Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

Transkript

1 Hva er cyberrisiko? Bjørnar Solhaug Seminar om cyberrisk, SINTEF,

2 Oversikt Bakgrunn Eksisterende definisjoner Cyberspace og cybersecurity Cybersystem Cybersikkerhet Cyberrisk Oppsummering 2

3 Bakgrunn Prefikset "cyber-" brukes ofte populært for å referere til fenomener eller aktiviteter knyttet til IT-systemer, og spesielt til Internett Cyberspace brukes gjerne om det virtuelle rommet som oppstår innenfor sammenkoblede nettverk I dag er cyberspace og den virtuelle verden allestedsnærværende, og er en nødvendighet for en lang rekke tjenester innenfor de fleste samfunnsområder Interaksjoner, transaksjoner, kommunikasjon, tjenesteytelse, etc. bør være beskyttet og trygge på samme måte som i den fysiske verden Sikkerhet i og av cyberspace er derfor et anliggende for mange interessenter Myndigheter nasjonalt og internasjonalt Bedrifter og andre organisasjoner Individer 3

4 Cyberspace Det finnes ingen etablert definisjon, men mange autoritative organisasjoner opererer med sine begreper Eksempler EU om sikkerhet av og i cyberspace, samt beskyttelse av kritiske informasjonsinfrastrukturer Standarder fra ISO/IEC, ITU, NIST Ulike begreper med mer eller mindre lik betydning brukes om hverandre Cyberspace, cyber-environment, cyber-domain, cyber-system, virtual, online, digital world 4

5 Cybersecurity Strategy of the EU An Open, Safe and Secure Cyberspace Cyber-security Refers to the safeguards and actions that can be used to protect the cyber domain, both in the civilian and military fields, from those threats that are associated with or that may harm its interdependent networks and information infrastructure Strives to preserve the availability and integrity of the networks and infrastructure and the confidentiality of the information contained therein Cybersecurity skal gi samme beskyttelse online som den samfunn og individer har offline Rettigheter, friheter, personvern, samfunnsdeltakelse, bekjempe kriminalitet, beskytte kritiske infrastrukturer, osv. Fokus på samarbeid mellom myndigheter og privat sektor på tvers av landegrenser 5

6 ISO/IEC 27032:2012 Guidelines for Cybersecurity Cybersecurity = Cyberspace security Cyberspace: Complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form Cybersecurity: Preservation of confidentiality, integrity and availability of information in the Cyberspace Strikt fokus på det virtuelle Forskjellig fra sikkerhet av informasjon, applikasjoner, nettverk, Internett og kritiske informasjons-infrastrukturer, og kritiske infrastrukturer Retningslinjer for cybersecurity via samarbeid og koordinering mellom leverandører av tjenester i cyberspace 6

7 ITU-T X.1205:2008 Overview of Cybersecurity Cyber environment This includes the users, networks, devices, all software, processes, information in storage or transit, applications, services and systems that can be connected directly or indirectly to networks Cybersecurity The protection of the cyber environment and the assets of organizations and users Assets include connected computing devices, personnel, infrastructure, applications, services, telecommunication systems, and the totality of transmitted and/or stored information in the cyber environment Attain and maintain the security properties of assets against security risks in the cyber environment The security objectives are confidentiality, integrity and availability Fokus på organisasjoner og hvordan de kan beskytte egne og brukere sine aktiva 7

8 CNSS/NIST (US Gov.) National Information Assurance Cybersecurity: The ability to protect or defend the use of cyberspace from cyber attacks Cyberspace: A global domain within the information environment consisting of the interdependent network of information systems infrastructures including the Internet, telecommunications networks, computer systems, and embedded processors and controllers Cyber attack: An attack, via cyberspace, targeting an enterprise s use of cyberspace for the purpose of disrupting, disabling, destroying, or maliciously controlling a computing environment/infrastructure; or destroying the integrity of the data or stealing controlled information. 8

9 Cyberrisk Vi ønsker metoder for å identifisere og analysere cyberrisk I den sammenhengen er det behov for presise og nyttige definisjoner Cybersystem: Hva er target for en cyberrisk-analyse? Interessenter: For hvem skal risikoer identifiseres? Aktiva: Hva skal beskyttes? Trusler og uønskede hendelser: Hva skal cybersystemer beskyttes mot? 9

10 Cyberspace Cyberspace: Informasjons-infrastrukturer inkludert nettverk, tjenester, datasystemer, embedded systems, og informasjon (lagret eller i transitt) som er knyttet til Internett Cyberspace Internett 10

11 Cybersystem En mengde tjenester som leveres eller mottas av en organisasjon over Cyberspace, og som derfor er avhengig av Cyberspace Merk at cyber-systemer derfor også inkluderer nettverk, tjenester, informasjon, osv. som er knyttet til Internett og som behøves for å levere eller motta disse tjenestene Cyberspace Internett Cyber-system Cyber-physical systems er et spesialtilfelle av cybersystemer og inkluderer samarbeidende, programmerte elementer som kontrollerer og responderer på andre fysiske entiteter 11

12 Interessent En interessent (stakeholder) er enhver bedrift, person, gruppe eller annen organisasjon som leverer/mottar tjenester til/fra et cybersystem I relasjon til risikostyring så er interessenten den som en cyberrisikoanalyse gjøres for 12

13 Aktiva Et aktivum er noe som en interessent tilordner verdi I en risikoanalyse identifiserer vi risikoer kun med hensyn til spesifikke aktiva Hva må beskyttes i relasjon til cybersystemer? Informasjon Infrastruktur Informasjon Nettverk Kritiske infrastrukturer Personvern Informasjons-infrastrukturer 13

14 Cybersikkerhet Forhindre cyber-incidenter for å bevare konfidensialitet, integritet og tilgjengelighet av informasjon, samt å beskytte infrastrukturer Informasjon er i digital, elektronisk form Infrastrukturene er de som behøves for å sikre levering og/eller mottak av (forretnings-) kritiske tjenester Cyberspace Internett Cyber-system Cybersikkerhet Informasjonssikkerhet 14

15 Cyber-incident Cyberspace Internett Cyber-system Cybersikkerhet Et brudd på informasjonssikkerhet eller ubrukeliggjøring, ødelegging eller ondsinnet kontroll av infrastruktur grunnet et cyberangrep Informasjonssikkerhet Cyberincident 15

16 Cyber-angrep Et angrep via Cyberspace For eksempel ved å utnytte eller målsette applikasjoner, nettverk, informasjon, osv. i Cyberspace Cyberspace Internett Cyber-system Cyberincident Cyberangrep Cybersikkerhet Informasjonssikkerhet 16

17 Cyberrisk Kombinasjonen av konsekvensen til en cyber-incident og sannsynligheten for dens forekomst Merk: Informasjonssikkerhetsrisiko (jf. ISO 27005) vedrører informasjon generelt og i ethvert format, mens cyberrisk vedrører elektronisk informasjon (lagret eller i transitt) inkluderer både ondsinnete og ubetenksomme handlinger, i tillegg til ikkemenneskelige trusler, mens cybersikkerhet fokuserer på overlagte og ondsinnete angrep 17

18 Cyberrisk Cyberspace Internett Cyberangrep Cyber-system Cybersikkerhet Informasjonssikkerhet Cyberincident Konsekvens Hyppighet Cyber-risk 18

19 Oppsummering Cybersecurity vedrører trusler som utnytter cyberspace og/eller ønsker å gjøre skade i cyberspace Cybersecurity er ikke det samme som informasjonssikkerhet Innsnevring ved at informasjon kun er i elektronisk form Utvidelse ved at også sikkerhet av infrastruktur skal ivaretas Cyberrisikoanalyse gjøres med hensyn til et bestemt cybersystem En mengde (forretnings-) kritiske tjenester som formidles via cyberspace 19

20 Referanser CNSS Instruction No National Information Assurance (IA) Glossary (2010) EU COM(2011) 163 Communication on Critical Information Infrastructure Protection Achievements and next steps: Towards global cyber-security (2011) EU JOIN(2013) 1 Joint communication on Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace (2013) ISO Risk Management Principles and guidelines (2009) ISO Guide 73 Risk management Vocabulary (2009) ISO/IEC Information technology Security techniques Information security risk management (2011) ISO/IEC Information technology Security techniques Guidelines for cybersecurity (2012) ITU-T X.1205 Overview of cybersecurity (2008) Se også RASEN-prosjektet for relaterte aktiviteter: 20