IKT trusselbilde for Norge

Størrelse: px
Begynne med side:

Download "IKT trusselbilde for Norge"

Transkript

1 IKT trusselbilde for Norge Senter for informasjonssikring April 2005

2 Forord Senter for informasjonssikring (SIS) har som en prioritert oppgave å presentere et helhetlig bilde av trusler mot IKT-systemer i Norge. Vi fokuserer på uønskede hendelser som kan påvirke konfidensialitet, integritet og tilgjengelighet. Vi har i våre analyser tatt hensyn til både utilsiktede og tilsiktede hendelser i tillegg til ekstreme hendelser som skyldes forhold utenfor virksomhetens kontroll ("acts of God"). Våre trusselbeskrivelser vil dog ikke omfatte de vanligste trusler mot fysisk sikkerhet (brann, vannskade etc.), disse anser vi tilstrekkelig omtalt andre steder. Trusselbildet er basert på de nasjonale og internasjonale kilder SIS har tilgang til, samt informasjon om hendelser som inntreffer. Det er derfor svært nyttig for SIS å bli informert om alle sikkerhetshendelser som virksomheter utsettes for. Dette vil øke kvaliteten i framtidige rapporter. Vi tar også svært gjerne imot kommentarer til rapporter vi utgir. Et trusselbilde vil være dynamisk. SIS vil derfor periodisk oppdatere trusselbildet i forhold til relevante faktorer. Dette omfatter forhold som endring i teknologi, endring i anvendelsesområder og den foreliggende samfunnsmessige trusselvurdering. Vi gjør også oppmerksom på at SIS hver måned utformer en månedsrapport over viktige hendelser og sårbarheter samt andre nyttige nyheter innen IKT- sikkerhet. Rapporten er tilgjengelig på våre websider. SIS har et tilbud til alle brukere om å motta varsel om sårbarheter som vi blir oppmerksomme på. Mer informasjon om hvordan man kan melde seg på e-postvarslingen finnes på våre websider. Vi håper din virksomhet har nytte av vårt arbeid! Ove Olsen Daglig leder SIS Kontakt SIS: telefon: e-post: post(a)norsis.no web: 1

3 Innholdsfortegnelse Sammendrag 3 Trusselbeskrivelser 4 1 Phishing og scam 5 2 "Web bugs" og spionprogrammer ("spyware") 6 3 Identitetstyveri 7 4 Utilsiktet menneskelig feil 8 5 Utro tjenere 9 6 Misbruk av virksomhetens ressurser 10 7 Tap av mobile enheter 11 8 Single-point-of-failure 12 9 Tjenestenekting (Denial-of-Service DoS) Datainnbrudd Misbruk av trådløs kommunikasjon Sikkerhetshull i standard programvare Sikkerhetshull i spesialutviklet programvare Virus og ormer Ukritisk bruk av e-post Spam Hurtigmeldinger (IM) og pratekanaler 21 Trender 22 Referanser 24 2

4 Sammendrag Gjennom oppslag i media får innbruddsforsøk via Internett stor oppmerksomhet. Vår erfaring er imidlertid at den største trusselen mot IKT-systemer kommer innenfra. De fleste hendelser skyldes utilsiktede handlinger som gjerne oppfattes som feil og uhell, og som i de fleste tilfeller kan tilskrives menneskelig svikt. Samtidig viser tall fra "Mørketallsundersøkelsen 2003" [1], som ble utført av Næringslivets sikkerhetsråd, Økokrim og SIS i 2004, at gjerningsmann like ofte kan være en av virksomhetens egne ansatte som en ekstern person. Dette underbygger kravet om at virksomhetene må satse betydelig mer på intern opplæring og holdningsbygging. Menneskelig svikt eller feilvurdering har også sammenheng med flere av de trusler som er omtalt i rapporten. Vi ser fortsatt et stort problem når det gjelder tap av mobile enheter, som oftest en konsekvens av ubetenksomhet når det gjelder å oppbevare dem på steder hvor de er utsatt for tyveri, eller ved å glemme dem igjen på ulike steder. Dette representerer en stor sårbarhet dersom informasjonen som er lagret på disse ikke er tilfredsstillende sikret. Vi omtaler misbruk av virksomhetens ressurser som en trussel, og erfarer at dette ofte skyldes dårlige holdninger blant de ansatte eller uklare retningslinjer for hva som er tillatt og ikke tillatt bruk. Norge er langt framme i verdenssammenheng på å ta i bruk ny teknologi. Dette har medført at bruken av Internett har fått stor utbredelse, noe som gjør oss sårbare for flere ulike typer trusler. En av disse er at selve tilgangen til Internett svikter, enten som følge av feil hos leverandør eller i verste fall at leverandøren innstiller sin virksomhet (for eksempel ved konkurs). Andre effekter av utbredt bruk av Internett, er økt og hurtigere spredning av ondsinnet kode og mer bevisste tjenestenektingsangrep, samtidig som det blir vanskeligere å oppdage at ens egen maskin er infisert. Såkalte "stille" virus og ormer gjør minst mulig utav seg, men gjør det mulig for en ekstern angriper å ta kontroll over maskinen og for eksempel benytte den i koordinerte tjenestenektingsangrep. Bruken av e-post er ikke nødvendigvis sterkt økende lenger, da "spam" (uønsket e- post) har blitt et enormt problem. For de som opplever store mengder spam, er ikke e-post lenger et hensiktsmessig kommunikasjonsmedium. Det tar lang tid å gå gjennom all e-posten, og det er fort gjort å slette rettmessig e-post. "Instant messaging" (IM), eller hurtigmeldinger, ser ut til å ta over mer av den elektroniske kommunikasjonen, og da spesielt internt i virksomhetene. Det er imidlertid forbundet endel trusler også med dette mediet, som ikke er stort bedre enn e-post når det gjelder sikkerhet. I denne utgaven av trusselrapporten er det ingen endringer i hvilke trusler som er beskrevet i forhold til forrige utgave, men det har blitt gjort en del mindre endringer i beskrivelsene av hver enkelt trussel. Den største endringen er kapitlet om trender, hvor vi setter fokus på en del nye utfordringer som har kommet den siste tiden. 3

5 Trusselbeskrivelser I den følgende delen av rapporten finnes beskrivelser av de truslene SIS anser for å være mest aktuelle for tiden. Truslene er ikke prioritert, verken med hensyn til utbredelse, kostnad eller alvorlighet. Virksomheten må selv vurdere hvilke trusler som er relevante i forhold til hvilke verdier som skal beskyttes, hvor mye ressurser som er tilgjengelig og hvilke beskyttelsestiltak som allerede er på plass. Trusselrapporten kan med fordel brukes som støtte i virksomhetens arbeid med risikostyring. 4

6 1 Phishing og scam Phishing og bondefangeri er metoder som utnytter menneskers naivitet og godtroenhet for å lure til seg sensitive opplysninger eller penger. Sosial manipulering brukes om angrep som benytter sosiale evner til for eksempel å få tak i informasjon. Eksempler på angrepsmetoder er phishing og bondefangeri (scam). Et typisk eksempel på bondefangeri er nigeriasvindlene som spres via e- post. Mottakere blir lokket med store pengesummer, men for å få disse, må de betale inn et forskuddsbeløp og/eller oppgi kontoopplysninger. De lovede pengene ser de aldri noe til. Phishing ligner på bondefangeri, men bruker en litt annen innfallsvinkel. Angripere sender e-post som ser ut til å komme fra en anerkjent virksomhet, for eksempel et kredittkortselskap. I e-postene ber de ofte om kontoinformasjon eller annen personlig informasjon, og begrunner dette i at det har oppstått et problem. Mottagere blir bedt om å klikke på en lenke til et nettsted der denne informasjonen kan fylles ut. De som blir lurt, kan for eksempel oppleve å få tappet bankkontoene sine. Antall angrep som benytter phishing er økende. I USA er den gjennomsnittlige månedlige økningen i antall phishingforsøk det siste halvåret på over 28 % [2]. Markedet er mindre i Norge, men tilfeller finnes også her [3][4]. Konsekvensen av phishing og scam kan variere alt etter hva som er målet med angrepet. Ofte er målet økonomisk gevinst, men phishing kan også benyttes til å skaffe tilgang til bedriftsintern informasjon. Du mottar e-post fra banken din der de ber deg om å gå til et spesielt nettsted for å fylle ut nødvendige opplysninger. Du følger lenken i e-posten, og fyller inn det du blir bedt om. Ikke lenge etterpå oppdager du at kontoen din er tømt. Du mottar e-post fra en nigeriansk jente som har arvet mange penger fra faren sin, men trenger hjelp til å investere dem i Europa. Du blir lovet store summer som belønning dersom du hjelper henne, men må bidra med et pengebeløp for at handelen skal kunne skje. Du sender pengene, men hører aldri mer fra jenta. Det er viktig å være kritisk til informasjon som kommer på e-post: Dersom noe synes for godt til å være sant, er det som oftest det... Sjekk med andre kilder dersom du er usikker. Vær skeptisk til kontaktinformasjon/lenker som kommer på e-post. Følg med på adresser til nettsteder. Falske nettsider kan se helt like ut som de legitime sidene. Sjekk sertifikatene dersom nettsidene er beskyttet med SSL. Se også SIS-veiledningen om å unngå sosial manipulering og phishing [5]. 5

7 2 "Web bugs" og spionprogrammer (spyware) Skjulte elementer i e-postmeldinger og websider (web bugs) og programvare som er laget for overvåkning (spyware) er svært utbredt og kan samle opplysninger om alt fra surfevaner på Internett til nettbankpassord. En lang rekke gratisprogrammer som kan lastes ned fra Internett inneholder spionprogrammer i tillegg til det averterte programmet. Spionprogrammene kan for eksempel lage brukerprofiler basert på hvilke nettsider brukeren besøker. Profilene kan senere sendes til en sentral database, eller tilpasse reklamen på nettsider. Web bugs er en samlebetegnelse for skjulte elementer i HTML-kode som gjør det mulig å samle informasjon om brukere. Elementene kan inngå i nettsteder eller i e- postmeldinger, og er vanskelige å oppdage for vanlige brukere. Web bugs kan blant annet samle informasjon om IP-adresser og tidspunkt for når en e-post blir åpnet eller en når webside blir besøkt. Spionprogrammer kan endre konfigurasjonen til nettleseren, slik at brukeren alltid kommer til samme nettside ved oppstart, eller at alle søk går via en bestemt nettportal. Ved hjelp av en web bug i en spam-melding kan utsenderen få beskjed om hvilke mottagere som har åpnet meldingen og som dermed har gyldige e-postadresser. Mottageren er dermed sikret enda mer spam i innboksen. Ondsinnede spionprogrammer kan registrere personlige data, for eksempel navn, adresse, kontonummer og passord som brukeren oppgir når hun logger seg inn på for eksempel nettbank eller handler på nettet. Vær meget kritisk til hva slags programvare du laster ned og installerer. Installer og kjør jevnlig overvåkingsprogrammer (Ad-aware, Spybot eller lignende) som avslører spionprogrammer som har blitt installert og kan blokkere nedlasting. Skru av HTML-visning i e-postprogramvare og bruk bare ren tekst. Dersom du (av en eller annen absurd årsak) behøver støtte for HTML i e-post, skru av lasting av eksterne bildefiler. Skru av støtte for informasjonskapsler (cookies) og aktiv skripting i nettleseren. Dersom du bruker sider som er avhengige av cookies, slett dem hver gang du avslutter nettleserprogrammet. Se også SIS-veiledningene Web bugs [6] og Hvordan surfe sikkert: Forstå aktivt innhold og informasjonskapsler [7]. 6

8 3 Identitetstyveri Identitetstyveri er at en person utgir seg for å være en annen gjennom misbruk av personopplysninger. Hensikten er som oftest økonomisk vinning, enten gjennom bedrageri, tyveri, dokumentforfalskning eller andre ulovlige handlinger. Opplysninger som kredittkortnummer, navn og fødselsnummer legger vi igjen overalt. Det er lett å ukritisk oppgi sensitive opplysninger på nettet, også til noen man ikke nødvendigvis vet hvem er (se også trusselen om phishing). I tillegg kan eventuell manglende kryptering åpne for at uvedkommende kan avlytte linjen og få tak i opplysninger på den måten. Andre metoder som benyttes for å få tak i opplysninger er: Innbrudd på datasystemer hvor personopplysninger, eller informasjon som kan lede til slike, er lagret. Gjennomleting av posten eller søppel hvor det både hos bedrifter og enkeltpersoner kan ligge mye interessant informasjon. I følge en rapport fra Federal Trade Comission (FTC) [8] ble 9,9 millioner amerikanere i 2002/2003 utsatt for forbrytelser der deres personopplysninger ble misbrukt. FTC anslår at virksomheter tapte 48 milliarder dollar og forbrukere 5 milliarder dollar, som følge av denne type kriminalitet. En svindler har samlet informasjon om Ola Nordmann og har fått utstedt legitimasjon med hans navn og sitt eget bilde. Svindleren bestiller deretter et kredittkort i Ola Nordmanns navn og bruker det som om det var hans eget. Regningene sendes til Ola Nordmann. Kortutstederen er den store taperen i denne typen saker. Den samme svindleren arbeider som spion for sitt hjemland, får jobb i Ola Nordmanns navn og kan bedrive industrispionasje under falskt navn. I Norge har finansinstitusjoner lov til å bruke en persons fødselsnummer for å kontrollere hans/hennes identitet. Det er dessuten ikke tillatt å gi kreditt uten å sjekke kjøpers identitet. Foretas det en kredittsjekk av kjøpers konto, skal kontoeier ha skriftlig beskjed i etterkant. På denne måten kan det raskt bli avslørt om noen har bestilt et kredittkort i en annens navn. I tillegg er det noen enkle tiltak enkeltpersoner selv kan gjøre for å beskytte seg: Vær forsiktig med å utlevere/legge igjen personopplysninger, både på papir (f. eks. kontoutskrift) og i elektronisk form (f.eks. netthandel). Tenk gjennom hvorfor mottaker egentlig trenger disse opplysningene. Makulér dokumenter eller kvitteringer som kan gi uvedkommende verdifulle opplysninger om de blir funnet. Ved handel på nettet, er det viktig å kontrollere at all informasjon er kryptert når den overføres. Dette kan enklest gjøres ved å se at det står "https://", og ikke "http://", i adressefeltet. For virksomheter kan det være lurt å gjøre en sjekk av identitet ved ansettelse. Se også SIS-veiledningen Vern om dine personopplysninger [9]. 7

9 4 Utilsiktet menneskelig feil De fleste uønskede hendelser mot IKT-systemer skyldes utilsiktede handlinger forårsaket av virksomhetens egne ansatte eller tredjepart som jobber for virksomheten. Problemet øker gjerne i takt med graden av in- og outsourcing av tjenester, og med systemenes kompleksitet og alder. Utilsiktede hendelser kan i teorien inntreffe hvor som helst. Det er derfor vanskelig å etablere varslingssystemer som kan fange opp disse hendelsene. Dette medfører at utilsiktede hendelser avdekkes senere enn tilsiktede handlinger, og dette gjør det mer komplisert å reparere skaden. I tillegg er nødrutiner og beredskapsplaner normalt etablert med tanke på forventede hendelser. Sikkerhet er i stor grad basert på at brukerne selv tar ansvar for å overholde regler ved bruk av systemet. Med økt antall brukere øker også sannsynligheten for at noen bryter reglene, enten med overlegg eller ved et uhell, og med økt omfang øker også konsekvensene. Små hendelser, for eksempel virusangrep, kan spre seg og bli et større problem fordi en unnlater å rapportere eller ikke kjenner rapporteringsveier eller relevante mottiltak. Installasjon av nye systemer med standardinnstillinger kan lede til at systemer installeres med kontoer og passord som inngår i standardoppsett. Leder gir medarbeider beskjed om å omgå regler for eksempel når det haster med en leveranse og man mener man ikke har tid til å følge vanlige rutiner. Medarbeider røper sensitiv informasjon til uvedkommende slik at informasjonen kan misbrukes. Eksterne medarbeidere som er innleid for å utføre tjenester, bringer med seg bærbare datamaskiner med virus og ormer, uten å vite det selv. Disse sprer seg fritt internt. Kampanjer for opplæring og økt sikkerhetsbevissthet blant de ansatte. Utforme klare regler og retningslinjer for hva som er tillatt og hva som ikke er tillatt for brukere av et system. Periodisk informasjon om, og forbedring av, rutiner. Prosesser som krever menneskelig inngripen, må være organisert og dokumentert med tanke på lavest mulig risiko. Det må etableres enkle og hensiktsmessige rapporteringsveier ved oppdagelse av brudd på informasjonssikkerhet. Ledere i virksomheten skal gå foran som gode eksempler og la risikostyring inngå i alle prosesser og lederfora. Inkludere arbeidet med sikkerhet i de innarbeidede rutinene for HMS. Se også SIS-veiledningene om holdninger og adferd [10]. 8

10 5 Utro tjenere Utro tjenere misbruker den tilliten de har som ansatt eller innleid i en virksomhet for å oppnå gevinst eller gjøre skade. Mørketallsundersøkelsen 2003 [1] viser at 50 % av identifiserte gjerningspersoner var egne ansatte. De ansatte i en virksomhet og innleide konsulenter etc. har stor kunnskap om virksomheten og har ofte tilgang til sensitiv informasjon gjennom arbeidet de utfører. Gjennom sin kunnskap og tilgang har de bedre muligheter for å skjule sine spor og kan påføre virksomheten stor skade, ofte større enn hva en ekstern angriper er i stand til å gjøre. En ansatt blir sagt opp og rekker å hente ut sensitiv informasjon før tilgangen til virksomhetens ressurser blir sperret. Vedkommende tar med seg informasjonen i sin nye jobb eller selger den til en konkurrent. Ansatte eller innleid personale legger inn mekanismer for å få tilgang til virksomhetens systemer etter å ha sluttet i jobben. En ansatt selger intern informasjon om virksomheten til konkurrenter for egen økonomisk vinning. En ansatt ønsker å ramme egen virksomhet og slipper løs ondsinnet kode (virus/ormer) fra en klient på det interne nettverket. Dersom virksomheten bare har forsvarsmekanismer ved grensene mot eksterne nett, blir ikke dette fanget opp og stoppet, og kan forårsake store problemer. Ansatte eller innleid personale legger inn feil informasjon eller endrer eksisterende informasjon slik at virksomheten tar feil beslutninger og lider store tap og/eller mister markedsandeler. Overvåking av intern kommunikasjon for å oppdage angrep innenfra. Enkeltmaskiner i virksomhetens interne nett må beskyttes, for eksempel med viruskontroll på alle klienter og personlige brannmurer. Rutiner i form av bestemmelser i ansettelseskontrakten eller lignende forhindrer at ansatte kan ta med seg sensitiv informasjon når de slutter. Rutiner for tilgangskontroll regulerer hvilke IT-ressurser egne ansatte og evt. innleide personer har tilgang til, basert på deres rolle i virksomheten. Bakgrunnssjekk av søkere ved nyansettelser kan hindre at personer som tidligere har vært involvert i kriminalitet blir ansatt i betrodde stillinger. Gjennomgang og grundig kontroll av egenutviklet programvare kan avsløre uønsket funksjonalitet, for eksempel "bakdører", som har blitt bygget inn av utro tjenere som har deltatt i utviklingen av programvaren. Se også SIS-veiledningen Utro tjener [11]. 9

11 6 Misbruk av virksomhetens ressurser Deler av virksomhetens ressurser benyttes til uautoriserte formål. Dette er mulig fordi brukerne har tilgang til store ressurser, mens retningslinjer for bruk, samt kontrollrutiner, mangler. Bruk av ressurser til uautoriserte formål kan svært ofte føre til reduserte ressurser til det virksomheten primært skal drive med, samt tilhørende redusert tilgjengelighet til IT-tjenester. Dette gjelder både båndbredde og lagringsplass. Dessuten utsettes virksomheten på denne måten for trusler som ikke er forbundet med den, og som derfor ikke inngår i noen risikovurdering. Virksomhetens navn henges ofte ut i presseoppslag når slike saker kommer opp. En annen sårbarhet ligger i at nedlasting og/eller distribusjon av f.eks. filmer og musikkfiler ofte foregår via fildelingsprogram. Flere virus, ormer og bakdører spres via slike programmer, og de vil kunne ramme virksomhetens systemer i tillegg til å spre seg videre til andres nettverk. Virksomheter er utsatt for slikt misbruk både fra interne brukere og utenforstående som bryter seg inn. En eller flere ansatte laster ned store mengder film, musikk og/eller pornografisk materiale og distribuerer dette videre via virksomhetens servere. Ansatte bruker virksomhetens dataressurser til egen privat forretningsvirksomhet. Dette kan føre til redusert tilgang på ressurser. Utenforstående gjør innbrudd på servere og kan gjennomføre ovennevnte scenarier i tillegg til å bruke virksomhetens servere til utsending av uønsket e- post/spam. Virksomheten kan oppfattes som avsender. Når forhold av ovennevnte karakter avdekkes, kan virksomheten få negativ presseomtale. Dessuten kan hendelsene være brudd på lover og forskrifter med fare for påtale og straff også for virksomheten. Virksomheter må informere ansatte om hva de har lov til med hensyn til bruk av arbeidsgivers ressurser. Det er hver enkelt virksomhet sitt ansvar å sette rammene. Holdningsskapende tiltak vil gjøre det lettere å forstå hva som er rett og galt. Ansatte må skriftlig bekrefte at de er kjent med regelverket. Nødvendige kontroller må gjennomføres for å følge opp at retningslinjer etterleves. Slike kontroller omfatter overvåking av bruk av lagringsressurser samt nettrafikk innen de begrensninger som lovverket setter. Se også SIS-veiledningen Personell og sikkerhet [12]. 10

12 7 Tap av mobile enheter Med stadig større lagringskapasitet er mobile enheter ideelle til oppbevaring av presentasjoner, kundeinformasjon, avtaler og kontrakter når man er på farten. Ved tap kan alt dette havne i hendene på uvedkommende. Mobile enheter er små og lette, og har etterhvert fått økt anvendelsesområde og plass til store mengder informasjon. De er derfor hendige å ta med på reiser og møter, noe som øker sannsynligheten for tap/tyveri. Mørketallsundersøkelsen 2003 viser at én av fire virksomheter er utsatt for tyveri av IT-utstyr, inkludert mobile enheter, og en undersøkelse utført av Pointsec Mobile Tech. viser at det glemmes så mange som 400 PDA-er, 1700 mobiltelefoner og 110 bærbare PC-er i Oslo-drosjene over en periode på seks måneder [13]. Ved tap av mobile enheter er det ikke nødvendigvis erstatningskostnaden for selve enheten som er den store byrden, men det at informasjonen kommer på avveier. Slik informasjon kan være e-post, tilbud, konstruksjoner, presentasjoner og kontaktlister. Det at informasjonen kommer på gale hender, vil ofte være en større trussel enn at informasjonen går tapt, iallfall når det gjelder PDA-er i de fleste tilfellene har man synkronisert PDA-en med PC-en, og har dermed en kopi av alt på PC-en på kontoret. Minnepinner og mp3-spillere er også eksempler på mobile enheter der man ofte vil ha informasjonen på en PC i tillegg. Du sitter i drosjen på vei til et kundemøte. Idet du skal til å betale, ringer telefonen. Du tar den og prater mens du ordner med betalingen. I virvaret med mobiltelefon, kredittkort og lommebok, faller PDA-en ut av jakkelommen din og blir liggende i setet. Du merker ikke at det skjer og forlater drosjen. Den neste som setter seg inn i drosjen, finner PDA-en og tar den med seg. Du er i et møte hos en kunde, og når du og resten av forsamlingen går til lunsj, lar du PDA-en ligge igjen på bordet. Møterommet låses, men det er et rom som alle de ansatte har nøkkel til. En uvedkommende går inn, finner PDA-en og leser e-posten og avtaleboken din. Passord blir det ikke spurt etter; personen kan gjøre hva som helst med PDA-en. Ikke oppbevar mobil enhet uten tilsyn under møter, konferanser eller i bilen. Sikkerhetsmerking av PC dette reduserer omsetningsverdien. Adgangskontroll til kontor. Fysisk sikring av bærbar PC, f. eks. sikkerhetslenke. Unngå oppbevaring av forretningskritisk informasjon på mobile enheter. Kryptering av informasjonen også mulig på PDA-er og noen mobiltelefoner. Tilgangskontroll til PC sterke passord eller biometrisk autentisering. Sikkerhetskopi av informasjon. Se også SIS-veiledningen om policy for bruk av PDA [14]. 11

13 8 Single-point-of-failure Kontinuerlig tilgang til IT-systemer og Internett er viktig i det daglige arbeidet til norske virksomheter. Dersom tjenestene er utilgjengelige over lengre tid, og uten forvarsel, vil det for de fleste medføre tap av inntekter og økte kostnader. Kravene til tilgjengelighet for informasjon og tjenester på Internett har utviklet seg over tid, uten at dette er reflektert i krav til infrastruktur og driftsavtaler. Svært få virksomheter har avtaler som setter krav til at tjenester skal være tilgjengelige, også dersom en del av et nettverk blir angrepet. Enda færre har avtaler med alternative internettleverandører (ISP-er) dersom hovedleverandøren får problemer. Mangel på redundans i egne IT-systemer kan også føre til tap og nedetid ved feil. Dersom det for eksempel ikke er tatt back-up av viktige data, kan dette gi alvorlige problemer for en virksomhet. Det samme gjelder dersom man ikke har alternative løsninger på plass hvis interne rutere eller servere feiler eller ved omlegging av IT-systemer. Dersom IT-systemer eller Internett blir utilgjengelig, kan dette gjøre det vanskelig å utføre det daglige arbeidet. Kommunikasjon med kunder og samarbeidspartnere blir mer tungvint, og innhenting av informasjon kan bli vanskelig. Mørketallsundersøkelsen 2003 [1] viser at mer enn to tredjedeler av virksomhetene i Norge vil få vesentlige problemer etter én dag dersom de viktigste IT-systemene er ute av drift. Det skal bygges ny vei, og gravearbeidet er godt i gang da gravemaskinen river opp en kabel som blir brukt for å tilby Internett-kommunikasjon. De alternative rutene blir overbelastet, og mange av de som bruker Internett opplever at ting går veldig tregt, eller at de ikke får tilgang i det hele tatt. Virksomheten skal legge om websystemene, men dette viser seg mer komplisert enn antatt, og nettsiden blir utilgjengelig i flere dager. En harddisk med viktig informasjon krasjer. Virksomheten har back-up, men når man forsøker å hente fram data fra denne, viser det seg at de er av for dårlig kvalitet. En ny webbasert tjeneste blir satt i drift, men systemet er ikke tilpasset antall brukere, og tjenesten blir utilgjengelig [15]. Når man inngår avtaler med ISP-er, og ved vurdering av egne IT-systemer, bør man sørge for: Å stille krav til jevnlig risikovurdering. At teknologi og rutiner blir kontinuerlig oppgradert for å ivareta et akseptabelt nivå av motstandsdyktighet i forhold til aktuelle trusler. At det foreligger dokumenterte beredskapsplaner. At det er redundans i infrastrukturen. Se også SIS-veiledningen om risikostyring [16]. 12

14 9 Tjenestenekting (Denial-of-Service DoS) Svært mange virksomheter er avhengige av at IKT-systemene er tilgjengelige. Uforutsett nedetid kan skyldes for eksempel strømbrudd eller diskkrasj, eller kan være et resultat av målrettede angrep fra utenforstående. Tjenestenekting innebærer at en tjeneste er utilgjengelig over lengre tid uten at det er en del av planlagt nedetid, for eksempel for vedlikehold. Målrettede tjenestenektingsangrep blir gjennomført ved at flere tusen maskiner (botnet) samtidig bombarderer en tjenestemaskin (målet) med trafikk. Botnet med flere tusen maskiner blir rutinemessig benyttet til utpressing og angrep på bl.a. nettbaserte bookmaker-firmaer. Mye tyder på at organiserte kriminelle i Russland står bak en stor del av denne virksomheten. Mange nettbaserte tjenester har bare kapasitet til å håndtere normal bruk, og er ikke skalert til å håndtere de ekstreme trafikkmengdene som følger av et tjenestenektingsangrep. Den første varianten av ormen Mydoom, oppdaget i januar 2004, var programmert til å gjennomføre et distribuert DoS-angrep mot nettsidene til UNIXselskapet SCO. Ormen spredte seg med enorm hastighet via e-post og fildelingsnettverk, og lyktes med angrepet. Selskapets nettsider ble utilgjengelige, og de måtte endre nettadresse for å bli tilgjengelige på nettet igjen. Dette er et eksempel på at virus og ormer kan benyttes til å utføre målrettede tjenestenektingsangrep, og hvor det kan være veldig vanskelig å spore opp de(n) skyldige. I juni 2004 ble tjenesteleverandøren Akamai utsatt for et målrettet, distribuert DoS-angrep. Dette rammet store kunder som Microsoft, Yahoo og Google slik at brukere verden over ikke kom inn på deres nettsider. Tjenestenekting kan også være en bieffekt av andre typer angrep. For eksempel kan spam og virus medføre så store mengder trafikk mot en e-postserver at det oppstår store forsinkelser eller at serveren går ned, slik at e-posttjenesten blir utilgjengelig. For å minske effekten av tjenestenektingsangrep, bør man planlegge for et trafikkvolum som langt overskrider den forventede trafikkmengden til en nettbasert tjeneste. Oppdaterte sikringsmekanismer og oppfølging av patching, både av virksomhetsog hjemmemaskiner, kan begrense skaden av virus/ormer. Eventuelle svake punkter (single-points-of-failure) for en tjeneste bør sikres med redundans gjennom backup-servere. En angriper kan omdirigere sitt angrep til det nye systemet, men dette øker risikoen for å bli oppdaget og gjør det vanskeligere å lykkes med et angrep. Ha rutiner for å flytte nettsider og andre tjenester til andre IP-adresser dersom et angrep skulle ramme systemet. Flere SIS-veiledninger tar for seg forskjellige problemstillinger knyttet til tjenestenekting. Se DoS og DDoS hva er det? [17], Sikkerhetsoppdateringer [18] og Oppsett og sikring av en webserver [19]. 13

15 10 Datainnbrudd Datainnbrudd innebærer å skaffe seg uautorisert tilgang til dataressurser. Bakgrunnen kan være alt fra personlig ærgjerrighet til hærverk eller ren industrispionasje, men maskinressurser og sensitive data er alltid i faresonen. De aller fleste IT-systemer er plaget med et større eller mindre antall sikkerhetshull som inntrengere kan benytte for å bryte seg inn. Svært mange systemer er ikke oppdatert mot kjente sårbarheter eller er konfigurert på en utilfredsstillende måte, slik at innbrudd er mulig. På Internett er det lett å finne programmer som utnytter kjente sårbarheter og gjør det mulig å bryte seg inn i IT-systemer. Selv om et system er oppdatert og riktig satt opp, kan en angriper utnytte nye sårbarheter som ikke er utbedret eller som oppstår ved daglig bruk av systemet. Eksempler på dette er dårlige passord eller brukere som laster ned ondsinnet programvare, for eksempel virus som installerer bakdører på infiserte maskiner. Mange inntrengere benytter seg av sosial manipulering, dvs. at de prøver å skaffe seg kunnskap om en virksomhet ved å få ansatte til å avsløre informasjon som for eksempel hvilke datasystemer som kjøres, hvor sentrale servere er plassert, passord etc. Ansatte i en virksomhet har bedre muligheter enn eksterne, og en stor andel av de datainnbrudd som blir oppdaget er gjort av innsidere. En inntrenger bryter seg inn på et IT-system og installerer en bakdør. Bakdøren gir vedkommende adgang til systemet og dermed muligheter for å lese og stjele informasjon fra virksomheten. Uvedkommende endrer nettsidene til en virksomhet slik at de viser feilaktige opplysninger (defacing). Inntrengere skaffer seg tilgang til filtjenere og benytter disse til å spre ulovlig eller opphavsrettslig beskyttet materiale. Jevnlige søk etter sårbarheter og kontroller av egne systemer kan avdekke sikkerhetshull som inntrengere kan utnytte. Sørg for å bli informert om kjente sårbarheter i programvare og installér sikkerhetsoppdateringer for relevant programvare (patching). Overvåkning og filtrering av trafikk ved hjelp av systemer for inntrengingsdeteksjon (IDS) kan avdekke forsøk på innbrudd. Integritetskontroll av viktige konfigurasjons- og systemfiler kan avdekke uautoriserte endringer som kan tyde på innbrudd De ansatte i virksomheten må gjøres kjent med og få opplæring i sikkerhetsrutiner, for eksempel retningslinjer for valg av passord og regler for installering og kjøring av programvare. SIS har utarbeidet flere veiledninger som tar for seg problemstillinger knyttet til datainnbrudd. Se Deteksjon av datainnbrudd [20], Sikkerhetsoppdateringer [18], Valg og beskyttelse av passord [21], Unngå å bli offer for sosial manipulering og phishing [5] og Logging [22]. Dessuten tilbyr SIS en varslingstjeneste om nye sårbarheter, sikkerhetsoppdateringer og tilsvarende (se baksiden av rapporten). 14

16 11 Misbruk av trådløs kommunikasjon Sikkerhet får ofte ikke nok fokus når man setter opp trådløse nett. Mange trådløse nett er helt åpne, slik at enhver som befinner seg i nærheten med en PC og WLANkort både kan avlytte trafikken og koble seg til nettet. I følge Mørketallsundersøkelsen 2003 har hver tredje norske virksomhet tatt i bruk trådløse nett. Slike nett er praktiske og gir brukere større frihet, men de trenger ekstra sikkerhetsmekanismer sammenlignet med kabelbaserte nett. Med et kabelbasert nettverk uten Internett-tilknytning er det nødvendig med fysisk tilgang til selve nettet for å få tilgang til maskiner og nettrafikk. Med Internett-tilknytning er man utsatt for inntrengere utenfra, men de er henvist til å gå via spesielle kontaktpunkter som kan sikres spesielt. Gjennom trådløse nettverk kan en inntrenger imidlertid få tilgang til nett uten å gå via slike kontaktpunkter. I et trådløst nettverk som ikke er beskyttet, går trafikken i klartekst og kan lett avlyttes. Utenforstående kan også enkelt få tilgang til nettet. Likevel viser Mørketallsundersøkelsen 2003 at over 30 % ikke sikrer dataene i slike nett. Svært mange bedriftsnettverk er godt beskyttet mot angrep utenfra, mens man ofte møter svært få begrensninger dersom man først har fått tilgang til nettet. Dårlig sikrede trådløse nett kan dermed øke risikoen for andre angrep. En konkurrent avlytter det usikrede trådløse nettet i virksomheten, og klarer på den måten å skaffe seg informasjon som gir konkuransefortrinn. Uvedkommende avlytter det trådløse nettet, og klarer å snappe opp en e-post fra en ny kunde. Avlytteren svarer så på denne e-posten som om han var rettmessig mottaker, og firmaet mister kunden på grunn av dårlig behandling. Uvedkommende benytter nettet til å spre spam og ulovlig og/eller opphavsrettslig beskyttet materiale. Bedriften blir holdt ansvarlig. Sørg for at sikkerhetsfunksjonene er skrudd på. Alt utstyr basert på IEEE standardene skal i hvert fall støtte WEP (Wired Equivalence Protocol). Det er alvorlige svakheter i denne protokollen, og sikkerhetsmekanismene kan forseres ved hjelp av programvare som er tilgjengelig på Internett. Likevel vil WEP motvirke angrep fra "tilfeldige" hackere. For å forsvare et trådløst nett mot angrep fra dedikerte inntrengere, bør man ta i bruk den utvidete sikkerhetsfunksjonaliteten som er spesifisert i "Wi-Fi Protected Access" (WPA). Se også SIS-veiledningen "Sikring av trådløse nettverk" [23]. 15

17 12 Sikkerhetshull i standard programvare Ingen programmer leveres feilfrie, men når feilene utgjør en sikkerhetsrisiko, kan de utgjøre en stor trussel mot virksomhetens IKT-systemer. De siste par årene har antallet virus og ormer eksplodert, og mange av dem utnytter svakheter, såkalte sikkerhetshull, i programvare. Informasjon om slike sikkerhetshull spres raskt, og det er ikke alltid leverandøren som oppdager dem først. Det medfører at også de med onde hensikter har kjennskap til hvilke programmer som kan utnyttes på hvilken måte. En angriper kan utnytte slike sikkerhetshull på flere måter, ikke bare gjennom å lage virus eller ormer. Utnyttelse av såkalte buffer overflyt-problemer resulterer i mange tilfeller i at angriper kan oppnå full tilgang til og kontroll over gitte systemer. På denne måten kan informasjon ødelegges eller komme på avveier, samt at de kompromitterte systemene kan benyttes som utgangspunkt for videre angrep. Systemeier får dermed utfordringen med å bevise sin uskyld. Ifølge Symantec viser data fra de seks første månedene av 2004 at gjennomsnittstiden det tar fra et sikkerhetshull blir offentliggjort til det finnes kode som utnytter dette sikkerhetshullet, er 5,8 dager. Dette gir virksomheter mindre enn en uke til å installere sikkerhetsoppdateringer på sine systemer [24]. Ormen Nimda ble oppdaget på Internett 18. september Den utnyttet et sikkerhetshull som var kjent lenge i forveien, og sikkerhetsoppdatering var tilgjengelig allerede 17. oktober Sasser-ormen derimot, ble oppdaget 1. mai 2004, og sikkerhetsoppdateringen for det hullet som her ble utnyttet, ble publisert 13. april 2004, altså bare 18 dager i forveien. Dette viser at det går stadig kortere tid mellom publisering av en sikkerhetsoppdatering og ondsinnet kode som utnytter sikkerhetshullet denne skal tette. Et sikkerhetshull i en nettleser kan utnyttes av en angriper til å utføre phishing. Angriper kan få nettleseren til å vise falskt adressefelt og pop-up-vinduer som ber brukeren om å skrive inn personopplysninger samt kredittkortnummer. Denne informasjonen får angriper dermed tilsendt og kan utnytte den videre til kredittkortsvindel. Sikkerhetsoppdateringer bør installeres så snart de er tilgjengelige. Dersom ressursene er til stede, er det ofte lurt å teste ut sikkerhetsoppdateringene i et egnet testmiljø før de rulles ut i hele organisasjonen. Dersom man ikke har anledning til å installere sikkerhetsoppdateringer for et sikkerhetshull som har blitt kjent dette kan være fordi oppdateringen ennå ikke er tilgjengelig kan man vurdere å endre enkelte konfigurasjonsinnstillinger. Dette kan være med på å hindre at hullet blir utnyttet på det gitte systemet, eller begrense skadeomfanget. Se også SIS-veiledningen om sikkerhetsoppdateringer [18]. 16

18 13 Sikkerhetshull i spesialutviklet programvare Virksomheter som selv administrerer eller utfører programvareutvikling, er i stor grad eksponert for risiko ved at utilsiktede feil eller tilsiktet ondsinnet kode legges inn i programvaren. Applikasjoner som utvikles i dag er ofte beregnet for bruk i et webmiljø. Dette medfører et stort antall brukere og dermed også mange mulige misbrukere. Denne typen applikasjoner utvikles under stort tidspress, noe som ofte medfører manglende kontrollrutiner og lite sikkerhetstesting med tanke på mulig misbruk. Mange webapplikasjoner er forbundet med e-handel og gjerne med betaling til leverandør i utlandet. I tillegg skal applikasjonen integreres med etablerte, komplekse systemer. Denne kompleksiteten kan medføre at det blir vanskelig å reversere transaksjoner etter at en oppdager applikasjonsfeil eller misbruk. Virksomhet har outsourcet sin utvikling av ny webapplikasjon for e-handel. All funksjonalitet synes å være på plass, men ingen avdekker at applikasjonen inneholder kode som overfører kopi av informasjon fra kredittkort som benyttes som betalingsmiddel. Kredittkortinformasjon selges med etterfølgende misbruk. Børsnotert selskap med verdensomspennende kontornett setter i drift nytt system for rapportering av regnskapsdata over Internett. En utilsiktet feil i koden gjør at denne informasjonen også blir tilgjengelig for uvedkommende, og disse gjennomfører store transaksjoner på børsen. Selskapet mistenkes for innsidehandel. Gjennomfør detaljert risikovurdering ved nyutvikling og endring av applikasjoner. Sørg for at sikkerhet bygges inn i programvaren helt fra begynnelsen av utviklingsfasen. Etablér klare ansvarsforhold for hvem som kan godkjenne applikasjoner. Gjennomfør applikasjonstesting med spesiell fokus på hva som kan gå galt. La også ukjente brukere teste. Gjennomfør totalt skille mellom funksjonene testing og utvikling. Outsourcing av utviklingsmiljø må ledsages av hensiktsmessige interne kontrollrutiner. Som ledd i kriseplanene, må en også vurdere tiltak for å rette opp utilsiktede programfeil. Etablér forsikring som begrenser katastrofale tap etter for eksempel datakriminalitet. Les om evaluering av IT-sikkerhet i produkter og systemer i SIS-veiledningen The Common Criteria [25], samt om risikostyring [16]. Sistnevnte har mest fokus på kommuner, men inneholder likevel relevante momenter for programvareutvikling. 17

19 14 Virus og ormer Ondartet programvare (virus, ormer og trojanske hester) er det sikkerhetsproblemet som berører flest brukere av IKT-systemer. Virus og ormer kopierer seg selv og forsøker å spre seg til flest mulig systemer. Et virus trenger aktiv input fra en bruker for å kjøre, for eksempel aktivering av vedlegg til e-post, mens en orm er et frittstående program. En trojansk hest utfører skjulte funksjoner i tillegg til det som er synlig for brukeren, for eksempel bakdører som åpner for uautorisert innlogging på maskiner Virus og ormer sprer seg ved hjelp av mange forskjellige teknikker: Via e-post: Utnytter sårbarheter i e-postprogramvaren eller kjøres når mottakeren åpner meldingen eller et vedlegg. Via fildelingsprogrammer: Kopierer seg selv til katalogen med delte filer. Andre brukere laster ned filen og blir infisert (Netsky, Zafi). Via pratekanaler som IRC, ICQ, MSN/Windows Messenger o.l.: Oppfordrer mottakere til å klikke på en hyperlenke (Bizex). Pratekanaler kan også brukes for distribusjon av trojanske hester. Via lokalnettverk: Viruset kopierer seg selv til filer med "interessante" navn eller til oppstartskatalogen (Netsky, MyDoom). Ved hjelp av sikkerhetshull i programvare (Blaster, Sasser). Viruset installerer bakdører på brukerens maskin slik at den kan brukes til å sende ut spam eller delta i tjenestenektingsangrep (Sobig.F). Viruset registrerer/stjeler passord til systemer eller eksterne applikasjoner (nettbank etc.) og sender passordene til eksterne mottagere (Dumaru). Viruset sletter visse typer filer på infiserte maskiner (MyDoom.F). Viruset sender kopier av lokale filer til uvedkommende (Klez). Installér antivirusprogramvare og benytt automatisk oppdatering. Sørg for virusskanning av all innkommende e-post. Vedlegg til e-post fra ukjente avsendere bør aldri åpnes. Vær også forsiktig med e-post fra kjente avsendere; evt. kontakt avsender før du åpner vedlegg. Stol ikke på ikoner som representerer vedlegg til e-post. Vær oppmerksom på filnavn med doble suffikser, for eksempel filnavn.gif.bat. Aktivér sikkerhetsmekanismer i e-postprogramvare; skru av automatisk visning av e-post og vedlegg. Sørg for å regelmessig laste ned oppgraderinger til all programvare. Publiserte sikkerhetshull er spesielt utsatt for angrep. Bruk helst automatisk oppdatering av programvare, for eksempel Windows Update. SIS har en rekke veiledninger som adresserer problemet med ondsinnet kode og hvordan man kan beskytte seg. Se "Ondsinnet programvare" [26], "Unngå virus" [27], Vis forsiktighet med vedlegg til e-post [28], Antivirusprogramvare [29], Sikker bruk av IM [30], Hvordan surfe sikkert: Forstå aktivt innhold og informasjonskapsler [7] og Hvordan skru av Active Scripting i MSIE [31]. 18

20 15 Ukritisk bruk av e-post E-post har erstattet store deler av korrespondansen som tidligere gikk i papirform, bl.a. med kunder og partnere. E-post blir sjelden loggført og arkivert, og saksbehandlingen kan bli vanskelig å spore eller gjenskape. De fleste virksomheter har rutiner for arkivering av papirdokumenter, men mange mangler rutiner for å logge og arkivere e-post som sendes til og fra de ansatte, selv den som inneholder informasjon som er virksomhetskritisk. E-post har i utgangspunktet ingen leveringsgaranti, men mange er ikke klar over eller tar ikke hensyn til det. Tilbud, avtaler, kontrakter og andre typer informasjon som involverer juridiske forpliktelser, utveksles per e-post uten at papirkopier sendes i tillegg som sikring. Bruken av e-post i stedet for papirpost har ført til en sterk økning i antall meldinger, og det kan være vanskelig å avgjøre hva som er arkivverdig. En annen utfordring er at en god del e-post er av privat karakter og ikke skal overvåkes, dersom ikke de ansatte er gjort kjent med og har akseptert det. En e-post med sensitive opplysninger blir ved et uhell sendt til feil mottager. Mottageren offentliggjør opplysningene eller driver utpressing ved å true med å selge opplysningene til konkurrenter. En medarbeider slutter og e-posten til vedkommende slettes. All informasjon går dermed tapt, inkludert kritisk informasjon som ikke er arkivert. En ukryptert e-post med et anbud sendes mellom to bedrifter, mens en konkurrent avlytter linjen og får tak i anbudet. Uvedkommende avlytter og endrer på e-post før den når rette mottaker. Rettsvesenet godtar elektroniske dokumenter som juridisk bindende, og avsenderen blir holdt ansvarlig for den modifiserte informasjonen. Virksomheten bør ha klare retningslinjer for behandling og utveksling av bedriftssensitiv informasjon, og for hvordan man generelt kan redusere risikoen forbundet med e-post Virksomheten bør vurdere mulige metoder for logging og arkivering av e-posten, og medarbeidere må få opplæring i hvordan de kan bruke e-post fornuftig og i henhold til retningslinjene. Alle e-postbrukere må være klar over at e-post i seg selv ikke er en sikker kommunikasjonsform. Visuell kontroll; man bør alltid lese over hvilke mottakeradresser som er skrevet inn og hvilke dokumenter som er vedlagt før e-posten sendes. Kryptering og signering av e-post beskytter mot at uvedkommende får tilgang til innholdet og gir garanti for at avsenderen er korrekt. Se også SIS-veiledningene E-post og personvern [32] og Forstå digitale signaturer [33]. 19

21 16 Spam Mye arbeidstid går med til å håndtere spam-meldinger. I denne prosessen er det stor risiko for at viktig e-post blir forvekslet med spam og blir slettet. I tillegg fyller spam opp e-postkasser og overbelaster nettverk og e-posttjenere. Spam er uønsket e-post, vanligvis med kommersielt formål, som sendes ut til mange mottagere. I Norge er det ulovlig å sende ut e-post med reklame uten at mottageren har gitt tillatelse [34]. er også satt i verk i flere andre land, blant annet i form av internasjonale samarbeidsavtaler [35], men mange land mangler fortsatt lovregulering. Det er i utgangspunktet svært lave kostnader forbundet med å sende ut et enormt antall likelydende e-postmeldinger. Dermed er spam lønnsomt for utsenderen, selv om han får tilslag på bare en mikroskopisk andel av de utsendte meldingene. Det er også enkelt å få tak i e-postadresser fra for eksempel nettsteder. Mange virus og ormer installerer bakdører på infiserte maskiner, og disse kan bli utnyttet til å sende ut spam. Undersøkelser viser at minst 30 % av all spam kommer fra slike maskiner [36]. Den totale mengden av spam på Internett viser ingen tegn til å avta og utgjør godt over halvparten av den totale e-postmengden. For eksempel rapporterer Message- Labs at deres målinger har variert mellom 53% og 95% fra januar til november i 2004 [37]. Du åpner innboksen på jobben, og oppdager mange nye e-postmeldinger. Det viser seg at de fleste er spam, og du sletter i veg. Uten at du merker det, sletter du også en melding som kommer fra en viktig kunde. Du får telefon fra en kunde som er sint fordi du aldri svarer på e-post. Du skjønner ikke problemet, for du har aldri mottatt e-post fra vedkommende. Det viser seg imidlertid at e-postene har blitt stoppet av spam-filteret. På grunn av store mengder spam blir e-posttjenere hos ISP-en og/eller virksomheten din overbelastet. Ansatte mister tilgang til e-post, tid og penger går med til opprydding, og viktig e-post går tapt. Ikke legg e-postadresser ut i klartekst på nettsider, og vær kritisk når du blir bedt om å oppgi adresse. Bruk evt. ulike e-postadresser til forskjellige formål. Sørg for at maskiner som håndterer e-post er korrekt satt opp og konfigurert slik at de ikke kan misbrukes til å formidle spam. Benytt et anti-spamprogram for å sortere ut spam, helst på servernivå. Hold programvaren oppdatert. Se også SIS-veiledningene Mottiltak mot uønsket e-post [38] og "Fordeler ved bruk av blindkopi (Bcc:)" [39]. 20

22 17 Hurtigmeldinger (IM) og pratekanaler En ny generasjon medarbeidere er vant til å bruke hurtigmeldinger til å holde kontakten med venner, men det er viktig å ta de rette forholdsreglene når slike verktøy også baner seg vei inn i organisasjoners daglige virksomhet. I det følgende brukes IM som en samlebetegnelse på alle former for sanntidskommunikasjon (AIM, IRC, ICQ, MSN Messenger etc.). Enkelte analytikere mener at om kort tid vil bruk av IM overgå e-post for "forretningsformål". En stor del av dagens virusinfeksjoner skjer via IM ved at ondsinnede individer (eller automatiserte prateprogrammer - "bots") prøver å få mottagere til å klikke på en hyperlenke som fører til nedlasting av ondartet kode (ormen Bizex). IM er en nyere teknologi enn e-post for mange, slik at selv om de er bevisste på mulig ondsinnet kode via e-post, så tenker de ikke like mye over faren for det samme via IM. Dermed vil mange brukere klikke ukritisk på filer for nedlasting..pif-filer er blant de man skal være oppmerksomme på, ormene Kelvir og Serflog spres med slike filer. Dersom IM-klienten er satt opp til å automatisk laste ned filer som tilbys i en samtale, vil terskelen for infeksjon være tilsvarende lavere Gratis IM-tjenester opererer ofte fra eksterne tjenere som brukerne ikke har kontroll over, og ettersom trafikken er ukryptert kan den avlyttes. Arne Ansatt prater med sin tvilsomme bekjent dad00d mens han sitter og drikker kaffe på kontoret. Samme dad00d sier "Hey, check out this c00l utility I just wrote", og tilbyr filen util.exe for nedlasting. Filen inneholder imidlertid et virus, og når Arne kjører programmet, blir alle bedriftens maskiner infisert. Bedriften må bruke flere dagsverk for å rydde opp etter viruset. Frode Funksjonær diskuterer et kontraktsutkast med Magne Mellomleder over IM. Informasjonen kommuniseres imidlertid via en tjener som kontrolleres av Kåre Konkurrent, og han får dermed kjennskap til viktige detaljer om kontrakten som skulle vært hemmelige. Etablér retningslinjer for hvilken type informasjon som tillates kommunisert via IM. Bevisstgjør medarbeidere på hvilke trusler virksomheten eksponeres for ved at IM benyttes. Vurdér om det skal legges begrensninger på hvilke typer IM-klienter som skal tillates brukt innenfor virksomheten. Aktivér sikkerhetsmekanismer i IM-programvare; skru av automatisk nedlasting av filer. Identiteter bør konfigureres slik at i utgangspunktet kun brukere som er forhåndsgodkjent kan kommunisere med dem. Se også SIS-veiledningen "Sikker bruk av IM og pratekanaler" [30]. 21

23 Trender Her beskrives trender og utviklinger i trusler mot IKT-systemer som SIS mener vil få økt betydning og som norske virksomheter bør være oppmerksomme på. Phishing på norsk Det første tilfellet av phishing direkte rettet mot norske bankkunder ble rapportert 17. mars SIS anser det for sannsynlig at vi vil se flere slike tilfeller i tiden framover, og at de som står bak, kommer til å finne fram til nye triks for å omgå de ekstra sikkerhetsmekanismene som ofte brukes i norske nettbanker, for eksempel at man i tillegg til brukernavn og passord også må oppgi en engangskode fra en passordkalkulator eller kodekort. I tråd med trenden som sier at mye kommunikasjon som før gikk via e-post nå går som hurtigmeldinger (IM), ser vi nå eksempler på at også phishing følger etter. Det er også rimelig å forvente at andre former for identitetstyveri i Norge vil øke i tiden fremover. IP-telefoni, VoIP Stadig flere bedrifter og privatpersoner går over til å bruke en eller annen form for IPtelefoni. Det er mange forskjellige alternativer på markedet, fra rene programvareløsninger som Skype, til bokser med forskjellig grad av kompleksitet som leveres av Telio, IP24, NextGenTel m.fl. Mange av de programvarebaserte løsningene har funksjonalitet som grenser opp mot hurtigmeldinger (Instant Messaging, IM), og vil derfor være utsatt for mange av de samme truslene som disse. Generelt later det til at markedet ikke har full oversikt over de sikkerhetsmessige konsekvensene av IPtelefoni, og det er derfor rimelig å forvente at nye trusler vil materialisere seg. Vinningskriminalitet på nettet Forrige trusselrapport fra SIS rettet oppmerksomheten mot at stadig flere virus og ormer foretar en stille infisering av målmaskinene, for så å bli aktivert på et senere tidspunkt. En avgjørende årsak til dette er at slik ondartet kode i større grad nå brukes for økonomisk vinning av forskjellig slag, slik som utpressing vha. botnett, phishing eller utsending av spam. Outsourcing til utlandet Flere norske virksomheter har satt, eller setter nå ut, driftsfunksjoner, systemutvikling og andre oppgaver til utenlandske tilbydere. I tillegg til de sedvanlige sikkerhetsutfordringene (og gevinstene) ved lokal outsourcing, må man ved outsourcing til utlandet forholde seg til momenter som språkbarrierer, kulturforskjeller og eventuelt forskjellige tidssoner. Gamle trender blir som nye Mange av trendene fra forrige trusselrapport anses for å ha fortsatt aktualitet, og gjengis under til glede for nye lesere. 22

Trusler og trender. Martin Gilje Jaatun. Martin.G.Jaatun@sintef.no. www.norsis.no 29.09.2005

Trusler og trender. Martin Gilje Jaatun. Martin.G.Jaatun@sintef.no. www.norsis.no 29.09.2005 Trusler og trender Martin Gilje Jaatun Martin.G.Jaatun@sintef.no 1 SIS trusselrapport Trusler mot IKT-systemer i Norge Basert på åpne kilder Suppleres med månedlige rapporter Kan leses på 2 Spesielle forhold

Detaljer

IKT trusselbilde for Norge

IKT trusselbilde for Norge IKT trusselbilde for Norge Senter for informasjonssikring Oktober 2004 Forord Senter for informasjonssikring (SIS) har som en prioritert oppgave å presentere et helhetlig bilde av trusler mot IKT-systemer

Detaljer

IKT trusselbilde for Norge

IKT trusselbilde for Norge for Norge Senter for informasjonssikring (SIS) SINTEF, 7465 Trondheim Tlf: (+47) 73 59 29 40 Fax: (+47) 73 59 43 02 E-post: post@norsis.no Web: http://www.norsis.no Sist oppdatert: 4. Innledning Bakgrunn

Detaljer

Månedsrapport oktober 2004

Månedsrapport oktober 2004 Månedsrapport oktober 2004 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

Månedsrapport Februar 2005

Månedsrapport Februar 2005 Månedsrapport Februar 2005 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

Trusler, trender og tiltak 2009

Trusler, trender og tiltak 2009 Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring Hvordan kan vi være til nytte? Internett har endret oss Trusselaktører / fienden Trusselaktører Mål Evne

Detaljer

Månedsrapport Januar 2005

Månedsrapport Januar 2005 Månedsrapport Januar 2005 www.norsis.no Senter for informasjonssikring (SIS) ble etablert på oppdrag fra Nærings- og handelsdepartementet, og sorterer nå under Moderniseringsdepartementet. En av senterets

Detaljer

Hvordan gjennomføres id-tyverier og hva kan gjøres. Tore Larsen Orderløkken Leder NorSIS

Hvordan gjennomføres id-tyverier og hva kan gjøres. Tore Larsen Orderløkken Leder NorSIS Hvordan gjennomføres id-tyverier og hva kan gjøres Tore Larsen Orderløkken Leder NorSIS 1 Noen definisjoner Identitetstyveri Uautorisert innsamling, besittelse, overføring, reproduksjon eller annen manipulering

Detaljer

Brukerdokumentasjon Trend Antivirus for KAT A klienter InnsIKT 2.0 Versjon 1.0

Brukerdokumentasjon Trend Antivirus for KAT A klienter InnsIKT 2.0 Versjon 1.0 Logica AS Tlf: +47 22 57 70 00 Brukerdokumentasjon Trend Antivirus for KAT A klienter InnsIKT 2.0 Godkjennelse Forfatter: Logica Date Leder: Date Innholdsfortegnelse Innholdsfortegnelse... 2

Detaljer

Månedsrapport Mars 2005

Månedsrapport Mars 2005 Månedsrapport Mars 2005 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

Månedsrapport september 2004

Månedsrapport september 2004 Månedsrapport september 2004 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

Sikkerhet og internett

Sikkerhet og internett Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet Stoler du på denne mannen? 25.01.2008 Om sikkerhet på Internettet ved Hans Nordhaug 2 1 Nei? Og likevel er du på

Detaljer

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet Stoler du på denne mannen? 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 2 Jepp Derfor fant du i januar

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25

Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25 VEFSN KOMMUNE Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25 NETTVETT Nettvettregler for e-post Slett mistenkelig e-post Ikke svar på eller følg oppfordringer i spam

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Alf Høiseth Alder 44 Utdannelse: Bachelor i «Drift av datasystemer» -Hist Har jobbet på Institutt for datateknikk og informasjonsvitenskap siden 1997

Alf Høiseth Alder 44 Utdannelse: Bachelor i «Drift av datasystemer» -Hist Har jobbet på Institutt for datateknikk og informasjonsvitenskap siden 1997 Alf Høiseth Alder 44 Utdannelse: Bachelor i «Drift av datasystemer» -Hist Har jobbet på Institutt for datateknikk og informasjonsvitenskap siden 1997 Oppgaver: Windows drift, Server, klient, antivirus,

Detaljer

Trusler og trender juni 2003

Trusler og trender juni 2003 Trusler og trender juni 2003 Senter for informasjonssikring (SIS) SINTEF, 7465 Trondheim Tel: (+47) 73 59 29 40 Fax: (+47) 73 59 29 77 E-post: post@norsis.no Web: http://www.norsis.no Forord Senter for

Detaljer

IKT trusselbilde for Norge

IKT trusselbilde for Norge IKT trusselbilde for Norge Senter for informasjonssikring (SIS) SINTEF, 7465 Trondheim Tlf: (+47) 73 59 29 40 Fax: (+47) 73 59 29 77 E-post: post@norsis.no Web: http://www.norsis.no Sist oppdatert: 6.

Detaljer

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Innhold F-Secure Anti-Virus for Mac 2015 Innhold Kapitel 1: Komme i gang...3 1.1 Administrer abonnement...4 1.2 Hvordan kan jeg være sikker på at datamaskinen er beskyttet...4

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

God IT-skikk. - Informasjonssikkerhet i Norsvin -

God IT-skikk. - Informasjonssikkerhet i Norsvin - God IT-skikk - Informasjonssikkerhet i Norsvin - 1 God IT-skikk i Norsvin Norsvin er en bedrift hvor Informasjonsteknologi (IT) benyttes i stor grad. Utstyr som behandler bedriftens informasjon skal være

Detaljer

Månedsrapport Mai 2005

Månedsrapport Mai 2005 Månedsrapport Mai 2005 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 4 Nasjonal sikkerhetsmåned 6 tema Generell informasjonssikkerhet Beskytte

Detaljer

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert Side: av 5 ROS-analyse Rapportering til: Nina Risikovurdering av bedriftens adgangskontrollsystem Hovedformål: Adgangskontroll Informasjonstype: Personopplysninger Enhet: Nina Gjennomført i perioden: Fra:

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

Kapitel 1: Komme i gang...3

Kapitel 1: Komme i gang...3 F-Secure Anti-Virus for Mac 2014 Innhold 2 Innhold Kapitel 1: Komme i gang...3 1.1 Hva må gjøres etter installering...4 1.1.1 Administrer abonnement...4 1.1.2 Åpne produktet...4 1.2 Hvordan kan jeg være

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET.

VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET. VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET. VILKÅR FOR BRUK AV NETTSTED Disse vilkårene for bruk (sammen med dokumentene som er referert til her) forteller deg betingelsene

Detaljer

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv «Å tro at det ikke finnes virus på Mac er dessverre litt

Detaljer

MØRKETALLSUNDERSØKELSEN 2010

MØRKETALLSUNDERSØKELSEN 2010 MØRKETALLSUNDERSØKELSEN 2010 Mørketallsundersøkelsen 2010 7. undersøkelsen Perduco AS i mai 2010. Tidsrommet for kartleggingen er 2009. Utvalg: Det er trukket ut 6000 virksomheter til undersøkelsen. Av

Detaljer

Mørketallsundersøkelsen 2006

Mørketallsundersøkelsen 2006 Mørketallsundersøkelsen 2006 Øyvind Davidsen Leder av Datakrimutvalget Sikkerhetskonferansen 2006 27-28 September 1 Mørketallsundersøkelsen Dette er den 5. mørketallsrapporten som utarbeides av Datakrimutvalget

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

PERSONVERNERKLÆRING BARNEVAKTNETT

PERSONVERNERKLÆRING BARNEVAKTNETT PERSONVERNERKLÆRING BARNEVAKTNETT Barnevaktnett tar ditt personvern veldig på alvor, og vil behandle og bruke informasjonen om deg på en sikker måte. For å sikre personvernet ditt vil Barnevaktnett alltid

Detaljer

Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker

Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker Erlend Dyrnes NextGenTel AS Tekna 30.03.2011 Mobilt bredbånd - LTE - WiMAX 1 Om presentasjonen Introduksjon

Detaljer

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE NASJONAL SIKKERHETSMYNDIGHET Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE INNHOLD Hva er digital spionasje 2 Hvordan kommer de seg inn i systemet 3 Forebyggende tiltak

Detaljer

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR Vedtatt av styret for Høgskolen i Finnmark 25. april 2007 i sak S 19/07 1. ANVENDELSE Dette reglement gjelder for all bruk av Høgskolen i Finnmarks (HiF) IT-system.

Detaljer

Introduksjon til Informasjonsteknologi

Introduksjon til Informasjonsteknologi Introduksjon til Informasjonsteknologi Datasikkerhet Personvern, kriminalitet og sikkerhet Outline 1 2 srisikoer 3 Teknoloig og anonymitet Anonymitet er evnen til å kunne formidle en melding uten å avsløre

Detaljer

Vemma Europes personvernerklæring

Vemma Europes personvernerklæring Vemma Europes personvernerklæring Vemma Europe forstår at du er opptatt av hvordan informasjon om deg blir behandlet og fordelt, og vi setter pris på at du stoler på at vi gjør det forsiktig og fornuftig.

Detaljer

Kompasset illustrerer behovet for gode verktøy og veiledning for å kunne navigere i et vanskelig landskap med stadig nye hindringer

Kompasset illustrerer behovet for gode verktøy og veiledning for å kunne navigere i et vanskelig landskap med stadig nye hindringer 2 Kompasset illustrerer behovet for gode verktøy og veiledning for å kunne navigere i et vanskelig landskap med stadig nye hindringer 3 Uansett hva man bruker PC-en til, har den verdi. Server En PC kan

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

SjekkIT Informasjonssikkerhet

SjekkIT Informasjonssikkerhet SjekkIT Informasjonssikkerhet Mennesker, som enkeltpersoner eller i grupper, har stor betydning for informasjonssikkerhet. Holdninger og organisasjonskultur er noe av grunnlaget for hvordan man forholder

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Endepunktsikkerhet Dato: 24.11.2008 Versjon 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets sluttpunktsikkerhet Antivirus

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Månedsrapport for november 2007

Månedsrapport for november 2007 Månedsrapport for november 2007 Tone oppsummerer november Denne rapporten oppsummerer nyhetsbildet og truslene knyttet til informasjonssikkerhet, som NorSIS mener er aktuelle. I slutten av november fikk

Detaljer

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv «Å tro at det ikke finnes virus på Mac er dessverre litt

Detaljer

- om datakriminalitet og IT-sikkerhet ØKOKRIM

- om datakriminalitet og IT-sikkerhet ØKOKRIM 79281401M 06.06.04 14:05 Side 1 Mørketallsundersøkelsen 2003 - om datakriminalitet og IT-sikkerhet ØKOKRIM 79281401M 06.06.04 14:05 Side 2 79281401M 06.06.04 14:05 Side 3 Innhold Sammendrag og konklusjoner

Detaljer

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede. Agenda Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede 3 Hva er Cybersikkerhet? Cybersikkerhet er beskyttelse av fysiske enheter eller informasjonsaktiva

Detaljer

SIKKERHET PÅ PC. 12 tips til sikrere PC

SIKKERHET PÅ PC. 12 tips til sikrere PC SIKKERHET PÅ PC 12 tips til sikrere PC Melsomvik, 02.08.2012 1 1. Installer antivirusprogram, oppdater den og aldri installer 2 antivirusprogrammer samtidig 2. Kjør Windows Update/Microsoft Update manuelt

Detaljer

Datasikkerhet. Er din PC sikker? Helt sikker?

Datasikkerhet. Er din PC sikker? Helt sikker? Datasikkerhet Er din PC sikker? Helt sikker? Hva kan skade en PC? Fysisk skade Skade forårsaket av bruker Feil på harddisk Feil på programmer Tyveri Virus etc... Fysiske skader Miste i gulvet, kaste i

Detaljer

Håndtering av personlig informasjon

Håndtering av personlig informasjon Håndtering av personlig informasjon Håndtering av personlig informasjon Du kan alltid besøke vår hjemmeside for å få informasjon og lese om våre tilbud og kampanjer uten å oppgi noen personopplysninger.

Detaljer

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss? Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss? Christian Meyer Norsk senter for informasjonssikring Bevisstgjør om trusler Opplyser om tiltak Påvirker

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av Brukerhåndbok for drift hos Kirkedata AS Denne håndboken er utarbeidet av Oppdatert: 18. desember 2012 Innhold Innhold Innledning... 3 Oppsett av PC... 3 Windows XP... 3 Windows Vista og Windows 7... 3

Detaljer

TONE OPPSUMMERER SEPTEMBER 2007...1 NYHETER...2

TONE OPPSUMMERER SEPTEMBER 2007...1 NYHETER...2 www.norsis.no Norsk senter for informasjonssikkerhet (NorSIS), Postboks 104, N 2801 Gjøvik Tlf: +47 40 00 58 99 E post: post@norsis.no Tone oppsummerer september 2007 Denne rapporten oppsummerer nyhetsbildet

Detaljer

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien SonicWALL UTM NSA serien TZ serien NSA E-Class serien Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur Nettverksikkerhet for SMB - Minimumskrav Brannmur(UTM) Et brannmur er førstelinjeforsvar

Detaljer

Sikkerhet på nettet. Men internett har også fallgruber: Hackers Identitetstyveri Bedragerier Mobbing Tyveri av datamaskinen Datamaskinhavari Virus osv

Sikkerhet på nettet. Men internett har også fallgruber: Hackers Identitetstyveri Bedragerier Mobbing Tyveri av datamaskinen Datamaskinhavari Virus osv Sikkerhet på nettet Hva finner vi på nettet? Internett har mange gode tilbud. Nedenfor finner du noen av de områder du kan søke informasjon om: Kunst Musikk Historie Vitenskap Filmer Helse/Medisin Spill

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Om søk, sikkerhet og nettvett. All tekst hentet fra HIB, "Digitale ferdigheter"

Om søk, sikkerhet og nettvett. All tekst hentet fra HIB, Digitale ferdigheter Om søk, sikkerhet og nettvett All tekst hentet fra HIB, "Digitale ferdigheter" Søketips Søk på andre språk Norsk er en lite språk på nettet. Det betyr at dersom du kun søker på norsk, så vil du vanligvis

Detaljer

Månedsrapport November/desember 2005

Månedsrapport November/desember 2005 Månedsrapport November/desember 2005 www.norsis.no Senter for informasjonssikring (SIS) drives på oppdrag fra Moderniseringsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt.

Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt. RETNINGSLINJER FOR PERSONVERN Disse retningslinjene for personvern beskriver hvordan vi bruker og beskytter informasjon som du oppgir i forbindelse med bruk av nettstedet vårt. Vi er forpliktet til å sikre

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

Innholdsfortegnelse Side

Innholdsfortegnelse Side Trygg På Nett Forsikringsvilkår av 01.04.2016 Innholdsfortegnelse Side 1. Trygg På Nett 3 1.2 Definisjoner 3 1.3 Hvem forsikringen gjelder for 3 2. Forsikringsdekningen Identitetstyveri 3 2.1 Hvor og når

Detaljer

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett " %$ # " >9 : B D 1. Åpne og lukkede nettverk - Internett og sikkerhet 2. Krav til sikre tjenester på Internett 3. Kryptografi 4. Kommunikasjonssikkerhet og meldingssikkerhet 5. Elektronisk legitimasjon

Detaljer

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN).

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN). Innledning Vi har valgt brannmurer som tema og grunnen til dette er de stadig høyere krav til sikkerhet. Begrepet datasikkerhet har endret innhold etter at maskiner ble knyttet sammen i nett. Ettersom

Detaljer

VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING

VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING Ved å sette opp og lage en Preoday App og E-handelsløsning for ditt utsalgssted eller restaurant godtar du disse vilkårene. Hvis du ikke godtar vilkårene,

Detaljer

DOKUMENTASJON E-post oppsett

DOKUMENTASJON E-post oppsett DOKUMENTASJON E-post oppsett Oppsett av e-post konto Veiledningen viser innstillinger for Microsoft Outlook 2013, og oppkobling mot server kan gjøres med POP3 (lagre e-post lokalt på maskin) eller IMAP

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

NorskInternett Brukermanual. Sist oppdatert 09.08.15. Side 1/30

NorskInternett Brukermanual. Sist oppdatert 09.08.15. Side 1/30 NorskInternett Brukermanual Sist oppdatert 09.08.15. Side 1/30 Innholdsliste Hvordan kan vår tjeneste brukes...2 Hva vi leverer...2 Kontoinformasjon...3 Bruk av VPN tilkobling...3 Konfigurering av Android...4

Detaljer

Kompetansemål fra Kunnskapsløftet

Kompetansemål fra Kunnskapsløftet Datasikkerhet 2ISFA Kompetansemål fra Kunnskapsløftet yte service gjennom brukerstøtte og kommunikasjon med brukere yte service gjennom driftsstøtte og kommunikasjon med leverandører og fagpersonell på

Detaljer

Teori om sikkerhetsteknologier

Teori om sikkerhetsteknologier Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Datasikkerhet i hverdagen

Datasikkerhet i hverdagen Datasikkerhet i hverdagen Fagforbundet Bodø 6. april Tormod Skarheim ENKLE TIPS FOR EN TRYGG DIGITAL HVERDAG BÅDE PÅ JOBB OG HJEMME! Viktig elementer for deres digitale hverdag Datavettregler IKT på kontoret

Detaljer

Om EthicsPoint. Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis

Om EthicsPoint. Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis Om EthicsPoint Hva er EthicsPoint? EthicsPoint er et omfattende og konfidensielt rapporteringsverktøy

Detaljer

Konfidensialitet: Tilgjenglighet: Autensitet: Validitet: Trussel: Risiko: Eks på risiko:

Konfidensialitet: Tilgjenglighet: Autensitet: Validitet: Trussel: Risiko: Eks på risiko: Konfidensialitet: Info skal kun sees av personer som skal ha tilgang. Taushetsplikt. Passord, sykejournal. Gå inn på avgrensede områder, kontrer osv der man ikke skal ha tilgang. Integritet: Kun endres

Detaljer

Erlend Oftedal. Risiko og sikkerhet i IKT-systemer, Tekna

Erlend Oftedal. Risiko og sikkerhet i IKT-systemer, Tekna Sikkerhet i Web 2.0 Erlend Oftedal Risiko og sikkerhet i IKT-systemer, Tekna Hva er spesielt med Web 2.0? Innhold fra flere kilder Sosiale nettsteder med brukergenerert innhold Mashups gjerne med innhold

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Eksempel på datadisiplininstruks

Eksempel på datadisiplininstruks Eksempel på datadisiplininstruks Denne datadisiplininstruksen gjelder bruk av [bedriftens navn]s datautstyr, nettverk og datasystemer, inkludert fjernpålogging og mobiltelefoner. 1. Hovedprinsipp Den ansatte

Detaljer

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) 25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) Opplysninger om fylkeskommunen Fylkenr Fylkeskommunens navn Navn skjemaansvarlig Tlf nr E-post skjemaansvarlig Strategi 1 Har fylkeskommunen

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Nyheter i bankens bedriftsløsninger. 22. oktober 2015 Johan Magne Andresen

Nyheter i bankens bedriftsløsninger. 22. oktober 2015 Johan Magne Andresen Nyheter i bankens bedriftsløsninger 22. oktober 2015 Johan Magne Andresen Agenda o Nyheter på nett og mobil o Fullmakter o Likviditetsrapportering i nettbanken o Hva vi jobber med fremover o Sikkerhetsutfordringer

Detaljer

Regler og informasjon til foresatte om bruk av datautstyr for 1.-3. trinn

Regler og informasjon til foresatte om bruk av datautstyr for 1.-3. trinn Regler og informasjon til foresatte om bruk av datautstyr for 1.-3. trinn Med hjemmel i IKT-reglement for grunnskolene i Notodden kommune. I følge Kunnskapsløftet er det et mål at elevene etter 2. trinn

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

Brukerveiledning Tilkobling internett

Brukerveiledning Tilkobling internett JULI 2012 Brukerveiledning Tilkobling internett ALT DU TRENGER Å VITE OM BRUKEN AV INTERNETT 1 1 2 3 4 5 6 KOBLING TIL HJEMMESENTRAL OPPSETT AV TRÅDLØS ROUTER OG BRANNMUR I HJEMMESENTRALEN OPPKOBLING AV

Detaljer

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen 1 Agenda Security Awareness Har du slått på den sosiale brannmuren? Demonstrasjoner Manipulert SMS Telefon / rom avlytting

Detaljer

Policy vedrørende informasjonskapsler og annen tilsvarende teknologi

Policy vedrørende informasjonskapsler og annen tilsvarende teknologi Policy vedrørende informasjonskapsler og annen tilsvarende teknologi 1. Hva omfavner denne policyen? Denne policyen dekker dine handlinger hva angår Tikkurila sine digitale tjenester. Policyen dekker ikke

Detaljer

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger?

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger? Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger? Delrapport 1 fra personvernundersøkelsen 2013/2014 Februar 2014 Innhold Innledning og hovedkonklusjoner...

Detaljer

Slik stoppes de fleste dataangrepene

Slik stoppes de fleste dataangrepene Slik stoppes de fleste dataangrepene Oktober 2014, Nasjonal sikkerhetsmåned John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet 1 Agenda 1. De mest populære sikkerhetstiltakene er lite effektive

Detaljer

F-Secure Mobile Security for Windows Mobile

F-Secure Mobile Security for Windows Mobile F-Secure Mobile Security for Windows Mobile 1. Installasjon og aktivering Tidligere versjon Installasjon Aktivering Starte produktet Hvis du har en tidligere versjon av F-Secure Mobile Security installert,

Detaljer

JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING

JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING 1 1 1 KOBLE TIL HJEMMESENTRAL S 3 2 OPPSETT AV TRÅDLØS RUTER OG BRANNMUR I HJEMMESENTRALEN S 4 3 OPPKOBLING AV PC TIL INTERNETT MED WINDOWS 8 S 8 4 OPPKOBLING

Detaljer

EUROPEAN COMPUTER DRIVING LICENCE IT Sikkerhet Copyright 2010 ECDL Foundation

EUROPEAN COMPUTER DRIVING LICENCE IT Sikkerhet Copyright 2010 ECDL Foundation EUROPEAN COMPUTER DRIVING LICENCE IT Sikkerhet Copyright 2010 ECDL Foundation Ingen deler av denne publikasjonen kan reproduseres i noen form uten tillatelse fra ECDL Foundation. Forespørsler om tillatelse

Detaljer

Trusler og trender Annet

Trusler og trender Annet Årsrapport 2004 www.norsis.no Senter for informasjonssikring (SIS) ble etablert som et prøveprosjekt 1. april 2002. Senteret er finansiert av Moderniseringsdepartementet, og prøveperioden er nå forlenget

Detaljer

Mobilbank kontrollspørsmål apper

Mobilbank kontrollspørsmål apper Egenevalueringsskjema Mobilbank DATO: 31.10.2014 Evalueringsskjema Mobilbank apper Del 1 Del 2 Strategi og sikkerhetspolicy Kost-nytte og ROS-analyser Utvikling og oppdatering Avtaler Driftsrelaterte spørsmål

Detaljer

15. mai 2014. Månedsrapport. april 2014. Statusrapport Slettmeg.no april 2014. Side 1 av 9

15. mai 2014. Månedsrapport. april 2014. Statusrapport Slettmeg.no april 2014. Side 1 av 9 Månedsrapport april 2014 Side 1 av 9 Innhold Om NorSIS Slettmeg.no april 2014 Aktuelle problemstillinger Side 2 av 9 Bakgrunn Dette er en kort oppsummering av hva vi har sett i løpet av april 2014. For

Detaljer

Brukerveiledning Tilkobling internett

Brukerveiledning Tilkobling internett JANUAR 2013 Brukerveiledning Tilkobling internett ALT DU TRENGER Å VITE OM BRUKEN AV INTERNETT 1 1 2 3 4 5 6 KOBLING TIL HJEMMESENTRAL OPPSETT AV TRÅDLØS ROUTER OG BRANNMUR I HJEMMESENTRALEN OPPKOBLING

Detaljer