ut og beskrevet. For nærmere beskrivelse av tiltakene anbefales å lese mer hos eller i standardene ISO og ISO/IEC Verdivurdering/klassifisering For å ha kunnskap om hvilke IKT-systemer og informasjon virksomheten har og behandler, hvilke avhengigheter som finnes må det gjennomføres en verdivurdering (klassifisering) av IKT-systemer og informasjon. Ut fra dette kan man vurdere hvilke systemer og informasjon man skal sikre og hvilke tiltak man skal sette inn. Hvilken informasjon som til en hver tid vil ha et beskyttelsesbehov, vil aldri være helt statisk over tid. Det vil alltid være et tilsig av ny informasjon som bør beskyttes, samtidig som behovet for beskyttelse av tidligere ansette verdier kan falle fra eller bli redusert. Det finnes informasjon som bare trenger beskyttelse «over natten», mens annen informasjon kanskje må beskyttes i mange tiår. En verdivurdering kan likestilles med en inventarliste for fysiske eiendeler. Kritikalitet kan beskrives på flere måter. NSMs veiledning 19 for verdivurdering anbefales som grunnlag for en grundig jobb med klassifiseirng. Dersom man ikke har gjennomført dette tidligere kan det gjøres enkelt. Kritikalitet på egenskapene til informasjonssikkerhet (tilgjengelighet, integritet og konfidensialitet), kan f eks kodes med bruk av tall, bokstaver eller koder («personopplysninger», «Hemmelig» mv). Rent praktisk anbefales et tabellarisk oppsett, f eks : IKTsystem Lønn Systemeier Ola (leder HR) Beskrivelse av systemet Lønnssystem for lønn til ansatte Tilgjengelighet Integritet konfidensialitet 1 uke Kritisk P-oppl Det finnes noen enkle spørsmål som kan gi grunnlag for en nærmere vurdering av informasjonens verdi: Hvordan kan informasjonen misbrukes? Hvem kan misbruke informasjonen? Hva blir konsekvensen dersom informasjonen blir tilgjengelig for uvedkommende? Kan informasjonen påføre skade for andre? I hvilket tidsrom har informasjonen verdi? For å kunne etablere nødvendige prosedyrer for å ivareta sikkerheten i systemene samt forsvarlig drift må virksomheten foreta en kartlegging av de enkelte informasjonssystemer med henblikk på kritikalitet. Kritikaliteten må vurderes både for virksomheten som sådan og 19 Nasjonal Sikkerhetsmyndighet, Veileder i verdivurdering 22

25 for dens brukere. Det skal også kartlegges hvilke andre systemer de klassifiserte systemene er avhengige av. Disse skal ha samme klassifisering og nivå for akseptabel risiko som de kritiske systemene. For hver aktuell klassifisering skal ledelsen fastsette nivå for akseptabel risiko for konfidensialitet, integritet og tilgjengelighet (tidsintervall for kritisk ved bortfall). Med utgangspunkt i klassifiseringen av informasjonssystemene bør virksomheten også etablere katastrofe-/beredskapsplaner. Eksempler kan være: Alternativ drift uten bruk av informasjonssystemene. Alternativ drift med delvis støtte fra informasjonssystemene. Planverket med tilhørende prosedyrer bør minimum testes årlig. Virksomhetens ledelse skal for øvrig sørge for sikkerhetskopiering av informasjon som er nødvendig for gjenoppretting av normal bruk. Sikkerhetskopier skal oppbevares avlåst og brannsikret, og adskilt fra driftsutstyret. Det skal jevnlig foretas test av at sikkerhetskopiene er korrekte og kan tilbakeføres. Basert på verdivurdering og klassifisering gjennomfører man så en risikovurdering av de IKTsystemene som er vurdert som mest kritiske for å opprettholde grunnleggende tjenester. Med utgangspunkt i virksomhetens oversikt og kartlegging gjennom verdivurdering kan man prioritere sine systemer etter kriterier gitt av ledelsen for virksomheten. Det kan til eksempel se slik ut; Prioritet 1: Fare for liv og helse Prioritet 2: Alvorlige konsekvenser, som; tapt tillit hos kunde/innbygger betydelig merarbeid for personell tapt effektivitet Prioritet 3: Mindre alvorlige konsekvenser. For hver av de 3 prioriteringene skal ledelsen fastsette akseptkriterier for tilgjengelighet, som et minimum hva som er akseptabel avbruddstid. 23

26 4.2 Risikovurdering En risikovurdering består av å kartlegge uønskede eller ønskede hendelser og trusler, vurdere/analysere deres risiko og identifisere og prioritere tiltak. Tiltakene må være i henhold til virksomhetens ønske og aksept for risiko. Risiko kan derfor inneholde både muligheter og trusler for å lykkes. Det anbefales at man bruker de samme maler for risikovurderinger, som for andre tjenesteområder. Akseptkriterier Ledelsen må bestemme hvilke konsekvenser og hvilke tap man kan akesptere i forhold til IKT. Dette må ses i sammenheng med de totale akseptkriteriene. Kartlegging av uønskede hendelser/ trusler Uønskede hendelser kan føre til at fylket som helhet ikke får utført sine tjenester som følge av feil eller mangler ved kritisk infrastruktur eller samfunnskritiske funksjoner. Utdrag fra NOU 2013:2, Hindre for digital verdiskapning Problemet med denne situasjonen er at norske virksomheter både mangler forståelse for risikobildet og i noe grad mangler intern kompetanse til å løse sikkerhetsutfordringene. Derfor tvinger det seg frem et økt behov for sterkere offentlig innsats og koordinering av de offentlige sikkerhetsaktørene. De fleste norske virksomheter er små. De vil i all hovedsak være avhengige av leverandører av IKT-tjenester. Virksomhetene har i mange tilfeller lav bestillerkompetanse og krav til informasjonssikkerhet ved innkjøp og løpende drift kan bli nedprioritert.infrastrukturtjenester som helse, kraftsektoren, kommunikasjonsnettene, vann og avløp eller finanssektoren kan sette samfunnet ut av spill En oversikt over noen av de viktige generiske og regionale truslene er kort beskrevet i dette dokumentet. Det er imidlertid viktig å følge med på trusselbilde løpende. Informasjon kan skaffes fra Norsk senter for informasjonssikring, og fra Nasjonal Sikkerhetsmyndighet Vurdering av risiko Etter å ha kartlagt mulige uønskede hendelser utfører man en risikoanalyse; sannsynligheten for at hendelsen skjer, samt hvilke konsekvenser/skader som inntreffer hvis hendelsen skjer. Mange hendelser virker å være helt usannsynlige, men dersom de har stor konsekvens er det viktig å behandle de alvorlig, og se på ulike tiltak for å demme opp mot truslene. Hvor sannsynlig er det at datakommunikasjonen brytes? Det kan skyldes flom naturkatastrofer, eller utilsiktede handlinger som gravearbeider og feilmontering, feil i komponenter eller tilsiktede handlinger som hærverk, kriminalitet eller terror. Ved å analysere disse tre elementenes sannsynlighet og konsekvens har man analysert og vurdert hendelsens risiko. 24

Utredning Cybersikkerhet - trusler, trender og tiltak

Utredning Cybersikkerhet - trusler, trender og tiltak Utredning Cybersikkerhet - trusler, trender og tiltak Vedlegg til Regional plan for samfunnsikkerhet og beredskap 2014-2017 Cybersikkerhet Oppland fylke Dette dokumentet gir en innføring i trusler, trender

Detaljer

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN? Bente Hoff Seksjonssjef Strategisk IKT-sikkerhet NSM SLIDE 1 Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og

Detaljer

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling

Detaljer

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet

Detaljer

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER Bergen, september 2017 ved HelseCERT HELSECERT ER HELSE- OG OMSORGSSEKTORENS NASJONALE SENTER FOR INFORMASJONSSIKKERHET HELSECERTS OPPGAVE ER Å ØKE SEKTORENS EVNE

Detaljer

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør Felles journal Fra et samfunnssikkerhets- og beredskapsperspektiv Elisabeth Longva, avdelingsdirektør 4. mai 2017 DSB (Direktoratet for samfunnssikkerhet og beredskap) Samordningsansvar på nasjonalt nivå

Detaljer

Trusler, trender og tiltak 2009

Trusler, trender og tiltak 2009 Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring Hvordan kan vi være til nytte? Internett har endret oss Trusselaktører / fienden Trusselaktører Mål Evne

Detaljer

Sikkerhet og informasjonssystemer

Sikkerhet og informasjonssystemer Sikkerhet og informasjonssystemer IFEA 19.10.2011 Datasikkerhet i industri og offentlig infrastruktur. Helge Rager Furuseth seniorrådgiver, siv.ing. Avdeling for sikkerhetsforvaltning Nasjonal sikkerhetsmyndighet

Detaljer

Strategi for Informasjonssikkerhet

Strategi for Informasjonssikkerhet Strategi for Informasjonssikkerhet Vedtatt 2015 Informasjonssikkerhet og personvern en naturlig del av Bergen kommune Side 1 av 8 Innholdsfortegnelse Sammendrag 3 Visjon 3 Innledning 4 Begreper 5 Nasjonalt

Detaljer

3.1 Prosedyremal. Omfang

3.1 Prosedyremal. Omfang 3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK Byrådssak 1191 /15 Klassifisering av informasjonssystemer i Bergen kommune LIBR ESARK-1727-201512221-1 Hva saken gjelder: Byråden for finans, eiendom og eierskap legger i denne saken frem en rapport som

Detaljer

Risikovurdering for folk og ledere Normkonferansen 2018

Risikovurdering for folk og ledere Normkonferansen 2018 Risikovurdering for folk og ledere Normkonferansen 2018 Åsmund Ahlmann Nyre Informasjonssikkerhetsrådgiver Helse Midt-Norge IT Risiko «Effekten av usikkerhet knyttet til mål» (ISO 27001) «Antatt sannsynlighet

Detaljer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD Mandat informasjonssikkerhet Avdelingsdirektør Arne Lunde Uh-avdelingen KD Definisjoner Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Detaljer

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE - TRUSSEL- OG SÅRBARHETSVURDERING. OBJEKTSIKKERHET- HVA BETYR DET I PRAKSIS? NBEF Frokostmøte Kristiansand Mandag 13.april

Detaljer

Nasjonalt risikobilde nye utfordringer

Nasjonalt risikobilde nye utfordringer Nasjonalt risikobilde nye utfordringer Avdelingsleder Erik Thomassen ESRA-seminar Endret risikobilde - sårbarhet i transportsektoren Onsdag 8. februar 2012 kl 11:30-15:30 1 Forebygge Redusere sårbarhet

Detaljer

Veileder til forskrift om sikring på jernbane Utvalgte tema, bransjemøte 12. juni Side 1

Veileder til forskrift om sikring på jernbane Utvalgte tema, bransjemøte 12. juni Side 1 Veileder til forskrift om sikring på jernbane Utvalgte tema, bransjemøte 12. juni 2019 12.06.2019 Side 1 Utvalgte tema tilsynserfaring Styringssystem o Informasjonssikring Identifisere informasjon Nødvendig

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

Hva er sikkerhet for deg?

Hva er sikkerhet for deg? Sikkerhet Hva er sikkerhet for deg? Foto: Rune Kilden Foto: Øystein Grue Bane NORs sikkerhetspolitikk Bane NOR arbeider systematisk for kontinuerlig forbedring av sikkerheten, for å unngå skade på menneske,

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management

Detaljer

Risiko og sårbarhet - et perspektiv. Per Brekke. avdelingsdirektør for analyse og nasjonal beredskap

Risiko og sårbarhet - et perspektiv. Per Brekke. avdelingsdirektør for analyse og nasjonal beredskap Risiko og sårbarhet - et perspektiv Per Brekke avdelingsdirektør for analyse og nasjonal beredskap Opplegg og regi Nasjonalt Risikobilde (NRB) Pers manglende risikoerkjennelse Kritisk infrastruktur kritiske

Detaljer

Leverandøren en god venn i sikkerhetsnøden?

Leverandøren en god venn i sikkerhetsnøden? Leverandøren en god venn i sikkerhetsnøden? Tone Hoddø Bakås, M. Sc., CISA, CRISC Seniorrådgiver Norsk senter for informasjonssikring Agenda Litt om NorSIS Noen utfordringer Trusler vi ser Tenk på Fallgruver

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Helhetlig arbeid med informasjonssikkerhet. Remi Longva Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke

Detaljer

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet NASJONAL SIKKERHETSMYNDIGHET 1 Versjonsnummer (1.1) per 09.04.2018

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Forvaltningsrevisjon IKT sikkerhet og drift 2017 Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8 INNHOLD

Detaljer

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet NASJONAL SIKKERHETSMYNDIGHET 1 Versjonsnummer (1.1) per 09.04.2018

Detaljer

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet NASJONAL SIKKERHETSMYNDIGHET 1 INNHOLD Innhold...3 Om Temarapporten...5

Detaljer

NorCERT IKT-risikobildet

NorCERT IKT-risikobildet 5/2/13 NorCERT IKT-risikobildet Aktuelle dataangrep som rammer norske virksomheter Torgeir Vidnes NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Torgeir.Vidnes@nsm.stat.no 1 Faksimile: www.aftenposten.no

Detaljer

Retningslinje for risikostyring for informasjonssikkerhet

Retningslinje for risikostyring for informasjonssikkerhet Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier IKT-risikobildet. Dataangrep mot kritisk infrastruktur og informasjon

Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier IKT-risikobildet. Dataangrep mot kritisk infrastruktur og informasjon IKT-risikobildet Dataangrep mot kritisk infrastruktur og informasjon NSR Sikkerhetskonferanse 2010 Dr.ing. Christophe Birkeland Avdelingsdirektør NorCERT Nasjonal sikkerhetsmyndighet INTRODUKSJON Cybercrime

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

TRUSLER, TRENDER OG FAKTISKE HENDELSER

TRUSLER, TRENDER OG FAKTISKE HENDELSER TRUSLER, TRENDER OG FAKTISKE HENDELSER Sikkerhet & Sårbarhet 05.05.2015, Marie Moe (NSM/SINTEF) SLIDE 1 AGENDA Trusler og trender: Hva ser vi? Faktiske hendelser: Hva skjer? Hendelseshåndtering: Hva kan

Detaljer

Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning

Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning Samfunnssikkerhetskonferansen 6. januar 2016 Ruth Østgaard

Detaljer

Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt IT-sikkerhet

Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt IT-sikkerhet Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt. 2.8.5 IT-sikkerhet Versjonsnummer: #.# Oppdatert dato: ##.##.#### Ansvarlig for Navn: vedlikehold av Telefon: planen:

Detaljer

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27 Forord Eldar Lorentzen Lillevik... 13 Forord... 15 Kapittel 1 Hva er datasikkerhet?... 17 1.1 Dagens situasjon... 18 1.2 Datasikkerhet... 25 1.3 Ledelse... 27 Kapittel 2 Trusler på internett... 31 2.1

Detaljer

OMRÅDER. ROS analyser sammenhenger

OMRÅDER. ROS analyser sammenhenger OMRÅDER Lov om kommunal beredskapsplikt 25.6.2010 Forskrift til loven datert 22.08.2011 Veileder til forskrift om kommunal beredskapsplikt februar 2012 NOU 2006:6 Plan og bygningsloven 01.07.2010 ROS analyser

Detaljer

NSM NorCERT og IKT risikobildet

NSM NorCERT og IKT risikobildet NSM NorCERT og IKT risikobildet NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Agenda! Om NSM og NorCERT! Om samarbeidet mellom EOS-tjenestene! Om IKT-truslene!

Detaljer

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL? CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL? Annette Tjaberg Assisterende direktør Nasjonal sikkerhetsmyndighet Oslo 14. november 2017 SLIDE 1 IKT-RISIKOBILDET SLIDE 2 DET

Detaljer

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening Angrepet mot Helse Sør-Øst Norsk sykehus- og helsetjenesteforening 2019-06-06 Om Helse Sør-Øst Helse Sør-Øst består av elleve helseforetak, hvorav ni leverer pasientbehandling Helseregionen leverer spesialisthelsetjenester

Detaljer

Krav til utførelse av Sikringsrisikovurdering

Krav til utførelse av Sikringsrisikovurdering Krav til utførelse av Sikringsrisikovurdering 1. Hensikt Forebygging av viljeshandlinger mot jernbanen handler om å beskytte de fysiske objektene vi har ansvaret for, informasjonen og mennesker som reiser

Detaljer

Hva kan vi gjøre med det da?

Hva kan vi gjøre med det da? TLP:AMBER Hackere og andre digitale trusler Hva kan vi gjøre med det da? Årskonferansen 2018 KS Bedrift Arthur Gjengstø Direktør BDO Sikkerhet og beredskap BDO Analyse og utredning Mobil 481 27 498, mail

Detaljer

Objektsikkerhet. Sikkerhetsloven gir krav til beskyttelse av både informasjon( 12) og objekt( 17b).

Objektsikkerhet. Sikkerhetsloven gir krav til beskyttelse av både informasjon( 12) og objekt( 17b). KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE - TRUSSEL- OG SÅRBARHETSVURDERING. OBJEKTSIKKERHET- HVA BETYR DET I PRAKSIS? NBEF Fagseminar Helsfyr hotell, Oslo Torsdag

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012

Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av IKT og betalingstjenester Seksjonssjef Frank Robert Berg Finanstilsynet Risikobildet

Detaljer

Spørreundersøkelse om informasjonssikkerhet

Spørreundersøkelse om informasjonssikkerhet Spørreundersøkelse om informasjonssikkerhet Vi gjennomfører en evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen og trenger svar fra deg som er fagperson for informasjonssikkerhet i

Detaljer

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund Hva skal vi snakke om? IT-sikkerhet et ledelsesansvar Trusler KRAV/BIA Kontinuitet og ROS Håndtering av IT-kriser

Detaljer

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18. januar 2018 JMFoto.no HVA ER INFORMASJONSSIKKERHET? Hva er informasjon?

Detaljer

Direktiv Krav til sikkerhetsstyring i Forsvaret

Direktiv Krav til sikkerhetsstyring i Forsvaret Direktiv Krav til sikkerhetsstyring i Forsvaret Forsvarssjefen fastsetter Direktiv Krav til sikkerhetsstyring i Forsvaret til bruk i Forsvaret Oslo, 10. desember 2010 Harald Sunde General Forsvarssjef

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET 1 NASJONAL SIKKERHETSMYNDIGHET 2 Sammendrag 3 Sammendrag_ Nasjonal sikkerhetsmyndighet Risiko 2015 gir en vurdering av sårbarheter i sam funnet, verdier som er verdt å beskytte og risiko for spionasje,

Detaljer

Sikring av kritiske samfunnsfunksjoner Erfaringer fra Norge

Sikring av kritiske samfunnsfunksjoner Erfaringer fra Norge Sikring av kritiske samfunnsfunksjoner Erfaringer fra Norge Erik Thomassen, avdelingsleder Analyse & utredning Work-shop Stockholm 28. oktober 2010 1 Samfunnssikkerhet og beredskap i Norge Sektoransvarsprinsippet

Detaljer

Informasjonssikkerhet - konsernprosedyre

Informasjonssikkerhet - konsernprosedyre Prosedyre Godkjent av: Boe, Karsten Side: 1 av 8 1. Mål og hensikt Konsernprosedyre Informasjonssikkerhet er forankret i konsernstandarder for hhv. sikkerhetsstyring og for kvalitetsstyring. Formålet er

Detaljer

Overordnede risiko- og sårbarhetsvurderinger i helse- og omsorgssektoren

Overordnede risiko- og sårbarhetsvurderinger i helse- og omsorgssektoren Overordnede risiko- og sårbarhetsvurderinger i helse- og omsorgssektoren Vegard Nore, beredskapsavdelingen i Helsedirektoratet Regional fagdag om ROS, FM M & R, Molde, 04.10.2017 1 Bakgrunnen Instruks

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

MØRKETALLSUNDERSØKELSEN 2010

MØRKETALLSUNDERSØKELSEN 2010 MØRKETALLSUNDERSØKELSEN 2010 Mørketallsundersøkelsen 2010 7. undersøkelsen Perduco AS i mai 2010. Tidsrommet for kartleggingen er 2009. Utvalg: Det er trukket ut 6000 virksomheter til undersøkelsen. Av

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

Helhetlig Risiko- og sårbarhetsanalyse for Alstahaug kommune

Helhetlig Risiko- og sårbarhetsanalyse for Alstahaug kommune Helhetlig Risiko- og sårbarhetsanalyse for Alstahaug kommune Besøksadresse: Strandgata 52 Rådhuset, 8805 Sandnessjøen Tlf. 75 07 50 00 www.alstahaug.kommune.no Helhetlig ROS gir: Oversikt over risiko-

Detaljer

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET 1 NASJONAL SIKKERHETSMYNDIGHET 2 Sammendrag Nasjonal sikkerhetsmyndighet Risiko 2015 gir en vurdering av sårbarheter i sam funnet, verdier som er verdt å beskytte og risiko for spionasje, sabotasje, terror

Detaljer

Samfunnssikkerhet endrede krav til bransjen?

Samfunnssikkerhet endrede krav til bransjen? Samfunnssikkerhet endrede krav til bransjen? Hvilke praktiske konsekvenser vil eventuelle endrede myndighetskrav som følge av Sårbarhetsutvalgets rapport og St.meld. nr. 22 kunne ha for nettselskapene?

Detaljer

Informasjonssikkerhet og digitalisering

Informasjonssikkerhet og digitalisering Informasjonssikkerhet og digitalisering - i nordiske kommuner Peggy S. Heie MBE, CRISC, CISA Norsk senter for informasjonssikring Norsk senter for informasjonssikring En del av den helhetlige nasjonale

Detaljer

Organisering av beredskapen- DSB som samordningsmyndighet. Elisabeth Longva, Avdelingsdirektør DSB 25. April 2017

Organisering av beredskapen- DSB som samordningsmyndighet. Elisabeth Longva, Avdelingsdirektør DSB 25. April 2017 Organisering av beredskapen- DSB som samordningsmyndighet Elisabeth Longva, Avdelingsdirektør DSB 25. April 2017 DSB (Direktoratet for samfunnssikkerhet og beredskap) Samordningsansvar på nasjonalt nivå

Detaljer

Mål og forventninger til beredskapen i Østfold. Trond Rønningen assisterende fylkesmann

Mål og forventninger til beredskapen i Østfold. Trond Rønningen assisterende fylkesmann Mål og forventninger til beredskapen i Østfold Trond Rønningen assisterende fylkesmann Hva må vi være forberedt på? https://www.youtube.com/watch?v=3foyzk33l0y&feature=youtu.be eller https://youtu.be/3foyzk33l0y

Detaljer

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

1 Våre tiltak. Norsk Interaktivs arbeid med personvern Til våre kunder Kristiansand 22. juni 2016 Norsk Interaktivs arbeid med personvern Norsk Interaktiv har alltid hatt fokus på personvern i våre systemer. Vi vedlikeholder hele tiden våre tjenester for å

Detaljer

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Policy for informasjonssikkerhet og personvern i Sbanken ASA Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer

Detaljer

Avhengighet til ekom-tjenester > ROS-analyser. Egil Arvid Andersen, Fagansvarlig Samfunnssikkerhet Telenor Norge

Avhengighet til ekom-tjenester > ROS-analyser. Egil Arvid Andersen, Fagansvarlig Samfunnssikkerhet Telenor Norge Avhengighet til ekom-tjenester > ROS-analyser Egil Arvid Andersen, Fagansvarlig Samfunnssikkerhet Telenor Norge Krise i telenettet er du forberedt? Er du kritisk avhengig av telekommunikasjon? Har du fordelt

Detaljer

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll

Detaljer

Dagens trusselbilde for IT-sikkerhetsbrudd og hvordan hanskes med det?

Dagens trusselbilde for IT-sikkerhetsbrudd og hvordan hanskes med det? Dagens trusselbilde for IT-sikkerhetsbrudd og hvordan hanskes med det? Hvordan finne riktig IT-sikkerhetsnivå for din virksomhet? Arild S. Birkelund Bjørn A. Tveøy Hva skal vi snakke om? IT-sikkerhet et

Detaljer

Kan du holde på en hemmelighet?

Kan du holde på en hemmelighet? Kan du holde på en hemmelighet? Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Hvis vi ser på Norge som en eiendom passer NSM på gjerdene, E-tjenesten følger med på dem som er utenfor gjerdet, og PST

Detaljer

Brudd på personopplysningssikkerheten

Brudd på personopplysningssikkerheten Brudd på personopplysningssikkerheten Hva skal vi snakke om? 1 2 3 4 Hva er brudd på personopplysningssikkerheten? Eksempler på avvik meldt til Datatilsynet Prosessen for å behandle avvik Personvernombudets

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET SLIDE 1 FORVENTNINGER TIL SIKKERHET I DEN DIGITALE VERDEN Oslo, 27. mai 2015 Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet 2 NSM NØKKELINFORMASJON 3 SIKRE SAMFUNNSVERDIER NSMS SAMFUNNSOPPDRAG Sikre samfunnsverdier

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn VEIEN MOT 2017 Innledning Kursen for de neste årene er satt. Strategien er et verktøy for å kommunisere retning og prioriteringer internt og eksternt. Strategien er et viktig styringsdokument, og skal

Detaljer

Sikkerhet innen kraftforsyningen

Sikkerhet innen kraftforsyningen Sikkerhet innen kraftforsyningen Dataforeningen, 12.11.2014 Arthur Gjengstø, NVE Strømmen fram til «stikkontakten» Færrest mulig avbrudd Raskest mulig gjenoppretting Verdien av strøm før og under strømbrudd

Detaljer

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 4 Nasjonal sikkerhetsmåned 6 tema Generell informasjonssikkerhet Beskytte

Detaljer

Lokalt beredskapsarbeid fra et nasjonalt perspektiv

Lokalt beredskapsarbeid fra et nasjonalt perspektiv Lokalt beredskapsarbeid fra et nasjonalt perspektiv Kommunens samordningsrolle og kommunal beredskapsplikt Gunnbjørg Kindem 23. oktober 2014 Lokalt beredskapsarbeid - og kommunal beredskapsplikt Skape

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Gode råd til deg som stiller til valg

Gode råd til deg som stiller til valg Bokmål Du er av interesse Gode råd til deg som stiller til valg Utarbeidet av Etterretningstjenesten, Nasjonal sikkerhetsmyndighet og Politiets sikkerhetstjeneste. á Innhold Norge - et tillitsbasert samfunn

Detaljer

Sikkerhetslov og kommuner

Sikkerhetslov og kommuner Sikkerhetslov og kommuner Krav, problem og mulige løsninger Odd Morten Taagvold 12. Juni 2013 Innhold 1. Trusselbilde sett fra nasjonale myndigheter 2. Hva er «Lov om forebyggende sikkerhet» (sikkerhetsloven)?

Detaljer

Helhetlig ROS i kommunal beredskapsplikt

Helhetlig ROS i kommunal beredskapsplikt Helhetlig ROS i kommunal beredskapsplikt Samfunnssikkerhet i Nord-Trøndelag, Snåsa, 21. august 2013 1 Dette kommer jeg innom Bakgrunn og formål for kommunal beredskapsplikt Om helhetlig ROS Hvordan komme

Detaljer

1. Forord. Lykke til videre med beredskapsarbeidet.

1. Forord. Lykke til videre med beredskapsarbeidet. 1. Forord Oppland fylkeskommune ser behovet for en «Veileder i krise- og beredskapsarbeid» til støtte for det arbeidet som skal gjennomføres i alle enheter. Veilederen er et arbeidsgrunnlag og verktøy

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI Informasjonssikkerhet og etikk hører dette sammen? DRI 1001 15.11.2005 Hva er informasjonssikkerhet Hvorfor informasjonssikkerhet hvilke trusler har vi og hvilke verdier bør vi beskytte Hvor og hvordan

Detaljer

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017 GDPR I Spekter, 13. desember 2017 Overordnet - Hva er «The General Data Protection Regulation» (GDPR)? Definerer regler for all behandling av personopplysninger i virksomheter (regulering av personvern,

Detaljer

NOU 2015: 13. Digital sårbarhet sikkert samfunn

NOU 2015: 13. Digital sårbarhet sikkert samfunn NOU 2015: 13 Beskytte enkeltmennesker og samfunn i en digitalisert verden 30. november 2015 Utvalgsmedlemmer Olav Lysne (leder) Janne Hagen Fredrik Manne Sofie Nystrøm Åke Holmgren Kristine Beitland Einar

Detaljer

NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse. Barbro Lugnfors Seksjon for informasjonssikkerhet

NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse. Barbro Lugnfors Seksjon for informasjonssikkerhet NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse Barbro Lugnfors Seksjon for informasjonssikkerhet 18.04.2018 Agenda 18. april Kl. 10:00 Velkommen! v/difi Foredrag v/pst Presentasjon av øvelse v/difi

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver Målgrupper Våre ekspertutvalg Kriminalitetsutvalget KRISINO undersøkelsen Informasjonssikkerhetsutvalget

Detaljer

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE Hva vi har fått til og hva gjenstår? Rikke Bødtker Skoe Senior rådgiver 8. Norske arkivmøte 8. april 2019 Foto: Thomas Widerberg

Detaljer