IT-sikkerhet i næringslivet - erfaringer fra bank

Transkript

1 IT-sikkerhet i næringslivet - erfaringer fra bank (ULN/LQGPR'Q%

2 ,7HUQHUYHV\VWHPHWL'Q% GHUIRUYDUYLWLGOLJRSSWDWWDYGDWDVLNNHUKHW %HWDOLQJVIRUPLGOLQJ Håndteres i mange ledd alltid "men in the middle" 2SSEHYDULQJDYSXEOLNXPVSHQJHU Må kunne stole på at det er riktig 6WRUHWUDQVDNVMRQVYROXP Samfunnskritisk virksomhet 6HOYEHWMHQLQJSnQHWW Sikker autentisering/autorisering 2

3 Hvor alvorlig kan det bli? (NVWUDDUEHLGIUXVWUDVMRQ (QNHOWNXQGHUXWVHWWHVIRUIHLOEHKDQGOLQJ 1HJDWLYPHGLDRPWDOH 3

4 Hvor alvorlig kan det bli? (NVWUDDUEHLGIUXVWUDVMRQ (QNHOWNXQGHUXWVHWWHVIRUIHLOEHKDQGOLQJ 1HJDWLYPHGLDRPWDOH )HLOLIRUKROGWLOORYHUUHJOHU 0DVVHNUDYIUDNXQGHUUHWWVDNHU 9LUNVRPKHWHQEOLUXO QQVRP 0nVWRSSHEDQNHQVGULIWLHQSHULRGH 4

5 Hvor alvorlig kan det bli? (NVWUDDUEHLGIUXVWUDVMRQ (QNHOWNXQGHUXWVHWWHVIRUIHLOEHKDQGOLQJ 1HJDWLYPHGLDRPWDOH )HLOLIRUKROGWLOORYHUUHJOHU 0DVVHNUDYIUDNXQGHUUHWWVDNHU 9LUNVRPKHWHQEOLUXO QQVRP 0nVWRSSHEDQNHQVGULIWLHQSHULRGH 9DQVNHUPHGnNRPPHLJDQJLJMHQ 5RWLEDQNHQVYHUGLHU 5RWLSXEOLNXPVRJQ ULQJVOLYHWVSHQJHUVRPYLRSSEHYDUHURJ IRUPLGOHU 5

6 Utfordringene underveis '\QDPLVNWHNQRORJLXWYLNOLQJ±JLUQ\HKXOO Stormaskin, pc, LAN, selvbetjening, internett, trådløse nett +YRUVLNUHHUYLWLOHQKYHUWLG Hvordan kan vi vite, måle, fange opp når noe skjer 5LNWLJEDODQVHPHOORPVLNNHUKHWRJNRVWQDGHU Høy sikkerhet koster mye press på kostnader 6LNNHUKHWHQDYKHQJHUDYGHVYDNHVWHOHGG Hvordan skape en kultur slik at alle tenker nok på sikkerhet 'LDORJPHGWRSSOHGHOVHQRP,7ULVLNR i et språk som de forstår så de kan gi oss riktige føringer 6

7 Hva har YL gjort %DVLVVLNNHUKHWVNUDY interne spilleregler for arbeidet med IT-sikkerhet %\JJHW,WVLNNHUKHWLQQL,7SURVHVVHQH Beslutning, systemutvikling, prod.setting, drift, outsourcing,utfasing, Internkontroll %HQFKPDUNLQJDY,7VLNNHUKHW(6) Hvor god er sikkerheten ift andre internasjonale banker/bedrifter Hvilke forhold har størst betydning for sikkerhet i praksis Nye trusler som oppstår 'LDORJPHGOHGHOVHQ Del av deres risikostyring, kostnadskonsekvenser, signaleffekt 6HQ\WWHQLHNVWHUQHNUDY IT-forskrifter, EBN/CLS, 2000, BASEL II 7

8 BSK Basis sikkerhetskrav.odvvlilvhulqjdyv\vwhphu RJGDWD 5ROOHURJDQVYDU 3HUVRQHOO.XQGHU 7LOJDQJVNRQWUROO /RJRJVSRUEDUKHW.U\SWHULQJ 7UDQVSRUWDYLQIRUPDVMRQ,QWHJULWHWLEDVLVKZVZRJ QHWWYHUN $QVNDIIHOVHV\VWHPXWYLNOLQJ RJIRUYDOWQLQJ (QGULQJVNRQWUROO 'ULIWSURGXNVMRQ )\VLVNVLNNHUKHW %DFNXS.DWDVWURIHSODQHU )RUVLNULQJ (WWHUOHYHOVHDYNUDYHQH 8

9 Bygget It-sikkerhet inn i IT-prosessene 'HWHUG\UWnWHQNHVLNNHUKHWHWWHUSn 5ROOHURJDQVYDULHQVWRULWRUJDQLVDVMRQ Oppdragsgiver,utvikler, platform,drift, nettverk, sikkerhetsavd.. )RUUHWQLQJVPHVVVLJHEHKRYIRULWVLNNHUKHW del av beslutningsgrunnlaget for nye systemer 6LNNHUKHWVDQDO\VH 9HG3URGXNMRQVVHWWLQJPnDOWY UHNODUW (QGULQJVNRQWUROO 7KHLQFUHPHQWDOULVN 9

10 Benchmarking av IT-sikkerhet (ISF) %HQFKPDUNLQJKYHUWnU sikkerhetsbevisste internasjonale bedrifter Detaljerte spørreskjema spørsmål Rapporterer også major incidents og konsekvenser 5HVXOWDW Status ift forrige gang (totalt, platformer,forretningskritiske applikasjoner, nettverk, sys.utvikling/forvaltning, sikkerhetsavdelingen) Status ift sammenlignbare bedrifter, miljøer Incidents, frekvens og konsekvenser.h\idfwruvfor effektiv sikkerhet 10

11 )LQGLQJV«0DQJHOIXOOVLNNHUKHWNRVWHU UHGXVHUHURYHUVNXGGJMVQLWW 0HVWnKHQWHSn nvlnuhwlojmhqjholjkhw 6W UVWHWUXVVHO WKLQJVJRLQJZURQJXQLQWHQWLRQDOO\ 0DQJHVPnKHQGHOVHU KYHUGDJSUnUJMVQLWW 0DMRULQFLGHQWV VDQQV\QOLJYLVJDQJSUnUJMVQLWW cuvdnwlokhqghovhu VRPUHJHOLQWHUQWGYVXQGHUEHGULIWHQV HJHQNRQWUROO.DQQRHJM UHV" %HQFKPDUNPLOM HUKDUUHGXVHUWFRVWRILQVHFXULW\WLO±ó NH\IDFWRUVLGHQWLILVHUW GLVVHELGUDUPHVWWLOnUHGXVHUH WDSVNDGH GHPHVWHIIHNWLYHVLNNHUKHWVWLOWDN 11

12 Disse 47 key faktorene kan grupperes i.. &RPLWPHQWIURPWRS,QGLYLGXDODFFRXQWDELOLW\ JRRGPDQDJHPHQW 'LVFLSOLQHGUHODWLRQVKLSV 6\VWHPDWLFDVVHVPHQWVRIULVN.QRZKRZGHYHORSPHQW DFWLYHGULYLQJIRUFH 6RXQGUXOHV,QGHSHQGDQWUHYLHZV (VWDEOLVKDVRXQGHQYLURQPHQW *HWRSHUDWLRQDOWKLQJVULJKW 'LVFLSOLQHWKHKDQGOLQJRIFKDQJHV VRXQGEDVLFSUDFWLFHV &RQWURODFFHVVWRV\VWHPFDSDELOLWLHV &RQWURORWKMHUREYLRXVULVNV 12

13 Spesielle utfordringer ved e-handel/selvbetjening? /HYHUDQG UWMHQHVWHVLGHQ Alle vanlige IT-sikkerhetsproblemer + Spes.urfordringer: Tilgjengelighet, hyppige produksjonsendringer, "systemet" består av mange komponenter, katastrofeløsninger 7UDQVDNVMRQHU Sikker autentisering, sikret mot endring, benekting (PKI?).XQGHVLGHQ Mange ulike konfigurasjoner "der ute", krav til installering, hyppige endringer Brukervennlighet - kundeservice /RYHURJUHJOHU Elektroniske dokumenter, signaturer Privacy, personvern 13

14 Dialog med ledelsen OHGHOVHQHURSSWDWWDY kroner risiko hva gjør de andre renommé følge lover,wvlnnhukhwhuiruwhnqlvn±kyrugdqirunoduh" Grafisk Analogier fra den fysiske verden 14

15 Et tenkt eksempel.. 6HQWUDOH,7ULVLNRHU )RUUHWQLQJVIRNXV,7DYKHQJLJKHW,7UHVVXUVRJNRPSHWDQVH (NVWHUQEUXNDY,7,7IRUDQGULQJHU 3RUWHI OMHNRPSOHNVLWHW Høyest Lavest Eksempel virksomhet Ingen 15

16 16

17 Se nytten i eksterne krav,wiruvnuliwhqhrjnuhglwwwlov\qhwvrssi OJLQJ,QWHUQNRQWUROO.UDYIUD,QWHUQDVMRQDOHEDQNV\VWHPHU SWIFT,CLS Nå kommer%dvho,, EK-krav 8% av utlånsbalansen - dekker kreditrisiko => utvides til å dekke operasjonell risiko Basic indicator - 8 % av 200 mrd Standard method - 3 % x utlån + 5 % x bet.formidl +. Advanced internal method - (basert på ISF-tenking?) 5HGXNVMRQDY,7ULVLNRVOnUGLUHNWHXWSn(.NUDYHW HWVSUnNVRPOHGHOVHQIRUVWnU 17

18 Nyttige linker: