Risikovurdering av Public 360

Transkript

1 Risikovurdering av Public 360 Øivind Høiem Seniorrådgiver UNINETT AS SUHS-konferansen 2015

2 Informasjonssikkerhet som muliggjøreren! For at ny teknologi skal bli brukt må brukere ha tillit til den Informasjonssikkerhet er muliggjøreren for å ta i bruk ny teknologi Personopplysninger Pasientopplysninger Banktransaksjoner Forskningsdata og annen konfidensiell informasjon

3 Hva er risikovurdering? Når vi foretar en risikovurdering vil man: Identifisere uønskede hendelser, det vil si hendelser som kan føre til brudd på informasjonsverdienes konfidensialitet, integritet og tilgjengelighet Vurdere risikoen sannsynlighet kombinert med konsekvens for hver uønskede hendelse Evaluere og håndtere risikoen ved å foreslå beskyttelses- eller kontrolltiltak som begrenser risikoen

4 Hvorfor skal vi gjennomføre risikovurdering? Opprettholde tillit til et system eller en tjeneste Overholdelse av rettslige plikter Beskytte ansatte, studenter, innbyggere o.a. Opprettholde kvalitet Vedlikeholde oversikt over informasjonseiendeler Læring og spredning av kompetanse blant deltakerne i en ROS

5

6 ROS-workshop En ROS gjennomføres vanligvis som en workshop som kan ta noen timer eller opptil en dag Det bør være maksimum åtte deltakere Man bør ha en fasilitator som leder workshopen og en person som noterer ned det man kommer frem til Deltakerne bør ha kjennskap til tjenesten/systemet eller tilhørende infrastruktur, arbeidsprosesser osv. Gruppen kan være satt sammen av risikoeier, tjenesteeier, systemansvarlig, "superbruker" og tilsvarende roller. Man kan også ha med personer med generell kjennskap til for eksempel arkiv, økonomi, personal, IT, informasjonssikkerhet, eiendomsdrift eller studieadministrasjon

7 Sentrale ROSer av felles systemer i UH-sektoren Universiteter og høyskoler er pålagt gjøre risiko- og sårbarhetsvurderinger av sine systemer/tjenester Mange av systemene er felles systemer for flere institusjoner, med sentral konfigurasjon og drift, og lokal konfigurasjon og opplegg for bruk Det er laget en veileder som inneholder Sekretariat for informasjonssikkerhets anbefaling for risikovurdering av felles systemer Utfordringen er å sørge for at de behandlingsansvarlige er tilstrekkelig involvert, og at risikovurderingen er tilstrekkelig forankret i sektoren, uten at hver institusjon skal måtte gjøre sin egen risikovurdering av det sentrale systemet fra grunnen av

8 Ansvarsforhold Den enkelte institusjon har, som behandlingsansvarlig, det fulle ansvaret for at det gjøres en risikovurdering av det felles systemet institusjonen benytter. Institusjonen står ansvarlig overfor Datatilsynet, Riksrevisjonen og eieren KD. UNINETT har et ansvar for å forvalte de felles systemene på en slik måte at institusjonene kan oppfylle sine forpliktelser, og bidra til at sikkerheten blir ivaretatt.

9 Deltakere i felles ROS UNINETT inviterer, i samråd med prioriteringsråd et for systemet, til deltagelse i et behandlingsansvarlig-utvalg for en ROS Det oppgis hvilke roller/funksjoner som bør være representert i et utvalg for systemet. Institusjonene foreslår medlemmer UNINETT setter sammen utvalget Det bør være en viss bredde av institusjoner representert. Det må være en god sammensetning med hensyn på roller i forhold til systemet Utvalget forelegges prioriteringsrådet til uttalelse Utvalget opptrer som de behandlingsansvarliges representanter under ROS

10 ROS-workshop og -rapport UNINETT fasiliterer ROS-prosessen med bistand fra Sekretariat for informasjonssikkerhet i UH-sektoren UNINETT utarbeider ROS-rapport i samråd med utvalget I rapporten skilles det mellom funn ved det sentrale systemet som krever sentrale tiltak, og faktorer som har med lokal konfigurasjon og bruk å gjøre, som hver institusjon må ta inn i sin internkontroll. UNINETT forelegger ROS-rapporten for prioriteringsrådet og arbeidsutvalget

11 Tiltakshåndtering Prioriteringsrådet gjør en vurdering av funn og tiltak fra ROS-en. De vedtar hvordan ROS-en skal følges opp UNINETT oversender ROS-rapporten til institusjonene, med prioriteringsrådets vurderinger og vedtak vedlagt UNINETT og systemets arbeidsgruppe er ansvarlige for å gjennomføre de vedtatte tiltakene som gjelder det sentrale systemet Hver enkelt institusjon følger opp funn og tiltak fra ROS-en som angår lokal konfigurasjon og bruk

12 ROS-prosessen ROS-prosessen kan deles opp i følgende aktiviteter: 1. Kartlegging av informasjonsaktiva med verdivurdering 2. Identifisering av uønskede hendelser (risikoelementer) 3. Identifisering av eksisterende tiltak 4. Vurdering av risikonivå (konsekvens og sannsynlighet) 5. Tiltak i forhold til risikoelementer 6. Kategorisering og prioritering av tiltak 7. Godkjenning av tiltak 8. Iverksetting og oppfølging av tiltak Aktivitet 2 til 5 gjøres i en ROS-workshop

13 19. desember

14 Risikoområder Virksomhetens eierskap til IKT Overordnet informasjonssikkerhetspolicy og retningslinjer Organisering av informasjonssikkerhet Ressurser Kompetanse og ferdigheter Medarbeidersikkerhet Arkitektur Arbeidsprosesser Etablering og vedlikehold av portefølje Innovasjon Beslutningsprosesser ved IKT-investeringer Anskaffelse, utvikling og vedlikehold av IKT-systemer/tjenester Leverandørrelasjoner Håndtering av informasjonsverdier Tilgang- og adgangsstyring Drift og forvaltning Infrastruktur Programvare Datakommunikasjonssikkerhet Kryptografi Malware og logiske angrep Sosial manipulering Tyveri eller ødeleggelse Utro tjenere Fysiske og miljørelaterte områder Geopolitiske forhold Håndtering av informasjonssikkerhetshendelser Kontinuitetsplaner Etterlevelse av lover, regler og avtaler Kommunikasjon

15 ROS for Public360 Holdt på Gardermoen 17. og 18. februar 2015 Deltakerne hadde forskjellig kompetanse innen Public360, IT-drift og informasjonssikkerhet ROSen ble fasilitert av UH-sektorens sekretariat for informasjonssikkerhet Første dag hadde fokus på teknologi samt drift og forvaltning av Public360 hos UNINETT, Software Innovation og Basefarm samt deres kommunikasjon mot institusjonene Dag to hadde fokus på risikoelementer ved bruk av Public360 hos institusjonene 19. desember

16 Deltakere fra HiOA - Høgskolen i Oslo og Akershus UiA Universitet i Agder HBV Høgskolen i Buskerud og Vestfold FHI - Folkehelseinstituttet HiT Høgskolen i Telemark HiOf Høgskolen i Østfold Software Innovation Basefarm UNINETT AS 19. desember

17 Risikonivå Det ble i ROSen identifisert 36 risikoelementer. Fordelingen mellom risikonivåene er vist i tabellen under. Risikonivå Høy Medium Lav Dag Dag Total desember

18 19. desember

19 Konfidensialitet, integritet og tilgjengelighet Risikoelementenes konsekvenser ble også vurdert i forhold til de tre hovedparameterne i for informasjonssikkerhet; Konfidensialitet: uvedkommende får tilgang til konfidensiell eller sensitiv informasjon, Integritet: uønsket endring, sletting eller manipulering av informasjon og Tilgjengelighet: brukere får ikke tilgang til informasjon når de har behov for det. 19. desember

20 Konfidensialitet, integritet og tilgjengelighet Informasjonssikkerhets parameter Konfidensialitet Integritet Tilgjengelighet Dag Dag Total desember

21 Risikoområder Risikoelementene som ble identifisert i ROSen berørte følgende risikoområder (i prioritert rekkefølge etter antall treff): Arbeidsprosesser Drift og forvaltning Kompetanse, ferdigheter og sikkerhetskultur Tilgang og adgangsstyring Håndtering av informasjonsverdier Ressurser Leverandørrelasjoner Malware og logiske angrep Overordnet sikkerhetspolicy og retningslinjer Kommunikasjon Kryptografi Etterlevelse av lover, regler og avtaler 19. desember

22 19. desember

23 19. desember

24 19. desember

25 19. desember

26 19. desember

27 19. desember

28 19. desember

29 19. desember

30 19. desember

31 19. desember

32 Hovedfunn Det er identifisert mangler i beskrivelse av, og opplæring i arbeidsprosesser for drift, forvaltning og bruk av Public360. Dette gjelder for leverandørene (UNINETT, Software Innovation og Basefarm) forhold knyttet til blant annet kommunikasjon til institusjonene, testing, oppdateringer og feilretting. Når det gjelder bruk av Public360 hos institusjonene gjelder dette i hovedsak forvaltning av informasjon og rolle- og autorisasjonsstyring. Prioriteringsrådet bør se på behovet for sektorvide retningslinjer for blant annet dokumentfangst, skjerming av informasjon og metadata i Public360. Det anbefales at hovedtiltakene settes inn på disse områdene. 19. desember

33 Andre funn Det er i tillegg bekymringer i forhold til manglende duplisering av kritisk kjernekompetanse i forhold til oppstart, konvertering og brukerimport hos UNINETT. Det anbefales at UNINETTs prosjektledelse for Public360 innføringen sammen med prioriteringsrådet bestemmer hvem som skal ha ansvar for å følge opp gjennomføringen av tiltakene som berører de sentrale partene UNINETT, Software Innovation og Basefarm 19. desember