«Informasjonstyveri og industrispionasje hvordan oppdager vi det og hva gjør vi?»

Transkript

1 «Informasjonstyveri og industrispionasje hvordan oppdager vi det og hva gjør vi?» Oppsummerende rapport fra Sikkerhetstoppmøtet 27.januar 2015

2 Innholdsfortegnelse 3 Innledning Om dette møte Arrangører 4 Tidligere tema 5 Dagens situasjon Hvorfor industrispionasje Verdivurdering Risikoforståelse/forretningsforståelse Ledelsesforankring 7 Utfordringer Forståelse av trusselaktører Forståelse av trusselbildet Svakeste ledd i verdikjeden Oppdage og rapportere hendelser Politiets rolle/anmeldelse 9 Viktige råd og tiltak Samfunnsforståelse/ansvar Informasjonsdeling og rapportering Tekniske tiltak Sikkerhetskultur Kunnskap Beredskap

3 Innledning Om dette møtet Det fjortende sikkerhetsmøtet hadde 37 deltakere fra både offentlig og privat sektor. Møtet ble innledet med foredragene «Status på industrispionasje i Norge» ved Hans Christian Pretorius, avdelingsdirektør Nasjonal Sikkerhetsmyndighet, «Illegal economic intelligence and corporate security in the Nordic countries» av forsker mr. Lauri Holmström og «Forebygging og etterforskning av datakriminalitet» ved Håvard Aalmo, seksjonssjef Kripos. Hoveddelen av møtet var rundeborddiskusjoner med to ulike bordoppsett. Arrangører Prosjektledere Tone Hoddø Bakås, Nestleder NorSIS Stewart Kowalski, Professor NISlab, Høgskolen i Gjøvik Samarbeidspartnere Ingrid Flaarønning Fongen, Microsoft Karl Martin Kjendlie, Microsoft Tom Remberg, Direktør, PwC Mark Stegelmann, PwC Arrangørstab Anne Skeidsvoll Granli, Koordinator, NorSIS Roger Johnsen, Administrerende direktør, NorSIS Synne Gran Østern, Høgskolen i Gjøvik Gaute Wangen, Høgskolen i Gjøvik Rapport skrevet av Tone Hoddø Bakås, NorSIS Synne Gran Østern, Høgskolen i Gjøvik 3

4 Tidligere tema Hvordan hindre informasjonslekkasje fra virksomhetens styre? Utfordringer med outsourcing, offshoring og cloudbaserte løsninger Risikostyring i virksomheten Utvikling av menneskelig atferd og sterk sikkerhet i en ny verden Hendelseshåndtering fra oppdagelse til anmeldelse Tillit til sikkerheten hos samarbeidspartnere og leverandører Monitorering av de ansatte løsningen på tillitskrisen til mobile ansatte? Ledelsesforankring og ISMS Sikkerhetskultur Applikasjonssikkerhet har vi kontroll? Informasjonssikkerhet i verdikjeden klarer vi å tenke på alt? Beredskap og øvelser kan vi bli godt nok forberedt? Kritisk infrastruktur hvordan kan vi ivareta sikkerheten og samfunnets behov 4

5 Dagens situasjon Hvorfor industrispionasje? Sikkerhetstoppmøtet var enig i at industrispionasje skjer, og at norske virksomheter er utsatt. Både private og offentlige virksomheter har mye verdifull informasjon, som for eksempel: Immaterielle verdier (Intellectual Property) Forretningshemmeligheter Personopplysninger Strategiske planer, som for eksempel fremtidige byggeprosesser Anbudsprosesser og kontraktforhandlinger Aksjespekulasjon Informasjonstrading, for eksempel informasjon om oljefunn Høyteknologi Det finnes også andre tilfeller der industrispionasje blir brukt til å kartlegge infrastrukturen for fremtidige operasjoner. Verdivurdering Det er utfordrende og vanskelig å måle konsekvensene av industrispionasje og informasjonstyveri. Elementer som bør inngå i måling, vil være tapt arbeidstid, gjenopprettingskostnader (hvis mulig), omdømmetap og tap av markedsandeler. Konsekvenser kan i verste fall vise seg flere år etter hendelsen. Det er for liten kunnskap og forståelse for hva som er forretningshemmeligheter og sensitive opplysninger. Derfor blir det også vanskelig å beslutte hvilke tiltak som må iverksettes for å oppnå tilstrekkelig sikring mot industrispionasje. Denne forståelsen mangler i hele verdikjeden, både internt i virksomheten, og hos samarbeidspartnere og underleverandører. Sikkerhetstoppmøtet trakk frem flere situasjoner hvor virksomheter har tapt titalls millioner på grunn av at kontraktforhandlingene ble kompromittert. En kompromittering i form av industrispionasje vil samfunnet ikke nødvendigvis kjenne til direkte, men den aggregerte summen av alle kompromitteringene vil gjøre samfunnet «fattigere» i det lange løp. Samfunnssikkerhetsperspektivet, og ikke bare den enkelte virksomhet, er derfor et viktig aspekt som må komme bedre frem i forhold til sikring av IKT-infrastrukturen. «Hva er virksomhetenes kronjuveler?» 5

6 «Har virksomhetene kunnskap om og forståelse for de reelle truslene? - Bedre enn for år tilbake.» Risikoforståelse/forretningsforståelse Det er komplisert for ledere å forstå hvordan industrispionasje kan skje i den digitale hverdagen, og hvilke konsekvenser dette kan få. Ledelsen aksepterer og godkjenner en risiko de ikke har fullstendig forståelse for, verken i forhold til verdien de skal sikre, hvilke trusler de har og hvilke konsekvenser disse truslene kan ha for virksomheten. Men sikkerhetstoppmøtet er enige om at det har skjedd en modenhetsøkning i de siste årene, og at forståelsen for IT og informasjonssikkerhet som fundamentet i forretningsprosessene har økt For å sikre risikoforståelse i virksomheten er viktig å oversette sikkerhetsterminologien til forretningsspråk et språk lederne forstår. Når det gjelder industrispionasje så må man også «utvide» risikobildet utover sin egen virksomhet. Virksomhetene må forstå og erkjenne at det foreligger risiko for at de er andrehåndsmål for industrispionasje, spesielt for underleverandører hvor disse kan være en steg på veien til en større virksomhet. «Hvis virksomheten oppfører seg som en øy, så er de mest utsatt» «Er det risikoaksept eller er det avmakt?» Ledelsesforankring Ledelsen vil ikke ha spekulasjoner, men harde fakta. Dette finner deltakerne i Sikkerhetstoppmøtet veldig krevende på grunn av utfordringene med verdiforståelse. Først når en sikkerhetshendelse får økonomiske konsekvenser for virksomheten, får det oppmerksomhet hos ledelsen. Det er derfor viktig å underbygge målene i virksomheten med sikkerhet, og ha klare linjer mellom virksomhetsmål og sikkerhetsmål og å følge opp på disse. Når virksomheter snakker om verdier, så er det ikke investeringer i teknologi, men i forretningsprosesser det er snakk om. Sikkerhetstiltak og mål må kunne tilpasset etter dette. 6

7 Utfordringer Forståelse av trusselaktører Sikkerhetstoppmøtet mener at det er viktig at norske virksomheter forstår hvem som er trusselaktører og motivasjoner de har. Konkurrerende virksomheter tyr til industrispionasje der de ikke har råd til konkurransen. Forskjellige trusselaktører som ble diskutert er: Nasjonale stater Konkurrenter Andre virksomheter «Vi vil bli overrasket over hvem som er trusselaktørene.» Sikkerhetstoppmøtet diskuterte hvilke aktører som har den beste industrispionasjeinfrastrukturen; og følgende land ble foreslått: Kina, Russland, Israel, Frankrike og USA. PSTs åpne trusselvurdering fra 2015 sier; «De to statene som Norge ikke har et sikkerhetspolitisk samarbeid med, og som samtidig har den desidert største etterretningskapasiteten, er Russland og Kina. Av disse vurder er vi russisk etterretning til å ha det største skadepotensialet for norske interesser. Den alvorligste etterretningsvirksomheten vil i 2015 rettes mot Norges evne til å beskytte landet og politiske beslutningsprosesser». Forståelse av trusselbildet Hvis man ikke har en god forståelse for industrispionasje, så kan man ikke selge inn tiltak til ledelsen. Viktige spørsmål man bør kunne svare på, er blant annet: Hva er konsekvensen? Hvor mye penger vil det koste? Hvem er trusselaktørene? Det er enda mer komplisert å forstå trusselbildet i offentlige virksomheter, som ikke direkte kan miste sine forretningshemmeligheter. «Det er ikke snakk om industrispionasje vil skje, men når det skjer» Sikkerhetstoppmøtet mente også at man i tiden fremover mest sannsynlig kommer til å se en kommersialisering av industrispionasje, hvor informasjon blir utnyttet og byttet til raske penger ved å selge den videre. Ved en slik utvikling vil konsekvensene fort bli mer alvorlige og omfattende enn i dag. Svakeste ledd i verdikjeden Trusselaktørene går etter det svakeste leddene, som ofte er SMB-er. Norge er et land med mange små virksomheter som er leverandører til større virksomheter med attraktiv informasjon for trusselaktørene. Industrispionasje skjer ofte hos disse svakeste leddene, og derifra kan det skapes tilgang til informasjonen hos de større virksomhetene. Dette gjør det spesielt vanskeligere å oppdage og håndtere industrispionasje. 7

8 «Om en ikke vaksinerer seg så rammer det andre!» I dag bruker de fleste virksomhetene standardisert utstyr, operativsystemer og applikasjoner. Når trusselaktøren først klarer å bryte seg inn hos en, så vil veien være lettere for å bryte inn hos andre. I tillegg har man gjerne for eksempel 70 fagsystemer i dag kontra kanskje 2-5 fagsystemer for 10 år siden. Dette gir muligheten for flere «svake» ledd. Når vi også ser på trenden om «tingenes internett», hvor for eksempel brannanlegg, ventilasjonsanlegg eller dørlåser er tilkoblet internett, så gjør dette sikringsarbeidet svært utfordrende og komplisert. Kappløpet mellom leverandører gjør at produkter blir lansert med sårbarheter før testingen er ferdig, og sårbarheter muliggjøre angrep. Oppdage og rapportere hendelser Mange hendelser oppdages ikke før trusselaktøren gjør en feil eller de oppdages ved rene tilfeldigheter. Erfaringen er at få er flinke til å rapporterer hendelser. En oversikt over hendelser gir mulighet til å analysere trender, etterforske mulige sikkerhetsbrudd og etablere de sikkerhetstiltakene som er nødvendig. Dette er definitivt nyttig for samfunnet. Sikkerhetstoppmøtet erfarte at i noen situasjoner ønsket man ikke å bryte angrepet for tidlig for å unngå å avsløre at man er klar over at det pågår spionasje. Det er flere argumenter for dette, for eksempel dersom spionen er en viktig leverandør for virksomheten, så kan dette ødelegge samarbeidet. «Vi oppdager det aldri» Det er flere tilfeller hvor det er tredjeparts aktører (leverandører) som sier ifra om mulige hendelser. Ofte er dette første gang virksomheten får vite om hendelsen. Dette gjelder både varsel direkte til virksomheten og til andre utenom den virksomheten det gjelder. Politiets rolle/anmeldelse Sikkerhetstoppmøtet erfarer at lokalt politi har manglende kompetanse innen industrispionasje. Manglende anmeldelser vil igjen føre til at politiet fortsatt vil mangle kompetanse og kapasitet. Noen er også bekymret for at politiet beslaglegger utstyr, og en anmeldelse vil i verste fall føre til forstyrrelser av daglig drift. «Hvorfor snakker ikke vi mer med politiet?» Det er en utfordring at virksomheter ikke vet hvordan de skal sikre bevis og involvere politiet, og hvordan samspillet med politiet vil skje i operativ håndtering av hendelser. Samtidig er det en betydelig fare for at den enkelte virksomhet kan forspille bevis ved å opptre uprofesjonelt. For at politiet skal involveres, må en drive brannslukking uten å ødelegge bevis. Det er et ønske fra Sikkerhetstoppmøtets deltakere om at det må politiet må formidle mer informasjon om hvordan de kan bli involvert. 8

9 Viktige råd og tiltak «Informasjonssikkerhet er en muliggjører for virksomheten, som «bremser i en bil er en muliggjører for å kunne kjøre fort»» Samfunnsforståelse/ansvar Sikkerhetstoppmøte savner bedre og tydeligere trusselvurderinger fra myndighetene for å oppnå mer bevissthet om trusselaktørene og trusselbildet. Mange virksomheter har et forholdsvis likt trusselbilde, for eksempel kommunene. For å bistå disse på en effektiv måte kunne de få en ferdig utarbeidet trusselvurdering. SMB markedet i Norge ser ofte ikke problemer hos seg selv (fordi de er små), men i det store bildet (samfunnsmessig) kan de representere en større trussel. Dette bør det skapes en økt bevisstgjøring på. Sikkerhetstoppmøtet etterspør mer sektorvis samarbeid, og ser absolutt fordelene med sektorvise CERT-er med tanke på å dele informasjon om trusler, hendelseshåndtering og kunnskapsdeling. Sikkerhetstoppmøtet observerer mye mer debatt om samfunnskritiske spørsmål i andre land enn i Norge. Det ble reist spørsmål om det sterke sektorprinsippet i Norge kan hemme den totale oversikten. Debatten i utlandet kan benyttes som bakgrunn for å få en slik debatt i Norge. Når det gjelder tiltak i forbindelse med politiets rolle, anbefaler Sikkerhetstoppmøtet følgende : Hvert politidistrikt har PST representanter som kan si litt om sikkerhetsutfordringer. Disse kan i større grad benyttes for å få et bedre bilde av trusselsituasjonen. Politiet inviteres til å være med inn i ledermøter og styrerommene. Virksomhetene kan i større grad dra veksler på myndigheter (politi og NSM). Veiledning på anmeldelser slik at man vet hva slags informasjon som er nødvendig for etterforskning. «Hva med en obligatorisk ansvarsforsikring for å sikre samfunnet» Informasjonsdeling og rapportering Hele sikkerhetsbransjen vil kunne tjene på å dele informasjon utfordre «needto-know» til «responible-to-share». Hvis det skjer noe hos en virksomhet, så er det viktig å få spredd informasjonen slik at andre virksomheter som kan være påvirket, raskere kan finne ut om de er angrepet (f.eks. gjennom IDS-signaturer). I dag finnes det ikke arenaer som er gode eller effektive nok. Virksomheter skal slippe å finne ut av større hendelser alene. Det er behov for rask, effektiv og korrekt deling av informasjon, noe som krever mye kompetanse og erfaring hos aktørene. Det optimale ville være etablerte og automatiske kanaler for kunnskapsdeling mellom samarbeidspartnere. 9

10 Tekniske tiltak Av tekniske tiltak ble disse nevnt: Virtualisering Kryptering Overvåkning/monitorering (IDS/IPS), alarmering og håndtering Håndtere og kontrollere administratortilganger Revisjonsspor i form av riktige logger og kompetanse og kapasitet til å analysere disse. Tilgangssystemer Soneinndeling av nettverk (demilitariserte soner) Brannmurer Sikkerhetskultur Virksomheter med mye immaterielle verdier har som regel ansatte med mye kunnskap og høy utdanning. Her er det vesentlig å bevisstgjøre de ansatte ved å motivere og forklare fremfor bare å komme med enkle råd og tiltak. Det er også viktig å skape god kultur for avvikshåndtering. Hos mange virksomheter blir varsleren i dag ofte utsatt for forfølgelse. Om varslingen ikke blir verdsatt, vil man tape informasjon om svært mange og viktige hendelser. Vi trenger et paradigmeskift. Vi må kunne stille krav til informasjonssikkerhet og følge de opp. HMS-arbeidet i mange virksomheter kan stå som en foregangsfigur for sikkerhetsarbeidet, men det er krevende å overføre tankesettet fra informasjonssikkerhet til HMS. HMS handler om det nære, ting vi kan relatere til intuitivt. Informasjonssikkerhet blir ofte for abstrakt, og det kan derfor være vanskelig å overføre HMS-tankesettet. «Det finnes ingen enkle løsninger for å sikre at SMB-markedet kan stå imot industrispionasje.» Kunnskap Sikkerhetstoppmøtet diskuterte hvordan det kan stilles krav til kompetanse innen informasjonssikkerhet. Kanskje bør driftsleverandørene ha en sertifisering? Det er i tillegg behov for spesialisering innenfor industrispionasje, noe de fleste norske virksomheter ikke har kapasitet til. For SMB vil det være mest aktuelt å kjøpe tjenester for overvåkning og håndtering av hendelser. Små driftsleverandører mangler i mange tilfeller også kunnskap og innsalgsevner til virksomhetene innen informasjonssikkerhet. For å bøte på manglende kunnskap kan det etableres minimumsløsninger; «hvis du ikke vet noe om det, gjør i hvert fall dette». Deltakerne erfarer at det er lite forskning innenfor industrispionasje som kan brukes hos virksomhetene i praksis. En tendens er at det er for mye fokus på hvem som er trusselaktøren, fremfor hvorfor de bestemte målene er offer for industrispionasje. Et god prioritering er først hvorfor, så hvordan og tilslutt hvem. Flere av Sikkerhetstoppmøtets deltakere ønsker seg veiledninger for å sikre seg mot industrispionasje. 10

11 Beredskap Sikkerhetstoppmøtet er enige om at industrispionasje skjer. Det viktig å ha en beredskapsplan som minimum inneholder kontaktlister til samarbeidspartnere, driftsleverandører, underleverandører, politi og andre viktige personer. Sikkerhetstoppmøtet har erfart at det å øve på situasjoner som involverer utro ansatte eller industrispionasje, oppfattes som veldig lærerikt. Dette anbefales til alle deltakerne. Norske virksomheter er gode på å sikre tap av liv og helse i kriseplaner, men når det gjelder IKT-kriser henger de litt etter. Men det har skjedd en bedring, og det blir stadig bedre. I tillegg anbefales det å verifisere på høyt nivå at beredskapsplaner ved kriser er testet. Direktoratet for samfunnssikkerhet og beredskap (DSB) har et beredskapssystem CIM, hvor beredskapsplaner kan lagres. 11

12 Om Sikkerhetstoppmøtet Sikkerhetstoppmøtet bringer informasjonssikerhetsledere, eksperter og nøkkelpersoner innen fagfeltet sammen for å utveksle erfaringer og kunnskap. Deltakerne vil gjennom foredrag og samtaler skaffe seg et klarere bilde av dagens praksis og en innsikt i utviklingen i feltet. Formatet på samtalene er en åpen og kollegial tankesmie hvor synspunkter og argumentasjoner relatert til dagsaktuelle tema utveksles. Samtalene på møtet er fortrolige i henhold til Chatham House Rule. Nytteverdien for deltakerne ligger i at de kan ta med seg meningsutvekslingen tilbake til sine respektive foretak og styrke sin interne sikkerhet. Sikkerhetstoppmøtet arrangeres av