Sikkerhetskultur og informasjonssikkerhet

Transkript

1 Sikkerhetskultur og informasjonssikkerhet i UH-sektoren Sikkerhet & Sårbarhet 2013 Øivind Høiem, CISA CRISC Seniorrådgiver

2 Om Øivind Seniorrådgiver ved UHsektorens sekretariat for informasjonssikkerhet hos UNINETT Har jobbet 20 år i Statoil med informasjonssikkerhet, sikkerhetskultur og risikovurderinger Sertifisert IT-revisor og innen risikostyring Medlem av ISACA Norges standard og forskningskomité 2

3 Agenda Litt om UNINETT Trusselbilder og nye bruksmønstre Hva skal vi beskytte? Sikkerhetshendelser Nasjonale føringer Arbeidet mot UH-sektoren Hvordan bygge en god sikkerhetskultur 3

4 Om UNINETT samfunnsansvar åpenhet teknologientusiasme Det norske forskningsnettet Eid av Kunnskapsdepartementet Ca 100 ansatte, 200 mill omsetning Leverer nett og tjenester til 200 institusjoner med brukere Samarbeidsverktøy for UH-sektoren FEIDE Felles administrative systemer ecampus (IKT-verktøy til forskning og undervisning) Nasjonal e-infrastruktur leverandør Tungregne- og masselagringsressurser Administrerer.no-domenet 4

5 UNINETT tar samfunnsansvar UNINETTs innsats innen IKT skal bidra til en velfungerende høyere utdanning og forskning i hele Norge. Gjennom redusert energibruk og avstandsuavhengige IKT-løsninger vil UNINETT i samspill med UH-sektoren bidra til et mer miljøvennlig samfunn. 5 Et tett samarbeid mellom kompetansemiljøer i UH-sektoren og UNINETT vil tilflyte alle institusjonene i sektoren og således bidra til et høyere generelt kompetansenivå innen IKT. -

6 Det europeiske forskningsog undervisningsnettet Vi og våre samarbeidspartnere i Europa leverer et sikkert høyhastighetsnettverk til 40 mill. brukere og over 8000 institusjoner i 40 land. 6

7 UNINETT CERT UNINETT håndterer hendelser i forskningsnettet Vi har et eget CERT - Computer Emergency Response Team Samarbeider med tilsvarende enheter i Norge og utlandet. Er medlem i FIRST - Forum of Incident Response and Security Teams og TI-Trusted Introducer 7

8 Trusselbilder fra PST «Offentlig og privat ansatte med tilgang til sensitiv informasjon smigres, bestikkes og presses til å gi fra seg informasjon eller til å bidra til å påvirke beslutningsprosesser.» 8

9 Trusselbilder fra PST «Et nyere trekk i etterretningen mot høyteknologi er enkelte etterretningstjenesters utilbørlige press mot studenter og forskere for å utlevere forskningsresultater til hjemlandet, nettopp for å styrke egen forskning og utvikling.» 9

10 Trusselbilder fra NSM «Fremmede staters etterretningstjenester søker primært å innhente informasjon som kan fremme landets politiske og økonomiske interesser.» «Aktiviteten er hovedsakelig rettet mot forsvars- og sikkerhetspolitikk, olje- og gassektoren, høyteknologi-/ forsknings-/undervisningsmiljøer og eksilmiljøer.» 10

11 Trusselaktører Nasjonalstater har både vilje og midler til å jobbe langsiktig for å oppnå sine mål Nasjonalstater Virksomheter (industrispionasje) 11 Aktivister (har kortsiktig fokus) «Vanlige» kriminelle (økonomisk vinning) Sporadiske hackere (nysgjerrighet, «ære og berømmelse»)

12 Nye bruksmønstre og brukerforventninger Smarttelefoner og nettbrett Mobile arbeidsplasser Bring your own device Skytjenester (Cloud computing) Inkl. Dropbox, Google translate, Prosjektplassen, browser plug-ins Sosiale media Mindre skille mellom jobb og fritid 12

13 Sensitiv informasjon Forskningsresultater (eks.: olje og gassutvinning, nano-, bio-, mobil- og forsvarsteknologi) Personopplysninger, f.eks. spesialtilrettelegging pga. sykdom Eksamensoppgaver før eksamen 13

14 Virksomhetskritiske informasjon og systemer Forskningsrelaterte data 14 Samordna opptak Epost Hvem oppholder seg i bygg/laboratorier i tilfelle brann/ulykke

15 15

16 Sikkerhetshendelser hos oss Vi har hatt hackerangrep på våre tungregneanlegg Dårlige sikkerhetsrutiner og manglende sikkerhetsoppdateringer Stjålne brukernavn og passord benyttes til å logge seg på andre systemer for å finne informasjon og tjenester som kan utnyttes Hackere fra Australia, Tyskland og Nederland ble dømt 16

17 Misbruk av telefonisystemer Misbruk av gamle telefonisentraler Stjeling av tellerskritt som medførte økonomiske tap 17

18 Riksrevisjonen hadde følgende anmerkninger i forhold til UH-sektoren: Manglende risikostyring Manglende implementering av sikkerhetspolicy Manglende identifisering og klassifisering av personopplysninger Manglende kunnskap vedrørende behandling av personopplysninger Avvikende praksis i forhold til rutiner vedr. tilgangskontroll og manglende avvikshåndtering Manglende etablering av internkontrollsystem iht. personopplysningsloven Manglende tiltak i forhold til sikkerhetskultur 18

19 22. juli-kommisjonens anbefaling «Kommisjonens viktigste anbefaling er at ledere på alle nivåer i forvaltningen systematisk arbeider med å styrke sine egne og organisasjonenes grunnleggende holdninger og kultur.» 19

20 Digitaliseringsrundskrivet Virksomheten skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. 20 Denne internkontrollen kan med fordel være en integrert del av virksomhetens helhetlige styringssystem for kontinuerlig forbedring av virksomhetens arbeidsprosesser, måloppnåelse, informasjonssikkerhet, HMS, miljøledelse, samfunnsansvar m.v.

21 Nasjonal strategi for informasjonssikkerhet Organisasjonsmessige tiltak i universitets- og høyskolesektoren Bakgrunn: Det er viktig at sikkerhetsarbeidet ved den enkelte institusjon i universitets- og høyskolesektoren er tilstrekkelig robust. En forutsetning er en felles tilnærming til informasjonssikkerhet. 21 Tiltak: Kunnskapsdepartementet har gitt UNINETT i oppgave å etablere og lede et sekretariat for informasjonssikkerhet i universitets- og høyskolesektoren. I tillegg til sekretariatet har UNINETT etablert et sikkerhetsforum for universiteter og høyskoler. Forumet skal være rådgivende innenfor området informasjonssikkerhet, beredskap og kontinuitet.

22 Tildelingsbrevet til institusjonene fra KD Institusjonen skal ha beredskapsplaner som skal bygge på regelmessige risiko- og sårbarhetsanalyser og kriseøvelser. Institusjonen skal følge gjeldende regelverk/retningslinjer for informasjonssikkerhet, herunder ha eller innføre et styringssystem for informasjonssikkerhet bygget på grunnprinsippene i anerkjente sikkerhetsstandarder. 22 Institusjonen skal fortsette arbeidet med oppfølgingen av 22. juli-kommisjonens anbefalinger om å styrke risikoerkjennelse, sikkerhetskultur, holdninger og lederskap m.v.

23 UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD Bakgrunnen er Riksrevisjonens kritikk av sektorens ivaretagelse av informasjonssikkerhet Skal støtte UH-sektoren i informasjonssikkerhetsspørsmål De nasjonale retningslinjene for informasjonssikkerhet legges til grunn for sekretariatets arbeid 23

24 I sekretariatet, er vi ikke late Rammeverk og metodikk Risiko og sårbarhetsvurderinger Kontinuitet og beredskapsplaner Revisjoner Ledelsens gjennomgang Informasjon om trusselbilder Sikkerhetskulturbygging Maler og informasjonsmateriell Arrangør av sikkerhetskonferanser Sikkerhetsportal er under utvikling Internasjonalt samarbeid 24

25 Sikkerhetsforum 2013 «Fra policy til sikkerhetskultur» 11. og 12. juni hos Høgskolen i Oslo og Akershus Sikkerhetskultur - hva er det og hvordan få det?, NSM Styringssystem for informasjonssikkerhet - et topplederansvar og en viktig kulturpåvirker, Difi Erfaringer fra Statens Pensjonskasse Sikkerhetskulturarbeidet i helsesektoren, Helsedirektoratet Nasjonal sikkerhetsmåned, NorSIS Workshops og plenumsdiskusjon 25

26 Nasjonal sikkerhetsmåned i oktober Sekretariatet har planer om å arrangere aktiviteter i samarbeid med UHsektoren under den nasjonale sikkerhetsmåneden i oktober. 26 Info. på sidene til NorSIS norsis.no

27 Uninytt: den sikre siden 27

28 den sikre siden 28

29 Sikkerhetsportalen 29

30 Utveksling av beste praksis i Norge Vi produserer fagspesifikasjoner i samarbeid med UHsektoren som en del programmet 30 https://www.uninett.no/ufs

31 og i Europa Noen av fag-spesifikasjonene blir oversatt til engelsk og gjort tilgjengelig som «Campus Best Practice» dokumenter i regi av EUprosjektet Géant 31 Vårt dokument «Information Security Policy» var det mest nedlastede dokumentet i 2012

32 Definisjon på sikkerhetskultur Sikkerhetskultur er summen av medarbeidernes kunnskap, holdninger og adferd som kommer til uttrykk gjennom virksomhetens totale sikkerhetsadferd. 32 (NSM)

33 Sikkerhetskulturen på Sonny Ivey

34 Safety material 34

35 Safety Rules 35

36 Kunnskap er en ting, men holdninger og adferd 36

37 Gode sikkerhetsregler Sikkerhetsfolk tenker ofte 100%-løsninger som blir vanskelige å overholde og dermed ikke følges. 37 Det som trengs er gode sikkerhetsregler og løsninger som fungerer i det daglige arbeid.

38 20% teknologi 80% holdninger Informasjonssikkerhet er ikke kun et teknologiproblem. Den beste sikringsverktøyet sitter mellom ørene til folk. 38 Det må bare implementeres!

39 Etablerte virkelighetsoppfatninger Informasjonssikkerhet er ITs ansvar. 39 Også kalt ØSS Øystein Sunde Syndromet: Vi har folk til slikt IS handler kun om å holde informasjon hemmelig.

40 Riktige virkelighetsoppfatninger Informasjonssikkerhet angår det jeg har ansvar for. 40 Informasjonssikkerhet er god forvaltningsskikk. Informasjon, folk og penger er de viktigste innsatsfaktorene for å nå våre mål.

41 Sikkerhetskultur i kunnskapsvirksomheter Rutiner og lydighet eller akademisk frihet? 41 Kirkefader Augustin: Fasthet i det sentrale Frihet i det perifere Kjærlighet i alt

42 Hvordan bygge en god sikkerhetskultur Jobben med å bygge en god sikkerhetskultur er ikke en engangsaktivitet. Arbeidet må ha et langsiktig perspektiv for å oppnå de ønskede resultater. Det er viktig med støtte og forankring fra ledere i organisasjonen. Kulturen er påvirket av ledelsens sikkerhetsbevissthet og hvilke signaler som gis. Det må settes av ressurser i form av tid og midler Budskap og kanaler må tilpasses målgruppene. 42

43 Hvordan bygge en god sikkerhetskultur Kunnskapsoverføring i forhold til trusler, risiko, ansvar, forventninger m.m. Gode gjennomførbare sikkerhetsregler. Informasjon og diskusjon om hendelser fra egen virksomhet sikrer god motivasjon. Og så må man repetere budskapet jevnlig og evaluere årlig. 43

44 Takk for meg 44 Øivind Høiem, CISA CRISC Seniorrådgiver informasjonssikkerhet https://twitter.com/oivindhoiem