Prosesskontrollsystem rammet av skadevare

Størrelse: px
Begynne med side:

Download "Prosesskontrollsystem rammet av skadevare"

Transkript

1 Kvartalsrapport for 3. kvartal 2011 Prosesskontrollsystem rammet av skadevare Dette kvartal ble det detektert skadevare på et prosesskontrollsystem (SCADA) i Norge. NorCERT bistod i håndtering, blant annet ved diskanalyse og analyse av skadevaren. En sort tulipan Utstedelse av falske digitale sertifikater fikk alvorlige konsekvenser for det nederlandske selskapet DigiNotar. Over 500 falske sertifikater skal være utstedt av angriperen i løpet av kompromitteringsperioden. Nøkkeltall fra NorCERT Økt saksmengde dette kvartalet. For å gi et innblikk i arbeids-hverdagen på NorCERTs operasjonssenter vil vi denne gangen presentere noen nøkkeltall knyttet til håndteringen. Innhold Sammendrag av kvartalet SIDE 2 Prosesskontrollsystem rammet av skadevare SIDE 3 Nettaktivisme Side 4 Nøkkeltall fra NorCERT Side 6 En sort tulipan Side 10 Mobile trusler Side 12 NorCERTs oppgaver Side 14 TEKNOLOGI: Passiv DNS Side 16

2 2 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Sammendrag av kvartalet Dette kvartalet ble tilsammen saker behandlet i NorCERTs operasjonssenter. Av disse var regnet som koordinering og håndtering av sikkerhetshendelser. Første kvartalsrapport Det er en glede å herved utgi den første kvartals rapport i NorCERTsin historie. Vår ambisjon er å erstatte våre månedsrapporter med et mer utfyllende og relevant produkt rundt IKT-sikkerhet og IKT risikobildet. NorCERT har nå over 10 års erfaring rundt deteksjon og håndtering av alvorlige IKT-hendelser. Dette kombinert med vårt stadig voksende nettverk av VDI-sensorer, samt internasjonale samarbeid, gjør at vi har betydelige forutsetninger til å vurdere situasjonen akkurat nå, og trender for fremtiden. Vi opplever samtidig stor interesse og engasjement fra virksomheter og etater når det gjelder beskyttelse av kritisk infrastruktur og hvordan NorCERT kan bidra i dette arbeidet. Et viktig arbeid som pågår akkurat nå er regjeringens initiativ for å styrke informasjonssikkerheten i Norge gjennom å revidere de nasjonale retningslinjene for informasjonssikkerhet. En arbeidsgruppe vil legge frem et forslag til endringer innen nyttår. Målet er å skape en felles forståelse for hvilke sikkerhetsutfordringer Norge som nasjon står overfor, samt å identifisere områder der det er behov for å gjøre en ekstra innsats for å styrke informasjonssikkerheten. Dette skal bunne ut i en helhetlig satsing på informasjonssikkerhet, og de reviderte retningslinjene skal dekke hele spekteret fra grunnleggende IKT-sikkerhet til beskyttelse av de mest samfunnskritiske informasjonssystemene. NSM og NorCERT vil naturlig nok ha stort fokus på å bidra i dette arbeidet. En mye brukt analogi er at NorCERT er hovedredningssentralen i Cyberspace for kritisk infrastruktur i Norge. Vi ønsker at dette skal gjenspeiles i innholdet i kvartalsrapporten ved at vi kan presentere informasjon som kan bidra til å sikre samfunnsverdiene i Norge. Vi håper du liker rapportene som nå vil utgis etter hvert kvartal, og at de blir nyttige for deg og din virksomhet. Vi vil nok eksperimentere noe i form og innhold fremover, slik at vi kan få et best mulig produkt. Blant disse hendelsene er funn av skadevare på et norsk SCADA-system den saken som skiller seg mest ut. I verste fall kan konsekvensene av påvirkning og endring av prosesskontrollsystemer påvirke fysiske prosesser, som igjen kan føre til fare for liv og helse. NorCERTs analyse avdekket imidlertid at skadevaren ikke var skreddersydd for manipulering av prosesskontrollsystemet. I perioden har vårt analyseteam jobbet med fire trojanerangrep som har vist betydelig kompleksitet (totalt ni hittil i år). Dette kan ofte dreie seg om spionasje og skadelig etterretningsvirksomhet. Slike angrepsforsøk er ofte meget vanskelig å detektere. Vi må derfor erkjenne at mørketallene for dennetype angrep er store. Informasjonen McAfee gav ut om «Shady RAT» dette kvartal treffer i så måte godt rundt denne type trusler. Rapporten viser til at store mengder informasjon er stjålet fra 70 firmaer. «Dette er saker som ofte kan dreie seg om spionasje og skadelig etterretningsvirksomhet» Ingen norske virksomheter ble nevnt, men NorCERT har håndtert flere lignende hendelser i Norge. Kvartalet ble ellers preget av terrorangrepet 22. juli. Store tragedier i nyhetsbildet blir ofte utnyttet til å spre skadevare og gjennomføre svindel på Internett. Dette så vi også i kjølvannet av 22. juli, blant annet ved flere forsøk på såkalt «click-jacking». Den største internasjonale IT-sikkerhetsnyheten dette kvartalet ble kjent i september. Den nederlandske sertifikatutstederen DigiNotar ble hacket. Vår søster- CERT i Nederland jobbet dag og natt for å støtte Digi- Notar, og gav ut gode og rettidige rapporter om hendelsen. Det første vellykkede teoretiske angrepet på kryptoalgoritmen AES ble også publisert dette kvartalet. AES er en av verdens mest implementerte algoritme for å sikre data, og har stått fjellstøtt siden Publikasjonen gir en god påminnelse om ordtaket «det er helt sikkert at ingenting er helt sikkert». Med vennlig hilsen Eiliv Ofigsbø

3 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL Prosesskontrollsystem rammet av skadevare Dette kvartal ble det detektert skadevare på et prosesskontrollsystem (SCADA) i Norge. NorCERT bistod i håndtering, blant annet ved diskanalyse og analyse av skadevaren. Nytt angrep på AES Siden den standardiserte kryptoalgoritmen AES ble tatt i bruk i 2001 har det blitt publisert store mengder analyser av AES i internasjonale forskerfora. Analyse av skadevaren som ble funnet på et norsk prosesskontrollsystem avdekket at den trolig ikke kunne påvirke noen fysiske prosesser. Foto: illustrasjonsfoto. Konsekvenesene av påvirkning og endring av prosesskontrollsystemer vil kunne påvirke fysiske prosesser som kan føre til at liv eller store verdier går tapt. Mange husker nok også Stuxnet, som utvilsomt var den største nyheten innen IT-sikkerhet i Stuxnet viste hvordan man i praksis kunne sabotere prosesskontrollsystemer i Iran til å forsinke utviklingen i prosjektet for anriking av uran. Håndtering av den norske saken avdekket at skadevaren trolig kom fra en kontraktør som har koblet seg på systemet med eget IT-utstyr, og dermed infisert systemet. Analyse av skadevaren avdekket at trojaneren var i POPUREB-familien, og da ikke er spesifikt rettet mot funksjonaliteten til prosesskontrollsystemer. Prosesskontrollsystemer patches svært sjelden, med argument om at dette kan påvirke produksjonen («never touch a running system»). Det er også en trend at slike utstyr stadig oftere tilkobles eksterne nett, og i noen tilfeller også Internett direkte. NorCERT har siden 2004 advart mot risikoen for sabotasje gjennom hacking av prosesskontrollsystemer. Hendelsen dette kvartal viser nok en gang at eiere av slike systemer må vurdere sin sikkerhet nøye. Tidligere har ingen funnet svakheter av betydning ved algoritmen, derfor har raskeste måte å knekke AES-kryptering på vært et uttømmende nøkkelsøk. Det betyr at man forsøker å dekryptere en AES-kryptert melding ved å prøve alle mulige nøkler. På konferansen «Crypto 2011» ble det gitt en kort presentasjon av en artikkel skrevet av forskerene Bogdanov, Khovratovich og Rechberger. De har bevist at ved hjelp av nye matematiske analyser, kan AES knekkes mellom 3 og 5 ganger raskere enn et uttømmende nøkkelsøk. Konsekvensene av dette er av ren akademisk karakter, og får ingen praktiske konsekvenser for bruken av AES i dag. Men tiden vil vise om disse teknikkene leder til nye og enda mer effektive angrep på AES. Nasjonal sikkerhetsmyndighet har et eget fagmiljø som følger med på forskningsfronten innen kryptoanalyse. Les mer om AES-angrepet på NSMs egen sikkerhetsblogg:

4 4 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nettaktivisme Dette kvartalet fikk mange norske stortingsrepresentanter sitt personnummer publisert på Internett, som en politisk demonstrasjon gjort av en nettaktivist. Nettaktivismen synes stadig å øke i omfag. Både i Norge og utlandet ser vi at organisasjoner som er synlige i den generelle samfunnsdebatten er utsatt for aksjoner. Så hva innebærer egentlig nettaktivisme? Nettaktivisme har vist seg å være et vidt begrep, både i bruk og betydning. Nettaktivistene selv hevder at deres handlinger er «fredelige protester», mens andre mener deres handlinger fører med seg store økonomiske tap og er direkte ulovlige. Videre kan offentliggjøring av mengder av informasjon, slik hackergruppen LulzSec har gjort i år, gjøre kriminell aktivitet som for eksempel identitetstyveri lettere å utføre. Flere sikkerhetsspesialister sier at grensen mellom nettaktivistene og nettkriminaliteten blir stadig mer utydelig. Store lekkasjer av sensitiv informasjon kan ha konsekvenser utover det politiske eller idealistiske motivet som ofte fremheves av aksjonistene. Som et eksempel viser LulzSecs anti-sikkerhetskampanje, hvor de oppfordret sine tilhengere til massivt tyveri av konfidensiell statlig informasjon fra alle mulige kilder med påfølgende publisering, en utvikling av nettaktivismen som går langt utover legitime protester. Det er liten tvil om at nettaktivisme i dag må regnes med som en sentral del av det større IKT-risikobildet. Samtidig omfavner det vide begrepet langt flere, og ikke nødvendigvis kriminelle handlinger. Det har også en historisk kontekst som krever en kort introduksjon. Historisk kontekst Sommeren 1998 gikk kinesiske hackere sammen om å angripe indonesiske nettsider, som et tilsvar til det antikinesiske opprøret som hadde funnet sted under revolusjonen. I dag har dette fått tilnavnet «The First Patriotic Cyberwar». Videre fulgte en serie lignende angrep mot andre stater, blant annet Japan og USA. For de kinesiske nettaktivistene var trolig en sterk nasjonalisme den viktigste motivasjonsfaktoren. En lignende serie med angrep fant igjen sted i Disse involverte flere tusen individer fra både Kina og USA, og ble av The New York Times kalt «the First World Hacker War». Nettaktivisme syntes i sin begynnelse å komme som en del av en større konflikt. Slik vi ser det utvikles nettaktivismen til å være et begrep som favner mye mer enn tidligere. Over de siste ti årene har nettaktivismen utviklet seg fra å tidligere stort sett være en del av store konflikter. Vi ser nå alt fra legitime demonstrasjoner, til aktivitet som både ligger ved eller over grensen for kriminalitet. Et eksempel på den nye utviklingen kan være hvordan helt vanlige ungdommer i Norge det siste året har demonstrert for ytringsfrihet og brukt Internett som sitt middel. Man skal ikke undervurdere kapasiteten og standhaftigheten til slike grupper, til tross for at de ofte er uorganisert. LulzSec kan se ut til å være en mer organisert gruppering, og det er blitt spekulert i om denne gruppen bare består av 6-10 medlemmer, «Nettaktivisme må i dag regnes med som en sentral del av det større IKTrisikobildet.» kontra et stort ukjent antall personer som påberoper seg å være medlem i Anonymous-bevegelsen. Anonymous har en bred medlemsflate, med alt fra «scriptkiddies» til mer erfarne personer som påvirker retningen fra kulissene, da gjerne i chattekanaler og forum på Internett. Aktualisering I februar 2010 ble nettsidene til flere offentlige myndigheter, blant annet regjeringen.no og Nasjonal sikkerhetsmyndighet, utsatt for et distribuert tjenestenektsangrep (DDoS). Hensikten med slike angrep er å overbelaste nettsidene slik at de blir utilgjengelige for brukerne. Flere andre nettsteder har opplevd det samme i løpet av 2010 og Anonymous har i Norge profilert seg sterkt som motstander av EUs datalagringsdirektiv. Arbeiderpartiet og Høyre vedtok i 2011 å støtte dette direktivet. Dette med- førte aksjoner fra nettaktivistene. Den 6. april 2011 satte norske medlemmer og sympatisører av Anonymous i gang noe de kalte «Operation Quisling». Denne operasjonen gikk ut på å ta ned hjemmesider til politiske parti som støtter datalagringsdirektivet. Først ble regjeringen.no og arbeiderpartiet.no utsatt for et DDoS-angrep. Neste dag ble også hoyre.no utsatt for angrep. «Operation Norway» ble utført 24. mai 2011, også det på grunn av DLD. Aktivistene forsøkte igjen å ta ned arbeiderpartiet.no, men dette forsøket var ikke vellykket. 15. juni 2011 ble 30 nye nettsteder utsatt for tjenestenektangrep. Angrepet inkluderte en melding med trusler mot norske myndigheter, som ble lagt ut på kiwi. no. Angrepet innebar ingen form for datatyveri, og selv om Nasjonal sikkerhetsmyndighet fulgte angrepet, ble det ikke vurdert til å være en trussel som krevde høyere beredskap. I samme tidsperiode fikk NorCERT også fysisk besøk av personer i Guy Fawkes-masker, som tok bilder av seg selv ved dørskiltet vårt. Dette ble senere postet åpent på Internett. En del av disse truslene og angrepene virker ufarlige, og i flere tilfeller kan det anses for å være en legitim demonstrasjonsform i et moderne samfunn. Samtidig er det viktig å se det som en del av det store risikobildet, spesielt med tanke på muligheten for mer alvorlige angrep og sabotasje. Her kan vi nevne den varslede «Operation Tarmageddon», som skulle være en form for sabotasje av oljesandprosjektet i Canada. Dette varslede angrepet ble imidlertidig ikke gjennomført. En annen hendelse som befinner seg i «..grensen mellom nettaktivistene og nettkriminaliteten blir stadig mer utydelig»

5 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL Hvem er nettaktivistene? Uløselig sammenknyttet med begrepet nettaktivisme er Anonymous. Dette er en løst sammensatt bevegelse med politiske motiver. De angriper som regel statlige institusjoner, sikkerhetsselskaper og store bedrifter med distribuerte tjenestenektsangrep (DDoS), som demonstrasjoner mot vedtak, handlinger eller holdninger. Det som kan sies å være hovedmotivet for personer som assosierer seg med Anonymous-bevegelsen, er ytringsfrihet. Som et eksempel på protesterer iverksatte de «Operation Malaysia» den 15. juni 2010, hvor de angrep 91 nettsider som tilhørte den malaysiske regjeringen. Dette skjedde etter at regjeringen blokkerte tilgangen til Piratebay og Wikileaks innad i landet. Anonymous mente dette var sensur av ytringsfriheten. To personer utenfor NorCERT sine lokaler, iført Guy Fawkes masker, ofte assosiert med Anonymous. Faksimile av bilde postet på Internett i sommer. Når det gjelder mål og virkemidler har Anonymous selv uttalt blant annet dette på sine nettsider: «I en verden der stemmene våre ignoreres føler vi at vi ikke har noe annet valg enn å aksjonere direkte. en gråsone i forhold til lovverket er den tidligere nevnte publiseringen av flere sentrale stortingsrepresentanters personnummer på Internett. Personen som har påtatt seg ansvaret for angrepet har i media sagt at motivasjonen for handlingen var å sette fokus på hvor lett folks personnumre kan genereres, og at det er uforsvarlig å bruke personnummer som identifikasjon i den grad det gjøres i Norge i dag. NorCERTs erfaring og vurdering NorCERT følger med på nettaktivisme, både i Norge og internasjonalt. Til nå har det ikke vært tilfeller av skadelige angrep mot kritisk infrastruktur, men vi ser aksjonsformen som viktig å sette fokus på. I tilfellet med tjenestenektangrepene mot Arbeiderpartiet og Høyre bistod NorCERT blant annet gjennom å identifisere verktøy brukt av nettaktivistene og ved å lage deteksjonsregler for varsling av dette. Vi har til nå sett at spesielt webservere har vært populære angrepsmål for Anomymous. Dette gjøres oftest med DDoS-verktøy, men også ved å kartlegge eventuelle sårbare web-applikasjoner som kan utnyttes. LulzSec benyttet seg i stor grad av sistnevnte metode for å få tilgang på webser- vere, og deretter tilgang til interessante databaser som web-applikasjonen benyttet seg av. Medlemmene av Anonymous benytter en rekke verktøy for å utføre angrepene sine. Disse inkluderer blant annet forskjellige versjoner av LOIC (Low Orbit Ion Cannon, i utgangspunktet et stresstestingsverktøy for webservere), automatiserte sårbarhetsscannere som Nessus, penetrasjonstestingsverktøy som Metasploit, samt verktøy for SQL-injisering som Havij og Pangolin. Nettaktivismens utvikling krever oppmerksomhet. Vi ser at samfunnet blir stadig mer bevisst dette temaet. NorCERT har ved flere tilfeller vært i dialog med IT-sikkerhetspersonell fra norsk kritisk infrastruktur om hvordan beskytte seg mot denne typen angrep. Dette anser vi for å være svært positivt, da godt forarbeid både reduserer risiko og gjør at man er bedre rustet til å håndtere et eventuelt angrep når det finner sted. Det som er klart er at nettaktivisme øker, både i metoder og omfang og videre hvem som tar del i den. Det er et vanskelig begrep å håndtere da det favner alt fra legitim demonstrering til sabotasje og kriminell aktivitet. Nettaktivismen er derfor en viktig del av dagens IKT-risikobilde. Flere store selskaper, deriblant norske Statoil, er en del av et kontroversielt prosjekt for utvinning av oljesand i Alberta, Canada. Prosjektet har fått mye kritikk, og vil i følge miljøforkjempere belaste de lokale skog og vannressurser så hardt at flere dyrearter er truet. Nettaktivistene ble her en del av miljøkampen gjennom den varslede «Operation Tarmageddon», Anonymous varslet et angrep mot flere av olje- og bankvirksomhetene som var involvert i dette prosjektet. LulzSec kom ut av intet den 6. mai, da de offentliggjorde informasjon og passord fra Fox.com, og en database med over X Factor-deltakere. Dette markerte starten på en lang rekke informasjonslekkasjer, «defacements» og tjenestenektangrep. Lulz- Sec har fremstått med en mer avslappet holding til sine handlinger enn andre grupperinger. De gjør det for moro skyld, med sikte på å provosere, eller som de selv kaller det «for the lulz» (lulz er et slanguttrykk for skadefryd). De har også uttalt at de aksjonerer for å bedre informasjonssikkerheten på Internett, gjennom slagordet «laughing at your security since 2011».

6 6 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nøkkeltall fra NorCERT I denne kvartalsrapporten skal vi se nærmere på to ting vi ofte får spørsmål om. Det første er hva slags saker vi håndterer i operasjonssenteret, hvor vi skal vi se på økning i antall, sakskategorier, behandlingstid og prioritet. Det andre er nettblokkanalyse, som kan brukes for å vurdere om en nettblokk har et dårlig omdømme i forhold til spredning av skadevare og lignende. Hver måned håndterer NorCERT et økende antall saker. I våre tidligere månedsrapporter har vi ikke gått i detalj på hvilke type saker vi håndterer, hvor alvorlige de er eller hvor lang tid vi vanligvis bruker på å håndtere dem. For å gi et innblikk i arbeidshverdagen på NorCERTs operasjonssenter vil vi denne gangen presentere noen nøkkeltall knyttet til dette. Økt saksmengde I tredje kvartal i år har NorCERTs operasjonssenter håndtert saker. Av disse ble definert som «hendelser». I løpet av de siste fire årene har antall saker NorCERT håndterer tredoblet seg. Fra 162 saker i snitt per måned i 2007, har saksmengden økt til 501 saker per måned så langt i 2011 (se figur 1). Dette er en gjen- nomsnittlig årlig økning på 33%. Dette er eksponensiell vekst, og skulle denne veksten fortsette vil NorCERT håndtere over saker i året om fire nye år. Kategorier NorCERT kategoriserer saker i en lang rekke kategorier. Dersom vi forenkler kategoriseringen, kan vi dele dem inn som vist i Tabell 1. Der ser man at hovedvekten av saker håndtert i tredje kvartal har dreid seg om å formidle informasjon om kompromitterte klienter eller servere til internettilbydere og hostingleverandører. Dette er i hovedsak saker hvor vi henter eller får informasjon fra eksterne kilder, og videreformilder denne informasjonen som ledd i den kontinuerlige, internasjonale dugnaden for å rydde Internett for kompromitterte «Dette er en gjennomsnittlig årlig økning på 33%.» maskiner. En annen annen stor kategori er informasjonsdeling. Dette kan være å dele informasjon om hvordan man oppdager skadevaren, basert på informasjon fra åpne kilder eller fra analyser NorCERT selv har utarbeidet, eller fått anledning til å dele med utvalgte samarbeidspartnere. Varsler til VDI-deltakere er en mindre, men viktig kategori. I tredje kvartal varslet NorCERT Figur 1: Antall saker per måned fra januar 2007 til september Tabell 1: Saker per hovedkategori: Sakskategori Saksantall Per dag Andel Varsel om kompromitterte kundemaskiner til ISP eller hostingleverandør ,6 81,0% Deling av informasjon med samarbeidspartnere, inkludert VDI-deltakere 131 1,4 8,7% Varsler til deltakere i VDI 101 1,1 6,7% Annet 53 0,6 3,5% Totalt antall saker ,3 100%

7 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL Figur 2: Antall saker (Y-aksen) med behandlingstid over en dag (X-aksen). X-aksen er logaritmisk. VDI-deltakere 101 ganger om hendelser NorCERT mente det var viktig at deltakernes sikkerhetsorganisasjon fulgte opp. Behandlingstid I tredje kvartal i år har NorCERT håndtert saker. Dette tilsvarer rundt 0,7 nye saker i timen per person i operasjonssenteret. I tredje kvartal ble 86% av alle saker avsluttet samme dag de ble opprettet. De resterende 14% ble i snitt avsluttet i løpet av ni dager (se figur 2). Noe som bidrar til å forlenge behandlingstiden er saker hvor NorCERT involveres i håndteringen av alvorlige hendelser hos VDI-deltakere. Slike saker tar gjerne tid, da de ofte involverer bistand til analyse av disk, skadevare og logger. «Slike saker tar gjerne tid, da de ofte involverer bistand til analyse av disk, skadevare og logger.» Prioritet Det er stor forskjell på den interne prioriteringen av saker NorCERT håndterer. Det største volumet saker NorCERT håndterer er knyttet til varsling av internettilbydere og hostingleverandører om kompromitterte maskiner. Disse utgjør også en stor del av Figur 3: Antall saker per prioritet. Aksen for antall saker er logaritmisk (En er lavest, fem er høyest). sakene som avsluttes i løpet av én dag. De har også laveste prioritet, og behandles fortløpende, uten noen planlagt oppfølging fra NorCERTs side. Dersom operasjon- «Dette tilsvarer rundt 0,7 nye saker i timen per person i operasjonssenteret.» ssenteret mener et varsel om kompromittering trenger å følges opp, får den nest laveste prioritet. Saker som vurderes å være innenfor NorCERTs prioriterte virksomhetsområde får prioritet normal eller høyere, basert på alvorlighet. I tredje kvartal utgjorde denne typen saker 8,7% av det totale antall håndterte saker. For at en sak skal klassifiseres med høy viktighet må det som regel dreie seg om et målrettet angrep rettet mot kritisk infrastruktur. I tredje kvartal har NorCERT håndtert fem saker som har fått denne klassifiseringen (se figur 3). Men også utenfor operasjonssenteret arbeides det med mye forskjellig. En av tingene NorCERT arbeider med er å samle og vurdere IP-relatert informasjon, enten det kommer fra VDI-systemene eller fra andre kilder. Ett av områdene vi arbeider med er nettblokkanalyse knyttet til skadevare. Nøkkeltall I hver kvartalsrapport vil NorCERT presentere statistikk basert på egne data eller på analyse av andres. Formålet er å formidle kunnskap om NorCERTs arbeid og om det generelle IKT-risikobildet. På sikt er det mulig artikkelserien vil stabilisere seg rundt et utvalg av målepunkter, men i starten kommer vi til å eksperimentere en del både med format og innhold. Beregning av en karakter for omdømme (eng: reputation) for en nettblokk er en vanlig måte å forsøke å finne kandidater for IP-adresser man ønsker å blokkere. Det gjøres ved å lagre data om kjente kompromitteringer i den aktuelle nettblokken, og beregne en omdømmekarakter basert på utviklingen over tid. NorCERT utvikler sitt eget, interne verktøy for å lagre historiske data om IP-adresser, nettblokker og ASnummer, kalt IPKnowledge. Data fra åpne kilder i denne artikkelen er blant annet hentet fra: abuse.ch malware.com.br malwaredomainlist.com malwaredomains.com shadowserver.org

8 8 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Nettblokkanalyse Innsamling og vekting av kunnskap om uønsket aktivitet i en nettblokk kan benyttes til å beregne omdømme for nettblokken. Bruk av slik kunnskap er en form for omdømmebasert sikring. Ofte søker en kunnskap om hvor infrastruktur for skadevare befinner seg, men man kan også være interessert i hvor det er en opphopning av infiserte klienter. Nettblokker hvor slik infrastruktur eller slike klienter får operere lenge uten å bli tatt ned, anser man som høyrisikoområder å besøke. Med tiden får disse en dårlig omdømmevurdering. Det finnes mange indikatorer både på infrastruktur og klienter knyttet til botnett og skadevare. En typisk indikator for infrastruktur vil være adresser og domener man finner i skadevare, eller det at slike domener peker inn i nye nettblokker. Infiserte klienter kan man finne dersom man får overtatt domener brukt av skadevare, og peker det til et «sinkhole», et sluk, som logger alle infiserte klienter som oppretter kontakt. Dette er ikke en virksomhet NorCERT bedriver, men flere internasjonale CERTer og sikkerhetselskaper gjør dette på jevnlig basis, og deler informasjonen de samler inn om kompromitterte klienter. En annen typisk metode er å identifisere maskiner som sender ut spam, eller medvirker i DDoS-angrep. Dersom man er villig til å gjøre en antagelse om at kompromitterte maskiner ofte brukes til kartlegging, kan man også monitorere kartleggingsaktivitet. Dessuten er massiv kartlegging i seg selv ansett som uønsket aktivitet. «Nettblokker hvor slik infrastruktur eller slike klienter får operere lenge uten å bli tatt ned, anser man som høyrisikoområder [ ]» månedsrapporter publisert kartleggingsstatistikk fra VDI. Det vi skal gjøre denne gangen er å korrelere denne informasjonen med informasjon fra åpne kilder, for å se om kan trekke noen konklusjoner i forhold til omdømme basert på dette. Tabell 2 viser kartleggingsstatistikk observert i VDI for tredje kvartal i år. Som vist tidligere i månedsrapportene våre, kommer USA, Russland og Kina høyt på listen, sammen med Brasil og Taiwan. Som man ser utmerker USA seg tydelig. Basert på aggregerte data om ulik kommando- og kontrollinfrastruktur for botnett fra flere åpne kilder, er det tydelig i Tabell 3 at USA er det primære opprinnelsesstedet. Tabell 3: Andel 39,2% Tabell 2: Andel Landskode 12,85% US 8,26% RU 6,64% CN 6,63% NO 6,63% BR 6,10% TW 2,83% IT 2,40% DE 2,25% JP 2,19% PL NorCERT har gjennom sine tidligere Landskode US 7,74% DE 6,99% RU 6,26% KR 4,29% CN 3,62% FR 2,70% NL 2,55% GB 2,41% CA 2,29% UA Her er det representasjoner av to ulike datasett som får USA til å komme ut på topp. Betyr det at USA er det farligste farvannet på nett? Realiteten er vesentlig

9 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL mer nyansert enn disse tallene skulle tilsi. Forstår man hvordan IP-adresser, nettblokker, AS-nummer og land henger sammen, kan man finne andre tilnæringsmåter til datasettene. Man kan for eksempel kalkulere kompromitteringsgraden som funksjon av kompromitterte maskiner over samlet adresserom for nettblokker man har informasjon om uønsket aktivitet fra. Om det for et spesifikt land finnes informasjon om X antall IP-er med mistenkelig oppførsel i flere forskjellige nettblokker med samlet adresserom Y, blir kompromitteringsgraden X/Y. På det samme datasettet hvor USA stod for 39% av de kompromitterte maskinene, ser man nå at USA ikke er nær toppen, se tabell 4. Derimot skiller Bosnia seg vesentlig ut. Et godt stykke bak følger Latvia, Ukraina og Russland, og vesentlig lenger bak følger land «Da kan omdømme gjenspeile sikkerhetsregimet til den eller de som har hånd om det aktuelle adresserommet [ ]» som Tyskland og USA, som i de foregående representasjonene skilte seg ut i andre enden av skalaen. Denne måten å gjøre beregningene på kan selvsagt også diskuteres. For land med få kompromitterte klienter i datasettet, kan noen få IP-er i en liten nettblokk gjøre at landet får et helt unaturlig utslag. Derfor burde disse dataene vært normalisert over det totale adresserommet som kan knyttes til hvert land. For å kompensere for dette i det aktuelle tallmaterialet, er land med mindre enn 50 IP-er i datasettet filtrert bort. Bosnia, som troner på toppen av lista har 100 IP-er i datasettet, men disse er fordelt på mindre enn et halvt B-nett. Derfor er det mulig å tenke seg at Bosnia her har fått et unaturlig stort utslag som følge av for lite grunnlagsdata. Tabell 4: Andel Landskode 3,76% BA 0,45% LV 0,41% UA 0,33% RU 0,26% CA 0,24% TR 0,14% CZ 0,11% NL 0,10% BR 0,07% EU 0,06% DE 0,06% FR 0,06% IT 0,05% ES 0,05% US Og slik er det stort sett når man skal forsøke å lage landbasert statistikk. Har du nok grunnlagsdata for alle land? Er knytningen fra nettblokk og AS til land korrekt? Er grunnlagsdataene dine representative for hele verden, eller bare en viss region? Derfor er det å lage god landbasert statistikk vanskelig, og det er begrenset hvor stor nytteverdi slike data har. Derimot kan omdømme med fordel benyttes på nettblokker, og særlig relativt små nettblokker. Da kan omdømme gjenspeile sikkerhetsregimet til den eller de som har hånd om det aktuelle adresserommet, og man kan bruke kunnskapen man bygger til å varsle eller blokkere om det går trafikk mot en høyrisikonettblokk. «[...] man kan bruke kunnskapen man bygger til å varsle eller blokkere om det går trafikk mot en høyrisikonettblokk.» VDI-fakta VDI er en forkortelse for Varslingssystem for digital infrastruktur. Det er et nasjonalt sensorsystem for deteksjon av alvorlige hendelser mot kritisk digital infrastruktur i Norge. Disse sensorene er typisk plassert på utsiden av brannmuren ute hos offentlige og private samarbeidspartnere. VDI ble opprettet høsten Formålet med VDI er å detektere og varsle om målrettede og koordinerte angrep mot samfunnskritisk IKT-infrastruktur. VDI er også et verktøy for å kvalitetssikre varsler, rapporter og innmeldte trender fra andre miljøer, og brukes som grunnlag for IKT-trusselbildet som utarbeides i et samarbeid med Etterretningstjenesten og Politiets sikkerhetstjeneste. Sensorsystemet skal ikke samle inn, eller benytte, informasjon til andre formål enn det som er definert i instruksen for NorCERT. Av personvernmessige hensyn skal heller ikke denne informasjonen kunne knyttes til enkeltpersoner. Det er strenge rutiner på plass for å sikre at dette ikke skjer. Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste (EOS-utvalget) utfører årlig inspeksjon av NorCERT, hvor de blant annet undersøker nettopp dette. EOS-utvalget kommenterte i sin rapport for 2010: «Utvalget har i 2010 gjennomført fire inspeksjoner i NSM, herunder en inspeksjon av avdeling NorCERT, som er Norges nasjonale senter for håndtering av dataangrep mot samfunnskritisk infrastruktur og informasjon. Inspeksjonen viste at avdelingen er oppmerksom på personvernrelaterte problemstillinger». Deltagelse i VDI er frivillig, og det inngås avtaler med alle som deltar hvor partenes rettigheter og plikter reguleres. Detaljert informasjon om teknologien, deteksjonsmekanismer og deteksjonsevne i VDI er unntatt offentlighet. Navn på virksomheter som deltar er i utgangspunktet også unntatt offentlighet, men den enkelte virksomhet kan selv bestemme om sin egen deltagelse kan offentliggjøres.

10 10 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT En sort tulipan Utstedelse av falske digitale sertifikater fikk alvorlige konsekvenser for det nederlandske selskapet DigiNotar. Hendelsen med tilnavnet «Operation Black Tulip» har vært en del av nyhetsbildet for informasjonssikkerhetsmiljøet den siste tiden. Den nederlandske sertifikatutstederen DigiNotar har vært i sentrum for denne hendelsen, hvor flere falske sertifikater har blitt utstedt. Kompromitteringen av en slik tiltrodd tredjepart har medført at angriper eller dens samarbeidspartnere har hatt mulighet til å avlytte internettkommunikasjon gjennom mellommannsangrep. Over 500 falske sertifikater skal være utstedt av angriperen i løpet av kompromitteringsperioden. Utstedelse av de falske sertifikatene startet allerede i begynnelsen av juli, men det skulle gå over to måneder før saken ble offentlig kjent. En grundig uavhengig gransking av hendelsen ble satt i gang i slutten av august. Hendelsen ble oppdaget av en «Over 500 falske sertifikater skal være utstedt» iransk bruker som meldte fra til Google at han fikk en feilmelding ved innlogging på e-posttjenesten Gmail. Det gikk kort tid fra saken ble offentlig kjent til nettleserne trakk tilliten til sertifikatutstederen. Dette resulterte i at alle brukere som besøkte nettsteder med sertifikat fra DigiNotar ble møtt med en sikkerhetsadvarsel. Personen som påtok seg ansvaret for datainnbruddet, gikk tydelig ut og viste sin støtte til de iranske myndighetene. Dette skjedde både gjennom å dele de falske sertifikatene slik at de hadde mulighet til å utføre avlyttingsangrep mot sine egne innbyggere, samtidig som han direkte uttalte sin støtte til dem gjennom pressemeldingene utgitt på nettsiden Pastebin. Denne personen opererer på Internett under samme kallenavn som personen(e) som hevder å stå bak angrepet mot sertifikatutstederen Comodo, som ble kompromittert i mars At angrepet var spesielt rettet mot iranske brukere ble også tydelig når data fra OCSP-logger ble offentliggjort. Det viste seg at de aller fleste forespørsler om verifisering av falske DigiNotar-sertifikat kom fra iranske IP-adresser. Hendelsen har belyst problemer med sikkerhetsmodellen for sertifikater, da tiltrodde tredjeparter ikke alltid kan stoles på. Selv om man ikke helt kan vite hva som skjedde i den to måneder lange perioden mellom første falske utstedelse og til hendelsen var offentlig kjent, bør det settes spørsmålstegn om hendelseshåndteringen har foregått på en ryddig måte fra sertifikatutsteders side. Resultatet av hendelsen ble også dramatisk for DigiNotar da de mistet bevilgningen til å utstede flere sertifikater som igjen betydde kroken på døra for selskapet. Opptil flere forbedringstiltak har blitt foreslått til den nåværende sikkerhetsmodellen. Som foreslått i Sikkerhetsbloggen til NSM tidligere i år vil en mulighet være å redusere antall sertifikatutstedere som operativsystemet og nettlesere skal stole på ved å fjerne unødvendige rotsertifikater. Andre initiativ som kan nevnes er prosjektene Perspectives og etterfølgeren Convergence som har en mer desentralisert modell hvor flere «notary»-tjenere kontaktes for å verifisere et nettsteds sertifikat. Et av spørsmålene som vi må stille oss som et nasjonalt CERT er hvorvidt denne typen alvorlige hendelser også kan ramme norske bedrifter og internettbrukere. I Norge finnes det ingen sentral liste over utstedere av SSL-sertifikater. Trolig ville en slik liste være sammenfallende med listen over utstedere av kvalifiserte sertifikater som er publisert på nettsidene til Post- og Teletilsynet i henhold til selvdeklareringsordningen. Ut fra den listen er det kun to aktører som utsteder SSL-sertifikater i Norge. Disse har vi også hatt kontakt med i forbindelse med DigiNotar-kompromitteringen. Denne kontakten ble opprettet hovedsaklig for å kunne dele informasjon om angrepsvektorer og hvordan man kunne foreta ekstra tiltak for å sikre seg mot slike angrep. «Et av spørsmålene [...] er hvorvidt denne typen alvorlige hendelser også kan ramme norske bedrifter og internettbrukere.» Saksbegreper Mellommannsangrep Fra det engelske uttrykket «Man-in-The- Middle attack». Omhandler angrep hvor trusselaktør har mulighet til å observere og modifisere trafikk fra/til offeret. Kryptering og autentisering av forbindelsen med TLS/SSL er et eksempel på mottiltak mot slike typer angrep, et annet tiltak kan være å benytte krypterte Virtuelle Private Nettverk (VPN) med eksempelvis IPSec. Sertifikatutsteder (CA) Fra det engelske begrepet «Certificate Authority». Med unntak av selvsignerte sertifikater er man avhengig av en tiltrodd tredjepart for utstedelse av digitale sertifikater. Sertifikatutstederen signerer det digitale sertifikatet med sin hemmelige nøkkel tilhørende sitt offisielle rotsertifikat og går dermed god for identiteten til sertifikateieren. Sikkerhetsmodellen Nettleseren har en liste over rotsertifikat fra anerkjente sertifikatutstedere og vil kunne automatisk akseptere sertifikat signert av rotsertifikat på denne listen. Man kan i tillegg kontakte sertifikatutstederen og få verifisert ektheten av et digitalt sertifikat i forhold til revokeringsstatus. Online Certificate Status Protocol (OCSP) er en Internettprotokoll (RFC 2560) som brukes av enkelte nettlesere til dette formålet.

11 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL Manglende beskyttelse hos vannverket 9. september 2011 omtalte flere norske medier en rapport om Oslo kommunes vannbehandlingsanlegg. VG var først ute ved å si de hadde fått tak i den «hemmeligstemplede» rapporten som omhandlet vannbehandlingsanleggenes sikkerhet. Essensen i saken var at det skulle ha vært mulig å få tilgang til vannverkene ved hjelp av Bluetooth og koden Bluetooth er en teknologi for trådløs overføring av data. Over korte avstander kan man knytte sammen mobiltelefoner, datamaskiner og annet utstyr uten bruk av kabler. Bluetooth-teknologi via mobiltelefoner skal i følge Vann- og avløpsetaten ha vært avgjørende for både å gi ansatte i etaten tilgang til å styre vann- og avløpssystemet og adgang til viktige bygninger. Det ville altså være mulig, kun ved bruk av mobil å gjette det svært enkle passordet, og dermed overta kontrollen av vannforsyningen. Vannet til mennesker kunne i verste fall blitt sabotert på ulike måter. Vann- og avløpsetaten konkluderte med at de ikke hadde hatt tilstrekkelig fokus på informasjonssikkerhet, og at etaten heller ikke har hatt en formalisert tilnærming i sin håndtering av systemet. De rapporterte i etterkant at de nå ville styrke sin IKT-seksjon. Nasjonal sikkerhetsmyndighet har det siste året hatt fokus på sikkerheten rundt ITbaserte styringssystemer i Norge, som for eksempel brukes til å kontrollere produksjonsområder som drikkevann, vannmagasiner og oljeforsyningen i Nordsjøen. Daværende avdelingsdirektør for NorCERT, Christophe Birkeland, advarte blant annet i et intervju med Aftenposten i 2010 om at vi ser trojanere som er spesiallaget for å ta styring på prosess- og kontrollsystemer. I tilfellet med Oslos vannbehandlingsanlegg ble sikkerheten vurdert til å være langt under akseptabel. «Vannforsyningen i Norge er å anse som en kritisk samfunnsfunksjon. Det er viktig både med en fysisk beskyttelse av vannforsyningen, men også en beskyttelse av informasjonssikkerheten», uttalte underdirektør i Nasjonal Sikkerhetsmyndighet Dagfinn Buset til VG i forbindelse med saken. Foto:Illustrasjonsfoto

12 12 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT Mobile trusler Mobiltelefonen er uunnværlig for de fleste, og brukes både i privat- og jobb-sammenheng. Utviklingen fra et viktig kommunikasjonsmiddel til å inkludere mange flere bruksområder, gjør det svært viktig for brukere å være bevisst på trusler og utnyttelsesforsøk fra uvedkommende. Mobile trusler utvikler i 2011 seg til å bli en stadig større del av internettkriminaliteten. Nyere mobiltelefoner har nå blitt små datamaskiner, og salget er stadig økende. Blant annet rapporterte NetCom i mars at nærmere 90 % av mobilene solgt gjennom deres salgskanaler er en smarttelefon. De brukes som alt fra telefon- og meldingstjenester til nettleser, betalingstjenester, dokumentbehandling, lagringsenhet og kamera. I tillegg blir det stadig mer populært å laste ned ekstra programvare på mobilen. På dagens smarttelefoner kan man lagre samme type informasjon som på en PC. Alt fra mail og adressebok til personlige bilder blir tatt med over alt. Samtidig tenker ikke alle på telefonen som et like attraktivt mål som en PC, og unnlater derfor å beskytte den i like stor grad. En smarttelefon kan dermed være mer sårbar, men samtidig ett minst like attraktivt mål som en PC. Hvilke trusler? Truslene varierer fra helt enkel til avansert skadevare. Som bruker av smarttelefoner er det viktig å være bevisst på dens sårbarheter. En smarttelefon kan infiseres av virus og trojanere, på samme måte som en vanlig «På dagens smarttelefoner kan man lagre samme type informasjon som på en PC» datamaskin. En angriper vil ved å utnytte en sårbarhet kunne få kontroll over og tilgang til hele telefonen, inkludert alt av meldinger, bilder, kontakter, avtaler, surfe-historikk og lokasjon. Med et overvåkningsprogram kan samtaler avlyttes og filmes, og bevegelsesmønstre kan kartlegges. Det trenger ikke være mindre risikabelt å blindt klikke på lenker, vedlegg osv. på en mobiltelefon enn på en datamaskin. Mobile nettlesere, på lik linje med desktop-nettlesere, kjører også Javascript-tolkere og har støtte for tredjepartstillegg. «Drive-by exploits» hvor man blir infisert uten å klikke på noe som helst er veldig utbredt på datamaskiner, men forholdsvis nytt for smarttelefoner. De fleste typer skadevare på mobiltelefoner som man leser om i media har vist seg å komme fra ondsinnede mobilapplikasjoner. Manglende kvalitetssikring i Android-markedet har vært et hett tema som har medført en del kritikk mot Google. Flere av de tilgjengelige applikasjonene muliggjør angrep som tidligere kun var mulig fra datamaskiner. Annet som er verdt å merke seg er rettighetene en applikasjon ønsker ved installasjon. Det bør ikke gis tilgang til applikasjoner det ikke stoles 100 prosent på, og det må også tas høyde for at det finnes forfalskninger på markedet. Vi ser at det blir stadig mer vanlig for brukere av smarttelefoner å utføre «jailbreaking/rooting» av telefonen, og det er nå blitt en enkel operasjon å gjennomføre for de fleste. Dette gir brukeren frie tøyler til å gjøre det man vil på mobilen sin, men det er også noe som skadevare kan nyte godt av. En jailbreaket telefon kan være mer sårbar for kompromittering. En av grunnene til å utføre jailbreaking er for mange muligheten til fjerninnlogging, for eksempel med programmer som SSH. Et problem her kan for eksempel være at root-passordet på SSH-tjenesten for iphone er standard og åpent kjent. Dersom man ikke endrer dette, vil telefonen være helt åpen for alle. Med root-tilgang kan en uvedkommen gjøre nærmest hva den vil med systemet. Et annet aspekt rundt disse nye truslene er at det kan utgjøre en kilde til stadig økende datatap for bedrifter og organisasjoner. Spesielt ser vi dette med tanke på bruk av e-post. Ansatte tar de små datam- «Vi ser at det blir stadig mer vanlig for brukere av smarttelefoner å utføre jailbreaking/rooting av telefonen.» askinene i bruk på jobben, og skillelinjene mellom privat og forretningsmessig bruk blir mer og mer utydelige. Sikkerhetsutfordringene får enda en ny dimensjon ved at det nå er veldig enkelt å ta med seg data ut av jobblokalene. Dette kan føre til store hull i den virtuelle sikkerhetsstrukturen. I Mørketallsundersøkelsen 2010, gjort av Næringslivets Sikkerhetsråd, kommer det frem at 64% av virksomhetene som deltok har tilgang til e-post gjennom mobilen. Tallet er enda høyere blant de «Sikkerhetsutfordringene får enda en ny dimensjon ved at det nå er veldig enkelt å ta med seg data ut av jobblokalene.» største virksomhetene, hvor hele 78 % har tatt i bruk e-post på mobil. Samtidig er det kun 39 % som viser til fastsatte krav og retningslinjer for denne typen bruk. Hvordan sårbarhetene utnyttes For å kunne utnytte en mobiltelefon trengs en angrepsoverflate. Grensesnittene som finnes på de fleste moderne mobiltelefoner er Bluetooth, USB og WLAN. I tillegg består angrepsoverflaten av applikasjoner, herunder API (programmeringsgrensesnitt) og installerte programmer. Sikkerhetsrapporter fra hele verden viser en stadig økning av trusler i form av farlige mobilapplikasjoner. Dette dreier seg ofte om populære applikasjoner som spill- eller musikk-apper maskert som legitime applikasjoner, og de har som mål å samle og videresende personlig informasjon som kredittkortinfo og innloggingsdetaljer. Utfordringer og anbefalinger Bruken av smarttelefoner og andre mobile enheter øker. Med dette øker avhengigheten til denne typen teknologi i både offentlig og privat sektor, også innen kritisk

13 NorCERT NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT FOR 3. KVARTAL Hvordan beskytte seg? «De fleste typer skadevare på mobiltelefoner som man leser om i media har vist seg å komme fra ondsinnede mobilapplikasjoner.» infrastruktur. Denne utviklingen gjør det nødvendig med strengere krav til sikkerhetsfokus blant både virksomheter og enkeltbrukere. Næringslivets Sikkerhetsråd vurderte i 2010 at hos minst 61% av virksomhetene i deres undersøkelse var mobilbruk og e-post en sikkerhetsrisiko. Den siste tiden har NorCERT fått flere henvendelser om mulig infiserte smarttelefoner. NorCERTs erfaring har vært at bevissheten blant virksomheter rundt dette problemet begynner å øke. En bekymring hos mang en ledelse er blant annet at ansatte nå har klare forventninger om å kunne bruke mobile enheter og den tilgjengeligheten dette fører med seg. Det mest grunnleggende i håndteringen av dette, vil være å gjennomføre risikovurderinger samt utarbeide klare retningslinjer og opplæring for bruk. Lås ned telefonen - PIN-kode (med mer enn 4 siffer)/passordbeskyttelse og låsing av telefonen eller automatisk sletting av data ved for mange feilinntastede passord. Installer sikkerhetsprogramvare Flere antivirusselskaper tilbyr nå mobilversjoner av sine produkter. Vær forsiktig med installasjon av mobilapplikasjoner - Vær kritisk til hva du laster ned. Vurder å innføre en policy der kun forhåndsgodkjente applikasjoner kan innstalleres. Oppdater telefonen - På lik linje med datamaskinen din vil det komme programvareoppdateringer til telefonen også. Ta backup! Vær forsiktig med hvilke sider du klikker på! Unngå jailbreaking! Sist, men ikke minst, ikke mist telefonen!

14 14 KVARTALSRAPPORT FOR 3. KVARTAL 2011 NASJONAL SIKKERHETSMYNDIGHET NorCERT NorCERTs oppgaver Populært sagt er NorCERT «hovedredningssentral for Internett i Norge». Hovedoppgaven vår er å koordinere hendelseshåndtering ved alvorlige sikkerhetstruende hendelser. Dette blir fort litt høytsvevende beskrivelser, og vi skal derfor se litt på hva dette konkret kan innebære. «Grunnen til at vi også jobber med dette er for å bygge kompetanse og kontaktnettverk samt holde det generelle sikkerhetsnivået på Internett i Norge så høyt som mulig.» NorCERT håndterer ca 501 (månedlig gjennomsnitt hittil i 2011) saker per måned. Basert på dette skjønner man raskt at ikke alle sakene er like alvorlige. Flesteparten faller i utgangspunktet utenfor definisjonen av hvilke oppgaver NorCERT ble opprettet for å håndtere, nemlig angrep mot kritisk infrastruktur. Grunnen til at vi også jobber med saker utenfor kjernevirksomheten, er for å bygge kompetanse og kontaktnettverk samt holde det generelle sikkerhetsnivået på Internett i Norge så høyt som mulig. Alvorlighetsgraden spenner fra for eksempel å varsle norske internettleverandører om kompromitterte kunder i deres nettverk, til å håndtere alvorlige dataangrep og spionasjesaker mot interesser i Norge. La oss starte med en sak i den minst alvorlige enden av skalaen. NorCERT mottar daglig rapporter om kompromitterte klienter og websider i Norge. Denne informasjonen mottar vi fra ulike eksterne kilder. For eksempel mottar vi informasjon fra sikkerhetsforskere som drifter såkalte sinkholes. Når en PC blir kompromittert av skadevare vil den etablere kontakt med en server (kjent som «Command & Control server») for å sende ut informasjon og motta kommandoer om hva den skal gjøre. Sikkerhetsmiljøer (f.eks. antivirusselskaper) samarbeider med internettleverandører om å ta over adressene til disse serverne, og sender så informasjon til nasjonale CERTer om maskiner som prøver å koble seg opp mot disse. NorCERT mottar denne informasjonen, og sender den videre til de respektive internettleverandørene, og disse tar igjen kontakt med kundene sine. Samtidig drifter NorCERT sitt eget sensorsystem som heter Varslingssystem for digital infrastruktur (VDI). Dette er et system som består av sensorer som er utplassert hos virksomheter som er kritiske for det norske samfunnet. Deltagelse i VDI er frivillig, og teknologien er lagt opp slik at NorCERT ikke har anledning til å identifisere nettverkstrafikk fra enkeltpersoner. Målet med VDI er å oppdage alvorlige IKTangrep mot kritisk infrastruktur i Norge. I media har arkivbilder fra NorCERTs operasjonssenter flere ganger blitt brukt i sammenheng med blant annet saker om bekjempelse av piratkopiering og datalagringsdirektivet, og det er svært viktig for oss å understreke at dette er saker som ikke er relevante for NorCERT, og VDI brukes ikke til disse formålene. Hittil i år har NorCERT håndtert ni saker som vi definerer som alvorlige. Dette er saker som ofte kan dreie seg om industrispionasje og skadelig etterretningsvirksomhet mot norske interesser. Denne typen saker kan innledes for eksempel ved at en alarm går i VDI, og vi starter undersøkelser basert på dette, eller at en virksomhet kontakter oss basert på mistanke om datainnbrudd. Vår håndtering av saken vil da i hovedsak bestå av koordinering og analyser. Første prioritet i en slik sak er som regel å stoppe eventuelle lekkasjer av data, samt å kartlegge omfanget av kompromitterte maskiner hos virksomheten. For å kunne gjøre dette bistår NorCERT med å analysere skadevare, slik at man kan hente ut såkalt triggerinformasjon. Basert på det vi finner er det opp til virksomheten selv å implementere nødvendige tiltak for å stoppe videre spredning og eksfiltrasjon. En slik hendelse kan du lese om på neste side Samtidig vil vi bistå med å koordinere opp mot andre aktører i Norge. Det kan være de øvrige EOS-tjenestene, Politiet eller andre virksomheter som kan tenkes å være i målgruppen for angrepet. NorCERT gjennomfører ikke etterforskning til hensikt å avdekke aktører, og vi lagrer heller ikke bedrift- eller personsensitive opplysninger i VDI-systemet.

NorCERT IKT-risikobildet

NorCERT IKT-risikobildet 5/2/13 NorCERT IKT-risikobildet Aktuelle dataangrep som rammer norske virksomheter Torgeir Vidnes NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Torgeir.Vidnes@nsm.stat.no 1 Faksimile: www.aftenposten.no

Detaljer

Trusler, trender og tiltak 2009

Trusler, trender og tiltak 2009 Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring Hvordan kan vi være til nytte? Internett har endret oss Trusselaktører / fienden Trusselaktører Mål Evne

Detaljer

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE NASJONAL SIKKERHETSMYNDIGHET Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE INNHOLD Hva er digital spionasje 2 Hvordan kommer de seg inn i systemet 3 Forebyggende tiltak

Detaljer

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? SLIDE 1 AGENDA! NSM NorCERT: Hvem er vi?! Trusler og trender: Hva ser vi?! Faktiske hendelser: Hva skjer?! Hendelseshåndtering: Hva gjør vi?! Tiltak:

Detaljer

orske virksomheter i det digitale rom

orske virksomheter i det digitale rom orske virksomheter i det digitale rom va er risikoen? Eiliv Ofigsbø Avdelingsdirektør, NorCERT, Nasjonal sikkerhetsmyndighet Mail: norcert@cert.no Telefon: 02497 1 NorCERT BAKGRUNN OG FØRINGER St. meld

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

en arena for krig og krim en arena for krig og krim?

en arena for krig og krim en arena for krig og krim? krig og krim Cyberspace Cyberspace en arena for krig og krim en arena for krig og krim? Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet, NSM Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet,

Detaljer

TRUSLER, TRENDER OG FAKTISKE HENDELSER

TRUSLER, TRENDER OG FAKTISKE HENDELSER TRUSLER, TRENDER OG FAKTISKE HENDELSER Sikkerhet & Sårbarhet 05.05.2015, Marie Moe (NSM/SINTEF) SLIDE 1 AGENDA Trusler og trender: Hva ser vi? Faktiske hendelser: Hva skjer? Hendelseshåndtering: Hva kan

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Slik stoppes de fleste dataangrepene

Slik stoppes de fleste dataangrepene Slik stoppes de fleste dataangrepene Oktober 2014, Nasjonal sikkerhetsmåned John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet 1 Agenda 1. De mest populære sikkerhetstiltakene er lite effektive

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG 2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG 1 SAMMENDRAG INNLEDNING: GLOBAL THREAT INTELLIGENCE REPORT 2015 De siste årene har sikkerhetsbransjen med rette fokusert mye på Advanced Persistent Threats

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET SLIDE 1 FORVENTNINGER TIL SIKKERHET I DEN DIGITALE VERDEN Oslo, 27. mai 2015 Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet 2 NSM NØKKELINFORMASJON 3 SIKRE SAMFUNNSVERDIER NSMS SAMFUNNSOPPDRAG Sikre samfunnsverdier

Detaljer

15. mai 2014. Månedsrapport. april 2014. Statusrapport Slettmeg.no april 2014. Side 1 av 9

15. mai 2014. Månedsrapport. april 2014. Statusrapport Slettmeg.no april 2014. Side 1 av 9 Månedsrapport april 2014 Side 1 av 9 Innhold Om NorSIS Slettmeg.no april 2014 Aktuelle problemstillinger Side 2 av 9 Bakgrunn Dette er en kort oppsummering av hva vi har sett i løpet av april 2014. For

Detaljer

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger?

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger? Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger? Delrapport 1 fra personvernundersøkelsen 2013/2014 Februar 2014 Innhold Innledning og hovedkonklusjoner...

Detaljer

Nøkkeltall fra NorCERT

Nøkkeltall fra NorCERT Kvartalsrapport for 4. kvartal 2011 Digital spionasje Digital spionasje er en alvorlig trussel som norsk næringsliv må ta på alvor. Ofte kan dette være vanskelig å oppdage og mange har ikke erfaring med

Detaljer

Månedsrapport Mars 2005

Månedsrapport Mars 2005 Månedsrapport Mars 2005 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger?

Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger? Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger? Delrapport fra personvernundersøkelsen november 2013 Februar 2014 Innhold Hva er du bekymret for?...

Detaljer

NSM NorCERT og IKT risikobildet

NSM NorCERT og IKT risikobildet NSM NorCERT og IKT risikobildet NorCERT, Nasjonal sikkerhetsmyndighet (NSM) Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Agenda! Om NSM og NorCERT! Om samarbeidet mellom EOS-tjenestene! Om IKT-truslene!

Detaljer

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede. Agenda Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede 3 Hva er Cybersikkerhet? Cybersikkerhet er beskyttelse av fysiske enheter eller informasjonsaktiva

Detaljer

Månedsrapport Juni, juli, august 2014

Månedsrapport Juni, juli, august 2014 Månedsrapport Juni, juli, august 2014 Innhold Bakgrunn... 3 Om NorSIS... 3 Slettmeg.no Sommer 2014... 4 Uønskede oppføringer... 6 Krenkelser... 7 Brukerstøtte... 9 De mest vanlige henvendelsene... 10 Trender

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET 1 NASJONAL SIKKERHETSMYNDIGHET 2 Sammendrag 3 Sammendrag_ Nasjonal sikkerhetsmyndighet Risiko 2015 gir en vurdering av sårbarheter i sam funnet, verdier som er verdt å beskytte og risiko for spionasje,

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET 1 NASJONAL SIKKERHETSMYNDIGHET 2 Sammendrag Nasjonal sikkerhetsmyndighet Risiko 2015 gir en vurdering av sårbarheter i sam funnet, verdier som er verdt å beskytte og risiko for spionasje, sabotasje, terror

Detaljer

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss?

Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss? Datasikkerhet Informasjonssikkerhet Passordregler E-post, internett og sosiale medier hvordan sikre oss? Christian Meyer Norsk senter for informasjonssikring Bevisstgjør om trusler Opplyser om tiltak Påvirker

Detaljer

Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25

Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25 VEFSN KOMMUNE Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25 NETTVETT Nettvettregler for e-post Slett mistenkelig e-post Ikke svar på eller følg oppfordringer i spam

Detaljer

Sikkerhet og informasjonssystemer

Sikkerhet og informasjonssystemer Sikkerhet og informasjonssystemer IFEA 19.10.2011 Datasikkerhet i industri og offentlig infrastruktur. Helge Rager Furuseth seniorrådgiver, siv.ing. Avdeling for sikkerhetsforvaltning Nasjonal sikkerhetsmyndighet

Detaljer

10.03.2011. Vår digitale hverdag Et risikobilde i endring

10.03.2011. Vår digitale hverdag Et risikobilde i endring Nasjonal sikkerhetsmyndighet Vår digitale hverdag Et risikobilde i endring Etablert 1. januar 2003 Historikk fra 1953 Et sivilt direktorat JD KOORD FD En sektorovergripende myndighet FD er styrende departement.

Detaljer

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen 1 Agenda Security Awareness Har du slått på den sosiale brannmuren? Demonstrasjoner Manipulert SMS Telefon / rom avlytting

Detaljer

TI TILTAK FOR BESKYTTELSE AV DATAMASKINER

TI TILTAK FOR BESKYTTELSE AV DATAMASKINER TI TILTAK FOR BESKYTTELSE AV DATAMASKINER 2015-03 NSMs Sikkerhetskonferanse John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet SLIDE 1 NASJONAL SIKKERHETSMYNDIGHET TRUSLER OG VERDIER Tiltak:

Detaljer

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv «Å tro at det ikke finnes virus på Mac er dessverre litt

Detaljer

Månedsrapport for november 2007

Månedsrapport for november 2007 Månedsrapport for november 2007 Tone oppsummerer november Denne rapporten oppsummerer nyhetsbildet og truslene knyttet til informasjonssikkerhet, som NorSIS mener er aktuelle. I slutten av november fikk

Detaljer

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv «Å tro at det ikke finnes virus på Mac er dessverre litt

Detaljer

Månedsrapport september 2004

Månedsrapport september 2004 Månedsrapport september 2004 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

Nøkkeltall fra NorCERT. Mobil usikkerhet. Superhelter finnes

Nøkkeltall fra NorCERT. Mobil usikkerhet. Superhelter finnes Nasjonal sikkerhetsmyndighet Kvartalsrapport for 4. kvartal 2012 Nøkkeltall fra NorCERT NSM/NorCERT har siden opprettelsen av kvartals rapporten stadig rapportert om sterk økning i antall håndterte hendelser.

Detaljer

Månedsrapport februar 2014

Månedsrapport februar 2014 Månedsrapport februar 2014 Side 1 av 10 Innhold Bakgrunn Om NorSIS Slettmeg.no februar 2014 Trender og aktuelle problemstillinger Ny Nettside Kontakt Side 2 av 10 Bakgrunn Dette er en kort oppsummering

Detaljer

Rapport om sikkerhetstilstanden 2009

Rapport om sikkerhetstilstanden 2009 Nasjonal sikkerhetsmyndighet Rapport om sikkerhetstilstanden 2009 Ugradert versjon I denne rapporten redegjør Nasjonal sikkerhetsmyndighet (NSM) for etterlevelsen av sikkerhetsloven med forskrifter samt

Detaljer

Mørketallsundersøkelsen 2006

Mørketallsundersøkelsen 2006 Mørketallsundersøkelsen 2006 Øyvind Davidsen Leder av Datakrimutvalget Sikkerhetskonferansen 2006 27-28 September 1 Mørketallsundersøkelsen Dette er den 5. mørketallsrapporten som utarbeides av Datakrimutvalget

Detaljer

MØRKETALLSUNDERSØKELSEN 2010

MØRKETALLSUNDERSØKELSEN 2010 MØRKETALLSUNDERSØKELSEN 2010 Mørketallsundersøkelsen 2010 7. undersøkelsen Perduco AS i mai 2010. Tidsrommet for kartleggingen er 2009. Utvalg: Det er trukket ut 6000 virksomheter til undersøkelsen. Av

Detaljer

Det digitale trusselbildet Sårbarheter og tiltak

Det digitale trusselbildet Sårbarheter og tiltak H a f s l u n d M u l i g h e t s W o r k s h o p TORE LARSEN ORDERLØKKEN Det digitale trusselbildet Sårbarheter og tiltak Agenda Sikkerhetsparadokset Trusler og trender Tall og hendelser Hvordan sikrer

Detaljer

F-Secure Mobile Security for S60

F-Secure Mobile Security for S60 F-Secure Mobile Security for S60 1. Installasjon og aktivering Tidligere versjon Installasjon Du trenger ikke å avinstallere den tidligere versjonen av F-Secure Mobile Anti-Virus. Kontroller innstillingene

Detaljer

KARTLEGGING AV IKT-SIKKERHET I NORSKE VIRKSOMHETER

KARTLEGGING AV IKT-SIKKERHET I NORSKE VIRKSOMHETER KARTLEGGING AV IKT-SIKKERHET I NORSKE VIRKSOMHETER i SAMMENDRAG Det er gjort få undersøkelser i Norge som viser hva slags sikringstiltak som er gjennomført i norske virksomheter. Internasjonale undersøkelser

Detaljer

Månedsrapport januar 2014

Månedsrapport januar 2014 Månedsrapport januar 2014 Side 1 av 8 Innhold Bakgrunn Om NorSIS Slettmeg.no august 2013 Trender og aktuelle problemstillinger Kontakt Side 2 av 8 Bakgrunn Dette er en kort oppsummering av hva vi har sett

Detaljer

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET RISIKOVURDERING Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM SLIDE 2 INNHOLD Risikovurdering og sikkerhetsstyring Verdivurdering Trusselvurdering Valg av scenarier Sårbarhetsvurdering Sammenstilling

Detaljer

Sikkerhet innen kraftforsyningen

Sikkerhet innen kraftforsyningen Sikkerhet innen kraftforsyningen Dataforeningen, 12.11.2014 Arthur Gjengstø, NVE Strømmen fram til «stikkontakten» Færrest mulig avbrudd Raskest mulig gjenoppretting Verdien av strøm før og under strømbrudd

Detaljer

KRAVSPESIFIKASJON FOR SOSIORAMA

KRAVSPESIFIKASJON FOR SOSIORAMA KRAVSPESIFIKASJON FOR SOSIORAMA Innhold 1. Forord... 2 2. Definisjoner... 3 3. Innledning... 4 3.1 Bakgrunn og formål... 4 3.2 Målsetting og avgrensninger... 4 4. Detaljert beskrivelse... 8 4.1 Funksjonelle

Detaljer

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 4 Nasjonal sikkerhetsmåned 6 tema Generell informasjonssikkerhet Beskytte

Detaljer

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM Nasjonal sikkerhetsmåned 2014 Stavanger, 2. oktober 2014 Fagdirektør Roar Thon Nasjonal sikkerhetsmyndighet 1 SLIDE 2 VIDEOKLIPP FRA NRK.NO «Det er en utfordring

Detaljer

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

FIRE EFFEKTIVE TILTAK MOT DATAANGREP FIRE EFFEKTIVE TILTAK MOT DATAANGREP Olav Ligaarden Nasjonal sikkerhetsmyndighet Offentlig seminar SINTEF, Oslo 2016-01-22 SLIDE 1 Innhold Motivasjon Fire effektive, enkle og viktige tiltak Tre andre enkle

Detaljer

Hva er trusselen og hvordan påvirker den oss? Niklas Vilhelm Forsker Nasjonal Sikkerhetsmyndighet Niklas.vilhelm@nsm.stat.no

Hva er trusselen og hvordan påvirker den oss? Niklas Vilhelm Forsker Nasjonal Sikkerhetsmyndighet Niklas.vilhelm@nsm.stat.no Hva er trusselen og hvordan påvirker den oss? Niklas Vilhelm Forsker Nasjonal Sikkerhetsmyndighet Niklas.vilhelm@nsm.stat.no Litt om meg Forsker i Nasjonal Sikkerhetsmyndighet IT utdannelse ved UiO Bakgrunn

Detaljer

Hvordan gjennomføres id-tyverier og hva kan gjøres. Tore Larsen Orderløkken Leder NorSIS

Hvordan gjennomføres id-tyverier og hva kan gjøres. Tore Larsen Orderløkken Leder NorSIS Hvordan gjennomføres id-tyverier og hva kan gjøres Tore Larsen Orderløkken Leder NorSIS 1 Noen definisjoner Identitetstyveri Uautorisert innsamling, besittelse, overføring, reproduksjon eller annen manipulering

Detaljer

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn VEIEN MOT 2017 Innledning Kursen for de neste årene er satt. Strategien er et verktøy for å kommunisere retning og prioriteringer internt og eksternt. Strategien er et viktig styringsdokument, og skal

Detaljer

Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012

Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Seminar om betalingssystemer og IKT i finanssektoren, 03.05.2012 Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av IKT og betalingstjenester Seksjonssjef Frank Robert Berg Finanstilsynet Risikobildet

Detaljer

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN INNLEDNING Finans Norge utvikler årlig rapport om trusler og sikkerhetsutfordringer som finansnæringen står overfor.

Detaljer

Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker

Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker Erlend Dyrnes NextGenTel AS Tekna 30.03.2011 Mobilt bredbånd - LTE - WiMAX 1 Om presentasjonen Introduksjon

Detaljer

«Dataverdens Trygg Trafikk»

«Dataverdens Trygg Trafikk» Det moderne bankran NOKAS metoden har blitt gammeldags Christian Meyer Seniorrådgiver Norsk senter for informasjonssikring Bevisstgjør om trusler Opplyser om tiltak Påvirker til gode holdninger «Dataverdens

Detaljer

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett SpareBank 1 Finanshus Forvaltning 805 mrd. Bank, forsikring, eiendomsmegling, inkasso, etc. ca 6500 ansatte

Detaljer

Sikkerhetsmessig verdivurdering

Sikkerhetsmessig verdivurdering For DECRIS 12 juni 2008 Sikkerhetsmessig verdivurdering Stein Henriksen Stab Navn Navnesen stein.henriksen@nsm.stat.no Avdeling www.nsm.stat.no navn.navnesen@nsm.stat.no www.nsm.stat.no 1 Nasjonal sikkerhetsmyndighet

Detaljer

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet Stoler du på denne mannen? 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 2 Jepp Derfor fant du i januar

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

Elektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett

Elektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett Elektroniske spor Innsynsrett, anonymitet Kirsten Ribu Kilde: Identity Management Systems (IMS): Identification and Comparison Study Independent Centre for Privacy Protection and Studio Notarile Genghini

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON 30.05.2016 SPISSKOMPETANSE GIR BEDRE INTERNREVISJON Vi er opptatt av å kombinere internrevisjonskompetanse med spisskompetanse på relevante problemstillinger. Unike problemstillinger krever unike team.

Detaljer

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE - TRUSSEL- OG SÅRBARHETSVURDERING. OBJEKTSIKKERHET- HVA BETYR DET I PRAKSIS? NBEF Frokostmøte Kristiansand Mandag 13.april

Detaljer

Det store våpenkappløpet

Det store våpenkappløpet Kvartalsrapport for 1. kvartal 2012 Det store våpenkappløpet RDP-sårbarhet har skapt massiv oppmerksomhet i store deler av sikkerhetsmiljøet dette kvartalet. Side 8 Spionasje mot humanitære organisasjoner

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Teori om sikkerhetsteknologier

Teori om sikkerhetsteknologier Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................

Detaljer

Trusler og trender. Martin Gilje Jaatun. Martin.G.Jaatun@sintef.no. www.norsis.no 29.09.2005

Trusler og trender. Martin Gilje Jaatun. Martin.G.Jaatun@sintef.no. www.norsis.no 29.09.2005 Trusler og trender Martin Gilje Jaatun Martin.G.Jaatun@sintef.no 1 SIS trusselrapport Trusler mot IKT-systemer i Norge Basert på åpne kilder Suppleres med månedlige rapporter Kan leses på 2 Spesielle forhold

Detaljer

1. Forord... 2 2. Innholdsfortegnelse... 3 3 innledning... 5. 4. Funksjonelle egenskaper og krav... 7. 5. Spesifikke krav av delsystemer...

1. Forord... 2 2. Innholdsfortegnelse... 3 3 innledning... 5. 4. Funksjonelle egenskaper og krav... 7. 5. Spesifikke krav av delsystemer... Side 1 1. Forord Dette dokumentet er en kravspesifikasjon og har blitt utarbeidet av arbeidsgiver og prosjektgruppen. Dokumentet består av ni kapitler. Det vil først bli presentert hvem prosjektgruppen

Detaljer

Beskyttelsesteknologier

Beskyttelsesteknologier Beskyttelsesteknologier Paul-Christian Garpe Senior Principal Consultant, Symantec Oktober 2011 Agenda 1 Utfordringen 2 Smart grid et eksempel 3 Aktuell sikkerhetsteknologi 4 Oppsummering 2 *Disclaimer:

Detaljer

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster? BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis

Detaljer

Regler og informasjon til foresatte om bruk av datautstyr for 1.-3. trinn

Regler og informasjon til foresatte om bruk av datautstyr for 1.-3. trinn Regler og informasjon til foresatte om bruk av datautstyr for 1.-3. trinn Med hjemmel i IKT-reglement for grunnskolene i Notodden kommune. I følge Kunnskapsløftet er det et mål at elevene etter 2. trinn

Detaljer

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN).

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN). Innledning Vi har valgt brannmurer som tema og grunnen til dette er de stadig høyere krav til sikkerhet. Begrepet datasikkerhet har endret innhold etter at maskiner ble knyttet sammen i nett. Ettersom

Detaljer

4.1. Kravspesifikasjon

4.1. Kravspesifikasjon 4.1. Kravspesifikasjon Dette delkapittelet beskriver nærgående alle deler av systemet, hvordan det er tenkt ferdigutviklet med fokus på oppdragsgivers ønsker. 4.1.1. Innledning Informasjon om hvordan kravspesifikasjonens

Detaljer

VMware Horizon View Client. Brukerveiledning for nedlasting, installasjon og pålogging for fjerntilgang

VMware Horizon View Client. Brukerveiledning for nedlasting, installasjon og pålogging for fjerntilgang VMware Horizon View Client Brukerveiledning for nedlasting, installasjon og pålogging for fjerntilgang Introduksjon Fjerntilgang er blitt oppgradert til en bedre og mer moderne løsning. Programmet er identisk

Detaljer

Rikets tilstand. Norsk senter for informasjonssikring. Telenor Sikkerhetssenter TSOC

Rikets tilstand. Norsk senter for informasjonssikring. Telenor Sikkerhetssenter TSOC Rikets tilstand Tore Orderløkken Administrerende Direktør Tore.orderlokken@norsis.no Norsk senter for informasjonssikring Christian Flørenes Senioranalytiker TSOC Christian.florenes@telenor.com Telenor

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Endepunktsikkerhet Dato: 24.11.2008 Versjon 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets sluttpunktsikkerhet Antivirus

Detaljer

Sikkerhet på akkord med personvernet? NOU 2015: 13

Sikkerhet på akkord med personvernet? NOU 2015: 13 Sikkerhet på akkord med personvernet? NOU 2015: 13 Beskytte enkeltmennesker og samfunn i en digitalisert verden ISACA 10.02.2015 Utvalgsmedlemmer Olav Lysne (leder) Janne Hagen Fredrik Manne Sofie Nystrøm

Detaljer

Policy vedrørende informasjonskapsler og annen tilsvarende teknologi

Policy vedrørende informasjonskapsler og annen tilsvarende teknologi Policy vedrørende informasjonskapsler og annen tilsvarende teknologi 1. Hva omfavner denne policyen? Denne policyen dekker dine handlinger hva angår Tikkurila sine digitale tjenester. Policyen dekker ikke

Detaljer

Stuxnet: Hva skjedde? Christian Sandberg, European SE September 2011

Stuxnet: Hva skjedde? Christian Sandberg, European SE September 2011 Stuxnet: Hva skjedde? Christian Sandberg, European SE September 2011 Agenda 1 Terminologi og teknologi 2 3 4 Stuxnet detaljer Infisering, spredning og utnytting Hvordan kan dette forhindres? 2 Terminologi

Detaljer

NorCERT og NorSIS hvem er vi? IKT trusselbildet Tiltak og holdningsskapende arbeid. Hva er NorCERT?

NorCERT og NorSIS hvem er vi? IKT trusselbildet Tiltak og holdningsskapende arbeid. Hva er NorCERT? NorCERT og NorSIS hvem er vi? IKT trusselbildet Tiltak og holdningsskapende arbeid Leder for NorSIS Avd.direktør NorCERT Tore Larsen Orderløkken Christophe Birkeland Hva er NorCERT? 1 NorCERT forbereder

Detaljer

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet

Detaljer

Testing av intern IT-sikkerhet

Testing av intern IT-sikkerhet Advisory Testing av intern IT-sikkerhet Siv. ing. Eivind Dees Tellefsen eivind.tellefsen@no.ey.com Dette dokumentet er Ernst & Youngs eiendom. Dokumentet kan ikke benyttes av eller videreformidles til

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett " %$ # " >9 : B D 1. Åpne og lukkede nettverk - Internett og sikkerhet 2. Krav til sikre tjenester på Internett 3. Kryptografi 4. Kommunikasjonssikkerhet og meldingssikkerhet 5. Elektronisk legitimasjon

Detaljer

Sikkerhet i driftskontrollsystemer

Sikkerhet i driftskontrollsystemer Sikkerhet i driftskontrollsystemer Er det greit å sitte hjemme i sofaen og styre vannbehandlingsanlegget via nettbrettet hvor en også leser aviser og ungene leker med spill? Jon Røstum (VA) Martin Gilje

Detaljer

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av

Brukerhåndbok for drift hos Kirkedata AS. Denne håndboken er utarbeidet av Brukerhåndbok for drift hos Kirkedata AS Denne håndboken er utarbeidet av Oppdatert: 18. desember 2012 Innhold Innhold Innledning... 3 Oppsett av PC... 3 Windows XP... 3 Windows Vista og Windows 7... 3

Detaljer

7. Sikkerhet. Per Erik Gjedtjernet og Geir Martin Pilskog

7. Sikkerhet. Per Erik Gjedtjernet og Geir Martin Pilskog Nøkkeltall om informasjonssamfunnet 2006 Sikkerhet Per Erik Gjedtjernet og Geir Martin Pilskog 7. Sikkerhet Vanskeligheter med sikkerheten på Internett og andre nettverk vokser med økende bruk av informasjons-

Detaljer

Kompasset illustrerer behovet for gode verktøy og veiledning for å kunne navigere i et vanskelig landskap med stadig nye hindringer

Kompasset illustrerer behovet for gode verktøy og veiledning for å kunne navigere i et vanskelig landskap med stadig nye hindringer 2 Kompasset illustrerer behovet for gode verktøy og veiledning for å kunne navigere i et vanskelig landskap med stadig nye hindringer 3 Uansett hva man bruker PC-en til, har den verdi. Server En PC kan

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet 1 Sikkerhetstilstanden 2014 Nasjonal sikkerhetsmyndighet Sikkerhetstilstanden 2014 2 Rapport om sikkerhetstilstanden 2014 Innledning 3 Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er Norges

Detaljer

Nøkkelinformasjon. Etatsstyring

Nøkkelinformasjon. Etatsstyring krig og krim Cyberspace Truslene, utfordringene, tiltakene en arena for krig og krim IBM Smarter Business, 7. november 2012 Annette Tjaberg Assisterende direktør www.nsm.stat.no Geir A Samuelsen Direktør

Detaljer

F-Secure Mobile Security for Windows Mobile

F-Secure Mobile Security for Windows Mobile F-Secure Mobile Security for Windows Mobile 1. Installasjon og aktivering Tidligere versjon Installasjon Aktivering Starte produktet Hvis du har en tidligere versjon av F-Secure Mobile Security installert,

Detaljer

Hvordan kan Internett overvåkes?

Hvordan kan Internett overvåkes? Hvordan kan Internett overvåkes? Seminar på DRI 1002, torsdag 9. mars Herbjørn Andresen, stipendiat ved Avdeling for forvaltningsinformatikk Om begrepet overvåkning Ulike betydninger: Etterretning kartlegge

Detaljer

Vår digitale sårbarhet teknologi og åpne spørsmål

Vår digitale sårbarhet teknologi og åpne spørsmål Lysneutvalget 2014-2015 Vår digitale sårbarhet teknologi og åpne spørsmål Janne Hagen utvalgsmedlem i Digitalt Sårbarhetsutvalg 1 Før i tida 2 Nå. Telefonen er datamaskin Apper Wearables Intelligente «dingser»

Detaljer

Månedsrapport Mai 2005

Månedsrapport Mai 2005 Månedsrapport Mai 2005 www.norsis.no Senter for informasjonssikring (SIS) er etablert på oppdrag fra Nærings- og handelsdepartementet. En av senterets hovedoppgaver er å presentere et totalt trusselbilde

Detaljer

TRUSSELVURDERING 2008

TRUSSELVURDERING 2008 Politiets sikkerhetstjenestes (PST) årlige trusselvurdering er en analyse av den forventede utvikling innenfor PSTs hovedansvarsområder, med fokus på forhold som kan påvirke norsk sikkerhet og skade nasjonale

Detaljer