Behovet for formalisering/etablering av institusjonsvise responsteam (IRT) i sektoren

Transkript

1 Behovet for formalisering/etablering av institusjonsvise responsteam (IRT) i sektoren Introduksjonsforedrag Olaf.Schjelderup@uninett.no 2 mai 2017

2 Velkommen Alle 21 statlige UH-institusjoner er her J! Det var målet i denne runden. Fantastisk! Og velkommen til dere andre også; met.no, forskningsrådet, NINA, høgskolen Kristiania, Norid og Bane NOR Et sikkerhetsarrangement som dette har vi aldri gjort før, så det blir sikkert bra J 2

3 Mål for dagen Alle representerte institusjoner skal ha konstituert/bekjentgjort sitt IRT gjennom: Bekjentgjøring av team, publisering av kontaktinformasjon Signering av TLP-avtale Signering av pgp-nøkler Gjennomgått grunnleggende IRT-opplæring Grunnleggende verktøyoversikt Innblikk i trusselbildet og potensielle scenarier 3

4 Dagens program : Velkommen. Behovet for institusjonsvise IRT, v/ Olaf Schjelderup, UNINETT : Statlige universiteter og høyskolers ansvar for informasjonssikkerhet og digital hendelseshåndtering. Reidulf Fonn, Kunnskapsdepartementet : Hendelseshåndtering - IRT-konsepter (1) v/ Per Arne Enstad, UNINETT : Lunsj (med mulighet for kryptobistand fra ) : Hendelseshåndtering - IRT-konsepter (2) v/ Per Arne Enstad, UNINETT : Hendelseshåndtering - organisering, infrastruktur og rammeverk v/ Per Arne Enstad, UNINETT : Pause : Verktøyportefølje for IRT v/ Arne Øslebø, UNINETT : NSM NorCERT, nasjonal organisering og trusselbildet v/ Håkon Bergsjø NSM NorCERT : Kort om videre planer v/ Olaf Kort presentasjon av fremmøtte team (ett team av gangen frem på podiet, ca 2 min) Mingling og signering av kryptonøkler og TLP-avtaler om utveksling av sensitiv informasjon Mingling og middag 4

5 10 gode grunner til at vi er her De fleste av våre informasjonsverdier har havnet i det digitale domenet Økende avhengighet av digitale tjenester Stadig mer utfordrende trusselbilde, få om ingen klarer oppgaven alene Stadig fler målrettede angrep mot vår sektor UNINETT CERT kan ikke dele sensitiv informasjon fra eksterne med institusjoner uten TLP-avtale Vi trenger signerte kryptonøkler for å sikre konfidensialitet og autentisitet i dialog To responstester i 2016 mot abuse-adressene i sektoren ga utilfredsstillende resultat IKT-16 øvelsen viste tydelig at vi er alle en del av totalforsvaret og vi trenger en god operativ organisering innad i hele sektoren. IKT-hendelseshåndtering utgjør en vesentlig del av et ledelsessystem for informasjonssikkerhet God operativ organisering er en forutsetning for et eventuelt nasjonal operativt senter og en 24/7 beredskap i sektoren 5

6 UNINETT CERT since

7 Status IRT i UH-sektoren UiO CERT (cert@uio.no) (etablert i 2007, gratulerer med dagen J!) NTNU i sterk oppbyggingsfase (soc@ntnu.no) Mange institusjoner har sikkerhetsansvarlige, og det finnes allerede enkelte team, noen gryende, på flere av institusjonene. ALLE skal ha abuse@institusjon.no. Men, to responstester i 2016 viste: Mars, suksessrate: 53,8% av utsendte, 60,0% av leverte eposter Juni, suksessrate: 60,4% av utsendte, 63,5% av leverte eposter UNINETT CERT opplever ofte at sektorens samlede organisering ikke er god nok. Når alvorlige akutte situasjoner oppstår er det avgjørende at sektoren har formelle team som responderer og gjør en profesjonell håndtering. 7

8 Samfunnet er blitt opptatt av cybersikkerhet Bevisstheten rundt sikkerhetsbrudd fokuserte tidligere mest på omdømme og tillitt - det går nok bra, vi bare reinstallerer... Økende bekymring i befolkningen, man ser at: Myndighetspersoner angripes - konstitusjonelle manipulasjoner - storpolitikk - cyber war IKT griper inn i alle samfunnsfunksjoner, avhengigheten har økt dramatisk på få år Målrettede angrep på kritisk infrastruktur kan slå ut viktige samfunnsfunksjoner Mange sluttbrukerne angripes og svindles - brukerutstyr benyttes som springbrett/arnested Bekymring i IKT-miljøene Utfordrende og kostnadskrevende med profesjonell og sikker in-house IKT-drift Samtidig, kritisk lys på outsourcing og at billigst mulig er godt nok. Lovverk og krav fra myndigheter skjerpes (bl.a. GDRP) Knapt en dag går uten medieoppslag knyttet til informasjonssikkerhet 8

9 Noen snapshots av avisoverskrifter det siste året 9

10 ... og noen ganger rammer overskriftene oss

11 Et simulert angrep på Norge: IKT16-øvelsen (29-30 november 2016): Nasjonal tverrsektoriell øvelse med massive simulerte angrep på Norge fra en fiendtlig stat Mange samfunnsektorer rammet hard og nokså samtidig, bl.a. Bank og finans Helse Kraftsektoren Telecom (4G-nett og fiberkabler) Myndighetene UH-sektoren: DDoS mot met.no - både fra utlandet med også via kompromitterte maskiner i UH-sektoren Kompromitteringer skjedd via phishing og virus Øvelsen hadde som formål å trene på kommunikasjon, koordinering og håndtering av et massivt antall hendelser som rammet Norge, originert fra en fiendtlig statsaktør. 11

12 IKT16-øvelsen (2) UNINETT dreiebok, dag 1; Tidenes DDoS (90Gbit/s) mot met.no fra utlandet, dernest mot tungregnemaskinen Etter mitigering ny oppblussing fra en kompromittert høgskole der IT-avdelingen hadde dratt på kurs. UNINETT dreiebok, dag 2; Massiv virusinfeksjon mot Windowsmaskiner i sektoren. Genererte DDoS og betydelig støy. Men mye av alt det andre som skjedde påvirket oss sterkt totaliteten i informasjonsflommen opplevdes ekstremt kaotisk usikkerhet om hvilke av et stort antall hendelser som hadde med oss og gjøre trygg kommunikasjon med pålitelige miljøer, måledata og verktøy skulle vise seg helt essensiellt for avklaring Mange læringspunkter; bl.a. med den massive infrastrukturen og informasjonsverdiene vi rår over - en erkjennelse av at vi og sikkerhetsteam i sektoren er en viktig del av totalforsvaret. Hva om dette hadde vært en skarp situasjon? 12

13 Simulert mediebilde (1) 13

14 Simulert mediebilde (2) 14

15 Andre læringspunkter fra IKT16... etter å ha følt det, opplevd det... Et massivt angrep kan være altomfattende og ekstremt krevende å håndtere. Uten en organisering sliter man veldig. Teamet må ha kollektiv og synkron tilgang til måledata, monitorering og logger for å avgjøre hva som er relevante fakta og hva som skal prioriteres Vit hvem og når du skal informere hva til, på forhånd! Vit hvem og når du skal rapportere hva til, på forhånd! Rollekort er svært nyttig når en situasjon eskalerer Vent ikke for lenge med å sette krisestab - øv på forhånd! Ha mulighet for at teamet skjermes (fysisk og oppgavemessig) Vær forberedt på spekulasjoner, fake news, hva skjer - støy og viktig informasjon side om side - og at dine pålitelige kilder kan få overload og plutselig se ut til å ha gått silent 15

16 IKT delstrategi om informasjonssikkerhet Arbeidsgruppen peker på: KDs og institusjonenes ansvar Institusjonenes ledelsessystem for informasjonssikkerhet Viktigheten av lokale responsmiljø (IRT) Lokale operative oppgaver Viktigheten av et SektorCERT Anbefaler en sterk nasjonal enhet som bistår sektoren med: Ledelsessystem for informasjonssikkerhet Hendelseshåndtering og trusselinformasjon SOC (Security Operation Center) / Analyser Bindeledd mot andre myndigheter, nasjonale og internasjonale aktører 16

17 Forankring i ledelsessystemet for informasjonssikkerhet IRT 17

18 Innhold i ledelsessystemet Styrende del: Klassifisering av informasjon (sensitiv, intern, åpen) Sikkerhetsmål (krav til konfidensialitet, integritet og tilgjengelighet) Ansvarsforhold (Toppleder, CSO, avdelingsledere, tjenesteeiere, operativt ansvarlig osv) Gjennomførende del: Alt starter med oversikt over informasjonsverdier Oversikten gir grunnlag for planlagte risikovurderinger Sikringsstiltak Prioriteringer IRT Lukke avvik; ansvarlig, tidsfrist, prioritering og rapportering Opplærings- og informasjonstiltak Kontrollerende del: Ledelsens gjennomgang Revisjoner Oppfølging av avvikslukkingen Kontinuerlig forbedring 18